kaniagostyn *UKS Kania Gostyń

Hasla. Ja na ten przykład na swojej uczelni wszedłem po autouzupełnieniu na konto czołowego gracza piłki i makao zarazem. Oczywiście nie grałem na nim ale człowiek musi wiedzieć, że grożą poważne konsekwencje za pozostawienie nicku bez wylogowywania się. (Już nie wspomne o możliwościach łamania haseł na gg, jeśli użytkownik całkowicie nie usunie swojego profilu z kompa).

Z innej beczki. Na Cronixie ktoś ukradł login liderowi pokera- miał tam 200 000 000 wirtualnej gotówki. Dodam tylko, iż gracze chcący szybciej się wzbogacić sprzedają kody aktywujące i karty do telefonów (POP, Simplus itd). Doładowanie np Tak-Tak 20 kosztuje (zależnie od ugadania) 800 000. Tak więc owy gracz, któremu ukradziono login, za wirtualna gotówkę z tego konta mógłby kupić około 250 takich doładowań co daję kwote 5 tysięcy złotych (o ile dobrze policzyłem). Pisząc o tej historii chciałbym tylko podkreślić konsekwencje związane z łamaniem haseł nie tylko na kurniku.

A co do debaty Win vs Linux i osoby Soula to wystarczy spojrzeć na jego nowy avatar, ażeby wiedzieć po której stronie się opowie
Nie podoba mi sie ten pkt regulaminu. ale jak można nick ukraśc Wg mnie nie ma programu do łamania haseł na kurniku. Albo masz łatwe hasło które ktoś odgadł albo dałeś hasło do nicka w jakimś celu(np. nabicie ranku). Mi jeszcze jakoś nikt nicka nie ukradł(może dlatego że jestem słaby ). Dla mnie ten pkt. jest dobry, najlepiej się zabezpieczyć i mieć 2 nick z innym hasłem
Nie podoba mi sie ten pkt regulaminu.

admin nie ma możliwości dostępu do takiego programu gdyż nie jest on zamieszczany na serwerze kurnika ale na jakiś innym i bajek nie opowiadaj ;]
Nie ma , ale za to może wprowadzić że za 3 błędnych logowań jest ban na 15 minut (chyba zna na tyle php), wtedy niewarto by było nawet odpalać sofcik do łamania haseł , obecnie jak chcesz złamać hasło ponad 10 literowe na kurniku pozostaje atak DoS lub DDoS
ispell i wygenerowanie wszystkich polskich słów.
  m m napisał(a):
> Podobno mozna za pomocą programu wygenerować plik który będzie zawierał
> wszystkie polskie słowa.
> Jak to zrobić ?

W sumie to nie musisz generować. Takie listy już są, pakiety nazywają
się wpolish, wngerman, wamerican, wbritish...

A jak nie to lista słów do wpolish, ispell, aspell, myspell pochodzi ze
strony http://www.kurnik.pl/slownik/

Tak z ciekawości, to do czego Ci to potrzebne? Do łamania haseł? ;)

--
Grzegorz Żur

Przejmowanie kont na qrniq. Wszystko się zgadza bazz, nie ma sensu przejmować haseł, czyli kont, bo i tak nie daje to żadnych uprawnień na serwerze. Jakbyś czytał uważnie, to byś chyba zrozumiał, że właśnie przejmowanie kont uważam ze durne zajęcie, ale taki akurat jest temat. Poczta też raczej jest bezpieczna, więc na chama to głupio, wszystko się zgadza.

Ale np. na serwerach home banking taki numer nie może się udać w ogóle, bo byłoby to niezgodne z ust. o bankowości elektronicznej w zwązku z niedołożeniem starań o zabezpieczenie danych osobowych.

Jeśli z Tobą "polemizuję", to tylko na jeden temat: Ja włam na kurnik jakiegokolwiek typu uważam za bezsens a Ty nie. I kropka. Różni nas podejście do netu; ja nie mam mentalności hackera, i po prostu nie kręci mnie grzebanie w istniejących rzeczach tylko tworzenie nowych rzeczy. Wcale przy tym nie twierdzę, że grzebanie nie jest pożyteczne albo generalnie nieciakawe. Po prostu nie dla mnie.

Mnie w ogóle nie interesują włamy będące skutkiem błędu w budowie systemu. Za to bardzo mnie interesuje łamanie systemów kryptograficznych, bo tego typu działania nie wskazują na niedopatrzenie czy luka w systemie tylko na jego fundamentalną słabość. A że czasami ułatwia to włamy to już inna sprawa.

Mój głos w tym temacie jest następujący:

Uważam, że nie należy bezgranicznie ufać żadnym zabezpieczeniom, ale przejmowanie kont użytkowników kurnika, czy nawet kontroli nad serwerem uważam za nonsens. A na włamach się nie znam, za to na kryptografii się znam.

Jak ktoś chce mnie wspominać w swoich postach, to niech się do tego ustosunkowuje a nie mówi (w moim kierunku), że jest takim skromnym gościem w necie co i tak dużo potrafi (przyjmujemy na wiarę; zna słowa włam, bin, liczbę 3, i wie o uprawnieniach użytkowników) i wielu ludzi zna w środowisku. Lol. (Też mam paru znajomych...)
Hasla. Gratki za sugestie, a tak btw, probowal ktos lamac hasla brute force'm po http na kurniku? Jesli nie, to uwierzcie na slowo ze haslo 6 znakowe bedace losowym ciagiem znakow jest w praktyce nielamalne
Nie podoba mi sie ten pkt regulaminu.
ale jak można nick ukraśc Wg mnie nie ma programu do łamania haseł na kurniku. Albo masz łatwe hasło które ktoś odgadł albo dałeś hasło do nicka w jakimś celu(np. nabicie ranku). Mi jeszcze jakoś nikt nicka nie ukradł(może dlatego że jestem słaby ). Dla mnie ten pkt. jest dobry, najlepiej się zabezpieczyć i mieć 2 nick z innym hasłem



No nie wiem Zdezorientowany nie usmiecha mi sie to nie mowie dokladnie w swoim imieniu ale ogolnie wszystkich klanow ! To jest troche smieszne nikt nie odpowiada za to ze mu nicki ukradna wiec tak nie powinno byc ;/

Jezeli jest jakis hacker dobry to niech ukradnie nicki: Sk8, MC, Morfowi, Wapnowi, Ubbowi i systkim dobrym ciekawe co zrobia jak nie beda mogli grac na klanowkach.

Sk8 zastanow sie troche nikt nie odpowiada za to ze mu nick ukradna i nie powinno byc tak ze gracz ktoremu ukradna nie moze grac dalej

obaj jesteście w błędzie

ale pokolei

jeśli nick zostanie zablokowany jest to wina właściela, pek nie ponosi odpowiedzialności za blędy właściela (wulgaryzmy & dirty tricks) moze będzie to odpowiednia kara aby więcej tak nie robić

jeśli ktoś ukradnie nick to

1 zostało podane komuś hasło (wina użytkownika)

2 hasła typu nick marcin hasło marcin18 etc (wina użytkownika)

3 haslo typu 1-3 znaki proste do odgadnięcia (wina użytkownika)

istnieją prorgamy do łamania haseł, myśle że napisałbym takowy ale nie byłby on wydajny (długo by szukał )

wydajny program dobre hasło będzie sprawdzał około roku

jak jest recepta na dobre hasło?

bierzesz zdanie złozone które pamiętasz zawsze, może to być wers wiersza bądź jakiejś piosenki

np

dzieci wesoło wybiegły ze szkoły zapaliły papierosy wyciągnęły flaszki/fajki (nie wiem ;p)

każdy to zna a jak nie to napewno znasz coś innego

budujesz z tego hasło

dzieci wesoło wybiegły ze szkoły zapaliły papierosy wyciągnęły flaszki

dwwzszpwf

o to hasło dla niekumatych pierwsze litery każdego słowa banalne dla Ciebie nie dozgadnięcia dla kogoś

unikałbym haseł w ktorych istnieje wyraz słownikowy np hasło samochód akwarysta istnieją programy które sprawdzają tylko hasła słownikowe i te już sprawdzają bardzo szybko

[ Dodano: 2005-09-02, 17:09 ]
Przejmowanie kont na qrniq. Niewiadomo znaczy niewiadomo. Łatwe do złamania nie znaczy, że każdy może, tylko że istnieje algorytm odwracający proces szyfrowania o małej złożoności czasowej, i tego właśnie nie wiadomo, czy istnieje. To znaczy być może jutro ktoś udowodni, że zachodzi P=NP albo rozłoży wielomianowo liczby złożone na czynniki albo znajdzie logarytm dyskretny w czasie wielomianowym i FBI będzie miało poważny kłopot . Kurnika to w ogóle nie dotyczy, bo i tak nie koduje transferu. Nie wiem, czy serwer kurnika jest bezpieczy, wiem natomiast, że procedura autoryzacji nie jest, ponadto ogólne procedury związane z obsługą kont miały furtki, które np. w bankowości elektronicznej od razu się zamyka (teraz, tzn. w ostatnich dniach trochę się pozmieniało ). I tyle. Spróbujesz zrozumieć Ece, że mówię o transferze, a nie o zabezpieczeniach serwera? Np. problem z cookies był zupełnie niezależny od zapezpieczeń serwera na którym stoi kurnik. Po prostu zbyt dużo informacji wyciekało w trakcie normalnego używania serwisu.

Dla konkretnego przykładu; aktualnie, czyli nawet już po zabezpieczeniu dostępu do profilu hasłem, można bez trudu metodą siłową w ciągu kilku minut poznać datę urodzenia i e-mail każdego użytkownika który te dane dostarczył. Nie widać od razu jak te informacje wykorzystać do przejęcia konta, ale świadczy to o niskim poziomie zabezpieczeń.




Nie istnieje 100% pewny system kryptograficzny t.j. każdy można złamać Tak, metoda brute force, czyli "az sie trafi haslo" - na przyklad md5 jeszcze nie slyszalem zeby ktos zaszyfrowane haslo przywrocil do jego pierwotnej wersji inaczej niz przed brute force (m.in. hasla uzytkownikow tego forum sa tym skryptem kodowane, a takze hasla na kurniku).

Chłopcy z agencji rządowych w US też o możliwościach łamania ich systemów dość długo nie słyszeli i używali, jak się potem okazało dość trywialnych do złamania, aż w końcu usłyszeli


Naprawde chcialbym przeczytac jakas merytorycznie ciekawa wypowiedz odnosnie bezpieczenstwa kurnika - jak na razie czytam ze zabezpieczenia sa slabe, jednak nikt nie potrafi wyjasnic dlaczego, nikt z nas nie jest specjalista w tym zakresie. Dodatkowo dziwi mnie, ze skoro te zabezpieczenia sa takie slabe, to ludzie masowo nie przejmuja kont innym, nie ustawiaja sobie super rankingu, czy po prostu nie niszcza serwera. Tym bardziej, ze grupy zajmujace sie hackingiem bardzo chetnie takie dziury wylapuja i chwala sie tym na swoich stronach, pierw piszac do wlasciciela serwera, by ten problem poprawil.

Wypowiedzi są merytoryczne lub ciekawe. Wypowiedzi nt. możliwości łamania zabezpieczeń serwerów są dość nieciekawe, a merytoryczne lepiej, żeby nie były
Po co mieliby przejmować konta, szczególnie masowo? To paranoja przecież! W niektórych krajach nawet drzwi się nie zamyka na klucz. Po co też mieliby niszczyć serwer? To przecież fajny serwer jest. W końcu gdyby ktoś się pochwalił, że złamał zabezpieczenia na kurniku to środowisko dostałoby ataku śmiechu.

Kurnik jest jak miejsce spotkań grupy ludzi np. w parku. Można by park ogrodzić murem z drutem kolczastym, żeby ochronić się przed atakiem bojówkarzy jakiś, ale po co; park fajniej wygląda bez muru, a bojówkarze i tak nie interesują się parkiem.

P.S. Kiedyś wykombinowałem (i zastosowałem hehe, operatorzy sieci zorientowali się dopiero po paru dniach...) jeden taki debilny z pozoru trick, dzięki któremu można przejmować hasła w nawet bardzo dobrze zabezpieczonym systemie. Nadawałoby się do filmów, w których się coś tam robi z hasłami, ale nigdy się nie pojawił i mam podejrzenie, że to dlatego, że w US jest "cenzura kryptograficzna", bo w ogóle są oni uczuleni na łamanie i szyfrowanie (też kiedyś "nie słyszeli", Ece); zdaje się aktualnie w Ameryce używanie "własnych" systemów kryptograficznych jest nielegalne, jako też publikowanie prac na temat możliwości łamania systemów kryptograficznych w ogóle (bez uprzedniego wglądu NSA).
Renju EL. Wolne (a jednocześnie szybkie ) tłumaczenie maila, który Ales wysłał do kapitanów EL:

Drodzy gracze,

Jesteśmy bardzo zadowoleni mogąc poinformować, iż przygotowany został nowy sezon Euroligi. Są pewne zmiany.

Zamiast gry w systemie dwugrupowym w Eurolidze Gomoku (GEL) przygotowaliśmy Euroligę Renju (REL).

Głównym celem REL (tak samo jak GEL) jest połączenie wszystkich graczy renju i znalezienie nowych graczy renju.
Najlepsi gracze z całej Europy obiecali zagrać w naszej REL.

W tym momencie chcielibyśmy przekazać Wam bardzo ważne informacje.

1. Jest konieczne dołączenie Twojej drużyny w nowym sezonie.
Kapitan musi kliknąć na „My team”, a później „Edit team” i wówczas zaznaczyć pole. Wtedy SAVE.

2. Nieco zmieniliśmy zasady. Jak wiecie, byliśmy zmuszeni zmieniać zasady w trakcie obu sezonów EL.
Mamy nadzieję, że znaleźliśmy główne wady w naszych zasadach. Wysyłam Wam zasady tym mailem [tłumaczenie w kolejnym poście – przyp. Angst]
Przeczytajcie proszę zasady i jeżeli macie jakieś pomysły jak je zmienić, odpowiedzcie nam.

3. Nie zapomnijcie wpisać PRAWDZIWEGO nazwiska, adresu e-mail w Waszym profilu.
Obiecujemy, że skasujemy wszystkie próby łamania reguł.

4. Nick z Kurnika musi być zapisany przed EL. Jeśli zamierzacie zmienić Wasz nick, musicie opuścić drużynę, żeby zmienić nick i wtedy dołączyć do innej drużyny, zgodnie z zasadami. Jeżeli będziecie próbować złamać zasady i zagrać mecz innym nickiem z Kurnika, wasze punkty nie będą liczone, będziecie wyrzuceni z EL i drużyna będzie ukarana.

5. Kapitanowie muszą proponować datę meczu na forum jak ostatnio, ale teraz muszą robić to jednocześnie w MATCH DATE.
Nie zapomnijcie. Jest to ważne również przy wypełnianiu wyników. Jeżeli nie potwierdzicie rezultatów, te wyniki nie będą uwzględnione w statystykach.

6. GEL startuje 6 listopada (poniedziałek), REL startuje 13 listopada.
Proszę, zarejestrujcie Wasze drużyny przed 2 listopada (GEL) i 9 listopada (REL).

7. Drużyny, które będą miały 3 lub mniej graczy i drużyny nie zarejestrowane będą skasowane z EL po jej rozpoczęciu.

8. Kapitanowie są odpowiedzialni za drużyny. Jeżeli gracz drużyny wypełni nieprawdziwe informacje personalne, będzie od razu skasowany. Sprawdzimy wszystkie nazwiska przed 2. i 9. listopada i tacy gracze (np. AAA, AAA) będą skasowani.

9. Rejestracja dla REL będzie działać od poniedziałku 30 października. Wszystkie konta z GEL będą skopiowane do REL, gracze którzy zarejestrowali się w GEL mogą używać tego samego nicka i hasła zarówno w GEL, jak i w REL.
Po 30 października możecie zarejestrować się w REL, Wasze konto będzie skopiowane również do GEL.
Bądźcie ostrożni. Jeżeli jesteś członkiem jakiejkolwiek drużyny GEL, w REL jesteś od początku wolnym graczem.
Jeśli zamierzasz być kapitanem w REL, musisz stworzyć własną drużynę. Nie ma znaczenia, czy jesteś kapitanem w GEL.

10. Zaproponujcie proszę 9 członków do Rady GEL i 9 członków do Rady REL. Jeżeli nie, członkowie będą wybrani przez administratorów EL.

www.euroleague.cz
Euroliga Renju działa od 30 października.

Mamy nadzieję, że dużo graczy dołączy ponownie do EL i rozegramy dużo dobrych gier.

Administratorzy Euroligi
Ales Rybka i Pavel Rezny, Czechy

Pozdrawiam

Angst