United
- Yahoo! again - XSS in Uncategorized (357 Visits)
- Yahoo! again - bad settings? in Uncategorized (252 Visits)
- Fanii nostri in Uncategorized (183 Visits)
- Frustrant in Uncategorized (146 Visits)
- La multi ani România, la multi ani românilor in Uncategorized (137 Visits)
- Weblog.ro - Shell via Local File Inclusion in Uncategorized (119 Visits)
- Yahoo! epic fail - permanent xss unleashed in Uncategorized (50 Visits)
- ... in Uncategorized (38 Visits)
- XSS Ownage - hi5 vs. Yahoo! + video in Uncategorized (2 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in Uncategorized (2 Visits)
- Ce servicii de mail folositi? in (121 Visits)
- Azi este ziua userilor hackersblog.org in (120 Visits)
- De reţinut in (117 Visits)
- Inca o pierdere de timp in (107 Visits)
- De tinut minte in (106 Visits)
- Twitter in (78 Visits)
- Un nou membru in (74 Visits)
- Interviu la Radio Lynx in (70 Visits)
- 2009 in (51 Visits)
- Editori noi. in (35 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (199 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (139 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (104 Visits)
Posted on February 3rd, 2009
Am mai explicat aici scopul nostru. Unii au inteles ideea, altii nu au ajuns sa citeasca deloc si desigur ca o parte au inteles anapoda sau nimic.
Mai explic inca o data pentru cei care nu au apucat sa citeasca respectivul articol. Asta e, oricum ma plictisesc la munca.
Lumea i-a sarit in cap lui zoso pentru ca promoveaza hackingul. Victime colaterale, ajutor acordat spammerilor, lipsa de profesionalism, script kiddies. Cuvinte grele auzite des in ultima vreme. Pe cine credeti ca afecteaza? Pe noi in niciun caz.
Mi-e greu sa repet acest lucru de fiecare data dar iata ca o voi face. Full disclosure e o metoda aplicata in intreaga lume de toti expertii in securitate. Da, aia care va pun la dispozitie programe de protectie, add-on-uri anti-xss & other shitz. Ii arata cineva cu degetul? Nu. De ce? Pentru ca oamenii din afara nu sunt atat de obtuzi incat sa nu faca diferenta intre full disclosure si “show off“.
Revenim. Ionut Oprea ne vorbeste despre victime colaterale. Victimele despre care vorbesti tu dragul meu Ionut sunt afectate de ani buni deoarece vulnerabilitatile erau mentinute la nivel privat. Bazele de date se vindeau pe rupte si spamul e in floare de cand lumea si pamantul.
Ionut. Cu tot respectul si fara intentia de a te ofensa, iti spun urmatoarele: pune mana si acceseaza site-urile de securitate din afara. Cele consacrate. O sa vezi o rata uriasa de full disclosure inainte de a fi anuntat vendor-ul. Asa din greseala o sa dai peste vreo 2 site-uri guvernamentale din US care fac EXACT acelasi lucru. Tot ce publica ei trece din faza 0day la public disclosure instant si sunt afectate mii de site-uri, nu doar unul singur. Cine se plange ca guvernul SUA face asta? Nimeni. Si asta intr-o tara in care hackingul te baga la inchisoare pentru zeci de ani de zile.
CTI97 ne spune pseudo hackeri si ne aduce aminte ca ne-a dovedit el odata pe blogul lui zoso. Sincer nici nu stiam de existenta ta pana acum iar in privinta cuvantului hacker ce sa zic… e doar inclus in numele domeniului pentru a fi mai usor de tinut minte. Nu mai avem varsta la care sa credem in filme cu Angelina Jolie. Totusi ma intreb, tu cu ce ai schimbat internetul din Romania? Sau macar ai incercat sa o faci? Ai idee cum? In fine, nu conteaza. Esti blogger vechi si trebuie sa ai dreptate. NOT!
In privinta bazelor de date stati linistiti. Nimeni nu le pune deoparte iar cand e vorba de site-uri cu extrem de multi useri cum a fost cazul ejobs se asteapta rezolvarea situatiei. Acum ganditi si voi putin. Il anuntam pe admin ca i se poate accesa baza de date iar apoi spamam userii lui? Nu ar bate la ochi? Off, Doamne. Desigur ca vulnerabilitatile primite de la cititori nu pot fi controlate in totalitate. Probabil ajung la noi la mana a 3-a si nu stim ce au facut inainte cu ele. Dar ne facem datoria si le raportam.
Metodele de spam mai private pe care le-am prezentat aici atrag la randul lor nemultumiri. Totusi ele sunt folosite de ceva timp intr-un cerc foarte restrans de oameni. Preferati sa nu stiti cum isi umfla unii statisticile? Cand o metoda privata e dezvaluita oamenii ca zoso taxeaza firmele ce castiga bani din spam. E rau ca face asta? Eu zic ca nu. Credeti ca astea sunt adevarate 0day? Sa vedeti ce urmeaza.
Sunt curios cati dintre voi realizeaza ca nu promovam hackingul si spamul. In clipa in care o vulnerabilitate e raportata de noi se si patchuieste. Si desigur asta inseamna ca cei care au profitat (probabil) de ea pana acum au ramas fara sursa de mailuri sau, de ce nu, fara cartile de credit ale “victimelor colaterale”.
Uitati-va la articole si vedeti cate sunt trimise de catre useri. Cativa pana nu de mult spargeau, vindeau sau stricau. Acum ne raporteaza noua si in 2 zile problema e rezolvata. Stiti de ce? Pentru ca nimeni in tara noastra plina de oameni obtuzi nu s-a gandit ca unii oameni vor doar sa fie creditati pentru ce descopera. Atat. Sau preferati ca in loc sa ne raporteze noua vulnerabilitatile sa extraga toate informatiile si sa le vanda pe cateva sute de euro? Sau sa faca deface la site-uri?
“Astia stiu doar sql injection”. Nu, “astia” stiu mai multe dar se mentin in limitele legale. Iar “astia” sunt mai multi decat vedeti pe blog, fiecare cu diferite cunostinte fata de ceilalti, dar posteaza doar cativa dintre ei in numele tuturor.
Partea legala. Nu mai fiti “ingrijorati” in privinta asta. Daca apare o problema cu justitia o sa ne afecteze pe noi nu si pe voi. Nu suntem atat de idioti incat sa fie nevoie de articole si comentarii in care ni se atrage atentia asupra acestui aspect.
In fine, suntem nedormiti de 24 ore, avem de munca si trebuie sa ne apucam de treaba. Script kiddies sau nu uite ca ne facem treaba in putinul timp liber pe care il avem. Si uite ca se iau masuri. Macar noi promovam etica si am reusit sa primim ajutor de la cei pe care ii injurati cand va fac deface la site-uri. Cand or sa reuseasca si altii sa converteasca oamenii care pana de curand distrugeau tot ce intalneau in cale, atunci sa ne aratati cu degetul.
Multumim pentru feedback-uri, atat pentru cele negative cat si pentru cele pozitive. Noi ne-am spus punctul de vedere, voi la fel. Internetul reprezinta dreptul la opinie si respectam asta.
Have fun.
P.S. – urmeaza facebook.com si Yahoo!. Hai unu-le cu articolele ca se “plicti” lumea.
February 3rd, 2009 at 6:06 pm
Lăsați lumea să vorbească.
E foarte bine că aceste lucru ajung să se vorbească și că lumea află de ele.
Ar fi fain dacă ați putea lua un avocat bun și la fiecare caz de încălcare a legii firmele ce s-au zgârcit să investească în securitate să plătească pentru asta.
Banii pot fi donați pentru un scop nobil.
Astfel toată lumea are de câștigat
February 3rd, 2009 at 6:31 pm
keep it up
February 3rd, 2009 at 6:42 pm
felicitari. nu prea stiu ce vorbesc cand va acuza.. hackingul e ceva nou chiar si pentru utilizatorul “versat” fiindu-i greu sa-i inteleaga beneficiile reale si sa faca diferenta dintre white hat si black hat.
February 3rd, 2009 at 7:27 pm
ma intreb cat de mic (numar de saituri si KB) ar fi netul daca nu ar fi tot soiul de “informati” care sa se porneasca cu opiniile lor despre toate subiectele (de la cat de naspa sunt negrii la conducere in state pana la ce naspa e sa spui oamenilor “vedeti ca astia va tin parolele neincriptate si vulnerabile”)
February 3rd, 2009 at 8:08 pm
Cam ăsta ar fi momentul perfect pentru lansarea unui serviciu de audit de securitate pentru orice deţinător de site care doreşte asta.
Eu cred că lucrurile stau bine aşa cum stau, chiar dacă are şi Ionuţ ceva dreptate legat de M.O. şi de “colaterali”. Până la urmă toată lumea ştie că baza de date a site-ului ăla de joburi a fost făcută deja poştă, deci raportul e aproape acceptabil.
February 3rd, 2009 at 8:13 pm
Nu e chiar ceva asa de nou, dar lumea nu se informeaza sau ce stie stie din filme si etc. Faptul ca existati e un lucru bun in internetul asta de kkt.
keep up the good work.
February 3rd, 2009 at 8:18 pm
Bravo! Continuati, sa vada specialistii lu’ peste ca nu sunt chiar asa de specialisti.
Cine vorbeste aiurea si va critica ar trebui sa NU mai citeasca postul asta de inca vreo 300 de ori, pentru ca sunt prea prosti sa il fi inteles de prima oara.
February 3rd, 2009 at 8:50 pm
Nu le acordati atentie. Ori sunt pur si simplu igoranti si habar n-au de ce se intampla in realitate ori sunt invidiosi pe voi. Fara full disclosure gaurile nu s-ar mai patchui. Sa fiti sigur ca nu sunteti primii care gasesti respectivele vulerabilitati. Doar primii care vorbesc despre ele. Bazele de date circula
Cat despre script kiddies…..cine va acuza habar nu stie ce ii aia. Is aiureli si invidie.
February 3rd, 2009 at 9:00 pm
Imi plac articolele voastre ..pur si simplu imi face placere sa le citesc chiar si de doua trei ori
Tineti-o tot asa baieti
February 3rd, 2009 at 9:30 pm
Mda … hai sa vedem daca-mi apare comentariul intre atatia laudatori.
Eu nu stiu de ce va sintiti voi atat de ofensati cand cineva va atrage atentia asupra unei greseli. Este atat de greu sa ascundeti toate datele utilizatorilor cand faceti publica o “spargere” ? Cer atat de mult sa nu mai fie afisate CNP-uri, email-uri si numere de telefon ? Bine, n-aveti decat sa va suparati pe mine, desi eu nu am scris cuvinte injurioase despre voi – nu pot spune ca reversul este adevarat, insa (nu ma refer la articolul asta, ci la discutia avuta pe blogul lui zoso cu unul dintre voi) … ma rog, hai sa-mi dam inainte in romanismul nostru si sa ne punem intrebari mari de genul “ce ai schimbat in internetul romanesc” … altfel sa le taiem repede firul celorlalti care poate au o opinie diferita ! Chiar am incercat sa va schimb pe voi, prin faptul ca v-am atras atentia asupra datelor private, dar hai sa nu vedem barna si sa vedem paiul.
February 3rd, 2009 at 9:38 pm
Nu este nici cea mai mica ofensa. Nu filtram comentariile negative pentru ca parerile pro si contra sunt benefice si lumea poate trage singura concluziile. Ne-ai transmis un mesaj, ti-am raspuns la mesaj. Atat de simplu este.
O seara placuta.
February 3rd, 2009 at 9:43 pm
[...] as continua. In plus eu nu am nimic de dovedit, pe cand ei au destule. Hai sa vedem daca inteleg ce le-am scris la ei pe blog … poate-poate reusesc sa-si treaca peste orgoliu si sa evolueze spre ceva mai bun. No [...]
February 3rd, 2009 at 9:58 pm
Ce prostie. Nu inteleg de ce se baga toti… “inteligentii”, ca sa nu zic altceva, in seama, cand ei nu au habar de hacking.
Cat despre chestia cu date private, mare lucru. Crezi ca se oboseste cineva sa se uite macar la ele ? Eu unul nu.
February 3rd, 2009 at 10:14 pm
Referitor la “Astia stiu doar sql injection” (nu sunt in masura sa confirm/infirm) insa e clar ca creatorii site-urile sparte NICI MACAR atat nu stiau.
Este util intr-o societate sa existe si niste “pradatori” altfel nu ar mai exista selectie naturala eficienta. Ii mai elimina pe cei slabi / incompetenti sau ii determina sa se perfectioneze.
February 3rd, 2009 at 10:58 pm
Eu unul apreciez ceea ce faceti, chiar daca poate nu sustin intru-totul publicarea tuturor datelor sensibile ale utilizatorilor site-urilor vulnerabile. Pe de alta parte, fara un soc de genul asta, dezvoltatorii/proprietarii marilor site-uri din Romania care detin comunitati online s-ar fi complacut in continuare in aceeasi mediocritate in ceea ce priveste securitatea datelor. Acum au sansa sa indrepte lucrurile si sa aiba motivatia necesara pentru a acorda atentia necesara si aspectelor legate de securitate.
Sunt curios insa cate dintre problemele semnalate de voi au fost reparate intre timp. Eu am vazut doar la zelist interes in remedierea vulnerabilitatilor, dar sper sa fie si altii in aceeasi situatie.
February 4th, 2009 at 3:11 am
[...] Hackersblog face ce crede de cuviinţă şi trage un semnal de alarmă GRATIS! Sunt voci ce recunosc că sunt mai buni decât orice audit. Şi ştiu ce vorbesc. Ce contează dacă sunt copii sau hackeri hârşâiţi? Ce contează dacă le ştiu numai p’alea cu scripturile sau au îndemânare şi la mai mult? [...]
February 4th, 2009 at 8:36 am
Salut,
Nu e o pierdere de timp ca trebuie sa explicati ceea ce faceti, o sa trebuiasca sa va obisnuiti cu asta pe viitor. Unii o sa va ceara explicatii amical, altii nu.
E posibil sa ai partial dreptate. Cineva care ar fi putut face ce ati facut voi ar fi putut avea acces la datele la care ati avut acces. Insa cred ca supra-estimezi spammerii, care nu recurg la spam din inteligenta debordanta, ci dimpotriva, pentru ca nu stiu altceva.
De aceea ii vad mai degraba copiind cateva adrese de mana decat facand hacking.
In plus, asa cum a sesizat si un comentator din pagina cu principii in care m-ai trimis, publicarea acelor date personale aici pe blog e si putin impotriva principiilor voastre, din cate inteleg. Si exprima exact ce am scris si eu pe blog.
““7. Se vând, dau, folosesc informaţii confidenţiale din serviciul afectat – nu-i etic”
(”dau” = publicarea lor pe blog, “folosesc” = publicarea lor pe blog)
In momentul in care se publica anumite date, precum numere de telefon, adrese email, etc. acestea pot fi folosite abuziv de catre alte persoane (specificai ca nu au ajuns pe site-urile de warez – eu as zice “inca”), si poate ca in baza de date in care au fost stocate (desi sunt vulnerabile) au fost inregistrate ca date confidentiale.
Revenind la informatiile publicate, presupun ca timpul acordat celor care se ocupa de acele sisteme sa fie unul mai acceptabil si un full-disclosure sa nu se faca imediat sau chiar deloc (de exemplu, la post-ul cu “vremea in direct”, numerele de telefon au fost cenzurate dar adresele de email nu – nu stiu pe baza caror criterii dar consider ca ambele sunt informatii private si nu ar trebui publiate decat cu acordul celor ale cui apartin).
Am vrut sa imi exprim parerea despre modul cum sunt publicate datele de care faceti rost, fara a fi bagat in categoria celor care va reproseaza sau sunt “cunoscatori”.”
Cat despre semnalul de alarma, sper sa aiba efecte, evident ca si eu imi doresc ca toata lumea site-uri cat mai bine securizate.
February 4th, 2009 at 8:53 am
Vom tine cont de tot ce ne-ati recomandat.
Multumim pentru feedback.
O zi buna.
February 4th, 2009 at 9:27 am
Partea buna e ca le anuntati mai intai sa-si rezolve problemele si dupa le facati publice.
Este corect si etic sa fie asa.
Cat despre ce faceti voi, este absolut OK din punctul meu de vedere desi am dubii cum ar putea fi interpretat de lege si nici nu stiu sa fie in Romania ceva cazuri.
eJobs, e o lectie ce trebuie invatata, oricat de mare te crezi poti fi darmat intr-o clipa.
Tica2
PS: Primiti si cereri de consultanta ?
February 4th, 2009 at 9:34 am
@ionut in era in care un spammer face spam la milioane de emailuri zilnic cine dracu sta sa copieze 5 mailuri de mana de pe o poza. in teorie aveti dreptate dar sa fim seriosi in romania nu functioneaza teoria. daca tie ti se pare logic sa scrii cateva adrese de mailuri de mana dintro poza pentru a face spam la ele inseamna ca vorbesti in necunostinta de cauza deci ar trebui sa nu iti dai cu parerea.
February 4th, 2009 at 9:47 am
si’uite asa mai primesc ionut si cti un spike de trafic poate poate ajung si ei sa stea la masa cu zoso piticu si visurat
February 4th, 2009 at 12:29 pm
@Andre3000 “inseamna ca vorbesti in necunostinta de cauza deci ar trebui sa nu iti dai cu parerea.”
Andre a iti spune parerea NU are absolut nici o legatura cu stiinta intr-un domeniu sau altul. Oamenii nu au pareri doar pt ca au cunostinte.
Nu trebuie sa sti cum se face painea ca sa fii de parere ca e buna sau rea. Sau ciorba care o mananci la restaurant. Daca tie ti se pare acra, than thats it for you. Ar trebui sa vina bucatarul sa iti zica ca nu ai dreptul la opinie pt ca nu ai fost in bucatarie sa vezi cum se face si sa intelegi ca ciorba aia asa e ea, acra?
NU e vorba de polemici. Fiecare are dreptul la opinie, skilled or not, in cunostinta de cauza or not. Esti suficient de inteligent sa sti cum sa abordezi fiecare coment in parte fara a fi ofensat sau a ofensa pe cineva.
O zi…. injectata
February 4th, 2009 at 2:38 pm
Tinem cont!
February 4th, 2009 at 3:09 pm
Citesc articolele de aici de vreo 2 zile si pot spune ca invat chestii importante. Eu vad site-ul asta ca pe unul care ajuta utiliatorii de internet: pe programatori ii pune in garda si ii mai face sa se uite odata peste codul lor, iar pe useri ii invata sa fie mai atenti pe unde umbla si pe ce site-uri isi pun datele personale.
Una peste alta, keep up the good work
.
February 4th, 2009 at 4:40 pm
Tin sa aduc in discutie un mic aspect legat de folosirea termenilor. Din cate am invatat eu mai de mult, stiu ca este o mare diferenta intre Hacker si Cracker.
Am citit ca voi sunteti acuzati ca ati fi Hackeri, dar oamenii de fapt va acuza de Cracking.
Pentru cei care vorbesc tampenii, un Hacker (cum ar fi baietii de aici) actioneaza in scopuri benefice si nu foloseste in moduri distructive problemele de securitate gasite.
Pe de alta parte, un Cracker face exact opusul.
In dictionar: “hacker = An expert computer programmer who enjoys figuring out the inner workings of computer systems or Networks. Some have a reputation for using their expertise to illegally break into secure programs in computers hooked up to the Internet or other networks. This sense, however, has now been taken over by the term cracker, and hacker is again a title to be proudly claimed.”
Deci macar aveti bunul simt sa cunoasteti terminologia daca nu sunteti in stare sa compilati ceea ce se face aici.
February 5th, 2009 at 12:51 am
xel, niciodata nu mi-au placut etichetele de genul acesta (hacker, cracker, etc), nu vrem sa fim numiti in nici un fel mentionat mai sus, cum zicea si 2fingers nu mai stiu pe unde: titlul blogului l-am ales pentru a fi mai usor de memorat si totodata sa aiba o oarecare legatura cu articolele prezentate pe blog (judecand dupa conceptia multora). Sunt sigur ca si ceilalti din echipa hackersblog sunt de aceeasi parere cu mine.
February 5th, 2009 at 1:34 am
ce naiba 26 de comentarii aici, e forum?
io tot am zis ca am sa dau bere
iar asta inseamna ca toti script kiddies citesc aici si incearca si ei
a si ca sa periez putin … vaai cate sql injectionuri primesc in fiecare zi dupa aia
February 5th, 2009 at 5:19 am
hai sa-ti dau o idee ca sa-ti faci “blog”-ul mai fun, pune si mesajele(partial) de la adm/sysadm/webmasteri, raspunsurile la “reporturile” voastre, stiu ca de multe ori sunt super funny
)
))
in 2005 aveam rep2sys doar pe edu/com/biz(etc) si am avut portia proprie de ras dar sunt curios ce respunsuri primiti si voi, mai ales de la Romani
ia zi te gandesti la asta?:) dupa fiecare vuln report sa pui si o bucatica de gluma sa ne mai descretim fruntile ca si asa sunt multi stresati din cate observ
February 18th, 2009 at 6:05 am
am dat si eu un ochi peste toate articolele care au legatura cu acesta si as da si eu cu opinia…
dupa cum bine tin eu minte legislatia IT&C din Romania (am si cautat-o =) nu putem discuta de full disclosure. de ce? in momentul in care discutam de full disclosure (ironic dar adevarat) putem fi invinuiti (chiar de pana acum dupa cum bine vad nu a fost cazul). Invinuiti din cauza faptului ca orice access a unei informatii, care nu este oferita in mod natural (chiar nu imi venii un sinonim in minte la ora asta) este considerata ilegala… articolul 42 din legea 161 din 19/04/2003:
(1) Accesul, fãrã drept, la un sistem informatic constituie infractiune si se pedepseste cu închisoare de la 3 luni la 3 ani sau cu amendã.
(2) Fapta prevãzutã la alin. (1), sãvârsitã în scopul obtinerii de date informatice, se pedepseste cu închisoare de la 6 luni la 5 ani.
(3) Dacã fapta prevãzutã la alin. (1) sau (2) este sãvârsitã prin încãlcarea mãsurilor de securitate, pedeapsa este închisoarea de la 3 la 12 ani.
Aici intrati in ilegalitate prin articolul 1. In articolul 2 nu se pune problema deoarece nu sunteti interesati de informatiile din spatele sistemului (cel putin aparent *grin*). Iarasi articolul 3 presupune “bypass” la firewall/ids/etc. Acum, in legatura cu articolul 46 din aceasi lege (aliniatul 2):
(…) se sanctioneazã si detinerea, fãrã drept, a unui dispozitiv, program informatic, parolã, cod de acces sau datã informaticã dintre cele prevãzute la alin. (1) în scopul sãvârsirii uneia dintre infractiunile prevãzute la art. 42-45.
Unde cod de acces poate fi (de ce nu) un vector sql. Nu am scris acest articol pentru a va atentiona si chestii de genul. Eu chiar apreciez metoda full disclosure si munca voastra. Dar (mereu e un dar) legislatia romana e prea stricta si pentru aceasta. Noroc ca nu e la fel de stricta precum ceea din germania, unde si pentru un NMap, HPing (?), NetCat, WireShark (etc) poti primii dosar penal…
O petitie ar rezolva problema… nu sunt nevoie decat de 500000 de semnaturi (*ironic*). De aceea private e mai bine decat public.
February 18th, 2009 at 6:07 am
un buton de edit nu ar strica…
recitind cele scrise, se pare ca legislatia noastra nu e prea departe de cea germana…
Art 46 aliniatul 2: “detinerea, fãrã drept, a unui dispozitiv, program informatic”… mda, Metasploit, Backtrack, cele enumerate, plus altele…
March 10th, 2009 at 6:12 pm
Bafta baieti,sunteti o sursa foarte buna de unde putem invata cum sa ne aparam de unele pericole ce ne panedesc in spatiul virtual