Kategorie: Hacking

10 000 hesel k emailům není v dnešní době problém

Když se řekne:"Hacknul mi email", představíte si hackera. Když se řekne hacknul 100 účtů na nejznámějším emailovém portále, je to podle televizních zpráv národní zločinec.

hack email

Autor: KdoSiOdJinud | Vydáno: 23.3.2011 14:06 | Přečteno: 27165x | Komentářů: 0

Pravda o mohutnosti útoků je poněkud jiná. Opravdu velké hacky se netýkají desítek, stovek, ani tisíců účtů. Jsou to průniky o mohutnosti milionů ukradených účtů. Jejich autory se mnohdy nepodaří najít, svět se o průnicích ani nemusí dozvědět. Proč? Protože pokud útočník nehledá pouze slávu v internetovém podsvětí, pak své úspěchy nebude rozhlašovat. Bude čerpat benefity, možná chybu nahlásí, co udělá je už čistě na povaze...

Abych trošku zlehčil pohled na mohutnosti útoků, nasimulujeme si útok. Nejsem hacker, nejsem bezpečností analytik, proto mějte na mysli, že útok je teoretický! Způsob jak se dostat k 10 000 emailových účtů je podle mého názoru opravdu hodně jednoduchý...

  1. jako první útočník vyhledá portál, který je zranitelný, ideálně ve SQL. Pokud není díra ve SQL, může vyhledávat cestu, kterou spustí svůj vlastní script a přístup do SQL si tak i tak zařídí. Najít portál s (v řádu desetitisíců) mnoha uživateli a některou z chyb je záležitost na 10minut.
  2. když má přístup do SQL, první co udělá je vyhledání administrátorských údajů a stažení celé databáze.
  3. Z databáze budou nejžádanější informace: heslo, email, nickname

  4. po stažení databáze ve většině případů nalezneme hesla v podobě hashu, jejich lousknutí při použití rainbow tables není problém (v případě md5), ve více jak 80% budou hesla lehká a slovník si s nimi poradí :-)
  5. crack md5

    Využít k cracknutí může jedny z těchto služeb: c0llision.net, md5decrypter.co.uk/

  6. nyní má útočník plný přístup na získané nickname hacknutého portálu

Celý vtip, jak se dostat do osobních účtů a tím pádem dalších služeb je jako vždy v lidské hlouposti. Drtivá většina uživatelů hacknutého portálu bude mít stejné heslo i ke svému emailovému učtu, k prolomení postačí opět script, který nebude louskat hashe, nýbrž testovat email a heslo, pokud odpovídá - bere se úspěch, pokud ne, neúspěch. Tímto způsobem získává útočník desetitisíce účtů k emailu, který může být bezpečnější sebevíc. Smůla...

Email je brána k Vašemu soukromí

Asi každému je jasné, že útočník přihlášením do mailu může číst veškerou osobní poštu. Je ale všem jasné, že útočník získal přístup všude tam, kde máte použit tento email u registrace? Co třeba bankovní účet, co účet na PayPalu, co účet u Fortuny, atd. Není problém si heslo obnovit a v emailu, který může číst si přečíst nebo vygenerovat nové heslo prakticky kamkoliv.

Moje doporučení

Email je místo, kam se vám slézá veškerá aktivita na internetu (registrace, soutěže, atd.). Je to takové centrum všeho dění a výchozí místo pro většinu uživatelů. Je třeba k tomu tak přistupovat, mějte na email jiné heslo než běžně používáte! Nikdy své heslo nikomu neříkejte! Nepoužívejte toto heslo už (zdůraznuji!) jinde!

Komentáře rss

Pokud hledáte službu či máte dotaz mimo téma článku, využijte prosím sekci Nabídky / poptávky.


Nebyly přidány žádné komentáře.