Intalnirile FIZICE intre membrii forumului

[l34k]

Vreau sa-mi expun nedumirirea legat de intalniri.

Mai mult ca sigur ca sunt supravegheate indeaproape de autoritati, si e cel mai bun prilej sa fiti filati si vazuti.

Mai mult ca sigur ca la intalnirile astea fiecare se da mare cu realizarile proprii, demascandu-va singuri.

Intrebarea e: chiar simtiti nevoia sa va vedeti fizic? De ce nu faceti conferinta pe Skype unde macar convorbirea e criptata (chiar daca, ok, poate e logata).

[Zatarra]

Ai vazut prea multe filme cu hackeri. Ce te face sa crezi ca cei mai multi dintre noi am avea ceva de ascuns? Sau ce te face sa crezi ca ne vom lauda.. si oricum, majoritatea care ne intalnim ne stim deja.. deci nu e nimic laudabil, stai linistit.

Edited November 9, 2011 by Zatarra

[tur334vl]

Eu nu cred ca e o idei proasta sa te intalnesti cu cineva care il mai stii . Dar cu intalnirile pentru prima data nu am nici o parere .. Acuma in viata "Nu Risti Nu Castigi" asa ca ... Nu stii cand e bine si cand nu . Toti suntem oameni si mai gresim deci stai linistit ca daca e sa te ia te ia si dupa strada sau dupa numarul de telefon incepe sa te fileze ca poate te mai scapa gura .

[Andrei]

Voi spune ce am spus si la DefCamp si anume doua lucruri:

1. Daca voiau sa ne ia pe sus pe oricare dintre noi ar fi facut-o de mult, exista zeci de metode pentru a afla sau pentru a intra in contact cu o persoana pentru a afla cine este. Nu suntem suficient de interesanti. Prea multa paranoie, prea multe filme cu organele competente din SUA ai vazut. Si chiar daca ne-ar fila, care-i problema? E dreptul lor, avand in vedere ca suntem intr-o intrunire publica.

2. Tu ai auzit vreodata de adevaratele intalniri de securitate unde se prezinta real shits nu vrajelile ce le discutam noi despre SQLI-uri si aspecte pur teoretice. Oamenii aia vin, se prezinta, demonstreaza ce au facut si pleaca de cele mai multe ori intregi. Majoritatea oamenilor aia sunt inteligenti, cel mai probabil iau legatura cu firmele la care au gasit vulnerabilitatile, ii anunta, le explica how to do and how to patch si apoi demonstreaza lumii intregi ce au facut. In toata istoria DefCon nu stiu daca au fost arestate mai mult de 10 persoane si daca au fost este pentru ca au facut publice niste informatii nasoale, nu pentru POC-uri care sunt construite ca demo-uri si pentru sine.

Dar nah, fiecare cu perspectiva lui. Poti ramane linistit acasa sa te ascunzi in spatele unui monitor, e si asta o varianta dar daca faci prostii cu adevarat grave ma indoiesc ca tu sau laptopul sau amandoua nu veti zbura pe geam.

Acum nu iti ramane decat sa definesti "prostii". Simplu. Right?

LE : Daca unii dintre cei de pe forum au cunostinte mari in securitate ce te face sa crezi ca le folosesc in scopuri distructive?

[Nytro]

De ce sa fim filati? Pentru ca "x" gasesti un SQLI in site-ul lui "y"? Cui ii pasa ca cineva a facut deface la rGaming.ro in afara proprietarului acestui site? O sa vina politia sa il caute pe cel care a facut-o? De ce ar face asta?

Nu inteleg aceasta paranoia, sa gasesti un SQLI nu e deloc complicat, sunt zeci de mii de persoane care o pot face, deci daca gasesti unul si faci cine stie ce, nu esti tocmai un "badass", un pericol public, un urmarit general al politiei. Zic SQLInjection pentru ca in ziua de azi la asta s-a ajuns: cine stie SQLI, sparge un site de cacat, gata, e hacker in ochii presei, in ochii tuturor. La fel si ratatii de la lulzec si Anonymous, cica "hackeri"... Dar cei care au scris, de placere practic, mii de linii de cod la kernelul de Linux care e gratuit ce sunt? HD Moore care ofera metasploit gratis (bine, inainte de Rapid7) ce e? Muts (Mati Ahroni) si Backtrack-ul, fyodor si n_map...? Si exemplele pot continua. Si da, sunt persoane publice, cunoscute de milioane de oameni poate si uite ca nu sunt la puscarie si nu le e frica de asta. Dar lui "1337Hax0r" de pe RST care a gasit SQLI in www.nea-gigi.hostgratis.com.ro.plm ii e frica... E absurd.

Te poate cauta politia pentru:

- SQL Injection - daca gasesti la banci, paypal si poate extragi ceva date, sau la diverse companii guvernamentale care au informatii confidentiale in baza de date

- Phishing sau Scam - adica pentru tentativa de furt informational. Nu, nu pentru phishing la Yahoo ca vrei parola prietenei, ci pentru phishing la banci

- Carding - imparti diverse informatii legate de conturi bancare care nu iti apartin

Cam astea ar fi ideile. Daca ar fi sa facem o analogie cu RST, NU aveti voie cu astfel de rahaturi aici, acele rahaturi nu va fac hackeri ci HOTI. E o mare diferenta, foarte putin inteleasa de publicul general.

[l34k]

Threadul se constituie intr-un semnal de alarma.

Daca lumea considera ca nu se expune prin meeting-uri, e OK.

Eu consider ca cu cat te expui mai putin, cu atat e mai bine.

Oricum astept parerea fiecaruia.

Edited November 9, 2011 by l34k

[Andrei]

@l34k

O intrebare simpla (sau doua) :

1. Tu pentru ce stai pe forumul asta? Banuiesc ca pentru cunostinte. Daca da, pentru ce ai nevoie de ele daca nu ti le expui intr-un mod constructiv?

2. Esti sigur ca nu ai intrat absolut niciodata pe RST cu ip-ul de acasa sau de la liceu/faculta/job sau din apropiere de domiciliul tau? Daca raspunsul e nu e bine pentru ca va dura putin mai mult pana sa afle "curiosul" cine esti in caz contrar nu cred ca ar dura prea mult sa-ti afle IP-ul iar de acolo e doar o chestie de timp pana faci cunostinta cu oameni speciali. Iar pentru asta poti sa nu fii deloc expus ca tot in aceeasi oala ajungi ca cei "expusi".

Intr-o alta ordine de idei, ridici un semnal de alarma inutil. O persoana la un eveniment se poata lauda (asa cum face si pe internet) sau poate sa-si vada de treaba si sa ii para rau ca a venit. Eu cred ca tocmai prin astfel de intalniri legi relatii cu oameni cu potential pentru viitor, oameni cu care ai putea sa ridici un mic proiect, o mica firma (sau mare) sau vei avea o deschidere mai usoara la ei. Evident, fiecare actiune ar pretul ei, insa acum depinde si ce cauti. Daca vei cauta patru pereti si un ecran cu beculete, poti ramane acasa, in caz contrar poti sa mai demonstrezi cunostintele promovandu-te ca altfel vei ajunge sa furi sau sa lucrezi pe 10 lei/luna sau te vei plange ca sistemul e de cacat si ca nu exista bani.

Semnalul de alarma e altul : Merita sa-ti risti libertatea pentru niste hotii de genul si sa superi pe cineva sau merita sa inveti domeniul asta, sa-l experimentezi in limitele decente?

Edited November 9, 2011 by Andrei

[Sonny]

Nu cred ca sunt pestii atat de mari pe forumul asta

[tur334vl]

Threadul se constituie intr-un semnal de alarma.

Daca lumea considera ca nu se expune prin meeting-uri, e OK.

Eu consider ca cu cat te expui mai putin, cu atat e mai bine.

Oricum astept parerea fiecaruia.

@l34k

Nu vezi ca pe forum daca citesti regulamentul e interzi sa vorbesti despre carti sau loginuri de banci ... Asa ca nu cred ca tu te ocupi cu astea ..

Daca te ocupi te inteleg de ce vrei sa stai mai retras ..

Dar pentru ca ai gasit o vulnerabilitate si ca ai exploatato si nu ai adus prejudici majore site`ului nimeni nu iti face nimic.

Gandestete la TinKod care a intrat in siteul de la NASA si de la Ministrul Aparari din Anglia ce crezi ca omul acela nu mai iese in lume?

Eu zic ca destul de linistit .

Asa ca daca nu esti din ala de faci fraude pe net nu ai de ce sa te feresti .

Dar pana la urma fiecare cu ideile si parerile lui .

[l34k]

@Andrei - e si asta un punct de vedere

@tur334vl - indiferent ce fac oamenii de pe forumul asta, pornind de la un banal sql inject cu leaking al db-ului si terminand cu carding - am zis ce cred eu: anume ca cu cat stai mai putin expus, cu atat poate fi mai bine.

Edited November 9, 2011 by l34k

[ENCODED]

Defapt meeting`ul RST , este o iesire intre "prieteni" la bere ca mai scapa subiecte despre internet , securitate , programare etc ... asta e alta treaba ... Informatiile le gasesti pe internet peste tot si sunt free ( marea majoritate ). Daca te simti cu musca pe caciula te sfatuiesc sa nu vii ( prezenta nu este obligatorie pentru nimeni ) , cine vrea sa vina sa bem o bere , e binevenit ( nu e o intrunire de securitate , hacking , cracking, programare , etc ,etc ,etc ... ) Va uitati prea mult la filme ... asa ca STATI ACASA , si beau eu bere si pentru voi

[Nytro]

Nu neaparat. Daca vrei sa ai succes in domeniu si sa lucrezi la o firma mare, iti faci publice niste date: numele si adresa de mail. Astfel vei putea intra in contact cu diverse companii si ai sanse mari sa lucrezi intr-un domeniu care iti place. Daca tot ce stie "lumea" despre tine este faptul ca esti "l34k" nu ai facut mare lucru.

Pe scurt, e chiar invers: ideea este SA FII "prins".

Cat despre meeting, stati linistiti, garantez ca nu prea o sa se vorbeasca chestii tehnice, o sa o dam in cine stie ce discutii stupide.

[tur334vl]

@Andrei - e si asta un punct de vedere

@tur334vl - indiferent ce fac oamenii de pe forumul asta, pornind de la un banal sql inject cu leaking al db-ului si terminand cu carding - am zis ce cred eu: anume ca cu cat stai mai putin expus, cu atat poate fi mai bine.

Frate pe TinKode daca vor aia de la NASA si de la Flota Marina din Anglia il pot prinde oricand . Dar oameni nu isi bat capul pentru ca nu a adus prejudici .

Asta vreau sa te fac sa intelegi . Tu ca om daca ai intrat in sistemul cuiva si nu distrugi nimic sau nu ii furi nimic important de ce sa stea sa te caute?

Asta vreau sa iti zic .

[l34k]

Frate pe TinKode daca vor aia de la NASA si de la Flota Marina din Anglia il pot prinde oricand . Dar oameni nu isi bat capul pentru ca nu a adus prejudici .

Asta vreau sa te fac sa intelegi . Tu ca om daca ai intrat in sistemul cuiva si nu distrugi nimic sau nu ii furi nimic important de ce sa stea sa te caute?

Asta vreau sa iti zic .

E logic ce spui tu, si sunt de acord cu asta.

Ce spui tu e perspectiva optimista, in care aia sunt "de treaba" si trec cu vederea sau pur si simplu isi patchuiesc sistemele si asta e.

Chiar daca nu distrugi nimic tot ai incalcat legea. Deci esti pasibil de inchisoare.

[ENCODED]

E logic ce spui tu, si sunt de acord cu asta.

Ce spui tu e perspectiva optimista, in care aia sunt "de treaba" si trec cu vederea sau pur si simplu isi patchuiesc sistemele si asta e.

Chiar daca nu distrugi nimic tot ai incalcat legea. Deci esti pasibil de inchisoare.

E mai mult decat simplu , STAI ACASA

[tromfil]

Toate ideile expuse mai sus plus asta: intalnirile le vedeti ca sunt, dar nu cred ca toti au primit PM unde vor avea loc si cand, deci chiar daca s-ar vorbi vrute si nevrute e ok. Oricum, ma indoiesc ca vom discuta despre ce SQLi mai este nou si altele, ci vor fi discutii amicale. E inutil sa explic. Oricum, cred ca ai primit mai sus argumentari destul de bune.

[Nytro]

Ca idee, da, se poate face si pscarie pentru multe lucruri.

Cam totul poarta numele de "Acces neautorizat" si nu e legal. Iar legea specifica faptul ca nu ai acces undeva chiar daca ai username si parola (nu conteaza cum obtinute - SQLI sau altceva) cat timp persoana respectiva nu ti-a oferit acordul sa le folosesti.

Acum depinde cu cine esti in conflict, cu ce firma, unele pot sa te dea in judecata.

[sTrEs]

ontopic: cand imi vine si mie pm-ul ala Cosmine ?

offtopic: daca violez oligofreni, pot face puscarie ?

[Guest expl0iter]

De ce sa fim filati? Pentru ca "x" gasesti un SQLI in site-ul lui "y"? Cui ii pasa ca cineva a facut deface la rGaming.ro in afara proprietarului acestui site? O sa vina politia sa il caute pe cel care a facut-o? De ce ar face asta?

Nu inteleg aceasta paranoia, sa gasesti un SQLI nu e deloc complicat, sunt zeci de mii de persoane care o pot face, deci daca gasesti unul si faci cine stie ce, nu esti tocmai un "badass", un pericol public, un urmarit general al politiei. Zic SQLInjection pentru ca in ziua de azi la asta s-a ajuns: cine stie SQLI, sparge un site de cacat, gata, e hacker in ochii presei, in ochii tuturor. La fel si ratatii de la lulzec si Anonymous, cica "hackeri"... Dar cei care au scris, de placere practic, mii de linii de cod la kernelul de Linux care e gratuit ce sunt? HD Moore care ofera metasploit gratis (bine, inainte de Rapid7) ce e? Muts (Mati Ahroni) si Backtrack-ul, fyodor si n_map...? Si exemplele pot continua. Si da, sunt persoane publice, cunoscute de milioane de oameni poate si uite ca nu sunt la puscarie si nu le e frica de asta. Dar lui "1337Hax0r" de pe RST care a gasit SQLI in www.nea-gigi.hostgratis.com.ro.plm ii e frica... E absurd.

Te poate cauta politia pentru:

- SQL Injection - daca gasesti la banci, paypal si poate extragi ceva date, sau la diverse companii guvernamentale care au informatii confidentiale in baza de date

- Phishing sau Scam - adica pentru tentativa de furt informational. Nu, nu pentru phishing la Yahoo ca vrei parola prietenei, ci pentru phishing la banci

- Carding - imparti diverse informatii legate de conturi bancare care nu iti apartin

Cam astea ar fi ideile. Daca ar fi sa facem o analogie cu RST, NU aveti voie cu astfel de rahaturi aici, acele rahaturi nu va fac hackeri ci HOTI. E o mare diferenta, foarte putin inteleasa de publicul general.

OFF:

Alt exemplu nu gaseai?

On: Intr-adevar garda nu se implica in anchete de genu, dar omu` daca depune reclamatie si tot insista, isi cauta un avocat etc. poate face mult rau "hackerului" respectiv. Pana la urma e o violare a intimitatii... vezi un exemplu AICI. Cu un xss de yahoo se pot face multe. Cred ca il stiu pe respectivul care a facut asta.

Daca e sa te arda garda pentru fraude sau nu stiu ce cacaturi online, te poate gasi chiar daca folosesti proxy ca sa iti ascunzi IP-ul... Logurile raman.

[Stealth2]

Frate pe TinKode daca vor aia de la NASA si de la Flota Marina din Anglia il pot prinde oricand . Dar oameni nu isi bat capul pentru ca nu a adus prejudici .

Asta vreau sa te fac sa intelegi . Tu ca om daca ai intrat in sistemul cuiva si nu distrugi nimic sau nu ii furi nimic important de ce sa stea sa te caute?

Asta vreau sa iti zic .

Hell no? Imi place cum va dati cu parerea, si stiti ce s-a intamplat cu mine!

[sTrEs]

exploit acolo e vorba despre altceva, e vorba de o persoana publica si santaj.. Deja cand faci asa ceva, e exact acelasi kkt cum te-ai duce cu cipu la atm cand e coada la salarii..hai sa fim seriosi, numai dezinformati atat, ca nu sta nimeni sa va alerge prin Bucuresti, pentru o bere..acum sa ma scuzati, dar sincer..unii dintre voi va dati prea multa importanta si aveti o parere iesita din comun despre voi..exploit nu ma intelege gresit nu e vb neaparat de tine

Edited November 9, 2011 by sTrEs

[l34k]

Hell no? Imi place cum va dati cu parerea, si stiti ce s-a intamplat cu mine!

TinKode - deci ce parere ai despre subj-ul threadului?

[Stealth2]

La mine e totul diferit nu am cum sa explic, nu ma mai comparati cu situatia asta.

[Guest expl0iter]

exploit acolo e vorba despre altceva, e vorba de o persoana publica si santaj.. Deja cand faci asa ceva, e exact acelasi kkt cum te-ai duce cu cipu la atm cand e coada la salarii..hai sa fim seriosi, numai dezinformati atat, ca nu sta nimeni sa va alerge prin Bucuresti, pentru o bere..acum sa ma scuzati, dar sincer..unii dintre voi va dati prea multa importanta si aveti o parere iesita din comun despre voi..exploit nu ma intelege gresit nu e vb neaparat de tine

Nu te supara pe mine, dar esti praf!

Hai sa iti dau un exemplu: EDITED... Mai dezinformat esti tu decat mine...

Edited November 9, 2011 by expl0iter

[blech]

vezi ca jumatate din noi suntem gabori