Восстановление данных и безопасность — парадокс в действии

10 Май
2012

На самом деле об этом говорят давно. Об этом говорят многие. Про «секретный» вопрос. Да-да, именно он — корень зла, ведь именно благодаря ему учетные записи воруются без особо всяких усилий. Благодаря ему любой Вася Пупкин может почувствовать себя крутым хакером, поимевшим многие аккаунты жертвы. Собственно не так давно я и побывал в роли Васи Пупкина.

Пролог


Предыстория очень проста. Размышлял я про пользователей, их беспечность и про систему восстановления пользовательских данных. В голову пришла все та же избитая идея с вопросом секретным для усложнения взлома записей. Но пришла мысль — что это только лишняя заморочка, а в некоторых случаях только помощь для взлома. И тут же пришло в голову — почему бы это не доказать? Взять случайную учетную запись и попробовать взломать ее. Сразу оговорю — я web-разработчик, никогда никакого опыта взлома не было, как и желания.

«Жертва»


Выбор был сделан просто — в одной популярной сети рунета, был случайным образом выбран человек, у которого в его контактах было достаточное кол-во людей (на человека, ведущего активную деятельность в соц. сетях, наверняка накопилось досье в поисковых системах). Первое действие — узнать логин. У жертвы в профиле был указан тел. номер без последней цифры. Со второй попытки последняя цифра была установлена — но ожидало сообщение о том что код для восстановления отправлен на sms. Казалось — вот мог быть и конец эксперимента, но нет. Гугление Имени/Фамилии ничего не дало. Гугление телефона тоже. Но указанный ник дал результат, нашелся профиль предположительно этого человека на каком-то форуме. И профиле был указан номер ICQ. На самом деле информация не такая уже и приватная, но все же что-то есть.
Следующий шаг был простым — поиск на people.icq.com по данном uin’у. И обнаружились еще более интересные вещи — публичная дата рождения, страна/город и email. Поиски обрели какой-то смысл. Тут же вернулся с соц. сети и попробовал восстановить по данному email’y запись — все сошлось, выдавало ту же страницу. Вообще очень сомнительная ф-ция, что при вводе существующего email/телефона соц. сеть выдает ссылку на страницу и спрашивает та ли эта учетная запись, которую вы хотите восстановить.

«Ключевой фрагмент»


Имея email — можно поиметь очень многое. Зачастую это централизованный доступ к многим сервисам.
Следую на почтовик, пытаюсь восстановить доступ к этому email’y. Запрашивает секретный вопрос, который формулировался фразой «Любимый город». Усмехнулся, немного попробывал различные комбинация названия города проживания и бинго — вошел в почтовик.
С этого момента уже следовало что можно было запросто получить доступ к ICQ (восстановление только через email) да и к многим другим сервисам. В почте увидел уведомления с facebook’a, захотелось попробывать получить доступ к нему.

Книга с лицами


Facebook предложил 2 варианта доступа — через email и телефон. Выбрав первый проходим стандартную процедуру и дальше останавливаемся на очень интересном месте. Facebook считает заход с нашего ip/браузера подзрительным и предлагает подтвердить личность двумя способами — опять-таки sms либо опознание друзей. Второй вариант очень удивил — впервые такое увидел и изначально показалось что это будет сложно. Но вариант все-таки единственный приемлимый без телефона, так что пробуем. Оказался метод достаточно прост — мне предлагают 5 страниц с фотографиями друзей, на каждой странице 3 фотографии одного человека. Ниже — варианты ответа из списка друзей. «Бгг» пронеслось в голове и я полез смотреть друзей этой страницы и сравнивать. На это ушло некоторое время, после отправки facebook сообщил что я слишком долго отвечал. Мне предложили попробывать еще раз — и какого было мое удивление, когда мне предложили распознать те же лица, с теми же вариантами ответов (ответы были правда немного перетасованы). Тут же выбрав по новой запомненные ответы — я получил доступ к странице. На данном этапе я решил завершить маленький эксперимент и сообщить несчастному владельцу его новые доступы.

Выводы


В конце эксперимента хочется сформировать некоторые, хоть и достаточно очевидные, но очень важные вещи.

  • E-mail — ключевое звено, доступ к нему должен быть за семью замками девятью печатями
  • Секретный вопрос — это как второй пароль. Простые ответы тождественно равны паролю «12345» и «qwerty».
  • Некоторые сервисы насильно предлагают использовать секретный вопрос, при чем не позволяют использовать свой. В таком случае придумайте мастер-секретный ответ без привязки к самому вопросу
  • Подтверждение личности через sms на данный момент самое лучшее решение из способов восстановления
  • Самый главный совет разработчикам — не пытайтесь заботится о «простых» людях, вводя сомнительные способы подтверждения.
По материалам Хабрахабр.



загрузка...

Комментарии:

Наверх