Un niño de 5 años ha descubierto cómo acceder a una cuenta de Xbox One protegida por contraseña. Es tan fácil como escribir una contraseña incorrecta, y después escribir espacios el mismo número de veces que caracteres tenga la clave. La propia Microsoft ha confirmado la existencia de la vulnerabilidad, y ya la ha corregido.
#2:
Me pensaba que esto de los backdoors de la NSA era algo más sofisticado...
#16:
#14 no exactamente, porque para que no se note a la primera y se quede un poco escondido,
if (errors > 0)
} else
}
No sé, jamás he escrito código tan profundamente estúpido, meter de por medio ese len() cuando la línea correcta es un if x=y es de un descerebramiento tan tremendo que o está hecho aposta (casi seguro) o en Microsoft beben y mucho.
#4:
Ni vulnerabilidad ni leches. Eso es una puerta trasera. Macarrónica pero puerta trasera. /conspiranoic
#9:
“He’s figured out vulnerabilities 3 or 4 times,” said Davies.
At age 1, Kristoffer got past the toddler lock screen on a cell phone by holding down the home key.
#23:
#14#16#19 según el artículo el niño introduce la longitud de la clave pero con espacios.
Lo mismo sólo funciona con espacios o con el mismo caracter repetido, para que no sea que alguien se de cuenta de que al escribir la clave mal por accidente por segunda vez se la acepta (por ejemplo, porque ha usado mayúsculas en ambos intentos cuando su clave está en minúsculas). Tendría que ser más bien algo así:
if passwd == user.passwd else if (errors > 0){
length = len(passwd);
if length == len(user.passw) {
character = passwd[0];
for (i=1; i
#4 nah, de conspiración nada. Eso hay que programarlo a propósito, no es un fallo. No se me ocurre un lenguaje de programación en el que por despreocupación o inutilidad siquiera sucediera algo así.
Muy inocente el redactor. El titular debería ser "descubre una puerta trasera"
#14 no exactamente, porque para que no se note a la primera y se quede un poco escondido,
if (errors > 0)
} else
}
No sé, jamás he escrito código tan profundamente estúpido, meter de por medio ese len() cuando la línea correcta es un if x=y es de un descerebramiento tan tremendo que o está hecho aposta (casi seguro) o en Microsoft beben y mucho.
#14#16#19 según el artículo el niño introduce la longitud de la clave pero con espacios.
Lo mismo sólo funciona con espacios o con el mismo caracter repetido, para que no sea que alguien se de cuenta de que al escribir la clave mal por accidente por segunda vez se la acepta (por ejemplo, porque ha usado mayúsculas en ambos intentos cuando su clave está en minúsculas). Tendría que ser más bien algo así:
if passwd == user.passwd else if (errors > 0){
length = len(passwd);
if length == len(user.passw) {
character = passwd[0];
for (i=1; i
if (storedPassword == encrypt (password)) return true;
- Oye, jefe, que este algoritmo de encriptación es bastante malo, date cuenta de que, a misma longitud de caracteres, siempre devuelve la misma longitud de contraseña encriptada. Tal vez deberíamos usar uno estándar asim...
- Sí, pero para la próxima versión ya si eso.
Meses después, informe del QA: El algoritmo de encriptación falla debido a que determinados caracteres hacen que la comparación no vaya bien.
- Pues no hay tiempo para arreglarlo, pero la xbox sale mañana sí o sí.
- Espera, tengo una idea... La longitud sí que la pilla bien, no?
#25
Aunque eso es aún más surrealista que lo de la puerta trasera, salvo que la empresa encargada de programar el algoritmo fuera española, que ya se sabe cómo funcionan aquí los jefes y los becarios.
Si los codigos que intentan mostrar son correctos, implicaría que Microsoft no cifra las passwords (un standar actual impresindible), lo que ya es porsí, un fallo tremendo de seguridad, este mismo problema yo también lo he notado en hotmail, ya que ellos pueden leer tu clave.
Es decir la arquitectura de logeo de Microsoft es un fallo de seguridad, extremadamente peligroso
#16 Las claves nunca se almacenan en claro... Lo normal es almacenar un hash de la clave, aplicar el hash a la cadena introducida y compararlo con el almacenado. Así que aún es peor... creo yo.
#1 "...sus padres aseguran que no es la primera vez que se las apaña para averiguar contraseñas..."
Para que un crío de 5 años adivine las claves de sus padres, supongo que el niño o tiene un IQ de 200, o es un cotilla y las pilla todas al vuelo o los padres son unos completos memos que usan claves obvias o estúpidas (nombre del perro, la abuela, etc(... luego compran la XBOX, así que me inclino por los padres memos. Si fuese un genio supongo que ya les habría crackeado también el móvil, la cuenta bancaria, etc...
#37 El problema ya no es que la descubra un niño o no (la verdad, supongo que fue mas casualidad que otra cosa) el problema es un error tan garrafal, que la segunda vez con poner el mismo número de espacios que la clave se la trague sin mas O.o
#10 Las grandes multinacionales meten pasta en la serie para que se refuerce su imagen pero con sutilidad. Ahora depende de quien pague más, Microsoft o Sony.
Pero ¿Qué tipo de programadores contratan en Microsoft? Respuesta: Unos pobres que viven todavía con el lema "funcionalidad, funcionalidad, funcionalidad, funcionalidad, funcionalidad, funcionalidad" porque "seguridad" está en el nivel mas bajo de prioridad.
#31Microsoft hace y siempre ha hecho buen software.
Si como Windows Millenium, Vista, y en general todos los Windows con su solucion penosa del registro que pierde velocidad con el tiempo, sus virus, su sistema de archivos que se fragmenta, etc., o simplemente el titular de esta noticia. LOL.
Seguro que eres de los losers que se han gastado 500€ en una Xbone siendo la PS4 más barata, más potente y con más first parties.
En mi empresa tenemos varios clientes, cada uno con cientos de usuarios, y en distintos servidores. Atender las incidencias y programar, teniendo que meter la contraseña (y buscarla previamente) para cada ejecución, es un auténtico coñazo, así que tenemos programados "trucos" para saltarnos el login.
Entiendo que Microsoft tenga un método similar, pero la metedura de pata ha sido garrafal por dos motivos:
- por ser tan sumamente simple (espacios en blanco)
- porque el método de evitar el login nunca debió llegar al usuario final
Me acuerdo cuando en la guerra de consolas se freian la mitad de las Xbox360 y decian que Sony era experta en hardware y Microsoft experta en software.
Siempre me ha hecho gracia porque es evidente que Microsoft es bastante mediocre haciendo software.
Comentarios
Me pensaba que esto de los backdoors de la NSA era algo más sofisticado...
Ni vulnerabilidad ni leches. Eso es una puerta trasera. Macarrónica pero puerta trasera. /conspiranoic
#4 nah, de conspiración nada. Eso hay que programarlo a propósito, no es un fallo. No se me ocurre un lenguaje de programación en el que por despreocupación o inutilidad siquiera sucediera algo así.
Muy inocente el redactor. El titular debería ser "descubre una puerta trasera"
#13
if len(passw) == len(user.passw):
return True
#14 no exactamente, porque para que no se note a la primera y se quede un poco escondido,
if (errors > 0)
} else
}
No sé, jamás he escrito código tan profundamente estúpido, meter de por medio ese len() cuando la línea correcta es un if x=y es de un descerebramiento tan tremendo que o está hecho aposta (casi seguro) o en Microsoft beben y mucho.
#14 #16
if ((errors > 0) && (user.age
#14 #16 #19 según el artículo el niño introduce la longitud de la clave pero con espacios.
Lo mismo sólo funciona con espacios o con el mismo caracter repetido, para que no sea que alguien se de cuenta de que al escribir la clave mal por accidente por segunda vez se la acepta (por ejemplo, porque ha usado mayúsculas en ambos intentos cuando su clave está en minúsculas). Tendría que ser más bien algo así:
if passwd == user.passwd else if (errors > 0){
length = len(passwd);
if length == len(user.passw) {
character = passwd[0];
for (i=1; i
#23
Recreación.
if (storedPassword == encrypt (password)) return true;
- Oye, jefe, que este algoritmo de encriptación es bastante malo, date cuenta de que, a misma longitud de caracteres, siempre devuelve la misma longitud de contraseña encriptada. Tal vez deberíamos usar uno estándar asim...
- Sí, pero para la próxima versión ya si eso.
Meses después, informe del QA: El algoritmo de encriptación falla debido a que determinados caracteres hacen que la comparación no vaya bien.
- Pues no hay tiempo para arreglarlo, pero la xbox sale mañana sí o sí.
- Espera, tengo una idea... La longitud sí que la pilla bien, no?
#25
#25
Aunque eso es aún más surrealista que lo de la puerta trasera, salvo que la empresa encargada de programar el algoritmo fuera española, que ya se sabe cómo funcionan aquí los jefes y los becarios.
Llevo años en la industria y apuesto a que es algo como lo que dice #25.
Porque nosotros también usábamos nuestro propio cifrado y... bueno, pues eso. Tuvimos algunos problemas, por decirlo suavemente.
#23 #14 #16 #19
Si los codigos que intentan mostrar son correctos, implicaría que Microsoft no cifra las passwords (un standar actual impresindible), lo que ya es porsí, un fallo tremendo de seguridad, este mismo problema yo también lo he notado en hotmail, ya que ellos pueden leer tu clave.
Es decir la arquitectura de logeo de Microsoft es un fallo de seguridad, extremadamente peligroso
#23 Juas pues sí. Vamos, que no puede estar hecho más aposta.
#16 Las claves nunca se almacenan en claro... Lo normal es almacenar un hash de la clave, aplicar el hash a la cadena introducida y compararlo con el almacenado. Así que aún es peor... creo yo.
#22 Tienes razón, o las almacenan en claro, o almacenan la longitud por separado.
Si es que no saben cómo van a meter la puerta trasera.
Putos críos, siempre enredando
“He’s figured out vulnerabilities 3 or 4 times,” said Davies.
At age 1, Kristoffer got past the toddler lock screen on a cell phone by holding down the home key.
Four years later, he took aim at the Xbox One.
http://www.10news.com/news/5-year-old-ocean-beach-exposes-microsoft-xbox-vulnerability
No veas el niño, vocación cracker
#1.
#1 "...sus padres aseguran que no es la primera vez que se las apaña para averiguar contraseñas..."
Para que un crío de 5 años adivine las claves de sus padres, supongo que el niño o tiene un IQ de 200, o es un cotilla y las pilla todas al vuelo o los padres son unos completos memos que usan claves obvias o estúpidas (nombre del perro, la abuela, etc(... luego compran la XBOX, así que me inclino por los padres memos. Si fuese un genio supongo que ya les habría crackeado también el móvil, la cuenta bancaria, etc...
#37 El problema ya no es que la descubra un niño o no (la verdad, supongo que fue mas casualidad que otra cosa) el problema es un error tan garrafal, que la segunda vez con poner el mismo número de espacios que la clave se la trague sin mas O.o
Espero que Sheldom finalmente comprara la PS4.
#10 Las grandes multinacionales meten pasta en la serie para que se refuerce su imagen pero con sutilidad. Ahora depende de quien pague más, Microsoft o Sony.
He tenido que mirar dos veces para asegurarme de que la fuente no era elmundotoday
backdoor mas viejo que la maquina enigma
Han comprobado que la corrección no falla cuando se ponen asteriscos en lugar de la contraseña real?
Pero ¿Qué tipo de programadores contratan en Microsoft? Respuesta: Unos pobres que viven todavía con el lema "funcionalidad, funcionalidad, funcionalidad, funcionalidad, funcionalidad, funcionalidad" porque "seguridad" está en el nivel mas bajo de prioridad.
¿y el niño? ¿es que nadie va a pensar en el niño?
Me ha recordado la peli esa de Bruce Willis donde un niño autista descifra un código secreto
Puerta trasera
Es como el ::$data de las primeras versiones de las páginas asp de Microsoft que permitían traer el código fuente desde el servidor.
Y la gente se creía que cuando decíamos que en Microsoft trabajaban monos borrachos íbamos en broma.
La culpa es de los padres que los visten como hackers..
#31 Microsoft hace y siempre ha hecho buen software.
Si como Windows Millenium, Vista, y en general todos los Windows con su solucion penosa del registro que pierde velocidad con el tiempo, sus virus, su sistema de archivos que se fragmenta, etc., o simplemente el titular de esta noticia. LOL.
Seguro que eres de los losers que se han gastado 500€ en una Xbone siendo la PS4 más barata, más potente y con más first parties.
Han encontrado la llave maestra, como aquellas BIOS en las que también la había.
http://notebookypc.com/contrasenas-maestras-bios-award-y-phoenix
#31 Pues habría que definir tu concepto de "buen software" colega...
Es una puta casualidad cósmica. No me trago que el crio se las "apañe para averiguar contraseñas".
Normal que la hubiese descubierto un niño, porque es un error infantil.
Salu2
Estos hackers cada vez son más jóvenes...
En mi empresa tenemos varios clientes, cada uno con cientos de usuarios, y en distintos servidores. Atender las incidencias y programar, teniendo que meter la contraseña (y buscarla previamente) para cada ejecución, es un auténtico coñazo, así que tenemos programados "trucos" para saltarnos el login.
Entiendo que Microsoft tenga un método similar, pero la metedura de pata ha sido garrafal por dos motivos:
- por ser tan sumamente simple (espacios en blanco)
- porque el método de evitar el login nunca debió llegar al usuario final
http://lavozdelmuro.com/reacciones-de-ninos-cuando-se-les-pide-que-usen-un-telefono-de-los-80
Esta variación del tema salió hace poco. (Espero que se lea bien, no se como citar un artículo publicado, no tengo cinco años).
Eso es porque no tienen un tester como el de mi trabajo, el hijo puta los pilla todos. LOL
je je je ... ha escrito mal su password, permita al asistente de Windows autocompletar la password por ud, paleto.
Me acuerdo cuando en la guerra de consolas se freian la mitad de las Xbox360 y decian que Sony era experta en hardware y Microsoft experta en software.
Siempre me ha hecho gracia porque es evidente que Microsoft es bastante mediocre haciendo software.
#18 Claro, por eso la red de Sony se ha tirado caída varios meses un par de veces, y en cambio en la de Microsoft no ha pasado.
Microsoft hace y siempre ha hecho buen software. Sony lo hace todo de puta pena.