Правда и мифы о "взломе ЖЖ"

[dolboed]

В связи с недавними взломами отдельных журналов и сообществ (vorobieva_irina, sholademi, yakovlev_igor, ru_yabloko, desnicyn, ru_politix и проч.) напрашиваются два закономерных вопроса: кто виноват, и что делать.

Механизм всех перечисленных взломов совпадает с тем, который был использован в своё время против v_alksnis.

Подбирается пароль к почтовому ящику жертвы на веб-почтовом сервисе типа @Mail.Ru, Gmail.com или Pochta.Ru (во всех известных мне случаях пароль был достаточно короткий и простой для механического перебора, по свидетельству потерпевших)

Получив доступ к этому ящику, злоумышленник меняет в нём пароль и заказывает на почту напоминание пароля к ЖЖ

Получив пароль, злоумышленник заходит в ЖЖ под именем жертвы. Стирает все записи, пишет свои собственные, оставляет сообщения, подводящие аккаунт под заморозку — либо по жалобе взломщика, либо по жалобе самого владельца

Если администрация почтового сервера оказывает содействие потерпевшему, то он имеет возможность вернуть себе почтовый ящик с новым паролем, затем добиться восстановления своего ЖЖ, и вручную там восстанавливать разрушенное вандалом (как сделала vorobieva_irina). Если помощи от администрации почтового сервиса не добиться (как не получил её yakovlev_igor от службы поддержки Гугла), то механизм общения со службой поддержки ЖЖ непонятен, и ru_yabloko, как видим, недоступно.

Конечно, очень хотелось бы, чтобы где-нибудь у админов ЖЖ существовала секретная кнопка, которая позволяла бы по первому требованию "откатывать" любой ЖЖ к положению за секунду до прихода хакера. Однако же проблема тут не только техническая, к сожалению. Есть еще интересный вопрос на каком основании саппорт ЖЖ должен на эту кнопку жать. По письму? А если это письмо от хакера, взломавшего ящик? По звонку? По личной авторизации? Проблема не то чтоб нерешаемая, но не стоит думать, что она давно и просто решена в ЖЖ или каких-либо иных многопользовательских системах.

Больше всего для минимизации подобных рисков может сделать сам пользователь.

подбор паролей методом тыка (brute force) наиболее эффективен, если пользователь поленился сделать пароль к своей почте сложным. Не ленитесь

Не все пароли воруются методом тыка. Десятки тысяч компьютеров заражены троянскими программами, позволяющими красть пароли (а не только использовать машину для DDoS-атак без ведома её владельца). В этой связи необходимо пользоваться актуальной копией антивируса, не упускать возможность установки любых security updates операционной системы и броузерного софта, перестать открывать аттачменты в почте и ссылки, присланные знакомыми по ICQ

восстановление Вашего доступа к почтовому ящику гораздо быстрее, проще и эффективнее, если тот ящик, который Вы прописали в своём ЖЖ основным, находится в Вашем офисе или вузе, в ведении знакомого сисадмина, а не в системе, где есть еще десятки миллионов халявных пользователей, кроме Вас, и саппорт завален их письмами

ЖЖ с комментариями можно бэкапить различными программами, из которых мне больше всего почему-то нравится ljsm. Рекомендации по другим программам приветствуются

ЖЖ без комментариев можно транслировать взад-вперед — на другие блогхостинговые платформы и, при необходимости, обратно. Мой ЖЖ, например, транслируется сюда, сюда и сюда. Записи, которые туда экспортированы, доступны обратной трансляции в ЖЖ. Подзамочные посты таким способом спасти не удастся, к сожалению.

Если ничего из вышеперечисленного не сделано, остаётся мучительный и трудоёмкий путь восстановления публичных записей через кэш поисковых машин.

Существуют ли механизмы избирательного backup/restore в СиксАпарте, и как (на каком основании) они могут быть задействованы, является темой отдельного интересного обсуждения. Которое мы, конечно же, проведём, однако схемы — и по технологии, и по авторизации запрашивающего — не слишком просты, и не могут быть автоматизированы. Поэтому меры личной предосторожности имеют приоритет.

