Jump to content

Recommended Posts

Luand in considerare evenimentele anterioare (arestari) cred ca ar trebui implementate urmatoarele lucruri:

- Two/Multi-factor authentication

- Resetarea tuturor parolelor

- PM-uri encriptate in baza de date si decriptate cand ajung la destinatar *nu stiu daca foloseste la ceva*

- Schimbarea algoritmului de encriptare a parolei

- O lista cu IP-urile care au intrat pe un anumit cont (pe care o poate verifica doar utilizatorul acelui "anumit cont")

- Crearea unui grup "trusted" (ceva sub V.I.P.)

//Forumul incepe sa-si revina.Au disparut metinarii si posturile incep sa fie de calitate, keep up the good work!

Edited by 1337
Link to comment
Share on other sites

Hmmm...ce evenimente? Daca te referi la tot felulde topicuri despre bac, metin, cs, si alte joculete prostioare, atunci cred ca am inteles ce ai vrut sa zici.

Sustin si eu ceea ce ai zis, a mai fost discutia asta pe forum si nustiu cat de departe o sa mearga, dar mult succes.

Iar cu PM-urile ne putem folosi de softul PhotoBear al lui TheTime.

Link to comment
Share on other sites

//Forumul incepe sa-si revina.Au disparut metinarii si posturile incep sa fie de calitate, keep up the good work!

in mare parte e ok propunerea ta,doar ca nu inteleg de ce ar trebui sa resetam parolele (ar trebui dat e-mail in masa cum ca s-a resetat parola plus ca de exemplu eu nu am mai intrat din 2008 pana in ianuarie 2013 si inainte aveam un alt email care intre timp murise,in acest caz intram pe RST si constatam ca userul exista dar nu pot recupera parola.in astfel de cazuri cred ca sunt mai multi membri care de exemplu nu pot accesa adresa de mail yahoo aferenta contului RST)

legat de posturile cretine si de revenirea forumului nu ar trebui sa bagam in seama astfel de threaduri (nici macar sa facem troll),sa nu raspundem,sa nu ii bagam in seama

Edited by Renegade
Link to comment
Share on other sites

legat de posturile cretine si de revenirea forumului nu ar trebui sa bagam in seama astfel de threaduri (nici macar sa facem troll),sa nu raspundem,sa nu ii bagam in seama

Indiferenta doare dar nici nu impiedica la lucruri rele! //scuze

Edited by sicilianul
Link to comment
Share on other sites

- Two/Multi-factor authentication

Ar fi frumos dar dificil de implementat.

- Resetarea tuturor parolelor

Inutil, cei care au avut nevoie si-au resetat parolele. Toti din staff au facut-o, asta era mai important.

- PM-uri encriptate in baza de date si decriptate cand ajung la destinatar *nu stiu daca foloseste la ceva*

Nu stiu daca ar ajuta cu ceva. In plus, asa cum se pot decrypta la citire... Asa se pot decrypta...

- Schimbarea algoritmului de encriptare a parolei

Schimbarea parolei e de ajuns. Daca sunt persoane carora le pasa de contul sau, si-au schimbat deja de mult timp parola.

- O lista cu IP-urile care au intrat pe un anumit cont (pe care o poate verifica doar utilizatorul acelui "anumit cont")

Asta ar putea fi utila. O pagina in care sa apara IP-urile de pe care s-a logat cineva pe un cont, vizibila DOAR de pe acel cont, la asta te referi nu?

- Crearea unui grup "trusted" (ceva sub V.I.P.)

E o idee de viitor, ne gandim la asa ceva, ar fi perfect daca ai veni cu niste idei si criterii de selectie.

Link to comment
Share on other sites

Pentru acel grup "trusted" puteti selecta voi, cei din staff, persoane in care aveti incredere. Apoi se vor face propuneri pentru alte persoane. La un numar de (sa zicem) 5 voturi pro, acea persoana va fi acceptata in grup. Sau puteti lasa aceste decizii doar in seama staff-ului.

Partea cu two-factor authentification o puteti realiza cu un Grid (la fel ca Lastpass). Fiecare user care activeaza optiunea va primi un csv in care va avea coordonate (ex: A0, B3, Z7) si valori (caractere alfanumerice). Eventual, daca doreste, poate fotografia acel tabel, pentru a avea grid-ul pe telefon. Apoi, cand vrea sa se autentifice va trebui sa introduca niste valori din acel grid.

Link to comment
Share on other sites

Asta ar putea fi utila. O pagina in care sa apara IP-urile de pe care s-a logat cineva pe un cont, vizibila DOAR de pe acel cont, la asta te referi nu?

Da, la asta m-am referit.IP-urile sa fie encriptate in MD5 + un salt ales de utilizator. (Nu stiu cat e de util)

E o idee de viitor, ne gandim la asa ceva, ar fi perfect daca ai veni cu niste idei si criterii de selectie.

M-am gandit la un trust factor.O medie intre reputatie, vechime, warn-uri si mai multe chestii.

Sau o cerere facuta pe Google Forms care va fi analizata de administratori, in caz ca e ok user-ul va fi promovat la "Trusted".Asa ar trebui sa fie si la V.I.P. (care nu ar trebui dat asa usor).

Grupul Trusted va contine lucruri mai avansate, XSS-uri, SQLi-uri, cryptere, certificate PFX, exploit-uri FUD samd.

Trebuie si ceva anti-leech (inca ma mai gandesc la asta).

Astept sugestii de la voi!Criticele constructive sunt apreciate.

//Brenin: m-am gandit si eu la certificat, asa aveau si cei de la darkcode daca nu ma insel :)

Edited by 1337
Link to comment
Share on other sites

Hmmm, cred ca am o idee pentru two-factor authentication.

Varianta cu mesaje catre un numar de telefon pica:

1. nu stiu daca gasim un serviciu ok de trimis mesaje

2. nu vreau sa pastram numerele voastre de telefon

Dar:

1. User-ul uploadeaza o imagine

2. Se face sha1 pentru imaginea respectiva

3. Se compara hash-ul cu unul pastrat in baza de date

4. Fisierul nu trebuie sa fie neaparat o imagine

Info: Hash-ul este creat la activarea optiunii.

Pareri?

Link to comment
Share on other sites

Brenin, asta deja e paranoia. Nu vad de ce ar trebui implementate lucrurile postate de tine. Cum zicea si Neme, vrem cat mai multi oameni sa vina pe RST si sa invete. Suntem comunitate publica, nu privata. Masurile postate de tine vor avea ca efect gonirea pana si a utilizatorilor actuali. Cati crezi ca vor dori sa faca atatea lucruri doar pentru a intra pe RST? Si cel mai important: nu avem nimic de ascuns, deci de ce am face-o?

// Ma refer la primul tau post.

@Nytro: cred ca metoda cu grid factor authentification e mai facila pentru cei ce vor sa se logheze de pe telefoane sau de pe calculatoare ce nu sunt ale lor. E mai usor sa citesti ceva dintr-un fisier/poza salvat pe telefon, decat sa-l transferi pe PC-ul pe care vrei sa te loghezi.

Edited by bcman
Link to comment
Share on other sites

Brenin, asta deja e paranoia. Nu vad de ce ar trebui implementate lucrurile postate de tine. Cum zicea si Neme, vrem cat mai multi oameni sa vina pe RST si sa invete. Suntem comunitate publica, nu privata. Masurile postate de tine vor avea ca efect gonirea pana si a utilizatorilor actuali. Cati crezi ca vor dori sa faca atatea lucruri doar pentru a intra pe RST? Si cel mai important: nu avem nimic de ascuns, deci de ce am face-o?

// Ma refer la primul tau post.

@Nytro: cred ca metoda cu grid factor authentification e mai facila pentru cei ce vor sa se logheze de pe telefoane sau de pe calculatoare ce nu sunt ale lor. E mai usor sa citesti ceva dintr-un fisier/poza salvat pe telefon, decat sa-l transferi pe PC-ul pe care vrei sa te loghezi.

Nu e paranoia.E o masura anti-noobs.Si da, poate avem ceva de ascuns.Gandeste-te ca ai facut ceva in alta parte si vin dupa tine pe RST.Ce faci?

Pentru Android: o aplicatie care genereaza un token.

Un plus mare pentru certificatul SSL self-signed.

@bcman: brute-ul e pentru a prinde un domeniu care incepe cu rstforumsRANDOMSHIT.onion

https://github.com/katmagic/Shallot - pentru brute.Noua caractere ~2.5 ani.

Edited by 1337
Link to comment
Share on other sites

Cu certificatul self-signed sunt si eu de acord. Dar mi se pare aiurea sa trecem in reteaua TOR si sa fim nevoiti sa dam brute-force la adresa.

//Stiu ca ti-ai dat doar cu parerea si exact asta am facut si eu. Mi-am expus punctul de vedere si de ce nu sunt de acord cu tine.

Link to comment
Share on other sites

S-a incercat sa nu se logheze niciun IP si nu se poate deoarece sunt probleme cu logarea pe vBulletin. S-au sters pentru mult timp, la un anumit interval, toate IP-urile. Stupid si inutil.

Ce nu intelegeti voi insa este ca RST nu e cosul de gunoi care risca sa fie inchis din cauza unor ratati.

Cu alte cuvinte, nu am de gand sa protejez carderii sau mai stiu eu ce specimene ar putea fi cautate. Daca cineva sparge un site, nu o sa vina nimeni sa ceara logurile de pe RST, o sa ia logurile de pe site-ul respectiv. Daca cineva vinde insa CC-uri pe aici, ei bine, firma de hosting o sa se trezeasca cu gaborii la usa, iar eu nu vreau sa am probleme incercand sa apar niste hoti.

Apoi, nu este problema noastra ca Vasile face cacaturi, vine pe RST si isi posteaza numele, adresa si CNP-ul. Nu e treaba noastra sa stergem aceste date. La fel cu IP-urile: daca ai ceva de ascuns NU ITI FOLOSESTI IP-ul REAL AICI, nu vii cu pretentia sa fie sterse IP-urile si nici contul sau cine stie ce loguri. Faci cacat, mananci cacat, ma doare in cur de ratatii care fac cine stie ce magarii ca sa faca si ei 50 de dolari. La munca, nu la milogit.

Cum zicea si tex: daca vine politia si cere serverul pentru cine stie ce carder, il sterg de praf, ii pun fundita si le dau serverul.

Link to comment
Share on other sites

S-a incercat sa nu se logheze niciun IP si nu se poate deoarece sunt probleme cu logarea pe vBulletin. S-au sters pentru mult timp, la un anumit interval, toate IP-urile. Stupid si inutil.

Ce nu intelegeti voi insa este ca RST nu e cosul de gunoi care risca sa fie inchis din cauza unor ratati.

Cu alte cuvinte, nu am de gand sa protejez carderii sau mai stiu eu ce specimene ar putea fi cautate. Daca cineva sparge un site, nu o sa vina nimeni sa ceara logurile de pe RST, o sa ia logurile de pe site-ul respectiv. Daca cineva vinde insa CC-uri pe aici, ei bine, firma de hosting o sa se trezeasca cu gaborii la usa, iar eu nu vreau sa am probleme incercand sa apar niste hoti.

Apoi, nu este problema noastra ca Vasile face cacaturi, vine pe RST si isi posteaza numele, adresa si CNP-ul. Nu e treaba noastra sa stergem aceste date. La fel cu IP-urile: daca ai ceva de ascuns NU ITI FOLOSESTI IP-ul REAL AICI, nu vii cu pretentia sa fie sterse IP-urile si nici contul sau cine stie ce loguri. Faci cacat, mananci cacat, ma doare in cur de ratatii care fac cine stie ce magarii ca sa faca si ei 50 de dolari. La munca, nu la milogit.

Cum zicea si tex: daca vine politia si cere serverul pentru cine stie ce carder, il sterg de praf, ii pun fundita si le dau serverul.

Sunt de acord cu ce-ai spus.Sustin toleranta zero pentru carderi.Sunt oameni care posteaza SQLi-uri/RCE-uri in site-uri destul de mari.Unele companii sunt "ciufute" si sunt in stare sa te futa pentru asa ceva.Ce faci in cazul asta?

Stii bine ca umbla curcanii si alte specimene pe-aici.

Hai sa dam timpul inapoi cu vreo 8-9 luni.Crezi ca s-ar mai fi intamplat ce s-a intamplat daca erau toate chestiile de aici aplicate?Scuze ca vorbesc la pertu (nu cred ca e o mare discrepanta intre varstele noastre).

Pentru cei care vor sa se "protejeze" mai bine: https://prism-break.org/

Multi privesc, putini comenteaza.

"On the Internet, nobody knows you're a dog"

Edited by 1337
Link to comment
Share on other sites

Al doilea lucru care l-as face daca as tine cat de cat la userii forumului, ar fi sa renunt la un shared ssl cert, si sa folosesc un certificat selfsigned. Da, este urat acel promp, dar ar avea mai multe folosuri. Unul ar fi ca, daca s-ar produce anumite modificari la el "neautorizate" ar aparea prompt-ul din nou si ar fi un semnal de alarma. Al doilea, probabil ar bloca anumiti useri care nu s-ar descurca sa treaca de el, useri care oricum banuiesc ca nu le-ar trebuii sa acceseze forumul in primul rand.

Ideea nu e deloc rea.

O sa vad ce se poate face, ma gandeam asa:

1. Creez un CA pentru RST

2. Semnez un certificat pentru server (self-signed)

3. Userii vor putea descarca si instala CA-ul pentru ca RST sa fie validat

4. Asta ma gandeam sa se faca doar optional, pentru cine vrea, pe un subdomeniu: secure.rstforums.com

Pareri?

PS: Pentru cine nu a inteles idee, asa cum exista posibilitatea ca NSA-ul si mai stiu eu ce organizatii sa aiba cheile private de la Facebook, Google (certificate SSL)... Exista posibilitatea sa aiba cheile private (cu care sunt semnate certificatele) de la firmele care ofera certificate: VeriSign, Comodo, StartSSL... Astfel, acele organizatii (NSA) pot face Man in the Middle pe trafic. Daca insa folosim un certificat self-signed, vor avea nevoie de cheia de pe serverul RST.

Cei drept e cam paranoia si nu cred ca se complica nimeni atat pentru RST si un pusti care vinde un root...

Link to comment
Share on other sites

Ideea nu e deloc rea.

O sa vad ce se poate face, ma gandeam asa:

1. Creez un CA pentru RST

2. Semnez un certificat pentru server (self-signed)

3. Userii vor putea descarca si instala CA-ul pentru ca RST sa fie validat

4. Asta ma gandeam sa se faca doar optional, pentru cine vrea, pe un subdomeniu: secure.rstforums.com

Pareri?

PS: Pentru cine nu a inteles idee, asa cum exista posibilitatea ca NSA-ul si mai stiu eu ce organizatii sa aiba cheile private de la Facebook, Google (certificate SSL)... Exista posibilitatea sa aiba cheile private (cu care sunt semnate certificatele) de la firmele care ofera certificate: VeriSign, Comodo, StartSSL... Astfel, acele organizatii (NSA) pot face Man in the Middle pe trafic. Daca insa folosim un certificat self-signed, vor avea nevoie de cheia de pe serverul RST.

Cei drept e cam paranoia si nu cred ca se complica nimeni atat pentru RST si un pusti care vinde un root...

O idee frumoasa: certificatul sa fie dat doar celor care apartin grupului trusted, vip si administratorii.

Pe Darkcode aveau certificatul doar unele persoane si era pus pe domeniul principal, asa inlatura orice dubii.

Daca vrei poti sa faci un poll* (merci Brenin pt corectarea typo-ului) in topic-ul asta.

Daca faci asta macar sa fie de 2048 sau 4096.

Edited by 1337
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...