[Ys] alerte , message important : deletage de persos

Répondre
Partager Rechercher
Citation :
Provient du message de MonsieurA
Houla, bein change de banque alors !
Impossible j'y travaille

Informatiquement je sais pas comment ca se passe mais je peux t'assurer qu'on peut sans problemes renvoyer un code bancaire a l'adresse d'un client sans nous même y avoir accès

/kiss Esaam
Citation :
Provient du message de Llyn
Impossible j'y travaille

Informatiquement je sais pas comment ca se passe mais je peux t'assurer qu'on peut sans problemes renvoyer un code bancaire a l'adresse d'un client sans nous même y avoir accès

/kiss Esaam
erf oui, les systèmes d'information de certaines banques sont tellement vieux qu'ils ne connaissent pas le md5

Et puis mon exemple était mauvais puisqu'on ne peut pas dire que la CB soit un super modèle de sécurité top qualité

Enfin bref, c'est pas le sujet la CB

Un mot de passe dans une BdD DOIT être crypté de façon irréversible (md5 par exemple) et si l'utilisateur l'oublie, aucun autre moyen que d'en regénérer un.
C'est la base de la sécurité sur une application où une authentification est nécessaire.
__________________
WoW/Ysondre(from Illidan): Mani Undead Warrior <The Fallen> [active]

DAoC/Glastonbury: Missa Warden 6LX & Missaz Bard 5LX & Missay Bainshee 4LX <Cartel> [closed]
DAoC/Ys: Mani Healer 8L6 & Manio Runemaster 10L <Veni Vidi Vici> [closed] | Daruan Sorcerer 4L9 & Dunaar Infiltrator 6L4 <Vigilance> [closed]
Citation :
Provient du message de MonsieurA
Un mot de passe dans une BdD DOIT être crypté de façon irréversible (md5 par exemple) et si l'utilisateur l'oublie, aucun autre moyen que d'en regénérer un.
Sauf que dans la vraie vie cela serait plutôt : Un mot de passe dans une Bdd DEVRAIT être crypté de façon irréversible (un hash quoi). Là encore c'est le besoin de service aux utilisateurs qui s'oppose aux problèmes de sécurité. (attention, je suis un ferme partisan du cryptage à mort de toutes informations personnelles ou sensibles).

(perso je préfère le ssha1).

ps : ce post n'est là que pour /kiss llyn
Au fait à côté de cela pour ceux qui ont des pop up de messages de pub en arrière plan pendant le jeu

=====> Adaware 6.0 est votre ami

Z allez voir il fait des merveilles

Voili voilou

P.S : par contre gaffe il fait planté kazaa parce qu il enleve justement un spy-ad integré dedans (prefere kazaa lite )
petite minute crypto...
2 cryptanalystes ont démontré une faiblesse d'une des fonctions internes de la ronde de l'algorithme MD5, créant des collisions de fonctions de compressions (en gros 2 entrées différentes donne une sortie unique).
A mon avis, le MD5 commence a etre faiblard, surtout avec les capacités de calcul actuelles

Mais bon, craqué du MD5 n'est pas a la porté du premier pelo venu, dormez tranquille mes amis ^^
Angry
Edifiant...
Suite à ce message, et puisque c'est un peu aussi mon métier, on a tenté de voir avec mes collègues sur une machine lambda le moyen accessible à une personne lambda de pénétrer vos disques et la constatation est tout à fait édifiante...
Exit le PeerToPeer, exit le trojan, exit l'analyseur de trames sortant du PC du joueur (pas évident d'utiliser ce qu'on pourrait y trouver d'ailleurs...)
Sachez chers possesseurs de Win2000 que votre magnifique OS vous créer un compte administrateur par défaut, et comme 90% des gens qui sont pressés, vous tapez Entrée lors de l'installation de l'OS (parce que c'est déjà gonflant de réinstaller ).
Or sur ces 90% d'utilisateur qui vont laisser le compte administrateur en blank et en actif à la première connection réseau, peu d'entre eux vont penser à changer le mot de passe, à renommer le compte admin ou à le désactiver...

Ce que ca implique me direz vous?

Vous avez un partage logique en partition caché pour chaque partition de votre disque dur (c$, d$ ....), partitions actives pour les administrateurs de poste...

Donc on prend un ptit scanner, on scan les postes actifs sur le domaine Wanadoo ce matin...
On prend un panel de 200 connectés. Sur les 200 connectés, nous avons trouvé 127 postes en W2000. Sur un de ces 127 postes, nous découvrons un client DAOC, nous le prenons comme poste test en nous improvisant pirates...

Nous installons un script d'envoi auto de mail contenant l'adresse IP sur connection de l'utilisateur.
Nous déployons un logiciel pirate de PMAD (dont nous ne donnerons pas le nom ici), qui va nous permettre de voir ce que l'utilisateur fait...
Coup de bol, celui ci a laissé son ordinateur allumé sur E-Donkey et pas d'activités visible sur le poste.
Nous décidons d'installer Dameware, un logiciel d'administration réseau qui a pour avantage de se lancer en tant que services et qui est assez puissant.

Dameware est installé, nous éteignons le poste afin de tester le tout.

1h plus tard <ding> You got mail!
Adresse IP connue, l'utilisateur cherche à savoir pkoi ses téléchargements se sont stoppés...
Finalement au bout de 45 min, il se lance sur Hib/Orcanie et nous montre gentillement le fichier où il a lock son mdp...

Bref...
Tout ça pour vous dire qu'avant de crier au loup, vous allez tous aller sur vos machines me désactiver ce £¨%µ££!!!! de compte.

Ps: naturellement, nous avons désinstallé le logiciel pendant que ce jeune homme jouait à DAOC (désolé pour l'activité disque) et nous avons verrouillé notre compte d'accès sur la machine test.
Citation :
Provient du message de NoLd
Arrêtez ce petit jeu dans lequel vous accusez Goa d'incapacité !
Si c'est le cas , allez y , tenter d'hacker le serveur de Goa ... s'ils sont si incapable
Ben la, donner des mots de passe pas mauvais point de vue securite et les stocker de maniere reversible, je suis desole, mais c'est un zero pointé.

Sinon, non, je n'essaierai meme pas de hacker quoique ce soit, parce que le seul fait d'essayer est illegal...
Citation :
Provient du message de Haltrazar
petite minute crypto...
2 cryptanalystes ont démontré une faiblesse d'une des fonctions internes de la ronde de l'algorithme MD5, créant des collisions de fonctions de compressions (en gros 2 entrées différentes donne une sortie unique).
A mon avis, le MD5 commence a etre faiblard, surtout avec les capacités de calcul actuelles

Mais bon, craqué du MD5 n'est pas a la porté du premier pelo venu, dormez tranquille mes amis ^^
le fait que md5 ne soit pas un algorithme bijectif, n'est pas gênant vu que la chaîne de caractère générée n'a pas à être et ne peut pas être décryptée pour retrouver le mot de passe en clair.

@morticiah: belle démonstration
__________________
WoW/Ysondre(from Illidan): Mani Undead Warrior <The Fallen> [active]

DAoC/Glastonbury: Missa Warden 6LX & Missaz Bard 5LX & Missay Bainshee 4LX <Cartel> [closed]
DAoC/Ys: Mani Healer 8L6 & Manio Runemaster 10L <Veni Vidi Vici> [closed] | Daruan Sorcerer 4L9 & Dunaar Infiltrator 6L4 <Vigilance> [closed]
et pour ceux qui s'y connaissent un peu en linux et qui ont les moyens je conseille fortement de créer un serveur linux sur laquelle vous branchez votre machine windows en local




c'est ce que j'ai fait quand j'ai changé de machine, l'ancienne me sert maintenant de routeur/firewall et je me sens déjà plus en sécurité



par contre c'est vrai que ce n'est pas évident à mettre en place et à configurer
Citation :
Provient du message de Jarneh
et pour ceux qui s'y connaissent un peu en linux et qui ont les moyens je conseille fortement de créer un serveur linux sur laquelle vous branchez votre machine windows en local
c'est ce que j'ai fait quand j'ai changé de machine, l'ancienne me sert maintenant de routeur/firewall et je me sens déjà plus en sécurité
par contre c'est vrai que ce n'est pas évident à mettre en place et à configurer
It s the solution ca ;-)
Citation :
Provient du message de MonsieurA
le fait que md5 ne soit pas un algorithme bijectif, n'est pas gênant vu que la chaîne de caractère générée n'a pas à être et ne peut pas être décryptée pour retrouver le mot de passe en clair.

@morticiah: belle démonstration
il suffit de faire une birthday attack en utilisant cette faille. on pourra ainsi trouver une sortie identique mais avec une entrée différente, donc il suffit de mettre cette nouvelle entrée généré comme mot de passe et hop, c'est gagné. bon ok, dans la pratique un mot de passe fait très peu de caractère donc c'est vraiment un bol énorme si on trouve des colisions dedans

a noté que la colision se fait sur la 3e ronde, et MD5 fait 4 rondes, donc bien plus balaise a deviner (MD4, lui, était craqué car colision sur 3 rondes et algorithme de 3 rondes)


enfin je vais arreter la sinon le post va finir dans le forum technique ^^
Citation :
Provient du message de Haltrazar
A mon avis, le MD5 commence a etre faiblard, surtout avec les capacités de calcul actuelles
Certes, mais il suffit alors de faire un "truc" maison.
Moi, dans une appli, je concatenais la sortie de 2 digests different (MD5 et un autre), ce qui faisait que meme s'il y avait collision sur la partie MD5, ca n'etait pas le cas sur l'autre... evidemment, il faut bien choisir ses digests pour eviter que leur association puisse donner des indications sur le message de depart...
ben moi ca m est ariver mais j avais passer les log a pote et lui les avait passer etc.. mais bien souvent on veut recupe c persso donc on dit pas qu'on a passer les log pasque dans ce cas la ca serait entierement ca faute donc fo d abord verifier si la perssonne ki c fait ""hacker"" est de bonne fois
Citation :
Provient du message de Ednirio
C'est quand même une sacrée coïncidence ces disparitions de persos sur Ys juste après un patch liés aux contenus d'animation.
Tu l'as dit toi même, c'est une coïncidence
Citation :
Provient du message de Eoldrenn Elendil
Quand je dis Hackers de bas étages le mot hacker est même trop d'honneur pour eux quand ils agissent à partir d'un cyber en récupérant les pass les têtes en l'air peuvent laisser.
Le terme que tu cherches est : script kiddy.

Script kiddy (sometimes spelled kiddie) is a derogative term, originated by the more sophisticated crackers of computer security systems, for the more immature, but unfortunately often just as dangerous exploiter of security lapses on the Internet. The typical script kiddy uses existing and frequently well-known and easy-to-find techniques and programs or scripts to search for and exploit weaknesses in other computers on the Internet - often randomly and with little regard or perhaps even understanding of the potentially harmful consequences. Hackers view script kiddies with alarm and contempt since they do nothing to advance the "art" of hacking but sometimes unleashing the wrath of authority on the entire hacker community.
While a hacker will take pride in the quality of an attack - leaving no trace of an intrusion, for example - a script kiddy may aim at quantity, seeing the number of attacks that can be mounted as a way to obtain attention and notoriety. Script kiddies are sometimes portrayed in media as bored, lonely teenagers seeking recognition from their peers.

urf ?
Moi je dis le md5 couplé au system drx82 bi trimentionnel avec ses slots en 4DR n'est même pas capable de me décrypter ce foutu algorithme récurssif qui flood ma plateforme inter Netx, plorer par le biais du JOL s'en sort bien lui ^^

/nerf les nains zenieurrsss nainformiticiiiiieennnsssssss la lalalalala lala ah
z aime les nordinateureeuuhhhhhh ..... et vindoz quatreuuhhh vingt dix huittteeuuhhhhhh

/em qui fait semlbant de comprendre
Citation :
Provient du message de Esaam Majere
Le terme que tu cherches est : script kiddy.

Script kiddy (sometimes spelled kiddie) is a derogative term, originated by the more sophisticated crackers of computer security systems, for the more immature, but unfortunately often just as dangerous exploiter of security lapses on the Internet. The typical script kiddy uses existing and frequently well-known and easy-to-find techniques and programs or scripts to search for and exploit weaknesses in other computers on the Internet - often randomly and with little regard or perhaps even understanding of the potentially harmful consequences. Hackers view script kiddies with alarm and contempt since they do nothing to advance the "art" of hacking but sometimes unleashing the wrath of authority on the entire hacker community.
While a hacker will take pride in the quality of an attack - leaving no trace of an intrusion, for example - a script kiddy may aim at quantity, seeing the number of attacks that can be mounted as a way to obtain attention and notoriety. Script kiddies are sometimes portrayed in media as bored, lonely teenagers seeking recognition from their peers.
Pas exactement

Là, on parle plutôt de Lamers, de gens qui ne sont là que pout faire du tord.

Le script kiddie est aussi le plus souvent un lamer, mais pas toujours.
Ce qui caractérise le script kiddie, c'est son inaptitude technique totale.
Il ne connait rien à ce qu'il touche.
Il ne saurait pas décoder une trame TCP/IP, il ne saurait pas pratiquer l'IP spoofing, lister les ports ou autres.
En revanche, le script kiddie utilise un lociciel développé par un tiers, afin de hacker.
La plupart du temps, il ne sait se servir que d'un ou deux fonctions du lociciel d'ailleurs.

Exemple type de scrip kiddie : Les petits [je m'automodère] qui utilisent les générateurs de virus, et qui nous en concoctent 12 par jour, en les répendant dans des fichiers/emails.
Jamais ils ne pourraient développer un virus par eux-mêmes, mais ça ne les empêche pas de nuire.
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés