» »

Napad s slovarjem na Twitter

Wired Blog - Kot poročajo na Wiredu in Coding Horror, je 18-letni napadalec, znan pod vzdevkom GMZ, pred kratkim vdrl v številne račune Twitter, med drugim tudi v račun Baracka Obame in Fox News.

Pri vsem skupaj pa je najbolj zanimiv način, na katerega je napadalec uspel izpeljati vdor.

Napadalec je namreč uporabil napad s slovarjem. Gre za ugibanje gesel s pomočjo slovarja (preverjanje vseh besed v slovarju), kar je bilo mogoče uporabiti zato, ker Twitter ni onemogočal večkratnih poskusov prijave.

Kot so izračunali na Coding Horror, bi preverjanje vseh angleških besed (vsako sekundo eno) trajalo slaba dva dni. Proti takšnim napadom se je seveda mogoče povsem enostavno zavarovati tako, da strežnik za vsakim neuspešnim poskusom prijave počaka dlje časa in šele nato dovoli nov poskus. Kar preseneča je, da očitno pri Twitterju tega ne vedo ali pa so to pravilo preprosto zanemarili.

Smola, še posebej, če uporabljate isto geslo za različne storitve ...

28 komentarjev

Mr.B ::

Čist sigurno, windows majster.:)) UPS, retardiran nesposoben uporabnik.
Večina v PRIVATNEM Sektorju ni tako dobro plačana,
kot se s pogromom nanje skuša prikazati, številke iz,
konteksta so brca mimo in so za 20% pod zagotovljenim minimalcem.

coma2black ::

mah sej ne morem verjet, da se kaj takega sploh lahko zgodi pri servisih takšnega obsega...
--=- [ Dex ] -=--

StratOS ::

No, sej tudi te "napredne" ( oz. poboljšane - iz konteksta ) tehnike bannanja recimo po neuspelih 3-5 poskusih in po banu tega uporabniškega imena oziorma IP-ja za določen čas ( recimo par ur ) se da preprosto zaobiti z kakšnim ( mogoče tudi več ) anon ali high anon proxy-jem ali zombiji ( če je ban vezan na IP ali pa na IP in logiranega uporabnika ). Sprijazniti se je treba z tem, da je osnovni sistem z headerji in coockiji brez kakšnih dodatnih spletnih client-server servisov na takšen način čisto nepotreben, da ne govorimo o kakšnih overfloat napakah, pomanjkljivostih v bazah in spletnih serverjih, napadih različnih vrst ...

Res pa je da je tu bil zraven problem na nezaščitenih client straneh - Phishing :), sej so problemi večinoma na client straneh :)=
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

Tody ::

kaj majo pa butli take gesla, da jih človek najde v slovarju... prov jim je :D

antonija ::

A je to slucajno klon facebooka in ostalih?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

HeMan ::

Ni ravno klon, je pa podobna zadeva.

OmegaBlue ::

Daleč od podobnega, twitter si rad reče "microblogging" kar frisbukva pač ni.
Never attribute to malice that which can be adequately explained by stupidity.

Tear_DR0P ::

na frisbukvi mas status msg, ki je podoben twittru

drgac pa je dobro uporabkljat gesla v slovenscini :) - po moznosti se malo misspelas besede in dobis precej varno in hkrati preprosto geslo, ki ga bo kak cudak odklenil samo zato, ker bo slovaski slovar uoporabil

edit: a zato je bilo v zadnjem casu tolko failwhaleov
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

Zgodovina sprememb…

Mr.B ::

Trivialno geslo je Geslo123.
Večina v PRIVATNEM Sektorju ni tako dobro plačana,
kot se s pogromom nanje skuša prikazati, številke iz,
konteksta so brca mimo in so za 20% pod zagotovljenim minimalcem.

Jumping Jack ::

A je kaj znano, kateri gesli sta imela Obama in Fox News?

root987 ::

Gotovo mccain pa cnn.
"Myths which are believed in tend to become true."
--- George Orwell

bi0s ::

Geek?

fiction ::

Razno avtomatsko blokiranje po n neuspelih poskusih se lahko kaj hitro obrne v DoS napad. Kaj ce recimo nekdo drug poskusa Obamovo geslo samo zato, da se on ne bi mogel prijaviti? Ce na enkrat zacne trajati prijava po minuto, to lahko ljudje enacijo s pocasnim delovanjem strani. V "web2.0 casih" se ze 10 sekund cakanja ljudem zdi nedopustno. Torej omejitev bi morala biti nujno vezana na IP kar pa pomeni, da potencialno napadalec se vedno lahko zelo hitro preizkusi veliko gesel.

No ali pa tako kot pise na strani, da vsakic traja malo dlje preden streznik vrne napako (kar pomeni, da se pravi Obama
lahko takoj prijavi), ceprav je meni se vedno ljubsi nacin, da se po nekaj neuspesnih poskusih uporabi CAPTCHA, ki prepreci razne avtomatike. Tezava je namrec v tem, da bi napadalec teoreticno lahko zaznal umeten delay in z nespremenjeno hitrostjo preizkusal gesla. Ce se pravi uporabnik kdaj zatipka pa to zanj pomeni neskoncno cakanje.

Glavni krivec tukaj so ljudje, ki so uporabljali tako enostavna gesla, da se jih je dalo zbruteforcati oz. celo najti v slovarju. To bi se dalo preveriti ze ob nastavitvi gesla in enostavno opozoriti uporabnika naj izbere kaj boljsega. To je sicer malo nadlezno, a pomaga. Seveda pa bi bil to le namig in bi uporabnik z malo tezave se vedno lahko izbral svoje geslo, samo parkrat bi kliknil na "Agree" in "Next". :) Tam bi recimo pisalo, da ponudnik eksplicitno ne odgovarja za vdore pri slabem geslu. Da si uporabnik izbere dovolj dobro geslo je namrec stvar vsakega posameznika.

S "siljenjem" pride samo do tega, da si clovek geslo kam napise, ga pove drugim (za primer da ga slucajno pozabi) itd.

Skrb vzbujajoce je, da ima nekdo, ki naj bi bil navdusenec nad tehnologijo in naslednji ameriski predsednik lahko uganljivo geslo.

Smola, še posebej, če uporabljate isto geslo za različne storitve ...
Si kar predstavljam: "Enter nuclear missile launch code", "obama123" :)

Zgodovina sprememb…

  • spremenil: fiction ()

ERGY ::

Tole zadnje z "Nuclear launch Code" sm se pa nasmejal ;) Dobra :D

legice ::

js mam pri enih stvareh res da enako geslo,vendar pa beseda ne obstaja :)(vsaj slovnično ne)
Prekopu vrt in našu Bin Ladna

root987 ::

Skrb vzbujajoce je, da ima nekdo, ki naj bi bil navdusenec nad tehnologijo in naslednji ameriski predsednik lahko uganljivo geslo.

A si šur da je on sam vodu si račun in ne kakšen študent, ki so ga najeli da vodi en delček njegove online identitete?
"Myths which are believed in tend to become true."
--- George Orwell

urban99 ::

A je kaj znano, kateri gesli sta imela Obama in Fox News?


Če se prav spomnim, je imel Obama "happiness" (bral par dni nazaj, najbrž je na wiredu).

fiction ::

A si šur da je on sam vodu si račun in ne kakšen študent, ki so ga najeli da vodi en delček njegove online identitete?
Se zmeraj je slabo za "image", ki so ga dolgo ustvarjali. Kakorkoli so to ze poceli.

Aja ups: obama123 ni v slovarju. No ja, se zmeraj ni varno geslo.

Ce imas datoteko z izvlecki gesel lahko npr. z John the Ripper precej hitro sprobas kombinacije. Zadeva najde geslo tudi ce uporabljas l33t speech, razne 123 1 dodatke ali pa obracas okrog besede. Te stvari sproba s pomocjo slovarja se preden gre na slepo preizkusati moznosti. V primeru znanega hasha preizkusanje deluje precej hitreje kot eno geslo na sekundo. Ce se vsakic nekam prijavljas, da odkrijes ali je geslo pravilno ali ne pa jasno ne gre tako hitro. Se vedno pa se ocitno najbolj neumna gesla da najti v razumnem casu. Razen tega, da tako pustis za seboj gigabajte logov.

Vseeno je za odsvetovati gesla, kjer je samo ena beseda malo spremenjena ali ena beseda na razne nacine "okrasena". Razlicen case, stevilke in posebni znaki, so nujni, ce je to le mogoce.

Če se prav spomnim, je imel Obama "happiness" (bral par dni nazaj, najbrž je na wiredu).
Naslednje geslo bo pa kaj, "stupidity"? :)

CAPTCHA je pomoje way-to-go. Ce ne drugega se malo upocasni hitrost sprobavanja gesel. Bi pa tudi cisto razumel, ce bi ponudnik vsebine enostavne rekel "screw you". User mora poskrbeti za dobro geslo, ne mores reci da je to varnostna ranljivost strani ali kaj takega.

darkolord ::

"Sir, we have the password to the air shield!"
"Excellent! What is it?"
"12345."
"12345?"
"Yes!"
"That's amazing, I've got the same combination on my luggage!"

CAPTCHA je pomoje way-to-go. Ce ne drugega se malo upocasni hitrost sprobavanja gesel. Bi pa tudi cisto razumel, ce bi ponudnik vsebine enostavne rekel "screw you". User mora poskrbeti za dobro geslo, ne mores reci da je to varnostna ranljivost strani ali kaj takega.

V trenutni fazi so CAPTCHA preveč ranljivi al pa tko zapacani, da ga še človk ne zna vedno prebrat.
spamtrap@hokej.si
spamtrap@gettymobile.si

Zgodovina sprememb…

  • spremenilo: darkolord ()

MrStein ::

fiction:
To je sicer malo nadlezno, a pomaga. Seveda pa bi bil to le namig in bi uporabnik z malo tezave se vedno lahko izbral svoje geslo, samo parkrat bi kliknil na "Agree" in "Next".

Se strinjam. Novincem povedati kaj in kako, poznavalcem pa "give enough rope...".
Teštiram če delaž - umlaut dela: ä ?

Tody ::

Tale zadeva je 95 % lahko za prebrat in 100% učinkovita več kot leto in nobenega bota na moji strani pa ma 1000 obiskov dnevno.

http://recaptcha.net/

fiction ::

Ja, recaptcha je kul.

Ampak sej za preprecevanje bruteforca (drugace kot pri oddajanju komentarjev) ni treba, da je 100% "nezlomljiv" CAPTCHA. Dovolj je, da traja recimo namesto 1 sekunde za avtomatiko 5 sekund (ker mora prej se razvozlati posamezen CAPTCHA). Ce to uspe samo z doloceno verjetnostjo, se toliko bolje, saj bo treba stvar ponoviti kar spet traja. V najslabsem primeru je ze 5x pocasnejse sprobavanje gesel. Ze 1 geslo na sekundo je pomoje bolj kot ne na meji tega kar se se splaca. Recimo, da imas tak bolj light slovar s 50k zapisi pa bo trajalo 35 dni. Krat 5 je pa ze 175 dni stalnega probavanja.

Seveda bi clovek CAPTCHA dobil sele, ko bi bil za posamezno uporabnisko ime najmanj 1 napacen poskus prijave oz. s posameznega IP-ja vec kot en napacen poskus prijave (za katerikoli username).

Se strinjam. Novincem povedati kaj in kako, poznavalcem pa "give enough rope...".
Razne varnostne politike se mi v tem pogledu zdijo prevec stroge. Idealno je pomoje, ce pri izbiri gesla das uporabniku hint v stilu geslo najbrz ni dobro. Npr. kot strength meter ali kaj takega. Dobro geslo mora biti sestavljeno tako, ampak ce hoces vseeno lahko uporabis svoje geslo.

Potem enkrat na mesec bi pa recimo za 1 dan pognal sam en password cracker nad shranjenimi gesli. Vsem katerih geslo bi bilo odkrito bi poslal obvestilo, da je bilo geslo prevec enostavno in naj ga prosim cim prej zamenjajo. Ali pa v primeru raznih social sitov bi recimo nadomestil osebno stran z "You've been hacked (*) This message could appear soon if you don't change your weak password. Change password / Ignore". Odziv bi bil sigurno veliko boljsi, kot ce bi pri spremembi gesel "stvar tezila s tem kako doloceno geslo ne ustreza kriterijem", ker mogoce nima stevilke ali pa je prevec podobno prejsnjemu geslu.

arjan_t ::

a ti bi šel crackat gesla uporabnikov?
tako si je res najboljše dobit zaupanje uporabnikov ja

fiction ::

Bom tako rekel: zakaj pa obstaja toliko programov za krekanje gesel - samo za pomoc zlobnezom? Pomoje ne, programi omogocajo tudi testiranje lastnega sistema (tako kot razna druga varnostna orodja). Ampak ljudje na vse skupaj gledajo prevec ozko.

Administrator lahko prevzame identiteto uporabnika tudi na kaksen drugacen (lazji) nacin. Edini problem je, ce uporabnik geslo uporablja se kje drugje. Ampak to je v principu spet njegova krivda. Izhajati mora iz tega, da BOFH teoreticno lahko pridobi njegovo plain-text geslo, ceprav je shranjen le izvlecek. Nek odgovoren admin tega seveda ne pocne oz. ce ze samo
zato da bi pomagal uporabniku (in ga o tem potem obvesti). Tezava je le v tem, da uporabnik ponavadi itak ne ve s kom ima opravka.

Sicer pa metoda, ki sem jo opisal, ne bi nikoli izdajala gesel, ampak bi samo preverjala, ce je bilo za doloceno uporabnisko ime najdeno geslo. Izhod bi bil v stilu: uporabnikA: geslo je bilo najdeno v ~1 uri, uporabnikB: geslo je bilo najdeno v ~5 urah. Interno bi pa skripta, ki bi se klicala npr. iz crontaba uporabljala program za krekanje gesel. To, da probas ali se res da najti geslo dovolj hitro s poskusanjem, je veliko boljsi nacin kot umetno definiranje raznih pravil kdaj je geslo ok in kdaj ne. In glede na to, da bi rabil recimo en dan za preizkus, tega pac ne bi mogel narediti takoj ob menjavi gesla. Malo bi moral paziti edino na to, da ne bi vedno iskal po istem vrstnem redu, ampak bi nek random usmerjal kako bruteforcer poizkusa. Da ne bi prislo do tega, da recimo tvoj program ne bi nasel gesla zzzzzzzzzz v enem dnevu, ker bi zacel z aaaaaaaaa, medtem ko bi bilo za drug program, ki bi zacel z z to trivialno.

V primeru spletne storitve bi bila resitev lahko malce drugacna in bi avtomatika poleg tega se nastavila nek flag v bazi oz. skopirala nekam datoteko z opozorilom, tako da bi uporabnik to videl. Ampak se vedno administrator, brez prekoracitve svojih pooblastil, ne bi vedel, kaksna so gesla uporabnikov, niti kdo ima slabo geslo.

MrStein ::

arjan_t, si tudi proti crash testom avtomobilov? Saj res, škoda vse te avte uničit. Pa kak bodo kupci reagirali na vso to zvito pločevino. To ja sugerira ne-varnost. Ojoj, ojoj.
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

arjan_t ::

še dobro da sta te dve stvari kako povezani
misliš kaj si bodo mislili uporabniki če boš za njihovo "varnost", 1x na mesec crackal njihova gesla?

MrStein ::

Isto, kot če jim enkrat na mesec scrashaš njihov tip avta.

Z dodatkom, da ne čitam misli, niti ne vidim v prihodnost, tako da ne morem trditi, kaj bodo mislili. Lahko pa ugibam. Saj crashteste so tudi en čas čudno gledali. Dokler niso skužili, da jim to rešuje življenja.
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

Jst ::

>V trenutni fazi so CAPTCHA preveč ranljivi al pa tko zapacani, da ga še
>človk ne zna vedno prebrat.

Ej, jaz moram vsaj ene 5krat, ponavadi pa 10+krat klikniti za izpis nove slike s frazo, za katero sem potem prepričan, da ni drugih možnosti, da se pravilno logiram v en site.

Imam kolega, ki mu vedno iz prve uspe fraza iz slike.

Jaz sem videl I pa nič,I in o, I samo prečrtan ter o ali 0, pa še nekaj drugih vzorcev sem videl. On je rekel b, kar je bilo pravilno. Vedno mu iz prve uspe, pravi (redkokdaj se zmoti). Moj pattern recognition machine v moji glavi očitno preveč dela za ta captcha in me moti.
Proton decay is a tax on existence.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Brazilska in ameriška policija nemočni zoper TrueCrypt (strani: 1 2 3 )

Oddelek: Novice / Diski
10615285 (5409) Matthai
»

Ameriška carinska uprava kupuje igralne konzole PlayStation

Oddelek: Novice / Konzole
342655 (1357) MrStein
»

Napad s slovarjem na Twitter

Oddelek: Novice / Varnost
283505 (1742) Jst
»

Obnavljanje zabrisanih slik

Oddelek: Novice / Zasebnost
162240 (1236) Matev

Več podobnih tem