Archiwum
czyli czego się możecie ode mnie nauczyć
Chakierowanie NK 2008-07-13 12:37
 Oceń wpis
   

_-¯ Ufff... lato to ciężki okres dla chakiera. Grille, imprezki, wakacje, urlop na Lazurowym Wybrzeżu... no, ale trzeba po prostu zacisnąć zęby i to przetrzymać. W końcu nawet najdłuższy urlop się skończy i można będzie znowu zasiąść do komputera. Póki co, piszę z jakiegoś podejrzanego plażowego baru (trochę podobny do tego z serialu ,,Żar tropików'' - piasek, drewno, trzcinowe dachy, kobiety w strojach kąpielowych sączące przez słomki kolorowe drinki i takie tam...). W celu zachowania poufności transmisji wykupiłem wszystkie opakowania ,,Pringlesów'' i zrobiłem z nich prowizoryczną, kwantową antenę kierunkową. Kwanty wziąłem z morza - jest ich tu całe mnóstwo i są dosyć duże. Widocznie ciepły klimat im służy.

_-¯ Dzisiejszy wpis będzie poświęcony chakierowaniu portalu NK, który swego czasu zyskał olbrzymią popularność, stając się polskim portalem ,,społecznościowym'' nr 1. Wielu internautów z ufnością powierzyła serwerom hostującym NK swoje dane osobowe, nie mając pojęcia jak łatwo można je wydobyć - co za chwilę zademonstruję.

Punkt pierwszy: System Operacyjny
_-¯ Do chakierowania NK użyłem systemu... linusk! Było ku temu klika powodów. Pierwszym z nich był fakt, że na urlop zapomniałem zabrać ze sobą mojego pudełka z Widnows Vizta Platinum Premium Business Full With Aero And Some Nice Translucent Window Borders, więc kiedy zgodnie z normalnym cyklem użytkowym musiałem przeinstalować system - utknąłem na procedurze aktywacji. Co prawda mógłbym to w prosty sposób schakierować, ale nie po to wywalałem górę szmalu na dobrze zabezpieczony system operacyjny, żeby teraz te zabezpieczenia obchodzić.
Drugim powodem była dostępność linuskowej wersji live-cd. Jest to specjalny linusk umieszczony na płycie, który nie instaluje się na twardym dysku. Wymarzone narzędzie chakiera: bootujemy linuska, dokonujemy włamu a następnie wyjmujemy płytę i porzucamy w lesie, rzece, lub nowo wylewanych fundamentach wieżowca, razem z ewentualnymi dowodami przeciwko nam. A do następnego włamu możemy użyć nowej, świeżej płyty!
Trzeci powód to chęć odsiania wszelkiego typu script-kiddies. Linusk jest systemem niebywale wręcz skomplikowanym, tak więc sama procedura uruchomienia go jest wystarczającym testem pozwalającym zidentyfikować prawdziwych chakierów.
Mając już linuska należy go skonfigurować: wygenerować certyfikaty bezpieczeństwa, skonfigurować bind, postfix, prefix, sendmail, postgres, dns, dhcp, avahi, ssh, ssl, hal, bum i tralala. I nie zapomnieć o emacsie!

zabezpieczenie
Na obrazku jedna z funkcji linuska, którą dostajemy out-of-box - filtr reklam, reprezentowany przez ikonę zielonego puzzla.


Punkt drugi: Fałszywe konto
_-¯ Oczywiście, żeby dostać się do systemu NK należy najpierw założyć tam konto. Samego procesu nie będę opisywał, przypomnę tylko by absolutnie nie podawać pełnych, własnych danych osobowych, które potem będą mogły posłużyć organom ścigania w ujęciu nas. Należy podać dane zmyślone, ja np. przy procesie rejestracji rozmyślnie, błędnie wypełniłem pole ,,płeć''. Buahahaha! Nigdy mnie nie znajdą!

oszustwo
Fałszywych tropów nigdy dość.


Punkt trzeci: Chakierowanie
_-¯ Mając już konto można przystąpić do części zasadniczej, czyli chakierowania. Ze strony THC pobieramy program SQL-inspector, a następnie uploadujemy go na konto, po czym uruchamiamy. Po około trzech minutach program powinien znaleźć lukę typu sql-injection w kodzie dodawania numerów GG. Wykorzystując ją, wprowadzamy do bazy danych, do kolumny identyfikatorów użytkowników trojana, najlepiej F00B4r1 autorstwa M1m00ha. Trojan uruchomi się przy przelogowaniu, tak więc należy się wylogować i ponownie wejść na własne konto. Nic się nie zmieniło? Proszę spojrzeć w prawy dolny róg ekranu!

chack
F00B4r1 zainstalowany w bazie udostępnia nam link do funkcjonalności chakierowania całego systemu


W tym momencie nasze prawa na portalu NK są niczym nieograniczone. Ja zgrałem sobie bazę wszystkich użytkowników na dyskietkę, dzięki czemu mam dostęp do adresów, zdjęć i danych osobowych wszystkich zarejestrowanych tam użytkowników. Być może niedługo wystawię ją na jakimś serwisie aukcyjnym.

Punkt czwarty: Zacieranie śladów
_-¯ Dzięki linuskowi wystarczy tylko wyłączyć komputer, wyjąć płytę i wyrzucić ją do kosza. That's it!

_-¯ To przykre, że portale które piszą o sobie ,,wiodące'' nie przywiązują należytej uwagi do kwestii bezpieczeństwa. Łatki na F00B4r1 są przecież dostępne od co najmniej trzech miesięcy. Dlaczego administratorzy NK nie zadali sobie tyle trudu, by samodzielnie zapuścić SQL-inspectora, a następnie załatać wszystkie znalezione przez niego luki? Cóż - może spiskowa teoria, że dzieje się tak, by umożliwić półlegalny dostęp ,,odpowiednim służbom'' nie do końca jest wyssana z palca...
Kończę. Jakaś kobieta z sąsiedniego stolika cały czas mnie zaczepia, więc się zwijam. Nie daj Boże, będzie chciała skorzystać z mojego komputera...

 

 
 


Najnowsze komentarze
 
2016-03-27 11:01
loan offer do wpisu:
Jak się włamać na konto pocztowe
Dobry dzień, Jestem MR larryt, prywatnej pożyczki Pożyczkodawca oraz współpracy finansowej[...]
 
2016-03-12 03:02
Pani Tamara Tita do wpisu:
Jak się włamać na konto pocztowe
Cześć, Nadchodzi Affordable kredytu, która zmieni twoje życie na zawsze, jestem Pani Tamara[...]
 
2016-03-11 18:49
Josephine Halalilo do wpisu:
Jak się włamać na konto pocztowe
Cześć wszystkim, Gorąco polecam to wspaniałe świadectwo, że w moim życiu trzymałem miłości[...]
 
2016-02-23 21:39
pharoah do wpisu:
Wybory coraz bliżej...
Charyzjuszu! Na święte Kontinuum i Infundybułę Chronosynklastyczną - powiadam Ci: Wróć!
 
2016-02-23 18:03
janrski do wpisu:
Jak się włamać na konto pocztowe
HEJ POMOZESZ MI SIE WŁAMAC NA KONTO MOJEJ ZONY??MA TROJE DZIECI OD 10LAT DO 4 LAT MOGE JEJ[...]
 
2016-02-09 00:03
vektra es a do wpisu:
Jak się włamać na konto pocztowe
Drodzy Użytkownicy, chcielibyśmy odnieść się do poruszanych na tej stronie kwestii jak i[...]
 
2016-02-04 02:07
Pani maris smith do wpisu:
Jak się włamać na konto pocztowe
Zeznania w sprawie jak mam pożyczkę zmienić życie mojej rodziny Nazywam się Babara Curtney.[...]
 
2016-01-18 21:36
jolasia do wpisu:
Jak się włamać na konto pocztowe
Witam czy ktoś by mógł włamać mi się na konto?
 



 
Chakier, Charyzjusz. Q2hhcnl6anVzeiBDaGFraWVyCg== chakier[at]vp.pl