Latviešu nedrošās paroles.

Ievads. Pamparam, ievada nebūs. Kam vajadzēs, tas sapratīs.

Kā var noprast pēc šī bloga dažiem pēdējiem ierakstiem, mums te bija akcija, kuras laikā MD5 hešu nospiedumiem tika pielasīti attiecīgi normālteksti.

Kopumā tika iegūti 11111 (vienpadsmit tūkstoši simtu vienpadsmit) normālteksti (tikai ~87% no 12805). Turpmāk tekstā — paroles.
Varētu jau izkūkot 90% (easy), 95% (supermax), bet 11111 ir pietiekami maģisks skaitlis.

Visas šīs paroles ir uzskatāmas kā nedrošas (jo tika samērā vienkārši piemeklētas). Punkts!

Tad nu te būs tā kripatiņa informācijas.

Nedrošu paroļu analīze

Pēc garuma

1 simbols = 2
2 simboli = 1
3 simboli = 8
4 simboli = 31
5 simboli = 99
6 simboli = 3966
7 simboli = 3097
8 simboli = 2174
9 simboli = 1033
10 simboli = 433
11 simboli = 178
12 simboli = 60
13 simboli = 14
14 simboli = 7
15 simboli = 6
16 simboli = 2

Kopā: 11111.
Vidējais paroles garums: 7.22 simboli.
Vairāk par 16 simboliem netika mēģināts piemeklēt, jo ņestoit.

Secinājumi

Līdz 5 simboli paroles nav pat vērts pieminēt, jo to piemeklēšanas laiks ir minimāls. Tās pat nevar nosaukt par parolēm, bet tikai par paroles butaforiju.

Taču varbūtība sekmīgi piemeklēt paroli, kā redzams, lielāka ir apmēram 6 līdz 9 simbolu garu paroļu robežās.

Kā redzams, iespējams, ne vienmēr ir vērts tērēt datoru resursus piemeklējot 1 - 5 un 11 - x, ja populārākie paroļu garumi ir 6 - 9 simboli paroles garuma robežās. Nu, var ja piemest klāt līdz 10 simboli, bet tas jau prasīs papildus datorresursus.

Kā zināms, jo īsāka parole, jo vieglāk un ātrāk notiek tās piemeklēšana.

(Brute-force (Полный перебор) attack mixalpha-numeric-all:

)

Varbūtības attiecības starp 5 simbolu garu paroli un 6 simbolu paroli ir tik būtiska, ka 6 simbolu garas paroles piemeklēšanas efektivitāte ir acīmredzama.

Piemēram, ja ir izvēle piemeklēt paroli ar simbolu garumu no 1 līdz 10 vai 6 līdz 10, tad varbūtība, ka tiks sekmīgi piemeklēta parole ir par labu otrajam variantam. Laiks, resursi.

Populārākie simboli

a = 7643
s = 6458
i = 5674
e = 4763
r = 3708
n = 3383
1 = 3317
o = 2913
l = 2907
t = 2746
k = 2593
2 = 2492
d = 2223
m = 2211
u = 2158
0 = 1997
9 = 1854
3 = 1772
6 = 1762
8 = 1609
5 = 1584
p = 1489
4 = 1445
7 = 1317
b = 1155
c = 1141
g = 1089
z = 952
v = 932
j = 890
h = 790
x = 575
w = 552
f = 499
y = 408
q = 275

Secinājumi

Līdzīgi ir arī ar simbolu lietojumu.
Ne vienmēr efektīvākais būs pilna mixalpha-numeric-all pilna pārlase, ja daudzi simboli tiek lietoti minimāli vai vispār netiek lietoti.

[abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()-_+=~`[]{}|\:;”‘<>,.?/]

(1 - 10)

vai

[asiern1oltk2dmu093685p47bcgzvjhxwfyq]

(1 - 10)

?

Kā redzams no grafikiem un skaitļiem, tad iespējams, otrā varianta varbūtības panākumi ir daudz lielāki.

Bet šodien pilnu pārlasi praktiski vairs nelieto neviens lauzējs. Tam ir maskas, tie paši populārakie simboli utml. Nez, kā manā sarakstā gadījās 16 simbolu gara parole, m?
Pačukstēšu — vārdu atkārtošana (piemēram janisjanisjanis).

Tieši šeit, saprašanai, var arī iederēties Monty Hall problem, kas tika pieminēta Mind.toBlog(); blogā. Tas tā par varbūtību.

Pēc simbolu lietojuma, stila, ieradumiem, stereotipiem — nākamajā daļā.

Ieteikumi?
a lietotājam lietot paroli a. Šutka.

http://ru.wikipedia.org/wiki/Brute_force
http://en.wikipedia.org/wiki/Brute_force_attack
http://en.wikipedia.org/wiki/MD5
http://en.wikipedia.org/wiki/Password
http://en.wikipedia.org/wiki/Password_strength

Pirms affigennijs klients, kritiķis vai webdizaineris kaut ko sāk spriest par krāsām un to salikumiem (ganās te daži), iesaku viņam izpildīt šo testu «Мне повезет!» (Man paveiksies!) režīmā. Vismaz Сложно režīmā.

Monitoram gan ieteicams būt labi nokalibrētam. Vai tev ir nokalibrēts monitors webdizainer, klient, kritiķi?
Ja tev ir 10 no 10 punktiem, tad varam sākt apspriest tavus krāsu redzējumus.

Поздравляем!
Вы завершили тест на уровне «Мне повезет!»,
набрав 10 из возможных 10 баллов.
Это значит, что вы в полном порядке! Заходите еще.

Вы можете разместить у себя одну из картинок:

Tests (spied uz bildes):

Ekrānbilde:

Čīts: Aizver acis, pirms nomainās nākamā bilde.

Saite iekrita twitterī.

Man arī ir Inbox.Files ielūgums:

Sveiks,
Aicinam Jūs, kā vienu no aktīvākajiem Latvijas interneta lietotājiem, reģistrēties jaunajā Inbox Files un kā pirmajam izmēģināt šo produktu. [...]

Šis ir tāds kā komentārs CooLynX rakstam Inbox Files servisa beta testi | Pods.lv.

Ietestēju augšupielādi ar Windows XP trešās servispakas failu. 316.4 MB.

Fails:

…/0fd814673ea6c4cca9b11bc83dd15e466ee12d1f

Bildītes:

Gribēju ietestēt arī ar Ubuntu ISO augšupielādi, bet man kaut kādi lēni ātrumi.

Ieteiktu izlasīt arī tur esošos lietošanas noteikumus

bye, bučas =)

Izčakarējam ministriņu, bet pašas jauko domiņu pierakstiņus izdzēšam?

Šeit esot bijis dzēstās dienasgrāmatas oriģināls:

http://klab.lv/users/alexa/

Error

Journal has been deleted. If you are alexa, you have a period of 30 days to decide to undelete your journal.

Palasīsim dienasgrāmatiņu ar Googlīte?

Lietotājs: alexa.

Bildīte:

Dienasgrāmatiņas Google Reader Kopijiņa atom formātā (visi ieraksti)!

kā mani uzjautrina komentāri portālā, ka esmu mauka, kura “pavedusi divus savus pasniedzējus, Oskaru un vēl droši vien simtiem nezināmu vāju vīriešu”. Pārrēcos.
Thu, Jun 19, 2008 0:26

Šodien. Laikraksts Diena.
Thu, Jun 19, 2008 0:06

Šorīt ap pusdesmitiem mani uzmodināja īpašu uzdevumu ministra sabiedrības integrācijas lietās Oskara Kastēna (LPP/LC) zvans. Zvanīja ilgi un uzstājīgi. Es necēlu.
Wed, Jun 18, 2008 12:52

Lokālu kopijiņu HTML formātā vajag?

Vai jūti izčakarējienu? Spēlmaņi.

Kuru politiķi jūs vēlētos pavedināt?

Bilde:

Saite: http://www.nra.lv/…

Nez, ko teiks un ko bļaus, ja žurnālists BlackHalt izveiks eksperimentu ar diena.lv serveriem, adminu parolēm, blogeru parolēm? Paskatītos, kas tieši glabājas žurnālistu datoros?

Es, kā žurnālists, taču būšu dievs, ne? Žurnālista dievišķā imunitāte?

X-Powered-By: PHP/5.2.5
…
Server: lighttpd/1.4.19

Site report for www.diena.lv

vulnerable PHP/5.2.5 - Google meklēšana
vulnerable lighttpd/1.4.19 - Google meklēšana

Tas nekas, ka man ir viedoklis par Kastēnu.

Ceptne:
http://diena.lv/lat/politics/politika/kastens-skaidro-ka-tikai-spelejies

un

Konsumanti - nra.lv

Raža.

80%

Piemeklēti vairāk kā 80% paroļu heši. Domāju, ka varētu izspiest arī 90%, bet pietiks.

Dažas piezīmes.

hash.insidepro.com
Tur viņiem ir tāda online Hash Database.
hash.insidepro.com labums ir tāds, ka vienlaicīgi var pārbaudīt līdz 50 hešiem. Katru dienu datubāze papildinās. cURL.

7 (telefona numuri, etc), 8 (arī numuri), 9, 10 un 11 (personas kodi) simbolu gara ciparu pārlase.
[0-9] līdz 11 simboliem, šķiet, tagad ir visi.
Arī [a-z] līdz 8 simboliem, šķiet, tagad ir visi.

Wordlisti, wordlisti un vēlreiz wordlisti.
Kombinētie wordlisti. Vienam vārdam no viena wordlista tiek piemeklēta vārda otra puse no cita wordlista.
Divu vai vairāku vārdu kombinācijas no wordlistiem.

str_repeat. janisjanisjanis.

Maskas. Piemēram, 4 cipari sākumā, 4 burti beigās un otrādi. 1111aaaa, aaaa1111. Un tādā garā.

Izplatīts paradums: vārds un galā daži cipari.

ToDo: Pie 80% paliekam un rakstām `Nedrošas paroles`.

Desmitajā testā ir mazliet pielabots wordlists. Latviešu vārdnīca, vārdadienas utml, bez diakritiskajām zīmēm.

Tika piemeklētas papildus 134 paroles.

Pie tā paša.
Dažas smukās kombinācijas uz qwerty tastatūras, piemēram, 6yhn7ujm. Kā tas veidojās, var sameklēt bildē.
Mazs, improvizēts qwerty tastatūras smuko (vizuāli uz tastatūras) kombināciju wordlists.

4 paroles.

Laiku nesanāca nomērīt. Kādas pāris stundas ar sagatavošanos. Sāk piegriezties

Vienpadsmitais tests ar md5oogle.com
MD5 hešu (hash) salīdzināšanai tika izmantots md5oogle.com.
Līdzīgi, kā ar md5decryption.com, bet daudz vienkāršāk un ātrāk.

Tika piemeklētas papildus 668 paroles.

Laiks — aptuveni 2,5 stundas.

Divpadsmitais tests — viltīgais.
Rēķinot, ka jau iepriekš piemeklēta ~1/4 daļa paroļu, iemēģinājām kādas citas datubāzes plaintext parolīšu wordlistu. Nelietojam vienu un to pašu paroli visur!

263. Pamaz.

Laiks — 5 minūtes.

Trīspadsmitais tests.
Izveidots wordlists no apollo.lv, delfi.lv, tvnet.lv, diena.lv, db.lv, http://nekur.lv/top/week mājaslapu dažādiem tekstos izmantotajiem vārdiem.
Random vārdu wordlists.

43.

hansabanka — desmit burti

Laiks — apmēram 30 minūtes.

Četrpadsmitais tests.
Tāks, ~1/3 ir piemeklētas.

Nav, ko tālāk ākstīties — jāņem rainbow tables Tīri intereses pēc.
Arvien vairāk nedrošo paroļu lietotāji atkrīt. 1-6 simbolu visas paroles agri vai vēlu tiktu piemeklētas ar rainbow tables. Kļūst sarežģītāk.

http://freerainbowtables.com/

Tika iemēģināts 400 hešu hešlists.

Tika piemeklētas papildus 24 paroles, kas nav sevišķi daudz :/ Bet naverņika.

izmantots md5_mixalpha-numeric-all-space 1-6.
Rēķinām, ka mums ir vairāki tūkstoši hešu, tādēl tikai 1-6 simboli. Ja būtu tikai viens hešs, tad līdz 8 simboli šķiet tīri reāli atminami.
Līdz 1-6 simboli, imho, vārdnīca (wordlist) ir daudz efektīvāka. Ātruma ziņā. Wordlistā daži vārdi ir arī garāki par 6 simboliem. Spornij vapros.

Ctrl + C, jo pārāk ilgi. Noderētu atsevišķs dators (tikai šo darbību veikšanai), jo tās rainbow tables pamatīgi noslogo datoru.

Laiks — aptuveni 7 stundas.

Piecpadsmitais tests.

Līdzīgi, kā devītajā testā, jau piemeklēto paroļu wordlistam, katrai parolei tiek sākumā, beigās un abos galos pielikts klāt pa ciparam 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 un 10.

Lieka 31 parole ir piemeklēta.

Laiks — apmēram 1 stunda.

Dažas jautrībsaites:

http://www.google.lv/search?q=4d9fa555e7c23996e99f1fb0e286aea8
http://www.google.lv/search?q=bcb48dddff8c14b5f452ee573b4db770
http://www.google.lv/search?q=5f4dcc3b5aa765d61d8327deb882cf99
http://www.google.lv/search?q=9b25505fd5c437194b65b2909b1f0396

Uzmini pēc Googles pirmā rezultāta, kas slēpjas zem šiem hešiem! Tā, uz aci

4d9fa555e7c23996e99f1fb0e286aea8 = ?
bcb48dddff8c14b5f452ee573b4db770 = ?
5f4dcc3b5aa765d61d8327deb882cf99 = ?
9b25505fd5c437194b65b2909b1f0396 = ?

Bilance

Kopā atminētas jau 4117 paroles no 12805.

32 %

Pagaidām visefektīvākā metode, šķiet, ir wordlisti.

Nākamajos testos — varbūt rainbow tables un tas, kas nav izpildīts iepriekšējos testos, ja vien šis viss neapniks.

Iepriekšējās sērijās: 12805 « BlackHalt

Arī par tēmu: Par to paroļu pierakstīšanu « BlackHalt

Kādas datubāzes lietotāju paroļu analīze #2

Iepriekšējā pētījumā noskaidrojām to, ko noskaidrojām.

Viss notiek mājas apstākļos :). Vecs dators. Neizmantojam speciālas, advancētas paroļu minēšanas programmas. Izmantojam švakiņos PHP un MySQL.

Ejam tālāk.

Testi

Ceturtais tests bija visilgākais. Arī samērā maza produktivitāte.
MD5 hash salīdzināšanai tika izmantots http://md5decryption.com/

Tika piemeklētas 569 paroles.

Liela daļa pavisam vienkāršas, kas, kā izrādījās, nebija iepriekšējos testos izmantotajās wordlistēs.
Dažas interesantas: qazwsx, qwertyuiop, lollollol, asdfghjkl, ytrewq, ******, P@ssw0rd

Laiks — vairāk kā divas diennaktis.
Piemeklēto, atminēto paroļu heši no tālākiem testiem tiek izslēgti.

Piektajā testā tika izmantotas tā saucamās permutācijas (permutations). Tādas vienkāršas kombinācijas. Cipari no 1 līdz 6. Garums seši simboli. Tāds kā mini bruteforce.
Šis bija vairāk kā tests par to, vai ir vērts veikt lielāku ciparu pārlasi.

Tika piemeklētas 42 paroles.

Kaut kādi rezultāti tomēr bija.

Laiks — aptuveni 30 minūtes.

Sestajā testā princips tāds pats, kā piektajā, bet cipari 0123456789. Garums no 1 līdz 6 simboli. Varētu līdz 7 simboli, bet būtu pārāk ilgi šim testam.
Arī no šī testa tika izslēgti piektā testa rezultāti, kas jau atminēti. Piektā testa rezultāti būtu pieskaitāmi šī testa rezultātiem, bet mēs to nedarām, jo viss te tiek pierakstīts tieši tā, kā tika darīts. Nu, šis jau būtu uzskatams kā bruteforce.

Jocīgi, bet tika piemeklētas `tikai` 457 paroles.

Interesanti, ka tieši sešu simbolu garas paroles bija visvairāk (444). Ar 7 simboliem, droši vien, iebirtu vēl.

Varbūt trīs, pieci simboli tiek uzskatīti par gana īsu paroli. Tā tas, protams, arī ir.
Lietotājam uz tastatūras ir ritmiskāk, ērtāk uzsist pāra reižu, nekā nepāra Klik-klik-klik, klik-klik-klik.
Daudzi izskatās dzimšanas dienas skaitļi, piemēram, 280877.

Laiks — aptuveni 12 stundas.

Septītais tests — dzimšanas dienas.
Ar PHP Date/Time funkcijām tika uzģenerēti datumi no 1970 līdz 1998 gadam, kurus varētu izmantot dzimšanas dienu pārlasei.
Sākumā šādā formātā dmY. Piemēram, 01011970.
Tā jau būtu astoņu(!) simbolu gara parole.

Tika piemeklēta 31 parole.

Laiks — aptuveni 3 stundas.

Pie tā paša tika iemēģināts arī d-m-y formāts. Parole ietver divus speciālos (-) simbolus!

Netika atminētas, bet tas nenozīmē, ka šāda stila paroles būtu drošas.

Laiks — aptuveni 3 stundas.

Neatrada, jo tie kuri zina, kas ir speciālie simboli dzimšanas dienu paroles nelietotu. Un tas arī ir pareizi!
d.m.y, d/m/y, d-m-Y un citi datumu formāti tālāk netika mēģināti, jo, iemesls lasāms iepriekšējos teikumos.

Astotais tests savu kļūdu labošanas tests.
Ar jau atminēto paroļu wordlistu tiek nobraukts vēlreiz visam pāri. Aizpildot caurumus, jo ceturtajā testā dažreiz nebija konekcija ar md5decryption.com un tāda garā.

Tika piemeklētas vēl 79 paroles, kuru heši iepriekšējos testos kaut kā bija izkļuvuši cauri.

Laiks — sekundes.

Ja jau tā, tad devītajā testā papildus tika izmantots jau atminēto paroļu wordlists, bet ar dažiem papildinājumiem:
jau atminētais paroles variants ar papildus galā pieliktu ciparu 1. Piemēram, ja jau bija piemeklēta parole juris, tad tagad tika iemēģinātas juris1, ja janis1, tad janis11. Un tādā gara.

Bez 1 pielikšanas galā, tika izmēģināts pielikt galā arī 2, 3, 4, 5, 6, 7, 8, 9, 0, 11, 00, 55, 666, 777.
Citreiz varētu paturpināt arī citas variācijas.

Ar 1 tika piemeklētas 23 paroles.
Ar 2 — 8
Ar 3 — 4
Ar 4 — 5
Ar 5 — 1
Ar 6 — 2
Ar 7 — 7
Ar 8 — nav
Ar 9 — 2
Ar 0 — 1
Ar 11 — 5
Ar 00 — 1
Ar 55 — 2
Ar 666 — 1
Ar 777 — nav

Šajā testā kopā piemeklētas 62 paroles.

Laiks — aptuveni 30 minūtes.

Daži starpsecinājumi.
Plikas ciparparoles, diemžēl, ir samērā populāras.
Daudzi lietotāji savu paroli atceras uz qwerty tastatūras, tas ir, vizuāli. Piemēram, qazqaz, asdfghjkl. Var veidot wordlistus, izmantojot qwerty tastatūras tematiku.
Daži lietotāji paroli veido atkārtojot vienu un to pašu vārdu, piemēram, kakakaka, yopyop.
Parasti lietotāji, iespējams, nemaz neprot(?!) uzdrukāt speciālos simbolus.

Galīgie tematiskie rezumē būs vēlāk. Pēc visiem testiem. Atsevišķā ierakstā.

Kādēļ vispār šis tiek darīts?

Tādēļ, ka es neesmu admins un nezinu lietotāju paradumus.
Tādēļ, ka ir reāla datubāze ar reāliem lietotājiem un nevis kaut kāda mākslīga spriedelēšana.
Tādēļ, ka ir interesanti.
Tādēļ, ka ir iespējams izpētīt samērā liela lietotāju kopuma uzvedību.
Tādēļ, lai informētu lietotājus par viņu nedrošajiem paroļu izvēles paradumiem.

Tavs tāds pats lietotājs…

Varbūt kādam šie testi šķiet muļķīgi vai bezjēdzīgi, bet man tā nemaz nešķiet. Varbūt ir mazliet haotiski, bet visu izšķir galarezultāts. Šis ir process. To visu var salikt pa smukiem plauktiņiem.

Bilance uz šodienu (ieskaitot iepriekšējos testus)

Kopā atminētas 2950 paroles no 12805.

Gandrīz katrs ceturtais — pwned!

23 %

Visas ir uzskatāmas, kā nedrošas paroles!

Kaut kādi rēķini:

Ciparparoles (ctype_digit) — 853
Burtparoles (ctype_alpha) — 1958
Ciparburtparoles (’^((([a-z]+[0-9]+)+[a-z]*)|(([0-9]+[a-z]+)+[0-9]*))$’) — 135
Paroles ar specsimboliem — 4 OMG, OMG! Programmas kļūda?

Verētu jau būt, ka ir dažas nelielas kļūdas/atkāpes.

