Moderator: Xonimlar va janoblar, bu suhbat juda kulgili va juda qiziqarli, bugun biz internetda kuzatilayotgan real narsalar haqida gaplashamiz. Bu suhbat biz Black Hat konferentsiyalarida o'rganib qolgan suhbatlardan biroz farq qiladi, chunki biz hujumchilar o'z hujumlaridan qanday qilib pul topishlari haqida gaplashamiz.
Biz sizga foyda keltirishi mumkin bo'lgan bir nechta qiziqarli hujumlarni ko'rsatamiz va biz Jägermeister ustidan o'tib, aqliy hujum qilgan kechada sodir bo'lgan hujumlar haqida aytib beramiz. Bu qiziqarli edi, lekin biz biroz hushyor bo'lganimizda, biz SEO xodimlari bilan suhbatlashdik va aslida ko'p odamlar bu hujumlardan pul ishlashlarini bilib oldik.
Men shunchaki miyasiz o'rta menejerman, shuning uchun men o'rnimni bo'shatib, sizni mendan ancha aqlli Jeremy va Trey bilan tanishtiraman. Men aqlli va qiziqarli tanishuvim bo'lishi kerak, lekin men buni qilmayman, shuning uchun uning o'rniga bu slaydlarni ko'rsataman.
Ekranda Jeremi Grossman va Trey Fordni ko'rsatadigan slaydlar ko'rsatilgan.
Jeremi Grossman WhiteHat Security asoschisi va bosh texnologiya direktori, 2007 yilda InfoWorld tomonidan 25 ta eng yaxshi texnik direktorlardan biri, Web Application Security Consortsium asoschilaridan biri va saytlararo skript hujumlarining hammuallifi.
Trey Ford WhiteHat Security kompaniyasining arxitektura yechimlari direktori boʻlib, Fortune 6 kompaniyalari uchun xavfsizlik boʻyicha maslahatchi sifatida 500 yillik tajribaga ega va PCI DSS toʻlov kartalari maʼlumotlari xavfsizligi standartini ishlab chiquvchilardan biri.
O'ylaymanki, bu suratlar mening hazil-huzulsizlikimni to'ldiradi. Har qanday holatda ham, umid qilamanki, siz ularning taqdimotidan bahramand bo'lasiz va keyin bu hujumlar pul ishlash uchun Internetda qanday ishlatilishini tushunasiz.
Jeremi Grossman: Xayrli kun, kelganingiz uchun barchangizga rahmat. Bu juda qiziqarli suhbat bo'ladi, garchi siz nol kunlik hujumlarni yoki ajoyib yangi texnologiyalarni ko'rmaysiz. Biz shunchaki uni qiziqarli qilishga harakat qilamiz va har kuni sodir bo‘ladigan, yomon odamlarga ko‘p pul topish imkonini beruvchi haqiqiy voqealar haqida gaplashamiz.
Biz sizni ushbu slaydda ko'rsatilgan narsalar bilan hayratda qoldirmoqchi emasmiz, balki kompaniyamiz nima qilayotganini tushuntirib bering. Shunday qilib, White Hat Sentinel yoki "Guardian White Hat":
- cheksiz miqdordagi baholash - mijoz saytlarini nazorat qilish va ekspert boshqaruvi, ularning hajmi va o'zgarishlar chastotasidan qat'i nazar saytlarni skanerlash imkoniyati;
- keng qamrov doirasi - texnik zaifliklarni aniqlash uchun saytlarni ruxsat etilgan skanerlash va ochilgan biznes sohalarida mantiqiy xatolarni aniqlash uchun foydalanuvchi testlari;
- noto'g'ri pozitivlarni yo'q qilish - bizning tezkor guruhimiz natijalarni ko'rib chiqadi va tegishli jiddiylik va tahdid reytingini belgilaydi;
- ishlab chiqish va sifat nazorati - WhiteHat Satellite Appliance tizimi ichki tarmoqqa kirish orqali mijoz tizimlariga masofadan xizmat ko'rsatish imkonini beradi;
- takomillashtirish va takomillashtirish - real skanerlash tizimni tez va samarali yangilash imkonini beradi.
Shunday qilib, biz dunyodagi har bir saytni tekshiramiz, bizda eng katta veb-ilova pentesters jamoasi bor, biz har hafta 600-700 ta baholash testlarini o'tkazamiz va ushbu taqdimotda ko'radigan barcha ma'lumotlar ushbu turdagi ishlarni bajarish tajribamizdan kelib chiqadi. .
Keyingi slaydda siz global veb-saytlarga hujumlarning eng keng tarqalgan 10 turini ko'rasiz. Bu ma'lum hujumlarga nisbatan zaiflik foizini ko'rsatadi. Ko'rib turganingizdek, barcha saytlarning 65% saytlararo skriptlardan himoyasiz, 40% ma'lumotlarning sizib chiqishiga yo'l qo'yadi va 23% kontentni aldashga qarshi himoyasiz. Saytlararo skriptlardan tashqari, SQL in'ektsiyalari va bizning birinchi o'ntalikka kiritilmagan saytlararo so'rovlarni soxtalashtirish keng tarqalgan. Ammo bu ro'yxat noaniq tilda tasvirlangan ezoterik nomlar bilan hujumlarni o'z ichiga oladi va ularning o'ziga xosligi shundaki, ular ma'lum kompaniyalarga qarshi qaratilgan.
Bu autentifikatsiyadagi nuqsonlar, avtorizatsiya jarayonidagi nuqsonlar, axborotning sizib chiqishi va boshqalar.
Keyingi slaydda biznes mantig'iga hujumlar haqida so'z boradi. Sifatni ta'minlash bilan shug'ullanadigan QA guruhlari odatda ularga e'tibor bermaydilar. Ular dasturiy ta'minot nima qilishi mumkinligini emas, nima qilishi kerakligini sinab ko'rishadi va keyin siz xohlagan narsani ko'rishingiz mumkin. Skanerlar, barcha bu oq/qora/kulrang qutilar, bu ko'p rangli qutilar ko'p hollarda bu narsalarni aniqlay olmaydi, chunki ular shunchaki hujum nima bo'lishi mumkinligi yoki u sodir bo'lganda shunga o'xshash voqealar kontekstida belgilanadi. Ularda aql yetishmaydi va hech narsa ishlaganmi yoki yo'qligini bilishmaydi.
Xuddi shu narsa IDS va WAF ilovalari xavfsizlik devori uchun ham amal qiladi, ular ham biznes mantiqiy kamchiliklarini aniqlay olmaydi, chunki HTTP so'rovlari mutlaqo normal ko'rinadi. Biz sizga biznes mantiqidagi nuqsonlar bilan bog'liq hujumlar butunlay tabiiy ravishda paydo bo'lishini, xakerlar, meta-belgilar yoki boshqa g'alatiliklar yo'qligini ko'rsatamiz, ular tabiiy jarayonlarga o'xshaydi. Asosiysi, yomon odamlar bu narsalarni yaxshi ko'radilar, chunki biznes mantiqidagi kamchiliklar ularga pul keltiradi. Ular XSS, SQL, CSRF dan foydalanadilar, ammo bu turdagi hujumlarni amalga oshirish tobora qiyinlashib bormoqda va oxirgi 3-5 yil ichida ular kamayganiga guvoh bo'ldik. Ammo ular o'z-o'zidan yo'q bo'lib ketmaydi, xuddi buferning to'lib ketishi ham yo'qolmaydi. Biroq, yomon odamlar yanada murakkab hujumlardan qanday foydalanish haqida o'ylashadi, chunki ular "haqiqiy yomon odamlar" har doim o'z hujumlaridan pul ishlashga intilishadi, deb hisoblashadi.
Men sizga bortda olishingiz va biznesingizni himoya qilish uchun to'g'ri yo'lda foydalanishingiz mumkin bo'lgan haqiqiy fokuslarni ko'rsatmoqchiman. Taqdimotimizning yana bir maqsadi shundaki, siz axloq haqida o'ylayotgan bo'lishingiz mumkin.
Onlayn so'rovlar va ovoz berish
Shunday qilib, biznes mantig'ining kamchiliklari haqida suhbatni boshlash uchun keling, onlayn so'rovlar haqida gapiraylik. Onlayn so'rovlar jamoatchilik fikrini aniqlash yoki ta'sir qilishning eng keng tarqalgan usuli hisoblanadi. Biz $0 foyda bilan boshlaymiz va keyin 5, 6, 7 oylik firibgarlik sxemalarining natijasini ko'rib chiqamiz. Keling, juda oddiy so'rovni o'tkazishdan boshlaylik. Har bir yangi veb-sayt, har bir blog, har bir yangiliklar portali onlayn so'rovlar o'tkazishini bilasiz. Ya'ni, hech qanday joy juda katta yoki juda tor emas, lekin biz aniq sohalarda jamoatchilik fikrini ko'rishni xohlaymiz.
Sizning e'tiboringizni Texasning Ostin shahrida o'tkazilgan bir so'rovga qaratmoqchiman. Ostin qo'ltig'i Vestminster itlar ko'rgazmasida g'olib bo'lganligi sababli, Ostin amerikalik davlat arbobi Markaziy Texas itlari egalari uchun onlayn Ostinning eng yaxshi shou so'rovini o'tkazishga qaror qildi. Minglab egalar suratlarini yuborib, o‘z sevimlilariga ovoz berishdi. Boshqa ko'plab so'rovlar singari, sizning uy hayvoningiz uchun maqtanishdan boshqa mukofot yo'q edi.
Ovoz berish uchun Web 2.0 tizim ilovasidan foydalanildi. Agar siz itni yoqtirgan bo'lsangiz va u zotdagi eng yaxshi it yoki yo'qligini bilsangiz, "ha" ni bosing. Shunday qilib, siz shou g'olibiga nomzod sifatida saytda joylashtirilgan bir necha yuz itlarga ovoz berdingiz.
Ushbu ovoz berish usuli bilan 3 xil aldash mumkin edi. Birinchisi - cheksiz ovoz berish, siz bir itga qayta-qayta ovoz berasiz. Bu juda oddiy. Ikkinchi usul - salbiy ko'p ovoz berish, bu erda siz raqobatdosh itga qarshi ko'p marta ovoz berasiz. Uchinchi yo'l, tom ma'noda, tanlovning so'nggi daqiqasida siz yangi itni joylashtirdingiz, unga ovoz berdingiz, shunda salbiy ovoz olish imkoniyati minimal bo'ldi va siz 100% ijobiy ovozlarni olib g'alaba qozondingiz.
Bundan tashqari, g'alaba umumiy ovozlar soni bo'yicha emas, balki foiz sifatida aniqlandi, ya'ni qaysi it maksimal ijobiy baho olganini aniqlay olmadingiz, faqat ma'lum bir it uchun ijobiy va salbiy reytinglar foizi hisoblab chiqilgan. . Eng yaxshi ijobiy/salbiy ball nisbatiga ega bo'lgan it g'alaba qozondi.
Hamkasbi Robert "RSnake" Xansenning do'sti undan Chihuahua Tinyga musobaqada g'olib chiqishga yordam berishini so'radi. Bilasizmi, Robert, u Ostindan. U, xuddi super xaker kabi, Burp proksi-serverini tuzatdi va eng kam qarshilik yo'lidan bordi. U №1 aldash texnikasidan foydalangan, uni bir necha yuz yoki ming soʻrovdan iborat Burp halqasidan oʻtkazgan va bu itga 2000 ta yuqori ovoz olib, uni 1-oʻringa olib chiqqan.
Keyin u Chuchu laqabli Tinyning raqobatchisiga qarshi 2-raqamli aldash texnikasidan foydalangan. Musobaqaning so'nggi daqiqalarida u Chuchuga qarshi 450 ta ovoz berdi, bu esa Tinyning 1:2 dan ortiq ovozlar nisbati bilan 1-o'rindagi pozitsiyasini yanada mustahkamladi, ammo ijobiy va salbiy sharhlar foizi bo'yicha Tiny baribir mag'lub bo'ldi. Ushbu slaydda siz ushbu natijadan tushkunlikka tushgan kiberjinoyatchining yangi yuzini ko'rasiz.
Ha, bu qiziqarli stsenariy edi, lekin menimcha, bu spektakl do'stimga yoqmadi. Siz shunchaki Ostindagi Chihuahua musobaqasida g'olib chiqishni xohlagan edingiz, lekin kimdir sizni buzishga va xuddi shu narsani qilishga harakat qildi. Endi men qo'ng'iroqni Treyga topshiraman.
Sun'iy talabni yaratish va unga pul ishlash
Trey Ford: "Sun'iy DoS" tushunchasi biz onlayn chipta sotib olganimizda bir nechta qiziqarli stsenariylarga ishora qiladi. Masalan, parvozda maxsus o'rindiqni bron qilishda. Bu har qanday turdagi chiptalarga, masalan, sport tadbiri yoki kontsertga tegishli bo'lishi mumkin.
Aviakompaniya o'rindiqlari, jismoniy buyumlar, foydalanuvchi nomlari va boshqalar kabi kam bo'lgan narsalarni qayta-qayta sotib olishni oldini olish uchun dastur ziddiyatlarni oldini olish uchun mahsulotni ma'lum vaqt davomida qulflaydi. Va bu erda biror narsani oldindan zahiralash qobiliyati bilan bog'liq zaiflik keladi.
Taym-aut haqida hammamiz bilamiz, sessiyani tugatish haqida hammamiz bilamiz. Ammo bu aniq mantiqiy kamchilik bizga parvozda joy tanlashga va keyin hech narsa to'lamasdan yana tanlov qilish uchun qaytishga imkon beradi. Albatta, ko'pchiligingiz xizmat safarlariga tez-tez borasiz, lekin men uchun bu ishning muhim qismidir. Biz bu algoritmni ko‘p joylarda sinab ko‘rdik: siz parvozni tanlaysiz, o‘rindiqni tanlaysiz va faqat tayyor bo‘lgach, to‘lov ma’lumotlarini kiritasiz. Ya'ni, siz joy tanlaganingizdan so'ng, u siz uchun ma'lum vaqt - bir necha daqiqadan bir necha soatgacha ajratiladi va bu vaqt ichida boshqa hech kim bu joyni bron qila olmaydi. Ushbu kutish davri tufayli siz shunchaki veb-saytga qaytib, o'zingiz xohlagan o'rindiqlarni bron qilish orqali samolyotdagi barcha o'rindiqlarni bron qilish uchun haqiqiy imkoniyatga egasiz.
Shunday qilib, DoS hujumi opsiyasi paydo bo'ladi: samolyotdagi har bir o'rindiq uchun ushbu tsiklni avtomatik ravishda takrorlang.
Biz buni kamida ikkita yirik aviakompaniyada sinab ko'rdik. Xuddi shu zaiflikni har qanday boshqa bronlashda topishingiz mumkin. Bu ularni qayta sotmoqchi bo'lganlar uchun chiptalaringiz narxini oshirish uchun ajoyib imkoniyatdir. Buning uchun chayqovchilar pul yo'qotish xavfisiz qolgan chiptalarni bron qilishlari kerak. Shunday qilib, siz yuqori talabga ega bo'lgan mahsulotlarni - video o'yinlar, o'yin pristavkalari, iPhone va boshqalarni sotadigan elektron tijoratni "buzishingiz" mumkin. Ya'ni, onlayn bron qilish yoki bron qilish tizimidagi mavjud nuqson tajovuzkorga undan pul ishlash yoki raqobatchilarga zarar etkazish imkonini beradi.
Captcha shifrini ochish
Jeremi Grossman: Endi captcha haqida gapiraylik. Internetni ifloslantiradigan va spam bilan kurashish uchun ishlatiladigan zerikarli rasmlarni hamma biladi. Ehtimol, siz captcha-dan ham daromad olishingiz mumkin. Captcha - bu to'liq avtomatlashtirilgan Turing testi bo'lib, u haqiqiy odamni botdan ajratish imkonini beradi. Men captcha-dan foydalanishni o'rganayotganda juda ko'p qiziqarli narsalarni kashf etdim.
