LINUX.ORG.RU
ФорумTalks

Google сообщил о взломе сотен аккаунтов Gmail хакерами из Китая


0

0

Ъ

Хакерам из Китая удалось незаконно получить доступ к сотням аккаунтов почтового сервиса Gmail...

Для получения паролей для доступа к почтовым аккаунтам , предполагают представители Google, злоумышленники использовали так называемый фишинг (кражу информации путем создания поддельных сайтов). Целью кибератаки, проводившейся из китайского города Цзинань, было получение доступа к переписке и дальнейшее отслеживание писем...

В числе пострадавших от действий хакеров, сообщила компания Google, высокопоставленные американские госслужащие, военнослужащие, журналисты, а также китайские правозащитники и сотрудники правительственных структур ряда стран Азии, в первую очередь, Южной Кореи. При этом администрация президента США уже объявила, что, по имеющимся у нее данным, аккаунты сотрудников Белого дома на Gmail взломаны не были.

Вообще, я так понимаю, если ноги подобных действий растут откуда-то из правительства и какеры имели доступ, скажем, к провайдеру или шлюзу, то объект атаки (гугел в данном случае), может и не узнать о ней ? Может мы все ходим не на настоящую почту, а на фишинговые сайты, созданные <ZOG, ГБ, указать своё _______> ?

А вывод-то какой? 1 - по возможности шифровать, 2 - по возможности использовать защищённые каналы.

>фишинг (кражу информации путем создания поддельных сайтов).

высокопоставленные американские госслужащие, военнослужащие, журналисты, а также китайские правозащитники и сотрудники правительственных структур ряда стран Азии, в первую очередь, Южной Кореи.


Стадо идиотов, раз повелось на «поддельные сайты».

аккаунты сотрудников Белого дома на Gmail взломаны не были.


Ну эти поумнее будут.

Zhbert ★★★★★ ()
Ответ на: комментарий от Zhbert

>>> ...сотрудников Белого дома на Gmail...

Америке конец. А всё начиналось с того, что президенту разрешили сотовый...

timur_dav ☆☆☆☆☆ ()

сравнивать сертификат, полученный полученный по различным источникам?

spunky ★★ ()

>не на настоящую почту, а на фишинговые сайты
Говорят, ЛОР — не настоящий!

Fletch ★★ ()
Ответ на: комментарий от timur_dav

>А всё начиналось с того, что президенту разрешили сотовый...

некоторым iphone и ipad дали... страшно.

temporary ★★ ()

> А вывод-то какой? 1 - по возможности шифровать

а что, на лоре до сих пор остались клоуны, которые не подписывают письма и не шифруют их, если есть что прятать?

Rastafarra ★★★ ()

>В числе пострадавших от действий хакеров, сообщила компания Google, высокопоставленные американские госслужащие, военнослужащие, журналисты, а также китайские правозащитники и сотрудники правительственных структур ряда стран Азии, в первую очередь, Южной Кореи.

б-оже, спаси Америку!

drBatty ★★ ()

Теперь какеры насрут президенту Обаме в тви^W^Wна фейсбук.

Lumi ★★★★★ ()

>А вывод-то какой? 1 - по возможности шифровать, 2 - по возможности использовать защищённые каналы.

Неа, проще

1) Не использовать в качестве рабочей почту на популярных почтовых серверах
2) Разделять личную и деловую почту, деловой адрес по возможности не светить
3) Пользоваться почтовыми клиентами а не веб-почтой

DNA_Seq ★★☆☆☆ ()
Ответ на: комментарий от DNA_Seq

>3) Пользоваться почтовыми клиентами а не веб-почтой

В принципе имея всю полноту власти над шлюзом,наверное можно организовать подмену не только странички, но и pop/imap и smtp ? И, по отношению к хомячкам, ключи не помогут. Какой процент из них обратит внимание на ругань клиента на левые ключи безопасности и не станет пользоваться почтой ? Я прав?

temporary ★★ ()
Ответ на: комментарий от temporary

>В принципе имея всю полноту власти над шлюзом,наверное можно организовать подмену не только странички, но и pop/imap и smtp ?

RSA тоже подделывать будешь?

DNA_Seq ★★☆☆☆ ()

s/хакер/крекер/gi
rms.

urxvt ★★★★★ ()
Ответ на: комментарий от DNA_Seq

>RSA тоже подделывать будешь?

Я-то не буду, мозгов не хватит. Но вообще, не вижу принципиальных проблем. Допустим шлюз подменил собой все почтовые протоколы mail-сервера, использующего шифрование и RSA-подпись (создал свои ключи). Пользователь, ломять, например по imap, на mail сервер попадает на шлюз, который прикидывается mail-сервом, пользователь получает левый сертификат, клиент ругается, но пользователь игнорирует ругань, принимает сертификат и подпись какера, в этот момент, какер на шлюзе получает пароль хомячка и от его имени ломится на настоящий сервер, получает его сертификаты и подпись и работает от имени пользователя. пользователю же возвращает траффик шифрованный и подписанный уже своими ключами, предварительно расшифровав и переподписав данные, получаемые от настоящего сервера. Помочь может сторонний центр сертификации, но какер, опять же, гад, сидит на единственном шлюзе и всё идёт через него + использование центров сертификации, по-моему, не так широко распространено.

В данном случае поможет только что-то типа i2p, VPN с симметричным ключём, etc.

Извиняюсь за возможное нубство, ничего не утверждаю, всё вышесказанное - моё, возможно неверное ИМХО. Поправьте, если в корне не прав где-то.

temporary ★★ ()
Ответ на: комментарий от temporary

> но пользователь игнорирует ругань,
Против идиотизма пользователей любая технология бессильна

svu ★★★★★ ()
Ответ на: комментарий от elverion

Он борется правильное использование этих двух терминов, даже письмо в New York Times (вроде туда) писал с просьбой не называть взломщиков хакерами.
К сожалению, не могу найти его статью на эту тему.

urxvt ★★★★★ ()
Ответ на: комментарий от DNA_Seq

>RSA тоже подделывать будешь?

только я вот не знаю, передаются ли там пароли вообще или только их хеши, если только хеши, то сложнее. Короче, по-хорошему нужно долго и вдумчиво курить...

temporary ★★ ()

>аккаунты сотрудников Белого дома на Gmail
У них нет денег на свой сервер?

MrHouse ()
Ответ на: комментарий от temporary

Короче таки сложнее чем подделать стартовую страничку гмыла. А если и вся почта хранится локально...

DNA_Seq ★★☆☆☆ ()

Вообще непонятно, причем тут Google: ломали-то (даже и не ломали, а именно воровали логин/пароль) идиотов.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от MrHouse

> У них нет денег на свой сервер?

А чем Google отличается от правительства США? Как будто это не одно и то же.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от Zhbert

> Стадо идиотов, раз повелось на «поддельные сайты».

А если это DNS-фишинг? Кто тут просматривает айпишники, полученные по DNS - отзовитесь!

segfault ★★★★★ ()
Ответ на: комментарий от segfault

>А если это DNS-фишинг?
А сертификаты для кого придумали?

x3al ★★★★★ ()

> злоумышленники использовали так называемый фишинг

А я чуть не начал беспокоиться.

аккаунты сотрудников Белого дома на Gmail

САСШ вперде!

muon ★★★ ()
Ответ на: комментарий от x3al

Подумал, и поймал себя на мысли, что крайне редко обращаю внимание на уведомление фокса в адресной строке, что используется защищенное соединение. Неужели я один такой невнимательный? Или, может, здешние знатоки ИБ тоже спокойно ввели бы логин/пароль в «гугл мэйл», открытый по обычному http?

segfault ★★★★★ ()

>1 - по возможности шифровать

только письмо целиком

2 - по возможности использовать защищённые каналы


один хрен если перехват через провайдера - не спасет

Pinkbyte ★★★★★ ()
Ответ на: комментарий от DNA_Seq

>1) Не использовать в качестве рабочей почту на популярных почтовых серверах

поддерживаю

2) Разделять личную и деловую почту, деловой адрес по возможности не светить


обеими руками за

3) Пользоваться почтовыми клиентами а не веб-почтой


все равно не спасет

Pinkbyte ★★★★★ ()

Можете меня судить как угодно, но вы думаете что взламывают только те ресурсы которые появляются в новостях? Лично я думаю что взламывают все крупные предприятии, только не у всех это выходит в общественность.

unixnik ★★★★★ ()
Ответ на: комментарий от unixnik

Идеальная защита не может быть придумана человеком, так как он сам полон кучей ошибок которые он сам же и развил.

unixnik ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.