කාලා වරෙං පුතා. හතරැස් වෙන ජාතියෙ එක ප්රශ්ණයක්නං කමක් නෑ. දෙකක් කිව්වම? ලේසි ටෙක්නික් එක තමා "අනේ මං දන්නෙ නෑ" හරි "&$@\&%*&^*^%@" හරි කියලා ශේප් වෙන එක. වැඩේ ඉතිං එහෙම කරපුවාම එක්කො අහන මනුස්සයට දුක හිතෙනවා නැත්නං "මුගෙ %$#%#$" කියලා හිතෙනවා. ඇටයා කාලෙ änthräXත් බොහොම අමාරුවෙන් dial up එකකින් 11kbps විතර වේගෙකිං සම්බන්ධ වෙලා, අත්තර්ජාලෙ හතරකොන පෙරලලා, ඔය අයියලා බහින චැට් රූම් එකක බොහොම අමාරුවෙන් ඉංගිරිසි ගලපලා ඔය ප්රශ්නෙම අහලා තමා ඉංගිරිසි බාසාවෙ තියන කුනුහරප වැඩි හරියක් ඉගනගන්න අවස්ථාව ලැබුනෙ. එහෙව් එකේ මේක සරළව පැහැදිලිව තේරුම් යන විදියට ලියලා තිබ්බනං මතු අනාගතයේදී ඔයවගේ අසීරු අවස්තාවක අහන කෙනාගෙ හිත රිදවන්නෙත් නැතුව අහන කෙනාට මගෙ වැඩිහිටියො මතක් කරන්න වෙන්නෙත් නැතුව ශේප් වෙන්න පුලුවන්නෙ :D.
පලවෙනියටම, කවදාවත් කිසිම කෙනෙක්ගෙන් අහන්න එපා "හැක් කරන්නෙ කොහොමද", "මගෙ ex girlfriend ගෙ e-mail එකේ password එක හොයන්නෙ කොහොමද", "මට මේක හැක් කරලා දෙන්න පුලුවන්ද" කියලා. ඔය විදියෙ ප්රශ්න අහල කව්රුහරි ඔයාට උත්තර දෙනවනං මතකතියාගන්න එයත් දැනුමක් තේරුමක් ඇතිව වැඩක් කරන කෙනෙක් නොවෙන වග. මුලින්ම ඉගනගන්න ඕනා ප්රශ්ණයක් අහන විදිය. ඒක හරියට දන්නවනං searching techniques ටිකක් ඉගනගත්තම බොහොමයක් දේවල් ගූගල් බාවිතාකරලම හොයාගන්න පුලුවන්. ඒ විතරක් නෙමේ, හරි විදියට ප්රශ්නෙ ඇහුවනං අනිවාර්යයෙන් පිලිතුරක් හරි පිලිතුර හොයාගන්න ඔත්තුවක් හරි ලැබෙනවා. උදාහරණයක් විදියට "gmail හැක් කරන්නෙ කොහොමද" කියලා ඇහුවොත් ඔයාට කවදාවත් උත්තරයක් හොයන්න බැරි ප්රශ්ණයට "SSL වල දුර්වලකම්" නැතිනම් "MITM කියන්නෙ මොකද්ද" කියලා කතාබහකට මුලපුරලා හොයාගන්න පුලුවන්. "පරිශීලකයට නොපෙනෙන්න application එකක් run කරන්නෙ කොහොමද" කියලා අහනවා වෙනුවට "exe එකක task visibility සෙට් කරන්නෙ කොහොමද"(.net ඇයන්ට නම් මේක තනි පේලියෙ කේතයක් :P) කියලා අහලා වැඩේ ගොඩදාගන්න පුලුවන්. ප්රශ්ණය අහන කෙනාට ඒත්තුගන්වන්න පුලුවන්නම් ඔයා ඇත්තටම උනන්දුවක් තියන කෙනෙක්, ඔයා හරියට 'ගෙදරවැඩ' කරනවා කියලා අනිවාර්යයෙන්ම ඔයාට උදව් ලැබෙනවා. මේ කියන්නෙ නොදන්න දෙයක් දන්න විදියට මවාපාන්න කියලා නෙමේ හොදද, එහෙම කරන එකෙන් අමාරුවෙ වැටෙන්නෙ ඔයාමයි.
කාවවත් සුලුකොට තකන්න එපා. IT කියන්නෙ ලොකු (ලොකු කියන්නෙ අම්බානක් ලොකු) ක්ශේත්රයක්. තමන් කොච්චර දේවල් දැනගෙන හිටියත් හැම විටම වෙන කෙනෙක්ගෙන් දෙයක් ඉගනගන්න පුලුවන් තැනක්. ඒක නිසා නිතරම ප්රශ්ණ අහන්න. නොදන්න දෙයක් නොදන්න බව පිලිගන්න එක ලැජ්ජා වෙන්න කාරණයක් නෙමේ.
හුගක් දෙනා කරන ලොකු වැරැද්දක් තමයි තමන් පාවිච්චි කරන ටූල් 'මහා ලොකු රහස්' විදියට තියන් ඉන්න එක. ඈණයක් ගලවන්න ඉස්කිරුප්පු ණියන පාවිච්චි කරන්න, චයර් එකක් කපන්න අඩුව පාවිච්චි කරන්න කියලා කෙනෙකුට කියාදෙන එකෙන් තමන්ට වෙන හානියක් නෑ කියලා තේරුම්ගන්නැත්තෙ ඇයි. ඔන්න තමන් දන්නෙත් ටූල් එකේ නම විතරයි, හරියට පාවිච්චි කරන්න දන්නෑ නම් කුහක කමට ඒකෙ නම කාටවත් නොකිය හිටියා කියලා කාටවත් මුකුත් කියන්න බෑ නෙ:P. අමතක කරන්න එපා බොහොමයක් ටූල්ස් විවෘත මෘදුකාංග කියන එක. ඔයා ටූල් එකක නම හංගං ඉන්න හැදුවට වැඩි කාලයක් සාර්ථක වෙන්න බෑ. ලේසි වැඩේ තමා දැනුම බෙදාගන්න එක. තමන් දන්න ටූල්ස් ගැන යාලුවො එක්ක කතා කරන්න. "මචං උබ කියපු ටූල් එක සිරා නෙ, මෙහෙම මෙහෙම දේවල් කරන්නත් පුලුවන් ඒකෙන්" කියලා යාලුවන්ගෙන් ලැබෙන feedback වලින් ඉගනගන්න වේගය වැඩි කරගන්න පුලුවන්. "බෙදාගන්න තරමට වැඩිවන දෙයකි, දැනුම" කියලා කියලා තියෙන්නෙ කට කහනවට නෙමෙයිලුනෙ.
මොකක් හරි ටූල් එකක් ගැන දැනගත්තම, ඒක පාවිච්චි කරන හැටි ඉගනගත්තම ඔක්කොම හරි කියලා නිකං ඉන්න එපා. ටූල් එකකින් කරන්න බැරි දෙයක් ටූල්ස් දෙකතුනක් ආධාරයෙන් කරන්න පුලුවන් විදි ගැන හිතන්න. හැට්ට කට්ටකින් ඉබි අගුලක් අරින්න කියලා යතුරු හිලට කටුව ඔබාගෙන එහෙට මෙහෙට කර කර ඉන්නව වෙනුවට ඉබි අගුල් ගැන, යතුරක් ක්රියාකරන විදිය ගැන ලියැවුනු ලිපි කියවලා වැඩෙ කරන්න පටන්ගන්න. තියරිය සහ ක්රියාකාරකම් හරි හරියට සමබරව තියාගන්න එක අනිවාර්යයි. මේක මහා ලොකු රහස් දැනුමක් නෙමෙයි. මොකක් හරි ක්රියාකරන විදිය ගැන වැටහීමක් කියනවනම්, ගලවලා බලන්න වෙනස් කරන්න මානසිකත්වය තියනවානම් වෙන මුකුත් උවමනා වෙන්නෙ නෑ. වැඩක් මැජික් වෙන්නෙ වැඩේ වෙනහැටි නොදන්නකොටනෙ. වැඩේ ගැන දන්නවනම් මහ කජ්ජක් නෙමේනෙ. තමන් කරන්නෙ මොකද්ද කියලා කිසිම තේරුමක් නැතිව කෙනෙක්ට තව කෙනෙක්ගෙ පරිගණකයකට රිංගගන්න පුලුවන් ටූල් එකක් භාවිතා කරලා. නමුත් මතක තියාගන්න, ඒ විදියට 'මැජික්' කරන්න වැඩි කාලයක් බෑ මොකද ඒ vulnerability එල patch කලාම වන්ඩිකම් ඔක්කොම ඉවරයි. ඒක නිසා මුලින්ම දේවල ක්රියාකරන හැටි ඉගනගන්න. ඊට පස්සෙ ටූල් භාවිතා කරන්න පුලුවන්. එහෙමයි කියලා ටූල්ස් එක්ක ඔට්ටු වෙලා බලන්න කිසිම තහනමක් නෑ.
ඔය ඔක්කොමත් එක්ක, කෙනෙක්ගෙන් උගන්වන්න කියල කරන ඉල්ලීම කොතරම් දුරට අසාධාරණද කියල අපි පොඩ්ඩකට හරි හිතලා බලලා තියනවද? හිතන්න ඉල්ලීම කරන්නෙ ඔයාගෙන් කියලා. කියාදෙනවා කියලා ඔයාට කරන්න පුලුවන් මේමේ vulnerabilities මේමේ විදියට exploit කරන්න පුලුවන් මෙ මේ ටූල්ස් පාවිච්චි කරලා කියන එක විතරයි නේද? හරිහමන් දැනුමක් නැතුව ඒ පුද්ගලයා ඔය දේවල් කරන්න ගිහින් නොදැනුවත්කමින් ප්රහාරයට ලක්වන පාර්ශවයේ දත්ත විනාශ කරලා හරි, හිතාමතාම කරල හරි වෙන පාඩුව? නීතිමය ප්රශ්ණවලට මැදිවෙලා ඔයාගෙ ගෝලයෙක්ට හිරේ යන්න උනොත් ඔයාට මොනවා හිතෙයිද? අනික මේ දේවල සාකච්චා කරන්න ඕනෙ වැරදි වැඩක් කරන අදහසකින් නැතිව වැරදි වැඩ කරන අයගෙන් බේරෙන අදහසින්. පාසලක උගන්නන විදියට සරල විදියට කියාදෙන්න පුලුවන් විෂයක් නෙමෙයි මේක.
විධාන පුවරුව (command line)පාවිච්චියට හුරුවීම අනිවාර්යයි. 90%කට වඩා අවස්ථාවලදී පරිගණකයකට දුරස්ථව සම්බන්ධ වෙන්න සිද්ධවෙන්නෙ. එහෙම අවස්ථාවකදී RDP හෝ VNC සම්බන්ධයක් (graphical interface එකක්) පාවිච්චි කරන එකේ අවාසි ගොඩයි. මතක ඇතිනෙ NASA එකට රිංගලා ඇණගත්ත Gary McKinnon
කියන මනුස්සයාව. එයාව මාට්තුවෙන්න මූලික ගේතුව RDP පාවිච්චි කිරිල්ලනෙ. දුරස්ථ පරිගණකයකට සම්බන්ධ වෙන්න හොදම විදිය තමා command line protocol එකක් පාවිච්චි කරන එක. වැඩියෙ bandwidth උවමනා වෙන්නෙ නැති නිසා slow proxies හරහා bounce කලා කියලා ආබාධයක් නෑ නෙ. අනික command line බාවිතය බොහොම වේගවත්.
"කොහොමද හැක් කරන්නෙ"
කරනදේ ගැන පැහැදිලි අවබෝධයක් ඇතිකරගෙන වෙස් විදියට හිතලා.
"මට උගන්වන්න පුලුවන්ද?"
සමාවෙන්න, මග පෙන්වන්න විතරයි පුලුවන්
කරන දෙයක් අවබෝධයක් ඇතුව කරන්න දන්න සිංහලෙන් ප්රශ්ණ අහන්න මෙතනින් පුලුවන් ;)
ජයවේවා කිව්වා...
සිරාවටම දෙයක් ඉගෙන ගත්තා. ඉදිරියට යන්න ආස හිතෙනවා. ඒත් කොහෙන් පටන් ගන්නද කියලා හිතාගන්න බෑ.
ReplyDeleteniyamaaaai!
ReplyDeleteThe first thing to learn is Social Engineering!!!
ReplyDeleteපට්ටපල් ඇත්ත.. මරු පෝස්ට් එක.. ඇස් ඇරෙනව කියවද්දි :) එහෙනං සුභ කිව්ව !!
ReplyDeleteපට්ට
ReplyDeleteදෙයක් ඉගෙන ගත්තා
ReplyDelete>"ඔය විදියෙ ප්රශ්න අහල කව්රුහරි ඔයාට උත්තර දෙනවනං"
ReplyDeleteඔය ප්රශ්නෙට උත්තර දෙන අයත් ඉන්නවලුනෙ.. :D
මරු පෝස්ට් එක.මම ගොඩක් දේවල් දැනගත්තා.හැබැයි අවසානයේ වැඩේ පටන්ගන්න ලින්ක් කිහිපයකුත් දුන්නනම් වටිනවා.
ReplyDeleteහොදට කියන්න ඕනේ දේ කියලා තියෙනවා. . . .
ReplyDelete@Kanishka
ReplyDeleteතාම වින්ඩෝස් නම් පාවිච්චිය command line එක වැඩ අල්ලන්න හොද තැනක්. මේං පටන්ගන්න පොඩි තල්ලුවක්
@මුචා
ටැංකෝ....
@Chanaka
have to disagree mate. no matter how good social engineer you are, without proper technical knowledge you are nothing more than a con man.
@කේෂාන්,
වැඩක් උනානම් සතුටුයි.
@චතුරංග
:D
@Dar[k]
;)
@ගයන්ත
අපි දන්න කවුරුහරිද ඈ
@Prashan
වැඩ අල්ලන්න මෙතෙන්ට එන්න
@Buddhika,
:D
https://lists.ubuntu.com/archives/ubuntu-za/2009-April/002998.html
ReplyDeletegood post.keep it up dont stop lessons please
ReplyDeleteඑලම කිරි :D
ReplyDeleteබයිද වේ.
මං ඔය වගේ වැඩ වලට පාවිච්චි කොරල නියම බඩුවක් තියෙනව:D
(උබ දන්නවනෙ ඒ භාණ්ඩෙ මොකද්ද කියල සහ ඒකෙ ප්රතිපල හී හී)
සෑර්, ලේසියෙන් කරගන්න පුළුවන් IDS -intruder Detection System එකක් ගැන ලියන්න පුළුවන්ද? මම Snort ට්රයි කලා, ම්හූ..!
ReplyDeleteඕං ඉස්සෙල්ලාම, හැට හුටා මාරක් warnnings ආවා. ඊට පස්සෙ config file එක කරලා එව්වා නැති කර ගත්තා. Rule base එකත් දාගත්තා. run කලාම මේ ඉලව්ව ඔහේ task bar එකට වෙලා බකන්නිලා ගෙන ඉන්නවා, කිසිදෙයක් කරන්නෙ නෑනෙ.
@gemunu
ReplyDeletethanks for the link
@nadeera
cheers mate, I'll do my best
@සරදියෙල්
ඒ මොකද්ද මචෝ
@Siribiris
snort සිරා නෙ. මචෝ IDS එක run වෙද්දි ඒ machine එකට connect වෙනකොටයි rules හදලා තියන triggers fire වෙන්නෙ. network එකක හරි VM එකක හරි දාලා connect වෙලා බැලුවද?
හත් ඉලව්වට ගහපි කලාබරේ. ඇත්ත නොවෙන්නම්. මමත් අර ගල් ඉබ්බො අව්ව තපිනවා වගේ බලාහිටියට, nothing to triggerවෙන්නත් පුළුවන්. හරි, අර උඹ් කිව්වහේ VM සෙට් එකක් හදලා, manually triggerකරලා ටෙස් කරන එක තමා, කරන්න තියෙන්නෙ. ස්තූතියි
ReplyDeleteමචෝ.
උන ලෙඩා වතුර ඉල්ලන්නැහේ එකදිගටම ඉල්ලීම් කරනවා කියලා බනින්න එපා මචෝ. VM ගැන කියපු හන්දයි අහන්නෙ.Bear metal, type-1 hypervisor ගැන ලියන්න පුළුවන්ද?. අර නිකං දෙන හිංදා අරගෙන ,XenServer, ESXi දෙකම මට කෙලවලයි තියෙන්නෙ.
වල්කං වල්කං
ReplyDeleteපික්ෂුද මචෝ,
ප්රශ්ණ අහගන්න උත්තරදීගන්න තරමටනෙ up to date ඉන්න පුලුවන්. අනික නොදන්න දෙයක් ඇහුවොත් හොයලා බලලා මාත් ඉගනගන්නවනෙ. bare metal කියපුවම type 1 තමා. මම ESX (පරණ එක) නම් vm එකක් විදියට දාගෙන පොඩ්ඩක් ඔට්ටු වෙලා තියනවා. XenServer නම් දාගෙන පොඩ්ඩක් ඔට්ටුවෙලා බලන්න ඕනා.
පොඩි ආරාධනාවක්. ප්රශ්ණ අහන්න, දන්න ඒවට උත්තර දෙන්න මෙතෙන්ට සෙට් වෙමුද?
සෙට් වෙමු. සෙට් වෙමු. ආරක්ෂක පද්ධති ගැනත් තියෙන්නෙ.
ReplyDeletebare metal-Type 1 නේන්නං. ඒකත් ලිව්වෙ"bear"කියලයි. වලස් ලෝහ - හෙහ්, හෙහ්.....
නියම පෝස්ට් එක.....ආයෙ කියල වැඩක් නෑ........දිගටම් ලියන්න.....ජයවේවා.....
ReplyDeleteThis comment has been removed by a blog administrator.
ReplyDeleteThis comment has been removed by a blog administrator.
ReplyDeleteThis comment has been removed by a blog administrator.
ReplyDelete