"Neoprávněný a nelegální přístup do interní sítě Blizzardu"

[Xkryspin]

není to poprvé, co se něco takového Blizzardu stalo, proto bych očekával, že se po prvním útoku nějak připraví.

Ale podívejme - a můžeš prosím říct (poslat odkaz) na zprávu o tom, kdy se to blizzardu stalo dříve ?

Pokud si vzpomínám, tak někdy květen nebo červen. Nalezl jsem jen tohle.

Tak kdyby sis to skutečně přečetl, tak bys zjistil, že článek se týká "údajného" prolomení autenticatoru. Kdybys to četl podrobněji, tak bys zjistil, že se jednalo o problém dial-in autenticatoru (což je něco úplně jiného, a přínos toho je sporný). A kdyby ses na to podíval ještě podrobněji, tak bys zjistil, že se jednalo o normální prolomení přihlašovacích údajů na klientské straně včetně telefonního čísla, které bylo následně podvrženo při volání na dial-in.

[Alfajk]

...kdo tady pred tejdnem tvrdil,ze mezi profilem a uctem neni zadna spojitost ? ze jeho mail nikdo nezjisti a nasledne nespoji s uctem ? ze je to naprosot bezpecny ? ...no vydrezlo to celej tejden

[Xkryspin]

Eh?

Bavili sme se nad webovými profily. Protože tu kdosi tvrdil, že profily zvyšují riziko.... A stále tu žádné propojení mezi těmi profily a emailem není. Takže profily jsou naprosto bezpečné.

Že se jim někdo naboural do interní sítě s profilama nemá žádnou souvislost, a toto by se stalo bez ohledu na existenci nějakých profilů... Takže za tím co sem řekl si stále stojím. Webové profily nejsou žádné bezpečnostní riziko.

[Quetak]

Po tomhle nabourání rizika jsou protože díky profilu si můžou vytipovat hráče s uber equipem....po tomhle nabourání do sítě maj i jeho mail/secret q a zbývá jen pass. Kdyby nebyly profily tak nevědí kdo má co na sobě a na koho se zaměřit. Tím pádem jsou teď nejvíc ohrožený hráči s lepším equipem.

[Nekronaut]

Kdyby nebyly profily tak nevědí kdo má co na sobě a na koho se zaměřit. Tím pádem jsou teď nejvíc ohrožený hráči s lepším equipem.

A to jsem přesně říkal. Že někdo ta data stáhne asi byla jen otázka času

[Punky]

z toho vyplyva, ze netreba nejak extra hrat, aby clovek nahodou nemal dobry equip a aby nebol v hladaciku pohoda
inak je fajn rada zmenit heslo, aj ked to zabere nejaky cas, popripade aj email, este viacej casu... ale je leto, vela ludi na dovolenkach, napr aj 2 tyzdne bez pristupu na net, ti toho moc nepomenia... to ze odpoved bude authentificator, tak to neberem proste... keby bol zadarmo, nepoviem nic

[Xkryspin]

Po tomhle nabourání rizika jsou protože díky profilu si můžou vytipovat hráče s uber equipem....po tomhle nabourání do sítě maj i jeho mail/secret q a zbývá jen pass. Kdyby nebyly profily tak nevědí kdo má co na sobě a na koho se zaměřit. Tím pádem jsou teď nejvíc ohrožený hráči s lepším equipem.

1) Jenže mezi emailem a profilem žádné propojení není (navíc z pohledu hackera, který krade údaje a má málo času - pokud nemám přístup k "objektu databáze" ale jen "do databáze" - tak je to položka, kterou nepotřebuješ - a navíc tam pravděpodobně ani nebude).

2) Údaje se z bezpečnostních a výkonových důvodů standardně ukládají v různých databázích - tahle databáze vypadá, že se starala pouze o přístup do battle.net (a zřejmě obsahovala jen přístupové údaje). Servisní údaje (zaplacené služby) budou zřejmě v další. Platební údaje budou pravděpodobně v úplně jiné databázi (protože do těch se taky pravidelně neleze). A herní údaje budou v samostatných databázích pro každou hru zvlášť. Battle tag, bude pravděpodobně součástí databáze, která se stará o služby. Vedle toho bude samozřejmě ještě databáze pro webové služby - kam patří právě profily. (Aspoň takhle by to bylo navrženo, kdybysme to dělali my).

[Nekronaut]

keby bol zadarmo, nepoviem nic

je zadarmo

[Weeman]

Jezis, jak jsem to psal do komentare k novince ... Prestante tady spekulovat o tom, zda je to dost nebo neni! Jeste k tomu, kdyz o tom nic nevite Sorry.
Pro laika - co kdyz jim to vynesl db admin? Jak ho asi budou hlidat? Ty veci a zasahy a zmeny se audituji, oni dohledaji, kdo to byl, ale nejde to udelat tak, aby to neslo ukrast! Nejde!!! Nikdy. )))

[Alfajk]

Pro laika - co kdyz jim to vynesl db admin? Jak ho asi budou hlidat? Ty veci a zasahy a zmeny se audituji, oni dohledaji, kdo to byl, ale nejde to udelat tak, aby to neslo ukrast! Nejde!!! Nikdy. )))

ocividne o tom vis mnohem vic...nemaj sanci zjistit,kdo to byl,klidne si muzou myslet ze to byl nekdo z firmy,a pritom to mohl bejt hacker tamhle z uzbekistanu a nezjistej nic...

[Punky]

je zadarmo

ktory? ten klasicky "krabickovy"? ci mas na mysli ten na smartphony?

[Nekronaut]

Ten na smartphony samozřejmě, ale jde i na PC.

[Xkryspin]

Ano pokud by to byl někdo ultrauber super hrdina, pak nezjistíš nic... jenže takhle to v reálu nefunguje.

Aktivity spousty prvků se logují (samotné databáze, které jsou na různých místech, routery po cestě, přístupy do systému atd...) abys zametl stopy, musel bys ovládat všechna zařízení po cestě - a o tom dost pochybuju, že by se ti povedlo. Obvykle máš "pod kontrolou" jen jednu věc - takže stopy vevnitř se zametají jen tam, kde to jde, ale spoléhá se na úplné zametení stop venku.

Jednoduše z logů rozeznáš jestli něco přišlo z venku, nebo zevnitř. Jestli se šlo dovnitř databáze, nebo se databáze odnesla jako krabice. Jestli se šlo přes zabezpečení, nebo mimo zabezpečení. Jestli se šlo podle pravidel systému, nebo mimo ně ... (Zjednodušeně poznáš, jestli někdo vytáhl HDD z hotswapu a odnesl si ho, nebo si data zkopíroval na vlastní nosič, nebo přišel z lokální sítě, nebo data odešla po "veřejné" síti). Krom toho se hledají "přípravné práce" - tedy jestli někdo něco podobného "zkoušel" dříve atd.

Otázkou je jestli někdy přijdeš na to, kdo to přesně udělal. /Pokud je to vevnitř, pak už tam jsou další věci - jako kamery, svědci, otisky, nestandardní chování uživatele dříve atd./ pokud je to zvenku ... tak pak už se dost často přijde na pachatele až při pokusu to zpeněžit / využít toho co ukradl.

[Quetak]

1) Jenže mezi emailem a profilem žádné propojení není (navíc z pohledu hackera, který krade údaje a má málo času - pokud nemám přístup k "objektu databáze" ale jen "do databáze" - tak je to položka, kterou nepotřebuješ - a navíc tam pravděpodobně ani nebude).

2) Údaje se z bezpečnostních a výkonových důvodů standardně ukládají v různých databázích - tahle databáze vypadá, že se starala pouze o přístup do battle.net (a zřejmě obsahovala jen přístupové údaje). Servisní údaje (zaplacené služby) budou zřejmě v další. Platební údaje budou pravděpodobně v úplně jiné databázi (protože do těch se taky pravidelně neleze). A herní údaje budou v samostatných databázích pro každou hru zvlášť. Battle tag, bude pravděpodobně součástí databáze, která se stará o služby. Vedle toho bude samozřejmě ještě databáze pro webové služby - kam patří právě profily. (Aspoň takhle by to bylo navrženo, kdybysme to dělali my).

To víš určitě, že mezi mailem a bt není propojení tzn. že ikdyž ukradli maily tak nevědí k tomu mailu bt? Spíš se domníváš podle vyjadřování(pravděpodobně, zřejmě...v každé větě) a to mi jako záruka, že profil nelze propojit s mailem nestačí. Mám autent.klíčeku tak ani tak moc strach nemám,ale nemít ji a hrát na US tak pomalu propadám panice. Určitě tomu rozumíš víc než já o tom se nechci přít, ale některé tvoje názory mi příjdou dost krátkozraký a vše vidíš(nebo chceš vidět) jako dokonalej neprolomitelnej bezpečnej(ideální) systém a hackery jako neschopy, který ani nevědí co maj krást. Myslim, že ten co se tam naboural přesně věděl po čem jde a taky si to vzal a že by se tam nabourával jen tak pro srandu bez užitku pro něj pochybuju. Tím taky nechci říct, že blizz na bezpečnost kašle, protože tím by se odsoudil do záhuby. Každopádně pro tebe jako vývojáře je tohle dobrá ukázka čemu se snažit při vývoji zabránit na maximum.

[Xkryspin]

Jistý bych si mohl být pouze v případě, že bych to měl na stole. Proto ta pravděpodobně atd.

Ale podívej - tyhle systémy nenavrhují blbci, existují jisté "standardy". Navíc spousta věci, má nejen bezpečnostní ale i podstatné výkonostní dopady, takže pokud v DB jedna položka nemusí být, tak se vyplatí ji tam nemít...

Hackeři taky nejsou žádní blbci - v žádném případě bych si v životě nedovolil je podceňovat. Rozhodně bych chtěl umět to co někteří z nich dokážou, protože to je opravdu něco (oni dost často počítačům opravdu rozumí na té nejnižší úrovni). Jen se na ně nesmíš dívat příliš romanticky a z pohledu hřáče. Jenže to má jinou stránku - daleko černější:

Nechme obsah databáze stranou a pojď se na to podívat odjinud.

Jseš hacker. Máš loginy a hesla a máš dobrá klidně i ten profil přiřazený k tomu. A máš v zásadě 2 varianty:

1) Prohlížet všechny profily a vyhledávat v nich co se vyplatí ukrást? Projet 1000 profilů abych našel jeden zlatý na kterém trhneš 250EUR? To nezautomatizuješ ... vymysli pravidla, podle kterých by měl počítač automaticky ohodnotit equip? Navíc je to časově náročné žádat ty profily (nehledě na to, že je to riskantní žádat třeba tisíc profilů po blizzardu .... atd... a pak ještě můžeš narazit na ten všivý autenticator, nebo člověka co už změnil heslo. A pak co ... prodat věc ? Vysledovatelnou ? řešit limity na aukci? jak ten program naučit ocenit tu věc pro aukci? kde ty věci skladovat? ... je tam prostě příliš náročných ale... Vybírat si jeden profil - tohle by udělal romantik, ale ne člověk co má přístup do DB, která "chladne".

2) Prostě jet jeden acc po druhém - zkusit přihlášení - funguje - vybílit automaticky ... prostě zvendořit vše, zlato předat... - nefunguje - zahodit jako neplatný údaj (označit email k prodeji na spam nějakému script kiddie) a střelit peníze nějakému přeprodejci ...

[Quetak]

tak třeba na http://www.diabloprogress.com se dozvýš celkem rychle a snadno kdo na tom je dobře a kdo ne - samozřejmě tam nejsou všichni, ale časem tam bude většina top hráčů.

Jseš hacker. Máš loginy a hesla a máš dobrá klidně i ten profil přiřazený k tomu.

Když už mám tohle tak už pravděpodobně vím, kterej acc má přiřazenej autentikátor a těm se vyhnu.

[Punky]

Ten na smartphony samozřejmě, ale jde i na PC.

tak ten prvy rata s tym ze mas smartphone (cize nie je zadarmo pokial nemas ) a ten druhy az tak nepoznam, ale to je len nejaka "utilitka" ktoru ani blizz nepodporuje, nie?

[Nekronaut]

To je ten samej autentifikátor jako v mobilu, jen emulovanej pro PC.

[Xkryspin]

tak třeba na http://www.diabloprogress.com se dozvýš celkem rychle a snadno kdo na tom je dobře a kdo ne - samozřejmě tam nejsou všichni, ale časem tam bude většina top hráčů.

Jseš hacker. Máš loginy a hesla a máš dobrá klidně i ten profil přiřazený k tomu.

Když už mám tohle tak už pravděpodobně vím, kterej acc má přiřazenej autentikátor a těm se vyhnu.

Point taken. Může být - ok odfiltruješ tedy autenticatory. Ostatní problémy ti pořád zůstávají.

[Quetak]

Já hacker nejsem tak nemám takový uvažování jak nejlíp vybílit acc
Asi záleží po čem ten hacker pujde, jestli po goldech nebo itemech. Na goldy určitě druhá automatická varianta(bot), na itemy první varianta a to už musí dělat člověk(nebo 1000 číňanů) - nějakej op item pak třeba přes trade prodáš hodně pod cenou za 50m během minuty a máš goldy kterejch se jde taky rychle zbavit - nevím jak blizz rychle reaguje v případě hacku proti tomu hackerovi.

Ve wow mi vybrali acc (to byl impulz pro pořízení auth) chvíli než sem přestal hrát, měl sem tam nicotný goldy(asi 20k), prachbídnej materiál, ale i tak se jim vyplatilo dát 20e za transfer/rename toho charu na jinej server, nechápal sem, museli být tak na nule s výdělkem maximálně jednotky E v plusu. Jediněj reálnej důvod proč ukrást takhle postavu bylo, že byla v top15 v achievementech na serveru, hromady mountů, companionů atd. Ta postava jako taková byla jediná cená na tom acc a že by tohle třeba bylo náhodně udělaný pomocí automatu se mi moc nezdálo. Prostě si to nějak vytipovali...nevím...nebo sem paranoidní