حالت موضوعی | حالت خطی

***mallarme*** · 04-08-2013, 10:57 AM

جیم استیکلی یک دزد هویت است. وی تا کنون بیش از 1000 بانک را هک کرده اما تا بحال دستگیر نشده است.

آقای استیکلی در واقع کسی است که ما آن را به عنوان "تستر نفوذی" می شناسیم و او را در دنیای کامپیوتر برای تشخیص امنیت کامپیوترها استخدام می کنند. حتی می توان گفت امنیت بیشتر کامپیوترهای ما در حال حاضر به خاطر وجود اوست.

بانک ها، دولت ها و کسب و کارهای گوناگون استیکلی را استخدام می کنند تا برایشان میزان امنیت شان را بسنجد.

او برای دزدی از بانک ها خود را به شکل یک کارمند بانک جا می زند و کارمندان بانک ها هم فکر می کنند او راست می گوید و او را تا دفاتر کار خود اسکورت می کنند.

[تصویر: jim_stickley_ts_hires.jpg]

او توانسته با استفاده از کی لاگرها و دانگل های وایرلس شماره کارت های اعتباری، شناسه های دستگاه های خودپرداز، شماره های حساب بانکی و امنیت اجتماعی و خلاصه سایر اطلاعات شخصی را بدزدد.

او یونیفرم کارمندان بانک را می پوشد و برای تکمیل لباس هایش یک دستگاه مخابره ترانزیستوری را به کمربندش می بندد. از طرفی کارمندی هم دارد که در خارج از بانک منتظر اوست و گزارش وضعیت بیرون را با استفاده از دستگاه مشابه دیگری به او می دهد.

سپس او می تواند به میان مردم رفته و در فرصت های مناسب تمام کی لاگر ها را نصب کند. کی لاگر ها به شکل فلش مموری های بسیار کوچک هستند که می توانند هر ضربه را ثبت کنند.

البته آنچه او انجام می دهد غیرقانوی نیست چون تا قبل از ورود به بانک همه مجوزهای لازم را میگیرد اما جالب اینجاست که مشتریان بانک ها هم هیچگاه به او شک نکرده اند.

او 20 سال است که این کار را انجام می دهد و تا کنون هم دستگیر نشده است چون طبق قانون مجوز دارد.

***yu3f*** · 04-08-2013, 11:08 AM

البته تو داخل کشور امنیت بیشتر کامپیوتر های شما و حساب های بانکی ب خاطر ایشون نیست

بخاطر امثال بنده است

(یکم اعتماد بنفس صبح تزریق کردم)

توضیح اضافات:
تستر نفوذی = Penetration Tester
البته ترجمه بهترش میشه آزمونگر نفوذ ، آزمون کننده نفوذ که شغلش انجام آزمون نفوذ است.

کی لاگر ها به شکل فلش مموری های بسیار کوچک هستند که می توانند هر ضربه را ثبت کنند = از کی لاگر های سخت افزاری ممکنه استفاده کنند که بسیار شبیه فلش مموری هست و یا نرم افزاری که از طریق فلش مموری منتقل می شوند. هر ضربه منظور هر دکمه ای که فشار داده می شود. البته انواع پیشرفته تر کی لاگر ها علاوه بر اینکه دکمه های فشرده شده بر روی کیبرد را ذخیره می کنند، حرکت موس، دکمه های فشرده شده در کیبرد های مجازی، تصاویر وب کم، اصوات محیطی، و هزاران اطلاعات دیگر رو هم ب سرقت می برند.

پ.ن: ممنون از مطلب جالبی ک گذاشتید.

***jahanagahi*** · 04-08-2013, 11:10 AM

ضمن تشکر از خانم مالارمه عزیز.
عزیزانی که در زمینه هک تخصص دارند لطفا در رابطه با این مسئله اطلاعات خود را بنویسند که چگونه می شود چنین کاری را با مجوز انجام داد؟ممنون.

***yu3f*** · 04-08-2013, 11:20 AM

من راجع ب ایران صحبت می کنم.
در پروژه های این چنینی مخصوصا در بانک ها، موسسات مالی و اعتباری، ادارات دولتی، وزارت خانه ها، نهاد های امنیتی و حاکمیتی و ... به شخص مجوز برای انجام آزمون نفوذ نمی دهند.

تفاوت هک کردن و آزمون نفوذ = در آزمون نفوذ تمامی مواردی ک در هک کردن انجام می شود اتفاق می افتد فقط با این تفاوت ک تخریب و سرقت اطلاعات و جعل اطلاعات صورت نمی گیرد و همه چی با هماهنگی کارفرما خواهد بود. در بعضی موارد حتی با هماهنگی کارفرما خیلی محدود و مشخص جعل هویت و اطلاعات و سرقت هم صورت می گیرد ک به صورت محدود بوده و در گزارش ارایه شده و سپس بایستی امحا شوند (امحا همان پاک کردن فایل ها و دیتا ها است به صورتی ک قابل بازیابی نباشند. اصطلاحا می گویند کاغذخوردکن دیجیتال)

برای مجوز هم شرکت پیمانکار با کارفرما (ک می تواند بانک باشد یا نهاد دولتی یا یک شرکت خصوصی و یا حتی یک دانشگاه و ...) یک قرارداد کاری و یک قرارداد محرمانگی (NDA) امضا می کنند. مواردی ک می بایست مورد تست قرار گیرند در قرارداد اصلی مشخص می شود و در قرارداد NDA محرمانگی اطلاعات مورد تاکید قرار میگیرد و در صورت عدم پایبندی ب آن جریمه های سنگینی در نظر گرفته می شود.
قراردادی ک بسته می شود ب نشانه مجوز بوده و در صورتی که قرار باشد در محیط کاری کارفرما، افراد تست کننده حضور یابند نامه هایی با عنوان مجوز تردد (یا مضامین مشابه) ب آن ها داده می شود تا بتوانند ب فعالیت بپردازند.

برای قرارداد بستن علاوه بر قیمت، بررسی توانایی شرکت یا گروه پیمانکار و ... غالبا برای جاهای حساس و مهم از سه نهاد امنیتی افراد درگیر در پروژه استعلام می شوند تا صلاحیت امنیتی آن ها مورد تایید قرار گیرد.

پ.ن:اطلاعات بیشتری لازم بود بفرمایید.

***jahanagahi*** · 04-08-2013, 11:26 AM

از هر دو عزیز سپاسگزارم.

***MohamadMJ*** · 04-08-2013, 09:45 PM

اینجا اگر بخوایم از این علم به صورت خدمت به سایتهای رسمی و سیستم های بانکی استفاده کنیم. هیچ مدل مجوزی نمیدن.
به این صورت باید کار بشه که باگی چیزی پیدا کنی، نفوذ کنی. بعدی بری خودت رو معرفی کنی. بعد بگیرنت. جریمه و زندانت رو بکشی. بعد 10-20 سال بعد آزادت کنن بگن اگر میخوای آزاد بمونی بگو تا برطرف کنیم چی بود اگرم نه که برو ادامه حبس رو بکش. در نتیجه. کلا زیاد امنیت توی فضای نت ایران مهم تلقی نمیشه واسه همینم هست که هرکی رسید یه وبلاگ هک کرد شد هکر.
در صورتی که امنیت خودش یه علم که این ماجرای تست نفوذ یکی از اون بخشاشه. اصولا هم هکر ها خودشون بعد یه مدت پسرای خوبی میشن و به جای هک کردن و بدبخت کردن میان تست نفوذ و امنیت کار میکنن. یعنی از نظر من پیشنیازش هکر بودنه.

ایشالله که وبمستر های ایرانی هم بدونن اهمیت این کار چقدره و بشه فضای امنی ایجاد کرد.

شاید آقایوسف در جریان باشه. یه زمانی که هکر تصمیم میگیره پسر خوبی باشه میاد واسه خودش میگه بزار از علمم پول در بیارم. میاد تبلیغ میکنه کسی تره هم بار آدم نمیکنه. میگن برو بابا. مجبوری یه چشمه بهش نشون بدی امنیت نداره تا بپذیره. ولی حالا اینکارم بکنی جرمه و اگر ای پیت بخوره خیلی قشنگ جریمه و تعهد و ...

این طوریه که علم امنیت وب مساوی شده با هیچی در ایران
کم کم فضا بهتر شده ولی هنوزم زیر خط فقره Big Grin

ایشالله که روز به روز بهتر بشه

***jahanagahi*** · 04-08-2013, 09:51 PM

محمد جان بینهایت ممنونم.

