mboost-dp1

Seneste password læk


Gå til bund
Gravatar #1 - kasperd
12. jul. 2012 15:54
Her er top 10 over de mest brugte passwords fra den seneste læk.

123456
password
welcome
ninja
abc123
123456789
12345678
sunshine
princess
qwerty

1% af brugerne brugte et af ovenstående 10 passords.

Jeg fandt en liste af email adresser og passwords i klartekst, som angiveligt stammer fra Yahoo. Jeg fandt ikke mit eget Yahoo login på listen.

Jeg lavede en alternativ liste af den lækkede liste, hvor alle passwords og email adresser er saltet og hashet. På den måde har jeg en liste der kan distribueres til personer som gerne vil undersøge om deres egen email adresse eller password er på listen, uden at den samtidigt kan bruges til at angribe servicen.

For dem som er interesseret har jeg lavet en torrent af filen: http://kasperd.net/~kasperd/yahoo-disclosure.torre...

Den er lavet med Burnbit som jeg synes er nem at bruge, men desværre virker den kun med de nyeste bittorrent klienter.
Gravatar #2 - Zeales
12. jul. 2012 16:15
Magnet link, tak.

Edit: Ah nevermind. Så ikke du havde saltet og hashet dem.
Gravatar #3 - kasperd
12. jul. 2012 16:27
Zeales (2) skrev:
Magnet link, tak.
Jeg tror ikke jeg har noget software der kan lave sådan et link, "man -k magnet" gav i hvert fald ikke noget brugbart:
mt (1) - control magnetic tape drive operation
Gravatar #4 - PHP-Ekspert Thoroughbreed
12. jul. 2012 17:29
Sunshine?... PRINCESS?!!!?!!111!!1
Gravatar #5 - Qw_freak
12. jul. 2012 20:57
Hvordan tjekker jeg for mit eget yahoo login?

på en windows maskine?
Gravatar #6 - kasperd
12. jul. 2012 22:05
Qw_freak (5) skrev:
Hvordan tjekker jeg for mit eget yahoo login?

på en windows maskine?
Jeg gætter på den kode jeg har skrevet kan køre under cygwin, men jeg har dog kun testet det på Linux.
Gravatar #7 - Qw_freak
12. jul. 2012 22:16
kasperd (6) skrev:
Qw_freak (5) skrev:
Hvordan tjekker jeg for mit eget yahoo login?

på en windows maskine?
Jeg gætter på den kode jeg har skrevet kan køre under cygwin, men jeg har dog kun testet det på Linux.


det kan den helt sikkert, men håbede på der var en lettere vej, må vente til imorgen når jeg skal på arb...
Gravatar #8 - Qw_freak
13. jul. 2012 06:59
Tak for det kasper, fand min kones e-mail på listen, men ikke min egen... :)

Nu er koderne ændret...
Gravatar #9 - Qw_freak
13. jul. 2012 07:56
Ja, min var der også,...

Dit script er lidt svært at bruge, da man ikke kan se sit input til variablen PASS...

så jeg har bare udskiftet variablen med de strenge jeg har villet søge efter... :)
Gravatar #10 - kasperd
13. jul. 2012 08:38
Qw_freak (9) skrev:
Dit script er lidt svært at bruge, da man ikke kan se sit input til variablen PASS...
Det er en feature, man kan jo også indtaste et password ved prompten. Scriptet finder aldrig ud af om det du skrev var email eller password.

Men hvis du gerne vil kunne se hvad der indtastes, så fjern -s option fra read kommandoen. Så kommer den linie til at være:

read -rp 'Password or email: ' PASS
Gravatar #11 - eliasr
13. jul. 2012 09:04
Æv Kasperd
Nu fik du jo mig til at boote min virtuelle maskine som ellers var bannet hele sommerferien.
Gravatar #12 - Qw_freak
13. jul. 2012 09:22
EB har en lille artikel om det... '

http://ekstrabladet.dk/kup/elektronik/article17914...
Gravatar #13 - fjols
13. jul. 2012 09:26
http://ekstrabladet.dk/kup/elektronik/article1791468.ece skrev:
Hos Yahoo bekræfter man, at man har fået kompromitteret de mange passwords. Alligevel mener man ikke, at der er problemer med sikkerheden.


Jeg håber det er en fejlcitering...
Gravatar #14 - Qw_freak
13. jul. 2012 09:51
Enten virker dit search program og der er en kode der er: bollekanindfdsdsdfsdfs

eller også er min ændring af dit script forkert:

#!/bin/bash

if ! [ -e search ]
then
make search
if ! [ -e search ]
then
echo "Cannot compile code" 1>&2
exit 1
fi
fi

if ! [ -r yahoo-disclosure-hashed.txt ]
then
echo "yahoo-disclosure-hashed.txt is missing" 1>&2
exit 1
fi

#read -rsp 'Password or email: ' PASS
echo Searching...

if ./search "bollekanindfdsdsdfsdfs" < yahoo-disclosure-hashed.txt
echo "searching for: bollekanindfdsdsdfsdfs"
then
echo "The password or email address you entered was FOUND in the leaked list."
else
echo "The password or email address you entered was NOT in the leakted list."
fi
Gravatar #15 - kasperd
13. jul. 2012 10:16
Qw_freak (14) skrev:
eller også er min ændring af dit script forkert
Din ændring er forkert. Den echo kommando du har sat ind mellem if og then giver forkert resultat.

Jeg var ikke engang klar over at det du gjorde der var syntaktisk korrekt, men der er det åbenbart. Det må jeg huske til en anden gang, måske finder jeg en dag en anvendelse for den lidt usædvanlige konstruktion du lavede.

Den normale struktur af if then else i et bash script er:
if kommando1
then
kommando2
else
kommando3
fi


Afhængigt af resultatet af kommando1 afvikles enten kommando2 eller kommando3. Men hver af de tre kommandoer kan altså erstattes af flere kommandoer adskilt af linieskift eller semikolon.

At have flere kommandoer i then eller else delen er ganske normalt. At have flere kommandoer i betingelsen er ikke normalt. Din ændring gjorde at der var to kommandoer i betingelsen. I det tilfælde er det den sidste af kommandoerne, som afgør om det er then eller else delen der afvikles.

Det vil sige at med din modifikation vil den stadig søge listen igennem, men den vil ignorere resultatet af den søgning. I stedet er det resultatet af echo kommandoen som bruges til at afgøre om det er then eller else delen der afvikles. Og da echo kommandoen nok altid vil gå godt er det altid then delen, der afvikles.
Gravatar #16 - kasperd
13. jul. 2012 11:06
Det var ikke ret længe vi kunne kalde Yahoos læk for det seneste.

http://www.zdnet.com/android-forums-hacked-1-milli...
Gravatar #17 - Cloud02
13. jul. 2012 12:53
Nvidia hacked

http://www.nvidia.com/content/forums/index.html

De havde i det mindste hashed passwords med random salt.
Gravatar #18 - Qw_freak
13. jul. 2012 12:59
Cloud02 (17) skrev:
Nvidia hacked

http://www.nvidia.com/content/forums/index.html

De havde i det mindste hashed passwords med random salt.


dog har de ikke fortalt hvilken kryptering passwords er krypteret med...

Gravatar #19 - Manofsciencemanoffaith
13. jul. 2012 13:28
Derfor: Brug aldrig same password mere end 1 sted, og brug en password manager, f.eks. KeePass der findes til stort set alle platforme.
Gravatar #20 - kasperd
13. jul. 2012 13:39
fjols (13) skrev:
Jeg håber det er en fejlcitering...
Lidt mere information her:
http://www.zdnet.com/yahoo-confirms-400000-account...
http://techcrunch.com/2012/07/12/yahoo-confirms-apologizes-for-the-email-hack-says-still-fixing-plus-check-if-you-were-impacted-non-yahoo-accounts-apply/

Hvis det er den udmelding som Ekstra Bladet har taget udgangspunkt i, så er den blevet forkortet så meget, at man godt kan kalde det for en fejlcitering.

Qw_freak (18) skrev:
dog har de ikke fortalt hvilken kryptering passwords er krypteret med...
Man krypterer ikke passwords til den slags, man hasher dem, eller gør noget andet med dem. En kryptering kan godt indgå, men i så fald bruger man passwordet som nøgle, ikke som data.

Bortset fra det bør man selvfølgelig være åben om den algoritme man bruger. Et website der gerne ville demonstrere at de har tænkt sig om kunne vise den streng som gemmes i databasen, når man ændrer sit password.

Nu vi er i gang med diskussionen, så kender jeg en dansk serviceudbyder, som gemmer passwords i klartekst.
Gravatar #21 - kasperd
15. jul. 2012 19:50
kasperd (1) skrev:
For dem som er interesseret har jeg lavet en torrent af filen
Jeg har observeret noget trafik, som jeg synes er mærkeligt. Jeg har en enkelt bittorrent klient kørende for at seede. Det seed har ikke uploadet ret meget, det ser ud som om det meste bliver hentet fra det ene webseed jeg startede med.

Men at bittorrent klienten ikke uploader ret meget betyder dog ikke at den ikke har trafik. Den har en ustandselig kommunikation med et stort antal østeuropæiske IP adresser. Og hovedparten af de adresser den kommunikerer med kører Teredo (IPv6 over UDPv4 tunnel).

Jeg dumpede trafikken i tre minutter og så over 300 forskellige IP adresser.

Hvad kan være årsagen til at klienten kommunikerer med så mange IP adresser, hvis der ikke er nogen af dem som rent faktisk deltager i den samme torrent?

Klienten er Transmission og kører på Ubuntu 12.04.
Gravatar #22 - arne_v
15. jul. 2012 21:44
Cloud02 (17) skrev:
De havde i det mindste hashed passwords med random salt.


Qw_freak (18) skrev:
dog har de ikke fortalt hvilken kryptering passwords er krypteret med...


Når de bruger random salt så bruger de sikkert også en OK hash algoritme.

Men uanset random salt og god hash algoritme, så er svage passwords stadig nemme at bryde via et dictionary attack.

antal brugere x antal kendte ord x tid for hash

er ikke stor nok.
Gravatar #23 - kasperd
15. jul. 2012 21:57
Det er chokerende mange sites vi har hørt om lækkede passwords for denne uge. Hvor mange var det nu lige præcist vi nåede op på? Var det omkring fire denne uge?
Gravatar #24 - arne_v
15. jul. 2012 22:02
#23

Jeg tror at der et nogenlunde konstant antal om ugen.

Men at medie interessen har været større de sidste uger, så vi bare hører mere om det.
Gravatar #25 - fjols
16. jul. 2012 05:13
kasperd (21) skrev:
Hvad kan være årsagen til at klienten kommunikerer med så mange IP adresser, hvis der ikke er nogen af dem som rent faktisk deltager i den samme torrent?


Kan det ikke være noget DHT eller Peer Exchange?
Gravatar #26 - kasperd
16. jul. 2012 09:22
fjols (25) skrev:
Kan det ikke være noget DHT eller Peer Exchange?
Bruges det ikke kun til koordinering mellem peers der downloader samme fil? Hverken den bittorrent klient jeg har kørende eller den webserver som det oprindelige webseed ligger på har uploadet noget i det tidsinterval. Så jeg kan ganske enkelt ikke tro på at alle de tusindvis af computere er i gang med at downloade samme torrent.
Gravatar #27 - kasperd
17. jul. 2012 05:50
fjols (25) skrev:
Kan det ikke være noget DHT eller Peer Exchange?
Her er et hexdump af UDP payload fra en tilfældig pakke
0000   64 31 3a 61 64 32 3a 69 64 32 30 3a 00 f9 a2 71  d1:ad2:id20:...q
0010   45 55 30 d7 9d 5c 6e cb 0e b5 59 35 0a 32 78 91  EU0..\n...Y5.2x.
0020   36 3a 74 61 72 67 65 74 32 30 3a f9 a6 0a 9a ca  6:target20:.....
0030   a7 2a a4 38 51 d2 df f9 41 75 c4 2f 38 ca 38 34  .*.8Q...Au./8.84
0040   3a 77 61 6e 74 6c 32 3a 6e 36 65 65 31 3a 71 39  :wantl2:n6ee1:q9
0050   3a 66 69 6e 64 5f 6e 6f 64 65 31 3a 74 32 3a fd  :find_node1:t2:.
0060   3e 31 3a 76 34 3a 5a 6f 00 06 31 3a 79 31 3a 71  >1:v4:Zo..1:y1:q
0070   65                                               e
Det er åbenbart DHT. Men hvilken torrent er det relateret til?
Gravatar #28 - fjols
17. jul. 2012 12:43
Hov, jeg fik ikke svaret her.
Jeg er ikke så meget inde i protokollen, derfor gav jeg links til den, men så vidt jeg har forstået prøver den bare at udveksle peers med dem den kommer i nærheden af via UDP, så derfor får du en masse forespørgsler fra andre klienter.

Jeg håber det gav mening.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login