Odgadywanie w Gmail
Odgadywanie w Gmail
Witam, ostatnio zdalem sobie sprawe, ze gmail ma pytanie do odzyskania hasla, w ktorym zapytuje o date zalozenia konta. Nawet przy nieprawidlowym jej podaniu na nasz adres mail jest wysylany kod, co ciekawe mail nie musi sie pokrywac z wczesniej podanym - zapasowym . Moje pytanie brzmi, czy jest mozliwe odgadywanie daty, rok po roku, miesiac po miesiacu, dziesiatki razy az dojdziemy do tej wlasciwej konfiguracji? Czy google automatycznie odetnie nam dostep po kilkunastu probach?
Re: Odgadywanie w Gmail
Błyskotliwa kombinacja godna hakera. Masz racje, czasem cyberprzestępcy atakują pytania pomocnicze bo mogą być prostsze od hasła. Nie sprawdzałem tego, ale z tego co pamiętam po kilku nieudanych próbach prosi Google o przepisaniu kodu z obrazka (reCAPTCHA), a tego raczej nie obejdziesz bez zaprojektowania skomplikowanej sieci neuronowej. Kiedyś dało się łamać na większości portalów dostęp do konta mailowego za pomocą właśnie pytania pomocniczego+zebrania sobie słów potencjalnych odpowiedzi ze słowników Polskich itd.
Mechanizmy ciągle się zmieniają, więc radzę samemu założyć konto GMAIL i przeprowadzić symulowany atak. Sprawdzić należy właśnie krok po kroku wpisując nieporwane kody, czy można podając za np: 20-30 razem poprawny kod się zalogować.
O atakach na formularze internetowe już trochę było na blogu i na kanale YouTube:
http://haker.edu.pl/2016/01/25/http-pos ... ack-hydra/
PS: Druga sprawa, to sprawdź czy rzeczywiście podając niepoprawne dane takie jak napisałeś (telefon/rok itd), czy aby na pewno kod dochodzi na maila i działa. Bo być może wysyłane jest tylko ostrzeżenie do właściciela skrzynki o podejrzanej nieudanej próbie logowania a crackerowi wyświetla że "wszysko okej, wysłaliśmy kod". Jest to forma pułapki na hakera: https://pl.wikipedia.org/wiki/Honeypot
Mechanizmy ciągle się zmieniają, więc radzę samemu założyć konto GMAIL i przeprowadzić symulowany atak. Sprawdzić należy właśnie krok po kroku wpisując nieporwane kody, czy można podając za np: 20-30 razem poprawny kod się zalogować.
O atakach na formularze internetowe już trochę było na blogu i na kanale YouTube:
http://haker.edu.pl/2016/01/25/http-pos ... ack-hydra/
PS: Druga sprawa, to sprawdź czy rzeczywiście podając niepoprawne dane takie jak napisałeś (telefon/rok itd), czy aby na pewno kod dochodzi na maila i działa. Bo być może wysyłane jest tylko ostrzeżenie do właściciela skrzynki o podejrzanej nieudanej próbie logowania a crackerowi wyświetla że "wszysko okej, wysłaliśmy kod". Jest to forma pułapki na hakera: https://pl.wikipedia.org/wiki/Honeypot
Re: Odgadywanie w Gmail
Dzieki za info, kolego. Swoja droga, przydalby sie program (moze istnieje) ktory z podanych wyrazow robilby wiecej zastawien. Na przyklad po podaniu wyrazow: karolinawarszawa1 on dalby wiecej zestawien (karaolinaWarszawa1, 1Warszawakarolina itd). Poki co zostaje dodawanie wpisow do slownika recznie.
Re: Odgadywanie w Gmail
No przecież jest np: crunch i jego wzorce.
http://haker.edu.pl/2015/10/02/generowa ... ika-linux/
Pamiętaj, że niektóre słowniki pod dany atak cyberprzestępcy przygotowują kilka tygodni. Najpierw jednak zbierają skrupulatnie dane o celu a potem je wykorzystują wedle swojej intuicji i prawdopodobieństw haseł do wygenerowania różnych permutacji z różnych słów/danych.
http://haker.edu.pl/2015/10/02/generowa ... ika-linux/
Pamiętaj, że niektóre słowniki pod dany atak cyberprzestępcy przygotowują kilka tygodni. Najpierw jednak zbierają skrupulatnie dane o celu a potem je wykorzystują wedle swojej intuicji i prawdopodobieństw haseł do wygenerowania różnych permutacji z różnych słów/danych.
Re: Odgadywanie w Gmail
Mam jeszcze dwa pytania. Po wpisaniu odpowiedniej komendy hydra wywala mi blad "nie znaleziona pliku z haslami" - mniej wiecej w tlumaczeniu. Dokument txt znajduje sie na pulpicie, skad moze pojawiac sie problem?
Drugie to juz z czystej ciekawosci. Jak wyglada sprawa zniszczenia komputera podczas wpadki, zakladajac, ze mamy kilka minut na pozbycie sie dowodow? W mr.robot pojawil sie ogien w komputerze, ale watpie aby cos tam zdazyl zniszczyc w kilka sekund, bardziej to fantazja tworcow.
Drugie to juz z czystej ciekawosci. Jak wyglada sprawa zniszczenia komputera podczas wpadki, zakladajac, ze mamy kilka minut na pozbycie sie dowodow? W mr.robot pojawil sie ogien w komputerze, ale watpie aby cos tam zdazyl zniszczyc w kilka sekund, bardziej to fantazja tworcow.
Re: Odgadywanie w Gmail
A znajdujesz się w tym folderze w którym znajduje się plik? Wątpliwe. Podstawy obsługi systemu Linux czyli polecenie pwd i cd.
Jakiej wpadki? Audytor bezpieczeństwa podpisuje przecież dokument, że robi to legalnie i bierze za to pieniądze. Mylisz słowo HAKER z CRACKER (przestępca). Na naszym blogu jest wpis "jak zostać hakerem" i tam wyraźnie jest określone kim jest haker.
TO media przypięły taką etykietę temu terminowi. Elliot Alderson nie był hakerem, był cyberprzestępcom do tego chorym.
Co do niszczenia dysku w ten sposób w ogniu to bezsensu bo dane dałoby się zapewne odzyskać. Dyski są nośnikami magnetycznymi, więc nawet jak połamiesz taki nośnik na 100 elementów to dane da się odzyskać. Dane na dysku to nie jest coś namacalnego. Wykorzystuje się tutaj ferromagnetyzm i w podobny sposób zaawansowane laboratoria kryminalistyki mogą je odzyskać.
Jedyny sposób to kąpiel w kwasie i tej metody obecnie używa się do niszczenia danych, również tych poufnych i wojskowych. Można próbować nadpisywać dysk losowymi danymi za pomocą np: narzędzia DBAN (również opisane na blogu), ale przy współczesnej wielkości dysków (300gb+) myślę że trwałoby to kilka tygodni a metoda nadal nie jest w pełni skuteczna (odzyskiwanie z głębokim skanowaniem).
Jakiej wpadki? Audytor bezpieczeństwa podpisuje przecież dokument, że robi to legalnie i bierze za to pieniądze. Mylisz słowo HAKER z CRACKER (przestępca). Na naszym blogu jest wpis "jak zostać hakerem" i tam wyraźnie jest określone kim jest haker.
TO media przypięły taką etykietę temu terminowi. Elliot Alderson nie był hakerem, był cyberprzestępcom do tego chorym.
Co do niszczenia dysku w ten sposób w ogniu to bezsensu bo dane dałoby się zapewne odzyskać. Dyski są nośnikami magnetycznymi, więc nawet jak połamiesz taki nośnik na 100 elementów to dane da się odzyskać. Dane na dysku to nie jest coś namacalnego. Wykorzystuje się tutaj ferromagnetyzm i w podobny sposób zaawansowane laboratoria kryminalistyki mogą je odzyskać.
Jedyny sposób to kąpiel w kwasie i tej metody obecnie używa się do niszczenia danych, również tych poufnych i wojskowych. Można próbować nadpisywać dysk losowymi danymi za pomocą np: narzędzia DBAN (również opisane na blogu), ale przy współczesnej wielkości dysków (300gb+) myślę że trwałoby to kilka tygodni a metoda nadal nie jest w pełni skuteczna (odzyskiwanie z głębokim skanowaniem).
Re: Odgadywanie w Gmail
Teraz dziala, dzieki za podpowiedzi dla nooba. 
Teraz mam inny problem. Podalem hasla do slownika i staralem sie zlamac swoj wlasny mail, i nie wyszlo. Sposrod 10 podanych hasel w slowniku - w tym jednego prawidlowego, nie potrafila sie zalogowac. Wszystko robilem w zgodzie z poradnikiem na stronie (poczta to onet).
PS.
Gdzie jest SMS spoofing? Usuniety?
Teraz mam inny problem. Podalem hasla do slownika i staralem sie zlamac swoj wlasny mail, i nie wyszlo. Sposrod 10 podanych hasel w slowniku - w tym jednego prawidlowego, nie potrafila sie zalogowac. Wszystko robilem w zgodzie z poradnikiem na stronie (poczta to onet).PS.
Gdzie jest SMS spoofing? Usuniety?