Videó: 🔴 Watch Day Trading Live - November 17, NYSE & NASDAQ Stocks (Live Streaming) (November 2024)
Szerezzen egy csomó hackert és más biztonsággal foglalkozó embert ugyanabban a helyen, és elkerülhetetlen egy kicsit jóindulatú verseny és a hackelés.
A múlt heti Kaspersky Lab biztonsági elemzői csúcstalálkozón érdekes ülések tele voltak, és az információbiztonság egyik legfontosabb szemszögéből vett részt, de ez még nem minden. A résztvevők a "Kripto-kihívás" -on is versenyezhetnek, ahol a hackerezési készségeiket rejtvény-sorozat megoldására használják. Azon néhány ember között voltam, aki befejezte a kihívást, és az út mentén kicsit többet megismerkedtem a kriptográfia, az obfuzáció és a fordított mérnöki munka terén.
Mindenekelőtt megtanultam, hogy a hackelés olyan, mint a rejtvények megoldása; tovább gondolkodik: "Hadd próbáljam meg csak ezt egy dolgot", és nagyon izgatottan érzed magad, amikor megkapod.
A kriptográfia tartja a kulcsot
A kriptográfia lényege az, hogy üzenetet vesz és azt olyan módon írja, hogy olyasmit fog kinézni, aki nem ismeri a titkot. Kicsit olyan, mint a Pig Latin. Ha nem ismeri a nyelv szabályait, akkor fogalma sincs arról, hogy mit jelent az "ellohay". Egyes rejtjelek nagyon egyszerűek - például a betű cseréje a következő betűvel, így az a b-bé válik, b-bé válik c-ként és így tovább, amíg a "hello" "ifmmp" lesz. Mások matematikailag sokkal összetettebbek, és hitelkártya-számaink és jelszó-hitelesítő adataink védelmére szolgálnak.
A csúcstalálkozó minden résztvevője a regisztráció után levelet kapott a kripto-kihívásról. A végén egy betűsor volt, amelynek nincs értelme, de ismerős formátumú volt. A "vhhd: //" betűvel kezdődően, majd egy pontokkal elválasztott betűcsoportokkal követve (.), Ez egyértelműen egy weboldal URL-je volt. Amint rájöttem, hogy az első néhány betű „http: //” volt, tudtam, hogy ez a ROT13, egy népszerű (és óriásian gyenge) rejtjel, amely minden betűt felcserél egy betűvel, amely 13 helyre kerül később az ábécében. Nem kellett manuálisan kidolgozni az URL-t, mivel rengeteg ROT13 dekóder van az interneten.
Hiányos Javascript, Oh My
Az eredményül kapott oldal képpel és üdvözlő üzenettel unalmas volt. Az oldal forrása nem más volt. Sokkal vonzóbb vonalak és sorok voltak, <script type = "text \ javascript"> címkékbe zárva. Ó, elhalványult Javascript.
Az obfuzkálás egy általánosan használt technika, ahol a rosszindulatú kódolók oly módon írják meg a támadási kódot, hogy az ember nem tudja könnyen elolvasni a kódot. Ez a kriptográfiától abban különbözik, hogy nem titokon alapul, hanem egy spirális programozási módszereken alapszik a nehezen olvasható kód generálásakor. A kapott kód olvashatatlan az emberi szem számára, de a gépnek nincs probléma megérteni és végrehajtani.
Mint a ROT13 esetében is, nem kellett megpróbálnia manuálisan elemezni a megszorított Javascriptet. Ehelyett a DOM ellenőrzőt használtam, amely be van építve a Chrome böngészőbe, és átlépte az egyes elemelemeket. Láttam a kép megjelenítéséhez használt kódot és az üdvözlő üzenet rejtett részeként, valamint a következő nyomot tartalmazó kommentált kódot.
Az összetévesztés nem korlátozódik csak a Javascriptre is. Szerkesztenem kellett egy Perl-szkriptet, hogy kitaláljam, mit akar mondani ez a csúnya kód.
Fordított tervezés, mint egy főnök
Egy ponton letöltöttem egy futtatható fájlt (a Kaspersky Antivirus programmal szkennelve - nem fáj, hogy vigyázzon!), Amely felszólította a felhasználónevet és a jelszót. Ideje volt megtervezni ezt a végrehajtható fájlt.
A Linux laptop kikapcsolása ezen a ponton segített, mert használhattam karakterláncokat , egy parancssori Linux eszközt, amely kinyomtatja a nem szöveges fájlok tartalmát, és a gdb-t , egy hibakeresőt, amely lehetővé teszi, hogy megnézhesd, mi történik egy fájlban, amikor végrehajtja.. A húrok később szintén hasznosak voltak a kihívás során, amikor.d64 fájlokat töltöttem le. Letölthettem volna a Commodore 64 emulátort - ahogyan a kihívás szervezője szándékozott - a fájlt futtatni, de csak húrok futtattam, hogy kitaláljam, hová menjek tovább.
Hallottam egy titkos üzenet beágyazásáról egy képbe, de amikor ilyen képpel szembesültem, először megbotlik. Aztán eszembe jutott, hogy a képek rétegekkel vannak ellátva, és a támadók beágyazhatják az információkat különböző rétegekbe anélkül, hogy a látható réteget megzavarnák. Megvizsgálhattam volna minden réteget a GIMP-ben, amely egy nyílt forrású eszköz, hasonló az Adobe Photoshophoz, amely Linuxon fut. Ehelyett a képet egy karakterláncon keresztül futtattam, amely kibontotta a képen rejtett összes szöveget. Ez egy sokoldalú és praktikus parancs.
Megjegyzés a jelszavakról
A kihívás néhány lépése során érvényes jelszót kértem nekem. Míg a "jelszó" soha nem jelent meg, volt legalább egy alkalom, amikor véletlenszerűen csak olyan szavakat írtam be, amelyek valamilyen szempontból relevánsak voltak a konferencián és a játékban, amíg meg nem botlottam a helyeshez. Egy lépésben kis- és nagybetűkkel kibontakoztam, tehát elkészítettem az összes lehetséges kombináció listáját, és végiggondoltam magam.
A támadó, az áldozattal kapcsolatos információkkal felfegyverkezve, megkísérli kitalálni a helyes jelszót, vagy csak átfuttathatja a lehetséges szavak listáját. - motyogtam tovább, "túlélni foglak téged", és amikor kitaláltam, azt gondoltam: "HA! Megvan!"
Csak puzzle-megoldás
A húrok és a gdb kivételével a kihívás minden egyes eleme valami meglehetősen egyértelműen függött, vagy valamit, amit megtanulhattam egy Google kereséssel. Bár nem minden a hackelés ilyen egyszerű, fontos megérteni, hogy a készségek egymásra épülnek. Az induláshoz szükséged van egy kis kíváncsiságra és kitartó hajlandóságra.
Hall az emberekről, akik megpróbálnak betörni a rendszerekbe vagy online kampányokat indítanak szórakozásból, vagy csak annak bizonyítására, hogy képesek. A hackereket a hackerek tartják az a megkíséretlen adrenalin, ami egy kihívást jelentő puzzle megoldásából származik.
