Jak zabezpieczyć się przed ATAKIEM HAKERA?

Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19195
Reakcje/Polubienia
55839
Tytuł powinien brzmieć: "Wywiad z Gimbazą" :szydera
Chłopaczyna coś tam liznął, ale wiedzy mu brakuje, gada o SQL injection albo że exploit, to program szukający podatności :). O kłódkach albo szyfrowanych wirusach nie wspomnę :kwiczy2
 
OXYGEN THIEF

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35832
Reakcje/Polubienia
24884
Miasto
Trololololo
Grandalf napisał:
Tytuł powinien brzmieć: "Wywiad z Gimbazą" :szydera
Chłopaczyna coś tam liznął, ale wiedzy mu brakuje, gada o SQL injection albo że exploit, to program szukający podatności :). O kłódkach albo szyfrowanych wirusach nie wspomnę :kwiczy2
Kliknij aby rozwinąć...
Dlatego dodałem temat do pogadanek :)
 
spamtrash

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4333
Reakcje/Polubienia
5734
Miasto
To tu to tam....
Tu byl sobie post, ale @Kamelka ma pretensje ze jestem "ich ekspertem do wszystkiego". Wiec juz nie ma.
 
Ostatnia edycja:
OXYGEN THIEF

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35832
Reakcje/Polubienia
24884
Miasto
Trololololo
Aktualizacja 25.02.2019, 11:30



Odezwał się do nas Haker Damian i podesłał nam prawie 60 minutowe (!) nagranie, w którym odnosi się do powyższego artykułu niemalże słowo po słowie. Doceniamy! Nagranie było w 6 częściach więc dla Waszej wygody
Zaloguj lub Zarejestruj się aby zobaczyć!
(mamy nadzieję, że Damian się nie obrazi).
Na nagraniu Damian rzuca nieco więcej światła na własne słowa wypowiedziane w “7 metrów pod ziemią” i przyznaje nam rację co do w zasadzie z wszystkich naszych uwag dotyczących jego błędnych wypowiedzi (z drobnymi wyjątkami, o czym poniżej). Niestety, wygodnie dla siebie, Damian do tych najpoważniejszych zarzutów się nie odnosi — choć artykuł czyta zdanie po zdaniu.
Wiemy, że nie dacie rady obejrzeć całości (tym bardziej, że tym razem razem Damian jest w swoich wypowiedziach do przesady szczegółowy — komentuje np. że źle używamy słowo “e-mail” bo według Damiana “e-mail to skrzynka a nie wiadomość mailowa” (eee?) i wtrąca różne inwektywy pod naszym adresem, wyzywając nas od masochistów, poprzez osoby rzekomo nietolerujące środowisk LGBT (?) aż do ludzi niepotrafiących obsługiwać UTM-ów…), więc poniżej spisujemy godną uwagi esencję z jego prawie godzinnej wypowiedzi:
  • 1. Damian zaczyna od teorii spiskowej dot. zmiany tytułu artykułu :-D Wyjaśniamy: do każdego z artykułów od ponad 4 lat dodajemy po kilka tytułów. Skrypt przeprowadza na nich
    Zaloguj lub Zarejestruj się aby zobaczyć!
    (/C…) i wybiera najlepszy. Zwykły czytelnik widzi tylko jeden tytuł (stale ten sam). Damian wchodził zapewne na artykuł kilka razy i za każdym razem z wyczyszczonymi ciasteczkami (pro!) dlatego WordPress podsuwał mu różne tytuły. Damian twierdzi też, że artykuł był edytowany “po tysiąc razy”. To kłamstwo. Artykuł “nie jest co chwile modyfikowany”. Od momentu publikacji edytowany był dokładnie 3 razy w celach kosmetyki (poprawa stylistyki kilku zdań i usunięcie literówek, dodanie linków do kilku odcinków 7mpz), a nie jak Damian chciałby i twierdzi: “aby po czasie przyznawać mu rację“…

    2. Damian twierdzi, że wywiad nie wyszedł tak jak on by tego chciał, “bo trema” i “w garażu było zimno“. Głos chciał zmienić, ale Rafał (prowadzący) się na to nie zgodził, bo ponoć ludziom ciężko się takie materiały ogląda.
    3. Damian podtrzymał, że chodziło mu o włamania na Facebooka w celu wrzucania na czyjeś profile czyichś prywatnych zdjęć z linkiem typu “tu więcej materiałów” i zarabiania na wejściach dzięki osadzonym na docelowej stronie reklamom… Nie twierdzę, że tak się nie da. Twierdzę, że nikt rozsądny (no może poza ludźmi z “zarabiam.com”…) tak nie robi. Znacie taki przypadek? Pomyślcie ile może być maksymalnie wejść z takiego scamu i ile na takim wejściu można zarobić, a zatem jak opłacalny jest to biznes w porównaniu do wariantu tego ataku — o którym pisaliśmy nie raz — gdzie przejęte konta wykorzystuje się do oszustw i puszczania reklam przestępców. Tu Damian stwierdza, że “tego chyba nikt nie robi bo masz pewność że masz wjazd na firmę policji“. Robi, Damianie, robi. Znamy wiele przypadków osób, którym przejęto konto na FB i puszczono z niego reklamy (głównie jakichś lewych sklepów i produktów). Dwa ruchy w Google i można doszukać się setek takich historii,
    Zaloguj lub Zarejestruj się aby zobaczyć!
    . I ani reklamowanym markom ani atakującym nikt “wjazdu policji” nie robi. To nie miejsce i czas aby tłumaczyć dlaczego — ale zrobimy na ten temat artykuł niebawem. Z chęcią zapoznamy się też z wariantem tego ataku o jakim opowiadał Damian, może ktoś ma i podeśle przykład?
    4. Damian przyznaje się do pisania i sprzedawania crypterów i twierdzi, że “w kryptografii” dużo siedzi. Wymienia też nazwy trojanów jakich kod źródłowy ma na swoim komputerze i twierdzi, że z się z tych kodów uczył i “składał swojego trojana“.
    5. Damian twierdzi, że ofiary, które wiedzą że są zainfekowane raczej nie będą dążyły do usunięcia trojana, a kiedy już pójdą do serwisu komputerowego, to haker “jest w stanie usunąć swój serwer wirusa z czyjegoś komputera nie pozostawiając śladów wyczyścić logi” co może spowodować, że “serwisant uzna, że ma do czynienia z osobą chorą psychicznie” bo na oddawanym komputerze nie ma ma zagrożenia.
    6. Damian przyznaje mi rację, że przedstawiony w wywiadzie proces namierzania IP ofiary przez hotlinking obrazków w e-mailach jest przestarzały. Twierdzi, że chodziło mu o to, aby zwrócić ludziom uwagę na to by “nie pobierali załączników”. Padają słowa
    to był ogromny błąd z mojej strony, nie jest to tak proste jak wskazałem​
    7. Damian przyznaje, że “się pomylił” mówiac def_ops.php i “można było się domyślić, że chodzi o app_dev.php“. Miał w tej sprawie nawet pisać po nagraniu do prowadzącego.
    8. Damian podtrzymuje, że włamanie do Symfony nastąpiło przez ujawnienie app_dev.php we frameworku Symfony. A ja tylko przypomnę, to co dokładnie napisałem wcześniej: xArm publicznie nigdzie o tym nie napisał. Dlatego wiedza Damiana jest w tym zakresie bardzo interesująca. Damian twierdzi, że też skanował sklep Morele i on tam “phpadmina” nie widział, co ma oznaczać, że Niebezpiecznik dał się nabrać na historię xArma. Damianie, my w Niebezpieczniku bez dowodów nigdy niczego nie stwierdzamy, dlatego, gdybyś uważnie przeczytał artykuł, który komentujesz, zauważyłbyś, że padają tam słowa “jeśli wierzyć włamywaczowi“.
    9. Damian kolejny raz pokazuje, że nie potrafi czytać ze zrozumieniem. Zarzuca Niebezpiecznikowi, że xArma nazywał “hakerem”, co ma być hipokryzją, bo jak niby xArm “hakujący przez phpmyadmina” jest hakerem, a on Damian nie? Damian kłamie, co łatwo sprawdzić może każdy.
    W żadnym z artykułów Niebezpiecznik nigdy nie nazwał xArma hakerem. Mocno się pod kątem używania tego słowa w takim kontekście pilnujemy wszyscy w redakcji. xArma nazywamy atakującym, złodziejem lub włamywaczem — nigdzie w
    Zaloguj lub Zarejestruj się aby zobaczyć!
    Zaloguj lub Zarejestruj się aby zobaczyć!
    dotyczących tej sprawy nie znajdziecie słowa haker. Nie wiem skąd to się Damianowi ubzdurało. Odpowiem więc Damianowi jego własnym komentarzem :)gościu, trochę autokrytyki by Ci się przydało i zacznij słuchać co Ty wygadujesz, bo to się kupy, dupy nie trzyma :,D (…) ciężko mi zrozumieć twoje myślenie (…) musisz się z tym pogodzić, dokonałeś błędnej analizy
    10. Damian nie chce powiedzieć za co został osądzony, ale twierdzi, że nie został aresztowany a jedynie zaproszony na komendę. I tu zwracam honor Damianowi. Nie każda osoba skazana prawomocnym wyrokiem sądu jak Damian musi być wcześniej zatrzymana. Słowo “aresztowany” po tych wyjaśnieniach wykreślam z artykułu.
    11. Damian twierdzi, że nasze wykłady “
    Zaloguj lub Zarejestruj się aby zobaczyć!
    ” były jednymi z naszych lepszych. Hmm. Dziękuję. Ale wykład jest jeden… Damian twierdzi, że go oglądał, ale chyba pomylił wykłady albo zapomniał co podczas wykładu mówię, bo tłumaczę tam sprawę wyboru darmowych antywirusów ponad płatnymi — czego (o czym za chwilę) Damian się ode mnie domaga.
    12. W kontekście swoich kuriozalnych wypowiedzi dotyczących certyfikatów, Damian przyznaje, że
    “mogłem lać wodę w trakcie wywiadu”​
    …bo był tam stres mimo, że miał twarz zakrytą. Damian mówi “no to tłumaczę” i wyjaśnia jak działają certyfikaty. Tym razem lepiej niż na oryginalnym nagraniu. Ale zarówno ja (jak i Wy, drodzy Czytelnicy) wiecie co to jest HTTPS, więc tłumaczenie jest tu zbędne. Mój zarzut dotyczył braku takiego przystępnego tłumaczenia w oryginalnym materiale, skierowanym do normalnych ludzi. Oni nie tego co teraz opublikował Damian nie dotrą. Zostali więc bez merytorycznie poprawnej i potrzebnej wiedzy. Damian przyznaje mi tu kolejny raz rację, że na nagraniu zapomniał powiedzieć o czymś poważniejszym — “na co my w ogóle wchodzimy”.
    13. Damian twierdzi, że podatności u ludzi “w większości przypadków nie są załatane” i że “większość ludzi nie aplikuje patchy“, a atak metasploitem “to są trzy komendy“. Przykładowy atak metaspploitem w odrobinę większej liczbie komend możecie zobaczyć w naszym poprzednim artykule o “
    Zaloguj lub Zarejestruj się aby zobaczyć!
    ” — tam też dowiecie się, dlaczego w realnym ataku — wbrew temu co twierdzi Damian — wcale nie jest tak łatwo przejąć kontrolę nad cudzym komputerem.
    14. Damian twierdzi, że
    “odpalenie giełdy z kryptowalutami na lotniskowym hotspocie powoduje szybkie znikanie środków”​
    I to jest właśnie problem z Damianem… swoje doświadczenia, zdobyte na jakiejś niewielkiej, niereprezentatywnej grupie i sieci (lub własnym laboratorium?) rozpościera na resztę internetu i ludzi. Błąd. Dużych. Kwantyfikatorów. Damian, powiedz na którym lotnisku hotspoty nie mają włączonego client-isolation i która giełda kryptowalut nie wspiera HTTPS? Jestem skory do eksperymentu. Mogę siedzieć cały dzień na lotniskowym hotspocie i robić przelewy na giełdzie kryptowalut i zobaczymy, czy “znikniesz” mi środki.
    15. Damian każe mi poczytać sobie o NetHunterze, czyli dystrybucji o której premierze pisaliśmy na Niebezpieczniku
    Zaloguj lub Zarejestruj się aby zobaczyć!
    zaraz po jej wypuszczeniu… I zaprasza do siebie, aby mnie nauczyć “hackowania”. Z zaproszenia do zabawy w labie Damiana nie skorzystam, właśnie z powodu tego, co napisałem w pkt. 14 powyżej. Domowy lab to nie rzeczywistość — ta nie jest tak łatwa do “zhackowania”. Natomiast na wyzwanie lotniskowe jestem dalej chętny — Damian, wybierz kod IATA i datę i działamy, kryptowaluta którą mi “ukradniesz” jest Twoja ;)
    16. Damian znów zgadza się ze mną, (w kontekście sum kontrolnych MD5) że przeciętny Kowalski nie powinien być katowany takimi rzeczami. I uważa, że jego błędne merytorycznie stwierdzenie to “uproszczenie”. Oraz, że dla przeciętnej osoby weryfikacja sum kontrolnych jest “prosta”, choć po instrukcji Damiana w wywiadzie i tak nikt nie będzie w stanie przez nią przejść… Damian krytykuje moje poprawne opisanie tego procesu, w ramce, która została dodana po to, aby zobrazować Wam jak powinno to poprawnie wybrzmieć, jeśli ktoś chciałby to poprawnie opisać i że w takim brzmieniu to się nie nadaje dla Kowalskiego. Damian chyba wciąż nie zdaje sobie sprawy z tego, że krytyką tej ramki (“to zbyt skomplikowane!”) popiera właśnie moją tezę…
    17. Damian doprecyzowuje, że jego zachęta do korzystania z płatnych antywirusów była też podyktowana tym, aby dać zarobić ich twórcom. Wow. Każe też porównywać mi skuteczność płatnych i bezpłatnych antywirusów. Odsyłam do artykułów otagowanych jako
    Zaloguj lub Zarejestruj się aby zobaczyć!
    i
    Zaloguj lub Zarejestruj się aby zobaczyć!
    na Niebezpieczniku. Tam w większości załączone są screeny z VirusTotala pokazujące jak ze “świeżymi” kampaniami złośliwego oprogramowania jakie miały miejsce w Polsce radzą sobie wszystkie popularne (darmowe i płatne) antywirusy. Możecie zobaczyć jak wyglądała skuteczność wykrywania próbek przez zarówno darmowe jak i płatne antywirusy w pierwszych chwilach po ataku. A jak potrzebujecie niezależnych testów to polecam
    Zaloguj lub Zarejestruj się aby zobaczyć!
    :
wynik-av-235x250.png



Hej, Damian, co jest na pierwszym miejscu i co oznacza słowo “Free” w nazwie?
18. Damian twierdzi, że opowiadał na pytania Rafała “na spontanie”, że było mu zimno. Padają też słowa:
“najpierw mówię a potem myślę”
Damian stwierdza, że to że wystąpił w 7 metrów pod ziemią, to “wystąpił, o tak, żeby było. Z ciekawości jak to wygląda“… To podejście do programu niestety boleśnie widać w finalnym materiale.
19. Damian uważa, że użycie przeze mnie słowa przestępca w jego kontekście to pomówienie. Czyżby Damian na prawie znał się tak samo jak na niektórych aspektach bezpieczeństwa IT? Chwile wcześniej przyznaje, że jest osobą prawomocnie skazaną wyrokiem sądu. Damian, to niestety jest właśnie definicja przestępcy.
Co jednak ciekawe, chwilę później Damian zaznacza, że “nie jest skazanym przestępcą“. W takim razie to prowadzący Rafał musi kłamać, bo zapowiedział Damiana dokładnie tak:


zapowiedz-7mpz-350x205.png



  • Damian jest hakerem z kilkuletnim doświadczeniem, który za jeden ze swoich ataków został skazany prawomocnym wyrokiem sądu
    Czyżby prowadzący Rafał pomawiał Damiana? Nie wiem który z Panów nie mówi prawdy, ale ktoś na pewno.
    20. Damian źle rozczytuje skrót “vide: opis certyfikatu” odnoszący się do jego wypowiedzi. Interpretuje “vide” jako “video” i opowiada o jakimś nagraniu które rzekomo mieliśmy nagrać, a które wyjaśniało jak działają certyfikaty i było to nagranie branżowe. Nie ma takiego nagrania. Damian go więc nie wiedział. Wspomina nawet o tym, że go nie widział, ale mimo to przez chwilę snuje, że “rozwodziliśmy się tam np. przez 2 godziny, że mieliśmy czas żeby się przygotować”…
    21. Damian przypomina, że 7 metrów pod ziemią nie jest kanałem branżowym. Tak, ja to wiem, dlatego w swoim artykule nie odnoszę się do uproszczeń, a jedynie do błędów merytorocznych i przekłamań jakie popełnił Damian. Formuła programu i grupa docelowa nikomu nie daje prawa aby wygłaszać kłamstwa, FUD czy wręcz szkodliwe porady.
Nikt nie próbuje Cię zdoxować Damian, chill
Damian (zupełnie niesłusznie) obawia się, że PS z artykułu ma służyć do pozyskania jego “zdjęć”, danych osobowych, a ja dążę do ich upublicznienia (lol?). Damian uważa też, że mu tym PS-em “grożę” (lol2) i “próbuję wejść” z butami w jego życie, starając się go zlokalizować, a uśmieszek pod koniec PS został wstawiony, żeby “brzmiało to groźnie“… (lol po raz trzeci …i kolejne ćwiczenia dla Damiana z emotek, oddające mój komentarz do tych insynuacji:
O ile osoba występująca publicznie i wygadująca takie niestworzone rzeczy jak na nagraniu nie powinna się dziwić, że powoduje publiczne reakcje, to zapewniam Damiana, że jego tożsamość ani życie prywatne czy też lokalizacja mnie zupełnie nie interesuje.
Oba z “PS-ów” w artykule dotyczące osoby Damiana miały w chwili ich pisania jeden (osiągnięty właśnie) cel — potwierdzić, że taka osoba jak Damian istnieje i nie jest “podstawionym aktorem”, co sugerowało wielu widzów 7mpz i jednocześnie Czytelników Niebezpiecznika. Jednak każdy uważny Czytelnik po lekturze mojego artykułu potrafi zauważyć, że ja się w artykule z tą tezą nie zgadzam i dochodzę do innych wniosków. Wniosków, które wciąż podtrzymuje po przesłuchaniu godzinnych wyjaśnień Damiana.
Że Damian jest “prawdziwy”, ale jednocześnie bardzo źle dobrany do tego materiału (to wina twórców programu, a nie Damiana). Damian ma jakąś znajomość IT Security, ale jak słusznie się domyślałem — przez stres i brak odpowiedniej wiedzy technicznej w niektórych obszarach — popełnił rażące błędy merytoryczne, co sam teraz przyznaje (sic!). Wiemy już też, że niestety (i to też jest wina twórców programu) Damian nie został przygotowany do odcinka i odpowiadał “na spontanie”, a ponieważ — jak sam Damian wspomniał — “mówi szybciej niż myśli“, to momentami wyszły w tym wywiadzie straszne potworki.
Damian (mam takie wrażenie), część uwag z mojego artykułu skierowanych do samej produkcji programu, (dbania o wiarygodność źródeł), a więc nie jego kompetencji, a twórców 7MPZ, wziął do siebie personalnie — zupełnie niepotrzebnie, bo to przecież nie jego zadania aby się odpowiednio dobrać do programu czy zrobić kontrolę jakości po nagraniu.
Damian ma też pretensje, że się go ocenia po jego wypowiedziach w tym programie. Powinien zrozumieć, że skoro nie pokazał twarzy i przez to nie jest znany inny jego “dorobek”, ludzie będą go oceniali właśnie po tym wywiadzie, bo tylko z niego go znają (oraz teraz znają go z wypowiedzi w tym godzinnym komentarzu i kilku czerstwych żartów, które tam padają :p).
Damianowi życzę jak najlepiej. Serio. Jestem pewien, że jako młodego człowieka, to doświadczenie z wywiadem wiele go “życiowo” nauczyło. Mam nadzieję, że również w zakresie wiedzy technicznej.
Doniesienie do prokuratury złożone
Najlepsze, jak zwykle, zostawiłem na koniec. Damian w materiale stwierdził, że złożył na mnie doniesienie na prokuraturę. No cóż, pozostaje mi zatem czekać — jak już dostanę wezwanie na przesłuchanie, to nie omieszkam się tym z Wami podzielić.
Zwłaszcza (i to jest to najlepsze ;D) że wtedy Damian będzie musiał ujawnić swoje personalia, które tak bardzo chce skrywać, a ja będę mógł je wtedy zgodnie z prawem (!) ujawnić. Chyba Damian podciął gałąź na której chciał siedzieć. I to dwa razy. Bo ja też, gdybym chciał, mógłbym Damiana pozwać, mając do tego (w przeciwieństwie do Damiana) solidne podstawy, gdyż Damian mnie pomówił, nazywając mnie w swojej wypowiedzi “przestępcą”. A ja żadnego wyroku sobie nie przypominam…
Co więcej, mogą być 2 dodatkowe pozwy przeciw Damianowi, bo pomówił on też w swoim materiale administratorów Morele, zarzucając im, że “wchodzili na streamy youtubera i wyzywali go że dostał pieniądze z kradzieży” a także redakcję Niebezpiecznika, która miała “chronić przestępcę”. Co jest wierutną bzdurą. Damian ma chyba jednak szczęście, że mój czas na komentarze jego wyczynów został już znacznie przekroczony i zamiast dalej zajmować się tym łapaniem za słówka, muszę niestety wrócić do mniej zabawnych ale ważniejszych spraw.
Kliknij aby rozwinąć...
 
spamtrash

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4333
Reakcje/Polubienia
5734
Miasto
To tu to tam....
Tu byl sobie post, ale @Kamelka ma pretensje ze jestem "ich ekspertem do wszystkiego". Wiec juz nie ma.
 
Ostatnia edycja:
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

OXYGEN THIEF
Szukam jakiegoś małego urządzenia które pozwala na zamianę mowy na tekst
2
Odpowiedzi
23
Wyświetleń
324
OXYGEN THIEF
OXYGEN THIEF
Zorro
Elon Musk's Neuralink
Odpowiedzi
1
Wyświetleń
98
OXYGEN THIEF
OXYGEN THIEF
I
Houthis knock out underwater cables linking Europe to Asia - report
Odpowiedzi
2
Wyświetleń
94
ImranQ
I
Zorro
3 USB things every Windows user must do right now!
Odpowiedzi
0
Wyświetleń
88
Zorro
Zorro
Zorro
[Top 5] Best Intel 13th Gen Laptops
Odpowiedzi
0
Wyświetleń
74
Zorro
Zorro
Do góry