Internete paviešinta tūkstančiai vartotojų vardų ir slaptažodžių

Vieną kartą buvo kažkas patekę į mano gmail paštą po to kai registravausi tokiu pačiu pasvordu viename užsienio saite. Taip, kad reiktų nepatingėti ir kiekvienai registracijai turėti atskirą pasvordą. Dar geriau nesiregistruoti neaiškiuose tinklapiuose, ypač tuose kur vilioja pinigais už registraciją, nes už dyką nieks pinigų nedalina, nebent dėl duomenų išgavimo.

Vieną kartą buvo kažkas patekę į mano gmail paštą po to kai registravausi tokiu pačiu pasvordu viename užsienio saite. Taip, kad reiktų nepatingėti ir kiekvienai registracijai turėti atskirą pasvordą. Dar geriau nesiregistruoti neaiškiuose tinklapiuose, ypač tuose kur vilioja pinigais už registraciją, nes už dyką nieks pinigų nedalina, nebent dėl duomenų išgavimo.

Ir turėti "junk mail" tipo el. paštą atskirai susikūrus.

Pora paypal'u radau, bet gaila su tusciom saskaitom :(

O kuo tai skiriasi nuo žodyno naudojimo? Kai kurie vietoj to, kad surašinėt kelis tūkstančius įmanomų passwordų pasinaudoja žodynu ir viską sugeneruoja automatiškai.

 

P.S. Tiesą sakant nesitikėjau, kad uždarbyje kažkas imsis bandyt kitiems kenkt - jungtis į emailus, FB, PayPal ar pan. O juo labiau, kad dar imsis patarinėt, kaip kardint PayPal'ą...

Zodyno nenaudoja,nes jiems pritruktu laiko gi nebandytu kiekvienos galimybes is zodyno? uztruktu maziausiai savaite vienam atspet dirant 24/7 paskui dar proxy pritruktu :D nemanau,kad kasnors tures toki kieki proxy :D ,jie suraso DAZNIAUSIAI naudojamus ir lengviausius tokiu kaip 123123 ir viskas o tuos slaptazodziu ir prisijungimo vardus galima surasti googl'ei...Po sito matyt daug kas pakeis nuomone apie slaptazodziu sauguma ir galvos geriau,tai gali buti krize brute force....

Nebutu download linko niekas nieko nebandytu,netureciau ziniu kuriom galiu pasidalinti - nieko nesakyciau...Visvien 97% uzdarbio zmoniu nesuprato ka parasiau,aisku as tik daviau patarima kaip buti saugesniems tai kas nores pasinaudos kurie nepasinaudos gaus limita ant paypal ir dar jei dar cardinima ir kitoki fraud prades tai jau visai graziai grazu bus....Va net Thirdsoul kazka bando...

dar noriu pasakyti: GERIAU NELYSKIT I BANKU SASKAITAS,NES TAI YRA NELEGALU NESVARBU,KAD NE JUS NULAUZET,NET PATYRE ZMONES VENGIA CREDIT CARD FRAUD...IR 95% TU ACCOUNTU JAU PAKEISTI DUOMENYS...

Tingejau tikrint :D

Zodyno nenaudoja,nes jiems pritruktu laiko gi nebandytu kiekvienos galimybes is zodyno? uztruktu maziausiai savaite vienam atspet dirant 24/7 paskui dar proxy pritruktu :D nemanau,kad kasnors tures toki kieki proxy :D ,jie suraso DAZNIAUSIAI naudojamus ir lengviausius tokiu kaip 123123 ir viskas o tuos slaptazodziu ir prisijungimo vardus galima surasti googl'ei...Po sito matyt daug kas pakeis nuomone apie slaptazodziu sauguma ir galvos geriau,tai gali buti krize brute force....

Tu čia juokauji ar rimtai galvoji, kad jie ten ėmė ir ranka rašydami bandė vis kitokius passwordus? :D Gerai, pamėginsiu paaiškint, kaip paprastai būna ir greičiausiai buvo čia: pirma, rado spragą tinklalapyje, gavo username ir passwordų hash'us. Tada, tam, kad iškoduot tuos hash'us, suprogramuoja programą, kuri juos perrenka pagal žodyną ir prideda kokį skaičių dar, tarkim nuo house1 iki house9999 ir pan. Tą procesą paskirsto po botnet'ą arba naudoja savo resursus, kol iškoduoja paprastus slaptažodžius (sunkių ši sistema nepajėgia iškoduot). Visa tai sumeta į txt failą ir viskas. Atsidaryk tą failą - ten bent 1000 visiškai nesusijusių slaptažodžiu, tai logiškai mąstant perrinkt reikėjo kelis milijonus ar milijardus. Rimtai manai, kad kažkas vargo ir kelis milijonus galimybių ranka rašė, kai yra daug paprastesnis metodas?

Tai kad egzistuoja ir didelės iškoduotų hashų bazės. Plius yra rainbow tables, todėl turint gerą video plokštę ir pilnas rainbow lenteles perrenkama daug slaptažodžių į sekundę.

O jeigu i hasha dar imetama druskos? Nebeatkoduosi?

Įvertinkit, kuriam kuris Baudžiamojo kodekso straipsnis būtų taikomas:

198 straipsnis. Neteisėtas elektroninių duomenų perėmimas ir panaudojimas

1. Tas, kas neteisėtai stebėjo, fiksavo, perėmė, įgijo, laikė, pasisavino, paskleidė ar kitaip panaudojo neviešus elektroninius duomenis,

baudžiamas bauda arba laisvės atėmimu iki ketverių metų.

198-1 straipsnis. Neteisėtas prisijungimas prie informacinės sistemos

1. Tas, kas neteisėtai prisijungė prie informacinės sistemos pažeisdamas informacinės sistemos apsaugos priemones,

baudžiamas viešaisiais darbais arba bauda, arba areštu, arba laisvės atėmimu iki vienerių metų.

198-2 straipsnis. Neteisėtas disponavimas įrenginiais, programine įranga, slaptažodžiais, prisijungimo kodais ir kitokiais duomenimis

1. Tas, kas neteisėtai gamino, gabeno, pardavė ar kitaip platino įrenginius ar programinę įrangą, taip pat slaptažodžius, prisijungimo kodus ar kitokius panašius duomenis, tiesiogiai skirtus daryti nusikalstamas veikas, arba tuo pačiu tikslu juos įgijo ar laikė,

baudžiamas viešaisiais darbais arba bauda, arba areštu, arba laisvės atėmimu iki trejų metų.

Beje, o visi tie, kurie jungėsi prie paypal sąskaitų ar banko sąskaitų, tai dar būtų ir vagystė (pasikėsinimas pavogti):

178 straipsnis. Vagystė

1. Tas, kas pagrobė svetimą turtą,

baudžiamas viešaisiais darbais arba bauda, arba laisvės apribojimu, arba areštu, arba laisvės atėmimu iki trejų metų.

O tie, kas skaitė emailus ir pan.:

166 straipsnis. Asmens susižinojimo neliečiamumo pažeidimas

1. Tas, kas neteisėtai perėmė paštu ar per pasiuntinių paslaugos teikėją siunčiamą siuntą ar siuntinį arba neteisėtai perėmė, fiksavo ar stebėjo asmens elektroninių ryšių tinklais siunčiamus pranešimus, arba neteisėtai fiksavo, klausėsi ar stebėjo asmens pokalbius elektroninių ryšių tinklais, arba kitaip pažeidė asmens susižinojimo neliečiamumą,

baudžiamas viešaisiais darbais arba bauda, arba laisvės apribojimu, arba areštu, arba laisvės atėmimu iki dvejų metų.

Be to, dar kai kuriem atvejam tinka BK 155, 167, 168 str. ir kiti...

Taip kad pagalvokit, ar verta rizikuoti savo reputacija visam gyvenimui, kai kuriais atvejais - net ir laisve, turtu ar pan. vien tam, kad patenkintumėt smalsumą arba kad pasisavintumėt keletą litų... Ir ypač ar apsimoka visa tai daryti viešai apsiskelbiant čia, forume? O apskritai tai man keista, kad atsirado tiek daug žmonių, susidomėjusių ar pasinaudojusių paviešintais duomenimis...

O jeigu i hasha dar imetama druskos? Nebeatkoduosi?

LM'as naudoja double sault'ą. Praktiškai neatkoduojama.

198-2 straipsnis. Neteisėtas disponavimas įrenginiais, programine įranga, slaptažodžiais, prisijungimo kodais ir kitokiais duomenimis

1. Tas, kas neteisėtai gamino, gabeno, pardavė ar kitaip platino įrenginius ar programinę įrangą, taip pat slaptažodžius, prisijungimo kodus ar kitokius panašius duomenis, tiesiogiai skirtus daryti nusikalstamas veikas, arba tuo pačiu tikslu juos įgijo ar laikė,

baudžiamas viešaisiais darbais arba bauda, arba areštu, arba laisvės atėmimu iki trejų metų.

Tai ar šitas netaikomas visiems šaltiniams, kuriuose mėtėsi nuoroda į tą failiuką? Asmeniškai, atsisiunčiau ir pažiūrėjau, ar nėra mano duomenų. Keista, kad mediafire tiek ilgai tokį dalyką laikė.

Asmeniškai, atsisiunčiau ir pažiūrėjau, ar nėra mano duomenų.

Nu idomu, as kazkaip porno puslapiuose nesiregistruoju, tai net nebuvau pagalvojes, kad ten gali buti mano duomenu ;]

Nu idomu, as kazkaip porno puslapiuose nesiregistruoju, tai net nebuvau pagalvojes, kad ten gali buti mano duomenu ;]

Aha, o gmail, facebook, twitter, paypal?

Tu čia juokauji ar rimtai galvoji, kad jie ten ėmė ir ranka rašydami bandė vis kitokius passwordus? :D Gerai, pamėginsiu paaiškint, kaip paprastai būna ir greičiausiai buvo čia: pirma, rado spragą tinklalapyje, gavo username ir passwordų hash'us. Tada, tam, kad iškoduot tuos hash'us, suprogramuoja programą, kuri juos perrenka pagal žodyną ir prideda kokį skaičių dar, tarkim nuo house1 iki house9999 ir pan. Tą procesą paskirsto po botnet'ą arba naudoja savo resursus, kol iškoduoja paprastus slaptažodžius (sunkių ši sistema nepajėgia iškoduot). Visa tai sumeta į txt failą ir viskas. Atsidaryk tą failą - ten bent 1000 visiškai nesusijusių slaptažodžiu, tai logiškai mąstant perrinkt reikėjo kelis milijonus ar milijardus. Rimtai manai, kad kažkas vargo ir kelis milijonus galimybių ranka rašė, kai yra daug paprastesnis metodas?

Jie tiesiog naudojo keleta pagrindiniu pwz: username:username username:sex12345 username:12345678...Tokiu passwordu listus atisiusti galima ir interneto... Tu kalbi apie tinklapiu SQL Injection aisku galejo ir taip padaryti, bet tie hashai visada uzkoduoti su MD5 koduode ir juos galima atkoduoti su paprasta programa kuri net metosi internete nemokama arba tiesiog su online decrypteriu tokiu kaip crypo...Beto jei jie deto nuo house1 iki house9999? Jiems reiktu milijono proxy,nes beveik visi po 5 nepavykusiu bandymu blokuoja ip, o dar geriau kaip uzblokuoja username...Beto gal jei tiesiog paleido Java drive by, ir pradejo su botnetu ddosint adminu ip's kuriam laikui,per ta laika adminai negalejo patekti i puslapi ir isjungti java drive by...Seip daug galimybiu yra

Tai kad egzistuoja ir didelės iškoduotų hashų bazės. Plius yra rainbow tables, todėl turint gerą video plokštę ir pilnas rainbow lenteles perrenkama daug slaptažodžių į sekundę.

Sitas irgi tiesa zinau,bet jiems reigia begales proxy,nebent koks silpnas tinklapis,dazniausiai sitas naudojamas vienam slaptazodziui atkoduoti kokia be apsaugu ir bandymu limitu gal kokiam tinklapio CPanel...

O del vaizdo plokstes nezinau ar tiesa,bet girdejau,kad galima sujungti kazkaip 2 i viena...

O del vaizdo plokstes nezinau ar tiesa,bet girdejau,kad galima sujungti kazkaip 2 i viena...

Tikrai sena tiesa, jau gyvuojanti nuo NVIDIA 6 kartos PCI Express kortų - toks dalykas kaip SLI.

O dėl metodo, tai nežinau, bent truputį logiškai pamąsčius, akivaizdu, kad čia Brute Force nebuvo naudotas - ne XXa. gyvenam, kur serveriai neturi apsaugų nuo parinkimo. Kokiais 2002 m. teko nemažai žaisti su Brutus, jau tada normalūs tinklapiai gražiai ir ganėtinai efektyviai blokuodavo IP adresiukus.

Tikrai sena tiesa, jau gyvuojanti nuo NVIDIA 6 kartos PCI Express kortų - toks dalykas kaip SLI.

O dėl metodo, tai nežinau, bent truputį logiškai pamąsčius, akivaizdu, kad čia Brute Force nebuvo naudotas - ne XXa. gyvenam, kur serveriai neturi apsaugų nuo parinkimo. Kokiais 2002 m. teko nemažai žaisti su Brutus, jau tada normalūs tinklapiai gražiai ir ganėtinai efektyviai blokuodavo IP adresiukus.

Seip brute dar labai efektyvus, su juo rapdishare,hotfile ir kiti premium gaunami, per nakti galima nemazai gauti premiumu....

Jie tiesiog naudojo keleta pagrindiniu pwz: username:username username:sex12345 username:12345678...Tokiu passwordu listus atisiusti galima ir interneto... Tu kalbi apie tinklapiu SQL Injection aisku galejo ir taip padaryti, bet tie hashai visada uzkoduoti su MD5 koduode ir juos galima atkoduoti su paprasta programa kuri net metosi internete nemokama arba tiesiog su online decrypteriu tokiu kaip crypo...Beto jei jie deto nuo house1 iki house9999? Jiems reiktu milijono proxy,nes beveik visi po 5 nepavykusiu bandymu blokuoja ip, o dar geriau kaip uzblokuoja username...Beto gal jei tiesiog paleido Java drive by, ir pradejo su botnetu ddosint adminu ip's kuriam laikui,per ta laika adminai negalejo patekti i puslapi ir isjungti java drive by...Seip daug galimybiu yra

 

 

Sitas irgi tiesa zinau,bet jiems reigia begales proxy,nebent koks silpnas tinklapis,dazniausiai sitas naudojamas vienam slaptazodziui atkoduoti kokia be apsaugu ir bandymu limitu gal kokiam tinklapio CPanel...

O del vaizdo plokstes nezinau ar tiesa,bet girdejau,kad galima sujungti kazkaip 2 i viena...

Taigi sakė, kad nulaužė. Niekas tų passwordų nebruteforcino, o tiesiog nuėmė visą duomenų bazę. Paskui ją decryptino ir viskas, dalį išmetė masėms. Ir jokių proxių šmoksių nereikia. Šitokį listą, kurį galima atsisiųsti atkoduotų per 10 minučių, jeigu negreičiau. Nes priklauso nuo video plokštės ir proco, šifruoja maždaug 6 milijonus hashų į sekundę.

LM'as naudoja double sault'ą. Praktiškai neatkoduojama.

Viską įmanoma, tik ar apsimoka :D

Nelabai aš gaudausi tame šifravime, bet pvz yra programėlė kuri palaiko tokius hashus:

md5($pass.$salt), md5($salt.$pass), md5(md5($pass)), md5(md5($pass).$salt), md5($salt.md5($pass)), md5($salt.$pass.$salt), md5(md5($salt).md5($pass)), md5(md5($pass).md5($salt)), sha1(md5($pass)), sha1($salt.$pass), sha1($pass.$salt), sha1($username.$pass), sha1($username.$pass.$salt)

Jie tiesiog naudojo keleta pagrindiniu pwz: username:username username:sex12345 username:12345678...Tokiu passwordu listus atisiusti galima ir interneto... Tu kalbi apie tinklapiu SQL Injection aisku galejo ir taip padaryti, bet tie hashai visada uzkoduoti su MD5 koduode ir juos galima atkoduoti su paprasta programa kuri net metosi internete nemokama arba tiesiog su online decrypteriu tokiu kaip crypo...Beto jei jie deto nuo house1 iki house9999? Jiems reiktu milijono proxy,nes beveik visi po 5 nepavykusiu bandymu blokuoja ip, o dar geriau kaip uzblokuoja username...Beto gal jei tiesiog paleido Java drive by, ir pradejo su botnetu ddosint adminu ip's kuriam laikui,per ta laika adminai negalejo patekti i puslapi ir isjungti java drive by...Seip daug galimybiu yra

 

 

Sitas irgi tiesa zinau,bet jiems reigia begales proxy,nebent koks silpnas tinklapis,dazniausiai sitas naudojamas vienam slaptazodziui atkoduoti kokia be apsaugu ir bandymu limitu gal kokiam tinklapio CPanel...

O del vaizdo plokstes nezinau ar tiesa,bet girdejau,kad galima sujungti kazkaip 2 i viena...

Tai sunku nueiti ir pažiūrėti į jų puslapį? Taigi rašo, kad valdo proxieseas. Pažiūrėk kiek jau jie yra įsilaužę:

http://lulzsecurity.com/releases/

cia tikrai ne bruteforce, ar nulauzimai, paprasciausiai nulauze keleta lievesniu saitu ir sudejo, pertikrino per didziuosius portalus, kurie passwordai tiko - tuos issaugojo i si faila :)

sony, pbs.org, fox.com, uk bankomatai

žiauriai lievi saitai...

Taigi sakė, kad nulaužė. Niekas tų passwordų nebruteforcino, o tiesiog nuėmė visą duomenų bazę. Paskui ją decryptino ir viskas, dalį išmetė masėms. Ir jokių proxių šmoksių nereikia. Šitokį listą, kurį galima atsisiųsti atkoduotų per 10 minučių, jeigu negreičiau. Nes priklauso nuo video plokštės ir proco, šifruoja maždaug 6 milijonus hashų į sekundę.

 

Nu gali but,bet nemanau,kad jie nulauze visa runescape,kad paiimtu tiek duomenu,tada jie matyt nulauze koki tinklapi kuriam rinkosi zmones zaidziantys RS ir tada gal bande tuos pacius duomenis naudoti RS...Maciau,kad jie buvo paeme sony ir kitus dar zinau neseniai buvo paiimtas .gov saitas neatsimenu koks tik ,bet ne ju darbas buvo...O tie kurie nulauze atrodo jau sugauti...

Man labai idomu kam jie dalina tuos duomenis nemokamai,pardave viska galetu susirink LABAI daug pinigu...

Tikiuosi ju tam puslapi Backdoor nebuvo :D

Nu gali but,bet nemanau,kad jie nulauze visa runescape,kad paiimtu tiek duomenu,tada jie matyt nulauze koki tinklapi kuriam rinkosi zmones zaidziantys RS ir tada gal bande tuos pacius duomenis naudoti RS...Maciau,kad jie buvo paeme sony ir kitus dar zinau neseniai buvo paiimtas .gov saitas neatsimenu koks tik ,bet ne ju darbas buvo...O tie kurie nulauze atrodo jau sugauti...

 

Man labai idomu kam jie dalina tuos duomenis nemokamai,pardave viska galetu susirink LABAI daug pinigu...

Ir kad būtų atskleistos tapatybės? Ir kai gautų kalėjimo už viską nemažai?

Beje vakar kažkokiam angliškam saite mačiau pasirodžiusių žinių, kad po biški bręsta cyber war:

Lulzsecurity vs Anonymous ft. 4chan

Ir kad būtų atskleistos tapatybės? Ir kai gautų kalėjimo už viską nemažai?

 

Beje vakar kažkokiam angliškam saite mačiau pasirodžiusių žinių, kad po biški bręsta cyber war:

Lulzsecurity vs Anonymous ft. 4chan

Anonymous - va siti ir paeme tuos .gov kur kalbejau...

Tapatybiu neatskleistu jeigu naudotu ta BitCoin ir parduotu visa DB o ne po koki 100 accountu ir tai kokiam patikimam is opensc ar dar kur...

Idomu ar kas nors jiems paaukoja....

Anonymous - va siti ir paeme tuos .gov kur kalbejau...

Tapatybiu neatskleistu jeigu naudotu ta BitCoin ir parduotu visa DB o ne po koki 100 accountu ir tai kokiam patikimam is opensc ar dar kur...

Tai jei šneki apie senate.gov tai lulzsec darbas. Visur apie tai rašo ir jų pačių puslapyje yra db patalpinta.

O dėl sulaikymo Anonymous, tai sulaikė tris ispanus lyg ir bet galvodami, kad jie ir yra lulzsec ir senate.gov buvo bombinamas po sulaikymo.

Jei galit kas i PM numeskit, idomu del viso pikto savo emailus patikrint butu;)

Tai jei šneki apie senate.gov tai lulzsec darbas. Visur apie tai rašo ir jų pačių puslapyje yra db patalpinta.

O dėl sulaikymo Anonymous, tai sulaikė tris ispanus lyg ir bet galvodami, kad jie ir yra lulzsec ir senate.gov buvo bombinamas po sulaikymo.

Ne, as ne apie senate, kazkoki kiti buvo, atrodo kur apmoko karius ar kazkas tokio,bet ne fbi.gov....

Tai ar šitas netaikomas visiems šaltiniams, kuriuose mėtėsi nuoroda į tą failiuką? Asmeniškai, atsisiunčiau ir pažiūrėjau, ar nėra mano duomenų. Keista, kad mediafire tiek ilgai tokį dalyką laikė.

Taikomas ir šaltiniams, t.y. ir visoms toms naujienų svetainėms ar pan.:) šiuo atveju jeigu jie patys pas save ar kažkur kitur patalpino tą failą (arba persiuntė kažkam, kaip pvz. čia kas nors vieni kitiems per PM siunčia:)), tada jie atsako kaip nusikaltimo vykdytojai, tuo tarpu jeigu jie tik įdėjo nuorodą į tokį failą, tada jie atsakys kaip bendrininkai (padėjėjai). Didelės reikšmės neturi, na antru atveju teismas gal kiek lengvesnę bausmę galėtų paskirti..

Jeigu iš tikrųjų prokuratūra užsiimtų tuo, tai sudėtingiausias dalykas būtų jiems įrodyti būtent specialų tikslą: t.y. tas, kas platino šituos duomenis, turėjo suvokti, jog tokie duomenys yra skirti nusikaltimams daryti, bet tai yra pakankamai akivaizdu, ir tie, kas platino, sunkiai galėtų išsisukti. Tuo tarpu tie, kas parsisiuntė duomenis tiktai tam, kad patikrintų, ar jų pačių tame sąraše nėra, nepadarė jokio nusikaltimo.