?

Log in

No account? Create an account
ЖЖ Украина

Самый сок!

всё то интересное в сети, что попало в мои сети


Previous Entry Share Next Entry
ЖЖ Украина

Как ломали

Была использована комбинация дыр в ЖЖ и почте. Сначала о ЖЖ: когда вы создаёте новый блог, то указываете свой емейл, на который потом приходят комменты. На него же можно выслать пароль со страницы восстановления, это на случай, если вы его забыли. Так вот, можно добавлять и удалять сколько угодно новых емейлов, но первый остаётся в списке всегда, он неудаляем. И его всегда можно использовать для получения пароля. Не буду расписывать, зачем сделано именно так, но в общем это было задумано СУПом для усиления защиты ЖЖ и как обычно нифига не вышло. Побочные эффекты: если вы, к примеру, зарегистрировали блог на рабочий емейл, а потом сменили место работы, то ваш блог до сих пор является вашим только потому что никто не захотел его отобрать :) Или если вы регистрировались на публичном почтовом сервисе, который затем стал платным и вы оттуда ушли. Или просто потеряли пароль к тому мылу - с этого момента вы не полностью контролируете свой блог.

Что-то подобное было и со мной. Когда я 4 года назад заводил ЖЖ, у меня и в мыслях не было, что это будет что-то для меня важное. Он BTW получился. Постоянным емейлом у меня тогда был ящик на mail.ru, на него и был зарегистрирован аккаунт. Пароль к ящику был надёжным - 10 символов, регистрозависимый, не из словаря. Подобрать такой пароль обычным перебором нереально, да и любой нормальный почтовик, получив пачку попыток залогиниться с разными паролями, забанит IP или ещё что-то сделает. Поэтому как конкретно они взломали ящик - я не знаю. Я думаю рассказать как было дело - в интересах администрации мэйл.ру. Иначе возникают всякие подозрения о торговле паролями, дырявом сервисе и т.д.

Итак, емейл был вломан, хакеры (или "хакер", если Хэлл работает в одиночку) "восстановили" на него ссылку для сброса пароля блога, поставили новый пароль, написали радостный пост и запустили бот, который в цикле удалял посты.

Кому это выгодно
Восстановление
Итоги

promo ibigdan Грудень 3, 2007 00:08
Buy for 1 500 tokens
Если вы хотите сделать хорошую рекламу вашему продукту или услуге - вы зашли по адресу. Блог "Самый сок!" читают во всём мире. Среднее количество просмотров на каждый пост - 50 тысяч, среднее количество просмотров блога в месяц - 4-5 миллионов. Изучить аудиторию блога в разных разрезах можно в…

a210 March 23rd, 2010
Так ведь функцию первого емайла отменили же. Нужно убрать эту настройку и всё.

easmirnov March 23rd, 2010
это точно?

matchgirl_ru March 23rd, 2010
Так я и думала! А что такое BTW?

pixer March 23rd, 2010
by the way

matchgirl_ru March 23rd, 2010
Я однажды ввела в строке адреса gmail.ru вместо gmail.com и ввела там свои логин и пароль. На что мне ответили, что такого пользователя нет, это, оказывается, совсем другой сайт. Ну,я потом ввела адрес сайта правильно, а потом подумала "бляяя, а ведь так они могут взломать почту! Я же отправила им логин и пароль от gmail.com"

xoma_xoma March 23rd, 2010
Меняй пароль на гмыл.ком. Чем быстрее, тем лучше.

easmirnov March 23rd, 2010
а как узнать свой первый e-mail, на который регистрировался жж?

xoma_xoma March 23rd, 2010
http://www.livejournal.com/support/faqbrowse.bml?faqid=19 -- ФАК про почтовые адреса
http://www.livejournal.com/tools/emailmanage.bml -- управление почтовыми адресами, использовавшимися в ЖЖ

grey_horse March 23rd, 2010
первый остаётся в списке всегда, он неудаляем
Отменили вроде бы: http://tema.livejournal.com/528227.html

grey_horse March 23rd, 2010
Да, точно отменили. Сейчас открыл страницу управления адресами и удалил все, что там были, включая изначальный.

natali_ya March 23rd, 2010
Ой, а я, балда, увидела у себя в друзьях твой ник перечёркнутым и удалила его. :(

Теперь снова зафрендила, прости, не поняла. Подумала, что так и надо было сделать.

xdelit March 23rd, 2010
Не пользуйтесь бесплатными почтовыми сервисами. Кстати M A I L . R U часто перегружен. Что меня больше всего удивляет так это то, что даже в серьезных компаних сотрудники часто пользуют m a i l . r u и ведут деловую переписку. Как вы сами понимаете на чужих серверах информация не может быть конфиденциальной априори.

Дублируйте блог. Лучше создать свой блог на платном хостинге (за все нужно платить и за безопасность тоже), а в ЖЖ его дублировать. В любом случае у вас всегда будет возможность делать бэкапы так часто как сами того пожелаете и в случае необходимости восстановить блог без потерь. Тем более у вас будет возможность спрятать административную панель от посторонних IP.

Используйте только защищенные стандартны шифрования если пользуете точку доступа. Например, WPA2. Траф могут слушать.

И еще, известно ли вам, что в некоторых моделях телефонов в некоторых случаях можно удаленно прослушивать все, что происходит в вашей квартире. Это может сделать даже школьник.

Я могу продолжать этот список очень долго. Не думайте что если сервис принадлежит серьезным компаниям с громким логотипом, то ваша безопасность обеспечена. Часто бывает в точности наоборот. Как-то по молодости и по доброте душевной звонил в службу поддержки некоторых известных сервисов и честно докладывал о так называемых "дырках". Что бы вы думали? Никаой реакции. Даже спасибо не сказали.

Я не призываю вас быть параноиками, но если ваше увлечение становится прибыльным, то пора подумать и обезопасности.




ibigdan March 23rd, 2010
> Не пользуйтесь бесплатными почтовыми сервисами.

вы внимательно читали пост?

as_merlin March 23rd, 2010
С возвращением!!! :)))

xdelit March 23rd, 2010
Ого. Не знал что вы так оперативно ответите. Здравствуйте. :)) Да, я внимательно прочитал пост и все коментарии.

kukmor March 23rd, 2010
интересно

nofuture_33 March 23rd, 2010
А все-таки не надо сканы паспорта и личные фото хранить на доступном месте

zelgrad March 23rd, 2010
Игорь,
может тебе стОит пересоздать блог, не прикрепляясь к mail.ru? Ато же опять на грабли наступишь! ((

(Deleted comment)
zelgrad March 23rd, 2010
мож напишешь про внутреннюю структуру мейл ру и есть ли у нее клоны? )

cardigan_07 March 23rd, 2010
сочувствую, Ваш жж мне оч нравится, с нетерпением жду новых постов!

teh_nomad March 23rd, 2010
>Поэтому как конкретно они взломали ящик - я не знаю.
1. Через систему восстановления паролей.
2. Соц инжиниринг + 1.
3. Браузерный эксплоит + руткит

Другие способы маловероятны. От брутфорса там защита вроде стоит же.