한메일 야후메일 등(해킹일까요?) 쓴 사람임

park712의 이미지

많은 조회수.. 사실인지 아닌지 모르지만..
(최근 조회수 자동으로 올리는 프로그램 직접 만들었음)
리플에 보니 극에서 극이더군요
99% 불가하다는 이야기와 pc방에 가면 능력있는 사람 많다는 이야기와 함께
오늘 한국 hp sw엔지니어와 통화했습니다.
물론 제가 운영하는 장비의 유지보수 업체 직원하고도 통화했고요
그리고, 지인들중 컴퓨터 좀 알고 있는 사람과 통화했고요
결론은.... 야후 한메일 등 메일의 id에 대한 비번은 알 수 없다 입니다.
물론 root권한을 가지고 있는 슈퍼유저도 일반 id의 비번은 알 수 없다 입니다.
리플중 메일 보내서 어쩌구 저쩌구 있는데요. 그건 상대가 메일 안 읽으면 어떻게 할 것입니까? 저는 단지, id를 주고 비번을 알 수 있냐는 질문입니다.
단편적인 예를 들어 아래한글을 봅시다.
아래한들 개발한 사람 조차 암호 설정된 아래한글을 플수 없습니다.
왜냐면. 아래한글에서 아무것도 입력않고 저장하고...
이렇게 하면 파일 헤드 정보를 알수있지요 아래한글은
스페이스 바 만 입력하고 암호설정 저장하고
그리고 엔터 키를 입력하고 암호설정하고 저장하고
그리고 A만 입력하고 암호설정하고 저장하고
암호도 1이나 스페이스 바 또는 A 등 저장하고 fc명령어로
비교해 보면 파일 구조를 알 수 있습니다.
그렇다면, 비밀 번호가 위치한 정보를 알 수 있죠... 예전에는 스태틱했지만
요즘 다이내믹 합니다. 즉, 알고리즘 개발자도 모른다 입니다.
아마 유닉스 파일 암호파일도 다이내믹 할 것이라는 것이 저의 생각이고
주위의 몇 몇 분 생각입니다.
근데 어떻게 pc방에 가면 암호 깨는 사람이 많죠.... 사전파일을 이용해 크랙을 한다........ 이런것은 말도 안되는 이야기 입니다. 즉, 패스워드 파일이 있다면
누군가 제공해야하고 패스워드 파일과 사전이 일치해야한 합니다.
패스워드 접근자는 root권한자이죠 su - 명령으로 한다고요..... 이런..
사전에 없는 단어가 패스 워드라면 결코 알 수 없습니다.
예를 들어 볼까요..... 절대 따라 하지 마세요.
alt 키 누른 상태에서 키 패드(반드시 키패드) 적당한 숫자 입력하면
"뮄뮎{뱶" 이런 문자가 나옵니다. 경우에 따라서는 확장 아스키 문자가 나옵니다. -> 키보드를 이용해 이상한 문자 입력가능할까요
?
저는 패스워드 8바이트 입력하는데 키 보드는 24번 누릅니다..
이러 파일을 비밀번호를 설정하면 시스템은 인식을 못합니다. 즉, 비밀 번호 변경은 성공했다고 메세지가 나오지만 실제 login 할때 login 실패라는 메세지가
나옵니다. 왜 이렇까요...... 절대 절대 따라 하지 마세요...
야후메일에는 네모로 나오는 확장 아스키 파일을 테스트 성공했지만 기타메일 서버는 로그인 안됩니다. 즉, 이거 따라하다 비번 잃어버립니다.
(확장 아스키 코드는 ( http://www.asciitable.com/ )
܆ Š --> 좌측에 2개의 문자 보이시죠.......예를 들은 것임
저도 개발하지만........ 어떻게 이런게 가능하지 모릅니다.
즉, 내부자 공모(root권한자)가 있어 패스워드 파일을 외부로 유출했다고
가정해도 결코 id에 대한 비번은 알 수 없다 입니다.
단, 사전 파일의 비번제외 예: apple car future windows 등.
리플 달아 주신분들에 대해 고맙다는 표현을 남기고 싶고 99% 불가하다고 달아
주신분은 시스템 관리자가 아닐까 하는 생각이 듭니다.
뉴스에 패스워드 해킹했다고요.. 이것 비 유니스 시스템 패스워드
또는 패스워드 파일이 아닌 플레인 text 자료가 DB에 기록된 거겠죠
..혹자는 그러더군요. 만약 야후나 한메일에서 비번을 알 수 있다면
이미 망했을 것이다 라고...... 많은 정치인 또는 유명인이 id를 공개합니다.
우리나라에서는 국정원이나 국군 정보사에서 정보적 가치가 있는 많은 id
를 수집했겠지만 비번은 알 수 없겠지요..... 물론 영장을 가지고 포워딩 기능을
이용하겠지만요... 그래도 결국은 id에 대한 패스워드는 알 수 없다는 것이
저의 결론입니다.
주위의 알고 있는 사람들의 결론입니다.
리플 달아 주신분들 중 어떻게 하면 id에 대한 패스워드를 알 수 있는지
답변 해 주시면 감사합니다. 개인적으로 돈 봉투를 들고 다니면서 배우고 싶네요
이제 코딩을 그만하고 싶고 네트워크 보안이니 해킹등을 공부해서
살고 싶은 생각 뿐입니다.

어떠한 리플도 감사합니다 .... 리플을 보고 느끼고 배우니까요

offree의 이미지

정확히 말하자면,
"한메일,야후메일의 ID/비번 암호화를 깰수 있을까요? "
가 맞겠군요.

해킹이라고 해서 답글이 원하는 방향으로 나오지 않은 듯 하네요.

사용자가 바꾸어 나가자!!

= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com

ydhoney의 이미지

id관리를 어떻게 하느냐에 따라 다른것 아닌가요?

유닉스식의 사용자 관리를 하고 있는건지..(사용자 계정 주고..관리하고..)

DB로 관리를 하고 있는건지..(사용자DB따로 만들고 넣고 DB사용자에게 DB공간주고..이런식의..?)

사실 전자이던 후자이던 해킹이 힘든건 둘다 마찬가지이지요.

특히나 DB해킹이 더 열받는것도 사실이고 말이지요.

사실 몇몇 알려진(혹은 안알려진) 시스템을 만지면서 생각해보건데..

ID관리는 정말 그 부서의 보안정책에 따라 천차만별의 관리를 하고

그 관리방법에 따라 일부 방법은 로컬에서의 접근이 어려운게 아닌데

단지 네트웍상으로 알아내기에는 거의 불가능하다는것입니다.

왜 사이트마다 보면 ID/PW분실하면 일정 명령을 치면 ID/PW를 알려주거나

다른 비밀번호로 변경하고 변경한 비밀번호를 알려주거나 하지요?

(주민번호를 치라고 하거나, 사용자가 미리 입력한 단어를 입력하라 하거나 등등..)

PW를 잠깐 깜빡할수는 있는데..당장 업체의 입장에서 볼때 저것 자체가 치명적인

보안문제가 될수 있지요. 당장 어떻게 ID를 관리하는지를 알수가 있으니..

PW가 뭐다~ 하고 쉽게 나오는곳이라면 DB로 관리를 하는곳일 확률이 높고

다른 PW로 바꿔주는곳은 유닉스식 사용자 관리를 하고있을 확률이 높겠지요?

그런데..이러나 저러나 뚫기는 어렵습니다. 옛날처럼 root얻으려 기를 쓰고

노력해서 들어간 다음에 비밀번호는 어떻게든 기를 쓰고 알아내고 시스템에

백도어 설치해놓고 다음부터는 쉽게 들어갈수 있는 그런 시스템은 이제 사라졌다고

보면 되지요. 적어도 대형사이트라면..

만약에라도 어떻게 들어갔다 칩시다. 로그가 남습니다. 로그를 지우면 된다구요?

라인프린터로 바로바로 로그파일을 출력해버리는데 지운다고 해결이 되나요.

그리고 뭔가 찝찝한 상황이 발생했다 싶으면 바로 시스템에서 감지하고

알람을 울리기 마련~! 하지만 사용자 계정을 알아내려면 어떻게든 시스템에

접근을 해야하기는 하고..결과적으론 요즘엔 방법이 없습니다.

그냥 그 사람이 자주가는 pc방에 키로그를 설치하거나 아니면 그 사람하고 친해져서

그 사람하고 놀다가 컴퓨터에 몰래 키로그를 설치하는 방법이 아니면 순수하게

해킹이라는 것으로는 방법이 없다는거지요.

advanced의 이미지

윗분 말씀처럼 PC 방 해킹 이런 단어가 나오면

대부분 키로거에 의한 거겠죠

어떠한 복잡한 암호라도 키로거에 의해 간단하게 알아내지 않을까요?

예상외로 PC 방에 많이 설치되어 있습니다

warpdory의 이미지

Advanced wrote:
윗분 말씀처럼 PC 방 해킹 이런 단어가 나오면

대부분 키로거에 의한 거겠죠

어떠한 복잡한 암호라도 키로거에 의해 간단하게 알아내지 않을까요?

예상외로 PC 방에 많이 설치되어 있습니다

그거 안 깔린 PC 방 본 적 ... 없습니다.

출장등으로 PC 방 가게 될 일이 있더라도 단순 게임 외에는 거의 안 합니다. 아니면 제 노트북을 네트웍에 연결시켜서 쓰든지요.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

ydhoney의 이미지

누군가 중간에서 스니퍼로 패킷 걸러내기 놀이를 하고있는중이라면

그것 또한 안심할수 있는일은 아니겠지요? ^^

물론 이것저것 다 겁나면 뭘 할수 있겠습니까마는..^^

warpdory의 이미지

ydhoney wrote:
누군가 중간에서 스니퍼로 패킷 걸러내기 놀이를 하고있는중이라면

그것 또한 안심할수 있는일은 아니겠지요? ^^

물론 이것저것 다 겁나면 뭘 할수 있겠습니까마는..^^

그래서 대부분 중요한 일은 ssh 로 서버에 접속해서 작업하곤 합니다. 뭐 ssh 마저 가로채서 써먹겠다면 그렇게 하라죠 뭐.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

버려진의 이미지

저번 쓰레드에도 이야기가 나왔지만, 크래커라면 안뚫린곳 뚫으려고 노력하는 것보다는 뚫기 쉬운 곳을 찾습니다.

밑도 끝도 없이 패스워드를 알아낼 수 있는가... 라고 화두를 던지시니 이런저런 이야기가 나오는 거지요...

ydhoney의 이미지

PYJ200 wrote:
저번 쓰레드에도 이야기가 나왔지만, 크래커라면 안뚫린곳 뚫으려고 노력하는 것보다는 뚫기 쉬운 곳을 찾습니다.

밑도 끝도 없이 패스워드를 알아낼 수 있는가... 라고 화두를 던지시니 이런저런 이야기가 나오는 거지요...


밑도끝도 없는 화두를 던지면 또 그에 맞게 밑도끝도 없이 나름데로

열심히 생각해 나름의 결론을 도출하면 그만입니다. ^^

이렇게 하는것도 생각치 못한 괜찮은 결과물을 얻어내곤 하지요.

모든것을 정형화시키라고 굳이 강요할 필요까지는 :)

realcns의 이미지

이제는 컴퓨터를 해킹하는게 아니라 사람을 속이는 기술이 더 큰 비중을 갖고 있는것 같습니다. 아무리 컴퓨터 시스템이나 암호화 알고리즘 내지 체계들이 좋다고 해도.. 그걸 사용하는 사람들 자체가 의식이 없이.. 막 쓰게 된다면 그걸로 인해서 암호 알아내기는 식은죽 먹기라고 볼수도 있지요.

예전에도 많이 먹혔던거고 지금도 많이 먹히지만..:-] 재미있는 메일들이 많이 있지요?
상품 을 받았다더니.. 로그인 해서 확인하라니 뭐니..:-]

일종의 fake라고 할까요? 아무리 좋은 시스템과 환경을 갖췄다 해도 사람이 '무지'하면 쓸모없는거라 생각되더군요.

올려주신 주제와 내용이 맞는지는 모르겠지만 이런 생각이 들어 잠시 글 남겨봅니다.^^

모든 OS를 사용해보자~!!
-놀고먹는백수가 되고 싶은 사람-

k2hyun의 이미지

내부 공모자의 경우를 말씀드린 사람입니다.

웹메일 시스템이 DB를 사용하고 있다는 가정으로 말씀드린 것입니다.
password 데이터를 export 하면 되는 것 아닌가요?
내부 공모자라면 password encoding 방식을 알고 있을테고 mysql의 password() 처럼 hashing key 생성 방식이라면 인식 가능한 비밀번호는 아니더라도 비밀번호로 인식할 수 있는 키는 찾아낼 수 있으리라 봅니다.

더 이상 없다.

pynoos의 이미지

해킹이란 궁극적으로 어떤 content를 내 눈으로 보는 것이라고 정의한다면,
한메일의 어떤 사용자앞으로 온 메일을 내가 읽을 수 있는 상태가 되는 것이라고 말할 수 있습니다.

남이 보여주거나, 지나가는 것을 보는 것과 내가 원할 때는 언제든지 볼 수 있는 것을 수동적, 능동적으로 구별한다면, 능동적으로 어떤 content를 내 눈으로 볼 수 있는 상황이 되는 것을 해킹이라고 합시다.

어떤, 정보에 접근할 때 항상 패스워드가 따라다니지 않습니다. 한 번 인증이 끝나면 session value 를 계속 유지하면서 정보에 접근이 가능하죠.

위와 같이 메일에 접근하는데는 최초 화면에서 ID, 암호를 묻습니다. 하지만 들어간다음에는 묻지 않죠 이때는 session value를 cookie나 url 변수하나에 계속 넣고 다니기 때문에 가능한 것입니다.

그런 페이지를 돌아다니다 보면 어떤 페이지는 Session 키 없이도 다운로드가 가능한 경우가 있습니다. 즉, 링크가 외부로 알려질 방법이 없는 것이지 그 URL을 받아 오는데 인증이 필요하지 않은 경우이지요.

이런 것을 알려면 브라우저에서 밖으로 요청하는 모은 URL을 기록하고 세션 정보를 제거해서 접근했을 때 받을 수 있는지 확인해보면됩니다.

그리고 첫번째 화면에서 ID/Password를 받을 때 대개 이런 방법들이 쓰입니다. DB를 사용하는 경우가 대부분이므로..

  • id, password를 동시에 DB에 쿼리합니다. and 조건으로
  • id 만 쿼리하고 password 필드를 따로 비교합니다.
  • id를 쿼리하기 전에 id가 적법한 문자열로 되어 있는지 검사한뒤 위 방법을 사용합니다.
  • id 를 먼저 쿼리하는 경우 해당 ID 없음이라는 메시지를 줍니다.
  • id는 있는데 password가 일히하지 않는다는 메시지를 줍니다.

몇가지 유형을 조사해보면 어떤 방식인지 추측이 가능합니다.. 위의 경우 머리를 잘 굴리면 password를 몰라도 인증하는 방법도 가능하지요..
심지어 인증 요청하는 페이지는 정말 이것저것 신경써서 만들었는데, ID/Password 분실 페이지신고는 의외로 허술한 사이트도 많습니다.

패스워드는 필수인것 같지만, 실은 정보를 제한하는 흔한 방법의 하나일 뿐이지요...

쓰다보니 두서없이 주절주절 썼군요. :?

[/]