10 000 hesel k emailům není v dnešní době problém
Když se řekne:"Hacknul mi email", představíte si hackera. Když se řekne hacknul 100 účtů na nejznámějším emailovém portále, je to podle televizních zpráv národní zločinec.
Pravda o mohutnosti útoků je poněkud jiná. Opravdu velké hacky se netýkají desítek, stovek, ani tisíců účtů. Jsou to průniky o mohutnosti milionů ukradených účtů. Jejich autory se mnohdy nepodaří najít, svět se o průnicích ani nemusí dozvědět. Proč? Protože pokud útočník nehledá pouze slávu v internetovém podsvětí, pak své úspěchy nebude rozhlašovat. Bude čerpat benefity, možná chybu nahlásí, co udělá je už čistě na povaze...
Abych trošku zlehčil pohled na mohutnosti útoků, nasimulujeme si útok. Nejsem hacker, nejsem bezpečností analytik, proto mějte na mysli, že útok je teoretický! Způsob jak se dostat k 10 000 emailových účtů je podle mého názoru opravdu hodně jednoduchý...
- jako první útočník vyhledá portál, který je zranitelný, ideálně ve SQL. Pokud není díra ve SQL, může vyhledávat cestu, kterou spustí svůj vlastní script a přístup do SQL si tak i tak zařídí. Najít portál s (v řádu desetitisíců) mnoha uživateli a některou z chyb je záležitost na 10minut.
- když má přístup do SQL, první co udělá je vyhledání administrátorských údajů a stažení celé databáze.
- po stažení databáze ve většině případů nalezneme hesla v podobě hashu, jejich lousknutí při použití rainbow tables není problém (v případě md5), ve více jak 80% budou hesla lehká a slovník si s nimi poradí :-)
- nyní má útočník plný přístup na získané nickname hacknutého portálu
Z databáze budou nejžádanější informace: heslo, email, nickname
Využít k cracknutí může jedny z těchto služeb: c0llision.net, md5decrypter.co.uk/
Celý vtip, jak se dostat do osobních účtů a tím pádem dalších služeb je jako vždy v lidské hlouposti. Drtivá většina uživatelů hacknutého portálu bude mít stejné heslo i ke svému emailovému učtu, k prolomení postačí opět script, který nebude louskat hashe, nýbrž testovat email a heslo, pokud odpovídá - bere se úspěch, pokud ne, neúspěch. Tímto způsobem získává útočník desetitisíce účtů k emailu, který může být bezpečnější sebevíc. Smůla...
Email je brána k Vašemu soukromí
Asi každému je jasné, že útočník přihlášením do mailu může číst veškerou osobní poštu. Je ale všem jasné, že útočník získal přístup všude tam, kde máte použit tento email u registrace? Co třeba bankovní účet, co účet na PayPalu, co účet u Fortuny, atd. Není problém si heslo obnovit a v emailu, který může číst si přečíst nebo vygenerovat nové heslo prakticky kamkoliv.
Moje doporučení
Email je místo, kam se vám slézá veškerá aktivita na internetu (registrace, soutěže, atd.). Je to takové centrum všeho dění a výchozí místo pro většinu uživatelů. Je třeba k tomu tak přistupovat, mějte na email jiné heslo než běžně používáte! Nikdy své heslo nikomu neříkejte! Nepoužívejte toto heslo už (zdůraznuji!) jinde!
Autor:  KdoSiOdJinud / Jan KuthanVydáno: 23.3.2011 14:06 Přečteno: 5543x |
Co je to RSS a k čemu je to vlastně dobré? Záloha kontaktů ICQ Možné řešení roztočení ozubeného kola loga Bezpečnostní chyba ve WordPadu - je třeba ji řešit? |
.jpg)
Komentáře
Vážně si ani já nevím rady. Email znám ,je na seznamu, heslo však ne. Už jsem zkoušela všechno možné, výsledek žádný. Kdo mi v tom poradí?
Zdravím.jsem už zoufalý,několik měsícu se snažím najit zpusob jak zjistit heslo na email.Id znám,ale né a né najit spravny program,nebo postup.Mohl by jsi mi nějak přibližit co bych měl udělat?..A omlouvám se za spam,psal jsem i do jineho postu.
předem diky za pomoc. 1
Procetl jsem si clanek,ale nevim jak ziskat MD5 Hash heslo od daneho emailu.Clanek jsem si precetl vicekrat,ale pochopil jsem ze musim nejak najit a vlizt do SQL tabulek.Ty uz jsi to zkousel nekdy takhle zjistit heslo u emailu?
Diky.
Jde takto Hacknout napriklad email u Seznam,centrumu nebo Zoznamu?
Diky
Ahoj, když si přečteš pořádně článek a pochopíš princip tak si odpovíš sám
Nicméně má odpověď je, že to jde 
Mmm, zajimave :-) moc hezky blog
díky díky :-)