Преминете към съдържанието

МЕУ организира кампания за пентестове в държавната администрация

Целта на кампанията е да подобри киберсигурността в държавната администрация, като участието в нея е доброволно и не се обвързва с възнаграждение.
Прочети повече за програмата

Добре дошли в Хакинг.БГ! 

Всеки един от нас стои на раменете на гигантите, споделили знанията и опита си с нас.

Този форум е нашият начин да върнем жеста за бъдещите и текущите кадри в киберсигурността.

Стремим се да предоставим платформа, където членовете могат да развиват своите умения, като се дава приоритет на етиката, сигурността и поверителността!

Офанзивни езици за програмиране


Препоръчан пост


  • Група:  [Член]
  • Последователи:  3
  • Брой мнения:  3
  • Репутация:   7
  • Спечелени дни:  1
  • Регистриран на:  14.04.2023
  • Статус:  Оффлайн

Смятам че всеки пентестър не може да се нарече такъв без да поназнайва поне някой език за програмиране и да го използва за офанзивни цели. Тук е мястото да подчертая, че не е важно кой език знаем, а как самото програмиране работи, например компилационни езици срещу интерпретативни езици. Няма да навлизам в детайли относно базовото програмиране, но ще дам добри езици с които може да започнете:

1. Python - Добър стартов език на високо ниво. Всичко се пише лесно, приятно с малко редове код. Има библиотеки за почти всичко, подходящ за експлойти на Web ниво.

2. Nim/Go - Сходен с python, но с особен синтаксис (поне според мен). Подходящ за malware development и системно програмиране.

3. C# - ООП език, сравнително лесен за писане. Има много библиотеки и е подходящ за писане на всякакви неща от автоматизации до експлойти на сравнително ниско ниво (до колкото C# може да достигне).

4. C/C++ - Трудни за научаване, няма го лукса на предходните езици (всичко си пишете сами). Изключително бързи и подходящи за malware development, тъй като работят на най-ниското ниво (след assembly) и имат директен достъп до паметта. Не се препоръчват за експлойти на Web ниво.

5. PowerShell / Bash - Тези просто са задължителни.

Link to comment
Сподели другаде


  • Група:  [Член]
  • Последователи:  5
  • Брой мнения:  45
  • Репутация:   40
  • Спечелени дни:  13
  • Регистриран на:  16.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

, Lsec каза:

Смятам че всеки пентестър не може да се нарече такъв без да поназнайва поне някой език за програмиране и да го използва за офанзивни цели. Тук е мястото да подчертая, че не е важно кой език знаем, а как самото програмиране работи, например компилационни езици срещу интерпретативни езици. Няма да навлизам в детайли относно базовото програмиране, но ще дам добри езици с които може да започнете:

1. Python - Добър стартов език на високо ниво. Всичко се пише лесно, приятно с малко редове код. Има библиотеки за почти всичко, подходящ за експлойти на Web ниво.

2. Nim/Go - Сходен с python, но с особен синтаксис (поне според мен). Подходящ за malware development и системно програмиране.

3. C# - ООП език, сравнително лесен за писане. Има много библиотеки и е подходящ за писане на всякакви неща от автоматизации до експлойти на сравнително ниско ниво (до колкото C# може да достигне).

4. C/C++ - Трудни за научаване, няма го лукса на предходните езици (всичко си пишете сами). Изключително бързи и подходящи за malware development, тъй като работят на най-ниското ниво (след assembly) и имат директен достъп до паметта. Не се препоръчват за експлойти на Web ниво.

5. PowerShell / Bash - Тези просто са задължителни.

Здравейте,

Поздравявам Ви за прекраната тема. Признавам, че бях много приятно изненадан.

Ако ми позволите ще допълня Вашия списък с по, малко извесни (но определено много мощни) езици за програмирене. Това е извадка от нещо, което бях написал преди много години, но мисля, че е все още актуално.

 

Редактирано от Avatara

Може да съм грозен, но имам свое мнение по въпроса.

Link to comment
Сподели другаде


  • Група:  [Член]
  • Последователи:  5
  • Брой мнения:  45
  • Репутация:   40
  • Спечелени дни:  13
  • Регистриран на:  16.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

Обещаният текст, който е кратка извадка от "НАРЪЧНИК НА КИБЕР ТЕРОРИСТА".

Нека заглавието не Ви подвежда. Става дума за написано през 2016 година с много чувство за хумор пособие, което все още е актуално (най-вече при зашитата на промишлени и специализирани решения).

. . .

РАЗДЕЛ I


ПРОГРАМНИЯТ ЕЗИК КАТО КИБЕР-ОРЪЖИЕ


Първото, което един истински кибер-терорист трябва да познава е предназначението и обсега на действие на основните бойни средства.


Ако все още вярвате, че глупости като номера на кредитни карти, пароли, съдържание на електронна поща и пр. ще ви направят по-умни, по-богати и по-могъщи, можете да не четете написаното по-долу. Вие определено сте обречен да останете в групата, която в някои рускоезични издания се определя като „чайници” (в англоговорящите среди използвад дума започваща с „L”). Ако към това добавим и упоритост и инат няма да се учудя, ако ви бъде предоставена прекрасна възможност за запознаване отблизо с основни текстове в НПК, с всички произтичащи от това последствия.

Ако наистина обаче сте решили да правите нещо, не е зле да го правите както трябва. Дори да чистите тоалетни или да копаете фикалийни канали (като мен) трябва да вършите всяка дейност професионално. Професионализмът винаги вдъхва респект.

Целта на някои от следващите публикации е да ви помогне във всяко едно благородно и крайно разрушително по своята същност начинание, свързано с придобиване на контрол върху онези малки неща, за които хората не подозират, но които ги карат да се чувстват съпричастни към IT-революцията.

Като начало ще наблегнем на теоретичната подготовка, която през последните двадесет години в България бе сведена до отрицателни и дори бих казал имагенерни стойности. Резултат от тази политика (неотклонно следвана от МО и поддържана от ВУЗ, средните училища и махаленските експерти) бе прозрението на Якуб Брьжечки (Jakub Břečka – някой да знае как точно се транскрибира на български) и Дейвид Матоушек (David Matoušek) от 9 май 2010 година (денят на победата над де що е антивирусен софтуер), което никак ама никак не се понрави на поддържниците на Java Virtual Machine и Acrobat Reader (дълги години да пребъде безпросветността человеческа).

Ние обаче няма да се поддадем на стадното чувство, намерило благодатна почва сред електронните медии, социалните мрежи и специализираните форуми. Ние не следваме модата, а я налагаме. Така, де.

 

HDL ЕЗИЦИ ЗА ПРОГРАМИРАНЕ:


Advanced Boolean Expression Language - ABEL (1983) – Мразите емоциите и вярвате непоклатимо в силата на логиката, това е за вас. Изключително мощен език, разработен от екип, ръководен от д-р Кей Ли (Kyu Lee )


Забележка: Моля да не се бърка с популярно изпълнение на популярна песен от близкото минало.


Altera Hardware Description Language - AHDL – Само за педантични натури. Донякъде наподобява командите на UNIX, донякъде има сходство с SQL, без да е нито едно от двете. Удобен инструмент за програмиране на системи за контрол и управление.


A Hardware Programming Language AHPL – Език за ценители. Ако от дете мечтаете да изобразите времето, това е вашият инструмент. Използвайте го за разработка на системи за работа в реално време и времеви анализатори. Това ще ви даде предимство пред конкурентите, които вярвават в Java Script. Нека вярват. Силата е с вас.


Bluespec (юни 2003) - Само за екствремни личности. Ако ви се е налагало да работите с 10 GigaBit Ethernet –рутери (10GE) няма как да не сте се сблъскали с това чудо на академичната мисъл. Ако държите да бъдете в част с съвременните тенденции в телекуминикациите и използвате термини като „fiber - LRM PMD with enhanced equalization” е редно да отделите малко време за да се запознаете с този език.


C-to-Verilog – Тук дори аз се обърках, но хубавото е, че има доста видеоматериали по темата. Необичаен компилатор, който обръща написания от вас C-код във Verilog. Задължителен елемент за всеки професионален киберпрестъпник, който държи на своята репутация.


CoWare – Набор от пълнофункционални драйвери и още нещо. Незаменимо средство в борбата срещу индийските програмисти.


CUPL – Препоръчвам ви да посетите сайта на фирмата, ползваща този език. Ще преживеете незабравими мигове, потапяйки се в света на корпусите за интегрални схеми.


ELLA (1980 – 1990) – Британските програмни езици са като британското чувство за хумор и британската литература. Изтънченост, лека ирония и изключителна прецизност. Все пак не забравяйте, че този език е създаден по държавна поръчка, а финансирането на разработката е със средствата изплащани от поданниците на Нейно Величество.


Handel-C (1996) – Мисля, че името Оксфорт говори само за себе си. Все пак ако сте заклет привърженик на C (и обратния полски запис) и никой не е в състояние да ви убеди, че понякога се налага да научите ASМ (по народному „асемблер”), това е вашият език. Ниско. По-ниско. Много ниско ниво. Директно в регистрите на процесора, а, а, а, а ...


Hardware Join Java HJJ – Освен с кенгуруто, коaлата и други екзотични животински видове Австралия е допринесла за екзотиката в IT бранша с редица разработки (най-често те са продукт на професор, който носи името Вон или подобно, но това не бива да ви притеснява). За мен това е далекоизточния отговор на сътвореното в Обединеното Кралство. Все пак не забравяйте кои са били изпращани в Австралия.


HML – Език за феновете на полиморфизма във всичките му разновидности. Някои от заложените в него принципи са авангардни дори за самите автори. Препоръчвам го като прекрасен заместител на ребусите.


Hydra – Определен като Hardware Description Language (CHDL). Родното място на този език е Глазгоу (отново Албиона). Освен футбол на Острова има и други неща, които би следвало да се следят изключително внимателно.


Impulse – Разновидност на C. Обърнете внимание на библиотеките. Препоръчаме да бъде включен в „Ръководство за създаване на кибернетични заблуди". Полезен инструмент за ценители.


ParC – C за паралелни процеси. Прекрасен език, ако желаете да прикриете нещо, като нещо друго, което не е това, което е, но всички трябва да го мислят за това, което те си мислят, че е. Някой да си спомня за Перса (не ParC, a PerS), неговата печка и сливовия сладкиш от приказката на Киплинг?


Just-Another Hardware Description Language JHDL – По ниско от това за език на високо ниво няма накъде. Незаменим за саботиране работата на прецизните тайммери.


Lava – Логика и Програмируеми Автомати (ЛПА), синтез на крайни автомати и Pascal. Препоръчвам го за всеки, който желае да придобие истинска мощ. Независимостта се определя от нивото на теоретичните знания. Все пак Haskell е стандартизиран.


Lola – Следовници на Силата. Трябва да започнете от тук. Невероятен език за обучение. Началото на пътя за всеки, който желае да се посвети на усвояването на изкуството на невидимото управление.


M (1981) – За тези, които обичат AC/DC и правят разлика между реактивно съпротивление и проводник. Ако държите да властвате над енергоразпределителните системи на два континента, това е вашият език.


. . .

Може да съм грозен, но имам свое мнение по въпроса.

Link to comment
Сподели другаде


  • Група:  [Администратор]
  • Последователи:  7
  • Брой мнения:  50
  • Репутация:   42
  • Спечелени дни:  21
  • Регистриран на:  10.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

@Avatara Много добро инфо 🙂

Hacking-Banner.png

Link to comment
Сподели другаде

  • 3 седмици по-късно...

  • Група:  [Член]
  • Последователи:  5
  • Брой мнения:  45
  • Репутация:   40
  • Спечелени дни:  13
  • Регистриран на:  16.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

ДО КОЛКО HTML И JAVA SCRIPT СА "БЕЗОБИДНИ"

 

Една много стара публикация (отговор в една дискусия), която нагледно демонстрира, че няма "безобиден език" за програмиране. Предупреждавам, че е добре да се чете само от хора с чувство за хумор.

Повече от описаните неща, са все така актуални, но като се замисля, че вече тридесет години не се отстранява очевиден проблем, в масово използван ресурс, по добре да замълча. А и кой съм аз та да съдя за такива неща.

 

ЦИТАТ:

" ... Може да вярвате в каквото си искате. Може да използвате Proxy, VPN, да модифицирате заглавната част на HTML, да променяте часова зона, да употребявате само и единствено "най-надеждните" браузъри, или други подобни залъгалки, но каквото и да направите някои web-сайтове никога няма да заличат спомена за вашето незабравимо посещение.

Знам, че за мнозина това едва ли има някакво значение, но не е ли редно да се запитаме:

 

„А какво стана с гарантираната ни анонимност?”

 

Как според вас би реагирала разработената от „гениалните” индийски програмисти информационна система, на някоя водеща финансова институция, ако вземе та получи заявка от „оторизиран потребител”?

Въпросът е дали данните получени от системата реално са подадени от съответния потребител или просто са били откраднати без негово знание?

Но да се върнем към темата ...

Като начало нека видим как функционират „бисквитките”.

 

„Бисквитките” и това, което се крие в тях

За да бъде идентефициран ползвател в internet приложенията масово се използват „бисквитки” (cookies – англ.).

В бисквитките няма нищо сложно и загадъчно. Това е малка „порция” текстова информация, която сървърът изпраща към потребителя (който ползва браузър за да рови в мрежата или да отглежда виртуални зеленчуци).

Когато потребителят се обръща към сървъра (например иска да отвори определена странница, като набира нейният адрес), сървърът прочита информацията, която се съдържа в „бисквитката”.

Тази информация може да бъде изключително интересна. Име на потребителя, статичен IP-адрес, MAC-адрес и пр. и пр..

Технически всичко това се реализира по следния начин:

Пример:

Потребителят иска да отвори странница с адрес: http://example.org/index.html. Браузърът (Mozilla, Safari, Opera, IE или каквото ви дойде наум) изпраща на сървъра следната заявка:

    GET /index.html HTTP/1.1

    Host: www.example.org

Сървърът от своя страна отговаря възпитано, като изпраща към потребителя исканата странница, заедно с текст, съдържащ HTML отговор. Именно този отговор, крие „бисквитка”, която остава на компютъра на потребителя.

    HTTP/1.1 200 OK

    Content-type: text/html

    Set-Cookie: name=value

Когато браъзърът срещне символен низ от вида „Set-Cookie”, той запомня информацията „name=value (променлива = стойност) и я изпраща всеки път, когато се потребителят се обърне към същата странница (или към същият сървър).

    GET /spec.html HTTP/1.1

    Host: www.example.org

    Cookie: name=value

   Accept: */*

Както сами може да се убедите всичко е невероятно просто.

Ако сървърът получи от страна на клиента „бисквитка” и в неговите бази от данни има съответстваща информация, той еднозначно ще я обработи без да иска каквото и да било съгласие от страна на същият този клиент. Например, ако това е „бисквитка” , съдържаща информация като „User name:” (потребителско име) и “Password” (парола), в момента в който бъдат открити от страна на сървъра, те няма да бъдат изисквани от потребителя.

Прието е „бисквитките” да имат определен „жизнен цикъл”, както и да могат да бъдат премахвани в случай на нужда от потребителя (него пък кой го пита, ама нека си вярва). Няма браузър, за който това да не се твърди от страна на разработчиците и компанията, която го предлага „напълно безплатно”.

Това силно изнервя собствениците на определен вид информационни ресурси, които изпитват непреодолимо желание да контролират от кого, кога и как са били посетени. Тук може да посочим анализатори на трафика (предвиждам да отделя напиша материал за измамите там), системите за статистическа обработка (някои от тях дори си вярват), банерни мрежи, електронна търговия и пр.. Забавното в случая е, че потребителите нямат и най-малка представа, че са обект на постоянен контрол от стърана на комерсиални институции, които неспирно твърдят, че предоставят „напоълно безплатни” продукти и услуги. Използват се изключително забавни уловки.

Ето някои от тях:

 

Flash-бисквитки

Анимираните Flash изображения, освен че поглъщат огромен ресурс са по опасни и от най-разрушителния вирус. Към момента те са прекрасно алтернатично хранилище, в което се съхранява информация за крайния клиент без негово знание. Най-често може да откриете интересна информация за себе си в Local Shared Objects (LSO), които макар и донякъде да приличат на „бисквитки” (като файл и това, че се намират на компютъра ви) притежават доста интересни от гледбна точка на кибертерориста свойства. Ето някой от тях:

- Flash-бисквитките са еднакви за всички браузъри (за разлика от традиционните такива). Общи настройки, информация за сесиите, специализирани идентефикатори за проследяване на потребителя и пр. гадост не се интересува дали сте си сложили Mozilla, Opera, IE, Safari или нещо друго.

- Flash-бисквитките позволяват да се събира по голяма по обем информация за клиента (до 100 KByte), което означава, че някой ще научава много повече за вас, отколкото би ви се искало.

На практика LSO e изключително проста и достъпна технология за трекинг на метуера (нали знаете значението на тази дума). Никакви „стандартни” средства за изчистване кеша на браузъра няма да ви помогнат да се отървете от тази гад.

 

Evercookie

(посвещава се на вярата в хуманизма)

Ако за LSO са чували малцина, то за някои други технологии, помагащи на Големият Брат да ви проследи се знае много повече.

Да разгледаме прекрасните контейнери предлагани от HTML5. Тук с чиста съвест мога да посоча всичкия боклук, който носи вълнуващи имена като Session Storage, Local Storage, Global Storage, Database Storage via SQLite и пр. (някой, спомена нещо за HTML, и как бил "невинен" ама нали сме недоверчиви). 

Ако търсите компетентно мнение по въпроса ви препоръчваме да се обърнете към Сами Kамкар (Samy Kamkar). В резултат на неговите усилия се появи специализирана JavaScript-библиотека evercookie, чиято основна задача е да създава изключително жизнени и неподдаващи се на унищожение „бисквитки”.

Някой би попитал:

„За какъв дявол е нужно да се прави нещо подобно?”

Много е просто: За да се извърши „идентефикация на уникалността на потребителя” в случай на повторно посещение на дадена web-странница.

Подобен вид „бисквитки” се наричат „tracking cookies”. 

Evercookie унищожава всякаква форма на анонимност на потребителя.

При този вид „бисквитки” се използват всички предоставяни от HTML средства, за събиране на информация за потребителите в мрежата. Традиционни „бисквитки”, HTML5 контейнери, LSO, системата за History, генерация на специални PNG-изображения (виж някои от докладите ни от различни научни конференции), използване на ETag и пр. и пр.. Възможностите тук са повече от неограничени.

Предполагам, че вече сме доскучали на бъдещите кибертерористи и мнозина от тях биха задали основният въпрос:

 

„ДА, ДЕ. АМА КАК ДА СЕ ВЪЗПОЛЗВАМЕ НИЕ ОТ ДАЛАВЕРАТА?”

 

Ето един от многото примери, които бихме могли да дадем:

 

PNG-бисквитка

Evercookie предоставя възможност за съхраняване на данни в кеширани PNG-изображения. За целта се използва скрипта evercookie_png.php, който позволява да бъде записана информация за конкретната сесия. Подобен род „бисквитки” се наричат PHP-сценарии. Те създават PNG-зиображения, цветовете на които „съхраняват” определен вид информация (дори сме показвали пред публика подобни трикове). Най-забавно е, че PNG-файлът се изпраща на клиента със забележка:

“ДА СЕ СЪХРАНЯВА ДО ФИЗИЧЕСКОТО УНИЩОЖЕНИЕ НА ДИСКА”

Получавайки горното указание, evercookie премахва специализираните HTML-бисквитки, а след това изпълнява нареждането, следвайки PHP-сцернария, но без да предоставя информация за потребителя. На пръв поглед няма данни, които да позволят генериране на PNG. На практика обаче браузърът изпраща „преработен” HTML със следното съдържание:

    "304 Not Modified"

Това си е покана да се изтегли файла от локалния кеш и да се визуализира посредством HTML5 Canvas. Когато това се случи evercookie изчита всеки един пиксел, съдържащ се в Canvas и изчита цифровите стойности за RJB. Както вече споменахме тези цифрови стойности съдържащ кодирана текстова информация за потребителя.

 

ЗАКЛЮЧЕНИЕ

Искаме да изкажем благодарност на г-н Ал.Фол, който в желанието си да „реформира” българското образование даде начален тласък на неговото безвъзмездно разрушаване. Изказваме благодарност на всички знайни и незнайни служители на МОН, които през последните години направиха всичко по силите си за да попречат на българският ученик да получи основни знания в областта на IT-технологиите. Виждаме, че в момента се прави всичко възможно зада се унищожат предмети като математика, физика, химия, биология, история и български език, като същите биват заменени с религия, шаманизъм, скудоумие, простащина, права на ученика, наркомания и др..

Колкото по-безпросветен е българският потребител, толкова по-лесно ще бъде манипулиран. Личните му данни ще бъдат източвани и употребени за съответните цели.

Да живее МОЛ-културата, гибека (не е грешка), Skype, Facebook (суратлъ тефтер – тур.), Tic-Toc и де що е шарения, простотия и дивотия.

Вярвайте, че те свободни и независими, защото не сте нито едно от двете.

Да пребъде силата на разрушението и съсипията. 

 

Avatara

(параноичен индивид, който дори не си шифрова писмата)

 

P.S. Специално за ценители:

function getCookie(best_candidate, all_candidates)

{

    alert("The retrieved cookie is: " + best_candidate + "\n" + "You can see what each storage mechanism returned " + "by looping through the all candidates object.");

    for (var item in all_candidates) document.write("Storage mechanism " + item + " returned: " + all_candidates[item] + "<br>");

}

ec.get("id", getCookie);

 

Гореизложеният код е поредното доказателство, че срещу потребителските безумия, капризи и мрънкане дори най-съвършенната защита е безполезна.

От така написаното непосредствено следва първата аксиома на Герасимов:


Internet в ръцете на потребителите е като заредена картечница в ръцете на луд,

пуснат в детска градина. 

 

 

Q_008.png

Редактирано от Avatara

Може да съм грозен, но имам свое мнение по въпроса.

Link to comment
Сподели другаде


  • Група:  [Администратор]
  • Последователи:  15
  • Брой мнения:  137
  • Репутация:   87
  • Спечелени дни:  37
  • Регистриран на:  11.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

преди 3 часа , Avatara каза:

ДО КОЛКО HTML И JAVA SCRIPT СА "БЕЗОБИДНИ"

 

Една много стара публикация (отговор в една дискусия), която нагледно демонстрира, че няма "безобиден език" за програмиране. Предупреждавам, че е добре да се чете само от хора с чувство за хумор.

Повече от описаните неща, са все така актуални, но като се замисля, че вече тридесет години не се отстранява очевиден проблем, в масово използван ресурс, по добре да замълча. А и кой съм аз та да съдя за такива неща.

 

ЦИТАТ:

" ... Може да вярвате в каквото си искате. Може да използвате Proxy, VPN, да модифицирате заглавната част на HTML, да променяте часова зона, да употребявате само и единствено "най-надеждните" браузъри, или други подобни залъгалки, но каквото и да направите някои web-сайтове никога няма да заличат спомена за вашето незабравимо посещение.

Знам, че за мнозина това едва ли има някакво значение, но не е ли редно да се запитаме:

 

„А какво стана с гарантираната ни анонимност?”

 

Как според вас би реагирала разработената от „гениалните” индийски програмисти информационна система, на някоя водеща финансова институция, ако вземе та получи заявка от „оторизиран потребител”?

Въпросът е дали данните получени от системата реално са подадени от съответния потребител или просто са били откраднати без негово знание?

Но да се върнем към темата ...

Като начало нека видим как функционират „бисквитките”.

 

„Бисквитките” и това, което се крие в тях

За да бъде идентефициран ползвател в internet приложенията масово се използват „бисквитки” (cookies – англ.).

В бисквитките няма нищо сложно и загадъчно. Това е малка „порция” текстова информация, която сървърът изпраща към потребителя (който ползва браузър за да рови в мрежата или да отглежда виртуални зеленчуци).

Когато потребителят се обръща към сървъра (например иска да отвори определена странница, като набира нейният адрес), сървърът прочита информацията, която се съдържа в „бисквитката”.

Тази информация може да бъде изключително интересна. Име на потребителя, статичен IP-адрес, MAC-адрес и пр. и пр..

Технически всичко това се реализира по следния начин:

Пример:

Потребителят иска да отвори странница с адрес: http://example.org/index.html. Браузърът (Mozilla, Safari, Opera, IE или каквото ви дойде наум) изпраща на сървъра следната заявка:

    GET /index.html HTTP/1.1

    Host: www.example.org

Сървърът от своя страна отговаря възпитано, като изпраща към потребителя исканата странница, заедно с текст, съдържащ HTML отговор. Именно този отговор, крие „бисквитка”, която остава на компютъра на потребителя.

    HTTP/1.1 200 OK

    Content-type: text/html

    Set-Cookie: name=value

Когато браъзърът срещне символен низ от вида „Set-Cookie”, той запомня информацията „name=value (променлива = стойност) и я изпраща всеки път, когато се потребителят се обърне към същата странница (или към същият сървър).

    GET /spec.html HTTP/1.1

    Host: www.example.org

    Cookie: name=value

   Accept: */*

Както сами може да се убедите всичко е невероятно просто.

Ако сървърът получи от страна на клиента „бисквитка” и в неговите бази от данни има съответстваща информация, той еднозначно ще я обработи без да иска каквото и да било съгласие от страна на същият този клиент. Например, ако това е „бисквитка” , съдържаща информация като „User name:” (потребителско име) и “Password” (парола), в момента в който бъдат открити от страна на сървъра, те няма да бъдат изисквани от потребителя.

Прието е „бисквитките” да имат определен „жизнен цикъл”, както и да могат да бъдат премахвани в случай на нужда от потребителя (него пък кой го пита, ама нека си вярва). Няма браузър, за който това да не се твърди от страна на разработчиците и компанията, която го предлага „напълно безплатно”.

Това силно изнервя собствениците на определен вид информационни ресурси, които изпитват непреодолимо желание да контролират от кого, кога и как са били посетени. Тук може да посочим анализатори на трафика (предвиждам да отделя напиша материал за измамите там), системите за статистическа обработка (някои от тях дори си вярват), банерни мрежи, електронна търговия и пр.. Забавното в случая е, че потребителите нямат и най-малка представа, че са обект на постоянен контрол от стърана на комерсиални институции, които неспирно твърдят, че предоставят „напоълно безплатни” продукти и услуги. Използват се изключително забавни уловки.

Ето някои от тях:

 

Flash-бисквитки

Анимираните Flash изображения, освен че поглъщат огромен ресурс са по опасни и от най-разрушителния вирус. Към момента те са прекрасно алтернатично хранилище, в което се съхранява информация за крайния клиент без негово знание. Най-често може да откриете интересна информация за себе си в Local Shared Objects (LSO), които макар и донякъде да приличат на „бисквитки” (като файл и това, че се намират на компютъра ви) притежават доста интересни от гледбна точка на кибертерориста свойства. Ето някой от тях:

- Flash-бисквитките са еднакви за всички браузъри (за разлика от традиционните такива). Общи настройки, информация за сесиите, специализирани идентефикатори за проследяване на потребителя и пр. гадост не се интересува дали сте си сложили Mozilla, Opera, IE, Safari или нещо друго.

- Flash-бисквитките позволяват да се събира по голяма по обем информация за клиента (до 100 KByte), което означава, че някой ще научава много повече за вас, отколкото би ви се искало.

На практика LSO e изключително проста и достъпна технология за трекинг на метуера (нали знаете значението на тази дума). Никакви „стандартни” средства за изчистване кеша на браузъра няма да ви помогнат да се отървете от тази гад.

 

Evercookie

(посвещава се на вярата в хуманизма)

Ако за LSO са чували малцина, то за някои други технологии, помагащи на Големият Брат да ви проследи се знае много повече.

Да разгледаме прекрасните контейнери предлагани от HTML5. Тук с чиста съвест мога да посоча всичкия боклук, който носи вълнуващи имена като Session Storage, Local Storage, Global Storage, Database Storage via SQLite и пр. (някой, спомена нещо за HTML, и как бил "невинен" ама нали сме недоверчиви). 

Ако търсите компетентно мнение по въпроса ви препоръчваме да се обърнете към Сами Kамкар (Samy Kamkar). В резултат на неговите усилия се появи специализирана JavaScript-библиотека evercookie, чиято основна задача е да създава изключително жизнени и неподдаващи се на унищожение „бисквитки”.

Някой би попитал:

„За какъв дявол е нужно да се прави нещо подобно?”

Много е просто: За да се извърши „идентефикация на уникалността на потребителя” в случай на повторно посещение на дадена web-странница.

Подобен вид „бисквитки” се наричат „tracking cookies”. 

