Ubisoft: Server wurden gehackt

[greenelve]

Dein Vorwurf ist so, als würdest du von jedem, der mit der Politik unzufrieden ist, sagen, es reicht nicht, dass er wählen geht, sondern müsste auch noch selbst politisch tätig werden. Sowas ist lächerlich.

Kommt auf die Unzufriedenheit an und wie groß der Wille ist, etwas zu ändern.
Wer mit allen Parteien unzufrieden ist, dem hilft Nichtwählen auch nicht weiter um etwas zu ändern. :/

Dann macht man eben eine eigene Partei auf oder engagiert sich in NGOs. Man kann sehr viel mehr tun als nur alle paar Jahre ein Häkchen setzen. Ich bin z.B. mittlerweile nur noch zahlendes, passives Mitglied bei Amnesty International. Das phyische Anblöken und Belästigen von Regierungsvertretern überlasse ich der jüngeren Generation, ich leiste nur meinen Teil, damit die Jungs und Mädels schöne Plakate haben, um sie dann den Regierungsvertretern um die Ohren hauen zu können

Damit unterstreichst du meine Aussage. Danke.

[oxenwumme]

Wer hätte Sony vor dem Gau zugetraut, einen Fehler zu machen den du als Studentenhilfskraft einers Mittelstandsunternehmen bezeichnest?

Hashing und Salting ist nicht schwer.

Code: Alles auswählen

import hashlib 
m = hashlib.sha512("Hallo Welt")

Und schon habe ich einen 512-Bit-Hash mittels der Python-Hashlib erzeugt. Python ist vielleicht in dem Kontext nicht das Mittel der Wahl, aber auch in anderen Hochsprachen ist das Erzeugen eines Hashes verdammt einfach (oder trivial, falls Jemand sich an Semantik aufhalten will).

Ich kann bis heute nicht verstehen, warum Sony das so implementiert hat, wie sie es getan haben, zumal es mit heutigen Mitteln nur einen verdammt geringen Mehraufwand darstellt, das Passwort wenigstens zu hashen und zu salten und Zahlungsinformationen zu verschlüsseln. Selbst wenn ich mich nach Außen hin für sicherheitstechnisch isoliert genug halte, implementiere ich wenigstens Hashing & Salting - Verdammt wenig Aufwand, um meine Verteidigung zu stärken, den Angriff aber wenigstens hinreichend lang genug hinauszuzögern, um ihn vielleicht erstmal als solchen erkennen zu können.
Und wie alle sicherlich bemerkt haben, hat das, was bei Ubisoft nun geschehen ist, weitaus weniger Tragweite. Sie scheinen also darauf geachtet zu haben, wenigstens "etwas Sicherheit" mitzubringen.

[brent]

Ein guter Vergleich, schön dass du beweist wie wenig du von der Materie verstehst.

Oh man gibt es in diesen Foren wirklich keine richtigen Diskussionen mit Gegenargumentation? Ich hab das Gefühl hier wollen alle nur zeigen dass sie die cooleren Beiträge posten können. Hört doch mal auf so kindisch zu sein.

Wieso hat das nichts mit der Materie zu tun?

Weil man eine Tür, egal wie gestaltet, letztlich einrammen kann.
In einen Server kommt man aber mit genau der Methode am allerwenigsten rein und schon gar nichts damit raus. Es sei denn natürlich, man fährt mit nem Panzer ins Rechenzentrum. Super Vergleich.
Den Rest hab ich dir fett markiert.

Und wie alle sicherlich bemerkt haben, hat das, was bei Ubisoft nun geschehen ist, weitaus weniger Tragweite. Sie scheinen also darauf geachtet zu haben, wenigstens "etwas Sicherheit" mitzubringen.

Das größere Problem war bei Sony doch eher, dass sie eine Datenbank genutzt haben, die seit 2007 keine Updates mehr bekommen hatte, wenn ich mich recht entsinne. Da musste also kein kriminelles Genie ran, die Lücken aufzureißen. Da reichte die Spaßtruppe halt aus.

[oxenwumme]

Das größere Problem war bei Sony doch eher, dass sie eine Datenbank genutzt haben, die seit 2007 keine Updates mehr bekommen hatte, wenn ich mich recht entsinne. Da musste also kein kriminelles Genie ran, die Lücken aufzureißen. Da reichte die Spaßtruppe halt aus.

Ich habe aber noch nirgends in Erfahrung bringen können, ob Sony sich zu seinem Klartext-Problem geäußert hat, habe aber auch nie aktiv mal recherchiert. Gab's da mal ein Statement zu?

