Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
ksantoprotein
6 лет назад

Хакер 90-х, наши дни. Взламываем наших ботоводов

Сегодня @virt написал интересный пост по поводу наших паролей на голосе. Немного о паролях. И я давно хотел написать пару мыслей на этот счет. Но обо всем по порядку.

Когда мы регистрируемся на io, то нам при введении своего логина подсовывают уже готовый длинный пароль P5... подсвеченный красным. И первое интересное наблюдение, хоть и говорят, что аккаунт нельзя восстановить при потере пароля есть случаи восстановления аккаунта. Хм... о чем это может мне говорить, как один из вариантов? То, что случайная генерация пароля (то что красным) это не совсем случайно и можно условно перебрать возможные варианты и подобрать ключ к зарегистрированному аккаунту.

Следующий момент, из-за сложной регистрации через смс @vik подарил нам возможность создавать своих клонов за 3 GOLOS https://golos.cf/reg.html

Это в том числе привело к тому, что некоторые завели себе целую сеть ботов или твинков для тех или иных целей. А теперь внимание, пароль мы там вольны выбирать сами, а не пресловутый P5... Могу предположить, что ботоводы не особо парились с придумыванием пароля и вводили что-то однотипное или даже один пароль на всех. Кстати, мы все можем сменить себе пароль с P5... на другой. Хм... что это может мне говорить? А то, что если пароль будет менее 8 символов, то он легко может быть взломан.

Кстати, если вы утеряете доступ к своему клону, то есть возможность его восстановить используя ваш аккаунт. Хм... третья мысль, так может быть когда мы регистрируемся и получаем не 3 GOLOS, а 5 GOLOS, то мы все чьи-то клоны? И главный может восстановить нас ( а точнее получить доступ) когда пожелает? К примеру Вик предлагает создать анонимный аккаунт желающим, он будет клоном его @robot и в таком случае никто не сможет вычислить вас, кто вы и откуда. Но при этом если вы потеряете свои ключи, Вик сможет восстановить их. Скорее всего, но это не точно.

Четвертый момент. Перебирая библиотеки piston-lib, те самые, что позволяют обращаться к блокчейну используя питон нашел там процедуру создания аккаунта-клона. И промежуточная процедура, которая позволяет из логина и пароля сгенерировать публичные и приватные ключи. Хм... а что это дает? Это дает возможность для брутфорс атаки на ботоводов с аккаунтами-клонами. Имея ботовода, находим его клонов. Составляем список ботов и находим их публичные ключи. Далее начинаем перебирать их логины+пароли и сравнивать получился ли публичный ключ, а заодно вдруг не только подберем пароль, так еще и найдем коллизию. Другими словами, те кто регистрировались и использовали простые пароли в 8 символов находятся в зоне риска.

Пятое. А оно нам надо? Если с бота поживиться нечем, то и хакер не станет использовать мощности.

С другой стороны, супер компьютер в универе есть. Логины миллинеров голоса списком можно составить. Может заняться поиском коллизий? (коллизия, это когда есть ваша пара логин-пароль, а при взломе находится иная пара логин-инойпароль который выдает идентичный публичный ключ вашему публичному ключу, это позволяет открыть дверь к вашему аккаунту)

0
1.170 GOLOS
0
Ответить
На Golos с July 2017
Комментарии (23)
Сортировать по:
Сначала старые
© 2016 - 2024 Golos.io