The security scene is fucked. You have Dan Kaminsky lecturing you on how DNS
poisoning will destroy life as we know it. You have Matasano harvesting talent
and critiquing everyone, and then Ptacek can only announce the release of....a
graphical firewall management client. There's kingcope killing bugs and
dropping weaponized exploits while making no other contribution except putting
a smile on the face of kiddies. There's iDefense and their competitors selling
exploits and only doing research in how to make more exploits. There's Jeff
Moss running a conference under the hideous misnomer "Blackhat Briefings" where
the same researchers search for glory and present the same shit year after
year. There are people who just live press release by press release. And on top
of it all, somehow you STILL have not got rid of Kevin Mitnick. The industry
cares about virtualization one year and iPhones the next, every year forgetting
the lessons it should have picked up in the last.

If you are just someone looking to pay a fair price to not get owned, you find
out quickly that none of these people exist to help you. Very few people in
this industry have their income model based around actually making you more
secure. At best, some of them have it based around convincing you that you are
better off.

The very concept of "penetration testing" is fundamentally flawed. The problem
with it is that the penetration tester has a limited set of targets they're
allowed to attack, while a real attacker can attack anything in order to gain
access to the site/box. So if a site on a shared host is being tested, just
because site1.com is "secure" that does NOT in anyway mean that the server is
secure, because site2.com could easily be vulnerable to all sorts of simple
attacks. The time constraint is another problem. A professional pentester with
a week or two to spend on a client's network may or may not get into
everything. A real dedicated hacker making the slog who spends a month of
eight hour days WILL get into anything they target. You're lucky if it even
takes him that long, really.

A real dedicated hacker making the slog who spends a month of
eight hour days WILL get into anything they target.

Jeg var ikke den som sletta posten din, men jeg tipper den forsvant fordi du kun posta en lenke til en enorm tekstfil uten å problematisere eller forklare noe særlig. Hva slags diskusjon skal følge av det? Dette er ingen ren oppslagsvegg og det er greiest hvis folk legger inn et minimum av innsats i å poste, så blir det lettere å moderere også. Hvis det blir presedens for at crew skal lese gjennom alle linker som postes og deretter vurdere om det var verdt å postes blir det fort veldig mye merarbeid.

Når blackhats blir forbanna og hacker whitehats
Denne er verdt lesingen:

(hvis du vet hvem Kevin Mitnick, Dan Kaminsky, Halvar Flake osv er vil du le stort og lenge)

http://krash.in/zf05.txt

Å sammenfatte problemstillingen til et par linjer for å vekke interesse og pensle diskusjonen inn på et konstruktivt spor kan da umulig være spesielt vanskelig?

Nå er det vel ikke a-typisk av meg å kun poste en link, men som jeg sier over så er jo dette blitt et relativt kjent "blad". Hadde 2600 kommet ut elektronisk, hadde jeg antagelig kun postet en link dit også - uten mer info. For de som er interessert og surfer på et av de få norske foraene rundt temaet bør jo ha hørt om dette tidligere. Og litt forskjell på å poste link til en av kanskje de mest kjente blackhat hackergruppene (de siste årene) sine resultater, og matematiske teorier?

Jeg har selv fått flere tråder slettet, uten at det tilsynelatende skulle bryte med noen regler. Hadde satt pris på om moderatorer kunne sendt en PM etter en slettet tråd, slik at vi ihvertfall fikk en forklaring, isteden for å stå der som et spørsmåltegn og ikke skjønne noe.

Jeg stiller meg bak dette forslaget.. rent personlig synes jeg mange/alle mods eller admins her kanskje er en tanke trigger-happy til tider, og siden man allikevel skriver inn en grunn når man sletter et emne eller innlegg, hadde det kanskje gått an å lage en mod som sender en beskjed til den som skrev det?

Jeg skjønner hvordan det å åpne en brukers profil og begynne på en ny PM kan være litt mye, men det skal i utgangspunktet ikke ta så himla mye tid å skrive inn en kort, men forståelig kommentar.

"Upassende innhold"
"Manglende grunnlag for diskusjon"
osv.

Minimum for en tråd er at den inneholder en eller annen form for diskusjon, eller oppfordring til diskusjon. Dette er ikke sensur, dette er moderering, og det er vanlig praksis overalt i verden - inklusivt på internett. Linker du til en artikkel og skriver et godt innlegg om hva du syns, fremmer et eller annet standpunkt som kan bestrides eller diskuteres, så er det bra - linker du til noe uten tekst som kan føre til videre diskusjon så er det meningsløst.

Minimum for en tråd er at den inneholder en eller annen form for diskusjon, eller oppfordring til diskusjon.

Carrier Return: er vi interessert i lenker besøker vi digg. Er vi interessert i diskusjoner besøker vi nFF. Det er forskjellen. nFF er ikkje rett medium for å formidle innholdet av ei lenke.

Reglane våre er pokker til klare, og eg ser heilt ærleg ikkje det store problemet om eit innlegg blir sletta - ta det som eit tegn på at det innlegget braut med reglane, og ikkje post det igjen. Vi banner ikkje folk for eit sletta innlegg.

En inkonsekvens i forhold til å slette innlegg fra brukere med ansenitet og de uten er prinsippielt problematisk fordi det legger en stor mengde subjektiv makt i hendene på moderatorene.

Jeg vet ikke hva du brøt for at innlegget skulle bli slettet, men jeg understreker:
Man trenger ikke være et forbanna geni for å FORSTÅ at en admin. har sletta innlegget ditt fordi du brøt et eller annet. HVA du brøt, og hvorfor de sletta tråden kan du ta i en PM.

KP for den siste linja di.

Kan du gå inn i regelverket og peke på hvilket konkret krav jeg brøt med innlegget som ble slettet? Evt. hvordan jeg automatisk skulle vite at akkurat det kravet du mener gjelder, også ibefatter posten min?

Dette er da alt besvart.
Du postet kun en link, uten at du oppfordret til noen diskusjon rundt det linken inneholdt.

Hva skjer hvis innholdet på linken slettes?
Hva ville du med linken? Bare at vi skal vite at siden finnes?

Når blackhats blir forbanna og hacker whitehats
Denne er verdt lesingen:

(hvis du vet hvem Kevin Mitnick, Dan Kaminsky, Halvar Flake osv er vil du le stort og lenge)

http://krash.in/zf05.txt

Navna er velkjente nok, men lenker passer som sagt bedre på digg/twitter/facebook/whatever, eller eit forum som har tradisjon for det. Vi har det ikkje, fordi vi i hovedsak ønsker å vere ein diskusjonsarena. Det er godt mulig det kunne blitt debatt av det, men erfaring tilseier, som moyner påpeiker, at det blir rimelig tam og verdilaus debatt av slikt - enten dør den etter tre poster eller så blir det 10 sider søppel.

Derfor krev vi at innledninga er litt betre enn det der - det går ikkje på lengda på innlegget, men om det er eit innlegg som er egna til å skape debatt eller ikkje.

Greit nok.
Da kan jeg fortelle alle s'kids og mailboxhackere her inne at de bør ta en god titt på linken.
Den beskriver mye av det mange av dere ønsker å oppnå, og metodene for å komme dit (mellom linjene)...altså inn i mailboksene til folk, inn på bloggene, forstå passordrutinene folk har hvis man først har knekt ett passord osv.

Selvsagt vil en løsning med en viss grad av sikkerhet være litt mer kompleks å benytte enn en løsning der alt ligger åpent. Men poenget mitt er at det er mulig å lage sikre løsninger der man fortsatt har brukervennlighet. Det er ikke svart/hvitt.




Jepp. Det er helt korrekt. Men poenget, litt mer detaljert hvis man vil det, er at gutta som hacker her lager 0days og parsere on the fly, og angriper programvare som er fullt oppdatert og satt opp av noen av verdens mest profilerte sikkerhetsforskere. Det setter innholdet i en litt annen kontekst. For burde ikke disse forskerne som omtrent blir forgudet ha "forsket seg frem" til disse enkle sårbarhetene på sine egne systemer?



Dette er selvsagt ikke den opprinnelige tråden. Kanskje du ikke leste igjennom alt alikevel? Poenget i denne tråden er jo at den opprinnelige tråden ble slettet. Den opprinnelige tråden hadde selvsagt et annet subject.........duh.



Ingen sipper.

ser du har bomma på flere ting her. når du sier det ikke er svart/hvit , så blir det fortdet. eks : hvis du skal være så siker som det går. så vil det si du ikke kan bruke noen programer/verjson som har feil/bugs. Da vil normle bruker ikke få brukt pc'en sin.

det meste 0day stuff, det vil og si pirat kopierte ting. kommer veldig ofte fra en "insider" som lekker det. (IKKE noe nytt der, du bør sjekke ut:
http://www.welcometothescene.com/ )

du blir aldri flink på hack hvis du bare skal lese boka, det handlere veldig ofte å tenke på ut siden av box'en, når en skal forske etter hull gjelder det å samle så MYE info/fakta/debuger om produkte så du får en hellehet i programert. ofte hvis det finner et "hull" er det ofte en bitte liten som kan utnytes for å finne støre feil