News Hacker-Attacke auf Kickstarter gemeldet

dMopp

Banned
Dabei seit
März 2007
Beiträge
9.688
Hmmmm, Passwörter sind entschlüsselbar. Immerhin verschlüsselt aber wieso nicht gleich richtig? Mehr wie MD5 wäre schon gut :/
 

Marco01_809

Lt. Commander
Dabei seit
Mai 2011
Beiträge
1.267

Daaron

Fleet Admiral
Dabei seit
Dez. 2011
Beiträge
13.487
Hmmmm, Passwörter sind entschlüsselbar. Immerhin verschlüsselt aber wieso nicht gleich richtig? Mehr wie MD5 wäre schon gut :/
Du kannst jeden Hash per Brute-Force knacken. Alles eine Frage des Aufwands. Und wie du siehst, es war eben kein md5.

Einzigartiges Salt + mehrfaches SHA1: Ist schon mehr als anständig. Ich sag dir, 99% der Webseiten mit Login haben nicht so ein robustes System. Da ist ein globaler Salt + 1x SHA1 evtl. drin.
Und wenn es auf bcrypt kommt... Stell den Cost Parameter auf einen angemessen hohen Wert und das wars. Der Aufwand hier ein Passwort zu entschlüssel ist enorm. Da muss die Beute schon wirklich lecker sein, damit das lohnt. Und man muss Geduld haben.
 
A

Amusens

Gast
es gibt extra GPU Farmen die man Mieten zum Entschüsseln von Passwörtern

naja wenn die PW "gesalzen" sind sollte des aber noch dauern :)
 

chris233

Lt. Commander
Dabei seit
Feb. 2009
Beiträge
1.667
komisch ist, dass Kickstarter gar nichts davon mitbekommen hat, sondern von "Strafverfolgungsbehörden" darauf hingewiesen wurde. Woher wussten die das denn?
 

octacore

Lieutenant
Dabei seit
Jan. 2008
Beiträge
810
@Chris233 Vermutung:
Anzeige bei einer Behörde durch einen Kunden von Kickstarter.
Heutigen Zeit gar nicht so unüblich um zb Versicherungsansprüche aufrecht zu erhalten.

Es muss nicht immer der böse Abhördienst sein ;)
 

Daaron

Fleet Admiral
Dabei seit
Dez. 2011
Beiträge
13.487
...und genau hier setzt bcrypt an: Durch seine Speicherstruktur hebelt es GPGPU recht erfolgreich aus. Deshalb war bcrypt auch um Faktor 1Mio schwerer als SHA1. Außerdem verschweigt der Artikel so einiges:
- Welcher Cost Parameter hatte bcrypt in dem Test? 1? 10? 20? Je höher der Cost-Parameter, desto langsamer das Hashing
- Was macht der mit seinem Cluster bei Mehrfach-Hashing per SHA1, wenn er nicht weiß, wie viele SHA1-Durchgänge genutzt wurden?
 

dflt

Lt. Commander
Dabei seit
Nov. 2011
Beiträge
1.394
Ich versteh immer dieses "Sicherheißtsmaßnahmen verstärkt" nicht.
Damit gibt das Unternehmen doch bereitwillig zu, im Vornherein nicht alles mögliche getan zu haben, um für die Sicherheit der Daten zu sorgen?

Gegen die "Sicherheitslücke" kann man nicht viel sagen - passiert halt.

Aber dann zu sagen "Ja wir haben unsere Sicherheitsmaßnahmen jetzt verstärkt" impliziert ja, dass man vorher noch einige Kapazitäten freigelassen hat, was man an Sicherheißtsmaßnahmen hätte ergreifen können - ohne wirklichen Grund.

Finde die Aussagen halt immer etwas.. unprofessionell. Vermutlich stimmen sie in 90% der Fälle nicht mal (ob das dann in den einzelnen Fällen gut oder schlecht ist bleibt jedem selbst überlassen).
 

hanschke

Lieutenant
Dabei seit
Apr. 2006
Beiträge
665
Mt.Gox ist auch betroffen. Hab heute eine Loginmail bekommen von denen obwohl ich das laut IP nicht gewesen sein kann. Direkt mal das Passwort geändert.
 

Daaron

Fleet Admiral
Dabei seit
Dez. 2011
Beiträge
13.487
Ich versteh immer dieses "Sicherheißtsmaßnahmen verstärkt" nicht.
Damit gibt das Unternehmen doch bereitwillig zu, im Vornherein nicht alles mögliche getan zu haben, um für die Sicherheit der Daten zu sorgen?
Warum? Es wäre schon eine Verbesserung der Sicherheit, wenn du die genutzte Lücke schließt.
Fakt ist: ultimative Sicherheit gibt es nicht. Oftmals bemerkst du Lücken und Schwachstellen eben erst dann, wenn es zu spät ist. Das kann man den Leuten nicht verübeln, vorausgesetzt die vorher eingesetzten Maßnahmen waren nicht all zu lächerlich.
 

eax1990

Commander
Dabei seit
Juli 2012
Beiträge
2.587
Oh man wenn ich sowas lese, dann bekomme ich nen Hass auf so Leute.

Kickstarter ist dazu da um etwas Gutes zu tun und wenn dann so Leute auftauchen die sich an solchen bereichern wollen, denen wünsche ich alles schlechte dieser Welt aufeinmal.

Ich hoffe die bekommen die Hacker am Po und vernichten deren komplette Online-Existenz und machen denen das Leben schwer.


Sorry für solche Worte, aber bei sowas kenn ich keine Gnade, wenn man Projekte/Produkte zerstören will, die für alle da sind.
 

dflt

Lt. Commander
Dabei seit
Nov. 2011
Beiträge
1.394
@Daaron: Es ist aber idR davon die Rede, dass die Sicherheitsmaßnahmen allgemein verstärkt würden und nicht nur die genutzte Sicherheitslücke abgedeckt wurde.

Dass Sicherheitslücken vorkommen usw find ich i.O., passiert und mach ich keinem einen Vorwurf. (wie oben gesagt)
 

Daaron

Fleet Admiral
Dabei seit
Dez. 2011
Beiträge
13.487
Verschärfte Sicherheit kann auch heiße, dass die eigenen Angestellten überprüft werden bzw. die Selektionskriterien gehärtet werden, um Insider-Jobs zu verhindern. Verstärkte Sicherheit kann genauso bedeuten, dass aggressivere oder komplexere Methoden zur Intrusion Detection eingesetzt werden.
 

kadney

Lt. Junior Grade
Dabei seit
Apr. 2010
Beiträge
458
Wenn man die Sicherheitsmaßnahmen angeblich so einfach innerhalb von ein paar Stunden verbessern kann, wieso macht man es dann nicht bevor die Server gehackt werden? Oder denkt man sich dann noch "die knackt sowieso keiner, das Geld sparen wir uns!" ? :rolleyes:
 

Daaron

Fleet Admiral
Dabei seit
Dez. 2011
Beiträge
13.487
Im Zweifel wurde, abgesehen vom Schließen der Lücke, gar ncihts gemacht.
Es klingt nur blöd wenn man sagt "Wir haben alles im Griff, aber geändert wird nichts." Eine Aussage wie "Wir haben die Sicherheit verstärkt." flößt Vertrauen ein. Die tun immerhin was.
 
A

Amusens

Gast
@eax1990
Glaubst du das Kriminelle ein Gewissen haben?
Da wo man Geld vermutet wird es sich geholt.
 

DarKRealm

Lt. Junior Grade
Dabei seit
Mai 2010
Beiträge
287
Schön langsam geht es mir auf die Socken andauernd die Kennwörter zu ändern, einmal SOE, dann Adobe jetzt Kickstarter.
Zum Glück habe ich auf jeder Seite ein anderes Kennwort, sonst würde ich nie fertig werden... :)

Gibt es kein Mittel gegen diese ganzen unterforderten Kids die nichts anderes zu tun haben als uns mit irgendwelchen Hacks zu nerven.
 

Daaron

Fleet Admiral
Dabei seit
Dez. 2011
Beiträge
13.487
Das sind keine unterforderten Kids. Das sind hochspezialisierte Banden, die mit den erbeuteten Daten verdammt gut leben können. Da kommt schnell der Gegenwert eines hübschen Autos zusammen.
 
Top