Brute Force Koruması

Konusu 'Güncelleme ve Fikir Havuzu' forumundadır ve Zer0DayLover tarafından 29 Ocak 2021 başlatılmıştır.

Değerli forum kullanıcıları,

Bu forumda aktif olabilmen için öncelikle oyun hesabına giriş yapman gerek, aksi taktirde foruma ulaşamassın. Eğer oyun hesabın yok ise, lütfen kendine yeni bir hesap aç. „Oyun için tıkla“
?

Olsun mu?

  1. Evet

    100,0%
  2. Hayır

    oy sayısı 0
    0,0%
Konu Durumu:
Mesaj gönderimine kapalı.
  1. Selamlar,

    Oyunun bir güvenlik açığını fark ettim ve çok eski bir metot olan kaba kuvvet (brute force) ile mevcut hesapların kırılabileceğini fark ettim.

    Brute force nedir?

    Brute force belli kelime, sözcük, karakter, harf kombinasyonun teker teker kişi veya bir makine aracılığı ile bir şifreyi kırmak için uygulanan bir metottur. En eski şifre kırma metotlarından birisidir bilgisayar Dünyası için.

    Burada aslında bilmeniz gereken şey primary key yani sizin veritabanında hesabınızın asıl kayıtlı olduğu hesap isminiz.

    Bu hesap isminiz benzersizdir ve bu hesap ismi ile giriş yaparsınız.

    Bundan yıllar önce bir güvenlik açığını daha raporlamıştım. Oda şuydu oyunun ilk dönemlerinde oyun içerisinde ki ismimiz ile oyuna giriş yapabiliyorduk bunun değiştirilmesi gerektiğini ve iki farklı isim ile hesaplarımızın yönetilmesi gerektiğini söylemiştim. Bu yenilik 2013 gibi geldi diye hatırlıyorum.



    Peki bu olay nasıl gerçekleşiyor?

    Aslında olay şu, siz oyuna giriş sayfasında kullanıcı ve şifrenizi yazıyorsunuz. Normalde güncel korumaya sahip olan sistemlerde hesap 5 kereden fazla yanlış şifre denemesinden sonra 30 dakika veya 1 saat askıya alınıp şifreyi doğru girseniz bile hesaba erişemiyorsunuz.

    Ancak DarkOrbitin geliştirildiği yazılım mimarisi ve teknolojisi çok eski olduğundan böyle bir güvenlik açığı mevcut.

    Bunun şu şekilde düzeltilmesi taraftarıyım, hesabımıza giriş yaptığımız kullanıcı ve şifre kısmının 5 kereden fazla yanlış şifre denemesinden sonra doğru şifre girilse bile hesabın 1 saat veya 30 dakika askıya alınıp süre dolana kadar hesabın erişiminin kesilmesi gerektiği.

    Eski bir saldırı tekniği ile çok rahat şifrelerimiz kırılıp hesaplarımız ele geçirilebilir.
     
    Son düzenlenen: 29 Ocak 2021
  2. .Mephistos.

    .Mephistos. S-Moderator Team Darkorbit

    Merhaba,

    Konunuzu bölüm kurallarına uygun olarak açtığınız için teşekkür ederim, şu andan itibaren konunuz arkadaşlarımızdan destek aldığı sürece bizler de raporlarımıza ekleyerek sizlere destek olmaktan mutluluk duyarız. Ayrıca konunuz an itibari ile Güncelleme ve Fikir Havuzu İndex konusuna da eklenmiş bulunmaktadır. :)

    İyi forumlar.
     
  3. iyide bunun oyunculardan destek alıp almamasıyla ne alakası var? güvenlik açığını oyuncu oylamasıyla mı çözeceksiniz, bu zaten bigpointin yerine getirmesi gereken bir sorumluluk. konunun yeride forum değil direk almanya supportu olmalıydı.
     
  4. -Süpernova-

    -Süpernova- Guest

    Bahsi geçen saldırı yöntemi mevcut şifreleri deneme yanılma ile, Açık Kaynaklı bir sunucu üzerinden gerçekleştirilir. Son zamanlarda güçlü olarak lansman edilen yöntem, GPU ile şifre deneme yanılma saldırılarıdır. Ancak bu yöntem eski ve şifreyi elde etme süresini bayağı uzatır.

    Bu tür saldırılar şifrelerin depolandığı veri tabanlarına yada internet üzerinde ki POST ve GET metotları ile yapılır. DarkOrbit web sayfası saniyede en fazla 2 giriş denemesine izin verir. 2 Den fazla olan girişler yada şüpheli IP adresleri recaptcha sınamasına tabi tutulur. İlgili yazılım recaptcha sınamasını engellemeyi başarırsa algoritmaya aykırı bir durumdur ve BOTNET saldırısı olarak nitelendirilip gelen IP adresi üzerinde ki bütün istekler başka bir sunucuya iletilip sürekli yok sayılır.

    Dolayısıyla, 3. part bir yazılım ile brute force saldırısı DarkObit tarafından zaten engellidir. Bu durum engelli olmasa Sertifika hatası verir.

    upload_2021-1-30_13-12-52.png

    Arkadaşınızın ismi Mehmet olsun. Mehmet, şifresi kolay olsun diye Mehmet123 yapmıştır. Kötü niyetli bir arkadaşı deneme yanılma yöntemi ile Mehmet123 diye şifreyi yazdığında hesaba giriş yapmış olur.

    Bütün bu anlattıklarımı referans alarak şunu söylemek isterim. " Hesap Güvenliği Oyuncunun Sorumluluğundadır. " ;)

    İyi Forumlar.
     
    Zer0DayLover bunu beğendi.
  5. smoonrise

    smoonrise User

    Olumlu olarak oy verdim .
    Sonuçta oyuncuların lehine ve faydasına olacak ve daha güvenli olunmasına yol açacak bir durum sanırım çok teknik bilgim yok yazılımsal durumlar sanırım iyi ki bu konularda bilgi sahibi olan kişiler var bu kişilerin sayısı artmalı diye düşünüyorum bu konularda merkeze geri dönüşler ve istekler artar ise kayıtsız kalamaz ve bir değişim içersinde olur yada Olmaz ve geri dönüşleri sadece menfatine olan konularla sınırlı değerlendiriyor konumuna düşer .

    Evet hesap güvenliği biz oyunculara ait ama merkezinde bu içerisinde keyloger yada virüs herneyse adı klasmanı bunlardan bizi koruması uzak tutması lazım bunlar hakkında çalışma yapması bunlara oyuncu kitlesini maruz bırakmaması lazım bu maillerin oyunculara ulaşması bir zaafiyet ise bunu ortadan kaldırması lazım bunu merkez bir iyilik değil bir ekstra hizmet olarak değil olması gereken güven ortamını sağlam olan görevini yapar gibi yapması lazım .
    Bende size bir örnek vereyim mesela bot var oyunda ve kullanmayan tüm oyuncuları oyun sahibi merkez dahil olmak üzere madur ediyor ve sömürüyor bunu engellemek ilk vazifesi bunu kullanmayın demek manasız ilk vazife bunu engellemek ve cezalandırmak . Yani ilk vazife çeşitli teknik bilgilere sahip kişileri engellemek ilk vazife o kandırma amaçlı gelen maillleri engellemek ilk vazife bunlara itibar etmeyin kanmayın kısmı sonraki aşama bundan doğan maduriyetler oyuncu suçu olamaz oyunun güvenlik açıklarından doğan maduriyet olur .

    Eskiden 1 hesapta birden fazla kişi oynayanların aralarındaki anlaşmalıktan gemi içi boşaltma gemiyi banlatla yada çalma olurdu veya yasak olmasına rağmen gemi satışından sonra eski mailindeki harcama mailleri ile gemiyi geri alma olurdu bunlar hakkında denilebilir hesap güvenliği size ait oyunun güvenlik açığı sebebi ile çalınan hesap bence merkezin sorumluluğunda olması lazım tabi bu kişisel düşüncem maalesef kendini giş kuralları ile koruyan ve şikayetide almayanda kabul eden merkez kararı veriyor ama benim nazarımda hatalı kararlar .
     

  6. Süre ayarlama konusunda pek sıkıntı olacağını sanmıyorum araya thread.sleep(1000-10.000) gibi bir değer girer denemeye devam eder. Ufak bir script yardımı ile çok rahat yazılır teknik bilgisi varsa kişinin :D

    Botnettede ağaç gibi bir yapı kullanılırsa yani katmanlı bir yapı (blok zinciri gibi düşünün) her bir deneyen makinenin deneme süresi kontrol edilip havuz üzerinde true veya false mesajı ile çok rahat kurulan topoloji üzerinde bypass edilebilir.Kısaca x makinesi denedi 5 saniye bekledi true mesajı döndürdü ağda sıra y makinesine geldi sırayla bu şekilde atlatılabilir.

    En sağlamı 5 denemeye kadar izin verip direk hesabın 30 dakika veya 1 saat askıya alınması olur kısaca script doğru bir şekilde şifreyi bulsa bile denemeye devam edecektir (sonsuz döngüye girecektir program) ve bu sebeple asla bulamayacaktır yada bulması imkansıza yakın olacaktır.

    2FA korumasıda getirilebilir aslında oyun hesaplarına fakat uzun zamandır bu istek karşılıksız kaldı.
     
  7. -Süpernova-

    -Süpernova- Guest

    Merhabalar,

    Yukarıda yaptığım açıklamaya istinaden, önerilen özellik zaten mevcut olduğundan, konunun kilitlenmesi uygundur.

    İyi Forumlar
     
Konu Durumu:
Mesaj gönderimine kapalı.

Sayfayı Paylaş