Medusa: Свободная программа для проверки паролей. Легко угадываемый пароль. Что получает моряк
Плохие пароли могут привести к плохим последствиям. Именно поэтому они особенно важны для корпоративной безопасности, для защиты данных (в том числе почтовых серверов, серверов баз данных и других) от несанкционированного проникновения (и от хакеров).
У плохого пароля есть три отличительных признака:
- Он легко угадывается
- Его с большой вероятностью можно встретить в списке паролей
- Его можно быстро подобрать
Легко угадываемый пароль
Выбирая пароль, люди очень предсказуемы, поэтому встречаются одни и те же пароли. Ниже проанализированы 32 миллиона паролей, которые выложили в публичный доступ после взлома сайта Rockyou.com .
Самые популярные пароли
1 123456 290,731
2 12345 79,078
3 123456789 76,790
4 Password 61,958
5 iloveyou 51,622
6 princess 35,231
7 rockyou 22,588
8 1234567 21,726
9 12345678 20,553
10 abc123 17,542
Почти 1% пользователей Rockyou.com выбрали пароль «123456». Иначе говоря, хакеру был доступен примерно 1аккаунт из 100.
Другие легко угадываемые пароли это имена питомцев, детей, любимой спортивной команды или супруга. Эти данные легко получить, используя социальные сети, например, Facebook.
Список паролей
Попробовав пароли вроде «123456» и «Password», хакер переходит к списку паролей. Обычно это списки слов из словарей, известные имена и наиболее полные списки с комбинациям слов (например, iloveyou), слова и цифры (как money123), а также слова с числовыми вставками (типа m0n3y). В таких списках практически не бывает паролей с использованием верхнего и нижнего регистра одновременно, случайных наборов символов (d5j*Dg;r?’fRey), комбинации из нескольких слов (doGbutTerbicYclE) или слова со знаками препинания (s(c&H#0%o»L).
Метод «грубой силы» (брутфорс)
Единственный верный способ найти пароль — это перебирать все варианты, пока не повезет - это называется брутфорс. Пароль из одного, двух или трех символов быстро подбирается, но чем длиннее пароль тем меньше шансов его подобрать. Чтобы подобрать пароль из 15 символов потребуются милларды лет.
Тестирование/Проверка
С одной стороны, чтобы проверить корпоративную систему, вы можете использовать хакерский путь: подбирать разные пароли и оценивать успех. Это так называемая онлайн-атака. Ее еще можно использовать чтобы проверить, как ваша система определяет атаку на сервер в результате неудачных попыток залогиниться и блокируется ли отдельный аккаунт после нескольких неудачных попыток.
Для онлайновых атак существует множество программ, в том числе программа с открытым исходным кодом Hydra . Но, верооятно, одна из самых лучших программ этого типа для OS Linux - это Medusa, написанная «гиками с ресурса Foofus.net ».
Medusa это «быстрая, массивно-параллельная, модульная программа для подбора паролей» с модулями для поддержки практически любого сервиса для удаленной аутентификации с помощью пароля, включая: CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, POP3, PostgreSQL, SMTP-AUTH, Telnet и VNC. Medusa быстрее чем Hydra благодаря использованию поточной организации (организация Hydra построена на процессах) и одновременно пытается соединится с несколькими хостами или пользователями.
Medusa 2.0 How-To
Установка
Сохраните medusa-2.0.tar.gz в выбранную папку.
Разархивируйте архив с программой.
-zxvf medusa-2.0.tar.gz
Зайдите в папку с программой
cd medusa-2.0
Используйте обычную процедуру установки в ОС Linux
«./configure «, «make», «make install»
./configure
make
make install
Подробные инструкции, включая список зависимостей.
Список паролей
Medusa соединяется с сервисом, например, через веб-страницу или FTP-сервер, и пытается залогиниться, используя различные имена пользователя и пароли.
Чтобы проверить устотойчивость пароля отдельного пользователя вам понадобится список паролей, которые и будет перебирать Medusa.
В интернете выложено множено платных и бесплатных таких списков, например:
hugewordlist.txt : 3.5 миллиона слов, имен, номеров и комбинаций.
Outpost 9 wordlists : около 40 различных списков, в том числе словари и имена
Packet Storm wordlists: Подборка бесплатных списков на английском и других языка.
Masta-spitz: Огромный (194 мб) мета-список компиляция других списков.
Вы сможете составить Ваш собственный список паролей на базе существующих, используя правила «подстановки» типа @ вместо «а», добавляя цифры в начале или в конце каждого слова.
С этим справится например John the Ripper - мультиплатформенная программа с открытым кодом.
Также пригодиться:
The Associative Wordlist Generator : онлайновый инструмент для создания списков паролей на основе заданных вами слов.
Wyd : свободная программа для Linuх, скачивающая слова с сайтов, файлов и папок.
Использование Medusa
Medusa это консольный инструмент, поэтому использование всего лишь вопрос понимания инструкций команднолй строки.
Например, мы хотим, чтобы Medusa подключилась к сетевому роутеру с IP адресом 192.168.1.1 c типовым именем пользователя admin и проверим, как быстро программа найдет пароль. Используется список паролей hugewordlist.txt (выше о нем уже говорилось).
Мы знаем, что собаку администратора зовут Fido, двух его детей Элис и Боб и добавляем эти имена в начало текстового файла hugewordlist.txt вместе с названием фирмы и 10 самыми распространенными паролями с сайта Rockyou.com (о них говорилось в начале статьи).
В настройках нужно указать следующее:
Хост 192.168.1.1, к которому подключается Medusa с ключом -h
Имя пользователя admin c ключом -u
Название текстового файла со списком паролей с ключом -P
Модуль сервиса, к которому мы хотим получить доступ (в данном случае http) c ключом -M
Получаем команду medusa -h 192.168.1.1 -u «admin» -P hugewordlist.txt -M http
В моей сети Medusa перебирала 2000 паролей в минуту и нашла пароль «}tvaringa» примерно за 50 секунд.
Но что, если вы хотите проверить прочность паролей многих пользователей вместо одного с логином admin?
Чтобы проверить пароли пользователей на POP3 сервере, потребуется список email адресов в текстовом файле типа «emailusers.txt».
А еще потребуется список паролей. В этот раз мы возьмем более короткий список с популярными паролями и сохраним его в файле с именем «shortpasswordlist.txt». Medusa способна обрабатывать их паралельно, подбирая пароль к 10 (или к любому другому числу) пользователей за раз.
Другими словами Medusa проверит первые 10 имен пользователей на совпадение с первым паролем из списка, затем еще 10 имен на совпадение со вторым паролем и так далее. Когда список дойдет до конца, Medusa начнет проверять следующие 10 имен и сверит их со всеми паролями.
Для проверки нескольких имен надо ввести следующее:
IP адрес POP3 сервера (в этом случае 192.168.1.20) с ключом -h
Текстовый файл со списком имен пользователей (emailusers.txt) с ключом -U
Текстовый файл с паролями (shortpasswordlist.txt) с ключом -P
That Medusa should test multiple usernames at simultaneously using the -L switch
The number of usernames to test at a time using the -t switch
The module to use (POP3) using the -M switch
Medusа сравнит многочисленные имена пользователей одновременно c ключом -L
Число одновременно проверяемых имен задается с ключом -t
Модуль (POP3) задается -М
Устанавливаем каждому моряку на рабочий стол программу для рассылки анкет моряков "Медуза" с помощью которой моряк сможет самостоятельно искать себе работу.
Программа-рассыльщик анкет моряков "Medusa" - именная, делается под каждого клиента отдельно, клиент получает ее в бессрочное пользование, клиент имеет свой кабинет, вход, пароль. Данная программа рассыльщик позволяет обойти все имеющиеся в интернете фильтры, которые распознают спам, за счет того что она легальна и соответствует всем требованиям всех всевозможных порталов на которых находятся емейлы моряка, такие как Яндекс, Гугл, Рамблер, Яху и все подобные им.
Заказать Медузу
Что получает моряк
Оплатив создание программы рассылки анкет моряка, клиент получает доступ в свой кабинет, доменное имя (то есть Ваша фамилия в домене с которого крюинги будут получать от Вас информацию, анкету, документы, фото и т.д.). Внутри кабинета, в качестве бесплатного бонуса, находится база крюингов: это свыше 10 000 крюингов и судовладельцев с емейлами, названиями крюингового агентства, телефонами крюингового агентства или судовладельца. Данную базу моряк может сам менять, добавлять дополнительно любое количество морских агентств, удалять их. Можем заливать Вам более 10 000 компаний в программу для рассылки анкеты, а можем просто дать Вам программу без адресов, Вы добавите туда свои адреса. На стоимость это не влияет.
Заказать Медузу
В чем отличие программы-рассыльщика "Медуза" от тех компаний, которые оказывают услуги по отправке Ваших анкет
1) Вы один раз тратите деньги на создание себе программы рассыльщика "Медуза";
3) Вы сами видите куда не доставлена анкета и можете позвонить в крюинг по указанному телефону и попросить их очистить переполненный ящик и принять Вашу анкету моряка;
4) Вы можете слать Вашу морскую анкету хоть каждый день. Вы должны себе отметить, что крюинговые агентства работают просто. Если им приходит вакансия от судовладельца они берут и для начала проверяют свой электронный ящик за последние 1-2 дня, смотрят тех кто оказывается у них "под рукой". Если там есть подходящая анкета кандидата, они сразу ему звонят и предлагают работу. Если такой анкеты нет, они начинают искать кандидата в своей базе и кого они там найдут, неизветсно. Поэтому Ваша задача всегда быть "под рукой". Проснулся с утра, нажал на кнопку "разослать" и занимайся своими делами, главное быть на связи, принимать звонки с предложениями. Если Вы рассылаете сами, без нашей программы, свою анкету, то посмотрите сколько компаний у Вас в базе, какое время это занимает, и не факт, что Вас уже не причислили к спаму. Смысл тратить время отпуска на бесконечные попытки рассылок. Если отталкиваться от нашего 8-ми летнего опыта рассылок, то мы занем что рассылать анкету моряка надо каждый день, что бы быть "под рукой", а это очень дорогое удовольствие. Если Вы это делаете через посредников, даже если минммальная стоимость одной рассылки морской анкеты стоит 15 уе, то в месяц это до 450 уе, делайте выводы... Сравните с нашей ценой и думаю Вы поймете,что имеете дело с абсолютно другим сервисом по качеству и по контролю. Для нашей программы цена на втором месте по сравнению с результатом которая она дает и Вашими рекомендациями. Наше предложение эксклюзивно на рынке и не имеет аналогов, отсюда и небольшая цена за счет постоянного потока клиентов.
5) у нас Вы сами читаете ответы крюингов и быстро находите с ними обратную связь, соответственно быстро уходите в рейс;
Заказать Медузу
6) Вы можете выбирать кому слать анкету, а кому нежелательно, так же можно слать как всем сразу одной кнопкой, а можно поочередно выбирать, то есть удобство программы неоспоримо;
7) Вы получаете тех поддержку от нас на все время пользование программой рассыльщиком анкеты моряка;
8) Мы постоянно обновляем и добавляем в базу крюингов новые компании и даем Вам их емейлы, контакты, что бы Вы могли их вбивать в рассыльщик "Медуза" пополнять свою базу крюингов как с нашей помощью так и без;
9) программа "Medusa" уже используется не одной тысячей моряков, они ищут работу намного быстрее Вас, и тем самым являются Вашими более настырными и удачливыми конкурентами. Не имея программы "Медуза", Ваши шансы найти работу очень малы, Вы будете тратиться на оплату рассылок, качество и исполнение которых, Вы не можете контролировать и поэтому результат рассылок анкеты моярка через заказные чужие аккаунты будет всегда непрозрачен.
Пример: Вы обновили документы, получили допустим с нашей помощью морскую американскую или шенгенскую морскую визы, добавили в анкету информацию об этом. Теперь Вы стали намного интересней как кандидат для всех компаний. Вопрос: "А кто об этом знает?", ответ- никто. С утра нажали "разослать" в теме письма указали: "2 МЕХАНИК Иванов анкета с новой визой США" и более 10 000 компаний сразу отметили себе Ваши новые плюсы,сразу что то предложили и т.д. Так что каждое обновление в Ваших документах, обязательно надо дублировать в компании, делать это со своей почты нереально.
10) Допустим Вы не знаете куда девать деньги, как и кому их предложить за уход в контракт, отметьте в письме, что готовы отблагодарить. После этого рассылайте свою морскую анкету, компании которые берут комиссионные, так же заметят Вас и позвонят при первой же подходящей для Вас вакансии. Поймите, деньги они берут не от хорошей жизни, если им не платит судовладелец за Вас, то как же им жить? Так,что имейте это ввиду.
Заказать Медузу
Обращаем Ваше внимание, что все порталы на которых расположен ваш емейл: Яндекс, Гугл, Рамблер, Мейл РУ и т.д., так же дают ограниченное количество рассылаемых писем в день, Вы будете тратить время месяцами, что бы разослать самостоятельно свою анкету моряка даже в те компании, которые у Вас есть в базе и не факт, что большинство писем не окажется в спаме, и Ваш же портал не заблокирует Вам доступ к рассылке, и не причислит Вас к спамерам. Поэтому будьте хозяином своей программы "Medusa", владельцем своего ключа открывающего двери за которыми находится Ваш контракт. Наша программа обходит все фильтры, так как она выполняет все требования к антиспамовой политике подавляющего большинства порталов.
Данная программа не имеет отношения к лицензионнному виду деятельности такому как "трудоустройство моряков за границу", поэтому наши виды деятельности позволяют торговать данной программой легально без лицензии. Работу Вы подыскиваете себе сами!!
Заказать Медузу
Обратите внимание, что все компании которые рассылают анкеты моряков без Вашего участия нарушают правила конвенции МОТ о трудоустройстве моряков, вся посредническая деятельность такого рода является лицензированным видом деятельности, мы имеем на этот счет разъяснение суда и постановление транспотной прокуратуры. Поэтому пользуйтесь только легальными услугами, такими как программа-рассыльщик анкет для моряков "Медуза". Так как через данную программу Вы сами ищете себе работу, без нелегальных "черных" посредников и тем более не платите им свои деньги.
Обращайтесь, цена программы, видеокурс как пользоваться прогрмаммой, абонплата и остльные условия будут высланы Вам по запросу, либо озвучены Вам по телефону, срок изготовления программы 2-3 рабочих дня. При уходе в рейс мы отключаем Вас от обслуживания и Вы не платите, после возвращения с контракта даете запрос и мы подключаем Вас снова.
Так же заказы принимаются по телефону: +79787412783 (МТС Россия), он же Вайбер!!!
В скайпе: avtischenko2008, дополнительный скайп: avtischenko2009.
Через емейл: [email protected] (с пометкой "заказ Медузы").
Моряк тебе в контракт охота? - только с "Медузой" найдется работа!
Еще больше подробностей можете найти на сайте программы "Medusa" www.medusa-sender.com
Только актуальные новости, интересные статьи и свежие шутки.
Введение:
Нет такого человека, который бы не слышал об одном из самых популярных интернет-изданий под названием Лента.ру. Само собой, команды журналистов постоянно меняются, кто-то уходит, кто-то приходит. И вот бывшие выходцы из Лента.ру решили сделать собственное издание под названием Meduza, которое ориентировано на пользователей мобильных устройств, чтобы вы постоянно могли быть в курсе важных событий. Приложение получило аналогичное название и его действительно можно назвать одним из самых стильных приложений в Google Play.
Функционал:
Итак, приложение состоит из 5 разделов:
1. Новости - это, по сути, главный раздел приложения, в котором показываются наиболее интересные статьи, фотографии из других разделов. Вся лента новостей представлена в весьма необычном формате и в начале может показаться, что все очень неудобно. Но уже после минуты использования, такок впечатление пропадает. В новостях указываются только заголовки без кратких вырезок из текста, а под ними можно найти источник, из которого была взята новость.
2. Темы - подборка тем, которые сейчас “на слуху” у всего народа. Достаточно выбрать нужную тему и вы увидите все новости, которые относятся только к данной теме.
3. Картотека - весьма интересные раздел, который можно кратко назвать как ЧаВо (часто задаваемые вопросы и ответы). В нем редакторы собрали действительно животрепещущие вопросы и дали дельные ответы на каждый из них.
4. Статьи - специально отобранные статьи только на русском языке, которые заинтересовали внимание редакции или были написаны корреспондентами.
5. Шапито - развлекательный раздел, в котором каждый сможет найти для себя что-то, веселое, смешное и интересное, при этом без всякого “сортирного” юмора.
Текст в каждой статье отформатирован просто идеально, все читается удобно, без проблем хоть на планшете, хоть на смартфоне (кстати, видео в новости можно смотреть прямо в приложении без перехода в официальное приложение Youtube, что просто невероятно удобно).
Итоги:
Настройки в приложении пока что отсутствуют, но возможно добавятся в следующих обновлениях (хотя сейчас они не нужны). Подведем итоги: - это активно развивающееся издание, которое действительно приятно и очень удобно читать на мобильном устройстве. Приятного пользования!
Интервью с Ильёй Красильщиком о новом приложении интернет-СМИ от Галины Тимченко и команды бывшей «Ленты.ру»
В закладки
20 октября состоялся запуск нового интернет-издания Meduza от бывшего главного редактора «Ленты.ру» Галины Тимченко. Одновременно с открытием сайта у проекта появилось мобильное приложение, на которое СМИ делает основную ставку. TJournal поговорил о нём с издателем Meduza Ильёй Красильщиком.
Приложение состоит из пяти разделов: страница с главными новостями, темы (новости, объединённые в сюжеты), объяснительная «Картотека», длинные статьи и рубрика «Шапито». Последняя позиционируется как раздел для досуга, агрегирующий контент из соцсетей, видеохостингов и развлекательных изданий, где он превращается в короткие заметки или фотогалереи. Его наполнением Султан Сулейманов.
Особенностью структуры материала Meduza является заметное выделение первоисточника новости: названия изданий указываются как в подзаголовке, так и в заметном блоке-ссылке внутри заметки. Как уже говорила руководитель проекта Галина Тимченко в , часть функций Meduza заключается в том, чтобы пропускать через себя трафик, раздавая его на хорошие тексты других СМИ.
Пока что в приложении нет никаких дополнительных настроек, кроме системной опции использования сотовых сетей для загрузки данных. Отсутствуют и push-уведомления с поиском. При первом входе Meduza предлагает оставить электронную почту для связи редакции с читателями.
Приложение доступно как на Android , так и на iOS , но оптимизировано только для смартфонов. По словам издателя Meduza Ильи Красильщика, версия для Android успела немного «уйти вперёд», поскольку процесс одобрения приложения в App Store занимает около двух недель. Как говорится в описании приложения, «Meduza - первое российское издание, которое придумано прежде всего для телефона».
