Взлом 3

    Пришло время рассказать третью часть моего незабываемого приключения (надеюсь последнюю).

    1 Часть — madmilk.habrahabr.ru/blog/46812
    2 Часть — madmilk.habrahabr.ru/blog/47288

    После этого письма (описываемого во 2 части). Я решил задействовать всю свою тяжелую артиллерию.
    1. Позвонил другу хорошо разбирающемуся в компьютерах (на мой взгляд). Он с помощью тайных мне манипуляций заблочил мой IP. И взломал мою старую анкету ВКонтакте (которую еще в первой части мне взломали) всего за 2 минуты. Как он мне объяснил, почти любую там анкету можно взломать через ХЭШ ПАРОЛЯ, не имея доступа к компьютеру жертвы. Так же мне стало интересно, что на этой анкете пароль меняли 80 раз в день (тоже не имею понятия, как это он узнал). После взлома анкеты он мне сказал, что следует удалить все статусы и висящие заявки в друзья, так как они могут нести в себе шифрованной код. Во время всех этих моих действий частенько вылетало сообщение что я Загружаю Больше Одной Страницы в секунду, то есть кто-то пытался дистанционно заблочить меня.
    2. Сменил все свои пароли.
    3. Установил Panda Internet Security (которая кстати нашла несколько инфицированных cookie), потому что в NOD 32 я полностью разачарован. Одной из причин установки именно этого антивируса стало то, что почти никто не может его увидеть у меня на компьютере.
    4. Решил последовать советам и поступить кардинально. Создал вторую учетную запись с ограниченными правами и теперь выхожу в сеть только из под нее.

    За время продолжения всей этой истории я понял одно, что в наше время не может идти и речи о Компьютерной Безопасности. Если кто-то ставит своей целью твой взлом на 90% это произойдет.
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 79

      +7
      А друг у вас молодец)))))
        +5
        Да вы оба там угараете неплохо)))
        +15
        Вот, еже ли бы вы, батенька, попросили бы друга своего рассказать, как он чего этого понаделал, а потом испросили бы у него совета, как от напасти такой защититься, то цены бы вашему циклу статей не было.
          +1
          Ну хорошо, что все хорошо закончилось)
          Так же мне стало интересно, что на этой анкете пароль меняли 80 раз в день
          Интересно откуда можно узнать это.
            0
            на локальном компе жертвы ;)
              +1
              В данном случае
              … не имея доступа к компьютеру жертвы.
              Если верить другу)
              +12
              Это история с продолжением :)
              «Взлом. Эпизод III: Новая Надежда»
              «Взлом. Эпизод IV: Хакер наносит ответный удар!»
                0
                Веселее было бы эти назвать 4,5,6 %)
              +5
              Можете спросить друга как узнать хэш пароля без доступа к компьютеру жертвы? Или он у Вас БД Вконтакта за две минуты ломает?
                +1
                В БД контакта пароль анкеты хранится в нехешированном виде.
                  0
                  Откуда инфа? )
                    +1
                    Remind me
                      +1
                      Воспользуйтесь сервисом напоминания пароля — увидите сами.
                        0
                        Увы, не знал. Для этого там еще и регаться надо :(
                          0
                          А что всё-таки тогда мешает этому другу-мегаинтернетгению увести базу данных вконтакта?
                          Автор, а у вашего друга фамилия не Дуров, часом?
                      0
                      «Из чего мы делаем вывод, что статья — фуфло.

                      Ваш К.О.»

                      Как-то так.

                      И риторичский вопрос.
                      Открытый пароль на сервере может быть нужен для всяких специфических методов аутеникации, типа Challenge-Response Authentication Mechanism (сокр. CRAM). Но вконтакту-то зачем он? Там наверняка, если и есть HTTP-аутеникация, используется Basic, куда там до продвинутых механизмов…
                    +27
                    Что ж курить надо чтобы такое написать.
                    Не минусуйте его, нам нужен петросян!
                      +19
                      я скорее поверю, что этот друг его и хакирил)
                      поставил ему какой-нить keylogger
                        –8
                        Ага, в школе, бывало, слал однокласснику под видом пм3шки какойнить скрытый ремоут администратор и х*рней всякой страдал. Потом он звонил мне (он также считал что я Знающий 0о) и мы долго обсуждали как же это этого «кулхацкера» избавиться :)
                          +6
                          Ваше сообщение сквозит одиночеством и безысходностью.
                            –3
                            Это было, если что, в 9м классе, если не раньше, и было летом когда совсем было делать нечего зачастую.
                            Не знаю чего вы там себе понапридумывали относительно сабжа в общем то без разницы.
                              +4
                              Сейчас вы уже в 10м?
                                +1
                                ещё один петросян
                        +1
                        Обожаю таких спецов…
                        Хеш пароля (если учесть что он менял пароль на хынцатисильный) даже если он его как нить получил ламал бы до долго…
                        И ещё
                        Замете — сменил пароли и только потом он поставил антивирус (ну я думаю все всё поняли)
                        А вот про учётку это правильно…
                          –1
                          Хеш пароля (если учесть что он менял пароль на хынцатисильный) даже если он его как нить получил ламал бы до долго…
                          Если там какой-нибудь md5 без соли — то пару секунд.
                            0
                            8e1a5ffb22b445ca29d2c08d193cc6c3

                            Пара секунд пошла.
                              0
                              Если там какой-нибудь md5 без соли
                              Вот под этим понималось скорее всего то, что пароль простой. А не хеш от какого-нибудь фильма.
                              До 7 символов действительно пара секунд. До 9 пара дней. Ну а дальше словари, возведение словаря в квадрат, гибридная атака и прочие не совсем быстрые удовольствия.
                                0
                                Хеш в примере выше — [a-z0-9]{7}
                                +3
                                e3rt56m
                                :-P
                                  0
                                  Правильно.

                                  Итого, прошло, 1 сутки, 2 часа 43 минуты :) А вы говорите, 2 секунды

                                  А если серьёзно, то, конечно, 7 символов для пароля сегодня недостаточно. А 12-символьную комбинацию такого же плана по хешу MD5 за разумное время уже не подобрать.

                                  Кто будет утверждать, что «md5 — ненадёжен» — утверждая, демонстрируйте. А то — «пара секунд».

                                    0
                                    Ну про 2 секунды может немного и погорячился. У меня подобралось за 1 час 33 минут и 01 секунду (увидел только сейчас ибо запускал на рабочем компе).
                                    Если предположить, что я серьезно собрался занять брутфорсом, то можно предположить соответствующий комп. То есть нормально считать md5 на видяшке.
                                    Тогда вместо моих 5500 килопаролей в секунду будет около 400 000 килопаролей. (это выдаёт одна видяха). В 70 раз быстрее.
                                    То есть в районе полутора минут.
                                    Конечно не 2 секунды, но уже ближе. Если поставить 4 видяхи. (а сейчас они наверняка стали мощнее. результат в 400 000 килопаролей я видел когда CUDA только начало вливаться в массы. Соответственно видео было 8800 или что-то типа этого) и тп.

                                    Основная проблема в том, что мало кто использует подобные пароли. (где-то читал исследования, что для 80% паролей достаточно словаря всего на 10к слов). А методом словарь + пара букв + коррекция ошибки возьмется около 95% паролей.
                                      0
                                      Ну тот факт, что брутфорсом оно подбирается быстро, следует из того факта, что сам хеш по себе очень быстрый. Это не есть прямое следствие его криптографической ненадёжности.

                                      Я про то, что заколебали личности, которые орут «MD5 взломан, его использовать нельзя», а по факту ничего, кроме брутфорса предложить не могут. А у брутфорса — сами понимаете, зависимость времени подбора от длины пароля — экспоненциальная. А есть случаи, когда и даже сам по себе подбор бесполезен, а требуюется найти коллизию, да ещё не абы какую, а именно ту, которая очень похожа на уже имеющиеся данные (только в идеале, скажем, все слова «заказчик» и «исполнитель» переставлены местами). Это брутфорсом уже не поподбираешь.
                                        0
                                        Просто не все люди знают, что взлом мд5 при помощи дифференциального криптоанализа на самом деле просто дает возможности достаточно быстро генерить случайные коллизии, что для практического применения совершенно бесполезно.
                                        Именно поэтому и говорят и взломе и неиспользовании.

                                        Просто сейчас то время, когда md5 становится невозможным для использования именно из-за вычислительных мощностей, которые способны перебороть цепочки небольшой длинны даже не обращая внимания экспоненциальную сложность.
                                          0
                                          Не обращать внимание на экспоненциальную сложность — нельзя, так уж природа устроена ;)

                                          Для сравнения, посчитайте, сколько бы подбирали 12-символьный пароль из такого же набора символов. Такой пароль всё ещё несложно запомнить, особенно, если не запоминать его в браузере, а вводить руками каждый раз.
                                            0
                                            Ну всего-то в 365 (60 466 176) раз дольше. Какие мелочи.
                                            Нужно только создать аналог SETI@Home. =)
                                            Но до 10 символов не обращать внимания можно. (это как раз те самые небольшие цепочки). Небольшой кластер с нормально оборудованными компами переберет за неделю. Не так уж и критично, в особенности если много паролей, которые надо восстановить.

