Hindi ako ang may-ari ng lahat ng mababasa mo. Galing ito kay ninthrapper.
Credits to the owner Im Just Sharing It
PART 1
Nung nakaraang taon, sa blog na to ay minsan kitang niloko na possible kang makapag-hack ng Facebook account. Ngayong pasko, magniningning ang Pilipino. Ngayongbagongtaon, tototohanin ko na pero for a good purpose. Tuturuan kitang mga paraan kung pano maiiwasan na ma-hack ka ng mga “bad guys/girls” out there.
Nakatira na tayo sa mundo na kung saan halos kadugtong na ng buhay ng tao ang pag-o-online at agarang pagbubukas ng kanya-kanyang Facebook account, at parang kiss of death ang pagsasabing wala kang FB account. Pero paano kung ang masayang mundo ay mapalitan ng lungkot, galit, poot, iyak at pagsipon na parang isang acting ni Kris Aquino sa isang teleserye? Paano kung worst comes to worst at nahack ang FB account mo at hindi mo nalaman kung paano marecover? Paano kung inabot ka na ng isang oras at hindi ka pa rin nakakapagbukas ng account mo? Bigla kang magsisisi kung bakit hindi mo ‘to binasa with matching nangingilid na luhang bumabaybay sa gilid ng pisngi.
Baka nabiktima ka na ng pang-ha-hack ng mga accounts. Ngayon, naisipan ko lang ‘to na isulat dahil nitong mga nakaraang araw ay may nakita akong FB page na nangha-hack ng mga account ng mga babae. At ang kapalit para isoli ang account mo? Fansign na nakasulat ang pangalan ng page nila o kaya e pa-loadan mo ang isang number, saka nya ibibigay ang account mo. Badtrip? Yaan mo na. Atleast ngayon, may pagkakataon ka na maiwasan ang masakit at nakakalungkot na proseso at buhay ng taong na-hack ang account.
Minsan ko nang ginawang informative speech ang tungkol sa FB hacking dun sa Speech and Oral Communication class namin. At ngayon, para ma-elaborate ang mga sinabi ko dun, iisa-isahin ko ang mga posibleng dahilan at paraan para mahack ka.
“Prevention is better than cure” ikanga. At eto ang eksaktong dahilan kung bakit ko naisip siyasatin ang mga bagay na to. Minsan nang napasok ang page na ginawa ko dati ng isang “hacker.” Ayokong ma-hack at masayang ang account na matagal ko nang gamit at iniingatan. Andami kong pasakalye? Yaan mo na. Malapit na tayo sa sakayan ng jeep.
Sa pagbabasa mo nito, ina-assume ko at pinapalagay ko na isa kang basic computer user. Yung wala pang masyadong upgraded na alam sa computers kaya kung may mga pro man na makakabasa nito, pagbigyan nyo ko, wag na kayo pumuna, sa google nalang kayo maghanap ng mas magandang info na hindi nyo pa alam.
Lasapin ang mga matututunan mo dito dahil tagalong ito at mas madaling maintindihan. Detalyado. Intended for my fellow Filipinos.
Dapat mong malaman na ang “security” ay isa lamang ilusyon dahil lahat ng system ay may flaws. “No one is secured” sabi nga ng isang edisyon ng The Hackers News Magazine. Ibig sabihin, oo, kahit naiintindihan mo na, ipapaliwanag ko pa rin. Ibig sabihin, posible ka na ma-hack kung gugustuhin ninuman.
Okay, first step. Let’s define hackers. Hindi lahat ng hackers ay masama. May tatlong major types sila.
White-hat hacker: The good guys. Sila yung mga pwede mong pagkatiwalaan. Kadalasan, sila ay yung mga kinukuha ng kumpanya para sa cyber security nila. Ginagamit nila ang mga alam nila sa mabuti, tama, responsible at dun sa kumikitang paraan. Penetration Testing ang madalas nilang ginagawa. Sila rin yung tinatawag na ethical hacker.
Black-hat hacker: Sila yung mga katapat ng white-hats. Ang kalaban nila. Sariling kapakanan lang nila ang isinusulong nila. Gaya nga ng mga sinabi ko kanina tungkol sa hacker na nanghihingi ng load kapalit ng pagbabalik ng mga account ng mga na-hack ay halimbawa nila. Nagpapanggap din na good yung iba pero ang totoo, panloloko lang yun para mapaniwala ka. Unethical sila.
Grey-hat hacker: Hybrid sila nung una’t pangalawa ayon sa nabasa ko. Pwede ding sila yung dating masama pero nagbago na. Sabi naman dun sa isa ko ding nabasa, pwede silang gumawa ng masama, pwede ding mabuti. Depende sa mood nya. Kaya sabi, wag daw magtitiwala ng husto sa mga grey-hats. Well, I can’t blame them. Bahala ka na kung maniniwala ka sa kanila.
Ang akala ng iba, basta may antivirus ka, safe ka na. Swak at ligtas na? Partially true. Marami na akong nakitang computer na may antivirus bilang display. Wala lang, nandun lang siya. Minsan expired na nga e. Ano bang the best antivirus ngayon? Actually, lahat naman halos pero eto ang listahan ng mga Antivirus na pinaka-common.
ESET Smart Security 5 (Gamit ko to dati pero nawalan ako ng keys at nag-expire kaya nagpalit ako. May ESET Smart Security 6 na ngayon.)
Bitdefender (Maganda to. Hindi ko pa nasubukan. Error ang lumalabas sa machine ko.)
Kaspersky (Maganda din. Nagtry ako sa dual boot ng Windows 8 at maganda naman sya, di lang ako sanay. Maraming features.)
AVG (Eto ang unang antivirus brand na nalaman ko. Magandang gamitin yung 2013 version.)
Avast! (Gamit ko ngayon. Cracked lang. Wala akong balak bumili.)
Avira (Hindi ako masyado tiwala dito.)
McAffe (Hindi ko alam yung tamang ispeling pero somehow, maganda din.)
Norton (Eto, hindi ako tiwala dito at hindi ko pa talaga sinubukan.)
May iba pa naman na mga software para sa proteksyon. Ang gamit ko ay Avast Internet Security Edition, kasama ng SmadAV.
Lahat halos ng yan ay may bayad. Pero pag nagpa-install ka naman sa PC mo ng Operating System, may nilalagay na silang ganyan bilang dagdag sa bayad mo. Ang merong free version sa pagkakaalam ko ay yung AVG, Avast, Avira, McAffe. Yung iba trial lang.
Bukod sa antivirus, may mga dapat ka pang maintindihan pero dahil Facebook Hacking nga ang topic natin, dun lang tayo, ayokong maligaw. Pag may nagrequest sakin na ituloy tong about the antivirus, baka gumawa pa ako ng blog special.
Going back, unang atake na pwedeng way of hacking ay ang Phishing. Laganap na to sa Internet at may security measures na ang Facebook para iwasan to.
Ano yung phishing?
Phishing (PH pronounced as F) Nangingisda. Nagse-set kang“bait” o pain para kumagat ang mga biktima. Eto ang karaniwang setup:
Yung hacker magbubukas ng bagong tab at pupuntasa Facebook. Pag okey na at completely loaded, right click tapos tick “view page source” o “view source” tapos lalabas sa isang tab ang javascript o codes na bumubuo sa interface o yung kabuuang itsura na nakikita mo sa Facebook pag magla-log-in ka.
QUICK FACT: Alam mo ba kung bakit kulay blue ang Facebook? Yun ay dahil favourite na kulay ito ni Zuckerberg. Pero niloloko lang kita. Ang totoong dahilan ay dahil colorblind si Mark Zuckerberg at blue ang kulay na pinakamalinaw nyang nakikita.
Hindi ko na ie-elaborate pa ng husto ang proseso dahil ang pakay ko ay turuan ka kung paano umiwas sa pagka-hack ng account at hindi ang kung paano manghack. Mag-google ka na lang kung gusto mong matuto pa pero pinapayo kong wag ka nang gumamit ng mga basic phishing teknik dahil wala na rin masyadong kwenta. Malalaman mo mamaya kung bakit.
Ang siste, mapupuntaka sa isang site na kamukhang kamukha ng Facebook. Kung wala kang alam, mapipingwit ka. Sigurado ako. Laging tignan ang link o URL kung saan ka. Kung hindi yun [Please login or register to view this link] o hindi [Please login or register to view this link], wag pumasok. Malamang na phishing yun. O ayan, nakaligtas ka na sa unang banta ng phishing.
Pero paano kung nakalogin ka na at hindi mo napansin ang link? Don’t worry dahil nade-detect itong Facebook. Pagkapasok na pagkapasok mo pa lang sa Facebook ay may bubungad sayo na nagsasabing “Hoy! Palitan mo yung password mo agad kung ayaw mo mahack ka!” (Syempre tinagalog ko lang naman yun at sarili ko lang wordings.) Ikaw naman, magbasa din.Palitan agad ang password at medyo magsaya ka na.
Pero nagiging mas mapamaraan at mateknik na ngayon ang mga hacker. Kung hindi ka alerto at ta-t*nga t*nga ka, madadali ka talaga sa mabenta nilang palaisdaan.
Sa mga nagbabalak namandyan, wag mo na ngang subukan dahil una, nade-detect na ito ng Facebook. Pangalawa, nade-detect din ng mga webhosting sites. May ibang teknik yung mga nakilala ko na mateknik at hindi ko sasabihin sayo dahil kung may common sense ka naman, malalaman mo na agad na ganun pala yun.
Eto pa, sa mga gustong magshortcut at ayaw na pag-aralan ang pagha-hack manually, naturalmente na magda-download na lang kayo ng mga programs na nangha-hack daw ng Facebook Account. Isang malaking kalokohan yung maniwalang may software for hacking Facebook. Kadalasan ‘tong mga ‘to, puro nasa survey sites kung saan magfi-fill ka ng kung ano-anong sh*t para makuha yung file. Tas nung nakuha mo na, wala naman palang silbi. Pati yung mga site na nagsasabing Automatic Facebook Hacker daw sila. LOL. Wag kayong papaloko dyan sa mga site na yan.
Pero in some cases, kinukuha at inaalamngmga hacker ang e-mail mo tapos magla-log-in sila at syemprewalang idea kung anong password mo. Pipindutin nila yung “forgot your password” at malalaman na nila kung paano posibleng pasukin ang account mo depende na rin kung gaano mo sinecure yung account mo. Pwede din nilang gamitin yung username mo. Para sa di nakakaalam etoyung username,[Please login or register to view this link].
PART 2
Muling paalala. Kung may pro na makakabasa nito, hayaan nyo na ako. Basic lang ang mga laman nito.
Next stop natin, Password Sniffing.
May parte sa mga browser natin ang nagtatago ng log-in information natin. Halimbawa, naglog-in ka sa FB mo, tapos sasabihin na, “Do you want to save your password?” Syempre, normally, pipindutin mo para next time wala na yung hassle sa paglog-in. Wag kang mag-yes dahil may risk dito.
So pano to tumatalab?
Ganto. May isang mini-software na developed by Nirsoft ang ginagamit, o kaya stealers, kung remote attack ang gamit. Pag binuksan mo yung software, automatic na ipapakita sayo yung mga password na naka-save sa isang computer. Kung walang saved password sa computer, walang makukuha. Yun ang main concept. Pero masyado kasing obvious kapag ginamit mo yung software at makikita ng iba na “nangunguha” ka ng saved login details. Within seconds, tapos na ang process at ise-save mo na lang ang .txt file na log containing the details. Hindi lang facebook login details ang kaya nitong makuha. Pati na rin sa ibang sites. One time nga, may nakuha akong login details ng Load Central pero di ko pinakialaman dahil, hindi ko pinakialaman.
Tandaan na wag magsave ng password sa mga Browser katulad ng Chrome, Firefox, Safari, Opera, Internet Explorer (ayos lang gamitin ang internet explorer sa windows 8, para sakin.) Meron din naman na mga alternative browsers. Halimbawa nito ay ang QtWeb, na ginagamit ko kapag may SSL error sa mga browser sa isang shop. Kung privacy naman, use Browzar. Portable ito at di na kailangan pang i-install. Portable nga sya at pag dito ka nagsurf, pagkatapos mo mag-exit, burado agad ang browsing history at cookies ng login session mo. At ibang cookies ang tinutukoy dito, hindi yung pagkain.
Next, shoulder surfing? Uhm. Easy to avoid to. Eto yung may mga tao na nasa balikat o nasa likod mo habang nagta-type ka tapos pag nasaulo nya yung pinagta-type mo, yari ka. Too Lame. Be aware na lang.
Semi-advanced na to para sa mga ngayon pa lang namulat sa mga bagay na ‘to.
Keylogging o R.A.T. Eto, medyo higher na ng konti. Keylogging. Ibig sabihin, ganto. Logging=Saving, yung parang sa mga logbook, ganun. Key=Anything in keyboard. Pag pinagsama na, saving anything you have typed in your keyboard. Websites visited at kung ano-ano pa, recorded. Yun yung keylogging. May isang japeks o fake application, tapos hihikayatin ka na i-install. Di mo alam, keylogger na pala. Automatic sya na magse-send ng info ng PC mo at sa mga activity mo kapag may internet connection ka.
“Paano kung hindi naman ako laging may internet connection?”
Simple. Iniipon lang muna yun at pag may internet ka na, yun, magse-send na sya ng info. Malalaman ko ba kung may keylogger yung computer?
Pwedeng oo, pwedeng hinde. Nade-detect na kasi ito ng halos lahat ng mga antivirus ang mga keylogger kaya no need to worry. Bago pa makapasok sa system mo, natrap na agad ng antivirus. Ganun pa man, may mga bagong breed na ng keyloggers ang dine-develop araw-araw kaya hindi ka makakasiguro na safe ka. Eksampol nito ay ang BD Logger na nagamit ko noon. Hindi ko lang alam ngayon kung detected na ba sya o FUD (Fully Undetectable.) May mga local keyloggers din naman gaya ng ActualSpy Keylogger, Refog Keylogger at yung magandang gamitin, Ecodsoft Keylogger o iSafe Keylogger. Hindi ko na sasabihin pa yung iba, dahil baka pag nalaman mo, magkainteres ka pa na mambiktima. Sasabihin mo pa, “gusto ko lang malaman kung paano gumagana!?” Wag mo kong lokohin. Tiyak na iba ang gagawin mo.
Crypters.
Eto yung ginagamit para hindi madetect ng mga antivirus yung keylogger na ginawa. Halos lahat naman ng crypters ay wala ding kwenta maliban na lang dun sa ilang may bayad at talagang subok na epektib talaga. Ang isang sampol na alam ko ay ang Cyrpter X Software pero marami pa namang iba.
Pero hindi lang software ang keylogger. Meron ding hardware keylogger na sinasaksak mismo sa system. May nakita na akong ganito na binebenta online for good reasons pero hindi mo maiiwasan na may aabuso nun at gamitin ito sa masama. Ang capacity ng hardware keylogger na nakita ko ay 2gb amount of data kaya marami-rami ding mase-save.
Meron din namang Zemana Antilogger na software. Isa pa, may tinatawag na KL Detector, isang software na nagde-detect ng mga log files sa buong computer mo dahil nga kakasabi ko lang kanina na nagsasave ng log files ag mga keylogger commonly through .txt file. Pagkatapos ng scan, pwede mo na i-check kung may mga kahina-hinalang log files sa buong system mo. Pag may kahina-hinala naman na napansin mo, hanapin mo ang pinanggalingan at idelete. Pero dahil mas magandang yariin ang ugat, gumamit ka ng mga antispyware programs. Pwedeng superantispyware, malwarebytes pro, smadav at iba pang tools.
Quick Fact: Wag kang maniniwala na may mga nagawa na mga hack tool o online facebook hacker sites na kaya daw maka-hack ng sites. Peke lahat yan Walang totoo. Maaring perahan ka lang, kala mo sa umpisa libre, tapos pag kukuhain mo na yung password, wala na, hingi pera na.
R.A.T.
Hindi ito yung daga. Ibig sabihin, Remote Administration Tool. Ang isa sa mga sinaunang halimbawa ay SubSeven. Ngayon, marami na nagakalat. Mas maraming kakayahan ang RAT dahil kaya nitong kontrolin ang computer mo pag na-install na sa computer mo ng hindi mo nalalaman, o alam mo pero di mo napansin o akala mo kung ano lang. Bukod sa keylogging, pwede ding pagtripan ng attacker ang computer mo at pagkatuwaan.
Ngayon. Paano makakaiwas sa ganitong mga atake? Heto ang ilan sa pwedeng gawin para kahit paano maging lesser risk ka.
Una, wag kang mag-install ng install, download ng download, o pindot ng pindot ng mga link, progamrs o software na hindi mo alam kung para saan, kahina-hinala o kung anumang di katiwa-tiwala and the alike terms. Ingat ingat din.
Pangalawa, maaring gumamit ka ng KeyScambler panlaban sa keylogging. Merong mismong software dito pero may bayad, by the way, pwede ka namang magdownload ng cracked version, o bypassed at fully registered software na for free pero mag ingat sa links. Maraming di mapagkakatiwalaan na magdadala ng mga toolbar, etc na nakakabadtrip dahil hindi mo naman kinakailangan. Kung away mong magbayad para sa software o wala kang ideya about crack, reverse engineering, pwede kang gumamit nalang ng add-ons sa Mozilla. Sa Google Chrome, hindi ko alam kung may extensions na sila para dito.
Pangatlo, mag-download ng SuperAntiSpyware, Malwarebytes, Zemana Antilogger, etc. Scan the sytem and examine or remove suspicious files.
Pang-apat, tignan ang startup items mo o yung mga programs na naglo-load kapag nagbukas ka ng computer mo. Baka may mga japeks o kahinahinala dun at nagkukunwaring tunay. Maaring magdownload ng Glary Utilities, o kaya CCleaner. For more advanced view, pwedeng gumamit ng ToolWizCare. Pwede ding magdownload ka ng Process Revealer o kaya Process Hacker para makita ang lahat ng running processes sa computer mo. Pag task manager lang kasi ang inasahan mo, maaring may lumusot. May mga program ngayon ng kaya na magtago para di makita sa task manager, o magkunwaring tunay katulad ng svchost.exe na hindi ata nawawala sa task manager. Kaya babalik lang din tayo sa main concept ng number one.
At bago ako magpatuloy sa susunod, may naalala ako bigla. Matuto nga pala na gumawa ng mahirap na hulaan na password. Karamihan kasi sa mga nahuhuli ko, ang password nila, yung cellphone number nila (may dati akong classmate sa highschool na nakita ko na may ganitong password,) dictionary words, birthday nila, pangalan ng jowa/crush, yung mismong pangalan nila (oo, may naka-encounter na akong ganito,) pangalan ng group nila at kung ano-ano pang sh*t na katulad nito.
Paano ba gumawa ng mahirap hulaan na passwords?
Heto ang halimbawa ng ma mahirap na tibagin na passwords.
mymilw0rm, J3J3M0Nako, JaMaIcAnMeCrAzY, m3ForeverALONE, h4pPiN3ss
Paano ba gumawa ng mga mahirap tibagin na passwords?
-Combination ng big and small letters.
-Puro big letters lahat.
-Lagyan ng numbers in between or anywhere in the whole password pero yung non-related masyado sayo.
-Pahabain. Yung atleast 8 letters pataas.
-Gumawa ng password na walang kinalaman ang laman sa mga public info na alam ng iba sayo o mga public info na nakikita ng maraming tao.
-Be creative sa pag-generate.
Actually, sa sobrang basic at madaling hulaan ng password ng ilang sikat na personalidad ay naha-hack din ang account nila. Ngayon, alam mo na ba ang kahalagahan ng mga hindi ordinaryong passwords?
Kung oo, good, mabuti yan. Kung hindi, basahin mo ulit. Wag tumigil hangga’t di mo naiintindihan.
Ayon sa AnonGhost team, isang grupo ng professional anonymous hackers, ang facebook passwords ay encrypted in MD5 Unix form at isa pang MD5 ASCII encryption. Nga pala, yung mga pro na nagbabasa dyan, i-crack nyo yung password kung kaya ng rainbow tables, dictionary attack at brute-force nyo. >:)
Nasa ibaba ang halimbawa ng encrypted password with e-mails. Ibibigay ko dahil imposibleng ma-crack o decode mo ito ng ganun kadali.
E-mail: david.buros@c2bsa.com
Encrypted Pass: $P$BlLZyLlXtHS3uBDb/IXQFRxTnmOxqM0
-
E-mail: franck.mesnel@eden-park.tm.fr
Encrypted Pass: $P$B/ZEYxyyzH7soeiTYySe0L6pHACNB20
-
E-mail: corinne.perez@hermes.com
Encrypted Pass: $P$B9CkqMhHEYai7TcHnzofYvCoP5pNRx0
-
Yan lang muna. Thousands halos ang nasa list na nakuha ko. Kung ang MD5 Wordpress hash ay mahirap na, pano pa ang encrypted hash ng Facebook? Okay, balik nalang tayo sa mas madadaling way? LOL.
Isa pa, kung naka-deepfreeze naman yung computer, hindi ito matatablan ng kung anumang pagbabago ang gawin mo. Kaya kung may mga hacker na maglalagay ng RAT o keylogger sa isang PC na may active DeepFreeze o ShadowDefender sa system, wala ding silbi kung hindi nya maba-bypass ang DeepFreeze o ShadowDefender. Sa DeepFreeze, may alam akong pang-disable nyan pero sa Shadow Defender, wala pa. At kung walang .NET framework ang PC, mahihirapan din dahil halos lahat naman ng keylogger at RAT ngayon ay nakadepende sa .NET framework na mada-download naman from Microsoft.
Sa bypassing deep freeze naman, mahirap gawin sa mga server-based shop tulad ng CafeManila, etc dahil nade-detect ng server ang restart ng machine. Kailangan kasi ng restart/reboot ng machine para umepekto yung bypass ng deep freeze.
PART 3
Muling paalala para sa magagaling. Kung PRO ka man, hayaan mo na langako. Magcocomment ka pa ng kung ano, gaya ng ganito: -,- and the alike. Pro ka nga eh. Hayaan mo na lang na tulungan ko yung mga wala pang masyadong alam.
Sa simpleng pakikipagchat ay posible ka nang madale. Mapupunta tayo sa konsepto na kung gusto may paraan. Kahit anuman ang i-reply mo sa isang chat ay pwede na bilang gateway. Posible na matrace ang IP mo. IP=Internet Protocol. Google for more info.
Papasok tayo sa pagtatago ng IP at pagpapalit ng fake IP. Wag na magtitiwala sa Super Hide IP, Platinum Hide IP, Hide IP-NG, IP Hider at kung ano-ano pang literal na kamukha nito. Maghanap na lang ng VPN o Virtual Private Network. (Examples: Hotspot Shield, Cyberghost, Security Kiss, Vidalia, Spotflux, ExpressVPN, OpenVPN, bodVPN, Hideman at kung ano-ano pa.) Ang ginagawa nitong mga VPN ay tinatagoang IP mo, kahit icheck mo pa sa mga site na katulad ng CMYIP.com.
So, pano mo malalaman kung natago talaga ang IP mo? Una, pumunta sa CMYIP.com o mga site na katulad nito. Tignan ang IP mo. Kopyahin o tandaan. Ngayon, i-activate ang VPN mo at pag-activated na pumunta ka ulit sa CMYIP o sa kahit anong site na katulad nito. Kung takot na takot ka, edi ibahin mo narin ang MAC address mo. Pwedeng via software o manually. Pero dahil basics lang tayo, yung mga may mas alam na bumabasa nito, magkomento lang para na rin sa sharing of knowledge.
Pwede ka din naman na mag SSH Tunelling at for more info, search the net about this. At paalala, marami pang ibang site ang pwedeng gamitin para malaman ang IP mo.
Next, yung Tabnabbing. In this case, pagkatapos mo na mag-open ng maraming tab at hindi mo na pakialaman o may isang inactive na tab, may biglang lalabas na login page. Ang tendency, pag hindi ka aware, magla-login ka nga. Pero kung alam mo na nakalogin ka na tapos may lumabas na naman, magtaka ka. Eto kasing tabnabbing ay kamag-anak ng phishing o sabihin natin na kuya ng phishing.
Clickjacking. Ang setup dito, may isang concealed at transparent na webpage o buttons na nakaembed sa totoong button. Etong pagclick sa mga clickjacked page ay maaring mag execute ng process codes o kung anuman na maaring kumuha ng personal details mo. Halimbawa, sa isang webpage, sinasabing kailangan ka mag login sa FB mo para maka-access. Pag clickjacked yung site, possible talaga na masave ang login details mo without you noticing it. Sa mga nakita ko, karaniwang ginagamit to para magpataaas ng likes sa isang Facebook page. Madalas gamtin ‘to sa di maganda. Para maiwasan, pwede kang magdownload ng No Script Addonsa Mozilla, Not Script Extension sa Chrome. Blablabla.
ARP Poisoning, Man In The Middle Attack. Etong paraan na ‘to ay para samga may higher na alam na kumpara sa basic computer user pero bibigyan kita ng ilang preview.
Pwede ‘tong gawin ng hacker sa mga connected saisangWifi Connection o mga naka-connect sa isang network. Through the famous software na wireshark, pwedeng makuha ang “cookie” ng mga nagpe-facebook. At etong cookie na to ang tinutukoy ko dun sa mga naunang parte.
Ano ang mga kailangan dito?
-Mozilla Firefox, yung 3.6 daw angmagandanggamitin. Di kasi supported ng Firefox 15 yung extension na Cookie Editor.
-Extension sa Firefox na Cookie Editor
-Wireshark
-Cain and Abel (for ARP Poisoning)
“Teka, ano ba yung cookie nayan?”
Cookie? Oo. Eto yung data na ginagamit ng Facebook at ng iba ding sites para ma recognize ang isang user habang nagba-browse siya. Ngayon, pag na-capture ng Wireshark yung specific cookie na ginagamit ng FB to recognize its user, pwedeng makontrol ng hacker ang FB mo kahit di mo alam. Sa pamamagitan ng cookie editor ay magagawa na ng hacker na dayain ang FB engine at ang aakalain ng Facebook, si Orig user pa rin ang nagba-browse where in fact, hacker na ang may control.
Eto namang ARP Poisoning, may routers na involved dito. Interaction between the computer and the router. Kung hindiganunka-knowledgeable angnasa server o may control ng router, madaling masasagawa ng hacker ang balak niya.
Dahil ang pakay ko lang sa pagsulat nito ay gawin kang aware sa possible ways on how hackers can penetrate your account, hindi ako naglagay ng direct tutorials for hacking. Kung interesado ka sa ilan kong sinabi, tulad ng ilang beses ko na sinabi, google it. Makakatulong ito ng malaki sa iyo.
Lahat ng nasabi ko sayo ay kulang pa dahil araw-araw, may nalabas na bagong way of exploiting and exploring vulnerabilities are discovered. Kaya nga nakaugnay ang teknolohiya at sensya. Dahil katulad din ng syensya, wala ding permanente sa teknolohiya.
Sinulat ko to para bigyan ka ng ideya at kaunting kaalaman. Pero kung lahat ng paraan ay iiwasan mo at kung ano-ano ang gagawin mo na parang paranoid, mapapayo ko na wag ka na gumamit ng internet at computer.
Ayan, tignan mo ang mga kamay mo. Dyan nakasalalay ang ikaliligtas at ikapapahamak mo.
Uulitin ko na lang ang sinabi ko nung umpisa ng blog na ‘to. Mula sa isang edisyon ng magazine mulasa “The Hacker News.”
“NO ONE IS SECURE.” ∞
---
At sa kanya ko din nakuha yung tagline ko.
~
No one is secure. Even I.
:bump
