パスワードは暗号化されてません^^
937 :It's@名無しさん:2011/05/01(日) 22:41:03.14
http://game.watch.impress.co.jp/docs/news/20110501_443967.html
>正常なトランザクション処理を装いコマンドを仕込んだデータをサーバーに侵入
OSコマンド・インジェクションか、SQLインジェクションかは分からんけども、基本的な手口過ぎてワロタ
ファイヤーウォールの問題じゃないと言ってるけど、WAF入ってたなら防げた可能性高いから
>アプリケーションサーバーの脆弱性については既知のもの
既知の脆弱性なんて、Metasploitあたりが対応してるか、exploitコードがexploit-dbあたりで公開されてるなら、
本場のハッカーじゃなくても、ティーンエイジャーのスクリプトキディでもクラックできる罠
共有知にすべきなのに、この機に及んで詳細を隠そうとしてるけど、無駄だから
OSの種類を知ることも、アプリケーションの種類を知ることも、外部から容易にできるわけで
ほんと技術力ないよなぁ
http://game.watch.impress.co.jp/docs/news/20110501_443967.html
>正常なトランザクション処理を装いコマンドを仕込んだデータをサーバーに侵入
OSコマンド・インジェクションか、SQLインジェクションかは分からんけども、基本的な手口過ぎてワロタ
ファイヤーウォールの問題じゃないと言ってるけど、WAF入ってたなら防げた可能性高いから
>アプリケーションサーバーの脆弱性については既知のもの
既知の脆弱性なんて、Metasploitあたりが対応してるか、exploitコードがexploit-dbあたりで公開されてるなら、
本場のハッカーじゃなくても、ティーンエイジャーのスクリプトキディでもクラックできる罠
共有知にすべきなのに、この機に及んで詳細を隠そうとしてるけど、無駄だから
OSの種類を知ることも、アプリケーションの種類を知ることも、外部から容易にできるわけで
ほんと技術力ないよなぁ
>>120
つまりトリップと同様にパスワードも腐るほど割られるってことか
つまりトリップと同様にパスワードも腐るほど割られるってことか
無料のレインボーテーブル
http://www.freerainbowtables.com/en/tables/
MD5なら英数空白8文字以下・小文字英語10文字以下なら誰でも簡単に割ることができる
SHA1なら英数7文字以下・小文字英数空白8文字以下・小文字英語空白9文字以下なら誰でも簡単に割ることができる
「SHA-1+salt」はパスワードに十分だと思いますか?
http://blog.f-secure.jp/archives/50564743.html
salt付きでも危ないという話
>単一のATI HD 5970でさえ、攻撃者は33日で典型的レインボーテーブル(2^52.5ハッシュ)に相当するパスワードスペースをカバーすることができる、ということを意味している。
>そしてシリアスな攻撃者が、仕事に複数のカードを使用していることは間違いない。
http://www.freerainbowtables.com/en/tables/
MD5なら英数空白8文字以下・小文字英語10文字以下なら誰でも簡単に割ることができる
SHA1なら英数7文字以下・小文字英数空白8文字以下・小文字英語空白9文字以下なら誰でも簡単に割ることができる
「SHA-1+salt」はパスワードに十分だと思いますか?
http://blog.f-secure.jp/archives/50564743.html
salt付きでも危ないという話
>単一のATI HD 5970でさえ、攻撃者は33日で典型的レインボーテーブル(2^52.5ハッシュ)に相当するパスワードスペースをカバーすることができる、ということを意味している。
>そしてシリアスな攻撃者が、仕事に複数のカードを使用していることは間違いない。
125 :名無しさん必死だな:2011/05/02(月) 05:49:40.68 ID:FMOt94Sv0
でもたしかMD5のハッシュ変換アルゴリズムって、2-3年ぐらい前に脆弱性が指摘されてたよね?
なにか簡単に戻せるとかどうとか・・・
なにか簡単に戻せるとかどうとか・・・
126 :名無しさん必死だな:2011/05/02(月) 05:50:14.01 ID:FMOt94Sv0
あ、すぐ上に書いてあってワロタ
これなのか?
これなのか?
ハッシュ化で問題ないという奴は
SONYに成り代わって、安全性を喧伝すればいい
そして、ハッシュ化でもパスワード変更などを求めるSONYを徹底的に糾弾するべき
SONYに成り代わって、安全性を喧伝すればいい
そして、ハッシュ化でもパスワード変更などを求めるSONYを徹底的に糾弾するべき
ハッシュ化したあとに、さらに暗号化したなら?
129 :名無しさん必死だな:2011/05/02(月) 06:27:54.22 ID:n8P33evv0
パスワードがハッシュ化されていればサーバー上にあるうちは、ほぼ安全。
問題はハッシュ化されたパスワードがクラッカーの手に渡ってしまったことだ。
生のパスワードが解析されるのは時間の問題。
問題はハッシュ化されたパスワードがクラッカーの手に渡ってしまったことだ。
生のパスワードが解析されるのは時間の問題。
暗号化してたら複合できるだろw
HMAC_SHA1などの鍵付きハッシュを使うべきだし、
ハッシュ化は別のサーバーで行うようして、
アプリケーションサーバーがやられてもハッシュ鍵が漏れないようにするべき。
ハッシュ化は別のサーバーで行うようして、
アプリケーションサーバーがやられてもハッシュ鍵が漏れないようにするべき。
>>100ちょwwwそれ俺レベルw
>>100, >>133
password.txt、いつくか見つかるなw
http://www.google.co.jp/search?hl=ja&lr=lang_ja&safe=off&q=filetype%3Atxt+inurl%3Apassword.txt
それよりconfig.plの方が多いけどもw
http://www.google.co.jp/search?hl=ja&lr=lang_ja&safe=off&q=filetype%3Apl+inurl%3Aconfig.pl+%22%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%22
password.txt、いつくか見つかるなw
http://www.google.co.jp/search?hl=ja&lr=lang_ja&safe=off&q=filetype%3Atxt+inurl%3Apassword.txt
それよりconfig.plの方が多いけどもw
http://www.google.co.jp/search?hl=ja&lr=lang_ja&safe=off&q=filetype%3Apl+inurl%3Aconfig.pl+%22%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%22
setting.plやset.pl、conf.plあたりでもぼちぼち見つかるな。
そんなファイルどころか、メモ書きもするなって言われるでしょ普通w
Perlをテキスト形式で閲覧できるって・・・
どんな鯖設定だよwwww
どんな鯖設定だよwwww
ちなみに.pl→.incにするとphpのが見れる
.co.jpとか.gr.jpとか含まれてるの見るとちょっとゾッとするなw
流石に.go.jpは無いかなと思ったら.confで発見したw
日本のセキュリティ、ザル杉ワロタ、セキュリティの専門家仕事汁www
.co.jpとか.gr.jpとか含まれてるの見るとちょっとゾッとするなw
流石に.go.jpは無いかなと思ったら.confで発見したw
日本のセキュリティ、ザル杉ワロタ、セキュリティの専門家仕事汁www
俺ですら、昔HP作ったときにphp本体は隠したのに・・・
昔、そういうノリで顧客情報閲覧可能にしちゃってgoogleに引っ掛けられたところあったっけw
昔、そういうノリで顧客情報閲覧可能にしちゃってgoogleに引っ掛けられたところあったっけw
あったなwww
商用の場合は有料みたいな配布サイトの
マーケット用phpだったかな
商用の場合は有料みたいな配布サイトの
マーケット用phpだったかな
141 :名無しさん必死だな:2011/05/02(月) 14:20:56.14 ID:2oWiisfVO
個人経営のサイトでも暗号化するよ
さすがに今は問題あるところは少なそうだな。テスト用データっぽいのがチラホラ?
