วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)
รับแฮ็กเกอร์จำนวนมากและคนที่มีความปลอดภัยอื่น ๆ ในสถานที่เดียวกันและการแข่งขันที่ดีและการแฮ็คย่อมเป็นสิ่งที่หลีกเลี่ยงไม่ได้
การประชุมสุดยอดนักวิเคราะห์การรักษาความปลอดภัย Kaspersky Lab เมื่อสัปดาห์ที่แล้วเต็มไปด้วยเซสชันที่น่าสนใจและได้รับความสนใจจากผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล แต่ก็ไม่ใช่ทั้งหมด ผู้เข้าร่วมประชุมยังสามารถแข่งขันใน "Crypto-challenge" ซึ่งพวกเขาใช้ทักษะการแฮ็คของพวกเขาเพื่อไขปริศนาต่างๆ ฉันเป็นหนึ่งในไม่กี่คนที่ท้าทายและได้เรียนรู้เพิ่มเติมเล็กน้อยเกี่ยวกับการเข้ารหัสการทำให้งงงวยและวิศวกรรมย้อนกลับ
ที่สำคัญที่สุดฉันเรียนรู้ว่าการแฮ็คเป็นเหมือนการไขปริศนา คุณคิดอยู่เสมอว่า "ให้ฉันลองทำสิ่งนี้สิ" และรู้สึกตื่นเต้นมากเมื่อคุณได้รับ
การเข้ารหัสถือกุญแจ
ที่หัวใจของมันการเข้ารหัสเป็นเรื่องเกี่ยวกับการรับส่งข้อความและการเขียนในลักษณะที่ดูเหมือนว่าพูดไม่ชัดซึ่งใครก็ตามที่ไม่รู้ความลับ มันเหมือน Pig Latin เล็กน้อย ถ้าคุณไม่รู้กฎของภาษาคุณก็ไม่รู้ว่า "ellohay" หมายถึงอะไร ยันต์บางอันเรียบง่ายมาก - เช่นการสลับตัวอักษรกับตัวอักษรถัดไปดังนั้น a กลายเป็น b, b กลายเป็น c และต่อไปจนกระทั่ง "hello" กลายเป็น "ifmmp" คนอื่นมีความซับซ้อนทางคณิตศาสตร์มากขึ้นและใช้เพื่อปกป้องหมายเลขบัตรเครดิตและรหัสผ่านของเรา
ผู้เข้าร่วมการประชุมแต่ละคนเมื่อได้รับการลงทะเบียนจะได้รับจดหมายเกี่ยวกับการเข้ารหัสลับ ในตอนท้ายเป็นชุดของตัวอักษรที่ไม่สมเหตุสมผล แต่มีรูปแบบที่คุ้นเคย เริ่มต้นด้วย "vhhd: //" และตามด้วยกลุ่มตัวอักษรคั่นด้วยจุด (.) มันชัดเจนว่า URL ไปยังเว็บไซต์ เมื่อฉันรู้ตัวอักษรสองสามตัวแรกก็คือ "http: //" ฉันรู้ว่านี่คือ ROT13 รหัสตัวเลขที่ได้รับความนิยม (และอ่อนแออย่างมาก) ซึ่งสลับตัวอักษรแต่ละตัวกับที่มา 13 แห่งในตัวอักษร ไม่จำเป็นต้องใช้ URL ด้วยตนเองเนื่องจากมีตัวถอดรหัส ROT13 จำนวนมากบนเว็บ
Javascript ที่สับสน, Oh My
หน้าผลลัพธ์ที่มีรูปภาพและข้อความต้อนรับน่าเบื่อ แหล่งที่มาของหน้าเป็นอะไรก็ได้ มันเป็นเส้นและเส้นที่พูดพล่อยๆมากกว่าซึ่งอยู่ในแท็ก <script type = "text \ javascript"> อาจาวาจาวาสคริปต์ที่สับสน
การทำให้งงงวยเป็นเทคนิคที่ใช้กันโดยทั่วไปซึ่งผู้เขียนโค้ดประสงค์ร้ายจะเขียนรหัสโจมตีในลักษณะที่มนุษย์ไม่สามารถอ่านรหัสได้อย่างง่ายดาย มันแตกต่างจากการเข้ารหัสที่ไม่ได้อาศัยความลับ แต่เป็นวิธีการเขียนโปรแกรมที่ซับซ้อนเพื่อสร้างรหัสที่อ่านยาก รหัสที่ได้นั้นไม่สามารถมองเห็นได้ด้วยตามนุษย์ แต่เครื่องไม่มีปัญหาในการทำความเข้าใจและดำเนินการ
เช่นเดียวกับกรณีของ ROT13 ไม่จำเป็นต้องแยกวิเคราะห์ Javascript ที่ยุ่งเหยิงด้วยตนเอง แต่ฉันใช้ผู้ตรวจสอบ DOM ซึ่งสร้างไว้ในเว็บเบราว์เซอร์ Chrome และผ่านแต่ละองค์ประกอบของหน้า ฉันสามารถดูรหัสสำหรับการแสดงภาพและข้อความต้อนรับที่ซ่อนอยู่ภายในซึ่งพูดพล่อยๆเช่นเดียวกับบรรทัดความเห็นออกรหัสที่มีเบาะแสต่อไป
การทำให้งอไม่ได้ จำกัด อยู่ที่จาวาสคริปต์เท่านั้น ฉันต้องแก้ไขสคริปต์ Perl เพื่อหาว่าโค้ดที่น่าเกลียดนั้นกำลังพยายามจะพูดอะไร
วิศวกรรมย้อนกลับเหมือนเจ้านาย
ณ จุดหนึ่งฉันดาวน์โหลดไฟล์ปฏิบัติการ (สแกนด้วย Kaspersky Antivirus - มันไม่เจ็บเลยที่จะระวัง!) ซึ่งทำให้ฉันป้อนชื่อผู้ใช้และรหัสผ่าน ถึงเวลาแล้วที่ต้องย้อนกลับวิศวกรที่สามารถปฏิบัติการได้
การทำงานนอกแล็ปท็อป Linux ช่วยในตอนนี้เพราะฉันสามารถใช้ สตริง เครื่องมือ Linux บรรทัดคำสั่งที่พิมพ์เนื้อหาของไฟล์ที่ไม่ใช่ข้อความและ gdb เครื่องมือดีบั๊กซึ่งช่วยให้คุณเห็นสิ่งที่เกิดขึ้นภายในไฟล์ขณะที่ดำเนินการ . สตริง ก็มีประโยชน์ในภายหลังในความท้าทายเมื่อฉันดาวน์โหลดไฟล์. d64 ฉันสามารถดาวน์โหลดตัวจำลอง Commodore 64 ตามที่ผู้จัดการความท้าทายต้องการ - เพื่อเรียกใช้ไฟล์ แต่ฉันเพียงแค่วิ่ง สตริง เพื่อหาว่าจะไปที่ไหนต่อไป
ฉันเคยได้ยินเกี่ยวกับการฝังข้อความลับไว้ในรูปภาพ แต่เมื่อฉันเผชิญกับภาพดังกล่าวฉันก็เริ่มนิ่งงัน ฉันจำได้ว่าภาพมีเลเยอร์และผู้โจมตีสามารถฝังข้อมูลลงในเลเยอร์ต่างๆโดยไม่กระทบกับเลเยอร์ที่มองเห็นได้ ฉันสามารถดูแต่ละเลเยอร์ใน GIMP ซึ่งเป็นเครื่องมือโอเพนซอร์ซคล้ายกับ Adobe Photoshop ซึ่งทำงานบน Linux แต่ฉันวิ่งภาพผ่าน สายอักขระ ซึ่งแยกข้อความทั้งหมดที่ซ่อนอยู่ในภาพ นั่นเป็นคำสั่งที่ใช้งานง่ายและหลากหลาย
หมายเหตุเกี่ยวกับรหัสผ่าน
ไม่กี่ขั้นตอนในการท้าทายให้ฉันใส่รหัสผ่านที่ถูกต้อง ในขณะที่ "รหัสผ่าน" ไม่เคยเกิดขึ้นมีอย่างน้อยหนึ่งครั้งที่ฉันเพิ่งป้อนคำแบบสุ่มที่มีความเกี่ยวข้องกับการประชุมและเกมจนกว่าฉันจะเจอสิ่งที่ถูกต้อง ในขั้นตอนเดียวฉันถูกสะดุดโดยตัวพิมพ์เล็ก / ตัวพิมพ์ใหญ่ดังนั้นฉันเพิ่งสร้างรายการชุดค่าผสมที่เป็นไปได้ทั้งหมดและดำเนินการผ่าน
ผู้โจมตีซึ่งติดอาวุธพร้อมข้อมูลบางอย่างเกี่ยวกับเหยื่อสามารถลองเดารหัสผ่านที่ถูกต้องได้อย่างง่ายดายหรือเพียงแค่เรียกใช้รายการคำที่เป็นไปได้ ฉันยังคงพูดพึมพำว่า "ฉันจะเอาชนะคุณ" และเมื่อฉันคิดออกฉันคิดว่า "ฮ่า! เข้าใจแล้ว!"
เพียงแค่การไขปริศนา
ด้วยข้อยกเว้นของ สตริง และ gdb ทุกองค์ประกอบของความท้าทายขึ้นอยู่กับสิ่งที่ตรงไปตรงมาค่อนข้างหรือสิ่งที่ฉันสามารถเรียนรู้ด้วยการค้นหาของ Google ในขณะที่การแฮ็กไม่ใช่ทั้งหมดนั้นง่ายนี่เป็นสิ่งสำคัญที่จะต้องเข้าใจว่าทักษะนั้นสร้างมาจากสิ่งอื่น ในการเริ่มต้นคุณเพียงแค่ต้องการความอยากรู้อยากเห็นและเต็มใจที่จะสานต่อ
คุณได้ยินเกี่ยวกับคนที่พยายามบุกเข้าไปในระบบหรือเปิดตัวแคมเปญออนไลน์เพื่อความสนุกสนานหรือเพื่อพิสูจน์ว่าพวกเขาทำได้ สิ่งที่ทำให้แฮ็กเกอร์แฮ็คคือการเร่งรีบอะดรีนาลีนที่มาจากการไขปริศนาที่ท้าทาย