Leaderboard

Acum cu stirea asta...Preafericitul Daniel o sa angajeze o echipa de pentesteri-calugari pe care ii va pune sa dea cu agheasma pe servere. Amin.

Ii dau un e-mail lui mami sa imi plateasca ea factura, cu ocazia asta mai scutesti si niste bani. Solutia este simpla din punctul meu de vedere. Faci plata prin transfer bancar, degeaba iti fura userul/parola ca are nevoie si de codul de verificare, iar daca primesti codul de verificare prin sms iti dai seama si daca cineva se joaca cu hotspot-ul cand incearca sa se logheze. Daca prin absurd esti obligat sa platesti cu cardul as face plata si apoi as suna la banca sa micsoreze limita la tranzactii online la 1leu si mi-as reseta/activa 3d secure cand sunt sigur de conexiune.

Sunt mai multe optiuni. Intai trebuie sa raspundem la cateva intrebari: Ce fel de persoane frecventeaza respectivul bar? Este popular printre studenti? persoane care ar putea avea expertiza in domeniul securitatii IT? Prin ce se deosebeste situatia din bar fata de situatia de acasa in contextul efectuarii unui transfer bancar din punct de vedere al securitatii? Cat de repede putem schimba credentialele? Cum putem sa ne ascundem cat mai bine identitatea? Cum putem face munca unui posibil atacator mai dificila? 1. Ce fel de persoane frecventeaza respectivul bar? Este usor de observat. Cei pasiontati de securitate mai mult ca sigur vor folosi o distributie LINUX(pentru a rula aplicatii precum aircrack, airpwn, etc.). Capacitatea lor de a utiliza se poate observa si in aplicatiile rulate: de exemplu este putin probabil ca cineva care ruleaza numai un browser si care fotografiaza un pahar cu bere pentru a post-a imaginea pe facebook nu reprezinta un pericol. O scurta "inspectie" poate fi efectuata rapid; de regula numarul clientilor care folosesc laptop-uri, tablete si smarphone-uri este mai mic ca si numarul acelora care nu le folosesc. Aplicatiile care trebuiesc urmarite cu atentie sunt numarul de terminale deschise si numarul de ferestre in editoare de tip text(vi(m), emacs) deschise. Cu cat acesta este mai mare cu atat sunt sanse mai ridicate sa avem un potential hacker in bar. Atentie sporita trebuie acordata si utilizatorilor windows care ruleaza putty sau masini virtuale multiple. Acum cunoastem cat de cat terenul. Exista sansa ca barul in sine sa fie detinut de o persoana sau un grup de persoane care sunt familiarizate cu domeniul. De exemplu, tot traficul Wi_Fi poate fi rutat printr-o statie LINUX inainte de a fi trimis mai departe pe Internet. Mai exista sansa ca proprietarii sa fie putin familiarizati cu aspectul legat de securitate si sa aiba un LAN compromis(parole default sau slabe, troieni pe alte statii din acelasi LAN, etc.). In aceasta situatii nu prea avem ce face: nu vom inspecta fiecare statie in parte din motive evidente(nu avem acces fizic iar realizarea acestui lucru este ilegal fara acordul proprietarilor). In cazul in care proprietarii insisi sunt competenti in securitate am putea afla acest lucru dupa parola aleasa Wi-Fi-ului(lungime, caractere alese, etc.) sau efectiv intreband(fiind foarte putini in lume hackerii sunt dornici sa schimbe vorbe intre ei, cu atat mai mult daca au un interlocutor in fata. Putina bere si tarie ajuta intotdeauna). 2. Este popular printre studenti? persoane care ar putea avea expertiza in domeniul securitatii IT? Probabil cum este cazul si aici pe forum, exista foarte multi studenti care sunt dornici de a deveni "hackeri". Acestia vor incerca fiecare aplicatie care apare pe google. Sunt sanse, desi destul de slabe, ca un numar dintre acestia sa nimereasca o combinatie valida de pagina de tip phishing si o comanda reusita in ettercap. Exista, de asemenea, si situatia in care studenti sunt efectiv bine pregatiti iar atacul este mult mai rapid si bine coordonat. 3. Prin ce se deosebeste situatia din bar fata de situatia de acasa in contextul efectuarii unui transfer bancar din punct de vedere al securitatii? Daca situatia nu este diferita fata de domiciliul curent securitatea probabil ca nu are o relevanta ridicata. Cu alte cuvinte daca vecinii au aceiasi competenta tehnica ca si persoanele care frecventeaza barul, iar acestea din urma nu activeaza in domeniu nu exista motive de ingrijorare. 4. Cat de repede putem schimba credentialele? Presupunem raul cel mai mare: avem un atac de tip MITM iar certificatele noastre SSL au fost inlocuite cu cele ale atacatorului. In browser-ele moderne utilizatorul este avertizat insa presupunand ca facturile trebuiesc platite urgent luam acest risc ridicat. Ulterior putem anula tranzactiile clandestine. Este recomandat ca in momentul platii sa se faca o captura(print screen) a soldului curent bancar pentru a stii cat trebuie sa recuperam in cazul in care contul este compromis. 5. Cum putem sa ne ascundem cat mai bine identitatea? Identitatea nostra consta in mare masura din adresa noastra in reteaua respectiva: MAC si IP. IP-ul este dinamic. MAC-ul insa trebuie inlocuit(google geo-ip location tracking se foloseste de acesta). Pentru aceasta putem folosi utilitarul de mai jos: MadMACs: MAC Address Spoofing and Host Name Randomizing App for Windows 7 (Should work in Windows Vista and Windows 8 too) Desigur, putem face toate etapele respective manual insa este de preferat sa automatizam procesul pe cat se poate. Acum putem folosi o solutie de tip SSH-tunneling catre un server asupra caruia avem control si il consideram sigur. Statia de acasa este un bun exemplu. Pentru a avea acces la ip putem folosi un serviciu ca: Remote Access with Dynamic DNS - 100% DNS Uptime - No-IP intrucat majoritatea furnizorilor din Romania nu mai ofera adrese statice. Un alt aspect despre care trebuie sa tinem cont este frecventa emitatorului Wi-Fi de pe statia de pe care lucram. Distributia semnalelor este destul de unica pentru fiecare dispozitiv fizic. In cazul atacatorului este recomandat ca dispozitivul sa fie distrus dupa efectuarea tranzactiilor. 6. Cum putem face munca unui posibil atacator mai dificila? In esenta un atacator monitorizeaza si/sau intercepteaza trafic pentru a-si indeplini atacul. Daca volumul de trafic este ridicat munca lui devine semnificativ mai dificila. In acest sens putem crea trafic inutil:vizualizarea mai multor filmulete pe youtube simultam in format HD daca se poate. Efectuarea de credentiale false catre site-ul bancii doar cu scopul de a genera cat mai mult trafic. Astfel, efortul necesar pe care un atacator trebuie sa-l depuna pentru a obtine credentialele unei victime creste considerabil pana la punctul in care atacul nu mai este realizabil.

S? m? sug? to?i. ?an?arii din delt?, alah, mahomed, jesus, papa, jidanii, preafericitu daniel trafalet, ponta, basescu, eba si udrea fara discriminare. De ?eava de e?apament.

@testapp ieri a fost gratuit Be A Certified Ethical Hacker and Pen Tester - Master Practical Ethical Hacking Techniques and Prepare for the CEH Exam https://www.udemy.com/be-a-certified-ethical-hacker-and-pen-tester/

Acuma iti dau 1 euro ca sa taci .Marea majoritate a rewardurile sunt ori vip(pentru lucruri grele) ,ori ceva 5 euro , ori un vps sau mai stiu eu ce .Le faci ca sa prinzi cunostiinte , sa te informezi , nu doar pentru rewarduri.

Ba omule, imi bag pula in reward-le tale si in factura ta, daca tu impui si mai mult de atat, ingradesti metodele ca sa spun asa ce fel de challenge retard e asta, traim in 2015 ce naiba nu ai telefon, nu ai vecini, nu ai familie nu ai veri, nu ai masina, nu ai prieteni nu ai bani cash, nu ai pe bunica, nu ai pe ponta ce naiba mai vrei (in cazu asta esti un pickle retard din romania in anul 2015)... deaja pui oamenii sa isi toceasca degetele degeaba, ca sa fii tu mandru ca ai pus un challenge ca o apa clocita.