بيت Securitywatch القرصنة هي مجرد كسر لغز واحد في وقت واحد

القرصنة هي مجرد كسر لغز واحد في وقت واحد

2024

فيديو: Ù...ØºØ±Ø¨ÙŠØ© Ù...Ø¹ Ø¹Ø´ÙŠÙ‚Ù‡Ø§ ÙÙŠ Ø§Ù„Ø³Ø±ÙŠØ±ØŒ Ø´Ø§Ù‡Ø¯ Ø¨Ù†ÙØ³Ùƒ (سبتمبر 2024)

احصل على مجموعة من المتسللين وغيرهم من الأشخاص ذوي العقلية الأمنية في نفس المكان وقليلًا من المنافسة الجيدة والمطفل أمر لا مفر منه.

في الأسبوع الماضي ، كان برنامج Kaspersky Lab Security Analyst Summit مليئًا بجلسات ممتعة وحضره بعض من أفضل العقول في مجال أمن المعلومات ، لكن هذا لم يكن كل شيء. يمكن للحضور أيضًا التنافس في "تشفير التحدي" ، حيث يستخدمون مهارات القرصنة لحل سلسلة من الألغاز. كنت من بين حفنة الذين أنهوا التحدي ، وعلى طول الطريق تعلمت المزيد عن التشفير والتشويش والهندسة العكسية.

الأهم من ذلك كله ، لقد تعلمت أن القرصنة مثل حل الألغاز. ما زلت تفكر ، "اسمح لي فقط بتجربة هذا الشيء" ، والشعور بالإثارة عندما تحصل عليه.

تشفير يحمل المفتاح

في جوهره ، فإن التشفير هو عن طريق إرسال رسالة وكتابتها بطريقة تبدو وكأنها رطانة لمن لا يعرف السر. انها قليلا مثل الخنزير اللاتينية. إذا كنت لا تعرف قواعد اللغة ، فليس لديك فكرة عما تعنيه كلمة "ellohay". بعض الأصفار بسيطة للغاية - مثل تبديل الحرف بالحرف التالي ، بحيث يصبح b ، b يصبح c ، وهكذا ، حتى يصبح "hello" "ifmmp". البعض الآخر أكثر تعقيدًا من الناحية الرياضية ويستخدم لحماية أرقام بطاقات ائتماننا وبيانات اعتماد كلمة المرور الخاصة بنا.

تلقى كل مشارك في القمة ، عند التسجيل ، خطابًا حول تحدي التشفير. في النهاية كانت هناك سلسلة من الحروف التي لم يكن لها معنى ولكن كان لها شكل مألوف. بدءًا من "vhhd: //" متبوعة بمجموعات من الحروف مفصولة بنقطة (.) ، كان عنوان URL لموقع الويب واضحًا. بمجرد أن أدركت أن الأحرف القليلة الأولى كانت "http: //" كنت أعلم أن هذا هو ROT13 ، وهو رمز مشهور (وضعيف للغاية) ، والذي يتبادل كل حرف بحرف يأتي بعد 13 مكانًا في الأبجدية. ليست هناك حاجة لمعرفة عنوان URL يدويًا ، حيث يوجد الكثير من وحدات فك التشفير ROT13 على الويب.

غامضة جافا سكريبت ، يا بلدي

الصفحة الناتجة ، مع صورة ورسالة ترحيب ، كانت مملة. مصدر الصفحة لم يكن سوى كانت أسطر وخطوط أكثر رطانة ، محاطة بعلامات <script type = "text \ javascript">. آه ، تعتيم جافا سكريبت.

التشويش هو أسلوب شائع الاستخدام حيث يكتب المبرمجون الخبيثون رمز الهجوم بطريقة لا يستطيع الإنسان من خلالها قراءة الكود بسهولة. إنها مختلفة عن التشفير في أنها لا تعتمد على السر وإنما على أساليب البرمجة المعقدة لإنشاء شفرة يصعب قراءتها. الكود الناتج غير مقروء للعين البشرية ، لكن الجهاز ليس لديه مشكلة في فهمه وتنفيذه.

كما كان الحال مع ROT13 ، لم تكن هناك حاجة لمحاولة تحليل Javascript المبهمة يدويًا. بدلاً من ذلك ، استخدمت مفتش DOM الذي تم تضمينه في متصفح الويب Chrome وتصفح كل عنصر من عناصر الصفحة. أستطيع أن أرى رمز لعرض الصورة ورسالة الترحيب مخبأة داخل رطانة ، بالإضافة إلى سطر خارج التعليق من التعليمات البرمجية التي تحتوي على فكرة التالية.

الغموض لا يقتصر على مجرد جافا سكريبت ، إما. اضطررت إلى تعديل نص برل من أجل معرفة ما كان يحاول هذا الجزء القبيح من الشفرة قوله.

عكس الهندسة مثل بوس

في إحدى المرات ، قمت بتنزيل ملف قابل للتنفيذ (تم مسحه ضوئيًا باستخدام Kaspersky Antivirus -لا يؤلمني أن أكون حذراً!) مما دفعني إلى إدخال اسم مستخدم وكلمة مرور. لقد حان الوقت لعكس هندسة ذلك القابل للتنفيذ.

ساعد العمل على كمبيوتر محمول Linux في هذه المرحلة ، لأنه يمكنني استخدام سلاسل ، أداة Linux لسطر الأوامر التي تطبع محتويات الملفات غير النصية ، و gdb ، مصحح أخطاء يتيح لك رؤية ما يحدث داخل ملف أثناء تنفيذه. كانت السلاسل مفيدة أيضًا لاحقًا في التحدي ، عندما قمت بتنزيل ملفات.d64. كان بإمكاني تنزيل محاكي Commodore 64 - كما قصد منظم التحدي - لتشغيل الملف ، لكنني ركضت فقط سلاسل لمعرفة أين أذهب بعد ذلك.

لقد سمعت عن تضمين رسائل سرية داخل صورة ، لكن عندما واجهت هذه الصورة ، شعرت بالحيرة في البداية. بعد ذلك تذكرت أن الصور لها طبقات ، ويمكن للمهاجمين تضمين المعلومات في طبقات مختلفة دون تعطيل الطبقة المرئية. كان بإمكاني إلقاء نظرة على كل طبقة في GIMP ، وهي أداة مفتوحة المصدر تشبه Adobe Photoshop التي تعمل على نظام Linux. بدلاً من ذلك ، قمت بتشغيل الصورة عبر سلاسل ، والتي استخرجت كل النص المخفي في الصورة. هذا هو أمر واحد تنوعا ومفيد.

ملاحظة حول كلمات المرور

لقد دفعتني بعض الخطوات في التحدي إلى كلمة مرور صالحة. بينما لم تظهر كلمة المرور مطلقًا ، كانت هناك مناسبة واحدة على الأقل حيث دخلت عشوائيًا كلمات ذات صلة بالمؤتمر واللعبة حتى تعثرت على المناسبة الصحيحة. في خطوة واحدة ، تعثرت بأحرف صغيرة / كبيرة ، لذلك قمت للتو بإنشاء قائمة تضم جميع المجموعات الممكنة وعملت في طريقي.

يمكن للمهاجم ، المسلح ببعض المعلومات عن الضحية ، أن يحاول بسهولة تخمين كلمة المرور الصحيحة ، أو مجرد تشغيل قائمة الكلمات المحتملة. ظللت تمتم ، "أنا ذاهب إلى التغلب عليك" ، وعندما فكرت بها ، "ها! حصلت عليها!"

مجرد حل اللغز

باستثناء السلاسل و gdb ، يعتمد كل عنصر من عناصر التحدي على شيء مباشر إلى حد ما ، أو شيء يمكن أن أتعلمه من خلال بحث Google. على الرغم من أن القرصنة ليست بهذه البساطة ، إلا أنه من المهم أن نفهم أن المهارات تعتمد على بعضها البعض. لتبدأ ، تحتاج فقط إلى القليل من الفضول والاستعداد للمثابرة.

تسمع عن الأشخاص الذين يحاولون اقتحام الأنظمة أو إطلاق حملات عبر الإنترنت للمتعة ، أو لمجرد إثبات قدرتها على ذلك. ما يبقي المتسللين القرصنة هو أن الاندفاع بعيد المنال الأدرينالين الذي يأتي من حل لغز التحدي.