Firewall / Router OS Arayışı
-
CenkSertoz bunu yazdı
Lilakat diye bir şey duydun mu hocam hiç?
Hocam burası hack öğretileri ile dolu bir mabed.
Bu öğretileri aktarırken kimse bunun etik yönlerini tartışmıyor. Burada açıklama yapamayacağım bazı faktörlerden dolayı işin etik kısmını bir kenara bırakıyorum. Liyakat elbet önemli. Belki de bu şüphe yersiz çıkacak ama bir yöntem varsa onu öğrenmek için yazdım. Teknik varsa vardır yoksa yoktur. Konuyu saptırıp farklı şeyler tartışmak gereksiz zaman kaybı.
-
attackatak bunu yazdı
etik olmayan personeli kov gitsin.
trojanı koysanda ve bir şeyler yakalasanda tazminattan kaçamaycaksın. Çünkü suç işliyorsun. Özel hayata müdahale ediyorsun.
Şirket bilgisayari ise özel hayat diye bir şey olamaz.
Trojen ile elde ettiğin deliller yasal olup olmayacağı tartışılabilir bu farkli bir nokta ama bu işi yapan resmi firmalar da var; benim tanıdığım : http://www.desktopgate.com firmasi mesela kendileri ile arayip mesai saattleri içinde facebook'a giren adamı tazminatsız nasil kovdurdukları hakkinda görüşe bilirsin. iş yönetmeliğinin dişinda işlem yapiyor sonuçta şirket bilgisayarı ile.
rakkoc tarafından 06/May/17 23:28 tarihinde düzenlenmiştir -
Mx0TBT bunu yazdı
Hikaye ssl sahte ssh ile araya girip logluyorlar
Kendi CA serverinda o domaine ait bir SSL sertifikasi oluşturursun fakat kendi CA serverinin public keyini clientlerin trusted CA listesine eklemediğin sürece sayfa açılmayacak gecersiz SSL bağlantısı hatası alacaksın.
-
normalde kurumsal müşterilerimde pfsense kullanıyorum
ek olarak 1 haftalık olacak şekilde clientların ekran görüntülerini kaydettiriyorum storage servera bu tarz olaylarda nokta atışı oluyor.)
-
Facebook'un mobil uygulaması fake ssl yemiyor ona göre.
-
rakkoc bunu yazdıMx0TBT bunu yazdı
Hikaye ssl sahte ssh ile araya girip logluyorlar
Kendi CA serverinda o domaine ait bir SSL sertifikasi oluşturursun fakat kendi CA serverinin public keyini clientlerin trusted CA listesine eklemediğin sürece sayfa açılmayacak gecersiz SSL bağlantısı hatası alacaksın.
Sonunda konuya doğru noktadan bakan birisi çıktı :) Peki 256 bit SSL i decode etmenin yolu yok mu diyeceğim ama vereceğin yanıtı tahmin edebiliyorum normal bilgisayarlar ile yıllarca sürer diyeceksin. Herkesin elinin altında da quantum bilgisayarlar yok :) Fakat konuda beyin fırtınasına devam edersek doğru noktaya ulaşacağız diye tahmin ediyorum.
-
hworm bunu yazdırakkoc bunu yazdıMx0TBT bunu yazdı
Hikaye ssl sahte ssh ile araya girip logluyorlar
Kendi CA serverinda o domaine ait bir SSL sertifikasi oluşturursun fakat kendi CA serverinin public keyini clientlerin trusted CA listesine eklemediğin sürece sayfa açılmayacak gecersiz SSL bağlantısı hatası alacaksın.
Sonunda konuya doğru noktadan bakan birisi çıktı :) Peki 256 bit SSL i decode etmenin yolu yok mu diyeceğim ama vereceğin yanıtı tahmin edebiliyorum normal bilgisayarlar ile yıllarca sürer diyeceksin. Herkesin elinin altında da quantum bilgisayarlar yok :) Fakat konuda beyin fırtınasına devam edersek doğru noktaya ulaşacağız diye tahmin ediyorum.
256 SSL dediğin RSA mi AES'i mi açacaksın. SSL Protokolunden ilk RSA üzerinden handshaking yapilir. arkadan AES ile transaction oluşmaya başlar session içersinde o AES key ile işlem yaparsin 256 AES'ide kirarsın ki RSA'in 256'li artık unsecure olarak gecer. 2048'lerde calisiyoruz.
256'lik AES'i kırmak için ne kadar bütcen var ona göre ben sana kırabilip kiramayacağını söyleyim :) eğer çok iyi bir bütcen var ise hsm farm kuralım. KCV list'den bulunan bir key ise 2-3 günde çözülür. 1000 hsm ile senin dna kodunu bile cözerler. Sen handshaking'de fake ssl sokamadığın sürece işin zor. 4-5 milyon yatırım gerekir öbür türlü.
Edit arasındaki farki anlatmak amaclı: https://security.stackexchange.com/questions/19473/understanding-2048-bit-ssl-and-256-bit-encryption
rakkoc tarafından 07/May/17 15:22 tarihinde düzenlenmiştir