Battlefield.no er hacket.. Takk til Admins som ikke har advart oss end

[Zen0x 57]

Hmm sånn som jeg har forstått det via mailen min så er brukernavnet ditt, passordet og epost adressen din på avveie.

[qed 312]

Det som er på avveie er en gammel databasedump som er kanskje 1-2 år gammel som lå igjen hos en underleverandør som ble brukt til å hoste forumet før vi la hele over til multigamer. Det som er tatt er emailadresse - hash og salt. Hash og salt kan med tid og datakraft settes sammen igjen til ditt originale passord ved rett og slett å prøve alle mulige kombinasjoner. Brute force kalles det.

Regn derfor med at dette vil skje med tid, og se på det passordet kombinert med den emailen som farlig. Personlig har jeg byttet passord to ganger her inne siden den kombinasjonen som nå er avslørt ble brukt, men, har du ett fast passord som du har kombinert med den emailadressen på alt fra steamkonto til nettbank så har du et stort problem og Må endre det raskt som faen. For meg gjaldt dette bare en ting og det var en konto hos akademika bokhandel

korbizz - muligheten for å endre emailadresse på konto er tatt ned for øyeblikket, så det virker veldig merkelig at hackerne skulle ha fått til det. Send en pm til en av moderatorene og be de sjekke ut hvilken emailadresse som er regget på din gamle konto, og sjekk om ikke det er en du kanskje brukte før.

BrannMannSam - styret har lagt seg flate og tar på deg ansvaret, det er bare gamle gubber som meg som er stolt av at det nye styret har håndtert saken såpass bra når den først skjedde, vet at mange av de ikke har sovet en time det siste døgnet og jeg synes det er hyggelig å gi de ros for den innsatsen. Men ja, det er selvfølgelig også vår simple plikt å gjøre det når slikt først skjer.

[Gambler 419]

Jeg har fått 5 mail fra forskjellige navn med masse linker og ett navn :-D. *løst til og trykke på linkene* hehe

[Zaxo 185]

Jeg føler litt stress i kroppen nå, kanskje mest pga. uvitenhet om hva som faktisk kan skje. Har aldri opplevd dette før...

Håper noen her kan forklare ting litt nærmere for meg (og kanskje andre), slik at jeg kan bli litt roligere.

1. Jeg har måttet opprette ny bruker for å stille dette spørsmålet, fordi noen idioter nå har endret e-postadresse til den gamle brukeren min.

Kan jeg få info om din gamle bruker samt epostadressen du brukte?

Send per PM om du vil.

Så skal jeg se hva jeg kan gjøre. Uten at jeg tør love noe som helst desverre.

[sadolf 27]

Hmm sånn som jeg har forstått det via mailen min så er brukernavnet ditt, passordet og epost adressen din på avveie.

Den er jo lei om man bruker det samme passordet og mailen over alt. Brukte heldigvis en relativt unik mailadresse på dette forumet. Kan ikke si det samme om passordet Håper bare ikke de pønsker ut de andre mailadressene jeg bruker da

[Sussidal 85]

Det har blitt mange tråder så med fare for å gjenta meg selv: anse passordet ditt her som public info og bytt det alle steder det er brukt. I disse dager er det ofte enkelt å finne info om folk som leder til andre e-mailadresser de har, så det er ikke slik at det utelukkende er kombo epost/passord brukt her som er i faresonen, bytt passordet uansett hvor det er brukt hvis du vil være trygg.

[Panic 0]

Kan ikke annet enn å støtte opp om Sussidal her. Selv om faktisk IP.Board, som Battlefield.no bruker, er relativt gode på hvordan de lagrer passord i databasen, med individuelt salt per bruker, så er det nå så mye prosessorkraft tilgjengelig for dem som ønsker å knekke en brukerdatabase offline at selv ikke åtte tegn med tilfeldige tegn er nok for å være trygg mot cracking.

Jeg vet ikke hvordan passordene fra bf.no-basen knekkes, med det jeg lastet ned og kikket på kan tyde på at de har kjørt cracking med et tegnsett som inneholder spesialtegn for korte passord (4 tegn eller kortere), for ting som ser ut som datoer og for lengre passord med store og små bokstaver og tall.

Det som ble lagt ut på nett såg ut til å være ferdig med cracking av korte passord med "fullt" tegnsett, og godt på vei inn i passord med store og små bokstaver. Her ser de ut til å ha posta ting på nett etter å ha kjørt gjennom passord som begynner med 0-2 og på god vei inn i passord som begynte på 3. Her ser de ut til å ha cracka passord som er opp til 14 tegn lange.

Altså: Dersom du har et passord som er kortere enn 5 tegn er du allerede cracket. Dersom du har et passord som består av bokstaver og tall som begynner på 0-3 og det er kortere enn ... 11-14 tegn, så er du allerede cracket. Dersom du har et passord som består av store og små bokstaver og tall som er kortere enn 14 tegn, så må du anse passordet ditt som tapt. Det kommer til å bli cracket.

Hacking av webservere og lekking av brukerdatabaser m.m. er forøvrig en økende trend, og det viser at det er viktig å holde fokus på å sikre seg best mulig. I BF.no sitt tilfelle er det ikke først og fremst BF.no selv som er å laste. Det betyr også at man må velge gode passord på nett. Lange passord med spesialtegn. For før eller siden vil man havne i en "leak". Som denne.

Rock on

[Fett 24]

**********

[dopehawk 98]

**********

123456789 cracked--

[Fett 24]

I see ten stars der mr

[Avean 161]

Kan ikke annet enn å støtte opp om Sussidal her. Selv om faktisk IP.Board, som Battlefield.no bruker, er relativt gode på hvordan de lagrer passord i databasen, med individuelt salt per bruker, så er det nå så mye prosessorkraft tilgjengelig for dem som ønsker å knekke en brukerdatabase offline at selv ikke åtte tegn med tilfeldige tegn er nok for å være trygg mot cracking.

Jeg vet ikke hvordan passordene fra bf.no-basen knekkes, med det jeg lastet ned og kikket på kan tyde på at de har kjørt cracking med et tegnsett som inneholder spesialtegn for korte passord (4 tegn eller kortere), for ting som ser ut som datoer og for lengre passord med store og små bokstaver og tall.

Det som ble lagt ut på nett såg ut til å være ferdig med cracking av korte passord med "fullt" tegnsett, og godt på vei inn i passord med store og små bokstaver. Her ser de ut til å ha posta ting på nett etter å ha kjørt gjennom passord som begynner med 0-2 og på god vei inn i passord som begynte på 3. Her ser de ut til å ha cracka passord som er opp til 14 tegn lange.

Altså: Dersom du har et passord som er kortere enn 5 tegn er du allerede cracket. Dersom du har et passord som består av bokstaver og tall som begynner på 0-3 og det er kortere enn ... 11-14 tegn, så er du allerede cracket. Dersom du har et passord som består av store og små bokstaver og tall som er kortere enn 14 tegn, så må du anse passordet ditt som tapt. Det kommer til å bli cracket.

Hacking av webservere og lekking av brukerdatabaser m.m. er forøvrig en økende trend, og det viser at det er viktig å holde fokus på å sikre seg best mulig. I BF.no sitt tilfelle er det ikke først og fremst BF.no selv som er å laste. Det betyr også at man må velge gode passord på nett. Lange passord med spesialtegn. For før eller siden vil man havne i en "leak". Som denne.

Rock on

Det er vel ikke IP.Board dem har gått gjennom, er vel heller sikkerhetshull på serveren hvor databasen lå som er problemet. Hadde dem brytt seg gjennom IP.Board så hadde dem kunne slettet hele websiden for den saks skyld. Så dem har nok bare funnet en gammel backup av en eldgammel database på en eller annen usikker server. IP.Board er veldig trygt.

[qed 312]

han vet det, han har vært med å hjelpe til siste døgnet

han bare understreker at uansett sikkerhetsnivå så bør man satse på trygge passord, fordi brutforce har kommet såpass langt at man skal ta utgangspunkt i at ting kan skje. Da er det også viktig å huske at lengde alltid slår kompleksitet, en lang setning i et ord er flotte saker

MandagmorgenSugerballe skal man jobbe lenge med før man greier cracke

[Panic 0]

... IP.Board, som Battlefield.no bruker, er relativt gode på hvordan de lagrer passord i databasen, med individuelt salt per bruker ...

Det er vel ikke IP.Board dem har gått gjennom, er vel heller sikkerhetshull på serveren hvor databasen lå som er problemet.

Yes sir!

Poenget mitt er at i forhold til mange andre online brukerdatabaser, så er IP.Board sin veldig bra. For den er en av (relativt) få som faktisk salter passordet til hver enkelt bruker med unikt salt, og det gjør offline bruteforceing vesentlig mer tidkrevende enn det å bruteforce en usaltet passorddatabase

Edit:

MandagmorgenSugerballe skal man jobbe lenge med før man greier cracke

Et "dictionary attack" basert på norsk ordbok vil nok kunne klare noe sånt. Men sleng på noen spesialtegn her og der, så begynner det å hjelpe.

Aller best er passord av typen "M+m=s+b4d=M+jPj", som er basert på setningen, f.eks. "mandag morgen suger balle for da må jeg på jobb", med et mønster av spesialtegn som du klarer å huske, her alternerende "+" og "=", untatt ved 4 og på de siste tre bokstavene. Problemet med sånne passord er jo at du sliter skikkelig om du ikke bruker dem jevnlig...

[GodbeaR 3]

salt meg her, og salt meg der, de skyldige kan dra ditt pepper¨n gror!

[Ghad 8]

Bare gjør som meg. Ikke husk et eneste passord og bruk allt recover password hver gang du skal logge inn noe sted.

[Zaxo 185]

MandagmorgenSugerballe skal man jobbe lenge med før man greier cracke

Et "dictionary attack" basert på norsk ordbok vil nok kunne klare noe sånt. Men sleng på noen spesialtegn her og der, så begynner det å hjelpe.

Aller best er passord av typen "M+m=s+b4d=M+jPj", som er basert på setningen, f.eks. "mandag morgen suger balle for da må jeg på jobb", med et mønster av spesialtegn som du klarer å huske, her alternerende "+" og "=", untatt ved 4 og på de siste tre bokstavene. Problemet med sånne passord er jo at du sliter skikkelig om du ikke bruker dem jevnlig...

Altså.. Er vi ikke en gjeng med kjempenerder her inne da?

M4nd4gm0rg3n5ug3r84ll3oneone!?

[Sussidal 85]

MandagmorgenSugerballe skal man jobbe lenge med før man greier cracke

Et "dictionary attack" basert på norsk ordbok vil nok kunne klare noe sånt. Men sleng på noen spesialtegn her og der, så begynner det å hjelpe.

Hmm, correct me if I'm wrong, men dictionary attacks er basert på at de finner akkurat -den- stringen, eller hashen av den. Hvis de har "mandag", "morgen", "suger" og "balle" blant ordene vil den fortsatt ikke finne dette passordet, for ordlisten (hvor hver entry tross alt bare er hashen av predefinerte ord) må inneholde stringen som faktisk utgjør alle 4 ordene satt sammen, enig?

Ikke at det er feil med litt spesialtegn iblandet selvfølgelig, det gjør underverker for entropy, men det er lett å tro at dictionary vil knekke et hvert passord som består av "bare" vanlige ord, dog i det øyeblikk du setter de ordene sammen er det slettes ikke "vanlig" lenger i den forstand.

Det aller beste er selvfølgelig å kombinere lengde med spesialkarakterer, men hvis folk skal velge mellom lengde og kompleksitet: gå for førstnevnte.

[Zaxo 185]

du tenker eple er enkelt, eplekake rimelig lett, eplekaketraktorpålegg, not that easy..(finner det i det minste ikke i min ordbok, gud vet hvordan panic sin ser ut )

[Its a war out here 235]

Hmm, correct me if I'm wrong, men dictionary attacks er basert på at de finner akkurat -den- stringen, eller hashen av den. Hvis de har "mandag", "morgen", "suger" og "balle" blant ordene vil den fortsatt ikke finne dette passordet, for ordlisten (hvor hver entry tross alt bare er hashen av predefinerte ord) må inneholde stringen som faktisk utgjør alle 4 ordene satt sammen, enig?

Ikke at det er feil med litt spesialtegn iblandet selvfølgelig, det gjør underverker for entropy, men det er lett å tro at dictionary vil knekke et hvert passord som består av "bare" vanlige ord, dog i det øyeblikk du setter de ordene sammen er det slettes ikke "vanlig" lenger i den forstand.

Det aller beste er selvfølgelig å kombinere lengde med spesialkarakterer, men hvis folk skal velge mellom lengde og kompleksitet: gå for førstnevnte.

Har samme oppfattelse av dictonary attacks. At det hadde hashet en mengde ord på forhold og sjekket bare hashene opp mot hverandre. Så et eneste avvik ville resultere i at de ikke machet. F.eks Hallo og hallo, som vil produsere forskjellige hash.

Jeg ville også tro at disse angrepene fungerer best på usalta passord. Kan riktignok hende noen lager et hashtable for hvert enkelt salt, men kom igjen. Hvem er så duster i hodet.

[Artic 0]

Vil nå anta at istedet for å lete etter tegn satt sammen til ord, så leter den etter ord i en ordbok satt sammen til en setning.

[Gambler 419]

Panic-ordbok?

Men hos meg da som heisen ikke går helt til topps og har brukt det gammle passordet her på netbanken min også for sikkerhetskyld

Det har vel ikke noe og si da dem kun har passord? netbank trenger jo fødselsnr. og den dere kodebrikka også, noe di ikke har eller? sikkert ikke vanskelig og knekke di kodebrikkene heller egentlig, men fødselsnr har di jo ikke, kan vel få tak i hvis di vil men

Trur kanskje jeg bytter passord fordet jeg

[Sussidal 85]

Vil nå anta at istedet for å lete etter tegn satt sammen til ord, så leter den etter ord i en ordbok satt sammen til en setning.

Vel, egentlig ikke. Dictionaries er pre-computede lister over hashen man får fra et gitt ord, så det de gjør er å sammenligne hashen fra passordet med de i dict. - hvilket er vanvittig mye raskere enn å måtte gjøre hashingen først. Men hvis du tar 2 ord og hasher de hver for seg, og så setter de sammen og hasher det - så får du ikke ord1-hash + ord2-hash etter hverandre, du får en helt annen verdi, hvilket betyr at hvis de skal finne "mandagsuger" så må det være en hash av nettopp "mandagsuger" der fra før, det holder ikke at de har hashen for "mandag" og hashen fra "suger" hver for seg.

På den annen side, så det er nevnt: folk som cracker passord sitter gjerne på tables på mange hundre GB i størrelse, og når du vet hvor mye tekst du får plass til på noen få megabyte kan du tenke deg hvor mange hasher de faktisk har å teste mot... med andre ord: beste virkemiddel er lengde...

Det har vel ikke noe og si da dem kun har passord? netbank trenger jo fødselsnr. og den dere kodebrikka også, noe di ikke har eller? sikkert ikke vanskelig og knekke di kodebrikkene heller egentlig, men fødselsnr har di jo ikke, kan vel få tak i hvis di vil men

Vel, det er faktisk ikke helt sant. Kodebrikkene er *ikke* noen spasertur i parken å knekke, selv om RSA prøvde å motbevise akkurat det for ikke så lenge siden. Så nettbanken din bør du ikke frykte for (fødselsnr er ingen særskilt utfordring, så det er kodebrikken som gir deg genuin sikkerhet akkurat der), men bytt passord uansett, det er å regne som kompromittert og bør følgelig byttes uavhengig av andre (tilleggs-) mekanismer

Jeg ville også tro at disse angrepene fungerer best på usalta passord. Kan riktignok hende noen lager et hashtable for hvert enkelt salt, men kom igjen. Hvem er så duster i hodet.

Viktig poeng du har her, og en av årsakene til at dictionary-attack har begrensninger, hvert passord hos bf.no hadde unik hash som har vært påpekt tidligere, og det betyr at dictionary (alle hash-verdier) må re-computes for hvert eneste passord som skal testes fordi saltet er unikt. Dette setter naturligvis store begrensninger for de som skal cracke...

[Gambler 419]

Roger da får vi ta og fikse det

[Wigami 9]

Nå har de hacket narkoman.no og lagt ut brukernavn og en hel del passord. Se n0rsec-twitter

Skjønner ikke motivasjonen bak dette...

[Nydusja 27]

Akkurat DET er trist.