Jump to content
malessandrox

Hacker-ul alb

By malessandrox, in Off-topic

Recommended Posts

bodostyle Newbie

bodostyle

Posted
Posted (edited)

01:04 That feeling :) Ce emotii are .

21:45 Nu ai fost BlackHat, tu prima oara ti-ai cumparat servere ca sa incerci sa ti le ´´spargi´´ singur.

Totusi : Ce relevanta mai are sa ai parola : (734hjsd"·%·$%·jhd ?

Nu zice nimic de Cryptere si Download/Execute .Multi pica in RAT si Stealere.Nu mai face nimeni bruteforce.

Edited by bodostyle
Link to comment
Share on other sites
wildchild Newbie

wildchild

Posted
Posted
Hackerul alb = programatorul fara serviciu.

Stai lini?tit, o s? vin? ?i banii încet dar sigur. Mul?i prefer? s? voluntarieze pentru a acumula experien??, ca în final s? aib? de unde s? culeag? roade. Nu m? îndoiesc de faptul c? Andrei o s? aib? o leaf? foarte frumoas? pe viitor. :)

Ontopic, felicit?ri!

Link to comment
Share on other sites
sadik Newbie

sadik

Posted
Posted

@rakims

Da. De fapt majoritatea companiilor prefera sa angajeze whitehats pentru ca ii considera mai de incredere sau mai etici. Asta este predominant in Europa.

In America parerile sunt impartite si se practica si angajarea de blackhats pe motiv ca au o oarecare experienta.

Link to comment
Share on other sites
Andrei Rookie

Andrei

Posted
Posted

Nu a fost pregatit nimic dinainte, de aceea poate si reactiile mele mai ezitante la unele intrebari. :-))

Interesanta abordarea din interviu, si imi place ca l-ai invatat/stie ceva si 'nea Mandruta, dar se puteau face cateva repetii inainte de toate, ca sa iti vina mai multe exemple in cap cand te intreaba ceva.

Cam asta e ideea generala, da, dar numai pentru ca voi asociati white hat-ul cu voluntariatul. Nu e deloc asa, un white hat face ce face si un black hat, dar diferenta este ca target-ul este constient de asta. Un white hat poate gasi de munca si poate castiga bani buni. Nu toti lucreaza free, nu toti lucreaza pe biscuiti.

Link to comment
Share on other sites
ZeroDoi Newbie

ZeroDoi

Posted
Posted

numai frustrati pe aici ...... cum apare unu pe la tv sau pe la vro emisiune si vorbeste de IT si alte chestii, imediat se gaseste vrun pust gaozar sa ii sare in cap, tipic romanesc .... bravo Andrei , poate daca erati atat de destepti erati voi in locul lui acolo ....

De ce va indoiti de cunostintele omului ?? faptul ca nu a discutat sau nu a dat detalii despre anumite lucuri , asta nu inseamna ca nu stie ....

Link to comment
Share on other sites
Andrei Rookie

Andrei

Posted
Posted

Iti pot da un exemplu de inceput : OSCP. Un al doilea exemplu, convinge companii sa te lase (cu hartie) sa le faci pentest pe bani sau fara. Sa vezi ce misto e sa ai infrastructuri cu sute de servere la dispozitia ta si sa ai voie sa le spargi prin aproape orice metoda. :-)

Si atunci whitehats cum capata experienta fiind limitati doar la metodele legale si la metodele scapate in public de blackhats? Exista o acumulare de experienta mai mare si mai variata decat pentestingul in the wild?
Link to comment
Share on other sites
rakims Newbie

rakims

Posted
Posted

Si ramai limitat doar la acele infrastructuri fara a avea vreo sansa de a gandi outside of box pe baza experientei acumulate in the wild. La cati whitehats se ocupa de infrastructuri guvernamentale si de companii mari vs rata de exploatare a serverelor si a aplicatiilor, ceva pute grav. La ce ma ajuta pe mine ca angajez un whitehat sa se ocupe de auditul infrastructurii mele daca tot ce poate sa faca e sa evite tehnicile comune de exploatare? Ma face sa ma simt mai bine ca dupa ce imi ajunge baza de date pe net si mi se duce afacerea de rapa imi vine expertul meu si imi zice ca a aflat care a fost gaura prin care am fost exploatat? Da bine, mersi, prea tarziu gogule. Afacerea mea e cu un picior in groapa deja.

Link to comment
Share on other sites
GarryOne Newbie

GarryOne

Posted
Posted (edited)
numai frustrati pe aici ...... cum apare unu pe la tv sau pe la vro emisiune si vorbeste de IT si alte chestii, imediat se gaseste vrun pust gaozar sa ii sare in cap, tipic romanesc .... bravo Andrei , poate daca erati atat de destepti erati voi in locul lui acolo ....

De ce va indoiti de cunostintele omului ?? faptul ca nu a discutat sau nu a dat detalii despre anumite lucuri , asta nu inseamna ca nu stie ....

Tu ai citit topic-ul inainet sa postezi? Esti total pe langa.

Cat despre Andrei, bravo, a explicat foarte bine majoritatea temelor.

Si cat despre venitul White hackerilor nu e deloc cum a specificat un user anterior. La ce a spus Andrei pot sa completez cu un caz concret in care un user de pe forum a primit 2500$, daca nu ma inseala memoria, de la Google pentru o vulnerabilitate. Ceea ce are insemna chiar si 5 luni de lucru pentru unii programatori.

Si ramai limitat doar la acele infrastructuri fara a avea vreo sansa de a gandi outside of box pe baza experientei acumulate in the wild. La cati whitehats se ocupa de infrastructuri guvernamentale si de companii mari vs rata de exploatare a serverelor si a aplicatiilor, ceva pute grav. La ce ma ajuta pe mine ca angajez un whitehat sa se ocupe de auditul infrastructurii mele daca tot ce poate sa faca e sa evite tehnicile comune de exploatare? Ma face sa ma simt mai bine ca dupa ce imi ajunge baza de date pe net si mi se duce afacerea de rapa imi vine expertul meu si imi zice ca a aflat care a fost gaura prin care am fost exploatat? Da bine, mersi, prea tarziu gogule. Afacerea mea e cu un picior in groapa deja.

Nu cred ca intelegi bine termenul de White Hacker. Un white hacker nu stie numai sa se protejeze, stie la fel ca un Black Hacker sa sparga servere, dar fara ca sa pricinuiasca rau cuiva.

Edited by GarryOne
Link to comment
Share on other sites
Andrei Rookie

Andrei

Posted
Posted (edited)

Hai sa vedem daca ai dreptate:

Fie X = Numarul de clienti.

Fie Y = Numarul de servere.

Fie Z = Numarul de variabile ce le vei intalni (versiuni diferite de softuri, distributii, hardware, configurari, useri, audienta, angajati, sefi, echipa de administrare, securitate samd).

X=10.

Y=100

Z=100000

(cifre facute in medie).

Tu vei sti maxim niste clase de IP-uri (exact cum se intampla in cazul unui bad guy).

Sunt curios, cati vectori de atac ai putea folosi pe situatia asta ipotetica si cati ai putea inventa?

PS: https://rstforums.com/forum/77843-defcamp-black-friday-hacking-infosec-saptamana-viitoare-la-bucuresti.rst

LE: Intrebarea "cum sa inveti" nu are o solutie magica, cum nici un domeniu nu are o solutie magica. Totul tine de abordarea ta.

Edited by Andrei
Link to comment
Share on other sites
eusimplu Newbie

eusimplu

Posted
Posted

Cu toate ca nu mi se adreseaza, Andrei la ce te referi mai concret prin "vector de atac"? E prea interesanta problema sa nu intreb :)

Eu nu am rabdare sa vad mai mult din inregistrare deoarece nu mi se adreseaza(90% din RST nu are ce vedea acolo, dar noi suntem o minoritate in romania) dar sunt sigur ca daca Andrei a fost acolo(pe care in multe randuri l-am criticat) clar nu a aberat nici o secunda in inregistrare. La multe de genul in Romania! Nu de alta, dar viitorul are nevoie de asa ceva :)

Link to comment
Share on other sites
rakims Newbie

rakims

Posted
Posted

Cred ca am inteles eu la ce se refera prin vector de atac. Cum faci sa capeti acces la un sistem avand datele respective la dispozitie, in cazul de fata doar o clasa de ip-uri. Intrebarea in schimb ori e o capcana, ori e lipsa de experienta ca blackhat. Iti voi raspunde simplu Andrei: vladuz vs ebay.

Link to comment
Share on other sites
Andrei Rookie

Andrei

Posted
Posted

@rakims Cum spuneam, variabile: Oameni, in cazul exemplelor date de tine: programatori slabi/neatenti/obositi etc etc.

Inca incerc sa imi dau seama unde incerci sa ajungi.

@eusimplu Eu prin vector de atac ma refer exact la cum legi toate acele variabile in asa fel incat sa iti faci treaba. Si chestia asta te poate invata sa fii out of the box pentru ca sistemele nu seamana, oamenii nu seamana, configurarea si implementarea nu seamana. As intra in detalii dar am o saptamana lunga. :-)

Link to comment
Share on other sites
Nytro Mentor

Nytro

Posted
Posted

Exista doar 2 tipuri de persoane (daca vreti, "hackeri negri") care fac bani:

1. Cei care fura date bancare (nicio legatura cu termenul "hacker")

2. Cei care scriu exploit-uri, le pun in exploitkit-uri si le vand pe blackmarket (adevaratii "hackeri negri")

Restul sunt niste pule-blege care fac si ei cate un cacat pentru a supravietui de pe o zi pe alta.

Multi de aici faceti chestii pe care ziceti ca le fac "hackerii negri". Cati ati facut peste 10.000 de euro astfel?

Faceti o comparatie intre:

1. Anonymous care a obtinut acces la diverse rahaturi mai mari sau mai mici

2. Cei care participa la programe bug bounty

Cati bani au facut anonimusii astfel? E doar un exemplu.

Link to comment
Share on other sites
sadik Newbie

sadik

Posted
Posted
Cred ca am inteles eu la ce se refera prin vector de atac. Cum faci sa capeti acces la un sistem avand datele respective la dispozitie, in cazul de fata doar o clasa de ip-uri. Intrebarea in schimb ori e o capcana, ori e lipsa de experienta ca blackhat. Iti voi raspunde simplu Andrei: vladuz vs ebay.

Ia exemplul urmator:

Compania X te angajeaza sa faci un pentest black-box si nu iti dau absolut nicio informatie.

Uite un exemplu de vector de atac sau attack vector:

1. afli ce IP-uri/domenii/angajati au

2. afli ce software/os/servere folosesc

3. ai aflat de la 2 ca folosesc un ftp vulnerabil. Problema e ca nu iti da root ci doar un cont limitat.

4. uploadezi, cu un cont limitat un exploit/reverse_shell/whatever, insa nu il poti executa ca nu ai drepturi.

5. trimiti un e-mail de phishing la un angajat si ii zici ca esti BigBoss vrei sa iti printeze ce ai uploadat

6. Gigel executa si in functie de exploit poti ajunge in calculatorul lui.

7. De acolo, probabil ai sa ii pe Windows -> local privilege escallation.

8. ai prins ideea....

Link to comment
Share on other sites
rakims Newbie

rakims

Posted
Posted (edited)

Nu vreau sa ajung undeva anume, dar trendul asta cu 100% whitehat capata proportii prea mari si anunta un dezastru informatic. Lumea are nevoie de oameni ca tine, dar are nevoie si de un numar proportional egal de blackhats si greyhats cu care sa colaborezi in mod activ pentru a echilibra researchul. O persoana ce se ocupa cu blackhat este mult mai stimulata decat un whitehat sa gaseasca in permanenta metode noi, chiar daca uneori o face pentru castiguri mai mici sau pentru orgoliul propriu. Complacandu-te in legalitate absoluta devii limitat si depasit. Eu personal te-as angaja doar daca vii la pachet cu o persoana care se ocupa de blackhat sau greyhat pe nisa cu care se ocupa compania mea pentru a echilibra lucrurile si pentru a te ajuta pe tine sa evoluezi mai mult.

sadik acelasi lucru ti-l spun si tie: vladuz vs ebay. Mai vrei exemple? Stuxnet? Operation Olympic Games? Flame? Suna cunoscut?

l.e. - vorbim despre cam aceleasi lucruri. Nu citisem eu cum trebuie. Raspunsul tau de fapt e pentru Andrei ;)

Ce inseamna pentru voi de fapt audit de securitate? Pas cu pas.

Edited by rakims
Link to comment
Share on other sites
sadik Newbie

sadik

Posted
Posted

@rakims:

nu stiu care e treaba cu "vladutz vs ebay" dar oricati bani a facut nu pot sa il iau in serios doar pentru "tz" :))

de ce crezi ca un blackhat e mai stimulat sa gaseasca metode noi?

doar pentru ca lucrezi legal nu inseamna ca esti limitat si nu inseamna ca esti depasit. Am impresia ca tu crezi ca un whitehat e un sysadmin care stie sa foloseasca nmap, nessus si msba. :))

Link to comment
Share on other sites
Guest
This topic is now closed to further replies.
Go to topic listing
×
×
  • Create New...