Ördöglakat SQL adatbázis: elvitték vagy nem?

Titkosítás, biztonság, privát szféra

Mivel innen is részt vettek néhányan a játékban, egy FYI-t érdemel:

Tegnap egy "Szolgálati közlemény" került a Microsoft és a NetAcademia közös "hackme" játékának honlapjára, amely arról tájékoztat, hogy:

"az egyik játékos lementette az SQL adatbázist a .net temp könyvtárába. Még mindig lehetséges, hogy hozzájutott az email-címekhez. Ez 2007. december 15-én 19:31-kor történt. Szerencsére tudjuk, ki tette, remélhetőleg ez a tény el is riasztja a további károkozástól. Reméljük, senki nem volt olyan butus, hogy ugyanazt a loginnevet és jelszót adta meg, mint az online bankjában :-)

Aki mégis ilyet tett, most tanult valamit! Hackerszájtnak megadni életed legfontosabb jelszavát! Na de ilyet! Nagyon gyorsan változtass mindenütt jelszót a neten!"

Hogy igaz vagy sem (marketing), azt nem tudni.

( Coornail | 2007. 12. 16., v – 09:41 )

Szerintem kamu, de ha nem, oruljenek a gmailes cimemnek.

( kikke | 2007. 12. 16., v – 10:25 )

Következhet a gombvarrás a dontreg.com-os címemre

( maniac | 2007. 12. 16., v – 10:45 )

Alap, hogy nem ugyanazzal a jelszoval regisztralunk barhova is, mint root/email stb jelszoval, de azert ez lol :). BTW ennyire hasheltek a jelszavakat?

( anr | 2007. 12. 16., v – 11:36 )

mekkora hihetetlen marketing kamu ez a cikk.

1. ha valaki regisztralt, akkor a szerver oldal rendszregazdaja tudja a login nevet, es a passwordjet. itt a hup-on is. trey tud mindent. es?

2. Microsoft és a NetAcademia közös "hackme" játékát napok alatt feltortek, mint valami kezdo rendszregazda site-jat. mivel rakeszultek ez sokkal inkabb azt jelenti, hogy biztonsagilag eleve szar volt. gondolom nem azt akartak megmuatni hogy milyen szar az egesz. ez itt egy nemvart esemeny

3. most azt probaljak a beszed temajava tenni (talking point), hogy ak ifeltorte az is balfasz volt.

4. igy meg rosszabb a dolog, mivel egy balfasz is kepes feltorni a M$ sajt jatekat.

5. fel nem birom fogni, hogy leteznek emberek akik biznak a M$ altal nyujtott biztonsagban. es kepesek letfontossagu adataikat rabizni egy ilyen marketing/jogi cegre.

--
Live free, or I f'ing kill you.

FYI:

Kedves Játékostárs!

Riadó lefújva. Felvettük a kapcsolatot a tegnapi incidens az elkövetőjével. Nem
jutott adatokhoz, mert nem sikerült az ISA-n keresztülvernie a fájlt. Nem akart
semmit az adatokkal, csak egy kicsit "letért" a Backdoor pályáról. Nem is olyan
rossz ember, csak kreatív.

A félreértések elkerülése érdekében: jelszavakat NEM tárolunk, soha nem is
tároltunk! A jelszavak SHA-1 es salted hash-e van az adatbázisban!

Új incidens is történt: valaki rájött, a Network_Service képes módosítani az
ARP-cachet!

Mindkét eseményről a részleteket hamarosan közöljük az incidensek oldalon!

Üdvözlettel
Fóti Marcell, Ördöglakat Team
NetAcademia

Megjegyzem, tényleg nem az volt a cél, hogy szétszopassuk az embereket, hanem, hogy használják a kreativitásukat. Esetleg lehessen mutogatni a főnöködnek, mi történik, hogy ha nem ruház be megfelelő védelemre, szar beállításokat kell megtenned, szarul van megírva a program, amiért a szádat téped, de szállító cég az "Értem én, csak leszarom" viselkedés mintával van felvértezve.
Meg a lényeg, hogy tényleg mindenki használja a fejét. Reklám? Hát nem tudom :-) Nem, nem az. Ennek elég nagy reklám volt a TechNet magazin, hogy ki lett küldve, meg sajtóhír.
Azért ismételten mondom, én, aki ott a "szabadságharcos" linuxos, hogy BE LETTEK engedve az emberek, nem maguktól jöttek csak úgy be. A "programozó csapat hagyott benne egy kis hibát" effektus. Meg nem is az MS saját játéka, hanem a közönségé.
Megértem én, hogy mit gondolsz, de én belül vagyok és látom mi történik. Ott értelmes emberek dolgoznak, - én külsős vagyok - és ismétlem nem a szopatás volt a cél, meg az, hogy csak két ember fejezze be. Hanem aki okos és ügyes, de mondjuk csak 2 napja van. Meg, hogy kicsit képezze magát mindenki. Meg persze nem vatikáni valutáért lett elkészítve. Azért gondolkodjunk el azon, hogy linux alatt, ha szerzel kiemelet felhasználói jogot, ott is mennyi a védelem egy rendszeren? Most hagyjuk ki a SELinuxot és társait. Vegyünk egy alapértelmezett Debian telepítést. Ennyi, kérem kapcsolja ki.

Nembaj. Így legalább a régóta halogatott jelszóváltoztatást megcsináltam :D Lecseréltem minden accountom jelszavát erős jelszóra, és még különböznek is :)
________________________________________________
Attól, hogy más hülye, te még lehetnél normális.

( imp | 2007. 12. 16., v – 13:44 )

En kaptam levelet toluk, amiben ugyanezt leirtak, egyuttal megkerestem a jelszavamat is, ami a kapott generalt jelszo volt, ugyhogy nem annyira para.

Jelszo hasheles meg disznek van?

( -GreG- | 2007. 12. 16., v – 14:53 )

"Kedves Játékostárs!

Riadó lefújva. Felvettük a kapcsolatot a tegnapi incidens az elkövetőjével. Nem jutott adatokhoz, mert nem sikerült az ISA-n keresztülvernie a fájlt. Nem akart semmit az adatokkal, csak egy kicsit "letért" a Backdoor pályáról. Nem is olyan rossz ember, csak kreatív.

A félreértések elkerülése érdekében: jelszavakat NEM tárolunk, soha nem is tároltunk! A jelszavak SHA-1 es salted hash-e van az adatbázisban!

Új incidens is történt: valaki rájött, a Network_Service képes módosítani az ARP-cachet!

Mindkét eseményről a részleteket hamarosan közöljük az incidensek oldalon!

Üdvözlettel
Fóti Marcell, Ördöglakat Team
NetAcademia"

---
"... nem zsaru vagyok, hanem a rendorfonok."

( _Petya_ v | 2007. 12. 16., v – 17:01 )

off: Én is elkezdtem ezt a játékot, de elakadtam a DirList-es feladatnál. Valaki tudna adni egy kis segítséget hozzá?

Petya

( Lacyc3 v | 2007. 12. 16., v – 21:39 )

Most kezdek rájönni, hogy ilyesfajta biztonsági tudásom kb. a windows 95 szntjén van.. Javasolt olvasmány?

( Lacyc3 v | 2007. 12. 16., v – 22:46 )

Érdekes, mennyi új dolgot tud nekem mutatni az oldal :)

( balazs10 | 2007. 12. 17., h – 09:40 )

anr,

a hozzászólásaiddal saját magadat égeted ... de úgy látszik valakinek ez hiányzik :)

B10

ja, anr ezt benézte. Nem baj, ha a hit nem vakít el minket. De ez igaz a Windows gurukra is. Viszont abban igazat adok anr-nek, hogy, hacsak nem szorít minket valami kényszer, akkor jobb olyan rendszert választani, ami nyílt és fut több rendszeren. Ami megy linuxon és windowson legalább. Meg Solarison esetleg. Stb.