vitus_wagner: My photo 2005 (Default)
vitus_wagner ([personal profile] vitus_wagner) wrote2007-09-26 03:56 pm
  • Add Memory
  • Share This Entry
Entry tags:

И вы всё еще пользуетесь ICQ?

Когда о взломе аськи или ЖЖ сообщает журналист, политический деятель или ещё кто-то, кто с компьютерами знаком на уровне книжки "за 21 день для полных идиотов" - это понятно. Можно порекомендовать товарищу пройти краткий ликбез в области информационной безопасности и на этом успокоиться, считая себя надежно защищенным.

Но когда взламывают аську у сисадмина с многолетним стажем, в халатном отношении к информационной безопасности почти не замеченном...

Причем единственный известный AOL E-Mail этого человека находится на подконтрольном ему сервере, и этот сервер был немедленно подвергнут аудиту, следов взлома не выявившему. Так что это не взлом почтового ящика на публичном сервере.

Похоже, что это называется inherently insecure. Скорее всего, несекьюрность на уровне собственно протокола. icq как-то не замечена в шифровании данных или использовании сильных криптографических алгоритмов для аутентификации.

В общем, если ваше реноме как пользователя IM-сервиса чем-то вам дорого, крайне рекомендуется использовать jabber, причем

1. Использовать сервер, поддерживающий SSL/TLS или хотя бы схему аутентикации, отличную от передачи пароля открытым текстом
2. При использовании TLS научить ваш клиент проверять сертификат сервера, дабы исключить MitM-атаку.
3. Научиться самому и по возможности научить корреспондентов пользоваться электронной подписью джабберных сообщений.

Page 1 of 3

Threaded | Top-Level Comments Only

[identity profile] illyn.livejournal.com 2007-09-26 12:16 pm (UTC)(link)
А штатный gtalk джабер — жидкий? Или крепкий?

[identity profile] chva.livejournal.com 2007-09-26 12:17 pm (UTC)(link)
А не могли бы вы написать соображения по поводу взлома журнала labas. Как утверждается, пароль был достаточно стойкий, хостинг не на mail.ru, а на немецком сервере/

[identity profile] ex-ex-aim11.livejournal.com 2007-09-26 12:19 pm (UTC)(link)
крепкий. там везде ssl

[identity profile] ex-ex-aim11.livejournal.com 2007-09-26 12:21 pm (UTC)(link)
а ты про это? http://hackademix.net/2007/09/24/googhole-xss-pwning-gmail-picasa-and-almost-200k-customers/

[identity profile] besm6.livejournal.com 2007-09-26 12:22 pm (UTC)(link)
К сожалению, Витус, у jabber есть такая встроенная (в протокол, да) засада, что о реноме пользователя оного жаббера лучше молчать в тряпочку... Нет, она не security hole, по крайней мере в традиционном понимании, но с того не легче.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2007-09-26 12:24 pm (UTC)(link)
Я не знаю ни пользователя [livejournal.com profile] labas ни того немецкого сервера. Поэтому получить дополнительную информацию, необходимую для анализа уязвимостей не могу.

Но если человек забирал почту с того немецкого сервера по POP3 без использования APOP, SPA или TLS, то пароль к почтовому ящику могли заснифить по дороге. Не думаю, что в данном случае сисадмины немецкого сервера собрали информацию о всех логинах данного пользователя и сверили с ним список IP-адресов, чтобы убедиться, что посторонние в его ящик не лазали.

[personal profile] laruldan 2007-09-26 12:27 pm (UTC)(link)
э... а о какой безопасности может идти речь, если пароль в аське не может быть больше 8 символов? Какая бы там криптография не использовалась - оно банальным брутфорсом подбирается.

[identity profile] alexkuklin.livejournal.com 2007-09-26 12:34 pm (UTC)(link)
подробнее?

[identity profile] duke-igthorn.livejournal.com 2007-09-26 12:38 pm (UTC)(link)
Кстати, куча моих сотрудников пользует MSN Messenger. Его ломают или нет? Хочется как-то прекратить это безобразие...

[identity profile] vadiml.livejournal.com 2007-09-26 12:39 pm (UTC)(link)
> взламывают аську у сисадмина с многолетним стажем

это у кого?

[identity profile] illyn.livejournal.com 2007-09-26 12:41 pm (UTC)(link)
Там атака через странички? Нет, я про простой клиент. В виде приложения на моём компе.

[identity profile] blacklion.livejournal.com 2007-09-26 12:42 pm (UTC)(link)
может, может. Это чисто интерфейсная проблема клиента ICQ штатного.

Да и 8 символов цифры-буквы (66 символов, 66^8 = 360040606269696) как вы будете брутфорсить если вас после 3-5 ошибки на пол-часика рубанут?

[identity profile] aceler.livejournal.com 2007-09-26 12:57 pm (UTC)(link)
Витус, хотелось бы перейти от слов к делу. Где в сети есть документация по использованию SSL/TLS, сертификатах и подписи?
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2007-09-26 01:02 pm (UTC)(link)
Отсутсвие квитирования сообщений. Из-за чего они иногда при глюках канала у принимающего теряются.
teak: (Default)

[personal profile] teak 2007-09-26 01:06 pm (UTC)(link)
Сдаётся мне, что это легко добавить в протокол, нет?

[identity profile] blacklion.livejournal.com 2007-09-26 01:09 pm (UTC)(link)
Хмм… У меня в миранде есть галочка в джаббер-протоколе — включить надёжную доставку. И если канал глючит, то сообщения как раз подвисают в состоянии “отправляю” и по таймауту вываливаются в “не отправлено” (причём, чаще всего реально оно приходит и не раз получателю — чаще почему-то именно ACK Не возвращается).
И как эта галка работает? Я могу даже посниффать - посмотреть :)
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2007-09-26 01:11 pm (UTC)(link)
Хороший вопрос. К сожалению, я не знаю действительно хорошего такого документа. Прям хоть садись и пиши.

В большинстве существующих документов, например SSL Certificates HOWTO зияют здоровенные дыры в области базовых понятий криптографии и безопасности. Например, как правило, не отличают хэш от MAC, public key encryption от key exchange.

Как правило, отсутствует четкое изложение понятным неспециалисту языком списка возможных угроз и мер, предпринятых для защиты от них (а если бы оно там было, тогда бы автор вышеописанной путаницы в классах алгоритмов не допустил, потому что из описания угроз следует, какими свойствами должны обладать алгоритмы и протоколы, защищающие от них)

В общем, прям хоть садись и пиши.

[identity profile] besm6.livejournal.com 2007-09-26 01:13 pm (UTC)(link)
Там проблема в том, что авторы протокола не понимают, что именно гарантирует нижележащий протокол. Слышали звон, не более. Добавить это в протокол, не вопрос, несложно. Сложно сделать квитирование обязательным. Все агенты надо переписывать чуть ли не с нуля, поскольку работа с квитированием пишется совсем не так, как работа без квитирования.

[identity profile] as-pushkin-by.livejournal.com 2007-09-26 01:14 pm (UTC)(link)
Аська пока как атавизм доживает свое. Есть много хороших контактов, которые про джаббер даже не слышали. Клерки, что с них возьмешь? :)

[identity profile] aceler.livejournal.com 2007-09-26 01:14 pm (UTC)(link)
Ага, еще желательно и на русском. Я-то что, я GPG в Kmail осилил (за две недели), а вот простой советский ламер просто так не сдаётся.

[identity profile] besm6.livejournal.com 2007-09-26 01:19 pm (UTC)(link)
А как насчет ситуации сообщений тебе? Которые на сервер уже попали (раздельные вопросы - на его сервер и на твой сервер)?

Вообще посмотри. Я подозреваю, что оно ждет отзыва с той стороны - либо "message stored on the server", либо "message displayed".

[identity profile] besm6.livejournal.com 2007-09-26 01:20 pm (UTC)(link)
Ну, клерки туда и идут. Взломают аську - он хоть поработает пару дней...

[identity profile] blacklion.livejournal.com 2007-09-26 01:22 pm (UTC)(link)
Сейчас посмотрю. вообще-то, я подозреваю, что у меня еще и c2c разрешён :)

[identity profile] besm6.livejournal.com 2007-09-26 01:43 pm (UTC)(link)
Не, c2c неинтересно... Да и через наты с той и другой стороны он вряд ли будет работать...

[identity profile] blacklion.livejournal.com 2007-09-26 01:52 pm (UTC)(link)
Блин. У всех при включении опции на работе — таймауты отсылки (при этом абоненты видят мои сообщения)… Из дому точно работало.
Threaded | Top-Level Comments Only

Page 1 of 3