17:26
9/8/2010

Jeden z naszych czytelników, Łukasz Wójcik, napisał do nas, aby podzielić się swoimi wątpliwościami co do nowej funkcj w najświeższym wydadniu komunikatora Gadu-Gadu. Łukasz twierdzi, że programiści Gadu-Gadu ułatwiają inwigilację internautów korzystających z GG.

Łukasz Wójcik pisze:

Natknąłem się na dosyć ciekawy błąd, czy też niedopatrzenie ze strony załogi GG. Od czerwca ekipa GG dosyć mocno “mieszała” w swoim “dziecku” — częste pady serwerów, zmiany adresów ip, zmiany w protokole Gadu-Gadu. Niekoniecznie były to zmiany na lepsze — chcieli dobrze, wyszło jak zawsze.

Jeszcze jakieś 2 – 3 miesiące temu gdy dany numer GG był połączony i próbowano nawiązać nowe połączenie (na to samo konto — dop. redakcji) powodowało to rozłączenie już połączonej osoby. Można było zorientować się, że coś jest nie tak… dziś nikt nie jest w stanie tego zauwazyć.

Łukasz boi się, że możliwość wielu równoległych połączeń pozwoli na podsłuchiwanie w czasie rzeczywistym wszystkich rozmów ofiary (zarówno wiadomości wychodząca jak i przychodzące). Atakujący może również wtrącić się do rozmowy — i jak twierdzi Łukasz –ofiara nie będzie w stanie wykryć ingerencji w rozmowę:

Screen nadesłany przez Łukasza. Prawdę mówiąc sami nie wiemy co z niego wynika... ;-)

Warto podkreślić, że atakujący musi znać hasło do konta, aby móc się do niego podpiąć i rozpocząć podsłuchiwanie…

Opcja nazywana przez Łukasza “błędem” jest obecna nie w programie GG. a w protokole GG — aby wykonać równoległe połączenie nie trzeba więc wcale korzystać z oryginalnego klienta Gadu-Gadu, można z transportu GG na Jabberze.

Multilogowanie w Gadu-Gadu

Jak można było przeczytać już miesiąc temu w serwisie Gadu-News, Gadu-Gadu wprowadziło tzw. multilogowanie. Opcja ta od lat wykorzystywana jest w protokole XMPP/Jabber (z którego korzysta m.in. Google, Facebook, Tlen oraz Nasza-Klasa) a także w komunikatorze Skype — i nikt nie robi z tego powodu problemu.

Dzięki multilogowaniu> możemy jednocześnie odbierać wiadomości na kilku urządzeniach (np. komputer w domu, komputer w pracy i telefon komórkowy). Dla niektórych jest to więc raczej zaleta a nie wada… ;-)

Bezpieczeństwo multilogowania

…podobnie jak i normalnego logowania zależy od tego jak bardzo strzeżemy hasła. I tyle mamy do powiedzenia w tej kwestii :-) Atakujący jest w stanie wystąpić w roli “cichego obserwatora” tylko wtedy, kiedy zna on nasze hasło. Jeśli poznał je, ponieważ udało mu się podrzucić trojana na nasz komputer to… to ofiara ma o wiele większy problem niż “ktoś mi podsłuchuje GG” :-)

Gadu-Gadu dało ciała?

Minusem implementacji “multilogowania” przez Gadu-Gadu jest brak czytelnego powiadomienia, że do konta podpięła się kolejna sesja. Technicznie jest to możliwe i pojawiają się nawet głosy, że sam klient Gadu-Gadu ma gdzieś opcję, która pokazuje ile osób jest obecnie podpiętych pod nasz numerek GG — my jednak, pomimo najszczerszych chęci znalezienia tej opcji w oryginalnym kliencie Gadu-Gadu, nie daliśmy rady. Szukaliśmy przez 5 min, przegryzając się przez tony reklam, małoprzydatnych dodatków i innych dziwnych opcji Gadu-Gadu… i nic. Może wam się uda? [Aktualizacja 10.08.2010: Czytelnikom się nie udało, ale pracownikowi GG tak: aktualne sesje widać po kliknięciu w przycisk Wyloguj]

Jabber o kilku osobach na jednym koncie informuje w ten sposób:

Do tego konta jestem podłączony z Macbooka i klienta IM+ dostępnego na telefon komórkowy

Co więcej, niektóre alternatywne klienty Gadu-Gadu ponoć także są w stanie informować o tym, że na nasz numerek zalogowała się kolejna osoba.

