Хочется прокомментировать события последних дней, касаемо взломов персонажей. ДС - старая игра и у нас много сервисов и скриптов, в том числе и старых. Более 10 000 файлов на сервере и в таком количестве скриптов могут находиться "дырки". Мы их максимально оперативно закрываем и регулярно проводим инспекцию кода, но иногда возможно что-то упускаем. Это бывает, мы тоже люди, хоть и стараемся повысить безопасность постоянно. Так получилось, что где-то пол года назад хакерам через дырку в скрипте удалось стянуть часть базы игроков. Мы практически сразу заметили утечку и закрыли уязвимость, но часть базы ушло. Выполнение запроса с нашей обширной базой занимает где-то 15-20 минут. Мы среагировали за 5 минут, но все-же часть базы попала в посторонние руки.
Стоит отметить, что пароли персонажей хранятся в зашифрованном виде, закодированными в формате MD5. Этот формат не подразумевает обратной расшифровки. Единственный способ узнать пароль - подборка по словарю. Берутся самые популярные пароли, английские слова и словосочетания и генерируются для них MD5. Так набивается база расшифрованных MD5 паролей, после чего пароль из нашей базы сравнивается с базой. Таким образом, атаке подвержены самые популярные пароли и пользователи, которые использовали простые пароли, потенциально были в зоне риска. Нам очень не хотелось заставлять всех пользователей менять пароли, но события последних дней заставляют нас это сделать. На момент публикации этой статьи пароли всех персонажей были сброшены, а система шифрования была значительно усилена, настолько, что даже пароль "123" не удастся подобрать по открытым базам (хотя все-же не стоит ставить простые пароли от греха подальше). Мы проделали большую работу, изменив много скриптов проверки с новым алгоритмом шифрования паролей.
Также были попытки взлома персонажей через "мёртвые email". Хакеры посещали старые форумы кланов в разделе приема новичков и, поскольку, некоторые недальновидные главы кланов просили оставлять свой контактный email, находили старые почтовые ящики. Потом эти ящики проверялись на предмет "а не закрылся ли он из-за неактивности" (что часто бывает с бесплатными почтовиками) и если так, пробовали зарегистрировать новый ящик с таким же адресом. Сейчас мы заблокировали более 4000 таких почтовых ящиков (12 000 персонажей с этими почтовиками), основываясь на отчете о летней рассылке.
Таким образом мы в значительной мере защитили аккаунты наших персонажей от взлома. Мы просим вас:
Стоит отметить, что пароли персонажей хранятся в зашифрованном виде, закодированными в формате MD5. Этот формат не подразумевает обратной расшифровки. Единственный способ узнать пароль - подборка по словарю. Берутся самые популярные пароли, английские слова и словосочетания и генерируются для них MD5. Так набивается база расшифрованных MD5 паролей, после чего пароль из нашей базы сравнивается с базой. Таким образом, атаке подвержены самые популярные пароли и пользователи, которые использовали простые пароли, потенциально были в зоне риска. Нам очень не хотелось заставлять всех пользователей менять пароли, но события последних дней заставляют нас это сделать. На момент публикации этой статьи пароли всех персонажей были сброшены, а система шифрования была значительно усилена, настолько, что даже пароль "123" не удастся подобрать по открытым базам (хотя все-же не стоит ставить простые пароли от греха подальше). Мы проделали большую работу, изменив много скриптов проверки с новым алгоритмом шифрования паролей.
Также были попытки взлома персонажей через "мёртвые email". Хакеры посещали старые форумы кланов в разделе приема новичков и, поскольку, некоторые недальновидные главы кланов просили оставлять свой контактный email, находили старые почтовые ящики. Потом эти ящики проверялись на предмет "а не закрылся ли он из-за неактивности" (что часто бывает с бесплатными почтовиками) и если так, пробовали зарегистрировать новый ящик с таким же адресом. Сейчас мы заблокировали более 4000 таких почтовых ящиков (12 000 персонажей с этими почтовиками), основываясь на отчете о летней рассылке.
Таким образом мы в значительной мере защитили аккаунты наших персонажей от взлома. Мы просим вас:
- сменить пароль на вашем персонаже на более сложный
- не разглашать ваш почтовый ящик и пароль к персонажам
- главам кланов на клан.сайтах - не требовать почтовый ящик в анкетах на вступление
- не пользуйтесь ботами, т.к. они могут передавать пароли от вашего персонажа злоумышленнику без вашего ведома
- не покупайте платину за реальные деньги у посторонних лиц, т.к. это не только угрожает вашему персонажу баном, но и провоцирует злоумышленников на противоправные действия, а нам приходится бороться с ними, вместо подготовки новых изменений
Мы делаем все возможное для вашей безопасности и будем благодарны за любую помощь. Если вы специалист в сетевой безопасности и нашли уязвимость в скриптах на нашем сайте - сообщите их нам. Мы максимально оперативно закроем уязвимость и вознаградим вас за старание.
"Так получилось, что где-то пол года назад хакерам через дырку в скрипте удалось стянуть часть базы игроков. Мы практически сразу заметили утечку и закрыли уязвимость, но часть базы ушло."
ОтветитьУдалитьЯ в шоке. Полгода назад украли базу данных а Вы только сейчас сподобились, обнулив пароли???? Поздно пить баржоми, когда почки отвалились.
Мы до последнего не хотели творить тот коллапс, что произошел сейчас и закрывали хакеров точечно, банили старых игроков, игроков с закрытыми имейлами, некоторых игроков у которых слишком простые пароли просили сменить на более сложные. То что произошло сегодня - крайняя мера, из-за которой мы потеряем игроков.
УдалитьЯ сказал Markus ошибок, то он не наградит меня.Я все еще знаю много (ошибок i Bag) Если вы даете награды, чтобы помочь.. связаться samir_murselov@mail.ru
УдалитьНасколько я помню несколько лет назад уже была подобная тема...Опять на теже грабли?
ОтветитьУдалитьКак то одному миллионеру задавали вопрос:
- А как вы достигли такого финансового положения в обществе?
и он ответил
- Я никогда не совершал одной и той же ошибки два раза.
Mercauchiy
а что если я не помню мыло?
ОтветитьУдалитьАга, наградят.. С нашей-то администрацией..) Помнится, нашёл баг в ДС2 на бесконечные деньги, так мне ещё по шее чуть не дали, хотя сам слил..
ОтветитьУдалитья вот тоже непомню мыло на которое регистрился а которое исполюзую постоянно ничего непришло что делать? бросать игру или все по новой(((
ОтветитьУдалитьесли мыло старое корпоративное которого давно уже нигде нет(
ОтветитьУдалитьИнтересно, мне когда нибудь ответят? Забанили перса и не в ICQ, ни в петициях, ни по почте нет ответа...
ОтветитьУдалитьЯ то\же до\бавлю: Систе\му в\зл\ома\ли за 1 час! ДЫ\РОК ка\к в р\ешете/! Та/к Чт/о не та\к вс\е пр\осто зак\рыт\ь!
ОтветитьУдалитьВот вы прямо как хакер сейчас написали ))))
УдалитьЭто вас не спасёт) Спасибо Мэдушка за пиар!
УдалитьСолью начали хешировать? Не проблема!
УдалитьИ не такой уж я и бедный) Благодаря вам!Просто не возможно всего предусмотреть и закрыть все дыры
УдалитьКлава залипает иногда вот фигня и пишет иногда))
УдалитьНа счет проекта, то многие Игроки в хороших терках с админами, и Для них существуют индивидуальные Бонусы, которые и распространяются только на их персонажей в игре!!!
Не советую донатить в этот проект!
Детишки отписались, типа хацкеры :)
ОтветитьУдалитьА по сути, молодцы админы, начали безопасностью заниматься :)
За время существования MD5 было нагенерировано куча расшифрованных хешей, так что не стоит быть таким категоричным, на любой кулак есть кулак с ломом ;) Всё это пока цветочки, что будете делать когда сервера (во множественном числе) начнут сутками ложить, в пиках посещаемости, сайты дилеров и т.д.? Я уже не говорю, что можно сделать в реале на законных и не очень основаниях с липовой фирмочкой HTE. Политика администрации оставляет за собой след из мстительных гадов (хы - хы :)) и имя ему возмездие.
ОтветитьУдалитьHoare
Именно поэтому мы отказались от md5. По поводу ддос - мы делаем все возможное чтобы его избежать - увеличиваем пропускную способность канала, увеличиваем количество памяти, т.к. сервер кушает память в пиковых нагрузках. По поводу реала - попробуйте ;)
УдалитьПароли тупых юзеров никому не нужны, а какая движуха из-за них началась, любо -дорого смотреть :) Мощности серверов увеличивай не увеличивай, а когда есть китайские братья по разуму и грамотно написанные запросы, хоть трёхвершковый кластер ставьте -не поможет, а у вас там вполне себе бюджетный вариант стоит.
УдалитьПо реалу обязательно попробуем, но увы и ах, только после того как укропов поставят раком и у вас там обстановка устаканится на столько, чтобы частные детективы могли спокойно работать, а власти обращать внимание на что-то, кроме как на геноцид русского народа.
Hoare
Кто-то объявил ДС войну?)) Неудачник, тебя там что обидел кто-то? Иди ломай мастер карт и виза..))
ОтветитьУдалитьнеудачник это ты, несостоявшаяся личность, на дураков не обижаются!
УдалитьВойной это назвать нельзя, да и её у них и так хватает в реале, а вот месть вкуснее всяких ваз и мустеркард.
УдалитьНеудачник? А ты меня знаешь, чтобы вешать такой ярлык? Я ведь не посвятил себя какой-то мести или чему-то серьёзному, я хочу развлечься за чужой счёт :)
Hoare
И не на ДС , а конкретно на админов!
ОтветитьУдалитьНа обиженных воду возят и хер кладут ;)
УдалитьШкололо, иди готовься, тебе скоро в школу... аноним... ой анонист :)
Ты бы в реале за языком следил, а то не дай Бог за базар подтянут и ответить за него придётся, а в интернете -это не более чем троллинг, на который умные люди не обращают внимания.
УдалитьВпрочем чего ещё ожидать от азиата с еврейской фамилией.
Hoare
Hoare, читай книжки дебил я не азиат, в полной мере славянин, причем из самого что на на есть настоящего истока славянской культуры, Булгар. А фамилия у меня немецкая,если ты малолетний недоумок этого не знаешь, иди учись а не "зарабатывай" на ягу... задолбали такие как ты словоплеты. называю адрес, приезжай: РФ РТ 420021 Г.Тукая, дом 62 (второй этаж весь мой). Приходи, либо пиши свой адрес, я к тебе приеду. Очканутое создание ты.....
УдалитьКнижки читаю, но не беллетристику и т.п. кал, именно поэтому с фамилией может что и напутал. Есть мнение, что Гитлер когда-то носил фамилию Шикльгрубер и доподлинно известно, что он по национальности был евреем, видимо корни фамилий разные. Имя однозначно кавказское. Ягу я ещё не застал, может поэтому я так интеллигентно тебя протроллил, что ты тут же начал звенеть яйцами на весь Интернет. Ну не нужен ты мне реале, я тебя по чесноку предупредил, а то приучишься бвзарить так в Сети, и в реале когда-нибудь нарвёшься серьёзно, дурачёк :)))
УдалитьИтак резюмирую: ты земляк киркорыча с кавказским именем и немецкой фамилией - славянин, смешно...
Кстати про киркорыча это тонкий намёк на твою ориентацию, а то ещё не допрёшь, судя по твоему гремению яйцами ты присутствуешь везде для мебели, и головой только ешь :)
Hoare
Судя по дому и магазину яйца у тебя бренчат не из-за мускулов, а из-за кошелька, ведь не даром ты подчеркнул, что второй этаж ВЕСЬ ТВОЙ. Наверное жутко горд собой? Только сила не в бабках -сила в правде (с), а ты тут со всех сторон не прав. в первый раз унизил незнакомого человека без причины, а во второй вдобавок к первому косяку ещё и быка включил. По всем понятиям ты не прав, если бы не моё фиолетовое настроение на сетевые слова, подключить людей с тебя шерсти состричь не проблема была бы, но палиться не могу, не из-за тебя конечно.
УдалитьHoare
ya uje vzlomal ds 3-4 raz perviy program dlya brutus ae2 (cerez shop.darkswords.ru ) seycas ne mojet secure est ) patom cerez wpe pro togdo cerez bag ( vse znayu menya ya santa klaus seycas ne igrayu tolko ya prodam personaj platin i artefact
ОтветитьУдалитьСильно палишься для хакера, ты не находишь? Или это очередная подстава от сами догадайтесь кого :)
УдалитьHoare
Админы спасибо что хоть что то делаете, а не тупо обновы льете. Самая отзывчивая администрация. Те кто не ценят ценить не будут, лешим - лесом ходить, а нормальным людям спасибо!
ОтветитьУдалитьРазбаньте моих персов * (( или я повешаюсь и напишу в записке что виноват ДС ..админушка мой дорогой давай разбань уже я не виноватая я http://darkswords.ru/?u=Agua%20lady
ОтветитьУдалитьМелочно. И затрагивает в первую очередь далеко не "цель". А если добавить то, что отчет админов о борьбе с вредительством называется человеком "пиаром",то хочется порекомендовать попробовать любить себя немного больше. Тогда и мелочная мстительность окажется не самым сладким в жизни.
ОтветитьУдалитьура начали хоть что либо делать ))
ОтветитьУдалить