http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/Wpisy z dziennika internetowego Jogger, wspomaganego przez JabberaSat, 04 Feb 2012 17:05:30 +0100JoggerPLhttp://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437334Epic fail. No ale tak to jest, jak dzieci robią sobie serwis.ps. Serwery developerskie/testowe się trzyma w wewnętrznej, wydzielonej sieci wewnątrz firmy - dostęp to może sobie być, ale przez VPN - whitelistowanie IP-ów to kiepski pomysł.Sat, 05 Sep 2009 21:45:18 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437334http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437339Carstein: dostęp z wewnętrznej sieci często odpada (pewnie i tak było w tym przypadku) ze względu na "telepraco-programistów". Do konfiguracji VPN-a nierzadko trzeba mieć większego skilla - a shh otwarte na świat postawić prawie każdy potrafi... ;-)Sat, 05 Sep 2009 21:47:30 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437339http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437344„ataki byłyby trudniejsze, gdyby hasła użytkowników były saltowane”Myślę, że słowo „posolone” było by bardziej zrozumiałe. ;-)A od pamiętania długich losowych haseł są przeglądarki. Użytkownik musi pamiętać jedynie hasło do bazy haseł przeglądarkowych.Sat, 05 Sep 2009 21:50:41 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437344http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437345Czyli co nieco wyjaśniłeś Piotr. Skoro cała sytuacja miała miejsce pół roku temu, a wtedy jeszcze konta tam nie miałem - niepotrzebnie zacząłem masowo zmieniać hasła, które i tak były najróżniejsze w różnych serwisach.Niemniej jednak sytuacja co najmniej nie poważna, a w dzisiejszym świecie jak pisał przedmówca po prostu dziecinna.Sat, 05 Sep 2009 21:50:46 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437345http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437349bq. A od pamiętania długich losowych haseł są przeglądarki. Użytkownik musi pamiętać jedynie hasło do bazy haseł przeglądarkowych.Myślisz, że takie rozwiązania są bezpiecznie? Wątpię.Sat, 05 Sep 2009 21:52:05 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437349http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437350Teraz chyba aktualny slogan to "cała polska zmienia hasła, zmień i TY" :)Sat, 05 Sep 2009 21:52:35 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437350http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437352Jeszcze odnośnie przeglądarek: jeśli ktoś nie ufa przeglądarce (a niektórym nie powinno się ufać), może trzymać hasła w szyfrowanym pliku, tak jak ja. ;-) A na serwisach i tak jestem permanentnie zalogowany, więc wcale nie muszę do niego często sięgać.Sat, 05 Sep 2009 21:53:27 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437352http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437354Adriano: Nie. W gruncie rzeczy nie istnieją rozwiązania bezpieczne.Sat, 05 Sep 2009 21:54:02 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437354http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437355mcv: to prawda, zmieniam. (Arghh... nienawidzę polskich odpowiedników angielskich zwrotów, zwłaszcza w terminologii technicznej).Co do przeglądarek, to trochę boli, jak się pliki przeglądarki posypią... :> Ale polecam managera haseł w Operze - sam korzystam. Korzystam też z pliku tekstowego, w którym zapisuje hasła, szyfruje symetrycznie via GPG, i umieszczam w kilku miejscach.Sat, 05 Sep 2009 21:54:40 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437355http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437357mvc: permanentne zalogowanie, to takie nadstawianie pupy na CSRF-owego klapsa ;-)Sat, 05 Sep 2009 21:55:34 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437357http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437359Akurat w przypadku wykopu czy innych podobnych wcale mnie ten CSRF nie przeraża. :þ Ważniejsze serwisy same uniemożliwiają dłuższe zalogowanie. :-)Sat, 05 Sep 2009 21:57:09 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437359http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437361I chciałoby się powiedzieć: a nie