В этой статье описаны новые приёмы для проведения недетектируемых Man-in-the-Middle (MitM) атак на большинство существующих реализаций SSL/TLS.

Будучи существом социальным, человек частенько стремится напакостить ближнему своему, поэтому, вопрос взлома почты занимает одно из первых мест среди начинающих хацкеров. Всем хочется узнать, с кем общается его девушка, часто можно без труда ломануть ящик какой-нибудь фирмы и узнать много нового, интересного и поучительного --))))). Ну что же, постараюсь пролить свет на все более-менее известные методы взлома. Они будут идти в порядке возрастания сложности. Итак, сначала психологические способы, их ещё называют «социальной инженерией».

Вот решил написать статью, по защите от взлома и от воровства Dial-Up паролей на Интернет, т.к. понял, что большинство всяких там чайников и ламеров ни черта не смыслят в защите своей машины от взлома. Должен предупредить, что этот материал может быть использован как в целях защиты, так и в целях нападения.

Недавно обнаруженная известным IT Security специалистом Стефаном Эссером уязвимость в интерпретаторе PHP теоретически может затронуть миллионы веб-сайтов, на которых используется PHP<=5.2.5. Тебе интересно, в чем суть уязвимости? В статье я разобрал advisory бага по полочкам.

Баг затрагивает функции генерации псевдослучайных чисел rand() и mt_rand(). Зачастую они используются для создания паролей, сессий, кукисов и других различных конфиденциальных данных пользователя.

Rand() — это просто враппер для библиотеки libc rand(), а mt_rand() — враппер для генератора псевдослучайных чисел Mersenne Twister. Обе функции используют так называемый seed (семя), который можно задавать соответственно функциями srand() и mt_srand(). По дефолту сид представляет собой 32‑битный DWORD (2 в 32 степени или 4294967296 комбинаций). Обычно такой длины достаточно, чтобы обеспечить криптографическую стойкость приложения. Ведь для брутфорса пароля, сгенерированного с помощью одной из этих функций, необходимо знать не только сид, но и сгенерированные на его основе числа. Впрочем, существует ряд ситуаций, в которых брутфорс вполне применим...

Алгоритмы хеширования – это математические функции, позволяющие снимать своеобразный "отпечаток пальца" с данных. Они являются краеугольным камнем всей компьютерной безопасности. Такие отпечатки, называемые хешами, используются в системах управления паролями и в инфраструктурах открытых ключей (PKI), делая онлайн-шоппинг сравнительно безопасным. Кроме этого, они применяются и в системах распространения файлов. В каждом из этих случаев использование хешей обусловлено одной общей чертой, присущей всем алгоритмам хеширования – все они являются односторонними функциями.

В идеале не существует никаких практических способов установить, из каких входных данных был сгенерирован хэш, равно как не существует возможности создать такие входные данные, которые в итоге дали бы одинаковое значение хэша. Например, база данных паролей обычно содержит лишь хэши пользовательских паролей, и даже если хакеру удастся прочесть содержимое этой базы, залогиниться в системе он не сможет, поскольку никакой возможности восстановить пароль из хэша в базе данных нет.

Сейчас, как отмечают специалисты в области информационной безопасности, большинство хакерских атак производится не из хулиганских побуждений, а из соображений коммерческой выгоды. И хотя дефейс-ленты на популярных security-порталах регулярно обновляются, желание «срубить баблос» на своих навыках и умениях (а в случае отсутствия оных - на смекалке и сноровке) действительно становится доминирующим на хак-сцене.

Номера первого миллиона регистрировались около 5 лет назад. Поэтому, если пользователь не менял настроек и информации с первой регистрации, то у вас есть шанс обнаружить, что его email-адрес (если он был зарегистрирован на халявном сервере типа yahoo или же hotmail) аннулирован по бездействию. Тогда Вам требуется просто зарегистрить такой же адрес

Данная атака на сервер проходит со 100% гарантией. Для успешной атаки взломщику необходимо дисковое пространство на сервере размером в 10 Kb (столько весит скрипт) и возможность запустить свой PHP скрипт. Далеко не секрет, что Хакеры очень часто проникают в систему используя социнженерию, тоесть изначально подготавливают жертву, чтобы та им доверяла, получают от неё информацию и осуществляют взлом. Поэтому раздобыть на любом сервере небольшое дисковое пространство для хакера не проблема. В крайнем случае можно и купить себе домен на сервере провайдера или любой другой хостинговой компании, которую хакер собирается взломать.

Начав в свое время с Yahoo! Pager, сейчас я пользуюсь ICQ. Интересно заметить, что время ее соединения с Интернетом обычно гораздо больше, чем у того же браузера, потому как ќаська› автоматически отслеживает подключение и висит на нем все время соединения. Естественно, шанс атаки из-за этого растет.

Несмотря на развитие различных систем обмена информацией, таких как электронная почта и службы мгновенного обмена сообщениями, обычный телефон еще долго будет оставаться самым популярным средством связи. Ключевым событием в истории телекоммуникаций и интернета стало появление технологии передачи голоса поверх IP-сетей, поэтому за последние годы изменилось само понятие телефона. Использование VoIP современно, удобно, дешево, так как можно объединить удаленные офисы, даже не прибегая к услугам операторов телефонной связи. Какие еще доводы нужны для того, чтобы поднять свой сервер IP-телефонии?