Captcha birinchi marta 2000-2001 yillarda ishlatilgan. Spamerlar Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook va boshqalarni bepul elektron pochta xizmatlaridan foydalanish uchun ro'yxatdan o'tish uchun captcha-ni o'chirib tashlamoqchi. va spam yuboring. Captcha juda keng qo'llanilganligi sababli, hamma joyda mavjud bo'lgan captcha-ni chetlab o'tishni taklif qiladigan xizmatlarning butun bozori paydo bo'ldi. Oxir oqibat, bu foyda keltiradi - misol spam yuborish bo'ladi. Captcha-ni chetlab o'tishning 3 yo'li mavjud, keling, ularni ko'rib chiqaylik.
Birinchisi, g'oyani amalga oshirishdagi kamchiliklar yoki captcha-dan foydalanishdagi kamchiliklar.
Shunday qilib, savollarga javoblar juda kam entropiyani o'z ichiga oladi, masalan, "4+1 nimaga teng ekanligini yozing". Xuddi shu savollar ko'p marta takrorlanishi mumkin va mumkin bo'lgan javoblar doirasi juda kichik.
Captcha samaradorligi quyidagi tarzda tekshiriladi:
- sinov shaxs va server bir-biridan uzoqda bo'lgan sharoitda o'tkazilishi kerak;
test shaxs uchun qiyin bo'lmasligi kerak; - savol shunday bo'lishi kerakki, odam unga bir necha soniya ichida javob bera oladi;
Faqat savol berilgan kishi javob berishi kerak; - savolga javob berish kompyuter uchun qiyin bo'lishi kerak;
- oldingi savollar, javoblar yoki ularning kombinatsiyasini bilish keyingi testning bashorat qilinishiga ta'sir qilmasligi kerak;
- test ko'rish yoki eshitish qobiliyati buzilgan odamlarni kamsitmasligi kerak;
- test geografik, madaniy yoki lingvistik jihatdan qarama-qarshi bo'lmasligi kerak.
Ma'lum bo'lishicha, "to'g'ri" captcha yaratish juda qiyin.
Captcha-ning ikkinchi kamchiligi OCR optik belgilarni aniqlashdan foydalanish imkoniyatidir. Kod bo'lagi qancha vizual shovqinni o'z ichiga olishidan qat'i nazar, captcha tasvirini o'qiy oladi, uni qanday harflar yoki raqamlar tashkil etishini ko'radi va tanib olish jarayonini avtomatlashtiradi. Tadqiqotlar shuni ko'rsatdiki, ko'pchilik captchalarni osongina sindirish mumkin.
Men Buyuk Britaniyaning Nyukasl universiteti kompyuter fanlari maktabi mutaxassislaridan iqtiboslar keltiraman. Ular Microsoft captcha-ni sindirish qulayligi haqida gapirishadi: “bizning hujumimiz 92% segmentatsiya muvaffaqiyatiga erisha oldi, bu MSN captcha sxemasini 60% hollarda tasvirni segmentlarga bo'lish va keyin uni tanib olish orqali buzish mumkinligini anglatadi. ” Yahoo-ning captcha-ni buzish juda oson edi: “bizning ikkinchi hujumimiz 33,4% segmentatsiya muvaffaqiyatiga erishdi. Shunday qilib, taxminan 25,9% captcha yorilishi mumkin. Bizning tadqiqotimiz shuni ko'rsatadiki, spamerlar Yahoo captcha-ni chetlab o'tish uchun hech qachon arzon inson mehnatidan foydalanishi kerak, aksincha, arzon avtomatlashtirilgan hujumga tayanishi kerak."
Captcha-ni chetlab o'tishning uchinchi usuli "Mexanik Turk" yoki "Turk" deb ataladi. Biz uni nashr etilgandan so'ng darhol Yahoo captcha-ga qarshi sinab ko'rdik va shu kungacha bunday hujumdan qanday himoyalanishni bilmaymiz va hech kim bilmaydi.
