No small talk #3 – Autocunoasterea

Idei scrise pentru eveniment .. raw thoughts;

Ar trebui sa raspunda la intrebararile .. “cum sunt eu?”, “cine sunt eu?”
Raspunsul la intrebare ar trebui dat pe 3 planuri .. fizic, psihic si social. Aceasta imagine asupra noastra insasi este aceiasi din cauza simtului identitatii desi noi ne schimbam cu timpul … ne ingrasam/slabim, devenim mai agili, castigam/pierdem flexibilitate, ne miscam mai greu prin mediu, uitam lucruri, invatam lucruri noi, avem trairi diverse, ni se schimba valorile etc.

Toate aceste lucruri ne fac mai constienti de noi insine.

Fiecare intelege altceva prin orice cuvant, intelege de fapt un concept asa ca va rog sa definiti prin propria definitie (nu din dezvoltare personala, dex, psihologie etc) ce inseamna “autocunoastere” pentru voi.
Exemplu cuvantul “lume” e un cuvant simplu, nu? Pentru unii inseamna frica (de cat de mare e, de cat de pierduti sunt, cat de rea/buna e) pentru altii entuziasm (sa o descopere, sa o inteleaga, sa o vada). Intelegeti ideea?


Intrebari propuse …
1) Cum te vezi TU pe urmatoarele planuri: fizic, psihic, social.
2) Ce aspecte iti plac cel mai mult la tine? Descrie-le!
3) Care crezi ca sunt principalele defecte ale tale?

4) Cum este relatia ta cu tine insuti?
5) Cat de bine crezi ca te cunosti? Cum ai ajuns la acest nivel de cunoastere?
6) E ceva ce crezi ca ai putea sa imbunatatesti la tine insuti? Daca da, in ce fel?

G1) Ce inseamna pentru tine conceptul “autocunoastere”?
G2) Cum ma vad eu ca intreg (entitate) in 5-6 cuvinte?

Browsing (mai) sigur – Cum sa ai propriul tau VPN

Acum ceva timp am vorbit despre serviciile de VPN aici: https://www.nekhbet.ro/2018/09/21/vpn-panaceul-securitatii.html .

Ok, la ce e necesar propriul meu serviciu de VPN daca tot nu e 100% sigur? Pai nimic nu e 100% sigur dar avantajele sa avem propriul nostru serviciu de VPN sunt:

  • te poti conecta securizat de pe orice tip de conexiune (chiar si daca e un WiFi open (fara parola) sau e dintr-un bar/loc necunoscut)
  • ai un alt IP decat cel de acasa (la unele lucruri e util, la altele ba .. asta intr-un articol viitor “Cum sa fi (mai) invizibil pe internet”)
  • logurile nu le mai are nimeni, doar tu .. depinde de tine ce faci cu ele 🙂 (folosind un serviciu de VPN externalizat nu ai nicio certitudine ca tin sau nu loguri, desi legal/logic vorbind .. e cam improbabil sa nu le tina)
  • mult mai ieftin, pe https://www.hetzner.com/cloud e 2.5 euro / luna cel mai ieftin VPS (virtual private server, pe el va fi instalat serverul nostru de VPN)

PS: Nimeni nu poate garanta niciodata ca daca faci tampenii nu vei fi prins :). “Extrem de putin probabil” e diferit de “niciodata”.

Ok, daca esti convins .. o sa pun pas cu pas ce trebuie facut pentru hetzner. Pentru alte servicii pasii ar trebui sa fie cam la fel, dati-mi un mesaj daca aveti nevoie de ajutor cu ceva.

  1. Cumparare VPS LOL .. cel mai ieftin e si cel mai bun in cazul nostru .. un server de VPS nu are nevoie de cerinte mari si traficul de 20TB e .. sa zicem asa .. 660 GB / zi :)) pentru tot blocul de 10 etaje cu mai multe scari suficient. Eu, ca preferinta, am ales Ubuntu latest, in momentul asta e 18.04.
  2. Te conectezi la el cu Putty (windows guys) sau terminalul din linux
    ssh root@IP
    unde IP e IP-ul alocat VPS-ului tau.
  3. Ok, suntem pe el .. urmatoarele 2 comenzi sa ajungem la zi cu actualizarile de sistem
    apt update
    apt upgrade
  4. Avem de ales intre mai multe servere de VPN, dar OpenVPN pare solutia ideala. Pentru instalare urmati acest tutorial: https://www.cyberciti.biz/faq/howto-setup-openvpn-server-on-ubuntu-linux-14-04-or-16-04-lts/ , cu exceptia ca la “Find your public IP address” noi stim deja adresa IP de pe interfata externa 🙂 . Recomand alegerea “TCP” ca protocol, e putin mai incet dar mult mai sigur ca si integritate a datelor si a “Google” ca si resolver de DNS. De fapt .. daca nu va intereseaza in detaliu, tot tutorialul de mai sus inseamna doar 3 comenzi (rulati una cate una):
    wget https://git.io/vpn -O openvpn-install.sh
    bash openvpn-install.sh
    rm openvpn-install.sh
  5. Asta a fost tot, serverul e instalat. Felicitari!
  6. Mai trebuie sa ne configuram si pe local (client, adica calculatorul/deviceul de acasa) sa ne conectam la serverul de VPN 🙂
    Instalarea s-a incheiat printre ultimele linii cu ceva de genul:
    “Your client configuration is available at: /root/client.ovpn”
    Asa ca trebuie sa copiem acest fisier pe calculatorul/device-ul client: ori prin WinSCP (pentru cei cu Windows) ori cu “scp” pentru cei cu Linux.
    scp root@IP:/root/client.ovpn ./
    Acum sa configuram clientul in sinea lui, reteta pentru Linux/Ubuntu/Debian:
    sudo su (doar daca nu suntem deja root, daca suntem deja e redundanta si nu face nimic)
    apt install openvpn resolvconf
    daca comanda de mai sus da orice eroare: apt install -f si apoi iarasi
    apt install openvpn resolvconf
    Acum avem instalat clientul de openvpn si ii rescriem configurarile cu fisierul nostru de pe server:
    cp client.ovpn /etc/openvpn/client.conf
    E aproape gata 🙂 Porniti serviciul /etc/init.d/openvpn start
    Dati un restart si … deschideti browserul in incognito mode/private browsing (chrome sau firefox) si https://www.whatismyip.com/ , ar trebui sa apareti ca nemti sau finlandezi :)Orice sugestie e binevenita 🙂

WebSec – Same-Origin Policy (SOP)

Este un concept important din modelul de securitate al aplicatiilor web. Adica .. un browser permite scripturilor dintr-o pagina X sa acceseze datele dintr-o pagina Y DOAR daca ambele au aceiasi origine (hostname, port, protocol).

Exemplu de ce s-ar intampla daca nu ar exista SOP .. intri pe acest site, da? Eu scriu un script care ar face un request POST la facebook.com si in numele tau as scrie “Vedeti site-ul lui Sorin!”. Ar fi misto nu? :))

Binenteles .. SOP se aplica doar requesturilor din scripturi si fonturilor. Fisierele “statice” (imagini, media, CSS, alte scripturi JS incarcate prin <script> etc) sunt exceptate.

Din cauza acestor restrictii au aparut metode valide pentru a face bypass:

  • “document.domain” property din javascript
  • Cross-Origin Resource Sharing (CORS)
  • Cross-document messaging via “postMessage” din javascript, un exemplu frumos: http://jsfiddle.net/bmknight/A7YfK/
  • JSONP
  • WebSockets

Despre ele in urmatoarele articole 🙂

Bibliografie:
https://en.wikipedia.org/wiki/Same-origin_policy
https://tools.ietf.org/html/rfc6454

WebSec – Cookies

Cateva lucruri/concepte:

  • Acces cookieuri

Sa definim niste termeni:
Avem domain.com – domeniul de baza/root
test1.domain.com si test2.domain.com – subdomenii nivel 1 ale domain.com
a.test1.domain.com – subdomeniu nivel 2 al test1.domain.com

1. Un cookie setat pe domeniul principal domain.com este accesibil TUTUROR subdomenilor sale, indiferent de nivel
2. Un cookie setat pe test1.domain.com este accesibil TUTUROR subdomenilor sale, indiferent de nivel (ca mai sus) DAR nu este accesibil celorlalte subdomenii de pe acelasi nivel cu el insusi (deci test2.domain.com nu poate citi acest cookie).
3. O aplicatie poate seta cookieuri: (sub)domeniului pe care ruleaza, tuturor subdomeniilor sale SI parintelui sau.
Deci: de pe test1.domain.com putem seta cookieuri: test1.domain.com, domain.com si a.test1.domain.com

 

  • Flaguri
  1. secure … accesibile doar prin https
  2. http-only .. inaccesibile din limbaje client-side (javascript)

CTF – Pregatire sistem

M-am tot gandit (in timp ce mergeam pe strada :)) ) si cred ca, solutia ideala momentan, este o masina virtuala. De ce? Pai … o poti muta de pe un laptop pe altul foarte usor, instalezi virtualbox, copiezi fisierul si asta e tot + poti face backup/restore extrem de usor (e un singur fisier totul, nu?).

Ca sistem de operare am ales Lubuntu (https://lubuntu.net/downloads/) .. mult mai putine resurse necesare decat Ubuntu. De ce nu o versiune mai de “doamne-ajuta”? Pai .. sunt pline de tot felul de tool-uri inutile mie (sunt interesat de partea de web, nu RE, crypto and so on) + multe alte motive ce tin de incredere.

Ca browsere folosesc Chrome/ium pentru partea de browsing normala si Firefox pentru a-l folosi cu Burp (https://portswigger.net/burp/communitydownload) + Firebug. 2 browsere sunt mai ok pentru ca nu mai stai sa tot activezi/dezactivezi setarile de proxy + nu-mi place sa am add-onuri (stiu, sunt add-onuri pentru enable/disable proxy-uri).

O sa tot adaug chestii instalate cu fiecare CTF la care particip, in functie de nevoi, nu doar asa sa am cat mai multe tool-uri 😛

!!! Orice sugestie e mai mult decat binevenita !!!

Securitatea web (WebSec)

Cred ca sunt pasionat de asa ceva de prea multi ani si nu am facut prea multe lucruri concrete pe partea asta. Da, m-am mai jucat la CTF-uri, pocked some random websites and so on dar .. nimic structurat cu adevarat. Mi-am propus ca de azi incolo sa fac minim un challenge pe saptamana si sa scriu aici cum l-am rezolvat. La inceput o sa fie banale dar, cu timpul, sper sa progresez incat partea de web din CTF-uri sa fie rezolvabila 🙂

Demonul din foaia de hartie

L-am cunoscut intr-un vis aberatie, nu pot scrie ca mi-a insuflat frica ci doar o teama de necunoscut, de a-l lasa sa-si faca vrerea …

Ma plimbam prin gradina bunicilor destul de mind-less, eram purtat de viata ce o vedeam in jur, si pas cu pas, ma minunam de toate. Imi placea senzatia asta de liniste si de plutire si de cedare a controlului …
Intr-o clipita EU (observatorul) am simtit o prezenta, una in plus fata de cate ar fi trebuit sa fie in vis, simteam curiozitatea dar in acelasi timp si rautatea (define evil!, define brat!), nu stiu sigur daca era rautate cu adevarat sau nesimtirea de a ma tulbura din propriul meu vis, ohh .. I like a good game … am preluat controlul imediat si m-am reintregit. Starea a fost diferita de alte dati, am simtit impotrivire din partea mea insumi si nu, nu mi-a placut deloc asta. Aveam puteri “magice” acum, puteam altera totul mai putin piatra pe care nu am vazut-o venind si care m-a lovit in frunte, dreapta sus .. sari sange de acolo, un siroi mic se prelinse in ochi si eu cazui ametit in fund, WTF?! E visul meu! M-am trezit din el si parca si in lumea fizica simteam durerea, nu atat de mare dar destul incat sa o constientizez, uff .. aud zgomot de sticla lovita, sticlele de cidru de pe calorifer, nimeni in zona aia, ma intorc cu spatele la Adina si ma intorc in vis.
Ma ridic de jos (da, de jos, nu, nu e o greseala, fizica e diferita, ohh da), incerc sa stau in aer ca sa vad zona mai bine dar nu pot, nu mai pot face nimic “magic”, hoho .. o entitate interesanta. Eu am intotdeauna backup-ul de a ma intoarce inapoi in “realitate” si a iesi din vis fortat. Ea poate ca nu :)) .. ce am de pierdut? Nimic!

Explorez gradina .. nimic, sopronul nimic, curtea la pasari/animale nimic .. hmm .. dau sa intru in casa .. usa inchisa, dau sa deschid usa cu forta .. nimic, bun … sparg usa cu un topor gasit in sopron .. dau sa intru .. nu pot, hmm .. ca un camp de forta bloca usa, nu pot sa-l clintesc de aici .. incerc geamurile .. la fel toate. Hmm … ies din vis, ma intorc pe cealalta parte, ma uit la ceas 03:22 . stau, ma gandesc .. ma intorc in vis. Intru in sopron, urc in pod, trec in podul bucatariei de vara, in podul casei … haha, a mers . sunt in casa, deasupra camerelor cel putin .. seamana cu un CTF .. pas cu pas :)) Ma uit in camera bunicilor .. e bunicul, se pregatea sa plece afara. .. ma uit distrat la el cum o sa dea cu nasul in campul de forta .. dar .. a trecut prin el direct, cred ca si-a uitat ceva .. se intoarce dar nu mai poate sa intre, se resemneaza din prima si isi ia bicicleta si pleaca ….

Cobor in casa si cand ating solul simt o adiere usoara, tot mai puternica si tot mai puternica .. ma speriu putin .. sa ma deconectez? sa mai stau? hmm .. pana m-am mocait .. hainele mi-au luat foc, ma tavalesc repede si le sting, pielea s-a regenerat instant .. deci mai am ceva puteri?! sau a fost doar o iluzie acest foc? Fug inspre camera de oaspeti ca sa strabat toata casa … prima camera, ok, holul ok, a doua camera .. ce sa vezi? O foaie de hartie ce parea un contract din cel din filmele cu Diavolul si vanzarea sufletului avea un colt indoit si naviga pe o tableta. M-a ingrozit instant stiind ce inseamna asta … acces la cunostiinta de aici la cateva touch-uri distanta. Era atat de absorbit incat nici nu m-a vazut, am luat un obiect ca o furculita in mana dreapta si m-am strecurat langa pat, gata sa sfasii obiectul posedat … oare avea ochi? oare cu ce simtea? Pe foaie era o litera foarte frumoasa, stilizata, un “O” probabil si aceea parea sa nu se miste cu unduirile foii ..

Am sarit inspre el cu intentia de a rupe foaia si l-am atins, sau cred ca l-am atins .. in momentul impactului corpul mi s-a oprit in aer si m-am invartit in jurul axei coloanei mele si am ajuns cu spatele in jos si am cazut puternic pe covor.

“Te asteptam” mi-a spus, “Dar nu am timp de tine acum!” si m-a aruncat in afara camerei, pe hol. M-am speriat rau si am iesit din vis, am simtit mirosul pielii ei si m-am uitat pe geamul cu gratii tamp apoi am reintrat in vis .. am urcat in pod pana deasupra camerei si am dat la o parte scandurile, incet incet, apoi cu o cazma am rupt intr-o fractiune de secunda tavanul si in aer am reusit cu cazmaua sa sfasii foaia destul de puternic, un raget fara sunet .. am amutit de frica, ma luase cred ca in ambele parti, tremuratul pe sira spinarii si iarasi am fost aruncat in afara camerei, dar de data asta parea diferit, mult mai bland.

“Acum mi-ai atras atentia! VREAU si eu in lumea in care tot dispari!” .. spuse din usa camerei si se indrepta spre mine .. imi venea sa rad cum arata spintecat asa .. o foaie venind spre tine :)) Cat de ciudat pare? Nu putea sa posede un ceainic sau orice altceva? :)) L-am lasat sa se apropie si sa tot ameninte vrute si nevrute, m-am prefacut speriat si cand a fost prea aproape .. furculita … franjuri si urlete ce pareau de durere …. nu m-am oprit pana nu erau doar bucatele mici de hartie ce pareau se se aproprie iarasi una de alta, ca si cum ar fi vrut sa se lipeasca. M-am ridicat repede si am luat un borcan, am pus in partea de jos a lui, pe interior ceva prostii ce ardeau si i-am dat foc, apoi am pus acel ochi inauntru ca sa arda.
A aparut si copilul cel mic, Filipoiul, parea exact la fel ca in realitate si i-am spus sa aduca toate bucatelele de hartie una cate una si .. a inteles, el le-a adus si eu le puneam una cate una in foc … in centru se facuse ca o bila de plumb topit .. dar eram plictisit deja .. ma trezesc .. ma uit la ceas .. 02:25 si a aparut baiatul cel mare in camera in secundele urmatoare …

Cioara de pe gard + Muzica – Still Corners – The Message

Uneori simt ca nu pretuiesc ce am deja doar ca o idee/concept pare mai interesant la prima vedere. E o frica uneori ca vazand ceva ce pare ideal sa ajung sa idealizez si mai mult in detrimentul, nu al stabilitatii (niciodata nu am cautat stabilitate pe niciun plan, EU cel putin) ci al lucrurilor si persoanelor la care chiar tin.  Vorba unei amice .. online si chiar si in viata reala .. toti par sa atinga perfectiunea, fara duritatea vietii, fara durere, fara nimic negativ .. doar idealuri si sperante si vise ….

 

Horn effect / Efectul corn (al Diavolului)

Este o forma de bias cognitiv ce cauzeaza ca perceptia noastra asupra altei persoane sa fie influentata nejustificat (doh! e un bias doar :P) de o singura trasatura negativa a acesteia.

Un exemplu: un observator este mult mai probabil sa presupuna ca o persoana neatractiva fizic este mai putin morala decat una care il atrage fizic, chiar daca nu exista o corelatie intre frumusetea fizica si moralitate.

Bibliografie:
1. https://en.wikipedia.org/wiki/Horn_effect

Spotlight effect / Efectul sub lumina refletctoarelor

Este fenomenul in care tindem sa credem ca suntem remarcati mai mult decat suntem cu adevarat. Din cauza ca fiecare dintre noi suntem centrul propriei lumi tindem sa uitam ca nu suntem centrul lumii celorlalte persoane.

Aceasta tendinta este cu atat mai proeminenta cu cat facem un lucru atipic noua sau societatii in care traim. Exemplu .. in Romania .. daca ar fi sa umblu descult prin centrul orasului, as avea impresia ca TOATA lumea se HOLBEAZA la mine.

Bibliografie:
1. https://en.wikipedia.org/wiki/Spotlight_effect