# Nvidia Foren Hack doch effektiver als gedacht



## Olstyle (16. Juli 2012)

Wie PCGH schon berichtete wurde in den letzten Wochen das Nvidia Forum Opfer einer Hackeratacke:
Nvidia Opfer einer Hacker-Attacke: Forum und Developer Zone offline

Damals wurde allerdings von Nvidia behauptet die Passwort Hashes wären "gesalzen". Das würde ein knacken selbiger unter vertretbarem Rechenaufwand quasi unmöglich machen.
Nun ist ein Teil der Datenbank allerdings öffentlich zugänglich und es zeigt sich dass die Hashes alles andere als sicher sind. Viel mehr handelt es sich um bloße MD5 Werte für die es im Internet vorgefertigte Rainbowtables(eine relativ kompakte Dateistruktur um schnell den Hash zu einem Passwort nach zu schlagen) gibt. Somit sind alphanumerische Passwörter welche nicht übermäßig lang sind kaum besser geschützt als Klartext.

Tipp aus der Quelle wie man schnell nachvollziehen kann dass die Hashes ungesalzen sind


			
				w1zzard schrieb:
			
		

> if you md5 12345678 you get 25d55ad283aa400af464c76d713c07ad
> 
> search for that text in the posted data and you will find it three times


Zu Deutsch: _Der md5 hash von 12345678 ist 25d55ad283aa400af464c76d713c07ad. Eben den Wert findet man in den geposteten Daten mehrfach._
Quelle:
techpowerup.com

Meine Meinung:
Dass kaum eine Datenbank sicher ist wenn sich jemand wirklich Mühe gibt an sie heran zu kommen muss man heutzutage schon fast akzeptieren. Unverantwortlich ist aber eine offensichtliche Falschaussage wie die hier von Nvidia getätigte. Zwischen "die Hacker haben eine unbrauchbare Datenbank" und "die Hacker haben die Passwörter zu x-tausend Benutzernamen" besteht schließlich ein himmelweiter Unterschied. Einfach nur  dafür.


----------



## M4xw0lf (16. Juli 2012)

Interessant. Die Frage ist doch: was will AMD mit den Daten der Nvidia-Forianer?


----------



## GoldenMic (16. Juli 2012)

Auch wenns mir keiner glaubt: Ich bin froh dort nicht angemeldet zu sein


----------



## Olstyle (16. Juli 2012)

M4xw0lf schrieb:


> Interessant. Die Frage ist doch: was will AMD mit den Daten der Nvidia-Forianer?


 Was AMD damit wollte wüsste ich auch nicht.
Allerdings sollte man die Faulheit von Internetnutzern nicht unterschätzen. Oft passt das Passwort, selbst wenn es ein recht kompliziertes ist, direkt auch für die hinterlegte Email-Adresse und von da kann man sich unter Umständen weiter ins Onlinebanking etc. arbeiten. Und spätestens dann sind die Daten aus einem "unnützen Forum" plötzlich Gold wert.


----------



## ΔΣΛ (16. Juli 2012)

Diese Hacks nerven einfach nur, sie sind fast schon so lästig wie Spam-Mails.
Erst kürzlich musste ich wegen eines Hacks mein Mail-Account Passwort ändern.
Mir kommt es in letzter zeit so vor als würden sich solche Angriffe häufen, eine neue plage kommt auf uns zu.


----------



## Olstyle (16. Juli 2012)

ΔΣΛ;4394173 schrieb:
			
		

> Erst kürzlich musste ich wegen eines Hacks mein Mail-Account Passwort ändern.


Eine Brute Force Attacke als Hack zu bezeichnet ehrt den Angreifer unnötig  .
Bei GMX wurden schlicht PCs dran gesetzt zu zufälligen Benutzernahmen zufällige Zeichenkombinationen als Passwörter zu versuchen. Das ist 1. Viel zu aufwendig 2.Bei jedem System mit Passwort grundsätzlich möglich. Wenn das Passwort länger als vier Zeichen ist und nicht in einem Wörterbuch steht ist man bei so einem Angriff zu 99,9999999% sicher.


----------



## kühlprofi (16. Juli 2012)

Olstyle schrieb:


> Eine Brute Force Attacke als Hack zu bezeichnet ehrt den Angreifer unnötig  .
> Bei GMX wurden schlicht PCs dran gesetzt zu zufälligen Benutzernahmen zufällige Zeichenkombinationen als Passwörter zu versuchen. Das ist 1. Viel zu aufwendig 2.Bei jedem System mit Passwort grundsätzlich möglich. Wenn das Passwort länger als vier Zeichen ist und nicht in einem Wörterbuch steht ist man bei so einem Angriff zu 99,9999999% sicher.



 Ich denke mal nicht, dass es bei jedem Weblogin so einfach ist. Vielleicht war das nun bei GMX so. Aber normalerweise werden Logins solcher etwas grösserer Webdiensten schon etwas besser gegen die Bruteforce-Attacke für Dummies gesichert. z.B. bei x falschen Loginversuchen wird das Konto gesperrt und eine "wieder reaktivierungs e-mail" an eine zweit E-mail des Users gesandt..

Aber du hast Recht, es ehrt den Angreifer unnötig. Zumal eine Brute-Force Attacke sehr auffällig, zeitaufwendig und deshalb auch besser Rückverfolgbar ist.

Ich persönlich glaube für AMD gäbe es interssantere Ziele bei NVIDIA zu infiltrieren anstelle des offizielen + dev Forums zu 'hacken' 

Ich habe schon öfters über sogenannte Exploite gelesen. Viele Foren die gehackt werden, sind teilweise selber schuld - wenn sie nicht die aktuellste Version des jeweiligen Forum benutzen sobald Exploite für ältere Versionen veröffentlicht wurden und jeder Dummie per Copy&Paste MD5 Hashs von Passwörtern beliebiger oder aller User auslesen kann.


----------



## TempestX1 (16. Juli 2012)

Olstyle schrieb:


> Damals wurde allerdings von Nvidia behauptet die  Passwort Hashes wären  "gesalzen".  Das würde ein knacken selbiger unter vertretbarem Rechenaufwand quasi  unmöglich machen. Nun ist ein Teil der Datenbank allerdings öffentlich zugänglich und es zeigt sich dass die Hashes alles andere als sicher sind. Viel mehr handelt es sich um bloße MD5 Werte


Die Admins gehören alle entlassen. Wer heutzutage Passwörter ohne Salt speichern lässt hat den falschen Job.


----------



## MATRIX KILLER (16. Juli 2012)

TempestX1 schrieb:


> Die Admins gehören alle entlassen. Wer heutzutage Passwörter ohne Salt speichern lässt hat den falschen Job.


 
Woher hast du diese Info.Gibt es ein Link dazu.


----------



## TempestX1 (16. Juli 2012)

MATRIX KILLER schrieb:


> Woher hast du diese Info.Gibt es ein Link dazu.


 Bevor du hier postest solltest du die User-News auch LESEN UND VERSTEHEN.


----------



## MATRIX KILLER (16. Juli 2012)

TempestX1 schrieb:


> Bevor du hier postest solltest du die User-News auch LESEN UND VERSTEHEN.


 
Das du deinen Post änderst konnte Ich nicht ahnen 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## razzor1984 (17. Juli 2012)

ΔΣΛ;4394173 schrieb:
			
		

> Diese Hacks nerven einfach nur, sie sind fast schon so lästig wie Spam-Mails.
> Erst kürzlich musste ich wegen eines Hacks mein Mail-Account Passwort ändern.
> Mir kommt es in letzter zeit so vor als würden sich solche Angriffe häufen, eine neue plage kommt auf uns zu.


 
Wenn mans genau betrachtet, hat man gute 10 Jahre auf Sicherheit einfach verzichtet. Viele kleinere Foren Unternehmen stecken in diesen Bereich nicht viel hinein. Nach dem Motto, einmal das System installiert und dann rennt es ^^ - Aber dass ein HASH, salted gehört is keine Neuheit, schließt auf eine grobe Vernachlässigung des dortigen Admins 

Kann mich noch an einen geilen Fall erinnern, Imobilien Gesellschaft mit 5 Clients, OS:XP. Keiner der Clients hatte einen Virenscanner, auf dem Server war ein 2 Jahre abgelaufener mcafee mit quasi null wirkung ^^ Alles war hinter einem Wald und Wiesen router   Hat mich zwei Tage gekostet bis alles "Sicher" war 

Edit: Bei welchen kürzlichen Fall haben die "Haxxer" eine Sql-injection benutzt? Dies hätte man auch wieder mit einer neuen SQL Version, recht eindämmen, wenn nicht gar Verhindern können ^^


----------



## my_gen3 (17. Juli 2012)

razzor1984 schrieb:


> Wenn mans genau betrachtet, hat man gute 10 Jahre auf Sicherheit einfach verzichtet. Viele kleinere Foren Unternehmen stecken in diesen Bereich nicht viel hinein. Nach dem Motto, einmal das System installiert und dann rennt es ^^ - Aber dass ein HASH, salted gehört is kein Neuheit, schließt auf eine grobe Vernachlässigung des dortigen Admins
> 
> Kann mich noch an einen geilen Fall erinnern, Imobilien Gesellschaft mit 5 Clients, OS:XP. Keiner der Clients hatte einen Virenscanner, auf dem Server war ein 2 Jahre abgelaufener mcafee mit quasi null wirkung ^^ Alles war hinter einem Wald und Wiesen router   Hat mich zwei Tage gekostet bis alles "Sicher" war
> 
> Edit: Bei welchen kürzlichen Fall haben die "Haxxer" eine Sql-injection benutzt? Dies hätte man auch wieder mit einer neuen SQL Version, recht eindämmen, wenn nicht gar Verhindern können ^^


 
Vor 10 Jahren war teils auch Software im Umlauf, die Passwörter im Klartext gespeichert hat.

Zu dem Fall mit der Immo-Gesell: Ich habe ähnliche Erfahrungen (privat und beruflich) ebenfalls oft gemacht - auch heute ist das keine Seltenheit.


----------



## Sight (17. Juli 2012)

M4xw0lf schrieb:


> Interessant. Die Frage ist doch: was will AMD mit den Daten der Nvidia-Forianer?


 
Made my day! 

Gut, das ich da nicht angemeldet bin!


----------



## Black_Beetle (17. Juli 2012)

Man merkt doch glatt das die Ferien beginnen bzw begonnen haben und schon sind paar Seiten wieder down.


----------



## evolution (18. Juli 2012)

razzor1984 schrieb:


> Edit: Bei welchen kürzlichen Fall haben die "Haxxer" eine Sql-injection benutzt? Dies hätte man auch wieder mit einer neuen SQL Version, recht eindämmen, wenn nicht gar Verhindern können ^^


 
Man kann nicht jeden Schwachfug gleich updaten wie zuhause am Heimpc. 
Was da ab Problemen alleine durch ein Update dazukommen kann....


----------



## razzor1984 (19. Juli 2012)

evolution schrieb:


> Man kann nicht jeden Schwachfug gleich updaten wie zuhause am Heimpc.
> Was da ab Problemen alleine durch ein Update dazukommen kann....


 
Man geht auf die nächste "stabel" version , nur eine SQL injection schließt auf mangelnde Sicherheit und eine fehlerhafte serverseitige implementierung.....
So eine Attacke, kann man weitgehen zb alleine mit einm Filter, der die Eingabe überprüft schon verhindern ^^
Wenn man will kommt man in faktisch jedes System, nur muss man es den "HaXXern" net noch leichter machen


----------



## stolle80 (21. Juli 2012)

Herzlichen Glückwunsch ihr ****löcher, wo kann ich jetzt bitte schön meine Probleme posten, und wer weiss wann die nächsten Treiber rauskommen?

Im Endeffekt haben die sich selber ein Ei gelegt, die haben doch sicher selber nvidia karten was für ein *Schwachsinn! *


----------



## kühlprofi (22. Juli 2012)

Das war doch Linus Torvalds.. weil Nvidia nicht so mitspielte wie er wollte.. 

Linus Torvalds - Nvidia F_ck You! - YouTube


----------

