- Apocalipsa dupa Nemessis
- Cand dorinta de afirmare depaseste granitele bunului simt – PaxNwo un leecher ordinar
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac?
- Experiment social II – andimoisescu.ro
- Pentru posteritate
- In curand…
- “Hot” de id-uri messenger
- Chiar ca sunteti retardati
- Ce nu se invata la scoala – Vendetta (6)
- Apocalipsa dupa Nemessis in (81 Visits)
- Ce servicii de mail folositi? in (27 Visits)
- This is the end in (23 Visits)
- Hackersblog.org is now blog.rstcenter.com in (17 Visits)
- Short news in (16 Visits)
- La multi ani România, la multi ani românilor in (15 Visits)
- Inca o pierdere de timp in (10 Visits)
- Azi este ziua userilor hackersblog.org in (10 Visits)
- Raportare vulnerabilitati in (8 Visits)
- Contact si vulns report in (7 Visits)
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac? in (229 Visits)
- Hi5.com coders read this in (28 Visits)
- SMS scam (1) in (21 Visits)
- Phishing Bancpost in (8 Visits)
- Dezinformare sau proasta informare? in (7 Visits)
- Si tentativele de phishing pot fi amuzante in (5 Visits)
- Phishing Raiffeisen cu atasament html in (4 Visits)
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta in (76 Visits)
- [Utilitare] Suna gratis de pe internet sau de pe iPhone in (41 Visits)
- Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d. in (30 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in (29 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (24 Visits)
- Virusi in clipuri video [how to] in (23 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (21 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (17 Visits)
- Yahoo! redirects - a big issue (with video) in (10 Visits)
- Ca musca in... in (9 Visits)
- usa.kaspersky.com hacked ... full database acces , sql injection in (123 Visits)
- Simpatie.ro, matrimoniale3x.ro, apetisant.ro, deliciu.ro , etc Sql injection in (72 Visits)
- Yahoo! epic fail - permanent xss unleashed in (69 Visits)
- Telegraph.co.uk hacked, sql injection in (52 Visits)
- RedTube.com ... The Free Sex Video Community in (42 Visits)
- Kaspersky Thailand hacked by TinKode in (37 Visits)
- Conquiztador Hacked Again in (32 Visits)
- Telegraph.co.uk hacked - when will they learn? in (29 Visits)
- F-Secure.com - SQL Injection + Cross Site Scripting in (27 Visits)
- In atentia BitDefender.com, SQL Injection in (26 Visits)
- Wannabe Hackers [2] - cum sa faci un virus by sppy_hacker in (24 Visits)
- Wannabe Hackers [1] - Cum sa hack-uiesti RapidShare-ul in (20 Visits)
- Digital Photocopiers Loaded With Secrets in (15 Visits)
- Hacker Uses XSS and Google Street View Data to Determine Physical Location in (12 Visits)
- OWASP Phishing demo in (7 Visits)
- Oldies but goodies - Freedom Downtime - The Story of Kevin Mitnick in (7 Visits)
- Hope 2603 – Kevin Mitnick - Life a Computer Hacker – Revealed in (6 Visits)
- Christopher "moot" Poole: The case for anonymity online in (6 Visits)
- Owasp5005 Part1 - New zero-day browser exploits - ClickJacking in (5 Visits)
- [Video] The History Of Hacking in (5 Visits)
- Se poate sparge parola de Yahoo? in (256 Visits)
- phpBB.ro hacked in (81 Visits)
- Cand dorinta de afirmare depaseste granitele bunului simt - PaxNwo un leecher ordinar in (47 Visits)
- Experiment social in (46 Visits)
- "Hot" de id-uri messenger in (39 Visits)
- Oare cum e pana la urma? in (39 Visits)
- Experiment social II - andimoisescu.ro in (37 Visits)
- Ce nu se invata la scoala – Vendetta (6) in (37 Visits)
- Concurs fara premii in (36 Visits)
- Forumul Andreei Balan spart in (32 Visits)
Posted on March 5th, 2009
Luam comentariul de aici. Nu il copiez pentru ca e mult prea lung. Acum sa ii mai explicam doua-trei chestii ca sa nu mai zica vreo duda la tvr.
Citez:
Si mai trebuie facuta o mentiune pentru toti cei care au postat din entuziasm si teribilism, cu un limbaj mai mult sau mai putin decent: fratilor, faceti si voi diferenta intre un individ capabil sa gaseasca vulnerabilitati noi (abonati-va la niste site-uri de specialitate si primiti pe email asa ceva ca sa intelegeti despre ce vorbesc: Security Focus este un prim pas) intr-un cod prin testarea intensiva si unul care foloseste Google si instrumente de tip NMAP, Metasploit Framework, BackTrack , Acunetix sau mai stiu eu care pentru a verifica niste site-uri/programe (care nu sunt ale lui) de vulnerabilitati CUNOSCUTE.
Google nu este instrument de hacking. Google este un motor de cautare. Google te ajuta sa gasesti informatii si linkuri mai rapid. NMAP, Metasploit (great tool), BackTrack, Acunetix, chiar nu se afla in lista noastra de preferinte. Prima lectie in hacking e sa stii sa faci treaba manual. Daca nu stii, stai ca prostul 1 saptamana pana cand minunatul tau scanner gaseste un amarat de bug.
Citez:
Primul face o treaba excelenta, ajutand la progres. El merita tot respectul nostru. Cati oameni din aceasta categorie cunoasteti? Cati dintre ei se lauda pe forumuri, blog-uri cu rezultatele muncii lor? Destul de putini, pentru ca nu asta e motivatia lor.
Este cumva o gluma? Toti “se lauda” pe forumuri si bloguri cu rezultatele muncii lor. La conferinte ce credeti ca se intampla? Ca se aduna toti si isi cer scuze plangand ca au dezvoltat un tool sau ca au gasit o vulnerabilitate? Aruncati un ochi peste linkurile externe recomandate de noi. Sunt oameni care tin speech-uri la fiecare conferinta de securitate din US si care ce credeti ca fac pe blogurile si forumurile lor? Va las sa aflati singur domnule Ionut.
Citez:
Semtex: cine te opreste sa te abonezi la un site de tipul SecurityFocus si sa primesti zilnic informatii legate de vulnerabilitati? Cine te opreste sa contactezi compania la care ai datele si sa ii intrebi daca stiu de vulnerabilitate si daca au remediat-o?
Daca sunt membru pe 100 de site-uri ar trebui sa ii contactez pe toti cand apare o vulnerabilitate noua? Asta ar insemna sa trimit zilnic cateva sute de mailuri. Bad example. Try again.
Citez:
Zeno: de ce esti atat de sigur ca daca cineva ar fi testat site-ul datele tale ar fi fost necompromise? Daca domnul X acceseaza site-ul respectiv (atentie, il acceseaza NU DESCOPERA EL VULNERABILITATEA IN PHPBB, acest lucru fiind facut de profesionisti, care sunt mult peste domnul X) si scoate de acolo informatiile, cine iti garanteaza ca ele nu sunt facute publice?
Unu, pentru ca despre el vorbim, este membru al RST. RST au gasit si raportat vulnerabilitati in diferite aplicatii web. Inclusiv pe securityfocus.com, site precizat si recomandat in comentariul domnului Ionut Balan. Noi, ceilalti membri ai hackersblog, am raportat de-a lungul timpului sub alte pseudonime vulnerabilitati in diferite aplicatii web si nu numai. Repet, aplicatii web, nu site-uri. Cand si daca va fi cazul o sa aflati mai multe detalii despre cine suntem si ce-am fost.
Daca unu ar scoate informatiile confidentiale de pe site s-ar vedea in loguri. Daca ar sterge logurile ar da de banuit, plus ca e considerata modificare in sistem ceea ce e ilegal si ne-etic. Deci ce garanteaza ca nu extrage informatiile? Faptul ca niciun admin nu s-a plans ca cineva a luat toata baza de date. Sau vreti sa-mi spuneti ca adminii nu au verificat logurile dupa ce le-a fost “spart” site-ul? Greu de crezut.
Profesionistii aia care descopera vulnerabilitatile sunt oamenii din cercurile noastre. Cel putin ultima oara cand am verificat, cam 90% din vulnerabilitatile in aplicatii web (si nu numai) erau raportate de diferite hacking groups, nu de angajatii companiilor de securitate. Si ca sa vezi, cu unii dintre acesti “profesionisti” am avut relatii de prietenie de cativa ani incoace. Suntem cool nu?
Sa va explic cum sta treaba. Un Gigel ca mine sparge un site. Observ ca acel site ruleaza pe un cms free sau pe baza de licenta. Verific si restul site-urilor care folosesc aceeasi versiune de cms sa vad daca au aceeasi vulnerabilitate. Daca intr-adevar este un bug comun il raportez la milw0rm, packetstorm, securityfocus etc. Publicarea vulnerabilitatii pe aceste site-uri se face intre 5 minute si cateva ore, in functie de cheful celor care le pun pe site, nu in functie de cine stie ce considerente etice. Asta inseamna ca daca sunt 100000 de site-uri ce folosesc acel cms, majoritatea vor fi exploatate de turmele de turci dornici de deface-uri. Cine a contribuit la distribuirea informatiilor ce au condus la aceste atacuri? Site-uri ca securityfocus.com, pe care ne bucuram extrem de mult ca l-ati dat ca exemplu pozitiv. Se pare ca pe ei nu i-a deranjat atat de mult ceea ce facem daca doreau sa afle mai multe detalii picante despre concurentii lor. Deci va multumim inca o data ca i-ati dat drept exemplu.
Mai exista si optiunea de a lua codul sursa al unui soft web si sa ma uit prin el. Daca stiu (la nivel mediu) limbaje ca php, asp etc., cat de “profesionist” trebuie sa fiu sa observ o ragalie de vulnerabilitate in sursa, vulnerabilitate care logic ca imi sare in ochi cand doar asta caut?
Din pacate mereu dovediti paralelism accentuat cand vine vorba de securitate si de raportarea vulnerabilitatilor. Sfatul nostru e sa va verificati sursele si sa va documentati mai bine inainte de a mai spune vreo perla. Pentru ca vom taxa aceste perle ori de cate ori vom avea ocazia.
Cat despre lege, ce sa mai spunem? Cati dintre noi considera ca toate legile sunt bune si mai ales ca ne apara interesele? Vorbim cumva despre aceleasi legi care nu ajuta la pedepsirea spammerilor? Sau despre cele care nu pedepsesc cu inchisoarea atacurile (d)dos? Probabil ca e vorba de acele legi care le-au dat italienilor un ajutor de nadejde.
Acestea fiind spuse voi incheia articolul prin a va felicita din partea intregii echipe pentru ca ati devenit tatic si va dorim sanatate atat dumneavoastra cat si familiei. Sa va traiasca fetita si sa va aduca numai bucurii in viata.
Numai bine.
March 5th, 2009 at 2:51 pm
In primul rand, multumesc frumos de urari
. Apreciez si sper ca sunt sincere 
.
In al doilea rand, faptul ca ai luat personal un post pur teoretic imi displace profund. Dar daca tot l-ai luat personal, accepta un lucru: ceea ce faci tu este infractiune conform legii (atunci cand extragi informatii la care nu ai acces!), si prin urmare esti pasibil de pedeapsa. Live with it!
Si hai sa gasim un loc comun sa discutam pe aceasta tema nu sa facem pinpong intre postari
. Si nu o lua ca pe un razboi personal, pentru ca nu e deloc asa. Punem la punct niste principii, si cand cadem de acord, le popularizam sa stie tot script kiddie-ul ce il asteapta daca da iama prin locuri unde nu are ce cauta.
Faptul ca nimeni nu iti spune ca esti pasibil de pedeapsa te face sa te simti bine? Si cand cineva iti spune ca esti, tu sari ca ars? Fi serios omule!
