Сайт MySQL.com скомпрометирован через внедрение SQL-кода

[evindor]

[odiszapc]

Ожидаем!
NASA взломали через брешь в спутнике!

[iGloom]

Вот уж воистину антиреклама…
Осталось взломать php.net через уязвимость в php, и так далее.

[1eon]

habrahabr.ru/blogs/php/115815/

[alexmsk]

SQL-Injection — это уязвимость не mysql, а в скриптах сайта.

[iGloom]

Я в курсе, спасибо.
Имелось в виду, что в php-коде надо оставить какую-нибудь дыру(связанную именно с особенностями php), через которую сайт и взломают.

[adamant]

Не переживайте. PHP не отстает… У них недавно взломали сервер с Wiki (не очень, правда, через какую уязвимость):

www.php.net/archive/2011.php#id2011-03-19-2

root, пароли пользователей. Разработчики занялись аудитом кода.

[soulburner]

По ссылке выше дано полное описание взлома

Что-то не нашел. Где именно описание взлома?

[Melorian]

Что называется, горец может умереть только от рук другого горца, который получит всю его силу (читай, полную БД))

[evilbloodydemon]

Какая ирония.

[Stepuk]

>> расшифрован пароль директора по разработке продуктов MySQL (всего четыре символа)

Я, кажется, догадываюсь, что это за символы.

[Boomburum]

четыре звездочки )

[mardy_bum]

6661

[kabachok]

3306

[tname]

pass ?)

[5ap]

pastebin.com/BayvYdcP

[2] = Robin Schumacher is MySQL's Director of Product Management and
has over 20 years of database experience in DB2, MySQL, Oracle, SQL
Server and other database engines. Before joining MySQL, Robin was
Vice President of Product Management at Embarcadero Technologies.
— blogs.mysql.com/robin/wp-login.php
Email: rschumacher@mysql.com
Username: admin
Password: d1ac549dbfdec4a0d49baec903648bb4
Cracked: 6661
-------------------------------------------------------------------

[besisland]

www.linkedin.com/pub/robin-schumacher/3/87b/2b5 — Шумахер в MySQL не работает с сентября 2009 года, пишут.

[ppiskun]

466 976 вариантов, как бы. И это не учитывая спец. символы.

[ppiskun]

Прошу прощения, малость ошибся: 14 776 336

[Solovej]

[Weageoo]

О господи! Скоро полнометражные гифки будут. Ещё б возможность прикреплять звуковую дорожку — и не надо хабр переделывать.

[webbolt]

select * from mysql where people=«stupid»

[pokryshkin]

Всего четыре символа.
И как после этого обвинять простых пользователей в глупости?

[Blandinka]

У простых пользователей все символы еще и одинаковые :)

[HeadFore]

Может у него сверх надёжный пароль из 20 символов, на который коллизия для md5 как раз эти 4 символа? )

[mxc]

EPIC FIAL!

[beono]

FAIL :)

[KReal]

Варианты пароля из четырёх букв?

[bubuq]

Your site will have been scrd, sire, thus thou will fear that fail most! None will feel safe with that! Well done, chap, more news will come down this road that thou step onto. Look into this — that will take some time.

[taldy]

А пароли хранились в БД в открытом виде? Или с такой скоростью они уже MD5 расшифровали?

[DIDJER]

«MD5 расшифровали» — хмм…

[DIDJER]

Подобрать и расшифровать разные понятия.

[besisland]

Дайте определение понятия «расшифровать».

[DIDJER]

расшифровка — процесс преобразования зашифрованного текста в форму, доступную для чтения.

[besisland]

Описываю процесс:
1. Берём зашифрованную форму 202cb962ac59075b964b07152d234b70.
2. Ищём зашифрованную форму в радужных таблицах.
3. Как только нашли, принимаем соответствующий текст за форму, доступную для чтения.

Уточните своё определение?

[DIDJER]

Это не моё определение и кажется оно предельно простое. Ключевым моментом сдесь является фраза:

[DIDJER]

… преобразования зашифрованного текста. Если коротко — вы ничего не преобразовываете исходную зашифрованную форму, как вы правильно написали — вы её только берёте за эталон, а это уже метод подбора но ни как не расшифровка.

[Inflame]

Расшифровка — это синоним слова «криптоанализ». А брутфорс называть криптоанализом, по-моему, некорректно.

[besisland]

Корректно.

[pav]

а что в этом такого? у md5 существуют коллизии что существенно ускоряет процесс обращения хеша. Да и хешь для 4 символов я думаю вполне по силам простым брутфорсом перебрать. Тем же RainbowCrack.

[ekim]

Если пароль всего 4 символа, то md5 с большой вероятностью «расшифровывается» перебором через специальные сервисы. Пример.

[ReaM]

Если пароль всего 4 символа, то md5 со 100% вероятностью брутится за 1 минуту на каком-нибудь PasswordsPro (при условии что у вас не доисторический процессор). А если у ваc еще есть и видеокарта(используем EGB), что-нибудь типа nvidia 9800 или лучше то там скорость перебора > 400млн.паролей\секунду. там и 7 и 8 символов расшифровываются достаточно быстро.

[rPman]

еще чего, ставить какие то левые проги — 8 секунд на древнем железе:

<?php
$md5=md5('j3x_'); // '903e9f8ce59826640a34ced54720ecc7'
$chrs=preg_split('//','0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_',-1,PREG_SPLIT_NO_EMPTY);
foreach($chrs as $c0) foreach($chrs as $c1) foreach($chrs as $c2) foreach($chrs as $c3)
if(md5($c0.$c1.$c2.$c3)==$md5) die("Password: '$c0$c1$c2$c3'\n");
?>

[entze]

Откуда взломщики знали длину пароля? Загнали найденный хэш в поиск по сгенеренным таблицам — получили пароль.

[AmdY]

php.net/range

[NorthDakota]

Кто то не знает что такое «полный перебор»…

[steff]

Мда уж… Внезапно!
Спасибо, пойду поменяю пароль, хоть он у меня и не 4 символа)))

[Melorian]

Видимо, создатели базы решили, не мудрствуя лукаво, рядом со столбцом password_hash, хранить столбец password_clear)

[beono]

Нет. Словарь хешей.
А если пароль совсем простой, то можно и нагуглить

Поищите хеш 4297f44b13955235245b2497399d7a93

[Melorian]

Да я знаю, я шучу) Просто, удивляет четырехзначный пароль директора)

[AndryX]

Выше уже писали.

Может быть пароль был хороший, но для него существует коллизия с 4х символов.

[Guria]

Может на этот хеш и есть хорошая 20ти значная коллизия, но найденный вариант явно человеческого происхождения. Какова вероятность, что комбинация из четырех цифр(это всего 10 символов из множества возможных), первые три из которых одинаковые, — это коллизия?

[AndryX]

Такой же, как и 4 одинаковые цифры. Шанс у коллизии не зависит от результата, это конечно сложно себе представить, но на выходе можно даже войну и мир получить. Shit happens.

В этой ситуации нужно смотреть на IQ установившего пароль, если он действительно равен комнатной температуре, то о коллизии не может быть и речи.

[AndryX]

Расшифровал несколько новых хешей со списка, они там все ставят слабые пароли:
382571aa9637ab9f4a38fbc530746f10 twiggy
07fb7c8d62c9d40a2d15d812f08bb00b 990701
86615dcffc9338016da291bb027bc97c 4033lks

[AndryX]

*Расшифровал Прогнал по радужным таблицам

[noma4i]

«Инженеры в поте лица работают над новой солонкой, пока официантки опять раздают соль вручную. Директор уезжает в отпуск на Сейшельские острова и обедает только в номере, избегая столовых, ресторанов и баров.»

[ha2bj]

SELECT finger FROM hand WHERE id = 3

[MAD_Kolia]

Ты знаешь MySQL.

[waplab]

*SQL?

[047]

Больший фейл в том, что на mysql.com пару лет назад стоял бажный Wordpress кое-где, благодаря которому были слиты эти же данные. Правда, эта информация не была передана широкой огласке, хотя и стоял на одной из вложенных страничек мини-дефейс. Самое обидное, что та же ситуация была и есть на таких сайтах как apache.org, mil.ru, ibm.com сайт NASA и прочих важных ресурсах.

[047]

> ibm.com сайт NASA
ibm.com, сайт NASA*

sff

[elw00d]

Ну бывает, чо. Надо было использовать Prepared Statements.

[Throwable]

Есть мнение, хотя и не доказано, что PreparedStatement далеко не всегда спасает от SQL Injection. Особенно для «плоских» JDBC драйверов, которые на выходе PreparedStatement конвертируют в обычный SQL (JDBC MySql именно такой). Не думаю, что на sun.com использовали что-то другое…

[elw00d]

Ну это может быть бага в JDBC драйвере, но не в коде приложения. Такие баги использовать очень сложно, поскольку они возникают редко, а узнать обстоятельства и проанализировать поведение может только разработчик, которому доступен код драйвера. Взломщику же, который не знает, что за драйвер стоит на сервере, навряд ли получится это сделать.

[xonix]

На Sun.com взлом был тоже через PHP (а не Java), т.к. ссылки как-бы символизируют

reman.sun.com/apps/availlist/index.php?id=385+and+1=2+union+all+select+1,2,@@version,4,5,6,7,8,9,10,11,12,13--&subv=5&subc=3

ibb.sun.com/apps/availlist/index.php?id=385+and+1=2+union+all+select+1,2,database(),4,5,6,7,8,9,10,11,12,13--&subv=5&subc=3

[glebmachine]

Апофеоз идиотизма)

[AnGr]

Вот сижу и думаю, стоит ли еще меня пароль только на MySQL.com или уже лезть на все сайты и менять везде пароли… это печально…

[IlyaMS]

Примите соболезнования.
Собственно, после похожего случая (меньшего масштаба, разумеется, взломан был один из посещаемых мной форумов) стараюсь ставить на все сайты разные пароли. Приходится их, конечно, отдельно хранить или ставить такие, чтобы были как-то по смыслу связаны с целью посещения данного сайта (например).

[AnGr]

благодарю за поддержку :)
надеюсь, что пароль в 12 символов брутфорс выдержит…
но вечером будет ревизия парольчиков!

[AndryX]

Они не брутфорсят, а прогоняют по радужным таблицам.

[LighteR]

От использования радужных таблиц это не перестает быть брутфорсом.

[entze]

Перестает. Поскольку значения в таблицах нагерены, задача сводится к быстрому поиску в массиве. Результат с некоторой вероятностью находится за секунды или минуты…
Брутфорс это именно грубый полный перебор. Сколько он занимает — понятно.
Другое дело, что радужных таблиц для паролей длиннее 8 символов, содержащих знаки пунктуации видимо нет.

[MAD_Kolia]

:-)

[IlyaMS]

Всегда пожалуйста :)
Зря только написали сколько точно символов в пароле.
Мало ли, недоброжелатели у всех бывают.

[Palehin]

Вот так новость…

[varnav]

Да и MD5 несколько, гм, устарел. Даже SHA-1 уже не нов, но уж его то можно использовать вместо MD5 без особых затрат.

[not_your_personal_coder]

leopard.in.ua/2010/02/05/kak-bezopasno-xranit-parol/ — «Соль вам не поможет» (С)

[Masterkey]

codahale.com/how-to-safely-store-a-password/

это оригинал, того что в ссылке выше переведен не полностью

вобщем не убедили меня почему md5 + solt это уже не модно

автор кстати приводит странную аргументацию:
— радужные таблицы или мощная машина и «ручной» перебор на ней
— получаем пароль + соль
…
— профит

хотя я профита не вижу

[not_your_personal_coder]

Если хацкирь заимел соль и md5-хэши, то профит он поимеет весьма приличный. Иной бы была ситуация при использовании bcrypt.

Не модно юзать такую связку на сайтах типа mysql.com и php.net. Хоть в последнем случае, взлом был осуществлён не через sql inj, но тем не менее, данные БД уплыли. А что там, в этих данных? Правильно. md5-хэши паролей, расшифровав которые можно получить доступ сами_знаете_к_чему, что будет будоражить умы многих.

Поясню свою мысль детальнее: конечно же, слитая база какой то файлопомойки или бложика вызовет только баттхёрт у хомячков и излишние волнения «масс», но вот когда кто то получает доступ к таким серьёзным структурам, примеры коих я привёл выше, вопрос о надёжности хэшей паролей не даёт админам ночами спать.

Представьте аналогичную ситуацию с любой действительно влиятельной и крупной организацией. Когда слитая база грозит чем то большим, чем чтение кем то ваших писем или просмотром истории скачек порнушки на трекере. Тогда и придёт понимание важности вопроса о надёжности используемой хэш-функции.

Да, кстати, немаловажный фактор: md5 стар и популярен, его юзают очень многие, а значит, и разработки методов по «обходу» этого алгоритма тоже ведутся длительное время, и весьма продуктивно. Вспомним словари, каждодневно обновляемые, радужные таблицы и иные алгоритмы атаки.

P.S. Тьюринг как то напевал песенку: «В напиток яблоко макнешь и навеки ты уснешь». В возрасте 42 лет он окунул яблоко в раствор цианида и несколько раз откусил. md5 — это яблоко, ваша уверенность в надёжности этого алгоритма — цианид, в который злоумышленник будет его макать, а каждый пароль — это откушенный вами кусочек от этого яблока.

[Masterkey]

хотел написать длиннющий комент, но в процессе понял, что не прав в одном.

когда происходит слив хешей, то по расшифрованному набору паролей можно найти соль и если скорость взятия паролей действительно настолько высока, что за преемлемое время можно получить выборку пароль+соль, то такая практи дествительно опасна.

[igrishaev]

А что, если соль — это битовая маска, которая накладывается на пароль и меняет его символы вперед-назад? Как тогда ее вычислить?

[not_your_personal_coder]

Тут стоит вопрос «не как вычислить», а насколько криптостойким будет хэш, когда уже «всё пропало».
В данном случае, алгоритм применяемой битовой маски можно умыкнуть с сервера вместе с БД. А bcrypt — сам в себе. Т.е., из-за меньшего количества действующих способов взлома и, что немаловажно, их продуктивности, последний потенциально более безопасен, чем мд5+соль.

[Masterkey]

ммм, как умыкнуть?

у вас есть только слив, пары таблиц с сервера.

если у вас есть доступ к файлам, которые занимаются шифрованием дешифрованием вам не нужно ничего из базы красть, вы просто получите админский пароль базы.

ЗЫ я тут недавно услышал, что https при вале запросов сильно нагружает машину, так что некоторые так и будут юзать старые методы ибо скорость иногда важней

[not_your_personal_coder]

Хэши обоих алгоритмов необратимы, дешифрованием md5 никто не занимается: входящий пароль шифруют так же и сравнивают с тем, что есть в базе. С bcrypt'ом то же самое. В конце концов, пхпшники юзают встроенную функцию для получения md5-хэша, а для bcrypt можно собрать свой пакет с заданными настройками, чтобы из кода скрипта не было видно, что вы туда передаёте, только лишь строку. Сломать такое будет сложнее, чем просто утащить скрипт с мд5+соль.

[Masterkey]

главное определить как соль формируется.
я предпологаю, при вашем способе символы исказятся или превратятся в символы другого алфавита.

после определения того тчо вы используете битовую маску, атака по словарю на массив полученных пароль+соль.

вобщем все сводится к цене за взлом.
неуловимым джо это не грозит

[serjs]

Любителям хеши расшифровать www.hackerregiment.com/mysql-com-vulnerable-to-blind-sql-injection.html

[not_your_personal_coder]

Тут есть интересный материал про bcrypt, MD5, SHA1 и CUDA.