Nova vs. Seznam - druhé kolo

Z mojej skusenosti z jednej VS na ktoru som chodil mozem napisat asi toto:
Na PC bezal OS Win 2k alebo XP + NOD celi den pod jednym uctom s min. pravami USER a studenti sa tu striedali poceli den. Na konci dna sa PC vypinali a pred tym sa este uskutocnil test na pritomnost skodliveho sftveru NODom. Pouzival sa IE. Nebol problem si pozret napr. cookies pripadne cache IE, uzivatelia si vytvarali docasne zlozky do ktorych si stahovali napr. prilohy k emailom pripadne i cele. Tie tam bud nechavali alebo ich zmazali ale iba do kosa. Nebolo nastavene automaticke zmazanie suborov. Napr. v Total Commanderi boli niekedy nastavene FTP adresy i s heslom na server kde mali doticny napr. svoje fotografie. Taktiez sa obcas nasiel Instant Messenger s cislom i heslo.
Z toho co som tu uviedol vypliva, ze o niektorych ludoch toho dost zistite i bez roznych programov.

je to sice z druhý ruky, ale kdysi jsem se dostal do kontaktu s nějakým člověkem z novy a ten mi říkal, že potřebovali reportáž, tak Tuna hodil do křoví gumovýho krokodýla, klapka, kamera, cvak a nakonec to bylo o tom, že bohatému podnikateli utekl krokodýl a obyvatelstvo prahy je v ohrožení

Ja jsem Modrak

jsi debil

Modrák ze sítě MUNI?
Dovol abych se zasmál

To je přesný obrázek zpravodajství Novy.Neinformují ale hledají senzace.Reportéři musí mít široký záběr,od ujeté nohy na přejezdu po roztomilá mláďátka v ZOO.Považují se za profíky když u té ujeté nohy jsou první.Pokud soudy budou přiznávat tak malá odškodnění že to bulváru hravě zaplatí zvýšení nákladu,tak těchto dezinformací neubude.Předpokládám,že stát se to ve vyspělejší cizině tak bude platit jako mourovatá že by jí to nezaplatily ani další 3 serie Bigbratra a tucty vyměněných manželek

Nadprumerne inteligentni , a nevi ze se freeweby indexují, a udelat takovou kravinu a myt pruser. a jaka slava...

hm nechtěl bych mejt pruser

Lidé na Nově o problému pranic nevěděj a jen cejtěj senzaci, která se ale nikdy konat nebude. Jejich bulvární zpravodajství je snůška šíleností, blbostí a dezinformací. Navrhuju je bojkotovat nejlíp tím, že se na to nebudeme nikdo koukat! Doufám, že ty smejdi jednou zkrachujou, nic jinýho jim nepřeju :((

Tohle je ještě horší než bulvár! Reportáž se mohla jmenovat stáhněte si Ethereal a likvidujte seznam.cz (nebo kohokoliv jiného)...Od novy bych ani nic jiného nečekal.. Co třeba taková reportáž o Active 24??
Asi nic..

Uz je to proflakly, ale co kdyz si ti "udajne" postizeni sedli na lep podobne jako p.Grundlovi z DGX a sami sve loginy a hesla zverejnily nekomu se skutecne spatnym zamerem? Viz.

http://www.dgx.cz/trine/item/jak-zjistit-heslo-na-seznam-email

http://radekhulan.cz/item/dgx-vam-ukradne-heslo-na-seznam-cz

proc jste promazali diskuzi?

Ja bych vsechny ty pocitace a internety zrusil.

TV Nova je komercni televize jejiz vypovidaci zpravodajska hodnota je do znacne miry ovlivnena jejim bulvarnim charakterem a politickou orientací. Seriozni novinarina musi byt nestranna a nad veci aby pusobila alespon trochu duveryhodne. Rozdil mezi Zpravodajstvim na Nove a treba ceskou sodou nebo podobnym poradem uz neni az tak markantni. U druheho jmenovaneho se alespon zasmejeme ale vydelavat na lzi a nenavisti je primitivni. A tomu se u nas rika svoboda tisku ... :( 

Sniffing neboli cmuchani se praktikuje od jak ziva, problem neni v tom ze nejaky lamer "Modrak" si stahl program a zjistil hesla, pokud jde odposlouchavat sit, je to vinou admina, cili napr. ve skole ti ucitele vypocetky (minimalne na ZS a SS) neumeji nic, krome zakladu Windows a Office.

Nemuzeme po tech zoufalych neschopnych ucitelich chtit, aby se v tom vyznaly, oni za to placeni nejsou, chudaci, za tech par korun co tam dostane ucitel vypocetky bude na skolach vzdy problem s bezpecnosti.

Dale verim tomu, ze i na vetsine VS maji ucitele VT nizky plat a proto se o bezpecnost nezajimaji vic, nez dostanou narizeno. Dokud se neco nestane, PC budou unsafe.

Existuje mnoho dalsich zpusobu jak ziskat hesla, praktikuje se to denne, zaplatte adminum odpovidajici castku a budou se tam hlasit schopni odbornici a ne jen lamy se znalosti Win a Office (minimalni = zakladni uzivatelskou znalosti).

Na zaver: bojite se ted, ze nemate soukromi? Policie namatkove monitoruje x-chat, ceske emaily a mnohem vic, projizdi se to softem, ktery vyhledava klicova slova a potom kdyz je splnena podminka, tak se ty emaily prectou a podnikne se pripadne opatreni. V CR na webu neni soukromi, staci jen poderreni na spachani tresteho cinu (napr. si budu myslet ze mate nelegalni windows) a v ten moment se muzu dohodnout treba se seznamem a cist veskere vase maily a dostat vas.

RESENI: Nepouzivat cesky email, webhosting a pokud mozno se pripojovat pomoci vlastniho zarizeni, ktere nespada pod pravomoce ceskych organu. // zni to nemozne

PS: Chci vic Modraku a podobnych blbcu, chci vic bulvaru jako je Blesk a TV-Nova, chci aby jste se utopily kvuli vlastni hlouposti a nepoucitelnosti

Nauc se hnupe cesky, nez zacnes nekomu nadavat.

Jestli jste to nepochopil, tak kritika mirila na TV Nova a jeji "Objektivni" informovani verejnosti. Technicky problem je snad kazdemu informatikovi jasny.
Tom

Leckteří naši pseudonovináři se po listopadu začali chovat jako příslušníci proslulé „7. velmoci”, jenže jejich úroveň intelektuální i odborná je plně odpovídající názoru Miloše Zemana na ně.

Sankce Nově za její „reality show” měla za následek, že podobnými hňupovinami se nyní zabývá jen Prima. Dá se očekávat, že po nejčerstvějším příspěvku Novy k ohlupování diváků dojde i na to, že si její redaktůrci dají propříště pozor a senzace před odvysíláním alespoň prověří se skutečnýmni odborníky.

Klad vidím v tom, že si (snad) více zodpovědných i uživatelů uvědomí, že výpočetní technika je už dávno na takové úrovni, že je na čase nepodceňovat zabezpečení nejen v oblasti internetových prohlížečů. Běžný uživatel nemá tušení o existenci nějakého firewallu (při pročítání testů PC jsem ani jednou nenarazil na zmínku o instalovaném firewallu už při koupi nového PC: samozřejmě — to by také prodavač musel zákazníka, převážně laika, informovat o jeho funkci a způsobu používání). Všichni, kterým jsem firewall do PS nainstaloval a vysvětlil jim, jak jej používat, si mně následně stěžovali, že je „ty okýnka obtěžují”. Někteří jej dokázali vypnout sami a po 1 – 3 měsících mně volali, že „mají cosi s počítačem”, jiným jsem musel dlouho odolávat tím, že jestli zjistím, že firewall odinstalovali nebo vypli, mohou dát PC do servisu a zaplatit si to, že já se odmítám zaměstnávat stále tímtéž.

Nevím také o tom, jestli vůbec existuje nějaké školení obsluhy PC pro začátečníky, ve kterém by se vyučovalo i o počítačové bezpečnosti.

Podobně zaměřené kurzy právě připravuji. Současně totéž učím už své dětičky na základní škole.

Teda musim rici, ze Lukacivic boduje. To ze cesti novinari a nejen ti z Novy jsou ignoranti, ktery novinarinu delat neumej vsichni vi a Seznam ma navic zadarmo reklamu.

Super.

TV NOVA JSOU LHARI.

1. Nevim jak kdo ma skusenosti se stavem skolstvi, ale muzu odhadnou, ze ted dostalo spoustu skolaku navod jak neco podobneho udelat u nich na skolni siti. Nektere programy na odposlouchavani provozu na siti je mozno nainstalovat i pres prava administratora. A hlavne skolstvi nema tolik financnich prostredku aby si nainstalovali alespon W2k ci Win Xp. Takze se asi logicky da ocekavat, ze takovyhle pokusu bude vic.
Pak mozna bude mit NOVA novou senzaci.
2. Jen me zarazi ze byl postizen jen Seznam.cz a ne nikdo jinej. Nova asi dostala za ty reportaze pekne zaplaceno.

Ad 2. Presne tak, proc www.seznam.cz?

protoze seznam je nejvetsi (3miliony schrankek)a vlastni uz i email a post..... :o) (to je jen domnenka... ale co treba centrum ze? cizich se to da pochopit gmail atd... kvuli anglictine ale proc ne sakra to centrum nebo atlas?)

ad 1: Ve školství se na bezpečnost moc nedá, protože je málokde někdo kdo tomu rozumí (kdo ano, jde obvykle jinam) - často na tom bývají něteří žáci lépe než "admin".
ad 2: Spíše bych řekl, že na Nově dostávají zaplaceno za jakoukoliv "senzaci" a jelikož často mluví o věcech o kterých nic neví, tak občas hodně přestřelí...

ad 1: to potvrzuju - na zakladni skole sem se s ucitelkou ktera tam mela delat spravce site o tom ze obnovovaci frekvence monitoru neni v MHz ale jen v Hz...

Tak to my to ve škole zabezpečené nemáme skoro vůbec. Je tam WinXP a přihlašuje se tam přes žákovský účet, kde je heslo "a". A když jsem se zkusil přihlásit jako admin, tak jsem zjistil, že tam nemá vůbec žádné heslo.

Tak to tam asi admina nemáte vůbec :)) a nebo je to nějaká převlečená češtinářka z prvního stupně )
U mě na síti bys neměl šanci  

Jen doufám, že na Seznamu používají aspoň SSL 3... Starší verze - SSL 1 a 2 je totiž stále možné pomocí jednoduchého man-in-the-middle útoku odposlouchávat.

Nemusite doufat, muzete se o tom snadno presvedcit. Vypnete si v prohlizeci SSL 1 a 2 a prihlaste se.

stanovisko TV Nova:

"Portál Seznam.cz ústy své mluvčí paní Rity Gabrielové televizi Nova už v pátek potvrdil, že hesla unikla, vše předali policii a sami hledají viníka. Až o den později spolumajitel portálu Seznam.cz pan Ivo Lukačovič oznámil, že toto tvrzení je lež. Hesla podle něj někdo "nasbíral" na jedné střední škole, tudíž databáze portálu Seznam.cz napadena nebyla. Tuto verzi tedy televize Nova včera zveřejnila s tím, že je záhadou, proč ji Seznam.cz nezveřejnil již v pátek.
Rozhovory s majiteli e-mailových schránek smyšlené nebyly. Již v pátek hovořil autor reportáže se dvěma poškozenými majitelkami elektronické schránky, jejichž hesla se na Internetu objevila. Včera byl zveřejněn telefonát ještě se třetí osobou.
Žádná stížnost ani oznámení o žalobě do televize Nova zatím nedorazilo,"

a dale:
Proti sobě tak stojí v podstatě hlavně tvrzení Seznamu a Novy plné smyšlených aktérů a nařčení ze lží. Skutečný průběh pátečních a víkendových událostí tedy nejspíš bude muset rozluštit až soud, bude-li tyto okolnosti zkoumat. Jak nám potvrdila kromě mluvčí i právní zástupkyně Novy Markéta Havlová, žádné oznámení o žalobě do Novy zatím nedorazilo. "Upřímně řečeno nevím, na čem chtějí vlastně stavět, když v pátek nejprve potvrdili verzi našich redaktorů a až v sobotu obrátili," dodala.

Do třetice:
"Kdyby nám Seznam hned v pátek řekl, že nejde o krádež databáze, ale jen odposlech na školní síti, žádná reportáž by nejspíš nevznikla," řekl nám. "Paní Rita Gabrielová však jen potvrdila, že o krádeží ví. Seznam otočil až druhý den, v sobotu, kdy si nejspíš dali dohromady, co se vlastně stalo."

Tak nám asi paní Rita půjde do riti...

Tak nám asi paní Rita půjde do riti...

A existuje nekde vyjadreni RG, nebo nekoho ze Seznamu, kde potvrzuji utok na databazi? Ve zpravach se totiz RG vyjadrovala jenom k tomu, ze ty hesla nekdo vystavuje na webu.

Ta mluvci v reportazi v patek na Nove rekla v podstate jenom "vime o tom, vse setrime", rozhodne nemluvila o "vykradeni databaze". Zajimave, ze i kdyz se uz v sobotu vedelo, o co jde, tak jeste v nedeli Nova trvala na svem "desitky uzivatelu". Prestoze v inkrminovanem seznamu na netu, je tech uzivatelu 8. Zajimalo by me take, o jakych "40 uzivatelich" mluvil "programator Martin Kryl". Zajimave je, ze "Martin Kruml, internetovy odbornik" uvadi, ze "tohle by zvladl i zak zakladni tridy". Nova sice asi chtela, aby tahle veta zesmesnila Seznam, ale tohle spis nasvedcuje tomu, ze tenhle clovek vedel, ze jde opravdu o trivialni odposlouchavani.

A ze Nova dosud nebyla obzalovana? No, pokud bude, tak od tedka bude veskera komunikace velmi opatrna a hlavne hezky pisemne. Sam vidis, ze Nova si do reportaze pouzije co chce a jak chce.

Hlavne jsem jeste nenasel odpoved na otazku "proc?". Proc zrovna ted, kdyz to udajne lezi na netu dlouho? Proc zrovna www.seznam.cz? Vzdyt kdyby Nova chtela, tak si takova hesla vygeneruje sama. Ale tohle asi vedi jenom lidi z Novy a mozna i ze Seznamu.

presne tak. Nova chtela mit senzaci, tak at dostane na prdel.
A seznamu se nedivim. Kdyz ma jen hlasku o odcizenych heslech a nic vic,
tezko a pomalu se hleda, kde je unik informaci.

...ja ti reknu proc... Protoze ten clovicek si to ulozil na svuj web v textaku a za cas mu to google zaindexoval a nekdo to nasel....

pokud vim, tak stahovani posty pres pop3 pomoci SSL seznamu funguje, pouzivam to

Autor uvadi k pripadu odposlechu toto :

Týká se to lokálních sítí, které používají místo switchů levnější huby.

Ano, u HUBu je to hracicka, ale zase jen u pocitacu strcenych do stejneho HUBu, ne cele lokalni site.. Bohuzel i na switchovane siti lze v pohode odposlouchavat, a to provoz VSECH stroju, pripadne. Doporucil bych autorovi clanku "terminus technicus" ARP spoofing, nebo ARP poisoning - viz http://en.wikipedia.org/wiki/ARP_spoofing

I pro toto jsou na siti tuny nastroju :)

Pokud tedy odborne komentare, zkuste byt presni.

Jinak, bez SSL nebo TLS je jakekoliv posilani hesel risk - to plati obecne, a poskytovatele by navic nemeli pouzivat Self Signed certifikaty, zvlaste u citlivych sluzeb.

S tim se poji treba i pripad Komercni banky, ktera pouziva pro sve internetove bankovnictvi certifikat bez podpisu nejake globalni certifikacni autority. Vysledkem pak je ze vzdy vyjede varovani o certifikatu - nic moc u bankovniho ustavu... BFU samozrejme potvrdi, ale je zadelano na Man in the middle....

Proti ARP poisoning se necha branit napr. pomoci port security.

Tezko, neznam moc siti kde by koncovy switche mely management, tudiz minimalne cast site odposlouchavat lze. To nemluvim o tom, ze existuji i jine techniky jak presvedcit pocitac ke komunikaci.

Třeba naše ano
Ale kdy konečně někdo pochopí, že i SSL nepomůže.
Staré Řetěz je tak slabý, jak slabý je jeho nejslabší článek, platí i zde.
Pokud uživatel měl možnost nainstalovat driver na sniffing,
měl právo lokálního admina. A i když mu zabráníte ARP poisoningu,
pořád má možnost keylogeru. A pokud se na PC střídá x lidí, výsledkem může být
úplně stejný seznam hesel...

pokud se pamatuji dobre, tak "hacker" v tomto pripade nic neinstaloval, jen nabootoval Linux z CD a pak uz jen poslouchal.

a místní "admin" neměl zaheslovanej bios s vypnutým automatickým startem cd...

tak vytahne ethernetovy kabel a zapoji notes...

Tak zapnes IPSec, a na notasi nemas ceritifkat/kluc.

IP i mac adresu si muzes na notasu nastavit prece

bohuzel na novejsich kompech (ne na vsech) sice muzete vypnout bootovani z cd ale uz neovlivnite treba specialni boot menu pres f11 (jen priklad)....

U nas rovnez, proto se o tom zminuji ;) Nekdy je ale stejne nesnazsi pouzit socialni inzenyrstvi.

SS certifikaty jsou uplne v pohode. Staci si tu jejich CA naimportovat a nic na vas pak "vyjizdet" nebude. Samozrejme tu jejich CA si donesete od nich na nejakem mediu nebo si ji stahnete a overite si treba telefonicky fingerprint (Ano, vim. Pro uplne paranoiky to jiz neni vhodne diky znamym algoritmum na vytvareni kolizi k hashovacim funkcim). Pohodli nepouceneho uzivatele neni dostatecny duvod abych cpal penize tem par globalnim CA, protoze stejne tentyz blbec si je schopen nainstalovat trojana ci jiny podobny software.

"...šifrování poněkud více zatěžuje procesor, takže ne pro všechny uživatele je dle Seznamu tento způsob vhodný"

Ano SSL více zatěžuje procesor - ovšem problém by neměli uživatelé, ale Seznam - jeho stroje by to dnes neutáhly! Většina dnešních freemailů není příliš bezpečná. Pro zlepšení situace je povinost mít SSL a to na célé sezení ne jen na přihlášení jak nyní chce nabízet Seznam. Pokud sniffer může krást hesla, může krást i ID a během sezení přihlášeného uživatele také automaticky natáhnout veškerou jeho poštu ve všech složkách.

Díky této kauze bude snad více lidem zřejmé, že mít poštu na většině dnešních freemailu znamená nemít poštu příliš zabezpečenou. Nejde o žádný nový objev, ale snad si to nyní uvědomí více lidí. Jsem také přesvědčen, že o to lépe zareagují i poskytovatelé freemailů a konečně vše zlepší.

RE: Pokud sniffer může krást hesla, může krást i ID a během sezení přihlášeného uživatele také automaticky natáhnout veškerou jeho poštu ve všech složkách.
To je sice pravda, ale uz to nezvladne 15leta lamka ve skole co si takhle krati cas nudnych prednasek, no a nova nebude mit o cem psat no a proste uz nebude takova bublina jako je ted:)

No podle meho nazoru to zatizi stejne tak i klientskou stanici, jenze ta nezpracovava tolik tisic pripojeni v kratkem okamziku. Nicmene si myslim ze je nesmysl aby to bylo "tak narocne" daleko narocnejsi na webu jsou ty pitome flashove banery. Zkouseli jste si nekdo serfovat na netu treba s P90kou? Jeste na prohlizeni stranek to celkem jde, ale kdyz pisete pak nekam prispevek a soucasne tam mate i Flash, tak vam text naskakuje tak pomalu ze by jste to snad rychleji napsali kdyby jste to klikali na "klavesnici na obrazovce". Dopisete text a jeste pozorujete jak pomalu doskakuji posledni pismenka. Takze to si nemyslim ze by byl halvni problem. Spise jde o to ze to dost zatizi ty servery. Nicmene si nemyslim ze by seznamu melo delat velke problemy tohle navysit tak aby si s tim ty servery poradili. Predstavte si jake vytizeni museji dostavat SQL servery na www.lide.cz kazda stranka je v podstate svazana s databazi a pokud jste prihlaseni tak kazdy pozadavek je dotaz na overeni do databaze, tam to teprve musi byt zatez.
Co se tyka vykradeni zbytku schranky, tak tam to asi nebude mozne obycejnym sniferem. Tim dostanu prihlasovaci Session ktery pak jen podvrhnu... v ramci lokalni site by to mohlo stacit, jinde uz asi ne. Ale snifferem se asi k cele poste nedostanu (pokud si uzvivatel nebude sam prochazet vescnu postu).

Tak si flash deaktivuj lamo ! Muzes si klidne deaktivovat i obrazky, zvuky, javascripty a vsechno mozne a serfovat pak s nejakou 486 33Mhz ve Win95 ale ne s Internet Fuckerem, nybrz s Operou

odpovidam na tema stare pocitace a serfovani.
Doporucuji nejaky linux, prohlizec links, ktery umi javascript. Bezi bez potizi v textovem rezimu a testoval jsem ho na stare 486 s 25MhZ. Flashe nemam rad, to je zatez az moc, kazdopadne se v tom da snadno tvorit, ovsem informacni stranka skoro zadna.

Pre seznam toto znamena len financnu zataz, existuju automaticke SSL offloaderi ktore ukoncia SSL pred web serverom, dalej existuju SSL akceleratory, ktore zrychluju handshake (ktory je velmi narocny, kedze sa jedna o asym. sifru) a aj nasledne sifrovanie. Takze vsetko su to zo stranu seznamu len vyhovorky a vyhybanie sa urcitym investiciam.

O Nove si uz myslim totez co o Blesku od te doby, co jsem videl silne zaujatou
reportaz z naseho mesta v Obcanskem judu. To byla vyslovene placena propaganda
zbohatlika u nas ve meste, ktery dela lobby proti vsem. Ostatni ucastnici byli vyslovene
zaskoceni, starosta blabolil...
Sam pan bohaty pouzil vyslovene propagandisticke praktiky.
Od te doby novinarum neverim. Ani z juda.

ale pozitivni vliv to melo - dost lidi si zmenilo heslo.
Ja treba taky.
Dost lidi se asi nedostane na prvni pokus do sve schranky.
Ja taky.

Kazdemu je jasno, kde je pravda a ze "novinari" Novy nas opet ohromili kazdym jednotlivym bodem sveho dvouciferneho IQ.
Druha vec je, ze by rozhodne nebylo od veci, aby Seznam zavedl sifrovany SSL prenos i pro POP protokol pro tu hromadu uzivatelu, kteri neholduji pristupu pres web. Jinak je ochrana proti podobnym "kauzam" uplne na nic. Nehlede na to, ze SSL pro POP by jiste spousta uzivatelu uvitala. Ovsem na muj navrh - nejen drive, ale i vcera - prisla standardni odpoved "Nevylucujeme rozsireni sluzeb e-mail Seznam v budoucnu" :o)

Ujistuju te, ze by zavedeni SSL bez moznosti HTTP vsichni uzivatele neuvitali, protoze je spousty siti, ktere propousteji pouze port 80 a nic vic.

Doporucuju si poranu nejdriv protrit oci.

tak jsou pěkný lamy, já sice taky porty řežu, ale minimálně 80 a 443 pustím :)

tj, ale je nemalo ADMINU, kteri znaj akorat 80

SSL lze provozovat na jakémkoliv portu, tedy i 80
třeba: https:/secmail.seznam.cz:80

Uz vidim jak seznam zavede ssl a na mou zadost neco jako:"Mily sezname, pust prosim ssl na 80" mi odpovi "Jasne pro Vas vsechno." :)))), tak tehle scifi moc neverim.

A co kdyz server nema na 80 ssl zaply?

Ty stupidni hloupa lamo, ja ujistuji tebe, ze existuje port forwarding, pomoci ktereho si lze napr. pres port 80 vytvorit tunel na libovolny jiny port.

A uz jsi zkousel pop pres port 995?
Ja uz zabezpecene spojeni pres pop3 pouzivam asi rok.

A kde pouzivas POP na 995? U Seznamu? Tak se podel s ostatnimi o nastaveni. Zvlastni, ze NIKDE na www.seznam.cz jsem se nedopatral potrebnych informaci. No a pouhe nastaveni v klientovi mi nefunguje
(The Bat 2.0 )

POP vubec SSL nepotrebuje. Heslo se pres nej stejne prenasi kryptovany, pokud mas novejsiho klienta.

Jses si jistej?

Dle jakého RFC?

která nás zajímá nejvíce ????

toho tahle konina ještě zajímá ? tady seza vaří kašičku zive.cz ne ?

....Esperanto,nebo prasklá žárovka ?...

ROFL

V case najvacsej nudy pocas vysokej som sa bavil tym, ze som zostavil slusny zoznam usernamov a hesiel (resp. druhohesiel ak zabudnete heslo) na mnoho strankach typu azet, zoznam a pod.. Holt ludia su blby :)

Ale musim sa priznat, raz sa mi skutocne podaril hack, ked som sa vlupal ku jednemu znamemu do win98, ktore mal cez modem pripojene na nete a nejaki virus mu tam nainstaloval vnc.. Ved aj pisal ze mu to ide nejako pomaly ;)

Chudak modrak, za to ze ukazal svoju sikovnost bude dost mozno potrestany. Potom si zasluzia ale potrestat aj taky, ktory najdu na zemi vodicak a prilepia ho na nastenku zo slovami "aha, nasiel som vodicak"..

Ej bistu, uz spim.. Nejaka ta hrubka sa mi tam najde (nejaky)..

Prominte, ale "Modrak" neukazal zadnou sikovnost tim, ze provedl sniffing v ramci nejakeho segmentu lokalni site. Nanejvys primitivni nenarocnou aktivitu, kterou si muze vyzkouset kazdy, kdo je schopen si stahnout z internetu jakykoli SW, slouzici ke scanovani sitoveho provozu v promiskuitnim modu sitove karty. V diskusich na UPC, pokud je to skutecne on, vystupuje spis jako namyslenej pubertak, kterej si mysli, ze je king a dokazal neco "velkeho". Spojovat jeho cinnost s jakymkoli vyraze slova "hacking" je spis urazka a znevazovani vyznamu tohoto slova. Tomu spratkovi by spis jeho otec mel dat par pres hubu.
Nez placani o teto stupidni aktivite zaka stredni skoly me spis zarazi, ze se jeste nikdo nepozastavil nad pravdepodobne jeho pokusy napodobit uvodni stranku servisu24 atp. Za tim bych rekl je uz trochu vic umyslu uskodit....

Pozor na vec, treba nezabudat ze chalan mal vtedy 15 ci 16 rokov a preukazal sa znalostou sietovych struktur a vedel co je to sniffing. Povedal by som ze je jeden zo 100000, takze sikovnost to urcite je.

Tak mozna jeden ze 100, tohle by v jeho veku dokazal kazdy ze ctenaru zive, prestoze kdyz sem chodi spousta lam.

Imho spis neco prubnul a ono to vyslo..

ale ale.... prosimte... on ma pocitac od rekneme 5ti let a ze v patnacti pouzije sniff je podle tebe husty? ja sem mel pocitac od 12 a v patnacti sem si hral strojakama... tam alespon musis zjistit ip... (coz nevim jestli tenhle modrak vubec dokaze zjistit) nebo kdyby preposilal pakety na jiny stroje ale zadat do filtru ve sniffu pwd... tomu nerikam ze je to borec... navic mel kliku ze u nich meli asi huby nebo dokonce koax? a ne switche.... jinak by mel utrum....

script kidde:) no more:)

No ještě tak umět anglicky...

U téhle činnosti se nehodnotí jakou technologii k získání uinformace použiješ, ale výsledek. A výsledek je že Modrák použitelná jména a hesla získal.
Také by bylo možné získat ze Seznamu pouze přihlašovací jména a hashe hesel + metodu šifrování (že by SHA1 nebo MD5?) a BruteForce útokem by se určitě podařilo získat aspoň 10% hesel = 300 tisíc účtů. 

no nevim jestli to kdyz te nekdo chyti pod krkem a vymlati z tebe klice od auta, pin ke karte, bankingu hovori proti zabezpeceni techto sluzeb

BruteForce útokem 300 tisíc účtů.??
Zkousel jsi to? Zkousel jsem brutforce metodu pres POP3 a pri alfanumericke sade, delce hesla 6-10znaku a pri rychlosti 1-2 hesla/sec, mi vychazela doba prolomeni od stovek tis. let vice, po 14-dnech jsem to vzdal, to je vetsi sance poslat dotycnemu mail, at ti Re: posle svoje heslo. Vetsi sance je pouzit slovnikovou metodu, je ale mala sance, ze keslo byde tak primitovni.

1, přečti si na co reaguješ - původní pisatel psal o použití brutal force ve chvíli, kdy by měl ty hashe (a ne přes pop3 ;)
2, slovníková metoda je zase jenom brutal force (s drobnou heuristikou), nic jiného

ok, nejak jsem to prehlidl :) jen by me zajimalo, jak ziska ze serveru db hashu, ze by napsal adminovi maila?

Staci hashe prohnat pres nejakou databazi, treba http://gdataonline.com/seekhash.php nebo http://shm.hard-core.pl/md5/

Moje řeč. Hodně lidí se ho snaží vyzdvihovat jak je nadprůměrný. Stáhnout nějaký SW a použít ho je opravdu hodno obdivu ...

Ad napodobení servisu 24: jednoduché udělat (tzn nevypovídá to o jeho "nadlidských" schopnostech) nicméně řešit by se to mělo ...

by lepší nechat tento problém na právníky Seznamu, je to pořád dokola stejné. Prostě Nova chtěla senzaci a má průser nic víc.

No ono to docela vypadá, že Seznam lže....

Hlupakovi ignorujicimu fakta by to tak mozna mohlo pripadat...

No, spíš někomu, kdo žere novácké zprávy

O Nově si nedělám žádné iluze. To ovšem neznamená, že budu slepě věřit tomu, co mi předloží Lukačovič

muzes mi rict v cem lze?
navic snad nikdo (od tech nejvic primitivnich serveru, ktere umoznuji login, jejichz spravce neco o netu vi) NEMA v db ulozena hesla (at uz v plaintextu nebo sifrovane), ale POUZE hashe.
pouzij google nastuduj a pak se nam tu se svymi nazory vrat.

Tak se koukni níže na zmatky co udělala RG.

"navic snad nikdo NEMA v db ulozena hesla"
KEZ BY...

Tak to nechapu jak je mozne, ze jejich helpdesk hesla zna.

Lukacovic lze treba v tom, ze tak jak vyhakovali hesla uzivatelu Seznamu by je vyhakovali i na jinych servrech.

V tom samozrejme lze, protoze bys musel z logu sniffu vybirat jinou IP nez www.seznam.cz :), jinak ma ale pravdu, ze existuje spousta emailovych serveru(ja se domnivam, ze mozna i vetsina), ktera ziskava login a password stejnym zpusobem(nesifrovane), nemluve uz o pripojeni pres pop3, ktere skoro nikdo nenabizi sifrovane, takze opet staci v logu sniffu hledat user a pass, sice na jinem portu a na jinou adresu, ale jinak je to to same.

Hm doporucuji se timto zabyvat. Protoze hesla jsou ukladana ne jako heslo ktere zná uzivalel ale jako HASH alias otisk za pomocí třeba MD5 či SHA. Neexistuje způsob jak z HASH ziskat zpět heslo, ktere pak zadate pri loginu. Je tu jedna moznost a to bruteforce. V pripade bruteforce preji hodne uspechu, pevne nervy, vykonny superpocitac (nejlepe kvantovy (snad se dockame)) a pri delce hledaneho hesla dlouhy zivot minimalne nad 500let.

Podotykam ze seznam.cz nemam nic spolecneho a je mi ukradeny to jak to snima dopadne. Jen me zarazi ze je tady hafo oborniku, kteri by uchovavaly hesla v surovem stavu.

To neni tak uplne pravda, existuji hash databaze, ve kterych je ulozeno miliony vypocitanych hashu, takze prevest hash cf1e8c14e54505f60aa10ceb8d5d8ab3 na text "server" je zalezitosti par sekund.

http://shm.hard-core.pl/md5/
http://gdataonline.com/seekhash.php

Odporucam zistit si naco sa pri hashovani hesiel pouziva nieco comu sa hovori Salt.

Ano good Salt alias SUL ci neco takoveho pred HASH a za HASH se da treba dalsi HASH neceho treba CAS ci DATUM atd. Tim padem pokud nekdo nebude presne znat strukturu HASHE hesla tak nedokaze urcit kde HASH zacina. Ty odkazi jsou pekne ale funguji pouze na zaklade databaze. Generuji pomoci distr. vypoctu zadane hesla a jeste ktomu do delky 7 znaku. Pokud vezmu cistej HASH MD5 slova AHOJ (5d75193725cfb92ce9aee96b5380db06) ale pokud pouziju sul a nejaky pro ostatni neznamy zpusob ulozeni tak tu mame HASH spravne ulozeneho hesla treba tento
5d7519373ffdd25425cfb92ce45c1b92e9aee96be22d26525380db062 024d299 << toto je HASH hesla AHOJ.

TEST HASH HESLA ktere ma pro jednoduchost 3 znaky a pouze cisla. Kdo sem da spravne heslo ma u mne notebook do 30.000 bez DPH dle vlastniho vyberu.

HASH JE ZDE >> 940531d3c8497f32277a3eac50177e06607540acfcebb02e7dddcbd245630 9e3

JE TO MD5 HASH + SUL. Hodne stesti pri bruteforce a mozna by pomohlo nalezeni MD5 kolize. Ale bohuzel nevite jak je palikovana sul. Samozrejme muzete probnout ruzne kombinace a najit tak validni HASH. Ale chce to cas. Bruteforcoval jsem 6 mesicu 1 HASH skoncil jsem na 8 mistech a vysledek byl NULA. S kazdym radem roste rapidne mala pravdepodobnost uspechu stejne tak jako v mem prikladu je vase uspesnost == NULE.

Mam si dat tu praci a napsat sem vsechny cisla od 0 do 1000 ?

Snad do 999 ne? ;) Fakt strašný kraviny se tu řeší a je smutné jak to někteří "chápou" ...

jj, NOVU musime brat z nadsazkou. Uz vidim jak si na seznamu neklo lajze davat hesla useru v plain textu.No ale jesli tam delaji takovy experti co chodi sem na zive, tak bych se ani tomu nedivil. Uz i staricke WIN95 a nebo LINUX a jine OS uchovavaji hesla v podobe HASH. Ja jsem se za svoji praxi setkal pouze s jednou DB kde byly opravdu hesla jako plain text. No a minil jsem se smichy potrhat.

staricka WIN95 zdaleka ne... tusim ze i 98 meli heslo v souboru... ciste jako text... NTcky uz delali HASH ale 95 urcite ne.

Dnes byla na Nově klasická reportáž.

Krom jiných žvástů se dost předvedli...

Tady Edwarda Mosse vydávali za Michaela Jacksona
http://misc.majkldzeksn.info/EdwardMoss.jpg

Tady Uri Gellera vydávají za Edwarda Mosse
http://misc.majkldzeksn.info/UriGeller.jpg

Tohle je prý obraz 48letého Michaela Jacksona. (Pochází z r. 2001 kdy Jacksonovi bylo 43)
http://misc.majkldzeksn.info/obraz.jpg

Tyhle aféry každého jenom otravují. Já bych všechny ty internety a počítače zakázala.

jo jo to je slovo do pranice :D

To by se za komunistů nikdy nestalo. Ani tak drahé mobily za minulého režimu nebyly.

jj, pravdu bdis ... Cim to asi je, ze je to ted tak drahy

Výborný nápad, já také bych zakázal internet a vůbec počítače. Jožin 93let

Tak to asi nebude to psrávné řešení, nemyslíte?

Clanek nebo zpravicku na toto tema tu mame uz potreti a stale jsme se nedozvedeli nic noveho - stale jen omilate uz znama fakta . Uz me to ani nebavi cist...

nechci rejpat, ale nechtel by nekdo hacknout Nove nakej server aby byla taky nejaka sranda?

Nejlíp jim přesměrovat stránky na Seznam

Rád bych poznal vola lezoucího po asi nejhnusnějších stránkách jaké lze najít. Stránky TV N@VA jsou otřesný stejně jako celá ta TV společnost.

Tak v tomhle s vámi souhlasím (obzvlášť s tím webem).