PSN-Hack: "Haben schnell genug reagiert"

[d3paX]

wer löscht auch schon grossartig sein kundenkonto.
bei gamestop haben sie gesagt das die "tausch ps3 gegen xbox" gut gelaufen wäre. ob was dran is weis ich abe rnicht ^^

[Levi]

@crackajack:
Natürlich kann das sein, ist ja alles relativ spekulativ, was wir hier machen ^^
Aber wahrscheinlich hat man mit den Standard-Hashtables bereits Erfolge erzielt, sonst hätte Sony das ja vermutlich nicht zugegeben und behauptet, man hätte eh verschlüsselt.
Und um einen 2048-Bit-Schlüssel aus 77.000.000 Datensätzen herauszubekommen, müßtest du wahrscheinlich mehr als eine Serverfarm für ein paar Wochen laufen lassen.
Ich sag nicht "unmöglich", nur "unwahrscheinlich".

rein aus Neugier:
Wie verifiziert man die Ergebnisse dann? zum austesten gabs das PSN ja nicht ..

[d3paX]

andere hätten den vorfall nicht an die grosse glocke gehängt? hätte sony auch nicht. leider sidn die auswirkungen aber direkt sichtbar wenn 77 mio lete nicht online gehen können. die hatten keine andere wahl als das publik zu machen.
schön wieder so eine breitseite von arroganz zu bekommen ^^

[crackajack]

müßtest du wahrscheinlich mehr als eine Serverfarm für ein paar Wochen laufen lassen.

gibt doch sicher other-OS-PS3-farmen die damit kein Problem haben.^^

@das Levi
ich denke beim jeweiligen Mail provider probiert man dann das PW, könnte ja eben das gleiche sein.

[Ugly Old Hurgs]

rein aus Neugier:
Wie verifiziert man die Ergebnisse dann? zum austesten gabs das PSN ja nicht ..

Wie meinst du das mit verifizieren? Ob die Passwörter stimmen?

Code: Alles auswählen

if (indexOf(lookUp("RainbowTable")=ASCII))
    {Passwort;}
else
    {Crap;}

Sowas in der Art?

[ShinmenTakezo]

Ich kann einfach nicht glauben das Sony ein par alte Spiele verschenk un alle in die Hände klatschen un Sony noch dafür gratulieren was Sie für ne tolle Arbeit gemacht haben. Ich bin immer noch Stinksauer darüber das meine daten geklaut wurden. Es weis keiner wer die Daten geklaut hat, es weis keiner was zukünftig noch mit den Daten gemacht wird, un Sony sollte besser alles daran setzen, das schleunigst aufzuklären. Ich will keine alten Spiele vom Grabbeltisch als Entschädigung, ich will wissen was mit meinen Daten passiert ist.
Die ganze Geschichte ist für einen Konzern wie Sony nicht nur peinlich, sowas darf einfach nicht passieren. In einem ordentlichen Konzern hätten die für die Misere Verantwortlichen schon längst ihren hut nehmen müssen....

http://www.gametrailers.com/video/episo ... ack/713901

es wird zu 99% nichts passieren und wenn ja lässt sich das immer noch regeln also keine panik ich glaub die meisten interpretieren viel zu viel in die sache rein

ich wette einige von denen die hier wegen den daten so laut schreien haben bei facebook alles offengelegt und jeder kann darauf einblick haben

gruß

[rz70]

Peinlich Sony, peinlich. Man denkt hier redet ein Chef eines Drei Mann Unternehmens. Passt ja zum Welcome back.

[johndoe790745]

*lach* klar ruf ich gleich die Polizei....wenn die Tür eingebrochen ist, werd ich vielleicht nicht mal rein gehn.

ach, wie oft ich schon von der polizei gehört hab:
"solang nichts passiert ist können wir nichts machen!"

in meinen augen hat sony richtig reagiert.
es bringt nichts den kunden zu erzähln, dass bei ihnen eingebrochen wurde, sodass die kunden alle in panik geraten, nur um festzustellen das am ende nix passiert ist.
spätestens dort, hätten alle aufgeschrien, sie wollen daten und fakten haben.
erst informationen, dann öffentlichkeit.
hab noch nie gehört, das es umgekehrt passiert.

[Wavrider1]

ich hoffe nur sie finden die Schweine und hängen sie an ihren.... auf

[4lpak4]

*lach* klar ruf ich gleich die Polizei....wenn die Tür eingebrochen ist, werd ich vielleicht nicht mal rein gehn.

ach, wie oft ich schon von der polizei gehört hab:
"solang nichts passiert ist können wir nichts machen!"

aber wenn die tür aufgebrochen wurde IST was passiert und sei es nur vandalismus/sachbeschädigung.

[Levi]

rein aus Neugier:
Wie verifiziert man die Ergebnisse dann? zum austesten gabs das PSN ja nicht ..

Wie meinst du das mit verifizieren? Ob die Passwörter stimmen?

Code: Alles auswählen

if (indexOf(lookUp("RainbowTable")=ASCII))
    {Passwort;}
else
    {Crap;}

Sowas in der Art?

du kannst nur schauen, ob du eine Verschlüsselung geknackt hast (egal ob einfachen Hash, oder aber komplexe Verschlüsselung, wenn du deine Ergebnisse auch überprüfen kannst.


sowas wie crackajacks Idee wäre da das einzige machbare gewesen .. aber wayne ...

[psyemi]

Kreditkartendaten waren verschlüsselt.
Passwortdateien wurden gehasht.
Worin genau der Unterschied besteht verstehe ich nicht aber effektiv ist's wohl nicht wirklich was komplett anderes ...

Einen Hash kannst du dir ungefähr so vorstellen, wie eine Quersumme. Das Problem dabei ist, daß es umkehrbar ist, weil der Algorithmus bekannt ist.
Vereinfacht gesagt, wenn das Passwort 91 ist, wäre der Hash (in dem Fall vereinfacht, die Quersumme) 10.
Das Problem dabei ist, die Quersumme von 55 ist auch 10.
Wenn man jetzt in sogenannten Rainbow-Tables nachschaut, kann man zwar vielleicht nicht das original Passwort herausfinden, aber zumindest eines, das den gleichen Hash (die gleiche Quersumme) erzeugt und auch funktioniert.

Edit: Salts sind mir natürlich bekannt, würde aber zu weit führen, wer will kann ja googlen ^^

naja umkehrbar würde ich doch da nicht gerade sagen. du kannst eine rainbowtable erstellen. halt zu jedem möglichen passwort ein hash erzeugen.
dann kommt es immer noch darauf an wie sicher dein passwort ist. hast du ein langes mit sonderzeichen, groß klein schreibung und zahlen wird es warscheinlich niemals in der rainbowtable auftauchen.

das mit der quersumme ist sehr vereinfacht dargestellt. z.B. MD5 ist ein 128Bit Hash. du bekommst immer ein 32stellige quersumme.

dabei zufällig den gleichen hashwert zu erzeugen ist so gut wie unmöglich.

[Ugly Old Hurgs]

naja umkehrbar würde ich doch da nicht gerade sagen. du kannst eine rainbowtable erstellen. halt zu jedem möglichen passwort ein hash erzeugen.
dann kommt es immer noch darauf an wie sicher dein passwort ist. hast du ein langes mit sonderzeichen, groß klein schreibung und zahlen wird es warscheinlich niemals in der rainbowtable auftauchen.

das mit der quersumme ist sehr vereinfacht dargestellt. z.B. MD5 ist ein 128Bit Hash. du bekommst immer ein 32stellige quersumme.

dabei zufällig den gleichen hashwert zu erzeugen ist so gut wie unmöglich.

Die Sicherheit des Passworts selber spielt keine Rolle.
32 Stellen sind 32 Stellen. Und das ist für heutige Systeme ein Klacks. 128 Bit sind nichts! Und es ist völlig wurscht, ob das eigentliche Passwort in den Tables auftaucht, solang eines existiert, das den gleichen MD5-Hash erzeugt.
Aber wie gesagt, das ist rein spekulativ, es ist ja nicht belegt, daß Sony wirklich nur MD5 verwendet hat.

[Gonzo_the_Rat]

andere hätten den vorfall nicht an die grosse glocke gehängt? hätte sony auch nicht. leider sidn die auswirkungen aber direkt sichtbar wenn 77 mio lete nicht online gehen können. die hatten keine andere wahl als das publik zu machen.
schön wieder so eine breitseite von arroganz zu bekommen ^^

Naja, die Auswirkungen waren ja nur deshalb sichtbar, weil Sony die Dienste selber abgeschaltet hat. Nicht weil die Hacker sie heruntergefahren haben. Da ist ein Unterschied.

Ich finde auch, dass das Verhalten im Großen und Ganzen in Ordnung war. Will auch nicht wissen wo schon überall Daten geklaut wurden, wo es entweder wirklich gar nicht bemerkt wurde oder sich das Unternehmen darum bemüht hat, das zu vertuschen. (T-Online, anyone????)

Aber Hauptsache man kann über etwas meckern. Ich bin froh, endlich mal wieder ein paar Onlinematches austragen zu können und die Entschädigung demnächst ist auch (hoffentlich) ganz nett.

Also, dann noch viel Spaß beim ZOCKEN!

Peace!

[psyemi]

naja umkehrbar würde ich doch da nicht gerade sagen. du kannst eine rainbowtable erstellen. halt zu jedem möglichen passwort ein hash erzeugen.
dann kommt es immer noch darauf an wie sicher dein passwort ist. hast du ein langes mit sonderzeichen, groß klein schreibung und zahlen wird es warscheinlich niemals in der rainbowtable auftauchen.

das mit der quersumme ist sehr vereinfacht dargestellt. z.B. MD5 ist ein 128Bit Hash. du bekommst immer ein 32stellige quersumme.

dabei zufällig den gleichen hashwert zu erzeugen ist so gut wie unmöglich.

Die Sicherheit des Passworts selber spielt keine Rolle.
32 Stellen sind 32 Stellen. Und das ist für heutige Systeme ein Klacks. 128 Bit sind nichts! Und es ist völlig wurscht, ob das eigentliche Passwort in den Tables auftaucht, solang eines existiert, das den gleichen MD5-Hash erzeugt.
Aber wie gesagt, das ist rein spekulativ, es ist ja nicht belegt, daß Sony wirklich nur MD5 verwendet hat.

sicher spielt es eine rolle ob du ein sicheres passwort hast.
aufwand nutzen. und ja es ist ein riesen aufwand alle hashes zu berechnen auch wenn es nur 128 bit sind.