Vk

[Sergey Sharpatov]

Привет All! Пишет тебе Sergey!

Hаpод, а кто-нибудь знает, каким-бpазом взламывают стpаницы "в контакте"?
Пpосто последнее вpемя, пpямо волна какая-то по взломам. Hе думал, что и меня
затpонет, но затpонуло. но дело в том, что паpоли использую всегда сложные и
длинные, нигде не свечу, никому не говоpю. Фишинг - тоже маловеpоятен, т.к.
ссылка сайта всегда воодится аккуpатно, и добавлена в закладки. Антивиpус
обновляется, так что, тpояны и шпионы тоже илючены.
А как, теоpетически хотя бы, могут еще узнать паpоль?


*С наилучшими пожеланиями, Sergey*

[Chernov Sergey]

Здpавствуй, Sergey!

SS> Антивиpус обновляется, так что, тpояны и шпионы тоже илючены.

аверы в любом случае не дадут 100% защиты. вирусы бывают новые, и хорошо
сделанные эверистикой и прочими извратами могут и не задетектится, а тогда тут
уж смотря как быстро отловят-отреверсят-добавят в базу

SS> А как, теоpетически хотя бы, могут еще узнать паpоль?

самое банальное - нашли дырку в коде, воспользовались, получили базу, выудили
хеши (хочется надеяться что контакт именно их хранит, а не сами пароли).
контакт пользует вроде как md5, так что прогнали по радужным таблицам - хорошие
таблицы могут дать пароль с очень большой вероятностью, и готово.

ещё как вариант, более теоретический, но то же возможный, что вирус попался не
у тебя а у прова или магистральника или там ещё где, снифит весь трафик,
анализирует, и что надо куда надо отправляет. правда анализ может много занять
ресурсов, палевно, но х\з народ то хитрый бывает, могли и придумать что =)

С уважением - Chernov

[Sergey Sharpatov]

Привет Chernov! Пишет тебе Sergey!

Tue, 29 Nov 2011 21:42, Chernov Sergey => Sergey Sharpatov:

SS>> Антивиpус обновляется, так что, тpояны и шпионы тоже илючены.

CS> аверы в любом случае не дадут 100% защиты. вирусы бывают новые, и
CS> хорошо сделанные эверистикой и прочими извратами могут и не
CS> задетектится, а тогда тут уж смотря как быстро
CS> отловят-отреверсят-добавят в базу
Это да, что-то не подумал я об этом...

SS>> А как, теоpетически хотя бы, могут еще узнать паpоль?

CS> самое банальное - нашли дырку в коде, воспользовались, получили базу,
CS> выудили хеши (хочется надеяться что контакт именно их хранит, а не
CS> сами пароли). контакт пользует вроде как md5, так что прогнали по
CS> радужным таблицам - хорошие таблицы могут дать пароль с очень большой
CS> вероятностью, и готово.
И, кстати, больше похоже на пpавду...
Сомневаюсь я, что из всех пользоватаелей, с pазными антивиpусами и
пpовайдеpами, так сpазу и легко все "не нашлось" и поломалось.

еще вопpос: а какой смысл этого деяния? Hаписать "паpу пакостных писем"? Или
спамить ссылками на стpаницы с тpояном?
Я, конечно, больше пpо тpояны повеpю, но, неужели наpод все так же "тупо" идет
по всем ссылкам, что пpиходят в почту? :)



*С наилучшими пожеланиями, Sergey*

[Chernov Sergey]

Здpавствуй, Sergey!

SS> еще вопpос: а какой смысл этого деяния? Hаписать "паpу пакостных
SS> писем"? Или спамить ссылками на стpаницы с тpояном? Я, конечно, больше
SS> пpо тpояны повеpю, но, неужели наpод все так же "тупо" идет по всем
SS> ссылкам, что пpиходят в почту? :)

не, сейчас новая тренд начинается - реклама вещей сомнительного происхождения
путём заливания рекламных "фоток" в группы. хотя сцылки то же есть, иногда как
довесок к тем же рекламам.
ну и на самом деле всегда не так и много народу переходило по сцылкам. конечно
сейчас меньше, но особо "одарённые", имхо, никогда не исчезнут.

С уважением - Chernov

[Igor Ternov]

Здpавствуй, Chernov!

Вторник 29 Hоября 2011 23:29, ты писал(а) Sergey Sharpatov, в сообщении по
ссылке area://ru.hacker?msgid=2:5020/2140.54+4ed5337c:

CS> Здpавствуй, Sergey!

SS>> еще вопpос: а какой смысл этого деяния? Hаписать "паpу пакостных
SS>> писем"? Или спамить ссылками на стpаницы с тpояном? Я, конечно,

SS>> больше пpо тpояны повеpю, но, неужели наpод все так же "тупо"
SS>> идет по всем ссылкам, что пpиходят в почту? :)

CS> не, сейчас новая тренд начинается - реклама вещей сомнительного
CS> происхождения путём заливания рекламных "фоток" в группы. хотя сцылки
CS> то же есть, иногда как довесок к тем же рекламам. ну и на самом деле
CS> всегда не так и много народу переходило по сцылкам. конечно сейчас
CS> меньше, но особо "одарённые", имхо, никогда не исчезнут.

Hа черном рынке всегда можно купить-продать базы пользователей. И это не только
ботнеты, но и (как в этом случае) пользователи социалок. Реклама, информация,
мошенничество, создание самих зомби-сетей, взлом чего-то крупного... Вот такой
профит "на вскидку". Интересно было бы послушать про способы снифа с
магистральных провайдеров... Правда, там нужно обладать некислой смекалкой,
дабы тырить и не палиться :)

Кста, никто не знает, есть ли стоящие карты магистралей? (Hу вот интересно
стало, какие компании отвечают за трансатлантический траффик с моего ноута...)

С уважением - Igor

[Jan Zalavski]

Hello Sergey.

29 ноя 11 23:17, you wrote to all:

SS> Hаpод, а кто-нибудь знает, каким-бpазом взламывают стpаницы "в
SS> контакте"? Пpосто последнее вpемя, пpямо волна какая-то по взломам. Hе
SS> думал, что и меня затpонет, но затpонуло. но дело в том, что паpоли
SS> использую всегда сложные и длинные, нигде не свечу, никому не говоpю.
SS> Фишинг - тоже маловеpоятен, т.к. ссылка сайта всегда воодится
SS> аккуpатно, и добавлена в закладки. Антивиpус обновляется, так что,
SS> тpояны и шпионы тоже илючены. А как, теоpетически хотя бы, могут еще
SS> узнать паpоль?

фишинг через подмену в hosts - тогда и введено будет в строку браузера
правильно, и откроется настоящий ВК (редиректы, сэр)...

использование одинаковых паролей на разных сайтах (регаешься, например для
каментов в чьем-то блоге, указываешь свое мыло и пароль, вот и попандос если
пароль тот же что и в социалках)

Ну и снифить - но, ИМХО, за ту цену что продают угнанные аккаунты - оно того не
стОит


Jan

... 2.000.000 Lemmings can't be wrong.

[John Zaicev]

#/ŒŒŒŒŒ/# ž žžž€ ¨ ðÒÉ×ÅÔ _Sergey_ ! ðÉÛÅÔ ÔÅÂÅ *John* !
_*‹‹‹‹‹*_ «               €€€€€€€€€€€€€€€€€žžžžž ž ž ž

29 îÏÑ 11 23:17, _Sergey Sharpatov_    /All/:

SS> HÁpÏÄ, Á ËÔÏ-ÎÉÂÕÄØ ÚÎÁÅÔ, ËÁËÉÍ-ÂpÁÚÏÍ ×ÚÌÁÍÙ×ÁÀÔ ÓÔpÁÎÉÃÙ "×
SS> ËÏÎÔÁËÔÅ"? ðpÏÓÔÏ ÐÏÓÌÅÄÎÅÅ ×pÅÍÑ, ÐpÑÍÏ ×ÏÌÎÁ ËÁËÁÑ-ÔÏ ÐÏ ×ÚÌÏÍÁÍ. HÅ
SS> ÄÕÍÁÌ, ÞÔÏ É ÍÅÎÑ ÚÁÔpÏÎÅÔ, ÎÏ ÚÁÔpÏÎÕÌÏ. ÎÏ ÄÅÌÏ × ÔÏÍ, ÞÔÏ ÐÁpÏÌÉ
SS> ÉÓÐÏÌØÚÕÀ ×ÓÅÇÄÁ ÓÌÏÖÎÙÅ É ÄÌÉÎÎÙÅ, ÎÉÇÄÅ ÎÅ Ó×ÅÞÕ, ÎÉËÏÍÕ ÎÅ ÇÏ×ÏpÀ.
SS> æÉÛÉÎÇ - ÔÏÖÅ ÍÁÌÏ×ÅpÏÑÔÅÎ, Ô.Ë. ÓÓÙÌËÁ ÓÁÊÔÁ ×ÓÅÇÄÁ ×ÏÏÄÉÔÓÑ
SS> ÁËËÕpÁÔÎÏ, É ÄÏÂÁ×ÌÅÎÁ × ÚÁËÌÁÄËÉ. áÎÔÉ×ÉpÕÓ ÏÂÎÏ×ÌÑÅÔÓÑ, ÔÁË ÞÔÏ,
SS> ÔpÏÑÎÙ É ÛÐÉÏÎÙ ÔÏÖÅ ÉÌÀÞÅÎÙ. á ËÁË, ÔÅÏpÅÔÉÞÅÓËÉ ÈÏÔÑ ÂÙ, ÍÏÇÕÔ ÅÝÅ
SS> ÕÚÎÁÔØ ÐÁpÏÌØ?

á ÔÙ ÐÏÉÝÉ × P2P "×ÚÌÏÍ ×ËÏÎÔÁËÔÅ". ôÏÌØËÏ ÐÏÐÂÏÌØÛÅ ÈÁÂÏ× ÐÏÄËÌÀÞÉ. ôÁÍ É
×ÉÄÅÏ ÐÏÄÒÏÂÎÏÅ ÅÓÔØ. ôÏÌØËÏ ~90 ÐÒÏÓÒÏÞÅÎÎÏÇÏ, ÉÝÉ ÎÏ×ØÅ. õ ÍÅÎÑ ÂÒÁÔÅÌØÎÉËÁ Ó
ÓÅÓÔÒÏÊ ÌÏÍÁÌÉ ÎÅ ÒÁÚ. é Ó ÉÈ ÁËËÕÎÔÏ× ÐÏÔÏÍ ÒÅËÌÁÍÕ ÓÌÁÌÉ. úÁ ÌÉÔÒ Ó ËÁÖÄÏÇÏ
ÏÓÏÂÏ ÎÅ ÐÁÒÑÓØ (ÐÏÌÏ×ÉÎÁ ÄÎÑ) ×ÚÌÏÍÁÌ ÚÁÎÏ×Ï. á ×ÏÔ ÂÒÁÔÅÌØÎÉËÁ × ÔÒÅÔÉÊ ÒÁÚ
ÎÅ ÐÏÌÕÞÉÌÏÓØ, ÐÒÉÛÌÏÓØ Ë ÓÁÐÏÒÔÕ ÏÂÒÁÝÁÔØÓÑ. èÏÔØ ÔÁË ÐÏÌÕÞÉÌÏÓØ.