mówiłem?!Chodzi oczywiście o wyciek danych z Wykop.pl. Piotrek Konieczny już napisał kilka słów na ten temat, więc ja trochę inaczej: a nie mówiłem?!I dlatego warto mieć jedno hasło...,O przechowywaniu haseł,Napiszę to jeszcze raz: uż[...]Sat, 05 Sep 2009 21:58:20 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437361http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437370Piko:Ja wszystko rozumiem, że to trudne postawić vpn'a, że programiści muszą mieć dostęp z zewnątrz itp.Ale każdy epic fail to konsekwencja małych wpadek, często jednostkowo wręcz śmiesznych (zresztą tak samo jest w przypadku wypadków lotniczych).Maszyna developerska z dostępem zewnętrznym, brak hasła, baza produkcyjna, brak salta. Żadna z tych rzeczy sama w sobie nie jest krytyczna (no może poza brakiem hasła).Każdy z nas popełnia błędy - ale popełnić ich tyle to amatorszczyzna.Sat, 05 Sep 2009 22:09:10 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437370http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437372Tyle razy na wykopie śmiano się z innych, a tu proszę - wszystko co dało się zrobić źle to chyba zrobiono (może poza plaintextem...)BTW: z tym adminem to akurat bullshit, to jakiś zwykły, zbanowany na dodatek user.Sat, 05 Sep 2009 22:10:31 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437372http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437375Carstein: Ja ich nie tłumaczę, żeby nie było ;-) Należy im się jak nikomu innemu (vide komentarz wzs). A na marginesie ostatnio zastanawiałem się, który portal musiałby takiego epic-faila przeżyć, żeby trafić do jak największej ilości osób nieświadomych z informacją, co grozi za to samo hasło w każdym miejscu. I teraz dochodzę do wniosku, że Wykop jest jak znalazł -- myślę, że tysiące "młodzieży" dzięki tej wpadce choć trochę zostanie uświadomiona w temacie polityki haseł. wzs: wyjaśnij proszę drugą część swojej wypowiedzi - konto admin nie należy/należało do admina Wykopu?Sat, 05 Sep 2009 22:13:59 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437375http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437377tak, na stronie profilu nawet jest "użytkownik zbanowany"Sat, 05 Sep 2009 22:21:12 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437377http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437378Ja się trochę przyczepię do fragmentu o generowaniu danych testowych. Wygenerowanie odpowiednich danych testowych nie jest zadaniem trywialnym, osoby zajmujące się testami QA mogłyby wiele na ten temat powiedzieć. Wykorzystanie rzeczywistych, choć nieaktualnych, danych jest dość powszechną praktyką. Tu trzeba jednak wyważyć dwie potrzeby, z jednej strony skuteczność testów QA, z drugiej bezpieczeństwo danych. Jednym z możliwych rozwiązań tego problemu jest "odpersonalizowanie" danych przed użyciem ich w środowisku testowym.Sat, 05 Sep 2009 22:21:23 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437378http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437380Wampir: 100% racji. Generowanie danych testowych najłatwiej zacząć od anonimizowania realnej próbki. Ale i z tym często bywają problemy (patrz wyciek logów wyszukiwarki AOL - tak zanonimizowany, ze udało się namierzyć całkiem sporą rzeszę internautów) Stąd, nie wiem, czy nie lepszym/bezpieczniejszym wyjściem jest jednak generowanie wszystkiego od zera...Na marginesie, z PR-owego punktu widzenia, jakby ktoś odkrył, że na jakimś dziwnym IP, jest sobie klon wykopu, gdzie sa wypowiedzi 1:1 skopiowane, a np. nicki inne - też musieliby się gęsto tłumaczyć... dzienni^Wamatorzy taniej sensacji nie popuściliby, a połowa użytkowników by im zawtórowała, używając jakichś czczych argumentów :-)Sat, 05 Sep 2009 22:27:11 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437380http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437383"4. Nie wrzucaj produkcyjnej bazy na testowy serwer."Ciężko tak, zwłaszcza jeśli chce się pracować nad serwisem który wymaga ciągłej optymalizacji, etc, etc.Wystarczyło tylko wykonać jedno zapytanie które zmienia wszystkie hasła i maile. Wtedy taka baza danych nie jest już tak groźna.Sat, 05 Sep 2009 22:35:23 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437383http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437388@Sharpek:Nie wrzucaj produkcyjnej bazy na serwer o niższym poziomie zabezpieczeń niż serwer, z którego dane skopiowałeś.(tutaj był długi wywiad o modelach dostępu, zasadach itp, ale zamiast tego proponuje przeczytać 7 i 8 rozdział z Security Enginering).Sat, 05 Sep 2009 22:47:21 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437388http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437389Jak dzieje się coś głośnego w polskim I-necie to można mieć pewność, że zaraz gdzieś tam odezwą się ludzie z Joggera - jako twórcy, wybawcy itp. Wszystkie drogi prowadzą do Joggera ;DSwoją drogą, nie wiem, jak to Flaker robi, ale strasznie zamula wyświetlanie stron z jego JS-em pod Firefoksem ;pSat, 05 Sep 2009 22:47:52 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437389http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437390@carstei:Zabezpieczenia to wiadomo, domyślnie root w mysql to brak hasła.Chodziło mi raczej o by nigdy nie wrzucać tych danych na serwer testowy. Nieważne, nie zrozumiałeś mnie :)Sat, 05 Sep 2009 22:50:36 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437390http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437395Przy logowaniu na konto admina na wykopie, pojawia się komunikat: "użytkownik zbanowany, Powód: ";)Sat, 05 Sep 2009 22:53:30 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437395http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437403Pół roku od włamania do informacji. Profesjonalnie, nie ma co ;>Sat, 05 Sep 2009 23:31:35 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437403http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437404Ponoć do wycieku wcale NIE doszło pół roku temu, tylko baza wzięta do testów była SPRZED pół roku...Taka mała uwaga.Sat, 05 Sep 2009 23:47:38 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437404http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437405A co to za duży serwis, trzymający hasła jako zwykły tekst, o którym piszesz? ;)Sat, 05 Sep 2009 23:48:13 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437405http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437407Paweł: A... nie powiem Ci :P Lepiej zmień hasła wszędzie :) Zammer: dopisałem *. Niestety, brakuje wiarygodnej informacji kiedy dokładnie nastąpiło włamanie...Sat, 05 Sep 2009 23:49:43 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437407http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437408Erofotki.pl, roześmiałem się w głos…Sat, 05 Sep 2009 23:54:40 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437408http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437410Piotr: cała sprawa kręci się wokół "pewnego serwisu chanowego", gdzie wewnętrzne rozgrywki między (nie bójmy się tak tego nazwać) trollami prowadzą do takich właśnie akcji. Szpanują, jacy to z nich "hakierzy", a cała zabawa sprowadza się głównie do korzystania z LOIC pod Windows Vista. Nie szukając daleko - owi spryciarze rzucili się na joggera z tymże programikiem (a potem jeden z nich tłumaczył, że myślał, że to czyjś wordpress prywatny jest). Gdybyś przebrnął chociaż przez część komentarzy na wykopie oraz pogrzebał na tym serwisie "chanowym", zauważyłbyś kilka ciekawych faktów: 1) baza wyciekła całkiem niedawno 2) była to w zdecydowanej większości wina administracji wykopu, a nie kwestia ich zdolności 3) padały oskarżenia, że screeny, na których widać potwierdzenia zakupów na allegro nie mają żadnego związku z tym wyciekiem bazy, a po prostu są efektem "raidu" osoby, która wcześniej aktywnie działała na "pewnym serwisie chanowym", a obecnie z nimi poszła na noże i dodała ten wykop.Sam sprawę śledziłem dziś w wolnych chwilach, ale... Tylko śledziłem. Ręce już opadają, a Lem się w grobie przewraca. Bo okazuje się, że na świecie jest jeszcze więcej idiotów.Sun, 06 Sep 2009 00:02:18 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437410http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437411Włamanie było nie więcej niż miesiąc temu, w transkrypciehttp://www.wykop.pl/ramka/232212/wyciekla-baza-danych-wykopujest wymieniana data 27 lipca (data poprawki w mod_deflate), musiało to być później.Sun, 06 Sep 2009 00:09:52 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437411http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437412I jeszcze jedna uwaga co do pewnego komentarza ;) Paolo: "...niepotrzebnie zacząłem masowo zmieniać hasła, które i tak były najróżniejsze w różnych serwisach." - jeśli miałeś różne, to po co zacząłeś zmieniać? Trochę nie rozumiem takiej paniki. Jeśli ukradną Ci klucz od drzwi do piwnicy, to wymieniasz zamki w całym domu? ;)A na sam koniec już: na wykopowym blogu można przeczytać, że do włamania doszło "kilka tygodni temu", więc nie przesądzałbym tu od razu o półrocznym opóźnieniu. Dziś przecież o tym pisali: http://www.wykop.pl/blog/post/55 i dziś też rozsyłali maile do użytkowników o potrzebnej zmianie hasła. Taki lekki niesmak pozostaje. Aczkolwiek przyszło mi do głowy, że mogło być tak, że policja zapukała do drzwi któregoś z "hakierów" i dlatego też w gorączce całej (i prawdopodobnej kłótni między nimi) pojawił się ów wykop, który wymusił na administracji zajęcie oficjalnego stanowiska.Zresztą, czort ich wszystkich wie. Ze swojej strony mam nadzieję, że w przypadku wyjaśnienia całej sprawy na joggerze będzie jeszcze o tym głośno :)Sun, 06 Sep 2009 00:14:08 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437412http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437413@zammer:Naprawdę z naszego punktu widzenia mało istotne jest kto tam kogo nie lubi, jakich narzędzi używa i jak bardzo posysa.My się po prostu śmiejemy z epic faila wykopu :)Wojenki script kiddies były zabawne, ale jak byłem w liceum :PSun, 06 Sep 2009 00:14:12 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437413http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437414carstein: gorzej, że te "wojenki" odbijają się czkawką w szerszym gronie. Jak również Jogger cały się przekonał niecały miesiąc temu.Sun, 06 Sep 2009 00:17:03 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437414http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437415A jeszcze jedno: tłumaczenie się z późnego poinformowania użytkowników jakimiś dochodzeniem policyjnym jest tak słabe, że obalanie tego, to jak kopanie leżącego ;)Sun, 06 Sep 2009 00:18:09 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437415http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437417zammer: Mnie w sumie rybka, czy włamanie miało miejsce miesiąc, czy 6 miesięcy temu -- to naprawde nie ma znaczenia i nie jest "największym" problemem...Sun, 06 Sep 2009 00:27:29 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437417http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437419"(w przeciwieństwie do innego dużego i bardziej znanego Polakom polskiego portalu, który swoje hasła trzyma w bazie otwartym tekstem...). "To też jest raczej informacja niepotwierdzona, kiedyś robiłem testy na całkiem sporej bazie userów, >70% da się złamać bf wspomaganym słownikowo w krótkim czasie. I można wtedy wysłać info do userów, ale musi być ono odpowiednio przygotowane (na pewno nie przez markotoidów), tak, żeby nie było wątpliwości jak we wspomnianym przypadku.Sun, 06 Sep 2009 00:29:11 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437419http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437428Heh, tak się przymierzałem do przesiadki na KeePass czy coś podobnego, to jest okazja. Z drugiej strony, nawet nigdzie hasła nie zmieniłem, wątpię żeby ktoś miał ochotę przejąć moje konta na paru niszowych forach, gdzie ono zadziała.Sun, 06 Sep 2009 01:02:24 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437428http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437430Heh heh, ale odkrywczy wpis :> nikt się nie spodziewał że nie powinno się wystawiać bazy na świat w ten sposób.Swoją drogą, hasło typu "rękawiczka ! cośtam" nie jest wcale takie dobre, gdy się zastosuje "markov generator" przystosowany do danego języka.Sun, 06 Sep 2009 01:15:14 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437430http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437442Haha admin wykopu to admin Erofotki.pl? OWNED!!! :DSun, 06 Sep 2009 06:08:55 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437442http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437445@zammerAh, chyba że tak ;>Sun, 06 Sep 2009 08:27:33 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437445http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437457Można także stosować 3-4 hasła do większości witryn, powiedzmy wg. gradacji ważności tych stron. Nie jest to najbezpieczniejsze, ale przynajmniej nie trzeba się martwić o pocztę gdy ktoś zrobi dumpa bazy z nk czy innego masowca. Na bubla typu Wykop niestety potrzeba unikalne :).Sun, 06 Sep 2009 09:53:53 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437457http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437460@jablko http://www.keepassx.org/A parę najważniejszych haseł (banki itd) - tak, pamiętać.Sun, 06 Sep 2009 10:08:47 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437460http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437466Eee tam. Ja mam swoje hasło w 4 wersjach i żadnego nie ruszy żaden atak słownikowy ( wredna literka w środku wyrazu, czy to cyferka w jakimś miejscu i różny rozmiar litery ). Robię tak od 5 lat i nie mam problemu, a konta na wykopie nie mam. :)Sun, 06 Sep 2009 10:37:39 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437466http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437470A ja hasła do Wykopu nie zmienię.Nie wiem, jakiego rodzaju hasła mają inni, ale mi system ustawił dawno temu losowe dziesięcioznakowe z wielkimi, małymi literami oraz cyframi (korzystam oczywiście z Firefoksa). Jest oczywiście inne niż hasła, których używam do innych serwisów. Zmiana go byłaby w tym wypadku (IMHO) przerostem paranoi.Sun, 06 Sep 2009 11:05:14 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437470http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437474@buraczekNie, konto 'admin' nie ma nic wspólnego z administracją wykopu. Adminami są t__d i m__b - wystarczy spojrzeć na wykopowy blog.Sun, 06 Sep 2009 11:49:58 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437474http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437517Sposób na generowanie hasełWidzę, że ostatnio wszyscy (patrz groszek, kUtek, Piotr Konieczny) piszą o tym, ja generować hasła do różnych serwisów tak, aby były one bezpieczne, a przy okazji łatwe do zapamiętania, lub wygenerowanie. Oto i mój sposób, o którym juSun, 06 Sep 2009 13:40:17 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437517http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437525Moja rada na hasła: coś kiedyś wygenerowało mi pseudolosowe hasło (małe i duże litery, znaki specjalne i cyfry), które dziwnym trafem zapamiętałem. Do tego hasła dodaję na końcu zafixowaną nazwę serwisu (wg mi znanego wzoru). Dzięki temu mam unikalne, długie i ciężkie do złamania brute forcem hasła.Przykładowo: DaDx1yif$blobe - DaDx1yif$ to losowy prefiks (który da się zapamiętać;)) "blobe" to sufiks który stanowi 3 pierwsze i 2 ostatnie litery z urla serwisu do którego tworzymy hasło (http://blog.konieczny.be/). Oczywiście sposób tworzenia sufiksu może być bardziej wyuzdany). Ktoś ma lepszą metodę?Sun, 06 Sep 2009 13:47:55 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437525http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437526Znając 2 takie twoje hasła mogę wygenerować wszystkie inne jakie używasz w ciągu -nastu minut :) (czyli wszystkie prefixy/suffixy)Sun, 06 Sep 2009 13:49:37 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437526http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437527Corvax: z Naszej Klasy wycieka Twoje hasło C5$s4NASA -- i o ile na podstawie tego za wiele nie da się zrobić, jeśli nie jest się jasnowidzem, to już przy drugim wycieku, np. z Wykopu (C5$s4WYOP) sporo osób domyśli się jakie jest Twoje hasło na GMail ;)Sun, 06 Sep 2009 13:52:07 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437527http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437528Hmm... Kiedyś w linuksowym manie była porada: bierzemy wiersz, który pamiętamy. Następnie pierwsze litery jego słów, zamieniamy wg