|
|
|
sergejzr |
|
|||
Un salsero Профиль Группа: Админ Сообщений: 13285 Регистрация: 10.2.2004 Где: Германия г .Ганновер Репутация: 1 Всего: 360 |
Автоир: Luis Corrons (вольный перевод sergejzr)
(Original eng.) Когда мы говорим о социальной инженерии, мы подразумеваем людей с "другой стороны" соединения, пытающихся обманным путём завладеть нашими паролями, чтобы обчистить наши счета в банке. Когда эти товарищи овладевают различными приватными данными, начинается паника. Взлом, шпионаж, кража аккаунтов - вот главные цели таких атак. Но не будем забывать настоящую причину существования социальной инженерии. Мне нравится следующее определение: Способ заставлять человека подчиниться чужим желаниям. Размышляя на эту тему здесь, в PandaLabs, мы открыли новый, очень простой способ применения идеи социальной инженерии. На экране юзера появляется маленькая программка, показывающая девушку, предлагающую поиграть в маленькую стриптиз-игру. Как же нам помочь девушке избавится от назойливой одежды? Просто забейте комбинацию, отображаемую на картинке! Хммм... не кажется ли вам знакомой эта нечёткая картинка с символами? Конечно же! Это CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) - картинка проверки юзера на то, что он не бот. Теперь посмотрите на себя, вы часть автоматизированного процесса - декодер. Если вы забьёте правильный код, вы пошлёте информацию, необходимую например для обхода защитного механизма какой нибудь страницы. Она может быть применена для отправки сообщения на защищённый форум, создания почтового ящика... то есть для обхода систем, использующих защиту от бота. В нашем стриптиз-примере была использована капча с сайта YAHOO. А описанное, приложение опознано как Trj/RompeCaptchas.A, что означает "взломщик капчи" Спасибо Unai Fernández & Francisco Berenguer за информацию Конец цитаты. ------------------------------------------------------------------------------------- PS: Штука с тётками конечно проста, но почему бы не представить себе целую сеть сайтов, копирующих капчи и предлагающих "решить" их юзерам дабы зарегится/послать мессагу/скачать софт. Не нужен даже тройянец! Может ли это означать конец успешного применения тестов тьюринга в принципе?... |
|||
|
||||
ivashkanet |
|
|||
Кодю потиху Профиль Группа: Участник Клуба Сообщений: 3684 Регистрация: 23.2.2006 Где: Гомель, Беларусь Репутация: нет Всего: 149 |
sergejzr, вот из этой же серии: http://www.kolotibablo.com/ правда они денежку платят
И еще они используют принципы пирамиды: пригласи друзей и получай с них бабки |
|||
|
||||
sergejzr |
|
|||
Un salsero Профиль Группа: Админ Сообщений: 13285 Регистрация: 10.2.2004 Где: Германия г .Ганновер Репутация: 1 Всего: 360 |
Хехе неплохо
|
|||
|
||||
Sardar |
|
|||
Бегун Профиль Группа: Модератор Сообщений: 6986 Регистрация: 19.4.2002 Где: Нидерланды, Groni ngen Репутация: нет Всего: 317 |
Браво!
P.S. а ведь был когда то аплодирующий смайл... сейчас туфта какая-то, редко используемая... P.P.S. и мой любимый ": dg" исчез.. =/ -------------------- Опыт - сын ошибок трудных © А. С. Пушкин Процесс написания своего велосипеда повышает профессиональный уровень программиста. © Opik Оценить мои качества можно тут. |
|||
|
||||
v2v |
|
|||
Эксперт Профиль Группа: Завсегдатай Сообщений: 1620 Регистрация: 20.9.2006 Где: Киев Репутация: нет Всего: 56 |
прикольно. очень интересная информация,
только социальная инженерия тут не причём Это сообщение отредактировал(а) v2v - 25.2.2008, 17:35 |
|||
|
||||
Ryoga |
|
|||
Опытный Профиль Группа: Участник Сообщений: 262 Регистрация: 20.9.2005 Репутация: нет Всего: 6 |
Забавно...
|
|||
|
||||
Able |
|
|||
Шустрый Профиль Группа: Участник Сообщений: 82 Регистрация: 13.6.2006 Где: Тюмень Репутация: нет Всего: 2 |
Какая же это Социальная инженерия ??? вы что??
это просто удаленная манипуляция!!! Социаллная инженерия это проектирования жизни масс! а не примитвное манипулирование... |
|||
|
||||
sergejzr |
|
|||
Un salsero Профиль Группа: Админ Сообщений: 13285 Регистрация: 10.2.2004 Где: Германия г .Ганновер Репутация: 1 Всего: 360 |
Определение:
|
|||
|
||||
Alexandr87 |
|
|||
дыкий псых Профиль Группа: Завсегдатай Сообщений: 1459 Регистрация: 27.11.2004 Где: Алматы, Казахстан Репутация: нет Всего: 39 |
тоже не согласен, что это есть социальная инженерия. ИМХО, при социальной инженерии, используются "слабости человеческого фактора" атакуемой стороны.
|
|||
|
||||
sergejzr |
|
|||
Un salsero Профиль Группа: Админ Сообщений: 13285 Регистрация: 10.2.2004 Где: Германия г .Ганновер Репутация: 1 Всего: 360 |
В данном случае человек отгадывающий капчу и является атакуемой стороной. Его атакуют, вытягивая информацию с картинки, известную только ему.
ПС: Хотя в опредлении ничего про атакуемую сторону не сказано. Если мошенник выманил пароль от банка у жены банкира, не значит, что он обошёлся без социальной инженерии только из-за того, что сама жена не работает в банке. |
|||
|
||||
Alexandr87 |
|
||||||
дыкий псых Профиль Группа: Завсегдатай Сообщений: 1459 Регистрация: 27.11.2004 Где: Алматы, Казахстан Репутация: нет Всего: 39 |
sergejzr, вобщем то, я думал, я выразился понятно.
Нет в данном случае, атакуемой стороной является сервис, с которого эта капча подгружается. Люди вводящие эту картинку - это лишь инструмент.
ИМХО
немного попробую перефразировать мнение высказанное мной. Соц. инженерия - это влияние на людей, которые связаны с атакуемой стороной знанием некоторое информации (известной только данной группе лиц), или возможностью выполнить какое-либо привелигированное действие (привелегией выполнить которое, обладает только данная группа лиц). Таким образом информация была получена у группы лиц, связанной с банком (жена банкира). Т.е. ограниченный круг лиц обладает нужно инфорацией. В данном случае (ввод капчи), может быть произведен кем-угодно. Все высказанное - мое лично мнение, но думается, что правильное. |
||||||
|
|||||||
ivashkanet |
|
|||
Кодю потиху Профиль Группа: Участник Клуба Сообщений: 3684 Регистрация: 23.2.2006 Где: Гомель, Беларусь Репутация: нет Всего: 149 |
Спор на пустом месте Какая разница социальная это или не социальная, да и инженерия ли вовсе? P.S. ИМХО, социальная инженерия тут на лицо: используются особенности человеческого поведения (подростков западающих на раздевающиеся картинки или людей желающих "халявно" разбогатеть) в целях мошенников. Это сообщение отредактировал(а) ivashkanet - 29.2.2008, 14:21 |
|||
|
||||
v2v |
|
|||
Эксперт Профиль Группа: Завсегдатай Сообщений: 1620 Регистрация: 20.9.2006 Где: Киев Репутация: нет Всего: 56 |
в определении социальной инженерии заложено явное знание человека, о том что он делает несанкционированное действия например по отношению к своей организации , но человек находится под влиянием злоумышленника и ничего с этим поделать не может).
Это не социальная инженерия и точка |
|||
|
||||
sergejzr |
|
||||||
Un salsero Профиль Группа: Админ Сообщений: 13285 Регистрация: 10.2.2004 Где: Германия г .Ганновер Репутация: 1 Всего: 360 |
Почему бы не поспорить?
И чем же она связана с банком? Таким образом мы все связаны, так как как все люди - братья
В данном случае информация известна только одной группе лиц - людям.
Ничего там не заложено. В определении всё ясно сказано. Троянский конь, или Фишинг, которые приводятся как примеры, абсолютно не подразумевают подобного. Социум - общество, группа людей. Всё что связано с обманом человека или использованием человека в корыстных целях - социальная инженерия. |
||||||
|
|||||||
LSD |
|
|||
Leprechaun Software Developer Профиль Группа: Модератор Сообщений: 15708 Регистрация: 24.3.2004 Репутация: нет Всего: 537 |
Капчу можно сделать в виде апплета, флеша, актив икс, сирверлайта, причем чтобы не просто передавать туда картинку, а генерировать прямо кодом. Тогда тут возможен будет только грабинг экрана, и передача его юзеру. А если еще ее получше спрятать на экране.
-------------------- Disclaimer: this post contains explicit depictions of personal opinion. So, if it sounds sarcastic, don't take it seriously. If it sounds dangerous, do not try this at home or at all. And if it offends you, just don't read it. |
|||
|
||||
sergejzr |
|
|||
Un salsero Профиль Группа: Админ Сообщений: 13285 Регистрация: 10.2.2004 Где: Германия г .Ганновер Репутация: 1 Всего: 360 |
Такие вещи ещё элементарнее взломать. Тут и капчу скорее всего решать не придётся, достаточно просто сломать локальное приложение.. Ломалки появятся в течении недели. |
|||
|
||||
LSD |
|
|||
Leprechaun Software Developer Профиль Группа: Модератор Сообщений: 15708 Регистрация: 24.3.2004 Репутация: нет Всего: 537 |
Не-е-е, для каждого клиента генерируется свой код, который по линиями и готовым фрагментам рисует картинку -------------------- Disclaimer: this post contains explicit depictions of personal opinion. So, if it sounds sarcastic, don't take it seriously. If it sounds dangerous, do not try this at home or at all. And if it offends you, just don't read it. |
|||
|
||||
v2v |
|
|||
Эксперт Профиль Группа: Завсегдатай Сообщений: 1620 Регистрация: 20.9.2006 Где: Киев Репутация: нет Всего: 56 |
при таком определении абсолютно любую атаку можно определить как атака с использованием социальной инженерии. это не есть верно . хммм... вобщем прочитал статью на википедии: по ихнему определению такая атака действительно будет относится к социальной инженерии. с чем я в какой то мере не согласен. но да ладно. Добавлено через 6 минут и 42 секунды вот тут то вы и прокололись в определении социальной инженерии чётко сказано без использования технических средств. а в данном случае вы без них не обойдётесь : дополнительная программа, дополнительный промежуточный сервер - это не соц. инженерия! и вообще примеры из википедии противоречат определению на википедии |
|||
|
||||
v2v |
|
|||
Эксперт Профиль Группа: Завсегдатай Сообщений: 1620 Регистрация: 20.9.2006 Где: Киев Репутация: нет Всего: 56 |
кстате, тут это назвали просто трояном
_http://www.securitylab.ru/news/306481.php?phrase_id=554039 |
|||
|
||||
sergejzr |
|
|||
Un salsero Профиль Группа: Админ Сообщений: 13285 Регистрация: 10.2.2004 Где: Германия г .Ганновер Репутация: 1 Всего: 360 |
А никто не говорил, что в случае с апплетами вообще нужна социальная инженерия. В том то и смысл. Перечитайте мой пост ещё раз (особенно про капчу). Вообще топик создан для дискуссии на тему обхождения теста Тьюринга в его общем виде с помощью социальной инженерии.
Любая т.н "афёра" - социальная инженерия. Воровство - нет. Не по "ихнему", а по общепринятому определению. Если умножение чисел называется мультипликацией, можно с этим не соглашаться, от этого ничего не изменится. |
|||
|
||||
LSD |
|
|||
Leprechaun Software Developer Профиль Группа: Модератор Сообщений: 15708 Регистрация: 24.3.2004 Репутация: нет Всего: 537 |
А что тут обсуждать - кончно можно Кстати не так давно гугл делал нечто похожее. На автомате ставить теги для изображений очень малоэффективно, так они придумали такую игру: двум людям показывается одно и то же изображение, далее они начинают его описывать ключевыми словами. Если у них обнаруживаются совпадающие (ондно или какой-то процент), то они выиграли. -------------------- Disclaimer: this post contains explicit depictions of personal opinion. So, if it sounds sarcastic, don't take it seriously. If it sounds dangerous, do not try this at home or at all. And if it offends you, just don't read it. |
|||
|
||||
sergejzr |
|
|||
Un salsero Профиль Группа: Админ Сообщений: 13285 Регистрация: 10.2.2004 Где: Германия г .Ганновер Репутация: 1 Всего: 360 |
Ага, не знаю насчёт гугля, но flickr йрто делал. К нам мужик приезжал, который такие фишки выдумывает в Yahoo!. Исследование возможностей Web2.0 так сказать. "Web, made for people by people" А вот аспекты "приватной сферы" не учтены до сих пор. Чую, здесь ещё мне будет над чем поработать ))
|
|||
|
||||
Able |
|
|||
Шустрый Профиль Группа: Участник Сообщений: 82 Регистрация: 13.6.2006 Где: Тюмень Репутация: нет Всего: 2 |
Ребят давайте продолжим а?
Уж очень серьзный термин а вы его так... ))) Социальное - феномен массовости человеческих сообществ где в центре группа лиц... Инженерия - констрирование чего либо создание из деталей.... Т.е. конструирование групп людей под определенные цели.... А здесь на лицо чистой воды манипуляция... причем при помощи ИТ технологий.... Тогда уж вернее будет назвать Инженерия пси IT манипулций ... тут и объект ясный и предмет виден... хотя напраленна конечно на группы людей но важное замечание основной целью является не изменения поведения группы (на доменантном уровне) а лишь извлечение информации путем обмана ))) |
|||
|
||||
LSD |
|
|||
Leprechaun Software Developer Профиль Группа: Модератор Сообщений: 15708 Регистрация: 24.3.2004 Репутация: нет Всего: 537 |
Рапида походу решила эту проблему. Теперь ее каптчу не всякий человек отгадает И без сопроводительного текста и картинок она не решаема.
Присоединённый файл ( Кол-во скачиваний: 12 ) rapidshare.gif 17,15 Kb -------------------- Disclaimer: this post contains explicit depictions of personal opinion. So, if it sounds sarcastic, don't take it seriously. If it sounds dangerous, do not try this at home or at all. And if it offends you, just don't read it. |
|||
|
||||
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей) | |
0 Пользователей: | |
« Предыдущая тема | Методы борьбы со спамом | Следующая тема » |
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |