Archive | April 2010

Начини на pen-testing…


Постојат повеќе начини на тестирање и тоа:

1. White box

  • Пен-тестерот има информации за мрежата која ја тестира (внатрешна или оддалечена).
  • Видови на мрежни уреди(Cisco, TCP/IP).
  • Инфромации за Web сервер што се користи (UNIX/APACHE).
  • Верзија на оперативен систем.(LINUX/Windows).
  • Платформа на база на податоци(Oracle, MS SQL).
  • Load balancers
  • Firewalls
  • Т.е симулација во која што напаѓачот/тестерот има детални информации за средината која што ја тестира.

2. Black box

  • Пен-тестерот нема претходни информации за за мрежата која ја тестира/напаѓа.
  • Само името на компанијата и IP адресата се познати.
  • Претставува симулација на real world хакирање којшто нема претходно информации(верзијата на оперативниот систем,апликациите коишто ги користат, видови на уреди и мрежни топологии кои се имплементирани и тн.)за remote network environment.(за оддалечената мрежна средина).
Advertisements

Што претставува Social Engineering (Социјално Инжињерство)?


Социјално Инжињерство претставува искористување и напаѓање на човековиот фактор кој е од психички карактер, кој се извршува преку разни комуникациски измами и лаги преку телефон, електронска пошта, програми за интернет комуникација (одредени програми како IRC ,Skype, MSN и ин.), користејќи ја наивноста на луѓето и нивната доверба со цел добивање на значајни податоци и информации како password(лозинка), корисничко име(User ID), матичен број(Social serial number – SSN) , број на кредитна картичка и разни други информации.

Што всушност претставува Penetration testing?(пенетрациско тестирање)


Пенетрациско тестирање е метод нa нарушување на безбедноста на еден компјутерски систем или мрежа и претставува симулација на напад со малициозен карактер којшто е извршен од страна на некој Black hat хакер или кракер. Процесот вклучува активна анализа за системот и детектирање на потенцијални vulnerabilities (пропусти/дефекти) којшто се резултат на слабата или несоодветната системска конфигурација. Оваа анализа се извршува од страна на потенцијалниот напаѓач којшто извршувајќи активна експлатација на системот т.е дефектите на системот. Секој безбедносен пропуст што се открива од страна на “pen-тестерот” и се пријавуваат кај сопственикот којшто е одговорен за управување и одржување на системот со цел да се спречи и обезбеди системот малициозни напади.

Запознавање со некои основни концепти во Комјутерската Безбедност.


Пред да започнеме да се запознаваме со архитектура на Metasploit работната околина, напрвин ќе “дефинираме” некои термини кои често ќе ги користиме при изучувањето:

  • Vulnerability

Во компјутерската безбедност овој термин се дефинира како пропуст или дефект во системските процедури, дизајн или имплементација која што може да биде извршена (несвесно или експлатирана од страна на корисникот ) и како резултат на тоа може да дојде до оштетување на системот или на одредена активност.

  • Exploit

Во компјутерската безбедност овој термин може да се дефинира како парче софтвер којшто преку одреден пропуст(слабост,ранливост) на системот му овозможува пристап на напаѓачот(ескалација на привилегиите) или Denial Of Service на самиот тој систем.

  • Overflow

Во компјутерската безбедност овој термин се дефинира како грешка на програмата кога се обидува да смести што повеќе податоци во меморискиот простор за привремено сместување податоци којшто доведува до менување на текот на извршување на програмата.

  • Payload

Во компјутерската безбедност овој термин се дефинира како товариште т.е како програмски код од неколку бајти што се носи или што се транспортира заедно со exploit-от до целта каде што треба да се изврши.

Hello World OwnageZone


Пошо оваа е првиот пост, ќе ви објаснам што претставува и којаа е целта на овој блог(се надевам дека ќе порасни во страна).

Целта на Ownage Zone страната/блогот е запознавање со комјутерската безбедност којашто сметам дека малце луѓе од нашава држава воопшто се запознаени со тоа што претставува и која е целта на компјутерската безбедност. Напоредно со претставување на концептите на компјутерската безбедност ќе ви претставам и интересни теми и содржини од компјутерски мрежи, криптографија, програмирање,алгоритми и тн. 🙂

Користејќи ги Linux оперативните системи како:Fedora и BackTrack 4 и оперативниост систем на Microsoft(Xp) ќе ви симулирам начини на користење на Metasploit и типови на exploits коишто се користат.