24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Кулхацкеров тред Аноны, а есть ли среди вас хацкеры? Реально ли мутить такую же хуйню как в кино? Что почитать, чтобы делать также, и какие подводные камни?
>>124981244 Я так понял он какимто способом заманивает человека на свою страницу а именно Соц. Инженерия, потом дело техники. Главное что б жертва перешла по ссылке?
>>124981189 На хабре или на ГТ была статья, что самое сложное это запустить червя во внутреннюю сеть. Они нашли в открытом доступе адрес почты замдиректора банка и отправили ему фейковое письмо от Центробанка "Новые правила валютного регулирования" или типа того. Зам открывает файл и через несколько дней все ПК были уже заражены.
>>124981663 Так и есть Хакеры взломали аккаунты звезд, на деле просто подобрали ответы на секретные вопросы или рассылку сделали от лица эпл вот и все хакерство
>>124981663 Ну а что? Вот представь, в системе может быть какой-нибудь эксплойт. Который надо найти еще неизвестно как, потому что доступа к списку используемого ПО у них нет, физического доступа к сервакам тоже. Зато в банке работает 3, 5, 15 тысяч долбоебов начиная от операционистов, колл-центра и кассиров и заканчивая правлением, которые готовы вставить в свой рабочий комп любую флешку или открыть любой пришедшей по почте файл. Ну не все, конечно. Но наверняка толпа народу, которые забивают на это все. Сам работаю в банке, так что знаю
Помню забавную картинку, школьника в маске гая фокса, где баба спрашиает, какое он имеет отношение к движения анонумиус, а он отвечает что производил ДДДДОС атаки
>>124980640 (OP) Как в кино (т.е. в том смысле что за 30 минут дрочилова клавиатурой получить доступ к всем банкам, полицейским участкам и девственницам Аллаха) – нет. Кино про хакеров снимают не для хакеров, а ради кассовых сборов и никого не интересует как выглядит всё это с профессиональной точки зрения (да еще и большинство людей вполне даже верит во всё то что показано на экране). С другой стороны, что проникнуть можно практически в любую систему.
Обычно сначала идет этап сбора данных о цели (не важно компания ли это, один человек или какой-то сайт/система). Первым делом нужно иметь всю информацию о объекте (допустим, есть 3 типа объектов: (1) Личность, (2) Сайт/Система, (3) Компания/Организация. 1. Если речь идет о человеке – тогда можно начинать с чего-либо (аккаунты в соц-сетях, почта чудесно подходит, т.д.). В соц-сети можно даже узнать в какое кафе ходит жертва (чтобы юзануть mitm) или какие еще сайты использует (если цель важная, можно и сайт взломать только ради того чтобы внедрить XSS туда). Здесь можно делать очень много чего, люди – главная дыра в безопасности. 2. О сайте/системе нужно узнавать все библиотеки, которые там висят, висит ли сайт на VPS-сервере или shared-хостинге (если VPS, тогда нужно искать торчит ли что-то наружу с этого сервера (какие порты открыты, какие сервисы висят, а может есть еще и другие сайты, который работают с этого VPS(в таком случае для каждого сайта начинается сбор полной инфы таким же образом))). Помимо этого, можно собирать всю информацию как и в первом пункте (администраторы, тех. персонал, другие люди которые могут иметь доступ до системы). 3. О компании собираются все данные с первого и второго пункта, и, дополнительно, обычно опытные черти узнают даже версий прошивок роутеров/фаерволов (если повезет, такие прошивки есть в открытом доступе или можно дешево купить чтобы протестировать их). Люди с головой могут найти баги в вендорских прошивках и написать сплоит. Те кто без головы могут купить сплоиты или продолжать поиски, исследуя каждую систему компании/организации по схеме пункта 2, или пункта
На каждый их этих этапов можно потратить много времени и ресурсов. Лично я считаю СИ средством для тех у кого нет яиц получить доступ другим способом, но именно соц. инженерия чаще используется – люди доверчивые, сами игнорируют правила безопасности. В конце-концов, можно даже прослушивать телефон или ставить наружную слежку за целью с целью последующего шантажа, но об этом вам никто вслух не расскажет, а если и начнет говорить то никто не поверит.
Максимум что покажут в фильмах: как кул-хацкер сканить Nmap'ом какую-то тачку чтобы потом зацепиться на найденный открытый порт. Никто вам не скажет и не покажет правды в фильме просто потому что взламывать что-то это не беспрерывная ебля по клавиатуре, а рутинная робота. Да, это работа интересная, всегда есть новые задачи и при достижении успеха ощущения такие, будто бы ты отымел Афродиту, НО если бы снимал кто-то реалистичный фильм, то для большинства людей он был бы столь унылым как и фильм о работе сантехником с сантехником в главной роли. Прошу прощения за неровный почерк, писал жопой, перечитывать лень.
и от себя добавлю что люди - главная дыра в безопасности любого из этих трех объектов. И если стоит задача проникновения в систему то в 90% это можно сделать вообще без компа. Ну а если взлом ради взлома, ради удовольствия - то это уже совсем другая история
Аноны, а есть ли среди вас хацкеры? Реально ли мутить такую же хуйню как в кино? Что почитать, чтобы делать также, и какие подводные камни?