Охх, направо ме напушва на смях в този късен (поне за мен) час, що ли отворих една мейл листа да видя какво става, и аз си се чудя...

 

За пореден път, рисърчър открива уязвимост в услугите на Google, конкретно - Youtube, позволяваща Unrestricted File Upload, и от Гугъл му казват, че видиш ли, нищо, че е успял да качи някакви там си файлове на сървърите им, ама докато не ге изпълни, не бил направил все едно нищо.

 

 

Ето го и репорта с детайлно описание, малко снимки за какво иде реч, и за любопитните с много свободно време едно линкче да проследят историята с още по-големи описания (може да не се спирате много на съобщенията на Julius Kivimaki, виден Гугъл фанатик и трол в тая листа).

 

Не се случва за първи път, де. Въпреки, че са обявили кампания за лов на уязвимости срещу заплащане, явно просто не им се плаща на Гугъл, и търсят малоумни извинения, когато вече са получили PoC, и след няколко дни ще оправят видната уязвимост тихомълком без да платят на рисърчера.

 

Мега тъпотия. То хубаво да си white hat, ама при подобна видна тенденция да не се плаща за нещо за което си обявил, че ще платиш, заслужават само и единствено да бъдат експлойтнати до дупка пропуските.

Редактирано 15 март 201412 г. от programings (преглед на промените)

Липсва ми тая тема

Да я събудим малко тогава.

 

Примерно да коментираме това интересно четиво, касаещо се до широко дискутираната сигурност на Tor, което представиха преди няколко дни във Full Disclosure пощенският списък:

 

End-to-end correlation for Tor connections using an active timing attack

 

@dog, я разкажи малко по-подробно за Timing attack-ите в криптографията.

Редактирано 2 април 201412 г. от programings (преглед на промените)

От Лисицата с любов!

ultimate firefox configuration

100-open-source-replacements-for-popular-security-tools

Не че нещо, но списъка е леко смотан (ClamAV) е една доста слаба АВ. Има доста безплатни, които са по-добри. Бекъп инструментите също не са на нивото на Macrium, Paragon, EASEUS, DriveImage XML, Aomei или безплатните версии на Acronis.

Настройките на фокса, не са лоши, но далеч не бих използвал някои от предложените там разширения като тежкото Ghostery

Лично мнение без да целя да влизам в спорове или да търся някакво заяждане.

Не че нещо, но списъка е леко смотан (ClamAV) е една доста слаба АВ. Има доста безплатни, които са по-добри. Бекъп инструментите също не са на нивото на Macrium, Paragon, EASEUS, DriveImage XML, Aomei или безплатните версии на Acronis.

Настройките на фокса, не са лоши, но далеч не бих използвал някои от предложените там разширения като тежкото Ghostery

Лично мнение без да целя да влизам в спорове или да търся някакво заяждане.

1.  Аз не мисля така , списака си е нa добро ниво.

(Tor, FF, TrueCrypt, Wireshark, tcpdump, winpcap, BT linux, Kali, nmap, metasploit, ettercap, John the Ripper ... )

 

Със сигорност може да се добави и още, но това е само една добра точка за начало, или въведение на потребителите в Open Source света. 

 

ClamAv - никога не съм ползвал подобен тип програми в линукс, и изобщо има ли неkoй кoйто ги ползва?

 

2. FF

 

Е, това го постанах най вече заради настрйките, защото има интересни такива.

Относно разширенията мисля ,че потребителите нямат проблеми с това и, че всеки ги знае.

 

Поздрави.

Ама това само за Линукс ли са? Не съм обърнал внимание...ако е така, то това обяснява, защо списъка е смотан (смотам имам предвид, че за Windows има по-голямо разнообразие). Линукс не съм ползвал много, но той като че ли няма и толкова голяма нужда от такива програми.

 

Иначе аз мога да споделя, че от край време се стремя да използвам или open-source или поне безплатни алтернативи на повечето програмки.

 

Поздрави!

Да я събудим малко тогава. Примерно да коментираме това интересно четиво, касаещо се до широко дискутираната сигурност на Tor, което представиха преди няколко дни във Full Disclosure пощенският списък: End-to-end correlation for Tor connections using an active timing attack @dog, я разкажи малко по-подробно за Timing attack-ите в криптографията.

Да я събудим малко тогава. Примерно да коментираме това интересно четиво, касаещо се до широко дискутираната сигурност на Tor, което представиха преди няколко дни във Full Disclosure пощенският списък: End-to-end correlation for Tor connections using an active timing attack @dog, я разкажи малко по-подробно за Timing attack-ите в криптографията.

Офф по-добре ти разкажи за това,питай ме дали ми остава време да се занимавам с pentesting…ама знаеш,1' waitfor delay '00:00:10'-- същата история както при time based sql inj

1.  Аз не мисля така , списака си е нa добро ниво.(Tor, FF, TrueCrypt, Wireshark, tcpdump, winpcap, BT linux, Kali, nmap, metasploit, ettercap, John the Ripper ... ) Със сигорност може да се добави и още, но това е само една добра точка за начало, или въведение на потребителите в Open Source света. ClamAv - никога не съм ползвал подобен тип програми в линукс, и изобщо има ли неkoй кoйто ги ползва? 2. FF Е, това го постанах най вече заради настрйките, защото има интересни такива.Относно разширенията мисля ,че потребителите нямат проблеми с това и, че всеки ги знае. Поздрави.

Поздрави и на теб:-!Ти па ако някога си работил с Jhon the Ripper или Ettercap NG…

Поздрави и на теб:-!Ти па ако някога си работил с Jhon the Ripper или Ettercap NG…

А защо си мислиш, че не съм?

Незнам, как си правите такива изводи, без да пoзнавате хoрата?

А защо си мислиш, че не съм?Незнам, как си правите такива изводи, без да пoзнавате хoрата?

Та щом си рекъл,gw_discover е?

Та щом си рекъл,gw_discover е?

Първо се нa учи да ползваш GGL после се прави нa хакер

Първо се нa учи да ползваш GGL после се прави нa хакер

Гугъл отдавна го ползвам,а ти научи елементарните команди в ettercap&etc…,и да изглежда тоя раздел се е напълнил с copy/paste измекяри

Гугъл отдавна го ползвам,а ти научи елементарните команди в ettercap&etc…,и да изглежда тоя раздел се е напълнил с copy/paste измекяри

Лай куче лай

 

Добре, ще чакам вие да ме научите на команди mr. IronGeek

 

Защо говориш за copy/paste измекяри, като ти  си само поредния комплексар, който си е внушил, че е станал хакер.

 

Не исках да ви отговарям,  но вие първи се опитахте да ме обидите, също така, имах те и наглоста да се правите на изпитващ (Едва ли трябва, да ви се доказвам на вас, пък и не съм с такава цел тук. Единствено исках да шарна нещо, което може да е интересно или от полза за некой. Незнаех, чe всички които пишем тук, трябва да си мерим *ишките.

 

Последният, да затвори скобата.

Не искахте ама ни отговорихте :-) ,хахаха чупи гипса бре момко-темата е за забавление,не се взимай толкова на сериозно ;-)

How I Hacked Your Router # Disconnect.io.

От облачната услуга, която ползвам - Bitcasa - ми изпратиха писмо да съм споко за Heartbleed, 'щото били защитени от това, но за всеки случай ме разкачили от всичките ми устройства (без десктоп-а).

Наистина много неща научавах и научавам от този форум, в последно време той замря. Би било хубаво да живне, има много приятни хора тук..., от които има какво да се научи... Ако още ги има.... събудете се.

Наистина много неща научавах и научавам от този форум, в последно време той замря. Би било хубаво да живне, има много приятни хора тук..., от които има какво да се научи... Ако още ги има.... събудете се.

Какво да се събуждат, които има акъл мина на Линукс.Останалите заблудени овце си кютат в ъгъла.

Какво да се събуждат, които има акъл мина на Линукс.Останалите заблудени овце си кютат в ъгъла.

Може да направиш една подтема за Линукс, защо не. На мен ще ми е интересно (не само на мен). За обезпечаването (забрана на неоторизиран достъп, възможност някой да ти разгледа компа отдалеч и разни такива неща) на Линукс на български няма много. "За Линукс нема вируси" и това е. Че то колко па са за Уиндоус... имам предвид, ако съм буквалист и се спра на "вирус", има магарета, бекдори, червеи, всякакъв малуер. Тези, които пишат гадини за Уин работят под Линукс, така че знаят кое как е. Другаде е заровено кучето. Каква му е изгодата на някой дето с един код може да хване 1000 компа, а с  повече отделено време и по-голяма занимавка - за същите усилия ще хване мизерен брой Убунтута да речем? Защо му е? Никой не си рита хляба, даже и престъпниците. Другото е, че един е с Ксубунту, друг с Убунту, трети под Дебиан и т.н., а не всички с едно дистро. Та някакви basic съвети. То и с УинЕкс Пи/7 може да караш без защита. Ограничени привилегии, забрана на потенциални услуги, промяна на групови политики, ала-бала, виртуализиран брраузър и внимание, ама някои хора не ни е ок, така - голи, сякаш.

 

Сигурно би казал криптирането на домашната папка, да речем. Аз ли съм калитар. Що го направих последно дуал-бутвах с Ксубунту. Прас някакво съобщение, не ще да влиза, бави, забива. Написах в Гугъл грешката, това било някакъв неоправен бъг, който въобще не е изключително, случвало се, ма така и не разбрали защо не е на всички, поне от 15-ина поста в нета.

 

Иначе на английски има за обезопасяване на Линукс, ма на български... "Няма вируси". Това ли е верно единственото, което може да те напъпли? На Уин да речем, процес с име 0q#kB8a!iLl.exe ми каже стената, че иска връзка, аз ще го спра, много ясно, а в Убунту не знам как. Не знам всъщност нищо в това отношение и ми е едно...

Редактирано 14 април 201412 г. от Методи Дамянов (преглед на промените)

Дабе ясно... ти зокъде я докара  с дистрото?Бая зор беше видял по едно време с оная антика.

Дабе ясно... ти зокъде я докара  с дистрото?Бая зор беше видял по едно време с оная антика.

А оня таралясник го върнах на собственика му. Последно бях с Ксубунту. Два пъти го инсталвах, заради тази грешка при криптирането на домашната папка. Вторият път изкарах седмица с него. Свързах си интернета с един клик (при Уин е повече), пренесох си букмарки, ала-бала, то лети и Ютуб клипчетата вървят все едно филм на компа съм си свалил и го гледам (при Уина, ако не му кажа, че не искам 720p - забрави). Почна да замръзва обаче. И го разкарах. Сега съм хвърлил око на Trisquel... Но почвам да се чудя да не е от програмата, с която пека дистрота ли, не знам или защото дуал-буутвам и става неква инфекция... Ама точно заради тея замръзвания, които не ми се случват за първи път не ща да рискувам само с -buntu да съм. Ще запече така, когато спешно ми трябва комп и кво правя?

 

Има и нещо друго, което е много вероятно да е всъщност причината. Дъното ми е смешно едно такова и кабела от него към устройствата (IDE ли беше) е само с две разклонения, т.е., аз при три устройства - два харда и двд - трябва да разкача единия диск, да свържа, двдто, да инстална системата, след което да скача другия хард, но пък пробвах и с един диск, пак става пусто...

Редактирано 14 април 201412 г. от Методи Дамянов (преглед на промените)

...

На Уин да речем, процес с име 0q#kB8a!iLl.exe ми каже стената, че иска връзка, аз ще го спра, много ясно, а в Убунту не знам как. Не знам всъщност нищо в това отношение и ми е едно...

Ще трябва да пипнеш iptables. Обаче при Linux процесите не стартират изпълними файлове, и не знам дали въобще е възможно да се вдигат кънекции към отдалечени хостове ей така.

Ще трябва да пипнеш iptables. Обаче при Linux процесите не стартират изпълними файлове, и не знам дали въобще е възможно да се вдигат кънекции към отдалечени хостове ей така.

Да, това, че екзета не стартират ясно - образно се изразих. Идеята ми беше как да осъществявам малко от малко по-голям контрол.

dev/mapper/cryptswap1 is not ready or not present

Tе това ми изписваше в Ксубунту. Четох, че трябвало просто да си декриптна папката, деинстална криптоинструментите и да ги изтегля и инсталирам наново и тъ нъ... нещо такова. Ма не стана.

Редактирано 14 април 201412 г. от Методи Дамянов (преглед на промените)

Да, това, че екзета не стартират ясно - образно се изразих. Идеята ми беше как да осъществявам малко от малко по-голям контрол.

Ами то като цяло при Linux е трудно да не кажа почти невъзможно пакет от даден процес да премине свободно. Пълен контрол можеш да имаш над това какво влиза и излиза от машината чрез iptables. Там всичко е строго определено и точно дефинирано.