                                            Имхо достать необходимый хеш куда большая проблема.
                              0
                              чтобы залогиниться брутфорсить пароль совершенно не нужно. Достаточно знать его хеш.
                                0
                                С чего вы взяли это?
                                  0
                                  Я обладаю магической способностью смотреть в куки браузера.
                                    0
                                    Вы про вконтакте говорите, или вообще?

                                    Если про вконтакте, я бы поверил, если бы не это. Ну или объясните, как это хеш хранится в куках, а в базе — открытый текст, зачем это.

                                    Если вообще, то вы точно ошибаетесь: это может быть не хеш, а скажем, пароль, зашифрованный blowfish с секретом, известным только серверу. Кук бесполезен, пока неизвестен секрет, а сервер, получая такой кук, расшифровывает его и получает пароль открытым текстом.

                                    Короче, ваша способность смотреть в куки тут как-то мимо…
                                      0
                                      посмотрите куку с названием remixpass для вконтакта, а потом посчитайте хеш своего пароля. Более того, если в другом браузере создадите достаточное количество правильных кук (если не ошибаюсь это айдишник, мыло, пасс и ещё пара каких-то константных настроек) то будете залогиненым под собой без ввода пароля и прочей лабуды.

                                      Зачем? Чтобы было сложнее взломать акк. Одно дело когда у тебя есть возможность залогинивания, другое — пароль.
                                      Когда есть пароль он с большой вероятностью подойдет к почте (давайте будем объективны в оценке умственных способностей большинства пользователей вконтакта), его можно поменять, угнать почту и ещё черте что. Это раз. Типа немного более секурно.

                                      Ах да. Вы тому что на заборах написано тоже верите?
                                        0
                                        Нет меня в вконтакте. :) Некуда мне смотреть. Приходится верить забору, благо, на этом вот заборе не так уж часто пишут ерунду.

                                        Но пишут, как вы можете заметить — в данном случае один из вас с ruskar врёт. И у меня нет средств выяснить, кто именно, поэтому проще считать, что врут оба.

                                        А вообще, интересный подход. Хотели как лучше, а получилось как всегда — спёр куки и всё, куда уж безопаснее.
                                          +1
                                          вполне возможно, что ruskar и не врет. Я лично не знаю насколько «хорошо» вконтакт спроектирован внутри. Возможно что он считает хеш от пароля, потом сравнивает с хешом из куки.
                                          Точнее где-то в нешифрованном виде оно точно хранится ибо можно восстанавливать пароль. Под нешифрованным следует понимать то, что оно может быть расшифровано использую только информацию на сервере, без брутфорсинга и терморектальных методов.
                                          Но куки хранят хеш. Тоже факт.
                                            +1
                                            Мда, я пожалуй погорячился про «врёт» ;) Действительно, в базе они могут быть, например, обратимо зашифрованы, а на авторизацию это не влияет, её действительно можно сделать по хешу пароля (он выступает тогда в роли своеобразного «идентификатора сессии»).
                              +2
                              шапито)
                              познакомьте меня с этим другом, хочу узать что за хеши такие… уж очень хочеться разбомбить анкеты тем кто меня отмечает на дурацких картинках
                                +1
                                Это точно… НЕНАВИСТЬ!
                                +9
                                Мне эта история, все больше и больше кажется капитальным бредом.
                                  +3
                                  Вот что то мне подсказывает, что тебя твой друг и ломанул, поставив кейлогер тебе)
                                    +1
                                    Лучше бы Kaspersky Internet Security поставили. Явно надежнее.
                                      +1
                                      Санта Барбара отдыхает…
                                        +3
                                        Дата рождения: 01 апреля
                                          –3
                                          kjk
                                            +5
                                            Мыльная опера «Взлом». Часть 3. «Друг наносит отетный удар!»

                                            Анонс! Скоро в кинотеатрах смотрите часть 4: «Друг оказался не прост»
                                              0
                                              бредятина
                                                +1
                                                Паша Дуров поржал бы
                                                  +2
                                                  Пожалуйста, пригласите сюда своего друга. Пусть он нам что-нибудь расскажет.
                                                    +1
                                                    Хабра-инвайт другу!
                                                  • UFO just landed and posted this here
                                                      0
                                                      Кстати возможно что дырка открылась где-нибудь на userapi.ru/, просто о ней мало известно. Если в истории и вправду все именно так как вы говорите.
                                                        +5
                                                        «Решил последовать советам и поступить кардинально. Создал вторую учетную запись с ограниченными правами и теперь выхожу в сеть только из под нее.» — это кардинально? Всегда считал, что это самое простое что можно сделать.
                                                        А насчет взлома, через хэш-пароля это конечно круто. Но откуда этот хэш взять? Из куков или из пакетов в сети?

                                                        Вообще больше похожа история на спектакль, эдакую детективную историю для детишек.

                                                        С нетерпением жду продолжения истории о том, как автор нашел того хакера и поменял тому пароль на аське, в результате чего кулхацкер борсил всоё нехорошее занятие.
                                                          +3
                                                          Вот и родился новый писатель-фантаст! :)
                                                            –1
                                                            вас развели)
                                                              +1
                                                              я удивляюсь одному… а почему ваш мегахакер ломает только аську и контакт, но не трогает ваш хабраакаунт… имхо — он в разы ценнее…
                                                                +1
                                                                Может быть он незнает что у меня он есть ) Вы ведь ему не скажете, а?
                                                                  0
                                                                  смотря кто больше предложит 8)
                                                                  +8
                                                                  Так этот топик хакер и запостил.
                                                                    +1
                                                                    забыли приставку кул
                                                                  +1
                                                                  Хм, Автор… Это вам не ЖЖ… Предлагаю вам такую идею — давайте вы выведаете у вашего кулхацкера-друга подробности, мб предложите ему описть это на хабре, или вы опишите… Думаю, не меня одного интересуют тех. детали… Естественно я не говорю о том, чтобы вы тут постили готовое решение как взломать любой акк ВК, но…
                                                                    0
                                                                    Мы естественно вас об этом не просим, но тихо пока никто не видит намекаем ;)
                                                                      0
                                                                      Ну судя по молчанию автора, это всё какойто найоб :(
                                                                    +2
                                                                    >которая кстати нашла несколько инфицированных cookie
                                                                    Инфицированных?) Чем?
                                                                      +2
                                                                      У нас препод по операционным средам в институте тоже верит что кукисы опасны для компьютера и считает что их нужно удалять.
                                                                      А вы еще спрашиваете такие вопросы у человека, судя по его топикам, явно далекого от ИТ. И самое ужасное когда далеким от ИТ что либо говорит друг «хорошо разбирающихся в компьютерах», их же не переубедить.
                                                                      Просто не обращайте внимания.
                                                                      +4
                                                                      Это ваш друг ваши пароли и менял.
                                                                      Глупостий каких то написали в трех топиках, вообще что вам делать на хабре? Идите отсюда играйть в Вов и тусуйтесь на ag.ru.
                                                                        –6
                                                                        Спасибо что помогли) Ведь по вашей карме я вижу что советы вы даете дельные)
                                                                          0
                                                                          Автор, не растраивайтесь, обязательно напишите завтра продолжение! Только желательно всё-таки с какими-то техническими подробностями…
                                                                          Очень захватывающая история… Я серьёзно!
                                                                        +1
                                                                        спасибо, баш теперь перекочевал и сюда :)
                                                                          +1
                                                                          Щас глянул по топикам.
                                                                          Это неумелый вирусняк по NOD 32…
                                                                            +1
                                                                            Интересно, а как куки попали к хацкеру? Он сначала взломал компутер жертвы? Или поснифал трафик?

                                                                            Мне просто интересно найти дыру, причина которой — хранение в кукисах ключа аутентификации.
                                                                              +5
                                                                              Откройте все тайну. Пароли на все учётки(мыло, контакт, ася) были одинаковые?

                                                                              Всем отписавшимся: Какие МД5 о чем вы? Кому это действительно нужно? На контакте авторизация автоматическая по кукам по дефолту, почта скорее всего стояла галочка запомнить меня. Т.е. тоже кука. А сценарий прост увели куки, ткнулись в почтовик работает по кукам, контакт тоже работает… Жмем в контакте забили пароль на почту приходит открытый пароль, к почте ну с 80% вероятностью у простого пользователя он подойдёт. Подошёл поменяли пароль на почте, в аське восстановление пароля, на почту пришёл новый. Вот и все. Все пароли поменяны. Все счастливы.

                                                                              Другой сценарий аля социальная инженерия, 90% пользователей ставят такие пароли что их легко догадаться. Или прямой пароль или через подсказку к почте. Все почта вскрыта все остальное поменяли. Проблем 0, и никаких рускусываний хешей.

                                                                              Вам говорят правду что ваш друг вас и ломал.
                                                                              Просто иначе бы он не смог открыть вашу старую анкету(если он конечно не работает вконтакте, и не имеет доступ к базе паролей)! Вот и вся любовь. Про 80 раз это чуш для крутости. Кому нужно ставить 80 разных паролей, какому кулхацкеру это вообще в голову придёт? Он поставит какой нибудь пароль «3lD%3k(@lsLK94]» и все неодним перебором не возьмёшь этот пароль в короткие сроки…
                                                                                0
                                                                                «Откройте всем тайну» Я хотел сказать, описался

                                                                              Only users with full accounts can post comments. Log in, please.