Steam hakiran

Eto, jedna tužna vijest. - TheSixthAxis, IGN, Joystiq

Sto se foruma tice, znalo se od ponedeljka ako se ne varam. Ali sada ispada da nije samo forum hakiran, nego da su pristupili cijeloj bazi. Moguce da imaju i osobne podatke i podatke o karticama.

Ovo je grozno, i nadam se da nece zavrsiti gadno za Valve, a pogotovo za nas korisnike.

Uglavnom, kako je pocelo sa Sonyem ove godine, i nekolicinom manjih napada na neke MMO naslove i baze podataka, sada imamo jos jedan ogroman proboj.

Anonymus, kinezi ili rusi?

Jedna od stvari za koje nikad nebih očekivao da ih hakiraju.

Pa podaci su zaštićeni... Samo je pitanje vremena kada će odgonetnuti enkripciju.

Je li ovo provjerena informacija? Jer ono sto se spominje u official pismu je samo hashiran password, koji nema bas puno veze s enkripcijom.

Problem može nastati ako ste taj password koristili i na drugim mjestima

Postoji, ali dok oni to odrade (ako uopšte probaju), tim karticama će isteći važnost.

Uopće se ne brinem oko ovoga, karticu ne koristim niti sam ikada kupovao na svome accountu s nekom karticom (niti je imam), dam frendu lovu i gifta mi i to je to. A za password... Da ga netko i hackira lako vratim account kad tad jer imam sve žive račune i scan retail keyeva koje sam aktivirao.

  Gotovo sigurno da nije. Dati igru koju prodaju za 23E zato što im je hakirana baza, a nitko od korisnika nije nastradao - LOL. Dovoljna je jedna obična isprika, sve iznad toga je nepotrebno od strane Valve-a.

OK, osjecam se pozvanim objasniti, kad vec ima toliko zainteresiranih :-)

hash + salt nije isto sto i enkripcija. Hash se strucno zove 'digest algorithm', odnosno Hash je matematicka funkcija koja idealno za svaki unos stvara unikatni fingerprint, jednake duzine! Ovo je naravno, prakticno nemoguce, vec ce se odredjeni unosi 'preklapati' tj. dobit cemo isti izlaz za dva razlicita ulaza.

Hash funkcija NIJE reverzibilna, tj. jednom kad je unos pretvoren, ne postoji 'natrag' - sto je i logicno kad smo vec zakljucili da je izlaz uvijek jednake duljine, neovisno o ulazu.

Zasto se passwordi enkriptiraju? Recimo da vam je password "MojFrendEmil!"... ako se kao takav stavi u bazu, tko god je procita, vidjet ce da vam je to pass. Ako se pass odmah pri unosu hashira, to znaci da nitko osim prakticno vas (i text boxa) ne zna password u cistom obliku, vec se usporedjuje hash (npr. HDIOU71298AH). 

Logicno, ukucavanje samog hasha ce se tretirati kao ulaz, i biti hashiran sam po sebi, dakle jednostavno smo zastitili password.

Izmedju ostalog, ovo je razlog zasto ne mozete povratiti  svoju loziku, vec je samo promjeniti kroz formu.

Salt je samo skup byteova koji dodatno 'zamucuju' hash. Dakle, bez tocne 'kolicine soli', nemoguce je proizvesti isti hash, iako se koristi ista funkcija.

Enkripcija je ono sto vecina ljudi zove 'sifriranje'. Najjednostavnije, postoji kljuc, postoji algoritam, postoji unos.

Algoritam plus unos plus kljuc = enkriptirani podaci.

Algoritam plus enkriptirani podaci plus kljuc = dekriptirani, originalni podaci.

Ono sto je bitno ovdje zastiti je kljuc, jer je on... well.. kljuc za sva cudesa :-) Sto je veci, teze je 'probiti' enkripciju (ali nikad i nemoguce), ali proces enkripcije (i dekripcije) duze traje.

Cisto da spomenem da postoje i asimetricni algoritmi (RSA) koji imaju dva kljuca, jedan s kojim se moze samo enkriptirati, i drugi s kojim se moze oboje. U pravilu se koriste samo kad komunikacija ide kroz javni kanal (npr. internet).

Dakle, kako se to odnosi na nas?

Hashevi passworda su ukrani - boli me ona stvar. Jedina stvar koju mogu s hashevima je pokrenuti brute-force program koji ce pogadjati nasumicno kombinacije brojki i slova i kombinirati ih sa svakom mogucom kombinacijom soli, dok hash funkcija ne potrefi isti hash.

Sanse za to postici u ovom stoljecu sa ovom tehnologijom su jednake sansi da covjek malo poleti iznad stolice kad prdne.

Enkriptirani podaci kreditne kartice?

Mrvicu zafrknutije. Ako kljuc nije ukraden (sto bi bilo stupidno drzati u istoj bazi), onda bi to takodjer moglo potrajati tisucljecima, em dok pogode duzinu kljuca, em dok pogode kljuc, em dok pogode uopce algoritam!

A cak i da se to nekim cudnim cudom dogodi - kreditne kuce imaju osiguranje.

To znaci da ako ste vi pred neki dan kupili nesto na karticu u HR, a sutradan je netko kupio mlijeko u Americi, vasa kartica ce biti blokirana instantno, a vi nazvani za potvrdu. Takodjer, sav novac ce biti vracen.

Tako da bez brige. Nema razloga za paniku.