War da auch der Edu Store betroffen? Da kam gestern nur ein Ops, file not found.

Im Hinblick auf die Cloude kann Apple dem Thema Sicherheit gar nicht genug Aufmerksamkeit schenken!
Aufpassen Apple! Datenschutz wird in Europa anders gesehen als in USA.

"Aufpassen Apple"?

Als ob die hier mitlesen ... LOL

bei anderen werden Kreditkarten infos geklaut…

Anonymous, das sind doch die gleichen Deppen die das PSN lahm gelegt haben. Die Verfolgung von Internetkriminaltiät sollte ausgebaut werden und weltweit heftigere Strafen geben. Dies sollten die gleichen wie bei Kapitalverbrechen sein.

Hallo gehts noch???
Die Jungs die Lady Gaga trojanisiert haben bekamen 18 Monate ohne Bewährung das reicht ja wohl.

Für den in Wipperführt 2009 tot geschlagene Jungen gabs Bewährung.

Das sind nur Password-Hashes. Das nützt dem Angreifer nichts.

Letztendlich haben die Angriffe auch was Gutes so schlimm sie sind: Es wird sich mehr um online Sicherheit gekümmert.

Ich denke auch das hohe Strafen wichtig sind und vor allem muss das auch massiv verfolgt werden. Dumm ist nur da so bestimmt auch leicht Unschuldige ins Fadenkreuz geraten können, wenn die Hacker Ihre Angriffe von Fremdsystemen aus starten und die Zugänge verschleiern.

roca123:
Da hast Du leider Recht, für Schäden am Lebewesen gibt es nur relativ Heringen Strafen im Vergleich mit den Strafen für Kapitalverbrechen. Das ist traurig.

Na, das war doch nur eine Frage der Zeit, bei all den prominenten Hacks der letzten Zeit. Bis jetzt haben sie Apple aber wohl nur gekitzelt.

Zum Thema Anonymous und Lulzsec sollte man mal fefes blog lesen.

Ansonsten bekommt man das alles nur gefiltert präsentiert, und die Berichterstattung ist da sehr einseitig ausgelegt.

Die sind einfach cool !!

Alles nur Medienrummel

Über Hashes lacht der mittlerweile. Auch die sind kein Problem und keine unüberwindbare Hürde mehr. "Brut-force" und ausreichend Rechenpower überwinden mittlerweile auch diese Hürden in respektabler Schnelligkeit. Das reduziert die notwendige Rechenzeit dann von ursprüngl. Jahren, Monaten und Wochen dann auf eine handvoll von Tagen, nur wenige Stunden, Minuten oder gar Sekunden, je nach Fall und Situation.

Ein mögliches Werkzeug dazu:

IGHASHGPU: Program to recover/crack SHA1, MD5 & MD4 hashes.

Der Rest ist nur noch eine Frage der Rechenpower. Und die lässt sich inwischen billig und nahezu unbegrenzt aus Standardkomponenten zusammenstellen und im Bedarfsfall clustern bis man die Leistung hat, die man braucht -- leistungsfähiger GPUs sei Dank, die bekommt man an jeder Straßenecke und in jedem Media Markt, Saturn-Hansa und wie sie alle heißen. Inklusive verschiedenr Spielkonsolen wie die Sony Playstation oder Microsofts X-Box, die ebenfalls mit sehr leistungsfähiger Hardware und vor allem leistungsfähigen Grafik-Prozessoren daherkommen.

julesdiangelo:

Bestätigend und ergänzend dazu u.a. auch:

Kristian Köhntopp: Sag zum Paßwort leise "Tschüß"...

The only secure password is the one you can’t remember

ZDNet: Cheap GPUs are rendering strong passwords useless

LulzSec hackers leak 62,000 email logins

PCPro: How a cheap graphics card could crack your password in under a second

Tom's Hardware: Harden Up: Can We Break Your Password With Our GPUs?

Slashdot: Brute-Force Password Cracking With GPUs

Helpnet Security: RSA admits SecurID tokens have been compromised

Slashdot: Phishers Hone Skills, Craft More Impressive Attacks

Computerworld: Spear phishers sharpen skills, craft 'incredible' attacks, say experts

Hier das Beutestück des erfolgten Einbruchs bei Apple:

ZDNet: Apple: Holy Grail for hackers?

Interessant auch dieser Leser-Kommentar bei heise: . Die Frage, die der genannte ZDNet-Artikel am Ende stellt und die dieser Leser aufgreift und nochmal heraushebt, die ist das eigentlich Interessante und Bedenkenswerte an dieser ganzen Geschichte bzw. an diesem erfolgreich durchgeführten Hack. Wie sicher sind vor diesem Hintergrund also die auf Apples Servern gelagerten Daten der viel interessanteren iTunes Datenbank mit ihren
Millionen Benutzerdaten und -kennwörtern einschließlich deren Kreditkarteninformationen?
Bisher wurden diese Server, wurde diese bei Apple vorliegende Datenbank noch nicht von außen ins Visier genommen. Bisher.

Siehe auch die jüngste Hack-Geschichte rund um Sonys Server ihres Playstaton-Netzwerkes. Mit ziemlich ähnlichem Datenmaterial drauf. Da ist der Einbruch erfolgreich geglückt. Und Millionen von Nutzerdaten und Kreditkarteninformationen sind in der Welt und in dunklen Kanälen verschwunden. Sony zahlt mittlerweile Entschädigung an die Opfer.

MacMarc
Ach nein, und warum denkst du werden die Hashes bei Unix seit Ewigkeiten separat und nur fuer root lesbar gespeichert (z.B. in /etc/shadow), oder bei NIS+ bei commands wie "ypcat passwd" ersetzt/maskiert durch '*'?

Da muss ich sierkb voll und ganz Recht geben...

someone & sierkb
Weil das System damit die Korrektheit der Paßworte prüft. Andere Accounts benötigen den Zugriff auch nicht.
Wenn Du einen Brute-Force-Angriff machst, dann nützen Dir die Hashes auch nichts, denn Du mußt mit oder ohne bekannte Hashes alles durchprobieren und auf schwache Paßworte hoffen. Die Hashes ersparen Dir keinen einzigen Rechenschritt.

MacMark:

Dir wird u.a. hier widersprochen, da es sehr wohl eine Rolle spielt, wie ein solcher Hash gebildet wird und wie leicht oder schwer er rückabgewickelt werden kann bzw. wie genau oder ungenau Schlussfolgerungen auf den Ursprung gezogen werden können:

Dave Dribin: How Mac OS X Implements Password Authentication, Part 2
Dave Dribin: How Mac OS X Implements Password Authentication, Part 1
Dave Dribin (Vortragsfolie): Passwords, Hashes, and Cracks - How Mac OS X Implements Password Authentication Oh My! (PDF)

Der 2-teilige Artikel bezieht sich zwar auf alte MacOSX-Versionen, und inzwischen hat sich da Einiges vor allem seit Leopard geändert, doch darauf geht der Autor im drunterliegenden Komentarteil des 2. Teils seines Artikels mit einem kurzen Kommentar ein und sagt was zur diesbzgl. Situation in MacOSX 10.5 und MacOSX 10.6 (die sich, was seine zuvorigen Ausführungen angeht, bis auf den Umstand, dass die NetInfo DB nicht mehr verwendet wird sondern stattdessen die Directory Services, seiner Aussage nach nicht weiter geändert hat).

Siehe zum Thema Hashes auch:

Kristian Köhntopp: Einige kryptographische Grundlagen , Abschnitt Hashes (runterscrollen, etwa am Anfang der 2. Hälfte des Essays) nebst Schlussfolgerung in diesem Abschnitt.

Es sind keine Paßwort-Hashes von Mac OS X, sondern von MySQL- und Oracle-Datenbanken, die einen anderen Hash-Type verwenden als Mac OS X.