11 May 2011


Разделы: Новости Интернет it

Редко проходит и дня без новостей о новых гигантских компании потери большого количества важных данных для массированной атаки хакеров. Это может быть Google в один прекрасный день, Sony следующий, и стране государственное учреждение день после. Просто замените имена, промыть, и повторить.

Репортеры со всей страны подошел ко мне в последнее время, спрашивая моего мнения по ускорению хакерских атак и текущего состояния безопасности. Когда я пройти с моим громкие слова, они очень потрясен. Они не знали, что дела обстоят настолько плохо, как они, а я спрашиваю себя: "Где эти типы носителей скрывался?"



Дело в том, кибер-преступность не исчезнет в ближайшее время по двум основным причинам: во-первых, все hackable. Второй и более значительным: Киберпреступники редко пойманы или наказан за свои деяния. Пока совершения кибер-преступлений остается легким и прибыльным, и нет никакой ответственности, он не собирается уходить.

Пойнт-и-хак простоты Breaking практически в любой компании почти так же просто, как закрыть глаза, указывая пальцем и говорят: "Иди!" В девять лет я был нанят, чтобы ворваться в организации ИТ-систем (всегда с разрешения владельца), я получил въезд в каждой компании, в каждой больнице, каждый банк, каждый финансовый веб-сайт, и каждое ведомство на три буквы правительства в час или менее - с одним исключением. Одна компания, которую я ранее скомпрометирована в час или меньше, следовал руководством моего предыдущего доклада. Второй раз, он взял меня три часа перерыва (через пустой пароль SA SQL, не меньше).

Я даже не что хороший хакер. О масштабе один к десяти, я, может быть, пять, но я могу проникнуть в каждой компании, я стараюсь. Я не могу себе представить, как легко это на благо хакеров.

После того как вы знаете, что вы делаете, взлом сайтов компании и компьютеров Cinch. Укажите ваш палец в компании. Выясните, какие компьютеры находятся под его контролем. Порт-сканировать их найти трансляция услуг. Fingerprint услуг для определения поставщика продуктов и их версий. Найти соответствующие эксплойты. Я люблю уязвимостей Secunia Исследовательский Консультативного базы данных для такого рода вещей. Он говорит мне, что заплата и незащищенные, требует ли оно локальный или удаленный доступ, и какой тип контроля я могу получить после использования.

Оттуда, поиск использовать программы или вредоносный код (иногда компиляции необходимо); поочередно, написать свой собственный на основе Secunia записей. Существуют десятки пост-Milw0rm использовать сайты, которые можно легко найти, хотя одна из моих первых останавливается всегда Metasploit.org (зачем работать, если вы можете работать легко?). Как только вы знаете основы, это как с конфетами от ребенка.

Предположим, что вы найдете компанию, не незащищенные программного обеспечения или уязвимостей. Нет проблем: Отправить поддельные письма на конечных пользователей использовать программное обеспечение прилагается. Социальной инженерии электронной почты можно легко создавать и работать всегда. Мой любимый посылать сообщения под видом генерального директора компании или финансового директора с "До 2011 Увольнения" в теме письма. Сотрудники открыть эти сообщения и запускать мои подвиги в возрасте до 10 секунд. Сбор на рабочих настолько проста, что я отказываюсь использовать эту тактику.






Метки: it
Рубрики: Новости Интернет it

 Имя       

Ограничение в 1000 символов
Введите ваш комментарий

Введите код