Odpowiedz
Autor Wiadomość
Nie podano
PostWysÅ‚any: 17 Cze 2007, 09:01 
Initiated
Awatar użytkownika
Dołączenie:
Listopad 2005
Posty: 919
HP: 110
W związku z postem o włamaniu oraz w związku z tym, że jeden z moich dyscipli z zeszłego roku TEŻ stracił konto - proponuję, by w ramach utrudniania pracy złodziejom wrzucać tu opisy jak to było i w jakich okolicznościach. Może uświadomi to innym, ze NIE SĄ BEZPIECZNI.

Proponuję podawać w kolejnych postach takie informacje (tu dane wrzucam zmyślone - żeby pokazać o co biega):

Data włamania: 17.06.2007
NIE MAM GOLD-CARD (jak mogłem na to nie wydać?)
System operacyjny: windows XP media center edition (angielski, pobieram regularnie update'y)
rodzaj dostępu do internetu: osiedlowa sieć lokalna, komputery w blokach połączone ethernetem
firewall: automatycznie uruchamiany kerio (ale nie wiem w co kliknąć, jak pyta czy dopuszczać program do działania- zawsze zezwalam)
antywirus: recznie uruchamiany norton antywirus i czasem mks-on line
anti-spyware: AVG-antyspyware odpalane recznie z raz w tygodniu

Pobieram i instaluje oprogramowanie z internetu - jak Teamspeak, Peass i podobne. Antywirus nigdy nic nie wykrył.

WÅ‚amano siÄ™ :
- do EU
- do kont pocztowych
- do gg
- do skype
- do konta bankowego
- do wszystkiego

miałem:
Jedno hasło do wszystkiego, podobne do: kochamedytke

Używałem EU w potencjalnie niebezpiecznych miejscach jak komp uczelniany i NIE zmieniłem potem hasła

Odwiedzali mnie znajomi, a hasło mam napisane na kartce przy monitorze, zeby nie zapomnieć.

Jakie działania podjąłem:
- tel. do MA
- zgłoszenie na policję
Zwracam uwagę, że już sam nieautoryzowany dostęp do DOWOLNYCH systemów komputerowych to przestępstwo - a jak gość wpadnie, to będzie dłużej siedział. Nie musi wcale nastąpić strata finansowa, żeby doszło do skazania
- poinformowałem na forum i znajomych
- mysle, ze moje itemy sprzedaje avatar aaa bbb ccc (tutaj to nie wiem jak z policy forum, czy to będzie dopuszczane - w razie czego proszę o korektę)

Inne:

ble ble ble

Podsumowanie:
ODZYSKANE/NIE ODZYSKANE konto ?


Mam nadzieje, ze takie informacje pomogą innym załapać, na czym mogą się przejechać.


Profil Offline
Nie podano
PostWysÅ‚any: 17 Cze 2007, 11:08 
Amateur
Awatar użytkownika
Dołączenie:
Wrzesień 2006
Posty: 582
HP: 115
Society: K$
Nick w grze: Crynin Skanerin Utis
abyss napisał(a):
- mysle, ze moje itemy sprzedaje avatar aaa bbb ccc (tutaj to nie wiem jak z policy forum, czy to będzie dopuszczane - w razie czego proszę o korektę)


Imho nie przejdzie (my 2 pecs ;])

Pomysł niezły -. Swoją drogą na EF nadal czekają na kogoś, kto napiszę: "Miałem GC i zostałem zhackowany". Ciekawe, czy kiedyś się doczekają....
Btw, OT, nie wiem czemu banki nie wprowadzą czegoś takiego jak GC - przy załatwianiu spraw "kontowych" via net.


Profil Offline
Nie podano
PostWysÅ‚any: 17 Cze 2007, 12:11 
Amateur
Dołączenie:
Listopad 2005
Posty: 577
HP: 0
Nick w grze: Eol
Skanerin napisał(a):
Pomysł niezły -. Swoją drogą na EF nadal czekają na kogoś, kto napiszę: "Miałem GC i zostałem zhackowany". Ciekawe, czy kiedyś się doczekają....
Btw, OT, nie wiem czemu banki nie wprowadzą czegoś takiego jak GC - przy załatwianiu spraw "kontowych" via net.


Ja rozumiem, że GC zwiększa poziom bezpieczeństwa, ale twój post sugeruje, że to cudowny środek nie do złamania, co prawdą nie jest! Oczywiście, że się doczekają, z tego co pamiętam, to chyba był jeden post podający taki przypadek.
Wiadomo że GC jest lepsze niż jego brak, ale to nie zwalnia użytkowników z dbania o bezpieczeństwo.


Profil Offline
Nie podano
PostWysÅ‚any: 17 Cze 2007, 12:24 
Initiated
Awatar użytkownika
Dołączenie:
Listopad 2005
Posty: 919
HP: 110
Kiedyś były tokeny w PKO BP - imho nawet lepsze od goldcarda. Jak Inteligo przejęło temat to niestety nie kontynuowali tokenów (i dlatego nie podpisałem z nimi umowy na kontynuacje konta z PKO)

Mechanizm używania był nieco kłopotliwy, mniej-wiecej taki:

Dostawałeś coś jak mały kalkulatorek z wyświetlaczem (wielkość 2 gold-card readerów mniej-wiecej, wiec nieduży, mi spoko ze 3 lata działał).

1) żeby go użyć musiałeś wklepać swój kod , powiedzmy BACA5763 -wiec jak by ktoś ukradł, to by miał problem z użyciem - to nie to samo co hasła jednorazowe na kartce
2) logowałeś się na stronie banku podając login i hasło (stałe)
3) bank po zalogowaniu pokazywał ci pytanie (za każdym razem inne), np: 453210
4) wklepywałeś to do swojego tokena, a on odpowiadał np: BADA321 - i tak odpowiadałeś bankowi
5) jak wszystko poszło ok, to już leciałeś z operacjami, przeglądaniem itp

Wadą takiego rozwiązania była długa sesja inicjalizacyjna i potem też długi (więc potencjalnie mniej bezpieczny) dostęp do konta bez konieczności potwierdzania kolejnych operacji.


Profil Offline
Nie podano
PostWysÅ‚any: 17 Cze 2007, 16:38 
Green
Dołączenie:
Marzec 2006
Posty: 205
HP: 0
Society: Solaris
Nick w grze: Hawkwood
Prędzej czy później i GC ktoś złamie. Kwestia czasu. Tak, że każde z nas, czy ma GC, czy nie, musi dbać samodzielnie o bezpieczeństwo konta i nie robić różnych głupot. Co zresztą i tak nie gwarantuje pełnego bezpieczeństwa. Ale takie już życie...


Profil Offline
Nie podano
PostWysÅ‚any: 17 Cze 2007, 20:38 
Beginner
Awatar użytkownika
Dołączenie:
Kwiecień 2005
Posty: 317
HP: 158
Society: Poltropia
Gold Card jest w tej chwili najlepszym zabezpieczeniem jakie mozemy zalozyc na nasze konto w EU.

z tego co wiem karty Gold Card sÄ… chronione przez Des3 - http://pl.wikipedia.org/wiki/3DES
oficjalnie nie ma zadnej informacji o zlamaniu tego szyfrowania (nieoficjalnie ponoc ruskim sie udalo)
tu jest troszke o wczesniejszej wersji des http://pl.wikipedia.org/wiki/DES

aby je zlamac potrzeba jest bardzo duzo skladników a nie zapominajmy ze mamy tylko 3 proby .

1) login + pass gracza (to jeszcze zanim dojdziemy do weryfikacji gold card)
2) nastepnie potrzebna jest formula ktora system generuje kolejne kody ( troszke inna dla kazdego uzytkownika - Nr karty ma znaczenie)
3) 2 ostatnio użyte hasla
4) no i trzeba sie sprezac bo wkoncu wiekszosc graczy sie loguje kilka razy dziennie.

więc reasumując prosciej jest zterroryzowac kogos by wydobyc haslo + login i zabrac mu czytnik oraz kartę :D

lub ogolnie zamiast hackowac gold card raczej prosciej bylo by sie wlamac do MA :P


