A fórum közössége nem kíváncsi politikai tartalmú hozzászólásokra, kérjük tartózkodj ezektől, ellenkező esetben szankciókat alkalmazunk.
A topik nem szakmai jellegű, így elhanyagolható mértékű hosszú távú technikai - és szakmai információszolgáltatási készsége miatt csak az utolsó 5000 hozzászólást őrzi meg. Megértésetek köszönjük.
-=ADMIN TEAM=-
Kezdő-, és képet vagy linket beszúrni nem tudó userek számára egy kis használati utasítás képekben:
Streetfire.net video flash url-je: https://www.streetfire.net/vidiac.swf?video=**********
(természetesen a csillagozott részt mindig annak a videó kódjára cseréld ki, amit linkelsz! Valahogy így... )
Reméljük ezek után már több sikerrel jártok!
Ha jól látom az kimaradt a cikkből, hogy csak LA-ben az elmúlt 10 évben nem kevés gyors indítású gáz/olaj tüzelésű kombinált ciklusú erőművet építettek a meglévők mellé/helyett pont a napenergia miatt. Ezeknek a gyors indítású technológia miatt fajlagos beruházási és üzemeltetési költségei magasabbak mint egy sima erőműé.
Én is fennakadtam rajta. Ráadásul kilincs helyett markolászhatod az ajtótokot, vagy az ablakot. Meg a földön villog az index, amit ember nem lát menet közben.
egyszer kaptam kölcsön egy alfa romeot az pont ilyen volt, éjjel, tél, hóesés, pulcsi se volt rajtam majd meg fagytam és próbáltam a zárba életet lehelni..
Elképzelem ahogy egy őszi esős napon legyezek az Audi ajtónak ami baxik kinyílni és akkor megpróbálom a mobilomról de úgy meg valami ismeretlen hibát dob az applikáció és akkor tárcsázom az aszisztanciát akik távolról majd frissítik az ajtónyitó modul vezérlőjének a firmware-t, ami nagyon lassú folyamat lesz mert épp csiga lesz a 4g, aztán frissítem a telefonom az appot, újra párosítom a telefonom az autóval, majd végül kinyitom az ajtót.
Én ezt meg nem várom.
De ezek nem fix traffik. Nálunk 3 ilyen van a listából. Abból 2-ben még sosem láttam traffit. Amelyikbe néha beteszik, azt elfordítják, stb... nem nagyon merik bent hagyni.
Elméletileg az ARH CAM-S1-essel szerelhetők listája itt van:
Cegléd, Kossuth Ferenc utca 7.-9.
Debrecen, Szabó Kálmán utca 20.
Debrecen, Budai Nagy Antal utca 140.
Dunakeszi, 2-es főút 19+170 k.sz.
Farkasgyepü, Petőfi Sándor utca 23.
Fertőhomok, Akác utca 72.
Győr, Bárka u. – Víztükör u. kereszteződés
Hárskút, Szemerei utca 29.
Hegykő, Kossuth Lajos utca 99.
Kapolcs, Kossuth utca 21.
Kaposfüred, Kaposfüredi út 52.
Kaposfüred, Kaposfüredi út 219.
Miskolc, Kiss Ernő út
Nyergesújfalu, Kossuth Lajos út
Pápa, Somlai utca 33.
Pápa, Gyirmóti utca 38.
Pápa, Gróf utca 8.
Siófok, Bajcsy-Zsilinszky út 172.
Szeged, Gábor Áron utca 65.
Szeged, Mátyás tér – Földmíves u. kereszteződés
Szombathely, 84 sz. főút 8451 sz. főút kereszteződés
Zalaegerszeg, Belső elkerülő út
Zalaegerszeg, Alsóerdei Szabadidős- és Ifjúsági Központ
Erre a password filera nagyon rámentél, de ott írtam hogy "mehet" tehát mehet a visszafejtés, a hash miatt. Ezt a részt vágom még 22 évvel ezelőttről.
A többi esetben még mindig nem értem minek a bonyolult jelszó, (mint írtam a wifi jelszó kivételével) mert egyszerűen nem próbálkozással törik fel, hanem ellopással..
Ellopás a böngésző is ahogy a kolléga említette, ott tárolunk mindent, de lehet bármilyen bonyolult jelszavunk ha ellopják..
A jelszóhoz meg usernév páros is kell, ami bonyolítja, például sima telnet logint felejtettem kinn mert ismerős valamit meg akart nézni 1.5 évig. Ugye botok is próbálkoznak percenként 30-40 próba a minimum, a jelszó megdöbbentően komplex, egy "a" betű volt, ez még nem adott lehetőséget a belépéshez mert 3 betűs volt az user neve.
Mezei user esetében a bonyolult megjegyezhetetlen jelszavaknak, és azoknak az ismert módon való tárolása (pl windowsos gépen valami átlagos jelszó kezelő vagy a böngésző jelszó kezelője) nem hiszem hogy extrémebb biztonságot ad, mint egy átlagos bonyoultságú de megjegyezhető és le nem írt jelszó.
Én speciel nem tárolok semmit se a gépen.. Egyszer volt bonyolult jelszavam, de ott kurvasok bitcoint tároltam, nem is tudtam visszafejteni.
Hát alattam egy kis részét már kifejtették, de nehéz lenne elmagyarázni itt mert több 100 oldal kevés lenne ehhez. A hasonlatod sajnos nem igazán jó, mert bent lehet lenni egy szerveren úgy is hogy nem vagy rendszergazda. De ha érdekel akkor a következő irányba érdemes olvasgatni, ami ehhez kapcsolódik-> MITM, directory traversal, lateral movement, sniffing, Credentials Gathering, Pass-the-Hash és még pár dolog. De például nagyon erős hálózati/Webes ismeret kellenek hogy értsd mi hol van, mi honnan hova "tart" és hol lehet "megcsapolni". Lásd ARP scan majd spoofing. A tárház szinte végtelen, mert még nem is érintettük az exploitokat a 0 day sérülékenységeket stb.
hálózaton próbálkoznak ott direkt van késleltetés és próbálkozási limit - nem jó, nem a hálózaton van késleltetés vagy próbálkozási limit, hanem először egy weboldallal találkozol a mostani példa szerint, és ott egy 3rd party app van. Weboldal, alkalmazás stb ami a hálózaton kommunikál.
De ha ellopom a pasword filet akkor benn vagyok a szerveren - nem, anélkül is meg lehet szerezni. Ha például banki accountokra mentünk nagyon szerettük a "session hijacking"et. Még a jelszavad sem kellett így
De ha ellopom a pasword filet akkor benn vagyok a szerveren, ergo MINEK a jelszó - a jelszófileban csak a hashek vannak tárolva nem a jelszavak. ( vannak olyan szar, főleg, kormányzati programok/weboldalak ahol clear textben vannak a jelszavak de ezeket most hagyjuk, mert kb egy 13 éves 1 hetes kurzuson nevelkedett fejlesztő is kiküszöböli ezeket mindenhol máshol) Ezeket kell "visszafejteni", de még azt sem feltétlenül kell mivel az autentikáció során a két hasht "forgatja" össze hogy jó-e.
"vagy az autószerelő akinél ott a kocsim kulccsal el akarná lopni az indító kódot ami nála van felírva egy cetlire" - háát ez a hasonlat sem jó igazán, de ha ennél a vonalnál akarnánk maradni, akkor úgy fogalmaznék, hogy, De, el akarja lopni( visszafejteni) az indító kódot, hogy majd lehessen egy kulcsa amivel tudja használni a kocsidat amikor te nem tudsz róla. Egy cetlire pedig nincs felírva , mert a rendszergazda sem tudja a jelszavakat, mert mint írtam nincs tárolva a jelszó maga csak a hash -e. Mert ha ellopja a kulcsodat akkor te észreveszed hogy hiányzik egy, akkor csináltatsz egy másikat és nem fogja tudja használni késöbb. Pont az a lényeg benne hogy úgy szerezze meg hogy neked nem tűnik fel. Ha szétszedi akkor látni fogod , hogy nem kerek valami és teszel óvintézkedésket. Kicsit (nagyon ) más gondolkozásmód kell ha fehér netalán fekete "kalapot" akarsz húzni. (black hat - white hat )
A jelszavak megfeleltetéséért akár a böngésző is lehet felelős, ezért tudsz belépve maradni egy oldalra, mert a böngésző autentikál téged helyetted. De persze nem tárolhatja a szó szerinti jelszavadat, hanem titkosítja.
Ebből a titkosított formátumból visszafejteni tart a táblázatban taglalt ideig a jelszavadat, az aktuális számítási kapacitások tekintetében (ezért is érdemes rendszeresen változtatni a jelszót). Kérdés persze, hogy hogyan férnek hozzá ahhoz a titkosított formához - de a böngésző cache-éhez már könnyebb, mint a szerver adatbázisához (ez az, amit password file-nak hívtál, amúgy abban is erősen javallott titkosítva tárolni a jelszót. Ha egy weboldal a jelszóemlékeztetőben vissza tudja küldeni az általad beírt jelszót, ott nincs biztonság, mint olyan.)
Ettől függetlenül több megoldás is van a jelszó megfejtésére, pl. a szótárazás, ami az értelmes szavakra megy rá folyamatos próbálkozással, hiába a sok kis-nagy betű meg szám, vagy a számokra kicserélt betű (jelszó: password). Ebbe még a személyes adataidat is bele tudják venni. Meg persze ha az irodában a monitor szélére van ragasztva a postit a jelszóval, annak is hasznát szokták venni
ezt nem értem hogy tudnak ilyen gyorsan jelszót törni ?
Ha hálózaton próbálkoznak ott direkt van késleltetés és próbálkozási limit, ergo az instantly még 5 számjegynél se menne.
Ha ellopják a password filet akkor igen, mehet
De ha ellopom a pasword filet akkor benn vagyok a szerveren, ergo MINEK a jelszó ? Olyan mintha a facebook rendszergazdája el akarná lopni a facebook loginomat, vagy az autószerelő akinél ott a kocsim kulccsal el akarná lopni az indító kódot ami nála van felírva egy cetlire..
Szóval bevallom nem értem ezt a jelszó feltörés dolgot.
-- kivéve Wifi --
Ezek szerint 97 millió év alatt fejtenék meg a szinte mindenhol használt jelszavamat? Jól hagzik, de azért a fejlődéssel arányosan szerintem évente legalább ötmillió évvel csökken
Csak egy kis info még, hogy annyira azért mégsem olyan szép az élet.....
Akik valamit eléggé szeretnének azoknak vannak erre a célra "cracking rig" -jei amiket "békeidőben" bitcoin bányászatra használnak, viszont jó pénzért "bérbe adják". Ezek kb 250 millió billió hash/másodpercel (250 EH/s) döcögnek el. És azóta megjelent az Nvidia 4090-es ami még durvább számításokra képes. Mert ezeket már egy ideje GPU-val csináljuk. Ebben az esetben egy ilyen Rig kombó egy egyszerű Hashcat-el tegyük fel 14 alfanumerikus SHA-256 -os karakterből álló jelszót durván 20 másodperc alatt töri fel. Szóval a lenti táblázat jobb alsó sarkában lévő szám is sokkal-sokkal kisebb. És akkor ez még csak nem is emészt fel sok hekkert mert 1-2 ember némi pénzel megoldja. Ha valaki célpont lesz és komplett "szponzorált" csapatok foglalkoznak vele az ennél rosszabb
Ebben az a szép hogy már régen nem "törjük" a passwordot. Időigényes és hardware igényes , valamint már ez ellen több egyszerű védelem is van. Már csak a kezdők vásárolnak mimikatz szerű toolokat és azzal szenvednek. Akkor van értelme még ha sikerül egy hash-t megszerezni valahogy, de akkor is kell mellé némi OSINT-ot végezni különben az életedet mellette töltöd mire kipörgeti. Sokkal egyszerűbb módon jutunk hozzá , sokszor a user maga adja meg a tudtán kívül
De igen, mindenhol erős jelszavakat kell megadni, hogy a lehető legjobban megnehezítsék a dolgát a próbálkozóknak.