Wpis z mikrobloga

@PoIaczek: @PrawieJakBordo: @groman43: @twuj_wuj: Wszystkie takie mundre, oczytane i ę ą, a dajecie zupełnie zły wektor ataku, kurna rzucając się z motyką na słońce HTTPS xD.
Jak są w tej samej sieci i typ ma dostęp do routera, a router to nie mydelniczka od operatora z 2 funkcjami, to może np. zabawić się z DNSami i przekierować facebook.com na swoją stronę. Przecież tu chodzi tylko o to, abyPokaż całość

@tellet: koleś się pyta jak wykonać MITM atak

Podrzucie jakiś szybki sposób na to, żeby na podstawie ruchu sieciowego sprawdzić jakie dane logowania do fejsa ma współlokator.

Odpowiedź jest nie da się.

@tellet: dlatego też rzuciłem pojęcie "MITM" gdyż może odnosić się do wielu wektorów ataku, ale przecież od dawien dawna wiadomo, że jak jesteś w danej sieci podpięty to bardzo łatwo możesz zacząć kontrolować cały przepływ zaczynając od podstawienia fake strony np.: po przez wspomnianą zmianę DNSów do przechwytu samych pakietów wychodzących, także możliwości op ma wiele, ale przecież to tylko słaby bait więc no ¯\_(ツ)_/¯

Istnieje możliwość, żeby to zrobić, ale jak OP myśli, że po prostu zainstaluje jakiś soft i fejsbuk zhackowany no to dla niego się nie da ( ͡° ͜ʖ ͡°)

@teddybear69: nie da się nawet jak mu zainstalujesz własny CA, przechwycisz ruch i będziesz chciał dekodować w locie. Bo facebook ma cert pinning.

@teddybear69: arp spoofing + mitm poszukaj

@PoIaczek: „MITM” - gdzie to można pobrać XDDDDDDDDDDD o jak ryklem

@tellet: Pewnie, że może, ale rozwiązanie nie jest idealne i niewykrywalne. Nie wyświetlisz użytkownikowi poprawnego certyfikatu w ten sposób. Jak mamy się tak bawić, to lepiej chyba podrzucić jakiegoś keyloggera, jak ktoś od komputera odejdzie. Tak czy inaczej, nie jest to rozwiązanie o które prosi OP. OP chciałby poradnik na spryciarze.pl "JAK ZHACKOWAĆ FACEBOOKA 100% DZIAŁA".

dlatego też

@PoIaczek: nie #!$%@?

Od razu zaznaczam tym, którzy zaczną opowiadać bzdury, że się nie da, że jesteśmy w tej samej sieci lokalnej

@teddybear69: słyszałeś o szyfrowaniu? Chyba, że miałeś na myśli gapienie się przez ramie, aby zobaczyć, co wpisuje

@teddybear69:

1. Tak jak ludzie pisali, nie bardzo możesz zaatakować połączenie między użytkownikiem a facebookiem, bo połączenie jest szyfrowane a raczej nie połamiesz tu SSL/TLS. Bajki o sslstrip MITM i podmienianiu certyfikatu to stare dzieje, bo HSTS i certificate pinning skutecznie to uniemożliwiają. To nie lata 90 :)
2. Ale można podejść do problemu z innej strony - co jeśli ta osoba nie połączy się w ogóle z facebookiem ale będziePokaż całość

@jakuba94: xD

@konstelacjaniesamowitosci: ? ( ͡º ͜ʖ͡º)

@teddybear69: probowales juz emacsem przez sendmail??

@twuj_wuj:

OP chciałby poradnik na spryciarze.pl "JAK ZHACKOWAĆ FACEBOOKA 100% DZIAŁA".

Dokładnie tak- skoro znamy już poziom intelektualny OPa i jego biegłość w "konkuterach", to nie ma co mu oferować czegoś bardziej zaawansowanego.
Poziom ofiary trzeba niestety założyć, ale przeciętny użytkownik i tak nie zwraca uwagi na zabezpieczenia, chyba że to bank, to wtedy wie że "kłódka ma być" i nic poza tym, więc nawet letsencrypt wystarczy. To wszystko jest doPokaż całość

Tu już kilka osób wyczerpało temat (bez szczypty socjo albo powzięcia urządzenia w swoje łapki nic nie ugrasz).

Poza tym jedną z zalet bycia w tej samej podsieci jest to, że być może ofiara nie dostanie powiadomienia o logowaniu na nowe urządzenie (jak już zdobędziesz jakoś dane do logowania i ich użyjesz).

@tellet: a czy standardem nie jest uwierzytelnianie dwu składnikowe ? Co Ci z hasła jak to połowa.drogi. u mnie to FB dzwoni na telefon i automat glosowy podaje cyfry.

Więc przykładowo masz moje hasło do FB, chcesz się zalogować i wyrzuci Ci monit abyś podał kod.

"MITM" poczytaj o tym ( ͡~ ͜ʖ ͡°)

@PoIaczek: Podziel się koleżko pomysłem na to jak ominiesz HSTS ( ͡º ͜ʖ͡º)

@tellet: Druga kwestia, jak wspomniano wyżej, jest taka, że hasło nic mu nie da, bo nie ma kodu z telefonu ofiary. Co wiecej, nawet jeśli by mu się udało, to ofiara od razu dostaje powiadomienie o logowaniu, więc trzeba działać szybko, i najlepiej w ogóle spoza ich wspólnego mieszkania, żeby nie było podejrzeń. Część ludzi tu chyba zapomina, że chodzi o współlokatora i trzeba wybrać atak, który będzie trudny do wykrycia,Pokaż całość