Na konferenci bodo predstavljeni številni prispevki povezani z informacijsko varnostjo, včeraj pa se jo je udeležil tudi svetovno znani heker Kevin Mitnick.
Mitnick, ki je zaradi številnih hekerskih vdorov in drugih oblik računalniškega kriminala presedel pet let v zaporu je imel včeraj dopoldne novinarsko konferenco, kjer je najprej povedal nekaj o sebi, svoji preteklosti in trenutnem delu (ima namreč podjetje za svetovanje na področju računalniške varnosti).
V popoldanskem predavanju pa je spregovoril o socialnem inženiringu, kot enem izmed načinov pridobivanja podatkov za uspešno izvedbo hekerskega napada.
Na predavanju je predstavil tudi nekaj primerov svojih vdorov, prikazal pa je tudi kako je mogoče na mobilni telefon poklicati tako, da se na njem prikaže poljubna telefonska številka (prikazal je kako poklicati tako, da se na telefonu klicanega izpiše telefonska številka Bele hiše).
Po predavanju je udeležencem konference razdelil še svoje vizitke, ki jih je mogoče uporabiti tudi za odklepanje ključavnic. Po napovedih organizatorjev ga lahko pričakujemo tudi prihodnje leto.
"Na predavanju je predstavil tudi nekaj primerov svojih vdorov, prikazal pa je tudi kako je mogoče na mobilni telefon poklicati tako, da se na njem prikaže poljubna telefonska številka (prikazal je kako poklicati tako, da se na telefonu klicanega izpiše telefonska številka Bele hiše)."
je bil kdo tam, ker me zanima kako se to naredi...
Old news Caller-ID ni pomemben za delovanje samega klica, zato se ga da enostavno spoofati. Problem je samo v tem, da temu podatku ljudje prevec zaupajo - saj je to edino kar se jim ob klicu izpise na zaslonu. Tudi mail se da zaradi SMTP protokola poslati z naslova president AT whitehouse.gov pa se zaradi tega nihce kaj dosti ne sekira.
V starih casih drugace kot preko opreme telefonskega operaterja nisi mogel dostopati do PSTN omrezja in je bilo tako malo tezje poslati fake izvorno stevilko.
Danes, v casu VOIP, ko gre vse preko interneta je najbrz enostavno poslati popravljen SIP request kjer namesto stevilke pise kaj drugega. Rabis samo se nekega ponudnika telefonije, ki ne preverja poslane izvorne telefonske, kar pa najbrz skoraj nihce ne pocne.
njah...pokazu je pa zadevo staro ze par let. Tud ze par let, odkar jo je prikazal na TechTV. Ekola, se link.. tm mal cez sesto minuto(6.20min) se zacne.
A se da s takimi pripomocki res odkleniti cilindricne kljucavnice (ki imajo v notranjosti sest zaticev, ki morajo biti vsi na doloceni visini), ali je to samo iz filmov?
Sm delal eno aplikacijo za pošiljanje smsov preko web forma nekega slo operaterja, pa natavil napačno cifro pošiljatelja, in žačuda je delovalo... :D tako d si lahko zarad mene nastavu cifro 007 pa poslov sms, al pa 113... Ampak ko so sistem posodabljal so verjetno to opazili, al pa le nezavedno skupaj z ostalimi stvarmi spremenili tudi to ;)
bug je bil aktiven
C2Q Q6600, P5W DH Deluxe,6GB 800MHz Rama
GF 8600gt, 2xSataII WD 250GB, LC Power 550W Green Power
----watter in my vains----
Najbrz ima Mitnick pri sebi v Ameriki kaksno Asterisk centralo or sth.
Samo tisto za SMS-e je bilo tako, da je bil v HTML-ju nek hidden input type, kjer je bila napisana izvorna telefonska in si le-to lahko po zelji popravljal. Point je v tem, da izvorna telefonska stevilka ne igra nobene vloge pri komunikaciji, ampak je tam samo zaradi lepsega. Problem se pojavi, ce delas na podlagi tega kaksno avtentikacijo ali pa ce odgovoris in kontatiras resnicnega lastnika tiste telefonske stevilke.
Ah tista vizitka je najbrz samo za reklamo. Enostavne kljucavnice se verjetno da odpreti kaj vec pa ne. Je pa zanimivo, da so na sliki na Mitnickovi strani nekateri podatki z vizitke cenzurirani, medtem ko tukaj niso.
A se da s takimi pripomocki res odkleniti cilindricne kljucavnice (ki imajo v notranjosti sest zaticev, ki morajo biti vsi na doloceni visini), ali je to samo iz filmov?
Dva mesca nazaj sem se malo igral s tem. S home made orodji sem odpru 2 navadni ter 2 kolesarski ključavnici ter vrata v šoli. Na začetku se mal zajebavaš potem pa gre ko skapiraš in dobiš filing. Najbolše je ko mal zdrkaš pine in se odpre v parih sekundah. Včasih pa traja tut 10-15 min. Je pa dosti odvisno od kvalitete ključavnice. Kolega je prinesu eno in sva se zajebavala ene pol ure pa ni in ni šlo. Sicer on jo je doma ene 2x odpru..no ni važno..v glavnem da se če imaš voljo in dobr orodje tisti lockpick čisto na vrhu v vizitki deluje za 80% ključavnic.
za smse je cist drug sistem.tm lahko tud od bozicka posljem sms(sicer ne prek simobila) ampak...je to nek cist druzga kot tole klicanje. tko da bi blo fino vedt kaj je dejansko pr seb postavu , da je to naredu.
Pri Asterisk centrali lahko s funkcijo Set(CALLERID()) določiš indentiteto odhodnih klicov. Kako pa to nardit pri nekem navadnem mobitelu, mi pa ni jasno. Me pa zanima :D
Vsako ključavnico se da odklenit. Vprašanje je samo v kakšnem času. Če boš ti eno uro sklonjen nad enimi vrati, boš videti potencialen kandidat za 113.
glede Caller ID, vsak IP-PBX lahko za svoj ID prikaže kar hočeš, vprašanje je le, če operater preko katerega pošilja dopušča poljubno pošiljanje CallerID-a, ponavadi ne.
Cheers
Always look on the bright side of life; LIFE! You never saw my wife ...
Recimo, da imaš postavljen ta PBX, samo sedaj je vprašanje kako se zadeva poveže naprej? Recimo, kako svojo škatlo vklopiti tako, da dobiš "zvezo" s svetom - ti kličeš ostale in oni tebe ...
Še kakšna druga opcija? Katera je tista točka, kjer poteka izmenjava med vsemi in se priklopiti tam? Torej, če kličem iz mobilnega telefona mora obstajati nekje točka, kjer podatek zapusti ponudnika mobilne telefonije in potem nadaljuje do željene številke ...
Gandalfar: o tem se nismo spraševali. :-) Ampak po moje je to čisto legalno, ker je del specifikacij. To storitev ponujajo tudi vse večje centrale in se čisto komercialno uporablja (npr. ko te kličejo od supporta, dobiš eno številko, ne od vsakega support mesta posebej). Asterisk je pa opensource PBX. Nelegalno je le, če to uporabiš za krajo identitete.
Sicer je bil pa letošnji Infosek prijetna osvežitev, kar se tiče kvalitete predavanj (glede na prejšnja leta).
Takole čez palec bi rekel, da je bilo več kot pol predavanj, ki sem se jih udeležil zasukanih precej v ilegalno smer ali pa v čisti sci-fi. Če bodo tako nadaljevali, se bo definitivno splačalo hodit.
Jst sm bil na konferenci in sem obe njegovi predavanji snemal z profi kamero. Še zmontiram in če je kdo zainteresiran, bom DVDje lahko tudi prodal za 10-15€. Kontaktirajte me na mail.
