|
|
lamer wrote:
Trong bài viết Đạo đức nghiên cứu lỗ hổng bảo mật http://www.bluemoon.com.vn/articles/the.ethics.of.vulnerability.research.html), Bruce có viết:
Các kỹ sư an ninh nhìn thế giới khác với những kỹ sư khác. Thay vì chú trọng vào vấn đề làm sao các hệ thống hoạt động, họ tập trung vào vấn đề làm sao các hệ thống hư hại, bị làm hư hại, và làm sao để phòng--hay chống--những hư hại đó. Đa số các lỗi bảo mật phần mềm không bao giờ xuất hiện trong quá trình hoạt động thông thường, chỉ xuất hiện khi có kẻ cố tình tận dụng chúng. Cho nên các kỹ sư an ninh cần phải suy nghĩ như những kẻ phá hoại này.
conmale wrote:
Nhiều ví dụ lắm. Thử xem.
"Mới cài xong LAMP, chạy được rồi" --> kỹ thuật viên.
"Mới cài xong LAMP, chạy được rồi, thử tối ưu rồi" --> kỹ thuật viên cao cấp.
"Mới cài xong LAMP trên Fedora, chạy được rồi, hardened rồi, chưa tìm ra lỗi. Để cài thử trên Debian xem có gì khác không" --> hacker.
Vậy có phải cả conmale và lamer đều suy nghĩ rằng "Hacker cần có một suy nghĩ như một kẻ phá hoại và luôn cố gắn đi tìm lỗi" ?
(Kẻ phá hoại ở đây là những người đang cố tình làm hư hại các hệ thống)
Cả hai bạn dường như đang nghiên về xu hướng định nghĩa hacker là những kẻ tấn công thay vì phòng thủ (dĩ nhiên là họ cũng phòng thủ cho hệ thống của riêng họ khi cần thiết), và chỉ khi nào đi tấn công thì mới được gọi là hacker? còn đi phòng thủ thì xem là "kỹ thuật viên cao cấp"?
Nghe có vẻ tiêu cực nhĩ. Tớ thì nghĩ đơn giản hơn, dù là hacker hay là kỹ thuật viên cao cấp gì thì cũng tư duy ngang nhau, tư duy ở đây được xem là cách giải quyết các vấn đề họ gặp phải, hacker thì tìm cách hạ ngục hệ thống, còn kỹ thuật viên thì tìm cách cũng cố và tối ưu hệ thống. Và cả hai bọn họ đều phải luôn tìm tòi sự đổi mới, luôn tìm cách chinh phục tri thức, luôn tìm cách tối ưu hóa hệ thống, luôn đề cao khả năng tự học, luôn củng cố và phát triển kiến thức ...
PM: Mà các bạn định nghĩa thế nào là "tư duy" thế? Vì có thể cách định nghĩa của tôi khác với các bạn, có thể một trong hai đúng hoặc cùng sai nên sẽ không hiểu nhau.
Theo tôi định nghĩ thì tư duy là quá trình tìm ra các phương pháp để giải các bài toán trong thực tế và công việc.
|
|
|
Tôi thấy cái ví dụ bạn đang làm chỉ chỉ ra được một điều rằng "hacker" và "coder" có hai mục đích khác nhau chứ chẳng phải là thể hiện tư duy khác nhau. Nếu muốn coder cũng có thể làm như hacker, với kiến thức lập trình họ có, việc can thiệp và chỉnh sửa một phần mềm không khó, tại sao lại không thể ?
Vậy nên tôi nghĩ "tư duy" khác với "mục đích".
|
|
|
Vậy conmale có thể ví dụ một vài "tư duy kiểu hacker" và so sánh nó với những "tư duy thuần túy của các kĩ sư hoặc chuyên viên kĩ thuật được không"? Trong topic này từ "tư duy hacker" được lặp lại nhiều lần, nhưng có vẻ chưa thống nhất nên tôi nghĩ nhiều anh em cũng còn đang thắc mắc và cũng muốn làm rõ.
Tôi thấy nếu nói về tư duy thì một tư duy của các kỹ sư hoặc chuyên viên kỹ thuật cũng đủ rồi, đó cũng là sự tìm tòi, khám phá, thích nghiên cứu, luôn tìm kiếm sự đổi mới, ... như vậy có khác gì tư duy của một attacker (trường hợp này là hacker) không nhỉ ?
|
|
|
conmale wrote:
louisnguyen27 wrote:
4. Nhớ là giỏi lập trình và network thì vẫn chưa phải là hacker, để làm một hacker thực sự có nhiều cái khác cần phải học
Tớ chẳng phải là héc cơ nhưng cũng cảm nhận rằng để "làm" một héc cơ, kỹ thuật là một chuyện nhưng tư duy mới là chuyện quan trọng nhất. héc cơ là những người tìm ra giải pháp cho một trở ngại hoặc vấn đề nào đó và chắc chắn không phải "step by step".
Không tư duy thì làm sao mà giỏi kĩ thuật được nhỉ ?
=> Giỏi kĩ thuật là đã có một tầm tư duy đáng nể, giỏi kỉ thuật lập trình không phải chỉ là nhớ các câu lệnh, mà còn nhớ đến cả những thuật toán, biết áp dụng đúng cách và tối ưu, tương tự như thế ta có thể khẳng định "chỉ cần giỏi kĩ thuật là đủ". Còn mấy cái thêm thắc vào như nghiên cứu tâm lí tội phạm thì còn tùy vào vị trí công việc đang làm và mức độ khó của công việc, một lập trình viên cũng có thể là hacker, nhưng chẳng ai đi học ngành tâm lí tội phạm để đi code cả.
|
|
|
louisnguyen27 wrote:
@ThanhTV: ừ thì từ cái nick YM của cậu tui đoán tuổi cậu còn nhỏ mà học sao nhiều thế nên tui chỉ chờ tự cậu phát ngôn cái câu nếu có giỏi thì nên học cái gì cho ra hồn tí , không hiểu trong cái đống lập trình mà cậu liệt kê ở trên có mấy cái được xem là ra hồn.
Còn việc social engineer tui không tranh luận kể cả với quanta vì có quá nhiều quan điểm khác nhau chung quanh chuyện đó. Đã là social thì mỗi người có một cách cảm nhận khác nhau.
Có cái nhà nọ, bị hư cái khóa, có người đi ngang qua không thấy... đi luôn. có người đi qua thấy báo với chủ nhà, có người thấy, giúp chủ nhà sửa khóa, có người thấy hôm sau quay lại bẻ khóa...
Tui vô đây chẳng để học network hay programming vì nó chẳng có lợi gì cho tui cả, bây giờ mà tui đi học mấy cái đó bạn tui bảo là tui khùng. Tui vô đây là để học cách tư duy của những người khác và trao đổi thêm thông tin với cộng đồng. Cái này tui quan niệm nó là social engineering.
(1) : Nói nhảm nhí thế trong này có lắm người cười bạn đấy.
(2) : Ờ, tui thì mong là được khùng như thế, vì tui ngại nhất là cái khoảng đi dụ tình người ta, tui đâu giỏi như bạn, nên nếu bạn thích thì bạn cứ phát triển theo cái hướng của bạn, còn tui thì tui cứ học kĩ thuật thôi, xem thử thằng nào sẽ khá hơn
|
|
|
mackhach wrote:
thì mình cũng đã mã hóa md5 cho pass admin của mình rồi, nhưng cũng bị lấy pass như thường...
attacker còn thay đổi dao diện tùm lum nữa... Làm mình phải mất cả tối để edit lại
Mình nghĩ bạn đang hiểu sai cái gì đó. Mã hóa MD5 không thể bị "crack" được, còn cái chiêu đoán pass loạn tử c** của các anh chàng hacker trên net thì tui không dám chắc, đứng phía phương diện kĩ thuật tui chỉ có thể chắc chắn là MD5 không thể bị "crack", còn lí do thì nên tìm hiểu thêm.
Còn vụ hacker quậy cái web đó thì không phải cứ phải có pass admin mới làm được, nó up được con shell lên rồi change pass admin trong database thì nó cũng vào như thường, nó không cần biết pass đang dùng của bạn là gì nhưng nó đổi vẫn được.
|
|
|
Tìm hiểu cơ chế lưu pass trong máy và tìm trên mạng những thông tin cần thiết đi, việc đi tìm thông tin mà làm cũng không ra được thì đi thâm nhập máy tính họ làm chi. Vả lại tui cũng không ủng hộ cái trò này, nhìn nó chuối không đỡ được, đã làm việc trong công ty thì bỏ cái tư tưởng này đi, nếu tui là sếp cậu chắc tui cho cậu đi luôn quá.
|
|
|
@ louisnguyen27: Ờ ờ, biết cái tên Kevin Mitnick, theo những thông tin mình có được thì đây là một trong những rookie nổi tiếng nhất thế giới khi mới 14 tuổi đã "biết sử dụng" những cái "của người khác" để gây ra những thiệt hại rất lớn cho các "hệ thống" thông tin.
Nếu có thời gian thì đọc qua bài /hvaonline/posts/list/3078.html thử xem, mình nghĩ nó có ích cho bạn đó.
Còn cái cách xóa dấu viết bằng tạt nước hay là tạt axit admin thì mình thua rồi, nó đúng là chuối thật, nhất là chuối trong tình trạng con sever đó không nằm ở Việt Nam và chẳng có gì tác dụng được vài đó
Còn cái gọi là social engineering thì sao tui nghe nó nông dân thế nhỉ. Một anh chàng ngu ngơ ra ngoài quán cafe mượn cái máy ai đó để gởi email và sẵn tiện gắn con virus vào đó thì chẳng có gì gọi là kĩ thuật cả, mấy đồng chí dạng này tui gặp nhiều rồi, nếu có giỏi thì nên học cái gì cho ra hồn tí, chứ còn cái dạng mấy đồng chí này chẳng bao giờ lừa được tui gì cả, đừng nói là thay vì học network, programming bạn lại đi học mấy cái đó nhé .
Tui đồng ý với bạn quanta, bạn tào lao quá đó.
|
|
|
Z0rr0 wrote:
Các câu vòng 1 như trên thường dành cho ứng viên MỚI RA TRƯỜNG, hiểu biết về C++ (nếu hồ sơ bạn ghi chỉ biết C# thì không ai lại hỏi về C++, trừ 1 số câu thiên về thuật toán hoặc tư duy logic).
Phải được ít nhất 60% phần cơ bản rồi mới tính vòng 2
Nếu ứng viên vững kiến thức vòng 1 thì tùy nhu cầu tuyển dụng, có thể ko cần hỏi thêm về kĩ thuật lập trình nữa mà hỏi những kiến thức khác, ví dụ kiến thức thiết kế, phân tích hệ thống, kĩ năng làm việc nhóm....
Những loại câu hỏi khó hơn có thể dùng ở vòng 2 ví dụ:
- Có 1 chuỗi kí tự dạng "abcaaaabbcccccccdeffff", viết 1 đoạn mã (mã giả cũng được) để nén nó lại nhằm tiết kiệm không gian lưu, chẳng hạn thành "abc4a2b7cde4f", nhưng HẠN CHẾ TỐI ĐA DÙNG BIẾN TẠM VÀ TỐI ƯU BỘ NHỚ SỬ DỤNG KHI TÍNH TOÁN ==> Lúc này sẽ thể hiện khả năng phân tích, kĩ năng sử dụng ngôn ngữ của bạn ở mức độ sâu hơn
- Có 1 mảng kí tự, viết hàm đảo ngược chuỗi mà không dùng biến tạm
Hôm trước mang mấy cái này đi hỏi mấy thèn em chuyên tin (cấp III), bảo tụi nó dùng pascal làm nhìn cũng vui phết
PM: Tụi nó làm được, vì cái này tìm ra thuật toán là ổn, còn dùng ngôn ngữ gì thì chắc không quá khó
|
|
|
Bạn chủ topic này đang hỏi là nên học ngôn ngữ lập trình gì để đi làm hacker, mà muốn làm hacker thì ít nhất phải có kĩ năng trong programming rồi mới tính gì tính sau, vậy nên cũng cần phải am hiểu một tí về các ngôn ngữ lập trình.
Bạn chủ topic này có hỏi đẳng cấp cao nhất của một hacker là gì đâu nhỉ
Mà cái đẳng cấp ấy là do bạn đề ra hay là ai đề ra thế
|
|
|
Cái công ty này thiếu tôn trọng nhân viên nhỉ.
|
|
|
dùng cả 2 domain đông thời trên 2 con server
Cái này hình như bạn viết nhầm hả? 1 domain cho 2 sever chứ ?
Tìm hiểu theo link http://www.google.com.vn/search?hl=vi&client=firefox-a&rls=org.mozilla%3Avi%3Aofficial&hs=0P4&q=Load+balancing&btnG=T%C3%ACm+ki%E1%BA%BFm&meta=lr%3Dlang_vi&aq=f&oq= xem.
|
|
|
mackhach wrote:
Mình muốn hỏi là hiện nay thì có những dạng mã hóa Pass Admin nào, và dạng mã hóa pass nào là an toàn nhất cho site của mình. Chứ mình thấy mã hóa bằng md5 thì không khó lắm đối với attacker.
Mong các bạn góp ý kiến dùm, chứ mình search ở google thì thấy nói chung chung quá
Có gì thiếu sót thì bỏ quá cho, vì mình thấy vấn đề này 4rum cũng đã bàn nhiều rồi...
Thank you
Dựa vào đâu mà bạn đưa ra khẳng định này thế ?
|
|
|
Chẳng biết mọi người học cái gì nhưng tôi tu luyện hơi nhiều, vì cảm thấy có nhiều việc cần làm bằng những ngôn ngữ lập trình khác nhau. Chủ đạo nhất vẫn là C\C++, Java, Python, ASM, Perl, Php, SQL, CSS, ...
|
|
|
Cám ơn bạn quanta.
Up link cho các bạn nào muốn download quyển sách mà quanta giới thiệu:
Code:
http://rapidshare.com/files/41125952/OReilly.LPI.Linux.Certification.in.a.Nutshell.2nd.Edition.Jul.2006.chm.html
|
|
|
Bạn quanta có thể giới thiệu luôn tên một vài quyển sách bạn hay xem được không ? Sách về các distro linux thì nhiều lắm, nhưng trong số đó không phải quyển nào cũng phù hợp với anh em newbie
|
|
|
san.chrio wrote:
Cách mình làm có vẽ đơn gian hơn. Một keylog có thể bypass tất cả. Hiện tại mình đang viết bản beta. Và có vẽ mọi chuyện đều yên lành. Bạn nào hứng thú liên hệ san.chiro@yahoo.com.
Bypass tất cả ? Tất cả cái gì và trong bao lâu ?
|
|
|
|
|
|
|