Адрес для входа в РФ: exler.wiki
Канал взломали и удалили
Э... Мне кто-нибудь может объяснить, как можно "взломать и удалить" youtube-канал с двухфакторной аутентификацией (даже я такую использую, а уж что на "Эхе" такую не используют - я поверить не могу) и как его при таком крутом взломе можно восстановить (очевидно, что если взломали, то все данные аутентификации поменяли) со всеми удаленными данными через несколько часов?
Я просто интересуюсь. Я саму технологию что взлома, что восстановления не понимаю в упор. И не понимаю слова "взлом" - о "взломе" youtube-канала слышу первый раз в жизни. Подобрать пароль для известной почты gmail - при условии, что пароль задавал идиот - это запросто. А "взлом"?
Тут только два варианта. Или у youtube большие проблемы с безопасностью, во что я не верю ни разу, или что тут какое-то дело темное со стороны "Эха".
P.S. Может, админ канала пароль просто забыл? Бывает такое...
1. Украсть пароль. Сотрудники активно пользуются личными ноутами на работе, это даже в эфире того же ютюба видно. Они эти ноуты таскают везде, в поездках, на прессухах и т.д. и скорее всего пихают его в публичные вайфаи. Это серьезная точка уязвимости, можно как потырить тафик прямо налету, можно подсунуть вредонос, винда это все сожрет. Дальше дело техники.
2. Собственно перехват смс. Для этого есть куча вариантов. Тупо делается дубликат симки, очень распространенный способ. Или на телефон который указан как контактный запихивается троян, очень много способов как это сделать, дыр полно. И т.д.
И вуа-ля! Если мы говорим о публичном ресурсе как канал Эха, у которого довольно много "недоброжелателей", то вполне вероятно направленная атака. И провести эту атаку может, ну не школьник, но студент 2-3 курса точно сможет.
И это все с учетом того, что все настроено как положено. Не стоит недооценивать раздолбайство, это страшная сила.
ps вот ссылка на заметку журнала Хакер еще от 2016 года, там же есть ссылка на первоисточник документ The National Institute of Standards and Technology, NIST.
xakep.ru
вот свежая новость как украли несколько миллионов в крипте взломав двухфакторную аутентификацию
xakep.ru
ИМХО очень удобно и надёжно.
У меня лежит в сумке такой генератор от одного из банков (для личного счета). Сначала вводишь пароль, потом система спрашивает токен: нажимаешь на брелоке и вводишь отображенный код. Неудобно безумно, но куда деваться.
Похожая штука есть и у майкрософта в его аутентификаторе - и это, кстати, более безопасно. Токен в сумке - любой может его вытащить, нажать на кнопку и получить код, поэтому это спасает от массированных атак, но вот при атаке "изнутри" может не спасти. Например, ушлый коллега подглядел пароль, дождался, пока ушел на горшок, и вытащил токен из сумки. Токен, конечно, можно и с собой таскать, но это лишь уменьшает простоту физического доступа к нему, но полностью не исключает.
А в телефоне так код получить уже сложнее, особенно если вход в телефон на глазах у других людей осуществляется только через отпечаток пальца.
Вообще, как я уже тут писал - взломать можно все, что угодно; главное - чтобы была цель, оправдывающая средства. И средства на такие средства, конечно 😄))
Authenticator Assurance Level 1: AAL1 provides some assurance that the claimant controls an authenticator bound to the subscriber’s account. AAL1 requires either single-factor or multi-factor authentication using a wide range of available authentication technologies. Successful authentication requires that the claimant prove possession and control of the authenticator through a secure authentication protocol.
Authenticator Assurance Level 2: AAL2 provides high confidence that the claimant controls an authenticator(s) bound to the subscriber’s account. Proof of possession and control of two different authentication factors is required through secure authentication protocol(s). Approved cryptographic techniques are required at AAL2 and above.
Authenticator Assurance Level 3: AAL3 provides very high confidence that the claimant controls authenticator(s) bound to the subscriber’s account. Authentication at AAL3 is based on proof of possession of a key through a cryptographic protocol. AAL3 authentication requires a hardware-based authenticator and an authenticator that provides verifier impersonation resistance; the same device may fulfill both these requirements. In order to authenticate at AAL3, claimants are required to prove possession and control of two distinct authentication factors through secure authentication protocol(s). Approved cryptographic techniques are required
Начиная со второго уровня двухфакттрная аутентификация обязательна. На первом, самом простом уровне, не обязательна, но возможна.
Читайте то, что написано, а не бред из журнала >какер. Вы прямо наглядно и на примере показали, что даже предвыборные обещания путина содержат меньше вранья, чем статьи из >какера.
И потом, львиная доля ресурсов в интернете вторым фактором использует именно смс, есть конечно исключения но их мало, даже в финансовой сфере.
И не надо говорить мне что читать, а что нет. Сами бы лучше поучились читать и видеть в тексте не то что вам кажется, а то что там написано.
Гугл неоднократно писал, что смс - это слабозащищенный канал, и в серьезных случаях его использовать не стоит.
А вот использование в качестве второго фактора хардварных токенов наоборот, показало себя с самой лучшей стороны, и всячески гуглом приветствуется.
В вашей же ссылке это сказано черным по белому.
Вы сами-то читали?
неслабая аутентификация по ключу, которую вы, болезый, способны сохранить от посторонних глаз.
Да, и не читайте журналов какер. Это просто смешно.
gsuiteupdates.googleblog.com
вот пруф заграничный, раз вы наших не любите: www.schneier.com
неслабая аутентификация по ключу, которую вы, болезый, способны сохранить от посторонних глаз.
Я тоже работал на несколько банков и даже западных в том числе. Так что кроме детсадовских коверкакний слов приведите хотя бы один пруф ваших слов. Банки не используют ничего другого, потому как пока не придумали лучше. Но это не значит что это все такое секурное что спасу не.
Почему говоря о взломе все понимают под этим какой-то там прямой подбор паролей к аккаунту, или какую-то атаку непосредственно на целевую систему (ога, "пригоженские тролли"
нашли уязвимость в youtube). Конечно же нет. Это может и социальная инженерия быть, с фишингом, подкупом сотрудника, и утечка паролей с троянизированной машины (возможно это было даже не целенаправленно, просто кто-то случайно получил от своего ботнета данные, опа, а там "Эхо", ну и перепродали каким-нибудь "ольгинским" чтоб те устроили безобразие. Ну и как я уже писал, это может быть взлом wi-fi сети офиса (или взлом самого маршрутизатора), ибо, редакция находится в здании с кучей других офисов (можно быть в зоне досягаемости сигнала и спокойно вести взлом сидя за стеночкой), а эксплоиты для взлома WPA/WPA2 это вовсе никакая не фантастика.
ЗЫ: Как восстановили? Ну написали в саппорт, представились, объяснили ситуацию. Естественно со стороны юзера физически ничего не удаляется (по крайней мере не сразу), так что в саппорте просто отменили удаление и все вернулось.
И так вот всё у них (при всём уважении). А ещё могли девайс с настроенным Ютубом тиснуть...
Ну, кто-то получил список подписчиков, на всякий случай.
1. Полтергейст.
2. Нонсенс.
3. Позитронно-квантовое запаздывание (это самый простой случай, когда пользователь совершает правильные действия в неправильное время или в неправильной последовательности).
А если конкретно, при таких исходных данных очень может помочь осадок в чашке от кофе. Ну и Рябцева, конечно.
Через всё, что делает ААВ и его станция, красной нитью проходит небрежность и непрофессионализм. И виной тому - их монопольное положение в этом сегменте рынка.
По данным TNS Global, самый большой сегмент аудитории Эха - люди старше 60-ти и большинство из них слушает эфир.
Кстати, вы сами задали систему отсчёта в своём комментарии
AM против FM - это не конкуренция
И что, talk radio всерьёз слушают эфирными приёмниками? Бросьте, только некоторые по дороге на работу в авто же. Остальные давно пользуются интернет-вещанием и подкастами.
AM против FM - это не конкуренция.
"Маяк" - это не talk radio.
ЗЫ а ещё этот... Маяк!
Подкажите кто ещё в этом сегменте, и я их с интересом послушаю.
там же нифига не удаляется в реале, так что отмену можно сделать легко и просто.
Канал они тогда активно не вели, но какие-то аттрибуты доступа вполне могли храниться там.
Собственно, все крупные сервисы - и гугл, и яху, и микрософт, уже давно так делают. Поэтому, представить ситуацию со "взломом" крупного медийного канала очень сложно. Тут явно или троян, или...
Чтобы авторизоваться и, тем более, сменить пароль, этого мало.
А хороший взлом - еще и незаметный взлом. Никто никогда не узнает, сколько раз Гугл и Ютуб взламывали, и никто, даже сам гугл, не знает - взломан ли он сейчас и пользуется ли кто-то внутренней информацией. Ожидание тщательного подхода к безопасности очень сильно преувеличено. Оставляя в стороне дискуссию об общем качестве Касперского, недавно всплыла бага (старая), в которой их Secure Connection передавал запрос к DNS-серверам по незащищенному каналу. Если уж в таком продукте такая откровенная дырка, то что можно говорить о толпе гастарбайтеров-кодеров в гугле. Думаю, не надо напоминать, как они "случайно" пособирали открытые вайфаи, и как у них рухнул Google+ в начале своей жизни из-за того, что на диске тупо закончилось место.
А в данной ситуации вообще могли просто случайно сами потереть канал и заявить, что взломали (вообще мог сотрудник с доступом случайно грохнуть и побояться об этом сказать) - я не говорю, что тут было именно так, но так тоже бывает гораздо чаще, чем кажется.
The world’s most popular YouTube video has been hacked
Hackers have managed to deface an array of popular YouTube music videos, changing titles and thumbnail images.
Как и везде, там ничего не удаляется полностью, поэтому и можно восстановить. Но, учитывая, "популярность" канала Эха, все это больше похоже на самострел ради пиара.