Valves Steampowered-Server angeblich gehackt [Update]

rudy

rudy

aint no stoppin us now
Hallo Forum,

bestimmt denkt mancher/manche jetzt hier was soll dieses Thema hier im Geplauder.
Zur Begründung möchte ich jetzt anführen das mich das an viele Paraellen wie zum Beispiel der Visa Hack seinerzeit 2003 erinnert!

Auch hier wurden Kunden nicht informiert und die hacker gruppe konnte lange Zeit Ihr Unwesen treiben.
Obwohl der Hack Visa bekannt war

Selbst Neukunden die sich damals auf der Seite anmeldeten wurden nicht gewarnt

Aber hier ist es noch schlimmer:

der Link

http://www.heise.de/security/news/meldung/88560


Anmerkung:
die Seite heise.de/security/news/meldung/88560 wurde von mir bei validator.w3.org gecheckt und hat 20 Validierungsfehler...


Es würde mich mal interesieren wie Ihr darüber denkt....

gruss rudy
 
Zuletzt bearbeitet:
Gegen die Mikroseite, die von den ach so tollen Programmieren geschrieben wurde ist das gar nichts.
Ich rede von Google: http://validator.w3.org/check?uri=www.google.at

Irgendwie ist das auch wie die sehr viel harmlosere Version von Tschernobyl.
Desinformation kann sehr gefährlich sein. Trotzdem gibt es davon leider sehr viel.

Ich kenne mich mit den rechtlichen Grundlagen von Kreditkarten kaum aus, aber wenn immer alle so viel mit der Nummer anfangen können, dann ist sie vermutlich zu wenig geschützt (egal, ob technisch oder rechtlich). Vielleicht könnte mich da jemand genauer aufklären. Warum keine andere Zahlungsmethode verwenden?

Athaba
 
Kamikaze schrieb:
Was erwartest du? Die haben ein Table-Layout. Und Werbung erzeugt auch immer wieder Fehler.
Zum Vergrößern anklicken....

Hallo Kamikaze,

also kann das eigentlich in einem Satz zusammen fassen standardgemässe Seiten zumindest von Firmen erwarte ich das.

Sind diese das nicht, teile ich das dem Betreiber der Seite mit und schicke diesem noch dazu eine genaue Aufstellung der Fehler inkl.. Angriffsmöglichkeiten oftmals SQL-Injection
und das ziehe ich auch ganz konsequent durch..
Es gibt jede Menge Web Vulnerability Scanner mit der Du Webseiten testen aber auch angreifen kannst...

Das funktioniert ganz hervoragend mit nicht standardgemässen Seiten zum Beispiel der offizielle google blog ist so ein beispiel gewesen...

Unsere Forenseite entspricht dem Standard des w3c....

Auch wenn ich mich jetzt wiederholen sollte cross site scripting setzt genau hier an diesem Punkt an..

Übrigens jeder kann hier im Forum Webseiten testen und sehen ob diese dem Standard entsprechen, das kostet noch nicht mal viel Zeit, und kann über den offiziellen Validator des w3C online erledigt werden

LG rudy (bughunter)
 
Athaba schrieb:
Gegen die Mikroseite, die von den ach so tollen Programmieren geschrieben wurde ist das gar nichts.
Ich rede von Google: http://validator.w3.org/check?uri=www.google.at

Irgendwie ist das auch wie die sehr viel harmlosere Version von Tschernobyl.
Desinformation kann sehr gefährlich sein. Trotzdem gibt es davon leider sehr viel.

Ich kenne mich mit den rechtlichen Grundlagen von Kreditkarten kaum aus, aber wenn immer alle so viel mit der Nummer anfangen können, dann ist sie vermutlich zu wenig geschützt (egal, ob technisch oder rechtlich). Vielleicht könnte mich da jemand genauer aufklären. Warum keine andere Zahlungsmethode verwenden?

Athaba
Zum Vergrößern anklicken....

Hallo Athaba,

also was die rechliche Seite angeht bin ich auch überfragt, dann sehe ich das so wie Du da sind wir vollkommen dacore..
Nun ja der grosse GAU steht allerdings noch bevor Beispiel TJX: Vermutlich Daten von 45 Mio. Kreditkarten gestohlen was als der grösste Hack aller Zeiten bezeichnet wurde...

So wie einfach das Fälschen geht gebe doch mal einfach den Begriff EC Karten bei Google ein..
So da werden Programme frei angeboten meisten auf DOS Basis mit der Du Karten auslesen und beschreiben kannst nur ein paar KByte gross..
Dann benötigt mann noch werde aber nicht ins Detail gehen ein ....gerät so das kann relativ leicht zum Beschreiben umgebaut werden..
Bekommt nan für paar Euro Fuffzig bei Conrad dafür musst DU auch keinen Indetitätsnachweis erbringen wie bei demk o.g. Gerät...
So ECKarten Musterkarten kannste zum Spottpreis ganz legal erwerben, oder aber DU schreibst die Daten auf nen Tesafilm den Du dann auf die Karte über den Magnetstreifen klebst...
So zu den Spuren auf dem Magnetstreifen sage ich jetzt nichts gibt Unterschiede zur Mastercard..

Also zusammengefasst very simple oder falls Du es anspruchvoll magst kannste da auch viel mit Java machen....

Technische Dokus findest Du hierzu bei Sun

LG der rudy (bughunter)
 
Mit ein paar von den technischen Details habe ich mich schon bescäftigt, aber das ist schon ein paar Jahre her und war nur sehr wenig und auf Basis uralter Doku.

Wird das ganze nicht verbessert, weiterentwickelt oder ersetzt? Hier geht es doch um wichtige Dinge. Sind schon alle tot die sich mit der Materie auskennen?

Kommt das ganze nicht noch aus der Zeit, als man auch mit Münzeinwurftönen gratis telefonieren konnte und Phreaking generell in Mode war. Das ist ja ewig her und ich habe erst gehört, dass es so viele arbeitslose Sicherheitsexperten gibt.

Naja, immerhin habe ich wieder etwas für meine Seite :)

Athaba, hat sowieso schon lang nicht mehr dran getippselt
 
Es gibt leider immernoch Probleme, die ein valides Layout unnötig erschweren. Ich bin kein Webdesigner, aber bin beim letzten Versuch auch gleich auf etwas gestossen, was mit div und css Layout quasi unmöglich, mit Tabellenlayout aber pipi-einfach ist. (Wenns interessiert, es sollte Text in einem Div vertikal zentriert werden)
Weiterhin ist es momentan leider auch noch nicht so, dass ein valides Layout automatisch gute und gleiche Darstellung in allen Browsern bedeutet. Gerade Firmenseiten werden ihre Prioritäten auf grösstmögliche Kundenerreichbarkeit liegen, und es gibt ja da einen immernoch weitverbreiten Browser der durch eigenwillige Interpretationen den Webdesigner entweder zu zeitaufwendigen Workarounds oder zu invalidem Layout zwingt. Zeit ist Geld, und sofern der Kunde nicht explizit ein valides (X)HTML wünscht, kann man ihm schlecht von den Mehrkosten überzeugen, wenns auch so geht.. In der aktuellen 7er Version hat sich das zwar sehr gebessert, aber um möglichst viele Kunden zu erreichen, muss man auch noch den 6er und den 5.5er Internet Erforscher unterstützen.

Das waren jetzt aber meine allgemeine Meinung, warum im speziellen Fall hier nichtmal eine Dokumenttypdeklaration gesetzt wurde, ist mir völlig unklar.

