Собственик на сайт "снимал" DDoS-атака

 

 

 

 

http://www.securitylab.ru/news/439916.php

Attack on Bitcoins: The virtual currency that is creating a gold-rush amongst hackers

Толкова ли не можете да напишете едно изречение на български. Така показвате неуважение към хората, които четат форума!!!

П.С. И считайте това за предупреждение преди наказание

Толкова ли не можете да напишете едно изречение на български. Така показвате неуважение към хората, които четат форума!!!

П.С. И считайте това за предупреждение преди наказание

 

Това би трябвало да се отнася и за модератора Wankata.

Това би трябвало да се отнася и за модератора Wankata.

Съгласен съм, ще говоря с него

Internet Explorer zero-day eксплойт насочен към изследователи на ядрени оръжия.

 

http://arstechnica.com/security/2013/05/internet-explorer-zero-day-exploit-targets-nuclear-weapons-researchers/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+arstechnica%2Findex+%28Ars+Technica+-+All+content%29

Уикенд четиво на тема киберсигурност (от гледна точка на скандинавските страни) от Национален университет по отбрана - Хелзинки:

 

http://www.doria.fi/bitstream/handle/10024/88689/The%20Fog%20of%20Cyber%20Defence%20NDU%202013.pdf?sequence=1

 

 

THE FOG OF CYBER DEFENCE
Eds. Jari Rantapelkonen & Mirva Salminen

 

 

 

 

The Fog of Cyber Defenceis a study made primarily for the NORDEFCO (Nordic Defence
Cooperation) community. Nonetheless, it can be applied to other contexts in which
enhanced understanding of the challenges of cyberspace is important. The research project
was originally called Cyber Defence in the Nordic Countries and Challenges of Cyber Security.
For the purposes of the book and due to issues that were raised during the project, the name
was changed to better describe the significance and omnipresence of cyber in information
societies. However, cyber remains very much a "foggy" challenge for the Nordic countries
which are considered cyber savvies.

 

 

Редактирано 4 май 201313 г. от Методи Дамянов (преглед на промените)

http://www.securitylab.ru/news/440602.php

 

Нов модул на бота Rmnet разкарва 

Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender и AVG.

Редактирано 24 май 201313 г. от Методи Дамянов (преглед на промените)

Анатомия на хакването на пароли:

 

 

http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+arstechnica%2Findex+%28Ars+Technica+-+All+content%29

Това с какъв да е компютър няма как да стане, 8 милиарда операции в секунда! 

Това с какъв да е компютър няма как да стане, 8 милиарда операции в секунда! 

 

Има как да стане , защото тези 8 милиарда операции в секунда са като за пенсионерски компютър

 

Един от многото примери

Суперкомпютър извършва квадрилион операции в секунда ( 1 500 000 000 000 000 )

 

И за тези които ще се размрънкат че не всеки може да ползва суперкомпютър

 

Платено разбиване на пароли чрез мрежата Bitcoin 

Редактирано 28 май 201313 г. от Мохикан. (преглед на промените)

Анатомия на хакването на пароли:

 

 

http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+arstechnica%2Findex+%28Ars+Technica+-+All+content%29

Ох, не обяснявах ли преди време за тези пароли.

1. КОй ползва MD5 сега

2. 10 символна парола само от цифри и малки букви е 36¹⁰=3656158440062976=3.6*10¹⁵. После ще те питам къде ще съхраняваш тези хешове

3. Някой да е споменавал за салт на хеша?

И като смятате опрациите в секунда нали не си мислите че сравнението на един хеш е една операция?

Ох, не обяснявах ли преди време за тези пароли.

1. КОй ползва MD5 сега

2. 10 символна парола само от цифри и малки букви е 36¹⁰=3656158440062976=3.6*10¹⁵. После ще те питам къде ще съхраняваш тези хешове

3. Някой да е споменавал за салт на хеша?

И като смятате опрациите в секунда нали не си мислите че сравнението на един хеш е една операция?

 

Да обяснява.

Ако това е паролата j7b16r6ctk и имаме компютър който прави 100000 милиарда предположения в секунда , нужното време за разбиването и ще бъде 37.61 секунди. Изчислението го направих тук https://www.grc.com/haystack.htm

 

п.с. Ако към 10 символната паролата състояща се само от цифри и малки букви добавим само една буква или цифра времето за разбиването и от 37.61 секунди отива на 22.56 минути.

Редактирано 28 май 201313 г. от Мохикан. (преглед на промените)

Да обяснява.

Ако това е паролата j7b16r6ctk и имаме компютър който прави 100000 милиарда предположения в секунда , нужното време за разбиването и ще бъде 37.61 секунди. Изчислението го направих тук https://www.grc.com/haystack.htm

Добре, имаш машина с 10¹⁴ операции. Колко операции е смятането на един хеш? По мои сметки е около 100 операции, т.е. изведнъж времето се увеличава 100 пъти. т.е. е час а не половин минута.

И къде изпусна думите ми за салт на хеша?

П.П. Не ми се засягай, но без да осмислиш целия математически апарат отзад не можеш да правиш смислени заключения. Това не е само събиране и изваждане

Редактирано 28 май 201313 г. от capnemo (преглед на промените)

Добре, имаш машина с 10¹⁴ операции. Колко операции е смятането на един хеш? По мои сметки е около 100 операции, т.е. изведнъж времето се увеличава 100 пъти. т.е. е час а не половин минута.

И къде изпусна думите ми за салт на хеша?

П.П. Не ми се засягай, но без да осмислиш целия математически апарат отзад не можеш да правиш смислени заключения. Това не е само събиране и изваждане

 

Искаш да кажеш че 100000 милиарда е равно на 10^{14 ?}

 

Няма как да се засегна след като математиката ми е абсолютна мъгла. Да ти кажа честно салт-овете и хеш-овете също леко ми убягват.

Има как да стане , защото тези 8 милиарда операции в секунда са като за пенсионерски компютър

 

Нека да пробваме така,понеже голям го вадиш:

 

 

Например тактовата честота на процесора 3 GHz означава:

• 3 хиляди процесорни операции в секунда?

• 3072 хиляди процесорни операции в секунда?

• 3072 милиона процесорни операции в секунда?

• 3 милиарда процесорни операции в секунда?

А твоя процесор колко GHz-а е?   

Искаш да кажеш че 100000 милиарда е равно на 10^{14 ?}

 

Няма как да се засегна след като математиката ми е абсолютна мъгла. Да ти кажа честно салт-овете и хеш-овете също леко ми убягват.

Да, такъв е математическия запис на числото

Оценявам откровеността ти, нека се опитам да обясня нещата просто

хеширане - поредица от стъпки (математически преобразования като събиране, изваждане, умножение и други) при които един текст с (практически) неограничена дължина се превръща в текст с фиксирана дължина. Например MD5 винаги създава на изхода си 128 бита, За съжаление именно MD5 има открити слабости и вместо да генерира 2¹²⁸ стойности (10³⁸) т.е. да има нужда да провериш всички тези стойности с определени атаки стойностите се намаляват до 2⁵² (мисля) (10¹⁵). За това в съвременните системи се ползва SHA1, SHA2 даже скоро приключи конкурса за SHA3, които генерират изход до 2⁵¹² (10¹⁵⁰) Това е число със 150 знака! Толкова много числа гарантиран уникалността на генерирания хеш от входния текст. Като никога ще предложа една статия от уикипедия, защото тази конкретно е много добра: http://en.wikipedia.org/wiki/Cryptographic_hash_function

 

salt - последователност от символи, текст, който се добавя към оригиналния текст, (който хешираме) и който е неизвестен на широката публика Така атакуващия незнаейки salt няма да може да сравняваистинската хеша на истинската ни парола. Нека дам пример:

нека паролата ни е 123456,

хеша ми с SHA1 е 7c4a8d09ca3762af61e59520943dc26494f8941b

но ако добавям salt под формата на символа 1 и го слагам след текста на паролата получавам това: b5cf498b70a176efeacbc5b07d88e0da76a7f4cb

т.е. хеша, който пазя (с добавен салт) няма нищо общо с хеша, генериран без салт. Номера е че аз пазя салта неизвестен за атакуващия

 

Дано сега нещата станаха по-ясни. Ако има нещо неясно, питай

Ох, не обяснявах ли преди време за тези пароли.

1. КОй ползва MD5 сега

2. 10 символна парола само от цифри и малки букви е 36¹⁰=3656158440062976=3.6*10¹⁵. После ще те питам къде ще съхраняваш тези хешове

3. Някой да е споменавал за салт на хеша?

И като смятате опрациите в секунда нали не си мислите че сравнението на един хеш е една операция?

Че споменава се за салт има и препратка както се и споменава за SHA 1. Ето я препратката от същият автор 

http://arstechnica.com/security/2013/05/why-you-should-take-hacked-sites-password-assurances-with-a-grain-of-salt/

 

 

In fact, there's almost nothing preventing crackers from deciphering the hashes. LivingSocial used the SHA1 algorithm, which as mentioned earlier is woefully inadequate for password hashing. He also mentioned that the hashes had been "salted," meaning a unique set of bits had been added to each users' plaintext password before it was hashed. It turns out that this measure did little to mitigate the potential threat. That's because salt is largely a protection against rainbow tables and other types of precomputed attacks, which almost no one ever uses in real-world cracks. The file sizes involved in rainbow attacks are so unwieldy that they fell out of vogue once GPU-based cracking became viable. (LivingSocial later said it's in the process of transitioning to the much more secure bcrypt function.)

 

Пък и се ползват хибридни атаки, което улеснява хакването, за да имат такъв голям процент успех.

https://hashcat.net/wiki/doku.php?id=hybrid_attack

 

True to the video game analogy mentioned earlier, this second stage of attacks took considerably longer than the first one and recovered considerably fewer plains—to be exact, five hours and 12 minutes produced 2,702 passwords.

 

А и я виж за какви компютри иде реч

http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

 

Тук също е интересно

http://arstechnica.com/security/2013/05/its-official-password-strength-meters-arent-security-theater/

 

И понеже говорим за математика ето какво се използва също

 

The result is a series of statistically generated brute-force attacks based on a mathematical system known as Markov chains

 

 

https://en.wikipedia.org/wiki/Markov_chain

 

 

Всичко е много добре описано в статията.

Редактирано 29 май 201313 г. от Гост (преглед на промените)

.....

 

Всичко е много добре описано в статията.

В този ред на мисли пак да си задам въпроса: ти говориш за хибридни (речникови и комбинаторни) атаки, но имаш ли представа колко процесорна мощност е необходима за генерирането на хеш?

И ми позволи да не се съглася с автора за салт, защото ако една система е проектирана лошо не означава че всички са така. Да не говорим че такива атаки хората много отдавна използват многофакторна аутентикация

Да, знам че със съвременните видеоконтролери процеса може да се ускори много, но не достатъчно при избор на подходящи алгоритми и други мерки за защита.

В този ред на мисли замислял ли си се че факта че някой има достъп до хешовете вече говори за лошо проектирана система

В този ред на мисли пак да си задам въпроса: ти говориш за хибридни (речникови и комбинаторни) атаки, но имаш ли представа колко процесорна мощност е необходима за генерирането на хеш?

И ми позволи да не се съглася с автора за салт, защото ако една система е проектирана лошо не означава че всички са така. Да не говорим че такива атаки хората много отдавна използват многофакторна аутентикация

Да, знам че със съвременните видеоконтролери процеса може да се ускори много, но не достатъчно при избор на подходящи алгоритми и други мерки за защита.

В този ред на мисли замислял ли си се че факта че някой има достъп до хешовете вече говори за лошо проектирана система

Всъщност съм се замислял.Аз за автора на темата  не мога да кажа нищо. 

Простичко обяснено, аз си мисля, че да успее една такава атака трябва да имаме мощни компютри  да се атакува хибридно и системата като цяло да не е добре защитена.

Поне това схванах и от твоя отговор.

Прав ли съм или греша? 

P.S.

За авторът намерих това

 

 

Dan Goodin is IT Security Editor at Ars Technica, where he oversees coverage of malware, computer espionage, botnets, and hardware hacking. A journalist with more than 15 years experience, he has been chronicling the exploits of white-hat, grey-hat and black-hat hackers since 2005 as a reporter for the Associated Press and later, The Register. He has a Bachelors Degree in English from the University of Massachusetts and a Masters of Journalism from UC Berkeley. In his spare time, he enjoys gardening, cooking, and following the independent music scene.

 

http://arstechnica.com/author/dan-goodin/

Редактирано 29 май 201313 г. от Гост (преглед на промените)

Нека да пробваме така,понеже голям го вадиш:

 

 

Например тактовата честота на процесора 3 GHz означава:

• 3 хиляди процесорни операции в секунда?

• 3072 хиляди процесорни операции в секунда?

• 3072 милиона процесорни операции в секунда?

• 3 милиарда процесорни операции в секунда?

А твоя процесор колко GHz-а е?   

 

Ако се наложи 46 петафлопса в секунда или 46 квадрилиона операции в секунда

Имай предвид че мощността на най-мощния суперкомпютър в света е равна на 17 петафлопса

Всъщност съм се замислял.Аз за авторът на темата  не мога да кажа нищо. 

Простичко обяснено, аз си мисля, че да успее една такава атака трябва да имаме мощни компютри  да се атакува хибридно и системата като цяло да не е добре защитена.

Поне това схванах и от твоя отговор.

Прав ли съм или греша? 

P.S.

За авторът намерих това

 

http://arstechnica.com/author/dan-goodin/

Хм, не точно мощен компютър, няма проблем със съвременни видеоконтролери да се ускори хиляди пъти процеса, изчисленията се правят в графичния процесор, който освен че е бърз и всъщност е набор от много процесори. А операциите по хеиране и сравняване могат просто и лесно да се спаралелят. А автора допуска прекалено много неща наготово. И ми прости съмненията, ама няма голяма връзка между специалист по малуер и криптоаналитик. Има хора, които цял живот се занимават с криптоанализ, имената им са известни на специалистите. Та техните разсъждения и анализи бих чел с удоволствие, но на този - не точно

Ако се наложи 46 петафлопса в секунда или 46 квадрилиона операции в секунда

Имай предвид че мощността на най-мощния суперкомпютър в света е равна на 17 петафлопса

Не ми отговори на въпроса?!  

Не ми отговори на въпроса?!  

 

Напротив отговорих ти. Кой ще тръгне да разбива пароли с домашен компютър ?!

 Кой ще тръгне да разбива пароли с домашен компютър ?!

http://www.kaldata.com/forums/topic/131753-%D1%82%D1%8A%D1%80%D1%81%D1%8F-%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%B0-%D0%B7%D0%B0-%D1%80%D0%B0%D0%B7%D0%B1%D0%B8%D0%B2%D0%B0%D0%BD%D0%B5-%D0%BD%D0%B0-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B8-%D0%BA%D0%B0%D0%BA-%D0%B4%D0%B0-%D1%85%D0%B0%D0%BA/

http://www.kaldata.com/forums/topic/131753-%D1%82%D1%8A%D1%80%D1%81%D1%8F-%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%B0-%D0%B7%D0%B0-%D1%80%D0%B0%D0%B7%D0%B1%D0%B8%D0%B2%D0%B0%D0%BD%D0%B5-%D0%BD%D0%B0-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B8-%D0%BA%D0%B0%D0%BA-%D0%B4%D0%B0-%D1%85%D0%B0%D0%BA/

 

Дано му стигне времето , ако пък не му стигне се надявам извънземните да спрат да го безпокоят.