Как стать автором
Обновить

Комментарии 67

Это известная особенность, что естественные идентификаторы (имена, фамилии итд) легко перебираются. То же самое, если зашехировать имя или телефон — их легко восстановить, так как их очень ограниченное количество.
Печально, что такие слабые пароли используют для доступа к чувствительной информации. Ещё и в масштабе практически всего населения
не зря ж есть понятие «индусский код»
Только данные отсталой страны никому ненужны.

Ошибаетесь. Индия многим людям видится как один из самых крупнейших и перспективных рынков сбыта всего чего угодно. Там много бедных людей, но и ещё больше богатых, их в больше, чем в других странах.

Ошибаетесь. Возьмите тех же сетевиков или архитекторов — да их поболее будет чем любой другой рассы, ну может китайцы еще где-то рядом. Но если взять то количесвто специалистов и поделить на общее количество жителей страны — вот тогда действительно печалька.
Я однажды смотрел интервью с одним болливудским известным актёром. Его спросили: «Почему бы вам не поехать сниматься в Голливуде?». Он ответил: «А зачем? Здесь, в Индии, меня смотрит миллиард зрителей, а в Голливуде меня покажут меньше чем 500 млн»
Это известная проблема с государственными органами. Часто любые, даже самые благие начинания, сталкиваются с ленью на местах.
Живой пример. Украинская налоговая выдаёт каждому человеку свой собственный ИНН. Кроме этого внедрены цифровые сертификаты, которые могут быть использованы человеком в качестве цифровой подписи. Например — при получении кредита, или сдаче налоговых документов онлайн.
И переходим к смешному моменту. Налоговая выдаёт человеку сертификат на диске, при этом пароль к этому сертификату уже установлен (и, довольно часто, написан маркером на конверте с диском). И угадайте с трёх раз что это за пароль? Я опросил нескольких знакомых — у всех одно и то же. В качестве пароля налоговая использует ИНН, который является открытой информацией.
Понятно, что сертификат можно перевыпустить онлайн. Понятно, что пароль нельзя использовать без сертификата. Тем не менее — вот такая безопасность.
А с телефоном-то что не так? Их в России пара сотен миллионов
Раджит Кутропали говорит:«Святая корова!», если материал оригинальный — похвально, сам себе CTF
zanuda_mode_on Раджеш Кутраппали zanuda_mode_off
Префикс всё равно «РАДЖ».
На этот раз вы забыли включить zanuda_mode ;)
или СИНГХ
Secret password
RAJE1982
Очень впечатлили первые два шага. Сделаем дикую, абсурдную ошибку в исходном подсчёте, получим три триллиона комбинаций. Затем ошибку очевидным образом исправим — и вот мы получили всего 46 миллионов, какая титаническая работа!

Следующие пункты не читал, но позвольте угадать: вы посмотрели популярные имена, верно?
Либо автор просто добивался «вау-эффекта», как писал KennyGin ниже, либо пытался продемонстрировать, насколько большая разница в количестве комбинаций между случайным набором буквоцифр и шаблонным.
Следующие пункты не читал, но позвольте угадать: вы посмотрели популярные имена, верно?

Это перевод :)
НЛО прилетело и опубликовало эту надпись здесь
sumanai
Мой вариант исправления, может кому пригодится.
Нет, никаких плашек. Ни спереди ни сзади, ни цветных ни черных. Никаких — Плашки не срабатывают, как показала многолетняя практика на Хабре.

Вот решение:

Cracking eAadhar password in 2 seconds with Maths | Somdev Sangwan
Подбираем пароль к индийскому ИНН за две секунды, или зачем брутфорсу математика

____________________
И сразу видно что это перевод! (С)
И не имеет значение исходный язык — английский или китайский, к примеру. Или румынский или польский.

И урл показывать не надо. Показывать урл — это как показывать то, что… в приличном обществе не показывают людям. Урл — это для компов, а не для людей. (С)
«Баннерная слепота» же. Как не видят плашек, так и английского текста не увидят, и всего, что угодно, разве только радужный градиент на половину страницы хреначить.

Ваш вариант лично мне нравится, но, как мне кажется, он не очень хорош из соображений поисковой оптимизации.
«Баннерная слепота» же. Как не видят плашек, так и английского текста не увидят
Не факт. Пока часто не видят плашки. А вот если текст:

Cracking eAadhar password in 2 seconds with Maths | Somdev Sangwan
Подбираем пароль к индийскому ИНН за две секунды, или зачем брутфорсу математика

超百万台电脑被非法控制进行“挖矿”用户却不知 | legaldaily.com.cn
Ради майнинга, китайцы взломали уже более 1 млн компьютеров

AngularJS. Profesjonalne techniki | Adam Freeman
AngularJS. Профессиональные методы

Hướng dẫn cơ bản về ReactJs | Nguyen Quang Huy
Основной учебник по React.js

Ваш вариант лично мне нравится, но, как мне кажется, он не очень хорош из соображений поисковой оптимизации.
Вот! Тут может быть и собака зарыта! — Они может быть из-за этого и вывернули наизнанку, выставив на всеобщее обозрение только урл!

/me не очень понял, как оный индус собирается брутфорсить 1000 паролей в секунду. Его что, сайт пароле эдак на третьем или пятом не заблокирует минут на пять?


А "пароль" из первых букв имени и года рождения — это вообще гордо :-). Если ломать конкретную учётку — брутфорс не нужен, просто зайти...

Пароли на PDF-письмах, а не на сайте.
Меня интересует вопрос: от кого вообще должен защитить этот пароль? От недобросовестного работника еАдхара? Почтового сервера/клиента? Соседа по индийской общаге?
Злоумышленник же сперва должен это письмо как-то получить.

Автора спросили об этом в комментариях. Его ответ в моём вольном переводе:
1. Множество этих файлов проиндексировано гуглом.
2. А что если сервер взломают?

Но это проблема безопасного хранения, на мой взгляд.
как оный индус собирается брутфорсить 1000 паролей в секунду
большинство брутфорсов пишут сразу с переключалкой прокси.
А толку, если лок будет на учётную запись?
Я видел ответ что это оказалось PDF, но всё же.

Если лок на учётную запись, то блокируем доступ к любому аккаунту за две секунды.

Можно просто выдавать капчу.
Или запрашивать иную верификацию.
Зачем к любому?
Какая забавная статья.

Берётся исходная задача «Перебрать комбинации из первых четыре буквы имени капсом плюс год рождения». Дальше число этих комбинаций грубейшим образом оценивается сверху как "Всевозможные комбинации из четырёх заглавных букв и четырёх цифр".
Получаем исполинские 92 года на перебор. Дальше за два шага просто возвращаемся к исходной задаче, и вот мы уже сократили перебор до 12 часов. Дешёвый ВАУ-эффект обеспечен!

P.S. К оставшимся двум шагам оптимизации претензий нет, путь это и довольно тривиальные вещи. Но ведь «12 часов -> 2 секунды» это совсем не так круто как «92 года -> 2 секунды», да?..
Мне кажется, главную задачу своего вау-эффекта автор достиг — пост подлил масла в и так большой огонь вокруг дырявости еАдхара. Там куча проблем, уже и петицию организовали по этому поводу.
Годы и секунды это замечательно. Как и regular expressions.

Константы для первого, которые всегда лучше помнить.
Год — 8760 часов, 31 536 000 секунд.
Один миллион секунд — 11,5 суток.
Один миллиард секунд — 31 и ¾ лет.
Один триллион секунд — 31 710 лет.
Мне нравится соотношение "π секунд — один нановек" (с точностью 5%).
Редко, когда нужно считать года в секундах, но даже если это использовать в коде, то читающий код ничего бы не понял, откуда взялась константа 31536000. Я бы написал более менее явно: 60*60*24*365. Уж что-что, а 24 и 365 обычного человека подтолкнут на мысль, что это время. Ну и опять-же 31536000 в отличии от 86400 вовсе не константа, а зависит от високосности года…
Смотря в какой предметной области. Если мне система нагрузочного тестирования пишет «тест выполнялся 1 сутки, 2 часа 3 минуты 4 секунды», то я ожидаю, что продолжительность суток — константа.
Уже с первого взгляда бросаются в глаза две большие лажи:

1) Индийский ИНН — это PAN, а не Aadhaar.

2) Aadhaar — это БИОМЕТРИЧЕСКИЙ личный ID.

Примитивный пароль точно соответствует «ценности» закрытого им PDF. Который просто ваша копия, исключительно для удобства — точно такую же может невозбранно сделать ЛЮБОЙ, тупо сфотографировав или отсканировав оригинал (саму карточку).

Практическая ценность этой копии для левого человека равна НУЛЮ, ибо персональные БИОМЕТРИЧЕСКИЕ данные лежат в центральной базе. Доступа к которой собственно карточка никак не дает.

Зачем вообще там (ПДФ) пароль? А фиг его знает. Чисто «для порядка». Тут так принято.
Будет слив баз связанных с этой, будет смысл)
Хахаха, имея копию базы биометрии — можно сгенерировать сколько угодно ВАЛИДНЫХ Aadhaar ID, на любые входные персональные данные (ФИО/адрес), и никаких «запароленных» PDF для этого не надо.

Так в в чем «будет смысл»? — раскройте пожалуйста.
НЛО прилетело и опубликовало эту надпись здесь
Кому-то же в голову пришло пароль делать по такому вот паттерну. И на всём пути разработки архитектуры, кода, приёмки, внедрения никто не встал и не сказал «да это же бред!». Наверное, «кого надо» фирма делала и протестовать было нельзя.
Когда получал визу в Финляндию, тоже получал зашифрованный PDF. Пароль: первые четыре символа номера паспорта + дата рождения.
Link
Open PDF attachment (using 4 characters of Passport Number + Date Of Birth (ddmmyyyy) as entered in the online visa application form)

Предлагаю поломать!

Инересно, как сложно сломать PDF? Знаю точно, что MS-документы ломаются на 1-2-3 даже без брутфорса.
для шифрования что pdf, что docx используется AES-256
на 1-2-3 ломается «защита» от изменения
Только если номер паспорта был указан с пробелом, я так и не смог подобрать пароль. Там где-то про пробел было упомянуто, но ни с ним, ни без него не получалось.
Для просмотра и печати визовой анкеты, пожалуйста, используйте пароль в формате, указанном ниже:
Первые 4 цифры номера паспорта+ дата рождения(ддммггг), как указано в визовой анкете

— Если Вы ввели номер паспорта в следующем формате: 72 1234567 и дату рождения: 01.01.1990, пожалуйста, используйте пароль: 72 101011990, чтобы открыть PDF.
— Если Вы ввели номер паспорта в следующем формате: 721234567 и дату рождения: 01.01.1990, пожалуйста, используйте пароль: 721201011990, чтобы открыть PDF.
Вот-вот. Именно в таком виде у меня и не сработало. И первые четыре символа и первые четыре цифры с пробелами и без пробелов никак не распознавались как валидные (72 1, 72 12, 7212 не подходили). А если в анкете без пробела указывать, то всё хорошо.
У меня принял «3 2 3 4 23313», «DF23 124531», " 1 2 3 4". Символы не принимает. А вот пробелы и буквы в любом порядке.
А открыть pdf'ку с пробелами смогли?
К сожалению, времени нет дозаполнить до конца. Можете сами попробовать на их страничке.
Я пробовал, у меня не получилось. Мало ли, вдруг я как-то не так пробовал.
А можно указать номер паспорта в любом формате, например " ## # # ######" и тогда первыми символами пароля будет пара пробелов. Но не помню, есть ли валидация на введенные символы в это поле, возможно, туда можно надолбить что угодно, в том числе и непечатные символы. Тогда забрутить будет крайне сложно.
Открытие брокер круче всех:
обращаем ваше внимание: ПАРОЛЕМ для открытия файла является АДРЕС ЭЛЕКТРОННОЙ ПОЧТЫ клиента написано открытым текстом в письме, отправленном на угадайте какой адрес.
100: Общее количество {
50: от 00 до 25 лет
15: от 26 до 35 лет
45: от 36 до 100 лет
}

итого 110?
О, спасибо, даже не заметил. Там, очевидно, 35 вместо 45 должно было быть.
UPD: Хотел исправить, но у автора всё подогнано под 45. То ли я чего-то неправильно понял, то ли он всё-таки ошибся.
Скорей всего, потому как он писал что 65% это люди до 35 лет, соответственно остальные 35% — это люди от 36 лет
Как обладатель Aadhar карты, я не очень понимаю, как можно воспользоваться полученным номером. Это все равно, что в России получить список всех ИНН. Ну получили и что дальше?

И вообще говоря, при использовании Аадхар карты там надо предоставлять отпечаток своего пальца.

Мне всегда было интересно насколько случайны биометрические пароли. То есть, допустим отпечаток пальца позволяет снять 15 параметров некоторые принимают 10 значений (от балды цифры). Вот вам полтриллиона возможных значений. Но как бы очевидно что они распределены сильно неравномерно и почти наверняка не независимы. Наверняка какая-то хэш функция делает на это поправку, растягивая поле значений там где они кучкуются, и, соответсвенно, сжимает для редких комбинаций. Но насколько эффективно она работает зависит от использованной выборки отпечатков пальцев. Возможно в Силиконовой долине использовали местную полицейскую БД для определения как распределены измеряемые параметры. Тогда весьма вероятно что алгоритм хорошо различает отпечатки пальцев афроамериканцев и латиноамериканцев, но шведы для нее все на одно "лицо" и для многих шведов она генерирует один и тот же хэш. Знающий хакер может написать таргетирванный червь, который будет подбирать хэш исходя из дополнительной информации (место проживания, раса, национальность, родственники) и будет удаленно ломать большой процент биометрик, просто потому что будет часто натыкаться на кластеры родственников, чьи биометрики неразличимы для алгоритма распознавания.
Это уже известная проблема в распознавании лиц (азиаты все на одно лицо для калифорнийских алгоритмов) и наоборот.

У биометрических систем свои минусы есть. Например, сложно пароли менять в случае утечки.

Так и я о недостатках. У них недостаток еще в то что их можно без вашего ведома скопировать — в недалеком будущем даже с фотографии например. Но я о том что мне еще кажется что их устойчивость к перебору можно сильно

Если бы производители основного софта так занимались оптимизацией, IT-индустрия была бы совершенно иной!
На картинке после слов "Теперь сделаем эффективный алгоритм для взлома паролей" три ветки 50, 15 и 45 должны в сумме давать 100 или нет?

Если да, то ошибка, ибо 50 + 15 + 45 = 110.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории