Unu sustine ca a gasit o vulnerabilitate pe o sectiune a site-ului Symantec - producatorul Norton Antivirus - unde partenerii pot descarca materiale de marketing. Hackerul a spus ca aceasta i-a permis accesul la baze de date confidentiale si observa cu ironie ca era vorba de o pagina in care se promovau programe care ar trebui sa ofere securitate, precum Norton Antivirus.
Symantesc admite ca sunt ceva probleme, insa spune ca acel bug nu poate fi exploatat pentru a permite accesul la baze de date.
Symantec a modificat sectiunea afectata, dar spune ca nu e vorba de o problema de securitate. PC World noteaza ca intamplarea, chiar daca e mult mai putin grava decat pare la prima vedere, poate afecta imaginea companiei.
Unu sustine ca a profitat de o vulnerabilitate si a putut sparge si site-ul cotidianului International Herald Tribune. El sustine ca a profitat de un parametru nesecurizat si a putut avea acces la un tabel cu parole a 161 de persoane care lucreaza sau colaboreaza cu publicatia, scrie darkreading.com.
IHT informeaza ca erorile au fost rezolvate dar a admis ca date sensibile au fost expuse.
Legislatia romana pedepseste atat tentativa cat si atacul in sine.
CAPITOLUL III
Infractiuni si contraventii
SECTIUNEA 1
Infractiuni contra confidentialitãtii si integritãtii datelor si sistemelor informatice
Art. 42. - (1) Accesul, fãrã drept, la un sistem informatic constituie infractiune si se pedepseste cu închisoare de la 3 luni la 3 ani sau cu amendã.
(2) Fapta prevãzutã la alin. (1), sãvârsitã în scopul obtinerii de date informatice, se pedepseste cu închisoare de la 6 luni la 5 ani.
......................................................................
Art. 47. - Tentativa infractiunilor prevãzute la art. 42-46 se pedepseste.
In alta ordine de idei, daca eu vad ca ti-ai lasat geamurile deschise la casa si ma ridic pe varfuri si ma uit la tine in casa si vad ca mai ai si seiful deschis in laturi si te sun si-ti zic sa-ti inchizi ferestrele nu cred ca am facut nimic rau (evident ca o sa rad cu prietenii de cat de prost esti sa-ti lasi valorile la indemana hotilor, cred ca am acest drept. nu?).
Dar exemplul meu nu a fost prea reusit.
Pentru ca hackerul nu s-a uitat intr-un loc privat ci unul PUBLIC.
Sigur ca respectivele companii sufera la capitolul imagine, DAR hackerul nostru nu poate sa verifice toate site-urile de pe internet daca sunt vulnerabile; daca face public ca producatorii de antivirusi sunt vulnerabili, automat expunerea mediatica va fi mare, programatorii vor fi mult mai atenti in viitor la aspectele legate de securitate si toata lumea e fericita (mai putin compania in cauza evident).
Nu e legal ce-au facut dar bine/moral in mod cert e.
Dar asta e, ar fi "boring" daca am cadea de acord la toate lucrurile care ni se intampla sau citim despre ele.
Multumesc ca am reusit amandoi sa ramanem decenti si sa folosim un limbaj "general acceptat", fara sa ne jignim sau mai stiu eu ce.De urmarit :sa vedem daca cei "defaced" vor avea sau nu vreo reactie, si am refer aici la vreo initiativa judecatoreasca impotriva celor de la hackersblog.
nu a verificat porturi, nu a incercat generari automate de parole etc...
ce a facut el nu cred ca poate fi demonstrat prin altceva decat faptul ca el se lauda:D
Este asociat cu un interlop cunoscut aka Stanici, dar asta este alta mancare de peste. Multi vad putini cunosc. Asa ca ar fi bine sa nu mai faca pe prea-curatul.
Fara ei nu s-ar face tam-tam, fara ei hackerii black-hat ar avea o viata mult mai usoara in a-ti fura datele personale/ card de credit sau mai stiu eu ce.
Ca o paralela: acesti hackeri sunt cei care descopera un virus, nu cei care-l creeaza/exploateaza.
Vulnerabilitatile sunt acolo, fie ca ACESTI hackeri le fac publice fie ca nu le fac publice.
Daca ei nu le-ar face publice, nu ar fi remediate si ar fi folosite de alti hackeri.
Cred ca companiile vizate ar trebui sa le multumeasca nu sa se gandeasca la masuri legale impotriva lor (sigur ca e mai usturatoare lovitura in imagine decat faptul ca proprii clienti pot sa aiba de suferit).
Ca sa intelegi mai bine:una este sa arat (in principiu) ca implementarea SSL nu este atat de sigura pe cat se parea si alta este sa ma folosesc de aceasta implementare defectuoasa pentru a decripta sesiunea SSL initiata intre tine si site-ul de internet banking al bancii tale.
Blackhat esti in momentul in care FURI parole/date personale (faptul ca le-ai accesat si cenzurat nu inseamna ca te-ai FOLOSIT de ele ci doar ca ai demonstrat ca se poate).
Am mai zis si repet, tu nu l-ai rugat sa verifice, nu ai verificat nici tu, desi aveai responsabilitatea sa faci asta, el cu toate astea a facut-o spre binele tau/al clientilor tai.
In afara de imagine sifonata companiile respective nu au nimic de reprosat.
Responsabilitatea mea de a verifica vulnerabilitatile site-ului nu este obligatorie ca sa imi desfasor activitatea.Dar pentru a imi crea o imagine mai buna pot sa adopt niste standarde si norme in ceea ce priveste securitatea prezentei mele in internet in raport cu datele clientilor pe care le gestionez.Au facut sau nu au facut asta nu conteaza.Asta nu face decat sa aduga ceva "shiny" la imaginea mea corporate.Dar ideea in sine este aceasi:nu ai voie sa ma "pipai".E ca si cum pui mana pe cineva sa iti seama daca e barbat sau femeie.Fara acordul meu, este hartuire sau abuz sau mai stiu eu ce o fi.
pentru cei interesati, "responsible disclosure": http://www.sans.org/reading_room/whitepapers/threats/how_do_we_define_responsible_disclosure_932
Adica oamenii ne-arata ce brese de securitate exista in sisteme si tot ei sunt vinovati? Cei care-au construit sistemele n-au nici o vina?
Mai ma lesi...
Da, oamenii astia sunt utili, chiar foarte utili!
Ce sa stii tu!
voi aveti idee cum se fac proiectele astea? cind clientul vrea rezultate si daca vede ceva frumos pe ecran, nu il mai intereseaza ce e dedesupt? iaar daca se poate sa fie si frumos pe ecran, si ieftin, de ce nu?
oricum, sa fi hacker de sql injection nu e mare briza. cauta pe net, sql injection tutorial, gasesti pagini cum se face, cu tot felul de cazuri.
mai trebuie sa iti faci un mic programel, care sa incerce toate acele cazuri, pe rind, ca doar nu o sta hackerul sa le incerce de mina, si gata. sau daca esti lenes, cauti programe gata facute, ca sunt si din alea, desi alea s-ar putea sa iti lase in propriul sistem gauri ;-)
deci, lasati laudele pentru amariti care se dau rotunzi pe bloguri.
odaca ce ce fac ei e cam ilegal, plus ca suna a lauda (daca era hacker adevarat, ii informa pe cei pe care i-a spart, si apoi astepta sa isi repare problemele)
Se vede ca habar nu ai ce zici.
Exista intr-adevar programe care automatizeaza 99% din proces, DUPA ce ai descoperit un parametru vulnerabil (chiar daca testezi automat, tot trebuie sa-i zici programului cum sa discrimineze intre un rezultat valid si unul de eroare, exceptie cazurile foarte simple)
Si probabil "copiii" se scrie "copiiii" la tine in manual?
Si mai on-topic.
Pana la urma uite asa evolueaza lucrurile in domeniul asta. Data viitoare firmele pagubite o sa dea o atentie sporita la angajari/contractari.
ei o fac pentru faima (si/sau alte castiguri poate chiar materiale)
doar cineva care se chinuie sa gaseasca o vulnerabilitate in ceva soft si apoi o raporteaza producatorului fara a cere recompensa si fara a se lauda in exterior poate sa zica ca face un bine.
si apoi, sa strici e usor, mai greu e sa construiesti
daca chiar au nevoie de un "challenge" ar trebui sa faca ei o aplicatie de la zero si care sa nu contina vulnerabilitati si ca sa fie si mai interesant, aplicatia trebuie sa fie utila, sa arate bine si sa fie facuta in timp cat mai scurt :)
Atata stim noi sa facem? - rele?
N-ati putea face si ceva bun cu cunostintele voastre??
Securitatea lor e nula.
Bitdefender-ul este antivirusul ce elibereaza pushcariasii pe magheru !!! :))))))
fratilor...softwin primeste bani pe licentele astea de la statul roman...si ca sa ce ?!?!? sa eliberam pushcariashii sau sa ii lasam in libertate pentru ca n avem un soft antivirus performant ??? RUSINE bitdefender...
In plus de asta... bitdefender-ul merge fff prost in sistemul de retelistica dintre calculatoare si de filesharing. halal sistem antivirus.
Uitati o dovada pentru caracatita, softwin-bitdefender- Mircea Micle.
"Fost angajat al acestei firme, perioada in care facuse lobby pe langa Ministerul Administratiei si Internelor pentru a prinde o felie cat mai groasa din contractul EADS, actualul ministru a incercat dirijarea spre Softwin a contractelor guvernamentale legate de realizarea Sistemului Educational Informatizat."
sursa: http://www.hotnews.ro/stiri-presa_regionala_arhiva-1734856-ascunde-mircea-miclea.htm
Rusine softwin !!!