Gawker hacké, Réactions à la publication du 13/12/2010

[Lionel]

Gawker qui alimente de très nombreux blogs et leurs commentaires (Lifehacker, Gizmodo, Gawker, Jezebel, io9, Jalopnik, Kotaku, Deadspin,...) a vu ses serveurs hackés.
Les pirates ont récupéré le code source du site, une capture de leur prochain design, mais surtout 1 300 000 mots de passe.
Déjà, certains opportunistes ont commencé à jouer avec certains comptes, en effaçant ou envoyant des billets à travers eux.
Tous ceux qui ont un compte lié de près ou de loin à Gawker sont invités à changer au plus vite leur mot de passe.

Pour en savoir plus:
http://lifehacker.com/5712785/ 

PS: Si vous utilisez un mot de passe commun à plusieurs sites dont Gawker, nous vous conseillons de les changer partout, surtout si votre identifiant associé n'est pas banal.
Par Lionel

[Maconnect]

Quant on stoke les mots de passe en clair, c'est ce qui arrive. Enfin je suppose qu'ils sont en clair sinon ils auraient étés inutilisables. Incroyable que ça se fasse encore.

[Sylvain A]

La vache ! J'aimerai pas avoir un compte chez eux...

[bad_duck]

Les passwords n'étaient pas en clair (en tous cas ceux des users), mais il y en a déjà 2-300 000 qui ont été crackés et diffusés

[omega2]

Quant on stoke les mots de passe en clair, c'est ce qui arrive. Enfin je suppose qu'ils sont en clair sinon ils auraient étés inutilisables. Incroyable que ça se fasse encore.

Si aucun "grain de sable" n'est utilisé pour la génération des mot de passe alors on peut retrouver le mot de passe original (ou un autre qui donne la même version codé) en utilisant un dictionnaire générique.
Si la seule protection consiste en un md5() ou sha() sans grain de sable alors tu peux être sur que tous les mots de passes classiques (mot commun du dictionnaire, prénom, dates, etc) seront décodé en quelques secondes. Par contre même avec juste un md5() ou sha() sans grain de sable, les mot de passe aléatoire long peuvent résister longtemps.

[beat]

C'est quand même pas compliqué d'ajouter du sel aux hash md5 ou sha1 lorsqu'on stocke des mots de passe pas en clair...

googler "salting md5 hash" donne par exemple comme 1er résultat:
http://www.commentcamarche.net/faq/8821-co...un-mot-de-passe

Ca rend le déchiffrement bien moins probable (pour autant que les mots de passe ne soient pas triviaux).

[Vinc26]

Hey les mecs, sortez deux secondes la tête du clavier. Prenez 2 mètres de recul de votre écran. Grain de sable ou gros rocher, clair ou sombre, elle est belle la vie sur internet, non ?

Là, c'est Gawker. Et demain ? Et avec ça on nous vend de la sécurité, du réseau social "protégé"... Vous en connaissez beaucoup qui accepteraient que n'importe qui puisse fouiller dans ses placards, dans ses souvenirs, dans ses choix intimes... ok ça ne parle pas ça... dans son compte en banque ? C'est plus "clair" là ? Eh bien c'est à portée de main, et tout le monde fait semblant de ne rien voir. Il est où le choix ? Elle est où la liberté ? Il en reste une : couper le jus. Pas si simple.

Mais allez-y. Parlez. Ajoutez du sel aux hash md5... Les plus riches dans l'histoire, ce sont les boliviens qui possèdent la plus grand réserve de sel au monde avec leur Salar d'Uyuni.

Ah oui, j'oubliais la petite flèche qui fait bêtement sourire les initiés (et si elle était un peu appliquée en vrai...) : je

Ce message a été modifié par Vinc26 - 13 Dec 2010, 23:55.

[cyril1]

Quant on stoke les mots de passe en clair, c'est ce qui arrive. Enfin je suppose qu'ils sont en clair sinon ils auraient étés inutilisables. Incroyable que ça se fasse encore.

Si aucun "grain de sable" n'est utilisé pour la génération des mot de passe alors on peut retrouver le mot de passe original (ou un autre qui donne la même version codé) en utilisant un dictionnaire générique.
Si la seule protection consiste en un md5() ou sha() sans grain de sable alors tu peux être sur que tous les mots de passes classiques (mot commun du dictionnaire, prénom, dates, etc) seront décodé en quelques secondes. Par contre même avec juste un md5() ou sha() sans grain de sable, les mot de passe aléatoire long peuvent résister longtemps.

