ผู้ดำเนินรายการ: ท่านสุภาพบุรุษและสุภาพสตรี การพูดคุยนี้ตลกและน่าสนใจมาก วันนี้เราจะพูดถึงของจริงที่มีให้เห็นบนอินเทอร์เน็ต บทสนทนานี้แตกต่างจากที่เราคุ้นเคยในการประชุมของ Black Hat เล็กน้อย เนื่องจากเราจะพูดถึงวิธีที่ผู้โจมตีทำเงินจากการโจมตีของพวกเขา
เราจะแสดงให้คุณเห็นถึงการโจมตีที่น่าสนใจที่อาจสร้างผลกำไร และบอกคุณเกี่ยวกับการโจมตีที่เกิดขึ้นจริงในคืนที่เราผ่านเยเกอร์ไมสเตอร์และระดมความคิด มันสนุก แต่เมื่อเราสร่างเมาขึ้นเล็กน้อย เราได้พูดคุยกับคนทำ SEO และพบว่าผู้คนจำนวนมากทำเงินจากการโจมตีเหล่านี้
ฉันเป็นแค่ผู้จัดการระดับกลางที่ไร้สมอง ดังนั้นฉันจึงขอลาออกจากตำแหน่งและอยากจะแนะนำคุณให้รู้จัก Jeremy และ Trey ซึ่งฉลาดกว่าฉันมาก ฉันควรจะมีคำแนะนำที่ชาญฉลาดและสนุกสนาน แต่ไม่มี ดังนั้นฉันจะแสดงสไลด์เหล่านี้แทน
สไลด์ที่แสดง Jeremy Grossman และ Trey Ford แสดงอยู่บนหน้าจอ
Jeremy Grossman เป็นผู้ก่อตั้งและ CTO ของ WhiteHat Security ซึ่งได้รับเลือกให้เป็นหนึ่งใน CTO 2007 อันดับแรกของ InfoWorld ในปี 25 ผู้ร่วมก่อตั้ง Web Application Security Consortium และผู้ร่วมคิดค้นการโจมตีด้วยสคริปต์ข้ามไซต์
Trey Ford เป็นผู้อำนวยการฝ่ายโซลูชันทางสถาปัตยกรรมของ WhiteHat Security โดยมีประสบการณ์ 6 ปีในฐานะที่ปรึกษาด้านความปลอดภัยสำหรับบริษัทที่ติดอันดับ Fortune 500 และเป็นหนึ่งในผู้พัฒนามาตรฐานความปลอดภัยของข้อมูลบัตรชำระเงิน PCI DSS
ฉันคิดว่าภาพเหล่านี้ชดเชยการขาดอารมณ์ขันของฉัน ไม่ว่าในกรณีใด ฉันหวังว่าคุณจะสนุกกับการนำเสนอของพวกเขา หลังจากนั้น คุณจะเข้าใจว่าการโจมตีเหล่านี้ถูกใช้บนอินเทอร์เน็ตเพื่อสร้างรายได้อย่างไร
Jeremy Grossman: สวัสดีตอนบ่าย ขอบคุณทุกคนที่มา มันจะเป็นการสนทนาที่สนุกมาก แม้ว่าคุณจะไม่เห็นการโจมตีซีโร่เดย์หรือเทคโนโลยีใหม่ๆ เราแค่พยายามสร้างความบันเทิงให้กับเรื่องจริงที่เกิดขึ้นทุกวัน ซึ่งทำให้คนเลวทำเงินได้มากมาย
เราไม่ได้พยายามทำให้คุณประทับใจกับสิ่งที่แสดงในสไลด์นี้ แต่เพียงเพื่ออธิบายว่าบริษัทของเราทำอะไร ดังนั้น White Hat Sentinel หรือ "Guardian White Hat" คือ:
- การประเมินไม่จำกัดจำนวน – การควบคุมและการจัดการโดยผู้เชี่ยวชาญของไซต์ลูกค้า ความสามารถในการสแกนไซต์โดยไม่คำนึงถึงขนาดและความถี่ของการเปลี่ยนแปลง
- ครอบคลุมกว้าง - อนุญาตการสแกนไซต์เพื่อตรวจหาช่องโหว่ทางเทคนิคและการทดสอบผู้ใช้เพื่อระบุข้อผิดพลาดเชิงตรรกะในพื้นที่ธุรกิจที่ไม่ถูกเปิดเผย;
- การกำจัดผลบวกลวง - หน่วยงานของเราตรวจสอบผลลัพธ์และกำหนดระดับความรุนแรงและภัยคุกคามที่เหมาะสม
- การพัฒนาและการควบคุมคุณภาพ - ระบบ WhiteHat Satellite Appliance ช่วยให้เราสามารถให้บริการลูกค้าระบบจากระยะไกลผ่านการเข้าถึงเครือข่ายภายใน
- การปรับปรุงและการปรับปรุง - การสแกนที่เหมือนจริงช่วยให้คุณอัปเดตระบบได้อย่างรวดเร็วและมีประสิทธิภาพ
ดังนั้นเราจึงตรวจสอบเว็บไซต์ใดๆ ในโลก เรามีทีมทดสอบการเจาะเว็บแอปพลิเคชันที่ใหญ่ที่สุด เราทำการทดสอบประเมิน 600-700 ครั้งทุกสัปดาห์ และข้อมูลทั้งหมดที่คุณจะเห็นในการนำเสนอนี้นำมาจากประสบการณ์ของเราในการดำเนินการนี้ ประเภทของงาน.
ในสไลด์ถัดไป คุณจะเห็นประเภทการโจมตีที่พบบ่อยที่สุด 10 ประเภทบนเว็บไซต์ทั่วโลก ข้อมูลนี้แสดงเปอร์เซ็นต์ของความเสี่ยงต่อการโจมตีบางอย่าง อย่างที่คุณเห็น 65% ของไซต์ทั้งหมดมีความเสี่ยงที่จะถูกเขียนสคริปต์ข้ามไซต์ 40% ปล่อยให้ข้อมูลรั่วไหล 23% เสี่ยงต่อการแทนที่เนื้อหา นอกเหนือจากการเขียนสคริปต์ข้ามไซต์แล้ว การแทรก SQL และการปลอมแปลงคำขอข้ามไซต์ที่โด่งดังเป็นเรื่องปกติ ซึ่งไม่ได้อยู่ในสิบอันดับแรกของเรา แต่ในรายชื่อนี้มีการโจมตีด้วยชื่อลึกลับซึ่งอธิบายด้วยคำที่คลุมเครือและมีความเฉพาะเจาะจงในความจริงที่ว่าพวกเขามุ่งเป้าไปที่บางบริษัท
สิ่งเหล่านี้คือข้อบกพร่องในการตรวจสอบสิทธิ์ ข้อบกพร่องในกระบวนการอนุญาต ข้อมูลรั่วไหล และอื่นๆ
สไลด์ถัดไปพูดถึงการโจมตีตรรกะทางธุรกิจ ทีม QA ที่เกี่ยวข้องกับการประกันคุณภาพมักจะเพิกเฉยต่อพวกเขา พวกเขาทดสอบว่าซอฟต์แวร์ควรทำอะไร ไม่ใช่สิ่งที่ทำได้ จากนั้นคุณจะเห็นอะไรก็ได้ สแกนเนอร์ กล่องสีขาว/ดำ/เทาทั้งหมด (กล่องสีขาว/ดำ/เทา) กล่องหลากสีเหล่านั้นไม่สามารถตรวจจับสิ่งเหล่านี้ได้เกือบตลอดเวลา เนื่องจากพวกมันถูกจับจ้องไปที่บริบทของการโจมตีที่อาจเกิดขึ้น หรือเกิดอะไรขึ้น ดูเหมือนว่า เมื่อมันเกิดขึ้น พวกเขาขาดความเฉลียวฉลาดและไม่รู้ว่ามีอะไรได้ผลหรือไม่
เช่นเดียวกันกับ IDS และ WAF ซึ่งไม่สามารถตรวจจับข้อบกพร่องในตรรกะทางธุรกิจได้ เนื่องจากคำขอ HTTP ดูปกติอย่างสมบูรณ์ เราจะแสดงให้คุณเห็นว่าการโจมตีที่เกี่ยวข้องกับข้อบกพร่องในตรรกะทางธุรกิจนั้นเกิดขึ้นค่อนข้างเป็นธรรมชาติ ไม่มีแฮ็กเกอร์ ไม่มีเมตาอักขระและสิ่งแปลกประหลาดอื่นๆ ดูเหมือนเป็นกระบวนการปกติ บรรทัดล่างคือคนเลวชอบสิ่งนี้เพราะข้อบกพร่องทางตรรกะทางธุรกิจทำให้พวกเขาได้เงิน พวกเขาใช้ XSS, SQL, CSRF แต่การโจมตีประเภทนี้เริ่มยากขึ้นเรื่อย ๆ และเราเห็นว่ามีจำนวนน้อยลงในช่วง 3-5 ปีที่ผ่านมา แต่จะไม่หายไปเอง เช่นเดียวกับที่บัฟเฟอร์ล้นจะไม่ไปไหน อย่างไรก็ตาม คนเลวคิดเกี่ยวกับวิธีการใช้การโจมตีที่ซับซ้อนมากขึ้น เพราะพวกเขาเชื่อว่า "คนเลวจริงๆ" มักจะมองหาประโยชน์จากการโจมตีของพวกเขา
ฉันต้องการแสดงให้คุณเห็นเคล็ดลับบางอย่างที่คุณสามารถใช้ประโยชน์และใช้ในทางที่ถูกต้องเพื่อปกป้องธุรกิจของคุณ จุดประสงค์อีกประการหนึ่งของการนำเสนอของเราคือ คุณอาจถามคำถามเกี่ยวกับจริยธรรม
การสำรวจและการลงคะแนนออนไลน์
ในตอนต้นของการอภิปรายเกี่ยวกับข้อบกพร่องของตรรกะทางธุรกิจ เรามาพูดถึงแบบสำรวจออนไลน์กัน การสำรวจทางอินเทอร์เน็ตเป็นวิธีที่พบได้บ่อยที่สุดในการค้นหาหรือโน้มน้าวความคิดเห็นสาธารณะ เราจะเริ่มต้นด้วยกำไร 0 ดอลลาร์ จากนั้นดูผลรวม 5, 6, 7 เดือนของการใช้แผนการฉ้อฉล เริ่มจากแบบสำรวจที่ง่ายมาก คุณทราบดีว่าทุกเว็บไซต์ใหม่ ทุกบล็อก ทุกพอร์ทัลข่าวสารดำเนินการสำรวจออนไลน์ ดังที่กล่าวไว้ ไม่มีช่องใดใหญ่เกินไปหรือแคบเกินไป แต่เราต้องการเห็นความคิดเห็นของประชาชนในพื้นที่เฉพาะ
ฉันต้องการดึงความสนใจของคุณไปที่แบบสำรวจหนึ่งที่จัดทำขึ้นในออสติน เท็กซัส เนื่องจากออสติน บีเกิลชนะการแข่งขัน Westminster Dog Show รัฐบุรุษชาวอเมริกันของออสตินจึงตัดสินใจจัดทำแบบสำรวจออสติน Best in Show ทางออนไลน์สำหรับเจ้าของสุนัขในภาคกลางของเท็กซัส เจ้าของหลายพันคนส่งภาพถ่ายและโหวตให้กับภาพโปรดของพวกเขา เช่นเดียวกับแบบสำรวจอื่น ๆ ไม่มีรางวัลอื่นใดนอกจากสิทธิ์ในการอวดสัตว์เลี้ยงของคุณ
ใช้แอปพลิเคชันระบบ Web 2.0 ในการลงคะแนน คุณคลิก "ใช่" หากคุณชอบสุนัขและพบว่ามันเป็นสุนัขที่ดีที่สุดในสายพันธุ์นี้หรือไม่ ดังนั้น คุณได้โหวตให้สุนัขหลายร้อยตัวที่โพสต์บนเว็บไซต์เป็นผู้สมัครชิงรางวัลในรายการนี้
ด้วยวิธีการลงคะแนนนี้ สามารถโกงได้ 3 ประเภท อย่างแรกคือการลงคะแนนนับครั้งไม่ถ้วน ซึ่งคุณลงคะแนนให้สุนัขตัวเดิมซ้ำแล้วซ้ำอีก มันง่ายมาก วิธีที่สองคือการลงคะแนนแบบหลายรายการในเชิงลบ ซึ่งคุณลงคะแนนเป็นจำนวนมากกับสุนัขคู่แข่ง วิธีที่สามคือในนาทีสุดท้ายของการแข่งขัน คุณเข้าร่วมการแข่งขันสุนัขตัวใหม่ โหวตให้มัน ดังนั้นโอกาสที่จะได้รับการโหวตเชิงลบจึงน้อยมาก และคุณชนะด้วยการได้รับคะแนนบวก 100%
ยิ่งไปกว่านั้น ชัยชนะถูกกำหนดเป็นเปอร์เซ็นต์ ไม่ใช่จากจำนวนโหวตทั้งหมด นั่นคือคุณไม่สามารถระบุได้ว่าสุนัขตัวใดทำคะแนนบวกได้สูงสุด มีเพียงเปอร์เซ็นต์ของคะแนนบวกและลบสำหรับสุนัขตัวใดตัวหนึ่งเท่านั้น คำนวณ สุนัขที่มีอัตราส่วนคะแนนบวก/ลบดีที่สุดชนะ
เพื่อนของเพื่อนร่วมงาน Robert "RSnake" Hansen ขอให้เขาช่วยชิวาว่าไทนี่ของเธอชนะการแข่งขัน คุณรู้จักโรเบิร์ต เขามาจากออสติน เขาเหมือนกับแฮ็กเกอร์ระดับสุดยอด เขาปิด Burp proxy และเดินไปตามเส้นทางที่มีผู้ต่อต้านน้อยที่สุด เขาใช้เทคนิคการโกงอันดับ 1 วิ่งผ่านรอบเรอสำหรับคำขอไม่กี่ร้อยหรือพันครั้ง และทำให้สุนัขได้รับการโหวตเพิ่มขึ้น 2000 ครั้งและทำให้เขาอยู่ในอันดับที่ 1
จากนั้นเขาก็ใช้ Cheat Technique #2 กับ Chuchu คู่แข่งของ Tiny ในนาทีสุดท้ายของการแข่งขัน เขายื่นคะแนน 450 โหวตต่อ Chuchu ซึ่งทำให้ตำแหน่งของ Tiny แข็งแกร่งขึ้นในอันดับที่ 1 ด้วยอัตราส่วนการโหวตมากกว่า 2:1 แต่ในแง่ของเปอร์เซ็นต์ของคำวิจารณ์เชิงบวกและเชิงลบ Tiny ยังคงแพ้ ในสไลด์นี้ คุณจะได้เห็นโฉมหน้าใหม่ของอาชญากรไซเบอร์ที่ท้อใจกับผลลัพธ์นี้
ใช่มันเป็นสถานการณ์ที่น่าสนใจ แต่ฉันคิดว่าแฟนสาวไม่ชอบการแสดงนี้ คุณแค่ต้องการชนะการแข่งขันชิวาวาในออสติน แต่มีบางคนที่พยายาม "แฮ็ก" คุณและทำเช่นเดียวกัน ตอนนี้ฉันกำลังส่งมอบให้กับ Trey
สร้างความต้องการเทียมและสร้างรายได้จากมัน
เทรย์ ฟอร์ด: แนวคิดของ "การขาดแคลน DoS เทียม" หมายถึงสถานการณ์ที่น่าสนใจหลายอย่างเมื่อเราซื้อตั๋วออนไลน์ ตัวอย่างเช่น เมื่อจองที่นั่งพิเศษในเที่ยวบิน สามารถใช้กับตั๋วประเภทใดก็ได้ เช่น การแข่งขันกีฬาหรือคอนเสิร์ต
เพื่อป้องกันการซื้อซ้ำของสินค้าที่หายาก เช่น ที่นั่งบนเครื่องบิน สิ่งของที่จับต้องได้ ชื่อผู้ใช้ ฯลฯ แอปพลิเคชันจะล็อกวัตถุเป็นระยะเวลาหนึ่งเพื่อป้องกันความขัดแย้ง และที่นี่มีช่องโหว่ที่เกี่ยวข้องกับความสามารถในการจองล่วงหน้า
เราทุกคนรู้เกี่ยวกับการหมดเวลา เราทุกคนรู้เกี่ยวกับการสิ้นสุดเซสชัน แต่ข้อบกพร่องเชิงตรรกะนี้ทำให้เราสามารถเลือกที่นั่งบนเที่ยวบินแล้วกลับมาเลือกใหม่ได้โดยไม่ต้องจ่ายอะไรเลย แน่นอนว่าพวกคุณหลายคนมักเดินทางเพื่อทำธุรกิจ แต่สำหรับฉันแล้ว นี่เป็นส่วนสำคัญของการทำงาน เราได้ทดสอบอัลกอริทึมนี้ในหลายแห่ง: คุณเลือกเที่ยวบิน เลือกที่นั่ง และหลังจากที่คุณพร้อมแล้ว ให้ป้อนข้อมูลการเรียกเก็บเงินของคุณ นั่นคือหลังจากที่คุณเลือกที่นั่งแล้ว ที่นั่งจะถูกจองไว้ให้คุณในช่วงระยะเวลาหนึ่ง ตั้งแต่หลายนาทีจนถึงหลายชั่วโมง และตลอดเวลานี้จะไม่มีใครสามารถจองที่นั่งนี้ได้ เนื่องจากช่วงเวลารอนี้ คุณมีโอกาสอย่างแท้จริงที่จะจองที่นั่งทั้งหมดบนเครื่องบิน เพียงแค่กลับไปที่เว็บไซต์และจองที่นั่งที่คุณต้องการ
ดังนั้น รูปแบบของการโจมตี DoS จึงปรากฏขึ้น: ทำซ้ำวงจรนี้โดยอัตโนมัติสำหรับแต่ละที่นั่งบนเครื่องบิน
เราได้ทดสอบสิ่งนี้กับสายการบินหลักอย่างน้อยสองแห่ง คุณสามารถพบช่องโหว่เดียวกันนี้ได้กับการจองอื่นๆ นี่เป็นโอกาสที่ดีในการขึ้นราคาตั๋วของคุณสำหรับผู้ที่ต้องการขายต่อ ในการทำเช่นนี้ นักเก็งกำไรเพียงแค่ต้องจองตั๋วส่วนที่เหลือโดยไม่ต้องเสี่ยงกับการสูญเสียทางการเงิน ดังนั้น คุณจึงสามารถ "พัง" อีคอมเมิร์ซที่ขายสินค้าที่มีความต้องการสูงได้ เช่น วิดีโอเกม เกมคอนโซล ไอโฟน และอื่นๆ นั่นคือการขาดระบบการจองหรือการจองออนไลน์ที่มีอยู่ทำให้ผู้โจมตีสามารถสร้างรายได้จากสิ่งนี้หรือสร้างความเสียหายให้กับคู่แข่ง
ถอดรหัสแคปต์ชา
เจเรมี กรอสแมน: ตอนนี้เรามาพูดถึงแคปต์ชากัน ทุกคนคงรู้จักภาพที่น่ารำคาญเหล่านี้ซึ่งเกลื่อนอินเทอร์เน็ตและใช้เพื่อต่อสู้กับสแปม คุณยังสามารถทำกำไรจาก captcha ได้อีกด้วย Captcha เป็นการทดสอบทัวริงอัตโนมัติเต็มรูปแบบที่ช่วยให้คุณแยกแยะความแตกต่างระหว่างคนจริงและบอท ฉันค้นพบสิ่งที่น่าสนใจมากมายในขณะที่ศึกษาปัญหาการใช้แคปต์ชา
Captcha เริ่มใช้ครั้งแรกในช่วงปี 2000-2001 นักส่งสแปมต้องการล้าง captcha เพื่อสมัครบริการอีเมลฟรี เช่น Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook เป็นต้น และส่งสแปม เนื่องจากมีการใช้แคปต์ชาอย่างแพร่หลาย ตลาดบริการทั้งหมดจึงได้เสนอข้อเสนอเพื่อหลีกเลี่ยงแคปต์ชาที่แพร่หลาย ท้ายที่สุด สิ่งนี้นำมาซึ่งผลกำไร ตัวอย่างเช่น การสแปม มี 3 วิธีในการเลี่ยงแคปต์ชา มาดูกัน
ประการแรกคือข้อบกพร่องในการนำแนวคิดไปใช้ หรือข้อบกพร่องในการใช้แคปต์ชา
ดังนั้น คำตอบของคำถามจึงมีเอนโทรปีน้อยเกินไป เช่น "เขียนว่า 4 + 1 เท่ากับอะไร" คำถามเดียวกันสามารถทำซ้ำได้หลายครั้ง ในขณะที่ช่วงของคำตอบที่เป็นไปได้ค่อนข้างน้อย
ตรวจสอบประสิทธิภาพของ captcha ด้วยวิธีต่อไปนี้:
- การทดสอบควรดำเนินการในสภาวะที่บุคคลและเซิร์ฟเวอร์อยู่ห่างจากกัน
การทดสอบไม่ควรยากสำหรับบุคคลนั้น - คำถามควรเป็นแบบที่บุคคลสามารถตอบได้ภายในไม่กี่วินาที
เฉพาะบุคคลที่ถามคำถามเท่านั้นที่ควรตอบ - คำตอบสำหรับคำถามจะต้องยากสำหรับคอมพิวเตอร์
- ความรู้เกี่ยวกับคำถาม คำตอบก่อนหน้า หรือการผสมผสานของคำถามเหล่านี้ไม่ควรส่งผลต่อความสามารถในการคาดการณ์ของการทดสอบครั้งต่อไป
- การทดสอบจะต้องไม่เลือกปฏิบัติต่อบุคคลที่มีความบกพร่องทางการเห็นหรือการได้ยิน
- แบบทดสอบไม่ควรมีอคติทางภูมิศาสตร์ วัฒนธรรม หรือภาษาศาสตร์
ปรากฎว่าการสร้าง captcha ที่ "ถูกต้อง" นั้นค่อนข้างยาก
ข้อเสียประการที่สองของ captcha คือความเป็นไปได้ในการใช้ OCR การรู้จำอักขระด้วยแสง โค้ดชิ้นหนึ่งสามารถอ่านภาพแคปต์ชาได้ไม่ว่าจะมีสัญญาณรบกวนภาพมากน้อยเพียงใด ดูว่าตัวอักษรหรือตัวเลขใดประกอบกัน และทำให้กระบวนการจดจำเป็นไปโดยอัตโนมัติ จากการศึกษาพบว่าแคปต์ชาส่วนใหญ่สามารถแคร็กได้ง่าย
ฉันจะอ้างอิงผู้เชี่ยวชาญจาก School of Computer Science ที่ Newcastle University สหราชอาณาจักร เกี่ยวกับความง่ายในการแคร็กแคปต์ชาของ Microsoft พวกเขากล่าวว่า: “การโจมตีของเราสามารถบรรลุอัตราความสำเร็จในการแบ่งเซ็กเมนต์ที่ 92% ซึ่งหมายความว่าโครงร่างแคปต์ชาของ MSN สามารถแคร็กได้ใน 60% ของกรณีโดยการแบ่งส่วนรูปภาพ จากนั้นจดจำมัน ” เช่นเดียวกับการแคร็กแคปต์ชาของ Yahoo ที่ง่ายพอๆ กัน: “การโจมตีครั้งที่สองของเราประสบความสำเร็จในการแบ่งกลุ่มที่ 33,4% ดังนั้นแคปต์ชาประมาณ 25,9% จึงสามารถแตกได้ การวิจัยของเราแสดงให้เห็นว่านักส่งสแปมไม่ควรใช้แรงงานคนราคาถูกเพื่อหลีกเลี่ยงแคปต์ชาของ Yahoo แต่ควรพึ่งพาการโจมตีอัตโนมัติที่มีต้นทุนต่ำ"
วิธีที่สามในการข้าม captcha เรียกว่า "Mechanical Turk" หรือ "Turk" เราทดสอบกับ Yahoo captcha ทันทีหลังจากเผยแพร่ และจนถึงทุกวันนี้เรายังไม่รู้และไม่มีใครรู้วิธีป้องกันการโจมตีดังกล่าว
