Prolomení hesla do Wow

[K4M1L]

Zajímalo by mě pár názorů lidí co tomu rozumí! jestli je opravdu možné nějak prolomit heslo k acc, pokud znám název. Samozřejmě nechci návody! Jen teoretickou diskusi. Závěry hodlám používat jako argument v bany/unbany/připomínky kde jsou dnes a denně vidět topicy typu "hackli mi acc. smazali gear a nadávali GM".

S tím, že rovnou vezměte v úvahu, že většinou se jedná i o hacknutý email, takže 2 různá hesla lámaná přibližně ve stejnou dobu.

Způsoby které znám já:
Slovníkové útoky - nepřipadá v úvahu pokud je člověk alespoň trochu rozumný a nedá si jako heslo "tata" a to hlavně kvuli tomu, že nevíme kolik znaků heslo má, tudíš se těžko volí správné wordlisty. Navíc by takový útok musel být veden do donate systému a ne přes klienta. I když možná by šlo prostředí klienta nějak emulovat (nevím). K tomu časy autobanu no nevím.
Náhodné útoky: Podle výkonu hw a rychlosti linky už jsou trochu nadějnější, pokud by nebyl autoban. Ale asi každý admin by si rychle všiml, kdyby se na něj hrnulo 50 mbit pokusů o login. Při různé délce hesla od 4 do x znaků, pořád dost nemožné.
Útok na databázi serveru. - Blbost, heslo je v databázi zahashované a útočník by musel znát typ hashe, krom toho, že pokusy o vlámání se do databáze by asi zaznamenal i slepec a odstřihl je.
Keylogger: Asi jediný opravdu reálný nástroj, který ale nemůžete mít v PC pokud používáte kvalitní antiviru/antispyware atd.
Sledování lokální sítě: Možná taky reálná cesta, pokud někdo data ve vaší síti odposlouchává (a pokud tedy heslo neodchází zvlášť šifrované oproti komunikaci v síti, nevím jak to je nehledal jsem). Ale to je reálné pouze před NATem, čili u vás vy bytě/domě. Navíc je to dost náročné a jen tak ledajaký "soused" to nezvládne.

No a k lámání hesel do emailu. Podle mě stejně nereálné jako u wow, jen tam obvykle není autoban, ale jinak kvalitní heslo podle mě není možné prolomit jinak než "náhodou" a pravděpodobnost takové náhody se snižuje s každým znakem navíc. Výhodou je, že uživatelské jméno k emailu je povětšinou dost jasné.

Tak. Doufám, že se z toho vyvine pořádná diskuse, administrátorů, developerů a vůbec všech kteří tomu rozumí. Hlavně tu nechci žádné návody atp.! Okamžitě ohodnotím banem. Tabulky s různými časy lámání hesla, jako jsem tu někde viděl asi nemají smysl, protože záleží na Výpočetní síle a lince, takže nejsou stejné všude.

Píšu jen tak z "voleje" z kavárny, takže jsem opravdu žádné odborné články na téma nečetl a určitě v tom mám hromadu nepřesností.

[Synthi]

Hneď prvý predpoklad, že email a heslo do wow sú rôzne mi tak jasný nepríde, ale to nie je v tomto dôležité...

Slovníkové útoky a s tým aj tie náhodne sú skoro nemožné, presne preto čo si napísal, že to admin zistí, prípadne autoban... možno čo by stálo za pokus je skúšať rovnaké meno aj heslo, ale pri malej databáze mien, ktoré sa dajú zistiť to tiež moc reálne nevyzerá.

Sledovanie zasielaných dát cez net neviem ako v prípade wow funguje, ale napr existuje aplikácia pre Android, kde aj úplny laik zistí heslá užívateľov na Facebook, ktorí sa nechránene prihlasujú v spoločnej sieti...

Ak už niekomu ukradnú heslo, tak na 99.9% cez phishing- vyplnenie prihlasovacích údajov na falošnej stránke, alebo keylogger...
S oboma metodámi som pred nejakými dvoma rokmi som experimentoval a úspešne ani aktualizovaný eset nezaznamenal keylogger... neviem ako by to dopadlo v dnešnej dobe, každopádne téma na antivíry je hneď vedľa
Jednoducho sa deti nechajú nalákať cez Skype na super mega dmg hack, ktorý stiahnu, nainštalujú a už majú po prihlasovacích údajoch...

Ľudská hlúposť je nekonečná a preto aj social engineering sa stále rozmáha, točia sa v tom veľké peniaze v podobe ukradnutých kreditných údajov atď. Nemôžme sa preto prekvapiť keď si deti nechajú ukradnúť wow acc, ak vidíme čoho sú schopní dospelí s oveľa citlivejšími údajmi.

[K4M1L]

No ten FB je možnej jen v určitým nastavení sítě, ale FB je oproti wow dost rozdílný. Jinak u pořádně zabezpečené sítě tvoje heslo na FB nikdo nezjistí. Odfláknutá free wi-fi v jakési hospodě je věc druhá. Ale odposlech dat přes internet je podle mě prakticky nemožný, jedině v té lokální síti a do té má zase přístup málo kdo. Ještě mě napadá, že do lokální sitě by se dalo dostat přes ssh v routeru, ale to je zas další heslo do sbírky, i když se tam dají zkoušet hesla do zblbnutí a tedy útok hrubou silou je reálnější. Jen je to taková kombinace "pátý přes devátý" a vůbec nemám představu jak by realita vypadala

[Jind]

Praxe je nám známá.

Lupič: AHoj
Obět: caw

Lupič:Neprodal bys mi account ?
Obět:Ne neprodám

Lupič: dám ti za něj 5 tisíc
Obět:To je pěkná suma

Lupič:Přemýšlej o tom
Obět: ok

O několik minut později

Obět: Kdybych řekl ano jak by to proběhlo ?
Lupič:Pošlu ti na ACC 2x sms za 99kč jako záruku půjčíš mi account na vyzkoušení

Obět:Hned ted ?
Lupič:Jo napiš mi VS od acc a hned ti nabiju

Obět:1515563
Lupič: SMS poslána 3x

Obět:Kouknu
...
...
...
...
Obět:Je to v pořádku tak já ti to pujčím (jmeno xxx) (Heslo xxxx)
Lupič:Neboj nepodělám tě.

Obět:Jak dlouho tam budeš ?Lupič: Pár minut.

Lupič: Log do donate (SMAZAT EMAIL)
Obět skončila v ignore

END

To je minulost
Smazání emailu lze provéíst pouze pokud je k accountu přiřazený e-mail na který se při vyvolání akce pošle potvrzovací link.


Jinak získání hesla je i daleko lehčí lidi jsou holt důvěřiví.

[petr_playboy93]

Jinde, pěkně napsané jako bys to zažil. Vlastní zkušenosti? Abych řekl popravdě tak se mě taky jednou jeden lolek snažil připravit o acc, pokud najdu na fb historii tak sem ji hodím docela se nasmějete jak tam nadává, atp..

Nejde o to že by tak lidé byli důvěřiví ale spíše o to že jim je o prachy z Jindova postu. Když se to tak vezme tak vždy si každý za ukradený acc může sám. Za sebe já bych acc prodal max. tomu člověku co ho znám. Cizímu bych to dal až by mi došli money jináč si může vy víte co.. "jít do ****".

Nejlepší proti ukradení acc je mít i lehky heslo + znaky, atp.. potom se špatně krade btw ze školy vím nejlíp že dosti lidí neví pomalu jak se píšou tyhle znaky (&,#,@..).

Praxe je nám známá.

Lupič: AHoj
Obět: caw

Lupič:Neprodal bys mi account ?
Obět:Ne neprodám

Lupič: dám ti za něj 5 tisíc
Obět:To je pěkná suma

Lupič:Přemýšlej o tom
Obět: ok

O několik minut později

Obět: Kdybych řekl ano jak by to proběhlo ?
Lupič:Pošlu ti na ACC 2x sms za 99kč jako záruku půjčíš mi account na vyzkoušení

Obět:Hned ted ?
Lupič:Jo napiš mi VS od acc a hned ti nabiju

Obět:1515563
Lupič: SMS poslána 3x

Obět:Kouknu
...
...
...
...
Obět:Je to v pořádku tak já ti to pujčím (jmeno xxx) (Heslo xxxx)
Lupič:Neboj nepodělám tě.

Obět:Jak dlouho tam budeš ?Lupič: Pár minut.

Lupič: Log do donate (SMAZAT EMAIL)
Obět skončila v ignore

END

To je minulost
Smazání emailu lze provéíst pouze pokud je k accountu přiřazený e-mail na který se při vyvolání akce pošle potvrzovací link.


Jinak získání hesla je i daleko lehčí lidi jsou holt důvěřiví.

[K4M1L]

tak to víme, jen se lidi vymlouvají na hack tak hledám všechny možné způsoby jak to nejde

[Canyo]

Lidi jsou spíš blbý než důvěřivý

[Empower]

Existuje x spôsobov akým sa dopracovať cez postavu priamo ingame nie len k heslu ale aj k acc (osobne poznám 2 spôsoby) , ale kamarát sa venuje hackovaniu už dlhšiu dobu a povedal , že je nespočetne veľa spôsobov , a niekedy o tom dotyčný ani nevie . Ale na väčšinu musí mať prístup k údajom do PC druhého (tj obete v tomto prípade) , a ešte lepšie byť sním v zdielanej IP a podobné kraviny . Nevyznám sa v tom a ani nechcem . Čo sa týka mojich spôsobov oba sú cez hack nejdem tu vysvetlovať ako fungujú ako sa volajú ani od kiaľ pochádzajú (prípadne bližšie vysvetlím niekde v súkromnej konverzácí aj s možnou alternatívou zabezpečenia určite existuje.
Jind si to možno pamätá kedysi ešte za T12 atď sa to na GF dosť rozmohlo šíril to jeden hráč menom Konak ktorý aktuálne šíril WPE filtre .

[K4M1L]

kledně vysvětli jak to funguje, to mě zajímá, nejmenuj jaké programy ani nědělej nějaký návod, ale jak to funguje by mě zajímalo...

[Empower]

On je na playchare a do každého jedného channelu v ktorom je lognutý (say, yellow nevynímajúc) sa spamuje jeho acc a heslo . A nemôže s tým nič spraviť nejde mu Logout nič , musí reštartnúť celý PC , ale kým na to príde dosť ludí jeho prihlasovacie údaje zistí .