Domnul.Do

In anul 2011, in Olanda 2 incidente de securitate majore au devenit publice: cazul DigiNotar(1) si o vulnerabilitate in cardul lor pentru transportul public(2). The National Cyber Security Centre (NCSC) din Olanda a colaborat cu sectoare importante, precum sectorul telecomunicatiilor si sectorul financiar pentru a crea un ghid de tip "Responsible disclosure". Succesul acestui ghid se poate observa si prin participarea unor banci olandeze in aceste programe precum: SNS Bank, ING, NN si Regio Bank. In general exista o problema universala cu un astfel de ghid: nu sunt specificate reguli exacte pentru metodologia de raportare. Acest lucru este evidentiat in articolul "Instagram's Million Dollar Bug"(3), mai exact prin acest citat: "There is no rule which states what to do when a vulnerability is discovered". Doresc sa creez un ghid specific aplicatiilor web (care include si domeniu embedded devices) transparent si dinamic in colaborare cu sectorul public, privat si cel civic. Pentru a intelege mai exact, voi oferi un exemplu: Daca exista un SQL injection intr-o aplicatie web, pentru demonstratia conceptului se va trimite doar @@version . Un acord comun legal pentru a valida conceptul si pentru a pastra integritatea database-ului. Doresc prin acest ghid urmatoarele: -capacitatea societati de a se apara in domeniul digital, -stimularea securitati cibernetice in Romania, -parteneriate pe plan international (CERT-*, NCSC-NL), -angajarea mai usoara a persoanelor care sunt in domeniu sau unui internediar, La acest ghid voi atasa o platforma in care voi prezenta printre altele: -cerintelor pentru a sustine un asemenea program, -standarde precum ISO 30111 sau ISO 29147, Totodata prin acesta platforma, voi comercializa persoanele din Romania care au contribuit la securitatea cibernetic internationala (Bogdan Alecu(4), Dragos Gaftoneanu(5)) cat si celor care sunt implicati activi in acest domeniu (Daniel Bugarin(6)). Am decis sa postez public proiectul meu deoarece imi doresc transparenta si prin aceasta metoda puteti observa feedback-ul comunitati. Referinte: (1) - https://threatpost.com/final-report-diginotar-hack-shows-total-compromise-ca-servers-103112/77170/ (2) - http://www.proxmark.org/files/Documents/13.56%20MHz%20-%20MIFARE%20Classic/Reverse_engineering_the_memory_layout_of_the_OV-Chipkaart.pdf (3) - http://www.exfiltrated.com/research-Instagram-RCE.php (4) - http://www.pcworld.com/article/246528/remote_sms_attack_can_force_mobile_phones_to_send_premiumrate_text_messages.html (5) - http://news.softpedia.com/news/Anti-Keylogger-Application-KeyScrambler-Is-Ineffective-Expert-Says-327441.shtml (6) - "Locul 6 in Lume" - http://www.wechall.net/ranking Va multumesc pentru atentia acordata!

Site-ul GovITHub a fost update-at. Aceasta informatie am dat din greseala peste ea, poate alti nici nu stiu. Se poate imbunatati comunicarea: un fel de "EU Cookie Consent Law PopUp", unde arata: "Editat ultima data 21.08.2016 : Adaugare intrebari noi si un partener" , un fel de ChangeLog.

Eu voi face acest thread un alt mijloc neoficial de comunicare cu GovITHub. Doresc sa fie implicate cat mai multe persoane din diferite domeni si cu alte mentalitati. Daca doream sa adun oameni care au aceasi idei ca mine si sa exclud pe ceilalti cu opini diferite, imi faceam un "partid politic". Nu doresc sa citesc dezbateri deoarece timpul este limitat pana cand incepe demararea proiectului. Nu stiu daca vom mai avea aceasta ocazie. Incerc sa vad cu ce poate sa vina fiecare sa contribuie la un thread constructiv. Iti multumesc pentru raspunsurile tale, daca ne poti spune, tinand cont de confidentialitatea proiectelor tale, pentru viitori voluntari la ce trebuie sa fie atenti? Sau cum pot decurge lucrurile in asemenea proiecte? @j1ll2013 si @hades : Sa luam un context fictiv: Guvernul este nou si neutru, sunteti direct raspunzatori pentru aceste proiecte. La ce trebuie sa fiu eu, ca un membru atent? Sau care ar fii practicile bune pentru o abordare mai usoara? Nu trebuie sa raspundeti dar doresc sa aud opinile voastre cat si a celorlalti care citesc acum acest reply.

