» »

Hekerji

Hekerji

«
1
2 3

rokm88 ::

A pozna (al pa je) kdo od vas heker? A pozna kdo kšno slovensko hekersko skupino? To bi blo use. Hvala.

kopernik ::

Pazi (preberi 9. in 12. člen pravil).

khm, khm...

rokm88 ::

Ja sej ne mislm ta črnih. Mene zanima za ta sive.:\

mchaber ::

Phone l0sers of Slovenia;)
.

hash ::

Odivsno kako definiras "hekerje"

BigWhale ::

Jargon ima samo eno definicijo hackerja.

Lep primer slovenskega hackerja bi bil Primoz recimo, ker cele dneve hacka tole slo-tech kodo, pa najbrz se kaj drugega.

Kakrsnakoli druga interpretacija hackerja je napacna in ne tocna.
'Sivih' pa ni. There are white hats and black hats. You either do right or wrong.

kopernik ::

Jargon ima več definicij hackerja, ampak ... skoraj zagotovo je rokm88 mislil tisto, ki je označena z deprecated ... :))

slovan ::

Pazi (preberi 9. in 12. člen pravil).
Tako da..
:D

kopernik ::

Če je to letelo name (in mislim, da je >:D ), nisem nikjer omenil, da poznam hekerja(oz. nekoga, ki po mojem mnenju ustreza v Sloveniji iskalnemu kriteriju rokm88-a) iz slovenije. Jargon file pa ... ni nič posebnega.

Ker tudi ni blo povedanega nič takga, nisem zaklenil ali brisal.

Zgodovina sprememb…

  • spremenil: kopernik ()

OwcA ::

Zanimiva je originalna raba besede, še posebaj tisti del with an axe, pa se le ni toliko spremenilo ... >:D
Otroška radovednost - gonilo napredka.

|CyGNUS-x ::

Ja povej kaj iščeš? Hekerje ali script kidije >:D >:D ? Tako kot je omeni BigWhale je Primoz lep primer hekerja za script kidije pa itak vsi vemo kje jih najdeš...
Ni in ne more biti nobenega drugega načina za preizkušanje
resnične moči kapitalistične države kot je vojna.

hash ::

No, in kaj zdej, on je pac prasal ce kdo pozna kaksnega hekerja, tuki ni nobene krsitve pravil in ni nic v povezavi z krsitvijo pravil, ne vem kaj komplicirate.

BigWhale ::

> Jargon ima več definicij hackerja, ampak ... skoraj zagotovo
> je rokm88 mislil tisto, ki je označena z deprecated ...

To zadnjo definicijo so naredili mediji... In jo tudi samo mediji uporabljajo v te namene,... ... in pa masa ovc... ;>

kopernik ::

hash:
kot lahko vidiš, nisem nikakor ukrepal ali česarkoli spreminjal. Tisto moje opozorilo se je nanašalo samo na morebitne nezaželjene smeri, v katere se lahko razvije tema s takim naslovom. Strinjam se z BigWhale-om, da obstaja nepotrebna negativna mistika okrog hackerjev.

root987 ::

Kolikor vem je heker nekdo, ki _ZELO_ obvlada neko področje računalništva - programiranje, linux, itd.
"Myths which are believed in tend to become true."
--- George Orwell

Cr00k ::

@root:

A ne ga srat! RES? hehe sm mislu da si heker ce znas windowse nalozit :D

Matthai ::

Ne. Hekwer si, če ti Windozi delajo, ne da bi se ti stalno usuvali :-))

Cr00k... a se spomniš leta 1998... takrat je en Levjesrčni, alias Cr00k shekal Siol... si to mogoče ti?;)

Cr00k ::

Matthai: pa kaj ti vodis E-kroniko?!:)

Cr00k ::

btw: ni bil samo en...

Matthai ::

Cr00k: ne, se pa zanima za hekerje... v bistvu en film o hekerjih in hekanju snemam... trenutno imam za kakšnih 10 minut posnetkov... 8-)

Cr00k ::

hehe.. to je isto kot da bi iskal, dilerje..

...kdo je tle diler nej se jav...:)

btw: o cem bo pa govoril filmcek?

Vesoljc ::

o hekanju? :D
Abnormal behavior of abnormal brain makes me normal...

Cr00k ::

res?! hvala ti na razlagi... ceprav nism tebe prosu zanjo...

freejack ::

Ne. Hekwer si, če ti Windozi delajo, ne da bi se ti stalno usuvali :-)) :D :D :D

Ne,. pol si že Bog. :D :D :D

No ja, en namig, kje jih lahk najdeš; "neworder"

freejack ::

Matthai: pol pa čekiraj filme, kot so npr. Revolution OS ali Hackers :D

nuclear ::

hacker - someone who makes furniture with an axe:D :D :D lol
Corsair 750D - VI Hero - i5 4670k - Corsair Dominator 32GB - 1080Ti - EVO 500GB
- Sabrent 1TB nVME - Corsair AX860i - Ducky Shine 3 Brown

|CyGNUS-x ::

Ali pa Take down :D :D

lp
Ni in ne more biti nobenega drugega načina za preizkušanje
resnične moči kapitalistične države kot je vojna.

Matthai ::

Ja, filmcek naj bi govoril o slovenskih hekerjih in hekanju v Sloveniji. OK, izraz heker... cracker in script kiddie - na to bo potrebno malo opozoriti.
Se pa strinjam, da je zadeva podobna, kot če bi iskal dilerje z drogo, samo se moram pohvaliti, da sem uspel zbrati že kar nekaj materiala. Bi pa rad govril s kakšnim hekerjem tudi v živo (ali pa da mi kaj o svojih izkušnjah pove kdo, ki ga je obravnavala policija), samo nekako ne uspem dobiti nikogar... :) Čeprav sem pripravljen popačiti sliko in zvok in original uničiti.

Trenutno imam 10 minut posnetkov hekanja in pohekanih spletnih strani / baz podatkov, itd. Imam pa notri tudi ene take zadeve, da se danes dobim z dvema novinarjema, ki se spoznata na tovrstno zakonodajo in mi bosta po ogledu povedala ali naj zadevo objavim ali ne, oziroma ali je to kar vem (samo vem - naredil nisem nič) že kaznivo. Kazenski zakonik sva pa s Primožem že zadnjič listala lep čas. ;)

V načrtu je, da bo filmček objavljen na internetu, fino bi bilo, če bi bil na Slo-Techu, samo ne bi bilo pa kul, da policija zaradi tega (oziroma preiskave) začasno zapre server. Da bodo pa mene povabili na informativni pogovor, mi je pa že jasno. Na srečo - oziroma namerno - pa ne vem nič. Ko sem se pogovarjal po IRCu sem logiral samo tekst, brez /whois, datumov in podobnih zadev. Enako pa z maili - copy paste text, ostalo pa zbrisal.

V bistvu kaj me zanima... kaj je bilo narejeno in zakaj ljudje to delajo. Mogoče tudi kako je bilo narejeno, ampak samo v grobem (podrobnosti me ne zanimajo), kdo je to naredil me pa tudi ne zanima. Pa odnos hekerjev do Linuxa, MSja, open source, policije, varnosti, itd.

Potem imam pa v načrtu tudi pogovore z žrtvami hekerskih dejanj, kar se spet zavedam, da bo problem. Ampak sem celo uspel dobiti dva sogovornika, ki sta v kamero mirno povedala, da se jim to, da so jim vdrli na spletno stran ne zdi velik problem. Potem bom pa skušal govoriti še s policaji in inšpektorji, o tem kako preiskujejo, kako se izobražujejo, itd. Tukaj bo pa verjetno še najmanj problemov, če ne bom pa skušal od kakšnega medija dobiti kakšno potrdilo, da za njih delam... Skratka en dokumentaren film.

No v glavnem... če mi ima kdo kaj povedati, naj se mi javi na zasebna sporočila... :)

Tr0n ::

Dobra ideja.

Zamudil si KibliX. Vsako leto priredijo tekmovanje v hekanju. Letos ga je v piclih 4 urah dobil Luka Cajnkar iz MBja. Lahko bi ga na licu mesta intervjujal.

freejack ::

Matthai: dej napiš svoj e-mail

hash ::

Lahko mene intervjujas, sem pravi heker, sem celo napisal svoj operacijski sistem in nekaj exploitov! :D

freejack ::

Mah, sem ti mislil to po mailu poslat, pa je verjetno boljš da kr tu objavim, se bodo nekateri vsaj na realna tla postavili, kar se definicije tiče.

Preden nadaljuješ, se boš moral odločit. Definicija hackerja je samo ena in še ta je prepogosto asociirana z dejanji, ki jih sama definicija sploh ne zajema. Torej, pri poimenovanju računalniškega pirata z hackerjem, ne samo da gre za narobe interpretirano, ampak za popolnoma napačno razlago.

WWWebsterjev Online slovar definira hacker kot;
1.) "one that hacks"
2.) "a person who is inexperienced or unskilled at a particular activity "a tennis hacker"
3.) "an expert at programming and solving problems with a computer"
4.) "a person who illegally gains access to and sometimes tampers with information in a computer system".

Večini ljudem pomeni četrta razlaga idejo, kaj bi naj hacker pravzaprav bil, medtem, ko je v resnici tretja razlaga tista, ki je bližje pravi definiciji, a še vedno nepopolna. Za bolj točno razlago je treba poseči po slovarju, imenovanem "Jargon File", najbolj priznan slovar tovrstne terminologije. Luč je ugledal, kot "a comprehensive compendium of hacker slang illuminating many aspects of hackish tradition, folklore, and humor", za njegov začetek/nastanek pa je treba zasluge pripisati Raphael-u Finkel-u (Stanfort univerza, 1975). To delo je nato v ureditev dobil Don Woods (MIT), leta 1983 pa je izšlo kot knjiga, z naslovom "The Hacker´s Dictionary" (Harper & Row).

Ta slovar daje sledečo razlago besede hacker;
1.) "A person who enjoys exploring the details of programmable systems and how to
stretch their capabilities, as opposed to most users, who prefer to learn only the minimum necessary."
2.) "One who programs enthusiastically (even obsessively) or who enjoys programming rather than just theorizing about programming."
3.) "A person capable of appreciating {hack value}."
4.) "A person who is good at programming quickly."
5.) "An expert at a particular program, or one who frequently does work using it or on it; as in `a UNIX hacker'. (Definitions 1 through 5 are correlated, and people who fit them congregate.)"
6.) "An expert or enthusiast of any kind. One might be an astronomy hacker, for
example."
7.) "One who enjoys the intellectual challenge of creatively overcoming or circumventing limitations."
8.) [deprecated] A malicious meddler who tries to discover sensitive information by poking around. Hence `password hacker', `network hacker'. See {cracker}.

Tu je definicija hackerja že bližja pravemu pomenu, vendar je tudi tukaj treba podati še dotatno razlago. Hacker je oseba, ki rad preučuje vse stvari in to do največje možne mere (definicija 1). Med drugim tudi oz. še posebej na videz nepomembne podrobnosti, v upanju po odkritju "skritih "posebnosti le te, uporabnost in slabe lastnosti/šibki člen. Npr. možno je "hackat"knjigo, s tem da se jo uporabi za izravnavo mize ali uporabit list oz. njegovo ostrino za rezanje stvari. Smisel tega je, da je bila knjiga uporabljena v nek drug način in ne za branje, ki je njena primarna oz. osnovna uporabnost. Podobno lahko govorimo v zvezi z računalniki, ko je nek del, programske ali strojne opreme, uporabljen v
namen, za katerega ni bil primarno zasnovan. Poleg računalnikov in ostalih stvari, se v vsakdanjem življenju pojavlja še izraz "social hacking". Z znanjem psihologije, lahko nekdo prepriča človeka, da naredi nekaj, kar mu reče (v mejah normale seveda). Čeprav se sam izraz sicer uporablja redko, se z njim srečamo vsak dan; žene, možje, fantje, punce, učiteljice, ipd. (npr. ti reče sestra; naredi to zame, pa te ne bom zatožila, kot si takrat naredil to in to). Izven konteksta računalniškega sveta, je uporabljen še izraz "vadding", ki govori o raziskovanju stvari, do katerih povprečen človek sicer nima dostopa; do kleti,
podstrešja javnih zgradb, vzdrževalnih tunelov, jaškov dvigala, itd. Včasih se takšne oz. določene dejavnosti v človeku razvijejo in se od definicije "hacker" odcepijo, ter postanejo nove/druge, npr. "phreaking"; termin, uporabljen v navezi z "heckanjem" telefonov oz. telefonskih sistemov ali "carding", ki v bistvu predstavlja goljufijo s kreditnimi karticami in je nezakonita. Skratka; gre na nagnjenje, ki se izraža tudi zunaj sveta računalništva, vendar ob uporabi istih metod; da odkrije nekaj, kar je navadnemu človeku "skrito". Za hackerja je zdravlje, optimalna koncentracija primarna stvar, zato so takšni ljudje, razen izjem, nekadilci, ne pijejo alkohola, ne uporabljajo drog, itd.
Hacker je oseba, ki je definitivno "obseden" s programiranjem (definicija 2). Ko
izzide kak nov program, se pojavi kak nov stil, tehnika, način, je mnenje, da je
potrebno napisat program, ki bo ta stil, tehniko, način, program izrabljal. Ne
govorim nujno o sami izrabi programa, lahko gre tudi za izrabo določene funkcije, da deluje v nek drug namen. Zaradi tega preživijo takšni ljudje tudi veliko pred računalnikom, pri čem si pridobijo sposobnost, da obdelajo velike količine podatkov v razmeroma kratkem času. Zmožnost hitrega programiranja (definicija 4) je sicer lahko lastnost takšne osebe, ni pa nujno. Definicija 5 se nanaša na točno določeno področje, kjer lahko govorimo o uporabi samo enega operacijskega sistema, npr. unix, linux (specializacija). Ob tem govorimo tudi o strokovnjakih npr. s področja linuxa, vendar sta tu "wizard" ali "guru" bolj priljubljena termina. Tretja definicija je dokaj široka in govori, da je oseba nujno hacker, ampak je lahko zgolj nekdo, ki ima veliko izkušenj, veliko znanja. Namreč, če
omenimo avtorja dobre knjige in nekoga, ki dobro knjigo ceni; tukaj oba spadata pod to definicijo.
Najbolj pa samemu pomenu besede/pojma "hacker" približata definiciji 1 in 7.
Preučevanje sistema, odkrivanje dobrih/slabih lastnosti oz. njegove šibke točke,
uporaba le teh za namene izven splošne uporabnosti, kjer je meja le domišljija oz. izvirnost. To nas nekako pripelje tudi do zadnje, 8. definicije. Oseba s takšnim znanjem oz. načinom razmišljanja lahko uporabi slednje za dostopanje do informacij, do katerih ima sicer prepovedan dostop. Tu se stvari sicer malce zakomplicirajo, zaradi tega, ker za hackerja ne obstaja informacija, do katere bi imel prepoved dostopa. Zaradi tega obstajajo tudi etična pravila, ki je jih hacker ali MORA držati, ali pa se jih drži že na podzavestni stopnji. Ta sicer hackerju dovoljujejo dostop do KAKRŠNIHKOLI informacij, vendar tudi obravnavajo ravnanje z njimi. Namreč, lahko vdreš v strežnik Bele Hiše, vendar najdenih informacij ne smeš spreminjati, brisati, skratka, ne smeš narediti kakršnekoli škode, iz česar je razvidno, zakaj se mediji ob poimenovanju računalniškega
pirata z hackerjem motijo. V tem primeru ne gre več za hackerja, ampak za "crackerja"; glej 8. definicijo.
Oseba, ki jo opišemo z besedo/pojmom "hacker" je v bistvu željna znanja. Veliko bere, zbira informacije, ne samo določene, ampak vsakršne. Zaradi tega ima znanje, ki je potrebno za npr. vdor v računalniško omrežje, vendar pri tem, za razliko od crackerjev, tudi ostane. Biti hacker ni nekaj kar delaš, ampak je način živeljanja.

Torej, kot vidiš, se sam pomen bedese hacker močno razlikuje od tega, kar nam vsiljujejo mediji in ni tako "privlačna" za slave-željne osebe na internetu. Če boš delal film strogo po definiciji, bo film zaradi tega dolgočasen, saj je večina "računalniške mladine" zasvojena z sliko, ki jim jo dajejo mediji; časopisi, filmi, itd. Druga pot je, da govoriš o crackerjih, o stvari, ki jo bodo takšni ljudje z užitkom "požirali".
Vendar te moram opozoriti da previdno izberi. Hackerje boš težko našel; z svojimi
dosežki se ne hvalijo, ne opozarjajo nase, držijo se zase (izjemoma v zelo majhnih skupinah). Ne izpostavljajo se in zaradi tega bo vsak, ki bo rekel, da JE hacker, verjetno oz. skoraj 100% le cracker oz. script-kiddie; produkt medijev. Tudi crackerjev ne boš lahko našel, saj bi jim z morebitno povezanostjo z določenim zločinom grozila zaporna kazen. Tako ti ostanejo le script-kiddiji ali neresni crackerji, osebe ki na netu najdejo nek program, za katerega ne vedo kako deluje, ga uporabijo, nato pa jih, zaradi neznanja tudi aretirajo. In kot vedno, imajo mediji zatem pravo veselico, ko pljuvajo po hackerjih. Ne vem ali me moti bolj njihova ignoranca ali neznanje (za razliko od novinarjev, imajo hackerji celo etična načela).

Če se boš odločil za hackerje, ti želim veliko sreče :); lahko poskusiš na kakšnih newsgroups, forumih, straneh, kot so astalavista.box.sk oz. še bolje: neworder.box.sk. Crackerje boš verjetno našel na kakih straneh, ki zajemajo omenjeno tematiko, script-kidiiji pa se ti bodo itak sami javli, sam mal povprašaj po irc kanalih, ipd.

freejack ::

p.s. od tod tudi "znameniti paragraf", ki se med drugim pojavi tudi v filmu Hackers;

We explore... and you call us criminals. We seek after knowledge... and you call us criminals. We exist without skin color, without nationality, without religious bias... and you call us criminals. You build atomic bombs, you wage wars, you murder, cheat, and lie to us and try to make us believe it's for our own good, yet we're the criminals.

Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you, something that you will never forgive me for.

|CyGNUS-x ::

Evo freejack to si pa dobr povedu. Script kidiji se bodo sami javli in bodo naštevali svoje dosežke npr. znam gesla krast, ownat r00te.... Tiste ta prave pa boš bolj težku našu. Veliko jih je tud na tem forumu vendar se zaradi varnosti raje ne izpostavljajo.

Veliko sreče pri iskanju.
Ni in ne more biti nobenega drugega načina za preizkušanje
resnične moči kapitalistične države kot je vojna.

hash ::

Mislim, da so recimo Linus Torvalds, Richard Stallman, Richie & Dennis Kernighan tapravi hekerji, pa semizdi, da sem zasledil ze polno intervjujev :D

Zgodovina sprememb…

  • spremenil: hash ()

|CyGNUS-x ::

Pa so mogoče v ilegali? :PPP
Ni in ne more biti nobenega drugega načina za preizkušanje
resnične moči kapitalistične države kot je vojna.

freejack ::

Hmm, me nostalgija daje,..pa dejmo za stare čase še 1x; FREE Kevin !! :D :D :D

hash ::

Meni pa Kevin ni tako uredu, semizdi, da je imel bolj dober social engineering kot pa tehnicno znanje.Sem pa ravno narocil njegovo knjigo("The art of deception").

DMouse ::

freejack: pa pazi kaj boš Matthaiu povedal, da ne bomo pol FREE JACK nalepk limal po mestu :D

hash ::

freejack, a ti s heker?

frenk ::

zame bo heker vedno nekdo, ki vdira v rač. sisteme...druge definicije zame ni;)

freejack ::

hash: če bi prebral, kaj sem zgoraj napisal, bi odgovor na to vprašanje že vedel

DMouse: :D mal še, da si določene stvari poštimam, pol se pa res ne bo več kaj za bat

Sicer pa, naj vam dam en majhen nasvet; če že morate uporabljat: IE -> Tools -> Internet Options -> Connections -> LAN Settings -> Proxy Server ([proxy/socks (chain)] naučite se uporabljat, pride kr prav)
Aja, in pa Java je vir vsega zla. >:D :D

The Plague: "Kid, don´t threaten me. There are worse things than death and umm, I can do all of them." [Hackers] :D


p.s. kadim in pijem (Union), tko da jst res ne morem bit hacker :)

Je pa res eno dejstvo, ki ga nisem omenil. Hackerji načeloma res ne pijejo alkohola, če pa že, pa je sporedu predvsem (razen redkih izjem) pivo :)

Zgodovina sprememb…

  • spremenil: freejack ()

freejack ::

Očitno res nimam kaj bolj pametnega za delat, kot pa tle na forumu viset. Pa ko že vsi redno gledajo topic, v upanju da bodo kaj zanimivega pobrali, naj iz nostalgije omenim še en način dostopa do različnih uporabniških imen in gesel. Da bodo script-kiddiji mal veseli. :D (če bo kdo poistovetil teorijo z prakso, naj ga ne prime nostalgija, ker menda policaji še zdaj hodijo okrog zarad SIOLovih gesel) :D

TO JE ZGOLJ INFORMATIVNE NARAVE
Pa naj si gre za dostop do zavarovanega strežnika ali strani ali že sama dial-up prijava, koncept je preprost. (Govorim izključno hipotetično in informativno, ne omenjam nikakršnih dejstev in seveda, nisem kriv za morebitne zlorabe splošne uporabnosti interneta.)
Vzemimo uporabnika A in spletno stran C. A pošlje uporabniško ime in geslo za dostop do določene storitve C-ju, ta pa mu storitev ali odobri ali zavrne. Ker bo uporabniku A uporaba napačnega imena in gesla nesmiselna, saj tem primeru ne bo imel dostopa do določene storitve, bo A v 99% uporabil pravo ime in geslo (razen če se zmoti). Zdej, imaš možnost da prideš do teh podatkov tako, da vdreš v strežnik, vendar obstaja lažja pot. Med uporabnikom A in stranjo C postaviš kopijo strani C (B), nato pa na DNS strežniku preusmeriš pot oz. URLju spremeniš ip. Tako se A poveže z B in voila, imaš ime/geslo; za dostop do različnih strani, strežnikov, ponudnikov interneta, ipd.

Postopek je dosti premalo opisan, da bi lahko povzročil kakršnokoli škodo, vendar ga lahko admini po svoji presoji bp zbrišejo.

p.s. če se jutr pri men prikažejo policaji, zarad tega kar tu pišem, vas tepem vse po vrsti
Če pa dobim kako persona grata, pa tepem sam admine :D

DMouse ::

A v dns strežnik je pa lažje vdreti a kako? Pa pol morš še čakat da se osvežijo zapisi :\

Gandalfar ::

Pomojem bo vredu. Sicer je pa to ze javno znano vse skupaj.. :)

Matthai ::

Freejack - tole kar si napisal je super zadeva. Sam imam kar velik problem s temi definicijami. Namreč... poznam pomenske razlike, ki si jih opisal, vendar mediji govirijo samo o hekerjih in hekanju.
Če torej začnem govoriti o script kiddijih in crackerjih, se bojim, da marsikdo ne bo štekal nič.

Ampak OK... koncept filma je v bistvu tak, da bo govora o varnosti. Oziroma o kiberkriminalu... mah nic... vidim, da bo najbolje, da film oz. delne posnetke kar objavim tukaj. Bom naredil enkrat po 10. decembru - če se še vrnem. :D

Takrat bom anmreč film prikazal na eni konferenci, kjer bodo prisotni tudi kriminalisti...

Aja, glede tistega načina kako v DNS spremeniti link do spletne strani... če ima spletna stran certifikat - in če ima uporabnik vsaj malo pameti - bo preveril veljavnost in identiteto certifikata. Na žalost pa večina uporabnikov klikne samo Yes, yes, yes...

freejack ::

DMouse:
Sej ne vdreš v DNS strežnik. Ena najbolj easy metod je "ARP-spoofing". S tem lahko "prepričaš" računalnik, da ne pošlje paketov, ki so namenjeni za internet, skozi standardni/default gateway, ampak drugemu računalniku. Pol jih bo pa tist računalnik, skozi router, poslal kamor bi morali biti namenjeni.

O ARP-spoofingu;
Z naslovnimi mehanizmi je treba ločit med lokalnimi in externimi računalniki/omrežji. Lokalni računalniki so računalniki, ki so priključeni na isti hub ali switch. V sistemu lahko to vidiš pod mrežnimi nastavitvami (IP-address/subnetmask). Konkretneje, pri subnetmask, so 255.255.255 deli omrežja, .0 pa pove, da je zadnji byte ip-naslova gostiteljski del. S tem lahko sklepaš, da lahko ip-naslov 192.167.1.2 dostopa do vseh ip-naslovov, ki se začnejo z 192.167.1. Skratka, da ne bom kompliciral, da dostopiš do 192.167.1.3, sistem "zapakira" ip-paket v t.i. "Ethernet-frame" z naslovom mrežne kartice računalnika (naslov se imenuje MAC-address). Ta naslov je nato sporočen pošiljatelju, skozi "address Resolution Protocol" (ARP), s tem, da pošlje ARP-query. Naslovitelj odgovori z ARP-reply-paketom, npr. "192.167.1.2 is at 0:0:c3:72:4f57". Da ne bi rabil vedno znova odgovarjat na query (za vsak IP-paket), bo to informacijo za par minut shranil v svoj ARP-cache. Tu pa se stvari zakomplicirajo, namreč, v ta cache se da spravit reply, ki s query-jem ni bil zahtevan.

Torej, poleg default/standard gateway, je tut DNS-strežnik dokaj sprejemljiv za tako vrsto napada. DNS-strežnik spreminja internet naslove (URL; kot npr. www.slo-tech.com) v IP (npr. 212.93.224.0), kamor bodo paketi, ki so tja namenjeni, poslani. Da preusmeriš pretok podatkov od in do DNS-strežnika, se moraš poslužit sam DNS-spoofinga, da lahk kontroliraš odgovore (replyje), ki so zaradi zahtevka (query), poslani DNS-strežniku. Tako lahko uporabnika, namesto na cilj, kamor bi sicer kazal URL, preusmeriš na neko drugo stran. In ko imaš enkrat to možnost, ga lahko preumeriš tudi na svojo kopijo slo-tech strani in voila. Omenil sem, da se postaviš med uporabnika in cilj. Tako bodo podatki (query) sicer prišli do DNS-strežnika in ta bo uporabniku poslal pravi reply (ip), ampak ga bo ta reply uporabnik A ignoriral, saj je na query že dobil reply, tistega, ki ste mu vi poslali. Zdej, da pa zagotoviš, da pride tvoj reply uporabniku prej, kot pa tisti, ki mu ga pošilja DNS-server, pa bo moral z ARP-spoofingom, kot sem že omenil, preusmeril pretok podatkov preko svojega računalnika.

IE, ali katerikoli drug browser razlike ne opazi in namesto, da se poveže z www.slo-tech.com, se poveže z strežnikom, ki vsebuje kopijo strani (s tem da ta "kopija" zabeleži ime/geslo), uporabnika pa nato usmeri na slo-techovo "Bila je napaka pri prijavi, prosimo poskusite ponovno" stran.

Uporabniku se prvič ne bo uspeli registrirati, bo poskusil ponovno, pol bo pa šlo. Niti uporabnik, niti browser ne bosta ugotovila, kaj se je pravkar zgodilo.

(podoben koncept lahko uporabimo tudi v primeru, če dostopa uporabnik do interneta preko proxy strežnika, ampak to je že druga zgodba :=) )

Matthai:
Ampak veš, tisti, ki klikajo yes yes itaq nimajo kaj za skrivat, tisti, ki pa pregleda certifikat, on je pa že druga zgodba. Zdej, določenih certifikatov se ne da kopirat, se jih pa kljub temu da zaobit.
Namreč, preden je varna povezava vzpostavljena, prejme browser certifikat, ki razkrije njegovo identiteto. Zdej, do pred kratkim je bilo treba za vsak zahtevek po varni povezavi iti skozi določeno proceduro (odobritev/sprejetje certifikata, preverjanje certifikata, itd.). AMPAK, da bi zadevo poenostavili, so poleg "yes" certifikatov, naredli še nekaj certifikatov, ki jih računalnik odobri, brez posredovanja uporabnika. Ampak na srečo ljudstva, takih certifikatov, še posebej tistih, ki bi uporabnikov računalnik označil za banko, ni možno dobit.
Napadalec ti certifikat lahko pošlje, sam boš takoj ugotovil, da ne gre za npr. banko ali neko drugo stran, ampak je kr nek tretji certifikat (certifikat druge strani ali celo ponarejen).
Problem nastane, ko začneš razmišljat izven šklatle, ki sem jo predstavil. Namreč, če imajo določeni certifikati v pomnilniškem delu browserja, od njega, že vnaprej odobreno delovanje, je potrebno v nek računalnik le vdret in v browser namestit svoj certifikat, certifikat, ki ga bo kasneje odobril računalnik/browser in ne oseba.


Do pred par let sem tut jst razmišljal, kako varna so omrežja, računalniki, transakcije, itd., ampak temu ni tako. Celo Pentagon se ne loči veliko od lokalnega računalnika, le več dela je potrebnega za vdor.
Treba je vedet, da je ni zaščite, ki se ne bi dala razbit, niti enkripcijskih lagoritmov, le čas je potreben.
It is not a question of how, but when.

Cr00k ::

hehe...

v teoriji res ni noben streznik varen :)

v praksi jih je pa kr neki...8-O

jst bi teb priporocal da se na kksn server od VeriSign-a spravs... pa bos tolk obupov, da ga bos hotu zminerat, pa ti ne bo ratal... k je tudi orenk fizicno zasciten...

razn ce nimas kksnga f-16 falcona... pa se lohka gres kamikaze :)

drgac pa glede siola... vse se ve:)

CERT je use zajebu...

BigWhale ::

> Treba je vedet, da je ni zaščite, ki se ne bi dala razbit, niti enkripcijskih
> lagoritmov, le čas je potreben.

Par tisocletij za nek konkreten 2048 bitni kljuc...

...ah, sitnica... :P

PS: Ne zdaj o middle man in podobnih zadevah... ;) Ker to so ze variacije... :P

frenk ::

to bi mogl nardit distributed computing za krekanje ključev:D...jest bi takoj posodil rač. moč;)
«
1
2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

hekerski vdori in zaščita

Oddelek: Pomoč in nasveti
344728 (2152) Macketina
»

Kako hekerji napišejo virus in zakaj ? (strani: 1 2 )

Oddelek: Programiranje
879870 (7497) Matthai
»

Kdo so "Hekerji" in kaj delajo

Oddelek: Loža
143783 (3408) Matri[X]
»

Krekerji ne počivajo, drugi del. (strani: 1 2 )

Oddelek: Novice / Igre
637890 (6255) BigWhale
»

Microsoft vabi krekerje

Oddelek: Novice / --Nerazporejeno--
282290 (2290) Caligula

Več podobnih tem