Übrigens die oben verlinkte Heise-Seite hat 68 Fehler, und das Forum ist auch nicht fehlerfrei.. "Validate bei URL" entspricht meistens nicht der Realität, da w3.org zum einen keinen Javascript ausführt (der bei Heise z.B. die meisten HTML-Fehler produziert), und zum anderen wird für den user-agent "W3C_Validator/1.432.2.22" die Seite möglicherweise anders generiert als für Mozilla/5.. Ausserdem ist der Validator auch nicht im Forum angemeldet, und sieht somit keine Signaturen. Lustigerweise ist es gerade deine (Rudy) die Fehler erzeugt ;-)
Und da wären wir auch gleich bei dem Problem, das Kamikaze angesprochen haben, Zulieferer wie Werbeplattformen oder Forenteilnehmer können den davor validen Code "zerstören".

Fehlerberichte an Webmaster anderer Seiten dürften maximal bei kleineren Firmenseiten irgendjmd. interessieren.. Bei solch großen Seiten wie Heise wird deine Mail bestimmt nach /dev/null verschoben, oder von irgendeinem Supporter beantwortet der daran eh nichts ändern kann..

Gruss Maurice
 
nevixpain schrieb:
Ich verstehe echt nicht, was das mit dem Inhalt deines Postings und/oder dem Text auf der verlinkten Seite zu tun hat.
Zum Vergrößern anklicken....

Hallo Nevix,

also ich werde ab jetzt jeden Verweiss zu einer Website vorher testen ehe ich diesen dann hier in das Forum stelle.

Hintergrund für meine Vorgehensweise ist zu überprüfen ob das nicht zum Beispiel eine gefakte oder manipulierte Site ist..

Dazu nutze ich zum einen etliche Scanner oder aber Validatoren ein Beispiel gebe mal anstatt imagehacks iimagehacks an..

Diese Seite fängt Anfragen an die offizielle Site ab...

Nenne es meinetwegen paranoia aber ich werde das konsequent so durchziehen..

LG rudy (bughunter)
 
rudy schrieb:
Hintergrund für meine Vorgehensweise ist zu überprüfen ob das nicht zum Beispiel eine gefakte oder manipulierte Site ist..
Zum Vergrößern anklicken....

Der Validator von w3.org prüft afaik nur den HTML-Code auf Korrektheit.
Wie kannst du daraus schließen, ob die Seite von einem Dritten manipuliert wurde?

rudy schrieb:
ein Beispiel gebe mal anstatt imagehacks iimagehacks an..
Diese Seite fängt Anfragen an die offizielle Site ab...
Zum Vergrößern anklicken....

Wo genau angeben?
 
nevixpain schrieb:
Der Validator von w3.org prüft afaik nur den HTML-Code auf Korrektheit.
Wie kannst du daraus schließen, ob die Seite von einem Dritten manipuliert wurde?



Wo genau angeben?
Zum Vergrößern anklicken....

Hallo Nevix,

also nur alleine der Validator reicht dazu nicht vollkommen richtig, hierzu benötigst Du zum Beispiel eine spezielle Tracker Software und spezielle Scanner die Veränderungen aufzeigen, dann musst Du ja auch herausfinden ob zum Beispiel auch alles über die richtige IP von statten geht....
Es ist also die Kombination von verschiedenen Werkzeugen zum Beispiel unter Windows gibt es da Sam Spade in der Du IP auflösen kannst usw... usf...

Dann wo genau ich das gelesen habe :
siteadvisor.com/sites/iimageshack.us/

So dazu ein kleiner Epilog also habe mir gestern im Forum verschiedene Bilder angeschaut Desktops usw.., und da fiel mir auf das viele hier bei so jetzt aufpassen
imageshack.us Ihre Bilder hosten...

So ich wie immer schnell in die Tasten gehackt und da is es passiert das ich auf iimagehack.us gekommen bin.....

Dachte mir das ist aber komisch und habe mal meinen Suchroboter angeworfen und siehe da das hier gefunden...

siteadvisor.com/sites/iimageshack.us/

Also wie gesagt betreibe das hauptsächlich aus dem Grund um zu gewährleisten das Ihr euch auch dann:
a.) Standardgemässe Seiten anschauen könnt (soweit möglich zumindest teile ich euch dann die Fehler mit)
b.) Es dann auch die Orginalseiten sind..


Anmerkung mir ist auch bewusst das es keine vollkommen fehlerfreien Seiten gibt warum haben ja meine Vorposter sehr ausführlich dargelegt..
Dann beschäftige ich mich sehr mit CSS oder XSS Angriffen und die nutzen halt rigoros und gnadenlos fehlerhaft geschriebene Seiten aus....

Wen Du so willst halt auch um mein Gewissen zu beruhigen euch keinen Müll unterzuschieben...

LG der rudy (bughunter)
 
Zuletzt bearbeitet:
@moe: Wegen der Vertikalen Ausrichtung. Meintest du das hier?
http://de.selfhtml.org/css/eigenschaften/ausrichtung.htm#vertical_align

Zum Thema Werbung: Einfach brav blocken und irgendwann macht es hoffentlich keinen Sinn mehr. Wenn es einen Banner gibt, dann geht's ja noch, aber diverse Newsseiten haben ja massig Werbung (vor allem, wenn das Ding aus Javascripts oder Flash besteht ist es nervig). Ja, von irgendetwas müssen die ja auch leben, aber dann ist immer der, der sie nicht blockt der Blöde.

Übrigens ist es nicht der Sinn der Standards die Dinge komplzierter zu machen und Tabellen sind auch nicht verboten. Die kann man ja trotzdem valide machen.
 
Anmerkungen:
Dann beschäftige ich mich sehr mit CSS oder XSS Angriffen und die nutzen halt rigoros und gnadenlos fehlerhaft geschriebene Seiten aus....
Zum Vergrößern anklicken....

valider w3c Standard hat rein garnichts mit XSS zu tun. Auch absolut dem Standard entsprechende Seiten können zum Phishen benutzt werden. Beim Phishen mit XSS-Angriffen muss der Bösewicht nur irgendwie (durch XSS) eigenen HTML-code auf die Seite bekommen, dazu reicht ein schlecht geschriebenes Forum (Allerdings auf Seite der Server Scripte z.B. PHP, Perl, Python, usw. , die man aus dem Netz eh nicht einsehen kann, weshalb der w3c validator darüber auch keine Aussage treffen kann) das HTML nicht filtert. Zumal man in dem w3c validator ja gerade die URL eingibt, auf der man denkt, dass man sei, aber nicht ist... also schonmal ein grober Denkfehler.

also nur alleine der Validator reicht dazu nicht vollkommen richtig, hierzu benötigst Du zum Beispiel eine spezielle Tracker Software und spezielle Scanner die Veränderungen aufzeigen, dann musst Du ja auch herausfinden ob zum Beispiel auch alles über die richtige IP von statten geht....
Zum Vergrößern anklicken....

Die richtige IP das ist der Knackpunkt gerade deswegen nimmt man ja XSS-Attacken, um auf der richtigen IP seine Inhalte zu platzieren. Man wundert sich wie viele Banken fehlerhafte Foren oder Gästebücher oder Dinge mit ähnlicher funktionalität haben die nicht richtig abgesichert sind. Ein einfaches einfügen eines java Scriptes ein Nachbilden der login Seite und man bemerkt mit den von Rudy genannten Methoden rein garnichts.

Also am sichersten fährt man, wenn man java und javascript ausschaltet sich die URL genau anschaut und nicht über irgendwelche Links (z.B. in e-mails) zu der login Seite geht.

Gut stümperhaft gemachtes Phishing, bei dem einfach auf einem anderen Server das login nachgebildet wird erkennt man an der IP dafür wird aber nicht XSS benötigt (nur die möglichkeit dort eine Seite zu platzieren, kann ja auch der Server des Bösewichts in sonstwo sein) und der w3c validator hilft schon garnicht.


Obwohl das fingerprinting von Webseiten anhand von w3c Fehlern ein lustige idee ist, hilft sie in diesem Falle leider nicht oder nur wenn der Bösewicht völlig inkompetent ist, in diesen Fällen erkennt man aber meist schon am Aussehen der Seite das man offensichtlich falsch ist (von google übersetzte Texte, nur eine grosse rote Aufschrift BANK oder ähnliches alles schon gesehen).

Und der letzte und wichtigste Sicherheitstipp: selber informieren und nicht auf das verlassen was Andere sagen!!
 
Athaba schrieb:
@moe: Wegen der Vertikalen Ausrichtung. Meintest du das hier?
http://de.selfhtml.org/css/eigenschaften/ausrichtung.htm#vertical_align
Zum Vergrößern anklicken....
Ja allerdings wollte ich keine Tabellen sondern divs, und da gehts wohl nur mit einer Eigenschaft die besagt der div soll sich wie eine Tabelle verhalten (sorry mir fällt gerade nicht ein wie das hieß), das wird aber nur vom Mozilla interpretiert. Bilder oder sonstwas geht, aber kein Text :-(

Übrigens ist es nicht der Sinn der Standards die Dinge komplzierter zu machen und Tabellen sind auch nicht verboten. Die kann man ja trotzdem valide machen.
Zum Vergrößern anklicken....

Dass der Sinn im Verkomplizieren besteht hab ich auch nicht gesagt, dass es teilweise komplizierter ist stört mich persönlich auch nicht, ich habe ja einen Gegenwert indem ich mir relativ sicher sein kann, dass auch spätere Browserversionen die Seite richtig anzeigen, und das die Anpassung auf mobile Geräte etc. leichter zu handhaben ist.
Tabellen sind sicher nicht verboten, aber sie sind und waren noch nie dazu gedacht Formatierungszwecke zu erfüllen. Und zum Formatieren sollten sie verboten werden, tabellenverseuchter HTML-Quellcode liest sich noch schwerer als LISP-Code ;-)

Gruss Maurice
 
greenone schrieb:
Anmerkungen:


valider w3c Standard hat rein garnichts mit XSS zu tun. Auch absolut dem Standard entsprechende Seiten können zum Phishen benutzt werden. Beim Phishen mit XSS-Angriffen muss der Bösewicht nur irgendwie (durch XSS) eigenen HTML-code auf die Seite bekommen, dazu reicht ein schlecht geschriebenes Forum (Allerdings auf Seite der Server Scripte z.B. PHP, Perl, Python, usw. , die man aus dem Netz eh nicht einsehen kann, weshalb der w3c validator darüber auch keine Aussage treffen kann) das HTML nicht filtert. Zumal man in dem w3c validator ja gerade die URL eingibt, auf der man denkt, dass man sei, aber nicht ist... also schonmal ein grober Denkfehler.



Die richtige IP das ist der Knackpunkt gerade deswegen nimmt man ja XSS-Attacken, um auf der richtigen IP seine Inhalte zu platzieren. Man wundert sich wie viele Banken fehlerhafte Foren oder Gästebücher oder Dinge mit ähnlicher funktionalität haben die nicht richtig abgesichert sind. Ein einfaches einfügen eines java Scriptes ein Nachbilden der login Seite und man bemerkt mit den von Rudy genannten Methoden rein garnichts.

Also am sichersten fährt man, wenn man java und javascript ausschaltet sich die URL genau anschaut und nicht über irgendwelche Links (z.B. in e-mails) zu der login Seite geht.

Gut stümperhaft gemachtes Phishing, bei dem einfach auf einem anderen Server das login nachgebildet wird erkennt man an der IP dafür wird aber nicht XSS benötigt (nur die möglichkeit dort eine Seite zu platzieren, kann ja auch der Server des Bösewichts in sonstwo sein) und der w3c validator hilft schon garnicht.


Obwohl das fingerprinting von Webseiten anhand von w3c Fehlern ein lustige idee ist, hilft sie in diesem Falle leider nicht oder nur wenn der Bösewicht völlig inkompetent ist, in diesen Fällen erkennt man aber meist schon am Aussehen der Seite das man offensichtlich falsch ist (von google übersetzte Texte, nur eine grosse rote Aufschrift BANK oder ähnliches alles schon gesehen).

Und der letzte und wichtigste Sicherheitstipp: selber informieren und nicht auf das verlassen was Andere sagen!!
Zum Vergrößern anklicken....

Hallo greenone,

stimme Deinen Aussagen ohne Einschränkungen zu, dachte ich hätte es besser herausgestellt das der Validator nur ein Teil im Puzzle eines Konzepts ist.
Ja da muss ich wohl noch ein wenig daran arbeiten das ich mich dann verständlicher ausdrücke..
Phishing ist aber nur ein Teil beim XSS, da gibt es noch etliche andere böse Sachen wie gesagt, etwa 100 Variaten soll es zur Zeit geben offiziell denke es sind noch viel mehr..

Dann in Kombination mit SQL Injection oder CLRF oder andere noch perfiderer Angriffsmöglichkeiten echt brandgefährlich...
Also mann/frau muss sich bewusst werden das es immer neue Angriffstechniken gibt auf die man dann nicht mehr mit alten Konzepten reagieren kann..
Auch die Hersteller von Firewalls denken da inzwischen um....
Denke hier zum Beispiel auch an virtuellen Maschinen und darau konzipierte Angriffsmöglichkeiten die so bis vor kurzem nicht vorstellbar gewesen wären..

Also verspreche an mir zu arbeiten un mich klarer auszudrücken,

in diesem Sinne der rudy
 
rudy schrieb:
Hallo Forum,

bestimmt denkt mancher/manche jetzt hier was soll dieses Thema hier im Geplauder.
Zur Begründung möchte ich jetzt anführen das mich das an viele Paraellen wie zum Beispiel der Visa Hack seinerzeit 2003 erinnert!

Auch hier wurden Kunden nicht informiert und die hacker gruppe konnte lange Zeit Ihr Unwesen treiben.
Obwohl der Hack Visa bekannt war

Selbst Neukunden die sich damals auf der Seite anmeldeten wurden nicht gewarnt

Aber hier ist es noch schlimmer:

der Link

http://www.heise.de/security/news/meldung/88560


Anmerkung:
die Seite heise.de/security/news/meldung/88560 wurde von mir bei validator.w3.org gecheckt und hat 20 Validierungsfehler...


Es würde mich mal interesieren wie Ihr darüber denkt....

gruss rudy
Zum Vergrößern anklicken....

Scheißegal, ich hab keine Kreditkarte !

Und wenn ich eine hätte, würd ich sie nie im Internethandel
verwenden!
Außerdem zock ich weiter unbeschwert CSS und hab mich bei Headshots
verbessert -> innerhalb von 5 Minuten schaffe ich 10 Headdies mit der
normalen Desert Eagle1^^111°°°1!°°°°!!!!!!

MfG und Butzi, euer Lord, IT-Consultant und Counter Strike Source
Zocker >:-D
 
Lord_British schrieb:
Scheißegal, ich hab keine Kreditkarte !

Und wenn ich eine hätte, würd ich sie nie im Internethandel
verwenden!
Außerdem zock ich weiter unbeschwert CSS und hab mich bei Headshots
verbessert -> innerhalb von 5 Minuten schaffe ich 10 Headdies mit der
normalen Desert Eagle1^^111°°°1!°°°°!!!!!!

MfG und Butzi, euer Lord, IT-Consultant und Counter Strike Source
Zocker >:-D
Zum Vergrößern anklicken....

Hallo Lord,

eigentlich ging es mir hier weniger ums Zocken, gebe zu bin kein Zocker und Gratulation zu Deinen Ergebnissen..

Nein vielmehr wollte ich wissen was Ihr über die Informationspolitik der Firma denkt...

Habe mich vor Jahren mit den Möglichkeiten von Kreditkarten beschäftigt und denke mir einbilden zu können mich da sehr gut auszukennen..
Habe das ja auch mal kurz angedeutet ohne ins Detail zugehen... very simple!

gruss rudy ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben