Jump to content
malessandrox

Hacker-ul alb

Recommended Posts

Posted (edited)

01:04 That feeling :) Ce emotii are .

21:45 Nu ai fost BlackHat, tu prima oara ti-ai cumparat servere ca sa incerci sa ti le ´´spargi´´ singur.

Totusi : Ce relevanta mai are sa ai parola : (734hjsd"·%·$%·jhd ?

Nu zice nimic de Cryptere si Download/Execute .Multi pica in RAT si Stealere.Nu mai face nimeni bruteforce.

Edited by bodostyle
Posted
Hackerul alb = programatorul fara serviciu.

Stai lini?tit, o s? vin? ?i banii încet dar sigur. Mul?i prefer? s? voluntarieze pentru a acumula experien??, ca în final s? aib? de unde s? culeag? roade. Nu m? îndoiesc de faptul c? Andrei o s? aib? o leaf? foarte frumoas? pe viitor. :)

Ontopic, felicit?ri!

Posted

@rakims

Da. De fapt majoritatea companiilor prefera sa angajeze whitehats pentru ca ii considera mai de incredere sau mai etici. Asta este predominant in Europa.

In America parerile sunt impartite si se practica si angajarea de blackhats pe motiv ca au o oarecare experienta.

Posted

Si atunci whitehats cum capata experienta fiind limitati doar la metodele legale si la metodele scapate in public de blackhats? Exista o acumulare de experienta mai mare si mai variata decat pentestingul in the wild?

Posted

Nu a fost pregatit nimic dinainte, de aceea poate si reactiile mele mai ezitante la unele intrebari. :-))

Interesanta abordarea din interviu, si imi place ca l-ai invatat/stie ceva si 'nea Mandruta, dar se puteau face cateva repetii inainte de toate, ca sa iti vina mai multe exemple in cap cand te intreaba ceva.

Cam asta e ideea generala, da, dar numai pentru ca voi asociati white hat-ul cu voluntariatul. Nu e deloc asa, un white hat face ce face si un black hat, dar diferenta este ca target-ul este constient de asta. Un white hat poate gasi de munca si poate castiga bani buni. Nu toti lucreaza free, nu toti lucreaza pe biscuiti.

Posted

numai frustrati pe aici ...... cum apare unu pe la tv sau pe la vro emisiune si vorbeste de IT si alte chestii, imediat se gaseste vrun pust gaozar sa ii sare in cap, tipic romanesc .... bravo Andrei , poate daca erati atat de destepti erati voi in locul lui acolo ....

De ce va indoiti de cunostintele omului ?? faptul ca nu a discutat sau nu a dat detalii despre anumite lucuri , asta nu inseamna ca nu stie ....

Posted
De ce va indoiti de cunostintele omului ?? faptul ca nu a discutat sau nu a dat detalii despre anumite lucuri , asta nu inseamna ca nu stie ....

Cine s-a indoit de cunostintele lui in topicul asta?

Posted

Iti pot da un exemplu de inceput : OSCP. Un al doilea exemplu, convinge companii sa te lase (cu hartie) sa le faci pentest pe bani sau fara. Sa vezi ce misto e sa ai infrastructuri cu sute de servere la dispozitia ta si sa ai voie sa le spargi prin aproape orice metoda. :-)

Si atunci whitehats cum capata experienta fiind limitati doar la metodele legale si la metodele scapate in public de blackhats? Exista o acumulare de experienta mai mare si mai variata decat pentestingul in the wild?
Posted

Si ramai limitat doar la acele infrastructuri fara a avea vreo sansa de a gandi outside of box pe baza experientei acumulate in the wild. La cati whitehats se ocupa de infrastructuri guvernamentale si de companii mari vs rata de exploatare a serverelor si a aplicatiilor, ceva pute grav. La ce ma ajuta pe mine ca angajez un whitehat sa se ocupe de auditul infrastructurii mele daca tot ce poate sa faca e sa evite tehnicile comune de exploatare? Ma face sa ma simt mai bine ca dupa ce imi ajunge baza de date pe net si mi se duce afacerea de rapa imi vine expertul meu si imi zice ca a aflat care a fost gaura prin care am fost exploatat? Da bine, mersi, prea tarziu gogule. Afacerea mea e cu un picior in groapa deja.

Posted (edited)
numai frustrati pe aici ...... cum apare unu pe la tv sau pe la vro emisiune si vorbeste de IT si alte chestii, imediat se gaseste vrun pust gaozar sa ii sare in cap, tipic romanesc .... bravo Andrei , poate daca erati atat de destepti erati voi in locul lui acolo ....

De ce va indoiti de cunostintele omului ?? faptul ca nu a discutat sau nu a dat detalii despre anumite lucuri , asta nu inseamna ca nu stie ....

Tu ai citit topic-ul inainet sa postezi? Esti total pe langa.

Cat despre Andrei, bravo, a explicat foarte bine majoritatea temelor.

Si cat despre venitul White hackerilor nu e deloc cum a specificat un user anterior. La ce a spus Andrei pot sa completez cu un caz concret in care un user de pe forum a primit 2500$, daca nu ma inseala memoria, de la Google pentru o vulnerabilitate. Ceea ce are insemna chiar si 5 luni de lucru pentru unii programatori.

Si ramai limitat doar la acele infrastructuri fara a avea vreo sansa de a gandi outside of box pe baza experientei acumulate in the wild. La cati whitehats se ocupa de infrastructuri guvernamentale si de companii mari vs rata de exploatare a serverelor si a aplicatiilor, ceva pute grav. La ce ma ajuta pe mine ca angajez un whitehat sa se ocupe de auditul infrastructurii mele daca tot ce poate sa faca e sa evite tehnicile comune de exploatare? Ma face sa ma simt mai bine ca dupa ce imi ajunge baza de date pe net si mi se duce afacerea de rapa imi vine expertul meu si imi zice ca a aflat care a fost gaura prin care am fost exploatat? Da bine, mersi, prea tarziu gogule. Afacerea mea e cu un picior in groapa deja.

Nu cred ca intelegi bine termenul de White Hacker. Un white hacker nu stie numai sa se protejeze, stie la fel ca un Black Hacker sa sparga servere, dar fara ca sa pricinuiasca rau cuiva.

Edited by GarryOne
Posted (edited)

Hai sa vedem daca ai dreptate:

Fie X = Numarul de clienti.

Fie Y = Numarul de servere.

Fie Z = Numarul de variabile ce le vei intalni (versiuni diferite de softuri, distributii, hardware, configurari, useri, audienta, angajati, sefi, echipa de administrare, securitate samd).

X=10.

Y=100

Z=100000

(cifre facute in medie).

Tu vei sti maxim niste clase de IP-uri (exact cum se intampla in cazul unui bad guy).

Sunt curios, cati vectori de atac ai putea folosi pe situatia asta ipotetica si cati ai putea inventa?

PS: https://rstforums.com/forum/77843-defcamp-black-friday-hacking-infosec-saptamana-viitoare-la-bucuresti.rst

LE: Intrebarea "cum sa inveti" nu are o solutie magica, cum nici un domeniu nu are o solutie magica. Totul tine de abordarea ta.

Edited by Andrei
Posted

Andrei nu stiu unde vrei sa ajungi cu intrebarea de mai sus, dar mai bine deschide ochii si uita-te cum companiile de securitate au fost si sunt tavalite anual de multe ori prin metode clasice. Nici ei nu au whitehats angajati?

Posted

Cu toate ca nu mi se adreseaza, Andrei la ce te referi mai concret prin "vector de atac"? E prea interesanta problema sa nu intreb :)

Eu nu am rabdare sa vad mai mult din inregistrare deoarece nu mi se adreseaza(90% din RST nu are ce vedea acolo, dar noi suntem o minoritate in romania) dar sunt sigur ca daca Andrei a fost acolo(pe care in multe randuri l-am criticat) clar nu a aberat nici o secunda in inregistrare. La multe de genul in Romania! Nu de alta, dar viitorul are nevoie de asa ceva :)

Posted

Cred ca am inteles eu la ce se refera prin vector de atac. Cum faci sa capeti acces la un sistem avand datele respective la dispozitie, in cazul de fata doar o clasa de ip-uri. Intrebarea in schimb ori e o capcana, ori e lipsa de experienta ca blackhat. Iti voi raspunde simplu Andrei: vladuz vs ebay.

Posted

@rakims Cum spuneam, variabile: Oameni, in cazul exemplelor date de tine: programatori slabi/neatenti/obositi etc etc.

Inca incerc sa imi dau seama unde incerci sa ajungi.

@eusimplu Eu prin vector de atac ma refer exact la cum legi toate acele variabile in asa fel incat sa iti faci treaba. Si chestia asta te poate invata sa fii out of the box pentru ca sistemele nu seamana, oamenii nu seamana, configurarea si implementarea nu seamana. As intra in detalii dar am o saptamana lunga. :-)

Posted

Exista doar 2 tipuri de persoane (daca vreti, "hackeri negri") care fac bani:

1. Cei care fura date bancare (nicio legatura cu termenul "hacker")

2. Cei care scriu exploit-uri, le pun in exploitkit-uri si le vand pe blackmarket (adevaratii "hackeri negri")

Restul sunt niste pule-blege care fac si ei cate un cacat pentru a supravietui de pe o zi pe alta.

Multi de aici faceti chestii pe care ziceti ca le fac "hackerii negri". Cati ati facut peste 10.000 de euro astfel?

Faceti o comparatie intre:

1. Anonymous care a obtinut acces la diverse rahaturi mai mari sau mai mici

2. Cei care participa la programe bug bounty

Cati bani au facut anonimusii astfel? E doar un exemplu.

Posted
Cred ca am inteles eu la ce se refera prin vector de atac. Cum faci sa capeti acces la un sistem avand datele respective la dispozitie, in cazul de fata doar o clasa de ip-uri. Intrebarea in schimb ori e o capcana, ori e lipsa de experienta ca blackhat. Iti voi raspunde simplu Andrei: vladuz vs ebay.

Ia exemplul urmator:

Compania X te angajeaza sa faci un pentest black-box si nu iti dau absolut nicio informatie.

Uite un exemplu de vector de atac sau attack vector:

1. afli ce IP-uri/domenii/angajati au

2. afli ce software/os/servere folosesc

3. ai aflat de la 2 ca folosesc un ftp vulnerabil. Problema e ca nu iti da root ci doar un cont limitat.

4. uploadezi, cu un cont limitat un exploit/reverse_shell/whatever, insa nu il poti executa ca nu ai drepturi.

5. trimiti un e-mail de phishing la un angajat si ii zici ca esti BigBoss vrei sa iti printeze ce ai uploadat

6. Gigel executa si in functie de exploit poti ajunge in calculatorul lui.

7. De acolo, probabil ai sa ii pe Windows -> local privilege escallation.

8. ai prins ideea....

Posted (edited)

Nu vreau sa ajung undeva anume, dar trendul asta cu 100% whitehat capata proportii prea mari si anunta un dezastru informatic. Lumea are nevoie de oameni ca tine, dar are nevoie si de un numar proportional egal de blackhats si greyhats cu care sa colaborezi in mod activ pentru a echilibra researchul. O persoana ce se ocupa cu blackhat este mult mai stimulata decat un whitehat sa gaseasca in permanenta metode noi, chiar daca uneori o face pentru castiguri mai mici sau pentru orgoliul propriu. Complacandu-te in legalitate absoluta devii limitat si depasit. Eu personal te-as angaja doar daca vii la pachet cu o persoana care se ocupa de blackhat sau greyhat pe nisa cu care se ocupa compania mea pentru a echilibra lucrurile si pentru a te ajuta pe tine sa evoluezi mai mult.

sadik acelasi lucru ti-l spun si tie: vladuz vs ebay. Mai vrei exemple? Stuxnet? Operation Olympic Games? Flame? Suna cunoscut?

l.e. - vorbim despre cam aceleasi lucruri. Nu citisem eu cum trebuie. Raspunsul tau de fapt e pentru Andrei ;)

Ce inseamna pentru voi de fapt audit de securitate? Pas cu pas.

Edited by rakims
Posted

@rakims:

nu stiu care e treaba cu "vladutz vs ebay" dar oricati bani a facut nu pot sa il iau in serios doar pentru "tz" :))

de ce crezi ca un blackhat e mai stimulat sa gaseasca metode noi?

doar pentru ca lucrezi legal nu inseamna ca esti limitat si nu inseamna ca esti depasit. Am impresia ca tu crezi ca un whitehat e un sysadmin care stie sa foloseasca nmap, nessus si msba. :))

Guest
This topic is now closed to further replies.


×
×
  • Create New...