- Hacker Uses XSS and Google Street View Data to Determine Physical Location
- CAnCAn te iubim, CA CA tine nu gasim. Superfete.cancan.ro e de rahat
- Deface (?!?) pe Cotidianul.ro
- Virusi in clipuri video [how to]
- Cyber-Bullying – palma parinteasca a noului mileniu
- Christopher “moot” Poole: The case for anonymity online
- Wtf Avira?
- Some old story about tagged.com
- Pwning cam girls for fun
- Tabloshit
- Yahoo! again - XSS in Uncategorized (357 Visits)
- Yahoo! again - bad settings? in Uncategorized (252 Visits)
- Fanii nostri in Uncategorized (183 Visits)
- Frustrant in Uncategorized (146 Visits)
- La multi ani România, la multi ani românilor in Uncategorized (137 Visits)
- Weblog.ro - Shell via Local File Inclusion in Uncategorized (119 Visits)
- Yahoo! epic fail - permanent xss unleashed in Uncategorized (50 Visits)
- ... in Uncategorized (38 Visits)
- XSS Ownage - hi5 vs. Yahoo! + video in Uncategorized (2 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in Uncategorized (2 Visits)
- Hackersblog.org is now blog.rstcenter.com in (1770 Visits)
- O mica dar importanta precizare in (1371 Visits)
- Twitter in (805 Visits)
- This is the end in (776 Visits)
- Ce servicii de mail folositi? in (773 Visits)
- Un nou membru in (730 Visits)
- La multi ani România, la multi ani românilor in (718 Visits)
- Inca o pierdere de timp in (674 Visits)
- De reţinut in (634 Visits)
- Azi este ziua userilor hackersblog.org in (610 Visits)
- SMS scam (1) in (564 Visits)
- Dezinformare sau proasta informare? in (563 Visits)
- Hi5.com coders read this in (553 Visits)
- Phishing Raiffeisen cu atasament html in (516 Visits)
- Phishing Bancpost in (486 Visits)
- Si tentativele de phishing pot fi amuzante in (422 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (2707 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in (2601 Visits)
- Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d. in (1143 Visits)
- [Utilitare] Suna gratis de pe internet sau de pe iPhone in (1107 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (950 Visits)
- Virusi in clipuri video [how to] in (838 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (725 Visits)
- Yahoo! redirects - a big issue (with video) in (570 Visits)
- Internet vs. privacy (1) in (468 Visits)
- Ca musca in... in (435 Visits)
- RedTube.com ... The Free Sex Video Community in (12972 Visits)
- usa.kaspersky.com hacked ... full database acces , sql injection in (4921 Visits)
- libertatea.ro vulnerabil la (blind) sql injection in (2950 Visits)
- Pwning cam girls for fun in (2586 Visits)
- Telegraph.co.uk hacked, sql injection in (2546 Visits)
- Facebook hacked - sql injection in (2424 Visits)
- Simpatie.ro, matrimoniale3x.ro, apetisant.ro, deliciu.ro , etc Sql injection in (2406 Visits)
- F-Secure.com - SQL Injection + Cross Site Scripting in (1775 Visits)
- [Hacked]Bitdefender (Portugal) exposes sensitive customer data in (1743 Visits)
- Wtf Avira? in (1723 Visits)
- Christopher "moot" Poole: The case for anonymity online in (1495 Visits)
- Digital Photocopiers Loaded With Secrets in (1458 Visits)
- Wannabe Hackers [2] - cum sa faci un virus by sppy_hacker in (592 Visits)
- Wannabe Hackers [1] - Cum sa hack-uiesti RapidShare-ul in (590 Visits)
- Hope 2603 – Kevin Mitnick - Life a Computer Hacker – Revealed in (462 Visits)
- PRIVACY IS DEAD - GET OVER IT, Pt 01-34 (Recommended by Hackersblog ) in (396 Visits)
- Oldies but goodies - Freedom Downtime - The Story of Kevin Mitnick in (379 Visits)
- [Video] The History Of Hacking in (373 Visits)
- Email Security - Why You Should Encrypt Your Email - Part One in (368 Visits)
- The Story of DEFCON in (343 Visits)
- Deface - tuttoaffari.lastampa.it si citymusiclab.city.corriere.it in (3493 Visits)
- RNS vs. RAI - citizenreport.rai.it hacked. in (3300 Visits)
- Hi5 email finder si sfarsitul a tot ceea ce inseamna privacy in social networking in (2996 Visits)
- Se poate sparge parola de Yahoo? in (2572 Visits)
- Free SMS time, TrimiteSMS.ro in (2492 Visits)
- Planete-plus-intelligente.lemonde.fr defaced by R.N.S. in (2464 Visits)
- Gmail uber hacking in (2256 Visits)
- Camera de supraveghere a universitatii Alexandru Ioan Cuza din Iasi in (2255 Visits)
- Cancan.ro spart pentru a doua oara intr-o zi in (2251 Visits)
- Stiri cu antena3 in (2208 Visits)
Posted on February 26th, 2009
As dori sa dedic acest articol “fanilor”, mamei mele, bunicii, catelului, speraclului folosit de “unu” la spargerea usilor deja deschise si desigur domnului Ionut Balan.
