Video: I HACKED My BEST FRIENDS ROBLOX Account And STOLE Her PETS In Adopt Me! (Roblox) (November 2024)
Získajte veľa hackerov a ďalších ľudí zameraných na bezpečnosť na jednom mieste a nevyhnutnosť trocha dobrej konkurencie a hackerstva je nevyhnutná.
Minulý týždeň bol samit Kaspersky Lab Security Analyst Summit plný zaujímavých stretnutí a zúčastnili sa ho niektoré z najlepších v oblasti informačnej bezpečnosti, ale to nebolo všetko. Účastníci sa tiež môžu zúčastniť súťaže „Crypto-challenge“, kde pomocou svojich hackerských schopností vyrieši sériu hádaniek. Bol som medzi hrstkou, ktorá dokončila výzvu, a na ceste sa dozvedela viac o kryptografii, nejasnostiach a spätnom inžinierstve.
Predovšetkým som sa dozvedel, že hackovanie je ako riešenie hádaniek; stále si premýšľate: „Dovoľte mi vyskúšať túto jednu vec, “ a keď sa na to naozaj cítite, skutočne sa cítite skutočne nadšení.
Kľúč má kryptografia
V jadre je kryptografia o prijatí správy a jej písaní takým spôsobom, že vyzerá ako blábol pre každého, kto nepozná tajomstvo. Je to trochu ako prasa latina. Ak nepoznáte pravidlá jazyka, neviete, čo znamená „ellohay“. Niektoré šifry sú veľmi jednoduché - napríklad zamieňanie listu za ďalšie písmeno, takže a sa stáva b, b sa stáva c a tak ďalej, až kým sa „ahoj“ nestane „ifmmp“. Iné sú oveľa matematicky zložitejšie a používajú sa na ochranu našich čísel kreditných kariet a hesiel.
Každý účastník summitu dostal po registrácii list o krypte. Na konci bol reťazec písmen, ktoré nedali zmysel, ale mali známy formát. Počnúc reťazcom „vhhd: //“ a potom skupinami písmen oddelených bodkou (.), Jednoznačne to bola adresa URL webovej stránky. Keď som si uvedomil, že prvých pár písmen je „http: //“, vedel som, že to bol ROT13, obľúbená (a nesmierne slabá) šifra, ktorá zamieňala každé písmeno písmenom, ktoré má abecedu o 13 miest neskôr. Nebolo potrebné pracovať manuálne, pretože na webe je veľa dekodérov ROT13.
Zahmlený Javascript, Oh My
Výsledná stránka s obrázkom a uvítacou správou bola nudná. Zdrojom stránky bolo čokoľvek iné. Boli to riadky a riadky viac bláznovstva, uzavreté v značkách <script type = "text \ javascript">. Ah, zahmlený Javascript.
Zmätenie je bežne používaná technika, pri ktorej škodliví kódovači napíšu kód útoku takým spôsobom, že človek ho nedokáže ľahko prečítať. Od kryptografie sa líši tým, že pri generovaní ťažko čitateľného kódu sa nespolieha na tajomstvo, ale skôr na spletité programovacie metódy. Výsledný kód je pre ľudské oko nečitateľný, ale stroj nemá problém porozumieť a vykonať ho.
Podobne ako v prípade ROT13 nebolo potrebné pokúšať sa manuálne analyzovať rozmazaný Javascript. Namiesto toho som použil inšpektor DOM, ktorý je zabudovaný do webového prehliadača Chrome a prešiel každým prvkom stránky. Videl som kód na zobrazenie obrázka a uvítaciu správu ukrytú vo vnútri blbca, ako aj komentárový riadok kódu obsahujúci ďalšie vodítko.
Zatmenie sa neobmedzuje iba na Javascript. Musel som upraviť skript v jazyku Perl, aby som zistil, čo sa ten škaredý kúsok kódu snaží povedať.
Reverzné inžinierstvo ako šéf
Na jednom mieste som stiahol spustiteľný súbor (naskenovaný pomocou Kaspersky Antivirus - nie je na škodu byť opatrný!), Ktorý ma vyzval na zadanie užívateľského mena a hesla. Nastal čas obrátiť tohto spustiteľného technika.
V tomto okamihu pomohla práca s prenosným systémom Linux, pretože by som mohol použiť reťazce , Linuxový nástroj príkazového riadku, ktorý tlačí obsah netextových súborov, a gdb , debugger, ktorý umožňuje vidieť, čo sa deje vo vnútri súboru, keď sa vykonáva., Reťazce boli užitočné aj neskôr, keď som si stiahol súbory.d64. Mohol som si stiahnuť emulátor Commodore 64 - ako chcel organizátor výzvy - spustiť súbor, ale práve som spustil reťazce, aby som zistil, kam ďalej.
Počul som o vložení tajných správ do obrázka, ale keď som sa stretol s takýmto obrázkom, bol som na začiatku pahýľ. Potom som si spomenul, že obrázky majú vrstvy a útočníci môžu vložiť informácie do rôznych vrstiev bez narušenia viditeľnej vrstvy. Mohol som sa pozrieť na každú vrstvu v GIMP, nástroj s otvoreným zdrojovým kódom podobný Adobe Photoshopu, ktorý beží na Linuxe. Namiesto toho som prešiel obrázkom cez reťazce , ktoré extrahovali všetok text skrytý v obrázku. To je jeden univerzálny a šikovný príkaz.
Poznámka O heslách
Niekoľko krokov v tejto výzve ma vyzvalo na platné heslo. Zatiaľ čo „heslo“ sa nikdy neobjavilo, vyskytla sa aspoň jedna príležitosť, keď som náhodne zadal slová, ktoré mali určitý význam pre konferenciu a hru, kým som nenarazil na správne. V jednom kroku ma zakopli malé a veľké písmená, takže som vygeneroval zoznam všetkých možných kombinácií a prepracoval som sa.
Útočník, vyzbrojený niektorými informáciami o obete, sa môže ľahko pokúsiť uhádnuť správne heslo, alebo jednoducho prejsť zoznamom možných slov. Stále som zamrmlal: „Chcem vás oklamať, “ a keď som na to prišiel, pomyslel som si: „HA!
Len riešenie hádaniek
S výnimkou reťazcov a gdb, každý jednotlivý prvok výzvy závisel od niečoho celkom jednoduchého alebo od niečoho, čo by som sa mohol pri vyhľadávaní Google naučiť. Aj keď nie všetky hackovanie je také jednoduché, je dôležité pochopiť, že tieto zručnosti sa stavajú nad sebou. Ak chcete začať, potrebujete iba trochu zvedavosti a ochoty vytrvať.
Počujete o ľuďoch, ktorí sa pokúšajú preniknúť do systémov alebo spúšťajú kampane online pre zábavu, alebo len aby dokázali, že môžu. Hackeri, ktorí hackerom bránia v hackerskom útoku, vedú k nevyspytateľnej horúčke adrenalínu, ktorá pochádza z riešenia náročnej hádanky.