Video: Bandila: Pinoy shows Facebook hacking skills (Nobyembre 2024)
Kumuha ng isang bungkos ng mga hacker at iba pang mga taong nasa isip ng seguridad sa parehong lugar at kaunting mabuting kumpetisyon na may kagalingan at pag-hack ay hindi maiwasan.
Ang Kaspersky Lab Security Analyst Summit noong nakaraang linggo ay puno ng jam na may mga kagiliw-giliw na sesyon at dinaluhan ng ilan sa mga pinakamahusay na kaisipan sa seguridad ng impormasyon, ngunit hindi iyon lahat. Ang mga dadalo ay maaari ring makipagkumpetensya sa "Crypto-hamon, " kung saan ginagamit nila ang kanilang mga kasanayan sa pag-hack upang malutas ang isang serye ng mga puzzle. Isa ako sa ilang dakot na natapos ang hamon, at sa kahabaan ng paraan natutunan nang kaunti pa tungkol sa kriptograpiya, obfuscation, at reverse engineering.
Higit sa lahat, nalaman ko na ang pag-hack ay tulad ng paglutas ng mga puzzle; patuloy kang nag-iisip, "Hayaan mo lang akong subukan ang isang bagay na ito, " at pakiramdam talagang nasasabik kapag nakuha mo ito.
Hawak ng Susi ang Cryptography
Sa puso nito, ang kriptograpiya ay tungkol sa pagkuha ng isang mensahe at pagsulat nito sa paraang mukhang walang kabuluhan sa sinumang hindi nakakaalam ng lihim. Ito ay isang maliit na tulad ng Pig Latin. Kung hindi mo alam ang mga patakaran ng wika, kung gayon wala kang ideya kung ano ang ibig sabihin ng "ellohay". Ang ilang mga ciphers ay napaka-simple - tulad ng pagpapalit ng titik sa susunod na liham, kaya't nagiging b, b nagiging c, at iba pa, hanggang sa "hello" ay nagiging "ifmmp." Ang iba ay mas kumplikado sa matematika at ginagamit upang maprotektahan ang aming mga numero ng credit card at mga kredensyal ng password.
Ang bawat dumalo sa summit, kapag nakarehistro, ay nakatanggap ng isang sulat tungkol sa hamon sa crypto. Sa dulo ay isang string ng mga titik na walang kahulugan ngunit may isang pamilyar na format. Simula sa "vhhd: //" at sinundan ng mga pangkat ng mga titik na pinaghiwalay ng isang panahon (.), Malinaw na ang URL sa isang website. Kapag napagtanto ko ang unang ilang mga titik ay "http: //" Alam kong ito ay ROT13, isang tanyag (at napakalakas na mahina) na cipher, na pinapalitan ang bawat titik sa isa na darating na 13 mga lugar sa paglaon sa alpabeto. Hindi na kailangang gagamitin nang manu-mano ang URL, dahil may mga toneladang ROT13 decoder sa Web.
Natanggal na Javascript, Oh My
Ang nagresultang pahina, na may isang imahe at isang maligayang mensahe, ay nakababagot. Ang mapagkukunan ng pahina ay anupaman. Ito ay mga linya at linya ng mas maraming bastos, na nakapaloob sa <script type = "text \ javascript"> tag. Ah, nabura ang Javascript.
Ang Obfuscation ay isang pangkaraniwang ginagamit na pamamaraan kung saan nakasulat ang mga nakakahamak na mga coder ng pag-atake ng code sa paraang hindi madaling mabasa ng isang tao ang code. Iba ito sa kriptograpiya dahil hindi ito umaasa sa isang lihim ngunit sa halip na pinagsama-samang mga pamamaraan sa pagprograma upang makabuo ng hard-to-read code. Ang nagresultang code ay hindi mailalapat sa mata ng tao, ngunit ang makina ay walang problema sa pag-unawa at pagpapatupad nito.
Tulad ng kaso sa ROT13, hindi na kailangang subukan na i-parse ang obfuscated na Javascript nang manu-mano. Sa halip, ginamit ko ang inspektor ng DOM na kung saan ay binuo sa browser ng web browser ng Chrome at sumagi sa bawat elemento ng pahina. Nakita ko ang code para sa pagpapakita ng imahe at ang maligayang mensahe na nakatago sa loob ng gibberish, pati na rin ang nagkomento sa linya ng code na naglalaman ng susunod na bakas.
Ang Obfuscation ay hindi limitado sa Javascript lamang. Kinailangan kong mag-edit ng isang script ng Perl upang malaman kung ano ang sinusubukan nitong sabihin.
Reverse Engineering Tulad ng isang Boss
Sa isang punto, nag-download ako ng isang maipapatupad na file (na-scan sa Kaspersky Antivirus - hindi ito masakit na mag-ingat!) Na nag-udyok sa akin na magpasok ng isang username at password. Ito ay oras na upang baligtarin ang inhinyero na maipapatupad.
Ang pagtatrabaho sa isang laptop ng Linux ay nakatulong sa puntong ito, dahil maaari kong gumamit ng mga string, isang tool na linya ng Linux na naglimbag ng mga nilalaman ng mga di-text na file, at gdb, isang debugger na nagbibigay-daan sa iyo na makita kung ano ang nangyayari sa loob ng isang file habang ginagawa nito . ang mga string ay madaling gamitin sa ibang pagkakataon sa hamon, nang mag-download ako ng mga file na .d64. Maaari akong mag-download ng isang Commodore 64 emulator - tulad ng inilaan ng tagapag-ayos ng hamon - upang patakbuhin ang file, ngunit tumakbo lang ako ng mga string upang malaman kung saan pupunta sa susunod.
Narinig ko ang tungkol sa pag-embed ng mga lihim na mensahe sa loob ng isang larawan, ngunit kapag naharap ako sa gayong imahe, una akong natigil. Pagkatapos ay naalala ko na ang mga imahe ay may mga layer, at ang mga umaatake ay maaaring mag-embed ng impormasyon sa iba't ibang mga layer nang hindi nakakagambala sa nakikitang layer. Napatingin ako sa bawat layer sa GIMP, isang open-source tool na katulad ng Adobe Photoshop na tumatakbo sa Linux. Sa halip, pinatakbo ko ang imahe sa pamamagitan ng mga string, na kinuha ang lahat ng teksto na nakatago sa imahe. Iyon ay isang maraming nalalaman at madaling gamiting utos.
Tandaan Tungkol sa Mga Password
Ang ilan sa mga hakbang sa hamon ay nagtulak sa akin para sa isang wastong password. Habang ang "password" ay hindi dumating, hindi bababa sa isang okasyon kung saan pinasok ko lang ang random na mga salita na may kaugnayan sa kumperensya at laro hanggang sa natagpuan ko ang tama. Sa isang hakbang, nakakuha ako ng maliit na maliit / malalaking titik, kaya nabuo ko lamang ang isang listahan ng lahat ng posibleng mga kumbinasyon at nagtrabaho ako.
Ang isang umaatake, na armado ng ilang impormasyon tungkol sa biktima ay madaling subukan na hulaan ang tamang password, o magpatakbo lamang ng isang listahan ng mga posibleng salita. Patuloy akong nagbubulung-bulungan, "Pupunta ako sa labas, " at nang maisip ko ito, naisip ko, "HA! Mayroon ka!"
Palaisipan-Paglutas lamang
Maliban sa mga string at gdb, ang bawat solong elemento ng hamon ay nakasalalay sa isang bagay na diretso, o isang bagay na matututunan ko sa isang paghahanap sa Google. Habang hindi lahat ng pag-hack ay simple, mahalagang maunawaan na ang mga kasanayan na binuo sa itaas ng bawat isa. Upang makapagsimula, kakailanganin mo lamang ng kaunting pag-usisa at isang pagpayag na magtiyaga.
Naririnig mo ang tungkol sa mga taong nagsisikap na masira sa mga system o paglulunsad ng mga kampanya sa online para sa kasiyahan, o para mapatunayan lamang nila. Ano ang nagpapanatili sa pag-hack ng hacker ay ang mailap na pagdaragdag ng adrenaline na nagmumula sa paglutas ng isang mapaghamong puzzle.
