PDA

Просмотр полной версии : "Как украсть пароль"



pig
07.07.2007, 01:55
Не то чтобы сильно популярная, но живучая тема, периодически всплывает с минимальными косметическими изменениями. Сегодня в таком виде:

Взломать, т.е. получить пароль любого ящика на mail.ru и tut.by оказывается проще простого.
Дело в том, что mail.ru видимо писал какой-то корявый программер и оставил одну существенную
ошибку в своей “работе”, докопаться до которой было довольно таки сложно, но… всё приходит -
нужно только время. Tut.by поддаётся нижеописанному способу кражи пароля с ящиков по той
причине, что там сидят ещё более кривые программеры и вместо того, чтобы самим написать
свою технологию работы почты они её просто приобрели у mail.ru.
Теперь суть ошибки:
На mail.ru (и на tut.by тоже) есть система восстановления пароля: именно при её разработке
разработчики допустили серьезную ошибку:
Когда заполняешь форму на странице восстановления пароля и нажимаешь “Отправить”,
отправляется письмо к “mail-роботу”, который при правильном сочетании “Вопрос - Ответ”
отправляет пользователю пароль. Как выяснилось - этот “робот” изначально писался для
многофункциональной работы: например можно ему выслать пароль и имя ящика - и тогда
он выдаст ответ на “секретный вопрос”, или отослать ответ на “секретный вопрос” и логин -
тогда вам будет прислан пароль и т.д. Но это ещё полбеды. Оказывается если прислать “роботу”
имя ящика (логин), пароль на него и ответ на “секретный вопрос”, а как неизвестное вписать
какое-либо имя ящика (логин), находящегося на этом сервере, то робот пришлёт нам пароль
на этот ящик!
Теперь что и куда надо слать:
Mail-программа, принимающая запросы пользователей о забытых паролях установлена на
[email protected] (у tut.by это - [email protected]). В теле письма начиная с 1-ой строчки
нужно писать:
< ? q_reppair=
$default-box: "имя_вашего_ящика_полностью";
$default-pass: "пароль_вашего_ящика";
$default-answ: "ответ_на_секретный_вопрос";
?a_reppair=
$unknown-box: "имя_ящика_пароль_которого_хотите_узнать";
$unknown-pass: "#take{array["bd_massive $pass_?"]
#unknown-pass}";
$CI: mail-box: "сюда_ещё_раз_имя_ящика_жертвы";
?>

ВодкуГлыть
07.07.2007, 05:27
Боян, я слышал, что уже давно пофиксили, если это вообще было правдой.

DoSTR
07.07.2007, 11:06
Сегодня в таком виде:
Нет, тут есть элемент социальной инженерии.
Все дело в том что [email protected] - это реально существующий ящик-того горе хакера который и прислал Вам это письмо.
Иными словами он Вам предлагает добровольно прислать ему "имя_вашего_ящика_полностью" и "пароль_вашего_ящика" :) Пинч отдыхает :D
Вся проблема в том, что чайники не разберутся с этим, а те кто разбираются не попадутся на этот лохотрон.

Muzzle
07.07.2007, 11:12
DoSTR +1
и это касается не только почты,видел разводы относящиеся к игровым акаунтам различных онлайн игр,люди в целью наживы сами теряют своё :)

Geser
08.07.2007, 17:15
Ну, онлайн игры это вообще раздолье для социальной инженерии. А стоимость акаунтов там мозет и тысячами долларов измеряться. Это не почтовый ящик потерять.

borka
09.07.2007, 22:16
Иными словами он Вам предлагает добровольно прислать ему "имя_вашего_ящика_полностью" и "пароль_вашего_ящика" :)
Весь вопрос в том, а зачем мне взламывать мой же почтовый ящик?

pig
10.07.2007, 00:16
В тексте слов написано, что, поделившись своим, можно получить пароль от чужого.

borka
10.07.2007, 00:23
В тексте слов написано, что, поделившись своим, можно получить пароль от чужого.
М-да, мне бы и в голову не пришло бы такого...

Jolly Rojer
10.07.2007, 12:07
Попадался hoax который предлагал оригинальный алгоритма взлома майл ру чуть ли не самим сервером майл ру для чего предлагалось ввести взламоваемое мыло, свое мыло и пароль(якобы для авторизиции с сервером-только в этом случае спрашивается зачем это надо...!) после предлагалось нажать кнопку взломать атакуемый ящик
Все остальное вполне банально ... пароль и логин уходили на мыло хозяину програмульки кроме отправки по SMTP програмулька ни чего и не умела... Чтото подобное и Олегу отправлял вроде для упрощенной регистрации мыла на майл ру

Fenix Nexsais
27.07.2007, 02:19
Вы попробуйте отправить это письмо с описанием взлома в службу поддержки данного почтового сервера, как минимум ящик злоумышленика после этого перестанет существовать.

asd911
27.07.2007, 02:59
Кто будет ломать чужую почту со своего мыла, трудно на мейл.ру еще раз зарегистрироваться? Тут нужны уникальные совпадения: 1. Человек должен хотеть взломать чужое мыло 2. Он должен быть настолько глуп, чтоб вручить комуто свой пароль 3. К нему должно попасть это письмо 4. У него должна быть ценная информация на ящике. А учитывая, что мейл.ру читает фсб, то ничего ценного там быть не может.

mayas
28.07.2007, 00:13
ну вот раскусили мою халяву, а я только разгулялся.. :(

Jolly Rojer
01.08.2007, 11:08
Кто будет ломать чужую почту со своего мыла, трудно на мейл.ру еще раз зарегистрироваться? Тут нужны уникальные совпадения: 1. Человек должен хотеть взломать чужое мыло 2. Он должен быть настолько глуп, чтоб вручить комуто свой пароль 3. К нему должно попасть это письмо 4. У него должна быть ценная информация на ящике. А учитывая, что мейл.ру читает фсб, то ничего ценного там быть не может.

Если реально то все эти пункты 1,2,3,4 бывают! А относительно ФСБ Вам лично докладывали ;) Ни когда не возникало мыслей о том как это осуществить реально? ;) читать всю почту майл ру а так же не стоит забывать что там еще и поддомены есть...
Ну если знаете как это сделать напишите будет оч интересно узнать.... мож сам засяду вместе с ФСБ за чтение почты ;)

Ego1st
01.08.2007, 11:33
А учитывая, что мейл.ру читает фсб
ага, а google решил поработить мир..

ed13
01.08.2007, 15:19
Jolly Rojer, само собой, никто ВСЮ почту, проходящую через мейл.ру не читает... А вот поставить фильтры, которые будут вытаскивать из трафика письма с набором определенных слов и словосочетаний, дело несложное... И для ФСБ полезное...

pig
02.08.2007, 01:41
Так зачем для этого влезать на конкретный Mail.ru? Есть же точка M-9, через которую идёт трафик половины России.

orvman
02.08.2007, 04:59
А относительно ФСБ Вам лично докладывали Ни когда не возникало мыслей о том как это осуществить реально? читать всю почту майл ру а так же не стоит забывать что там еще и поддомены есть... Вполне нормальная ситуация. Никто не читает, естественно. Фильтр. И усё. А вот особо отличившихся по разным критериям - проверяют... иногда..., но не всегда... нереально... То же самое можно сказать и про любую телефонию, в смысле стационарную, либо сотовую, IP-телефония - не в счет, хотя есть варианты с провайдерами. Это раз.
Нужно будет - делается элементарно... И не забываем про ключевое слово "фильтр". Сначала отбор, потом еще и т.д., можно по-другому. Есть еще, еще и еще куча ньюансов... Всё зависит еще от самой системы, в которой мы живем, в смысле государственной системы...
Тока ни нужна мну тут сувать законы а частой пириписки, личного права, Конституцию и т.д. и т.п.
...
А если мну ща гтода зкажит - типа бредишь - атправлю в сад опыта припрать чютоГ.

Ща вот наткнулся на форуме Огамы (ну игра такая он-лайн - я гамаю в неё, ну и не только я, наш форум представляет свои интересы в той игре уже почти два года...) на еще очередной шедевр, а еще лучше перл, ужасающий перл:

не знал, что он IP-шник не скрывает... А вот насколько я понимаю, мой выбор (и кстати бесплатный) - toonel, скрывает и ещё как скрывает... ... мда... скрыть АЙпи. Ну, в принципе, вообще, скрыть можно только свой локалхост 127.... при желании, а вот находясь в сети скрывать... смысл? от кого? зачем? .....

Че-то разашолЬсиа я апять...

P.P.S. Для тех, кто не понял о чем я - спрашивайте.

P.P.P.S. Тока заметил, все до конца сразу не прочитал... (ну просто бессмысленный бред мой разум смутил). ВОТ :::::::::::::::::::

Jolly Rojer, само собой, никто ВСЮ почту, проходящую через мейл.ру не читает... А вот поставить фильтры, которые будут вытаскивать из трафика письма с набором определенных слов и словосочетаний, дело несложное... И для ФСБ полезное...
Ай, МАЛАЦЦЦЦАААА!!!!!!!!!

Добавлено через 4 минуты
ed13 - Всё абсолютно правильно.

tar
07.08.2007, 22:26
Я думаю, что уничтожители Системы в своей античеловечной переписке будут использовать злова-заменители, например вместо "сегодня купил ядерную боеголовку 4 мегатонн" напишут "купил 4 килограмма яблок".

Ну или вообще будут использовать заграничную почту + шифровать письма PGP.

Kuzz
07.08.2007, 23:08
например вместо "сегодня купил ядерную боеголовку 4 мегатонн" напишут "купил 4 килограмма яблок".
Контекстно-лингвистическое (Во какое слово вспомнил!) шифрование настолько старо, на сколько и не поддаётся взлому.
С этой позиции - все, кому нужно скрыть текст своего соообщения давно защищены.
Перехват (и прочтение - допустим, спецслужбами) писем направлен на недопущение расширения "армии".

По маил.ру:
4 года существует ящик. который я обслуживаю. В течение всего этого времени - 4 спам-письма.
Мрй ящик на майле - (2 года) 0 спам-писем.

Winsent
08.08.2007, 07:55
Ну или вообще будут использовать заграничную почту
фбр значит пусщай читает им можно? ;)

Jolly Rojer
08.08.2007, 08:15
Относительно фильтров согласен... вполне реально. Только их дохренища нужно чтоб отфильтровать нужное от всякой шняги... Если честно то мне вообще нас...ть какая из силовых структур ее еще кроме меня будет читать на майлру один хрен там ни чего кроме всякой ерунды нет. Которая ровным счетом ни чего не представляет.

tar
09.08.2007, 20:47
фбр значит пусщай читает им можно? ;)

вы пропустили мысли о pgp шифровке.
А методов полно, например к обывательскому jpg прикрепить кусок зашифрованного теста.
"дорогая лови фото, это я с братом в боулинге!"
В общем отслеживание писем фильтром - это абсолютно бесполезное дело в поиске злодеев, что и происходит в жизни.

Shark
10.08.2007, 16:30
Я думаю, что уничтожители Системы в своей античеловечной переписке будут использовать злова-заменители, например вместо "сегодня купил ядерную боеголовку 4 мегатонн" напишут "купил 4 килограмма яблок"

Возможность такого не исключается.



Ну или вообще будут использовать заграничную почту + шифровать письма PGP.

PGP - шифрование было придумано не для злоупотреблений изначально.
Это как с кухонным ножом.
Его ведь можно использовать двояко, не так ли?
Можно колбасу нарезать на завтрак, а можно человека убить...

Ни для кого не секрет, что электронные письма могут быть скопированы и прочитаны.

Ролк
22.12.2007, 18:47
я вас сдам и получу деньги от mail.ru:attent:

Jolly Rojer
26.12.2007, 05:05
вы пропустили мысли о pgp шифровке.
А методов полно, например к обывательскому jpg прикрепить кусок зашифрованного теста.
"дорогая лови фото, это я с братом в боулинге!"
В общем отслеживание писем фильтром - это абсолютно бесполезное дело в поиске злодеев, что и происходит в жизни.

Вот уж не скажите фильтры еще как помогают ! Вы видимо не в курсе насколько интересно могут работать фильтры в умелых руках с правильными запросами! Что же касательно PGP ... что вам втирают по ушам что зашифровано на деле может быть не совсем зашифрованным;) это Вам могу точно сказать!


Возможность такого не исключается.




PGP - шифрование было придумано не для злоупотреблений изначально.
Это как с кухонным ножом.
Его ведь можно использовать двояко, не так ли?
Можно колбасу нарезать на завтрак, а можно человека убить...

Ни для кого не секрет, что электронные письма могут быть скопированы и прочитаны.

Самое забавное в этом деле ... даже не обязательно чтото копировать ...! ;)


я вас сдам и получу деньги от mail.ru:attent:

Начинайте прям сейчас ;) О результатах прошу сообщить тут! Кого вложили и сколько получили! + заплатили ли налог с прибыли ;) ! Ну и естественно 1/3 зачислить на счет www.virusinfo.info для поддержания ресурса. ;)