www hack by 20 místné helo rozluštil asi tak za 20 let (pokud by zkoušel všechny možnosti a nebylo by ve slovníku)
Já osobně bych doporučil 12 místné heslo složene s malých a velkých písmen a znaků.
Nějaké co se dobře pamatuje :D
www hack - podle mne je to složité, stačí nějaký program na generování hesel (třeba PasswordShop) a ty si ukládat - buď do texťáku nebo opět do nějakého programu (doporučuji AbiCoder a pod.). Toto dělají lidé, kteří už neví, co vymyslet. Je to jednoduché a přitom se to nedá dopátrat. Tedy pokud se nám nedostane na pc (a i toto celé se dá zašifrovat - 128bitové šifrování úplně stačí - program Crypter).
Ale myslím, že nejlepší by bylo Crackera chytit a pořádně mu to nechat spapat!
Někdy si říkám, jaké mám štěstí, že žádný "hacker" se do mě nepustil. Pro ty, kterým se to děje pravidelně, bych měl něco na zamyšlení. Už vás napadlo, že by to mohl být nějaký váš "kamarád"? Který vám na počítač nainstaloval keylogger apod. a nemá tak problémy přijít na heslo. Viz třeba Davida Kováře (o mnoho příspěvků výše), tam bych si na to vsadil.
No taky bych to asi tipnul na nějaký keylogger, nebo možná i pohled přes rameno, ten je kolikrát ještě lepší :-) A programy typu www hack nejsou všemocné, pokud takovému prográmku nastavíte hledání metodou brute force (použití všech možných kombinací, útok brutální silou - pro neznalé), a řeknete mu že má hledat pouze malá písmena z celé abecedy a bez čísel, bude mu to trvat několik století...
Krom toho existují daleko lepší, účinnější, a méně náročné způsoby jak nějaké to heslo získat - od sociálního inženýrství, přes různé sniffery, keyloggery, až po to prosté nakouknutí přes rameno...
A platí že čím jednodušší způsob, tím jistější a rychlejší výsledek...chcete něčí heslo? Tak si o něj prostě řekněte a dostanete ho! Uvědomte si, že nejslabším článkem je vždycky člověk ne počítač...
Tak tak. Brute force trvá a odezva WZ není většinou zrovna blesková, takže by se to dost protáhlo.
Stilett: Jojo, ale ani s rychlou odezvou by to trvalo hodně dlouho - protože rychlost připojení a odezvy není limitující, limitem je rychlsot programu, potažmo výkon celého systému, na kterém se ten bruce force generuje....
Ale je pravda že když je cokloiv z toho pomalé, tak se ta doba výrazně prodlužuje :-(
Za veskere utoky s z 99% mohou sami uzivatele. Davaj si lehké hesla, nepouzivaji firewall, nebo si proste jen nedavaj dost dobry pozor na svuj vlastni pocitac.
Ja osobne se za zadneho hackera nepovazuju a presto jsem se uz do nekolika systemu dostal. Specialne na wz jsem jiz dva uzivatele upozornil, aby si zmenili sve heslo, ze je lehce odhadnutelne a jeden z nich mi odepsal, at se nestaram ze je to jeho vec (heslo si nezmenil do ted, takze mam k jeho webu neomezenej pristup - ne ze bych o nej nejak stal).
Kdyz k tomu nekdo takhle pristupuje, pak se nemuze divit, az ho o jeho male dilko nekdo pripravi.
-Zatim jsem zadne stranky nesmazal ani nezmenil, ale kdyz nekdy pozoruji tu nekonecnou blbost jejich vlastniku, musim rict, ze uz me to mockrat napadlo - nekteri si to zaslouzi.
Snoopy: Tak tak :-) To je ale docela krutý, ty ho ještě upozorníš, a on ti řekne ať se nestaráš :-) No to je fakt dobrý :-) Něčí blbost opravdu nezná mezí :-D
Myslím že webzdarma neošetril chybu v phpMyAdmin a tak sa hackeri pohrali s databázami portálových webov... Tu sú trebárs stránky z wz.cz
http://www.zone-h.org/en/defacements/filter/filter_domain=wz.cz/page=1/
no... tak ted vam reknu jeste neco... :) na stranky se mi dostali nejaky mexicani a prepsali mi index.php, ale nic nesmazali. jenom v indexu bylo OWNZ YOU. :) jsem si oddychl kdyz jsem zjistil ze neudelali nic jineho.
btw. zjistil jsem jak se dostali k tomu jak zmeni jakykoli soubor. maji php skript, ktery prolomi kazdou domenu na wz. nevim jak to udelali, ale sam jsem to zkousel aplikovat pak na muj web a dostal jsem se bez hesla. :( takze fakt nevim no.
mně se každej den na mym webu smazávaj databáze a už mě to pěkně sere! proč WebZdarma nám tady neodpovídá?
<b>čenda</b>
"btw. zjistil jsem jak se dostali k tomu jak zmeni jakykoli soubor. maji php skript, ktery prolomi kazdou domenu na wz. nevim jak to udelali, ale sam jsem to zkousel aplikovat pak na muj web a dostal jsem se bez hesla. :( takze fakt nevim no."
A ten skript je kde?!
1) http://www.zone-h.org/en/defacements/filter/filter_domain=wz.cz/page=1/
2) exploity
3) PHPMyAdmin
4) PHP a Apache
1) To ovšem nejde AFAIK o vniknutí v rámci nějaké chyby zabezpečení. Kdyby to bylo v rámci chyby zabezpečení, dopadlo by to jako s firmou Hosting90 - tedy k dispozici by byly VŠECHNY účty (a těch tu je přes 100 tis.)
2) Totéž co u 1)
3) Zmíněná chyba v PHPMyAdmin se týkala jen Safe mode Off. Tady je On...
4) Proč zde není upgradováno PHP alespoň na verzi 4.3.8 http://www.actinet.cz/bezpecnost_informacnich_technologii/j1/l33/no1277/PHP,_vykonani_kodu.html , to ovšem netuším. Stejně tak se tu asi nečte http://www.apacheweek.com/features/security-20, nebo jo?! A co třeba MySQL security news? Záplatování tu, pravda, asi nebude moc silnou stránkou, bohužel :-/
na jednu stranu zase nemuzete zadarmo chtit vsechno.....berte i na tohle ohled.... dyz chcete vysokou ochranu, rychlost atd. tak si platte domenu a mate to... nerikam, ze me neleze na nervy to, ze mi pomalu nabihaj stranky, skoro se to ani neloaduje a dyz jo tak pomalu deset minut, ale porad je to zadarmo. Co wic bych chtel? me to staci. Az budu mit naky pracovni stranky ci na komercni vyuziti pripadne dulezity sdeleni verejnosti tak si zacnu platit domenu.
Pokud tu jsou pořád nějaké problémy, zkuste to rozebrat s opravdovými experty, s Hackerama!
www.hack.phorum.cz
Velmi rádi pomohou a jsou to lidé, kteří ví, o čem mluví - což může některé zastrašit, že!;-)
Ne, bez urážky!
Hezkou noc
Pokud tu jsou pořád nějaké problémy, zkuste to rozebrat s opravdovými experty, s Hackerama!
www.hack.phorum.cz
Velmi rádi pomohou a jsou to lidé, kteří ví, o čem mluví - což může některé zastrašit, že!;-)
Ne, bez urážky!
Hezkou noc
Ale aj tak by to mohli trochu zabezpecit.... Napriklad pri prihlasovani alebo zmene niakych udajov pouzivat nejaku kontrolnu otazku.....LEBO MAM UZ SKUSENOST S CRACKEROM........MAL SOM DOST DLHE HESLA A AJ TAK VZDY SA TAM DOSTAL.....prvykrat len na stranku napisal blbosti.....ze je onicom a tak.....ale nechal ju funkcnu......KED ALE VIDEL ZE TO BUDEM STALE OPRAVOVAT (nabural sa znova uz po zmene hesla) a moje heslo si zmenil tiez spolu aj s KONTAKTNYM MAILOM takze som bol uplne odrezany OD SVETA....
co tym chcem povedat?
ZE AK HACKER ZISKA VASE HESLO PRISLI STE O CELU DOMENU NAVZDY....(moja skusenost)
ZMENI KONTAKTNY MAIL A NIKDY VAM NEPRIDE NOVE HESLO.....ZMENI VASE HESLO A NIKDY SA NEDOSTANETE NA STRANKU.....AKE JEDNODUCHE A AKE DESTRUKCNE.......
"na jednu stranu zase nemuzete zadarmo chtit vsechno.....berte i na tohle ohled.... dyz chcete vysokou ochranu, rychlost atd. tak si platte domenu a mate to... nerikam, ze me neleze na nervy to, ze mi pomalu nabihaj stranky, skoro se to ani neloaduje a dyz jo tak pomalu deset minut, ale porad je to zadarmo. Co wic bych chtel? me to staci. Az budu mit naky pracovni stranky ci na komercni vyuziti pripadne dulezity sdeleni verejnosti tak si zacnu platit domenu."
Patchování je v rámci bezpečnosti ovšem základ. Můžete mít SSL, heslo dlouhý jak tejden, ale když bude v serverovým softwaru díra (byť patche jsou k dispozici na open source většinou do pár hodin), je to všechno nanic. Kdo by se patlal s brute force, když stačí mít pár pidi exploitů a googlem si zjistit konfigurace nezáplatovanejch serverů, který lze napadnout.
A nevím kde žiješ, protože co já znám z osobní zkušenosti placenej hosting, tak tam když jsem se zeptal, proč není k dispozici proboha šifrovanej FTP (SafeTP nebo SSH), odbyli mě, že to neuměj technicky vyřešit! Takže asi tak. Vezme se packet sniffing a druhej Hosting90 tu můžem mít natotata...
To je pravda, že je to tady zadarmo. Ale musíme plnit nějaké podmínky a když je tedy dodržujeme, tak by mohlo i něco fungovat. A SSH nebo šifrované FTP není zas tak složité. Na to je potřeba pár prográmků, které jsou i zadarmo. Tedy nedokážu si představit, jak by to mělo fungovat na serveru. A myslím, že WZ neobsluhují žádní idioti, tedy alespoň si to myslím.
SafeTP na WZ je - což mimochodem velice chválím, stejně jako alespoň to částečný SSL a Digest autentizaci :-)
V tomto směru jsem psal o jednom nejmenovaném placeném hostingu, kde je FTP nešifrované a prej jim to nejde jinak...