» »

Ameriška carinska uprava kupuje igralne konzole PlayStation

Ameriška carinska uprava kupuje igralne konzole PlayStation

Slashdot - Kot poročajo na Slashdotu, je center za kiberkriminal na ameriški carinski upravi kupil 20 PlayStation 3 igralnih konzol, načrtujejo pa še nakup dodatnih 40.

Vendar pa igralnih konzol ne bodo uporabljali za igranje iger, pač pa za razbijanje gesel na zaseženih računalnikih. PS3, ki stane 300 USD, namreč lahko preizkusi 4 milijone gesel na sekundo in je precej bolj učinkovita od namenskih Tableau/Dell strežnikov, ki so tudi dražji.

Za preverjanje gesel z grobo silo je seveda potrebna precej velika računska moč (za 6-mestno geslo je 281474976710656 kombinacij), vendar pa je gesla mogoče razbijati tudi z bolj učinkovitim napadom s slovarjem oz. z nekaj poznavanja načinov kako ljudje izbiramo gesla. Zato vsekakor ni odveč kakšen nasvet glede izbire kvalitetnega gesla.

Seveda pa gesla ne potrebujete, če nimate česa skrivati...

34 komentarjev

kuglvinkl ::

Je pa ena jeba:

Unfortunately for ICE, the new slim-PS3 won't suffice.

"The newer PS3s have been restricted, locked down, so you can't put Linux on them," Condon said.

ICE is hoping to buy 40 more original PS3s, through auction sites such as eBay.com, to add to the 20 it already has, Davenport said.

In še:

"There's no controllers hooked up," Davenport said.
Your focus determines your reallity

ALT ::

zdi se mi, da tisti, ki imajo nekaj za skrivat ne bodo uporabili 5 al 6 mestnega gesla. z 10+ mestnim gesli pa lahko ICE agenti raje igrajo igrice ta cas, bodo ravno tako ucinkovito uporabili cas.

l0g1t3ch ::

S kolegom sva naredila analizo na bazi cca 20000 gesel in rezultati so porazni. Res da gre samo za gesla neke spletne strani, ki ji ljudje ne dajejo nekega posebnega pomena ampak ponavadi ma človek eno geslo za mnogo stvari ali pa vsaj izpeljanke iz tega.

ALT ::

ampak to je na spletni strani, po moznosti neki, kjer nekaj napises, sam tolk da je.

ce pa hoces nekaj skrivat bos uporabil malo mocnejse geslo. vsaj tisti z iq nad sobno temperaturo :D

Pegaz ::

Tukaj so gesla, ki so jih razbili hekerji: zf05.

Začnejo se pri -- For the fun of it, here's 1000 of them. -- (Ctrl+F)

Tukaj se vidi, kakšne vrste gesel so breakable in kakšne med njimi ne najdemo.

Matthai ::

Zdajle ne najdem članka - mislim, da je bil objavljen na Schneier.com (če ga kdo polinka bom hvaležen) - o tem, kako razbijajo gesla.Mislim, da je bil naveden podatek, da kar 2/3 gesel razbijejo s pomočjo napada s slovarjem, in podobnimi triki. In to v razmeroma kratkem času.

Se pravi - vzameš urico ali dve in ugotoviš ali je zadeva easy breakable ali ne. Če ni, oceniš pomembnos zadeve in vse skupaj vrneš ali pa pošlješ v nadaljno obdelavo.
All those moments will be lost in time, like tears in rain...
Time to die.

ALT ::

matthai, mislim da si kr tole imel v mislih klik..

sj verjetno res tko delajo, ceprav glede na to kar pise tam, je skoraj bolj racionalno zadevo takoj vrzt pod napad z slovarjem, ce ni uspesen pa precenit tako kot si rekel. to sklepam po tem, da tam pise:
at 200,000 guesses per second -- would have been able to crack 23 percent of the MySpace passwords in 30 minutes, 55 percent in 8 hours.


torej je ze to veliko manj, kot 4mio/sek, ki jih baje zmore ps3. tako da bi polovico gesel dobili verjetno kar v pol ure na ps3.

btw, a je mozno ugotoviti, koliko znakov vsebuje geslo? da vidis, ali je brute-force napad moznost ali zgolj mokre sanje?

Matthai ::

ALT, tega se spomnim, pa mislim, da sem nekje videl še en bolj zanimiv članek. Lahko pa, da ni bil na schneier.com...

btw, a je mozno ugotoviti, koliko znakov vsebuje geslo?

Ne.
All those moments will be lost in time, like tears in rain...
Time to die.

techfreak :) ::

Ja, ampak napad s slovarjem lahko zelo hitro "onemogočiš" že z kakšnimi $ ali # znaki.

Matthai ::

Originalni ja. Obstajajo pa seveda tudi modifikacije (npr. leet speech), a ne?
All those moments will be lost in time, like tears in rain...
Time to die.

ALT ::

lahko uporablja tudi razlicne "zamenjane" crke. sicer pa je blo misljeno kot hiter check, ce je res da se vec kot pol gesel baje da dobiti z slovarjem.

vseeno pa se mi zdi malo huda cifra teh 55% :8)

sicer pa, lahko je reci, da lahko ugotovis vecino teh uporabniskih imen z slovarjem, ko jih ze enkrat imas. brez tega pa je stvar skoraj nemogoca, ker imajo sigurno nek sistem, ki zacasno blokira uporabnika, ce je preizkusenih prevec imen. pa tudi 200.000 poskusov/sek je nemogoce preko neta.

Matthai ::

Pa kdo govori prek neta? Govora je o zaseženih računalnikih.
All those moments will be lost in time, like tears in rain...
Time to die.

r0ker ::

saj tile nebi prek neta ker gre za zasežene kompjutre v lokalni mreži ali kakorkoli. dvomim je kako POMEMBNO geslo le beseda iz leksikona. pred local root exploit pa itak ni rešitve.
take zadeve pa reši že skriptica (oz mislim da ma večina že vgrajeno to možnost, le disejblano po dafult), ki onemogoči/blokira/bana ip/uporabnika

Zgodovina sprememb…

  • spremenil: r0ker ()

ALT ::

vem da ICE ne bi preko neta, ampak link govori o myspace accountih. na to sm mislu..

napad z slovarjem ne uporablja le besede iz slovarja, ampak tudi doda kako stevilko itd.
pa verjetno se gre bolj za file zascitene z geslom, kot pa administrator account.

Matthai ::

Kot prvo je treba vedet,d a večina ljudi uporablja precej slaba gesla. Kot drugo - večina jih uporablja enaka (ali podobna) geskla za različne sisteme. Zato ej dosti visoka verjetnost, da bo geslo za MySpace precej podobno geslu za TrueCrypt.

Kar se tiče local root exploit - pri zaseženem računalniku ne pride v poštev. Saj to je jasno zakaj je tako, ne?
All those moments will be lost in time, like tears in rain...
Time to die.

BigWhale ::

Jaz sem deset let nazaj uporabljal slovarje in nad njimi izvajal dolocena pravila. Na primer leet speak je ena izmed zamenjav:
e = 3, o = 0, i = 1, ... Potem so bile se kombinacije dveh ali treh krajsih besed. Ce privzames, da povprecno geslo ni daljse od deset znakov teh kombinacij ni veliko. Ukinjanje samoglasnikov se precej pogosto uporablja. Zamenjave besed s crkami in stevilkami: for = 4, you = U, ...

S slovarji se dalec pride! :)

Zato ej dosti visoka verjetnost, da bo geslo za MySpace precej podobno geslu za TrueCrypt.


Ma, jest bom moj TrueCrypt ukinil ... Vsakic pisat celo kitico, k mountas zadevo mi ze preseda... :D

Zgodovina sprememb…

  • spremenil: BigWhale ()

Matthai ::

Pa si montiraj tisto napravo za trkanje! :D
All those moments will be lost in time, like tears in rain...
Time to die.

Phoebus ::

Tudi "leet speak" je z3l0 3n0st4vn0 implementirat v metode s slovarjem...sicer par besed več za preverit, ali ipak ;)

ales85 ::

53|0 3|\|o5t/\\/|\|0 j/\ :D

ender ::

Ma, jest bom moj TrueCrypt ukinil ... Vsakic pisat celo kitico, k mountas zadevo mi ze preseda... :D
Daš ključ na pametno kartico, potem imaš lahko tudi krajši PIN (ker se kartica itak uniči, če n-krat vpišeš napačno geslo).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

BigWhale ::

Ko bi ti vedel kolikokrat sem si ze zaklenil razno razne kartice ... :)))

ALT ::

matthai, verjamem da ljudje uporabljajo precej butasta gesla. ampak po moje, taksna gesla uporabljajo predvsem tisti, ki nimajo kj veliko za skrivat. oziroma jih uporabijo, na banalnih straneh, kjer so izpolnili razne ankete, enkratna online narocila, forume in podobno.

ce pa hoce kdo kaj skriti, kar je dejansko vredno skrivati, si pa ne predstavljam, da bi uporabil banalna gesla, kot so navedena v tistem clanku. ali pa uporabljal besede iz slovarja. iskreno, kako tezko si je zapomniti nekaj razlicnih znakov in cifer, ce gre za zelo pomembno stvar? pa magari vzames par crk in stevilk, ki so odtisnjene na ekranu, par, ki so na kreditni kartici in nekaj, ki so povezane z tebi pomembnimi recmi (imena, datumi, kraji, dogodki)?

vsakdo lahko sestavi spodobno geslo, sploh ce je primerno motiviran. in po moje ICE hoce videti, kaj skrivajo ravno taki ljudje - ki imajo nekaj za skrivati, ne pa tisti, ki skrivajo razne pr0n slike svojih deklet in stevilke kreditnih kartic.

Matthai ::

Hjah, eni pedofili, recimo Boucher (iz primera In re Boucher) gredo čez mejo celo s prižgaanim prenosnikom in mountanim pgpgdiskom s prepovedanim materialom.

Če so kriminalci tolk neumni, kakšne napake delajo šele nedolžni državljani?
All those moments will be lost in time, like tears in rain...
Time to die.

MrStein ::


Če so kriminalci tolk neumni, kakšne napake delajo šele nedolžni državljani?

Praviš, da so kriminalci bolj pametni od nekriminalcev???

ALT:
matthai, verjamem da ljudje uporabljajo precej butasta gesla.


Če bi web strani podpirale (ST, hint hint) kaki enoten login ala OpenID ali podobno, bi imel močno geslo za vsepovsod.
Tako pa imam na 50 straneh isto enostavno geslo (ali preproste variacije).
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

PaX_MaN ::

Če bi web strani podpirale (ST, hint hint) kaki enoten login ala OpenID ali podobno, bi imel močno geslo za vsepovsod.

Saj ga - in še Jahujevega zraven.

MrStein ::

Eh, na ST se lahko z OID prijavim?
Kak pa?
Teštiram če delaž - umlaut dela: ä ?

ALT ::

matthai, to, da obstajajo neumni in hkrati bolani osebki, ne pove nic drugega, kot da tudi taksni osebki obstajajo. sicer pa take neumne tako ali tako hitro ujamejo, tisti, s katerimi imajo pa probleme, so pa tudi toliko brihtni, da izberejo posteno geslo. imho no.

Okapi ::

OK, carina se nekaj igra s PS3-ji. Mene pa bolj zanima, kakšne računalnike uporablja za razbijanje zaresnih gesel NSA ali ameriška vojska. V časih hladne vojne je veljajo, da ima ameriška vojska računalniško opremo približno 10 let naprednejšo od tega, kar se civilom sploh sanja, da že obstaja (ker kar se je civilom sanjalo, to so Rusi vedeli).

O.

Matthai ::

Okapi, če te zanima, si preberi kakšno knjigo od Bamforda, recimo Body of Secrets. Mene je recimo presenetil podatek, da imajo toliko computing powerja, da jim je začelo zmanjkovati elektrike. Da je dejansko največji problem prav v pomanjkanju električne energije za hlajenje.

Pa tale knjiga je tudi zanimiva: The Secret Sentry: The Untold History of the National Security Agency.

Praviš, da so kriminalci bolj pametni od nekriminalcev???

Bolj previdni zagotovo. Saj vendar imajo kaj za skrivat...
All those moments will be lost in time, like tears in rain...
Time to die.

Zgodovina sprememb…

  • spremenil: Matthai ()

BaToCarx ::

OK, carina se nekaj igra s PS3-ji. Mene pa bolj zanima, kakšne računalnike uporablja za razbijanje zaresnih gesel NSA ali ameriška vojska. V časih hladne vojne je veljajo, da ima ameriška vojska računalniško opremo približno 10 let naprednejšo od tega, kar se civilom sploh sanja, da že obstaja (ker kar se je civilom sanjalo, to so Rusi vedeli).

O.


http://www.sciengines.com/joomla/index....

Kaka take Škatle, Xilinx FPGA pa take fore.

PaX_MaN ::

Eh, na ST se lahko z OID prijavim?
Kak pa?

Prijava, drugo

Zgodovina sprememb…

  • zavarovalo slike: gzibret ()

Pyr0Beast ::

Pravzaprav; Katera gesla tukaj lomimo, ta, ki so shranjena na računalu ali tista, ki se uporabljajo za prijavo na strani ?
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

ALT ::

ICE hoce lomiti gesla, ki so na racunalniku.

en link pa se je nanasal na analizo gesel myspace racunov, kjer so ze posedovana uporabniska imena IN gesla primerjali s tem, kar slovar lahko ugotovi. zato sem tudi omenil, da to v praksi ne gre, ampak le kot naknadna analiza ze pridobljenih zadev. malo offtopic ampak so podatki tolk zanimivi, da jih ne bi smel nihce spregledati.

MrStein ::

PaX_MaN :
Eh, na ST se lahko z OID prijavim?
Kak pa?

Prijava, drugo


Heh, hvala, sem vmes že sam pogruntal. ;)

A to pomeni, da deluje le z google in yahoo ID-jem, recimo z sf.net pa ne?
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Cell gre na 45-nm

Oddelek: Novice / Procesorji
53050 (2341) kataklysm
»

PS3 kot TiVo

Oddelek: Novice / Igre
164288 (3147) fiore
»

PlayStation 3 že v proizvodnji (strani: 1 2 )

Oddelek: Novice / Konzole
798875 (7007) Tr0n
»

PSP odslej podpira RSS in WMA

Oddelek: Novice / Ostala programska oprema
52707 (2433) sh4rk
»

Kakšen bo novi Xbox?

Oddelek: Novice / Konzole
92076 (2076) Phoebus

Več podobnih tem