schematu "l33t" i jedziemy. Przy czym jeszcze wymyślamy schemat wielkich/małych liter, a jeśli litera jest duża i wypada za nią cyfra - wstawiamy znak specjalny spod tejże cyfry.Następnie dodajemy suffix, już wg własnego schematu.groszek: spróbuj poznać "człon główny", a następnie "metodę tworzenia suffixu". Powodzenia (no chyba że korzystasz z keyloggera jakiegoś)Sun, 06 Sep 2009 13:52:23 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437528http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437531Piotr: są wymyślniejsze sposoby tworzenia suffixów, a do tego można korzystać z kilku "członów głównych". Pohukiwania "jablka" jak widzę usunąłeś... Ale cała zabawa sprowadza się do tego właśnie, żeby ćwiczyć pamięć ;)Sun, 06 Sep 2009 13:55:20 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437531http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437534zammer: Tak. Jabłka lubię, ale robaczywe wyrzucam.Sun, 06 Sep 2009 14:05:39 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437534http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437547carstein & PK:via SSH też można zorganizować VPN, i to min. na 2 sposoby - ordynarny port forwarding lub bardziej klasyczny tunel (openssh & -w).w ramach gimnasytki intelekualnej, moglbym nawet zaryzykowac teze, ze w niejednym przypadku rozwiazanie bywa czesto bezpieczniejsze niz chocby IPsec (mniej możliwości złego skonfigurowania całości, proste "jak drut" działanie, mały overhead na troubleshooting po stronie serwera, klienta, itd).PSwybaczcie małe czepialstwo ;-)Sun, 06 Sep 2009 14:31:37 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437547http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437550"Każdy z nas popełnia błędy - ale popełnić ich tyle to amatorszczyzna."@carstein: a ja swoja droga mysle, ze w PL sieci tego typu akcje to raczej regula niz wyjatek, tylko malo co kto o tym pisze (a najczesciej to atakowani w ogole nie wiedza o wlamaniu).Sun, 06 Sep 2009 14:34:33 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437550http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437554xterm: ja dopuszczam SSH jako bezpieczny sposób dostępu do serwera (por pkt. 2, ostatnie zdanie). Co innego, że np. zła konfiguracja tunelowania za pomocą SSH może zrobić niezłe kuku (jeśli ktoś nie zna dokładnie składni :>) Co się zaś tyczy wykrywania włamań -- poruszyłeś ciekawy wątek. Myślę, że gdyby nie próba szantażu, większość włamań nie byłaby nigdy zauważona...Sun, 06 Sep 2009 14:49:21 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437554http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437564PK: no ja tylko tak się czepiam, ze odpowiednie połaczenie via ssh to się mieści wprost w definicji VPN ;-)*****co do wykrywania włamań, to przyczyny są pewnie minimum dwie:a) chęć tuszuwania włamówb) w ogóle brak świadomości włamu, jakoś trudno mi sobie wyobrazić, że jak ktoś pozwala na takie "wały" z jednej strony, to z drugiej strony minitoruje bieżąco system na wypadek naruszeń...ciekawe który z tym przypadków jest częstszy ;)******a z praktyki, widziałem nawet trochę ciekawsze kejsy, gdzie niejednokrotnie serwer testowy był w infrastrukturze dostawcy softu (publicznie dostępnej).więc główny, duży klient był cacy (w jego infrastrukturze wszystko grało, zabezpieczona, monitorowana, itd). a "wał" był zupełnie gdzieindziej.******przy okazji: pozdrawiam ;-DSun, 06 Sep 2009 15:08:26 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437564http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437566a swoja droga mając taką bazę można by zrobić ciekawy research w temacie najczęściej używanych w PL haseł.Sun, 06 Sep 2009 15:09:57 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437566http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437568xterm: taki research był zrobiony 3 lata temu na podstawie bazy wyciekniętej z Onetu ;) Wyszło: imięNN, gdzie NN należy do (00..99) z naciskiem na "12", czasem "1!" ;-)Sun, 06 Sep 2009 15:11:03 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437568http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437576@Piotr Konieczny "Corvax: z Naszej Klasy wycieka Twoje hasło C5$s4NASA -- i o ile na podstawie tego za wiele nie da się zrobić, jeśli nie jest się jasnowidzem, to już przy drugim wycieku, np. z Wykopu (C5$s4WYOP) sporo osób domyśli się jakie jest Twoje hasło na GMail ;)"Idziesz chyba w stronę jakiejś teorii spiskowej;) Poza tym budowanie sufixu może być mądrzejsze niż to przykładowe. I by ktoś odkrył moje hasło na inne serwisy musi dojść do a) co najmniej 2 wycieków b) muszę mieć do nich te same loginy/e-maile c) ktoś musi poznać metodę tworzenia sufixu d) komuś musi się chcieć włamać akurat na moje konta. Poza tym każdy chyba segreguje serwisy pod względem "ważności". Także włam na nk i wykop mógłby zaskutkować poznaniem hasła do równie 'wartościowych' serwisów, nie zaś do gmail, etc;)Sun, 06 Sep 2009 15:41:11 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437576http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437577Jak mieć bezpieczne hasło i nie popaść w paranoję?p Jak dla mnie wszystkie te zabawy ze skrótami itp. są nie do przyjęcia. Albo hasło jest takie, że trzeba je b pamiętać b czyli umieć wpisać z głowy , albo można sobie pozwolić na jakiś portfel haseł i wtedy nie ma się co bawiSun, 06 Sep 2009 15:48:00 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437577http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437580Fajnie, jeszcze gdyby wykop.pl pozwalał mieć w haśle znaki specjalne. Przed włamaniem próbowałem zmienić na hasło ze ! i @ i mi wywalało komunikat, że hasło ma zły format ;/ więc niekiedy nawet jak chcesz to nie można się zabezpieczyć ;/Sun, 06 Sep 2009 15:52:17 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437580http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437584@kiero - cóż, niektórzy leniwcy stosują najprostszą możliwą metodę zabezpieczenia się przed sql injectionSun, 06 Sep 2009 16:06:33 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437584http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437655@kiero - nie dość tego, że znaki wymienione przez Ciebie są niedozwolone na Wykopie, to ich sprawdzanie jest niedorobione. Zobacz, co napisałem tutaj: http://www.wykop.pl/link/232404/oficjalne-oswiadczenie-administracji-wykopu#comment-1471916Udało mi się zastosować niedozwolone hasło. Ten serwis to jak samochód spawany z "ćwiartek" - właśnie zaczyna się rozpadać.Sun, 06 Sep 2009 18:35:28 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437655http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437673Przestańcie się znęcać nad biednym wykopikiem. Toż tam te hasła i konta dla picu były chyba. I nawet nie ma opcji usuwania konta...Sun, 06 Sep 2009 19:18:54 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437673http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437680@rozie: Tak na marginesie to ciekawostka jest - ostatnio próbowałem usunąć konta z wielu serwisów i okazuje się, że w dużej mierze nie da się tego zrobić. Często nie ma nawet informacji o tym, iż można to zrobić ręcznie, po konsultacji z twórcami serwisu. W przypadku My Opera trzy razy odrzucali mojego requesta i do tej pory posiadam tam konto ;>Sun, 06 Sep 2009 19:27:52 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437680http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437686Panowie, z tymi danymi testowymi to można łatwiej - u nas robi się w ten sposób, bierzemy dane produkcyjne a później je anonimizujemy czyli zapisujemy dane osobowe losowymi ciągami znaków. W ten sposób mamy wiarygodną próbkę danych i nikt nie boi się o wyciek.To co stało się na Wykopie pokazuje totalny brak umiejętności i wyobraźni ze strony administracji serwisu. Kiedyś był ukuty termin kidhosting ... w przypadku serwisu Wykop przydałoby się ukuć termin kidsocialing ;-).Sun, 06 Sep 2009 19:36:51 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437686http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437952Żeby było śmieszniej, wykop nie dopuszczał (nie dopuszcza?) znaków specjalnych w haśle :DMon, 07 Sep 2009 07:53:12 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1437952http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438005Nie wiem czy ktoś wspominał, ale... kij z hasłami! Patrzcie jaką mają śliczną bazę do spamowania ludzi e-mailami. :PMon, 07 Sep 2009 11:19:52 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438005http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438062SimplePassword.com - dziękuję, postoję. Czyli o bezpiecznych hasłach słów kilkaPo niedawnym wyjściu na jaw informacji o włamaniu na serwer a href http: www.wykop.pl Wykop.pl a i a href http: www.wykop.pl blog post 55 wykradzeniu bazy danych z hasłami użytkowników a wszyscy piszą o bezpieczeństwie i sposobac[...]Mon, 07 Sep 2009 14:24:13 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438062http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438095Zawsze, przy instalacji cmsa powinien byc losowany unikatowy MD5KeyA później hashowacmd5(MD5Key."cos do hasowania")Mon, 07 Sep 2009 16:01:17 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438095http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438133MD5 ssie. :P Lepszy jest SHA1 z tzw. saltem. :PMon, 07 Sep 2009 17:09:48 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438133http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438251Bezpieczeństwo, nie tylko w świecie JavyMyślę, że ostatnio ujawniony wyciek danych z serwisu Wykop.pl uświadomił niektórym, jak niebezpieczne może być używanie tego samego hasła w wielu miejscach, z bankiem i Allegro włącznie. Na temat samej administracji Wykopu wypowiadać si[...]Mon, 07 Sep 2009 19:56:27 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438251http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438379Ujawniona baza danych wykopup Wykopem słabo się interesuję, a wszystko co istotne napisał Piotr Konieczny we wpisie pt. a href http: blog.konieczny.be 2009 09 05 hasla-uzytkownikow-wykop-pl-wyciekly Hasła użytkowników Wykop.pl wyciekły a . Kluczowe błędy: p [...]Mon, 07 Sep 2009 23:02:56 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438379http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438393Ja zrobiłem eksperyment i zaraz po dostaniu maila z informacją od wykopu napisał na pomoc maila z prośbą o usunięcie konta. O dziwo zrobili to w ciągu godziny a była 19-ta.Mon, 07 Sep 2009 23:43:56 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438393http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438394Łukasz: a co było przedmiotem eksperymentu?Mon, 07 Sep 2009 23:44:53 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438394http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438396To czy konto da się usunąć i jak szybko ;-)Wykop w tej kwestii zdał egzamin ale ciekawe czy reakcja byłaby tak samo szybko gdyby włam nie miał miejsca.Mon, 07 Sep 2009 23:51:18 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438396http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438439Trzeba było wygenerować bazę danych z przykładowymi danymi, co i tak wspomnieliście w notce. Ja bym chyba tego błędu nie popełnił ;-) .Tue, 08 Sep 2009 09:00:32 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438439http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438507PK: nice. a czy w temacie tego onetowego eksperymentu z haslami, masz moze jakies dalsze dane ? (np. url-e ;-)Tue, 08 Sep 2009 13:24:41 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1438507http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1440420Odpowiedzialność za daneW Internecie huczy i grzmi z powodu niedawnego wycieku niedawnej publikacji produkcyjnej bazy danych serwisu wykop.pl (np. blog Piotra Koniecznego), zawierającej m.in. dane użytkowników. O ile wyciek danych z profilu, które i tak są publikowan[...]Sat, 12 Sep 2009 22:08:15 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1440420http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1452232Zmiana hasła na Allegro (i inne wymuszenia)Allegro wysłało wczoraj do użytkowników e-maile z prośbą o zmianę hasła: Nie był to pierwszy tego typu mailing (por. artkuł w DI). Wczorajszy e-mail jest więc zapewne kontynuacją akcji rozpoczętej miesiąc temu. Mam kilka uw[...]Fri, 09 Oct 2009 20:59:45 +0200http://blog.konieczny.be/2009/09/05/hasla-uzytkownikow-wykop-pl-wyciekly/#c1452232