pyth0n3

@SenatoR_v , gre?e?ti.

FireCAT (Firefox Catalog of Auditing exTension) is a mindmap collection of the most efficient and useful firefox extensions oriented application security auditing and assessment. FireCAT is not a remplacement of other security utilities and softwares as well as fuzzers, proxies and application vulnerabilities scanners. What’s new ? - Online version. Think to activate "Full Screen" - Added a description of the extension - Added "Actual release and Firefox compatibility" - A logo is now embedded when available - Many new extensions added (thanks to Kev Orrey for Maltego Mesh and Maximiliano Soler for a least 10 extensions) - Bugs and dead links fixed - Preparing for the release 2.0 FireCAT 1.6 (PDF - 338.4 kb) FireCAT 1.6 (PDF - 338.4 kb) Source: Security Database Tools Watch - FireCAT v1.6 the online version released

S?rb?tori Fericite tuturor celor care s?rb?toresc Cr?ciunul ast?zi 7 Ianuarie conform calendarului Iulian - ? ?????????? ????????? - tuturor celor care sunt de origine rusa ?i s?rb?toresc Cr?ciunul

@adi003user Presupun ca te referi la documentele create cu office Bineîn?eles ca poate fi folosit cu orice fel de document

@crs12decoder Pai in unele locuri vin recunoscute doar anumite standard-uri , presupun ca te referi la Angentia Nationala de Administrare Fiscala si nu cred ca folosesc ceva de genul GPG dar oricum merg pe acela?i principiu

How to install BackBox Linux to Hard Disk

Presupun ca cheile publice sunt deja incarcate in gpg 1.deschizi mutt 2. m pt a scrie un email 3.iti apare un editor de default unde poti scrie mesajul 4.dupa ce termini de scris , salvezi mesajul 5.apesi litera p de pe tastiera uite aici 6. iti apar niste optiuni jos in care poti alege ceea ce vrei sa faci uite aici 7. dupa ce ai ales ceea ce vrei sa faci poti trimite mesajul folosind litera y uite aici Pt a exporta o cheie publica intrun file poti folosi comandul gpg --armor --export unbaiat@mailpemail.ro > file.key Pt a adauga o cheie publica gpg --import keyfile Pt a face un list la cheile publice gpg --list-keys Note: daca vrei sa trimiti un email cu mutt la o adresa la care nu ai incarcat intai cheia publica in gpg nu o poti cripta deoarece nu ai cheia publica , oricum mutt iti va cere un key id

@adi003user Pt a crea o pereche de chei se poate folosi comandul gpg --gen-key Va trebui bineîn?eles sa fie instalat OpenGPG Intrun ambient Windows se poate folosi Gpg4win - Secure E-Mail and File Encryption using GnuPG for Windows Aceste tool iti vor permite sa creezi un key pairs , sunt destule altele care folosesc o interfata grafica Ok , presupun ca vrei sa imi scrii un email , ce trebuie sa faci? step1 descarci cheia mea publica la tine in calculator step2 descarci FireGPG - Welcome to the official website of FireGPG! , e un plugin pt firefox step3 incarci cheia mea pe care ai descarcato in firegpg , din menu optiunea import step4 firegpg are un editor unde scrii mesajele uite aici step5 criptezi mesajul dupa ce l-ai scris uite aici step6 copy si trimiti textul criptat la destinatar uite aici Note: mesajul il poate citi doar destinatarul care are cheia privata ,daca criptezi cu cheia mea publica pot citi doar eu mesajul si nimeni altul folosind cheia mea privata A fost doar un exemplu , deoarece sunt multe alte tool-uri care fac acest lucru in automat cum ar fi Thunderbird - It?s All Yours Un alt client pe care il folosesc eu este MUTT mutt screenshot La randul meu ca sa iti raspund tie voi folosi aceea?i procedura , dar voi avea nevoie de cheia ta publica Aici si chestia cu doua chei Tu generezi 2 chei , una o tii pt tine si una o publici Eu iau cheia ta publica si criptez mesajul pe care vreau sa til trimit Tu poti sa decriptezi mesajul pe care ti l-am trimis doar cu cheia ta privata Nimeni altul nu poate decripta mesajul daca nu are cheia privata

Semnatura digitala GPG ______________________________________________________________________ Aici voi incerca sa explic intrun mod foarte simplu ceea ce inseamna o semnatura digitala ,de ce este important sa facem asa ceva , cum vine facuta, cum vine verificata , Un document semnat digital vine certificat , ii vin aplicate anumite amprente In cazul in care acest document vine modificat , verificarea semnaturii va esua In cazul in care vine folosit GPG semnatura vine facuta in urmatorul fel: Un document vine semnat de catre proprietar cu cheia lui privata dupa care vine trimis in retea catre un user pe care il vom chema destinatar Destinatarul, (userul care a primit acest document) poate verifica aceasta semnatura folosind cheia publica a proprietarului Stim ca proprietarul are doua chei 1 privata si una publica (la cheia publica poate avea acces oricine) Importanta pt care vin facute aceste semnaturi digitale Majoritatea din useri trimit email-uri fara sa isi dea seama ca pot fi citite, modificate de catre oricine in retea O firma poate asigura ca un anumit document a fost modificat sau nu , bineinteles nu garanteaza ca acel document nu poate fi citit (pt acest lucru exista optiunea de criptare) Cum vine facuta o semnatura? In urmatoarele exemple voi folosi un document pe care il voi semna in diverse moduri cu cheia mea privata Pt a vedea daca acest document este intradevar semnat de catre mine si nu a fost modificat puteti folosi cheia mea publica Voi crea si un document pe care dupa ce il voi semna il voi modifica pe parcurs , il voi chema bad document (acest document a fost modificat de catre altcineva deci va avea urmatorul atribut Bad signature) Cu urmatorul exemplu poate fi creata o semnatura digitala pt un fisier pe care l-am chemat document gpg --output document.sig --sign document Vom avea un output binariu , va fi creat un fisier document.sig Pt a putea citi si verifica acest document vom folosi urmatorul comand gpg --output document --decrypt document.sig In cazul in care vrem doar sa il verificam vom folosi urmatorul comand gpg --verify document.sig Un simplu output pt acet comand ar trebui sa fie urmatorul in cazul in care totul este ok gpg: Signature made Thu 06 Jan 2011 12:28:08 GMT using DSA key ID 2072D16D gpg: Good signature from "pyth0n3 <python3aka@gmail.com>" Deci un output de tipul Good signature ar trebui sa apara pt a ne convinge ca documentul nu a fost modificat Alte tipuri de semnaturi: Un document poate fi semnat in clar text Vom folosi optiunea --clearsign gpg --clearsign document Va fi creat un alt fisier de tipul document.asc de tipul ASCII-armored La randul lui pt a fi verificat se va folosi optiunea --verify urmata de numele documentului.asc In acest document mesajul va fi in cleartext In aceste exemple am folosit urmatorul mesaj " This is a sample document" Un alt mod poate fi un document care contine o semnatura detasata Ce se intampla aici ? Va fi creat un alt fisier care va contine semnatura pt fisierul document gpg --output semnatura.sig --detach-sig document Acum pt a verifica documentul vom folosi optiunea --verify la care vom adauga cele doua fisiere ,unul care contine semnatura semnatura.sig urmat de fisierul care a fost semnat document gpg --verify semnatura.sig document Ce se intampla in cazul in care vine modificat fisierul document dupa ce a fost semnat ? Ok pt a face acest lucru voi face o copie a acestui fisier pe care o voi modifica , il voi chema document.bad cp document document.bad Am zis ca fisierul document contine urmatoarele cuvinte "This is a sample document " Ok , vom modifica fisierul document.bad in care vom adauga urmatoarele cuvinte "This sample has been modified " Deci acum avem urmatorul continut: This is a sample This sample has been modified Acum vom verifica daca semnatura corespunde gpg --verify semnatura.sig document.bad Vom avea urmatorul output gpg: Signature made Thu 06 Jan 2011 12:39:53 GMT using DSA key ID 2072D16D gpg: BAD signature from "pyth0n3 <python3aka@gmail.com>" BAD signature ne spune ca documentul a fost modificat de catre cineva Documentul original are urmatorul output gpg: Signature made Thu 06 Jan 2011 12:39:53 GMT using DSA key ID 2072D16D gpg: Good signature from "pyth0n3 <python3aka@gmail.com>" Fisierele pe care le-am creat pot fi gasite la urmatoarea adresa si pot fi controlate daca sunt modificate sau nu folosind cheia mea publica http://tinyurl.com/32tly7x Cheia mea publica poate fi descarcata de la urmatorul url: http://tinyurl.com/336fl87 Download paper : wget http://sprunge.us/TUMh -O gpg_sign_ro.txt

Apropo, de un timp folosesc tool-uri Open Source Si spre exemplu as alege Infrarecorder in loc de Nero

Metacab is a cabinet file that contains Netcat, Nmap, VNC and other remote administration utilities that need only a Windows command shell, cmd.exe, to install and use. Install and uninstall scripts are included, and work is being completed on antivirus evasion. Metacab | PHX2600

Wed Jan 5 21:06:24 GMT 2011 saving: Insecurity (694.0 M) percent done: 100 time left: Download Succeeded! download to: Insecurity

free, access ,information, security, community

Vote for Information is a right, we support this right

Mma , port knocking este o tehnica care rezolva multe probleme de securitate in ssh Are mici defecte care bineinteles se pot rezolva Black Violin Ft. DMX - I'm A Rider

@Patrunjel î?i spun ?i ?ie un secret , cînd cuno?ti în detaliu un lucru te joci cu el , cînd nu îl cuno?ti ,te enervezi mai mult ca nu î?i iese Careva î?i poate da un camion sa il conduci dar ce folos dac? ai numai permis pt categoria B Cînd vorbesc de basics ma refer la bucatile din puzzle care lipsesc ?i îngreuneaz? munca Exemplu Unii stau ore in sir sa efectueze un rfi php f?r? sa î?i dea seama ca e configurat în asa fel încît sa nu po?i urca fi?iere de pe un alt host

O societate vine compusa din oameni cinsti?i , ho?i, în?el?tori , prosti ?i inteligen?i Fiecare isi face strada pe lîng? ceilal?i indiferent de categoria in care apar?ine Au fost create pu?c?rii pt ho?i , dar tot exista ho?i Adev?rul este ca dac? probabil le-ar fi t?iat mana cînd fura ar fi fost mai putini Bineîn?eles cei care nu vin prin?i sunt negustori cinsti?i în continuare Fiecare î?i ia o decizie personala pt el însu?i evitînd intrun mod pe ceilal?i Multe cuvinte au fost scrise ,multe altele au fost rescrise Unii au putina r?bdare al?ii au mai multa , dar to?i la un loc au o limita To?i au fost încep?tori o data ,unii au avansat de nivel , al?ii tot încep?tori au r?mas ?i probabil încep?tori vor r?mîne Putini au func?ii mari , multi au func?ii mici

@1337 nu uita ca ISP-ul se poate uita la el in calculator oricand , in plus ei au si adresa de casa

Sun Jan 2 18:20:06 GMT 2011 __________________________________________________________________________ As fi vrut sa creez o mica lista cu anumite lucruri de baza care ar trebui cunoscute inainte de a construi lucruri mai grele Voi face un sumar intre intrebari si raspunsuri Cunostinta in legatura cu diverse sisteme operative La ce ajuta ? De ce trebuie sa cunosc diverse sisteme ? Ce pot face daca cunosc asa ceva ? Ce nu pot face? Cunoasterea in detaliu cum functioneaza mai multe sisteme operative ajuta in cazul in care un user intalneste un sistem divers a celui pe care lucreaza si este nevoit sa execute divers cod in el Cunoasterea unui sistem operativ nu se limita doar la configurarea optiunilor intrun window manager , in acest caz pot defini doar o cunoastere de baza deoarece un sistem operativ are multe alte lucruri de explorat Deci cand un user vine pe un forum cu o cerere de tipul ma ajuta careva sa rulez un exploit local in Linux ca nu stiu comenzile din Linux? Raspunsul este simplu , oricine il va ajuta va pierde ore in sir deoarece userul nu are cunostinte indeajuns pt acest sistem operativ Nu se va ajunge la nici un obiectiv iar daca se va ajunge nu va fi un lucru profesional ci loguri pline de errori Cunostinta in legatura cu Internetworking La ce ajuta ? Ce pot face? Ce nu pot face? Internetul are la baza diverse protocoale , printre care cele mai cunoscute sunt TCP/IP Daca un user nu cunoaste aceste protocoale asta nu inseamna ca nu poate sa navigheze in internet Bineinteles ca va putea folosi un browser si un client pt messenger. Un user care vine cu o intrebare de tipul cum sa fac un bruteforce, cum sa scanez, cum sa gasesc o vulnerabilitate intrun server , am nevoie de un scanner ,vreau sa fur un password de la cineva prin internet ,imi trebuie sa configurez un keylogger nu are nevoie de prea multe raspunsuri , iar cel care ii va raspunde va pierde o gramada de timp cu el deoarece nu cunoaste baza Daca nu se cunoaste TCP/IP vor fi puse asemenea intrebari Cunostinta acestor protocoale ajuta in cazul in care un user foloseste un tool in retea TCP/IP ajuta la: Folosirea unui scanner Scrierea unui exploit ce implica un serviciu in remote Attaccuri de tipul DDOS Orice fel de conexiune vine stabilita cu internetul Cei care nu cunosc aceste lucruri sunt rugati sa nu puna intrebari de prost gust si sa se descurce singuri in Internetworking Ok probabil apare unul si spune eu stiu sa configurez un keylogger , eu stiu sa folosesc un scanner Este adevarat ,stii sa pornesti un tool cu configyrarea de default dar habar nu ai ce se intapla in spate Acestia sunt cei care pot fi numiti Suicide Hackers , deci vor umple logurile Cunostinte in legatura cu anumite servicii care vin folosite Summary: Daca nu ai studiat Apache sa nu ataci niciodata un server Apache Daca nu ai studiat un database sa nu il ataci niciodata Daca nu ai studiat un serviciu voip sa nu il ataci niciodata Daca nu ai studiat orice serviciu care vine folosit in retea sa nu il ataci niciodata Daca nu ai configurat vreodata un server MYSql sa nu ataci nici un server Mysql Daca nu ai studiat Syslog-NG si nu stii cum sa scrii o regula pt el sa nu ataci nici un sistem UNIX/LINUX Daca nu ai studiat Rsyslog si nu stii cum sa scrii o regula pt el sa nu ataci nici un sistem UNIX/LINUX Daca nu ai configurat vreodata o aplicatie web based sa nu o ataci Daca nu stii sa pui la loc ceea ce reusesti sa distrugi sa nu ataci niciodata Atacurile vin facute doar in cazul in care se cunoaste raspunsul si nu la intamplare Tot ceea ce vine facut fara cunostinta vine atribuit doar unui Suicide Hacker Daca va place numele puteti continua dar nu veti ajunge niciodata la un punct profesional Se pot folosi alte tool-uri scrise de altii? Bineinteles ca da , dar numai in cazul in care se cunoaste pana la capat ceea ce fac Ce pot sa fac daca nu cunosc aceste lucruri? Sa ma joc la jocuri , sa chatez , sa ma uit la filme pe internet, si cam atat Tool-urile nu vin cautate la intamplare doar pt faptul ca au nume frumoase de tipul attack atata timp cat nu se cunosc lucrurile de baza Unde poate duce aceasta necunostinta ? Vom lua ca exemlu diverse Challenge-uri pe care le-am facut Sa nu credeti ca nu a fost un sistem de monitoring pt tot ceea ce faceam eu De ce un sistem de monitoring pt challenge-urile pe care le-am facut? Numai asa pot intelege stilul unora de a ataca Rezultat ? ??? In challenge-urile pe care le-am facut am primit urmatoarele atacuri: Exploit-uri pt windows desi erau sisteme Linux Probabil unii au folosit metaploit autopwn care arunca exploit-uri la intamplare Multe scanere web based , atacuri de tipul RFI in PHP dar PHP nici macar nu era instalat Au incercat sa vada daca e vulnerabil la SQLI dar nu era instalat nici un server SQL Cea mai frumoasa este ultima Am lasat access anonymous in SMB , ceea ce trebuia facut era doar conectarea la server fara username si fara password Ce sa intamplat? Bruteforce, exploit pt Windows desi rula Linux ,si diverse alte atacuri ,pana la urma unul din exploit-uri a pus in crash sistemul Cu acest paper vreau sa explic unde duce necunostinta si de ce este necesar sa cunosti anumite lucruri Inchei cu cateva cuvinte de genul : "In internet nu poti sa fi anonim" wget http://sprunge.us/ORai -O basic.txt

