mmorpg.pl


Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 73 ]  Przejdź na stronę Poprzednia strona  1, 2, 3, 4
Autor Wiadomość
***
Avatar użytkownika

Posty: 10868
Dołączył(a): 17.06.2005
Offline
PostNapisane: 30 wrz 2014, 10:17 
Cytuj  
Wszyscy w koło mu to powtarzają, takie były zalecenia lekarza.


_________________
@polygamia

***

Posty: 24059
Dołączył(a): 6.04.2003
Offline
PostNapisane: 1 paź 2014, 07:18 
Cytuj  
podejrzewam, ze nawet tczewiak do konca nie kuma jak oni sie tam wjebali po tym jak rozwalili pierwsze haslo ibrutem po 36h korzystajac zapewne ze slownikow. Dla mnie czarna magia mimo ze probowalem przez te kilkudziesieciostronicowe howto ruskich przebrnac. Dla was zapewne identycznie sadzac po lakonicznych wpisach tczewa i idiotycznych reszty.

***

Posty: 24059
Dołączył(a): 6.04.2003
Offline
PostNapisane: 1 paź 2014, 08:26 
Cytuj  
embe napisał(a):
Marek robi tu wielkie wyliczenia, a wy tylko po nim tylko jeździcie i osoba nie wtajemniczona nie może spokojnie jeść popcornu i czekać z emocjami na argumenty obu stron :D


copy&paste z wikipedii, ktora jest debilna jak zauwazyl Goatus, bo nie wziela pod uwage ze wiekszosc hasel jest prostacka i sila klucza ma sie nijak do sily hasla.

***
Avatar użytkownika

Posty: 13268
Dołączył(a): 7.11.2004
Offline
PostNapisane: 1 paź 2014, 09:07 
Cytuj  
Dno dna, metr mułu, a ten bierze saperke, wstrzymuje oddech i kopie dalej.


_________________
open your mind for the serpent
open your mind for the serpent
open your mind for the serpent
open your mind for the serpent

***
Avatar użytkownika

Posty: 10599
Dołączył(a): 26.02.2002
Offline
PostNapisane: 1 paź 2014, 09:54 
Cytuj  
Marcinie, ale co ma siła szyfrowania do hasła? Oświeć mnie.

X.


_________________
http://zaginiony.net

***
Avatar użytkownika

Posty: 15620
Dołączył(a): 27.08.2005
Offline
PostNapisane: 1 paź 2014, 09:58 
Cytuj  
Mark24 napisał(a):
podejrzewam, ze nawet tczewiak do konca nie kuma jak oni sie tam wjebali po tym jak rozwalili pierwsze haslo ibrutem po 36h korzystajac zapewne ze slownikow. Dla mnie czarna magia mimo ze probowalem przez te kilkudziesieciostronicowe howto ruskich przebrnac. Dla was zapewne identycznie sadzac po lakonicznych wpisach tczewa i idiotycznych reszty.

Słyszał o botnetach?
Nie trzeba przebrnąć przez ileś stron po rusku - hasła: botnet, api, brak weryfikacji dwuetapowej przy dostępie przez api.
Klucz wykorzystywany jest do przesyłania hasła. Sam sobie możesz go wygenerować. Także to co wkleiłeś nie ma KOMPLETNIE wpływu na formę ataku.
Z dobrym botnetem i hasłem 10 znakowym da się to złamać w 20-30 minut.


_________________
ciemny lud to kupi
Deshroom napisał(a):
jeszcze mnie lewy kciuk boli od biegania

***

Posty: 24059
Dołączył(a): 6.04.2003
Offline
PostNapisane: 1 paź 2014, 18:38 
Cytuj  
a w jaki sposób pobrali account settings na swoje urządzenie apple do hackowania?
Oni korzystali z keychaina który storuje na urządzeniu wszelkie hasła, dane kart kredytowych (btw. wyciekły tylko fotki?) na urządzeniu. W jakiś sposób przypisywali nowemu urządzeniu account settings już istniejącego urządzenia po czym bruteforcem (poprzez tą appkę z dziurą) wyjmowali z niego hasła.
To było raczej offline.

***
Avatar użytkownika

Posty: 15620
Dołączył(a): 27.08.2005
Offline
PostNapisane: 1 paź 2014, 22:10 
Cytuj  
API. Tak działało API appleowskie.
To nie było włamanie na telefony, a do iClouda. Jak ktoś sobie fotki CC nie zrobił to z iC nie wyciągnęli tego.


_________________
ciemny lud to kupi
Deshroom napisał(a):
jeszcze mnie lewy kciuk boli od biegania

***

Posty: 24059
Dołączył(a): 6.04.2003
Offline
PostNapisane: 1 paź 2014, 22:35 
Cytuj  
to teraz doczytaj co to jest keychain.

