zbeng Posted November 14, 2010 Report Posted November 14, 2010 EXCLUSIV. Tinkode, românul care sus?ine c? a spart mai multe site-uri guvernamentale str?ine, spune c? ce face el e benefic pentru securitate.Sursa: SHUTTERSTOCKAlege s?-?i spun? "R?zvan". ?i vârsta o d? "în jurul a 20 de ani". Câteva rezerve trebuie totu?i s? apar?. Nu ?tii dac? "R?zvan" e chiar numele lui sau unul ales pe lâng? cel de hacker, TinKode. Cert e c? e tân?r, poate chiar foarte tân?r, c? e român ?i e men?ionat deja prin documente publice ale US Army drept "o amenin?are". Asta dup? ce a spart câteva subdomenii de internet ale puternicei institu?ii pentru a le face publice vulnerabilit??ile. Apoi a postat pe blogul s?u, pe site-ul video Vimeo sau pe Twitter, cu non?alan??, "faptele de vitejie". Din câte scrie acolo, TinKode a f?cut pân? acum de ru?ine US Army, NASA sau Youtube. Un sp?rg?tor "de bine"Pe TinKode e de ajuns s?-l cau?i pe site-urile unde posteaz? "cuceririle". Pentru c?, în lumea hackerilor, e ?i o chestiune ce ?ine de orgolii. În ultima sa postare (de pe Twitter ?i blogul personal) sus?ine c? a g?sit sl?biciuni în unul dintre site-urile Marinei Regale Britanice.Nu a publicat documente "Top Secret", ci a l?sat, a?a, mai mult un mesaj care s? le arate c? sunt vulnerabili. Presa britanic? a scris îns? c? e un gest care face de ru?ine Royal Navy, iar pe Wikipedia îi apare numele ca referin?? la capitolul "SQL Injection" – metoda folosit? de a sparge site-ul Royal Navy.De ce sparge totu?i TinKode toate site-urile astea? Pentru c?, spune el, de?i e ilegal, el face de fapt un bine. Din ce descrie, s-ar vrea un soi de sp?rg?tor care nu-?i ia nimic din cas?, dar î?i las? un bilet pe pat în care spune c? trebuie s?-?i schimbi yala. Hacker-ul TinKode a acceptat s? r?spund?, la o s?pt?mâna de la "spargerea" site-ului Royal Navy, sub protec?ia anonimatului, la câteva întreb?ri pentru "Evenimentul zilei". PRIN UNIVERSUL UNUI HACKER"Ar?t cum institu?ii în care s-au investit milioane de dolari pentru securitate pot fi sparte"EVZ: Ce ne po?i spune despre tine? Cine e TinKode?TinKode: Ce a? putea s? detaliez despre mine ar fi: Sunt un tip sociabil, c?ruia îi place s? î?i petreac? foarte mult timp cu prietenii ?i s? se distreze. Presupun c? mul?i cred c? sunt un obsedat de internet, petrecând 10 ore/zi pe calculator, dar, de fapt, dac? stau 1-2 ore. Numele meu real este R?zvan ?i locuiesc într-o frumoas? regiune din România, din sud. Nick-ul meu, TinKode, nu reprezint? nimic. Cu ceva ani în urm? vroiam s? am un nick unic. Am încercat pe Google diferite combina?ii de cuvinte, pân? am dat de "TinKode" care a dat "0 rezultate g?site". Ultima ?tire legat? de Tinkode ?i hacking se refer? la site-ul Marinei Regale Britanice. Royal Navy a negat îns? atacul. Cum ai spart site-ul?Din câte am citit în articolele de pe site-urile ziarelor ?i televiziunilor, nu au negat faptul c? au fost "hacked", ci mai degrab? c? nu s-au extras date foarte importante, cum ar fi informa?ii Top Secret (chiar dac? a? fi avut ?ansa s? ob?in a?a ceva, nu m-ar fi interesat). Metoda prin care am avut acces la ei, nu e una dificil?, ?i anume MySQL Injection (am observat ca sunt mul?i "cunosc?tori" care î?i dau cu p?rerea ?i explic? cât este de u?or, dar aparen?ele în?eal?, treburile se schimb? când este intâlnit WAF - Web Application Firewall).De ce ai ales acest site?În ultimul timp am ales s? "testez" securitatea mai mult site-uri militare. Am ales s? sparg mod.uk, pentru ca este cel mai important website al Angliei la capitolul armat?."Am avut acces la documente oficiale"În "palmaresul" t?u de pe Twitter sunt mai multe alte ?inte similare: site-uri afiliate US Army, NASA, Youtube. Care a fost cel mai greu de spart ?i de ce?Dac? m? gândesc mai bine, fiecare a fost mai greu de spart în felul lui, dar am un motto pe care il respect: "Where is a will, there is a way" - atunci când vrei cu adev?rat s? ob?ii ceva, întotdeauna g?se?ti un drum pentru a ob?ine lucrul respectiv. "S? nu-?i fie team? s? iei taurul de coarne", cum ar veni. În cazul NASA: Acum câ?iva ani vedeam la TV ?i citeam pe multe site-uri cum X a spart NASA ?i mi s-a p?rut un lucru cool, mi-am propus s? îmi demonstrez c? pot avea acces ?i eu. La site-urile armatei SUA a fost ceva mai greu de ob?inut acces, pentru c? aici nu am mai putut folosi metode des utilizate pentru a obtine acces - am petrecut ceva mai mult timp ca s? intru, dar a meritat zic eu. Când am "spart" Youtube a fost ceva mai usor, deoarece nu am gasit o vulnerabilitate foarte "critic?", din punctul de vedere al unui specialist (XSS - Cross-Site Scripting), dar prin care se putea ob?ine acces la orice cont de Youtube – chiar, cum ar fi s? avem access la contul de youtube al BBC, al CNN, etc.? (adaug? un smiley cu "rânjet"), sau s? redirec?ionezi pagini c?tre altele false, infectând utilizatorii cu viru?i, spyware, keyllogers, stealers, etc.Pe lâng? site-uri guvernamentale, se num?r? Youtube. De ce ai ales site-ul ?sta, de divertisment?Nu l-am ales inten?ionat. Ca s? explic mai bine, cu ceva timp în urm?, cam pe 1,2 iulie am citit un articol interesant despre XSS si HTML5, dup? care mi-am amintit c? ?i YouTube tocmai acceptase s? foloseasca HTML5 ?i a?a am încercat s? v?d dac? pot g?si ceva slab acolo. Rezultatul a fost cel postat pe blog pe 4 iulie (o prezentare a modului cum a fost "hack"-uit Youtube – n.r.).Ai avut vreodat? acces la documente confiden?iale de pe site-urile sparte? Dac? ai avut acces, de ce nu le-ai f?cut publice (pe modelul Wikileaks)?Recunosc c? am avut acces la documente confiden?iale, dar prefer s? m? ab?in s? spun ?i ce tip de documente. În plus, nu m? pasioneaz? a?a ceva, nu de alta, dar sunt con?tient c? pot avea probleme grave dac? a? publica sau a? de?ine asemenea informa?ii. Eu vreau doar s? arat cum firme, institu?ii, companii etc. în care s-au investit milioane de dolari pentru securitate pot fi totu?i "sparte". Ceea ce fac eu, din punctul meu de vedere e un lucru bun, pentru c? ar putea veni altcineva cu inten?ii rele – hackerii din categoria "BlackHat" (care acceseaz? site-uri pentru a fura informa?ii sau a d?una companiilor – n.r.) - ?i ar face adev?rate pagube. E un lucru jenant pentru companiile respective, dar totu?i foarte adev?rat."M-au f?cut s? m? simt mândru c? sunt român"E?ti men?ionat în anumite dosare de pres? ale USArmy dup? ce le-ai spart site-uri asociate, sugerându-se c? ai fi "terorist"? Te consideri un terorist?Nu, nu m? consider terorist, dar mi se pare un lucru firesc s? apar prin acele "dosare de pres?" deoarece totu?i ce am spart ?i publicat are leg?tur? cu armata.În urm? cu câteva luni, mai mul?i hackeri români, auto-intitula?i Romanian National Security (RNS) au spart site-urile unor mari ziare europene care au publicat ?tiri negative la adresa românilor. Tu ce crezi despre ac?iunile lor?P?rerea mea despre acei "b?ie?i" e una extraordinar?, mai ales c? m-au f?cut s? m? simt mândru c? sunt român (?i nu cred c? a? fi singurul care a avut asemenea sentimente). Mi-au pl?cut c? au fost de?tep?i ?i au ?tiut cum s? se protejeze, f?r? s? lase vreo urm? despre cine sunt, de unde au ap?rut, sau cum s? fie g?si?i. Bravo lor!DUP? "LOVITURA" ROYAL NAVY"Am primit ofert? de a lucra la Google, din SUA"Cum ai devenit hacker? ?i de ce ai ales asta?Un lucru care vreau s? se ?tie despre mine: eu nu m? consider hacker. Am observat c? mul?i pu?tani se cred a?a (folosesc programe f?cute de al?ii pentru a putea s? sparg? alte site-uri, ei ne?tiind nici m?car cum func?ioneaz? acele aplica?ii – ??tia, mai pe scurt, sunt numi?i "script-kiddies"). Am decis s? înv?? mai multe despre hacking /security mai mult din ambi?ie. Acum mul?i ani am avut o "echip?" mic?, de pu?ti, unde eram privit de sus de ceilal?i membri, dup? care am fost dat afar?. Din acel moment le-am promis c? în cel mai scurt timp voi fi peste ei la capitolul cuno?tin?e ?i a?a a fost.Ce ?tii despre legisla?ia din domeniul infrac?iunilor pe internet? E?ti con?tient de posibile urm?ri ale ac?iunilor tale?Da, sunt con?tient de posibilele urm?ri ale ac?iunilor mele, pentru c? nimic din ceea ce fac eu, s? zic a?a, nu e prea legal. Dar, în acela?i timp, fac un bine, f?r? s? întrec o limit? imaginar? care mi-ar putea aduce probleme.Nu te temi totu?i c?, la ce tehnologie exist? azi ?i ?inând cont c? ai intrat în aten?ia FBI, de exemplu, vei fi prins? Sunt mai mult ca sigur c?, dac? cineva ar dori sa ma prind?, gen FBI, CIA etc., ar face-o f?r? mari probleme. În orice caz, "persoanele" care sunt arestate, sunt aceia care se ocupa cu carduri, fraude online, sau, mai clar, aceia care se ocup? de bani! Mie personal mi se pare o prostie s? golesc contul unui om nevinovat care poate a muncit foarte mult s? ob?in? acea sum?.Totu?i, "hacking"-ul e considerat, pân? la urm?, o infrac?iune. Ce înseamn? pentru tine? Pentru mine înseamn? "libertate", nu îmi place s? fiu un tip conformist. ?i cred c? dac? ai informa?ia pe care o dore?ti, categoric ai ?i putere.Nu te deranjeaz? publicitatea, apari în sute de ?tiri în toat? lumea, dai interviuri. De ce?Nu m? deranjeaz? deloc, pentru ca a?a pot ie?i în eviden??. ?i - de ce nu? - poate cineva e interesat de mine, s? lucrez pentru ei.Se spune c? mul?i hackeri, dac? sunt prin?i, ajung s? fie angaja?i de FBI sau alte structuri. Te-ar tenta un astfel de job?Cum spuneam mai sus, da, de ce nu? Ar fi ideal? o asemenea slujb?. În ultimele zile am primit mai multe cereri de interviuri de la pres? ?i chiar o ofert? de a lucra la Google, din SUA.Sursa: Hacker-ul care a spart site-ul Marinei Britanice: "Nu sunt un terorist" - IT > EVZ.ro Quote
t1byy Posted November 14, 2010 Report Posted November 14, 2010 bravo,nu te-ai "dat mare" prin presa.Mult respect pentru tine. Quote
Guest Kabron Posted November 14, 2010 Report Posted November 14, 2010 "Am primit ofert? de a lucra la Google, din SUA" )))))))))))))))))))) fail! Quote
blech Posted November 14, 2010 Report Posted November 14, 2010 kabron mi-ai furat ideea da poate totusi e reala oferta de munca... nu ai de unde sa stii si totusi pare putin plauzibila pt ca pot sa-ti arat oamnei cu cv-uri impresionante respinsi de google... nu cred ca te angajau pe tine tinkode doar pt ca erai mai nonconformist Quote
Nytro Posted November 14, 2010 Report Posted November 14, 2010 "Un lucru care vreau s? se ?tie despre mine: eu nu m? consider hacker. Am observat c? mul?i pu?tani se cred a?a (folosesc programe f?cute de al?ii pentru a putea s? sparg? alte site-uri, ei ne?tiind nici m?car cum func?ioneaz? acele aplica?ii – ??tia, mai pe scurt, sunt numi?i "script-kiddies")"+1Kabron: Nu a mintit. Oricum, cred ca isi face degeaba sperante ca il angajeaza cineva, nu prea se cauta astfel de lucruri, daca se axa pe networking, cryptografie statea altfel treaba. Quote
Dummi Posted November 15, 2010 Report Posted November 15, 2010 Felicitari pentru articol. dar totusi cum treci de waf ? Sau de mod_security ? Quote
Guest Kabron Posted November 15, 2010 Report Posted November 15, 2010 Kabron: Nu a mintit. Oricum, cred ca isi face degeaba sperante ca il angajeaza cineva, nu prea se cauta astfel de lucruri, daca se axa pe networking, cryptografie statea altfel treaba.Nu am detaliat , am spus doar fail . Ai dreptate in ceea ce ai spus. Quote
daatdraqq Posted November 15, 2010 Report Posted November 15, 2010 Asta vinde google daca ajunge pe acolo ! Quote
Guest Praetorian Posted November 15, 2010 Report Posted November 15, 2010 "Am primit ofert? de a lucra la Google, din SUA" )))))))))))))))))))) fail!Da, dupa 2 zile de la "stirea" asta, un angajat de la Google, mi-a facut o oferta prin care ma intreba daca as fi interesat sa lucrez pt ei, a ramas vorba ca ia legatura cu un recruiter, prin martie, cel tarziu august / septembrie (asta daca nu se rezolva nimic in martie). Domeniu: pentesting (@nytro, se cauta). Si nu e neaparat nevoie sa nu ma primeasca ei, poate o sa refuz chiar eu, pentru ca trebuie sa renunti la multe lucruri, si nu prea as dori asta! Quote
yo9gjx Posted November 15, 2010 Report Posted November 15, 2010 Asta vinde google daca ajunge pe acolo !Hombre, daca ajungi la Google tine-ma minte pentru "Google latitude"Mie imi ajunge. Acum vorbind la modul serios mi-a placut interviul, insa ai grija sa te feresti bine de "vanzatorii de fum", iti pot face mult rau cu un simplu zambet Quote
Krisler12™ Posted November 15, 2010 Report Posted November 15, 2010 Da, dupa 2 zile de la "stirea" asta, un angajat de la Google, mi-a facut o oferta prin care ma intreba daca as fi interesat sa lucrez pt ei, a ramas vorba ca ia legatura cu un recruiter, prin martie, cel tarziu august / septembrie (asta daca nu se rezolva nimic in martie). Domeniu: pentesting (@nytro, se cauta). Si nu e neaparat nevoie sa nu ma primeasca ei, poate o sa refuz chiar eu, pentru ca trebuie sa renunti la multe lucruri, si nu prea as dori asta! Raspunde si mie, te rog, la niste intrebari:1.Ce sistem de operare folosesti cand faci SQLi, XSS ai alte alea ?2.Cum te protejezi sa nu iti dea de urma ?3.Folosesti un laptop sau un desktop ptr. asta ?Multumesc ! Quote
Guest Sicko Posted November 15, 2010 Report Posted November 15, 2010 Raspunde si mie' date=' te rog, la niste intrebari:1.Ce sistem de operare folosesti cand faci SQLi, XSS ai alte alea ?2.Cum te protejezi sa nu iti dea de urma ?3.Folosesti un laptop sau un desktop ptr. asta ?Multumesc ![/quote']1.Orice sistem de operare care iti da voie sa rulezi un browser?2.Socks probabil dar sa fim seriosi daca vor te gasesc ( ma refer la FBI , CIA etc )3.Isi foloseste creierul.Man sorry ca ma bag dar ce draq is cu intrebarile astea? Quote
BigT Posted November 15, 2010 Report Posted November 15, 2010 There is a star between us. Felicitari inca odata TinKode:P Vezi poate ajungi pe la Microsoft si vorbesti cu aia care se ocupa de Live (Xbox) sa adauge si Romania...Ca nu-mi place sa am cont de U.K. Quote
catablue Posted November 15, 2010 Report Posted November 15, 2010 Baiete nici nu ti dai seama ce urmeaza sa se intample cu tine. Deja esti filat, o sa zica ca le ai facut prejudicii de 3 4 mil $ si vei fi mare vedeta cand te vor pune sa le platesti sumele astea inapoi. Reclama te face mare, si reclama te omoara. Oricum astea nu ti platesc factura la curent, nu ti dau de mancare si ..stirile de la ora 5 nu s departe. Bafta Quote
NeoLithiculX Posted November 15, 2010 Report Posted November 15, 2010 Oameni buni, ce prejudicii MATERIALE a obtinut TinKode de pe urma demonstrantiei nivelului de securitate al unuia dintre cele mai importante website-uri din U.K adica al armatei? E o intrebare foarte simpla ... cat despre prejudicii morale ce sa-i zic si reginei ca apare pe wikipedia la SQL Injection ... pai sa-si aleaga mai bine oamenii care se ocupa de website si implicit de securitatea lui si dupa sa se planga de imaginea proasta care i se aduce de pe urma exploatarii unei vulnerabilitati. Peace and respect ! Quote
Krisler12™ Posted November 15, 2010 Report Posted November 15, 2010 @Sicko: Lasa-l pe el sa imi raspunda. Stiu eu de ce il intreb, ce il intreb.@catablue: un singur post si acela aici ?! Suspect... Ai venit sa-l arestezi pe Tinkode ? Quote
Nytro Posted November 15, 2010 Report Posted November 15, 2010 TinKode: Eu chiar m-as bucura daca ai lucra la Google sau o alta firma renumita, in acest domeniu, stiu ca asta iti doresti. Dar nu e chiar asa. Pentesting inseamna retelistica, cunostinte foarte bune de programare (C, ASM -> BOFs) si multe altele. Quote
Mish Posted November 15, 2010 Report Posted November 15, 2010 TinKode: Eu chiar m-as bucura daca ai lucra la Google sau o alta firma renumita, in acest domeniu, stiu ca asta iti doresti. Dar nu e chiar asa. Pentesting inseamna retelistica, cunostinte foarte bune de programare (C, ASM -> BOFs) si multe altele.+ 1 , i agree. am un amic din u.k care lucreaza ca pentester . pentest nu inseamna doar sqli pe diferite platforme. inseamna mult mai mult Quote
Guest Praetorian Posted November 15, 2010 Report Posted November 15, 2010 TinKode: Eu chiar m-as bucura daca ai lucra la Google sau o alta firma renumita, in acest domeniu, stiu ca asta iti doresti. Dar nu e chiar asa. Pentesting inseamna retelistica, cunostinte foarte bune de programare (C, ASM -> BOFs) si multe altele.Stiu la ce te referi, trebuie sa stiu C++ / Java etc, in afara de restul limbajelor, oricum timp pentru invatat mai e destul, nu dau in foc acum. @Kristler: Ceea ce vezi ca am facut SQLi (a fost doar la asta cu MoD.uk si restul alea vechi, in rest nu a avut nici o legatura cu metoda asta), si folosesc ce am la indemana windows / linux.Ca sa ma protejez, am eu metodele mele (de ce crezi ca as zice aici unde poate citi oricine)? Quote
Paul4games Posted November 15, 2010 Report Posted November 15, 2010 Plm bv ma imi place stilul tau de a gandi(adica si eu gandesc tot cam la fel),daca vor FBI/CIA/etc sa te prinda oricum te prind....a da si sa-mi dai si mie un pm daca ajungi la google(doar asa de curiozitate sa stiu cum e acolo)! Quote
Krisler12™ Posted November 15, 2010 Report Posted November 15, 2010 (edited) Stiu la ce te referi, trebuie sa stiu C++ / Java etc, in afara de restul limbajelor, oricum timp pentru invatat mai e destul, nu dau in foc acum. @Kristler: Ceea ce vezi ca am facut SQLi (a fost doar la asta cu MoD.uk si restul alea vechi, in rest nu a avut nici o legatura cu metoda asta), si folosesc ce am la indemana windows / linux.Ca sa ma protejez, am eu metodele mele (de ce crezi ca as zice aici unde poate citi oricine)?Ca sa ne ajuti si pe noi astia mai habarnistii... Daca nu vrei direct aici atunci poate imi dai un PM. Ce zici ?Multumesc !--------------btw, esti sigur ca era google si nu cumva or fi vrut aia sa afle date despre tine ?Ma gandesc ca ii era mult mai usor cuiva sa iti trimita un email in care sa zica ca e de la Google si vrea sa te angajeze si ptr. asta te roaga sa completezi un chestionar cu datele tale perosnale. Tu cu ochii in nori ca esti dat si la TV ai acceptat si iaca o aflat omu' ce-o vrut de la tine. Edited November 15, 2010 by Krisler12™ Quote
Guest Praetorian Posted November 15, 2010 Report Posted November 15, 2010 Ca sa ne ajuti si pe noi astia mai habarnistii... Daca nu vrei direct aici atunci poate imi dai un PM. Ce zici ?Multumesc !--------------btw, esti sigur ca era google si nu cumva or fi vrut aia sa afle date despre tine ?Ma gandesc ca ii era mult mai usor cuiva sa iti trimita un email in care sa zica ca e de la Google si vrea sa te angajeze si ptr. asta te roaga sa completezi un chestionar cu datele tale perosnale. Tu cu ochii in nori ca esti dat si la TV ai acceptat si iaca o aflat omu' ce-o vrut de la tine. Ma tu crezi ca sunt vreun idiot, sa imi dau date personale la primul iesit in fata, si care vine la mine cu o "propunere". I-am verificat IP / ISP / Locatie / Numele / Date personale despre el, etc. Quote
SENEQ_o Posted November 15, 2010 Report Posted November 15, 2010 Good job tinkode de ce ai schimbat blogu ??? 27 de la ce vine ? Quote
Krisler12™ Posted November 15, 2010 Report Posted November 15, 2010 Good job tinkode de ce ai schimbat blogu ??? 27 de la ce vine ?E "unic" ba ! De asta ! @Tinkode: imi zici bre si mie metodele tale de protectie sau ba ? sau dai PM ? Quote