سایت کارآفرینی میلیاردرهای آینده ایران

سایت کارآفرینی میلیاردرهای آینده ایران > کسب در آمد در ایران و دنیا > راه های خلاف برای پول درآوردن (عبرت نامه) > مردی که 1000 بانک را هک کرد اما دستگیر نشد!
نسخه کامل: مردی که 1000 بانک را هک کرد اما دستگیر نشد!
شما در حال مشاهده نسخه تکمیل نشده می باشید. مشاهده نسخه کامل با قالب بندی مناسب.

mallarme

04-08-2013, 10:57 AM
جیم استیکلی یک دزد هویت است. وی تا کنون بیش از 1000 بانک را هک کرده اما تا بحال دستگیر نشده است.



آقای استیکلی در واقع کسی است که ما آن را به عنوان "تستر نفوذی" می شناسیم و او را در دنیای کامپیوتر برای تشخیص امنیت کامپیوترها استخدام می کنند. حتی می توان گفت امنیت بیشتر کامپیوترهای ما در حال حاضر به خاطر وجود اوست.

بانک ها، دولت ها و کسب و کارهای گوناگون استیکلی را استخدام می کنند تا برایشان میزان امنیت شان را بسنجد.

او برای دزدی از بانک ها خود را به شکل یک کارمند بانک جا می زند و کارمندان بانک ها هم فکر می کنند او راست می گوید و او را تا دفاتر کار خود اسکورت می کنند.

[تصویر: jim_stickley_ts_hires.jpg]

او توانسته با استفاده از کی لاگرها و دانگل های وایرلس شماره کارت های اعتباری، شناسه های دستگاه های خودپرداز، شماره های حساب بانکی و امنیت اجتماعی و خلاصه سایر اطلاعات شخصی را بدزدد.

او یونیفرم کارمندان بانک را می پوشد و برای تکمیل لباس هایش یک دستگاه مخابره ترانزیستوری را به کمربندش می بندد. از طرفی کارمندی هم دارد که در خارج از بانک منتظر اوست و گزارش وضعیت بیرون را با استفاده از دستگاه مشابه دیگری به او می دهد.

سپس او می تواند به میان مردم رفته و در فرصت های مناسب تمام کی لاگر ها را نصب کند. کی لاگر ها به شکل فلش مموری های بسیار کوچک هستند که می توانند هر ضربه را ثبت کنند.

البته آنچه او انجام می دهد غیرقانوی نیست چون تا قبل از ورود به بانک همه مجوزهای لازم را میگیرد اما جالب اینجاست که مشتریان بانک ها هم هیچگاه به او شک نکرده اند.

او 20 سال است که این کار را انجام می دهد و تا کنون هم دستگیر نشده است چون طبق قانون مجوز دارد.

yu3f

04-08-2013, 11:08 AM
البته تو داخل کشور امنیت بیشتر کامپیوتر های شما و حساب های بانکی ب خاطر ایشون نیست Yosef.gif بخاطر امثال بنده است Yosef.gif (یکم اعتماد بنفس صبح تزریق کردم)

توضیح اضافات:
تستر نفوذی = Penetration Tester
البته ترجمه بهترش میشه آزمونگر نفوذ ، آزمون کننده نفوذ که شغلش انجام آزمون نفوذ است.

کی لاگر ها به شکل فلش مموری های بسیار کوچک هستند که می توانند هر ضربه را ثبت کنند = از کی لاگر های سخت افزاری ممکنه استفاده کنند که بسیار شبیه فلش مموری هست و یا نرم افزاری که از طریق فلش مموری منتقل می شوند. هر ضربه منظور هر دکمه ای که فشار داده می شود. البته انواع پیشرفته تر کی لاگر ها علاوه بر اینکه دکمه های فشرده شده بر روی کیبرد را ذخیره می کنند، حرکت موس، دکمه های فشرده شده در کیبرد های مجازی، تصاویر وب کم، اصوات محیطی، و هزاران اطلاعات دیگر رو هم ب سرقت می برند.

پ.ن: ممنون از مطلب جالبی ک گذاشتید.

jahanagahi

04-08-2013, 11:10 AM
ضمن تشکر از خانم مالارمه عزیز.
عزیزانی که در زمینه هک تخصص دارند لطفا در رابطه با این مسئله اطلاعات خود را بنویسند که چگونه می شود چنین کاری را با مجوز انجام داد؟ممنون.

yu3f

04-08-2013, 11:20 AM
من راجع ب ایران صحبت می کنم.
در پروژه های این چنینی مخصوصا در بانک ها، موسسات مالی و اعتباری، ادارات دولتی، وزارت خانه ها، نهاد های امنیتی و حاکمیتی و ... به شخص مجوز برای انجام آزمون نفوذ نمی دهند.

تفاوت هک کردن و آزمون نفوذ = در آزمون نفوذ تمامی مواردی ک در هک کردن انجام می شود اتفاق می افتد فقط با این تفاوت ک تخریب و سرقت اطلاعات و جعل اطلاعات صورت نمی گیرد و همه چی با هماهنگی کارفرما خواهد بود. در بعضی موارد حتی با هماهنگی کارفرما خیلی محدود و مشخص جعل هویت و اطلاعات و سرقت هم صورت می گیرد ک به صورت محدود بوده و در گزارش ارایه شده و سپس بایستی امحا شوند (امحا همان پاک کردن فایل ها و دیتا ها است به صورتی ک قابل بازیابی نباشند. اصطلاحا می گویند کاغذخوردکن دیجیتال)

برای مجوز هم شرکت پیمانکار با کارفرما (ک می تواند بانک باشد یا نهاد دولتی یا یک شرکت خصوصی و یا حتی یک دانشگاه و ...) یک قرارداد کاری و یک قرارداد محرمانگی (NDA) امضا می کنند. مواردی ک می بایست مورد تست قرار گیرند در قرارداد اصلی مشخص می شود و در قرارداد NDA محرمانگی اطلاعات مورد تاکید قرار میگیرد و در صورت عدم پایبندی ب آن جریمه های سنگینی در نظر گرفته می شود.
قراردادی ک بسته می شود ب نشانه مجوز بوده و در صورتی که قرار باشد در محیط کاری کارفرما، افراد تست کننده حضور یابند نامه هایی با عنوان مجوز تردد (یا مضامین مشابه) ب آن ها داده می شود تا بتوانند ب فعالیت بپردازند.

برای قرارداد بستن علاوه بر قیمت، بررسی توانایی شرکت یا گروه پیمانکار و ... غالبا برای جاهای حساس و مهم از سه نهاد امنیتی افراد درگیر در پروژه استعلام می شوند تا صلاحیت امنیتی آن ها مورد تایید قرار گیرد.

پ.ن:اطلاعات بیشتری لازم بود بفرمایید.

jahanagahi

04-08-2013, 11:26 AM
از هر دو عزیز سپاسگزارم.

MohamadMJ

04-08-2013, 09:45 PM
اینجا اگر بخوایم از این علم به صورت خدمت به سایتهای رسمی و سیستم های بانکی استفاده کنیم. هیچ مدل مجوزی نمیدن.
به این صورت باید کار بشه که باگی چیزی پیدا کنی، نفوذ کنی. بعدی بری خودت رو معرفی کنی. بعد بگیرنت. جریمه و زندانت رو بکشی. بعد 10-20 سال بعد آزادت کنن بگن اگر میخوای آزاد بمونی بگو تا برطرف کنیم چی بود اگرم نه که برو ادامه حبس رو بکش. در نتیجه. کلا زیاد امنیت توی فضای نت ایران مهم تلقی نمیشه واسه همینم هست که هرکی رسید یه وبلاگ هک کرد شد هکر.
در صورتی که امنیت خودش یه علم که این ماجرای تست نفوذ یکی از اون بخشاشه. اصولا هم هکر ها خودشون بعد یه مدت پسرای خوبی میشن و به جای هک کردن و بدبخت کردن میان تست نفوذ و امنیت کار میکنن. یعنی از نظر من پیشنیازش هکر بودنه.

ایشالله که وبمستر های ایرانی هم بدونن اهمیت این کار چقدره و بشه فضای امنی ایجاد کرد.

شاید آقایوسف در جریان باشه. یه زمانی که هکر تصمیم میگیره پسر خوبی باشه میاد واسه خودش میگه بزار از علمم پول در بیارم. میاد تبلیغ میکنه کسی تره هم بار آدم نمیکنه. میگن برو بابا. مجبوری یه چشمه بهش نشون بدی امنیت نداره تا بپذیره. ولی حالا اینکارم بکنی جرمه و اگر ای پیت بخوره خیلی قشنگ جریمه و تعهد و ...

این طوریه که علم امنیت وب مساوی شده با هیچی در ایران
کم کم فضا بهتر شده ولی هنوزم زیر خط فقره Big Grin ایشالله که روز به روز بهتر بشه

jahanagahi

04-08-2013, 09:51 PM
محمد جان بینهایت ممنونم.

yu3f

04-08-2013, 10:33 PM
محمد جان مرسی از توضیحات فقط اینکه این توضیحاتی ک دادی مال تقریبا ۱۰ سال پیش است. الآن شرایط فرق کرده. یکی از پر درآمد ترین شغل های مهندسی کامپیوتر همین موارد امنیت هست. همه هم برات تره خورد می کنند و راحت هم پروژه می دهند. گدشت اون دوران. اونایی ک برا خودشون بلاگ باز می کنند بعد ی مدت میرن دنبال زندگیشون. اونایی ک واقعا کار بلدن دارن از این راه تو همین ایران ماهانه میلیون ها تومن ب جیب میزنن (قانونی)
الآن شرایط خیلی خوبه

MohamadMJ

04-08-2013, 11:10 PM
(04-08-2013 10:33 PM)yu3f نوشته شده توسط: [ -> ]محمد جان مرسی از توضیحات فقط اینکه این توضیحاتی ک دادی مال تقریبا ۱۰ سال پیش است. الآن شرایط فرق کرده. یکی از پر درآمد ترین شغل های مهندسی کامپیوتر همین موارد امنیت هست. همه هم برات تره خورد می کنند و راحت هم پروژه می دهند. گدشت اون دوران. اونایی ک برا خودشون بلاگ باز می کنند بعد ی مدت میرن دنبال زندگیشون. اونایی ک واقعا کار بلدن دارن از این راه تو همین ایران ماهانه میلیون ها تومن ب جیب میزنن (قانونی)
الآن شرایط خیلی خوبه

درسته یوسف جان ولی موردی که هست. این صحبت ها برای سایتهای شرکتی هستش. یعنی کسایی که برای بهینه سازی یه سایت میان 10-12 میلیون پول میدن به شرکتی مثل کاسپید. کاری که توی وبمسترها داره با فوقش 1 میلیون انجام میشه.
امنیت هم همینه. من خودم شخصا با شرکتی جماعت تا حالا کار نکردم. بحث من برای وبمسترها و ادمین سایتها هستش در زمینه های مختلف. که خیلیشون امنیت رو کلا نمیشناسن و خیلیشون امنیت رو به نصب یه پلاگین میدونن.

ما سایتهای موزیک و فیلم بزرگی داریم. شما برو سفارش امنیت از یکیشون بگیر. به هیچ وجه اقدام نمیکنن. کم سایت بزرگ نداریم که وبمستراش ندونن اصلا این کار به درد میخوره.

حرف خیلیشون اینه برای مثال :
وردپرس کار یه نفر و دو نفر نیست. هر روز و ماه در حال باگ یابی هستش و طراحان مختلف از همه جای جهان در حال کار روی این اسکریپت رایگان پس مطمئنا امنیت فوق العادست و هک نمیشه.
حالا شما بیا با صحبت راه نفوذ های دیگه بهشون معرفی کن تا بره توی کتشون

مورد بعدی اینترنت ایران دست وبمسترهاست نه دست شرکت ها. وبسایتهای شرکتی دارن خوب خرج میکنن ولی فقط معرفی خودشونه به هیچ درد عموم مردم نمیخوره این معرفی ها. یه سایت مثلا مرجع آهنگ روزانه خداتا طرفدار و بازدید کننده دارهو پس اهمیت این بیشتر از یه شرکته که طرف موقع سفارش میگه خوبشو میخوام و از هیچی سر در نمیاره.

همونطور که گفتم روز به روز داره بهتر میشه. منکر این نشدم من. خیلیم داره بهتر میشه. ولی این اواخر سورنا نبود هرچی سایت معروف دانلود و .. داشتیم زد توی سرش؟
اینا معرف اینترنت و قدرت اینترنت ایران در جهانند نه سایتهای شرکتی و اینطور سایتها.

در حال حاظر امنیت در نت ایران هنوزم نوش دارو بعد مرگ سهراب هستش. یعنی تا کسی سایتش هک نشه و زحمتش به باد نره به امنیتش فکر نمیکنه.
تمامی ادد لیستهای موجود در آی دی های من ادمین سایتها هستن اکثرا هم از قدیمیها و سایتهای معتبر. تا وقتی هک نشدن کوچکترین فکری نسبت به امنیت نکردن.

yu3f

04-08-2013, 11:43 PM
اتفاقا اونور آب هم همینطوره. برای سایت های معمولی کسی خدمات امنیت نمی خواد مگر اینکه اطلاعات مهمی داشته باشه. اتفاقا بیانگر اینترنت ایران نه سایت های موسیقی هست نه سایت های فیلم (نظر شخصی) مهم ترین نکته اش هم اینه ک این سایت ها نقض قانون کپی رایتن و ضمنن اهمیتی ندارن. معرف یک مملکت سایت های حکومتی و رسانه هاشه. مثلن سایت وزارت خونه ها، بانک ها، خبرگزاری ها، شرکت های بزرگ بین المللی و هزار تا چیز دیگه. اینی ک شما میگی درسته اما اونور آب هم همینه.
واقعیتش اینه ک ی کسی ک ی سایت معمولی (خبر، دانلود، فیلم، موسیقی، شخصی و ...) داره احساس می کنه وقتی هاست می خره امنیت هاست وظیفه شرکت هاستینگه ک درست هم فکر می کنه. این متاسفانه در ایران جا نیافتاده. تفاوت در این قسمته. اهمیت رو هم بر اساس اطلاعات حساس و طبقه بندی اون ها مشخص می کنند. مثلا یک سایت موسیقی اگر هک شه نهایتا اینه ک موسیقی هایی ک برای دانلود گذاشته از بین میره ک اتفاق خاصی از لحاظ طبقه بندی نیس. اما اگه ی بانک هک شه اطلاعات مشتریاس ک درز می کنه. یا اگه ی وزارت خونه هک شه دلار بی حساب کتاب میره تو حساب ی سری آدم و یا اگه ی نیروگاه هک شه ی منطقه میره هوا....

خلاصه اینکه دغ دغه شما رو درک می کنم محمد جان اما این موردی ک میگی هم تو ایرانه هم خارج از کشور.
انشاالله این مباحث ده ها و صد ها برابر جدی تر از اینی بشه ک الآن است.
مرسی از بحث خوبی ک کردی.
سایت کارآفرینی میلیاردرهای آینده ایران > کسب در آمد در ایران و دنیا > راه های خلاف برای پول درآوردن (عبرت نامه) > مردی که 1000 بانک را هک کرد اما دستگیر نشد!
لینک مرجع