NForum.RU: ICQ: Охота за UINом - NForum.RU

Перейти к содержимому

Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

ICQ: Охота за UINом Bugs, Crack and Social Engineering

#1 Пользователь офлайн   AVIS 

  • Осваивающийся
  • Иконка
  • Группа: Пользователи
  • Сообщений: 15
  • Регистрация: 06.05.2006

Отправлено Wednesday, 10.05.2006 - 17:55

Охота за UINом - Bugs, Crack and Social Engineering

Автор: Иван Миловидов aka KOT

Эпилог:

"Mirabilis, the Israeli company that developed ICQ,
states that the free system was not designed
for "mission critical" or "content sensitive"
communications..."



Итак я вышел на тропу войны: хочу быть смелым и красивым, с шестизначным UIN номером и что б все поняли что миллионные числа это не серьезно, вот посмотрите на меня - я был одним из первых пользователей или неважно кем я был, важнее кем я стал. А как я стал, сейчас расскажу:

1. Приходи кто хочет, бери что хочет
На мой взгляд самый реальный и предельно простой способ: исследование Интернет Сервис Провайдера и соседских сетей на предмет пользователей кто имеет открытые зашаренные диски и не защитили их пассвордом. Находяться такие люди Легионом. Из пяти сотен проверенных компьютров более тридцати имело открытым диск C:\ с полным доступом. Все они являлись пользователемя ICQ. Выбор UINов просто потрясающий - от 20xxxx до 80xxxxx. Смотрим C:\Program Files\ICQ\UIN и видим number.uin - внутри этого файла всего лишь несколько строк с информацией о номере, имени, нике и емейл адресе хозяина. Если номер устраивает ставится keyboard sniffer который запишет в лог все то что пользователь введет в клавиатуры.

ICQ имеет три уровня секьюрити - Low, Medium и High. Чем выше уровень секьюрити у пользователя тем быстрее получается полный доступ к его пассворду. Иными словами чем выше уровень защиты - тем больше вероятность что жертва введет пассворд для того что б использовать ICQ. Ставится троян для облегчения дальнейшего доступа и перезагружается машина (перезагрузка машины зависит от многочисленых факторов, от операционной системы до скорости подсоединея к сети). При благоприятном стечении обстоятельств получение пассворда к выбранному UINу займет деcять от силы двадцать минут - ровно столько сколько потребуется на reboot, дозвонку на провайдера, запуск ICQ и введение пассворда, далее берется лог созданный keyboard snifferom и читается пассворд. Все.

Более того возможность того что после всего этого остануться какие либо логи или иные следы взлома ничтожно мала: уничтожается лог, sniffer и троян.

2. А что вы уже уходите? А что у вас еще что то осталось?
Начнем с того что если вы зарегестрировали аккаунт и забыли к нему пассворд, достаточно заявить свой UIN на http://www.icq.com/password/ и в течении нескольких дней служба технической поддержки ICQ вышлет на указанный вами при регистрации емейл адрес забытый пассворд.

Теперь рассмотрим это с позиции хакера - для того что б получить пассворд к опредленному UINу надо лишь заявить о потери памяти и пойти проверить емейл.

Как прочитать сообщение адресованное не вам это другая история. Например существует POP3 Password Crack - имя логина и домайн нам уже известны. Главное это предельно правильно индентифицировать систему и тип сервера аккаунт на котором необходимо проверить и искать инструменты взлома этой конкретной конфигурации. Например несколько дней назад разразился громкий скандал по поводу hotmail.com в связи с очередной недороботкой славной фирмы Микрософт дающей возможность миллионам людей право читать емейл друг друга чего они совершенно делать не должны.

Рассмотрим конкретный вариант : некто Вася Табуреткин зарегестрировал себе ICQ аккаунт под номером 777777. Какой замечательный UIN! Смотрим какой у Васи емейл, видим [email protected]. По номеру UINа можно сделать вывод что он был зарегестрирован более 2 лет назад. Если sometihg.com является публичным бесплатным емейл сервисом вполне может обнаружиться что Вася этот аккаунт не пользовал и более такого адреса не существует. Как результат происходит регистрация точно такого же аккаунта, заявляется о потери пассворда и проверятся новый емейл на предмет пассворда от 777777.

Существует другой, более сложный варинт игры : лишeние Васи обладания его емейл адресом. Есть конкретные правила поведения пользователей сервиса (например : email - нельзя спамить, web - нельзя порнографии), нарушая которые пользователи как правило лишаются права на адрес или вебстраницу. Кто мешает хакеру написать несколько десятков тысяч воззваний о легализации детской порнографии и проституции от имени [email protected]? Установите тип сервера, узнайте язык общения с ним клиента и пошлите все эти воззвания самому себе и своим друзьям (или на свои другие емейл аккаунты) указав обратным адресом [email protected]. Далее вы и ваши друзья должны будете переправить все "полученное" от Васи по адресу администратора домейна с нотой проста против легализации и просьбой наказать виновного. "Послания" Васи следует уничтожить и в завязавшейся переписке с администрацией сообщить что следов преступения осталось мало: вы все стерли так как были шокированны и праведный гнев обуял вас так сильно что всем подьездом вас держали. Попросите администратора обязательно держать вас в курсе дела. Далее пошлите сообщение того же самого содержания используя Васин обратный адрес вашим другим друзьям или на ваши другие аккаунты и напишите администрации о этом безобразии в других словах. Создайте видимость что этот Вася шлет тысячами сообщения о нелегальных вещах группе незнакомых между собой людей... Прогнозирую до 80% успеха, у Васи отнимут аккаунт, о чем вам заявят как о большом достижении в борьбе с спамерами и рассадниками порнографии. Вы в тот же день зарегестрируете аккаунт на себя и заявите о потере пассворда. В итоге у вас долгожданный UIN и твердая уверенность в том что если вы имеете бесплатный емейл - никто никогда у вас его не отнимет.

3. Попытка не пытка, как говорил товарищ Берия
Поиграем с тем что ICQ имеет лимит на длинну пассворда 8 знаков. В Windows среде поменять пассворд на свой UIN нельзя или достаточно сложно - для этого существует функция в клиенте. В Linux например в большинстве случаев имеется файл в котором существует графа password куда пользователь вписывает свой пассворд (при возможности хака юниксовой машины пассворд читается без малейших затруднений, но как получить доступ к домашней директории пользователя или доступ root это уже совершенно другой разговор).

Теперь давайте попробуем прописать в Linux ICQ клиент-конфигурационный файл тот самый желаемый вам UIN и пассворд из любого набора букв длинной в 9 а может и больше знаков. Попробовали?

При благоприятном стечении обстоятельств вы сможете получать и отправлять сообщения от лица выбранного вами UINa. Если ваш Linux ICQ клиент поддерживает любую длинну пассворда и возможность его смены на сервере - вы берете тот аккаунт который вам нравиться.

Данный баг работал достаточно долго и надеюсь создатели ICQ защитили своих клиентов, но кто знает...

4. Она же... Валентина Понеяд... Она же...
Вопрос: Может ли кто либо изменить пассворд моего ICQ аккаунта без получения доступа на мой компьютр и емейл?

Ответ: Да, отвечу я и посоветую искать инструмент взлома ICQ под названием "ICQhijeck". При наличии IP жертвы, его UINa и номера порта для связи с клиентом ICQhijeck пошлет spoofed пакет заявляющий о себе что пакет принадлежит самому клиенту и несет в себе задачу смены пассворда. Пассворд выбираете нападающий..

Кстати, использование сниффера вообще всегда является хорошей идей собирания информации.

Вопрос: меня зовут Петя Иванов, у меня в оффисе на одной со мной сетке сидит Маша Пилюлькина и она страшная стерва. Что я могу сделать с ней и ее ICQ ?

Ответ: испортить ей жизнь. Если вы находитесь на одном и том же фрагменте сети у вас все карты в руках, "ICQsniff" отдаст вам Машин пассворд, да и впрочем пассворды всех других пользователей ICQ в вашей конторе. Более того существуют методы перехвата сообщений от одного пользователя другому и коррекция их, например вы можете следить за перепиской Маши и вашего босса. Как только вам в этой переписке что то не понравиться можете сообщить боссу от лица Маши все что вы думаете о предмете обсуждения и заявить что он как начальник некомпетентен в этом вопросе, а вот например Петя Иванов гораздо умнее и так далее, так что давайте Пете Мерседес купим.

