•  

    pokaż komentarz

    Technicznie:

    1. Czy rozwalenie strony przed dos/ddos może jakoś pomóc przy wycieku zawartości (bazy itp) ?
    2. Istnieją jakieś bardziej h4x0rskie sposoby do sprawdzenia zakresu IP (całej strefy adresów powiązanych) należącego do tej samej 'organizacji' niż numerowanie + i - w ostatnim oktecie ? ;D
    3. Czy można wysłać pakiet sieciowy bez enkapsulacji ?
    4. Jaki język jest najbardziej uniwersalny i posiada największe możliwości jeśli chodzi o pisane nardzędzi do "testowania" aplikacji ?
    5. Czy atak DNS spoofing działa również przez WAN (chodzi o zwykłe routery czy tam bramy), jeśli nie to dlaczego (skoro można zatruwać serwery DNS) ?
    6. Jakie dystrybuje linuxa są zazwyczaj instalowane w popularnych domowych routerach / Na jakich protokołach routingu pracują ?
    7. Czy wiecie coś na temat backdoorów NSA (jak mogą działać) ?
    8. Jakiego rodzaju pakiety są najcięższe (czy ICMP mogą coś zddosować?)
    9. Przy injekcjach można wcisnąć hexa stawiając 0x przed kodem, czy istnieją takie sztuczki z binarką lub jakimś kodowaniem?
    10. Jakie lektury (ang.) polecacie na 2015r z działu security. Proszę o strony / artykuły / książki na amazonie.

    Na luzie:

    1. Co myślicie na temat postawy Adriana Lamo wobec informatora wikileaks?
    2. Jakie są relacje między podziemiem a specjalistami na etacie?
    3. Jakie jest Wasze nastawienie do zagrywek technologicznych monopolistów i skoku na prywatność użytkowników?
    4. Lepiej EMACSem przez sendmail czy wordem przez outlooka?
    5. Ile dziewczyna musi wypić żeby mieć chmod 777 ?

    Jak sobie coś przypomne to jeszcze napisze !

    Pozdrawiam :D

    •  

      pokaż komentarz

      @Blaady: Uff. Odpowiem na część.

      1 - Trudno mi sobie taki wyobrazić, ale nie zajmuję się webem.
      2 - whois na netblocku (zdobywasz zakres), zmap/nmap, próbujesz wykminić co siedzi pod wspólnymi routerami (traceroute, mtr -e dla MPLS), takie tam.
      3 - Na Ethernet? No, jeżeli wyślesz niepoprawną ramkę to najpewniej ci coś zdropuje po drodze (NIC/Switch). Jak wyślesz poprawny Ethernet, a niepoprawny IPv4/v6, to ci pierwszy router po drodze dropnie.
      4 - Python.
      6 - Jak ktoś sobie sam wgrywa, to OpenWRT/DDWRT/Tomato. Jak coś jest stockowe, to najcześciej nie jest to Linux a jakiś VxWorks czy inny RTOS (ZynOS, ...). Protokoły routingu? Chodzi Ci o dynamiczne protokoły routingu, OSPF, BGP, etc? No tam najczęściej nic takiego nie ma, jeśli już to ISP preprovisionuje modem jako statyczny router i NAT przy pomocy TR-069.
      8 - Takie które Ci zapchają rurkę albo zapchają logikę biznesową aplikacji.

      //q3k

  •  

    pokaż komentarz

    1) Ile* 0-day'ow rocznie plodzicie?
    2) Ile* zgarniacie za 0-day'a?
    3) Co Was sklonilo do wyjscia z nory? Slawa? Pieniadze? Czynienie dobra dla spoleczenstwa?

    * - srednio

    •  

      pokaż komentarz

      @6a6b6c:

      1) Jako team nie szukamy razem błędów w oprogramowaniu OS czy komercyjnym (są chwilowe alianse, ale bardziej związane z faktem że kilku z nas pracuje w jednej firmie), być może kiedyś to zmienimy
      2) Osobiście, największe (prywatnie) bounty jakie dostałem to 4x za RCE w IDA-Pro, zaraz potem miła nagroda za kilka razy RCE-like w Firefoksie (także w ich bug bounty)
      3) Pasja, "jak mniemam" :)

      // jagger

  •  

    pokaż komentarz

    Czy mysleliscie o tym zeby z udzialem jakichs wiekszych firm/inwestorow zorganizowac jakis wiekszy turniej ctf w Polsce?

  •  

    pokaż komentarz

    1. Jak to jest tak naprawde z dostaniem pracy w Google? Bardzo mocnym trzeba byc? To oni dzwonia czy warto samemu skladac papiery? Ile lat doswiadczenia srednio maja ludzie zaczynajacy tam prace i na co kladziony jest najwiekszy nacisk?

    2. Jak udaje sie Wam godzic prace,ctfy i inna dzialalnosc z zyciem prywatnym? Niektorzy z Was maja zony, jak one do tego podchodza?

    •  

      pokaż komentarz

      @msgreen: Pierwsze ignoruję, bo nie pracuję w Google ;).

      ad 2: No, jest ciężko. Mamy wyrozumiałe drugie połówki, ograniczone życie towarzyskie (duh), a najczęściej po prostu nie startujemy w pełnym składzie - podczas typowego, niskoprofilowego konkursu są 3-4 osoby które siedzą non-stop, a reszta orbituje dookoła i się dołącza jak znajdzie czas i coś ciekawgo do roboty.

      //q3k

  •  

    pokaż komentarz

    Jak rozumiem jesteście jedną z najlepszych drużyn na świecie.
    W takim razie na jakim poziomie stoją organizatorzy takich imprez?

    Czy są to jacyś uber guru, czy sami też moglibyście podobne problemy układać?

    •  

      pokaż komentarz

      @McKill: sądzę, że dalibyśmy radę :) inni organizatorzy mogą specjalizować się w innych technologiach i mogą przygotować takie zadanie by przedstawiało ciekawy problem do rozwiązania. tak samo i nasz team ma speców od różnych ciekawych/nietypowych technologii. "na oko" 50% większych ctf-ów jest organizowana przez konkurujące teamy.

      // jagger