Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsHoster OVH gibt einen Einbruch in seine Systeme bekannt
Der Hoster OVH gab in einer E-Mail an seine Kunden einen Einbruch in seine Systeme bekannt. Der Hack betrifft sowohl Server in Roubaix, Frankreich als auch in Québec in Kanada. Es besteht der Verdacht, dass die Datenbank der europäischen Kunden des Unternehmens kopiert wurde. OVH gilt als der weltweit größte Server-Hoster.
Bin selber kein Kunde - aber wie mit dem Vorfall umgegangen wird, sieht erstmal sehr gut aus.... es werden detailierte informationen zu dem Angriff geben, über das verfahren der verschlüsselung, welche Daten betroffen sind und wie man die schwachstelle in zukunft ausmerzen will
Es gibt andere firmen, die meinen, dass so ein vorfall, schwäche aufzeigt.... aber erst dadurch können firmen zeigen, wie sie mit kunden umgehen und beweisen echte stärke
Nur seh ich irgendwie nichts was mit Hacken zu tun hat.
Die Täter haben lediglich einen email Zugang erhalten(wahrscheinlich durch social engeneering) und in den geschriebenen Mails Daten für den VPN Zugang gefunden. Das ist kein Hacken sondern menschliches Versagen seitens des Admins.
Und zum Thema gesalzene SHA-512 knacken. Kein Krimineller würde sich jemals die Mühe dafür machen. Es ist zwar nicht unmöglich aber der Aufwand steht in keinem Verhältnis zum Gewinn. Während bei denen noch die CPU an einem einzigen Passwort rödelt haben schon längst alle Betroffenen ihre Passwörter geändert.
Wundert mich nicht. Viele Leute und Firmen sind da, weil OVH der billigste Hoster bei großen Datenmengen ist, aber die Qualität bzw. Verfügbarkeit ist einfach nur schlecht. Ganz zu schweigen vom Support.
Sehe ich auch so. Alle Leute, die ich kenne, die mal was mit OVH zu tun hatten, sind super unzufrieden mit dem Support und der Verfügbarkeit der Server gewesen.
Die Aktion ist jetzt kein Gau, erleichtert einem aber wohl die Entscheidung zum Anbieterwechsel.
Durch die Cloudanbieter kommt man heute günstig an Rechenleistung (GPU und CPU) und kann durchaus mehrere Milliarden Passwörter in der Sekunde ausprobieren [1][2] (SHA512 ist ja im Gegensatz zu z.B. Bcrypt schnell wenn man nicht gerade mehrere tausend Iterationen macht [3]).
Wenn man 1000-2000€ investiert könnte man sicher schon an einige Passwörter kommen.
[...] Rainbow tables, despite their recent popularity as a subject of blog posts, have not aged gracefully. CUDA/OpenCL implementations of password crackers can leverage the massive amount of parallelism available in GPUs, peaking at billions of candidate passwords a second. You can literally test all lowercase, alphabetic passwords which are ≤7 characters in less than 2 seconds. And you can now rent the hardware which makes this possible to the tune of less than $3/hour. For about $300/hour, you could crack around 500,000,000,000 candidate passwords a second.
Given this massive shift in the economics of cryptographic attacks, it simply doesn’t make sense for anyone to waste terabytes of disk space in the hope that their victim didn’t use a salt. It’s a lot easier to just crack the passwords. [...]
Ohjee OVH halt... Ich muss immer sofort an dieses geniale Video denken wenn ich OVH höre Mistladen wenn man mehrer Server von denen mietet und übelste Latenzen/Paketlost/statt 10GE nur ~300mbit zwischen den Servern im selben! Rack hat... http://www.homerj.de/index.php?show=vods&play=3046&res=720p
Edit: da war wohl wer schneller^^ naja schlechts Timing
Wollte ich auch schon fast anmerken. Zu erklären was hashen bedeutet ist aber wohl zuviel Aufwand für den 08/15 Leser und es ist ja quasi verschlüsselt bloßt ohne Schlüssel und man kann es nicht rückgängig machen. Mehr verschleiert.
Wer SHA-512 mit salts für Passwörter nutzt, der belässt es aber sicherlich nicht bei nur einer Iteration. Das wäre schön schlampig.
Im Endeffekt liegt es aber wieder an der Sicherheit der Passwörter ob man sie knacken kann. Eine vollständige Rainbowtable für einen 512bit Hash legt niemand an (vor allem mit salt ist das aussichtslos), also hat man bloß den Vorteil unbegrenzt Passwörter (aus einem Wörterbuch) zu Hashen ohne nach drei versuchen aus dem login geschmissen zu werden oder eben die lahme login routine des Servers zu nutzen.
Wer ein Passwort hat das in keinem PW-Wörterbuch auftaucht der sollte kein Problem haben.
Der Link über GPU hashing performance redet auch von SHA1, dass ist dann schon nochmal eine Ecke schneller als SHA512 vor allem bei GPUs die keine volle 64bit Leistung bieten. Bcrypt lahm ist es nicht aber doch ein paar Jahre Technik unterschied.
Nur seh ich irgendwie nichts was mit Hacken zu tun hat.
Die Täter haben lediglich einen email Zugang erhalten(wahrscheinlich durch social engeneering) und in den geschriebenen Mails Daten für den VPN Zugang gefunden. Das ist kein Hacken sondern menschliches Versagen seitens des Admins.
....
Wie sollen sie sich den anders Zugang zum Mailaccount verschaffen als durch "illegale" Methoden?
Ich denke nicht das der Admin ihnen geholfen hat aber man weiß natürlich nie.
Absolut Seltenheitswert das die Firma von sich aus informiert. Bei vielen anderen Firmen wird erst bestätigt, wenn die News über den Hack durch die IT Landschaft wandern und es eh schon jeder weiss.
Wenn die aber schon so detailliert den Hashingalgorithmus angeben mit der Information gesalzener Passwörter, dann kann man imho schon davon ausgehen, dass sie auch eine Größenordnung der Iterationen genannt hätten, wenn sie welche nutzen würden.
Ohne OVH in den Schutz zu nehmen, aber die in dem Video sind einfach nur Vollidioten. Groß tönen wie sonstwas aber scheinbar nichtmal den Unterschied zwischen garantierter Bandbreite und angegebener Maximalbandbreite zu kennen. Denn die haben garantiert keine 100 Server à 300 Mbit/s garantiert um auf ihre angegeben 30 GB/s zu kommen.
Jeder der ein bisschen Ahnung von so etwas hat, weiß dass garantierte 30 GB/s ein Vermögen kosten.
