Arwain: foneddigesau, mae'r sgwrs hon yn ddoniol iawn ac yn ddiddorol iawn, heddiw rydyn ni'n mynd i siarad am bethau go iawn sy'n cael eu harsylwi ar y Rhyngrwyd. Mae'r sgwrs hon ychydig yn wahanol i'r rhai rydyn ni wedi arfer â nhw mewn cynadleddau Black Hat oherwydd rydyn ni'n mynd i siarad am sut mae ymosodwyr yn gwneud arian o'u hymosodiadau.
Byddwn yn dangos rhai ymosodiadau diddorol i chi a all wneud elw, ac yn dweud wrthych am yr ymosodiadau a ddigwyddodd mewn gwirionedd y noson yr aethom dros Jägermeister a thalu syniadau. Roedd yn hwyl, ond pan wnaethon ni sobri ychydig, fe wnaethon ni siarad â'r bobl SEO a dysgu mewn gwirionedd bod llawer o bobl yn gwneud arian o'r ymosodiadau hyn.
Dim ond rheolwr canol di-ymennydd ydw i, felly byddaf yn ildio fy sedd ac yn eich cyflwyno i Jeremy a Trey, sy'n llawer callach na mi. Dylwn i gael cyflwyniad smart a hwyliog, ond dydw i ddim, felly byddaf yn dangos y sleidiau hyn yn lle hynny.
Mae sleidiau sy'n dangos Jeremy Grossman a Trey Ford i'w gweld ar y sgrin.
Jeremy Grossman yw sylfaenydd a phrif swyddog technoleg WhiteHat Security, a enwyd yn un o’r 2007 CTO gorau gan InfoWorld yn 25, cyd-sylfaenydd y Web Application Security Consortium, a chyd-awdur ymosodiadau sgriptio traws-safle.
Trey Ford yw Cyfarwyddwr Pensaernïol Solutions WhiteHat Security, sydd â 6 mlynedd o brofiad fel ymgynghorydd diogelwch ar gyfer cwmnïau Fortune 500 ac un o ddatblygwyr safon diogelwch data cerdyn talu PCI DSS.
Rwy'n meddwl bod y lluniau hyn yn gwneud iawn am fy niffyg hiwmor. Mewn unrhyw achos, rwy'n gobeithio y byddwch chi'n mwynhau eu cyflwyniad ac yna'n deall sut mae'r ymosodiadau hyn yn cael eu defnyddio ar y Rhyngrwyd i wneud arian.
Jeremy Grossman: Prynhawn da, diolch i bawb am ddod. Bydd hon yn sgwrs hwyliog iawn, er na fyddwch yn gweld ymosodiadau dim diwrnod na thechnolegau newydd cŵl. Byddwn yn ceisio ei wneud yn ddifyr a siarad am y pethau go iawn sy'n digwydd bob dydd sy'n caniatáu i fechgyn drwg wneud llawer o arian.
Nid ydym yn ceisio creu argraff arnoch gyda'r hyn a ddangosir ar y sleid hon, ond yn syml esbonio beth mae ein cwmni yn ei wneud. Felly, White Hat Sentinel, neu “Guardian White Hat” yw:
- nifer digyfyngiad o asesiadau - rheolaeth a rheolaeth arbenigol o safleoedd cleientiaid, y gallu i sganio safleoedd waeth beth fo'u maint ac amlder y newidiadau;
- cwmpas eang - sganio safleoedd wedi'u hawdurdodi i ganfod gwendidau technegol a phrofi defnyddwyr i nodi gwallau rhesymegol mewn meysydd busnes a ddatgelwyd;
- dileu pethau cadarnhaol ffug – mae ein tîm gweithredol yn adolygu'r canlyniadau ac yn pennu'r sgôr difrifoldeb a bygythiad priodol;
- datblygu a rheoli ansawdd - mae system Offer Lloeren WhiteHat yn ein galluogi i wasanaethu systemau cleientiaid o bell trwy fynediad i'r rhwydwaith mewnol;
- gwella a gwella - mae sganio realistig yn caniatáu ichi ddiweddaru'r system yn gyflym ac yn effeithlon.
Felly, rydym yn archwilio pob safle yn y byd, mae gennym y tîm mwyaf o ddyfeiswyr cymwysiadau gwe, rydym yn cynnal 600-700 o brofion asesu bob wythnos, ac mae'r holl ddata a welwch yn y cyflwyniad hwn yn dod o'n profiad o wneud y math hwn o waith .
Ar y sleid nesaf fe welwch y 10 math mwyaf cyffredin o ymosodiadau ar wefannau byd-eang. Mae hyn yn dangos y ganran sy'n agored i rai ymosodiadau. Fel y gallwch weld, mae 65% o'r holl wefannau yn agored i sgriptio traws-safle, mae 40% yn caniatáu gollwng gwybodaeth, ac mae 23% yn agored i ffugio cynnwys. Yn ogystal â sgriptio traws-safle, mae pigiadau SQL a'r ffugio ceisiadau traws-safle drwg-enwog, nad yw wedi'i gynnwys yn ein deg uchaf, yn gyffredin. Ond mae'r rhestr hon yn cynnwys ymosodiadau ag enwau esoterig, sy'n cael eu disgrifio gan ddefnyddio iaith annelwig a'u penodoldeb yw eu bod wedi'u cyfeirio at rai cwmnïau.
Mae'r rhain yn ddiffygion dilysu, diffygion proses awdurdodi, gollyngiadau gwybodaeth, ac ati.
Mae'r sleid nesaf yn sôn am ymosodiadau ar resymeg busnes. Fel arfer nid yw timau sicrhau ansawdd sy'n ymwneud â sicrhau ansawdd yn rhoi sylw iddynt. Maen nhw'n profi'r hyn y dylai'r feddalwedd ei wneud, nid yr hyn y gall ei wneud, ac yna gallwch chi weld beth bynnag rydych chi ei eisiau. Nid yw sganwyr, yr holl Flychau Gwyn/Du/Llwyd hyn, yr holl flychau amryliw hyn yn gallu canfod y pethau hyn yn y rhan fwyaf o achosion, oherwydd eu bod wedi'u seilio'n syml ar gyd-destun yr hyn y gallai'r ymosodiad fod neu beth sy'n digwydd yn debyg pan fydd yn digwydd. Mae ganddynt ddiffyg deallusrwydd ac nid ydynt yn gwybod a weithiodd unrhyw beth o gwbl ai peidio.
Mae'r un peth yn wir am waliau tân cymwysiadau IDS a WAF, sydd hefyd yn methu â chanfod diffygion rhesymeg busnes oherwydd bod ceisiadau HTTP yn edrych yn gwbl normal. Byddwn yn dangos i chi fod ymosodiadau sy'n ymwneud â diffygion rhesymeg busnes yn codi'n hollol naturiol, nid oes hacwyr, dim meta-gymeriadau nac odiaethau eraill, maen nhw'n edrych fel prosesau sy'n digwydd yn naturiol. Y prif beth yw bod y dynion drwg yn caru'r pethau hyn oherwydd bod y diffygion yn rhesymeg y busnes yn gwneud arian iddynt. Maent yn defnyddio XSS, SQL, CSRF, ond mae'r mathau hyn o ymosodiadau yn dod yn fwyfwy anodd eu cyflawni, ac rydym wedi gweld eu bod wedi gostwng dros y 3-5 mlynedd diwethaf. Ond ni fyddant yn diflannu eu hunain, yn union fel na fydd gorlif byffer yn diflannu. Fodd bynnag, mae'r dynion drwg yn meddwl sut i ddefnyddio ymosodiadau mwy soffistigedig oherwydd eu bod yn credu bod y "gwŷr drwg go iawn" bob amser yn edrych i wneud arian o'u hymosodiadau.
Rwyf am ddangos triciau go iawn i chi y gallwch eu hystyried a'u defnyddio yn y ffordd gywir i amddiffyn eich busnes. Pwrpas arall ein cyflwyniad yw y gallech fod yn pendroni am foeseg.
Pleidleisiau a phleidleisio ar-lein
Felly, i ddechrau ein trafodaeth am ddiffygion rhesymeg busnes, gadewch i ni siarad am arolygon ar-lein. Polau ar-lein yw'r ffordd fwyaf cyffredin o ddarganfod neu ddylanwadu ar farn y cyhoedd. Byddwn yn dechrau gydag elw o $0 ac yna'n edrych ar ganlyniad 5, 6, 7 mis o gynlluniau twyllodrus. Gadewch i ni ddechrau drwy wneud arolwg syml iawn, iawn. Rydych chi'n gwybod bod pob gwefan newydd, pob blog, pob porth newyddion yn cynnal arolygon ar-lein. Wedi dweud hynny, nid oes unrhyw gilfach yn rhy fawr nac yn rhy gyfyng, ond rydym am weld barn y cyhoedd mewn meysydd penodol.
Hoffwn dynnu eich sylw at un arolwg a gynhaliwyd yn Austin, Texas. Oherwydd bod bachle Austin wedi ennill Sioe Gŵn San Steffan, penderfynodd y Gwladweinydd Americanaidd Austin gynnal arolwg barn ar-lein Austin's Best in Show ar gyfer perchnogion cŵn Central Texas. Cyflwynodd miloedd o berchnogion luniau a phleidleisio dros eu ffefrynnau. Fel cymaint o arolygon eraill, nid oedd unrhyw wobr heblaw hawliau brolio ar gyfer eich anifail anwes.
Defnyddiwyd cymhwysiad system Web 2.0 ar gyfer pleidleisio. Fe wnaethoch chi glicio “ie” os oeddech chi'n hoffi'r ci a darganfod ai hwn oedd y ci gorau yn y brîd ai peidio. Felly fe wnaethoch chi bleidleisio ar gannoedd o gŵn a bostiwyd ar y safle fel ymgeiswyr ar gyfer enillydd y sioe.
Gyda'r dull pleidleisio hwn, roedd 3 math o dwyllo yn bosibl. Y gyntaf yw'r bleidlais ddiddiwedd, lle rydych chi'n pleidleisio dros yr un ci dro ar ôl tro. Mae'n syml iawn. Yr ail ddull yw pleidleisio lluosog negyddol, lle rydych chi'n pleidleisio nifer fawr o weithiau yn erbyn ci sy'n cystadlu. Y drydedd ffordd oedd, yn llythrennol ar funud olaf y gystadleuaeth, ichi osod ci newydd, pleidleisio drosto, fel bod y posibilrwydd o dderbyn pleidleisiau negyddol yn fach iawn, a’ch bod wedi ennill drwy dderbyn pleidleisiau 100% cadarnhaol.
Ar ben hynny, penderfynwyd y fuddugoliaeth fel canran, ac nid gan gyfanswm y pleidleisiau, hynny yw, ni allech benderfynu pa gi a gafodd y nifer uchaf o raddfeydd cadarnhaol, dim ond canran y graddfeydd cadarnhaol a negyddol ar gyfer ci penodol a gyfrifwyd. . Enillodd y ci gyda'r gymhareb sgôr positif/negyddol orau.
Gofynnodd ffrind Robert "RSnake" Hansen iddo ei helpu Chihuahua Tiny i ennill cystadleuaeth. Rydych chi'n adnabod Robert, mae'n dod o Austin. Ef, fel haciwr gwych, gosododd y dirprwy Burp a dilyn llwybr y gwrthiant lleiaf. Defnyddiodd dechneg twyllo #1, gan ei redeg trwy ddolen Burp o rai cannoedd neu filoedd o geisiadau, a daeth hyn â 2000 o bleidleisiau i'r ci a dod ag ef i'r safle 1af.
Nesaf, defnyddiodd dechneg twyllo Rhif 2 yn erbyn cystadleuydd Tiny, y llysenw Chuchu. Ym munudau olaf y gystadleuaeth, fe fwriodd 450 o bleidleisiau yn erbyn Chuchu, a gryfhaodd safle Tiny ymhellach yn y lle 1af gyda chymhareb pleidlais o fwy na 2:1, ond o ran canran yr adolygiadau cadarnhaol a negyddol, roedd Tiny yn dal i golli. Ar y sleid hon fe welwch wyneb newydd seiberdroseddwr, wedi'i ddigalonni gan y canlyniad hwn.
Oedd, roedd yn senario ddiddorol, ond credaf nad oedd fy ffrind yn hoffi'r perfformiad hwn. Roeddech chi eisiau ennill cystadleuaeth Chihuahua yn Austin, ond roedd yna rywun a geisiodd eich hacio a gwneud yr un peth. Wel, nawr dwi'n troi'r alwad drosodd i Trey.
Creu galw artiffisial a gwneud arian arno
Trey Ford: Mae'r cysyniad o "DoS artiffisial" yn cyfeirio at sawl senario ddiddorol wahanol pan fyddwn yn prynu tocynnau ar-lein. Er enghraifft, wrth gadw sedd arbennig ar awyren. Gall hyn fod yn berthnasol i unrhyw fath o docyn, fel digwyddiad chwaraeon neu gyngerdd.
Er mwyn atal prynu eitemau prin dro ar ôl tro fel seddi cwmni hedfan, eitemau corfforol, enwau defnyddwyr, ac ati, mae'r cais yn cloi'r eitem am gyfnod penodol o amser i atal gwrthdaro. Ac yma daw'r bregusrwydd sy'n gysylltiedig â'r gallu i gadw rhywbeth ymlaen llaw.
Rydyn ni i gyd yn gwybod am seibiant, rydyn ni i gyd yn gwybod am ddod â'r sesiwn i ben. Ond mae'r diffyg rhesymegol penodol hwn yn ein galluogi i ddewis sedd ar hediad ac yna dychwelyd i wneud y dewis eto heb dalu dim. Siawns nad yw llawer ohonoch yn mynd ar deithiau busnes yn aml, ond i mi mae hyn yn rhan hanfodol o'r swydd. Rydyn ni wedi profi'r algorithm hwn mewn sawl man: rydych chi'n dewis hedfan, yn dewis sedd, a dim ond pan fyddwch chi'n barod rydych chi'n nodi'ch gwybodaeth talu. Hynny yw, ar ôl i chi ddewis lle, mae'n cael ei gadw i chi am gyfnod penodol o amser - o sawl munud i sawl awr, ac yn ystod yr amser hwn ni all unrhyw un arall archebu'r lle hwn. Oherwydd y cyfnod aros hwn, mae gennych gyfle gwirioneddol i gadw'r holl seddi ar yr awyren trwy ddychwelyd i'r safle a bwcio'r seddi rydych chi eu heisiau.
Felly, mae opsiwn ymosodiad DoS yn ymddangos: ailadroddwch y cylch hwn yn awtomatig ar gyfer pob sedd ar yr awyren.
Rydym wedi profi hyn ar o leiaf ddau gwmni hedfan mawr. Gallwch ddod o hyd i'r un bregusrwydd ag unrhyw archeb arall. Dyma gyfle gwych i godi prisiau eich tocynnau ar gyfer y rhai sydd am eu hailwerthu. I wneud hyn, y cyfan sydd angen i hapfasnachwyr yw archebu'r tocynnau sy'n weddill heb unrhyw risg o golled ariannol. Yn y modd hwn, gallwch chi “chwalu” e-fasnach sy'n gwerthu cynhyrchion galw uchel - gemau fideo, consolau gemau, iPhones, ac ati. Hynny yw, mae'r diffyg presennol yn y system archebu neu gadw ar-lein yn caniatáu i ymosodwr wneud arian ohono neu achosi difrod i gystadleuwyr.
Dadgryptio Captcha
Jeremy Grossman: Nawr, gadewch i ni siarad am captcha. Mae pawb yn gwybod y lluniau annifyr hynny sy'n sbwriel ar y Rhyngrwyd ac yn cael eu defnyddio i frwydro yn erbyn sbam. O bosibl, gallwch hefyd wneud elw o captcha. Mae Captcha yn brawf Turing cwbl awtomataidd sy'n eich galluogi i wahaniaethu rhwng person go iawn a bot. Darganfyddais lawer o bethau diddorol wrth ymchwilio i'r defnydd o captcha.
