Silkroad Online Forum

Ja es gibt diesen doofen bug das wenn man exchange macht seine daten id+pw an den typ weitergeleitet wird. Oder so war es mal obs immer noch so is kp

ich habe auch mal soetwas gehört wobei ich aber glaube das das schwachsinn ist , viele leute aber meiden exchange und bitten das man einen Stall aufmacht ...

er bekommt dann ne email mit id pw email lieblingsessen wohnort ...

ok, da das thema hier immer wieder durchgekaut wird : hier ne kurze erklärung

es scheint so das beim exchange die id und das pw(in "verschlüsselter form : hashwert") übermittelt wird. dazu muesste man aber folgende dinge erfüllen :
1. man müsste den traffic zwischen deinem rechner und dem sro server analysieren
2. man müsste in der lage sein, das eigentliche datenpaket zu identifizieren
3. man müsste in der lage sein, das über einen ständig geänderten algorythmus verschlüsselte datenpaket zu entschlüsseln
4. man müsste soviel grips haben das ganze durchzuführen

ergo : wenn die leute (ich spreche hier nich von den kleinen scriptkiddies...), an eure daten wollen, geht das nicht nur über exchange... ich habs am eigenen leibe erfahren müssen (oft genug hier im forum erwähnt : "Account hack (fast) ohne Folgen"). wenns über exchange geht, dann nur in den seltensten fällen (ein programm dafür ist meines wissen nicht public, es gibt aber foren (die ich hier nich nennen möchte) die sich mit den themen bezüglich netzwerkanalyse und dem hacken von einzelnen mmorpg accounts widmen...

soviel also zum thema "exchange bug"

"its not a bug, its a feature "

Ich würde sagen, dass die dich weniger Hacken als scammen wollen. Mir wollte auch mal einer ein Waffenelixier beim Storage über exchange abkaufen(hatte nen Stall aber er wollte unbedingt, dass ich zum Storage komm), vor dem Approve hat er das Geld nochmal von 200k auf 2k oder so gesenkt. Aber ich habs natürlich gemerkt ^_^

Heute, also vor 15min, wurde bei uns auf dem Server (Aege) anscheinend der SilkGuardien gehacked. Er geht auch stark davon aus, dass es am exchange liegt, da er nach eigenen Aussagen unvorsichtigerweise ein exchange angenommen hat. Und ihn daraufhin ein char: XyloLazer gehackt hat....

EDIT:
nach neusten Erkenntnissen hat der HAcker die Daten wohl doch aus einem SRO Forum ....

also ich kann mir nicht vorstellen, daß das so einfach ist,
dann würde wesentlich mehr accounts gehackt.

selbst eine account name + md5 verschlüsseltes passwd
dürften nicht zum hacken ausreichen da md5 eine einbahnstraße ist
und nicht wieder entschlüsselt werden kann, oder besser gesagt
das md5 passowrt zu entschlüsseln ist genauso wahrscheinlich wie das passwort zu erraten.

selbst wenn man den accountnamen weiss ist es bei
einem sagen wir mal 10-14 stelligen random passwort:

passwort: iha2406g&wn
email: wer433tt@ddffjert.tgzhj

mehr als unwahrscheinlich gehackt zu werden.
zum erraten des passwd braucht man mehr als 100 millionen versuche
mal 30ms (ungefähre zeit das passwd beim sro server zu verfizieren)
naja das rreicht für mehr als zwei menschenleben

durch da account hacking findet auch nur eine art evolution unabhängig vom spiel stadt, wer halt nur spielt und sich nicht mit den realen umständen beschäftigt,
für den ist es wahrscheinlich am besten so, so hat er mehr zeit sich mal wieder mit bildung zu beschäftigen.

ich halte es für sehr wahrscheinlich das im laufe der zeit jeder gehackt wird der ein unsicheres passwort oder email hat. ich möchte gar nicht wissen wieviele
passwort requests sro am tag beantworten muss die nur dem hacken von accounts dienen. das nimmt wahrscheinlich auch einen teil der netzwerkbandbreite weg und führt zu server traffic was letztendlich auch führ das laggen verantwortlich ist.

gruss
radeberger

Zitat

Original von radeberger
ich halte es für sehr wahrscheinlich das im laufe der zeit jeder gehackt wird der ein unsicheres passwort oder email hat. ich möchte gar nicht wissen wieviele
passwort requests sro am tag beantworten muss die nur dem hacken von accounts dienen. das nimmt wahrscheinlich auch einen teil der netzwerkbandbreite weg und führt zu server traffic was letztendlich auch führ das laggen verantwortlich ist.

und du bist dir sicher, dass die ihre e-mail und forumsachen auf dem gleichen server wie die gameserver liegen habn?
-_-'
bestimmt nich

aba um ma nun zum thema zurückzukommen (gg)
ich vertrau dem ganzen trotzdem nich ... also wegen exchange und party
mag sein, dass ihr jetzt teils entwarnt, aba das dort Bugs sind, die behoben werden müssen, gibt JM sogar offiziell zu...

natuerlich, md5 ist eine theoretisch eine einbahnstrasse. praktisch ist md5 das aber schon lange nicht mehr. wobei ich btw bezweifele, dass die pws auf dem sro server mit standard md5 gespeichert werden. die werden wenigstens salted sein, denn die jungs von joymax werden ja ein minimales verstaendnis von sicherheit haben. wenn sie das nicht sind, dann kann man mit md5 und ner rainbow table sehr einfach mit recht geringem zeitaufwand das pw herrausfinden. man braucht nicht einmal selbst eine mehrere 10gb grosse table zu haben/zu speichern, es gibt diverse internetseiten, die die tables zu verfuegung stellen und man nur noch den hash angeben muss.

und sollte der salt bekannt sein, ist es auch relativ egal ob sie salted sind oder nicht. sollte man tatsaechlich ueber exchange irgendwie an nen md5 hash vom pw kommen, dann macht man das "eben" 100 mal mit verschiedenen pws selber (mit eigenen accs, so das man pw und hash kennt) und dann ist es auch nicht mehr das riesenproblem, den salt rauszufinden, dauert halt nur n paar tage/wochen/monate, aber im vergleich zum bruteforcen eines "anstaendigen" pws minimalzeit.

edit: bei exchange/party gehe ich eher davon aus, dass sie an die id kommen und dann versuchen zu bruteforcen, weil man davon ausgehen kann, dass viele leute ein unsicheres pw haben.

Nein. Über Exchange kann man sowohl ID als auch PW rausfinden. Ein Bekannter von mir hat da so ein Programm was mal Public war, es aber jetzt nicht mehr ist. Also passt bei Exchange auf.

jupp da hat tene recht, aber der begrenzende Faktor bei md5
ist nicht die Zeit wie beim orginal bruteforce sondern die Anzahl der Terrabyte
der Datenbank welche die Relation Passwort zu MD5 Hash key auflösst.

Ich hab mal ausgerechnet, für ein 8 stelliges Random Passwort bestehend aus nur kleinen Buchstaben gibts es 208827064576 verschiedene Möglichkeiten für jede Möglichkeit braucht man nur fürs Passwort 8 byte Speicher, wieviel die Schlüssel
brauchen ist mir unklar weil Hash zu Passwort eine 1:n beziehung ist, das mach t dann nach meiner Rechnung 1555,88Gigabyte. Was heutzutage schon machbar ist.

Bei einem 14 stelligen passwort aus kleinen buchstaben und zahlen braucht man
80068773592363,5 Gigabyte und das Passt gerade so in den Hauptspeicher der Enterprise F oder wars Z.

Also kann man das am ende wieder auf die Problematik unsicheres Passwort zurück führen.

Nun wenn man diese Relation nicht speichern kann, läufts wieder auf Brute force hinaus, Passwort generieren MD5 verschlüsseln und mit Orginal MD5 key vergleichen bei Übereinstimmung zu sro gehen Passwort testen falls das
nicht funktioniert nächstens ausprobieren.

Der Geschwindigkeitsvorteil bei diesem Verfahren liegt darin das man nicht alle Passwörter bei SRO abgleichen muss, das geht wesentlich schneller da alles auf dem lokalen Rechner liegt, glaube bei md5 schafft ein pentium4 2.0 Ghz 9000 stück.
Über Internet schafft man so 100-200 Schlüssel da frisst der Übertragungsweg die meiste Zeit.

Also ich würde sagen man kann sich aus mit einem 14 stelligen Zufallspasswort bestehen aus 36-60 verschiedenen Zeichen noch durchaus sicher fühlen.

@Seyran
wenn du dein passwort auf der webseite änderst gilt das auch für deinen sroclient
hast ja nur einen account und ein passwort -> also eine logische Datendatenbank
die für beide Systeme gilt

Zitat

Original von sofalord
ok, da das thema hier immer wieder durchgekaut wird : hier ne kurze erklärung

es scheint so das beim exchange die id und das pw(in "verschlüsselter form : hashwert") übermittelt wird. dazu muesste man aber folgende dinge erfüllen :
1. man müsste den traffic zwischen deinem rechner und dem sro server analysieren
2. man müsste in der lage sein, das eigentliche datenpaket zu identifizieren
3. man müsste in der lage sein, das über einen ständig geänderten algorythmus verschlüsselte datenpaket zu entschlüsseln
4. man müsste soviel grips haben das ganze durchzuführen

ergo : wenn die leute (ich spreche hier nich von den kleinen scriptkiddies...), an eure daten wollen, geht das nicht nur über exchange... ich habs am eigenen leibe erfahren müssen (oft genug hier im forum erwähnt : "Account hack (fast) ohne Folgen"). wenns über exchange geht, dann nur in den seltensten fällen (ein programm dafür ist meines wissen nicht public, es gibt aber foren (die ich hier nich nennen möchte) die sich mit den themen bezüglich netzwerkanalyse und dem hacken von einzelnen mmorpg accounts widmen...

soviel also zum thema "exchange bug"

"its not a bug, its a feature "

NEIN! das muss man nicht tun!!!!


richtig das muss man tun und zwar mit dem editor

auch mit dem editor macht bar


genau das muss man nicht tun man muss nicht schlau sein um jemanden zu hacken man muss bloss viele programme besitzen die es einem möglich machen einen zu hacken

Gut ------ jetzt kommt das wichtigste -----nimmt niemals exchange angebote an,denn wenn ihr das tut bekommt der jeweilige besitzer eine txt datei wodrin steht welches lvl ihr seid guilde,char name,id,pw,komplete rüstung,hp,mp also klar text alles!!!!

Der jeweilige hacker benutzt das programm T-Search(ist ne freeware)dieses programm schickt auch eine datei mit ganz komischen zahlen wie z.b 01010100100010101010001000010100101010 das ist der code---den kann man mit hilfe des editors öffnen.DOCH der game guard blockiert das programm.Viele von euch kennen sicherlich das Programm SoftMod---diesesprogramm ermöglicht euch den game guard auszuschalten und einen zoomhack zu bekommen.
Also nimmt niemals exchange angebote an

Die quellen habe ich unter www.gamerzplanet.net gefunden

Zitat

Original von Death111
Ja es gibt diesen doofen bug das wenn man exchange macht seine daten id+pw an den typ weitergeleitet wird. Oder so war es mal obs immer noch so is kp

es gibt ANGEBLICH einen ->"CRACK"<- der es dem benutzer erlaubt die ID andstatt den charakter nick ingame zu sehen und zwar wenn er entweder party leader ist und du seine party joinst, oder aber wenn DU ihn exchangest (andersherum soll es nicht funktionieren weil bei ihm ja dann auch net das fenster kommt appliein exchange to [XXXXX]) da ich persöhnlich nur sage n kann, das 4 leute von Cottonclub in letzter zeit gehack worden, von einem sogar die geheimfrage geknackt wurde (Esmeralda) und der eigentliche besitzer selber sagt er hat dort beim erstellen der id nur i nen buchstabensalat hingeschrieben, und auch keiner der user eine richtige email angegeben hatte ist 100% klar das alle 4 user mit bruteforce gehackt wurden.

Da ebenfalls alle 4 user einer party von 7th sign gejoint waren halte ich das id einsehen per party auf jeden fall für möglich! das mit dem exchange ist so ne sache..


Joint am besten nur parties von eurer gilde oder union (oder halt leuten denen ihr trau) oder leitet selber immer die party, exchanged niemanden sondern lasst exchangen oder macht nen stall auf.

Es ist jedoch 100%tig NICHT möglich die geheimfrage oder das passwort des benutzers ingame sichtbar zu machen !

trozdem sollten alle auf der hut sein

GL

Gilt das mit der Party joinen auch dann, wenn man über das Party matching System in die Party kommt, oder nur wenn man eingeladen wird?