Loading....
Loading....

    De reţinut

    Posted by 2fingers in 127.0.0.1 news | English News

    Posted on December 12th, 2008

    Am apărut, am anunţat, am arătat, am dovedit, am ajutat. Acum domnii care nu înţeleg scopul acestui blog trebuie să citească şi să bage la cap. Din fericire pentru viitorul contentului nostru şi din păcate pentru vizitatorii de rând, ştiu că celor cărora li se adresează articolul le va intra totul pe o ureche si le va ieşi pe cealaltă.

    De câţiva ani pe internet se practică metoda full-disclosure. Capetele mici din România ce afirmă că acest lucru face parte din metodele blackhat şi este ilegal trebuie să priceapă că este o tactică folosită chiar şi de expertii în securitate recunoscuţi pe plan mondial. Buuun. Să explic unde începe şi unde se termină etica?

    1. Se găseşte problema – etic

    2. Se anunţă problema la vendor – etic

    3. Se aşteaptă câteva zile pentru a se rezolva problema – etic

    4. Se face full disclosure imediat după raportarea vulnerabilităţii către vendor – tot etic

    5. Se face full disclosure fără a se anunţa problema la vendor – etic, dar preferăm să nu folosim această metodă. Au fost excepţii pe care dorim să le catalogăm drept greşeli şi ne cerem scuze pentru asta.

    6. Se provoacă daune “fizice” serviciului afectat – nu-i etic

    7.  Se vând, dau, folosesc informaţii confidenţiale din serviciul afectat – nu-i etic

    Câţi dintre cei care şi-au regăsit site-urile aici au avut parte de un tratament ce le-a afectat bunul mers al site-ului? A facut cineva deface? A şters unul dintre noi ceva de pe server? Şi-a regăsit cineva aici bazele de date sau cms-urile? Raspunsul este NU.

    Acum trecem la partea de comentarii “drăgăstoase” la adresa noastră.

    Vine Gică Pardalian de pe hackersblog.org şi îţi găseşte o dudă în site-ul tău de ‘nşpe mii de euroi. Tu ca mare patron ce eşti sau poate developer ce a comis-o grav îţi simţi orgoliul călcat în picioare şi începi să te dai mare cu toate cunoştinţele tale excepţionale. Arunci cu vorbe şi injurii în cel care a avut etică şi bunul simţ de a te anunţa ca ai belele. Buuun. Ce crezi că rezolvi? Crezi că aici se organizează un concurs de popularitate cumva? Crezi că dacă încerci să dovedeşti că eşti mai bun va face greşeala să dispară? Tu eşti cel care a comis-o şi ai pus integritatea vizitatorilor în pericol iar noi am tras un semnal de alarmă asupra acestui fapt. Deci ai o bilă neagră pentru scripturile de cacao pe care le-ai pus pe site şi încă o bilă neagră pentru că te ţigăneşti pe greşeala ta. Cine este mai bun chiar nu contează pentru utilizatorii afectaţi iar pe noi ne doare fix în pix de cârcoteala ieftină ce apare din când în când în comentariile unora cu orgoliul lezat.

    O altă categorie pe care am întâlnit-o este cea a “cunoscătorilor”. Ei vin şi se bat cu pumnii în piept că ştiu mai multe decât noi. Aşa şi? Nu-ţi place cum procedăm? Fă-o tu mai bine. Nu îţi place că existăm? Cui crezi că îi pasă? Nu am zis niciodată că suntem cei mai buni dar categoria ”cunoscătorilor” încearcă să ne pună vorbele lor în gură. Se aplică şi în cazul lor, desigur, durerea noastră fix în pix.

    Am făcut cu toţii o greşeală majoră pe care o să o evităm de azi înainte. Nu vom mai raspunde în doi peri injuriilor şi apropourilor ieftine venite din partea diferitelor persoane prea frustrate. Nu e profesionist şi noi chiar vrem sa fim mai profesionişti decât cei care găsesc aici un mod de a-şi refula frustrarea celui ce acordă un serviciu de doi lei făcut praf din 2 comenzi date prin intermediul browserului. De azi înainte vom da ban direct oricărei persoane doritoare de scandal sau care s-a trezit peste noapte cu gândul că falsificăm pozele. Stau şi mă crucesc când văd atâţia incompetenţi ce fac afirmaţii fară să aibă idee măcar ce e calc.exe.

    Suntem la sfârşitul anului 2008. Treziţi-vă la realitate şi începeţi să mai aflaţi şi voi cu ce se mănâncă etica în securitatea IT. Noi suntem 2.0 dar voi aţi rămas comuniştii ce cred că prin ameninţări şi mahalagisme pot închide gura celor care îi arată pe bună dreptate cu degetul.

    Nu aşteptăm mulţumiri, nu cerem să ne răspundeţi la mailuri sau la articole, nu am cerut şi nu vom cere vreodată foloase materiale din partea nimănui. Deci care este problema voastră? E greu să rezolvaţi problemele şi să îi mulţumiţi lui D-zeu că bazele voastre de date şi scripturile nu au ajuns pe site-urile de warez?

    Site-uri unde se face full disclosure:

    http://www.securityfocus.com

    http://xssed.com

    http://sla.ckers.org

    http://ha.ckers.org

    http://milw0rm.com

    http://web.nvd.nist.gov (ca să vezi)

    Şi multe altele căutând pe Google

    Aşa că acest lung articol se va termina cu mesajul:

    Nu plecăm nicăieri. Rămânem în continuare aici pentru a le arăta oamenilor că siguranţa datelor lor personale depinde de multe ori de cei ai căror useri sunt. Dacă nu mai suntem noi ne va lua cineva locul cu siguranţă pentru că internetul reprezintă o formă a democraţiei si a cuvântului liber. A încerca să restricţionaţi astfel de informaţii vă vor aduce o reputaţie şi mai proastă în lumea REALĂ a internetului.

    Consideraţi că aţi primit o lecţie de etică pe internet.

    Random Posts

    19 Responses to “De reţinut”

    1. Matei O. Says:
      December 12th, 2008 at 8:17 am

      Clar !

    2. Matei O. Says:
      December 12th, 2008 at 8:22 am

      PS : E Romania ma. Tre sa te obisnuiesti. Aici orice cocalar e “hecăr” sau mai stiu eu ce. Incepe si modifica haifaivurile la p*****e proaste care n-au ceva mai bun de facut decat sa dea add pe haifaiv. Ma rog … :-j. La cat mai multe posturi ! :)

    3. PCNews Says:
      December 12th, 2008 at 11:28 am

      Felicitari pentru ceea ce faceti!

    4. Gabi Says:
      December 12th, 2008 at 12:27 pm

      Felicitari pentru blog. Keep it up!

    5. m4nt13 Says:
      December 12th, 2008 at 12:29 pm

      :) Verificati si http://www.arhivelenationale.ro

      au baietii aia niste chestii prin plesk de-mi vine sa-i iau la bataie pe cei care gazduiesc site-ul. Si nu numai….

    6. 2fingers Says:
      December 12th, 2008 at 2:12 pm

      http://hackersblog.org/2008/11/27/sql-injection-in-arhivele-nationale-ale-romaniei/

    7. m4nt13 Says:
      December 12th, 2008 at 2:58 pm

      :) ai dreptate. greseala mea. oricum, au rezolvat ei cateva probleme,dar nu toate.
      Pentru servici am o licenta de
      IBM Rational AppScan. Ofera cateva informatii interesante despre site-ul de mai sus… La fel si metasploit.

    8. m4nt13 Says:
      December 12th, 2008 at 3:01 pm

      apropo, de curiozitate, ai mai intrat pe link-ul pe care l-ai dat ca exemplu in postul despre arhivele nationale?

      Nu s-au invatat minte!

    9. Shocker Says:
      December 12th, 2008 at 3:54 pm

      Le-am trimis si acum un email in speranta ca o sa rezolve odata problema.

    10. crow Says:
      December 13th, 2008 at 12:19 am

      Eu am mai scris de aceste fenomene de cateva ori. Asta e tipul cel mai dragut de oameni. Cei care vad ca au gresit dar sunt orbiti de orgoliu. In loc sa multumeasca sau in cel mai rau caz sa ceara ajutorul, ei NU. Prefera sa injure, sa ameninte, sa se mascareasca cum au facut cei de la pirce.ro cu gagiul ala nevinovat. Sincer acum, cat de prost sa fii sa te certi cu cineva care tocmai ti-a arata o gaura in securitatea siteului ? Pana una alta ar fi cazul macar in ultimul ceas sa inceapa a se face diferenta intre un hacker si un cracker. Metodele folosite de voi sunt white in primul rand , apoi nu modificati contentul sau doamne fereste drop in db…
      btw, de crow cand aveti timp ?

    11. crow Says:
      December 13th, 2008 at 12:22 am

      Acum cativa ani publicam pe http://www.zone-h.org/component/option,com_attacks/Itemid,43/filter_defacer,AmaruL
      si nu se mai supara nimeni . Acum sar ca pop cornul in sus.

    12. Razvan Says:
      December 13th, 2008 at 9:05 pm

      Salut,

      Nu sunt din categoria “cunoscatorilor” si nici nu incerc sa iti dau sfaturi dar as vrea sa imi exprim parerea referitoare la full-disclosure, plecand de la punctul urmator:

      “7. Se vând, dau, folosesc informaţii confidenţiale din serviciul afectat – nu-i etic”

      (“dau” = publicarea lor pe blog, “folosesc” = publicarea lor pe blog)

      In momentul in care se publica anumite date, precum numere de telefon, adrese email, etc. acestea pot fi folosite abuziv de catre alte persoane (specificai ca nu au ajuns pe site-urile de warez – eu as zice “inca”), si poate ca in baza de date in care au fost stocate (desi sunt vulnerabile) au fost inregistrate ca date confidentiale.

      Revenind la informatiile publicate, presupun ca timpul acordat celor care se ocupa de acele sisteme sa fie unul mai acceptabil si un full-disclosure sa nu se faca imediat sau chiar deloc (de exemplu, la post-ul cu “vremea in direct”, numerele de telefon au fost cenzurate dar adresele de email nu – nu stiu pe baza caror criterii dar consider ca ambele sunt informatii private si nu ar trebui publiate decat cu acordul celor ale cui apartin).

      Am vrut sa imi exprim parerea despre modul cum sunt publicate datele de care faceti rost, fara a fi bagat in categoria celor care va reproseaza sau sunt “cunoscatori”.

      Numai bine si keep up the good work. Felicitari!

      Razvan

    13. 2fingers Says:
      December 13th, 2008 at 9:25 pm

      Prin “dau” si “folosesc” trebuie sa se inteleaga urmatorul exemplu (infantil dar simplu de inteles):

      - ba vreau si eu o lista de mailuri valide pentru spam
      - stai ca iti dau acum

      Noi nu salvam bazele de date sau fisierele de pe servere. Daca cei care citesc acest blog o fac totusi, deja nu mai este treaba noastra iar proprietarii site-urilor pot sa lua masurile legale de rigoare impotriva acestora.

      Cenzurarea apartine autorilor in functie de ce considera ei ca trebuie cenzurat. Daca ni se cere sa cenzuram anumite elemente (vezi articolul realitatea.net) o vom face, dar nu vom inlatura posturile in intregime. Greselile trebuiesc vazute de oameni, acesta fiind rolul acestui blog.

      Suntem adeptii full-disclosure si asa va ramane stilul nostru. Am primit feedback-uri pozitive si negative in acelasi timp, dar din reactiile oamenilor se poate observa ca toti sunt de parere ca intr-adevar full-disclosure este cea mai buna modalitate de a forta patchuirea gaurilor de securitate ce afecteaza nu doar proprietarii domeniilor ci si utilizatorii.

      Multumim pentru ca ti-ai exprimat parerea intr-un mod pertinent si pentru incurajare.

      O zi buna.

    14. unu Says:
      December 15th, 2008 at 9:56 am

      prea mult tam-tam pentru full-disclosure. Din moment ce nu se publica link-ul vulnerabil sau sintaxa, chiar si pozele sunt blurate la acest capitol, n-au nicio valoare pentru acele site-uri de warez. Cat despre 3-4 adrese de email vizibile in poze, pe google, cu o simpla cautare gasesti milioane.

    15. yo Says:
      December 28th, 2008 at 9:47 pm

      cacat,din moment ce faci publica o vulnerabilitatea,orcare ar fi ea(sql,rfi sau chiar xss)cu sintaxa sau fara e acelasi lucru…pentru ca o poate descoperii oricine.
      sincer imi e destul sa spui ca: http://www.acelsite.com e vulnerabil la X. si mai departe ma descurc singur.
      La urma urmei orice “prost” sau “cunoscator” cum va place voua sa va alintati,stie sa foloseasca un scanner. :>

    16. gelut Says:
      January 26th, 2009 at 12:46 am

      Buna treaba este prima oara cand intru la voi pe blog , cred.. si mi se pare destul de ok pt ca spuneti omului ce belele are

    17. HackersBlog » Blog Archive » Inca o pierdere de timp Says:
      February 3rd, 2009 at 5:32 pm

      [...] in (95 Visits)Ce servicii de mail folositi? in (90 Visits)De tinut minte in (84 Visits)De reţinut in (35 Visits)2009 in (30 Visits)Editori noi. in (22 Visits)Twitter in (10 Visits)Ne jucam cu [...]

    18. aerosoul Says:
      February 4th, 2009 at 1:06 pm

      Mi se pare corect.

    19. Claudel Says:
      February 5th, 2009 at 5:24 am

      care ar fi lectia?:|

    Leave a Reply