Hacker Comodo claimt DigiNotar-inbraak
De hacker die verantwoordelijk wordt geacht voor de hack van systemen van Comodo in maart, heeft de aanval op DigiNotar opgeëist. Onderzoekers van Fox-IT hadden al vermoedens dat er een verband bestond tussen de twee hacks.
Beveiligingsbedrijf F-Secure heeft ontdekt dat ComodoHacker, die zoals zijn naam al doet vermoeden waarschijnlijk verantwoordelijk was voor het hacken van Comodo, de DigiNotar-hack heeft opgeëist. De hacker plaatste een tekstbestand op zijn Pastebin-account.
De hacker spreekt van een 'geavanceerde' hack, omdat een groot aantal beveiligingsmechanismen is omzeild. Dat is opvallend, omdat uit het onderzoek dat Fox-IT uitvoerde, juist blijkt dat de beveiliging van DigiNotar op een dermate abominabel niveau was dat een hack slechts een kwestie van tijd zou zijn. Uit de post van ComodoHacker blijkt verder dat het wachtwoord van de certificaatservers 'Pr0d@dm1n' zou zijn geweest.
De hacker schrijft toegang tot nog vier andere certificaatproviders te hebben en claimt dus nog steeds valse certificaten te kunnen genereren. Hij zegt DigiNotar te hebben gehackt vanwege de betrokkenheid van Nederland bij de val van Srebrenica in 1995, waarbij duizenden moslims werden vermoord.
De Fox-IT-onderzoekers schrijven in hun onderzoek te vermoeden dat er een link tussen de twee hacks bestond, omdat in een script een 'fingerprint' werd aangetroffen die bij beide hacks werd gevonden. Bij de aanval op Comodo werden, net als bij die op DigiNotar, valse certificaten gegenereerd. Van de DigiNotar-hack is bekend dat de certificaten waarschijnlijk zijn gebruikt om man in the middle-aanvallen op Iraniërs uit te voeren, waardoor internetverkeer kon worden onderschept.
Reacties (165)
Kwa teken gebruik heb ik daar niet zoveel op aan te merken. Als het gaat over dictionary search valt er wat over te zeggen. Maar wat is dan nog een sterk wachtwoord?
Dan ben je overgeleverd aan een reeks tekens die nergens op slaat en dus niet te onthouden is. Ik beaag dat dat het beste is, maar makkelijk is anders als je elk moment gevraagd kunt worden in te loggen en iets te bekijken.
Dan ben je overgeleverd aan een reeks tekens die nergens op slaat en dus niet te onthouden is. Ik beaag dat dat het beste is, maar makkelijk is anders als je elk moment gevraagd kunt worden in te loggen en iets te bekijken.
Of, ACollectionOfDiplomaticHistorySince _1966_ToThe_PresentDay# 
9 tekens met een dergelijke mix van karakters is thuis prima. Voor een simpel bedrijfsinlogaccount ook nog, want hij voldoet in principe aan alle regels.
Voor een dergelijk belangrijk systeem, mag die eerlijk gezegd nog wat langer. Want size does matter ;-). Verder is een relatief standaardwachtwoord als dit (proud admin) bijna een even grote blunder m.i. Leuk voor de grappige sysad, totaal onacceptabel voor een dergelijk verantwoordelijk systeem....
Wat mij ook opviel: in het AD stond: "het bedrijf dat wordt geleid door Tony van den Bos, voorzitter van CDA Zuid-Holland, is daarmee waardeloos geworden".
Een privaat bedrijf dat in dienst is van de overheid maar geleid wordt door een CDA-politicus. Zijn hier wel alle regels gevolgd toen Diginotar zei "ja wij willen CA voor de overheid spelen"? Ik wil natuurlijk niets of niemand onterecht beschuldigen, maar het viel mij wel meteen op. Het zou me dan vanuit dat licht niet verbazen dat een paar audits en regels erg luchtig zijn opgenomen om een vriendendienst uit te voeren..
Zou een heel kwalijke zaak zijn.
Kan iemand mij uitleggen waarom ik 8x een offtopic moderatie heb?? Volgens mij is er niets offtopic aan mijn bericht. Zelfs niet voor mijn edit, waarin ik het stukje uit het AD nog niet had geplaatst.
Voor een dergelijk belangrijk systeem, mag die eerlijk gezegd nog wat langer. Want size does matter ;-). Verder is een relatief standaardwachtwoord als dit (proud admin) bijna een even grote blunder m.i. Leuk voor de grappige sysad, totaal onacceptabel voor een dergelijk verantwoordelijk systeem....
Wat mij ook opviel: in het AD stond: "het bedrijf dat wordt geleid door Tony van den Bos, voorzitter van CDA Zuid-Holland, is daarmee waardeloos geworden".
Een privaat bedrijf dat in dienst is van de overheid maar geleid wordt door een CDA-politicus. Zijn hier wel alle regels gevolgd toen Diginotar zei "ja wij willen CA voor de overheid spelen"? Ik wil natuurlijk niets of niemand onterecht beschuldigen, maar het viel mij wel meteen op. Het zou me dan vanuit dat licht niet verbazen dat een paar audits en regels erg luchtig zijn opgenomen om een vriendendienst uit te voeren..
Zou een heel kwalijke zaak zijn.
Kan iemand mij uitleggen waarom ik 8x een offtopic moderatie heb?? Volgens mij is er niets offtopic aan mijn bericht. Zelfs niet voor mijn edit, waarin ik het stukje uit het AD nog niet had geplaatst.
[Reactie gewijzigd door Eagle Creek op dinsdag 6 september 2011 10:29]
Een bedrijf dat gisteren in een persbericht aangaf graag het vertrouwen terug te winnen...
(vreemd, die verklaring staat niet meer op de site )
(vreemd, die verklaring staat niet meer op de site
)De bron voor dit artikel zou natuurlijk ook gefabriceerd kunnen zijn door Diginotar of een andere betrokken partij om eigen gezichtsverlies te beperken.
Met name als gekeken wordt naar de volgende passage:
"De hacker spreekt van een 'geavanceerde' hack, omdat een groot aantal beveiligingsmechanismen is omzeild. Dat is opvallend, omdat uit het onderzoek dat Fox-IT uitvoerde, juist blijkt dat de beveiliging van DigiNotar op een dermate abominabel niveau was dat een hack slechts een kwestie van tijd zou zijn."
En die zogenaamde 'fingerprint' waarop gesproken wordt kan ook van het type copy - paste zijn.
Waarschijnlijk zijn de betrokken partijen (terecht) behoorlijk wanhopig op dit moment.
Met name als gekeken wordt naar de volgende passage:
"De hacker spreekt van een 'geavanceerde' hack, omdat een groot aantal beveiligingsmechanismen is omzeild. Dat is opvallend, omdat uit het onderzoek dat Fox-IT uitvoerde, juist blijkt dat de beveiliging van DigiNotar op een dermate abominabel niveau was dat een hack slechts een kwestie van tijd zou zijn."
En die zogenaamde 'fingerprint' waarop gesproken wordt kan ook van het type copy - paste zijn.
Waarschijnlijk zijn de betrokken partijen (terecht) behoorlijk wanhopig op dit moment.
[Reactie gewijzigd door E_E_F op dinsdag 6 september 2011 10:53]
Wellicht heeft hij een paar wachtwoorden geprobeert en uiteindelijk de goede gevonden. waarna hij niks heeft hoeven hacken maar gewoon kon inloggen...
offtopic: Ik neem aan dat de login slaat op prod (als in productie) adminVerder is een relatief standaardwachtwoord als dit (proud admin) bijna een even grote blunder m.i. Leuk voor de grappige sysad, totaal onacceptabel voor een dergelijk verantwoordelijk systeem....
Ik durf wel te gokken wat het wachtwoord was voor het test systeem: 'Te$t@dm1n'...
Je bedoelt 'T3st@dm1n' 
@Eagle Creek : niet 'proud' maar 'prod' van productie admin...
Omdat het niet gaat om het wachtwoord, maar om Hacker Comodo die de DigiNota hack claimt. Of het wachtwoord nou wel of niet veilig is, is niet relevant.
Verder nog vragen?
Verder nog vragen?
ik heb ooid een 'diy' pki opgezet waar het wachtwoord van de rootkey bestond uit de 2048bit hash van een bekend engels gedicht... was je je password file kwijt moest je alleen even dat gedicht uit typen, en de juiste hash creeeren... werkte prima...
dit was gewoon een interne pki... voor de locale werkstations... (waarvan sommige via wifi en straalzenders... ) .. het was trouwens een stage opdracht... voor school...
dit was gewoon een interne pki... voor de locale werkstations... (waarvan sommige via wifi en straalzenders... ) .. het was trouwens een stage opdracht... voor school...
Inderdaad, is de aanbesteding wel helemaal volgens de regels gegaan of is er hier sprake van vriendjespolitiek? Moet een dergelijk bedrijf bijvoorbeeld niet voldoen aan bepaalde ISO-standaarden om mee te mogen pitchen? Lijkt mij wel een eis bij een aanbesteding als deze.Wat mij ook opviel: in het AD stond: "het bedrijf dat wordt geleid door Tony van den Bos, voorzitter van CDA Zuid-Holland, is daarmee waardeloos geworden".
Een privaat bedrijf dat in dienst is van de overheid maar geleid wordt door een CDA-politicus. Zijn hier wel alle regels gevolgd toen Diginotar zei "ja wij willen CA voor de overheid spelen"?
In zijn profiel op computable.nl is overigens onderstaande te lezen:
Bron: http://profile.computable.nl/profile/tobos#ixzz1XBW6gx8lSteeds meer wordt Internet op een serieuze wijze gebruikt om business te doen. Het gebruik van virusscanners en andere technische oplossingen is dan niet genoeg. Denk bijvoorbeeld aan identiteitsdiefstal, misbruik en zelfs fraude.
Tony is expert op het gebied van identiteitsmanagement en digitale bewijsbaarheid. Hij kan uitgebreid ingaan op de mogelijkheden als ook de noodzaak voor bedrijven om ook in deze vorm van beveiliging te investeren.
[..]
Vakkennis Tony de Bos
Zeer deskundig: Security, Overheid.
[Reactie gewijzigd door Dlocks op dinsdag 6 september 2011 18:15]
Grappig, want dat is namelijk incorrect. Met een dictionary attack ben je hier zo door heen, geeft het wat tijd, maar dan heb je het password gewoon. Daarentegen, als je een korter daadwerkelijk random wachtwoord zou gebruiken, moet je het bruteforcen, en dát is een heel ander verhaal.
Dus leuk om XKCD even klakkeloos over te nemen zonder te denken, maar hiermee leer je mensen dus verkeerde dingen aan.
Dus leuk om XKCD even klakkeloos over te nemen zonder te denken, maar hiermee leer je mensen dus verkeerde dingen aan.
Dat is dus niet zo.Grappig, want dat is namelijk incorrect. Met een dictionary attack ben je hier zo door heen, geeft het wat tijd, maar dan heb je het password gewoon. Daarentegen, als je een korter daadwerkelijk random wachtwoord zou gebruiken, moet je het bruteforcen, en dát is een heel ander verhaal.
Reken maar eens uit het aantal combinaties dat je kunt maken van vier woorden uit een lijst van 2048.
Dat zijn er best veel: 17592186044416 (uitgaande van een compleet random selectie van die woorden, met herhalingen toegestaan).
Als je een écht goed wachtwoord genereert van printable characters (uitgaande van 128 stuks daarvan, wat iets te veel is) van 8 karakters lang is dat inderdaad nog iets beter met 72057594037927936 mogelijkheden, maar het punt is dat niemand dat doet.
Het punt van die strip is dat je, als je een idee hebt van hoe het wachtwoord in elkaar zit, je sneller door 'Tr0ub4dor&3' bent (ruwweg 268435456 mogelijkheden als we z'n ideeën over entropy aannemen) dan door 'correct horse battery staple'.
En dat is dus als je een idee hebt van de structuur van het wachtwoord; dus als je weet dat er een woordenlijst gebruikt is, wélke woordenlijst er gebruikt is én hoeveel woorden er gebruikt zijn. Vice versa dat er een woord als basis gebruikt is met bepaalde substituties (iets waar moderne password crackers zo doorheen zijn.)
Uiteindelijk weet je dat in de meeste gevallen natuurlijk niet, en dan moet je sowieso brute forcen. En dan duurt 'correct horse battery staple' opeens een stuk langer.
Voor een heel groot deel ben ik het met je eens, behalve
Als er een paar woorden ontbreken maakt waarschijnlijk niet uit (tenzij die toevallig daadwerkelijk in het password voorkomen) en als je er teveel hebt maakt ook niet uit (dan duurt het kraken alleen iets langer). En hoeveel woorden er precies op de lijst staan is helemaal irrelevant (als je op de een of andere manier weet hoeveel het er zijn kun je misschien schatten welk van je woordenlijsten je het best kunt proberen, maar verder...?).
ps. Ik zal meteen toegeven dat "correct horse battery staple", intuitief niet een heel sterk password lijkt, maar ik kan geen fout in Randall's beredenering vinden. (Nou ja, behalve dan bij al die sites die een maximum password length hebben
daar werkt dit niet.)
Edit:
Nu ik het opnieuw lees zie ik waar we elkaar verkeerd begrepen. Bij "hoeveel woorden er gebruikt zijn" dacht ik dat je (bijvoorbeeld) die 2048 of 4096 bedoelde; bij nader inzien had je het waarschijnlijk over het aantal gekozen woorden (vier dus)? In dat geval maakt het wel enorm uit natuurlijk.
Als ik niet precies dezelfde dictionary gebruik als jij (2000 hetzelfde, 48 andere bijvoorbeeld) dan is de kans dat ik je password kan kraken nog steeds erg groot; tenzij toevallig (tenminste) één van die 48 woorden ook echt in je password voorkomen lukt het gewoon.
Je hoeft alleen te weten dat het een "XKCD-password" is (gewone, Engelse woorden, zonder substituties, maar wel vier (veel meer dan je verwacht bij een password mét substituties)) en een zo goed mogelijke benadering van de woordenlijst.En dat is dus als je een idee hebt van de structuur van het wachtwoord; dus als je weet dat er een woordenlijst gebruikt is, wélke woordenlijst er gebruikt is én hoeveel woorden er gebruikt zijn.
Als er een paar woorden ontbreken maakt waarschijnlijk niet uit (tenzij die toevallig daadwerkelijk in het password voorkomen) en als je er teveel hebt maakt ook niet uit (dan duurt het kraken alleen iets langer). En hoeveel woorden er precies op de lijst staan is helemaal irrelevant (als je op de een of andere manier weet hoeveel het er zijn kun je misschien schatten welk van je woordenlijsten je het best kunt proberen, maar verder...?).
ps. Ik zal meteen toegeven dat "correct horse battery staple", intuitief niet een heel sterk password lijkt, maar ik kan geen fout in Randall's beredenering vinden. (Nou ja, behalve dan bij al die sites die een maximum password length hebben
daar werkt dit niet.)Edit:
Nu ik het opnieuw lees zie ik waar we elkaar verkeerd begrepen. Bij "hoeveel woorden er gebruikt zijn" dacht ik dat je (bijvoorbeeld) die 2048 of 4096 bedoelde; bij nader inzien had je het waarschijnlijk over het aantal gekozen woorden (vier dus)? In dat geval maakt het wel enorm uit natuurlijk.
Als ik niet precies dezelfde dictionary gebruik als jij (2000 hetzelfde, 48 andere bijvoorbeeld) dan is de kans dat ik je password kan kraken nog steeds erg groot; tenzij toevallig (tenminste) één van die 48 woorden ook echt in je password voorkomen lukt het gewoon.
[Reactie gewijzigd door robvanwijk op donderdag 8 september 2011 03:33]
Dan gaat op wat ik al zei, dat je de structuur van het wachtwoord kent. Een "XKCD wachtwoord" is dan in deze gewoon een wachtwoord bestaande uit vier willekeurige woorden.Je hoeft alleen te weten dat het een "XKCD-password" is (gewone, Engelse woorden, zonder substituties, maar wel vier (veel meer dan je verwacht bij een password mét substituties)) en een zo goed mogelijke benadering van de woordenlijst.
Als je een dictionary attack doet en je hebt geen volledige dictionary, ga je 't wachtwoord dus niet kraken. Tenminste, niet zonder terug te moeten vallen op een exhaustive search (in de volksmond ook wel brute force.)Als er een paar woorden ontbreken maakt waarschijnlijk niet uit (tenzij die toevallig daadwerkelijk in het password voorkomen) en als je er teveel hebt maakt ook niet uit (dan duurt het kraken alleen iets langer).
Het laatste strookt niet met:
Nou en of dat relevant is. Een woordenboek van 2^11 woorden (2048 woorden) biedt je per woord 11 bits aan entropy. Een woordenboek van 2^12 woorden (4096 dus) biedt je per woord 12 bits aan entropy. Onthoud: elke bit extra is een verdubbeling van de werklast van een exhaustive search, en 't gaat met een dictionary attack ook hard. Bijvoorbeeld, 2048 woorden (2 * (4*11)):En hoeveel woorden er precies op de lijst staan is helemaal irrelevant (als je op de een of andere manier weet hoeveel het er zijn kun je misschien schatten welk van je woordenlijsten je het best kunt proberen, maar verder...?).
17592186044416
Tegenover 4096 woorden:
281474976710656
Dat is 16 keer zo veel mogelijkheden voor 4 extra bits aan entropy (inderdaad, 2^4).
Het is inderdaad een prima tactiek, voor die plaatsen waar je niet (en dat is echt héél dom) gelimiteerd bent tot een heel kort (of nog erger, fixed-length) wachtwoord.ps. Ik zal meteen toegeven dat "correct horse battery staple", intuitief niet een heel sterk password lijkt, maar ik kan geen fout in Randall's beredenering vinden. (Nou ja, behalve dan bij al die sites die een maximum password length hebben
Probleem is echter dat veel systemen beperkt zijn tot maximaal 8 tekens (sommige zelfs 6), en sommige andere dat als minumum gebruiken. In een bedrijf waar beide type systemen in gebruik zijn, zal de gebruiker, omdat hij/zij dus liefst niet teveel verschillende passwords wilt onthouden (hij heeft ook al een password thuis en een pincode) dus al snel op een wachtwoord uitkomen van dat aantal.
Met minimaal 6 tot maximaal 8 tekens heb je ook niet veel speelruimte, vooral omdat men het ook moet onthouden én vaak ook nog eens om de twee of drie maanden moet wijzigen waarbij men niet het vorige mag gebruiken (dus niet om de beurt 'Zeven7' en 'Negen9' (tenzij je ook bv 'achtAacht' er tussen heb) en evenmin na 'poesje' over mag gaan op 'poesjes' (één letter toevoegen) of na 'ikenjij1' naar 'ikenjij2'.
Waar het hele xkcd- over gaat is dat de regels die men stelt aan passwords vaak ingewikkeld gemaakt worden om ze raden moeilijker te maken terwijl dit nauwelijks helpt en wat men wel zou moeten doen, ze gewoon langer maken en de gebruiker voorlichten, wordt nagelaten, mogelijk ook vanwege technische beperkingen. Zoals er voor cobol slechts 2 tekens waren voor het jaartal is bij veel oudere systemen het aantal tekens voor het password ook beperkt.
Met minimaal 6 tot maximaal 8 tekens heb je ook niet veel speelruimte, vooral omdat men het ook moet onthouden én vaak ook nog eens om de twee of drie maanden moet wijzigen waarbij men niet het vorige mag gebruiken (dus niet om de beurt 'Zeven7' en 'Negen9' (tenzij je ook bv 'achtAacht' er tussen heb) en evenmin na 'poesje' over mag gaan op 'poesjes' (één letter toevoegen) of na 'ikenjij1' naar 'ikenjij2'.
Waar het hele xkcd- over gaat is dat de regels die men stelt aan passwords vaak ingewikkeld gemaakt worden om ze raden moeilijker te maken terwijl dit nauwelijks helpt en wat men wel zou moeten doen, ze gewoon langer maken en de gebruiker voorlichten, wordt nagelaten, mogelijk ook vanwege technische beperkingen. Zoals er voor cobol slechts 2 tekens waren voor het jaartal is bij veel oudere systemen het aantal tekens voor het password ook beperkt.
Precies, een random tekenreeks die elke paar weken veranderd moet worden heeft alleen maar tot gevolg dat mensen hem met een post-it op hun monitor plakken. Wat is dan het nut van een sterk wachtwoord? Natuurlijk hadden ze wel iets kunnen doen als "Dih0sPP@ss" (Dit is het 0ntiegelijk sterke Prod Password" maar ook dat zou een kwestie van tijd zijn.
[Reactie gewijzigd door Magic op dinsdag 6 september 2011 09:39]
Neem dan een favoriet boek en plak de eerste letters van de woorden uit de eerste zin achter elkaar, vervang wat letters door cijfers en tekens en je hebt een stevig wachtwoord dat je zelf altijd kan reconstrueren als het nodig is.
Verversen heeft weinig zin, dat leidt tot het gebruik van volgnummers.
Verversen heeft weinig zin, dat leidt tot het gebruik van volgnummers.
Jij denkt dat "3rWas33ns" een sterk wachtwoord is? 
Verschilende grote hash rain tables kennen de hash daarvan nog niet in ieder geval.
Onder welke boom heb jij gelegen? Al tot en met 13+ karakters met alle tekens op je toetsenbord zitten in de rainbowtables. Oftewel, dit zeer zwakke 9-karakter wachtwoord staat er gewoon in.
Zelf predik ik al jaren dat wachtwoorden alleen niet meer voldoende zijn. Maar MOCHT je een redelijk wachtwoord willen maken, gebruik dan een aantal ALT codes, zoals ALT-254, ALT-0235 etc. etc.
Zelf predik ik al jaren dat wachtwoorden alleen niet meer voldoende zijn. Maar MOCHT je een redelijk wachtwoord willen maken, gebruik dan een aantal ALT codes, zoals ALT-254, ALT-0235 etc. etc.
lol - leuke verzonnen, maar ik heb hier een oude p3 die al een tijdje bezig is om dergelijke tekens in wachtwoorden te hashen... mocht ik ooit merken dat daar veel gebruik van gaat maken, ga ik ook daar mischien de tables wel van vrijgeven...
bovendien alt-254 en dat soort tekens... worden niet altijd correct ondersteunt in alle vormen van domain controllers (nu weet ik niet wat 2008r2 doet maar 2003 kan het iig niet fatsoenlijk aan met default paswoord policies... (bij ons op werk draaien we nog steeds 2008 met een 2003 functional domain)
bovendien alt-254 en dat soort tekens... worden niet altijd correct ondersteunt in alle vormen van domain controllers (nu weet ik niet wat 2008r2 doet maar 2003 kan het iig niet fatsoenlijk aan met default paswoord policies... (bij ons op werk draaien we nog steeds 2008 met een 2003 functional domain)
Met zo'n code heb ik me ooit eens buitengesloten. Op het systeem waarmee ik inlogde (386) om mijn wachtwoord (vaxvms) te wijzigen kon ik dat invoeren, op het systeem waarmee ik vervolgens inlogde kon dat niet.
Op het moment dat je het zowiezo te moeilijk maakt gaan mensen het omzeilen of ezelsbruggetjes maken en is het effect teniet gedaan.
Verschillende tekens die wel op het toetsenbord staan kunnen trouwens ook problemen opleveren als je toetsenbordinstelling opeens op een andere taal staat.
Met een Azerty (Frans) of Qwertz (Duits)ipv een Qwerty kom je daar nog redelijk snel achter, maar bij een Spaans of Nederlands Qwerty-tobo is dat moeilijker en vooral in combinatie met Windows komt dat laatste redelijk vaak voor.
Ongeacht de oorzaak, deze tekens gebruiken is vaak vragen om problemen, zelfs de y,z, a, q en m worden soms afgeraden, juist omdat deze op verschillende toetsenborden anders zitten.
Je moet jezelf altijd de vraag stellen wat erger is, dat een onbevoegde toegang krijgt tot je gegevens of dat je zelf echt niet meer bij je gegevens kunt, en je beveiliging moet met beide rekening houden. Één admin-account is daarom ook onverstandig, mocht dit beschadigd raken, dan moet met een ander admin-account de eerste hersteld kunnen worden of een derde account gemaakt kunnen worden.
Op het moment dat je het zowiezo te moeilijk maakt gaan mensen het omzeilen of ezelsbruggetjes maken en is het effect teniet gedaan.
Verschillende tekens die wel op het toetsenbord staan kunnen trouwens ook problemen opleveren als je toetsenbordinstelling opeens op een andere taal staat.
Met een Azerty (Frans) of Qwertz (Duits)ipv een Qwerty kom je daar nog redelijk snel achter, maar bij een Spaans of Nederlands Qwerty-tobo is dat moeilijker en vooral in combinatie met Windows komt dat laatste redelijk vaak voor.
offtopic:
Windows heeft er een handje van om, als je Nederlands als taal hebt ingesteld, ipv Us-international de antieke Nederlandse indeling in te stellen, helemaal uit zichzelf. Slechts het volledig verwijderen van deze indeling is hier afdoende.
Windows heeft er een handje van om, als je Nederlands als taal hebt ingesteld, ipv Us-international de antieke Nederlandse indeling in te stellen, helemaal uit zichzelf. Slechts het volledig verwijderen van deze indeling is hier afdoende.
Ongeacht de oorzaak, deze tekens gebruiken is vaak vragen om problemen, zelfs de y,z, a, q en m worden soms afgeraden, juist omdat deze op verschillende toetsenborden anders zitten.
Je moet jezelf altijd de vraag stellen wat erger is, dat een onbevoegde toegang krijgt tot je gegevens of dat je zelf echt niet meer bij je gegevens kunt, en je beveiliging moet met beide rekening houden. Één admin-account is daarom ook onverstandig, mocht dit beschadigd raken, dan moet met een ander admin-account de eerste hersteld kunnen worden of een derde account gemaakt kunnen worden.
Vervangen van wachtwoorden is heel erg belangrijk, met name in geval van mensen die van positie veranderen dan wel het bedrijf verlaten etc... een wachtwoord als dit is duidelijk nog nooit verandert omdat het anders waarschijnlijk: Pr0d@dm1n23 was geweest of iets in die richting.
Hoe dan ook men moet zich af vragen of zo'n systeem dat deze certificaten genereert aan een netwerk zo als het internet dient te hangen? Ik zou persoonlijk toch zeggen dat dat niet hoort. Als het systeem dat de certificaten genereert niet aan een netwerk hangt en de bestanden simpel weg op een USB weg schrijft zo dat men deze dan aan de klant kan sturen dan is een volledige hack van het netwerk van de CA nog steeds geen probleem omdat niemand in staat is een certificaat te genereren zonder in te breken in het gebouw van de CA.
Persoonlijk kies ik ten alle tijden voor Verisign simpel weg omdat hun track record erg goed is en omdat zij dankzij hun grote en bekendheid ongetwijfeld met enige regelmaat worden aangevallen zonder dat de hacker zelf certificaten kan genereren als he ze al lukt om binnen te komen.
Ik betaal liever iets extra's voor deze zekerheid dan dat ik met dit soort dingen een goede deal wil hebben en voor een dubbeltje op de eerste rij wil zitten...
Hoe dan ook men moet zich af vragen of zo'n systeem dat deze certificaten genereert aan een netwerk zo als het internet dient te hangen? Ik zou persoonlijk toch zeggen dat dat niet hoort. Als het systeem dat de certificaten genereert niet aan een netwerk hangt en de bestanden simpel weg op een USB weg schrijft zo dat men deze dan aan de klant kan sturen dan is een volledige hack van het netwerk van de CA nog steeds geen probleem omdat niemand in staat is een certificaat te genereren zonder in te breken in het gebouw van de CA.
Persoonlijk kies ik ten alle tijden voor Verisign simpel weg omdat hun track record erg goed is en omdat zij dankzij hun grote en bekendheid ongetwijfeld met enige regelmaat worden aangevallen zonder dat de hacker zelf certificaten kan genereren als he ze al lukt om binnen te komen.
Ik betaal liever iets extra's voor deze zekerheid dan dat ik met dit soort dingen een goede deal wil hebben en voor een dubbeltje op de eerste rij wil zitten...
Om nog niet te spreken over de systemen waar ik om één of andere reden 8 tot 10 tekens moet gebruiken langer en korter mogen niet.
Ik pak namelijk ook een zin van een boek gevolgd en doe wat substituties met cijfers en hoofdletters. En niet erwaseens, dat is te kort en te bekend.
Ik pak namelijk ook een zin van een boek gevolgd en doe wat substituties met cijfers en hoofdletters. En niet erwaseens, dat is te kort en te bekend.
Dan moet je een andere oplossing bedenken als bedrijf, bijvoorbeeld met een passwordmanagementsysteem en/of tokens en/of andere vormen van authenticatie.
Natuurlijk brengt dit kosten en management met zich mee. Maar met alleen een password policy ben je er niet (mensen gaan dit negeren middels de bekende post-its)..
Natuurlijk brengt dit kosten en management met zich mee. Maar met alleen een password policy ben je er niet (mensen gaan dit negeren middels de bekende post-its)..
ik weet niet maar een smartcard reader ano 2011 ???? die dingen zitten bijna standaard al in moderne computers...
Wie telefoonnummers kan onthouden, kan tekenreeksen onthouden.
Wie systemen van een CA beheert kan...
Pr0d@dm1n staat dan misschien niet als zodanig in een dictionary, maar is wel via erg voor de hand liggende stappen afgeleid uit woorden. Als je graag woorden gebruikt, zal je password langer moeten zijn dan een even veilige tekenreeks.
Wie systemen van een CA beheert kan...
Pr0d@dm1n staat dan misschien niet als zodanig in een dictionary, maar is wel via erg voor de hand liggende stappen afgeleid uit woorden. Als je graag woorden gebruikt, zal je password langer moeten zijn dan een even veilige tekenreeks.
Het gaat ook om het systeem dat het wachtwoord beheerd, in dit geval gaat het om een Windows password in een LM of NTLM hash. Deze hash is vrij wel altijd te kraken .... als je gebruik je 15 tekens maar dit is nog niet het ergst want met dit in het achter hoofd moet je dus voorkomen dat een kwaadwillende deze hash kan kapen.
Om een LM of NTLM hash te extraheren uit een live systeem heb je admin rechten nodig, dit geeft al aan dat de hacker al admin rechten had voordat het het wachtwoord had gekraakt (al dan wel niet lokaal). Een fatale fout die natuurlijk nooit mag gebeuren is de CA systemen in het zelfde domain hangen als de DMZ systemen waardoor je met een lokaal account de domain wachtwoorden van de CA systemen kan sniffen in een hand omdraai!
We kunnen daarom wel moeilijk doen over het gebruikte wachtwoord (wat trouwens ook gewoon in een beetje password dictionary staat) Maar het feit dat de hacker al admin rechten had wijst op een verkeerd ingerichte structuur en het niet goed onderhouden van je netwerk/servers. Kort gezegd is het onderhoud van de server min of meer amateuristisch werk geweest, het is daarom denk ik ook van belang om te weten of diginotar haar eigen infrastructuur beheerde of dat dit geoutsourced was.
De hack op zich was nog niet eens zou boeiend, want het lijkt erop dat de hacker met kinderspel is binnen gekomen op het netwerk van diginotar (gezien het rapport van FOX-it) ik verwacht ook niet dat dit een briljante hacker is, maar iemand met een specialisme (cryptografie), een boos plan en een boel frustratie. En door de handelen van Diginotar heeft de hacker precies gekregen wat deze wilde namelijk imago schade bij Diginotar en een mogelijk faillissement in de nasleep van deze problemen!
Om een LM of NTLM hash te extraheren uit een live systeem heb je admin rechten nodig, dit geeft al aan dat de hacker al admin rechten had voordat het het wachtwoord had gekraakt (al dan wel niet lokaal). Een fatale fout die natuurlijk nooit mag gebeuren is de CA systemen in het zelfde domain hangen als de DMZ systemen waardoor je met een lokaal account de domain wachtwoorden van de CA systemen kan sniffen in een hand omdraai!
We kunnen daarom wel moeilijk doen over het gebruikte wachtwoord (wat trouwens ook gewoon in een beetje password dictionary staat) Maar het feit dat de hacker al admin rechten had wijst op een verkeerd ingerichte structuur en het niet goed onderhouden van je netwerk/servers. Kort gezegd is het onderhoud van de server min of meer amateuristisch werk geweest, het is daarom denk ik ook van belang om te weten of diginotar haar eigen infrastructuur beheerde of dat dit geoutsourced was.
De hack op zich was nog niet eens zou boeiend, want het lijkt erop dat de hacker met kinderspel is binnen gekomen op het netwerk van diginotar (gezien het rapport van FOX-it) ik verwacht ook niet dat dit een briljante hacker is, maar iemand met een specialisme (cryptografie), een boos plan en een boel frustratie. En door de handelen van Diginotar heeft de hacker precies gekregen wat deze wilde namelijk imago schade bij Diginotar en een mogelijk faillissement in de nasleep van deze problemen!
