Znalostní hacking: Jak jsem se prolomil do svého Gmailu

Tak nevím, jestli tenhle článek je k něčemu dobrý, ale jako zajímavost proč ne.

Ahojte, co myslíte, vyplatí se jít na http://www.hacker-academy.cz/... kurz, jen proto, abych se naučil hacknout svůj vlastní mail, na který jsem zapoměl heslo?

Problém je, že správně implementovat systém kontrolních otázek není vůbec jednoduché, většina firem to neumí, a tak kontrolní otázky často představují to nejslabší místo daného systému, viz http://www.cleverandsmart.cz/autentizace-zapomenute-he... ... Myšlenka pokusit se uživatele ověřit pomocí způsobu jeho psaní není špatná, viz http://www.cleverandsmart.cz/autentizace-analyza-zpuso... ... Na konci příspěvku je i odkaz na stránku, kde si můžete vyzkoušet, jak takové ověření funguje.

Znalostní hacking?
To je nějaký originální překlad anglického "social hacking"/"social engineering"? Docela asi poznámka bokem, ale proč si musíme být takhle originální a neříkat tomu prostě "sociální hacking".Na nějakého chudáka českého IT budou v zahraničí tupě čumět, až "znalostní hacking" přeloží do angličtiny doslovně jako "knowledge hacking" (což je úplně něco jiného) ...

toho amerického novináře jako hekl čížek? no ty vole, už ho chytli?

Poznamka ad zive.cz: udelal jsem si email na www.docasnyemail.cz Ma registrace je vam k nicemu. Za tyden to presmerovani zmizi. Jen prudite uzivatele.
Poznamka ad google: zrusil jsem si nahodny ucet, ktery jsem si udelal pred rokem pri koupi telefenu s androidem. Sice mi obcas telefon napise, ze se nepodarilo ucet overit, ale je to furt lepsi, nez aby meli prehled o mych kontaktech.
Add jine story s Blizzardem: kopupil jsem si diablo 3. Pri instalaci mi zablokovali ucet i pro starcraft 2. Ze nejake nesrovnalosti. Bodejt by ne, kdyz jsem si jmeno a prijmeni u starcraftu nahodne naklikal. Takze mi napsali, ze chtej scan meho dokladu s fotkou, cislo kreditky atd. Tim mne fakt znechutili, Az mne to prejde, poslu jim scan CD se seriovymi cisly. A pokud ucet neoblokuji, zacnu vyplnovat formulare na www.uoou.czCo sem chtel rict sem: normalni je mit svou domenu a na ni si mit maily.

ono to je pekne ak sa pouzivaju taketo jednoznacne informacie ... ja sa nedokazem dostat do uctu na battle.net pretoze po mne ziada moje meno ...je nejaky sposob ako ziskat stare hesla ktore sa pouzivali pre gmail? okrem logu prehliadaca

Názor byl 1× upraven, naposled 09. 08. 2012 21:01

Teď mě tak napadlo - když si s dotyčným popovídám a pošlu mu pár mailů, dala by se tím teoreticky zvýšit šance na úspěch projití dotazníkem.

"číslo nejčastějšího dopravního spoje"Sakra začínám se bát, jak to googlu může pomoct

Rozhodně budu odporovat informacím o spoustě problémů s dvoufázovým ověřováním. Využívám ho už déle než půl roku a nenašel jsem problém naprosto nikde od Androidu 2.3.6 po současnou Alfu 4.1.1 a dokonce ani aplikace jako zálohování do GMailu apod. od třetích stran nemají sebemenší problém !!!

Tak bezpečné to dvoufázové ověření v případě Androidí aplikace není... tedy jako téměř vždy záleží na zabezpečení telefonu. Celé to ověření kódem stojí a padá na tajném klíči, který se při prvním spuštění aplikace synchronizuje se stránkou. Ten je pak uložený v čitelné formě v sqlite databázi dané aplikace.
Pokud má telefon povolený root přístup může se do databáze prostě kouknout a ten klíč si vzít. Pak ho třeba poslat někam po netu... takže zase klasický problém zranitelnosti Androidu prostřednictví root přístupu, který si uživatelé rádi zpřístupňují. Zároveň ale nebezpečná aplikace může provést 'root-nutí' telefonu sama... u některých přístrojů je tohle možné.No a kód který se pak zadává do stránky / aplikace vznikne z tajného klíče a času / počtu zadaných kódů, takže kdo si přepna aplikaci na počet místo na čas je o něco více v bezpečí, ale zase může používat poté jen jediný přístroj.

Prostředky pro ochranu by měly být úměrné riziku, a mně to vždycky přijde, že při těchto testech se vezme málo zabezpečený běžný účet, kde stejně nic není. Toho novináře hackli, protože je asi strašně aktivní a do všeho kecá, takž ho spousta lidí zná a je to prestižní cíl, řadový uživatel má pravděpodobnost tak 1:300000. A že v době, kdy má gigabajty free v kloudu, a nevyužije to k zálohování, tak to vůbec nemá cenu komentovat.
Pokud tuším, že by se na mně mohl někdo nalepit a pokoušet hacknout moje účty, tak se podle toho zabezpečím, pokud mám na účtu dvě fotky svojeho psa jak si líže zadek a rozepsanou recenzi na Koutskou kvasnicovou jedenáctku, tak to zas není tak horké.

Názor byl 1× upraven, naposled 09. 08. 2012 16:09

Cracking

Třeba na seznamu tento formulář nefunguje a nikdy se mi nepodařilo se do emailu dostat, i když je můj a vyplním 100% správně. Vyplním klidně 10 adres, na které bylo psáno, názvy vlastních složek i vzhled a stejně se dočkám pouze odpovědi, že nejsem majitel. Takže se celkem divím, že google je mnohem benevolentnější. Čekala bych to spíše naopak.

"Možná to byla jen náhoda, možná se mi to už nikdy nepodaří, faktem ale zůstává, že kdyby takto včera autentizační dotazník vyplňoval namísto mě někdo jiný, možná bych dnes už také byl bez Gmailu, bez PayPalu a hromady dalších služeb."Tomu moc nerozumím. Když by se někdo dostal do Gmail účtu, jak by získal přístup i na PayPal??? :O

Toje dobre stare otomto viem uz asi rok...
takychto bezpecnostnych chyb je skoro vsade...

Od doby co mi v bance vygenerovali nový přístupový kód na základě toho že jsem volal z čísla, které mám v internet bankingu, řekl datum narození trvalé bydliště a rodné příjmení matky ... už v údajích, které nejsou přímo nutné používám falešná data.

No ty vo**... Tak jsem cvičně vyzkoušel, jaký problém by měl kdokoliv dostat se na můj účet, kam si posílám kopii mejlů z práce.Nezadal jsem vůbec nic u štítků, ani u dalších používaných služeb, datum vytvoření účtu jsem střelil od boku, tipuju, že rozdíl byl až rok. Jediné co jsem zadal bylo adresy mých kolegů a můj další soukromý email. A vualá... bez problémů bych se hacknul, google už mi poslal možnost heslo obnovit na nově zadaný email.Takže v podstatě stačí Vám znám druhou adresu člověka a pár jeho blízkých kolegů nebo kámošů a je to...
Dost nepříjemné zjištění. Bylo by lépe, aby dal Google možnost to zcela vypnout.

Tak takhle to fungovalo kdysi na Seznamu. Bylo a dokonce to je lehčí tím, že když se mě to zeptá na kontrolní otázku přesně takovou, jakou jsem si zvolil. Třeba oblíbený herec. Pak už to s uživatele stačilo nějak dostat třeba na chatu lide.cz. Pokud tam chodil.

Copak Google, ale všimli jste si, co se letos urodilo jmelí? ;o)https://www.youtube.com/watch?v=61eb3YIBzzk

Tak já jsem testem neprošel a to jsem se celkem i jako snažil ... prostě si nepamatuju odkdy mám GTalk, GMail vím taky jen přibližně a štítky nepoužívám (webový rozhraní prakticky nepoužívám).

Musím uznat, že toto je po nějaké té okurkové době opravdu parádní článek a díky za něj. Jinak další nakopnutí k tomu, abych přešel od Gmailu jinam a ponechal si ho jen jako účet pro Android, samozřejmě se tedy nejdřív budu muset podívat, jak to má konkurence.

Jen mě tak napadlo - když lze google heslo resetovat skrz SMS, nestačí k nabourání se do účtu získat telefon majitele (androidový), dostat se do něj (přes stopy na displeji [1]), zjistit, s jakým účtem je spárován (v nastavení) a získat heslo takto?[1] http://news.cnet.com/8301-30685_3-57377224-264... ...

Co ma vsak najviac pobavilo je fakt, ze Google na GMAILu nedovoluje pouzit v minulosti uz pouzite pristupove heslo. Teda ak si svoje sucasne heslo zmenim, no nasledne (z nejakych subjektivnych pricin) sa chcem vratit nazad - a pouzit svoje povodne heslo, GOOGLE mi to zamietne. Nieco podobne som riesil pred casom aj ja, navstivil som dedikovane support forum pre Gmail a tu mi editori vysvetlili, ze tato moznost je blokovana zamerne, pretoze Google predpoklada, ze ak som uz zmenil svoje heslo, je dovod predpokladat, ze to povodne heslo nebolo bezpecne. Ja si vsak myslim, ze uzivatel sam by mal rozhodovat o tom, ake heslo chce pouzit, pretoze skutocnost preco chcem pouzit svoje povodne heslo, moze byt castokrat uplne ina.

nikdy sem nechápal "bezpečnost" bezpečnostních otázek založených na snadno zjistitelných dotazech typu místo narození matky či jméno psa

Ufff, můžu být v klidu.Informace o hesle pro doménu domena.czS žádostí o resetování hesla nebo získání uživatelského jména se prosím obraťte na administrátora domény. Více informacíPokud jste administrátor účtů pro doménu domena.cz , můžete obnovit své administrátorské heslo.Zadali jste svou e-mailovou adresu nesprávně? Zkuste to znovu.

Všechno zlé je pro něco dobré -> http://www.letemsvetemapplem.eu/2012/08/08/apple-meni-zpu... ...

Autor článku by se měl naučit česky. Napsat už v nadpise po K měkké I, to jsem ještě neviděl.

Internet je jako veřejná ulice. Když si na ni postavím kolo, kočárek, auto... nemusí tam za chvíli být. Kdo to nechápe, ať nebrečí.
Podnikové systémy, na kterých záleží, si svá data ukládají záložně do jiné budovy, na nezávislé nosiče... - Co k tomu ještě dodat?
Před asi 15ti lety se mi chlubil soused vedle nového rodinného domku, že si nechal nainstalovat vysoce bezpečné dveře za asi 60 tisíc. Tak jsem odvětil, že správný zloděj vezme do ruky cihlu, hodí ji do okna a odnese si co chce. Hezký den.

ještě že tento dotazník není u google apps tam na reset hesla je potřeba mít přístup k doméně, což se ale taky dá určitým způsobem získat a nastavit cname potřebný pro reset.
Hold nic není bezpečné

pravidlo číslo 1. nikdy na internetu nepíšu kda bydlím,kde jsem se narodil kdo je moje matka a tak dále!copak oni to pořád nechápou???

uprimne.. do uctu si sa dostal prave preto ze si jeho vlastnikom. nemam rad ked sa da na ucet dostat inym sposobom ako samotnym heslom. preto ani nikdy nevyplnam spravne kontrolne otazky. napr priezvisko mojej matky za slobodna je d5f541dfanhjalzuyhr;a''34823h12az

Nejen pro tyto případy používám aplikaci na správu hesel. ( 1password, ale to není důležité )Pokud na mě vyskočí požadavek zadat na kontrolní otázky napíši tam nelogické odpovědi nebo i blbosti typu kfhrD23 a uložím to do aplikace. Na správu hesel jako poznámku.Bohužel na google a jeho automatický dotazník to logicky nefunguje!Proč mám pocit, že místo většího zabezpečení tam dělají samá zadní vrátka!Pro mne je lepší informace na internetu ztratit než, aby se k nim dostal někdo jiný!

Tak jsem nějak nepochopil kdy se má objevit ten podrobný dotazník co o něm píše článek. Zkoušel jsem dva pokusy a:1) Na mém emailu to nabízí jen zaslání na záložní email + SMS. Žádné otázky.
2) Na jednom cizím emailu byl ten email + sms + otázka. Tu jsem během chvíle odhalil a byl jsem tam. Ta kontrolní otázka jde nejspíš někde zapnout a asi by to nemělo být něco jako "jméno manželky" kterou každý zná že.

Můj Gmail
neumankamil@gmail.com (teď jsem ho vytvořil se svými údaji)Zkuste změnit - resetovat heslo.

No neviem kedy ste tento článok písali ale bez prístupu a vedomosti adresy záložného e-mailu sa ja k svojmu heslu nedostanem a žiadny odkaz na dotazník tu nemám, viď obrázok: http://cl.ly/Id6H...

řikal sem si podle nadpisu - tp bude určitě ,,čížkovina" a taky že jo když znám údaje vo tý osobě tak se to dá snadno prolomit, stačí napsat na podporu že sem to zapoměl . . .hlavně by mě spíš zajímal kde je ten článek s nadpisem: ,, Stačí pár minut a W8 RTM mám aktivovaný zadarmo na furt"

Co bezpečnostní otázka? Schválně jsem se kouknul do nastavení možnosti obnopvení účtu a je to jedna z možností (zbylý jsou mobil a mail), pokud ji mam zaplou proč bych vyplňoval nějaký dotazník?

> Jenže když vás takto někdo začne hackovat ve tři ráno, tak vám to asi bude k ničemu, protože si toho nevšimnete a především bude příliš pozdě.Tak zrovna ve tři ráno bych si toho všim

Kontrolní dotazník ? Jistě tento kontrolní dotazník by měl smysl, pokud by google už dodělal ty jeho hokusy pokusy s rozpoznáním uživatele pomocí vstupních metod jestli to nazývám správně. Tak zvaně rozpozná uživatele podle toho jak rychle píše, jaké používá nějčastější slova atd. V tom případě má takový dotazník nějakou sílu protože uživatel musí vyplnit aspon částečně pravdivé informace a ještě se kontroluje jaký.m způsobem je vyplnuje