Humantong: mga kababaihan at mga ginoo, ang pag-uusap na ito ay napaka nakakatawa at napaka-interesante, ngayon ay pag-uusapan natin ang tungkol sa mga totoong bagay na sinusunod sa Internet. Ang pag-uusap na ito ay medyo naiiba sa mga nakasanayan natin sa mga kumperensya ng Black Hat dahil pag-uusapan natin kung paano kumikita ang mga umaatake mula sa kanilang mga pag-atake.
Magpapakita kami sa iyo ng ilang kawili-wiling pag-atake na maaaring kumita, at sasabihin sa iyo ang tungkol sa mga pag-atake na aktwal na naganap noong gabing pumunta kami sa Jägermeister at nag-brainstorm. Masaya ito, ngunit nang medyo huminahon kami, nakipag-usap kami sa mga taong SEO at talagang nalaman namin na maraming tao ang kumikita mula sa mga pag-atakeng ito.
Isa lang akong walang utak na middle manager, kaya ibibigay ko na ang upuan ko at ipapakilala ko sa inyo si Jeremy at Trey, na mas matalino sa akin. Dapat ay mayroon akong matalino at nakakatuwang pagpapakilala, ngunit hindi, kaya sa halip ay ipapakita ko ang mga slide na ito.
Ang mga slide na nagpapakita kina Jeremy Grossman at Trey Ford ay ipinapakita sa screen.
Si Jeremy Grossman ay ang tagapagtatag at punong opisyal ng teknolohiya ng WhiteHat Security, na pinangalanang isa sa nangungunang 2007 CTO ng InfoWorld noong 25, co-founder ng Web Application Security Consortium, at co-author ng cross-site scripting attacks.
Si Trey Ford ay ang Direktor ng Architectural Solutions sa WhiteHat Security, na may 6 na taong karanasan bilang consultant ng seguridad para sa Fortune 500 na kumpanya at isa sa mga developer ng PCI DSS payment card data security standard.
Sa tingin ko ang mga larawang ito ay bumubuo sa aking kawalan ng katatawanan. Sa anumang kaso, sana ay masiyahan ka sa kanilang presentasyon at pagkatapos ay maunawaan kung paano ginagamit ang mga pag-atake na ito sa Internet upang kumita ng pera.
Jeremy Grossman: Magandang hapon, salamat sa lahat ng pumunta. Ito ay magiging isang napakasayang pag-uusap, kahit na hindi ka makakakita ng mga zero-day na pag-atake o mga cool na bagong teknolohiya. Susubukan lang naming gawin itong nakakaaliw at pag-usapan ang mga totoong bagay na nangyayari araw-araw na nagpapahintulot sa mga masasamang tao na kumita ng maraming pera.
Hindi namin sinusubukan na humanga sa iyo sa kung ano ang ipinapakita sa slide na ito, ngunit ipaliwanag lamang kung ano ang ginagawa ng aming kumpanya. Kaya, ang White Hat Sentinel, o "Guardian White Hat" ay:
- walang limitasyong bilang ng mga pagtatasa – kontrol at ekspertong pamamahala ng mga site ng kliyente, ang kakayahang mag-scan ng mga site anuman ang kanilang laki at dalas ng mga pagbabago;
- malawak na saklaw ng saklaw - awtorisadong pag-scan ng mga site upang makita ang mga teknikal na kahinaan at pagsubok ng user upang matukoy ang mga lohikal na error sa mga natuklasang lugar ng negosyo;
- pag-aalis ng mga maling positibo – sinusuri ng aming operational team ang mga resulta at nagtatalaga ng naaangkop na rating ng kalubhaan at pagbabanta;
- pagbuo at kontrol sa kalidad - ang sistema ng WhiteHat Satellite Appliance ay nagbibigay-daan sa amin na malayuang magserbisyo sa mga system ng kliyente sa pamamagitan ng pag-access sa panloob na network;
- pagpapabuti at pagpapabuti - nagbibigay-daan sa iyo ang makatotohanang pag-scan na mabilis at mahusay na i-update ang system.
Kaya, ina-audit namin ang bawat site sa mundo, mayroon kaming pinakamalaking pangkat ng mga web application pentester, gumagawa kami ng 600-700 na pagsusuri bawat linggo, at lahat ng data na makikita mo sa presentasyong ito ay nagmula sa aming karanasan sa paggawa ng ganitong uri ng trabaho .
Sa susunod na slide makikita mo ang 10 pinakakaraniwang uri ng pag-atake sa mga pandaigdigang website. Ipinapakita nito ang porsyento ng kahinaan sa ilang partikular na pag-atake. Tulad ng nakikita mo, 65% ng lahat ng mga site ay mahina sa cross-site na scripting, 40% ay nagbibigay-daan sa pagtagas ng impormasyon, at 23% ay mahina sa panggagaya ng nilalaman. Bilang karagdagan sa cross-site na scripting, ang mga SQL injection at ang kilalang cross-site na pamemeke sa kahilingan, na hindi kasama sa aming nangungunang sampung, ay karaniwan. Ngunit ang listahang ito ay naglalaman ng mga pag-atake na may mga esoteric na pangalan, na inilalarawan gamit ang hindi malinaw na wika at ang pagiging tiyak nito ay ang mga ito ay nakadirekta laban sa ilang mga kumpanya.
Ito ay mga bahid sa pagpapatotoo, mga bahid sa proseso ng awtorisasyon, mga paglabas ng impormasyon, at iba pa.
Ang susunod na slide ay nagsasalita tungkol sa mga pag-atake sa lohika ng negosyo. Ang mga pangkat ng QA na kasangkot sa pagtiyak ng kalidad ay karaniwang hindi binibigyang pansin ang mga ito. Sinusubukan nila kung ano ang dapat gawin ng software, hindi kung ano ang magagawa nito, at pagkatapos ay makikita mo ang anumang gusto mo. Ang mga scanner, lahat ng Puti/Itim/Grey na Kahon na ito, lahat ng maraming kulay na kahon na ito ay hindi nakakakita ng mga bagay na ito sa karamihan ng mga kaso, dahil ang mga ito ay nakatutok lamang sa konteksto ng kung ano ang maaaring mangyari sa pag-atake o kung ano ang katulad na mangyayari kapag nangyari ito. Kulang sila sa katalinuhan at hindi nila alam kung ang anumang bagay ay gumana o hindi.
Ang parehong napupunta para sa mga IDS at WAF application firewall, na nabigo ring makita ang mga bahid ng lohika ng negosyo dahil ang mga kahilingan sa HTTP ay mukhang ganap na normal. Ipapakita namin sa iyo na ang mga pag-atake na may kaugnayan sa mga bahid ng lohika ng negosyo ay ganap na natural, walang mga hacker, walang metacharacter o iba pang mga kakaiba, ang mga ito ay mukhang natural na nagaganap na mga proseso. Ang pangunahing bagay ay ang mga masasamang tao ay gustung-gusto ang mga bagay na ito dahil ang mga bahid sa lohika ng negosyo ay kumikita sa kanila. Gumagamit sila ng XSS, SQL, CSRF, ngunit ang mga ganitong uri ng pag-atake ay lalong nagiging mahirap na isagawa, at nakita namin na bumaba ang mga ito sa nakalipas na 3-5 taon. Ngunit hindi sila mawawala nang mag-isa, tulad ng buffer overflow na hindi mawawala. Gayunpaman, ang mga masasamang tao ay nag-iisip tungkol sa kung paano gumamit ng mas sopistikadong pag-atake dahil naniniwala sila na ang "mga tunay na masasamang tao" ay palaging naghahanap upang kumita ng pera mula sa kanilang mga pag-atake.
Gusto kong ipakita sa iyo ang mga totoong trick na maaari mong gawin at gamitin ang mga ito sa tamang paraan upang maprotektahan ang iyong negosyo. Ang isa pang layunin ng aming pagtatanghal ay maaaring ikaw ay nagtataka tungkol sa etika.
Mga online na botohan at pagboto
Kaya, upang simulan ang aming pagtalakay sa mga pagkukulang ng lohika ng negosyo, pag-usapan natin ang tungkol sa mga online na survey. Ang mga online na botohan ay ang pinakakaraniwang paraan upang malaman o maimpluwensyahan ang opinyon ng publiko. Magsisimula tayo sa isang tubo na $0 at pagkatapos ay titingnan ang kinalabasan ng 5, 6, 7 buwan ng mga mapanlinlang na pamamaraan. Magsimula tayo sa paggawa ng napakasimpleng survey. Alam mo na ang bawat bagong website, bawat blog, bawat portal ng balita ay nagsasagawa ng mga online na survey. Iyon ay sinabi, walang angkop na lugar na masyadong malaki o masyadong makitid, ngunit gusto naming makita ang opinyon ng publiko sa mga partikular na lugar.
Gusto kong itawag ang iyong pansin sa isang survey na isinagawa sa Austin, Texas. Dahil nanalo ang Austin beagle sa Westminster Dog Show, nagpasya ang Austin American Statesman na magsagawa ng online na Austin's Best in Show poll para sa mga may-ari ng aso sa Central Texas. Libu-libong mga may-ari ang nagsumite ng mga larawan at bumoto para sa kanilang mga paborito. Tulad ng napakaraming iba pang mga survey, walang premyo maliban sa mga karapatan sa pagyayabang para sa iyong alagang hayop.
Isang Web 2.0 system application ang ginamit para sa pagboto. Nag-click ka ng "oo" kung nagustuhan mo ang aso at nalaman kung ito ang pinakamahusay na aso sa lahi o hindi. Kaya bumoto ka sa ilang daang aso na naka-post sa site bilang mga kandidato para sa nanalo ng palabas.
Sa ganitong paraan ng pagboto, 3 uri ng pandaraya ang posible. Ang una ay ang walang katapusang boto, kung saan bumoto ka para sa parehong aso nang paulit-ulit. Ito ay napaka-simple. Ang pangalawang paraan ay negatibong maramihang pagboto, kung saan bumoto ka ng napakaraming beses laban sa isang nakikipagkumpitensyang aso. Ang pangatlong paraan ay, literal sa huling minuto ng kumpetisyon, naglagay ka ng bagong aso, bumoto para dito, upang ang posibilidad na makatanggap ng mga negatibong boto ay minimal, at nanalo ka sa pamamagitan ng pagtanggap ng 100% na positibong mga boto.
Bukod dito, ang tagumpay ay tinukoy bilang isang porsyento, at hindi sa kabuuang bilang ng mga boto, iyon ay, hindi mo matukoy kung aling aso ang nakatanggap ng maximum na bilang ng mga positibong rating, tanging ang porsyento ng positibo at negatibong mga rating para sa isang partikular na aso ang kinakalkula. . Nanalo ang asong may pinakamagandang ratio ng positibo/negatibong marka.
Ang kasamahan na si Robert "RSnake" Hansen ay humiling sa kanya na tulungan ang kanyang Chihuahua Tiny na manalo sa isang kompetisyon. Alam mo si Robert, taga-Austin siya. Siya, tulad ng isang sobrang hacker, ay inayos ang Burp proxy at sinundan ang landas ng hindi bababa sa pagtutol. Gumamit siya ng diskarteng panloloko #1, pinatakbo ito sa pamamagitan ng Burp loop ng ilang daan o libong kahilingan, at nagdala ito ng 2000 upvotes sa aso at dinala siya sa 1st place.
Sumunod, gumamit siya ng cheating technique No. 2 laban sa katunggali ni Tiny, na binansagang Chuchu. Sa mga huling minuto ng kompetisyon, bumoto siya ng 450 na boto laban kay Chuchu, na lalong nagpalakas sa posisyon ni Tiny sa 1st place na may vote ratio na higit sa 2:1, ngunit sa mga tuntunin ng porsyento ng mga positibo at negatibong pagsusuri, natalo pa rin si Tiny. Sa slide na ito makikita mo ang bagong mukha ng isang cybercriminal, na nasiraan ng loob dahil sa resultang ito.
Oo, ito ay isang kawili-wiling senaryo, ngunit sa palagay ko ay hindi nagustuhan ng aking kaibigan ang pagganap na ito. Gusto mo lang manalo sa kumpetisyon ng Chihuahua sa Austin, ngunit may isang taong sumubok na i-hack ka at gawin ang parehong bagay. Well, ngayon ko ibinaling ang tawag kay Trey.
Paglikha ng artipisyal na demand at paggawa ng pera dito
Trey Ford: Ang konsepto ng "artipisyal na DoS" ay tumutukoy sa ilang iba't ibang kawili-wiling mga sitwasyon kapag bumili kami ng mga tiket online. Halimbawa, kapag nagpareserba ng isang espesyal na upuan sa isang flight. Maaari itong malapat sa anumang uri ng tiket, tulad ng isang sporting event o isang konsiyerto.
Upang maiwasan ang paulit-ulit na pagbili ng mga kakaunting item tulad ng mga upuan sa eroplano, pisikal na mga item, username, atbp., ni-lock ng application ang item para sa isang tiyak na tagal ng panahon upang maiwasan ang mga salungatan. At narito ang kahinaan na nauugnay sa kakayahang magreserba ng isang bagay nang maaga.
Alam nating lahat ang tungkol sa timeout, alam nating lahat ang tungkol sa pagtatapos ng session. Ngunit ang partikular na lohikal na kapintasan na ito ay nagbibigay-daan sa amin na pumili ng isang upuan sa isang flight at pagkatapos ay bumalik upang gawin muli ang pagpili nang hindi nagbabayad ng anuman. Tiyak na marami sa inyo ang madalas pumunta sa mga business trip, ngunit para sa akin ito ay isang mahalagang bahagi ng trabaho. Sinubukan namin ang algorithm na ito sa maraming lugar: pipili ka ng flight, pumili ng upuan, at kapag handa ka na lang ilalagay mo ang iyong impormasyon sa pagbabayad. Iyon ay, pagkatapos mong pumili ng isang lugar, ito ay nakalaan para sa iyo para sa isang tiyak na tagal ng panahon - mula sa ilang minuto hanggang ilang oras, at sa panahong ito ay walang ibang makakapag-book ng lugar na ito. Dahil sa panahon ng paghihintay na ito, mayroon kang tunay na pagkakataon na ireserba ang lahat ng upuan sa eroplano sa pamamagitan lamang ng pagbabalik sa website at pag-book ng mga upuan na gusto mo.
Kaya, may lalabas na opsyon sa pag-atake ng DoS: awtomatikong ulitin ang cycle na ito para sa bawat upuan sa eroplano.
Sinubukan namin ito sa hindi bababa sa dalawang pangunahing airline. Maaari mong mahanap ang parehong kahinaan sa anumang iba pang booking. Ito ay isang magandang pagkakataon upang taasan ang mga presyo ng iyong mga tiket para sa mga nais na muling ibenta ang mga ito. Upang gawin ito, kailangan lang ng mga speculators na i-book ang natitirang mga tiket nang walang anumang panganib ng pagkawala ng pera. Sa ganitong paraan, maaari mong "i-crash" ang e-commerce na nagbebenta ng mga produktong mataas ang demand - mga video game, game console, iPhone, at iba pa. Ibig sabihin, ang umiiral na kapintasan sa online booking o sistema ng pagpapareserba ay nagpapahintulot sa isang umaatake na kumita ng pera mula dito o magdulot ng pinsala sa mga kakumpitensya.
Captcha decryption
Jeremy Grossman: Ngayon pag-usapan natin ang captcha. Alam ng lahat ang mga nakakainis na larawang iyon na nagkakalat sa Internet at ginagamit upang labanan ang spam. Posible, maaari ka ring kumita mula sa captcha. Ang Captcha ay isang ganap na automated na Turing test na nagbibigay-daan sa iyong makilala ang isang tunay na tao mula sa isang bot. Nakatuklas ako ng maraming kawili-wiling bagay habang sinasaliksik ang paggamit ng captcha.
Unang ginamit ang Captcha noong 2000-2001. Nais ng mga spammer na alisin ang captcha upang makapagrehistro para sa mga libreng serbisyo ng email Gmail, Yahoo Mail, Windows Live Mail, MySpace, Facebook, atbp. at magpadala ng spam. Dahil medyo malawak ang paggamit ng captcha, lumitaw ang isang buong merkado ng mga serbisyo na nag-aalok na i-bypass ang lahat ng captcha. Sa huli, nagdudulot ito ng kita - isang halimbawa ang pagpapadala ng spam. Mayroong 3 mga paraan upang i-bypass ang captcha, tingnan natin ang mga ito.
Ang una ay ang mga kapintasan sa pagpapatupad ng ideya, o mga pagkukulang sa paggamit ng captcha.
Kaya, ang mga sagot sa mga tanong ay naglalaman ng masyadong maliit na entropy, tulad ng "isulat kung ano ang katumbas ng 4+1." Ang parehong mga tanong ay maaaring ulitin nang maraming beses, at ang hanay ng mga posibleng sagot ay medyo maliit.
Ang pagiging epektibo ng captcha ay sinusuri sa ganitong paraan:
- ang pagsubok ay dapat isagawa sa mga kondisyon kung saan ang tao at ang server ay malayo sa isa't isa,
ang pagsusulit ay hindi dapat maging mahirap para sa indibidwal; - ang tanong ay dapat na ganoon na masasagot ito ng isang tao sa loob ng ilang segundo,
Tanging ang isa kung kanino tinanong ang dapat sumagot; - ang pagsagot sa tanong ay dapat na mahirap para sa computer;
- ang kaalaman sa mga nakaraang tanong, sagot o kumbinasyon ng mga ito ay hindi dapat makaapekto sa predictability ng susunod na pagsusulit;
- ang pagsusulit ay hindi dapat magdiskrimina laban sa mga taong may kapansanan sa paningin o pandinig;
- ang pagsusulit ay hindi dapat may kinikilingan sa heograpiya, kultura o linggwistika.
Sa lumalabas, ang paglikha ng isang "tamang" captcha ay medyo mahirap.
Ang pangalawang kawalan ng captcha ay ang posibilidad ng paggamit ng OCR optical character recognition. Nababasa ng isang piraso ng code ang isang captcha na larawan kahit gaano pa kalaki ang visual na ingay nito, tingnan kung anong mga titik o numero ang bumubuo dito, at i-automate ang proseso ng pagkilala. Ipinakita ng pananaliksik na ang karamihan sa mga captcha ay madaling ma-crack.
Magbibigay ako ng mga panipi mula sa mga espesyalista mula sa School of Computer Science sa University of Newcastle, UK. Pinag-uusapan nila ang kadalian ng pag-crack ng Microsoft captcha: "Nakamit ng aming pag-atake ang rate ng tagumpay ng segmentation na 92%, na nagpapahiwatig na ang MSN captcha scheme ay maaaring ma-crack sa 60% ng mga kaso sa pamamagitan ng pagse-segment ng imahe at pagkatapos ay makilala ito. ” Ang pag-crack ng captcha ng Yahoo ay kasingdali lang: “nakamit ng aming pangalawang pag-atake ang tagumpay ng segmentation na 33,4%. Kaya, humigit-kumulang 25,9% ng mga captcha ang maaaring ma-crack. Iminumungkahi ng aming pananaliksik na ang mga spammer ay hindi dapat gumamit ng murang paggawa ng tao upang lampasan ang captcha ng Yahoo, ngunit sa halip ay umasa sa isang murang awtomatikong pag-atake."
Ang ikatlong paraan ng pag-bypass sa captcha ay tinatawag na "Mechanical Turk", o "Turk". Sinubukan namin ito laban sa captcha ng Yahoo kaagad pagkatapos ng publikasyon, at hanggang ngayon hindi namin alam, at walang nakakaalam, kung paano protektahan laban sa gayong pag-atake.
Ito ang kaso kung saan mayroon kang masamang tao na magpapatakbo ng "pang-adulto" na site o online na laro kung saan humihiling ang mga user ng ilang nilalaman. Bago nila makita ang susunod na larawan, ang site na pagmamay-ari ng hacker ay gagawa ng back-end na kahilingan sa isang online na sistema na pamilyar sa iyo, sabihin Yahoo o Google, kunin ang captcha mula doon at i-slip ito sa user. At sa sandaling masagot ng user ang tanong, ipapadala ng hacker ang nahulaan na captcha sa target na site at ipapakita sa user ang hiniling na larawan mula sa kanyang site. Kung mayroon kang napakasikat na site na may maraming kawili-wiling nilalaman, maaari mong pakilusin ang isang buong hukbo ng mga tao na awtomatikong pupunuin ang mga captcha ng ibang tao para sa iyo. Ito ay isang napakalakas na bagay.
Gayunpaman, hindi lamang mga tao ang sumusubok na i-bypass ang mga captcha; ginagamit din ng mga negosyo ang diskarteng ito. Minsang nakipag-usap si Robert “RSnake” Hansen sa kanyang blog sa isang Romanian na “captcha solver” na nagsabing kaya niyang mag-solve mula 300 hanggang 500 captcha kada oras sa rate na 9 hanggang 15 dollars kada thousand solved captcha.
Direkta niyang sinasabi na ang mga miyembro ng kanyang koponan ay nagtatrabaho ng 12 oras sa isang araw, na nilulutas ang humigit-kumulang 4800 captcha sa panahong ito, at depende sa kung gaano kahirap ang mga captcha, maaari silang makatanggap ng hanggang $50 sa isang araw para sa kanilang trabaho. Ito ay isang kawili-wiling post, ngunit mas kawili-wili ang mga komento na iniwan ng mga gumagamit ng blog sa ilalim ng post na ito. Agad na lumabas ang isang mensahe mula sa Vietnam, kung saan nag-ulat ang isang Quang Hung tungkol sa kanyang grupo ng 20 katao, na sumang-ayon na magtrabaho sa halagang $4 sa bawat 1000 captcha na nahulaan.
Ang sumunod na mensahe ay mula sa Bangladesh: “Hello! Sana okay ka lang! Kami ay isang nangungunang kumpanya sa pagpoproseso mula sa Bangladesh. Sa kasalukuyan, ang aming 30 operator ay may kakayahang mag-solve ng higit sa 100000 captcha bawat araw. Nag-aalok kami ng mahusay na mga kondisyon at mababang rate - $2 para sa 1000 nahulaang mga captcha mula sa mga site ng Yahoo, Hotmail, Mayspace, Gmail, Facebook, atbp. Inaasahan namin ang karagdagang kooperasyon."
Isa pang kawili-wiling mensahe ang ipinadala ng isang Babu: "Interesado ako sa gawaing ito, mangyaring tawagan ako sa telepono."
Kaya ito ay medyo kawili-wili. Maaari nating pagtalunan kung gaano legal o ilegal ang aktibidad na ito, ngunit ang katotohanan ay talagang kumikita ang mga tao mula rito.
Pagkakaroon ng access sa mga account ng ibang tao
Trey Ford: Ang susunod na senaryo na pag-uusapan natin ay ang paggawa ng pera sa pamamagitan ng pagkuha sa account ng ibang tao.
Nakakalimutan ng lahat ang mga password, at para sa pagsubok sa seguridad ng aplikasyon, ang pag-reset ng password at online na pagpaparehistro ay kumakatawan sa dalawang magkaibang, nakatutok na proseso ng negosyo. May malaking agwat sa pagitan ng kadalian ng pag-reset ng iyong password at ng kadalian ng pag-sign up, kaya dapat mong sikaping gawing simple ang proseso ng pag-reset ng password hangga't maaari. Ngunit kung susubukan nating gawing simple ito, may problemang bumangon dahil mas simple ang pag-reset ng password, hindi gaanong secure ito.
Isa sa mga pinaka-high-profile na kaso ay may kinalaman sa online na pagpaparehistro gamit ang serbisyo ng pag-verify ng user ng Sprint. Dalawang miyembro ng koponan ng White Hat ang gumamit ng Sprint para sa online na pagpaparehistro. Mayroong ilang mga bagay na dapat mong kumpirmahin upang patunayan na ikaw ay ikaw, simula sa isang bagay na kasing simple ng iyong numero ng cell phone. Kailangan mo ng online na pagpaparehistro para sa mga bagay tulad ng pamamahala sa iyong bank account, pagbabayad para sa mga serbisyo, at iba pa. Ang pagbili ng mga telepono ay napaka-maginhawa kung magagawa mo ito mula sa account ng ibang tao at pagkatapos ay bibili at gumawa ng higit pa. Ang isa sa mga pagpipilian sa scam ay ang baguhin ang address ng pagbabayad, mag-order ng paghahatid ng isang buong bungkos ng mga mobile phone sa iyong address, at ang biktima ay mapipilitang magbayad para sa kanila. Ang mga stalking maniac ay nangangarap din ng pagkakataong ito: pagdaragdag ng GPS tracking functionality sa mga telepono ng kanilang mga biktima at pagsubaybay sa bawat galaw nila mula sa anumang computer.
Kaya, nag-aalok ang Sprint ng ilan sa mga pinakasimpleng tanong para i-verify ang iyong pagkakakilanlan. Tulad ng alam natin, ang seguridad ay maaaring matiyak alinman sa pamamagitan ng isang napakalawak na hanay ng entropy, o sa pamamagitan ng lubos na espesyalisadong mga isyu. Babasahin kita ng bahagi ng proseso ng pagpaparehistro ng Sprint dahil napakababa ng entropy. Halimbawa, may tanong: "pumili ng tatak ng kotse na nakarehistro sa sumusunod na address," at ang mga opsyon sa brand ay Lotus, Honda, Lamborghini, Fiat, at "wala sa itaas." Sabihin mo sa akin, sino sa inyo ang may alinman sa mga nabanggit? Tulad ng nakikita mo, ang mapaghamong puzzle na ito ay isang magandang pagkakataon lamang para sa isang mag-aaral sa kolehiyo na makakuha ng murang mga telepono.
Pangalawang tanong: "Sino sa mga sumusunod na tao ang nakatira sa iyo o nakatira sa address sa ibaba"? Napakadaling sagutin ang tanong na ito, kahit na hindi mo kilala ang taong ito. Jerry Stifliin - ang apelyido na ito ay may tatlong "ay" dito, malalaman natin iyon sa isang segundo - sina Ralph Argen, Jerome Ponicki at John Pace. Ang kawili-wili sa listahang ito ay ang mga pangalang ibinigay ay ganap na random, at lahat sila ay napapailalim sa parehong pattern. Kung kalkulahin mo ito, pagkatapos ay hindi ka mahihirapan sa pagtukoy ng tunay na pangalan, dahil naiiba ito sa mga random na napiling mga pangalan sa isang bagay na katangian, sa kasong ito ang tatlong titik na "i". Kaya, malinaw na hindi random na pangalan ang Stayfliin, at madaling hulaan, ang taong ito ang iyong target. Ito ay napaka-simple.
Ang pangatlong tanong: "sa alin sa mga nakalistang lungsod ang hindi mo kailanman tinirahan o hindi kailanman ginamit ang lungsod na ito sa iyong address?" — Longmont, North Hollywood, Genoa o Butte? Mayroon kaming tatlong mataong lugar sa paligid ng Washington DC, kaya ang malinaw na sagot ay North Hollywood.
Mayroong ilang mga bagay na kailangan mong maging maingat tungkol sa Sprint online na pagpaparehistro. Gaya ng sinabi ko dati, maaari kang malubhang masaktan kung magagawa ng isang umaatake na baguhin ang address ng pagpapadala para sa mga pagbili sa iyong impormasyon sa pagbabayad. Ang talagang nakakatakot ay mayroon kaming serbisyo ng Mobile Locator.
Gamit ito, masusubaybayan mo ang mga galaw ng iyong mga empleyado, habang gumagamit ang mga tao ng mga mobile phone at GPS, at makikita mo sa mapa kung nasaan sila. Kaya may ilang iba pang medyo kawili-wiling mga bagay na nangyayari sa prosesong ito.
Tulad ng alam mo, kapag nagre-reset ng password, ang email address ay nangunguna sa iba pang paraan ng pag-verify ng user at mga tanong sa seguridad. Ang susunod na slide ay nagpapakita ng maraming mga serbisyo na nag-aalok upang ipahiwatig ang iyong email address kung ang user ay nahihirapang mag-log in sa kanyang account.
Alam namin na karamihan sa mga tao ay gumagamit ng email at may email account. Biglang gusto ng mga tao na humanap ng paraan para kumita dito. Lagi mong malalaman ang email address ng biktima, ilagay ito sa form, at magkakaroon ka ng pagkakataong i-reset ang password para sa account na gusto mong manipulahin. Pagkatapos ay gagamitin mo ito sa iyong network, at ang mailbox na iyon ay magiging iyong ginintuang vault, ang pangunahing lugar kung saan maaari mong nakawin ang lahat ng iba pang account ng biktima. Matatanggap mo ang buong subscription ng biktima sa pamamagitan ng pag-aari ng isang mailbox lamang. Tumigil ka sa pagngiti, seryoso ito!
Ang susunod na slide ay nagpapakita kung gaano karaming milyon-milyong mga tao ang gumagamit ng kaukulang mga serbisyo ng email. Aktibong ginagamit ng mga tao ang Gmail, Yahoo Mail, Hotmail, AOL Mail, ngunit hindi mo kailangang maging sobrang hacker para mahawakan ang kanilang mga account, mapapanatili mong malinis ang iyong mga kamay sa pamamagitan ng outsourcing. Maaari mong palaging sabihin na walang kinalaman dito, wala kang ginawang ganoon.
Kaya, ang serbisyong online na "Password Recovery" ay nakabase sa China, kung saan magbabayad ka para i-hack nila ang "iyong" account. Para sa 300 yuan, na humigit-kumulang $43, maaari mong subukang i-reset ang isang dayuhang password sa mailbox na may 85% rate ng tagumpay. Para sa 200 yuan, o $29, magkakaroon ka ng 90% na tagumpay sa pag-reset ng iyong home email service mailbox password. Nagkakahalaga ng isang libong yuan, o $143, ang pag-hack sa mailbox ng anumang kumpanya, ngunit hindi garantisado ang tagumpay. Maaari ka ring mag-outsource ng mga serbisyo sa pag-crack ng password para sa 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN, atbp.
Conference BLACK HAT USA. Yumaman o mamatay: kumita ng pera online gamit ang mga pamamaraan ng Black Hat. Part 2 (magagamit bukas ang link)
Ilang ad 🙂
Salamat sa pananatili sa amin. Gusto mo ba ang aming mga artikulo? Gustong makakita ng mas kawili-wiling nilalaman? Suportahan kami sa pamamagitan ng pag-order o pagrekomenda sa mga kaibigan, , 30% na diskwento para sa mga gumagamit ng Habr sa isang natatanging analogue ng mga entry-level na server, na inimbento namin para sa iyo: (magagamit sa RAID1 at RAID10, hanggang 24 na core at hanggang 40GB DDR4).
Dell R730xd 2 beses na mas mura? Dito lang sa Netherlands! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mula $99! Basahin ang tungkol sa
Pinagmulan: www.habr.com