kouzdra: Еще про "хакера, крутую писю"

(Добавить комментарий)

	Форма ничуть не похерена ujo 2007-09-21 00:55 (ссылка)
	Просто Скунс обижен на сервис и порет непроверенную чушь. (Ответить) (Ветвь дискуссии)

	Re: Форма ничуть не похерена kouzdra 2007-09-21 10:39 (ссылка)
	http://lj.rossia.org/users/kouzdra/317188.html?thread=1743876#t1743876 (Ответить) (Уровень выше)

Re: Форма ничуть не похерена

kouzdra
2007-09-21 15:29 (ссылка)

PS: Просто дыра очевидная - большая часть информации, которую они спрашивают, находится гуглом, кое-что - например время попытки восстановления через секретный вопрос (который сам по себе дыра в безопасности) - просто организуется (mail.ru небось ведь не посылает уведомления о неудачной попытке получить пароль)

Ну а потом - там на саппорте сидит какая-нибудь замученная девочка, которой такое сыплется пачками, причем 90% вопрошающих ни пароля, ни "секретного ответа" ни фига естественно не помнят даже приблизительно.

(Ответить) (Уровень выше) (Ветвь дискуссии)

ujo
2007-09-21 16:18 (ссылка)

То, что сама по себе такая возможность "восстановления" пароля является дырой, я согласен. Просто надо иметь, на кого ориентируется Mail.Ru. Мы ведь вместо со знанием о средней техподдержке, и о среднем пользователе кое-что знаем.

(Ответить) (Уровень выше)

	Re: Форма ничуть не похерена tiphareth 2007-09-28 23:57 (ссылка)
	Скунс был вице-президентом mail.ru (точнее, port.ru, зонтичной структуры, которой принадлежал мэйл.ру). Лет 5-6, по-моему Такие дела Миша (Ответить) (Уровень выше) (Ветвь дискуссии)

	ujo 2007-09-29 00:03 (ссылка)
	В mail.ru самые разные люди работают. Ну и что? (Ответить) (Уровень выше)

	vkni 2007-09-21 06:50 (ссылка)
	Да. Проверил. У меня на мне сработало. Поэтому Вам от меня низкий поклон и огромное спасибо. А ammosov'у видимо 100 баксов отнести надо. :-) (Ответить) (Ветвь дискуссии)

	ujo 2007-09-21 15:12 (ссылка)
	А что конкретно вы отвечали? И - для какого ящика, если не секрет? (Ответить) (Уровень выше) (Ветвь дискуссии)

vkni
2007-09-21 18:59 (ссылка)

>И - для какого ящика, если не секрет?
А ключи от квартиры тоже попросите?

>А что конкретно вы отвечали?
Разное. Совпало только д/р, имя, фамилия, 2 первые цифры паспорта. В анкете регион не заполнен, при восстановлении - указан.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	ujo 2007-09-21 19:08 (ссылка)
	Вы делали запрос на возвращение пароля с того же IP, с которого регистрировали почту. Вот и вся тайна. (Ответить) (Уровень выше) (Ветвь дискуссии)

	kouzdra 2007-09-21 19:16 (ссылка)
	Вопрос сложнный - может быть, конечно, но не факт. Вообще - народ вроде пробует и тоже получается: http://ammosov.livejournal.com/245754.html (Ответить) (Уровень выше) (Ветвь дискуссии)

	ujo 2007-09-21 19:23 (ссылка)
	Почему-то никто не пишет подробностей. Никто не пишет, что написал об этом в поддержку. Очень много шума, и все утаивают ИмяФамилию, которые в каждом исходящем письме пишутся. (Ответить) (Уровень выше) (Ветвь дискуссии)

kouzdra
2007-09-21 19:30 (ссылка)

Так а спросите конкретику - я не вижу причин не верить людям. Я ip хелловские тоже пока не спросили не выкладывал - просто потому, что не зачем, вроде.

Тут есть еще такой момент - если отрицательный ответ на запрос добавляет работы (а он добавляет - переписку придется продолжать), то искривление будет во вполне определенную сторону - послать пароль и не париться.

(Ответить) (Уровень выше) (Ветвь дискуссии)

vkni
2007-09-21 19:36 (ссылка)

Антон, это идиотизм - решать верить людям в этом вопросе или нет! Проверить самому - 5 минут делов: регистрируешь ящик, взламываешь по технологии.

