Перейти к содержанию

Попробуй взломай!


METRIK

Рекомендуемые сообщения

Здравствуйте уважаемые форумчане!

Прошу Вас попытаться взломать способ защиты, который как мне представляется взломать невозможно. 

Схема представлена на концептуальном уровне. Это принципиальная схема использования известных аппаратных и программных средств, обеспечивающая, на мой взгляд, полную неуязвимость перед угрозами современного IT-мира.

По уровню своей компетентности, каждый сам определяет сложность аппаратных и программных средств, которое может использоваться в данной технологии защиты, и также её взлома.

В прикреплённом архиве находится описание технологии, достаточное для понимания человеком, которому не чужд IT-мир.

Также архив расположен  у меня Вконтакте на стене. В моём блоге есть связь с Вконтакте.

 

 

Технология.rar

Ссылка на комментарий
Поделиться на другие сайты

 

 


Схема представлена на концептуальном уровне.

 

В этом то и проблема. 

Предоставте рабочий прототип с которым можно будет работать - а желающие ломать найдутся.

  • Согласен 6
Ссылка на комментарий
Поделиться на другие сайты

Господа! Я рассчитываю на Вашу серьёзность.

Защита представлена на концептуальном уровне. На этом же уровне я предлагаю её взломать. Я прошу это, чтобы удостовериться в её надежности, либо выявить брешь.

Т.е на каком этапе загрузки можно внедрить вредоносный код? Либо как сделать закладку вредоносного ПО? Как можно и какое аппарантное обеспечение применить чтобы например сделать несанкционированную копию видеофильма? В общем - найти любую брешь.

В общем, кто ознакомился и соображает - прошу написать ответ всерьёз.

Если ознакомились и компетенции (знаний) не хватает чтобы сделать ясный вывод (можно взломать или нет) то так и напишите - не знаю как. Такой ответ тоже уважаю.

Если знаний хватает (и самоуважения) чтобы признать что взломать не можете - то такой ответ уважается разумеется еще больше.

А уж если кто представит ясную схему взлома - ну тут уж я зааплодирую!

Изменено пользователем METRIK
Ссылка на комментарий
Поделиться на другие сайты

 

 


Защита представлена на концептуальном уровне. На этом же уровне я предлагаю её взломать
Это как??? представил себе что я взломал?

Извините, но думаю вас не устроит сообщения начинающиеся со слов "Я тут представил, что я вас взломал"

 

И еще одно вы кажется смотрите не в ту сторону

1. Смотрите у вас на сервере для каждого пользователя хранится отдельная копия каждого фильма зашифрованного его ключем, так?

А теперь попытайтесь рассчитать место необходимое для его хранения из расчета 1000 пользователей на 1000 фильмов, исходя из размера 1 фильма в 1 Гб, согласитесь это очень и очень малые предположения, а вот места выходит крайне много

Динамическое зашифровывание "на лету" думаю будет тоже достаточно трудоемким процессом...

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

Не, ну ладно. 

Давайте тогда концептуально представим что мозговой штурм не дал ровным счетом ничего и мы концептуально признали что вашу концептуальную защиту взломать концептуально невозможно.

Итак, что дальше? 

Уверен, дальше патента дело не уйдет.

Изменено пользователем SLASH_id
  • Улыбнуло 3
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

 

Защита представлена на концептуальном уровне. На этом же уровне я предлагаю её взломать

Часто самые безупречные с точки зрения специалистов защищенные системы убиваются тупыми паролями и "неожиданными" местами их хранения )))

  • Улыбнуло 4
Ссылка на комментарий
Поделиться на другие сайты

@lammer, Но еще чаще на самых безупречных с точки зрения специалистов защищенных системах практически невозможно продуктивно работать человеку.

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

 

Защита представлена на концептуальном уровне. На этом же уровне я предлагаю её взломать

Это как? представил себе что я взломал?

Извините, но думаю вас не устроит сообщения начинающиеся со слов "Я тут представил, что я вас взломал"

 

И еще одно вы кажется смотрите не в ту сторону

1. Смотрите у вас на сервере для каждого пользователя хранится отдельная копия каждого фильма зашифрованного его ключем, так?

А теперь попытайтесь рассчитать место необходимое для его хранения из расчета 1000 пользователей на 1000 фильмов, исходя из размера 1 фильма в 1 Гб, согласитесь это очень и очень малые предположения, а вот места выходит крайне много

Динамическое зашифровывание "на лету" думаю будет тоже достаточно трудоемким процессом...

 

Вы неверно поняли. На сервере хранятся копии фильмов в единственном экземпляре. Когда любой пользователь посылает запрос, его ключ идентифицируется по открытому номеру. На сервере хранится информация о ключе. Тут же происходит зашифровка фильма под этот ключ и зашифрованный массив отправляется.

P.S. Я рад Вашему ответу. Меня вполне устраивает такое живое общение. Если человек чего то не сразу понял, это ни о чем не говорит. Логика технологии нова, если бы она была легко вписываема в этот мир, она была бы уже давно осуществлена. Ведь не применяется ничего принципиально нового!

Предоставьте сначала рабочий прототип с которым можно работать. 

Сам по себе способ и есть прототип. Это комплекс организационно-технических мер. Логика комплекса и есть устройство. Изготовить процессор с заданными свойствами не сложно. Изготовить аппаратный электронный ключ с заданными свойствами не сложно. Изготовить сервер с заданными свойствами не сложно. Изготовить сетевую карту с заданными свойствами не сложно. Написать ПО работающее с этими аппаратными средствами возможно. Соединить всё выше перечисленное в схему способа можно.

Теперь надо это на логическом уровне взломать. Например программисты разрабатывают ПО по защите информации. Они ведь думают о том, как поведёт себя взломщик, какие методы и средства он будет применять. Так же и здесь, надо подумать каким методом взломщик сможет взломать результат этого комплекса организационно-технических мер.

Ссылка на комментарий
Поделиться на другие сайты

 

 


Тут же происходит зашифровка фильма под этот ключ и зашифрованный массив отправляется.
Но в любом случае

1. Временно зашифрованный файл хранится на сервере

2. Процесс шифрования все таки немного ресурсоемок, а при параллельном шифровании очень долог, т.е. может наступать такой момент (например при выходе фильма из категории "Все ждут его" что очередь на шифровку будет очень велика, и соответсвенно будет дикий рост занятого места, а чем больше рост загрузки тем соответсвенно медленнее будет все шифроваться, т..е. рост нагрузки будет прямым, самоподдерживающимся)

 

Конечно можно решить кластером серверов, но уж что-то мне кажется что цены при этом будут не очень привлекательными или все будет происходить не столь шустро... как в том анекдоте

- быстро, дешево, качественно - выбирайте любых 2 пункта

 

 

 


Логика технологии нова, если бы она была легко вписываема в этот мир,
В том то и дело, что люди одной со мной профессии, а именно сисадмины постоянно сталкиваются на серверах с такой ситуацией... Хочется иметь и дофига места, и шустро что бы работало, и шоб генерального директора инфаркт не хватил от расценок на то железо
  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

Теперь надо это на логическом уровне взломать.

 

Я взломщик. Я тупо сопру ваш аппаратный ключ. Или сдамплю его и сэмулирую.

Изменено пользователем SLASH_id
  • Улыбнуло 3
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • lslx
      От lslx
      Взломали Сервер server2012R2 шифровальщик ooo4ps
      часть файлов зашифровано ,но больше беспокоит что два диска зашифрованы битлокером
    • KL FC Bot
      От KL FC Bot
      Угон аккаунтов в Telegram сегодня превратился в настоящий бизнес. Мошенники не только самыми изощренными методами крадут доступы к учетным записям, но и используют их для атаки на других пользователей с помощью дипфейков, социального инжиниринга и других методов. Обычно это работает так. Украв один аккаунт, злоумышленники начинают рассылать с него по всем контактам фишинговые сообщения с текстами вроде: «Привет, мне тут срочно деньги нужны, поможешь?», «Проголосуй за меня, пожалуйста, если не сложно» или «Вам отправили подарок – подписка Телеграм Премиум сроком на 1 год», чтобы угнать еще больше аккаунтов. Есть и более изощренные схемы, манипулирующие эмоциями людей – например, предложение о бесплатной фотосессии от якобы «начинающего фотографа, которому нужно наработать портфолио».
      В подобных сообщениях всегда есть фишинговые ссылки, зачастую выглядящие совершенно легитимно — например, как https://t.me/premium — но выводящие на сайты мошенников. Перейдя по ним и выполнив предложенные злоумышленниками действия, вы с большой долей вероятности лишитесь своего аккаунта в Telegram, а все ваши контакты окажутся под угрозой мошеннических рассылок уже от вашего имени.
      Помимо этого, угнанные или поддельные аккаунты могут использоваться не только для массовых фишинговых рассылок, но и для сложных таргетированных атак, порой с использованием дипфейков, направленных на сотрудников разнообразных компаний. Возможно, вы уже сталкивались с сообщениями от якобы «руководства компании» с обращением по имени-отчеству, рассказами о неких проверках компании со стороны государственных органов и требованиями в обстановке полнейшей секретности немедленно предоставить какие-либо данные или просьбой помочь компании деньгами с последующей компенсацией. Все это — фейки.
      При этом настоящий владелец аккаунта в Telegram может поначалу даже не подозревать, что он взломан, продолжать переписываться с друзьями, читать любимые каналы и думать, что по-прежнему не интересен мошенникам. Как такое вообще возможно? Telegram позволяет использовать один и тот же аккаунт с разных устройств, и, выманив у вас доступ к вашему аккаунту, мошенники открывают еще один сеанс на своем устройстве, не закрывая ваши активные сеансы. Затем они начинают переписку с вашими контактами, тут же удаляя отправленные от вашего лица сообщения в режиме «Удалить только у меня». При этом получатели эти сообщения видят, а вы — нет.
      Как показывает практика, мошенникам интересны все — даже самые обычные пользователи Telegram. Поэтому в этом материале мы ответим на два главных вопроса: как понять, что аккаунт в Telegram взломали, и что делать, если ваш аккаунт в Telegram взломан?
      Как понять, что ваш аккаунт в Telegram взломали
      Если хотя бы один пункт из списка ниже относится к вам – скорее всего, ваш аккаунт взломан.
      У вас внезапно поменялись никнейм или аватарка, а вы этого не делали. Вы участвовали в подозрительных конкурсах, розыгрышах или голосованиях. Вы переходили по ссылкам из сообщений в Telegram и вводили данные своей учетки – номер телефона, код подтверждения и пароль. Вы случайно заметили в любой переписке появившееся от вашего имени сообщение, которое тут же было удалено. Ваши друзья пишут, что с вашего аккаунта приходят странные сообщения, а вы их не видите. Вам пришел код подтверждения для входа на новом устройстве. Теперь обо всем по порядку.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Когда долго работаешь в индустрии кибербезопасности, то начинает казаться, что тебя уже сложно удивить каким-нибудь очередным взломом. Видеоняня? Взламывали. Автомобиль? Взламывали и неоднократно — самые разные модели. Да что там автомобили, уже и до автомоек добирались. Игрушечные роботы, кормушки для животных, пульты ДУ… А как насчет аквариума для рыбок? И такое было.
      Но что с велосипедами? А вот их еще не ломали — до недавнего момента. В середине августа 2024 года исследователи опубликовали научную работу, в которой они описывают успешную кибератаку на велосипед. Если точнее, то на беспроводную систему переключения скоростей велосипеда с технологией Shimano Di2.
      Электронные переключатели скоростей: Shimano Di2 и не только
      Стоит сделать несколько пояснений для тех, кто не очень разбирается в велосипедах и новейших трендах в велотехнологиях. Начнем с того, что японская компания Shimano — это крупнейший в мире производитель ключевых компонентов для велосипедов, таких как трансмиссии, тормозные системы и так далее. В первую очередь Shimano специализируется на традиционном механическом оборудовании, однако уже достаточно давно — еще с 2001 года — компания экспериментирует с переходом на электронику.
      Классические системы переключения скоростей в велосипедах полагались на тросики, которые физически соединяют переключатели с ручками переключения (манетками) на руле. В электронных системах такой физической связи нет: манетка отправляет переключателю команду, а тот меняет передачу с помощью небольшого электромоторчика.
      Электронные системы переключения передач в велосипедах бывают и проводными — в этом случае между манеткой и переключателем вместо тросика протянут провод, по которому передаются команды. Но в последнее время стало модным использование беспроводных систем, в которых манетка отправляет команды переключателю в виде радиосигнала.
      На данный момент электронные системы переключения скоростей Shimano Di2 доминируют в более дорогой и профессиональной части продуктовой линейки японской компании. То же происходит и в модельных рядах главных конкурентов производителя — американской SRAM (которая представила беспроводные переключатели передач первой) и итальянской Campagnolo.
      Иными словами, значительную часть дорожных, гравийных и горных велосипедов верхнего ценового диапазона уже некоторое время оснащают электронными переключателями передач — и все чаще это именно беспроводные системы.
      В случае Shimano Di2 беспроводная система на самом деле не такая уж беспроводная: проводов внутри рамы велосипеда все равно остается немало: A и B — провода от аккумулятора к переднему и заднему переключателям скоростей, соответственно. Источник
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      В мае отгремел Всемирный день пароля, и на волне нашего и, надеемся, вашего интереса к парольной тематике мы проанализировали на устойчивость не «сферические пароли в вакууме», а реальные пароли из баз даркнета. Оказалось, что 59% изученных паролей могут быть взломаны менее чем за один час, и для этого понадобятся лишь современная видеокарта и немного знаний.
      Сегодня мы расскажем о том, как хакеры взламывают пароли и что с этим делать (маленький спойлер: пользоваться надежной защитой и автоматически проверять свои пароли на утечки).
      Как обычно взламывают пароли
      Начнем с важной ремарки: под фразой «взломать пароль» мы подразумеваем взлом его хеша — уникальной последовательности символов. Дело в том, что почти всегда пользовательские пароли хранятся на серверах компаний одним из трех способов.
      В открытом виде. Это самый простой и понятный способ: если у пользователя пароль, например, qwerty12345, то на сервере компании он так и хранится: qwerty12345. В случае утечки данных злоумышленнику для авторизации не потребуется сделать ничего сложнее, чем просто ввести логин и пароль. Это, конечно, если нет двухфакторной аутентификации, хотя и при ее наличии мошенники иногда могут перехватывать одноразовые пароли. В закрытом виде. В этом способе используются алгоритмы хеширования: MD5, SHA-1 и другие. Эти алгоритмы генерируют для каждой парольной фразы уникальное хеш-значение — строку символов фиксированной длины, которая и хранится на сервере. Каждый раз, когда пользователь вводит пароль, введенная последовательность символов преобразуется в хеш, который сравнивается с хранящимся на сервере: если они совпали, значит, пароль введен верно. Приведем пример: если в реальности ваш пароль qwerty12345, то «на языке SHA-1» он будет записываться вот так — 4e17a448e043206801b95de317e07c839770c8b8. Когда злоумышленник получит этот хеш, ему потребуется его дешифровать (это и есть «взлом пароля»), например, с помощью радужных таблиц, и превратить обратно в qwerty12345. Узнав пароль, хакер сможет использовать его для авторизации не только в сервисе, с которого утек хеш, но и в любом другом, где используется этот же пароль. В закрытом виде с солью. В этом способе к каждому паролю перед хешированием добавляется соль — случайная последовательность данных, статическая или формирующаяся динамически. Хешируется уже последовательность «пароль+соль», что меняет результирующий хеш, а значит, существующие радужные таблицы уже не помогут хакерам. Такой способ хранения паролей значительно усложняет взлом. Для нашего исследования мы собрали базу из 193 млн слитых паролей в открытом виде. Откуда мы ее взяли? Места надо знать. Нашли в сети даркнет — там они зачастую находятся в свободном доступе. Мы используем такие базы, чтобы проверять пользовательские пароли на предмет возможной утечки, при этом ваши пароли мы не знаем и не храним: вы можете подробнее узнать, как устроено изнутри хранилище паролей в Kaspersky Password Manager и как, не зная ваших паролей, мы сравниваем их с утекшими.
       
      Посмотреть статью полностью
×
×
  • Создать...