1337 Posted July 8, 2013 Report Posted July 8, 2013 (edited) Luand in considerare evenimentele anterioare (arestari) cred ca ar trebui implementate urmatoarele lucruri:- Two/Multi-factor authentication- Resetarea tuturor parolelor- PM-uri encriptate in baza de date si decriptate cand ajung la destinatar *nu stiu daca foloseste la ceva*- Schimbarea algoritmului de encriptare a parolei- O lista cu IP-urile care au intrat pe un anumit cont (pe care o poate verifica doar utilizatorul acelui "anumit cont")- Crearea unui grup "trusted" (ceva sub V.I.P.)//Forumul incepe sa-si revina.Au disparut metinarii si posturile incep sa fie de calitate, keep up the good work! Edited July 8, 2013 by 1337 Quote
sicilianul Posted July 8, 2013 Report Posted July 8, 2013 Hmmm...ce evenimente? Daca te referi la tot felulde topicuri despre bac, metin, cs, si alte joculete prostioare, atunci cred ca am inteles ce ai vrut sa zici. Sustin si eu ceea ce ai zis, a mai fost discutia asta pe forum si nustiu cat de departe o sa mearga, dar mult succes.Iar cu PM-urile ne putem folosi de softul PhotoBear al lui TheTime. Quote
Renegade Posted July 8, 2013 Report Posted July 8, 2013 (edited) //Forumul incepe sa-si revina.Au disparut metinarii si posturile incep sa fie de calitate, keep up the good work!in mare parte e ok propunerea ta,doar ca nu inteleg de ce ar trebui sa resetam parolele (ar trebui dat e-mail in masa cum ca s-a resetat parola plus ca de exemplu eu nu am mai intrat din 2008 pana in ianuarie 2013 si inainte aveam un alt email care intre timp murise,in acest caz intram pe RST si constatam ca userul exista dar nu pot recupera parola.in astfel de cazuri cred ca sunt mai multi membri care de exemplu nu pot accesa adresa de mail yahoo aferenta contului RST)legat de posturile cretine si de revenirea forumului nu ar trebui sa bagam in seama astfel de threaduri (nici macar sa facem troll),sa nu raspundem,sa nu ii bagam in seama Edited July 8, 2013 by Renegade Quote
sicilianul Posted July 8, 2013 Report Posted July 8, 2013 (edited) legat de posturile cretine si de revenirea forumului nu ar trebui sa bagam in seama astfel de threaduri (nici macar sa facem troll),sa nu raspundem,sa nu ii bagam in seama Indiferenta doare dar nici nu impiedica la lucruri rele! //scuze Edited July 8, 2013 by sicilianul Quote
Nytro Posted July 8, 2013 Report Posted July 8, 2013 - Two/Multi-factor authenticationAr fi frumos dar dificil de implementat.- Resetarea tuturor parolelorInutil, cei care au avut nevoie si-au resetat parolele. Toti din staff au facut-o, asta era mai important.- PM-uri encriptate in baza de date si decriptate cand ajung la destinatar *nu stiu daca foloseste la ceva*Nu stiu daca ar ajuta cu ceva. In plus, asa cum se pot decrypta la citire... Asa se pot decrypta... - Schimbarea algoritmului de encriptare a paroleiSchimbarea parolei e de ajuns. Daca sunt persoane carora le pasa de contul sau, si-au schimbat deja de mult timp parola.- O lista cu IP-urile care au intrat pe un anumit cont (pe care o poate verifica doar utilizatorul acelui "anumit cont")Asta ar putea fi utila. O pagina in care sa apara IP-urile de pe care s-a logat cineva pe un cont, vizibila DOAR de pe acel cont, la asta te referi nu?- Crearea unui grup "trusted" (ceva sub V.I.P.)E o idee de viitor, ne gandim la asa ceva, ar fi perfect daca ai veni cu niste idei si criterii de selectie. Quote
bcman Posted July 8, 2013 Report Posted July 8, 2013 Pentru acel grup "trusted" puteti selecta voi, cei din staff, persoane in care aveti incredere. Apoi se vor face propuneri pentru alte persoane. La un numar de (sa zicem) 5 voturi pro, acea persoana va fi acceptata in grup. Sau puteti lasa aceste decizii doar in seama staff-ului.Partea cu two-factor authentification o puteti realiza cu un Grid (la fel ca Lastpass). Fiecare user care activeaza optiunea va primi un csv in care va avea coordonate (ex: A0, B3, Z7) si valori (caractere alfanumerice). Eventual, daca doreste, poate fotografia acel tabel, pentru a avea grid-ul pe telefon. Apoi, cand vrea sa se autentifice va trebui sa introduca niste valori din acel grid. Quote
1337 Posted July 8, 2013 Author Report Posted July 8, 2013 (edited) Asta ar putea fi utila. O pagina in care sa apara IP-urile de pe care s-a logat cineva pe un cont, vizibila DOAR de pe acel cont, la asta te referi nu?Da, la asta m-am referit.IP-urile sa fie encriptate in MD5 + un salt ales de utilizator. (Nu stiu cat e de util)E o idee de viitor, ne gandim la asa ceva, ar fi perfect daca ai veni cu niste idei si criterii de selectie.M-am gandit la un trust factor.O medie intre reputatie, vechime, warn-uri si mai multe chestii.Sau o cerere facuta pe Google Forms care va fi analizata de administratori, in caz ca e ok user-ul va fi promovat la "Trusted".Asa ar trebui sa fie si la V.I.P. (care nu ar trebui dat asa usor).Grupul Trusted va contine lucruri mai avansate, XSS-uri, SQLi-uri, cryptere, certificate PFX, exploit-uri FUD samd.Trebuie si ceva anti-leech (inca ma mai gandesc la asta).Astept sugestii de la voi!Criticele constructive sunt apreciate.//Brenin: m-am gandit si eu la certificat, asa aveau si cei de la darkcode daca nu ma insel Edited July 8, 2013 by 1337 Quote
Brenin Posted July 8, 2013 Report Posted July 8, 2013 (edited) ... Edited January 5, 2014 by Brenin Quote
Nytro Posted July 8, 2013 Report Posted July 8, 2013 Hmmm, cred ca am o idee pentru two-factor authentication. Varianta cu mesaje catre un numar de telefon pica:1. nu stiu daca gasim un serviciu ok de trimis mesaje2. nu vreau sa pastram numerele voastre de telefonDar:1. User-ul uploadeaza o imagine2. Se face sha1 pentru imaginea respectiva3. Se compara hash-ul cu unul pastrat in baza de date4. Fisierul nu trebuie sa fie neaparat o imagineInfo: Hash-ul este creat la activarea optiunii.Pareri? Quote
Brenin Posted July 8, 2013 Report Posted July 8, 2013 (edited) ... Edited January 5, 2014 by Brenin Quote
bcman Posted July 8, 2013 Report Posted July 8, 2013 (edited) Brenin, asta deja e paranoia. Nu vad de ce ar trebui implementate lucrurile postate de tine. Cum zicea si Neme, vrem cat mai multi oameni sa vina pe RST si sa invete. Suntem comunitate publica, nu privata. Masurile postate de tine vor avea ca efect gonirea pana si a utilizatorilor actuali. Cati crezi ca vor dori sa faca atatea lucruri doar pentru a intra pe RST? Si cel mai important: nu avem nimic de ascuns, deci de ce am face-o?// Ma refer la primul tau post.@Nytro: cred ca metoda cu grid factor authentification e mai facila pentru cei ce vor sa se logheze de pe telefoane sau de pe calculatoare ce nu sunt ale lor. E mai usor sa citesti ceva dintr-un fisier/poza salvat pe telefon, decat sa-l transferi pe PC-ul pe care vrei sa te loghezi. Edited July 8, 2013 by bcman Quote
1337 Posted July 8, 2013 Author Report Posted July 8, 2013 (edited) Brenin, asta deja e paranoia. Nu vad de ce ar trebui implementate lucrurile postate de tine. Cum zicea si Neme, vrem cat mai multi oameni sa vina pe RST si sa invete. Suntem comunitate publica, nu privata. Masurile postate de tine vor avea ca efect gonirea pana si a utilizatorilor actuali. Cati crezi ca vor dori sa faca atatea lucruri doar pentru a intra pe RST? Si cel mai important: nu avem nimic de ascuns, deci de ce am face-o?// Ma refer la primul tau post.@Nytro: cred ca metoda cu grid factor authentification e mai facila pentru cei ce vor sa se logheze de pe telefoane sau de pe calculatoare ce nu sunt ale lor. E mai usor sa citesti ceva dintr-un fisier/poza salvat pe telefon, decat sa-l transferi pe PC-ul pe care vrei sa te loghezi.Nu e paranoia.E o masura anti-noobs.Si da, poate avem ceva de ascuns.Gandeste-te ca ai facut ceva in alta parte si vin dupa tine pe RST.Ce faci?Pentru Android: o aplicatie care genereaza un token.Un plus mare pentru certificatul SSL self-signed.@bcman: brute-ul e pentru a prinde un domeniu care incepe cu rstforumsRANDOMSHIT.onionhttps://github.com/katmagic/Shallot - pentru brute.Noua caractere ~2.5 ani. Edited July 8, 2013 by 1337 Quote
Brenin Posted July 8, 2013 Report Posted July 8, 2013 (edited) ... Edited January 5, 2014 by Brenin Quote
bcman Posted July 8, 2013 Report Posted July 8, 2013 Cu certificatul self-signed sunt si eu de acord. Dar mi se pare aiurea sa trecem in reteaua TOR si sa fim nevoiti sa dam brute-force la adresa.//Stiu ca ti-ai dat doar cu parerea si exact asta am facut si eu. Mi-am expus punctul de vedere si de ce nu sunt de acord cu tine. Quote
Brenin Posted July 8, 2013 Report Posted July 8, 2013 (edited) ... Edited January 5, 2014 by Brenin Quote
bcman Posted July 8, 2013 Report Posted July 8, 2013 Scuze, te-am inteles gresit. Deci tu voiai sa dam brute doar pentru a avea o adresa ce incepe cu rstforums? Greseala mea, am crezut ca te referi ca userii vor fi nevoiti sa dea brute pentru a afla adresa si a putea intra pe RST. Quote
Nytro Posted July 8, 2013 Report Posted July 8, 2013 S-a incercat sa nu se logheze niciun IP si nu se poate deoarece sunt probleme cu logarea pe vBulletin. S-au sters pentru mult timp, la un anumit interval, toate IP-urile. Stupid si inutil.Ce nu intelegeti voi insa este ca RST nu e cosul de gunoi care risca sa fie inchis din cauza unor ratati. Cu alte cuvinte, nu am de gand sa protejez carderii sau mai stiu eu ce specimene ar putea fi cautate. Daca cineva sparge un site, nu o sa vina nimeni sa ceara logurile de pe RST, o sa ia logurile de pe site-ul respectiv. Daca cineva vinde insa CC-uri pe aici, ei bine, firma de hosting o sa se trezeasca cu gaborii la usa, iar eu nu vreau sa am probleme incercand sa apar niste hoti.Apoi, nu este problema noastra ca Vasile face cacaturi, vine pe RST si isi posteaza numele, adresa si CNP-ul. Nu e treaba noastra sa stergem aceste date. La fel cu IP-urile: daca ai ceva de ascuns NU ITI FOLOSESTI IP-ul REAL AICI, nu vii cu pretentia sa fie sterse IP-urile si nici contul sau cine stie ce loguri. Faci cacat, mananci cacat, ma doare in cur de ratatii care fac cine stie ce magarii ca sa faca si ei 50 de dolari. La munca, nu la milogit.Cum zicea si tex: daca vine politia si cere serverul pentru cine stie ce carder, il sterg de praf, ii pun fundita si le dau serverul. Quote
1337 Posted July 8, 2013 Author Report Posted July 8, 2013 (edited) S-a incercat sa nu se logheze niciun IP si nu se poate deoarece sunt probleme cu logarea pe vBulletin. S-au sters pentru mult timp, la un anumit interval, toate IP-urile. Stupid si inutil.Ce nu intelegeti voi insa este ca RST nu e cosul de gunoi care risca sa fie inchis din cauza unor ratati. Cu alte cuvinte, nu am de gand sa protejez carderii sau mai stiu eu ce specimene ar putea fi cautate. Daca cineva sparge un site, nu o sa vina nimeni sa ceara logurile de pe RST, o sa ia logurile de pe site-ul respectiv. Daca cineva vinde insa CC-uri pe aici, ei bine, firma de hosting o sa se trezeasca cu gaborii la usa, iar eu nu vreau sa am probleme incercand sa apar niste hoti.Apoi, nu este problema noastra ca Vasile face cacaturi, vine pe RST si isi posteaza numele, adresa si CNP-ul. Nu e treaba noastra sa stergem aceste date. La fel cu IP-urile: daca ai ceva de ascuns NU ITI FOLOSESTI IP-ul REAL AICI, nu vii cu pretentia sa fie sterse IP-urile si nici contul sau cine stie ce loguri. Faci cacat, mananci cacat, ma doare in cur de ratatii care fac cine stie ce magarii ca sa faca si ei 50 de dolari. La munca, nu la milogit.Cum zicea si tex: daca vine politia si cere serverul pentru cine stie ce carder, il sterg de praf, ii pun fundita si le dau serverul.Sunt de acord cu ce-ai spus.Sustin toleranta zero pentru carderi.Sunt oameni care posteaza SQLi-uri/RCE-uri in site-uri destul de mari.Unele companii sunt "ciufute" si sunt in stare sa te futa pentru asa ceva.Ce faci in cazul asta?Stii bine ca umbla curcanii si alte specimene pe-aici.Hai sa dam timpul inapoi cu vreo 8-9 luni.Crezi ca s-ar mai fi intamplat ce s-a intamplat daca erau toate chestiile de aici aplicate?Scuze ca vorbesc la pertu (nu cred ca e o mare discrepanta intre varstele noastre).Pentru cei care vor sa se "protejeze" mai bine: https://prism-break.org/Multi privesc, putini comenteaza."On the Internet, nobody knows you're a dog" Edited July 8, 2013 by 1337 Quote
Nytro Posted July 8, 2013 Report Posted July 8, 2013 Al doilea lucru care l-as face daca as tine cat de cat la userii forumului, ar fi sa renunt la un shared ssl cert, si sa folosesc un certificat selfsigned. Da, este urat acel promp, dar ar avea mai multe folosuri. Unul ar fi ca, daca s-ar produce anumite modificari la el "neautorizate" ar aparea prompt-ul din nou si ar fi un semnal de alarma. Al doilea, probabil ar bloca anumiti useri care nu s-ar descurca sa treaca de el, useri care oricum banuiesc ca nu le-ar trebuii sa acceseze forumul in primul rand.Ideea nu e deloc rea.O sa vad ce se poate face, ma gandeam asa:1. Creez un CA pentru RST2. Semnez un certificat pentru server (self-signed)3. Userii vor putea descarca si instala CA-ul pentru ca RST sa fie validat4. Asta ma gandeam sa se faca doar optional, pentru cine vrea, pe un subdomeniu: secure.rstforums.comPareri? PS: Pentru cine nu a inteles idee, asa cum exista posibilitatea ca NSA-ul si mai stiu eu ce organizatii sa aiba cheile private de la Facebook, Google (certificate SSL)... Exista posibilitatea sa aiba cheile private (cu care sunt semnate certificatele) de la firmele care ofera certificate: VeriSign, Comodo, StartSSL... Astfel, acele organizatii (NSA) pot face Man in the Middle pe trafic. Daca insa folosim un certificat self-signed, vor avea nevoie de cheia de pe serverul RST. Cei drept e cam paranoia si nu cred ca se complica nimeni atat pentru RST si un pusti care vinde un root... Quote
Brenin Posted July 8, 2013 Report Posted July 8, 2013 (edited) ... Edited January 5, 2014 by Brenin Quote
1337 Posted July 8, 2013 Author Report Posted July 8, 2013 (edited) Ideea nu e deloc rea.O sa vad ce se poate face, ma gandeam asa:1. Creez un CA pentru RST2. Semnez un certificat pentru server (self-signed)3. Userii vor putea descarca si instala CA-ul pentru ca RST sa fie validat4. Asta ma gandeam sa se faca doar optional, pentru cine vrea, pe un subdomeniu: secure.rstforums.comPareri? PS: Pentru cine nu a inteles idee, asa cum exista posibilitatea ca NSA-ul si mai stiu eu ce organizatii sa aiba cheile private de la Facebook, Google (certificate SSL)... Exista posibilitatea sa aiba cheile private (cu care sunt semnate certificatele) de la firmele care ofera certificate: VeriSign, Comodo, StartSSL... Astfel, acele organizatii (NSA) pot face Man in the Middle pe trafic. Daca insa folosim un certificat self-signed, vor avea nevoie de cheia de pe serverul RST. Cei drept e cam paranoia si nu cred ca se complica nimeni atat pentru RST si un pusti care vinde un root...O idee frumoasa: certificatul sa fie dat doar celor care apartin grupului trusted, vip si administratorii.Pe Darkcode aveau certificatul doar unele persoane si era pus pe domeniul principal, asa inlatura orice dubii.Daca vrei poti sa faci un poll* (merci Brenin pt corectarea typo-ului) in topic-ul asta.Daca faci asta macar sa fie de 2048 sau 4096. Edited July 8, 2013 by 1337 Quote
Brenin Posted July 8, 2013 Report Posted July 8, 2013 (edited) ... Edited January 5, 2014 by Brenin Quote
1337 Posted July 9, 2013 Author Report Posted July 9, 2013 (edited) S-a luat vreo decizie?Astept si parerile voastre pentru ca nu cred ca sunt doar patru oameni pe forum.Comentati!Dar nu aiurea si fara rost. Edited July 9, 2013 by 1337 Quote
Nytro Posted July 9, 2013 Report Posted July 9, 2013 In limita timpului disponibil...:1. Two-factor auth2. Validare certificat self-signed Quote