Andrei

1. Eu am scris articolul de mai sus. Cred ca stiu foarte bine ce e acolo. Crearea nu e sinonim cu adaptarea dar inseamna a construi lucruri ceea ce nu e antonim cu adaptarea. 2. Cine a negat asta? Vad ca tu nu vorbesti contextual. Documentul CSAT vorbeste despre standardizare, CERT vorbeste despre asta. Articolul asta vine ca o completare/comentare a documentului publicat de CSAT. 4. Standardele care le vezi tu online, tot ce vezi tu online sunt povesti de adormit copiii. Nu cu asa ceva te infiltrezi tu sau realizezi o politica ofensiva impotriva unor alte state care au 100,000 de oameni doar pe securitate cibernetica( Taiwan Says China's Cyber Army Now Numbers 100,000 - eSecurity Planet). Standardele sunt facute sa existe pentru cei care vor sa spele bani. 5. Ma bucur ca ai venit cu cateva materiale ce sunt extraordinar de inaccesibile pentru fiecare din noi. Vorbeai de un sistem care merge in state, aratami-l. Vreau sa vad ce merge in state si e disponibil publicului larg spre adoptie. In legatura cu legea din ro : fapta de a produce, vinde, de a importa, distribui sau de a pune la dispozi?ie, sub orice alt? form?, f?r? drept, a unei parole, cod de acces sau alte asemenea date informatice care permit accesul total sau par?ial la un sistem informatic în scopul s?vâr?irii uneia dintre infrac?iunile prev?zute la art. 42-45. In ro e clar ca statul nu aloca fonduri suficiente pentru lucrurile de genul asta, asa ca materialul e gandit din prisma unei sanse ce ar putea sa o aduca pe plan local mediul privat. LE: Sa te vad ca tu ai curajul ca reprezentant al Romaniei sa declari ca toate celelalte state reprezinta o amenintare din prisma securitatii cibernetice.

@mike_millers 1. Din cate stiu eu "o cultura" face referire la faptul ca trebuie sa il inveti pe om despre asta. A fost mentionat undeva ceva despre reinventarea rotii? 2. Si la ce se refera "cercetarea in securitate informatica" din perspectiva ta? 3. DA! 4. Daca inamicul face share cu tine nu e bine? Nimeni nu e inamic pana la proba contrarie. Aici ai o mentalitate tipic romaneasca. 5. Nu e ilegal sa raportezi vulnerabilitatea, e ilegal sa testezi un site si apoi sa o raportezi. Eu cred ca nu vorbesti in cunostinta de cauza (eu imi bazez pe cazuri reale afirmatia Raportarea vulnerabilit??ilor – Hacking-ul nu este o crim?! | WORLDIT, tu?). Care sistem merge pentru americani si ar merge pentru noi? Ai dat un link cu bune practici + cel cu offensive planning dar nimic despre vreun sistem. Si americanii lucreaza la toate cele 5 puncte.

@S.R.I Tu nu ar trebui sa stii asta daca reprezinti organul romanesc? @Syckchet Au murit oameni multi in toate formele de spionaj. Daca nu te afecteaza nu inseamna ca altii nu sunt loviti.

Nu e prea util scriptul avand in vedere faptul ca majoritatea sistemelor de statistici ruleaza cod js pentru a contoriza traficul.

E chiar atat de greu sa cautati pe site-ul lor pentru a vedea ce mecanism de encriptie folosesc? Scrie alb pe negru ca e client side encryption/decryption. https://lastpass.com/whylastpass_technology.php encryption - How does LastPass store my passwords on their website? - Web Applications

Putin retusat postul asta merge de pus pe blogul RST.

^ Si trebuie mentionat ca acei 300Gbs sunt o estimare nu foarte clara avand in vedere faptul ca informatia o au doar de la unul din providerii Tier 1. E intradevar cel mai puternic atac inregistrat. LE: Anatomy of a DNS DDoS Amplification Attack | WatchGuard

Nu inteleg de ce blogul e intr-o culoare iar forum-ul si homepage-ul in alta culoare.

Nytro are 40 de ani, acolo a raspuns sub anonimat.

Mi se pare mie sau de foarte multi ani scripturile astea au evoluat foarte putin?

Am creat o mica aplicatie pentru a descoperi vulnerabilitati in pluginuri de Wordpress mai usor. Care e ideea? 1. Un crawler ce descarca local orice plugin (sau mai multe) de pe site-ul wordpress.org. 2. Un rezumat al unui scanning de tip white box pentest. 3. Un mic hook la RIPS pentru a oferi rezultate detaliate si un audit al codului sursa foarte misto aranjat. POC: Download & Tech Details: https://github.com/CCSIR/WP-Plugins-Scanner Original About: Wordpress Plugins Scanner it is a semi-automatic white box pentesting/crawler app for WP plugins using RIPS from OWASP that can help you to speed up your process of finding 0days in WP plugins. This tool can crawl plugins from Wordpress Directory and store them localy. After they are downloaded you can scan those plugins with OWASP RIPS and see possible security problems.

Mersi! Am uitat sa mentionez ca daca aveti o lista de link-uri mai mare, imi puteti da un txt cu ele sau cum a facut B3st mai sus si le vom adauga personal pana ce modificam formularul de submit pentru mai multe link-uri.

@B3st Mersi frumos.

Am vazut ca foarte multe persoane sunt interesante de resursele noastre ce le folosim pentru documentare si m-am gandit sa fac o aplicatie simpla care sa ne ajute sa adunam toate site-urile ce le folosim noi. Avantajul e evident : - voi puteti sa contribuiti la dezvoltarea "listei" care e repartizata pe nise (categorii) - cei care intra pe Security Sources ar putea gasi resurse interesante din anumite categorii Proiectul nu e finalizat, daca va prinde va avea parte de imbunatatiri semnificative de-a lungul timpului. Daca descoperiti ceva bug-uri, lasati-mi un pm si vom incerca sa le rezolvam cat se poate de repede. De asemenea, daca aveti idei, feel free to ping me. Security Sources | Largest library of INFOSEC resources Cheers!

E bine ca macar esti mentionat la autori, desi in realitate ordinea ar trebui sa fie invers. Trebuie sa iasa si astfel de specimene in fata din cand in cand.

Who the fuck is Dan?! LE: Mai arunca un buzz cand esti on.

Daca imi amintesc bine, denjacker a prezentat la primul defcamp sintaxa. gresesc?

Nu iti convine pleaca de aici. E simplu asa. Atata timp cat beneficiezi de un serviciu moca, taci si foloseste-l. Plus ca pe RST nu a fost niciodata democratie asa ca nu are rost sa vii cu o astfel de opinie in care incerci sa cauti acul in carul cu fan.

Si aici intervine anonimitatea. Right?

Dupa logica ta cei care au facut Metasploit, Backtrack si uneltele de pe acolo ar trebui sa fie trasi la raspundere. Right?

Pleaca cei care se simt cu musca pe caciula. Si defapt nu pleaca, cel mai probabil isi schimba identitatea majoritatea dintre ei.

Cei pe care i-ai exemplificat tu nu au nicio treaba cu chestia asta, e au programe de bug bounty, atata timp cat nu folosesti tu in chestii rele vulnerabilitatea si victima ta intra in legatura cu organe abilitate sa te salte, nu ai de ce sa iti faci griji. In principiu, merge asa cam in orice tine, daca tu raportezi si le dai sa spunem 24-48 de ore sa-si patchuiasca e ok. Daca e patch-uit poti publica tot vectorul, in caz contrar e de preferat sa-l maschezi si la finalul articolului sa mentionezi ca ai primit email de confirmare de la ei cu privire la faptul ca se vor ocupa. Sunt masuri simple. LE: La Yahoo, poti publica fara sa le ceri acordul pentru ca nu se vor complica sa iti raspunda de cele mai multe ori decat daca mai au nevoie de detalii.

Parca atacurile la persoana erau interzise aici, iar acuzatia de hotie e atac la persoana. My 2 cents opinion. PS: S-au incalcat 15k de reguli in 3 pagini. Great.

De unde stii ca ps-axl nu intra pe forum-urile alea de card-ing (daca umbla) doar pentru a intelege mai bine fenomenul pentru a-l putea elimina mai bine si pentru a se asigura ca pe forumul lui nu se va intampla asa ceva? Ai vazut prea multe desene animate. Cand vei avea un forum cu oamenii ce i-a adunat intr-un mod sau altul acolo, sa ma anunti. Pana atunci somn usor.

A durat mult.