佐藤 鈴木 東京都 神奈川県 "MySQL dump"
佐藤 鈴木 東京都 神奈川県 filetype:bak
佐藤 鈴木 東京都 神奈川県 filetype:db
佐藤 鈴木 東京都 神奈川県 filetype:sql
佐藤 鈴木 東京都 神奈川県 filetype:dat
佐藤 鈴木 東京都 神奈川県 yahoo.co.jp filetype:csv
佐藤 鈴木 東京都 神奈川県 "MySQL dump"
佐藤 鈴木 東京都 神奈川県 filetype:bak
佐藤 鈴木 東京都 神奈川県 filetype:db
佐藤 鈴木 東京都 神奈川県 filetype:sql
佐藤 鈴木 東京都 神奈川県 filetype:dat
佐藤 鈴木 東京都 神奈川県 yahoo.co.jp filetype:csv
143 :名無しさん必死だな:2011/05/02(月) 16:44:55.11 ID:sc2dOmf60
わらえないなソニーのこの有様
専門家がいないから仕方が無い
ハッシュ化して格納してたんなら特に不備はないだろ
おそらく箱Liveだって同じ方式のはずだ
流出してしまったこと自体はもちろん重大な不備だけど
きちんと叩くべきものを理解して叩かないとゴキと同レベルだぞ
おそらく箱Liveだって同じ方式のはずだ
流出してしまったこと自体はもちろん重大な不備だけど
きちんと叩くべきものを理解して叩かないとゴキと同レベルだぞ
147 :名無しさん必死だな:2011/05/02(月) 17:29:45.78 ID:LZpWiKoBO
あーあ
ソニーはゴキブリ100匹飼ってるんだから
セキュリティーのプロを1人は雇うべきだったな
セキュリティーのプロを1人は雇うべきだったな
今回の事件の技術的側面まとめ
・ハードウェアのハイパーバイザーが物理的に安全な仕様ではなかった → 40nsのパルス(!)でファームウェアが吸い出される
・ファームウェア解析の結果、USBドライバにヒープオーバーフローの脆弱性があった → ドングルでの割れが流行る
・詳細不明 → PSNでウォレットが不正利用される
・ファームウェア解析の結果、非対称鍵が正しく使われていなかった → ルートキーが漏れて割れ放題に
・PSNで既知の脆弱性を放置していた → PSNが侵入され、個人情報を盗まれる
・PSNではパスワードの適切な鍵付きハッシュ化をしていなかった → メールアドレスとパスワードもペアで流出
・ハードウェアのハイパーバイザーが物理的に安全な仕様ではなかった → 40nsのパルス(!)でファームウェアが吸い出される
・ファームウェア解析の結果、USBドライバにヒープオーバーフローの脆弱性があった → ドングルでの割れが流行る
・詳細不明 → PSNでウォレットが不正利用される
・ファームウェア解析の結果、非対称鍵が正しく使われていなかった → ルートキーが漏れて割れ放題に
・PSNで既知の脆弱性を放置していた → PSNが侵入され、個人情報を盗まれる
・PSNではパスワードの適切な鍵付きハッシュ化をしていなかった → メールアドレスとパスワードもペアで流出
150 :名無しさん必死だな:2011/05/02(月) 22:24:49.03 ID:FMOt94Sv0
152 :名無しさん必死だな:2011/05/02(月) 23:22:55.47 ID:FMOt94Sv0
でも、日本だと法律も恣意的な運用されるからなあ
鍵の流出の危険性考えたら、まともなセキュリティ体制が築けていない
PSNの場合実は暗号化のほうが危険な気がする。
アタックの必要すらないもの。
PSNの場合実は暗号化のほうが危険な気がする。
アタックの必要すらないもの。
>>132
すげぇ、適当な意味のある言葉を変換してググってみたら・・・
すげぇ、適当な意味のある言葉を変換してググってみたら・・・
米国版プレステサイトに不正コード混入 [2008/07/03]
http://www.itmedia.co.jp/news/articles/0807/03/news033.html
>SQLインジェクション攻撃
>ソニーの米国版プレイステーションサイトがこの攻撃の被害に遭った
>ソニーには通報済みだが、Sophosがこの情報を公開した時点でまだ不正コードは削除されていなかった
88 :名無しさん必死だな:2011/05/03(火) 00:19:42.86 ID:TBu8NTFf0
銀行も損保も即、「ウチはシステム違うから」って言ったからなぁ
苦々しく思ってるだろうねえ、グループ内の仲の悪さでは
http://moneykit.net/visitor/info/info110427_03.html
http://from.sonysonpo.co.jp/topics/information/01_27042011_97873.html
http://www.itmedia.co.jp/news/articles/0807/03/news033.html
>SQLインジェクション攻撃
>ソニーの米国版プレイステーションサイトがこの攻撃の被害に遭った
>ソニーには通報済みだが、Sophosがこの情報を公開した時点でまだ不正コードは削除されていなかった
88 :名無しさん必死だな:2011/05/03(火) 00:19:42.86 ID:TBu8NTFf0
銀行も損保も即、「ウチはシステム違うから」って言ったからなぁ
苦々しく思ってるだろうねえ、グループ内の仲の悪さでは
http://moneykit.net/visitor/info/info110427_03.html
http://from.sonysonpo.co.jp/topics/information/01_27042011_97873.html
ソニー、また情報流出か 米子会社でカード1万件超 [2011/05/03]
http://hatsukari.2ch.net/test/read.cgi/news/1304359127/
>攻撃を受けたのは、米国カリフォルニア州にあるゲーム配信子会社ソニー・オンライン・エンタテインメント。
>関係者によると、米国時間1日午後にシステムの異常を発見。世界で1万2700件余りのカード情報が
>流出した可能性があることがわかった。
-
>今回判明した1万2700件のうち、約4300件が日本国内のカード情報という。流出した恐れのあるカード情報は
>2007年のもので多くが失効しているとみられるが、一部では有効期限内のカード情報もあるもようだ。
http://hatsukari.2ch.net/test/read.cgi/news/1304359127/
>攻撃を受けたのは、米国カリフォルニア州にあるゲーム配信子会社ソニー・オンライン・エンタテインメント。
>関係者によると、米国時間1日午後にシステムの異常を発見。世界で1万2700件余りのカード情報が
>流出した可能性があることがわかった。
-
>今回判明した1万2700件のうち、約4300件が日本国内のカード情報という。流出した恐れのあるカード情報は
>2007年のもので多くが失効しているとみられるが、一部では有効期限内のカード情報もあるもようだ。
159 :名無しさん必死だな:2011/05/03(火) 15:13:34.17 ID:zrMMOHjF0
すげえ規模になってきた
チカニシ乙!
