Támadás a "full disclosure" eltörlése érdekében

Bug

A napokban magát Anti-sec mozgalomnak hívó csoport feltörte az ImageShack-et, a weben található egyik legnagyobb képfájl hostoló oldalt. A támadás következtében egyes, az oldalon tárolt képek helyett a csoport kiáltványa volt olvasható.

A csoport a biztonsági hibák teljes közlése (full disclosure) ellen emelt hangot. Az Anti-sec movement szerint a biztonsági problémák közlése a biztonsági ipar önös érdekeit szolgálja. A problémák teljes közlése, ahelyett, hogy a felhasználókat segítené, pusztán csak megfélemlítési taktika, amelynek célja, hogy rávegye a felhasználót, hogy az vásárolja meg a tűzfalaikat, antivírus szoftvereiket, auditálási szolgáltatásaikat.

A részletek itt. A "kiáltvány" teljes egészében itt.

( pwm | 2009. 07. 13., h – 08:56 )

Tyu, akkor most a hup infosec-es reszlege kezdhet rettegni :)

( wladek1 | 2009. 07. 13., h – 08:57 )

Rendben, szerintem is inkább el kell hallgatni mindent.
Mindenkinek jobb az, nemde?

"-Pedig vegetariánus vagyok; csak növényevő állatokat fogyasztok!"
azenoldalamponthu

( sagittarius | 2009. 07. 13., h – 09:33 )

"Amit nem tudok, nem fáj..." :)

( hgen | 2009. 07. 13., h – 09:40 )

Hm, nekem inkabb bunozoi csoportok erdekkepviseletenek hangzik, ha nem ismertek a hibak konnyebb zombihalozatokat letrehozni.

( lovas | 2009. 07. 13., h – 10:57 )

Azért nem akarják h a hibák részleteit publikálják, hogy minél több site-ot fel tudjanak törni és a júdeai népfront plakátját ki tudják függeszteni?

( maniac | 2009. 07. 13., h – 12:48 )

Egyetertek veluk.
Tenyleg kibaszott idegesito, hogy 12-13 eves gyerek letolti az exploitot, es 0 tudassal toroget vele szervereket, amelyek nincsenek vedve az exploit ellen. Ezekutan veri a f.szat a monitor elott, hogy na o feltort egy szervert nulla tudassal, mert a milw0rm-rol letoltott valami hudefasza kodot. Ezek utan par evet var meg, vegul odabigyeszti a neve melle, hogy o it security-s emberke, esetleg ir egy jo konyvet, ami a teazgatashoz jo lesz, es mindenki felnez ra, hogy na o milyen jani. Persze az idok folyaman C-ben egy hello world-nel tovabb nem jutott, php-s programjai irasa kozben meg annyi erofeszitest nem tett, hogy ne igy includoljon:

include_once( "./" . $_SESSION['lofasz'] . ".php");

termeszetesen jo ez igy, mert ugye mukodik

Ezekutan boldogan ul, es megszedi magat azzal, hogy it security tudasaval tukroz egy baszott exploit szajtott, majd mutogatja a tobbi majomnak aki hozza fordult azzal, hogy csinaljon egy biztonsagos site-ot, hogy a jelenlegi oldal milyen szepen feltorheto a nem altala irt scriptekkel. Ahhoz persze mar nem eleg ugyes, hogy irjon egy exploitot, vagy esetleg hozzajaruljon a programok, alkalmazasok biztonsagossa tetelehez, o csak felelemben tud tartani, es jol megszedi magat penzzel, valamint mas cegeknek is segit ebben, hiszen az emberek mindent megvesznek mikor felnek.

-------------------------------
“The 0 in Raid 0 stands for how many files you’re going to get back if something goes wrong” :)

amugy konyvet irni nem olyan egyszeru dolog:9

Azert ne legy benne biztos, mert en is tudok ellenpeldat :)
43 eves, info tanar (kozepiskolaban, informatika szakon), alapveto dolgokrol nincs fogalma es mar harom tankonyvet adott ki ;)

Wordbe tud szoveget szerkeszteni, Excelbe egyszerubb tablazatokon muveleteket vegezni (jot rohogtem, neki a makro az virus, mivel mindig folugrik egy alert, ha olyan alomanyt nyit meg, amihez van makro is csatolva). A legsulyosabb: azt hiszi magarol, hogy jo programozo, mikozben meg a hatultesztelo ciklus fogalmat sem ismeri.
--
UBUNTU 9.04 Rock's!
Type cat /vmlinuz > /dev/audio to hear the Voice of God.

Haverommal jártam főiskolára. Amikor az assembly programozás volt a tárgy, mutatja nekem, hogy nézzem meg, az a srác írta a könyvet, akit az előtt 2 évvel tanított programozni.

Nem volt egy penge a fiú, de szépen le tudta írni, amit hallott :-)

Azt nem mondom, hogy nem értette meg, de inkább amolyan kocaprogramozót képzeljetek el.

G

( bervi | 2009. 07. 13., h – 17:56 )

"célja, hogy rávegye a felhasználót, hogy az vásárolja meg a tűzfalaikat, antivírus szoftvereiket, auditálási szolgáltatásaikat"

helyett

célja, hogy rávegye az adott szoftver készítőjét, hogy végre javítsa az akár évek óta a termékben rohadó sechole-t

meg a legjobb, hogy úgy tiltakoznak az exploitok közzététele ellen, hogy feltörnek egy site-ot. nyihaha, tényleg nagyon szimpik

szerintem.

szerk: a kiáltvány végigolvasása után még taszítóbbak :)

( Tyra3l | 2009. 07. 13., h – 20:20 )

Nekem ugy tunik, mintha "talaltak" volna egy 0day openssh exploitot, amivel most minden torheto neves site-ot felnyomnak, es kerestek hozza valami mondvacsinalt indokot. :)

Tyrael