Jump to content
paxnWo

Yahoo! Open Hack Europe 2011

Recommended Posts

Posted

Tot ce s-a intamplat acolo parerea mea este tipic romanesc. Ei te cheama sa faci ceva la un eveniment organizat de ei si tu te duci si faci altceva pentru ca vrei faima. Ce va urma de acum incolo nu pot decat sa preuspun. Dupa acest eveniment se puteau castiga doua lucruri:

1. Premiu

2. Dosar de urmarire.

Cine ce si cum a castigat cred ca este evident. Asa se intampla cand esti la varsta adolescentei. Cine sta de xss-uri gaseste, nu trebuie sa ai doctorat facut la M.I.T.

Se va da uitarii dupa o saptamana, doua, xss-ul va fi patch-uit dar Pax....hmm....nu stiu ce sa zic....as sta putin ferit o perioada. Parerea mea, ca un sfat de la un om in varsta. Daca vine Microsoft in Romania si vreti faima contactati-ma pentru exploit-uri 0day. Numai bine.

Posted

Eu o singur? chestie n-am în?eles din conferin?a asta. De ce mai exista cuvântul hack ?i de ce s-a f?cut atâta vâlv? pe cuvinte ca hackeri din moment ce singurul proiect din aceast? categorie a fost tratat prost. Dac? erau mai multe ?i ziceau bye bye nu era o problem?, dar a fost singurul(m? b?zez doar pe ce a spus pax).

S? fie înv???tur? de minte ?i nu se mai merit? nici un disclose pentru Yahoo.

@paxnwo: Ia ?i da un tweet ceva în care s? explici c? nu e bine ca lumea s? fac? disclose c?tre Yahoo ?i c? este mai bine ca totul s? r?mân? privat pentru c? o po?i p??i. În?elegi tu chestia ce o spun.

Posted (edited)
Cam varza, SENZATIONAL! Un xss worm ataca mailurile romanilor |, nici macar nu e alt xss.

care e problema ca s-a stiut de el ? de unde ai tu impresia ca e acelasi xss din pipes ? pipes-urile au doar un parametru sau ce sloboz ? se numeste PROOF OF CONCEPT, ceea ce s-a incercat, desteptu pulii, nu conta xssu in sine, ci folosirea lui, desteptu pulii

@tromfil : done

Edited by paxnWo
  • Upvote 1
Posted

Sa nu comentam ce a facut pax cu chestii de genu: "tipic romanesc", "nu a facut ce se cerea" si "pt gasirea unui XSS nu trebuie sa fi de la M.I.T".

Nici ca sa folosesti API-urile de la Yahoo sa iei niste poze random din flicker nu trebuie sa fi un geniu (si aici ma refer la o gramada de asa zise "hack"-uri ce au fost prezentate). Cei de la Yahoo au folosit in interesul lor cuvinte ca "hack" si "hackers" intr-un context diferit. Si pana la urma asta e viata e normal sa fie la interes.

Ce ma deranjat pe mine a fost abordarea vulpoilor batrani ce au profitat de naivitatea unui pusti, si-au rezolvat problema printr-un SMS, iar dupaia si-au vazut de treaba .

Posted

Ce ma deranjat pe mine a fost abordarea vulpoilor batrani ce au profitat de naivitatea unui pusti, si-au rezolvat problema printr-un SMS, iar dupaia si-au vazut de treaba .

Am filmat faza, cand le explicam cu pax cum functioneaza, in particolar, la 2 dintre jurati, unul se scarpina in barba iar altu butona energic, disperat, aproape psihotic blackberry-ul...

O sa revin cu un montaj ;)

PS: proiectul: http://www.korben.info/xss-yahoo-mail.html

http://www.undernews.fr/hacking-hacktivisme/open-hackday-faille-xss-sur-yahoo.html

Posted
Cei de la Yahoo au folosit in interesul lor cuvinte ca "hack" si "hackers" intr-un context diferit. Si pana la urma asta e viata e normal sa fie la interes.

Ce ma deranjat pe mine a fost abordarea vulpoilor batrani ce au profitat de naivitatea unui pusti, si-au rezolvat problema printr-un SMS, iar dupaia si-au vazut de treaba .

Esti singurul care a inteles de fapt ce trebuia sa se intample la conferinta aia si de fapt de ce Yahoo! a folosit cuvintele HACK si HACKERS. Promovarea unui eveniment, atragerea cat mai multor persoane din domeniu pt. interesul lor propriu la niste teme date de ei. Subliniez aici Teme date de ei si scriu cu paragraf.

Cand am spus tipic romanesc m-am referit in mod special la aceasta abordare. Vine americanul, iti da sa faci o treaba pe o tema si tu te apuci si cauti alte tampenii pe o chestie total pe din afara de ce se intampla acolo. Ceva de genul, un pentester e angajat sa verifice vulnerabilitatile unui server Oracle si el de fapt de plictiseala si ca-si doreste faima sa se apuce sa caute xss-uri la yahoo. Mai mult decat atat isi doreste si un premiu pt ce a facut. Normal sa nu faca mare tam tam pe acel xss. Urmareau sa-l dea cat mai repede jos si atat, nimic mai mult. Nu se gandeau la tort cu lumanari si fanfara cu Pax pe podium si mai mult decat atat poate si un job pt el la yahoo. Xss-uri au fost si vor mai fi.

Ei au tratat acel xss ca oriicare altul si nimic mai mult. Companii mari ca yahoo, ebay, paypal, microsoft etc se stie ca au vulnerabilitati si cand este gasita vreo una si mai ales facuta publica sa nu va asteptati la premii si nici macar un multumesc. Patch and that's it. Asta se stie de mult timp nu acu cu xss-ul asta. Sfatul meu: Do not ever disclose a vulnerability. Nu trebuie sa va para rau ca a picat. Data vitoare stiti cum sa procedati.

Eu inteleg frustrarile varstei ca am fost si eu ca voi. Luati aminte din ce vi s-a intamplat acum si data viitoare stiti cum sa abordati situatia. Take care.

Posted

Nimeni nu e mai presus de nimeni si nimeni nu le stie pe toate. Scuza-ma ca nu ma pot ridica la valoarea ta. Cumva una din temele propuse de yahoo era "Make a Yahoo! Worm from Xss" ? Eu nu am pomenit nimic de prostie dar vad ca te simti cu musca pe caciula si in continuare ai atitudinea adolescentului frustrat. Nu am de gand sa port in continuare discutii in contradictoriu aici cu tine pentru ca mai ai mult pana sa ajungi ca mine ca si mod de gandire in genere si de a privi situatia. Asta se cheama maturizare prin care tu faci de abia primii pasi. Tot ce am spus aici a fost ca un sfat apropo de acest eveniment la care ce ati facut voi nu-si avea rostul. Cuvantul hack isi avea cu totul si cu totul alta conotatie la acea intrunire. Cum am spus in posturile de mai sus xss-uri vor mai fi si daca stai de ele gasesti mai multe decat iti doresti. Nu ma foloseam de acel xss si nu am vreo problema in legatura cu asta. Am o problema in genere cu genul asta de abordare a situatiei care este (si aici ma repet) tipic romaneasca.

Parca acest forum candva in paleolitic se dorea a fi un indrumator de ethical hacking. Ce s-a intamplat pe parcurs? Au aparut niste mici "hackerasi" ce doresc faima care au transformat cuvantul hack in injuratura de mahala. Realizezi ca nu te-ai ales cu nimic de asta esti si deranjat de acel disclose. Stai ferit o perioada ca baietii mai mult ca sigur te au in vizor.

Posted

Ideea cu termenul "hack" e simpla: reclama. Ei doreau ca cei inscirsi sa foloseasca framework-urile lor: YQL, YUI... E clar: nu exista nicio legatura intre a folosi un framework si a fi hacker. Ce vreau sa spun: framework-urile te ajuta sa faci mai usor diverse actiuni. Folosind asa ceva, faci cu o linie de cod, ceea ce ar trebui sa faci cu 50, deoarece acele 50 de linii sunt deja scrise. Asta inseamna ca tu nu stii exact ce se intampla cand scrii linia respectiva de cod, si ajungi sa nu fii in stare sa faci acea actiune fara acel framework. Iar asta e total in contradictie cu termenul "hack", care presupune sa inveti ceva, sa descoperi, sa CREEZI ceva. E ca si cum i-ai da un program unui copil si l-ai pune sa il foloseasca. O sa zici ca e un script kiddie. Pe aceasta idee, dupa parerea mea, s-a mers si aici: promovarea framework-urilor lor, care presupune promovarea script-kiddingului pana la urma.

Legat de proiectul lui Pax si Cheater ar fi mai multe de spus. In primul rand acesta e mai apropiat de termenul "hack" decat gramada de rahaturi imputite, stupide, jalnice si inutile, pe care nu ar da nici parintii celor care le-au facut 2 bani. Ideea a fost originala: "Vasile" intra pe o pagina si bum: se trezeste ca ofera acces la contul sau lui "x" si "y" si ca trimite fara sa vrea mesaj la toata lista de messenger cu acel link. E un atac direct la adresa securitatii celor de la Yahoo!, deci are legatura directa cu termenul "hack". Problema a fost conexiunea la net, nu a avut timp sa arate demo-ul. Si cred ca cei de la Yahoo! nu sunt foarte familiarizati cu acest termen, de XSS, ca de altfel nici multi care au participat.

Ca eveniment mi-a placut: am mancat, am baut, am discutat, atmosfera a fost placuta, a fost foarte bine organizat, foarte strict si totul a fost foarte bine pus la punct.

Posted
Pe aceasta idee, dupa parerea mea, s-a mers si aici: promovarea framework-urilor lor, care presupune promovarea script-kiddingului pana la urma.

Corect. Toti participantii (cu mici exceptii) sunt code monkeys.

Posted
E normal sa comentati faptele, dar din moment ce nu ai fost implicat, de ce te bagi de parca stii care e treaba ?.

Te cam contrazici...am voie sau nu am voie sa comentez? Nu stii cine sunt...nu stii daca am fost acolo sau nu am fost. Doesn't matter anyway.

Va fi ultimul meu post despre acest eveniment. Revino peste vreo 10 ani si citeste ce am scris in acest thread. Cu siguranta atunci vei intelege ce am vrut sa zic.

Nytro are dreptate, ce ati facut voi a fost cel mai apropiat de cuvantul hack dar nu era ceea ce se dorea a face acolo. Acel cuvant a creeat o mare confuzie se pare dar pe de alta parte a si amplificat interesul si a avut un impact destul de puternic in media. Daca iau un telefon si incep sa fac modificari prin el cu un anumit scop tot hack se cheama. Cam despre asa ceva era vb si acolo. Ei iti pun la dispozitie anumite teme tu fa ce vrei si "distreaza-te" pe ele dar fara a te abate de la subiect. Cam asa stau lucrurile cu acest Yahoo! Open "Hack". Ceea ce ati prezentat acolo mergea mai degraba la un Def Con sau BlackHat Briefings Black Hat ® Technical Security Conference: USA 2011 // Home. Take care all of you and be a smart hacker !!

Posted
Nu am de gand sa port in continuare discutii in contradictoriu aici cu tine pentru ca mai ai mult pana sa ajungi ca mine ca si mod de gandire in genere si de a privi situatia. Asta se cheama maturizare prin care tu faci de abia primii pasi.

Cat ceri pe ora de terapie? Vad ca esti tatic in de-ale vietii. Sincer, nu cred ca un om cu experienta si maturitatea pe care pretinzi ca o ai ar scrie asa o fraza. :)

Mie mi se pare grozav ceea ce au facut ei. Aici nu e vorba de complexitate, da au facut ceva diferit, de mare interes pentru orice developer si care ar trebui remarcat. Nu-i critica pentru ca nu au facut ceea ce banuiau ca vor cei de la yahoo, adica lins in cur, si pentru ca au facut ceva ce nu cred ca multi ar fi avut creier si coaie s-o faca. In plus, subiectul era vag, lasand restul la urma interpretarii(Yahoo Open Hack Europe). Daca nici macar nu concepi ca un om vrea sa se remarce prin ceva diferit inseamna ca esti un om mediocru cu o gandire mediocra care nu va putea iesi nicio data din eticheta asta de mediocritate.

Felicitari Cheater, Nytro si Pax, toata stima!

In plus, astfel de minti ar trebui exploatate, nu condamnate! Dupa parerea mea Yahoo a pierdut, nu voi.

Posted

Saracii, marii de la Yahoo! cred ca au fost traumatizati in urma demoului oferit de Pax, daca ziceti ca rupeau butonasele Blackberryuri-lor.

Posted

a. in computer science - In modern computing terminology, a kludge (or often a "hack") is a solution to a problem, doing a task, or fixing a system (whether hardware or software) that is inefficient, inelegant, or even unfathomable, but which nevertheless (more or less) works.

More: Kludge - Wikipedia, the free encyclopedia

b. in computer security - A hacker is a person who breaks into computers and computer networks for profit, as protest, or sometimes by the motivation of the challenge

More: http://en.wikipedia.org/wiki/Hack_(computer_security)

c. si nu in ultimul rand - in programmer subculture - The Jargon File, a compendium of hacker slang, defines hacker as "A person who enjoys exploring the details of programmable systems and stretching their capabilities, as opposed to most users, who prefer to learn only the minimum necessary."

Si acum ca sa traduc, cuvantul hack poate avea mai multe semnificatii si inca exista controverse asupra lui, dar in contextul dat se referea la varianta a. de mai sus.

Acum ca sa ajung la ce ai facut tu (evidentma refer la paxWhateva - imi scapa nickul intreg), ai descoperit un exploit minuscul intr-o aplicatie imensa si foarte greu de intretinut (de o complexitate pe care nu ai cum sa o intelegi) si ai facut o tentativa puerila de a obtine "faima si glorie" ca orice mic crackeras.

Ti-a fost explicat si mai sus de ce, ceea ce ai facut a fost pueril si copilaresc, dar refuzi sa intelegi, totusi o sa vin si eu cu o completare, maretul tau vierme poate fi facut in cel mult o ora, cu minim de efort.

Cat despre prezentarea ta, ai fost taiat pentru ca:

  1. era in interesul lor sa nu te lase sa faci publica o potentiala problema de securitate
  2. tentativa ta de prezentare a fost aroganta si ofensatoare atat la adresa celor prezenti in sala cat si a juriului si teamului (sa nu mai vorbesc de oamenii care au muncit la codul ala)

In incheiere, sugestia mea: less cracking, more learning.

Guest
This topic is now closed to further replies.


×
×
  • Create New...