Přejít k navigační liště

Zdroják » Zprávičky » Mladík kompromitoval řadu účtů na Twitteru včetně účtu prezidenta Obamy

Mladík kompromitoval řadu účtů na Twitteru včetně účtu prezidenta Obamy

Zprávičky Různé

V pondělí byla kompromitována řada účtů na Twitteru včetně účtu prezidenta Obamy nebo zpěvačky Britney Spears. Začaly se na nich objevovat podezřelé zprávy. Problém má na svědomí osmnáctiletý mladík, který se pomocí slovníkového útoku běžícího přes noc dostal k administrátor­skému účtu Crystal. Z toho následně již snadno získal přístup k dalším účtům. Problémem Twitteru je, že nemá omezený počet neúspěšných pokusů pro autentizaci.

Až budete programovat službu s uživatelskými účty, rozhodně nezapomeňte vaši webovou aplikaci proti takovým útokům bránit a počet opakovaných neúspěšných po sobě jdoucích pokusů o autentizaci omezte.

(Zdroje: TechNewsWorld, Wired, Twitter)

Komentáře

Subscribe
Upozornit na
guest
20 Komentářů
Nejstarší
Nejnovější Most Voted
Inline Feedbacks
View all comments
Salamek

Heh, každá inteligentní webovka by měla mít omezení na počet chybných přihlášení a také detekci jestli se snaží někdo použít dictionary attack nebo brute force attack a hlavně u admin učtu .

A ten borec měl použít TOR sice to není nejrychlejší ale na slovník by to krásně stačilo…ted by se někde smál :-)

shMoula

dneska se na bezpecnost kasle zacinam mit dojem; uzivatele voli slaba hesla a rikaji si, proc zrovna ja bych mel nekoho zajimat?

Tinkerlatko

Proč by někdo lez do mailu zrovna mě? :D

David Kovář

Já si myslím, že by každá webovka měla implementovat OpenID a přínos bude na obou stranách. Webovka se nebude muset start o vámi zmíněné ptákoviny, ale o funknčnost, kterou chce poskytovat a uživatel si mohl pamatovat jedno silné heslo na systému pro který je správa účtů činnost číslo 1 a ne jen nutný doplněk. Protože podle toho ta autentizace na většině webů vypadá.

František Kučera

Což problém neřeší, ale jen přesouvá na stranu poskytovatele identity.
(i když je tu určitá šance, že při specializaci bude dělat každý tu svoji práci lépe: tvorba služby a autentizace)

nepřijatelný

Problém je u nedůležitých, i když navštěvovaných, služeb ten, že zablokování by každou chvíli tím pádem odnesl jen správný uživatel. Což je nepřijatelný. Tudíž nutit volit silná a dlouhá hesla, pak si nějakej slovníkovej útok může leda nabouchat nebo to zkoušet klidně do skonání světa (když bude hodně otravovat a vytěžovat server, stejně mu po pár hodinách bloknu IPiny a bude v řiti). Anonymní IPiny bez reverzu blokuju tak jako tak.

František Kučera

+1 Když se omezí počet chybných přihlášení, dá se velice snadno dělat DoS a zamezit přístupu oprávněných uživatelů. Rozumnější je přidat prodlevu při přihlašování v řádech vteřin, která se v případě chybných hesel zvýší třeba na minutu.

tor

TOR vůbec nic neřeší. Detekovat přístupy přes TOR jde na základě detekce IP koncových uzlů celého TORu. Chytří hledají "Tor exit nodes".

Petr Smid

No ja teda ziram – administrator ma heslo rozlousknutelne slovnikovym utokem… huh.

Anonymní

Kazde heslo je rozlousknutelne slovnikovym utokem. Staci mit ten spravny slovnik se slovy typu h52m45nmxFGJJ54563XDRYH, ASJKYOUY45CFH43673DFJH…. :-)

Anonymní

Jzismarja, kde jste vzal moje heslo???

Anonymní

hahahaha :D

Anonymní

:D

Salamek

Jak dlouho se takový slovník generuje ? hmm ?

SodaE

:), pak ještě připočíst jak dloho trvalo provést http protokol , ale pravda , měli by tam aspon dát obrázkovou kontolu po 2 špatně zadaném pokusu

Petr

Já se ani tak nedivím, že se někdo někam dostal, jako že Obama a Britney mají účty na nějakém Twitteru. Trávím na netu 14h denně a vůbec mi taková služba nechybí, asi má Obama víc času než já a méně si chrání soukromí :)

Mirek Prýmek

Tak přece jen má ten Twitter nějakou feature navíc oproti normální RSS čtečce!

Mirek Prýmek

> Ovšem další funkce Twitteru samotný RSS formát těžko nahradí.

To předpokládám, že by to mělo mít i nějaké jiné funkce, aby to vůbec někdo používal. Akorát jsem pořád nějak nezjistil, jaké :)

Rád se nechám poučit.

Enum a statická analýza kódu

Mám jednu univerzální radu pro začínající programátorty. V učení sice neexistují rychlé zkratky, ovšem tuhle radu můžete snadno začít používat a zrychlit tak tempo učení. Tou tajemnou ingrediencí je statická analýza kódu. Ukážeme si to na příkladu enum.