POZOR! Neautorizované čtení zaheslované email schránky na Seznamu.cz ?
Mám jasnou indicii, že mě oficiálně zřejmě na příkaz "orgána", Seznam.cz poskytl email schránku k pročtení...Má vůbec Seznam.cz přístup k heslům k email schránce nebo heslo jednoduše obejde? Jak? Připomínám, že jde opravdu o čtení email schránky ze strany Seznamu.cz na příkaz "orgánu" a že se tedy rozhodně nejedná o nabourání zašifrované Wi-fi...
Děkuji za pochopení a fundovanou odpověd.
Děkuji za pochopení a fundovanou odpověd.
U free variant se dá očekávat všechno. Já počítám s tím, že si mé emaily může přečíst kdokoliv. Otevřeně to však nepřiznají.
Mohl by jsi tu indicii zveřejnit?
Nejjistější je vlastní emailserver.
Mohl by jsi tu indicii zveřejnit?
Nejjistější je vlastní emailserver.
Email schránka byla nedostupná, jen se stále načítala ačkoliv jiné schránky na Seznam.cz ve stejné době fungovaly normálně a to opakovaně. A to v době všeobecné jisté hysterie, která by se díky známé "chytrosti" orgánů mohla týkat i nás pěstitelů...
Do emailu od seznamu jsem se teď přihlásil na dvou PC, každý s jinou veřejnou IP. Takže pokud někdo další prohlíží email, nepoznáš to.
Hádací útoky na server jsou myslím omezeny na určitý počet hádání za sebou (nehledě na rychlost pokusů při silném hesle), takže ani zde asi nebyl pokus o prolomení.
Pokud bych já chtěl někomu prolustrovat email schránku při znalosti hesla, tak si jednoduše stáhnu veškerou poštu během pár vteřin a prohlížím si ji až pak. Je podivné, že tvá schránka nebyla dostupná a ostatní ano. Jak dlouho tomu tak bylo?
Každopádně první věc co udělat při podezření- změnit heslo!
A dále se nespoléhat na cizí řešení. Jak jsem již psal- vlastní emailserver je jistota :D
Hádací útoky na server jsou myslím omezeny na určitý počet hádání za sebou (nehledě na rychlost pokusů při silném hesle), takže ani zde asi nebyl pokus o prolomení.
Pokud bych já chtěl někomu prolustrovat email schránku při znalosti hesla, tak si jednoduše stáhnu veškerou poštu během pár vteřin a prohlížím si ji až pak. Je podivné, že tvá schránka nebyla dostupná a ostatní ano. Jak dlouho tomu tak bylo?
Každopádně první věc co udělat při podezření- změnit heslo!
A dále se nespoléhat na cizí řešení. Jak jsem již psal- vlastní emailserver je jistota :D
Toto téma je poněkud naivní. Zaprvé každý provozovatel má většinou přístup k Vašemu heslu - vždyť ho do té schránky zadáváte. Jsou sice způsoby a enginy např. fór, kde je to uloženo tak, že se heslo zjistit nedá.
Je mnoho způsobů, jakými se dají ukládat hesla uživatelů. Povětšinou jde o jejich ochranu, aby i v případě zcizení databáze nebyly hesla vyzrazena a data se tak staly nepoužitelnými/nepřehlednými přinejmenším ;)
Z toho je jasné, že je heslo vhodné ukládat s nějakým šifrováním. Nevýhody šifrování jsou ty, že se heslo musí jít také nějakým klíčem dešifrovat, když se uživatel přihlašuje a dochází ke kontrole shodnosti hesel. A kde je klíč, tam lze i dekódovat, případně se hrubým výpočetním výkonem pokusit o prolomení ochrany ;)
Někde si ovšem se šifrováním hlavu nelámou a třeba v populárním Xchatu se hesla ukládají do databáze v čistě textové (!) podobě, což je přinejmenším podivně nízká úroveň programování a bezpečnosti dat / nicku uživatele. Ztráta nicku je tak na denním pořádku :o
De-facto jsem se domníval, že 100% bezpečný systém není možno udělat, než jsem na jeden narazil.
A sice toto fórum používá naprosto genialní systém ukládání hesla - dalo by se říci, že při omezení počtu špatných pokusů o zadání hesla na 3 a pak blok natvrdo - by mohlo jít o 100% bezpečný systém.
Je to tak zajímavě až geniálně vyřešeno, že mi nedá, abych se o poznatky nepodělil :)
Základem je MD5 hašhování. MD5 je algoritmus tzv. "hašhovací", neboli z vstupních dat (může to byt 5 písmenek, ale i 1GBy soubor) udělá 32 znakový hašh - něco jako kontrolní součet souboru.
Příklad MD5 haše:
[CODE]2f869ee28915466dad27b1e16e93723d[/CODE]
Algoritmus je navržen tak, aby se i při minimální změně vstupních dat (1 bit jinak v 1GByt souboru) došlo k značné změně hašhe. A teď to, co možná není na první pohled zřejmé - z hašhe nelze nijak zjistit původní data! :eek: Pochopíte to rychle na příkladu hašhování 1GBy souboru - kdyby se dal 1GBy soubor smrštit do 32 znaků hašhe, nepotřebovali bychom k přenášení filmů CDčka či DVDčka, postačila by 1 disketa na tisíce a tisíce zahašhovanych filmů ;) :D
Jde prostě jen o upravený kontrolní součet, jenž ze stejného souboru vždy vygeneruje STEJNÝ kontrolní součet (hašh) - dá se tudíž použít na kontrolu stavu a případných chyb v souboru a srovnání souborů různých názvů ale přesto stejných (třeba) obsahů. Uživatelé výměnných P2P sítí (eMule, Kazza, WinMX, Gnuttela a tak dále) si jistě vybaví ony kontrolní součty souborů, podle nichž se tyto programy orientují, neboť uživatelé mají nepěkný zvyk si pojmenovávat soubory, jak se jim zlíbí ;)
Jakže souvisí tohle hašhování s ukládáním hesla, když z hašhe nelze obnovit původní obsah a ten mi přeci potřebujeme, abychom porovnali heslo zadané s uloženým?
Finta spočívá v tom, že my si NEPOTŘEBUJEME ukládat heslo :thumb
Bohatě stačí uložit hašh hesla :thumb Při zadání hesla z něj vygenerovat MD5 hašh a dané hašhe porovnat. Pokud souhlasí, souhlasí i zadané hesla, aneb jak jsem řekl, libovolná změna vstupních dat generuje výrazně odlišné hašhe! :)
Máme tu tedy téměř naprosto dokonalý způsob ukládání hesel - zmocní-li se někdo databáze, vše co dostane, jsou hašhe hesel a ne hesla jako taková! :)
Ani administrátor fóra, ani admin serveru na kterém fórum běží - nikdo na světě nemá šanci zjistit vaše heslo :eek: :rolleyes: ;)
(tedy pokud váš ISP nesnifuje vaše pakety, když se heslo přenáší pres síť...)
Šlo by z MD5 hašhe udělat ono vstupní heslo? Nešlo. Jediný způsob je heslo zjistit by byl v opakovaném zkoušení generování MD5 hašhů z různých slov a jejich porovnávání s orginálním hašhem - což vzhledem k tomu, že vstupní data jsou naprosto neznámá (víme jen že to je něco mezi 3 až 32 znaky) bude téměř nemožné.
A v případě zcizení databáze není žádný problém informovat uživatele, že by se pro jistotu měli změnit heslo, i kdyz zkoušení všech kombinací by zabralo pravděpodobně několik let na odhalení jednoho jediného heslíčka :D ;)
Stručně řečeno, použitý způsob ukládání hesla je neuvěřitelně bezpečný a když jsem si změnil heslo a zapoměl jsem ho, tak jsem měl opravdu VELKÝ problém - místo hesla jsem v databázi uviděl jen MD5 hašh :o
...jediná možnost - vygenerovat si MD5 hašh k heslu, jake chci, teba tady:
http://pajhome.org.uk/crypt/md5/
A vložit ho databáze ;) Takže jsem se pak mohl přihlásit pod tímto novým heslem.
Co z toho plyne? Heslo, jenž ve fórech tohoto typu (Invision Board) zadáte je prostě nedobytné a neznámé pro kohokoliv - 100% bezpečné ;)
Při ztrátě je možná jediná věc - nechat si nastavit jiné heslo administrátorem :shut
Jak to dělá seznam nevím, ale je možné, že si Vaše hesla ukládá a tak je také může komukoli poskytnout. Co se týče výpisu z emailu, tak ten seznam na požádání OČTŘ poskytuje tak, že si Váš email stáhne a orgánům pošle na CD/DVD co chtějí (tedy vše co v emailu máte, vč. nastavení a počtu emailů, atd.).
Viz. přiložený soubor k mému emailu z 17.4.2010
Je na to ovšem třeba soudního příkazu, byť PČR si často hlavu s zákonným postupem neláme (např. domovní prohlídku neprovedli tak, jak nařizuje zákon, ale prostě vykopli dveře (byt žádné akutní nebezpečí nikomu nehrozilo) a basta...) a soudy takovéto postupy mají sklon spíše aprobovat než stíhat...
Co se tím vším chce říci je to, že pokud se Vám dívají OČTŘ (Orgány Činné v Třestním Řízení) do emailu, tak si toho ani nevšimnete. Na základě příkazu soudu Vám seznam stáhne vše co v daný moment ve schránce máte + nastavení a pošle to vyžádavšímu orgánu. Příkaz lze vydat v řežimu vyhrazený (tj. tajný)... ale i důvěrný, tajný či přísně tajný (stupně utajení V, D, T a PT). A soudy se s tím moc nepáraj, natož aby zkoumaly, zdali je ta žádost oprávněná č nikoli a často ani proti komu směřuje. Tak se stalo, že byl odposloucháván/sledován i telefon předsedovi Ústavního soudu, panu doktoru Rychetskému :D
A to na základě nijak důkazně nepodloženého tvrzení podplaceného informátora o jeho zapojení do obchodu s bílým masem, které se ovšem jaksi nekrylo s důkazy :D
Vítejte v ČR!
Je mnoho způsobů, jakými se dají ukládat hesla uživatelů. Povětšinou jde o jejich ochranu, aby i v případě zcizení databáze nebyly hesla vyzrazena a data se tak staly nepoužitelnými/nepřehlednými přinejmenším ;)
Z toho je jasné, že je heslo vhodné ukládat s nějakým šifrováním. Nevýhody šifrování jsou ty, že se heslo musí jít také nějakým klíčem dešifrovat, když se uživatel přihlašuje a dochází ke kontrole shodnosti hesel. A kde je klíč, tam lze i dekódovat, případně se hrubým výpočetním výkonem pokusit o prolomení ochrany ;)
Někde si ovšem se šifrováním hlavu nelámou a třeba v populárním Xchatu se hesla ukládají do databáze v čistě textové (!) podobě, což je přinejmenším podivně nízká úroveň programování a bezpečnosti dat / nicku uživatele. Ztráta nicku je tak na denním pořádku :o
De-facto jsem se domníval, že 100% bezpečný systém není možno udělat, než jsem na jeden narazil.
A sice toto fórum používá naprosto genialní systém ukládání hesla - dalo by se říci, že při omezení počtu špatných pokusů o zadání hesla na 3 a pak blok natvrdo - by mohlo jít o 100% bezpečný systém.
Je to tak zajímavě až geniálně vyřešeno, že mi nedá, abych se o poznatky nepodělil :)
Základem je MD5 hašhování. MD5 je algoritmus tzv. "hašhovací", neboli z vstupních dat (může to byt 5 písmenek, ale i 1GBy soubor) udělá 32 znakový hašh - něco jako kontrolní součet souboru.
Příklad MD5 haše:
[CODE]2f869ee28915466dad27b1e16e93723d[/CODE]
Algoritmus je navržen tak, aby se i při minimální změně vstupních dat (1 bit jinak v 1GByt souboru) došlo k značné změně hašhe. A teď to, co možná není na první pohled zřejmé - z hašhe nelze nijak zjistit původní data! :eek: Pochopíte to rychle na příkladu hašhování 1GBy souboru - kdyby se dal 1GBy soubor smrštit do 32 znaků hašhe, nepotřebovali bychom k přenášení filmů CDčka či DVDčka, postačila by 1 disketa na tisíce a tisíce zahašhovanych filmů ;) :D
Jde prostě jen o upravený kontrolní součet, jenž ze stejného souboru vždy vygeneruje STEJNÝ kontrolní součet (hašh) - dá se tudíž použít na kontrolu stavu a případných chyb v souboru a srovnání souborů různých názvů ale přesto stejných (třeba) obsahů. Uživatelé výměnných P2P sítí (eMule, Kazza, WinMX, Gnuttela a tak dále) si jistě vybaví ony kontrolní součty souborů, podle nichž se tyto programy orientují, neboť uživatelé mají nepěkný zvyk si pojmenovávat soubory, jak se jim zlíbí ;)
Jakže souvisí tohle hašhování s ukládáním hesla, když z hašhe nelze obnovit původní obsah a ten mi přeci potřebujeme, abychom porovnali heslo zadané s uloženým?
Finta spočívá v tom, že my si NEPOTŘEBUJEME ukládat heslo :thumb
Bohatě stačí uložit hašh hesla :thumb Při zadání hesla z něj vygenerovat MD5 hašh a dané hašhe porovnat. Pokud souhlasí, souhlasí i zadané hesla, aneb jak jsem řekl, libovolná změna vstupních dat generuje výrazně odlišné hašhe! :)
Máme tu tedy téměř naprosto dokonalý způsob ukládání hesel - zmocní-li se někdo databáze, vše co dostane, jsou hašhe hesel a ne hesla jako taková! :)
Ani administrátor fóra, ani admin serveru na kterém fórum běží - nikdo na světě nemá šanci zjistit vaše heslo :eek: :rolleyes: ;)
(tedy pokud váš ISP nesnifuje vaše pakety, když se heslo přenáší pres síť...)
Šlo by z MD5 hašhe udělat ono vstupní heslo? Nešlo. Jediný způsob je heslo zjistit by byl v opakovaném zkoušení generování MD5 hašhů z různých slov a jejich porovnávání s orginálním hašhem - což vzhledem k tomu, že vstupní data jsou naprosto neznámá (víme jen že to je něco mezi 3 až 32 znaky) bude téměř nemožné.
A v případě zcizení databáze není žádný problém informovat uživatele, že by se pro jistotu měli změnit heslo, i kdyz zkoušení všech kombinací by zabralo pravděpodobně několik let na odhalení jednoho jediného heslíčka :D ;)
Stručně řečeno, použitý způsob ukládání hesla je neuvěřitelně bezpečný a když jsem si změnil heslo a zapoměl jsem ho, tak jsem měl opravdu VELKÝ problém - místo hesla jsem v databázi uviděl jen MD5 hašh :o
...jediná možnost - vygenerovat si MD5 hašh k heslu, jake chci, teba tady:
http://pajhome.org.uk/crypt/md5/
A vložit ho databáze ;) Takže jsem se pak mohl přihlásit pod tímto novým heslem.
Co z toho plyne? Heslo, jenž ve fórech tohoto typu (Invision Board) zadáte je prostě nedobytné a neznámé pro kohokoliv - 100% bezpečné ;)
Při ztrátě je možná jediná věc - nechat si nastavit jiné heslo administrátorem :shut
Jak to dělá seznam nevím, ale je možné, že si Vaše hesla ukládá a tak je také může komukoli poskytnout. Co se týče výpisu z emailu, tak ten seznam na požádání OČTŘ poskytuje tak, že si Váš email stáhne a orgánům pošle na CD/DVD co chtějí (tedy vše co v emailu máte, vč. nastavení a počtu emailů, atd.).
Viz. přiložený soubor k mému emailu z 17.4.2010
Je na to ovšem třeba soudního příkazu, byť PČR si často hlavu s zákonným postupem neláme (např. domovní prohlídku neprovedli tak, jak nařizuje zákon, ale prostě vykopli dveře (byt žádné akutní nebezpečí nikomu nehrozilo) a basta...) a soudy takovéto postupy mají sklon spíše aprobovat než stíhat...
Co se tím vším chce říci je to, že pokud se Vám dívají OČTŘ (Orgány Činné v Třestním Řízení) do emailu, tak si toho ani nevšimnete. Na základě příkazu soudu Vám seznam stáhne vše co v daný moment ve schránce máte + nastavení a pošle to vyžádavšímu orgánu. Příkaz lze vydat v řežimu vyhrazený (tj. tajný)... ale i důvěrný, tajný či přísně tajný (stupně utajení V, D, T a PT). A soudy se s tím moc nepáraj, natož aby zkoumaly, zdali je ta žádost oprávněná č nikoli a často ani proti komu směřuje. Tak se stalo, že byl odposloucháván/sledován i telefon předsedovi Ústavního soudu, panu doktoru Rychetskému :D
A to na základě nijak důkazně nepodloženého tvrzení podplaceného informátora o jeho zapojení do obchodu s bílým masem, které se ovšem jaksi nekrylo s důkazy :D
Vítejte v ČR!
