Kuinka tehdään tietomurto?

[Kermiitti]

Onko netissä jossain saitteja joista voisi hiukan opiskella ymmärtämään minkälaista tekniikkaa tietokone hackerit käyttää. Tuntuu käsittämättömältä että jotkut nuoret nörtit murtaa salasanoja ja sähköposteja. Aina joku tietoturva ihminen selittää että tietomurto on ihan sama asia, kuin vaikka murtautua autoon tai taloon. Ei kuitenkaan tarvi olla ruudin keksijä että ymmärtää millä keinolla lukittuun autoon pääsee. Itse saa joka aamu jännittää josko salasana on vanhentunut tai muuten vaan ei pääse loggautumaan vaikka on käyttäjätunnukset, salasanat etc..

Onkohan olemassa ammatti rikollisia jotka elävät tekemällä tietomurtoja tilaus työnä.

 

[miqsu]

Onkohan olemassa ammatti rikollisia jotka elävät tekemällä tietomurtoja tilaus työnä.

En ole rikollinen, mutta minulle on maksettu murtoyrityksestä wlan-verkkoon.

Siis tämän päivän kotikäyttäjät toimivat nimenomaan langattomien verkkojen kanssa kuin jättäisivät autoissaan ovet auki ja hälyt pois päältä. Ja eivät ymmärrä, että vanhaan autoon on helpompi murtautua kuin uuteen.

 

[Deleted member 43228]

En ole rikollinen, mutta minulle on maksettu murtoyrityksestä wlan-verkkoon.

Siis tämän päivän kotikäyttäjät toimivat nimenomaan langattomien verkkojen kanssa kuin jättäisivät autoissaan ovet auki ja hälyt pois päältä. Ja eivät ymmärrä, että vanhaan autoon on helpompi murtautua kuin uuteen.

Tuon pitäisi olla helppoa, kun on oikea ohjelma. miinuksena vain on wlan lähetystehon heikkeneminen

 

[Vaikea]

Lopetataan tämä kräkkeröintiohjeiden jakaminen heti alkuunsa. Jokainen kyllä löytää halutessaan riittävästi ohjeita aivan vaikka googlella. Kannattaa muistaa että verkkojen/laitteiden/palveluiden jne. kräkkeröinti tai sen yritys on laitonta ja toleranssi on jatkuvasti pienentymässä yrityksillä poliisille tutkintapyyntöjen tekemiseen. Ellei sitä sitten tehdä toimeksiantona esim. tietoturvakartotuksena.

Toki omia laitteitaan saa ihan vapaasti jokainen kotona murtaa, vaikka unohtuneita salasanoja brute forcella.

 

[miqsu]

Lopetataan tämä kräkkeröintiohjeiden jakaminen heti alkuunsa. Jokainen kyllä löytää halutessaan riittävästi ohjeita aivan vaikka googlella. Kannattaa muistaa että verkkojen/laitteiden/palveluiden jne. kräkkeröinti tai sen yritys on laitonta ja toleranssi on jatkuvasti pienentymässä yrityksillä poliisille tutkintapyyntöjen tekemiseen. Ellei sitä sitten tehdä toimeksiantona esim. tietoturvakartotuksena.

Toki omia laitteitaan saa ihan vapaasti jokainen kotona murtaa, vaikka unohtuneita salasanoja brute forcella.

No eihän tässä ohjeita ole vielä ehditty jakaa. Eikä olisi jaettu.

Rikollistahan tuo ei ole, jos hommaan on verkon haltijan lupa. Toisinsanoen saan tilauksen asiakkaalta, joka haluaa tiedon siitä, pystyykö ihan joka tavis murtautumaan hänen verkkoonsa, vai vaaditaanko enemmän.

Ja se että joku tuossa jo vihjaisi "oikeasta" ohjelmasta, ei ole vielä edes ohje ;) Ja nämäkin softat, joita voi kukin itselleen ilmaiseksi ladata, ovat ihan käteviä työkaluja oman kotiverkon turvallisuuden selvittämiseen.

Google.

 

[Mike]

Tossa on jo poistettuja viestejä. Pysykää siis tarkasti asiassa tai tämä suljetaan.

 

[Solid10]

Tietomurtojen välttämisen kannalta aihe on mielestäni ihan hyvä. Meillä on täällä töissä tämmöinen opus "Hakkeroinnin torjunta", jossa keskitytään mm. eri käyttöjärjestelmien haavoittuvuuksiin ja niiden poissulkemiseen. En oo tosin jaksanut lukea kun ei ole paljoa kuvia..

Esim. Virustorjunta.net:stä saa ostettua erilaisia tietoturvaan liittyviä kirjoja.

Jos ylläpidon mielestä viestini oli provosoiva tai muuten vain huono, saa poistaa

 

[miqsu]

Tossa on jo poistettuja viestejä. Pysykää siis tarkasti asiassa tai tämä suljetaan.

Ketjun otsikkoon vastaaminen ei ole kyllä käynytkään mielessä.

 

[ossipena]

no hitto, kun ei oo sallittu pistää tuota sivustoa, mutta siellä ois kattavasti tietoa aiheesta jos vaan jaksaa perehtyä. ja laillisuuteen/laittomuuteen:
paras keino nykyään suojautua tietomurtoja vastaan on tietää, miten niitä tehdään.

[mod]Kuten Vaikea tuossa aiemmin laittoi, ei jaeta kräkkeröintiohjeita tai apuja niiden etsimiseen. -JohnnyB[/mod]

 

[nikste]

Kaksi sanaa Social Engineering, ei tarvita kun google, puhelin ja pokkaa. Ihmiset on sanoinkuvaamattoman sinisilmäisiä tai tyhmiä kummaksi haluaa kutsua.

Disclaimer: On laitonta tietysti niin ei saa tehdä

Ohjeistus: Niitä passuja ei saa eikä tarvi antaa puhelimessa kenellekkään se joka niitä oikeesti tarvis saa ne muutenkin ja ei niitä tosiasiassa mihinkään tarvi ja muille ei niitä tarvi ikinä antaa.

Ohjeistus 2: Muistakaa ne passut. Post-It lappu hiirimaton alla ei ole passujen paika.

 

[GoA]

Aiheesta kyllä löytyy ihan kirjallisuuttakin jota voi etsiä Suomen kirjastoista. Lisäksi webistä löytyy erilaisia hack this saitteja joissa jokainen voi laillisesti hakkeroida. Sivustoon on siis piilotettu koodi jonka löytämällä pääsee aina eteenpäin seuraavalle tasolle. Lisäksi jos kotoa löytyy pari tietokonetta voi ne liittää toisiinsa lähiverkkoon ja yrittää murtautua toiseen. Webistä löytyy tosiaan miljoona erilaista ohjelmaa joita hakiessa kannattaa muistaa että niistäkin suuriosa voi olla troijalaisia, tarkkana siis mitä ohjelmia sitä imuttelee.

 

[HTH]

Tietomurtojen välttämisen kannalta aihe on mielestäni ihan hyvä. Meillä on täällä töissä tämmöinen opus "Hakkeroinnin torjunta", jossa keskitytään mm. eri käyttöjärjestelmien haavoittuvuuksiin ja niiden poissulkemiseen. En oo tosin jaksanut lukea kun ei ole paljoa kuvia..

Kannattaa lukea, tuo on ihan pätevä perusteos vaikka osa sisällöstä onkin jo vanhentunut. Hakkerin käsikirja on myös lukemisen arvoinen teos.

 

[ossipena]

Kaksi sanaa Social Engineering, ei tarvita kun google, puhelin ja pokkaa. Ihmiset on sanoinkuvaamattoman sinisilmäisiä tai tyhmiä kummaksi haluaa kutsua.

Disclaimer: On laitonta tietysti niin ei saa tehdä

Ohjeistus: Niitä passuja ei saa eikä tarvi antaa puhelimessa kenellekkään se joka niitä oikeesti tarvis saa ne muutenkin ja ei niitä tosiasiassa mihinkään tarvi ja muille ei niitä tarvi ikinä antaa.

Ohjeistus 2: Muistakaa ne passut. Post-It lappu hiirimaton alla ei ole passujen paika.

tuo on varmasti helpoin tapa jos pokkaa on. sit on vaikeempia tapoja joissa tarttee aikamoista tietämystä vähän kaikesta....

simerkiks troijalaisella (eli joku ohjelmoi haittaohjelman joka kutsuu itse itsensä sun koneelle ja asentuu jonnekin piiloon etkä huomaa sitä) voi tehdä tietomurron tai sit ohjelmistossa olevien vikojen kautta.
tai sit vaihtoehtoisesti "väärentämällä" nettisivu (vrt. nordean huijaukset jossa ihmiset luuli olevansa nordean sivuilla mutta totuus olikin vähän toinen)

voi olla että joku keino nyt jäi mainitsematta, mutta yleisimmin varmaan tuo ohjelmistojen viat ovat se paikka mitä kautta murtautuja pääsee murtautumaan sun koneelle. en tiedä sit miten joku noita vikoja löytää, tuurilla kai vaan kokeilee kaikenlaisia vaihtoehtoja...

mutta pidä kermiitti mielessä että vaikka onnistut murtautumaan johonkin, se ei hyödytä sinua mitenkään, joten kannattaa suosiolla unohtaa moiset ideat. eri asia sit jos tahdot testata oman konees tietoturvan tasoa...

 

[HTH]

Lisäksi webistä löytyy erilaisia hack this saitteja joissa jokainen voi laillisesti hakkeroida.

Tai opetella hakkeroimaan: http://www.hackerhighschool.org/

 

[Vaikea]

On totta että teknisesti yleinsä pystytään suojautumaan eri uhkakuvia vastaan riittävän hyvin. Suurempi ongelma onkin sitten käyttäjät, ns. social engineering on usein nopein ja tehokkain tapa saada homma hoidettua. Jos on vakuuttava "puhelinääni" onnistuu tämä valitettavan usein.

Kuten jo joku sanoikin, ylläpitäjät eivät koskaan tarvitse puhelimessa, meilillä tms. asiakkaan tai käyttäjän salasanaa. Eli sen kun muistaa niin riittää jo pitkälle.

Lähes samaan sarjaan kuluu sitten työntekijöiden mukana kuljettamat mobiililaitteet/kannettavat tietokoneet, usb muistit jne. Joiden mukana menee katoamis- ja varkaustapauksissa enempi ja vähempi luottamuksellista tietoa ulkopiolisille, jos laitteiden ja ohjelmistojen suojaustaso ei ole riittävä.

 

[Arttu1]

ihan offtopickina, kaverini löysi sattumalta eräästä nimeltä mainitsemattomasta suositusta kotimaisesta Internetpalvelusta tietosuoja-aukon, jonka kautta pystyy hakemaan kaikkien palvelunkäyttäjien sähköpostiosoitteet. Tämä aukkohan olisi oikea aarre kaikille spämmereille. Tieto tästä aukosta onkin laitettu jo eteenpäin palvelun ylläpitäjille, jotta tätä aukkoa ei voisi hyödyntää. Mutta vielä sitä ainakaan ei olla korjattu kahdessa päivässä.

 

[miqsu]

http://www.wslabi.com/wabisabilabi/initPublishedBid.do?

Siinä taas jotain liittyen osaamisellaan tienaamisesta.

 

[Mixu]

aikanaan ammattikorkeakoulussa tietoturvankurssin opettaja oli pystyttänyt oman "www-palvelimen" (iis 5 ) ja antoi kaikille kurssilaisille luvan yrittää tunkeutua sinne. Löysin googlella kräkkäysohjelman, johon piti vain syöttää www-palvelimen IP. Ohjelma havaitsi heti, että palvelimelle oli jo tunkeutunut mato, joka oli avannut sinne takaoven. Ohjelma osasi jopa avata sen oven ja näytti minulle, mitä www-palvelimen kovalevyllä oli. Pystyin jopa kirjoitamaan C-asemalle viestin käynnistäni. Niin helppoa se oli - 2002.

 

[MTM1977]

Kaksi sanaa Social Engineering, ei tarvita kun google, puhelin ja pokkaa. Ihmiset on sanoinkuvaamattoman sinisilmäisiä tai tyhmiä kummaksi haluaa kutsua.

Disclaimer: On laitonta tietysti niin ei saa tehdä

Ohjeistus: Niitä passuja ei saa eikä tarvi antaa puhelimessa kenellekkään se joka niitä oikeesti tarvis saa ne muutenkin ja ei niitä tosiasiassa mihinkään tarvi ja muille ei niitä tarvi ikinä antaa.

Ohjeistus 2: Muistakaa ne passut. Post-It lappu hiirimaton alla ei ole passujen paika.

Tuo on juu yleistä nykypäivänä.
Itse työskentelen Nokialla ja meillä on aika tarkat ohjeet siitä, että mitä saa tuntemattomalle ihmiselle kertoa (ei juuri mitään, käsketään vaan ottamaan yhteyttä virallisiin tiedotuspuolen ihmisiin).

Pari päivää sitten mulle tuli aika outo sähköposti... Lähettäjä oli muka joku finnairin heebo (lähetys osoite oli muotoa etunimi.sukunimi@finnair.fi) ja meilin aiheena työtarjous.
En lukenut sitä kovin tarkkaan, mutta ilmeisesti oli joku rahtipuolen managerin homma, mutta kumma kyllä vastausta odotettiin sähköpostiin joka ei oikein haiskahtanut minkään firman osoitteelta :lol2:

Mun ei olisi tarttenut lähettää kuin omat tiedot ja kuva ja sitten olisikin saanut paikan :D Vai olisikohan kuitenkin joku vaikka tehtaillut niistä passin tms...

Niin ja sanomattakin on selvää, että meili sai aika nopeasti shift+delete käsittelyn.

 

[Kalju]

Kuinka paljon on vaikeampaa ja harvinaisempaa hakkerointi ja muut tietomurrot jos on käytössä Linux käyttöjärjestelmänä tai Macci?