KLB Klaagbaak
Klaag maar raak voor een knaak.
ben ik nou zo'n n00b dat ik dit allemaal niet ken? Iedereen lijkt mee te praten met al dat gezeik om die hack.
Klacht: Ik kan niet meekeuvelen over de slechte beveiliging MD5 %hacksorz%^&^&*WTF$^%%
Antiklacht: ik wil het ook niet
Klacht: Ik kan niet meekeuvelen over de slechte beveiliging MD5 %hacksorz%^&^&*WTF$^%%
Antiklacht: ik wil het ook niet
Een oude, seniele vos is nog steeds sluw en schuw. Nooit afschrijven zeg ik je.
Toch lief dat je in een halfgaar klaagbaaktopic nog even bevestigt dat je een n00b bent.
Normale mensen houden zich gewoon stil als ze iets niet snappen...
Normale mensen houden zich gewoon stil als ze iets niet snappen...
Bestiality sure is a fun thing to do. But I have to say this as a warning to you:
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
MD5 is een soort codering van wachtwoorden. Die blijkbaar makkelijk te kraken is. Beter is om deze codering op de 1e codering los te laten.
Groetjes!
Groetjes!
MD5. jeweet tog!
MD5 is zo verouderd, tegenwoordig gebruiken de echte webdeveloppers minimaal MD7 want andere kan je hacken via port 9838 enzo.. jeweet...
MD5 is zo verouderd, tegenwoordig gebruiken de echte webdeveloppers minimaal MD7 want andere kan je hacken via port 9838 enzo.. jeweet...
17 mei 2009: Bekerfinale: s.c. Heerenveen - FC Twente 2-2 (5-4)
Wat doe jij nou?!quote:Op dinsdag 25 augustus 2009 00:45 schreef Biels het volgende:
MD5 is een soort codering van wachtwoorden. Die blijkbaar makkelijk te kraken is. Beter is om deze codering op de 1e codering los te laten.
Groetjes!
Bestiality sure is a fun thing to do. But I have to say this as a warning to you:
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
Laat hem lekker in onwetendheid. Waar moet 'ie nu z'n briljante klaagbaaktopics over openen? Nou?quote:Op dinsdag 25 augustus 2009 00:47 schreef Biels het volgende:
[..]
Meer weet ik er niet van. Ik kan het ook fout hebben, hoor.
Bestiality sure is a fun thing to do. But I have to say this as a warning to you:
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
over nerds die eigenlijk op GoT thuishoren maar op fok rondlopen natuurlijkquote:Op dinsdag 25 augustus 2009 00:50 schreef Jordy-B het volgende:
[..]
Laat hem lekker in onwetendheid. Waar moet 'ie nu z'n briljante klaagbaaktopics over openen? Nou?
"Those unforgettable days, for them I live"
Omdat sommige mensen op het internet, webdeveloper zijn, en anderen niet.
It was an encounter that lasted less than 45 seconds O+
Hou je gedeisd, Exphy.quote:Op dinsdag 25 augustus 2009 00:53 schreef zquing het volgende:
[..]
over nerds die eigenlijk op GoT thuishoren maar op fok rondlopen natuurlijk
Bestiality sure is a fun thing to do. But I have to say this as a warning to you:
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
Kijk even op wikipedia en doe daarna gewoon alsof je er ook verstand van hebt.
You've got a dirty, whorish mouth, that's what you have.
Net als een echte tweakerquote:Op dinsdag 25 augustus 2009 01:00 schreef Ron.Burgundy het volgende:
Kijk even op wikipedia en doe daarna gewoon alsof je er ook verstand van hebt.
_!
It was an encounter that lasted less than 45 seconds O+
Ja het heeft wat te maken met algoritmen.
Het Juvenalis Dilemma
Het Juvenalis Dilemma
zwakken overleven moeilijk, sterken zitten in de wolken
Net als iedereen. Het grappige is dat 99,5% van alle mensjes in de ICT gewoon eindgebruikertjes zijn, en zelf zo goed als geen kennis hebben van de diepere technologie. Het zijn gewoon een kudde aapjes die allemaal handige trucjes hebben geleerd door het op te zoeken met Google en WikiPedia.quote:
The past is what made you, but the future is what you're gonna make!
Bron?quote:Op dinsdag 25 augustus 2009 07:27 schreef AlphaOmega het volgende:
[..]
Net als iedereen. Het grappige is dat 99,5% van alle mensjes in de ICT gewoon eindgebruikertjes zijn, en zelf zo goed als geen kennis hebben van de diepere technologie. Het zijn gewoon een kudde aapjes die allemaal handige trucjes hebben geleerd door het op te zoeken met Google en WikiPedia.
al die posts om een hack, lijkt wel of dit het spannendste is wat een hoop mensen ooit heeft meegemaakt.
Don't try to wake me in the morning, cause i will be gone
* kijkt eens in zijn team en naar collega's buiten zijn team.quote:
En geloof me, dit bedrijf is een redelijke weerspiegeling van ICT land.
The past is what made you, but the future is what you're gonna make!
Ik ben er ook niet zo in thuis hoor, dacht na de eerste keer dat verhaal lezen dat de auto van Danny was gejat ofzo:
"We meet every day at the same cafe, six-thirty and no one knows she'll be there."
Ja, maar op het tweakers nazi-forum, doet iedereen alsof ze het beter weten, terwijl bijna alles een herformulering is van wat een admin met kennis van zaken in een ander topic een keer heeft gezegdquote:
Ik studeer elektrotechniek, en had een keer problemen met een printplaat. Mijn hoogleraar kon met de informatie die ik gaf niet 1-2-3 bedenken wat er fout kon zijn en dat ik het door moest meten overal, maar op tweakers.net wisten ze het wel hoor
It was an encounter that lasted less than 45 seconds O+
sorry
Die docent had de goede hoop dat je zelf zou gaan zoeken.... je faalde... heel erg... ik hoop dat je het niet triomfantelijk aan de docent hebt gemeld, want dan heb je nu waarschijnlijk een minnetje achter je naam.quote:Op dinsdag 25 augustus 2009 10:22 schreef Ascendancy het volgende:
[..]
Ja, maar op het tweakers nazi-forum, doet iedereen alsof ze het beter weten, terwijl bijna alles een herformulering is van wat een admin met kennis van zaken in een ander topic een keer heeft gezegd
Ik studeer elektrotechniek, en had een keer problemen met een printplaat. Mijn hoogleraar kon met de informatie die ik gaf niet 1-2-3 bedenken wat er fout kon zijn en dat ik het door moest meten overal, maar op tweakers.net wisten ze het wel hoor
The past is what made you, but the future is what you're gonna make!
Het zijn gewoon rukkertjes die gehoord hebben dat MD5 "zwak" is, terwijl dat hier helemaal het probleem niet was. Beetje lopen doen alsof ze het allemaal beter weten. Interessantquote:Op dinsdag 25 augustus 2009 00:42 schreef Fortitudo het volgende:
ben ik nou zo'n n00b dat ik dit allemaal niet ken? Iedereen lijkt mee te praten met al dat gezeik om die hack.
Klacht: Ik kan niet meekeuvelen over de slechte beveiliging MD5 %hacksorz%^&^&*WTF$^%%
Antiklacht: ik wil het ook niet
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
quote:Op dinsdag 25 augustus 2009 10:31 schreef AlphaOmega het volgende:
[..]
Die docent had de goede hoop dat je zelf zou gaan zoeken.... je faalde... heel erg... ik hoop dat je het niet triomfantelijk aan de docent hebt gemeld, want dan heb je nu waarschijnlijk een minnetje achter je naam.
It was an encounter that lasted less than 45 seconds O+
Pcies! Dat doen we allemaal zo toch?!quote:Op dinsdag 25 augustus 2009 01:00 schreef Ron.Burgundy het volgende:
Kijk even op wikipedia en doe daarna gewoon alsof je er ook verstand van hebt.
Netsplitter
#jesuisMasi
Gelukkig behoor ik dus tot die 0,5%.quote:Op dinsdag 25 augustus 2009 07:27 schreef AlphaOmega het volgende:
[..]
Net als iedereen. Het grappige is dat 99,5% van alle mensjes in de ICT gewoon eindgebruikertjes zijn, en zelf zo goed als geen kennis hebben van de diepere technologie. Het zijn gewoon een kudde aapjes die allemaal handige trucjes hebben geleerd door het op te zoeken met Google en WikiPedia.
MD5 encryptie is ook zwak.quote:Op dinsdag 25 augustus 2009 10:52 schreef Catbert het volgende:
[..]
Het zijn gewoon rukkertjes die gehoord hebben dat MD5 "zwak" is, terwijl dat hier helemaal het probleem niet was. Beetje lopen doen alsof ze het allemaal beter weten. Interessant
Dat is meerdere malen aangetoond.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
No shit sherlock, maar ook SHA-1 heeft zwakke punten. Het probleem is die SQL injection, dat is een groter issue dan hoe zwak MD5 is.quote:Op dinsdag 25 augustus 2009 11:45 schreef Netsplitter het volgende:
MD5 encryptie is ook zwak.
Dat is meerdere malen aangetoond.
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
Fok! was zo waardeloos beveiligd dat het om de dag gehackt werd. Dat kon natuurlijk ook niet langer zo.quote:Op dinsdag 25 augustus 2009 11:55 schreef Catbert het volgende:
[..]
No shit sherlock, maar ook SHA-1 heeft zwakke punten. Het probleem is die SQL injection, dat is een groter issue dan hoe zwak MD5 is.
The past is what made you, but the future is what you're gonna make!
Netsplitter
#jesuisMasi
True, maar aan de andere kant.quote:Op dinsdag 25 augustus 2009 11:55 schreef Catbert het volgende:
[..]
No shit sherlock, maar ook SHA-1 heeft zwakke punten. Het probleem is die SQL injection, dat is een groter issue dan hoe zwak MD5 is.
Wanneer de encryptie SHA1/2 was geweest had ons scriptkiddie de passwords niet kunnen ontcijferen.
Dus was het een veel minder groot issue geweest dan dat het nu geweest is.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Maar waar ligt de exacte bron van dit probleem? Voor zover ik het nu begrijp is er iemand niet netjes met zijn/haar credentials omgegaan.... is dat hacken, of is dat gewoon simpele slordigheid. En ja, als je een keer voorbij de deur bent, dan is het een stuk makkelijker om de sleutels van het huis te vinden... duh...quote:Op dinsdag 25 augustus 2009 11:57 schreef Netsplitter het volgende:
[..]
True, maar aan de andere kant.
Wanneer de encryptie SHA1/2 was geweest had ons scriptkiddie de passwords niet kunnen ontcijferen.
Dus was het een veel minder groot issue geweest dan dat het nu geweest is.
The past is what made you, but the future is what you're gonna make!
Hoezo zou 'ie de passwords niet kunnen ontcijferen? Het is net zo straightforward als MD5: dictionary attack. Mensen moeten gewoon niet hetzelfde password voor een forum gebruiken als voor belangrijke dingen. Klaar.quote:Op dinsdag 25 augustus 2009 11:57 schreef Netsplitter het volgende:
True, maar aan de andere kant.
Wanneer de encryptie SHA1/2 was geweest had ons scriptkiddie de passwords niet kunnen ontcijferen.
Dus was het een veel minder groot issue geweest dan dat het nu geweest is.
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
Dat en wanneer de wachtwoorden waren voorzien van een salt (bij voorkeur uniek voor ieder account) dan had het ook al veel gescheeld.quote:Op dinsdag 25 augustus 2009 11:55 schreef Catbert het volgende:
[..]
No shit sherlock, maar ook SHA-1 heeft zwakke punten. Het probleem is die SQL injection, dat is een groter issue dan hoe zwak MD5 is.
Eensch, snap er ook geen hol van.
Op zaterdag 22 januari 2011 20:00 schreef 92Merel het volgende:
Het is best vies eigenlijk :@ Maar als je het snel doorslikt heb je er weinig last van :D
Het is best vies eigenlijk :@ Maar als je het snel doorslikt heb je er weinig last van :D
ja man, de sql hpdsa database moet goed beveiligd zijn. Daarvoor moet je de h1n1/h2o encrypty erop gooien.
zal ze leren, de motherfuck hackers
zal ze leren, de motherfuck hackers
I had a splitting headache.From which the future's made.
† Ryan Dunn (June 11, 1977 – June 20, 2011)
It's funny. All you have to do is say something nobody understands and they'll do practically anything you want them to.
VIVA LA ASSANGE¡
† Ryan Dunn (June 11, 1977 – June 20, 2011)
It's funny. All you have to do is say something nobody understands and they'll do practically anything you want them to.
VIVA LA ASSANGE¡
Aangezien hij admin-access had, kon 'ie er met gemak achter komen wat de salt was. Dus nee. rainbow tables werken dan niet. Dictionary attacks wel.quote:Op dinsdag 25 augustus 2009 12:00 schreef servus_universitas het volgende:
Dat en wanneer de wachtwoorden waren voorzien van een salt dan had het ook al veel gescheeld.
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
Hoe had hij de salt kunnen achterhalen? Die wordt toch ergens in de code berekend? Ik neem aan dat hij toegang had tot de gebruikersomgeving op adminniveau, toch niet tot de broncodes? Bovendien had hij die admin-access pas na het kraken van de MD5-hash van Danny. Maar aan dat resultaat zou hij dan niets hebben gehad.quote:Op dinsdag 25 augustus 2009 12:02 schreef Catbert het volgende:
[..]
Aangezien hij admin-access had, kon 'ie er met gemak achter komen wat de salt was. Dus nee. rainbow tables werken dan niet. Dictionary attacks wel.
Ik ga er van uit dat hij ook tot de source toegang heeft gekregen.quote:Op dinsdag 25 augustus 2009 12:05 schreef servus_universitas het volgende:
Hoe had hij de salt kunnen achterhalen? Die wordt toch ergens in de code berekend? Ik neem aan dat hij toegang had tot de gebruikersomgeving op adminniveau, toch niet tot de broncodes?
Mijn punt was dus al dat hij uberhaupt nooit zover had mogen komen. Het probleem was die SQL injection, niet of MD5 al dan niet zwak was.quote:Op dinsdag 25 augustus 2009 12:05 schreef servus_universitas het volgende:
Bovendien had hij die admin-access pas na het kraken van de MD5-hash van Danny. Maar aan dat resultaat zou hij dan niets hebben gehad.
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
Oké, in dat geval heb je er inderdaad niets aan.quote:Op dinsdag 25 augustus 2009 12:07 schreef Catbert het volgende:
[..]
Ik ga er van uit dat hij ook tot de source toegang heeft gekregen.
TS trekt nu in pure wanhoop z'n haren uit, want het topic ontaardt in posts met "Informatica taal en termen MD5 en shizzle".
Ik begrijp het wel. 
Would you like to know more?
Alles over cryptocurrency, bitcoin en blockchain in begrijpelijke taal
Alles over cryptocurrency, bitcoin en blockchain in begrijpelijke taal
quote:Op dinsdag 25 augustus 2009 12:07 schreef Catbert het volgende:
[..]
Mijn punt was dus al dat hij uberhaupt nooit zover had mogen komen. Het probleem was die SQL injection, niet of MD5 al dan niet zwak was.
Ja maar die SQL injection die was in dit geval helemaal goed, volgens mij is het juist de GYGI injection waar de problemen begonnen. En inderdaad de MD5 staat er volledig buiten.quote:Op dinsdag 25 augustus 2009 12:07 schreef Catbert het volgende:
[..]
Ik ga er van uit dat hij ook tot de source toegang heeft gekregen.
[..]
Mijn punt was dus al dat hij uberhaupt nooit zover had mogen komen. Het probleem was die SQL injection, niet of MD5 al dan niet zwak was.
17 mei 2009: Bekerfinale: s.c. Heerenveen - FC Twente 2-2 (5-4)
Toegang tot de source lijkt mij niet met een sql injection. Dan moet het wel heel slecht beveiligd zijn.quote:Op dinsdag 25 augustus 2009 12:07 schreef Catbert het volgende:
[..]
Ik ga er van uit dat hij ook tot de source toegang heeft gekregen.
[..]
Mijn punt was dus al dat hij uberhaupt nooit zover had mogen komen. Het probleem was die SQL injection, niet of MD5 al dan niet zwak was.
Voor de rest eens.
Even voor de duidelijkheid Fok! is geen datingsite!
Hij had de admin passwords. Het zou me verbazen als de passwords voor de forum gerelateerde functies anders waren dan die van bijvoorbeeld de FTP.quote:Op dinsdag 25 augustus 2009 12:47 schreef DragonFire het volgende:
Toegang tot de source lijkt mij niet met een sql injection. Dan moet het wel heel slecht beveiligd zijn.
Voor de rest eens.
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
Ik zou never ever ftp toegang gelijk stellen aan een user account op een forum.quote:Op dinsdag 25 augustus 2009 12:49 schreef Catbert het volgende:
[..]
Hij had de admin passwords. Het zou me verbazen als de passwords voor de forum gerelateerde functies anders waren dan die van bijvoorbeeld de FTP.
Even voor de duidelijkheid Fok! is geen datingsite!
Het is toch duidelijk dat als die knakker zijn firewall goed ingeplugt had de windows partitie en alle wachtwoorden goed waren bewaard in mijn documenten. Maar nee, na de TCP/IP instellingen geherconfigureerd te hebben bleek de master boot record duidelijk te zijn geïnfecteerd met diverse attacks.
Fok! heeft in ieder geval een gigantische bron met talent dat zo uit de fora geplukt kan worden om Fok! te verbeteren. Stel je voor, dit was al de hoeveelste keer dat Fok! gehackt is? Daar moet nodig iets aan gedaan worden.
The past is what made you, but the future is what you're gonna make!
Die zijn wel degelijk andersquote:Op dinsdag 25 augustus 2009 12:49 schreef Catbert het volgende:
[..]
Hij had de admin passwords. Het zou me verbazen als de passwords voor de forum gerelateerde functies anders waren dan die van bijvoorbeeld de FTP.
Nee, zo werkt dat niet. Het moet iemand zijn die dedicated voor de FOK! software kan zorgen en dat is nagenoeg niemand op het forum.quote:
Fok! heeft in ieder geval een gigantische bron met talent dat zo uit de fora geplukt kan worden om Fok! te verbeteren. Stel je voor, dit was al de hoeveelste keer dat Fok! gehackt is? Daar moet nodig iets aan gedaan worden.
En de hoeveelste keer is het dat dit gebeurd volgens jou???
Eens met 1 opmerking: het probleem wordt vanwege het gebruik van MD5 wel vergroot en mogelijk gemaakt. Het werkt op elkaar door.quote:
[..]
Ja maar die SQL injection die was in dit geval helemaal goed, volgens mij is het juist de GYGI injection waar de problemen begonnen. En inderdaad de MD5 staat er volledig buiten.
Ja, een sql injection of een gygi injection is fout maar zoiets kan gebeuren. Soms mis je zoiets nou eenmaal. Kan. Maar dat zou geen probleem zijn geweest (een fout maar geen probleem) als MD5 niet was gebruikt he
Beatus vir qui suffert tentationem.
PSN Rinzewind en Cadsuana Melaidhrin
Stellar Blade *O* Sea of Stars *O* Trails Daybreak *O*
PSN Rinzewind en Cadsuana Melaidhrin
Stellar Blade *O* Sea of Stars *O* Trails Daybreak *O*
De eerste keer bij mijn weten? Heerlijk die speculaties altijd.quote:Op dinsdag 25 augustus 2009 12:58 schreef AlphaOmega het volgende:
Stel je voor, dit was al de hoeveelste keer dat Fok! gehackt is?
Dat ben ik met je eens. Even puur zonder inhoudelijke/technische kennis over dit onderwerp (interessant is het zeker) beredeneerd: het lijkt mij dat de enige reden om een wachtwoord gecodeerd op te slaan is om te voorkomen dat mensen met bevoegde toegang tot de database deze zomaar kunnen lezen. Al was het alleen maar psychologisch zodat gebruikers je niet gaan wantrouwen. Maar als je het doet om te voorkomen dat onbevoegden het kunnen lezen, dan lijkt het mij dat er wel meer gegevens zijn die je dan onleesbaar moet maken. Het probleem zit hem inderdaad puur in de toegang, lijkt mij.quote:Op dinsdag 25 augustus 2009 12:07 schreef Catbert het volgende:
Mijn punt was dus al dat hij uberhaupt nooit zover had mogen komen. Het probleem was die SQL injection, niet of MD5 al dan niet zwak was.
Ik heb het al meerdere keren geroepen, en het is sarcastisch bedoeld. Al dat gezeik en geneuzel over een slechte beveiliging, en zo lang ik op Fok! zit is Fok! nog nooit gehackt. Dus blijkbaar valt die beveiliging wel een beetje mee. En daarbij, de basis van deze inbraak ligt volgens mij in social engineering, en niet in hacken. En dat is een hele grote wereld van verschil.quote:Op dinsdag 25 augustus 2009 13:00 schreef Aestivate het volgende:
[..]
De eerste keer bij mijn weten? Heerlijk die speculaties altijd.
[ afbeelding ]
The past is what made you, but the future is what you're gonna make!
Hoe bedoel je dit?quote:Op dinsdag 25 augustus 2009 13:03 schreef AlphaOmega het volgende:
En daarbij, de basis van deze inbraak ligt volgens mij in social engineering, en niet in hacken.
"social engeneering: Iemand krijgt op een of andere manier een wachtwoord onder ogen van een admin en is daarmee in het systeem gekomen. Bijvoorbeeld als iemand als Danny in een internetcafe even probeert om iets te regelen en een ander ziet zijn wachtwoord en denkt "hey das Danny".quote:
Beatus vir qui suffert tentationem.
PSN Rinzewind en Cadsuana Melaidhrin
Stellar Blade *O* Sea of Stars *O* Trails Daybreak *O*
PSN Rinzewind en Cadsuana Melaidhrin
Stellar Blade *O* Sea of Stars *O* Trails Daybreak *O*
Ik ken de exacte gang van zaken niet, maar volgens mij is gewerkt vanuit een account met meer rechten dan een normaal useraccount. En of dat nu het account van iemand was met inderdaad meer rechten, of dat de eigenaar slordig is geweest met zijn wachtwoord, of de wachtwoordkeuze, dan is het al niet zo zeer hacken, maar iemand die daar slim misbruik van heeft gemaakt. En daar lijkt dit voorval sterk op.quote:
En toevallig genoeg is het vakantietijd, en er is vast wel door mensen met meer rechten vanuit een internetcafé ergens ingelogd. En voor je het weet is een slim persoon al een stap verder. En dan kunnen de achterliggende gegevens interessant worden, want er zijn genoeg mensen die overal hetzelfde wachtwoord gebruiken, en vaak ook nog met gelijke username. In sommige gevallen met een beetje werk een hoop interessante gegevens.
The past is what made you, but the future is what you're gonna make!
hihihihihihihi.quote:
[..]
Ik ken de exacte gang van zaken niet, maar volgens mij is gewerkt vanuit een account met meer rechten dan een normaal useraccount. En of dat nu het account van iemand was met inderdaad meer rechten, of dat de eigenaar slordig is geweest met zijn wachtwoord, of de wachtwoordkeuze, dan is het al niet zo zeer hacken, maar iemand die daar slim misbruik van heeft gemaakt. En daar lijkt dit voorval sterk op.
De ddos kwam van Danny zelf af om te zorgen dat diegene met het wachtwoord niet op het systeem kan komen
Slechte gedachtes heb ik he
Beatus vir qui suffert tentationem.
PSN Rinzewind en Cadsuana Melaidhrin
Stellar Blade *O* Sea of Stars *O* Trails Daybreak *O*
PSN Rinzewind en Cadsuana Melaidhrin
Stellar Blade *O* Sea of Stars *O* Trails Daybreak *O*
Netsplitter
#jesuisMasi
De hacker kwam trouwens via de weblog binnen, niet via het forum ofzo.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
en ook iets met zout ofzo?
That moment is a crossroads where everything you want will collide with everything standing in your way.
Waarom gooi je zo'n term niet even door Google heen 
Rot op nerds.
Extra klacht: mensen die geloven dat ik bij de Staats werk :')
Extra klacht: mensen die geloven dat ik bij de Staats werk :')
MD5 maakt passwords niet alleen niet leesbaar voor het blote oog, het is ook nog eens one-way. De enige manier om uit MD5 (paar loopholes daargelaten) een password terug te halen is brute-force. Voor zaken als e-mail e.d. is dit dus ook niet toe te passen. MD5 is alleen geen beveiliging: een MD5-hashed password is net zo goed iets wat je niet weg wil geven, het duurt alleen een tijdje om het terug te rekenen.quote:Op dinsdag 25 augustus 2009 13:01 schreef servus_universitas het volgende:
Dat ben ik met je eens. Even puur zonder inhoudelijke/technische kennis over dit onderwerp (interessant is het zeker) beredeneerd: het lijkt mij dat de enige reden om een wachtwoord gecodeerd op te slaan is om te voorkomen dat mensen met bevoegde toegang tot de database deze zomaar kunnen lezen. Al was het alleen maar psychologisch zodat gebruikers je niet gaan wantrouwen. Maar als je het doet om te voorkomen dat onbevoegden het kunnen lezen, dan lijkt het mij dat er wel meer gegevens zijn die je dan onleesbaar moet maken. Het probleem zit hem inderdaad puur in de toegang, lijkt mij.
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
quote:Op dinsdag 25 augustus 2009 13:06 schreef wdn het volgende:
[..]
"social engeneering: Iemand krijgt op een of andere manier een wachtwoord onder ogen van een admin en is daarmee in het systeem gekomen. Bijvoorbeeld als iemand als Danny in een internetcafe even probeert om iets te regelen en een ander ziet zijn wachtwoord en denkt "hey das Danny".
Ah, thanks for the info.quote:Op dinsdag 25 augustus 2009 13:06 schreef AlphaOmega het volgende:
[..]
Ik ken de exacte gang van zaken niet, maar volgens mij is gewerkt vanuit een account met meer rechten dan een normaal useraccount. En of dat nu het account van iemand was met inderdaad meer rechten, of dat de eigenaar slordig is geweest met zijn wachtwoord, of de wachtwoordkeuze, dan is het al niet zo zeer hacken, maar iemand die daar slim misbruik van heeft gemaakt. En daar lijkt dit voorval sterk op.
En toevallig genoeg is het vakantietijd, en er is vast wel door mensen met meer rechten vanuit een internetcafé ergens ingelogd. En voor je het weet is een slim persoon al een stap verder. En dan kunnen de achterliggende gegevens interessant worden, want er zijn genoeg mensen die overal hetzelfde wachtwoord gebruiken, en vaak ook nog met gelijke username. In sommige gevallen met een beetje werk een hoop interessante gegevens.
Ja oké, maar is het dan wel zo dat het dan met name gericht is op interne beveiliging? Want zoals je eerder aangaf zou het van buitenaf helemaal niet mogelijk moeten zijn om bij de hashes te kunnen komen. In hoeverre dat 100% te beveiligen valt betwijfel is, maar oké.quote:Op dinsdag 25 augustus 2009 15:11 schreef Catbert het volgende:
[..]
MD5 maakt passwords niet alleen niet leesbaar voor het blote oog, het is ook nog eens one-way. De enige manier om uit MD5 (paar loopholes daargelaten) een password terug te halen is brute-force. Voor zaken als e-mail e.d. is dit dus ook niet toe te passen. MD5 is alleen geen beveiliging: een MD5-hashed password is net zo goed iets wat je niet weg wil geven, het duurt alleen een tijdje om het terug te rekenen.
Ja, in princiepe mag je er helemaal niet bij kunnen. Gegeven genoeg rekenkracht kun je de sterkste hashes van de sterkste passwords brute-forcen.quote:Op dinsdag 25 augustus 2009 15:17 schreef servus_universitas het volgende:
Ja oké, maar is het dan wel zo dat het dan met name gericht is op interne beveiliging? Want zoals je eerder aangaf zou het van buitenaf helemaal niet mogelijk moeten zijn om bij de hashes te kunnen komen. In hoeverre dat 100% te beveiligen valt betwijfel is, maar oké.
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
maar de meeste md5-combinaties zijn al eens gebrute-forced ... en alle uitkomsten zijn ook in grote databases gezet, waardoor je nu gewoon kan zoeken op de md5 hash ... en dan een aantal mogelijke wachtwoorden kan achterhalen, zonder zelf urenlang te hoeven brute-forcen.quote:Op dinsdag 25 augustus 2009 15:11 schreef Catbert het volgende:
[..]
MD5 maakt passwords niet alleen niet leesbaar voor het blote oog, het is ook nog eens one-way. De enige manier om uit MD5 (paar loopholes daargelaten) een password terug te halen is brute-force. Voor zaken als e-mail e.d. is dit dus ook niet toe te passen. MD5 is alleen geen beveiliging: een MD5-hashed password is net zo goed iets wat je niet weg wil geven, het duurt alleen een tijdje om het terug te rekenen.
Nee, Brute-forcen is van MD5 naar origineel. Het genereren van die tabellen heet geen brute-forcen.quote:Op dinsdag 25 augustus 2009 16:04 schreef SeanFerdi het volgende:
maar de meeste md5-combinaties zijn al eens gebrute-forced ...
Dat zijn rainbow-tables. Dat is een van de methoden om een password te vinden maar in de meeste gevallen (omdat een salt gebruikt wordt) niet effectief. Dergelijke rainbow-tables bestaan net zo goed voor bijvoorbeeld SHA-1 trouwens.quote:en alle uitkomsten zijn ook in grote databases gezet, waardoor je nu gewoon kan zoeken op de md5 hash ... en dan een aantal mogelijke wachtwoorden kan achterhalen, zonder zelf urenlang te hoeven brute-forcen.
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
volgens mij is brute-forcen het met veel rekenkracht en -tijd combinaties om in te voeren vinden, dat bedoel ik dus.quote:Op dinsdag 25 augustus 2009 16:07 schreef Catbert het volgende:
[..]
Nee, Brute-forcen is van MD5 naar origineel. Het genereren van die tabellen heet geen brute-forcen.
[..]
er worden dus van alle mogelijke combinaties van x karakters een hash gemaakt, tot je dezelfde hash krijgt. en dan kan je met dat wachtwoord binnen komen. (ook al is het niet hetzelfde wachtwoord, het werkt dan wel)
en dat kan dan ook in die rainbowtables worden gezet.
en hier werd dus geen salt gebruikt, maar alleen md5, en daarom wil je liever niet alleen md5 hebben ... en het liefst een een SHA met veel bits inclusief salt, zodat het nog moeilijker te brute-forcen valt, en het dus waarschijnlijk ook niet in die rainbow tables te vinden is.quote:Dat zijn rainbow-tables. Dat is een van de methoden om een password te vinden maar in de meeste gevallen (omdat een salt gebruikt wordt) niet effectief. Dergelijke rainbow-tables bestaan net zo goed voor bijvoorbeeld SHA-1 trouwens.
en ik lees af en toe dat een 'pepper' erbij, nog beter is ... maar daar weet ik helaas niet van wat dat is.
Uitgelegd in jip-en-janneketaal:quote:Op dinsdag 25 augustus 2009 00:42 schreef Fortitudo het volgende:
ben ik nou zo'n n00b dat ik dit allemaal niet ken? Iedereen lijkt mee te praten met al dat gezeik om die hack.
Klacht: Ik kan niet meekeuvelen over de slechte beveiliging MD5 %hacksorz%^&^&*WTF$^%%
Antiklacht: ik wil het ook niet
Jouw gebruikersnaam en wachtwoord staan opgeslagen in de database fan Fok!.
Maar je wachtwoord is voor niemand leesbaar. Deze is versleuteld. Hij staat opgeslagen met 32 cijfers en letters. Zo weet niemand wat jouw wachtwoord is. (daarom kan fok je je wachtwoord ook niet geven als jij hem vergeten bent. Kan alleen een nieuw instellen).
Nu zijn er mensen die hele tabellen hebben gemaakt met alle mogelijke wachtwoorden en de versleutelde versie hiervan. Zo kan je daarmee andersom als je een versleuteld wachtwoord hebt zien wat het origineel is geweest. Gewoon door in de lijst te zoeken.
De hacker die de md5-wachtwoorden heeft, kan dus de originele wachtwoorden van iedereen herleiden. En deze bv ook proberen bij je ingestelde e-mail, als het wachtwoord hetzelfde is.
Dat dus.
Op dinsdag 16 maart 2010 18:45 schreef henrydg het volgende:
Wat is er mis met de Prius?
[ afbeelding ]
Ik vind 't een hele mooie auto.
Wat is er mis met de Prius?
[ afbeelding ]
Ik vind 't een hele mooie auto.
Uitleg:
Wat is een hash?
Jij hebt een wachtwoord "Aap", nu willen wij als webmakers niet dat het wachtwoord in de database als "Aap" wordt opgeslagen. Als iemand dan bij de database zou komen kan hij zo alle wachtwoorden uitlezen. Om dit te tegen te gaan slaan we niet het wachtwoord op maar een berekening van het woord. (hash) Je zou een hele simpele vorm kunnen bedenken hiervan: stel ik pak voor elke letter in het alfabet een getal en tel deze bij elkaar op dan wordt "Aap" 1 + 1 + 16 = 18
De hash met deze berekening is van jouw wachtwoord dus 18.
Nu kan het zijn dat een ander woord "Apa" dezelfde hash krijgt in deze berekening want 1 + 16 + 1 = 18.
Er zijn dus meerdere combinaties mogelijk die dezelfde hash terug krijgen. Hierdoor kan je dus nooit meer vanuit een hash het orginele wachtwoord terug halen. Want 18 kan de uitkomst zijn van heel veel verschillende woorden.
Als jij met jouw wachtwoord inlogt dan controleren wij dus niet of jouw wachtwoord goed is, wij berekenen opnieuw de hash van het ingevoerde wachtwoord tegen de hash die wij hebben opgeslagen. In mijn vorige voorbeeld van een hash berekening zou je dus kunnen inloggen met het wachtwoord "Apa" terwijl jouw wachtwoord "Aap" was. We rekenen beide gewoon goed.
Wat is een rainbow table?
Je kan je voorstellen dat als we altijd dezelfde hash berekening over wachtwoorden heen gooien dat je in theorie alle verschillende soorten wachtwoorden zou kunnen hashen en deze opslaan in een heeeeeeele grote tabel. Vervolgens als je een dan een hash weet kan je een passend bijbehorend wachtwoord zoeken door in deze tabel te zoeken naar een hash. Mijn vorige voorbeeld gaf kleine getalletjes terug zoals het getal 18 als hash. De berekening welke fok gebruikte was MD5, dit berekend via een andere wijze een lang getal waardoor het woord "Aap" en "Apa" niet dezelfde uitkomst krijgen. Pas wanneer je hele lange wachtwoorden hebt zou je met MD5 voor twee wachtwoorden dezelfde hash kunnen krijgen. Nu is het dus heel makkelijk om alle kleine woorden, of veel voorkomende wachtwoorden zoals "Aardappel" of "Wachtwoord" allemaal te berekenen en in een tabel te gooien (rainbowtable). Dit is de reden waarom er wordt geadviseerd om altijd minimaal 8 karakters voor een wachtwoord te gebruiken en geen bestaande woorden.
Wat is een salt?
Zoals ik in mijn vorige stukje al schreef kan je indien je altijd dezelfde berekening gebruikt ook altijd dezelfde wachtwoorden terug krijgen. En nog erger we kunnen dus alvast een opzoek tabel maken. Om er voor te zorgen dat deze rainbowtables niet gebruikt kunnen worden voegen wij een salt toe aan het wachtwoord.
Stel mijn wachtwoord is "Aap" dan voegen wij een willekeurig lange stuk tekst toe aan jouw wachtwoord:
"Aap2344asds_@3sdFsveteDatte" nu is jouw wachtwoord in ene veel langer en dit wachtwoord zal waarschijnlijk in geen een rainbowtabel zijn opgenomen. Dus ook al heeft iemand de hash dan alsnog kan hij er niks meer, want zou hij toch op een wonderbaarlijke wijze hebben uitgevonden dat jouw hash betekend:
"Aap2344asds_@3sdFsveteDatte"
Wanneer hij het invoert maken wij er van ""Aap2344asds_@3sdFsveteDatte2344asds_@3sdFsveteDatte"
En dan klopt het niet meer
Wat is een hash?
Jij hebt een wachtwoord "Aap", nu willen wij als webmakers niet dat het wachtwoord in de database als "Aap" wordt opgeslagen. Als iemand dan bij de database zou komen kan hij zo alle wachtwoorden uitlezen. Om dit te tegen te gaan slaan we niet het wachtwoord op maar een berekening van het woord. (hash) Je zou een hele simpele vorm kunnen bedenken hiervan: stel ik pak voor elke letter in het alfabet een getal en tel deze bij elkaar op dan wordt "Aap" 1 + 1 + 16 = 18
De hash met deze berekening is van jouw wachtwoord dus 18.
Nu kan het zijn dat een ander woord "Apa" dezelfde hash krijgt in deze berekening want 1 + 16 + 1 = 18.
Er zijn dus meerdere combinaties mogelijk die dezelfde hash terug krijgen. Hierdoor kan je dus nooit meer vanuit een hash het orginele wachtwoord terug halen. Want 18 kan de uitkomst zijn van heel veel verschillende woorden.
Als jij met jouw wachtwoord inlogt dan controleren wij dus niet of jouw wachtwoord goed is, wij berekenen opnieuw de hash van het ingevoerde wachtwoord tegen de hash die wij hebben opgeslagen. In mijn vorige voorbeeld van een hash berekening zou je dus kunnen inloggen met het wachtwoord "Apa" terwijl jouw wachtwoord "Aap" was. We rekenen beide gewoon goed.
Wat is een rainbow table?
Je kan je voorstellen dat als we altijd dezelfde hash berekening over wachtwoorden heen gooien dat je in theorie alle verschillende soorten wachtwoorden zou kunnen hashen en deze opslaan in een heeeeeeele grote tabel. Vervolgens als je een dan een hash weet kan je een passend bijbehorend wachtwoord zoeken door in deze tabel te zoeken naar een hash. Mijn vorige voorbeeld gaf kleine getalletjes terug zoals het getal 18 als hash. De berekening welke fok gebruikte was MD5, dit berekend via een andere wijze een lang getal waardoor het woord "Aap" en "Apa" niet dezelfde uitkomst krijgen. Pas wanneer je hele lange wachtwoorden hebt zou je met MD5 voor twee wachtwoorden dezelfde hash kunnen krijgen. Nu is het dus heel makkelijk om alle kleine woorden, of veel voorkomende wachtwoorden zoals "Aardappel" of "Wachtwoord" allemaal te berekenen en in een tabel te gooien (rainbowtable). Dit is de reden waarom er wordt geadviseerd om altijd minimaal 8 karakters voor een wachtwoord te gebruiken en geen bestaande woorden.
Wat is een salt?
Zoals ik in mijn vorige stukje al schreef kan je indien je altijd dezelfde berekening gebruikt ook altijd dezelfde wachtwoorden terug krijgen. En nog erger we kunnen dus alvast een opzoek tabel maken. Om er voor te zorgen dat deze rainbowtables niet gebruikt kunnen worden voegen wij een salt toe aan het wachtwoord.
Stel mijn wachtwoord is "Aap" dan voegen wij een willekeurig lange stuk tekst toe aan jouw wachtwoord:
"Aap2344asds_@3sdFsveteDatte" nu is jouw wachtwoord in ene veel langer en dit wachtwoord zal waarschijnlijk in geen een rainbowtabel zijn opgenomen. Dus ook al heeft iemand de hash dan alsnog kan hij er niks meer, want zou hij toch op een wonderbaarlijke wijze hebben uitgevonden dat jouw hash betekend:
"Aap2344asds_@3sdFsveteDatte"
Wanneer hij het invoert maken wij er van ""Aap2344asds_@3sdFsveteDatte2344asds_@3sdFsveteDatte"
En dan klopt het niet meer
Even voor de duidelijkheid Fok! is geen datingsite!
ik weet niet of ik moet huilen of lachenquote:Op dinsdag 25 augustus 2009 12:54 schreef Aestivate het volgende:
Het is toch duidelijk dat als die knakker zijn firewall goed ingeplugt had de windows partitie en alle wachtwoorden goed waren bewaard in mijn documenten. Maar nee, na de TCP/IP instellingen geherconfigureerd te hebben bleek de master boot record duidelijk te zijn geïnfecteerd met diverse attacks.
Don't try to wake me in the morning, cause i will be gone
Doe een huillach, dan hoef je niet te kiezen!quote:Op dinsdag 25 augustus 2009 19:35 schreef Waaghals het volgende:
[..]
ik weet niet of ik moet huilen of lachen
quote:Op dinsdag 25 augustus 2009 19:35 schreef Waaghals het volgende:
[..]
ik weet niet of ik moet huilen of lachen
Die inderdaad, het was geen serieuze post.
|
|
