Модератор: Айымдар жана мырзалар, бул кеп абдан күлкүлүү жана абдан кызыктуу, бүгүн биз интернетте байкалган реалдуу нерселер жөнүндө сөз кылмакчыбыз. Бул сүйлөшүү биз Black Hat конференцияларында көнүп калган маектен бир аз айырмаланат, анткени биз чабуулчулар чабуулдарынан кантип акча табары жөнүндө сүйлөшөбүз.
Биз сизге пайда алып келе турган кээ бир кызыктуу чабуулдарды көрсөтөбүз жана биз Jägermeister үстүнөн өтүп, мээге чабуул жасаган түнү чындыгында болгон чабуулдар жөнүндө айтып беребиз. Бул кызыктуу болду, бирок биз бир аз эс тартканда, биз SEO адамдары менен сүйлөштүк жана чындыгында бул чабуулдардан көптөгөн адамдар акча таап жатканын билдик.
Мен жөн эле мээси жок орто менеджермин, ошондуктан мен ордумдан баш тартып, менден алда канча акылдуу Жереми жана Трей менен тааныштырам. Мен акылдуу жана кызыктуу киришүү болушум керек, бирок андай эмес, андыктан анын ордуна бул слайддарды көрсөтөм.
Экранда Жереми Гроссман менен Трей Фордду көрсөткөн слайддар көрсөтүлөт.
Джереми Гроссман - WhiteHat Security компаниясынын негиздөөчүсү жана башкы технология кызматкери, 2007-жылы InfoWorld тарабынан эң мыкты 25 CTOнун бири, Веб Колдонмолордун Коопсуздук Консорциумунун негиздөөчүлөрүнүн бири жана сайттар аралык скрипт чабуулдарынын авторлорунун бири.
Трей Форд - WhiteHat Security компаниясынын Архитектуралык чечимдер боюнча директору, ал Fortune 6 компаниялары үчүн коопсуздук боюнча кеңешчи катары 500 жылдык тажрыйбасы бар жана PCI DSS төлөм картасынын маалыматтарынын коопсуздук стандартын иштеп чыгуучулардын бири.
Менин оюмча, бул сүрөттөр менин юморум жоктугун толуктайт. Кандай болгон күндө да, мен алардын презентациясын жактырасыз деп ишенем, андан кийин бул чабуулдар Интернетте акча табуу үчүн кандайча колдонуларын түшүнөсүз.
Жереми Гроссман: Кутмандуу күн, келгениңиз үчүн рахмат. Бул абдан кызыктуу маек болот, бирок сиз нөл күндүк чабуулдарды же сонун жаңы технологияларды көрбөйсүз. Биз жөн гана аны көңүл ачууга аракет кылабыз жана күн сайын болуп жаткан жаман кишилерге көп акча табууга мүмкүндүк берген реалдуу нерселер жөнүндө сүйлөшөбүз.
Биз бул слайдда көрсөтүлгөн нерселер менен сизди таасирлентүү үчүн аракет кылбайбыз, бирок жөн гана биздин компания эмне кылаарын түшүндүрүп бериңиз. Ошентип, White Hat Sentinel, же "Guardian White Hat" болуп саналат:
- баалоолордун чексиз саны – кардарлардын сайттарын контролдоо жана эксперттик башкаруу, алардын өлчөмүнө жана өзгөрүү жыштыгына карабастан сайттарды сканерлөө мүмкүнчүлүгү;
- камтуунун кеңири чөйрөсү - техникалык алсыздыктарды аныктоо үчүн сайттарды ыйгарым укуктуу сканерлөө жана ачылбаган бизнес чөйрөлөрүндө логикалык каталарды аныктоо үчүн колдонуучу тестирлөө;
- жалган позитивдерди жок кылуу – биздин оперативдүү команда жыйынтыктарды карап чыгып, тиешелүү оордук жана коркунуч рейтингин ыйгарат;
- иштеп чыгуу жана сапатты көзөмөлдөө - WhiteHat Satellite Appliance системасы ички тармакка кирүү аркылуу кардарлардын системаларын алыстан тейлөөгө мүмкүндүк берет;
- жакшыртуу жана өркүндөтүү - реалдуу сканерлөө системаны тез жана натыйжалуу жаңыртууга мүмкүндүк берет.
Ошентип, биз дүйнөдөгү ар бир сайтты текшеребиз, бизде эң чоң веб-тиркеме pentesters командасы бар, биз жума сайын 600-700 баалоо тесттерин өткөрөбүз жана бул презентацияда көрө турган бардык маалыматтар бул ишти аткаруу тажрыйбабыздан алынган. .
Кийинки слайдда сиз глобалдык веб-сайттарга чабуулдардын эң кеңири тараган 10 түрүн көрөсүз. Бул белгилүү бир чабуулдарга карата алсыздыктын пайызын көрсөтөт. Көрүнүп тургандай, бардык сайттардын 65%ы сайттар аралык скрипттерге, 40%ы маалыматтын сыртка чыгып кетишине жол берет, ал эми 23%ы контентти спуфингге дуушар болушат. Сайттар аралык скрипттерден тышкары, SQL инъекциялары жана биздин алдыңкы ондукка кирбеген белгилүү кайчылаш сайт өтүнүчүн жасалмалоо кеңири таралган. Бирок бул тизмеде эзотерикалык аталыштар менен чабуулдар камтылган, алар бүдөмүк тил менен сүрөттөлөт жана алардын өзгөчөлүгү белгилүү бир компанияларга каршы багытталган.
Бул аутентификациядагы мүчүлүштүктөр, авторизация процессиндеги мүчүлүштүктөр, маалыматтын агып чыгышы жана башкалар.
Кийинки слайд бизнес логикасына кол салуулар жөнүндө айтылат. Сапатты камсыздоого катышкан QA топтору, адатта, аларга көңүл бурушпайт. Алар программалык камсыздоо эмне кыла аларын эмес, эмне кылышы керек экенин сынашат, ошондо сиз каалаган нерсени көрө аласыз. Сканерлор, бардык бул Ак/Кара/Боз кутучалар, бул көп түстүү кутучалардын бардыгы көпчүлүк учурда буларды аныктай алышпайт, анткени алар жөн гана кол салуу болушу мүмкүн деген контекстке же ал болгондо эмнеге окшош болушуна байланыштуу. Аларда интеллект жетишпейт жана эч нерсе иштедиби же жокпу, билишпейт.
Ошол эле IDS жана WAF тиркемелеринин брандмауэрлерине да тиешелүү, алар да бизнес логикалык кемчиликтерин аныктай алышпайт, анткени HTTP сурамдары кадимкидей көрүнөт. Биз сизге бизнес логикасынын мүчүлүштүктөрүнө байланыштуу чабуулдар толугу менен табигый түрдө пайда болорун, эч кандай хакерлер, мета символдор же башка таң калыштуу нерселер жок, алар табигый процесстерге окшош экенин көрсөтөбүз. Эң негизгиси, жаман адамдар бул нерселерди жакшы көрүшөт, анткени бизнес логикасындагы кемчиликтер аларды акчага айлантат. Алар XSS, SQL, CSRF колдонушат, бирок мындай түрдөгү чабуулдарды ишке ашыруу барган сайын кыйындап баратат жана акыркы 3-5 жылда алардын азайгандыгын көрдүк. Бирок буфердик толуп кетпегендей, алар өзүнөн өзү жок болбойт. Бирок, жаман балдар татаалыраак чабуулдарды кантип колдонууну ойлонушат, анткени алар "чыныгы жаман балдар" ар дайым алардын чабуулдарынан акча табууга умтулушат деп ишенишет.
Мен сизге чыныгы трюктарды көрсөткүм келет, алар сиз өзүңүздүн бизнесиңизди коргоо үчүн туура колдонсоңуз болот. Биздин презентациябыздын дагы бир максаты, балким, сиз этика жөнүндө ойлонуп жатсаңыз.
Онлайн сурамжылоолор жана добуш берүү
Ошентип, бизнес логикасынын кемчиликтерин талкуулоону баштоо үчүн, онлайн сурамжылоолор жөнүндө сүйлөшөлү. Онлайн сурамжылоолор коомдук пикирди билүүнүн же таасир этүүнүн эң кеңири таралган жолу болуп саналат. Биз $ 0 пайда менен баштайбыз, анан 5, 6, 7 ай бою алдамчылык схемалардын жыйынтыгын карайбыз. Өтө жөнөкөй сурамжылоо жүргүзүү менен баштайлы. Ар бир жаңы веб-сайт, ар бир блог, ар бир жаңылык порталы онлайн сурамжылоо жүргүзөрүн билесиз. Айтор, эч кандай орун өтө чоң же өтө тар эмес, бирок биз белгилүү бир чөйрөлөрдө коомдук пикирди көргүбүз келет.
Мен Остин шаарында (Техас штаты) өткөрүлгөн бир сурамжылоого көңүлүңүздү бургум келет. Остин бигли Вестминстердеги иттердин шоусун жеңип алгандыктан, Остин Америкалык мамлекеттик ишмери Борбордук Техастагы ит ээлери үчүн онлайн режиминде Остиндин эң мыкты шоу сурамжылоосун өткөрүүнү чечти. Миңдеген ээлери сүрөттөрүн тапшырып, сүйүктүүлөрү үчүн добуш беришти. Башка көптөгөн сурамжылоолор сыяктуу эле, сиздин үй жаныбарыңыз үчүн мактангандан башка эч кандай сыйлык болгон жок.
Добуш берүү үчүн Web 2.0 тутумдук тиркемеси колдонулган. Эгер ит сизге жакса жана ал породадагы эң мыкты ит же жокпу, билсеңиз "ооба" дегенди басыңыз. Ошентип, сиз шоунун жеңүүчүсүнө талапкер катары сайтка жарыяланган бир нече жүздөгөн иттерге добуш бердиңиз.
Бул добуш берүү ыкмасы менен алдамчылыктын 3 түрү мүмкүн болгон. Биринчиси, бир эле итке кайра-кайра добуш бере турган чексиз добуш берүү. Бул абдан жөнөкөй. Экинчи ыкма - терс бир нече добуш берүү, анда сиз атаандашкан итке каршы көп жолу добуш бересиз. Үчүнчү жол – мелдештин акыркы мүнөттөрүндө сиз жаңы ит коюп, ага добуш берип, терс добуштарды алуу мүмкүнчүлүгү минималдуу болуп, 100% оң добуш алуу менен жеңдиңиз.
Мындан тышкары, жеңиш добуштардын жалпы саны менен эмес, пайыз менен аныкталды, башкача айтканда, кайсы ит максималдуу оң баа алганын аныктай алган жоксуз, белгилүү бир ит үчүн оң жана терс рейтингдердин пайызы гана эсептелген. . Эң жакшы оң/терс упай катышы бар ит жеңди.
Кесиптеши Роберт "RSnake" Хансендин досу андан Чихуахуа Тиниге сынакта жеңип чыгууга жардам берүүнү суранган. Сиз Робертти билесиз, ал Остинден. Ал, супер хакер сыяктуу, Burp проксисин оңдоп, эң аз каршылык жолунда жүрдү. Ал №1 алдамчылык ыкмасын колдонуп, аны бир нече жүз же миң өтүнүчтөн турган Burp цикли аркылуу өткөрдү жана бул итке 2000 добуш алып, аны 1-орунга алып келди.
Андан кийин ал №2 алдамчылык ыкмасын Тининин Чучу лакап аты бар атаандашына каршы колдонгон. Сынактын акыркы мүнөттөрүндө ал Чучуга каршы 450 добуш берип, 1:2ден жогору добуштардын катышы менен Тининдин 1-орундагы позициясын ого бетер бекемдеди, бирок оң жана терс сын-пикирлердин пайыздык көрсөткүчү боюнча Tiny дагы эле утулуп калды. Бул слайдда сиз киберкылмышкердин жаңы жүзүн көрөсүз, бул натыйжадан көңүлү чөккөн.
Ооба, кызыктуу сценарий болду, бирок бул спектакль досума жакпады деп ойлойм. Сиз жөн гана Остиндеги Чиуауа мелдешинде жеңишке жетүүнү кааладыңыз, бирок сизди бузуп, ошол эле нерсени жасоого аракет кылган бирөө болду. Эми мен чалууну Трейге бурам.
Жасалма суроо-талапты түзүү жана ага акча жасоо
Трей Форд: "Жасалма DoS" түшүнүгү биз билеттерди онлайн сатып алганда бир нече ар кандай кызыктуу сценарийлерди билдирет. Мисалы, учакта атайын орун ээлеп жатканда. Бул билеттин каалаган түрүнө, мисалы, спорттук иш-чарага же концертке тиешелүү болушу мүмкүн.
Авиакомпаниянын орундуктары, физикалык буюмдар, колдонуучу аттары ж.б. сыяктуу жетишсиз буюмдарды кайталап сатып алуунун алдын алуу үчүн, тиркеме чыр-чатактарды болтурбоо үчүн нерсени белгилүү бир убакытка бекитет. Жана бул жерде алдын ала бир нерсени резервге коюу мүмкүнчүлүгү менен байланышкан аялуу келип чыгат.
Тайм-аут жөнүндө баарыбыз билебиз, сессияны бүтүрүү тууралуу баарыбыз билебиз. Бирок бул өзгөчө логикалык кемчилик бизге учакта орун тандап, андан кийин эч нерсе төлөбөстөн кайра тандоо үчүн кайтып келүүгө мүмкүндүк берет. Албетте, көпчүлүгүңүздөр командировкага көп чыгасыздар, бирок мен үчүн бул жумуштун маанилүү бөлүгү. Биз бул алгоритмди көптөгөн жерлерде сынап көрдүк: сиз рейс тандайсыз, орун тандайсыз жана даяр болгондо гана төлөм маалыматыңызды киргизесиз. Башкача айтканда, сиз жерди тандап алгандан кийин, ал сиз үчүн белгилүү бир убакытка - бир нече мүнөттөн бир нече саатка чейин сакталат жана бул убакыттын ичинде бул жерди башка эч ким ээлей албайт. Бул күтүү мезгилинен улам, сиз жөн гана веб-сайтка кайтып келип, каалаган орундарды ээлеп коюу менен учактагы бардык орундарды ээлеп коюуга реалдуу мүмкүнчүлүгүңүз бар.
Ошентип, DoS чабуулунун варианты пайда болот: учактагы ар бир орун үчүн бул цикл автоматтык түрдө кайталанат.
Биз муну жок дегенде эки ири авиакомпанияда сынап көрдүк. Ушул эле кемчиликти башка брондоо менен таба аласыз. Бул билеттериңизди кайра сатууну каалагандар үчүн бааларды көтөрүүгө эң сонун мүмкүнчүлүк. Бул үчүн, алып сатарлар акча жоготуу коркунучу жок, калган билеттерди брондоп коюшу керек. Ушундай жол менен сиз жогорку суроо-талапка ээ болгон өнүмдөрдү - видео оюндарды, оюн консолдорун, iPhones ж.б. саткан электрондук коммерцияны "буза аласыз". Башкача айтканда, онлайн брондоо же ээлөө системасында орун алган кемчилик чабуулчуга андан акча табууга же атаандаштарга зыян келтирүүгө мүмкүндүк берет.
Captcha чечмелөө
Джереми Гроссман: Эми captcha жөнүндө сүйлөшөлү. Интернетти каптаган жана спам менен күрөшүү үчүн колдонулган тажатма сүрөттөрдү баары билет. Потенциалдуу түрдө, сиз да каптчадан пайда таба аласыз. Captcha – бул чыныгы адамды боттон айырмалоого мүмкүндүк берген толук автоматташтырылган Тюринг тести. Мен captcha колдонууну изилдеп жүрүп көп кызыктуу нерселерди таптым.
Captcha биринчи жолу 2000-2001-жылдары колдонулган. Спам жөнөтүүчүлөр Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook ж. жана спам жөнөтүү. Captcha кеңири колдонулгандыктан, бардык жерде кеңири таралган captchaны айланып өтүүнү сунуш кылган кызматтардын бүтүндөй рыногу пайда болду. Акыр-аягы, бул пайда алып келет - мисалы, спам жөнөтүү болот. Капчаны айланып өтүүнүн 3 жолу бар, аларды карап көрөлү.
Биринчиси, идеяны ишке ашыруудагы кемчиликтер, же captcha колдонуудагы кемчиликтер.
Ошентип, суроолорго жооптор өтө аз энтропияны камтыйт, мисалы, "4+1 эмнеге барабар экенин жаз". Ошол эле суроолор бир нече жолу кайталанышы мүмкүн жана мүмкүн болгон жооптордун диапазону абдан аз.
Captcha эффективдүүлүгү төмөнкүчө текшерилет:
- сыноо адам менен сервер бири-биринен алыс болгон шарттарда жүргүзүлүшү керек,
тест инсан үчүн оор болбошу керек; - суроо адам бир нече секунданын ичинде жооп бере ала тургандай болушу керек,
Суроо берилген адам гана жооп бериши керек; - суроого жооп берүү компьютер үчүн кыйын болушу керек;
- мурунку суроолорду, жоопторду же алардын айкалышын билүү кийинки тесттин болжолдуулугуна таасирин тийгизбеши керек;
- тест көрүү же угуу мүмкүнчүлүгү чектелген адамдарды басмырлоого тийиш эмес;
- тест географиялык, маданий же лингвистикалык жактан бир жактуу болбошу керек.
Көрүнүп тургандай, "туура" captcha түзүү абдан кыйын.
Капчанын экинчи кемчилиги - бул OCR оптикалык белгилерди таанууну колдонуу мүмкүнчүлүгү. Коддун бир бөлүгү captcha сүрөтүн анда канчалык визуалдык ызы-чуу камтыса да окуй алат, аны кандай тамгалар же сандар түзөрүн көрө алат жана таануу процессин автоматташтырат. Изилдөөлөр көрсөткөндөй, көпчүлүк каптчалар оңой эле бузула алат.
Мен Улуу Британиянын Ньюкасл университетинин компьютердик илимдер мектебинин адистеринен цитаталарды берем. Алар Microsoft каптчасын бузуунун оңойлугу жөнүндө айтышат: “Биздин чабуул сегментациялоонун ийгилиги 92% деңгээлине жетише алды, бул MSN captcha схемасын 60% учурларда сүрөттү сегменттөө жана андан кийин аны таануу аркылуу бузуп салса болот дегенди билдирет. ” Yahoo'нун каптчасын бузуу оңой эле: "биздин экинчи чабуулубуз 33,4% сегментация ийгиликке жетишти. Ошентип, болжол менен 25,9% капчыг жарака болот. Биздин изилдөөлөр көрсөткөндөй, спам жасоочулар Yahoo'нун captcha-сын айланып өтүү үчүн эч качан арзан адам эмгегин колдонушу керек, тескерисинче, арзан автоматташтырылган чабуулга таянышы керек."
Капчаны айланып өтүүнүн үчүнчү ыкмасы "Механикалык түрк" же "түрк" деп аталат. Биз аны жарыялангандан кийин дароо Yahoo captchaсына каршы сынап көрдүк жана ушул күнгө чейин мындай чабуулдан кантип коргоону билбейбиз жана эч ким билбейт.
Бул колдонуучулар кандайдыр бир мазмунду сураган жерден "чоңдор" сайтын же онлайн оюнун иштете турган жаман жигитке ээ болгонуңузда. Алар кийинки сүрөттү көрө электе, хакер ээлик кылган сайт сизге тааныш онлайн тутумга, айталы, Yahoo же Google, back-end өтүнүчүн жөнөтөт, ал жерден captcha'ны алып, колдонуучуга өткөрүп берет. Колдонуучу суроого жооп берери менен хакер болжолдонгон каптчаны максаттуу сайтка жөнөтөт жана колдонуучуга өзүнүн сайтынан суралган сүрөттү көрсөтөт. Эгер сизде абдан популярдуу сайт болсо, анда сиз үчүн башка адамдардын капчаларын автоматтык түрдө толтурган адамдардын бүтүндөй армиясын мобилизациялай аласыз. Бул абдан күчтүү нерсе.
Бирок, адамдар гана капчаларды айланып өтүүгө аракет кылбастан, бизнес да бул ыкманы колдонушат. Роберт "RSnake" Хансен бир жолу өзүнүн блогунда румыниялык "каптча чечүүчү" менен сүйлөшүп, ал миң чечилген каптча үчүн 300 доллардан 500 долларга чейин саатына 9дөн 15гө чейин каптча чече аларын айтты.
Ал түздөн-түз анын командасынын мүчөлөрү күнүнө 12 саат иштешип, бул убакыттын ичинде 4800гө жакын каптчаны чечкенин жана капчанын канчалык кыйын экендигине жараша, алардын иши үчүн күнүнө 50 долларга чейин алаарын айтат. Бул кызыктуу пост болду, бирок андан да кызыгы блог колдонуучулары бул посттун астына калтырган комментарийлер. Вьетнамдан дароо билдирүү пайда болду, ал жерде белгилүү бир Куанг Хунг өзүнүн 20 адамдан турган тобу жөнүндө билдирди, алар 4 каптча үчүн 1000 долларга иштөөгө макул болушкан.
Кийинки билдирүү Бангладештен болду: “Салам! Сен жакшы деп үмүттөнөм! Биз Бангладештен алдыңкы кайра иштетүүчү компаниябыз. Учурда биздин 30 операторубуз күнүнө 100000 2ден ашык каптчаны чечүүгө жөндөмдүү. Биз сонун шарттарды жана төмөн тарифти сунуштайбыз - Yahoo, Hotmail, Mayspace, Gmail, Facebook, ж. Биз мындан аркы кызматташууну чыдамсыздык менен күтөбүз”.
Дагы бир кызыктуу билдирүүнү бир Бабу жөнөттү: «Мен бул ишке кызыгам, мага телефон чалып коюңуз.
Ошентип, бул абдан кызыктуу. Биз бул иш канчалык мыйзамдуу же мыйзамсыз экенин талаша алабыз, бирок чындыгында адамдар андан акча табышат.
Башка адамдардын аккаунттарына кирүү
Трей Форд: Биз сөз кыла турган кийинки сценарий башка бирөөнүн эсебин басып алуу аркылуу акча табуу.
Ар бир адам сырсөздөрдү унутуп калат жана колдонмонун коопсуздугун текшерүү үчүн сырсөздү баштапкы абалга келтирүү жана онлайн каттоо эки башка, багытталган бизнес процессин билдирет. Сырсөзүңүздү баштапкы абалга келтирүү оңойлугу менен катталуудагы жеңилдиктин ортосунда чоң ажырым бар, андыктан сырсөздү баштапкы абалга келтирүү процессин мүмкүн болушунча жөнөкөй кылууга аракет кылышыңыз керек. Бирок биз аны жөнөкөйлөтүү үчүн аракет кылсак, көйгөй пайда болот, анткени сырсөздү кайра коюу канчалык жөнөкөй болсо, анын коопсуздугу ошончолук азыраак болот.
Эң резонанстуу иштердин бири Sprint'тин колдонуучуларды текшерүү кызматын колдонуу менен онлайн каттоого байланыштуу. Ак калпак командасынын эки мүчөсү онлайн каттоо үчүн Sprint колдонушкан. Уюлдук телефонуңуздун номери сыяктуу жөнөкөй нерседен баштап, сиз экениңизди ырастоо үчүн бир нече нерсе бар. Банк эсебиңизди башкаруу, кызматтар үчүн төлөө жана башкалар үчүн сизге онлайн каттоо керек. Телефондорду сатып алуу абдан ыңгайлуу, эгерде сиз муну башка бирөөнүн аккаунтунан жасап, андан кийин сатып алууларды жасап, дагы көп нерселерди жасай алсаңыз. Алдамчылыктын варианттарынын бири – төлөм дарегин өзгөртүү, сиздин дарегиңизге бир топ уюлдук телефондорду жеткирүүгө буйрутма берүү жана жабырлануучу аларды төлөөгө аргасыз болот. Сталкинг-маньяктар да бул мүмкүнчүлүктү кыялданышат: жабырлануучулардын телефондоруна GPS көзөмөлдөө функциясын кошуу жана алардын ар бир кыймылын каалаган компьютерден көзөмөлдөө.
Ошентип, Sprint сиздин инсандыгыңызды текшерүү үчүн эң жөнөкөй суроолорду сунуштайт. Белгилүү болгондой, коопсуздукту энтропиянын өтө кеңири диапазону же өтө адистештирилген маселелер менен камсыз кылууга болот. Мен сизге Sprint каттоо процессинин бир бөлүгүн окуп берем, анткени энтропия өтө төмөн. Мисалы, бир суроо бар: "төмөнкү дарек боюнча катталган унаа брендин тандоо" жана бренд параметрлери: Lotus, Honda, Lamborghini, Fiat жана "жогоруда айтылгандардын бири да". Айткылачы, кимиңерде жогоруда айтылгандар бар? Көрүнүп тургандай, бул татаал табышмак колледждин студенти үчүн арзан телефондорду алуу үчүн эң сонун мүмкүнчүлүк.
Экинчи суроо: "Төмөнкү адамдардын кимиси сиз менен жашайт же төмөнкү даректе жашайт"? Бул суроого жооп берүү абдан оңой, ал адамды такыр тааныбасаңыз да. Джерри Стифлиин - бул фамилияда үч "ай" бар, биз ага бир аздан кийин жетебиз - Ральф Арген, Жером Поникки жана Джон Пейс. Бул листингдин эң кызыктуусу, берилген ысымдар такыр кокустук болуп саналат жана алардын баары бир калыпка баш ийет. Эгерде сиз аны эсептеп көрсөңүз, анда чыныгы атын аныктоодо эч кандай кыйынчылык болбойт, анткени ал кокустан тандалган ысымдардан өзгөчөлүгү менен айырмаланат, мында үч тамга “и”. Ошентип, Stayfliin кокустук эмес, аны аныктоо оңой, бул адам сиздин максатыңыз. Бул абдан, абдан жөнөкөй.
Үчүнчү суроо: "Сиз саналган шаарлардын кайсынысында жашаган эмессиз же бул шаарды өз дарегиңизде эч качан колдонгон эмессиз?" — Лонгмонт, Түндүк Голливуд, Генуя же Бьютт? Бизде Вашингтондун айланасында калк жыш жайгашкан үч аймак бар, андыктан айкын жооп Түндүк Голливуд.
Sprint онлайн каттоодон этият болушуңуз керек болгон бир нече нерсе бар. Мурда айткандай, чабуулчу төлөм маалыматыңыздагы сатып алуулар үчүн жеткирүү дарегин өзгөртө алса, сиз олуттуу зыян тартышыңыз мүмкүн. Коркунучтуусу бизде Мобилдик Локатор кызматы бар.
Анын жардамы менен сиз кызматкерлериңиздин кыймылын көзөмөлдөй аласыз, анткени адамдар уюлдук телефондорду жана GPSти колдонушат жана алардын кайда экенин картадан көрө аласыз. Ошентип, бул процессте дагы башка абдан кызыктуу нерселер бар.
Белгилүү болгондой, паролду кайра коюуда, электрондук почтанын дареги колдонуучу текшерүүнүн жана коопсуздук суроолорунун башка ыкмаларына караганда артыкчылыкка ээ болот. Кийинки слайд колдонуучу өзүнүн аккаунтуна кирүү кыйынга турса, сиздин электрондук почтаңыздын дарегин көрсөтүүнү сунуш кылган көптөгөн кызматтарды көрсөтөт.
Биз билебиз, адамдардын көбү электрондук почтаны колдонушат жана электрондук почта каттоо эсеби бар. Күтүлбөгөн жерден адамдар андан акча табуунун жолун тапкысы келди. Сиз ар дайым жабырлануучунун электрондук почта дарегин таба аласыз, аны формага киргизиңиз жана сиз манипуляциялоону каалаган аккаунт үчүн сырсөздү кайра коюу мүмкүнчүлүгүнө ээ болосуз. Андан кийин сиз аны тармагыңызда колдоносуз жана ал почта ящиги сиздин алтын сактагычыңызга айланат, бул жерде сиз жабырлануучунун бардык башка аккаунттарын уурдай аласыз. Сиз бир гана почта кутусуна ээ болуу менен жабырлануучунун бүт жазылуусун аласыз. Жылмайганды токтот, бул олуттуу!
Кийинки слайд канча миллиондогон адамдар тиешелүү электрондук почта кызматтарын колдонорун көрсөтөт. Адамдар Gmail, Yahoo Mail, Hotmail, AOL Mailди активдүү колдонушат, бирок алардын аккаунттарын басып алуу үчүн супер хакер болуунун кажети жок, аутсорсинг аркылуу колуңузду таза кармай аласыз. Сиз ар дайым муну менен эч кандай байланышы жок деп айта аласыз, сиз мындай эч нерсе кылган жоксуз.
Ошентип, "Сырсөздү калыбына келтирүү" онлайн кызматы Кытайда негизделген, анда сиз "сиздин" аккаунтуңузду бузуш үчүн төлөйсүз. 300 юань үчүн, бул болжол менен $43, сиз 85% ийгиликтүү чен менен чет өлкөлүк почта кутусунун сырсөзүн баштапкы абалга келтирүүгө аракет кылсаңыз болот. 200 юаньга же 29 долларга үйдөгү электрондук почта кызматынын почта ящигинин сырсөзүн баштапкы абалга келтирүүдө 90% ийгиликке жетесиз. Кандайдыр бир компаниянын почта ящигине кирүү үчүн миң юань же 143 доллар талап кылынат, бирок ийгиликке кепилдик жок. Ошондой эле 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN ж.б. үчүн сырсөздү бузуу кызматтарын аутсорсингге алсаңыз болот.
Конференция BLACK HAT USA. Бай болуңуз же өлүңүз: Black Hat ыкмаларын колдонуп онлайн акча табыңыз. 2-бөлүк (шилтеме эртең жеткиликтүү болот)
Кээ бир жарнамалар 🙂
Биз менен болгонуңуз үчүн рахмат. Биздин макалалар сизге жагабы? Көбүрөөк кызыктуу мазмунду көргүңүз келеби? Буйрутма берүү же досторуңузга сунуштоо менен бизди колдоңуз, , Habr колдонуучулары үчүн биз сиз үчүн ойлоп тапкан баштапкы деңгээлдеги серверлердин уникалдуу аналогуна 30% арзандатуу: (RAID1 жана RAID10 менен жеткиликтүү, 24 өзөккө чейин жана 40 ГБ DDR4 чейин).
Dell R730xd 2 эсе арзанбы? Бул жерде гана Нидерландыда! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 доллардан! Жөнүндө окуу
Source: www.habr.com