Wie bereits in der Passwort-Reset E-Mail erwähnt, hat Ghost_Bear über diverse Exploits eine unbekannte Menge verschlüsselter Passwörter von der Clonk-Center Datenbank stehlen können. Leider ist mir entgangen diese Passwörter noch besser zu verschlüsseln womit diese u.U. über diverse Programme wieder entschlüsselt werden können.
Anscheinend hat Ghost_Bear so Zugang zu einigen E-Mail Accounts erlangt, deswegen möchte ich euch bitten, schnellstmöglich das Passwort eures E-Mail Accounts zu ändern, falls ihr das selbe wie auf dem Clonk-Center verwendet habt.
Ich möchte mich hier auch für alle Unannehmlichkeiten entschuldigen die durch den unsicheren Code des Clonk-Centers entstanden sind. |
Homepage
Ja das hat sehr viel mit dem Thema zu tun^^
Aber mach dich mal ran,bis Clonk Extreme Raus kommt haste ja noch zeit ;)
Du unsensibles Monster :<
hf :P
Laut gewissen Seiten soll es sogar Keygens für ClonkEndavour geben. Soll ich das auch an info@clonk.de mailen?
The People who register here, trust me that I don't allow someone to take their passwords. I decided to ban you for the good of the people who visit this page, not because of personal matters.
I have to admit, it was wrong to mention you directly in this News. Just as Sven2 pointed out that action only made a lot of mischief in the community and I'm sorry for that.
Tell me, where have I been lieing?
Zuletzt geändert: 14.03.2007 10:30
-.- I'm even leaved non-bruted hases and after that ban i cracked few, which matched with emails.
Imagine someone broke into your house sniffing in your cupboards. Then when you ask him, he tells you "oh, I'm just investigating your house security. I needed to take your keys for that, unscrew a few windows, but don't worry! I'm a good guy!". Of course it's nice if you tell them there's a security issue. But you don't need to store other people's passwords to do that. Let alone catch emails, etc.
Zuletzt geändert: 14.03.2007 08:49
"Can i try to hack your db?" "I'll tell you the bug's".
And when they agreed you can hack the db. But then do nothing with the stolen Passworts. It's good that you tell "some" bugs at tyron. But you said, "I'm not going to tell you *all* bugs".
And you, Tyron:
You acted emotionally, nothing more. And your lie about me is no good, you know? Stop making fire firing much more with throwing lie and lie in it :/
Just imagine:
1)I hack fkking site
2)I got needed passwrds
3)I dumped db
4)I defaced site, you all are shocked: Wow! How somebody dares! :O
5)I crapping into site alot and you having much more problems and conflicts
Do you like that? No? Me too - that is why i told about a bugs! But you acted so: maybe i should change my mind and do following steps? :/
Zuletzt geändert: 13.03.2007 21:12
Ich denke wenn Tyron oder wer anderes sagt was genau da vor sich geht/ging, werden es noch viel mehr Kommentare als du glaubst.
Ghost Bear hat dich (Tyron) angeschrieben, um dir zu sagen, dass er Passwörter gehackt hat?
Warum sollte er das tun, das wär (ist eig ja) ja taktischer Selbstmord (sehen wir ja hier)
Obwohl, vllt ist er ein ganz schlauer und vermutet, dass einige so denken und hat dies gemacht, um uns in sicherheit zu wiegen, und in wirklichkeit reißt er gerade mit den E-mail adressen die Weltherrschaft an sich...
Ne, ich finds nur irgendwie unlogisch, dass er es verkündet hat... Er wollte vermutlich nur zeigen, dass das Sicherheitssystem hier mist ist (was er ja geschafft hat). Vllt hatte er ja keine bösen Absichten, sondern wollte nur helfen (vielleicht!!).
Ach ich lösch einfach diese info mal aus meinem Kopf, das regt mich zusehr zum Kopfzerbrechen an, was in dieser hinsicht wohl sinnlos ist...
Nur eines:
War es so, dass er dir gesagt hat, dass er es getan hat, oder hast du es selbst rausgefunden Tyron?
Der Tag ist noch nicht zu Ende und mit diesem sind es schon 139 Kommentare, außerdem ist der Kommentar irgendwie sinnlos, du dementierst durch das Schreiben des Kommentars den Inhalt des Kommentars.
Ghost_Bear war doch so t0ll!
Wozu we fak hat er so 'n Schajß
angestellt? Naja. Die Situation
hat ja auch was gutes - der
CC-Code konnte verbessert werden.
Und wirklich schlimmes ausser das
die Paßwörter gestohlen wurden ist
nicht passiert, oder?
Etwas übertrieben finde ich das aber
auch, ich meine - 140 Comments in
2 Tagen?!
Zuletzt geändert: 13.03.2007 18:49
Obwohl. Armer Sören. Ich finde, die Diskussion wird langsam doof, vorallem wenn schon Ghostbears Wikisite ''beschädigt'' wurde...
I´m on Ghost Bear´s side, but it was not good of him to hack the password´s...
Trozdem fine ich es gerecht das erst die Hölle zufrieren muss bis er wieder entbannt wird!
Und sehr gut ist, dass Tyron so oft oder? HÖH? Wie hast du das eigentlich rausbekommen?!
Ausserdem ist Wissen doch keine Frage des Alters,obwohl es wirklich sein könnte,dass jemand Ghost_Bear eine rein***** will...
böhzes Kind... Pass auf, mit sowas machst du dir Feinde in der Musikindustrie =P
@Konsti
Es geht doch nicht um die Nachrichten, es geht darum, dass wie Tyron gesagt hat, er wenn er sich anmelden kann, wesentlich mehr Möglichkeiten hat, auf dem cc Schade anzurichten.
Das ist kein Argument. Nur weil er sein Freund oder ein Bekannter ist gleich sperren?
Genau das gleiche Argument wie das 1.
Wenn Ghost_Bear wirklich Nachrichten senden will, dann kann er es auch als Unregistrierter.
Ich finde es natürlich auch total bescheuert von Ghost_Bear, sowas zu machen, aber das ist noch lange kein Grund Ogre zu sperren oder zu bannen, solange er nichts Schlimmes gemacht hat.
[Nachrag:]
Er ist eh schon gebannt. Würde mich interessieren warum...
Zuletzt geändert: 13.03.2007 16:10
Ein Paar Argumente:
1. Orge und GB sind Freunde
2. Sie kennen sich persönlich
3. Orge hat bereits zugelassen, dass G_B Nachrichten über seinen Account verbreitet.
Also für mich stellt somit auch er ein Risiko dar, da G_B über ihn diegleichen Möglichkeiten hat, als wenn man ihn nicht gesperrt hätte.
Ich finde 3 Jahre Bann aber ein bisschen hart,weil Ghost_Bear hat doch mit Tyron Kontackt aufgenommen und ihm das alles erzählt...oder versteh ich da jetzt was falsch?
DjNic: Er wurde so lange gebannt, bis die Hölle zufriert.
Das wäre nicht möglich, da man trotzdem uneingeschränkt joinen kann. Außerdem wird ein Reg-Key-Bann wohl nicht so einfach sein, da Tyron imo keine Macht darüber hat. Oder?
ist es so also auch richtig? :S
Teert und federt ihn!1
...
Jetzt mal was anderes,
Könnte es nicht sein das Ghost_Bear wollte das Tyron die Lücken schließt damit er sein können als Hacker unter Beweis stellen kann?...
Wenn ja dann könnte noch viel mehr passiren...Is nur ne Theorie oder so
Zuletzt geändert: 12.03.2007 19:16
Im IRC gab's eine längere Unterhaltung deswegen.
Ausschnitt aus den Logs:
<GhostBear> I said
<GhostBear> Not i'm dangerous =\
<GhostBear> Tyron is
<GhostBear> And i have some things to prove it
<GhostBear> xD
<GhostBear> I will ask: "Mister Tyron, can i hack your db"?
<PeterW> And you won't gain it with threats
<GhostBear> I hacked it and then showed the mistakes
<PeterW> Quite the opposite
<GhostBear> Because i can't find out bugs without finding them out!
<Soeren> so basically you complain about beeing insulted _after_ you didn't care about tyrons rights and couldn't show the respect of asking first before you manipulated his belongings?
<PeterW> Well, Tyron feared what you might do with these bugs if you got angry
<Soeren> if you kick somebody, be prepared for beeing kicked back.
<Quit> GhostBear mutiert zu einem Windbird!
Zieh mir die Clunker für den Kommentar wieder ab, wenn du willst :)
Es gibt bisher keinen einzigen Hinweis warum er es nicht gewesen sollte, nur Argumente die dafür sprechen. Ghost_Bear und ich unterhalten uns schon seit 2 Wochen via E-Mails. Er hat mich auf einige Sicherheitslöcher aufmerksam gemacht (wofür ich ihm auch dankbar bin), meinte dann aber es müsse einige für sich behalten. Sein genauer Wortlaut war:
Enough for now :P I'm already warned you and you fixed most but if i not did it maybe some freak comed to your site and ripped it out :/ But i will leave few bugs for collection ^^
Da ich ein sehr schlechtes Gefühl dabei habe wenn jemand Wege weiß, die Daten anderer zu stehlen, habe ich mich dazu entschieden, ihn zu bannen. Damit hat er wesentlich weniger Möglichkeiten, ins CC einzubrechen. Anscheined hat er sich aber noch vor dem Bann (und wohl vor dem fixen der Sicherheitslöcher) einige Passwörter zur Seite gelegt die er jetzt laut einiger Quellen ausnutze um in die E-Mail Accounts anderer einzubrechen. Aber lieber dass als ihm den Zugriff zur ganzen Datenbank ermöglichen...
Zuletzt geändert: 12.03.2007 18:56
1.Ich hab keine Lust laufend zu suchen^^
2.Ich will nix haben, dass direkt meine Augen berührt
3.Das mit >Stimmt, hatte meine Brille nicht auf
war nur ein Scherz. Ich bin kurzsichtig, also kann ich den Bildschirm richtig sehen(brauchte nur ne Ausrede um nicht sagen zu müssen, dass ichs überlesen hab
GhostBear: Thanks for nothing.
Zuletzt geändert: 12.03.2007 18:18
Wenn du es umstellen könntest würde ich mich freuen.wenn du was machen kannst schick ich dir ne e-mail mit der e-mailadresse und den reg-code wenn du mir nicht traust kannst du es ja überprüfen.
Das mit dem "diese IP darf sie Seite nicht besuchen" funktioniert glaube ich nciht so einfach.
@"Anklage"
Vergess es... die Russen sind korruppt, da kannst du nix anrichten, vorallem wenn es sich um einen eindeutigen Minderjährigen handelt.
Ich wäre dafür das seine IP keine Clonk Seiten mehr besuchen darf!
Da steht nur, dass Tyron das plant, aber nicht ob er es schon umgesetzt ist!
eher nicht...
Find ich aber auch, ist ein bisschen zu kurz. Sogar bei Ogame wird man für einen Multi o.ä. bis 2033 gesperrt.
Zuletzt geändert: 12.03.2007 17:09
Siehe da!
Darauf kann man doch eigentlich herrauslesen das Tyron die Sicherheitsmaßnahmen verschärfst hat oder?
Übrigens: Können die neuen Passwörter eigentlich genauso leicht geknackt werden?
Ja das kann schon sein aber es kann auch sein das Ghost_Bear so in stress war und einfach vergessen hat seine ip zu ändern oder so :D
Das kommt darauf an, wie er sich die Passwörter beschafft hat. Und ich denke nicht, dass jemand, der zumindestens "fähig" ist, die gehashten Passwörter zu erfahren, auf seine eigene IP reinfällt.
Ah, Edit: Und du weißt schon, dass sich die IP im Allgemeinen bei jedem neu einwählen beim Provider ändert?
Zuletzt geändert: 12.03.2007 16:57
David Dormagen
Aktivität
Kommentare 739
Forumkommentare 153
Ideen 0
Links-Eintrag Nein
Votes 274
Clunker verdient 961
Kontostand Clunker 934
Ne Spaßbeiseite...Da Tyron die Ip hat kann er vergleichen ob die ip die die pwasswörter hat dieslbe ist wie von den Ghost_Bear der die "guten" Beiträge postet ;)
Ghost_Bear,CPPP
Lol :D
Von Ghost_Bears Projekten werden wir wohl auch nicht mehr viel höhren.
Zuletzt geändert: 12.03.2007 16:54
Meine Meinung: Hacken ist eine Straftat und sollte auch so geahndet werden!
1. In Russland andere Gesetzte gelten
2. Das Internet ein Intenationaler Raum ist, also werden sich alle streiten welches Recht zählt...
Das finde ich nun wieder viel zu hart. Außerdem dürfte von Österreich nach Russland eine Anzeige schwer zu erstatten sein. Also anzeigen finde ich doch sehr übertrieben.
Das Geständnis war ja nach der Tat. Aber dieser Thread auch. Der war sogar noch nach dem Geständnis.
Meine IP ist 87.187.98.183. Jetzt fang mal was damit an.
Du hast natürlich recht, aber wie gesagt, er wird es gewesen sein.
Ich mein ja bloß, dass, sollte es Ghost_bear nicht gemacht haben, es gemein wäre ihn zu bestrafen. Aber wenn er es war, soll er für immer und ewig gebannt werden!
Du kannst gerne sagen, dass ich und andere es uns zu einfach amchen, aber wenn tyron einen solchen Schritt amcht, dann wird er alle Eventualitäten in bertacht gezogen haben. (Sry, aber es nervt ein bisschen)
War das vor oder nach der Änderung der Passwörter? Denn wenn es davor war, könnte sich, wie gesagt, jemand für Ghost_Bear ausgegeben haben.
Die Browser geben den Websiten nur die Cookies zum "anschauen", die diese Websiten auch anschauen dürfen.
Nevertheless, i think it's good that he got banned.
Ist natürlich ok, denn erstens, ist es nicht deine Schuld und zweitens, hattest du bestimmt schon viel mehr Unannehmlichkeiten wegen des CCs und du opferst deine Freizeit um die Community zusammenzuhalten.
Aber wie konnte er überhaupt an die verschlüselten Passwörter kommen? Hat er es gewagt den CC-Server zu hacken oder muss ich mich evetulel von seiner Homepage fernhalten, da sie ja mein CC-Cookie lesen kännte?
Und ich währe btw für Salts, auch wenn ich danach noch ein neues Passwort bräuchte.
Ja.
Und was ist wenn der Hacker sich als Ghost_Bear ausgegeben hat und damit Tyron getäuscht hat?(auch Tyron kann ab und zu mal nen Fehler machen,oder?) Also gibt es ein Geständnis das unzweifelbar von Ghost_Bear stammt, oder einen anderen unumstößlichen Beweiß? Denn wenn sich wirklich jemand als Ghost_Bear ausgeben würde und wir dem dann glauben, tun wir Ghost_Bear Unrecht. Aber wenn es wirklich Ghost_Bear war, bin ich dafür, dass er auf dem CC gebannt wird!
Ich würde sagen, das reicht nicht. Ein Jahr Putzdienst auf dem ccan wäre schon eher angebracht.
Zuletzt geändert: 12.03.2007 16:24
(Swiss Army Knife)
pha, GB sollte sich ernsthaft entschuldigen :(
Damit wären wir zu 3.
Ich bring das Russisch-Roulette Werkzeug mit, aber Pschhhht!
Pscht! Ich bring Flammenwerfer mit, du den Besen!
TÖTEN WIR RUSSLANDS SCHNEE! %D
Zuletzt geändert: 12.03.2007 16:10
Ich check dein Kommentar irgendwie nicht
Woher weißt du das? Übersetz mal bitte die Stelle, wo es eindeutig gesagt wird?(tut mir leid, selbst kann ichs nicht, mein Englisch ist zu schlecht
Edit:Damit meine ich Mar =)
Zuletzt geändert: 12.03.2007 16:03
War es wirklich Ghost_Bear, oder hat sich der Hacker in Ghost_Bears Account eingehackt, um allen vorzugaukeln, dass es Ghost_Bear war? Ghost_Bear, warst du es?
The Question in English:Ghost_Bear, did you it really?
Ansonsten kann ich nur sagen, dass das eine Sauerei ist und das der Hacker sich schämen sollte, andere Clonker so schamlos zu schädigen!
Mach dir nicht draus, man konnte ja nicht wirklich ahnen, dass es so hinterhältige Clonker gibt.
War with Tyron, mean war with the whole community of Clonk. You could never win these war angainst all foederatet clonkers!
/Edit1/
@Smith
Also ich mach mit! Nun nach Libanon und Äthopien hätte ich gerade Zeit...
/Edit2/
Orge sollte gebannt werden... Er lässt das Umgehen der Sperrung von Ghost Bear zu.
Now WE saw, how the russian are in fact! People like you, are showing the others, that the prejudice are right, also if they aren´t.
Thats over the boarderline....
But you´re able to.
I think, if Michael knew, what you would have done, he wouldn´t have got your help!
/Edit3/
Wer verwendet denn überall das gleich Passwort?
Zuletzt geändert: 12.03.2007 16:09
All things i said is crap xD Ghost Bear rocks and he not damaging teh community ;)
Wer hat denn das gesagt?
Well now I see who are germans are in a fact... And Tyron i never expected you ask like such idiot... Not i'm dangerous to community - you danger! Saying what i used exploits is shit and not me damaging: you do it: you lying about what i did this, what i did that... Maybe you will say i hacked fbi.gov? huh? You lamer saying what i used exploits? o-O I not used it! -.-
Think of it... Not users:
@JuliusClonkus: stfu, you do not know real problem =\
@Sven2: I do not know what you saying but i not got your password because i not brited it. And now hash is useless
@Michael15:
Hm... I helped you with your Medic Clonk and shared you with some scripts... Acting so is kind? Okay...
Aber by the way: Ich wollte sowieso mal bißchen durch dir Welt trampen. Wer trifft sich mit mir in Russland? =)
Weil er es gesagt hat.
Ansonsten ist es selbstverständliche 'ne Sauerei.
Aber mir scheint, Ogre hat eine ambivalente Meinung über seinen russischen Freund. Ich bin ja kein Ausländerfeind, aber vielleicht auch Ogre mal überprüfen?
Tyron, please, tell me - how i could change my pass, so Ghost Bear will never get that?
Head one: How could you do that? Ghost Bear, i thinkd you are cool man, but you are evil, you are destroying our community... we ain't no friends no more.
Head two: Mwoahhahahaaaaa loooolish bobbler strikes back! How could ya think, wattafuck waz that? Huh? Yeah! Hell yeah! Cool, cool and cool. C&C is cool. Clonk is not bad. And me is Ogre.
Aber manche Leute trageh halt Masken. :/
@GhostBear:
So who gets the "o", huh?
If you stupid idiot mean,that you must steal our codes,go to an other
page,may be the page "www.howIcanbenotsostupidasIamatthismoment?.uk",
OK?
[/GHOSTBEARZURSCHNECKEMACH]
Sry an alle User,Mods und Admins,ich musst meine Wut mal rauslassen
-.-
So ne scheiße abzuziehen, ja ich bin sauer!
To Ghost Bear: What did you do? Why, by the hell, did you do it? Such a stupid action... I can't find more words for this "incident".
Ich wurde ja schon mal auf ccan gehackt, wer sagt mir, dass er es nicht auch war? Ne, also wirklich... Nun ja aber das hat gezeigt, dass man nie und nirgends sicher ist...
@joswei
:) Ich denk das isn bisschen viel aber jedem seines.
Aber ich kanns einfach nicht glauben.
Das ist aber nur relevant, wenn du das gleiche PW im E-Mail Postfach wie aufm CC benutzt hast.
Dafür müsste ich erneut einen kompletten Passwort reset für alle durchführen (ist mir beim ersten mal leider noch nicht eingefallen). Ich denke ich werde dafür noch eine Umfrage starten ob alle damit einverstanden sind. Jedenfalls sind die Sicherheitslöcher behoben und wir machen nun tägliche Backups, es sollte von daher schonmal sicherer sein.
Ja, Verschlüsselung war eigentlich das falsche Wort. Ich erstelle MD5-Hashes der Passwörter.
Das wäre mein Plan, wenn die Mehrheit der CC-Benutzer damit einverstanden ist.
Zuletzt geändert: 12.03.2007 11:11
Jetzt sagt nicht, das wär' nicht angebracht, stehlen soll sich doch nicht lohnen, wissen wir ja alle, nur kommen zu viele damit davon. Ich glaub' nicht, das er sich mit einem Bann von der Seite zufrieden gibt, manche haben eben viel Zeit...
Nun. MD5 ist schon gut, aber nicht perfekt. Mit Rainbow Tables oder Bruto-Force kann man die Passwörter durchaus entschlüsseln, sind sie nicht Weise gewählt. Eine weitere Codiermöglichkeit wäre eventuell md5(md5()) (jedoch eher sinnlos) oder Salts einzubauen, welche das ganze dann besser verschlüsseln. Wird der Salt nicht in der DB gespeichert (bsp in einer Configfile oder einer geschützten Klassenfunktion) ist es nachher praktisch unmöglich, das PW zu entziffern (sollte man es *doch* können träte das Problem auf, den Salt da rauszufiltern. Das wäre dann eher einfach, aber da durch den Salt das Passwort teilweise extrem vergrössert werden kann steigt die Hackzeit ins undenkbare. Aber das ist eine andere Sache)
Mein PW darf Ghostbear übrigens gerne wissen - ich hab es vor einigen Wochen per Zufallsgenerator erstellt und nicht geändert xP
Naja.... dass er ein scriptkiddie ist wussten wir ja... aber dass er soweit gehen würde?
Eh, just for your information... actually saving (encrypted or nonencrypted) pw's to your computer is NOT reporting bugs but abusing them... And what about the email accounts? going into other's email accounts is imho like stealing mail out of the mailbox... instead of ringing the door of someone and telling them eh... dude... your mailbox has a hole in it which is big enough to take mail out of it...
James: because Ghostbear "reported the theft"... And about Damage... If he has passwords, he already has done damage
Wen möglich könnte ein Admin sich die Zeit nehmen, jeden kleinsten Furz, der mit ihm zu tun hat, zu löschen? Hätte ich nicht gedacht, das der sowas macht, zum Glück habe ich für alles andere Passwörter..
Zuletzt geändert: 12.03.2007 06:16
Did it make also damage?
And, how did you find out who steal some pws from your Databank?
Tyron, and you dares ban me after things i told you? :/ Instead of using bugs i reported them you :/
You want war? ;) Okay...
Zuletzt geändert: 12.03.2007 02:40