Ubisoft: Server wurden gehackt

[oxenwumme]

Viele Verschlüsselungsverfahren benutzen im Gegensatz zum Hash einen Key zum Verschlüsseln, daher ergibt sich in der Praxis ein weiterer Unterschied: man kann Hash-Passwörter einfach durch ausprobieren herausfinden. Ohne Key geht das bei richtiger Verschlüsselung nicht.

Doch, das geht auch bei "richtiger" Verschlüsselung - Dauert nur länger. Bei AES-128 sind es beispielsweise (bis zu) 2^126,1 Schritte, die ich brauche, um den Schlüssel zu finden.

Wenn man also davon ausgeht,dass Ubisoft den Hash gespeichert hatte, dann sind die Passwörter relativ schnell geknackt.

Was bedeutet denn "relativ schnell"? Wenn diese Hacker nicht gerade ein ganzes Rechencluster zur Verfügung haben, kann das noch eine Weile dauern ...

[brent]

Was bedeutet denn "relativ schnell"? Wenn diese Hacker nicht gerade ein ganzes Rechencluster zur Verfügung haben, kann das noch eine Weile dauern ...

Je nachdem, was das wert ist, lässt sich soviel Power schon mieten.

[5ancho]

Ein guter Vergleich, schön dass du beweist wie wenig du von der Materie verstehst.

Oh man gibt es in diesen Foren wirklich keine richtigen Diskussionen mit Gegenargumentation? Ich hab das Gefühl hier wollen alle nur zeigen dass sie die cooleren Beiträge posten können. Hört doch mal auf so kindisch zu sein.

Wieso hat das nichts mit der Materie zu tun? Es dürfte dann auch kein Internet geben, weil alles jederzeit gehackt werden könnte. Wenn es nicht so immense kriminelle Energie auf der Welt geben würde bräuchten wir auch nicht immer und immer wieder Sicherheitsupdates. Das hat überhaupt nichts mit den Sicherheitsmaßnahmen seitens Ubisoft zu tun denn anscheinend kann auch unsere Regierung gehackt und ausspioniert werden.

[durruti]

Viele Verschlüsselungsverfahren benutzen im Gegensatz zum Hash einen Key zum Verschlüsseln, daher ergibt sich in der Praxis ein weiterer Unterschied: man kann Hash-Passwörter einfach durch ausprobieren herausfinden. Ohne Key geht das bei richtiger Verschlüsselung nicht.

Doch, das geht auch bei "richtiger" Verschlüsselung - Dauert nur länger. Bei AES-128 sind es beispielsweise (bis zu) 2^126,1 Schritte, die ich brauche, um den Schlüssel zu finden.

Wenn man also davon ausgeht,dass Ubisoft den Hash gespeichert hatte, dann sind die Passwörter relativ schnell geknackt.

Was bedeutet denn "relativ schnell"? Wenn diese Hacker nicht gerade ein ganzes Rechencluster zur Verfügung haben, kann das noch eine Weile dauern ...

Hast natürlich recht, vernünftige Passwörter wird man so auch nicht herausfinden können (ausser mit sehr viel Zeit). Hab mal meinen Beitrag editiert. Aber viele Leute benutzen doch recht einfache Passwörter.

[5ancho]

Ich gebe dir schon Recht, aber wie du sagst, hat der Verbraucher keine Wahl, wenn er seinen Lebensstil nicht ändern möchte. Ergo kann er negative Konsequenzen aus diesem Zwang nicht verdient haben. Stell dir vor, Toilettenpapier gibts nur noch mitm Account und sonst musst du Schmirgelpapier benutzen (und ja, trotz kleinem Aufschrei sei der Account fürs Klopapier der volle Erfolg). Du machst dir also einen Account, weil du deinen Lebensstil nicht ändern willst. Dann hast du dafür aber keinen in die Fresse verdient!

Das ist so leider überhaupt nicht richtig!
Denn würden alle auch nur kurze Zeit drauf verzichten, was glaubst du wie schnell es die Ware wieder ohne Accountbindung geben wird. Und ein Computerspiel (Luxusgut) ist wohl kaum mit Toilettenpapier (notwenig) zu vergleichen. Aber so weit scheinst du und die anderen noch nicht zu denken und da ihr das dann immer noch kauft, wird das auch noch viel schlimmer. Nur Verzicht kann das Problem lösen.

Hm ich würde mal sagen es gibt sicher ein paar wenig Millionen Menschen die würden auch Klopapier als Luxusgut ansehen. Sein Vergleich war schon sehr gut da muss man nicht noch Korinten kacken.

[Springmaus2006]

Aber viele Leute benutzen doch recht einfache Passwörter.

Hab vor einigen Jahren,als es noch nicht zum "guten Ton" gehörte sich Passwörter mit mindestens 8 Zeichen auszudenken,im Internet einen Beitrag aufgeschnappt dass die meisten Leute allen Ernstes "12345" benutzten...sofern es überhaupt mal über ein "ich" hinausging.

Würde wetten,seit der 8 Zeichen Regelung sind die beiden beliebtesten Passwörter der Welt "12345678" und "Passwort".
Und,schon jemand hier drin der sich ertappt fühlt?

Wird halt nicht passieren. DRM hat sich schon ewig durchgesetzt, Leute ändern sich und zwar in die Richtung, dass man irgendwann nur noch registrierte Spiele hat, weil Retail aussterben wird. Bei den Amis schon extrem am fortschreiten wird sich das auch hier ändern.

Die Frage ist doch nicht wie weit die gehen wollen,sondern wie weit der Kunde sie gehen lässt.
DRM ist nicht gleich DRM...MS wollte noch einen draufsetzen und fiel damit erstmal auf die Fresse.
Dass wir DRM für immer in die Hölle schicken können,halte auch ich für ausgeschlossen...eine Grenze ziehen und sagen "Bis hier her und nicht weiter" können wir aber immer noch...nur das wollen ist eine andere Sache.

Allein durch die ganzen Deals usw. stehen die Retails oft auf verlorenem Posten.

Welche Deals bitte? Steam hat regelmäßig gute Deals,aber hier drin habe ich schon Beiträge gelesen in denen es hieß,dass z.B. auf Origin auf Deals gesch*ssen wird...da sind die Spiele nach einem Jahr immer noch Vollpreis während Saturn sie verramscht.
Nicht vorhandene Deals sind nicht das Problem,sondern der Kunde...der zahlt aus reiner Faulheit über Inet drauf,weil er nicht durch die Stadt fahren will...nicht warten kann...sofort muss.

Die Messe ist nunmal gelesen, wie ich schon sagte wird sich keine Ballung mehr bilden gegen DRM. Auch die Leute die immer heulen, dass alle mitschwimmen sind kein Deut besser. Immer das Geschrei, dass keiner was tut und man arm sei, wenn man denkt es mache ja eh keiner mit. Während von selbst auch nichts passiert, rumbellen ohne zu beißen bringt auch nichts.

Wer sagt dass die,die hier drin bellen,trotzdem mitschwimmen? Einige bestimmt,aber längst nicht Alle.
Habe kein UPlay,kein Origin,kaufe viele Spiele noch im Laden in "Echt" und bin auch was FB und Smartphones betrifft kein Mitläufer...bin sicher nicht der einzige hier drin der so drauf ist.
Nur Steam hat auch mich erwischt...Asche über mein Haupt,aber dort kriege ich wenns gut läuft 5 gute Spiele um weniger als 20 €.
Was bringen mir UPlay und Origin,außer Ärger?

Ich hab noch von keinem der jammerte Petitionen oder andere Versuche etwas gegen DRM zu tun gesehen. Warum ist das wohl so?

Weil du ein XBoy bist und deshalb von vornherein im falschen Tümpel schwimmst,wenn es um konsequente Mitmenschen geht?

[sphinx2k]

Viele Verschlüsselungsverfahren benutzen im Gegensatz zum Hash einen Key zum Verschlüsseln, daher ergibt sich in der Praxis ein weiterer Unterschied: man kann Hash-Passwörter einfach durch ausprobieren herausfinden. Ohne Key geht das bei richtiger Verschlüsselung nicht.

Doch, das geht auch bei "richtiger" Verschlüsselung - Dauert nur länger. Bei AES-128 sind es beispielsweise (bis zu) 2^126,1 Schritte, die ich brauche, um den Schlüssel zu finden.

Ein Hasch schafft erst mal nur etwas Mehraufwand zu einem Klartext Passwort.
Beispiel (nur zur Verdeutlichung)
Das heißt dein Passwort
12345
wird mit einem Hashwert von (Kann auch ein Algorythmus sein)
%g3T§s
zusammen gelegt und das Endergebnis abgespeichert.
J3ds(e"q=

So jedes Passwort wird aber mit %g3T§s zusammengelegt. Mit einer genügend Großen Datenbasis lässt sich dieser Hash raus-finden und dann ist es wieder alles im Klartext. 1 Bekanntes Passwort reicht im Endeffekt.
So jetzt lässt man ein Programm mit diesem Hash Passworter ausknobeln und gleicht einfach nur ab.

Sicherer wird das ganze erst durch einen Salt. Das heist der Hash ist bei jedem Passwort ein anderer und wird an anderer Stelle aufgehoben. Das ganze System ist dann schon weit aus weniger anfällig.

Wenn man also davon ausgeht,dass Ubisoft den Hash gespeichert hatte, dann sind die Passwörter relativ schnell geknackt.

Was bedeutet denn "relativ schnell"? Wenn diese Hacker nicht gerade ein ganzes Rechencluster zur Verfügung haben, kann das noch eine Weile dauern ...

Sehr sehr schnell. Dank der tollen Fähigkeiten Moderner Spiele Grafikkarten. Die haben ihren Rechencluster schon verbaut in Form von Shadern.
Ende letzten Jahres war mal wieder ein Wettbewerb:
Der Gewinner hat
63 Millionen MD5 Hash Werte Pro Sekunde
Bei einem komplizierteren Hash Algorythmus immerhin "nur" 71.000 Pro Sekunde.
Ausgerechnet mit 14 Grafikkarten.
http://www.heise.de/security/meldung/Re ... 62654.html
Also nicht jedes Script Kiddi..aber jemand der damit irgendwie Schindluder betreiben möchte wird auch das Geld haben so was zu bauen.

Finde leider den anderen Artikel nicht. Der Bezog sich auf den klau bei ner großen Seite (könnte MSN gewesen sein,...ging sogar durch die normale Presse). Na ja auf jeden fall war das Fazit das nach einem Wochenende über 80% der Passwörter geknackt waren.

[Temeter]

Hab vor einigen Jahren,als es noch nicht zum "guten Ton" gehörte sich Passwörter mit mindestens 8 Zeichen auszudenken,im Internet einen Beitrag aufgeschnappt dass die meisten Leute allen Ernstes "12345" benutzten...sofern es überhaupt mal über ein "ich" hinausging.

Würde wetten,seit der 8 Zeichen Regelung sind die beiden beliebtesten Passwörter der Welt "12345678" und "Passwort".
Und,schon jemand hier drin der sich ertappt fühlt?

Naja, das wird wieder durch die Tatsache entwertet, das es jedes auch nur halbwegs anständige Passwörter so gut wie nie mehr als einmal gibt.
Es liegt also in der Natur der Sache, wenn ein Passwort wie 12345 am öftesten vorkommt :wink:

[Tom_Magnum]

Auf den Schreck muss man sich erst mal ne X-Box-One pre-ordern...

[oxenwumme]

63 Millionen MD5 Hash Werte Pro Sekunde

MD5 oder SHA1 als Hash-Algorithmus - und das auch noch ohne Salt - zu verwenden traue ich Ubisoft pauschal einfach mal nicht zu.

[greenelve]

63 Millionen MD5 Hash Werte Pro Sekunde

MD5 als Hash-Algorithmus - und das auch noch ohne Salt - zu verwenden traue ich Ubisoft pauschal einfach mal nicht zu.

Hat Sony Daten nicht unverschlüsselt abgelegt? Oder war es ein anderer Lapsus bei dem Drama um gehackte Daten? Irgendein Anfängerfehler, aus Sicht von Sicherheitsexperten, war es doch. :/

Ich will Ubisoft nichts unterstellen, ich hoffe das sie und alle anderen Firmen aus diesen Fehlern anderer lernen und ihre Server sicherer machen, aber scheinbar agieren die Unternehmen nicht in dem Maße, wie man es von ihrer Größe her erwarten darf.

[oxenwumme]

Hat Sony Daten nicht unverschlüsselt abgelegt? Oder war es ein anderer Lapsus bei dem Drama um gehackte Daten? Irgendein Anfängerfehler, aus Sicht von Sicherheitsexperten, war es doch. :/

Weit mehr als ein Anfängerfehler. Als hätte das irgend 'ne studentische Hilfskraft aus dem 3. Semester in 'nem deutschen Mittelstandsunternehmen entworfen.

