Пятница, 22 Октября 21, 09:05
Главные
Новости

Мой профиль
Регистрация
Выход
Вход
Информационный портал Teatral
Главные новости Вы вошли как Гость | Группа "Гости"Приветствую Вас Гость | RSS
На нашем Teatrale
  • Суфлёрская будка
    Подписка RSS

    + Teatral'ные новости

    Новости, словно пазл, собранные из разных мест, но объединенные одним - огромным интересом публики.

    добавить на Яндекс
    Мудрость
    Тэги
    гоголь Битлз Толстой Бутусов Воскресение Christie’s «Сумерки» «Затмение» «Вымпелком» «Мегафон» Павел Лунгин «Черепашки-ниндзя» «Миллионер из трущоб» Franz Ferdinand Арво Пярт Пикассо МХТ имени Чехова «Винзавод» «КомМиссия-2009» Linkin Park «Трансформеры: Месть падших» «Ростроповичиада» «Йон Рабе» «Амазонки авангарда» Rustavi 2 тв кино «Домохозяйка из Беверли-Хиллз» антипиратский закон «Юленька» «Новолуние» twitter «Imagine» сыграют на церковных коло Питер Гэбриел (Peter Gabriel) playboy «Энтропа» «Звездный путь» «Тарас Бульба» Queen распались «Московский нью-вейв 80-х» Depeche Mode Киркоров «Над пропастью во ржи» Classical Brit Award Сьюзан Бойл Майкл Джексон Дельфийские игры В ЦДХ открывается «Европейская маст Maroon 5 Мураками «1Q84» google «2х2» Sotheby’s Медведев Мариинка-2 Абрамович Пина Бауш Армия США разрушила Вавилон Jay-Z Мел Гибсон «демократизации эфира» «американская легенда» The Guardian Айко Кано Гроб Майкла Джексона — пуст Abbey Road Александр Рыбак Матвиенко Великий Новгород Джо Джексон Пенелопа Крус я люблю тебя «The Телки» Минаева Алисия Алонсо Балет Ковент-Гарден Большой театр Саша Барон Коэн Борат Бруно «Хрустальный глобус» Ангел у моря Hennessy отпраздновал 100-летие сво Доктор Хаус Андрей Краско Dj Dlee Бритни Спирс в Копенгагене Жанна Фриске Филипп Киркоров Валерий Леонтьев В сети появится Variety с 1910 года украина Вагнер «Валькирия» «Гарри Поттер и Принц-полукровка» «Путешествия гея по мусульманскому Натали Портман Эрмитаж Стивен Кинг «Мобильник» Энди Уорхол Forbes Woman гарри поттер Дебби Роу Элизабет Тейлор Дэниел Рэдклифф Гарри Поттер и принц полукровка моби «Гордость и предубеждение и зомби» «Сумерки» (Twilight) Стивен Спилберг Forbes Джордж Лукас «Приключения Шерлока Холмса и докто «Гарри Поттер и принц-полукровка» ( «Гамбургская декларация о правах на Эмма Уотсон Новости Вавилон The Prodigy Бритни Спирс RADIOHEAD Никита Михалков BEASTIE BOYS Вим Вендерс первый канал Линдсей Лохан Мадонна Skype Windows 7 Beatles ЮНЕСКО Василий Шукшин Алла Пугачева U2 RAMONES Pirate Bay microsoft Bing yahoo Михалков Папа Римский Ридли Скотт Black Eyed Peas internet explorer Mozilla firefox википедия Катрин Денев Facebook LiveJournal жж Neverland граффити Самара Волга Брэд Питт дэн браун NASA NASA TV Lady Gaga Бейонс Oasis Бивис и Баттхед Sony Бейонсе Бейонс Ноулз Жерар Депардье Guitar Hero Сильвестр Сталлоне Apple джоан роулинг Bloomberg South Park Google Chrome iPhone iPhone 3G S Alice In Chains Disney Человек-паук Marvel Genesis Blur Intel Путин nVidia Роман Полански youtube a-ha T.I. The Pirate Bay MP3-плееры авторское право Ветхий завет Деннис Хоппер rammstein Rammstein - Reise Rammstein - Концерт в Берлине онлай Rammstein - Концерт в Питере онлайн Терри Гиллиам Nokia iTunes аниме Николас Кейдж Знаменитости бак Hugo BOSS копирайт Ангела Меркель евровидение YouTube КРИ 2009 видео Windows 7 Build 7068 берлинская стена Android Анджелина Джоли Вуди Аллен Muse - Knights of Cydonia Роберт Паттинсон STONE TEMPLE PILOTS Айзек Азимов FOO FIGHTERS Pussycat Dolls Яндекс дима билан Мартин Скорсезе Эминем MTV MTVN HD Gorillaz feat. De La Soul - Feel Go СТС Classic rock iPhone 3GS Анжелина Джоли Барак Обама Гарри Поттер и Дары смерти Firefox 3.5 firefox Firefox 3 Firefox 3.5 Rus Final QUEEN Queen - We Will Rock You (DJ ZAM Re Queen of Thorns SEX PISTOLS Call of Duty: Modern Warfare 2 Григорий Лепс Кэмерон Диаз UCOZ гай ричи michael jackson Snoop Dogg голливуд ICQ Aerosmith MANOWAR аватар Аватар 2009 LOST Deep Purple The Killers Гаити Дэнни Бойл Polaroid Green Day Iron Maiden Killers Алсу Ксения Собчак Тим Бертон гей Сергей Лазарев валерия Lady Gaga - Poker Face (Dave Aude R Nickelback Греция BONEY M Europe Modern Talking Виктория Дайнеко Tokio Hotel Дэвид Линч Noize MC Hollywood Hollywood Palms Kiss Scorpions 50 cent Рианна Eminem Disney GIF rapidshare rapidshare comedy club метро Metallica Анастасия Приходько Спектакль Билан Mail.ru аквариум Боно Алексей Учитель Актер Paramore
    Главная » 2009 » Август » 8 » "ВКонтакте" с фишерами и без
    23:03
    "ВКонтакте" с фишерами и без

    В прошлый четверг все русскоязычные интернеты облетела ужасная новость: украдены логины и пароли ста сорока тысяч пользователей "ВКонтакте". Не потрудившись проверить факты, об этом сообщила целая куча онлайновых изданий, не говоря уже о сотнях никому не известных блоггеров.

    К сожалению, в таком виде сообщение очень и очень далеко от истины. Начать хотя бы с того, что фишеры годами воруют логины-пароли от "ВКонтакта", и не только от него, и в самом этом факте нет ничего удивительного или неожиданного. Ничего необычного нет и в том, что злоумышленники при помощи троянской программы переадресовывали пользователей на подложный сайт и пытались выманить у них деньги, предлагая отправить SMS с текстом "Ya ne loh" на короткий номер 6008.

    Ужас, но не ужас-ужас

    На самом же деле главная новость состояла в другом: на сей раз хакеры записали все украденные логины-пароли в простой текстовый файл, доступный по прямой ссылке любому желающему, а сама эта ссылка по какой-то причине пошла в народ. То есть речь идёт о серьёзной утечке пользовательских данных.

    Впрочем, не настолько серьёзной, как об этом везде кричат.

    145 тысяч — таково было общее число пар логин-пароль по состоянию на вечер 30 июля. За вычетом пустых и откровенно некорректных выражений остается всего 125 тысяч. Общее же число пользователей с уникальными логинами, чьи данные были заботливо сохранены и расшарены, составило чуть более 40 тысяч (то есть порядка 0,1% от числа пользователей сервиса).

    При этом администрация "ВКонтакте" достаточно оперативно сбросила засвеченные пароли и выслала каждому пострадавшему временный пароль, так что нашумевшая утечка вряд ли кому-то сильно навредила.

    Святая простота

    Нам же эта утечка, напротив, очень даже помогла. Мы давно хотели собственными глазами посмотреть, как выглядят типичные пароли типичных пользователей типичной социальной сети. Что ж, наше любопытство было вполне удовлетворено. Скажем сразу, мы и не подозревали, что умственные способности столь существенного числа людей переживают мрачный период угасания.

    Первым признаком этого самого угасания можно считать дикое число попыток залогиниться на подложном сайте. Казалось бы, на каждом углу предупреждают: если "ВКонтакте" просит у тебя денег за вход — это не "ВКонтакте", это "Жадноклассники". Однако целые толпы людей, увидев предложение об отправке SMS, возвращались и пытались ввести логин и пароль заново.

    В среднем каждый пострадавший вконтактёр пытался залогиниться на сайте 3 раза. Однако не обольщайтесь: беспросветно наивных граждан на самом деле куда больше, чем вы думаете. Так, более 10 раз пытались вломиться на поддельный сайт почти 1300 человек. А один особо одарённый товарищ настолько сильно страдал без своих однокурсниц, одноклассниц и порноспама, что ввёл логин и пароль аж 55 раз кряду — и, вы не поверите, абсолютно безрезультатно!

    Вторым и главным признаком угасания вышеозначенных способностей можно считать количество ненадёжных паролей. 1344 человека (или 3,36 процента от 40 тысяч уникальных пользователей) защищают свои персональные данные не только простыми, но и распространёнными паролями (к распространённым мы отнесли те, что встречаются более 10 раз).

    Вот двадцатка наиболее популярных из них:

    Пароль Кол-во Процент
    123456 134 0,34%
    123456789 85 0,21%
    qwerty 85 0,21%
    111111 51 0,13%
    1234567890 41 0,10%
    7777777 39 0,10%
    123321 34 0,09%
    666666 33 0,08%
    1234567 31 0,08%
    123123 29 0,07%
    12345678 26 0,07%
    qwertyuiop 26 0,07%
    qazwsxedc 25 0,06%
    000000 23 0,06%
    любовь 23 0,06%
    555555 22 0,06%
    zxcvbnm 22 0,06%
    654321 19 0,05%
    gfhjkm 19 0,05%
    1q2w3e4r 18 0,05%


    Примечание 1: Если вдруг кто не догадался, "gfhjkm" — это слово "пароль", набранное в латинской раскладке клавиатуры. Многие считают такой приём очень хитрым.

    Примечание 2: Бдительная администрация ресурса с некоторых пор запретила изменять пароли на чисто цифровые, однако создавать новые аккаунты с такими паролями по-прежнему допускается.

    Несколько слов о главной болезни интернетозависимых - копипейстинге. Напомним, что в рассматриваемой нами социальной сети в качестве логинов используются электронные адреса. Так вот, у 343 пользователей (0,86%) пароль идентичен логину на почтовом сервисе (т.е. части почтового адреса до "собаки"), а ещё у 67 человек (0,17%) пароль полностью соответствует логину (т.е. всему адресу, включая "собаку" и то, что за ней следует).

    Кто был тот умный мужик, который сказал, что святая простота хуже воровства?

    Где у него кнопка?

    Об одном из популярных паролей, не вошедших в ТОП-20, хотелось бы сказать особо.

    На странице настроек, в разделе смены пользовательского пароля, администрация разместила следующую нехитрую инструкцию:

    Убедитесь, что не включена кнопка CAPS-Lock
    Пароль должен быть не менее 6 символов в длину
    Ещё лучше — использовать и буквы, и цифры
    'kNOpKA' и 'knopka' — разные пароли

    Как и следовало ожидать, 16 человек из 40 тысяч (0,04%) выбрали в качестве пароля слово, приведённое в последней строчке. Из них 12 использовали вариант "knopka", 2 — "кнопка" и 1 — "KNOPKA". Ещё одна продвинутая девушка завела себе пароль "ryjgrf", то есть "кнопка" в латинской раскладке.

    Казалось бы, 0,04% — ничтожная цифра. Однако в масштабах всего сервиса это уже не 16, а 15600 аккаунтов. И этот ключ заботливо вложила в руки злоумышленникам сама администрация!

    Позвони мне, позвони!

    Семь с лишним тысяч паролей в рассматриваемой базе — это полностью цифровые последовательности (считающиеся несекьюрными), из которых никак не меньше тысячи (то есть более 2,5%) в той или иной степени напоминают номера телефонов. Стоит отметить, что мы обращали внимание только на семизначные и десятизначные номера, так что эта цифра может быть сильно занижена. Добавьте к ним 237 11-значных паролей, начинающихся на "80" (здоровенькі були, шановнi українські друзі!) и еще десяток телефонопаролей, начинающихся с "+". Если учесть, что вконтактёры с большой охотой публикуют на личных страницах номера телефонов, да и телефонные базы купить не так уж и сложно, считать такие пароли надёжными никак нельзя.

    Неплохо? А ведь это мы пока ещё не сказали ни слова о любви.

    Любовь откроет все засовы

    "Любовь" в том или ином виде присутствует в 332 паролях (0,83%). Сюда вошли также слова "люблю", "любимый", "любимая" и их сочетания с именем собственным. Если цифра в 0,83% вас не впечатляет, приплюсуйте сюда не поддающееся учёту количество паролей с именами (в частности, никнеймами, фамилиями и инициалами) любимой девушки, любимого юноши, а также любимого себя.

    Среди паролей с именами встречаются такие криптостойкие как "люблюсережу", "ФамилияИмя" и даже "пусенька" (при электронном адресе, начинающемся с "pusya"). Напомним, что имя любимой или любимого, не говоря уже об имени самого человека, можно без труда взять из анкетных данных непосредственно на сайте.

    К сожаленью, день рожденья...

    Ещё один тип массово используемых небезопасных паролей — это даты. Действительно, намного труднее забыть пароль, если он совпадает с чьей-нибудь датой рождения. В исследуемой базе мы насчитали по крайней мере 1200 паролей (3 процента от общего числа) в форматах типа ЧЧММГГГГ и ГГГГММЧЧ.

    Информация же о дате рождения пользователя или его ближайшего окружения зачастую открыта для ознакомления. Более того, сервис за несколько дней предупреждает друзей пользователя о грядущем взломе приближении праздника. Если дата рождения будет всё-таки скрыта, её можно попытаться найти в тех же телефонных базах.

    Справедливости ради заметим, что с датой или годом рождения вполне можно создавать и довольно сильные пароли. Достаточно добавить несколько букв до, после или между цифрами. По нашим оценкам, порядка 0,5 процента пользователей так и поступает, хотя некоторые из них портят всё дело, дописывая вместо случайных букв своё имя.

    Подсчитали — прослезились

    Итого имеем:

    Распространённые пароли 1344 3,36%
    Предполагаемые номера телефонов ~1300 ~3,25%
    "Любовь" (за вычетом вошедшего в п.1) 309 0,77%
    Совпадение с электронным адресом
    (до "собаки" или полностью)
    410 1,02%
    Даты рождения (только XX век) ~1200 ~3%


    Таким образом, в общей сложности мы имеем до 11,4 процента паролей, взломать которые сможет любой желающий, при условии что он знает электронный адрес пользователя, имеет доступ к его анкетным данным и готов потратить пять минут своего драгоценного времени.

    Добавьте к этому пароли, совпадающие с именами собственными (подсчитывать которые нам было лень, но речь идёт процентах о десяти, не меньше) и цифровые пароли, оперативно взламываемые элементарным брутфорсом (их доля, за вычетом номеров телефонов и дат, составляет где-то 11 процентов) — и вы получите удручающую картину.

    Ситуация усугубляется тем, что правила сервиса требуют от пользователя выкладывать о себе всю подноготную. Наличие такой массы личных сведений в открытом доступе — просто праздник для потенциального взломщика.

    Дисклеймер

    Безусловно, в процессе подсчёта нами был сделан целый ряд допущений. Да и исследуемую базу никак нельзя назвать абсолютно достоверной. Например, часть пользователей явно не могла вспомнить своих паролей и просто пыталась их подобрать. А немногочисленные сообразительные юзеры, надо отдать им должное, и вовсе воспользовались формой логина-пароля, чтобы послать фишеров в пешее эротическое путешествие.

    Саму выборку, несмотря на её весьма приличный объём, тоже нельзя считать полностью репрезентативной, поскольку речь идёт лишь о пользователях, которые, во-первых, умудрились подцепить заразу, а во-вторых, догадались отдать свои пароли в чужие руки — то есть о людях, заведомо наивных в вопросах безопасности.

    Тем не менее, просмотрев другие аналогичные исследования, проведённые в самых разных частях света (если угодно — Google вам в помощь), рискнём предположить, что в своих выводах мы скорее преуменьшили масштабы трагедии, нежели преувеличили.

    Что делать и кто виноват?

    Сначала "Вебпланета" хотела приложить к этой статье пару мануалов в духе "спасение утопающих — дело рук самих утопающих". А потом мы заглянули "ВКонтакт" и обнаружили, что инструкций по безопасности там пруд пруди. Правда, без поллитры их не сразу и найдёшь: сначала надо тыркнуть на "Техподдержку" в самом низу страницы, потом кликнуть по ссылке на группу "В Контакте | Безопасность", которую нужно отыскать в сайдбаре, а затем в сообщениях группы надо попытаться выцепить нужную информацию. Например, о том, как создать секьюрный пароль или как не стать жертвой фишеров.

    В общем, администрация, с одной стороны, подготовила все инструкции. А с другой стороны, даже обязала пользователей (кроме шуток, именно обязала и именно пользователей) "принимать надлежащие меры для обеспечения сохранности... имени пользователя (адреса электронной почты) и пароля". Однако лучше бы она обязала их пользоваться надёжными паролями при помощи нехитрых технических средств, скажем, проверяя создаваемые пароли на криптостойкость, на (не)соответствие их логину, фамилии, имени жены и другим пользовательским данным...

    Можно сколько угодно называть пользователей малограмотными или ограниченными, но ведь и создатели сервиса должны понимать, что они в ответе за тех, кого приручили.

    Почему же тогда при создании и смене пароля нет прямой (и написанной вот таким вот кеглем) ссылки на подробную инструкцию по безопасности? И почему эта инструкция вообще видна только залогиненным пользователям? Получается: сначала придумай пароль и зарегистрируйся, а уж потом тебе расскажут, какой пароль надо было придумать. Да и то, если догадаешься залезть в дебри "Техподдержки".

    Безусловно, "ВКонтакте" — далеко не единственный ресурс Рунета, не позаботившийся о таких элементарных мерах. Но это один из самых посещаемых ресурсов, и для кибермошенников эти 39 миллионов пользователей — как сортир для мух. При этом подавляющее большинство из этих миллионов — люди, которые не знают, с какой стороны у системного блока разъём питания. Они и системный блок-то отыщут не с первой попытки, а вы их выпустили с голой задницей в кишащий вирусами и червями Интернет!

    Но ведь и это ещё не всё. Хотя после пяти неудачных попыток входа на сайт пользователю и показывается какая-никакая капча, ограничений на число попыток ввода пароля, похоже, попросту не установлено: мы сбились со счёта после 35-й или 40-й попытки. А этого вполне достаточно, чтобы перебрать все распространённые варианты, плюс имена, телефоны и даты. Да и от капчи-то, как выяснилось, мало толку: она попросту не активизируется, если подбор пароля чередовать с двух машин с разными IP-адресами.

    Ей-богу, детский сад, трусы на лямках! С такой политикой безопасности сервиса беспокоиться по поводу фишинга и всяких мелких утечек уже и не надо.

    Список популярных паролей, спамерская база электронных адресов и небольшой ботнет, взятый в аренду на чёрном рынке — вот и всё, что нужно, чтобы тихо и не привлекая особого внимания в сравнительно короткие сроки простым перебором взломать аккаунты 3,36% пользователей этого сервиса. Алгоритм можно слегка усложнить, добавив проверку на пароль, полностью или частично совпадающий с логином — и вот вам ещё процент с копейками. Даже если в спам-базе будет только половина адресов, которые используются в качестве логинов "ВКонтакте", в конечном итоге окажутся взломанными более 800 тысяч аккаунтов.

