Vlákno názorů ke zprávičce Hack ICQ? Řada smazaných účtů a čísla k prodeji!

Toto se mi stalo jiz o Vanocich, muj ucet 509-049 nabourali a zmenili heslo i kontaktni udaje, abych si nemohl zazadat o poslani hesla mailem.
Tak jsem se tim zacal vice zabyvat a zjistil jsem ze ICQ servery nejsou zadnym zpusobem chranene, staci si stahnout programek, kterej vezme seznam proxy serveru, zada se rozmezi cisel, soubor se slovnikem hesel a kliknutim ok to zacne pro jednotlivy cisla zkouset hesla ze slovniku.
Pokud vam nekdo takto ucet ukradne, neexistuje zadna technicka podpora, nikdo kdo by ucet vratil nazpatek, muzete psat do AOL, do diskusnich for icq.com, na icq.com neni mozne najit zadnou oficilni technickou podporu, na podpore atlas.cz ze na vas taky vykaslou, reknou ze s tim nemuzou nic delat, proste smula.
Takovy system fakt nema cenu pouzivat.
Zkousel jste nekdo google talk?

Rozumny clovek nema takove heslo, ktere by slo zjistit slovnikovym utokem.

To je na jedné straně pravda, na druhé straně rozumný server by neměl dovolit tisíc pokusů o přihlášení za vteřinu. Pokud by byl limit např. 1x za 10 vteřin a po např. 10 špatných pokusech hodinové zablokování účtu, šance útočníků by citelně poklesly a já bych si konečně mohl k mailové schránce nastavit heslo "pepa", abych si ve své oblíbené inetové kaváraně nemusel pokaždé lámat prsty na dlouhém neslovníkovém heslu ;-)

P.S.: S tím počtem pokusů o přihlášení je to jen čirá spekulace, jak je na tom v tomto ohledu ICQ, opravdu netuším.

Nejaky maximalni pocet prihlaseni tam existuje, uz se mi parkrat stalo, ze kdyz jsem z ruznych duvodu prihlasoval UIN asi 10x po sobe, na hodinu me to vykoplo.

Pokud by to tak bylo, tak si nějaký slovníkový útok nedokážu v reálu moc představit.

dalsi lamy co melou a nic si o tom nezjisti. Slovnikovy utok na ICQ jde docela snadno, neb icq servery blokujou konexe z jedne IP adresy na jedno UIN, ale kdyz zkousite jedno uin z ruznych IP adres, tak neblokuje nic, klidne 100 konexi za sekundu. Jsou programy (IPbrute napr.), ktere vyuzivaji seznamy open proxy serveru, ktere si predem nascanujete (nebo z netu stahnete) a muzete vesele zjistovat hesla.

Ono někdy blbě mlít je ten nejjednodušší způsob, jak něco zjistit :-P
A pokud je to tak, jak říkáte, tak je to IMHO o důvod víc nevěřit zabezpečení serverů ICQ.

podla mna skor budes lama ty, pretoze clovek, ktory zacne prispevok tym, ze oznaci diskutujucich za lamy, je zakomplexovana lama, ktora potrebuje davat svetu na znamost aka je zbehla v IT otazkach. pravdepodobne sa tvoj vek konci na -teen a tym padom je to pochopitelne. takze sa nauc spravat slusne.

Děkuju ti, náčelníku, že ses mě zastal ;-)

xyz: jasne, mas pravdu

Taky mam radši hezký a slušný jednání :) a to i od lidí, jejichž věk končí na teen, jak říkáš, takže mi to tam přijde trošku navíc.

> Pokud by byl limit např. 1x za 10 vteřin a po např. 10 špatných pokusech hodinové zablokování účtu, šance útočníků by citelně poklesly

Jo a kdokoliv by ti tim mohl na hodinu zablokovat ucet a mas smulu. Dekuji nechci.

Blbej nápad, uznávám. Ale umožnit 100 konexí za vteřinu, jak píše o kousek výš tomas, je IMHO taky blbost. Takže kudy tudy do Bavorova?

Rozumím. Na vyvážený poměr ochrany identity a DoS se musí myslet od začátku návrhu. Rozhodně by se měly banovat proxy servery. Navíc málokterý proxy je skutečně nerozlišitelný od klienta – vhodné skenování hlaviček by jich většinu rovnou vyřadilo. Podle popisu funkce IPbrute se snaží z mnoha míst přihlásit na stejný účet. Tedy ban proxy je triviální. Ale pokud bychom chtěli být ještě lepší, pak bych navrhoval implementovat toto: Při úspěšném přihlášení člověka by tento dostal od serveru jakýsi „cookie“, symbol úspěšného přihlášení, od serveru. Při budoucích přihlášeních by server poslal sůl, tu by měl klient zhashovat s cookie a poslat zpět. Pokud by uspěl, dostal by po nějaké době nové cookie a především by měl pro přihlášení mírnější DoS pravidla. Útočník bez správného cookie by byl případně odstřižen, ale legální uživatel by měl samozřejmě životností cookie tu hodinu hravě překlenout. To by prakticky odstranilo možnosti DoS i při velmi striktní politice.

No chtel jsem si nechat poslat zapomenute heslo z jabber.org a vygooglil toto:
http://status.jabber.org/password.shtml

ehm, tak jsem se na to vykaslal a sel se registrovat jinam. Tj. dopadli jsme stejne :)

za 1) mohl jste se registrovat na českém serveru, nebo slovenském, nebo jiném mezinárodním (máte tu volbu).
za 2) co jste na tom nepochopil? Vyplňte předmět, napiště svůj jabber id, pár jabber id z vašeho cnotact listu (důkaz že nekecáte) a konečně datum kdy jste se naposledy přihlásil a jak je v závorce uvedeno, je to proto, že po roce mažou automaticky účet.

a za 3) si nezvladnete pamatovat hesla?

Myslím, že tím chtěl autor říci, že takto "chráněný" účet je "relativně snadno" hacknutý metodou sociálního inženýrství. Útočník by tu oběť nejspíš musel aspoň trochu znát a nešlo by to dělat tak jednoduše a tak masově jako slovníkové útoky na ICQ účty, ale možnost to je. Jak moc je teoretická, to si holt musí vyhodnotit každý sám dle míry vlastní paranoiy ;-)

Občas se bavím při představě, jak za pár let dostaneme Alzheimera, a budeme se mlátit do hlavy za to, že jsme v mládí byli příliš paranoidní ;-) Možná by to mohl být námět na sobotní komix ;-)

Errata: hacknutý -> hacknutelný

hacknutelný -> cracknutelný

1] jo. zapomenete heslo, menite identitu. Jak elegantni - asi jako na tom icq, kde to bylo v puvodnim komentari drbane :)

2] no ehm.. chapu to dobre tak, ze kdyz se chci dostat heslo kterehokoliv kolegy z prace, tak staci se tvarit jako on a do tech "par jabber id z vaseho contact listu" vyplnit sebe a par dalsich kolegu, ktere tam na 100% ma? A co kdyz to neni kolega, ale clovek ze skoly?

3] ne. Na jabber.org jsem se registroval nekdy asi pred dvema lety, hral si s tim tyden a pak toho nechal. Prisel jsem k tomu dnes a heslo nevyplodil. Vy si pamatujete heslo na sluzbu, kterou jste pred dvema lety na tyden pouzival? Smekam :)

Uprimne - ja si ani nepamatuji hesla, ktera denne pouzivam. Kdyz se dostanu k jinemu rozlozeni klaves, nez na jake jsem zvykly, tak psani hesla se pro me stava utrpenim - takto jsem v Irsku napriklad zjistil, ze v jednom hesle mam uvozovky - maji je totiz prohozene za zavinac :)

1) tím jsem chtěl říci, že jste se mohl registrovat u českého serveru místo nadnárodního
2) Špatně jsem vás pochopil, omluva
3) "The approximate date when you last logged in to this account (note: we delete accounts after 12 months of inactivity!)" <-- citace z vámi odkazovaného dokumentu
"Na jabber.org jsem se registroval nekdy asi pred dvema lety, hral si s tim tyden a pak toho nechal. Prisel jsem k tomu dnes a heslo nevyplodil." <-- vaše citace

k bodu 3: LOL!

K bodu 2 - český jabber.cz chce váš e-mail, který ovšem jde taky podvrhnout.

A co kdyz to neni kolega, ale clovek ze skoly? <nostalgie>- tak to je smutný příběh, za mých studentských let bylo na spolužáky většinou spolehnutí. Pravda je, hackovat se v té době mohly tak maximálně papírový psaníčka připíchnutý na nástěnce ve vestibulu. Ale já osobně jsem tenkrát žádný hack nezaznamenal ;-) </nostalgie>

"Prisel jsem k tomu dnes a heslo nevyplodil. Vy si pamatujete heslo na sluzbu, kterou jste pred dvema lety na tyden pouzival?"

Vetsinou ano, ale byl jsem nucen rychle vyresit situaci zapomenuteho heslo jednoho znameho.

Pokud mate ono heslo ulozene v prislusnem komunikacnim programu, lze si jej behem autentizace spojeni (log in) odchytit nejakym packet snifferem, napr. Etherealem (vice na http://en.wikipedia.org/wiki/Packet_sniffer). Nutnou podminkou samozrejme je, ze svuj login posilate nezasifrovanym kanalem (coz z prave popsane reality neni dobre pro beznou praxi). No a taky tomu musite trochu rozumet a nebo si na to nekoho zjednat. :)

Lol, u jabberu to nesniffneš, pokud to máš rozumně nastavený (obvykle default).

Pokud má klient uložené heslo, proč si ho prostě nepřečíst? (pokud je uložené nějak skrytě, tak je někde na netu napsaný, jak to odkrýt).

Jo jasně je to pohodička, stáhni si jakéhokoliv Jabber klienta zadej svoje jmeno@gmail.com a heslo a změň stav na připojit. Je to Jabber protokol a propojenej s ostatními jabber servry, normálně píšu lidem na gmail.com z njs.netlab.cz - většinou se dost divěj.