Компьютерный форум
Правила
Вернуться   Компьютерный форум > Общение и торговля > Общетематический
Перезагрузить страницу Как взламывают online сервисы. Для новичков.
Ответ
 
Опции темы Опции просмотра
  (#1 (permalink)) Старый
Crack Crack вне форума
Специалист
 
Аватар для Crack
 
Сообщений: 284
Сказал(а) спасибо: 0
Поблагодарили 19 раз(а) в 19 сообщениях
Регистрация: 19.06.2011
Адрес: Internet
Exclamation Как взламывают online сервисы. Для новичков. - 27.09.2012, 21:02

Каждый из нас хотя бы раз в жизни сталкивался с ситуацией, когда пароль от почты забыт, а посмотреть письма нужно. Тут нам на помощь приходит процедура восстановления пароля, которую заботливые сервисы разработали специально для подобных случаев. Именно эта процедура вызывает больше всего вопросов с точки зрения безопасности. Как выяснилось, не зря. Проанализировав несколько сервисов выяснилось, насколько легко можно получить несанкционированный доступ к аккаунтам пользователей "ВКонтакте", "Facebook", "Google", "Mail.Ru" и "Яндекс". Причем не путем технических атак, а только с помощью социальной инженерии. Википедия описывает социальную инженерию как метод управления людьми без использования технических средств. В нашем случае это способ получения несанкционированного доступа к личной информации человека, опять же, без использования каких-либо специальных знаний или инструментов. Безусловно, всегда можно отправить фишинговое письмо и заставить пользователя перейти на сайт, где он засветит свои логин и пароль, или подкинуть трояна и ждать. Способов существует много. Мне было интересно другое. Я хотел проверить, насколько реально получить доступ к аккаунту пользователя, используя только общедоступную информацию, которую можно найти в интернете. Без взаимодействия с пользователем. Без технических изысков. Без уязвимостей "нулевого дня".

Мне удалось получить доступ к аккаунтам всех этих сервисов.
В случае с "Вконтакте" и "Google" выяснилось, что, обладая определенной информацией о пользователе (контакты, фотография, секретный вопрос), можно без труда получить доступ к его аккаунту. "Вконтакте" уделяют достаточно большое внимание обеспечению безопасности пользователей и придумали свой метод восстановления пароля. Вам даже предложат сфотографироваться на фоне страницы процедуры восстановления пароля с предварительной загрузкой скана документа, удостоверяющего личность. Все бы ничего, но "Вконтакте" используют самое слабое звено для проверки – человека. За что и поплатились – в результате ряда манипуляций с формой восстановления пароля и контактными данными и переписки со службой поддержки доступ к странице пользователя был получен менее чем за сутки. "Google" – примерно та же ситуация. Пароль восстановили довольно легко. Причем после получения доступа к аккаунту Gmail.com в нашем распоряжении оказываются все сервисы, с которыми работает пользователь – от "Youtube" до "Picasa". Например, процедура восстановления пароля была запущена в тот момент, когда владелец учетной записи продолжал работать с сервисами "Google": общался через GoogleTalk, загружал файлы с Android Market. Сервисы перестали работать внезапно, без каких-либо предупреждений со стороны "Google". Причем подобную атаку не смогла остановить даже двухфакторная авторизация с привязкой к мобильному телефону. С Mail.Ru ситуация сложнее. Этот сервис также доброжелательно относится к своим пользователям и идет навстречу им во многих вопросах. С одной стороны, это не может не радовать, с другой – предоставляет отличные возможности хакерам. Здесь общедоступной информации оказалось недостаточно. Тем не менее, после виртуального общения непосредственно с жертвой, которая любезно предоставила нам все нужные данные, доступ к аккаунту был получен без особых проблем. Социальная сеть "Facebook" продемонстрировала наиболее взвешенный подход, который сочетает заботу об удобстве и безопасности пользователя. Схема защиты не совсем стандартная – привязка к e-mail, привязка к телефону и возможность пользоваться друзьями для восстановления доступа к странице. Причем друзьями должны быть люди, которых вы знаете не 1 и не 2 дня – сложно попасть в список доверенных лиц пользователя даже за две недели активности. В том же случае, если у вас больше нет доступа к почте и секретному вопросу, "Facebook" сообщает, что ничего поделать не может. И советует зарегистрироваться заново. Отдельно хотелось бы выделить "Яндекс". Это замечательный пример того, как не стоит закручивать гайки. Мне не удалось получить доступ к аккаунту пользователя из-за слишком суровых требований к процедуре восстановления пароля. Например, увели у вас почтовый ящик с Яндекс.Деньгами. Телефон вы не привязали. Секретный пароль не вспомнили. Служба поддержки требует паспорт. Все пропало. И Яндекс.Деньги, и Яндекс.Почта. Итак, какие можно сделать выводы:

функция восстановления пароля – слабое место в системе защиты пользователя массовых онлайн-сервисов; на первый план для интернет-ресурсов выходит необходимость соблюсти баланс между удобством сервиса для пользователей и его безопасностью; пользователи довольно легкомысленно относятся к правилам безопасности и собственным данным, тем самым поневоле оказывая помощь злоумышленникам.

ВКонтакте -получен доступ. Доступ к данным получить несложно, лояльная служба технической поддержки.

Google - Получен доступ. Доступ к данным получить несложно, лояльная служба технической поддержки.

Mail.Ru - Получен доступ.Доступ к данным получить можно, но только после общения с пользователем.

Facebook - Доступ не получен. Доступ к данным получить нельзя, Facebook – молодцы!

Яндекс - Доступ не получен. Доступ к данным получить нельзя, но очень жесткие требования к процедуре восстановления пароля.

Действия по восстановлению паролей касались реальных аккаунтов пользователей "ВКонтакте", "Facebook", "Google", "Mail.Ru" и "Яндекса". Я проинформировал владельцев этих учетных записей о целях исследования и получил от них согласие на совершение действий с их аккаунтами. После завершения проекта реквизиты доступа были возвращены владельцам, никаких дополнительных действий с использованием этих данных не осуществлялось. Все интернет-ресурсы, с которыми я работал, также получили уведомления о найденных уязвимостях и предприняли меры по устранению обнаруженных недочетов.
Ответить с цитированием
Ads
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Примеры для новичков на C# *HellRaiser* Программирование под Windows 8 13.03.2014 12:04
Online Armor (Online Armor Security Suite) сват Любые вопросы от новичков 0 13.10.2011 19:37
Прблема для новичков Aleksei+Larisa Любые вопросы от новичков 2 06.10.2011 01:06
Облачные Saas сервисы начали пользоваться растущим спросом joilly Общие вопросы создания ПО 0 25.04.2011 18:39
Сервисы для отправки СМС и ММС FRAER273 Любые вопросы от новичков 1 11.02.2011 15:18
Сервисы на C#, нужна литература BreakPointMAN .NET 2 28.04.2008 22:46
Моддные сервисы. Admin Моддинг 38 16.10.2007 21:33
Про сервисы windows как сохранить путь установки Alex S. C++ Builder 2 25.04.2007 14:44
Как сделаны крупные web-сервисы? c++ Офтопик 1 30.11.2006 15:00
Где найти книгу по С++ для новичков PanteR_dsd Visual C++ 3 28.08.2006 01:03
Сервисы как написать на Delphi blur Delphi 4 06.05.2006 18:12
Как использовать ВЕБ сервисы Artur_gerasiuk C++ Builder 0 02.02.2006 14:34



Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Нardforum.ru - компьютерный форум и программирование, форум программистов