Archiv rubriky: útoky na hesla

Hacking facebook účtu

Dnes se podíváme na nejčastější útoky, které hrozí vašemu Facebooku účtu. Protože většina uživatelů přistupuje k této službě z mobilního zařízení, zaměříme se na přístup k Facebooku (FB) z mobilu. Přístup z mobilu Mobilní verze Facebooku používá k přihlášení tokeny, aby uživatel nemusel pokaždé zadávat svoje heslo. Tyto tokeny mají platnost 60 dní s možností prodloužení své platnosti. To je zajímavé v případech, kdy má útočník fyzický přístup k vašemu mobilu a stačí mu spustit Facebooku “apku”. V tuto chvíli…

Číst dál

Dva úspěšné útoky 2017

Pokud jste IT administrátoři nebo podnikatelé, měli byste zbystřit a podívat se na dva úspěšné útoky roku 2017 – únik dat ze služby Uber a zvýšený výskyt ransomwaru. Úniky dat ve velkém V listopadu vyšlo najevo, že došlo k masivnímu úniku dat ve společnosti Uber.  Uniklo celkem 57 milionů uživatelských účtů spolu se jmény, emaily a telefonními čísly. Z toho 7 milionů patřilo řidičům. Vtipné je, že se incident stal v roce 2016 a Uber věřil, že vyplacením $100k odměny…

Číst dál

Brute force – útok na hesla hrubou silou

V dnešním příspěvku si vysvětlíme, co je to útok na heslo hrubou silou. Demonstraci útoku provedeme na starší verzi WordPressu s úmyslně slabým heslem do administrace. Tento článek má za cíl ukázat, že jednoduchá hesla jsou hřebíčkem do rakve každé aplikace. Upozorňujeme, že záměr článku je čistě edukační a tímto vás odrazujeme od podobných pokusů na systémech, které sami nevlastníte. Autentizace Každá aplikace, která řeší uživatele, musí ověřovat jejich identitu. Autentizace je akt ověření identity uživatele. Z pohledu útočníka je…

Číst dál

Šifry, kódy a hashovací funkce (1.část)

Příspěvek volně navazuje na předchozí díly útoků na hesla, často se totiž setkáme s obrazy hesel, které vznikly za pomocí hashovacích funkce nebo šifry. V tomto příspěvku se seznámíme s terminologií a hashovacími funkcemi MD5 a SHA-1. Základní pojmy Šifra Šifra je kryptografický algoritmus, který vezme prostý text a převede jej na nečitelný šifrovaný text.  Takový algoritmus ke svoji činnosti dále potřebuje klíč, který reprezentuje tajnou informaci, bez které není možné získat původní prostý text. Klíč je intergální součást šifrovacího…

Číst dál

Dostupné slovníky s hesly

V minulém příspěvku Úvod do hádání hesel jsme rozlišovali uživatelské, aplikační a systémové účty. Dnes prozkoumáme jejich dostupné slovníky. Slovníky uživatelských hesel Slovníky s hesly uživatelů vycházejí z historických dat nejčetnějších hesel nebo se jedná o slovníky zaměřené na jazyk, profesi, žánr a další oblasti. Projekt OWASP SecLists agreguje různé slovníky, které jsou užitečné při penetračním testování. V repozitáři tohoto projektu SecLists (GitHub) nalezneme podadresář Passwords, který obsahuje kolekci nejpoužívanějších hesel. Slovník má celkem 10 milionů záznamů a je rozdělen…

Číst dál

Generujeme slovník nástrojem Crunch

V minulém příspěvku jsme prošli úvodem do hádání hesel, dnes se budeme zabývat konstrukcí slovníku použitím nástroje Crunch. Crunch Nástroj Crunch generuje slovníky na základě určené abecedy a délky slov. Crunch nalezneme předinstalovaný v linuxové distribuci Kali nebo si jej můžete stáhnout na jeho domovské stránce (Crunch). V době psaní tohoto příspěvku je Crunch dostupný ve verzi 3.6, která zavádí podporou kódování Unicode a umožňuje omezovat opakující se znaky. V následujících příkladech jsou použity jen velmi malé abecedy, aby bylo…

Číst dál

Úvod do hádání hesel

Hesla a uživatelské účty používáme denně ke své autentizaci a identifikaci do různých aplikací. Než se pustíme do popisu jednotlivých útoků, podívejme se nejdříve, jak aplikace obecně řídí přístup ke svým prostředkům, jaké typy účtů můžeme v aplikacích najít a co je to politika hesel.   Řízení přístupu a důvěrnost dat Správné úživatelské jméno a heslo nám umožňuje získat přístup do systému pod určitou identitou. Při přihlašování a ověřování, zda jsme autorizováni provést určitou akci, vždy procházíme kontrolou aplikace, která…

Číst dál

Blog

Kontakty

10 kroků pro bezpečný web

Ať už si stavíte malý blog, eshop nebo dáváte agentuře vyrobit „mikrosajtu“, budete řešit zabezpečení svého webu před útoky z internetu. V následujících odstavcích se dozvíte,…

Číst dál

OSCP – Cesta k certifikaci

V tomto příspěvku se bych se rád podělil o tipy, jak se připravit na OSCP certifikaci. Na úvod řeknu, že jsem začínal jako vývojář a…

Číst dál

Kali linux na Raspberry Pi

V dnešním článku nainstalujeme Kali linux na Raspberry Pi3. Raspberry Pi  je jednočipový minipočítač s procesorem ARM, který strčíte do krabičky od mýdla. Pro Raspberry…

Číst dál

Kontakty

+420 739 639 132

Petr Juhaňák
V Poli 547
517 71 České Meziříčí

IČO 01259041