นี่เป็นกรณีที่คุณมีคนร้ายที่จะเรียกใช้ไซต์ "สำหรับผู้ใหญ่" หรือเกมออนไลน์ที่ผู้ใช้ร้องขอเนื้อหาบางอย่าง ก่อนที่พวกเขาจะเห็นภาพถัดไป ไซต์ที่แฮ็กเกอร์เป็นเจ้าของจะส่งคำขอแบ็คเอนด์ไปยังระบบออนไลน์ที่คุณรู้จัก เช่น Yahoo หรือ Google คว้าแคปต์ชาจากที่นั่นและมอบให้กับผู้ใช้ และทันทีที่ผู้ใช้ตอบคำถาม แฮ็กเกอร์จะส่ง captcha ที่คาดเดาไปยังไซต์เป้าหมายและแสดงรูปภาพที่ขอจากไซต์ของตนให้ผู้ใช้เห็น หากคุณมีไซต์ยอดนิยมที่มีเนื้อหาที่น่าสนใจมากมาย คุณสามารถระดมคนทั้งกองทัพที่จะเติมแคปต์ชาของคนอื่นให้คุณโดยอัตโนมัติ นี่เป็นสิ่งที่ทรงพลังมาก
อย่างไรก็ตาม ไม่เพียงแต่ผู้คนเท่านั้นที่พยายามหลีกเลี่ยงแคปต์ชา ธุรกิจก็ใช้เทคนิคนี้เช่นกัน Robert "RSnake" Hansen ในบล็อกของเขาเคยพูดคุยกับ "ผู้แก้ captcha" ชาวโรมาเนีย ซึ่งกล่าวว่าเขาสามารถแก้ captcha ได้ 300 ถึง 500 ต่อชั่วโมง ในอัตรา 9 ถึง 15 ดอลลาร์ต่อหนึ่งพัน captcha ที่แก้ได้
เขาบอกตามตรงว่าสมาชิกในทีมของเขาทำงาน 12 ชั่วโมงต่อวัน แก้แคปต์ชาประมาณ 4800 รายการในช่วงเวลานี้ และขึ้นอยู่กับความยากง่ายของแคปต์ชา พวกเขาจะได้รับเงินมากถึง 50 ดอลลาร์ต่อวันสำหรับการทำงานของพวกเขา นี่เป็นโพสต์ที่น่าสนใจ แต่ที่น่าสนใจยิ่งกว่าคือความคิดเห็นที่ผู้ใช้บล็อกทิ้งไว้ใต้โพสต์นี้ ทันใดนั้นก็มีข้อความจากเวียดนาม ซึ่งกวางฮุงคนหนึ่งรายงานเกี่ยวกับกลุ่มคน 20 คนของเขา ซึ่งตกลงที่จะทำงานในราคา 4 ดอลลาร์ต่อ 1000 แคปต์ชาที่แก้ไขได้
ข้อความถัดไปมาจากบังกลาเทศ: “สวัสดี! ฉันหวังว่าคุณจะไม่เป็นไร! เราเป็นบริษัทแปรรูปชั้นนำจากประเทศบังคลาเทศ ปัจจุบัน ผู้ประกอบการ 30 รายของเราสามารถแก้ไขแคปต์ชาได้มากกว่า 100000 รายการต่อวัน เราเสนอเงื่อนไขที่ยอดเยี่ยมและอัตราที่ต่ำ - $2 ต่อ 1000 แคปต์ชาจาก Yahoo, Hotmail, Mayspace, Gmail, Facebook และอื่นๆ เราหวังว่าจะได้รับความร่วมมือเพิ่มเติม"
Babu ส่งข้อความที่น่าสนใจอีกข้อความหนึ่ง: "ฉันสนใจงานนี้ โปรดโทรหาฉัน"
มันค่อนข้างน่าสนใจ เราสามารถพูดคุยกันว่ากิจกรรมดังกล่าวถูกกฎหมายหรือผิดกฎหมายอย่างไร แต่ความจริงก็คือผู้คนทำเงินจากกิจกรรมนั้นจริงๆ
การเข้าถึงบัญชีของผู้อื่น
เทรย์ ฟอร์ด: สถานการณ์ต่อไปที่เราจะพูดถึงคือการสร้างรายได้โดยการครอบครองบัญชีของคนอื่น
ทุกคนลืมรหัสผ่าน และสำหรับการทดสอบความปลอดภัยของแอปพลิเคชัน การรีเซ็ตรหัสผ่านและการลงทะเบียนออนไลน์เป็นสองกระบวนการทางธุรกิจที่มีจุดมุ่งหมายที่แตกต่างกัน มีช่องว่างขนาดใหญ่ระหว่างความง่ายในการรีเซ็ตรหัสผ่านและความง่ายในการลงทะเบียน ดังนั้นคุณควรพยายามทำให้กระบวนการรีเซ็ตรหัสผ่านง่ายที่สุดเท่าที่จะเป็นไปได้ แต่ถ้าเราพยายามทำให้ง่ายขึ้น แสดงว่ามีปัญหา เพราะยิ่งรีเซ็ตรหัสผ่านง่ายเท่าไหร่ ความปลอดภัยก็จะยิ่งน้อยลงเท่านั้น
หนึ่งในกรณีที่อื้อฉาวที่สุดเกี่ยวข้องกับการลงทะเบียนออนไลน์โดยใช้บริการตรวจสอบผู้ใช้ของ Sprint สมาชิกสองคนของทีม White Hat ใช้ Sprint เพื่อลงทะเบียนออนไลน์ มีสองสิ่งที่คุณต้องยืนยันเพื่อพิสูจน์ว่าคุณเป็นคุณ โดยเริ่มจากสิ่งง่ายๆ เช่น หมายเลขโทรศัพท์มือถือของคุณ คุณต้องลงทะเบียนออนไลน์เพื่อทำสิ่งต่างๆ เช่น การจัดการบัญชีธนาคาร การชำระค่าบริการ และอื่นๆ การซื้อโทรศัพท์นั้นสะดวกมากหากคุณสามารถทำได้จากบัญชีของผู้อื่น จากนั้นทำการซื้อและอีกมากมาย หนึ่งในกลโกงคือการเปลี่ยนที่อยู่สำหรับการเรียกเก็บเงิน สั่งโทรศัพท์มือถือจำนวนมากให้ส่งไปยังที่อยู่ของคุณ และเหยื่อจะถูกบังคับให้ชำระเงิน พวกคลั่งไคล้สะกดรอยฝันถึงโอกาสเช่นนี้: เพิ่มฟังก์ชั่นติดตาม GPS ลงในโทรศัพท์ของเหยื่อและติดตามทุกการเคลื่อนไหวจากคอมพิวเตอร์เครื่องใดก็ได้
ดังนั้น Sprint จึงเสนอคำถามที่ง่ายที่สุดเพื่อยืนยันตัวตนของคุณ ดังที่เราทราบ การรักษาความปลอดภัยสามารถจัดหาได้จากเอนโทรปีที่หลากหลายมากหรือโดยคำถามที่มีความเชี่ยวชาญสูง ฉันจะอ่านคุณส่วนหนึ่งของขั้นตอนการลงทะเบียน Sprint เนื่องจากค่าเอนโทรปีต่ำมาก ตัวอย่างเช่น มีคำถามดังนี้: “เลือกยี่ห้อรถที่ลงทะเบียนตามที่อยู่ต่อไปนี้” และตัวเลือกยี่ห้อจะได้รับ: Lotus, Honda, Lamborghini, Fiat และ “ไม่มีข้อใดเลย” บอกฉันทีว่าพวกคุณคนไหนมีสิ่งเหล่านี้บ้าง? อย่างที่คุณเห็น ปริศนาที่ยากนี้เป็นโอกาสที่ดีสำหรับนักศึกษาในการซื้อโทรศัพท์ราคาถูก
คำถามที่สองคือ: “บุคคลใดในรายชื่อนี้อาศัยอยู่กับคุณหรืออาศัยอยู่ตามที่อยู่ด้านล่างนี้”? เป็นเรื่องง่ายมากที่จะตอบคำถามนี้ แม้ว่าคุณจะไม่รู้จักบุคคลนั้นเลยก็ตาม Jerry Stifliin - นามสกุลนี้มีสาม "ays" เราจะไปที่ที่สอง - Ralph Argen, Jerome Ponicki และ John Pace สิ่งที่น่าสนใจเกี่ยวกับการแจงนับนี้คือชื่อสุ่มทั้งหมด และทั้งหมดเป็นไปตามรูปแบบเดียวกัน หากคุณคำนวณแล้วจะไม่ยากที่จะระบุชื่อจริงเพราะมันแตกต่างจากชื่อที่สุ่มเลือกตามลักษณะบางอย่าง ในกรณีนี้ ตัวอักษร "i" สามตัว ดังนั้น Styflyin จึงไม่ใช่ชื่อสุ่ม และคาดเดาได้ง่าย คนๆ นี้คือเป้าหมายของคุณ มันง่ายมาก
คำถามที่สาม: “เมืองใดต่อไปนี้ที่คุณไม่เคยอาศัยอยู่หรือเคยใช้เมืองนี้ในที่อยู่ของคุณ” - Longmont, North Hollywood, Genoa หรือ Butte? เรามีพื้นที่ที่มีประชากรหนาแน่นสามแห่งรอบๆ วอชิงตัน ดังนั้นคำตอบจึงชัดเจน นั่นคือที่นอร์ธฮอลลีวูด
มีสองสิ่งเกี่ยวกับการเช็คอินออนไลน์ของ Sprint ที่คุณต้องระมัดระวัง อย่างที่ฉันได้กล่าวไปก่อนหน้านี้ คุณอาจได้รับอันตรายร้ายแรงหากผู้โจมตีสามารถเปลี่ยนที่อยู่ในการจัดส่งสำหรับการซื้อสินค้าในข้อมูลการเรียกเก็บเงินของคุณได้ สิ่งที่น่ากลัวจริงๆ คือเรามีบริการ Mobile Locator
คุณสามารถติดตามความเคลื่อนไหวของพนักงานได้ เนื่องจากผู้คนใช้โทรศัพท์มือถือและ GPS และคุณสามารถดูตำแหน่งที่พวกเขาอยู่บนแผนที่ได้ ดังนั้น ในกระบวนการนี้ สิ่งที่น่าสนใจอื่นๆ จึงเกิดขึ้น
ดังที่คุณทราบ เมื่อรีเซ็ตรหัสผ่าน ที่อยู่อีเมลจะมีอำนาจเหนือวิธีการยืนยันผู้ใช้และคำถามลับอื่นๆ ในสไลด์ถัดไป มีบริการมากมายที่เสนอให้ระบุที่อยู่อีเมลหากผู้ใช้ประสบปัญหาในการเข้าสู่ระบบบัญชีของตน
เราทราบดีว่าคนส่วนใหญ่ใช้อีเมลและมีบัญชีอีเมล ทันใดนั้นผู้คนต้องการหาวิธีสร้างรายได้จากมัน คุณจะรู้ที่อยู่อีเมลของเหยื่อเสมอ ป้อนลงในแบบฟอร์ม และคุณจะมีโอกาสรีเซ็ตรหัสผ่านสำหรับบัญชีที่คุณต้องการจัดการ จากนั้นคุณใช้มันบนเครือข่ายของคุณ และกล่องจดหมายนี้จะกลายเป็นห้องนิรภัยทองคำของคุณ ซึ่งเป็นสถานที่หลักที่คุณสามารถขโมยบัญชีอื่น ๆ ทั้งหมดของเหยื่อได้ คุณจะได้รับการสมัครสมาชิกทั้งหมดของเหยื่อโดยครอบครองกล่องจดหมายเพียงกล่องเดียว หยุดยิ้ม นี่มันจริงจัง!
สไลด์ถัดไปแสดงจำนวนผู้คนหลายล้านคนที่ใช้บริการอีเมลที่เกี่ยวข้อง ผู้คนใช้ Gmail, Yahoo Mail, Hotmail, AOL Mail อย่างแข็งขัน แต่คุณไม่จำเป็นต้องเป็นแฮ็กเกอร์ขั้นสูงเพื่อครอบครองบัญชีของพวกเขา คุณสามารถดูแลมือของคุณให้สะอาดได้ด้วยการจ้างบุคคลภายนอก คุณสามารถพูดได้เสมอว่าไม่มีอะไรเกี่ยวข้องกับมัน คุณไม่ได้ทำอะไรแบบนั้น
ดังนั้นในประเทศจีนจึงใช้บริการออนไลน์ "การกู้คืนรหัสผ่าน" ซึ่งคุณจ่ายเงินเพื่อให้แฮ็คเข้าสู่บัญชี "ของคุณ" สำหรับ 300 หยวน ซึ่งประมาณ 43 ดอลลาร์ คุณสามารถลองรีเซ็ตรหัสผ่านของกล่องจดหมายต่างประเทศโดยมีอัตราความสำเร็จ 85% ในราคา 200 หยวนหรือ 29 ดอลลาร์ คุณจะมีอัตราความสำเร็จ 90% ในการรีเซ็ตรหัสผ่านกล่องจดหมายของบริการอีเมลที่บ้าน เงินหนึ่งพันหยวนหรือ $143 นั้นคุ้มค่าที่จะแฮ็กเข้าไปในกล่องจดหมายของบริษัทใดๆ ก็ตาม แต่ไม่รับประกันว่าจะประสบความสำเร็จ คุณยังสามารถใช้การถอดรหัสรหัสผ่านจากภายนอกได้ที่ 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN เป็นต้น
การประชุมของ BLACK HAT USA รวยหรือตาย: สร้างรายได้ออนไลน์ด้วยวิธี Black Hat ตอนที่ 2 (ลิงค์จะมาในวันพรุ่งนี้)
โฆษณาบางส่วน🙂
ขอบคุณที่อยู่กับเรา คุณชอบบทความของเราหรือไม่? ต้องการดูเนื้อหาที่น่าสนใจเพิ่มเติมหรือไม่ สนับสนุนเราโดยการสั่งซื้อหรือแนะนำให้เพื่อน , ส่วนลด 30% สำหรับผู้ใช้ Habr ในอะนาล็อกที่ไม่ซ้ำใครของเซิร์ฟเวอร์ระดับเริ่มต้น ซึ่งเราคิดค้นขึ้นเพื่อคุณ: (ใช้ได้กับ RAID1 และ RAID10 สูงสุด 24 คอร์ และสูงสุด 40GB DDR4)
Dell R730xd ถูกกว่า 2 เท่า? ที่นี่ที่เดียวเท่านั้น ในเนเธอร์แลนด์! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - จาก $99! อ่านเกี่ยวกับ
ที่มา: will.com