Foarte frumos ca aveti o echipa cu care sondati site-urile/aplicatiile web si cautati vulnerabilitati, postand apoi rezultatele muncii voastre. Poate unora li se pare corect ca un strain sa le intre in ograda si sa sape putin pe acolo motivand ca de fapt vrea sa ajute. Eu nu pot sa fiu de acord cu asta. Probabil de aceea unii doar ti-au multumit, altii nu au zis nimic iar altii (posibil) s-au adresat deja politiei si strang probe. Sunt consecinte ale actiunilor voastre pe care trebuie sa le acceptati daca, si subliniez DACA extrageti informatii la care in mod normal nu aveati acces.
Si inca ceva: o discutie de genul acesta, cu oameni care fac ceea ce faceti voi si care au un istoric in spate o sa fie benefica pentru toata lumea – voi ca stiti unde va aflati si restul lumii care afla la ce pericole se expun daca incalca anumite drepturi/proprietatea cuiva.
CHIP’n touch!
March 5th, 2009 at 3:04 pm
Ionut nu lua ceea ce am spus mai sus ca pe un razboi personal. Pur si simplu am accentuat faptul ca iti lipsesc niste notiuni de cultura generala in domeniul asta. O fac pentru ca tu ai expunere, gresesti cand faci unele afirmatii iar oamenii o iau de buna. Iar dezinformarea in domeniul asta poate fi extrem de periculoasa.
Cat despre partea legala, ne priveste pe noi personal. Am obosit sa tot discutam despre asta.
Desigur ca urarile au fost sincere. Am si eu o nepotica de care mi-e foarte drag si stiu ce bucurie simti cand ai un bebelus in casa.
Take care.
March 5th, 2009 at 3:08 pm
Ceea ce Ionut Balan nu s-a prins este diferenta dintre un cineva care vrea sa te ajute si cineva care iti sparge site-ul si nu zice nimic. Primul ti-a trimis mail si dupa vreo zi 2 s-a laudat si el. Al doilea este cel de care probabil nu aflii niciodata. El ti-a descarcat baza de date si a vandut-o. Probabil foloseste deja parolele de pe site sa intre la useri in emailuri si sa faca alte prostii. Aici e diferenta de intentie. Poti sa-i multumesti la cel care te-a anuntat fara fure datele. Cei mai multi nu o vor face
March 5th, 2009 at 3:19 pm
E perfect atunci si ma bucur ca am lamurit acest aspect. Multumesc inca o data pentru urari. Chiar le apreciez.
Conform unor comenturi venite pe site la noi am ramas cu senzatia ca s-a pornit un razboi (lucru cat se poate la moda zilele acestea, in Romania, pe internet). Atata vreme cat sunteti constienti de rezultatul actiunilor voastre, este foarte bine. Ma bucur.
Nu am pretentia sa obtin de la voi un raspuns clar de genul legal/ilegal pentru ca imi e foarte clar ca nu il veti oferi
. Faptul ca mergeti inainte cu ceea ce faceti ma face sa cred ca ati acceptat acest lucru.
Nu am apucat sa iti multumesc pentru ca ai binevoit sa ii raspunzi la intrebari colegei mele Corina. O fac acum. Din nou, apreciem faptul ca sunteti deschisi la discutii.
Faptul ca tu ai impresia ca mie imi lipsesc anumite notiuni dpdv securitate, folosind drept exemplu un reportaj TVR (trunchiat de altfel asa cum am mai spus) nu am cum sa contest si nici nu vreau sa fac acest lucru. Fiecare crede ce vrea. Aceastea sunt faptele si ma incrimineaza. Accept acest lucru si data viitoare voi controla mai bine ceea ce va fi publicat/transmis.
Referitor la anumite afirmatii pe care le consideri gresite, ele sunt din punctul tau de vedere, nu? Intotdeauna exista mai multe moduri de a privi un lucru si fiecare dintre noi este liber sa aleaga perspectiva. Cel mai bun exemplu este exact subiectul acestei discutii, nu?
Si sunt de acord cu un lucru: da, am expunere. Este motivul pentru care am decis sa intru in dialog cu voi. Iar dezinformarea este periculoasa pentru toata lumea. Repet, atunci cand gresesc imi asum raspunderea si fac in asa fel incat sa indrept lucrurile cat mai repede cu putinta.
March 5th, 2009 at 5:10 pm
Eu cred ca 2fingers vorbeste la general nu sa referit doar la acel reportaj dp TVR
March 5th, 2009 at 8:28 pm
2 Ionut Balan,
opaa… domnule Ionut doream sa va intreb, dar nu mai avea rost sa mai intru pe blogul tau, caci oricum esti un comunist…
Si daca imi permiteti: de ce v-a durut asa de mult cind v-am numit profesional(?) si ati postat pe blog:
“…Au fost cateva reaply-uri pe care nu le-am aprobat din cauza unui limbaj vulgar…”
Ce era vulgar in acel post? Sau prea tare te-a durut cind ti-am deschis putin ochii, si iti era prea frica sa nu te faci de ras?
Iti mai repet o data, publica asa un sondaj:
(*) Daca observi ca usa vecinului se poate descuia cu o simpla foarfece, ce faci?:
- chemi politia
- nu faci nimic
- il atentionezi pe vecin, aducindu-i dovezi
- intri in casa si furi tot
March 5th, 2009 at 9:20 pm
@Ionut Balan:
art 42/aliniatul 1 e destul de vag pentru inceput, e doar o generalizare. Nu este niciunde trasata o linie unde e access restrictionat si unde e permis. Acest tip de lege ar fi aplicata doar atacurilor gen cookie stealing, la sql injection nici o treaba nu are datorita faptului ca url-ul nu e restrictionat la parametrii normali. Daca rfc-ul HTTP imi zice ce caractere functioneaza de ce sa nu le pot folosii?
aliniatul 2 datorita explicatiei anterioare e nulificata. aliniatul 3 de asemenea e nulificat deoarece nu a fost luata nici o masura de securizare, un caz care ar intra in contradictie cu aliniatul 3 ar fi acela de a folosii encodari diferite pentru a trece de filtre (ex: la sql in cazul collation GBK, sau cu xss prin fortarea encodarii utf-7).
Iarasi de la articolul 43 pana la 47 nimic nu are legatura cu cele intamplate.
March 5th, 2009 at 9:22 pm
Hallooo! E un peace offer … nu mai aruncati cu rosii stricate ca nu are sens … omul poate sa aduca valoare adaugata la ce faceti voi aici.
March 6th, 2009 at 1:06 am
dblackshell incearca sa-i explici mai pe Romaneste
)) zii ca defapt acel url ESTE PUBLIC! asta daca stie macar care e diferenta intre public si privat
March 6th, 2009 at 11:10 am
B7ackAnge7z: posibil sa fi intrat in sistemul antispam comentariul tau si sters automat. Atentie insa: imi propui sa adaug chestionar!
dblackshell: uite ce spune un juristpe tema asta, domnul Bogdan Manolea.
“Actiunea (chiar daca se face doar din browser) este un “access fara drept”. Sintagma “fara drept” este definita la art 35 alin 2 si scopul de “a avertiza asupra problemelor de securitate” nu e una din ele. Sigur ca se poate argumenta ca nu e un access, cita vreme oricine poate sa puna “adresa in browser” si sa vada acelasi lucru. Dar din pacate nu chiar e asa – sintagma data de legea romana (ca si de conventia privind criminalitatea informatica de la Budapesta, de unde este copiata) este extrem de larga si vaga. Daca e sa luam efectiv textul legii, scopul este de protejare a oricarei parti a unui sistem informatic care nu este destinata accesului publicului. (nici macar nu se cere ca sa aiba niste masuri de securitate activate sau nu – vezi si alineatele urmatoare din art 42).
Ca atare, daca nu cumva accesul s-a facut absolut din gresala si se indeplinesc conditiile de intentie directa sau indirecta, atunci putem avea de a face cu o infractiune. ”
In cazul de fata, actiunea nu s-a facut din greseala
.
March 6th, 2009 at 3:01 pm
De dragul discutiei sa aducem in discutie o situatie ipotetica. Sunt curios care va fi raspunsul tau Ionut.
1. EU gasesc o vulnerabilitate de tip sql injection intr-un site mare.
2. Creez sintaxa de drop tables.
3. Introduc acea sintaxa intr-un iframe.
4. Injectez acel iframe pe un alt site.
5. TU accesezi pagina pe care se afla iframe-ul si vei executa comanda sql din browser-ul tau.
6. Ip-ul TAU este logat pe acel server. Requesturile de la ip-ul tau sunt logate si ele.
7. Referrer-ul se poate elimina folosindu-se chestii simple ca META refresh sau mici trucuri javascript. Deci accesarea linkului cu sintaxa respectiva va fi interpretata ca acces direct, nu ca provenind dintr-un iframe.
Din cate stiu eu intr-un proces se tine cont de toate posibilitatile si se iau in calcul toate posibilitatile tehnice. Cum ar putea dovedi un specialist ca ai accesat de bunavoie acel url, cand alte cateva sute de specialisti pot demonstra ca e posibil ca tu sa fi fost fortat sa faci acest lucru involuntar, folosindu-se impotriva ta anumite trucuri tehnice aflate la indemana oricui?
Deci cum va functiona justitia in acest caz?
O discutie asemanatoare se poate gasi pe blogul lui RSnake, facandu-se referire la legile americane privind accesarea paginilor ce contin pornografie cu minori. Link: http://ha.ckers.org/blog/20080320/click-a-link-go-to-jail/
March 6th, 2009 at 4:09 pm
@2fingers: In situatia asta ipotetica nu ai cum sa dovedesti ca cineva a accesat site-ul voluntar sau involuntar prin iframe.
Dar, nici nu trebuie sa dovedeasca chestia asta. Trebuie sa se uite la atacul initial, ala e singurul care conteaza. Ce se intampla dupa nu mai are nici o valoare pentru ca dupa ce publici ceva pe un site sunt o multime de oameni care aceseaza url-ul respectiv. Conteaza cine a gasit initial SQL injection-ul si dupa asta o sa se uite oamenii in loguri.
March 6th, 2009 at 4:15 pm
Si daca atacul initial a fost realizat cu 6 luni in urma? Multi nu pastreaza logurile atata timp, mai ales site-urile mari care au zeci, sute sau chiar mii de accesari pe secunda.
March 6th, 2009 at 4:29 pm
2figers: si eu sunt de aceiasi parere cu whatever. Conteaza atacul initial si de unde a venit el.
Imi este destul de greu sa cred ca un atacator va sta 6 luni cu o “bomba cu ceas” de tipul acesta numai ca sa scape. Stii si tu ca in cazurile unor atacuri ce vizeaza un numar mare de utilizatori, timpul este elementul critic: cat mai repede sa infectezi pe cat mai multi.
Dar daca totusi se intampla si nu mai exista log-uri care sa dovedeasca cine a facut atacul, atunci probabil, in teorie, vina este a posesorului site-ului. ca nu si la securizat cum trebuie, nu?
March 6th, 2009 at 4:47 pm
Da, daca a fost realizat cu 6 luni in urma atunci nu o sa se intample nimic pentru ca nu au cum sa-l prinda pe hacker.
Faza cu logurile e varza. Imi aduc aminte ca acum vreo 2 ani era un 0day de WordPress si nimeni nu-si dadea seama care era problema pentru ca era pe POST. Cum probabil multi dintre voi stiti, severele majore Apache, IIS nu logheaza POST data. Si nici nu este usor sa le faci sa logheze POST data. Asa ca daca gasesti o vulnerabilitate pe POST logurile sunt irelevante. Oricum, un hacker advarat nu sparge de pe IP-ul lui adevarat.
March 6th, 2009 at 4:54 pm
Nu era vorba de un atac menit sa infecteze cat mai multi. Era vorba de un atac targetat asupra unei singure persoane. Am uitat sa precizez asta. My mistake.
Sase luni era un exemplu. Din cate am observat de-a lungul timpului, in Romania cel putin, logurile site-urilor mari ori sunt disabled, ori sunt sterse in cateva saptamani, pentru a mai elibera serverul.
Cred ca as avea rabdare 1 luna de zile daca vreau sa bag la belele o persoana pe care am pica.
March 6th, 2009 at 5:29 pm
2 Ionut Balan,
SA fim seriosi! De fapt, sper sa fie asa, dar e prea mica probabilitatea(sa fi intrat in sistemul antispam)
Cit despre rs la intrebari, cred ca il stim cu totii…
Iar parerea mea, depspre acesti baieti, pur si simplu, fac totul PREA corect, deaceea sunt criticati si invidiati…
March 6th, 2009 at 11:01 pm
Deci, de ce vă bateţi capul cu tipul ăsta?! De ce îi daţi atâta importanţă?
Nu e clar că, dacă majoritatea ar gândi ca el, mulţi s-ar pomeni într-o bună zi cu contul bancar gol şi degetul în gură pentru că nimeni nu a făcut gălăgie cu privire la vulnerabilităţi ale unui sit al băncii la care aveau conturi dintr-alea şmechere cu posibilitate de efectuare de operaţii bancare online?
Chiar vă interesează ce spune o asemenea persoană? Eu îi recomand să se întoarcă la ce ştie mai bine: să dea clicuri prin aplicaţii şi să ne spună cum a fost, sau ce face el pe la CHIP. Şi să lase chestiile filozofice pentru filozofi, iar chestiile tehnice pentru cei care sunt implicaţi în aşa ceva.
March 7th, 2009 at 3:08 am
Nea Ionut, cauta-ti altceva mai bun de facut decat ceea ce INCERCI acum, ca esti pe dinafara total. Nu intereseaza pe nimeni ce scrie in articolele alea, daca chiar vrei sa stii nu’s multi care chiar citesc prostiile alea, ba din contra abia poti sa`i numeri pe degetele de la o mana, sa nu mai vrb de aplicarea legilor in rRomania. De la vorba pana la fapta e distanta mare, mai ales cand vine vorba de politie, a scuza-ma aia nici un mouse nu stiu sa tina in mana si tu scoti perle din filme SF, daca chiar era ceva ilegal atunci nu mai existau site-urile alea de full disclosure din 93-94 si pana in 2009, SI NU VRB DE ROMANIA.
Cauta-ti te rog eu frumos ceva mai bun de facut, ca mai mult te faci de kko cu incercarile astea rasuflate, nu mai incerca sa pari ceea ce nu esti. sal
March 7th, 2009 at 4:26 pm
@Ionut Balan:
cum mai citisem si in acel aricol al vostru, intr-un comentariu, cat timp cei ce imi tin datele personale nu sunt luati la raspundere, cine e?
Cat timp nu stiti cum sta treaba cu cele 2 tabere “whitehat” si “blackhat” mai bine nu ati da cu legea peste n si x.
Cum zicea 2fingers in legatura cu iframe an co, un om poate chiar sa faca ca atacul sa-l execute chiar si google, dar acestea sunt doar detalii tehnice…
March 10th, 2009 at 8:27 pm
Analogia corecta este :
Vecinul tau are o fereastra deasupra careia scrie pe aici puteti privi in casa mea(URL).
Tu mergi si te uiti in casa prin ACEA FEREASTRA si UITANDU-TE mai atent vezi o foaie pe care scrie codul de acces al sistemului de alarma(parole, informatii sensibile).
Scuzati caps lockul ce urmeaza :
SITEURILE BAZATE PE MYSQL SAU ORICE ALT TIP DE BAZE DE DATE ITI OFERA ORICAND POSIBILITATEA SA INTEROGHEZI ACESTE BAZE DE DATE PENTRU CONTENTUL PE CARE IL AFISEAZA EI.
PROBLEMA ESTE A LOR CA NU LIMITEAZA RAZA VIZUALA PENTRU VIZITATOR. NU A VIZITATORULUI. CUM POATE ION SA IL DEA PE GHEORGE IN JUDECATA CA I’A VAZUT CODUL DE ACCESS DACA EL L’A INVITAT SA SE UITE IN CASA ?
NU ASTA FAC SITEURILE ? TE INVITA SA TE UITI IN BAZA LOR DE DATE CA SA CITESTI CONTENT. DACA EI ISI TIN DATELE PRIVATE LA VEDERE NU ESTE PROBLEMA NIMANUI DECAT A LOR SI FAPTUL CA NOI II ANUNTAM NU POATE FI VAZUT DECAT CA UN GEST DE AJUTOR.
DOMNUL IONUT,
traind in romania(banuiesc ca nu locuiesti pe Marte) stii bine ca legislatia romana este prost conceputa si mai prost aplicata.
Daca tu imi poti contrazice argumentele de mai sus te rog frumos sa o faci dar intr’un mod pertinent si profesional altfel nu vei face decat sa dai dovada de lipsa de profesionalism in continuare ceea ce denota persistenta ceea ce e un lucru bun … not.
April 11th, 2009 at 3:49 pm
[...] lor de dreptate. Printre aceştia se numără şi redactorul revistei Chip, Ionut Balan, care şi-a exprimat public în dese rânduri că ceea ce fac băieţii este ilegal. Ieri citeam un articol pe blogul revistei [...]
October 17th, 2009 at 4:33 pm
mai vino seara pe la noi… Ionele!!!! draga….
October 18th, 2009 at 6:58 am
mda…Ionica draga, tu nu iei in considerare un lucru!!! Daca nu erau oameni ca aceste persoane si citez din propiile tale afirmatii “sa le intre in ograda si sa sape putin pe acolo” nu se mai ajungea la standartul securitatii de azi!! ASTA SE NUMESTE DEZVOLTARE!!! Adica daca tu faci un website cu bug-uri si nu isi dau seama altii, tot la stadiul de inceput al www-lui ramineai. Dar uite ca se mai intimpla(din fericire) ca altii sa aiba o viziune mult mai buna si mai precisa…dinamica…(Ionele poti sa o iei cum vrei tu) pentru a “le intra in ograda si sa sape putin pe acolo” si asta doar pentru a atrage atentii asupra pericolului, iar asta nu face decit sa dezvolte si sa securizeze acest world wide web in timp, si in plus ca sa nu poti spune ca sint rau intentionat, asta denota cita “pricepere” are acea persoana care a creat un site!! Asa ca nu mai fi tu asa de “rau” in declaratii care oricum sint eronate, si stai in banca ta…cind vei ajunge sa faci ceea ce fac baietii astia, e cale lunga…mai ai de facut mamaliga….si unde mai pui ca mai trebuie sa si invirti in ea…ehe..drum lung. Faza asta cu mamaliga este doar un exemplu care te face sa intelegi ca a face mamaliga (un site) e foarte usor, dar ca sa mesteci in ea (sa nu aibe bug-uri) e greu!!! dar e un lucru pe care nu il intelegi si nici nu o sa il intelegi. Cit despre lege..pai ce lege e buna in tara asta? vii cu fantasme despre legi acuma…nu uita ca nu vb. cu niste idioti..baietii astia sint buni asa ca nu poti veni cu mamaliga la ei…intelegi? Deci tu imi spui mie ca daca tu ai un site plin cu bug-uri si baietii astia vin si descopera una sau mai multe vulnerabilitati si te anunta despre aceasta…ei ar trebui sa faca puscarie trebuiesc condamnati ca dece au facut asa? Pai na..nu prea cred eu ca, chiar ai trait intr-o grota fara fund… insa tine minte ca daca acesti baieti nu iti dadeau tema pentru acasa cum sa faci sa nu mai ai bug-ul respectiv pe site….ramineai pe undeva prin anii 1990 ca stadiu al site-ului..si nu numai!!