M2G

Most of the time when we see a code snippet online to do something, we often blindly copy paste it to the terminal. Even the tech savy ones just see it on the website before copy pasting. Here is why you shouldn't do this. You probably guessed it. There is some malicious code between ls and -lat that is hidden from the user Malicious code's color is set to that of the background, it's font size is set to 0, it is moved away from rest of the code and it is made un-selectable (that blue color thing doesn't reveal it); to make sure that it works in all possible OSes, browsers and screen sizes. .malicious { color: #f3f5f6; // set it to that of the page font-size: 0px; // make it small // move it out of the way position: absolute; left: -100px; top: -100px; height: 0px; z-index: -100; display: inline-block; // make it un-selectable -webkit-touch-callout: none; -webkit-user-select: none; -khtml-user-select: none; -moz-user-select: none; -ms-user-select: none; user-select: none; } <span>ls</span> <span class="malicious"> ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r'; sleep 0.3; echo -ne 'h4cking ##### (33%)\r'; sleep 0.3; echo -ne 'h4cking ####### (40%)\r'; sleep 0.3; echo -ne 'h4cking ########## (50%)\r'; sleep 0.3; echo -ne 'h4cking ############# (66%)\r'; sleep 0.3; echo -ne 'h4cking ##################### (99%)\r'; sleep 0.3; echo -ne 'h4cking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'<br> ls </span> <span>-lat </span> This can be worse. If the code snippet had a command with sudo for instance, the malicious code will have sudo access too. Or, it can silently install a keylogger on your machine; possibilities are endless. So, the lesson here is, make sure that you paste code snippets from untrusted sources onto a text editor before executing it. Sursa si locul in care apare comanda asa cum ar trebui sa fie copiata daca vreti sa incercati.

In principiu ai nevoie de C/C++ si Python. Daca mergi pe ruta C: Ca sa te lamuresti singur daca asta e ceea ce vrei si sa vezi daca iti place asta iti recomand sa iti comanzi un kit de pe aliexpress. Ceva gen asta: https://www.aliexpress.com/item/The-Best-RFID-Starter-Kits-For-Arduino-Uno-R3-With-Tutorial-Power-Supply-Learning-Kit-US/32623852199.html Ai in pachet si un CD cu tutoriale cum sa folosesti tot de acolo si in plus ai si exemple de cod in IDE-ul de la Arduino. Daca mergi pe varianta Python: Aici recomand sa iti iei un raspbery pi si un set de senzori: https://www.robofun.ro/raspberry-pi-v3?search=raspberry&sub_category=true https://www.robofun.ro/raspberry-pi-si-componente/Kit-RASPBERRY-PI-B-pentru-incepatori Senzori gasesti mult mai ieftin pe Aliexpress doar ca dureaza cam o luna sau si mai mult sa ajunga in tara din China prin posta Sunt destul de multe diferente intre un arduino si un rasbperry in ceea ce priveste modul in care le programezi dar in principiu poti sa folosesti aceiasi senzori pentru ambele. Daca mergi pe varianta C + arduino, avantajul este ca gasesti foarte multe tutoriale si exemple pe net desii implementarea o sa ti se para mai grea. Daca mergi pe varianta Python + raspberry, avantajul este ca e mai usor de programat, gasesti si aici multe exemple dar e mai scump de achizitionat. Daca mergi pe varianta raspberry, poti sa programezi de asemenea in C si sa inveti si Linux. Pentru un incepator mi s-ar parea mai util sa invete C + arduino doar pentru ca sunt mai putine tehnologii de care sa te bati si ai totul intr-un ecosistem destul de liniar care nu iti permite asa multa flexibilitate dar asta este un avantaj pentru un incepator pentru ca ai mai putin spatiu sa faci greseli. Ar mai fi multe de discutat dar nu mai am timp acum sa scriu. Daca mai ai intrebari, scrie aici si o sa-ti raspund cand o sa am mai mult timp. Pentru acest domeniu, nu recomand alte limbaje decat cele mentionate mai sus.

Probabil e diferit la one plus one. One plus x are Oxygen OS care nu pare sa aiba prea mult bloatware.

Ce nu-ti place la one plus? Am luat un one plus x pentru cineva, merge excelent.

E mai mult un experiment, tratati-l ca atare. Daca lucrurile or sa mearga bine si iese ceva atunci o sa continue probabil cu un buget mult mai mare. Eu zic sa fiti curiosi si sa vedem ce o sa rezulte, guvernul actual face lucrurile intr-un mod interesant si se pare ca au curaj sa incerce chestii noi (cel putin pentru Romania).

Curata-l de praf si eventual schimba pasta termoconductoare. Am patit la fel cu un Aspire cam tot de aceasi vechime. Uita-te la temperatura procesorului cu RealTemp https://www.techpowerup.com/realtemp/ Daca temperatura depaseste un anumit prag, o sa se stinga singur. Pragul e pe undeva pe la 90-100 grade Celsius.

Scade probabil pentru ca Bitfinex a fost hacked si s-au furat multi BTC. https://techcrunch.com/2016/08/02/bitcoin-drops-20-after-70m-worth-of-bitcoin-was-stolen-from-bitfinex-exchange/

Nu am idee daca este adevarat sau nu, l-am gasit postat de cineva pe facebook. Am presupus ca e adevarat. L.E. Se pare ca e fake: http://www.snopes.com/guccifer-missing-from-jail-cell/

Marcel Lazăr Lehel, sau Guccifer, hacker-ul român care a spart serverul de e-mail al candidatei democrate la preşedinţia Statelor Unite, Hillary Clinton , a fost găsit mort în celula închisorii din Virginia. BUCUREŞTI, 6 iulie — Sputnik. Hacker-ul Guccifer a fost extrădat în Statele Unite după ce a recunoscut în mod deschis că a spart serverul de e-mail al candidatei democrate la preşedinţie, Hillary Clinton, scrie ziarul Christian Times. Dupa ce marţi dimineată FBI-ul a eliminat orice acuzaţii la adresa democratei Clinton, a început să circule zvonul că Guccifer lipseşte din celula închisorii din Virginia unde era închis. Marți seara, rapoartele afirmau că hacker-ul român a fost găsit mort, după cină, agățat de o frânghie în celula sa personală. James Comey, directorul FBI, a declarat marți dimineață că dușmanii Americii și actorii individuali sunt cei care au accesat e-mailurile senatoarei Hillary Clinton, iar Guccifer a fost singura persoană care putea să prezinte detalii despre conținutul lor. Guccifer a susținut că serverul a fost "ca o orhidee deschisă pe internet" și că "a fost ușor… ușor pentru mine, pentru toată lumea" să sparga contul de e-mail. Rapoartele sunt încă în curs de desfăşurare şi se aşteaptă declarații din partea autorităților americane. Christian Times scrie că „este demn de remarcat faptul că Hillary Clinton şi consilierii săi au mai implicat Casa Albă în sinuciderea discutabilă a angajatei Vince Foster în 1995". Sursa Edit: Se pare ca stirea e fake: http://www.snopes.com/guccifer-missing-from-jail-cell/

De ce ti-ai luat un rPi atunci? Daca nu il folosesti pentru automatizari, electronica, robotica e ca si cum ai avea un laptop cu linux. Nu e nimic special. Incearca sa instalezi un client de Ethereum. Faci un smart contract si apelezi niste functii. Cu alt cont de ethereum trimiti comenzi contractului sa iti aprinda un led. Practic platesti ledul sa se aprinda. Asta ar trebui sa te tina ocupat ceva timp.

Ethereum nu e afectat iar cel care a facut hack-ul o sa fie blocat in a retrage banii. Problema era in smart contractul de la DAO iar atacatorul a reusit sa execute functia "split" in mod recursiv pentru a sustrage bani. Solutia a prezentat-o Vitalik pe blogul Ethereum: https://blog.ethereum.org/2016/06/17/critical-update-re-dao-vulnerability/ Contul care a furat tokenii DAO puteti sa-l urmariti aici: https://live.ether.camp/account/304a554a310C7e546dfe434669C62820b7D83490 Desii nu am avut timp sa citesc, detalii despre buguri in smart contracts puteti sa gasiti aici: http://hackingdistributed.com/2016/06/16/scanning-live-ethereum-contracts-for-bugs/ On-topic: Sunt tare curios ce se va intampla la halving. Pretul creste cel mai probabil in cauza ca se apropie halvingul. Multi sunt de parere ca pretul trebuie sa creasca pentru ca daca or sa se genereze 12.5 BTC in loc de 25, scade supply-ul pe cand cererea ramane aceasi sau creste. Deci asta inseamna ca creste si pretul. Pana unde creste, n-am idee.

