vk

Злом пароля «Вконтакті». Cookies.

Статья (украиноязычная) была написана специально для интернет-форума лицея «Интеллект» для раздела «Информатика», после чего, я возглавил факультатив по проведению дополнительных уроков с веб-технологий.

Небольшой урок по взлому показывает на сколько важно иметь надежный пароль и беспокоиться и антивирусной защите компьютера.

Один з найпопулярніших методів злому вашого акаунту, який може здійснити кожний хакер-початківець є визначення Вашого паролю через Cookies.

Я не тільки наглядно продемонструю даний метод, але й Ви спробуєте самі себе «поламати», або спробувати дізнатися пароль товариша в нього вдома, який вийде з кімнати, щоб приготувати вам чай. Звісно після чого ви та Ваш товариш, зробите певні висновки.

Що таке cookie?

Використовуючи cookie, можна емулювати сесію по HTTP протоколу.
Розглянемо приклад на «Вконтакті».

Є форма, де користувачу пропонується вказати свою електронну скриньку та пароль. Із неї викликається скрипт, що прописує значення cookies в браузер користувача. При кожному наступному заході на сайт, вже не потрібно вводити e-mail та пароль, бо при першій авторизації браузер запам’ятав потрібну інформацію і при наступних запитах передає серверу інформацію автоматично з файлу cookies.

Отримання інформації з Cookies файлу

Розглянемо уривок з файлу cookies в Internet Explorer 7, що відповідає сайту Вконтекте.

Шлях до файлу C:/Documents and Settings/Deykun/Cookies/deykun@vkontakte[2].txt
Відкриваємо за допомогою WordPad.

Примітка: Папка Cookies – прихована. Налаштуйте провідник, щоб бачити приховані файли.

Шукаємо рядок remixpass, нижче нього міститься пароль в зашифрованому вигляді:

1ff61e91349d3f6623a81ccd3d881fa1

4261305136
29995209
*
remixpass
1ff61e91349d3f6623a81ccd3d881fa1
vkontakte.ru/
1536
1121812352

Звертаємо увагу на рядок remixemail, нижче якого поштова скринька жертви, що вказує на логін artem%40meta.ua. Не складно впізнати  artem@meta.ua

4261305136
29995209
*
remixemail
artem%40meta.ua
vkontakte.ru/
1536
3987374336

Пароль у вигляді MD5

Чудово. В нас є зашифрований пароль та поштова скринька.

Зашифровано, як і на більшостях форумах та сайтах 128-бітним алгоритмом хешування (md5).

Для розшифровки паролю може слугувати дуже багато програм, одна з найпопулярніших — Brut, що методом ітерацій може визначити ваш пароль. Звісно час, який знадобиться — пропорційний складності паролю.

Але для білостей випадків, а особливо у випадку користувачів Вконтакті, нам навіть не потрібно користуватися подібним софтом та чекати. Більшість користувачів невідповідально ставляться до написання паролю, про що далі.

md5 database

Існує досить багато баз даних md5 паролів, що знайде вашому хешу відповідність із бази даних. Цей метод, подіє, коли пароль- слово зі словника, або дуже проста та відома комбінація символів.

Тому давайте спробуємо вже зараз розшифрувати мій пароль.

Запитуємо в Google: md5 database

Я знайшов сайт: gdataonline.com, заходжу в розділ Hash Cracker, вставляю свій хеш з Cookies -> 1ff61e91349d3f6623a81ccd3d881fa1 -> натискаю Submit -> Результат: — harrypotter.

Наслідки

Тепер відомо:

логін: artem@meta.ua
пароль: harrypotter

Логін відповідає головній поштовій скринці, та ще страшніше, коли і пароль «Вкотакте» відповідає паролю поштової скриньки. А коли хтось матиме доступ до вашого e-mail, то уявляєте які в нього можливості?

аме так – всі сайти, всі icq, та паролі на електронні гаманці в злочинця в кишені.

Застереження

  1. Очевидно, що потрібно ставити галочку на пункті «Чужой компьютер» при авторизації. В цьому випадку, замість Cookies буде використовуватися Sessions і після перезавантаження браузеру авторизовуватися доведеться ще раз.
  2. Не допускати того, щоб у вас вкрали файли Cookies, ніколи не «розшарюйте» диск C: в локальній мережі або через DC++ та Torrents.
  3. Не шкодуйте ресурсів комп’ютера на фаєрволи (Брандмауер, Comodo і так далі), тому що саме це захищає від потрапляння ваших файлів назовні.
  4. Не корисуйтеся в Операційній системі Windows обліковим записом, що має права адміністратора. Обмежений обліковий запис не може бачити прихованих файлів в Cookies, а відповідно і передати їх комусь.

Висновки:

Вивчили один з найпростіших методів викрадення конфіденційних даних – пошти та паролю. Навчилися розшифровувати прості паролі, після чого, сподіваюся самі таких помилок повторювати не будете 😉 Ставлення до файлів Cookies з відповідальністю.

Злом пароля «Вконтакті». Cookies.: 1 комментарий

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *