Annonce

Réduire
Aucune annonce.

OVH piraté

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • News OVH piraté



    OVH a subit une intrusion il y a quelques jours de ça, intrusion dans leur réseau interne, visant la base de donnée des clients Europe et les accès aux systèmes d'installation des serveurs canadiens.
    D'après ce que j'ai pu lire le hacker avait un minimum préparé son truc.

    Voilà le mail que j'ai reçu:

    Bonjour,
    Récemment, nous avons relevé un incident de securité sur notre réseau interne
    au siège social d'Ovh.
    Nous avons immédiatement sécurisé et enquêté sur l'incident. Nous avons
    relevé que la base de données des clients Europe aurait pu être illégalement
    copiée. Cette base comporte les données suivantes :
    le nom, le prénom, le nic, l'adresse, la ville, le pays, le téléphone, le
    fax et le mot de passe chiffré. Les informations sur les cartes bancaires ne
    sont pas concernées puisqu'elles ne sont pas stockées par OVH.

    Même si le chiffrement du mot de passe de votre identifiant est très fort,
    nous vous conseillons de changer le mot de passe dans les plus brefs délais.

    En savoir plus sur l'incident de securité:
    http://travaux.ovh.net/?do=details&id=8998


    Cordialement,
    Comme le précise le mail: pour plus de détail voir ici
    J'en profite pour surligner le fait que OVH a contacté ses clients pour signaler l'intrusion, initiative encore rare dans les grandes entreprises.


    Suivre Hackademics: Twitter, Google+, Facebook.

  • #2
    Très beau hack par étapes mais également très bonne réaction de la part d'OVH.

    On y apprends également que les MDP sont stockés en SHA512 salé, une bonne pratique qui est (mal)heureusement (trop) peux répandue. Bon courage au hacker pour en tirer quoi que se soit

    Commentaire


    • #3
      On peut utiliser la puissance d'Amazon pour casser un mot de passe. Ce n'est pas impossible.
      Ou la théorie sur les collisions : http://en.wikipedia.org/wiki/Double_hashing

      Envoyé par 2ShEp
      une bonne pratique qui est (mal)heureusement (trop) peux répandue
      Ouaip, pour les pirates c'est génial !
      Dernière modification par Yarflam, 25 juillet 2013, 14h00.
      ~ Yarflam ~

      ❉ L'Univers se dirige vers son ultime perfection ❉

      Commentaire


      • #4
        Envoyé par Yarflam
        Ouaip, pour les pirates c'est génial !
        bah nan justement ! pour les pirates le sha512:salted c'est pas un cadeau ! c'est pas du md5 not salted quoi

        Sinon t'as test d'utiliser la version gratuitement ? http://aws.amazon.com/fr/ec2/pricing/
        sigpic

        Cyprium Download Link

        Plus j'étudie plus j'me rends compte que je n'sais rien.

        †|

        Commentaire


        • #5
          J'en été sûr ! Sakarov tu es tombé dans le piège.

          1- une bonne pratique qui est malheureusement trop peux répandue
          2- une bonne pratique qui est heureusement peux répandue
          Deux interprétations sont possibles. J'ai pris la seconde et toi la première.

          Sinon t'as test d'utiliser la version gratuitement ? http://aws.amazon.com/fr/ec2/pricing/
          Non, je n'ai pas testé. Merci Saka !
          Dernière modification par Yarflam, 25 juillet 2013, 13h45.
          ~ Yarflam ~

          ❉ L'Univers se dirige vers son ultime perfection ❉

          Commentaire


          • #6
            Amazon hein...
            A l'occasion, Yarflam, quand t'auras testé, tu pourras nous présenter un peu le truc ? (voir ce qu'on peut faire avec dans la pratique, etc..)


            Suivre Hackademics: Twitter, Google+, Facebook.

            Commentaire


            • #7
              Même avec la puissance du Cloud, on parle ici d'empreinte 512bits !

              A ce jours aucune possibilité de collision dans SHA512 n'a été démontré.