Am vazut, se poate comunica foarte bine cu domnul consilier Victor Ciobanu. Dar mai mult doresc o transparenta in acest proces de comunicare, nu doresc sa fie "spam-at" cu posibil aceleasi probleme. Ma gandesc la principiu GitHub: daca sesizezi o problema, o anunti public, astfel elimini sa fie aceasi problema anuntata de mai multe ori. Pe partea de server side pentru platformele GovITHub cat si a celorlalte platforme Gov este: -majoritatea platformelor din Gov sunt pe wordpress, care este independent. Idee mea este sa se faca un assets site, un fel de centralizator, unde sa fie hostate diferite frondend framework-uri, js-ul sau tot ce tine de un frontend. Nu este vorba de spatiu dar de propagare. Daca intr-un viitor poate se doreste un update la jquery (?), sa modifice direct din assets site si automat platformele vor avea un update la jquerry (cand expira cache-ul) -alternativa mea la wordpress este Jekill (este static), dar a mai fost folosit si in domeniul public,in campania lui Barack Obama. Backend-ul la Jekill sa fie in acel assets site prin APIs

Recunosc acest lucru, am deviat de la subiect. Voi aduce alte subiecte de discutie, precum platforma GovITHub (UI/Ux) deoarece sunt multi developeri in aceasta comunitate. Nu am cunostiinte in frontend dar vreau sa contribui la acest subiect, prima impresie pentru link-ul http://ithub.gov.ro/formular-de-aplicatie/ este: -contextul este in limba romana, sa se modifice si "SELECT IMAGE", "SELECT FILE(S)" si "SUBMIT" tot in limba romana. -la "Fotografia ta de profil *" sa fie specificat ce extensii se doresc: (jpg, png, bmp, etc) si dimensiunea maxima.

Dhs.gov (05.12.2012 .pdf) , numarul 32, deoarece a fost prinsa stirea de cateva adrese "mari".

Nu voi contribui cu parerile mele despre aceasta platforma (conducere si fonduri), dar imi voi spune parerea despre viitoare proiecte (pe plan neutral, strict pe proiect). Daca doriti sa aplicati si sa aveti o legatura cu sectorul public, am adunat urmatoarele informatii: - https://www.ncsc.nl/english/security Feedback-ul o sa vina de la "Ministry of the Interior and Kingdom Relations, Netherlands" dar este foarte bun, te vor intreba daca si remedierea lor este buna. - https://cert.europa.eu/cert/newsletter/en/latest_HallOfFame_.html In general se poate comunica cu CERT-* dar CERT Europa au "HoF". Nu am avut tangenta pana acuma. Am gasit acest articol dar nu are TimeLine. - Mai era si politia (mai exact un departament care se ocupa cu incidente se securitate) din India, dar numai gasesc link-ul. Probabil a fost inchis, poate stiti voi mai multe. Edit: - Daca ati generat o stire importanta pe planul securitati cibernetice, care a fost preluata de adresele "mari", sansa ii mare sa fie publicata in raportul oficial al "US Department Of Homeland Security" la capitolul "Information Technology Sector", pentru luna in care s-a generat stirea. Din propria mea experienta, nu o sa fiti anuntati si numele o sa fie cenzurat. Nu cred ca o sa primiti un raspuns pana in 3 septembrie 2016.

Daca ne vom intalni vreodata sa imi amintesti sa te servesc cu o bere rece si un pachet de tigari. Momentan acest thread pare sa ia contur, avem: un oficial, voluntari, troll si idei politice mai trebuie si un continut de calitate pe care il voi genera zilele urmatoare.

Buna intrebare, momentan nu am nici un fel de legatura cu GovITHub dar pe viitor doresc sa devin un membru. Motivatia mea este ca se poate accelera progresul unui proiect foarte mult prin minister. In trecut am vrut sa implementez o idee de unul singur si nu am reusit, deoarece nu lucrez in acest domeniu si in mediu meu este mai bine platita forta fizica decat forta intelectuala. Sunt persoane care vor sa ajute, dar inca nu stiu cum. Doresc sa unesc cei care au acesi mentalitate intr-un loc.

Un asemenea raspuns vreau sa vad, o parere sincera. Metaforic vorbind: care ar fii un project management ideal? Auditori dupa ce criteri se vor alege? Necesita implicarea cetatenilor? Poate nu avem aceasi idee, dar avem acelasi context.

Exista cazuri in care unele instituti aveau "sonde de forare" pentru bughetul statului in interesul personal, dar pe vremea respectiva nu stiam ce face exact DNA-ul sau ANAF-ul. Acuma povestea este altfel, eu nu consider prin cazurile respective ca guvernul este corupt, eu consider acele cazuri un exemplu ca se face o schimbare, se doreste un guvern mai transparent. Si eu am avut acea fustrare ca totul este in interes personal, dar prea tarziu am observat ca vorbeam singur cu televizorul, deabia acuma stau in picioare si doresc sa contribui la transparenta in partea sectorului public. Am anticipat ca la inceput acest thread va avea dezbateri pe plan politic, nu am nimic impotriva dar sa aiba legatura cu topicul GovITHub. Nu doresc sa faci comparatie dintre Romania si Bulgaria, vreau sa consideri acest articol o idee, nu un proiect. O idee ca o infrastructura se poate schimba, bineinteles ca inceputul este limitat dar este progresiv. Cat despre reply-ul meu: Am gasit acest articol, Bitdefender aparent a organizat un concurs in 18 martie 2009, care era bazat pe voluntari. Nu cred ca scopul concursul era in asa fel organizat incat sa imparte sarcinile catre voluntari, printr-o abordare ierarhica. Il voi publica in acest thread si il voi pune la " Adresă web referinte *" in formularul de aplicare. Aceasta este abordarea mea pentru transparenta proiectului.

@SticKyWoX si @tjt dupa cum am obervat ati dat dovada deja de implicare prin anticipare. Momentan este totul speculativ. Dar incerc sa abordez intrebarea "Vor exista project-manageri?" intr-un alt context: Daca cineva a participat din comunitatea RST, ca voluntar in domeniu IT sau asemanator, care a fost organigrama/structura in care ati lucrat? Pana atunci, voi care ati candidat pentru un post de voluntar, care sunt asteptarile voastre? Cum doriti sa interactioneze cu voi (metodologie)? Voi incerca sa caut si sa iau legatura cu intreprinderi care au implementat un astfel de voluntariat (la nivel mai mic) si sa ne spune o parte din interactiunea lor cu un voluntar.

Cu toti am auzit de platforma GovITHub, dar inca nu ne-am mobilizat sa contribuim/lucram in paralel cu acesta platforma. Ideea mea este sa ca creez acest thread pentru a discuta neoficial diferite aspecte, pareri, imbunatari pe care le putem aduce, cat si filtrarea intrebarilor acelasi care ajung pe email oficial govithub@gov.ro Il voi invoca si pe @Andrei pentru a urmari periodic acest thread pentru a raspunde la unele intrebari sau pentru a duce cuvantul nostru mai departe. Voi evidentia cateva aspecte personale pentru persoanele care se vor implica. Pentru voluntari: -O sa fie o asemanare dintre platforma GovITHub si InternshipGov : Informatii despre membri cat si despre voluntari. Se poate folosi pentru comercializarea firmei sau persoanei implicate. Numele voastru trebuie sa apara in motoarele de cautare (blog, vblog, site) -Daca sunteti considerati o resursa, posibil sa lucrati cu membri indirect: colaborare cu alte departamente din minister. Sa nu v-a asteptati la o proportie de 1 membru cu 10 voluntari, ma gandesc ca sarcinile se vor imparti prin intermediari sau platforme de genul GitHub sau un custom open-source bug tracking software. Pentru bursieri (membri): -Proiectele o sa fie prin administratia publica catre cetateni, ceace inseamna ca o sa fie nevoie de un feedback mare din partea sectorului privat cat si sectorului asociativ. O sa fie nevoie de site-uri sau o alta metoda de contact pentru a primi feedback-ul. -Se doreste o transparenta, dar aici se poate subintelege si transparenta celui implicat in proiect. Abordarea mea o sa fie un blog unde pot sa scriu articole minimale periodice despre progresul/regresul proiectului, dar trebuie tinut cont si de confidentialitate: nu toate informatiile trebuie facute publice. -Costuri minimale, nu incercati sa reinventati roata. Costul proiectului se poate scade prin folosirea servicilor online gratuite, ex: daca aveti nevoie doar de site informativ (frontend) se poate folosi GitHub Pages. Nu este nevoie sa cumparati un domeni + gazduire. -Incercati cu proiectul vostru sa creati locuri de munca, sa atrageti investitori, sa faceti parteneriate cu diferite sectoare publice internationale, etc. Aceasta platforma este pe plan national, ceace inseamna ca are prioritate. -Ajuta-ti voluntari indirect, pentru comercializarea (nu spam) lor prin aceasta platforma. Posibil sa fie voluntati care nu sunt in domeniu IT, da-ti credite acelor persoane pentru a gasi un loc de munca mai usor in acest domeniu sau pentru cei care sunt in domeniu trebuie recunoscuta munca lor intr-un mod public. -Formalitatea, deoarece o sa fie intr-un mediu public. O sa fie multe departamente implicate in aceste proiecte, conduita si regulile de politete o sa fie un "must know" pentru a putea colabora. Pentru cei care vor sa se implice in aceasta platforma prin alte metode, va pot pune la dispozitie cateva exemple care se pot scrie la "Alta varianta": -Resursa:[Firma]:Server Dedicat Daca aveti resurse si vreti sa le donati pe o perioada de >= 6 luni, dar trebuie sa constientizati daca vor aparea probleme legate de server (uptime) trebuie sa suportati aspectul comercial negativ sau posibil si daune (sabotaj)?! -Traducator:[Frima]:Ro-* Nu pot spune multe despre proiectul meu acuma deoarece nu am aplicat inca, dar este lagat de https://www.ncsc.nl/english/security si are ideea de baza in acest articol , mai exact in: Va multumesc pentru atentia acrodata!

Interesant thread.

EU OffTopic: Pe bune?

Felicitari stimate AkkiliON , ne vedem pe lista!

Descrierea proiectului: ####################### Doresc sa deschid un proiect , sub denumirea MeMe-Me , bazat pe un principiu al creierului uman care prin cuvintele mele spune ca orice stim vizual care se repeta este mai usor de acceptat/retinut decat unul care nu se repeta. Acest principiu este folosit in publicitate si dupa cum se observa este si conceptul internet meme-ului . Ca si o metoda de a incerca principiu, am ales acest post . Nu sunt autorul acestui post si chiar doresc sa il promovez intr-un mod international poztitiv. Intentia mea este prin imaginea lui sa promovez logica InfoSec-ul destinat publicul larg care nu detine cunostiintele noastre ale internetului . Anatomia proeictului : ####################### Un internet meme este o imagine macro structurata pe principiul haiku: 1)Primul text 2)Imagine 3)Al doilea text Primul text si imaginea trebuie sa se repete in fiecare instanta a meme-ul , unde al doilea text se foloseste pentru a transmite mesajul dorit. In general alcatuirea textului este bazata pe fontul Impact cu toate caracterele in Caps Lock cu o marine a fontului mare si culoarea alba cu un outline-er negru. 1) Prima linie este un text care defineste principala nisa a imaginei. Poate sa fie o intrebare , o exclamare sau un raspuns. In acest caz se poate folosi : Only for the record 2) Imaginea este fingerprint-ul si este in stransa legatura cu primul text. Este deseori formata din principala nisa a meme-ului pe un background simplu pentru o editare mult mai eficienta , fara a corupe aspectul prin procesul de pozitionarea a textului. In acest caz se pot folosi nisele : tech , security , developer , not bukkake , infosec news , tip&tricks , surprinse , curiosity , wtf . 3) Al doilea text este cel mai important , prin care se poate transmite mesajul dorit . Este dinamic si poate sa fie raspunsul sau continuarea primului text . In acest caz se poate folosi : You say this meme is only a social experiment? Propagarea proiectului: ####################### Principala cheie a procesul de propagare este mediezarea selectiva in domenile trend-ului "meme", precum: 9gag.com , imgur.com , reddit.com sau cel mai influentabil 4chan.org Dar se poate posta si in retele de socializare si in forumuri ca si un raspuns sau o evedientiere a unui comentariu . Metodologia proiectului: ####################### Desigur acest proiect este in timpul liber si nu stiu daca se va vedea rezultate , dar este bazat pe comunitate . Se vor discuta in acest thread alternative in procesul de formare a meme-ului (alta imagine , alt context , s.a.), dar NU se va trece la medietizare daca nu avem o idee exacta cum va arata meme-ul si ce trebuie sa transmita . Odata conceput, se va trece la procesul de postare progresiva in domenile respective. Finalizarea proiectului: ####################### Se va face in 4 etape: 1) Se merita un astfel de proiect? 2) Intocmirea mesajul principal care trebuie sa trasmita acest meme ( Nisa cat si primul si al doilea text). 3) Realizarea imaginei. 4) Propagarea Informatii aditionale: ####################### Internet Meme :https://en.wikipedia.org/wiki/Internet_meme Image Macro : https://en.wikipedia.org/wiki/Image_macro Haiku : https://en.wikipedia.org/wiki/Haiku

Chiar foarte interesant , sa faci update-uri cand poti la acest thread . Mai ales partea cu OPC-ul ma intereseaza , ce au de spus si ei aici .

Dar ce sa zic de povestea mea: un XSS in main page si restul 5 (tot XSS) in subdomenii diferite si am un total de 200$ .

Am 6 incidente,probabil formatul o sa fie asa: AT&T Bug Bounty payout of REF:1,2,3,4,5,6 Cu alte cuvinte daca nu este precizat daca sunt mai multe ref ,ma gandesc ca este la libera alegere formatul . Probabil toti care au trimis incidente vor primi un astfel de raspuns , cu un termen de trimite si bug bounty-ul ajunge undeva la sfarsitul anului (probabil sa poate inchide anul in "documente")

Un like nu e destul dar o multumire publica probabil: Multumesc Toshib4!

Rezumat: Undeva la inceputul anului 2013 am deschis 6 incidente de securitate , deoarece nu am fost inregistrat la ei nu am primit raspuns pana acuma. Mi-au trimis zilele trecute un raspuns pentru bug bounty-ul acumulat (o suma destul de mica pentru 6 incidente de securitate) si trebuie sa completez documentele W8-BEN si Foreign Vendor Questionnaire precum si alte inforimatii personale. Email: (...) INFORMATION REQUIRED FROM INTERNATIONAL REPORTERS: v Full Name (first, middle initial and last name) v Current residence address v Contact Phone Number v W8-BEN FOR INTERNATIONAL REPORTERS, (attached) signed and filled out completely Note - Part IV fill out completely v This form will need to be sent back electronically as well as hard copy (return address will be provided when we receive your electronic copy.) v Foreign Vendor Questionnaire (attached) v SWIFT Supporting Documentation Bank Letter Confirming Routing Number / SWIFT BIC Number Account Type checking or savings Beneficiary Bank Name Beneficiary Account Number Bank info on Company Letterhead/Invoice Contact at Bank (...) Problema: Acuma problema este ca nu am avut tangenta cu formularul "Foreign Vendor Questionnaire" si nu stiu exact cum sa il completez , cateva informatii despre cum sa completez furnizate de catre ei: 2. How do I fill out Foreign Questionnaire form? If you are an international reporter, the Foreign Questionnaire must be filled out. Please answer questions 1-3, 5, 6 (on question 6 please put AT&T Bug Bounty payout of REF: number) and question 7. Signed and dated. Cer sprijinul persoanelor care au avut tangenta pentru intocmirea corecta a formularului "Foreign Vendor Questionnaire" . Alte informatii: Foreign Vendor Questionnaire : Foreign Vendor Questionnaire.pdf - DocDroid

Mentalitatea mea este una White , nu am ce ascunde si in opinia mea nu este nici o problema aici , care este diferenta cand te conectez la un HotSpot si rulezi un sniffer in comparatie cu actiunile facute de catre NSA ?! Vrei sa "prinzi" pachete cu interes personal a unor utilizatori random al HotSpot-ului fara nici un target , fara nici un plan . Ei vor sa fie cu 3 pasi in fata unor incidente cu interes national/international . Aici motivul conteaza,nu mijloacele (TAO), au un motiv foarte bine definit in timp , nu este ceva temporal . In loc sa adoptam/intelegem metodologia lor (BullRun) , noi o "criticam" . Poate sa aiba si o legatura cu Kafos (Mangalia) dar atat timp cat comunica cu autoritatiile despre incidente este bine.

Interesant articol , este chiar pe tema mea . Pentru a experimenta cu Flash Based XSS : http://demo.testfire.net/vulnerable.swf

Ironie , cineva nu o facut treaba bine , dar nu vad nici o problema aici , deorece au mentalitatea deschisa in domeniul securitati , de exemplu: https://pbs.twimg.com/media/BFuyDDLCQAIcV_m.jpg:large