Судя по пресс-киту «Медузы», издание собирается набрать ежемесячную аудиторию в 1,5 миллиона человек к весне 2015-го, а к концу года - 3 миллиона читателей. Ожидамые количество скачиваний мобильных приложений «Медузы» - 500 тысяч к весне и 1 миллион к концу 2015 года. На момент запуска реклама появилась только на веб-версии издания, но она также ожидается и в мобильных приложениях.
Издатель Meduza Илья Красильщик в офисе в Риге, Латвия
TJournal задал несколько вопросов Илье Красильщику.
Как приложение связано с сайтом?
Для нас приложение и сайт - это практически одно и то же. Они все связываются кое с чем, что даёт им информацию, так что они абсолютно синхронно работают.
Приложение - это основная среда?
Технически среды все одинаковы, там нет никакой иерархии. Все три среды - а потом, надеюсь, и больше - одинаково общаются с нашим редактором, который им даёт информацию.
А идеологически? С точки зрения приоритета пользователя?
Поскольку всё это сделано по мобильной логике, естественно, приоритет пользователя - мобильный. При этом сайт мобильному приложению не уступает. Наша задача - сделать так, чтобы можно было вещать из чайника. Нам нужно, чтобы на любой доступной платформе пользователю было удобно.
Вы ориентируетесь на тех людей, кто читает новости на ходу?
Мы, безусловно, делаем на них ориентацию, поэтому приложение - это основная платформа. При этом мы понимаем, что люди читают новости по-разному, и нам надо, чтобы люди читали их везде - там, где им это удобно. Если у нас мобильная ориентация, это не значит, что мы забываем обо всех остальных способах употребления новостей.
Вы будете уведомлять через приложение о срочных новостях?
Будем обязательно, в следующих версиях. Этим нужно аккуратно пользоваться, но это нужная вещь. Я думаю, что у нас будут push-уведомления по разным поводам и настраиваемые.
Зачем вы собираете почты читателей при входе в приложение? Вы же вроде собирали для уведомления о запуске.
Почта - это самый надёжный способ связи, «если чё». Если чё плохое случится, если чё хорошее случится, так или иначе, мы хотим быть с нашими читателями на связи, и если нам нужно будет сообщить что-то важное про нас или про мир вокруг, то мы хотим иметь возможность сделать это.
Что в твоём понимании раздел «Шапито»?
Это экран, где мы предлагаем отдохнуть от новостей, где всё проще, легче, и где можно немножко попрокрастинировать и потратить время не на чтение сложных новостей, а просто получить удовольствие. Поскольку мы и сами не 100 процентов времени читаем новости, нам тоже приятно от них отдохнуть, совмещая приятное с полезным.
Почему возможности комментировать нет ни на сайте, ни в приложении? Галина Тимченко объясняла это тем, что не хочет содержать штат из модераторов. Но в приложении сложно спамить.
Не уверен, что у нас есть единая позиция на этот счёт. Мне кажется, мы все по разным причинам не любим комментарии, но от себя могу сказать, что если в общественно-политическом издании сразу запускать комментарии, ты получишь такое, с чем довольно сложно будет жить. Это надо делать тонко, аккуратно, с какой-то продуманной стратегией, которая нас на данный момент волнует меньше всего. Мы считаем, что любой наш материал можно обсудить в Фейсбуке или «ВКонтакте». Вот, ради Бога, мы там тоже сидим и людям отвечаем.
А прикручивать комментарии разные… Мы подумаем. В комментариях к политическим изданиям огромное количество флуда, троллинга и не имеющего никакого отношения к реальным людям контента.
Это с точки зрения трафика неинтересно?
Трафик нам интересен, но делать ещё одну помойку нам не хочется. Вот на TJournal комментарии работают хорошо, но вы же про другое пишете. Ты же понимаешь, что будет под любой новостью про Украину? Трафик, конечно, здорово - не то чтобы он будет гигантским, но мы потом не разгребём.
У вас нет поиска, уведомлений - я так понимаю, вы всё ещё будете допиливать, а пока вышли в минимальной функциональности?
