Re: [пых-пых-бе-бе] Достукались таки

не люблю подобные выпады, но в данном случае не оставляет вариантов..

РЕШЕТО!

Re: [пых-пых-бе-бе] Достукались таки

> Атаковавшим удалось восстановить из MD5 хешей около 28 тыс. паролей, которые в последующем были опубликовали в сети, вместе адресами электронной почты и персональными данными пользователей.

Да кому нужны эти недоюзеры с паролями qwerty, 123, password и root? Более сложные пароли бы в таком количестве так быстро не восстановились.

Re: [пых-пых-бе-бе] Достукались таки

на CUDA пароли в MD5 хрустят со скоростью 1 гигахеш в секунду. Так что вполне вероятно, что и не 123...

Re: [пых-пых-бе-бе] Достукались таки

>на CUDA пароли в MD5 хрустят со скоростью 1 гигахеш в секунду. Так что вполне вероятно, что и не 123...

опередил

Re: [пых-пых-бе-бе] Достукались таки

фигассе!!

Re: [пых-пых-бе-бе] Достукались таки

Ссылку на реализацию этого гигахеша в секунду!

Re: [пых-пых-бе-бе] Достукались таки

Да пожалуйста: http://3.14.by/ru/md5

Re: [пых-пых-бе-бе] Достукались таки

Хм.. один из немногих проектов, которым я помогал ))

А вообще RSBAC и SHA512 лишают беспокойства дома...

Re: [пых-пых-бе-бе] Достукались таки

>на CUDA пароли в MD5 хрустят со скоростью 1 гигахеш в секунду. Так что вполне вероятно, что и не 123...

За сколько 20-знак (A-Z, a-z, 0-9) найдёшь?

Re: [пых-пых-бе-бе] Достукались таки

на куда пароли не хрустят

Re: [пых-пых-бе-бе] Достукались таки

Баксов за двести.

Re: [пых-пых-бе-бе] Достукались таки

а плд линух имеется? А то по ссылке вижу только вендоподелия...

Re: [пых-пых-бе-бе] Достукались таки

Пока нема :( Автор на форуме говорит, что у него в ближайшем будущем будет версия под никсы.

Re: [пых-пых-бе-бе] Достукались таки

ну пока нет и не надо.

Re: [пых-пых-бе-бе] Достукались таки

А они там разве не md5 с солью используют?

Re: [пых-пых-бе-бе] Достукались таки

Тем временем секлаб постит УГ в новости.

Re: [пых-пых-бе-бе] Достукались таки

Ссылка на тему в форумах. http://3.14.by/forum/viewforum.php?f=6
Примечательно, что автора программы зовут Михаил

Re: [пых-пых-бе-бе] Достукались таки

1) [:]|||[:]
2) Вскрыт был не сам phpBB.
3) Мало ли кого через что ломают.

Не phpBB.

>2) Вскрыт был не сам phpBB.

Можно подробнее?

Re: Не phpBB.

> Можно подробнее?

Можно. Поскольку сам phpBB это только форум, а их сайту требовалось больше, они использовали и сторонние скрипты. В частности, http://www.phplist.com/ . Именно в нём и обнаружилась уязвимость, которая позволила выпотрошить сайт phpBB.

Re: Не phpBB.

> Можно подробнее?

http://area51.phpbb.com/phpBB/viewtopic.php?f=3&t=29973

«...we have recently been attacked via a vulnerability in an outdated PHPList installation. The initial attack was performed well before a new version of the software was released or a patch provided. It is important to stress that no vulnerabilities have been found in the phpBB software itself...»

«The attacker gained entry through the PHPList application and was able to dump a complete backup of the emails on file. He then used the same exploit to access the phpBB.com database. Both the email list from PHPlist and a copy of the phpBB.com users table were then posted publicly.

phpBB3 uses a complex hashing algorithm in order to prevent someone from determining the plaintext value of a password. phpBB2, however, used a much simpler and less secure md5 algorithm to store passwords. This is one of the many reasons why we have decided to no longer support the phpBB2 software. Because hashes cannot be reversed, phpBB3 is set to convert phpBB2 hashes to the new phpBB3 standard during the first user login. Those users who registered while phpBB.com used phpBB2 and did not login on the new phpBB3 board continue to have their password hashes stored in the old format. Passwords stored in the old format are much less secure than those stored in the new format. The attackers have been focusing purely on the passwords stored in the old format.

If the password to your phpBB.com account is used anywhere else (especially with the same username), we strongly recommend that you change it. Using the same password across multiple sites is not security wise and should not be done under any circumstance. Additionally, you should change your password on phpBB.com, when it becomes available.

We apologise for not securing our servers in time to prevent this from happening. This demonstrates how critically important it is to always make sure that you keep up to date with any software that is running on your machine. Intrusion is possible even before a patch is provided to fix a vulnerability. At this time, the team is working around the clock to restore phpBB.com and other resources.»

Вывод: не пользуйтесь phpBB2, md5 и непатченным PHPList.

Re: [пых-пых-бе-бе] Достукались таки

Наконец кто-то в клочья взорвал этот труп.