информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыПортрет посетителяСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / miscellaneous
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
львиная доля утечек пользовательских бюджетов инет ресурсов происходит через трояны-кейлогеры. 13.05.11 12:26  Число просмотров: 1631
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
<miscellaneous>
Как такое могло получиться. 12.05.11 05:19   [Ustin]
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Мой гуглевский акаунт был заблокирован. Гугл сообщал:

Verify your account
We've detected unusual activity on your account. To immediately restore access to your account, type your phone number below.

Когда их техсаппорт разблокировал мой аккаунт, то я увидел, что действительно с моего аккаунта была попытка разослать spam. Как такое возможно. Как кто-то мог знать мой пароль? Такой же пароль был только на LinkedIn (не факт что они не коллекцианируют плаин текст пасвордс). Оттуда добыли?

может троянчик на каком нить компе с которого ходили на... 12.05.11 10:33  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
может троянчик на каком нить компе с которого ходили на гугл
Вполне может и троян быть. Но как он может перехватить ввод... 13.05.11 06:45  
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> может троянчик на каком нить компе с которого ходили на
> гугл

Вполне может и троян быть. Но как он может перехватить ввод имени пользователя и пароль именно гугля? Кейлогер должен знать что я пошёл именно на гугль логиниться. Или кто-то управляет IE в момент гугль-аунтификации. Но всё же думаю, всё гораздо проще, например, с linkedIn могло что-то утечь . Сейчас это модно. Только и слышишь что об утечках. На linkedin аккаунт в точности совпадал с гуглевским.
Очень просто 17.05.11 02:15  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 17.05.11 02:19  Количество правок: 2
<"чистая" ссылка>
> Вполне может и троян быть. Но как он может перехватить ввод
> имени пользователя и пароль именно гугля? Кейлогер должен
> знать что я пошёл именно на гугль логиниться. Или кто-то
> управляет IE в момент гугль-аунтификации. Но всё же думаю,
Очень просто. Способов перехвата вводимых юзером в браузере данных в т.ч. авторизации - уйма: хуки на уровне wininet API, browser helper object, банальный кейлоггер... Если сайт не https (или если вы не обращаете внимания на цвет и предупреждения индикатора "безопасности" соединения) к этому добавляются хуки на сокеты, LSP, TDI/NDIS inmermediate фильтры, трояны на других компах локалки с прокаченным скиллом ARP спуфинга... И это только сходу.
Еще больше способов - узнать на каком сайте ща юзер сидит - а именно способы теже самые + банальный GetWindowText с HWND address bar'а.
На домашних компах я не могу сделать больше, чем делает... 17.05.11 04:13  
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
На домашних компах я не могу сделать больше, чем делает делает антивирусное ПО.
На работе - просто не возможно оценить на сколько окружение безлпасно. Скорее всего небезопасно.
перехватывается всё подряд и отправляется владельцу трояна. 13.05.11 12:24  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
далее простой визуальный анализ текстового файла.
на сколько велика вероятность того, что пользователь залезет в свой почтовый ящик в течении первых 5-ти мин. после логона?
Я бы спросил, насколько вероятно, что пользователь авторизуется где-нибудь в первые 5 минут после логона? 13.05.11 13:16  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 13.05.11 13:17  Количество правок: 1
<"чистая" ссылка>
И даже не логона (многие идут курить после включения компа), а начала активных действий
А может кейлоггер или включенное сохранение пароля в инеткафе. 12.05.11 14:38  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
Или пользование общественным вайфаем...
Даже если вайфай мониториться, всё проезжает по https. А вот... 13.05.11 06:53  
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Или пользование общественным вайфаем...

Даже если вайфай мониториться, всё проезжает по https. А вот наличие кейлогера более вероятно. На домашних компах - вряд ли. А на работе - больше чем возможно. Но всё равно вопрос - как кейлогер определяет, что нажатия связаны с логином и именно на гугл.
Да, не обратил внимания что речь про гугл. 13.05.11 17:55  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
> > Или пользование общественным вайфаем...
>
> Даже если вайфай мониториться, всё проезжает по https. А
Но, чисто теоретически), если вайфай полностью мониторится, то ничего не мешает перехватить все необходимое для дешифровки https-трафика. Прокси же как-то работают ;)
> вот наличие кейлогера более вероятно. На домашних компах -
> вряд ли. А на работе - больше чем возможно. Но всё равно
Есть еще куча возможностей: всякие расширения/надстройки браузера, приложения разных соцсетей,..
> вопрос - как кейлогер определяет, что нажатия связаны с
> логином и именно на гугл.
Что это сейчас уже так просто - взломать https зашифрованные... 14.05.11 02:24  
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > > Или пользование общественным вайфаем...
> >
> > Даже если вайфай мониториться, всё проезжает по https.
> А
> Но, чисто теоретически), если вайфай полностью мониторится,
> то ничего не мешает перехватить все необходимое для
> дешифровки https-трафика. Прокси же как-то работают ;)
> > вот наличие кейлогера более вероятно. На домашних
> компах -
> > вряд ли. А на работе - больше чем возможно. Но всё
> равно
> Есть еще куча возможностей: всякие расширения/надстройки
> браузера, приложения разных соцсетей,..
> > вопрос - как кейлогер определяет, что нажатия связаны
> с
> > логином и именно на гугл.

Что это сейчас уже так просто - взломать https зашифрованные данные? Пусть есть засниференный дамп и нам не жалко 1 года (имею ввиду ломать а не в тюрьме сидеть), положим.
Читаем, думаем. 14.05.11 04:36  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=4&m=161055
Буду ли я прав если скажу, что: 15.05.11 02:54  
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=4&m=
> 161055
Буду ли я прав если скажу, что:

1) в моём случае не используетcя/не навязывается "ложный прокси сервер".
2) после того как установлено слединение с гугл-майл сервером, невозможно встать посередине и дешировывать трафик и перенаправлять его на гугл и обратно клиенту.

Если всё это так, то правильно ли я скажу, что расщифровка и перехват логина по этоу схеме невозможен.

О расшифровке же кусков промониториного https трафика, даже если предположить, что опонент даже и не снифит, а вообще имеет доступ к маршрутиризатору - я сомневаюсь. Зря сомневаюсь?
интернет кафе с одним внешним ip, куки зевак в руках админа... идея ясна? 16.05.11 16:02  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
это если результат функции пароля сохранен в куки 16.05.11 16:22  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 16.05.11 16:26  Количество правок: 1
<"чистая" ссылка>
или если сессия еще не закрыта. но, опять же, с https канает только подмена сертификата
1) Ложный прокси-сервер может стоять на гейте интернет-кафе и проч со всеми вытекающими; 2) Твоя ситуация возникла врядли по этой причине, но 3) Не стоит недооценивать оппонента :) 16.05.11 11:30  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
3) Не стоит недооценивать оппонента :) 16.05.11 19:02  
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
>> 3)Не стоит недооценивать оппонента....

Это да. Ведь как-то этож сделано...
что именно? 16.05.11 21:42  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Каким-то образом (скорее всего троян) пытались разослать... 17.05.11 04:17  
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Каким-то образом (скорее всего троян) пытались разослать спам с моегл гугл акаунта.
спамеры не ищут сложных путей. 17.05.11 12:39  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
спамеры не ищут сложных путей.
если они могут инфицировать комп клавиатурным шпионом, им нет никакого смысла писать драйвер-прокси для перехвата, подмены сертификата и дешифровки/шифровки https сессии. тем более, что такой метод проканает только с крайне неопытным пользователем.
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach