[ Главная · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Архив - только для чтения
Модератор форума: -orf-, Брунгильда__, wandy, Guardian_angel  
Форум » Для всех » Архив » Безопасность перса (Полный вариант статьи с сайта Братство Зари)
Безопасность перса
SpeeD_GaLOShДата: Воскресенье, 2007-07-08, 10:03 PM | Сообщение # 1
Группа: Удаленные





На днях написал статью на сайте клана "Братство Зари", но в силу различных причин (о которых я думаю догадаетесь сами), она была сильно урезана. Вот решил в курилке выложить ее полный вариант.

Не так давно на Арене разразился очередной скандал по поводу взлома персонажа – да не просто персонажа, а главы клана Angels Of Death! Эта новость быстро облетела новостные ленты многих кланов, заставив кого-то огорчиться, кого-то лишь иронично улыбнуться, мол, надо быть осторожнее. Я не хотел в очередной раз «промывать кости» данному, на мой взгляд, грустному событию (которое кстати закончилось все же разблоком), а лишь попробую немного внести ясность о том, что же такое безопасности в целом и безопасность наших игровых персонажей в частности.

Безопасность наших с вами персов определяется в первую очередь ПАРОЛЕМ. Именно пароль является тем самым «сим-сим-откройся», ключиком, который вдыхает жизнь в персонажа, заставляя его драться, блочиться и уворачиваться. Вот поэтому я хочу остановиться на безопасности пароля, но не сколько с нашей стороны, сколько со стороны взломщика – чтобы понимать и быть готовыми к потенциальным атакам и попыткам кражи персонажа. Данная статья никоим образом не является руководством по взлому – она призвана лишь помочь вам предотвратить взлом перса!

Итак, можно выделить 2 вида взлома паролей:
- метод перебора
- метод социальной инженерии.

Давайте разберем более подробно оба метода.

Метод перебора паролей.
Название этого метода говорит сам за себя: взломщику необходимо перебрать один за одним пароли до нахождения нужного (будем называть его «оригинальным»). Сразу возникает вопрос – а откуда брать эти самые пароли? Есть несколько способов их получения:

Способ 1. Автоматическая генерация.
Самый простой в реализации, но самый «дубовый» в исполнении. Задача, что называется «в лоб»: специальная программа (а может даже устройство) генерирует некую последовательность символов на основе заданных начальных условий. Что это могут быть за условия? Во-первых, размер словаря, т.е. размер (количество) того набора символов, которые могут быть использованы при создании искомого пароля. Чем меньше словарь, тем больше шансов у взломщика на успех его мероприятий. Во-вторых, это размер оригинального пароля, т.е. количество символов в пароле. Аналогично – чем меньше символов вы используете, тем больше вероятность взлома (это думаю очевидно всем). При знании взломщиком этих двух параметров процедура подбора может быть вычислена по формуле:

T = A^s * t,
где T – общее (максимальное) время подбора,
A – размер словаря,
s – размер пароля,
t – время проверки правильности ввода 1 пароля

Эта формула (вернее, ее упрощенный вариант) называется формулой Андерсона из комбинаторики.
Допустим, ваш пароль состоит только из символов английского языка и в одном регистре (верхнем или нижнем). Длина пароля – 6 символов. Таким образом, может быть сгенерировано 308915776 вариантов. Как вы думаете, 300 млн. – это много? Думаю, при нынешних достижениях вычислительной техники перебор всех этих вариантов займет считанные минуты, а то и секунды. Но увеличив размер пароля всего лишь на 1 символ, вы увеличите сложность задачи почти в 3 раза. А использовав различный регистр букв – более чем в 60 раз!

Способ 2. Выборка по словарю.
Этот метод отличается от первого тем, что список потенциальных паролей уже имеется в наличии, и необходимо лишь перебрать каждый из паролей в списке. Причем пароли идут не просто так, один за одним, а в соответствии с их релевантностью, т.е. степенью «употребимости» у пользователей. Сначала перечисляются наиболее часто употребимые, а далее все менее и менее используемые. Замыкает список совсем уж экзотические и малоиспользуемые (например, специальные технические термины). Скорость перебора в этом случае определяется размером словаря (под словарем здесь подразумевается список паролей) и их «качественностью», т.е. максимальной приближенностью к реально используемым паролям. Такие списки нетрудно составить самому, да и при наличии желания взломщик сможет их найти в интернете.
Достоинством этого метода является его «интеллектуальность», поскольку он избавлен от проверки грубых случайных комбинаций, получаемых первым способом.

Способ 3. Смешанный.
Этот метод использует достоинства обоих вышеперечисленных и освобожден от их недостатков. Как правило, в инструментарий данного метода входит тот самый список паролей (которые отсортированы по убыванию релевантности) и программа-генератор для модификации этих паролей. Таким образом, пароли подставляются не только в том виде, в котором они записаны в словаре, но и измененные согласно семантике написания, например, для слова «гений» могут быть использованы варианты «Гений», «ГЕНИЙ», «гЕНИЙ" и т.д. – все зависит от фантазии и степени упорства взломщика.

Как вы видите, метод перебора паролей подразумевает использование в той или иной мере неких технических/программных средств для взлома, а также кропотливой и монотонной работы. В противоположность ему второй метод, метод социальной инженерии, позволяет осуществлять взлом порой без использования вообще какой-либо техники. Итак, в чем же он заключается?
А основан он на такой особенности человеческой психики, как механизм запоминания, вернее, на одной его «бреши». Здесь я сделаю небольшое лирическое отступление.

В эпоху невероятного развития и распространения информации, в которую мы живем, очень остро стоит вопрос о конфедециальности данных. Так или иначе, но современному человеку в обыденной жизни очень часто приходиться запоминать какие-либо «магические» комбинации: код для входа в родной подъезд, код пластиковой карточки, пароль для входа систему на домашнем компьютере и т.д. – примеров вы и сами можете привести массу. Очень часто мы забываем их, но самое простое и очевидное решение – это связать, или проассоциировать, пароль с объектом, куда он вводиться. Почти год назад один достаточно популярный развлекательный портал в англоязычных странах был взломан и с него были похищены пароли порядка 34 тыс. его зарегистрированных пользователей. Когда администраторы сайта получили списки этих паролей обратно, их удивлению не было границ: самые распространенные пароли были «abc123», «password1» и «qwerty1»! А теперь вспомните свои пароли – так ли сложны они для посторонних людей?

Именно на подобную небрежность и легкомыслие и рассчитывают взломщики. Для своих коварных целей они начнут что назвается «копать». Их целью будет любая информация о вас и о вашей жизни: имя домашнего любимца, дата рождения, название монитора, за которым вы работаете (да-да, многие используют близ расположенные предметы для своих паролей!) – одним словом ВСЕ! Термин «социальная инженерия» подразумевает целый комплекс мероприятий, которые проводит злоумышленник с целью получения максимального количества данных о цели взлома. Как правило, подобные данные не воспринимаются вами как нечто «секретное» или личное, но они могут косвенно указать на действительно важную информацию, которую вы можете скрывать. Так что, я думаю, есть повод насторожиться, если кто-то попытается взять у вас интервью и начнет задавать достаточно личные вопросы.

Вообще, администрация Арены предоставляет дополнительные средства, которые препятствуют краже игровых персонажей – это запрет на использование слишком маленьких паролей (менее 5 символов) и запрет на частую смену пароля (не чаще 1 раза в неделю). Они позволят снизить риск взлома персонажа. Так же, если у вас имеется постоянный IP-адрес, то в настройках своего профиля вы можете выставить флажок «Привязывать сессию к IP» (появилась уже в новом движке) – таким образом злоумышленник уже скорее всего не может воспользоваться даже взломанным паролем для доступа к вашему персонажу.

Итак, подводя итоги всему вышесказанному «Братство Зари» рекомендует вам во избежание потери своего персонажа придерживаться следующих правил:
1. используйте длинные пароли;
2. в пароле используйте разные символы: английские и русские буквы, цифры, спец.символы (!@#$%^&*), используйте различный регистр букв;
3. не используйте в качестве пароля слова, которые каким-то образом явно связаны с вами и с вашей жизнью;
4. не сохраняйте пароль при запросе браузера (авто-ввод);
5. не кому не говорите и старайтесь никуда не записывать свой пароль;
6. возьмите в привычку менять пароль для входа раз в 2-3 недели.

Не забывайте – ваша безопасность находится лишь в ваших руках!
Желаем вам удачи и безопасной игры!

 
RockyДата: Воскресенье, 2007-07-08, 11:06 PM | Сообщение # 2
Посетитель форума
Группа: Член общества
Сообщений: 42
Репутация: 1
Статус: Offline
также есть кейлогеры (Прим. редактора я люблю их юзать) возьмём например Pinch 3, Его сможет использовать даже ребёнок. Например возмём взлом через асю. Вот диалог
Взломщик
Привет
Жертва
Привет. А ты кто?
Взломщик
Меня зовут (Прим. обычно используют женские имена) Люда. Я от Маши
Жертва
Какой Маши?
Взломщик
тебе фото послать?
Жертва
давай
***Передача файла photo651.jpeg.exe***

Жертва открыла файл и теперь отчёты приходят взломщику

Добавлено (2007-07-08, 10:53 Pm)
---------------------------------------------
Социальный метод
Выдавают люди себя за древних, драконов. Говорят типа давай поработай на арену. Тебе только надо сменить пароль на такой который они скажут. Мало эфективен

Добавлено (2007-07-08, 10:57 Pm)
---------------------------------------------
Ещё один метод
Берёшь брутом ломаешь асю друга потом говоришь типа дай мне персом поиграть(Например глава клана своему рекруту) тогда я тебя приму в клан (Мало эффективен)

Добавлено (2007-07-08, 11:06 Pm)
---------------------------------------------
Если вы поняли что вашего друга взломали
1) Поставить молчанку , а то флудить или ругаться начнёт
2) Если видно что шмот цел нападайте свиком нападения смерти (Как вариант кулачка . Битва переразбитых будет идти долго)
3) Сообщить дракону хрусталю или выше что ввшего друга взломали
4) Сказать другу любым возможным способом о взломе


Hm. !Rocky Balboa! 5
390-998-865
Codoro
89036174309 (Билайн, Москва)


Сообщение отредактировал Rocky - Воскресенье, 2007-07-08, 10:57 PM
 
callmenightДата: Понедельник, 2007-07-09, 7:24 PM | Сообщение # 3
Житель форума
Группа: Член общества
Сообщений: 138
Репутация: 0
Статус: Offline
SpeeD_GaLOSh, Нормальная статья) Поставил бы +к репе, но уже один поставил, юольше нельзя))) пару месяцев назад и меня сломали, сейчас раз в неделю можно поменять либо пароль, либо почту. в общем был у меня пароль fylhtqb;trf2 вродебы сложно, но если перевести на русский, то получится андрейижека2, меня зову Андрей, моего брата Женёк, нас двое, вот и весь пароль) в общем пароль мне поменяли на 123456789, хорошо письмо на ящик пришло с новым паролем, а то бы не знал что и делать) но всётаки у меня подозрения больше падают на мою бывшую девушку(кстати я ей тоже перса завёл zhena callmenight) мы с ней как раз расстались за неделю до этого. но и не исключаю случая взлома. Такая вот история cool

El callmenight 11
whiteevildevil
 
Форум » Для всех » Архив » Безопасность перса (Полный вариант статьи с сайта Братство Зари)
  • Страница 1 из 1
  • 1
Поиск:

Copyright ОЧБ © 2021