Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Torstai, 17.10.2002

Microsoftin beetasivustolle murtauduttiin

Microsoftin beetaversioita eri ohjelmistoista sisältävälle palvelimelle murtauduttiin viime viikolla. Palvelimella oli testikäyttöä varten eri ohjelmistoja, kuten Windows XP:n beetaversiot, .NET-palvelinohjelmisto sekä joitakin julkistamattomia keskeneräisiä tuotteita. Microsoft ei tiedä, kuinka monet ohjelmat päätyivät kräkkereiden käsiin, mutta yhtiön mukaan lähdekoodit pysyivät turvassa.

Microsoftin tietoturvajohtajan Rick Millerin mukaan tietoturvavuotoon johtanut virhe on korjattu, mutta tarkempia tietoja ongelman syistä hän ei antanut. Miller kertoi myös, että kyseessä oli vain yksittäinen tietomurto. Tapauksen johdosta kaikki 23 000 Microsoftin beetatestaajaa joutuivat vaihtamaan käyttäjätunnuksensa ja salasanansa. Lue juttu.

Päivitetty 14:15: Kräkkeriryhmä iNFLUNCE (tai mahdollisesti iNFUENCE) on ottanut vastuun tietomurrosta. Kräkkerit saivat haltuunsa kaikkien beetatestaajien käyttäjätiedot, sisältäen siis käyttäjätunnukset ja salasanat.

Lue juttu K2, 17.10.2002 14:03. Lähde: TechTV | the inquirer

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 15 uutta / 15 )
pistettä.
Näytä vain kommentit joilla on vähintään
junix Salasanat
junix, 17.10.2002 14:31:12		 Pisteet: 0
olivatko salasanat siis cryptaamattomassa muodossa palvelimella?
sen kuvan tästä sai..
hienoa microsoftin tietoturvaa taasen, eläköön.
Re: Salasanat
Anonyymi kommentoija, 22.10.2002 19:35:21		 Pisteet: 0
Heh, kuka ihme haluaisi murtautua microsoftille ja ottaa sieltä kaiken kukkuraksi beta-softaa - etenkään kun varsinaiset valmiitkaan käyttöjärjestelmät eivät toimi läheskään täydellisesti, saati sitten hyvin.
Olisivat edes ottaneet sorsat, pistäneet sinne omat takaovensa ja palauttaneet muokatut versiot takaisin (tuskin kukaan "ohjelmoija" sitä microsoftilta olisi edes huomannut :)
Re: Salasanat
samleh, 17.10.2002 17:22:19		 Pisteet: 0
olivatko salasanat siis cryptaamattomassa muodossa palvelimella? sen kuvan tästä sai..
hienoa microsoftin tietoturvaa taasen, eläköön.
Kompromissattu ne on, olivat kryptattu tai ei. Kryptauksen voinee saada auki, tai toisaalta, onhan se sisällä käynyt porukka voinut pistää niitä talteen siinä yhteydessä, kun käyttäjät ovat loganneet sisään.
--
just joo.
Re: Salasanat
Anonyymi kommentoija, 17.10.2002 17:49:57		 Pisteet: 0
olivatko salasanat siis cryptaamattomassa muodossa palvelimella? sen kuvan tästä sai..
hienoa microsoftin tietoturvaa taasen, eläköön.
Kompromissattu ne on, olivat kryptattu tai ei. Kryptauksen voinee saada auki, tai toisaalta, onhan se sisällä käynyt porukka voinut pistää niitä talteen siinä yhteydessä, kun käyttäjät ovat loganneet sisään.
Jos salasanoissa olisi käytetty jotain oikeata (ei siis mitään microsoftin omaa) HASH algoritmiä niin eipä nämä "hax0rit" olisi tehnyt tiedoillaan mitään.

Oikeaksi HASH algoritmiksi lasken mm. SHA256/384/512, RIPEMD:n jne.
Re: Salasanat
Anonyymi kommentoija, 17.10.2002 20:18:54		 Pisteet: +1
Jos salasanoissa olisi käytetty jotain oikeata (ei siis mitään microsoftin omaa) HASH algoritmiä niin eipä nämä "hax0rit" olisi tehnyt tiedoillaan mitään.
Hienosti tunnet hash-algoritmeja, mutta selvästikään et ymmärrä miten niitä käytetään. Jos salasana on huono - ja varmasti 23000 joukossa niitä on useita - se murtuu dictionary attackillä helpostii. Vaikka olisi ziljoonan bitin SHA niin salasanan "sex" arvaaminen ei siitä vaikeudu.

Toisekseen voidaan kysyä, mitä hyötyä on lisätä hash-funktioon satoja bittejä, kun lähdeteksti on tyypillisesti 40-80 bittiä pitkä. Kuvauksesta tulee injektio, jossa kohdejoukosta jää vain koko ajan suurempi osa saavuttamatta - hyöty tasan 0.
Re: Salasanat
Anonyymi kommentoija, 17.10.2002 23:45:45		 Pisteet: 0
Jos salasanoissa olisi käytetty jotain oikeata (ei siis mitään microsoftin omaa) HASH algoritmiä niin eipä nämä "hax0rit" olisi tehnyt tiedoillaan mitään.
Hienosti tunnet hash-algoritmeja, mutta selvästikään et ymmärrä miten niitä käytetään. Jos salasana on huono - ja varmasti 23000 joukossa niitä on useita - se murtuu dictionary attackillä helpostii. Vaikka olisi ziljoonan bitin SHA niin salasanan "sex" arvaaminen ei siitä vaikeudu.
Toisekseen voidaan kysyä, mitä hyötyä on lisätä hash-funktioon satoja bittejä, kun lähdeteksti on tyypillisesti 40-80 bittiä pitkä. Kuvauksesta tulee injektio, jossa kohdejoukosta jää vain koko ajan suurempi osa saavuttamatta - hyöty tasan 0.
Tätä varten HASHit lasketaankin oikeasti niin että niihin lisätään aina jotain muutakin kuin pelkkä käyttäjän syöttämä salasana. Vaikka tämä "salainen" pätkä olisikin aina sama niin se teettää silti mukavasti lisätöitä kun yritetään selvitellä salasanoja. Eipä toimi pelkät "sex" tai "god" yritykset enään. Eli silloin pitää saada myös selville rutiini jolla HASH lasketaan, ei riitä pelkän salasana tietokannan saaminen.

niin ja kyllä uskon tietäväni miten niitä käytetään.
Re: Salasanat
Anonyymi kommentoija, 18.10.2002 00:38:50		 Pisteet: 0
Jos salasana on huono - ja varmasti 23000 >joukossa niitä on useita - se murtuu dictionary >attackillä helpostii. Vaikka olisi ziljoonan bitin >SHA
Betaplace ID on 6 numeroa, salasana on jotain yli 15 merkkiä pitkä, random merkkejä ja numeroita sisältävä.. eikä niitä voi itse valita tyyliin "sex" tai "pornola"
Re: Salasanat
Anonyymi kommentoija, 17.10.2002 20:46:24		 Pisteet: 0
Jos salasanoissa olisi käytetty jotain oikeata (ei siis mitään microsoftin omaa) HASH algoritmiä niin eipä nämä "hax0rit" olisi tehnyt tiedoillaan mitään. Oikeaksi HASH algoritmiksi lasken mm. SHA256/384/512, RIPEMD:n jne.
Enempää ottamnatta kantaa koko asiaan, niin huoh tohon sun kommenttiin. Mä en ole ainakaan törmännyt näihin microsoftin omiin hasheihin. Vilkaseppa cryptoapi jokukerta.
Re: Salasanat
samleh, 18.10.2002 01:05:27		 Pisteet: 0
Jos salasanoissa olisi käytetty jotain oikeata (ei siis mitään microsoftin omaa) HASH algoritmiä niin eipä nämä "hax0rit" olisi tehnyt tiedoillaan mitään.
Vaikka se salasana olisi maalattu punaiseksi voi se sisäänpäässyt hakkeri laittaa sinne pätkän koodia, jossa käyttäjän antama stringi talletetaan, testataan sun hässistä ja merkataan oikeaksi, mikäli meni läpi.
--
just joo.
Pisterajan alittavia kommentteja piilossa.
Re: Salasanat
Anonyymi kommentoija, 17.10.2002 20:16:05		 Pisteet: 0
"voinee saada auki" -- varmaankin, jos MS on itse kehittänyt algoritmin.
Niinjuuri.. Kun Ms kehittää algoritmin niin eihän se VOI olla hyvä. Senhän täytyy olla suorastaan niin paska, että kaiken maailman osamatkin saa sen auki vaikka 80 luvun taskulaskimella.

En usko että yksikään admin on niin järkeä vailla, että ei vaihtaisi salasanoja tietomurron yhteydessä oli sitten kyseessä Ms:n paska tai Leenux gurko
Re: Salasanat
Anonyymi kommentoija, 18.10.2002 00:37:54		 Pisteet: 0
"voinee saada auki" -- varmaankin, jos MS on itse kehittänyt algoritmin.
Niinjuuri.. Kun Ms kehittää algoritmin niin eihän se VOI olla hyvä. Senhän täytyy olla suorastaan niin paska, että kaiken maailman osamatkin saa sen auki vaikka 80 luvun taskulaskimella.
En usko että yksikään admin on niin järkeä vailla, että ei vaihtaisi salasanoja tietomurron yhteydessä oli sitten kyseessä Ms:n paska tai Leenux gurko
Eikös se ole aina tunnettu fakta että parhaat/varmimmat algoritmit ovat julkisia. Eli ei ole salaisuus miten menetelma toimii ja siitä voi kuka tahansa yrittää etsiä heikkouksia.
Osama Re: Salasanat
Osama, 20.10.2002 02:10:35		 Pisteet: 0
"voinee saada auki" -- varmaankin, jos MS on itse kehittänyt algoritmin.
Niinjuuri.. Kun Ms kehittää algoritmin niin eihän se VOI olla hyvä. >Senhän täytyy olla suorastaan niin paska, että kaiken maailman
osamatkin saa sen auki vaikka 80 luvun taskulaskimella.
olen samaa mieltä kanssasi.

PWL:
http://www.cs.auckland.ac.nz/~pgut001/pubs/pwl.txt
PPTP:
http://www.counterpane.com/pptp.html
http://www.securityfocus.com/archive/1/12489
LANMAN:
heiii vähän enemmän järkeä olisi saanut tähänkin käyttää, kuten salttia mukaan:
http://www.ciphersbyritter.com/GLOSSARY.HTM#Salt

vai tiedätkö jotakin MS:n kehittämää kryptograafista algoritmia,
jossa ei ole selvää vikaa?
en nyt äkkiseltään muista sellaista... saa korjata...

En usko että yksikään admin on niin järkeä vailla, että ei vaihtaisi salasanoja tietomurron yhteydessä oli sitten kyseessä Ms:n paska
tai Leenux gurko
tässä tapauksessa on pakko vaihtaa.

ja riippuen tapauksesta, aina ei pelkkä salasanojen vaihtelu riitä.