Bine ai venit! Deci ai auzit de Marracash si Fabri Fibra pe la BunkerMusic

Pai asta era chestia garan?ia acoper? dac? iti cade din gre?eala si se sparge dar nu acoper? dac? iti cade in apa Shit are doar doua luni , si nici primul care il aveam înainte nu a durat mai mult de cîteva luni , tot htc Il protejez, ii fac backup, am facut asigurare antifurt la una din cele mai cunoscute companii , i-am aplicat o protectie pentru touch screen, ii fac update, i-am aplicat un patch la kernel , sa fie totul bine , am descarcat toate aplica?iile din market, am facut din el un penetration testing tool , si sa dus... al doilea

Ieri mi-am sc?pat un htc wildfire in cada plina cu apa , dup? care l-am scos ud , am navigat in internet , am f?cut cîteva chemate , m-au sunat , totul ok Nu l-am mai deschis sa vad care e treaba prin el Azi diminea?? Apare asa Ok avînd in vedere ca folose?te android îmi da posibilitatea sa aleg diverse op?iuni de boot Problema : Nu mai func?ioneaz? nici un buton , nici m?car touch screen Gre?eala: Nu l-am deschis asear? , azi am g?sit apa în el Ce am facut? L-am b?gat intrun suport de plastic închis plin cu orez De ce? Ca sa extrag? apa din el Întrebare : Ce ?anse am sa func?ioneze ? Este asigurat , antifurt la o companie în care acoper? ?i anumite alte cauze Accidental? : toate daunele exterior vizibile care ar putea afecta func?ionarea , generate de o cauza externa, brusc? ?i imprevizibil?

Il cunosc de ceva timp pe Bucky de pe Youtube , interesant ceea ce face

P.S. exista pe pia?? asemenea aparate care permit blocarea semnalelor pe o distanta foarte mare , dar bineîn?eles "$$$"

Ai aici wallpaper-ul