***
Avatar użytkownika

Posty: 15620
Dołączył(a): 27.08.2005
Offline
PostNapisane: 1 paź 2014, 22:43 
Cytuj  
keychain nie wyłącza dostępu przez hasło do API iClouda...


_________________
ciemny lud to kupi
Deshroom napisał(a):
jeszcze mnie lewy kciuk boli od biegania

***

Posty: 24059
Dołączył(a): 6.04.2003
Offline
PostNapisane: 1 paź 2014, 22:56 
Cytuj  
chodzi mi o to, że keychain jest częścią iCloud-a. Posiadając dostęp do iClouda masz dostęp do Keychaina w którym przechowuje się też dane kart kredytowych używanych np. do zakupów w apple store. Co prawda w postaci zaszyfrowanej.

Obrazek

potem trochę czarnej magii i konkluzja:

Obrazek

stąd wniosek, że dane CC przechowywanych w keychain też mogły wypłynąć - po drodze dosyć szczegółowo opisany jest sposób jak je odczytać.

A i jeszcze jedno - odnośnie tego bruteforce. Jeżeli to było jednak robione online to czy standardem jest, że taki "login server" kompletnie nie reaguje dostając pierdylion zapytań odnośnie jednego rekordu na sekundę? Przecież to prawie podchodzi pod ddos czy flooding (czy jak to się w tej itowskiej gwarze mówi). Jeżeli tak jak piszesz tysiące++ komputerów połączonych w botnet odpytywało login server iclouda z kolejnych haseł to jak to możliwe, że po pierwsze nikt tego nie zauważył, a po drugie serwer się nie wykoryptnął. Ruch musiał być dużo większy niż standardowy. Nie ma jakichś automatycznych skryptów które reagują na takie sytuacje?
Przecież napisanie skryptu który banuje dane ip na określony czas to chyba błahostka?

***
Avatar użytkownika

Posty: 15620
Dołączył(a): 27.08.2005
Offline
PostNapisane: 1 paź 2014, 23:29 
Cytuj  
Włamywacz musiałby posiadać "masterkey" co jest raczej bardzo wątpliwe. Za takie rzeczy nikt się nawet nie bierze. Za duże nakłady vs. potencjalny zysk. Dużo łatwiej pozyskać CC z innych źródeł. Tutaj część włamywała się dla sportu, a inni handlowali rozbieranymi fotkami/szantażowali ofiary.
Chodzi jednak o sam fakt, że apple wiedziało o poważnej luce i zbagatelizowało problem. Zmienili dostęp przez API po 1 września jak nastał fappening.
Gmail miał to samo, ale przez ~3 miesiące i załatali.
Teraz w przypadku 3krotnej pomyłki za pomocą API trzeba potwierdzić dostęp na stronie gmaila/iclouda.

Mnie przeraża to, że pedofile sobie kupowali fotki dzieciaków z iclouda. Razem z adresami itp. :/ Przynajmniej tak to na TOR przedstawiali, że na tym hackerzy spory kapitał zbili. Jedyna nadzieja, że wyłapali skurwieli po przejęciu silkroad.

Edit do edytki Marka: Tak dokładnie tak. Nie reagował i o to jest szum. Bo to kompletna amatorka. Gmail miał antyflood przez api, ale to i tak botnet leciał w ten sposób, że po kolei różne konta z jednego ip testował, a potem zapętlał. W iCloudzie nawet tego nie utrudnili.
Serwery stojące w chmurze tak łatwo nie padają. Ruch jest dzielony pomiędzy różne węzły. Google u siebie zauważyło i poprawiło stosunkowo szybko. Apple jak już napisałem - sprawę olało.


_________________
ciemny lud to kupi
Deshroom napisał(a):
jeszcze mnie lewy kciuk boli od biegania

***
Avatar użytkownika

Posty: 31388
Dołączył(a): 11.02.2002
Offline
PostNapisane: 24 mar 2015, 09:49 
Cytuj  
Change your Twitch password — streaming site warns of possible hack (update)

http://venturebeat.com/2015/03/23/chang ... ized-hack/

Wyświetl posty nie starsze niż:  Sortuj wg  
Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 73 ]  Przejdź na stronę Poprzednia strona  1, 2, 3, 4


Kto przegląda forum

Użytkownicy przeglądający ten dział: Brak zidentyfikowanych użytkowników i 1 gość


Nie możesz rozpoczynać nowych wątków
Nie możesz odpowiadać w wątkach
Nie możesz edytować swoich postów
Nie możesz usuwać swoich postów

Szukaj:
Skocz do:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group | Theme based on Zarron Media theme | Copyright © 2001-2012 MMORPG.pl Team
Redakcja MMORPG.pl nie ponosi odpowiedzialnosci za tresc komentarzy i odpowiedzi umieszczanych przez uzytkownikow.