1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

\\\ AVISO Site da Aqua PC hackado / Forum.... ///

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por Poiuy, 30 de Novembro de 2004. (Respostas: 86; Visualizações: 6382)

  1. Poiuy

    Poiuy Zwame Advisor

    Tive a falar com um amigo que precebe destas coisas, e ele disse-me que existe o perigo de o indevido que hackou o site ter posto alguma coisa que permitisse copiar as passwords dos user que acedem ao forum da aqua pc.

    Apesar de isto ser gravissimo, ocorreu-me uma cenario bastante pior, que é o facto de muitos utilizadores do forum da aqua pc andarem tambem por aqui, e por outros foruns nacionais, podendo alguns deles serem moderadors ou mesmo administradores.

    Passou-me tambem pala cabeça que deve ser normal as pessoas terem a mesma password, no forum da ***** que têm aqui ou noutros foruns nacionais.

    Sendo assim, gostava que alguem que precebesse BASTANTE destas coisas, me explicasse se é possivel por uma especie de script ou seja o que for, de modo a sacar as passwords do pessoal que acede ao forum da aqua pc, para mais tarde andar a estragar o trabalho de outros foruns nacionais, ou se isto que estou para aqui a dizer não faz sentido nenhum... <--- espero que seja esta :(
     
  2. Poiuy

    Poiuy Zwame Advisor

    Independentemente se isto que eu escrevi faz ou não algum sentido, ia sugerir para o pessoal que tivesse a mesma pass em vários foruns, se desse ao trabalho de as mudar todas, para evitar qualquer problema de futuro.
     
  3. Trystam

    Trystam Power Member

    Passwords

    Possível é .... mas náo é tão trivial como fazer a inserção do código do exploit do phpbb que foi feito no site da ***** e da Chipnet ontem á noite.
    Mas sim como alguém que trabalha na area aconselho toda a gente a fazer um cycle da password que costuma usar.
     
  4. avantix

    avantix Power Member

    Claro que é possivel ...

    Com um exploit no phpBB podem fazer um retrieve das passes armazenadas na base de dados que estão encriptadas ....

    Esta encriptação .... bem .... OK! é bem possivel sim... tb aconselho a irem mudando de password!
     
  5. SoundSurfer

    SoundSurfer Power Member

    Resta saber agora o modo como são guardadas as pass's... em aberto, cifradas, ou um hash.

    EDIT: Utilizam o MD5 para fazer um hash da pass e guardam na BD.
    Só com um ataque por dicionário é que se conseguem as passes. penso eu.
    http://www.phpbb.com/kb/article.php?article_id=40

    EDIT2: depois de uma rapida pesquisa no google, descobre-se que qq pessoa consegue um texto em MD5 com a ajuda destes senhores: http://passcracking.com/
     
    Última edição: 30 de Novembro de 2004
  6. Baía

    Baía Power Member

    Acho que devem ser armazenadas utilizando algoritmos digest...
     
  7. Trystam

    Trystam Power Member

    ....

    Errado .. Hashing MD5

    Dai o eu dizer que é complexo ... mas como não sou deus e n faço puto de ideia das tools esquisitas que sairam na ultima semana n ponho as mãos no fogo de qualquer forma com 100% certeza digo que é possível elas serem alteradas.
    O Fulano escolhe uma pass usao o MD5 e faz uma nova .. insere a no campo e já está.
    Ou seja alterar é 100% certo que se faz .. Decrypt não se faz pelo menos até ao melhor do meu conheçimento mas o seguro morreu de velho e a culpa morre sózinha.

    Edit: Não sabia dos senhores que supostamente fazem o Decode do MD5 ... e tenho algumas dúvidas acerca do procedimento ..... se será de facto fiável .... é que a ideia de gerar passwords indefinidamente .. fazer o hashing e depois um compare com base no hashing ... ou é de loucos ou é de loucos. Mas pronto recuso me a acreditar que alguém se desse a esse trabalho.
     
    Última edição: 30 de Novembro de 2004
  8. Baía

    Baía Power Member

    MD5 is an algorithm that is used to verify data integrity through the creation of a 128-bit <TERM>message digest</TERM> from data input (which may be a message of any length) that is claimed to be as unique to that specific data as a fingerprint is to the specific individual
     
  9. SoundSurfer

    SoundSurfer Power Member

    Exacto.. o seguro morreu de velho ;)

    EDIT: apenas necessitam de fazer o hash do dicionario uma vez na vida... pelo que vi já vai em 47 gigas.. o resto é só comparar.. coisa que as BD fazem rapidamente.
     
    Última edição: 30 de Novembro de 2004
  10. Trystam

    Trystam Power Member

    Esqueçeste te do resto da definição ;)

    Adiante ... e esqueçendo um bocado a coisa e eu que trabalho na área a máxima aqui é mais contar com uma previsão péssimista do Know how do outro lado (Pensar que do outro lado tá deus ;)) e não tomar dados que sabemos á 1 semana como garantidos.
     
  11. Poiuy

    Poiuy Zwame Advisor

    Mandaram-me uma pm a dizer que estou a fazer uma tempestade num copo de agua, mas como diz aqui o pessoal e bem, o seguro morreu de velho, e não vejo mal nenhum em esta thread estar aberta.


    //offtopic
    Trystam: a tua assinatura não está ligeiramente fora dos limites? :)
    "Imagem com as dimensões de 700x100 (máximo 30kb)"
     
  12. Trystam

    Trystam Power Member

    OffTopic

    Está algo que fora mas só está numa das Dimensões de resto como é a preto e branco até cumpre o critério de tamanho ... além do mais ... tem pena tou a trabalhar e não imaginas a trabalheira que me dá fazer uma nova ;)

    Será preferível negligênciar sistemas na banca ou ter uma assinatura um bocadito maior ? ;)
     
  13. Baía

    Baía Power Member

    Não percebi em que é que isso invalida o facto de ser uma "ferramenta" de digesting de mensagens...
     
  14. Xpirit

    Xpirit Banido

    Vendo ficheiro com todas as passwords do users da *****.

    Preço: 100€

    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    .
    Joking! :lol:
     
  15. pofxxx

    pofxxx Power Member

    pode nao ter nada haver mas a uns minutos a traz quando entrei no forum da *****, a minha firewall desparou com um ip da netcabo nunca me aconteçeu.
     
  16. Trystam

    Trystam Power Member

    Na NetCabo o mais normal é teres Pseudo ataques .... agora nesta altura penso que isto começa a sair fora de porporções e agora entramos no campo da histeria e da Conspiração.
    O Big Brother anda ai mas não exageremos ... estamos a falar dum Exploit a um código de PHP não de um ataque global ....
     
  17. avantix

    avantix Power Member

    Exacto ...

    Tenham calma ... ninguem vai fazer chaves de casa com os dados obtidos na *****!

    :D

    Mas tá confirmado que se gamaram as passes ? ou apenas deram cabo do Forum ?
     
  18. estigma

    estigma Power Member

    para ter as password em md5... não é necessário ter acesso a base de dados.
    Basta snifar os dados... que são enviados via form.

    Qualquer site esta em risco se não tiver uma ligação segura.

    mas dificilmente alguem adivinha o que uma hash de md5 quer dizer, uma vez que não tem 2 vias encrypt e decrypt.
    O MD5 é só one way... uma vez q não foi feito propriamente para um sistema de encrypt-decrypt.
     
  19. Karski

    Karski Power Member

    Exacto. Estão aí a fazer uma tempestade num copo de água quando não é preciso :rolleyes:
     
  20. Trystam

    Trystam Power Member

    Idade da Segurança

    É assim nada é seguro ... uma das máximas que o meu ex prof de secundário me deu um dia foi de que nada é inquebrável e nada está livre de problemas.
    Exemplos por exemplo são o SSL e o SSH2, que são dois dos "protocolos mais seguros" existentes e tem falhas e lacunas. Todos os dados que passam por um determinado sitio estão expostos a que sejam filtrados e analizados.
    Uma Transparent Network Tap no treixo X de uma rede com o software e o know how apropriado é devastadora e até mete os cabelos em pé a quantidade de coisas que se conseguem ver.
    Agora convém descer à realidade e ao planeta terra, que no final de contas é onde vivemos .... é assim o méteodo que há para fazer qualquer coisa com o MD5 de momento é moroso .. demasiado moroso para se tirar algum proveito a curto prazo de informação (hash de passwords) que possa beneficiar alguém.
    Ponto dois .. os ataques que foram feitos aos sites da Chip e da ***** foram feitos pelo que é designado no meio de script kiddies ou seja pessoas que apenas procuram na net por um script com um fim e mesmo que nem saibam o que estão a fazer a quantidade de informação difundida é suficiente para um macaco quase fazer um exploit a um site ou seja não vamos dar demasiado crédito a quem o fez porque qualquer um aqui pode agarrar numa URL pré-fabricada e espetar la no browser e away we go .. além do mais um hacker competente digno do nome .... não precisa duma brincadeira dum remote code execution despoletado por uma treta dum exploit de injection de SQL sejamos francos.
    Portanto moral da história, aprender com o erro e tomar precauções daqui em diante mas em altura alguma ficar tão obcecado com o sucedido que o mesmo começe a ditar um reinado de terror ou a forma como encaramos os foruns e a nossa vida no mundo digital.
    Lamento a extensão do post mas pronto.
     

Partilhar esta Página