spjallid.is

CendenZ skrifaði:

Garri skrifaði:Mundi nú halda að það væri betra að búa til sitt eigið dulkóð en að nota frá þriðja aðila. Hakkerar safna saman dulkóðunar-aðferðum frá þriðja aðila.. en hafa enga leið að þínum eigin aðferðum. Er sjálfur hugbúnaðarmaður og smíða m.a. þjöppunarkóða svo ég ræð ágætlega við þetta verkefni sjálfur, en það gera ekki margir venjulegir notendur, vissulega.

Það er einmitt þessi hugsunarháttur sem klikkar. "Ég kann þetta miklu miklu betur en allir aðrir, ég einn geri betur en þúsundir aðrir"

Hvað ætli margir stefnumótunarfundir hjá tölvudeild vódafóns hafi farið í að éta kökur og hrósa sjálfum sér fyrir æðislegan kóða. Þetta er best að gera allt sjálfur, Ísland: best í heimi

Vááá...

Og þá er bara best að hafa þetta ódulkóðað, ekki satt?

Það sem ég segi.

Ég væri alveg til í að sjá blaðamenn fara að spyrja Vigdísi og Gunnar Birgi út í þennan leynifund sem þau tala um í sms-unum.

Örugglega eitthvað fleira þarna inni sem er mjög viðkvæmt

hannesstef skrifaði:Ég væri alveg til í að sjá blaðamenn fara að spyrja Vigdísi og Gunnar Birgi út í þennan leynifund sem þau tala um í sms-unum.

Örugglega eitthvað fleira þarna inni sem er mjög viðkvæmt

Það eina góða sem að gæti komið út úr þessum leka er að spillinginn á Íslandi kemur upp á yfirborðið.

Garri skrifaði:Mundi nú halda að það væri betra að búa til sitt eigið dulkóð en að nota frá þriðja aðila. Hakkerar safna saman dulkóðunar-aðferðum frá þriðja aðila.. en hafa enga leið að þínum eigin aðferðum. Er sjálfur hugbúnaðarmaður og smíða m.a. þjöppunarkóða svo ég ræð ágætlega við þetta verkefni sjálfur, en það gera ekki margir venjulegir notendur, vissulega.

Og svo.. auðvitað er flækjustig slíks kóða ekki á við öflugustu algrím sem til eru hvað þetta varðar, enda ekki tilgangurinn.

Nei, og aftur nei. allir helstu sérfræðingar eru sammála um öryggi dulkódunar algorithma er best þar sem farið hefur fram víðtæk peer-review og margar endurteknar útektir af sem flestum sérfræðingum. Þá ertu með kerfi þar sem að jafnvel þó þú þekkir aðferðina til hlítar þá er ómögulegt að lesa dulkóðaðan texta. Ég leyfi mér að fullyrða að einhver aðferð sem þú kokar upp stenst ekki samanburð við þær sem koma úr slíku ferli.

codec skrifaði:

Garri skrifaði:Mundi nú halda að það væri betra að búa til sitt eigið dulkóð en að nota frá þriðja aðila. Hakkerar safna saman dulkóðunar-aðferðum frá þriðja aðila.. en hafa enga leið að þínum eigin aðferðum. Er sjálfur hugbúnaðarmaður og smíða m.a. þjöppunarkóða svo ég ræð ágætlega við þetta verkefni sjálfur, en það gera ekki margir venjulegir notendur, vissulega.

Og svo.. auðvitað er flækjustig slíks kóða ekki á við öflugustu algrím sem til eru hvað þetta varðar, enda ekki tilgangurinn.

Nei, og aftur nei. allir helstu sérfræðingar eru sammála um öryggi dulkódunar algorithma er best þar sem farið hefur fram víðtæk peer-review og margar endurteknar útektir af sem flestum sérfræðingum. Þá ertu með kerfi þar sem að jafnvel þó þú þekkir aðferðina til hlítar þá er ómögulegt að lesa dulkóðaðan texta. Ég leyfi mér að fullyrða að einhver aðferð sem þú kokar upp stenst ekki samanburð við þær sem koma úr slíku ferli.

bingo

Þessi nálgun ykkar á mínum orðum er í 100% takti þess sem gerðist hjá Vodafone.

Nokkrar staðreyndir fyrir ykkur:

1) Ég er ekki stórfyrirtæki að höndla persónuleg gögn hundruð þúsunda Íslendinga.

2) Ég er einstaklingur með frekar ómerkileg gögn.

3) Ég kýs samt að dulkóða mín gögn öfugt á við hvað Vodafone gerir.

4) Ég þarf ekki að dulkóða þessi ómerkilegu gögn mín á flóknari hátt en ég geri í dag.

Það að ykkur yfirsjáist þessi atriði í þessari umræðu er eins og ég sagði fyrst, alveg í 100% takti þeirra mistaka sem hinar guttarnir hjá Vodafone gerast sekir um.. það er, algjört greindarleysi.

CendenZ skrifaði:

Garri skrifaði:Mundi nú halda að það væri betra að búa til sitt eigið dulkóð en að nota frá þriðja aðila. Hakkerar safna saman dulkóðunar-aðferðum frá þriðja aðila.. en hafa enga leið að þínum eigin aðferðum. Er sjálfur hugbúnaðarmaður og smíða m.a. þjöppunarkóða svo ég ræð ágætlega við þetta verkefni sjálfur, en það gera ekki margir venjulegir notendur, vissulega.

Það er einmitt þessi hugsunarháttur sem klikkar. "Ég kann þetta miklu miklu betur en allir aðrir, ég einn geri betur en þúsundir aðrir"

Hvað ætli margir stefnumótunarfundir hjá tölvudeild vódafóns hafi farið í að éta kökur og hrósa sjálfum sér fyrir æðislegan kóða. Þetta er best að gera allt sjálfur, Ísland: best í heimi

VODAFONE er nú ekki beint það Íslenskt fyrirtæki sem fyrirfinnst á klakanum, móðurfyrirtækið hlýtur að hafa vitað hvernig öryggismálum var háttað á þessarri útnára stöð sinni, og kannski fannst þeim þau bara vera í fínu lagi.

annars varðandi afhverju vodafone hérlendis varð valið sem skotmark skal ég ekki segja um, kannski tengt þessarri Hackers Halted ráðstefnu eins og fram hefur komið hér á undan að þeir héldu hérlendis fyrir eitthverjum vikum síðan.. og kannski eitthvað annað.

EDIT: líka þetta er ekki bara íslenskt vodafokk dæmi, Vodafone í þýskalandi varð fyrir því sama fyrir 10 vikum síðan "Hacker cracks Vodafone Germany servers and steals data of 2 million users"

hkr skrifaði:

Plushy skrifaði:

hkr skrifaði:

Plushy skrifaði:http://www.mbl.is/frettir/innlent/2013/ ... _seu_birt/

http://vodafonelekinn.bingimar.is/" onclick="window.open(this.href);return false;

hægt að slá inn netfangi, kennitölu eða símanúmeri og sjá hvort að það komi fram í "lekanum"

Sé ekki betur en að það sé ekki leitað að SMS'um í greind.sql, þín síða?

nei sá þessa frétt bara á mbl.is

Þessi síða er í ruglinu núna, birtir núna ef þú slærð inn símanúmer að lykilorð hafi verið dulkóðaða þegar að það var það ekki en segir ekki hvort að viðkomandi sé í greind.sql..

Get staðfest að þarna kemur ekki fram að neitt hafi leikið á númer sem ég veit að lak ódulkóðað lykilorð.

Stuffz skrifaði:VODAFONE er nú ekki beint það Íslenskt fyrirtæki sem fyrirfinnst á klakanum, móðurfyrirtækið hlýtur að hafa vitað hvernig öryggismálum var háttað á þessarri útnára stöð sinni, og kannski fannst þeim þau bara vera í fínu lagi.

annars varðandi afhverju vodafone hérlendis varð valið sem skotmark skal ég ekki segja um, kannski tengt þessarri Hackers Halted ráðstefnu eins og fram hefur komið hér á undan að þeir héldu hérlendis fyrir eitthverjum vikum síðan.. og kannski eitthvað annað.

https://twitter.com/AgentCoOfficial/sta ... 7994911744" onclick="window.open(this.href);return false;

skv. google translate:

why will you say vodafone hacked, a British firm, the third largest telecommunications company in Turkey to be one of us is a very important factor by

S.s. þeir hökkuðu vodafone af því að það er breskt(?) fyrirtæki og 3. stærsta í tyrklandi... eða af því að þeir eru krakkar sem keyra tól (script kiddies?) á hundruð síða á dag og ef þeir komast inn, þá reyna þeir einhvern veginn til að tengja það við sig og landið sitt.

Baldurmar skrifaði:Get staðfest að þarna kemur ekki fram að neitt hafi leikið á númer sem ég veit að lak ódulkóðað lykilorð.

Er að slá inn númer sem kemur fram að það lykilorðið hafi verið dulkóðað þegar það var það ekki.
Ef ég slæ inn e-mailið að þá kemur það fram að það sé ódulkóðað, með símanúmerinu kemur það fram að það hafi verið dulkóðað.

edit:
í signup.sql er netfangið ásamt ódulkóðuð lykilorði en ekki símanúmerið
í users.sql er netfangið, símanúmerið og dulkóðað lykilorð
útskýrir þetta.

edit edit:
í sso_vodafone_is.sql er bæði netfangið, ódulkóðað lykilorð og símanúmerið....
útskýrir það því ekki.

codec skrifaði:

Garri skrifaði:Ég leyfi mér að fullyrða að einhver aðferð sem þú kokar upp stenst ekki samanburð við þær sem koma úr slíku ferli.

Ég er samt ósammála upp að vissu leyti, Það er sumt öruggara ef margir, nota,sjá breyta, og deila.
Enn aftur á móti ef allir eru að nota X þá verður meiri fókus á þetta X af 'hökkurum'
Þá ef einhver kemst inn er líklegra að hann geti gert (meiri) skaða.

99.99% þeirra sem ná þessum prívat "gögnum" munu þá ekki geta gert neitt með þeim,
þá er ekkert md5() eða sha() eða blowfish sem þú getur sett upp og notað apronto.

Enn t.d. md5 sem var eitt sinn vinsælt.
http://md5.gromweb.com/" onclick="window.open(this.href);return false;

Eða ég allavega myndi segja að ef þessi algorithm sé í (lagi),Þá þarf hann ekkert að vera verri valkostur.
ENN ég myndi samt aldrei nokkurntíman treysta einhverju sem ég hendi upp á viku meðað við t.d. Serpent eða blowfish.


Í svona netöryggismálim gæti hreinlega verið betra að fela sig.
ekki hafa phpmyadmin á /phpmyadmin, alltaf skila 404, í villu etc.


Þú getur annaðhvort reynt að nota einhvað sem eingin veit hvað er, engin kann að nota, Og eingin veit hvar er.
Eða þú getur notað það "besta" sem er opið í þeirri von að þeir gallar sem gætu verið sé löngu lagað og það sé því meira 'safe'

Enn það er ekkert 100% á endanum kemur einhver og segjir þetta er gallað etc,
Eikvað sem flestir nota og er því hagstæðast að brjóta verður brotið fyrst, Það er spurning hvort það sé gott eða slæmt.

En afhvejru segja fréttinar að þetta sé bara tímabil í kringum 2011 sem lak út? Það eru nokkra vikna gömul sms á þessum lista þarna.

Áhugaverð umræða.. og jafnvel mjög þörf.

Spurning hvort þetta sé ekki áskorun. Að ég setjist niður og búi til dulkóðun og noti aðeins 1 klukkutíma til að smíða það algrím. Rugla einfalda textaskrá og seti hana á netið þar sem hver sem vill getur sótt og reynt að af-dulkóða.

Sá eða sú sem það geti, fær síðan 20k í verðlaun. 1 vika sem hámarks tímalengd.

Hér eru fullt af hökkurum og klárum forriturum. Gaman að sjá hversu fljótir menn væru að brjóta upp jafn einfalda dulkóðun sem væri smíðuð á jafn stuttum tíma af jafn gömlum forritara eins og mér.

Ég borga auðvitað en aðeins einum aðila og þá aðeins þeim sem er fyrstur að senda inn skránna á viðeigandi þráð.. hvað segja menn?

Eru menn game í þetta?

https://www.facebook.com/vodafone.islan ... 5251937816" onclick="window.open(this.href);return false;

Fann eitthver sms til mín þarna, eitt frá því nýlega svo eitthvað 6 mánaða og eldra.

Nýjasta smsið í þessum lista er

,('100607', '8967701', '2013-11-28 13:46:05', 'N? j?ja allt ? g??u ', '22', '8', '', '', '7726909');

Semsagt fyrir 2 dögum síðan

kiddi88 skrifaði:https://www.facebook.com/vodafone.islan ... 5251937816

Fann eitthver sms til mín þarna, eitt frá því nýlega svo eitthvað 6 mánaða og eldra.

Allt sent í gegnum vefsms hjá þeim?

Er það rétt?

Garri skrifaði:Áhugaverð umræða.. og jafnvel mjög þörf.

Spurning hvort þetta sé ekki áskorun. Að ég setjist niður og búi til dulkóðun og noti aðeins 1 klukkutíma til að smíða það algrím. Rugla einfalda textaskrá og seti hana á netið þar sem hver sem vill getur sótt og reynt að af-dulkóða.

Sá eða sú sem það geti, fær síðan 20k í verðlaun. 1 vika sem hámarks tímalengd.

Hér eru fullt af hökkurum og klárum forriturum. Gaman að sjá hversu fljótir menn væru að brjóta upp jafn einfalda dulkóðun sem væri smíðuð á jafn stuttum tíma af jafn gömlum forritara eins og mér.

Ég borga auðvitað en aðeins einum aðila og þá aðeins þeim sem er fyrstur að senda inn skránna á viðeigandi þráð.. hvað segja menn?

Eru menn game í þetta?

Mér finnst þetta flott hugmynd.

ótrúlegt klúður. Ég er fyrrverandi kúnni og það virðist koma fram ódulkóðað lykilorð
hvernig og hvar downloada ég skránum með öllu upplýsingum sem hakkarinn setti á netið

dandri skrifaði:

Garri skrifaði:Áhugaverð umræða.. og jafnvel mjög þörf.

Spurning hvort þetta sé ekki áskorun. Að ég setjist niður og búi til dulkóðun og noti aðeins 1 klukkutíma til að smíða það algrím. Rugla einfalda textaskrá og seti hana á netið þar sem hver sem vill getur sótt og reynt að af-dulkóða.

Sá eða sú sem það geti, fær síðan 20k í verðlaun. 1 vika sem hámarks tímalengd.

Hér eru fullt af hökkurum og klárum forriturum. Gaman að sjá hversu fljótir menn væru að brjóta upp jafn einfalda dulkóðun sem væri smíðuð á jafn stuttum tíma af jafn gömlum forritara eins og mér.

Ég borga auðvitað en aðeins einum aðila og þá aðeins þeim sem er fyrstur að senda inn skránna á viðeigandi þráð.. hvað segja menn?

Eru menn game í þetta?

Mér finnst þetta flott hugmynd.

Ég er ekki mikið inní dulkóðun sjálfur en skilst að það beri að varast þessa eftirfarandi algorithma nema ykkur sé sama um að nsa sé að sniffa í stöffinu ykkar

"In its advisory, RSA said that all versions of RSA BSAFE Toolkits, including all versions of Crypto-C ME, Micro Edition Suite, Crypto-J, Cert-J, SSL-J, Crypto-C, Cert-C, SSL-C were affected.

In addition, all versions of RSA Data Protection Manager (DPM) server and clients were affected as well."

http://www.wired.com/threatlevel/2013/0 ... algorithm/" onclick="window.open(this.href);return false;

Ok.

Stofna þráð síðar í kvöld þegar ég kemst í þetta. Er með gest í kvöldmat. Stofna sér þráð. Óþarfi að hafa þessa umræðu á honum.

önnur síða til þess að athuga hvort maður sé hluti af lekanum:
http://vodafone.apis.is" onclick="window.open(this.href);return false;

Ég vil bara vara þá við sem eru að dreifa þessum skrám að slíkt er ólöglegt, þó hakkarinn hafi birt þetta á netinu. Þó þetta hafi birst á netinu þá er þetta ekkert bara "fair game". Þeir sem gera það eru meðsekir hakkaranum.

Mér er umhugað um þessa einstaklinga sem hafa sett upp vefsíður þar sem hægt er að fletta upp í grunninum. Það er ólöglegt að búa yfir þessum upplýsingum þó viðkomandi birtir þær ekki beint, skv. fjarskiptalögum ber mönnum að eyða fjarskiptagögnum sem þeim berast en eiga ekki erindi við þá og jafnframt ekki tjá sig um innihald þeirra við aðra. Ég held að fangelsisrefsing liggi við brotum á fjarskiptalögum. Í besta tilfelli gæti Vodafone kært viðkomandi fyrir þjófnað á gögnum.


Skv. tilkynningu Vodafone:

Öll notkun og birting á stolnu gögnunum er ólögleg og alvarlegt brot á friðhelgi fólks.

http://vodafone.is/" onclick="window.open(this.href);return false;

Miðað við alvarleika málsins tel ég miklar líkur á því að Vodafone kærir hvern þann sem opinberlega dreifir þessum gögnum, EÐA NOTAR ÞAU.

Garri skrifaði:Áhugaverð umræða.. og jafnvel mjög þörf.

Spurning hvort þetta sé ekki áskorun. Að ég setjist niður og búi til dulkóðun og noti aðeins 1 klukkutíma til að smíða það algrím. Rugla einfalda textaskrá og seti hana á netið þar sem hver sem vill getur sótt og reynt að af-dulkóða.

Sá eða sú sem það geti, fær síðan 20k í verðlaun. 1 vika sem hámarks tímalengd.

Hér eru fullt af hökkurum og klárum forriturum. Gaman að sjá hversu fljótir menn væru að brjóta upp jafn einfalda dulkóðun sem væri smíðuð á jafn stuttum tíma af jafn gömlum forritara eins og mér.

Ég borga auðvitað en aðeins einum aðila og þá aðeins þeim sem er fyrstur að senda inn skránna á viðeigandi þráð.. hvað segja menn?

Eru menn game í þetta?

Það er gott og hollt að gera svona til að læra af því til gagns og ánægju, bara frábært og hið besta mál.
En fyrir alla alvöru hluti þá á annað við. Hér er ágæt umræða:
http://security.stackexchange.com/quest ... ll-our-own" onclick="window.open(this.href);return false;

Varðandi vodafone þá eru þeir sekir um svo margt sem er bara algört no no á netinu að það er hreint ótrúlegt.
Nokkur atriði t.d. geyma gagnagrunn á public facing server og persónuleg gögn lengur en lög leyfa í þeim grunni og geyma plain text password sem er no no númer 1.
Ég held ég hefði kosið dulkóðununa hans garra yfir það sem vodafone býður upp á, án gríns.
Maður er bara yfir sig hneykslaður á fúskinu þarna.

appel skrifaði:Ég vil bara vara þá við sem eru að dreifa þessum skrám að slíkt er ólöglegt, þó hakkarinn hafi birt þetta á netinu. Þó þetta hafi birst á netinu þá er þetta ekkert bara "fair game". Þeir sem gera það eru meðsekir hakkaranum.

Mér er umhugað um þessa einstaklinga sem hafa sett upp vefsíður þar sem hægt er að fletta upp í grunninum. Það er ólöglegt að búa yfir þessum upplýsingum þó viðkomandi birtir þær ekki beint, skv. fjarskiptalögum ber mönnum að eyða fjarskiptagögnum sem þeim berast en eiga ekki erindi við þá og jafnframt ekki tjá sig um innihald þeirra við aðra. Ég held að fangelsisrefsing liggi við brotum á fjarskiptalögum. Í besta tilfelli gæti Vodafone kært viðkomandi fyrir þjófnað á gögnum.


Skv. tilkynningu Vodafone:

Öll notkun og birting á stolnu gögnunum er ólögleg og alvarlegt brot á friðhelgi fólks.

http://vodafone.is/" onclick="window.open(this.href);return false;

Miðað við alvarleika málsins tel ég miklar líkur á því að Vodafone kærir hvern þann sem opinberlega dreifir þessum gögnum, EÐA NOTAR ÞAU.

Verður til eitthvað Vodafone eftir þetta?

appel skrifaði:Miðað við alvarleika málsins tel ég miklar líkur á því að Vodafone kærir hvern þann sem opinberlega dreifir þessum gögnum, EÐA NOTAR ÞAU.

Miðað við alvarleika málsins má ekki áætla að allir þeir sem eiga persónuupplýsingar þarna geti kært Vodafone? Sem sagt þúsundir ákæra?

verður mikið umm að vera hjá vodafone eftir helgi.. þeir trúlega verða að byrja á því að reka helling af fólki og sérstaklega að reina að svara fyrir afhverju þeir geymdu þessar upplýsingar svona lengi.

já og það fara margir og segja upp eftir helgi.. allir þeir sem ég þekki sem eru hjá vodafone ætla að færa sig strax eftir helgi.. svona miðað við þetta hugsa ég að meirihluti viðskiptavina vodafone komi eftir helgina
og stórhluti þeirra færi sig annað.

veit ekki hvort vodafone nái að bjarga sér frá þessu klúðri.

hvað varðar deildu.net ég hugsa að það verði sett lögbann á þessa iptölu og öllum fyrirtækjum gert að blokkera fyrir deildu þar sem þeir eru núna farnir að deila persónuupplýsingum... deildu.net er búið að vera.
eitt að deila myndum og tónlist en þegar þeir eru komnir með persónuupplýsingar þá er þetta orðið doomed og telst alveg sjálfsagt hjá öllum að loka þessu strax.. ég sem aðili sem sæki mikið efni á torrent segi hiklaust já við að blokkera deildu.. þeir eru alveg komnir lángt yfir strikið þarna.