malessandrox Posted November 21, 2013 Report Posted November 21, 2013 Hackerul alb Andrei Av?d?nei "Schimb? vorba" cu Lucian Mîndru??, de la ora 21.00 - Gandul
TheTime Posted November 21, 2013 Report Posted November 21, 2013 Fetele care zambesc sunt, de obicei, dubioase!Memorabila replica!
AlMalalah Posted November 21, 2013 Report Posted November 21, 2013 Hackerul alb = programatorul fara serviciu.
bodostyle Posted November 22, 2013 Report Posted November 22, 2013 (edited) 01:04 That feeling Ce emotii are .21:45 Nu ai fost BlackHat, tu prima oara ti-ai cumparat servere ca sa incerci sa ti le ´´spargi´´ singur.Totusi : Ce relevanta mai are sa ai parola : (734hjsd"·%·$%·jhd ? Nu zice nimic de Cryptere si Download/Execute .Multi pica in RAT si Stealere.Nu mai face nimeni bruteforce. Edited November 22, 2013 by bodostyle
wildchild Posted November 22, 2013 Report Posted November 22, 2013 Hackerul alb = programatorul fara serviciu.Stai lini?tit, o s? vin? ?i banii încet dar sigur. Mul?i prefer? s? voluntarieze pentru a acumula experien??, ca în final s? aib? de unde s? culeag? roade. Nu m? îndoiesc de faptul c? Andrei o s? aib? o leaf? foarte frumoas? pe viitor. Ontopic, felicit?ri!
sadik Posted November 22, 2013 Report Posted November 22, 2013 Hackerul alb = programatorul fara serviciu.No really? Lucrez ca White Hat si se castiga FOARTE bine.
PingLord Posted November 22, 2013 Report Posted November 22, 2013 Hackerul alb = programatorul fara serviciu.Iar jobul tau este .... ?Castigi cat....?
rakims Posted November 22, 2013 Report Posted November 22, 2013 ar angaja vreunul dintre voi cei cu experienta un specialist care a fost whitehat toata viata? nu are legatura cu andrei intrebarea mea.
sadik Posted November 22, 2013 Report Posted November 22, 2013 @rakimsDa. De fapt majoritatea companiilor prefera sa angajeze whitehats pentru ca ii considera mai de incredere sau mai etici. Asta este predominant in Europa.In America parerile sunt impartite si se practica si angajarea de blackhats pe motiv ca au o oarecare experienta.
rakims Posted November 22, 2013 Report Posted November 22, 2013 Si atunci whitehats cum capata experienta fiind limitati doar la metodele legale si la metodele scapate in public de blackhats? Exista o acumulare de experienta mai mare si mai variata decat pentestingul in the wild?
Andrei Posted November 22, 2013 Report Posted November 22, 2013 Nu a fost pregatit nimic dinainte, de aceea poate si reactiile mele mai ezitante la unele intrebari. )Interesanta abordarea din interviu, si imi place ca l-ai invatat/stie ceva si 'nea Mandruta, dar se puteau face cateva repetii inainte de toate, ca sa iti vina mai multe exemple in cap cand te intreaba ceva.Cam asta e ideea generala, da, dar numai pentru ca voi asociati white hat-ul cu voluntariatul. Nu e deloc asa, un white hat face ce face si un black hat, dar diferenta este ca target-ul este constient de asta. Un white hat poate gasi de munca si poate castiga bani buni. Nu toti lucreaza free, nu toti lucreaza pe biscuiti.
ZeroDoi Posted November 22, 2013 Report Posted November 22, 2013 numai frustrati pe aici ...... cum apare unu pe la tv sau pe la vro emisiune si vorbeste de IT si alte chestii, imediat se gaseste vrun pust gaozar sa ii sare in cap, tipic romanesc .... bravo Andrei , poate daca erati atat de destepti erati voi in locul lui acolo .... De ce va indoiti de cunostintele omului ?? faptul ca nu a discutat sau nu a dat detalii despre anumite lucuri , asta nu inseamna ca nu stie ....
rakims Posted November 22, 2013 Report Posted November 22, 2013 De ce va indoiti de cunostintele omului ?? faptul ca nu a discutat sau nu a dat detalii despre anumite lucuri , asta nu inseamna ca nu stie ....Cine s-a indoit de cunostintele lui in topicul asta?
Andrei Posted November 22, 2013 Report Posted November 22, 2013 Iti pot da un exemplu de inceput : OSCP. Un al doilea exemplu, convinge companii sa te lase (cu hartie) sa le faci pentest pe bani sau fara. Sa vezi ce misto e sa ai infrastructuri cu sute de servere la dispozitia ta si sa ai voie sa le spargi prin aproape orice metoda. Si atunci whitehats cum capata experienta fiind limitati doar la metodele legale si la metodele scapate in public de blackhats? Exista o acumulare de experienta mai mare si mai variata decat pentestingul in the wild?
rakims Posted November 22, 2013 Report Posted November 22, 2013 Si ramai limitat doar la acele infrastructuri fara a avea vreo sansa de a gandi outside of box pe baza experientei acumulate in the wild. La cati whitehats se ocupa de infrastructuri guvernamentale si de companii mari vs rata de exploatare a serverelor si a aplicatiilor, ceva pute grav. La ce ma ajuta pe mine ca angajez un whitehat sa se ocupe de auditul infrastructurii mele daca tot ce poate sa faca e sa evite tehnicile comune de exploatare? Ma face sa ma simt mai bine ca dupa ce imi ajunge baza de date pe net si mi se duce afacerea de rapa imi vine expertul meu si imi zice ca a aflat care a fost gaura prin care am fost exploatat? Da bine, mersi, prea tarziu gogule. Afacerea mea e cu un picior in groapa deja.
GarryOne Posted November 22, 2013 Report Posted November 22, 2013 (edited) numai frustrati pe aici ...... cum apare unu pe la tv sau pe la vro emisiune si vorbeste de IT si alte chestii, imediat se gaseste vrun pust gaozar sa ii sare in cap, tipic romanesc .... bravo Andrei , poate daca erati atat de destepti erati voi in locul lui acolo .... De ce va indoiti de cunostintele omului ?? faptul ca nu a discutat sau nu a dat detalii despre anumite lucuri , asta nu inseamna ca nu stie ....Tu ai citit topic-ul inainet sa postezi? Esti total pe langa.Cat despre Andrei, bravo, a explicat foarte bine majoritatea temelor.Si cat despre venitul White hackerilor nu e deloc cum a specificat un user anterior. La ce a spus Andrei pot sa completez cu un caz concret in care un user de pe forum a primit 2500$, daca nu ma inseala memoria, de la Google pentru o vulnerabilitate. Ceea ce are insemna chiar si 5 luni de lucru pentru unii programatori.Si ramai limitat doar la acele infrastructuri fara a avea vreo sansa de a gandi outside of box pe baza experientei acumulate in the wild. La cati whitehats se ocupa de infrastructuri guvernamentale si de companii mari vs rata de exploatare a serverelor si a aplicatiilor, ceva pute grav. La ce ma ajuta pe mine ca angajez un whitehat sa se ocupe de auditul infrastructurii mele daca tot ce poate sa faca e sa evite tehnicile comune de exploatare? Ma face sa ma simt mai bine ca dupa ce imi ajunge baza de date pe net si mi se duce afacerea de rapa imi vine expertul meu si imi zice ca a aflat care a fost gaura prin care am fost exploatat? Da bine, mersi, prea tarziu gogule. Afacerea mea e cu un picior in groapa deja.Nu cred ca intelegi bine termenul de White Hacker. Un white hacker nu stie numai sa se protejeze, stie la fel ca un Black Hacker sa sparga servere, dar fara ca sa pricinuiasca rau cuiva. Edited November 22, 2013 by GarryOne
Andrei Posted November 22, 2013 Report Posted November 22, 2013 (edited) Hai sa vedem daca ai dreptate:Fie X = Numarul de clienti.Fie Y = Numarul de servere.Fie Z = Numarul de variabile ce le vei intalni (versiuni diferite de softuri, distributii, hardware, configurari, useri, audienta, angajati, sefi, echipa de administrare, securitate samd).X=10.Y=100Z=100000 (cifre facute in medie).Tu vei sti maxim niste clase de IP-uri (exact cum se intampla in cazul unui bad guy).Sunt curios, cati vectori de atac ai putea folosi pe situatia asta ipotetica si cati ai putea inventa?PS: https://rstforums.com/forum/77843-defcamp-black-friday-hacking-infosec-saptamana-viitoare-la-bucuresti.rstLE: Intrebarea "cum sa inveti" nu are o solutie magica, cum nici un domeniu nu are o solutie magica. Totul tine de abordarea ta. Edited November 22, 2013 by Andrei
rakims Posted November 22, 2013 Report Posted November 22, 2013 Andrei nu stiu unde vrei sa ajungi cu intrebarea de mai sus, dar mai bine deschide ochii si uita-te cum companiile de securitate au fost si sunt tavalite anual de multe ori prin metode clasice. Nici ei nu au whitehats angajati?
eusimplu Posted November 22, 2013 Report Posted November 22, 2013 Cu toate ca nu mi se adreseaza, Andrei la ce te referi mai concret prin "vector de atac"? E prea interesanta problema sa nu intreb Eu nu am rabdare sa vad mai mult din inregistrare deoarece nu mi se adreseaza(90% din RST nu are ce vedea acolo, dar noi suntem o minoritate in romania) dar sunt sigur ca daca Andrei a fost acolo(pe care in multe randuri l-am criticat) clar nu a aberat nici o secunda in inregistrare. La multe de genul in Romania! Nu de alta, dar viitorul are nevoie de asa ceva
rakims Posted November 22, 2013 Report Posted November 22, 2013 Cred ca am inteles eu la ce se refera prin vector de atac. Cum faci sa capeti acces la un sistem avand datele respective la dispozitie, in cazul de fata doar o clasa de ip-uri. Intrebarea in schimb ori e o capcana, ori e lipsa de experienta ca blackhat. Iti voi raspunde simplu Andrei: vladuz vs ebay.
Andrei Posted November 22, 2013 Report Posted November 22, 2013 @rakims Cum spuneam, variabile: Oameni, in cazul exemplelor date de tine: programatori slabi/neatenti/obositi etc etc.Inca incerc sa imi dau seama unde incerci sa ajungi.@eusimplu Eu prin vector de atac ma refer exact la cum legi toate acele variabile in asa fel incat sa iti faci treaba. Si chestia asta te poate invata sa fii out of the box pentru ca sistemele nu seamana, oamenii nu seamana, configurarea si implementarea nu seamana. As intra in detalii dar am o saptamana lunga.
Nytro Posted November 22, 2013 Report Posted November 22, 2013 Exista doar 2 tipuri de persoane (daca vreti, "hackeri negri") care fac bani:1. Cei care fura date bancare (nicio legatura cu termenul "hacker")2. Cei care scriu exploit-uri, le pun in exploitkit-uri si le vand pe blackmarket (adevaratii "hackeri negri")Restul sunt niste pule-blege care fac si ei cate un cacat pentru a supravietui de pe o zi pe alta.Multi de aici faceti chestii pe care ziceti ca le fac "hackerii negri". Cati ati facut peste 10.000 de euro astfel? Faceti o comparatie intre:1. Anonymous care a obtinut acces la diverse rahaturi mai mari sau mai mici2. Cei care participa la programe bug bountyCati bani au facut anonimusii astfel? E doar un exemplu.
sadik Posted November 22, 2013 Report Posted November 22, 2013 Cred ca am inteles eu la ce se refera prin vector de atac. Cum faci sa capeti acces la un sistem avand datele respective la dispozitie, in cazul de fata doar o clasa de ip-uri. Intrebarea in schimb ori e o capcana, ori e lipsa de experienta ca blackhat. Iti voi raspunde simplu Andrei: vladuz vs ebay.Ia exemplul urmator:Compania X te angajeaza sa faci un pentest black-box si nu iti dau absolut nicio informatie. Uite un exemplu de vector de atac sau attack vector:1. afli ce IP-uri/domenii/angajati au2. afli ce software/os/servere folosesc3. ai aflat de la 2 ca folosesc un ftp vulnerabil. Problema e ca nu iti da root ci doar un cont limitat.4. uploadezi, cu un cont limitat un exploit/reverse_shell/whatever, insa nu il poti executa ca nu ai drepturi. 5. trimiti un e-mail de phishing la un angajat si ii zici ca esti BigBoss vrei sa iti printeze ce ai uploadat6. Gigel executa si in functie de exploit poti ajunge in calculatorul lui. 7. De acolo, probabil ai sa ii pe Windows -> local privilege escallation.8. ai prins ideea....
rakims Posted November 22, 2013 Report Posted November 22, 2013 (edited) Nu vreau sa ajung undeva anume, dar trendul asta cu 100% whitehat capata proportii prea mari si anunta un dezastru informatic. Lumea are nevoie de oameni ca tine, dar are nevoie si de un numar proportional egal de blackhats si greyhats cu care sa colaborezi in mod activ pentru a echilibra researchul. O persoana ce se ocupa cu blackhat este mult mai stimulata decat un whitehat sa gaseasca in permanenta metode noi, chiar daca uneori o face pentru castiguri mai mici sau pentru orgoliul propriu. Complacandu-te in legalitate absoluta devii limitat si depasit. Eu personal te-as angaja doar daca vii la pachet cu o persoana care se ocupa de blackhat sau greyhat pe nisa cu care se ocupa compania mea pentru a echilibra lucrurile si pentru a te ajuta pe tine sa evoluezi mai mult.sadik acelasi lucru ti-l spun si tie: vladuz vs ebay. Mai vrei exemple? Stuxnet? Operation Olympic Games? Flame? Suna cunoscut? l.e. - vorbim despre cam aceleasi lucruri. Nu citisem eu cum trebuie. Raspunsul tau de fapt e pentru Andrei Ce inseamna pentru voi de fapt audit de securitate? Pas cu pas. Edited November 22, 2013 by rakims
sadik Posted November 22, 2013 Report Posted November 22, 2013 @rakims:nu stiu care e treaba cu "vladutz vs ebay" dar oricati bani a facut nu pot sa il iau in serios doar pentru "tz" de ce crezi ca un blackhat e mai stimulat sa gaseasca metode noi?doar pentru ca lucrezi legal nu inseamna ca esti limitat si nu inseamna ca esti depasit. Am impresia ca tu crezi ca un whitehat e un sysadmin care stie sa foloseasca nmap, nessus si msba.