Furto di password

[motan]

Agli esperti smanettoni .. vorrei fare una domanda..
Alcuni di noi del forum siamo iscritti al gioco sul sito www.birramoretticalcio.it

Recentemente si segnalano ripetuti "furti" delle password dei giocatori, e una delle vittime è stato anche Templares.. http://www.politicaonline.net/forum/...266865&page=18

Quello che vorrei sapere è: come diavolo fanno questi ladri da strapazzo?
I webmaster potrebbero rintracciare gli IP di chi ha fatto l'ultima volta il login con un certo nick?
Inoltre nella proceduta di iscrizione si devono fornire i propri dati personali..
un tizio vuole addirittura denunciare la cosa alla polizia postale.. è un reato impossessarsi (anche se indirettamente) dei dati di un utente? Se si, come viene punito?

Scusate le molte domande, confido nelle vostre immense conoscenze

[ago]

Quello che vorrei sapere è: come diavolo fanno questi ladri da strapazzo?

A volte il software e' difettoso, e per esempio, registra le password in chiaro da qualche parte accessibile. Piu' probabilmente le passwords sono state crackate. Di solito nei fora si usano passwords semplici di pochi caratteri e si conoscono gli usernames. Provando le lettere ed i nomi di 3-6 caratteri di un dizionario si possono trovare centinaia di passwords in pochi minuti...

L'amministrazione dovrebbe essere in grado di scoprire se le passwords sono state ottenute con forza-bruta oppure via vulnerabilita'. Anche gli utenti se ne possono accorgere. Se la passoword di templares era semplice allora l'attacco e' stato probabilmente di forza bruta , se era qualcosa tipo "hA h2o^&T3Y*(" allora si tratta di una vulnerabilita'.

I webmaster potrebbero rintracciare gli IP di chi ha fatto l'ultima volta il login con un certo nick?

Si, ma se l'attacker e' sveglio non usa il suo PC, ma fa una triangolazione, inoltre probabilmente falsifica l'ip. Quindi l'ip non ti serve. E' comunque possibile rintracciarlo ma non e' affatto semplice.

Quello che si puo' fare e' notificare l'amministrazione, cancellare i cambiamenti, modificare la password ed inserire una password difficile da craccare (assumendo che l'attacco si avvenuto per forza-bruta).

è un reato impossessarsi (anche se indirettamente) dei dati di un utente?

Certo che e' un reato

Se si, come viene punito?

Non lo so, chiedere a storace

[Mr]

Cosa si intende con "via vulnerabilità"? Come ci si difende da questa tipologia di attacchi?

[Mr]

a parte ovviamente buttando IE e Windows nella spazzatura (già fatto)

[Max72]

Agli esperti smanettoni .. vorrei fare una domanda..
Alcuni di noi del forum siamo iscritti al gioco sul sito www.birramoretticalcio.it

Recentemente si segnalano ripetuti "furti" delle password dei giocatori, e una delle vittime è stato anche Templares.. http://www.politicaonline.net/forum/...266865&page=18

Quello che vorrei sapere è: come diavolo fanno questi ladri da strapazzo?
I webmaster potrebbero rintracciare gli IP di chi ha fatto l'ultima volta il login con un certo nick?

Dipende se la colpa e' del sito o del pc utente....per colpa dell'utente, intendo una condizione dove vi siete beccati(e passati) un keylogger, che registra cosa schiacciate sulla tastiera e riesce a risalire alla/alle password.
Magari si e' propagato come un worm, che utilizzano dei keylogger, messo in giro da qualcuno del sito.
I keylogger non appaiono nei task application ovviamente.

Quindi date una controllata al PC, scansione antivirus on boot, adware, spybot, ad2 squared, ed al limite c'e un trial che e' dedicato a queste keycacche :

http://www.anti-keylogger.net/advanc...keylogger.html

Quando qualcosa va' storto, e' sempre bene dare una bella ripulita alla macchina, si sa' mai.


Se e' colpa del sito e' un altra faccenda, un database blindato si puo' sempre buttare giu', e solitamente nei giochi online, c'e sempre qualche cazz.. ehm, intelligentone che buca la sicurezza e sega le passwd per fare il figo.

Ne dovrebbe rispondere anche un attimino l'amministrazione del sito data la cautela nel gestire info personali.

Comunque, l'IP del login non c'entrera' molto, per bucare un DB di un server non ci si logga a meno di non voler essere tagliati fuori....una volta loggati, scattano ulteriori misure di sicurezza per utenti registrati, quindi, un attacco e' sempre meglio farlo come esterno, ci sono altri modi meno appariscenti per penetrare un sitema.Il trucco e' addiritura non brutalizzare, ma cercare qualche metodo per girare intorno e penetrare con calma, il tutto fatto da un PC "zombie", cioe' estraneo al tuo che agisca come un "Proxi".

Io infetto un tipo, apro una backdoor con un trojan, mi creo un campo d'azione, cerco altri potenziali zombies e controllo anche loro(piramidale) ed al momento giusto attacco a random.

Nel caso, sara' dura venirmi a prendere.

Dipede dal cracker insomma....

Inoltre nella proceduta di iscrizione si devono fornire i propri dati personali..
un tizio vuole addirittura denunciare la cosa alla polizia postale.. è un reato impossessarsi (anche se indirettamente) dei dati di un utente? Se si, come viene punito?

Scusate le molte domande, confido nelle vostre immense conoscenze

Uhmmm...non dateli mai tutti o fregatevene e forniteli casualmente un po' errati, ad un sito che tratta di fantacalcio, non capisco cosa possa fregare di come mi chiamo realmente e dove abito, il telefono, se ho le emorroidi etc, etc....Questi dati si danno solo in casi estremi.

Comunque si e' reato, credo si debba osservare obbligatoriamente per 3 ore(stile Arancia meccanica) un fimato, dove Urbani balla seminudo su di una spiaggia.

[ago]

Cosa si intende con "via vulnerabilità"? Come ci si difende da questa tipologia di attacchi?

Se il sito e' fatto male e permette di avere accesso alle passwords senza bisogno di cercare di indovinarle per tentativo ed errore. L'unico modo per "difendersi" e' informare chi ha fatta il sito ed evitare di usare il sito in questione finche' non e' stato aggiustato

[ago]

Magari si e' propagato come un worm, che utilizzano dei keylogger, messo in giro da qualcuno del sito.

Dubito, molto piu' semplice indovinare le passwords, molti utenti usano passwords estremamente facili da indovinare...

[Max72]

Dubito, molto piu' semplice indovinare le passwords, molti utenti usano passwords estremamente facili da indovinare...

Lo so', ma ricordati che parliamo anche di potenziali utilizzatori di Outciuk, Interdet explorer e Uindouws....