Antonio Gabor
Certified Ethical Hacker and Network Security Engineer
Verovatno ste mnogo puta čuli kako su nekom hakovali nalog na fejsbuku ili nekoj drugoj socijlnoj mreži, ili ste možda i sami bili žrtva hakerskog napada. Da li se zapitate ponekad kako hakerima polazi za rukom da provale u vaš nalog ili neku socijalnu mrežu?
U današnje vreme postoji izobilje raznih alatki i baza podataka iz kojih se mogu pronaći kompromitovani nalozi. Kada u to uračunamo predvidivu ljudsku narav, lako je pretpostaviti lozinku koja je korišćena.
OSINT predstavlja Open-Source Intelligence iliti korištenje javno dostupnih podataka u istraživačke svrhe i podrazumeva se kao pasivno izviđanje datog objekta na koji planirate napad.
Kako verifikacija na socijalnim mrežama je obično svedena na mejl adresu i lozinku, potrebno je prvo pronaći mejl adresu mete a to se može uraditi pomoću Google Dorks-a ili nekih od OSINT alatki. OsintFramework je odličan sajt koje nam može pomoći u istom.
Okej, imamo mejl adresu! A šta dalje?
Velike kompanije su u obavezi da objave kada dođe do proboja i curenja ličnih podataka. Često, hakeri će objaviti negde na Dark Web-u baze koje su prethodno ukradene pokušati da profitiraju od istih.
Verovatno ste već čuli za stranicu haveibeenpwned.com a ako niste odite i pogledajte da li se i vaša mejl adresa nalazi u nekoj od velikih breachova, a ima ih podosta.
LinkedIn je u Maju 2016. godine bio napadnut, pri čemu su napadači ukrali 164 miliona emajl adresa i lozinki. Polovina od ovih lozinki koristi SHA1 kriptografski algoritam bez dodatnih SALT hašova, te ih je izuzetno lako probiti.
Neki od softwera i alatki za kalkulaciju ovih hašova su dobro poznati John the Ripper i Hashcat. Sa malo jačom grafičkom karticom može se izvršiti oflajn krekovanje lozinki a potrebno je naći pogodan rečnik koji sadrži veliki broj realnih lozinki poput RockYou sa preko 8 milijardi unikatnih lozinki.
Alternativa naravno postoji i ponekad ako imamo malko sreće možemo koristiti onlajn altke poput crackstation ili odličnog sajta Dehashed.
Korišćenje Dehashed sajta nije besplatno ali daleko je jeftinije nego kupovati rig sa grafičkim karticama, bez daljnjeg!
Pošto je Hashed Password tačno 40 heksa-decimalnih karaktera iliti 160 bita lako je zaključiti da je to najverovatnije SHA1, te uz malo sreće neće koristiti dodatne sigurnosne mera za lozinke koje su tek uvedene posle 2012. godine, a o čemu piše Tayler us svom tekstu.
Uz pomoću hash generatora md5decrypt i u poredjenju sa cleartekst lozinkom iz BreachCompilation baze došao sam do finalne lozinke za nalog na linkedinu koja je imala istu hash vrednost kao i ona prethodna.
Sha1(m###########i) = 0###################################0f0
Pitate se kako se možete zaštiti?
- Koristite Sigurne Lozinke sa kombinacijom specijalnih karatkera, malih i velik slova, brojeva.
- Ukoliko socijalna mreža ima mogućnost verifikacije više faktora obavezno je uključite.
- Ne koristite reči koje se mogu naći u rečniku.
- NE reciklirajte lozinke! Pravite unikatne lozinke za različite društvene mreže.
- Pokušajte da periodično menjate lozinke.
- Preporučeno je koristiti menager lozinki, ali proverite da i on sam nije hakovan 😊
- Dužina je bitna u ovom slučaju. Preporučljivo je 13 karaktera minimalno.
- Ne delite svoje lozinke nikome!
- Proverite ukoliko ste se našli u nekoj od pre pomenutih baza
- Nemojte koristiti personalne podatke u svojim lozinkama pošto je do istih ekstremno lako doći.
Sada, kada znate kao hakeri mogu ukrasti vaš nalog i kako se možete zaštiti od istog, podelite to sa prijateljima i rodbinom, a pogotovo starijim članovima vaše porodice pošto su oni primarna meta raznih phishing kampanja i prevara. I najzad, iskreno se nadam se da će vam ovo pomoći da se bolje zaštitite u dobu cyber kriminala, te da hakerima otežate posao do te mere da će odustano od bilo kakvog pokušaja napada na vas!
Budite na oprezu i ostanite sigurni!