Portál AbcLinuxu, 15. května 2025 12:14

Jabber.sk bol napadnutý

Server jabber.sk bol napadnutý. Boli ukradnuté všetky dáta uložené v internej databáze ejabberd servera. Všetkým používateľom odporúčame zmenu hesla, keďže ejabberd server ukladá heslá v nekryptovanej forme.

2.9.2012 21:38 | skupko | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

2.9.2012 21:49 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Odpovědět | Sbalit | Link | Blokovat | Admin
Všetkým používateľom odporúčame zmenu hesla, keďže ejabberd server ukladá heslá v nekryptovanej forme.
ROFL! Tohle by měl úřad pro ochranu osobních údajů zakázat.
2.9.2012 22:06 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý

Jednosmerné hashe nepodporuje daná serverova služba ?

O spôsoboch získania hesla by bola dlhá diskusia. V tomto vystupuje veľa faktorov.Mohlo dôjsť k ziskania hesla pomocou nejakého nedôveryhodného PC, pripojenia, daný užívateľ mal v PC nejaký keyloger. Tiež je nutné zohladniť, že akákoľvek šifra je časom prelomiteľná. PGP je iná kategória. Tiež mohlo isť o nenpadnú chybu spracovania protokolu XMMP. Možnosti je veľa.

Root v linuxe : "Root povedal, linux vykona."
2.9.2012 22:13 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Já si myslím, že každý kdo spravuje osobní údaje (mezi něž já řadím i heslo ke službě) by měl být nucen splňovat minimálně PCI DSS.
Jendа avatar 3.9.2012 02:09 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
To je docela likvidační pro různé malé služby, nemyslíš?

Navíc při dnešním zoufalém stavu počítačové bezpečnosti ti nikdo nic nezajistí. I to DSS může maximálně eliminovat některé attack vectory a učinit útok složitějším, ale stále možným.

Nejlepší je prostě předpokládat, že jakmile nějaké službě svěříš nějaké informace (je jedno, jestli hesla, fotky, maily, dokumenty), tyto informace se mohou kdykoli stát veřejnými. Tohle riziko lze jednoduše eliminovat pomocí end-to-end encrypti, implementací je tu dost (u Jabberu třeba OpenPGP-over-XMPP nebo OTR).
3.9.2012 11:01 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
To je docela likvidační pro různé malé služby, nemyslíš?
Tak bud to umím dělat pořádně, nebo jsem žabař a pak bych od toho měl dát ruce pryč. ono by to bylo docela likvidační i pro spoustu "velkých IT společností", nebo státních organizací.
Jendа avatar 3.9.2012 11:40 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Tak bud to umím dělat pořádně, nebo jsem žabař a pak bych od toho měl dát ruce pryč.
Já si zase myslím, že kdo má na půdě VPN a tunel endpoint pro pár kamarádů, by v tom měl mít možnost pokračovat.
ono by to bylo docela likvidační i pro spoustu "velkých IT společností", nebo státních organizací.
Ono kdyby se to udělalo pořádně, tak by to asi bylo likvidační úplně pro všechny.
3.9.2012 11:56 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Ne každý chce entrprajs solůšn za půl giga! :) IMO je naprosto v pořádku, abych si jako zákazník mohl vybrat jestli si Jabber účet pořídím u Franty Vomáčky kterému běží stará 486 na půdě nebo u certifikáty ověnčené, prokonzultované a na SAPu běžící firmě kde za jeden účet vysolím litr měsíčně.
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
3.9.2012 13:22 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Promiň, ale takové základy jako je šifrování hesel, DMZka,... není žádné enetrprajs solůšn. Je to součástí "nejsem úplný žabař" přístupu.

Je snad špatně že organizace, které praucjí s čísly kreditních karet musí splňovat určité požadavky na zabezpečení těch informací? Já jen tvrdím, že heslo ke službě by se mělo řadit na setjnou úroveň jako je číslo kreditní karty, rodné číslo, číslo pasu,... a úřad pro ochranu osobních údajů by měl stanovit minimální pravidla pro zabezpečení databází, které tyto informace obsahují. A navíc PCI DSS je jen naprosté minimum. Ostatně se podívej sám.
3.9.2012 14:49 CH
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Promiň, ale takové základy jako je šifrování hesel, DMZka,... není žádné enetrprajs solůšn. Je to součástí "nejsem úplný žabař" přístupu.
Promin, ale o tom je PCI DSS IMHO prece jenom okravoje.

Nerikam, ze myslenka je spatna nebo ze se to podle nej neda udelat spravne, ale je to jenom byrokraticky nesmysl, entrprajs solusn hadr a predevsim hroznej bullshit -- realne implementaci zaridi clovek/oddeleni na urovni ucetniho a nebo auditora, ktery vubec nema paru, jak technologie, ktere se snazi "certifikovat", vubec funguji, natoz aby videl pripadne bezpecnostni nedostatky. A sit je pak klidne dal spravovana profiky, a nebo uplnymi zabari, stejne jako predtim.
3.9.2012 22:32 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Je snad špatně že organizace, které praucjí s čísly kreditních karet musí splňovat určité požadavky na zabezpečení těch informací?
Ano. Pokud to není státní instituce (nebo jiná organizace, jejíž "služby" je nutné používat - typu ISDS). Měl bych mít možnost si vybrat jestli chci používat službu která má mezery v zabezpečení, ale za to je třeba levnější nebo jestli budu platit za přístup balík a budu vědět, že každý přístup k mým soukromým datům musí autorizovat představenstvo dané firmy. Ono se lehce může stát, že za nějaké peníze bokem UOOÚ (nebo obdobná organizace) stanoví pravidla přesně na míru jednomu produktu...
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
4.9.2012 01:40 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Takže když to pak povede k vytvoření externality - zvýšenému počtu podvodů s platebními kartami, tak je vlastně v pořádku, že to zaplatíme všichni ze svých daní, vzhledem k tomu, že bude potřeba více policejních vyšetřovatelů?
Jendа avatar 4.9.2012 04:51 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Samotná existence dnešního děravého systému platebních karet vedla k vytvoření takové externality.
3.9.2012 22:31 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Já si myslím, že každý kdo spravuje osobní údaje (mezi něž já řadím i heslo ke službě)
Nesmysl. Heslo je proste sdilene tajemstvi pro overeni pri pristupu ke sluzbe. Pokud je narusena bezpecnost samotne sluzby, tak uz bezpecnost hesla nehraje zadnou roli.
Bystroushaak avatar 3.9.2012 22:46 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Ne. Bezpečnost hesla roli stále hraje, protože se dá testovat vůči ostatním službám, v případě mnoha lidí tím získáš přístup do celé internetové identity, kterou pak můžeš prodat, nebo zneužít.
blog.rfox.eu
4.9.2012 00:50 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Pak uz ale takove poruseni bezpecnosti hesla vubec neni v zodpovednosti provozovatele sluzby, ale uzivatele. Pokud napr. uzivatel pouzil heslo ke sluzbe A take ke sluzbe B, pak je otazka, zda to neni v rozporu s podminkama sluzby A (predat heslo k uctu treti osobe, to asi napr. u placenych sluzeb) a zda by za to uzivatel nemohl byt hnan k soudu.

Druha vec je nesmyslnost takoveho plosneho odsudku bez ohledu na povahu sluzby - u protokolu, jehoz autentikace zda se prevazne pouziva nejakou primitivni variantu challenge-handshake (bez ohledu na to, ze existuji nepovinne extenze pro lepsi autentikaci), je ulozeni plaintext hesel proste standardni postup, protoze u niceho jineho nelze zajistit dostatecnou kompatibilitu.

Treti vec je ze napr. v soucasnem webu, kdy 'vrchol' zabezpeceni je casto plaintext heslo predavane v nesifrovanem HTTP mezi ostatnimi daty a s hashovanym ulozenim na serveru, by byl prechod na primitivni standardni HTTP digest autentikaci (i za cenu plaintext hesel ulozenych na serveru) radikalni zvyseni bezpecnosti.
Bystroushaak avatar 4.9.2012 01:05 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Pak uz ale takove poruseni bezpecnosti hesla vubec neni v zodpovednosti provozovatele sluzby, ale uzivatele. Pokud napr. uzivatel pouzil heslo ke sluzbe A take ke sluzbe B, pak je otazka, zda to neni v rozporu s podminkama sluzby A (predat heslo k uctu treti osobe, to asi napr. u placenych sluzeb) a zda by za to uzivatel nemohl byt hnan k soudu.
Teorie pěkná, ale v praxi používá stejná hesla pro vícero služeb imho tak 90%, přičemž ti chytřejší mají alespoň nějaké okruhy hesel založené na prioritách.
Druha vec je nesmyslnost takoveho plosneho odsudku bez ohledu na povahu sluzby - u protokolu, jehoz autentikace zda se prevazne pouziva nejakou primitivni variantu challenge-handshake (bez ohledu na to, ze existuji nepovinne extenze pro lepsi autentikaci), je ulozeni plaintext hesel proste standardni postup, protoze u niceho jineho nelze zajistit dostatecnou kompatibilitu.
Pak je to postup na hovno.
Treti vec je ze napr. v soucasnem webu, kdy 'vrchol' zabezpeceni je casto plaintext heslo predavane v nesifrovanem HTTP mezi ostatnimi daty a s hashovanym ulozenim na serveru, by byl prechod na primitivni standardni HTTP digest autentikaci (i za cenu plaintext hesel ulozenych na serveru) radikalni zvyseni bezpecnosti.
To co jsem popsal já jde provozovat bez problémů v JS (implementoval jsem to pro jeden školní projekt). HTTPS v minimálně selfsigned verzi je dneska taky všude možně.
blog.rfox.eu
4.9.2012 00:13 radix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Tohle je ten zasadni pruserovy omyl akademiku :(
3.9.2012 00:26 skupko | skóre: 16
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Bohuzial ejabberd jednoducho uklada hesla clear-text. Je mozne ho upravit vyuzitim externeho skriptu pre autentizaciu, ale to nemame implementovane (a napr. ani jabber.org nie - a tipujem ze rovnako ani napr. Jabbim). Zneuzili slabinu v prostredi webhostingu, kde sa im podarilo ziskat root-a. Zatial nevieme vsetky detaily - dokonca je mozne, ze sa k samotnym datam ani nestihli dostat, kedze sme zasiahli pocas trvania toho utoku. Vsetko este preverujeme - nastastie nam ostali nejake logy a stopy.
3.9.2012 09:59 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
o aky webhosting islo?
3.9.2012 10:11 skupko | skóre: 16
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Konkretne stranku www.jabber.sk beziacu na Drupal6.
3.9.2012 10:13 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Pises, ze 'zneuzili slabinu v prostredi webhostingu', tak ma zaujimalo, ktory webhosting sa dal takto zneuzit.
3.9.2012 10:15 skupko | skóre: 16
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Ide o nas interny webhosting.
Jendа avatar 3.9.2012 11:08 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
tak ma zaujimalo, ktory webhosting sa dal takto zneuzit
Kdejaký. Najdeš si nějaký hezký exploit na PHP a získáš shell s oprávněním uživatele, pod kterým PHP běží. To ti často stačí. A když ne, lokální root se taky dá nějak získat.
3.9.2012 14:11 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Kdejaký.

Napriklad? Ked si uz taky velky odbornik.. ;)
Jakub Lucký avatar 3.9.2012 15:35 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Banán? A několikrát...

Kapusta?

Isol?

A to jsem jen rychle progooglil...
If you understand, things are just as they are; if you do not understand, things are just as they are.
Bedňa avatar 3.9.2012 15:55 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Z doby kamennej?
KERNEL ULTRAS video channel >>>
Jakub Lucký avatar 3.9.2012 16:01 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Všechny tři hacknuty 2010...
If you understand, things are just as they are; if you do not understand, things are just as they are.
3.9.2012 20:29 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Jendа sa vyjadroval v pritomnom case, nie minulom.
3.9.2012 00:04 8an | skóre: 30
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Jabber používá challenge-response autentizaci, takže vyžaduje, aby server znal původní heslo, ne jen hash.
If you build an operating system that even an idiot can use, only idiots will use it.
3.9.2012 00:22 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Blbost. Jabber umí i jiné autentikační metody.
Jendа avatar 3.9.2012 02:16 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Např.?

(mám za to, že můj Jabber klient, psi-plus, nic takového neumí, ale zas tak dobře se v tom nevyznám)

Btw. co bys poradil provozovatelům mail a web serverů? Tam pokud vím taky nic použitelného bez předávání hesla není.
Jendа avatar 3.9.2012 02:43 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
OK, v Jabberu je SCRAM, ale ne všichni klienti ho umí.
3.9.2012 08:30 j
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Jabber se umi autentizovat (napriklad) vuci AD/LDAP, tudiz to sou plky, heslo vubec znat nepotrebuje.
3.9.2012 09:44 Franta
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Tak můžou ukrást databázi LDAPu...
3.9.2012 11:02 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Jenže v LDAP databázi (Acvice Directory) není žádné plain text heslo.
Jendа avatar 3.9.2012 11:16 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Přesněji řečeno může i nemusí být. Stejně jako leckde jinde.

Ale protože LDAP taky neumí žádný způsob autentizace bez předání hesla…
3.9.2012 10:20 8an | skóre: 30
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Přidání jedné vrstvy indirekce není řešení problému :o)

Existují autentizační metody nevyžadující plaintext heslo na serveru (např. plaintext autentizace přes SSL), ale kvůli maximální kompatibilitě s XMPP klienty je potřeba to plaintext heslo mít uložené.
If you build an operating system that even an idiot can use, only idiots will use it.
Jendа avatar 3.9.2012 11:10 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Existují autentizační metody nevyžadující plaintext heslo na serveru (např. plaintext autentizace přes SSL)
Proč se to asi jmenuje plaintext? No protože se heslo serveru posílá a ty můžeš akorát doufat, že si ho server neuloží. Zabezpečeno to není nijak.
3.9.2012 11:47 8an | skóre: 30
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Jo, plaintext autentizace s hashovanými hesly na serveru je jen o málo bezpečnější než plaintext hesla na serveru. Pokud útočník získal roota, může nahradit Jabber server svým upraveným co mu posílá použitá hesla - čímž ale získá jen hesla těch, kteří se přihlásili dřív, než se na hack přišlo.
If you build an operating system that even an idiot can use, only idiots will use it.
pavlix avatar 3.9.2012 14:20 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Existují autentizační metody nevyžadující plaintext heslo na serveru
Ale obvykle vyžadují posílání hesla po síti, což má opět své nevýhody.
např. plaintext autentizace přes SSL
To taky není bůhvíjaký zázrak, v případě že se SSL certifikát prakticky nekontroluje (tedy se kontroluje buď odkliknutím jednoho nepřečteného formuláře nebo kontrolou hromadu pochybných „autorit“).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
3.9.2012 11:30 mich
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Jsem zmaten. Proč při challenge-response nemůže server ukládat hash místo plaintext hesla?
Jendа avatar 3.9.2012 11:34 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Protože je to blbě navržená challenge-response :-).
3.9.2012 11:55 8an | skóre: 30
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Obecně, challenge-response autentizace ověřuje, že server a klient oba znají společné tajemství. To tajemství by místo hesla klidně mohla být hash hesla, ale pak by stále ukradnutá hash mohla být zneužita k přihlášení. Pomohlo by to jen těm, kdo používají jedno heslo na víc serverů, ale ti si za to mohou sami. Jestli to chápu správně, tak protokol SCRAM by tohle měl řešit.
If you build an operating system that even an idiot can use, only idiots will use it.
Jendа avatar 3.9.2012 12:06 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Ano, SCRAM a podobné protokoly mají úroveň bezpečnosti úplně někde jinde. Ale jak dlouho asi bude trvat jejich implementace ve světě, který nebyl za dvacet let schopen vyplodit použitelnou implementaci debilního HTTP přihlašování?!
3.9.2012 12:17 radix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
>> Pomohlo by to jen těm, kdo používají jedno heslo na víc serverů, ale ti si za to mohou sami.

Jedno heslo na vice serveru pouziva IMHO 95% uzivatelu internetu. Technologie by se mela prizpusobit potrebam lidi, ne naopak. To, ze utocnik muze napadnout nejaky jabber.sk je vetsine lidem vcelku jedno, rizika plynouci z napadeni jinych sluzeb jsou daleko vyssi.
Jendа avatar 3.9.2012 12:25 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Technologie by se mela prizpusobit potrebam lidi, ne naopak.
Browsery i desktopy mají integrovaný password manager už tak deset let. Uživateli tak stačí pamatovat si jedno heslo a ostatní hesla mohou být klidně náhodná, silná a každé jiné.
To, ze utocnik muze napadnout nejaky jabber.sk je vetsine lidem vcelku jedno
To by ses divil, co jsou lidi schopní poslat přes nešifrovaný jabber/mail/telefon.
3.9.2012 12:30 radix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Technologie by se mela prizpusobit potrebam lidi, ne naopak.
Browsery i desktopy mají integrovaný password manager už tak deset let. Uživateli tak stačí pamatovat si jedno heslo a ostatní hesla mohou být klidně náhodná, silná a každé jiné.
Jenze lidi password managery nepouzivaji. Mimo jine i proto, ze ho nemaji stale u sebe - pouzivaji pocitac doma, prace, skola, knihovna, internetova kavarna, telefon ...

Jiste, musi probihat na toto tema osveta, ale musime byt realisti v tom, ze vysledky budou pomale.
pavlix avatar 3.9.2012 14:38 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Jiste, musi probihat na toto tema osveta, ale musime byt realisti v tom, ze vysledky budou pomale.
S osvětou ohledně hesel na služby, které mě nutí vymýšlet si nová a nová hesla a následně je nosit s sebou, kdybych je náhodou potřeboval, můžeš začít u mě.

Na většinu věcí bych bral autentizaci veřejným klíčem, ale kolikrát by se jako fallback hodila nějaká *id služba. Ale ani pitomé webové OpenID se moc lidem nechtělo implementovat, natož abys po nich chtěl něco složitějšího.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
3.9.2012 14:54 radix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Souhlas. Je potreba vymyslet neco lepsiho nez hesla, protoze hesla ve skutecnem svete nefunguji dostatecne dobre. Verejny klic nebo openid apod. jsou dobre moznosti.

Jinak osvetou nemyslim pouzivani noveho hesla na kazdou novou sluzbu (to je proste nerealne). Ja osobne lidem radim bud si vymyslet nejaky jednoduchy (tzn. v hlave spustitelny) algoritmus generujici hesla pro kazdou sluzbu nebo mit zhruba tri hesla pro ruzne urovne duveryhodnosti - prvni pro random stranky bez naroku na bezpecnost, druhe pro facebook, gmail apod. a treti pro internetove bankovnictvi.
pavlix avatar 3.9.2012 15:03 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Souhlas. Je potreba vymyslet neco lepsiho nez hesla, protoze hesla ve skutecnem svete nefunguji dostatecne dobre.
Mám za to, že vše podstatné v této oblasti bylo vymyšleno v 70. a 80. letech, dnes jde jen o to, jak to aplikovat :).
Jinak osvetou nemyslim pouzivani noveho hesla na kazdou novou sluzbu (to je proste nerealne). Ja osobne lidem radim bud si vymyslet nejaky jednoduchy (tzn. v hlave spustitelny) algoritmus generujici hesla pro kazdou sluzbu
Velmi jednoduchý algoritmus bývá obvykle velmi čitelný :).
nebo mit zhruba tri hesla pro ruzne urovne duveryhodnosti
Přesně tak. A v rámci úrovní ještě oblasti. Víc toho bez dalších omezení moc nejde vymyslet.
druhe pro facebook, gmail
Společné heslo pro facebook a mail je zvěrstvo.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
3.9.2012 16:37 radix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Velmi jednoduchý algoritmus bývá obvykle velmi čitelný :).

Pokud neni vymysleny fakt blbe, tak z jednoho hesla jej neodvodis, ze dvou uz docela snadno (je fakt, ze pro utocnika staci mit 2 weby na kterych je uzivatel registrovany).
pavlix avatar 3.9.2012 18:43 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Právě.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
3.9.2012 18:23 j
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
1) hesla lze syncovat (stejne jako spoustu jinych veci)

2) existuji externi password maangery (trebas KeePass), ktery lze nosit na flashce (napr)

Samo, ani jedno neni optimalni, pokud se clovek chce nekam prihlasovat z ciziho zeleza.
pavlix avatar 3.9.2012 14:35 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Browsery i desktopy mají integrovaný password manager už tak deset let.
To není řešení ani pro mě, natož pro podstatnou část běžné populace.
To by ses divil, co jsou lidi schopní poslat přes nešifrovaný jabber/mail/telefon.

To by ses divil, co jsou lidi schopni poslat komukoli zcela bez ohledu na komunikační médium :).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
pavlix avatar 3.9.2012 14:31 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Obecně, challenge-response autentizace ověřuje, že server a klient oba znají společné tajemství.
Takže máme stejnou definici :).
To tajemství by místo hesla klidně mohla být hash hesla, ale pak by stále ukradnutá hash mohla být zneužita k přihlášení.
To není obecně pravda.
Jestli to chápu správně, tak protokol SCRAM by tohle měl řešit.
Protocol SCRAM je typickým příkladem challenge-response. Tyhle věci řeší tak, že svým způsobem kombinuje výhody posílání plaintextu po síti i ukládání plaintextu do databáze. Výsledkem je, že musíš prolomit obojí, abyses mohl autentizovat za uživatele (tedy jak databázi, tak komunikaci).

Pokud si dobře pamatuju, tak ještě závisí na realm, takže se odlišují hashe pro různé služby. Autentizace je za předpokladu nezískání databáze oboustranná (podobně jako PSK). A nejlepší na konec, SCRAM je možné garantovat na straně klienta tak, že i samotné vytvoření hesla proběhne společně. Heslo jako takové tedy nemusí putovat po síti, nemusí se dostat k serveru a tedy není vydáno na pospas osudu.

Je to asi tak maximum, co se z autentizace heslem dá vytěžit.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
pavlix avatar 3.9.2012 14:16 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Jabber používá challenge-response autentizaci, takže vyžaduje, aby server znal původní heslo, ne jen hash.
Vtip dne. Co si prosím pán představuje pod tímto pojmem? Zjevně něco jiného než já.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Bystroushaak avatar 3.9.2012 20:31 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
  • Server vezme v databázi uložený, nejlépe nějak (třeba jabberid) posolený hash hesla HP.
  • Přidá k němu náhodný string R, čímž vznikne RHP.
  • Opět to zahashuje, čímž vznikne HRHPs.
  • Server nyní odešle klientovi onen náhodný string R.
  • Klient udělá z hesla P hash HP.
  • Přidá k němu od serveru obdržený náhodný string R, takže vznikne RHP.
  • RHP opět zahashuje, čímž vznikne HRHPc, který vrátí serveru.
  • Server porovná HRHPc a HRHPs.
  • Pokud souhlasí, klient je přihlášen.
Kde přesně v tu server potřebuje mít v plaintextu uložené klientovo heslo?
blog.rfox.eu
3.9.2012 21:33 8an | skóre: 30
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
V tomhle případě pokud útočník získá z databáze HP, může se přihlásit, takže je výsledek stejný jako kdyby získal přímo heslo. Jediný rozdíl je, že heslo nemůže použít jinde, pokud uživatel používá stejné heslo pro víc služeb (ale to už jsem psal).
If you build an operating system that even an idiot can use, only idiots will use it.
Bystroushaak avatar 3.9.2012 22:45 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Jediný rozdíl je, že heslo nemůže použít jinde, pokud uživatel používá stejné heslo pro víc služeb (ale to už jsem psal).
Což je ovšem dost podstatný rozdíl. Měl jsi někdy tu příležitost zkoušet hesla z dumplé databáze proti emailům? Já ano a úspěšnost je odhadem někde u 70%.
blog.rfox.eu
Jendа avatar 3.9.2012 02:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
A co má tedy provozovatel Jabber serveru dělat? AFAIK neexistuje žádný protokol, který by umožnil autentizaci bez poslání hesla serveru. Ani u XMPP, ani u HTTP, IMAP, …
3.9.2012 07:53 l4m4
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Ale existuje, akorát do těchto typů služeb PKI nikdo nedává...
Jendа avatar 3.9.2012 11:09 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Není třeba hned PKI. Stačí SCRAM nebo něco podobného password-based.
3.9.2012 10:58 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Ale mi nejde o to, že uživatel posílá heslo, mi jde o to že server ukládá to heslo v nezašifrované podobě. Kdyby měli salt + hash v databázi a klient by posílal pro účely autentikace plain text heslo zabalené v SSL, tak by mi to vůbec nevadilo.
Jendа avatar 3.9.2012 11:14 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
tak by mi to vůbec nevadilo
Protože útočník, který získal roota, si to jako neumí odchytit nebo co?
3.9.2012 11:25 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Protože útočník, který se zmocní zálohovaných dat neumí heslo rozluštit. Protože pokud server není kompromitovaný zrovna v okamžiku kdy se ke službě přihlašuju tak mé heslo nezíská,...

S hesly v plain textu útočník získal všechny hesla během 5 minut.
Jendа avatar 3.9.2012 11:44 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Ale pořád si to může někdo někde odchytit a ty nemáš šanci zjistit, že se tak nestalo. Nebylo by mnohem lepší místo flamování o tom, jestli se heslo na serveru má ukládat tak či onak, radši heslo serveru vůbec neposílat?
3.9.2012 12:20 radix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Pokud to dokazes na serveru snadno zaridit, aby s tim fungovali vsichni klienti, tak klidne.

Prozatim je ale sifrovani hesel na disku nejlepsi prozatimni reseni.
2.9.2012 22:44 Karel
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Odpovědět | Sbalit | Link | Blokovat | Admin
To si dneska nekdo fakt udela ucet u sluzby, ktera pak to heslo ma v nekryptovane podobe? Osel jedine
D.A.Tiger avatar 2.9.2012 22:52 D.A.Tiger | skóre: 8 | Brno
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Tak to mi tedy vysvětli jak věrohodně zjistím jakým způsobem si ta služba ty hesla ukládá. Že bych si je před tím, než si tam ten účet nechám vytvořit taky cracknul, abych si to ověřil?
Radost z toho, že někdo objeví něco nového, je omyl starý 6000 let... (Jean Paul) | anthill inside
Jendа avatar 3.9.2012 11:33 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Doporučuji předpokládat, že všechny služby všechny informace, které jim kdy pošleš, uchovávají (stejně se nakonec zjistí, že to tak je), a zařídit se podle toho. Například nepoužívat u více služeb stejná hesla, že.
D.A.Tiger avatar 3.9.2012 13:03 D.A.Tiger | skóre: 8 | Brno
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
jasně, proti tomu nic nemám.

Já jen narážel na tu poznámku, že je blb ten kdo si zřídí účet u služby která ukládá údaje v nešifrované podobě. Asi jsem blb, protože mě fakt nenapadá způsob jak si to věrohodně ověřit... (tedy pokud se neprotuneluji do toho serveru, což asi nebude to pravé ořechové...) :-(
Radost z toho, že někdo objeví něco nového, je omyl starý 6000 let... (Jean Paul) | anthill inside
3.9.2012 14:19 Franta
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Spíš jen osel tam pošle heslo, které používá i někde jinde, resp. dojde jeho vyzrazením k něčemu jinému, než ke kompromitaci té jedné konkrétní služby (např. heslo obsahující nějaký jiný osobní údaj).

Na druhé straně ano - na serveru by se mělo hashovat a solit (pokud není smysluplný důvod, proč to nedělat). Ovšem uživatel na to nemůže spoléhat.
2.9.2012 22:57 SF
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Odpovědět | Sbalit | Link | Blokovat | Admin
Fuj, hanbaaaaa....
m1c4a1 avatar 3.9.2012 01:49 m1c4a1 | skóre: 2
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Odpovědět | Sbalit | Link | Blokovat | Admin
Pokud vím, podobně nekryptovaně to měl i jabber.cz. Bohužel pořád je hodně zastánců toho ukládat hesla nešifrovaně. Hlavním důvodem je možnost poslat uživateli heslo, když ho zapomene. Blbost.
Jendа avatar 3.9.2012 02:04 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Bohužel pořád je hodně zastánců toho ukládat hesla nešifrovaně.
Bohužel pořád ještě NEEXISTUJE rozumně podporovaný protokol pro autentizaci, při kterém by server heslo nedostal. Jak chceš v takové situaci zařídit ochranu hesel?
Blbost.
Vysvětli.
3.9.2012 07:54 l4m4
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Server nepotřebuje heslo, serveru stačí veřejná část klíče.
Jendа avatar 3.9.2012 11:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
To samozřejmě jako každodenní uživatel SSH vím. Ale podporují tohle Jabber klienti?
3.9.2012 12:25 radix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
>> Bohužel pořád ještě NEEXISTUJE rozumně podporovaný protokol pro autentizaci, při kterém by server heslo nedostal. Jak chceš v takové situaci zařídit ochranu hesel?

Neexistuje optimalni reseni, proto se na to vykasleme uplne. I kdyz existuje snadne suboptimalni reseni, ktere je ale daleko lepsi nez to aktualni.
Jendа avatar 3.9.2012 02:01 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Odpovědět | Sbalit | Link | Blokovat | Admin
Skandál! Uživatel poslal serveru heslo a teď se diví, že server heslo zná!
3.9.2012 04:39 rob
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Odpovědět | Sbalit | Link | Blokovat | Admin
jé, tohle se stát MS, googlu, facebooku, to by tady bylo řevu :-D :-D :-D
Václav 3.9.2012 08:21 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
A teď tady zjevně žádný řev není :) Prober se.
Cross my heart and hope to fly, stick a cupcake in my eye!
3.9.2012 07:40 Xerces
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Odpovědět | Sbalit | Link | Blokovat | Admin
Normálně jsme se tam přihlásili na rootovský účet nbusr s heslem nbusr123 a stáhli soubor hesla.txt, tak jakýpak napadení? :-)
3.9.2012 10:56 loupak
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Odpovědět | Sbalit | Link | Blokovat | Admin
Nj, Slovacti fuseri. Ani me neprekvapuje,
mess avatar 3.9.2012 12:36 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Běž zpátky na Rouming. Taky se do slováků nestrefujeme :-)
Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
3.9.2012 14:07 JanM | skóre: 28
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Ani do Moravanů žijících na Slovácku.
3.9.2012 12:44 Mti. | skóre: 31 | blog: Mti
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
A co si ty, anonymni trole?
Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...
3.9.2012 12:46 Messiah
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
???
frEon avatar 3.9.2012 13:34 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
je mi z tebe nabliti
Talking about music is like dancing to architecture.
3.9.2012 17:14 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Odpovědět | Sbalit | Link | Blokovat | Admin
Prečo práve Jabber?
Jabber je bezpečný. Vaše konto je chránené heslom. So serverom sa môžete spojiť pomocou bezpečného protokolu SSL a používať šifrovanie a digitálny podpis PGP.
:-D :-) :-D
3.9.2012 17:29 marek_hb
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
jau, to bylo do živýho :-D
3.9.2012 17:45 Messiah
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
+1 ;) Dost ma zaraza, ze admin jabber.sk je zamestnany pre HP ako Unix Project Engineer - LOL ...security by obscurity...
3.9.2012 22:14 skupko | skóre: 16
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Jabber je bezpečný. Vaše konto je chránené heslom. So serverom sa môžete spojiť pomocou bezpečného protokolu SSL a používať šifrovanie a digitálny podpis PGP.
vsetko z toho je stale platne (popisuje sa protokol) ;-)
Bedňa avatar 3.9.2012 23:12 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Tak platné to už nieje, keď heslá má niekto iný :-) Možno by nezaškodil dodatočný opis útoku.
KERNEL ULTRAS video channel >>>
4.9.2012 07:47 kotrcka | skóre: 23 | blog: Onééé 2 | Praha
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
konto je stale chranene heslom, to sa nezmenilo.. zmenil sa pocet ludi, ktori to heslo poznaju.
Keďže tu účet nejde zrušiť, zmenil som si heslo na random a "zabudol ho".
Bedňa avatar 4.9.2012 08:51 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Nejak mi to nekorešponduje s tou bezpečnosťou.
KERNEL ULTRAS video channel >>>
4.9.2012 08:52 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Že to je ale platné, že ten protokol je "bezpečný", když je admin serveru lamer, co?
pol128 avatar 4.9.2012 10:16 pol128 | skóre: 18
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Odpovědět | Sbalit | Link | Blokovat | Admin
Keby som takú databázu ukradol, načo by mi to bolo? Zvlášť jid+heslo sa mi zdá úplne na nič. Jedine, že by som chcel posielať txt spam jednotlivým užívateľom toho jednoho jabber servera.
D.A.Tiger avatar 4.9.2012 12:37 D.A.Tiger | skóre: 8 | Brno
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Najdou se lidé, kteří stejné heslo použijou třeba na internet banking, email, k účtu na svým, nebo firemním komplu, atd, atd, ... Když víš co chceš, využití se najde...
Radost z toho, že někdo objeví něco nového, je omyl starý 6000 let... (Jean Paul) | anthill inside
Bystroushaak avatar 4.9.2012 16:02 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Napíšeš script, který vezme přihlašovací jméno a bude ho testovat ke všemu možnému, co tě napadne (pro inspiraci seznam.cz, gmail.com, atlas.cz, centrum.cz, post.cz, tiscali.cz, facebook.com).

Emailové účty nejsou problém, je na to v pythonu krásná poplib knihovna a na facebook si můžeš napsat wrapper, nebo něco najít, na netu toho jsou haldy.
blog.rfox.eu
4.9.2012 17:37 bylinka
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
Odpovědět | Sbalit | Link | Blokovat | Admin
Toto by sa mi s ICQ nestalo!
pavlix avatar 4.9.2012 18:34 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
To rozhodně ne. Proč by ještě dneska někdo na ICQ útočil :).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
4.9.2012 18:45 JZD | skóre: 15 | blog: Na_dvorku
Rozbalit Rozbalit vše Re: Jabber.sk bol napadnutý
ICQ ještě nechcíplo?
Víra znamená vyznávat to, o čem člověk dobře ví, že to není pravda. Mlčeti platina, mluviti v gajzu, býti v hajzlu.

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.