Evercookie унищожава всякаква форма на анонимност на потребителя.

При този вид „бисквитки” се използват всички предоставяни от HTML средства, за събиране на информация за потребителите в мрежата. Традиционни „бисквитки”, HTML5 контейнери, LSO, системата за History, генерация на специални PNG-изображения (виж някои от докладите ни от различни научни конференции), използване на ETag и пр. и пр.. Възможностите тук са повече от неограничени.

Предполагам, че вече сме доскучали на бъдещите кибертерористи и мнозина от тях биха задали основният въпрос:

 

„ДА, ДЕ. АМА КАК ДА СЕ ВЪЗПОЛЗВАМЕ НИЕ ОТ ДАЛАВЕРАТА?”

 

Ето един от многото примери, които бихме могли да дадем:

 

PNG-бисквитка

Evercookie предоставя възможност за съхраняване на данни в кеширани PNG-изображения. За целта се използва скрипта evercookie_png.php, който позволява да бъде записана информация за конкретната сесия. Подобен род „бисквитки” се наричат PHP-сценарии. Те създават PNG-зиображения, цветовете на които „съхраняват” определен вид информация (дори сме показвали пред публика подобни трикове). Най-забавно е, че PNG-файлът се изпраща на клиента със забележка:

“ДА СЕ СЪХРАНЯВА ДО ФИЗИЧЕСКОТО УНИЩОЖЕНИЕ НА ДИСКА”

Получавайки горното указание, evercookie премахва специализираните HTML-бисквитки, а след това изпълнява нареждането, следвайки PHP-сцернария, но без да предоставя информация за потребителя. На пръв поглед няма данни, които да позволят генериране на PNG. На практика обаче браузърът изпраща „преработен” HTML със следното съдържание:

    "304 Not Modified"

Това си е покана да се изтегли файла от локалния кеш и да се визуализира посредством HTML5 Canvas. Когато това се случи evercookie изчита всеки един пиксел, съдържащ се в Canvas и изчита цифровите стойности за RJB. Както вече споменахме тези цифрови стойности съдържащ кодирана текстова информация за потребителя.

 

ЗАКЛЮЧЕНИЕ

Искаме да изкажем благодарност на г-н Ал.Фол, който в желанието си да „реформира” българското образование даде начален тласък на неговото безвъзмездно разрушаване. Изказваме благодарност на всички знайни и незнайни служители на МОН, които през последните години направиха всичко по силите си за да попречат на българският ученик да получи основни знания в областта на IT-технологиите. Виждаме, че в момента се прави всичко възможно зада се унищожат предмети като математика, физика, химия, биология, история и български език, като същите биват заменени с религия, шаманизъм, скудоумие, простащина, права на ученика, наркомания и др..

Колкото по-безпросветен е българският потребител, толкова по-лесно ще бъде манипулиран. Личните му данни ще бъдат източвани и употребени за съответните цели.

Да живее МОЛ-културата, гибека (не е грешка), Skype, Facebook (суратлъ тефтер – тур.), Tic-Toc и де що е шарения, простотия и дивотия.

Вярвайте, че те свободни и независими, защото не сте нито едно от двете.

Да пребъде силата на разрушението и съсипията. 

 

Avatara

(параноичен индивид, който дори не си шифрова писмата)

 

P.S. Специално за ценители:

function getCookie(best_candidate, all_candidates)

{

    alert("The retrieved cookie is: " + best_candidate + "\n" + "You can see what each storage mechanism returned " + "by looping through the all candidates object.");

    for (var item in all_candidates) document.write("Storage mechanism " + item + " returned: " + all_candidates[item] + "<br>");

}

ec.get("id", getCookie);

 

Гореизложеният код е поредното доказателство, че срещу потребителските безумия, капризи и мрънкане дори най-съвършенната защита е безполезна.

От така написаното непосредствено следва първата аксиома на Герасимов:


Internet в ръцете на потребителите е като заредена картечница в ръцете на луд,

пуснат в детска градина. 

 

 

Q_008.png

Изчетох цялото нещо и ми беше много интересно. Научих нови неща, за което съм благодарен. Не съм особено съгласен с последното заключение. Смятам, че всяко поколение се има за по-добро от предното, но ако погледнем реално над нещата нито едно поколение не може да стане с чест и достойство и да каже с чиста съвест - "ние бяхме по-добри", защото ако беше истина това, то нямаше да завещаваме "държавата" в този си вид на следващите след нас. 

Плюс това, системата и системното образование "изражда" поколения, които са едновременно "образовани" и НЕ могат да МИСЛЯТ. Но това е офтопик, който не е за този пост.

Link to comment
Сподели другаде


  • Група:  [Член]
  • Последователи:  5
  • Брой мнения:  45
  • Репутация:   40
  • Спечелени дни:  13
  • Регистриран на:  16.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

Здравейте,

Благодаря Ви за изразеното мнение и повярвайте ми напълно Ви подкрепям.

Predi godini w личен разговор с посланника на Индонезия в България обсъdihme българското образование. Това, което той сподели е, че не разбира защо сме загърбили най-добрата възможна система, за да я заменим с нещо, което определено не функционира правилно. В заключение ми зададе въпрос, на който не можах да отговоря:

"Как ще оцелеете?".

Малцина знаят, че класическата българска образователна система се използва в Далечния Изток (визирам държави като Република Кoрея, Япония, Китай, Малайзия, Индонезия и др.) и дава прекрасни резултати, но ние сме се отказали от нея.

Ако някой е бил в гр.Трявна и е посетил музея неможе да не е виждал учебниците от едно по-далечно време. Те са уникални. Но ако питате мен е добре поне веднъж да изгледате "Това го знае всяко дете". Ще останете изумени какви интересни неща се учат в училище.

Като ученик в девети клас, писах реферат, за да участвам в национален конкурс по физика. Темата на реферата бе "Практическа реализация на съвременните лазети". Това бе в началото на 70-те години на миналия век. Консултатнти и ръководители на реферата ми бяха г-н Цифудин и и г-н Арменски, от катедрата по физика към ТУ-Габрово. Професор и доцент, помагаха на ученик в девети клас да напише реферат. Това, което научих тогава днес се счита за нещо уникално и ... много съвременно.

По-късно водих мои студенти на научен форум за деня на радиото. Те бяха изумени от това, което един колега (който тогава бе над 80 години) изнесе като доклад. Искам да кажа, че тогава нямаше не просто GSM и internet, но и че персоналните компютри бяха нещо уникално и трудно достъпно, а времето на мобифоните още не бе дошло. В това време този човек говореше за сателитни комуникации, цифрова телевизия, поточно аудио, мултимедийни бази данни, широколентови канали за обмен на цифрови данни и пр.. Никога няма да забравя реакцията на студентите. Те бяха като малки деца, които някой е пуснал в най-големия магазин за играчки.

И да. Напълно сте прав, че е нужно да се изгради критично мислене. Но ...

За да се формира критично мислене е нужно да се развият определени когнитични качества. Това е много труден и определено продължителен и безкрайно неинтересен процес. Като начало е нужно да се изучава краснопис. Като азиатски възпитаник (макар и на един по-късен етап в живота ми), мога да кажа, че нишо не развива така критичното мислене както краснописа (калиграфията). Не случайно в Япония и Китай тя е толкова важна и се изучава непрестанно.

Следващият опорен камъкобаче са т.н. фундаментални познания. Тук идва ред на физика, химия, математика, биология и естествено литература. Но изучаването на тези науки изисква паралелна физическа подготовка и специфична среда. 

Тук отново ще си послужа с пример.

Знанията трябва да имат устойчив характер, за да може да изградим критично мислене. Това се разбира най-добре, акопопаднете в автентична школа по бойни изкуства. Там е като в килийно училище, но опита и самодисциплината са вечни.

Учителската (както и лекарската и не само) професия е призвание. За съжаление днес повечето учители гледат на тази професия като гарантирана работа, с голяма отпуска. Преподаването е нещо по-голямо от това, защото предаването на знанич е критично важно.

Извинявам се за дългия пост. 

Истината е, че всяко следващо поколение трябва да бъде не само по-умно и образовано, но и по добро и градивно от предходното. Това, за което ме боли е какво остави моето поколение след себе си. Много е лесно да рушим, но е много трудно да изградим нещо.

Вината е наша. Бих казал аз лично нося много голяма вина. Едно дете не е виновно, че не знае. Детето трябва да бъде научено и да му се помага, когато опознава света и избира своя път. Но най-хубаво е когато неговия път е различен от моя път. Тов означава алтернатива, а това е прекрасно.

Още веднъж Ви благодаря за споделеното мнение. За мен то е изключително важно.

С уважение

Avatara

Редактирано от Avatara

Може да съм грозен, но имам свое мнение по въпроса.

Link to comment
Сподели другаде

Join the conversation

Можете да публикувате сега и да се регистрирате по-късно. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Поставено като форматиран текст.   Вместо това поставете като обикновен текст

  Разрешени са само 75 емотикони.

×   Вашата връзка е вградена автоматично.   Вместо това се показва като връзка

×   Вашето предишно съдържание е възстановено.   Изчистване на редактора

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

  • Регистрирайте се

    Регистрирайте се за да използвате пълната функционалност на форума 🙂

HACKING.BG Партньори

Asset3.png.df693f7661f6e8a7a3ec208659eda80b.pngtransparent1.png.c15979e1dc997cdd3a9941e342368a9b.png2.png.3e2592eadc660ecc831f1fdd569e8eb4.png600_489534840.png.72981fb02b90f1986dd7ade4d561e6d0.pngcyberclub-logo-text.png.6e9d11752e2eade43d40337d83365e48.png

×
×
  • Създай ново...

Важна информация!

Политика за сигурност и условия на ползване Privacy Policy