Комментарии 79
А друг у вас молодец)))))
Вот, еже ли бы вы, батенька, попросили бы друга своего рассказать, как он чего этого понаделал, а потом испросили бы у него совета, как от напасти такой защититься, то цены бы вашему циклу статей не было.
Ну хорошо, что все хорошо закончилось)
Так же мне стало интересно, что на этой анкете пароль меняли 80 раз в деньИнтересно откуда можно узнать это.
Можете спросить друга как узнать хэш пароля без доступа к компьютеру жертвы? Или он у Вас БД Вконтакта за две минуты ломает?
В БД контакта пароль анкеты хранится в нехешированном виде.
Откуда инфа? )
«Из чего мы делаем вывод, что статья — фуфло.
Ваш К.О.»
Как-то так.
И риторичский вопрос.
Открытый пароль на сервере может быть нужен для всяких специфических методов аутеникации, типа Challenge-Response Authentication Mechanism (сокр. CRAM). Но вконтакту-то зачем он? Там наверняка, если и есть HTTP-аутеникация, используется Basic, куда там до продвинутых механизмов…
Ваш К.О.»
Как-то так.
И риторичский вопрос.
Открытый пароль на сервере может быть нужен для всяких специфических методов аутеникации, типа Challenge-Response Authentication Mechanism (сокр. CRAM). Но вконтакту-то зачем он? Там наверняка, если и есть HTTP-аутеникация, используется Basic, куда там до продвинутых механизмов…
Что ж курить надо чтобы такое написать.
Не минусуйте его, нам нужен петросян!
Не минусуйте его, нам нужен петросян!
я скорее поверю, что этот друг его и хакирил)
поставил ему какой-нить keylogger
поставил ему какой-нить keylogger
Обожаю таких спецов…
Хеш пароля (если учесть что он менял пароль на хынцатисильный) даже если он его как нить получил ламал бы до долго…
И ещё
Замете — сменил пароли и только потом он поставил антивирус (ну я думаю все всё поняли)
А вот про учётку это правильно…
Хеш пароля (если учесть что он менял пароль на хынцатисильный) даже если он его как нить получил ламал бы до долго…
И ещё
Замете — сменил пароли и только потом он поставил антивирус (ну я думаю все всё поняли)
А вот про учётку это правильно…
Хеш пароля (если учесть что он менял пароль на хынцатисильный) даже если он его как нить получил ламал бы до долго…Если там какой-нибудь md5 без соли — то пару секунд.
8e1a5ffb22b445ca29d2c08d193cc6c3
Пара секунд пошла.
Пара секунд пошла.
Если там какой-нибудь md5 без солиВот под этим понималось скорее всего то, что пароль простой. А не хеш от какого-нибудь фильма.
До 7 символов действительно пара секунд. До 9 пара дней. Ну а дальше словари, возведение словаря в квадрат, гибридная атака и прочие не совсем быстрые удовольствия.
e3rt56m
:-P
:-P
Правильно.
Итого, прошло, 1 сутки, 2 часа 43 минуты :) А вы говорите, 2 секунды
А если серьёзно, то, конечно, 7 символов для пароля сегодня недостаточно. А 12-символьную комбинацию такого же плана по хешу MD5 за разумное время уже не подобрать.
Кто будет утверждать, что «md5 — ненадёжен» — утверждая, демонстрируйте. А то — «пара секунд».
Итого, прошло, 1 сутки, 2 часа 43 минуты :) А вы говорите, 2 секунды
А если серьёзно, то, конечно, 7 символов для пароля сегодня недостаточно. А 12-символьную комбинацию такого же плана по хешу MD5 за разумное время уже не подобрать.
Кто будет утверждать, что «md5 — ненадёжен» — утверждая, демонстрируйте. А то — «пара секунд».
Ну про 2 секунды может немного и погорячился. У меня подобралось за 1 час 33 минут и 01 секунду (увидел только сейчас ибо запускал на рабочем компе).
Если предположить, что я серьезно собрался занять брутфорсом, то можно предположить соответствующий комп. То есть нормально считать md5 на видяшке.
Тогда вместо моих 5500 килопаролей в секунду будет около 400 000 килопаролей. (это выдаёт одна видяха). В 70 раз быстрее.
То есть в районе полутора минут.
Конечно не 2 секунды, но уже ближе. Если поставить 4 видяхи. (а сейчас они наверняка стали мощнее. результат в 400 000 килопаролей я видел когда CUDA только начало вливаться в массы. Соответственно видео было 8800 или что-то типа этого) и тп.
Основная проблема в том, что мало кто использует подобные пароли. (где-то читал исследования, что для 80% паролей достаточно словаря всего на 10к слов). А методом словарь + пара букв + коррекция ошибки возьмется около 95% паролей.
Если предположить, что я серьезно собрался занять брутфорсом, то можно предположить соответствующий комп. То есть нормально считать md5 на видяшке.
Тогда вместо моих 5500 килопаролей в секунду будет около 400 000 килопаролей. (это выдаёт одна видяха). В 70 раз быстрее.
То есть в районе полутора минут.
Конечно не 2 секунды, но уже ближе. Если поставить 4 видяхи. (а сейчас они наверняка стали мощнее. результат в 400 000 килопаролей я видел когда CUDA только начало вливаться в массы. Соответственно видео было 8800 или что-то типа этого) и тп.
Основная проблема в том, что мало кто использует подобные пароли. (где-то читал исследования, что для 80% паролей достаточно словаря всего на 10к слов). А методом словарь + пара букв + коррекция ошибки возьмется около 95% паролей.
Ну тот факт, что брутфорсом оно подбирается быстро, следует из того факта, что сам хеш по себе очень быстрый. Это не есть прямое следствие его криптографической ненадёжности.
Я про то, что заколебали личности, которые орут «MD5 взломан, его использовать нельзя», а по факту ничего, кроме брутфорса предложить не могут. А у брутфорса — сами понимаете, зависимость времени подбора от длины пароля — экспоненциальная. А есть случаи, когда и даже сам по себе подбор бесполезен, а требуюется найти коллизию, да ещё не абы какую, а именно ту, которая очень похожа на уже имеющиеся данные (только в идеале, скажем, все слова «заказчик» и «исполнитель» переставлены местами). Это брутфорсом уже не поподбираешь.
Я про то, что заколебали личности, которые орут «MD5 взломан, его использовать нельзя», а по факту ничего, кроме брутфорса предложить не могут. А у брутфорса — сами понимаете, зависимость времени подбора от длины пароля — экспоненциальная. А есть случаи, когда и даже сам по себе подбор бесполезен, а требуюется найти коллизию, да ещё не абы какую, а именно ту, которая очень похожа на уже имеющиеся данные (только в идеале, скажем, все слова «заказчик» и «исполнитель» переставлены местами). Это брутфорсом уже не поподбираешь.
Просто не все люди знают, что взлом мд5 при помощи дифференциального криптоанализа на самом деле просто дает возможности достаточно быстро генерить случайные коллизии, что для практического применения совершенно бесполезно.
Именно поэтому и говорят и взломе и неиспользовании.
Просто сейчас то время, когда md5 становится невозможным для использования именно из-за вычислительных мощностей, которые способны перебороть цепочки небольшой длинны даже не обращая внимания экспоненциальную сложность.
Именно поэтому и говорят и взломе и неиспользовании.
Просто сейчас то время, когда md5 становится невозможным для использования именно из-за вычислительных мощностей, которые способны перебороть цепочки небольшой длинны даже не обращая внимания экспоненциальную сложность.
Не обращать внимание на экспоненциальную сложность — нельзя, так уж природа устроена ;)
Для сравнения, посчитайте, сколько бы подбирали 12-символьный пароль из такого же набора символов. Такой пароль всё ещё несложно запомнить, особенно, если не запоминать его в браузере, а вводить руками каждый раз.
Для сравнения, посчитайте, сколько бы подбирали 12-символьный пароль из такого же набора символов. Такой пароль всё ещё несложно запомнить, особенно, если не запоминать его в браузере, а вводить руками каждый раз.
Ну всего-то в 365 (60 466 176) раз дольше. Какие мелочи.
Нужно только создать аналог SETI@Home. =)
Но до 10 символов не обращать внимания можно. (это как раз те самые небольшие цепочки). Небольшой кластер с нормально оборудованными компами переберет за неделю. Не так уж и критично, в особенности если много паролей, которые надо восстановить.
Имхо достать необходимый хеш куда большая проблема.
Нужно только создать аналог SETI@Home. =)
Но до 10 символов не обращать внимания можно. (это как раз те самые небольшие цепочки). Небольшой кластер с нормально оборудованными компами переберет за неделю. Не так уж и критично, в особенности если много паролей, которые надо восстановить.
Имхо достать необходимый хеш куда большая проблема.
чтобы залогиниться брутфорсить пароль совершенно не нужно. Достаточно знать его хеш.
С чего вы взяли это?
Я обладаю магической способностью смотреть в куки браузера.
Вы про вконтакте говорите, или вообще?
Если про вконтакте, я бы поверил, если бы не это. Ну или объясните, как это хеш хранится в куках, а в базе — открытый текст, зачем это.
Если вообще, то вы точно ошибаетесь: это может быть не хеш, а скажем, пароль, зашифрованный blowfish с секретом, известным только серверу. Кук бесполезен, пока неизвестен секрет, а сервер, получая такой кук, расшифровывает его и получает пароль открытым текстом.
Короче, ваша способность смотреть в куки тут как-то мимо…
Если про вконтакте, я бы поверил, если бы не это. Ну или объясните, как это хеш хранится в куках, а в базе — открытый текст, зачем это.
Если вообще, то вы точно ошибаетесь: это может быть не хеш, а скажем, пароль, зашифрованный blowfish с секретом, известным только серверу. Кук бесполезен, пока неизвестен секрет, а сервер, получая такой кук, расшифровывает его и получает пароль открытым текстом.
Короче, ваша способность смотреть в куки тут как-то мимо…
посмотрите куку с названием remixpass для вконтакта, а потом посчитайте хеш своего пароля. Более того, если в другом браузере создадите достаточное количество правильных кук (если не ошибаюсь это айдишник, мыло, пасс и ещё пара каких-то константных настроек) то будете залогиненым под собой без ввода пароля и прочей лабуды.
Зачем? Чтобы было сложнее взломать акк. Одно дело когда у тебя есть возможность залогинивания, другое — пароль.
Когда есть пароль он с большой вероятностью подойдет к почте (давайте будем объективны в оценке умственных способностей большинства пользователей вконтакта), его можно поменять, угнать почту и ещё черте что. Это раз. Типа немного более секурно.
Ах да. Вы тому что на заборах написано тоже верите?
Зачем? Чтобы было сложнее взломать акк. Одно дело когда у тебя есть возможность залогинивания, другое — пароль.
Когда есть пароль он с большой вероятностью подойдет к почте (давайте будем объективны в оценке умственных способностей большинства пользователей вконтакта), его можно поменять, угнать почту и ещё черте что. Это раз. Типа немного более секурно.
Ах да. Вы тому что на заборах написано тоже верите?
Нет меня в вконтакте. :) Некуда мне смотреть. Приходится верить забору, благо, на этом вот заборе не так уж часто пишут ерунду.
Но пишут, как вы можете заметить — в данном случае один из вас с ruskar врёт. И у меня нет средств выяснить, кто именно, поэтому проще считать, что врут оба.
А вообще, интересный подход. Хотели как лучше, а получилось как всегда — спёр куки и всё, куда уж безопаснее.
Но пишут, как вы можете заметить — в данном случае один из вас с ruskar врёт. И у меня нет средств выяснить, кто именно, поэтому проще считать, что врут оба.
А вообще, интересный подход. Хотели как лучше, а получилось как всегда — спёр куки и всё, куда уж безопаснее.
вполне возможно, что ruskar и не врет. Я лично не знаю насколько «хорошо» вконтакт спроектирован внутри. Возможно что он считает хеш от пароля, потом сравнивает с хешом из куки.
Точнее где-то в нешифрованном виде оно точно хранится ибо можно восстанавливать пароль. Под нешифрованным следует понимать то, что оно может быть расшифровано использую только информацию на сервере, без брутфорсинга и терморектальных методов.
Но куки хранят хеш. Тоже факт.
Точнее где-то в нешифрованном виде оно точно хранится ибо можно восстанавливать пароль. Под нешифрованным следует понимать то, что оно может быть расшифровано использую только информацию на сервере, без брутфорсинга и терморектальных методов.
Но куки хранят хеш. Тоже факт.
шапито)
познакомьте меня с этим другом, хочу узать что за хеши такие… уж очень хочеться разбомбить анкеты тем кто меня отмечает на дурацких картинках
познакомьте меня с этим другом, хочу узать что за хеши такие… уж очень хочеться разбомбить анкеты тем кто меня отмечает на дурацких картинках
Мне эта история, все больше и больше кажется капитальным бредом.
Вот что то мне подсказывает, что тебя твой друг и ломанул, поставив кейлогер тебе)
Лучше бы Kaspersky Internet Security поставили. Явно надежнее.
Санта Барбара отдыхает…
Дата рождения: 01 апреля
kjk
Мыльная опера «Взлом». Часть 3. «Друг наносит отетный удар!»
Анонс! Скоро в кинотеатрах смотрите часть 4: «Друг оказался не прост»
Анонс! Скоро в кинотеатрах смотрите часть 4: «Друг оказался не прост»
бредятина
Паша Дуров поржал бы
Пожалуйста, пригласите сюда своего друга. Пусть он нам что-нибудь расскажет.
НЛО прилетело и опубликовало эту надпись здесь
Кстати возможно что дырка открылась где-нибудь на userapi.ru/, просто о ней мало известно. Если в истории и вправду все именно так как вы говорите.
«Решил последовать советам и поступить кардинально. Создал вторую учетную запись с ограниченными правами и теперь выхожу в сеть только из под нее.» — это кардинально? Всегда считал, что это самое простое что можно сделать.
А насчет взлома, через хэш-пароля это конечно круто. Но откуда этот хэш взять? Из куков или из пакетов в сети?
Вообще больше похожа история на спектакль, эдакую детективную историю для детишек.
С нетерпением жду продолжения истории о том, как автор нашел того хакера и поменял тому пароль на аське, в результате чего кулхацкер борсил всоё нехорошее занятие.
А насчет взлома, через хэш-пароля это конечно круто. Но откуда этот хэш взять? Из куков или из пакетов в сети?
Вообще больше похожа история на спектакль, эдакую детективную историю для детишек.
С нетерпением жду продолжения истории о том, как автор нашел того хакера и поменял тому пароль на аське, в результате чего кулхацкер борсил всоё нехорошее занятие.
Вот и родился новый писатель-фантаст! :)
вас развели)
я удивляюсь одному… а почему ваш мегахакер ломает только аську и контакт, но не трогает ваш хабраакаунт… имхо — он в разы ценнее…
Хм, Автор… Это вам не ЖЖ… Предлагаю вам такую идею — давайте вы выведаете у вашего кулхацкера-друга подробности, мб предложите ему описть это на хабре, или вы опишите… Думаю, не меня одного интересуют тех. детали… Естественно я не говорю о том, чтобы вы тут постили готовое решение как взломать любой акк ВК, но…
>которая кстати нашла несколько инфицированных cookie
Инфицированных?) Чем?
Инфицированных?) Чем?
У нас препод по операционным средам в институте тоже верит что кукисы опасны для компьютера и считает что их нужно удалять.
А вы еще спрашиваете такие вопросы у человека, судя по его топикам, явно далекого от ИТ. И самое ужасное когда далеким от ИТ что либо говорит друг «хорошо разбирающихся в компьютерах», их же не переубедить.
Просто не обращайте внимания.
А вы еще спрашиваете такие вопросы у человека, судя по его топикам, явно далекого от ИТ. И самое ужасное когда далеким от ИТ что либо говорит друг «хорошо разбирающихся в компьютерах», их же не переубедить.
Просто не обращайте внимания.
Это ваш друг ваши пароли и менял.
Глупостий каких то написали в трех топиках, вообще что вам делать на хабре? Идите отсюда играйть в Вов и тусуйтесь на ag.ru.
Глупостий каких то написали в трех топиках, вообще что вам делать на хабре? Идите отсюда играйть в Вов и тусуйтесь на ag.ru.
спасибо, баш теперь перекочевал и сюда :)
Щас глянул по топикам.
Это неумелый вирусняк по NOD 32…
Это неумелый вирусняк по NOD 32…
Интересно, а как куки попали к хацкеру? Он сначала взломал компутер жертвы? Или поснифал трафик?
Мне просто интересно найти дыру, причина которой — хранение в кукисах ключа аутентификации.
Мне просто интересно найти дыру, причина которой — хранение в кукисах ключа аутентификации.
Откройте все тайну. Пароли на все учётки(мыло, контакт, ася) были одинаковые?
Всем отписавшимся: Какие МД5 о чем вы? Кому это действительно нужно? На контакте авторизация автоматическая по кукам по дефолту, почта скорее всего стояла галочка запомнить меня. Т.е. тоже кука. А сценарий прост увели куки, ткнулись в почтовик работает по кукам, контакт тоже работает… Жмем в контакте забили пароль на почту приходит открытый пароль, к почте ну с 80% вероятностью у простого пользователя он подойдёт. Подошёл поменяли пароль на почте, в аське восстановление пароля, на почту пришёл новый. Вот и все. Все пароли поменяны. Все счастливы.
Другой сценарий аля социальная инженерия, 90% пользователей ставят такие пароли что их легко догадаться. Или прямой пароль или через подсказку к почте. Все почта вскрыта все остальное поменяли. Проблем 0, и никаких рускусываний хешей.
Вам говорят правду что ваш друг вас и ломал.
Просто иначе бы он не смог открыть вашу старую анкету(если он конечно не работает вконтакте, и не имеет доступ к базе паролей)! Вот и вся любовь. Про 80 раз это чуш для крутости. Кому нужно ставить 80 разных паролей, какому кулхацкеру это вообще в голову придёт? Он поставит какой нибудь пароль «3lD%3k(@lsLK94]» и все неодним перебором не возьмёшь этот пароль в короткие сроки…
Всем отписавшимся: Какие МД5 о чем вы? Кому это действительно нужно? На контакте авторизация автоматическая по кукам по дефолту, почта скорее всего стояла галочка запомнить меня. Т.е. тоже кука. А сценарий прост увели куки, ткнулись в почтовик работает по кукам, контакт тоже работает… Жмем в контакте забили пароль на почту приходит открытый пароль, к почте ну с 80% вероятностью у простого пользователя он подойдёт. Подошёл поменяли пароль на почте, в аське восстановление пароля, на почту пришёл новый. Вот и все. Все пароли поменяны. Все счастливы.
Другой сценарий аля социальная инженерия, 90% пользователей ставят такие пароли что их легко догадаться. Или прямой пароль или через подсказку к почте. Все почта вскрыта все остальное поменяли. Проблем 0, и никаких рускусываний хешей.
Вам говорят правду что ваш друг вас и ломал.
Просто иначе бы он не смог открыть вашу старую анкету(если он конечно не работает вконтакте, и не имеет доступ к базе паролей)! Вот и вся любовь. Про 80 раз это чуш для крутости. Кому нужно ставить 80 разных паролей, какому кулхацкеру это вообще в голову придёт? Он поставит какой нибудь пароль «3lD%3k(@lsLK94]» и все неодним перебором не возьмёшь этот пароль в короткие сроки…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Взлом 3