ITT vannak a logok, és egyébként aki itt irogat jester, az valszeg az a jester, aki annyira meg akarja találni a lulzsec weboldalát, és nemkedveli õket :)
Lényeg a lényeg, komolyabb helyeken MD5 és SHA1 már nem elfogadható, az elsõ audit beleköt.
elméletileg 2^128 különbözõ MD5 hash van - nehéz két olyan különbözõ, értelmes szöveget találni, amelyiknek azonos lesz az eredménye.
Viszont értelmetleneket nem annyira "nehéz", és erre épít a szivárványtáblás törés (és ezektõl véd a sózás)
Természetesen lehet több különbözõ karaktersorozatnak is ugyanaz a hash-e, statisztikailag kijön ugyebár, azonban nem feltétlen van így minden hash-re, meg nem is mindegyik eredeti szerepel az adatbázisukban.
ez érdekes... egy hash-hez nem több megoldás tartozik? Gondolok arra, hogy maga a hash mindig azonos hosszú, viszont más-más szöveget kódolhat (ez is feltûnõen hexa :) )
"Az hogy az ember megtalálja, hogy melyik oldalon mi a kiskapu ahoz kell az ész nem csak a feltöréshez..."
Ahhoz is csak türelem kell, nem ész. Kipróbálod az összes ismert módszert, aztán ha bejön valamelyik, akkor örülsz, mint majom a farkának. Ha meg nem jön be semmi, akkor nem jelented be, hogy próbálkoztál.
amúgy, ha megnézitek EZT az oldalt, elég sok adatot szedtek ki különbözõ oldalakról...
Az hogy az ember megtalálja, hogy melyik oldalon mi a kiskapu ahoz kell az ész nem csak a feltöréshez...
Egyébként poén miatt csinálják, azon röhögtek a legjobban, mikor valamelyik neves amcsi újság címlapján, ott volt a twitter címük, és egy macska ami repül az ûrben (nyan cat) Majd kikeresem az irclogbol a képet...
Amúgy a ddos azóta számít hackelésnek, mióta létre kell hozzá hozniuk egy botnetet...
Rejtett poén a képhez: A széf üres, egy összekevert, 5x5-ös rubik-kockát leszámítva. :P
Jelszót eleve nem szabad tárolni, csakis a hash-ét jó kis salt-tal (ma már illik SHA512, vagy méginkább SHA2048-as hash-t tárolni). Aki jelszót bármilyen plain, vagy visszafejthetõ formában tárol az máris bukta a dolgot. Sajnos a Windows Server 2008 is kénytelen tárolni a jelszavakat bizonyos elmebeteg password policy-k kiszoglálásának az érdekében (az sem épelméjû biztonsági szakember, aki ilyeneket kitalál), így faszányosan törhetõ.
Konkrét adatokat felesleges titkosítani (pin kódot érdemes, esetleg nevet, kártyaszámot stb.), már nem nyersz vele sokat (hiszen kódban fejted vissza valahol, a kulcsokat meg fixen tárolod ugye, vagy esetleg egy külsõ kulcs/certificate menedzselõ szerveren, akkor talán van is értelme máris), az SQL kapcsolatot szintúgy (hiszen már saját szerveren belül vagyunk) nem érdemes titkosra venni, mert murva lassú.
Uhh, valahol olvastam róla egy jó kis írást, olyanról aki régen benne volt a szakmában. Tömören annyi volt, hogy sokan a messisnak és megváltónak tartják õket, aki megtöri a nagy vállalatokat, etc, de igazából csak pár tizenéves/huszonéves script kiddie aki unatkozik és csupán a saját szórakoztatására csinálja a dolgokat.
Az, hogy feltörték pl egy FBI siteot, csak az FBI szó miatt nagy dolog, igazából ugyanolyan oldal az is, mint pl az sg.hu,index.hu(amit szintén feltörtek, csak éppen direkt, kérésre egy hacker cég). Belsõ adatokhoz nem fértek hozzá (pl mint a wikileaks, ami meg nem is hackel, csak kiszivárogtat). A Sony feltörése is nehézségileg nem magas egyáltalán, 1 éve elavult rendszert használtak, beírják a Googlebe a verzió számot és kidob egy rakás bugot, ami ha friss lenne a rendszer már nem mûködne.
Ez még bankoknál is elõfordul. Az SQL injection ellen nem is olyan 1xû védekezni, mint azt sokan hiszik (sõt). Nagyon sok szinten végig kell gondolni és elõre felkészülni. Vannak errõl nagyon jó tutorialok, de néha még azok is csak a felszínt karcolgatják.
Kevin Mitnick a világ leghíresebb "sztárhekkere" is _tippelgette_, meg kicsalta a júzerektõl a jelszavakat, közben meg egy láma volt...
A legviccesebb pedig az, hogy SQL injection-nel jutottak hozzá az adatokhoz. Az már más kérdés, hogy szerintem eléggé gáz, hogy egy Sony kaliberû cégnél ilyen bakik elõfordulhatnak.
Mióta néhány script kiddie annak kiáltotta ki - 15 éve ugyanez a kategória volt egy-egy kisebb IRC csatornán takeovert összehozni... lehetett hozzá ezernyi segédprogramot/scriptet találni, és máris hekkernek érezhette magát aki összehozta.
A vírus, amit a botnet hálózathoz csatolás érdekében kell a gépekre juttatni, hogy rávegyék a gépeket arra, hogy egyszerre támadjanak/ddosoljanak egy célpontot.
A ddosolt gépre nem kerül semmi program, ha megszûnik az internetkapcsolat a gépen, megszûnik a támadás is.
jelenleg ERRÕL megy a beszélgetés irc-n, nem vennék rá mérget, hogy nem a haarp rendszerrel akarnak valamit :D
A DDoS támadásaik nagy részét én sokra nem értékelem, a publikus oldalakat viszik le fõleg. A játékosoknál meg amiatt húzták ki a gyufát, mert néhány online aktivációs rendszerrel, meg mutliplayerrel rendelkezõ játéknál is DDoS-al leterhelték a szervereket, ennek meg fõleg sok értelmét nem látom.
Az amerikai kormány elleni támadásaik már tényleg érdekesebbek. Leginkább az FBI kapcsolati cég, meg a szenátusi oldal. A CIA-nek szintén csak a publikus oldalát DDoSolták.
Gondolom már sokan hallottatok a lulzsec nevû csoportról, akik hackerkednek, különbözõ adatokat szivárogtatnak ki, szervereket ddosolnak stb... Jelenleg az FBI is keresi õket, mivel több olyan szerverre is betörtek (pl.: FBI) ahova lehet nem kellett volna :D