gestriger Überfall auf das Philaforum!

Zitat

Original von Remosch
erron zum ersten:
deine diletantischen kommentare kannst du für dich behalten.
zweitens:
die passwortliste in der datenbank ist eine standart MD5 verschlüsselung, will heissen, da ist es egal was für ein passwort man hat, die dekudierung ist simpel. das gleiche würde ggf. auch für eine SH1 verschlüsselung gelten ... in diesem Sinne... remosch

Hallo remosch, dein erster Satz relativiert sich, wenn man den Wahrheitsgehalt deines zweiten Satzes selbst beurteilen kann.

Erstens heißt es nicht dekudierung und zweitens kann man MD5 nicht dekodieren. Deshalb kann es auch nicht simpel sein, denn es ist unmöglich.

Man kann jedoch MD5 kodieren und sich das Ergebnis ansehen. Lasse zum Beispiel "Heidi" kodieren und vergleiche in der MD5 Liste zu welcher User den passenden MD5 Code hat.

Informationen dazu habe ich auf meiner Seite, auf der auch die Liste der User (ohne MD5 und ohne Passwort) zu sehen ist. Jeder der dort aufgeführt ist, hatte ein besonders unsicheres Passwort.

Zitat

Der Hacker ist bekannt und aero oder ein anderer Macher hier sollte mit ihm ein ernstes Wörtchen reden und ihm die Konsequenzen seines Handeln im Extremfall aufzeigen das wirkt in den meisten Fallen schon.

Das ist ja wohl total lächerlich. Also ich habe immer nur darauf gehört, was mir meine Eltern gesagt haben und kein Fremder.

Zitat

Merke: Wer einem Besoffenen den Autoschlüssel in die Hand drückt für die Unfallfahrt trfft mit Sicherheit eine Mitschuld.

Hier wurde der Autoschlüssel aus der Hand gerissen, mein Freund. Jetzt komm nicht mit solche altklugen Vergleichen daher, die hier überhaupt nicht anwendbar sind. Außerdem kommt es auf den weiteren Schaden nicht mal an - alleine das Veröffentlichen von Daten, die in einer normalerweise nicht zugänglichen Tabelle stehen, ist wohl schon deutlich strafbar.

Zitat

Erstens heißt es nicht dekudierung und zweitens kann man MD5 nicht dekodieren. Deshalb kann es auch nicht simpel sein, denn es ist unmöglich.

Mit Hilfe von Wortlisten kann man fast alle MD5-Codes schon übersetzen. Man findet solche Tools im Internet massenhaft.

Remosch... ich bin ja mit dem MD5 auf Deiner Seite ... aber ... ein bisschen Rechtschreibung könntest Du wirklich mal üben Nimm's mir nicht übel, aber das ist wahr

Hallo Remosch,

weil man ständig in Foren von Leuten angemeckert wird, die nicht wissen worüber sie schreiben und die nicht verstehen, was andere schreiben, gibt es kaum Beiträge von mir. Wegen des außergewöhnlichen Sonderfalles habe ich mich heute wieder einmal hinreißen lassen.

Ich weiß, was du sagen willst, aber du verstehst offenbar die Fachsprache nicht.

Du willst mir sagen, dass du glaubst, die MD5 Verschlüsselung bietet keinen Schutz gegenüber dem speichern von Passworten im Klartext. Du begründest diese, unter bestimmten Parametern richtige Annahme damit, dass dir wähnt, man könne MD5 dekodieren. Vermutlich weißt du nicht, was dekodieren bedeutet. Dir wähnt, es würde bedeuten, dass man aus dem Code das Passwort berechnen könnte. Das kann man nicht. Denn Dekodieren heißt, mittels eines mathematischen Algoritmus den Ursprung berechnen zu können. Es gibt aber keine Formel, keinen Algorithmus. Man kann aus MD5 Codes keine Berechnung des Ursprungs, der unkodierten Zeichenfolge, vornehmen.

Was man aber sehr wohl kann, eine Tabelle erstellen mit zufälligen Wörten, diese in MD5 kodieren und einen zu knackenden MD5 Code damit vergleichen. Stimmt der MD5 Code überein, ist dein zufälliges Wort tatsächlich der gesuchte Ursprung. Du hast den Code aber nicht berechnet, also dekodiert, sondern du hast durch brutales und stumpfsinniges Erzeugen von Codes, zufällig die Übereinstimmung gefunden. Die Methode nennt man brute-force Angriff. Um kein mögliches Wort auszulassen, musst du alle erlaubten ASCII-Codes beim Passwort verwenden. Das ist in der Regel CHR(32) - CHR(175).

Was das bedeutet, will ich an einem Beispiel erklären. Nimm an, es gäbe nur 0 und 1 im Passwort. Das Passwort dürfte 3 Stellen haben. Dann wäre mit 0, 1, 10, 11, 100, 110 und 111 alles abgearbeitet. Wir haben aber hier kein Zahlensystem Basis 2 oder auch als Beispiel 10, da gäbe es bei drei Stellen 1000 Möglichkeiten, wir haben hier Basis 144.

Da ich nicht glaube, dass du verstehst wovon ich schreibe, schenke ich mir weitere Ausführungen dazu.

Deine Behauptung man könne MD5 Code dekopdieren ist falsch. Die Behauptung wird auch nicht richtiger, wenn dir andere Unwissende Recht geben.

Du hast schon mitbekommen, dass man aus MD5 Code Passwörter zurückfinden kann. Ja, das bedingt jedoch eine begrenzte Anzahl von Zeichen im Passwort und wird durch Worte, die man in Wörterbüchern findet, extrem erleichtert und es ist kein dekodieren! Es handelt sich um einfaches hacken! Alles klar?

Zu deinen lieben Worten:
Ich bin lange genug in der Thematik um das sagen zu können, wenn du wiederum es nicht kannst, ist das dein problem, aber welze deine unfähigkeit dann nicht auf andere.

"Welze" kommt von Walze und wird daher "wälze" geschrieben. Beleidigungen wie "Unfähigkeit" ahndet der Staatsanwalt. Ich kann ein Programm schreiben, dass Passwörter aus MD5 Code hackt. Wie wäe es mit einem kleinen Vergleichstest? Wir beschränken den Zeichenvorrat und die Zeichenzahl und jeder stellt ein Formular im Internet zur Verfügung, in das man MD5 Code eingeben kann, der aus den bestimmten Parametern besteht. Dann schaun wir mal, wer das richtige Wort am Bildschirm anzeigen kann. Ich schlage vor 4 Zeichen und die Buchstaben von A-Z und die Zahlen von 0-9. Das sollte zu schaffen sein.

Alternativ kann ich dir aus dem großen Zeichenvorrat den MD5 Code eines nur 4 stelligen Passwortes geben: f31938a8c32bdb6a02f229167b7a8b48

Da du ja lange genug in der Thematik bist und ich es wiederum nicht kann, wirst du mir das codierte Passwort sicher schon Morgen schreiben können. Viel Spaß beim googlen!

Damit du üben kannst, habe ich ein kleines Codier-Programm für dich gemacht. Gib oben den Text ein, mache einen Haken bei MD5 und klicke dann "Berechne".

Man muss hier zwischen Straftat und Schaden trennen. Sicher kann beides zusammentreffen. Hier ist es nicht zusammengetroffen. Zumindest sind bis jetzt keine direkten materiellen Schäden nachweisbar.
Schadenersatzansprüche dürften m.E. z.Zt. ausscheiden.

Es geht "nur" um die Straftat des Hackens an sich und der Veröffentlichung von Daten, derer sich jemand mit kriminellen Mitteln bemächtigt hat.

Und das sollte zur Anzeige gebracht werden.

Mit den meist folgenlosen Dummenjungenstreichen wie Scheiben einschießen, Luft aus Reifen lassen, Zigaretten klauen und Wasserbomben auf Passanten werfen haben diese modernen Streiche nichts zu tun.

