to disclose or to not disclose?

[escalation666]

Citind un tutorial de-al lui Aelphaeis Mangarae, urmatoarele fraze m-au pus pe ganduri...

But please DO NOT PUBLISH ANY EXPLOITS YOU WRITE, NEVER! DO NOT INFORM THE VENDOR EITHER! Why is this? There are many reasons; the first being is that script kiddies already have more than enough exploits to play with.

The second being publishing exploits makes vendors aware of their insecure coding practices.

Hacking isn't about helping the security industry, which leeches from Hackers.

A private exploit is a private exploit; keep it private; if not for yourself, for other hackers. There isn't much I hate more than seeing a private exploit appearing on milw0rm (or even worse, SecurityFocus.)

Din pacate ceea ce spune este adevarat....is prea multe exploituri la dispozitia script kizilor....partea benefica a cazului in care toti cei care gasesc exploituri sa le pastreze private este ca ar ridica nivelul de cunostinte al kinderilor...ei fiind obligati astfel sa invete mai mult.

Cat ceea ce spune despre cei care fac bani din pentesting, IT security, cercetatorii care fac bani din dezvoltarea exploiturilor etc...este partial adevarat.

Am intalnit cazuri in care pentesterii nu stiau chestii elementare, si puneau intreabari stupide pe securityfocus...dar cu toate astea probabil ei scoteau bani frumosi din activitatea lor.

So...to disclose or not to disclose?

[kw3rln]

mai mult le public alea slabe si pt reclama la RST nimik altceva ..

http://milw0rm.com/author/678

[escalation666]

Este si asta un punct de vedere...deci esti pentru disclosure, care contabilizeaza un vot.

[Guest Nemessis]

Omul se inseala in anumite privinte zic eu:

1. O informatie privata care deja o mai afla cineva este aproape de a deveni publica. Toti din domeniul asta stiu ca prieteniile sunt trecatoare si la un moment dat cel in care aveai incredere si il considerai prieten iti poate deveni adversar. Totusi e imposibil pentru un om sa tina un secret doar pentru el. Face parte din natura umana sa spui si altcuiva aceste "mici secrete".

2. Daca nu raportezi si se afla de el iti pierzi creditul si altcineva isi va asuma acel credit.

3. Orice bug oricat de secret ar fi tinut va fi observat de cineva odata si odata cand va fi folosit.

[Guest flama]

@ escalation : agreed disclosures omoara pofta de invatzat oricui pentru ca ii sunt servite pe tava cam toate.

@ kwe : agreed nici eu nu fac disclose la vulnurile puternice care le gasesc shi imi sunt utile numai pentru ca imi imaginez siteuri vulnerabile sparte cu bannere de turci care se cred hakeri (URASC DEFACEURILE FACUTE AIUREA daca faci deface fa la un site interesant nu la orice gasesti)

@ nemessis dissagreed daca pe tine te intereseaza mai mult creditele decat placerea de a descoperi vulnul in sine shi de a te "juca" cu el inseamna ca nu esti omul pe care mi'l imaginasem ..

ash mai zice niste chestii dar o iau pe camp asha ca ma limitez la atat

[Guest Nemessis]

Mi-am pierdut placerea de a ma mai juca flama. Sincer iti zic ca nu ma mai intereseaza partea asta. Ma refeream strict la faptul ca e deranjant sa vezi cum altul isi atribuie meritele pentru munca ta. Oricum lumea cand foloseste un exploit nu prea se uita la cine l-a creeat dar totusi... nici ca Carcabot.

[epic]

Daca o luam din punct de vedere a eticii, in momentul in care descoperi o vulnerabilitate, trebuie sa anunti producatorul/adminul/etc.

[Guest Nemessis]

Bine ai venit epic. Sper sa ramai si pe la noi cat mai mult timp. Ma bucur sa te vad pe RST.

[Nabukadnezar]

Comunitatea Black Hat pierde teren pentru fiecare exploit publicat asa ca cei care publica exploit-uri 0day nu pot fi considerati hackeri. Sunt 100% de acord cu Aelphaeis Mangarae.