Paroļu garumi šajos testos (kopā ar iepriekšējiem):

1 simbols — 2
2 — 1
3 — 7
4 — 24
5 — 56
6 — 1705
7 — 575
8 — 291
9 — 215
10 — 56
11 — 14
Garākas par 11 — 4

Populārāko paroļu dzejolis uz šodienu:

[123456] => 138
[asdasdasd] => 91
[parole] => 69
[qwerty] => 45
[samsung] => 26
[666666] => 21
[000000] => 21
[latvija] => 21
[siemens] => 18
[111111] => 17
[dators] => 17
[kurmis] => 17
[saulite] => 16
[asdasd] => 16
[123123] => 15
[123456789] => 13
[kristaps] => 12
[kaspars] => 12
[kakakaka] => 10
[logitech] => 10
[xxxxxx] => 9
[extreme] => 9
[nezinu] => 9
[martins] => 8
[qazwsx] => 8
[milums] => 8
[madara] => 8
[jaanis] => 8
[celeron] => 8
[123321] => 8
[labais] => 8
[oskars] => 8
[matrix] => 7
[12345] => 7
[aaaaaa] => 7
[sanita] => 7
[master] => 7
[1234567] => 7
[sviests] => 7
[klauns] => 7
[edgars] => 6
[maksis] => 6
[qqqqqq] => 6
[diablo] => 6
[slipknot] => 6
[raivis] => 6
[raimis] => 6
[zemene] => 6
[789456] => 6
[klucis] => 5
[159357] => 5
[lauris] => 5
[susurs] => 5
[walkman] => 5
[andris] => 5
[google] => 5
[mazais] => 5
[resnais] => 5
[password] => 5
[12345678] => 5
[asdfgh] => 5
[1234567890] => 5
[hahaha] => 5
[kartupelis] => 5
[lzorro] => 5
[asshole] => 5
[ramona] => 5
[reinis] => 5
[internets] => 5
[pipele] => 5

Būs arī turpinājums. Pārāk gari šie `palagi`. Pie brutālās burtu pārlases vēl neķērāmies. Interesantāk ir tematiski.

Iepriekšējā piegājiena trešajā testā wordlistā tika izmantotas diakritiskās zīmes, bet tā bija nevajadzīga ekstra. Palaidām garām riga, jurmala, girts utml. Testu jāatkārto bez diakritiskajām zīmēm.
Diakritisko zīmju neizmantošana varētu vainagoties ar papildus xxx paroļu piemeklēšanu, bet tad nāksies otrreiz pie tām iemēģināt paroles ar cipariem galā.

Trešajā piegājienā plānos arī piemeklēt paroles pēc: telefona numuriem, automašīnu numuriem, pasta indeksiem, personas kodiem, IP, e-pastiem, …, kaut ko ar burtiem. Advancētākas datumu pielases.

Kaut kas, kaut kas, hmz: http://www.freerainbowtables.com/en/tables/md5/
Par parolēm: http://www.usewisdom.com/computer/passwords.html

Pagaidām pietiks. Turpinājums sekos…

Saistītais iepriekšējais pētījums.

P.S. ja komentāros ir kādi tematiskie wordlist utml. priekšlikumi, tad rakstiet, bet vispār, pasākumu pamazām ir jāvelk uz nobeigumu.

Ir 23% no 12805
Vai būs 50%?

Kādas datubāzes lietotāju paroļu analīze

Grave, iepriekš pacentās un izanalizēja boot.lv lietotāju paroles, kas bija nonākušas atklātībā.

Asfaltētis izanalizēja kādas citas datubāzes lietotāju paroles. Arī šī datubāze bija publiski pieejama.
Šajā datubāzē paroles neglabājās atklāta veidā (plaintext), bet gan bija šifrētas ar MD5, glabājās tikai paroļu hešs (hash). Kopā 12805.

Testi

Pirmajā testā tika pārbaudīts, vai lietotāju vārdi atbilst parolei.
Piemēram, vai lietotāja test1 parole ir test1.

230 lietotāji, savu lietotāja vārdu izmantoja arī kā paroli.

Laiks — sekundes.

Otrajā testā tika izslēgti pirmā testa dati, jo tie bija `atminēti`.
Otrajā testā tika izmantots vienkāršu vārdu saraksts (wordlist) no openwall.com.

Tas saraksts nav kā vārdnīca, bet gan biežāk lietoto paroļu saraksts. Cipari arī tur ir.
Katra lietotāja parolei tika piemērīti 2289 vārdi.

Tika piemeklētas 499 paroles.

Laiks — sekundes.

Iespējams, ka ar lielāku, valodai atbilstošāku, tematiskāku wordlist, tiktu atminēts krietni vairāk.

Tādēļ trešajā testā tika izmantots mazliet specifiskāks wordlists.
Latviešu vārdnīca, latviešu vārdadienas, Latvijas pilsētas (77), neliela angļu vārdnīca un openwall.com (cita versija). Tāds nefiltrēts mistrojums.

Visi vārdi tika piemēģināti gan ar mazajiem burtiem, gan lielajiem, gan ar vārda pirmo lielo burtu.

Trešajā testā tika izslēgti abu iepriekšējo testu rezultāti.

Katra lietotāja parolei tika piemērīti 17674 * ~3 vārdi (cipariem nav lielie mazie).

Tika piemeklētas 981 paroles.

Laiks — apmeram 1,5 stundas.

Vēl varētu izmantot arī dažādu brendu wordlistus un tamlīdzīgi. Izskatās, ka arī vienkāršas ciparu kombinācijas ir ļoti populāras.

Kopā atminētas 1710 paroles no 12805.

13,35%

Populārakās paroles:

[123456] => 138
[parole] => 69
[qwerty] => 45
[666666] => 21
[000000] => 21
[111111] => 17
[123123] => 15
[kristaps] => 12
[kaspars] => 12
[xxxxxx] => 9
[extreme] => 9
[labais] => 8
[123321] => 8
[oskars] => 8
[madara] => 8
[martins] => 8
[sanita] => 7
[12345] => 7
[matrix] => 7
[master] => 7
[sviests] => 7
[aaaaaa] => 7
[klauns] => 7
[1234567] => 7
[diablo] => 6
[zemene] => 6
[789456] => 6
[maksis] => 6
[raivis] => 6
[edgars] => 6
[asdfgh] => 5
[kartupelis] => 5
[reinis] => 5
[andris] => 5
[12345678] => 5
[ramona] => 5
[klucis] => 5
[asshole] => 5
[lauris] => 5
[password] => 5

——————————–

Un tas nav viss saraksts.

Tātad, šāda stila paroles nevajadzētu lietot.

P.S. Bija doma arī par ceturto testu, izmantojot http://md5decryption.com/, bet tas prasītu vismaz 24 stundas laika.

Tajā pašā sakarā. Un tādā garā.
Uzgudroju mazu PHP skriptiņu, kas nosaka vai IP adrese izmanto TOR.
Ietekme no: Izbano savādāk domājošo. - http://etc.blogiem.lv (tagad jau http://etc.appspot.com).

Domāju, ka daudziem admiņiem ir līdzīgi skripti, bet neviens jau nedalās :/

Te tā mana koda versija: PHP koda glabātuve - Is TOR?

Kaut kādas interesantas lapas:

https://torstatus.kgprog.com/
https://torstat.xenobite.eu/

MITM:

http://www.f-secure.com/weblog/archives/00001321.html
http://www.teamfurry.com/wordpress/2007/11/19/on-tor/

Spriežu pēc tā, ka hackers.lv atrodas uz tups.lv hostinga.

Šodien internetā tika nopludināts svaigs datuve.lv MySQL datubāzes dumps un datuve.lv arī hostējas(?) pie tups.lv.
Google Reader saglabā arī dzēstus datuve.lv komentarus (saites uz failiem):

Arī pēc šī:

http://pods.lv/blog/…datubazi.html#comments

Izskatās, ka kāds visu šo laiku sēž tups.lv serverī ar root tiesībām.

Labojums: datuve.lv nehostējoties pie Atoma, tā esot iekš dig.lv, Atoms to administrējot.

Viss ir tik:

GAY!

Hackers.lv izplatīja boot.lv foruma lietotāju datubāzi, Boot.lv izplata hackers.lv lietotāju datubāzi.

Tad vēl šis:

Forši, ne?

Sarunājam tā — jūs turpiniet ņemties, bet manu vārdu readme failos vairs nerakstiet!

Pašlaik domāju, ko par to rakstīt.
Pienāciet atkal

Papildināts [04.06.2008]:

Kādam uz karstām pēdām par katru cenu ir jāatrod grēkāzis. Kādam visērtāk par grēkāzi nozīmēt ir mani.
Līdz ar to, tagad veidojas skaldi valdi princips.
Šī principa mērķis ir salaist visu pilnīgā tūtā.
Netaisos piedalīties šajās skaldi valdi skaidrošanās lietās.
Man ar to nav nekāda sakara.
Itogo - nekas vairāk arī netiks rakstīts.

Kā ziņo delfi.lv, tad pirms pāris dienām hakeri esot tikuši pie ar drošību nepaveltītā mozaika.lv servera vai/un mājaslapas un `iegādājušies` kādu mozaika.lv MySQL datubāzi:

Piektdienas vakarā portāls “Delfi” saņēma informāciju no anonīmiem hakeriem, kuri bija “uzlauzuši” organizācijas “Mozaīka” mājas lapu. Masu medijiem tika izsūtīti saraksti ar visiem reģistrētajiem organizācijas dalībniekiem (minēti uzvārdi, amati, personas kodi, telefoni, adreses un e-pasti).

http://www.delfi.lv/news/national/politics/article.php?id=21081758

Arī hackers.lv:

Kādi nezināmi “ļaundari” ir nofenderējuši “praidistu brālībai” lietotāju datubāzi un nopublicējuši internetā. Datubāze satur ne tikai kādus abstraktus lietotājvārdus, bet gan cilvēku reālos vārdus, uzvārdus, epastus, personas kodus un pat telefona numurus.

Saites interesentiem (izņemtas pēc Mozaīkas admina lūguma)

http://hackers.lv/2008/05/31/nozog-mozaikas-lietotaju-datubazi

Gan delfi.lv, gan apollo.lv komentāros samērā intensīvi tika publicētas saites uz mājaslapām, kur šī datubāze būtu dabūjama lejuplādei, vai publiski izstādīta. Arī desmitiem, simtiem(?) citu vietņu komentāros.
Nezinu, vai tos komentārus ar saitēm kāds arī dzēsa.
Dažas saites tagad ir dzēstas, bet es aptuveni nodemonstrēšu, kas tur bija. Ar bildītēm.

Tas turpinās.

Tā nu es arī tiku pie autentiskās(?) mozaika.lv MySQL datubāzes MySQL dumpa kopijas. MySQL dumps ir tāds, kā datubāzes struktūras un datu fails, kurā ir visi dati par attiecīgo datubāzi. To bieži izmanto datu rezerves kopiju nodrošināšanai utml. Ielādējot šo failu MySQL, var skaisti un cilvēciski apskatīt visus tur esošos datus. Kaut kā tā. Un tādā garā.

Hakeri ir gan slikti, gan ļauni, gan labi, gan briesmīģi, gan bŗīnisķīgi blablabla. Mani šie stāstiņi neinteresē.

Tas tā kā bija izklāsts. Tagad pie galvenā. Ja atvēsina galvas no gejs ir labs, gejs ir slikts, tad

Ar kādiem mērķiem Mozaīkas šiškas, galvenie un svarīgie, tika veidojuši šo datubāzi?

Kam no organizācijas Mozaīka vajadzēja(gribējās) veidot datubāzi ar senistīviem datiem?

Kādiem mērķiem?

Es tagad redzu.

Cik es saprotu, tad mozaika.lv mājaslapā ir bijusi speciāla forma (online aizpildāma forma vai kā citādi), kura lietotājiem bija jāaizpilda un tur jānorāda Datu Valsts Inspekcijas smaguma, līmeņa forma. Visi dati nokļuva mozaika.lv rīcībā.

Tur bija jāaizpilda (vai tika automātiski aizpildīti) sekojoši formas lauki (spriežot pēc MySQL dumpa):

|id| |login| |pass| |confirm| |admin| |name| |pk| |address| |type| |receive| |lang| |education| |profesija| |phone| |email| |comments|

Interesantākie (ne no IT drošības viedokļa):

pk — personas kods;
address — pilna mājas adrese;
education — izglītība;
profesija — profesija. kur strādā;
phone — personas telefona numurs;
email — epasts;
comments — lietotāja komentāri.

Žēl, ka nav IP?

Manuprāt, paši mozaīka šiškas, iespējams, Linda Freimane un citi ir ar apšaubāmu rīcības korektumu. Ir apveltīti ar dubultmorāli.

Jo.

Veidojot šādu datubāzi, lindačkas pašas sevi ir pasargājušas, melojot vai kā citādi izliekoties. Lindačka nomeloja! Tā gadās.

Fragments:

Linda Freimane  	444444-44444  	Rīga

444444-44444 ir norādītais personas kods.
Rīga ir pilnā adrese.
Viss. Nu ir vēl e-pasta adrese un šis tas, bet salīdzinoši nieks.

Lindačkas pašas tajā datubāzē nav norādījušas savus patiesos datus, ko pašas ir prasījušas no citiem vienkāršajiem `lietotājiem`.
Vienkāršo `lietotāju` dati izskatās esam patiesi.

Es pieļauju domu, ka, iespējams, pati lindačka ir dziļi, dziļi iesaistīta `datu pasākumā`.

Vai personas kodi, dzīvesvietas adreses, telefoni u.t.t., bija kā kompromatu uzkrātuve?

Par tā tur servera drošību nemāku spriest, bet domāju, ka tā ir tuvu -0.

Esiet modri un uzmanieties no visādām lindām freimanēm! Es saprotu ir geji, ir negeji, bet provokatori abās pusēs paliks provokatori.
Tev ir tiesības atšūt tādus(nomelotāju) datu ievācējus. Es tā domāju.

Komentētāji, šis nebija raksts par gejismu, bet par cilvēkiem! Vadītājiem, ietekmīgiem cilvēkiem, vadoņiem.

Vai bitenieku apvienība SuperBite tik ļoti vāktu personu kodus, dzīvesvietas, telefonus?

Dati, kas nokļuvuši internetā, nav apturami!

P.S. Ja Tu gribi, lai es publicēju to datubāzi, tad Tu gribi, lai es vairs nerakstu (šogad neplānoju tiesas). Jā man ir uz šifrētā diska.
P.S.S. Atšķirībā no K.Streipa, es domāju, ka anonimitāte internetā ir pietiekoša, ja prot. Un hakerus nakad, nekad (99%) neatradīs, ja tie nav muļļas.

ENTER

Tad beidzot! Ir atrisinājums!

Izmisīgi sūtīdams e-pasta vēstules uz apdrošināšanas akciju sabiedrības BTA e-pastiem, šodien beidzot saņēmu atbildi.
Paldies BTA par apgaismošanu un apskaidrošanu.

Šeit BTA Ātruma polises preses relīzes teksts. Parasts, nenoformēts teksts (man nav Worda) un DOC formāta:

– — – — – –

Informācija presei
30.05.2008

BTA ir pirmā apdrošināšanas sabiedrība, kas Latvijā ievieš ātruma pārsniegšanas apdrošināšanu
Preses konference 2.jūnijā

Analizējot apdrošināšanas sabiedrību pieredzi pasaulē un it īpaši Skandināvijā, kā arī rūpīgi izvērtējot pašmāju statistikas datus un veicot vairākus pētījumus, kā arī ņemot vērā satiksmes dalībnieku uztveres un uzvedības psiholoģiskos aspektus, BTA ir pieņēmusi lēmumu ieviest tā saukto Ātruma polisi, par kuru pēdējā laikā tik daudz ir diskutēts, it īpaši interneta vidē.

Ātruma polise jeb Ātruma pārsniegšanas apdrošināšana, ņemot vērā zināmus nosacījumus, ir iespēja nodrošināties pret zaudējumiem sakarā ar naudas soda piemērošanu par atļautā braukšanas ātruma pārsniegšanu.
Kā zināms, no 2008.gada 1.jūnija OCTA (sauszemes transportlīdzekļu īpašnieku obligātās civiltiesiskās atbildības apdrošināšanu) būs iespējams iegādāties arī ar distances saziņas līdzekļiem, t.sk. internetā. BTA sākotnēji piedāvās Ātruma polisi bez maksas tiem klientiem, kas iegādāsies OCTA internetā uz gadu.

BTA pamato savu jauno pakalpojumu ar to, ka saskaņā ar statistiku vairums transportlīdzekļu vadītāju pārsniedz atļauto braukšanas ātrumu bez iepriekšēja nodoma un ne tik būtiski, lai radītu ievērojamu apdraudējumu citu satiksmes dalībnieku drošībai. Par iemeslu tam var minēt kaut vai to, ka vēl joprojām vairums transportlīdzekļu Latvijā nav aprīkoti ar kruīzkontroles jeb noteikta braukšanas ātruma iestatīšanas ierīci, kas būtiski samazinātu atļautā braukšanas ātruma pārsniegšanu neuzmanības dēļ.

Latvijas Valsts policijas Kārtības policijas vadība neiebilst pret šādas apdrošināšanas ieviešanu, jo tā nodrošinās ātru naudas soda nomaksu valsts budžetā, mazinās strīdus starp policiju un autovadītājiem, kā arī palīdzēs izvairīties no iespējamām koruptīvām situācijām atsevišķu negodīgu ceļu policijas darbinieku un autovadītāju saskarsmē, jo autovadītājs ir apdrošināts pret soda apmaksas risku. Pārkāpuma gadījumā BTA to izmaksās kā apdrošināšanas atlīdzību.

Vairāk par BTA Ātruma pārsniegšanas apdrošināšanu un ar to saistītajiem jautājumiem, t.sk. juridiskajām un psiholoģiskajām niansēm, BTA vadība informēs preses konferencē 2.jūnijā pl. 13.00 viesnīcā Reval Hotel Rīdzene, Reimersa ielā 1, pieaicinot Valsts policijas Kārtības policijas vadību un Satiksmes psihologu pārstāvjus.Tevi sveicina BlackHalt no bh.id.lv! Uraa! Šitas neva nekas ļauns, šitas ir pret pridyrkiem.

___________________
Informāciju sagatavoja:
Ilva Priedniece
BTA Mārketinga un Sabiedrisko attiecību vadītāja
ilva.priednieceTevi sveicina BlackHalt no bh.id.lv! Uraa! Šitas neva nekas ļauns, šitas ir pret pridurkiem. Epastu aizsargājam tipa mazliet.@bta.lv

– — – — – –

DOC formātu sakompresēju RAR formātā (hakeru formāts) un uzliku paroli, lai nemētājas pa pasauli. Parole tāda, kā šī bloga nosaukums un autora nikneims: Atruma polise_30_05_08.rar

Tajā DOC dokumentā bija šādi tādi security jautājumi, bet es tos neuzdrošinos šeit publicēt.

Bildīte neticīgajiem:

http://www.bta.lv/

Manuprāt, viss skaidrs.

Veiksmi BTA!

Sīkums, bet Googlei ir jauna favicon ikoniņa:

http://www.google.lv/favicon.ico

Nezinu, varbūt tas tik man tā. Varbūt tā jau bija

Iepriekš tā ikona izskatījās tāda:

Aizvakar darba darīšanās (gopstop) sanāca padzert kādā tipogrāfijā, kur pamanīju visai interesantu plakātu (attēlā) ar uzrakstu tā augšdaļā - Meklē internetā “PĻĒGURA POLISE”.
Paspēju (uzdrošinājos) aplūkot to pilnībā un apakšējā daļa mani uzrunāja - es patiešām nolēmu internetā pameklēt kas ir PĻĒGURA POLISE.

Tā izskatās šādi:

—–

Vakar par to rakstīja blogeri, šodien reklāmas plakātus pamanīju braucot ar BMW.
No Maskačkas līdz Purčikam bija uz vismaz 40 vai 50 reklāmu plačiem pa pāris plakātiem.
Šodien atpakaļceļā nobildēju kadrus skaidrā.

Nojaušu, ka šis pasākums ir saistīts ar apdrošinātāju pakalpojumu, kas ļauj autovadītājiem apdrošināties pret policijas sodiem par braukšanu dzērumā.

Kā darbojas PĻĒGURA POLISE?

Lasīju, ka PĻĒGURA POLISEs sistēma esot jau ieviesta kaut kur Krievijā un darbojas. Kad vadītājs tiek noķerts dzērumā, apdrošinātāji iet atsēdēt sutkas dzērājvadītāja vietā. Tavā vietā sutkas atsēdēt iet apdrošinātājs!

Vienīgais pozitīvais efekts, ko šeit saredzu ir tas, ka policistiem būs grūtāk noķert apdrošinātājus, ko iesēdināt, jo vadītājiem nebūs jāsēž pašiem. Apdrošinātāji parasti slēpjas visādos augstceltņu birojos.

Kas būs tālāk?

Šodien tā ir PĻĒGURA POLISE. Varbūt rīt jau varēsim nopirkt slaveno PĻĒGURAPOLISE.lv?

Dzeršana pie stūres apdraud citus satiksmes dalībniekus un garāmgājējus un būtībā šāda PĻĒGURA POLISE var savā ziņā kalpot kā lieks pamudinājums uz netīšu cilvēku nodzirdīšanu.

Sazin, kādas ir rūdītu dzērāju domas par šo lietu?

P.S.

Plakāti ar uzrakstu “Meklē internetā PĻĒGURA POLISE” droši vien vēlas panākt, lai cilvēki ietu un meklētu šo vārdu salikumu Googlē, bet reklāmas autori laikam ir galīgi sap..noslēpušies, jo pagaidām var atrast tikai dažādus forumus, manu rakstu un saiti uz manu blogu, un saiti uz šo saiti.

Nogriezu sev matus. Palika trīs milimetri. Bija ~70 centimetri.