In che modo "anonimo" si impossessa di tutte queste password in testo semplice

8

Negli ultimi mesi ci sono state diverse violazioni dei dati divulgate e defacement del sito Web pubblico da parte di diversi gruppi di hacker (che i media amano raggruppare in un singolo dominio - "anonimo") più di recente alcuni attacchi su BART e organizzazioni affiliate che seguono una mossa controversa da parte dell'agenzia di transito.

È concepibile che alcuni siti Web pubblici (effettivamente cartelloni pubblicitari) non siano ben protetti (come la "hack" della CIA di due mesi fa) che consente a qualcuno con un'esperienza blackhat di entrare e disfare e sfigurare il sito web (oltre a rilasciare alcuni dettagli irrilevanti sull'organizzazione di FS e altre cose). Tuttavia, ogni tanto rilasciano altri dettagli privati, come elenchi di nomi utente di parole chiave, password di vari server di database presenti nell'attacco.

Quello che mi confonde è come ottengono un elenco così ampio di password. Questi server sono così mal configurati che le password per i servizi Web sono archiviate in testo semplice? La bruta "anonima" sta forzando qualche hash-list e rilasciando il frutto della password low-hanging (questo distorce il numero di password che sembrano semplicistiche)? Stanno impostando la base sui server compromessi e registrando tutte le password?

Mi sembra un po 'snervante che i servizi Web associati alle organizzazioni legittime memorizzino le informazioni sulle password in modo tale che sia facilmente recuperabile a chiunque disponga di script di hacking.

    
posta crasic 18.08.2011 - 00:25
fonte

3 risposte

7

Sì, molti di questi siti sono configurati così male da memorizzare le password in testo semplice.

Oppure, quando le password vengono archiviate come hash crittografate, gli hacker rilasciano password facilmente decodificate. In realtà, solo nel caso dell'hacking di NewsCorp, Anonimo ha decrittografato le password, a parte questo, hanno semplicemente pubblicato gli hash delle password: le notizie mainstream si confondono, tuttavia, e le descrivono come rilasciando le password. In pratica, è piuttosto semplice decrittografare gli hash. Ad esempio, le persone sono state in grado di decifrare il 40% delle password nella discarica Booz-Allen.

No, non stanno intercettando le password. Stanno in gran parte semplicemente scaricando tutto sul server, cancellando il sito, quindi procedendo.

Non so perché sei innervosito: la maggior parte dei siti a cui viene data la password su Internet la memorizzerà in testo normale. Solo i più attenti alla sicurezza, quelli che tendono a proteggersi dall'hacking in primo luogo, si preoccuperanno dell'asportazione delle password.

    
risposta data 18.08.2011 - 05:39
fonte
4

A quanto ho capito, la maggior parte dei compromessi di LulzSec, Anonymous, ecc. sono di tipo SQL injection. HBGary, Sony, Apple ... caddero tutti a causa delle falle di SQL injection nelle loro app web. link

A volte le password sono in chiaro, a volte sono degli hash che sono pre-crackati dal gruppo, e qualche volta pubblicano un torrent di tutti gli hash e lasciano che sia il mondo a capirlo.

Inoltre, un buon suggerimento infosect: non dare il permesso alle tue app Web di interrogare le password. Utilizzare una procedura memorizzata per confrontarli. In questo modo, anche se sei una vittima di SQL injection, nessuno può scaricare gli hash delle password.

    
risposta data 18.08.2011 - 16:17
fonte
0

Prova a seguire il blog di Troy Hunt con ad esempio questo articolo . La parte peggiore di un hackeraggio di un sito e di furto di informazioni sull'account (con password in chiaro) significa che esiste un rischio per la sicurezza per altri siti, in quanto le persone tendono a riutilizzare le password.

Saluti, Wim

    
risposta data 18.08.2011 - 16:05
fonte

Leggi altre domande sui tag