מדריך|פריצה לחשבונות: איך זה נעשה ואיך לעצור את זה
היה לי זמן פנוי על הידיים אז החלטתי להשקיע קצת. זהו מדריך שפורסם על מנת לאפשר לאנשים להגן על החשבון שלהם בצורה הטובה ביותר, וכמובן שאני לא מתכוון לפרט כאן איך ניתן לפרוץ לחשבונות. הודעה זו פורסמה ע"י האקר מנוסה (ואדיב), וחשבתי שכמה שיותר אנשים יראו אותה, יותר טוב. זהו תרגום בלבד, כל הקרדיט הולך להאקר ששמו אינו ידוע (Kumadori, whpwnage, ועוד כמה שמות...). כמו המחבר המקורי, גם אני חושב שיש לנעוץ את זה (ואף אולי להשאיר את זה לדיון פתוח), כי זה באמת נושא חשוב.
מנהלים, אם ההודעה עוברת על איזשהו חוק, אתם מוזמנים לנעול/לצנזר/למחוק.
------------------------------
מנהלים: אני אומר שהודעה זו זכאית לנעיצה. אני בהחלט לא חייב לקחת את הזמן לכתוב ולפרסם אותה - אבל אני כן, לטובת הכלל. אנשים רבים יכולים להפיק תועלת מהעצות שלי - זה ראוי לתשומת לב.
זהו מבט חודר ואמיתי אל תוך הבעיה. עשיתי זאת למען המשתמשים בפורום זה, וכן למען כל המשתמשים של SRO. עשיתי זאת גם על מנת להבטיח לאנשים מסויימים שכוונותיי אינן רעות ואיני מתכוון לפגוע בהם.
=========[ההודעה]=========
שמתי לב להמון ההאקרים שמסתובבים ברחבי SRO, ולמען האמת - זה מעצבן אותי. אחד מהם התעמת איתי במשחק, והזהיר אותי: "תיזהר, ואל תנסה להעליב את האנשים הלא נכונים".
כן, בטח.
ובכן, הילדון הזה לא ידע עם מי הוא מתעסק. סקרנותי הוצתה. לכן - לפני כמה ימים - יצאתי לבחון את כישוריי פעם נוספת. עבר זמן רב... אבל הי, כשיש לך אותם - יש לך אותם לנצח. אם אתם רוצים לדעת מי אני ומה אני עושה, הקישור הבא די מסכם את זה:
http://en.wikipedia.org/wiki/White-hat
בחרתי כמה אנשים. חיטטתי להם בחשבונות. החזרתי להם אותם כשסיימתי. למה, למה לעשות את כל זה כשאין בכך צורך? למה לבזבז כל כך הרבה זמן כשאין מה להרוויח מכך? אתם רוצים לדעת כמה זמן לקח לי לעשות זאת?
חשבון 1: 10 דקות.
חשבון 2: 6 דקות.
חשבון 3: 5 דקות.
חשבון 4: שעה (האדם הזה היה רמה +70, בן 33, ו"מתכנת" מקצועי, לא פחות ולא יותר. מצאתי את שאלת הביטחון שלו, והכנתי התקפת מילון. אם הייתי רוצה את החשבון שלו - הוא היה שלי. אני לא התכוונתי להרחיק לכת עד כדי פריצה בכוח (Bruteforcing) לחשבון של מישהו. אבל אני יכול. בסוף עזבתי אותו בשקט).
חשבון 5: הבחור הזה היה חכם. ההודעות המתחכמות שלו בפורומים עיצבנו אותי... לקח לי הרבה זמן למצוא מידע עליו. למזלו - הוא לא פירסם כתובת אימייל... פרט לאחת שבה הוא לא השתמש לכניסה למשחק.
אה, כתובות אימייל...
תנו לי לשפוך מעט אור על נושא ה"פריצות" האלו שאנו שומעים עליהם ללא הרף. כמעט כולם באינטרנט, אפילו "האנשים הרעים" במשחק, הם אנשים די טובים. למעשה - אחרי שהיכרתי אנשים רבים - אני אישית לא מצאתי אחד שלא חיבבתי. ישנם אנשים שאני לא אוהב, והם השוויצרים, scriptkiddies ו-GoldFarmers. אז אתם רוצים לדעת מה אני הולך לעשות היום? אני הולך לפתור את בעיית הפריצה לחשבונות ב-SRO. אני הולך לספר לכם איך הם עושים את זה. מדוע? מכיוון שכשאתם יודעים איך מישהו עושה משהו, אתם יכולים גם להבין איך למנוע את זה. זה עוד יותר נכון כאשר אתם החור באבטחה.
אז בואו נתחיל:
איך חשבון ב-SRO נפרץ ונגנב
1. קורבן נבחר.
2. מוצאים את שם המשתמש שלו.
3. מוצאים את כתובת האימייל שלו.
4. Owned.
השאלה הסודית שלכם אינה רלוונטית כרגע. הסיסמא שלכם לא חשובה. ברגע שיש להם את שם המשתמש והאימייל שלכם, החשבון שלכם הוא שלהם. אז אני רוצה שכולכם תעצרו לרגע ותחשבו - כיצד ניתן לפתור את הבעיה הזו...?
נכון!
אתם צריכים להתייחס לכתובת הדואר האלקטרוני שלכם בתור הסיסמא החדשה שלכם ל-SRO - אל תשתמשו בשם(ות) המשתמש שלכם!
נוסף על כך, אתם צריכים סיסמא חזקה. השתמשו בלפחות 8-10 תווים, מספרים ואותיות. אל תשתמשו במילים מהמילון!
אנשים מסוגלים למצוא מהי השאלה הסודית שלכם. אדם אחד בחר "מקום לידה" כשלו. מצאתי באיזו מדינה הוא גר. שלפתי את רשימת עשרת הערים הגדולות באותה המדינה (בערים קטנות וכפרים אין בתי חולים). הוא נולד במספר 4. החשבון פרוץ.
אדם אחר בחר בשם חיית המחמד שלו כשאלה הסודית שלו. אז חיפשתי את שם המשתמש שלו - וחיפשתי חיה. מצאתי את שם חיית המחמד שלו. החשבון פרוץ.
האם אתם רואים פה דפוס?
ככל שאתם מפרסמים יותר הודעות באינטרנט, יש עליכם יותר מידע, וכך קל יותר לאנשים "לפרוץ" לכם לחשבון. נכון, זו המשמעות האמיתית של פריצה - אסיפת כל העובדות שיש לכם, בנייה עליהם, מציאת מידע נוסף, בנייה עליו... בונים עוד ועוד מידע על המשתמש... עד שמוצאים את התשובה. אחוז ההצלחה שלי היה 80% בהשגת חשבונות שהחלטתי להשיג - כאשר השתמשתי בראשי בלבד, ללא כלי פריצה, ללא תוכנות וללא פיצוח.
הרשו לי לסכם זאת בפניכם, ברשימה קצרה של צעדים שמומלץ לשקול על מנת להגן על חשבונכם מפני אנשים כמוני:
1. סיסמא חזקה. לחצו על מקשים אקראיים במקלדת שלכם, או השתמשו במערבל סיסמאות.
2. שמרו את סיסמאותיכם. כתבו אותן. כך תוכלו להשתמש בסיסמאות חזקות.
3. התייחסו לכתובת הדוא"ל שלכם כמו אל הסיסמא שלכם. פתחו כתובת דוא"ל חדשה בשביל כל חשבונותיכם ב-SRO, ואל תפרסמו אותה. בשום פנים ואופן, תחת כל נסיבות, אל תשתמשו בשם המשתמש שלכם בסיסמא.
