$ 5 डिवाइस (PoisionTap) का उपयोग करके कंप्यूटर को हैक किया गया हैक



अगर
आपको लगता है कि आपका कंप्यूटर सुरक्षित है जब यह एक मजबूत पासवर्ड के साथ बंद है,
तो सैमी कामकर का डिवाइस PoisionTap आपको गलत बना देगा। यह सस्ता शोषण
टूल को आपकी गोपनीयता बनाने के लिए सिर्फ 30 सेकंड लगते हैं
संगणक।


PoisionTap,
एक छोटे से $ 5 रास्पबेरी पाई जीरो माइक्रो कंप्यूटर को Node.js कोड के साथ लोड किया गया और संलग्न किया गया
USB एडाप्टर के लिए। आविष्कारक ने सार्वजनिक रूप से PoisionTap को स्रोत कोड जारी किया है,
ताकि कोई भी हैकर इसे अपने लिए आजमा सके।


अगर
आप एक हैकर हैं और अपने किसी सहकर्मी की हैकिंग या जानकारी प्राप्त करना चाहते हैं
आपका कार्यालय। आपको बस इस उपकरण को लक्ष्य कंप्यूटर में प्लग करना है और
रुको। PoisonTap पीड़ित के ब्राउज़र कैश को लक्षित करता है और दुर्भावनापूर्ण इंजेक्शन लगाता है
वहाँ कोड।


एक बार
हैकिंग टूल को लक्ष्य मशीन द्वारा मान्यता प्राप्त है, इसे कम-प्राथमिकता के रूप में लोड किया जाता है
नेटवर्क डिवाइस जो एक नया ईथरनेट कनेक्शन लगाना शुरू करता है और एक चलाता है
DHCP अनुरोध इसके पार। मशीन उस उपकरण को डीएचसीपी अनुरोध भेजती है जिसमें
प्रतिक्रिया यह बताती है कि संपूर्ण IPv4 पता स्थान PoisonTap का हिस्सा है
स्थानीय नेटवर्क। इस तरह, यह पूरा ट्रैफ़िक इससे होकर गुजरा
इंटरनेट के वैध प्रवेश द्वार तक पहुंचने से पहले PoisonTap डिवाइस। साथ में
यह ट्रिक, यह सभी अनएन्क्रिप्टेड वेब ट्रैफ़िक को स्वीकार करती है और किसी भी HTTP को चुरा लेती है
प्रमाणीकरण कुकीज़ निजी खातों के साथ-साथ सत्रों में प्रवेश करने के लिए उपयोग की जाती हैं
एलेक्सा शीर्ष 1 मिलियन साइटों के लिए।


PoisonTap
आपको कनेक्ट करने के लिए स्थानीय नेटवर्क पर एक अदृश्य स्थिति देगा
इंट्रानेट साइट और एक दूरस्थ सर्वर को डेटा भेजें। अब यह कंप्यूटर में होगा
इस उपकरण के लक्षित कंप्यूटर से अनप्लग होने के बाद भी आपका नियंत्रण।
चूंकि यह साइफ़ोन कुकीज़ का उपयोग करता है, आप लक्ष्य उपयोगकर्ता के ऑनलाइन को भी हाईजैक कर सकते हैं
यहां तक ​​कि वे दो-कारक प्रमाणीकरण (2FA) के साथ सुरक्षित हैं।


आविष्कारक
कहते हैं, “यह एक ही मूल सहित कई अन्य सुरक्षा तंत्रों को भी बायपास कर सकता है
नीति (SOP), HttpOnly कुकीज़, X- फ़्रेम-विकल्प HTTP प्रतिक्रिया हेडर, DNS
पिनिंग और क्रॉस-ऑरिजनल रिसोर्स शेयरिंग (कोर)। जब भी WebSocket
खुला है, हमलावर दूर से पीड़ित को आदेश भेज सकता है और उन्हें मजबूर कर सकता है
जावास्क्रिप्ट कोड निष्पादित करने के लिए ब्राउज़र


वहाँ
जब तक वेब ब्राउज़र एप्लिकेशन है, तब तक उपयोगकर्ताओं के लिए कोई आसान फिक्स उपलब्ध नहीं है
पृष्ठभूमि में चल रहा है।