rakims

Trei vouchere pe www.stargames.com pentru utilizatorii cu minim 200 de posturi. Postati aici 'vreau codul' si va trimit pm cu codurile. Primii veniti, primii serviti. Doar pentru cei care nu au primit data trecuta voucher de la mine. Valoarea e de 5 euro.

@Stealth am spus angajat cu forta ca sa nu spun sluga la stapan. Pentru mine este o treaba de bun simt sa nu folosesc astfel de expresii in privinta oamenilor ce si-au dovedit capacitatea de a iesi din comun. @Andrei imi mentin afirmatiile in privinta tuturor celor 4 puncte. In urma interesului cu care ti-am urmarit activitatea in ultimii ani cred ca am inteles perceptia ta asupra subiectului dar, din nou tin sa precizez asta, consider ca sec industry are o foarte mare nevoie de oameni ca tine ca sa echilibreze perceptia oamenilor in diferentierea hackerilor. Dar NU DOAR de oameni care fac teste doar cu aprobarea companiilor sau pe localhost. Drept exemplu iti pot da un caz de acum cativa ani, cand o firma ce producea solutii de securitate a fost afectata de o intruziune si a angajat un mare expert whitehat sa le securizeze sistemele. Expertul whitehat a facut-o pe zmeul si a inceput sa dea declaratii jignitoare in presa la adresa celui care a spart sistemul companiei de securitate. Dupa cateva ore de la aparitia declaratiilor in presa si site-ul lui, hostat pe server propriu, a fost spart de aceeasi persoana folosindu-se fix aceeasi metoda. Nici in ziua de azi nu are habar ca site-ul lui a fost spart si ca a capatat cineva acces la serverul lui. Daca vrei numele companiei, al whitehatului si al hackerului da-mi un pm. Cat despre iesit la o bere sa purtam niste discutii, de ce nu? Da-mi un pm si stabilim detaliile. Poate gasim un loc fara fete care zambesc dubios @Flubber nu cred ca ai inteles exact la ce ma refer. Tu esti mai old school si nu ti se aplica nimic din ce am punctat mai devreme. @daatdraqq Mandruta nu e praf, a cochetat cu mediul asta de prin anii 90 si tind sa cred ca si el a facut ceva teste la viata lui. Omul e cam depasit probabil, dar uita-te ca interviul a fost bun, cel mai bun din cate au fost pana acum as putea spune. Mandruta e moderator tv si a pus intrebarile pe care orice moderator cu experienta trebuie sa le puna, iar Andrei a raspuns ca la carte. Mi-as dori sa mai vad asa ceva la tv pentru binele utilizatorului pc de rand. Buhnici e foarte praf intr-adevar.

Dar nu uitati: o fata care va zambeste e o fata dubioasa. Epica asta

Simplu. Tu esti aparatorul whitehat. Te consider si te dau ca exemplu in discutia de fata. Ai o baza de cunostinte destul de voluminoasa presupun, ajutat fiind si de faptul ca te invarti si in medii blackhat. Ce sperante ai tu de la viitor? Ori sa iti deschizi o companie de securitate, ori sa te ocupi tu singur de treaba asta. Daca te vei ocupa singur pornesti din start cu un handicap major pentru ca nu stii ce inseamna cu adevarat sa ataci sistemele cuiva prin orice mijloace. Daca vei deschide o companie le vei impune angajatilor sa urmeze metodologia ta. In ambele situatii clientul va fi fucked big time. Se vede ca esti un baiat destept, asta e clar. Dar esti irelevant pentru un angajator de anvergura. Esti irelevant pentru ca nu cunosti toate aspectele prin teste proprii. Nu cunosti nici macar aspectele descoperite de persoanele consacrate in domeniul securitatii it si felul in care au ajuns sa descopere toate acele aspecte. Poti sa organizezi conferinte si 10 ani de azi inainte, dar tu personal nu ai un cuvant greu de spus din urmatoarele cauze: 1. Nu percepi asa cum trebuie mediul in care te invarti. 2. Nu realizezi ca black si white sunt chestii relative care teoretic pentru cineva care vrea sa traiasca din asta legal ar trebui sa se transpuna obligatoriu in greyhat. 3. Nu realizezi ca dincolo de aspectele tehnice cel mai important factor este cel al psihologiei victimei si ai pasilor pe care victima sau angajatii whitehat ai victimei ii vor urma ca sa combata cu succes potentialele atacuri. Nu vei reusi sa ai nici macar 1% cunostinte despre psihologia victimei fara a te transforma intr-un atacator real care nu are limite impuse prin contract si apeleaza la orice mijloace ca sa isi atinga scopul. 4. Nu cunosti sau nu te intereseaza detaliile amanuntite despre istoria atacurilor "in the wild" si nu poti gandi "outside of box" inspirandu-te din atacurile atipice deja petrecute. Toate astea le inveti din experienta proprie si se aplica total diferit de fiecare data. Crezi ca pustii astia de aici or sa devina brusc genii in securitate daca raporteaza toate bugurile gasite contra unor sume de bani oferite de programele bounty? Daca nu le vor exploata si nu se vor juca cu ele or sa fie simpli robotei care fac totul mecanic pe ultra repede ca sa nu gaseasca altii inainte vulnerabilitatea respectiva. Research pula. Noi metode de exploatare a sistemelor sau a slabiciunilor umane pula. Ei se vor multumi cu $2000 pe care ii scot pe luna, site-urile se securizeaza pe baza rapoartelor lor. La un moment dat ce vor mai raporta? Ciuciu. Cand or sa traga linie si or sa vada ca au pierdut timp important din viata lor punand apostrof in url-uri ce vor mai face? Cine ii va angaja pe un salariu mare cand sunt limitati la chestii comune? In orice chestie de genul asta trebuie sa existe un echilibru. Sa fii 100% whitehat si sa zici ca stii securitate e o gluma proasta, la fel ca si cum te-ai declara specialist in social media doar pentru ca stii sa faci pagini de facebook si sa pui content lockere pe site-uri ca sa iti dea lumea like automat. Nu vreau sa consideri ca iti vorbesc cu superioritate sau ca te consider prost. Ai toata admiratia mea pentru ceea ce reusesti sa faci la varsta ta, dar nu pot sa fiu de acord cu gandirea astea demna de anul 2000. Ai 21 de ani. Gandeam la fel ca tine la varsta asta. Ai un start exceptional mai ales la varsta asta, dar nu te gandi ca peste 5 ani vei avea aceleasi opinii pe care ni le impartasesti acum. Doar ca, vezi tu, pana la 25-26 de ani tu ar fi trebuit deja sa gusti din plin din domeniul blackhat si apoi sa treci la whitehat cand deja vei ajunge la maturitatea psihica necesara pentru a diferentia corect binele de rau. La tine e invers. O sa pierzi enorm din cauza asta.

Andrei gresesti extrem de mult chiar si cand dai definitia de black vs white. Spune-i asta si lui Samy Kamkar. Spune-i asta in fata lui Jeremiah Grossman. Spune-i asta lui RSnake care a tras semnale de alarma de acum cativa ani in privinta pericolului de a fi whitehat 100%. Toti 3 au alternat intre black si white si toti 3 au schimbat modul in care se creeaza securitatea pentru aplicatiile web. Toate implementarile de securitate majore din platformele web se datoreaza celor greyhat care alterneaza intre black si white. Nu ai cum sa intelegi asta din moment ce nu iti pasa de istoria moderna a hackingului. Poate mai vorbim peste cativa ani cand vei lua contact mai mult cu mediul asta si cand o sa te lovesti de realitatea crunta ca ceea ce credeai ca stii este doar o himera. Pacat ca pana vei realiza asta vei fi nenorocit deja oamenii care au apelat la serviciile tale. Felicitari pentru interviu. Mi se pare cel mai reusit de pana acum.

Atacurile "militare" nu au fost incredibile. Au fost chiar relativ simple. Baietii buni au prins smecheria de-abia dupa cativa ani din cauza unor greseli de programare ce a permis spreadul pe pc-uri civile. Intre timp oricine era in spatele atacului putea apasa butonul magic si sa provoace un dezastru atomic.

Bullshit. Invatand istoria poti preveni greselile pe care altii le-au facut in trecut.

sadik ar trebui sa citesti oleaca despre el. O sa iti placa la nebunie. Acces la administrarea site-ului. Acces in infrastructura interna. Pierdut acces. Recapatat acces. Pierdut acces. Recapatat acces. Toate astea in timp ce intreaga planeta era cu ochii pe el si la ebay era alerta maxima. Pacat ca nu il iei in serios cand spuneai mai devreme ca te ocupi de wh. A fost o adevarata telenovela oprita de Secret Service si FBI. Nu a facut bani din asta. Nu totul se rezuma la bani si bounty-uri. Dupa arestare a fost angajat cu forta la ebay Irlanda. doar pentru ca lucrezi legal nu inseamna ca esti limitat si nu inseamna ca esti depasit. Am impresia ca tu crezi ca un whitehat e un sysadmin care stie sa foloseasca nmap, nessus si msba. Tocmai mi-ai confirmat ca de fapt cam asta esti prin faptul ca nu esti la curent cu unul dintre cele mai interesante atacuri din istoria informaticii.

Nu vreau sa ajung undeva anume, dar trendul asta cu 100% whitehat capata proportii prea mari si anunta un dezastru informatic. Lumea are nevoie de oameni ca tine, dar are nevoie si de un numar proportional egal de blackhats si greyhats cu care sa colaborezi in mod activ pentru a echilibra researchul. O persoana ce se ocupa cu blackhat este mult mai stimulata decat un whitehat sa gaseasca in permanenta metode noi, chiar daca uneori o face pentru castiguri mai mici sau pentru orgoliul propriu. Complacandu-te in legalitate absoluta devii limitat si depasit. Eu personal te-as angaja doar daca vii la pachet cu o persoana care se ocupa de blackhat sau greyhat pe nisa cu care se ocupa compania mea pentru a echilibra lucrurile si pentru a te ajuta pe tine sa evoluezi mai mult. sadik acelasi lucru ti-l spun si tie: vladuz vs ebay. Mai vrei exemple? Stuxnet? Operation Olympic Games? Flame? Suna cunoscut? l.e. - vorbim despre cam aceleasi lucruri. Nu citisem eu cum trebuie. Raspunsul tau de fapt e pentru Andrei Ce inseamna pentru voi de fapt audit de securitate? Pas cu pas.

Cred ca am inteles eu la ce se refera prin vector de atac. Cum faci sa capeti acces la un sistem avand datele respective la dispozitie, in cazul de fata doar o clasa de ip-uri. Intrebarea in schimb ori e o capcana, ori e lipsa de experienta ca blackhat. Iti voi raspunde simplu Andrei: vladuz vs ebay.

Andrei nu stiu unde vrei sa ajungi cu intrebarea de mai sus, dar mai bine deschide ochii si uita-te cum companiile de securitate au fost si sunt tavalite anual de multe ori prin metode clasice. Nici ei nu au whitehats angajati?

Si ramai limitat doar la acele infrastructuri fara a avea vreo sansa de a gandi outside of box pe baza experientei acumulate in the wild. La cati whitehats se ocupa de infrastructuri guvernamentale si de companii mari vs rata de exploatare a serverelor si a aplicatiilor, ceva pute grav. La ce ma ajuta pe mine ca angajez un whitehat sa se ocupe de auditul infrastructurii mele daca tot ce poate sa faca e sa evite tehnicile comune de exploatare? Ma face sa ma simt mai bine ca dupa ce imi ajunge baza de date pe net si mi se duce afacerea de rapa imi vine expertul meu si imi zice ca a aflat care a fost gaura prin care am fost exploatat? Da bine, mersi, prea tarziu gogule. Afacerea mea e cu un picior in groapa deja.

Cine s-a indoit de cunostintele lui in topicul asta?

Si atunci whitehats cum capata experienta fiind limitati doar la metodele legale si la metodele scapate in public de blackhats? Exista o acumulare de experienta mai mare si mai variata decat pentestingul in the wild?

ar angaja vreunul dintre voi cei cu experienta un specialist care a fost whitehat toata viata? nu are legatura cu andrei intrebarea mea.

S-a dat si al doilea catre EAdrian. Saptamana viitoare primesc urmatorul pachet de vouchere.

Ai pm. Mai am unul. S-au dat.

Mai putin de 300 de posturi poate lasa loc ca aceeasi persoana sa faca ambele requesturi sub doua usere diferite.

Doar pentru utilizatorii cu minim 300 de posturi. Fiecare voucher are valoarea de 5 euro. Primii veniti, primii serviti.

Stire din 1 nov 2012

Daca ai nevoie de parola nu vad care e problema. Cine ar face asta in loc sa se foloseasca de conturi?