Defnyddiwyd Captcha am y tro cyntaf tua 2000-2001. Mae sbamwyr eisiau dileu'r captcha er mwyn cofrestru ar gyfer gwasanaethau e-bost am ddim Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook, ac ati. ac anfon sbam. Ers captcha yn cael ei ddefnyddio yn eithaf eang, marchnad gyfan o wasanaethau wedi ymddangos sy'n cynnig i osgoi'r captcha hollbresennol. Yn y pen draw, mae hyn yn dod ag elw - enghraifft fyddai anfon sbam. Mae yna 3 ffordd i osgoi'r captcha, gadewch i ni edrych arnyn nhw.
Y cyntaf yw'r diffygion yng ngweithrediad y syniad, neu ddiffygion yn y defnydd o captcha.
Felly, nid yw'r atebion i gwestiynau'n cynnwys digon o entropi, megis “ysgrifennwch beth mae 4+1 yn hafal iddo.” Gellir ailadrodd yr un cwestiynau lawer gwaith, ac mae'r ystod o atebion posibl yn eithaf bach.
Mae effeithiolrwydd captcha yn cael ei wirio yn y modd hwn:
- dylid cynnal y prawf mewn amodau lle mae'r person a'r gweinydd yn bell oddi wrth ei gilydd,
ni ddylai'r prawf fod yn anodd i'r unigolyn; - dylai'r cwestiwn fod yn gyfryw fel y gall person ei ateb o fewn ychydig eiliadau,
Dim ond yr un y gofynnir y cwestiwn iddo a ddylai ateb; - rhaid bod ateb y cwestiwn yn anodd i'r cyfrifiadur;
- ni ddylai gwybodaeth am gwestiynau blaenorol, atebion neu eu cyfuniad effeithio ar ragweladwyedd y prawf nesaf;
- rhaid i'r prawf beidio â gwahaniaethu yn erbyn pobl â nam ar y golwg neu'r clyw;
- ni ddylai'r prawf fod â thuedd ddaearyddol, diwylliannol nac ieithyddol.
Fel mae'n digwydd, mae creu captcha “cywir” yn eithaf anodd.
Ail anfantais captcha yw'r posibilrwydd o ddefnyddio cydnabyddiaeth cymeriad optegol OCR. Mae darn o god yn gallu darllen delwedd captcha ni waeth faint o sŵn gweledol sydd ynddo, gweld pa lythrennau neu rifau sy'n ei ffurfio, ac awtomeiddio'r broses adnabod. Mae ymchwil wedi dangos y gall y rhan fwyaf o captchas gael ei gracio'n hawdd.
Byddaf yn rhoi dyfyniadau gan arbenigwyr o'r Ysgol Cyfrifiadureg ym Mhrifysgol Newcastle, y DU. Maen nhw'n siarad am ba mor hawdd yw cracio captcha Microsoft: “roedd ein hymosodiad yn gallu cyflawni cyfradd llwyddiant segmentu o 92%, sy'n awgrymu y gellir cracio cynllun captcha MSN mewn 60% o achosion trwy segmentu'r ddelwedd ac yna ei gydnabod. ” Roedd cracio captcha Yahoo yr un mor hawdd: “Cyflawnodd ein hail ymosodiad lwyddiant segmentu o 33,4%. Felly, gall tua 25,9% o captchas gael ei gracio. Mae ein hymchwil yn awgrymu na ddylai sbamwyr byth ddefnyddio llafur dynol rhad i osgoi captcha Yahoo, ond yn hytrach dibynnu ar ymosodiad awtomataidd cost isel."
Gelwir y trydydd dull o osgoi captcha yn “Mechanical Turk”, neu “Turk”. Fe wnaethon ni ei brofi yn erbyn captcha Yahoo yn syth ar ôl ei gyhoeddi, a hyd heddiw nid ydym yn gwybod, ac nid oes neb yn gwybod, sut i amddiffyn rhag ymosodiad o'r fath.
Dyma'r achos lle mae gennych ddyn drwg a fydd yn rhedeg gwefan "oedolyn" neu gêm ar-lein lle mae defnyddwyr yn gofyn am rywfaint o gynnwys. Cyn iddynt allu gweld y llun nesaf, bydd y safle y mae'r haciwr yn berchen arno yn gwneud cais pen ôl i system ar-lein rydych chi'n gyfarwydd â hi, dywedwch Yahoo neu Google, cydiwch yn y captcha oddi yno a'i lithro i'r defnyddiwr. A chyn gynted ag y bydd y defnyddiwr yn ateb y cwestiwn, bydd yr haciwr yn anfon y captcha dyfalu i'r safle targed ac yn dangos y ddelwedd y gofynnwyd amdani o'i wefan i'r defnyddiwr. Os oes gennych chi wefan boblogaidd iawn gyda llawer o gynnwys diddorol, gallwch chi ysgogi byddin gyfan o bobl a fydd yn llenwi captchas pobl eraill i chi yn awtomatig. Mae hyn yn beth pwerus iawn.
Fodd bynnag, nid yn unig y mae pobl yn ceisio osgoi captchas; mae busnesau hefyd yn defnyddio'r dechneg hon. Siaradodd Robert “RSnake” Hansen unwaith ar ei flog â “datryswr captcha” o Rwmania a ddywedodd y gallai ddatrys rhwng 300 a 500 captchas yr awr ar gyfradd o 9 i 15 o ddoleri fesul mil o gaptchasau wedi'u datrys.
Dywed yn uniongyrchol fod aelodau ei dîm yn gweithio 12 awr y dydd, yn datrys tua 4800 o gaptchas yn ystod y cyfnod hwn, ac yn dibynnu ar ba mor anodd yw'r captchas, gallant dderbyn hyd at $50 y dydd am eu gwaith. Roedd hwn yn swydd ddiddorol, ond hyd yn oed yn fwy diddorol yw'r sylwadau a adawodd defnyddwyr blog o dan y post hwn. Ymddangosodd neges ar unwaith o Fietnam, lle adroddodd Quang Hung penodol am ei grŵp o 20 o bobl, a gytunodd i weithio am $4 fesul 1000 o gaptchas ddyfalu.
Daeth y neges nesaf o Bangladesh: “Helo! Gobeithio eich bod chi'n iawn! Rydym yn gwmni prosesu blaenllaw o Bangladesh. Ar hyn o bryd, mae ein 30 o weithredwyr yn gallu datrys mwy na 100000 o captchas y dydd. Rydym yn cynnig amodau rhagorol a chyfradd isel - $2 am 1000 o gaptchasau dyfalu o wefannau Yahoo, Hotmail, Mayspace, Gmail, Facebook, ac ati. Edrychwn ymlaen at gydweithio pellach.”
Anfonwyd neges ddiddorol arall gan Babu penodol: “Mae gen i ddiddordeb yn y gwaith hwn, ffoniwch fi ar y ffôn.”
Felly mae'n eithaf diddorol. Gallwn ddadlau pa mor gyfreithlon neu anghyfreithlon yw’r gweithgaredd hwn, ond y ffaith yw bod pobl mewn gwirionedd yn gwneud arian ohono.
Cael mynediad i gyfrifon pobl eraill
Trey Ford: Y senario nesaf y byddwn yn siarad amdano yw gwneud arian trwy gymryd drosodd cyfrif rhywun arall.
Mae pawb yn anghofio cyfrineiriau, ac ar gyfer profi diogelwch cymwysiadau, mae ailosod cyfrinair a chofrestru ar-lein yn cynrychioli dwy broses fusnes benodol â ffocws. Mae bwlch mawr rhwng pa mor hawdd yw ailosod eich cyfrinair a rhwyddineb cofrestru, felly dylech ymdrechu i wneud y broses ailosod cyfrinair mor syml â phosibl. Ond os ceisiwn ei symleiddio, mae problem yn codi oherwydd po symlaf yw ailosod cyfrinair, y lleiaf diogel ydyw.
Roedd un o'r achosion mwyaf amlwg yn ymwneud â chofrestru ar-lein gan ddefnyddio gwasanaeth dilysu defnyddwyr Sprint. Defnyddiodd dau aelod o dîm White Hat Sprint ar gyfer cofrestru ar-lein. Mae yna un neu ddau o bethau y mae'n rhaid i chi eu cadarnhau i brofi mai chi yw chi, gan ddechrau gyda rhywbeth mor syml â'ch rhif ffôn symudol. Mae angen i chi gofrestru ar-lein ar gyfer pethau fel rheoli eich cyfrif banc, talu am wasanaethau, ac ati. Mae prynu ffonau yn gyfleus iawn os gallwch chi ei wneud o gyfrif rhywun arall ac yna prynu a gwneud llawer mwy. Un o'r opsiynau sgam yw newid y cyfeiriad talu, archebu danfoniad criw cyfan o ffonau symudol i'ch cyfeiriad, a bydd y dioddefwr yn cael ei orfodi i dalu amdanynt. Mae maniacs stelcian hefyd yn breuddwydio am y cyfle hwn: ychwanegu ymarferoldeb olrhain GPS i ffonau eu dioddefwyr ac olrhain pob symudiad o unrhyw gyfrifiadur.
Felly, mae Sprint yn cynnig rhai o'r cwestiynau symlaf i wirio'ch hunaniaeth. Fel y gwyddom, gellir sicrhau diogelwch naill ai trwy ystod eang iawn o entropi, neu drwy faterion tra arbenigol. Byddaf yn darllen rhan o'r broses gofrestru Sbrint i chi oherwydd mae'r entropi yn isel iawn. Er enghraifft, mae yna gwestiwn: "dewiswch frand car sydd wedi'i gofrestru yn y cyfeiriad canlynol," a'r opsiynau brand yw Lotus, Honda, Lamborghini, Fiat, a "dim un o'r uchod." Dywedwch wrthyf, pa rai ohonoch sydd ag unrhyw un o'r uchod? Fel y gallwch weld, mae'r pos heriol hwn yn gyfle gwych i fyfyriwr coleg gael ffonau rhad.
Ail gwestiwn: “Pa un o’r bobl ganlynol sy’n byw gyda chi neu sy’n byw yn y cyfeiriad isod”? Mae'n hawdd iawn ateb y cwestiwn hwn, hyd yn oed os nad ydych chi'n adnabod y person hwn o gwbl. Jerry Stifliin - mae gan yr enw olaf hwn dri "ays" ynddo, fe gyrhaeddwn hynny mewn eiliad - Ralph Argen, Jerome Ponicki a John Pace. Yr hyn sy'n ddiddorol am y rhestriad hwn yw bod yr enwau a roddir yn hollol ar hap, ac maent i gyd yn ddarostyngedig i'r un patrwm. Os ydych chi'n ei gyfrifo, yna ni fyddwch yn cael unrhyw anhawster i adnabod yr enw go iawn, oherwydd ei fod yn wahanol i'r enwau a ddewiswyd ar hap mewn rhywbeth nodweddiadol, yn yr achos hwn y tair llythyren "i". Felly, mae'n amlwg nad yw Stayflin yn enw ar hap, ac mae'n hawdd dyfalu, y person hwn yw eich targed. Mae'n syml iawn, iawn.
Y trydydd cwestiwn: "Ym mha rai o'r dinasoedd rhestredig nad ydych chi erioed wedi byw neu erioed wedi defnyddio'r ddinas hon yn eich cyfeiriad?" — Longmont, Gogledd Hollywood, Genoa neu Butte? Mae gennym dair ardal boblog iawn o amgylch Washington DC, felly yr ateb amlwg yw Gogledd Hollywood.
Mae cwpl o bethau y mae angen i chi fod yn ofalus yn eu cylch gyda chofrestriad ar-lein Sprint. Fel y dywedais o'r blaen, fe allech chi gael eich brifo'n ddifrifol os yw ymosodwr yn gallu newid y cyfeiriad cludo ar gyfer pryniannau yn eich gwybodaeth talu. Yr hyn sy'n wirioneddol frawychus yw bod gennym wasanaeth Lleolydd Symudol.
Ag ef, gallwch olrhain symudiadau eich gweithwyr, gan fod pobl yn defnyddio ffonau symudol a GPS, a gallwch weld ar y map ble maen nhw. Felly mae rhai pethau eithaf diddorol eraill yn digwydd yn y broses hon.
Fel y gwyddoch, wrth ailosod cyfrinair, mae'r cyfeiriad e-bost yn cael blaenoriaeth dros ddulliau eraill o wirio defnyddwyr a chwestiynau diogelwch. Mae'r sleid nesaf yn dangos llawer o wasanaethau sy'n cynnig nodi eich cyfeiriad e-bost os yw'r defnyddiwr yn cael anhawster mewngofnodi i'w gyfrif.
Gwyddom fod y rhan fwyaf o bobl yn defnyddio e-bost ac mae ganddynt gyfrif e-bost. Yn sydyn roedd pobl eisiau dod o hyd i ffordd i wneud arian ohono. Byddwch bob amser yn darganfod cyfeiriad e-bost y dioddefwr, yn ei nodi yn y ffurflen, a byddwch yn cael cyfle i ailosod y cyfrinair ar gyfer y cyfrif yr ydych am ei drin. Yna rydych chi'n ei ddefnyddio ar eich rhwydwaith, ac mae'r blwch post hwnnw'n dod yn gladdgell euraidd i chi, y prif le y gallwch chi ddwyn holl gyfrifon eraill y dioddefwr ohono. Byddwch yn derbyn tanysgrifiad cyfan y dioddefwr trwy gymryd meddiant o un blwch post yn unig. Stopiwch wenu, mae hyn yn ddifrifol!
Mae'r sleid nesaf yn dangos faint o filiynau o bobl sy'n defnyddio'r gwasanaethau e-bost cyfatebol. Mae pobl yn defnyddio Gmail, Yahoo Mail, Hotmail, AOL Mail, ond nid oes rhaid i chi fod yn haciwr gwych i gymryd drosodd eu cyfrifon, gallwch gadw'ch dwylo'n lân trwy gontract allanol. Gallwch chi bob amser ddweud nad yw'n ddim i'w wneud ag ef, ni wnaethoch unrhyw beth felly.
Felly, mae’r gwasanaeth ar-lein “Password Recovery” wedi’i leoli yn Tsieina, lle rydych chi’n talu iddyn nhw hacio “eich” cyfrif. Am 300 yuan, sef tua $43, gallwch geisio ailosod cyfrinair blwch post tramor gyda chyfradd llwyddiant o 85%. Am 200 yuan, neu $29, byddwch yn cael 90% o lwyddiant wrth ailosod cyfrinair blwch post eich gwasanaeth e-bost cartref. Mae'n costio mil yuan, neu $143, i'w hacio i mewn i flwch post unrhyw gwmni, ond nid yw llwyddiant wedi'i warantu. Gallwch hefyd allanoli gwasanaethau cracio cyfrinair ar gyfer 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN, ac ati.
Cynhadledd BLACK HAT USA. Dewch yn gyfoethog neu farw: gwnewch arian ar-lein gan ddefnyddio dulliau Black Hat. Rhan 2 (dolen ar gael yfory)
Rhai hysbysebion 🙂
Diolch am aros gyda ni. Ydych chi'n hoffi ein herthyglau? Eisiau gweld cynnwys mwy diddorol? Cefnogwch ni trwy osod archeb neu argymell i ffrindiau, , Gostyngiad o 30% i ddefnyddwyr Habr ar analog unigryw o weinyddion lefel mynediad, a ddyfeisiwyd gennym ni ar eich cyfer chi: (ar gael gyda RAID1 a RAID10, hyd at 24 craidd a hyd at 40GB DDR4).
Dell R730xd 2 gwaith yn rhatach? Dim ond yma yn yr Iseldiroedd! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - o $99! Darllenwch am
Ffynhonnell: hab.com