| Про это. |
[Jul. 31st, 2007|09:50 pm] |
Известному журналисту Мальгину сломали журнал в ЖЖ и он теперь вышел на тропу войны. С одной стороны быкует - назначил приз за сведения о злоумышленниках и грозится переломать им пальцы ( http://lj.rossia.org/users/amalgin/479850.html?thread=8927082#t8927082 ), а с другой собирается начать кампанию на телевидении с тем, чтобы отныне в интеренет пускали только после переписывания паспортных данных, взятия отпечатков пальцев и босиком
( http://lj.rossia.org/users/schegloff/70793.html - в каментах )
На самом деле, эти граждане, которые "пятнадцать лет в метро не спускались" почему то считают, что брать опечатки пальцев и переписывать за них паспорта, должен делать кто-то ещё, а сами они офигенно творческие и лезть в скучные технические детали им не обязательно. Лучше палачом на общественных началах работать ( http://lj.rossia.org/users/schegloff/70793.html?thread=30857#t30857 ).
Насколько я понимаю (это всё мое личное мнение), злоумышленники ломают вначале почту, отравляя кэш ДНС ( есть статья в Вики http://en.wikipedia.org/wiki/DNS_cache_poisoning и статья Бернштейна на ту же тему http://cr.yp.to/djbdns/notes.html#poison ), а затем на захваченную почтовую систему пересылают пароль блога.
ДНС не является защищенным протоколом (как написано в Вики, есть защищенный вариант DNSSEC, но он слабо распространен), и к данным, что сообщает ДНС нужно относится с опаской. Т.е. в 90-х годах отравить кэш было всё равно, что у ребенка конфету отнять, но и сейчас всё далеко не идеально. Насколько я понимаю, взломщику нужно угадать два байта и номер порта, с которого происходит запрос к ДНС, чтобы вместо своего почтового ящика на гмыле вы оказались в застенках испанской инквизиции. Ошибки в серверах ДНС ( например, свежая в bind - http://www.linux.org.ru/view-message.jsp?msgid=2052801 ) эту задачу ещё более упрощают.
Т.е. решением было бы использование механизмов проверки паролей, включающее в себя проверку идентичности как клиента, так и сервера (типа GSSAPI, может ещё какие-то есть). Пересылка паролей в хэшах (про открытый текст я вообще молчу) это сделать не позволяет.
А лучше, конечно, поменьше перепонки топорщить. Как следует из вот из этого объяснения для чайников ( http://www.csgeeks.org/~boyd/Misc/dns-cache-poisoning.html ) прогресс на месте не стоит и люди, задавшиеся целью украсть у вас пиво, его рано или поздно украдут. |
|
|
| Comments: |
Там еще веселее может быть - я вчера втупую попытался поиграться с "я забыл свой пароль" на россиянских почтовых серверах. Очень часто (!) с меня спрашивали информацию, которую можно попробовать поискать.
Вообще-то, Великий Инквизитор как-то демонстрировал взломанный гмыл. Я думаю, что у них-то с этим всё в порядке.
Хотя веру в человечество я потерял, когда мне показали почтовый аггрегатор на мыл-ру, который хранил пароли от аггрегируемых почтовых ящиков.
Во-во. Подломали один ящик, а в нем содержалась инфа на другой. Ну, или с гмыла высылался пароль на уже подломанный...
В общем так тоже можно поковыряться.
| From: | ![[info]](http://lj.rossia.org/img/userinfo.gif) schegloff |
|---|
| Date: | August 3rd, 2007 - 07:11 am |
|---|
| | На гмыле те же проблемы | (Link) |
|
Есть восстановление пароля по "вопрос-ответ".
Но "отравленный DNS" - конечно же, куда более профессиональное решение. Респект хозяину журнала! | |
