বাড়ি Securitywatch হ্যাকিং একবারে একটি ধাঁধা ক্র্যাক করছে

হ্যাকিং একবারে একটি ধাঁধা ক্র্যাক করছে

ভিডিও: ये कà¥?या है जानकार आपके à¤à¥€ पसीने छà¥?ट ज (নভেম্বর 2024)

ভিডিও: ये कà¥?या है जानकार आपके à¤à¥€ पसीने छà¥?ट ज (নভেম্বর 2024)
Anonim

একই জায়গায় হ্যাকার এবং অন্যান্য সুরক্ষা-সদৃশ লোকদের একগুচ্ছ পান এবং কিছুটা স্বভাবের প্রতিযোগিতা এবং হ্যাকিং অনিবার্য।

গত সপ্তাহে ক্যাসপারস্কি ল্যাব সুরক্ষা বিশ্লেষক শীর্ষ সম্মেলনটি আকর্ষণীয় সেশনগুলির সাথে জ্যামযুক্ত এবং তথ্য সুরক্ষার ক্ষেত্রে সেরা কিছু মনের লোকেরা এতে অংশ নিয়েছিল, তবে এটি কিছুই ছিল না। অংশগ্রহণকারীরা "ক্রিপ্টো চ্যালেঞ্জ" প্রতিযোগিতাও করতে পারত যেখানে তারা তাদের হ্যাকিং দক্ষতা ব্যবহার করে এক ধরণের ধাঁধা সমাধান করে solve আমি সেই মুষ্টিমেয়দের মধ্যে ছিলাম যারা চ্যালেঞ্জটি শেষ করেছিলেন, এবং সেই সাথে ক্রিপ্টোগ্রাফি, অবলম্বন এবং বিপরীত প্রকৌশল সম্পর্কে আরও কিছুটা শিখলেন।

সর্বোপরি, আমি শিখেছি হ্যাকিং ধাঁধা সমাধান করার মতো; আপনি ভাবতে থাকেন, "আমাকে কেবল এই একটি জিনিস চেষ্টা করতে দিন" এবং আপনি যখন এটি পেয়েছেন তখন সত্যিই উত্তেজিত বোধ করছেন।

ক্রিপ্টোগ্রাফি কী ধরে রাখে

এর অন্তরে, ক্রিপ্টোগ্রাফিটি কোনও বার্তা গ্রহণ এবং এটিকে এমনভাবে লেখার বিষয়ে যা গোপনটি জানে না তার কাছে এটি জিব্বার মত দেখাচ্ছে। এটি কিছুটা পিগ ল্যাটিনের মতো। আপনি যদি ভাষাটির নিয়মগুলি জানেন না, তবে "এলোহায়" অর্থ কী আপনার কোনও ধারণা নেই। কিছু সাইফার খুব সহজ - যেমন পরের চিঠির সাহায্যে অক্ষরটি অদলবদল করে, তাই ক হয়ে যায় খ, বি সি হয়ে যায়, এবং "হ্যালো" "আইপিএমপি" না হওয়া পর্যন্ত। অন্যরা গাণিতিকভাবে জটিল এবং আমাদের ক্রেডিট কার্ড নম্বর এবং পাসওয়ার্ড শংসাপত্রগুলি সুরক্ষিত করতে ব্যবহৃত হয়।

প্রতিটি শীর্ষ সম্মেলনের অংশগ্রহণকারী, নিবন্ধনের পরে, ক্রিপ্টো-চ্যালেঞ্জ সম্পর্কে একটি চিঠি পেয়েছিলেন। শেষে অক্ষরের একটি স্ট্রিং ছিল যা কোনও অর্থহীন হয়নি তবে একটি পরিচিত ফর্ম্যাট ছিল। "Vhhd: //" দিয়ে শুরু করে এবং তারপরে একটি পিরিয়ড (।) দ্বারা পৃথক করা অক্ষরের গোষ্ঠী অনুসারে এটি স্পষ্টভাবে কোনও ওয়েবসাইটের URL ছিল। একবার আমি বুঝতে পেরেছিলাম যে প্রথম কয়েকটি অক্ষর ছিল "http: //" আমি জানতাম যে এটি রট 13, একটি জনপ্রিয় (এবং প্রচণ্ড দুর্বল) সাইফার, যা বর্ণগুলিতে 13 স্থান পরে আসে এমন প্রতিটি অক্ষরের সাথে অদলবদল করে। ওয়েবে অনেকগুলি ROT13 ডিকোডার রয়েছে বলে ম্যানুয়ালি ইউআরএলটি বের করার দরকার ছিল না।

জাভাস্ক্রিপ্ট অবরুদ্ধ, ওহ আমার

একটি চিত্র এবং একটি স্বাগত বার্তা সহ ফলাফল পৃষ্ঠাটি বিরক্তিকর ছিল। পৃষ্ঠার উত্স ছিল কিছুই ছিল। এটি << স্ক্রিপ্ট টাইপ = "পাঠ্য avas জাভাস্ক্রিপ্ট"> ট্যাগগুলিতে আবদ্ধ আরও জিব্বলিশের লাইন এবং লাইন ছিল। আহ, জাভাস্ক্রিপ্ট অবহেলা।

অবফসেশন একটি সাধারণভাবে ব্যবহৃত কৌশল যেখানে দূষিত কোডাররা আক্রমণ কোডটি এমনভাবে লিখেন যাতে কোনও মানুষ সহজেই কোডটি পড়তে পারে না। এটি ক্রিপ্টোগ্রাফি থেকে আলাদা যে এটি কোনও গোপনের উপর নির্ভর করে না বরং হার্ড-টু-রিড কোড উত্পন্ন করার জন্য সংশোধিত প্রোগ্রামিং পদ্ধতির উপর নির্ভর করে। ফলাফলযুক্ত কোডটি মানুষের চোখের কাছে অযৌক্তিক, তবে মেশিনটি এটি বুঝতে এবং এটি সম্পাদন করতে কোনও সমস্যা নেই।

ROT13 এর মতোই, অচল জাভাস্ক্রিপ্টটিকে ম্যানুয়ালি পার্স করার চেষ্টা করার দরকার ছিল না। পরিবর্তে, আমি ডিওএম পরিদর্শক ব্যবহার করেছি যা ক্রোম ওয়েব ব্রাউজারে অন্তর্নির্মিত এবং প্রতিটি পৃষ্ঠার উপাদান দিয়ে গেছে। আমি চিত্রটি প্রদর্শনের জন্য কোডটি এবং গিবারির ভিতরে লুকিয়ে থাকা স্বাগত বার্তাটি দেখতে পেয়েছি, পাশাপাশি পরবর্তী ক্লুযুক্ত কোডের একটি মন্তব্য মন্তব্য করেছে।

অবরুদ্ধকরণ কেবল জাভাস্ক্রিপ্টের মধ্যেই সীমাবদ্ধ নয়। সেই কুৎসিত বিট কোডটি কী বলতে চেয়েছিল তা নির্ধারণ করার জন্য আমাকে একটি পার্ল স্ক্রিপ্ট সম্পাদনা করতে হয়েছিল।

বিপরীত প্রকৌশল একটি বসের মতো

এক পর্যায়ে, আমি একটি এক্সিকিউটেবল ফাইল ডাউনলোড করেছি (ক্যাস্পারস্কি অ্যান্টিভাইরাস দিয়ে স্ক্যান করা - এটি সাবধান হতে কোনও ক্ষতি করে না!) যা আমাকে একটি ব্যবহারকারী নাম এবং পাসওয়ার্ড প্রবেশ করানোর জন্য অনুরোধ জানিয়েছিল। সময়টি ছিল প্রকৌশলের বিপরীতে।

একটি লিনাক্স ল্যাপটপ বন্ধ করা এই মুহুর্তে সাহায্য করেছে, কারণ আমি স্ট্রিংস ব্যবহার করতে পারতাম, একটি কমান্ড-লাইন লিনাক্স সরঞ্জাম যা নন-টেক্সট ফাইলগুলির বিষয়বস্তু প্রিন্ট করে এবং জিডিবি , একটি ডিবাগার যা আপনাকে ফাইলের ভিতরে কী ঘটছে তা দেখাতে দেয় । স্ট্রিংগুলি পরে চ্যালেঞ্জের ক্ষেত্রেও কার্যকর ছিল, যখন আমি.d64 ফাইল ডাউনলোড করি। আমি একটি কমোডর intended৪ এমুলেটর ডাউনলোড করতে পারতাম - চ্যালেঞ্জের সংগঠক হিসাবে ফাইলটি চালানোর জন্য - তবে আমি কোথায় স্ট্রিং চালিয়েছিলাম তা কোথায় চলে যাবে তা নির্ধারণ করার জন্য।

আমি কোনও ছবির ভিতরে গোপন বার্তা এম্বেড করার কথা শুনেছি, তবে যখন আমি এই জাতীয় চিত্রের মুখোমুখি হয়েছিলাম তখন প্রাথমিকভাবে আমার স্ট্যাম্প হয়েছিল। তারপরে আমি মনে করেছি যে চিত্রগুলিতে স্তর রয়েছে এবং আক্রমণকারীরা দৃশ্যমান স্তরটিকে ব্যাহত না করে বিভিন্ন স্তরগুলিতে তথ্য এম্বেড করতে পারে। আমি জিআইএমপির প্রতিটি স্তরের দিকে নজর রাখতে পারতাম, লিনাক্সে চলিত অ্যাডোব ফটোশপের অনুরূপ একটি উন্মুক্ত উত্স সরঞ্জাম। পরিবর্তে, আমি স্ট্রিংগুলির মাধ্যমে চিত্রটি চালিত করেছি, যা চিত্রটিতে লুকানো সমস্ত পাঠ্যকে উত্তোলন করেছে। এটি একটি বহুমুখী এবং কার্যকর কমান্ড।

পাসওয়ার্ড সম্পর্কে নোট

চ্যালেঞ্জের কয়েকটি পদক্ষেপ আমাকে বৈধ পাসওয়ার্ডের জন্য অনুরোধ করেছিল। "পাসওয়ার্ড" কখনই আসে নি, কমপক্ষে একটি উপলক্ষ ছিল যেখানে আমি ঠিক এলোমেলোভাবে শব্দগুলি প্রবেশ করলাম যা কনফারেন্স এবং গেমের সাথে কিছুটা প্রাসঙ্গিকতা ছিল যতক্ষণ না আমি সঠিক পাসওয়ার্ডটি না খেয়েছি। এক ধাপে, আমি ছোট হাতের / বড় হাতের সাহায্যে আলাদা হয়ে গেলাম, তাই আমি কেবলমাত্র সমস্ত সম্ভাব্য সংমিশ্রনের একটি তালিকা তৈরি করেছি এবং আমার পথে কাজ করেছি।

আক্রমণকারী, শিকার সম্পর্কে কিছু তথ্য সজ্জিত সহজেই সঠিক পাসওয়ার্ড অনুমান করার চেষ্টা করতে পারে, বা কেবল সম্ভাব্য শব্দের একটি তালিকা দিয়ে চালাতে পারে। আমি বিড়বিড় করে বলতে থাকি, "আমি আপনাকে ছাড়িয়ে যাচ্ছি", এবং আমি যখন এটি বের করেছিলাম তখন ভাবলাম, "এইচএ! বুঝেছি!"

জাস্ট ধাঁধা-সমাধান

স্ট্রিং এবং জিডিবি ব্যতীত, চ্যালেঞ্জের প্রতিটি একক উপাদান মোটামুটি সোজা কিছু বা কোনও গুগল অনুসন্ধানের সাহায্যে শিখতে পারে এমন কোনও কিছুর উপর নির্ভরশীল। সমস্ত হ্যাকিং সহজ না হলেও, এটি বুঝতে গুরুত্বপূর্ণ যে দক্ষতা একে অপরের উপরে তৈরি হয় of শুরু করার জন্য, আপনার কেবল কিছুটা কৌতূহল এবং অধ্যবসায় করার জন্য আগ্রহী হওয়া দরকার।

আপনি সিস্টেমগুলিতে প্রবেশের চেষ্টা করছেন বা মজাদার জন্য অনলাইনে প্রচারণা চালাচ্ছেন বা কেবল তারা পারছেন তা প্রমাণ করার জন্য আপনি শুনতে পান। হ্যাকারদের হ্যাকিং যা রাখে তা হ'ল অধরা অ্যাড্রেনালাইন ভিড় যা চ্যালেঞ্জিং ধাঁধা সমাধান করে আসে।

হ্যাকিং একবারে একটি ধাঁধা ক্র্যাক করছে