blog.dexterxx.pl : Blog | Chcesz być na czasie z moimi poczynaniami? Odwiedzaj bloga. Zawsze znajdziesz tutaj najświeższe informacje.

Firefox jak wiele modernistycznych przeglądarek ma opcję zapamiętywania haseł. Dla wielu ludzi wystarczające zabezpieczenie, wiele osób nie potrafi „odczytać” co kryje się za gwiazdkami czy kropkami automatycznie wprowadzanymi przez przeglądarkę np. w przypadku napotkania formy logowania – i tak uważamy się za dostatecznie zabezpieczonych, nawet jeśli używamy hasła głównego.. a co jeśli przeglądarka o nie nie pyta co logowanie na stronę?

Pokażę na swoim przykładzie, jak łatwo można ominąć te wszelkie „zabezpieczenia” samymi, codziennymi wtyczkami z naszej przeglądarki. Strzeżcie się szczególnie developerzy.

Idiotyzmy. Pewnie miałeś nie raz taki moment, szukałeś czegoś.. w końcu to coś znajdowałeś, ale nie mogłeś tego dostać, bo musiałeś się zalogować – głównie bywa tak na forach. Albo zobaczyć jakiś link, czy to pobrać plik.. czy nawet przeczytać jakiś wpis. Co za pojebani ludzie ustalają takie zasady?

Pierwsza bariera

Zaloguj się, aby wyszukać na tym forum… Super, że na darmo muszę zakładać konto, jeśli nie ma jeszcze takiego na BugMeNot… Zrobiłem się ostatnio na tyle chamski, że podaje często w takich wypadkach mail na serwisy typy ’10minutesmail’ aby tylko kliknąć aktywacje i mieć serdecznie tą stronę w dupie. Czasem pomagam jak mi się chce i submituje ów dane na BugMeNot, aby inni walczący, tacy jak ja mieli łatwiej.

Formularz jest zazwyczaj minimalistyczny, więc nie widać już tutaj sensu zbierania i sprzedawania ludzkich danych.. to po jaką cholerę zakładać te konta?

Wszedłem sobie na szukanie znajomych na facebooku. Z ciekawości kliknąłem filtr pracodawca: THG.pl (bo mam tak wpisane).

Skąd się biorą ludzie, którzy identyfikują się z rzeczami zupełnie niezwiązanymi z ich osobą? To jeszcze nic. Bardzo wiele ludzi zarejestrowało sobie skrzynkę mailową na domenie thg.pl i już nie raz czytałem maile w stylu:

Były czasy Tom’s hardware, kiedy to siedziałem na forum czasem po 6 godzin czytając wszelakie wątki przy tym pomagając jak potrafiąc wielu ludziom – przez to zdobyło się sporo wiedzy itd. Idę w kierunku programowania, jako zainteresowań, więc w sumie dobra pora wbić na jakieś dobre forum o tym temacie i znowu napierdalać posty i zdobywać wiedzę, renomę ;-)

Google -> programowanie forum:
forum.programuj.com
codercity.pl
-> Rejestracja. Przychodzi mail o założeniu konta…

O nein!! mój passłord!

… tętni sobie spokojne życie, gdzie każdy czuje się szczęśliwy, bezkarny i w ogóle fajny. Tam gdzie nie ma dzieci neo, lecz sporo wokół plugastwa. Ludzie chwalą się swoimi osiągnięciami i fantazjami.

Skradziono Ci akurat konto na nk? Kurczę… To teraz czas na mały szantażyk ;-)

Trochę haseł widać? No i co z tego.. to jak ujawnienie PIN’ów do kart bankomatowych wszystkich użytkowników na świecie :o ! God damn, nie możemy się czuć bezpieczni!

Nie, to nie ten słynny index.html

Samym nickiem nie zaloguje się na Allegro, poczty nie sprawdzę, a co najwyżej odkryje kolejne godziny zegarowe przed premierą 3W – złodzieje czasu. Zaraz, przecież nie mam hasła do maila, aby aktywować konto. Kurczę.

Przed wczoraj wyszło na jaw, że filmweb został rozkradziony z kont użytkowników i tak oto poszły maile, nicki, i hasła (niesolone?) w ruch w necie. Kolejna potężna wpadka na miarę wykopu, może czegoś jeszcze. Ale dziś nie o tym.

Jubileuszowo 100 post dzisiaj strzelę trochę o hasłach i ich w miarę bezpiecznemu gromadzeniu.

Sprawą oczywistą jest, że czasem ludzie nawzajem sobie starają podebrać hasło czy to do poczty czy czegoś innego. Osoby niespecjalnie wprawione w większe sztuki przełamywania granic ograniczyć się mogą do jakichś ataków słownikowych czy brute na hashu, który przypadkowo dostały. Przyjmijmy że ciekawym hasłem i całkiem skomplikowanym jest link, przykładowo: http://tnij.com/pL6rG.

To kombinacja z 21 znaków: podstawowych [a-z] w dodatku ze znakami z dużymi [A-Z], trafiona chociaż ta jedna cyfra i znaki specjalne: dwukropek, slash, kropka. Trudne do łamania, ale jednak jest. W końcu nasz hakier dopadł rozkodowany hash albo użył keyloggera.