    Мы не сильно удивимся, если окажется, что нечто подобное кто-то уже делал.

    Вместо постскриптума или "Короче, Склихосовский!"

    При подсчёте статистики мы не рассматривали пароли короче шести символов, поскольку в настоящее время на сервисе, слава Дурову, имеется такое ограничение. Однако же один способ завести "ВКонтакте" короткий пароль мы всё-таки обнаружили.

    Да, при создании аккаунта этот номер не пройдёт, и в поле пароля придётся вбить не менее шести символов. Но зато потом можно зайти в раздел настроек и задать в качестве нового пароля любую последовательность из двух и более символов, которая включает как минимум один знак !, $ или &. Причина состоит в том, что перечисленные знаки "ВКонтакте" превращает в пятисимвольные последовательности "!", "$" и "&".

    Соответственно, нельзя задать пароль, который состоял бы более чем из шести знаков !, $ или &, поскольку в результате его длина как бы будет более 32 символов, что не допускается.

    С этим связан ещё один забавный глюк "ВКонтакте". При создании нового аккаунта упомянутые чудо-символы никуда не перекодируются и сохраняются как есть. Поэтому можно задать и более длинный пароль, например, "!!!!!!!!". А вот поменять такой пароль через соответствующую форму уже не получится, поскольку старый пароль при вводе будет перекодирован, обрезан и признан неправильным.

    Категория: Главные новости | Просмотров: 924 | Добавил: teatral | Теги: взлом вконтакте | Рейтинг: 0.0/0
    Всего комментариев: 0

    Имя *:
    Email *:
    Код *:
    Наше время
    Заходи
    Архив Новостей
    «  Август 2009  »
    ПнВтСрЧтПтСбВс
         12
    3456789
    10111213141516
    17181920212223
    24252627282930
    31
    Информация
    Главные новости [10265]
    Самые последние новости культуры, искусства, общественной жизни, рецензии и статьи, размышления видных деятелей культуры и интервью. Сочные иллюстрации, наглядно расскажут о каждом событии!
    Спектакли OnLine [158]
    Лучшие спектакли круглосуточно и бесплатно.
    Кино и сериалы [1301]
    В разделе находятся самые знаменитые фильмы разных лет от лучших режиссёров с лучшими актёрами. Просмотр бесплатно online
    Видеоролики [40]
    Смешные и грустные, позитивные и трагические, но главное самые интересные ролики со всего мира! Просмотр бесплатно online
    Пьесы [29]
    Только лучшие пьесы, собранные со всего мира: классика и современность, сплелись в единый творческий архив пьес.
    Клипы [111]
    В разделе собраны лучшие клипы со всего мира за много лет
    Аудиокниги [24]
    Это специальный архивный раздел.в котором можно скачивать и слушать аудиокниги всевозможных авторов.
    Шоу Фрая и Лори [49]
    Лучшее скетч-шоу Англии!
    Радио Театр у Микрофона [20]
    Уникальные постановки, исполненные профессионалами. Информация предоставлена Клубом Театр у Микрофона http://vkontakte.ru/club1844933
    Петербургский Театральный журнал [5]
    Лохматые Новости [23]
    Творческий подход к созданию новостей животного мира
    Media [85]
    Видео, музыка, телепрограммы, специальные ролики и многое другое
    Журнал Проектор [17]
    Субъективное освещение вопросов дизайна
    Фотогрфии [6]
    Автор Валерий Худящев
    Креатив
    Облако
    Топы
    Яндекс цитирования
    Топ100- On-line издания
    Creative Commons License
    Яндекс цитирования
    Яндекс.Метрика
    Яндекс.Метрика
    СОВЕТ
    позиция в рейтинге BestPersons.ru
    Статистика

    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0

    | Teatral © 2021 | |