[brent]

Das größere Problem war bei Sony doch eher, dass sie eine Datenbank genutzt haben, die seit 2007 keine Updates mehr bekommen hatte, wenn ich mich recht entsinne. Da musste also kein kriminelles Genie ran, die Lücken aufzureißen. Da reichte die Spaßtruppe halt aus.

Ich habe aber noch nirgends in Erfahrung bringen können, ob Sony sich zu seinem Klartext-Problem geäußert hat, habe aber auch nie aktiv mal recherchiert. Gab's da mal ein Statement zu?

Code: Alles auswählen

"What's worse is that every bit of data we took wasn't encrypted. Sony stored over 1,000,000 passwords of its customers in plaintext, which means it's just a matter of taking it," reads the post. "This is disgraceful and insecure: they were asking for it."

Nur von LulzSec, Sony wollte sich wohl nicht äußern.

[SixBottles]

Hashing und Salting ist nicht schwer.

Code: Alles auswählen

import hashlib 
m = hashlib.sha512("Hallo Welt")

Und schon habe ich einen 512-Bit-Hash mittels der Python-Hashlib erzeugt. Python ist vielleicht in dem Kontext nicht das Mittel der Wahl, aber auch in anderen Hochsprachen ist das Erzeugen eines Hashes verdammt einfach (oder trivial, falls Jemand sich an Semantik aufhalten will).

in java oder c++ hat das ding 20 zeilen... wenn du n ganz fiesen hashcode erzeugen willst und den ganzen listen unfug selber coden willst sind das dann 100-200 zeilen. für ein multimilliarden-dollar-global-player nicht unbedingt ein ding der unmöglichkeit.

im übrigen kommt das an so ziemlich jeder uni im 3.semester ran, also war da wohl nichtmal ne studentische hilfskraft am werk...

p.s.
"trivial" ist ein pöses wort -.-

[datendieb]

ich habe nichts zu verbergen!

[Zappes]

Hashing und Salting ist nicht schwer.

Code: Alles auswählen

import hashlib 
m = hashlib.sha512("Hallo Welt")

Und schon habe ich einen 512-Bit-Hash mittels der Python-Hashlib erzeugt. Python ist vielleicht in dem Kontext nicht das Mittel der Wahl, aber auch in anderen Hochsprachen ist das Erzeugen eines Hashes verdammt einfach (oder trivial, falls Jemand sich an Semantik aufhalten will).

in java oder c++ hat das ding 20 zeilen... wenn du n ganz fiesen hashcode erzeugen willst und den ganzen listen unfug selber coden willst sind das dann 100-200 zeilen. für ein multimilliarden-dollar-global-player nicht unbedingt ein ding der unmöglichkeit.

Hey, tu Java nicht unrecht!

Code: Alles auswählen

String hash = org.apache.commons.codec.digest.DigestUtils.sha512Hex(password +"salt");

[5ancho]

Ein guter Vergleich, schön dass du beweist wie wenig du von der Materie verstehst.

Oh man gibt es in diesen Foren wirklich keine richtigen Diskussionen mit Gegenargumentation? Ich hab das Gefühl hier wollen alle nur zeigen dass sie die cooleren Beiträge posten können. Hört doch mal auf so kindisch zu sein.

Wieso hat das nichts mit der Materie zu tun?

Weil man eine Tür, egal wie gestaltet, letztlich einrammen kann.
In einen Server kommt man aber mit genau der Methode am allerwenigsten rein und schon gar nichts damit raus. Es sei denn natürlich, man fährt mit nem Panzer ins Rechenzentrum. Super Vergleich.
Den Rest hab ich dir fett markiert.

Und wie alle sicherlich bemerkt haben, hat das, was bei Ubisoft nun geschehen ist, weitaus weniger Tragweite. Sie scheinen also darauf geachtet zu haben, wenigstens "etwas Sicherheit" mitzubringen.

Das größere Problem war bei Sony doch eher, dass sie eine Datenbank genutzt haben, die seit 2007 keine Updates mehr bekommen hatte, wenn ich mich recht entsinne. Da musste also kein kriminelles Genie ran, die Lücken aufzureißen. Da reichte die Spaßtruppe halt aus.