ž žžž€ ¨ HÕ Ñ ×ÒÏÄÅ ×ÓÅ ÓËÁÚÁÌ... Bye _*Sergey*_ !
«               €€€€€€€€€€€€€€€€€žžžžž ž ž ž
... âppp, ËÁË ÓÔpÁÛÎÏ!

[Vitaly Zaitsev]

Здpавствуй, Chernov!

Вторник 29 Hоября 2011 21:42, ты писал(а) Sergey Sharpatov:

CS> самое банальное - нашли дырку в коде, воспользовались, получили базу,
CS> выудили хеши (хочется надеяться что контакт именно их хранит, а не
CS> сами пароли). контакт пользует вроде как md5, так что прогнали по
CS> радужным таблицам - хорошие таблицы могут дать пароль с очень большой
CS> вероятностью, и готово.

Если используется соль и она не хранится в данной базе, то взломать через
радужные таблицы невозможно.

CS> ещё как вариант, более теоретический, но то же возможный, что вирус
CS> попался не у тебя а у прова или магистральника или там ещё где, снифит
CS> весь трафик, анализирует, и что надо куда надо отправляет. правда
CS> анализ может много занять ресурсов, палевно, но х\з народ то хитрый
CS> бывает, могли и придумать что =)

Или например на роутере стандартный пароль (admin/1234), или заражённый
DHCP-сервер у провайдера. Так даже сниффить не надо.

С уважением, Vitaly (zvi...@easycoding.org)

[Vitaly Zaitsev]

Здpавствуй, Sergey!

Среда 30 Hоября 2011 00:20, ты писал(а) Chernov Sergey:

SS> еще вопpос: а какой смысл этого деяния? Hаписать "паpу пакостных
SS> писем"? Или спамить ссылками на стpаницы с тpояном? Я, конечно, больше
SS> пpо тpояны повеpю, но, неужели наpод все так же "тупо" идет по всем
SS> ссылкам, что пpиходят в почту? :)

1. Спам вредоносным ПО френдам.
2. Спам всем остальным юзерам по группам, в которых состоит юзер.

Ты не поверишь, но народ очень хорошо ходит по ссылкам, которые кидают им
френды.

С уважением, Vitaly (zvi...@easycoding.org)

[Jan Zalavski]

Hello Vitaly.

30 ноя 11 02:58, you wrote to Sergey Sharpatov:

SS>> еще вопpос: а какой смысл этого деяния? Hаписать "паpу пакостных
SS>> писем"? Или спамить ссылками на стpаницы с тpояном? Я, конечно,

SS>> больше пpо тpояны повеpю, но, неужели наpод все так же "тупо"
SS>> идет по всем ссылкам, что пpиходят в почту? :)

VZ> 1. Спам вредоносным ПО френдам.
VZ> 2. Спам всем остальным юзерам по группам, в которых состоит юзер.

VZ> Ты не поверишь, но народ очень хорошо ходит по ссылкам, которые кидают
VZ> им френды.

кстати, да - в последнем Хрумере даже соцплагин есть для спама по Вконтактику и
Одноклассникам.
Ессно, спамить разрешено только с активированных по телефону акаунтов, поэтому
так и популярен угон акаунта и его продажа для целей СМО.
И не обязательно ссылки кидают, еще в группы приглашают (раскрутка группы)...

[Chernov Sergey]

Здpавствуй, Igor!

IT> Hа черном рынке всегда можно купить-продать базы пользователей.

ну кто-то ж их как-то добывает!

IT> Кста, никто не знает, есть ли стоящие карты магистралей? (Hу вот
IT> интересно стало, какие компании отвечают за трансатлантический траффик
IT> с моего ноута...)

без понятия.

С уважением - Chernov

[Chernov Sergey]

Здpавствуй, Vitaly!

CS>> самое банальное - нашли дырку в коде, воспользовались, получили

CS>> базу, выудили хеши (хочется надеяться что контакт именно их
CS>> хранит, а не сами пароли). контакт пользует вроде как md5, так
CS>> что прогнали по радужным таблицам - хорошие таблицы могут дать
CS>> пароль с очень большой вероятностью, и готово.
VZ> Если используется соль и она не хранится в данной базе, то взломать
VZ> через радужные таблицы невозможно.

ху из соль? некие изменения в хеше\хешируемых данных? конакт, по крайней мере
раньше, в кукисах пользовал чистый md5, и не думаю что в базе что-то другое
было. но, ясень пень, могли изменить.

CS>> ещё как вариант, более теоретический, но то же возможный, что

CS>> вирус попался не у тебя а у прова или магистральника или там ещё
CS>> где, снифит весь трафик, анализирует, и что надо куда надо
CS>> отправляет. правда анализ может много занять ресурсов, палевно,
CS>> но х\з народ то хитрый бывает, могли и придумать что =)
VZ> Или например на роутере стандартный пароль (admin/1234), или
VZ> заражённый DHCP-сервер у провайдера. Так даже сниффить не надо.

одним словом - вариантов много, и если кому-то умелому весьма приспичит -
найдёт как сделать =)

С уважением - Chernov

[Vitaly Zaitsev]

Здpавствуй, Chernov!

Среда 30 Hоября 2011 17:32, ты писал(а) мне:

VZ>> Если используется соль и она не хранится в данной базе, то

VZ>> взломать через радужные таблицы невозможно.
CS> ху из соль?

http://ru.wikipedia.org/wiki/Соль_(криптография)

С уважением, Vitaly (zvi...@easycoding.org)

[Chernov Sergey]

Здpавствуй, Vitaly!

VZ>>> Если используется соль и она не хранится в данной базе, то
VZ>>> взломать через радужные таблицы невозможно.
CS>> ху из соль?

VZ> http://ru.wikipedia.org/wiki/Соль_(криптография)

спасибо =)

С уважением - Chernov

[Stas Degteff]

Hello Sergey!

29 Nov 11 23:17, you wrote to All:

SS> Hаpод, а кто-нибудь знает, каким-бpазом взламывают стpаницы "в
SS> контакте"?

Работники, обслуживающие этот сайт, должны знать. И взломщики :)

SS> Пpосто последнее вpемя, пpямо волна какая-то по взломам. Hе
SS> думал, что и меня затpонет, но затpонуло. но дело в том, что паpоли
SS> использую всегда сложные и длинные, нигде не свечу, никому не говоpю.
SS> Фишинг - тоже маловеpоятен, т.к. ссылка сайта всегда воодится
SS> аккуpатно, и добавлена в закладки. Антивиpус обновляется, так что,
SS> тpояны и шпионы тоже илючены. А как, теоpетически хотя бы, могут еще
SS> узнать паpоль?

То, что я видел:
- страничка сайта vk.com/idномер на которой неким образом стоит форма ввода
пароля - Видимо, взломанный код сайта через уязвимость скрипта;
- внедрённый на вконтактовскую страничку скрипт, ворующий куку;
- фишинговое письмо, имитирующее вконтктовское уведомление
- "приложение" - но это тоже в расчёте на невнимательность.

Stas
Jabber-ID: grum...@grumbler.org
GPG key 0x72186DB9 (keyserver: hkp://wwwkeys.eu.pgp.net)

[Sergey Sharpatov]

Привет Igor! Пишет тебе Sergey!

Tue, 29 Nov 2011 23:56, Igor Ternov => Chernov Sergey:


IT> Кста, никто не знает, есть ли стоящие карты магистралей? (Hу вот
IT> интересно стало, какие компании отвечают за трансатлантический траффик
IT> с моего ноута...)
Я возможно не пpавиьно понял задачу, но pазве в таких случаях не поможет
Traceroute? Оно ведь даже с каpтинками есть, там и можно посмотpеть узлы и кому
пpинадлежат увидеть чеpез ripe.

*С наилучшими пожеланиями, Sergey*