17 авг. 2014 г.

Иксперт

Еще один ихсперт комментирует взлом твиттера Медведева:

У Twitter премьер-министра России Дмитрия Медведева был простой пароль, поэтому аккаунт взломали, уверен аналитик рынка мобильной связи Эльдар Муртазин.

«Twitter не имеет особых средств защиты или авторизации, то есть любой злоумышленник может попытаться его сломать, подобрав пароль. Видимо, у Дмитрия Медведева пароль был не очень сложный, поэтому его довольно быстро смогли подобрать», – сказал он.

Чтобы обезопасить аккаунт, достаточно воспользоваться стандартными средствами защиты соцсети, считает аналитик. «Как правило, обычные правила безопасности в этом случае действуют спокойно: можно придумать сложный пароль, который нельзя подобрать. Кроме того, когда пользователь авторизируется, предоставляет свои данные, например паспортные, тогда Twitter добавляет галочку, обозначая, что это реальный человек – это тоже можно было сделать. В этом случае контроль лучше», – сказал Муртазин.


Я чего-то не поняла, сначала "Twitter не имеет особых средств защиты или авторизации", отдельный вопрос, что подразумевается под особыми средствами "защиты" и "авторизации". Потом вдруг "достаточно воспользоваться стандартными средствами защиты соцсети" и "когда пользователь авторизируется, предоставляет свои данные, например паспортные, тогда Twitter добавляет галочку, обозначая, что это реальный человек". Кто-нибудь понял логику Муртазина? Какие паспортные данные в Твиттере? И чем это поможет при взломе? Пардон, улучшит "контроль"?

23 комментария:

  1. Муртазин еще с нами? :) Этот самопровозглашенный аналитик и эксперт конторы имени себя. Лебедв когда-то хорошо по нему прошелся.

    ОтветитьУдалить
    Ответы
    1. как я понимаю, у нас три патентованных ихсперта: Муртазин, Носик и Клименко. Отдельно еще видный конспиролог Ашманов.

      Удалить
    2. Носик тогда уж заслуженный ихсперт. Он в своём анализе упомянул про возможность подтверждения логина посредством СМС. Муртазин, похоже, о такой "фиче" и не подозревает.

      Удалить
    3. о да, Клименко! не далее как вчера устроил в ФБ троллинг (или может, он серьезно) на тему "Создадим национальную ОС за 5-7 лет". Когда в комментариях его спросили, как быть со средствами разработки, ("Нет ведь у нас своих средств разработки, языков своих - все на джавах да нетах всяких."), эксперт Клименко ответил, что мол, языки программирования не имеют национальности.
      Ну да, языки может, и не имеют. А компиляторы очень даже могут иметь. Но негоже экспертам такими мелочами париться: языки, реализации, компиляторы.

      Удалить
  2. Этот недоексперт тупо не видит разницы между взломом и угоном аккаунта. Все эти галочки за паспортные данные и средства защиты соцсетей (т.е. привязка к телефону) не мешают взломать и написать что-нибудь, но аккаунт потом точно вернут владельцу. Медведу и так вернули.

    ОтветитьУдалить
    Ответы
    1. Для начала он думает, что есть только один способ увода эккаунта - "подобрать пароль".
      Медведу вернули бы и без паспорта, ха

      Удалить
  3. Эльдар Муртазин такой же эксперт, как я осьминог. Но таки странно что он еще существует и даже дает интервью, да.

    ОтветитьУдалить
  4. Самопровозглашенный эксперт, так сказать

    ОтветитьУдалить
  5. Этот комментарий был удален автором.

    ОтветитьУдалить
  6. Насчёт паспортизации интернета, у наших властей давно чешется поставить в интернет шлакБАМ со злой вахтёршей, шОб только по пропускам, а то ходЮт тут всякие, твиттеры аватарки нашего Солнцеликого Аватара взламывают! :)

    Для обоснования этой "паспортизации" Икспертов и привлекают...

    ОтветитьУдалить
  7. мой последний коммент по-моему не отправился...
    Так вот, когда сервер принимает через POST-запрос пару логин-пароль, он может либо тупо сравнить хэш пароля с хэшем в бд, либо произвести еще какие-то действия: например, посчитать число и частоту запросов с одного адреса или для одного логина, число неправильных попыток, время последней удачной авторизации итд. Твиттер работает по первому принципу - ему не важно, можно в секунду хоть 100 попыток делать, перебирая варианты из словаря (словарь на 10000 вариантов покрыает 95% паролей в интернете), API скушает и ничего не скажет. А Google например, или Яндекс, предложат капчу после пятой неудачной попытки, делая перебор по словарю бесполезным. Это и есть "дополнительные методы защиты". Спасение одно - придумывать сочетания типа t&73KnBwsQ, у которых шанс попать в словарь 1 на миллиард.

