Bitcoin Forum
November 07, 2024, 01:48:28 PM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: « 1 [2] 3 »  All
  Print  
Author Topic: User-Datenbank von Mt Gox veröffentlicht, ändert eure Passwörter!  (Read 4229 times)
LeFBI
Member
**
Offline Offline

Activity: 98
Merit: 10



View Profile
June 19, 2011, 09:16:20 PM
 #21

Nur einige hundert PWs sind als MD5-Hash gespeichert.
~1700
Die PWs im propritären Format
nix propritär. md5(unix)

In der Datei sind zahlreiche Accounts ohne Email-Adresse.
Liegt daran das man während der Registrierung bei mtgox keine Email-Adresse angeben muss... aber kann Smiley

Keine Panik wegen der Passwörter. Wenn du ein hinreichend starkes Passwort benutzt hast dann dauert es eine geschätzte Ewigkeit bis ein Angreifer aus dem Hash dein Passwort errechnet hat.
^^^^^^Genau das! Es dauert eine halbe Ewigkeit die md5(unix) hashes zu knacken, selbst per Wörterbuchattacke. Anders sieht's mit den 1700 normalen md5 hashes aus, da ist es schon kritisch wenn man ein zu kurzes Passwort benutzt hat.

Passwort ändern sobald mtgox wieder online ist.
Boumer
Sr. Member
****
Offline Offline

Activity: 259
Merit: 250


View Profile
June 19, 2011, 09:18:22 PM
 #22

Na ja, wenn man ehrlich ist, entbehrt es nicht einer gewissen Ironie, die einen minen für BTCs, die anderen, um PW zu cracken. ;-)

Delicious Donations: 19yiZrUECBsQLWe88P48HtBxWJvTmDn5cf

https://cex.io/r/0/Kratylos65/0/
leepfrog
Sr. Member
****
Offline Offline

Activity: 252
Merit: 250


View Profile
June 19, 2011, 09:18:44 PM
 #23

Au weia... lasst doch mal gefährliches Halbwissen da raus.

@Dennis:
1. Was hat ein Hash der mit 21232 beginnt deiner Meinung nach mit der Un(Sicherheit) eines Root Passworts zu tun?
2. In der Datei war kein Root Eintrag. Macht ja auch keinen sinn - es geht immerhin um die User des Dienstes und nicht um den Server- oder MySql-Root User
3. Nix proprietär. Es ist stink normales gesalzenes MD5

@Dev:
1. Bezüglich der Rainbow Tables.. ja ne ist klar. Das will ich sehen wie du ~200GB Rainbow Tables in 2 Sekunden durchsuchst.
2. Wenn du ein ausreichend sicheres Passwort hast, kommst du auch mit Rainbow Tables nicht weiter

@Nyx:
Es ist völlig egal ob die gesalzen sind oder nicht. Einfaches Passwort = schnell ge-brute-forced
dev^
Newbie
*
Offline Offline

Activity: 28
Merit: 0


View Profile
June 19, 2011, 09:23:29 PM
 #24

Bezüglich der Rainbow Tables.. ja ne ist klar. Das will ich sehen wie du ~200GB Rainbow Tables in 2 Sekunden durchsuchst.

Das ist kein Problem. Ich habe genügend Datenbanken >500G verwaltet, wenn die Datenbankserver gut optimiert und die Datenstruktur eine Saubere sind stellt das absolut kein Problem dar.
Aber das soll hier auch kein Thema sein, daher würde ich vorschlagen wir lassen trotz jedem Informatiker-sein die Trollerei ruhen und schauen dass wir noch einigermaßen gut aus der Situation herauskommen.
adaman
Member
**
Offline Offline

Activity: 84
Merit: 10


View Profile
June 19, 2011, 09:23:50 PM
 #25

Keine Panik wegen der Passwörter. Wenn du ein hinreichend starkes Passwort benutzt hast dann dauert es eine geschätzte Ewigkeit bis ein Angreifer aus dem Hash dein Passwort errechnet hat.

Poste hier doch mal den MD5-Hash eines 7-Stelligen User-Passwortes. "User" also so, wie der normale User es macht, Buchstaben, und ggf. Zahlen, nicht 7 Sonderzeichen oder so... Mal schauen, wie sicher das ist und wie lange es dauert, bis jemand es Knackt.

Ok.

5bed6438bf8114083e513f5660443ba0

Nur soviel sei gesagt, es ist 7-stellig und entspricht deinen Kriterien. Bin selber mal gespannt, also wenn das jemand ausrechnen möchte, bitte.

Aber genau aus diesem Grund habe ich auch von einem hinreichend sicheren Passwort gesprochen.
crashdown
Member
**
Offline Offline

Activity: 112
Merit: 10


View Profile
June 19, 2011, 09:26:59 PM
 #26

Aber das soll hier auch kein Thema sein, daher würde ich vorschlagen wir lassen trotz jedem Informatiker-sein die Trollerei ruhen und schauen dass wir noch einigermaßen gut aus der Situation herauskommen.

+1

Guter Plan!
Btw. hier gibt es auch mindestens einen nicht-Informatiker.
leepfrog
Sr. Member
****
Offline Offline

Activity: 252
Merit: 250


View Profile
June 19, 2011, 09:36:38 PM
 #27

Klingt nach einem Plan Wink

Ich denke das ganze wird sich mit SICHERHEIT negativ auf die Beliebtheit von MtGox auswirken. Das ganze führt dann zu einer exponentiellen Anzahl neuer User bei den Alternativmärkten. Selbst falls diese gestemmt werden können ist es fraglich, in wiefern diese Sicher vor solchen Problemen sind (MtGox war halt jetzt ein attraktives Ziel, das bedeutet nicht, dass die Alternativen besser abgesichert sind).

Weiterhin wird das Ganze imo zumindest vorübergehend den BTC Kurs erheblich drücken..
Dennis1234
Newbie
*
Offline Offline

Activity: 14
Merit: 0


View Profile
June 19, 2011, 09:49:06 PM
 #28

1. Was hat ein Hash der mit 21232 beginnt deiner Meinung nach mit der Un(Sicherheit) eines Root Passworts zu tun?
Na, wie ist wohl der MD5-Hash für "admin"? Richtig 21232....................... das sollte doch wohl jeder auswendig wissen...
whatever33
Newbie
*
Offline Offline

Activity: 1
Merit: 0


View Profile
June 19, 2011, 09:51:51 PM
Last edit: June 19, 2011, 10:25:46 PM by BitLex
 #29

der kerl über mir hat offenbar nicht soviel ahnung wie er tut, sonst wüsste er dass voll egal ist wie der hash los geht.
md5 für admin123 ist z.b. 0192023a7bbd73250516f069df18b500
also was soll das sagen?

crashdown
Member
**
Offline Offline

Activity: 112
Merit: 10


View Profile
June 19, 2011, 09:58:40 PM
 #30

1. Was hat ein Hash der mit 21232 beginnt deiner Meinung nach mit der Un(Sicherheit) eines Root Passworts zu tun?
Na, wie ist wohl der MD5-Hash für "admin"? Richtig 21232....................... das sollte doch wohl jeder auswendig wissen...

_Jeder_ _auswendig_? ... Du hast Ideen... Cheesy Ich hoffe du meinst das nicht ernst!
SecOpa
Newbie
*
Offline Offline

Activity: 13
Merit: 0


View Profile
June 19, 2011, 09:59:11 PM
 #31

Seh ich auch so, leepfrog.

Ich schätz auch, das MtG nicht viel Ahnung hatte.


Ablauf aus deren Sicht:

1. Jemand startet eine hohe Abhebung welche das tägliche Limit überschreitet (1000$ oder warens 2000$ ? )
2. Die werden alarmiert, evtl der User angeschrieben, stoppen das ganze
3. Versuchen alles wieder gerade zu biegen.

Angreifersicht:
1. Greift am 16. oder 17.06. die Seite an, holt die Frontenddaten und knackt diverse Accounts (Lässt Hashes "knacken")
 - Das könnte die häufigen "Mein Account wurde gehacked, habe aber ein sicheres System!"  Meldungen erklären.
 - MTGox erkennt das noch nicht, tut es als Fehler der User ab
2. Er trifft auf einen großen und holt sich da das ganze Geld. Das Limit wird erreicht, Account wird überprüft. Alternativ kann er auch gleich mehrere "größere" verwenden und gleichzeitig überweisen.
3. Er sieht das nicht sehr viel geht, versucht rauszuholen was er kann, doch MtG sperrt das System, die Seite usw.  Er veröffentlicht aus Protest die Useraccounts. Oder um MTG zu schaden.

Die Verluste wird MTGox (wenn überhaupt) durch ihre eigenen Reserven ausgleichen müssen.

Beim Backend hätte er es vermutlich erheblich leichter gehabt. Dort kann er selbst Anweisungen durchführen, bzw. "gelagerte" Bitcoins auslesen und all das. Ich glaub nicht das er bis dahin gekommen ist.

Gut das veröffentlichen der Bitcoin Adressen würde ihm auch nichts bringen, da der Markt dann sofort reagiert und er vermutlich nichts mehr ausgezahlt bekommt.
leepfrog
Sr. Member
****
Offline Offline

Activity: 252
Merit: 250


View Profile
June 19, 2011, 10:04:43 PM
 #32

1. Was hat ein Hash der mit 21232 beginnt deiner Meinung nach mit der Un(Sicherheit) eines Root Passworts zu tun?
Na, wie ist wohl der MD5-Hash für "admin"? Richtig 21232....................... das sollte doch wohl jeder auswendig wissen...

Nein weiß ich zugegebenermaßen nicht auswendig Wink
Solltest aber beachten, dass das Eintrag Nr. 1720 in der DB war (zumindest wenn die IDs stimmen), und somit vermutlich weniger der Admin Account Wink
LeFBI
Member
**
Offline Offline

Activity: 98
Merit: 10



View Profile
June 19, 2011, 10:17:30 PM
 #33

Ok.

5bed6438bf8114083e513f5660443ba0

Nur soviel sei gesagt, es ist 7-stellig und entspricht deinen Kriterien.
5bed6438bf8114083e513f5660443ba0 ==> n9Wbnw3

Das war jetzt nicht >so< schwer Wink
Gedauert hat es 1 Minute, 50 Sekunden per stupidem bruteforce(ohne Wörterbuch) auf einer HD4870...die nun auch schon etwas betagt für diese Zwecke ist.
Ich hab bei der Gelegenheit die 1700 normalen MD5 durch ein kleines 3,6GB Wörterbuch gejagt...459 sofort geknackt. Also mit den Passwörtern nehmen es die Leute wie immer nicht so genau. Nichtmal wenn's um Geld geht Sad

1. Greift am 16. oder 17.06. die Seite an
Dem würd ich so zustimmen, der veröffentliche Teil der DB ist entweder nicht vollständig oder der eigentliche Angriff fand schon vor ein paar Tagen statt, denn in der veröffentlichten Liste fehlen die ca. 500 letzten Accounts. Die höchste ID in der Datei ist ~61000, heut morgen war man bei mtgox aber schon bei ~ 61500.
Der Rest ist aber alles reine Spekulation, das weiß nur der Hacker selbst bzw MtGox der es eventuell an Hand der Logdaten rekonstruieren kann.
SecOpa
Newbie
*
Offline Offline

Activity: 13
Merit: 0


View Profile
June 19, 2011, 10:22:50 PM
 #34


1. Greift am 16. oder 17.06. die Seite an
Dem würd ich so zustimmen, der veröffentliche Teil der DB ist entweder nicht vollständig oder der eigentliche Angriff fand schon vor ein paar Tagen statt, denn in der veröffentlichten Liste fehlen die ca. 500 letzten Accounts. Die höchste ID in der Datei ist ~61000, heut morgen war man bei mtgox aber schon bei ~ 61500.
Der Rest ist aber alles reine Spekulation, das weiß nur der Hacker selbst bzw MtGox der es eventuell an Hand der Logdaten rekonstruieren kann.


Japs, und die Hashes lagen schon vorher bei Online Hashdatenbanken vor Smiley 



Btw. hat MTG grad eine Email rausgelassen. Hoffentlich schicken die bei den Leuten mit Email eine Bestätigung zum PW ändern, nicht einfach alle freischalten. :/ 


Quote
Dear Mt.Gox user,
Our database has been compromised, including your email. We are working on a
quick resolution and to begin with, your password has been disabled as a
security measure (and you will need to reset it to login again on Mt.Gox).

If you were using the same password on Mt.Gox and other places (email, etc),
you should change this password as soon as possible.

For more details, please see this:
https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback

The informations there will be updated as our investigation progresses.

Please accept our apologies for the troubles caused, and be certain we will do
everything we can to keep the funds entrusted with us as secure as possible.


The leaked data includes the following:
- Account number
- Account login
- Email address
- Encrypted password

While the password is encrypted, it is possible to bruteforce most passwords
with time, and it is likely bad people are working on this right now.


Any unauthorized access done to any account you own (email, mtgox, etc) should
be reported to the appropriate authorities in your country.


Thanks,
The Mt.Gox team
.:: Kai ::.
Member
**
Offline Offline

Activity: 84
Merit: 10


View Profile
June 19, 2011, 10:25:57 PM
 #35

Also wenn ich mir das ansehe und schnell mal überprüfe ist das Passwort doch mit dem billigen Crypt_MD5 Allgo gehasht. Der 8Stellige Salt liegt plain im Hash vor. Habs gerade mit meinem Passwort überprüft, paßt. Prima ITler da bei MtGOX:).

Ein MD5-Allgo mit cleveren Salt ist nun selbst bei Omas-Küchenrezepte-Seite trechic:).

Also für HTTP-Auth, was ja nun garnicht geht, ist Crypt_MD5 ja gerade noch so verständlich, aber für so eine große Seite wie MtGOX, das wundert mich.

Also reine MD5 Hashes sehe ich in der csv ziemlich selten. Die Crypt_MD5 scheinen wirklich häufiger anzutreffen zu sein, zumindestens bei meinem account und so alt ist der nicht.

Donation: 1KNu1azpVCasbJXoHNQjYE9WdjGsuQZkG9
LeFBI
Member
**
Offline Offline

Activity: 98
Merit: 10



View Profile
June 19, 2011, 10:41:53 PM
Last edit: June 19, 2011, 10:54:09 PM by LeFBI
 #36

Also wenn ich mir das ansehe und schnell mal überprüfe ist das Passwort doch mit dem billigen Crypt_MD5 Allgo gehasht. Der 8Stellige Salt liegt plain im Hash vor.
md5(unix) ist nicht billig und das salt für jedes einzelne Passwort >muss< im Klartext vorliegen. Wenn es das nicht tun würde, müsste der Server jedesmal wenn du dich einloggst erst dein Passwort per bruteforce knacken um es überprüfen zu können...

Zum Vergleich:
Ich hab hier weiter oben das eine normale md5 Passwort geknackt, das lief mit ~980Mhash/s
Wenn ich mit der selben Grafikkarte eine Wörterbuchattacke (und nur die ist bei md5(unix) sinnvoll) auf die hashes starte liegt die Hashrate bei ~640.0k/s
Das ist alles andere als schnell oder billig...

Hoffentlich schicken die bei den Leuten mit Email eine Bestätigung zum PW ändern, nicht einfach alle freischalten. :/
Ich hoffe genau auf das Gegenteil*g ich hab keine Emailadresse bei der Registrierung angegeben....
SecOpa
Newbie
*
Offline Offline

Activity: 13
Merit: 0


View Profile
June 19, 2011, 11:03:36 PM
 #37

Ich hoffe genau auf das Gegenteil*g ich hab keine Emailadresse bei der Registrierung angegeben....


Stimmt Cheesy

Die müssen.. Tja, evtl sich mit vorangegangenen Transfers, Kontonummer usw?  Ausweisen. .  Derweil ist der Account deaktiviert.

Anders wird das wohl nicht klappen.
Boumer
Sr. Member
****
Offline Offline

Activity: 259
Merit: 250


View Profile
June 19, 2011, 11:19:38 PM
 #38

Die account-Daten wurden zum Verkauf angeboten:

http://www.xsized.de/hintergrunde-zum-bitcoin-crash-bei-mt-gox/

Delicious Donations: 19yiZrUECBsQLWe88P48HtBxWJvTmDn5cf

https://cex.io/r/0/Kratylos65/0/
SecOpa
Newbie
*
Offline Offline

Activity: 13
Merit: 0


View Profile
June 19, 2011, 11:28:11 PM
 #39

Scheinbar hat der die Daten doch schon vorher, am ~ 15-16.06. gehabt... 

http://sickdump.blogspot.com/2011/06/mtgox-db-got-leaked.html
.:: Kai ::.
Member
**
Offline Offline

Activity: 84
Merit: 10


View Profile
June 19, 2011, 11:40:07 PM
 #40

@leFBI

Grins, ja ich muss Dir da wohl recht geben, diejenigen deren Passwörter per unix(md5) abgespeichert worden sind sicherer als die jenigen die sich sogar einfach per md5-db herausfinden lassen. Im Prinzip schon klar das der server das salt wissen muss, ich wollte nur drauf hinweisen, das dies eigentlich die Schwäche ist wenn man es genau nimmt, weil es ja ein praktisch ein hash ohne salt ist.

Und ohne das Salt ist der Hash wieder anfällig für rainbow-table-attacken. Hast mal versucht per GPU und ner Rainbow-Table die unix(md5) hashes zu "untersuchen"?

Bringt natürlich nur was, wenn die Passwörter auch nur wenig Stellen haben.

Aber egal wie, das zeigt das wirklich drauf achten sollte, passwörter größer als 8 zeichen zu benutzen, sogar noch mehr als das pw cryptisch zu gestalten meiner Meinung nach, natürlich nur. Wenn man mehr als 8 Zeichen hat und komplizierte pw ist natürlich optimal.

Aber hey so words-list,rainbow-table-dbs und ne gpu ist auch schon etwas was man nicht unterschätzen sollte:).

Jut Nacht
Kai

Donation: 1KNu1azpVCasbJXoHNQjYE9WdjGsuQZkG9
Pages: « 1 [2] 3 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!