Thứ Tư, 28 tháng 6, 2017

Cơ hội cho những ai biết nắm bắt.


Có những lúc, không có lần sau, không có cơ hội bắt đầu lại.
Có những lúc, bỏ lỡ hiện tại, vĩnh viễn không còn cơ hội nữa.



Hãy nhờ rằng: Tôi luôn luôn cho các bạn cơ hội để lựa chọn.

Concobe

Thứ Hai, 19 tháng 6, 2017

Cục cảnh sát phòng chống tội phạm sử dụng công nghệ cao

TỔNG CỤC CẢNH SÁT
CỤC CẢNH SÁT PHÒNG, CHỐNG TỘI PHẠM SỬ DỤNG CÔNG NGHỆ CAO

Cục Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao thuộc Tổng cục Cảnh sát, có trách nhiệm giúp Tổng Cục trưởng Tổng cục Cảnh sát chỉ đạo, kiểm tra, hướng dẫn lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao trong cả nước, tiến hành các biện pháp phòng ngừa, phát hiện, điều tra, xử lý tội phạm sử dụng công nghệ cao; trực tiếp tiến hành các biện pháp phòng ngừa, phát hiện, đấu tranh chống các hành vi vi phạm và tội phạm sử dụng công nghệ cao theo quy định của pháp luật và của Bộ trưởng Bộ Công an.





Mọi thông tin tố giác tội phạm có liên quan xin gửi về: 
Miền Bắc:
Địa chỉ: Cục Cảnh sát PCTP sử dụng Công nghệ cao, số 47 Phạm Văn Đồng, Cầu Giấy, Hà Nội.
Email: C50@canhsat.vn
Điện thoại: 069.2321161 hoặc 069.2321154
Miền Nam:
Địa chỉ: 258 Nguyễn Trãi, Q I – TPHCM
Điện thoại: 069.37125

Concobe

Thứ Bảy, 3 tháng 6, 2017

Tôi sẽ làm gì khi có được hash pass của bạn?

Đây là chút kinh nghiệm nhỏ trong tổng quan các bước tấn công một victim mà Concobe muốn chia sẻ đến cho các bạn, để phần nào các bạn hiểu được liệu cái thuật toán mã hóa mật khẩu và cái mật khẩu bạn đang sử dụng có thật sự an toàn hay không? Hãy tự mình kiểm nghiệm lại và thay đổi cho thích hợp để hạn chế những rủi ro sau này.

Note: Bài viết này chỉ áp dụng cho phần lớn thói quen của người dùng bình thường, còn các chuyên gia, các bạn khác người có thể bỏ qua.



Bỏ qua các bước tận dụng lỗ hổng, hack hiếc,...và bằng cách nào đó tôi có được cái hash là bản mã hóa của mật khẩu các bạn đang sài, câu hỏi bây giờ là.Tôi sẽ làm gì với cái hash đó để có được mật khẩu dạng rõ của bạn?

Bước 1: Đầu tiên là tôi sẽ thu gom tất tần tật những thông tin gì có liên quan đến bạn, đó là điều hiển nhiên và bắt buộc nếu tôi muốn tấn công bạn, những thông tin mà tôi sẽ chú trọng thu gom sẽ bao gồm:

1. Ngày tháng năm sinh, của bạn, vợ bạn, cha mẹ, con cái của bạn,...ngày tháng năm sinh của họ hàng gần gũi nhất với bạn.
2. Họ và tên đầy đủ của bạn, vợ bạn, cha mẹ, con cái của bạn,...của những ai là họ hàng gần gũi nhất với bạn.
3. Tên nickname của bạn và mọi người gần gũi với bạn, kể cả những tên lóng, tên gọi ở nhà,... Miễn là bạn public nó và tôi thu gom được là tôi gom sạch.
3. Số điện thoại và toàn bộ email cũng tương tự.
4. Địa chỉ nhà tôi cũng không tha nếu tôi tìm thấy nó.
5. Gom thông tin của bạn ở nhưng trang web mà bạn đã tham gia, biết đâu tôi lại tìm được thói quen của bạn thì sao :D
6. Nếu bạn có website riêng thì ngay cả cái domain của bạn tôi cũng đưa vào danh sách luôn.
7. ...Tóm lại là tôi thấy cái gì tôi sẽ gom cái đó, không từ thông tin nào mô tả hay liên quan về các bạn cả, thấy tui ghê chưa?

Bước 2:
Tôi bắt đầu xử lý hết những thông tin đã thu gom ở bước một và lọc ra những từ khóa mà tôi tự đánh giá là có khả năng trở thành một thành phần trong chuỗi mật khẩu của các bạn.
Vd:

- Nhiều bạn hay dùng ngày tháng năm sinh để làm mật khẩu lắm nè.
- Rất nhiều bạn dùng kết hợp ngày tháng năm sinh của bản thân với người yêu, vợ, con,...
- Cũng kha khá người dùng tên nickname làm mật khẩu luôn, cũng có bạn kết hợp nickname và ngày, tháng, năm sinh.
- Số điện thoại thì khỏi nói luôn, nhiều vô số kể, và kết hợp 3,4 số cuối với tên thật, nickname, email để làm mật khẩu cũng không ngoại lệ.
- Có bạn chơi luôn địa chỉ cty, địa chỉ nhà với tên đường làm mật khẩu luôn mới kinh chứ.
- Hoặc đơn giản là cái địa chỉ email, hay cái tên miền website các bạn đang sở hữu kèm theo vài biến tấu cũng rất được nhiều người ưa chuộng.
- ...Đó là đơn cử một vài những thông tin mà tôi thường chú trọng sàng lọc, rút gọn để xử lý trước.


Bước 3:
Giờ tôi sẽ bắt đầu dùng những công cụ hỗ trợ để tạo ra một cái từ điển từ chính những thông tin mà tôi sàng lọc ở bước thứ 2, kết quả sẽ là một bộ từ điển tổng hợp, kết hợp mọi tình huống, mọi trường hợp có thể có từ những từ khóa đó, kể cả những kết quả sinh ra dường như là vô nghĩa luôn.Có được cái từ điển tổng hợp này rồi thì tôi sẽ bắt đầu chuyển qua bước thứ 4.

Bước 4:
Dùng công cụ brute force và bắt đầu thử dò trên cái từ điển đã tạo ra ở bước thứ 3, lúc này chỉ là một bộ từ điển thuần khiết mà thôi một sự kết hợp của các thông tin liên quan.Khoảng 50% theo kinh nghiệm của tôi thì tới đây là tôi có thể dùng cuộc chơi được rồi, vì theo thói quen thì đa số những mật khẩu họ sài đều có trong bộ từ điển này cả.

Trừ những ai có chút cẩn thận thì họ có thể viết hoa, viết thường, thêm vài ký tự đặc biệt vào cuối mật khẩu,...đến lúc này thì sẽ khó khăn và kéo dài thời gian brute-force hơn chút xíu nhưng không sao, các công cụ đã có hỗ trợ rất tốt các vấn đề này rồi, quan trọng là bạn có chịu chơi tiếp hay không thôi :D Còn tôi thì vẫn tiếp tục chơi thêm vài trường hợp như trên, tầm khoảng 30% sẽ rụng nụ ở bước này, tức là mật khẩu của họ có kết hợp giữa các thông tin ở bước số 2 nằm trong bộ từ điển đã có ở bước số 3 kết hợp với một số thói quen tốt như viết hoa vài ký tự trong chuỗi mật khẩu, thêm vào đầu, cuối vài ký tự đặc biệt,...

Nếu qua bước này mà tôi vẫn chưa ra được mật khẩu của các bạn thì tôi sẽ trở về bước 2 để gom thêm những thông tin đã không dùng ở lần 1 vì biết đâu tôi còn thiếu chút gì đó trong đó thì sao, nếu như vẫn không thành công thì tôi sẽ xem bạn là người cẩn thận và tùy theo ngữ cảnh, nếu bạn không quan trọng thì tôi bỏ qua bạn.Còn nếu bạn quá quan trọng với tôi lúc này thì tôi sẽ phải bỏ tiền ra để nhờ những người chuyên bán dịch vụ này ở nước ngoài để họ dùng những phần cứng chuyên dụng hơn và tất nhiên thì có tiền có thể giải quyết được gần như tất cả. Đó là kinh nghiệm của tôi đấy.

Tóm lại là nếu bạn có thói quen dùng những thông tin gần gũi với bạn để làm mật khẩu mà không có biến tấu hay xào nấu gì thêm thì các bạn nên đổi lại mật khẩu mới cho an toàn.Một vài gợi ý cho việc đặt mật khẩu mà tôi đã dịch lại trước đây dựa vào những lời khuyên của các chuyên gia bảo mật của Google ở bài viết này: "Cách tạo mật khẩu mạnh cho tài khoản trên mạng."
link: http://concobexgr.blogspot.com/2016/08/cach-tao-mat-khau-manh-cho-tai-khoan.html

Phần mềm tôi hay sử dụng gồm:

1. Phần mềm tạo wordlist như crunch rất có tiếng trong giới hack pass wifi :D. Vì nhu cầu cá nhân nên tôi có sài một cái soft riêng của tôi.
2. Phần mềm để brute-force hash tôi hay dùng là hashcat (rất nổi tiếng, hỗ trợ đa nền tảng), passwordpro (đã ngừng hỗ trợ), hash manager, John the Ripper,...


Concobe

Cyberpanel và những lỗ hổng bảo mật đã fix.

Tầm đầu tháng 1/2019 mình thấy đi group nào chuyên về thiết kế website, bán hosting,...Của facebook cũng có những comment khuyên nhau sử dụn...