    ОтветитьУдалить
    Ответы
    1. А Твиттер не считает количество запросов совсем? Странно. Я думала, такая фича давно есть у всех. Но это не "дополнительный" и не "особый" метод, этим пользуются уже на моем веку больше 10 лет. И без капчи даже, просто блокировали заходы с конкретного айпи на какое-то время, от 10 минут и больше.Поэтому на западных сайтах прямо пишут - брутфорсом онлайн ломать нет смыла вообще.
      Но дело не в этом, пароль был сложный и "не словарный", увели его через айФонские облака, так пишут нам наши СМИ:

      По словам представителей хакерской группировки, пароль в Twitter у Медведева был 15-значный: gfkrtopmda68743.

      http://izvestia.ru/news/575444#ixzz3B9jMt59u

      Но и не словарный пароль в принципе подбирается брутфорсом (не онлайн), просто времени и ресурсов уйдет значительно больше, хотя считается, что больше восьми знаков это уже слишком трудоемко.

      Удалить
    2. вы правы, действительно блокировка на 60 минут. Раньше (2 года назад) сколько угодно можно было перебирать. Я похоже отстал немного от жизни, как и г-н муртазин ))

      Удалить
    3. просто блокировали заходы с конкретного айпи на какое-то время

      Выходит без ботнета не обойтись, если вдруг понадобится именно перебор практиковать. Впрочем, не исключено, что и на этот случай защита предусмотрена.

      Удалить
    4. Не ботнет, хотя такой вариант возможен, а прикрученный список прокси (что и практикуется). Но нормальный сервис вроде Гугла вообще отслеживает всякую однообразную активность - попытки залогинится на один и тот же эккаунт. В случае ботнета это сразу будет распознаваться как дидос, наверное, и блокироваться. Но тут я не знаю, я не спец по безопасности.

      Удалить
    5. пользуются, но далеко не все. Не говорю про мировых гигантов, но всякие там беби.ру или средние интернет-магазины - уверен, что нет. Казалось бы мелочь, но у них свои десятки и сотни тысяч пользователей. Вконтакте тот же, который озаботился безопасностью совсем недавно. Это очевидные вещи, понятные и логичные, но языком чесать на хабре это одно, а сидеть ночами и кодить это все, объяснять менеджеру, зачем это надо и почему нельзя оставить так как есть, тестировать это на стенде потом на продакшене - совсем другое.
      отвлекся я ))

      Удалить
    6. А что было с безопасностью у ВК? У меня там нет эккаунтов, но я думала, что там как раз такие вещи предусмотрены. Хотя у них же там были какие-то покражи прям кусков базы с паролями и логинами. И пароли в открытом виде хранили, вроде..

      Удалить
    7. как хранили не знаю, главное что их передавали через обычный http. То есть любой сисадмин в любой конторе мог узнать пароли всех своих сотрудников, настроив нехитрым образом фаервол

      Удалить
    8. падажжжите, но они же в зашифрованном виде передавали?

      Удалить
    9. ни в зашифрованном, ни в хэшированном - в явном
      до 2010 года у них даже не было своего ssl-сертификата, tls редиректился обратно на http. Потом можно было включить tls в настройках, но это мало кто делал, потому что некоторые фото не отображались из-за путаницы абсолютных и относительных url в теле страницы

      Удалить
  8. ну и 2-факторная авторизация конечно. В твиттере надо ее включать отдельной галкой и давать мобильный телефон, мало кто заморачивается.

    ОтветитьУдалить
  9. По поводу экспертов я еще добавлю
    Представьте, вы на работе заняты проектом, вам звонок: "Здравствуйте, я из Известий, что вы думаете о взломе твиттера господина N и как от этого защититься?" - а вы вообще первый раз об этом слышите, потому что работали всю неделю и не было времени читать новости. И вообще вам это не очень интересно. Что вы ответите? Расскажете все что знаете про твиттер, перебор по словарю, как важно заводить случайные пароли и менять их периодически плюс 15-минутную лекцию о TLS, ассиметричном шифровании и о том, что в России более-менее серьезно заботятся о безопасности только банки. Журналист выбрасывает про TLS и про банки, потому что первое ему не понятно, а второе не в тему, вставляя огрызок большого дельного комментария в статью, где сказано, что и пароль был хорош, и менялся часто, и с твиттером все в порядке, а у господина N просто украли телефон.
    Это безотносительно Муртазина, но так бывает очень часто.

    ОтветитьУдалить
    Ответы
    1. Бывает, но если бы спросили меня, а я не эксперт, то я знаю, что несловарный пароль не является гарантированным средством защиты, что дыры чаще всего находятся в другом месте (человеческий фактор, интеграция между сервисами, облачное хранение данных, передача пароля в открытом виде, хотя вы меня с ВК очень удивили и тд). А Муртазин дал противоречивый комментарий: с одной стороны у Твиттера дополнительной защиты нет, а с другой стандартных средств достаточно.

      Удалить

Здесь иногда пропадают комменты - это баг.