Алексей Комаров

Алексей Комаров

Фанат кибербезопасности. Увлекаюсь маркетингом.

5/1001. Безопасность mail.ru

3 мин на чтение

Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.

Сегодня мы продолжим говорить про безопасность mail.ru и в первую очередь посмотрим, как данный портал защищает своих пользователей от подбора паролей и защищает ли вообще.

В прошлый раз для одного и того же почтового ящика вручную было проверено 32 разных пароля и никакой реакции со стороны сайта mail.ru не последовало - IP-адрес не был заблокирован, предложение ввести цифры с картинки после очередной попытки ввести пароль не появилось и т.д. Проверим гипотезу о том, что mail.ru вообще не защищает от перебора паролей.

Для этого нам потребуется программа Brutus - Authentication Engine Test. Скачать ей можно, например, с сайта разработчика или вот по этой ссылке.

Добавлено 15.09.2020
За давностью лет ссылка, к сожалению, утрачена

Антивирус скорее всего предупредит о наличии в архиве “плохого” файла. Так, например, FotriClient сообщает, что обнаружил хакерскую утилиту для взлома паролей.

Для запуска программу придётся добавить в исключения или временно отключить антивирус, что, конечно, менее желательно. Интерфейс у Brutus простой и разобраться в нём достаточно несложно. Так, например, для нашего случая потребуется указать буквально несколько параметров.

Target - это адрес сайта/сервера, к которому нужно подобрать пароль. В нашем случае будет pop.mail.ru. Подбирать пароль можно и к web-сайту (http://www.mail.ru), но проще атаковать POP-сервер. Адрес pop.mail.ru используют почтовые клиенты (Outlook, The Bat и другие) для подключения к серверу mail.ru и загрузки писем. Работу именно этих программ, по сути, и будет имитировать Brutus, для чего в качестве типа (Type) нужно указать POP3.

В разделе Authentication Options нужно указать, какие варианты имени пользователя и пароля нужно перебирать. Для проверки одного почтового ящика достаточно установить опции Use Username и Single User, после чего в поле UserID указать имя почтового ящика (например, 1001secnight для адреса 1001secnight@mail.ru). Для подбора пароля можно использовать словарь (обычный текстовый файл - в архиве с программой есть небольшой пример) либо перебирать все подряд варианты. Определяет это параметр в поле Pass Mode.

Для примера попробуем перебрать все комбинации из четырёх латинских букв, указав в поле Pass Mode - Brute Force и выбрав соответствующие настройки в окне, всплывающем после нажатия кнопки Range:

Настройки завершены и можно запускать перебор. Если долгое время ничего не будет происходить и счётчик проверенных паролей не начнёт увеличиваться - можно попробовать изменить параметр Timeout в сторону увеличения. Этот параметр влияет на время, в течении которого от сервера ожидается ответ: при недостаточной скорости соединения Brutus может просто не успевать дожидаться ответа.

Время, которое потребуется для перебора всех вариантов, прежде всего зависит от скорости интернет-соединения. Например, при работе через Yota для полного перебора четырёхсимвольного пароля потребуется около недели.

С одной стороны, неделя - это достаточно долго: ведь использование пусть четырёхсимвольного пароля, но со знаками и цифрами, увеличит этот срок, а пять, шесть и т.д. символов будут подбираться ещё дольше, ну, а с другой стороны скорость работы Yota - далеко не эталонный вариант. К тому же Brutus умеет начинать перебор с нужной комбинации символов, что позволяет вести одновременную атаку с нескольких компьютеров.

Тестовый четырёхсимвольный пароль от ящика 1001secnight@mail.ru был успешно взломан с помощью Brutus к исходу второго дня, при этом никаких ограничений со стороны mail.ru не было предпринято и при входе в ящик предложений срочно изменить пароль в связи с тем, что его явно пытаются подобрать, тоже не поступало, что не может не расстраивать: mail.ru - популярная почтовая система и такое халатное отношение с безопасности собственных пользователей огорчает.

В общем, спасение утопающих - это дело рук самих утопающих, так что в следующий раз посмотрим, что можно сделать для обеспечения конфиденциальности своей переписки, не отказываясь от этого сервиса.

И первые лучи солнца озарили клавиатуру…

--- === @zlonov === ---
--- === @zlonov === ---

Комментарии из Telegram

Комментарии ВКонтакте

Вам также может понравиться

Лучшие доклады ИБ АСУ ТП КВО 2024

3 мин на чтение

Результаты голосования участников конференции Информационная безопасность АСУ ТП критически важных объектов.