Bu sizning "kattalar" saytini yoki foydalanuvchilar ba'zi kontentni so'ragan onlayn o'yinni boshqaradigan yomon odamga ega bo'lgan holat. Ular keyingi rasmni ko'rishdan oldin, xakerga tegishli sayt sizga tanish bo'lgan onlayn tizimga so'rov yuboradi, aytaylik Yahoo yoki Google, u yerdan captcha-ni olib, foydalanuvchiga uzatadi. Va foydalanuvchi savolga javob berishi bilanoq, xaker taxmin qilingan captcha-ni maqsadli saytga yuboradi va foydalanuvchiga o'z saytidan so'ralgan rasmni ko'rsatadi. Agar sizda juda ko'p qiziqarli tarkibga ega juda mashhur saytingiz bo'lsa, siz avtomatik ravishda siz uchun boshqa odamlarning captchalarini to'ldiradigan butun odamlar armiyasini safarbar qilishingiz mumkin. Bu juda kuchli narsa.
Biroq, nafaqat odamlar captchalarni chetlab o'tishga harakat qilishadi, balki korxonalar ham ushbu usuldan foydalanadilar. Robert "RSnake" Xansen bir marta o'z blogida ruminiyalik "kaptcha hal qiluvchi" bilan suhbatlashdi, u har ming hal qilingan captcha uchun 300 dan 500 dollargacha soatiga 9 dan 15 gacha kaptchani hal qila olishini aytdi.
U to'g'ridan-to'g'ri uning jamoasi a'zolari kuniga 12 soat ishlashini va bu vaqt ichida 4800 ga yaqin captchani hal qilishlarini va captchalar qanchalik qiyinligiga qarab, ular o'z ishlari uchun kuniga 50 dollargacha olishlari mumkinligini aytadi. Bu qiziqarli post bo'ldi, lekin undan ham qiziqroq blog foydalanuvchilari ushbu post ostida qoldirgan izohlar. Vetnamdan darhol xabar paydo bo'ldi, u erda ma'lum bir Quang Hung o'zining 20 kishilik guruhi haqida xabar berdi, ular har 4 captcha uchun 1000 dollarga ishlashga rozi bo'lishdi.
Keyingi xabar Bangladeshdan keldi: “Salom! Umid qilamanki, siz yaxshisiz! Biz Bangladeshning etakchi qayta ishlash kompaniyasimiz. Hozirda bizning 30 ta operatorimiz kuniga 100000 2 dan ortiq captchalarni echishga qodir. Yahoo, Hotmail, Mayspace, Gmail, Facebook va hokazo saytlardan 1000 ta taxmin qilingan captchalar uchun biz ajoyib sharoitlar va past narxni taklif qilamiz. Kelgusi hamkorlikni intiqlik bilan kutamiz”.
Yana bir qiziq xabarni ma'lum bir Babu yubordi: "Men bu ish bilan qiziqaman, iltimos, menga qo'ng'iroq qiling."
Demak, bu juda qiziq. Biz bu faoliyat qanchalik qonuniy yoki noqonuniy ekanligini muhokama qilishimiz mumkin, ammo haqiqat shundaki, odamlar undan pul topishadi.
Boshqa odamlarning hisoblariga kirish
Trey Ford: Biz gaplashadigan keyingi stsenariy - bu boshqa birovning hisobini egallab olish orqali pul ishlash.
Har bir inson parollarni unutadi va ilovalar xavfsizligini tekshirish uchun parolni tiklash va onlayn ro'yxatdan o'tish ikkita alohida, yo'naltirilgan biznes jarayonini ifodalaydi. Parolni tiklash qulayligi va ro'yxatdan o'tish qulayligi o'rtasida katta bo'shliq mavjud, shuning uchun parolni tiklash jarayonini iloji boricha soddalashtirishga harakat qilishingiz kerak. Ammo agar biz uni soddalashtirishga harakat qilsak, muammo paydo bo'ladi, chunki parolni tiklash qanchalik sodda bo'lsa, uning xavfsizligi shunchalik past bo'ladi.
Eng shov-shuvli holatlardan biri Sprint foydalanuvchilarni tekshirish xizmatidan foydalangan holda onlayn ro'yxatdan o'tish bilan bog'liq. Ikki White Hat jamoasi a'zosi onlayn ro'yxatdan o'tish uchun Sprint-dan foydalangan. Uyali telefon raqamingiz kabi oddiy narsadan boshlab, siz ekanligingizni isbotlash uchun bir nechta narsalarni tasdiqlashingiz kerak. Bank hisobingizni boshqarish, xizmatlar uchun to'lov va hokazolar uchun onlayn ro'yxatdan o'tishingiz kerak. Telefonlarni sotib olish juda qulay, agar siz buni boshqa birovning hisobidan amalga oshirsangiz, keyin xaridlarni amalga oshirsangiz va yana ko'p narsalarni qilasiz. Firibgarlik variantlaridan biri - to'lov manzilini o'zgartirish, sizning manzilingizga bir nechta mobil telefonlarni etkazib berishni buyurish va jabrlanuvchi ular uchun pul to'lashga majbur bo'ladi. Stalking manyaklar ham bu imkoniyatni orzu qiladi: qurbonlarining telefonlariga GPS kuzatish funksiyasini qo‘shish va ularning har bir harakatini istalgan kompyuterdan kuzatish.
Shunday qilib, Sprint sizning shaxsingizni tasdiqlash uchun eng oddiy savollarni taklif qiladi. Ma'lumki, xavfsizlik juda keng doiradagi entropiya yoki yuqori ixtisoslashgan masalalar bilan ta'minlanishi mumkin. Men sizga Sprintni ro'yxatdan o'tkazish jarayonining bir qismini o'qib chiqaman, chunki entropiya juda past. Masalan, savol tug'iladi: "quyidagi manzilda ro'yxatdan o'tgan avtomobil markasini tanlang" va brend variantlari Lotus, Honda, Lamborghini, Fiat va "yuqoridagilarning hech biri". Ayting-chi, sizlardan qaysi birida yuqoridagilardan biri bor? Ko'rib turganingizdek, bu qiyin jumboq kollej talabasi uchun arzon telefonlar olish uchun ajoyib imkoniyatdir.
Ikkinchi savol: “Quyidagilardan qaysi biri siz bilan yashaydi yoki quyidagi manzilda yashaydi”? Bu savolga javob berish juda oson, garchi siz bu odamni umuman tanimasangiz ham. Jerri Stifliin - bu familiyada uchta "ay" bor, biz bir soniyada bunga erishamiz - Ralf Argen, Jerom Ponikki va Jon Peys. Ushbu ro'yxatning qiziq tomoni shundaki, berilgan nomlar mutlaqo tasodifiy va ularning barchasi bir xil naqshga bo'ysunadi. Agar siz uni hisoblasangiz, unda siz haqiqiy ismni aniqlashda qiyinchiliklarga duch kelmaysiz, chunki u tasodifiy tanlangan nomlardan xarakterli narsada farq qiladi, bu holda uchta "i" harfi. Shunday qilib, Stayfliin tasodifiy nom emas va taxmin qilish oson, bu odam sizning maqsadingiz. Bu juda, juda oddiy.
Uchinchi savol: "Ro'yxatdagi shaharlarning qaysi birida siz hech qachon yashamagansiz yoki manzilingizda bu shahardan foydalanmagansiz?" — Longmont, Shimoliy Gollivud, Genuya yoki Butte? Vashington atrofida bizda uchta zich joylashgan hudud bor, shuning uchun aniq javob Shimoliy Gollivuddir.
Sprint onlayn ro'yxatdan o'tishda ehtiyot bo'lishingiz kerak bo'lgan bir nechta narsa bor. Yuqorida aytganimdek, agar tajovuzkor sizning toʻlov maʼlumotlaringizdagi xaridlar uchun joʻnatish manzilini oʻzgartira olsa, sizga jiddiy zarar yetishi mumkin. Eng dahshatlisi shundaki, bizda Mobil Locator xizmati mavjud.
Uning yordamida siz xodimlaringizning harakatlarini kuzatishingiz mumkin, chunki odamlar mobil telefonlar va GPS-dan foydalanadilar va xaritada ularning qaerdaligini ko'rishingiz mumkin. Shunday qilib, bu jarayonda yana bir qancha qiziqarli narsalar sodir bo'ladi.
Ma'lumki, parolni tiklashda elektron pochta manzili foydalanuvchini tekshirishning boshqa usullari va xavfsizlik savollaridan ustun turadi. Keyingi slayd, agar foydalanuvchi o'z hisobiga kirishda qiynalayotgan bo'lsa, elektron pochta manzilingizni ko'rsatishni taklif qiladigan ko'plab xizmatlarni ko'rsatadi.
Biz bilamizki, ko'pchilik elektron pochtadan foydalanadi va elektron pochta qayd yozuviga ega. To'satdan odamlar undan pul topish yo'lini topmoqchi bo'lishdi. Siz har doim jabrlanuvchining elektron pochta manzilini bilib olasiz, uni shaklga kiritasiz va siz manipulyatsiya qilmoqchi bo'lgan hisob uchun parolni tiklash imkoniyatiga ega bo'lasiz. Keyin siz uni tarmog'ingizda ishlatasiz va bu pochta qutisi sizning oltin omboringiz bo'lib, jabrlanuvchining barcha boshqa hisoblarini o'g'irlashingiz mumkin bo'lgan asosiy joy. Siz faqat bitta pochta qutisiga egalik qilish orqali jabrlanuvchining butun obunasini olasiz. Tabassum qilishni bas qiling, bu jiddiy!
Keyingi slaydda qancha million odam tegishli elektron pochta xizmatlaridan foydalanishi ko'rsatilgan. Odamlar Gmail, Yahoo Mail, Hotmail, AOL Mail’dan faol foydalanishadi, lekin ularning akkauntlarini egallash uchun super xaker bo‘lish shart emas, autsorsing orqali qo‘llaringizni toza saqlashingiz mumkin. Siz har doim buning hech qanday aloqasi yo'qligini aytishingiz mumkin, siz bunday ish qilmagansiz.
Shunday qilib, "Parolni tiklash" onlayn xizmati Xitoyda joylashgan bo'lib, u erda siz "sizning" hisobingizni buzish uchun pul to'laysiz. Taxminan 300 dollarga teng bo'lgan 43 yuan uchun siz 85% muvaffaqiyat darajasi bilan xorijiy pochta qutisi parolini tiklashga urinib ko'rishingiz mumkin. 200 yuan yoki 29 dollar evaziga siz uy elektron pochta xizmati pochta qutisi parolini tiklashda 90% muvaffaqiyatga erishasiz. Har qanday kompaniyaning pochta qutisini buzish uchun ming yuan yoki 143 dollar turadi, lekin muvaffaqiyatga kafolat yo‘q. Shuningdek, siz 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN va boshqalar uchun parolni buzish xizmatlarini autsorsing qilishingiz mumkin.
AQSh BLACK HAT konferensiyasi. Boy bo'ling yoki o'ling: Black Hat usullaridan foydalangan holda Internetda pul ishlang. 2-qism (ertaga havola mavjud)
Ba'zi reklamalar 🙂
Biz bilan qolganingiz uchun tashakkur. Bizning maqolalarimiz sizga yoqdimi? Ko'proq qiziqarli tarkibni ko'rishni xohlaysizmi? Buyurtma berish yoki do'stlaringizga tavsiya qilish orqali bizni qo'llab-quvvatlang, , Habr foydalanuvchilari uchun biz siz uchun ixtiro qilingan boshlang'ich darajadagi serverlarning noyob analogiga 30% chegirma: (RAID1 va RAID10, 24 tagacha yadro va 40 Gb gacha DDR4 bilan mavjud).
Dell R730xd 2 barobar arzonmi? Faqat shu yerda Gollandiyada! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 dollardan! Haqida o'qing
Manba: www.habr.com