Кстати да.
Очевидно, что "взлом жж" -- это на самом деле получение доступа к почтовому ящику, куда приходит письмо с линком на смену пароля. А вот в то, что ящики на mail.ru или yandex.ru ломаются с пол-пинка, скажем, дырками в web интерфейсе, да ещё и так массово.. Не верится.
Я знаю людей, работающих или работавших в mail.ru, и они не поголовно кретины, мягко скажем.

(Reply to this) (Thread)

+1

Лишний повод не заводить ящиков в российской юрисдикции.
Скажем, gmail меня беспокоит несколько меньше, хотя google -- как раз компания, не раз не отказывавшая в доступе "кому надо". Но всё ж у них понятия некоторые есть.

(Reply to this) (Parent) (Thread)

Простите "не раз отказавшая" или "ни разу не отказавшая"?

(Reply to this) (Parent) (Thread)

Компания, которая честно предупреждает, что отказывать не будет.

И будто крупнейший концентратор личной информации граждан/не_очень в коммерческом секторе штатов, или только мне так кажется?

(Reply to this) (Parent) (Thread)

Ну так отказывала же. Причем весьма шумно отказывала - едва только чиновник едва на одну букву превысил полномочия.

(Reply to this) (Parent)

Собственно речь даже не о квалификации. Даже кретины должны были бы поинтересоваться, каким образом их взломали и попытаться заделать дырку.

(Reply to this) (Parent)

Во-первых, я бы не сказал что "о сетевых привычках человека ничего не известно". Есть его журнал, в котором о человеке написано достаточно много, чтобы можно было попытаться что-то подумать.

Во-вторых, ломают журналы не только известных личностей, которыми может озаботится ФСБ. Об этом узнают гораздо меньше людей, но всё же.

Известны факты взлома ЖЖ просто сетевыми вандалами, которые потом от имени этого юзера спамят в чужих журналах.

Социальная инженерия - великая вещь.

Ну а халявный почтовый ящик есть халявный почтовый ящик. Именно поэтому я их не держу. Единственное на мой взгляд место, где можно хранить свою почту, это сервер находящийся под административным и физическим контролем лично знакомого тебе человека, который не захочет тебя подводить и обладает достаточной квалификацией.

Именно поэтому я держу mx домена 45.free.net на той самой машине, на которой набираю этот коммент.

(Reply to this) (Thread)

Я имел в виду прежде всего такую информацию, которая бы способствовала фишингу. О том какие сайты кроме ЖЖ смотрит Алкснис из его ЖЖ понять затруднительно.

Социальная инженерия - то, что очень трудно скрыть взлома.

О brute-force атаке на онлайновый сервис, пусть даже и со словарем говорить несерьезно.

(Reply to this) (Parent) (Thread)

>О brute-force атаке на онлайновый сервис, пусть даже и со
>словарем говорить несерьезно.

Это почему так? Есть целые руководства,
как это делать, используемые для добывания
паролей к порносайтам. Работает замечательно,
на сайтах с бесплатными паролями лежат десятки
тысяч работающих паролей.

Если у человека простой пароль, брют-форс его найдет.

Кроме того, у мэйл.ру есть контрольный вопрос
(типа "имя любимой собачки"), ответив на который,
можно получить пароль. "Хэлл" этим пользуется,
что ясно из переписки родственников "Тангоданцера",
на которую я давал линк.

Такие дела
Миша

(Reply to this) (Parent)

У кого как, кто на депутатство сильно возбуждается — у него реакция предсказуемая. А так, по разному:

Первый по популярности сайт в стране — будет чуть прозрачнее. Видимо, в результате проверки. Первой и единственной. Это неплохо. Плюс лишний раз привлекает внимание к проблеме не имеющей решения — «тупорылый пароль», что обозначает Майл.ру дополнительно вложиться в пиар хороших паролей. Это полезно.

В общем — в данном случае эмоционально от А можно и отстраниться. Бывший курсант ибо. А искоренять глупость — посмотрим. Контр меры Майла, проверочка и прочее — бабка надвое сказала. Предположу — сокрее полезно чем наоборот.

dolboeb: Очередная глупость категории А
У самого же А в комментах — пошло уже несколько обострённое и экзотическое понимание ситуёвины:

Я имею право вообще не ставить никакой пароль. Это не позволяет никому лазить по моим письмам. Обеспечение безопасности — дело почтового сервиса. Они огромные деньги на нем зарабатывают, пусть делают систему безопасности на уровне.

v_alksnis2: Депутатский запрос 2

(Reply to this) (Thread)

Я имею право вообще не ставить никакой пароль. Это не позволяет никому лазить по моим письмам.

Строго говоря, верно. Если, как раз, держать при этом в уме не атаку гипотетического хакера Васи из Усть-Орды, а развлечения сотрудников сервиса.

Плюс лишний раз привлекает внимание к проблеме не имеющей решения — «тупорылый пароль»

Носег хочет нам рассказать, что кто-то ломает почтовые аккаунты перебором по словарю? Гы!

(Reply to this) (Parent) (Thread)

Точно не скажу.
Но пароли такие — ух как популярны. Мне кажется.

(Reply to this) (Parent) (Thread)

Ну, "популярны" это значит каждый сотый ими пользуется. Ну или пусть каждый десятый.

Когда мы идем на рыбалку и нам безразлично, чей аккаунт взламывать, то перебираем 500-1000 аккаунтов и получаем 10-20 тепленьких, что весьма и весьма неплохо.

Но когда нам нужно получить доступ к конкретному, заранее определенному ящику - то вся эта математика не работает.

(Reply to this) (Parent) (Thread)

Не знаю, но заведённую лет шесть или семь тому аську (попалась умеренно "красивая" -- чесслово, не подбирал!) вот, в декабре спёрли наконец. Пока пару лет сам раскачивался застрелить.

Причём за прошлый год спёрли и у коллеги, но ему было нужнее -- дёрнул знакомого в AOL, организовали репатриацию. Говорит, пароль тоже был так себе.

Это не совсем "конкретный ящик", скорее чуть менее конкретная "охота за красивыми". Хотя вполне может быть, что слишком много чести и просто дежурный проход под спам оттуда потом.

(Reply to this) (Parent) (Thread)

Если мне дадут семь лет на эксперименты, то и я, пожалуй, мэйлру взломаю.

(Reply to this) (Parent)

Кстати, насчёт оправдательных приговоров в десятки процентов - это именно по политическим статьям или вместе с бытовыми?

(Reply to this) (Thread)

извиняюсь, не в тот пост, да и в тот-то офтопик. Я это давно хотел спросить, но как-то не получилось.

(Reply to this) (Parent) (Thread)

Я пока что не нашел первоисточника этой статистики.

Но из того что знаю могу предположить, что

1) По всем

2) 58я не выделялась как-то особенно в этом отношении.

То есть например в сборнике определений ВС РСФСР опубликовано с полдюжины определений касающихся политических статей.

(Reply to this) (Parent)

Честно говоря, не ожидал такого от Вас.
По-моему, причина взломов вполне тривиальна - достаточно посмотреть контрольные вопросы к восстановлению пароля.
Ведь как минимум о трёх из четырёх имеющихся жэжэ-юзер рано или поздно напишет в своём уйутненьком, когда забудет о том, какой у него секретный ответ:
1) Девичья фамилия матери ( если и не напишет, в случае известности юзера это можно найти в необьятном; даже указания в биографии что уйзера воспитывала мать-одиночка окажется достаточно);
2) Как зовут вашу собаку;
3) Ваше любимое блюдо.
Насчёт номера паспорта - здесь тоже ситуация небезнадёжная, сами умудряются сканы своих документов выкладывать для подтверждения - Я - не виртуал !.
Почтовый ящик пользователи сами указывают в своём профиле.
У mail.ru только один минус - пользователь сам должен помнить какой у него секретный вопрос, и выбирать, но нет - если выбираем ссылочку "Забыли ?" "секретный" вопрос будет заботливо предложен.
Даже если всё и безнадёжно, всегда можно воспользоваться уязвимостями в браузере: 2 бакса за месяц хостинга, изучаем выложенные эксплоиты для IE с какого-нибудь security.nnov.ru, быстренько ляпаем страницу и даём на неё линк в нужный журнал - "зыко, во чо пишут по вашему вопросу". Или баян стыренный с просторов родины.
Это довольно глупый пример, надо сказать; у того же хэлла наверняка в рукаве более интересное.
Здесь политика мелкософта по закрытию доступа к обновлениям для владельцев ворованных виндов только на руку.

(Reply to this) (Thread)

Про вопросы это вы правильно отметили. Я и не знал, что у них такая "фича" есть.

А про эксплойты - это гон.

(Reply to this) (Parent) (Thread)

Да, про экспоиты, как я и писал, довольно глупо получилось.
Имелось в виду что нибудь вроде этого или этого. ИЕ тоже неплох - 1, 2. На самом деле применение такой информации не является таким уж невыполнимым делом.

(Reply to this) (Parent) (Thread)

Нет, я верю, что уязвимости встречаются. Я даже верю, что для них можно написать автоматические эксплойты.

Я не верю что такие вещи могут продолжаться незаметно, в течении месяцев и лет.

(Reply to this) (Parent) (Thread)

...что такие вещи могут продолжаться незаметно, в течении месяцев и лет.
А как же человеческая глупость ? (в эту кассу мой ответ arvegger)
К тому же уязвимости браузеров - каждый месяц, необязательно конечно, критические.

(Reply to this) (Parent) (Thread)

Уязвимости, которые могут, хотя бы теоретически, дать доступ к чужим данным - от силу пара в год. Каждая - ну, пусть, на месяц.

А "политические взломы" происходили не тогда, когда новая уязвимость обнаруживалась, а когда флейм накалялся.

(Reply to this) (Parent) (Thread)

А "политические взломы" происходили не тогда, когда новая уязвимость обнаруживалась, а когда флейм накалялся.

Да, меня это тоже смущает.
Но посмотрите сами. Пароли хранятся в в зашифрованном виде. Даже если злоумышленник работает в mail.ru, ему необходимо запустить что-то вроде johntheripper на каком-нибудь неплохом кластере (да, машин у них много, но я сомневаюсь что запуск левого кода не вызызывает подозрений) для оперативного взлома в случае шифростойкого пароля (с момента конфликта прошло два дня в случае с алкснисом, если мне память не изменяет).
Вдобавок, сколько подобных взломов было и похоже никто в mail.ru не зачесался - а хэлл работает всё так же одинаково оперативно :))
Тот же vele_ss: похоже, что человек в отношении паролей адекватный, понимал чем грозят споры в рунете - будут пытаться взламывать. Да и куча других - не сомневаюсь, что они писали и требовали (может и самолично появлялись в mail.ru). Неужто всё это удавалось покрывать ?
Уж тут действительно этой ерундой могла заниматься кровавая гэбня(c) или кто-то из обслуживающего персонала.
А чтобы вот так явно майлрушники позволили вызывать подозрения, тем самым подрывая своё благосостояние ?
Кстати, я не отменяю возможности существования уязвимости в самом сервисе mail.ru.

И уж вспоминая про оперативность взлома - а кто сказал, что доступ к паролям хэлл получал именно в момент обострения конфликта ?

Насчёт
как раз про пароли офицерам на службе преподают.

Честно говоря, не знаю, что им преподают.
Поработал с программистами советской закалки. Рассказывают, что пароли предпочитали генерировать самостоятельно, не доверяя это офицерам. К чему бы это ?
К тому же жэжшечка - игра, вряд ли это воспринималось серьёзно.

(Reply to this) (Parent) (Thread)

Если злоумышленник работает в mail.ru, то пароль ему без надобности - доступ к почтовому ящику он и так имеет.

(Reply to this) (Parent)

Ну не верь дальше.

Я на позапрошлой конторе объяснил, почему все пользуются мозиллой, отформатировав дискетку походом на сляпанную для того страничку специального вида и прокомментировав, что это мог быть драйв C:, без вопросов и чёрного окошечка.

(Reply to this) (Parent) (Thread)

Возьмешься сделать то же самое на моей рабочей машине в институте (она под виндой и никакого специального укрепления я ей не делал)?

:-)))))))))))))

То-то.

Хороша ложка к обеду. Одно дело - показывать ужастики на машине, которую ты и так контролируешь, в момент, который ты сам выбрал. И совсем другое те же фокусы - но в поле.

(Reply to this) (Parent)

Ведь как минимум о трёх из четырёх имеющихся жэжэ-юзер рано или поздно напишет в своём уйутненьком, когда забудет о том, какой у него секретный ответ:
1) Девичья фамилия матери ( если и не напишет, в случае известности юзера это можно найти в необьятном; даже указания в биографии что уйзера воспитывала мать-одиночка окажется достаточно);
2) Как зовут вашу собаку;
3) Ваше любимое блюдо.

Вы исходите из того, что юзер обязательно будет вбивать туда правдивые ответы. Он as well ответит, что собаку его зовут Чубайс, а любимое блюдо у него - человечина.

(Reply to this) (Parent) (Thread)

Увы, мой печальный опыт эникейщика говорит об обратном.
Большинство боится (и, кстати, оправданно) что через год, если они забудут пароль, они также не вспомнят чего они там в секретных вопросах задавали. Поэтому напряжённо чешут репу, выбирают "А что бы написать такого, что не для меня будет вспоминать полегче и так чтобы даже через два года не забыть ?".
И осторожно пишут супернавороченные ответы типа "пицца", "торт" и тп подобный бред. На предложение написать хотя бы "пиЦцА" они испуганно закатывают глаза "А вдруг я забуду ?".
Сомневаюсь, если честно, что тот же Алкснис чем-то отличается отличался от описанного типа до взлома.
А ваше предположение больше относится к продвинутым, которые уже представляют себе что такое взлом и чем это для них грозит. Кстати, даже продвинутые ловятся на том, что используют старые ящики, заведённые в момент первых шагов по рунету - раза два встречал в жэжэ как раз таких персонажей.

(Reply to this) (Parent) (Thread)

Сомневаюсь, если честно, что тот же Алкснис чем-то отличается отличался от описанного типа до взлома.

Ну, вообще-то, как раз про пароли офицерам на службе преподают.

Хотя речь, конечно, не про одного Алксниса.

(Reply to this) (Parent)

У "Хэлла" выложена переписка отца
"Тангоданцера", которым он поломал аккаунт в мэйл.ру.
Взлом происходил через контрольный вопрос.
Первый раз аккаунт вернули, но в припадке
идиотизма контрольный вопрос отец Тангоданцера
не поменял, и во второй раз ему уже не стали
отвечать на письма.

Такие дела
Миша

(Reply to this) (Parent) (Thread)

Я как раз про это и говорил.
Люди почему-то предпочитают думать о коррупции/суперхакерах/кровавой гэбне чем о простых и более легко обьяснимых причинах.

(Reply to this) (Parent)

Кейлоггеры.

(Reply to this) (Thread)

см п 2. Атакующий не имеет физического доступа ни к компьютеру жертвы, ни к его локальной сети.

Если мы можем установить на машине кейлоггер, то о такой мелочи, как вытрясание почтового пароля из настроек браузера - можно не волноваться.

(Reply to this) (Parent) (Thread)

Зачем иметь доступ? Можно прислать кейлоггер жертве по почте (он поставит его самостоятельно), можно дать ссылку в комментах. Наконец, можно распространять кейлоггеры массово, в надежде, что какие-то из найденных паролей рано или поздно пригодятся. Так делают чаще всего и вполне успешно.

(Reply to this) (Parent) (Thread)

Это называется фишинг, см п 1.

(Reply to this) (Parent)