Gmail-fiók jelszavát?

Gmail-fiók jelszavát? Hogyan szerezhetjük meg könnyedén egy Gmail-fiók jelszavát?
A Twitter-hack története arra mutat rá, hogy az internet mai állapotában a jelenlegi biztonsági protokollok messze nem elegendőek.
A múlt héten számoltunk arról a nagy port felvert ügyről, amelynek lényege, hogy egy hacker megszerzett a Twitter egyik alapítójának Google Apps-fiókjából több száz bizalmas természetű, a vállalkozás gazdasági ügyeit, terveit tartalmazó dokumentumot. Ilyen támadások mindennaposak, ám ez az ügy több szempontból is különösen érdekes. Egyrészt, mert napjaink egyik legdinamikusabban fejlődő IT-cégéről van szó. Másrészt pedig azért, mert a megszerzett fájlokat a hacker elküldte a TechCrunch nevű lapnak, akik ezek közül többet nyilvánosságra hoztak – arról még most is folyik a vita és birkózás, hogy vajon mennyire volt jogszerű az újságírók lépése.
De a legizgalmasabb mégis az a módszer, amellyel „Hacker Croll” megszerezte a jelszavakat és az azonosítókat, mivel iskolapéldaként mutatja be az internetes munkában, az online adattárolásban fellelhető biztonsági kockázatokat. A múlt héten még keveset lehetett erről tudni, de a hét végén a TechCrunch (némiképp talán a figyelmet elterelendő az etikailag megkérdőjelezhető dokumentumközlésről) a Hacker Crolltól kapott információk alapján részletesen bemutatta a történet hátterét, a hacker által alkalmazott módszereket. (A hét második felére ígérik a folytatást, amelyben azt kívánják elemezni, hogy a Twitter a színfalak mögött hogyan reagált a történtekre.)
Hacker Croll
A huszonéves, jelenleg munkanélküli francia hacker sikerének hátterében semmiféle csoda, zsenialitás nem áll; azt csinálta, amit egy jó hacker szokott: türelmes volt, szánt rá bőven időt, eltökélt volt, s ehhez csak néhány alapvető, rég ismert technikát választott, melyek korántsem titkosak. A nagy trükk az volt az akció során, hogy felismert egy rendszerbeli gyöngeséget: míg a mai népszerű internetes szolgáltatások – az amerikai példát véve: Gmail, Google Apps, GoDaddy, MobileMe, AT&T, Amazon, Hotmail, Paypal és iTunes – önmagukban komoly védelemmel rendelkeznek a támadásokkal szemben, ám ha e szolgáltatásokat rendszernek tekintjük, kapcsolataikat elemezve hirtelen feltárul egy védtelen mező.
Hacker Croll első lépésként egy olyan módszert választott, amelytől – a biztonsági ügyekről szóló topikok tanulságai alapján – sajnos még az IT café hozzáértő olvasóinak egy része sem tart: miután célba vette a Twittert, az interneten teljesen nyilvános oldalak segítségével elkezdett profilokat készíteni a vállalat alkalmazottairól. Gond nélkül össze tudta gyűjteni az ilyen információkat: az illető neve, vállalati e-mail címe, beosztása, születési dátuma, háziállatainak neve és egyéb személyes adatokat. Majd ezeket rendszerezte a későbbi felhasználás céljából.
Ezek után jött a következő lépés, amikor megkereste azokat a belépési pontokat, ahol a már számba vett alkalmazottak használhatják a netet – nagy valószínűséggel az általa összegyűjtött adatokat alkalmazva. Két dolgot használt ki ezek után: a felhasználóktól a webes alkalmazások azonosítóként egy e-mail címet követelnek meg, illetve, hogy ehhez egy jelszót kell választani; s ezzel már meg is van a kulcs, hiszen az emberek hajlamosak arra, hogy azonos adatokkal dolgozzanak – még a professzionális IT-szakemberek egy része is. Az internet hőskorából származó „bizalmi tényező” pedig a legtöbb webes alkalmazásnál, szolgáltatásnál jelen van: szinte mindenütt megtalálhatóak az „elfelejtettem a jelszavam”-típusú opciók.
A Twitter sem kivétel, sőt. Ha a működését tekintjük, az egész cég online módon üzemel, ami azt jelenti, hogy az alkalmazottak munkájuk döntő részét, az adatmegosztást online, a hálózaton keresztül végzik, leginkább e-mailek segítségével. Ez a rendszer így egy lánccá épül fel, amelynek szilárdságát – ahogy a közhely tartja – a leggyengébb láncszem határozza meg. Hacker Croll dolga csak annyi volt, hogy megtalálja ezt a gyenge láncszemet.
Hogyan csinálta?
Találgatással rájött, hogy ki az, akinek az online viselkedése tipikus, nem tér el a felhasználók 98 százaléka által produkálttól. Az egyik alkalmazott esetében küldött a Gmailnek egy üzenetet, melyben élt a felkínált lehetőséggel, és új jelszót szeretett volna kérni. Ezt többször megpróbálta másoknál is, ám az áttörés mégis itt következett be. A fent említett esetben a Gmail honlapja arról értesítette, hogy elfelejtett jelszavát elküldték a másodlagos („secondary”) e-mail címre, melyet így jelenített meg a szolgáltatás: ******@h******.com. Nem volt nehéz kitalálni, hogy ez egy hotmail-cím.
A hotmail esetében Croll újra az elfelejtett jelszó menühöz folyamodott – feltételezte, hogy az azonosító ugyanaz, amit már ismert. És ekkor borult a dominó. Az adott alkalmazott már rég nem használta ezt az e-mailt, ezért a hotmail – szabályzatának megfelelően – törölte a fiókot. Innen már egyszerű volt. Az azonosító alapján létrehozott egy új fiókot, majd újra lekérte a Gmailtől az elfelejtett jelszót, amit szépen meg is kapott az újonnan létrehozott hotmail-fiókba.
Tehát megvolt a hozzáférése az illető Gmail-fiókjához.
Ám az volt a gond (ez volt a legnagyobb kockázat, itt bukhatott volna le), hogy a fiók most új jelszóval működött, vagyis a tulajdonos nem tudta használni, de erre is talált egy ízlés szerint pofátlannak vagy szellemesnek nevezhető megoldást. Nem sokat kellett keresnie a levelek között, amikor ráakadt egy olyanra, melyben az alkalmazott egy másik webes szolgáltatásnál egy általa elfelejtett jelszó után érdeklődött, s kapott egy olyan levelet, amilyet már mindannyian: „Az ön azonosítója: Malacka, jelszava: Farkas1”. Ezek után jött a próba: a hacker kicserélte az új Gmail jelszót erre, amelyet a felhasználó más szolgáltatásoknál használt, hogy ellenőrizze, majd figyelt, hogy működik-e még tovább a fiók – s működött, a felhasználó nem vett észre semmit, tehát ugyanazt a jelszót használta, ahogy a hacker feltételezte.
Ezek után a megismert azonosítóval és jelszóval próbálkozott a nyilvánvaló, illetve feltételezett szolgáltatásoknál, amelyeket az illető igénybe vett. A legtöbb esetben azt tapasztalta, hogy be tud lépni, de ha a már ismert jelszó nem működött, újra bedobta az „elfelejtett jelszó”-módszert, és már meg is volt a keresett adat. És itt már nem is borult, hanem omlott a dominósor: hozzáfért az illető telefonos adataihoz, az amazonos vásárlástörténetéhez stb.
A TechCrunchnak írott levelében Hacker Croll igazi hackerként mutatkozott meg. Mint írta, semmiféle haszonszerzés nem motiválta, a lehetséges veszélyforrásokra kívánta felhívni a figyelmet.

Küldd el Szólj hozzá Nézettség: 20547
Szavazat: 5

tanulságos sorozat | 1-6 | 76

tanulságos

Töltés folyamatban...

Címkék:: biztonság, forrás techcrunch, szerző dajkó pál

Szólj hozzá: "Gmail-fiók jelszavát?"

A lényeg az hogy ne használj több helyen egy jelszót. Ha minden ajtót ugyanaz a kulcs nyit ne csodálkozz ha más is benyit rajta.

newkids newkids top 2009
13 szint - több éve

Ez a módszer inkább szorgalom és szerencse, mint tudás és ravaszság kérdése, azaz nem elegáns. Egy jó hacker, ezzel a módszerrel nem dicsekedett volna el.

Ennél sokkal szellemesebb és okosabb módszereket alkalmaznak.

Loncsy Loncsy top 2009
12 szint - több éve

Hozzám ma jön a varázsló - végleg meg lesz a király bukása, ezt várom Tőle :-)))

gijane g.i.jane top 2009
10 szint - több éve

Ja, a jó hacker megszerzi a címedet, vesz egy távcsövet és a nyomodban jár! Kapja be az ilyen hacker az összes faxom, + még a szomszédét is!!!!!!

gijane g.i.jane top 2009
10 szint - több éve

A fenti sztori csak egy a sok lehetőség közül, a lényeg az hogy legyünk figyelmesebbek és legalább a hanyagságunkkal ne segítsük az illetékteleneket.

newkids newkids top 2009
13 szint - több éve

Húú mik vannak! Ennyire agyas hogy lehet valaki.Jó lesz vigyázni!

Tundermacko Tündérmackó top 2009
10 szint - több éve

Így igaz Newkids! Ez a Twitter feltörés, elsősorban a felhasználók kényelmére, és hanyagságára épített, azt kell csinálni, amit mondasz!

Loncsy Loncsy top 2009
12 szint - több éve

Akinek ez a szórakozás, annak ajánlanák valamit!!!! :(((

blali blali top 2009
12 szint - több éve

Látod Jane! Így jár az a nő, aki keveset látogatja a Mommo-t! Elkezd nőlni a faxa.:-))))

Loncsy Loncsy top 2009
12 szint - több éve

én eddig is azt csináltam amit Donga mondott :-))

gijane g.i.jane top 2009
10 szint - több éve

g.j.jane, az enyém mellett sem áll rendőr!! Jogos a háborgásod!! :))

blali blali top 2009
12 szint - több éve

mivel nem nőtt ki még így sem, ezért kellett odaraknom a szomszédét :-)) annak van (hihi, legalábbis gondolom, hogy van)

gijane g.i.jane top 2009
10 szint - több éve

Jane, be is tört egy hacker a mommodba.

Loncsy Loncsy top 2009
12 szint - több éve

Úgy, úgy jól látod. Magamnak írtam levelelet a mommon g.i. janenek címezve, mert éreztem, hogy figyel és a férjem letiltott freemailjéből válaszolt.

gijane g.i.jane top 2009
10 szint - több éve

Viszont, ha nem töltesz fel nekünk horoszkópot Jane, egy Nyilas fog az orrodra nőlni!:-)))

Itt kóválygok minden szellemi, erkölcsi és tudati homályban, mint egy szabaddemokrata a parlament folyosóján.:-)))

Loncsy Loncsy top 2009
12 szint - több éve

Bocsi, de már csak perceim vannak ..... horoszkóp holnap lesz :-))) aranyos vagy, hogy hiányolod, köszi

gijane g.i.jane top 2009
10 szint - több éve

Egy hacker is mint egy vadállat a leggyengébb ponton támad, ezért vannak nagyobb veszélyben azok akik figyelmetlenek és hanyagok. De mint Jane esetében is ha kiszemelt áldozat az ember, akkor csak idő kérdése hogy elérjék a célukat. Na meg persze a hacker tudása sem elhanyagolható tényező, mert itt már kevés lenne a véletlenekre hagyatkozni.

newkids newkids top 2009
13 szint - több éve

Jól mondtad, párom jelszava, midenhol ugyan az volt :(((

gijane g.i.jane top 2009
10 szint - több éve

A horoszkóp csak ürügy Jane!!!!!!!:-))))

A lényeg TE vagy!!!!!!

Loncsy Loncsy top 2009
12 szint - több éve

Jaj Loncsy, ne izélj már! elpirulok .....

gijane g.i.jane top 2009
10 szint - több éve

Most akartam Loncsyt megvádolni hogy lopja a szövegemet, de látom 1-2 perccel Ő volt a gyorsabb.

Azt hittem ez a dejavu érzés vagy mifene.

http://www.mommo.hu/media/Lokott_Jane

newkids newkids top 2009
13 szint - több éve

Elég gyenge szöveg egyébként Newkids, ahhoz, hogy lopjuk. Nem lehetünk rá nagyon büszkék, hogy kettőnknek is csak erre futja.:-)))

Kitalálhattunk volna valami erdetit, mit tudom én, valami ilyesmit, hogy:

Úgy hiányoztál Jane, hogy még a szóközeim is kissebbek voltak, még nem voltál és a backspace-m is beleremegett, mikor újra olvashatam soraid!!!:-)

Loncsy Loncsy top 2009
12 szint - több éve

Igazabol ez nem szorgalom, szerencse, tudas és ravaszság, hanem logika. Szamomra a hacker nem a privat szefraba benyomulo idegent jelenti, hanem a honlapok kodolasat megfejto szemelyt fedi. Vagy tevedek?

bubacsek bubacsek top 2009
11 szint - több éve

Most ment el a számítógépes, bebizonyosodott, hogy bent jártak a gépünkön :(

A mommo még nem tiszta, de már nem kell hozzá sok. Vagyis a szerelmes és öröm megnyílvánosulásokkal még várjatok egy pár napot :-))) utána küldhetitek dögivel.

gijane g.i.jane top 2009
10 szint - több éve

Oh, ez szomoru! Jobbulast nektek!

bubacsek bubacsek top 2009
11 szint - több éve

Micsoda világ, már szerelmes szavakba is belemászik a hacker.:-)

Loncsy Loncsy top 2009
12 szint - több éve

küldhetitek dögivel?

Kik?

Kezét lábát eltöröm mindnek :-)))

newkids newkids top 2009
13 szint - több éve

Ne merd megtenni!

bubacsek bubacsek top 2009
11 szint - több éve

Pedig én is most akartam Jannek vallomást tenni, de látom nem jó időpontot választottam. Maradok a túrós stanyeclinál!:-))))

Loncsy Loncsy top 2009
12 szint - több éve

Oké, oké, nincs vita....... a hét, hét napos, a hónap 31, csak találunk benne helyet mindenkinek!!!! (jobb szem kacsintás)

bocsi, a bal szemem mozdult rá automatikusan :-))))

gijane g.i.jane top 2009
10 szint - több éve

Tényleg vonalban vagy Jane?

Loncsy Loncsy top 2009
12 szint - több éve

olykor azért még előfordulok :-))

gijane g.i.jane top 2009
10 szint - több éve

napraforgó

newkids newkids top 2009
13 szint - több éve

Legvonalban?

bubacsek bubacsek top 2009
11 szint - több éve