Nytro

Sper ca da

We invite you to join our networking and learning meetup on May 6th, at the UiPath office in Bucharest and dive into the art of turning "low impact" bugs like CRLF into full-account takeovers with real-world bug bounty case studies. Then flip the script—learn how to help your stakeholders use AI and intelligent agents to prioritize CVEs at scale and cut through the noise. Scott Roberts , Robert Vulpe and Cosmin Radu will be presenting and are supported by our colleagues from the UiPath Security team. This meetup blends offensive creativity with defensive innovation, delivering practical tactics for both breakers and builders. Looking forward to see everyone there! Spots are limited—register and secure your seat today! Register here: https://lnkd.in/dkMTbJgF

Aveti ncrack, hydra, medusa si o tona de alte solutii si tot cu mizeriile de "arhive" ati ramas... Romania tot in 2002 este.

Epuizarea psihica, cea fizica a exista dintotdeauna si e utila uneori, miscare, adormit repede etc. Nesiguranta zilei de maine a fost de asemenea mereu. Eu cred ca aici e de fapt problema. Ca stam prea mult pe net. Orice am face, stam prea mult cu un ecran in fata. Noi, suntem partial nevoiti, ca asta ne e meseria, dar putem evita sa facem asta in timpul liber. Dar noi ce mai batrani avem experienta trecutului si putem invata din ea: - nu pot merge in curte sa tai o gaina, dar pot sa evit KFC si sa cumpar un pui intreg, cat se poate de "crescut natural" - nu ma pot duce in gradina sa iau rosii, dar pot sa aleg ceva cat mai decent - nu trebuie sa ma duc sa dau cu coasa toata ziua, dar macar o ora la sala pot sa merg - pot sa stau pe Facebook 2 ore sau ma pot vedea cu niste prieteni, sau doar vorbi la telefon Eu am fost la tot felul de doctori dar mi-am aflat "problemele" si am grija cu ele. De exemplu, avand probleme la lombar si la genunchi nu le fortez deloc la sala. Evit pastilele cu orice pret, iau doar daca sunt necesare. Mancarea variata: pui, vita, peste, fructe de mare, legume combinate, fructe etc. si fara exces ma ajuta sa nu am lipsuri (sunt pe verde la analizele de sange ) Cat strict despre partea psihica, anxietate si workout problema e simpla: e ca si cum ai da la lopata 8 ore pe zi, ai ajunge acasa si ai mai da la lopata cateva ore. Asa cum asta ar pune o mare presiune pe oase si te-ar darama fizic, asa e si cu creierul. Dupa 8 ore de folosit intensiv creierul, il mai folosesti si acasa, mai esti stresat si din cine stie ce cauze si se aduna. Repede. Solutia e simpla: limiteaza timpul in care iti folosesti creierul. In PRIMUL rand la munca. E un cacat de job in IT, pentru o corporatie din care altii fac miliarde. Tu nu faci. Nu merita sa te imbolnavesti pentru asta. In plus sunt o gramada de job-uri disponibile, ne descurcam, nu e ca si cum viata noastra depinde de acel job. Daca esti focusat 8 ore pe zi la munca o iei razna.

Ah, lasati fumatul si alcoolul excesiv. Sunt mai daunatoare ca orice. Si dormiti cat mai mult si mai bine (calitatea conteaza). Lasati telefoanele si laptopurile inainte de somn, sau lasati-le cat mai mult.

Eu ma simt mult mai bine de cand: 1. Fac sala de 4-5 ori pe saptamana + miscare cand am ocazia, inclusiv mers pe jos si altele 2. Mananc sanatos pe cat posibil - legume, evit grasimile, prajelile si zaharurile, cat mai variat, cat mai colorat, nu mananc pana crap 3. Cafea - am nevoie dar nu exagerez cu ea 4. Nu fortez efortul "intelectual" - la munca nu stau 8 ore sa lucrez si sa imi distrug creierii, pauzele lungi si dese... Fac work-life balance 5. Citesc inainte de culcare, nu mereu dar destul de des, e cel mai bun somnifer

Uhuuu, ma uit pe la inceput, Tinky e baiat mare ❤️

Mai pune aici textul ca sunt curios.

Daca ceva are mult text si pare spam sterg fara sa citesc prea multe litere ( traume de la botii care ne vaneaza ). Dar daca era ceva in romana (si suna a romana, nu a Google Translate) nu as fi sters.

E doar unul pe forum care face milioane de dolari, restul facem si noi ce putem.

In perioada 28 februarie - 2 martie are loc faza de calificari online pentru Romanian Cyber Security Challenge – RoCSC, un eveniment anual de tip CTF ce urmărește să descopere tinere talente în domeniul securității cibernetice. La competiție pot participa tineri dornici să își demonstreze abilitățile, ce se pot înscrie online până în ziua concursului. Participanții se vor întrece pe 3 categorii de concurs: Juniori (pana in 20 ani), Seniori (21 - 25 de ani) și Open (disponibil indiferent de vârstă). Participarea este gratuită. Tinerii vor trebui să-și demonstreze abilitățile în domenii precum mobile & web security, crypto, reverse engineering și forensics. Primii clasați la RoCSC25 vor avea oportunitatea de a reprezenta România la Campionatul European de Securitate Cibernetică - ECSC25. Calendar eveniment: RoCSC25 - Faza online de calificari: 28 februarie - 02 martie RoCSC25 - Faza finala (on-site, Bucuresti): 27 - 30 mai - o zi Jeopardy si o zi Attack Defence RoCSC25 - Bootcamp (on-site, Bran): iulie (lot extins RoCSC 2025 si OSC 2025) ECSC 2025 - Finala (on-site, Varșovia, Polonia): 06 - 10 octombrie (lotul national selectionat in Bootcamp, format din 10 persoane + 2 rezerve) Competiția este organizată de Centrul Național Cyberint din cadrul Serviciului Român de Informații, Directoratul Național de Securitate Cibernetică - DNSC și Asociația Națională pentru Securitatea Sistemelor Informatice - ANSSI, alături de partenerii: Gold: TBA Silver: TBA Bronze: TBA Link: https://rocsc25-quals.cyber-edu.co/?tenant=cyberedu

Orange Group confirms breach after hacker leaks company documents By Ionut Ilascu February 25, 2025 A hacker claims to have stolen thousands of internal documents with user records and employee data after breaching the systems of Orange Group, a leading French telecommunications operator and digital service provider. The threat actor published on a hacker forum details about the stolen data after trying to extort the company unsuccessfully. Orange confirmed the breach to BleepingComputer saying that it occurred on a non-critical application. The company intiated an investigation and is working to minimize the impact of the incident. According to the threat actor, who uses the alias Rey and is a member of the HellCat ransomware group, the stolen data is mostly from the Romanian branch of the company and includes 380,000 unique email addresses, source code, invoices, contracts, customer and employee information. Orange data leak posted on a hacker forum Rey told BleepingComputer that the breach was not a HellCat ransomware operation and that they had access to Orange’s systems for over a month. On Sunday morning, they started exfiltrating company data and the activity ran for about three hours without the company detecting it. Some samples shared with BleepingComputer show email addresses from former and current Orange Romania employees, partners, and contractors, along with partial details for payment cards belonging to Romanian customers. Some of the data we verfied was quite old. For instance, some of the email addresses were used by individuals that had worked or collaborated with Orange Romania more than five years ago. In the sample with partial payment card information, we found many instances where the data had expired. The leak also contains email addresses and names of Yoxo customers, Orange's subscription service with no contract period. Rey says that they stole almost 12,000 files totaling close to 6.5GB after compromising Orange’s systems by exploiting compromised credentials, and vulnerabilities in the company’s Jira software for bug/issue tracking, and internal portals. Files and size for data stolen from Orange telco operator source: Rey The threat actor told us they dropped a ransom note on the compromised system but Orange did not initiate negotiations. BleepingComputer reached out to both Orange Group and Orange Romania with a request for comment and the company said they were looking into the matter. A joint statement was shared and an Orange spokesperson told us that they've been discussing internally on the incident and the steps to mitigate it. "Orange can confirm that our operations in Romania have been the target of a cyberattack," a company representative told BleepingComputer. "We took immediate action, and our top priority remains protecting the data and interests of our employees, customers and partners. There has been no impact on customers’ operations, and the breach was found to occur on a non-critical back office application" - Orange The company representative said their "cybersecurity and IT teams are working hard to assess the extent of the breach and minimize the impact of this incident." “We are committed to providing regular updates. Additionally, we are committed to complying with all legal obligations associated with such incidents and we are cooperating with the relevant authorities to address this matter,” reads the rest of the statement. Rey told us they breached Orange independently but they are part of the HellCat ransomware group, which has claimed attacks on Schneider Electric and Spanish telecommunications company Telefónica. In both breaches, the hackers targeted Jira servers and scraped or stole 40GB of data and 2.5GB of documents respectively. Sursa: https://www.bleepingcomputer.com/news/security/orange-group-confirms-breach-after-hacker-leaks-company-documents/

Inteleg, sunt relativ activ si pe un forum auto dar si acolo activitatea e minimala. Nu vreau sa sune urat pentru ca intru si eu in categorie, dar "batranii" mai sunt pe forumuri. Partea buna e ca acesti "batrani", inclusiv pe forumuri auto, stiu ce vorbesc, sunt bine intentionati si ajuta. Problema mi se pare la tineri, parca au intrat in pamant, nu stiu ce fac...

Dupa cum se vede aici, forumurile nu mai sunt deloc active... Nu stiu Softpedia daca o mai merge, dar in rest, slabe sanse.

Salut, nu sunt probleme iar in general scannerele automate sau unii "pentesteri" raporteaza astfel de "misconfigurations" care nu au niciun impact. Chiar daca ar fi setate, nu ar ajuta cu nimic in plus.

Nu am idee, dar la cum e legislatia in Romania, ma astept sa fie acceptate doar dosare cu sina. Suna bine, sa ne spui daca putem ajuta cu ceva.

Sa zicem ca il cunosc si ca am lucrat cu fondatorul pentest-tools. Acolo nu e doar o aplicatie web cu cateva tool-uri. E o gramada de munca, ani, si o multime de oameni care lucreaza acolo. Nu ai cum sa faci o clona la asa ceva. In schimb un tool online pe un subiect anume, un tool pentru ceva care nu exista (gen nu exista o versiune online, exista doar pe Linux) ar fi util de implementat.

Avem dosarele cu sina ca backup, ne descurcam si daca ramanem fara electricitate.

Hackerman

OMG, FPD SSTI SQLI RCE, kewl

Salut, probabil practica. Ideea e ca nu o sa stii sa le rezolvi. Dar incercand sa le faci, o sa inveti multe lucruri. Asta e beneficiul principal al CTF-urilor din partea mea. De asemenea, dar numai dupa ce incerci, cauta write-ups si reprodu-le. Gasesti o multime de resurse.

Ai trecut de la schimbat chei publice, la furat chei private. Hotaraste-te. Nu am zis ca nu se poate, am zis ca daca se face crypto corect, nu poate face nimic NSA. Si imi dai dreptate cu acele aplicatii care fac crypto corect si probabil de aceea sunt "date jos". Pup ca sa nu mai fi supy Vorbim de lucruri diferite, nu am zis ca nu ai dreptate cu capacitatile generale ale unor astfel de agentii, as fi vrut ca discutia sa fie mai tehnica. Atat s-a putut.

Nu ai inteles, dar incepe sa se lege treaba. 1. Partea de criptare se realizeaza prin criptare simetrica unde cheile se schimba folosind cheia asimetrica 2. Partea de trust, de verificare, se realizeaza prin certificate sau semnaturi digitale Criptografie nu inseamna doar AES ci ai: criptare simetrica, asimetrica, semnaturi, hashuri, hmac-uri, certificate, authorities etc. De aceea procesul, normal, nu e doar cum am mentionat eu, doar am dat un exemplu basic. Asa cum pentru a obtine un certificat pentru "rstforums.com" a trebuit sa demonstrez ca am acces la rstforums.com (verificarile unui Root CA pentru a oferi un server certificate), asa aplicatiile precum WhatsApp sau altele au mecanismul lor de verificare prin SMS (de exemplu). Stiu ca era o aplicatie la care scanai un cod QR de la cealalta persoana pentru aceasta relatie de trust. Acest trust e un certificat - adica legatura intre o cheie publica si un utilizator, o identitate. Cum se intampla in browser, desigur, ai la baza acele Root CAs si intr-adevar, unele pot sa fie controlate de catre autoritatile americane, ruse, chineze sau orice altceva. Dar sunt si mecanism in place, inclusiv in browsere. Daca se schimba un certtificat, browser-ul nu permite accesul. Ce putin temporar. Revenind la WhatsApp, sau alte aplicatii desktop, modul de implementare nu e acelasi. Nu ai un Root CA care genereaza acele chei publice si private. Cheile sunt generate local, de catre telefon. Iar daca relatia de trust se face intr-un mod sigur (e.g. cum vezi cheia publica GPG a unuia pe Twitter-ul lui, sau ti-o da pe hartie), atunci totul o sa fie in regula, nimeni nu o sa poata face nimic. Se pare ca public key fingerprints sunt ceea ce foloseste Signal Protocol de exemplu. Tu pierzi din vedere tot acest proces si vezi lucrile la modul simplu in care se schimba niste chei publice, faci MiTM si kaboom, ai acces. Nu esti singura persoana care s-a gandit la asa ceva. Revenind la partea de monitorizare in cazul in care NSA are acces la root CAs, exista solutii simple: own PKI. Se pot genera usor root CAs, se pot verifica certificate emise si tot asa. Daca vrei sa comunica "secure" cu un server, o poti face, trecand peste orice paranoia, folosind aceasta metoda (de exemplu). Adica tu consideri trusted doar acel root CA. Criptografia ajuta mult, trebuie doar inteleasa si facuta corect. Si nu te mai supara atat ca nu are sens.

Da, complet de acord, peste tot se intampla asa. Dar asta doar cu datele pe care le au firmele. Daca firmele nu au date, nu au ce sa ofere. Cam asta e baza pe care ar trebui sa mearga persoanele ca Gigel de mai sus, PhD in cryptography. Sau, solutia cea mai simpla: nu face mizerii si nu ai de ce sa iti faci griji. Daca toate datele mele de pe Internet ar ajunge publice, probabil ar fi maxim 2-3 zile de mici caterinci si asta ar fi tot.

Sunt destul de sigur ca intercepteaza date. Dar din cate se pare, daca partea de crypto e facuta bine, nu pare sa se poata face ceva in privinta asta. Desigur, mai degraba au niste 0day-uri in whatsapp, dar inca cred ca pe partea de crypto nu pot face mare lucru. Cel putin nu fara un quantum computer.