비디오: 🏃💨 Subway Surfers - Official Launch Trailer (십월 2024)
같은 장소에 많은 해커들과 다른 보안을 염두에 둔 사람들을 얻으십시오. 좋은 성격의 경쟁과 해킹은 불가피합니다.
지난주 카스퍼 스키 랩 보안 분석가 서밋은 흥미로운 세션으로 가득 차 있었고 정보 보안에 대한 최고의 사람들이 참석했지만 그게 전부가 아닙니다. 참석자들은 또한 "Crypto-challenge"에서 경쟁하여 해킹 기술을 사용하여 일련의 퍼즐을 풀 수 있습니다. 나는 도전을 마친 소수에 속했고, 그 과정에서 암호화, 난독 화 및 리버스 엔지니어링에 대해 조금 더 배웠습니다.
무엇보다도 해킹은 퍼즐을 푸는 것과 같다는 것을 알게되었습니다. 당신은 "이것 하나만 시도하자"고 생각하고 그것을 얻을 때 정말 흥분되는 느낌을 계속합니다.
암호가 열쇠를 쥐다
핵심은 암호화는 비밀을 모르는 사람에게는 횡설수설처럼 메시지를 작성하고 작성하는 것입니다. 돼지 라틴어와 조금 비슷합니다. 언어의 규칙을 모른다면 "ellohay"의 의미를 모릅니다. "hello"가 "ifmmp"가 될 때까지 문자를 다음 문자로 바꾸는 것과 같이 일부 암호는 매우 간단합니다. 따라서 a는 b가되고 b는 c가됩니다. 다른 것들은 훨씬 수학적으로 복잡하며 신용 카드 번호와 비밀번호 자격 증명을 보호하는 데 사용됩니다.
각 정상 회담 참석자는 등록시 암호 해독에 관한 서신을 받았습니다. 결국 말은 이해가되지 않았지만 친숙한 형식을 가진 일련의 문자였습니다. "vhhd: //"로 시작하고 그 뒤에 문자 그룹이 마침표 (.)로 구분 된 것은 분명히 웹 사이트의 URL이었습니다. 처음 몇 글자가 "http: //"라는 것을 깨달았을 때, 이것이 대중적인 (그리고 엄청나게 약한) 암호 인 ROT13이라는 것을 알았습니다. 이것은 각 글자를 나중에 알파벳에서 13 자리가되는 것으로 바 꾸었습니다. 웹에는 수많은 ROT13 디코더가 있으므로 URL을 수동으로 처리 할 필요가 없습니다.
난독 화 된 자바 스크립트, 오 마이
이미지와 환영 메시지가 표시된 결과 페이지는 지루했습니다. 페이지의 소스는 아무것도 아니 었습니다. <script type = "text \ javascript"> 태그로 묶인 더 횡설수설적인 선과 선이었습니다. 아, 난독 화 된 자바 스크립트.
난독 화는 악의적 인 코더가 사람이 코드를 쉽게 읽을 수없는 방식으로 공격 코드를 작성하는 데 일반적으로 사용되는 기술입니다. 암호와는 다르기 때문에 비밀이 아니라 읽기 어려운 코드를 생성하기 위해 복잡한 프로그래밍 방법에 의존합니다. 결과 코드는 사람이 읽을 수 없지만 기계를 이해하고 실행하는 데 아무런 문제가 없습니다.
ROT13의 경우와 마찬가지로, 난독 처리 된 Javascript를 수동으로 구문 분석 할 필요가 없었습니다. 대신 Chrome 웹 브라우저에 내장되어 있고 각 페이지 요소를 단계별로 실행하는 DOM 관리자를 사용했습니다. 이미지를 표시하는 코드와 횡설수설 안에 숨겨진 환영 메시지와 다음 단서를 포함하는 주석 처리 된 코드 줄을 볼 수 있습니다.
난독 화는 Javascript에만 국한되지 않습니다. 그 못생긴 코드가 무엇을 말하려고하는지 알아 내기 위해 Perl 스크립트를 편집해야했습니다.
보스처럼 리버스 엔지니어링
어느 시점에서, 나는 카스퍼 스키 안티 바이러스로 스캔 한 실행 파일을 다운로드했는데 사용자 이름과 암호를 입력하라는 메시지가 표시되었습니다. 그 실행 파일을 리버스 엔지니어링 할 때가되었습니다.
텍스트가 아닌 파일의 내용을 인쇄하는 명령 줄 Linux 도구 인 strings 와 파일이 실행될 때 파일 내부에서 무슨 일이 일어나고 있는지 확인할 수있는 디버거 인 gdb를 사용할 수 있기 때문에 Linux 랩톱에서 작업하는 것이 도움이되었습니다…d64 파일을 다운로드 할 때 문자열 은 나중에 도전에서 편리했습니다. 파일을 실행하기 위해 Commodore 64 에뮬레이터 (챌린지의 주최자가 의도 한대로)를 다운로드 할 수 있었지만 다음에 어디로 갈지 알아 내기 위해 문자열 을 실행했습니다.
나는 사진 속에 비밀 메시지를 포함시키는 것에 대해 들었지만, 그런 이미지에 직면했을 때, 나는 처음에 충격을 받았다. 그런 다음 이미지에 레이어가 있다는 것을 기억했으며 공격자는 보이는 레이어를 방해하지 않고 다른 레이어에 정보를 포함 할 수 있습니다. Linux에서 실행되는 Adobe Photoshop과 유사한 오픈 소스 도구 인 GIMP의 각 계층을 살펴볼 수있었습니다. 대신 string을 통해 이미지를 실행하여 이미지에 숨겨진 모든 텍스트를 추출했습니다. 그것은 다목적이며 편리한 명령입니다.
비밀번호 정보
챌린지의 몇 가지 단계에서 유효한 비밀번호를 입력하라는 메시지가 표시되었습니다. "비밀번호"는 나오지 않았지만, 올바른 단어를 발견 할 때까지 회의와 게임과 관련이있는 단어를 무작위로 입력 한 경우가 적어도 한 번있었습니다. 한 단계에서 소문자 / 대문자로 넘어 졌으므로 가능한 모든 조합 목록을 생성하고 진행했습니다.
피해자에 대한 정보를 가지고있는 공격자는 올바른 암호를 쉽게 추측하거나 가능한 단어 목록을 통해 바로 실행할 수 있습니다. 나는 "나는 당신을 현명하게 할 것"이라고 중얼 거렸다. 그리고 그것을 알아 차렸을 때, 나는 "HA! 알았다!"
그냥 퍼즐 풀기
문자열 과 gdb를 제외하고 도전 과제의 모든 단일 요소는 매우 간단하거나 Google 검색으로 배울 수있는 것에 달려 있습니다. 모든 해킹이 이처럼 간단한 것은 아니지만 기술이 서로 쌓여 있다는 것을 이해하는 것이 중요합니다. 시작하려면 약간의 호기심과 인내 할 의지가 필요합니다.
사람들이 시스템에 침입하거나 온라인으로 캠페인을 시작하여 재미를 보거나 할 수 있다는 사실에 대해 들었습니다. 해커를 해킹하는 것은 어려운 퍼즐을 푸는 데 도움이되는 애매한 아드레날린입니다.
