26 grudnia 2010
Zależność haseł od tematyki serwisu internetowego
Czy istnieje serwis internetowy całkowicie odporny na wszelkie próby naruszenie jego bezpieczeństwa? Oczywiście nie. W ciągu ostatnich dni przekonali się o tym m.in. administratorzy bardzo popularnych serwisów (exploit-db.com, backtrack-linux.org, free-hack.com) poświęconych tematyce bezpieczeństwa, które zostały skutecznie zaatakowane. Szczegóły dotyczące poszczególnych ataków zostały upublicznione w drugim wydaniu [EZINE] Owned and Exposed. Wszystkich zainteresowanych szczegółami zachęcam do powyższej lektury, my natomiast zajmiemy się dzisiaj tematem nieco odmiennym.
Analizując informacje opublikowane na temat skutecznych ataków na wspomniane znane serwisy internetowe związane z tematyką bezpieczeństwa informatycznego i hackingu, możemy natrafić na wiele bardzo interesujących informacji. Intrygujący jest przykładowo fakt zbierania i rejestrowania adresów IP należących do internautów odwiedzających serwis backtrack-linux.org:
// DO NOT CHANGE THIS FILE WITHOUT TALKING TO MUTS FIRST> EVEN IF YOU THINK YOU KNOW WHAT YOU ARE DOING!!!function getRealIpAddr()
{ if (!empty($_SERVER['HTTP_CLIENT_IP'])) //check ip from share internet { $ip=$_SERVER['HTTP_CLIENT_IP']; } elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) //to check ip is pass from proxy { $ip=$_SERVER['HTTP_X_FORWARDED_FOR']; } else { $ip=$_SERVER['REMOTE_ADDR']; } return $ip;}Poza tym happy ninjas twierdzą, że niemożliwe jest skuteczne zabezpieczenie systemu (
It's hard to harden a system [Jestem ciekaw, co myślicie na temat tej sugestii?Linux?FreeBSD? "Carder.cc box"?] when everything is backdoored and unfortunately we are just too ninja to get stopped by your silly protections. You can never stop us. We will always keep owning and exp0sing you.
Bardziej szczegółowo zajmiemy się dziś natomiast przypadkiem ataku na jeden z naszych rodzimych serwisów, sklep internetowy firmajp.pl. Otóż w ostatnim czasie doszło do skutecznego ataku na ten serwis oferujący ubrania i gadżety dla młodzieży utożsamiającej się z ideałami JP/HWDP. Intruzowi udało się m.in. wejść w posiadanie bazy danych serwisu, która następnie została udostępniona w sieci.
- firmajp - 79
- firma - 44
- 123456 - 44
- polska lub polska1 - 42
- jebacpolicje - 31
- prosto - 27
- chwdp lub chwdp1 - 23
- zaq12wsx - 19
- cracovia - 17
- qwerty - 15
Użytkownikom serwisu firmajp.pl przypominamy, że obecnie każdy może być w posiadaniu wspomnianej bazy, wobec czego należy jak najszybciej zmienić wszystkie hasła identyczne lub podobne, do tych użytych w ramach sklepu JP. Zaś osoby zainteresowana tematyką praktycznego testowania bezpieczeństwa haseł z pewnością już zauważyły kilka interesujących prawidłowości.
Powyższa statystyka haseł oczywiście potwierdza to, że użytkownicy serwisów internetowych bardzo często wybierają hasła proste do złamania lub nawet odgadnięcia. Powyższy przykład potwierdza również to, że hasła tworzone przez internautów bardzo często charakteryzują się pewnymi określonymi wzorcami (takimi jak pojedyncza cyfra dodawana na końcu frazy uwierzytelniającej, najczęściej zaś jest to cyfra "1").
Poza tym, powyższy przykład świetnie obrazuje również to, że hasła użytkowników są bardzo często zależne od tematyki, a nawet samej nazwy serwisu lub systemu informatycznego. Bardzo dobrze wiedzą o tym komputerowi przestępcy oraz pentesterzy, dlatego też chcąc utworzyć hasło trudne do złamania, należy zawsze unikać jakichkolwiek nawiązań do samego serwisu oraz jego przeznaczenia. Najlepiej zaś do czasu upowszechnienia się innych obiecujących metod uwierzytelniania, opracować jakiś własny system tworzenia silnych i unikalnych haseł.
Subskrybuj:
Komentarze do posta (Atom)