Cureit нифига не лечит, надо грузиться с Live CD. И то пролечил, животных поубивал, а на антивирусные сайты по-прежнему не зайти, Spyware Doctor не обновляется
В WebMoney Keeper'е можно настроить авторизацию через E-num Storage, используя SMS. То есть, при попытке авторизации, на телефон приходит SMS с кодом, который надо ввести.
Че мешает трояну "придержать" легальный запрос на перевод денег от пользователя и вперед послать свой, который и будет подтвержден пользователем с помощью СМС ? )) Реквизиты получатель в смс врятли кто сверять будет ))
2. в этот момент троян придерживает твой запрос и инициирует свой на такуюже сумму на кошелек 222
3. Тебе придит смс с кодом подтверждения транзакции какой ты и вводишь ) Если не сличишь паремтры кошелька-получателя в смс (если они там есть) то влетишь ))
Единственная хоть сколько гарантия — в коде ответа смс использовать некий минихэш от параметров транзакции (сума + кошель) )) да всеравно теоритически — набьют статистику да сломают ))) Такие чмордяи )
А вообще нормалная защита строится по принципу криптобокса — если это он и есть (а это не он) то не взломаешь(ну 99.9%) — а если не он то не вопрос )) Другой вопрос кому это нужно ли ))
"Криптографической хеш-функцией называется всякая хеш-функция, являющаяся криптостойкой, то есть, удовлетворяющая ряду требований специфичных для криптографических приложений.
Для того, чтобы хеш-функция H считалась криптографически стойкой, она должна удовлетворять трем основным требованиям, на которых основано большинство применений хеш-функций в криптографии:
Необратимость или стойкость к восстановлению прообраза: для заданного значения хеш-функции m должно быть вычислительно невозможно найти блок данных X, для которого H(X) = m."
Генерируется. Код. На приборе. По. Определенному. Алгоритму.
Да ты мне еще весь учебник скачай )) А лучше сам почитай )) Хэш считается от чего либо — как правило от той самой реальной информации которую он и призван валидизировать )) Так вот — если эта штука считает хэш от чегото внутри себя самой — не получая неких входящих реальных данных — то сунь ее колечком вперед сум знаешь куда )) Иначе могут быть варианты — но все одно шняга ))) Шел бы ты хоть чуть чуть ченьть почитал )) А не писал умные фразы ))
При получении софтины или реального брелка человек заодно получает некий 16-значный серийный номер. С этим номером брелок нужно один раз синхронизировать через интернет с серверами близзарда. Разумеется, этот серийный номер играет роль ключа, на основании которого генерируются коды (при желании, можно пересинхронизировать брелок/программу, ей будет автоматически выдан новый серийник).
Никакой логин/пароль в этом деле не участвует, серийник, разумеется, светить нигде не надо, да он после первой пересинхронизации никому уже и не нужен.
Несколько вопросов.
1. КАКОЙ алгоритм при этом используется?
2. Насколько сложно его "раскрутить назад" за 30 секунд, в течении которых живет код?
3. Уважаемый сэр, конечно же, с легкостью ломает рар-архивы, запакованные с десятизначным паролем?
4. Привести свой логин/пароль здесь? Только как бы не получилась нехорошая ситуация, при которой "эту штуку" придется засовывать НЕ мне.
Ну елы родил )) Неужели нельзя было сразу написать механизм генерации ? )) Или ты думаешь это абсолютно не важно ? ))) Или фраза "Штуковина генерит код. Помимо логина/пароля вводим еще и его. Без кода не войдешь." досканально описывает работу криптосистемы ? ))
Тогда по порядку ))
1. Ты получаешь не "серийный номер" а 128 (ну чуть меньше если только читаемые символы") ключь )
2. Ключ связывается внутри сервера с этим логином — помнишь синхронизацию через инет ?))
2. Ломается перебором ))
3. Криптоалгоритм с легкостью выцепится из програмы для мобильника (Ява ауу))
4. но думаю чето сурьезное неломаемое )
5. в смысле ломаемое токо перебором — в принципе 128 бит сломать можно )) Но долго ))
Итого — вероятно взлом превысит затраты на аккаунт )) Близард снова молодцы )))
Да чеж ты настырный такой ? )) Причем тут логин пароль ? )) Речь о подменен транзакций ) Тогда уж давай так — скажи мне — если у тебя на компе будет специально заточеный троян — как ты думаешь — поможет тебе эта шняга ? )))
Ну да, вернемся к тому, с чего начали, а то далеко занесло, и вы, видимо, уже понимаете, что спор относительно близзардовского брелка ни к чему хорошему не приведет. :)
В случае с интернет-банкингом, подобный брелок поможет, в первую очередь, в случае, когда кто-то пытается залогиниться в мой ВебМани Кипер без моего ведома. Он не получит ответного кода, и, следовательно, залогиниться не сможет.
Насчет трояна — как там у нас трояны, уже SSL научились хавать, или еще нет?
Убей меня парень )) ССЛь гарантирует невозможность снять данные с линии связи а не с конечных компов в ней участвующих )) Давай так )) Ты ввел логин, пароль, и этот гребаный код )) троян схватил это все с нажатий на клаву и отослал их сракеру на аську, не дав тебе конекта с сайтом близарда, после чего перегрузил нафиг твой комп )) Так вот — в течении 30 секунд сможет сракер войти с этими полученными данными ?? Да или нет ??
Ввести его самому? Отослать его самому? А где он его возьмет? Если чо — код я ручками ввожу, троян его не знает. А если он его и перехватит за 5 секунд до смены кода (когда на аутентикаторе сменяется код, старый уже не работает — проверено) — то что хакер сделает за 5 секунд?
А краш программы должен навести человека на мысль, что что-то тут не чисто и заставить провериться на вирусы.
1. Я получаю именно "серийный номер" в терминологии Близзарда. Да, он является ключом. Что это меняет.
2. Ключ ни с кем никогда через интернет не связывается, кроме первой синхронизации. Все пароли генерятся оффлайн, без подключения к интернет.
2. "Ломается перебором" — вот этого не понял — это к чему относится?
Вы забываете одну простую вещь. Чтобы "выцепить из программы для мобильника" криптоалгоритм, нужно, в первую очередь, выцепить у меня мобильник. Как с этим дела обстоят?
2. Ну, связан. Что это меняет? У злобного хакера откуда этот серийник (он, кстати, изображен на моей картинке с телефоном — это не код, который отдает программа, а именно серийник, на скрине показан момент синхронизации).
3. Перебором ключа вообще ничего не ломается за реально разумное время. Ищутся слабые места в АЛГОРИТМЕ шифрования. Странно, почему за несколько лет этого еще не сделали?
4. А если бы там еще исходники были — было бы вообще замечательно.
"Перебором ключа ломаются все грасотно реализованные современные алгоритмы — вопрос времени только))"
Что пишут на википедии (да-да, на википедии — хрен с ней) про не самый стойкий в мире алгоритм ГОСТ 28147-89:
"В 2004 г. группа специалистов из Кореи предложила атаку, с помощью которой, используя дифференциальный криптоанализ на связанных ключах, можно получить с вероятностью 91,7% 12 бит секретного ключа. Для атаки требуется 2^35 выбранных открытых текстов и 2^36 операций шифрования. Как видно, данная атака практически бесполезна для реального вскрытия алгоритма."
Ладно, хрен с ним, 2004 год.
Но это: "Для атаки требуется 2^35 выбранных открытых текстов" — где их брать прикажете? Нагенерить аутентикатором 2^35 номеров и отослать их хакеру? Не хочу.
А Близзард вряд ли использовал в своей фиговине ГОСТ.
Причем, у хакера еще и нет "серийника" — того ключа, с которым синхронизировался брелок — он может получить только РЕЗУЛЬТАТЫ работы алгоритма, а не ИСХОДНЫЙ КЛЮЧ.
Речь идет про сам ВОВ или про учетную запись отдельно взятого игрока Ивана Пердыщенка?
Если про ВОВ — ну, взломайте сервера близзард. Я подожду пару часов, так уж быть. Если речь про Ивана Пердыщенка — то его вполне можно взломать трояном или социальной инженерией. Вот, если у него есть такая штуковина, как я нарисовал выше — задача усложняется...
У всех игр близзарда, начиная с ВоВ введена одна общая учетная запись, с помощью которой можно логиниться и в ВоВ, и в Старкрафт, и в будущий Диабло 3 и т.д. Одна учетная запись, один логин/пароль, один аутентикатор на все игры.
Да, могу еще нагенерить штук 50 кодов от аутентикатора и тоже их выложить. Больше генерить просто влом — они меняются автоматически, через 30 секунд — много времени займет.
Для меня тоже все эти вирусы в принципе не существуют. Т.е. они существуют где-то в другом измерении, а в моем их просто нет. Потому что нет и антивирусов, и фаерволов, и адваров и проч. мусора. Ни на одном из 4-х моих компьютеров. Уже много лет, как нет. И лажу везде, и качаю много, и компы не тормозят, и Винда не слетает. Может мне продали неправильные компы?
без лоха и жизнь плоха .. =) имбицЫлы понакупали компов и полезли за поревом в сеть понахватали заразы — а мы лечим и имеем бабло =) любят покликать по ссылкам типа — Поздравляем вы стопудовый счастливчик .. =) это равносильно поднять жевачку с асфальта и жевать или облизать поручни в метро . так что всё заепца и спасибо тем кто это пишет .. народ надо держать в страхе . а то хомячки разбегутся . а пока будет спрос — будет предложение ..
"гражданин я законопослушный, кряки к программам не ищу, пиратские фильмы онлайн не смотрю и, да – «бесплатно порно скачать» что-то никогда в жизни не хотелось! А платно тем более. Компьютер у меня личный, никто на него ничего не приносит, программы только из Интернета берутся, с официальных сайтов, обновляются регулярно."
---
сам не дерусь, не пью, не курю, рано ложусь спать, с девочками не общаюсь... НО КОГДА Я ВЫЙДУ ИЗ ТЮРЬМЫ ЖИЗНЬ РЕЗКО ПОМЕНЯЕТСЯ
"...а для правильных пацанов Страдивари делал бубны!"
любой, даже самый крутой антивирус защищает только от того, что уже подцепило некоторое количество пользователей, и не только подцепило, но и отправило разработчикам антивиря, а разработчики успели добавить в базу и выложить обновления, а все "правильные" успели обновить эту базу.
таким образом всегда есть первые, наступающие на грабли, и даже "правильные" антивирусы их не защищают.
Совершенно верно! От ста тысяч вирусов защитит, а один троянец пропустит.
Я недавно получил от бухгалтерши проверить её флэшки, а у неё 8 штук разных было, горсть такая... Так вот, троянов и авторанов там было более шести десятков! И один пробил Доктора Вэба, и пошёл укреплятся на моём компе. Через 6 часов борьбы прикончил его и почистил всё, но за то время мог спокойно весь комп переинсталлировать. Что я впосмледствии и сделал, т.к. веры однажды скомпромитированной системе уже нету.
Комментарии
Или приходится логиниться в кошелек сорок раз за минуту?
2. Чем это поможет, если присланный трояном "код" через СМС просто-напросто не подойдет?
Прочитайте про двухфакторную аутентикацию уже. Хотя бы тут: thg.ru
1. ты шлешь перевод на кошелек 1111
2. в этот момент троян придерживает твой запрос и инициирует свой на такуюже сумму на кошелек 222
3. Тебе придит смс с кодом подтверждения транзакции какой ты и вводишь ) Если не сличишь паремтры кошелька-получателя в смс (если они там есть) то влетишь ))
Есть такая игра: World of Warcraft. Чтобы зайти в нее — нужен логин/пароль. Но. Покупается такая штука:
либо скачивается программа на телефон:
(телефон показан в эмуляторе, на реальном телефоне все точно так же).
После ввода логина/пароля игра требует еще код аутентикатора. Вводишь его — и только после этого можно залогиниться.
Предположим, у меня есть WoW и аутентикатор. Я напился и разместил свой логин/пароль на форуме. Вопрос: взломают меня, или нет?
Это и есть двухфакторная аутентикация, а WoW был выбран потому, что это очень удачный пример.
Штуковина генерит код. Помимо логина/пароля вводим еще и его. Без кода не войдешь. Что еще объяснить-то?
"Криптографической хеш-функцией называется всякая хеш-функция, являющаяся криптостойкой, то есть, удовлетворяющая ряду требований специфичных для криптографических приложений.
Для того, чтобы хеш-функция H считалась криптографически стойкой, она должна удовлетворять трем основным требованиям, на которых основано большинство применений хеш-функций в криптографии:
Необратимость или стойкость к восстановлению прообраза: для заданного значения хеш-функции m должно быть вычислительно невозможно найти блок данных X, для которого H(X) = m."
Генерируется. Код. На приборе. По. Определенному. Алгоритму.
Никакой логин/пароль в этом деле не участвует, серийник, разумеется, светить нигде не надо, да он после первой пересинхронизации никому уже и не нужен.
Несколько вопросов.
1. КАКОЙ алгоритм при этом используется?
2. Насколько сложно его "раскрутить назад" за 30 секунд, в течении которых живет код?
3. Уважаемый сэр, конечно же, с легкостью ломает рар-архивы, запакованные с десятизначным паролем?
4. Привести свой логин/пароль здесь? Только как бы не получилась нехорошая ситуация, при которой "эту штуку" придется засовывать НЕ мне.
Тогда по порядку ))
1. Ты получаешь не "серийный номер" а 128 (ну чуть меньше если только читаемые символы") ключь )
2. Ключ связывается внутри сервера с этим логином — помнишь синхронизацию через инет ?))
2. Ломается перебором ))
3. Криптоалгоритм с легкостью выцепится из програмы для мобильника (Ява ауу))
4. но думаю чето сурьезное неломаемое )
5. в смысле ломаемое токо перебором — в принципе 128 бит сломать можно )) Но долго ))
Итого — вероятно взлом превысит затраты на аккаунт )) Близард снова молодцы )))
Чтобы проверить, совсем не нужно качать и устанавливать игру — достаточно попытаться залогиниться на странице управления учетной записью на их сайте.
В случае с интернет-банкингом, подобный брелок поможет, в первую очередь, в случае, когда кто-то пытается залогиниться в мой ВебМани Кипер без моего ведома. Он не получит ответного кода, и, следовательно, залогиниться не сможет.
Насчет трояна — как там у нас трояны, уже SSL научились хавать, или еще нет?
Кнопку "войти" можно нажать за 2 секунды до того, как код сменится на следующий.
А краш программы должен навести человека на мысль, что что-то тут не чисто и заставить провериться на вирусы.
2. Ключ ни с кем никогда через интернет не связывается, кроме первой синхронизации. Все пароли генерятся оффлайн, без подключения к интернет.
2. "Ломается перебором" — вот этого не понял — это к чему относится?
Вы забываете одну простую вещь. Чтобы "выцепить из программы для мобильника" криптоалгоритм, нужно, в первую очередь, выцепить у меня мобильник. Как с этим дела обстоят?
1. по первому пункту ничего
2. после первой и не надо — он уже связан.
3. Перебором ключа ломаются все грасотно реализованные современные алгоритмы — вопрос времени только))
4. Криптоалгоритм одинаков у всех — мне не нужен твой мобильник — я ее себе поставлю и с него возьму — разница только в ключе.
2. Ну, связан. Что это меняет? У злобного хакера откуда этот серийник (он, кстати, изображен на моей картинке с телефоном — это не код, который отдает программа, а именно серийник, на скрине показан момент синхронизации).
3. Перебором ключа вообще ничего не ломается за реально разумное время. Ищутся слабые места в АЛГОРИТМЕ шифрования. Странно, почему за несколько лет этого еще не сделали?
4. А если бы там еще исходники были — было бы вообще замечательно.
Что пишут на википедии (да-да, на википедии — хрен с ней) про не самый стойкий в мире алгоритм ГОСТ 28147-89:
"В 2004 г. группа специалистов из Кореи предложила атаку, с помощью которой, используя дифференциальный криптоанализ на связанных ключах, можно получить с вероятностью 91,7% 12 бит секретного ключа. Для атаки требуется 2^35 выбранных открытых текстов и 2^36 операций шифрования. Как видно, данная атака практически бесполезна для реального вскрытия алгоритма."
Ладно, хрен с ним, 2004 год.
Но это: "Для атаки требуется 2^35 выбранных открытых текстов" — где их брать прикажете? Нагенерить аутентикатором 2^35 номеров и отослать их хакеру? Не хочу.
А Близзард вряд ли использовал в своей фиговине ГОСТ.
Причем, у хакера еще и нет "серийника" — того ключа, с которым синхронизировался брелок — он может получить только РЕЗУЛЬТАТЫ работы алгоритма, а не ИСХОДНЫЙ КЛЮЧ.
Если про ВОВ — ну, взломайте сервера близзард. Я подожду пару часов, так уж быть. Если речь про Ивана Пердыщенка — то его вполне можно взломать трояном или социальной инженерией. Вот, если у него есть такая штуковина, как я нарисовал выше — задача усложняется...
---
сам не дерусь, не пью, не курю, рано ложусь спать, с девочками не общаюсь... НО КОГДА Я ВЫЙДУ ИЗ ТЮРЬМЫ ЖИЗНЬ РЕЗКО ПОМЕНЯЕТСЯ
любой, даже самый крутой антивирус защищает только от того, что уже подцепило некоторое количество пользователей, и не только подцепило, но и отправило разработчикам антивиря, а разработчики успели добавить в базу и выложить обновления, а все "правильные" успели обновить эту базу.
таким образом всегда есть первые, наступающие на грабли, и даже "правильные" антивирусы их не защищают.
а волков бояться — в лесу не ... сношаться :)
Я недавно получил от бухгалтерши проверить её флэшки, а у неё 8 штук разных было, горсть такая... Так вот, троянов и авторанов там было более шести десятков! И один пробил Доктора Вэба, и пошёл укреплятся на моём компе. Через 6 часов борьбы прикончил его и почистил всё, но за то время мог спокойно весь комп переинсталлировать. Что я впосмледствии и сделал, т.к. веры однажды скомпромитированной системе уже нету.