Нет, нужно по-брюзжать и по-выпендриваться.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	ujo 2007-09-22 08:23 (ссылка)
	В том-то и дело, что конкретную ошибку описали только вы, никак не Аммосов. (Ответить) (Уровень выше)

vkni
2007-09-21 19:38 (ссылка)

Блин. Если вам будут рассказывать, что ригельные замки взламываются вы тоже, пока в чужую квартиру не влезете, не успокоитесь? Проверьте сами на своём новом ящике. Или на своих приятелях.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	ppkk 2007-09-24 15:08 (ссылка)
	Я аршлох, не нашёл пяти минут на выходных (правда, другого ip не было). Ясно, действительно дыра, хотя и почти социально-инженерная. Жалко, что надежда на проверку ip не подтвердилась… (Ответить) (Уровень выше)

vkni
2007-09-21 19:29 (ссылка)

Хорошо, другой статический IP. Комп., с которого я заходил пингуется извне.
-----------------------

Здравствуйте.

Пароль к п/я xxx@mail.ru : skeUwe3s
Мы рекомендуем Вам установить новый пароль
(http://www.mail.ru/pages/help/243.html).
Также рекомендуем Вам сменить секретный вопрос и ответ на него
(http://www.mail.ru/pages/help/185.html).

С уважением,
Служба поддержки пользователей почтовой системы Mail.ru

(Ответить) (Уровень выше)

ppkk
2007-09-21 16:22 (ссылка)

Тот же вопрос.

Из комментариев к сообщению ammosov'а ясно, что многие врут, хочется точного и подробного знания. Я сейчас сам проверю (но хочу с другого ip, чем выхожу на mail.ru: иначе положительный результат не слишком неадекватен во многих случаях).

Секретный вопрос был, но не был введён, да?

(Ответить) (Уровень выше) (Ветвь дискуссии)

vkni
2007-09-21 18:45 (ссылка)

>Я сейчас сам проверю
Слова не мальчика, но мужа. Достали придурки, долго рассказывающие, но не удосуживающиеся проверить.

Секретный вопрос - номер паспорта. Номер, естественно от балды, но при заполнении формы я указал серию так же, как при регистрации - 87.

Время последнего доступа поставлено неправильно! Проверял я 21-го, регистрировал 21-го, а при заполнении формы поставил 19-тое сентября 2007-го.

(Ответить) (Уровень выше) (Ветвь дискуссии)

ppkk
2007-09-21 18:50 (ссылка)

Ну, я проверю когда другой ip мне будет доступен (не "хакерствовать" же?).

То есть: секретный вопрос введён не был, анкетные данные приблизительно введены верно?
А ip-адрес, откуда форма посылалась, совпадал с одним из адресов, с которых были обращения к почте?

(Если совпадал, то всё равно, конечно, "открытые ворота", но всё же.)

(Ответить) (Уровень выше) (Ветвь дискуссии)

	vkni 2007-09-21 19:05 (ссылка)
	Я плохо объяснил. Секретный вопрос был слегка введён - номер паспорта 87 234546, а введено 87 9087023 . Вот так. (Ответить) (Уровень выше) (Ветвь дискуссии)

ppkk
2007-09-21 19:17 (ссылка)

Да, понятно.

В общем, надо "научиться" говорить им: "Вот мои паспортные данные, без предъявления паспорта ни блокировать, ни восстанавливать пароль нельзя". И им приятнее, ибо более живой человек. Но обман оператора всё равно будет возможен (это уже не решить: кто-нибудь пошлёт копию моего паспорта и будет грозно говорить, что я в Японии и мне без почты тяжело и т.п.).

В общем, безопасность терпимая для бесплатной службы при правильном использовании.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	vkni 2007-09-21 19:31 (ссылка)
	Да, ладно. Сейчас всё более-менее пристойно для простых смертных. Ну появляются дыры. Так эту наверно залатают. (Ответить) (Уровень выше) (Ветвь дискуссии)

	ppkk 2007-09-21 19:49 (ссылка)
	Самому париться (без mail.ru или аналогичного Гугла) сподручно только тем, у кого собственный сервер 100 лет уже (и будет ещё 200), и за ним всё равно придётся следить (ибо куча другой фигни на нём же). (Ответить) (Уровень выше)

ppkk
2007-09-21 16:28 (ссылка)

Кстати, когда я некоторое время назад пытался обратить внимание людей на необходимость сложного ответа на секретный вопрос, резонанс отсутствовал. А это-таки робот, возможен перебор. Указанная форма всё же людьми вроде бы обрабатывается.

(Ответить) (Ветвь дискуссии)

	ujo 2007-09-21 19:03 (ссылка)
	Там капча вылезает после нескольких неправильных ответов. Не спасает, но всё же. (Ответить) (Уровень выше) (Ветвь дискуссии)

ppkk
2007-09-21 19:08 (ссылка)

Это хорошо.

Значит, "любимое блюдо" подобрать уже непросто.

Но честные ответы на "девичья фамилия матери" и т.п. — распространённое явление. У меня был честный ответ на вопрос про "любимое блюдо" (причём из одного слова, кажется, через пробел не шло).

Так как вопрос известен (его воспроизводят), то даже три попытки при честном ответе — высокая опасность угадывания.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	ujo 2007-09-21 19:14 (ссылка)
	Согласен, капчу неплохо бы сразу. (Ответить) (Уровень выше) (Ветвь дискуссии)

ppkk
2007-09-21 19:47 (ссылка)

А вопросы, ответы на которые можно узнать точно, типа девичьей фамилии матери, вообще нельзя вставлять.

В этом смысле всегда сравнение будет в пользу сисадмина, который только при личной встрече всё восстановит, причём удалённо даже он этого не сможет сделать.

В общем, при правильном использовании должно более ли менее ли работать нормально (кстати, сейчас на mail.ru по умолчанию 10 Гб, и можно бесплатно увеличивать, но только если свободно осталось в пределах 100 Мб).

(Ответить) (Уровень выше)

	ujo 2007-09-21 19:10 (ссылка)
	В смысле капча вылезает где секретный ответ спрашивают. Форма да, людям уходит. (Ответить) (Уровень выше) (Ветвь дискуссии)

	ppkk 2007-09-21 19:11 (ссылка)
	Да, я так и понял, спасибо. (Ответить) (Уровень выше)

ppkk
2007-09-21 17:02 (ссылка)

К мобильному номеру херню сотворить много проще, спрашивают фактически только паспортные данные (заблокировать телефон, сменить PIN-код в шутку). Если, конечно, у них не сохраняются голоса абонентов (я-то только себе блокировал или узнавал PUK-код). И аналоги советов "знатоков" про gmail/hotmail выглядят смешнее.

Пиздеца я всё-таки не разглядел пока, но, вероятно, в основном из-за отсутствия альтернатив (у меня все остальные адреса умирали по техническим причинам, вечных не предвидится [доменное имя своё требует бОльшего ковыряния, если хочешь высокой надёжности, да и фильтровать спам сложнее: у меня есть адрес на своём домене, он много неприятнее mail.ru, да и домен, и хостинг много менее надёжны]).

(Ответить) (Ветвь дискуссии)

	kouzdra 2007-09-21 17:11 (ссылка)
	С мобилой цена вопроса ниже - ну заблокируют - дел всего - дойти до ближайшего офиса и разблокировать. (Ответить) (Уровень выше) (Ветвь дискуссии)

ppkk
2007-09-21 17:21 (ссылка)

Особенно удобно это делать, например, во время отпуска в другой стране.

Как однократная злая шутка знакомых — очень эффективно, полагаю.

(Перед важной встречей и т.п. — тоже тема.)

Собственно, указанные "ворота" в mail.ru — аналог "прихода в офис", разве что отсутствие паспортных данных, например, создаёт впечатление "открытых настежь ворот". Проще это решать не анонимностью, а тесным общением со службой: чем лучше тебя знают, тем тяжелее кому-то выдать себя за тебя.

(Ответить) (Уровень выше)

	ujo 2007-09-21 19:05 (ссылка)
	"доменное имя своё требует бОльшего ковыряния, если хочешь высокой надёжности, да и фильтровать спам сложнее" http://www.google.com/a/help/intl/ru/users/gmail.html (Ответить) (Уровень выше) (Ветвь дискуссии)

ppkk
2007-09-21 19:28 (ссылка)

Я имел в виду проблемы на уровне хостинга и продления доменного имени в первую очередь: с этим многие накалывались неожиданно.

Гугл принципиально не безопаснее, как я понял (тоже личные данные спрашивает при восстановлении стандартно и т.п.).

А вот собственный администратор, который без интернета тебе всё настраивает, как скажешь, а через интернет никто не сможет — вот это и есть превосходство от собственного доменного имени. Если этот администратор ты сам, то это и есть ковыряние.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	kouzdra 2007-09-21 21:57 (ссылка)
	Собственное доменное имя - это в первую очередь возможность без проблем менять хостинги. (Ответить) (Уровень выше) (Ветвь дискуссии)

ppkk
2007-09-24 15:01 (ссылка)

Да, но это и есть "возня".

Это сложное решение, если доменное имя в основном ни для чего более не нужно (как большинству людей).

Кстати: а какое мнение об "Инфолане"? Я тут подключился, с женой теперь очень чётко понимаем, что такое "деревенский интернет".

(Ответить) (Уровень выше)

	ujo 2007-09-22 07:49 (ссылка)
	Точно, хостинг можно менять. А с этим сервисом Гугла для почты хостинг вовсе не нужен, достаточно где-то оплатить DNS -- это сейчас в том же Руцентре можно. (Ответить) (Уровень выше)

1347677.livejournal.com
2007-09-21 19:56 (ссылка)

Хэлл утверждает, что ему все равно, что ломать: мэйл.ру или что другое:

Станаову я ломал гугли, заглотаву рамблер, пробежему яндекс, линкеру , гугли, яндекс и платные ящики, латексзапалу корпоративный и яндекс, вокинжопасу яху, хотмайл и гугли. Это вот тебе эксклюзивная информация от первого лица, так сказать.

Вадеку казаченке сайт снесли, анальгину кстати тоже, и так далее - так что мэйл ру это жупел для придуркав типа амосава, который народ тока смешит.

Да, у алксница почта ру была вообще.

http://lj.rossia.org/users/gregory_777/1081055.html?nc=68

(Ответить) (Ветвь дискуссии)

kouzdra
2007-09-21 20:25 (ссылка)

Во-первых - мало ли чего он утверждает.

Во-вторых - у Акнсниса, как выяснилось, пароль был gd<номер кабинета в думе> - то есть тоже прямой кандидат на подбор паролей.

В-третьих - никто не говорит, что именно Хелл именно так ломал. Говорится,
что так mail.ru ломается.

В четвертых - если на том же gmail'e есть дыра, через которую лазил Хелл - значит она есть и раз найдя ее особенно париться больше не надо. Эти вещи тиражируемы. Вот Аммосов дыру описал - и у народа получается. А хелл рассуждает о сложностях взлома. Так что дыры я думаю нет. А есть либо подбор пароля на основе сбора информации о жертве, либо какое-то проникновение на ее компьютер.

(Ответить) (Уровень выше) (Ветвь дискуссии)

d-k-d.livejournal.com
2007-09-21 21:45 (ссылка)

вырисовывается, как вариант, что "дырой" может быть все та же социальная инженерия, но применительно к саппорту
неважно, какого почтового сервиса (для каждого подбирается определенный алгоритм исходя из особенностей аутентификации владельца ящика)
данные М-агента на мэйл.ру - подспорье, но те же имя-фамилия и дата рождения могут быть взяты из открытых источников
совпало - повезло, ящик вскрыт
мы же не знаем, сколько ящиков пытались вскрыть
м.б. процент удач совсем невысокий

кстати, в списке "удач" хелла я не вижу того, кому ломали бы исключительно платный ящик (у всех в history присутствует какой-нибудь из бесплатных почтовых сервисов)

(Ответить) (Уровень выше) (Ветвь дискуссии)

kouzdra
2007-09-21 21:50 (ссылка)

Ну да - более того - дата регистрации мэйла тоже примерно выясняется. Время последнего доступа можно прикинуть. Время попытки восстановления пароля через секретный вопрос - просто делается сама попытка.

Плюс к тому есть форма, где можно написать убедительную телегу по поводу потенциально неверных данных - типа забыл и т.п.

(Ответить) (Уровень выше) (Ветвь дискуссии)

d-k-d.livejournal.com
2007-09-21 22:01 (ссылка)

и есть ли лимит попыток запроса пароля? может, взломщики ходят по кругу и раз в неделю тестируют очередной набор данных для каждой потенциальной жертвы...

не знаю, верить ли, но вот человек пишет:
"Ввел минимум данных - те что были прописаны в агенте плюс случайным образом заполнил остальные обязательные поля"
(отсюда: http://citizen-sam.livejournal.com/132835.html )

мне ваша мысль о том, что "на саппорте сидит какая-нибудь замученная девочка, которой такое сыплется пачками, причем 90% вопрошающих ни пароля, ни "секретного ответа" ни фига естественно не помнят даже приблизительно" кажется вполне себе верной
по крайней мере, до вчерашнего дня, когда поднялась эта волна )))

(Ответить) (Уровень выше) (Ветвь дискуссии)

kouzdra
2007-09-21 22:07 (ссылка)

vkni (которому я не вижу причин не верить) говорит, что он успешно проделал это сегодня дважды - второй раз для проверки гипотезы про ip. Так что если и есть - то какой-то довольно мягкий.

(Ответить) (Уровень выше) (Ветвь дискуссии)

d-k-d.livejournal.com
2007-09-21 22:21 (ссылка)

аха, теперь понятно что означало его (vkni) "Хорошо, другой статический IP"
я сразу и не поняла, что это была вторая попытка за день (!)

замечательно, оказывается можно многократно "забывать" свой пароль и получать новый
уа-ха-ха, они еще и каждый раз рекомендуют поменять пароль и секретный вопрос?
звучит прямо как издёвка ))

плакаю )))

(Ответить) (Уровень выше)

ppkk
2007-09-24 16:26 (ссылка)

Создал на gmail.com учётную запись (весь интерфейс по-русски), она сразу моё имя сделала в духе "?????????????", при восстановлении пароля секретный вопрос (из списка!) стал в духе: "???? ???????? ?????????? ??????????".

Без секретного вопроса (даже с ошибкой в одном символе ответа) никуда. А вот kouzdra.gmail.com тоже (в духе mail.ru) предлагает домашний телефон вводить и что-то такое.

(Ответить)