За последние 10 лет хакеры взломали почти пять миллиардов аккаунтов в соцсетях со всего мира. Данные опубликовал разработчик безопасности Microsoft Трой Хант, и ежедневно он обновляет эту статистику. Зачастую пользователь сам выдает киберпреступнику все данные и даже не догадывается об этом. Есть ли этика у хакеров, зачем в соцсетях лучше молчать и почему "взломать" человека намного проще, чем компьютер, - мы узнали у хакера с 20-летним стажем, который дал интервью на условиях анонимности.
Про этику и черных взломщиков
Мне не нравится, когда меня называют хакером, потому что это слово несет такой же искусственно сформированный негативный оттенок, как слово "пират". А к нему относят всех - от нарушителей авторских прав, зарабатывающих деньги, до матерей-одиночек, скачивающих обучающие уроки.
Сегодня "светлых" хакеров (помогающих искать разработчикам слабые места в программах. - Прим. ред.) больше, чем "черных". Это сложнее, нужна большая квалификация. Да и среди "темных" кибервзломщиков не всех назовешь преступниками.
У каждого свой мотив: желание заработать, спортивный интерес или высокие цели. Можно открыть данные, которые, по мнению человека, должны быть обязательно преданы огласке, выложить переписку на WikiLeaks - это не плохо.
Если хакер использовал информацию для личного обогащения, отношение к нему у меня негативное. Я скорее этичный хакер. Мне бы хотелось реанимировать RuLeaks - это русскоязычный аналог WikiLeaks.
Настоящие профи хакерства - юные 18-летние парни. Они не гонятся за наживой, с детства за компьютером, работают быстрее многих правительственных специалистов. Им нечего терять, у них нет психологических ограничений.
Про "собственную шкуру"
Благодаря фильмам мы представляем кибервзломщика так: социально неадаптированный человек в капюшоне, с длинными волосами и бородой. Я же с виду не отличаюсь от обычного "офисного планктона".
Моя официальная работа не связана с IT. Никогда не занимаюсь хакерством дома - в офисе это делать безопаснее. Домашний интернет я оформляю у провайдера по своим паспортным данным, а компания, где я работаю, все оформляет на себя. Дома я сам открою дверь полиции, которая изымет мое оборудование, а в компании у меня есть время замести следы. Дома я подвергаю опасности всю семью, в компании - только себя. Родные не в курсе моего "хобби". Заказы я беру только через Даркнет, никаких личных встреч или переписок.
Про первый опыт - как первый поцелуй
Первые знания об IT я получил из книг "Классика Сomputer Science" и журнала "Хакер". Потом появились онлайн-курсы Coursera, курсы американских университетов и "Академии Хана". В школе информатику практически не преподавали.
Я рад за современных подростков и завидую - они застали эпоху открытого интернета с неограниченным ресурсом информации. Но мы видим, что эта эпоха заканчивается, глобальную сеть все больше хотят загнать в рамки.
До появления безлимитного интернета люди подключались к провайдерам с локальной сетью и файлообменником. Многие пользователи по незнанию открывали доступ к личным папкам, и этим было грех не воспользоваться. Я удаленно подключался к компьютеру человека, открывал "Блокнот" на его рабочем столе и начинал писать инструкцию - "как обезопасить себя от взлома". Человек, может, и был возмущен такой наглостью, но потом мне спасибо говорил. Поэтому мой первый хакерский опыт был весьма этичным.
Когда интернет стал доступным, миллионы, в основном подростки, поняли, как круто было бы знать секреты друзей и возлюбленных.
Предложения "взломай страничку Светы" мне присылали десятки раз каждый день. За взлом по тем временам давали хорошие деньги. Я этим пользовался. Прошли годы, а такие просьбы до сих пор поступают, но уже от людей 40-50 лет. Не берусь - не интересно.
Про человеческую наивность
О первом серьезном заказе я не хочу подробно рассказывать из соображений безопасности. Если коротко, то нужно было достать базу данных сотрудников одной компании. Бизнесмены так собирают компромат друг на друга, чтобы в один прекрасный момент уничтожить конкурента, а потом встать во главе и "восстановить финансовое положение" фирмы.
Не вся информация была в открытом доступе, но я нашел сотрудника, который сдал общий справочник, в нем находились нужные мне контакты, а уже они "слили" базу.
Компании тратят на кибербезопасность огромные деньги, но не понимают, что главная лазейка - сотрудники. Руководство на персонал плюет, занижает ему зарплату и прямо-таки подталкивает сделать "подлянку".


Хакеры этим пользуются. Достаточно представиться сотрудником другого отдела, поговорить, надавить - все, человек расскажет и коммерческую тайну, и персональные данные. Этот метод называется "социальная инженерия" (управление действиями человека, опираясь на слабости его характера. - Прим. ред.).
Про заклеенные веб-камеры
Обычный пользователь может дополнительно не защищать свой компьютер, гаджеты. Простой человек хакеру не интересен, разве что ради смеха. Но некоторые доходят до абсурда и заклеивают скотчем веб-камеру, хотя логичнее закрыть крышку ноутбука. А вот антивирусом пренебрегать не стоит. Он как минимум оповестит вас, что лучше вынуть флешку и не поймать вирус.
Про способы защиты
Взломать аккаунт легко и не дороже стакана кофе с печеньем, даже если человек пользуется двойной аутентификацией (первый вход - ввод логина и пароля, второй - резервного кода или ответа на вопрос. - Прим. ред.). Человек, сам того не подозревая, где-то выложил в Сети подсказки. Чаще меняйте пароли, придумывайте сложные сочетания букв с цифрами, но только не с датой рождения. Не пользуйтесь генераторами паролей, сервисами для хранения, не записывайте их "на бумажку". Держите в памяти - туда хакер не проникнет.
Еще одна возможность вас взломать - использование Wi-Fi в общественных местах. Доступ к сети по требованию Роскомнадзора контролируется владельцами точек, а они запросто могут "слить" информацию.
Хороший пример - интернет в метро. Никогда не пользуйтесь интернетом в метро. Вы там словно голый.
Уверен, никто не читает соглашение при установке приложений или регистрации на сайтах, все скорее ставят галочку. Читайте, если не доверяете ресурсу, потому что, возможно, вы соглашаетесь на передачу данных о вас третьим лицам.
Но самая действенная защита от взлома - думать головой всякий раз, когда выкладываешь что-то в Сеть. Люди сами себя подставляют, рассказывая о жизни.

5 октября 2016 года на одном из ханипотов, принадлежащих исследовательской группе Rapidity Networks, был обнаружен подозрительный трафик. По всем признакам выходило, что в ловушку угодил очередной клон Mirai - симптомы заражения казались похожими. Однако после пристального взгляда стало понятно: исследователи имеют дело с чем-то принципиально новым.

На ежегодной конференции компании Check Point в Вене мы встретились с главой исследовательского подразделения компании Янивом Балмасом. Янив рассказал «Хакеру» о том, как штатные ресерчеры помогают Check Point быть в курсе новых угроз, а также раскрыл подробности недавнего взлома WinRAR, который проходил под его руководством.

Трояны со встроенным кейлоггером и функциями похищения критически важных данных - одна из старейших разновидностей малвари. В этой статье мы рассмотрим наиболее известных представителей коммерческих шпионских программ и поговорим о защитных мерах.

В этом материале ты узнаешь, как с помощью утилит постэксплуатации серверов с Linux хакеры проникают внутрь защищенного корпоративного периметра, обходят десятки фаерволов и хонипотов, манипулируют системой, наделяя себя правами рута, и в конечном итоге сливают все данные.

Специалисты из Google Project Zero нашли несколько опасных уязвимостей в Ghostscript - популярной реализации PostScript. Правильно сформированный файл может позволить исполнять произвольный код в целевой системе. Уязвимости подвержена и библиотека Pillow, которую часто используют в проектах на Python, в том числе - на вебе. Как это эксплуатировать? Давай разбираться.

Как известно, операционные системы разрабатываются людьми. Кое-кто, впрочем, уверен, что Android создали рептилоиды: в мобильной платформе Google на сегодняшний день обнаружено множество ошибок, которые могут использоваться как для несанкционированного доступа к файловой системе смартфона, так и для распространения вредоносного ПО.

В предыдущих статьях мы познакомились с двумя основными типами хакерского инструментария: дизассемблером и отладчиком. Первый служит для статического изучения программного обеспечения, тогда как второй - для динамического. В третьей статье цикла мы продолжим изучать глубинное бурение чужого кода.

Наверняка ты хоть раз получал по электронной почте письмо со ссылкой на подозрительный архив. Авторы таких писем делают все возможное, чтобы невнимательный пользователь перешел по ссылке и позволил заразить свой компьютер. Подобное письмо пришло и моему приятелю, и так он стал одной из жертв. А что это был за вредонос, мы разберемся вместе.

Лучшая практика защиты мобильных приложений - это перенос кода, который отвечает за криптографию, хранение ключей для API и проверку целостности системы, в нативные библиотеки. Это существенно увеличивает сложность анализа защищенности приложения, тем самым выдвигая все больше требований к исследователю. Но так ли это на самом деле?

В ходе рутинного тестирования мобильного приложения неожиданно выяснилось, что на девайс с Android 6.0 можно установить программу так, что ее невозможно будет удалить штатными средствами. Парни в Google не считают обнаруженную ошибку критической и, похоже, не собираются ее исправлять, поэтому давай разберемся самостоятельно, как это работает.

Пора отправлять в архивы истории старый анекдот о том, что вредоноса для Linux нужно сначала собрать из исходников, убедиться в том, что в системе есть все нужные библиотеки, и только после этого пытаться запустить, выдав ему предварительно права рута. Сейчас на рынке полно умных устройств с Linux, и они стали одной из любимых целей вирмейкеров. На чем основан этот интерес и как работают такие вредоносы?

В клиенте GitHub для macOS до версии 1.3.4 beta 1 нашлась возможность вызвать удаленное выполнение произвольных команд простым переходом по специально сформированной ссылке. В этой статье я расскажу о причинах возникновения и способах эксплуатации этой уязвимости.

Есть разные подходы к анализу защищенности приложений, но рано или поздно все упирается в изучение взаимодействия программы с API. Именно этот этап дает больше всего информации о работе приложения, об используемых функциях и собираемых данных. Но что, если приложение защищено SSLPinning и защита реализована на уровне? Давай посмотрим, что можно сделать в этом случае.

В этой статье нам предстоит преодолеть длинную цепочку препятствий на пути к заветному руту. По дороге мы в разных вариантах обнаружим уязвимости типа LFI, RCE и эскалации привилегий. А упражняться будем на виртуальной машине ch4inrulz: 1.0.1, полученной с VulhHub.

На OFFZONE была серия задач на смарт-карте с интерфейсом ISO/IEC 7816. Особо внимательных даже предупредили заранее, опубликовали фотографию бейджа и прямо заявили, что «бейдж можно будет взломать, если вам это будет по силам». Нам оказалось это по силам, и из этой статьи ты узнаешь - как.

В знаменитом форумном движке phpBB обнаружилась уязвимость, связанная с PHP-десериализацией. В результате некорректной проверки настроек атакующий может сохранить файл с произвольным содержимым на целевой системе и таким образом получить выполнение произвольных команд и скомпрометировать сервер. Здесь я детально разберу каждый аспект обнаруженной проблемы и покажу способ ее эксплуатации.

Генерация полезной нагрузки - неотъемлемая часть эксплуатации. При использовании модулей Metasploit пейлоад генерируется автоматически, достаточно выбрать тип и задать некоторые переменные. В этой статье мы попробуем разобраться с ролью энкодеров в бинарной эксплуатации и рассмотрим несколько реальных примеров энкодинга на боевых эксплоитах.

В современных версиях Microsoft Office документы по умолчанию сохраняются в формате, основанном на Office Open XML, однако Microsoft не во всем следует открытому стандарту. Вариант Microsoft часто называют MOX, Microsoft Open XML. Он содержит некоторые вольности, создающие угрозы безопасности. Сегодня мы подробно разберем одну из них - так и не закрытую на момент написания статьи.

В роутерах, которые числились среди лучших и часто применяются в индустриальных целях, внезапно одна за другой обнаруживаются серьезные уязвимости. В этой статье мы рассмотрим последние серьезные дыры, поищем причины их возникновения и расскажем, как обезопасить себя.

У каждого реверс-инженера, вирусного аналитика и просто исследователя со временем появляется устоявшийся набор утилит, которыми он постоянно пользуется для анализа, распаковки или кряка. В этом обзоре я поделюсь своей версией. Это будет полезно всем, кто еще не обзавелся своим набором и только приступает к изучению этой темы. Впрочем, и опытному реверсеру должно быть любопытно, что используют коллеги по цеху.

Не сомневаюсь, что ты слышал про сервис создания и хранения заметок Evernote. В клиентском приложении Evernote для Windows есть хранимая XSS-уязвимость, с помощью которой можно выполнить произвольный код на целевой системе пользователя.

Помимо дизассемблирования, существует и другой способ исследования программ - отладка. Изначально под отладкой понималось пошаговое исполнение кода, также называемое трассировкой. Сегодня же программы распухли настолько, что трассировать их бессмысленно - с изучением алгоритма программы эффективнее справляется интерактивный дизассемблер (например, IDA).

Успешность тестов на проникновение многом зависит от качества составления профиля жертвы. Какими сервисами и софтом она пользуется? На каких портах и протоколах у нее есть открытые подключения? C кем и как она общается? Большую часть такой информации можно получить из открытых источников. Давай посмотрим, что для этого нужно сделать.

Бывает, что возникает необходимость подключиться к Wi-Fi, не зная пароль, - скажем, когда ты сидишь в кафе и стесняешься спросить его или, например, когда тебя наняли, чтобы провести пентест сети организации. Технология WPS уже давно помогает хакерам и в том и в другом. В этой статье мы посмотрим, как самостоятельно реализовать атаку, основанную на слабостях алгоритмов генерации WPS PIN.

Если ты воображаешь, что в Северной Корее примерно три компьютера, на одном из которых Ким Чен Ын играет в League of Legends, а на другой кладет ноги, то ты ошибаешься. Северокорейские хакеры теперь фигурируют в новостях о крупных взломах наравне с русскими и китайскими, и их успехи впечатляют.

В базах антивирусов содержатся миллионы сигнатур, однако трояны по-прежнему остаются в хакерском арсенале. Даже публичные и всем известные варианты полезных нагрузок Metasploit, разновидностей RAT и стиллеров могут остаться незамеченными. Как? Благодаря обфускации! Даже скрипт на PowerShell можно спрятать от любопытных глаз антивируса.

В этой статье мы поговорим сразу о нескольких уязвимостях в сервере приложений Oracle WebLogic, написанном на Java. Этот продукт безумно популярен в энтерпрайз-среде и попадается постоянно на периметрах разных компаний от мала до велика. Уязвимости носят критический характер и позволяют злоумышленнику выполнить произвольный код на целевой системе.

Пятнадцать лет назад эпический труд Криса Касперски «Фундаментальные основы хакерства» был настольной книгой каждого начинающего исследователя в области компьютерной безопасности. Редакторы «Хакера» попытались обновить этот объемный труд и перенести его из времен Windows 2000 и Visual Studio 6.0 во времена Windows 10 и Visual Studio 2017.

Сегодня мы займемся взломом виртуальных машин с VulnHub - ресурса, который предоставляет образы операционных систем с сервисами, в которых «зашиты» уязвимости. Он создавался, чтобы каждый мог получить практический опыт в области цифровой безопасности и сетевого администрирования. Все, что необходимо: скачать образ виртуалки, правильно настроить сеть и запустить.

Услуги профессиональных хакеров:

Рад приветствовать каждого пользователя который перешел на vzlominfo.

Сегодня решил обсудить по-видимому достаточно популярную тему. В которой будем вести обсуждение хакеров и услуги которе они предоставляют.

Большая часть сюда перешли в надежде найти специалиста который оказал бы подобные услуги!

Я уверен если вы по юзаете мой форум обязательно найдете такого человека.

Мир в котором интернет технологии развиваются с бешеной скоростью услуги подобного рода имеют большую актуальность.

Конкуренция между бизнесменами растет буквально по часам, многие желают применить хитрости и обратиться за помощью к специалистам.

Даже пренебрегая законодательством Российской Федерации, давайте рассмотрим основные услуги этого рынка:

Блокировка доменных имен:

Зачастую возможная конкуренция разворачивается между сайтами. Которые пытаются вылезти в топовые позиции поисковых систем.

Пренебрегая рядом фактором соперники готовы на любые шаги! Один из лучших вариантов заставить отступить своего оппонента.

Заблокировать домен его сайта, во-первых это отразится на всей СЕО компании примененной к сайту!

Во-вторых, подобные действия испугают вашего врага от подобных посягательств на клиентов.

ДДос атаки:

Еще один вариант опустить конкурента с небес на землю, обращаясь к хакеру за услугами досс.

Вы гарантированно получаете временное отсутствие потенциального недруга в сети. Преобладая в поиске в это время.

Отметим заблокировать домен выйдет достаточно дешевле чем, постоянно пользоваться досс атаками.

Удаление негатива:

За годы работы в сфере хакинга, ко мне обращались различные люди с различными проблемами.

Частенько были соотечественницы жившие в Европе или Соединённых Штатах Америки. Засветившиеся на порталах связанных с порнографией.

Приходилось удалять всю информацию, которую оставляли бывшие работодатели девушек.

Личности с просьбой удалить фейковый аккаунт в tweetr и других социальных сетях. Подобные услуги хакеров стоят достаточно хорошо, и многим увы не по карману.

Удаления негативно содержащего видео на youtube, администрации лояльно относится к видеозаписям содержащим информацию о какой-либо личности.

Вспоминаются на моей памяти и негативные клиенты! Помните по всей стране ходили видео с большим накаченным скинхедом по имени ТЕСАК?

Занимался он ловлей педофилов на живца, после чего избивал недолюдей и выкладывал запись в всемирную паутину.

За лето когда этот парень проявлял максимальную активность ко мне обратились десятки педофилов с просьбой удалить и заблокировать аккаунт.

Сейчас я подобным вещами не занимаюсь, скажу откровенно я их обманывал! Удалял запись, получал оплату сразу же восстанавливал!

Считая действия этих людей аморальными, думаю я имел на это полное право и гражданскую позицию!

Удаление отзывов:

Пакости ненавистников и конкурентов, оставляют негативную информации о честных людях в интернете!

Найти проверенного хакера который произвел удаления подобных тем достаточно тяжело. Необходим специалист оказывающий услуги не первый год своим клиентам.

Представьте обыкновенный риэлтер, честный оказывающий не дорогие услуги. В общем пользующейся спросом знаток своего дела.

Создается простая тема на форуме, и начинаются зарисовки негативных отзывов. Мол дилетант, обманул меня на кругленькую сумму!

Если завистник вашей популярности заходит достаточно далеко, таких сообщений может быть очень много!

Когда тема появляется в индексе сделать практически не чего нельзя. Особенно когда администрация форума не активна или принципиальна!

Приходится пользоваться услугами специалистов, в данном случае хакеров. Платить деньги не понятно за что!

Нанять хакеры для взлома вконтакте или одноклассников, рядовое занятие! Тысячи людей пытаются сделать это ежедневно.

Проверить любимую девушку на верность, или с кем общается ваш парень обыдённые причины обращения к программистам самоучкам.

Смартфоны, определить место расположение и многое другое. Все это под силу сделать обыкновенному взломщику.

Вибер и whatsapp, стремительно завоевывают место подобных приложений в нашем обществе. Судя по росту выходит достаточно удачно!

Этот вопрос возникает у многих ребят во время первых исследований сети, программ и алгортимов. Если ты задумался о том, как стать Хакером , и это серьезно, разреши пожать тебе руку - твой исследовательский подход вызывает уважение!

Впервые, я задумался о том, как стать хакером, лет в 17. Уже не помню, что мне сподвигнуло вбить этот запрос в поисовую систему, но догадываюсь, что мои помыслы были не самыми чистыми... С тех пор прошло много лет, я изменился, изменились и мои стремления. Сейчас я увлекаюсь программированием, и создаю серьезные веб-проекты. Команда, благодаря которой был создан этот сайт, развалилась... Да и сама концепция сайта претерпела изменения.

Просматривая в сети Интернет сайты и форумы схожей с нашим сайтом тематики, очень часто встречаю такие вопросы и просьбы: «подскажите, где мне взять прокси? », «а где достать прокси для брута? » , «кто-нибудь, выложите рабочие прокси » и тому подобное. Собственно это, от части, и сподвигло меня написать статью о том, как можно самостоятельно , без чьей-либо помощи, искать эти «пресловутые» прокси ...

Что такое XSS?

XSS , согласно легендам древних Хакеров, переводится как межсайтовый скриптинг (Cross Site Scripting ). Внимательный читатель заметит, что абривиатуры XSS и CSS несколько отличаются друг от друга, и вот с чем это связанно.

Задолго до обнаружения такого метода атаки как XSS (по крайней мере до того, как XSS стали называть именно так), веб-дизайнеры ввели в обиход CSS стандарт (Каскадные Таблицы Стилей), которые помогали им выпендриваться и делать свои сайты не так, как у других, используя те же, собственно, html теги. Потому, при классификации XSS атак, первую букву в слове Cross было решено заменить на X ("Cross" также переводится как "Крест") Смотрите подробности Купить саженцы смородины на нашем сайте . . Так и пошло.

Для того, чтобы правильно понять материал, у Вас должны быть хотя бы малейшие знания языка гипертекстовой разметки, ну и вообще примерное понимание общения браузера и веб-сервера. Скажу также, что данный метод атаки в целом не сложен, и вполне сносно излагается в рамках одной статьи. Если что-то будет "непониматься", значит либо у вас мало мозгов, либо у вас мало пива. Если без первого еще можно и обойтись, то без второго даже не знаю... Кому как. =)

Часто бывает так, что нам жизненно необходимо найти человека в сети, зная о нем минимум информации. Такое стремление может оправдываться горячей любовью, жаждой мести, и т.п. Сложность, как правило, заключается в том, что видимой уникальности индивида, которой нам нужен может и не быть.

Я имею в виду, что под ником Alex может сидеть миллион человек. И найти того самого Alex"а довольно не просто. Хотя возможно.

Как правило каждый день, и в сущности не по одному разу, нам приходится сталкиваться с необходимостью использовать средства поисковых систем, для получения какой-либо информации. А задумывался ли ты, что именно с помощью поиска во многих случаях ломаются сайты и форумы? То, что владелец портала хочет скрыть от посторонних глаз, зачастую остается открыто пронырливому поисковому боту. А уж его данные становятся достоянием общественности. Как взломать сайт с помощью google.com, и насколько это реально, мы сейчас и рассмотрим подробнее... На теории и на практике.