              Reste le paradoxe des anniversaires mais sur un hash de de cette taille le nombre minimum d'opération est 2^256

              Par dessus le marché les MDP sont salés donc inattaquable au jour d'aujourd'hui

              Commentaire


              • #8
                Nan mais ça c'est ton côté black, mec Moi j'ai pas d'idées malveillantes...

                Et puis sa chute donne le ton (white) : "Bon courage au hacker pour en tirer quoi que se soit".

                Enfin bref, concernant l'EC2vFree je te conseille de :

                - créer un simple formulaire hosted chez un freehost (sinon tu risques de faire ban de ton truc olympe.in)
                - faire un petit script de BF en PHP
                - le lancer avec ta puissance machine (ton cpu/gpu)
                - calculer le benchmark
                - le lancer depuis l'ec2vFree
                - calculer le benchmark
                - comparer les benchmarks

                Note : tu peux test avec des pwd +/- solides ([a-z][A-Z][a-Z][a-Z+0][a-Z+0+$]) mais qui restent en 8 char (par ex.) et/ou avec une liste (100/1000/10000+) de pwd ou de hashes (salted or not)

                La diff devrait être bien marrante

                Enfin bon en même temps... on connaît déjà à peu près le résultat

                PS: @2SHEP: please, arrêtez tous d'utiliser cette expression ridicule : "au jour d'aujourd'hui". ça n'a aucun sens ! Savais-tu que "hui" voulais dire "ce jour" ? Donc en fait, ce que tu dis c'est "au jour du jour de ce jour" !!! C'est plus du pléonasme à ce stade !
                Dernière modification par SAKAROV, 25 juillet 2013, 14h37.
                sigpic

                Cyprium Download Link

                Plus j'étudie plus j'me rends compte que je n'sais rien.

                †|

                Commentaire


                • #9
                  Envoyé par Sakarov
                  Savais-tu que "hui" voulais dire "ce jour"
                  Non tu me l'apprends et je t'en remercie.

                  Envoyé par Sakarov
                  faire un petit script de BF en PHP
                  A mon tour : please, arrêtez tous d'utiliser le PHP pour du BF c'est ridiculement lent

                  Commentaire


                  • #10
                    J'attendais une réflexion à propos de PHP J'ai failli mettre "ou autre" mais en fait j'ai mis ça pour Yarflam car je sais qu'il le fera en PHP enfin bon, merci de l'avoir relevé quand même
                    sigpic

                    Cyprium Download Link

                    Plus j'étudie plus j'me rends compte que je n'sais rien.

                    †|

                    Commentaire


                    • #11
                      Envoyé par SAKAROV Voir le message
                      J'attendais une réflexion à propos de PHP J'ai failli mettre "ou autre" mais en fait j'ai mis ça pour Yarflam car je sais qu'il le fera en PHP enfin bon, merci de l'avoir relevé quand même
                      Tu me perçois mal Sakarov. J'étais en train de réfléchir pour le faire en Python.
                      Sinon pour l'inscription à Amazon, on me demande un numéro de carte bancaire. Avant de le donner, j'aimerai bien être sûr que c'est gratuit. As-tu déjà essayé ?
                      Dernière modification par Yarflam, 25 juillet 2013, 15h21.
                      ~ Yarflam ~

                      ❉ L'Univers se dirige vers son ultime perfection ❉

                      Commentaire


                      • #12
                        J'ai repensé à cette histoire de BF en PHP et je penses qu'il serait intéressant de comparer les perf de PHP 5.5 et de Python 2 et 3.

                        Historiquement Python à toujours été plus efficace, mais, les dernières versions de PHP ont considérablement augmentés ses performances. Je ne me fait pas trop d'illusions sur le résultat mais ca serait quand même intéressant pour voir l'évolution des perf de PHP entre disons la 5.2 et la 5.5 .

                        Quand j'aurais un peu de temps, je m’attellerais à faire un petit benchmark des protagonistes.

                        ++
                        2ShEp

                        Commentaire

                        Chargement...
                        X