Ознакомьтесь с нашей политикой обработки персональных данных
  • ↓
  • ↑
  • ⇑
 
Записи с темой: it (список заголовков)
19:37 

System.Net




Под взломом следует понимать либо получение какой-то информации, обходя естественные пути защиты, либо получение контроля (полного или частичного) над некоторой сущностью (персональным компьютером, сервером, телефоном, страницей в соц.сети, почтой и т.д.).

Для получения желаемого есть различные приемы, в зависимости от обстоятельств, одни эффективнее других. Следует помнить о том, что физический контакт с сущностью наиболее эффективный инструмент получения контроля, что очевидно конечно, но все же.

Давайте рассмотрим несколько часто возникающий вопрос.

Как взломать ВК/mail.ru/google ?

Короткий ответ: Никак.
Ответ подлиннее: На самом деле есть способ.

Тут следует уточнить вопрос.

Можно ли получить контроль над сайтом ВКонтаке и заставить его выдать вам данные от любого аккаунта? Нет.

(Конечно можно, но поиск уязвимости займет у вас нерациональное количество времени, так что если у вас нет подвала хакеров-мартышек, которые будут целый год искать в серваках ВК уязвимости, то можно забыть об этом.)

Дело в том, что над сайтом ВК работает огромное количество людей, которые являются настоящими профессионалы, и я уверен, что у них есть целый отдел людей, которые занимаются именно защитой от всяческих взломов.
Бороться с такой командой - задача сложная.

Однако можно ли получить доступ к любой странице в ВК? Тут ответ поинтересней:
Есть такое понятие, как "точка отказа". Это место в системе (в любой, необязательно компьютерной), которое легче всего вывести из строя, что приведет к отказу системы.
И если система, о которой мы говорим, это система безопасности ВК, то самой слабой точкой отказа здесь является сам клиент (пользователь).
Заставить человека дать нам свои данные - легчайший способ получить доступ к его странице.
И да, хотя взломать ВК это проблема, то хакнуть какой-нибудь простой форум - это задачка попроще (об этом позже).
И если, например, жертва зарегистрирована на этом форуме, то мы можем узнать его мыло, а также, может быть, что пароль от форума и ВК у него одинаковы.
Таким образом, если мишенью взлома стала сетевая жизнь какого-нибудь человека, самой эффективной тактикой станет изучение его сетевой личности: узнать на какие сайты он заходит и т.д.

Что уже не так сложно, так как следов в сети мы оставляем - будь здоров.
  • Можно выйти на контакт с жертвой, притворившись кем-то другим, и незаметно выпытать у него некоторую информацию, которая поможет нам - это называется социальной инженерией.

  • Можно вынудить его скачать троян, который нам даст практически полный контроль над его компьютером.
Так что вариантов "взломать человека" много, но все же - это работа, иногда занимающая довольно много времени.

Что ж, с людьми все понятно, но как же быть с сайтами, серверами?

Первое, что следует понять - стоит ли оно того?

Если администратор хорошо разбирается в сетевой безопасности, вовремя обновляет и проверяет систему, ставит правильное ПО и ОС, тогда на взлом может уйти нерационально большое количество времени, нужно решить - а стоит ли игра свеч?

Если мы все взвесили и решили, что надо ломать, следующее, что мы будем делать, это, как и в случае с человеком, будем изучать. Узнаем IP адрес сервера, выясним, на какой он CMS (и вообще CMS ли), какой версии эта CMS, что за сервер, какая на нем ОС, версия ОС, версия PHP и так далее.

Чем больше мы выясним, тем больше у нас будет вариантов.

Вообще любой сайт, как правило, состоит из трех вещей:
CMS (или просто скрипты).
База данных (не всегда, но если на сайте есть хоть какая-то регистрация - будьте уверены, там есть база данных).
Сам сервер на котором лежит сайт.


Каждая из этих вещей может стать точкой отказа.

Узнав побольше о мишени, мы переходим к следующему этапу - а именно к выбору оружия.

Наша задача выяснить, какие уязвимости есть у этой ЦМС, у ОС на которой стоит сервер, у базы данных, возможно, поискать уязвимости в самом сайте, проверить очевидные. Все это поддается в той или

иной степени гуглингу, а также бывает на тематических форумах, либо же выясняется практическим путем.

Если нам повезло, то теперь мы хорошо знаем слабые точки, теперь нужно решить, как мы будем по ним бить. Нужно подобрать подходящие утилиты, дописать что-то самому, протестировать.


Когда все готово, начнется, непосредственно, атака.

Она может заключаться в ударе по нескольким точкам одновременно, либо по одной, самой уязвимой. В общем, просто применяем все, что приготовили. И опять-таки, если повезет, то все пройдет успешно, если нет - пересматриваем наши методы и пробуем снова.

Рано или поздно, звезды выстроятся в ряд, и все случится, правда, когда это произойдет, сказать сложно. Однако очень важно искать нестандартные пути и импровизировать, ведь все очевидные способы каждый админ давно уже знает и надежно от них обороняется.

Конечно, здесь я описал всё крайне условно и поверхностно, и, может показаться, что это просто, но это всего лишь общая схема работы, не более. Сплошная теория и ноль практики, с этим конечно мало чего добьёшься. В следующий раз разберем что-то более существенное, что-то, у чего есть практическая сторона.





@темы: IT, Про хакинг

19:38 

[Про Хакинг]

System.Net


Когда я начал смотреть сериал "Мистер робот" я был изрядно поражен его правдоподобностью.Возьмем любой известный фильм где в том или ином виде нам показывают хакеров. В 90% случаев то как нам показывают его "работу" либо выглядит как магия спец эффектов(зеленые букво\цифры летающие по экрану, полоски загрузки бегающие туда-сюда и прочий бред) либо абсолютная бредятина(например обезвреживание бомбы через Excel) и вот таким вот волшебством хакер взламывает пентагон (хахаха).




В общем в большом кино за крайне редким исключением никто понятия не имеет что вообще такое хакер. В мире сериалов эта тема раскрывается на порядок лучше, мистер робот не первый пример.


Конечно Мистер робот не на все 100% правдоподобен, иногда некоторые вещи крайне не правдоподобны, но эти места настолько мелкие и для них придумываются валидные отговорки. Без небольших приувеличений обычный человек не стал бы смотреть сериал, так что товарищ робот сделал все правильно.






Так о чем это я? Наблюдая за тем как герои сериала занимаются своим делом и внятно объясняя благодаря чему они могут сделать ту или иную штуку, невольно пробуждается интерес. Я не первый год занимаюсь программированием и в довольно тесных отношениях с IT в целом, но при этом именно хакерскую тему я знаю весьма плохо. Многие думают что например программисты обладают навыками хакера, а это не совсем так : поскольку у программиста и хакера цели и задачи разные, соответственно инструменты и набор знаний тоже отличается, хотя и очень часто пересекается. Кароче мне захотелось познакомится с темой по ближе в плоть до практик,начал читать статейки, лекции.


Здесь я хочу делиться с вами тем что мне удалось узнать или сделать. Конечно гайдами или обучающим материалом это назвать сложно, это скорей дневник исследования темы, возможно вы станете немного грамотнее в этих вопросах, что в свою очередь положительно скажется на вашей безопасности, а мне будет интересней изучать эту тему.


В этом дневнике, возможно(в зависимости от вашего интереса) будут появляться статьи , популярно раскрывающие те или иные принципы, инструменты, теория из хакерской тематики. В следующем посте я хочу рассмотреть основные идеи хакерского взлома.

@темы: Про хакинг, IT

GO_HACK_YOUR_SELF

главная