W związku z postem o włamaniu oraz w związku z tym, że jeden z moich dyscipli z zeszłego roku TEŻ stracił konto - proponuję, by w ramach utrudniania pracy złodziejom wrzucać tu opisy jak to było i w jakich okolicznościach. Może uświadomi to innym, ze NIE SĄ BEZPIECZNI.

Proponuję podawać w kolejnych postach takie informacje (tu dane wrzucam zmyślone - żeby pokazać o co biega):

Data włamania: 17.06.2007
NIE MAM GOLD-CARD (jak mogłem na to nie wydać?)
System operacyjny: windows XP media center edition (angielski, pobieram regularnie update'y)
rodzaj dostępu do internetu: osiedlowa sieć lokalna, komputery w blokach połączone ethernetem
firewall: automatycznie uruchamiany kerio (ale nie wiem w co kliknąć, jak pyta czy dopuszczać program do działania- zawsze zezwalam)
antywirus: recznie uruchamiany norton antywirus i czasem mks-on line
anti-spyware: AVG-antyspyware odpalane recznie z raz w tygodniu

Pobieram i instaluje oprogramowanie z internetu - jak Teamspeak, Peass i podobne. Antywirus nigdy nic nie wykrył.

WÅ‚amano siÄ™ :
- do EU
- do kont pocztowych
- do gg
- do skype
- do konta bankowego
- do wszystkiego

miałem:
Jedno hasło do wszystkiego, podobne do: kochamedytke

Używałem EU w potencjalnie niebezpiecznych miejscach jak komp uczelniany i NIE zmieniłem potem hasła

Odwiedzali mnie znajomi, a hasło mam napisane na kartce przy monitorze, zeby nie zapomnieć.

Jakie działania podjąłem:
- tel. do MA
- zgłoszenie na policję
Zwracam uwagę, że już sam nieautoryzowany dostęp do DOWOLNYCH systemów komputerowych to przestępstwo - a jak gość wpadnie, to będzie dłużej siedział. Nie musi wcale nastąpić strata finansowa, żeby doszło do skazania
- poinformowałem na forum i znajomych
- mysle, ze moje itemy sprzedaje avatar aaa bbb ccc (tutaj to nie wiem jak z policy forum, czy to będzie dopuszczane - w razie czego proszę o korektę)

Inne:

ble ble ble

Podsumowanie:
ODZYSKANE/NIE ODZYSKANE konto ?


Mam nadzieje, ze takie informacje pomogą innym załapać, na czym mogą się przejechać.

Imho nie przejdzie (my 2 pecs ;])

Pomysł niezły -. Swoją drogą na EF nadal czekają na kogoś, kto napiszę: "Miałem GC i zostałem zhackowany". Ciekawe, czy kiedyś się doczekają....
Btw, OT, nie wiem czemu banki nie wprowadzą czegoś takiego jak GC - przy załatwianiu spraw "kontowych" via net.

Ja rozumiem, że GC zwiększa poziom bezpieczeństwa, ale twój post sugeruje, że to cudowny środek nie do złamania, co prawdą nie jest! Oczywiście, że się doczekają, z tego co pamiętam, to chyba był jeden post podający taki przypadek.
Wiadomo że GC jest lepsze niż jego brak, ale to nie zwalnia użytkowników z dbania o bezpieczeństwo.

Kiedyś były tokeny w PKO BP - imho nawet lepsze od goldcarda. Jak Inteligo przejęło temat to niestety nie kontynuowali tokenów (i dlatego nie podpisałem z nimi umowy na kontynuacje konta z PKO)

Mechanizm używania był nieco kłopotliwy, mniej-wiecej taki:

Dostawałeś coś jak mały kalkulatorek z wyświetlaczem (wielkość 2 gold-card readerów mniej-wiecej, wiec nieduży, mi spoko ze 3 lata działał).

1) żeby go użyć musiałeś wklepać swój kod , powiedzmy BACA5763 -wiec jak by ktoś ukradł, to by miał problem z użyciem - to nie to samo co hasła jednorazowe na kartce
2) logowałeś się na stronie banku podając login i hasło (stałe)
3) bank po zalogowaniu pokazywał ci pytanie (za każdym razem inne), np: 453210
4) wklepywałeś to do swojego tokena, a on odpowiadał np: BADA321 - i tak odpowiadałeś bankowi
5) jak wszystko poszło ok, to już leciałeś z operacjami, przeglądaniem itp

Wadą takiego rozwiązania była długa sesja inicjalizacyjna i potem też długi (więc potencjalnie mniej bezpieczny) dostęp do konta bez konieczności potwierdzania kolejnych operacji.

Prędzej czy później i GC ktoś złamie. Kwestia czasu. Tak, że każde z nas, czy ma GC, czy nie, musi dbać samodzielnie o bezpieczeństwo konta i nie robić różnych głupot. Co zresztą i tak nie gwarantuje pełnego bezpieczeństwa. Ale takie już życie...

Gold Card jest w tej chwili najlepszym zabezpieczeniem jakie mozemy zalozyc na nasze konto w EU.

z tego co wiem karty Gold Card sÄ… chronione przez Des3 - http://pl.wikipedia.org/wiki/3DES
oficjalnie nie ma zadnej informacji o zlamaniu tego szyfrowania (nieoficjalnie ponoc ruskim sie udalo)
tu jest troszke o wczesniejszej wersji des http://pl.wikipedia.org/wiki/DES

aby je zlamac potrzeba jest bardzo duzo skladników a nie zapominajmy ze mamy tylko 3 proby .

1) login + pass gracza (to jeszcze zanim dojdziemy do weryfikacji gold card)
2) nastepnie potrzebna jest formula ktora system generuje kolejne kody ( troszke inna dla kazdego uzytkownika - Nr karty ma znaczenie)
3) 2 ostatnio użyte hasla
4) no i trzeba sie sprezac bo wkoncu wiekszosc graczy sie loguje kilka razy dziennie.

więc reasumując prosciej jest zterroryzowac kogos by wydobyc haslo + login i zabrac mu czytnik oraz kartę

lub ogolnie zamiast hackowac gold card raczej prosciej bylo by sie wlamac do MA

Hehe, za dużo naczytałeś się folderów reklamowych. Włamanie na konto z GC jest proste, jeden ze scenariuszy:
1. WÅ‚am na kompa(chocby po ostanich postach widac ze to niezbyt trudne).
2. Podmiana pliku ClientLoadera/entropia.exe na taki który, przechwytuje haslo i wysyla do zlodzieja, a sam wyswietla komunikat w stylu "servery niedostepne'.
3. Uzycie tego hasla
4. Ewentualnie drobne modyfikacje jesli haslo generowane przez GC, zalezy od dodatkowych czynnikow (nie uzywam GC, wiec nie wiem, ale technologie z grubsza znam).

Ja tam bym się głośno nie chwalił ;p

Tak jak napisałeś nie używasz to nie pisz pierdół GC generuje 6 cyfrowy cod za kazdym razem inny i na banie gościowi muj login i chasło jak i tak za cholewcie nie trafi 6 cyfr jakie może wygenerować GC co najwyrzej uprzykrzy mi rzycie jak żle wpisze 3 x cod i bede miał na 30 min. zablokowane konto w grze bo na stronie nie będzie a tam zmieniam hasło pisze do suportu prośbe o zmiane logingu (bo samemu nie idzie zmienić chyba że sie zmieniło) kompa czyszcze ze świńśtw w skrajnym przypadku format C, i moge grać dalej spokojnie.

Spokojnie - Misko ma sporo racji. GC nie zwalnia od myslenia.
Podstepem mozna podebrac numer wygenerowany z GC - np tak jak to opisal.

Jednak GC to najlepsze zabezpieczenie (poza wlasnym rozsadkiem) jakie daje
nam MA - i warto z niego skorzystac. Raczej nie ma szans aby je "zlamac"
brute force lub rozgryzc algorytm. Ale podstepem ludzie nie do takich miejsc
sie wlamywali...

1) Pisałem ogolnie o technologi a nie o żadnych reklamach ;p
2) tak jest to logiczne rozwiązanie jednak tylko w sytuacji gdy chcemy przechwycic zwyczajny login + hasło. Aby przechwycic wygenerowany kod trzeba już grzebac w plikach gry. (ogolnie jest to mozliwe choc nie należy do prostych rzeczy. trzeba by zmienic naprawde duzo aby gracz sie nie zorientowal.)

Przy zwyklym hasle i loginie jest to natomiast banalnie proste. Dawno tego nie sprawdzałem ale kiedyś oba te dane były przed wysyłem, bez szyfrowania zapisywane w zawsze tych samych komórkach pamięci. Poza tym w folderze gry tworzył się plik konfiguracyjny z loginem.

Prawda jest taka że jeśli komus naprawdę zalezy i jest dobry w tym co robi to i tak się włamie na konto. Ale jak napisał słusznie Ati dużo prościej jest po prostu obejśc GC wykorzystując nieuwagę (lub brak rozsądku ) gracza. - np zapisanie loginu i hasla w pliku txt i przechowywanie na komputerze albo jeszcze lepiej udostępnienie takiego pliku w p2p.

Żeby poznać hasło do entropii wcale nie trzeba
podmieniać clientloadera. Wystarczy przeskanować
uruchomione programy i ich parametry. Clientloader
przekazuje hasło otwartym tekstem jako parametry
wywołania głównego programu (sorry za slang).
SÅ‚owem zabezpieczenia jak nie wiem co

Tak więc antywirus i dobry firewall - to podstawa.
+ skanowanie antyspywarem co jakiÅ› czas.
No i kłóda na kompa jak wychodzisz z pokoju

Druga sprawa - dlaczego Mindark nie zabezpieczył
programu lepiej ? - chyba wiadomo!

A ja nie wiem?

a skąd wiesz że dane przekazywane z loadera do programu głownego nei za zaszyfrowane zawsze istnieje taka możliwośc ;P Choć w nia nie chce mi sie zbyt wierzyć ;]

tak ale to dziala tylko dla osoby ktora nie uzywa CG ;]

no chyba ze w trakcie "przekazywania" danych można je zablokować i przesłać dane wraz z ostatnim numerem GC do dopowiedniej osoby ktora je wykorzysta

nie wiem jak jest teraz, ale pamietam ze kiedys sie logowalem bezposrednio do gry z lini komend, odpalalo sie clientloadera z odpwiednimi parametrami + login i haslo, dawno nie probowalem, ale pewnie nadal tak mozna.

Zgadza się, nadal można odpalać grę bezpośrednio - nie przez Client Loadera. Login i hasło między obydwoma programami nie są szyfrowane.