ថ្ងៃល្អ! ថ្ងៃនេះយើងនឹងនិយាយអំពីអ្វីជាចរាចរណ៍? ពាក្យនេះអនុវត្តចំពោះតំបន់ផ្សេងៗគ្នា ប៉ុន្តែវាអាចត្រូវបានរកឃើញជាញឹកញាប់នៅលើអ៊ីនធឺណិត។ ជាការពិត ប្រាក់ចំណូលទាំងអស់នៅលើអ៊ីនធឺណិតគឺផ្អែកលើវា។
ចរាចរណ៍គឺសំខាន់ចលនា សកម្មភាព ការផ្លាស់ប្តូរពីកន្លែងមួយទៅកន្លែងមួយទៀត។ វាអាចច្រើន ឬតិច វាអាចលឿន ឬយឺត។ ពាក្យថាចរាចរ មានន័យថាចលនា បកប្រែពីភាសាអង់គ្លេស!
ឥឡូវនេះ ចូរយើងគិត ហេតុអ្វីបានជាយើងត្រូវការចរាចរណ៍?? តំបន់នីមួយៗត្រូវការវាសម្រាប់តម្រូវការពិសេសរបស់ខ្លួន។ ឧទាហរណ៍នៅក្នុងវាល IT វាបង្ហាញពីចំនួនមេកាបៃ។ ប្រសិនបើពួកគេមាន អ្នកអាចចូលអ៊ីនធឺណិតបាន ប៉ុន្តែអ្នកនឹងទាញយកភាពយន្ត ឬតន្ត្រី ឬអ្វីផ្សេងទៀត អាស្រ័យលើបរិមាណដែលអ្នកត្រូវការទិញ។
អ្នកគ្រប់គ្រងបណ្ដាញជាញឹកញាប់ត្រូវការវាដើម្បីរកលុយហើយគ្រប់គ្នាខិតខំឱ្យមានចលនាដ៏មានតម្លៃនេះនៅលើគេហទំព័ររបស់ពួកគេតាមដែលអាចធ្វើទៅបាន!
ប្រភេទនៃចរាចរណ៍
ឥឡូវនេះសូមក្រឡេកមើលប្រភេទចរាចរណ៍ទាំងអស់ដែលខ្ញុំបានស្វែងរក!
ចរាចរណ៍រថយន្ត
ចរាចរណ៍បែបនេះមានន័យថាចំនួនរថយន្តនៅចំណុចណាមួយ។ ជាឧទាហរណ៍ ក្នុងអំឡុងពេលសម្រាកអាហារថ្ងៃត្រង់ ពួកគេ 500 នាក់អាចឆ្លងកាត់ផ្លូវជាក់លាក់មួយក្នុងរយៈពេលមួយម៉ោង។ ហើយនេះគឺជាចរាចរណ៍ដ៏ច្រើននៃរថយន្ត។
ម្ចាស់ហាងលក់រាយរថយន្ត ពេលខ្លះអាចឆ្ងល់ថាតើធ្វើដូចម្តេចដើម្បីទាក់ទាញចរាចរណ៍ទៅកាន់ហាងលក់រថយន្ត? ដោយនេះពួកគេមានន័យថាអតិថិជនធម្មតា អ្នកទិញដើម្បីទាក់ទាញអ្នកគ្រាន់តែត្រូវការប្រើការផ្សាយពាណិជ្ជកម្មប៉ុណ្ណោះ!
ចរាចរណ៍ស្វ័យប្រវត្តិត្រូវវាស់វែងសម្រាប់ការសិក្សាផ្សេងៗ។ មានទាំងវិធីវាស់ដោយស្វ័យប្រវត្តិ និងដោយដៃ។
ចរាចរណ៍ផ្លូវគោក ឬចរាចរណ៍ផ្លូវគោកអាចបង្ហាញពីកម្រិតនៃការបំពុលនៅក្នុងទីតាំងជាក់លាក់មួយ។ បន្ទាប់ពីទាំងអស់ រថយន្តកាន់តែច្រើនឆ្លងកាត់ទីនោះ ការប្រមូលផ្តុំឧស្ម័នកាន់តែច្រើននៅក្នុងតំបន់នេះ។
ចរាចរណ៍ថ្មើរជើង
ប្រភេទនេះមានសុទ្ធតែអ្នកដែលប្រើសេះបង្កង់។ ខ្ញុំគិតថា សត្វក៏អាចចាត់ទុកជាប្រភេទនេះដែរ។ យ៉ាងណាមិញ ពេលខ្លះពួកគេក៏ផ្លាស់ទីទៅកន្លែងដែលបានកំណត់ជាពិសេស។
ចរាចរណ៍ថ្មើរជើងគឺសំខាន់មនុស្សដើរតាមផ្លូវឆ្នូត-សេះបង្កង់!
ជួនកាលចរាចរណ៍ថ្មើរជើងធ្ងន់អាចបង្កការលំបាកដល់អ្នកបើកបរ ដូច្នេះមានសេវាកម្មដែលត្រួតពិនិត្យបរិមាណរបស់វា។ ទោះបីជាខ្ញុំផ្ទាល់មិនបានឃើញអ្វីដូចនេះនៅក្នុងការអនុវត្ត។
ចរាចរណ៍សមុទ្រ
នេះគឺជាចលនានៃនាវាសមុទ្រផ្សេងៗ។ ឧទាហរណ៍ដូចជា ទូក កប៉ាល់ នាវាចំហុយ និងផ្សេងៗទៀត! មនុស្សតែងតែស្វែងរកឃ្លានេះនៅលើអ៊ីនធឺណិត ដើម្បីស្វែងយល់ពីចលនានៃចរាចរណ៍តាមសមុទ្រក្នុងពេលជាក់ស្តែង! គួរឱ្យភ្ញាក់ផ្អើលពិតជាមានការបង្ហាញផែនទីនៅលើអ៊ីនធឺណិត។ អ្នកអាចចូលទៅមើលកន្លែងដែលទូកចង់បាននៅ!
តើចរាចរណ៍ក្នុងការជួញដូរគឺជាអ្វី?
ឃ្លានេះសំដៅលើចំនួនអតិថិជនដែលបានមកហាង និងទិញអ្វីមួយ។ ដូចគ្នានេះដែរអាចត្រូវបាននិយាយអំពីចរាចរណ៍នៅក្នុងអាជីវកម្ម។ ទាំងនេះគ្រាន់តែជាមនុស្សដែលបានមកយកអ្វីមួយដោយផ្តល់ប្រាក់របស់ពួកគេជាថ្នូរនឹងការ។
ភាគច្រើនជាញឹកញាប់ ចរាចរណ៍ត្រូវបានជួញដូរនៅលើអ៊ីនធឺណិត ប៉ុន្តែវាក៏អាចលក់បានក្នុងជីវិតប្រចាំថ្ងៃផងដែរ។ ជាឧទាហរណ៍ តាមរយៈការណែនាំផលិតផលមួយទៅកាន់មនុស្សដែលត្រូវបានលក់នៅក្នុងហាងជាក់លាក់មួយ។ ជាងនេះទៅទៀត អ្នកត្រូវតែមានការព្រមព្រៀងជាមួយម្ចាស់ហាង ហើយគាត់ត្រូវតែយល់ថាអតិថិជនណាមួយនឹងមកពីអ្នកនៅថ្ងៃនេះ ប្រសិនបើជោគជ័យ ម្ចាស់គ្រឹះស្ថាននឹងចេញប្រាក់មួយភាគរយសម្រាប់ការមកដល់របស់អ្នកទិញ!
តើចរាចរណ៍នៅលើអ៊ីនធឺណិតគឺជាអ្វី?
នៅក្រោមពាក្យនេះនៅលើអ៊ីនធឺណិត ការរចនាពីរអាចត្រូវបានសម្គាល់:
- ចំនួនមេកាបៃ, ជីហ្គាបៃ។
- ចំនួនអ្នកចូលមើលគេហទំព័រមួយ។
ចរាចរណ៍អ៊ីនធឺណិតដំបូងគេស្គាល់ផងដែរថាជាចរាចរណ៍បណ្តាញ- នេះគឺជាពេលដែលអ្នកចង់ចូលអ៊ីនធឺណិត។ ដើម្បីធ្វើដូចនេះអ្នកត្រូវការកញ្ចប់មួយដែលមានឯកតារង្វាស់ដែលបានរៀបរាប់ខាងលើ។ ជាញឹកញាប់វាត្រូវបានកំណត់ដោយប្រតិបត្តិករទូរស័ព្ទចល័ត។ សម្រាប់កុំព្យូទ័រនៅផ្ទះ អ្នកអាចភ្ជាប់ទៅអ៊ីនធឺណិតមានខ្សែសម្រាប់ថ្លៃជាវថេរ។ ឧទាហរណ៍សម្រាប់ 400 rubles អ្នកអាចទាញយកភាពយន្ត តន្ត្រី និងឯកសារផ្សេងទៀតជាច្រើនតាមដែលអ្នកចង់បាន។ នៅទីនេះ ដែនកំណត់អាចត្រឹមតែក្នុងល្បឿនប៉ុណ្ណោះ យោងទៅតាមតម្លៃទំនិញរបស់អ្នក។ អ្នកបង់ចំនួននេះម្តងក្នុងមួយខែ!
នៅលើអ៊ិនធឺណិតចល័ត ជាមួយនឹងប្រាក់នេះ អ្នកអាចទិញឧទាហរណ៍ 3-5 GB សម្រាប់មួយខែ ហើយនោះជាវា។ ប្រសិនបើវាអស់ អ្នកទិញបន្ថែមទៀតក្នុងតម្លៃមិនអំណោយផល ឬរង់ចាំរហូតដល់រយៈពេលនៃការភ្ជាប់នេះផុតកំណត់។ ឧទាហរណ៍ អ្នកបានភ្ជាប់ 2 GB នៅដើមខែឧសភា ប៉ុន្តែបានប្រើវារហូតដល់ថ្ងៃទី 7 នៃខែដដែល។ នេះមានន័យថាសម្រាប់រយៈពេល 23 ថ្ងៃដែលនៅសល់ អ្នកនឹងត្រូវអង្គុយដោយគ្មានអ៊ីនធឺណិត ទាំងបង់ប្រាក់បន្ថែម ឬផ្លាស់ប្តូរពន្ធ។
ចរាចរណ៍អ៊ីនធឺណិតរបស់ខ្ញុំគឺ 7GB ក្នុងមួយសប្តាហ៍ ពន្ធ Zabugorishche! នេះគឺជាអ៊ីនធឺណិតពី MTS សម្រាប់ 600 រូប្លិ៍។ ការទូទាត់ម្តងរៀងរាល់ប្រាំពីរថ្ងៃសម្រាប់ 150 រូប្លិ៍។ លក្ខខណ្ឌបែបនេះសាកសមនឹងខ្ញុំណាស់ ជាពិសេសចាប់តាំងពីប្រាំពីរជីហ្គាបៃគឺសម្រាប់អ្នកប្រើប្រាស់ថ្មី។ ខ្ញុំបានភ្ជាប់មុននេះ ហើយអាចទាញយកបានច្រើនតាមដែលខ្ញុំចង់បានដោយមិនមានកម្រិតក្នុងល្បឿនមធ្យម។
ចរាចរណ៍អ៊ីនធឺណិតទីពីរត្រូវបានបង្ហាញឬគេហទំព័រគឺជាចរាចរណ៍ទៅកាន់ធនធានណាមួយនៅលើអ៊ីនធឺណិត។ ជាឧទាហរណ៍ មនុស្សប្រហែល 400 ទៅ 450 នាក់ចូលមើលប្លក់របស់ខ្ញុំតាមអ៊ីនធឺណិតជារៀងរាល់ថ្ងៃ! ជាលទ្ធផលខ្ញុំអាចនិយាយបានថាចរាចរណ៍របស់ខ្ញុំគឺបួនរយនាក់ក្នុងមួយថ្ងៃ!
ខ្ញុំគិតថាឥឡូវនេះអ្វីដែលចរាចរណ៍នៅលើអ៊ីនធឺណិតគឺច្បាស់លាស់សូម្បីតែសម្រាប់អត់ចេះសោះ!
តើចរាចរណ៍ទូរស័ព្ទចល័តគឺជាអ្វី?
សំខាន់ទាំងនេះគឺជាមនុស្សដែលមករកអ្នកតាមរយៈឧបករណ៍ - ទូរស័ព្ទ! មនុស្សមួយចំនួនក៏អាចសួរថា តើចរាចរណ៍នៅលើអ៊ីនធឺណិតតាមទូរស័ព្ទគឺជាអ្វី? ជាការប្រសើរណាស់, នេះគឺជាបរិមាណនៃចរាចរអ៊ីនធឺណិតដែលបានពិភាក្សាខាងលើ!
ប្រសិនបើអ្នកទទួលបានការជូនដំណឹងថាមានចរាចរណ៍តិចតួច នេះមានន័យថាអ៊ីនធឺណិតនឹងត្រូវបានបិទក្នុងពេលឆាប់ៗនេះ។ ជាធម្មតាវាកើតឡើងបន្ទាប់ពីចំនួនមេកាបៃគឺ 10 ឬ 50 ។
ចរាចរណ៍លើកទឹកចិត្ត
រូបរាងប្រភេទនេះមានន័យថាបុគ្គលនោះបានធ្វើអ្វីមួយតាមការស្នើសុំរបស់នរណាម្នាក់។ ឧទាហរណ៍ អ្នកបានចុះឈ្មោះក្នុងកម្មវិធីសម្ព័ន្ធមួយ ហ្គេមអនឡាញ។ សម្រាប់ការនាំមនុស្ស 1 នាក់ទៅវាអ្នកនឹងត្រូវបង់ 20 រូប្លិ៍។ ជាលទ្ធផល អ្នកទៅធ្វើកិច្ចការនៅសេវាកម្មពិសេស។ សុំឱ្យមនុស្សចុះឈ្មោះសម្រាប់រង្វាន់ 5 រូប្លិ៍។ ប្រាក់ចំណេញរបស់អ្នកនឹងមាន 15 ប្រាក់ចំណេញសុទ្ធ! បុគ្គលនោះជ្រៀតចូលហ្គេមព្រោះអ្នកសុំឱ្យធ្វើដើម្បីលុយ។
ចរាចរណ៍គោលដៅឬប្រធានបទ
ខ្ញុំនឹងប្រាប់អ្នកអំពីជម្រើសនេះដោយប្រើឧទាហរណ៍នៃក្រុម VKontakte ឬសហគមន៍។ បុរសម្នាក់បានបង្កើតអ្វីដែលស្រដៀងគ្នា ហើយបានប្រមូលអ្នករាល់គ្នានៅទីនោះដែលចាប់អារម្មណ៍នឹងការចេញ iPhone ថ្មី។ មនុស្សជាច្រើនគ្រាន់តែចង់ទិញវា! ឧបមាថាមានមនុស្ស 20,000 នាក់! ដូច្នេះហើយគាត់បានចូលទៅក្នុងទីផ្សារដោយមិនគិតពីរដងអ្នកនិពន្ធបានរកឃើញហាងពិតប្រាកដមួយដែលមានកម្មវិធីសម្ព័ន្ធ 5% ជាធម្មតាការកាត់នៅក្នុងហាងផ្លូវការគឺតូច។ ប៉ុន្តែក្រៅពីនេះ ខ្ញុំបានធ្វើឱ្យមានការច្របូកច្របល់ ហើយបានរកឃើញច្បាប់ចម្លងដែលពាក់ព័ន្ធ។ មិនមែនគ្រប់គ្នាសុទ្ធតែអាចមានលទ្ធភាពទិញដើមបានទេ។ ខ្ញុំបានផ្ដល់ជម្រើសពីរដល់សហគមន៍! ហើយជាលទ្ធផលខ្ញុំទទួលបានប្រាក់ចំណូលល្អជាង 100,000 rubles! ហើយដោយសារមនុស្សទាំងអស់នេះចាប់អារម្មណ៍ក្នុងការទិញ ពួកគេបានវាយលុកពួកគេដោយមានគោលដៅ ឬតាមប្រធានបទ!
ជាឧទាហរណ៍ មិនមែនគោលដៅទេ នេះមានន័យថាការផ្សាយពាណិជ្ជកម្មសម្រាប់កុំព្យូទ័រយួរដៃ DNS ទៅមនុស្សម្នាក់ដែលសុបិនចង់កុំព្យូទ័រពី MSI ។ តាមពិត នេះជារឿងអត់ចេះសោះ ខាតលុយ ព្រោះគាត់មិនយកទេ។
តើអ្វីជាចរាចរណ៍ផ្លូវចូល?
ខ្ញុំនឹងបង្ហាញម្តងទៀតជាមួយនឹងឧទាហរណ៍មួយ! មានការប្រកួតប្រជែងជាច្រើននៅលើអ៊ីនធឺណិតក្នុងការលក់ផលិតផលឬសេវាកម្មស្ទើរតែទាំងអស់។ ដូច្នេះហើយ មនុស្សមួយចំនួន ដើម្បីឆ្លងកាត់ឧបសគ្គនេះ និងរកលុយតាមកម្មវិធីសម្ព័ន្ធ សូមអនុវត្តតាមវិធីខាងក្រោម៖
- ពួកគេជ្រើសរើសផលិតផលដែលពួកគេចង់រកលុយ។
- ពួកគេមិនស្វែងរកឃ្លាប្រកួតប្រជែងខ្លាំងពីទីផ្សារពិសេសនេះទេ ប៉ុន្តែវាត្រូវបានបញ្ចូលទៅក្នុងការស្រាវជ្រាវជាញឹកញាប់។
- ពួកគេបង្កើតគេហទំព័រមួយដែលមានដែនសម្រាប់តែពាក្យគន្លឹះនេះ។
ជាលទ្ធផល គេហទំព័រនេះត្រូវបានឧទ្ទិសជាពិសេសចំពោះផលិតផល ឧទាហរណ៍ កាមេរ៉ាសកម្មភាព ឬទុយោទឹក។ ជាការប្រសើរណាស់, ប្រសិនបើនេះជាករណី, ម៉ាស៊ីនស្វែងរកជាពិសេស Yandex ព្យាយាមចាត់ថ្នាក់វាឱ្យខ្ពស់តាមដែលអាចធ្វើទៅបាន។ ជាលទ្ធផលមនុស្សចូលមកហើយខ្លះទិញចរាចរណ៍។
សរុបមក ចរាចរណ៍បានមកពីច្រកទ្វារ ឬគេហទំព័រដែលត្រូវបានកែសម្រួលសម្រាប់កម្មវិធីសម្ព័ន្ធជាក់លាក់មួយ។
ចរាចរណ៍យោង
ប្រាកដជាម្ចាស់កម្មវិធីសម្ព័ន្ធប្រើឃ្លានេះ! ពួកគេរាប់ចំនួនការលក់ដោយផ្ទាល់ដែលពួកគេបានធ្វើ និងចំនួនប៉ុន្មានបានមកពីចរាចរបង្អែក ដែលត្រូវបានគេស្គាល់ថាជាចរាចរណ៍សម្ព័ន្ធ។
នោះគឺប្រសិនបើអ្នកជាដៃគូរ ហើយជំរុញអ្នកទស្សនាទៅកាន់ផលិតផលនោះ ម្ចាស់ផលិតផលនឹងហៅអ្នកថាជាអ្នកណែនាំ។
ឬយើងអាចនិយាយបានថានេះគឺជាអ្នកប្រើប្រាស់ដែលបានមកតាមរយៈតំណយោងរបស់នរណាម្នាក់ទៅកាន់សេវាកម្មនេះ។ ហើយបន្ទាប់មកគាត់បាននាំមនុស្សកាន់តែច្រើនទៅគម្រោងដូចគ្នាដោយប្រើតំណភ្ជាប់របស់គាត់! ដែលអាចត្រូវបានគេហៅថាចរាចរបញ្ជូនបន្ត។
ចេញនិងចូល
ភាគច្រើនវាអនុវត្តចំពោះពន្ធលើអ៊ីនធឺណិតនៅលើកុំព្យូទ័ររបស់អ្នក។ ប្រសិនបើអ្នកប្រើកម្មវិធីដើម្បីគណនីសម្រាប់វា ឬអ្នកមានម៉ូឌឹមចល័ត ឧទាហរណ៍ពី MTS នោះអ្នកប្រហែលជាសម្គាល់ឃើញថាមានក្រាហ្វនៅទីនោះ។ លើសពីនេះទៀតមានសិលាចារឹកសម្រាប់ចរាចរណ៍ចូលនិងចេញ។ ជាការប្រសើរណាស់ ខណៈពេលកំពុងប្រើអ៊ីនធឺណិត អ្នកផ្លាស់ប្តូរទិន្នន័យជាមួយម៉ាស៊ីនមេនៅលើកុំព្យូទ័រផ្សេងទៀត។ ពួកគេខ្លះទៅឆ្ងាយ ហើយផ្នែកផ្សេងទៀតមករកអ្នកក្នុងទម្រង់ជាកម្មវិធី ភាពយន្ត រូបភាព តន្ត្រី។ល។
ចរាចរណ៍វីដេអូ
ទាំងនេះគឺជាការបំប្លែងរបស់អ្នកប្រើប្រាស់សំខាន់ៗដោយប្រើខ្លឹមសារវីដេអូ។ ឧទាហរណ៍ នៅលើ YouTube អ្នកអាចផ្តល់នូវតំណភ្ជាប់នៅក្រោមវីដេអូ ឬបញ្ចូលតំណភ្ជាប់ទៅក្នុងឈុតខ្លួនឯង។ YouTubers សកម្ម និងពេញនិយមអាចទាក់ទាញអ្នកប្រើប្រាស់គោលដៅជាច្រើន!
ស្វែងរកចរាចរណ៍ ឬសរីរាង្គ
នោះគឺនេះគឺជាចរាចរណ៍ពីម៉ាស៊ីនស្វែងរក! ចូរនិយាយថាមនុស្សម្នាក់កំពុងស្វែងរក flash drive ហើយម៉ាស៊ីនស្វែងរកត្រឡប់គេហទំព័រជាច្រើន។ ជាការប្រសើរណាស់, ប្រសិនបើគាត់ទៅណាមួយនៃពួកគេ, បន្ទាប់មកសម្រាប់គេហទំព័រនេះអ្នកទស្សនានឹងត្រូវបានចាត់ទុកថាសរីរាង្គ! ការផ្លាស់ប្តូរស្រដៀងគ្នាអាចមកពីម៉ាស៊ីនស្វែងរកផ្សេងៗគ្នា ឧទាហរណ៍ពី Yandex, Google, Mail ។ល។
ចរាចរណ៍ផ្ទាល់
ខ្ញុំនឹងចាប់ផ្តើមភ្លាមៗជាមួយនឹងឧទាហរណ៍មួយ។ អ្នកមានមិត្តម្នាក់ ហើយថ្មីៗនេះគាត់បានទិញទឹកផ្លែឈើពីហាងអនឡាញមួយ។ សេវាកម្មនេះផ្តល់ឱ្យគាត់នូវការបញ្ចុះតម្លៃ 20% ហើយថែមទាំងផ្តល់ឱ្យគាត់នូវពែងមួយឈុត! ក្រឡេកមើលមិត្តរបស់អ្នក អ្នកក៏ចង់ទិញរបស់នៅក្នុងហាងនេះជាមួយនឹងការផ្សព្វផ្សាយបែបនេះដែរ។ ដូច្នេះហើយសួរគាត់រកអាសយដ្ឋានពិតប្រាកដ។ គាត់ផ្តល់ឱ្យវាដោយធម្មជាតិហើយដូច្នេះអ្នកចូលទៅកាន់វែបសាយត៍ធ្វើការទស្សនាដោយផ្ទាល់ដោយគ្មានប្រព័ន្ធណាមួយ។ យើងវាយបញ្ចូលអាសយដ្ឋាន ហើយចូលទៅកាន់ទំព័រមេនៃគម្រោង។ នេះនឹងមានន័យថាអ្នកបានក្លាយជាចរាចរណ៍ផ្ទាល់សម្រាប់ហាងនេះ។
ចរាចរណ៍ពីបរិបទ
មនុស្សជាច្រើនដែលព្យាយាមលក់សេវាកម្ម ឬផលិតផលរបស់ពួកគេធ្វើការផ្សាយពាណិជ្ជកម្មតាមបរិបទនៅលើអ៊ីនធឺណិត។ នេះជាការផ្សាយពាណិជ្ជកម្មដែលអ្នកប្រហែលជាបានឃើញពេលកំពុងអានអត្ថបទនៅលើអ៊ីនធឺណិត។
ជាការប្រសើរណាស់, ប្រសិនបើមនុស្សម្នាក់ចុចលើការផ្សាយពាណិជ្ជកម្មនៅក្នុងអត្ថបទហើយបានទៅផលិតផលនោះវានឹងត្រូវបានសំដៅថាជាចរាចរពីបរិបទ!
តើអ្វីទៅជាការលួចបន្លំចរាចរណ៍?
ប្រភេទនេះបង្ហាញថាចរាចរណ៍មិនស្អាតទាំងស្រុង។ បកប្រែពីភាសាអង់គ្លេស ពាក្យ ក្លែងបន្លំ មានន័យថា ក្លែងបន្លំ។ សម្រាប់អ្នកផ្សាយពាណិជ្ជកម្ម ការចូលមើលប្រភេទនេះមានន័យថាបាត់បង់លុយ។ តើរឿងនេះអាចកើតឡើងដោយរបៀបណា?
អ្នកប្រើប្រាស់ជាច្រើនមិនបានដឹងថាដោយការបំពេញការចូល និងពាក្យសម្ងាត់នៅពេលចុះឈ្មោះ ឬចូលទៅក្នុងធនធានអ៊ីនធឺណិតដែលបិទហើយចុច ENTER ទិន្នន័យនេះអាចស្ទាក់ចាប់បានយ៉ាងងាយស្រួល។ ជាញឹកញាប់ពួកវាត្រូវបានបញ្ជូនតាមបណ្តាញក្នុងទម្រង់មិនមានសុវត្ថិភាព។ ដូច្នេះ ប្រសិនបើគេហទំព័រដែលអ្នកកំពុងព្យាយាមចូលប្រើពិធីការ HTTP នោះវាងាយស្រួលណាស់ក្នុងការចាប់យកចរាចរនេះ វិភាគវាដោយប្រើ Wireshark ហើយបន្ទាប់មកប្រើតម្រង និងកម្មវិធីពិសេសដើម្បីស្វែងរក និងឌិគ្រីបពាក្យសម្ងាត់។
កន្លែងដ៏ល្អបំផុតដើម្បីស្ទាក់ចាប់ពាក្យសម្ងាត់គឺជាស្នូលនៃបណ្តាញ ដែលចរាចរណ៍របស់អ្នកប្រើប្រាស់ទាំងអស់ទៅកាន់ធនធានបិទ (ឧទាហរណ៍ សំបុត្រ) ឬនៅពីមុខរ៉ោតទ័រ ដើម្បីចូលប្រើអ៊ីនធឺណិត នៅពេលចុះឈ្មោះលើធនធានខាងក្រៅ។ យើងរៀបចំកញ្ចក់មួយ ហើយយើងត្រៀមខ្លួនជាស្រេចដើម្បីមានអារម្មណ៍ថាដូចជាពួក Hacker ។
ជំហានទី 1. ដំឡើង និងបើកដំណើរការ Wireshark ដើម្បីចាប់យកចរាចរណ៍
ពេលខ្លះដើម្បីធ្វើវា វាគ្រប់គ្រាន់ក្នុងការជ្រើសរើសតែចំណុចប្រទាក់ដែលយើងមានគម្រោងចាប់យកចរាចរណ៍ ហើយចុចប៊ូតុងចាប់ផ្តើម។ ក្នុងករណីរបស់យើង យើងកំពុងចាប់យកតាមបណ្តាញឥតខ្សែ។
ការចាប់យកចរាចរណ៍បានចាប់ផ្តើម។
ជំហានទី 2. ត្រងការចាប់យកចរាចរណ៍ POST
យើងបើកកម្មវិធីរុករកហើយព្យាយាមចូលទៅក្នុងធនធានមួយចំនួនដោយប្រើឈ្មោះអ្នកប្រើនិងពាក្យសម្ងាត់។ នៅពេលដែលដំណើរការអនុញ្ញាតត្រូវបានបញ្ចប់ ហើយគេហទំព័រត្រូវបានបើក យើងឈប់ចាប់យកចរាចរណ៍នៅក្នុង Wireshark ។ បន្ទាប់មកបើកកម្មវិធីវិភាគពិធីការ ហើយឃើញកញ្ចប់ព័ត៌មានមួយចំនួនធំ។ វាគឺនៅត្រង់ចំណុចនេះហើយដែលអ្នកជំនាញ IT ភាគច្រើនបោះបង់ចោលព្រោះពួកគេមិនដឹងថាត្រូវធ្វើអ្វីបន្ទាប់។ ប៉ុន្តែយើងដឹង និងចាប់អារម្មណ៍លើកញ្ចប់ជាក់លាក់ដែលមានទិន្នន័យ POST ដែលត្រូវបានបង្កើតនៅលើម៉ាស៊ីនមូលដ្ឋានរបស់យើង នៅពេលបំពេញទម្រង់នៅលើអេក្រង់ ហើយផ្ញើទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយ នៅពេលយើងចុចប៊ូតុង "ចូល" ឬ "ការអនុញ្ញាត" នៅក្នុងកម្មវិធីរុករក។
យើងបញ្ចូលតម្រងពិសេសនៅក្នុងបង្អួចដើម្បីបង្ហាញកញ្ចប់ព័ត៌មានដែលបានចាប់យក៖ http.សំណើ។វិធីសាស្រ្ត == "ប្រកាស"
ហើយយើងឃើញ ជំនួសឱ្យកញ្ចប់រាប់ពាន់ វាមានតែមួយជាមួយទិន្នន័យដែលយើងកំពុងស្វែងរក។
ជំហានទី 3. ស្វែងរកការចូល និងពាក្យសម្ងាត់របស់អ្នកប្រើ
ចុចកណ្ដុរស្ដាំយ៉ាងលឿន ហើយជ្រើសរើសធាតុពីម៉ឺនុយ អនុវត្តតាម TCP Steam
បន្ទាប់ពីនេះ អត្ថបទនឹងបង្ហាញនៅក្នុងបង្អួចថ្មីដែលស្ដារមាតិកានៃទំព័រនៅក្នុងកូដ។ ចូរយើងស្វែងរកវាល "ពាក្យសម្ងាត់" និង "អ្នកប្រើប្រាស់" ដែលត្រូវនឹងពាក្យសម្ងាត់ និងឈ្មោះអ្នកប្រើប្រាស់។ ក្នុងករណីខ្លះ វាលទាំងពីរនឹងអាចអានបានយ៉ាងងាយស្រួល និងមិនអាចអ៊ិនគ្រីបបាន ប៉ុន្តែប្រសិនបើយើងកំពុងព្យាយាមចាប់យកចរាចរណ៍នៅពេលចូលប្រើធនធានល្បីៗដូចជា Mail.ru, Facebook, Vkontakte ជាដើម នោះពាក្យសម្ងាត់នឹងត្រូវបានអ៊ិនគ្រីប៖
HTTP/1.1 302 បានរកឃើញ
ម៉ាស៊ីនមេ៖ Apache/2.2.15 (CentOS)
X-Powered-ដោយ៖ PHP/5.3.3
P3P: CP="NOI ADM DEV PSAi COM NAV OTRO STP របស់យើងនៅក្នុង DEM"
Set-Cookie: password= ; ផុតកំណត់=Thu, 07-Nov-2024 23:52:21 GMT; ផ្លូវ =/
ទីតាំង៖ loggedin.php
ប្រវែងខ្លឹមសារ៖ ០
ការតភ្ជាប់: បិទ
ប្រភេទមាតិកា៖ អត្ថបទ/html; សំណុំតួអក្សរ = UTF-8
ដូច្នេះក្នុងករណីរបស់យើង៖
ឈ្មោះអ្នកប្រើប្រាស់៖ networkguru
ពាក្យសម្ងាត់៖
ជំហានទី 4. កំណត់ប្រភេទការអ៊ិនកូដដើម្បីឌិគ្រីបពាក្យសម្ងាត់
ជាឧទាហរណ៍ សូមចូលទៅកាន់គេហទំព័រ http://www.onlinehashcrack.com/hash-identification.php#res ហើយបញ្ចូលពាក្យសម្ងាត់របស់យើងនៅក្នុងបង្អួចកំណត់អត្តសញ្ញាណ។ ខ្ញុំត្រូវបានផ្តល់បញ្ជីនៃពិធីការអ៊ិនកូដតាមលំដាប់អាទិភាព៖
ជំហាន 5. ការឌិគ្រីបពាក្យសម្ងាត់អ្នកប្រើប្រាស់
នៅដំណាក់កាលនេះយើងអាចប្រើឧបករណ៍ប្រើប្រាស់ hashcat៖
~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
នៅទិន្នផលយើងបានទទួលពាក្យសម្ងាត់ដែលបានឌិគ្រីប: simplepassword
ដូច្នេះ ដោយមានជំនួយពី Wireshark យើងមិនត្រឹមតែអាចដោះស្រាយបញ្ហាក្នុងប្រតិបត្តិការនៃកម្មវិធី និងសេវាកម្មប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងសាកល្បងខ្លួនយើងជាពួក Hacker ស្ទាក់ចាប់ពាក្យសម្ងាត់ដែលអ្នកប្រើប្រាស់បញ្ចូលក្នុងទម្រង់គេហទំព័រ។ អ្នកក៏អាចស្វែងរកពាក្យសម្ងាត់សម្រាប់ប្រអប់សំបុត្ររបស់អ្នកប្រើដោយប្រើតម្រងសាមញ្ញដើម្បីបង្ហាញ៖
- ពិធីការ និងតម្រង POP មើលទៅដូចនេះ៖ pop.request.command == "USER" || pop.request.command == "PASS"
- ពិធីការ IMAP និងតម្រងនឹងមានៈ imap.request មាន "ចូល"
- ពិធីការគឺ SMTP ហើយអ្នកនឹងត្រូវបញ្ចូលតម្រងខាងក្រោម៖ smtp.req.command == "AUTH"
និងឧបករណ៍ប្រើប្រាស់ដ៏ធ្ងន់ធ្ងរបន្ថែមទៀតសម្រាប់ការឌិគ្រីបពិធីការអ៊ិនកូដ។
ជំហានទី 6៖ ចុះបើចរាចរណ៍ត្រូវបានអ៊ិនគ្រីប និងប្រើ HTTPS?
មានជម្រើសជាច្រើនដើម្បីឆ្លើយសំណួរនេះ។
ជម្រើសទី 1. ភ្ជាប់នៅពេលដែលការតភ្ជាប់រវាងអ្នកប្រើប្រាស់ និងម៉ាស៊ីនមេត្រូវបានខូច ហើយចាប់យកចរាចរនៅពេលការតភ្ជាប់ត្រូវបានបង្កើតឡើង (SSL Handshake)។ នៅពេលដែលការតភ្ជាប់ត្រូវបានបង្កើតឡើង សោសម័យអាចត្រូវបានស្ទាក់ចាប់។
ជម្រើសទី 2៖ អ្នកអាចឌិគ្រីបចរាចរណ៍ HTTPS ដោយប្រើឯកសារកំណត់ចំណាំវគ្គដែលកត់ត្រាដោយ Firefox ឬ Chrome ។ ដើម្បីធ្វើដូច្នេះ កម្មវិធីរុករកត្រូវតែកំណត់រចនាសម្ព័ន្ធដើម្បីសរសេរសោអ៊ិនគ្រីបទាំងនេះទៅកាន់ឯកសារកំណត់ហេតុ (ឧទាហរណ៍ផ្អែកលើ FireFox) ហើយអ្នកគួរតែទទួលបានឯកសារកំណត់ហេតុនោះ។ សំខាន់ អ្នកត្រូវលួចឯកសារ Session key ពី hard drive របស់អ្នកប្រើផ្សេង (ដែលខុសច្បាប់)។ ជាការប្រសើរណាស់ បន្ទាប់មកចាប់យកចរាចរណ៍ ហើយប្រើសោលទ្ធផលដើម្បីឌិគ្រីបវា។
ការបំភ្លឺ។យើងកំពុងនិយាយអំពីកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់មនុស្សដែលមានពាក្យសម្ងាត់ដែលពួកគេកំពុងព្យាយាមលួច។ ប្រសិនបើយើងមានន័យថា ឌិគ្រីបចរាចរណ៍ HTTPS ផ្ទាល់ខ្លួនរបស់យើង ហើយចង់អនុវត្ត នោះយុទ្ធសាស្ត្រនេះនឹងដំណើរការ។ ប្រសិនបើអ្នកកំពុងព្យាយាមឌិគ្រីបចរាចរ HTTPS របស់អ្នកប្រើប្រាស់ផ្សេងទៀតដោយមិនមានសិទ្ធិចូលប្រើកុំព្យូទ័ររបស់ពួកគេ នោះវានឹងមិនដំណើរការទេ នោះគឺទាំងការអ៊ិនគ្រីប និងឯកជនភាព។
បន្ទាប់ពីទទួលបានកូនសោយោងទៅតាមជម្រើស 1 ឬ 2 អ្នកត្រូវចុះឈ្មោះពួកវានៅក្នុង WireShark៖
- ចូលទៅកាន់ម៉ឺនុយកែសម្រួល - ចំណូលចិត្ត - ពិធីការ - SSL ។
- កំណត់ទង់ "ប្រមូលផ្តុំកំណត់ត្រា SSL ឡើងវិញដែលលាតសន្ធឹងផ្នែក TCP ច្រើន" ។
- "បញ្ជីគ្រាប់ចុច RSA" ហើយចុចកែសម្រួល។
- បញ្ចូលទិន្នន័យក្នុងវាលទាំងអស់ ហើយសរសេរផ្លូវក្នុងឯកសារដោយប្រើគ្រាប់ចុច
នៅលើការឌិគ្រីបនិងការវិភាគទិន្នន័យដែលបានបញ្ជូននៅក្នុងបណ្តាញនៃប្រតិបត្តិករទូរគមនាគមន៍នៅក្នុងពេលវេលាជាក់ស្តែង។ ឥឡូវនេះនាយកដ្ឋានកំពុងសិក្សាដំណោះស្រាយបច្ចេកទេសដែលអាចធ្វើទៅបានដើម្បីអនុវត្តសំណើនេះ។
ជម្រើសមួយក្នុងចំណោមជម្រើសនៃការឌិគ្រីបដែលកំពុងត្រូវបានពិភាក្សាគឺការដំឡើងឧបករណ៍នៅលើបណ្តាញប្រតិបត្តិករដែលមានសមត្ថភាពធ្វើការវាយប្រហារ MITM (Man in the Middle)។ ដើម្បីវិភាគចរាចរណ៍ដែលមិនបានអ៊ិនគ្រីប និងឌិគ្រីបរួចហើយ វាត្រូវបានស្នើឱ្យប្រើប្រព័ន្ធ DPI ដែលត្រូវបានប្រើរួចហើយដោយសាជីវកម្មទូរគមនាគមន៍ ដើម្បីត្រងគេហទំព័រហាមឃាត់។
តាមព្យញ្ជនៈភ្លាមៗបន្ទាប់ពីការលេចឡើងនៃព័ត៌មាននេះគំនិតផ្តួចផ្តើមនេះត្រូវបានរិះគន់ដោយសហគមន៍អ៊ីនធឺណិត។ ជាពិសេស "ប្រវត្តិរូប" ombudsman នៅក្នុងការសន្ទនាជាមួយស្ថានីយ៍វិទ្យុមួយ។ "ទីក្រុងម៉ូស្គូនិយាយ"ហៅថាការឌិគ្រីបនៃចរាចរណ៍អ្នកប្រើប្រាស់មិនអាចទទួលយកបានទេ។
ស្ថាបនិកនៃសង្គមការពារអ៊ីនធឺណិតនៅក្នុងរបស់គាត់។ គណនីហ្វេសប៊ុកវិភាគយ៉ាងលម្អិតអំពីវិធីសាស្រ្តដែលស្នើឡើងដោយអាជ្ញាធរ។
"MITM គឺជាប្រភេទនៃការវាយប្រហាររបស់ពួក Hacker ដែលពាក់ព័ន្ធនឹងអ្នកវាយប្រហារ P បញ្ចូលខ្លួនឯងទៅក្នុងឆានែលដែលបានអ៊ិនគ្រីបរវាងអ្នកជាវ A និង B ហើយនៅពេលដែល A និង B គិតថាពួកគេកំពុងអ៊ិនគ្រីបសារទៅគ្នាទៅវិញទៅមក ពួកគេពិតជាកំពុងអ៊ិនគ្រីបពួកវាទាំងអស់ទៅ P. ដែលបើកសារ។ បន្ទាប់មក អ៊ិនគ្រីបពួកវាឡើងវិញ ហើយបញ្ជូនពួកវាបន្ត” អ្នកជំនាញពន្យល់។
បញ្ហាក្នុងការសម្រេចកិច្ចការនេះ លោក Volkov សរសេរថា សម្រាប់កម្មវិធីដែលប្រើនៅលើអ៊ីនធឺណិត ការប៉ុនប៉ងក្លែងបន្លំវិញ្ញាបនបត្រ ដើម្បីអ៊ិនគ្រីបមាតិកាឡើងវិញ មើលទៅដូចជាការបោកប្រាស់។ នៅពេលដែលប្រព័ន្ធប្រតិបត្តិការ ឬកម្មវិធីរុករករកឃើញថាវិញ្ញាបនបត្រក្លែងក្លាយត្រូវបានបង្ហាញ ពួកគេនឹងរារាំងវាភ្លាមៗ។
នៅក្នុងការសន្ទនាជាមួយ Gazeta.Ru លោក Volkov បានកត់សម្គាល់ថាគំនិតផ្តួចផ្តើមថ្មីរបស់នាយកដ្ឋានមើលទៅប្រាកដនិយមជាងការផ្ទុកទិន្នន័យពេញលេញ ប៉ុន្តែ "នៅតែឆ្ងាយពីលទ្ធភាពនៅទីនេះ និងឥឡូវនេះ" ។
ផ្ទុយទៅវិញ អ្នកវិភាគមេរោគឈានមុខគេនៅ ESET Russia ជឿជាក់ថា តាមទស្សនៈបច្ចេកទេស សំណើរបស់ FSB ក្រសួងទូរគមនាគមន៍ និងទូរគមនាគមន៍ និងក្រសួងឧស្សាហកម្ម និងពាណិជ្ជកម្មគឺពិតប្រាកដ។ “រហូតមកដល់ពេលនេះ គំនិតផ្តួចផ្តើមត្រូវបានកំណត់ចំពោះការវិភាគចរាចរណ៍ដែលមិនបានអ៊ិនគ្រីប និងប្រមូលព័ត៌មានមូលដ្ឋានអំពីអ្នកប្រើប្រាស់។ សំណើថ្មីអាចតម្រូវឱ្យអ្នកផ្តល់សេវា និងអ្នកប្រើប្រាស់ដំឡើងវិញ្ញាបនបត្រឌីជីថលពិសេសទៅក្នុងប្រព័ន្ធដើម្បីវិភាគចរាចរដែលបានអ៊ិនគ្រីប ឧទាហរណ៍ HTTPS" គាត់បានប្រាប់ Gazeta.Ru ។
ជនបរទេសដែលបានអ៊ិនគ្រីប
នាយកទីភ្នាក់ងារព័ត៌មាន និងវិភាគ TelecomDaily បានប្រាប់ Gazeta.Ru ថាការឌិគ្រីបចរាចរណ៍មិនមែនជាដំណើរការងាយស្រួលនោះទេ។ លោកបានបន្ថែមថា៖ «ក្រសួងដែលទទួលបន្ទុកកិច្ចការនេះមិនយល់ច្បាស់ថាពួកគេប្រហែលជាមិនអាចដោះស្រាយបញ្ហានេះបានទេ»។
អ្នកវិភាគបានកត់សម្គាល់ថាបញ្ហានៃសកម្មភាពរបស់ក្រុមហ៊ុនបរទេសដែលទទួលខុសត្រូវចំពោះការទំនាក់ទំនងរបស់អ្នកប្រើប្រាស់នៅតែមិនទាន់ត្រូវបានដោះស្រាយ។ ជាដំបូង យើងកំពុងនិយាយអំពីអ្នកនាំសារដែលមានការអ៊ិនគ្រីបពីចុងដល់ចុង។
“ខ្ញុំមិនឃើញមានការផ្លាស់ប្តូរណាមួយទាក់ទងនឹងការធ្វើការជាមួយអង្គការដែលតាមទស្សនៈផ្លូវច្បាប់ មិនមែននៅក្នុងប្រទេសរុស្ស៊ីទេ។ ប៉ុន្តែវាកាន់តែងាយស្រួលជាមួយក្រុមហ៊ុនរបស់យើង អ្នកតែងតែអាចដាក់សម្ពាធលើពួកគេ” Kuskov បានកត់សម្គាល់។
បន្ថែមពីលើប្រតិបត្តិករទូរគមនាគមន៍ កញ្ចប់វិសោធនកម្មប្រឆាំងភេរវកម្មនិយាយអំពីអ្វីដែលគេហៅថាអ្នករៀបចំការផ្សព្វផ្សាយព័ត៌មាន។ ចាប់តាំងពីឆ្នាំ 2014 មក ច្បាប់របស់រុស្ស៊ីបានផ្តល់ឱ្យពួកគេនូវការចុះឈ្មោះផ្ទាល់ខ្លួនរបស់ពួកគេ ដែលត្រូវបានរក្សាទុកដោយ .
បច្ចុប្បន្ននេះ បញ្ជីមានប្រហែល ៧០ មុខទំនិញ។ ក្នុងចំណោមនោះមានបណ្តាញសង្គម "VKontakte", "Odnoklassniki", "រង្វង់របស់ខ្ញុំ" និង "Rambler" កន្លែងផ្ទុក "Yandex.Disk", "[email protected]", វិបផតថល "Khakhbrahabr" ។ “Roem”, គេហទំព័រណាត់ជួប “Mamba”, សេវាកម្មវីដេអូ RuTube, វេទិកាប្លក់ LiveInternet, ផ្ទាំងរូបភាព “Dvach” និងផ្សេងៗទៀត។
ក្នុងអំឡុងពេលទាំងមូលនៃប្រតិបត្តិការរបស់ខ្លួន មិនមានវិបផតថល ឬអ្នកនាំសារបរទេសតែមួយត្រូវបានរួមបញ្ចូលនៅក្នុងការចុះឈ្មោះនោះទេ។
"ប្រសិនបើផែនការបែបនេះរបស់អាជ្ញាធរចាប់ផ្តើមត្រូវបានអនុវត្ត នោះវាត្រូវបានគេព្យាករណ៍ថាអ្នកនាំសារនឹងលេចឡើងដែលមានការការពារបន្ថែមប្រឆាំងនឹងការវាយប្រហារប្រភេទ MITM ។ ឧទាហរណ៍ ការលាយសោសម្ងាត់ចូលទៅក្នុងការអ៊ិនគ្រីប និងចែកចាយវារវាងអ្នកជាវ។ និយាយឱ្យសាមញ្ញ ពាក្យសម្ងាត់ដែលអ្នកចូលរួមក្នុងការឆ្លើយឆ្លងយល់ព្រម" នាយកផ្នែកសន្តិសុខនៃក្រុមហ៊ុន Softline បានប្រាប់ Gazeta.Ru ។
វិធីបំបែក HTTPS
វិធីសាស្ត្រអ៊ិនគ្រីបដ៏ល្បីគឺមិនត្រឹមតែពីចុងដល់ចប់ប៉ុណ្ណោះទេ ថែមទាំង HTTPS ដែលជាពិធីការសុវត្ថិភាពដែលប្រើដោយគេហទំព័រ។
ក្នុងពេលជាមួយគ្នានេះក្រោយមកនិយាយជាមួយ "ស្វាហាប់"ប្រធានមូលនិធិប្រជាធិបតេយ្យព័ត៌មាន ដែលដោះស្រាយបញ្ហាឯករាជ្យភាពផ្នែកព័ត៌មានវិទ្យារបស់ Runet ក្នុងសាធារណរដ្ឋអ៊ីស្លាមអ៊ីរ៉ង់ បានហៅគំនិតបែបនេះថា «សមហេតុសមផល»។
Kuskov នៅក្នុងការសន្ទនាជាមួយ Gazeta.Ru ក៏បានហៅជំហានដែលអាចធ្វើទៅបានឆ្ពោះទៅរកការជំនួសការនាំចូលទាំងស្រុង។
“ការទំនាក់ទំនងតាមទូរស័ព្ទបច្ចុប្បន្នត្រូវបាននាំចូល 100% ។ ទាំងនេះមិនគ្រាន់តែជាស្ថានីយមូលដ្ឋានប៉ុណ្ណោះទេ ប៉ុន្តែជាផ្នែករឹង និងផ្នែកទន់។ នៅពេលនេះវាមិនអាចទៅរួចទេក្នុងការជំនួសអ្វីៗទាំងអស់នេះ។
រហូតទាល់តែមានការបោះជំហានដ៏ធ្ងន់ធ្ងរមួយដោយក្រសួងទំនាក់ទំនង និងក្រសួងឧស្សាហកម្ម និងពាណិជ្ជកម្ម គ្មានអ្វីល្អត្រូវបានរំពឹងទុកក្នុងទិសដៅនេះទេ។ ខ្ញុំមិនឃើញសកម្មភាពពិតប្រាកដដែលនឹងអនុញ្ញាតឱ្យយើងនិយាយថារុស្ស៊ីអាចប្តូរទៅឧបករណ៍ក្នុងស្រុកនាពេលអនាគតដ៏ខ្លីនេះទេ” អ្នកជំនាញទូរគមនាគមន៍បានសន្និដ្ឋាន។
ប្រតិបត្តិករទូរស័ព្ទចល័តបានបដិសេធមិនធ្វើអត្ថាធិប្បាយទេ។ ក្រសួងទូរគមនាគមន៍ និងទូរគមនាគមន៍ មិនឆ្លើយតបនឹងសំណើរបស់ Gazeta.Ru ទេ។
អ្នកសារព័ត៌មានមកពីកាសែត Kommersant បានរៀនពីរបៀបដែលនាយកដ្ឋានរដ្ឋាភិបាលមើលឃើញការអនុវត្តច្បាប់ Yarovaya ក្នុងការអនុវត្ត។
យោងតាមលោក Kommersant FSB ក្រសួងទូរគមនាគមន៍ និងទូរគមនាគមន៍ និងក្រសួងឧស្សាហកម្ម និងពាណិជ្ជកម្មបច្ចុប្បន្នកំពុងពិភាក្សាអំពីសំណុំនៃដំណោះស្រាយបច្ចេកទេសដែលនឹងអនុញ្ញាតឱ្យមានការឌិគ្រីប ហើយអាស្រ័យហេតុនេះ ការចូលទៅកាន់ចរាចរណ៍អ៊ីនធឺណិតទាំងអស់របស់ជនជាតិរុស្សី តាមតម្រូវការរបស់ Yarovaya ច្បាប់។ អ្នកកាសែតសំដៅទៅលើព័ត៌មានដែលទទួលបានពីអ្នកគ្រប់គ្រងកំពូលនៃក្រុមហ៊ុនផលិតឧបករណ៍ សមាជិកនៃរដ្ឋបាលប្រធានាធិបតី (AP) ក៏ដូចជាប្រភពមិនបញ្ចេញឈ្មោះនៅក្នុងក្រុមហ៊ុន IT ។
"វាមិនសមហេតុផលទេក្នុងការរក្សាទុក exabytes នៃចរាចរអ៊ិនគ្រីប - អ្នកនឹងមិនអាចរកឃើញអ្វីនៅក្នុងវាទេ។ FSB តស៊ូមតិក្នុងការឌិគ្រីបចរាចរណ៍ទាំងអស់ក្នុងពេលវេលាជាក់ស្តែង និងវិភាគវាតាមប៉ារ៉ាម៉ែត្រសំខាន់ៗ ដោយនិយាយដោយយោងទៅលើពាក្យ "គ្រាប់បែក" ហើយក្រសួងទទូចឱ្យឌិគ្រីបចរាចរណ៍សម្រាប់តែអតិថិជនដែលនឹងទាក់ទាញការយកចិត្តទុកដាក់ពីភ្នាក់ងារអនុវត្តច្បាប់ប៉ុណ្ណោះ" នេះបើតាមតំណាង AP ប្រាប់អ្នកកាសែត។
ដើម្បីវិភាគចរាចរណ៍ដែលមិនបានអ៊ិនគ្រីប និងឌិគ្រីបរួចហើយ វាត្រូវបានគ្រោងនឹងប្រើប្រាស់ប្រព័ន្ធ DPI (Deep Packet Inspection) ដែលនៅតែប្រើដោយប្រតិបត្តិករជាច្រើន ឧទាហរណ៍សម្រាប់ការត្រង URL ដោយផ្អែកលើបញ្ជីនៃគេហទំព័រហាមឃាត់។
ចរាចរណ៍ដែលបានអ៊ិនគ្រីបបង្កការលំបាកដល់នាយកដ្ឋានរដ្ឋាភិបាល។ "មានគេហទំព័រមួយចំនួនធំនៅលើអ៊ីនធឺណិតដែលមិនមែនជាអ្នករៀបចំការផ្សព្វផ្សាយព័ត៌មាន និងប្រើប្រាស់ការភ្ជាប់ https ដែលមានសុវត្ថិភាព" អ្នកឆ្លើយឆ្លងព័ត៌មាននៃការបោះពុម្ពផ្សាយ "បើគ្មានការឌិកូដចរាចរណ៍ទេ វាមិនតែងតែអាចយល់បានថាគេហទំព័រណាដែលអ្នកប្រើប្រាស់នោះទេ។ បានទៅលេងដោយមិនប្រាប់ពីអ្វីដែលគាត់បានធ្វើនៅទីនោះ»។ ដូច្នេះ ជម្រើសមួយក្នុងចំណោមជម្រើសដែលបានពិភាក្សាសម្រាប់ការឌិគ្រីបចរាចរណ៍គឺការដំឡើងឧបករណ៍នៅក្នុងបណ្តាញប្រតិបត្តិករដែលនឹងអនុវត្តការវាយប្រហារ MITM៖
“ចំពោះអ្នកប្រើប្រាស់ ឧបករណ៍នេះធ្វើពុតជាគេហទំព័រដែលបានស្នើសុំ ហើយចំពោះគេហទំព័រនោះ វាក្លែងធ្វើជាអ្នកប្រើប្រាស់។ វាប្រែថាអ្នកប្រើប្រាស់នឹងបង្កើតការតភ្ជាប់ SSL ជាមួយឧបករណ៍នេះ និងការតភ្ជាប់នេះជាមួយម៉ាស៊ីនមេដែលអ្នកប្រើប្រាស់បានចូលប្រើ។ ឧបករណ៍នេះនឹងឌិគ្រីបចរាចរណ៍ដែលស្ទាក់ចាប់ពីម៉ាស៊ីនមេ ហើយមុនពេលបញ្ជូនវាទៅអ្នកប្រើប្រាស់ វានឹងធ្វើការអ៊ិនគ្រីបវាឡើងវិញជាមួយនឹងវិញ្ញាបនបត្រ SSL ដែលចេញដោយអាជ្ញាធរបញ្ជាក់វិញ្ញាបនប័ត្ររុស្ស៊ី (CA)។ ដើម្បីការពារកម្មវិធីរុករករបស់អ្នកប្រើប្រាស់ពីការជូនដំណឹងពួកគេអំពីការតភ្ជាប់ដែលមិនមានសុវត្ថិភាព CA របស់រុស្ស៊ីត្រូវតែត្រូវបានបន្ថែមទៅអាជ្ញាធរបញ្ជាក់ឫសគល់ដែលជឿទុកចិត្តលើកុំព្យូទ័ររបស់អ្នកប្រើប្រាស់។"
អ្នកកាសែតសរសេរថា Ilya Massukh ប្រធានក្រុមរង "IT+Sovereignty" ក្រោមរដ្ឋបាលប្រធានាធិបតី បានបញ្ជាក់ពីមុនថា ពិតជាមានគម្រោងបង្កើតមជ្ឈមណ្ឌលបញ្ជាក់បែបនេះមែន។ ទោះយ៉ាងណាក៏ដោយ ថាតើ CA នេះនឹងត្រូវប្រើប្រាស់ដើម្បីអនុវត្ត "ច្បាប់ Yarovaya" នៅមិនទាន់ដឹងនៅឡើយ។
លោក Anton Sushkevich ស្ថាបនិក NVision Group និងជាសហម្ចាស់ក្រុមហ៊ុនផលិតឧបករណ៍ទូរគមនាគមន៍ RDP.RU ក៏បានឮអំពីសំណើរដើម្បីឌិគ្រីបចរាចរណ៍ផងដែរ។
"វិធីសាស្រ្តសំខាន់ពីរនៃការអ៊ិនគ្រីបនៅលើអ៊ីនធឺណិតគឺពីចុងដល់ចប់ ដែលពេញនិយមយ៉ាងខ្លាំងនៅក្នុងកម្មវិធីផ្ញើសារបន្ទាន់ និងវិញ្ញាបនបត្រ SSL ដោយមានជំនួយរបស់ពួកគេ ប្រហែល 80% នៃចរាចរអ៊ីនធឺណិតត្រូវបានអ៊ិនគ្រីប។ ដើម្បីបំពេញភារកិច្ចដែលបានកំណត់ដោយច្បាប់ Yarovaya ពោលគឺដើម្បីប្រយុទ្ធប្រឆាំងនឹងអំពើភេរវកម្ម វាចាំបាច់ក្នុងការឌិគ្រីប និងវិភាគចរាចរណ៍ផ្ទាល់ ហើយមិនមែននៅពេលក្រោយនោះទេ។ ការរៀបចំរបស់ MITM គឺជាមធ្យោបាយមួយដែលអាចធ្វើទៅបាន។
Kommersant ក៏បានសួរយោបល់របស់អ្នកជំនាញលើបញ្ហានេះ ហើយពួកគេបានសម្តែងការសង្ស័យមួយចំនួនទាក់ទងនឹងគ្រោងការណ៍ដែលបានពិពណ៌នា។
“នៅពេលដែលការពិតនេះត្រូវបានគេដឹង វិញ្ញាបនបត្រនៃអាជ្ញាធរបញ្ជាក់បែបនេះនឹងត្រូវបានយកចេញពីកម្មវិធីទាំងអស់ដែលធ្វើការជាមួយចរាចរណ៍ដែលបានអ៊ិនគ្រីបនៅក្នុងការធ្វើបច្ចុប្បន្នភាពបន្ទាប់។ ហើយនេះនឹងជាការត្រឹមត្រូវ ពីព្រោះសមត្ថភាពក្នុងការបង្កើតវិញ្ញាបនបត្រ "ខុស" ធ្វើឱ្យខូចដល់ពាណិជ្ជកម្មអេឡិចត្រូនិកទាំងអស់៖ កាតធនាគារទាំងអស់ អត្តសញ្ញាណប័ណ្ណរបស់អ្នកប្រើប្រាស់ទាំងអស់នៅក្នុងប្រព័ន្ធទាំងអស់ត្រូវបានស្ទាក់ចាប់" លោក Denis Neshtun ប្រធាន ARSIENTEC ពន្យល់។
“MITM ដំណើរការបានល្អ ហើយនៅកន្លែងខ្លះស្របច្បាប់សម្រាប់បច្ចេកវិទ្យាម៉ាស៊ីនបម្រើអតិថិជនដែលមានមូលដ្ឋានលើ SSL ។ ប៉ុន្តែពួកគេបានចាប់ផ្តើមបោះបង់ចោលវាកាន់តែញឹកញាប់ ហើយប្តូរទៅ TLS ដែល MITM មិនអាចធ្វើបាននៅថ្ងៃនេះ។ ហើយនៅក្នុងករណីនៃការអ៊ិនគ្រីបពីចុងដល់ចុង ដែលកម្មវិធីផ្ញើសារបន្ទាន់ភាគច្រើនត្រូវបានបង្កើតឡើង MITM ជាទូទៅមិនអាចអនុវត្តបានឡើយ” ទីប្រឹក្សាសន្តិសុខអ៊ីនធឺណិតរបស់ Cisco Alexey Lukatsky មានប្រសាសន៍ថា។
ខ្ញុំសូមរំលឹកអ្នកថា យោងទៅតាមច្បាប់ Yarovaya អ្នករៀបចំការផ្សព្វផ្សាយព័ត៌មានត្រូវតែផ្តល់ព័ត៌មានចាំបាច់ដើម្បីឌិកូដដែលបានទទួល បញ្ជូន បញ្ជូន និង (ឬ) ដំណើរការសារអេឡិចត្រូនិចពីអ្នកប្រើប្រាស់ទៅកាន់អង្គភាពដែលមានការអនុញ្ញាតរបស់ FSB ។
“អ្នករៀបចំការផ្សព្វផ្សាយព័ត៌មាន” ជាវេនត្រូវបានគេចាត់ទុកថាជា “បុគ្គលដែលចូលរួមក្នុងសកម្មភាពដើម្បីធានាដល់ដំណើរការនៃប្រព័ន្ធព័ត៌មាន និង (ឬ) កម្មវិធី” ដែលត្រូវបានប្រើដើម្បី “ទទួល បញ្ជូន ចែកចាយ និង (ឬ) ដំណើរការសារអេឡិចត្រូនិចពីអ្នកប្រើប្រាស់អ៊ីនធឺណិត។ ” នោះគឺទាំងនេះគឺជាសេវាកម្មស្ទើរតែទាំងអស់ដែលមានជំនួយដែលសារត្រូវបានបញ្ជូន ដូចជាសារបន្ទាន់ ឬសំបុត្រជាដើម។
អ្នកសម្របសម្រួលរបស់ Kommersant ជឿជាក់ថា "ក្រុមហ៊ុនបរទេសនឹងមិនគោរពតាមតម្រូវការនេះទេ ហើយក្រុមហ៊ុនរុស្ស៊ីអាចប្រគល់សោរបន្ទាប់ពីការទាមទារជាច្រើន" ។
ការបង្ហាប់ HTTP ដែលត្រូវបានប្រើដោយគេហទំព័រភាគច្រើនដើម្បីកាត់បន្ថយទំហំនៃទិន្នន័យដែលបានផ្ទេរ អាចក្លាយជាហានិភ័យសុវត្ថិភាពធ្ងន់ធ្ងរ ប្រសិនបើគេហទំព័រប្រើប្រាស់ HTTPS។ នេះត្រូវបានបញ្ជាក់ដោយអ្នកជំនាញសន្តិសុខ Dimitris Karakostas និង Dionysis Zindros ។ អ្នកស្រាវជ្រាវបានគ្រប់គ្រងដើម្បីកែលម្អការកេងប្រវ័ញ្ចនៃកំហុសដែលគេស្គាល់ជាយូរមកហើយដែលអនុញ្ញាតឱ្យបង្កើនល្បឿននៃការឌិគ្រីបចរាចរណ៍ HTTPS និងបានប្រើការវាយប្រហារប្រឆាំងនឹងការបិទកូដសម្ងាត់នៅក្នុងការតភ្ជាប់ SSL/TLS ។
ការវាយប្រហារដែលហៅថា BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) ទាញយកគុណវិបត្តិនៅក្នុងក្បួនដោះស្រាយការបង្ហាប់ gzip/DEFLATE ។ ការវាយប្រហារនេះត្រូវបានគេស្គាល់ជាលើកដំបូងកាលពីឆ្នាំ ២០១៣។ នៅក្នុងសន្និសីទ Black Hat USA អ្នកស្រាវជ្រាវ Angelo Prado, Neal Harris និង Yoel Gluck បាននិយាយអំពីការវាយប្រហារលើ SSL/TLS stream ciphers ដូចជា RC4 ជាដើម។
វិធីសាស្រ្តថ្មីក្នុងការកេងប្រវ័ញ្ចត្រូវបានបង្ហាញនៅក្នុងក្របខ័ណ្ឌប្រភពបើកចំហរ Rupture ដែលបានបង្ហាញនៅ Black Hat Asia កាលពីសប្តាហ៍មុន។
ក្នុងអំឡុងពេលនៃរបាយការណ៍នេះ អ្នកជំនាញបានបង្ហាញពីការវាយប្រហារជោគជ័យចំនួនពីរលើការជជែកតាម Gmail និង Facebook ។
ដើម្បីអនុវត្តការវាយប្រហារ BREACH អ្នកវាយប្រហារត្រូវតែអាចស្ទាក់ចាប់ចរាចរបណ្តាញរបស់ជនរងគ្រោះ។ នេះអាចត្រូវបានធ្វើតាមរយៈបណ្តាញ Wi-Fi ឬតាមរយៈការចូលទៅកាន់ឧបករណ៍របស់អ្នកផ្តល់អ៊ីនធឺណិត។ អ្នកវាយប្រហារក៏ត្រូវស្វែងរកផ្នែកដែលងាយរងគ្រោះនៃកម្មវិធីដែលទទួលយកការបញ្ចូលតាមរយៈប៉ារ៉ាម៉ែត្រ URLs ហើយបញ្ជូនទិន្នន័យនោះមកវិញក្នុងការឆ្លើយតបដែលបានអ៊ិនគ្រីប។
ក្នុងករណី Gmail កម្មវិធីនេះប្រែទៅជាការស្វែងរកនៅលើគេហទំព័រសម្រាប់ឧបករណ៍ចល័ត។ ប្រសិនបើសំណើស្វែងរកត្រូវបានធ្វើឡើងក្នុងនាមអ្នកប្រើប្រាស់ដែលមានការអនុញ្ញាត និមិត្តសញ្ញាផ្ទៀងផ្ទាត់ក៏ត្រូវបានភ្ជាប់ទៅការឆ្លើយតបផងដែរ។ សញ្ញាសម្ងាត់នេះនឹងត្រូវបានអ៊ិនគ្រីបនៅខាងក្នុងការឆ្លើយតប។ ទោះយ៉ាងណាក៏ដោយ រាល់ពេលដែលខ្សែអក្សរស្វែងរកត្រូវគ្នានឹងផ្នែកនៃនិមិត្តសញ្ញា ទំហំនៃការឆ្លើយតបទៅកាន់អតិថិជននឹងតូចជាងមុន ដោយសារខ្សែអក្សរដូចគ្នានៅក្នុងការឆ្លើយតបនឹងត្រូវបានបង្ហាប់។
អ្នកវាយប្រហារអាចបង្ខំកម្មវិធីអតិថិជនឱ្យផ្ញើសំណើមួយចំនួនធំ ហើយដូច្នេះទាយតួអក្សរទាំងអស់នៅក្នុងសញ្ញាសម្គាល់ការផ្ទៀងផ្ទាត់។
ក្របខ័ណ្ឌ Rupture អនុញ្ញាតឱ្យអ្នកបញ្ចូលកូដពិសេសទៅក្នុងរាល់សំណើ HTTP ដែលមិនបានអ៊ិនគ្រីបដែលបើកដោយកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់ជនរងគ្រោះ។ កូដដែលបានបញ្ចូលធ្វើឱ្យកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់អតិថិជនធ្វើការតភ្ជាប់ទៅកម្មវិធី HTTPS ដែលងាយរងគ្រោះនៅក្នុងផ្ទៃខាងក្រោយ។ វាត្រូវបានទាមទារដើម្បីអនុវត្តការវាយប្រហារដោយជោគជ័យលើ block ciphers ដែលបង្កើត "សំលេងរំខាន" ជាច្រើននៅពេលអ៊ិនគ្រីបទិន្នន័យ។ ដើម្បីលុបបំបាត់សំរាម អ្នកស្រាវជ្រាវបានផ្ញើសំណើដូចគ្នាជាច្រើនដងជាប់ៗគ្នា ហើយវិភាគពីភាពខុសគ្នានៃទំហំនៃការឆ្លើយតបដែលទទួលបាន។ អ្នកជំនាញក៏បានគ្រប់គ្រងការប្រើប្រាស់ភាពស្របគ្នានៅលើផ្នែកកម្មវិធីរុករកផងដែរ ដែលបង្កើនល្បឿនការវាយប្រហារយ៉ាងខ្លាំងប្រឆាំងនឹងការបិទកូដសម្ងាត់នៅក្នុងការតភ្ជាប់ TLS ។