Vmastera blog

Искам да поясня че тази статия не е написана с цел да насърчава хакването на пощи, а за да покаже на потребителите как да защитят личните си данни.

В експеримента използвах моя лична поща, пробвано е до стъпка ‘смяна на парола’ на три пощи (с успех).
Нека не говоря глупости, а да показвам направо как стават нещата.
1.Стъпка първа : Тази стъпка можете да я пропуснете ако имате e-mail-а на ‘човека’ и рожденната му дата, ако ги нямате му погледнете facebook-а. Ще ме попитате защо facebook? Много просто там се намира информацията нужна за тази стъпка, а тя е e-mail ( в abv.bg ) и рожденна дата.

Нарочно съм подбрал тази жертва за да ви покажа че е нужно и малко да размишлявате по-късно ще разберете защо.

2. Втора стъпка : отивате в abv.bg и кликате на забравена парола (вижте картинката)

3. Трета стъпка :  Въвеждате пощата на дадения човек и натискате ‘Потвърди’

До тук не трябва да имате затруднение

4. Четвърта стъпка (най-голямата простотия която съм срещал) : въвеждате рожденната дата на човека, в нашия случай е ** месец 1991 г.  Тук възниква лек проблем към преминаването към следваща стъпка. Мацката е излъгала за годината но аз съм умен и се досетих че е 93-та

5. Пета стъпка :  в тази стъпка идва и тайния въпрос който в повечето случаи не е таен в нашия е ‘Въпрос: Kak se kazvam?’  О БОЖЕ!!!

6. Шеста последна стъпка : е най-лесната просто сменяте паролата и пощата вече е ваша ( или някой вече ви е взел пощата )

Нямам какво повече да добавя освен няколко начина да се предпазите от подобно хакване.

Сменете тайния си въпрос с такъв какъвто само вие знаете.
Сменете рожденната ви дата, защото не знаете от къде може някой “приятел” да ви хакне пощата.
НЕ СИ ПРАВЕТЕ ПОЩА В abv.bg (приятелски съвет) Дори mail.bg са по защитени, но и там си има хитринките
ПС: Без да познавате малко човека няма как да му разбиете тайния въпрос така че не ми задавайте въпроси от рода на “Какво да правя сега?” 
ПС2: И моля НЕ използвайте горе посочената информация за злонамерени цели, целта на статията е да се научите как да се предпазите.

Аз си защитих пощата сега е ваш ред!!!

Критика:
Уважаеми колеги от abv.bg (по конкретно от Нет Инфо) хайде заемете се с този пропуск и махнете този ‘таен’ въпрос, защото стана ясно на цял свят, че това е един огромен BULLSHIT. Или можете поне да направите като колегите си от mail.bg с смс потвърждение по-трудно ще се доберем до телефона на дадения ВАШ клиент Поздрави от мен, и се надявам в най-скоро време да заключа тази статия с новината, че вече не е толкова лесно да се влезне в АБВ поща.
Весели празници на всички!!!

Албански хакер хакна за втори път официалния сайт на Горан Брегович с посланието Косово е република. Формално Косово е част от Сърбия, но след Косовската война се управлява като протекторат на ООН. През ноември 2006 в Сърбия се провежда референдум за новата конституция на републиката, според която Косово остава автономна област, но с по-широка автономия.
Ето и снимка на хакнатия сайт.

Сайтът на ГДБОП бе ударен вчера от руски хакер с псевдоним tAn1A. За около минута вместо началната страница на www.cybercrime.bg се зареждаше черен фон с четери черепа с увити около тях дракони и  текст :  “HacK3D by tAn1A. With loVe from Russia. iT’s WaR.”

След атаката сайта бе възтановен бързо, а Явор Колев, шеф в “Компютърни престъпления” в ГДБОП, заяви : “Това е нормално. Друг път не са удряли страницата. Явно не сме взели необходимите мерки. Но втори път няма да се случи”.

Реплика от моя страна: Уважаеми висшестоящи във ГДБОП, как искате да е добре защитетн сайта ви, след като са го правили ученици, не че ги подценявам, но все пак сте институция която трябва да разполага с най-добрите специалисти в тази област, но за това не сте виновни вие а ограничените бюджети

Първо и основно правило е да използвате дълги пароли съчетани от думи и цифри. Хубаво е думите които използвате да не са стандартни (пр admin, root, code, pass и т.н.) поради факта че brute force използва комбинацията от най-често използваните думи и речникови думи.

Второто правило е да използвате различни пароли за различни сайтове, това се налага заради фишинг сайтовете които са направени само да събират информация от потребителите (юзър, парола, в повечето случай банкова сметка).

Трето основно правило : Сменяйте паролата си често… Ако някой се е добрал до паролата ви а вие я смените Първото място където трябва да си смените паролата е пощата после постепенно в другите сайтове ( защо пощата? – Прочетете статията ми за Как да разбием паролите на приятел. )

Това беше от потребителска страна. Нека сега да разгледаме от към web developer-ска страна. Много са подходите но сега ще съобщя най-използваните.

I. Captcha (Completely Automated Public Turing test to tell Computers and Humans Apart) в превод – Напълно автоматизирана проверка за разграничаване на човек от компютър.

Идея на метода:

1.Генерира произволен код (цифри и букви)

2.Записване на този код в потребителската сесия.

3.Изобразяване на този код посредством PHP ( като картинка). Кода се изобразява на картинката като всяка буква е в различен шрифт, големина, цвят. Допълнително се добавя шум в картинката и понякога блър (замъгляне) Това се прави с цел затрудняване на ботовете да прочетат кода.

4.Дадената картинка се показва на потребителя и той въвежда кода от картинката в текст поле. След попълването на полето, стойността му се взима и се сравнява с тази записана в сесията. Ако кода съвпада то е попълнена от потребител, ако не съвпада тогава можем да смятаме че това е бот.

Целия метод Captcha пропада когато процеса на brute force се извършва ръчно от потребител, а не чрез бот.

II. Втори най-използван метод е блокиране на ИП при неколкократни неуспешни опити.

Пример:Ако потребител въведе повече от трипъти грешна парола автоматично взимате ИП-то му и го блокирате.

Аз ви препоръчвам за да не губите потребители да банвате ИП-то само за няколко часа, защото има и некадърни потребители които ще го направят без да искат или просто са толкова глупави че са си забравили паролата.

III.Друга защита която изобщо не я препоръчвам е разрешаването на влизане от едно ИП на даден потребител.Много остарял метод.

IV.Добро решение е когато блокирате IP, да блокирате и username-а (обикновено ботовете не си сменят имената).

V. И не на последно място, както има списъци с пароли, така има и списъци със лоши ИП-та потрърсете в google и сложете един такъв списък аз лично ползвам, но направен от мен с ип-та които са ме спамили

Като за начало има няколко вида споофинг :

1.Referer spoofing

2.Spoof (game)

3.Protocol spoofing

4.IP address spoofing

5.Website spoofing

6.Caller ID spoofing

7.SMS spoofing

8.E-mail spoofing

Надявам се да не съм изпуснал някой сега ще разгледаме Ref-tar spoofing-а горе споменат като Referer spoofing. Какво е Ref-tar? Ref е съкращение от Referer а TAR от Target. С пример ще стане най ясно.

Примерно влизате в моя сайт http://vmastera.com/ и попълвате логин формата (която е няма) а тя ви пренасочва към http://vmastera.com/login.php в този login.php се правят заявки към базата данни и сe прави проверка дали дадения user и pass съвпадат и тогава ви пренасочва към http://vmastera.com/admin/ където се проверява Referer-a (http://vmastera.com/login.php в нашия случай) а самия target е http://vmastera.com/admin/

Ето какво пристига във http://vmastera.com/admin/ :

GET http://vmastera.com/ HTTP/1.0
Accept: */*
Referer: http://vmastera.com/login.php
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-GB; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10
Host: http://vmastera.com/admin/

Предаването на тази информация се извършва чрез http протокола. Та идеята е направо да пратим този Header направо във http://vmastera.com/admin/ и сме вътре

Разбира се аз не бих направил така сайта си това е стар метод който работи в момента главно в порно сайтове

Надявам се този път колегата от ТУ да остане доволен от обяснението ми и да не плюе по КСТ-то Очаквам коментара му или ако има допълнение по темата