| imho.ws |
|
|
11.01.2004, 20:06
|
# 41 | ||||||
|
Banned
Регистрация: 27.10.2002
Адрес: Питер
Сообщения: 1 893
 |
WestFOX
Цитата:
Цитата:
И почему под тем же предлогом ты не придираешься к secyritu-сайтам и форумам? Там ведь пишут про уязвимости и как их использовать! Или, может, запретить все эти security-сайты? Цитата:
Цитата:
Цитата:
И ещё про журнал Хакер: ты когда последний раз читал? Сейчас там усё норматьно пишут!!! Цитата:
|
||||||
|
|
11.01.2004, 20:50
|
# 42 | |||||
|
Guest
Сообщения: n/a
|
Цитата:
Цитата:
Не надо быть умным, чтобы понять где ты этого набрался. У нас на форуме пару дятлов какраз с хакера постили эту фигню. Забанены. Ты думаешь, что обманул провайдера. Ты знаешь, что такое COPM /2 и как устроенна АТС? Цифровую АТС обмануть не возможно (если не сидишь у пульта АТС) Аналоговую можно было когда-то, но эти времена прошли. Один куль хакер утверждал, что это правда, т.к. он ворует диалап и его еще не поймали. Поясняю почему. Вы наверно думаете, что пров работает честно и он такой законопослушный, банит спамеров, стучит на хакеров ... У прова задача заработать денег!!! Они закроют на ваши махинации глаза, до тех пор пока им не понадобится козел отпущения. На практики выгледит так. 100 дятлов тырят инет, начинают идти жалобы, пров здает 10 дятлов ментам и вешает на них все 100 случаев. В выйгрыши только пров. Клиент всеравно покупает доступ, т.к. за его пароли пров не несет ответственность. Спамера пров забанит только когда будет много жалоб. Просто так прову нет смысла его банить, т.к. он платит за траф или время в нете. Неужели кто-то думает, что там админы тупее пробки сидят? Все они видят!!! Точнее все более менее крупное, конечно не всегда замечают и спамеров, но в 70% наверника знают. Почему тогда по сводкам отдела "К" они только и берут тех, кто ворует диал? Да потому, что никак они телефон свой не скроют. Могут только надеиться, что админ спит или ему вас лень сдавать (это тоже гемор, бумажки, показания ...) Цитата:
Цитата:
Цитата:
|
|||||
|
11.01.2004, 22:17
|
# 43 | ||||||
|
Banned
Регистрация: 27.10.2002
Адрес: Питер
Сообщения: 1 893
|
WestFOX
Ладно... с журналом закончили: у тебя своё мнение, у меня - свое! Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Добавлено через 1 минуту: ВСЕМ Ладно: не будем более развязывать эту спор... лучше говорить по теме! |
||||||
|
|
|
12.01.2004, 00:15
|
# 44 | ||||
|
Guest
Сообщения: n/a
|
Цитата:
Ты писал "Тогда объясни почему я вчера смог обмануть? Подставил номер 1234567?" Мы говорили о провайдерах, а раз ты не уточнял, значит ты говорил о провайдере. Я у тебя спросил "Лог провайдера посмотрел или это ты думаешь, что обманул?" Ты не ответил. Вывод ... Запомни сханкер. Если провайдер не ведет логи телефонов, его закроют, лишат лицензии и оштрафуют. Зачем ему это надо? Зайди на более менее приличный форум хакеров и скажи им то, что ты писал. Потом седи и веди обратный отсчет. Потом раскажешь как быстро тебя забанили или сменили статус. Это не я придумал!!! Ты реально сходи и посмотри как там тебя народ назавет. Почему это так? Да потому, что это бред сивой кобылы. Цитата:
Цитата:
Цитата:
И опять таки как ты узнал, что обманул АОН? Ты живешь в питере, а там насколько мне известно уже почти все атс цифровые и если ФСБ захочет найти того, кто позвонил куда-то в такое-то время, они всегда это сделают. Поэтому ты можешь обмануть ламера васю, но не отдел "К" и уж темболее гбшников. Ты может еще не знал, что сама атс ведет логи? |
||||
|
12.01.2004, 01:00
|
# 45 |
|
::VIP::
Заводной апельсинчик 
Регистрация: 24.03.2003
Адрес: Galichina.
Сообщения: 1 250
 |
WestFOX
Shanker А-йя-йя-й... Что же вы ребятки спорить то уж начали... Базар-то у вас толковый ваще, базару нет. И содержательный. И ведомо, что в споре истина зарождается, но вы же не в ту степь уже пошли. Я вот даже на звание ламера не претендую, не то что на хакера, а Вас, ЗападныйЛис, хочу спросить (но токо между нами) как пров засекет мой телеф. номер, если он у меня безномерной? Односторонний тобишь, есть такие номера (спецномера  )
|
|
|
|
12.01.2004, 01:45
|
# 46 | |||||
|
Advanced Member
Регистрация: 19.12.2002
Сообщения: 492
|
Цитата:
Цитата:
 видел я как ты подтирал за собой посты, завязывай с наркотой, хорошим это не кончица gigi Цитата:
Цитата:
Цитата:
На счет анти аона, как быть если доступ в нет через кабель или wi-fi? |
|||||
|
|
|
12.01.2004, 14:34
|
# 47 | |||||||
|
Guest
Сообщения: n/a
|
Цитата:
Цитата:
Цитата:
Цитата:
 (в то время точно не высылался)Цитата:
Цитата:
Цитата:
|
|||||||
|
13.01.2004, 02:42
|
# 48 | |||||||
|
Advanced Member
Регистрация: 19.12.2002
Сообщения: 492
|
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
 Неньги не везде все решают, а чем обладать? соц инженерией? Ну ведь там тоже не дураки сидят, с тобой просто об этом болтать никто не станет, только потратишь деньги на междугородние разговоры.Цитата:
|
|||||||
|
|
|
13.01.2004, 13:01
|
# 49 | ||||||
|
Guest
Сообщения: n/a
|
Цитата:
Цитата:
Цитата:
Цитата:
А админы как велись на разную фигню так и ведутся. Тут такой заморочки как с провом не надо. Достаточно легкой угрозы, грамотно составленной конечно. Админы серваков с прокси ведутся на письма от фбр (т.к. реальное фбр реально шлет письма по мылу) А уж звонок из фбр заставляет их присесть там где стояли. В 80% случаев они тебе все выложат (даже пин к карте и пароль админа) А остальным 10% можно заплатить. Это касается сша, где эта тема наиболее легкаю. Второе место россия, там 100 баксов возьмет почти любой админ. Бывают конечно исключения.(% неудачь на 20% составляют эти исключения, а на 80% ваше неумение или несерьезное отношение) Самый же действенный способ был и остается втерание в доверее по средствам НЛП. В разных странах по разному, но до этого разного пусть додумается тот кто умный. Цитата:
Цитата:
|
||||||
|
13.01.2004, 20:48
|
# 50 | |
|
Guest
Сообщения: n/a
|
Что самое смешное, именно такие темы вызывают самое большое общественное одобрение. А так как под понятие хакер можно подмазать что угодно, связанное с компом, соответственно, и народа, считающего себя хакерами - просто тьма нереальная =)) Насчет реестра виндов на вроде бы 2-й странице - просто супер написано =)))) Кстати, если его выучить (реестр) то тебя хакером не назовут =)) Думаю, назовут, как раз, по-другому =)  Насчет бэйсиков а после них - фортрана(!!) это вообще бред..... и чего-то там про геометрию-математику написано.... У нас матстатистика, матанализ, дискретная математика идут уже 3 года... Больше всего меня пугает то, что люди, реально разбирающиеся во всех этих математических науках, не занимаются больше НИЧЕМ! Кроме этих самых математических наук (на примере института).. Не думаю, что 'хакеры' должны знать всю эту пургу - сейчас все становится гораздо проще - из-за этих самых бейсиков и C#..... WestFOX Вот с админами продажными Вы погорячились - это админы каких-то самопальных фирм, да и не админы это вовсе.... Цитата:
А еще, господа хорошие, бесят меня все эти выкрутасы 'крутых' сетевиков... У нас есть препод, который, может, и знает чего интересное, но большую часть времени этот 24-летний чувак втирает, что Солярис - это круто =))) А людей таких - довольно много... что заставляет задуматься над реформой образования. Вон, как в Индии делают - ежегодно выпускается 3 миллиона классных компьютерных специалистов, которых обучали самые прогрессивные американцы, стоят эти специалисты в 8 раз дешевле продвинутых американцев=), + еще и работают как одержимые.... А у нас что..... Добавлено через 37 минут: WestFOX Насчет Хакера и Спеца - все очень просто. Как заработать деньги 20-летнему студенту, изучающему 'что-то, связанное с компами'? Программистом его вряд ли возьмут - хотя в тот же CBOSS (есть в Москве такая фирма) с удовольствием. Они там ищат народ на смену... Админом - если только в кустарную конторку. Кстати, видимо, именно про таких админов Вы и говорили. Писать статьи про 'что-нибудь, связанное с компами'. Это как раз Хакер и есть. На самом-то деле и Хакер - это тоже 'что-то, связанное с компами'. Если существует фирма, предлагающая различные околокомпьютерные издания - GameLand - то и охватить нужно все направления... Вот так и живем... Кстати, если уж так говорить - Системный Администратор тоже не шибко грамотный журнал, и рассчитан он, пожалуй, на категорию нашего студента-сисадмина.... ИМХО, существует громадная разница между образовательными системами России и Англии(США). Это я про университеты разные. Если у нас(в России) пытаются за 5 лет рассказать ВСЕ, что господа деканы(или как их там) считают необходимым, то у вас(Англия, как я понял) специализуруются на том, что ЧЕЛОВЕК должен знать - строго по специальности. А зачем в России что-то менять, если тех, кто может повлиять на ситуацию, эта самая ситуация полностью устраивает - деньги есть, есть куда сходить вечером?... З.ы. В Англии есть профессия сисадмин? Shanker Как-то .... ладно... Насчет ДРУГИХ спецсимволов - это об чем? |
|
|
14.01.2004, 01:22
|
# 51 | ||||
|
Guest
Сообщения: n/a
|
Цитата:
Цитата:
Цитата:
Цитата:
Далее. Зря ты грешишь на россию!!! Российских програмеров и ИТ спец. приглашают работать в европпу. Это единственная професия русских реально востребованная в европе и им платят вполне реальные деньги (хотя не много по местным меркам). У них на самом деле население туповато и усвоить техническии науки не может. И в россии отупеют, со всеми этими макдональдсами, плэйстэйшенами ... До чего молодежь доводят Имхо надо детям запрещать телек смотреть более 3 часов в день и после 10 вечера, эти боевики голивудскии приведут только в подворотню траву курить.Добавлено через 2 часа и 52 минуты: Вот вам в подкрепление небольшая статейка. Эта статейка не описывает методы как таковые, а дает очень поверхностное представление о предмете НЛП. Написанна для простых людей, видемо чтоб их немного просветить. Лично от себя добавлю, что при помощи НЛП можно решить 80% всех жизненных проблем. (в т.ч. и рабочих) Инженеры человеческих душ Алло! Справочная Киевского вокзала слушает. У вас заложена бомба. !?... В последние годы телефонные террористы стали нормой нашей жизни и приведенные выше звонки уже мало кого удивляют. Зная, что такое может произойти, люди зачастую даже не задумываются о том, имеется ли какая-нибудь подоплека под таким звонком. Телефонные "шутники" пользуются тем, что абсолютное большинство людей опасаются терактов и поэтому такие "шутники" неистребимы. Но причем тут информационная безопасность? А притом, что аналогичными методами пользуются и хакеры, пытающиеся проникнуть в различные корпоративные сети и украсть какие-либо секреты. Эти методы, получившие название social engineering (на русский язык переводится это плохо, хотя некоторые авторы используют дословный перевод "социальный инжиниринг") и являются темой данной статьи. Как это бывает? Случай первый. В разгар рабочего дня в операционном зале банка раздается звонок. Молодая операционистка поднимает трубку телефона и слышит мужской голос: С вами говорит администратор сети, Иван. Как вас зовут? Оля!.. Олечка, мы сейчас проводим плановую модификацию программного обеспечения "Операционный день банка". Ты не могла бы назвать мне свой пароль? А мне говорили, что чужим нельзя называть свой пароль. Так я ведь не чужой! Я свой, я сотрудник отдела информатизации. Мой начальник - Петр Петрович Петров. Я хочу всю работу сделать поскорее. А то и тебе и мне придется оставаться после работы. А у тебя наверняка есть дела вечером. К тому же твоему начальнику тоже придется задержаться после работы. А он будет этим недоволен, что может отразиться и на тебе. Ты согласна? Да, согласна. Тогда назови свой пароль и все будет ОК. Мой пароль olja. ОК. Спасибо за помощь. Случай второй. Пользователи получают письмо от имени службы технической поддержки своего Internet-провайдера со следующим текстом: "Уважаемый пользователь бесплатной службы электронной почты "ОПАТЕЛЕКОМ"! Вас беспокоит служба технической поддержки сервера mail.domain.ru. В связи с участившимися в последнее время случаями краж паролей у наших пользователей мы просим срочно изменить Ваш существующий пароль на новый - o7gNaFu8. Данный пароль очень трудно подобрать хакерам и ваш почтовый ящик будет в полной безопасности. Надеемся на Ваше понимание и содействие. С уважением, служба технической поддержки сервера mail.domain.ru" А бывает ли это на самом деле? "Описанные выше два случая - это сказки для детей", - скажете вы. "На самом деле такого не бывает". Скажете и будете не правы. Чтобы лишний раз убедить вас в этом - приведу только два примера "из жизни". По данным издания "Компьютерра", 12 июня 2000 г. неизвестный хакер сумел добраться до базы данных с адресами электронной почты клиентов канадского онлайнового магазина Future Shop. Правда, сам Future Shop здесь не причем - рассылка электронных писем осуществлялась при помощи третьей стороны. Хакер, взломав сервер этой компании, сумел отдать команду на массовую рассылку сообщений всем 10000 клиентам Future Shop. В письме говорилось о том, что номера их кредитных карточек были украдены, а посему они должны срочно их заменить. Заголовок письма выглядел так, как будто его послали владельцы Future Shop. Большого вреда хакер, к счастью, причинить не успел. Администраторы магазина оперативно связались со всеми крупными эмитентами кредитных карт и предупредили об этом неприятном инциденте. Свои карты успели поменять менее 50 человек. Другой пример подробно описан на странице http://www.citforum.ru/internet/secu.../seccas1.shtml и я не хотел бы его лишний раз пересказывать. Хочу только отметить, что современные технологии Internet позволяют создавать сообщения электронной почты таким образом, что они будут выглядеть "как настоящие", со всеми атрибутами (адрес и имя отправителя, подпись и т.д.). Почему это возможно? Каждый из нас имеет струны, за которые стоит только подергать и все, вы размякли, не готовы критически оценивать свои поступки и будете делать все, о чем вас попросит опытный психолог, манипулирующий вами, как кукловод. Не стоит думать, что влиять на ваши поступки может только квалифицированный психолог. Эта наука доступна любому, потратившему на ознакомление с ее азами всего-лишь 1-2 часа. Каждый человек имеет болевые точки, поразить которые и есть задача хакера, желающего использовать социальный инжиниринг в своей противоправной деятельности. При этом, если всех так называемых психокомплексов существует несколько десятков, то тех, которые применяются хакерами, не так уж и много. Перечислю их: Страх. Пожалуй, это самый часто используемый и самый опасный психокомплекс человека. Существуют десятки и сотни разновидностей страха, начиная от боязни потерять работу и боязни понижения в должности и заканчивая боязнью потери престижа и боязни сделать что-то не так. Любопытство. Помните детскую игру? Вам давали свернутую "раскладушкой" полоску бумаги, на которой было написано "разверни". Вы послушно разворачивали "раскладушку" и в конце бумажки видели фразу "а теперь заверни обратно". Более взрослая, но безопасная шутка заключалась в посылке другу ссылки: http://sky.chph.ras.ru/~foxy/cl.html, нажав на которую вам приходилось в течение долгого времени нажимать на кнопку OK в появляющихся в броузере окнах. Закрыть броузер стандартными средствами становится невозможным. Приходится "убивать" процесс, что может сказаться на работоспособности других приложений. Более опасные примеры использования любопытства в хакерских целях заключались в создании обманных серверов с заманивающими сообщениями, на которых доверчивые пользователи оставляли конфиденциальную информацию о себе, включая пароли. А так как обычно пользователи используют один и тот же пароль для доступа и к своему компьютеру и к Internet и к почтовому ящику, то узнав один пароль, с высокой вероятностью вы получали доступ и к другим паролям. Кстати, можно проверить, любопытны ли вы. Допустим, что я вам категорически не рекомендую заходить на страницу http://chatcenter.virtualave.net/delwin, потому что это очень опасно. Особенно, если вы используете броузер Internet Explorer. Сможете ли вы удержаться от того, чтобы не посмотреть, что находится по этому адресу? Жадность. Этот психокомплекс завершает лидирующую тройку, которая может быть использована хакерами в своей зловредной деятельности. Проиллюстрирую его на реальном примере, с которым мне пришлось столкнуться в своей деятельности. У нас был сотрудник, на которого пало подозрение, что он ведет нечестную игру. И действительно, найдя в Internet его резюме, нами было составлено письмо от имени потенциального работодателя, в котором этому человеку было предложено заманчивое предложение. Взамен, мы задали ему несколько завуалированных вопросов о нашей корпоративной сети, ее системе защиты и ряд других, не менее важных вопросов. Нечистоплотный сотрудник, прекрасно понимая всю конфиденциальность этих сведений, предоставил их нам. После получения доказательств нами были сделаны соответствующие оргвыводы. Превосходство. Можете ли вы с уверенностью сказать, что вам не знакомо чувство превосходства? Если да, то вы счастливый человек. Немногие могут похвастаться этим. Хакеры нередко использую этот психокомплекс в своих целях. Представьте, что к вам подошел "крутой" специалист, "кидающий пальцы" по какому-либо техническому вопросу. Вы, желая показать свое превосходство, начинаете опровергать его, указывать ему его место и т.д. В результате, в угаре словесного боя, вы можете выболтать что-то важное. И хотя данный метод большинству читателей знаком по шпионским боевикам (например, "Судьба резидента"), он вполне может быть применен и в обычной жизни. Великодушие и жалось. Эти два похожих психокомплекса ориентированы на то, что почти каждому человеку свойственны жалость и великодушие. К вам может обратиться красивая девушка (кстати, эротический психокомлекс является одним из самых опасных - на него "ведутся" даже профессионалы) и, протягивая дискету, попросить помочь ей распечатать какой-то файл. Вы, по простоте душевной, вставляете эту дискету в свой компьютер и… получаете целый набор троянских коней, которые, активизируясь, начинают красть у вас пароли, финансовые отчеты и другую конфиденциальную информацию. Доверчивость. Людям свойственно надеяться на лучшее и верить, что именно ИХ никто не обманет. Именно этот психокомплекс использовался при организации пирамид "МММ", "Русский Дом Селенга" и т.д. И он же с успехом может применяться в IT-области. Например, 25 августа 2000 года служба распределения пресс-релизов Internet Wire получила сообщение от компании Emulex Corp., в котором говорилось, что исполнительный директор этой компании ушел в отставку. Служба Internet Wire, не проверив корректность данного сообщения, распространила его среди своих подписчиков. Некоторые другие службы также распространили данное сообщение, которое на самом деле являлось подделкой. В результате курс акций компании Emulex упал на 61% (со $113 до $43), чем не преминул воспользоваться злоумышленник, создавший ложный пресс-релиз. Грамотно составленное письмо внушает к нему доверие, особенно если адрес отправителя соответствует человеку, подпись которого стоит под письмом. Как защититься? Никакими техническими мерами защититься от социального инжиниринга практически невозможно. А все потому, что злоумышленники используют слабости не технических средств, а как уже говорилось выше, слабость человеческой души. Поэтому единственный способ противодействовать злоумышленникам - постоянная и правильная работа с человеческим фактором. Если вы - сотрудник организации, то необходимо провести обучение корпоративных пользователей, включая и тех, кто обращается к данным, системам и сетям извне (т.е. партнеров и клиентов). Такое обучение может проводиться как силами самой организации, так и при помощи приглашенных специалистов, а также в специализированных учебных центрах, которые стали в последнее время появляться в России, как грибы после дождя. Форма обучения может быть разная - начиная от теоретических занятий и обычных прктикумов и заканчивая online-семинарами, проводимыми через Internet, и ролевыми играми. Во время обучения обычные пользователи (не занимающиеся вопросами информационной безопасности в рамках своей основной работы) должны изучить следующие темы (помимо других тем, связанных с правильным выбором паролей, общими положениями политики безопасности организации и т.д.): Как идентифицировать подозрительные действия и куда сообщать о них? Что может ожидать пользователей в процессе реализации атак со стороны внешних и внутренних злоумышленников? Ни в коем случае нельзя забывать о внутренних угрозах - ведь по статистике основное число инцидентов безопасности происходит именно изнутри организации. Какое поведение пользователя может уменьшить потенциальный ущерб, наносимый данным, системам и сетям? Эти же темы должны изучаться и теми пользователями, которые используют компьютеры и сеть Internet из дома, в своих личных целях. Однако, если для корпоративного пользователя возможны описанные выше варианты обучения, то домашний пользователь может о них забыть. Не каждый человек готов выложить из своего кармана от 100 до 500 долларов за курс, выгода от которого достаточно эфемерна. Ведь атаку вас может ждать в будущем, а деньги надо выкладывать уже сейчас. Поэтому рядовому пользователю остается только самообразование по книгам, журналам и Internet, которые подчас ничем не уступают дорогостоящему обучению (в части информативности). Прежде чем начинать реализовывать процесс корпоративного обучения, зачастую очень дорогостоящий, необходимо оценить уровень знаний персонала компании, который будет эксплуатировать имеющуюся или создаваемую инфраструктуру защиты информации. Если персонал не обладает необходимыми знаниями, то спросите кандидатов на обучение, каких знаний им не хватает. Несмотря на кажущуюся абсурдность этого совета, зачастую это самый простой путь, чтобы с минимальными затратами достичь максимальных результатов. Особенно тогда, когда вы не в состоянии правильно оценить уровень знаний своих сотрудников. Проанализируйте собранную информацию и разработайте (возможно с привлечением сторонних организаций) программу обучения сотрудников по вопросам обеспечения информационной безопасности. Такая программа должна быть разделена как минимум на две части. Первая часть должна быть ориентирована на рядовых сотрудников, а вторая - на персонал, отвечающий за информационную безопасность. Помимо всего прочего обучение должно быть обязательным для всех новых сотрудников, принимаемых на работу, и должно рассматривать все аспекты функциональных обязанностей служащего. По мере разработки этой программы примените ее в организации. Необходимо периодически проверять эффективность обучения и готовности служащих к выполнению действий, связанных с обеспечением информационной безопасности. Регулярно проводите для своего персонала занятия по повышению квалификации, рассказывающие о новых изменениях в стратегии и процедурах безопасности, а также устраивайте "разбор полетов" после зафиксированных серьезных инцидентов. Для этого необходимо проводить регулярные тренинги, повышающие квалификацию персонала и отрабатывающие ситуации, которые могут появляться в реальности. Если такие ролевые игры проводятся у военных или в авиакомпаниях, то почему бы вам не использовать этот проверенный временем способ? Это позволит удостовериться, что персонал организации знает свои обязанности "на 5" и сможет адекватно реагировать на регулярно возникающие в последнее время критические ситуации, связанные с информационной безопасностью. (С) www.bugtraq.ru |
||||
|
14.01.2004, 02:23
|
# 52 | |
|
Advanced Member
Регистрация: 19.12.2002
Сообщения: 492
|
Цитата:
 знаю этот магазин, даже заходил внутрь (магазина), большой магазин скажу вам, но зделан для лохов, посмотреть на теже цены, с накруткой в 2.5 раза на счет соц инженерии, знаю одну фишку, кароче фходишь в доверие к человеку (отношения хорошие), потом какбы невзначай ничинаешь унижать этого человека (не матами, и вобще не словами), но чтоб он не догадывался что это ты, и когда доведешь его до депрессорного состояния, тот человек будет выполнять твои комманды, поручения. Допусти приведу пример как действует реклама: вот вы смотрите на какомто канале какойто супер боевик, все в ожидании чего же щас произойдет, обстановка до накала, и вдруг рекламная заставка, ваш психический уровень (не знаю как это называется) сразу резко падает (наверно могли это ощущать в вашем теле, даже я ощущал) и вы начинаете смотреть рекламу, тем самым реклама диктует вам что надо делать, покупать то, или смотреть другое во столькото часов (но там еще много тонкостей), и это действует, причем неплохо... как вам такое, скажете фигня? вид соц инженерии, выше фокс про это говорил: превосходство Спасиб за мануаль фокс  :5:Знаете какое самое слабое звено в защите сетей? Оператор/Админ этих сетей (HDoS) |
|
|
|
|
14.01.2004, 16:34
|
# 55 | |
|
Guest
Сообщения: n/a
|
WestFOX
Цитата:
Если писать профессионально, то круг читателей резко изменится. Не думаю, что им это надо.... Но, кстати, сейчас журнал медленно переползает на более высокую ступеньку.... Насчет Спеца и кардинга случай тот же. Авторы стремились не научить людей, как кардить, а показать, что это сложно и опасно. У них была и серия по 'взлому', где они фактически описывали стек TCP/IP... А вот то, что ребята, начитавшись всей этой беллитристики, начнут ломать, и, главное, о последствиях, голова должна болеть у самих ребят. Значит, не поняли ничего, что было написано.... Взгляд сугубо субъективный =)))) Радует, что в Англии уделяют больше внимания специализации и обучению специалистов в компьютерной области... Грустно, но России-таки до этого далеко.... Насчет России в целом, как о месте получения образования.... Если крутые специалисты и могут чему-то научить, сложно сделать так, чтобы сподвигнуть их на этот поступок.. Мне вот почему-то кажется, что наши люди, которые уезжают за бугор, попадают туда исключительно благодаря тем знаниям, которые они получали и отыскивали сами, а не те, которые им давали в ВУЗах - как-никак, это все-таки закладка хорошей базы, не более... Хотя опять же, все зависит от человека =)) Ну а думать русские (и их соседи) привыкли уже - у нас не запад, по-другому не протянешь... С НЛП все действительно грустно обстоит.... R!xon Книжка такая есть, Фредерик Бегбедер, '99 франков'. Там как раз про рекламу написано =) и что она делает с человеком... |
|
|
14.01.2004, 18:17
|
# 56 | ||||
|
Guest
Сообщения: n/a
|
Цитата:
Цитата:
Цитата:
Цитата:
|
||||
|
14.01.2004, 20:48
|
# 57 |
|
Guest
Сообщения: n/a
|
В дагонку ...
От редакции Нижегородского Информационно Аналитического Еженедельника "Компьютер и не только":
Проблема защиты внутренней корпоративной информации встаёт перед нами иногда очень остро. И мы начинаем уделять ей должное внимание, … но уже поздно. Надеюсь, что эта статья заставит Вас, уважаемый читатель, задуматься об этом серьёзно, пока ещё не поздно, чтобы потом не было мучительно больно за бесцельно потраченные силы, время и деньги. Главный редактор ИАЕ "Компьютер и не только" Алексей В. Платов Введение Наверное, многие из вас заметили, как много появилось "хакеров" с развитием Интернета. Эти деланные "хакеры" везде показывают свое умение обнаружить "дыру" и взять сервер под свой контроль в Сети. Но все эти "хакеры" прекрасно понимают, что все их умение заключается в нескольких килобайтах кода программы, которую написали вообще другие люди. И умение пользоваться эксплоитом (программой, которая, используя какую-либо "дыру" может предоставить права доступа администратора) не говорит о настоящем умении того или иного индивидуума. Позвольте представить вам технологию, научившись которой вы сможете без проблем получить доступ не просто к какому-либо серверу и управлять им, но и управлять человеком, который стоит за этим сервером. Эта технология называется социальная инженерия. Краткий обзор Наверняка вы слышали выражение "социальная инженерия", но вряд ли представляли себе насколько это реально работающая технология, если ей пользоваться умело. "Социальная инженерия" - это одна из частей социальной психологии, направленная лишь на то, чтобы манипулировать людьми или внедрять в их разум новую модель поведения. Она удивительна тем, что включает в себя очень широкий набор различных техник и методик, позаимствованных из нейро-лингвистического программирования, практической психологии, гипноза, и других техник воздействия на бессознательное человека. Каждый в жизни, наверное, сталкивался с тем, что кто-то на него воздействовал методами социальной инженерии, но, скорее всего оба этих человека, и жертва, и охотник не догадывались об этом. Вы можете столкнуться с этим в магазине, когда вам пытаются продать какой-либо товар. Или по телевидению, когда вам рекламируют "замечательный" товар, который на самом деле далеко не "замечательный", и так далее. Но как вы заметили, во всех этих ситуациях, никто не догадывается, о том, как именно происходит воздействие на сознание, как именно вас побуждают совершить то или иное действие (ежесекундно проанализировать ситуацию под силу лишь опытным PR-щикам и маркетологам), просто потому, что обычно этому не учат. Я попытаюсь вам рассказать о профессиональной инженерии, когда все ваши усилия будут направлены на достижение какой-либо цели. Для более понятного объяснения сути работы этой технологии, я буду прерываться для того, чтобы показать вам примеры работы некого человека, знакомого с этой технологией. Вот первый пример: - "Извините, а вы куда?" - зло спросил охранник, видя, что проходят мимо него. - "В серверную! Вы что, не видите, что я тороплюсь!?" - я сделал недоуменное лицо, показывая, что я не собираюсь тратить свое время на какую-то личинку вроде охранника. - "Да, конечно, но у вас есть пропуск? Вы кто?" - он нервничал, что не узнает меня. Еще бы, откуда ему меня знать. - "Как кто? Вы что, не знаете своего начальства? Я - Свиридов. Как ваша фамилия?" - я сделал укоризненный взгляд, показывая, что я раздражен. - "Моя? Ээ... Привалов, старший охранник Привалов!" - мямля ответил грозный человек, запинаясь и не зная куда смотреть. - "Привалов? Ну, вы у меня смотрите, сегодня же зайду к вашему начальнику" - сказал я и быстро двинулся дальше. Охранник поглядел мне в след и подумал "Фу... опять кого-то к нам занесло, ездят тут всякие начальники из Москвы, а нас не предупреждают". Я быстрым шагом прошел по коридору, оглядывая, как тут все смотрится. До этого я видел эту структуру только по топологии сети, украденной с сервера. "Хмм... должно быть это серверная", - подумал я, вспоминая план, и нажал на ручку двери. Она отворилась, и я увидел лысого человека с бородой, нервно курившего и смотревшего в монитор. "Наверняка системный администратор", - мелькнула мысль, и я подошел. "Извините, а вы не могли бы посмотреть, что там у вас на сервере с моим именем?", - сказал я извиняющимся голосом, таким как говорят все пользователи перед грозными администраторами. - "Хмм... а вы кто такой? Я вас не узнаю", - спросил бородатый, как все админы подозрительный. - "А я только вчера устроился, мне сказали, что у меня должна быть учетная запись на сервере. Я попробовал войти, но у меня не получилось, вот я к вам и зашел", - пробубнил я, смотря на него невинными глазами. - "Хмм... ну сейчас посмотрю. Как ваша фамилия?" - "Привалов. Привалов Александр Викторович", - сказал я обрадовавшимся голосом пользователя. - "Ну да, вас не было в базе данных, я добавил. Пароль у вас такой же, как учетная запись, поменяйте при входе в сеть", - сказал админ уже увлекаемый снова в монитор. - "Хорошо", - сказал я и исчез в двери. Вышел я из здания довольный, подошел к таксофону и набрал номер телефона серверной. - "Алло?", - сказал все тот же голос бородатого. - "Так, Андрей Владимирович, почему у нашего начальства из Москвы, Привалова Александра Викторовича нет доступа к информации для совета директоров?", - сказал я жестко поставленным баритоном. - "Ну, как так, я не знал, что он из совета директоров, сейчас поставлю права доступа. Я не знал, предупреждать надо", - пробубнил он немного раздраженно. - "Ну, хорошо, позаботитесь", - сказал я более грубо и положил трубку. Мой путь от таксофона до дома был налегке. Я пришел, сел за компьютер, набрал номер телефона внутренней корпоративной сети компании X, вошел в сеть под Приваловым и стал с интересом читать документы совета директоров. В этом примере мы видим, что некий человек, назовем его Икс, получил достаточно высокий уровень доступа к информации компании всего за 20-30 минут. Разберем по порядку все действия, которые он совершил: 1. Он дерзко ответил на вопрос охранника, показывая при этом, насколько его не волнует какое-либо действие, которое может совершить секьюрити. Надо всегда быть уверенным в себе, тогда люди на подсознательном уровне чувствуют вашу правоту. Надо также быть дерзким, с теми людьми, которых вам надо обмануть быстро, и не задумываясь. Но не будьте жестокими, агрессивными или наглыми, это ухудшит ваше положение. 2. Икс укорил охранника за то, что он не знает своего "начальства". Людей надо всегда укорять, если вы заметили что-то, что они якобы нарушают (в данном случае некий абстрактным приказ "всегда знать начальство"). 3. Потом Икс сказал свою фамилию без каких-либо пояснений в виде имени-отчества, должности или вообще чего-либо. Этим он показывает, что охранник обязан знать всех по фамилии. Тем более начальство. И сразу же после названия фамилии он берет инициативу на себя и интересуется фамилией работника охраны. Это ставит охранника в положение, что его "могут и побить". В общем надо держать в уздечке вашу жертву. 4. Далее Икс исследует местность. Нужно идти на дело только тогда, когда знаешь все детали того, что тебе предстоит увидеть или с чем ты столкнешься. Нельзя идти в "туман". 5. С администратором сети он применил другую тактику, но не менее эффективную. Тактика "слабого, беззащитного существа перед огромным и сильным монстром". Именно так многие сотрудники ведут себя перед админом. Как бедные кролики. Не расстраивайте администратора, играйте в его игру. Он любит, когда его уважают, и это затуманит его бдительность. 6. Тут также Икс сыграл на том, что компания большая и админ просто не в состоянии знать всех работников. А так как у работников есть "замечательное" свойство постоянно забывать пароли, то на это можно сыграть. В данном случае Икс просто получил доступ, который он позже переведет на более высокую ступень. Никогда не просите сразу многого, если вы сразу админу скажете, что вам нужен полный доступ к информации компании, то он обязательно проверит кто вы такой у своего начальства. Будьте бдительны и не будьте жадными. 7. Далее Икс воплощает в практику, пожалуй, самый популярный метод из социальной инженерии, - он играет в начальников с подчиненными. Админы не в состоянии знать все начальство по голосу. И когда по телефону, очень правдивым и не допускающим возражения, голосом требуют поставить новому начальнику (!) доступ совета директоров, то только параноик поинтересуется, кто этот новый начальник. Читая эту статью, постоянно спрашивайте себя: · Как и где я могу это применить? · Что хорошего даст мне применение этого принципа, идеи, модели или упражнения? · Могу ли я сделать этот навык еще более совершенным? · Какой подход лучше всего? · Что мне нужно для того, чтобы применить этот пример на практике? Технологии достижения цели Планирование и постановка целей, вероятно, всегда будут занимать одно из первых мест в списке наших приоритетов. Многие рассматривают планирование как своеобразную инвестицию: время и силы, потраченные на него, обычно крупно вознаграждаются. Прежде чем сделать телефонный звонок или назначить встречу, потратьте хотя бы полминуты на размышление о том, что же вы хотите от этого получить и как лучше всего добиться желаемого результата, и это непременно скажется на эффективности вашей деятельности. Ваша способность добиваться "своего" может заметно возрасти. В случае же реализации крупных проектов хорошее планирование может означать не только экономию времени, денег и ресурсов, но и успешность всего предприятия. Полезно записывать свои планы на листе бумаги или блокноте. Вероятнее всего, что если вы решите получить доступ ко всей сети Пентагона за короткий промежуток времени, не потратив никаких ресурсов, у вас нечего не получится. Это не значит, что такой доступ получить невозможно, просто надо иметь реальные позиции по отношению к цели вашего социального инжиниринга. Еще один поворот проблемы постановки и достижения целей касается способов реакции нейропсихологической системы человека, причем зачастую неосознанной реакции, на внутренние цели. Главное здесь заключается в том, чтобы довериться своей способности добиваться того результата, который вы можете ясно себе представить. Важно то, что, ясно представляя себе свою цель, вы делаете все автоматически, что и оказывается самым важным для ее реализации. Главное - настолько глубоко поверить в реальность поставленной вами цели, что вы просто не сможете ее не достичь. Также очень важно пообещать себе, что раз вы начали воплощать какой-либо проект, то вы ни за что не отвергнете его на полпути. Но не следует забывать, что у каждого человека свой подход и свой стиль работы. Конкретна ли ваша цель? Некоторые цели больше похожи на мечты. Ваша цель высшего уровня должна быть подкреплена и уточнена в целях нижележащих уровней, это очень важно для успеха дела. Задайте себе вопрос: что именно мне нужно? Чем более конкретно сформулирована цель, тем больше вероятность, что вы сможете увидеть, услышать, или как-либо иначе почувствовать, что добились желаемого результата. Иметь подобное, чувственно фиксируемое свидетельство успеха, очень важно. Правильная оценка сложности достижения цели также необычайно важна. Если вы недооцените сложность какой-либо задачи, она вряд ли подвигнет вас на то, чтобы оставить ради нее другие менее важные дела. Если же вы, наоборот, существенно переоцените сложность задачи, она может оттолкнуть, испугать вас, и тогда вы не сможете добиться желаемого результата в полной мере, хотя, возможно, что-то и удастся сделать. У каждого из нас свой оптимальный уровень успешности. Например, многим необходимо периодически оказываться в ситуациях, связанных с определенной долей риска, для того, чтобы работать с наибольшей отдачей. В подобных случаях мы ощущаем прилив энергии, продуктивность нашей деятельности резко увеличивается и кажется, что абсолютно все нам по плечу. Именно в таком состоянии мы попадаем в зону мастерства, где все дается необычайно легко, без усилий. Как правило, тот или иной проект или задание можно разбить на несколько подзадач. Время, отведенное на выполнение долгосрочного проекта, можно разделить на несколько временных интервалов так, чтобы задачи, находящиеся в каждом из этих интервалов, были реально выполнимыми. В то же время - требовали напряжения всех сил и использования всех способностей. Обладаете ли вы необходимыми ресурсами? Предположим, что все - в ваших руках. Но обладаете ли вы всеми необходимыми ресурсами для успешного управления этими ресурсами? Если вам для выполнения задуманного требуется 1500 долларов, сначала поставьте перед собой задачу раздобыть или накопить необходимую сумму. Если на сегодняшний день вы не располагайте необходимым для этого временем, отложите решение задачи на некоторый срок. Но это не значит, что все задачи, которые требуют траты вашего капитала, следует отложить на неопределенный срок. Надо просто включить эту задачу (заработать денег) в некоторую подцель, которую требуется выполнить для достижения Цели. Поиск и сбор информации Перед началом какого-либо проекта, всегда найдите всю информацию, которая может вам помочь. Никогда не пренебрегайте информацией, даже самая мелкая деталь о человеке, процессе или компании может быть полезна. Поэтому, в планировании своего дела, уделите большёе внимание сбору информации. В начале разумно воспользоваться общеизвестной информацией о предмете вашего интереса. Как правило, именно в общеизвестной информации содержится большая доля того, что вам потребуется. В случае с компанией, такой информацией может быть веб-сайт этой компании, где всегда можно найти адрес, телефон, имена, е-майлы многих людей, с которыми вам придется "работать". Веб-мастера часто бывают настолько наивными, что кладут на сайт столько всякой информации, которая никому не потребуется, кроме социального инженера. Они сами вам ее дают. Имя, фамилия, должность, e-mail (или телефон, если это человек, который не работает в Интернет) - вот все, что нужно знать социальному инженеру о том человеке, которого он будет обрабатывать. Кроме веб-сайтов это могут быть пресс-релизы, реклама, телефоны "Справочных". В конце концов, всегда можно придти в отдел кадров, якобы в попытке устроиться и там, у глупой и наивной работницы выяснить все, что может потребоваться. Вывод: не нужно пренебрегать какой-либо информацией, и стоит воспользоваться всем, что видно снаружи. Любая строчка на сайте может дать полный доступ к сознанию человека, для проникновения в это сознание и для получения полного контроля над этим сознанием. И пример по теме разговора: Была очень интересная компания, которая мне очень не нравилась. Я зашел на их сайт и прочитал, все, что там было написано. Я узнал: e-мail, имя и фамилию их веб-админа. Этого оказалось достаточно. Я по е-майлу представился как начинающий, но прогрессивный веб-дизайнер\веб-программист и указал на некоторые ошибки в их сайте (неправильные скрипты, кое какие дизайнерские недочеты). И указал им URL сайта, где была информация о том, как не допускать таких ошибок и парочка программ, которые помогали исправить эти ошибки. Конечно же, сайт был сделан фиктивный. Он был специально для этого изготовлен мною, причем очень натурально, не хуже какого-нить www.download.ru, и программы, которые там лежали действительно работали, исправляли ошибки, выдавали tips и все такое. Просто они выполняли еще кое-что, ну просто то, что мне было необходимо. И, конечно же, мой сайт лежал не на tripod.com, а на хорошем домене www.[имя сайта].com, ведь нечего не стоит купить его на пару месяцев. Главное, чтобы все выглядело натурально и чтобы все, что там лежали было правдой, и работало. Кстати, забыл упомянуть, что программы, которые он скачал, были написаны мною, и исправили ошибки на его сайте, так что он даже обрадовался, что ему действительно дали реальную ссылку. Что потом произошло уже не важно, главное, что я добился своего - я получил доступ к web-сайту. Эффективное общение или магия контакта "Смысл общения - в его результате", это общеизвестно. Общение имеет свои задачи: информировать, склонить, отговорить, предупредить, напугать, обмануть и т.п. Поэтому все, что мы теперь знаем о целях - как сделать их более четкими, осязаемыми, - относится также и к общению. Одним из основных условий любого общения, независимо от его конкретных целей и содержания, является психологический контакт. Социальная инженерия также занимается тем, что разрабатывает способы установления и поддержания полноценного, а главное эффективного, контакта между людьми. Здесь мы остановимся на некоторых конкретных приемах и техниках, освоение которых поможет вам научиться устанавливать контакт с людьми, что является залогом эффективного общения. Приобретение этого навыка будет способствовать развитию у вас чувства общности с людьми и достижению ваших целей. Каждый акт общения имеет определенный результат, который зависит от людей, с которыми вы общайтесь, и от обстоятельств общения. Сосредоточьтесь на том, чего вы хотите. Задайте себе следующие вопросы: · Чего именно я хочу добиться? · Существуют ли какие-то цели, противоречащие данной? · Как лучше всего организовать общение? · Каким образом я могу установить и поддерживать контакт с партнером? · Как воспримут это сообщение мои собеседники? Одним из самых важных принципов установления контакта с собеседником - это быть таким, как он. Точнее говоря, думать, как он, и, используя аналогию, приобщитесь к его "картам реальности". Подобный подход в |
|
14.01.2004, 20:51
|
# 58 |
|
Guest
Сообщения: n/a
|
значительной мере способствует повышению эффективности общения. Принцип уподобления полезно применять в самых разнообразных ситуациях:
· оптимисту значительно легче найти общий язык с другим оптимистом, нежели с пессимистом; · пунктуальному и скрупулезному человеку, привыкшему разбираться во всем до мельчайших подробностях, будет трудно наладить общение с человеком широкой натуры, который привык не обращать внимание на детали; · профессионалы обычно быстрее находят общий язык друг с другом; · люди, говорящие быстро (или, наоборот, медленно), обычно легче общаются с теми, у кого такой же темп речи. · человеку, работающему администратором (или тому, кто выдает себя за администратора) легче говорить с администратором. Хакеру легче говорить с хакером, а начальник всегда может легко пообщаться с начальником. Будьте легкими и текучими, подстраивайтесь. Наглядный признак хорошего контакта между собеседниками - это сходство их манер общения и принимаемых ими поз. Использование техники мимического подстраивания (удивленное поднятие бровей, улыбка и множество других повседневно используемых мимических движений) поможет вам наладить контакт с собеседником. Когда такой контакт будет установлен, все необходимые мимические движения станут совершаться сами собой, абсолютно естественно. Все это высокоэффективные техники совершенствования процесса общения. Но ими необходимо овладеть настолько хорошо, чтобы они действовали сами собой, на бессознательном уровне. Все описанные выше техники очень полезны и важны при выяснении какой-либо информации. Если соблюдать все техники правильно, то вы запросто сможете выжать из человека всю информацию, которую он знает про тот предмет разговора, на который вы его наведете в своем эффективном общении. Добыча информации Конечно самое эффективное, для чего применяется социальная инженерия, это добыча информации. Причем неважно какой. Весь интерес в том, что можно узнать очень секретную информации, но тот человек, который вам ее скажет, будет чувствовать не более чем, если бы он вам рассказал секретный рецепт пирожков. Перед осуществлением добычи информации, определите, какая информация вам необходима. Иначе вы можете затратить множество времени, для добычи не нужной вам информации. После того, как вы точно обдумайте, что вам необходимо от, допустим, системного администратора компании X, то подумайте, кто еще знает эту информацию, кто знает о существовании этой информации, кто имеет доступ к этой информации, кто имеет право на изменение этой информации. Часть ответов из этих вопросов вы решите в процессе добычи информации, но чем больше вы будете знать ответов, тем легче будет добыть информацию. Для начала необходимо узнать координаты и личные данные (как можно больше) о тех людях, кто имеет отношение к этой информации. Если вы знаете хотя бы домашний телефон одного сотрудника, то можно по справочнику узнать фамилию, иногда имя и отчество. Если вы это узнали, то вы можете попробовать узнать через этого человека всю остальную информацию. Вы можете позвонить ему, представиться работником компании X, желательно в должности выше его и попросить координаты остальных людей, с которыми вам придется общаться. Так же желательно, чтобы в данном мероприятии участвовало несколько человек с различными голосами, также желательна представительница женского пола с красивым голосом. После того, как вы по цепочке узнаете личные данные на каждого человека, попытайтесь узнать о них рабочие данные. Это легко сделать, достаточно встретить любого, кто работает в этой компании, и поинтересоваться, а как выглядит Вася Пупкин и кем он работает, а также его кабинет с телефоном, так как, видите ли, вам сказали его найти, а вы не знаете кто это. Любой не подумав нечего плохого, расскажет вам, если он знает. Таким образом, вы накопите много информации. Обязательно узнайте, кто стоит по должности под и над этими людьми, чтобы можно было этим манипулировать. Теперь вы можете звонить к нижестоящему человеку этого человека и говорить, что вы якобы по поручению этого человека должны сделать что-либо важное, но не можете, так как присутствуют какие-либо проблемы. И поэтому просите, чтобы он сделал то-то и то-то (здесь надо его попросить сделать то, к чему вы собственно и стремились, например, дать вам привилегированные права). Можно уговорить, чтобы тот человек, которому вы звонили, связался с системным администратором и сделал для вас аккаунт с соответствующими привилегиями. Желательно, чтобы тот, кто будет говорить с админом, был выше его по должности. Таким образом, админа будет просить уже человек, которого он знает. И нечего не заподозрит. А вы тем временем можете наслаждаться доступом в сеть с крутыми привилегиями. Бессознательные способы добычи доступа При разговоре с собеседником, можно очень много сделать, если принимать во внимание бессознательные качества человеческого мозга. Интересы человека достаточно удобно поделить на 6 категорий. Это так называемые "Врата Сортировки" (ВС) - жизненные ориентиры человека в те вещи, которые для него важны. Они бывают такие: 1. Люди. 2. Вещи, Действия. 3. Ценности. 4. Процесс. 5. Время. 6. Место. Человек с большим удовольствием будет их обсуждать, сразу становясь скучным, если вы выберете что-то другое. Правда, совершенно не обязательно, что при совпадении ВС собеседник будет с вами согласен. Это только лишь означает, что вы, скорее всего, сможете поговорить и найдете общую тему для разговора, но при этом можете спорить до хрипоты. Правда, у человека обычно более представлены 2-3 ВС, например (Люди и Процесс; Вещи, Ценности и Время). Люди. Кто? Два кирпича лежат на краю крыши и разговаривают: - Жаль, погода сегодня нелетная. - Ничего, главное - чтобы человек хороший попался! Для него важны люди, кто и с кем. И в первую очередь он выясняет, кто говорит в основном о людях. Если его куда-то приглашают, то наиболее важный для него вопрос: Кто там будет? Профессии, связанные с общением обычно предполагают ВС "люди" или "ценности". Например, учитель с ВС "люди" будет интересоваться именно людьми, а с ВС "ценности" - достижением неких идеалов или воплощением идей. И поведение этих учителей будет сильно отличаться. Вещи и Действия. Что? - За сколько бы ты пробежал стометровку? - Долларов за сто, наверное, попробовал бы. Эти люди обращают много внимания на вещи и предметы. Если его спросить, на что он в первую очередь обратил внимание, он начнет описывать обстановку, одежду, цвет обоев или расположение мебели. Кроме того, сюда будут относиться "овеществленные процессы" - действия. Слова, которые их описывают, называются номинализациями: любовь, счастье, дружба, вера, надежда... Если человек с ВС "процесс" на вопрос: - А что там будет? - ответит: "разговаривать", "общаться", "есть", то человек действий ответит: "разговор", "общение", "еда". Скорее всего, в речи будет много существительных, номинализаций и мало глаголов и вообще описаний процессов или последовательности действий. Ценности. Зачем? - Доктор, я жить буду? - А смысл? Для него важны ценностные представления о мире, ценности. При разговоре он обращает внимание в первую очередь на них и говорит больше с этих позиций. Он пытается определить причину или смысл действия. Вопрос "а зачем все это нужно?" проходит сквозь все его рассуждения. Возможно, будет употреблять много номинализаций: любовь, счастье, дружба, вера, надежда... Но в отличие от ВС "вещи" он будет говорить о том, как это важно и ценно. Процесс. Как? - Подсудимый, все было так, как описал прокурор? - Нет, но его метод тоже заслуживает внимания. Для него очень важно как что-либо делать. И в первую очередь он обращает внимание на то, "чем мы будем заниматься и как решать данную задачу". В речи это может быть представлено, как некая последовательность событий: "за летом приходит осень, за осенью зима". Но при этом не надо путать с ВС "время". Для ВС "процесс" важна последовательность действий, событий, а для ВС "время" - когда это происходило. И если в первом случае будет всегда присутствовать некая последовательность людей, событий, вещей, то во втором случае акцент будет именно на времени событий: "1845 год, прошлой весной, позавчера, месяц назад". Время. Когда? Точное вологодское время - вот-вот восемь. Для него очень важно время. Он ориентируется на время и хорошо в нем разбирается, для него важно, когда это было, во сколько, какой день недели, часы минуты. И если его приглашают куда-либо, он спросит: Когда начнется и когда закончится? - Это было во Вторник. Нет в среду... Хотя возможно и во вторник, но самое главное, что это было в половине пятого! Место. Где? Разговор в психбольнице. Психиатр: - Ну, у вас и мысли! Пациент: - Так у вас и место... Место, в котором будет что-либо происходить, его местоположение. Скорее всего, этот человек с большим удовольствием будет рассказывать о местах, в которых бывал или собирается быть. Или где он находился в какой-то момент времени. Его может интересовать, где он сядет или в каком месте будут собираться на вечеринку. Учтите, что предпочитаемых ВС может быть несколько (2-3). И при том в различных ситуациях это может меняться. ВС образуют пары противоположностей: Люди - Вещи. Ценности - Процесс. Место - Время. Ценностные ориентиры из одной пары одновременно встречаются довольно редко. ВС - это не столько сами ценности, сколько способ их представления. Об одной и той же вещи можно говорить, зачем она нужна, что с ней делать и кому, собственно, она понадобилась. Совпадение по ВС не означает совпадение взглядов, а всего лишь общие точки. Коммунист с Демократом могут спорить до хрипоты, но точки зрения у них разные, а ВС одинаковые. Одинаковые ВС означают только, что вы вообще будете говорить на данную тему, что она для вас важна, но не означают совпадение мнений. Хочу обратить ваше внимание на некоторые вещи, которые касаются Врат Сортировки. Например, если у кого-то ВС "Люди", то они могут поддерживать любой разговор, просто, когда тема будет не их, они будут становиться скучными и неинтересными. Для работы с людьми ВС обязательно должны быть либо "Люди", либо "Ценности", но при этом будут очень сильно отличаться учителя ориентированные на людей и на ценности: одних будут интересовать ученики, а вторых - воплощение своих идей. И вести себя они будут соответственно совершенно по-разному. Не могу сказать, что одно лучше или хуже, но различия обязательно будут. Я думаю, вы сможете вспомнить как учителей первого типа, так и второго. Если какие-то ВС очень важны для человека, то иногда его поведение может казаться весьма забавным. Например, для меня достаточно важны "Ценности" (впрочем, и "Люди" тоже) и если мы обсуждаем какую-то идею или тему вопрос "зачем?" требует для меня обязательного ответа. При чем не совсем важно, чтобы это совпадало обязательно с моими представлениями об этом, просто иногда я совершенно не способен продолжать разговор, пока не выясню этот вопрос. Ответили, даже полную ерунду: все нормально. Я успокаиваюсь, и мы можем обсуждать дальше. Особенно весело, когда у кого-то из компании ВС "Процесс". Это все! Он не понимает, чего я хочу от него, а я - чего от меня. Вернее, теперь то я уже немного понимаю, а вот раньше было достаточно много проблем. Еще одна забавная вещь. У меня есть знакомый, который исключительно снимает виды природы - людей же практически нет, если только они случайно туда не попали. Я же, как раз наоборот - очень люблю делать портреты, и практически отсутствуют фотографии, где нет людей. Если и есть какие-то виды - то там обязательно кто-то присутствует. Вообще говоря, ВС один из важнейших фильтров. И хотя большинство людей в определенной степени умеет подстраиваться, ВС могут накладывать очень жесткие рамки. Человек как бы может что-то изменить в себе, но только в пределах своих Врат Сортировки. Именно поэтому весьма полезно научиться обращать внимание не только на привычные темы, но и на другие тоже. При этом будет неким образом расширяться восприятие, и вы сможете обнаружить в жизни достаточно много неизвестных вам вещей, на которые вы раньше совершенно не обращали внимания. Добавлено через 1 минуту: Human denial-of-service Очень полезным в достижении цели может оказаться метод human denial-of-service. Те, кто занимается "хакингом" наверняка слышали о denial-of-service. Это когда выводят из строя, что-то, что требуется вывести. В данном случае предметом вывода из строя у нас становиться человек. Техника заключается в том, чтобы так запутать человека, чтобы на последующие ваши действия он перестал реагировать или реагировал искаженно. "Он сидел и читал логи сервера под управлением FreeBSD 2.2.8 и не понимал, почему сегодня ночью с 5 хостов одновременно пытались соединиться к порту 7 по протоколу udp. Он знал, что это порт для ECHO - отображение введенных символов, никаких дыр в этом сервере он не знал, да и атака не была похоже на DoS - соединение устанавливалось, пересылалась какая-то строка и соединение разрывалось, не занимая никакие сетевые и процессорные ресурсы. Это было похоже на попытку buffer overflow через ECHO. Но он не знал, что в ECHO есть такая дыра и стал упорно изучать исходные тексты свой OS в надежде найти, где там дыра. И сам, тестируя свою систему, посылал различные строки, и отлавливал, что ему будут посылать еще в этот порт. В это же самое время, я сидел и пытался все более его запутать. Я стал посылать строки в finger, в sendmail, в popper, при этом, делал так, чтобы строки были немного разные, для каждой конкретной передачи и очень отличающиеся для разных служб. Это очень походило на поиск сразу во всех службах строки приводящей к buffer overflow. И все это отображалось в логах у админа, засоряя их по всякому. Я спокойно запустил эти программы посылки строк на 5 машинах, а сам в это время со своей машины ломал его сервер, а так как логи в это время были чрезвычайно пестры о попытках buffer overflow, то мои слабые попытки никак не выдавались в них. Когда у меня была успешная попытка, и я зашел, у него в логах отобразилось, что с внешнего хоста зашли под root`ом, но он этого не видел, он был чрезвычайно занят просмотром исходников." Мы хорошо видим пример HDoS. Мы вывели из строя админа, переключив его внимание на ненужную работу. Он просматривал исходники, которые были без ошибок, а он был уверен, что они есть, ведь иначе, зачем кому-то пытаться таким образом атаковать систему. Это натуральный пример HDoS. Следовательно, можно сделать достаточно много. При желании, можно реализовать такую ситуацию, что акции великих компаний начнут падать. Представьте такую ситуацию: заходите вы на www.intel.com, а там написано в новостях, что вчера сгорело одновременно 5 заводов, где выпускались процессоры (на самом деле, это хакер поменял новости). Это приведет к тому, что цены на процессоры резко вырастут, а акции Интела упадут. Делайте выводы сами. Стоит ли писать на взломанных веб-серверах "hacked by megaspoofa. btw, admins are lamers" или может быть взять ситуацию под контроль? Обратный (reverse) HDoS Техника, названная "обратный HDoS", заключается в том, чтобы самому предохраняться и защищаться от попыток окружающей действительности обмануть тебя. Задачей разнообразных служб безопасности каждой компании заключается в создании ареола недоступности их офиса для простых смертных. Для этого на окна наклеиваются плакаты "Охраняется отделом вневедомственной охраны", вешаются видеокамеры, территория окружается железным забором, на входе у ворот круглосуточно сидит охрана. Все это является попыткой воздействовать на потенциального злоумышленника методами HDoS. Часто это делается бессознательно. И многие, когда сооружают всю эту неприступную стену, даже не догадываются об истинном смысле их творения. Нашей задачей является определить, где именно во всем этом есть реально опасные вещи и найти то, что является фиктивным методом защиты от злоумышленника. Стоял я как-то перед зданием одной компании. Очень хорошее пятиэтажное здание, отданное полностью этой компании. Постояв возле входа, я обратил внимание на то, что все, кто туда входит, отчитываются вахтеру, куда они идут и зачем. Понятно, что просто так туда не войти. Обойдя его, я обнаружил два недочета. Недочеты заключались в следующем: - с задней стороны здания нет дверей, поэтому люди там не ходят, но есть лестница на крышу. Такая простая пожарная лестница, железная, не удобная, немного высоко над землей. И хотя висела видеокамера, которая якобы все снимала, я видел, что она не работает, так как не горел ни один индикатор, и провода отсутствовали. - прямо в притык с этим зданием строили новое здание, выше на четыре этажа, то есть девятиэтажное здание, пока пустое. И пара окон как раз выходила на крышу этого здания, и хотя на окнах была решётка, я заметил, что другая пара окон, которые на этаж выше - без решётки и что высота между ними не большая. На следующую ночь, я вместе с другом забрался на стройку, захватив с собой лестницу и спустив ее с 6-этажа на крышу здания-жертвы. На крыше было: спутниковая антенна, 10 телефонных кабелей, и коаксиальный кабель для ethernet-сети. Нас тогда кроме телефонных кабелей нечего не интересовало, поэтому мы занялись ими. Друг мой работал в телефонной компании, и был хорошим телефонным специалистом. Он взял с собой два хитрых прибора. Первый позволял прослушивать тел. линию без подключения к ней, второй - вклиниваться в линию, не обрывая ее. В эту ночь мы только все исследовали и довольные ушли. На следующую ночь мы разведали первый путь проникновения на крышу - лестницу, как я и предполагал, никто нечего не обнаружил. И на этот раз мы взяли с собой все необходимые приспособления. Мы определили, какие линии используются для телефонов, а какие для модемов. Мы поставили 5 диктофонов на линии для телефонов, чтобы они включались, при появлении сигнала и отключались, когда кладут трубку. На линиях, где мы обнаружили модемы, мы включили переадресацию входящих звонков на другой телефон (стандартная фишка АТС-станций). На те телефоны, куда переадресовывались звонки, стояли модемы, принимающие звонки и записывающие пароли. Через сутки мы узнали 13 паролей, среди них 2 админовских и получили кучу информации на диктофонах. Так же обнаружили, что среди тех телефонов присутствует телефон Отдела Кадров, Приемной директора, Серверной (!), Справочной, остальные оказались простыми телефонами сотрудников. За неделю записи данных с первых четырех телефонов нам дали столько информации об этой компании, что хватило бы для того, чтобы разорить их или ограбить легальным путем. А если еще учесть то, что мы обнаружили позже на их серверах через админовские пароли, то этого нам хватило на два месяца просмотра информации. В этом примере ясно показано, как использовались методы человеческого сознания. То есть не надо думать, что раз висят камеры, то вас увидят или, что раз крупная компания, то им на крышу не залезешь. Надо думать технически тоже, а не социально. Поэтому в этом примере мы действовали по принципам обратного от human denial of service, то есть когда людей выводят из строя, воздействуя на них социальными мерками, такими как значимость компании и стереотипы охраны здания. Последовательный взлом Рассказывая о методах социальной инженерии, я просто не могу не упомянуть так называемый последовательный взлом. Метод последовательного взлома заключается в переоценке факторов, которые вы хотите взломать. На примере реальной жизни это описывается так: вы захотели убить одного человека. Мужчину. Что может сделать, скажем, не очень умный человек? Он возьмет нож, подкараулит этого мужчину и зарежет его. Через два дня его найдут и посадят в ИВС. А может оказаться, что вы вообще не в состоянии убить этого человека, потому что он - депутат гос. думы. Что сделает человек, который умеет думать как социальный инженер? Он познакомится с женой этого человека, заведет с ней роман и во время любовного акта скажет, что не плохо бы убить ее мужа, так как он завещал ей много денег. И сказать ей, что вы это узнали из надежных источников. Например, подкупили адвоката. Эта женщина займет денег и наймет киллера. А вы тут окажетесь не при чем. Так же в хакинге с применением социального инжиниринга. Что делает человек, когда он хочет взломать много серверов? Он запускает сканнер, который ищет дыры и проверяет все сервера. Что он делает, когда хочет подломать один сервер? Он запускает тот же сканнер и проверяет только этот сервер. Вы наверно слышали выражение, что взломать можно что угодно. Так вот, оно верное, если следовать из того, что человек является самой опасной дырой в системе. А программное обеспечение сервера может быть вообще без "дыр". Если некий человек имеет доступ к тому серверу, который нам требуется взломать, то он обязательно как-то получает к нему доступ. И в 99% случаев это комбинация имени пользователя и пароля. И когда ему нужно удаленно получить доступ к этому серверу, он вводит этот пароль на свой машине. По логике вещей можно догадаться, что эта машина на базе Windows 9x/NT. Тут-то как раз и вспоминаем, что все Windows 9x не обладают безопасностью. Или даже если на машине жертвы стоит UNIX, то скорей всего он не так защищен как сервер. В любом случае, легче взломать его машину, чем ломать сервер. Ведь наверняка, даже если на сервере регулярно смотрят лог-файлы попыток взлома, то кто этим будет заниматься на локально машине с Windows. Есть некая компания, где установлено 200 компьютеров, 2 сервера на основе UNIX, и два сервера Windows NT. По виду работы этой компании все пользовательские компьютеры подключены через локальную сеть в Internet. У всех пользователей организован вход в домен NT при включении компьютера. Прослеживаем такую ситуацию: злоумышленник разговаривает по ICQ с одним из пользователей и "дарит" ему некую хорошую программу, которую пользователь запускает. Злоумышленник получает доступ к этой машине. Легкими средствами получает все пароли. От почтового ящика на одном из UNIX этой компании, пароль входа в сеть на NT. И к тому же мы получили доступ в локальную сеть. Мы уже из этого локального компьютера можем попытаться получить доступ к NT. Путем перехвата smb-сообщений, куда может входить пароль администратора. Путем brute-force атаки, которая будет происходить быстро из-за того, что это локальная сеть, а не Интернет. И т.д. После того, как он получить доступ к NT. Наверняка там он найдет один из паролей на UNIX, из тех, кто имеет доступ туда логиниться. Или же, если там он не найдет, у него будет больше шансов их получить, так как он получит доступ ко всем локальным паролям, которые можно попытаться взломать. И админы в любом случаи больше доверяют серверу NT, чем рабочим станция и могут логиниться с NT в UNIX. Тут-то и можно перехватить их пароль. И таких компаний на территории РФ - тысячи, а скоро станет десятки тысяч. Глупо не показать администраторам на их бреши в защите. Так сделайте это. И учитесь мыслить методом последовательного взлома. Многие известные взломы были осуществлены таким путем. Среди них самый старый провайдер Интернета в России - РЕЛКОМ, популярный сайт среди андерграунда - Hackzone, провайдер Интернета на всю Западную Сибирь - WSNet и т.п. |
|
17.01.2004, 01:35
|
# 59 |
|
Advanced Member
Регистрация: 19.12.2002
Сообщения: 492
|
нати вам фак как стать хакером
http://forum.securitylab.ru/forum_po...?TID=4918&PN=1 почитав это можно понять уровень своих знаний, всёли вы поняли чо там написано, и всёли вы знали... |
|
|
|
17.01.2004, 21:34
|
# 60 |
|
Member
Регистрация: 19.08.2003
Адрес: Поиск...
Сообщения: 309
|
Хакерами не становяться, ими р()ждаються
А вообще, если говорить серьёзно, то сейчас каждый второй пользователь ПК мнит себя ха...м. Хакер - человек хорошо разбирающийся в компьютерах, умеющий неординарно мыслить, огромное терпение и усидчивость. Раньше ( когда компьютеры только стали появляться ) людей знающих компьютер было очень мало, они-то и были настоящими хакерами, в то время для того чтобы работать за компьютером требовались огромные знания, сейчас же за тебя всё с точностью наоборот. Скоро реал хакеров и не останеться вовсе. (когда умрёт последний из сверстников, таких людей, как Кевин Митник, Пол Аллен, Билл Гей(тс) )
__________________
кто-то запретил вставлять ссылки на темы в подписе, заходите сами [IMHO's LIFE -> Встречи форумчан. -> Сходка.Минск!] |
|
|