In ultimele luni am citit: https://www.goodreads.com/book/show/10127019-the-lean-startup -> Despre startups, cum sa faci incrementuri mici, cum sa pivotezi ideea cand nu functioneaza si nu aduce rezultate, cum sa masori metricile de crestere etc... https://www.goodreads.com/book/show/18050143-zero-to-one -> Despre startups, cum sa le construiesti, cum sa le scalezi, cum sa inovezi https://www.goodreads.com/book/show/11468377-thinking-fast-and-slow -> Despre gandire irationala, logical fallacies, e o carte plina de exemple din experimente Am terminat recent: https://www.goodreads.com/book/show/28862.The_Prince -> Machiavelli - Analizeaza despre cum un print poate ajunge la putere intr-un regat, cum poate sa pastreze puterea, sa influenteze baronii si sa cucereasca teritorii. De cele mai multe ori raspunsul este "violenta". Pe principiul: Bruteforce - if its not working, you are not using enough! M-am apucat de: https://www.goodreads.com/book/show/4865.How_to_Win_Friends_and_Influence_People -> Despre comunicarea cu ceilalti si relatii in general. Nu am citit prea mult inca din ea dar am auzit ca e buna(e un bestseller). Le recomand pe toate. Desii, probabil ca The Prince nu e chiar o lectura usoara pentru toata lumea. Din pacate am putin timp pentru citit. Dupa 12-14 ore de monitor pe zi nu prea mai am rabdare sa stau cu ochii in kindle/carte.

Pentru ethereum placile video Nvidia sunt destul de slabe. Cel mai bine merge cu Ati. Aveti grija cum va calculati return on investment daca va bagati pe minat. Ethereum o sa treaca la un momentdat pe proof of stake(PoS) in loc de proof of work si cand o sa se intample asta, nu o sa mai aveti nevoie de putere mare de calcul asa ca trebuie sa folositi resursele hardware pentru a mina eventuale alte monede. Daca o sa intrat pe minat ETH destul de tarziu s-ar putea sa nu mai aveti timp sa recuperati investitia prin minat.

Nu cred ca ai inteles cum functioneaza. Project Abacus calculeaza un scor pe baza datelor biometrice iar daca acel scor depaseste un anumit threshold, te autentifica automat. In schimb daca o sa suferi un accident si device-ul nu te mai poate recunoaste(valoarea calculata este sub threshold), trece pe modul clasic cu user si parola.

Wallet-ul oficial al Ethereum il descarci de pe site-ul oficial: https://ethereum.org/ Ai acolo tot ce vrei pe site. Te poti uita si pe github daca vrei documentii. https://github.com/ethereum/ Echipa din spatele proiectului e foarte buna si de incredere. E ceva legit 100%. Exista o comunitate pe slack unde sunt doar romani: http://ethromania.herokuapp.com/ Ethereum este mai mult decat o crypto-moneda. Este un sistem pe care poti scrie aplicatii si aceste aplicatii sa aiba in spate un sistem financiar bazat pe cryptocurencies, micropayments si tot ce iti poti imagina. Au un limbaj de programare cu care poti sa faci smart contracts, se numeste solidity si e la versiune 0.3 deocamdata daca nu ma insel. Aplicatiile create cu ethereum si care folosesc smart contracts se numesc DAPPS (distributed applications). Un exemplu care a luat mai mult elan din segmentul asta este: https://slock.it/ Cu Slock.it poti sa faci sisteme de incuietori care se deschid in momentul in care le platesti. Pentru mai multe DAPPS te poti uita aici: http://dapps.ethercasts.com/ Sunt super multe de discutat, se lucreaza la foarte multe proiecte si o sa fie ceva mare. La fel de mare ca si Bitcoin sau poate sa il si depaseasca odata cu Halvingul de la bitcoin din iulie. (Desii partea cu halvingul poate sa mearga in oricare directie, ori sa scada pretul dramatic ori sa explodeze intr-o crestere. - asta e totusi o alta discutie si e cam offtopic.) Orice intrebari ai in legatura cu ethereum, poti sa intri pe comunitatea de slack mentionata mai sus si sigur iti raspunde cineva.

Open-source si securitatea e o iluzie. Daca e open-source nu inseamna ca nu poate sa aiba la fel de multe erori ca un sistem proprietar. De cate ori te-ai uitat peste cod open-source sa vezi daca e secure? Mai ales peste cod care face operatii pe biti, networking, criptari si asa mai departe si care e foarte greu de inteles si ai nevoie de foaie si pix, tooluri si multa rabdare si timp. Probabil va ganditi ca: "tot codul este disponibil, sigur se uita cineva la el si verifica sa fie sigur. Daca era vreo problema de securitate cineva ar fi vazut-o si ar fi reparat-o." Majoritatea gandesc asa si in final aproape nimeni un se uita la acel cod sau daca se uita nu se uita cu scoup de a gasit vulnerabilitati. Iar de multe ori complexitatea codului poate depaseste setul de skilluri al celui care se uita. Desigur, cele evidente poate ies la suprafata dar asta nu inseamna ca acel cod e sigur. Ca si dovada, cazurile cu OpenSSL si ShellShock. Acele vulnerabilitati erau acolo vizibile de ani intregi si nimeni nu a observat.

Nu, e nou canalul dar sper sa devina ceva interesant si lumea sa faca share la informatii. O sa il promovam si pe alte surse. Deocamdata am dat un mail in firma in care lucrez si au mai venit cativa. Numarul curent de membrii este de 33 dar nu l-am promovat deloc (pana acum). Deocamdata doar am trimis cateva invitatii dar nu s-au antrenat discutii. Multi nu stau online pe slack, probabil ca nu il prea folosesc nici in alt context. Sper sa se schimbe asta odata ce creste numarul de membrii. P.S. Thanks, am corectat.

Salut, Am creat impreuna cu ceva prieteni o comunitate pe slack pentru It professionals. Vrem sa extindem echipa cu mai multi membri din toata tara pentru a avea un loc comun pentru a face sharing de informatii, tools, sa schimbam idei de proiecte si sa cerem feedback, sa postam cereri/oferte de joburi, etc... Daca sunteti interesati, va puteti inregistra la urmatoarea adresa folosind mailul: https://ithubromania.herokuapp.com/ O sa primiti apoi pe mail o invitatie si va puteti inregistra. Important: Aceasta e o comunitate serioasa, orice trolling sau discutii care nu au legatura cu IT-ul vor duce la stergerea mesajelor si disable permanent pe contul respectiv. Pentru cine nu stie, acesta nu este un forum ci un mediu de livechat, filesharing etc. organizat pe mai multe canale. Daca sunteti interesati, va astept acolo. Momentan exista urmatoarele canale:

The RouterSploit Framework is an open-source exploitation framework dedicated to embedded devices. It consists of various modules that aids penetration testing operations: exploits - modules that take advantage of identified vulnerabilities creds - modules designed to test credentials against network services scanners - modules that check if target is vulnerable to any exploit Github

A couple months ago, for God knows what reason, I decided to hack my Tesla Model S. My goal was to get root access to the touchscreen, henceforth known as the CID. I spent about 2 months of research and preparation for this project. When I was confident everything was all set, I grabbed my tools and my laptops and went to work. 1) Access the Side Panel The first step was to remove the little side cover right by the door on the drivers side. This reveals a little white connector that you can see here sticking out. It may look weird, but it's basically a CAT 6 cable with a proprietary connector from Tesla. You can connect to it by taking a regular network cable and adding the male proprietary end to it, or try to buy one from a salvage. The cable I used was one I made myself. So, the white access wire is where I will finally get access to the network and can perform the hack itself. Unfortunately, it's currently locked down behind a VPN that requires a password to unlock, which unfortunately I didn't have, so I had to unlock it. 2) Remove Lower Dash Trim After the side cover is removed I had to remove the huge trim underneath the steering wheel. It had 9 clips that I had to really fight with my wedge to get disconnected. I finally got it off though. 3) Remove the Vents Oh my god, this took forever. I had to unscrew the large top pad which covers the entire dash from the chassis. After that, you have to pry that sucker up which unhooks a few clips but still wants to fight you the whole time. It was covering the screws for the vents. The top pad is sensitive, as is the chrome edge to it, so you have to be careful not to bend it while simultaneously prying that sucker apart so you can unscrew the two screws. After that you just remove the instrument cluster cover and pull the vents out. 4) Remove Instrument Cluster The instrument cluster needs to be removed. Once again, this required lifting the top pad to access the two upper screws. Honestly, I took this picture after I had removed the bottom screws because I was dreading having to remove the two on top... I finally got the two screws removed, though. I'm sure by this point you're wondering how in the heck this will manage to unlock the white connector. You'll see soon. 5) Instrument Cluster Connector And here's that golden ticket: another connector like the white one! This one is a connection to the CID (touchscreen). The IC connects to the CID through a web interface to get updates on things like the navigation, music, etc. as well as send commands like opening the sunroof. What I had to do was disconnect the cable from the IC and plug my earlier cable in to it. This allowed me to get the car into Factory Mode. Once that was done, I unplugged my laptop and plugged the cable back into the IC. If you hold down the Tesla T in Factory Mode you end up with the "Developer Mode" screens. I'll probably make a post another day going through all of it. I had to add this screen though. It's the thermal status screen, and most definitely my favorite. 6) Root the S The car is in Factory Mode, and thus the white cable back at the beginning in the side panel is unlocked and ready for me. So, I plugged in my laptop and ran a script I had pre-written: obtain_root Dramatic reenactment of the rooting experience. This goes through a secret process that eventually gets me connected to the CID (touchscreen) with root privileges. From there I had a bunch of stuff that ran automagically to set it up so I wouldn't have to go through all this crap every time I wanted access to the car. Then, I just disconnect from the white cable, turn off the factory mode, reboot the car, then reinstall all the stuff I removed. Bam! Hack complete. Post Root The car is rooted, now what? I have a lot of things planned and have been doing a lot of exploring. I'll be posting my findings, pictures, videos etc. here. I have something awesome I've been working on. Hopefully I can get a video up sometime soon. Source

http://www.comunicatii.gov.ro/legea-privind-securitatea-cibernetica-a-romaniei-versiunea-finala/ publicata la 04.04.2016.

Banned - 1 month and 29 days closed!

Python 3: print("Numele meu este {}".format(nume)) Python 2: print "Numele meu este %s" % nume Din python 3, print nu mai este doar un macro ci este o functie si o apelezi ca pe o functie. Invata python 3 pentru ca 2 o sa dispara eventual si 3 o sa fie suportat mai mult timp de acum inainte. Exista si un tool care se numeste 2to3 care iti transforma automat codul de python 2 in cod de python 3. Sunt cateva diferente de sintaxa intre cele 2 versiuni. Ca sa vezi ce versiune ai instalata poti sa rulezi dintr-un cmd: python -V Asta daca ai binarul in de python in environment variables. Daca folosesti o distributie de Linux, ai deja instalat python, de obicei ambele versiuni. In loc sa iti ceri scuze pentru post dublu mai bine da edit postului anterior, altfel o sa primesti avertismente. Am observat ca nu stii sa folosesti google. O sa gasesti foarte multe resurse cautand pe google atunci cand ai probleme. Primii pasi cand inveti programare sunt din punctul meu de vedere: 1. invata limba engleza la un nivel in care poti sa ti o conversatie. 2. invata cum sa cauti informatiile de care ai nevoie. Asta e cel mai importat la inceput. Daca programul iti da o eroare, cauti eroarea pe google si ai zeci de raspunsuri pentru posibile cauze si snippeturi de cod care rezolva deja problema. Daca ai fi cautat pe google: "python print parentheses" ai fi gasit deja rezultatul pentru intrebarea ta inca din primele rezultate. http://stackoverflow.com/questions/6182964/why-is-parenthesis-in-print-voluntary-in-python-2-7 http://stackoverflow.com/questions/25445439/what-does-syntaxerror-missing-parentheses-in-call-to-print-mean-in-python etc...

1. Da 2. Daca dai scroll pana jos la pagina cu unread content o sa gasesti acolo un buton in dreapta jos "Mark site read" https://rstforums.com/forum/discover/unread/ Restu nu stiu daca se pot schimba din configurari si cel mai probabil nu se pot. Nu o sa stea nimeni sa codeze asta din lipsa de timp...

Si daca esti la linkul asta si te uiti in stanga? Uita-te acolo ca prima optiune selectata e "Status updates". Alege "Posts" daca vrei sa vezi detalii despre reputatia primita/data pentru posturile tale.