Hack A server

[kerosen]

Salut,

Vreau sa incep un proiect care implica aducerea sub acelasi acoperis administratorii de servere cat si hackerii. Un joc in care protagonisti sunt hackerii vs administratori

Sub anonimat total (atat cat permite internetul)Administratorul isi pune o replica a unui server real iar hackerii sa incerce serverul pentru anumite vulnerabilitati care le doreste Administratorul (Information leackage, Root Access, Authorization-Authentication vulnerabilities etc).

Daca hacker-ul reuseste sa-l sparga, primeste o suma de bani, daca nu, nu primeste nimic.

Rugamintea mea este urmatoarea:

Ca si hackeri, ati lua parte la asa joc in care puteti castiga bani legal?

Vi se pare interesanta ideea?

Mai sunt astfel de concursuri dar niciunul nu abordeaza problema asa cum am pus-o eu. Ar fi ca si un mercato/ebay pentru comunitatile de hackeri si administratori (two side market).

Fiecare reusita a unui hacker i-ar aduce:

1) Bani

2) Puncte intr-un clasament

3) Faima intr-o rubrica "Hall of Fame"

4) Posibilitate de a oferi consultanta contra cost

As vrea pe cat posibil raspunsuri cat mai la obiect sugestii, propuneri etc.

Zi faina sa aveti.

[The_Arhitect]

@UnUser

Ce faci ba atata scandal?

Edited October 16, 2011 by The_Arhitect

[UnUser]

Esti prost ? Daca da, mai citeste o data.

E un joc, o imagine a unui server. Nu serverul in sine !

[kerosen]

Sigur te-ai grabit The Arhitect. Serverul ar fi o replica a unui server din productie, cu aceiasi configuratie, continand date false sau Lorem Ipsum dupa caz.

Multumesc @UnUser

[UnUser]

kerosen , e o idee foarte interesanta, dar e mult de munca !

Doritori sa participe la concurs , se gasesc !

[kerosen]

@UnUser

Nimeni nu a spus ca ar fi usor clar ca sunt obstacole, dar vedem pe percurs. Pe mine acum ma intereseaza asa cum spuneam pareri, sugestii, tot ce considerati ca merita sa stiu ca sa pot aduce aceasta ideea live. Orice sprijin ar fi mai mult decat bine venit.

[UnUser]

@kerosen

Lasa-mi un PM cu idul tau de messenger si te ajut cum pot !

[l34k]

kerosen,

E riscant ce vrei sa faci. Probabil iti bazezi businessul pe asa ceva si vrei sa vezi daca ai fi compromis. Probabil ti-ai facut deja ceva calcule si iesi cel mai ieftin asa.

Categoric nu m-as baga indiferent de suma de bani. Ii sfatuiesc si pe altii sa faca la fel.

[UnUser]

De ce nu te-ai baga ? Explicati si voi ce vii se pare underground/ilegal ?

[kerosen]

kerosen,

E riscant ce vrei sa faci. Probabil iti bazezi businessul pe asa ceva si vrei sa vezi daca ai fi compromis. Probabil ti-ai facut deja ceva calcule si iesi cel mai ieftin asa.

Categoric nu m-as baga indiferent de suma de bani. Ii sfatuiesc si pe altii sa faca la fel.

@l34k Ce ti se pare riscant?

Pentru un admin care are un server in productie expus, o astfel de solutie l-ar ajuta sa ii fie testat serverul/configuratia in conditii sigure si acoperit de anonimat pentru anumite vulnerabilitati care el le specifica.

Pentru hacker, decat sa se expuna unor riscuri pentru cativa euro, ar putea sa o faca risk free si sa primeasca bani atat pentru spargere cat si pentru consultatie.

Multumesc totusi de parerea ta. ;-)

[Nytro]

Eu am discutat cu el si e vorba de ceva serios. Va rog, fara comentarii aberante si inutile.

[BogdanNBV]

Si eu am discutat cu el, si e o idee chiar interesanta, si serioasa!

[kerosen]

@Nytro @bogdannbv multumesc de aprecieri.

Da este o idee foarte serioasa si da, am nevoie de ajutorul acestei comunitati. Si da, este un proiect care il vreau international.

[kerosen]

Ok, pentru cei interesati de proiect, in sensul ca ar dori sa faca bani LEGAL, sa participe la un viitor concurs real pe bani, si sa isi faca loc in "Hacker's Hall of Fame" dar si pentru cei care doresc efectiv sa ajute, am pregatit un survey la adresa: http://bit.ly/nZlQei

Rugamintea mea este sa-l tratati cu seriozitate.

Multumesc si o zi faina sa aveti

[kerosen]

Pentru ca multi ati citit acest post dar inca nu v-ati experimat un punct de vedere, o sa incerc sa descriu proiectul cum pot:

- Problema:

- Testarea manuala a serverelor pentru companii mici, mijlocii, din offline sau online.

- Solutia existenta:

- Angajarea unor companii specializate in teste de securitate online:

-Dezavantaje:

- Costuri mari (chiar foarte mari) pentru companii mici si mijlocii.

- Majoritatea angajatilor fiind CEH (Certified Ethical Hacker) nu au mindset-ul unui hacker real.

-Solutia propusa:

- Hack A Server:

-Avantaje:

Pentru companii:

- Costuri accesibile companiilor mici si mijlocii, dictate de cere si oferta (adminul spune cat poate plati pentru serverul lui, hacker-ul accepta sau nu).

- Tastarea este executata de adevarati hackeri (white, grey, black).

- Asistent? gratuita (automatic testing)

Pentru Hackeri ?i Admini:

- Hackerii testeaza replici reale pe bani reali dar si legal.

- Administratorii primesc feedback de la Hackeri reali.

- Fiecare in parte castiga reputatie.

- Recunoasterea de catre comunitatile implicate.

- Hall of Fame va fi un avantaj foarte mare cand un Hacker sau Administrator este solicitat pentru serviciile sale.

- Participarea la concursuri cu premii in bani reali sponsorizate de companii de profil

- Fiind vorba despre un format gen wargames, chiar daca este o munca foarte serioasa, intentia este de a transforma si in ceva fun

[kerosen]

Cum va suna si la ce va ganditi ca ati putea gasi pe un site care s-ar numi:

PenTeDome.com ?

[turnback]

Ideea e buna. Ganduri. Cum vad eu situatia. Cum ma gandesc ca ar fi cel mai usor. Daca zici ca vrei sa o faci world wide, trebuie sa fie usor de inteles si facut.

Ai nevoie de o aplicatie online cu 2 feluri de conturi, Admins si Hacks.

Partea nr 1. si cea mai complexa, la care nu am vazut o solutie, pentru replica reala a serverului:

Vine administratorul, isi face cont. In cont va avea posibilitatea sa adauge mai multe servere (are 1-2-3-4-5)(aici e loc de monetizare). Aici vine partea tricky, la care trebuie sa te gandesti efectiv la o metoda tehnica cu care sa ii faci imaginea serverului sau.

Aici m-am gandit la urmatoarele solutii:

- realizam un script care aduna toate informatiile cu servicii, aplicatii and all the shit around... db...web apps..(si aici e rost de monetizare cat de deep sa intre scriptul) pe care il punem sa-l ruleze el. Rezultatele le va baga el cu manuta "import file".

- il punem sa faca un user normal fara prea multe drepturi dar deajuns incat sa tragem ce ne intereseaza. Ne da userul si cu el sa facem o chestie automata de login, grab, logout. Eventual sa-l prasim periodic pentru schimbari de servicii updates patch-uri.

- un formular in care sa treaca el toate serviciile pe care le are cu versiuni and shits... dar aici e limitat, daca are site custom made nu are cum sa-l verifice de gauri.

Aici cu informatiile trebuie facut automat un virtual care sa semene...

Partea nr 2. Hackerul se logheaza si-i da in cap. Aici are nevoie de o lista cu serverele create pe care sa le poata accesa cumva.. .

Na, sunt o gramada de chestii tehnice de rezolvat. Multe par destul de grele de facut... Daca gasesti programatori buni dispusi sa munceasca moca (sau macar pe bani putini), dar bine, ok. Daca NU-l gandesti bine de la inceput si nu ai programatori buni... iti recomand sa nu te bagi

Eu ca admin de sistem, mi-ar place sa vad daca am serverele gauribile, fara sa stie Hackerul ce a gaurit (aici cum faci cu aplicatiile web?).

Ideea e buna. Viziunea pea asupra ei e destul de simpla dar si complexa in spate. Again, ai nevoie de programatori buni care sa gandesca in perspectiva.

Eu nu am inteles daca ai deja vreo solutie in spate ca ideea sa mearga brici. Asta mi-a cacat mintea pe moment.

Edited October 26, 2011 by turnback

[Andrei]

Nu prea poate fi implementata partea de "replici" pentru ca vor fi probleme cu confidentialitatea destul de mari :

- cod sursa privat

- daca firma are 5TB de date cum faci o replica automata a serviciului respectiv?

- cum te asiguri ca respectivul nu vinde la concurenta pentru mai multi bani? fiind vorba de un serviciu pe bani putini, s-ar putea intelege cu concurenta pe un pret ceva mai maricel. Aici trebuie ceva legat de NDA dar nu iti garanteaza tot.

Ideea e faina, insa dificil de pus in practic ca un serviciu standalone. Multa bafta!

[BogdanNBV]

in ideea de baza, pe serverele replica nu sunt si datele serverului real, replicile fiind servere cu aceeasi configuratie ca hardware(probabil) si cu aceleasi aplicatii de securitate, serverele replica nu vor contine nici un fel de data importanta, ci doar aplicatiile/configuratiile/etc. pe care administratorul le are pe serverul sau real, el testand doar securitatea serverului, ne punand datele in pericol, si i-am propus ca si hackerul sa primeasca un server de pe care sa actioneze, si sa poata fi si monitorizat in caz ca incearca alte tipuri de atacuri decat cele cerute de administrator sau alte cele, serverele atat replica cat si serverul hackerului nu vor avea acces la internet, ci vor fi legate in lan.

Edited October 26, 2011 by BogdanNBV

[Andrei]

@bogdanbv Da, dar asta mi se pare un efort destul de maricel din partea celui care vrea sa fie auditat.

[BogdanNBV]

de ce (sau ce) ti-se pare un efort asa de maricel?

Edited October 26, 2011 by BogdanNBV

[Andrei]

Pai cum poti sa spui ca e simplu sa copiezi toata configuratia unei retele de servere cu toata arhitectura si sistemele de protectie? Cel putin asta am inteles eu din descrierea lui. Daca e vorba doar de auditarea codului, atunci nu-i mare chestie. ;-)

LE : Configurarea decenta poate dura si cateva zile. Asta transforma serviciul intr-unul destul de lent, dar ma repet, daca se vrea atat de mult implementarea, lui, why not? Cert e ca eu nu l-as folosi in stadiul actual.

[co4ie]

Hack a server e simplu (de incercat)... Hack Network ...e cu totul altceva !!!

[BogdanNBV]

Andrei, ai inteles gresit, aici este vorba doar de un server, nu de intreaga retea, ar fi absurd sa incerci sa faci un asemenea serviciu.

[turnback]

Ok si cum zici tu ca faci partea tehnica cu "doar de un server"? Si sa nu-mi pui adminul sa faca prea multe chestii..