Und genau aus diesem Grund traue ich Ubisoft das pauschal nicht zu!

[Wigggenz]

Ich muss aber sagen:
Ich werde mehr und mehr dahin bewegt, den Publishern ihren DRM-Wahnsinn nicht einmal mehr übel zu nehmen. Die allgemeine Spielerschaft ist ja dumm genug, da mitzumachen. Anstatt einfach mal zu sagen: Nö, DRM ist Schrott, dafür kriegt ihr kein Geld. Hoffentlich bricht das alles mal richtig zusammen, ich habe zum Glück noch KEINERLEI Zahlungsinfos auf Steam angegeben

Wird halt nicht passieren. DRM hat sich schon ewig durchgesetzt, Leute ändern sich und zwar in die Richtung, dass man irgendwann nur noch registrierte Spiele hat, weil Retail aussterben wird. Bei den Amis schon extrem am fortschreiten wird sich das auch hier ändern. Allein durch die ganzen Deals usw. stehen die Retails oft auf verlorenem Posten. Die Messe ist nunmal gelesen, wie ich schon sagte wird sich keine Ballung mehr bilden gegen DRM. Auch die Leute die immer heulen, dass alle mitschwimmen sind kein Deut besser. Immer das Geschrei, dass keiner was tut und man arm sei, wenn man denkt es mache ja eh keiner mit. Während von selbst auch nichts passiert, rumbellen ohne zu beißen bringt auch nichts. Ich hab noch von keinem der jammerte Petitionen oder andere Versuche etwas gegen DRM zu tun gesehen. Warum ist das wohl so?

Was soll ich denn tun außer DRM-Schrott nicht kaufen?

Petitionen? Ein Furz im Wind. Anti-Werbekampagnen? Klar, wenn du mir Geld und Fachwissen zur Verfügung stellst... Oder doch am besten zu kriminellen Mitteln wie Hacks greifen?

Dein Vorwurf ist so, als würdest du von jedem, der mit der Politik unzufrieden ist, sagen, es reicht nicht, dass er wählen geht, sondern müsste auch noch selbst politisch tätig werden. Sowas ist lächerlich.

[greenelve]

Hat Sony Daten nicht unverschlüsselt abgelegt? Oder war es ein anderer Lapsus bei dem Drama um gehackte Daten? Irgendein Anfängerfehler, aus Sicht von Sicherheitsexperten, war es doch. :/

Weit mehr als ein Anfängerfehler. Als hätte das irgend 'ne studentische Hilfskraft aus dem 3. Semester in 'nem deutschen Mittelstandsunternehmen entworfen.

Und genau aus diesem Grund traue ich Ubisoft das pauschal nicht zu!

Wer hätte Sony vor dem Gau zugetraut, einen Fehler zu machen den du als Studentenhilfskraft einers Mittelstandsunternehmen bezeichnest?

Dein Vorwurf ist so, als würdest du von jedem, der mit der Politik unzufrieden ist, sagen, es reicht nicht, dass er wählen geht, sondern müsste auch noch selbst politisch tätig werden. Sowas ist lächerlich.

Kommt auf die Unzufriedenheit an und wie groß der Wille ist, etwas zu ändern.
Wer mit allen Parteien unzufrieden ist, dem hilft Nichtwählen auch nicht weiter um etwas zu ändern. :/

[Kajetan]

Dein Vorwurf ist so, als würdest du von jedem, der mit der Politik unzufrieden ist, sagen, es reicht nicht, dass er wählen geht, sondern müsste auch noch selbst politisch tätig werden. Sowas ist lächerlich.

Kommt auf die Unzufriedenheit an und wie groß der Wille ist, etwas zu ändern.
Wer mit allen Parteien unzufrieden ist, dem hilft Nichtwählen auch nicht weiter um etwas zu ändern. :/

Dann macht man eben eine eigene Partei auf oder engagiert sich in NGOs. Man kann sehr viel mehr tun als nur alle paar Jahre ein Häkchen setzen. Ich bin z.B. mittlerweile nur noch zahlendes, passives Mitglied bei Amnesty International. Das phyische Anblöken und Belästigen von Regierungsvertretern überlasse ich der jüngeren Generation, ich leiste nur meinen Teil, damit die Jungs und Mädels schöne Plakate haben, um sie dann den Regierungsvertretern um die Ohren hauen zu können