Korzystaj z Jabbera. Jest lepszy niż Gadu-Gadu

To nie ulega wątpliwości ;-) Jedną z zalet korzystania z Jabbera (który przecież może obsługiwać Gadu-Gadu przez odpowiedni “transport”) jest możliwość cyfrowego podpisania swojej sesji przy pomocy klucza prywatnego GPG. Jeśli sesja jest podpisana — osoby, które mają nas w swoich kontaktach zobaczą coś takiego:

Jabber podaje informacje o tym kiedy podpisano sesje kluczem prywatnym i jakie jest jego ID

To, czy multilogowanie to wada, czy zaleta, zależy tylko i wyłącznie od Was i tego jak bardzo pilnujecie swojego hasła ;-)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

64 komentarzy

Dodaj komentarz
  1. Np. WTF powiadamia o tym, że ktoś się podpiął. Ale GG nie jest tworem wytrawnych programistów, stawiają na wygląd i bajeranctwo a nie na kontrolę.

  2. @Mike, prawdę pisze – dać mu vódki!

  3. Raczej na reklamy. :/
    Zaś co do klientów gg to nikt z moich znajomych nie używa ich klienta ( tych bardziej obeznanych z kompem ).

  4. Zapomnieliście dodać o wadach transportu GG których też jest sporo, nie trzeba też koniecznie z tego korzystać bo na rynku jest dużo protokołów – Tlen, MSN, ICQ, QQ itd.
    Przykładowo w Mirandzie nie musisz się bawić w żadne transportery tylko należy na dwóch komputerach użyć tej samej wtyczki do szyfrowania wiadomości i możesz korzystać z protokołu GG :]

    @Mike
    chyba chodziło Ci o WTW :P

  5. zaleta! i to duża!

  6. It’s not a bug, it’s a feature ! Korzystam z tego od dłuższego czasu a teraz jakiś oszołom robi karierę bo “znalazł bug w gg”. Ludzie k…a opanujcie się.

  7. Hmm, a wybaczcie, bo czytałem na HCSL i tu nie doczytałem. Zwracam honor, chodzi wam tylko o brak powiadomienia, nie to co tam :)

    • Sayane: my nie robimy afery (czasem mam wrażenie, że jako jedyni…) – myślę, że dość rzetelnie opisane zostały plusy/minusy i wpływ tego gadu-gadowego multilogowania na security ;)

  8. Jak dla mnie jest to jak najbardziej zaleta. ;) Też to zauważyłem i nie dostrzegłem w tym nic niebezpiecznego. Nie ma to jak odpalić EKG na shellu i GG przez komunikator.

  9. ps. w jabberze, jak już napisaliście ta opcja dostępna była bardzo długo, żałuję tylko że tak mało osób korzysta z jabbera, no ale cóż. ;)

  10. Wiedziałem o tym już od dawna, ten “błąd” wykryłem ok. dwóch miesięcy temu. Nawet nie pisałem tutaj bo nie wiedziałem, że trafi na blog. Ale to fakt, zamiast przechwytywać pakiety teraz dzięki wspaniałemu GG można to robić bezpośrednio przez komunikator.

  11. polecam punkt 20 regulaminu GG: http://komunikator.gadu-gadu.pl/regulamin

  12. W skype taka funkcjonalnosc jest od dawna … nie wiem czemu nagle to zamiesznie …

  13. Ale to raczej nie nowość, to już dawno bylo wiadomo, dosc dlugo loguje sie na serwerze (kadu), a potem na kompie i sa dwie sesje. Kadu wykrywa status bezproblemowo jaki mam na kompie, mimo ze kadu ma inny ustawiony.

