Портал аспирантов
 

Вернуться   Портал аспирантов > Компьютер для аспирантов > Интернет

Ответ
 
Опции темы
Старый 21.10.2011, 14:54   #1
Paul Kellerman
Gold Member
 
Регистрация: 25.06.2005
Адрес: F000:FFF0
Сообщений: 1,804
По умолчанию Security: Взлом почтовых ящиков.

В данной теме хотелось обсудить тему защищенности почтовых ящиков
на публичных почтовых системах типа мэйл.ру, яндекс.ру, джимэйл.ком.

В первую очередь, интересуют случаи реального взлома, когда целенап-
равленно успешно сломали, причем пароль был сложным и пользователь
нигде им не светил, не записывал, не доверял, не терял и т.п. - в общем
взлом без прямого или косвенного содействия пользователя по глупости.
Особенно интересуют случаи с применением административных ресурсов,
прямых или косвенных путей воздействия на админов почтовых серверов.

Также хотелось бы обсудить то, какие меры принимаете по безопасности:
- Использование защищенных SSL-соединений с почтовым сервером.
- Использование почтовых клиентов, удаляющих письма с сервера.
- Отслеживание журнала IP-адресов, с которых входили в почту.
- Использование программ для шифрования типа PGP Desktop.
- Периодическая смена пароля и "контрольного" вопроса.
Paul Kellerman вне форума   Ответить с цитированием
Реклама
Старый 21.10.2011, 15:13   #2
Ink
Киберпанк
 
Регистрация: 24.04.2009
Сообщений: 10,958
По умолчанию

А давайте: очень актуально, - у меня на рамблере на этой неделе два ящика взломали. И это как раз были случаи
Цитата:
Сообщение от PavelAR Посмотреть сообщение
реального взлома, когда целенап-
равленно успешно сломали, причем пароль был сложным и пользователь
нигде им не светил, не записывал, не доверял, не терял и т.п.
Вот сейчас и думаю: как?

Добавлено через 3 минуты
Цитата:
Сообщение от PavelAR Посмотреть сообщение
- Использование почтовых клиентов, удаляющих письма с сервера.
Да
Цитата:
Сообщение от PavelAR Посмотреть сообщение
- Отслеживание журнала IP-адресов, с которых входили в почту.
А вот дальше - самое интересное. Мне, на мой взломанный ящик, с моего же взломанного ящика, пришёл мейл.
Ink вне форума   Ответить с цитированием
Старый 21.10.2011, 15:19   #3
Paul Kellerman
Gold Member
 
Регистрация: 25.06.2005
Адрес: F000:FFF0
Сообщений: 1,804
По умолчанию

Цитата:
Сообщение от Ink Посмотреть сообщение
Вот сейчас и думаю: как?
А кто конкретно взломал - известно? Есть какие-то мысли, кому это надо было, или
чистой воды кулцхакерское баловство? Если пароль, действительно, был сложным и
утечка исключена (хотя трояны и кейлоггеры тоже не дремлют), то возможно просто
"грязный" админ, сливающий пароли за деньги (маловероятный вариант), или "дыра"
безопасности на самом почтовом сервере, через которую вытаскивают информацию
(более вероятный вариант), дыры есть всегда и есть те, кто умеют ими пользоваться.
Paul Kellerman вне форума   Ответить с цитированием
Старый 21.10.2011, 15:22   #4
Ink
Киберпанк
 
Регистрация: 24.04.2009
Сообщений: 10,958
По умолчанию

Цитата:
Received: from [94.127.68.17] by mcgi-wr-25.rambler.ru with HTTP (mailimap);
и
Цитата:
Received: from [217.24.49.10] by mperl110.rambler.ru with HTTP (mailimap)
Сама структура заголовка - очень странная.

Добавлено через 2 минуты
Цитата:
Сообщение от PavelAR Посмотреть сообщение
А кто конкретно взломал - известно?
Судя по письму - спам. Текст письма
Цитата:
Давно пытаюсь создать с нуля и поднять свое новое дело. Попрошу твоего совета. Сейчас уже на стадии становления и поднятия на рынке. Профессионалы почти завершили создание сайта компании. У меня такой вопрос к тебе: этот http://hmarochos.com.ua/s69q5h.php, или этот http://militaryexp.com/2d58uf290.php домен подходит под мое новое дело? Ответь сразу, как только сможешь!
Цитата:
Сообщение от PavelAR Посмотреть сообщение
чистой воды кулцхакерское баловство?
А в том-то и дело, что нет: пароль (мой) не сменили.
Цитата:
Сообщение от PavelAR Посмотреть сообщение
или "дыра"
безопасности на самом почтовом сервере
То же так думаю. Но рамблер не спешит сообщать (естественно)
Ink вне форума   Ответить с цитированием
Старый 21.10.2011, 15:24   #5
Jacky
Администратор
Jack of Shadows
 
Аватар для Jacky
 
Регистрация: 13.05.2002
Адрес: Москва
Сообщений: 7,533
По умолчанию

Когда цитируете подозрительные письма, хотя бы ссылки кликабельными не делайте. Нажмет ведь кто-нибудь. Скорее всего при переходе по линку цепляют трояна.

Давайте будем аккуратнее, народ здесь зачастую неискушенный, не форум хакеров все же.
---------
Рано или поздно, так или иначе...
Jacky вне форума   Ответить с цитированием
Старый 21.10.2011, 15:24   #6
Paul Kellerman
Gold Member
 
Регистрация: 25.06.2005
Адрес: F000:FFF0
Сообщений: 1,804
По умолчанию

Цитата:
Сообщение от Ink Посмотреть сообщение
Мне, на мой взломанный ящик, с моего же взломанного ящика, пришёл мейл
А сами-то в ящик попасть можете? То есть пароль не изменился? Если можете, то
расслабьтесь - это шутки кулцхакеров. Используя программы для рассылки писем
можно в поле Sender вместо реального отправителя можно вбивать все что хочешь,
в том числе адрес получателя - это старая фича, поросшая мхом, хотя есть клоуны,
кто на этой фишке делает деньги, предлагая доверчивым людям услуги по "взлому"
чужих ящиков: берут предоплату и присылают заказчику письмо с вбитым в качес-
тве адреса отправителя адрес взламываемого юзера, и большинство ведется на это.

Цитата:
Сообщение от Ink Посмотреть сообщение
Судя по письму - спам. Текст письма
А... ну такие письма я и сам когда-то тоннами получал. Это подмена поля Sender,
рассыльная программа тупо в поле Sender вбивает адрес самого же получателя...
Эта уловка слегка помогает спамерам обходить спам-фильтры почтовых роутеров.
Paul Kellerman вне форума   Ответить с цитированием
Старый 21.10.2011, 15:33   #7
Ink
Киберпанк
 
Регистрация: 24.04.2009
Сообщений: 10,958
По умолчанию

Цитата:
Сообщение от Jacky Посмотреть сообщение
Скорее всего при переходе по линку цепляют трояна.
Естественно
Цитата:
Сообщение от Jacky Посмотреть сообщение
не форум хакеров все же.
Как?! Не верю! Я же тут...
Цитата:
Сообщение от PavelAR Посмотреть сообщение
А сами-то в ящик попасть можете? То есть пароль не изменился?
Да
Цитата:
Сообщение от PavelAR Посмотреть сообщение
Используя программы для рассылки писем
можно в поле Sender вместо реального отправителя вбивать все что хочешь, в том
числе адрес самого получателя - это старая фича, поросшая мхом,
Можно, да, помню. Но... Сейчас еще гляну.

Добавлено через 5 минут
Чувствую себя последним лохом...
Но для верности: глянем вместе
Код:
Received: from [94.127.68.17] by mcgi-wr-25.rambler.ru with HTTP (mailimap); Mon, 17 Oct 2011 00:13:01 +0400
From: =?windows-1251?B?xOzo8vDo6SA=?= <Мой мейл>
To: <мой мейл>
Subject: =?windows-1251?B?xODm5SDt5SDn7eD+LCD38u4g6CDk8+zg8vw=?=
Date: Mon, 17 Oct 2011 00:013:01 +0400
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: multipart/alternative; boundary="_----------=_1318801741666984"
Message-Id: <1232608100.1318801741.117652344.66698@mcgi-wr-25.rambler.ru>
X-Mailer: Ramail 3u, (chameleon), http://mail.rambler.ru
Внимание к выделенному красным: не совпадает с правильным: кажись, я всё же лох
Ink вне форума   Ответить с цитированием
Старый 21.10.2011, 15:40   #8
Paul Kellerman
Gold Member
 
Регистрация: 25.06.2005
Адрес: F000:FFF0
Сообщений: 1,804
По умолчанию

Цитата:
Сообщение от Ink Посмотреть сообщение
Received: from [94.127.68.17]
Короче спи спокойно, этот IP-адрес почтового сервера отправителя
принадлежит домену tinfocom.ru (в котором ошивается спамер), а не
rambler.ru (как это было бы, если реально с твоего ящика отправили).

C:\Documents and Settings\PavelAR>nslookup
Default Server: ns1.mpei.ac.ru
Address: 193.233.71.3

> 94.127.68.17
Server: ns1.mpei.ac.ru
Address: 193.233.71.3

Name: tinfocom.ru
Address: 94.127.68.17
Paul Kellerman вне форума   Ответить с цитированием
Старый 21.10.2011, 15:44   #9
Ink
Киберпанк
 
Регистрация: 24.04.2009
Сообщений: 10,958
По умолчанию

Цитата:
Сообщение от PavelAR Посмотреть сообщение
Короче спи спокойно, этот IP-адрес почтового сервера
Я первым делом посмотрел, да...
Ну ладно. Будем это считать удачным стечением обстоятельств: спамерам удалось развести Инка. Полнейший фэйспалм.
Давайте, тогда, вернёмся к аспектам взлома. Вот у нас есть халявный вай-фай. Выходим через него с ноута и...все наши пароли - стали паролями админов сети. В том числе и от почты...
Ink вне форума   Ответить с цитированием
Старый 21.10.2011, 15:52   #10
Paul Kellerman
Gold Member
 
Регистрация: 25.06.2005
Адрес: F000:FFF0
Сообщений: 1,804
По умолчанию

Цитата:
Сообщение от Ink Посмотреть сообщение
все наши пароли - стали паролями админов сети. В том числе и от почты...
Эээ... Вообще-то все-таки большинство уважающих себя программ так или иначе
используют алгоритм аутентификации типа CHAP, который ни пароль, ни даже его
MD5-хэш в чистом виде не пошлют по сети. Ну разве что только по протоколу ftp,
telnet и еще некоторые (убогие прокси-клиенты) открытые пароли по сети гоняют.

Коротко о CHAP (Challenge-Handshake Authentication Protocol).

1. Клиент посылает серверу запрос на аутентификацию.
2. Сервер высылает клиенту случайный код (challenge).
3. Клиент шифрует полученный challenge хэшем пароля,
введенного юзером, и отправляет шифровку на сервер.
4. Сервер также локально шифрует свой challenge тем
хэшем пароля, который у него в базе хранится, и срав-
нивает результат с тем, что получил от пользователя,
если совпадает, то аутентификация прошла успешно.
Paul Kellerman вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.



Текущее время: 17:13. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.8
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
© 2001—2024, «Аспирантура. Портал аспирантов»
Рейтинг@Mail.ru