Šifry, kódy a hashovací funkce (1.část)

Příspěvek volně navazuje na předchozí díly útoků na hesla, často se totiž setkáme s obrazy hesel, které vznikly za pomocí hashovacích funkce nebo šifry. V tomto příspěvku se seznámíme s terminologií a hashovacími funkcemi MD5 a SHA-1. Základní pojmy Šifra Šifra je kryptografický algoritmus, který vezme prostý text a převede jej na nečitelný šifrovaný text. …

Jak se skládají mozaiky

Jako vánoční dárek jsme od Petra Diblíka obdrželi mozaiku loga hacking kurzů Hackerlab. Mozaiky poutají pozornost a působí uměleckým dojmem. Mně osobně připomínají grafiku z éry 8 a 16 bitových počítačů, kde byl vidět každý pixel, což ve mně vyvolává určitou nostalgii. Rozhovor s Petrem Diblíkem Požádali jsme Petra, autora webu Mozaikář.cz, aby nám blíže…

Dostupné slovníky s hesly

V minulém příspěvku Úvod do hádání hesel jsme rozlišovali uživatelské, aplikační a systémové účty. Dnes prozkoumáme jejich dostupné slovníky. Slovníky uživatelských hesel Slovníky s hesly uživatelů vycházejí z historických dat nejčetnějších hesel nebo se jedná o slovníky zaměřené na jazyk, profesi, žánr a další oblasti. Projekt OWASP SecLists agreguje různé slovníky, které jsou užitečné při…

Generujeme slovník nástrojem Crunch

V minulém příspěvku jsme prošli úvodem do hádání hesel, dnes se budeme zabývat konstrukcí slovníku použitím nástroje Crunch. Crunch Nástroj Crunch generuje slovníky na základě určené abecedy a délky slov. Crunch nalezneme předinstalovaný v linuxové distribuci Kali nebo si jej můžete stáhnout na jeho domovské stránce (Crunch). V době psaní tohoto příspěvku je Crunch dostupný…

Úvod do hádání hesel

Hesla a uživatelské účty používáme denně ke své autentizaci a identifikaci do různých aplikací. Než se pustíme do popisu jednotlivých útoků, podívejme se nejdříve, jak aplikace obecně řídí přístup ke svým prostředkům, jaké typy účtů můžeme v aplikacích najít a co je to politika hesel. Řízení přístupu a důvěrnost dat Správné úživatelské jméno a heslo…

Sociální inženýrství

Pravděpodobně jste již někdy četli nějakou knihu o sociálním inženýrství (Social Engineering), které využívá slabiny v lidském chování. Pokud Vás toto téma úplně minulo a máte rádi odlehčené filmy o hackingu, zkoukněte nejdříve snímek Podfukáři (Sneakers). Pomocí sociálního inženýrství lze získat přístup k informacím nebo k systémům bez nutnosti útočit na technické prostředky a mít…

Detekce počítače na síti

Použití Dnes si ukážeme manuální metodu, jak detekovat, že je určitý počítač na síti živý, tzv. online. Tato informace se hodí síťovým administrátorům i etickým hackerům, protože řada síťových skenerů právě provádí nejdříve tuto detekci, tzv. host discovery, pokud chtějí sbírají další informace o systému. Pokročilejší detekce počítačů na síti si můžete vyzkoušet v našem…

Detekce systému s rozložením zátěže – TCP/IP balancing

Dnes si ukážeme, jak detekovat, že na cílovém systému dochází k balancování zátěže. Balancování síťového toku nebo přístupu k aplikaci děláme z výkonových důvodu, kdy počet přístupů uživatelů přesahuje technické možnosti HW/SW jednoho stroje. Případně dimenzujeme aplikaci na větší zátěž nebo se jedná o strategii vysoké dostupnosti. Zjednodušeně můžeme říci, že taková balancovaná aplikace je…

Firewallking

Firewalking je technika, která umožňuje sbírat informace o pravidlech firewallu, případně o otevřených portech systému za firewallem. Představte si situaci, kdy znáte počet přeskoků mezi Vámi a firewallem. Pak postupně vytváříte IP pakety s TTL o jedna větší, než je zjištěný počet přeskoků a adresujete systémy za firewallem pomocí zvolených portů. Firewall IP paket buď…