Sie sind nicht angemeldet.

Project-Dragon

"When I get sad, I stop being sad and be awesome instead. True story."

  • »Project-Dragon« ist der Autor dieses Themas

Beiträge: 1 827

Wohnort: Mannheim

  • Nachricht senden

1

Sonntag, 28. Januar 2007, 11:03

"Hacken" - Wie es funktioniert und wie man es verhindern kann.

Zitat

MODERATOR AND/OR ADMIN : I say this message deserves a sticky. I certianly don't need to take the time to post or write this - but - I am, for everyone's good. Many people can benefit from my advice - this deserves attention.

This is real insight into the problem. I did this for your users, and ALL users of SRO. I also did this to reassure a few people that my intentions were NOT bad, and I do NOT intend to wrong them.

========[START MESSAGE]=========

I've noticed a rash of hackers running about SRO - and truthfully, it pisses me off. I was confronted by one in-game, warning me to "watch out and don't try to offend the wrong people."

Yeah, right.

Well, the guy didn't know who he was dealing with. My curiosity was sparked. So - a few days ago - I set out to test my skills once more, it's been a long time ... but hey, once they're there - they're there for good. If you care to get an idea of what I am & what I do, this sums it up:

http://en.wikipedia.org/wiki/White-hat

I picked a few people. I ravaged their accounts. I gave them back when I was done. Why, why do all of this when you don't need to? Why waste so much time when you have nothing to gain? Do you want to know how long I've spent doing this?

Account 1: 10 minutes

Account 2: 6 minutes

Account 3: 5 minutes

Account 4: 1 hour ( This guy was a L70+, 33 years old - and a *programmer* no less. I dug up his secret question, I prepared a dictionary attack. If I wanted this guy's account - it was mine. I'm not about to go as far as bruting someone's account. But, I can. I left him alone.)

Account 5: This guy was smart. His snotty posts on boards pissed me off... I had a tough time digging up info on him. Lucky for him - he didn't publicize an e-mail address... except for one that he did not use as his login.

*Gasp* e-mail address.

Let me shed some light on this "hacking" we're all hearing about. Most everyone online, even the so called "bad" people in-game, are pretty good folks. I really - after getting to know people - haven't found a single person I did NOT like. There ARE people that I do not like - and that's braggards, script-kiddies, and goldfarmers. So you want to know what I'm going to do today? I'm going to potentially destroy the SRO account hacking problem. I'm going to let YOU know how THEY do it. Why? Because when you KNOW how people can DO something, you also can figure out HOW TO STOP IT. This is especially true when you _ARE_ the security hole.

Here we go:

HOW a SRO account gets hacked & stolen

1- A victim is picked.

2- Find their username

3- Find their e-mail address

4- Owned


Your secret answer is irrelevant at the moment. Your password does not matter. Once they have your username and e-mail, your account is theirs. So, I'd like everyone to take a moment ... and think of how you can correct this problem......

YES!

You need to treat your E-MAIL ADDRESS as your new SRO PASSWORD - DO NOT USE YOUR USERNAME(S)

You need to use a STRONG password on top of this. Use at least 8-10 characters, numbers AND letters. DO NOT USE A WORD IN A DICTIONARY.

People _CAN_ figure out your secret question. One person ... took "birthplace" as a question on their account. I found out the user's country.
I pulled up a list of the 10 major cities in that person's country. (towns & villages don't have hospitals). They were born in city #4. Account is hacked.

Another person - they listed their pet as their secret answer. So, I searched for their username - and an animal. Found their pet's name. Account is hacked.

Are you following a trend here?

The more you post online, the more information there is about you, the easier it is for people to "hack" your account. Yes, this *IS* what hacking *REALLY* is. Taking all of the facts you have available. Building on them. Finding out more information. Building on it ... keep building ... build more ... until you have the answer. My success rate was 80% in taking accounts I set out to take - using my head alone, and NO hacking tools, NO programming, NO cracking.

Let me sum this up for you, in a SHORT list of things you should keep in mind to safeguard your account from someone like ME.

1- Strong password. Press random keys on your keyboard, or use a password randomizer.

2- RECORD YOUR PASSWORDS. Write them down, that way you can use STRONGER passwords.

3- TREAT YOUR E-MAIL ADDRESS LIKE A PASSWORD. Use a NEW e-mail for ALL of your SRO accounts. Under NO circumstances should your username be in your password.

4- Don't fill in public profiles. People use them to hack your account.

5- Don't use the same username to post on boards as you use as a login. Can't stress this enough. That's 50% of your account lost.

6- Search for your OWN information on google. Anything you find - DON'T EVER USE IT AGAIN. This information is now INSECURE.

7- Watch out for XFIRE accounts. They show how much of a PRIME TARGET you are. (1K hours+ logged into SRO? You've got a fat account.)

If you've made a mistake with your account, DON'T PANIC. You can still save it - even if it has been compromised before.

Change your e-mail to something completely out of the ordinary. Something you've never used before.

Make it NOT a word, or a combination of 2 words and some numbers - the longer it is - the harder it is to figure out.

Change your actual name. Use the same fake name for _all_ of your logins.

When you set your passwords - don't be afraid to combine things. If your old pass was dog133 - change it to a combo of words plus numbers: car133bird331 - dumb as it looks - is a GOOD password VS a brute force attack. It's simple for you to remember, and it's HUGE when a scriptkiddie goes to attack it.

Nobody can advise you like someone who is REALLY into security. Joymax's security is shoddy. They suck. You have to take measures for your own good. You've just gotten advice from someone who's pretty good. I won't say I'm one of the best - as there are many better than me. Hey, give me credit - at least I'll admit it.

[ PS: About those guys who claim to break into Joymax's databases: 100% bull. I read that "chat with a hacker" - the guy either bruted or engineered. Trust me on that.]

Good luck everyone. I sincerely apologize to anyone whose account I've gotten into. You know who you are man. I hope you can forgive me. I took 1 global of yours - if you want the dime back, I'll send you a quarter. Smile

I've also tried to give Joymax some of my own insight on their problems. You want to know what they say?

Nothing. They don't give a **** about anyone. Keep that in mind.

Peace

Quelle: Silkroadforums.com
>> playing: DOTA 2

2

Sonntag, 28. Januar 2007, 11:18

Eigentlich nichts neues.



3

Sonntag, 28. Januar 2007, 11:26

Zitat

Original von Opodeldox
Eigentlich nichts neues.
das kann man so rautieren.

wenn bedarf besteht schreib ich da mal flux nen deutschen text zu, bzw uebersetze es.
[center][/center]

4

Sonntag, 28. Januar 2007, 11:35

Social Engineering...was sonst...

5

Sonntag, 28. Januar 2007, 11:40

Zitat

Original von tene

Zitat

Original von Opodeldox
Eigentlich nichts neues.
das kann man so rautieren.

wenn bedarf besteht schreib ich da mal flux nen deutschen text zu, bzw uebersetze es.


Man kann ein Sticky im Forum machen, aber die die leichte Opfer sind lesen das eh nicht und die, die wissen worum es geht brauchen es eigentlich nicht.

Viele werden auch einfach gehackt weil sie illegale oder "unterstützende" Programme für SRO benutzen, oder einfach zu leichtgläubig sind und gleich jedem vertrauen.



6

Sonntag, 28. Januar 2007, 11:49

"If you care to get an idea of what I am & what I do, this sums it up:

http://en.wikipedia.org/wiki/White-hat"

---->

"Nothing. They don't give a **** about anyone. Keep that in mind."

lol :rolleyes:

7

Sonntag, 28. Januar 2007, 11:56

Wo is der Zusammenhang dieser beiden Textstellen und was ist so lustig daran?

8

Sonntag, 28. Januar 2007, 12:07

einerseits sagt er(nach meinen englisch-künsten), dass er ein Hacker ist und
dann schreibt er, dass man den Hackern nicht vertrauen kann...

ich weiß, dass er damit nur ein "fehler" in seiner formulierung gemacht hat und entschuldige mich für das geflammte... :rolleyes:

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Bladetions« (28. Januar 2007, 12:07)


Project-Dragon

"When I get sad, I stop being sad and be awesome instead. True story."

  • »Project-Dragon« ist der Autor dieses Themas

Beiträge: 1 827

Wohnort: Mannheim

  • Nachricht senden

9

Sonntag, 28. Januar 2007, 12:14

Zitat

A white hat hacker, also rendered as ethical hacker, is, in the realm of information technology, a person who is ethically opposed to the abuse of computer systems. Realization that the Internet now represents human voices from around the world has made the defense of its integrity an important pastime for many. A white hat generally focuses on securing IT systems, whereas a black hat (the opposite) would like to break into them — but this is a simplification as a black hat will wish to secure his own machine, and a white hat will have no issues breaking into it in the course of his or her activities.


Zitat

"Nothing. They don't give a **** about anyone. Keep that in mind."

bezieht sich auf Joymax
>> playing: DOTA 2

10

Sonntag, 28. Januar 2007, 12:15

Im ersten sagt er ja nur, dass er ein 'Hacker mit Gewissen' ("White Hat" lol) wäre. Heißt. er möchte auf Sicherheitlücken hinweisen. Gibt's auch Vereinigungen, bsp. Chaos Computer Club. Die hacken aus den selben Gründen, und weil's Fun macht... <<"

Der zweite Satz bezieht sich auf Joymax und ihre Ignoranz.

11

Sonntag, 28. Januar 2007, 12:22

ok sry, dann war das wohl mein fehler ;(

12

Sonntag, 28. Januar 2007, 12:44

Zitat

Original von nothin2say
Im ersten sagt er ja nur, dass er ein 'Hacker mit Gewissen' ("White Hat" lol) wäre. Heißt. er möchte auf Sicherheitlücken hinweisen. Gibt's auch Vereinigungen, bsp. Chaos Computer Club. Die hacken aus den selben Gründen, und weil's Fun macht... <<"

Der zweite Satz bezieht sich auf Joymax und ihre Ignoranz.


Stimme dir zu.

Ich habe z.b. auch den Image Code umgangen, aber gebe die Lösung nicht preis, weil ich dem Spiel nicht schaden will, und da ich eh aufgehört habe mit iSRO habe ich auch keinen Grund Accounts leerzuräumen/zu cracken.

Ich habe Joymax eine Mail mit dem Patch geschickt, welches ich geschrieben habe, und hoffe das sie den Fehler beheben werden.

MfG
Fight the system, fight the state!! Fight capitalism, fight G8!!

13

Sonntag, 28. Januar 2007, 13:01

der Schreibt einen sooo langen text, wobei wir alle das schon x mal gesagt haben...es ist doch so einfach sich zu schützten....

ich übersetz kurz ins Deutsch (zusammengefasst mit Ergänzungen / Kommentaren vo mir):

1. Wähle als Passwort kein Wort, oder kein Passwort, dass man leicht erraten kann und vor allem wähle KEIN Passwort, dass etwas mit deinem Usernamen zu tun hat. Wähle am besten eine zufällige Zeichenfolgen mit Nummern und klein / gross Buchstaben (Sonderzeichen kann man ja nicht mal wählen, leider) z.b. uJk43df75Ki . Schreibt euch das PW am anfang halt auf aber NICHT Auf den Computer sondern auf einen guten alten Zettel und lernt es auswendig.
Ein Passwort in der Art ist mit Bruteforce ganz und gar unmöglich zu hacken, es würde Jahrhunderte oder mehr daueren, auch zum raten ist es nicht möglich.

2. Wähle eine komplett neue E-Mail, die nichts mit deinem Usernamen zu tun hat und auch nicht zu erraten ist! Erstelle am besten eine NEUE, eine die du sonst NIE NIE mehr verwenden wirst z.b. this45mailisjustfor8435sro@lol.de . Auch die kannst du dir ja auf einen ZETTEL (NICHT mit PC) aufschreiben.

3. Euer Accoutn Name sollte nicht zu erraten sein, darf nichts mit eurem Charakter Namen im Spiel zu tun haben und sollte auch nicht der gleiche sein wie in Foren wo ihr angemledet seit, am besten fügt ihr auch hier noch eine Nummernfolge an den Schluss an. Z.b. Zero9943.

4. Wähle eine schwere Secret Answer und nicht etwas einfaches wie birthplace oder Haustiername. Falls du sicher bist, dass du dein PW NIE ändern willst und es sicher NIEMALS vergisst, wähle am besten so eine dumme Antwort, die du selbst nicht mehr weisst. Z.B. Wtf964I97Dont36759HaveA865Secret454Answer
ODER die vieliecht bessere Möglichkeit:
Wähle als Frage etwas wie "Wie heisst meine Katze", als secret answer hast du aber IRGEND eine ander Antwort, der gar nicht zu dieser frage passt z.b. xtown4333.
Auch hier kannst du dir ja deine "wirkliche" Frage aufschreiben auf einen ZETTEL!

Beispiel: Du wählst als Frage "Wie heisst mein Hund"
Antwort: Köln45686

Eure wirkliche Frage währe in diesem Fall z.B. gewesen "Wo wurde ich geboren?", aber auch hier, schreibt nicht EINFACH nur die Antworth in, am besten fügt ihr noch eine Nummernfolge hinzu, z.B. den Geburtstag eurer Mutter / Vater oder sonst etwas das ihr merken könnt. Am besten aber eine Antwort wählen, die wirklich NIEMAND ausser euch weiss.

So das war eigentlich alles, wobei zu sagen ist, dass Punkt 2 und 3 unnötig ist, wenn man Punkt 1 und 3 einhält.

Wenn ihr nur Punkt 1 und Punkt 4 einhaltet, dann seid ihr gegen jegliches Bruteforce geschützt und auch gegen "Rate bzw. Ausfrag" Spielchenl.

Was euch noch passieren kann, ist das ihr euch einen Keylogger einholt, dass passiert aber eigneltich auch nur wenn ihr euch auf "dubiosen" Seiten herumtreibt und Bots / Hacks odä. herunterladen wollt.

Und wie gesagt schreibt ohre PWs NIE irgendwo im Computer auf, wennschon auf einen Zettel, den ir aufbewahren könnt, natürlich ist es am besten, wenn ihr es GAR nicht aufschreibt, sondern auswendig lernt!

Und noch was:

Schickt eure Daten ID / PW niemals ingame einem eurer Freunde, auch wenn ihr ihm vertraut, es kann dann z.b. passierne, dass ihr ausversehen nicht Whispert oder das der Freund die Nachricht in der MSG Box gespeichert lässt!

Edit:

Wenn ihr wollt könnten wir mein Beitra ja Sticky Machen und ich kann noch ergänzungen hinzufügen

Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von »Radon« (28. Januar 2007, 13:35)


Project-Dragon

"When I get sad, I stop being sad and be awesome instead. True story."

  • »Project-Dragon« ist der Autor dieses Themas

Beiträge: 1 827

Wohnort: Mannheim

  • Nachricht senden

14

Sonntag, 28. Januar 2007, 13:51

Zitat

Original von Radon
2. Wähle eine komplett neue E-Mail, die nichts mit deinem Usernamen zu tun hat und auch nicht zu erraten ist! Erstelle am besten eine NEUE, eine die du sonst NIE NIE mehr verwenden wirst z.b. this45mailisjustfor8435sro@lol.de . Auch die kannst du dir ja auf einen ZETTEL (NICHT mit PC) aufschreiben.

Erstmal Danke für deine Mühen :blume:

Aber muss man, um Accoundaten ändern zu können, nicht Zugriff auf die Email Adresse haben?
>> playing: DOTA 2

15

Sonntag, 28. Januar 2007, 14:26

kann sein, ich meine ja auch man soll die email neu anlegen, von mir aus bei hotmail oder so und diese dann ur auschschliesslich für sro bneutzten

16

Sonntag, 28. Januar 2007, 14:27

nun, was der gute herr da geschrieben hat, wurde doch schon so oft besprochen.
und jeder gesunde menschenverstand wird doch wohl wissen, das sein passwort nicht mit seinem usernamen übereinstimmen darf.
is für mich waste of time den text zu schreiben, so ein gibts tausend mal :)
Neid ist die größte anerkennung von Ruhm.
Umso mehr leute dich haten, umso besser bist du!





Warum ist eigentlich niemand stolz auf Deutschland? Warum darf niemand darauf stolz sein, Deutscher zu sein? Ausser natürlich, man hat eine rechte Gesinnung!
Denn sobald man in irgendeiner Art und Weise von sich gibt, stolz darauf zu sein ein Deutscher zu sein, wird man aufs übelste als Nazi beschimpft und kommt garnichtmehr zu Wort, zuegründen warum man stolz ist!

SonGuko

Fortgeschrittener

Beiträge: 357

Wohnort: nirgendwo und überall

Beruf: Schüler

  • Nachricht senden

17

Sonntag, 28. Januar 2007, 14:31

nein, und das ist der fehler im system von joymax!

€:

Zitat

Original von FanatiX
Umso mehr leute dich haten, umso besser bist du!

schreib dich nicht ab, lern deutsch
Unique-o-meter: Tiger Girl: 0 :b12a17: Cerberus: 3 :xD: Captain Ivy: 1 :P Uruchi: 0 :dom: Isy: 0 :b12a17: Lord Yarkan: 0 :wallbash: sos: über 20 som: 1 sun: 0
Powerlevelhelper v3.1 *2.2.2008*
100000/200000 sp = 50% 80ff 90 will ich gar nicht wissen
-=done with sro=-

Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von »SonGuko« (28. Januar 2007, 14:36)