image

Jongerensite Fok.nl gehackt

zondag 23 augustus 2009, 11:00 door Redactie, 15 reacties

Een aanvaller is er gisteravond in geslaagd de populaire jongerensite Fok.nl te hacken. Via een beveiligingslek in de weblogsoftware kreeg hij toegang tot de database en maakte een nog onbekend aantal MD5 hashes buit. Volgens één van de crewleden wist de aanvaller vervolgens via een combinatie van dictionary en brute-force aanvallen en rainbow tables tenminste twee wachtwoorden van crewleden te achterhalen, waaronder die van hem zelf. Geregistreerde gebruikers bij FOK! krijgen het advies om een nieuw wachtwoord in te stellen. Er zijn nog altijd genoeg internetgebruikers die voor veel websites hetzelfde wachtwoord gebruiken, met als gevolg dat door dit soort inbraken ook andere accounts gevaar lopen. FOK! zou meer dan 250.000 geregistreerde gebruikers hebben.

Reacties (15)
23-08-2009, 12:20 door Anoniem
Dit is precies de redenen dat je met salts moet werken, het liefst een uniek salt per wachtwoord. Dan voorkom je dat je rainbow tables kunt doorlopen om zo de wachtwoorden te achterhalen (danwel andere passende wachtwoorden te vinden). Een salt zorgt ervoor dat bestaande rainbow tables nutteloos worden. Als je het salt weet kun je een nieuwe rainbow table genereren, maar dat duurt erg lang en kost veel opslagcapaciteit en is daardoor praktisch onhaalbaar, zeker als een salt maar voor één wachtwoord gebruikt wordt.
23-08-2009, 14:21 door Zarco.nl
En toen was Fok! een tikkeltje langzaam :P
Wel een btje jammer dat geen salts gebruiken...
Worden er op security.nl wel salted hashes gebruikt?
23-08-2009, 14:39 door Anoniem
omg, salten hun niet eens...
23-08-2009, 14:53 door Anoniem
Hahahaa, lekker for fok!
23-08-2009, 14:55 door Anoniem
Salts helpen niet tegen Rainbowtables.
Het maakt alleen moeilijker.

Voor MD5 zijn alle mogelijke combinaties al gekraakt.
En dan vinden mensen mij paranoia als ik zeg dat md5 onveilig is :')

Een SQL injection, oh man.
Dat krijg je er van als je MySQL gebruikt...
23-08-2009, 15:02 door Anoniem
Een site met meer dan 250.000 geregistreerde gebruikers zou niet moeten volstaan met software gegenereerde en gecontroleerde hashcodes (MD5, SHA-1, SHA-2 etc.). Tenzij de server permanent off-line is, zoals FOK! was na de aanval als enige vorm van damage control. Het probleem is namelijk het permanent on-line zijn van het opslagmedium met de hash-codes van de gebruikers.

De werkelijke attack vindt nu off-line plaats, met de in een fractie van een seconde overgehaalde gehashde wachtwoorden van de FOK! gebruikers. Alleen een HSM met local hash & salt storage en cryptoprocessor zou dat hebben kunnen voorkomen. Zonder deze zware investering zal deze attack-vector blijven bestaan. De hacker kan nu van 250.000 inernet gebruikers het "oude" plaintext password achterhalen, zonder dat de gebruikers of FOK! er nu nog iets aan kunnen doen.
23-08-2009, 15:07 door Anoniem
Door Anoniem: En dan vinden mensen mij paranoia als ik zeg dat md5 onveilig is :')

Als je koningin bent wel. Anders ben je gewoon paranoide.
23-08-2009, 15:20 door Anoniem
Heeft FOK! eigenlijk wel een gedegen Security Policy, want de stekker er (tijdelijk) uittrekken lijkt mij niet echt voldoende.
23-08-2009, 17:42 door [Account Verwijderd]
[Verwijderd]
23-08-2009, 20:03 door spatieman
das fok he.
23-08-2009, 21:41 door [Account Verwijderd]
[Verwijderd]
23-08-2009, 22:49 door Anoniem
SQL injection is mogelijk door verkeerde implementatie, met nette parameterized stored procedures/query's heb je hier geen last van. een sha variant met salt voorkomt dat de wachtwoorden van de fok gebruikers na 10 minuten op straat liggen. Vind de beveiliging van FOK erg nalatig.
23-08-2009, 23:40 door Anoniem
ik kan nog steets nie op fok
24-09-2009, 14:23 door Anoniem
Vraagje aan alle kenners hier.

Waarom word een wachtwoord meestal slechts 1 keer versleuteld. ( wat ik zoal zie in php scripts )

Waarom niet bijvoorbeeld:

$pass = md5(md5(sha1( $voornaam . $achternaam . $email )))

is er een goede reden bovenstaand niet te doen?
17-06-2010, 04:34 door Anoniem
Daar denken ze gewoon niet bij na. Het is tegenwoordig ook dom om je telefoonnummer online te zetten. Neem een anoniem telefoonnummer op http://gratisdoorschakelnummer.com !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.