Информационная безопасность
40,8
рейтинг
13 декабря 2010 в 15:07

Разработка → Тотальный взлом Gawker Media: украдено 1.5 млн аккаунтов перевод

Группа анонимных хакеров внедрилась в сервера Gawker Media и «вынесла сор из избы» на половину гигабайта – поменявшись ролями с одним из наиболее безжалостных интернет-изданий, специализирующихся на сплетнях и скандалах.

Известная под названием Gnosis, группа оказывала поддержку 4chan и операции Payback, которая имела место на прошлой неделе и была направлена против PayPal, MasterCard, Visa и других компаний, которые обрубили связи с WikiLeaks. Статья, которая была выложена на этих выходных на BitTorrent, содержала данные регистрации электронной почты и Твиттера Ника Дентона и других шишек Gawker, а также логины тысяч зарегистрированных читателей Gawker (это сам сайт Gawker, крупнейшие блоги Gizmodo, Kotaku, Lifehacker).

В ней также содержался резкий упрек по поводу системы безопасности Gawker.

«Можно было бы подумать, что сайт, который любит высмеивать других людей, должен иметь лучшую систему безопасности и действительно понимать, что они делают», написали авторы, которые неоднократно ссылались на предыдущие перепалки между этим сайтом и группой Anonymous.

«Вы бы могли подумать, что такой человек как Ник Дентон, любящий трепать языком и дразнить таких непростых людей как Anonymous, будет использовать такой „надежный“ пароль, как '24862486,'?», — они написали в другом месте. «Печально то, что он, вероятно, полагает, что его пароль „надежен“, так как он использует его повсюду!».

На первой странице Gawker вечером в воскресенье находилось предупреждение: «Вероятно, что база данных наших пользователей была взломана». В сообщении читателям рекомендовалось считать все свои аккаунты во всех сайтах, принадлежащих Gawker, взломанными и немедленно поменять пароли.

«Мы чрезвычайно обеспокоены этим взломом», — сообщалось в рекомендации. «Не нам полагаться на добрую волю хакеров, которые нашли слабое место в наших системах. И тем не менее ирония нам не изменяет».

Утверждается, что в файле размером 486 Мб находится 1,5 миллиона паролей, защищеных DES — это достаточно слабый алгоритм хеширования, чтобы достойно противостоять подбору.

Хакеры заявляют, что даже после того, как Дентон обнаружил, что один из его онлайн-аккаунтов, возможно, был взломан, он продолжал использовать тот же самый слабый пароль на других аккаунтах. В загруженном файле также находилось то, что считается исходным кодом Gawker, предварительная версия с новым дизайном сайта Gawker, и, как говорят, пароли к дюжине административных аккаунтов Gawker.

Gawker и Anonymous конфликтуют с июля, когда злоумышленники начали веб-атаки, которые периодически выводили сайт в оффлайн.
Перевод: The Register
Журнал «Хакер» @XakepRU
карма
131,0
рейтинг 40,8
Информационная безопасность
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (68)

  • 0
    Хеши в DES… Феерический идиотизм…
    • +3
      Идиотизм не в том, что они в DES, а в том что на ТАКИХ сайтах они в DES :)
      • +5
        да нет, идиотизм в том, что DES — алгоритм шифрования, а не хеширования…
        • 0
          DES вполне применяем для хеширования. Другое дело, что уже лет пятнадцать-двадцать, как простой DES не считается криптостойким к прямому перебору — слишком быстро отрабатывает функция на современно технике.

          Но применительно к чисто чистовому паролю, наподобие упомянутого тут — никакой алгоритм шифрования или хеширования не спасает от лени юзера.
          • 0
            ммм. а можно пруф насчет хеширования десом? возможно есть хеш-функции на его основе, но в чистом виде одно из требований к хеш-функции, а именно не зависимость длинны результата от длинны сообщения, не выполняется.
            • 0
              Набираем в гугле:
              хеширование DES
              и получаем несколько ссылок.

              В частности в FreeBSD он какое-то время использовался для хеширования системной /etc/passwd, что меня лично когда-то давно стукнуло и почему меня и не смутило упоминание симметричного алгоритма в контексте хешей.
    • +4
      угу, непонятно, чем им не угодил тот же засоленный SHA1
  • 0
    Красиво.
  • –5
    Конфликты конфликтами, а всё-таки ломать нехорошо.
    • +5
      Является ли взломом проникновение через технологическое отверстие?
      • +1
        +1, если есть дыры, то почему бы их не поюзать?
        • +22
          «Всемирная история. Происхождение анального и орального секса.»
      • +11
        Т.е. если вы шли, увидели дом, открытую дверь, зашли, в открытом ящике стола увидели деньги, взяли их то потом в участке будете рассказывать что нашли клад и хотели получить свои 25%?
        • +1
          Отличайте кражу от кражи со взломом :) Взлом — отягчающее обстоятельство.
      • 0
        А как еще можно без спросу проникнуть на сайт, как не использовав дыру в системе?
        • 0
          Пресловутая социальная инженерия, хотя классово это все та же дыра, да ;)
          • 0
            А, ну да…
            Но социальная инженерия — это дыры в голове у людей. А люди — это часть системы :)
      • 0
        я считаю, что да. вы можете украсть в магазины Сникерс, засунув его себе в рукав. камеры и охрана скорее всего не заметят (так утверждает знакомый, баловавшийся в детстве). является ли это дырой? и хорошо ли так делать?
    • 0
      А если бы они сломали сайт, а потом тихо сообщили бы администрации об уязвимости — это тоже по-вашему нехорошо? Ну-ну…
      • 0
        А вы за меня не додмывайте.
  • +1
    Тот самый архив goo.gl/s8MQR
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        с торрентов качается
        • 0
          Кстати, пароли тупые аля qwerty, и их очень много.
          • +2
            У меня много подобных паролей. Поясняю почему. Бывает немало случаев, когда я ищу какую-то программу, а она находится только на каком-то сайте, где нужна рега. Но кроме этой программы, мне не нужно на этом сайте ничего. Т.о., вбиваем простой пароль, быстро подтверждаем регистрацию с помощью мыла с таким же дебильным паролем, скачиваем. Далее забываем и о сайте, и о мыле, потому что туда сыплется спам