Mich regt es auf wie unbekümmert heutzutage mit den Rechten anderer umgagangen wird. Das fängt mit den Urheberrechten an und hört (nicht) mit Passwörtern auf.

Zitat

Original von ReinerLeser
Noch einmal kurz zu der These, die Leute mit "dummen" Passworten seien selbst an ihren potentiellen Unglück schuld: Lasse ich mein Auto oder meine Wohnung unverschlossen und es wird dann eingebrochen, so sagt meine Versicherung ganz klar, daß ich fahrlässig gehandelt habe und verweigert die Zahlung. Im Prinzip weist sie mir also zumindest eine Teilschuld zu. Das bedeutet aber nicht, daß die Polizei und die Staatsanwaltschaft auch untätig bleiben dürften. Gruß, RL

Hallo RL,

bei fast jeder Anmeldung im Internet muss ein Passwort vergeben werden. Praktisch immer wird darauf hingewiesen, dass längere Passworte und das Einfügen von Zahlen und Sonderzeichen, die Sicherheit erhöhen. Wer das ignoriert erhöht sein Risiko.

Eine Teilschuld kann man auch dem Scriptproduzenten geben. Im Philaforum gibt es ja in echt Passworte wie dudu oder audi. Gab es noch kürzere? Auf meiner Seite sind 7-8 Zeichen das Minimum für ein Passwort. Bei der Hackerliste wurden auch achtstellige Passworte die nur aus Buchstaben bestehen aber in keinem Wörterbuch auftauchen nicht nur Zahlen sind und nicht dem Benutzernamen entsprechen, nicht gehackt! Es gibt auch bei brute-force Grenzen. Selbst wenn durch verbesserte Rechnenleistung einmal alle MD5 Codes von 7 Zeichen aus einem Vorat von 144 Möglichkeiten berechnet worden sein sollten, wird es noch lange dauern, bis das mit 8 Zeichen geht.

Um eine Vorstellung zu geben:
wäre ein Passwort maximal 7 Stellen lang und von A-Z erlaubt, wäre das bei 25 Buchstaben = 6.103.515.625 - also 6 Milliarden Datensätze mit MD5 Codes für nur 7 Stellen aus A-Z.

Armseelige 5 Stellen aus Ascii-Codes zwischen ! (=ASC(32)) und » (=ASC(175)) wären bereits mehr als 10x soviel, nämlich rund 62 Milliarden Datensätze.

Hätten wir vorgeschriebene 8 Stellen, wären es 184.884.258.895.036.000 Datensätze.

Alleine 7 Stellen wären 1.3 Trillonen Möglichkeiten (1.283.918.464.548.860)

Von solchen Datentabellen sind wir weit entfernt. Deshalb werden nur einfache Passworte gehackt. Die Hackertabellen enthalten sicher nicht mehr als 1 Milliarde erzeugte Codes. Das sind die Möglichkeiten bei nur 5 Zeichen! Natürlich wird auch "Leichtmatrose" gefunden, weil es ein bekanntes Wort ist. Ein Passwort mit 6 Stellen wie r%4§]« hackt heute noch keiner.

Die Tat des Hackers ist strafbar. Bei einem jugendlichen Straftäter könnten im besten Fall ein paar Tage Sozialarbeit anfallen. Ich würde sie ihm durchaus gönnen. Jeder der nur sein Passwort geändert hat, verlor Zeit die Geld Wert ist.

Zitat

Original von stampsx
bei fast jeder Anmeldung im Internet muss ein Passwort vergeben werden...

Dazu habe ich mal die unbedarfte Frage ob das überhaupt notwendig ist. Denn aus dieser Registrierung ergibt sich ja das Problem, das Objekt der Begierde. Für mich bedeutet Registrierung eigentlich nur, dass ich den Forenbetreibern die Möglichkeit gebe meine Daten zu nutzen. Für unerwünschte Werbung z.B.
Andererseits sagt eine Registrierung zwangsläufig nichts über die wirkliche Idendität aus, wenn man dies nicht will. Also wozu überhaupt registrieren?

Gibt es nennenswerte funktionierende offene Foren ohne Registrierung?

Einfache Frage, einfache Antwort. Es ergibt sich aus der Gesetzeslage. Ein Verifizierungsmail, ob die Emailadresse stimmt ist notwendig und die Eintrittsbarriere verhindert Roboter Spambeiträge. Im BDPH Forum war jetzt einmal chinesische Spam als Forenbeitrag, trotz der Barriere. Illegale Inhalte würden alle Foren füllen. Der Betreiber haftet! Die Anmeldung gibt dem Betreiber ein Minimum an Sicherheit.

Wer hat als jugendlicher nicht schon einmal Äpfel aus Nachbars Garten geklaut?

Ich müsste mich immer dafür bei den Geschädigten entschuldigen.
Hat sich der Hacker sich hier öffentlich für seinen Scheiss entschuldigt, nein.
Und er wird es wahrschienlich auch nie tun.

Ich habe fertig

Da nun @ aerotech im Umfragethread geschrieben hat, dass er selber zur Polizei geht, werde ich dann nicht mehr mit einer Anzeige tätig werden. Wie ich schon früher geschrieben habe, ist es auch besser, wenn er es als Forumsbetreiber macht, da er die nötigen Hintergrundinfos hat. Ab sofort werde ich mich wieder um die geliebten zackigen Schönheiten kümmern.

@ aereotech

Vielen Dank für die Info aus dem Parallelthread!

Dann les mal meinen Beitrag etwas genauer, ich hatte von einem Juristen geschrieben! Den habe ich auch schon kontaktiert und eine zufriedenstellende Auskunft erhalten. Meine Anzeige in Kladde war auch schon fertig. Ausserdem habe ich geschrieben, dass es sinnvoller ist, die Polizei am Ort des Täters einzuschalten, nicht die nächste beste Wache. Da @ aerotech nun selber tätig wird, lasse ich meine Aktivitäten jetzt ruhen. Für mich ist somit das Thema erledigt, da ja unser Wunsch nach Anzeigenerstellung erfüllt worden ist.

Ah, was ich jetzt gerade alles neues gelernt habe! Mit meinen Computer- und Briefmarkenkenntnissen bin ich vielen von euch unterlegen...

Doch bin ich enttäuscht, dass ihr einander gegenseitig angreift und teilweise nicht sachlich bleibt. Eure Wut richtet sich doch grundsätzlich auch gegen den oder die, die keine bessere Freizeitbeschäftigungen haben, als anderen Schaden zuzufügen und dabei noch stolz darauf sind. Nicht wirklich gegen die, die in Stundenlanger Gratisarbeit uns diese Plattform geschaffen haben!

Mich würde interessieren weshalb diese Hackerplattformen möglich sind, wo man seine Untaten zur Schau stellen kann?

Ich sage es mal ganz kindisch: SEID WIEDER NETT ZU EINANDER!!!

Schwan

Zitat

Original von Schwan

Doch bin ich enttäuscht, dass ihr einander gegenseitig angreift und teilweise nicht sachlich bleibt. Eure Wut richtet sich doch grundsätzlich auch gegen den oder die, die keine bessere Freizeitbeschäftigungen haben, als anderen Schaden zuzufügen und dabei noch stolz darauf sind. Nicht wirklich gegen die, die in Stundenlanger Gratisarbeit uns diese Plattform geschaffen haben!

Schwan

Diesen Worten möchte ich mich bedingungslos anschließen!
Es ist immer leicht, Fehler bei anderen zu finden. Gern bemängelt man alles Mögliche.
Aber einmal ein Lob aussprechen? Da könnte ja ein Zacken aus dem Krönchen fallen.

Daher hier einmal ganz deutlich:
Danke allen mods und admins!