Prolomení hesla do Wow

[The_Odik]

Já z vás už nemůžu D to ne prej teamviewer na serveru prej veřejná ip jde hacknout lehčejc DD to ne xD... a vůbec kam se hrabou nějaký kelogery, bruteforce útoky, slovníky a podobný hovadiny, vždycky se stačí na to heslo jen zeptat

Mimochodem, hesla jsou na serveru zahashovaný a ještě saltnutý - tohle prolomit je dřina

[K4M1L]

já to říkal konečně se nám zapojuje dev...tak nám pověz jestli existuje nějaká cesta, když se tu objevuje tolik lidí s "hacknutým acc a mailem" (budeme počítat, že nekecaj i když kecaj )

[Raikin]

Dneska další dva na AN si stěžovali, že se jim někdo údajně dostal na acc, ikdyž nikomu údaje nedávali ... Na 99% lžou sami sobě, ale tak teoreticky 1%, je nějaká reálná možnost opravdu se k těmto informacím dostat?

[K4M1L]

no to se právě snažíme zjistit...šance je vždycky, ale zatím jsme vylučovací metodou přišli na to, že ten způsob je tak komplikovanej, že se rozhodně na wow nevyplatí

[Neroo]

prave jsi urazil nejakyho nolifera jak se muzes takhle vyjadrovat? dyt je to cely jejich zivot

[The_Odik]

Ne, prakticky je nemožný někomu jen tak ukrást acc, jak už tu několikrát padlo, útoky bruteforce, slovník, apod. nejsou tak účinný. Pokud bych chtěl někomu ukrást acc tak se na to heslo prostě zeptám. Jako příklad bych mohl udělat nějakej fake "hack" co jakože přidává třeba itemy na acc a poslat to někomu. Ten "hack" by v nejjednodušší podobě obsahoval pole pro login, kde po zadání to pošle údaje ke mě... Složitější forma by mohla být jako keylogger a tak podobně.
Jak dostat něčí acc bez kontaktu s tou osobou? Mno, pokud má heslo typu "123456", "abcdef", "qwertz" nebo kombinace podobnejch ptákovin tak je to jednoduchý. Jedna možnost je, že odposlechnu někomu heslo přes síť (pouze na lance samozřejmě (nešifrovaná wifi je luxus na tohle )), ale nevim jestli by bylo použitelný. Nevím přesně jak funguje autentizace, ale určitě se tam posílá salt jména a hesla, a jestli se tam neposílá eště v tom saltnutý třeba datum, nebo nějaký id a podobně netušim. Pokud ano, tak je mi toto odposlechnutý "heslo" k ničemu, taktéž pokud je celá komunikace šifrovaná (což tušim, že kataklystýr má).
Bruteforce nemá moc smysl, jak už tu rozebrali jiní. Slovník by mohl mít nějakou šanci s kombinacemi, ale zase nijak super to neni. A ten slavnej "hack" serveru , ten by taky ničemu nepomohl, jak sem řikal, v databázi je uložený heslo jako salt jména a hesla, takže bych musel dělat tabulku všech kombinací nebo kolizí pro každý heslo znova, protože každej acc má jinej salt.

Suma sumárum, nevidim žádný způsob jak dostat od někoho heslo bez toho aby mi ho řekl jakymkoliv způsobem.

[K4M1L]

nikde v komunikaci se nevyskytuje heslo v plaitextu? Mě napadlo zkusit to přes to donate...nevím jak to má chajak udělaný, ale myslím, že tam to bude taky šifrovaný...https tam myslim neni, tak to bude jinak, nikdy jsem to nezkoumal...doufám, že neupozorňuju na nějakou bezpečnostní díru

[Yuphon]

Za davnych cias som sa s kamosmi nudil tak sme zobrali do ruky kalendar a skusali napr. login: fero, heslo: fero a verte tomu alebo nie mali sme cca 5 acc takze imho to je cisto o hluposti ludi ze si davaju rovnake, pripadne lahke hesla nie len do hry ale aj na mail.. rozne softwareove vychytavky su toho tiez schopne ale to zabere viac casu

[The_Odik]

nikde v komunikaci se nevyskytuje heslo v plaitextu? Mě napadlo zkusit to přes to donate...nevím jak to má chajak udělaný, ale myslím, že tam to bude taky šifrovaný...https tam myslim neni, tak to bude jinak, nikdy jsem to nezkoumal...doufám, že neupozorňuju na nějakou bezpečnostní díru

Ne nikde se heslo v plaintextu neposílá, vždycky to je minimálně hashnutý.
Donate https má, ale lze tam vlézt i bez https protože důvody.

Za davnych cias som sa s kamosmi nudil tak sme zobrali do ruky kalendar a skusali napr. login: fero, heslo: fero a verte tomu alebo nie mali sme cca 5 acc takze imho to je cisto o hluposti ludi ze si davaju rovnake, pripadne lahke hesla nie len do hry ale aj na mail.. rozne softwareove vychytavky su toho tiez schopne ale to zabere viac casu

To je přesně co sem řikal, stačí se na to heslo zeptat, nebo zkusit klasický kombinace jako stejný heslo jako jméno acc a podobně.

[blackened]

[Physhing Method]
-stačí vytvoriť mirror stranku donate systemu, hacknut nas joomla web (ktorý mimochodom par krat uz hacknuty bol ) a presmerovať VIP odkaz na odkaz našej mirror stránky (najlepšie z podobným, na oko nerozlíšitelným názvom)
- v prípade konkrétneho acc, stačí poslať email užívatelovi acc , aby si zmenil heslo v ramci prevencie v donate systeme :]

[Keylogging Method]
Tu už treba mať troška zručnosť
Máme viac typov keyloggerov - tie najprimitivnejsie posielajú vsetok input k klavesnice -> antivirus ich velmi rýchlo odhali (podozrivo vela odosielana packetov)
tie rafinovanejsie -> program ktorý bude skrytý , zároven sa asi bude musiet dostat do samotneho wow adresara, kde nasledne zisti, kedy bezi wow instance. vtedy iba zapne key recording a zapise si input z klavesnice do nejakeho zaheslovaneho suboru, ktorý neskor po castiach (aby to nebolo napadne)posle. V prípade wow antivir velmi tazko zisti keylogger, kedze u wowka sa rata z vacsim mnozstvom odosielanych packetov.

Man in the middle (sledovanie siete)
Zložitý útok mimo lokálnej siete ako popisuje kamil ho zvládne málokto, ale je velmi ucinny, prakticky velmi tazko odhalitelny. Klucom je zachytit odosielane packety, rozsifrovat ich a následne odoslat tak, aby odosielatel a ani prijimatel nezistili, ze packety cital niekto treti. Je to možné, ale nwm či by sa s tým dakto sral kôli wow acc na freecku , toto skor pouziva CIA & podobný


dbc method
Tu máš pravdu, s týmto moc infa nemám, pocul som daco o SQL injectoroch, ale nebudem radsej pisat nic, lebo netusim ako to funguje. Heslá v DB sú zahashované, takze autor utoku aj tak tým moc nezíska.

Náhodný utok ejkejej bruteforce je blbost pre noobov , + musel by si utocit cez proxy, inak by si admin mimo autobanov vsimol aj enormne vela pokusov o login z tej istej IP . Odheslovanie zlozetejsie hesla touto metodou moze trvat roky.


[Backdoor Attack] bolo by to možné, ak by ste do OS , na ktorom server bezi pridali backdoors. Inak , vecina beznych systemov vám pokus o prevzatie kontroly nepripustí (aj tieamvieweru musite vkuse davat povolenia). Skôr tento typ útoku vidno vo filmoch nez v realite