Bläi: Dir Dammen an Dir Hären, dëst Gespréich ass ganz witzeg a ganz interessant, haut wäerte mir iwwer richteg Saachen schwätzen déi um Internet observéiert ginn. Dëst Gespréich ass e bëssen anescht wéi déi, déi mir op Black Hat Konferenzen gewinnt sinn, well mir wäerte schwätzen iwwer wéi Ugräifer Suen aus hiren Attacken verdéngen.
Mir weisen Iech e puer interessant Attacken, déi e Gewënn maachen kënnen, a soen Iech iwwer d'Attacke, déi tatsächlech an der Nuecht stattfonnt hunn, wou mir iwwer Jägermeister gaange sinn a Brainstorm hunn. Et war lëschteg, awer wa mir e bëssen nüchtern hunn, hu mir mat de SEO Leit geschwat an hunn tatsächlech geléiert datt vill Leit Sue maachen aus dësen Attacken.
Ech si just e Mëttelmanager ouni Gehir, also wäert ech mäi Sëtz opginn an Iech de Jeremy an den Trey virstellen, déi vill méi clever si wéi ech. Ech sollt eng schlau a lëschteg Aféierung hunn, awer ech net, also wäert ech dës Rutschen amplaz weisen.
Rutschen déi Jeremy Grossman an Trey Ford weisen, ginn um Bildschierm gewisen.
De Jeremy Grossman ass de Grënner a Chef Technologie Offizéier vun WhiteHat Security, benannt ee vun den Top 2007 CTOs vun InfoWorld am 25, Matgrënner vum Web Application Security Consortium, a Co-Autor vu Cross-Site Scripting Attacken.
Trey Ford ass den Direkter vun Architectural Solutions bei WhiteHat Security, deen 6 Joer Erfahrung als Sécherheetsberoder fir Fortune 500 Firmen an ee vun den Entwéckler vum PCI DSS Bezuelkaart Datesécherheetsstandard huet.
Ech mengen dës Biller maachen mäi Mangel u Humor op. Op jidde Fall hoffen ech datt Dir hir Presentatioun genéisst an dann verstitt wéi dës Attacke um Internet benotzt gi fir Suen ze maachen.
Jeremy Grossman: Gudde Mëtteg, Merci jidderengem datt Dir komm sidd. Dëst wäert e ganz lëschtegt Gespréich sinn, obwuel Dir keng Null-Dag Attacken oder cool nei Technologien gesinn. Mir probéieren et einfach ze begeeschteren an iwwer déi richteg Saachen ze schwätzen déi all Dag geschéien, déi Béiser erlaben vill Suen ze verdéngen.
Mir probéieren Iech net ze beandrocken mat deem wat op dëser Rutsch gewise gëtt, mee einfach erkläre wat eis Firma mécht. Also, White Hat Sentinel, oder "Guardian White Hat" ass:
- onlimitéiert Zuel vun Bewäertungen - Kontroll an Expert Gestioun vun Client Siten, d'Fähegkeet Siten ze Scanner onofhängeg vun hirer Gréisst an Frequenz vun Ännerungen;
- breet Ëmfang vun Ofdeckung - autoriséiert Scannen vu Siten fir technesch Schwächen a Benotzertesten z'entdecken fir logesch Feeler an opgedeckte Geschäftsberäicher z'identifizéieren;
- Falsch Positiver eliminéiert - eis operationell Equipe iwwerpréift d'Resultater an verdeelt déi entspriechend Gravitéit a Bedrohungsbewäertung;
- Entwécklung a Qualitéitskontroll - de WhiteHat Satellite Appliance System erlaabt eis Clientsystemer op afstand ze servéieren duerch Zougang zum internen Netzwierk;
- Verbesserung a Verbesserung - realistesch Scannen erlaabt Iech de System séier an effizient ze aktualiséieren.
Also, mir iwwerpréiwen all Site op der Welt, mir hunn dat gréisst Team vu Webapplikatioune Pentesters, mir maachen 600-700 Bewäertungstester all Woch, an all d'Donnéeën, déi Dir an dëser Presentatioun gesitt, kommen aus eiser Erfahrung dës Zort Aarbecht ze maachen .
Op der nächster Rutsch gesitt Dir déi 10 meescht üblech Aarte vun Attacken op global Websäiten. Dëst weist de Prozentsaz vun der Schwachstelle vu bestëmmten Attacken. Wéi Dir gesitt, sinn 65% vun alle Site vulnerabel fir Cross-Site Scripting, 40% erlaben Informatiounsleckage, an 23% si vulnérabel fir Inhaltsspoofing. Zousätzlech zum Cross-Site Scripting, SQL Injektiounen an déi notoresch Cross-Site Ufro Fälschung, déi net an eisen Top Ten abegraff ass, sinn heefeg. Awer dës Lëscht enthält Attacke mat esotereschen Nimm, déi mat vague Sprooch beschriwwe ginn an d'Spezifizitéit vun deem ass datt se géint verschidde Firmen riicht sinn.
Dëst sinn Authentifikatiounsfehler, Autorisatiounsprozessfehler, Informatiounsleckungen, asw.
Déi nächst Rutsch schwätzt iwwer Attacken op Geschäftslogik. QA Teams, déi an der Qualitéitssécherung involvéiert sinn, bezuelen normalerweis net op si op. Si testen wat d'Software soll maachen, net wat se maache kann, an da kënnt Dir gesinn wat Dir wëllt. Scanner, all dës Wäiss / Schwaarz / Grey Këschte, all dës Multi-faarweg Këschte sinn net fäeg dës Saachen an de meeschte Fäll z'entdecken, well se einfach op de Kontext fixéiert sinn wat d'Attack kéint sinn oder wat ähnlech geschitt wann et geschitt. Si feelen Intelligenz a wësse net ob eppes iwwerhaapt geschafft huet oder net.
Datselwecht gëlt fir IDS- a WAF-Applikatiouns-Firewalls, déi och fäeg sinn Geschäftslogikfehler z'entdecken, well HTTP-Ufroe ganz normal ausgesinn. Mir weisen Iech datt Attacke am Zesummenhang mat Geschäftslogikfehler ganz natierlech entstinn, et gi keng Hacker, keng Metacharakteren oder aner Komeschheeten, si kucken wéi natierlech optriedende Prozesser. Den Haapt Saach ass datt déi Béiser dës Saache gär hunn, well d'Mängel an der Geschäftslogik hinnen Sue maachen. Si benotzen XSS, SQL, CSRF, awer dës Aarte vun Attacke ginn ëmmer méi schwéier auszeféieren, a mir hu gesinn datt se an de leschten 3-5 Joer erofgaang sinn. Awer si verschwannen net vun sech selwer, sou wéi de Pufferiwwerfloss net fort geet. Wéi och ëmmer, déi Béiser denken iwwer wéi se méi sophistikéiert Attacke benotze well se gleewen datt déi "richteg Béiser" ëmmer sichen Suen aus hiren Attacken ze maachen.
Ech wëll Iech richteg Tricken weisen, déi Dir u Bord kënnt huelen an se op de richtege Wee benotze fir Äert Geschäft ze schützen. En aneren Zweck vun eiser Presentatioun ass datt Dir Iech iwwer Ethik freet.
Online Ëmfroen a Wahlen
Also, fir eis Diskussioun iwwer d'Defiziter vun der Geschäftslogik unzefänken, loosst eis iwwer Online Ëmfroen schwätzen. Online Ëmfroe sinn déi allgemeng Manéier fir d'ëffentlech Meenung erauszefannen oder ze beaflossen. Mir fänken un mat engem Gewënn vun $ 0 a kucken dann d'Resultat vu 5, 6, 7 Méint vu betrügeresche Schemaen. Loosst eis ufänken mat enger ganz, ganz einfacher Ëmfro ze maachen. Dir wësst datt all nei Websäit, all Blog, all Newsportal Online Ëmfroen mécht. Wéi gesot, keng Nisch ass ze grouss oder ze enk, mä mir wëllen d'ëffentlech Meenung a spezifesche Beräicher gesinn.
Ech wéilt Är Opmierksamkeet op eng Ëmfro zu Austin, Texas, opmierksam maachen. Well en Austin Beagle d'Westminster Dog Show gewonnen huet, huet den Austin American Statesman decidéiert eng Online Austin's Best in Show Ëmfro fir Central Texas Hondsbesëtzer ze maachen. Dausende vu Besëtzer hunn Fotoen aginn a fir hir Favoritten gestëmmt. Wéi sou vill aner Ëmfroen, gouf et kee Präis ausser d'Bragging Rechter fir Äert Hausdéier.
Eng Web 2.0 Systemapplikatioun gouf benotzt fir ze stëmmen. Dir hutt op "Jo" geklickt, wann Dir den Hond gär hätt an erausfonnt, ob et dee beschten Hond an der Rasse wier oder net. Also hutt Dir op e puer honnert Hënn gestëmmt, déi um Site als Kandidate fir de Gewënner vun der Show gepost goufen.
Mat dëser Wahlmethod waren 3 Aarte vu Bedruch méiglech. Déi éischt ass den endlosen Vote, wou Dir ëmmer erëm fir dee selwechten Hond stëmmt. Et ass ganz einfach. Déi zweet Method ass negativ Multiple Voting, wou Dir eng riesech Unzuel vun Mol géint e Konkurrenzhond stëmmt. Déi drëtt Manéier war, datt Dir wuertwiertlech an der leschter Minutt vum Concours en neien Hond gesat hutt, dofir gestëmmt hutt, sou datt d'Méiglechkeet fir negativ Stëmmen ze kréien minimal war, an Dir hutt gewonnen andeems Dir 100% positiv Stëmmen kritt.
Ausserdeem gouf d'Victoire als Prozentsaz festgeluegt, an net duerch d'Gesamtzuel vun de Stëmmen, dat heescht, Dir konnt net bestëmmen wéi en Hond déi maximal Unzuel vu positive Bewäertunge kritt, nëmmen de Prozentsaz vu positiven an negativen Bewäertunge fir e bestëmmten Hond gouf berechent . Den Hond mat dem beschten positiven/negative Scoreverhältnis huet gewonnen.
De Kolleg Robert "RSnake" Hansen säi Frënd huet him gefrot fir hir Chihuahua Tiny ze hëllefen e Concours ze gewannen. Dir kennt de Robert, hien ass aus Austin. Hien, wéi e Super Hacker, huet de Burp Proxy fixéiert an de Wee vun der mannsten Resistenz gefollegt. Hien huet fuddelen Technik # 1 benotzt, et duerch eng Burp Loop vun e puer honnert oder dausend Demanden lafen, an dëst huet den Hond 2000 upvotes an huet him op 1. Plaz.
Als nächst huet hien d'Fuddtechnik Nummer 2 géint dem Tiny säi Konkurrent, de Spëtznumm Chuchu benotzt. An de leschte Minutte vum Concours huet hien 450 Stëmme géint den Chuchu ofginn, wat dem Tiny seng Plaz op der 1. Plaz mat engem Voteverhältnis vu méi wéi 2:1 weider verstäerkt huet, mä wat de Prozentsaz vu positiven an negativen Kritiken ugeet, huet Tiny nach ëmmer verluer. Op dëser Rutsch gesitt Dir dat neit Gesiicht vun engem Cyberkriminellen, decouragéiert vun dësem Resultat.
Jo, et war en interessant Szenario, awer ech mengen datt mäi Frënd dës Leeschtung net gär huet. Dir wollt just de Chihuahua Concours zu Austin gewannen, awer et war een deen probéiert huet Iech ze hacken an datselwecht ze maachen. Gutt, elo ginn ech den Uruff un den Trey.
Kënschtlech Nofro schafen a Suen op et maachen
Trey Ford: D'Konzept vun "kënschtlechen DoS" bezitt sech op verschidde verschidden interessant Szenarie wa mir Ticketen online kafen. Zum Beispill, wann Dir e spezielle Sëtz op engem Fluch reservéiert. Dëst kann op all Typ vun Ticket gëllen, wéi zum Beispill e Sportsevenement oder e Concert.
Fir widderholl Akeef vu knappe Saache wéi Fluchgesellschaften, kierperlech Saachen, Benotzernimm, asw. An hei kënnt d'Schwachheet verbonne mat der Fäegkeet eppes am Viraus ze reservéieren.
Mir all wëssen iwwer Timeout, mir all wëssen iwwer d'Enn vun der Sessioun. Awer dëse spezielle logesche Feeler erlaabt eis e Sëtz op engem Fluch ze wielen an dann zréckzekommen fir d'Auswiel erëm ze maachen ouni eppes ze bezuelen. Sécher gi vill vun iech dacks op Geschäftsreesen, awer fir mech ass dat e wesentleche Bestanddeel vun der Aarbecht. Mir hunn dësen Algorithmus op ville Plazen getest: Dir wielt e Fluch, wielt e Sëtz, a just wann Dir prett sidd, gitt Dir Är Bezuelinformatioun un. Dat ass, nodeems Dir eng Plaz gewielt hutt, ass et fir Iech fir eng gewëssen Zäit reservéiert - vun e puer Minutten bis e puer Stonnen, a während dëser Zäit kann keen aneren dës Plaz buchen. Wéinst dëser Waardezäit hutt Dir eng reell Geleeënheet all d'Sëtzer am Fliger ze reservéieren andeems Dir einfach op de Site zréckkënnt an d'Sëtzer reservéiert déi Dir wëllt.
Sou erschéngt eng DoS Attack Optioun: automatesch widderhuelen dësen Zyklus fir all Sëtz am Fliger.
Mir hunn dëst op mindestens zwou grouss Fluchgesellschaften getest. Dir kënnt déi selwecht Schwachstelle mat all aner Buchung fannen. Dëst ass eng super Geleeënheet fir d'Präisser vun Ären Ticketen ze erhéijen fir déi, déi se weider verkafen. Fir dëst ze maachen, Spekulanten mussen einfach déi reschtlech Ticketen buchen ouni Risiko vu monetäre Verloscht. Op dës Manéier kënnt Dir den E-Commerce "crashen", deen héichgefrote Produkter verkeeft - Videospiller, Spillkonsolen, iPhones, asw. Dat ass, de bestehend Feeler am Online Buchung oder Reservatioun System erlaabt engem Ugräifer Suen aus et ze maachen oder Schued un Konkurrenten Ursaach.
Captcha Entschlësselung
Jeremy Grossman: Loosst eis elo iwwer Captcha schwätzen. Jidderee kennt déi lästeg Biller, déi den Internet ofginn a benotzt gi fir Spam ze bekämpfen. Potenziell kënnt Dir och Gewënn aus Captcha maachen. Captcha ass e komplett automatiséierten Turing Test deen Iech erlaabt eng richteg Persoun vun engem Bot z'ënnerscheeden. Ech hunn vill interessant Saachen entdeckt wärend ech d'Benotzung vu Captcha gesicht hunn.
Captcha gouf fir d'éischt ëm 2000-2001 benotzt. Spammer wëllen de Captcha eliminéieren fir sech fir gratis E-Mail Servicer Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook, etc. a schéckt Spam. Zënter datt Captcha zimlech wäit benotzt gëtt, ass e ganze Maart vu Servicer opgetaucht, déi ubidden fir den ubiquitären Captcha ëmzegoen. Schlussendlech bréngt dëst Gewënn - e Beispill wier Spam schécken. Et ginn 3 Weeër fir de Captcha ëmzegoen, loosst eis se kucken.
Déi éischt ass de Mängel an der Ëmsetzung vun der Iddi, oder Mängel am Gebrauch vun Captcha.
Also enthalen d'Äntwerten op Froen ze wéineg Entropie, sou wéi "Schreift wat 4+1 gläich ass." Déiselwecht Froen kënne vill Mol widderholl ginn, an d'Gamme vu méiglechen Äntwerten ass relativ kleng.
D'Effektivitéit vu Captcha gëtt op dës Manéier gepréift:
- den Test soll ënner Bedéngungen duerchgefouert ginn, wou d'Persoun an de Server vunenee wäit ewech sinn,
den Test soll net schwéier fir déi eenzel sinn; - d'Fro soll esou sinn datt eng Persoun se bannent e puer Sekonnen äntwere kann,
Nëmmen deen un deen d'Fro gestallt gëtt soll äntweren; - d'Äntwert op d'Fro muss fir de Computer schwéier sinn;
- Wëssen vu fréiere Froen, Äntwerten oder hir Kombinatioun däerf net d'Prévisibilitéit vum nächsten Test beaflossen;
- den Test däerf keng Persoune mat visuellen oder héieren Behënnerungen diskriminéieren;
- den Test däerf net geographesch, kulturell oder sproochlech partiell sinn.
Wéi et sech erausstellt, ass e "korrekte" Captcha zimmlech schwéier.
Den zweeten Nodeel vu Captcha ass d'Méiglechkeet OCR optesch Charaktererkennung ze benotzen. E Stéck Code ass fäeg e Captcha Bild ze liesen egal wéi vill visuell Kaméidi et enthält, kuckt wéi eng Buschtawen oder Zuelen et bilden an den Unerkennungsprozess automatiséieren. Fuerschung huet gewisen datt déi meescht Captchas einfach geknackt kënne ginn.
Ech ginn Zitater vu Spezialisten aus der School of Computer Science op der University of Newcastle, UK. Si schwätzen iwwer d'Liichtegkeet vum Microsoft Captcha ze knacken: "Eis Attack konnt e Segmentéierungs Erfollegsquote vun 92% erreechen, wat implizéiert datt d'MSN Captcha Schema an 60% vun de Fäll geknackt ka ginn andeems d'Bild segmentéiert an duerno erkennt. " Dem Yahoo säi Captcha knacken war grad esou einfach: "Eisen zweeten Attack huet e Segmentéierungssuccès vun 33,4% erreecht. Sou kënnen ongeféier 25,9% vun Captchas geknackt ginn. Eis Fuerschung suggeréiert datt Spammer ni bëlleg mënschlech Aarbecht benotze solle fir Yahoo's Captcha ze ëmgoen, awer éischter op e Low-Cost automatiséiert Attack vertrauen.
Déi drëtt Method fir Captcha ëmzegoen gëtt "Mechanical Turk" oder "Tierk" genannt. Mir hunn et direkt no der Verëffentlechung géint Yahoo's Captcha getest, a bis haut wësse mir net, a kee weess, wéi mir géint esou en Attack schützen.
Dëst ass de Fall wou Dir e béise Typ hutt deen en "erwuessene" Site oder Online Spill leeft vu wou d'Benotzer e puer Inhalter ufroen. Ier se d'nächst Bild gesinn, wäert de Site deen den Hacker besëtzt eng Back-End Ufro un en Online System maachen, mat deem Dir vertraut sidd, sot Yahoo oder Google, gräift de Captcha vun do aus a rutscht se un de Benotzer. A soubal de Benotzer d'Fro beäntwert, schéckt den Hacker de geschätzte Captcha op d'Zilplaz a weist dem Benotzer dat ugefrote Bild vu senger Säit. Wann Dir e ganz populäre Site mat vill interessanten Inhalt hutt, kënnt Dir eng ganz Arméi vu Leit mobiliséieren, déi automatesch d'Captchas vun anere Leit fir Iech ausfëllen. Dëst ass eng ganz mächteg Saach.
Wéi och ëmmer, net nëmme Leit probéieren Captchas ëmzegoen; Geschäfter benotzen och dës Technik. De Robert "RSnake" Hansen huet emol op sengem Blog mat engem rumänesche "Captcha Solver" geschwat, dee gesot huet, datt hien vun 300 bis 500 Captchas pro Stonn mat engem Taux vun 9 bis 15 Dollar pro dausend geléiste Captchas léise kéint.
Hien seet direkt datt seng Teammemberen 12 Stonnen den Dag schaffen, ongeféier 4800 Captchas während dëser Zäit léisen, an ofhängeg wéi schwéier d'Captchas sinn, kënne se bis zu $ 50 pro Dag fir hir Aarbecht kréien. Dëst war en interessante Post, awer nach méi interessant sinn d'Kommentaren déi Blog Benotzer ënner dësem Post hannerlooss hunn. E Message koum direkt aus Vietnam, wou e gewësse Quang Hung iwwer säi Grupp vun 20 Leit bericht huet, déi ausgemaach hunn fir $ 4 pro 1000 Captchas ze schätzen ze schaffen.
Den nächste Message war aus Bangladesch: "Hallo! Hoffen Dir sidd an der Rei! Mir sinn eng féierend Veraarbechtungsfirma aus Bangladesch. De Moment sinn eis 30 Betreiber fäeg méi wéi 100000 Captchas pro Dag ze léisen. Mir bidden excellent Konditiounen an engem nidderegen Taux - $ 2 fir 1000 guessed Captchas vun Yahoo, Hotmail, Mayspace, Gmail, Facebook, etc. Mir freeën eis op weider Zesummenaarbecht."
Eng aner interessant Noriicht gouf vun engem gewësse Babu geschéckt: "Ech sinn un dëser Aarbecht interesséiert, rufft mech w.e.g. um Telefon."
Also et ass ganz interessant. Mir kënnen debattéieren wéi legal oder illegal dës Aktivitéit ass, awer de Fakt ass datt d'Leit tatsächlech Sue maachen.
Kréien Zougang zu anere Leit d'Konten
Trey Ford: Den nächste Szenario iwwer mir schwätzen ass Sue verdéngen andeems Dir de Kont vun engem aneren iwwerhëlt.
Jiddereen vergiess Passwierder, a fir Applikatioun Sécherheetstestung, Passwuert zréckgesat an online Aschreiwung representéieren zwee ënnerschiddlech, fokusséiert Geschäftsprozesser. Et gëtt e grousse Gruef tëscht der Liichtegkeet vun Ärem Passwuert zréckgesat an der Liichtegkeet vun der Umeldung, also sollt Dir ustriewen fir de Passwuert zrécksetzen Prozess esou einfach wéi méiglech ze maachen. Awer wa mir probéieren et ze vereinfachen, entsteet e Problem well wat méi einfach et ass e Passwuert zréckzesetzen, wat manner sécher ass.
Ee vun de stäerkste héich-Profil Fäll involvéiert online Aschreiwung mat Sprint d'Benotzer Verifikatioun Service. Zwee White Hat Teammemberen hunn Sprint fir Online Umeldung benotzt. Et ginn e puer Saachen déi Dir bestätegen musst fir ze beweisen datt Dir sidd, ugefaange mat eppes sou einfach wéi Är Handysnummer. Dir braucht Online Umeldung fir Saachen wéi Äre Bankkonto ze managen, fir Servicer ze bezuelen, asw. Telefone kaafen ass ganz praktesch wann Dir et vun engem anere Kont maache kënnt an dann Akeef maachen a vill méi maachen. Ee vun de Bedruchoptiounen ass d'Bezueladress z'änneren, d'Liwwerung vun enger ganzer Rëtsch Handyen op Är Adress bestellen, an d'Affer wäert gezwongen sinn fir se ze bezuelen. Stalking Maniacs dreemen och vun dëser Geleeënheet: GPS Tracking Funktionalitéit un hiren Telefonen vun den Affer bäizefügen an all Beweegung vun all Computer ze verfolgen.
Also, Sprint bitt e puer vun den einfachsten Froen fir Är Identitéit z'iwwerpréiwen. Wéi mir wëssen, kann d'Sécherheet entweder duerch eng ganz breet Palette vun Entropie gesuergt ginn, oder duerch héich spezialiséiert Themen. Ech liesen Iech en Deel vum Sprint Registréierungsprozess well d'Entropie ganz niddereg ass. Zum Beispill gëtt et eng Fro: "wielt eng Autosmark, déi op der folgender Adress registréiert ass," an d'Markoptioune sinn Lotus, Honda, Lamborghini, Fiat, an "keen vun den uewe genannten." Sot mir, wien vun iech huet eng vun den uewe genannten? Wéi Dir kënnt gesinn, ass dëst Erausfuerderung Puzzel just eng super Geleeënheet fir e College Student bëlleg Telefonen ze kréien.
Zweet Fro: "Wéi vun de folgende Leit wunnt bei Iech oder wunnt op der Adress hei drënner"? Et ass ganz einfach dës Fro ze beäntweren, och wann Dir dës Persoun guer net kennt. Jerry Stifliin - dëse Familljennumm huet dräi "ays" dran, mir kommen op dat an enger zweeter - Ralph Argen, Jerome Ponicki an John Pace. Wat interessant ass iwwer dës Oplëschtung ass datt d'Nimm déi ginn absolut zoufälleg sinn, a si ënnerleien all datselwecht Muster. Wann Dir et berechent, da wäert Dir keng Schwieregkeeten hunn de richtegen Numm z'identifizéieren, well et vun den zoufälleg ausgewielten Nimm an eppes Charakteristesch ënnerscheet, an dësem Fall déi dräi Buschtawen "i". Also, Stayfliin ass kloer keen zoufälleg Numm, an et ass einfach ze roden, dës Persoun ass Äert Zil. Et ass ganz, ganz einfach.
Déi drëtt Fro: "a wéi enger vun de opgezielte Stied hutt Dir ni gelieft oder ni dës Stad an Ärer Adress benotzt?" - Longmont, North Hollywood, Genua oder Butte? Mir hunn dräi dichtbevëlkerte Gebidder ronderëm Washington DC, also ass déi offensichtlech Äntwert Nord Hollywood.
Et ginn e puer Saachen Dir musst virsiichteg sinn mat Sprint Online Aschreiwung. Wéi ech virdru gesot hunn, kënnt Dir eescht verletzt ginn wann en Ugräifer fäeg ass d'Versandadress fir Akeef an Ärer Bezuelinformatioun z'änneren. Wat wierklech grujeleg ass, ass datt mir e Mobile Locator Service hunn.
Mat et kënnt Dir d'Beweegunge vun Äre Mataarbechter verfollegen, well d'Leit Handyen a GPS benotzen, an Dir kënnt op der Kaart gesinn wou se sinn. Also et sinn e puer aner zimlech interessant Saachen déi an dësem Prozess geschéien.
Wéi Dir wësst, wann Dir e Passwuert zrécksetzt, huet d'E-Mailadress Virrang iwwer aner Methoden fir Benotzerverifizéierung a Sécherheetsfroen. Déi nächst Rutsch weist vill Servicer déi ubidden fir Är E-Mailadress unzeginn wann de Benotzer Schwieregkeeten huet sech op säi Kont aloggen.
Mir wëssen datt déi meescht Leit E-Mail benotzen an en E-Mailkonto hunn. Op eemol wollten d'Leit e Wee fannen fir Suen dovunner ze verdéngen. Dir fannt ëmmer d'E-Mailadress vum Affer eraus, gitt se an de Formulaire, an Dir wäert d'Méiglechkeet hunn d'Passwuert fir de Kont zréckzesetzen, deen Dir wëllt manipuléieren. Dir benotzt se dann op Ärem Netz, an déi Mailbox gëtt Är gëllen Vault, d'Haaptplaz vun där Dir all aner Konte vum Affer klaue kënnt. Dir kritt de ganzen Abonnement vum Affer andeems Dir nëmmen eng Mailbox besëtzt. Halt op ze laachen, dëst ass sérieux!
Déi nächst Rutsch weist wéivill Millioune Leit déi entspriechend E-Mail Servicer benotzen. D'Leit benotzen aktiv Gmail, Yahoo Mail, Hotmail, AOL Mail, awer Dir musst kee Super Hacker sinn fir hir Konten ze iwwerhuelen, Dir kënnt Är Hänn propper halen andeems Dir Outsourcing. Dir kënnt ëmmer soen datt et näischt domat ze dinn huet, Dir hutt näischt gemaach wéi dat.
Also, den Online Service "Passwuert Erhuelung" baséiert a China, wou Dir bezuelt fir datt se "Äre" Kont hacken. Fir 300 Yuan, dat ass ongeféier $ 43, kënnt Dir probéieren en auslännesche Mailbox Passwuert mat engem Erfollegsquote vun 85% zréckzesetzen. Fir 200 Yuan, oder $29, hutt Dir 90% Erfolleg fir Äert Heem E-Mail Service Mailbox Passwuert zréckzesetzen. Et kascht dausend Yuan, oder $143, fir an d'Mailbox vun enger Firma ze hacken, awer den Erfolleg ass net garantéiert. Dir kënnt och Passwuert knacken Servicer fir 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN, etc.
Konferenz BLACK HAT USA. Ginn räich oder stierwen: maachen Suen online Black Hat Methoden benotzt. Deel 2 (Link gëtt muer verfügbar)
Puer Annoncen 🙂
Merci datt Dir bei eis bleift. Hutt Dir eis Artikelen gär? Wëllt Dir méi interessant Inhalt gesinn? Ënnerstëtzt eis andeems Dir eng Bestellung maacht oder Frënn empfeelt, , 30% Remise fir Habr Benotzer op engem eenzegaartegen Analog vun Entry-Level Serveren, dee vun eis fir Iech erfonnt gouf: (verfügbar mat RAID1 an RAID10, bis zu 24 Kären a bis zu 40GB DDR4).
Dell R730xd 2 Mol méi bëlleg? Nëmmen hei an Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vun $99! Liest iwwer
Source: will.com