информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / miscellaneous
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
интернет кафе с одним внешним ip, куки зевак в руках админа... идея ясна? 16.05.11 16:02  Число просмотров: 1676
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
<miscellaneous>
Как такое могло получиться. 12.05.11 05:19   [Ustin]
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Мой гуглевский акаунт был заблокирован. Гугл сообщал:

Verify your account
We've detected unusual activity on your account. To immediately restore access to your account, type your phone number below.

Когда их техсаппорт разблокировал мой аккаунт, то я увидел, что действительно с моего аккаунта была попытка разослать spam. Как такое возможно. Как кто-то мог знать мой пароль? Такой же пароль был только на LinkedIn (не факт что они не коллекцианируют плаин текст пасвордс). Оттуда добыли?

может троянчик на каком нить компе с которого ходили на... 12.05.11 10:33  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
может троянчик на каком нить компе с которого ходили на гугл
Вполне может и троян быть. Но как он может перехватить ввод... 13.05.11 06:45  
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> может троянчик на каком нить компе с которого ходили на
> гугл

Вполне может и троян быть. Но как он может перехватить ввод имени пользователя и пароль именно гугля? Кейлогер должен знать что я пошёл именно на гугль логиниться. Или кто-то управляет IE в момент гугль-аунтификации. Но всё же думаю, всё гораздо проще, например, с linkedIn могло что-то утечь . Сейчас это модно. Только и слышишь что об утечках. На linkedin аккаунт в точности совпадал с гуглевским.
Очень просто 17.05.11 02:15  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 17.05.11 02:19  Количество правок: 2
<"чистая" ссылка>
> Вполне может и троян быть. Но как он может перехватить ввод
> имени пользователя и пароль именно гугля? Кейлогер должен
> знать что я пошёл именно на гугль логиниться. Или кто-то
> управляет IE в момент гугль-аунтификации. Но всё же думаю,
Очень просто. Способов перехвата вводимых юзером в браузере данных в т.ч. авторизации - уйма: хуки на уровне wininet API, browser helper object, банальный кейлоггер... Если сайт не https (или если вы не обращаете внимания на цвет и предупреждения индикатора "безопасности" соединения) к этому добавляются хуки на сокеты, LSP, TDI/NDIS inmermediate фильтры, трояны на других компах локалки с прокаченным скиллом ARP спуфинга... И это только сходу.
Еще больше способов - узнать на каком сайте ща юзер сидит - а именно способы теже самые + банальный GetWindowText с HWND address bar'а.
На домашних компах я не могу сделать больше, чем делает... 17.05.11 04:13  
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
На домашних компах я не могу сделать больше, чем делает делает антивирусное ПО.
На работе - просто не возможно оценить на сколько окружение безлпасно. Скорее всего небезопасно.
перехватывается всё подряд и отправляется владельцу трояна. 13.05.11 12:24  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
далее простой визуальный анализ текстового файла.
на сколько велика вероятность того, что пользователь залезет в свой почтовый ящик в течении первых 5-ти мин. после логона?
Я бы спросил, насколько вероятно, что пользователь авторизуется где-нибудь в первые 5 минут после логона? 13.05.11 13:16  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 13.05.11 13:17  Количество правок: 1
<"чистая" ссылка>
И даже не логона (многие идут курить после включения компа), а начала активных действий
А может кейлоггер или включенное сохранение пароля в инеткафе. 12.05.11 14:38  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
Или пользование общественным вайфаем...
Даже если вайфай мониториться, всё проезжает по https. А вот... 13.05.11 06:53  
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Или пользование общественным вайфаем...

Даже если вайфай мониториться, всё проезжает по https. А вот наличие кейлогера более вероятно. На домашних компах - вряд ли. А на работе - больше чем возможно. Но всё равно вопрос - как кейлогер определяет, что нажатия связаны с логином и именно на гугл.
Да, не обратил внимания что речь про гугл. 13.05.11 17:55  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
> > Или пользование общественным вайфаем...
>
> Даже если вайфай мониториться, всё проезжает по https. А
Но, чисто теоретически), если вайфай полностью мониторится, то ничего не мешает перехватить все необходимое для дешифровки https-трафика. Прокси же как-то работают ;)
> вот наличие кейлогера более вероятно. На домашних компах -
> вряд ли. А на работе - больше чем возможно. Но всё равно
Есть еще куча возможностей: всякие расширения/надстройки браузера, приложения разных соцсетей,..
> вопрос - как кейлогер определяет, что нажатия связаны с
> логином и именно на гугл.
Что это сейчас уже так просто - взломать https зашифрованные... 14.05.11 02:24  
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > > Или пользование общественным вайфаем...
> >
> > Даже если вайфай мониториться, всё проезжает по https.
> А
> Но, чисто теоретически), если вайфай полностью мониторится,
> то ничего не мешает перехватить все необходимое для
> дешифровки https-трафика. Прокси же как-то работают ;)
> > вот наличие кейлогера более вероятно. На домашних
> компах -
> > вряд ли. А на работе - больше чем возможно. Но всё
> равно
> Есть еще куча возможностей: всякие расширения/надстройки
> браузера, приложения разных соцсетей,..
> > вопрос - как кейлогер определяет, что нажатия связаны
> с
> > логином и именно на гугл.

Что это сейчас уже так просто - взломать https зашифрованные данные? Пусть есть засниференный дамп и нам не жалко 1 года (имею ввиду ломать а не в тюрьме сидеть), положим.
Читаем, думаем. 14.05.11 04:36  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=4&m=161055
Буду ли я прав если скажу, что: 15.05.11 02:54  
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=4&m=
> 161055
Буду ли я прав если скажу, что:

1) в моём случае не используетcя/не навязывается "ложный прокси сервер".
2) после того как установлено слединение с гугл-майл сервером, невозможно встать посередине и дешировывать трафик и перенаправлять его на гугл и обратно клиенту.

Если всё это так, то правильно ли я скажу, что расщифровка и перехват логина по этоу схеме невозможен.

О расшифровке же кусков промониториного https трафика, даже если предположить, что опонент даже и не снифит, а вообще имеет доступ к маршрутиризатору - я сомневаюсь. Зря сомневаюсь?
интернет кафе с одним внешним ip, куки зевак в руках админа... идея ясна? 16.05.11 16:02  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
это если результат функции пароля сохранен в куки 16.05.11 16:22  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 16.05.11 16:26  Количество правок: 1
<"чистая" ссылка>
или если сессия еще не закрыта. но, опять же, с https канает только подмена сертификата
1) Ложный прокси-сервер может стоять на гейте интернет-кафе и проч со всеми вытекающими; 2) Твоя ситуация возникла врядли по этой причине, но 3) Не стоит недооценивать оппонента :) 16.05.11 11:30  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
3) Не стоит недооценивать оппонента :) 16.05.11 19:02  
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
>> 3)Не стоит недооценивать оппонента....

Это да. Ведь как-то этож сделано...
что именно? 16.05.11 21:42  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Каким-то образом (скорее всего троян) пытались разослать... 17.05.11 04:17  
Автор: developertmp Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Каким-то образом (скорее всего троян) пытались разослать спам с моегл гугл акаунта.
спамеры не ищут сложных путей. 17.05.11 12:39  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
спамеры не ищут сложных путей.
если они могут инфицировать комп клавиатурным шпионом, им нет никакого смысла писать драйвер-прокси для перехвата, подмены сертификата и дешифровки/шифровки https сессии. тем более, что такой метод проканает только с крайне неопытным пользователем.
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach