::::::::::. :::::::..   :::.,::::::   :::         ...     .        :   
    `;;;```.;;;;;;;``;;;;  ;;;;;;;''''   ;;;      .;;;;;;;.  ;;,.    ;;;  
     `]]nnn]]'  [[[,/[[['  [[[ [[cccc    [[[     ,[[     \[[,[[[[, ,[[[[, 
      $$$""     $$$$$$c    $$$ $$""""    $$'     $$$,     $$$$$$$$$$$"$$$ 
      888o      888b "88bo,888 888oo,__ o88oo,.__"888,_ _,88P888 Y88" 888o
      YMMMb     MMMM   "W" MMM """"YUMMM""""YUMMM  "YMMMMMP" MMM  M'  "MMM
   
   prielom #8, 16.7.98, prielom(at)hysteria.sk, http://hysteria.sk/prielom/



obsah




intro

prielom 8 je celkom malinkaty a vcelku narychlo pozliepany.. to viete.. obdobie dovoleniek.. ja padam prec na dlhsi cas, tak aspon toto.. dalsie cislo hadam ku koncu augusta..

pajka


bankomaty

tento clanok vysiel v denniku Novy Cas... odstrihol som z neho taky ten klasicky nudny uvod typu "co je to internet" a "kdo je to hacker"..

Od sexu az ku kradeziam ?

Osobny pocitac bez krabicky zvanej modem, pripomina luxusne auto stojace uprostred pola. Modemy umoznuju po beznej telefonnej linke vysielat signaly zrozumitelne pocitacu a takto si vymienat programy, odkazy, udaje, apod. Nielen medzi dvomi znamymi, vlastniacimi modemy, ale jestvuje tiez viacero celosvetovych sieti, ktore takuto komunikaciu umoznuju. Jednou z nich je neprofesialna FIDONET, s centrom v USA. Jej region 42 tvoria Cechy a Slovensko. Nadsenci PC tu zivo debatuju v desiatkach konferencii, cize rozlicne zameranych tematickych okruhoch. Od konferencie nazvanej Kamasutra, ktorej napln netreba opisovat, cez Gaming, v ktorej hAbaju nad svojimi starostami fanatici pocitacovych hier, az po Hardware, kde zasa mozno hladat dobru radu ak nefunguje stroj, tiez su tu napady na rozne technicke zlepsovaky. Dvadsiateho siedmeho jula tohto roku bolo mozne prvy raz zaregistrovat zaujimave rozhovory, nasvecujuce... Radsej odcitujme niekolko pasazi, kvoli zrozumitelnosti mierne upravenych.

Pirati diskutuju

Evzen P. spoza Moravy, dava do eteru otazku : "Je tady nekdo, kdo vi , co a jak se zaznamenava na bankomatovou kartu ?" Skusenejsi kamarat zo Slovenska ho cez terminal hned poucil : "V prvom rade musis rozlisit, ci ide o off-line system , teda samostatne, do siete neprepojene bankomaty /u nas Sporitelna, aj v Cesku/, alebo on-line, cize ostatne, zapojene do spolocneho systemu bankomatov. U on-line na karte osobne cislo majitela /PIN/ byt nemusi, kedze bankomat sa nanho hned moze cez linku spytat ustredia. U off-line tam PIN je, zrejme zakodovany, ale v principe je to jedno. Pokial by si poznal postup verifikacie v bankomate, nebol by problem s pocitacom vyskusat vsetky moznosti a najst tu spravnu.Aktualizacia zoznamu neplatnych karietsa deje tak, ze tie neprepojene off-line bankomaty obehne manik s disketou." Z ceskych krajov hned reagoval dalsi : "Byl by zajem i o kompletni konstrukcni popis. A priloz i seznam nejakych vhodnych uctu i s heslama. Prosim vas, a nikomu to nerikejte, kdo neni ve FIDU. Ono i tak bude dost napadny, ze vsichni kdo maji modem maji najednou nejak moc penez." Rozhovory pokracuju i dalsie dni. Evzen pise Ladovi Z. : "Je to mozny a proveditelny. Spusob zapisu dat je pro jeden typ bankomatovych karet konstantni. Staci sehnat popis struktury zaznamu a zarizeni, ktery to dovede precist.Pak kdyz mas kartu, vyskousis pomoci computeru vsechny moznosti, a NAJDES PIN. Slysel jsem, ze se to nekolika lidem v SRN uz povedlo. Kdyz budes mit k dispozici to co jsem napsal, tak je to otazka nekolika malo vterin !" Do reci prispieva zas dalsi ucastnik : "Mnohem zajimavejsi je zmenit cislo karty a teprve pak vybirat penize." Vaclav V. dodava do debaty zaujimave veci : "Nejmenovany kolega tvrdi, ze na cteni magneticke stopy z karty staci hlava z kazetaku, pripadne hlava z disketove jednotky." Jindra K. daval rozumy Petrovi P. : "Na karte je zapsano, kolik jsi ten den vybral. Takze kdyz ji po vybrani uvedes do puvodniho stavu /ctecka i zapisovacka se daji koupit/, muzes vybirat zase..." Nasledujuci kazisvet zasa spekuloval ako vyuzit fakt, ze off-line bankomaty nevedia o penaznych operaciach urobenych na ostatnych bankomatoch, hned. Az ked k nim pride raz za den zamestnanec obnovit data. Spekulant objavil, a po sieti Fidonet oznamil takuto metodu : "Zalozim si treba deset kont. Necham si na kazdy udelat kreditni kartu. Na kazdy konto si dam par penez. Pujdu a vyberu si z kazdyho bankomatu po 2000." Slovak Roderik P. dodava : "V kazdom bankomate je zoznam platnych kariet spolu s ich PIN..." Tolko snad staci na ukazku toho, co vrta v hlavach niekolkych desiatok mladikov. Do odbornych podrobnosti zabiehat nemusime, ostatne chlapci po kratkom case presli z tzv. echomail sposobu zasielania si sprav, ktory je volne pristupny , na netmail. Ten uz zarucuje istu dovernost a utajenie pred sirsim publikom.

Len otazka casu

S vypismi obsahujucimi spomenute, i dalsie pasaze, sme zasli do kosickej firmy Lynx, kde pracuje medzinarodne uznavany a znamy odbornik na pocitacovu bezpecnost, RNDr. Michal Danilak. Pri citani desiatok metrov papierovych pasov vazne pokyvoval hlavou : "Tak to uz mame aj u nas. Ked to na zapade prinasa tolko starosti, preco nie i tu ? Ceski a slovenski pirati ocividne ozivaju. Hlavnym ich problemom zatial ostava nedostatok technickych informacii. Je vsak len otazkou casu a snahy, kedy dokazu uskutocnit svoje zamery. Nemaju zatial dostatocne napojenie na celosvetovu hackersku siet, aby odtial cerpali. Nemaju ani v potrebnej miere socialne spracovanych tych odbornikov, ktori bankomaty instaluju a prevadzkuju. V zahranici mozno v tomto smere hovorit o skutocne profesionalnom socialnom inzinierstve, ktore hackeri pouzivaju, aby zo zasvetenych ludi vytiahli informacie. Znamena to nadviazat doverny psychologicky kontakt s kolegom od fachu, pracujucim napriklad v banke, a pri veceri z neho pocas rozhovoru tahat tajne informacie. Alebo hoci si najst ucelovo v penaznom ustave frajerku. Toto su vsak iba docasne prekazky. Je velmi pravdepodobne, ze uz tie postupy, nad ktorymi premyslaju momentalne, by nasli v praxi uplatnenie. Najvacsie nebezpecie moze hrozit bankomatom, ktore nie su prepojene do siete, teda najma pristrojom Slovenskej sporitelne. Nasa policia ma teraz dost inych starosti, nez skumat high - tech kriminalitu. Vyzaduje si to totiz nielen najvyssiu odbornost a dlhodobe studium, ale aj narocne technicke vybavenie."

Ako to robia profici

Bude uzitocne nahliadnut do metod pouzivanych v krajinach, kde kriminalita spojena s bankomatmi nie je uz novinkou. V jednom europskom state stal na ulici "stedry" bankomat. Nevydaval sice peniaze, ale po zasunuti kreditnej karty a zadani jej identifikacneho PIN cisla vyplul balicek cukrikov. Deti hned zacali tajne brat rodicom karty a podho ku plechovemu "Mikulasovi". Prefikancom, ktori ho postavili slo o jedine : ich stroj zosnimal a ulozil si do svojej pamate vsetky udaje z danych kariet. Potom uz nebolo najmensim problemom vyrabat ich kopie... Podobne si pocinali darebaci pred jeden a pol rokom vo Velkej Britanii. Tam ukradli cely bankomat a po case ho instalovali inde. Opat mal jedinu ulohu vo vychytavani udajov z pravych kariet. Podvodnici vdaka nemu stihli vyberat z kont majitelov az 40 tisic libier tyzdenne. Uplne jednoduchy sposob spociva v ukradnuti karty sikovnymi prstami vreckara, potom, co cez plece nepozorneho klienta odpozerali, ake cislo PIN zadava do bankomatu. Primitivnejsi pachatelia potom proste vyberu sumu a kartu zahodia. Ti prefikanejsi, clenovia dobre organizovanej bandy, kartu ihned skopiruju a vreckarskou metodou nic netusiacej obeti zasa vratia. Ta sa potom moze len cudovat, kam miznu z jej konta peniaze. Preto je dobre, ak ma kazdy clen rodiny vlastnu kartu. Ovela skor totiz moze zbadat nejake podozrive javy. A este pozor na jedno vazne nebezpecenstvo. Identifikacny znak PIN pytaju od pouzivatela karty vylucne bankomaty. Pri plateni za tovar v obchode ho uvadzat netreba. Staci mat ozaj len tu kartu. Vlastnu alebo cudziu.

Bankari zatial pokojni

Prva dostala moznost komentovat nase zistenia manazerka kosickej pobocky Ceskoslovenskej obchodnej banky, a.s., Ing. Zdena Gacikova : "My mame bankomatov zatial malo, iba styri. Vsetky prepojene on-line. Funguju na medzinarodne platne karty zdruzenia Eurocard - Mastercard. Limit vyberu moze cinit na den az 50 tisic korun, zavisi od bonity klienta. Od buduceho roku pribudne postupne dalsi pridavny bezpecnostny kod, ktory dalej zvysi stupen ochrany." Ake rizika su spojene s platenim v obchodoch, vysvetlila ing. Gacikova takto : "V obchode platitel naozaj nepotrebuje uviest svoje cislo PIN, teda iste riziko tu je. Nie vsak tak velke, ako vy sa na prvy pohlad zdalo. Kazdy obchodnik ma totiz svoj limit, po ktory vyda tovar bez overenia karty. Ked chce zakaznik nakupovat za viac, vola predajca bratislavske autorizacne centrum. Vysku limitu pozna len sam obchodnik. Takze zlodej karty, ak nechce riskovat skore chytenie, mohol by bez vacsieho rizika kupovat len za male sumy, povedzme do 500 korun. Vela skod by teda az do zablokovania karty ani nestihol narobit." Namestnik riaditela Vseobecnej uverovej banky Kosice, JUDr.Mgr. Jan Rybarik, uviedol : "My obhospodarujeme na Slovensku 160 bankomatov, vsetky prepojene on-line. Od augusta funguje v Bratislave Autorizacne centrum Slovenska. Prinos tejto centralizacie spociva v tom, ze aj klienti inych bank budu moct pouzivat bankomaty VUB a naopak. Nevieme zatial o utoku na nas pristroj. Su chranene jednak svojou robustnou konstrukciou,ale aj napojenim cez linku priamo na policiu. Pri naruseni si automaticky privola pomoc. Koniec koncov, aj keby akosi predsa ukradli cely bankomat, cisla uctov a kody v nom nenajdu. " Na otazku, kolko korun vojde do jednej takej ocelovej skatule, J. Rybarik prezradi len tolko : "Nepoviem, lebo by sme len lakali chmatakov. Ale v zavislosti od typu statisice, aj cez milion."

Policia len zacina

S celou kopou zisteneho mierime na policiu. Ako bolo mozne cakat, nijakeho kompetentneho specialistu na pocitacovu kriminalitu tu niet. Po mensej anabaze cez uradnikov, ktori si prehadzuju problem ani horuci zemiak, koncime u riaditela Uradu financnej policie PZ SR, JUDr. Ignaca Behula. "Je to pre nas uplna novinka", priznava. "Cakal som, kedy zacne pocitacova kriminalita v nasich koncinach, ale ze prave cez bankomaty...Preskumame o co ide." Konecne slovo o sucasnom stave vysetrovania povedal I. Behul pred niekolkymi dnami : "Nadviazali sme spolupracu s ceskou policiou, kedze tazisko hackerskych aktivit sa sustreduje u nich. Boli uz prve spolocne konzultacie". Na otazku, ci teda zacne preventivne sledovanie tychto diani,napriklad konspiracnym nasadenim policajnych agentov do piratskych komunit, krci plecami : "Je to velky problem. Nie sme dostatocne vybaveni technicky ani personalne. Hodlame spolupracovat s odbornikmi aj z civilnej sfery. Cesi su na tom o nieco lepsie. Verim, ze vdaka podchyteniu toho celeho uz v zarodocnom stadiu predideme premene slov a spekulacii tych vymyselnikov v ciny. " Co ma teda robit radovy obcan, majitel kreditnej karty ? V prvom rade davat pozor, aby nikto nemohol odpozorovat jeho cislo PIN pri zadavani do bankomatu. Rozumne je takisto ukladat peniaze do systemov prepojenych on-line. Tie su pre potencialnych prienikarov ovela tvrdsim orieskom, nez tie neprepojene. A tiez dufat, ze nasa policia v historicky kratkom case zisti, ze obusky uz na modernych zlocincov nestacia.

navrat na obsah
co ty na to ? board



Slovenska policia pritvrdzuje

Vo stvrtok 4.6.1997 kriminalna policia urobila prehliadku kancelarii firmy Eurocomp v Bratislave. Stalo sa tak na podnet BSA. Prehliadka bola zamerana na preverenie podozrenia ze v spolocnosti Eurocomp dochadza k neopravnenemu kopirovaniu, rozsirovaniu a pouzivaniu pocitacovych programov, ktorych autorske prava vlastnia clenske firmy BSA. Aliancia pred casom dostala od anonymneho informatora indicie o tom ze na pocitacoch spolocnosti Eurocomp su nainstalovane a pouzivane aj nelegalne kopie pocitacovych programov od firmy Microsoft a inych clenov BSA. Spolocnost sa podla informacie mala zaoberat aj pocitacovym piratstvom.

Anynymny informator bol byvaly pracovnik, ktory dostal padaka. Do Eurocompu nabehlo asi 15 chlapikov v civile a pri vstupe do budovy sa preukazali povolenim z okresnej prokuratury. Potom prikazali ludom vstat od pocitacov a zacali prehliadku a fotografovanie. Nebola ziadna sanca na schovanie pocitacov alebo vymazanie programov. Pokial sa niekto vzpieral, napr. ze nedostal nariadenie od sefa, tak dvaja ludia s nim zostali pri pocitaci a dialsi isiel pre sefa. Ja len dufam ze sa tu nenajde druhy kpt. Dastych.

rain, rainman(at)rainside.sk

navrat na obsah
co ty na to ? board



Jak se dostat do MONEY 5.1 kdyz neznam heslo

Program MONEY pro vedeni ucetnictvy asi vetsina zna. A tak by se nekomu mohlo hodit vedet, jak se do neho dostat pokud nezna heslo. A presne o tom je tenhle clanek. Sedel jsem si takle u kamose u pocitace a on me rika, ze vyhodne koupil hardisk a ze prej ho melo pred nim spustu lidi. A tak ze se na nej kouknem jestli tam neni neco zajimaviho. Tak sme zacali prochazet hadr a narazili jsme na money 5.1. Rikame si tak 'parada treba tam budou nejaky zajimavy data'. Tak to spustime a najednou ta strasne otravna hlaska 'ZADEJTE HESLO'. A tak si rikam to teda ne, dokud se tam nedostanu nendu dom. Nastesti to bylo lehci nez sem cekal. Heslo je ulozeny v souboru \databaze\pristup.dat.Na adrese 9Ah(154d) je ulozena delka hesla(coz ma fungovat asi jako kontrolni soucet :) a od 9Bh(155d) je zakodovane heslo. Dekodovani je naprosto jednoduche xor 181, no a z toho vam vyjde ASCII cislo dekodovaneho znaku. V praxi to vypada asi takto:

00009A: 06 C6 DE CC DB D0 C1   =>   heslo je SKYNET
BTW:nezalezi na velikosti pismen. Pokud vam ale de jen o to se tam dostat a heslo uplne znicit staci smazat tyto 3 soubory:
                                           pristup.dat
                                           pristup.ix
                                           pristup.bpf

Pokud je tam vice tuzivatelu, tak heslo u kazdeho dalsiho uzivatele je posunute v souboru pristup.dat o +65h(101d).

t_man

navrat na obsah
co ty na to ? board



hysteria navigator faq ( http://hysteria.sk/nav )

pridavani odkazu

pridavat odkazy do tohoto seznamu neni nic sloziteho. nejprve si vyberte spravny adresar. doclickejte se tedy ke zvolenemu adresari a vyplnte formular na pridavani dokumentu. do URL se zadava _cele_ url (vcetne protokolu), tedy napr. http://www.underground.org/ . kdyz zadavate cestu k adresari, uvadejte ji vcente lomitka ('/') na konci url. pokud '/' neuvedete, bude browser muset delat dva http requesty - jeden na cestu bez lomitka, server mu odpovi ze to je cesta_s_lomitkem - a druhy je uz na lomitkove url, spravne. TITLE je strucny titulek, ktery bude odkazem. A DESC je popisek odkazu. volte prosim popisky vystizne a kratke. V title i description muzete pouzivat html tagy, pouzivejte jen takove, ktere nenarusuji vzhled stranky. NEPOUZIVEJTE DIAKRITIKU!

mazani odkazu

pokud prestane nejaky odkaz fungovat, vymazte jej! do URL se zadava cesta, jak je uvedena u odkazu. nefungujici odkaz je takovy, kde delsi dobu vraci server 404 not found, popripade je server totalne down. !pozor! nez usoudite, ze server je down, ujistete se, zda neni chyba u isp (cesnetum nekdo shodil raba...), ci snad nejaky router neroutuje dokolecka, popripade nekdo neprekopl kabelaz. pokud 404, skuste zjistit nove url.

mkdir/rmdir

muzete take samozrejme zakladat a mazat adresare. jmeno adresare muze byt jakekoliv, ale nepouzivejte prosim diakritiku. url tohoto adresare bude odvozeno z nazvu, tzn. budou vynechany znaky jako /.[]:,|*?<>`\x20 :-) pokud je adresar prazdny, muzete jej smazat. kdyz do nej vlezete, bude vam jasne jak.

for internal use only

pro uzivatele hysterie: prava k /html/hysteria/nav/ a dalsim adresarum mate (rwx), takze muzete efektivne pracovat s celym navigatorem. pokud nejaky lamer tady udela paseku, opravte to prosim - z czech (cesnet) je sem _hrozne_ pomale spojeni (btw: nechcete si to nekdo vzit na starost?). nezapomente prosim zachovat spravne vsechny permissions, viz skripty.

jake odkazy pridavat

chctel bych, aby uroven NAVu byla co nejvyssi. nepridavejte sem prosim linky na lamerske stranky (napr. 'jak poslat email pomoci smtp', 'jak ircckovat telnetem', atd), popripade odkazy na (free) xxx adults only sitez. warez take neni vitan, stejne jako BFU/windoze. toto je site o H/P/A/V, ne pro SW piraty. vitany jsou odkazy na ruzne stranky zabyvajici se bezpecnosti systemu, phreakovani, stavba ruzneho zeleza, uzitecne stranky o unixech, smartcards, a spousta dalsiho.

mhi, mhi(at)hysteria.sk

navrat na obsah
co ty na to ? board



INDEX