?

Log in

No account? Create an account
Не всякая чекистская шестёрка козырная - Пионер. — ЖЖ
Июнь 28, 2012
09:40 pm
[User Picture]

[Ссылка]

Previous Entry Поделиться Next Entry
Не всякая чекистская шестёрка козырная

(104 комментария | Оставить комментарий)

Comments
 
[User Picture]
From:pioneer_lj
Date:Июнь 28, 2012 08:15 pm
(Link)
А откуда Хэлл вообще мог взять (подобрать, отгадать) пароли? Они умеют ломать почту одним способом, подбирая какие-либо простые пароли. Например, имя собаки М.Ю.Соколова, которое известно всем, кто читал его журнал.

Получив компьютеры, специалисты (настоящие, не гопники типа Хэлла) получают возможность взломать почту, и не зная пароль.
From:Yuri Bichkoff [bichkov.com]
Date:Июнь 29, 2012 06:24 am
(Link)
> Получив компьютеры, специалисты (настоящие, не гопники типа Хэлла) получают возможность взломать почту, и не зная пароль.

Как? Какое отношение имеет компьютер к паролю на чужом сервисе, который был изменён?
[User Picture]
From:pioneer_lj
Date:Июнь 29, 2012 07:59 am
(Link)
На хозяйском компьютере остаются следы соединения с почтой. С их помощью специалисты, располагая соответствующей техникой, могут влезть в почтовый ящик. Гопник Хэлл ничего этого не понимает, и даже не умет сделать умный вид.
From:Yuri Bichkoff [bichkov.com]
Date:Июнь 29, 2012 08:42 am
(Link)
Я согласен с Вашей оценкой Хелла, но, видимо, Вы не знаете подробностей принципа авторизации на сайтах. Все «следы», которые остаются — это куки (cookies), позволяющие, да, входить в почту и т. п. без ввода пароля: открыл браузер и ЖЖ сразу «узнал» юзера.

Но это верно только до тех пор, пока пароль в ЖЖ не изменён (откуда угодно, с любого компьютера). Если Вы измените пароль, куки, хранящиеся на Вашем компьютере, станут бесполезным мусором. Другие следы тоже не имеют никакого смысла.

Отсюда и мой изначальный вопрос. Видимо, кто-то утаил какой-то нюанс.
[User Picture]
From:egh0st
Date:Июнь 30, 2012 12:11 am
(Link)
запоминание паролей в бравзере? :)
From:Yuri Bichkoff [bichkov.com]
Date:Июнь 30, 2012 06:55 am
(Link)
Нет, в данном случае.

Давайте разберём подробнее, чтобы пугаться не призраков, а реально страшных вещей. Не «тёмной комнаты», но наставленного пистолета.

Итак, имеем компьютер №1, который помнит пароль от ЖЖ, а также имеет «следы» в виде невидимых пользователю установленных куков. Для ЖЖ куки имеют примерно такой вид: v1:u26290593:s70:t1340434800:g7c7e8539b8e237de8e328fd616739898149cf8b1//1 (не всё; есть ещё, конечно — это только пример). Где u26290593 — идентификатор пользователя (мой, в данном случае), s70 — номер сессии (сколько раз я вводил пароль в ЖЖ), t1340434800 — время действия (UNIX), g7c7e8539b8e237de8e328fd616739898149cf8b1 — зашифрованная комбинация идентификатора пользователя, времени и чего-то, возможно, ещё с помощью хешированного кусочка Вашего пароля, который ни Вы, ни злоумышленник знать не могут.

Иными словами, запуская свой браузер и не вводя вообще никаких паролей, браузер, тем не менее, посылает серверу эти самые куки, которые сервер расшифровывает и даёт «добро» или отказывает в авторизации.

Отсюда следует, что если Ваш компьютер попадёт мне в руки или Вы мне пришлёте свои куки — Я стану Вы. Не вводя никаких паролей никуда. Способов отличить уважаемого egh0st от меня для сервера не существует. Только Ваши куки, которых хранятся на Вашем компьютере (или сам пароль, разумеется).

Конфисковав Ваш компьютер, можно получить доступ к чему угодно: почте, ЖЖ и проч. именно по причине наличия куков и просто «запомненных паролей в браузере».

Идём дальше. Если Вас не посадили в соседнее помещение с конфискованным компом, Вы можете быстро-быстро побежать к компьютеру №2 и сменить все пароли к почте, ЖЖ, твиттеру. Заменить «секретный ответ на секретный вопрос», сменить привязку к номеру телефона и всё такое прочее.

После чего:

1. «запомненные пароли в браузере» на компьютере №1 перестанут иметь смысл. Не так ли?
2. куки браузера на компьютере №1 «не подойдут», потому что изменится всё! Сервер скажет: «Давай, до свидания!»;
3. именно компьютер №2 станет теперь хранителем авторизационных данных, отличных от хранимых на к. № 1.

Видите? — никакой мистики. Компьютер №1 станет бесполезным куском железа в смысле доступа к сетевым ресурсам. Никакие «следы» на нём не помогут теперь войти в гугльпочту или ЖЖ, например.

P. S. Прошу прощения за размер написанного, но кто-то должен нести луч света в тёмное царство :)
From:sorgon_74
Date:Июнь 30, 2012 10:04 am
(Link)
Про трояны расскажи.
[User Picture]
From:egh0st
Date:Июнь 30, 2012 03:56 pm
(Link)
Ну я понимаю принципы работы куков, хотя они на самом деле не единственный возможный механизм (и более того я считаю что их воообще надо запретить :))

1. Атащамта, состна, если получить доступ к моему компу, физический, никаких куков и не нужно, у меня и так пароли на жж, мыло, ибей и подобное вообще просто в бравзере хранятся.

2. А вот важные вещи типа платёжных инструментов, вот там пароли не запоминаются вообще. И никакие куки вам туда не помогут. К примеру пейпал. На мой ибей вы сможете зайти без проблем, а вот купить там что-либо не очень просто, так как в процессе покупки ибей редиректит на пейпал, пароль которого не записан (и лично я ввожу его каждый раз вручную).

3. Вообще несложно поставить аддон который будет форсировать кукисы на определенный домен только на одну сессию бравзера. Я так делаю для гугла и т.д. Разумеется нету смысла делать ограничения по кукушкам для жж и прочих форумов.
Посему если комп конфискуют когда он выключен (например меня нет дома) то ничем особливо это им не поможет, так как кукисов на тот же джимейл там не будет. А если видно что уже ломятся, то не проблема нажат на sign out в нужных табах, после чего ваши куки далее негодны.

[User Picture]
From:palivez
Date:Июль 2, 2012 10:02 pm
(Link)
А если в сеть выходят через USB-модем? Разве служба не может просто затребовать любой фрагмент почты у "ОПСОСА"? И взлом почты нужен только,
чтобы не задавали этот вопрос.
From:zotov_andrey1
Date:Июнь 29, 2012 08:02 am
(Link)
как, как.
может там текстовый файл лежит с напоминанием "секретное слово гуглопочты - нафаня - первая учительница"
проковыряв чужой компьютер можно найти дохерища.
From:Yuri Bichkoff [bichkov.com]
Date:Июнь 29, 2012 12:37 pm
(Link)
Это вообще за пределами добра и зла.

Пользуясь случаем, обращаюсь к читающим эту ветку немедленно удалить опцию с «секретным вопросом», где это возможно (Гугль вообще избавился от подобного трэша), а где невозможно (мэйлру, яндекс и проч. говносервисы) — поставить что-то, равносильное паролю (30 символов «от балды», например, чтобы никогда, никогда, никогда этим не воспользоваться). И забыть как страшный сон.
From:zotov_andrey1
Date:Июнь 29, 2012 12:42 pm
(Link)
К стати меня гуглопочта достает своим требованием ввести номер мобильника и закрепить тф. за ней.
Почему Алексей не сделал этого мне малопонятно.
From:Yuri Bichkoff [bichkov.com]
Date:Июнь 29, 2012 12:56 pm
(Link)
Вот этого я тоже бы не советовал делать. Телефон забирают и дальше что?

Нет-нет-нет! Ни в коем случае. Это не усиливает безопасность, а ослабляет, если иметь в виду не «хакера Хелла», а спецслужбы с их возможностями прослушать трафик, перехватить СМС или просто отобрать телефон.
From:zotov_andrey1
Date:Июнь 29, 2012 01:05 pm
(Link)
Я не очень себе представляю как это будет происходить.
Ну отберёт кговавая гэбня телефон и что?
Навальнер ведь пойдет в офис мтс с паспортном и получит новую симку, это вопрос получаса-часа.
А если кговавая гэбня придет к леше и попросит пароли - он их выдаст, ему нечего скрывать, так?
Алексей, конечно, может воспользоваться блекберри взломанным, тогда уж гэбня отсосет, но это уже другой вопрос.
[User Picture]
From:palivez
Date:Июль 2, 2012 10:06 pm
(Link)
Господи боже! Никогда ваш комп не должен знать номер вашего мобильного.
Если вы выходите только с WF, то волки зайца не найдут, ну, во всяком случае, не так быстро.
Пионер.RU Разработано LiveJournal.com