De ce insistam atat de mult pe securitatea site-urilor? Pentru ca acele site-uri detin cele mai importante date ale oamenilor. Pentru ca o vulnerabilitate banala poate insemna acces la datele noastre confidentiale. Pentru ca informatia inseamna putere si de multe ori bani. Deci stim motivatia celor care ataca diferite site-uri cu scopul de a extrage cat mai multe date confidentiale de pe ele.
Exemplu: Mihaita isi face cont pe www.site.com, completeaza cu datele lui reale formularul de inscriere si cu parola universala pe care si-o trece la orice serviciu online. Ca sa nu se oboseasca prea mult foloseste si adresa lui de mail in care pastreaza diferite informatii destul de importante. Site-ul este mare, are milioane de utilizatori, este verificat la sange de o gramada de experti. Ce sa mai, e un site in care poti sa ai incredere orbeasca. Dar apare “cracheru” care acceseaza “fara permisiune” baza de date a site-ului. Ce poate sa faca acum daca tot are acces? Hai sa extraga tot ce e in baza de date. Si se apuca de extras nenea.
Dupa extragerea informatiilor din db se incepe verificarea unor usere si a unor parole. Uite ca la userul Mihaita s-a potrivit parola de pe site cu cea pe care o are la mail. Si “cracheru” se logheaza pe mailul lui Mihaita ca nu e nimeni care sa ii dea un capac dupa ceafa si sa ii zica “nu face asta ma”. A gasit poze cu nevasta lui Mihaita. Hmm, cam indecente. Bun, le trimite la pitzipoanca si la cocalari sa faca misto de fraier. Ia uite are si mesaje venite de la o banca. Ii da un forgot password si… voila, acces in contul bancar al lui Mihaita. Hai ca s-a facut “cracheru” de ceva bani. Nici nu a fost prea greu.
Exemplu din viata reala (da, chiar se foloseste metoda urmatoare):
Sa spunem ca esti pe trilulilu si ii lasi lui Vasilica o injuratura la comentarii. Cel pe care l-ai deranjat are ceva cunostinte IT dar stie ca nu are sanse sa sparga trilulilu, asa ca se apuca sa caute nickname-ul tau pe net. Cu cat userul tau e mai diferit de cuvintele comune, cu atat are mai multe sanse sa gaseasca rapid toate detaliile necesare despre tine. Rezultatele sunt imbucuratoare. Cel vizat are conturi pe vreo 15 site-uri.
Tot ce ramane de facut e sa ia la puricat fiecare site in parte. Din 15 site-uri sunt sanse mari (o sa dovedesc asta intr-un articol viitor) ca macar unul singur sa fie vulnerabil la una dintre metodele de exploatare. In clipa in care unul dintre cele 15 site-uri a fost spart si s-a reusit extragerea informatiilor, esti foarte aproape de un mic dezastru. Ce poate face Vasilica cu informatiile tale extrase de pe alt site?
1. Iti afla adresa de mail.
2. Iti afla parola pe care ai folosit-o la inregistrare.
3. Verifica daca parola extrasa e aceeasi cu cea de la mail si cu cea folosita la conturile de pe celelalte site-uri.
4. Daca e aceeasi parola si la mail:
- iti poate lua mailul cu totul
- poate sterge tot ce se afla in mail
- se poate folosi de adresele din lista ta de contacte pentru a-ti trimite un troian de la o persoana in care ai incredere (detalii despre mail spoof aici)
- iti poate vedea toate serviciile online la care te-ai inscris
- iti poate afla toate celelalte parole pe care le mai folosesti la serviciile online
- publica pe net detaliile picante pe care le tii pe mail
5. Daca nu e aceeasi parola la mail:
- incearca sa foloseasca metode de phishing pentru a te convinge sa-i dai parola
- incearca sa foloseasca vulnerabilitati xss pentru a-ti fura cookie
- iti poate trimite software de tip spyware pentru a capata acces la computerul tau
- iti poate trimite mailuri de genul celor readnotify prin care sa iti afle ip-ul si alte informatii despre browserul pe care il folosesti, sistemul de operare etc., informatii ce pot fi utile pentru un nou val de atacuri.
6. Iti afla ip-ul. Ceea ce poate duce la un mic scan pe acel ip in cautarea unei brese din calculatorul tau (slabe sperante de reusita), sau iti poate administra un atac de tip denial of service*.
*cei mai afectati ar trebui sa fie doar cei cu ip-uri statice, cele dinamice acordand fara voie un mic plus de protectie deoarece la reconectare se aloca un ip diferit. Daca gresesc puteti sa-mi atrageti atentia. De fapt sunt sigur ca ati face asta fara ezitare, diavoli mici 
7. Poate afla din datele contului tau numarul de telefon, unde locuiesti sau care este numele tau real (de la caz la caz si in functie de site).
Astfel faptul ca ai folosit aceeasi parola la mai multe servicii si ai avut grija sa te inscrii cu acelasi nickname pe unde ai apucat iti poate aduce destule probleme, dar problema cea mai mare e ca toti suntem la mana sys adminilor si a coderilor. In functie de cheful si cunostintele lor, datele noastre pot fi in siguranta sau in pericol. Ce am spus eu mai devreme acopera doar o mica parte din totalul posibilitatilor de atac combinat.
Intrebare generala retorica: daca stii ca ai scapa de problemele de mai sus pentru ca niste talhari, hoti, nenorociti, cum ne spun conationalii, au fortat webmasterul sa isi securizeze aplicatia, ai mai spune ca vrei sa ne vezi la inchisoare?
February 26th, 2009 at 9:59 am
[...] vs. privacy (2) Partea doua a articolului, luat in intregime de aici. De ce insistam atat de mult pe securitatea site-urilor? Pentru ca acele site-uri detin cele mai [...]
February 26th, 2009 at 9:33 pm
Am vazut persoane ca se foloseau de forum unde aveau pus phpbb2 si acces la admincp pentru a afla parolele userilor [...] foarte urat dar eficient.
February 26th, 2009 at 11:31 pm
povestea cu IP-ul fix ramane valabila doar ‘la munca’. astazi, ianuarie 2009, .ro. if ($toti_angajatii > 20).
pfiu, uitai: $toti_angajatii = (int) $_REQUEST['toti_ba'];
February 27th, 2009 at 1:35 pm
cum am postat si pe site-ul ala, in momentul in care datele mele sunt vulnerabile, apreciez pe cel care-mi arata ca ar trebui sa fiu mai atent.
Ma intreb ce-i deranjeaza pe toti? Le convenea ca un site sa fie spar si totul tinut secret? Din punctul de vedere al unora cred ca da, dar cu noi, utilizatorii, cum ramane? Eu stiu asta, tu care citesti acum sigur stii si tu, dar restul…care nu-si dau seama de astfel de lucruri?!
O tara de rahat, si vad cum unii parca au creierul spalat si nu pot sa vada realitatea, nu mai pot sa faca diferenta intre un rau si un bine.
Bravo voua, va felicit pentru ceea ce faceti.
February 28th, 2009 at 4:29 pm
[...] dintr-un post de pe [...]
March 2nd, 2009 at 1:49 pm
Ar trebui sa pupi pe vecinul care iti atrage atentia sa inchizi noaptea usa la casa in timp ce tu dormi ca o vita.
Trebuie sa fii un mare nenorocit sa te arunci pe niste oameni care iti atrag atentia asupra unor gauri. Gauri pe care ar tb sa le astupe alti oameni PLATITI de tine.
March 3rd, 2009 at 8:29 am
props@semtex!
Atata timp cat lumea sta 24/7 cu ochii lipiti si urechile ciulite la tot ce ruleaza pe Sticla, Media de tot felul e si normal sa fie brainwashed, e si normal ca viata lor sa fie o simpla parsiva minciuna, iar cand realitatea le bate pe umar, sunt speriati ca de bombe, pentru ca pana acum au dormit in prostia lor fara sa le pese de ce se intampla in jur, tocmai de asta sunt atat de revoltati cand le dai peste nas, pentru ca ei sunt o simpla bancnota falsa, currency for transit, iar Media se sterge cu ei la fund.
Dar alta e problema, multi cad prada Sticlei pe zi ce trece, inca nu e o problema majora la noi, dar daca tragi cu ochiu undeva prin State, aia sunt zombie, their only piece alive is their body while they brain is marely dead, viata lor merge pe acelasi beat cu media in asa hal incat ei nu mai stiu sa faca diferenta dintre ce e real si ce e virtual, copii exmatriculati de la scoali pentru ca si-au exprimat parerea pe un blog personal(INTR-O LUME VIRTUALA, INTR-O TARA UNDE TOTI SE BAT CU PUMNUL IN PIEPT CU “FREEDOM OF SPEECH RIGHTS!”) si asta e doar un exemplu foarte minuscul, sunt alte cazuri mult mai extreme, oare mai are rost sa vorbim de chestiile astea in 2009? cand Sclavia inca mai exista si face ravagii in unele parti ale globului, ba chiar este folosita drept arma de supunere in masa, sa mai vorbim ca inca se mai moare de Foame, din cauza saraciei? IN 2009!
Din cauza faptului ca viata lor este redusa la tot ce se intampla in Media ei nu vad problemele majore si fac din nimic, dintr-un pixel O CAMPANIE MONDIALA, asta inseamna sa te nasti cu un corp pe care doar altii il pot manevra dupa bunul plac, Unde singurul Dumnezeu e doar “Geppetto” din spatele Sticlei la care te holbezi zi de zi, iar tu esti doar o marioneta, un simplu pion pe o tabla de sah la scala globala.
Si inca ceva, carding-ul(printre altele, doar un simplu exemplu) nu e ceva nou oriunde in lumea asta INAFARA DE STATE, abia acum cativa ani in urma S-AU TREZIT si ei in privinta asta, si daca nu ma insel nu a fost un American care le-a deschis ochii, a fost un strain pentru ca mintile lor inguste nu pot concepe asa ceva, pentru ca ei nu au habar de nimic altceva decat ce le dicteaza Sticla, Media le spune ce sa manance, cu ce sa se imbrace, ce masina sau casa sa-si cumpere, cati copii sa aibe si cum sa-i intretina, DAR cand le dai peste nas, cand le trantesti adevarul in fata ei iti intorc spatele razand pentru ca nu sunt capabili de a accepta orice altceva decat ce le dicteaza Media.
Si dupa cum vezi, cand Media cade de la putere, cand globul lor magic care le prezicea orice miscare dinainte dispare de la putere ei sunt neajutorati, e ca si cum i-ai scoate unui robot bateriile, nu mai poate functiona, asta se intampla de ceva vreme la ei, si putini sunt aia care chiar si acum cand totul e CLAR, VIZIBIL si PALPABIL, pot accepta ca ei defapt au trait (SI TRAIESC) o viata intreaga din minciuni, defapt viata lor e o mare minciuna gogonata.
Si cand cineva a spus “American’s are THE most Stupid people on Earth” stia el foarte bine dece si cum stau treburile defapt.
ps; stiu ca pare putin cam offtopic dar trebuia sa-mi spun si eu offul
April 25th, 2010 at 12:55 pm
care e programator, si chiar il pasioneaza ceea ce face… ar trebui sa se intereseze de hacking… iar partea cu inchisoarea… e patetica… nu inteleg cum cineva ar dori asa ceva ptr cineva care nu le doreste nmic altceva decat binele