Сервер ЖЖ защищён от взлома ровно настолько, насколько защищён: за 8 лет его существования не зафиксировано случаев, когда бы злоумышленники получили доступ к дневникам, используя уязвимость серверного софта (как это случалось со многими базами платёжной информации в США, откуда похищались номера кредиток). Это, мне кажется, неплохой показатель. Но серверный софт ЖЖ никак не защищает тех паролей к Mail.Ru, в создании и хранении которых пользователь проявил халатность. Софт ЖЖ не может защитить нас от троянских вирусов, от снифферов, от уязвимостей в коде наших броузеров и операционных систем.

Инструкция по борьбе с хакером на опережение от avva не утратила актуальности со времени своего создания в январе 2004. Рекомендую начинать её читать до взлома Вашего ЖЖ, а не после.

NB: Обсуждение программ для архивирования ЖЖ

Comments

!!!

[usachev.livejournal.com]

аццкей mail.ru ;)
переходите все на гугол

!!!

[ex-ex-mcm69.livejournal.com]

не видишь что ли, злой саппорт гугла когототам послал лесом!

[alexkuklin.livejournal.com]

Помнится, кто-то высказывался на счет того, что почтовые адреса на непубличных (личных, офисных и т.п.) серверах не нужны...
:)

[dolboeb.livejournal.com]

Я высказывался против запрета иметь почтовые ящики на внеофисных серверах.

С точки зрения защиты информации от доступа по краденому паролю не существует никакой разницы между дырявым Мылом.Ру и мегасупердуперзащищённым офисным серваком, если он пускает по паролю снаружи офиса. А если не пускает, то такой сервер непригоден для организации, сотрудники которой живут не в офисе.

[aptsvet.livejournal.com]

Вот это непонятно:

"не пропускать никаких security updates операционной системы и броузерного софта"

Эти апдейты делаются как раз для того, чтобы затыкать дыры. Жить с дырами, что ли, и ждать новых атак?

[fm13.livejournal.com]

"не пропускать" - в смысле "вовремя устанавливать".

[stanley-by.livejournal.com]

>В этой связи необходимо [...] не пропускать никаких security updates операционной системы и броузерного софта

Несколько странная рекомендация, знаете ли.

[stanley-by.livejournal.com]

А, пардон. Уже вижу комментарий выше.

[cheis.livejournal.com]

Есть добрая прога ljarchive (http://fawx.com/software/ljarchive/) позволяет делать бэкап ЖЖ, при чём при каждом открытии - делает проверку на обновления ЖЖ. Вообщем рекомендую.

[lazyant.livejournal.com]

У офисных мейлов есть один недостаток, как минимум. Они привязаны к офису. А работа не вечна...

[dolboeb.livejournal.com]

Работа не вечна, но в общем случае об утрате доступа к офисному п/я Вас информируют заранее. В любом случае, наличие офисного никак не мешает наличию внеофисного. Никто не сказал, что резервный адрес для связи в ЖЖ должен быть только один. См. примеры в инструкции Воробья.

[gardenn.livejournal.com]

Длительная история ЖЖ без взломов - это, конечно, респект, но вот сравнивать это с финансовыми системами просто некорректно, - так и приходит на ум байка про "Неуловимого Джо", который таков потому, что его никто не ловит ;)

[dolboeb.livejournal.com]

Учитывая сотни известных нам случаев взлома индивидуальных ЖЖ, нельзя сказать, что никому не интересно было бы взломать этот сервис.

[bigshaft.livejournal.com]

Так, у меня 12 значный пароль. Так что авось...

[mibori.livejournal.com]

Вы только что спалили свой пароль :)

Зная точную длину, ГОРАЗДО проще подобрать его :)

[avaks.livejournal.com]

Кстати, у меня как раз вчера взломали аську (http://avaks.livejournal.com/31267.html). Слава Богу, её удалось быстро восстановить. Спасло меня то, что у ICQ есть возможность задать два ответа на два "секретных вопроса" и выслать пароль на любой введённый адрес - не обязательно на primary mail. Брутфорс тут не поможет - ответы длинные, да и к тому же их два. А почту у меня взломали личную, ни разу не бесплатную, с мейл.ру никак не связанную - скорее всего через какого-нибудь трояна (по долгу службы в последнее время приходится часто посещать сайты не совсем приличного содержания), а НОД32 как назло как раз недавно закончился.

Антон, а почему бы и в ЖЖ не сделать "секретные вопросы"? Технически это элементарно. На мой взгляд, надо перенимать опыт старших товарищей по несчастью.

Противопоказаний нет

[dolboeb.livejournal.com]

Просто нужно понимать, что работу по изменению структуры хранения паролей в базе ЖЖ нужно будет перестраивать с нуля и в будущем. Очень многие люди, которым просто хочется поговорить, возмущаются, почему модификации, вызванные к жизни последними событиями, не сделаны много лет назад. Интересно, что когда они будут сделаны, найдутся тысячи пользователей, которые поленятся ими воспользоваться, и снова им будет виноват ЖЖ, Суп или мой неприличный nickname.

[kazarinov.livejournal.com]

А что скажете об этом плагине (http://ingoldin.livejournal.com/6474.html)

Программа устанавливает панель инструментов под ЖЖ в статусную строку Firefox.

С одной стороны удобно, но насколько это, на Ваш взгляд, безопасно? - программа имеет доступ к паролю ЖЖ.

[dolboeb.livejournal.com]

В полном описании написано, что программа как раз использует не Ваш пароль, а Вашу залогиненность в ЖЖ:
http://homo-nudus.livejournal.com/75427.html
Здравый смысл подсказывает, что так и надо поступать.

Для меня те из доступных в программе функций, которые там полезны, уже и так заведены в Bookmark Toolbar Folder, в том числе и в качестве LiveBookmarks, сосущих RSS. Полезно понимать, что любой плагин, поставленный на ФФ, особенно внизу, сильно тормозит работу броузера.

[yeziz.livejournal.com]

А нельзя (для желающих) дать возможность указать свои "паспортные данне" и ими пользоваться для идентификации пользователя при взломе? Многие, мне кажется, согласятся, бо один хрен почти все всех знают лично.

[http://users.livejournal.com/_unn/]

паспорт тоже время от времени меняют или теряют, также есть базы или возможность выкрасть документ :)

[romx.livejournal.com]

Хороший пример:
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=135929

"Технические детали

Троянская программа, которая похищает конфиденциальную информацию пользователя. Является приложением Windows (PE EXE-файл). Размер компонентов варьируется в пределах от 39 до 48 КБ.
...

Деструктивная активность

Троянец похищает пароли к учетным записям из файлов данных следующих приложений, предназначенных для мгновенного обмена сообщениями:

QIP2005
Trillian
MSN Messenger
Yahoo Messenger
AOL
Miranda

Также похищаются пароли к FTP-серверам из файлов конфигурации FTP-клиентов:

WS_FTP
Total Commander
CuteFTP
FAR

Считываются данные о паролях к учетным записям электронной почты из файлов настроек следующих почтовых клиентов:

TheBat
Outlook Express
Outlook

Также троянец похищает словарь IE Auto Complete Fields.

...

[portisheader.livejournal.com]

+100

[ta-samaya.livejournal.com]

Это акция лайвинтернета. :)))))))))))))))))))))))

А если серьезно, то следует ли и простым смертным юзерам "готовить гробы", или обойдется?

[top30b0t.livejournal.com]

Вы попали в top30 на яндексе самых обсуждаемых тем в блогосфере. Теперь копия вашего поста доступна в ленте по ссылке - link (http://topbot2.livejournal.com/1599141.html)
Почитать текст со всеми комментариями можно тут (http://deep-water.ru/?http://dolboeb.livejournal.com/965528.html)
Это Ваш 55-й ТОПовый пост за последний год (http://deep-water.ru/top/). Посмотреть статистику автора можно тут (http://deep-water.ru/top/info.php?id=160)

[aspirantus.livejournal.com]

Лучший способ сохранения записей: их импорт на ЛЖР http://lj.rossia.org.

Мне кажется, что функция восстановления удаленных записей должна быть и в ЖЖ.

Носик, зачем ты врешь людям

[torquemada1.livejournal.com]

Ящики у Игоря Яковлева я ему возвращал без твоей админисрации, путем того же лома, тока в его сторону. Вернули их ему еще два дня назад, а почему яблоко стоит закрытым - потому что арбузы в ЖЖ не теляца. Хватит людям то лапшу на уши вешать, запрос в АТ мы вместе с ним писали, не гони уже.

Re: Носик, зачем ты врешь людям

[dolboeb.livejournal.com]

Да откуда я знаю про запросы в АТ, они мне не пересылаются.
АТ в Калифорнии, я в России.
Два дня назад, кстати сказать, в Калифорнии был викенд.
Так что самое раннее, когда они могли почесаться - вчера в 8 вечера мск.

Провокация

[steel-garage.livejournal.com]

Под шумок говнопровокатор Тимофей Шевяков (tarlith) якобы лишиля аськи и ЖЖ - это провокация. Скоро он вылезет из толчка и отряхнет говно с перышек. Как не в чем не бывало и будет крут. И все его жополизы будут рукоплескать и умиляццо, целуя пушистую пингвинью жоппку.
Тимоша самоуверенный долбоеб, вбил себе в тупую бошку, что совершенно другой человек и назвал меня именно и откуда так. Так что его аська работает, и это его личная аська. А это все сговор кремблядей. Очень от этого жаль. Я так порадовался было. Что говномурло это заткнули.

[komarov.livejournal.com]

мне кажется, достаточно легко было бы сделать фичу в ЖЖ, которую можно было бы включать у себя в профиле:
"запрет на удаление более одной записи в день", и чтобы эту фичу можно было включить мгновенно, а выключить с задержкой в неделю (то есть сегодня выключил, через неделю сможешь удалять сколько хочешь).

ну и еще такую фичу сделать: "не высылать мне пароль ни под каким предлогом" :-) включил и спокоен, даже если ящик захватят пришельцы, они смогут только почитать комменты :-)

ну или при регистрации предлагать для высылки паролей отдельный ящик указывать...

[akigo.livejournal.com]

первое предложение очень интересно.

[mr-pif.livejournal.com]

Рекомендации про пароль для почтового ящика, безусловно, правильные. Но еще лучше было бы ятот ящик вообще не светить, чтобы было непонятно, что взламывать. А у многих этот первичный ящик гордо красуется в юзеринфо. Ну-ну.

[zalt.livejournal.com]

стер первичный ящик во всех записях и в инфо, спасибо

[a5htray.livejournal.com]

помоему сегоднящние почтовые сервера брутфорсом не вскрыть,
через оперделенное колличество неправельно введенных паролей система блокируется...

[mibori.livejournal.com]

использование параллельных сессий с разных айпи никто не отменял.

[alexbogd.livejournal.com]

"Сервер ЖЖ защищён от взлома ровно настолько, насколько защищён: за 8 лет его существования не зафиксировано случаев, когда бы злоумышленники получили доступ к дневникам, используя уязвимость серверного софта (как это случалось со многими базами платёжной информации в США, откуда похищались номера кредиток). Это, мне кажется, неплохой показатель"

Думаю, что Вы ошибаетесь. Дело не в том, что Джо такой неуловимый, а в том, что он никому не нужен. Во всяком случае, менее нужен, чем номера кредиток.

[dolboeb.livejournal.com]

Выше теми же словами уже написали об этом.
http://dolboeb.livejournal.com/965528.html?thread=31858328#t31858328

[do-.livejournal.com]

...а откуда хакер берёт мэйл жертвы? Он же скрыт у большинства пользователей...

[dolboeb.livejournal.com]

Вот он и берёт у того меньшинства, у которого он не скрыт.
У Алксниса, например, хитростью выманили.

[innaplanetyanka.livejournal.com]

Спасибо за пост - ценная информация. Я как раз об этом думала недавно.

[vallkor.livejournal.com]

Антон, может кому-то будет полезно, есть смысл добавить в сообщение:
http://vallkor.livejournal.com/126788.html

mail.ru очень легко вскрыть!

[dolboeb.livejournal.com]

Это не мэйл.ру, а один из способов идентификации.
Мэйл его не придумал, и мэйл не обязывает Вас делать тупо.
В Мэйле, как и в Гугле, есть возможность ввести свой собственный контрольный вопрос.
Классическая история - как один мужик разъярился на саппорт мэйла, получив оттуда вопрос "Сколько раз не пидарас?"
Это был его собственный контрольный вопрос, который он ввёл и забыл.

Ответ, кстати, мог бы быть цифрой один на любом языке, в любой кодировке, и хрен бы хакер-полиглот подобрал, хотя выражение, вроде бы, широко известно.

[ex-alexloto.livejournal.com]

Внимательно изучаю опыт. Пора переходить на Linux (http://alexlotov2.livejournal.com/tag/хакеры)

[lordofwinds.livejournal.com]

+1

уже давно на нем )