အောက်မှာ တော့ Hacker တွေ အသုံးများတဲ့ popular အဖြစ်ဆုံး password
ရယူပုံ နည်းလမ်းတွေကို ဖော်ပြပေးထားပါတယ်။
Sniffing : Ethernet သို့မဟုတ် Wireless network ပေါ်မှာ
ဖြတ်သန်းသွားလာတဲ့ Data မှန်သမျှ ကို ကြားဖြတ်ပြီး ကြည့်လို့ရပါတယ်။
ဘယ်လိုကြည့်တာလဲဆိုတော့ protocol anaylyzer လို tool
တွေကိုသုံးပြီးကြည့်တာပါ။
သူက network card ကို promiscuous mode ကို
ပြောင်းပစ်လိုက်ပြီး data တွေကို filtering မလုပ်စေပဲ network ကနေ OS
ဆီကို ဖြတ်သန်းလာစေတာပါ။
POP3, FTP နဲ့ Telnet တို့လို protocol တွေလိုမျိုး clear
text protocol တွေကို sniffing လုပ်တာ များပါတယ်။
ဒီလို အခြေအနေမျိုးမှာ network ကို ဖြတ်သန်းနေတဲ့ Password
တွေဟာ encryption မလုပ်ထားပါဘူး။ ခုနောက်ပိုင်းခေတ်မှာတော့ protocols
တော်တော်များများဟာ encryption လုပ်လာကြပါပြီ။
Encrypted password တွေကို sniffing လုပ်ဖို့ခက်ပါတယ်။
ဒါပေမယ့်လည်း Dictionary Attack, Brute force Attack လို Attack များက
အလွယ်တကူပဲ ချိုးဖျက်နိုင်နေပြန်ပါတယ်။
Sniffing ဟာ hacker , attacker တွေ အတွက် အလွန်
အသုံးတည့်တဲ့ attacking method တခုဖြစ်ပါတယ်။ Detect လုပ်ဖို့လည်း
ခက်ပါတယ်။
Replay attack: တချို့နေရာတွေမှာတော့ intruder တွေဟာ password ကို
decryption ပြန်မလုပ်တော့ပါဘူး။ သူတို့ဟာ system ထဲကို login လုပ်ဖို့
encrypted form တွေ သုံးကြပါတယ်။
Encrypted from တွေ အတွက် Tool တွေကလည်း
အင်တာနက်မှာ တပုံတပင်ရှိပါတယ်။ ဒီ attacking method ကတော့ web
application တွေကို attack လုပ်ရာမှာ အလွန်ရေပန်းစားပါတယ်။
Password file stealing: System password တွေကို ပုံမှန်အားဖြင့် windows
registry မှာ file အနေနဲ့ သိမ်းထားလေ့ရှိပါတယ်။ Window NT 2000 နဲ့ XP
တွေမှာဆိုရင် password ကို encrypted from အနေနဲ့ SAM file မှာ
သွားသိမ်းပါတယ်။
Unix system တွေမှာတော့ password
တွေကို ပုံမှန်အားဖြင့် " /etc/passwd or /etc/shadow " မှာ
သိမ်းထားလေ့ရှိပါတယ်။
Attacker တယောက်က ၄င်း password file
ကိုသာ ရသွားပြီဆိုလို့ကတော့ Dictionary or Brute force attack
ကိုသုံးပြီး password ကို decryption လုပ်ပြီပဲပေါ့ဗျာ။
Observation: ဒီတခုကတော့ "Shoulder surfing" လို့ ခေါ်တယ်ဗျ။
အလွယ်ကူဆုံးနည်းလမ်းတခုထဲမှာပါပါတယ်။ Keyboard နဲ့ password
ရိုက်ထည့်နေတဲ့အချိန်မှာ မသိမသာ လှမ်းချောင်းကြည့်နေတာကိုခေါ်တာပါ။
ဒါမှမဟုတ် တချို့ဆိုရင် ကိုယ့် password ကို Sticky
note လေးနဲ့ ရေးပြီး Monitor ပေါ်မှာ ရေးထားတာမျိုးပေါ့။ တခါတုန်းက Bank
တခုရဲ့ Computer monitor ပေါ်မှာ password ကို စာရွက်နဲ့ရေးပြီး
ကပ်ထားတာကို တွေ့ဖူးပါတယ်။
Social Engineering: ဒီနည်းလမ်းကလည်း အလွယ်ကူဆုံးနည်းလမ်းတခုထဲက တခုပါပဲ။
ဘယ်လိုမျိုးလဲဆိုတော့ ကိုယ်နဲ့ရင်းနှီးအောင် ပေါင်းပြီး ကိုယ့်ဆီကနေ
သူတို့ လိုချင်တဲ့ အချက်အလက်တွေကို မသိမသာ နိှုက်ထုတ်ယူလိုက်တာပါပဲ။
Default passwords: တချို့ နေရာတွေကျပြန်တော့လည်း password ကို
ခန့်မှန်းရတာ သိပ်လွယ်ပါတယ်။ တချို့ user တွေဟာ hardware or software
vendor တွေ ထည့်ပေးလိုက်တဲ့ default ကို မပြောင်းပဲ ဒီအတိုင်းပဲ
ထားသုံးတတ်ကြပါတယ်။
ဥပမာဗျာ... switch တခု ဒါမှမဟုတ် router
တခုရဲ့ default password ဟာဆိုရင် admin ပဲဖြစ်နေတတ်တာမျိုးပေါ့။
ဒါမျိုးကို hacker တွေ attacker တွေ ဟာ သိထားပြီးသားပါ။
ကဲ...ဒါလေးတွေကတော့ အခြေခံအားဖြင့် hacker, attacker တွေရဲ့ password ကို
ရယူနည်းတွေပါပဲ။ နည်းနည်းသိထားတော့ ဘာပဲဖြစ်ဖြစ် ဗဟုသုတရတာပေါ့ဗျာ။
ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)
No comments :
Post a Comment