  14. Co do podsłuchu w 2 strony jest to awykonalne, na chwilę obecną podłączając się 2 klientem do jednego numeru widzimy tylko i wyłącznie wiadomości przychodzące, wiadomości które wychodzą od nas nie jesteśmy w stanie zobaczyć, czyli powiedzmy że ta “inwigilacja” będzie działać tylko w jedną stronę.

  15. ale w wtw jest taka możliwość
    http://wtw.sajuuk.eu/wtwSCR/_wtw_00191.png
    http://wtw.sajuuk.eu/wtwSCR/_wtw_00192.png

  16. Ja od dawna używam Jabbera, GG to był, jest i będzie szajs ;)

  17. wtw pokazuje powiadomienie w dymku informujące o multilogowaniu, jest też możliwość rozłączenia inncyh połączeń, niestety takie powiadomienie łatwo przeoczyć

  18. a wlam na serwer i wykrasc 5 mil numerów i hasel ;> dobry biznes

  19. GG już od jakiegoś czasu staje się coraz mniej przydatną a coraz bardziej dziurawą i kulejącą aplikacją, dlatego dawno się z nim pożegnałem. A brak możliwości multilogowania to kolejny dowód że programiści GG już dawno przestali myśleć w kategoriach komunikatora internetowego.

  20. Masz Martę Janus na liście kontaków?
    Greetz

    Co do gg: włączone oba klienty powodują że do jednego z nich (aktualnie nie używanego) napływają wiadomości przychodzące, nie ma możliwości podglądnięcia tych wysyłanych.

  21. Funkcja multilogowania pojawiła się wraz z udostępnieniem serwisu gg.pl – żeby ten “komunikator” mógł działać i w przeglądarce i jako program desktopowy.
    Nie wiem o co taka afrea.

  22. A ja dodam jeszcze, że hasła w bazie GG nie są hashowane ;) -> http://gadunews.pl/news.php?readmore=344

  23. ja mam caly czas palringo zalogowane i waliło mi wiadomoscmai push na iphonie
    totalnie zbedne gowno to logowanie ale to tylko gg
    also “Prawdę mówiąc sami nie wiemy co z niego wynika… ;-)” LOL

  24. sezon ogórkowy w peni

  25. na gg.pl obok przycisku wyloguj jest strzałeczka, a na niej widać jaki program jest zalogowany i ip z którego jest połączenie.

  26. Sezon poogórkowy się już skończył drodzy Państwo, a jak to wygląda w praktyce? (thx dla Squealer’a za trochę pokazu)- Otoż można “inwigilować”, ale TYLKO jedną stronę, mianowicie rozmówcę danego numeru, a nie drugiego klienta, ale niebezpieczeństwo owszem jest, ponieważ teraz nie trzeba się uciekać do jakiś różnych cudów nie z tej ziemii, aby mieć taki o jaki atak MITM:-), bo możemy wtrącić się w pewien sposób rozmowę etc…

  27. Jeszcze tylko mieć bazę haseł gg i walnąć jakieś PoC.

  28. Zamiast doszukiwać się teorii spiskowych proponuję obejrzeć jak GG działa od środka.

    Opowiada szef deweloperów GG – Grzegorz Leszczyński
    Prezentacja odbyła się kilka tygodni temu na naszym OSEC Barcampie.

    http://www.youtube.com/osecbarcamp

  29. Gdyby to był największy problem GG to wszyscy byli by szczęśliwi :) z tego co wiem można bardzo ładnie przejąć zdalny system przez GG, ale może coś poprawili od tamtej pory.

  30. Witam, a ja zauwarzylem taki ciekawy przypadek z gg , po zalodowaniu i gdy jest konto aktywne a nie jest zadna operacja robiona z gg , moje procesory loguje sie z 2 kompow ale na inne konta to maja wtedy takie obciazenie do 100 %, ciekawe co to moze byc , ktos sciaga dane z mojego kompa ?

  31. Mnie ciekawi inna sprawa – gdy kilka lat temu wymieniałem wszystkie zalety Jabbera, to prawie wszyscy znajomi mówili “GG jest lepsze, bo można wstawiać obrazki do okna rozmów” i to dyskwalifikowało w ich oczach Jabbera. Każdy mówił “a po co mi multilogowanie” etc … a teraz jak GG wprowadza te wszystkie ‘stare nowinki’ vel odgrzewane kotlety to wszyscy “JAAA, ale fajna opcjaaaa :O”. Facepalm to za mało. Zasłaniają się, że wszyscy ich znajomi używają GG i nie można przejść na Jabbera. Dzięki takim ludziom mam na koncie Jabberowym jakieś 10 osób, z czego może 3 regularnie korzystają z tego protokołu. Przydał by się jakiś rzeczowy artykuł opisujący wady i zalety jednego i drugiego protokołu, tak, aby można było przeciągnąć znajomych z ciemnej strony mocy na tą jaśniejszą ;) Ewentualnie można każdego pytać czy ma konto na gmailu i mówić “widzisz, już masz konto! Zacznij o używać!” ;)

  32. Z tej prezentacji Osecbarcampu można się wiele dowiedzieć o GG. Na przykład, ile jest zapytań na sekundę, ile aktywnych użytkowników, czy liczba użytkowników w ostatnich 3 latach spada. Serdecznie polecam. Jest tam także wymieniony algorytm haszowania haseł. Ale jak jest na prawdę nie dowiemy się, aż się któryś z developerów po pijaku wypruje ;]]]]]]

  33. Z czego najweselszy jest moment jak publiczność nie wierzy i wręcz przekonuje głównego dewelopera, że przecież przechowują wszystkie wiadomości na swoich serwerach i na pewno i bo muszą ;]]] PS: Jest też interesujące info dla tych, którzy nie wiedzieli, że jak przyjdzie prokuratura to uruchamia się proces podsłuchu danego numerka GG :]

  34. Z regulaminu podoba mi się to jedno (jedno!) zdanie: “W celu wyjaśnienia wątpliwości Operator zastrzega, że Użytkownik nie jest uprawniony do korzystania z usług Komunikatora Gadu-Gadu w celu komunikowania się poprzez Komunikator Gadu-Gadu z użytkownikami innego komunikatora internetowego, ani też nie jest uprawniony do korzystania z tych usług w taki sposób, że będąc jednocześnie użytkownikiem innego komunikatora internetowego będzie korzystał z usług Komunikatora Gadu-Gadu poprzez swój Numer Użytkownika Komunikatora Gadu-Gadu w celu komunikacji z innymi Użytkownikami Komunikatora Gadu-Gadu realizowanej w ramach infrastruktury, w tym oprogramowania takiego innego komunikatora tj. poprzez korzystanie z oprogramowania innego komunikatora.” Uff… Wątpliwości rozwiane, nie?

  35. GG10 -> menu Gadu-Gadu->wyloguj
    gg.pl oraz poczta.gg.pl -> strzałka obok przycisku “wyloguj”
    Widać wszystkie zalogowane instancje wraz z IP, każdą można wylogować. Gratuluję sensacji.

  36. @Mike: “Ale GG nie jest tworem wytrawnych programistów, stawiają na wygląd i bajeranctwo a nie na kontrolę.” Nie mieszaj programistów z ich zleceniodawcami. Wygląd i bajeranctwo to nie “widzimisie” programisty. Nie widziałeś źródeł GG, aby oceniać kunszt programistów.

  37. @matemaciek – mój dobry znajomy widział źródełka GG, ale sprzed jakichś 6 lat. Potem miał koszmary… Może coś poprawili do tej pory :P

    Co do regulaminu GG, to najbardziej podoba mi się fragment: “…Użytkownik nie jest uprawniony do korzystania z usług Komunikatora Gadu-Gadu w celu komunikowania się poprzez Komunikator Gadu-Gadu z użytkownikami innego komunikatora internetowego…”
    Czyli że co ? Zabraniają mi używania GG do rozmowy z kimś, kto nie ma GG tylko np. WTW ?

    PS. Takiego bełkotu jaki mają w regulaminie to nawet przy umowach kredytowych trudno szukać…

    PPS. GG to był badziew 6 lat temu. Teraz to jest uber-badziew: płatne opisy graficzne, dzwonki, avatary i hgw co jeszcze… Zamiast komunikatora jest przeładowany zbędnymi funkcjami wyświetlacz reklam – z dodatkową funkcją rozmowy.
    Czekam na płatne czcionki w różowe misie…

  38. Co do tego podpisywania statusu w Psi to nie jest to do końca dobrze zrobione. W sytuacji kiedy nie mamy u siebie klucza publicznego danej osoby i nie mamy go w Psi przypisanego do ctx’a to nie zobaczymy czy status jest podpisany. Co gorsza, Psi nie pokazuje ID klucza (przynajmniej nie w GUI, nie patrzyłem czy jest to w ogóle przesyłane do/z serwera) jakiego używa dana osoba więc go ot tak nie dociągnie się z keyservera.

    Niemniej obsługa GPG w xmpp jest świetną sprawą ;-).

  39. @Torwald: Począwszy od Nowego Gadu-Gadu program został napisany od zera, wcześniej faktycznie zdarzały się koszmary. Od pewnego czasu w firmie pracują jedni z lepszych programistów w Polsce (Kiedy ostatnio był duży pad serwerów? Jak często ostatnio padają?), jednak o ostatecznym wyglądzie produktu nie decydują programiści. To już nie jest mały programik pisany “na kolanie”. GG, o którego wyglądzie i funkcjach decydowaliby programiści byłoby zupełnie inne… Obstawiam, że geek’i uwielbiałyby mnóstwo opcji, pełną konfigurację, otwartość… Ale co z tego, skoro 15-letni różowy pakemon stwierdziłby, że jest brzydki i nie rozumie po co te wszystkie opcje? Co taki pakemon musi wiedzieć o multilogowaniu? To musi być program dla mas (jako taki też nie jest dopracowany, tego nie mówię), musi też na siebie zarabiać. That’s the fcuking life.

  40. matemaciek, wlasnie dlatego sa opcje zeby kazdy mogl znalesc cos dla siebie.
    jak pokemonowi nie sa potrzebne opcje, to nie musi ich uzywac, a jak programistom by przeszkadzalo to ze pokemonowi to przeszkadza, to zawsze mozna zrobic cos takiego jak expert-mode np poprzez zmodyfikowanie parametrow startowych gg.exe, wtedy pokemon nawet by nie mial pojecia.
    jezeli o mnie chodzi to ja zbytnio nie narzekam, z tym ze ja korzystam z gg 7.7 xD

  41. @patryk: Tylko kto zapłaci za doimplementowanie tych funkcjonalności? Niestety, programiści nie będą charytatywnie przychodzić do pracy w weekendy, wbrew pozorom też mają rodziny (-; Korzyść biznesowa takich zmian jest znikoma, a trzeba by je dopisać, przetestować…

  42. @matemaciek – domyślam się, że nowe GG pisano od zera. Rozumiem też, że programiści robią to, za co im płacą i czego od nich wymaga pracodawca – nie winię ich za wygląd i funkcjonalność programu.
    Jasne, że ‘Geeki’ wolałyby mieć większą kontrolę nad programem (która nie jest taka mała wbrew pozorom…), otwartość, itd. GG to program dla mas: instalujesz i używasz – w zasadzie nie ma tam nic do konfigurowania i ‘różowym pokemonom’ to wystarcza. Dołóż do tego kolorowe skórki, opisy graficzne, kilka innych bajerów i 99% gimnazjalistek będzie zachwycone :P
    Szkoda tylko, że dodając kolejne, zbędne funkcje deweloper zapomniał do czego ten program ma służyć…
    Powinni zrobić tak, jak producent np. Winampa: 3 wersje programu, Lite, Full i Pro. Wtedy użytkownicy mielib wybór czy chcą jedynie komunikator, czy komunikator + rozmowy głosowe i inne bajery, czy w końcu multimedialny kombajn który ma wszystko co firma oferuje.
    A tak trzeba instalować ważący 24MB program, tylko po to, żeby sobie z kimś pogadać…

    PS. Nawet moją kobietę, która nie ma jakichś szczególnych wymagań co do komunikatora (analfabeta internetowym nie jest, żeby nie było….) szlag trafił, jak po reinstalce systemu ściągnęła nową wersję GG, gdzie ‘na dzień dobry’ miała komunikator, radio, jakieś wiadomości ze świata i milion reklam.
    Przyszła do mnie, popatrzyła na mnie jak kot ze Shreka i poprosiła o ‘taki fajny komunikator, jak ja mam’ ;)
    Teraz ma WTW i jest zadowolona…

  43. Jest dokładnie tak jak mówi @Przemek – w GG10 można zobaczyć aktywne sesje. I warto by o tym napisać w artykule :)

  44. @torwald:
    wzruszajaca historia z tym shrekiem, ale kiedy do ciebie dotrze, ze tacy ludzie jak ty stanowia ulamek promila wszystkich uzytkownikow GG? inaczej, geeki pewnie wcale nie korzystaja z gg z powodow, ktore wymienilies, wiec tym bardzie zarzad nie musi sie liczyc z ich zdaniem. widocznie odplyw geekow jest zaniedbywalny na tle calego userbase :P

    zainstalujcie se pidgina.

    • Ja go mam. Nie ma wodotrysku, ale przynajmniej jest multikomunikatorem a nie multiwyświetlaczemreklam

  45. Bez problemu widać aktywne sesje i można je wyłączyć.
    Po lewej WTW, po prawej oficjalny GG (potraktowany GGtunerem)
    http://img3.imagebanana.com/img/lya13t7c/GG.png
    Więc to zdanie (jak i cały artykuł) trochę się “nie udało”
    “Minusem implementacji “multilogowania” przez Gadu-Gadu jest brak czytelnego powiadomienia, że do konta podpięła się kolejna sesja. “

    • Kasper93: będziemy teraz w nieskończoność flame’ować co to znaczy czytelne powiadomienie? Myślę, że Niebezpiecznik jako jedyny serwis w sieci *rzetelnie* przedstawił, jak niewielki (zerowy?) wpływ na bezpieczeństwo ma funkcja multilogowania, na którą “w internetach” tak narzekają. I mimo, że pod kątem “bezpieczeństwa” nie widzimy tu problemu, to pod kątem usability (“czytelne powiadomienie”), multilogowanie wymaga małego dopracowania naszym zdaniem. Podsumowując, artykuł uważamy za udany ;)

  46. Witam
    Jest możliwe połączenie równoległe z jednym nr gg.
    Osobiście testowałem. Łączyłem się z jednym nr gg . Z dwóch stacji roboczych o różnych adresach IP ( różni usługodawcy). Otrzymałem równoległe połączenie. Na obie stacje przychodziły wiadomości. Podobna sytuacja wygląda przy użyciu Jednego z programów na komórki.

  47. “Użytkownik nie jest uprawniony do korzystania z usług Komunikatora Gadu-Gadu w celu komunikowania się poprzez Komunikator Gadu-Gadu z użytkownikami innego komunikatora internetowego” – ten fragment jest również ciekawy z tego powodu, że przecież użytkownik nie wie, że ktoś z drugiej strony używa tego “innego komunikatora”… a złamanie regulaminu pozwala na zabranie numeru… kompletny nonsens!

    Ja osobiście w pewnym momencie się zdenerwowałem i wywaliłem gg, aqq, mirandy, transporty i zakomunikowałem wszystkim znajomym, że jak chcą ze mną gadać to jestem na jabberze (i po wcześniejszym umówieniu się na skype, za którym tez nie przepadam, ale niech będzie), a jak nie chcą to niech piszą maile. I tyle, nie będę ulegał głupiej presji ;)

  48. Podobnie jak i GMAIL, przez przynajmniej pierwsze 2 lata od uruchomienia nie informowal o innych polaczonych sesjach. (kto pamieta google invitations, bez ktorych nie dalo rady zarejestrowac konta gmail :) ?)

    Ja uznaje to za pewnego rodzaju concept-fail. Moze nie akurat w przypadku gg, ale w takich aplikacjach www jak gmail czy konto bankowe chce miec mozliwosc sledzenia nie tylko aktywnych, ale wszystkich sesji np. z ostatniego tygodnia.

  49. Dodam że podobna sytuacja jest np na NK :)

  50. >Rafał P.

    Można podsłuchiwać całą rozmowę :) komunikator WTW przechwytuje zarówno wiadomości wychodzące jak i przychodzące : testowane przeze mnie na wszystkie możliwe sposoby :)

  51. Fir3 to chyba jak dwie sesje postawisz na tym samym kompie.

  52. A jak z AQQ ? ^ ^

  53. potwierdzam…
    http://img19.imageshack.us/img19/8205/zrzutekranuzr.png

    co do multilogowania to jedt inny blad. w jaberze masz wybor do kogo pisac (do jakiej sesji) a w gg piszesz do wszystkich… pozatym nalezy dodac, ze wiadomosci wychodzace z jednego klienta nie docieraja do wszystkich

  54. potwierdzam jednak Fir3 mial racje.
    serwer gg tez wysyla wychodzace wiadomosci z tego samego numeru.

  55. Witam !!
    Wiecie łącząc się z tego samego IP wiele nie zdziałacie. w czym to może się wam przydać?? Idąc dalej niewiem czym się cieszycie. spróbojcie z dwoma stacjami a wszystko na jednym kompie i jednej sesji ehh :))

  56. SAm nie korzystam z GG10, za bardzo muli kompa. Lepszym rozwiązaniem jest np. Miranda :-)

  57. Mnie dużo bardziej martwi, że dochodzą do mnie wiadomości od blokowanych osób, ale ostatnio odkryłem, że pidgin ma swoją wersję blokowania niechcianych kontaktów.

  58. Było pisanie o trudnościach w przekonywaniu ludzi do Jabbera, mi często wystarcza argument pod tytułem zużycie zasobów przez komunikator, no i mój upór. Ewentualnie można użyć bardziej wrednych sztuczek, pasujących w sam raz do tematyki niebezpiecznika….

  59. Jest blad :) nie ma mozliwosci ogladania wiadomosci wychodzacych

  60. moze mi ktos podpowiedziec gdzie sprawdzic z jakich IP jestem zalogowany jesli uzywam tylko gg 7? z gory dzieki za pomoc

    probowalem poszukac tego na gg.pl ale nie moglem znalezc :/

  61. Ja bardziej zwróciłbym uwagę na sposób zabezpieczenia hash-ów w programach GG wersji 10 i tych wcześniejszych również. Base64 i dołączony do niego algorytm MD5, to naprawdę pikuś nawet dla początkujących łamaczy. Wielu niedoświadczonych użytkowników używa takie samo hasło profilowe jak i do serwera. Do wyciągnięcia pliku profilebase, w którym znajduje się ProfilePasswordHash ja osobiście posługiwałem się własnoręcznie napisaną aplikacją. Taki mały rookit w C++ , ale szybciej można poprostu skopiować plik(ale tylko jeżeli mamy dostęp fizyczny). W swoich testach jakie przeprowadziłem byłem w stanie podsłuchiwać prawie każdą osobe. Jedyne trudności jakie napotkałem to łamanie MD5 , ale tylko przy skomplikowanych hasłach.(rainbow_tables) >>>>>>>>>>>>>>>> WIEC WNiOSKI NASUWAJĄ SIĘ SAMEEEE…………………..

Odpowiadasz na komentarz Maciek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: