mboost-dp1

unknown

Ny orm går efter svage passwords

- Via The Register -

En ny internet-orm går efter fildelinger med svage kodeord som den knækker, hvorefter den lægger en trojan samt en kopi af sig selv i startup folderen. Den forsøger ligeledes at skanne lokalnettet for den ramte maskine, for at finde yderligere ofre.





Gå til bund
Gravatar #1 - sKIDROw
11. mar. 2003 15:58
Tjahh
Så kan folk lære det.

Det her er RIGTIGE passwords:

wei6voXiewaigig
Jaiva4gaxahkoez
Pe0chapheupeeze
zohshiMaiqu2tie
Davee8kezibeilu

Eller for de paranoide:

!3.yKrgK$,TeQhc
Az/sj_/%6J%)RQI
$D
Gravatar #2 - SKPFræser
11. mar. 2003 16:00
jammen øh den kan vel kun smitte maskiner som har hele c: delt, ikke?
Gravatar #3 - Kuruderu
11. mar. 2003 16:01
#2

Nej det er nok at du bruger SMB samt har et "nemt" password

#1
LOL da
Gravatar #4 - SKPFræser
11. mar. 2003 16:03
#3 sygt nok, så den ka altså skrive i mapper er ikker er delt?
Gravatar #5 - funkymonkey
11. mar. 2003 16:11
#1Men hvor mange af dem kan du huske?min gamle skole brugte et system med passwords på 8 bogstaver, 4 vokaler og 4 konsonanter i et 4-stavelsesord.Dejligt nemt at huske + "ordet" giver ingen mening, så det ikke kan bruteforces udfra en ordbog
Gravatar #6 - Mort
11. mar. 2003 16:14
#3:

Nej det kræver at du har delt det drev dit OS ligger på (Hvilket for det meste er dit C drev). Ormen er til Win2000 og WinXP, hvilket betyder at den kan gå efter de administrative shares som automatisk bliver delt (For eksempel roden af dit C drev) hvis det da ikke er slået fra.
Gravatar #7 - cybermike
11. mar. 2003 16:16
Hvad mange ikke taenker over er at root(c:,d:,e: osv) automatisk er del som \boxc$ (eller $c, kan sku ik lige huske) og det er helt sikkert det den gaar efter.

Win98,95 og me er desuden ligesaa lette at vade ind i uden password, uberhauptet.

Folk maa snart laere noget med lidt sikkerhed, det er fucking provo at unskilled admins smider boxe op som bliver ownet og brugt som springbraet til andre systemer.
Gravatar #8 - Mort
11. mar. 2003 16:20
Og så lige et link til dem som ikke kan lide at have administrative shares slået til:
http://www.winguides.com/registry/display.php/4
Gravatar #9 - Acro
11. mar. 2003 16:40
#1:Din adgangskoder har (synes jeg) en fejl - de benytter næsten udelukkende "venstrehåndstaster". Når jeg vælger en god adgangskode så bliver den genereret så begge sider bliver brugt ligemeget, gerne højre først - så ventre, så kan man skrive det hurtigere, og der bliver langt flere kombinationer*.

*Forstået på den måde at hvis du kun bruger en side er det væsenligt nemmere at spore sig ind på koden, hvis jeg overværer en indtastning så finder jeg hurtigt ud af hvilket område man bruger, og så er der færre muligheder.

#5:Det er ikke svært, lær dig selv en 8 cifret kode - og når du kan den udenad, så lær dig endnu en - læg dem sammen, så er din nye kode på 16 cifre, og sKIDROws er kun på 15.

Hvis man ikke prøver, så lærer man det hvertfald aldrig - jeg vil vove den påstand at der ikke er nogen der har brug for koder som de 5 sidste sKIDROw fremviste, men jeg anbefaler ingen at have en kode på under 8 tegn - og den behøver ikke at kunne udtales. Du kan sagtens indkredse et bruteforce hvis du ved at ordet der er valgt kan udtales.
Gravatar #10 - xect
11. mar. 2003 16:46
Tjah, ville dog tro at min kode er nogenlunde svær at bryde. Den kunne selvfølgelig brtueforces, men 12 bogstaver, et tilfældigt af dem stort, er shjv ikke sådan lige til at bryde. Tror egentlig det med tilfældige tegn er lidt overflødigt, correct me if I'm wrong.
Gravatar #11 - sKIDROw
11. mar. 2003 17:01
#5

Practice makes perfect.. :)
Selv 65536bit kryptering er ubrugeligt, hvis ikke man vælger ORDENTLIGE passwords.. ;)
Dårlige passwords er en sikkerhedsbrist!.. ;)

@ Acro

Jeg generere passwords med pwgen på min gentoobox.
De fem første er standard med 15 cifre.
De næste er med -s for secure.
En indstilling jeg plejer at kalde paranoid.. hæhæ
Men den har mange forskellige indstillingsmuligheder.. :)
Gravatar #12 - west
11. mar. 2003 17:06
sKIDROw - Den dag du sidder med en fucked maskine der har reverted til english locale, og dit danske tastatur .. er du FUCKED med dine secure passwds :)

Btw, er det muligt at købe engelske (logitech) keyb's her i .dk?
Gravatar #13 - Bent_Over
11. mar. 2003 17:43
#9

"Din adgangskoder har (synes jeg) en fejl - de benytter næsten udelukkende "venstrehåndstaster". Når jeg vælger en god adgangskode så bliver den genereret så begge sider bliver brugt ligemeget, gerne højre først - så ventre, så kan man skrive det hurtigere, og der bliver langt flere kombinationer*.

*Forstået på den måde at hvis du kun bruger en side er det væsenligt nemmere at spore sig ind på koden, hvis jeg overværer en indtastning så finder jeg hurtigt ud af hvilket område man bruger, og så er der færre muligheder."

Det gør det da mindre sikkert. Hvis du ved, at hvert andet tegn ligger i en bestemt side, så er du da hjulpet mere på vej end, at man ved, at nogle tegn ligger i en bestemt side, og nogle tegn ligger i den anden side.

Derudover finder jeg det kritisabelt at man har et stykke software til at generere en kode. Kan man finde den algoritme programmet benytter, kan mulighederne indskrænkes væsentligt.

-- Bent!
Gravatar #14 - sguft
11. mar. 2003 17:48
#1: isåfald er jeg paranoid :)
Gravatar #15 - west
11. mar. 2003 17:49
#13

> Kan man finde den algoritme programmet benytter, kan
> mulighederne indskrænkes væsentligt.

I think not :)
Algoritme ..? Det er da forhåbentligt random() eller noget i den familie ...
Gravatar #16 - angelenglen
11. mar. 2003 17:58
#13 nopez!
Der så vidt jeg ved ingen altorythmn, men tilfældigt.

Hvis det var ud fra et system var den jo ikke meget værd :)
Gravatar #17 - mikbund
11. mar. 2003 18:12
Eller også skulle programmerne blot ændres således der altid er delays på logins/sessions. fx. 3sec for at logge ind til alt. På den måde sikres at selv enkle password bliver en langsommelig affære at bryde.

Lange passwords samt at de skal ændres tit er ofte en større risiko da brugeren ender med at ændre koden til ting på sit skrivebord. Kuglepen, telefon, skrivebord etc.

[ovenstående gælder naturligvis kun for netværk og ikke passwordbeskyttede filer]
Gravatar #18 - Kuruderu
11. mar. 2003 18:32
Nogen herinde der kan fortælle mig sådan ca. hvor lang tid det ville tage at knække en 4096 bits 3xDes kryptering hvor password er 26 tegn langt. det er kun alphanummeriske taster der gælder.

tiden skal være for den gennemsnitlige desktop pc nu om dage dvs 1.5 - 3 Ghz cpu'er med 128 - 512 KB cache.

bare et lille eksperiment.
Gravatar #19 - Bent_Over
11. mar. 2003 18:36
#15 & #16

Kommer an på hvad program det er. Jeg prøvede engang et der hed PassGen (så vidt jeg husker). Hvis jeg f.eks. bad det om, at generere 10 passwords af x antal tegn, så kunne jeg direkte se "gengangere" i flere af kodeordene. Derfor stoler jeg ikke på den slags.

Selvom det er tilfældigt, så vil det i princippet kunne generere kodeord udelukkende bestående af tal eller bogstaver, og derfor skal man selv sidde og validere de passwords den spytter ud - efter min mening spild af tid.

(http://la-samhna.de/library/passwords.html)

-- Bent!
Gravatar #20 - FISKER_Q
11. mar. 2003 18:38
#1 ved et normalt bruteforce angreb tager det 20654519420638147365738027435312e+43(altså 20654519420638147365738027435312 med 43 cifre bagefter) årtusinder at bryde min kode, dictionary skulle være ret speciel for at virke på min, og den er ikke til at scannes, har hvertfald ikke se noget der kan endnu.
Gravatar #21 - Tomcat
11. mar. 2003 19:11
Fisker_Q#
Ja, lige ind til der kommer endnu en ny og revolutionerende computer. Så bliver det store tal indskrænket til 5 år.Jeg har en meget bedre ide.Vi lægger alle nørder i håndjern (Inklusive mig selv), også går vi tilbage til gammel manuelt arbejde uden computere ;)
Så behøves vi ikke at tænke mere på algoritmer og årtusinder.
Gravatar #22 - sKIDROw
11. mar. 2003 19:38
#12 west

"Den dag du sidder med en fucked maskine der har reverted til english locale, og dit danske tastatur .. er du FUCKED med dine secure passwds :)"
Nu bruger jeg personligt kun de 'alm' passwords.. ;)Altså nogle i stil med ypyGimimiJ.. ;)De andre er kune for folk der er endnu mere paranoide end mig.. :)Og så kan jeg ikke få øje på relevansen i dit eksempel, min Gentoo cd kan da sagtens klare alle de tegnsæt jeg skal bruge.. ;)
"Btw, er det muligt at købe engelske (logitech) keyb's her i .dk?"
Muligvis.Men ikke billigt.. ;)
Gravatar #23 - hundeboll
11. mar. 2003 19:58
hmm.. sKIDROw - 6 smileys i ét indlæg... Imponerende!
Gravatar #24 - Kuruderu
11. mar. 2003 20:14

#20
hvordan har du lige testet det? og varierer det ikke voldsomt i forhold til cpu kraft etc? det er min opfattelse at det ville tage længere på en 100 Mhz cpu kontra en 3 Ghz cpu.
Gravatar #25 - sKIDROw
11. mar. 2003 20:15
#23 Hunn

Den første var ikke min.. ;P
Gravatar #26 - Deternal
11. mar. 2003 20:55
hmmm jeg har et program der fixer random passwords men hvor man kan vælge om det skal være tilfældigt char, konsonat, vokal, caps, non-caps, tal.

Det eksempel:
RanDom90

Eller:
s42C0re

Det virker ganske udemærket :P
Gravatar #27 - funkymonkey
11. mar. 2003 21:28
ellers hvis man har svært ved at huske sit pass, så tag et langt ord du kan huske og skriv det i über-leetspeak :)
Gravatar #28 - LABAN
11. mar. 2003 21:35
Men husk at det bedste og mest brugte password er Password (derfor det bedste)
Gravatar #29 - sKIDROw
11. mar. 2003 21:43
#28 LABAN

Følger man din logik så er det sikreste administrator password tomt, for det er jo sådan 98% af alle Windows 2000/XP brugere beskytter deres computer.. ;)
Gravatar #30 - west
11. mar. 2003 21:49
@ funkymonkey - NEJ !!!

Dictionary attackers prøver oxo at l33t1fy ord ...
(fandt jeg ud af idag, vist på /. .. øv .. nu skal jeg oxo ud og ha nye passwds :P )
Gravatar #31 - FISKER_Q
11. mar. 2003 22:21
#21 og #24, nej siden den kun tillader 3 passwords i timen. Og så har jeg regnet lidt forkert siden jeg har antaget han kan antallet af tegn i.
Forhåbenligt regnet rigtigt:
20814631974286505097255377364859e+43 årtusinder for at bryde den.
eller 20814631974286505097255377364859*10^42 årtusinder.
Dette er så vidt jeg husker uden caps så ingen store ord, så hvis det skulle med i har vi nok noget der hedder 150 forskellige tegn og så kan i selv regne ud derfra.
Gravatar #32 - aners
11. mar. 2003 22:36
så er det godt man ikke har nogen delinger og en freebsd som router og firewall :)
Gravatar #33 - SlipperyPete
11. mar. 2003 23:52
#12

Du kan koebe alle Logitech Keyboards hos www.logitech.com .
Har selv lige koebt et "us layout".
Gravatar #34 - sKIDROw
12. mar. 2003 09:10
Tjahh
Jeg har også en Gentoo pingvin mellem mit lan, og det store stygge internet.. ;)
Og et forkert password på Linux, og man kan få lov at vente nogle sekunder før man kan forsøge igen.. ;)
Har fokuseret min sikring på Linux serveren, og gjort nul og nix på WinXP spanden.
Dem der kan komme igennem min iptables, vil alligevel bitchslappe min Windows alligevel.. :D
Gravatar #35 - seahawk
12. mar. 2003 10:12
Husk man altid går efter det svageste led - dette gælder specielt nu i snakker om hvor let det er at "lure" koden hvis man fysisk kan se folk taste!

HVIS man fysisk har adgang til at se folk taste, vil det med stor sandsynlighed også være muligt at få installeret en keyboardsniffer(Lille dims der sættes på keyboardstikket, som så sættes i computeren), og med sådan en er jeres dødspasswords ikke sikrere end andre...

Og hvornår har i sidst kikket efter om der sidder en keyboard logger nede bag jeres maskine? ;)

Personligt synes jeg man bare skal have et nogenlunde fornuftigt forhold til sine passwords - det vil sig for at sørege for at det i det mindste ikke kan brydes med en ordliste - som tommelfinger regel tager jeg et velkendt ord og smider et tilfældigt 2 cifret tal(Som regel minuttallet det øjeblik jeg genererer det) ind et naturligt sted! :)

Intet er sikkert - det er kun et spørgsmål om at du er sikrere end 90% af alle andre - så er der ingen der gider bøvlet med at hacke dig! ;o)
Gravatar #36 - Morris
12. mar. 2003 17:41
Lol mit tastatur falder ud konstant, for jeg brugte 1½ time for kort tid på mit mod... Så der sidder INGEN sniffer på mit stik ;)
Gravatar #37 - lean
12. mar. 2003 18:47
#35, #36
Man kan jo også sætte keyboard loggere inden i tastaturet. De fleste tastaturer kan åbnes uden det kan ses.
Personligt bruger jeg save tape. Dvs jeg har limet alle kanter sammen en special form for plast, som jeg har stemplet med et unikt stempel.
Det samme har jeg gjort på computeren. Jeg har bios'es låst og kører med krypteret disk.
Når jeg taster password ind, gør jeg det med en farvekode og bogstaver.
Dvs jeg har 26 bogstaver som alle er i tilfældig farve. Jeg taster så de bogstaver der passer til min farve.
Det tager en smule tid længere, men tilgengæld kan folk ikke så nemt se mit password ved at være fysisk til stede når jeg taster dem - eller med et skjult kamera.
Farverne er dog indelt i fem kategorier, så det er ikke så svært at spotte den rigtige farve.
Well, hvad gør man ikke for at være anonym på freenet.
Gravatar #38 - tipsen
12. mar. 2003 22:45
Havde allerede i går aftes fornøjelsen af ovennævnte orm - den strøg direkte forbi antivirus-program (som kun var opdateret dagen inden) og (software) firewall...

Det tog endda lidt tid at få den ryddet af vejen - specielt fordi beskrivelserne hos eks. Symantec, McAfee og Sophos ikke er helt præcise! Hvis andre får problemer, vil jeg anbefale at kigge nærmere på følgende analyse af ormen.

Husk, hvis I får den, at koble jeres maskine af nettet øjeblikkeligt, da den ellers står og forsøger at inficere andre maskiner.

Mvh

tipsen
Gravatar #39 - Chewy
12. mar. 2003 23:22
#37 - Lean

Så kan man da vist snakke om at være paranoid...

Hvad er det lige præcist du sidder og roder med siden at du er så interesant at hacke/cracke??
Eller må du ikke sige det ;-)
Gravatar #40 - lean
13. mar. 2003 10:15
Det skal også lige siges at jeg har et animeret billede, som ligger krypteret i kernen (bliver dekrypteret sammen med harddisken, og ligger herefter i hukommelsen).
Denne animation bliver vist hver gang jeg skal skrive password, så jeg er sikker på at det er kernen der spørger.

Fordelen er at man ikke så nemt kan genskabe denne animation (det er nemmere med et billede) og derved lave en fake login screen.
Jeg har også en pedal under bordet, så computeren går på pauseskærm når jeg løfter foden (og skal på toillettet o. lign.).
Desuden har jeg en stor rød knap til højre for musen, som slukker for computeren.

Paranoid?
Jeg arbejder godt nok med noget arbejde under NDA for Rockwool, men det er nu mest mine lækre lækre opskrifter for skumheste jeg er bange for at folk skal finde.
(Og så selvfølgelig mine freenet signaturer, som ville bevise at jeg er stedsøster til Al Qeida, står bag 1. April og administrerer en børneporno ring for Mangabørn på under 27 måneder ;)
Gravatar #41 - mhanse94
13. mar. 2003 13:57
Jeg fik engang et tip til en teknik i hvordan man bedre kan lave komplicerede passwords der er nemme at huske.
Idéen går simpelthen ud på at man tager en forholdsvis lang sætning som man kan huske, og udtrækker forbogstaverne til hvert ord til sit password.
Gravatar #42 - lean
13. mar. 2003 16:55
Jeg går tur med hunden ned af strøget, hen til bageriet på Stæregade og snakker med bagermester Poulsens steddatter Katerina, som ikke har andet end mel mellem tænderne når hun kigger på stjernene i solskinsvejr i det regnfulde Bethlehem.


Gæt hvad mit password er (jaja, lidt paranoia har aldrig skadet nogen).
Jeg glemmer dog altid om det er en solskinsdag i det regnfulde Bethlehem eller en regnvejrsdag i det solfulde Bethlehem.

Mere paranoia:
BTW, skal det lige siges at min skærm er en med meget lav synlig vinkel. Ligesom gamle fladskærme, dog er det et problem at skærmene hele tiden bliver 'bedre', det sætter prisen i vejret når man vil have dårligere specs på grund af udbud efterspørgsel (jeg tror jeg er den eneste der har brudt en pengeautomat op, uden at stjæle penge).

Når jeg sover optager jeg alle lyde, så jeg ikke kommer til at ytre mit password når jeg ikke er ved bevidsthed.
Jeg har lavet et filter som kan se forskel på tale og snorken. Når jeg taler i søvne bliver jeg så vækket af en alarm.
Det fungerer meget godt, bortset fra når man bliver vækket og finder ud af at man har sagt.
'Ååååh ja, Margrethe tænd din smøg - tænd den så.'
Min psykolog har dog fortalt mig at det er helt normalt for de fleste danskere og flertallet af svenskere fra det vestlige skåne at have erotiske royale drømme.
Gravatar #43 - MightyPalm
14. mar. 2003 17:08
#29

Det med tomt password er ikke nødvendigvis dumt. Hvis man ikke skal kunne komme til den udefra med f.eks. admin-konti alligevel, kan man sætte passwordet blankt og så sætte den til ikke at acceptere tomme passwords fra netværk.
Dog ikke noget jeg praktiserer, da der sikkert er en exploit omkring det, men har set det hos flere jeg skulle mene havde godt styr på sikkerheden..
Gravatar #44 - Simm
14. mar. 2003 17:36
#40: NDA? NonDisclosedAgreement? :D
Gravatar #45 - The-Lone-Gunman
14. mar. 2003 23:20
ang. gode passwords, så kommer jeg til at tænke på brugeren APG... ;-)

Mit password er "bjarne", er det godt nok?
Det er så nemt at huske, det hedder jeg nemlig...
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login