Podle mě neupozornil mailem přesně proto, že by byl ignorován a celý problém zlehčován a zamlžován. Představitelé firem velmi rádi lžou a zatloukají víc než doktor Plzák.
Pro příklad z praxe nemusíme chodit daleko, třeba rovnou k panu Pomothymu. Přestože hacker zveřejnil data, ke kterým se dostal, první Pomothyho reakce byla, že událost nebude mít vážné následky (!!!).
presne tak.
Co je to vlastne csfd.cz ? nejaky server se snizenym PR za podvodnou seolistu :) Pokud provozovatel chce svoje sluzby prezentovat jako profi a chce vydelavat, tak taky musi pro to neco delat tzn. zaplatit kvalitni lidi/firmu, aby vse zajistila.
Zabezpeceni hesel je snad jedina vec, co bych u csfd hlidal co nejvic "paranoidne", tak to neni tak nadlidsky ukol uz jen proto, ze se nejdena o banku :)
Amaterismus imho neni dobre PR, ale je fakt, ze to lidi stejne nepochopi a prodej reklamy se nesnizi, coz je jedina dulezita vec.
nuze proto, ze to vetsinou adminove servru ignoruji a nic s tim nedelaji, takze si lide zvykli ze chteli ji predejit necemu musi zpusobit to cemu by se melo predejit, jinak s tim nikdo nic neudela, stejne je to ve statni sprave.
Hashe, která hacker zveřejnil jsou očividně (podle delky a znaků) md5 a to ješte jako vysledek fce md5($heslo) tzn. nejslabší možný hash md5. Brutal force útok je v tomto pripade zcela bezproblemovy protože existují veřejné rainbow tables. Script kiddies vezmou hash a hodí ho do googlu a dostanou heslo na stříbrném podnose.
Může mi někdo vysvětlit význam slovního spojení „free piár“? Zkoušel jsem ho vyhledat Googlem a na českém internetu se vyskytuje pouze ve spojení s ČSFD.
a bude snad mit ? ... jestli je ale nekdo tak blbej, ze ma stejne heslo na csfd jako do nejake dulezite sluzby, jeho vec... preci pokud to nema byt zneuzito, tak to nesdelim ani nejakemu neznamemu kdovikomu z csfd, kde se s tim muze kdovi co dit i bez hacknuti.. takze nedelejme z toho vetsi pytlovinu, nez to je.. a pokud nekdo ke skode skutecne dojde? evoluce..
Nevím proč toho hackera oslavovat. Spáchal trestný čin úplně stejný, jako kdyby se dostal do domu, který je zabezpečený technologií s chybami, a něco tam ukradl.
Provozovatel udělal chybu, ale to ještě nikomu nezakládá právo na krádež dat.
Hacker (blog viz http://igigi.baywords.com/ ) je zjevně nafoukaný fracek, který by zasloužil minimálně pár facek!
Chápu, že získat hash otisk hesla je na jednu stranu prblém pro uživatele systému. Na druhou stranu, nikde není patrné, jaký že hash to je (možná jsem něco minul).
Ale k věci. Získat hash je jedna věc, ale získat holé heslo druhá. Jasně, brutal force je všemocný, ale pro 140.000 hesel ? To je, pokud nemá někdo slovník hash kódů, práce na pár let.
A navíc, slovník hash otisků nenajde hesla typu: BaF102gg (takže tam zbývá jenom brutal force - gratuluji.. neznámý rozsah hesla, neznámý počet písmen / číslic a ještě Upper/Lower case, diakritika.... kdysi jsem to zkoušel naprogramovat pro 5-ti místný řetězec a běželo by to pár hodin na jedno heslo)
Jediné, co lze s hashem dělat, je ho případně někam podstrčit, ale většina systémů hashuje až odeslaný řetezec u sebe, tudíž poslat přímo hash je na nic.
Toť otázka... k čemu mi je hash otisk hesla ? Inteligentní uživatel si nedá heslo typu 123456, které se získá za 5 minut, ale výše zmíněné náhodné změti znaků. Jelikož hesla lze získat, aniž by měl někdo přístup k DB... nikde jsem neviděl, že by csfd používala https :) a nějaké certifikáty bezpečnosti :)