Keresés: - [Re:] Hackersiralmak - Mobilarena Hozzászólások

Legfrissebb anyagok

Mobilarena témák

PROHARDVER! témák

IT café témák

GAMEPOD témák

LOGOUT témák

Keresés

Új hozzászólás Aktív témák

#123 AMDFan addikt #19482368 #121

Új Válasz 2018-08-30 23:36:02 #123
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

AMDFan

addikt

válasz #19482368 #121 üzenetére

"Pontosan erről szól részemről az egyik sztori. Hogy Marika néni virágboltja, fodrász web oldala stb ... teljesen felesleges etikus hacket csinálni, mert nem fog tudni mit kezdeni vele. Max vissza állíttatja valami régi backup-ból. Tehát teljesen felesleges az erődemonstráció, mert célját nem éri el. Innentől kezdve meg minek... hacsak nem visszaélni akar vele, viszont ebben az esetben nem beszélünk etikus hackröl. És teljesen más a story."
Pedig pontosan ez az amit fontos lenne megérteni, hogy ezekből a szerverekből lesznek a legkönnyebben botnetek. Az az általános, hogy az első pár ethical hacking youtube kurzus után, az ember elég sok olyan siteot talál amit könnyedén feltör. Ez azt jelenti, hogy rajta kívül még jó sokan törték már meg, vagy fogják megtörni azt a siteot. A feltörés nem minden esetben jelent észrevehető károkozást, vagy "defaceelést". Nincs itt szó erődemonstrációról. A feltörések nagyrésze észrevétlen marad, mert nem fog semmit megváltoztatni a behatoló, csak elkönyveli, hogy van még egy shellje a botnetjében. És ez egy fontos dolog, sőt, talán a legfontosabb dolog: a motiváció. Mi az ami motivál valakit a hackelésre? Mi motiválja a black hat, és mi motiválja a white hat hackereket? Nagyrészben ugyanaz. Érdekesség, személyes fejlődés, technológia iránti érdeklődés, a rejtvény megoldása. A technológia, a tudás, a tudásba fektetett energia, ezek mind azonosak mindkét oldalon. És nekem van egy olyan erős sejtésem, hogy nagyon nagyon kevés olyan etikus hacker van a szakmában aki sosem követett el olyat, hogy "csak megnéz 1-2 dolgot egy távoli gépen"
Ez tényleg nem fekete és fehér. A "100%-os DDOS meg a deface-elt website" és a "még egy nmapot sem futtatok le engedély nélkül" között azért elég széles skála van még.
UI: még hozzátenném, hogy anno a mi cégünket is megkereste egy etikus hacker, hogy sebezhetőségeket talált a szerverünkön, leírta, hogy miket, és ha szeretnék bővebb infót akkor keressük meg. Megköszöntük neki, hogy szólt, a hibákat kijavítottuk mi magunk. Ezzel ő egy forintot sem keresett, viszont mi ki tudja mit előztünk meg a jövőre nézve. Én ezt etikusnak tartottam akkor is, és most is.
#120 AMDFan addikt #19482368 #117

Új Válasz 2018-08-30 20:26:02 #120
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

AMDFan

addikt

válasz #19482368 #117 üzenetére

Ideologizált világot képzelsz el. Mit jelent az, hogy szigorítanád a black hat hackelést? Hogyan? Ez egy elméleti lehetőség amire gondolsz, de a gyakorlatban működésképtelen. 10 év börtönt adnál egy SQLi-ért? Hogyan találod meg az elkövetőt aki TOR-on keresztül megtört egy szervert, majd azon keresztül X másikat, amiket szépen egymásra felfűzött, és úgy támadja a cégedet? Sehogy.
A kis cégek mindig védtelenek maradnak majd, akiket könnyen betámadnak, mert 10 éve a szomszéd főiskolás srác írt nekik egy PHP siteot... Nem folytatom.
#119 AMDFan addikt borg25 #118

Új Válasz 2018-08-30 20:20:08 #119
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

AMDFan

addikt

válasz borg25 #118 üzenetére

Erőltetett a példa. A DDOS minden és mindenki ellen működik akinél több erőforrásod van. Bár nem vagyok szakmabeli, de szerintem a DDOS nem is igazán szerepel egy penetration testing során mint szempont, hiszen mindenkit le lehet DDOS-olni, ebben semmi meglepő nincs.
#113 AMDFan addikt #19482368 #109

Új Válasz 2018-08-29 11:00:19 #113
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

AMDFan

addikt

válasz #19482368 #109 üzenetére

Szia!
Végigolvastam a topikot, és úgy általánosságban szeretnék reagálni a hozzászólásaidra.
Szerintem nem korrekt ahogy párhuzamot vonsz a digitális világ (pl. port scannelés) és a fizikai világ között (odamegyek a lakáshoz a zárat próbálgatni). A digitális világot nagyon nehéz párhuzamba állítani a fizikai világgal és analógiákat hozni. Ez 10-15 éve is nagyon demagóg volt amikor a multimédia letöltéseket megfeleltették a lopással. A mai fiatalok számára pl. már nem kérdés, hogy a zenék ingyen elérhetőek online (mármint számukra ingyen, a mögöttes licenszek stb... az már más kérdés), és ez így normális. Az analógiád a lakásba való betörés és a szerverre való betörés között akkor lenne korrekt, ha azt látnád az utcán hogy minden egyes zárat naponta 50-60an próbálnak feltörni, mert a digitális világban ugye ez a megszokott, elég megnézni egy iptables logot. Lehet valaki 100%-ban etikus és próbálhatod ezt a nézetet terjeszteni, de a valóság az, hogy a neten nagyon könnyű anonim módon scannelni, és ezt meg is teszik, és akik megteszik, azok próbálkoznak, tanulnak, fejlődnek, és be fognak törni.
Egy más aspektus pedig az, hogy milyen mértékben növeli a botnetek méretét az, hogy az IT infrastruktúrával rendelkező cégek ~98%-ka nem fizet meg semmilyen biztonsági céget hogy feltárja a hibákat, így viszont szabad prédává válhat a blackhat hackerek előtt. Ez megelőzhető lenne azzal, hogy azok a szürke zónában mozgó, de mégis etikusan eljáró hackerek, akik mondjuk csak hobbiból, vagy gyakorlásból űzik ezt az ipar, büntetlenül szólhatnának a mikrovállalkozásoknak, hogy "heló, amúgy sebezhető a rendszeretek, és csak idő kérdése, hogy ezt más is észrevegye".
Ezt egyébként a komoly cégek mint pl a google észrevették, és támogatják a bejelentéseket.
Amúgy mi a véleményed azzal, amikor nem hálózaton keresztül próbálsz meg betörni valahová, hanem egy adott szoftver sérülékenységét teszteled localhoston? (gondolok itt mondjuk egy böngészőre).