Profil Offline
Nie podano
PostWysÅ‚any: 18 Cze 2007, 00:39 
Amateur
Dołączenie:
Listopad 2005
Posty: 577
HP: 0
Nick w grze: Eol
Dragon napisał(a):
Gold Card jest w tej chwili najlepszym zabezpieczeniem jakie mozemy zalozyc na nasze konto w EU.

z tego co wiem karty Gold Card sÄ… chronione przez Des3 - http://pl.wikipedia.org/wiki/3DES
oficjalnie nie ma zadnej informacji o zlamaniu tego szyfrowania (nieoficjalnie ponoc ruskim sie udalo)
tu jest troszke o wczesniejszej wersji des http://pl.wikipedia.org/wiki/DES

aby je zlamac potrzeba jest bardzo duzo skladników a nie zapominajmy ze mamy tylko 3 proby .

1) login + pass gracza (to jeszcze zanim dojdziemy do weryfikacji gold card)
2) nastepnie potrzebna jest formula ktora system generuje kolejne kody ( troszke inna dla kazdego uzytkownika - Nr karty ma znaczenie)
3) 2 ostatnio użyte hasla
4) no i trzeba sie sprezac bo wkoncu wiekszosc graczy sie loguje kilka razy dziennie.

więc reasumując prosciej jest zterroryzowac kogos by wydobyc haslo + login i zabrac mu czytnik oraz kartę :D

lub ogolnie zamiast hackowac gold card raczej prosciej bylo by sie wlamac do MA :P


Hehe, za dużo naczytałeś się folderów reklamowych. Włamanie na konto z GC jest proste, jeden ze scenariuszy:
1. WÅ‚am na kompa(chocby po ostanich postach widac ze to niezbyt trudne).
2. Podmiana pliku ClientLoadera/entropia.exe na taki który, przechwytuje haslo i wysyla do zlodzieja, a sam wyswietla komunikat w stylu "servery niedostepne'.
3. Uzycie tego hasla
4. Ewentualnie drobne modyfikacje jesli haslo generowane przez GC, zalezy od dodatkowych czynnikow (nie uzywam GC, wiec nie wiem, ale technologie z grubsza znam).


Profil Offline
Nie podano
PostWysÅ‚any: 18 Cze 2007, 01:15 
Amateur
Awatar użytkownika
Dołączenie:
Wrzesień 2006
Posty: 582
HP: 115
Society: K$
Nick w grze: Crynin Skanerin Utis
misko napisał(a):
(nie uzywam GC, wiec nie wiem, ale technologie z grubsza znam).


Ja tam bym się głośno nie chwalił ;p


Profil Offline
Nie podano
PostWysÅ‚any: 18 Cze 2007, 13:16 
Apprentice
Awatar użytkownika
Dołączenie:
Marzec 2006
Posty: 706
HP: 162
Society: SoD
Nick w grze: sexi69 sexowna69 sexy69
misko napisał(a):
Dragon napisał(a):
Gold Card jest w tej chwili najlepszym zabezpieczeniem jakie mozemy zalozyc na nasze konto w EU.

z tego co wiem karty Gold Card sÄ… chronione przez Des3 - http://pl.wikipedia.org/wiki/3DES
oficjalnie nie ma zadnej informacji o zlamaniu tego szyfrowania (nieoficjalnie ponoc ruskim sie udalo)
tu jest troszke o wczesniejszej wersji des http://pl.wikipedia.org/wiki/DES

aby je zlamac potrzeba jest bardzo duzo skladników a nie zapominajmy ze mamy tylko 3 proby .

1) login + pass gracza (to jeszcze zanim dojdziemy do weryfikacji gold card)
2) nastepnie potrzebna jest formula ktora system generuje kolejne kody ( troszke inna dla kazdego uzytkownika - Nr karty ma znaczenie)
3) 2 ostatnio użyte hasla
4) no i trzeba sie sprezac bo wkoncu wiekszosc graczy sie loguje kilka razy dziennie.

więc reasumując prosciej jest zterroryzowac kogos by wydobyc haslo + login i zabrac mu czytnik oraz kartę :D

lub ogolnie zamiast hackowac gold card raczej prosciej bylo by sie wlamac do MA :P


Hehe, za dużo naczytałeś się folderów reklamowych. Włamanie na konto z GC jest proste, jeden ze scenariuszy:
1. WÅ‚am na kompa(chocby po ostanich postach widac ze to niezbyt trudne).
2. Podmiana pliku ClientLoadera/entropia.exe na taki który, przechwytuje haslo i wysyla do zlodzieja, a sam wyswietla komunikat w stylu "servery niedostepne'.
3. Uzycie tego hasla
4. Ewentualnie drobne modyfikacje jesli haslo generowane przez GC, zalezy od dodatkowych czynnikow (nie uzywam GC, wiec nie wiem, ale technologie z grubsza znam).


Tak jak napisałeś nie używasz to nie pisz pierdół GC generuje 6 cyfrowy cod za kazdym razem inny i na banie gościowi muj login i chasło jak i tak za cholewcie nie trafi 6 cyfr jakie może wygenerować GC co najwyrzej uprzykrzy mi rzycie jak żle wpisze 3 x cod i bede miał na 30 min. zablokowane konto w grze bo na stronie nie będzie a tam zmieniam hasło pisze do suportu prośbe o zmiane logingu (bo samemu nie idzie zmienić chyba że sie zmieniło) kompa czyszcze ze świńśtw w skrajnym przypadku format C, i moge grać dalej spokojnie.


Profil Offline
Nie podano
PostWysÅ‚any: 18 Cze 2007, 13:29 
Administrator
Awatar użytkownika
Dołączenie:
Marzec 2005
Posty: 3452
HP: 133
Society: Poltropia
Spokojnie - Misko ma sporo racji. GC nie zwalnia od myslenia.
Podstepem mozna podebrac numer wygenerowany z GC - np tak jak to opisal.

Jednak GC to najlepsze zabezpieczenie (poza wlasnym rozsadkiem) jakie daje
nam MA - i warto z niego skorzystac. Raczej nie ma szans aby je "zlamac"
brute force lub rozgryzc algorytm. Ale podstepem ludzie nie do takich miejsc
sie wlamywali...


Profil Offline
Nie podano
PostWysÅ‚any: 19 Cze 2007, 07:26 
Beginner
Awatar użytkownika
Dołączenie:
Kwiecień 2005
Posty: 317
HP: 158
Society: Poltropia
misko napisał(a):

Hehe, za dużo naczytałeś się folderów reklamowych. Włamanie na konto z GC jest proste, jeden ze scenariuszy:
1. WÅ‚am na kompa(chocby po ostanich postach widac ze to niezbyt trudne).
2. Podmiana pliku ClientLoadera/entropia.exe na taki który, przechwytuje haslo i wysyla do zlodzieja, a sam wyswietla komunikat w stylu "servery niedostepne'.
3. Uzycie tego hasla
4. Ewentualnie drobne modyfikacje jesli haslo generowane przez GC, zalezy od dodatkowych czynnikow (nie uzywam GC, wiec nie wiem, ale technologie z grubsza znam).


1) Pisałem ogolnie o technologi a nie o żadnych reklamach ;p
2) tak jest to logiczne rozwiązanie jednak tylko w sytuacji gdy chcemy przechwycic zwyczajny login + hasło. Aby przechwycic wygenerowany kod trzeba już grzebac w plikach gry. (ogolnie jest to mozliwe choc nie należy do prostych rzeczy. trzeba by zmienic naprawde duzo aby gracz sie nie zorientowal.)

Przy zwyklym hasle i loginie jest to natomiast banalnie proste. Dawno tego nie sprawdzałem ale kiedyś oba te dane były przed wysyłem, bez szyfrowania zapisywane w zawsze tych samych komórkach pamięci. Poza tym w folderze gry tworzył się plik konfiguracyjny z loginem.

Prawda jest taka że jeśli komus naprawdę zalezy i jest dobry w tym co robi to i tak się włamie na konto. Ale jak napisał słusznie Ati dużo prościej jest po prostu obejśc GC wykorzystując nieuwagę (lub brak rozsądku ) gracza. - np zapisanie loginu i hasla w pliku txt i przechowywanie na komputerze :P albo jeszcze lepiej udostępnienie takiego pliku w p2p. :twisted:


Profil Offline
Nie podano
PostWysÅ‚any: 19 Cze 2007, 18:42 
Mediocre
Awatar użytkownika
Dołączenie:
Grudzień 2005
Posty: 97
HP: 106
Society: Blood & Sand
Nick w grze: Johny Harnas Beegood
Żeby poznać hasło do entropii wcale nie trzeba
podmieniać clientloadera. Wystarczy przeskanować
uruchomione programy i ich parametry. Clientloader
przekazuje hasło otwartym tekstem jako parametry
wywołania głównego programu (sorry za slang).
SÅ‚owem zabezpieczenia jak nie wiem co :(

Tak więc antywirus i dobry firewall - to podstawa.
+ skanowanie antyspywarem co jakiÅ› czas.
No i kłóda na kompa jak wychodzisz z pokoju :wink:

Druga sprawa - dlaczego Mindark nie zabezpieczył
programu lepiej ? - chyba wiadomo! :?


Profil Offline
Nie podano
PostWysÅ‚any: 19 Cze 2007, 19:19 
Capable
Awatar użytkownika
Dołączenie:
Wrzesień 2005
Posty: 2201
HP: 110
Society: Ziemniak Niemyty Luz
Nick w grze: Elanor
harnas napisał(a):
dlaczego Mindark nie zabezpieczył
programu lepiej ? - chyba wiadomo! :?

A ja nie wiem?


Profil Offline
Nie podano
PostWysÅ‚any: 19 Cze 2007, 19:36 
Mediocre
Awatar użytkownika
Dołączenie:
Wrzesień 2006
Posty: 99
HP: 122
Society: Poltropia
harnas napisał(a):
Żeby poznać hasło do entropii wcale nie trzeba
podmieniać clientloadera. Wystarczy przeskanować
uruchomione programy i ich parametry. Clientloader
przekazuje hasło otwartym tekstem jako parametry
wywołania głównego programu (sorry za slang).
SÅ‚owem zabezpieczenia jak nie wiem co :(


:?: a skąd wiesz że dane przekazywane z loadera do programu głownego nei za zaszyfrowane zawsze istnieje taka możliwośc ;P Choć w nia nie chce mi sie zbyt wierzyć ;]

:arrow: tak ale to dziala tylko dla osoby ktora nie uzywa CG ;]

:idea: no chyba ze w trakcie "przekazywania" danych można je zablokować i przesłać dane wraz z ostatnim numerem GC do dopowiedniej osoby ktora je wykorzysta :?


Profil E-mail Offline
Nie podano
PostWysÅ‚any: 19 Cze 2007, 20:24 
Green
Dołączenie:
Kwiecień 2005
Posty: 222
HP: 0
Society: CzF
GetoX napisał(a):

:?: a skąd wiesz że dane przekazywane z loadera do programu głownego nei za zaszyfrowane zawsze istnieje taka możliwośc ;P Choć w nia nie chce mi sie zbyt wierzyć ;]



nie wiem jak jest teraz, ale pamietam ze kiedys sie logowalem bezposrednio do gry z lini komend, odpalalo sie clientloadera z odpwiednimi parametrami + login i haslo, dawno nie probowalem, ale pewnie nadal tak mozna.


Profil Offline
Nie podano
PostWysÅ‚any: 19 Cze 2007, 20:30 
Administrator
Awatar użytkownika
Dołączenie:
Kwiecień 2005
Posty: 2543
HP: 130
Society: Poltropia
Nick w grze: Jarek CvX Cvoxs
Zgadza się, nadal można odpalać grę bezpośrednio - nie przez Client Loadera. Login i hasło między obydwoma programami nie są szyfrowane.


Profil Offline

WyÅ›wietl posty z poprzednich:  Sortuj wedÅ‚ug  

Odpowiedz



Kto jest na forum

Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 63 gości

Panel
Góra
Skocz do:  
cron
Powered by phpBB © phpBB Group • tÅ‚umaczenieDesign by CvX! and Ateush based on style by Ercan Koc

Planet Calypso