[Solar-general] clarin de hoy
Sebastian Bassi
sbassi en gmail.com
Jue Jun 29 03:22:03 CEST 2006
On 6/26/06, Leonardo F. Bauchwitz <lbauchwitz at yahoo.com.ar> wrote:
> Disculpáme, no sé de donde inferís que utiliza este método para acceder
> a las password.
> Tenés algún dato más?
Yo si. Lo he hecho varias veces. El 90% de las mujeres caen y en
hombres resulta en un 50%, probablemente porque no les interesa tanto
las tarjetas virtuales. Lo hacia como hobby en el 2001, como tambien
boludeaba con el cliente del sub7 (troyano), escaneba puertos al azar
y SIEMPRE encontraba giles con el servidor activo y escuchando. Me he
metido en sitios postnuke con inyecciones SQL (exploits publicos, no
me atribuyo ningun descubrimiento) y bajaba la base con los passwords
en MD5, muchos los desencriptaba con diccionario y/o fuerza bruta y
luego usaba eso passwords (de los usuarios del sitio) y los probaba en
su webmail y en muchas ocasiones, funcionaba!. O sea, los tipos usan
el mismo password para un sitio que para su propio mail, lo que es
cierto en la mayoria de las veces que el usuario tenia hotmail.
Todo esto no es para decir "que hacker que soy", porque como dije, no
reclamo haber inventado nada, sino para decir que la seguridad a nivel
de usuarios finales hogareños es en general un desastre. Y ni hablar
si uso (que en ese momento no se conocia) las vulnerabilidades que
permiten que cuando pones el mouse sobre un link, aparesca lo que vos
quieras en la barra de direccion, en lugar de la direccion verdadera,
de todas maneras, sin esa ventaja, funcionaba, porque el efecto visual
es tan "identico" que muchos ni miraban las barras ni la de direccion
ni la de estado.
--
Bioinformatics news: http://www.bioinformatica.info
Lriser: http://www.linspire.com/lraiser_success.php?serial=318
Más información sobre la lista de distribución Solar-general