Autor Thema: Rätsel-Lösungstest bei OC  (Gelesen 2428 mal)

Offline tiisii

  • Nano
  • **
  • Beiträge: 28
  • Wahlhamburger
Re: Rätsel-Lösungstest bei OC
« Antwort #15 am: 27. Januar 2016, 15:42:17 »
Zitat
das Owner irgendetwas verloren haben außer ihren Stolz oder ihre eingebildete Besonderheit kann ich nicht feststellen. Und aus dem Grund Listings zu archivieren finde ich kindisch. Ja, auch unser Cache steht auf dieser Liste, und?

Das dachte ich auch lange. Aber dann habe ich mal einen Cache (bei der Konkurrenz) gesucht, der ein sehr sehr aufwendiges Final hatte. Ich kann dann schon verstehen, dass Owner im Einzelfall Wert darauf legen, dass wirklich nur jene Sucher ihren Namen ins Logbuch eintragen, die auch die ganze Vorarbeit leisten. Zum einen moechte man vielleicht nicht den ganz grossen Ansturm auf die Dose. Zum anderen hofft man vielleicht, jene vom Final abzuhalten, die am Ende doch nur die Dose kaputt machen (was im o.g. Fall allerdings nicht ganz geholfen hat).

Im uebrigen kann ein Owner, der keinerlei Wert auf solche "Sicherungen"legt, die wahren Koordinaten ja auch im Hint verewigen :-)

Andersherum stimmt es aber natuerlich auch, dass man sich zwar gegen Hacken schuetzen sollte, aber nicht um jeden Preis. Wobei ein gehackter Rechner eben nicht bedeutet, dass ein Cache "verbrannt" ist sondern u.U. sehr viele.

Offline Burggeist

  • Nano
  • **
  • Beiträge: 45
Re: Rätsel-Lösungstest bei OC
« Antwort #16 am: 29. Januar 2016, 08:16:25 »
Hallo
Der Beitrag von Team Brummi beschäftigt mich immer noch. Grundsätzlich sehe ich das genauso, es ist ja nur ein Spiel.
Man sollte aber nicht vergessen, dass in der Programmierung von Opencaching.DE sehr viel Arbeit und Zeit von aktiven Mitgliedern stecken. Es wäre sehr schade, wenn vielleicht die neue Funktion der Rätselprüfung dazu führt, die beste Geocaching-Plattform anzugreifen, um die Lösungen zu stehlen. Das ist es echt nicht wert.
Burggeist

Online dl6hbo

  • Vereinsmitglied
  • Normal
  • *****
  • Beiträge: 1682
  • Teammitglied Technik
Re: Rätsel-Lösungstest bei OC
« Antwort #17 am: 29. Januar 2016, 11:27:08 »
Andersherum stimmt es aber natuerlich auch, dass man sich zwar gegen Hacken schuetzen sollte, aber nicht um jeden Preis. Wobei ein gehackter Rechner eben nicht bedeutet, dass ein Cache "verbrannt" ist sondern u.U. sehr viele.

Und wenn der gehackte Rechner ein Server ist, auf dem z.B. viele virtuelle Maschinen laufen, sind weder die Lösung noch das Problem trivial !
Gruß, Rainer ( dl6hbo )
Everything should be made as simple as possible, but not simpler.
Albert Einstein

Offline following

  • Vereinsmitglied
  • Large
  • *****
  • Beiträge: 4169
Re: Rätsel-Lösungstest bei OC
« Antwort #18 am: 29. Januar 2016, 12:00:53 »
Und wenn der gehackte Rechner ein Server ist, auf dem z.B. viele virtuelle Maschinen laufen, sind weder die Lösung noch das Problem trivial !

Wir haben bei Host Europe nur eine VM laufen; die anderen VM dort gehören anderen HE-Kunden. Der "Rechner" - ich nehme an es ist verteilte Hardware - ist Teil von deren Rechenzentrum. Also dass sich da jemand wegen ein paar Cachekoordinaten am den "Rechner" rantraut (und auch noch Erfolg hat) halte ich für ausgeschlossen.

Nebenbei sei noch erwähnt, dass bei einem ernsthaften Hacking-Versuch der Spass aufhört. Sowas wird dann - wenn nötig - auch von Opencaching.de zur Anzeige gebracht. Beim letzten mal genügte allerdings der kleine Dienstweg über den Provider - da hat dann jemand richtig großen Ärger bekommen. Also versucht's erst gar nicht. ;)
« Letzte Änderung: 29. Januar 2016, 12:04:49 von following »

Offline kratenko

  • Unknown
  • *
  • Beiträge: 11
Re: Rätsel-Lösungstest bei OC
« Antwort #19 am: 29. Januar 2016, 16:34:43 »
Bin ja bisher recht still hier in den Foren, zu dem Thema hab ich mir mal ein paar Gedanken und ein paar Zahlen gemacht:

Einen Geochecker bei OC: find ich zunächst keine so blöde Idee, so etwas (natürlich optional) direkt in der Plattform zu integrieren. Bricht einen nicht immer so aus Seite heraus, und mittels OKAPI wär das sogar von Apps aus möglich nutzbar zu machen (was natürlich auch Angriffe vereinfachen würde).

Das Risiko: auf jeden Fall gut, dass hier sofort darüber nachgedacht wird, wie das nach hinten losgehen könnte. Gibt da natürlich verschiedene Angriffsszenarien. Gegen das direkte Abfragen einzelner Lösungen über den normalen Weg bräuchte man natürlich etwas. Auf Seiten geht sowas dann meist mit Captchas, das wird über okapi natürlich schwierig. So groß, wie OC derzeit ist, könnte man das wohl sogar über ganz brutale absolute Beschränkungen machen (sowas wie maximal 60 Anfragen pro Stunde - oder irgendwas, Zahlen kann man feintunen).

Totalausfall: Worüber hier zuletzt spekuliert wurde, ist ein ganz anderer Fall: totale Offenlegung der OC Datenbank. Sollte das passieren, wären natürlich noch ganz andere Probleme akut, aber um die geht es uns hier ja gerade nicht. Das Szenario ist: Eve hat die Tabelle für den geochecker ausgelesen, weil sie die Finalkoordinaten in ihrer bösen Facebookgruppe veröffentlichen will. Damit kann man dann virtuelle Gummipunkte sammeln, nachdem man trotzdem noch den physischen Ort aufgesucht hat. Diesen Angriff kann man natürlich erschweren, indem man nicht die Koordinaten speichert, sondern nur einen kryptografischen Hash selbiger (ähnlich wie beim Speichern von Passwörtern). Dann könnte man die Koordinaten nicht auslesen, sondern müsste die noch bruteforcen oder sonstwie angreifen (bei der gehackten Geocheckerseite waren die offensichtlich im Klartext gespeichert).

Zahlen: ich hab mal versucht, mit Zahlen aus den Fingern zu saugen. Wie viele potentielle Lösungen gibt es für einen Cache? Das ist sehr endlich, das stimmt, aber auch nicht so wenig (da zweidimensional -> wächst im Quadrat). Für meine Abschätzungen habe ich angenähert gesagt: eine Bogenminute Länge entspricht 1km (tatsächlich 1,190km), eine Bogenminute Breite entspricht 2km (tatsächlich in Deutschland ca. 1,850km) (Quelle: http://www.iaktueller.de/exx.php sowie irgenwo in diesem Forum, wo das schon mal jemand so angenähert hat).
Wenn ich nun die Fläche eines Kreises von n Metern Radius berechnen will, muss also die Fläche einer Ellipse berechnen, mit den Halbachsen der Länge n und n/2:
A = π*n²/2(siehe https://de.wikipedia.org/wiki/Ellipse#Formelsammlung_.28Fl.C3.A4cheninhalt_und_Umfang.29)

Das gibt mir für folgende maximale angenommene Entfernungen n um die Anfangskoordinaten mögliche Koordinaten (ca):
Maximale EntfernungMöglichkeiten
100m15.700
200m62.800
500m392.700
1km1.570.000
2km6.280.000

Falls ihr Fehler in meiner Mathematik findet, haut sie mir bitte um die Ohren.

Kann man das bruteforcen? Klar! Lohnt sich das? Keine Ahnung. Bei einer ordentlichen Hashfunktion (scrypt wäre meine Wahl, aber PBKDF2 oder bcrypt wären Alternativen), dann kann man das so einrichten, dass eine Berechnung auch auf spezialisierten Maschinen noch recht lange dauert (und entsprechend hohe Kosten hat). Das würde natürlich auch das "legale" Prüfen in der Software relativ rechenaufwändig machen. Ich würde dann sogar dazu tendieren, die typischen falschen Koordinaten, die einem einen weiteren Hint geben (wunderschöne Funktion, wenn es den Checker gibt, dann bitte damit), im Klartext zu speichern. Außerdem hätte man sonst als Owner auch bald keine Übersicht mehr (schließlich bedeutet verschlüsseltes Speichern, dass die Software die Koordinaten nicht anzeigen kann).

Fazit: falls noch jemand bis hier mitgelesen hat: ich persönlich halte das Risiko bei einer vernünftigen Hashfunktion (skalierbar) für überschaubar. Wir kommen da in Bereiche, wo es ähnlich aufwändig ist, einfach die Rätsel zu lösen, und dann die Koordinaten untereinander auszutauschen. Und wem seine Finals so wichtig sind, der kann ja auf den Geochecker verzichten. Einen ausführlichen Text dazu kann man ja bei dieser Funktion verlinken (ich halte die Funktion sowieso für ein leicht advanced feature, wenn man sowas richtig verstehen will, muss man sich da eh Zeit für nehmen).

Sidenote: in dem Zusammenhang ist mir aufgefallen, dass sich bei den Logpasswörtern anscheinend noch niemand solche Gedanken gemacht hat. Die werden offensichtlich im Klartext gespeichert. Sollte die DB mal fallen, wären alle Virtuals mit Logpasswort für den Angreifer logbar, ohne die Möglichkeit eines Abgleichs mit dem (ja nunmal nicht vorhandenen) Logbuch. Müsste man dann nicht auch da mal was machen?

Offline Le Dompteur

  • Nano
  • **
  • Beiträge: 65
  • oc-only Verstecker
Re: Rätsel-Lösungstest bei OC
« Antwort #20 am: 29. Januar 2016, 23:10:07 »
Um's 'mal vorweg zu sagen:
Server zu hacken ist eine Straftat (zumindest, wenn diese in Deutschland stehen). Basta!


Final-Koordinaten von Mysterys werden immer unter-der-Hand, auf GS-Stammtischen oder stante-pede-auf-whatsApp veröffentlicht. IMMER!
Da können wir unsere noch so brillianten (?), wertigen (?) elitären (?) Rätsel-Caches noch so sehr durch Software schützen, der Single-point-of-failure bleibt der Erstfinder, der seinen Stolz darüber der Welt verkünden will / zwanghaft muß.
Die "Welt" ist in diesem Fall - leider - die Welt! Weltweit vernetzt, mit pull-E-Mail-Notifier in der Wüste und Groundspeak-Premium-Benachrichtigungen des Nächtens.
Es gibt keinen Schutz vor Schummlern!

Warum auch? Wofür auch?
"Team Brummi" hat's auf den Punkt gebracht!
1+
Wer ein "Spiel" spielen will, spielt, verliert, fragt-den-owner-nett-an, lacht über seine "Fehler" uns spielt weiter - motivierter vielleicht?
Wer "Punkte" sammeln will, tut dieses. Ohne Rücksicht auf Verluste, Privatgrundstücke, Ownerstolz, geistiges Eigentum, Vorhängeschlösser.
Dagegen ist kein Kraut gewachsen. Akzeptieren und die "Kröte-des-Verrats" schlucken.

OC hat zumindest den (kleinen) Vorteil, daß man die Logeinträge für Caches per Paßwort schützen kann. So bleiben die ehrlichen Finder in der E-Mail-Notification.
Wenn die Final-Coords oder die Lösungs-Malerei irgendwo "geleakt" wurde?
Eine kleine Änderung im Listing, den Aufkleber mit dem Paßwort im Logbuch geändert und schon geht es weiter.
Auf OC braucht man sich solche Sorgen aber nicht zu machen! Mysterys (=Rätselcaches) sind dort unbeliebter, als "Crushed-ice"-Kühlboxen bei den Inuit.
Vor "wem" also schützen?
Vor den Ground$peaklern? Aussichtslos!
Vor opencachern? Wirkungslos, weil: Unnötig.

Es bleibt die Wahl: Pest oder Cholera.
Pest: Ein Rätsel auf GS veröffentlichen und nach ein, zwei Monaten: Wetter-Bericht-belanglos-Koordinatenklau-Logs lesen. Oder...:
Als OC-Only veröffentlichen und unentdeckt bleiben. Wortwörtlich!

Alle Zahlenspiele und Enigma-griechische-Walze-Verschlüsselung werden darob obsolet.

Sic gloria trans mundi.

"Cacheo ergo sum" - ich cache, also bin ich!

Online dl6hbo

  • Vereinsmitglied
  • Normal
  • *****
  • Beiträge: 1682
  • Teammitglied Technik
Re: Rätsel-Lösungstest bei OC
« Antwort #21 am: 30. Januar 2016, 09:07:07 »
Sic gloria trans mundi.

Sollte das nicht "sic transit gloria mundi" heißen ?  :)
Gruß, Rainer ( dl6hbo )
Everything should be made as simple as possible, but not simpler.
Albert Einstein

Offline Natureshadow / König Moderig

  • Vereinsmitglied
  • Nano
  • *****
  • Beiträge: 86
    • NaturalNik Broadcast
Re: Rätsel-Lösungstest bei OC
« Antwort #22 am: 08. Februar 2016, 22:41:43 »
Ich sehe das genau so wie Team Brummi.

Wenn die OC-Datenbank abhanden kommt, haben wir andere Probleme als geleakte Finalkoordinaten. Der Plattform bliebe dann vermutlich eh nur noch der Gnadenschuss, so etwas wird nicht verziehen, wenn es Alternativen gibt.

Ich würde aber sogar sagen, dass es besser ist, eine solche Funktion direkt auf der Website anzubieten als die User zu zwingen, ihre Daten auf weniger sicheren Systemen von Drittanbietern zu hinterlegen.

Offline following

  • Vereinsmitglied
  • Large
  • *****
  • Beiträge: 4169
Re: Rätsel-Lösungstest bei OC
« Antwort #23 am: 09. Februar 2016, 00:54:39 »
Wenn die OC-Datenbank abhanden kommt, haben wir andere Probleme als geleakte Finalkoordinaten.

Eben drum stellt sich die Frage, ob man einen zusätzlichen Anreiz für Hacker schaffen soll.

Offline Natureshadow / König Moderig

  • Vereinsmitglied
  • Nano
  • *****
  • Beiträge: 86
    • NaturalNik Broadcast
Re: Rätsel-Lösungstest bei OC
« Antwort #24 am: 09. Februar 2016, 08:52:16 »
Wenn die OC-Datenbank abhanden kommt, haben wir andere Probleme als geleakte Finalkoordinaten.

Eben drum stellt sich die Frage, ob man einen zusätzlichen Anreiz für Hacker schaffen soll.

Das wäre ein Anreiz für *Geocacher*, die Seite zu hacken. Traust du deinen Benutzern so wenig?

Angreifer, die nichts mit Geocaching zu tun haben, interessieren sich nicht für die Koordinaten.

Darüberhinaus: Wie viele FInalkoordinaten sind denn sowieso hinterlegt? Ich zumindest hinterlege meistens alle Stationen meiner Caches. Hauptsächlich, weil ich das von GC.com so gewohnt bin. Speaking of: GC.com hat alle FInalkoordinaten. Die werden auch nicht "gehackt" deswegen. (Ja, Groundspeak hat schon einmal FInalkoordinaten aus der Datenbank geleakt, aber daran war kein externer Angreifer schuld, sondern sie haben schlicht vergessen, in einem Release das Flag auszumachen, dass die auf der Karte angezeigt werden ;).)

Also nein, das ist alles übertriebene Angstmacherei und hat aus meiner Sicht keinerlei Bezug zu realen Angriffsszenarien.

-nik

Offline mic@

  • Moderator
  • Large
  • *****
  • Beiträge: 5759
  • oc-only Verstecker
Re: Rätsel-Lösungstest bei OC
« Antwort #25 am: 09. Februar 2016, 09:48:31 »
Zitat von: Natureshadow / König Moderig
Also nein, das ist alles übertriebene Angstmacherei und hat aus meiner Sicht keinerlei Bezug zu realen Angriffsszenarien.

Hmmm, das Untere war also nur eine Fiktion und nicht real?

Zitat
GeoCheck hacked!

Unfortunately, I have just learned, that Geocheck.org has been hacked. The entire database has been downloaded, including cache solutions and hashed passwords.

The passwords are hashed, so they are fairly secure, especially for longer or more complex passwords. However, to be sure, it is recommended for everyone to change their passwords. If you use the same password at Geocaching.com or other sites, I recommend changing them there as well. Additional security surrounding the passwords have been implemented going forward. Further, the vulnerability used to hack the site has been plugged.
A file has been released on the Internet with about 27.000 cache solutions. Of those about 50% comes from GeoCheck.org, the rest originate from somewhere else - exactly where is unknown at the moment.

