Поиск:

Ответ в темуСоздание новой темы Создание опроса
> Новые способы применения социальной инженерии, Luis Corrons (вольный перевод sergejzr) 
:(
    Опции темы
sergejzr
Дата 18.2.2008, 19:18 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Un salsero
Group Icon


Профиль
Группа: Админ
Сообщений: 13285
Регистрация: 10.2.2004
Где: Германия г .Ганновер

Репутация: 1
Всего: 360



Автоир: Luis Corrons (вольный перевод sergejzr)
(Original eng.)

Когда мы говорим о социальной инженерии, мы подразумеваем людей с "другой стороны" соединения, пытающихся обманным путём завладеть нашими паролями, чтобы обчистить наши счета в банке. Когда эти товарищи овладевают различными приватными данными, начинается паника. Взлом, шпионаж, кража аккаунтов - вот главные цели таких атак.

Но не будем забывать настоящую причину существования социальной инженерии. Мне нравится следующее определение: Способ заставлять человека подчиниться чужим желаниям.

Размышляя на эту тему здесь, в PandaLabs, мы открыли новый, очень простой способ применения идеи социальной инженерии. На экране юзера появляется маленькая программка, показывающая девушку, предлагающую поиграть в маленькую стриптиз-игру.

user posted image

Как же нам помочь девушке избавится от назойливой одежды? Просто забейте комбинацию, отображаемую на картинке!

user posted image

user posted image

Хммм... не кажется ли вам знакомой эта нечёткая картинка с символами? Конечно же! Это CAPTCHA  (Completely Automated Public Turing Test to Tell Computers and Humans Apart) - картинка проверки юзера на то, что он не бот. Теперь посмотрите на себя, вы часть автоматизированного процесса - декодер. Если вы забьёте правильный код, вы пошлёте информацию, необходимую например для обхода защитного механизма какой нибудь страницы. Она может быть применена для отправки сообщения на защищённый форум, создания почтового ящика... то есть для обхода систем, использующих защиту от бота. В нашем стриптиз-примере была использована капча с сайта YAHOO.

user posted image

А описанное, приложение опознано как Trj/RompeCaptchas.A, что означает "взломщик капчи"

Спасибо Unai Fernández & Francisco Berenguer за информацию
Конец цитаты.
-------------------------------------------------------------------------------------

PS: Штука  с тётками конечно проста, но почему бы не представить себе целую сеть сайтов, копирующих капчи и предлагающих "решить" их юзерам дабы зарегится/послать мессагу/скачать софт. Не нужен даже тройянец! Может ли это означать конец успешного применения тестов тьюринга в принципе?...


--------------------
PM WWW IM ICQ Skype GTalk Jabber AOL YIM MSN   Вверх
ivashkanet
Дата 18.2.2008, 19:22 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Кодю потиху
****


Профиль
Группа: Участник Клуба
Сообщений: 3684
Регистрация: 23.2.2006
Где: Гомель, Беларусь

Репутация: нет
Всего: 149



sergejzr, вот из этой же серии: http://www.kolotibablo.com/ правда они денежку платят smile 
И еще они используют принципы пирамиды: пригласи друзей и получай с них бабки
PM MAIL WWW ICQ   Вверх
sergejzr
Дата 18.2.2008, 19:50 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Un salsero
Group Icon


Профиль
Группа: Админ
Сообщений: 13285
Регистрация: 10.2.2004
Где: Германия г .Ганновер

Репутация: 1
Всего: 360



Хехе неплохо smile


--------------------
PM WWW IM ICQ Skype GTalk Jabber AOL YIM MSN   Вверх
Sardar
Дата 18.2.2008, 20:45 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Бегун
****


Профиль
Группа: Модератор
Сообщений: 6986
Регистрация: 19.4.2002
Где: Нидерланды, Groni ngen

Репутация: нет
Всего: 317



Браво!

P.S. а ведь был когда то аплодирующий смайл...  сейчас туфта какая-то, редко используемая...
P.P.S. и мой любимый ": dg" исчез..  =/


--------------------
 Опыт - сын ошибок трудных  © А. С. Пушкин
 Процесс написания своего велосипеда повышает профессиональный уровень программиста. © Opik
 Оценить мои качества можно тут.
PM   Вверх
v2v
Дата 25.2.2008, 17:34 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1620
Регистрация: 20.9.2006
Где: Киев

Репутация: нет
Всего: 56



прикольно. очень интересная информация,
только социальная инженерия тут не причём smile

Это сообщение отредактировал(а) v2v - 25.2.2008, 17:35


--------------------
PM   Вверх
Ryoga
Дата 28.2.2008, 17:10 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 262
Регистрация: 20.9.2005

Репутация: нет
Всего: 6



Забавно...  smile
PM MAIL   Вверх
Able
Дата 29.2.2008, 03:05 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 82
Регистрация: 13.6.2006
Где: Тюмень

Репутация: нет
Всего: 2



Какая же это Социальная инженерия ??? вы что?? 
это просто удаленная манипуляция!!!
Социаллная инженерия это проектирования жизни масс! а не примитвное манипулирование...
PM MAIL WWW ICQ   Вверх
sergejzr
Дата 29.2.2008, 11:59 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Un salsero
Group Icon


Профиль
Группа: Админ
Сообщений: 13285
Регистрация: 10.2.2004
Где: Германия г .Ганновер

Репутация: 1
Всего: 360



Определение:
Цитата

Социальная инженерия - это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора...
Wikipedia



--------------------
PM WWW IM ICQ Skype GTalk Jabber AOL YIM MSN   Вверх
Alexandr87
Дата 29.2.2008, 13:20 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


дыкий псых
***


Профиль
Группа: Завсегдатай
Сообщений: 1459
Регистрация: 27.11.2004
Где: Алматы, Казахстан

Репутация: нет
Всего: 39



тоже не согласен, что это есть социальная инженерия. ИМХО, при социальной инженерии, используются "слабости человеческого фактора" атакуемой стороны.
PM Jabber   Вверх
sergejzr
Дата 29.2.2008, 13:46 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Un salsero
Group Icon


Профиль
Группа: Админ
Сообщений: 13285
Регистрация: 10.2.2004
Где: Германия г .Ганновер

Репутация: 1
Всего: 360



В данном случае человек отгадывающий капчу и является атакуемой стороной. Его атакуют, вытягивая информацию с картинки, известную только ему.

ПС: Хотя в опредлении ничего про атакуемую сторону не сказано. Если мошенник выманил пароль от банка у жены банкира, не значит, что он обошёлся без социальной инженерии только из-за того, что сама жена не работает в банке.




--------------------
PM WWW IM ICQ Skype GTalk Jabber AOL YIM MSN   Вверх
Alexandr87
Дата 29.2.2008, 14:12 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


дыкий псых
***


Профиль
Группа: Завсегдатай
Сообщений: 1459
Регистрация: 27.11.2004
Где: Алматы, Казахстан

Репутация: нет
Всего: 39



sergejzr, вобщем то, я думал, я выразился понятно.

Цитата
человек отгадывающий капчу и является атакуемой стороной. 

Нет в данном случае, атакуемой стороной является сервис, с которого эта капча подгружается. Люди вводящие эту картинку - это лишь инструмент.

Цитата
Хотя в опредлении ничего про атакуемую сторону не сказано.

ИМХО


Цитата
 Если мошенник выманил пароль от банка у жены банкира, не значит, что он обошёлся без социальной инженерии только из-за того, что сама жена не работает в банке.

немного попробую перефразировать мнение высказанное мной.
Соц. инженерия - это влияние на людей, которые связаны с атакуемой стороной знанием некоторое информации (известной только данной группе лиц), или возможностью выполнить какое-либо привелигированное действие (привелегией выполнить которое, обладает только данная группа лиц).

Таким образом информация была получена у группы лиц, связанной с банком (жена банкира). 

Т.е. ограниченный круг лиц обладает нужно инфорацией. В данном случае (ввод капчи), может быть произведен кем-угодно.

Все высказанное - мое лично мнение, но думается, что правильное.
PM Jabber   Вверх
ivashkanet
Дата 29.2.2008, 14:21 (ссылка) |    (голосов:2) Загрузка ... Загрузка ... Быстрая цитата Цитата


Кодю потиху
****


Профиль
Группа: Участник Клуба
Сообщений: 3684
Регистрация: 23.2.2006
Где: Гомель, Беларусь

Репутация: нет
Всего: 149



 smile 
Спор на пустом месте  smile Какая разница социальная это или не социальная, да и инженерия ли вовсе?

P.S. ИМХО, социальная инженерия тут на лицо: используются особенности человеческого поведения (подростков западающих на раздевающиеся картинки или людей желающих "халявно" разбогатеть) в целях мошенников.

Это сообщение отредактировал(а) ivashkanet - 29.2.2008, 14:21
PM MAIL WWW ICQ   Вверх
v2v
Дата 29.2.2008, 17:16 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1620
Регистрация: 20.9.2006
Где: Киев

Репутация: нет
Всего: 56



в определении социальной инженерии заложено явное знание человека, о том что он делает несанкционированное действия например по отношению к своей организации , но человек находится под влиянием злоумышленника и ничего с этим поделать не может).
Это не социальная инженерия и точкаsmile


--------------------
PM   Вверх
sergejzr
Дата 29.2.2008, 17:43 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Un salsero
Group Icon


Профиль
Группа: Админ
Сообщений: 13285
Регистрация: 10.2.2004
Где: Германия г .Ганновер

Репутация: 1
Всего: 360



Цитата(ivashkanet @  29.2.2008,  13:21 Найти цитируемый пост)
Спор на пустом месте

Почему бы не поспорить? smile


Цитата(Alexandr87 @  29.2.2008,  13:12 Найти цитируемый пост)
Таким образом информация была получена у группы лиц, связанной с банком (жена банкира). 

И чем же она связана с банком? Таким образом мы все связаны, так как как все люди - братья smile

Цитата(Alexandr87 @  29.2.2008,  13:12 Найти цитируемый пост)
влияние на людей, которые связаны с атакуемой стороной знанием некоторое информации (известной только данной группе лиц)

В данном случае информация известна только одной группе лиц - людям.

Цитата(v2v @  29.2.2008,  16:16 Найти цитируемый пост)
в определении социальной инженерии заложено явное знание человека о том что он делает несанкционированное действия

Ничего там не заложено. В определении всё ясно сказано. Троянский конь, или Фишинг, которые приводятся как примеры, абсолютно не подразумевают подобного.

Социум - общество, группа людей. Всё что связано с обманом человека или использованием человека в корыстных целях - социальная инженерия.







--------------------
PM WWW IM ICQ Skype GTalk Jabber AOL YIM MSN   Вверх
LSD
Дата 29.2.2008, 18:13 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Leprechaun Software Developer
****


Профиль
Группа: Модератор
Сообщений: 15708
Регистрация: 24.3.2004

Репутация: нет
Всего: 537



Капчу можно сделать в виде апплета, флеша, актив икс, сирверлайта, причем чтобы не просто передавать туда картинку, а генерировать прямо кодом. Тогда тут возможен будет только грабинг экрана, и передача его юзеру. А если еще ее получше спрятать на экране.


--------------------
Disclaimer: this post contains explicit depictions of personal opinion. So, if it sounds sarcastic, don't take it seriously. If it sounds dangerous, do not try this at home or at all. And if it offends you, just don't read it.
PM MAIL WWW   Вверх
Ответ в темуСоздание новой темы Создание опроса
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Методы борьбы со спамом | Следующая тема »


 




[ Время генерации скрипта: 0.1771 ]   [ Использовано запросов: 23 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.