mboost-dp1
Preben Andersen fanger TGG!
Dét var den seneste overskrift på min Google/ig, klokken var 01:00 og newz.dk var ikke nede.
Klokken 02:30, da jeg gik i seng, var newz stadig nede.
Nogen der gider at forklare?
Klokken 02:30, da jeg gik i seng, var newz stadig nede.
Nogen der gider at forklare?
Her et screenshot:
http://img98.imageshack.us/img98/4928/tggnewz0ex.png
http://img98.imageshack.us/img98/4928/tggnewz0ex.png
Ah, fedt. Jeg burde snart få mig en af de-der "ægte" rss readers. Kunne nemlig ikke få fat på hvad der stod i nyheden.
Så newz.dk blev owned, og vi ser ingen nyheder om det?
Så newz.dk blev owned, og vi ser ingen nyheder om det?
Nyheden er stadig tilgængelig på Google Reader.
http://alive.dienub.org/newzh4x.png
http://alive.dienub.org/newzh4x.png
#1
Der skete i bund og grund det samme som sidst. De har fået fat i en af vores passwords, hvorefter det så også er lykkeds dem at forbigå vores nye sikkerhedstiltag. Da vi opdagede ændringerne valgte vi at tage siden offline, for at undgå mere ødelæggelse.
Problemet er ikke så stort, da de på ingen måde har haft kontakt direkte til serveren, men blot har været igennem en staff-brugerkonto. Vi skal blot foretage en lille ændring i vores nye procedure, således at dette ikke kan ske igen.
Vi har valgt ikke at skrive en nyhed om det, da det blot ville give TGG hvad de ønsker sig mest; opmærksomhed - vi håber I har forståelse for dette.
Der skete i bund og grund det samme som sidst. De har fået fat i en af vores passwords, hvorefter det så også er lykkeds dem at forbigå vores nye sikkerhedstiltag. Da vi opdagede ændringerne valgte vi at tage siden offline, for at undgå mere ødelæggelse.
Problemet er ikke så stort, da de på ingen måde har haft kontakt direkte til serveren, men blot har været igennem en staff-brugerkonto. Vi skal blot foretage en lille ændring i vores nye procedure, således at dette ikke kan ske igen.
Vi har valgt ikke at skrive en nyhed om det, da det blot ville give TGG hvad de ønsker sig mest; opmærksomhed - vi håber I har forståelse for dette.
Oh, okay. Jeg troede de havde fået sig adgang til serveren, eller benyttet sig af script kiddie metoder og DDoS'et serveren.
Men ja. De kan vel ikke finde ud af at få rodadgang på serveren. :)
Men ja. De kan vel ikke finde ud af at få rodadgang på serveren. :)
Man burde nok regelsætte overfor admins og deres passwordpolitik. Passwordet skal være mindst 16 tegn langt og indeholde tal og bogstaver. Der må ikke være ord i kodeordet. Skriv det ned på papir. Gem ikke cookies ved brug af Newz.dk.
..eller man kunne også bare bede admins om at passe bedre på ;)P
Jeg vil stadig gerne vide hvordan de har fået adgang til kodeordet.
..eller man kunne også bare bede admins om at passe bedre på ;)P
Jeg vil stadig gerne vide hvordan de har fået adgang til kodeordet.
#10 Det var nu ikke min konto, der blev "udnyttet", men da jeg var den eneste med en nyhed i pipelinen, valgte de at rette min nyhed til. (det var et af de yngre medlemmers :) )
Man skal have to admin/staff konti for at godkende en nyhed - altså, når en staff/admin indsender en nyhed, er der en anden staff/admin der skal godkende den.
Min nyhed var allerede godkendt, og da TGG kun havde en adgangskode, var deres eneste mulighed at rette en allerede godkendt nyhed.
#7 ja, det burde være første skridt ;) Jeg kan ikke tale for de andre staff, men jeg benytter altid:
- tal
- store og små bogstaver
- specialtegn: (!%&@£$#...og så videre)
- 10+ tegn
- aldrig samme pass flere steder (ja, jeg har en god hukommelse)
- "non-dictionary" ord
Man skal have to admin/staff konti for at godkende en nyhed - altså, når en staff/admin indsender en nyhed, er der en anden staff/admin der skal godkende den.
Min nyhed var allerede godkendt, og da TGG kun havde en adgangskode, var deres eneste mulighed at rette en allerede godkendt nyhed.
#7 ja, det burde være første skridt ;) Jeg kan ikke tale for de andre staff, men jeg benytter altid:
- tal
- store og små bogstaver
- specialtegn: (!%&@£$#...og så videre)
- 10+ tegn
- aldrig samme pass flere steder (ja, jeg har en god hukommelse)
- "non-dictionary" ord
#7 ja, det burde være første skridt ;) Jeg kan ikke tale for de andre staff, men jeg benytter altid:
- tal
- store og små bogstaver
- specialtegn: (!%&@£$#...og så videre)
- 10+ tegn
- aldrig samme pass flere steder (ja, jeg har en god hukommelse)
- "non-dictionary" ord
#13 - Det er sku cool nok alligevel, jeg har svært ved at huske min Visa kode og den er på 4 tal :D Fuld respekt der
...eller brug din egen personlige hashing. F.eks. password til newz. Eks. algoritme:
- Start med fornavn-initial
- Tilføj spejlet domænenavn
- Tilføj fødselsår i hex
- Tilføj efternavns-initial
- Lav hver tredje bogstav med caps
Hvis jeg hedder Michael Laudrup, er født i 1964 og har en konto hos newz.dk ville mit password altså være:
mlZweN7ac
Det virker fuldstændig tilfældigt for udenforstående, som måtte have haft held til at komprimitere et non-hashet password register samtidig med at det er ligemeget om du skulle glemme passworded. Så længe du altid følger din egen algoritme, kan du altid finde frem til din kode til enhvert sted online. Mikael's password til hotmail er altså:
mlLiaMtoH7ac
- Start med fornavn-initial
- Tilføj spejlet domænenavn
- Tilføj fødselsår i hex
- Tilføj efternavns-initial
- Lav hver tredje bogstav med caps
Hvis jeg hedder Michael Laudrup, er født i 1964 og har en konto hos newz.dk ville mit password altså være:
mlZweN7ac
Det virker fuldstændig tilfældigt for udenforstående, som måtte have haft held til at komprimitere et non-hashet password register samtidig med at det er ligemeget om du skulle glemme passworded. Så længe du altid følger din egen algoritme, kan du altid finde frem til din kode til enhvert sted online. Mikael's password til hotmail er altså:
mlLiaMtoH7ac
Ellers kunne hver crew member faa deres egen safeword generator.
Man kan faa saadan en udleveret til sin bank konto i, f.eks danske bank.
Bruger den selv i firmaet, og eftersom den skifter key engang hvert 5 minut, saa kan de smaa TGG ikke laengere komme ind.
Man kan faa saadan en udleveret til sin bank konto i, f.eks danske bank.
Bruger den selv i firmaet, og eftersom den skifter key engang hvert 5 minut, saa kan de smaa TGG ikke laengere komme ind.
At lave et godt kodeord er også meget nemt. Bare brug l33t.
Min metode: Find på en sang du kan huske noget af teksten til.
Lad os sige... Cannibal Corpse - Stripped, Raped and Strangled. (Der er selvfølgelig ingen der må kende din kodesang)
I come alive in the darkness
Left murdered and nameless
Dead unburied and rotten
Half eaten by insects
Tag det første bogstav fra hvert ord.
IcaitdLmanDuarHebi
Prøv at udtale det. Meget nemt, ikke? Ok, lad os så obfuskere.
1cai7|manDu4rH3b1
Du skal nu bare huske de fire "ord", Icait, Lman, Duar og Hebi, hvilket gør det nemt for dig at huske hvor du satte et tal ind istedet for et bogstav. Og værsågod, 17 karakter langt kodeord klar til brug.
... Jeg har kodeord der er op til 30 karakterer langt ...
Min metode: Find på en sang du kan huske noget af teksten til.
Lad os sige... Cannibal Corpse - Stripped, Raped and Strangled. (Der er selvfølgelig ingen der må kende din kodesang)
I come alive in the darkness
Left murdered and nameless
Dead unburied and rotten
Half eaten by insects
Tag det første bogstav fra hvert ord.
IcaitdLmanDuarHebi
Prøv at udtale det. Meget nemt, ikke? Ok, lad os så obfuskere.
1cai7|manDu4rH3b1
Du skal nu bare huske de fire "ord", Icait, Lman, Duar og Hebi, hvilket gør det nemt for dig at huske hvor du satte et tal ind istedet for et bogstav. Og værsågod, 17 karakter langt kodeord klar til brug.
... Jeg har kodeord der er op til 30 karakterer langt ...
en meget simpel måde at fikse dette problem på. Når en anden admin har rette nyheden igennem bliver den sendt tilbage til den første admin som så skal accepterer ændringerne (kunne evt highlighte dem så man også kan se hvad der er ændret) og indsende nyheden.
På den måde skal enhver den vil forsøge at fuske på nogen måde have fat i 2 admin acc.
På den måde skal enhver den vil forsøge at fuske på nogen måde have fat i 2 admin acc.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Gå til bund