Верхнее

5/1001. Безопасность mail.ru

Сегодня мы продолжим говорить про Безопасность mail.ru и, в первую очередь, посмотрим, как данный портал защищает своих пользователей от подбора паролей и защищает ли вообще. В прошлый раз для одного и того же почтового ящика вручную было проверено 32 разных пароля и никакой реакции со стороны сайта mail.ru не последовало — IP-адрес не был заблокирован, предложение ввести цифры с картинки после очередной попытки ввести пароль не появилось и т.д. Проверим гипотезу о том, что mail.ru вообще не защищает от перебора паролей.

Для этого нам потребуется программа Brutus — Authentication Engine Test. Скачать ей можно, например, с сайта разработчика или вот по этой ссылке. Антивирус скорее всего предупредит о наличии в архиве «плохого» файла. Так, например, FotriClient сообщает, что обнаружил хакерскую утилиту для взлома паролей.
Для запуска программу придётся добавить в исключения или временно отключить антивирус, что, конечно, менее желательно. Интерфейс у Brutus простой и разобраться в нём достаточно не сложно, так, например, для нашего случая потребуется указать буквально несколько параметров.
Brutus
Target — это адрес сайта/сервера, к которому нужно подобрать пароль, в нашем случае будет pop.mail.ru. Подбирать пароль можно и к web-сайту (http://www.mail.ru), но проще атаковать POP-сервер. Адрес pop.mail.ru используют почтовые клиенты (Outlook, The Bat и другие) для подключения к серверу mail.ru и загрузки писем. Работу именно этих программ, по сути, и будет имитировать Brutus, для чего в качестве типа (Type) нужно указать POP3.
В разделе Authentication Options нужно указать какие варианты имени пользователя и пароля нужно перебирать. Для проверки одного почтового ящика достаточно установить опции Use Username и Single User, после чего в поле UserID указать имя почтового ящика (например, 1001secnight для адреса 1001secnight@mail.ru). Для подбора пароля можно использовать словарь (обычный текстовый файл — в архиве с программой есть небольшой пример) либо перебирать все подряд варианты. Определяет это параметр в поле Pass Mode. Для примера попробуем перебрать все комбинации из четырёх латинских букв, указав в поле Pass ModeBrute Force и выбрав соответствующие настройки в окне, всплывающем после нажатия кнопки Range:
_range
Настройки завершены и можно запускать перебор. Если долгое время ничего не будет происходить и счётчик проверенных паролей не начнёт увеличиваться — можно попробовать изменить параметр Timeout в сторону увеличения. Этот параметр влияет на время, в течении которого от сервера ожидается ответ: при недостаточной скорости соединения Brutus может просто не успевать дожидаться ответа.
Время, которое потребуется для перебора всех вариантов, прежде всего зависит от скорости интернет-соединения. Например, при работе через Yota для полного перебора четырёхсимвольного пароля потребуется около недели.
С одной стороны, неделя — это достаточно долго: ведь использование пусть четырёхсимвольного пароля, но со знаками и цифрами, увеличит этот срок, а пять, шесть и т.д. символов будут подбираться ещё дольше, ну а с другой стороны скорость работы Yota — далеко не эталонный вариант. К тому же Brutus умеет начинать перебор с нужной комбинации символов, что позволяет вести одновременную атаку с нескольких компьютеров.

Тестовый четырёхсимвольный пароль от ящика 1001secnight@mail.ru был успешно взломан с помощью Brutus к исходу второго дня, при этом никаких ограничений со стороны mail.ru не было предпринято и при входе в ящик предложений срочно изменить пароль в связи с тем, что его явно пытаются подобрать, тоже не поступало, что не может не расстраивать. mail.ru — популярная почтовая система и такое халатное отношение с безопасности собственных пользователей огорчает.В общем, спасение утопающих — это дело рук самих утопающих, так что в следующий раз посмотрим, что можно сделать для обеспечения конфиденциальности своей переписки, не отказываясь от этого сервиса.

И первые лучи солнца озарили клавиатуру…

,