8 сент. 2014 г.

Дырки

Сначала неизвестные выкладывают фотографии селебр, не предназначенные для коллективного разглядывания, и Эппл говорит "А это не к нам, просто пользователи беспечны", теперь кто-то обнародовал базу логинов и паролей Яндекс.Почты, и Яндекс утверждает, что утечка не у них, это всё опять юзеры не смотрят, куда свои данные вводят, фишинг, мол. В просторечье такая стратегия называется "перевод стрелок". Заметка Итар-Тасса может служить блестящей иллюстрацией этому. В ней пошагово объясняется, что миллион человек просто дураки:

1. Пароли настоящие, но Яндекс тут не причем - "По мнению компании, пароли утекли с пользовательской стороны в результате фишинга "
2. А у других тоже ломают, вот у Яхи и ИБэя, чё мы-то, другие еще хуже.
3. Просто у вас у всех ненадежные пароли - 12345678 и qwerty, вот поэтому злоумышленникам ничего не стоит собрать базу на миллион эккаунтов.

И несмотря на то, что у всех крупных сервисов давно есть защита от брутфорса и даже ручной подбор пароля затруднителен, а я уж не говорю о том, что ручками данные такого объема не соберешь, нам всё равно поют одну и ту же песню - у вас просто пароли такие, вы просто их редко меняете. Когда-нибудь хоть один ихсперт скажет, что на самом деле просто система дырявая?

Кстати, доступ к твиттеру Медведева, как я понимаю, получили через всё те же облака, так что "хакеры" поковырялись и в айФончике, и в планшетике.

55 комментариев:

  1. а потом массово потырят все с яндекс-денег (понемногу и сейчас тырят), и они тоже скажут, что пароли были простые.

    ОтветитьУдалить
    Ответы
    1. Ха. Яндекс.Деньги как-то повесили в кошельке информационное сообщение "проверьте, с каких айпи заходили в ваш кошелек", я проверила - один айпи левый, а там приписка "если вы обнаружили посторонние айпи, обратитесь в поддержку". Я обратилась. Приходит ответ " айпи такого-то провайдера, там-то и там-то. Ну и чего вы от нас хотите?", отвечаю "у вас написано "обратитесь", я обращаюсь", ответ "Ну это не наш айпи и больше ничем не можем помочь".

      Удалить
    2. так вы не пользуйтесь этим сервисом, в чем проблема-то?

      Удалить
    3. это я так понимаю сотрудник техподдержки или пиарщик из яндекса пришел,
      не нравится, что воруют - не пользуйтесь, а мы продолжим воровать,

      Удалить
    4. Ну да, пиар в действии.

      Удалить
    5. я хотел сказать, что вот я знаю, что яндекс-деньги — дырявая хуйня, так у меня там и лежит 5 рублей на счету, а вы зачем кактус потребляете?

      Удалить
    6. 2corpuscula Можно я тут немного выплесну яда?:)
      Недавно начальника саппорта Яндекс.Денег (она искала новую работу) пиарили в жж ее знакомые:
      " Супер-начальник службы поддержки.
      Почти все мы когда-то обращались в службу поддержки Яндекс.Денег - и не могли не заметить, что она выгодно отличается от абсолютного большинства других служб поддержки: там отвечают живые люди, они отвечают быстро, вежливо, но главное - они всегда отвечают по существу, никаких роботизированных "ваш вопрос очень важен для нас, попробуйте перезагрузить компьютер"..."

      Я еле-еле удержалась, чтобы не выложить там скрины ответов ЯД на мои запросы через сайт...
      То ли я даун, то ли ответ минимум через неделю-полторы - это "быстро" (я часто уже самостоятельно решала проблему или вообще забивала на них, на три последних запроса отвечали именно в такие сроки), вежливо" - ну может быть, "по существу" - три раза ха...

      Удалить
  2. Яндекс, скорее всего, пишет правду. Для фишинга стойкость пароля и меры по предупреждению брутфорса никакого значения не имеют.

    ОтветитьУдалить
    Ответы
    1. При дырявой системе стойкость пароля вообще значения не имеет. Я собственно вроде простым языком эту мысль который раз пытаюсь донести - не в пароле дело. И онлайновые сервисы вообще-то защищены от брутфорса.

      Удалить
    2. Безопасность конечной системы на фишинг практически не влияет. Фишинг это атака не на сервер, а на пользователя или, чаще, на канал передачи.
      А при дырявой системе как раз стойкость пароля пользователя как раз обычно имеет наибольшее значение для его безопасности. Сейчас никакая минимально профессиональная контора не хранит пароли в открытом виде, а хранит их хэши. Если через дыру в системе вытащат хэши, пароли будут ломать брутфорсом со всеми вытекающими последствиями. Не в онлайне, а на локальной машине.

      Удалить
    3. Вот с этим я соглашусь. Только с поправкой, что при хороших мощностях отбрутфорсить можно и восьмизначный пароль, сложный он или простой. И всё утыкается в результате в одно - незащищенность системы является критической точкой.

      Удалить
    4. кстати, только что видела такую версию: что утечка все таки случилась с Яндекса, утекли хэши, но удалось сломать лишь самые нестойкие пароли (про нестойкость паролей говорит и анализ утекших паролей: самый часто встречающийся (39тыс раз) пароль - 123456)

      Но Яндекс все равно настаивает "Утверждается, что база на 85% состоит из паролей, которые уже известно, что были взломаны и их владельцам предложено их поменять. Остальные - получены перекрестной проверкой паролей, либо фишингом, либо с помощью троянов. В общем утечка скорее у какого-то хакера..."

      Удалить
    5. >утекли хэши, но удалось сломать лишь самые нестойкие пароли
      Сомнительно, хотя возможно. Но аргумент невалидный: 39к одинаковых простых паролей из миллиона это нормальное значение для такого набора, даже низковатое, а не аномально высокое.

      >Только с поправкой, что при хороших мощностях отбрутфорсить можно и восьмизначный пароль, сложный он или простой.
      Если пароль сложный, то для этого нужно стать целью направленной атаки, что среднего пользователя мало касается. Ну и восьмизначные пароли - это, действительно, не очень безопасно, для ключевых учёток лучше делать пароли длиннее.

      Удалить
    6. Я не верю в миллион собранный фишингом (ну 50 тысяч, ну даже 250, но лимон надо долго собирать). Практика показывает, что такие объемы попадают в открытый доступ прямо с серверов самой конторы или через утечку, или через дыры.

      Удалить
    7. Яндекс сам себе противоречит:

      "О 85% скомпрометированных аккаунтов из этой базы нам уже было известно: большинство из них уже несколько лет появляются в подобных списках. Мы предупреждали их владельцев и предлагали сменить пароль, но они этого не сделали. Это означает, что такие аккаунты либо заброшены, либо создавались роботами", - говорится в сообщении "Яндекса".

      Если это были эккаунты роботов или просто мертвые, то вопрос - каким образом они попались на фишинг?

      Удалить
    8. В комментариях выше цитата: "Утверждается, что база на 85% состоит из паролей, которые уже известно, что были взломаны и их владельцам предложено их поменять. Остальные - получены перекрестной проверкой паролей, либо фишингом, либо с помощью троянов. В общем утечка скорее у какого-то хакера."

      Вообще говоря, у роботов тоже можно увести учетку фишингом, с помощью подделки доменного имени и страницы логина - но более вероятно, что аккаунты роботов продали собственно их создатели, или у них эту базу украли прямо из командного центра.

      Удалить
    9. 2corpuscula:
      >Я не верю в миллион собранный фишингом

      плюсую
      булшит

      Удалить
    10. >при хороших мощностях отбрутфорсить можно и восьмизначный пароль, сложный он или простой
      Зависит от конкретного хеша.

      Вообще говоря, нормальное решение проблемы с паролями это ТОТР (одноразовые пароли), но Яндекс почему-то не торопится его вводить. У гугла давно уже есть.

      Удалить
  3. Думаю, что тут Яндекс ни при чем. У меня около 10 аккаунтов для себя и родственников, заведенных мною в разное время с перерывами в годы. Если бы был взлом Я., то хоть один бы да попал в список. Судя по тому что некоторые аккануты повторяются, можно сделать вывод что слиты пароли с нескольких фишинговых сайтов.

    ОтветитьУдалить
    Ответы
    1. Здесь ключевое выражение - "Судя по тому что некоторые аккануты повторяются, можно сделать вывод что слиты пароли с нескольких фишинговых сайтов.", а не "У меня около 10 аккаунтов".

      Удалить
  4. Отчасти правду говорят: В системе безопасности с паролем, главная уязвимость - это сам пользователь. Потому что как не борись с идиотизмом, природа выводит все более потентных идиотов, использующих 12345 в виде пароля, пишущих пароли на стенах, вводящих их куда попало по первому запросу, и так далее.

    Существуют разные методы решить проблему. Можно, например, аутентифицировать пользователя через его сотовый телефон - именно так делает Google (в виде опции). Корпорации давно (с 90х) раздают машинки размером с кредитку, показывающие постоянно меняющийся пароль - в этом случае секретом является функция внутри машинки, вычисляющая пароль по текущему времени.

    Но все это ГЕМОРРОЙ.

    ОтветитьУдалить
    Ответы
    1. Тут речь идет о массовом сливе. Это одного человека можно развести на всякую социнженерию или подобрать пароль, миллион - уже многовато. Я на СС послушала замечательный доклад, и таки да, человек - слабое звено, только не юзер, а разработчик. Там дивные примеры приводились, когда люди просто головой не подумали и стороннее лицо получило полную базу их секьюрных токенов сервиса. Не хакер, не злоумышленник, а просто посторонний человек.
      Можно говорить юзеру "Ах, у вас слишком простой пароль", но чтобы убедиться, что 30 тысяч человек использовали простой пароль, надо базу где-то выкачать и хэши-то поломать в щепки.

      Удалить
    2. Популярные трояны, которые распроcтраняются в основном через фишинг и drive-by download, заражают и больше. Zeus, например, заразил 3,6+ млн. аккаунтов. Стащить учётки у миллиона человек (а не миллион учеток у одного человека) на этой сцене не такое уж редкое дело.

      Удалить
    3. Одно дело заразить, другое - собрать данные. И собственно, почему база именно пользователей Яндекса в таком случае?
      Хотя ниже уже дали ссылку на новость - выложили 4 млн эккаунтов Мейл.ру

      Удалить
    4. Троян как раз и делает, что собирает данные, это его предназначение.
      А аккаунты mail.ru тут причём? Если вы считаете, что у яндекса стащили хэши через дыру в безопасности.

      Удалить
    5. Я не знаю, как "плохие люди" ведут статистику - скажем, меня заразили, но собирать нечего (троян заточен под какие-то другие ресурсы, не пользуюсь почтой, что-нибудь еще) или проверка антивирусом его выявила вскоре после заражения. Проще говоря, из условной 1000 заражений срабатывает скажем 800. Из них результативно (собрали именно то, что требовалось) - 300.
      Про мейл.ру: если слив Яндекса результат троянщины, то встает вопрос - а чего так выборочно вдруг? Почему именно и только Яндекс пал жертвой? Но тут же вот пишут, что выложена база Мейл.ру заодно.

      Удалить
    6. Ну, реально, я бы сказал, что хоть что-то интересное (любые логины-пароли, сертификаты и т.п.) собирают с в лучшем случае с половины машин, а то, что хотелось (банковские данные, например) - где-то с десятой доли процента. Но миллион учеток с одного семейства троянов это, в общем, не фантастика, а миллион учеток, собранные за 10 лет работы серией троянов так и вообще.

      Моя рабочая гипотеза - слили любовно собранную разными способами для спамеров и аналогичных мошенников за многие годы базу. Она, естественно, была разбита на разные сервисы. Сначала утек Яндекс, теперь Мэйл.

      Удалить
    7. 2corpuscula: Дело в том, что при правильном хранении паролей их "слив" вообще мало что дает. Оригиналы паролей не хранятся в системе где-то начиная с конца 80х. В системе как правило есть лишь "хэш" паролей, то есть набор крокозябр полученных после вычисления некой функции от настоящего пароля. При аутентификации, Вы вводите пароль, от него снова считается хэш и сравнивается с тем, что сохранен в системе.

      Получить их хэша пароль иногда можно, но достаточно сложно, особенно если пароль хорошо подобран.

      Удалить
    8. Ну так в этом же треде об этом писали выше. Хэш ломают, но я алгоритма не знаю, не интересовалась подробно.
      Оригиналы же, как оказалось, у некоторых хранятся. Вон недавно в комментах писали, что Вконтакте хранил пароли в открытом виде. Мне в это сложно было поверить, но говорят, факт.

      Удалить
    9. 2corpuscula: Описанная выше технология сводится к супер-быстрому (и теперь как правило параллельному) перебору словарей в попытках найти слово, совпадающее с хешом. Работает, как я уже упоминал, далеко не всегда, но если у Вас есть миллионы хешированных записей, то уж пара тыщ подберется.

      Что касается Вконтактика, то охотно верю. Все эти молодые, амбициозные ньюфаги нихрена не понимают ни в теории информатики, ни в выработанных годами практиках. Как следствие, каждый следующий молодой человек идет все по тем же граблям, изобретая каску по пути. Бородатые отцы-юниксоиды не одобряют, в общем.

      Удалить
    10. Не совсем так. Если ваш пароль входит в число 10к самых популярных (а это большая доля, не пара тысяч из миллиона, а, скорее, сотни тысяч) - его подберут. Если хэши хранятся без соли (редко, но бывает) и пароль входит в число 300к самых популярных - его уже подобрали пять лет назад. Если ваш пароль не длинный или длинный, но относительно популярный, и вы стали жертвой направленной атаки - его подберут.

      Удалить
  5. показательна реакция яндекса. на "дожде" ответственный за персональные сервисы мужчина с говорящей фамилией Забанных публично сказал, что количество реально пострадавших эккаунтов "пренебрежимо мало". также он сказал, что данный инцидент никак не повлияет на котировки акций яндекса.

    это выдаёт в нём скорее выпускника математического факультета, но никак не менеджера ит-компании.

    ОтветитьУдалить
  6. там habrahabr.ru/post/236077/
    в комментах выложили ссылки на (некоторые) проверочные базы

    games-gen.com/mails/check3.html (mail.ru, 4427521 мыло)
    games-gen.com/mails/check2.html (yandex.ru, 1261809 мыл)
    games-gen.com/mails/check.html (сборник разных почт, слитых в декабре 2013го, 4879197 мыл)
    isleaked.com/ (yandex.ru и mail.ru)
    yaslit.ru/ (yandex.ru)

    ОтветитьУдалить
  7. а на русских сервисах (mail.ru, yandex.ru) есть вообще 2-step verificaiton?
    или это пока недоступно?

    ОтветитьУдалить
  8. упс! пишут что и у mail.ru что-то слили взломали или укралили... http://lenta.ru/news/2014/09/08/mailpassword/

    ОтветитьУдалить
    Ответы
    1. "Что-то" в количестве 4,6 миллионов слитых в сеть адресов и 800 тыщ из них с паролями.

      Удалить
  9. ладно там украли
    но какой навоз надо иметь в головёнке вместо мозгов, чтобы фотать свою письку на дивайс, подключенный к интернету
    это я про упомянутый легион тупорылых селебр ̶̶̶̶̶̶̶̶с̶̶̶̶̶̶̶̶т̶̶̶̶̶̶̶̶а̶̶̶̶̶̶̶̶р̶̶̶̶̶̶̶̶л̶̶̶̶̶̶̶̶̶̶̶̶̶̶̶̶е̶̶̶̶̶̶̶̶т̶̶̶̶̶̶̶̶о̶̶̶̶̶̶̶̶к̶̶̶̶̶̶̶̶ есличо

    ОтветитьУдалить
    Ответы
    1. Они же не знали, что эти фотки куда-то там пихаются и хранятся даже после того, как были удалены из дивайса. Вы вот много знаете о том, что, куда и как часто передает ваш смартфон?

      Удалить
    2. категорически не согласен!
      если устройство подключено к интернету, значит надо априори полагать, что к содержимому устройства кто-то может получить доступ (а скорее всего, уже), и действовать сообветсвенно
      это как в том анекдоте про поручика ржевского: "есть рот - значит берет"
      есть тырнет - значит утекает

      и да, я знаю, что и когда передает мой андроидный фончик - ВСЁ!
      вот только не знаю, куда
      полагаю, прямиком в фбр, цру, анб и армейскую разведку. надеюсь, в кагэбэ тоже
      хочешь хахеля образом ляльки своей порадовать - доставай из чулана дедушкин старый-добрый тёплый ламповый плёночный ̶̶̶̶̶̶̶̶л̶̶̶̶̶̶̶̶о̶̶̶̶̶̶̶̶м̶̶̶̶̶̶̶̶о̶̶̶̶̶̶̶̶-̶̶̶̶̶̶̶̶к̶̶̶̶̶̶̶̶о̶̶̶̶̶̶̶̶м̶̶̶̶̶̶̶̶п̶̶̶̶̶̶̶̶а̶̶̶̶̶̶̶̶к̶̶̶̶̶̶̶̶т̶̶̶̶̶̶̶̶ кодак, фотай, проявляй в бачке в ванной и печатай ручками в чулане отпечатки
      впрочем, этой селебрной пиздобратии такие утечки только на пользу, рейтинги-шмейтинги, полмира дрочит на сиськи этой, как её там, демона, не помню имени

      Удалить
    3. "всё" - не в смысле я всё знаю, а в смысле фончик сливает всё на сторону
      звинямс за косноязычие

      Удалить
    4. А они не знали, потому что они наивные девушки. Они думали, айфон - это так классно, это "элегантные решения" (одна девушка так написала в ЖЖ), это такое беленькое мимими. А это сраное мимими всё собирало и потом складывало в решето.

      Удалить
    5. >наивные девушки

      ну, в общем, как говаривал бельмондо в одном из фильмов, вор не всегда вор, а дурак - это навечно

      Удалить
    6. кстати, о стекле
      раз зашла речь об утечках, слежке и олдскульном дедушкином дивайсе, есть такая хорошая повестушка - джон варли "нажмите ввод" (john varley "press enter")
      http://www.lib.ru/INOFANT/WARLI/enter.txt
      рекомендую
      одну фразу оттуда я помню до сих пор -
      "я не знаю, как долго её голова пробыла в духовке, но вполне достаточно, чтобы её глазные яблоки сварились вкрутую"
      спойлер, ёпта. бгггг

      Удалить
    7. Варли актуален, как никогда:
      "Я нашел нужную клавишу и отсоединил компьютер от сети. Когда прибыла машина, я распорядился, чтобы из дома вынесли все, оставив только голые стены. Потом я прошелся по своему собственному дому, отыскивая все, что имеет хотя бы отдаленное отношение к компьютерам. Выбросил радио, продал машину и холодильник, микроволновую духовку, кухонный смеситель и электрические часы. Выбросил электрообогреватель из кровати."

      Удалить
  10. и вот опять версия, что таки утечка от Яндекса: http://www.securitylab.ru/news/457578.php
    "Эксперты считают, что утечка произошла в результате взлома путем эксплуатации уязвимости нулевого дня в сервисе или системе управления базами данных. Злоумышленники получили имена пользователей и хеши паролей, которые впоследствии были расшифрованы. Именно этим эксперты объясняют наличие в утекших базах большого количества простых паролей. В Cloudseller отметили, что компании ни в коем случае не сообщат, какую именно уязвимость эксплуатировали хакеры для осуществления взлома. "

    ОтветитьУдалить
    Ответы
    1. А вот с ними я согласна. И про 8 символов, и про количество простых паролей. В фишинг я не верю. Фишинг не такое массовое явление, чтобы прям миллион собрать и с таким количеством типичных простых паролей.

      Удалить
    2. но в целом (лишь в качестве комментария), я думаю, что взаимосвязь простых паролей и фишинга есть: те, кто не заморачивается насчет сложных паролей, легче ведутся и на фишинг. А если человек достаточно недоверчив и заботится о стойком пароле, то и на фишинг с меньшей вероятностью поведется. Так что даже если появится список, где пароли и правда были собраны фишингом, то я не очень буду удивлена, что там по большей части будут простые пароли.

      Удалить
  11. И правда интересный блог. Подпишусь.

    ОтветитьУдалить
  12. Носик пишет, мол все это совершенно устаревшие пароли и данные (что подтверждается некоторыми источниками), и все это, по его мнению - проделки МЗС, нацеленные на массовое сознание, перед тем как всобачить очередное ужесточение для пользователей Рунета.

    ОтветитьУдалить
    Ответы
    1. Логично, зачем латать дыры, если можно (читай, нужно) вентиль потуже затянуть!

      Удалить
  13. Поговаривают ещё, что это вражеский Гугл всё подстроил, чтоб отечественного производителя скомпрометировать.

    ОтветитьУдалить
    Ответы
    1. У вражеского гугла тоже потекло 5 миллионов.

      Удалить
  14. Народ читает про слитые базы данных налоговых органов, телефонов, адресов, автомобильных номеров и т.д. которые продают бывшие и действующие работники госорганов и компаний, читали про то как спецслужбы получают доступ к серверам и всякие шпионские программы запускают, а про слитые миллионы паролей думает - "это злые хакеры поломали людей с лоховскими паролями и вместо того чтобы на них наживаться все выложили в сеть " :-))

    ОтветитьУдалить

Здесь иногда пропадают комменты - это баг.