На некоторых сайтах есть фишка, что после входа на сайт нужно вводить дополнительные какие-то уникальные коды или отвечать на вопрос безопасности. Если у вас у банковской странички есть такое, то вы работаете с хорошим банком. Если нет, то валите от него, он относится к безопасности не очень серьезно.
Компания, где я работаю, предоставляет разные услуги разным клиентам. Кто платит, тем и выполняем работы. Сейчас расследуем взлом аккаунтов крупного интернет магазина в США. Об этом в СМИ пока вроде не писали, но могут.
Согласно логам сразу вычислили, что взломали аккаунты не через баг в сайте, а простым перебором. Просто в первый день взлома произошел всплеск попыток входа на сайт с использованием имени пользователя, который просто не существует в базе. Сайт сканировали по какой-то базе имен/паролей. Меня подключили к этому делу когда уже была середина скана и создано несколько счетов и я успел добавить на сайт дополнительных фишек для сбора аналитики. Хакер прогнал сайт через базу данных из более миллиона имен и паролей с другого сайта и у него явно удалось войти в тысячи аккаунтов. Точно сказать сложно, потому что взламывали с разных IP.
Теоретически, интернет сайт не виноват и их не взломали. Взломали аккаунты тех пользователей, которые используют одни и те же пароли на разных сайтах. Сколько раз уже говорили, чтобы не делали так, а все продолжают.
Неизвестно пока, примет ли клиент рекомендации по исправлению косяка, это решение их службы безопасности и менеджмента.
Я в основном помогаю как аналитик с данными. Хакеры не только взломали аккаунты, но и сделали несколько покупок. В основном не требующих доставки, но я нашел один счет, созданный с украинского IP и откруженный в Техас. Вообще на то, что это были украинцы или русские указывает и то, что большинство аккаунтов хакер просматривал перед тем, как положить заказ через Opera, которая популярна как раз в России/Украине. Он заходил на сайт, смотрел его оперой, а потом создавал счета через FF или Chrome.
Так что если ваш банк спрашивает вас дополнительные вопросы после ввода имени и пароля или просит какой-то код, то это очень хороший банк с хорошей службой безопасности.
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
Здравствуйте Михаил
Купил несколько ваших книг, очень интересно и доступно.
У меня вопрос. На сайте http://los2013.ufanet.ru
идет голосование в конкурсе в котором я участвую, есть подозрение, что некоторые конкурсанты накручивают голоса. Скорость 1 голос за минуту - две. Связаться с организаторами никак, никакой обратной связи. Можно ли как-то определить и доказать, что голосование не справедливое, например анализируя скриншоты?
Я студент и у меня стипендия зачисляется на сбербанковскую карту. У сбербанка такое есть, и это реально круто. Чувствуешь, что тебя точно не взломают.
Читается как хакерский детектив по вычислению преступника. Побольше бы таких историй из первых рук.
Ну если произошел всплеск попыток входа на сайт, почему бы не использовать Captch'у и блокировку доступа при нескольких неудачных попытках входа на длительное время с последующим восстановлением доступа через телефон например? Ведь это в разы увеличит время перебора, а то и совсем это исключит.
1. При наличии 10-ка IP перебор будет медленным, но все еще возможным
2. При блокировке доступа по IP будут страдать легальные пользователи, которые пользуются Opera или другими браузерами, но идут через прокси.
3. Стоимость распознавания каптчи - копейки
Так что проблема не решается, а жизнь пользователям усложняется. Замедление - не является решением проблемы. Лучше уж усложнить жизнь, но реально решить проблему:
1. После входа попросить ответить на вопрос безопасности или ввести уникальный код, который отправляется по email или sms.
2. Если пользователь доверяет компьютеру, то он может попросить доверения и на компьютере будет сохранена кука, чтобы не спрашивать дополнительного фактора в будущем. Больше у пользователя неудобств не будет.
В этом случае подбор по словарю практически невозможен. Хакеру нужно будет иметь не только имя/пароль, но и ответы на вопросы безопасности или того хуже - доступ к e-mail или мобильному
А если блокировать не по IP, а по аккаунтам? Если допустим в течение 10 сек. для аккаунта более 3-х неудачных попыток входа, то блокировать на сутки, а потом попросить ответить на вопрос для восстановления доступа со сменой пароля? В каком случае капча эффективна? Её, тем не менее, широко используют.
Такое у клиента было реализовано, но оно не помогает по одной простой причине - каждый аккаунт проверялся ровно один раз.
Допустим, хакеры взломали какой-нибудь популярный форум и получили базу:
Кто может сказать, где на этой картинке есть большая дизайнерская ошибка:
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
