Ovo je izvedeno iz listi šifara koje kruže uglavnom polujavno, nisu na izvolte i mora se malo potruditi da se nađu, ali nisu ni preterano nedostupne. Podaci su nastali najpre iz info stealer-a tj. zlonamernih programa kradljivaca koji raznim putanjama (npr. fišingom) dođu do kućnog/kompanijskog računara pojedinaca i onda kradu, između ostalog, sačuvane lozinke iz browsera koje pošalju na server pod kontrolom e-lopova koji dalje prodaju ili iskorišćavaju ukradene podatke za finansijski profit.
Glavni izvor podataka je naz.api baza koju je obradio i Troy Hunt za Have I Been Pwned, kao i dve druge baze na koje sam naleteo lutajući po telegramu i breach forumima. Prema troyhunt-u u naz.api listi ima i kredencijala dobijenih credential stuffing-om (isprobavanjem jedne pribavljene šifre na raznim sajtovima ne bi li dobili pristup negde gde osoba koristi tu istu šifru). Naz.api je originalno 120GB, ove druge dve su 5GB i 15GB, proverio sam da ove druge dve imaju podatke koji nisu u naz.api. Troy Hunt je naz.api od sirovih 120GB deduplicirao na 24GB, ogromna većina su dakle duplikati što se i potvrdilo mojom analizom domaćih sajtova. Lista je u formatu URL:USERNAME: PASSWORD osim kada nije što mi je bio jedan od mnogih problema za čišćenje podataka.
Mukotrpno čišćenje liste je počelo sa 933093 zapisa koje sam izvukao iz originalnih listi a da su specifični za Srbiju. Posle uređivanja formata i uklanjanja duplikata to je spalo na 121776 pa na 105507 posle dodatnog čišćenja i uklanjanja novonastalih duplikata. Od oko 140GB izvornih podataka gde se nalazi sve živo kao i milioni duplikata, došao sam do pročišćene liste od 5.7MB podataka koji su relevantni za Srbiju. Ovaj projekat je trajao mesec dana sa uloženih preko 100 sati rada. Ovo sam uradio sada i više nikad.
Korišćeni alati: grep sed awk cut sort uniq kao i pipal za deo analize
Upozorenja:
* Listu je moguće još pročistiti od duplikata, ali me mrzi i morao sam u nekom trenutku da kažem dosta i krenem dalje.
* Iz analize su izuzeti nestandardni karakteri, dakle nema šifara na ćirilici ni sa ĆŠĆŽĐŽ, iako takve šifre postoje u listama, ima ih 11351 relevantnih za Srbiju, bez deduplikacije
* Iz analize su izuzete šifre sa android aplikacija koje se takođe nalaze u listama zajedno sa imenom aplikacije na koju se odnose umesto URL-a, ima ih 4796 relevantnih za Srbiju, bez deduplikacije
* što se tiče domaćih sajtova koji nisu na nacionalnom domenu, samo sledeći kao najposećeniji su uzeti u razmatranje: polovniautomobili.com rezultati.com mozzartsport.com mozzartbet.com eponuda.com kupujemprodajem.com halooglasi.com rezultati.com limundo.com kupindo.com shoptok.com coolinarika.com infostud.com goglasi.com startuj.com internet-prodaja-guma.com osiguranik.com animesrbija.com seksi-adresar.co eon.tv goglasi.com airserbia.com
Ovde ću okačiti isto što je i na twitteru, a u drugom komentaru ću staviti proširene liste istih podataka ali u tekst formatu...
Neka zapažanja:
* kickassanime.rs se je visoko kotiran jer je publika sajta svetska pre nego domaća, a na našem nacionalnom domenu je. Ovo mi malo kvari rezultate jer šifre i nalozi nisu domaći, ali nema veze.
* Jedan državni sajt je koristio difoltne šifre tipa "Obuk@2023" za napravljene naloge, ima i 2022, 2021, 2020, 2019, 2018... Sajt nije osetljive prirode ali je praksa izuzetno loša.
* Iz toga na koje sajtove su registrovani neki mejlovi MUPa se može izvesti zaključak koje dobavljače koriste za delove, softver, mape, itd. vezano za njihovu policijsku avijaciju, što možda uključuje i dronove. Dakle nije samo problem u curenju šifara nego i operacionih tajni državnih institucija i korporacija za koje se može svašta zaključiti iz metapodataka prisutnih u ovim listama (metapodaci - podaci o podacima - u ovom slučaju ko gde pristupa). Setite se ovoga kada neko kaže da metapodaci nisu opasni po privatnost, naročito ako neki političar to kaže.
* Takođe vezano za gov.rs, ima zapisa pristupanja resursima NSZ (Nacionalna Služba Za Zapošljavanje) koji se nalaze unutar njihove privatne mreže. Ovo ukazuje na to da je neki računar u internoj mreži NSZ u nekom nepoznatom trenutku bio kompromitovan infostealerom.
* ime+godina (rođenja, trenutna) ili ime+3/4 nekakve brojke (dan+mesec?) je veoma popularna šifra
* Šifre su generalno solidne, ima i dosta izuzetno kompleksnih generisanih šifara, mnogo više nego što sam očekivao.
* Većina samo stavi minimum da prođe probe kompleksnosti sajta dakle šifra ima mala slova, jedno veliko, jedan ili više brojeva i jedan specijalan karakter, najčešće uzvičnik na kraju šifre.
* Vremenski period ovih podataka je teško odrediti, ima starih sajtova tipa emmi.rs i vobank.rs, ima dosta svežijih kao što su npr rbabanka.rs. Pošto su ovo generalno podaci iz browsera korisnika, stari domeni su ostali upisani iako se ne koriste, tako da samo na osnovu domena u listi nije moguće odrediti koliko su stari ovi podaci. Na osnovu toga koliko se često koristi određena godina u samim šiframa rekao bih da je većina podataka iz 2022 i ranije.
* Ima 132 zapisa za /wp-admin/ (administrativni panel za wordpress sajt) kao i 339 zapisa sa korisničkim imenom "admin"
Zaključak: Džabe dobre šifre i različite šifre za svaki sajt ako ih pokupi infostealer. Nemojte čuvati šifre u browseru. Pored dobrih šifara jako je bitno ne instalirati sumnjive aplikacije, ne otvarati priloge iz sumnjivih mejlova, redovno ažurirati operativni sistem i aplikacije, naročito browsere. Eksterni password manager koji nije deo browsera je koristan, ali infostealeri napadaju i njih tako da je "Defense in Depth" tj. višeslojna odbrana ujedno i najbolja odbrana. Mislim da je opasnost od zaražavanja infostealerom izuzetno mala za one koji ne koriste piratovan softver/igrice i ne otvaraju sumnjiva dokumenta koja
Glavni izvor podataka je naz.api baza koju je obradio i Troy Hunt za Have I Been Pwned, kao i dve druge baze na koje sam naleteo lutajući po telegramu i breach forumima. Prema troyhunt-u u naz.api listi ima i kredencijala dobijenih credential stuffing-om (isprobavanjem jedne pribavljene šifre na raznim sajtovima ne bi li dobili pristup negde gde osoba koristi tu istu šifru). Naz.api je originalno 120GB, ove druge dve su 5GB i 15GB, proverio sam da ove druge dve imaju podatke koji nisu u naz.api. Troy Hunt je naz.api od sirovih 120GB deduplicirao na 24GB, ogromna većina su dakle duplikati što se i potvrdilo mojom analizom domaćih sajtova. Lista je u formatu URL:USERNAME: PASSWORD osim kada nije što mi je bio jedan od mnogih problema za čišćenje podataka.
Mukotrpno čišćenje liste je počelo sa 933093 zapisa koje sam izvukao iz originalnih listi a da su specifični za Srbiju. Posle uređivanja formata i uklanjanja duplikata to je spalo na 121776 pa na 105507 posle dodatnog čišćenja i uklanjanja novonastalih duplikata. Od oko 140GB izvornih podataka gde se nalazi sve živo kao i milioni duplikata, došao sam do pročišćene liste od 5.7MB podataka koji su relevantni za Srbiju. Ovaj projekat je trajao mesec dana sa uloženih preko 100 sati rada. Ovo sam uradio sada i više nikad.
Korišćeni alati: grep sed awk cut sort uniq kao i pipal za deo analize
Upozorenja:
* Listu je moguće još pročistiti od duplikata, ali me mrzi i morao sam u nekom trenutku da kažem dosta i krenem dalje.
* Iz analize su izuzeti nestandardni karakteri, dakle nema šifara na ćirilici ni sa ĆŠĆŽĐŽ, iako takve šifre postoje u listama, ima ih 11351 relevantnih za Srbiju, bez deduplikacije
* Iz analize su izuzete šifre sa android aplikacija koje se takođe nalaze u listama zajedno sa imenom aplikacije na koju se odnose umesto URL-a, ima ih 4796 relevantnih za Srbiju, bez deduplikacije
* što se tiče domaćih sajtova koji nisu na nacionalnom domenu, samo sledeći kao najposećeniji su uzeti u razmatranje: polovniautomobili.com rezultati.com mozzartsport.com mozzartbet.com eponuda.com kupujemprodajem.com halooglasi.com rezultati.com limundo.com kupindo.com shoptok.com coolinarika.com infostud.com goglasi.com startuj.com internet-prodaja-guma.com osiguranik.com animesrbija.com seksi-adresar.co eon.tv goglasi.com airserbia.com
Ovde ću okačiti isto što je i na twitteru, a u drugom komentaru ću staviti proširene liste istih podataka ali u tekst formatu...
- Da počnemo sa top 30 sajtova po zapisima, na forumu je postavljen duži spisak.
- gov.rs domeni sa preko 20 zapisa. Jedna zanimljivost vezana za gov.rs je da ima 47 zapisa gde je gov.rs mejl korišćen na nekom trećem sajtu.
- edu.rs domeni sa preko 10 zapisa
- banke sa preko 10 zapisa
- Top 20 šifara po količini zapisa, cenzurisane su šifre od nekoga ko koristi istu šifru uvek i na svim sajtovima, zato i ima toliko zapisa jedne te iste šifre koja nije generična.
- Spisak najčešćih 20 osnovnih reči od kojih su sastavljene šifre, posle ove reči uglavnom ide i neki broj i zajedno sa brojem predstavlja kompletnu šifru
- Frekvencija dužine šifara... šifre od osam karaktera dominiraju, to je uobičajeno minimum dužina šifre koje sajtovi zahtevaju. Najviše šifara je dužine između 8 i 15 karaktera.
- Top 20 godina koje su u sastavu šifara, može nam pomoći da spekulišemo o godini curenja šifara, kao i o godištu osoba čije šifre su procurele.
Neka zapažanja:
* kickassanime.rs se je visoko kotiran jer je publika sajta svetska pre nego domaća, a na našem nacionalnom domenu je. Ovo mi malo kvari rezultate jer šifre i nalozi nisu domaći, ali nema veze.
* Jedan državni sajt je koristio difoltne šifre tipa "Obuk@2023" za napravljene naloge, ima i 2022, 2021, 2020, 2019, 2018... Sajt nije osetljive prirode ali je praksa izuzetno loša.
* Iz toga na koje sajtove su registrovani neki mejlovi MUPa se može izvesti zaključak koje dobavljače koriste za delove, softver, mape, itd. vezano za njihovu policijsku avijaciju, što možda uključuje i dronove. Dakle nije samo problem u curenju šifara nego i operacionih tajni državnih institucija i korporacija za koje se može svašta zaključiti iz metapodataka prisutnih u ovim listama (metapodaci - podaci o podacima - u ovom slučaju ko gde pristupa). Setite se ovoga kada neko kaže da metapodaci nisu opasni po privatnost, naročito ako neki političar to kaže.
* Takođe vezano za gov.rs, ima zapisa pristupanja resursima NSZ (Nacionalna Služba Za Zapošljavanje) koji se nalaze unutar njihove privatne mreže. Ovo ukazuje na to da je neki računar u internoj mreži NSZ u nekom nepoznatom trenutku bio kompromitovan infostealerom.
* ime+godina (rođenja, trenutna) ili ime+3/4 nekakve brojke (dan+mesec?) je veoma popularna šifra
* Šifre su generalno solidne, ima i dosta izuzetno kompleksnih generisanih šifara, mnogo više nego što sam očekivao.
* Većina samo stavi minimum da prođe probe kompleksnosti sajta dakle šifra ima mala slova, jedno veliko, jedan ili više brojeva i jedan specijalan karakter, najčešće uzvičnik na kraju šifre.
* Vremenski period ovih podataka je teško odrediti, ima starih sajtova tipa emmi.rs i vobank.rs, ima dosta svežijih kao što su npr rbabanka.rs. Pošto su ovo generalno podaci iz browsera korisnika, stari domeni su ostali upisani iako se ne koriste, tako da samo na osnovu domena u listi nije moguće odrediti koliko su stari ovi podaci. Na osnovu toga koliko se često koristi određena godina u samim šiframa rekao bih da je većina podataka iz 2022 i ranije.
* Ima 132 zapisa za /wp-admin/ (administrativni panel za wordpress sajt) kao i 339 zapisa sa korisničkim imenom "admin"
Zaključak: Džabe dobre šifre i različite šifre za svaki sajt ako ih pokupi infostealer. Nemojte čuvati šifre u browseru. Pored dobrih šifara jako je bitno ne instalirati sumnjive aplikacije, ne otvarati priloge iz sumnjivih mejlova, redovno ažurirati operativni sistem i aplikacije, naročito browsere. Eksterni password manager koji nije deo browsera je koristan, ali infostealeri napadaju i njih tako da je "Defense in Depth" tj. višeslojna odbrana ujedno i najbolja odbrana. Mislim da je opasnost od zaražavanja infostealerom izuzetno mala za one koji ne koriste piratovan softver/igrice i ne otvaraju sumnjiva dokumenta koja
