ICQ vs People

Re: ICQ vs People

> всё не читал поэтому не знаю кто нибудь уже догадался или нет но логиница в ICQ нужна в инвизибле и тада всё харашо - можна даже ставить визибл по отношению к конкретным избранным контактам и всё работаит

а у миня ни работаит

Re: ICQ vs People

Заработала миранда, на этой версии протокола http://addons.miranda-im.org/details.php?action=viewfile&id=3705

Пишут, если сразу не заработало, надо поиграться с версией клиента и протокола (все в настройках есть)

Re: ICQ vs People

Вместо того чтобы плакаться задосили бы багзилу клиентов - буржуины то не знают

http://developer.pidgin.im/ticket/8198

Re: ICQ vs People

>Pidgin 2.5.2 работает через tor

А как настраивал?

Запустил tor на 9050-м порту и privoxy на 8118. Прописал Пиджину юзать HTTP-прокси localhost:8118. При коннекте - всё та же ошибка от UIN=1.

KRoN73 (22.01.2009 1:06:10)

Re: ICQ vs People

Пардон, уже разобрался. HTTP не нужен, соединился прямо по SOCKS5 на 9050.

Да, через tor работает.

Осталось только задушить сволочей, которые по tor'у киношки качают :)

KRoN73 (22.01.2009 1:07:58)

Re: ICQ vs People

>>>Осталось только задушить сволочей, которые по tor'у киношки качают :)

Тор подствляет нерусские Ip адреса отсюда и работает. Т е видимо подойдет любой прокси сервер с нерускким IP.

Re: ICQ vs People

Вышел фикс для квипа, так что аськокапец, похоже, откладывается((

Будем надеяться и верить в ребят из AOL.

Re: ICQ vs People

qip вроде выпустил рабочую версию, значит и остальные скоро подтянутся. А жаль было б неплохо пару дней без аськи

Freek (22.01.2009 1:14:01)

Re: ICQ vs People

Нашлось очень простое решение, старый добрый toonel.net :)

B084 (22.01.2009 1:15:37)

Re: ICQ vs People

Всё, на balancer.ru транспорт запустил через tor. Работает. Только сообщения по 20 секунд идут :)

KRoN73 (22.01.2009 1:26:20)

Re: ICQ vs People

Если я правильно понял http://chatlogs.jabber.ru/miranda-im@conference.jabber.ru/2009/01/22.html , то qip просто коннектит всех своих клиентов через незабаненный прокси? Гениально)))

Re: ICQ vs People

с хабра:

"Похоже что команда разработчиков QIP нашла решение проблемы, уже доступны рабочие билды QIP Infium 9022. С нами делиться дальнейшим описанием проблемы они отказываются..."

Ильхамушка пидарко

Re: ICQ vs People

> Народ, подскажите, через тор тоже чтоль небезопасно?

На опеннет написали уже что аську через тор угнали.

> Жабер не предлагать

Только жаббер.

> всех поставщиков и продактов на жабер не перевести.

У нас для таких mini-faq есть c реальным примером утечки конфиденциальной инфы через ICQ и кратким списком потенциальных проблем похуже. Есть почта, а кому нужно общение в реальном времени ставит жаббер, случаев чтобы поставщики упирались я не помню.

Re: ICQ vs People

>"Похоже что команда разработчиков QIP нашла решение проблемы, уже доступны рабочие билды QIP Infium 9022. С нами делиться дальнейшим описанием проблемы они отказываются..."

не деляться скорее всего чтобы AOL не понял че-кого и не замял дело...

st0ke (22.01.2009 1:48:12)

Re: ICQ vs People

> Да, через tor работает.

Почитай на опеннете - там у чувака, который tor юзал, уже аську угнали. ICQ никаких SSL'ей не поддерживает, а на exit нодах торовских ловилку всякой вкуснятины поставить - милое дело.

Re: ICQ vs People

> У нас для таких mini-faq есть c реальным примером утечки конфиденциальной инфы через ICQ и кратким списком потенциальных проблем похуже.

реквестирую

opensuse (22.01.2009 1:52:27)

Re: ICQ vs People

>ICQ никаких SSL'ей не поддерживает

Так с недавних пор они только md5-пароли принимают?

KRoN73 (22.01.2009 1:55:54)

Re: ICQ vs People

> http://qip.ru/

Зашел сейчас... кип такой кип :)

http://img.flashtux.org/upload/img1328d0939852xe48e7499.png

s:mouther знает что делать :)

Re: ICQ vs People

Да, с базой этих картинок что-то они намутили :)

JackYF (22.01.2009 2:04:03)

Re: ICQ vs People

> реквестирую

К сожалению, оно не для публики. Но свое написать особой проблемы я не вижу.

Re: ICQ vs People

> Так с недавних пор они только md5-пароли принимают?

И что?

Re: ICQ vs People

> У нас для таких mini-faq есть

чем я не "такой"?

> Но свое написать особой проблемы я не вижу

будь другом, напиши. мне интересно почитать будет

opensuse (22.01.2009 2:12:37)

Re: ICQ vs People

Надо срочно в АОЛ толкать идею, что бы замутили шифрование при коннекте, что бы все сторонние клиенты отпали на долго

Siado (22.01.2009 2:17:06)

Re: ICQ vs People

хе сегодня 5 людей перевел на скайп с аськи :) плохой я человек

sansei (22.01.2009 2:18:43)

Re: ICQ vs People

>И что?

То, что пароля в открытом виде не передаётся. Даже в случае (достаточно трудоёмкого) подбора md5-коллизии, она позволит авторизоваться от твоего имени, но не поменять пароль на ICQ-сервере. Так как это делается только через сайт и только с прямым паролем. Значит, зайти от твоего аккаунта смогут, увести его - нет.

Где я не прав? :)

KRoN73 (22.01.2009 2:19:21)

Re: ICQ vs People

> Где я не прав? :)

Никаких подборов не нужно, если у тебя есть хэш, ты уже можешь по нему авторизоваться. Пароль поменять наверное не получится, да. Хотя если там всего навсего md5, паролей подобрано все равно будет достаточно.

Re: ICQ vs People

Авторизовываться ты сможешь, имея хэш и отсылая его серверу. Подобрав пароль, при котором получается этот хэш ты уже сможешь творить с аккаунтом все что угодно. Не обязательно md5-коллизию, ты ведь в процессе подбора можешь найти и оригинальный пароль.

YAR (22.01.2009 2:46:17)

Re: ICQ vs People

Эх, долго печатал :)

YAR (22.01.2009 2:47:17)

Re: ICQ vs People

че-то через tor выжирает трафик, а толку никакого - сыпет ошибкой на невозможность соединения, и мол TTL ауентификация тайм аут 8) Видать нищебродский GPRS не катит...

Andru (22.01.2009 2:47:54)

Re: ICQ vs People

>Никаких подборов не нужно, если у тебя есть хэш, ты уже можешь по нему авторизоваться. Пароль поменять наверное не получится, да.

Тогда это не так страшно. Увести аккаунт, значит, не смогут. А приватной инфой по ICQ всё равно не делятся :) Кроме того, если аккаунт у тебя в онлайне почти постоянно, то при попытке зайти со стороны это будет сразу обнаружено вышибанием твоего клиента.

KRoN73 (22.01.2009 2:53:54)

Re: ICQ vs People

>Подобрав пароль, при котором получается этот хэш ты уже сможешь творить с аккаунтом все что угодно.

Только авторизоваться. Сменить пароль не сможешь.

>Не обязательно md5-коллизию, ты ведь в процессе подбора можешь найти и оригинальный пароль.

Вероятность нахождения оригинального пароля --> 0 :) Там же не "12345" у вменяемых людей стоит.

KRoN73 (22.01.2009 2:55:27)

Re: ICQ vs People

> Увести аккаунт, значит, не смогут.

* сразу не смогут.

И вообще я не уверен что там действительно md5. Осенью когда баловался везде был plaintext.

Re: ICQ vs People

>сразу не смогут.

Так предложи вариант реального увода :) Подбор пароля не предлагать. Не прокатит. Перехвата md5 от пароля для аутентификации хватит, а для смены пароля - нет.

>И вообще я не уверен что там действительно md5. Осенью когда баловался везде был plaintext.

У меня же pyicq-t. Опенсорсовый. Естественно, я первым делом проверил куски кода, где формируется пакет аутентификации :) Там от настройки конфига зависит. У меня включена <usemd5auth/>

А вот напрямую из того же Пиджина выходить боюсь. Там настройки такой нет, а чем он авторизуется - Х.З. Распаковывать сорцы ломает :) Так что - пока через транспорт сижу.

KRoN73 (22.01.2009 3:00:54)

Re: ICQ vs People

Всё, вроде, и в Миранде уже разобрались. Эти, в отличии от Кипа сорцы не прячут, так что завтра решение будет уже во всех клиентах.

И чего, интересно, этой акцией AOL добился? Очередного пиара альтернативным клиентам и протоколам? :D

Большое спасибо компании America-On-Line за сеанс благотворительности! :D

KRoN73 (22.01.2009 3:03:49)

Re: ICQ vs People

Не уверен, что в миранде просто не юзают квиповский проксик)

Re: ICQ vs People

Нет, народ уже разобрался с принципом. Цитирую:

=== cut ===
(02:58:53) persei: sequence id начальный должен быть не случайным, дальше он инкрементируется пока за ffff не перевалится, там с нуля начинается
=== cut ===

KRoN73 (22.01.2009 3:12:10)

Re: ICQ vs People

Про перевалку через 256 и в официальных доках написано, здесь ничего нового. Вот seed seq id уже интереснее, если он действительно не случайный.

Re: ICQ vs People

> Так предложи вариант реального увода :) Подбор пароля не предлагать. Не прокатит. Перехвата md5 от пароля для аутентификации хватит, а для смены пароля - нет.

На опеннете реальный увод, если чувак не гонит конечно. На самом деле увод и не нужен - достаточно грохнуть контакт лист и считай то же самое что ты завел новую аську - часть контактов конечно тебе напишет, но большая часть будет потеряна. Либо можно написать оскорбления каждому контакту - тоже расхлебывать придется не слабо.

> А вот напрямую из того же Пиджина выходить боюсь

О чем и речь.

Tor, кстати, еще и тормозной как пц. Думаю, его элементарно забанят лимитом на round trip.

Re: ICQ vs People

> Всё, вроде, и в Миранде уже разобрались. Эти, в отличии от Кипа сорцы не прячут, так что завтра решение будет уже во всех клиентах.

Ход за AOL. Напишу таки бота который ловит пароли и делает гадости, поставлю на VPS в пиндосии exit node и проксик. Тех, кто будут пытаться обойти AOL сменив айпишнек, буду карать я лично.

Re: ICQ vs People

http://dev.aol.com/aim/oscar/#FLAP

Datatype: FLAP__Header

The header contains the frame type, a sequence number, and the length of the following data segment. The sequence number is independently sequential in each direction. Packets from the server to client have one sequence number, while the packets from the client to server have a different independently increasing number. If the server receives a sequence number out of order it will terminate the connection. A common mistake is to use a u08 to represent the sequence number, which will roll over at 255 and cause the server to disconnect the client.
Name	Type	Notes
startMarker	u08	ASTERISK (literal ASCII ‘*’)
frameType	u08	[Class: FLAP__FRAME_TYPE] Frame type
sequenceNumber	u16	Initialized to a _random_ value, increments for each send
payloadLength	u16	Length of data, does not include the 6 byte header length

Re: ICQ vs People

> А вот напрямую из того же Пиджина выходить боюсь. Там настройки такой нет, а чем он авторизуется - Х.З. Распаковывать сорцы ломает :) Так что - пока через транспорт сижу.

pidgin-2.5.3/libpurple/protocols/oscar/family_auth.c
там есть функция
aim_encode_password_md5(const char *password, size_t password_len, const char *key, guint8 *digest)

остаётся надеяться, что пиджин её использует :)

Re: ICQ vs People

Прально, так и нада ;)

Siado (22.01.2009 3:22:01)

Re: ICQ vs People

>Зашел сейчас... кип такой кип :)

>http://img.flashtux.org/upload/img1328d0939852xe48e7499.png

Спасибо, долго ржал и коллекцию себе наскринил ))))

Siado (22.01.2009 3:22:33)

Re: ICQ vs People

>На опеннете реальный увод, если чувак не гонит конечно.

Он мог юзать plaintext аутентификацию.

>достаточно грохнуть контакт лист и считай то же самое что ты завел новую аську - часть контактов конечно тебе напишет, но большая часть будет потеряна

Ну, значит мне просто проще. Я сам по ICQ уже много лет первым не пишу :) Все нужные _мне_ люди - в Jabber'е. По ICQ обычно ищут меня.

>Либо можно написать оскорбления каждому контакту - тоже расхлебывать придется не слабо.

Для любого человека, знающего меня в онлайне, это будет первым же признаком, что аккаунт не под моим управлением :) Когда у меня первый раз UIN увели, то смену манеры общения _сразу же_ человек пять просекли. И это даже без оскорблений...

>Tor, кстати, еще и тормозной как пц.

Сообщения самому себе идут 15..20 секунд. Значит в один конец - 7..10 секунд. В принципе, терпимо.

>Думаю, его элементарно забанят лимитом на round trip.

Ась? Это как? :)

KRoN73 (22.01.2009 3:23:09)

Re: ICQ vs People

И не жалко тебе бабок на VPS? :)

KRoN73 (22.01.2009 3:24:22)

Re: ICQ vs People

Да и не ICQ-шников ты карать будешь, а обслуживать раздачи вареза, порнухи и видео с файлопомоек :D

KRoN73 (22.01.2009 3:25:28)

Re: ICQ vs People

> Он мог юзать plaintext аутентификацию.

Ну видимо так и было. Если вы точно уверены, что у вас используется MD5 и надежный пароль - можете юзать аську через тор, и тогда ваш акк не угонят, а всего навсего сотрут контакт лист или обматерят всех контактов.

> Ась? Это как? :)

Ну вот увидят что ответ на keepalive от сервера от тебя приходит через 15..20 секунд и пошлют нахрен. Я думаю даже на распоследних GPRS и спутниковой связи задержки меньше.

Хотя думаю, у них там целый комплекс мер, и вчера была лишь проба пера.

Re: ICQ vs People

>Я думаю даже на распоследних GPRS и спутниковой связи задержки меньше.

Я летом сидел на GPRS и максимальный пинг был около 30 секунд :D

>Хотя думаю, у них там целый комплекс мер, и вчера была лишь проба пера.

Ну, вон, сейчас алгоритм с Миранды прикрутят на pyicq-t и можно будет отказаться от Tor'а.

KRoN73 (22.01.2009 3:49:56)

Re: ICQ vs People

> И не жалко тебе бабок на VPS? :)

У меня скидки :)

> Да и не ICQ-шников ты карать будешь, а обслуживать раздачи вареза, порнухи и видео с файлопомоек :D

Да я вот как раз думаю как бы зарезать эту хренотень, но остаться при этом exit нодой. Слать RST на SYN для всех соединений не на :5190 шоле...

Re: ICQ vs People

> Ну, вон, сейчас алгоритм с Миранды прикрутят на pyicq-t и можно будет отказаться от Tor'а.

Было бы здорово еще DDOS qip.ru устроить, чтобы лемминги обновиться не смогли.