Вопрос: а где мне взять ICQhijeck, ICQsniff, keyboard sniffer, трояна и TCP/UDP sniffer и есть ли что либо еще такого интеесное где можно нажать кнопочку и все все хакнуть?

Ответ: Существует такое понятие как "Private Bug", нечто обнаруженное лишь вами и никому еще не известное. Вполне возможно что люди посвятивше много время изучению методам работы ICQ имеют очень мощные инструменты по работе с ним.

Но достанутся ли эти tools вам? Все зависит от вас, от вашего терпения, трудолюбия и любознательности. Не забудьте прибавить коммуникабельность и умение задать интересный вопрос знающему предмет обсуждения человеку. Вполне возможно вы все узнаете.

Если у вас нет друзей способных рассказать вам то что вы хотите знать, советую использовать большие поисковые системы типа www.yahoo.com. Не забудьте указать предмет поиска

5. Выйду на улицу, гляну на село...
Время рассмотреть методы защиты и что вы должны помнить если дорожите своим UINом и информацией передоваемой при помощи ICQ.

Помните что существует вероятность что кто то может читать ваши сообщения и то что ICQ не является стандартом секретных коммуникаций.
Имеются десятки программ способных вызвать сбой в работе вашего ICQ клиента, особенно если он работает в среде Windows. Следите за новостями публикуемыми на www.icq.com и пользуйте всегда последнюю версию ICQ, даже если старая имеет свои достоинства в виде безлимитного размера посылаемого сообщения. Вполне возможно что вы заплатите слишком дорогую цену за эту возможность.
Имейте антивирусные программы и используйте их. Так же за ними необоходимо следить - брать новые библиотеки для обнаружения вирусов и троянов с вебсайта производителя программы.
Не доверяйте безгранично публичным сервисам типа free emeil, free webhosting и так далее. Ничего удивительного в том что то кто то уничтожил все ваши файлы на страничке или прочел ваш емейл я не вижу. Вполне житейское дело, и , пожайлуста, не имейте публичного емейла адресом для контакта технического обслуживания ICQ с вами в случае потери пассворда.
Будьте готовы к тому что в один прекрасный день вы обнаружите что ваш пассворд изменен и аккаунт вам не принадлежит. Обратитесь за помошью в технический суппорт.
Ну и конечно следите за своим компьютером при использовании интернета - есть большой выбор программ показывающих вам кто, зачем, почему и когда пытался проникнуть на ваш компьютер.
Заключение : Иногда я сам лично думаю что вполне возможно что создатели ICQ в данный момент насчитывают несколько миллинов компьютеров в своей базе данных к которым они имеют полный доступ. Кто знает может быть ICQ это хорошо распостраненный троян? Сложное чувство признаюсь вам. Но я компьютерный параноик и поэтому у меня много работы.

На этой оптимистической ноте я желаю удачи вам и вашему UIN
0


Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Другие ответы в этой теме

#2 Пользователь офлайн   Shurf 

  • Бывалый
  • Иконка
  • Группа: Суперпользователи
  • Сообщений: 124
  • Регистрация: 10.05.2006

Отправлено Wednesday, 17.05.2006 - 22:51

ЗДЕСЬ - NOMERKOV.NET мона найти кучу информации по ICQ
в том числе очень подробно описывается технология взлома, а так же достаточно свежая инфа по всем изменениям сервиса.. :D
0

#3 Пользователь офлайн   Wave 

  • Новичок
  • Иконка
  • Группа: Пользователи
  • Сообщений: 3
  • Регистрация: 19.05.2006

Отправлено Friday, 19.05.2006 - 18:02

Да,я тоже иногда брутил,находил не очень крутые номера,но все равно приятно. И вот все эти компании по продажи в большинтсве крадут уины, вот хочу получить тут семизнак(вроде раздают)
0

#4 Пользователь офлайн   Creperum 

  • Завсегдатай
  • Иконка
  • Группа: Суперпользователи
  • Сообщений: 429
  • Регистрация: 23.02.2006

Отправлено Saturday, 17.06.2006 - 14:30

Шурф - "Сайт nomerkov.net временно заблокирован
Для уточнения причин обратитесь в службу поддержки по телефонам:

# (812) 448-5315

# (4232) 261-968

или по электронной почте письмом. "

Ну и, кстати, правильно :) .
0

#5 Пользователь офлайн   Nixoid 

  • Онлайн
  • Иконка
  • Группа: Супермодераторы
  • Сообщений: 1155
  • Регистрация: 27.01.2006

Отправлено Monday, 26.06.2006 - 14:36

Креперум! Вышеупомянутый сайт проплатился снова. Кстати, в отзывах о проекте много плохих слов. Есть над чем подумать.

На счёт покупки винов - сами учитесть угонять.
0

#6 Пользователь офлайн   Aleshka 

  • Новичок
  • Иконка
  • Группа: Пользователи
  • Сообщений: 6
  • Регистрация: 28.06.2006

Отправлено Monday, 03.07.2006 - 16:57

Моя 9-ти значная последнее время постоянно ловит спам-рассылку рекламы.Буду очень благодарен тому,кто поможет мне получить 7-ми значную.
0

#7 Пользователь офлайн   Creperum 

  • Завсегдатай
  • Иконка
  • Группа: Суперпользователи
  • Сообщений: 429
  • Регистрация: 23.02.2006

Отправлено Monday, 03.07.2006 - 21:20

Просмотр сообщенияNixoid (26.06.2006, 14:36) писал:

На счёт покупки винов - сами учитесть угонять.


Правильно. И продавать :D . Кстати, совесть совестью, но надо над этим подумать... ;)
0

#8 Пользователь офлайн   X_X_X 

  • Завсегдатай
  • Иконка
  • Группа: Суперпользователи
  • Сообщений: 266
  • Регистрация: 21.06.2006

Отправлено Tuesday, 04.07.2006 - 08:39

Просмотр сообщенияCreperum (03.07.2006, 22:20) писал:

Правильно. И продавать :D . Кстати, совесть совестью, но надо над этим подумать... ;)

Совесть конечно надо иметь, но ламерами такими нечего быть, чтобы каждый мог к тебе в комп влезть и номер забрать. Вот у меня 9-ая аська, так что мне не страшно :)
0

#9 Пользователь офлайн   RenegadeMS 

  • Энтузиаст
  • Иконка
  • Группа: Супермодераторы
  • Сообщений: 72
  • Регистрация: 29.12.2005

Отправлено Tuesday, 11.07.2006 - 21:41

После подарка от Telepata я решил заняться этим... сложно, но можно...
ЗЫ: Трояны рулят, через них для меня легче...
0

#10 Пользователь офлайн   kit 

  • Новичок
  • Иконка
  • Группа: Пользователи
  • Сообщений: 4
  • Регистрация: 14.06.2007

Отправлено Thursday, 14.06.2007 - 14:50

А откуда здесь эти семизнаки взялись никто не задумывался ;)

Ведь telepat говорил что он их покупает а?

Пусть честно признается :)
0

#11 Пользователь офлайн   Nixoid 

  • Онлайн
  • Иконка
  • Группа: Супермодераторы
  • Сообщений: 1155
  • Регистрация: 27.01.2006

Отправлено Thursday, 14.06.2007 - 23:35

Можете расслабиться, Телепат их реально покупает. А всякого рода трояны и бруты уже не рулят. Практически каждый уважающий себя юзер сидит за фаером + многие провайдеры закрывают "лишние" порты. Так что, проще купить семизнак, чем угнать. Кстати, УК РФ пока никто не отменял. Если Вы готовы за десятидолларовый семизнак сменить свободу на 5 - 7 лет юзания пораши, то все понятно с вами... :)
0

#12 Пользователь офлайн   9I_/\0H 

  • Новичок
  • Иконка
  • Группа: Пользователи
  • Сообщений: 9
  • Регистрация: 18.02.2009

Отправлено Saturday, 21.02.2009 - 03:11

Иногда угон аси является результатом забывчивости пользователя...
реальный пример :)))

Вводная - имеем почту (которая по всей видимости создавалась второтпях) и УИН с одинаковым паролем...

То что мы это знаем - никакой вроде бы пользы не принесет... ведь в самом простом случае придется брутфорсить - слишком простой пароль там явно не стоял...

Отложив УИН в сторону решили занятся почтой... Почту тоже так не взломаешь, тем более что нам нужен САМ пароль а не просто доступ...
Но всегда есть вероятность что УИН связан с именно этой почтой, что легко проверить с помощью службы востановления пароля к аське...

Как оказалось - ася была привязана не к этой почте, так что оптимизма поиметь красивый номер поубавилось... но с чем черт не шутит )))

Итак, все началось с доступа к почте... Так как взломать быстро возможности не было никакой, то было решено попробовать угадать ответ на секретный вопрос...

Но вопрос был из стандартной категории - "Девичья фамилия матери"... Так что ответ на него знать было невозможно...
Но... тут осенила одна догадка - а ведь почта создавалась специально для определенный целей и предполагалось что она может быть взломана...

Ответ на секретный вопрос был подобран с первой попытки - достаточно было просмотреть данные по УИНу...

Итак - почта под контролем - но пароля от аси это нам не дало... пока...

Прошерстив почту было выяснено что все письма во входящих - это рассылки - а значит ничего полезного в них нет...
Но снова удача, пусть и не большая - в сомнительных оказалось всего лишь ОДНО письмо с данными по регистрации на одном трекере
Проверив полученые логин и пароль мы убедились что они рабочие - то есть вроде бы уже какую-то пользу поимели (по правде сказать - толку от акка на трекере нам не было никакого - уж слишком маленький был коефициент)

Вот тут возникла вторая догадка - пользователи часто используют один пароль для разных сайтов, особенно если уверены в своей безопасности.

Проверка пароля на УИНе дала положительный результат - красивый номер стал наш.

На этом можно было бы закончить, но в дело пошел азарт. Выяснив на какую почту была привязана ася было решено проверить и там полученый пароль - и он подошел!!!
Прошерстив почту - ничего особо интересного не нашли кроме косвенных фактов регистрации на различных сайтах (фактически были получены ЛОГИНЫ для данных сайтов) - как и ожидалось - на вех этих сайтах подошел все тот же пароль...

В принципе на этом можно было и закончить издевательство - но возникла третья догадка :)
Слишком часто у данного человека проскакивала одна и та же паро логинов - как результат - поиск через гугл с указанием одного из этих логинов - и на тех сайтах где мы были уверены, что это тот же человек - подошел все тот же пароль.

Люди мы не злые, но за беспечность нужно наказывать :)

Поэтому перед возвратом аси данный уин был прикреплен к другому мылу...
ну и кое где были сделаны мирные сообщения от имени данного человека (например письмо администрации что данный аккаунт был взломан)...

День первый закончен...

***

День второй... Человек доволен что ему вернули УИН, причем бесплатно - но вот почему он уверен, что он снова в безопасности???
Да, он сменил пароль, возможно на более сложный, да он сменил пароль на одном главном для себя сайте...

Но тут снова начались но :)))

На этом "главном" сайте у него, как оказывается, было две учетных записи... И почему-то на второй пароль не менялся... И оказался он все тем же полученым паролем...
Привязку почты на асе он тоже почему-то не сменил...

Как способ показать на его ошибки - ася снова была угнана и "заморожена" в чистом виде, а на том сайте была создана учетная запись с правами админа...

Решив, что мы уже достаточно наказали - на этом мы остановились.

***

Выводы:
1) НИКОГДА не используйте простых паролей (у данного человека он оказался слишком прост - и можно бы было подобрать с помощью перебора)
2) НИКОГДА не используйте одинаковых паролей на всех сайтах - исключение - те сайты, кража пароля от которых вам безразлична (лучше всего 4-5 паролей с разной степенью сложности)
3) Если вы замечаете хотябы намек на взлом своих данных - ИЗМЕНИТЕ ВСЁ, что может дать взломщику возможность совершить задуманное (Не оставляейте шанс снова забраться в ваши личные данные)
4) НИКОГДА (!!!) Никогда не храните пароли на своей почте!!! (взлом почты повлечет за собой получение доступа к сайтам где вы регистрировались)


П.С. Если вы уж собрались удалить кое-какие ваши учетные записи - то делайте это :)
П.П.С. Хотелось бы что бы снова была открыта одна тема с которой и началась данная эпопея :) Интересны комментарии людей

Сообщение отредактировал 9I_/\0H: Saturday, 21.02.2009 - 05:13

0

#13 Пользователь офлайн   DIVERSANT 

  • Осваивающийся
  • Иконка
  • Группа: Пользователи
  • Сообщений: 20
  • Регистрация: 08.05.2010

Отправлено Saturday, 08.05.2010 - 13:13

Воровать не хорошо <_<
0

Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему