Mennyire könnyű feltörni a Facebookot, Instagrammot, Gamialt?

nincs olyan, hogy könnyebb

amiben több funkció van, ott elképzelhető, hogy becsúszik egy-egy hiba, de a legegyszerűbbeknél is el lehet tolni a dolgot

Szia!

Ahhoz, hogy ténylegesen bejuss ezekbe a rendszerekbe, a vérprofik vérprofijának kell lenni, továbbá halhatatlannak, ugyanis a Googlenél is, és a Facebooknál is olyan emberek dolgoznak, akik az életüket az IT biztonságnak szentelték, és nyitott szemmel figyelik a biztonsági réseket, és azonnal cselekednek, főleg ha behatolást észlelnek, így a hackernek akár több száz év is kellhet, hogy végre találjon egy olyan biztonsági rést a rendszerben, amit a Google vagy a Facebook emberei nem fedeztek fel, és nem szúrnak ki (Egyből). Szóval lényegében lehetetlen bejutni ezekbe a rendszerekbe, ugyanis oda szinte törhetetlen falakat kellene áttörni, de ha mégis sikerül, akkor azonnal felveszik a harcot a hackerrel a Google, vagy a Facebook emberei, akik hidd el, rengeteg lépéssel vannak előrébb, mint a hacker.

Ha pedig csak egy adott felhasználó profiljába szeretnél bejutni, akkor ebben az esetben a bejutás nehézségi szintje egyedül az adott felhasználó hülyeségén múlik.

Ezek a nagyobb oldalak tízezer dolláros nagyságrendű pénzjutalmat adnak azoknak a hackereknek, akik megtalálnak egy-egy biztonsági rést és jelzik az üzemeltetőnek. Ebből is látszik hogy mennyire kevés ilyen van, mennyire jól védettek az oldalak, és mennyire az érdekükben áll hogy ezeket a hibákat a lehető leggyorsabban befoltozzák, mielőtt bárki kihasználhatná őket.

Az, amit te feltörésnek hívsz, így a lehetetlenhez közelít. Valaki fiókjába bejutáshoz biztos, hogy nem az oldalak feltörését fogják használni, hanem megszerzik a jelszót és egyszerűen belépnek vele.

Ezek mögött a kérdések mögött sima fogalomzavar van, rossz kifejezés terjedt el. Ha valakinek bejutnak a fiókjába, azt mondják rá, hogy feltörték, miközben nem történt ilyesmi. Ezek közül egyikük fiókját sem törték fel. Rávették őket hogy lépjenek be egy hamisított oldalra és önként adták meg az adataikat. Vagy rávették őket hogy töltsenek le egy kémprogramot, vírust, ami kinyerte a böngésző elmentett jelszavait, figyelte a leütött billentyűket és az elküldte. De senki nem fogja azzal kezdeni a panaszát, hogy mekkora balek volt, hogy bedőlt ezeknek a trükköknek.

Feltörni valamit azt jelenti, hogy az adatokat tároló szerverekre behatoltak, onnan pedig információt szereztek meg. Ha be is jutnának ezekre a szerverekre, egy jelszót sem tudnának megszerezni, mert a rendszerek sem úgy vannak megcsinálva, hogy a password.txt-be van beírva a két milliárd felhasználó jelszava, és csak le kell tölteni és kikeresni, hogy a Kovács Pistike jelszava melyik.

Igazából a konkrét jelszavadat egyik (komoly*) oldal sem tárolja, csak az abból képzett titkosított karaktersort, amiből visszafelé nem fejthető meg hogy mi volt az eredeti jelszó (hashelés). Mikor belépsz az oldalra és a böngésződ elküldi a jelszót az oldal felé, akkor abból az oldal ismét legenerál egy hash-t, és ellenőrzi hogy ez egyezik-e az adatbázisban a fiókodhoz tartozó hash értékével. Ha igen, beenged, ha nem, akkor nem. Ha feltörik a szervert, nem fognak jelszót találni rajta. Ha meg is szerzik a hash-t, nem fejthető vissza belőle a jelszó (illetve de, brute force-olni lehet, de jellemzően nem éri meg csinálni, célzott támadásoknál inkább máshogy fogják megszerezni a jelszavad).

(* a jelszó szivárogtatós botrányok abból vannak, hogy egy-egy oldal olyan alapvető biztonsági eljárást sem tart be, mint pl. a hash-elés, esetleg még a hash sózás [még fejlettebb szintű titkosítás], hanem simán eltárolja a név mellett a konkrét jelszót, majd ha tényleg feltörik a szervert, akkor ki is lehet tenni a netre ezeket a belépési adatokat)

Nagyon nehéz bármelyiket. Egy sima diplomás informatikus fényévekre van attól, hogy ilyen téren labdába rúgjon.

A 60-as IQ-jú hülyegyerekek meg dehogy törtek fel semmit, nem hogy Fb-fiókot... kitalálták, vagy megszerezték másnak a jelszavát. Ennek köze nincs a feltöréshez. Ettől persze még bűncselekmény, és ugyanúgy jár érte alsó hangon is egy felfüggesztett, ha bíróság elé kerül a dolog.

Ezek a cégek évekkel ezelőtt komoly pénzjitalmakat ajánlottak fel annak, aki feltöri a rendszerüket. A mai napig nem jelentkezett érte senki...

Ezek alapján mire tippelsz?

#8: 2016-os beszámolóban: 5 év alatt 5 millió dollárt fizettek ki 900 bejelentőnek, abban a félévben pedig 149 embernek összesen 600 ezer dollárt.

[link]