俺のHPの掲示板でさえ、passは暗号化して記録してるというのに!
俺のHPの掲示板でさえ、passは暗号化して記録してるというのに!
とどのつまり、個人サイト以下のセキュリティ、と
大企業病ってやつですな
ソニーが個人情報大量流出事件で抱え込んだ
ビジネスリスクの正体と信頼回復までの長い道のり
http://diamond.jp/articles/-/12148
>今回の事件が発生した背景として、ソニーの組織的な体質を挙げる人もいる。
>「硬直化した組織、縦割り行政の弊害が最悪の形で露呈した結果。情報開示の遅さ・ヘタさ、まるで東電を見るようです」というが、
>筆者から言わせれば組織が硬直化してない大企業など業界内に皆無に等しい。
ソニーが個人情報大量流出事件で抱え込んだ
ビジネスリスクの正体と信頼回復までの長い道のり
http://diamond.jp/articles/-/12148
>今回の事件が発生した背景として、ソニーの組織的な体質を挙げる人もいる。
>「硬直化した組織、縦割り行政の弊害が最悪の形で露呈した結果。情報開示の遅さ・ヘタさ、まるで東電を見るようです」というが、
>筆者から言わせれば組織が硬直化してない大企業など業界内に皆無に等しい。
MicrosoftとJuniper、IPv6 RA DoSの脆弱性を放置プレイ
http://yebo-blog.blogspot.com/2011/05/microsoftjuniperipv6-ra-dos.html
>Marc Heuse氏は2010年7月に多くの実装にこのDoS問題が潜んでいる事を明らかにしており、Ciscoは2010年10月に修正し、Linuxカーネルも修正済みである。
>ところが、MicrosoftとJuniperは脆弱性を認識しているが、修正は行われていないことが問題として取り上げられている[networkworld]。
http://yebo-blog.blogspot.com/2011/05/microsoftjuniperipv6-ra-dos.html
>Marc Heuse氏は2010年7月に多くの実装にこのDoS問題が潜んでいる事を明らかにしており、Ciscoは2010年10月に修正し、Linuxカーネルも修正済みである。
>ところが、MicrosoftとJuniperは脆弱性を認識しているが、修正は行われていないことが問題として取り上げられている[networkworld]。
ソニー、利用者全員の流出を確認 プレステネット7700万人
http://sankei.jp.msn.com/economy/news/110505/biz11050508310000-n1.htm
>同社が世界の利用者約7700万人全員について、何らかの個人情報の流出を確認していたことが4日、分かった。
http://sankei.jp.msn.com/economy/news/110505/biz11050508310000-n1.htm
>同社が世界の利用者約7700万人全員について、何らかの個人情報の流出を確認していたことが4日、分かった。
>>139でふと口にした事がマジで起ったでござるの巻
おい平井、お前生命保険いくらのに入ってるんだ?
数字とアルファベット混ぜろと要求してくる糞仕様でありながらパスワードは暗号化していなかったと・・・
169 :名無しさん必死だな:2011/05/09(月) 14:53:23.17 ID:2bC6T2qF0
ワロタ
終わったなソニーw
終わったなソニーw
ソニーは醜い。
>>168
糞仕様www親切設計だろ
糞仕様www親切設計だろ