[Reactie gewijzigd door herbalx op dinsdag 6 september 2011 10:44]
Mogelijk? Wees er maar zeker van dat dit bedrijf de fles op gaat. Geen enkele browser vertrouwt nog certificaten die iets of wat met Diginotar te maken hebben. Laat die certificaten nu net de core business zijn van het bedrijf... Aangezien niemand de certificaten nog vertrouwt zal ook niemand nog certificaten aanvragen bij Diginotar met als gevolg verlies van inkomsten.en een mogelijk faillissement in de nasleep van deze problemen!
Tenzij ze erin slagen op een zéér korte tijd hun volledige core business om te gooien...
Om dat van elke willekeurige persoon te verwachten is volledig onrealistisch, maar voor een beheerder van een CA hoort wat mij betreft bij de taakomschrijving het goed kunnen onthouden van wachtwoorden die niet zomaar te raden zijn. Of dat nu 'zinnen' zijn (die makkelijker te onthouden zijn en lastiger te raden zijn) of lange willekeurige tekenreeksen (die wat lastiger te onthouden zijn), daar gaat het niet om.
Een visser moet ook altijd opletten dat hij niet in z'n netten vast komt te zitten een meegesleept wordt in het water. Op een olieplatform kun je nu eenmaal niet even een sigaar opsteken of een kampvuurtje aanmaken. Evenzo hoort bij het beheerder van een CA zijn nu eenmaal het onthouden van gecompliceerde wachtwoorden. Het niet voldoen aan die taak is wat mij betreft het gebrek aan enig verantwoordelijkheidsgevoel, en is wat mij betreft de beheerders volledig aan te rekenen.
Een visser moet ook altijd opletten dat hij niet in z'n netten vast komt te zitten een meegesleept wordt in het water. Op een olieplatform kun je nu eenmaal niet even een sigaar opsteken of een kampvuurtje aanmaken. Evenzo hoort bij het beheerder van een CA zijn nu eenmaal het onthouden van gecompliceerde wachtwoorden. Het niet voldoen aan die taak is wat mij betreft het gebrek aan enig verantwoordelijkheidsgevoel, en is wat mij betreft de beheerders volledig aan te rekenen.
Laat die rare tekens toch uit wachtwoorden als je ze 1 op 1 vervangt. Als elke o een 0 wordt, elke L een 1, elke a een @ en elke E een 3, dan kun je net zo goed een blanco wachtwoord kiezen... Misschien vergeten ze dat wel te testen.
En 'prodadmin' als wachtwoord? Te belachelijk voor zo'n systeem. Zoals CJ_Latitude hieronder met de XKCD comic aantoont is het toch vele malen makkelijker om een lang wachtwoord te kiezen dan een tekenreeks die je niet kan onthouden met rare karakters? Dat Windows 2008 je standaard verplicht om speciale tekens in je wachtwoord te hebben is slechter voor de veiligheid eigenlijk !
Voor belangrijke dingen kies je volzinnen (voor certificaat bedrijven nog wat ingewikkelder)
wachtwoord: "s morgens ga ik altijd om 2 lekkere pistoles"
Dát is een sterk wachtwoord. Afgezien van random tekenreeksen die je toch niet kunt onthouden. En als je die ene tekenreeks al kan onthouden, dan gebruik je het overal = weeral onveilig.
En 'prodadmin' als wachtwoord? Te belachelijk voor zo'n systeem. Zoals CJ_Latitude hieronder met de XKCD comic aantoont is het toch vele malen makkelijker om een lang wachtwoord te kiezen dan een tekenreeks die je niet kan onthouden met rare karakters? Dat Windows 2008 je standaard verplicht om speciale tekens in je wachtwoord te hebben is slechter voor de veiligheid eigenlijk !
Voor belangrijke dingen kies je volzinnen (voor certificaat bedrijven nog wat ingewikkelder)
wachtwoord: "s morgens ga ik altijd om 2 lekkere pistoles"
Dát is een sterk wachtwoord. Afgezien van random tekenreeksen die je toch niet kunt onthouden. En als je die ene tekenreeks al kan onthouden, dan gebruik je het overal = weeral onveilig.
[Reactie gewijzigd door Randmr op dinsdag 6 september 2011 10:32]
Neem eens een kijkje op:
https://www.grc.com/haystack.htm
En maak dan nog eens de opmerking over rare tekens. Zelfs als je 1 op 1 vervangt. Bedenk wel, zodra een 'bad-guy' moet gaan brute-forcen, maakt het niet uit hoeveel vreemde tekens je gebruikt. 1 of 100 maakt geen verschil in het aantal mogelijkheden dat getest moet worden.
https://www.grc.com/haystack.htm
En maak dan nog eens de opmerking over rare tekens. Zelfs als je 1 op 1 vervangt. Bedenk wel, zodra een 'bad-guy' moet gaan brute-forcen, maakt het niet uit hoeveel vreemde tekens je gebruikt. 1 of 100 maakt geen verschil in het aantal mogelijkheden dat getest moet worden.
Daarom kan je beter een langer password/passphrase gebruiken dan met vreemde karakters gaat werken. De aanvaller weet niet of hij zich kan beperken tot alphanummeriek lowercase. Hij zal alle ascii tekens mee moeten nemen in zijn bruteforce.
Punt is wel dat ook hackers die "leuke" vervangen kennen en dus aan hun woordenboek aanval toevoegen. Een wachtwoord als "@dm1n" is dus niet beter dan "admin". Gebruik je tekenreeksen die geen woorden zijn is de kans groter dat die niet via een woordenboek aanval zijn te vinden en moet de hacker dus een brute force aanval doen. En ja, daarbij speelt het gebruik van speciale tekens wel een rol.
De meeste wachtwoorden worden niet via brute forece gehacked maar ofwel via een dictonary attack ofwel door rainbow tables.
De meeste wachtwoorden worden niet via brute forece gehacked maar ofwel via een dictonary attack ofwel door rainbow tables.
Het wachtwoord "@dm1n" is slechts lichtjes sterker dan "admin" omdat de karakterset uitgebreider is en in theorie dus meer aanvallen vereist. Een wachtwoord sterk maken doe je echter gewoon door ze lang te maken (password-phrases !) en zeker niet met die kinderachtige '1337-5p34k', dat is zo anno 1984.
Daarnaast kan het imho niet zo zijn dat een zodanig belangrijk wachtwoord zo kort en voorspelbaar is; dan snap je gewoon duidelijk niet waar je mee bezig bent ....
Daarnaast kan het imho niet zo zijn dat een zodanig belangrijk wachtwoord zo kort en voorspelbaar is; dan snap je gewoon duidelijk niet waar je mee bezig bent ....
Test de tool dan maar eens goed. Hij geeft namelijk aan dat donzig_eendje meer tijd kost om te kraken dan donzigeeendje (speciaal teken vs een karakter). Dus de tekens die je kiest zijn volgens deze tool wel zeker van belang. Zowel kleine- als hoofdletters, cijfers en leestekens gebruiken zorgt ervoor dat de totale hoeveelheid te testen tekens groter wordt. Dat is net zo veel van invloed als alleen de lengte van het wachtwoord.
Rare tool. Zodra je een speciaal teken of hoofdletter invult, gooit 'ie de grootte van de brute force search space omhoog. Ja, dan is het niet zo gek dat er de brute forcing langer duurt.
Dit impliceert dat de hacker op één of andere manier weet of er speciale karakters dan wel hoofdletters worden gebruikt in het password. Wat hij volgens mij niet kan weten, tenzij er expliciet eisen zijn gesteld aan het password en die eisen bekend zijn.
Dit impliceert dat de hacker op één of andere manier weet of er speciale karakters dan wel hoofdletters worden gebruikt in het password. Wat hij volgens mij niet kan weten, tenzij er expliciet eisen zijn gesteld aan het password en die eisen bekend zijn.
Duh ... vrijwel alle wachtwoord-policies vereisen minimale lengte van 7 of 8 en minimaal 1 hoofdletter en vaak minimaal 1 lees-teken/cijfer. Dictionary attacks en/of brute-forcen begin je dus op lengte 7 met de minimale 'extended karakterset' (= standaardleestekens +Az + cijfers).
En als je de ww-hash hebt, knal je er gewoon een paar GB aan rainbow-tables tegenaan !
En als je de ww-hash hebt, knal je er gewoon een paar GB aan rainbow-tables tegenaan !
Dat wordt op die pagina zelf uitgelegd... Tuurlijk weet de hacker niet wat voor zooi je in je password hebt, maar aangezien heel veel mensen alleen kleine letters gebruiken probeer je dat natuurlijk eerst:Rare tool. Zodra je een speciaal teken of hoofdletter invult, gooit 'ie de grootte van de brute force search space omhoog. Ja, dan is het niet zo gek dat er de brute forcing langer duurt.
a, b, (..), z, aa, ab, (..), zz, aaa, (...), zzz, etc.
Pas daarna ga je alle mogelijkheden met (minstens één) hoofdletter af; waarom daaraan tijd verspillen als het waarschijnlijk niet nodig is? Als ook dat niks oplevert voeg je cijfers toe en dan pas leestekens.
Dus waarom duurt het met alleen kleine letters zoveel korter? Omdat de aanvaller natuurlijk stopt zodra ie je password gevonden heeft en dan dus nog niet eens is begonnen met het proberen van mogelijke password met hoofdletters, cijfers en/of leestekens. (Wat ik dan wel weer vreemd vind is dat "AAA" even lang duurt als "aaa", dat is niet in overeenstemming met "hoe een aanvaller zich gedraagt".)
Ik maak zelf gebruik van random wachtwoorden voor bv mijn bank accounts. Dit had er eentje kunnen zijn: #vLO7PuhBvVEv#SEzbz9
Volgens de website:
Exact Search Space Size (Count): 3,622,996,024,341,650,240,846,169,344,922,329,517,120 = 3.62 x 10^39
(count of all possible passwords with this alphabet size and up to this password's length)
Online Attack Scenario: 1.15 thousand trillion trillion centuries
(Assuming one thousand guesses per second)
Offline Fast Attack Scenario: 11.52 million trillion centuries
(Assuming one hundred billion guesses per second)
Massive Cracking Array Scenario: 11.52 thousand trillion centuries
(Assuming one hundred trillion guesses per second)
Dat lijkt me veilig genoeg! Zwakke punt zit natuurlijk elders, bv hoe goed is mijn wachtwoord beveiligd e.d.
Volgens de website:
Exact Search Space Size (Count): 3,622,996,024,341,650,240,846,169,344,922,329,517,120 = 3.62 x 10^39
(count of all possible passwords with this alphabet size and up to this password's length)
Online Attack Scenario: 1.15 thousand trillion trillion centuries
(Assuming one thousand guesses per second)
Offline Fast Attack Scenario: 11.52 million trillion centuries
(Assuming one hundred billion guesses per second)
Massive Cracking Array Scenario: 11.52 thousand trillion centuries
(Assuming one hundred trillion guesses per second)
Dat lijkt me veilig genoeg! Zwakke punt zit natuurlijk elders, bv hoe goed is mijn wachtwoord beveiligd e.d.
Als je password zo is, dan kun je er hooguit één onthouden (tenzij je autistisch bent) en zullen de meeste mensen het zowiezo niet kunnen. Op dat moment krijg je dat mensen het gaan omzeilen.
1) briefjes op schermen (nog niet eens zo gek als je ervan uitgaat dat fysieke toegang beperkt is. Als je eerst via de bewaking moet en dan met een sleutel van de directeur de serverkast moet openmaken, dan gaat iemand die nooit binnen is geweest en evenmin de bouwtekening van het pand heeft gezien het niet snel vinden.
2) password in een mobieltje bewaren
3) gebruik maken van een programma (zoals keepass) om het te onthouden en daarop zit een makkelijker te raden password.
Zoiets is alleen goed als je beperkt ben tot precies dat aantal tekens en het zelf dagelijks invoert.
1) briefjes op schermen (nog niet eens zo gek als je ervan uitgaat dat fysieke toegang beperkt is. Als je eerst via de bewaking moet en dan met een sleutel van de directeur de serverkast moet openmaken, dan gaat iemand die nooit binnen is geweest en evenmin de bouwtekening van het pand heeft gezien het niet snel vinden.
2) password in een mobieltje bewaren
3) gebruik maken van een programma (zoals keepass) om het te onthouden en daarop zit een makkelijker te raden password.
Zoiets is alleen goed als je beperkt ben tot precies dat aantal tekens en het zelf dagelijks invoert.
Het zou gewoon niet mogelijk moeten zijn op van buiten af op het domain te mogen inloggen. Als ik alles zo lees, is het totale opzet gewoon totaal fout. Het lijkt wel of een paar beginners bij Diginotar aan het werk zijn gegaan. Alles wat ik lees komt allemaal zo klungelig over.
Je vraag wanneer een password werk sterk genoeg is, is hier van niet op toepassing. De implementatie van deze infrastructuur was gewoon fout. Het sterkte van je password is dat van ondergeschikt belang.
Wel blijft de vraag interessant, hoe kwam hij aan het password?
Je vraag wanneer een password werk sterk genoeg is, is hier van niet op toepassing. De implementatie van deze infrastructuur was gewoon fout. Het sterkte van je password is dat van ondergeschikt belang.
Wel blijft de vraag interessant, hoe kwam hij aan het password?
[Reactie gewijzigd door sokolum01 op dinsdag 6 september 2011 10:36]
Een semi-random tekenreeks van 8 - 12 tekens.Maar wat is dan nog een sterk wachtwoord?
ik gebruik daar eigenlijk altijd een relatief eenvoudig te onthouden passphrase voor.
voorbeeld: !mijn33rsteh0ndis13jaargew0rden#
eenvoudig voor mij, met bruteforce meerdere jaren nodig om te kraken en staat vast niet in een dictionary.
volgens https://www.grc.com/haystack.htm duurt het wel even voordat deze gekraakt is :
Time Required to Exhaustively Search this Password's Space:
Online Attack Scenario:
(Assuming one thousand guesses per second) 3.26 hundred million trillion trillion trillion centuries
Offline Fast Attack Scenario:
(Assuming one hundred billion guesses per second) 3.26 trillion trillion trillion centuries
Massive Cracking Array Scenario:
(Assuming one hundred trillion guesses per second) 3.26 billion trillion trillion centuries
deze passphrase gebruik ik dus niet, is slechts als voorbeeld
voorbeeld: !mijn33rsteh0ndis13jaargew0rden#
eenvoudig voor mij, met bruteforce meerdere jaren nodig om te kraken en staat vast niet in een dictionary.
volgens https://www.grc.com/haystack.htm duurt het wel even voordat deze gekraakt is
:Time Required to Exhaustively Search this Password's Space:
Online Attack Scenario:
(Assuming one thousand guesses per second) 3.26 hundred million trillion trillion trillion centuries
Offline Fast Attack Scenario:
(Assuming one hundred billion guesses per second) 3.26 trillion trillion trillion centuries
Massive Cracking Array Scenario:
(Assuming one hundred trillion guesses per second) 3.26 billion trillion trillion centuries
deze passphrase gebruik ik dus niet, is slechts als voorbeeld
[Reactie gewijzigd door Khildin op dinsdag 6 september 2011 11:08]
Ik gebruik steeds volledige zinnen waarbij ik dan de eerste letters of cijfers neem van de woorden en de punctuatie.Maar wat is dan nog een sterk wachtwoord?
Er bestaat natuurlijk nog altijd zoiets als smart-cards voor authenticatie. Zeker in zulke omgevingen geen overbodige luxe.
Meer dan acht karakters, hoofd- en kleine letters, cijfers en leestekens... Kortom, een wachtwoord volgens het boekje
Maar wel eentje die zo vaak gebruikt wordt door admins.
Een wachtwoord volgens het boekje is tegenwoordig (zeker voor dit soort systemen) een phrase ipv 1 woord. Passphrase is daarom ook een steeds normalere term.
De gebruikte leestekens zijn trouwens ook precies leestekens die normaal gesproken al meegenomen worden in een dictionary attack als substitute of in het maken van een rainbow table. Voor een paar honderd euro kan je een complete MD5/SHA1 rainbow table krijgen met letterlijk alle mogelijke combinaties voor een bepaalde range letters/cijfers/leestekens.
Dit soort wachtwoorden is dus echt niet meer volgens het boekje te noemen denk ik.
De gebruikte leestekens zijn trouwens ook precies leestekens die normaal gesproken al meegenomen worden in een dictionary attack als substitute of in het maken van een rainbow table. Voor een paar honderd euro kan je een complete MD5/SHA1 rainbow table krijgen met letterlijk alle mogelijke combinaties voor een bepaalde range letters/cijfers/leestekens.
Dit soort wachtwoorden is dus echt niet meer volgens het boekje te noemen denk ik.
Ik heb een mooi voorbeeld:
Helaas stelt de password-policy van de ICT-afdeling hier mij niet instaat om een degelijke passphrase te gebruiken. Ik heb een passphrase van 56 characters om in te loggen op mijn laptop. Op de systemen van de klant had ik een vergelijkbare passphrase (qua lengte), maar die moest ik na 28 dagen vervangen.
Nu is het een password van 9 characters en een counter.
Helaas stelt de password-policy van de ICT-afdeling hier mij niet instaat om een degelijke passphrase te gebruiken. Ik heb een passphrase van 56 characters om in te loggen op mijn laptop. Op de systemen van de klant had ik een vergelijkbare passphrase (qua lengte), maar die moest ik na 28 dagen vervangen.
Nu is het een password van 9 characters en een counter.
[Reactie gewijzigd door psyBSD op dinsdag 6 september 2011 10:42]
Heel veel mensen zijn niet in staat om zonder fouten blind een 56 tekens lange pasphrase in te vullen.Ik heb een passphrase van 56 characters om in te loggen
Je vraagt daarmee dan om accountblokkades
Ik denk dat dit niet anders is dan &%@HS&Vw.
Natuurlijk wel! Je kan zonder meer foutloos een pass-phrase als "Diginotar had beter sterke wachtwoorden kunnen gebruiken" typen (ja, 56 tekens). Ik denk dat je daar minder snel fouten in maakt dan woorden met @, 0, 1 of ! enz omdat je niet lekker door kunt typen en je handen niet in allerlei vreemde bochten hoeft te wringen. Als je gekke tekens gebruikt waarbij je de vingers van het toetsenbord moet halen wordt het lastiger. Maar dat is voor een passphrase niet echt nodig. Het voorbeeld van een reactie hierboven:
!mijn33rsteh0ndis13jaargew0rden#
waarom niet gewoon:
"Mijn eerste hond is 13 jaar geworden!"
Heus, dat raad ook niemand en vol uitgeschreven is nog langer ook (al 37 tekens) en veel beter te onthouden.
Wat ook wel leuk is, het root password in Unix/Linux instellen op een console en daarin een TAB gebruiken. Met geen enkele GUI kun je nu nog inloggen want alle bekende GUI's vangen TAB af om naar een ander veld te springen...
!mijn33rsteh0ndis13jaargew0rden#
waarom niet gewoon:
"Mijn eerste hond is 13 jaar geworden!"
Heus, dat raad ook niemand en vol uitgeschreven is nog langer ook (al 37 tekens) en veel beter te onthouden.
Wat ook wel leuk is, het root password in Unix/Linux instellen op een console en daarin een TAB gebruiken. Met geen enkele GUI kun je nu nog inloggen want alle bekende GUI's vangen TAB af om naar een ander veld te springen...
Voordeel ervan is dat het niet op een wachtwoord hoeft te lijken. Denk hierbij bijvoorbeeld aan een boodschappenbriefje: 'Patat meloen cola ijs en salade'. Dit lijkt in geen geval op een wachtwoord, maar wel eenvoudiger om mee te lezen. Voor ons gevoel is 'P4t4t m3l03n c0l4 1js 3n s4l4de' een veel sterker wachtwoord en grc.com/haystack is het hiermee eens 
is iemand wel creatief geweest. Ik neem aan dat dit wachtwoord achterhaald is door of een keylogger of dat het ergens unencyrpted opgeslagen heeft gestaan.
Deze ICT bedrijven moeten toch beter weten. Dit soort wachtwoorden is het creëren van "schijnveiligheid". Kijk mij een slim wachtwoord hebben, niet dus.'Pr0d@dm1n' *facepalm*
Elke hacker weet allang dat een a = @, een o = 0, een i = 1....
PrU7@dm1n was meer van toepassing geweest. 
Op het NOS Journaal werd ook verteld dat de computers daar geen virusscanners hadden en er allerlei andere systeembeheerzaken zeer slecht geregeld waren. Ik hoop dat het hele Diginotar gebeuren ook positief effect heeft op bedrijven die met zeer gevoelige informatie te maken hebben.
Op het NOS Journaal werd ook verteld dat de computers daar geen virusscanners hadden en er allerlei andere systeembeheerzaken zeer slecht geregeld waren. Ik hoop dat het hele Diginotar gebeuren ook positief effect heeft op bedrijven die met zeer gevoelige informatie te maken hebben.
Het pastebin bericht spreekt het onderzoek van Fox-IT wel heel erg tegen. "Pr0d@dm1n" is nu niet bepaald een simpel te raden wachtwoord maar meer dan adequaat. Ook snap ik niet welke beveiligingen deze hacker heeft omzeilt als er geen firewall en virusscanners waren en de software niet up to date was.
Misschien dat deze hacker het nu gewoon claimt om stoer te doen, want ik denk dat een hacker van de Iraanse overheid (wat toch erg waarschijnlijk de bron is) nooit de hack zou opeisen. Waarom Fox-IT toch concludeert dat dit waarschijnlijk is snap ik niet, maar de fingerprint waar ze het over hebben zou kunnen betekennen dat misschien een zelfde exploit gebruikt is als bij commodo (die nog werkte ivm de niet ge-update software).
Uiteindelijk maakt het ook niet heel veel uit wie het gedaan heeft, maar wat er met de hack gedaan wordt. En het spieken over de schouders van heel veel mensen door zo'n overheid is toch wel heel gevaarlijk. Misschien is het in Iran ook tijd voor een arabische lente?
Edit:
Ik zie nu pas dat het wachtwoord eigenlijk leetspeak is voor prodadmin. Maar dit doet maar weinig af aan de veiligheid van het wachtwoord, met een dictionary attack is het wachtwoord niet te raden en het staat vermoedelijk ook niet zo snel in een rainbow table.
Misschien dat deze hacker het nu gewoon claimt om stoer te doen, want ik denk dat een hacker van de Iraanse overheid (wat toch erg waarschijnlijk de bron is) nooit de hack zou opeisen. Waarom Fox-IT toch concludeert dat dit waarschijnlijk is snap ik niet, maar de fingerprint waar ze het over hebben zou kunnen betekennen dat misschien een zelfde exploit gebruikt is als bij commodo (die nog werkte ivm de niet ge-update software).
Uiteindelijk maakt het ook niet heel veel uit wie het gedaan heeft, maar wat er met de hack gedaan wordt. En het spieken over de schouders van heel veel mensen door zo'n overheid is toch wel heel gevaarlijk. Misschien is het in Iran ook tijd voor een arabische lente?
Edit:
Ik zie nu pas dat het wachtwoord eigenlijk leetspeak is voor prodadmin. Maar dit doet maar weinig af aan de veiligheid van het wachtwoord, met een dictionary attack is het wachtwoord niet te raden en het staat vermoedelijk ook niet zo snel in een rainbow table.
[Reactie gewijzigd door roy-t op dinsdag 6 september 2011 09:31]
Misschien is het in Iran ook tijd voor een arabische lente?
offtopic:
Lastig, Iran behoort niet tot de arabische landen (er wordt ook geen Arabisch gesproken).
Lastig, Iran behoort niet tot de arabische landen (er wordt ook geen Arabisch gesproken).
Over de wachtwoordveiligheid: een fatsoenlijke dictionary attack neemt ook standaardvervangingen mee. De wachtwoordveiligheid is hier dus ernstig onder de maat.
En je denkt dat dictionary attacks niet zo slim gemaakt worden dat alternatieve characters ook getest worden? Het is gewoon niet handig om voor dergelijk belangrijke systemen dergelijke wachtwoorden te hebben. Ook is het eigenlijk wel een vrij kort wachtwoord voor een belangrijke server.Ik zie nu pas dat het wachtwoord eigenlijk leetspeak is voor prodadmin. Maar dit doet maar weinig af aan de veiligheid van het wachtwoord, met een dictionary attack is het wachtwoord niet te raden en het staat vermoedelijk ook niet zo snel in een rainbow table.
Dictionary attacks kunnen je beter onmogelijk maken door het login mechanisme aan te passen zodat je geen duizenden of zelfs miljoenen pogingen kan doen om een wachtwoord te kraken.En je denkt dat dictionary attacks niet zo slim gemaakt worden dat alternatieve characters ook getest worden?
Nee, dit is niet adequaat. Ik heb redelijk wat wachtwoorden bij klanten gezien, en er zijn er een hoop met "admin" erin, al dan niet in l33tsp34k."Pr0d@dm1n" is nu niet bepaald een simpel te raden wachtwoord maar meer dan adequaat.
We hebben het hier niet over een intern fileservertje of zo, maar over een bedrijf wat z'n geld verdiend met het vertrouwen wat de wereld in ze heeft. Als hun hele core business is gebouwd rond dit relatief simpele wachtwoord...
ExYNne2DBevi8tnX vind ik een veilig wachtwoord. Pr0d@dm1n niet.
Moet je wel op een post-it op je monitor plakken.
Lekker veilig, maar niet te onthouden.
Lekker veilig, maar niet te onthouden.
Net alsof je zo een wachtwoord de hele dag gaat lopen in te tikken... Ctrl-c ctrl-v uit een Excel bestand of opgeslagen in FIrefox 
Prima te onthouden, pen/type het 20x --als het er daarna nog niet in zit is het wellicht tijd voor wat minder TV of iets anders cliches
Onder je toetsenbord is een betere plek!
niet te raden? alle voor de handliggende leetspeak letters zijn gebruikt; waarom zou er dan geen dictionary attack mogelijk zijn? Dit is zoiets als een wachtwoord uit twee normale woorden opstellen en dan denken dat het wachtwoord in het Frans wel veilig is?
Hoezo adequaat. Er hoort geen gebruikt gemaakt te worden van een generiek account met zo'n wachtwoord. Een root/administrator wachtwoord hoort iets van '43%Ggjgo84RGKJico285crmo2um5c2' te zijn waarna dat een kluis in verdwijnt. Personen die op een dergelijke server aan de slag gaan moeten vervolgens een echt wachtwoorden kiezen wat je desnoods opslaan in een keystore die je kan openen met een client certificaat in combinatie met simpeler wachtwoord of fingerprint.
Dit is echt debiel.
Dit is echt debiel.
Dat een administrator/root account een lang wachtwoord moet hebben ben ik met je eens. Maar dit mag best een menselijk 'onthoudbaar' wachtwoord zijn. Wel zou ik hoofd/kleine letters, cijfers en tekens gebruiken.
Lees maar eens het stukje over tabbing op https://www.grc.com/haystack.htm (net boven het midden van de pagina)
Lees maar eens het stukje over tabbing op https://www.grc.com/haystack.htm (net boven het midden van de pagina)
Which of the following two passwords is stronger,
more secure, and more difficult to crack?
D0g.....................
PrXyc.N(n4k77#L!eVdAfp9
You probably know this is a trick question, but the answer is: Despite the fact that the first password is HUGELY easier to use and more memorable, it is also the stronger of the two! In fact, since it is one character longer and contains uppercase, lowercase, a number and special characters, that first password would take an attacker approximately 95 times longer to find by searching than the second impossible-to-remember-or-type password!
Het wachtwoord is prima.
De grootste fout is dat het certificaat generatie systeem tegen alle regels in benaderbaar was via het netwerk en internet. Dit systeem moet altijd offline/geisoleerd zijn, en certificaten via een ander medium (usb stick oid) worden overgebracht naar de juiste systemen die aan het internet zitten. Dan was deze hack nooit gelukt op deze simpele manier.
Stelletje prutsers daar bij Diginotar. Gelukkig is het rapport van FOX-IT daar ook erg duidelijk in !
De grootste fout is dat het certificaat generatie systeem tegen alle regels in benaderbaar was via het netwerk en internet. Dit systeem moet altijd offline/geisoleerd zijn, en certificaten via een ander medium (usb stick oid) worden overgebracht naar de juiste systemen die aan het internet zitten. Dan was deze hack nooit gelukt op deze simpele manier.
Stelletje prutsers daar bij Diginotar. Gelukkig is het rapport van FOX-IT daar ook erg duidelijk in !
Ik heb het idee dat de media het gebrek aan beveiliging bij Diginotar nogal overdreven hebben.
Ok het wachtwoord kon veiliger maar als je het nieuws kijkt dan krijg je de indruk dat er wachtwoorden werden gebruikt van de categorie 'wachtwoord' of 'geheim' o.i.d.
Ook bij het feit dat er geen virusscanners waren geinstalleerd op de servers heb ik mijn twijfels, het zou me niets verbazen als de servers gewoon op Linux draaiden en dan hebben virusscanners weinig nut.
Het scoort nou eenmaal goed in de pers om een bedrijf dat fouten heeft gemaakt zo zwart mogelijk af te schilderen, maar meestal liggen te zaken toch wat genuanceerder.
Ok het wachtwoord kon veiliger maar als je het nieuws kijkt dan krijg je de indruk dat er wachtwoorden werden gebruikt van de categorie 'wachtwoord' of 'geheim' o.i.d.
Ook bij het feit dat er geen virusscanners waren geinstalleerd op de servers heb ik mijn twijfels, het zou me niets verbazen als de servers gewoon op Linux draaiden en dan hebben virusscanners weinig nut.
Het scoort nou eenmaal goed in de pers om een bedrijf dat fouten heeft gemaakt zo zwart mogelijk af te schilderen, maar meestal liggen te zaken toch wat genuanceerder.
Het waren Windows-servers, en het pr0d@dm1n-wachtwoord staat maar een klein stukje hoger dan een wachtwoord als 'geheim'. Een beetje slim bruteforce-script dat 'prod' en 'admin' in verschillende combinaties gebruikt, waarbij leetspeak-shifts worden toegepast (@dmin, @dm1n, etc.), kan daar wel achter komen lijkt me.
Klopt, daarom dat het ook om een onhafankelijke Iraanse hacker gaatMisschien dat deze hacker het nu gewoon claimt om stoer te doen, want ik denk dat een hacker van de Iraanse overheid (wat toch erg waarschijnlijk de bron is) nooit de hack zou opeisen.
(volgens dit artikel toch)In mijn ogen kan het even goed iemand zijn die zich voordoet als iraanse hacker, ik vind het echt een af en toe 'lachwekkende' claim.
Wel grappig dat ze Diginotar hackten om de 'Nederlandse betrokkenheid bij de val van Srebrenica'. Ik dacht dat de VN-troepen daar juist waren om de Moslim-gemeenschappen te beschermen?
(ze zijn daar natuurlijk niet volledig in gelukt maarja...)Ik heb het artikel uit de volgende reactie:
Vastloper in 'nieuws: Overheid dwingt vertraagde Windows Update af bij Microsoft'
edit: typo's
@GalaxyNote: Sorry dat je het sarcasme achter 'grappig' niet ziet... Bij mij draait het probleem vooral om het feit dat de hacker naar Nederland wijst ipv naar de (godverdomde) dader himself... Er heerst kritiek omdat er te weinig is gedaan om die slachting te voorkomen. Maar VN-troepen mogen enkel uit zelfverdedeging geweld gebruiken. In hoeveel conflicten staat de VN gewoon op de achtergrond zonder iets te mogen doen? Laten we anders gewoon de verenigde naties aanklagen voor al hetgene dat ze niet/te weinig hebben gedaan. Ok, er is toen zwaar geblunderd, maar moet je daarvoor deze hackpraktijken uitvoeren? Is de huidige Nerderlandse overheid (mede)verantwoordlijk voor de dood van die vluchtelingen van +15 jaar geleden?
Of misschien hadden ze gewoon de moslims moeten verdedigen en zelf overrompelt worden door bosnische troepen. Ze waren immers volledig omsingeld door de toenmalige dictator. Had een oorlog met de andere Europsese landen beter geweest?
[Reactie gewijzigd door Rinzler op dinsdag 6 september 2011 15:21]
Wij krijgen constant de schuld van wat er in Srebrenica gebeurt is te terwijl er toch meerere malen om luchtsteun van de Fransen is gevraagd omdat er van tevoren al bekend was dat de situatie niet te houden was![...]
Wel grappig dat ze Diginotar hackten om de 'Nederlandse betrokkenheid bij de val van Srebrenica'. Ik dacht dat de VN-troepen daar juist waren om de Moslim-gemeenschappen te beschermen?
[/small]
Dit werd door de Fransen overigens keer op keer afgewezen terwijl er wel degelijk noodzaak toe was op dat moment! @ hieronder dat was op de dag zelf ja, luchtsteun zou 3 dagen eerder wel uitgemaakt hebben! Je kan veel zeggen maar wat hadden die blauwhelmen anders moeten doen? (iedereen zegt schieten, en dan tegen een overmacht die 3 tot 4x zo groot was?) Dan waren ook de vrouwen en kinderen omgekomen! Er is x op x tegen de vn gezegd dat er te weinig soldaten waren (zelfs aan het begin van de missie al!)
On-topc
In iedergeval wat betreft het wachtwoord er zijn ook leetspeak woordenboeken, en vaak maken hackers hun eigen woordenboek.
Linux heeft wel degelijk virusscanners, maar dan nog daar gaat dit niet om. Met een virusscanner bereik je niet veel op een linux bak.
Al mag je verwachten dat van een instantie als dit ze zeker SElinux draaien met apparmor (LIDS is nog in Beta) 3x iemand die het passwoord probeert te raden en er komt een log allarmmelding als de boel goed is afgesteld. 1 wijzing aan een programma wat belangrijk is en er komt weer een melding! Aantal verbindingspogingen --> ook een melding.
Zulke dingen zijn gewoon in te stellen!
SElinux is overigens door de NSA ontwikkeld!
[Reactie gewijzigd door rob12424 op dinsdag 6 september 2011 14:22]
even googlen en voila..
volstrekt off-topic inderdaad..Voorhoeve en Kok blazen luchtsteun af
Dezelfde krant, schrijft drie jaar en één dag eerder: 'Premier Kok en de ministers Voorhoeve van defensie en Van Mierlo van buitenlandse zaken zagen het Servische dreigement als uiterst serieus. Zij vreesden een bloedbad onder de vluchtelingen en de mogelijkheid dat tientallen Nederlandse soldaten zouden sneuvelen. Een persbericht over die ramp was zelfs al bij voorbaat gemaakt. Voorhoeve nam op zich het hoofdkwartier in Zagreb te bellen. Zou daarmee de luchtactie niet te stoppen zijn, dan moest premier Kok de hoogste Navo-militair bellen op een nabij gelegen vliegdekschip. Dat bleek niet nodig. Na de oproep van Voorhoeve werd de derde luchtactie afgeblazen.'
'Nadat de Servische legerleider Mladic had gedreigd de Moslim-bevolking onder vuur te nemen en gegijzelde Nederlandse VN'ers te executeren, belde Voorhoeve naar VN-gezant Akashi om de luchtaanvallen te annuleren. Dat deed hij na kort beraad met premier Kok en minister Van Mierlo van Buitenlandse Zaken', aldus Het Parool van 31 mei 2000.
Pamela Hemelrijk in het Algemeen Dagblad van 17 april: 'Nou, laat ik u dan vertellen dat die luchtsteun is gestaakt op uitdrukkelijk verzoek van Nederland. Het staat allemaal in het `echte' NIOD-rapport, vanaf pag. 2300: terwijl de Dutchbatters vergeefs op ondersteuning wachtten, zaten hun eigen ministers Kok, Voorhoeve en Van Mierlo vanuit de Haagse bunker koortsachtig stad en land af te bellen, om de NAVO te bewegen de close air support (die rond drie uur 's middags was begonnen) te staken. Bij de eerste aanvalsgolf waren nog bommen afgeworpen, bij de tweede al niet meer. Toen kwam in Den Haag het bericht binnen dat de gegijzelde Nederlandse militairen zouden worden gedood als er een derde aanvalsgolf zou komen. "Na enkele minuten overleg tussen de ministers was de conclusie dat de luchtsteun onmiddellijk moest worden gestopt. De bijeenkomst werd onderbroken om Voorhoeve in de gelegenheid te stellen de Unprofor-autoriteiten te bellen. In de woorden van voorlichter Bert Kreemers: 'Na enig overleg, Voorhoeve kalm, Kok stil, kwamen de bewindslieden een werkverdeling overeen: Voorhoeve zou VN-vertegenwoordiger Akashi bellen, Kok - indien nodig - NAVO-admiraal Leighton Smith. Het gezicht van Wim Kok was asgrauw'." (NIOD-rapport, pag. 2302).
[...]
Maar Voorhoeve was er nóg niet gerust op; hij was bang dat de VN niet snel genoeg de NAVO zou inlichten. Daarom belde hij ook nog persoonlijk met de NAVO in Brussel. Maar die liet weten de beslissing aan de VN te willen overlaten. Voor de zekerheid liet Voorhoeve toen de Nederlandse luchtmacht in Napels en Vicenza bellen, om de operatie langs díe weg af te blazen. Daartoe miste hij de bevoegdheid (want zo werkt de NAVO-bevelsstructuur niet), maar niettemin liet hij weten dat het tóch moest gebeuren. Het staat op pagina 2303, als het u interesseert.'
Met andere woorden: Voorhoeve en Kok hebben 6000 Moslims af laten slachten om een handjevol Nederlanders te redden? Onbegrijpelijk dat deze oude bewindslieden nooit aangeklaagd zijn voor hulp bij massamoord.
Het is inderdaad allemaal wel erg offtopic; maar zo leer je nog eens wat.
Het is inderdaad allemaal wel erg offtopic; maar zo leer je nog eens wat.
Grappig?!?! Ik hoop dat je begrijpt dat je woord keuze erg ongelukkig is in dit geval. Nederland heeft zwaar gefaald en ik kan me voorstellen dat nabestaande het ervaren als regelrecht verraad! Zelfs de mannen die op de compound van Dutchbat werkte als bijvoorbeeld tolk en dus als militair onderdeel van het leger gezien diende te worden zijn overgeleverd aan de agressor. Hiervoor is de Nederlandse staat onlangs nog voor aanspraak gesteld door de rechter http://www.rechtspraak.nl...annennavalSrebrenica.aspx
Blijft over dat het om deze rede rechtvaardige van deze hack kant nog wal raakt. Hoeveel mensen er slachtoffer zijn geworden door dat regiems belastende informatie hebben weten te onderscheppen van onwelwillige onderdanen en deze vervolgens een kopje (penis of andere martelinge) kleiner te maken is vooralsnog gissen.
Edit: link & kleine aanpassing.
Blijft over dat het om deze rede rechtvaardige van deze hack kant nog wal raakt. Hoeveel mensen er slachtoffer zijn geworden door dat regiems belastende informatie hebben weten te onderscheppen van onwelwillige onderdanen en deze vervolgens een kopje (penis of andere martelinge) kleiner te maken is vooralsnog gissen.
Edit: link & kleine aanpassing.
[Reactie gewijzigd door GalaxyNote op dinsdag 6 september 2011 11:46]
In het bericht van 'ich sun' staat dat Nederland 1600 moslim soldaten heeft geruild voor 30 Nederlandse soldaten. De Diginotar hack zou de NEderlandse staat 16 miljoen dollar hebben gekost (certificaten waardeloos geworden). Ich Sum rekent dan uit dat per geruilde moslim soldaat Nederland $1000 schade heeft.
Tsjah, dit is een behoorlijk andere uitleg van wat er in Srebrenica is gebeurd dan wat wij lezen in de pers.
Tsjah, dit is een behoorlijk andere uitleg van wat er in Srebrenica is gebeurd dan wat wij lezen in de pers.
Hoe dan ook, het lijkt me dat je eerder de sites van de Servische overheid zou moeten hacken als je kwaad bent over Srebrenica.
Maar ja, dat zal wel teveel voor de hand liggen.
Maar ja, dat zal wel teveel voor de hand liggen.
Ik denk dat een dergelijk wachtwoord wel in menig hacker dictionary staat. Dus ja, het voldoet aan de eisen van lengte en complexiteit maarja dat doet "Welkom@01" ook."Pr0d@dm1n" is nu niet bepaald een simpel te raden wachtwoord maar meer dan adequaat.
edit:
Zo te zien ben ik niet de enige.
Zo te zien ben ik niet de enige.
[Reactie gewijzigd door ThePope90 op dinsdag 6 september 2011 09:52]
Inderdaad, de beveiliging lijkt redelijk goed als ik zijn post op pastebin mag geloven. Al moet wel zeggen dat hij wel erg opzichtig op zoek is naar roem, en alles veel moeilijker laat overkomen als dat het waarschijnlijk is. Daarmee wil ik niet zeggen dat het een simpele hack was overigens.
I'll talk technical details of hack later, I don't have time now... How I got access to 6 layer network behind internet servers of DigiNotar, how I found passwords, how I got SYSTEM privilage in fully patched and up-to-date system, how I bypassed their nCipher NetHSM, their hardware keys, their RSA certificate manager, their 6th layer internal "CERT NETWORK" which have no ANY connection to internet, how I got full remote desktop connection when there was firewalls that blocked all ports except 80 and 443 and doesn't allow Reverse or direct VNC connections, more and more and more...
Ik ben wel benieuwd naar de details eerlijk gezegd. 
edit:
Waarom wordt interesse gemod als Ongewenst?
Waarom wordt interesse gemod als Ongewenst?
[Reactie gewijzigd door ThePope90 op dinsdag 6 september 2011 11:43]
Omdat het geen toegevoegde waarde heeft voor de discussie
Ik vraag me vooral af waarom het certificerings-systeem op "6 layer behind internet servers" sowieso een netwerkverbinding had. Door fysieke of bijna-fysieke afscheiding van systemen icm handmatig accorderen had dit voorkomen kunnen worden.
Voorbeeld: aangevraagde certificaten worden op een wachtrij gezet op een USB stick. 4x per dag pakt een medewerker het usb-stickie uit het aanvraag-systeem, plaatst 'm in het certificerings-systeem en keurt de aanvragen 1-voor-1 goed.
Dit is wel arbeidsintensief, en daarom voor een comodo niet te doen. Maar voor een club van de klasse van diginotar was dat een prima methode.
Een iets zwakker maar minder arbeidsintensief alternatief: een losstaand systeem die alleen via RS232 een verbinding heeft met de aanvraag-server. Een daemon aan andere kant van de seriele verbinding die niets anders kan doen dan CSRs aannemen en neerzetten op het systeem. Een wachtrij-systeem die aan de hand van de CSRs certificaten genereert en neerzet op het filesystem, uiteraard na goedkeuring door een medewerker. Vervolgens wordt het antwoord door de daemon opgepakt en weer over RS232 teruggestuurd.
Kort gezegd: nergens wordt een tcp verbinding gebruikt die voor andere doelen gebruikt kan worden en elk certificaat moet goedgekeurd worden door iemand die fysiek toegang heeft tot het pand.
Voorbeeld: aangevraagde certificaten worden op een wachtrij gezet op een USB stick. 4x per dag pakt een medewerker het usb-stickie uit het aanvraag-systeem, plaatst 'm in het certificerings-systeem en keurt de aanvragen 1-voor-1 goed.
Dit is wel arbeidsintensief, en daarom voor een comodo niet te doen. Maar voor een club van de klasse van diginotar was dat een prima methode.
Een iets zwakker maar minder arbeidsintensief alternatief: een losstaand systeem die alleen via RS232 een verbinding heeft met de aanvraag-server. Een daemon aan andere kant van de seriele verbinding die niets anders kan doen dan CSRs aannemen en neerzetten op het systeem. Een wachtrij-systeem die aan de hand van de CSRs certificaten genereert en neerzet op het filesystem, uiteraard na goedkeuring door een medewerker. Vervolgens wordt het antwoord door de daemon opgepakt en weer over RS232 teruggestuurd.
Kort gezegd: nergens wordt een tcp verbinding gebruikt die voor andere doelen gebruikt kan worden en elk certificaat moet goedgekeurd worden door iemand die fysiek toegang heeft tot het pand.
Precies. Dat zijn de regels ook. Diginotar heeft er een potje van gemaakt.
Systeem voor generatie van certificaten mag nooit benaderbaar zijn via het netwerk en al helemaal niet via internet....
Systeem voor generatie van certificaten mag nooit benaderbaar zijn via het netwerk en al helemaal niet via internet....
'Hacker comodo' staat niet voor zijn handle, maar voor een eerdere hack van een andere CA, genaamd 'comodo'. Het gaat hierom dat de man of vrouw die eerder heeft zou hebben ingebroken bij 'comodo' nu ook claimt ingebroken te hebben bij DigiNotar.Dit is wel arbeidsintensief, en daarom voor een comodo niet te doen. Maar voor een club van de klasse van diginotar was dat een prima methode.
Comodo Hack
Dit lijkt mij ook een CA die we niet meer kunnen vertrouwen.
I know. (Ik heb zelf ooit nog een keer een gat in de beveiliging van comodo gerapporteerd waarmee iedereen voor elk domein certificaten kon maken.)
Wat ik met die zin probeerde te zeggen: Voor een organisatie als comodo, die certificaatjes uitgeeft van 30 euro per stuk, is het onmogelijk om mijn procedure met usb-stickjes tbv fysieke scheiding te volgen.
Diginotar, in tegenstelling tot Comodo, is geen budget-CA, dus die heeft wel de opbrengst per certificaat om het wat arbeidsintensiever te maken.
Wat ik met die zin probeerde te zeggen: Voor een organisatie als comodo, die certificaatjes uitgeeft van 30 euro per stuk, is het onmogelijk om mijn procedure met usb-stickjes tbv fysieke scheiding te volgen.
Diginotar, in tegenstelling tot Comodo, is geen budget-CA, dus die heeft wel de opbrengst per certificaat om het wat arbeidsintensiever te maken.
En het spieken over de schouders van heel veel mensen door zo'n overheid is toch wel heel gevaarlijk.
uhm... hoe naief ben je wel niet als jij denkt dat er geen andere overheden, INCLUSIEF de onze, dit ook niet doen..
En je hebt gelijk mbt wachtwoord, voor mij zou dat ook een redelijk sterk wachtwoord zijn vanwege de gebruikte tekens. Als ze dat een simpel wachtwoord vinden, dan is elk wachtwoord wel simpel..
uhm... hoe naief ben je wel niet als jij denkt dat er geen andere overheden, INCLUSIEF de onze, dit ook niet doen..
En je hebt gelijk mbt wachtwoord, voor mij zou dat ook een redelijk sterk wachtwoord zijn vanwege de gebruikte tekens. Als ze dat een simpel wachtwoord vinden, dan is elk wachtwoord wel simpel..
Heerlijk dat wachtwoord, hoop dat ze er wat van leren
Sssst.. Ze hebben het nog niet aangepast bij diginotar, niet overal het paswoord publiceren!
;-)
;-)
edit:
Wanneer word er nu eindelijk eens druk uitgeoefend op de iraanse regering om deze gast op te pakken? Dat had bij zijn vorige hackpogingen al moeten gebeuren. Schijnbaar vind de iraanse regering het zelf wel best allemaal. Niet geheel verassend natuurlijk aangezien zijn pro iran motvieven. Maar de internationale gemeenschap kan op zijn minst druk uitoefenen
Wanneer word er nu eindelijk eens druk uitgeoefend op de iraanse regering om deze gast op te pakken? Dat had bij zijn vorige hackpogingen al moeten gebeuren. Schijnbaar vind de iraanse regering het zelf wel best allemaal. Niet geheel verassend natuurlijk aangezien zijn pro iran motvieven. Maar de internationale gemeenschap kan op zijn minst druk uitoefenen
[Reactie gewijzigd door Vastloper op dinsdag 6 september 2011 09:35]
nee he, dit is dus gewoon een ordinaire terrorist.Hij zegt DigiNotar te hebben gehackt vanwege de betrokkenheid van Nederland bij de val van Srebrenica in 1995, waarbij duizenden moslims werden vermoord.
en helaas wellicht een moslim die het nodig vind om het stigma dat 't islamitische geloof + bijbehorende bevolkingsgroepering al heeft nog verder te versterken.
oppakken die gast als ie te vinden is en berechten graag.
Op zich een goed idee, maar wie gaat dat doenoppakken die gast als ie te vinden is en berechten graag.
De enigen, die ik enige kans toedicht, zijn de Israëlis (Mossad) en die hebben er (nog) niet zoveel belang bij.Dus hij was geen terrorist geweest als hij niet gelovig was geweest en om een (willekeurige) andere reden had gedaan?...
"ordinaire terrorist"?
Een politiek en religeus gedreven persoon, misschien.
En oppakken en berechten... tuurlijk. Vanwege hacken en computervredebreuk enzo Het zal alleen wat moeilijk worden, gezien het land waar hij (vermoedelijk) vanuit opereert.
Wat betreft je stigma... als het hier (zoals al een tijdje rond gaat) inderdaad om een Iranier gaat, welk stigma?
Een politiek en religeus gedreven persoon, misschien.
En oppakken en berechten... tuurlijk. Vanwege hacken en computervredebreuk enzo
Het zal alleen wat moeilijk worden, gezien het land waar hij (vermoedelijk) vanuit opereert.Wat betreft je stigma... als het hier (zoals al een tijdje rond gaat) inderdaad om een Iranier gaat, welk stigma?
comodo firewall ook niet meer betrouwbaar dus 
Waarom zou die niet meer betrouwbaar zijn? Dat comodo in 't verleden gehackt is betekend niet dat ineens al hun producten waardeloos zijn.
De comodo firewall is voor (consumenten) windows machines nog altijd een prima oplossing.
De comodo firewall is voor (consumenten) windows machines nog altijd een prima oplossing.
De gratis Comodo Personal Firewall wordt door dit bedrijf al een hele tijd niet meer aangeboden/onderhouden. Voor wie een nog W2K of XP (sp0, sp1, sp2, sp3) heeft draaien is het misschien een optie omdat deze alsnog wat uitgebreider is als de firewall in XP (en W2K heeft er zelfs geen) maar daar houdt het mee op.Waarom zou die niet meer betrouwbaar zijn? Dat comodo in 't verleden gehackt is betekend niet dat ineens al hun producten waardeloos zijn.
De comodo firewall is voor (consumenten) windows machines nog altijd een prima oplossing.
De huidige versie is een 30-day trial, daarna ga je naar Comodo Internet Security Pro 2011 voor $ 49,99 per jaar, als standalone product is het er dus niet meer, tenzij je de trial als zodanig aanmerkt, maar die werkt dus slechts 30 dagen.
Verontrustend bericht .. ? Als dat zo is, hoe komen we erachter welke dat zijn dan? Naar welke certificaat provider zou je dan moeten overstappen, voor je het weet is die dan ook de klos om wat voor reden dan ook, kan je gelijk weer alles aanpassen.De hacker schrijft toegang tot nog vier andere certificaatproviders te hebben en claimt dus nog steeds valse certificaten te kunnen genereren.
Hij zegt DigiNotar te hebben gehackt vanwege de betrokkenheid van Nederland bij de val van Srebrenica in 1995, waarbij duizenden moslims werden vermoord.
Pr0d@dm1n wordt door veel Password Strength Checkers als Very Strong getypeerd:
http://www.passwordmeter.com/
http://passwordstrength.net/
http://www.hammerofgod.com/passwordcheck.aspx
http://howsecureismypassword.net/
Maar met Cain and Able is het wachtwoord echter wel wat sneller te achterhalen:
http://en.wikipedia.org/wiki/Cain_and_Abel_(software)
http://www.passwordmeter.com/
http://passwordstrength.net/
http://www.hammerofgod.com/passwordcheck.aspx
http://howsecureismypassword.net/
Maar met Cain and Able is het wachtwoord echter wel wat sneller te achterhalen:
http://en.wikipedia.org/wiki/Cain_and_Abel_(software)
Moet je in de links die je geeft een het password: "Dictionary" invullen.
Alleen http://www.passwordmeter.com/ ziet het als weak.
Ik heb mijn twijfels over de andere 3.
Alleen http://www.passwordmeter.com/ ziet het als weak.
Ik heb mijn twijfels over de andere 3.
Offtopic:
Ik verdacht dit soort sites ervan om stiekem een dictionary op te bouwen van veel gebruikte wachtwoorden.
Ik verdacht dit soort sites ervan om stiekem een dictionary op te bouwen van veel gebruikte wachtwoorden.
Ja, zo lust ik er nog wel een paar. Alle Amerikaanse CA's wegens betrokkenheid van Amerika bij invallen in Irak en Afghanistan....Hij zegt DigiNotar te hebben gehackt vanwege de betrokkenheid van Nederland bij de val van Srebrenica in 1995, waarbij duizenden moslims werden vermoord.
Dat is ongeveer waar Anonymous/LulzSec mee bezig is (geweest)
Dat dacht ik ook. Dit zegt hij alleen maar om zijn daden goed te praten. Als hij het echt zo met de moslims voor heeft had hij ze er ook voor moeten behoeden dat de Iraanse autoriteiten hun internetverkeer kunnen onderscheppen.
Zijn daden goed praten?
Wat mij betreft maakt het de situatie alleen maar erger.
Nederland is nog steeds in oorlog met het moslim terrorisme.
Wat mij betreft maakt het de situatie alleen maar erger.
Nederland is nog steeds in oorlog met het moslim terrorisme.
Als je zijn pastebin berichtjes zou lezen zou je zien dat hij voor elk land wel wat kan bedenken Er zijn genoeg internationale conflicten waarbij Iran of Moslims in het algemeen een partij zijn, dus er is altijd wel een reden te bedenken bij welk target dan ook.
Ik ben het met zijn statements eens over het algemeen, maar betwijfel of het doel daadwerkelijk is om wraak te nemen; ik denk eerder dat het is zoals het met meeste hackers gaat: Interesse & macht above all. Dat is ook de manier waarop hackers ontstaan; een diepgewortelde drang om dingen volledig te begrijpen.
Er zijn genoeg internationale conflicten waarbij Iran of Moslims in het algemeen een partij zijn, dus er is altijd wel een reden te bedenken bij welk target dan ook.Ik ben het met zijn statements eens over het algemeen, maar betwijfel of het doel daadwerkelijk is om wraak te nemen; ik denk eerder dat het is zoals het met meeste hackers gaat: Interesse & macht above all. Dat is ook de manier waarop hackers ontstaan; een diepgewortelde drang om dingen volledig te begrijpen.
Op dit item kan niet meer gereageerd worden.
Populair: Asus Samsung Mobiele telefoons Laptops Apple Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
