•  

    pokaż komentarz

    Można pracować jako pentester, zajmując się wyłącznie webapp, czy strona "serwerowa" jest obowiązkiem?

    •  

      pokaż komentarz

      @dami_cnc: kiedyś sądziłem, że nie można - ale teraz rynek jest większy (szczególnie za granicą) i to o wiele bardziej, istnieje duża specjalizacja - więc IMO da się. ps. dalej jednak sądzę, że bardziej fascynujące (i przydatne) dla danej osoby będzie jednak poznanie w dostatecznie dobrym stopniu technologii poniżej (aplikacji, os, architektur komputerów, być może nieco elektroniki i fizyki).

      // jagger

  •  

    pokaż komentarz

    @Gynvael @dragonsector: mieliście kiedyś jakieś kłopoty z wymiarem sprawiedliwości?

  •  

    pokaż komentarz

    @dragonsector
    1. Co sądzicie o takich akcjach jak niedawny "atak" LizardSquad na sieci PSN, i XBL?
    2. Czy istnieje jasny (bądź ciemny ;) ) podział na white-hat hacker i black-hat hacker
    3. Był ktoś z Was na Defconie?
    4. Czy przed każdym zagrożeniem da się uchronić (vide pyt. 1 gdzie był spory DDoS)?
    5. Kiedyś usłyszałem na wykładach z kryptografii, że tak naprawdę każdy nawet najbardziej zaawansowany system/algorytm szyfrujący (lub każde zabezpieczenie) da się pokonać, potrzeba tylko na to czasu i środków (wiedzy, ludzi, lub po prostu kasy) - to było lat temu... 10 - czy podzielacie taką opinię?

    Dzięki za odpowiedzi i powodzenia w kolejnych CTF!

    •  

      pokaż komentarz

      @piotr-berent:
      1 - Pseudo-haktywizm za pomocą DDoSowania - Było, zakop, nic ciekawego, etc.
      2 - Puff, to pozostawię komuś bardziej filozoficznemu od odpowiedzi.
      3 - Tak, nasz team startował w CTFie na DEFCON22. @Gynvael , weź rzuć jakieś zdjęcia.
      4 - Nie - dziura zawsze się znajdzie, chociazby w niższych warstach (vide ostatnie fuckupy z OpenSSL, GNUTLS, Bash...). A DDoS to nie atak ;).
      5 - Nie jestem cryptonerdem, poczekam aż ktoś inny się wypowie :).

      //q3k

  •  

    pokaż komentarz

    Wolelibyście walczyć z setką koni wielkości kaczki, czy jedną kaczą wielkości konia ( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)(⌐ ͡■ ͜ʖ ͡■)(⌐ ͡■ ͜ʖ ͡■)(。◕‿‿◕。)

    hehe taki żarcik, lubimy sobie na wykoppl pożartować hehe.

    Czy używacie tylko wolnego i otwartego tudzież legalnie zakupionego oprogramowania ( ͡° ͜ʖ ͡°)

    ʕ•ᴥ•ʔᶘᵒᴥᵒᶅ

  •  

    pokaż komentarz

    1. Czy ksywe dragon* czerpales z DragonFly ?
    2. Jak wygladaja wasze KexAlgorithms / Ciphers / MACs w sshd_config ?
    3. Jakie ciekawe sprzety udalo wam sie posiasc ( P0wNeD ) ?
    4. Czy macie jakies osiagniecia w docker.io, np. uzyskac dostep do natywnej maszyny z poziomu kontenera ?
    5. Czy wszystkie znalezione Luki/BUG'i zglaszacie, czy raczej zostawiacie sobie furtke na jakies zawody ?
    6. Czy generujecie czasami klucze (ssh/openssl/itp.) na wirtualnej maszynie ?
    7. Ulubiony laptop?

    pokaż spoiler lenovo ?

    •  

      pokaż komentarz

      @NoComments:
      1) @Gynvael wie :)
      2) defaultowe z debiana wheezy backports (na moich osobistych serwerach)
      3) osobiście - (podczas CTF) Linux działający "chyba" na Sega Dreamcast, ale może było coś ciekawszego po drodze i mi umyka teraz
      4) docker to jeszcze świeża technologia - sama z siebie ma trochę problemów i historię bagów (czasami ocierających się o facepalm). Nie zabezpiecza w żaden sposób przez pwn-waniem kernela, co więcej poszerza trochę attack surface (niektóre syscalle jak np. sys_mount stają się dostępne) - innymi słowy większośc bagów w kodzie kerenela (tych ring0 code execution) pozwoli opuścić kontener. Być może z czasem i wykorzystaniem prawdziwej CPU-wirtualizacji (poprzez execution-drivers) stanie się to bardziej dojrzałe.
      5) Korzystanie z bocznych furtek (m.in. kernel-bug priv-escalation) itp. jest zwyczajowo zabronione w CTF-ach, ale system jest honorowy, więc teoretycznie się da (jak nikt nie zauważy). Inna sprawa, że mało kto zaryzykowałby utratę 0day-a na CTF. Bagi zgłaszam.
      6) Rozumiem, że to pytanie-pułapka? :) Robiąc cokolwiek na maszynie, która fizycznie nie należy do "nas", w 100% jesteśmy zależni od właściciela fizycznego sprzętu, i albo mu ufamy do odpowiedniego stopnia (np. poprzez odpowiednią umowę i uwarunkowania prawne), albo nie. To samo z zastosowaną przez niego metodą wirtualizacji.
      7) Stare magnezowe IBM Thinkpady

      // jagger