Tive a falar com um amigo que precebe destas coisas, e ele disse-me que existe o perigo de o indevido que hackou o site ter posto alguma coisa que permitisse copiar as passwords dos user que acedem ao forum da aqua pc.

Apesar de isto ser gravissimo, ocorreu-me uma cenario bastante pior, que é o facto de muitos utilizadores do forum da aqua pc andarem tambem por aqui, e por outros foruns nacionais, podendo alguns deles serem moderadors ou mesmo administradores.

Passou-me tambem pala cabeça que deve ser normal as pessoas terem a mesma password, no forum da aquapc que têm aqui ou noutros foruns nacionais.

Sendo assim, gostava que alguem que precebesse BASTANTE destas coisas, me explicasse se é possivel por uma especie de script ou seja o que for, de modo a sacar as passwords do pessoal que acede ao forum da aqua pc, para mais tarde andar a estragar o trabalho de outros foruns nacionais, ou se isto que estou para aqui a dizer não faz sentido nenhum... <--- espero que seja esta :(

Independentemente se isto que eu escrevi faz ou não algum sentido, ia sugerir para o pessoal que tivesse a mesma pass em vários foruns, se desse ao trabalho de as mudar todas, para evitar qualquer problema de futuro.

Possível é .... mas náo é tão trivial como fazer a inserção do código do exploit do phpbb que foi feito no site da AquaPC e da Chipnet ontem á noite.
Mas sim como alguém que trabalha na area aconselho toda a gente a fazer um cycle da password que costuma usar.

Claro que é possivel ...

Com um exploit no phpBB podem fazer um retrieve das passes armazenadas na base de dados que estão encriptadas ....

Esta encriptação .... bem .... OK! é bem possivel sim... tb aconselho a irem mudando de password!

Claro que é possivel ...

Com um exploit no phpBB podem fazer um retrieve das passes armazenadas na base de dados que estão encriptadas ....

Esta encriptação .... bem .... OK! é bem possivel sim... tb aconselho a irem mudando de password!

Resta saber agora o modo como são guardadas as pass's... em aberto, cifradas, ou um hash.

EDIT: Utilizam o MD5 para fazer um hash da pass e guardam na BD.
Só com um ataque por dicionário é que se conseguem as passes. penso eu.
http://www.phpbb.com/kb/article.php?article_id=40

EDIT2: depois de uma rapida pesquisa no google, descobre-se que qq pessoa consegue um texto em MD5 com a ajuda destes senhores: http://passcracking.com/

Acho que devem ser armazenadas utilizando algoritmos digest...

Errado .. Hashing MD5

Dai o eu dizer que é complexo ... mas como não sou deus e n faço puto de ideia das tools esquisitas que sairam na ultima semana n ponho as mãos no fogo de qualquer forma com 100% certeza digo que é possível elas serem alteradas.
O Fulano escolhe uma pass usao o MD5 e faz uma nova .. insere a no campo e já está.
Ou seja alterar é 100% certo que se faz .. Decrypt não se faz pelo menos até ao melhor do meu conheçimento mas o seguro morreu de velho e a culpa morre sózinha.

Edit: Não sabia dos senhores que supostamente fazem o Decode do MD5 ... e tenho algumas dúvidas acerca do procedimento ..... se será de facto fiável .... é que a ideia de gerar passwords indefinidamente .. fazer o hashing e depois um compare com base no hashing ... ou é de loucos ou é de loucos. Mas pronto recuso me a acreditar que alguém se desse a esse trabalho.

Errado .. Hashing MD5
MD5 is an algorithm (http://searchvb.techtarget.com/sDefinition/0,,sid8_gci211545,00.html) that is used to verify data integrity (http://searchdatabase.techtarget.com/sDefinition/0,,sid13_gci518970,00.html) through the creation of a 128-bit <TERM>message digest</TERM> from data input (which may be a message of any length) that is claimed to be as unique to that specific data as a fingerprint is to the specific individual

Errado .. Hashing MD5

Dai o eu dizer que é complexo ... mas como não sou deus e n faço puto de ideia das tools esquisitas que sairam na ultima semana n ponho as mãos no fogo de qualquer forma com 100% certeza digo que é possível elas serem alteradas.
O Fulano escolhe uma pass usao o MD5 e faz uma nova .. insere a no campo e já está.
Ou seja alterar é 100% certo que se faz .. Decrypt não se faz pelo menos até ao melhor do meu conheçimento mas o seguro morreu de velho e a culpa morre sózinha.


EDIT2: depois de uma rapida pesquisa no google, descobre-se que qq pessoa consegue um texto em MD5 com a ajuda destes senhores: http://passcracking.com/

Exacto.. o seguro morreu de velho ;)

EDIT: apenas necessitam de fazer o hash do dicionario uma vez na vida... pelo que vi já vai em 47 gigas.. o resto é só comparar.. coisa que as BD fazem rapidamente.

MD5 is an algorithm (http://searchvb.techtarget.com/sDefinition/0,,sid8_gci211545,00.html) that is used to verify data integrity (http://searchdatabase.techtarget.com/sDefinition/0,,sid13_gci518970,00.html) through the creation of a 128-bit <TERM>message digest</TERM> from data input (which may be a message of any length) that is claimed to be as unique to that specific data as a fingerprint is to the specific individual

Esqueçeste te do resto da definição ;)

Adiante ... e esqueçendo um bocado a coisa e eu que trabalho na área a máxima aqui é mais contar com uma previsão péssimista do Know how do outro lado (Pensar que do outro lado tá deus ;)) e não tomar dados que sabemos á 1 semana como garantidos.

Mandaram-me uma pm a dizer que estou a fazer uma tempestade num copo de agua, mas como diz aqui o pessoal e bem, o seguro morreu de velho, e não vejo mal nenhum em esta thread estar aberta.


//offtopic
Trystam: a tua assinatura não está ligeiramente fora dos limites? :)
"Imagem com as dimensões de 700x100 (máximo 30kb)"

Está algo que fora mas só está numa das Dimensões de resto como é a preto e branco até cumpre o critério de tamanho ... além do mais ... tem pena tou a trabalhar e não imaginas a trabalheira que me dá fazer uma nova ;)

Será preferível negligênciar sistemas na banca ou ter uma assinatura um bocadito maior ? ;)

Esqueçeste te do resto da definição ;)
Não percebi em que é que isso invalida o facto de ser uma "ferramenta" de digesting de mensagens...

Vendo ficheiro com todas as passwords do users da AQUAPC.

Preço: 100€

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Joking! :lol:

pode nao ter nada haver mas a uns minutos a traz quando entrei no forum da aquapc, a minha firewall desparou com um ip da netcabo nunca me aconteçeu.

pode nao ter nada haver mas a uns minutos a traz quando entrei no forum da aquapc, a minha firewall desparou com um ip da netcabo nunca me aconteçeu.

Na NetCabo o mais normal é teres Pseudo ataques .... agora nesta altura penso que isto começa a sair fora de porporções e agora entramos no campo da histeria e da Conspiração.
O Big Brother anda ai mas não exageremos ... estamos a falar dum Exploit a um código de PHP não de um ataque global ....

Na NetCabo o mais normal é teres Pseudo ataques .... agora nesta altura penso que isto começa a sair fora de porporções e agora entramos no campo da histeria e da Conspiração.
O Big Brother anda ai mas não exageremos ... estamos a falar dum Exploit a um código de PHP não de um ataque global ....

Exacto ...

Tenham calma ... ninguem vai fazer chaves de casa com os dados obtidos na AquaPC!

:D

Mas tá confirmado que se gamaram as passes ? ou apenas deram cabo do Forum ?

para ter as password em md5... não é necessário ter acesso a base de dados.
Basta snifar os dados... que são enviados via form.

Qualquer site esta em risco se não tiver uma ligação segura.

mas dificilmente alguem adivinha o que uma hash de md5 quer dizer, uma vez que não tem 2 vias encrypt e decrypt.
O MD5 é só one way... uma vez q não foi feito propriamente para um sistema de encrypt-decrypt.

para ter as password em md5... não é necessário ter acesso a base de dados.
Basta snifar os dados... que são enviados via form.

Qualquer site esta em risco se não tiver uma ligação segura.

mas dificilmente alguem adivinha o que uma hash de md5 quer dizer, uma vez que não tem 2 vias encrypt e decrypt.
O MD5 é só one way... uma vez q não foi feito propriamente para um sistema de encrypt-decrypt.

Exacto. Estão aí a fazer uma tempestade num copo de água quando não é preciso :rolleyes:

É assim nada é seguro ... uma das máximas que o meu ex prof de secundário me deu um dia foi de que nada é inquebrável e nada está livre de problemas.
Exemplos por exemplo são o SSL e o SSH2, que são dois dos "protocolos mais seguros" existentes e tem falhas e lacunas. Todos os dados que passam por um determinado sitio estão expostos a que sejam filtrados e analizados.
Uma Transparent Network Tap no treixo X de uma rede com o software e o know how apropriado é devastadora e até mete os cabelos em pé a quantidade de coisas que se conseguem ver.
Agora convém descer à realidade e ao planeta terra, que no final de contas é onde vivemos .... é assim o méteodo que há para fazer qualquer coisa com o MD5 de momento é moroso .. demasiado moroso para se tirar algum proveito a curto prazo de informação (hash de passwords) que possa beneficiar alguém.
Ponto dois .. os ataques que foram feitos aos sites da Chip e da AquaPC foram feitos pelo que é designado no meio de script kiddies ou seja pessoas que apenas procuram na net por um script com um fim e mesmo que nem saibam o que estão a fazer a quantidade de informação difundida é suficiente para um macaco quase fazer um exploit a um site ou seja não vamos dar demasiado crédito a quem o fez porque qualquer um aqui pode agarrar numa URL pré-fabricada e espetar la no browser e away we go .. além do mais um hacker competente digno do nome .... não precisa duma brincadeira dum remote code execution despoletado por uma treta dum exploit de injection de SQL sejamos francos.
Portanto moral da história, aprender com o erro e tomar precauções daqui em diante mas em altura alguma ficar tão obcecado com o sucedido que o mesmo começe a ditar um reinado de terror ou a forma como encaramos os foruns e a nossa vida no mundo digital.
Lamento a extensão do post mas pronto.

EDIT2: depois de uma rapida pesquisa no google, descobre-se que qq pessoa consegue um texto em MD5 com a ajuda destes senhores: http://passcracking.com/

Isto é (de tudo o que foi dito aqui) o preocupante, do meu ponto de vista. A maior parte dos foruns (e mesmo bastantes sites) em php usam md5 para guardar as pass.
E segundo o site, o tempo que demora a crackar uma pass com 8 caracteres/digitos é 40mins (o que é manifestamente pouco). Vá lá que precisas de andar c/ 50 GB de tabelas atrás, mas mesmo assim...

nada como mudar de md5 para SHA1!

:P

:-)

Ok isto já é espiralar para fora de controlo .. é que numa utilização normal e isto foi um caso esporádico .. ninguém chega ás tabelas .... portanto ... isto já é mto mto mto hipotético.
Quanto ao méteodo dos srs do crack do MD5 ... aquilo não é tão fantabulástico quanto pareçe.

E segundo o site, o tempo que demora a crackar uma pass com 8 caracteres/digitos é 40mins (o que é manifestamente pouco). Vá lá que precisas de andar c/ 50 GB de tabelas atrás, mas mesmo assim...


Acreditam em tudo aquilo que lêem...?
Não é possível crackar uma password codificada em MD5 pela simples razão que a função não é injectiva.

Para o mesmo valor da pass em MD5 existem INFINITAS passwords possíveis.

Para o mesmo valor da pass em MD5 existem INFINITAS passwords possíveis.
Não são bem infinitas, mas either way, só precisas de saber uma delas. Imagina:
md5("xyz")=E4ABJWZ,
md5("xpto")=E4ABJWZ,

Nesta situação, quer escrevas xyz ou xpto, tens acesso ao fórum/site/whatever. Não necessitas de saber se o utilizador tem a password xyz ou xpto, basta-te saber que a palavra que tu tens tem um md5 igual está na bd.

Não sei se me fiz entender...

Acreditam em tudo aquilo que lêem...?
Não é possível crackar uma password codificada em MD5 pela simples razão que a função não é injectiva.

Para o mesmo valor da pass em MD5 existem INFINITAS passwords possíveis.


Dos posts aqui feitos esta ainda é o q me parece ter mais sentido(tendo em conta q ando no 12º e n percebo pevas do aqui foi dito)...

Agora voltando a realidade....quem o fez n é nenhum génio ou n o teria feito da maneira q fez, logo n acredito q saiba/consiga fazer muito mais do que o que fez...dando isso ao desbarato e acreditando que consegue, vai fazer o k? qtos users existem entre os foruns aqua/techz/chip/global/pcdiga? acham q com as passes do forum da aqua vai fazer o k? a quantas pessoas? a unica problemática sao os administradores, mas mesmo no caso desses, qual seria o intuito de tal ataque? para q? para quem ver? acham q é o nikeboy reloaded n?

Pa aconteceu, foi 1 exploit, agora daí a dizerem q vai roubar as passes aos admins e por todos os foruns de pantanas...long way...

[]z

Não são bem infinitas, mas either way, só precisas de saber uma delas. Imagina:
md5("xyz")=E4ABJWZ,
md5("xpto")=E4ABJWZ,

Nesta situação, quer escrevas xyz ou xpto, tens acesso ao fórum/site/whatever. Não necessitas de saber se o utilizador tem a password xyz ou xpto, basta-te saber que a palavra que tu tens tem um md5 igual está na bd.

Não sei se me fiz entender...

Assim fácilita bastante as coisas, mas claro que a comunity da php já resolveu o problema com o 2.0.11, 2.1 deve tar ai a sair...

Assim fácilita bastante as coisas, mas claro que a comunity da php já resolveu o problema com o 2.0.11, 2.1 deve tar ai a sair...
Podes explicar melhor?

uma password encriptada em md5 demora 40min a crackar se for uma palavra que esteja no dicionario que se esta a utilizar para crackar a password.
Se for uma password sem nexo nenhum tipo "ssadjf" ou algo do genero, que nao esteja no dicionario, a pass pode demorar anos a crackar, e kt mais longa for mais dificil eh de crackar.

Quanto a pergunta doi "isso eh possivell?"
Eh possivel sim, e no caso do phpBB n eh mt dificl visto que ha prai exploits a dar c pau.
Mas mm que n fosse phpBB ha sp milhoes d maneiras de usar vulnerabilidades, e os scripts "web-based" ainda mais faceis sao de "hackar"

fkem

Só lá vai com Brute Force ....

Toca de ter dicionários de milhões e milhões de palavras e esperar ter sorte ...
Como as chaves MD5 não são únicas como o Urban disse, é mais fácil do que acertar na pass mesmo correcta ...

Alguem da tech que altere o script de registo de validação de passwords para:

md5("TecH".$password."zOne");

hihihihih Sempre complicam a vida ao dicionário :D

Não são bem infinitas, mas either way, só precisas de saber uma delas. Imagina:
md5("xyz")=E4ABJWZ,
md5("xpto")=E4ABJWZ,

Eu acho que não me fiz entender...

São MESMO INFINITAS!
Podes mesmo ter

md5("xyz")=E4ABJWZ1,
md5("qwe")=E4ABJWZ1
md5("asd")=E4ABJWZ1,
md5("zxc")=E4ABJWZ1
md5("edr")=E4ABJWZ1,
md5("gdf")=E4ABJWZ1
md5("323")=E4ABJWZ1,
md5("ggd")=E4ABJWZ1
md5("rrr")=E4ABJWZ1
md5("tgf")=E4ABJWZ1

e isto para passwords com 3 caracteres, agora tem de se testar com as passwords com 1, 2, 4, 5, 6, 7 e etc caractares.
O MD5 não é uma cifra, é um digest, e um bom digest. Não é possível identificar as passwords a partir do digest.

Esto claro partindo-se do princípio errado de que o phpBB não usa uma seed, o que seria uma perfeita estupidez.

Com esta seed, simplesmente não é possível nem um ataque por brute force...

PS. o hash MD5 tem sempre 32 bits...

Eu acho que não me fiz entender...

São MESMO INFINITAS!
Podes mesmo ter
Sim, são infinitas MAS, como ele disse o acaro no precisa saber a password certa, mas sim uma palavra que tenha um MD5 igual...esse é que é o problema.
Não é possível crackar uma password codificada em MD5 pela simples razão que a função não é injectiva.
Pois não, mas é preciso? Como é que o PHPbb determina a seed?

Sim, são infinitas MAS, como ele disse o acaro no precisa saber a password certa, mas sim uma palavra que tenha um MD5 igual...esse é que é o problema.

Pois não, mas é preciso? Como é que o PHPbb determina a seed?

O ácaro não consegue descobrir qual é a pass que tem um MD5 igual pela simples razão que não sabe a seed... por mais dicionário que tenha...

o phpBB não precisa de descobrir a seed, é gerada aquando da instalação, e única para cada sistema ( se quem fez o phpBB tiver 2 dedos de testa).

corrijam se tiver enganado...

mas se o acaro tiver a hash md5, e tiver um dicionario onde tem tem milhoes de palavras e as respectivas hash's dessas palavras, pode comparar a hash ke tem com as hash's do dicionario e descobrir kual eh 1 das palavras-passe, o que ja eh suficiente.

mas se o acaro tiver a hash md5, e tiver um dicionario onde tem tem milhoes de palavras e as respectivas hash's dessas palavras, pode comparar a hash ke tem com as hash's do dicionario e descobrir kual eh 1 das palavras-passe, o que ja eh suficiente.


Não pode, é para isso que serve a seed...

Supondo que nós nem percebemos um boi de informática e que somos excelentes matemáticos .....
Ora imaginando que nós temos passwords de 8 digitos e que como caracteres possíveis temos :

A a Z, a a z, 0 a 9, alguma pontuação e digamos mais _.,:!#~^% ....

Ora se fizermos as contas são 70 caracteres e com 70 caracteres possíveis as contas ficam altamente engraçadas ...

Ora sendo que isto se não me engano serão permutas temos que são:

70P8 = 70! - (70 - 8)! que será 70! - 62!

Ora 70! é algo como que traduzido em qualquer coisa inteligivel via calculadora: 1.14x10^113 e 62! qualquer coisa como 3.14x10^85 ou seja contas finais temos: 1.14x10^113 - 3.14x10^85 que dá a módica quantia de 10^28.

Com base nisto e noutro documento que encontrei para ai imaginando que alguém rouba o ficheiro de passwords de um PC e corre o processo de geração do MD5.

Ora então 16 bytes por assinatura e 8 por password, são 24 * 10^28 bytes, não tendo em conta temporários envolvidos que nem faço ideia de como calcular.

Ora assim de contas de cabeça e da Ti92 :zzz são algo como 218,278,728,425,502,777 teras .. mete byte tira byte......

Isto assim de cabeça é capaz de ser um processo ligeiramente moroso mas pronto se alguém o considerar viável além de matemáticamente resolúvel acho que pode ir em diante ....

Conclusão .... como muita coisa no mundo é fazivél apenas dúvido que no meu tempo util de vida .... se automágicamente alguém conseguir desenvolver um algoritmo que seja por tabelas ou whatever resolva isto seja .... não se esqueçam que o que os outros senhores clamam é que estão a construir a "base de dados" deles ..... apenas creio que a construção é capaz de ser pior que as obras do Alqueva.

Pondo um ponto final disso e guardando aulas de algoritmos e afins para outro dia .. acho que quem tinha o PhPBB ou já fez o update ou neste momento tem menos um forum com que se preocupar e nós temos a certeza que é complicadeco ir buscar as passwords.

Edit: Isto a estas horas tá mal fazer estas contas ... já nem eu faço juizo com o que escrevi .... portanto n liguem as contas .... eu depois amanhã se tiver tempo e não tiver algo melhor que fazer dedico me á questão filosófica .... se bem que acho que tão certas .. adiante ....

"1.14x10^113 - 3.14x10^85 que dá a módica quantia de 10^28."
ta a subtrair ou dividir? :P
seja como for, acho muito dificil alguem descobrir a pass a partir do md5, se o algoritmo "so tem um sentido" como é que se chega ao inicio? da para ir testanto as passes a partir dum prog kkr + base dados do site?

Esta thread deixou-me com uma bruta enxaqueca só de a ler...
:lol::lol::lol:

axo q ja nos desviamos uma beca do intuito da thread!

Ja passamos da fase do aviso( se bem q util n vejo a preocupação para tanto) a faze de porvar por a+b se e ou n possivel recriar e utilizar uma pass encriptada deste modo......

:zzz:

"1.14x10^113 - 3.14x10^85 que dá a módica quantia de 10^28."
ta a subtrair ou dividir? :P
seja como for, acho muito dificil alguem descobrir a pass a partir do md5, se o algoritmo "so tem um sentido" como é que se chega ao inicio? da para ir testanto as passes a partir dum prog kkr + base dados do site?


Pelas minhas contas de ontem a subtrair .... se bem que a minha linha de raciocionio ontem 10 minutos depois de ter acabado isso já nem sabia de que terra era !!

acho que se esta a exagerar ligeiramente... mas isso sou eu.
eu trabalho com md5, por acaso sei que a função do md5 não é o encrypt de password, mas pela facilidade de uso funciona muito bem.

tou a pensar em fazer um patch aos meus trabalhos e substituir o md5 por SHA1 sempre são mais 8 caracteres em cada hash!
:-D

o phpBB não precisa de descobrir a seed, é gerada aquando da instalação, e única para cada sistema ( se quem fez o phpBB tiver 2 dedos de testa).
Não me digas? A serio? Só tava a por a hipotese de o acaro poder ter acesso à seed.....mas não sei como isso funciona e sinceramente também não me interessa....

Acho piada que tu quando lês uma frase de alguem assumes quase sempre a interpretação que te leva a concluir que a pessoa que a escreveu não tem miolos...deve ser algum mecanismo de auto-defesa psicológica.

Acho piada que tu quando lês uma frase de alguem assumes quase sempre a interpretação que te leva a concluir que a pessoa que a escreveu não tem miolos...deve ser algum mecanismo de auto-defesa psicológica.

Em que expressão minha notaste isso?

A parte do "2 dedos de testa" foi simplesmente porque não conheço o código do phpBB...

Só tenho uma palavra para estes posts todos.. FUCKING NERDS! :lol: :lol: :lol:

keep up the good discution! :)

Ora imaginando que nós temos passwords de 8 digitos e que como caracteres possíveis temos :

A a Z, a a z, 0 a 9, alguma pontuação e digamos mais _.,:!#~^% ....

Ora se fizermos as contas são 70 caracteres e com 70 caracteres possíveis as contas ficam altamente engraçadas ...

Ora sendo que isto se não me engano serão permutas temos que são:

70P8 = 70! - (70 - 8)! que será 70! - 62! Só uma coisinha!

Não são permutações de 70, 8 a 8, mas sim arranjos com repetição de 70, 8 a 8,

ou seja, 70^8, e não 70! - 62!.

:x2:

Passwords a partir de 8 caracteres com maiusculas minusculas com numeros etc gostava de ver as rainbow tables e tempo que um gajo demora a crackar uma hash MD5 dessas sinceramente.

De qq das maneiras por politica de segurança pessoal toda a gente deveria mudar a pass de x em quando n?

O mundo seria tao simples como no filme Hackers com as passes God money sex :D

Passwords a partir de 8 caracteres com maiusculas minusculas com numeros etc gostava de ver as rainbow tables e tempo que um gajo demora a crackar uma hash MD5 dessas sinceramente.

De qq das maneiras por politica de segurança pessoal toda a gente deveria mudar a pass de x em quando n?

O mundo seria tao simples como no filme Hackers com as passes God money sex :D
Tás a falar do filme do kevin mitnick?
Esse gajo é um deus!

Tás a falar do filme do kevin mitnick?
Esse gajo é um deus!

Pode ser tudo menos um hacker...

Nopes ele ta a falar do primeiro filme Hackers! esse do Kevin e o segundo e sinceramente sao os dois "uma beca" po fantasiados.

Maybe, maybe...
Mas lá que ele lixou o sistema ao chinoca com algumas ferramentas que hoje em dia até uma criança encontra na net...É um facto!
Foi o inicio da era "hacker"...

E Gajas? Que tal falar de Gajas?


Têm aqui bons exemplos! :D

http://www.techzonept.com/forumdisplay.php?f=56

Mas lá que ele lixou o sistema ao chinoca com algumas ferramentas que hoje em dia até uma criança encontra na net...É um facto!
Foi o inicio da era "hacker"...

De certeza que não estás a falar do Kevin Mitnik...
Ele foi muita coisa, mas nunca o hacker...
Podes dizer que entrou em muitos sistemas "seguros", mas nunca usando ferramentas informáticas...

Não, não estava a falar de maneira nehuma do filme do Mitnick. Mas do filme com a Angelina Jolie "Hackers" ( o 1º).

E também não me parece que o Mitnick se encaixe a 100% na definição de hacker informático, basta ler o livro "The art of deception"

Desculpem lá estar a voltar atrás na discussão mas em php não é possível gerar uma nova seed para o md5. Não sei se isso é feito quando se instala o php na máquina...


string md5 ( string str [, bool raw_output])

Mitnick era de facto um hacker, mas um hacker social..... e o mais proximo que temos do gajo são aqueles reporteres de TV k só ainda não perguntam ktas folhas de papel usa para limpar o rabo, pk ainda não se lembraram.....

De certeza que não estás a falar do Kevin Mitnik...
Ele foi muita coisa, mas nunca o hacker...
Podes dizer que entrou em muitos sistemas "seguros", mas nunca usando ferramentas informáticas...

Difusão de um fenomeno designado como Social Engineering .....

Só uma coisinha!

Não são permutações de 70, 8 a 8, mas sim arranjos com repetição de 70, 8 a 8,

ou seja, 70^8, e não 70! - 62!.

:x2:

Permutas ... o meu portugues pode estar meio marado e me ter explicado mal mas ....

Maybe, maybe...
Mas lá que ele lixou o sistema ao chinoca com algumas ferramentas que hoje em dia até uma criança encontra na net...É um facto!
Foi o inicio da era "hacker"...

Inicio da era Hacker?? pode ter sido mta coisa mas nao foi o inicio de certeza........

Talvez seja um dos acontecimentos(a prisao do Kevin) q chamou mais a atenção ao fenomeno mas nao inicio nada....

Neste momento só me interessa uma coisa.... é seguro fazer compras online no site da aquapc e da chiptec?

Neste momento só me interessa uma coisa.... é seguro fazer compras online no site da aquapc e da chiptec?

No da AquaPC o site é diferenciado do forum .. portanto deverá ser

Um pouco depois do tempo... :zzz

Tal como o Alph diz para uma pass de 8 caracteres com 70 caracteres diferentes as combinações possiveis são 70^8, já que numa password os caracteres não têm que ser todos diferentes.

Quanto à diferença entre n! o kanguru tem razão. (acho eu :D)
Pela calculadora do windows:
70!=1,198...e+100
62!=3,147...e+85

"70!-62!" > 70!/62! > 70*69*...*63*62 = 3,8...e^14

Neste momento só me interessa uma coisa.... é seguro fazer compras online no site da aquapc e da chiptec?
É uma pergunta a fazer aos admins do site.

Mas ja sei que foi um script exploit (kiddie script - 99% de ser um wannabe).
Já sei que foi um brazuca...

Eu exigia uma resposta dos admins dos sites em questão.

Só eles sabem que resposta deram ao ataque. E convem que tenha sido alguma, competente.

Um pouco depois do tempo... :zzz

Tal como o Alph diz para uma pass de 8 caracteres com 70 caracteres diferentes as combinações possiveis são 70^8, já que numa password os caracteres não têm que ser todos diferentes.

Quanto à diferença entre n! o kanguru tem razão. (acho eu :D)
Pela calculadora do windows:
70!=1,198...e+100
62!=3,147...e+85

"70!-62!" > 70!/62! > 70*69*...*63*62 = 3,8...e^14


Deduzo então que já tenhas ouvido falar de Permutas com Repetição ?

Não querendo ser mesmo nada chato, e não tendo absolutamente nada contra ti nem duvidar das tuas capacidades linguísticas, existem Permutações, Arranjos com Repetição e Arranjos sem Repetição - que são 3 modalidades diferentes do Cálculo Combinatório.

CONVERSA DE BEADOS: é a mesma coisa, só k permutas dizia-se antigamente, agora é mais fino, permutações....

Cool.




És mesmo velhinho Swimmer. :D

Eu tou velho...xeio de reumatico...mas o Trystan é pior k eu :P

Eu tou velho...xeio de reumatico...mas o Trystan é pior k eu :P

Exactamente por causa do Reumático e de ser mto velho este é o ultimo post que faço ....

Abraço e fiquem bem ... Gostei do tempo que passei na Techzone e vou ter saudades ....

Pessoal, apesar de estar muito ligado à informática, tanto em termos profissionais, como estudantis, não percebo muita da terminologia por vós utilizada, tipo: Hash, MD5, etc etc etc, por isso gostaria de propor que alguma mente mais iluminada, fizesse um mini-dicionário com estas palavras todas e se possível até mesmo uma pequena introdução ao tema em questão, explicitando os conceitos mais importantes...

Alguem de vocês alinha ? ;)

Cumps

Exactamente por causa do Reumático e de ser mto velho este é o ultimo post que faço ....

Abraço e fiquem bem ... Gostei do tempo que passei na Techzone e vou ter saudades ....

Então men?! K se passa!?

Exactamente por causa do Reumático e de ser mto velho este é o ultimo post que faço ....

Abraço e fiquem bem ... Gostei do tempo que passei na Techzone e vou ter saudades ....

Se ficaste, de alguma maneira, ofendido com o meu post não era esse o objectivo, longe disso. Mesmo a maneira do Swimmer falar foi na brincadeira...

Exactamente por causa do Reumático e de ser mto velho este é o ultimo post que faço ....

Abraço e fiquem bem ... Gostei do tempo que passei na Techzone e vou ter saudades ....

Reacção desnecessário e pouco típica de alguem "mto velho"....ain' it?:x2:

Isto é pra ser levado na descontra..quase de certeza q és mais velho q o swimer e q a maioria aqui, logo tem alguma lógica q te considerem mto velho tendo em conta a quem disse isso n?

[]z

O que não falta por aí é gente a ir e voltar. É como o mar..(ui que poético).:cool:

CAGÃO...fazes-me lembrar o mar....

































....ENJOAS :P

PS: Deduzo entao que usar a mm pass pa tudo na vida n seja boa politica?! LOL ;)

Se o site tiver a mínima qualidade não há prob nenhum.

Neste momento só me interessa uma coisa.... é seguro fazer compras online no site da aquapc e da chiptec?

A loja online AquaPC não tem absolutamente nada a ver com o forum. Não partilham a mesma base de dados, nem sequer conta de alojamento, é totalmente à parte. Por isso, sim, é absolutamente seguro fazer compras através do site AquaPC.net.

Quanto ao forum... axo que se esta a fazer uma tempestade num copo de agua. Estamos a falar de um exploit o qual pode ser usado por qualquer besta (sim, aqueles gajos que passam a vida à frente de um monitorzinho, que possuem um musculo do braço direito extraordinariamente desenvolvido (vá-se lá saber porquê) e cuja coisa mais maluca que fizeram foi responder torto num forum) que se autodenomine, indevidamente, de hacker. Como já foi discutido aqui, as passes no phpBB estão encriptadas através do MD5, pelo que muito dificilmente serão desencriptadas (presumindo que aquele bixo brazuca, possui a base de dados e sabe como a usar).

Quanto à ultima resposta do Tafinho, eu julgo que nem é questão do site estar bem construido ou não, a partir do momento que se sabe a password na sua forma pura, qualquer um faz o login.... há que não esquecer que alguns casos de uso indevido de contas alheias são devido a falta de precaução por parte do utilizador, em guardar as suas passwords em local seguro, e não por falha do site.

hummmm entao mas eu kd digo usar a mm pass pa tudo e pa tudo mm, n é so pa um site :rolleyes: mas de facto, o SAM file e uma coisa que é facilmente crackada com um bruteforce sabendo as hash's claro senao perde-se dias pa tentar crackar:(eu ja consegui a password de administrador de rede do meu work e de facto n m intitulo um hacker ate porque a unica coisa que fiz foi googlar, por isso, tambem concordo que se esteja a fazer uma tempestade num copo de agua, concerteza googlando por um pouquinho se acham millions of exploits para furar phpbb ou outra coisa qualquer :)

Nao estou de facto minimamente preocupado, apenas queria era uma opinião, se sim ou nao se deve usar a mesma password para tudo:P e que a minha cabeça ja n guarda passwords aos molhes! Na altura guardava nums de tlf e tlm e agora n se desaprende dessa mania:P LOL
Já agora quanto as passwords, se esta tiver digamos.. 9 ou 10 caracters acham que mesmo assim é necessario usar caracteres numericos?

Abraço

PS: desculpem a extensao do post, MAIS UM DIA DE TRABALHO a começar e o forum a dar pica pa arrancar! O que vale é que hoje é sexta-feira :D

SAM = L0phtcrack 5 ... mto má ideia !!!!

Basta terem uma password fraca que podem fazer o reverse lookup do md5.

http://md5.crysm.net/

Eles têm 43,843,070 hashes em base de dados por isso é bastante provável que, uma vez que a maioria do pessoal não tem passwords fortes, existam muitas que estejam aí.

...de certeza que a minha não está.

Epah e acho que têm que acontecer cenas destas para a malta aprender que as coisas não podem ser feitas ao pontapé e que têm que gastar dinheiro com pessoas que sabem fazer as coisas como deve de ser.


Há uns tempos o site da chiptec não estava protegido contra injecções de sql, se metessem o username: ' or 1=1 # entravam no painel de administração.

É a vida. Quem anda à chuva molha-se.

Basta terem uma password fraca que podem fazer o reverse lookup do md5.

http://md5.crysm.net/

Eles têm 43,843,070 hashes em base de dados por isso é bastante provável que, uma vez que a maioria do pessoal não tem passwords fortes, existam muitas que estejam aí.

...de certeza que a minha não está.

Se e só se o site foi terrivelmente mal feito...
Mais uma vez, se for usada uma seed, não têm nada a temer...

Basta terem uma password fraca que podem fazer o reverse lookup do md5.

http://md5.crysm.net/

Eles têm 43,843,070 hashes em base de dados por isso é bastante provável que, uma vez que a maioria do pessoal não tem passwords fortes, existam muitas que estejam aí.

...de certeza que a minha não está.

Isso ... agora vai lá tudo ver a hash das suas passwords, e contribuir para o aumento da BD deles :D

LOL resultou em 20min saquei a pass:)

Se é má ideia ou nao nao sei mas que funcionou lá isso sim:P

Mas já agora, e querendo passar uma beca para alem do utilizador newbie que se limita a pesquizar, porque dizes que é má ideia? Aquilo resultou bastante bem até.

Abraço

Como administrador de Sistemas e de Segurança .... o facto de haver um software que consegue ir buscar a informação da SAM se o PDC ou o DC da rede não tiver sido "convienente" adulterado é um bocado freeky .. no entanto é bom e é util mas não deixa de ser perigoso .. entende que o meu má ideia não se deve ao software ser mau mas sim ás possibilidades que ele abre.

y ao bootcd tira a pass mas e so do pc local! se tiveres a funcionar num dominio mais vale estar quieto!

Ja agora alguma vez pensaste q se nao te deram a pass de administração e pk n querem q tu a tenhas? :wow:

erd commander 2003 .. nos verdes pastos da mula :D

da pa mudar pass de qq user incluindo administrator...

mt porreiro :)

[]

erd commander 2003 .. nos verdes pastos da mula :D

da pa mudar pass de qq user incluindo administrator...

mt porreiro :)

[]

Por acaso o que te estas a referir é ao software da Winternals e dentro do Software da Winternals ao Boot CD que tem o Locksmith. E sim é um excelente software mas para muito mais do que apenas isso, outra opção é o Hiren´s Boot CD 6.

lol.. pois simplesmente sai do dominio:P e uma beka parvo eu sei.. mas ouve n e preciso tb ficares assim porque eu estou a falar mas nao me interesso minimamente por isso entendes? so estou a dizer por dizer lol ..n sou hackaru, tenhu net a 8 anos e nk liguei a essas tretas lol.. tb n vai ser agora :)

A questao n e essa e o facto de as pass de admin existirem por um motivo!
Se n e suposto teres direito a isso ent n tens! dps os admins e q tem a trabalheira de resolver a M#&$#@ q alguns users criam nos pcs!

Com isto n tou a dizer q esses progs n sao uteis. Ate o sao mas quando usados devidamente e nas situações correctas

o ataque da aquapc foi feito por um animal diferente do que atacou a chiptec