- Автор темы
- #1
Приветствую всех пользователей площадки Дубликат. Решил поведать вам небольшой рассказ о популярных и не очень способах взлома JID. Надеюсь он поможет кому-то обезопасить себя и стать более осторожным при общении с хорошими и не очень знакомыми. Информация разделена на 2 части - без/с прямым контактом с жертвой. Приступим =)
I часть
Брут, брут..
Этот пункт касается любителей коротких и популярных паролей типа 12345/qwerty12345/asdf12345. Брутер с хорошим словарем и пачкой прокси способен породить кучу арбитражей. Поэтому советую использовать пароль с верхним, нижним регистром, спецсимволами длиною +20. Это не усложнит подбор пароля, а сделает его попросту невозможным. Даже, если кто-то сольет базу вашего сервера, то пароль, если он не в открытом виде, а в хеше невозможно будет сбрутить.
Одинаковый пароль
Этот подпункт связан с использованием одинаковых паролей на жабе/форуме/сайте, что ставит очередной раз вас под угрозу. Например, у вас одинаковый логин на ресурсе теневой тематике и серче (который давно был слит). Если пароли в открытом виде или он у вас на 10 символов в хеше, то итог думаю понятен. Исходя из этого следует установить правило - для каждого ресурса уникальный пароль.
Личный джаббер
Заметил, что на этом борде есть тема с поднятие личного джаббер сервера. Звучит неплохо и даже чуточку илитно, но есть свой риск. Суть в том, что с вами на одном айпи может быть сосед, который использует версию Joomla, с последним обновлением в 2010 году. Вы скажите, что есть chroot и jail, но не всегда они настроены корректно. Нам остается легко получить доступ на соседней ресурс и добраться до вас (а это уже не легко, но вероятно). А там уже, можно и пошалить. И хорошо, если это будет скрипт-кидди, а не сотрудник какого-то отдела.
MiTM атака
Этот тип атаки не связан с получением пароля, но о нем стоило упомянуть. Цитирую
Например, вы установили работу жабы через через тор (127.0.0.1 порт 9150). При попытке подключения вам выдается сообщение о смене сертификата
Если вы видите такое - советую сразу ребутнуть тор, чтобы подключится к другой цепочке. О том, где хранятся сертификаты (для проверки первоначального сертификата) _https://forum.exploit.in/index.php?showtopic=106328 . Один единственный сертификат от exploit.im
Уязвимость в ejabberd/openfire и тд
Это теоретическая информация для общего понимания. Существуют такие типы XMPP-серверов
Имея критические уязвимости на них можно сбросить пароль пользователя и тд. Но не стоит волноваться, поскольку они хорошо защищены и на них функционируют крупные сервисы.
СИ в действии (II часть)
Общительный друг
Представьте написал вам товарищ, с которым вы общаетесь полгода-года. И тут завязывается диалог (вы синий)
- Привет, у знакомого жабу сбрутили это капец, говорит было 7 символов
- привет, ого. печально это
- да и не говори, ему после восстановления админ посоветовал сервис для тестирования безопасности пароля на время подбора
- я свой проверил, удивился)
- только 500 дней брута на очень мощном железе))
- неплохо, а что за сервис такой?
- держи test-your-password-ne-naebka.com
- у меня сильнее, тыщу дней надо
Вы довольны уровнем безопасности пароля вы уходите, пока ваш товарищ заходит в жабу и ищет у кого бы денег одолжить.
Сценарий вашего «товарища» был весьма прост:
Таким же образом могут быть использованы линки на различные сайты/форумы, на которые имеет доступ ваш «друг». Поэтому не стоит забывать, что ваш пароль это нечто личное и уникальное (не забываем об одинаковых паролях). Не нужно где нигде вводить, тестировать и тд.
Взломай меня
Представьте (а кому-то представлять даже не нужно), что вы крупный обнал-сервис obnal-best и работаете с mega-pro-zalivatel . Ваша переписка:
Вы растерялись, поскольку этот залив почти у вас на реквизитах.. Сообщение
с другим цветом выглядит вполне доверчиво.. А тем временем взломщик имитирует неработоспособность OTR и отправляет следующий текст (а возможно и пользуется скриптом, который после команды на все ваши сообщения отправляет его текст)
Кстати, оригинальный сайт Таким образом через «/me тут синий текст» можно отправлять необычный текст.
А вот на сайте мог быть:
красивый фейк с просьбой ввести пароль на котором конечно бы присутствовала проверка на верность пароля;
.dll файл, который необходим для «обновления» OTR. Под ним мог бы скрываться какой-то ратник с модулем стиллера (задача которого своровать все пароли)
Выбор может зависеть от операционной системы обнал-сервиса.
Вы скажите - да все это неправда, никто этого не сделает, но есть способы воздействия на жертву, чтобы повысить вероятность срабатывания.. И сделать так, чтобы она поверила в эту легенду =)
Под другим предлогом заливщик может сказать - сделай жабу на этом сервере, с твоего не доходят сообщения с OTR. А сервер этот будет наш и немного отличаться от какого-то известного (таким образом в случае одинаковых паролей появляется шанс). Как итог, не забываем не ходить по подозрительным линкам, вводить пароль или скачивать что-то.
Вывод
Небольшая инструкция для пользователей Psi. В настройках аккаунта меняем ресурс, указывая произвольное значение.
Используем плагин Client Switcher Plugin
С его помощью можно подменять данные об вашем клиенте, операционной системе и тд.
Например, можно выбрать такой вариант
Еще советую в настройках сделать следующие изменения
Таким образом, никто даже не узнает ваш клиент и операционную систему.
Для пользователей пингвина нету подобных плагинов, но он не отображет операционную систему.
В конце замечу, что самая слабая сторона это человек, поэтому будьте бдительны и беригите свои контакты в безопасности.
(с) Forbird
I часть
Брут, брут..
Этот пункт касается любителей коротких и популярных паролей типа 12345/qwerty12345/asdf12345. Брутер с хорошим словарем и пачкой прокси способен породить кучу арбитражей. Поэтому советую использовать пароль с верхним, нижним регистром, спецсимволами длиною +20. Это не усложнит подбор пароля, а сделает его попросту невозможным. Даже, если кто-то сольет базу вашего сервера, то пароль, если он не в открытом виде, а в хеше невозможно будет сбрутить.
Одинаковый пароль
Этот подпункт связан с использованием одинаковых паролей на жабе/форуме/сайте, что ставит очередной раз вас под угрозу. Например, у вас одинаковый логин на ресурсе теневой тематике и серче (который давно был слит). Если пароли в открытом виде или он у вас на 10 символов в хеше, то итог думаю понятен. Исходя из этого следует установить правило - для каждого ресурса уникальный пароль.
Личный джаббер
Заметил, что на этом борде есть тема с поднятие личного джаббер сервера. Звучит неплохо и даже чуточку илитно, но есть свой риск. Суть в том, что с вами на одном айпи может быть сосед, который использует версию Joomla, с последним обновлением в 2010 году. Вы скажите, что есть chroot и jail, но не всегда они настроены корректно. Нам остается легко получить доступ на соседней ресурс и добраться до вас (а это уже не легко, но вероятно). А там уже, можно и пошалить. И хорошо, если это будет скрипт-кидди, а не сотрудник какого-то отдела.
MiTM атака
Этот тип атаки не связан с получением пароля, но о нем стоило упомянуть. Цитирую
Например, вы установили работу жабы через через тор (127.0.0.1 порт 9150). При попытке подключения вам выдается сообщение о смене сертификата
Если вы видите такое - советую сразу ребутнуть тор, чтобы подключится к другой цепочке. О том, где хранятся сертификаты (для проверки первоначального сертификата) _https://forum.exploit.in/index.php?showtopic=106328 . Один единственный сертификат от exploit.im
Уязвимость в ejabberd/openfire и тд
Это теоретическая информация для общего понимания. Существуют такие типы XMPP-серверов
Имея критические уязвимости на них можно сбросить пароль пользователя и тд. Но не стоит волноваться, поскольку они хорошо защищены и на них функционируют крупные сервисы.
СИ в действии (II часть)
Общительный друг
Представьте написал вам товарищ, с которым вы общаетесь полгода-года. И тут завязывается диалог (вы синий)
- Привет, у знакомого жабу сбрутили это капец, говорит было 7 символов
- привет, ого. печально это
- да и не говори, ему после восстановления админ посоветовал сервис для тестирования безопасности пароля на время подбора
- я свой проверил, удивился)
- только 500 дней брута на очень мощном железе))
- неплохо, а что за сервис такой?
- держи test-your-password-ne-naebka.com
- у меня сильнее, тыщу дней надо
Вы довольны уровнем безопасности пароля вы уходите, пока ваш товарищ заходит в жабу и ищет у кого бы денег одолжить.
Сценарий вашего «товарища» был весьма прост:
Таким же образом могут быть использованы линки на различные сайты/форумы, на которые имеет доступ ваш «друг». Поэтому не стоит забывать, что ваш пароль это нечто личное и уникальное (не забываем об одинаковых паролях). Не нужно где нигде вводить, тестировать и тд.
Взломай меня
Представьте (а кому-то представлять даже не нужно), что вы крупный обнал-сервис obnal-best и работаете с mega-pro-zalivatel . Ваша переписка:
Вы растерялись, поскольку этот залив почти у вас на реквизитах.. Сообщение
с другим цветом выглядит вполне доверчиво.. А тем временем взломщик имитирует неработоспособность OTR и отправляет следующий текст (а возможно и пользуется скриптом, который после команды на все ваши сообщения отправляет его текст)
Кстати, оригинальный сайт Таким образом через «/me тут синий текст» можно отправлять необычный текст.
А вот на сайте мог быть:
красивый фейк с просьбой ввести пароль на котором конечно бы присутствовала проверка на верность пароля;
.dll файл, который необходим для «обновления» OTR. Под ним мог бы скрываться какой-то ратник с модулем стиллера (задача которого своровать все пароли)
Выбор может зависеть от операционной системы обнал-сервиса.
Вы скажите - да все это неправда, никто этого не сделает, но есть способы воздействия на жертву, чтобы повысить вероятность срабатывания.. И сделать так, чтобы она поверила в эту легенду =)
Под другим предлогом заливщик может сказать - сделай жабу на этом сервере, с твоего не доходят сообщения с OTR. А сервер этот будет наш и немного отличаться от какого-то известного (таким образом в случае одинаковых паролей появляется шанс). Как итог, не забываем не ходить по подозрительным линкам, вводить пароль или скачивать что-то.
Вывод
Небольшая инструкция для пользователей Psi. В настройках аккаунта меняем ресурс, указывая произвольное значение.
Используем плагин Client Switcher Plugin
С его помощью можно подменять данные об вашем клиенте, операционной системе и тд.
Например, можно выбрать такой вариант
Еще советую в настройках сделать следующие изменения
Таким образом, никто даже не узнает ваш клиент и операционную систему.
Для пользователей пингвина нету подобных плагинов, но он не отображет операционную систему.
В конце замечу, что самая слабая сторона это человек, поэтому будьте бдительны и беригите свои контакты в безопасности.
(с) Forbird