Adatszivárgás?
Valószínűleg sokan tudjátok, hogy az esetlegesen adatszivárgás útján ellopott e-mail accountok ellenőrizhetők az alábbi címen: https://haveibeenpwned.com
Azt viszont talán kevesebben, hogy nemcsak az e-mail címek, hanem a puszta jelszavak is ellenőrizhetők ezen a weboldalon. Van ott egy „passwords” link. Igen ám, de természetesen (remélhetőleg) nincs olyan háborodott egyén, aki a féltve őrzött jelszavát, vagy akár a feltörés gyanújába keveredett, de még használni kívánt jelszavát elküldené a nyílt Interneten keresztül egy harmadik fél által üzemeltetett weboldal részére ellenőrzés céljából, legyen az a weboldal akármilyen megbízható. Szerencsére erre nincs is szükség, de a feladat mégis megoldható. Erről szól ez a blog.
Ehhez az Application Programming Interface-t (API-t) hívjuk segítségül. Egy szkript segítségével. Dióhéjban: nem a jelszót küldjük el, hanem először kiszámíttatjuk annak SHA1 hash értékét (a példában 32 karakter hosszan), majd utána azt sem egészben, hanem az abból kivágott, nem is teljes (0-5, 6-26 közötti) két SHA1 karaktersorozatot küldjük el ellenőrzésre. A szkript végén az if..then..else ág eldönti, hogy a jelszavunk SHA1 értéke szerepel-e a megszerzett jelszavak adatbázisában. A szkript futtatásához a curl-nek telepítve kell lennie, de ez általában így is van. Esetleg egy minimál telepítés során törölve lett talán, kezdjük az ellenőrzéssel.
Terminálablakot nyitva ehhez simán csak begépeljük:
curl
Ha erre a saját használati utasításával válaszol, akkor telepítve van. Egyébként kiírja a telepítés módját.
Ezután a szkriptet (én j_ellenor.sh-nak nevezetem el) bemásoljuk valahová a saját könyvtárba. Javaslom a ~/bin könyvtárat (ha még nincs ilyen, létre kell hozni) mivel a Mint és a legtöbb disztró alapból tartalmazza ezt az elérési útvonalat, így később akárhonnét futtatható. Bemásolás után adjuk meg a futtatási és olvasási jogot, mindenki saját paranoiája alapján, én így jártam el:
chmod a+x,g-w,o-w j_ellenor.sh
Ezután már jöhet a használat! A szkript a jelszót paraméterként kéri be és amint a forráskódból láthatjátok, nem kerül ki sehová, csak az SHA1 darabkák.
Íme a szkript: https://paste.ubuntu.com/p/hDttQqwcqc/
Például ez a jelszó (hát nem nagyon nehéz kétségkívül) fel van törve:
j_ellenor.sh igaslo
Ha kicsit rátrükközünk, már megfelelő:
j_ellenor.sh iGasLo99
Üdv: Káldeus
Forrás:
Donald A. Tevault: Mastering Linux Security and Hardening, 104-108 oldal
Second Edition, February 2020
Packt Publishing Ltd.
ISBN 978-1-83898-177-8
www.packt.com
Hozzászólások
Köszönjük a leírást.
Beküldte T.István -
Valószínűleg sokan tudjátok, hogy az esetlegesen adatszivárgás útján ellopott e-mail accountok ellenőrizhetők az alábbi címen: https://haveibeenpwned.com(külső hivatkozás)
Egyébként érdekes, a feltört oldalak / incidensek listájában az FB abszolút nem szerepel, holott volt ott nem is egy...
Amúgy meg az oldal használatához jó tudni, hogy találat esetén sem jelenti azt, hogy fel lett törve a fiók, max azt, hogy szerepel a cím adott halmazban, ami esetleg...
Nekem van több használatban levő címem is, van egy ősi, még abból a korból, amikor kb. itthon elindult az internet, akkor elolvastam ez e-mail-ra vonatkozó RFC-ket, és kitaláltam egy címet, ami teljesen megfelel a szabványnak, de merőben szokatlan (pl. van benne egymást követő 3 pont is, meg ilyenek). Arra gondoltam, hogy akinek a címlistájára kerül, az biztos azt gondolja, hogy ilyen nem lehet, ez valami szemét adat lehet. Sokan, akik hivatalosan megkapták ezt a címet, azok sem hitték el, hogy nem tévedésről van szó. No, erre a címre, amióta meg van, egy árva SPAM nem jött. Egy csomó helyen, regisztrációnál pl. el sem fogadja egy csomó oldal, az ellenörző algoritmusok, amik az elírásokat hivatottak kiszűrni, prüszkölnek ettől. A fenti oldal tisztának találja ezt a címet.
Van egy címem a spammereknek. Ez a honeypot. Minden friss regisztrációnál, ami nem kóser elsőre, ezt adom meg. Minden új oldalon történő vásárláskor. Vannak olyan oldalak, ahol az Username az e-mail cím. Vannak olyan oldalak, ahol vásárlás esetén, a kapcsolat / cím adatoknál megadott e-mail címmel automatikus regisztrációt kap az ember, pedig nem is kért. Ezt a címet használom ilyen esetekre, nyilván kismillió oldal adatai közt szerepel.
A fenti oldalon ez a cím 4 találatot kap, azaz 4 kompromittált oldal adatai közt szerepel. Talán az ahhoz tartozó jelszó is (nem az e-mail fióké, hanem ahhoz az oldalhoz tartozó jelszó). Mit tudom én már, hogy hosszú évek során hol milyen oldalon regisztráltam ezzel a címmel... Ahhoz képest a 4 találat kirivóan jó érték :-). Amúgy erre a címre jönnek ám a spamek, de hát erre van ez. Időnként takarítok...
Amúgy az eddig tárgyalt 2 címhez tartozó jelszó igen cirkalmas, rendesen magyaros, és több sor hosszú, amit ha fel is tör valami jelszótörő, ott abban a pillatban elpirul, és annyira elszégyeli magát, hogy többet soha nem fog jelszót törni ;-)
Még van kettő másik címem is, ebből egyik a "rendes", a másik szintén webshopos célokra van, azaz vásárlásokhoz van használva, de a bizonyított oldalakhoz, akik átestek az auditomon. Ezt a címet csak a komoly, megbízható oldalak kapják meg, nincs is ezzel gond. E két utóbbi cím is tiszta a fenti oldal szerint.
Értékelés: