• Willkommen im Geoclub - dem größten deutschsprachigen Geocaching-Forum. Registriere dich kostenlos, um alle Inhalte zu sehen und neue Beiträge zu erstellen.

Geocheck.org gehackt

OP
N

nah&fern

Geocacher
Wegen Hash-Algorithmen: Natürlich gibt es auch sehr komplexe (d.h. zeitaufwändige) Hashes, aber die normalen Hashes bieten tatsächlich nur eingeschränkt Schutz. Übrigens ist es da auch nicht so wichtig ob "gesalzen" oder nicht. Einen interessanten Artikel wie das vorgegangen wird habe ich mal hier gelesen: http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/ Das Problem ist bei den Koordinaten dann genau wie dort: sie sind nicht wirklich zufällig (der von MadCatERZ angesprochene Radius), was den Suchraum deutlich einschränkt.

Der nächste Eskalationschritt seiten der Cracker wäre, mit den gestohlenen Passwörtern in die Geocaching.com-Accounts einzubrechen um die Koordinaten direkt von den Ownern abzufischen. Zutrauen würde ich das solchen Kriminellen.

Aber back to topic: Hat zufällig jemand was gelesen ob der Angriff gegen geocheck.org schon am bzw. vor dem 17.1. begonnen hat? An dem Datum habe ich einige auffällige Logs in der Watchlist gehabt, u.a. einen FTF bei einem seit 10 Monaten ungefundenen Cache ("...bis plötzlich einer mit einer Koordinate um die Ecke kam..."). Der Cache hatte auch den Checker eingebunden
 
JackSkysegel

JackSkysegel

Geoguru
Ganz ehrlich? Ich bin mir wirklich nicht sicher ob ich das Ganze nicht sogar gut finden soll.
Es entwertet dieses Punktecachen noch mehr.
Gemogelt wird eh immer.
 
Zappo

Zappo

Geoguru
JackSkysegel schrieb:
Ganz ehrlich? Ich bin mir wirklich nicht sicher ob ich das Ganze nicht sogar gut finden soll.
Es entwertet dieses Punktecachen noch mehr.,.....
Zum Vergrößern anklicken....
Zumindest ist es für mich der sprichwörtliche Sack Reis - und nicht annähernd so schlimm - und umfangreich- wie zahllose andere Sachen, die mittlerweile als völlig normal gelten.

Ob man nun Caches so angeht, daß man sich um das Erlebnis bringt oder sich von vorne herein mit Caches zufrieden gibt, die nur nen Punkt aber nix sonst bieten - das ist für mich nur ne andere Seite im selben Buch.

Und mein Unverständnis breitet sich da ziemlich gleichmäßig über die Handelnden aus.

gruß Zappo
 
MadCatERZ

MadCatERZ

Geoguru
feinsinnige schrieb:
MadCatERZ schrieb:
Zudem hat der gute RS vergessen, dass Hashwerte keine Sicherheit bieten. Man kann ohne Probleme alle Koordinaten in 10 Kilometer Umkreis um die Listingkoordinaten gegen die Prüfsumme hashen, geht vollkommen automatisch und ist für jemanden, der die Fähigkeiten zum Einbruch hat, kein Problem.
Zum Vergrößern anklicken....
Du kennst nur den einen einzigen Hash-Algorithmus?
f
Zum Vergrößern anklicken....

Was war noch mal der Sinn von Prüfsummen/Hashes? Jeder Hash-Algorithmus kann auf die beschriebene Art überwunden werden. Und darauf zu setzen, dass niemand den Algorithmus errät, ist naiv. Und auch die Verwendung von Salt liefert keine engütlige Sicherheit. Zudem kann ein Angreifer recht leicht durch Einstellen eigener Lösungen beliebig viele Klartext-Hash-Paare erzeugen.

Und letztenendes finde ich es merkwürdig, jetzt dem Seitenbetreiber die Schuld dafür in die Schuhe zu schieben, dass es da draußen Menschen gibt, die ihr Hobby mit Hilfe krimineller Machenschaften ausüben.
 
eifriger Leser

eifriger Leser

Geomaster
Interessant wäre es zu erfahren wann ungefähr die Datenbank gehackt wurde und wann die Daten auf Facebook(?) eingestellt wurden. Wurde die Datenbank in einem Rutsch gehackt oder immer wieder angezapft?
 
Kurmainzer

Kurmainzer

Geocacher
Was regt ihr Euch eigentlich auf, über so ein paar gehackte Daten?

Ob man die Daten nun vorher auf Events, aus Foren, FB-Gruppen oder Spoiler-Foren generiert hat, interessiert weder die Dose noch den Cache an sich. Im Normalfall merkt der Owner das auch nicht, außer es geht plötzlich ein Ansturm auf seine(n) Cache(s) los, obwohl nach den FTF-Runden nur noch sporadisch Funde verzeichnet wurden.


machmalhalblang schrieb:
Nun ja, darüber, ob das 'Hacken', das Erraten unsicherer Passwörter oder die Ausnutzung von Sicherheitslücken gesetzeswidrig sind, kann man sicherlich vortrefflich streiten (allerdings nicht hier im Prollforum).
Zum Vergrößern anklicken....
Bist DU nicht eher der "Prolet" (um nicht zu sagen "Troll") des Forums?
 
8812

8812

Geoguru
Kurmainzer schrieb:
[...]
machmalhalblang schrieb:
Nun ja, darüber, ob das 'Hacken', das Erraten unsicherer Passwörter oder die Ausnutzung von Sicherheitslücken gesetzeswidrig sind, kann man sicherlich vortrefflich streiten (allerdings nicht hier im Prollforum).
Zum Vergrößern anklicken....
Bist DU nicht eher der "Prolet" (um nicht zu sagen "Troll") des Forums?
Zum Vergrößern anklicken....
Nein. Ich denke, er meinte damit Leute, die ein P nicht von einem T unterscheiden können. :lachtot:
 
XETRO

XETRO

Geonewbie
Bei meinem ersten gelegten Mystery habe ich schnell einen schönen eigenen Checker geschrieben. Der ist vielleicht nicht mal so sicher wie geocheck, aber im Falle des Falles träfe es nur meine eigenen Caches. Der Aufwand, den zu hacken, würde sich eher nicht lohnen.
Bei den bestehenden Checkern ärger ich mich jetzt immer über die aufwändige Eingabe. N XX und E XX könnten wirklich schon drinstehen. Und eine Möglichkeit zur Kontaktaufnahme mit dem Owner wäre auch nicht schlecht...
 
L

luppolo

Geomaster
Lining30 schrieb:
Bei den bestehenden Checkern ärger ich mich jetzt immer über die aufwändige Eingabe. N XX und E XX könnten wirklich schon drinstehen....
Zum Vergrößern anklicken....
Nein, könnte nicht drinstehen! Wir wohnen grenznah zwischen EXX und EXY. Mal braucht man dies, mal braucht man das. Und auch bei den Mysteries können die Listingkoordinaten EXX heißen und das Final liegt 1,5 km weiter auf EXY. Na, dann viel Spaß!
 
jennergruhle

jennergruhle

Geoguru
Außerdem sind die Vorlieben für die Koordinateneingabe ohnehin verschieden. Bei irgendeinem Checker (ich glaube es war geochecker.com) möchte ich immer in die Tischkante beißen, weil ich die Koordinaten NICHT in ein Feld als N°ab cd.efg E°hi jk.lmn per Copy&Paste befüllen kann, wie ich sie zuvor auch schon z.B. in den Notes, einem Texteditor o.ä. stehen habe. Stattdessen muss ich dort immer jede einzelne Ziffernfolge in zwei Felder klopfen. Das nervt!
Bei dem anderen (geocheck.org) kann man zwischen einem C&P-freundlichen Feld oder sechs einzelnen wählen.
Eine Möglichkeit zur Kontaktaufnahme mit dem Owner hat man stets über die Listingplattform, die braucht man nicht beim Checker.
 
XETRO

XETRO

Geonewbie
Es muss ja nicht bei jedem Cache vorgegeben werden, aber z. B. Berlin liegt sehr mittig, da geb ich ich halt die Halbkugel und Gradzahlen gerne vor. Und bei 13° Ost will ich nicht als Standardeinstellung West haben.
 
S

Sillytoppi

Geocacher
Kurmainzer schrieb:
Was regt ihr Euch eigentlich auf, über so ein paar gehackte Daten?
Zum Vergrößern anklicken....

Ich kenne mich mit solchen Sachen ja nicht so aus. Unter solchen Daten könnte doch auch das Passworte für den Zugang sein?! Mit einer gewissen Wahrscheinlichkeit könnten die Zugänge zum Online-Konto mit dem gleichen Passwort gesichert sein...
Hier liegt meiner Ansicht nach die wirkliche Gefahr dieser Aktion. (Die Empfehlungen zur Passwortbenutzung sind bekannt und müssen jetzt und hier nicht diskutiert werden. Die Praxis sieht aber meist anders aus.)
 
Kurmainzer

Kurmainzer

Geocacher
Also wer das gleiche Passwort (am besten "geheim" oder "qwert1234") sowohl für Geocaching und Online-Banking verwendet, dem ist nicht mehr zu helfen.
:kopfwand:

Das ist dann so etwas wie der Kandidat für den virtuellen Darwin-Award.
 
kohlenpott

kohlenpott

Geowizard
Wundert euch der Beitrag von Sillytoppi? Trennt doch mal das Wort zwischen dem y und dem t. Mehr braucht man dazu nicht zu sagen. :D
 
MadCatERZ

MadCatERZ

Geoguru
Einfach mal bei denjenigen Locals nachfragen, die seit ca. Anfang Februar von Geistesblitzen verfolgt werden...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben