Si in hacking ca si in orice alt domeniu exista dorinta de a iesi in fata cu orice pret, de a fi considerat cel mai bun si de a avea un nume care inspira respect. Dar totusi cand in aceeasi echipa sau in echipele ce au colaborat de-a lungul timpului se petrec anumite lucruri atunci situatia devine de tot rahatul.

Subiectul micutei noastre povestiri este legat de Yahoo! Open Hack si un fost amic de pe RST ce a considerat ca a face leech la ceva la care nu a contribuit absolut deloc este scuzabil cand vine vorba despre a capta atentia publicului.

In anul 2008 am postat pe forumul public RST un xss in serviciul pipes.yahoo.com. Toate bune si frumoase pana cand un dobitoc s-a gasit un an mai tarziu sa faca un xss worm din vulnerabilitatea postata de mine. Am discutat la acea vreme despre acest lucru chiar pe acest blog (articolul il puteti gasi aici). Desigur ca cei de la Yahoo au luat masuri si au sanitizat acel parametru vulnerabil, xss-ul in acea varianta disparand complet.

Anul trecut am gasit din nou aceeasi vulnerabilitate in acelasi serviciu singura diferenta fiind campul vulnerabil in care se puteau introduce javascript si iframes si posibilitatea de a exploata toate browserele cu exceptia IE6 si Opera din cate imi amintesc. De aceasta data am pastrat linistea in privinta xss-ului, singurii care stiau ca undeva acolo in pipes.yahoo.com exista vulnerabilitatea fiind doar cativa oameni pe care ii pot numara pe degetele unei singure maini. Cativa dintre ei m-au intrebat de-a lungul timpului cum se poate exploata vulnerabilitatea si le-am dat doar cateva indicatii despre locatia xss-ului. Nimeni nu a reusit sa ii dea de cap, nu neaparat pentru ca nu stiau cum ci probabil pentru ca le era lene sa isi bata capul 30 minute ca sa reuseasca.

In urma cu 4-5 luni am inceput sa folosesc xss-ul pentru monetizarea online intr-un mod diferit de varianta arhicunoscuta “fura-i cookie, sparge-i mailul”. In fine, acel xss imi aducea o anumita suma de bani periodic din ceea ce faceam cu el si in timp castigurile s-ar fi triplat. Pana a venit… PaxNwo.

Paxica era in criza de xss-uri dupa ce a vandut ani de zile pe pretul unei gume de mestecat tot ce a avut, lucru care de altfel a dus la interzicerea definitiva a tranzactiilor cu xss-uri pe forumul RST. Ma abordeaza intr-o seara pe messenger si imi cere sa ii dau si lui xss-ul gasit de mine pentru ca avea mare nevoie si nu mai avea nimic care sa functioneze. I-am explicat ca acel xss reprezinta o sursa de venit pentru mine si nu ii dau asa ceva unuia care vinde xss-ul cu 50 euro la 10 persoane si intr-o saptamana e patchuit. Dupa multe insistente si fraze siropoase de genul “asa faceti voi ca nu imi dati nimic si mie si eu va ajut de fiecare data” i-am explicat unde e xss-ul si cum sa il exploateze cu conditia de a nu il face public, de a nu il vinde si de a nu il folosi la scara larga in caz contrar eu putand sa-l expulzez definitiv din comunitatea RST. Dupa cateva zile un prieten imi spune ca Pax voia sa-i vanda unei cunostinte un xss in Yahoo cu 400 lei. Pax nu a recunoscut si persoana respectiva nu a mai cumparat nimic de la el din cate stiu asa ca nu mi-am mai batut capul cu asta.

S-a organizat Yahoo! Open Hack in Romania si PaxNwo s-a gandit sa isi faca putina reclama in “lumea buna”. Cum? A facut o prezentare a unui xss worm in serviciile Yahoo, cea mai retardata idee de prezentare la o astfel de conferinta care are scopul de a permite developerilor sa isi expuna aplicatiile, adica hackingul in adevarata lui natura asa cum a fost definit de la inceput nu cel folosit pentru a sparge site-uri, aplicatii etc. Ce xss a fost folosit? Cel din Yahoo! Pipes pe care eu i l-am dat cu conditia de a nu il face public. Unde l-a facut public? In fata celor de la Yahoo!. Credite, o duda, o vorba macar despre sursa de la care a aflat despre xss? Nici vorba. L-a gasit el in 10 minute cand luase o pauza de o tigara, dupa cum se lauda in prezentare. Asa ca xss-ul a fost patchuit definitiv, Pax s-a simtit vedeta pentru scurt timp iar eu va trebui sa stau sa pierd timpul ca sa gasesc altceva de care sa ma folosesc.

Nu imi pare rau ca i-am dat xss-ul. Nu imi pare rau ca a fost facut public si patchuit chiar daca pana gasesc ceva nou bugetul meu scade cu 600 euro pe luna. Imi pare rau ca cineva cu potential a facut cel mai jegos romanesc lucru posibil: se foloseste cu munca altuia pentru a impresiona si nu se gandeste la consecinte.

Asa ca domnul PaxNwo va fi eliminat din comunitatea RST si va primi vesnicul si sfantul ignore, iar daca are o mica doza de bun simt macar nici nu va indrazni sa comenteze. Pentru ca PaxNwo e leecher, PaxNwo s-a laudat cu descoperirile altuia, PaxNwo a prezentat ceva facut de o gramada de ori pana acum si PaxNwo a incalcat cea mai importanta regula din comunitatile de hacking si anume Do Not Leech.

Ii sfatuiesc pe toti membrii comunitatilor din care face parte sa nu ii mai acorde atentie pentru ca el vinde tot ce prinde fara sa ii pese ca nu e munca lui. Cand spun asta credeti-ma ca o spun din ceea ce am auzit de la apropiatii care au avut de-a face cu el.

Concluzia finala: Prezentarea facuta de PaxNwo la Yahoo! Open Hack s-a bazat pe descoperirile facute de altii si munca lui este egala cu zero, totul fiind o lauda ordinara a unui om fara principii. Feriti-va de muritorii de foame ce se bucura la 100 lei. Sigur va vor trage teapa si pentru un colt de paine aruncat in sila de cineva.

Random Posts

• February 26, 2009 -- Sql injection in Tribal Wars/Triburile.ro
• March 9, 2009 -- “unu” superhero :))
• January 29, 2009 -- Ce nu se invata la scoala – Tipuri si tehnici spam (1)
• February 4, 2009 -- Un nou membru
• April 17, 2010 -- Spionaj industrial si in cadrul firmelor de hosting romanesti