geekkoo - Post a comment [entries|archive|friends|userinfo] geekkoo [ userinfo | ljr userinfo ] [ archive | journal archive ]

Про это. Jul. 31st, 2007|09:50 pm geekkoo Известному журналисту Мальгину сломали журнал в ЖЖ и он теперь вышел на тропу войны. С одной стороны быкует - назначил приз за сведения о злоумышленниках и грозится переломать им пальцы ( http://lj.rossia.org/users/amalgin/479850.html?thread=8927082#t8927082 ), а с другой собирается начать кампанию на телевидении с тем, чтобы отныне в интеренет пускали только после переписывания паспортных данных, взятия отпечатков пальцев и босиком ( http://lj.rossia.org/users/schegloff/70793.html - в каментах ) На самом деле, эти граждане, которые "пятнадцать лет в метро не спускались" почему то считают, что брать опечатки пальцев и переписывать за них паспорта, должен делать кто-то ещё, а сами они офигенно творческие и лезть в скучные технические детали им не обязательно. Лучше палачом на общественных началах работать ( http://lj.rossia.org/users/schegloff/70793.html?thread=30857#t30857 ). Насколько я понимаю (это всё мое личное мнение), злоумышленники ломают вначале почту, отравляя кэш ДНС ( есть статья в Вики http://en.wikipedia.org/wiki/DNS_cache_poisoning и статья Бернштейна на ту же тему http://cr.yp.to/djbdns/notes.html#poison ), а затем на захваченную почтовую систему пересылают пароль блога. ДНС не является защищенным протоколом (как написано в Вики, есть защищенный вариант DNSSEC, но он слабо распространен), и к данным, что сообщает ДНС нужно относится с опаской. Т.е. в 90-х годах отравить кэш было всё равно, что у ребенка конфету отнять, но и сейчас всё далеко не идеально. Насколько я понимаю, взломщику нужно угадать два байта и номер порта, с которого происходит запрос к ДНС, чтобы вместо своего почтового ящика на гмыле вы оказались в застенках испанской инквизиции. Ошибки в серверах ДНС ( например, свежая в bind - http://www.linux.org.ru/view-message.jsp?msgid=2052801 ) эту задачу ещё более упрощают. Т.е. решением было бы использование механизмов проверки паролей, включающее в себя проверку идентичности как клиента, так и сервера (типа GSSAPI, может ещё какие-то есть). Пересылка паролей в хэшах (про открытый текст я вообще молчу) это сделать не позволяет. А лучше, конечно, поменьше перепонки топорщить. Как следует из вот из этого объяснения для чайников ( http://www.csgeeks.org/~boyd/Misc/dns-cache-poisoning.html ) прогресс на месте не стоит и люди, задавшиеся целью украсть у вас пиво, его рано или поздно украдут. Link Read Comments

Reply: From: Anonymous (will be screened) OpenID Identity URL:  Login?  пользователь LiveJournal.com имя пользователя:    помнить 1 день 1 неделю 1 месяц 1 год Вы должны предварительно войти в LiveJournal.com   E-mail для ответов:  Вы сможете оставлять комментарии, даже если не введете e-mail. Но вы не сможете получать уведомления об ответах на ваши комментарии! Внимание: на указанный адрес будет выслано подтверждение. LJ.Rossia.org user Username: Password: Login?  Subject: No HTML allowed in subject Message: Don't auto-format: