Удирдах ажил: Эрхэм ноёд хатагтай нар аа, энэ яриа маш инээдтэй, маш сонирхолтой, өнөөдөр бид интернетэд ажиглагдаж буй бодит зүйлийн талаар ярих болно. Энэ яриа нь бидний хар малгайт хурал дээр дассан ярианаас арай өөр юм, учир нь бид халдагчид халдлага үйлдлээрээ хэрхэн мөнгө олдог тухай ярих болно.
Бид танд ашиг олох сонирхолтой довтолгоонуудыг үзүүлж, Жэгермайстер дээр очоод тархиа довтолж байсан шөнө үнэхээр болсон халдлагын талаар танд хэлэх болно. Энэ нь хөгжилтэй байсан, гэхдээ бид бага зэрэг тайвширсны дараа SEO хүмүүстэй ярилцаж, олон хүмүүс эдгээр халдлагаас мөнгө олж байгааг олж мэдсэн.
Би зүгээр л тархигүй дунд менежер болохоор суудлаа өгөөд та нарт надаас хамаагүй ухаантай Жереми, Трей хоёрыг танилцуулъя. Би ухаалаг бөгөөд хөгжилтэй танилцуулгатай байх ёстой, гэхдээ би тэгдэггүй, тиймээс би оронд нь эдгээр слайдуудыг харуулах болно.
Дэлгэц дээр Жереми Гроссман, Трей Форд нарыг харуулсан слайдуудыг үзүүлэв.
Жереми Гроссман бол WhiteHat Security-ийн үүсгэн байгуулагч, технологийн ахлах ажилтан бөгөөд 2007 онд InfoWorld-аас шилдэг 25 CTO-ийн нэгээр шалгарсан, Вэб Програмын Аюулгүй байдлын Консорциумыг үүсгэн байгуулагч, сайт хоорондын скриптийн халдлагын хамтран зохиогч юм.
Трей Форд бол WhiteHat Security компанийн Архитектурын шийдлийн захирал бөгөөд Fortune 6 компаниудын аюулгүй байдлын зөвлөхөөр 500 жил ажилласан туршлагатай, PCI DSS төлбөрийн картын мэдээллийн аюулгүй байдлын стандартыг боловсруулагчдын нэг юм.
Эдгээр зургууд миний хошин шогийн дутагдлыг нөхөж байгаа гэж бодож байна. Ямар ч байсан тэдний танилцуулга танд таалагдаж, мөнгө олохын тулд эдгээр халдлагуудыг интернетэд хэрхэн ашиглаж байгааг ойлгоно гэж найдаж байна.
Жереми Гроссман: Өдрийн мэнд, хүрэлцэн ирсэн та бүхэнд баярлалаа. Энэ нь маш хөгжилтэй яриа байх болно, гэхдээ та тэг өдрийн халдлага, гайхалтай шинэ технологийг харахгүй. Бид зүгээр л үүнийг зугаатай байлгахыг хичээж, муу хүмүүс их мөнгө олох боломжийг олгодог өдөр бүр тохиолддог бодит зүйлсийн талаар ярих болно.
Бид энэ слайд дээр үзүүлсэн зүйлээр танд сэтгэгдэл төрүүлэхийг зорьсонгүй, харин манай компани юу хийдэг талаар тайлбарлаж өгье. Тиймээс, Цагаан малгайт хамгаалагч буюу "Харуулын цагаан малгай" нь:
- хязгааргүй тооны үнэлгээ - үйлчлүүлэгчийн сайтуудын хяналт, шинжээчийн удирдлага, хэмжээ, өөрчлөлтийн давтамжаас үл хамааран сайтуудыг сканнердах чадвар;
- хамрах хүрээний өргөн хүрээ - техникийн эмзэг байдлыг илрүүлэхийн тулд сайтуудыг зөвшөөрөлтэй сканнердах, бизнесийн илчлэгдсэн хэсгүүдэд логик алдааг тодорхойлох хэрэглэгчийн туршилт;
- хуурамч эерэг үр дүнг арилгах - манай үйл ажиллагааны баг үр дүнг хянаж, зохих ноцтой байдал, аюулын зэрэглэлийг өгдөг;
- хөгжүүлэлт ба чанарын хяналт - WhiteHat Satellite Appliance систем нь дотоод сүлжээнд нэвтрэх замаар үйлчлүүлэгчийн системд алсаас үйлчилгээ үзүүлэх боломжийг бидэнд олгодог;
- сайжруулалт, сайжруулалт - бодит сканнер нь системийг хурдан бөгөөд үр дүнтэй шинэчлэх боломжийг олгодог.
Тиймээс, бид дэлхийн бүх сайтуудад аудит хийдэг, бид вэб програмын хамгийн том багтай, долоо хоног бүр 600-700 үнэлгээний тест хийдэг бөгөөд энэ танилцуулгаас үзэх бүх өгөгдөл нь бидний энэ төрлийн ажлыг хийж байсан туршлагаас үүдэлтэй. .
Дараагийн слайд дээр та дэлхийн вэбсайтуудад хамгийн түгээмэл тохиолддог 10 төрлийн халдлагыг харж болно. Энэ нь тодорхой халдлагад өртөх эмзэг байдлын хувийг харуулж байна. Таны харж байгаагаар нийт сайтуудын 65% нь сайт хоорондын скриптэд өртөмтгий, 40% нь мэдээлэл алдагдуулахыг зөвшөөрдөг, 23% нь контент хууран мэхлэлтэд өртөмтгий байдаг. Сайт хоорондын скриптээс гадна SQL тарилга болон манай эхний аравт ороогүй алдартай сайт хоорондын хүсэлтийг хуурамчаар үйлдэх явдал түгээмэл байдаг. Гэхдээ энэ жагсаалтад тодорхой бус хэлээр тайлбарласан эзотерик нэртэй халдлагууд багтсан бөгөөд тэдгээрийн онцлог нь тодорхой компаниудын эсрэг чиглэсэн байдаг.
Эдгээр нь баталгаажуулалтын алдаа, зөвшөөрөл олгох үйл явцын алдаа, мэдээлэл алдагдсан гэх мэт.
Дараагийн слайд нь бизнесийн логик руу халдсан тухай өгүүлдэг. Чанарын баталгаажуулалтад оролцдог QA багууд ихэвчлэн тэдэнд анхаарал хандуулдаггүй. Тэд програм хангамж нь юу хийж чадахыг бус юу хийх ёстойг шалгадаг бөгөөд дараа нь та хүссэн бүхнээ харж болно. Сканнерууд, эдгээр бүх Цагаан/Хар/Саарал хайрцагнууд, эдгээр бүх олон өнгийн хайрцагнууд нь ихэнх тохиолдолд эдгээр зүйлийг илрүүлэх боломжгүй байдаг, учир нь тэдгээр нь халдлага болох эсвэл ийм зүйл тохиолдоход үүнтэй төстэй нөхцөл байдалд тулгуурладаг. Тэдэнд оюун ухаан дутмаг, ямар нэгэн зүйл ажилласан эсэхийг мэдэхгүй.
IDS болон WAF програмын галт хананд мөн адил хамаарна, учир нь HTTP хүсэлтүүд нь хэвийн харагддаг тул бизнесийн логик алдааг илрүүлж чадахгүй. Бизнесийн логик алдаатай холбоотой халдлага нь байгалийн жамаар үүсдэг, хакерууд, мета тэмдэгтүүд болон бусад хачирхалтай зүйлс байдаггүй, тэдгээр нь байгалийн үйл явц шиг харагддаг гэдгийг бид танд харуулах болно. Хамгийн гол нь бизнесийн логикийн алдаа нь тэднийг мөнгө болгодог учраас муу хүмүүс эдгээр зүйлд дуртай байдаг. Тэд XSS, SQL, CSRF ашигладаг боловч эдгээр төрлийн халдлагууд нь явуулахад улам хэцүү болж байгаа бөгөөд сүүлийн 3-5 жилийн хугацаанд тэд багассаныг бид харж байна. Гэхдээ буферийн халилт арилдаггүй шиг тэд өөрсдөө алга болохгүй. Гэсэн хэдий ч муу хүмүүс "жинхэнэ муу хүмүүс" үргэлж дайралтаараа мөнгө олохыг эрэлхийлдэг гэж үздэг тул илүү боловсронгуй довтолгоог хэрхэн ашиглах талаар бодож байна.
Би танд бизнесээ хамгаалахын тулд зөв арга замаар ашиглаж болох бодит заль мэхийг харуулахыг хүсч байна. Бидний танилцуулгын бас нэг зорилго бол та ёс зүйн талаар гайхаж байж магадгүй юм.
Онлайн санал асуулга, санал хураалт
Тиймээс, бизнесийн логикийн дутагдлын талаар ярилцаж эхлэхийн тулд онлайн судалгааны талаар ярилцъя. Онлайн санал асуулга нь олон нийтийн санаа бодлыг олж мэдэх, нөлөөлөх хамгийн түгээмэл арга юм. Бид 0 долларын ашигтайгаар эхэлж, дараа нь 5, 6, 7 сарын залилангийн схемийн үр дүнг харна. Маш энгийн судалгаа хийж эхэлцгээе. Шинэ вэбсайт, блог, мэдээллийн портал бүр онлайн судалгаа явуулдаг гэдгийг та мэднэ. Энэ нь хэтэрхий том эсвэл хэт нарийссан орон зай гэж байхгүй, гэхдээ бид тодорхой чиглэлээр олон нийтийн санаа бодлыг харахыг хүсч байна.
Би та бүхний анхаарлыг Техасын Остин хотод явуулсан нэгэн судалгаанд хандуулахыг хүсч байна. Остин бэйгл Вестминстерийн нохойн шоунд түрүүлсэн тул Остин Америкийн төрийн зүтгэлтэн Төв Техасын нохойн эздэд онлайнаар Остин шилдэг шоуны санал асуулга явуулахаар шийджээ. Мянга мянган эзэд зургаа илгээж, дуртай зурагтаа саналаа өгсөн. Бусад олон судалгааны нэгэн адил таны тэжээвэр амьтдад онгирохоос өөр шагнал байгаагүй.
Санал хураалтад Вэб 2.0 системийн програм ашигласан. Хэрэв та нохой таалагдсан бол "тийм" дээр дарж, энэ үүлдрийн хамгийн сайн нохой мөн эсэхийг олж мэдэв. Тиймээс та шоуны ялагчаар нэр дэвшигчээр сайт дээр байрлуулсан хэдэн зуун нохойд санал өгсөн.
Энэ санал хураалтын аргаар 3 төрлийн луйвар хийх боломжтой байсан. Эхнийх нь нэг нохойд дахин дахин санал өгөх эцэс төгсгөлгүй санал юм. Энэ нь маш энгийн. Хоёрдахь арга бол сөрөг олон санал өгөх бөгөөд та өрсөлдөгч нохойны эсрэг асар олон удаа санал өгдөг. Гурав дахь арга нь тэмцээний эцсийн мөчид та шинэ нохой байрлуулж, түүнд саналаа өгснөөр сөрөг санал авах магадлал хамгийн бага байсан бөгөөд та 100% эерэг санал авснаар ялсан.
Түүгээр ч барахгүй ялалтыг нийт саналын тоогоор бус хувиар тодорхойлсон, өөрөөр хэлбэл аль нохой хамгийн их эерэг үнэлгээ авсан болохыг тодорхойлох боломжгүй, зөвхөн тухайн нохойны эерэг ба сөрөг үнэлгээний хувийг тооцсон болно. . Хамгийн сайн эерэг/сөрөг онооны харьцаатай нохой хожсон.
Хамтран ажилладаг Роберт "RSnake" Хансены найз нь Чихуахуа Тини тэмцээнд түрүүлэхэд нь туслахыг түүнээс гуйжээ. Та Робертыг мэднэ, тэр Остинаас ирсэн. Тэр супер хакер шиг Burp проксиг засаж, хамгийн бага эсэргүүцэлтэй замыг дагасан. Тэрээр хууран мэхлэх №1 арга хэрэглэж, хэдэн зуу, мянган хүсэлтийг Burp давталтаар дамжуулсан бөгөөд энэ нь нохойд 2000 гаруй санал авч, түүнийг 1-р байранд авчирсан.
Дараа нь тэрээр Чучу хочит Tiny-ийн өрсөлдөгчийн эсрэг №2 хууран мэхлэх аргыг ашигласан. Тэмцээний сүүлийн минутуудад тэрээр Чучугийн эсрэг 450 санал өгсөн нь 1:2-ээс дээш саналын харьцаагаар Тинигийн 1-р байрыг улам бататгасан ч эерэг сөрөг үнэлгээний хувийн жингийн хувьд Тини ялагдсан хэвээр байна. Энэ слайд дээр та энэ үр дүнд сэтгэлээр унасан кибер гэмт хэрэгтний шинэ нүүр царайг харж байна.
Тийм ээ, энэ бол сонирхолтой сценари байсан, гэхдээ миний найз энэ тоглолтонд дургүй байсан гэж бодож байна. Чи зүгээр л Остин хотод болсон Чихуахуа тэмцээнд түрүүлэхийг хүссэн ч хэн нэгэн таныг хакердаж, мөн адил зүйл хийхийг оролдсон. За, одоо би дуудлагыг Трей рүү шилжүүллээ.
Зохиомол эрэлт бий болгож, түүгээрээ мөнгө олох
Трей Форд: "Хиймэл DoS" гэсэн ойлголт нь бид онлайнаар тасалбар худалдаж авахад хэд хэдэн сонирхолтой хувилбаруудыг хэлдэг. Жишээлбэл, нислэгийн тусгай суудал захиалах үед. Энэ нь спортын арга хэмжээ, концерт зэрэг ямар ч төрлийн тасалбарт хамаарна.
Агаарын тээврийн хэрэгслийн суудал, биет эд зүйлс, хэрэглэгчийн нэр гэх мэт ховор эд зүйлсийг дахин худалдан авахаас урьдчилан сэргийлэхийн тулд уг программ нь зөрчлөөс урьдчилан сэргийлэхийн тулд тухайн зүйлийг тодорхой хугацаанд түгждэг. Эндээс ямар нэг зүйлийг урьдчилан нөөцлөх чадвартай холбоотой эмзэг байдал гарч ирдэг.
Бид бүгд завсарлагааны талаар мэддэг, бид бүгд хуралдааныг дуусгах талаар мэддэг. Гэхдээ энэ логик дутагдал нь бидэнд нислэгийн суудлаа сонгоод, дараа нь ямар ч төлбөр төлөхгүйгээр дахин сонголт хийх боломжийг олгодог. Мэдээжийн хэрэг та нарын ихэнх нь бизнес аялалаар явдаг, гэхдээ миний хувьд энэ бол ажлын чухал хэсэг юм. Бид энэ алгоритмыг олон газар туршиж үзсэн: та нислэг сонгох, суудал сонгох, бэлэн болсон үедээ л төлбөрийн мэдээллээ оруулна. Өөрөөр хэлбэл, таныг байраа сонгосны дараа энэ газрыг хэдэн минутаас хэдэн цаг хүртэл тодорхой хугацаагаар хадгалах бөгөөд энэ хугацаанд өөр хэн ч энэ газрыг захиалж чадахгүй. Энэ хүлээлгийн хугацаа тул та зүгээр л цахим хуудас руу буцаж ороод хүссэн суудлаа захиалаад л онгоцны бүх суудлаа захиалах бодит боломж байна.
Тиймээс DoS халдлагын сонголт гарч ирнэ: энэ мөчлөгийг онгоцон дээрх суудал бүрт автоматаар давтана.
Бид үүнийг дор хаяж хоёр томоохон агаарын тээврийн компанид туршиж үзсэн. Та бусад захиалгатай ижил эмзэг байдлыг олж мэдэх боломжтой. Энэ нь тасалбараа дахин борлуулах хүсэлтэй хүмүүст зориулж үнээ нэмэх сайхан боломж юм. Үүнийг хийхийн тулд дамын наймаачид мөнгө алдах эрсдэлгүйгээр үлдсэн тасалбараа захиалахад л хангалттай. Ийм байдлаар та видео тоглоом, тоглоомын консол, iPhone гэх мэт эрэлт ихтэй бүтээгдэхүүн зардаг цахим худалдааг "гацааж" чадна. Өөрөөр хэлбэл, онлайн захиалга эсвэл захиалгын системд байгаа алдаа нь халдагчид үүнээс мөнгө олох эсвэл өрсөлдөгчдөд хохирол учруулах боломжийг олгодог.
Captcha тайлах
Жереми Гроссман: Одоо captcha-ийн талаар ярилцъя. Интернетийг бохирдуулж, спамтай тэмцэхэд ашигладаг эдгээр ядаргаатай зургуудыг хүн бүр мэддэг. Та captcha-аас ашиг олох боломжтой. Captcha бол жинхэнэ хүнийг роботоос ялгах боломжийг олгодог бүрэн автомат Туринг тест юм. Би captcha ашиглах талаар судалж байхдаа маш олон сонирхолтой зүйлийг олж мэдсэн.
Captcha анх 2000-2001 онд ашиглагдаж эхэлсэн. Спам илгээгчид Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook гэх мэт үнэгүй имэйл үйлчилгээнд бүртгүүлэхийн тулд captcha-г устгахыг хүсч байна. мөн спам илгээх. Captcha-г нэлээд өргөн ашигладаг тул хаа сайгүй байдаг captcha-г тойрч гарахыг санал болгож буй үйлчилгээний бүхэл бүтэн зах зээл гарч ирэв. Эцсийн эцэст энэ нь ашиг авчирдаг - жишээ нь спам илгээх болно. Captcha-г тойрч гарах 3 арга бий, тэдгээрийг харцгаая.
Эхнийх нь санааг хэрэгжүүлэхэд гарсан алдаа, эсвэл captcha ашиглахад гарсан дутагдал юм.
Тиймээс асуултын хариулт нь "4+1-тэй тэнцүү гэж бич" гэх мэт маш бага энтропи агуулдаг. Ижил асуултууд олон удаа давтагдаж болох бөгөөд хариултын боломжит хүрээ маш бага байна.
Captcha-ийн үр нөлөөг дараах байдлаар шалгана.
- туршилтыг тухайн хүн болон сервер хоёр бие биенээсээ алслагдсан нөхцөлд хийх ёстой;
тест нь тухайн хүнд хэцүү байх ёсгүй; - асуулт нь хүн хэдхэн секундын дотор хариулж чадахуйц байх ёстой.
Зөвхөн асуулт асуусан хүн л хариулах ёстой; - асуултанд хариулах нь компьютерт хэцүү байх ёстой;
- өмнөх асуулт, хариулт эсвэл тэдгээрийн хослолын талаархи мэдлэг нь дараагийн тестийг урьдчилан таамаглахад нөлөөлөх ёсгүй;
- тест нь харааны болон сонсголын бэрхшээлтэй хүмүүсийг ялгаварлан гадуурхах ёсгүй;
- шалгалт нь газарзүйн, соёл, хэл шинжлэлийн хувьд өрөөсгөл байх ёсгүй.
Эндээс харахад "зөв" captcha үүсгэх нь нэлээд хэцүү байдаг.
Captcha-ийн хоёр дахь сул тал бол OCR оптик тэмдэгт таних боломжийг ашиглах явдал юм. Код нь хэчнээн визуал шуугианаас үл хамааран captcha дүрсийг уншиж, ямар үсэг, тооноос бүрдэж байгааг харж, таних үйл явцыг автоматжуулах боломжтой. Судалгаанаас харахад ихэнх captcha нь амархан хагардаг.
Би Их Британийн Ньюкастлийн их сургуулийн Компьютерийн шинжлэх ухааны сургуулийн мэргэжилтнүүдийн эшлэлийг өгөх болно. Тэд Microsoft captcha-г эвдэхэд хялбар байдлын талаар ярьдаг: "Бидний халдлага нь сегментчлэлийн амжилтыг 92% -д хүргэж чадсан бөгөөд энэ нь MSN captcha схемийг 60% тохиолдолд зургийг сегментчилж, дараа нь таних замаар эвдэж болно гэсэн үг юм. ” Yahoo-ийн captcha-г хагарах нь маш хялбар байсан: "Бидний хоёр дахь халдлага 33,4% -ийн сегментчилсэн амжилтанд хүрсэн. Тиймээс captcha-ийн 25,9% нь хагарах боломжтой. Бидний судалгаагаар спам илгээгчид Yahoo-ийн captcha-г тойрч гарахын тулд хямд хүний хөдөлмөрийг хэзээ ч ашиглах ёсгүй, харин хямд өртөгтэй автомат халдлагад найдах хэрэгтэй."
Captcha-г тойрч гарах гурав дахь аргыг "Механик Турк" эсвэл "Турк" гэж нэрлэдэг. Бид үүнийг хэвлэгдсэн даруйдаа Yahoo-ийн captcha-д туршиж үзсэн бөгөөд өнөөдрийг хүртэл ийм халдлагаас хэрхэн хамгаалахаа мэдэхгүй, хэн ч мэдэхгүй.
Энэ нь танд "насанд хүрэгчдийн" сайт эсвэл хэрэглэгчдийн зарим контентыг хүссэн онлайн тоглоомыг ажиллуулах муу залуутай байх тохиолдол юм. Тэднийг дараагийн зургийг харахаас өмнө хакерын эзэмшдэг вэбсайт нь Yahoo эсвэл Google гэх мэт таны мэддэг онлайн систем рүү арын хүсэлтийг илгээж, тэндээс captcha-г шүүрч аваад хэрэглэгч рүү шилжүүлэх болно. Хэрэглэгч асуултанд хариулмагц хакер нь таасан captcha-г зорилтот сайт руу илгээж, хэрэглэгчдэд өөрийн сайтаас хүссэн зургийг харуулах болно. Хэрэв танд маш олон сонирхолтой контент бүхий маш алдартай сайт байгаа бол та бусад хүмүүсийн captcha-г автоматаар бөглөх бүхэл бүтэн армийг дайчлах боломжтой. Энэ бол маш хүчтэй зүйл юм.
Гэсэн хэдий ч хүмүүс зөвхөн captcha-г тойрч гарахыг оролддоггүй, бизнесүүд ч энэ аргыг ашигладаг. Роберт "RSnake" Хансен нэг удаа блог дээрээ Румын улсын "каптча шийдэгч"-тэй ярилцаж, нэг мянган captcha-г 300-500 долларын ханшаар цагт 9-15 captcha шийдэж чадна гэж хэлжээ.
Түүний багийн гишүүд өдөрт 12 цаг ажилладаг бөгөөд энэ хугацаанд 4800 captcha-г шийдэж, captcha нь хэр хэцүү байгаагаас хамааран өдөрт 50 доллар хүртэл цалин авах боломжтой гэж тэр шууд хэлэв. Сонирхолтой бичлэг байсан ч блогийн хэрэглэгчид энэ бичлэгийн доор үлдээсэн сэтгэгдлүүд нь илүү сонирхолтой юм. Вьетнамаас нэн даруй мессеж ирсэн бөгөөд тэнд Куанг Хунг 20 captcha тутамд 4 доллараар ажиллахаар тохиролцсон 1000 хүнтэй бүлгийнхээ талаар мэдээлэв.
Дараагийн зурвас Бангладешаас ирсэн: “Сайн уу! Чи зүгээр байгаа гэж найдаж байна! Бид Бангладешийн тэргүүлэгч боловсруулах компани юм. Одоогоор манай 30 оператор өдөрт 100000 гаруй captcha-г шийдвэрлэх чадвартай. Бид маш сайн нөхцөл, хямд үнийг санал болгож байна - Yahoo, Hotmail, Mayspace, Gmail, Facebook гэх мэт сайтуудаас таасан 2 captcha нь $1000. Цаашдын хамтын ажиллагааг бид тэсэн ядан хүлээж байна."
"Би энэ ажлыг сонирхож байна, надтай утсаар холбогдоно уу" гэсэн өөр нэг сонирхолтой мессежийг нэгэн Бабу илгээжээ.
Тиймээс энэ нь нэлээд сонирхолтой юм. Энэ үйл ажиллагаа нь хэр хууль ёсны эсвэл хууль бус гэдгийг бид маргаж болох ч үнэндээ хүмүүс үүнээс мөнгө олдог.
Бусад хүмүүсийн данс руу нэвтрэх
Трей Форд: Бидний ярих дараагийн хувилбар бол хэн нэгний дансыг булаан авч мөнгө олох явдал юм.
Хүн бүр нууц үгээ мартдаг бөгөөд програмын аюулгүй байдлын шалгалтын хувьд нууц үг шинэчлэх болон онлайн бүртгэл нь хоёр өөр, төвлөрсөн бизнесийн үйл явцыг илэрхийлдэг. Нууц үгээ шинэчлэх, бүртгүүлэхэд хялбар байдал хоёрын хооронд асар их зөрүү байгаа тул та нууц үг шинэчлэх үйл явцыг аль болох хялбар болгохыг хичээх хэрэгтэй. Гэхдээ бид үүнийг хялбарчлах гэж оролдвол нууц үг солих нь хялбар байх тусам аюулгүй байдал багасдаг тул асуудал үүсдэг.
Хамгийн олны анхаарлыг татсан хэргүүдийн нэг нь Sprint-ийн хэрэглэгчийн баталгаажуулалтын үйлчилгээг ашиглан онлайнаар бүртгүүлэх явдал байв. Цагаан малгайт багийн хоёр гишүүн онлайн бүртгэлд Sprint ашигласан. Өөрийгөө мөн гэдгийг батлахын тулд гар утасны дугаар гэх мэт энгийн зүйлээс эхлээд хэд хэдэн зүйлийг батлах ёстой. Банкны дансаа удирдах, үйлчилгээний төлбөр төлөх гэх мэт зүйлсэд онлайнаар бүртгүүлэх шаардлагатай. Хэрэв та хэн нэгний данснаас үүнийг хийж, дараа нь худалдан авалт хийж, илүү их зүйлийг хийх боломжтой бол утас худалдаж авах нь маш тохиромжтой. Луйврын сонголтуудын нэг нь төлбөрийн хаягийг солих, бүхэл бүтэн гар утсыг өөрийн хаягаар хүргэхийг захиалж, хохирогч үүнийг төлөхөөс өөр аргагүй болно. Сталкинг маньякууд мөн ийм боломжийг мөрөөддөг: хохирогчдынхоо утсанд GPS хянах функцийг нэмж, тэдний хөдөлгөөн бүрийг дурын компьютерээс хянах.
Тиймээс, Sprint таны хэн болохыг баталгаажуулах хамгийн энгийн асуултуудыг санал болгож байна. Бидний мэдэж байгаагаар аюулгүй байдлыг маш өргөн хүрээний энтропи эсвэл маш нарийн мэргэшсэн асуудлуудаар хангаж болно. Энтропи маш бага тул би танд Sprint бүртгэлийн үйл явцын нэг хэсгийг унших болно. Жишээлбэл, "дараах хаягаар бүртгэгдсэн автомашины брэндийг сонгох" гэсэн асуулт гарч ирэх бөгөөд брэндийн сонголтууд нь Лотус, Хонда, Ламборгини, Фиат, "дээрхүүдийн аль нь ч биш" гэсэн асуулт юм. Надад хэлээч, та нарын хэнд нь дээрх зүйлс байгаа вэ? Таны харж байгаагаар энэхүү сорилттой оньсого бол коллежийн оюутанд хямд утас авах сайхан боломж юм.
Хоёр дахь асуулт: "Дараах хүмүүсийн хэн нь тантай хамт амьдардаг эсвэл доорх хаягаар амьдардаг вэ?" Та энэ хүнийг огт танихгүй байсан ч гэсэн энэ асуултад хариулахад маш хялбар байдаг. Жерри Стифлиин - энэ овог нь гурван "ай"-тай, бид хоёр секундын дотор үүнд хүрэх болно - Ральф Арген, Жером Поники, Жон Пэйс. Энэ жагсаалтын хамгийн сонирхолтой зүйл бол өгөгдсөн нэрс нь туйлын санамсаргүй бөгөөд бүгд ижил загварт захирагддаг явдал юм. Хэрэв та үүнийг тооцоолвол жинхэнэ нэрийг тодорхойлоход хэцүү байх болно, учир нь энэ нь санамсаргүй байдлаар сонгогдсон нэрсээс ямар нэг онцлог шинж чанартай, энэ тохиолдолд "i" гэсэн гурван үсгээр ялгаатай байдаг. Тиймээс Stayfliin бол санамсаргүй нэр биш бөгөөд таахад хялбар, энэ хүн таны бай юм. Энэ бол маш, маш энгийн.
Гурав дахь асуулт: "Та жагсаасан хотуудын алинд нь хэзээ ч амьдарч байгаагүй эсвэл энэ хотыг хаяг дээрээ хэзээ ч ашиглаж байгаагүй вэ?" - Лонгмонт, Хойд Холливуд, Генуя эсвэл Батт уу? Бид Вашингтон ДС-ийн эргэн тойронд хүн ам шигүү суурьшсан гурван бүстэй тул тодорхой хариулт нь Хойд Холливуд юм.
Sprint онлайн бүртгэлд анхаарах хэд хэдэн зүйл бий. Өмнө дурьдсанчлан, халдагчид таны төлбөрийн мэдээлэл дэх худалдан авалтын тээвэрлэлтийн хаягийг өөрчлөх боломжтой бол та ноцтой хохирол учруулж болзошгүй. Хамгийн аймшигтай нь манайд Mobile Locator үйлчилгээ байдаг.
Үүний тусламжтайгаар хүмүүс гар утас, GPS ашигладаг тул ажилчдынхаа хөдөлгөөнийг хянах боломжтой бөгөөд газрын зураг дээр хаана байгааг харах боломжтой. Тиймээс энэ үйл явцад өөр сонирхолтой зүйлүүд тохиолддог.
Таны мэдэж байгаагаар нууц үгээ шинэчлэх үед имэйл хаяг нь хэрэглэгчийн баталгаажуулалт болон аюулгүй байдлын асуултын бусад аргуудаас давуу эрхтэй байдаг. Дараагийн слайд нь хэрэглэгч өөрийн акаунтад нэвтрэхэд бэрхшээлтэй байгаа тохиолдолд таны имэйл хаягийг зааж өгөх олон үйлчилгээг харуулж байна.
Ихэнх хүмүүс цахим шуудан ашигладаг бөгөөд имэйл хаягтай гэдгийг бид мэднэ. Гэнэт хүмүүс үүнээс мөнгө олох арга олохыг хүссэн. Та хохирогчийн цахим шуудангийн хаягийг байнга олж, маягт руу оруулаад, өөрчлөхийг хүссэн дансныхаа нууц үгийг дахин тохируулах боломжтой болно. Дараа нь та үүнийг сүлжээндээ ашиглах бөгөөд энэ шуудангийн хайрцаг нь таны алтан хайрцаг болох бөгөөд хохирогчийн бусад бүх дансыг хулгайлах гол газар болно. Та зөвхөн нэг шуудангийн хайрцгийг эзэмшсэнээр хохирогчийн бүх захиалгыг хүлээн авах болно. Инээхээ боль, энэ бол ноцтой юм!
Дараагийн слайд нь хэчнээн сая хүн холбогдох имэйл үйлчилгээг ашигладаг болохыг харуулж байна. Хүмүүс Gmail, Yahoo Mail, Hotmail, AOL Mail-ийг идэвхтэй ашигладаг ч тэдний дансыг булааж авахын тулд та супер хакер байх албагүй, аутсорсинг хийснээр гараа цэвэрхэн байлгаж чадна. Энэ нь ямар ч хамаагүй, та ийм зүйл хийгээгүй гэж та үргэлж хэлж чадна.
Тиймээс, "Нууц үг сэргээх" онлайн үйлчилгээ нь Хятадад байрладаг бөгөөд та "өөрийн" дансаа хакердахад төлбөр төлдөг. 300 юань буюу 43 орчим ам.доллараар гадаад шуудангийн хайрцгийн нууц үгийг 85%-ийн амжилттайгаар шинэчлэхийг оролдож болно. 200 юань буюу 29 доллараар гэрийн имэйл үйлчилгээний шуудангийн хайрцгийн нууц үгийг шинэчлэхэд 90% амжилтанд хүрэх болно. Аливаа компанийн шуудангийн хайрцгийг хакердахад мянган юань буюу 143 ам.доллар зарцуулдаг ч амжилтанд хүрэх баталгаа байхгүй. Та мөн 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN гэх мэтийн нууц үг задлах үйлчилгээг аутсорсингоор авах боломжтой.
АНУ-ын BLACK HAT бага хурал. Баяжих эсвэл үхэх: Хар малгайт аргыг ашиглан онлайнаар мөнгө олох. 2-р хэсэг (холбоос маргааш бэлэн болно)
Зарим зар 🙂
Бидэнтэй хамт байсанд баярлалаа. Манай нийтлэл танд таалагдаж байна уу? Илүү сонирхолтой контент үзэхийг хүсч байна уу? Захиалга өгөх эсвэл найзууддаа санал болгох замаар биднийг дэмжээрэй, , Хабр хэрэглэгчдэд зориулсан 30% хямдралтай, анхан шатны түвшний серверүүдийн өвөрмөц аналогийг бид танд зориулан зохион бүтээжээ. (RAID1 болон RAID10, 24 хүртэлх цөм, 40 ГБ хүртэл DDR4-тэй байх боломжтой).
Dell R730xd 2 дахин хямд байна уу? Зөвхөн энд Нидерландад! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 доллараас! тухай уншина уу
Эх сурвалж: www.habr.com