4. אל תמלאו פרופילים ציבוריים בפורומים ואתרים אחרים. זה יקל על הפורצים לאסוף מידע עליכם.
5. אל תשתמשו בשם המשתמש שאיתו אתם נכנסים למשחק כשם משתמש לפורום או לכל אתר אחר. אי אפשר להדגיש את הנקודה הזו מספיק. זה 50% מגניבת החשבון שלכם.
6. חפשו את המידע של עצמכם בגוגל. כל מה שאתם מוצאים - לעולם אל תשתמשו בו יותר. מידע זה אינו בטוח.
7. תיזהרו מחשבונות XFire. הם מראים איזו סוג מטרה אתם. (+1000 שעות ב-SRO? החשבון שלכם ודאי שמן...).
אם עשיתם טעות עם החשבון שלכם, אל תיבהלו. אתם עדיין יכולים להציל אותו - אפילו אם הוא נפרץ בעבר.
שנו את כתובת הדוא"ל שלכם למשהו שונה ומשונה לחלוטין. משהו שמעולם לא השתמשתם בו.
אל תעשו אותה מילה, או שילוב של 2 מילים וכמה מספרים. ככל שהיא יותר ארוכה - יותר קשה למצוא אותה.
שנו את שמכם האמיתי. השתמשו באותו שם מזויף בכל החשבונות שלכם.
כשאתם בוחרים את הסיסמא, אל תפחדו לשלב דברים. אם הסיסמא הקודמת שלכם הייתה dog133 - שנו אותה לשילוב של מילים ומספרים, למשל: car133bird331. כמה שזה ניראה טיפשי, זוהי סיסמא טובה כנגד פריצה בכוח. היא פשוטה בשבילכם לזכור, והיא ענקית כש-scriptkiddie בא לתקוף אותה.
איש לא יכול לייעץ לכם כמו מישהו שבאמת עובד באבטחה. האבטחה של Joymax עלובה. הם גרועים. אתם צריכים לנקוט באמצעים למען עצמכם. כרגע קיבלתם עצה ממישהו שהוא די טוב. אני לא אתיימר להגיד שאני הטוב ביותר - בהחלט ישנם אנשים יותר טובים ממני. הי, תנו קצת קרדיט - לפחות אני מודה בזה.
[נ.ב.: לגבי אלו שטוענים שהם פרצו/יכולים לפרוץ למאגרי המידע של Joymax: פשוט 100% זיבולים בשכל. קראתי את ה"שיחה עם האקר" ההיא. או שהוא פרץ בכוח או שהוא הינדס בעצמו. סמכו עליי.]
בהצלחה לכולם. אני באמת מתנצל בפני כל מי שפרצתי לו לחשבון. במיוחד אחד מהם. אתה יודע מי אתה. אני מקווה שתוכל לסלוח לי על שלקחתי צ'ט גלובאלי אחד שלך. אם אתה רוצה את 10 הסנט שלך בחזרה, אני אשלח לך רבע דולר. [IMG]http://www.***.co.il/images/smilies2/happy.gif[/IMG]
אני גם ניסיתי לחלוק עם Joymax את התובנה שלי על הבעיות שלהם. אתם יודעים מה הם עשו?
שום דבר. הם אפילו לא ענו לי. הם לא שמים *** על אף אחד. תזכרו את זה.
Peace.
------------------------------
תורגם (במשך כשעה וחצי) ישירות מההודעה:http://www.silkroadforums.com/viewtopic.php?t=26758. קרדיט לי על התרגום [IMG]http://www.***.co.il/images/smilies2/tongue.gif[/IMG]
תפסיקו לבקש ממני לפרוץ לחשבונות בשבילכם. קיבלתי כבר 3 הודעות פרטיות בנושא. אני לא האקר ולא יודע לפרוץ. אני רק תירגמתי את המדריך. אני אתעלם מכל בקשה כזו שאני אקבל מעכשיו.
נכתב במקור על ידי tslil
