Zapobieganie włamaniom

frecel

Ostatnio myślałem trochę nad zapobieganiem tym włamaniom i szukałem jakiś wypasionych metod ale okazało się że rozwiązanie jest proste jak drut.

Więc najpierw trochę suchej teorii:
Hasła w phpbb2 są w bazie danych zapisywane jako 128-bitowy skrót czyli hash md5. I tak jak wszelkiego rodzaju kody można odkodować to hashy nie można odhashować, można je jedynie porównać z innymi hashami żeby otrzymać zawartą w nich informacje. To porównywanie może trwać baaardzo długo więc istnieją całe bazy z gotowymi hashami md5 ze znaną zawartością do porównania. I najprawdopodobniej osoba która włamuje się na cudze konta korzysta właśnie z takiej bazy żeby wiedzieć jakie inni mają hasła.

No to teraz praktyka:
Żeby zmniejszyć prawdopodobieństwo włamania trzeba wybrać sobie takie hasło którego nie ma w żadnej bazie. Tak więc najpierw trzeba wejść na [link widoczny dla zalogowanych] i przerobić nasze hasło na hash md5 skopiować go i wejść na [link widoczny dla zalogowanych] zmienić wartość top5 na select all
i sprawdzić czy nasz hash md5 jest w bazie (może to trochę potrwać bo ta strona oprócz swojej bazy przeszukuje jeszcze z kilkanaście innych). Trzeba to powtarzać tak długo aż znajdziemy hash którego nie ma w bazie. W tedy zmieniamy nasze hasło na to którego hasha się nie udało znaleźć i już utrudniliśmy naszemu pr0 haxx0r0wi zadanie.

Gri

ha! mam hasło którego nie znalazło nigdzie xD

Teraz zmieńcie sobie lepiej na takie którego też nie znajdzie i będziecie się mogli chwalić że macie dobre hasło ;P

Thx za temat frecel ;P

RastaBanan

No w sumie tak, to jest bardzo dobry pomysł, ale cracker może sobie pobrać exploita/brutusa/keyloggera (5 minut szukania w internecie, na prawde) i to jest nic nie warte.

Apropo: expit-exploit xD

XPT

Gri

XPT - jeżeli mielibyśmy możliwość dostępu do bazy danych, to byśmy się żadnego hakera nie obawiali i już dawno mielibyśmy forum na phpbb3 xd

Wysłać komuś keyloggera jest problem. Jeżeli ktoś chociaż trochę myśli, to nie pozwoli sobie keyloggera wgrać.
Brutus tak naprawdę nie może Ci złamać szybko długiego hasła. W sumie to może łamać w cholerę długo.
A odpalić exploita też trzeba umieć ;P W sumie byłoby bardzo fajnie, bo przeważnie w exploitach są robione celowe błędy, tak żeby go odpalić, to ktoś musi się trochę na tym znać. niestety zawsze znajdzie się jakaś "Matka Teresa z Kalkuty" i napisze poradnik krok po kroku jak korzystać z exploitów ;P Ale do każdej dziury jest inny exploit, więc ktoś jeszcze musi go znaleźć, i umieć go uruchomić ;)

RastaBanan

Ja szczerze wątpię, czy umiejętności tego crackera co niszczy wszystkie fora wykracza poza podglądanie hashy. Ew. może umieć trochę z języka c++ i obsługiwać exploity, ale ja na to nie znam sposobu. Zaaplikowanie komuś keyloggera... to w sumie zależy od sprytu naszego crackera. Na pewnym forum hakerskim widziałem tutoriale "Jak łatwo puścić keyloggera do sieci". Są nawet działy "keyloggery dla zielonych". Wszędzie można znaleźć różnego typu programy do włamań.

Gri- no tak, ale wystarczy znać język c++ i exploity to żaden problem Razz

frecel

No widzisz ale niektórzy twórcy takich exploitów jak juź Gri powiedział celowo pakują gdzieś błąd żeby każdy kto się zna to zauważył a dzieci przez to nie mogły się nim bawić.

+Caesar+

@Gri - za bardzo się pocieszyłeś, że twojego hasła nie ma w bazie danych... Przecież wystarczy zrobić parę tabeli w Windowsie i w 20 min. mieć czyjeś hasełko.

@frecel - btw: zdejmij tego ubka o mnie xD

frecel

A właśnie coś mi się przypomniało żeby jeszcze bardziej to skomplikować używajcie długich haseł mieszajcie litery, cyfry i małe i duże litery. Wtedy nawet metoda rainbow tables o któej wspomniał Caesar powinna mieć trudny orzech do zgryzienia. A i jeszcze jedno najlepiej nie używajcie słów bo wtedy można rozwiązać hash "słownikiem"

Loozny

Kłania się PoK3m0|\|0w3 pismo! Kurde, hasła trolli i pokemonów są wręcz nie do złamania...

PodlY

I TAK NIC NIE PORADZICIE ZDARZA SIE ANWET NAJLWPSZYM:

[link widoczny dla zalogowanych]

Ribben

O lol, xD Fajne logo, ciekawe czy go znajdą Razz

8 latek w więzieniu o,0

Van

Caesar, czy ty przypadkiem nie przesadzasz? xd
Joke joke joke! Very Happy

Ciekawe jakie hasła ma premier ;>

frecel

Koleś który to zhakował stronę kancelarii to najprawdopodobniej zawodowy informatyk po studiach a osoba z którą my się musimy tutaj męczyć to jakieś dziecko które znalazło na googlach jakiegoś tutka do haczenia i tyle.

A co do tamtego hackera to on pewnie łączył się na hot-spocie i przez jakieś proxy w Chinach także nawet jeżeli go złapią to trochę to potrwa.

Van

Czy gdyby te "dziecko", które niby "znalazła tylko jakiegoś tutka do haczenia", może w takim razie stanowić poważne zagrożenie?