Gawker hacké, Réactions à la publication du 13/12/2010 |
Bienvenue invité ( Connexion | Inscription )
Gawker hacké, Réactions à la publication du 13/12/2010 |
13 Dec 2010, 20:38
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 357 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Gawker qui alimente de très nombreux blogs et leurs commentaires (Lifehacker, Gizmodo, Gawker, Jezebel, io9, Jalopnik, Kotaku, Deadspin,...) a vu ses serveurs hackés.
Les pirates ont récupéré le code source du site, une capture de leur prochain design, mais surtout 1 300 000 mots de passe. Déjà, certains opportunistes ont commencé à jouer avec certains comptes, en effaçant ou envoyant des billets à travers eux. Tous ceux qui ont un compte lié de près ou de loin à Gawker sont invités à changer au plus vite leur mot de passe. Pour en savoir plus: http://lifehacker.com/5712785/ PS: Si vous utilisez un mot de passe commun à plusieurs sites dont Gawker, nous vous conseillons de les changer partout, surtout si votre identifiant associé n'est pas banal. Par Lionel -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
13 Dec 2010, 21:03
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 295 Inscrit : 18 Dec 2002 Membre no 5 203 |
Quant on stoke les mots de passe en clair, c'est ce qui arrive. Enfin je suppose qu'ils sont en clair sinon ils auraient étés inutilisables. Incroyable que ça se fasse encore.
-------------------- MBP unibody 2.53GHz 15''
|
|
|
13 Dec 2010, 21:06
Message
#3
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 288 Inscrit : 16 Oct 2010 Membre no 160 159 |
La vache ! J'aimerai pas avoir un compte chez eux...
|
|
|
13 Dec 2010, 21:08
Message
#4
|
|
MacBidouilleur d'Or ! Groupe : Admin Messages : 11 590 Inscrit : 2 Mar 2002 Lieu : Paris Membre no 2 171 |
Les passwords n'étaient pas en clair (en tous cas ceux des users), mais il y en a déjà 2-300 000 qui ont été crackés et diffusés
-------------------- ---------------------------------------------------------------------------------------------------------------------------- Pour chatter avec des macbidouilleurs, rejoignez le chan IRC #macbidouille , plus d'infos et Webchat: par ici ;) Et n'oubliez pas, vos amis sont toujours là pour vous: Google, man, how to, RTFM mais aussi FAQ et Recherche Suivez MacBidouille sur Twitter ------------------------------------------------------>> http://twitter.com/macbid |
|
|
13 Dec 2010, 21:19
Message
#5
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 484 Inscrit : 25 May 2010 Membre no 154 588 |
Quant on stoke les mots de passe en clair, c'est ce qui arrive. Enfin je suppose qu'ils sont en clair sinon ils auraient étés inutilisables. Incroyable que ça se fasse encore. Si aucun "grain de sable" n'est utilisé pour la génération des mot de passe alors on peut retrouver le mot de passe original (ou un autre qui donne la même version codé) en utilisant un dictionnaire générique. Si la seule protection consiste en un md5() ou sha() sans grain de sable alors tu peux être sur que tous les mots de passes classiques (mot commun du dictionnaire, prénom, dates, etc) seront décodé en quelques secondes. Par contre même avec juste un md5() ou sha() sans grain de sable, les mot de passe aléatoire long peuvent résister longtemps. |
|
|
13 Dec 2010, 21:21
Message
#6
|
|
Adepte de Macbidouille Groupe : Membres Messages : 125 Inscrit : 9 Feb 2007 Membre no 80 282 |
C'est quand même pas compliqué d'ajouter du sel aux hash md5 ou sha1 lorsqu'on stocke des mots de passe pas en clair...
googler "salting md5 hash" donne par exemple comme 1er résultat: http://www.commentcamarche.net/faq/8821-co...un-mot-de-passe Ca rend le déchiffrement bien moins probable (pour autant que les mots de passe ne soient pas triviaux). -------------------- Beat
|
|
|
13 Dec 2010, 23:51
Message
#7
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 983 Inscrit : 4 Sep 2001 Membre no 737 |
Hey les mecs, sortez deux secondes la tête du clavier. Prenez 2 mètres de recul de votre écran. Grain de sable ou gros rocher, clair ou sombre, elle est belle la vie sur internet, non ?