C'est quand même pas compliqué d'ajouter du sel aux hash md5 ou sha1 lorsqu'on stocke des mots de passe pas en clair...

googler "salting md5 hash" donne par exemple comme 1er résultat:
http://www.commentcamarche.net/faq/8821-co...un-mot-de-passe

Ca rend le déchiffrement bien moins probable (pour autant que les mots de passe ne soient pas triviaux).

Faux !

C'est crackable de la même façon que du DES-UNIX, Que ça soit des Hashes MD5 ( FreeBSD ), ou SHA-1 ou Même du MD5-UNIX, c'est tout aussi crackabe et en très peu de temps !

Et ce n'est pas les Tools qui manquent !, il suffit d'avoir de bonnes liste ainsi que de maitriser les charset et les rules ! JTR et ton ami ! et si on est pas à l'aise avec le Terminal et les "commandes *NIX", alors il y a des GUI ! = http://www.insidepro.com

Je en parle même pas des Rainbow tables ! qui peuvent cracker du MD5 en quelques sec / minutes !

Le truc, c'est DE NE PAS LAISSER sur les serveurs ces mots de passes ! mais de les délocaliser vers d'autres serveurs relais ( referer ).

A+

Cyril

[chombier]

Je en parle même pas des Rainbow tables ! qui peuvent cracker du MD5 en quelques sec / minutes !

Des secondes par minute(s) ?
Ils sont forts.

[cyril1]

Je en parle même pas des Rainbow tables ! qui peuvent cracker du MD5 en quelques sec / minutes !

Des secondes par minute(s) ?
Ils sont forts.

Tout dépend de la machine, mais quelques minutes oui en effet, un peu de lecture = http://lasecwww.epfl.ch/~oechslin/

& http://fr.wikipedia.org/wiki/Table_arc-en-ciel

[kwak-kwak]

C'est quand même pas compliqué d'ajouter du sel aux hash md5 ou sha1 lorsqu'on stocke des mots de passe pas en clair...

googler "salting md5 hash" donne par exemple comme 1er résultat:
http://www.commentcamarche.net/faq/8821-co...un-mot-de-passe

Ca rend le déchiffrement bien moins probable (pour autant que les mots de passe ne soient pas triviaux).

Lionel, précise que le code source du site a été récupéré. A partir de là, sel ou pas, il n'est d'aucune difficulté de refaire ses rainbow-tables en prenant ce paramètre en compte.

Mais vu le nombre de mot de passe récupérés il y a fort à parier qu'ils étaient stockés en clair (ou via un algorithme réversible). Je suis pour ma part sidéré par le nombre de sites qui me retournent mon mots de passe suite à un "oubli".

[Maconnect]

Faux !

C'est crackable de la même façon que du DES-UNIX, Que ça soit des Hashes MD5 ( FreeBSD ), ou SHA-1 ou Même du MD5-UNIX, c'est tout aussi crackabe et en très peu de temps !

Et ce n'est pas les Tools qui manquent !, il suffit d'avoir de bonnes liste ainsi que de maitriser les charset et les rules ! JTR et ton ami ! et si on est pas à l'aise avec le Terminal et les "commandes *NIX", alors il y a des GUI ! = http://www.insidepro.com

Je en parle même pas des Rainbow tables ! qui peuvent cracker du MD5 en quelques sec / minutes !

Le truc, c'est DE NE PAS LAISSER sur les serveurs ces mots de passes ! mais de les délocaliser vers d'autres serveurs relais ( referer ).

A+

Cyril

Alors là. Tu l'as essayé JTR ? Moi oui, et je rigole doucement. Rien qu'un md5 c'est 1e38 hash différents, et une infinité de possibilité source. Si on prend que les 128 caractères ascii on arrive à 1e33. JTR en fait dans les 1e5/sec.

Les rainbow-tables sont inutiles avec un sel. C'est le but du sel.

Non, c'est pas facile de retrouver la source à partir d'un hash. Tiens, forces ce md5:
b88b9df40e798bcfaf9882f7f95a6606

Promis, pas de caractères spéciaux et il est même pas trop long. On se revoit dans "très peu de temps".