Mladík kompromitoval řadu účtů na Twitteru včetně účtu prezidenta Obamy
Nálepky:
V pondělí byla kompromitována řada účtů na Twitteru včetně účtu prezidenta Obamy nebo zpěvačky Britney Spears. Začaly se na nich objevovat podezřelé zprávy. Problém má na svědomí osmnáctiletý mladík, který se pomocí slovníkového útoku běžícího přes noc dostal k administrátorskému účtu Crystal. Z toho následně již snadno získal přístup k dalším účtům. Problémem Twitteru je, že nemá omezený počet neúspěšných pokusů pro autentizaci.
Až budete programovat službu s uživatelskými účty, rozhodně nezapomeňte vaši webovou aplikaci proti takovým útokům bránit a počet opakovaných neúspěšných po sobě jdoucích pokusů o autentizaci omezte.
(Zdroje: TechNewsWorld, Wired, Twitter)
Martin Hassman
Martin Hassman založil a řadu let vedl magazín Zdroják, absolvoval VŠCHT Praha, pořádal řadu konferencí, pomáhal s rozšířením otevřených technologií, byl u založení projektů CZilla, Dáme roušky a dalších. Vymyslel a dva roky vedl dobrovolnický projekt Movapp pod Česko.Digital. Nyní pracuje jako produktový manažer v datové platformě Golemio.cz.
Heh, každá inteligentní webovka by měla mít omezení na počet chybných přihlášení a také detekci jestli se snaží někdo použít dictionary attack nebo brute force attack a hlavně u admin učtu .
A ten borec měl použít TOR sice to není nejrychlejší ale na slovník by to krásně stačilo…ted by se někde smál :-)
dneska se na bezpecnost kasle zacinam mit dojem; uzivatele voli slaba hesla a rikaji si, proc zrovna ja bych mel nekoho zajimat?
Proč by někdo lez do mailu zrovna mě? :D
Já si myslím, že by každá webovka měla implementovat OpenID a přínos bude na obou stranách. Webovka se nebude muset start o vámi zmíněné ptákoviny, ale o funknčnost, kterou chce poskytovat a uživatel si mohl pamatovat jedno silné heslo na systému pro který je správa účtů činnost číslo 1 a ne jen nutný doplněk. Protože podle toho ta autentizace na většině webů vypadá.
Což problém neřeší, ale jen přesouvá na stranu poskytovatele identity.
(i když je tu určitá šance, že při specializaci bude dělat každý tu svoji práci lépe: tvorba služby a autentizace)
Problém je u nedůležitých, i když navštěvovaných, služeb ten, že zablokování by každou chvíli tím pádem odnesl jen správný uživatel. Což je nepřijatelný. Tudíž nutit volit silná a dlouhá hesla, pak si nějakej slovníkovej útok může leda nabouchat nebo to zkoušet klidně do skonání světa (když bude hodně otravovat a vytěžovat server, stejně mu po pár hodinách bloknu IPiny a bude v řiti). Anonymní IPiny bez reverzu blokuju tak jako tak.
+1 Když se omezí počet chybných přihlášení, dá se velice snadno dělat DoS a zamezit přístupu oprávněných uživatelů. Rozumnější je přidat prodlevu při přihlašování v řádech vteřin, která se v případě chybných hesel zvýší třeba na minutu.
TOR vůbec nic neřeší. Detekovat přístupy přes TOR jde na základě detekce IP koncových uzlů celého TORu. Chytří hledají "Tor exit nodes".
No ja teda ziram – administrator ma heslo rozlousknutelne slovnikovym utokem… huh.
Kazde heslo je rozlousknutelne slovnikovym utokem. Staci mit ten spravny slovnik se slovy typu h52m45nmxFGJJ54563XDRYH, ASJKYOUY45CFH43673DFJH…. :-)
Jzismarja, kde jste vzal moje heslo???
hahahaha :D
:D
Jak dlouho se takový slovník generuje ? hmm ?
:), pak ještě připočíst jak dloho trvalo provést http protokol , ale pravda , měli by tam aspon dát obrázkovou kontolu po 2 špatně zadaném pokusu
Já se ani tak nedivím, že se někdo někam dostal, jako že Obama a Britney mají účty na nějakém Twitteru. Trávím na netu 14h denně a vůbec mi taková služba nechybí, asi má Obama víc času než já a méně si chrání soukromí :)
Dovodím si opravit. Obamovi přítomnost na Twitteru a dalších sociálních sítích (kterou nezajišťoval on, ale jeho tým) pomohla vyhrát volby.
Tak přece jen má ten Twitter nějakou feature navíc oproti normální RSS čtečce!
Tak Twitter obsahuje export do RSS. Ovšem další funkce Twitteru samotný RSS formát těžko nahradí.
> Ovšem další funkce Twitteru samotný RSS formát těžko nahradí.
To předpokládám, že by to mělo mít i nějaké jiné funkce, aby to vůbec někdo používal. Akorát jsem pořád nějak nezjistil, jaké :)
Rád se nechám poučit.