Från RSA, rätt intressant.
Hacking the Hacker:
http://blog.wired.com/27bstroke6/2008/04/r...rcher-demo.html
Full Version: Hacking the Hacker
Sånt här är skoj! Kommer ihåg att p0ke sysslade med liknande för länge sen, men då var det nog mycket lättare.
(Jag tror dock att min skapalse ska vara säker...
)
Undrar i vilket skede han lyckades utföra attacken. Om det var när klienten redan är ansluten till server (utfört init osv) eller om det är precis efter att man ansluter till klienten? Det senare är helt klart häftigare! Hoppas Joel orkar komma in och kommentera
(Jag tror dock att min skapalse ska vara säker...
)Undrar i vilket skede han lyckades utföra attacken. Om det var när klienten redan är ansluten till server (utfört init osv) eller om det är precis efter att man ansluter till klienten? Det senare är helt klart häftigare! Hoppas Joel orkar komma in och kommentera
ohh..
bifrost och PI är ju det enda jag använder..
fast man kan nog va ganska säker , hur många klarar av att göra en sån grej.
bifrost och PI är ju det enda jag använder..
fast man kan nog va ganska säker , hur många klarar av att göra en sån grej.
Reagerade direkt när jag såg titeln eftersom jag nyss läst en artikel som hette ungefär samma sak.
http://www.gnucitizen.org/blog/content-inj...ack-the-hacker/
Detta är såklart mycket mer client side än vad som diskuteras i mama's länk men den visar på en riktigt bra poäng,
och det är att man är verkligen inte säker bara för att man sitter bakom tor.
Det är med andra ord inte bara flash applikationer som kan luska ut din riktiga ip adress när du sitter och haxxorerar utan det beror helt på hur servern i sig är konfigurerad. Detta innebär att anonymiteten bakom tor (om man enbart räknar med att man ska pentesta en hemsida) är som bortblåst.
http://www.gnucitizen.org/blog/content-inj...ack-the-hacker/
Detta är såklart mycket mer client side än vad som diskuteras i mama's länk men den visar på en riktigt bra poäng,
och det är att man är verkligen inte säker bara för att man sitter bakom tor.
Det är med andra ord inte bara flash applikationer som kan luska ut din riktiga ip adress när du sitter och haxxorerar utan det beror helt på hur servern i sig är konfigurerad. Detta innebär att anonymiteten bakom tor (om man enbart räknar med att man ska pentesta en hemsida) är som bortblåst.
QUOTE(mama @ 2008-04-20 07:52) 
Från RSA, rätt intressant.
Hacking the Hacker:
http://blog.wired.com/27bstroke6/2008/04/r...rcher-demo.html
Hacking the Hacker:
http://blog.wired.com/27bstroke6/2008/04/r...rcher-demo.html
Han borde satsa på att ta ut större botnets istället. Annars var det en trevlig artikel. =D
QUOTE(SmoiZ @ 2008-04-20 12:29)
Han borde satsa på att ta ut större botnets istället. Annars var det en trevlig artikel. =D
Medel och mål.
Ett botnet är samhällsfarligt.
En "otillbörligt införd rat" kan ha ekonomiska motiv och ett juridiskt högre intresse att spåra. Sugs en maskin in i ett botnet är det i första hand inte ett problem för den som drabbas av servern där, utan den som botnetets aktiviteter.
En "otillbörligt införd rat" drabbar den maskin, eller det nätverk, där den befinner sig.
Anyhow, förutsättningarna och hoten är helt olika, så helt andra motiv måste till för att det skall finnas ett ekonomiskt intresse i att ge sig på ett botnet.
Sen är väll mitt spontana antagande att den här killen är nyfiken på precis samma sätt som folk som sitter här, med skillnaden att han har hittat ett socialt accepterat sätt att få utlopp för sin kreativitet/nyfikenhet, och nu dessutom lyckas göra sig ett namn på det.
Historiskt så är ju programmeringsmissar sånt som "räddat" från många av de stora virusen och dylikt, bland annat kod som skulle gjort spridning i några av de stora maskarna mycket effetkivare, som inte fungerade som den skulle vilket utvecklaren missat pga sin inbyggda felhantering som bara hoppade över en sektion om den inte funkade, misslyckad polymorfism pga programmeringsmissar med mera...
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.