Là, c'est Gawker. Et demain ? Et avec ça on nous vend de la sécurité, du réseau social "protégé"... Vous en connaissez beaucoup qui accepteraient que n'importe qui puisse fouiller dans ses placards, dans ses souvenirs, dans ses choix intimes... ok ça ne parle pas ça... dans son compte en banque ? C'est plus "clair" là ? Eh bien c'est à portée de main, et tout le monde fait semblant de ne rien voir. Il est où le choix ? Elle est où la liberté ? Il en reste une : couper le jus. Pas si simple. Mais allez-y. Parlez. Ajoutez du sel aux hash md5... Les plus riches dans l'histoire, ce sont les boliviens qui possèdent la plus grand réserve de sel au monde avec leur Salar d'Uyuni. Ah oui, j'oubliais la petite flèche qui fait bêtement sourire les initiés (et si elle était un peu appliquée en vrai...) : je Ce message a été modifié par Vinc26 - 13 Dec 2010, 23:55. -------------------- MacBook Air M2 13 pouces
|
|
|
14 Dec 2010, 00:22
Message
#8
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 385 Inscrit : 28 Oct 2006 Membre no 71 556 |
Quant on stoke les mots de passe en clair, c'est ce qui arrive. Enfin je suppose qu'ils sont en clair sinon ils auraient étés inutilisables. Incroyable que ça se fasse encore. Si aucun "grain de sable" n'est utilisé pour la génération des mot de passe alors on peut retrouver le mot de passe original (ou un autre qui donne la même version codé) en utilisant un dictionnaire générique. Si la seule protection consiste en un md5() ou sha() sans grain de sable alors tu peux être sur que tous les mots de passes classiques (mot commun du dictionnaire, prénom, dates, etc) seront décodé en quelques secondes. Par contre même avec juste un md5() ou sha() sans grain de sable, les mot de passe aléatoire long peuvent résister longtemps. C'est quand même pas compliqué d'ajouter du sel aux hash md5 ou sha1 lorsqu'on stocke des mots de passe pas en clair... googler "salting md5 hash" donne par exemple comme 1er résultat: http://www.commentcamarche.net/faq/8821-co...un-mot-de-passe Ca rend le déchiffrement bien moins probable (pour autant que les mots de passe ne soient pas triviaux). Faux ! C'est crackable de la même façon que du DES-UNIX, Que ça soit des Hashes MD5 ( FreeBSD ), ou SHA-1 ou Même du MD5-UNIX, c'est tout aussi crackabe et en très peu de temps ! Et ce n'est pas les Tools qui manquent !, il suffit d'avoir de bonnes liste ainsi que de maitriser les charset et les rules ! JTR et ton ami ! et si on est pas à l'aise avec le Terminal et les "commandes *NIX", alors il y a des GUI ! = http://www.insidepro.com Je en parle même pas des Rainbow tables ! qui peuvent cracker du MD5 en quelques sec / minutes ! Le truc, c'est DE NE PAS LAISSER sur les serveurs ces mots de passes ! mais de les délocaliser vers d'autres serveurs relais ( referer ). A+ Cyril -------------------- MAC_PRO & Ecran : DELL 30' 3007WFP- SSD Crucial M500 - I.Mac - MacBook - MacBookPro - Time Capsule - FAI : ORANGE _Fibre Reflex's : Nikon D300 / D3S / D4 - Iphone 8 & 8 Plus - Ipad Pro 12,9.
|
|
|
14 Dec 2010, 00:28
Message
#9
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 580 Inscrit : 20 Mar 2003 Membre no 6 765 |
Je en parle même pas des Rainbow tables ! qui peuvent cracker du MD5 en quelques sec / minutes ! Des secondes par minute(s) ? Ils sont forts. -------------------- késtananafout' (:
|
|
|
14 Dec 2010, 01:35
Message
#10
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 385 Inscrit : 28 Oct 2006 Membre no 71 556 |
Je en parle même pas des Rainbow tables ! qui peuvent cracker du MD5 en quelques sec / minutes ! Des secondes par minute(s) ? Ils sont forts. Tout dépend de la machine, mais quelques minutes oui en effet, un peu de lecture = http://lasecwww.epfl.ch/~oechslin/ & http://fr.wikipedia.org/wiki/Table_arc-en-ciel -------------------- MAC_PRO & Ecran : DELL 30' 3007WFP- SSD Crucial M500 - I.Mac - MacBook - MacBookPro - Time Capsule - FAI : ORANGE _Fibre Reflex's : Nikon D300 / D3S / D4 - Iphone 8 & 8 Plus - Ipad Pro 12,9.
|
|
|
14 Dec 2010, 06:00
Message
#11
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 517 Inscrit : 28 Jan 2010 Membre no 149 363 |
C'est quand même pas compliqué d'ajouter du sel aux hash md5 ou sha1 lorsqu'on stocke des mots de passe pas en clair... Lionel, précise que le code source du site a été récupéré. A partir de là, sel ou pas, il n'est d'aucune difficulté de refaire ses rainbow-tables en prenant ce paramètre en compte.googler "salting md5 hash" donne par exemple comme 1er résultat: http://www.commentcamarche.net/faq/8821-co...un-mot-de-passe Ca rend le déchiffrement bien moins probable (pour autant que les mots de passe ne soient pas triviaux). Mais vu le nombre de mot de passe récupérés il y a fort à parier qu'ils étaient stockés en clair (ou via un algorithme réversible). Je suis pour ma part sidéré par le nombre de sites qui me retournent mon mots de passe suite à un "oubli". |
|
|
14 Dec 2010, 09:44
Message
#12
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 295 Inscrit : 18 Dec 2002 Membre no 5 203 |
Faux ! Alors là. Tu l'as essayé JTR ? Moi oui, et je rigole doucement. Rien qu'un md5 c'est 1e38 hash différents, et une infinité de possibilité source. Si on prend que les 128 caractères ascii on arrive à 1e33. JTR en fait dans les 1e5/sec.C'est crackable de la même façon que du DES-UNIX, Que ça soit des Hashes MD5 ( FreeBSD ), ou SHA-1 ou Même du MD5-UNIX, c'est tout aussi crackabe et en très peu de temps ! Et ce n'est pas les Tools qui manquent !, il suffit d'avoir de bonnes liste ainsi que de maitriser les charset et les rules ! JTR et ton ami ! et si on est pas à l'aise avec le Terminal et les "commandes *NIX", alors il y a des GUI ! = http://www.insidepro.com Je en parle même pas des Rainbow tables ! qui peuvent cracker du MD5 en quelques sec / minutes ! Le truc, c'est DE NE PAS LAISSER sur les serveurs ces mots de passes ! mais de les délocaliser vers d'autres serveurs relais ( referer ). A+ Cyril Les rainbow-tables sont inutiles avec un sel. C'est le but du sel. Non, c'est pas facile de retrouver la source à partir d'un hash. Tiens, forces ce md5: b88b9df40e798bcfaf9882f7f95a6606 Promis, pas de caractères spéciaux et il est même pas trop long. On se revoit dans "très peu de temps". -------------------- MBP unibody 2.53GHz 15''
|
|
|
Nous sommes le : 7th June 2024 - 17:38 |