Ukradli jsme účet k Facebooku. S Androidem za pět sekund

ty, ty se nikam nedostanes, ale ostatni uzivatel na tvuj ANO )

Switch tohle neumi, nebot switch propojuje jen urcite porty, na rozdil od HABU, ktery se uz ale nepouziva.
Takze bud by clovek musel sedet na routeru, nebo mit man. switch, kde jde veskery provoz zrcadlit na urceny port, nebo pres ARP presvedcit, ze tahle MAC jsem ja a tim docilit utok na konkretniho cloveka.
No a teoreticky jde napichnout samotny kabel ... ale to uz je mene pravdepodobne, ale taky mznsot, at uz prepojit, nebo rozrezat a prekrympovat na svuj opakovac, nebo HUB

účet na fb nemá hodnotu? A proč má teda facebook hodnotu v řádu miliard dolarů? Kvůli modré barvě to asi nebude, že? ;)

Firesheep je vonku tiez us nejaky-ten cas, ale ide o kradnutie cookies nie priamo zachytavanie hesiel.

S těmi doklady ti nevěřím, kdo by se pro takovou hordu lidí s tím babral a ověřoval .Navíc by to bylo v každých správách, protože na to facebook nemá právo.Já jsem měl dlouho docela bláznivé alterego(Jméno co ani bot na přezdívky nevymyslí) na facebooku a že by nějaká facebookovská tajná služba po mě něco chtěla si nepamatuji.Jestli si z tebe někdo náhodou neudělal srandu nebo jsi byl na nějaké podvodné stránce .Aby ses pak nedivil .

Při koupi WOW přes internet se takhle taky ověřuje totožnost. Alespoň po mě chtěli fotku občanky.

ani ne, spice crackery

jasne, na linuxu toho je, treba tcpdump )

Ano, ale můžete touto formou popudit hromadu lidí onoho "nešťastníka" proti němu samotnému a nebo jej dokonce zdiskreditovat nějakým prohlášením, které by on nikdy neřekl...Což mi jako problém přijde.

Nebo dokonce udělat bota, který automaticky sjede všechny napadnutelné účty, které objeví a povolí všechny práva pro různé aplikace ... Což by šlo určitě i zpeněžit ... Sice už trochu extrém, ale technicky realizovatelné ... :)

tak to určitě ne. přihlásit se na 1,2 nebo desítky účtú je sice cool, ale aby to vydělávalo,muselo by jich být 10ti tisíce, což realizovatelný neni, protože byste s těma 10ti tisíci uživateli museli být ve stejnej síti,....

Názor byl 1× upraven, naposled 07. 06. 2011 22:08

Podle me nema FaceNiff vubec nic spolecneho se zabezpecenim Androidu. Program nijak neutoci na OS, program vlastne vubec na nic neutoci, pouze posloucha...
Mimochodem bezny android je pomerne lehce zabezpecen uz jenom tim ze je to linux od ktereho nemate SU prava. A jak je v clanku i na strance FN uvedeno, program funguje jenom na Root-nutem telefonu, coz vam prave ta SuperAdmin prava umozni pouzivat. A jinak antivirus/antispyware/firewall na Android samozrejme existuje, a ne jenom jeden.

Naopak, v tomto případě hack funguje na uživatele počítačů (i ty s firewallem/antivirem/antičímkoliv), ale uživatelé připojení na facebook přes Androida jsou proti němu chránění (aplikace tam jede přes SSL). Android je tu nástrojem (navíc upraveným), ne cílem útoku.

Je mi to jasné, jenom jsem chtěl říct, proč se trápit účtem na Facebooku ukradeném za dost specifických podmínek, když stejně většina lidí je schopná instalovat do telefonu či tabletu cokoli s koncovkou .apk, bez firewallu, antiviru (což je asi důsledek toho, že android je klon "bezpečného" linuxu).

S tímhle bych nesouhlasil, naopak si myslím, že na drtivé většině telefonu s Androidem jsou jen aplikace z Marketu (a jejich uživatelé nikdy o apk neslyšeli).

Linux je extremne bezpecny OS, ale jak je natom dalvik a cely zmrseny android, kde i GUI bezi v JAVA, to tezko rict )
Ale samotne jadro je bezpecne dost a jsou aplikace, ktere umi omezit pristupy i jinym aplikacim, proti jejich vuli.U androidu bych se vice nez OS a utoku zvenci bal spise aplikaci a rootlich telefonu.

cize ked programator na apple ios vytvori aplikaciu ktora pouziva http protokol na pristup k facebooku je to chyba operacneho systemu a cely telefon je vlastne zly :) zaujimave uvazovanie - podla siestej vrstvy osi modelu sudit bezpecnost operacneho systemu

Na jednu stranu souhlasím, na druhou stranu to upozornění hodně zvyšuje tu naléhavost. Umím si představit, že reakce laika na běžné upozornění by byla vlažná, na tento článek už by mohl vyvinout nějakou činnost.

Zase kolik skutecnych laiku si ten clanek na Zive.cz precte? Prece jenom je to hodne specializovany server...

Tak se někdo dostane přes Androida na cizí profil, no a co? Prohlídne si fotky z dovolený, přečte si, kdo s kým chodí atp. Heslo stejně nezjistí. Co horšího se může stát? Snad nikdo není takovej idiot, aby na Facebook dával nějaké intimní fotky nebo fotil svou domácnost a doufal, že se k nim nikdo nedostane... Dalo by se napsat tisíc článků o potenciálně "problémovějších" programech, než je nějakej Faceniff.

...bude psát statusy, který můžou způsobit třeba vyhazovat z práce či problémy ve škole. Nahraje fotky, které z vás udělají prasáka. Napíše kamarádům něco, co je hodně naštve a urazí. Nainstaluje (a poté uklidí z dohledu) nějakou nelibou aplikaci. Změní heslo...

Změní heslo?? Právě kvůli tomu aby mi někdo nemohl změnit heslo když si od PC jenom odskočím (a nezamknu obrazovku) všechny služby snad vyžadují i zadání aktuálního hesla, nebo ne.

Standardní cestou to nepůjde, přes nouzovou komunikaci s facebookem asi ano: "nerozumím tomu vůbec, jsem teď nalogovaný, ale když zadám heslo na dalším počítači, tak to hlásí, že je špatně, můžete mi pomoct?" - bude sice potřeba dostat se ještě k mailu, ale u uživatele, který nepoužívá SSL na F-booku to možná nebude tak složité :)

No jistě, jestli se stejným způsobem dostanu i k webmailu oběti, pak už můžu prakticky cokoli.

Třeba smazat Tvůj profil na FB? Ale to přece není žádná zábava, takže: Změnit zabezpečení Tvého profilu, aby všichni viděli vše. Dát Ti jako profilovou fotku foto nějaké nahé holčičky, aby všichni na Tvůj profil přišli. Změnit Tvé údaje na profilu ohledně sexuální, náboženské a politické orientace, dát Ti do statusu něco na způsob: "Tak teď jsem si to krásně udělal u super porna se sedmiletou holčičkou, ty jsou nejlepší...", odepsat lidem se kterými si často píšeš a napsat jim že jen nenávidíš nebo že hodláš spáchat sebevraždu, a tak dále. Zapoj trošku fantazii a určitě přijdeš na spoustu ještě zajímavějších možností, jak někomu během pěti minut život přinejmenším zkomplikovat, ne-li zničit...

Ježišmárjá, to je ale nebezpečný návod.
Z článku jsem se dověděl, že kromě Wiresharku, FireSheepu a tuctu dalších existuje ještě jeden způsob, jak se někomu dostat na facebook. To mě teda úplně zvedlo ze židle. Hned mám potřebu to jít vyzkoušet! Možná se budu muset poohlédnout po webu, který se ke svým čtenářům nechová jak k malým dětem.

Pokud to není zabezpečené navíc přes EAS, tak to jde sniffovat i na WEP, WPA, WPA2. A to moc WiFi nepoužívá, alespoň teda u nás.

Naopak, tohle funguje i na šifrované Wi-Fi (samozřejmě je potřeba být v ní připojený) - jde to dokonce i v síti klasické, samozřejmě s jiným programem a ne tak pohodlně (třeba zmíněný Wireshark poslouží velmi dobře).

Zkoušel jsem to nedávno. Přihlásil jsem se na nějakou uživatelku připojenou na Free WiFi, poté jsem se odpojil z WiFi a připojil se přes EDGE a stále jsem mohl být na jejím profilu.

Ne, určitě nekontroluje. Není problém běžet na úplně dvou rozdílných připojení zároveň.

tak to by nekdo zaslouzil docela slusne seřezat.

co se týče autenticity zařízení tak tohle má poměrně dobře vyřešeno služba steam tam se kontroluje při přihlášení jak síť (IP) tak identifikace PC (HW sestava) tak dokonce snad i mac adresa a pokud nesedí je nutné si tuto konfiguraci zařadit do schálených tak že vám příde potvrzovací kód na schválený email... ale jak je to už s navázanou komunikací nevím ale nejspíš bude také šifrovaná... je to nejspíš o tom že na facebooku lidi o nic majetného nepřídou takže se o to asi tolik nestaraj kdežto třeba na steamu můžete přijít o tisíce nebo klidně i o desetitisíce korun když padne účet do nesprávných rukou

Kontrolovat ani nemuze. Jak jiz zde bylo zmineno, je spousty uzivatelu, kterym se meni IP v prubehu brouzdani, aniz by o tom vedeli. Zadnej rozumnej verejnej server dnes nemuze kontrolovat IP pro takto velkou sluzbu.

Ale kontroluje. Teda spíš než IP kontroluje podle IP polohu. Pokud se pak citelně změní poloha, dejme tomu o 300km, tak je potřeba reaktivovat účet přes SMS/mail. A to probíhá jak s SSL, tak i bez.

Ta aplikace pro android je relativne nova, a vubec si na Zive

Mesic, mesic a pul?

SSL je narocenjsi na prostredky. Napriklad viz. http://docs.google.com/viewer...

Jasne ale tak snad nikdo normalni nenasadi robustni aplikace na Tomcat nebo Apache. Podle mne to stejne drive ci pozdeji prijde a sluzby pracujici s citlivymi osobnimi daty budou muset pouzivat pouze zabezpecenou komunikaci.

Ptal ses na rozumnej duvod. Nestacil?

Ten dokument/test je ponekud starsiho data, navic probihal na naprosto nevhodne platforme. Kazdopadne diky za odpoved.

Stack samozrejme hraje roli, pokud se teda budem brat zatez jako insignifikatni, porad je tam minimalne pocatecni handshake navic (s keep alive v HTTP 1.1 pouze jednou - nicmene zase pocitej s tim, ze browser taha minimalne v 8-10 spojenich) pri kazdym requestu -> pomalejsi odezva pro uzivatele.

Proč by nenasadil? Apache zrovna jednoznačně patří mezi těch pár aplikací, které dlouhodobě porážejí cokoliv z Windows světa.
http://royal.pingdom.com/2008/03/18/apache-dominat... ...

* Porazeji v cem? Je nejrozsirenejsi, spouste/vetsine beznych reseni staci. Z toho neplyne, ze je nejvykonnejsi, nejrychlejsi, nejlepsi a nejvhodnejsi pro vsechny pripady... (viz rozdil mezi mpm a event-based architekturou).

Protože šifrování používají jen zločinci a teroristi, slušný člověk nemá co skrývat. Stejně bude šifrování zanedlouho zakázané, aby stát mohl kontrolovat, zda přes šifrovaný kanál nepřenášíte nějaká autorsky chráněná díla.

a muze za to rozlas protoze malo hraje Helenku! http://www.youtube.com/watch...

Nejlepším zabezpečením je ksichtovník vůbec nepoužívat

jasny...a nejlepsim lekem na AIDS je prevence, nejlepsim antivirem mozek a nejvetsim IT odbornikem hulan...

Pozor, na Radka mi nešahejte

Hrajes hry? Pouzivas chat? Pak je to zabezpeceni k nicemu

Na Vaclava Klause stejně nemáte a jeho "nové" pero (které si obstaral v chile pomocí neviditelné ruky trhu)jinak v čem vlastně je zde zakopaný pes ? v tom že to jde prolomit lidem, co používají nezabezpečený internet ?tj ti co mají vypnutý HTPPS ?

Názor byl 1× upraven, naposled 07. 06. 2011 12:58

Zalezi jak je to spravene niekedy netreba mat tu istu IP.Ad overovanie aj IP. Tak toto je napad hodny pozlatenia mozgu, nech ho doticny uz nepouziva. V dnesnej dobe ked clovek netucs ci ide alebo nejde cez balancovane proxy servery, ci nahodou nema poskytovatel farmu web akceleratorou ..... Je to uzasny sposob jak si vygenerovat problemy. A pritom staci pouzivat nieco co je uz davno zname (ssl/ssl certifikaty, kerberos, open id, ....).

Nejsem si ani jistý, zda tohle Facebook ověřuje, myslím že ne. Přihlásím se doma a pak na stejném počítači mi jede Facebook i když se přihlásím z jiné IP v práci a zadávat heslo nijak nemusím. Možná kdyby to bylo o 1000km jinde, tak by se už odhlásil.

ale to je uplne nieco ine

Co je na tom jiného? Tvrdím, že Facebook IP v session neověřuje a mám to potvrzené experimentem.

Overuje, a to zrejme i MAC adresu/nazev PC. Kdyz se prihlasim doma, ze dvou ruznych PC, a nemam je pridane jako "schvalena prihlaseni", tak to automaticky posle SMS s overovacim kodem, zda jsem to skutecne ja. To same provede, kdyz jsem v praci (nemecka proxy), nebo jedu k rodicum na navstevu.

"Overuje, a to zrejme i MAC adresu/nazev PC".
Ty ses mi ale expert. Tak mi povez, jak zjisti MAC adresu a nejaky nazev PC?
Ono to totiz zadnym zpusobem zjistit nejde.

dalo by sa to tak ze si ju jednoducho posle ;) z ip packetu sa zistit neda, jedine ze si na lokalke.

ve FB je ještě nějaká volba s ověřením přes SMS, ale to nemám zapnuté.

S tou IP máte možná pravdu. Možná, pokud to FB vůbec kontroluje.
To ale nemění nic na faktu, že ten "útok" v 90% bez problémů provedete, protože málo kdo má pro WiFi vlastní rozsah veřejných IP. Téměř vždy je jedna IP a WiFi router s NATem, takže server vidí vás i oběť jako stejnou IP.

Souhlasím s tím, aby byla ztížena identifikovatelnost té aplikace. Už vidím jak to zkouší každé kiddie...

"Už vidím jak to zkouší každé kiddie..."třeba Čížek ....

Taky se uz tesite, az bude na Nove vecer v TN nova afera MODRAK?

to mi pripomenulo http://imageshack.us/photo/my-images/151/odbor... ...

Spousta lidi pouziva na FB chat, hry a v takovych pripadech komunikujes pres HTTP, ne HTTPS.