***yu3f*** · 04-08-2013, 10:33 PM

محمد جان مرسی از توضیحات فقط اینکه این توضیحاتی ک دادی مال تقریبا ۱۰ سال پیش است. الآن شرایط فرق کرده. یکی از پر درآمد ترین شغل های مهندسی کامپیوتر همین موارد امنیت هست. همه هم برات تره خورد می کنند و راحت هم پروژه می دهند. گدشت اون دوران. اونایی ک برا خودشون بلاگ باز می کنند بعد ی مدت میرن دنبال زندگیشون. اونایی ک واقعا کار بلدن دارن از این راه تو همین ایران ماهانه میلیون ها تومن ب جیب میزنن (قانونی)
الآن شرایط خیلی خوبه

***MohamadMJ*** · 04-08-2013, 11:10 PM

(04-08-2013 10:33 PM)yu3f نوشته شده توسط: محمد جان مرسی از توضیحات فقط اینکه این توضیحاتی ک دادی مال تقریبا ۱۰ سال پیش است. الآن شرایط فرق کرده. یکی از پر درآمد ترین شغل های مهندسی کامپیوتر همین موارد امنیت هست. همه هم برات تره خورد می کنند و راحت هم پروژه می دهند. گدشت اون دوران. اونایی ک برا خودشون بلاگ باز می کنند بعد ی مدت میرن دنبال زندگیشون. اونایی ک واقعا کار بلدن دارن از این راه تو همین ایران ماهانه میلیون ها تومن ب جیب میزنن (قانونی)
الآن شرایط خیلی خوبه

درسته یوسف جان ولی موردی که هست. این صحبت ها برای سایتهای شرکتی هستش. یعنی کسایی که برای بهینه سازی یه سایت میان 10-12 میلیون پول میدن به شرکتی مثل کاسپید. کاری که توی وبمسترها داره با فوقش 1 میلیون انجام میشه.
امنیت هم همینه. من خودم شخصا با شرکتی جماعت تا حالا کار نکردم. بحث من برای وبمسترها و ادمین سایتها هستش در زمینه های مختلف. که خیلیشون امنیت رو کلا نمیشناسن و خیلیشون امنیت رو به نصب یه پلاگین میدونن.

ما سایتهای موزیک و فیلم بزرگی داریم. شما برو سفارش امنیت از یکیشون بگیر. به هیچ وجه اقدام نمیکنن. کم سایت بزرگ نداریم که وبمستراش ندونن اصلا این کار به درد میخوره.

حرف خیلیشون اینه برای مثال :
وردپرس کار یه نفر و دو نفر نیست. هر روز و ماه در حال باگ یابی هستش و طراحان مختلف از همه جای جهان در حال کار روی این اسکریپت رایگان پس مطمئنا امنیت فوق العادست و هک نمیشه.
حالا شما بیا با صحبت راه نفوذ های دیگه بهشون معرفی کن تا بره توی کتشون

مورد بعدی اینترنت ایران دست وبمسترهاست نه دست شرکت ها. وبسایتهای شرکتی دارن خوب خرج میکنن ولی فقط معرفی خودشونه به هیچ درد عموم مردم نمیخوره این معرفی ها. یه سایت مثلا مرجع آهنگ روزانه خداتا طرفدار و بازدید کننده دارهو پس اهمیت این بیشتر از یه شرکته که طرف موقع سفارش میگه خوبشو میخوام و از هیچی سر در نمیاره.

همونطور که گفتم روز به روز داره بهتر میشه. منکر این نشدم من. خیلیم داره بهتر میشه. ولی این اواخر سورنا نبود هرچی سایت معروف دانلود و .. داشتیم زد توی سرش؟
اینا معرف اینترنت و قدرت اینترنت ایران در جهانند نه سایتهای شرکتی و اینطور سایتها.

در حال حاظر امنیت در نت ایران هنوزم نوش دارو بعد مرگ سهراب هستش. یعنی تا کسی سایتش هک نشه و زحمتش به باد نره به امنیتش فکر نمیکنه.
تمامی ادد لیستهای موجود در آی دی های من ادمین سایتها هستن اکثرا هم از قدیمیها و سایتهای معتبر. تا وقتی هک نشدن کوچکترین فکری نسبت به امنیت نکردن.

***yu3f*** · 04-08-2013, 11:43 PM

اتفاقا اونور آب هم همینطوره. برای سایت های معمولی کسی خدمات امنیت نمی خواد مگر اینکه اطلاعات مهمی داشته باشه. اتفاقا بیانگر اینترنت ایران نه سایت های موسیقی هست نه سایت های فیلم (نظر شخصی) مهم ترین نکته اش هم اینه ک این سایت ها نقض قانون کپی رایتن و ضمنن اهمیتی ندارن. معرف یک مملکت سایت های حکومتی و رسانه هاشه. مثلن سایت وزارت خونه ها، بانک ها، خبرگزاری ها، شرکت های بزرگ بین المللی و هزار تا چیز دیگه. اینی ک شما میگی درسته اما اونور آب هم همینه.
واقعیتش اینه ک ی کسی ک ی سایت معمولی (خبر، دانلود، فیلم، موسیقی، شخصی و ...) داره احساس می کنه وقتی هاست می خره امنیت هاست وظیفه شرکت هاستینگه ک درست هم فکر می کنه. این متاسفانه در ایران جا نیافتاده. تفاوت در این قسمته. اهمیت رو هم بر اساس اطلاعات حساس و طبقه بندی اون ها مشخص می کنند. مثلا یک سایت موسیقی اگر هک شه نهایتا اینه ک موسیقی هایی ک برای دانلود گذاشته از بین میره ک اتفاق خاصی از لحاظ طبقه بندی نیس. اما اگه ی بانک هک شه اطلاعات مشتریاس ک درز می کنه. یا اگه ی وزارت خونه هک شه دلار بی حساب کتاب میره تو حساب ی سری آدم و یا اگه ی نیروگاه هک شه ی منطقه میره هوا....

خلاصه اینکه دغ دغه شما رو درک می کنم محمد جان اما این موردی ک میگی هم تو ایرانه هم خارج از کشور.
انشاالله این مباحث ده ها و صد ها برابر جدی تر از اینی بشه ک الآن است.
مرسی از بحث خوبی ک کردی.

موضوع های مرتبط با این موضوع...
موضوع:		نویسنده	پاسخ:	بازدید:	آخرین ارسال
	در کارتون چه نوع حروم و حلالی میتونید بکنید ولی اینکار را نمیکنید	mir abbas	20	4,744	06-18-2019 06:21 PM آخرین ارسال: mahdir938
	کمک پولم را خورده اند	hotdvd	13	2,932	12-01-2015 01:16 AM آخرین ارسال: محسن قنبری
	هک سایت دانشگاه مشهد و کسب درآمد!	کامیار کاظمی	13	3,910	09-13-2014 01:45 PM آخرین ارسال: tan-graphic
	هشدار بانک ملی در خصوص شيوه جديد کلاهبرداری	مــجــیــנ	6	2,235	05-11-2014 03:42 PM آخرین ارسال: یک همراه سبز
	کلاه گشادی که همراه اول سر مردم گذاشت	صدفی	15	4,400	02-21-2014 03:03 AM آخرین ارسال: یوسف خادم پیر
	بزرگترین خرابکارهای مالی دنیا را بشناسید!	کامیار کاظمی	14	3,815	06-20-2013 10:16 PM آخرین ارسال: mjdehghani
	قرعه کشی بانک	soso	2	1,130	12-21-2012 04:37 PM آخرین ارسال: M3HDI
	آموزش بانک‌زنی در قرن بیست‌ویک با پنج گام ساده!	mallarme	0	1,272	12-09-2012 02:58 PM آخرین ارسال: mallarme
	ماجرایی که مهم است بدانید	کامیار کاظمی	3	1,237	06-14-2012 12:02 AM آخرین ارسال: P@RSA
	این 100 نفر حق 70 میلیون را خورده اند	سعید.کرمی	4	1,743	06-04-2012 07:53 PM آخرین ارسال: mohammadshamosi
	مردی که کارت بانک 200 هزاری را 200 میلیونی میکند	کامیار کاظمی	0	2,025	04-16-2012 10:34 PM آخرین ارسال: کامیار کاظمی
	سایت کلیکی اس باکس کلاه بردار است، حواستان را جمع کنید	ndm1368	7	3,145	04-03-2012 05:35 AM آخرین ارسال: REZA HAJISALIMI
	بانک اینترنتی جدیدی که رایگان پول پرداخت می کند	amirtobe	1	1,507	04-02-2012 09:38 PM آخرین ارسال: ناظم ارشد
	سایت کلاهبرداری که آنلاین دیش می فروشد+تصویر	کامیار کاظمی	5	2,209	11-15-2011 10:20 PM آخرین ارسال: arash67
	این ای میل را به سرعت و به هرکس که می شناسید بفرست	hadi2050	10	2,335	08-09-2011 09:14 PM آخرین ارسال: کامیار کاظمی
	هک کردن کارت های اعتباری	کامیار کاظمی	3	14,383	08-03-2011 06:30 PM آخرین ارسال: کامیار کاظمی
	دانلود کتاب یک میلیارد دلاری- سایتهای کلیکی را فراموش کنید	mohamad2011	1	1,909	04-09-2011 11:30 PM آخرین ارسال: کامیار کاظمی
	ویزا کارت رایگان به دست آورید و هر چیزی که می خوااهید بخرید.	mamnoon	1	1,840	04-09-2011 11:29 PM آخرین ارسال: کامیار کاظمی