To reiterate: The entire database has been downloaded, including all the cache solutions from geocheck.org. That means that there are still a lot of solutions downloaded that hasn't been published publicly (yet). Though sites hosting the GPX containing the leaked solutions have been contacted to try to force them to retract them, past experience unfortunately dictates that once data is in the wild it is hard/impossible to obliterate.

Words cannot express how sorry I am for this to happen - and how astounded I am of the time and ressources unscrupulous hackers will dedicate to hacking a site supporting the simple innocent pastime that is Geocaching - without any possibility of financial gain or glory. In an age where government sites and large corporations are hacked as a matter of course, providing bulletproof and complete protection for hobby projects such as GeoCheck has proven to be very difficult.

I can only appeal to the better nature of geocachers worldwide and earnestly implore folks to not use the coordinates to cheat - but instead acknowledge the time and effort cache owners have dedicated to creating interesting and ingenious puzzles.
Once again, I am very sorry for this to happen!

Sincerely,
Samuel AKA iChicken

Offline Natureshadow / König Moderig

  • Vereinsmitglied
  • Nano
  • *****
  • Beiträge: 86
    • NaturalNik Broadcast
Re: Rätsel-Lösungstest bei OC
« Antwort #26 am: 09. Februar 2016, 10:58:54 »
Zitat von: Natureshadow / König Moderig
Also nein, das ist alles übertriebene Angstmacherei und hat aus meiner Sicht keinerlei Bezug zu realen Angriffsszenarien.

Hmmm, das Untere war also nur eine Fiktion und nicht real?

[…]

Nein. Aber die Befürchtung, das Vorhandensein einer solchen Funktion wäre eine signifikante Motivation, ist es. Gründe siehe oben: OC hat viel interessantere Daten, und Final-Koordinaten gäbe es vermutlich schon jetzt genug.

-nik

Offline Natureshadow / König Moderig

  • Vereinsmitglied
  • Nano
  • *****
  • Beiträge: 86
    • NaturalNik Broadcast
Re: Rätsel-Lösungstest bei OC
« Antwort #27 am: 09. Februar 2016, 11:10:27 »
Nein. Aber die Befürchtung, das Vorhandensein einer solchen Funktion wäre eine signifikante Motivation, ist es. Gründe siehe oben: OC hat viel interessantere Daten, und Final-Koordinaten gäbe es vermutlich schon jetzt genug.

Ne, warte mal… Es gibt ja gar keine versteckten Wegpunkte. War ich hier jetzt komplett im falschen Film?

Na gut, dann fällt die Hälfte meiner Argumentation weg (und ich sollte mal die FInalkoordinaten aus meinen Listings nehmen, die ich offenabr nie versteckt habe *hust*…).

-nik

Offline Kassena Tomat

  • Nano
  • **
  • Beiträge: 48
Re: Rätsel-Lösungstest bei OC
« Antwort #28 am: 09. Februar 2016, 18:33:25 »
...
OC hat zumindest den (kleinen) Vorteil, daß man die Logeinträge für Caches per Paßwort schützen kann. So bleiben die ehrlichen Finder in der E-Mail-Notification.
...

Das Passwort ist eine tolle Sache gegen Verwechslungsgefahr benachbarter Caches oder die ganz unsportlichen Kandidaten, die online ein "gefunden" loggen, ohne die Dose bzw. das Logbuch tatsächlich in der Hand gehabt zu haben.

Aber was nützt das gegen Koordinaten-Hacken oder - weitergabe? Der "unehrliche" Finder kommt ja an die Dose/Logbuch und somit das Passwort.

Offline Natureshadow / König Moderig

  • Vereinsmitglied
  • Nano
  • *****
  • Beiträge: 86
    • NaturalNik Broadcast
Re: Rätsel-Lösungstest bei OC
« Antwort #29 am: 09. Februar 2016, 20:05:06 »
Aber was nützt das gegen Koordinaten-Hacken oder - weitergabe? Der "unehrliche" Finder kommt ja an die Dose/Logbuch und somit das Passwort.

Äh, du… wenn er schon dabei ist, die Datenbank rauszutragen, kann er auch einfach das Passwort daraus nehmen ;).