LINUX.ORG.RU
ФорумTalks

UbuntuForums взломан

 , ,


0

1

Unfortunately the attackers have gotten every user's local username, password, and email address from the Ubuntu Forums database.

http://ubuntuforums.org/announce.html

Произошла утечка базы паролей. Хоть они и были зашифрованны, тем не менее CUDA ломает их нынче как семечки.

Такие дела.

P.S. Ubuntu One, Launchpad и другие Ubuntu/Canonical сервисы не подверглись компроментации.

★★★★★

Последнее исправление: Klymedy (всего исправлений: 3)

Ответ на: комментарий от gh0stwizard

Ладно, семизнак даже с кириллицей ломается в течении нескольких дней.

там не только кириллица, есть и простые символы(которые в один байт), т.ч. не всё так просто.

И мне жалко его насиловать :)

у меня видях нет, но за то компов много. И мне их не жалко. Вот только всё равно не помогает.

Моя фраза про семечки к тому, что времена с john the reaper в 200 хэш/с прошли

проблема в том, что сложность пароля растёт слишком быстро из-за его длинны. Прогресс за несколько лет разработок железа невилируется одной лишней буквой в пароле.

А юзеру слово «катавасия123внатуре!» запомнить не намного сложнее, чем просто 123, но тут бессилен и словарь, и брутфорс на любой куде.

И да, я видел кучу пользователей, чей пароль наивный и простой, но таки из 20..30 символов. Чем такое подбирать?

drBatty ★★
()
Ответ на: комментарий от drBatty

Вобщем потестил я тут софтинки (bars, ighashgpu, hashcat, gpumd5, cryptohaze). Нормальной поддержки юникода под винду никто не запилил. И походу ты это знал :)

gh0stwizard ★★★★★
() автор топика
Ответ на: комментарий от XVilka

результат такой, что расходы на подбор словаря в принципе не окупят возможный доход. Всё равно вся более-менее ценная инфа закрыта ключами, которые никаким КК не подберёшь.

Ну а соль лишает смысла РТ.

Если дыры нет, то в неё не пролезть.

drBatty ★★
()
Ответ на: комментарий от gh0stwizard

И походу ты это знал :)

ессно знал. :)

там проблема на самом деле гораздо глубже, и в лоб не решается, энтропии кириллица сама по себе немного добавляет, но подбор усложняет сильно. Может потому-то в венде оно и запрещено искусственно.

drBatty ★★
()
Ответ на: комментарий от drBatty

в венде нельзя включать в пароль символы кириллицы, а в дебе можно.
Может потому-то в венде оно и запрещено искусственно.

вызывающе неверная информация: можно, не запрещено.
только что проверил на win7, установив пароль «123колбасаkolbasa»

xtraeft ★★☆☆
()
Ответ на: комментарий от drBatty

Что именно в «Коллизии в MD5» тебя смущает?

Что они использовались для практической атаки на SSL-сертификаты, а не против твоего хеша? :D

найди коллизию к моему хешу

Поняша меня перепутала с кадровым аналитиком ЦРУ?

Ну а SSL ломать я тебя не просил, мы про другое сейчас.

Да-да, вот про это:

докажи: de1b0bdd29e360f61470e58ab66a8c34
алгоритм md5
Метода подбора коллизии по известному хешу НЕ СУЩЕСТВУЕТ сегодня.

У меня все ходы записаны (с) :D

Umberto ★☆
()
Последнее исправление: Umberto (всего исправлений: 1)
Ответ на: комментарий от xtraeft

вызывающе неверная информация: можно, не запрещено.

на хабре другие маздайщики пишут иное. Сам я не знаю, ибо маздай не использую.

только что проверил на win7, установив пароль «123колбасаkolbasa»

ну молодец.

drBatty ★★
()
Ответ на: комментарий от Umberto

Что именно в «Коллизии в MD5» тебя смущает? Что они использовались для практической атаки на SSL-сертификаты, а не против твоего хеша?

ничего, что эти атаки принципиально отличаются?

Поняша меня перепутала с кадровым аналитиком ЦРУ?

нет. Ты говорил, что это несложно, и давно сделано. И даже якобы пруфы, типа этого предоставлял. Теперь получается, что взломать хеш любой поняши ЛОРа может только кадровый аналитег ЦРУ? Я правильно тебя понял?

Да-да, вот про это:

докажи: de1b0bdd29e360f61470e58ab66a8c34 алгоритм md5 Метода подбора коллизии по известному хешу НЕ СУЩЕСТВУЕТ сегодня.

У меня все ходы записаны

молодец. Так при чём тут SSL?

Ты можешь понять простую вещь: известен способ генерации двух мусорных файлов с одной и той же md5. Вот только у меня задача другая — найти либо оригинальную информацию по данной md5, либо любой другой файл, лишь бы с такой же md5.

Что касается SSL, то насколько я знаю, эти мусорные сертификаты использовались ещё в прошлом веке. Сейчас в сертификат вшито имя сервера, ключ сервера, и ещё данные CA. Потому твоя мусорная коллизия уже лет 20 как не работает. Ты просто не найдёшь CA, который подпишет мусор.

Кроме того, даже если ты получил сертификат на свой домен site.com, установил SSL/TLS, и имеешь Over9000 юзеров, которые уверены в том, что они приходят именно на site.com, то какой смысл выкладывать _тебе_ троянов на site1.com, если ты можешь с тем же успехом выложить на site.com? Какая практическая польза от этих клонов, сертифицированных одним и тем же сертификатом? Даже если-бы принять твои доводы, о том, что все CA сейчас живут в 1995ом году, и только ты такой умный, и про это знаешь?

drBatty ★★
()
Ответ на: комментарий от drBatty

на хабре другие маздайщики пишут иное. Сам я не знаю, ибо маздай не использую.

тогда прекращай распространять ложь под видом аргументов

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

факт в том, что любой пароль подбирается за несколько секунд. Ты это опроверг? Да/нет?

А всякие мелочи — уже не суть важно. Если в этом РЕШЕТЕ есть бантик голубого цвета, это не меняет того, что это РЕШЕТО. Даже если мысы туда бантик повесила, которого не было раньше.

drBatty ★★
()
Ответ на: комментарий от drBatty

факт в том, что любой пароль подбирается за несколько секунд. Ты это опроверг? Да/нет?

я опроверг два твоих неверных высказывания:

в венде нельзя включать в пароль символы кириллицы, а в дебе можно.
Может потому-то в венде оно и запрещено искусственно.

к сторонним темам меня не приплетай, обосрался ты именно тут.

xtraeft ★★☆☆
()

компроментации.

меня на хабре отучили так говорить

bl ★★★
()
Ответ на: комментарий от drBatty

Ты говорил, что это несложно

Где?

и давно сделано

Да. А ещё объясню для поняш, что
несложно != доступно всем и каждому.

Теперь получается, что взломать хеш любой поняши ЛОРа может только кадровый аналитег ЦРУ?

Кому надо, тот и может :D

Так при чём тут SSL?

Ты ещё про md5 спроси. Ты про коллизии заикнулся, я тебе исследования по ним и показал.

Umberto ★☆
()
Ответ на: комментарий от xtraeft

к сторонним темам меня не приплетай, обосрался ты именно тут.

вам маздайщикам никогда нельзя верить, потому-что вы постоянно врёте. В данном случае я не знаю, кто из вас врёт. Иди на хабру, и выясни этот вопрос, мне насрать.

drBatty ★★
()
Ответ на: комментарий от Umberto

Ты говорил, что это несложно

Где?

А ты здесь с кем спорил? Или это ты так соглашаешься?

Да. А ещё объясню для поняш, что несложно != доступно всем и каждому.

т.е. по вашему, и недоступно и несложно?

Как у вас котиков всё запутанно... Шрёдингер издевался?

Кому надо, тот и может

ну началось: КСЖ, Власти Скрывают, и прочее лурко*бство.

Ты ещё про md5 спроси. Ты про коллизии заикнулся, я тебе исследования по ним и показал.

зачем? Доказать мне, что ты гуглить по ключевым словам умеешь? Молодец, доказал.

drBatty ★★
()
Ответ на: комментарий от drBatty

А ты здесь с кем спорил?

Там тенденция исследований. В 2008 уже могли коллизии выявлять и эксплуатировать, сейчас уже могут, если не всё, то значительно больше.

т.е. по вашему, и недоступно и несложно?

Кому надо, тому доступно.

Доказать мне, что ты гуглить по ключевым словам умеешь?

Ты норкоман штоле?

Umberto ★☆
()
Ответ на: комментарий от Umberto

Вообще, да, правильно сказали что поняша это бот :D

Пару дней назад тебя просветили по поводу RT и прочего, теперь в этих тредах ты вещаешь:

напомню суперхакерам, что _любой_ пароль к виндовс ломается за несколько секунд с помощью RT на SSD.

Теперь ты пропарсил ссылки с исследованиями SSL и скоро будешь где-нибудь в admin учить генерировать сертификаты :D

Umberto ★☆
()
Ответ на: комментарий от Umberto

Там тенденция исследований. В 2008 уже могли коллизии выявлять и эксплуатировать, сейчас уже могут, если не всё, то значительно больше.

т.е. чисто твои фантазии? Фантазии это конечно интересно, а почему я пруфов не нашёл? Эти твои я читал уже, причём именно в 2008ом последний. Тогда-же и писал, что загадывать я не стану. Поживём — увидим. Пожили. Не увидели. Власти скрывают?

Кому надо, тому доступно.

ну так-бы и сказал: «Я Новодворская!» пруфпик

Я бы и не спорил. Конечно я знаю про боевые треножники Кровавой ГБни, так бы сразу и сказал(а).

drBatty ★★
()
Ответ на: комментарий от drBatty

Поживём — увидим. Пожили. Не увидели. Власти скрывают?

Ох жеж лол :D Сноуден мало рассказал?
И только поняша кричит:
You know nothing JonEdward snowden!

ну так-бы и сказал: «Я Новодворская!»

В профиль загляни, меня не корректно с ними сравнивать :D

Umberto ★☆
()
Ответ на: комментарий от Umberto

Пару дней назад тебя просветили по поводу RT

а ты поиском воспользуйся: меня давно уже просвещают на эту тему. Даже на моём форуме просвещали ещё ажно в твоём 2008ом ЕМНИП.

Теперь ты пропарсил ссылки с исследованиями SSL и скоро будешь где-нибудь в admin учить генерировать сертификаты

не буду. И да, твои ссылки давно протухли, ищи новые. Может даже и найдёшь.

drBatty ★★
()
Ответ на: комментарий от Umberto

Ох жеж лол :D Сноуден мало рассказал?

срал я на твоего Сноудена. Честно.

И только поняша кричит:

у тебя галлюцинации. Обратись к врачу.

В профиль загляни, меня не корректно с ними сравнивать

заглянул. В сортах говна не разбираюсь, как и в ориентации «несогласных». Я не за Пу, но и не фанатег типа вас. Мне просто насрать.

Моя АГП надеюсь понятно?

drBatty ★★
()
Ответ на: комментарий от drBatty

вам маздайщикам никогда нельзя верить, потому-что вы постоянно врёте.

но ведь в этом треде соврал именно ты, разве нет?

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

я и не претендовал на знание маздая. Что-бы врать нужно что-то знать, и делать вид, что оно не так, как оно на самом деле. А я не мог знать как оно на самом деле, ибо венды у меня нет.

И кстати, ты ещё не доказал, что русские символы действительно используются для сбора энтропии, и если используются, то как именно?

Хабралюди по моей ссылке, в отличие от тебя, приводят реальные ссылки и пруфы, которые легко проверить. А ты — просто треплешься. Доказательств стойкости твоей системы я не вижу. Их нет, и быть не может, т.к. никто не знает, как оно работает на самом деле (точнее, кому надо, тот знает, как твоё решето работает).

drBatty ★★
()
Ответ на: комментарий от drBatty

я и не претендовал на знание маздая.

ты использовал ложный тезис как аргумент

Доказательств стойкости твоей системы я не вижу

я не доказываю стойкость «твоей системы», я просто указал тебе на ошибку.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

ты использовал ложный тезис как аргумент

как один ИЗ аргументов.

я просто указал тебе на ошибку.

я рад конечно, что эту ошибку исправили, но всё равно не понимаю, почему её сознательно ввели? Какой смысл в ослаблении системы защиты? Зачем было запрещать русские(и проч) буквы, и почему не сделали соль?

Зачем специально делать из системы РЕШЕТО?

На этот вопрос ты так и не ответил, лишь отметил, что русские буквы теперь можно вставлять. Очевидно, что это сделано потому, что дыра в другом каком-то месте.

drBatty ★★
()
Ответ на: комментарий от drBatty

я рад конечно, что эту ошибку исправили, но всё равно не понимаю, почему её сознательно ввели? Какой смысл в ослаблении системы защиты? Зачем было запрещать русские(и проч) буквы, и почему не сделали соль?

да никто не запрещал использовать русские буквы в пароле в винде, тебя обманули.

На этот вопрос ты так и не ответил, лишь отметил, что русские буквы теперь можно вставлять. Очевидно, что это сделано потому, что дыра в другом каком-то месте.

твое мнение не стоит ни гроша, пока у тебя в качестве аргументов - параноидальный бред и чушь с хабра.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

да никто не запрещал использовать русские буквы в пароле в винде, тебя обманули.

несколько лет назад был на эту тему срач на хоботе(с участием некоего drBatty, ЧСХ), тамошние маздайщики твой аргумент не приводили. А уж они в курсе, у них опыт эникейства немалый. И им я верю больше, чем тебе.

твое мнение не стоит ни гроша, пока у тебя в качестве аргументов - параноидальный бред и чушь с хабра.

пока ты там только одну неточность нашёл, это буквы русские. Могу тебя расстроить: за эти годы вполне можно было сгенерить РТ и для русских букв тоже. Как и для твоей Win7, если оно такое-же РЕШЕТО как и описываемая XP. А с чего ей быть другой?

drBatty ★★
()
Ответ на: комментарий от xtraeft

что-то ты как-то совсем позорно слился. А проверить?

drBatty ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.