Dear reader, please download one of Myanmar unicode font and install it on your PC to see my blog well.Thanks.

How do intruders get passwords?

Intruder လို့ခေါ်တဲ့သူတွေဟာ password တွေကို နည်းလမ်း အမျိုးမျိုး နဲ့ ရယူကြပါတယ်။
အောက်မှာ တော့ Hacker တွေ အသုံးများတဲ့ popular အဖြစ်ဆုံး password
ရယူပုံ နည်းလမ်းတွေကို ဖော်ပြပေးထားပါတယ်။

Sniffing : Ethernet သို့မဟုတ် Wireless network ပေါ်မှာ
ဖြတ်သန်းသွားလာတဲ့ Data မှန်သမျှ ကို ကြားဖြတ်ပြီး ကြည့်လို့ရပါတယ်။
ဘယ်လိုကြည့်တာလဲဆိုတော့ protocol anaylyzer လို tool
တွေကိုသုံးပြီးကြည့်တာပါ။
သူက network card ကို promiscuous mode ကို
ပြောင်းပစ်လိုက်ပြီး data တွေကို filtering မလုပ်စေပဲ network ကနေ OS
ဆီကို ဖြတ်သန်းလာစေတာပါ။
POP3, FTP နဲ့ Telnet တို့လို protocol တွေလိုမျိုး clear
text protocol တွေကို sniffing လုပ်တာ များပါတယ်။
ဒီလို အခြေအနေမျိုးမှာ network ကို ဖြတ်သန်းနေတဲ့ Password
တွေဟာ encryption မလုပ်ထားပါဘူး။ ခုနောက်ပိုင်းခေတ်မှာတော့ protocols
တော်တော်များများဟာ encryption လုပ်လာကြပါပြီ။
Encrypted password တွေကို sniffing လုပ်ဖို့ခက်ပါတယ်။
ဒါပေမယ့်လည်း Dictionary Attack, Brute force Attack လို Attack များက
အလွယ်တကူပဲ ချိုးဖျက်နိုင်နေပြန်ပါတယ်။
Sniffing ဟာ hacker , attacker တွေ အတွက် အလွန်
အသုံးတည့်တဲ့ attacking method တခုဖြစ်ပါတယ်။ Detect လုပ်ဖို့လည်း
ခက်ပါတယ်။
Replay attack: တချို့နေရာတွေမှာတော့ intruder တွေဟာ password ကို
decryption ပြန်မလုပ်တော့ပါဘူး။ သူတို့ဟာ system ထဲကို login လုပ်ဖို့
encrypted form တွေ သုံးကြပါတယ်။
Encrypted from တွေ အတွက် Tool တွေကလည်း
အင်တာနက်မှာ တပုံတပင်ရှိပါတယ်။ ဒီ attacking method ကတော့ web
application တွေကို attack လုပ်ရာမှာ အလွန်ရေပန်းစားပါတယ်။
Password file stealing: System password တွေကို ပုံမှန်အားဖြင့် windows
registry မှာ file အနေနဲ့ သိမ်းထားလေ့ရှိပါတယ်။ Window NT 2000 နဲ့ XP
တွေမှာဆိုရင် password ကို encrypted from အနေနဲ့ SAM file မှာ
သွားသိမ်းပါတယ်။
Unix system တွေမှာတော့ password
တွေကို ပုံမှန်အားဖြင့် " /etc/passwd or /etc/shadow " မှာ
သိမ်းထားလေ့ရှိပါတယ်။
Attacker တယောက်က ၄င်း password file
ကိုသာ ရသွားပြီဆိုလို့ကတော့ Dictionary or Brute force attack
ကိုသုံးပြီး password ကို decryption လုပ်ပြီပဲပေါ့ဗျာ။
Observation: ဒီတခုကတော့ "Shoulder surfing" လို့ ခေါ်တယ်ဗျ။
အလွယ်ကူဆုံးနည်းလမ်းတခုထဲမှာပါပါတယ်။ Keyboard နဲ့ password
ရိုက်ထည့်နေတဲ့အချိန်မှာ မသိမသာ လှမ်းချောင်းကြည့်နေတာကိုခေါ်တာပါ။
ဒါမှမဟုတ် တချို့ဆိုရင် ကိုယ့် password ကို Sticky
note လေးနဲ့ ရေးပြီး Monitor ပေါ်မှာ ရေးထားတာမျိုးပေါ့။ တခါတုန်းက Bank
တခုရဲ့ Computer monitor ပေါ်မှာ password ကို စာရွက်နဲ့ရေးပြီး
ကပ်ထားတာကို တွေ့ဖူးပါတယ်။
Social Engineering: ဒီနည်းလမ်းကလည်း အလွယ်ကူဆုံးနည်းလမ်းတခုထဲက တခုပါပဲ။
ဘယ်လိုမျိုးလဲဆိုတော့ ကိုယ်နဲ့ရင်းနှီးအောင် ပေါင်းပြီး ကိုယ့်ဆီကနေ
သူတို့ လိုချင်တဲ့ အချက်အလက်တွေကို မသိမသာ နိှုက်ထုတ်ယူလိုက်တာပါပဲ။
Default passwords: တချို့ နေရာတွေကျပြန်တော့လည်း password ကို
ခန့်မှန်းရတာ သိပ်လွယ်ပါတယ်။ တချို့ user တွေဟာ hardware or software
vendor တွေ ထည့်ပေးလိုက်တဲ့ default ကို မပြောင်းပဲ ဒီအတိုင်းပဲ
ထားသုံးတတ်ကြပါတယ်။
ဥပမာဗျာ... switch တခု ဒါမှမဟုတ် router
တခုရဲ့ default password ဟာဆိုရင် admin ပဲဖြစ်နေတတ်တာမျိုးပေါ့။
ဒါမျိုးကို hacker တွေ attacker တွေ ဟာ သိထားပြီးသားပါ။

ကဲ...ဒါလေးတွေကတော့ အခြေခံအားဖြင့် hacker, attacker တွေရဲ့ password ကို
ရယူနည်းတွေပါပဲ။ နည်းနည်းသိထားတော့ ဘာပဲဖြစ်ဖြစ် ဗဟုသုတရတာပေါ့ဗျာ။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)

No comments :

Post a Comment

Contact Form for ictformyanmar.com

Name

Email *

Message *