[Guest Nemessis]

Comunitatea Black Hat pierde teren pentru fiecare exploit publicat asa ca cei care publica exploit-uri 0day nu pot fi considerati hackeri. Sunt 100% de acord cu Aelphaeis Mangarae.

Hackerul (am ajuns sa urasc cuvantul asta) prin definitie este specialist in securizarea sistemelor. Logic ar fi ca o astfel de persoana sa anunte descoperirea bug-urilor.

[epic]

Ma amuza faptul ca tocmai Aelphaeis Mangarae a spus asta, avand in vedere ca isi face veacul pe forumurile blackhat.

@Nemessis: Merci pentru primire.

[Nabukadnezar]

Comunitatea Black Hat pierde teren pentru fiecare exploit publicat asa ca cei care publica exploit-uri 0day nu pot fi considerati hackeri. Sunt 100% de acord cu Aelphaeis Mangarae.

Hackerul (am ajuns sa urasc cuvantul asta) prin definitie este specialist in securizarea sistemelor. Logic ar fi ca o astfel de persoana sa anunte descoperirea bug-urilor.

Nu e logic. N-are nici un interes sa faca asta, nu castiga nimic procedand astfel, asa ca de ce e logic? Ai uitat sa dai macar un argument plauzibil. Poate doar din dorinta de a atrage atentia asupra lui, devenind astfel o curva a publicitatii. O sa ajunga probabil programator la vre-o firma, lucrand pentru altii pe care i-au dus mai mult capul. Am o gramada de prieteni care sunt hackeri adevarati, nu glume de oameni care cauta exploit-uri doar ca sa le puna pe milw0rm. E vorba de persoane care n-au nevoie sa dea definitii la cuvantul "hacker" si nu urasc termenul, cum nici un tigru daca ar putea vorbi, n-ar vedea rostul sa faca o definitie pentru cuvantul "tigru".

[Guest Nemessis]

Argumente...

1. Fac ce vreau cu informatia gasita de mine.

2. Daca am gasit eu un exploit in aceea aplicatie o poate face si altcineva. Poate ca eu sunt mai bine intentionat decat urmatorul care il va descoperi.

3. Exemple de oameni ce au atras atentia asupra lor: rsnake, drorshalev, Mitnick. Daca ramaneau anonimi optiunile lor erau limitate. Faptul ca devii cunoscut nu este in niciun caz o miscare proasta. Pur si simplu "lumea buna" te cauta si poti afla foarte multe din cunostintele lor, lucru ce automat aduce imbunatatiri clare asupra informatiilor pe care le detii.

4. Nimeni nu isi face TOATE smecheriile publice. Intotdeauna fiecare om isi pastreaza pentru el ce considera ca este mai bun.

5. Cuvantul "hacker" are nevoie de definitii pentru ca este un simplu cuvant si este o expresie inventata de mass-media nu de "hackeri". Nu te poti autoproclama hacker, nu te pot proclama prietenii hacker. Este un atribut castigat prin recunoasterea ta de catre expertii in informatica. Daca esti anonim nu ti se pare imposibil sa ti se recunoasca experienta? Mie da.

6. Adevarata comunitate black-hat nu este atat de black cum zice lumea. Ei au colaborat si cu Microsoft in privinta patchuirii bugurilor din WinXP si WinXP SP1. De ce? Bani.

7. Daca eu personal gasesc ceva si fac disclose sunt mult mai motivat sa caut brese noi in aceeasi aplicatie. Automat cautand alte brese folosesc alte metode si aflu lucruri noi. Asa se castiga experienta

8. Ce e rau in a ajunge programator la firma cuiva si sa castigi bani frumosi? Banii nu se castiga gasind exploituri pe care le tii private, se castiga prin munca oricare ar fi aceasta. Nu cred ca un exploit privat in phpbb spre exemplu imi va tine de foame

9. Virusii mydoom, sasser, netsky au fost raspanditi pe net. Ce exista bun in treaba asta? Faptul ca spitalele, bancile, aeroporturile si institutiile publice au ramas zile intregi fara computere? Cate vieti omenesti puteau fi pierdute din cauza unor idioti care faceau concurs de hacking folosindu-se de descoperirile lor 0day? Ce au castigat prin asta? O mare parte dintre ei au ajuns la inchisoare pentru ani buni. Pacat, oamenii chiar se pricepeau dar au ales sa faca o tampenie mai mare ca ei.

Poate vom mai purta discutia asta peste cativa ani. Maturizarea aduce idei diferite in timp.

[Nabukadnezar]

Heh pana la urma amandoi am cam deviat de la discutie. E normal sa avem puncte de vedere diferite dat fiind ca eu sunt hacker si tu probabil lucrezi (sau vei lucra) la o firma de securitate care da batai de cap celor ca mine.

Castigam bani diferit si avem conceptii/mentalitati diferite asa ca nu putem ajunge la un numitor comun oricat am discuta. Spre norocul meu sunt suficient de bun ca sa nu am nevoie vre-odata sa ma angajez. Sper norocul tau ai publicat destule exploit-uri ca sa te angajeze orice firma de securitate.

[Nabukadnezar]

P.S. - Cand am zis ca amandoi am deviat de la subiect ma refeream mai mult la tine

[Guest Nemessis]

Incearca sa nu mai faci double posting te rog. Nu am lucrat si nici nu lucrez la o firma de securitate. Spre norocul meu sunt in stare sa castig destul si din altceva nu din vise copilaresti. Am altele pe cap si netul e modul in care imi pierd timpul. Cat despre fraza "eu sunt hacker" exista o singura modalitate sa dovedesti asta. Impresioneaza-ne. Exclude DDOS pentru ca asta o poate face oricine intr-un mod mai mult sau mai putin eficient

P.S. - am argumentat ideile mele referitoare la motivele pentru care poti sa faci disclosure, deci eram total on-topic cu toate ca daca te uiti atent aici este rubrica off-topic

[Guest flama]

dupa cum am spus sufera de grandomanie ... eu ii recomand www.carcabot.ro saucum era

[Nabukadnezar]

Lol flama esti un om de nimic. Ti-am zis pe mirc ca n-ai facut tu un exploit care pretindeai ca l-ai facut si de atunci zici toate kkt-urile cum vezi ca postez ceva. Cu ce-am suferit de grandomanie? Ca am zis ca sunt hacker? Dap, sunt hacker si tu esti foarte penibil. Ti se parea mare kkt sa-mi dai pe yahoo linkul de la rstzone sau sla.ckers, ca si cum cine stie ce secrete detineai. Daca mai vrei sa vorbesti cu mine nu mai scrie toate kkt-urile pe forum cum vezi un post de-al meu; stau in crangasi ca si tine, ne intalnim sau ma suni. (0721.187.929)

Nemessis... Vorbim prin e-mail daca vrei sa te impresionez. Ti-am trimis deja un e-mail legat de asta cand am facut contul, acum vreo 2 zile, pentru ca vroiam sa am aces la cele 2 forumuri private si mi-am dat seama ca asta era singura posibilitate prin care as fi putut obtine statusul de VIP. Sry pt 2xpost.

[Guest flama]

draga laur shtii ... flaming e interzis ... exploitul in cauza e facut de mine , faptul ca nu am inventat eu xss e o alta discutzie ... cu aceasta atitudine nu cred ca vei obtzine vip sau un alt statut inafara de banned. shi stiu ce o sa zici "shi ce crezi ca ma face pe mine statusurile de pe forumu asta de 2 lei" ... daca nu te faceau atunci nu te flambai asha rau

targeted

[Guest Nemessis]

La mail raspunde Kwerln intotdeauna. Momentan ai forumul la dispozitie ca sa dovedesti ce poti daca vrei si daca ai ce. Tine minte un singur lucru. Aici nu este IRC si nu stam sa facem competitii care este mai bun. IRC sucks si cunostintele acumulate de acolo sunt egale cu zero. Am dovedito si o voi mai dovedi in continuare. Been there seen that

Inainte de toate viziteaza te rog regulamentul forumului si vezi ca flame nu este acceptat sub nici un forma.