Титла: За злоупотребата с ЛС
Публикувано от: fogata в Feb 05, 2007, 14:56
За удобство много хора ползват едно и също име и парола в различни форуми.В един друг форум,някой които има възможност/например администраторски права/,взима паролата ми, влиза в друг форум с моя узер и парола, и пише мнения от мое име.След това чете,копира,променя и побликува моите получени и изпратени лични съобщения с цел да ме злепостави.
Това нещо наказуемо ли е от закона.
Всичко това се случва наистина, макар и не конкретно с мен.
Това нещо наказуемо ли е от закона.
Всичко това се случва наистина, макар и не конкретно с мен.
Титла: За злоупотребата с ЛС
Публикувано от: kill_u в Feb 05, 2007, 15:09
Май не е наказуемо за съжаление да се представяш за някой друг. Но пък ако администратор на форум направи това нещо според мен трябва или да закрият форума или собствениците да бъдат увдомени защото това е недопустимо. Но ти сигурен ли си, че твоя приятел не е казал случайно на някой паролата си и от там нещата да са тръгнали лавинообразно. Или пък случайно някой да е налучкал паролата ако е много лесна.
Титла: За злоупотребата с ЛС
Публикувано от: fogata в Feb 05, 2007, 15:31
Положението е точно такова каквото го описвам.Аз участвам и в двата форума със същия узер и парола с каквито участвам и тук.Сега започвам да се замислям.
Да се представиш за друг е едно,но ЛС са си лични и е малко прекалено.В края на краищата те могат да съдържат информация която да ти навреди.
Да се представиш за друг е едно,но ЛС са си лични и е малко прекалено.В края на краищата те могат да съдържат информация която да ти навреди.
Титла: За злоупотребата с ЛС
Публикувано от: Hapkoc в Feb 05, 2007, 16:23
От техническа гледна точка не би следвало администратора да има достъп до паролите на потребителите, но това си е offtopic малко.
Титла: За злоупотребата с ЛС
Публикувано от: gat3way в Feb 05, 2007, 16:57
Ми не бих казал че съм много запознат с разните форуми, но при тези които съм имал вземане-даване, паролите не се пазят никъде - пазят се MD5 хешове. За жалост, никога не съм виждал тези хешове да са salted, което улеснява малко задачата на "лошия админ". Но като цяло ми се вижда малко идиотска идея това цялото..
Титла: За злоупотребата с ЛС
Публикувано от: fogata в Feb 05, 2007, 20:15
Ще извъртя малко темата ,но ми стана интересно.Да разбирам ли че админите на Linux-bg.org не могат да разберат мойта парола за този форум.А какъв е механизма ако си забравя паролата.Ако въпросите ми са глупави моля да ме извините.Аз без да се замисля си мисля,че администратора е все едно root на своя комп.
Много се надявам темата да не отиде в секция хумор.
П.П като се замислих всъщност аз не знам как да разбера паролата на узера който съм създал на своя комп.Ще потърся нещо да прочета да не се излагам.
Много се надявам темата да не отиде в секция хумор.
П.П като се замислих всъщност аз не знам как да разбера паролата на узера който съм създал на своя комп.Ще потърся нещо да прочета да не се излагам.
Титла: За злоупотребата с ЛС
Публикувано от: gat3way в Feb 05, 2007, 20:36
Щях да кажа че не знам щото няма откъде да видя сорса ама се сетих че го пуснаха на openfmi 
Цитати от кода:
Трудно, но не и невъзможно доколкото става ясно. Вади се някакъв MD5 hash който даже не е хеш от паролата ами от паролата +някакви неща, поне доколкото разбирам (мразя и не разбирам от perl).
Авторът на кода може да каже най-добре де
Цитати от кода:
| Цитат |
... pass =>$oUManager->cryptPass($sPassword,$sLogin.':'  ,... sub cryptPass { my ($self, $sPassword, $sPrefixText, $sSuffixText, ) = @_; return md5_hex($sPrefixText.$sPassword.$sSuffixText); } |
Трудно, но не и невъзможно доколкото става ясно. Вади се някакъв MD5 hash който даже не е хеш от паролата ами от паролата +някакви неща, поне доколкото разбирам (мразя и не разбирам от perl).
Авторът на кода може да каже най-добре де
Титла: За злоупотребата с ЛС
Публикувано от: Radev в Feb 05, 2007, 20:39
Паролите на коректно настроените системи не се записват никъде (на самите системи), а вместо тях се записват MD5 hash-ове, което е еднопосочно криптирана информация и не е възможно (или най-малко е много трудно) да се възстанови паролата от hash-а. Ако си забравиш паролата такива сайтове могат да ти изпратят временна (автоматично генерирана) парола с която да влезеш в системата и после да си смениш паролата.
За всеки сайт който ти предлага възстановяване на паролата не трябва да ползваш такава, която ползваш и другаде.
За всеки сайт който ти предлага възстановяване на паролата не трябва да ползваш такава, която ползваш и другаде.Титла: За злоупотребата с ЛС
Публикувано от: vstoykov в Feb 05, 2007, 21:05
Значи не трябва да вярваме на сайтове, които ти пращат паролата по е-пощата ако я забравиш, а само на такива, които ти дават случайно генерирана парола 
Титла: За злоупотребата с ЛС
Публикувано от: gat3way в Feb 05, 2007, 21:14
Хеш-алгоритмите са еднопосочни, но това не означава, че не можеш да генерираш хешове на определено множество стрингове и да ги сравняваш. Може да е бавно, но пък от друга страна има готови бази с хешове, които улесняват нещата.
Това което доста усложнява crack-ването е т.наречения salt, който представлява още един стринг, от който се приготвя крайния резултат (хеша). Това обезсмисля ползването на готови такива бази, защото вариантите нарастват с порядък възможните salt стрингове. Този метод се използва при shadow файловете в линукс и в резултат на което dictionary атаките им се превръщат в почти невъзможен, а bruteforce-ването - в мъчителен процес. За съжаление, при уеб-приложенията съм забелязал че е по-скоро рядкост тази практика.
Иначе на теория, няма криптиращ алгоритъм, който да не може да се разбие, въпросът е колко време и ресурси ще отнеме това. Това обаче е много добре известен факт.
Това което доста усложнява crack-ването е т.наречения salt, който представлява още един стринг, от който се приготвя крайния резултат (хеша). Това обезсмисля ползването на готови такива бази, защото вариантите нарастват с порядък възможните salt стрингове. Този метод се използва при shadow файловете в линукс и в резултат на което dictionary атаките им се превръщат в почти невъзможен, а bruteforce-ването - в мъчителен процес. За съжаление, при уеб-приложенията съм забелязал че е по-скоро рядкост тази практика.
Иначе на теория, няма криптиращ алгоритъм, който да не може да се разбие, въпросът е колко време и ресурси ще отнеме това. Това обаче е много добре известен факт.
Титла: За злоупотребата с ЛС
Публикувано от: Kalin в Feb 06, 2007, 08:51
| Цитат (fogata @ Фев. 05 2007,21:15) |
| Ще извъртя малко темата ,но ми стана интересно.Да разбирам ли че админите на Linux-bg.org не могат да разберат мойта парола за този форум.А какъв е механизма ако си забравя паролата.Ако въпросите ми са глупави моля да ме извините.Аз без да се замисля си мисля,че администратора е все едно root на своя комп. Много се надявам темата да не отиде в секция хумор. П.П като се замислих всъщност аз не знам как да разбера паролата на узера който съм създал на своя комп.Ще потърся нещо да прочета да не се излагам. |
Ти вече толкова си се изложил, че дължиш извинение за намеците отправени по адрес на администраторите на този форум. Но това е по-скоро въпрос на възпитание, отколкото на знание.
Титла: За злоупотребата с ЛС
Публикувано от: Hapkoc в Feb 06, 2007, 10:33
@Kalin: не видях човека някъде да е уточнил, че единия от двата въпросни форума, за които пише в темата, е linux-bg.org. Докато не направи такова уточнение не мисля че дължи извинение на който и да било.
@fogata: на теория не би трябвало администраторите на форума да ти видят паролата. Би трябвало да могат да я reset-нат (т.е. да генерират нова парола), която на свой ред също не би трябвало да виждат. На практика не знам дали конкретно за тук стоят така нещата.
@fogata: на теория не би трябвало администраторите на форума да ти видят паролата. Би трябвало да могат да я reset-нат (т.е. да генерират нова парола), която на свой ред също не би трябвало да виждат. На практика не знам дали конкретно за тук стоят така нещата.
Титла: За злоупотребата с ЛС
Публикувано от: Kalin в Feb 06, 2007, 11:19
@ Наркос:
Тук никой не е писал от негово име. Следователно някой е писал по другите форуми от името и с паролата на потребителя регистриран тук.
| Цитат (fogata @ Фев. 05 2007,16:31) |
| Положението е точно такова каквото го описвам. Аз участвам и в двата форума със същия узер и парола с каквито участвам и тук.Сега започвам да се замислям. Да се представиш за друг е едно,но ЛС са си лични и е малко прекалено.В края на краищата те могат да съдържат информация която да ти навреди. |
Тук никой не е писал от негово име. Следователно някой е писал по другите форуми от името и с паролата на потребителя регистриран тук.
Титла: За злоупотребата с ЛС
Публикувано от: VladSun в Feb 06, 2007, 11:26
Титла: За злоупотребата с ЛС
Публикувано от: Kalin в Feb 06, 2007, 14:35
| Цитат (VladSun @ Фев. 06 2007,12:26) |
| @Kalin (специално) http://www.linux-bg.org/cgi-bin....t=16364 |
Това не го ли пипахте вече в последния код на сайта?
/off-topic: защо не те виждам на биричка напоследък?
Титла: За злоупотребата с ЛС
Публикувано от: CTEHATA в Feb 06, 2007, 16:34
Няколко души споменават хешове. Ако някой, който контолира сайта (собственик или вмъкнат) иска паролата ми, може просто да я прихване при следващото ми влизане. ПРЕДИ нейния хеш, посолен или не да се сравни с запаметения.
Т.е хеширането на пароли помага срещу измъкването на логини/пароли "накуп", но по-дългото овладяване на сървъра накрая пак може да ги разкрие.
Т.е хеширането на пароли помага срещу измъкването на логини/пароли "накуп", но по-дългото овладяване на сървъра накрая пак може да ги разкрие.
Титла: За злоупотребата с ЛС
Публикувано от: VladSun в Feb 06, 2007, 16:53
| Цитат (Kalin @ Фев. 06 2007,14:35) |
| /off-topic: защо не те виждам на биричка напоследък? |
/офф
Там сервитьорките много зли - миналият път вдигнах ръка да си поръчам нещо за ядене най-накрая, а тя - пак ракия ми донесе ... и пак голяма ... направо ме уби!
Ама ще гледам да мина някой път като имам време
офф/
То ние хубаво го оправяхме в новата версия, но там се борихме срещу XSS-a... а, ако някой все пак успее да открадне сесия, то тогава се проявява тази слабост.
Титла: За злоупотребата с ЛС
Публикувано от: VladSun в Feb 06, 2007, 17:30
| Цитат (CTEHATA @ Фев. 06 2007,16:34) |
| Няколко души споменават хешове. Ако някой, който контолира сайта (собственик или вмъкнат) иска паролата ми, може просто да я прихване при следващото ми влизане. ПРЕДИ нейния хеш, посолен или не да се сравни с запаметения. Т.е хеширането на пароли помага срещу измъкването на логини/пароли "накуп", но по-дългото овладяване на сървъра накрая пак може да ги разкрие. |
Хм, не мисля, че пълно щастие има ... Ако се използва yahoo подходът да се хешират паролите client-side с javascript с challenge string, то тогава ми се струва, че запазването на паролите server-side задължително е в plain text.
Титла: За злоупотребата с ЛС
Публикувано от: gat3way в Feb 06, 2007, 18:14
Вярвам, че параноята трябва да се държи в разумни граници
Ако говорим за начини да се открадне парола, евентуални подходи има вероятно доста. Примерно да се тръгне по пътя на phising бандюгите, да си направиш една имитация на въпросния сайт, в последствие чрез dns spoofing например, да накараш потребителят да се лог-не на фалшивия ни сайт и да си я прибереш паролата. Ммм още един вариант, който ама грам не зависи нито от това как се съхраняват паролите на сайта, нито има връзка със секюритито на сървъра където се хоства.
Обаче има и друг момент. DNS spoofing-a не е чак толкова просто нещо, защото самият протокол е леко усложнен и един resolver не би трябвало да приема какъвто и да е отговор ей така - трябва ID полето в хедъра да отговаря на същото поле от хедъра на някой изпратен от него DNS query пакет. Оттам нататък нещата изискват малко мислене и вероятността "измамата" да се случи успешно, бързо намалява правопропорционално на latency-то и обратнопропорционално bandwidth-a, докато стане практически невъзможна в определени случаи. Отделно че трябва да знаеш "жертвата" ти кой DNS сървър използва и дали вече не е резолв-нал сайта и резултатът да е кеширан и т.н. уточнения.
Сега си представи човек, който е много добре запознат с тези неща, има добри познания по отношение на UDP протокола, на DNS протокола, има възможност да изпраща подправени пакети (т.е с source address, който не се филтрира от разните там рутери по пътя) - и не на последно място обладан от някаква странна злоба. И този същият човек си няма работа по цял ден и използва тези си познания...за да краде акаунти за някакъв форум
Съвсем аналогично, пак така си представям някакъв зъл и способен хахор, който "own-ва" сървъра където е хостнат форума, модифицира кода и прибира паролите...или пък пуска някакъв снифър и ги изсниф-ва или някаква простотия от сорта...това пак ми се струва кретения
Абе сигурно е вероятно, особено в нечии параноичен ум, ама на мен ми се вижда малко комичен сценарий
Ако говорим за начини да се открадне парола, евентуални подходи има вероятно доста. Примерно да се тръгне по пътя на phising бандюгите, да си направиш една имитация на въпросния сайт, в последствие чрез dns spoofing например, да накараш потребителят да се лог-не на фалшивия ни сайт и да си я прибереш паролата. Ммм още един вариант, който ама грам не зависи нито от това как се съхраняват паролите на сайта, нито има връзка със секюритито на сървъра където се хоства.
Обаче има и друг момент. DNS spoofing-a не е чак толкова просто нещо, защото самият протокол е леко усложнен и един resolver не би трябвало да приема какъвто и да е отговор ей така - трябва ID полето в хедъра да отговаря на същото поле от хедъра на някой изпратен от него DNS query пакет. Оттам нататък нещата изискват малко мислене и вероятността "измамата" да се случи успешно, бързо намалява правопропорционално на latency-то и обратнопропорционално bandwidth-a, докато стане практически невъзможна в определени случаи. Отделно че трябва да знаеш "жертвата" ти кой DNS сървър използва и дали вече не е резолв-нал сайта и резултатът да е кеширан и т.н. уточнения.
Сега си представи човек, който е много добре запознат с тези неща, има добри познания по отношение на UDP протокола, на DNS протокола, има възможност да изпраща подправени пакети (т.е с source address, който не се филтрира от разните там рутери по пътя) - и не на последно място обладан от някаква странна злоба. И този същият човек си няма работа по цял ден и използва тези си познания...за да краде акаунти за някакъв форум
Съвсем аналогично, пак така си представям някакъв зъл и способен хахор, който "own-ва" сървъра където е хостнат форума, модифицира кода и прибира паролите...или пък пуска някакъв снифър и ги изсниф-ва или някаква простотия от сорта...това пак ми се струва кретения Абе сигурно е вероятно, особено в нечии параноичен ум, ама на мен ми се вижда малко комичен сценарий
Титла: За злоупотребата с ЛС
Публикувано от: CTEHATA в Feb 06, 2007, 18:29
| Цитат (gat3way @ Фев. 06 2007,19:14) |
| Вярвам, че параноята трябва да се държи в разумни граници .... Абе сигурно е вероятно, особено в нечии параноичен ум, ама на мен ми се вижда малко комичен сценарий |
Един колега го изключиха навремето от варненското ТУ, защото просто проникна в сървъра и го форматира. Не можах да разбера защо го направи. И сега не знам. Последствията си бяха ясни.
Още по-малко знам защо някой хора вързват кило динамит на кръста, изкрещяват "акллах акбар" и се взривяват барабар с околните
Та така де, отдавна съм се отказал да вярвам, че ако аз не бих направил нещо някой друг не би го направил. Друг е въпроса колко ми пука за това дали някой ще ми подправи мненията във форума
Параноята си е добра основа за всеки администратор, стига да не води към психиатрията де
П.П.
Това, че съм параноик не означава, че ТЕ не ме преследват
Титла: За злоупотребата с ЛС
Публикувано от: gat3way в Feb 06, 2007, 18:36
Хехе, интересно
Просто от любопитство, какво стана след това с твоят приятел, съжалявам ако изглежда нагло, но наистина ми стана много интересно, в смисъл такъв дали това въобще по някакъв начин му е помогнало или попречило оттам нататък? Като изключим факта че е прекратило академичната му кариера, поне в този университет де
Просто от любопитство, какво стана след това с твоят приятел, съжалявам ако изглежда нагло, но наистина ми стана много интересно, в смисъл такъв дали това въобще по някакъв начин му е помогнало или попречило оттам нататък? Като изключим факта че е прекратило академичната му кариера, поне в този университет де
Титла: За злоупотребата с ЛС
Публикувано от: fogata в Feb 06, 2007, 19:28
| Цитат (Kalin @ Фев. 06 2007,09:51) |
Цитат на: fogata,Фев. 05 2007,21:15 Ще извъртя малко темата ,но ми стана интересно.Да разбирам ли че админите на Linux-bg.org не могат да разберат мойта парола за този форум.А какъв е механизма ако си забравя паролата.Ако въпросите ми са глупави моля да ме извините.Аз без да се замисля си мисля,че администратора е все едно root на своя комп. |
Ти вече толкова си се изложил, че дължиш извинение за намеците отправени по адрес на администраторите на този форум. Но това е по-скоро въпрос на възпитание, отколкото на знание.
В момента сядам на компа и като видях това се разтреперах.Не се шегувам или изхвърлям.Калине как може да ти мине подобна мисъл.Сега ще прочета напред да видя аз ли съм объркал нещо за да ме разбереш така,или ти нещо си пропуснал.Ще прочета и останалите постове,защото наистина ми е интересно как е възможно да стане това за което питам.Жалко че съм назад с материала и полагам усилия да разбера отговорите.
Форуми има всякакви както и хора.Понякога в един форум се намесват и комерсиални интереси.
Ако нещо съм объркал и някой е разбрал че имам предвид ТОЗИ форум,много съжалявам.Извинявам се не само на администраторите,но и на всеки който смята че съм обидил форума.
Започвам да чета
Титла: За злоупотребата с ЛС
Публикувано от: CTEHATA в Feb 06, 2007, 19:38
| Цитат (gat3way @ Фев. 06 2007,19:36) |
| Хехе, интересно Просто от любопитство, какво стана след това с твоят приятел, съжалявам ако изглежда нагло, но наистина ми стана много интересно, в смисъл такъв дали това въобще по някакъв начин му е помогнало или попречило оттам нататък? Като изключим факта че е прекратило академичната му кариера, поне в този университет де |
Знаеш ли, след като писах за него и аз почнах да се чудя. Имайки предвид, че последно съм го виждал 1999-та, най-вероятно е забегнал в чужбина.
Иначе не мисля че толкова много му пукаше. Всички знаехме, че в сървърското има къдърни хора, та чак такава дивотия да не забележат, и то от съседната стая (свободния достъп в ТУ-Варна беше срещо сървърното) ...
Не съм присъствал, но очевидци разказваха, че един доста интересен даскал, предаващ и UNIX-оподобните неща е нахълтал в стаята почти веднага
С две думи, направили са шоутоТитла: За злоупотребата с ЛС
Публикувано от: fogata в Feb 06, 2007, 19:39
Върнах се назад и не разбра какво точно е подвело Калин да мисли че визирам този форум.Ако все пак съм навел някого на тази мисъл,още веднъж моля за извинение.
Титла: За злоупотребата с ЛС
Публикувано от: gat3way в Feb 06, 2007, 19:50
Еммм то обикновено нищо хубаво не се случва когато вземеш че станеш прекалено самоуверен при положение че си нямаш ама грам идея за страшно много неща
Странно как това се случва много често около тази възраст Предполагам, че злият хахор е бил някъде първи-втори курс?
Това ми напомни разни неща, честно казано странно ми стана като прочетох за този твой приятел. Абе както и да е, няма значение.
По мои лични наблюдения иначе такива "хакерски" инциденти, особено от такъв вид, доста са се редуцирали в последните години, поради много причини...може би не е много модерно да си зъл хакер в днешно време де, не знам
Странно как това се случва много често около тази възраст
Предполагам, че злият хахор е бил някъде първи-втори курс?Това ми напомни разни неща, честно казано странно ми стана като прочетох за този твой приятел. Абе както и да е, няма значение.
По мои лични наблюдения иначе такива "хакерски" инциденти, особено от такъв вид, доста са се редуцирали в последните години, поради много причини...може би не е много модерно да си зъл хакер в днешно време де, не знам