মজাদার জন্য হ্যাকিং এবং (না) লাভ

আমি আমার লোনার লিনাক্স ল্যাপটপে টার্মিনাল উইন্ডোতে টাইপ করেছি এমন মুষ্টিমেয় কমান্ডগুলির জন্য ধন্যবাদ, আমি একটি দূরবর্তী উইন্ডোজ মেশিনটি পরিচালনা করতে সক্ষম হয়েছি। পুরো সময়টা অবাক করে দিয়ে যাওয়ার সময়, আমি নিজের জন্য একটি ব্যবহারকারীর অ্যাকাউন্টও যুক্ত করেছি এবং দূরবর্তীভাবে সেই কম্পিউটারটি পুনরায় চালু করেছি।

আমি হ্যাকিং করছিলাম, বা বরং, প্রোটো-হ্যাকিং ছিল, এবং এটি একটি প্রচুর ভিড় ছিল।

আমি সর্বদা নিজেকে একটি ইনফোজেক সাংবাদিকের শীর্ষে প্রযুক্তি প্রযুক্তি সম্পর্কে কিছুটা বিবেচনা করেছি। আমি আমার নিজস্ব নেটওয়ার্ক পরিচালনা করি এবং আমি আমার নিজস্ব স্ক্রিপ্ট এবং ছোট অ্যাপ্লিকেশন লিখতে চাই। আমি ডিভাইসগুলিতে হার্ডওয়্যার আলাদা করে নেওয়া এবং কাস্টম ফার্মওয়্যার ইনস্টল করতে চাই। কিন্তু আমি কখনই এই দক্ষতাগুলি কীভাবে গ্রহণ করতে পারি এবং কম্পিউটারকে দূর থেকে দূরত্বে নিতে কীভাবে তা একত্রে রাখি তা কখনই জানি না। আমি কয়েকটি সরঞ্জাম কীভাবে ব্যবহার করব তা জানতাম তবে আমি আমার নেটওয়ার্কটি সুরক্ষার জন্য সেগুলি ডিফেন্ডার হিসাবে ব্যবহার করেছি। আমি কীভাবে দক্ষতাগুলিকে একসাথে প্রবেশ করতে পারি তা জানতাম না now এখন অবধি।

নিউইয়র্কের আমাদের ছোট্ট হ্যাকার ১০১ ক্লাসে অনুপ্রবেশ পরীক্ষার সংস্থা র‌্যাপিড's এর অ্যাসেসমেন্ট সার্ভিসেস গ্রুপের একটি দল লিড মাইক বেলটন বলেছেন, "একজন ব্যক্তির প্রবেশের পরীক্ষক হলেন একজনের হ্যাকার" " সমস্যাগুলি চিহ্নিত করতে এবং দূষিত ক্রিয়াকলাপটি সনাক্ত করতে নেটওয়ার্ক প্রশাসকরা তাদের নেটওয়ার্কগুলি স্ক্যান করতে যে একই সরঞ্জামগুলি ব্যবহার করেন একই তথ্য হ্যাকাররা ডেটা এবং কম্পিউটারে অবৈধ অ্যাক্সেস অর্জন করতে ব্যবহার করে।

বেলটন আমাদের মনে করিয়ে দিয়েছিল, "হ্যাকার হওয়ার জন্য আপনার কোনও ক্ষতি হওয়ার দরকার নেই।"

হ্যাকার 101: লিনাক্স

বেল্টনের ক্লাসে আমাদের প্রত্যেকের কাছে কালি লিনাক্স চলমান একটি ল্যাপটপ ছিল, বিশেষত অনুপ্রবেশ পরীক্ষার জন্য ডিজাইন করা একটি লিনাক্স বিতরণ এবং দুর্বল উইন্ডোজ এবং লিনাক্স মেশিনের মিশ্রিত একটি নেটওয়ার্কের সাথে সংযুক্ত ছিল। বেল্টন আমাদের দেখালেন কীভাবে ওয়্যারশার্ক, এনএম্যাপ, কয়েকটি অন্যান্য কমান্ড লাইন সরঞ্জাম এবং মেটাস্পপ্লাইট, র্যাপিড 7 দ্বারা পরিচালিত অনুপ্রবেশ পরীক্ষার স্যুট ব্যবহার করতে হয় to

আমরা একটি লিনাক্স মেশিনকে একটি ভুল কনফিগার করা এনএফএস ফাইল-ভাগ করে নেওয়ার পরিষেবাটি পেয়েছি। আমরা দূরবর্তী লিনাক্স মেশিনে আমাদের নিজস্ব এসএসএইচ কী অনুলিপি করতে ত্রুটিটি ব্যবহার করেছিলাম যাতে আমরা রুট হিসাবে লগ ইন করতে পারি। আমাদের কাছে পাসওয়ার্ড না থাকলেও আমরা কোনও ব্যবহারকারীর হোম ডিরেক্টরিতে অ্যাক্সেস করতে পেরেছিলাম কারণ এনএফএসের ভুল কনফিগারেশন ছিল না, এবং এটি আমাদের প্রয়োজন ছিল।

এখানে একটি পাঠ শিখতে হবে। যদি প্রশাসক এবং ব্যবহারকারীরা যদি এই প্রশস্ত খোলা জায়গা ছেড়ে দেয় তবে হ্যাকারদের রুট পাসওয়ার্ডটি জোর করা দরকার।

আমি ইনবক্সে চারপাশে খোঁচা মেরে বার্তা পড়লাম, টিকিউইকি ইনস্টল করা শিখেছি এবং ব্যাকআপ ডিরেক্টরিতে লুকিয়ে থাকা একটি পাসওয়ার্ড ফাইল খুঁজে পেয়েছি। আমি জানি যে এটি একটি ভিএম সাবধানে দুর্বলতা এবং ভুলগুলি দিয়ে তৈরি করা হয়েছিল, তবে এটি এখনও চোখের সামনে খোলা ছিল (এবং বিনোদনমূলক!) এলোমেলো ডিরেক্টরিগুলি দেখে এবং উপলব্ধি করে যে একজন ব্যক্তি কেবল কৌতূহলী হয়ে কত তথ্য সংগ্রহ করতে পারে।

বাস্তব-জগতের দৃশ্যে, আমি ওয়েব সার্ভার বা অন্যান্য সংবেদনশীল মেশিনে অ্যাক্সেস পেতে ব্যাকআপ ডিরেক্টরিতে থাকা পাসওয়ার্ড ফাইলটি ব্যবহার করতে পারি। আমি ডাটাবেস পাসওয়ার্ডের জন্য টিকিউইকি কনফিগারেশন ফাইলটির দিকে নজর রাখতে পারতাম।

হ্যাকার 101: উইন্ডোজ এক্সপি

বেলটন কীভাবে উইন্ডোজ এক্সপি মেশিনকে দূরবর্তীভাবে ব্যবহার করতে মেটাস্পপ্লাইট ব্যবহার করবেন তাও আমাদের দেখিয়েছিলেন। আমাদের পূর্ববর্তী পুনর্বিবেচনা কার্যক্রম থেকে আমরা জানতাম যে উইন্ডোজ মেশিনগুলির আমরা লক্ষ্য করতে পারি তার আইপি ঠিকানা। উইন্ডোজ 2000, এক্সপি এবং 2003 সার্ভারের পাশাপাশি উইন্ডোজ ভিস্তা এবং উইন্ডোজ সার্ভার ২০০৮ (সিভিই-২০০৮-৪২৫০) তে বিদ্যমান রিমোট কোড প্রয়োগের দুর্বলতা সন্ধানের জন্য আমরা মেটাসস্প্লাইটিটি কনফিগার করেছি। যদিও মাইক্রোসফ্ট ২০০ in (এমএস ০৮-০67) এ ত্রুটি ছুঁড়েছিল, বেল্টন বলেছে যে ক্লায়েন্ট নেটওয়ার্কগুলির পরীক্ষা করার সময় তিনি এখনও এই দুর্বলতার সাথে মেশিনগুলি দেখেন।

মেটাসপ্লয়েট পুরো অভিজ্ঞতাটিকে বাচ্চার খেলার মতো করে তোলে। লক্ষ্যযুক্ত কম্পিউটার সেট এবং একটি পে-লোড নির্বাচিত হয়ে আমরা আক্রমণটি চালানোর জন্য কেবল "শোষণ" শব্দটি টাইপ করেছি। আমার কাছে একটি ক্যাটালপ্টের জ্বলন্ত আগুনের ছোঁড়া দিয়ে উড়ে আসা এবং দুর্গের দেয়ালগুলিতে আঘাতের এই মানসিক চিত্রটি ছিল।

"আপনি একটি পুরানো এক্সপি ভিএম ব্যবহার করেছেন এবং একটি সক্রিয় মিটারপ্রেটার শেল পেয়েছেন, " বেলটন বলেছেন। আমি আশা করি আমাদের এই অনুশীলনের সাথে সাউন্ড এফেক্ট পড়ুক। আমাদের হয় ব্যাটম্যান ধাঁচের "পাওয়ার" বা ক্যানড প্রশংসা দরকার, আমি নিশ্চিত নই কোনটি।

আমরা উইন্ডোজ বাক্সের স্ক্রিনশট নিয়েছি এবং আমি মেশিনটি পুনরায় বুট করেছি (সত্যিকারের হ্যাকার কিছুই করতে পারে না, যেহেতু লক্ষ্যটি চূড়ান্তভাবে হওয়া)। আমরা প্রশাসক সুবিধা সহ উইন্ডোজ ডোমেন কন্ট্রোলারে ব্যবহারকারী অ্যাকাউন্টও তৈরি করেছি। এই মুহুর্তে, কেবলমাত্র একটি রিমোট ডেস্কটপ সেশন খোলার জন্য এবং আমাদের নতুন অ্যাকাউন্টগুলিতে লগ ইন করা এবং আমরা যা খুশি তা করা স্ন্যাপ ছিল।

ভাল বা খারাপ জন্য ব্যবহৃত সরঞ্জাম

সরঞ্জামগুলি নিজেরাই খারাপ নয়। আমি এগুলি একটি নিয়মিত নেটওয়ার্ক প্রশাসক এবং পরীক্ষক হিসাবে ব্যবহার করি। সন্দেহজনক হতে পারে যে এটি তাদের ব্যবহার করে এমন ব্যক্তির প্রেরণাগুলি। এবং এই অনুশীলনের পরে, আমি একধরণের "হ্যাকিং ফর লুলজ" মানসিকতা বুঝতে পেরেছি কয়েক বছর আগে লুলজ সিকিউরিটি তাদের ধ্বংসাত্মক গতিতে এগিয়ে গিয়েছিল। যখন আমাদের ক্লাসটাইম শেষ হওয়ার কথা বলা হয়েছিল তখন আমি হতাশ হয়ে পড়েছিলাম। আমি সবে শুরু করছিলাম!

বেলটন বলেছিলেন, "যতটা ক্ষয়ক্ষতি করতে হবে তা আপনাকে জানার দরকার নেই।" সরঞ্জামগুলি এটিকে সহজ করে তোলে তবে আপনি পর্দায় কী দেখছেন তা বোঝার জন্য আপনাকে এখনও যথেষ্ট পরিমাণে জানতে (বা অনলাইনে অনুসন্ধান করতে সক্ষম হতে হবে) দরকার।

হ্যাকার মানসিকতা প্রযুক্তিগত জ্ঞান নয়, বরং চারপাশে ঝুঁকতে ইচ্ছুক। আমার কম্পিউটারে সংবেদনশীল ডেটা নেই তা বলা যথেষ্ট নয়, সুতরাং যে কেউ ব্রেক করে সে ক্ষতি করতে পারে না। আমি কী করেছি, অন্যান্য কম্পিউটারগুলিতে আমি কী কম্পিউটারে ম্যাপ করেছি বা কোন ফাইলগুলি মুছে ফেলেছি তা দেখার জন্য যে ব্যক্তি আসছেন তিনি যথেষ্ট ননসই। এটি তথ্যের জন্য খনন করা দরকার যা আমার পতন হতে চলেছে, এবং ঠিক এই জিনিসগুলি দেখার জন্য যথেষ্ট আগ্রহী।

এজন্য আমাদের প্রতিরক্ষার সাথে আমাদের আরও ভাল হওয়া দরকার।

পাঠ শিখেছি

আমি ঘরে গিয়ে দেখতে পেলাম যে আমার উইন্ডোজ এক্সপি মেশিনটি পুরোপুরি প্যাচড থাকাকালীন, আমি স্পষ্টতই একটি উইন্ডোজ 2003 সার্ভার পেয়েছিলাম যা একই আরসিই দুর্বলতার সাথে আমরা ক্লাসে খেলেছি। উফ। আমি কখনই সেই মেশিনটি আপডেট করব না কারণ আমার নেটওয়ার্কে চালিয়ে যাওয়া এবং চালিয়ে যাওয়া সত্ত্বেও আমি এটি দিয়ে কিছু করেছিলাম বহু বছর পরে। আমি আর ভুল করব না।

একই বিধি প্রযোজ্য: আমাদের সফ্টওয়্যার প্যাচ এবং আপডেটগুলি রাখা উচিত। যখনই আমরা সর্বজনীন ওয়্যারলেস নেটওয়ার্কগুলিতে থাকি তখন ভিপিএন ব্যবহার করুন। নিশ্চিত হয়ে নিন যে আমরা অ্যাপ্লিকেশন এবং পরিষেবাদিগুলি সঠিকভাবে কনফিগার করেছি যেমন ডিফল্ট পাসওয়ার্ড পরিবর্তন করা এবং আমরা যে পরিষেবাগুলি ব্যবহার করছি না তা বন্ধ করে দেওয়া।

হ্যাপি ডিফেন্ডিং!