Το προφίλ μας στο Google Plus

RSS for category: blast from the pastΑρχείο για την κατηγορία blast from the past

3

IRC Bots

> Hello, I am Eliza.
* Hello Eliza, how are you?
> Why are you interested in whether or not I am ?
* Because I care about you.
> We were discussing you, not me.
* Ok, sorry.
> Please don’t apologize!

10

Χάκινγκ στο Διαδίκτυο

1ns3cure

Το Διαδίκτυο θα μπορούσε να χαρακτηριστεί σαν μια παγκόσμια πολιτεία. Μια πολιτεία στην οποία ο καθένας μπορεί να πάει όπου θελήσει, αρκεί βέβαια να έχει πρόσβαση. Υπάρχουν τα καλά στέκια, τα κακόφημα στέκια, τα σκοτεινά στέκια και γενικά οτιδήποτε μπορεί κανείς να φανταστεί. Οι παγκόσμιοι κάτοικοι ή αλλιώς οι χρήστες του διαδικτύου, δηλαδή εμείς οι ίδιοι, συνήθως ανήκουμε στη συμπαθή τάξη των «φιλήσυχων» πολιτών: Αυτών που ζουν και κινούνται πάντα στο φώς και στο προσκήνιο. Κάθε προσκήνιο, όμως, κρύβει πάντα κι ένα παρασκήνιο…

2

Οι αληθινοί χάκερ και τα exploit!

Πολλοί από τους χρήστες που ασχολούνται με τους υπολογιστές λίγο περισσότερο απ’ όσο ο Μέσος Παπαδόπουλος (TM), πιστεύουν ότι οι πραγματικοί χάκερ δεν ασχολούνται ούτε με defaces ούτε με καταλήψεις server (pwning). Μόνο σε ελάχιστες περιπτώσεις παρεκτρέπονται – κι αυτό μόνον όταν υπάρχει πολύ σοβαρός λόγος. Επίσης, ισχυρίζονται ότι οι πραγματικοί χάκερ σπάνια χρησιμοποιούν έτοιμα εργαλεία ή, καλύτερα, τα έτοιμα εργαλεία που χρησιμοποιούν δεν είναι περισσότερα σε πλήθος από τα δάχτυλα του ενός χεριού – άντε των δύο χεριών, αν θεωρήσουμε ως εργαλεία και τις γλώσσες προγραμματισμού! Μα, επιτέλους, με τι ασχολούνται οι «πραγματικοί» χάκερ;

36

Ο Προμηθέας και η Φωτιά

Κάπου μέσα στον υπολογιστή μας βρίσκεται κρυμμένος ένας αριθμός. Εδώ που τα λέμε, βέβαια, ένα σωρό αριθμοί είναι κρυμμένοι μέσα στο δικό σας και στον δικό μου και σε καθέναν υπολογιστή αυτής τη γειτονιάς του Γαλαξία. Εμείς όμως εδώ μιλάμε για έναν αριθμό που είναι μοναδικός για κάθε υπολογιστή. Ακριβέστερα, όποιος υπολογιστής ή άλλη συσκευή συνδέεται, μόνιμα ή περιστασιακά, στο δίκτυο, έχει μέσα της, κρυμμένο, έναν μοναδικό αριθμό. Προσοχή: Ο αριθμός αυτός καμία σχέση δεν έχει με τη διεύθυνση IP που παίρνουν, όταν “μπαίνουν” online. Δυστυχώς -ή ευτυχώς, όπως θα δείτε στη συνέχεια- υπάρχει και κάτι άλλο που θα μπορούσε να *σας* προδώσει: Η διεύθυνση MAC (Media Access Control) της κάρτας δικτύου σας. Μην ανησυχείτε, πάντως. Ο καλός ο χάκερ ξέρει να προστατεύει την privacy του ;)

7

Συνδυασμένες επιθέσεις: Autoscan και Metasploit!

Ένα από τα διασκεδαστικά παιχνίδια του γράφοντα, το οποίο κατά ένα ποσοστό εντάσσεται στο γνωστό σπορ του Social Engineering, είναι να παρουσιάζεται ως εντελώς noob γύρω από υπολογιστές και ασφάλεια και να προσπαθεί να συμμετέχει σε κουβέντες ως “ο καλός μαθητής”. Οι κουβέντες αυτές συμβαίνουν σε γνωστά στέκια που συχνάζουν “ειδικοί” σε υπολογιστές και ασφάλεια, όπως, ας πούμε, σε μεγάλα net-cafe!

3

PenTest machine VS Human!

Σε κάποιες παλιές, σκοτεινές εποχές, κάποιοι άνθρωποι που κατείχαν τη γνώση την κρατούσαν για τον εαυτό τους. Στην καλύτερη περίπτωση τη μετέφεραν σε πολύ λίγους -και προσεκτικά- επιλεγμένους. Μιλάμε για την εποχή του λεγόμενου ιερατείου της πληροφορικής. Το ιερατείο αυτό αποτελείτο από άτομα με γνώσεις αλλά και με συγκεκριμένη νοοτροπία. Μια νοοτροπία κάστας ή πολύ κλειστής ομάδας. Μια νοοτροπία συνωμοτική κι ενίοτε σκοτεινή. Κάτι που θύμιζε… Αλχημιστή!

7

Απρόσεκτοι μασόνοι!

Μυστικιστικές οργανώσεις: Πεφωτισμένοι και Ναΐτες Ιππότες. Αρχέγονα, κρυμμένα μυστικά. Κρυφές τελετές κι ομάδες με ηλικία χιλιετιών. Ο Dan Brown έκανε την αρχή βάζοντας πολύ κόσμο στην πρίζα με τα βιβλία του “Illuminati: Οι πεφωτισμένοι” και “Da Vinci code”. Και ποιος δεν ένοιωσε έκπληξη όταν του αποκαλύφθηκε το μυστικό ότι οι Ναΐτες ιππότες δεν χάθηκαν, αλλά υπάρχουν μέχρι και σήμερα σε κάποιες αρχαίες οργανώσεις! Ακούστηκαν ονόματα όπως οι Μασόνοι, ως οι συνεχιστές των παλαιών Ναϊτών ιπποτών. Εμείς δεν θα μπούμε στην διαδικασία να ψάξουμε αν όλα αυτά είναι αληθινά, ούτε να βρούμε ποιοι κρύβονται πίσω από τη μασονική ιεραρχία. Πράγματι, όλα αυτά δεν έχουν καμία σχέση με το χαρακτήρα του περιοδικού. Από την άλλη, λέμε για άλλη μια φορά να δείξουμε τι συμβαίνει όταν οι διαχειριστές συστημάτων είναι αφηρημένοι! Και ξέρετε κάτι; Οι συνέπειες της αφηρημάδας είναι σοβαρότατες ασχέτως αν ο διαχειριστής είναι κοινός θνητός ή αθάνατος… ιππότης ;)

1

Session fixation, baby!

1ns3cure

Λοιπόν, θα σας πούμε ένα μυστικό. Οι τεχνικές επίθεσης για site είναι πολλές. OK. Ψέμματα. Είναι πάρα πολλές. Υπάρχουν μάλιστα κάποιοι που ισχυρίζονται ότι είναι άπειρες — αλλά αριθμήσιμες, βιάζονται να προσθέσουν. Πάλι καλά, λέμε εμείς. Αν τώρα κάποιος προσπαθήσει να κατηγοριοποιήσει τις τεχνικές επίθεσης σε site, ίσως ξεκινήσει από τις πιο απλές, όπως, π.χ., η εύρεση του password του administrator σε κάποιο ξεχασμένο αρχείο στον server, και προχωρήσει σε πιο σύνθετες, όπως η στατιστική ανάλυση ώστε να μπορέσει να μαντέψει το περίφημο session ID! Σε κάθε περίπτωση, ο στόχος είναι πάντα ένας: Να μπει μέσα στο site, forum ή ό,τι άλλο είν’ αυτό, σαν κάποιος άλλος (impersonation). Για μια στιγμή, όμως. Τι είναι αυτό το session ID που αναφέραμε πιο πάνω; Χμ, νομίζουμε αξίζει ν’ αναφερθούμε και σ’ αυτόν τον τύπο επίθεσης, ο οποίος εντάσσεται στο advanced session hijacking. H μέθοδος που θα περιγράψουμε μοιάζει λίγο με το Cross Site Request Forgery, αφού χρησιμοποιεί παρόμοια τεχνική. Για να πούμε όμως την αλήθεια, είναι λίγο πιο πονηρή! Αλλά ας πάρουμε τα πράγματα από την αρχή.

17

Format String Attack: Καταιγίδα εν αιθρία!

Στο παρόν post ασχολούμαστε με έναν κλασικό τύπο επιθέσεων που άφησε εποχή και ίσως ακόμα αφήνει, ο οποίος συνδυασμένος με τη μητέρα όλων των μαχών, το buffer overflow, πριν αρκετό καιρό ήταν ικανός να χτυπήσει επιτυχώς το 70% των διαδικτυακών server!

8

Content Spoofing – Εφιάλτης για τους ανέμελους!

1ns3cure

Με τον όρο content spoofing ή διαφορετικά αλλοίωση περιεχομένου, αναφερόμαστε σε μια επίθεση που συμβαίνει στο web κι ενδέχεται να εκδηλωθεί με πολλές και διαφορετικές μορφές. Έχει συμπεριληφθεί μάλιστα στη λίστα των πιο συχνών επιθέσεων του The Web Application Security Consortium. Πρόκειται για μια επίθεση κατά την οποία ένας πονηρός είναι σε θέση να ξεγελάσει κάποιο χρήστη του web παρουσιάζοντάς του ένα πλαστό ή αλλοιωμένο web site ως πραγματικό. Σε άλλες περιπτώσεις ο επιτιθέμενος αποκτά πρόσβαση σ’ ένα υπάρχον, καθωσπρέπει web site (π.χ., σ’ ένα CMS σαν το Joomla) κι αλλάζει τον πηγαίο κώδικα των προγραμμάτων που τρέχουν εκεί με τέτοιο τρόπο, ώστε μόλις κάποιος επισκέπτης μπει -στο κατά τα άλλα κανονικό- web site, ο κωδικός και το password του να αποσταλούν σε κάποιον …ενδιαφερόμενο! Όλες τις προαναφερθείσες χαριτωμενιές θα τις δούμε στο παρόν άρθρο :)

16

Φτιάξτε το δικό σας (ro)bot!

A robot is a mechanical or virtual, artificial agent. It is usually a system, which, by its appearance or movements, conveys a sense that it has intent or agency of its own. The word robot can refer to both physical robots and virtual software agents, but the latter are usually referred to as bots to differentiate.
Στόχος μας στο παρόν είναι να σας δώσουμε να καταλάβετε τον τρόπο με τον οποίο φτιάχνονται τα bots. Λέτε όμως να περιοριστούμε μόνο σε αυτό; Χμ, όχι βέβαια ;) Είναι βλέπετε πεποίθησή μας ότι σημασία δεν έχει μόνο το εργαλείο αλλά και ο τρόπος που θα το χρησιμοποιήσεις! Θα δούμε λοιπόν κι έναν πολύ ενδιαφέρον παράδειγμα χρήσης.

14

Cross Site Request Forgery

Θα υποπτευόσαστε ποτέ ως διαρρήκτη τον ίδιο τον ιδιοκτήτη ενός σπιτιού -ας πούμε τον Κο Νοικοκύρη-, όταν τον βλέπατε μέρα μεσημέρι να μπαίνει στο σπίτι του από την κεντρική είσοδο με τα κλειδιά στο χέρι; Οι μόνοι που θα μπορούσαν ν’ απαντήσουν “ναι” σε ένα τέτοιο ερώτημα είναι μόνο όσοι έχουν προβλήματα όρασης! Πώς είναι δυνατόν να υποπτευθείς αυτόν που έχει τη δικαιοδοσία να κάνει κάτι; Χμ, μήπως θα πρέπει να το ξανασκεφτούμε; Θα μπορούσε, π.χ., να τον έχει βάλει κάποιος ο οποίος τον απείλησε κι ο Κος Νοικοκύρης να το κάνει κάτω από ψυχολογική βία. Ακόμα χειρότερα, θα μπορούσε να τον έχει βάλει κάποιος και ο Κος Νοικοκύρης να μην το έχει καν καταλάβει! Όσο κι αν φαίνεται απίθανο και πέρα από τα όρια της λογικής, η τελευταία περίπτωση μπορεί να συμβεί. Ίσως όχι τόσο συχνά στον πραγματικό μας κόσμο, αλλά αρκετά συχνά σε έναν άλλο κόσμο, ιδεατό, εικονικό, αλλά εξίσου επικίνδυνο: Ποιον άλλον; Τον κόσμο του Διαδικτύου. Στο άρθρο αυτό θα μιλήσουμε για τέτοιες επιθέσεις.

Page 1 of 512345

Σύνδεση

Αρχείο δημοσιεύσεων