- Hacker Uses XSS and Google Street View Data to Determine Physical Location
- CAnCAn te iubim, CA CA tine nu gasim. Superfete.cancan.ro e de rahat
- Deface (?!?) pe Cotidianul.ro
- Virusi in clipuri video [how to]
- Cyber-Bullying – palma parinteasca a noului mileniu
- Christopher “moot” Poole: The case for anonymity online
- Wtf Avira?
- Some old story about tagged.com
- Pwning cam girls for fun
- Tabloshit
- Yahoo! again - XSS in Uncategorized (357 Visits)
- Yahoo! again - bad settings? in Uncategorized (252 Visits)
- Fanii nostri in Uncategorized (183 Visits)
- Frustrant in Uncategorized (146 Visits)
- La multi ani România, la multi ani românilor in Uncategorized (137 Visits)
- Weblog.ro - Shell via Local File Inclusion in Uncategorized (119 Visits)
- Yahoo! epic fail - permanent xss unleashed in Uncategorized (50 Visits)
- ... in Uncategorized (38 Visits)
- XSS Ownage - hi5 vs. Yahoo! + video in Uncategorized (2 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in Uncategorized (2 Visits)
- Hackersblog.org is now blog.rstcenter.com in (1770 Visits)
- O mica dar importanta precizare in (1371 Visits)
- Twitter in (805 Visits)
- This is the end in (776 Visits)
- Ce servicii de mail folositi? in (773 Visits)
- Un nou membru in (730 Visits)
- La multi ani România, la multi ani românilor in (718 Visits)
- Inca o pierdere de timp in (674 Visits)
- De reţinut in (634 Visits)
- Azi este ziua userilor hackersblog.org in (610 Visits)
- SMS scam (1) in (564 Visits)
- Dezinformare sau proasta informare? in (563 Visits)
- Hi5.com coders read this in (553 Visits)
- Phishing Raiffeisen cu atasament html in (516 Visits)
- Phishing Bancpost in (486 Visits)
- Si tentativele de phishing pot fi amuzante in (422 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (2707 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in (2601 Visits)
- Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d. in (1143 Visits)
- [Utilitare] Suna gratis de pe internet sau de pe iPhone in (1107 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (950 Visits)
- Virusi in clipuri video [how to] in (838 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (725 Visits)
- Yahoo! redirects - a big issue (with video) in (570 Visits)
- Internet vs. privacy (1) in (468 Visits)
- Ca musca in... in (435 Visits)
- RedTube.com ... The Free Sex Video Community in (12972 Visits)
- usa.kaspersky.com hacked ... full database acces , sql injection in (4921 Visits)
- libertatea.ro vulnerabil la (blind) sql injection in (2950 Visits)
- Pwning cam girls for fun in (2586 Visits)
- Telegraph.co.uk hacked, sql injection in (2546 Visits)
- Facebook hacked - sql injection in (2424 Visits)
- Simpatie.ro, matrimoniale3x.ro, apetisant.ro, deliciu.ro , etc Sql injection in (2406 Visits)
- F-Secure.com - SQL Injection + Cross Site Scripting in (1775 Visits)
- [Hacked]Bitdefender (Portugal) exposes sensitive customer data in (1743 Visits)
- Wtf Avira? in (1723 Visits)
- Christopher "moot" Poole: The case for anonymity online in (1495 Visits)
- Digital Photocopiers Loaded With Secrets in (1458 Visits)
- Wannabe Hackers [2] - cum sa faci un virus by sppy_hacker in (592 Visits)
- Wannabe Hackers [1] - Cum sa hack-uiesti RapidShare-ul in (590 Visits)
- Hope 2603 – Kevin Mitnick - Life a Computer Hacker – Revealed in (462 Visits)
- PRIVACY IS DEAD - GET OVER IT, Pt 01-34 (Recommended by Hackersblog ) in (396 Visits)
- Oldies but goodies - Freedom Downtime - The Story of Kevin Mitnick in (379 Visits)
- [Video] The History Of Hacking in (373 Visits)
- Email Security - Why You Should Encrypt Your Email - Part One in (368 Visits)
- The Story of DEFCON in (343 Visits)
- Deface - tuttoaffari.lastampa.it si citymusiclab.city.corriere.it in (3493 Visits)
- RNS vs. RAI - citizenreport.rai.it hacked. in (3300 Visits)
- Hi5 email finder si sfarsitul a tot ceea ce inseamna privacy in social networking in (2996 Visits)
- Se poate sparge parola de Yahoo? in (2572 Visits)
- Free SMS time, TrimiteSMS.ro in (2492 Visits)
- Planete-plus-intelligente.lemonde.fr defaced by R.N.S. in (2464 Visits)
- Gmail uber hacking in (2256 Visits)
- Camera de supraveghere a universitatii Alexandru Ioan Cuza din Iasi in (2255 Visits)
- Cancan.ro spart pentru a doua oara intr-o zi in (2251 Visits)
- Stiri cu antena3 in (2208 Visits)
Posted on February 25th, 2009
English version will be posted tomorrow
Se pot scrie extrem de multe randuri referitoare la intimitatea unui utilizator de internet. Eu voi scrie pentru moment doar cateva aspecte importante.
Dupa cum spunea si RSnake intr-un articol pe care nu am avut rabdarea sa il mai caut, oamenii vor sa dea click pe link-uri si sa se inregistreze pe cat mai multe site-uri. Primesti un link pe messenger? Da click pe el fara sa te gandesti prea mult. Intri pentru prima data pe un site? Ai grija sa te inregistrezi pe el cu datele tale reale, cu adresa ta de mail in care iti tii datele bancare si documente personale. Stai asa putin! De ce sa nu folosesti aceeasi parola peste tot?
Nu stiu cati dintre voi cunosc povestea lui VisUrat si intamplarile lui cu un joc online romanesc. Varianta “pe scurt” este urmatoarea: s-a luat in gura cu adminii site-ului respectiv, adminii au avut grija sa ii inchida contul si sa testeze in mai multe locuri parola pe care si-o setase baiatul cand si-a facut cont pentru a se juca. Si ca sa vezi, parola din joc (care se spune ca era salvata in plain text) era aceeasi cu cea a contului de mail pe care VisUrat il folosea si pentru comunicarea pe messenger. Au urmat o serie de mass-uri pline de cuvinte dulci la adresa celor din lista si cam asta a fost. Baiatul a luat masuri, a reclamat, el stie mai exact ce a rezolvat si daca acuzatiile s-au dovedit a fi reale. Cred ca va raspunde daca il intrebati.
Revenim. Conturile importante de mail nu trebuiesc folosite la inscrieri pe site-uri inutile. Nu trebuiesc folosite la instant messaging. Nici sa le pui pe pagina personala de hi5. NICIODATA (si chiar sunt foarte serios cand spun NICIODATA) nu trebuie sa folositi aceeasi parola pe care o aveti la conturile importante (de orice fel), pentru a va inscrie pe diferite site-uri. (Foarte) preferabil e sa folositi si o adresa de mail pe care nu tineti nimic important. Intr-un articol viitor o sa va explic mai amanuntit de ce.
Acum partea dulce a articolului. Unii dintre cititori stiu aceste metode asa ca s-ar putea sa se plictiseasca.
Dam o situatie fictiva ca ne place sa facem asta.
Leana e vedeta. Deci persoana publica. Si Leana are cont de mail la Yahoo! (doar un exemplu). Yahoo! mail are optiunea de forgot password. Eu vreau sa ii iau parola. Pana aici e destul de simplu nu? Bun. Trecem mai departe.
Dau click pe “forgot password”, trec peste chestiile evidente si ajung pe pagina unde se cer urmatoarele:
1. Birthday – Data nasterii
2. Country of residence – Tara
3. Postal Code – Cod Postal
Acum totul tine de informatiile gasite pe net si de putin noroc. Daca Leana a folosit la inregistrare datele reale totul e perfect. Daca nu… slabe sperante sa trec de acest pas.
Cautam data nasterii pe net. Google este cel mai bun ajutor desigur. Un simplu dork de genul intext:”Leana s-a nascut la data de” imi poate aduce deja primele informatii. Ca o mica paranteza trebuie sa precizez ca sunt sanse mari ca informatiile respective sa le gasesc pe wikipedia.com. Nu-i asa ca e frumos internetul? Revenim. Vad data nasterii si completez casutele de pe pagina Yahoo. Country of residence… hai ca nu e greu. Incercam Romania? Daca s-a mutat din tara aflam unde e acum si schimbam. Nu e bai. Poate merge. Ramane postal code. Aici e putin mai dificil.
Multi au obiceiul de a folosi ca zip pentru Romania numerele 7000 sau 70000. Din cate am vazut la inregistrarea conturilor noi de Yahoo! trebuie folosit un numar format din 6 cifre. Ceea ce e bine, ca ii baga pe oameni in dubii si pun numere alandala. Totusi sa zicem ca este un cont mai vechi si folosim 7000 sau 70000. Daca nu merge aici se termina totul. Exista sansa ca pe pagina de profil sa gasim zip-ul contului dar nu multa lume completeaza acea pagina.
Sa spunem ca a functionat si am trecut mai departe. Acum intrebarea secreta. Cum il cheama pe animalutul tau? Google rapid. Zic astia din CanCan ca i-a cumparat pisicii o zgarda de diamante. Citim, citim si gasim o declaratie “Mitzi e ca un copil pentru mine”. Ahaaa, deci Leana are o pisica pe care o cheama Mitzi. Si incerc mai departe. Daca depasesc si acest pas obtin parola noua. E greu, functioneaza foarte greu metoda, dar in unele cazuri da rezultate neasteptate.
Cel mai simplu e in cazul conturilor Gmail. Acolo ai nevoie doar de raspunsul la intrebarea secreta. Chiar daca posibila victima are mail alternativ trecut in cont, tot ce trebuie sa faci e sa ai rabdare cateva zile pentru a ajunge la pagina unde dai raspunsul la intrebarea secreta. Pentru ca este un feature minunat.
Hi5. Este cool nu? Probleme:
1. Ai poze pe el. Ca e la moda.
2. Nu poti sterge definitiv contul.
3. Pozele raman stocate pe server chiar daca iti inchizi contul.
4. In cookie se afla adresa de mail pe care o ai la cont.
5. E (inca) vulnerabil la xss. Deci se poate fura cookie. Deci se poate afla adresa de mail.
6. Poti face cont de pe mailul oricui. Nici macar nu e nevoie sa fie mailul tau sau sa confirmi ceva. Exista o confirmare dar nu este obligatorie. Important e sa nu existe deja acel mail in baza de date a hi5.
7. Cireasa de pe tort: bagi adresa de mail in casuta de search si iti apare contul facut pe acea adresa de mail. Si da, inca functioneaza.
Va urma… muuuult mai mult
February 25th, 2009 at 9:23 am
stiu articolul lui RSnake pe care-l pomenesti… in acel articol prenzenta modul de socializare a unui om din domeniul securitatii odata cu retragerea sa.
Interesant articolul, bine ca ai evidentiat faptul ca mai bine nu-ti setezi ceva real la security question.
Lectie de luare aminte: cazul lui Sarah Pa(cum naiba era numele ei?)
February 25th, 2009 at 10:27 am
[...] Internet vs. privacy (1) Un articol foarte, foarte interesant, gasit aici: [...]
February 25th, 2009 at 1:09 pm
Pentru înregistrări rapide pe site-uri dubioase folosesc: http://mailinator.com/.
Mai există unele site-uri unde este banat, dar în general funcţionează fără probleme.
February 25th, 2009 at 2:09 pm
@Adrian: si eu mailinator folosesc, iar cand e banat ai totusi o lista din care sa alegi: http://www.google.ro/search?hl=ro&q=temporary+email&btnG=C%C4%83utare+Google&meta=
February 25th, 2009 at 6:42 pm
De mult nu mai folosesc aceasi parola la mai mult de 1 site
Super tare treaba cu temp email. Nu am folosit pana acum pt ca nu stiam de ea. dar pare f folositoare!
February 25th, 2009 at 9:27 pm
O idee pentru cei carora le e greu sa tina minte parole pentru mai multe siteuri:
Iti alegi o parola standard pe care o tii minte.
Cand te inregistrezi pe un site, faci
Parola_pe_site = SHA1(MD5(parola_standard) + MD4(domeniu_site)), sau orice combinatie idioata de SHA1, MD5 sau mai stiu eu care hash, incat sa fie imposibil de crackuit (daca iti alegi o parola_standard suficient de puternica nici mama NSA-ului n-o sa poata sa ajunga la ea).
http://pajhome.org.uk/crypt/md5/ — aici sunt implementate MD5, MD4 si SHA1 in javascript, asa ca nu se transmite niciodata parola pe retea.
February 26th, 2009 at 9:15 am
[...] Internet vs. privacy (1) si Internet vs. privacy (2) – doua articole interesante de pe Hackersblog despre problemele de care ne putem bate ca utilizatori de internet datorita lipsei de informare, naivitatii sau nepasarii noastre. Mai concret, minimul ce trebuie sa-l stim pentru a nu ne fi informatia online sparta in 2 timpi si trei miscari, unde prin informatie online intelegem: toate discutiile purtate pe mailuri, pozele din atasamente, conturile la banca, etc. Merita sa sa le cititi. [...]
March 2nd, 2009 at 4:06 pm
please give these instructions and article in english too.