Also ein bisl um die Ecke denken scheinst du nicht zu können. Eine Tür baut man ein, weil man nciht will, dass jeder x beliebige in dein Haus reinkommt. Wird diese Tür eingetreten weiß man, dass sie als Sicherheitsvorrichtung zu lasch war und baut eine Tresortür ein (möchte mal sehen wie du sie einrammst). Wenn diese dann irgend wann überlistet wurde kommt halt noch Panzerglas dazu usw...

So verhält es sich auch mit Servern. Man entwickelt ein Sicherheitssystem, von dem man ausgeht dass es den aktuellen Sicherheitsmaßstäben gerecht wird bis irgendwann jemand kommt und dieses überlisten kann. Danach muss man halt sehen dass man bessere Sicherheitsvorkehrungen entwickelt.

Dieses Spiel zieht sich schon seit es Diebe gibt durch die Geschichte und du denkst ernsthaft, dass das jetzt zu Zeiten des Internets anders läuft? Vielleicht solltest du mehr versuchen die Argumente der anderen auch zu verstehen anstatt dir coole Konter auszudenken.

[brent]

Also ein bisl um die Ecke denken scheinst du nicht zu können. Eine Tür baut man ein, weil man nciht will, dass jeder x beliebige in dein Haus reinkommt. Wird diese Tür eingetreten weiß man, dass sie als Sicherheitsvorrichtung zu lasch war und baut eine Tresortür ein (möchte mal sehen wie du sie einrammst). Wenn diese dann irgend wann überlistet wurde kommt halt noch Panzerglas dazu usw...

So verhält es sich auch mit Servern. Man entwickelt ein Sicherheitssystem, von dem man ausgeht dass es den aktuellen Sicherheitsmaßstäben gerecht wird bis irgendwann jemand kommt und dieses überlisten kann. Danach muss man halt sehen dass man bessere Sicherheitsvorkehrungen entwickelt.

Dieses Spiel zieht sich schon seit es Diebe gibt durch die Geschichte und du denkst ernsthaft, dass das jetzt zu Zeiten des Internets anders läuft? Vielleicht solltest du mehr versuchen die Argumente der anderen auch zu verstehen anstatt dir coole Konter auszudenken.

Ich würd eher sagen, du bist son bisschen hohl.
Wenn einer mein Schloss knackt, brauch ich wohl ein besseres, aber er wird die Tür immer einrammen können, der Bock muss nur groß genug sein. Das klappt bei Servern so nicht, daher ist der Vergleich dumm.

[Zinssm]

Kannst du uns mit 100 % Sicherheit sagen das deine Wohnung bzw Laptop ABSOLUT sicher ist oder kannst du es nicht?! Und wie kommst du brent ( Forenschmierer auf 4 players) zu dem Ergebnis das Ubisoft
keine Sicherheit hat?!

[johndoe805681]

Und wie kommst du ... zu dem Ergebnis das Ubisoft
keine Sicherheit hat?!

Die werden schon eine gehabt haben, jedoch wird die "nur" die 0815 Hacker abgehalten haben. Jemand mit Know-How wird sich daran nicht wirklich aufgehalten haben.
Sony ist das perfekte Gegenbeispiel. LulzSec hat sich ja drüber totgelacht und in ihrem Statement gefragt ob das eigtl wirklich erst gemeint war von Sony.

Es ist kein Geheimnis dass im 4Chan viele Leute unterwegs sind, die als IT Leute in Unternehmen sitzen und bewusst dort die Hintertüren zu den jeweiligen Servern ihrer Arbeitgeber streuen.
So Leute kennen sich aus und es reicht schon wenn solche Leute dann einen Angriff koordinieren.

[danke15jahre4p]

Sony ist das perfekte Gegenbeispiel. LulzSec hat sich ja drüber totgelacht und in ihrem Statement gefragt ob das eigtl wirklich erst gemeint war von Sony.

das "totgelacht" statement bezog sich auf den hack von sony pictures website, wo "nur" name, passwort, adresse gestohlen wurden dort, aber keine kreditkarteninformationen hinterlegt waren.

das psn war eine andere geschichte.

greetingz

[brent]

Und wie kommst du brent ( Forenschmierer auf 4 players) zu dem Ergebnis das Ubisoft
keine Sicherheit hat?!

Das hast du dir zusammengereimt, in deinem Kinderhirnchen.

[Zinssm]

Und wie kommst du brent ( Forenschmierer auf 4 players) zu dem Ergebnis das Ubisoft
keine Sicherheit hat?!

Das hast du dir zusammengereimt, in deinem Kinderhirnchen.

Junge gib Antwort,oder soll ich dich zum vierten mal fragen?!