            Как Вам такой подход?
            • 0
              подход не очень.
              я пользуюсь lastpass или подобным сабжем к каждому сайту 20+ рандомных символов.
              мыло gmail, также для реги в gmail можно добавлять префиксы то есть если мыло habr@gmail.com можно получать письма и на mail.habr@gmail.com или любой вам понравившийся префикс.
              • 0
                А где эти префиксы прописывать надо? В настройках не нашел.
              • +1
                вот, посмотрите ниже! мне кажется, вариант ниже еще лучше)

                а насчет префиксов забыл уже давно как-то, благодарствую))
            • +5
              при чем я использую одноразовую почту на mailinator.com в таких случаях.
              регистрироваться на сайте не надо. просто вводишь имя ящика — и смотришь письма на нем. )
              • 0
                спасибо, запомню этот сайт))
              • –3
                спасибо, забаню этот сайт у себя.
            • +2
              на будущее
              bugmenot.com
            • 0
              Используй логин qweqwe и пароль qweqwe или qweqwe1. На многих сайтах такие юзеры уже есть
              • 0
                И что мне это даст?
                • 0
                  Если такой юзер уже есть, не придется регистрироваться
                  Если такого юзера нет, зарегистрируешь и следующему не придется регистрироваться
      • 0
        Только с Бухты. Остальные торренты живы.
      • 0
        Будет жить до последнего сида ;)
  • +3
    перефразируя Булгакова: «разруха не в сайтай, а в головах...»
  • 0
    «Gawker Media — гавкнем в медию ваши логины!»
  • +1
    «будет использовать такой „надежный“ пароль, как '24862486,'?»
    что же значат эти цифры?.. вес-рост-возраст не подходит… пошел думать =)
    • +1
      24 августа родился. А 86 непонятно. Может в этом году он этот пароль придумал =)
      • +1
        может 24 — 8(августа) — 64 года он родился? )
        • +1
          62го. ошибся
        • 0
          Не,
          он наверное 24862486-й в рейтинге хабралюдей
    • +1
      24 — это день рождения. 86 — ?
    • +35
      Гляньте на расположение клавиш с этими цифрами на numpad'e.
    • 0
      Только цифры
    • +21
      2 4 8 16 32 64 128 256
    • +6
      да это просто два круга на нумпаде по часовой стрелке
    • +2
      во-первых 2486 повторяется 2 раза
      во-вторых это ромб на нампаде, удобно набирать :)
    • 0
      «квадрат» по часовой стрелке на цифровой клавиатуре, два раза
    • 0
      крестик, кружочек или цветочек (не знаю, кому как нравится) на калькуляторе клавиатуры, 2 оборота по часовой стрелке
    • 0
      может, серийный номер его доски для сноуборда))
      • +1
        Комментарии не читай, а сразу отвечай!
    • 0
      Да ничего они не значат, просто набирать удобно — цифры по кругу.
  • +3
    наверное, просто заикается человек… поэтому два раза 2486 2486
    • 0
      А запятая?
      • +2
        усложнил
      • 0
        Для секурности, «спецсимвол» же. Или как финальный аккорд идиотизма :)
      • +1
        тож на нумпаде)
        хотя там точка… но может быть на каких-то раскладках — это запятая
  • 0
    С одной стороны — хочется сказать спасибо хакерам за то, что они устраивают нам тут естественный отбор и тренируют систему безопасности. И хочется сказать, что авторы взломанного сервиса сами виноваты, что хранили всё в открытом виде и в легко доступном месте.
    Но я сам в своё время попадал в похожую ситуацию, когда из моего проекта увели данные с паролями ~32 000 пользователей. Хочу выразить сочувствие и понимаю, какая это ответственность и головная боль перед аудиторией сервиса, и насколько это бьет по репутации сервиса.

    Так что коллеги-стартаперы, ханите пароли за семью256-битными печатями и в хороших сундуках. Чем вы становитесь популярнее — тем чаще вас начинают пробовать на прочность.
    • +4
      Объясните мне пожалуйста вот на какой такой интересно случай хранить пароли пользователей в незашифрованном виде? В базе должен хранить только хэш и ни как иначе.
      • 0
        Теперь-то я с вами согласен :)
        «Военные лучше всего готовы к уже прошедшей войне»
      • 0
        Так там и так хеш был.
        DES
        56 бит
        Мой пароль (13 символов с верхним регистром и пробелами) в таком хеше, стянутый с /etc/passwd фрибсдшного сервера, ломали прямым перебором на средненьком сервере ещё в году этак 98-м. Две недели ломали, правда, но мощности с тех пор выросли несоизмеримо.

        Потому я и говорю, что использование DES хешей паролей в наше время — идиотизм категорический. И может иметь только одно разумное обоснование — владельцы ресурса и сами были не прочь получить доступ к паролям пользователей.
  • 0
    А у меня там логин через Facebook был, и моего пароля в базе данных просто нет.
  • 0
    На самом деле Анонимус пытается научить нас использовать OpenID
  • 0
    Не плохо, не плохо.
  • 0
    Лайфхакер старательно удаляет отрицательные отзывы о той фигне, которую рекламирует.
    Так что туда им и дорога.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.