Ce calitati defineste un hacker?!

[muri699]

Ma tot intrebam un ultimul timp ce ar trebui sa invat sa fiu mai bun la cyber security , adica stiu chestiile de baza in linux si cum functineaza majoritatea tool-urilor .Va rog, cei care se pricep , daca ati putea sa mi dati niste sfaturi , in ce ar fi mai folositor sa invat.

[cohones]

boss, in primul rand trebuie sa inveti cine poate sa te caute si in al doilea rand sa inveti cum sa nu te prinda. Trebuie sa intelegi gravitatea faptelor tale si la cel nivel te vei regasii: DIICOT, Europol, FBI. Ca sa nu te prinda, citesti cum i-au prins pe altii inaintea ta. Posibil dupa vreo 5 ani de studiu vei gasii mai multe afaceri in domeniul cybersecurity foarte profitabile. Un hacker nu poate sa devina bancomat fara sa manance programarea pe paine dimineata, la pranz si seara. Bafta.

Edited Sunday at 05:50 PM by cohones

[aelius]

4 hours ago, muri699 said:

Ma tot intrebam un ultimul timp ce ar trebui sa invat sa fiu mai bun la cyber security , adica stiu chestiile de baza in linux si cum functineaza majoritatea tool-urilor .Va rog, cei care se pricep , daca ati putea sa mi dati niste sfaturi , in ce ar fi mai folositor sa invat.

 

Nu chestiile de baza. Sa-l mananci pe paine.

 

Sa ai cunostinte extinse despre sisteme de operare, daemoni, cum functioneaza, cum se configureaza, ce limite/lipsuri are/au, sisteme de fisiere, kernel, kernel signals, aplicatii web, networking, tehnologii programare web, limbaje diferite, baze de date si lista ramane deschisa.

 

Poti citi si cate ceva pe aici. Stiu, este informatie veche si poate unii o sa considere ca e "deprecated", insa cred ca e un bun start, cel putin referitor la atitudine si inceputuri.

 

Hackingul nu se rezuma la folosirea unui tool si nu e ce crede coaie asta de mai sus 

[Nytro]

Prima regula care nu se aplica doar in security, ci si in multe alte lucruri, inclusiv fotbal sau mai stiu eu ce e urmatorul: sa iti placa ceea ce faci. Daca o faci pentru bani, slabe sanse sa ai succes. 

 

Daca iti place o sa pui si osul la treaba care e urmatorul pas. Sa inveti. Mai intai cate putin din fiecare, apoi extinzi ceea ce stii in functie de necesitati.

[cohones]

13 hours ago, aelius said:

Hackingul nu se rezuma la folosirea unui tool si nu e ce crede coaie asta de mai sus 

 

 

Bine boss, unii doar citesc la birou prin Jermania despre facutul de bani, altii chiar isi risca pielea la bataie

Edited Monday at 10:05 AM by cohones

[aelius]

4 hours ago, cohones said:

Bine boss, unii doar citesc la birou prin Jermania despre facutul de bani, altii chiar isi risca pielea la bataie

 

Nu citesc niciodata despre cum sa faci bani. Am alte pasiuni, cat despre bani, sunt suficienti da-i in ma-sa. Nu sunt vreun barosan, dar nici lipit. Ajunge ce este

Oricum, subiectul e altul, nu are sens asocierea. Ce faci tu, e treaba ta ... nu sunt eu in masura sa dau sfaturi la cineva sau sa judec. E alegerea fiecaruia

 

O zi faina la toti!

[Nytro]

Recent: 

 

 

PS: Tipa e smechera. E top. 

[cohones]

1 hour ago, Nytro said:

 

PS: Tipa e smechera. E top. 

 

E top tipa dar a avut burnout vreo 4 ani.

 

Ce nu intelegi tu Popescule si altii e ca o parte din acesti "ethical hackers" lucreaza direct si indirect pt diverse organizatii statale... prietenoase si neprietenoase... multi sunt neacoperiti, dar altii acoperiti. Voi aveti impresia ca toti "ethical hackerii" o ard acasa pe bug hunting... cand colo ei o ard pe Ghidra NSA-ului.

Edited Monday at 07:23 PM by cohones

[Nytro]

Eu cred ca cei care lucreaza pentru NSA nu sunt persoane publice. Nu apar pe Twitter, pe la conferinte si prin alte locuri.

Majoritatea lucreaza pe bani frumosi pentru multinationale / corporatii. Unele companii investesc in persoane a caror munca de zi cu zi nu e sa faca pentest, ci sa faca research, sa descopere lucruri noi. Cel mai cunoscut exemplu e Google Project Zero, dar multe companii au astfel de oameni. Ceea ce e ideal, omul se dezvolta, compania e ajutata. Mai greu de argumentat cu managementul despre ROI (Return of Investment).

 

Acum, fiecare intelege ce vrea prin hacker. Eu am o parere, ca sunt cei care fac research, descopera si publica lucruri interesante, tu poate esti de parere ca singurul lucru care conteaza sunt banii. Poate e cate putin din fiecare.

[cohones]

12 hours ago, Nytro said:

Eu cred ca cei care lucreaza pentru NSA nu sunt persoane publice. Nu apar pe Twitter, pe la conferinte si prin alte locuri.

 

Crezi cam gresit.

 

12 hours ago, Nytro said:

Majoritatea lucreaza pe bani frumosi pentru multinationale / corporatii. Unele companii investesc in persoane a caror munca de zi cu zi nu e sa faca pentest, ci sa faca research, sa descopere lucruri noi. Cel mai cunoscut exemplu e Google Project Zero, dar multe companii au astfel de oameni. Ceea ce e ideal, omul se dezvolta, compania e ajutata. Mai greu de argumentat cu managementul despre ROI (Return of Investment).

 

 

 

Pai si stii de ce? Statul American controleaza corporatiile (board-ul) impunandusi propria agenda cu ajutorul corporatiilor. De asta whatsapp va introduce cat de curand AI sa raporteze mesajele inainte de a fi trimise E2EE. https://messengernews.fb.com/wp-content/uploads/2021/12/Metas-approach-to-safer-private-messaging-on-Messenger-and-Instagram-DMs-Sep-23.pdf

[Nytro]

25 minutes ago, cohones said:

Crezi cam gresit.

 

Ai cateva exemple? De persoane publice care ar lucra la NSA sau similare?

 

25 minutes ago, cohones said:

Statul American controleaza corporatiile

 

Poate face asta daca are ceva de castigat. La companii precum Google sau Apple are sens, dar la altele mai mici, nu prea.

 

26 minutes ago, cohones said:

De asta whatsapp va introduce cat de curand AI sa raporteze mesajele inainte de a fi trimise E2EE

 

Ce se intampla pe device-uri poate analiza oricine. Se poate afla, dureaza procesul de reverse engineering pentru aplicatii dar nu e deloc imposibil. Exista oricum alternative sau se pot crea oricand alte aplicatii. Oricum, nici corporatiile astea nu se arunca cu capul inainte deoarece daca sunt prinse, ceea ce se poate cum ziceam prin reverse engineering, e foarte nasol: pierd multi utilizatori, scade stockul si smecherii (aia cu adevarat smecheri, actionari cu mult stock) pierd multi bani. 

[cohones]

8 minutes ago, Nytro said:

 

Ai cateva exemple? De persoane publice care ar lucra la NSA sau similare?

 

 

Boss trebuie sa te invat eu cum sa folosesti Linkedin? Intrii pe https://www.linkedin.com/company/national-security-agency si dai click pe see all Employees... NSA-ul e STS-ul romanesc. Tu ce crezii? Functionarii publici de lucreaza la STS nu au cont pe twitter sau facebook ? Scrie in contract ca nu au voie sa aibe cont de youtube ?

[Nytro]

Parca ti-a disparut toata paranoia  

Cei care fac treburile "murdare" sunt acolo nu?

 

Nu cred ca NSA are un echivalent la noi. Chiar citeam zilele astea o carte de crypto (Understanding Cryptography) in care erau mentionate cateva lucruri interesante, precum faptul ca DES e safe impotriva differential analysis care a fost descoperit public prin anii 90, in timp ce algoritmul e cu 20 de ani mai vechi. Si mai erau cateva astfel de mentiuni. Nu era specificat cine le descoperise initial, dar erau mentionate lucruri gen NSA sau GCHQ. Si astea sunt informatii publice.

 

Daca tu crezi ca aceia sunt angajatii NSA sau ca sunt toti, ma dezamagesti, dupa discutiile de mai sus. 

 

Edit: Ca tot vorbeam la inceput despre hackeri, aici e hacking adevarat conform standardelor mele: https://media.ccc.de/v/38c3-blinkencity-radio-controlling-street-lamps-and-power-plants 

[cohones]

1 hour ago, Nytro said:

Parca ti-a disparut toata paranoia din tine  

Cei care fac treburile "murdare" sunt acolo nu?

 

Nu cred ca NSA are un echivalent la noi. Chiar citeam zilele astea o carte de crypto (Understanding Cryptography) in care erau mentionate cateva lucruri interesante, precum faptul ca DES e safe impotriva differential analysis care a fost descoperit public prin anii 90, in timp ce algoritmul e cu 20 de ani mai vechi. Si mai erau cateva astfel de mentiuni. Nu era specificat cine le descoperise initial, dar erau mentionate lucruri gen NSA sau GCHQ. Si astea sunt informatii publice.

 

Daca tu crezi ca aceia sunt angajatii NSA sau ca sunt toti, ma dezamagesti, dupa discutiile de mai sus. 

 

 Boss esti varza. STS-ul de la noi nu are fonduri suficiente si nu e in interesului STS sa ceara de 1000 de ori mai multi bani de la buget (care oricum nu ar exista) ca sa reinveteze roata (proprii algoritmi, sa dezvolte diverse gadget-uri ca oricum nu le poate folosii si chiar daca pe cine?). Infara de bani e si vorba de resurse umane. Poate chiar nu gaseste resurse umane care sa reinveteze roata si mai bine. Daca populatia Romaniei era de 300 de milioane de cetateni iti pot garanta ca STS-ul ar fi fost mult mai finantat si facea mult mai multe proiecte. NSA-ul e plin de manageri care coordoneaza diverse echipe onsite si offsite. Cu siguranta exista pana si profi de matematica, electronica, computer science care lucreaza direct sau INDIRECT pentru NSA. Vine un baiat la tine ca cica el are o firma/startup... te angajeaza si cand colo el lucreaza pt servicii.

 

Ti-ar recomanda sa studiezi un pic istoria recenta si anume sa vezi incercarile Uniunii Sovietice de a face reverse engineering si sa isi construiasca si ea proprile calculatoare digitale si mecanice. In anii 40-50 sovieticii chiar au pariat pe calculatoarele mecanice creazand ca sunt nefezabile calculatoarele elctronice analogice sau digitale.

 

Board-ul corporatiile sunt controlate de CIA si de NSA cu diverse interese economice (resurse), tehnologice si informationale (media). Unele directe, alte mai indirecte. Oare de ce sunt o gramada de companii sau proiecte americane care nu vand nici un produs/serviciu dar sunt finantate cu bugete mari de tot (cel putin pana isi dezvolta si un model de business pt corporate ) ? Yahoo mail, Cloudflare, Facebook, Google Analytics, Google Maps, Gmail, Zoom, Skype (microsoft) etc. Pana au devenit sustenabile "investitorii" bagau miliarde de dolari in dezvoltarea lor. Altele sunt sustenabile ca vand serviciul gratuit pe bani catre corporate. Vezi slack. Si cine sunt clientii slack? Marile companii..

 

Deasemenea se vede ca si vanzarea de reclame e asociata cu serviciile americane. Daca nu respecti ordinile brusc mari advertiseri opresc reclamele de pe platforma ta. Si cine sunt marii client din advertisieri ? Celelalte mega corporatii (Nestle, PepsiCo,  Coca Cola, Procter & Gamble, Nike etc. ) E un monopol pe care Statele Unite ale Americii l-a construit si il foloseste sa isi extinda influenta si monopolul la nivel global.

 

Pana si companiile mai mici sunt controlate. Nu sunt interesati ce periuta de dinti va produce P&G sau ce lama de ras, insa sunt FOARTE INTERESATI unde se duc banii aia de marketing a P&G. Chiar daca pare ca nu ar avea o logica, dirijarea bugetelor Procter & Gamble doar catre anumite platforme de media (posturi TV, platforme sociale, advertisteri) sustine acesta masinarie a SUA. Mai sunt interesati si sa nu apara o firma ruseasca, chinezeasca, sau romaneasca care sa ii ea locul lui Procter & Gamble.

 

Statele Unite ale Americii este o masinarie care isi foloseste corporatiile existente pentru a obtine monopoluluri noi pe industrie, intelligence si media si a-si extinde influenta la nivel global. Aceasta masinarie curprinde zeci de milioane de cetateni care lucreaza direct si indirect pentru aceasta masinarie care se auto-protejeaza si isi elimina competitorii.

 

Diferenta dintre SUA si Uniunea Sovietica e ca SUA a creat o masinarile foarte bine ascunsa si conductele economice ce alimenteaza aceasta masinarie sunt interconectate si intercalate ca sa iti fie greu sa le demistificat si intuitia sa iti spuna ca poate gresesti si totusi exista o economie libera.

 

Uniunea Sovietica nici nu a incercat asta. Toate tarile (incluzand Anglia, Germania, Russia, China, etc..) au propria masinarie si au copiat acest model american de a-ti face o iluzie ca exista o economie libera.

Edited Tuesday at 12:08 PM by cohones

[Nytro]

54 minutes ago, cohones said:

Infara de bani e si vorba de resurse umane

 

Nop, e doar vorba de bani, daca nu ar da salarii de 5000 RON ar avea si ei oameni buni. 

 

54 minutes ago, cohones said:

care nu vand nici un produs/serviciu

 

Utilizatorii sunt serviciul. Banii nu se fac doar vanzand direct catre consumatori (e.g. iti cumperi o masina). Utilizatorii sunt cei care aduc banii, cum e Facebook sau Instagram, dau click pe reclame. Google Maps si celelalte servicii Google aduc multi bani indirect, strangand informatii despre utilizatori astfel incat la ei sa ajunga cele mai relevante reclame.

 

56 minutes ago, cohones said:

Si cine sunt marii client din advertisieri

 

Dap, cei care vor sa faca bani vanzand mizerii catre oamenii simpli. Produse idioate, nenatatoase sau mai stiu eu ce. Asa functioneaza economia. 

 

57 minutes ago, cohones said:

dirijarea bugetelor Procter & Gamble

 

E doar un exemplu, dar uite ceva concret, cu acel United Healthcare - big pharma american. Banii se duc "unde trebuie", la actionari si la cine trebuie sa scoata sute de milioane din profiturile facute de corporatii. Dar asta nu are legatura cu serviciile.

 

58 minutes ago, cohones said:

Statele Unite ale Americii este o masinarie care isi foloseste corporatiile existente pentru a obtine monopoluluri noi pe industrie, intelligence si media si a-si extinde influenta la nivel global. Aceasta masinarie curprinde zeci de milioane de cetateni care lucreaza direct si indirect pentru aceasta masinarie care se auto-protejeaza si isi elimina competitorii.

 

 

Da, dar am plecat de la servicii secrete si am ajuns la altele. Inteleg ca esti de acord cu mine ca nu e vorba doar despre servicii secrete, ca ele controleaza tot sau mai stiu eu ce teorii conform carora pamantul era plat iar ei l-au rotunjit. Daca mergi pe ideea asta, mai schimba de pe Realitatea Plus televizorul.

 

59 minutes ago, cohones said:

Diferenta dintre SUA si Uniunea Sovietica

 

Teoria ta duce catre rusi. Ce sa inteleg din asta? Ca ei sunt cei de treaba? 

 

PS: Imi plac discutiile de genul acesta dar ne-am deplasat putin de la scopul topicului. 

[cohones]

11 minutes ago, Nytro said:

Teoria ta duce catre rusi. Ce sa inteleg din asta? Ca ei sunt cei de treaba? 

 

PS: Imi plac discutiile de genul acesta dar ne-am deplasat putin de la scopul topicului. 

 

Ca sa intelegi cum functioneaza defapt masinaria Statele Unite ale Americii si holograma din spatele masinariei o poti intelege privind din exterior un alt sistem socio-economic (care a esuat lamentabil) dar care functiona minimal (avea banca centrala, moneda, inflatie, fabrici, facea importuri si exporturi). Poti intelege iluzia din spatele masinariei si privind catre state mai mici cum ar fi Republica Moldova sau alte tarii mai sarace in care sunt mai putini actori "privati" si iese la iveala cum bancile, bursa, firmele mari sunt coordonate direct si indirect de catre elemente ale statului respectiv. Trebuie sa fii si fin observator.

 

Discutia a venit de la faptul ca "Tipa e smechera. E top. " si eu ti-am spus ca o mare parte din acesti ethical hackers de o ard pe la conferinte lucreaza direct sau indirect (fara sa stie) pentru diverse state promovand o alta narativa.

Edited Tuesday at 12:37 PM by cohones

[MIKE.01]

Exista multe companii private care dezvolta diferte lucruri de la armament pana la software. Este foarte greu spre imposibil sa aflii detalii despre ele. In mare parte ele sunt infiintate de catre fosti angajati ai statului din difertie servicii. (Spre deosebire de Rusia, America nu isi asasineaza toti oamenii care ies din sistem) Aceste firme au contracte in mare parte tot cu statul dar nu obligatoriu. Daca este cum zici tu, cum explici ca aceste companii exista. Din ce zici tu ele or apartin statului intr-un mod indirect ori statul le face sa dispara. Daca te uiti la podcastul lu Joe Rogan o sa intelegi mai bine ce vorbesc. Sunt situatii in care exista companii private chiar si de hackeri care au mai multa putere ca serviciile Americii iar singura varianta pe care o au disponibila este sa colaboreze si atat.

 

 

[koteri3692]

2 hours ago, MIKE.01 said:

(Spre deosebire de Rusia, America nu isi asasineaza toti oamenii care ies din sistem)

 

Nu sunt rusnac dar tu pe ce planeta traiesti bro?? Posibil Putin a comandat asasinarea la vreo 20-50 de oameni in cei 30 de ani. Iar aia care i-a asasinat sunt dizidenti (adica s-au transformat in anti putinisti). Probabil majoritatea disidentilor ucisi sunt fosti securisti rusi sau cine stie dubli? Tu crezi ca Rusia ucide orice fraier de Gigel care e patron la o bruterie ca pe VK Gigel a incarcat o poza cu pomul de craciun de la new york city si scrie "as vrea sa fie si la moscova la fel ca in Amerika"

 

Europa si America nu asasineaza, doar baga oameni la puscarie asculand telefoanele lor, citind emailurile si mesajele de pe facebook fara mandat si ii santajeaza daca au amante, probleme medicale, depedente de droguri etc. Daca esti jurnalist, om de afaceri, influencer te cheama pe la DNA cu subsemnatul in fiecare zi sa te filmeze aia de la PROTV.

 

Uite un exemplu clar din Romanica. Dorian Popa stiu ca e consumator de iarba de vreo 10 ani. Gaborii au aflat ori de la dealer ori ascultand telefoanele ca el consuma. Ei stiau ca isi cumparase marfa. Stiau ca THC-ul ramane in sange vreo 2-3 saptamani. Aveau ceva confirmare ca fumase recent. Pe urma au parcat o masina de politie pe langa Hatz Residence si cand l-au vazut pe Dorian Popa, hop poc au aprins girofarele. Trage pe dreapta si parea ca e un filtru obisnuit. Dar gaborii stiau de la bun inceput, Dorian Popa era pont sigur. In presa pe urma a aparut: "la un filtru al politie Dorian Popa a iesit pozitiv la canabis". De unde stiu? Dorian Popa trb sa mearga cam un km pana la cel mai apropriat magazin. Si s-a gandit hai ca ma duc in halat sa imi cumpar plm ceva. Asa prind astia de la DIICOT toti traficantii din Romania. La pont sigur 95% din cazuri. Mai exista si coincidente. Daca nu ar exista coincidente ti-ai dat seama 100% de holograma.

 

Daca tot nu iti gasesc nod in papupera si esti o persoana importanta, iti inchid conturile de Twitter, Facebook, Instagram vezi Andrew Tate, Trump. Lui Tate i-au blocat pana si contul cei de la uber.

 

Trump acum 5 ani i-au inchis contul de Facebook si Twitter, iar acum patronu Facebook il linge in cur pe Trump. Tu nu vezi sau esti orb? Cand statul nu obtine ce vrea, incepe sa se ocupe de tine.

 

2 hours ago, MIKE.01 said:

America nu isi asasineaza toti oamenii care ies din sistem

 

America a prestat asasinari la un click distanta ( din drona ) la sute de mii de cetateni de mana a doua din Orientul Mijlociul. Ai auzit de Wikileaks si scandalul cu jurnalistii care au fost omorati din blackhawk ca au crezut ca aia au ak-47 iar in realitate aveau camere de fotografiat ?

 

Mosadul prin anii 80-90 ucidea palestineni prin hotel prin germania.

 

Causescul prin anii 80 comanda si el asasinate cu Carlos Sacalul la jurnalistii care lucrau indirect pt CIA (si finantati prin programele USAID) de la Europa Libera.

 

Qasem Soleimani a fost asasinat cand era in Iraq la ordinul lui Trump din drona in 2020 fara tribunal si dovezi concrete. Era generalul iranian terorist? Ce inseamna terorist? Daca el era terorist era si Ceausescu terorist inainte de 89 ? Doar ca nu se futea in cur cu Ronald Regaon. E Putin terorist?

 

Arabia Saudita a omorat un jurnalist intr-o ambasada in anii 2020. L-a hacuit pe ala in Ambasada si l-a si transat ca mafiotii din New York.

 

2 hours ago, MIKE.01 said:

Aceste firme au contracte in mare parte tot cu statul dar nu obligatoriu.

 

Acolo e mirajul, ca daca nu auzeai de nici unu care facea milioane dintr-o aplicatie pe playstore sau dintr-un rahat mic, etc.. atunci stiai sigur ca statul controleaza toate mega corporatiile si controleaza monopolul.... daca conductele economice nu ar fi fost atat de alambigate si imbarligate, holograma nu ar mai fi existat si toata lumea stia ca nu e mare diferenta intre Rusia Totalitara si America Totalitara.

 

2 hours ago, MIKE.01 said:

Sunt situatii in care exista companii private chiar si de hackeri care au mai multa putere ca serviciile Americii iar singura varianta pe care o au disponibila este sa colaboreze si atat.

 

Daca esti o persoana importanta, iti fac americanii cu un click man in the middle pe Whatsapp si Signal. Oare de ce dracu toate produsele americane sunt gratuite pt toti prostii ? Ca tu esti produsul.

 

De unde dracu crezi tu ca "jurnalistii independenti" gen Recorder,  OCCRP au bani de salarii pentru zeci de oameni si informatii bomba... in realitate ei sunt jurnalisti platiti de americani si au materiale intelligence direct de la americani. Ce dracu crezi ca fac zeci de mii de functionari in Pentagon incluzand vorbitori de limba romana acolo ? Cand nu au ce sa iti faca apari prin blogurile de la OCCRP.

Edited Wednesday at 06:36 PM by koteri3692

[Nytro]

As sugera sa lasam la o parte teoriile conspirationiste care nu au dovezi si sa ne axam pe partea tehnica. De exemplu:

 

3 hours ago, koteri3692 said:

iti fac americanii cu un click man in the middle pe Whatsapp si Signal

 

Oricine are aceste aplicatii si poate intelege cum functioneaza. Sunt persoane care au facut research public pe ele, dar poate face oricine. Nu am vazut pe nimeni sa descopere ceva serios in ele. De fapt, mai apar vulnerabilitati, raportate de Google Project Zero de exemplu. Dar niciuna nu avea legatura cu Man in The Middle.

 

Asa putem banui orice, de exemplu daca unul dintre voi e Donald Trump, celalalt Putin si vreti sa aflati mai multe despre forum? 

[koteri3692]

1 hour ago, Nytro said:

Oricine are aceste aplicatii si poate intelege cum functioneaza. Sunt persoane care au facut research public pe ele, dar poate face oricine. Nu am vazut pe nimeni sa descopere ceva serios in ele. De fapt, mai apar vulnerabilitati, raportate de Google Project Zero de exemplu. Dar niciuna nu avea legatura cu Man in The Middle.

 

 

 

Whatsapp, Signal si Telegram folosesc criptare asimetrica. Cheile publice sunt distribuite de catre serverele lor. Ei au capacitate sa faca MAN IN THE MIDDLE sa iti inlocuiasca cheia publica si sa iti compromita criptarea.  End of story.

[Nytro]

Nu si daca ai E2E encryption. Telefonul genereaza cheile. Traficul nu e accesibil lor. 

[koteri3692]

8 hours ago, Nytro said:

Nu si daca ai E2E encryption. Telefonul genereaza cheile. Traficul nu e accesibil lor. 

 

Popescule te-a facut mata vaca ? Si cine dracul distribuie cheile publice folosit in protocolul E2EE ? Vrei sa iti reaminesc ca atat Whatsap, Signal si Telegram (secret chat) CHEILE PUBLICE de la CRIPTAREA ASIMETRICA SUNT ADMINISTRARE SI PROPAGATE DE SERVER iar utilizatorul are incredere totala ca acele chei publice sunt distribuite corect ?

 

Exemplu

 

Alice are numarul de telefon +0411111111, se ataseaza in baza de date cheia publica XXXX

Bob are numarul de telefon +0422222,, se ataseaza in baza de date cheia publica  YYYY

 

Alice vrea sa vorbeasca cu Bob. Alice intreaba cu un request serverul minunat de Whatsap, Signal, Telegram, server frumos, imi dai si mie cheia publica de la numarul de telefon +40222222. Serverul fiind EXTRAORDINAR DE ONEST, returneaza cheia publica YYYYY. Desigur serverul este perfect de onest.

Daca serverul vrea, poate sa returneaze cheia publica ZZZZZ, care este a o cheie publica a NSA-ului. Alice nu are nici un habar daca cheia lui Bob este YYYY sau ZZZZZ. Alice se poate gandi, uite Bob si-a schimbat telefonul mobil si are o cheie publica noua. Stai sa o folosesc.

 

Ulterior orice mesaj Alice cripteaza mesajul catre ZZZZ, ulterior NSA-ul decripteaza mesajul folosind cheia privata si recripteaza folosind cheia lui Bob, YYYY. Astfel Alice si Bob tot comunica criptat dar NSA-ul intercepteaza toate mesajele.

 

Man in the middle poate sa fie facut si pe criptarea simetrica de Signal si Whatsapp, ca grupurile intr-un final folosesc criptare simetrica, insa cheia simetrica se transmite securizat folosind criptare asimetrica catre toti utilizatorii grupului. Telegram din cate am citit nu are suport pentru grupuri (mai mari de 2 persoane) si nu are suport pentru criptare simetrica.

 

Mai mult decat sigur NSA face man in the middle pe whatsapp si signal, insa cel putin din toate documentele revizuite de mine personal nu au fost folosite ca si dovezi la tribunal. Posibil fac acesi schema cum au facut in 1940 cu Enigma, mai mult pentru intelligence. Acum sa ne intrebam de ce Whatsapp-ul e gratuit. Posibil o sa faca vreun documentar prin 2040 sa arate cat de destepti au fost americanii ca serviciile lor si-au batut pula de noi si au interceptat toate mesajele unor tintelor importante prin intermediul aplicatiilor timp de 20 de ani.

 

BTW: citeste cum a facut FBI-ul atacul pe chat-ul ANOM, operatiunea Operation Trojan Shield. Si anume nu au facut MITM, si au introdus inca un membru "invisibil" pe care nu il vedeai in interfata grafica si cheia privata folosita la criptarea simetrica era distribuita la cei N+1 participanti . Astfel criptarea simetrica era facuta pt N+1, unde al N+1 era membrul asignat din oficiul al FBI.

 

ACELASI vector de atac ai si pe XMPP si pe Matrix chat.

 

De ce dracul crezi tu ca Signal, Whatsapp, Telegram insista cu numere de telefon si (sau username). Ca sa poata sa faca MITM pe schimbul de chei publice.

 

De ce dracu tu si altii aveti atata incredere in serviciile americane si in corporatii. Credeti ca oile toate rahaturile lor desi exista mii de suspeciuni.

 

 

Ce draqu ma ... trb sa va invat hackareala si programare sa va explic cum functioneaza o aplicatie de chat E2EE cu username/phone number ? Aveam si eu niste asteptari de la voi bajeti mei. Va invat si cum sta treaba cu holograma asta a sistemului capitalist, cum sta treaba cu cybersecurity-ul ce plm. In 15 ani nu a-ti invatat mai nimic decand eram pe forum un pusti pasionat ca si voi. Pacat de voi. Nu a-ati reusit sa depasiti nici o data nivelul de hackeras/programator amator.

 

Edited yesterday at 07:03 AM by koteri3692

[Nytro]

9 hours ago, koteri3692 said:

Popescule te-a facut mata vaca ? Si cine dracul distribuie cheile publice folosit in protocolul E2EE ? Vrei sa iti reaminesc ca atat Whatsap, Signal si Telegram (secret chat) CHEILE PUBLICE de la CRIPTAREA ASIMETRICA SUNT ADMINISTRARE SI PROPAGATE DE SERVER iar utilizatorul are incredere totala ca acele chei publice sunt distribuite corect ?

 

 

Bune venit pe Internet, mare hacker. Am inteles nivelul de cunostiinte tehnice. E OK, pentru asta e forumul, sa invatam impreuna ❤️ 

 

Iti recomand aceasta carte: https://gnanavelrec.wordpress.com/wp-content/uploads/2019/06/2.understanding-cryptography-by-christof-paar-.pdf

 

Eu am terminat-o de citit zilele trecute. Desi o parte dintre explicatii necesita cunostiinte de matematica, nu sunt atat de avansate pe cat par denumirile, se poate intelege cu o matematica de clasa a VIII-a (a 8-a pentru altii).

 

E asa:

1. Telefonul 0711111111 genereaza o pereche de cheie publica - cheie privata (criptare asimetrica)

2. Telefonul 072222222 genereaza o alta pereche de chei publica - privata

3. Se face schimbul de chei publice

4. Telefonul 0711111111 crypteaza datele cu cheia publica a lui 0722222222 si i le trimite

5. Telefonul 0722222222 decrypteaza datele folosind cheia sa privata (deoarece au fost cryptate cu cheia publica)

6. Se intampla la fel si pentru comunicarea inversa, acelasi principiu

 

Bine, aici e cea mai simpla versiune posibila. In practica, cryptarea se face folosind chei simetrice deoarece e mult mai rapida. Acestea sunt schimbate intre device-uri prin mai multe metode. De exemplu Signal are documentatie: https://signal.org/docs/specifications/pqxdh/ dar si altele au.

 

Problema e ca e mai greu de inteles pentru cineva care zice ca lucreaza de ani de zile ascunzandu-se de NSA, dar nu are basic skills de crypto(graphy).  

[koteri3692]

  

15 minutes ago, Nytro said:

E asa:

1. Telefonul 0711111111 genereaza o pereche de cheie publica - cheie privata (criptare asimetrica)

2. Telefonul 072222222 genereaza o alta pereche de chei publica - privata

3. Se face schimbul de chei publice

4. Telefonul 0711111111 crypteaza datele cu cheia publica a lui 0722222222 si i le trimite

5. Telefonul 0722222222 decrypteaza datele folosind cheia sa privata (deoarece au fost cryptate cu cheia publica)

6. Se intampla la fel si pentru comunicarea inversa, acelasi principiu

 

Bine, aici e cea mai simpla versiune posibila. In practica, cryptarea se face folosind chei simetrice deoarece e mult mai rapida. Acestea sunt schimbate intre device-uri prin mai multe metode. De exemplu Signal are documentatie: dar si altele au.

 

Problema e ca e mai greu de inteles pentru cineva care zice ca lucreaza de ani de zile ascunzandu-se de NSA, dar nu are basic skills de crypto(graphy).  

 

Fratele meu eu am doctorat in criptografie. Cine draqu face schimbul de chei publice. Alice intreaba serverul, te rog frumos sa imi dai cheia publica a lui Bob. Si serverul iti va da raspus: "Cheia publica a lui BOB este YYYYYY". Serverul poate sa spuna ca ZZZZZ este cheia publica a lui Bob. Tu alice, nu ai cum sa verifici daca serverul ti-a dat cheia publica a lui Bob sau nu. Alice stie doar numarul de telefon a lui Bob si nu are cum sa verifice daca YYYYY sau ZZZZ este cheia publica a lui Bob. Schimbul de cei se face cu ajutorul serverului, nu foloseste nici o magie. Ori nu intelegi, ori esti batut in cap.

 

  

15 minutes ago, Nytro said:

Bine, aici e cea mai simpla versiune posibila. In practica, cryptarea se face folosind chei simetrice deoarece e mult mai rapida.

 

 

In mod sigur esti batut in cap si esti pelanga cu criptografia. Iti recomand sa nu mai citesti deloc carti de criptografie ca nu pricepi nimic din ele.

 

Criptarea la Signal, Whatsapp foloseste algoritm asimetric pentru protocolul descris de tine pentru a comunica cheia simetrica a grupului. Deci schimbul de informatie (cheia simetrica a grupului) se face folosind un algoritm criptare asimetric. O data ce cheia simetrica a fost comunicata securizat folosind criptare asimetrica, criptarea fiecarui mesaj in parte se foloseste un algoritm de criptare rapid simetric. Procesul se reia de fiecare data cand un membru din grup este adaugat, sau scos, sau cand un utilizator declara ca si-a schimbat telefonul mobil (are o noua cheie publica).

 

Protocolul de sus mentionat de mine (si rescris de tine) functioneaza doar folosind un algoritm de criptare asimetrica.

Edited 22 hours ago by koteri3692

[Nytro]

39 minutes ago, koteri3692 said:

Fratele meu eu am doctorat in criptografie.

 

Am inteles.  

 

39 minutes ago, koteri3692 said:

Tu alice, nu ai cum sa verifici daca serverul ti-a dat cheia publica a lui Bob sau nu.

 

In primul rand exista conceptul de certificate, adica legatura dintre o cheie publica si o identitate. Se poate folosi acest mecanism.

 

39 minutes ago, koteri3692 said:

nu are cum sa verifice daca YYYYY sau ZZZZ este cheia publica a lui Bob

 

Ar trebui sa mai lucrezi la acel doctorat pentru ca asta e la baza criptografiei. Daca datele nu sunt criptate cu cheia publica, acestea nu se pot decripta (cu cheia privata). In practica, schimbul de chei simetrice se realizeaza prin criptare asimetrica. Diffie Hellman de exemplu. Ai conceptele de Key Exchange vs Key Agreement. 

 

Ce am mentionat eu mai sus nu e folosit in practica. E un proces mai complicat care e necesar atat pentru security cat si pentru features (e.g. E2E group chats). Era doar o idee. Dar poti citi singur acel protocol

 

Daca mergem pe principiul tau, NSA poate sa faca MiTM si pe TLS nu?  

De fapt nu doar NSA, chiar si tu. Cu un mic Man in The Middle poti face asta nu? De ce nu o faci? Mai ales ca ai doctoratul in cryptografie.

 

Acum serios, pune mana pe carte. 

 

Edit: Uite mai simpu: https://requestly.com/blog/how-whatsapp-ensures-chat-security-with-end-to-end-encryption/