Мой первый взлом или как я стал ХаЦкером ;)
Расскажу невымышленную историю о том, как я взломал (Школо)хакера... Дело было лет так шесть назад. Я был маленьким, глупеньким и несмышленым школьничком, который визжал как *** при слове хакер. В то время быть хакером было модно, стильно, молодежно.
Не считая себя хуже других, я решился на отчаянный шаг(!!!): стать Хакером. Однако, первые запросы в Google и сразу куча непонятных ссылок о каких-то SQL INJ, XSS, CSRF и др. быстро отпугнули меня... Шло время, а жажда легкой славы и наживы не покидали меня. Я пробовал все что мог: фишинг, спам, брутфорс(вжух, скачал Wishmaster и потерял свой аккаунт Вконтакте xD) - бесполезно. Фишинг, да и еще от безграмотного школьника - просто нонсенс(тогда я этого не понимал). И тут меня осенило - "А что если таких безграмотных школьников как я много, и каждый пытается стать Хакером ? Может стоит 'ломать' их ?". И это, господа, был очень грамотный и удачный ход! Я сразу же взялся искать таких же 'горе' хакеров как и я: выбор пал на фишеров.
Большинство фишинговых сайтов - подделки более опытных школьников, но в целом ничего сложного: повтор образа какого-либо сайта с возможностью ввода данных своей учетной записи. При вводе данных, они записывались в некий текстовый файл, хранящийся на сервере. Проблема была лишь одна: стоило одному сделать такую подделку и выложить ее в сеть, как тысячи других ставили ее к себе и пользовались, без каких-либо предварительных настроек сервера. То есть, тот самый файл, куда и шла запись частенько был доступен из вне, любому пользователю сети Интернет. А так как многие фейковые сайты были изготовлены по шаблону, чьи исходники легко можно было нарыть в сети, то дело принимало совсем простую формулировку: найти подделку, прочитать нужный файл. Первые плоды не заставили себя долго ждать, а Google стал мне лучшим другом. Я нашел, что искал и прочел нужный файл: файл содержал логины и пароли вперемешку с грубыми фразами. Затем, начал тестировать наживу на валидность. И вуаля, самая первая строчка файла - валидна. Меняю привязку аккаунта на свою и наслаждаюсь результатами. Затем, решил полученную пару логин:пароль проверить на других сервисах, где был зарегистрирован данный пользователь: ВЖУХ и первая строчка снова бьет в точку. На сей раз страничка Вконтакте, да еще и с голосами. Чувствовал себя просто капитаном Дрейком :)
Через некоторое время(~неделька), на эту страничку приходит уведомление о добавлении в друзья: личность совершенно неизвестная мне. Добавил. Начинается диалог, мол:
-Как ты меня Взломал ?
-...что тут пишу про свое мастерство цирюльника и т.п
-Дело в том, что я создатель того фейкового сайта ... тыры-пыры
И в этот самый момент я понял, что первая строчка данных была тестовой, а сами тесты проводил, конечно же владелец ресурса. Вот так вот я и взломал 'Хакера'. А на мыле к слову и Яндекс.Деньги были, и хостинги разные и еще куча-куча всего. Я правда что, ничем не воспользовался, а все награбленное вернул. И это, более чем правда: ведь все что мне нужно было, это веселье. Сейчас мне 23 и я работаю программистом, веду блог на Хабре и пытаюсь стать преподавателем :)
А ссылка то на блог вот: https://habrahabr.ru/users/IvanKamynin/
Читайте, посвящайтесь! А если вам понравился сий мой pikabu-пост, то могу рассказать о самых казусных(именно казусных!) ошибках, которые я встречал на крупных(и очень крупных) и не очень сайтах.
Как не стать жертвой мошенников: 5 правил безопасности в интернете
Прошу не топить и довести для всеобщего ознакомления, коммент для минусов внутри!
В Минкомсвязи считают SMS-коды небезопасными для оплаты. В новом выпуске спецпроекта TatCenter.ru "Мнения" глава компании по подбору облачных сервисов Алексей Федоров объясняет, как обезопасить себя от утечки важной или конфиденциальной информации.
В Министерстве связи и массовых коммуникаций РФ считают, что использование SMS для подтверждения подлинности пользователя является небезопасным для банков.
Об этом в начале октября сообщили российские СМИ со ссылкой на пресс-службу ведомства. Использование SMS для аутентификации несет существенные риски для безопасности, и необходимо использование других, более безопасных способов, таких как применение генераторов одноразовых паролей с дополнительной криптографической защитой, считают в ведомстве. Отмечалось, что соответствующие приложения и сервисы на данный момент реализованы как отечественными, так и зарубежными компаниями.
Онлайн-банки с помощью SMS-кода подтверждают вход пользователя и производимые операции. Утечка кода может означать, что злоумышленник войдёт в онлайн-банк под видом пользователя и произведёт операции от его имени. Например, выведет деньги со счетов пользователя. С данными банковской карты и SMS-кодом, злоумышленник может подтверждать покупки картой жертвы в интернет-магазинах. Этот риск относится и к облачным сервисам, которые используют SMS-коды. К злоумышленнику может попасть личная переписка в электронной почте или мессенджере, личные фотографии, учётная запись телефона, что особенно опасно в случае кражи.
Как правило, сотрудники банка и сотрудники оператора сотовой связи могут просматривать отправленные онлайн-банком SMS. Но утечка на данном этапе маловероятна, поскольку банки и операторы строго регламентируют уровни доступа к этой информации и следят, чтобы достаточные для злонамеренных действий данные не попадали в одни руки.
Радиоперехват GSM-канала тем более невероятен, поскольку это сверхтехнологичный подход и не позволяет адресно выбирать жертву. Чаще всего, SMS с кодом подтверждения уходит злоумышленнику через мобильное приложение, которому пользователь сам выдал доступ к просмотру SMS.
Нередко мошенники звонят жертве от имени сотрудников банка и, под внешне безобидными предлогами, выясняют код подтверждения.
В особых случаях, злоумышленник от имени жертвы обращается в отделение оператора связи с просьбой заменить SIM-карту. Процедура занимает несколько минут, SIM-карта в телефоне жертвы перестаёт действовать, вместо неё все звонки и SMS приходят на телефон мошенника. Эта схема требует подделки паспорта или сговора с сотрудником отделения.
Чтобы обезопасить себя необходимо следовать нехитрым правилам.
Если банк предоставляет другие способы получения кода подтверждения, переходите на них. Это может быть push-уведомление, код, генерируемый в мобильном приложении банка, или считывание QR-кода с экрана монитора. В этом случае код проходит в изолированном периметре сервисов банка и по зашифрованным каналам.
Читайте какие разрешения запрашивают приложения, которые вы устанавливаете на телефон. Если установили красивые обои или приложение-калькулятор, а оно запрашивает возможность просматривать SMS, то это повод задуматься.
Не храните пароли или данные банковских карт в открытом виде, ни на компьютере, ни на телефоне, ни в сообщениях самому себе. При всей осторожности и наличии антивирусов, остаётся угроза появления троянской программы. Используйте специальные приложения для хранения паролей.
Избегайте отправки отсканированного паспорта, файл легко перехватить и сделать по нему подделку. Если это неизбежно, не сканируйте паспорт, а сфотографируйте его с плохим ракурсом и сложным освещением.
Попросите пожилых родственников не сообщать никаких данных звонящим по телефону сотрудникам банков. Даже если они очень милы и настойчивы. Попросите в таких ситуациях звонить вам.
Сообщество "Жизнь пентестера"
В данном сообществе будут публиковаться все о безопасности ЭВМ
- Новости в сфере IT индустрии
- Интересные факты о безопасности
- Некоторые факты из личного опыта
(Может быть немного OFFTOP`a)
Угнали пароли пользователей TeamViewer
Множество пользователей жалуются на то что их аккаунты взломаны; сайт teamviewer.com не работал несколько часов из-за проблем с DNS.
За последние несколько дней появилось множество сообщений зарубежных пользователей о том, что их аккаунты Teamviewer были скомпрометированы злоумышленниками:
Многие пользователи утверждают что использовали 2FA авторизацию и белые списки, но, тем не менее, кто-то завладел управлением.
Служба поддержи TeamVeiwer уверяет что утечки не было.
Недоступность сайта teamveiwer.com в течении нескольких часов поднял градус накала пользовательских страстей. Предположительно, проблема была связана с DNS-серверами.
Некоторые утверждения довольно спорны и даже сомнительны, но, тем не менее, стоит проявить лишнюю бдительность и усилить меры безопасности.
habr
Поиграем в бизнесменов?
Одна вакансия, два кандидата. Сможете выбрать лучшего? И так пять раз.