Resultados 1 al 20 de 20

Tema: la filosofia hacker

  1. #1 la filosofia hacker 
    Iniciado
    Fecha de ingreso
    Mar 2007
    Ubicación
    cadiz
    Mensajes
    27
    Descargas
    0
    Uploads
    0
    hola soy kraos_inside y tengo un pequeño problema
    siempre intento respetar todo aquello de filosofia y etica
    hacker

    la cuestion es la siguiente e encontrado un bug en una aplicacion
    que esta instalada en muchas web mas de 1.000
    y eso que me canse de escanear el bug

    con este bug se consige el user y el pasword del host
    digamos un control total del web

    si la publico o digo sera un desmadre de desfases
    de sitios inocente posiblemente por nowbies

    si no la digo rompo la etica a la informacion
    y la seguridad de todos

    que puedo hacer


    un saludo
    Última edición por kraos_inside; 09-04-2007 a las 16:03
    Citar  
     

  2. #2  
    Avanzado
    Fecha de ingreso
    Jun 2006
    Mensajes
    538
    Descargas
    3
    Uploads
    0
    ponte en contacto con el creador del programa para que lo parchee.

    Salu2
    Citar  
     

  3. #3  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.280
    Descargas
    7
    Uploads
    0
    Es lo que se suele hacer. Se le explica con detalle al creador del programa, de forma que sepa cómo parchearlo. Es un poco trabajar gratis, pero a fin de cuentas la filosofía de la que hablas es desinteresada.

    Independientemente de que te den los agradecimientos puedes comprobar que han parcheado el programa en versiones más recientes del mismo. Si no lo hacen es negligencia por su parte y es entonces cuando te encuentras en la tesitura que comentas sobre decidir si publicas o no el fallo. Normalmente es mejor hacerlo público, porque así se fuerza al autor a arreglarlo, en cambio, si no lo haces y lo explotas por tu cuenta, por muy buenas que sean tus intenciones no puedes evitar que haya más gente por ahí haciendo lo mismo pero con otras intenciones no tan buenas.

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  4. #4  
    Iniciado
    Fecha de ingreso
    Mar 2007
    Ubicación
    cadiz
    Mensajes
    27
    Descargas
    0
    Uploads
    0
    gracias por la colavoracion

    de momento explicare que es un servicio de host
    y en ese servicio puedes instalar una aplicacion
    esta aplicacion es phpmychat que poniendo en el navegador la direccion corecta te enseña el fichero de pasword de sql , ya me e puesto en contacto con ellos y me an pedido un examen forense y un ejemplo
    lo cual lo e echo con un host de puevas que tengo con ello

    ademas de poder esplicar mediante un tuturias del erro en mi web
    Citar  
     

  5. #5  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.703
    Descargas
    30
    Uploads
    8
    Ostia pues si que es serio.
    Nada, a ponerte con herramientas forenses y a ver que te comentan.
    Creo que en distros como bactrack o VDL tenias estas por defecto, con servidor inclusive, para hacerlo todo de golpe.
    Citar  
     

  6. #6  
    Iniciado
    Fecha de ingreso
    Mar 2007
    Ubicación
    cadiz
    Mensajes
    27
    Descargas
    0
    Uploads
    0
    hola otra vez ,hesmos creado el exploit de momento todo esta funcionando, lo hemos infomado todo ,no toman acciones en nada, no quemos tanto skilled_svr y yo kraos_inside decir mucho ya que es muy simple el bug
    el problema esta en inistalador del servicio host ( si de estos que compras un web y tiene unos paquetes para instalar )

    necesitariamos un poco de ayuda del staff de hackhispano
    Citar  
     

  7. #7  
    Avanzado
    Fecha de ingreso
    Jun 2006
    Mensajes
    538
    Descargas
    3
    Uploads
    0
    Deberías esperar unos días para que te respondan, y unos mas en que lo parcheen. Creo que haceis bien no publicandolo (de momento, si no toman medidas, tal y como dice j8, publicalo, así se le obligará a parchearlo).

    Cuando dices que el problema está en el instalador del host, ¿quieres decir que en versiones posteriores no tiene el bug?, ¿solo la version en concreto que ofrece el host?.

    Si es un problema de la ultima version, y no lo solucionan, cuenta conmigo en lo que pueda ayudarte.

    Salu2
    Citar  
     

  8. #8  
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    4.990
    Descargas
    178
    Uploads
    246
    Esta claro que antes de publicarlo hay que contactar con el desarrollador... una vez parchea con una nueva version, se publica... y el que no actualice "que se joda", asi ha sido siempre xD.
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  9. #9  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.703
    Descargas
    30
    Uploads
    8
    En mi opinión el primer paso, es avisar al desarrollador como te comentaban mis compañeros.
    Si no te responde o se hace el sueco, lo que se suele hacer es publicar el bug y el exploit en webs especializadas, como http://www.securityfocus.com/.
    Ahí puedes publicar el bug y el exploit.
    Tu has hecho lo que has podido, piensa que si en vez tuya lo hubiese encontrado un cracker con menos ética, hubiese aplicado el exploit directamente, sin mas premisas.
    Citar  
     

  10. #10  
    Iniciado
    Fecha de ingreso
    Mar 2007
    Ubicación
    cadiz
    Mensajes
    27
    Descargas
    0
    Uploads
    0
    hola, bueno todo lo hemos dicho de una manera lo mas aplicada posible ,demostrandolo claramente, no nos antoman en serio creo que las empresas de hosting no realizaran cambios ademas de no admitir el error

    el principal motivo de pedir ayuda es para demostrar de que eso esta hay
    que es vulnerable facilmente
    pero esta mas que claro que decirlo asi del tiron es una estupidez

    no podemos publicarlo por miedo a que nos demanden
    asi que nada todo a quedado hay
    Citar  
     

  11. #11  
    Moderador HH
    Fecha de ingreso
    Mar 2003
    Ubicación
    Galiza
    Mensajes
    3.918
    Descargas
    8
    Uploads
    1
    puedes publicarlo anonimamente, lo haces desde un sitio publico -ciber, universidad...- y jamas podran pobrar nada. Aunque tampoco creo que llegaran a demandar.

    Por cierto, ¿la empresa no sera "hospedajeydominios.com" por casualidad? porque esa te instala el phpmychat y tiene un fallito de seguridad muy similar al que comentas... precisamente fallito por culpa de la instalacion automatica que hacen de ese pequeño programa...

    Un Saludo

    PD: que conste que a mi me beneficia que no lo publiques, porque un amigo de la UNED tiene una pagina ahi y no me hace gracia que nadie le haga un desface, pero deberian ser un poco mas cuidadosos, ya que mi amigo ya les aviso de un fallo -precisamente el que el que comentaba antes- y le contestaron que ellos ofrecian ese programa, pero que no se hacian cargo de el, que el que lo instalaba era responsable....
    He conocido muchos dioses. Quien niegue su existencia está tan ciego como el que confía en ellos con una fe desmesurada. Robert E. Howard
    La suerte ayuda a la mente preparada.
    Citar  
     

  12. #12  
    Iniciado
    Fecha de ingreso
    Mar 2007
    Ubicación
    cadiz
    Mensajes
    27
    Descargas
    0
    Uploads
    0
    pues la cosa que puedo comentar es que en la mayoria de hosting que trae el packete de intalacion en el menu y que lo instala autometicamente
    pues tienen este error pero el erro no es de phpmychat sino del intalador
    que crea un archivo temporal "digamos asi" para acceder a SQL y tiene que ser eliminado por el administrador del web

    como puedes deducir el archivo esta en el directorio /...... (accesible del web)
    por lo que lo puede leer todo el que sepa el directorio
    Citar  
     

  13. #13  
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    4.990
    Descargas
    178
    Uploads
    246
    Un instalador tipo "Fantastico",no? Hay otro muy comun pero no recuerdo el nombre.
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  14. #14  
    Moderador HH
    Fecha de ingreso
    Mar 2003
    Ubicación
    Galiza
    Mensajes
    3.918
    Descargas
    8
    Uploads
    1
    El gran problema es que muchos de estos hosting usas ese software de instalacion automatica para ayudar y controlar las instalaciones de sus clientes, pero ellos no tienen ni idea de el, sino el fabricante del software, y ahi radica el problema.

    Yo ya embie a mi amigo un mail para que tenga cuidado e repare el error manualmente.

    Que por cierto, solo en hospedajeydominios hay un buen monton de gente afectados por el fallo, principalmente porque hace una temporada te instalaban automaticamente ciertos paquetes en una de las modalidades, y entre ellos el mencionado.

    LUK el mas usado es Fantastico como complemento al panel cPanel, pero pero hay otros como EasyApps sobre H-Shere. EasyApps son casi identicos y tienes aproximadamente las mismas aplicaciones. Pero hay mas, aunque los anteriores creo que aun son los mas usados, pero debido a que Fantastico esta muy desactualizado, por ejemplo para cPanel surgio Istallatron que tiene muchos mas scripts y mas actualizados, creo que tiene cerca de 90 scripts, muchos comparandolos con los apenas 31 o 32 del EasyApps para Hshere...

    Un Saludo
    He conocido muchos dioses. Quien niegue su existencia está tan ciego como el que confía en ellos con una fe desmesurada. Robert E. Howard
    La suerte ayuda a la mente preparada.
    Citar  
     

  15. #15  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.703
    Descargas
    30
    Uploads
    8
    kraos_inside, si tienes cualquier cosa nosotros te echamos un cable.
    Nadie tiene porque demandaros, les estáis haciendo un jodido favor.
    Saludos
    Citar  
     

  16. #16  
    Moderador HH
    Fecha de ingreso
    Mar 2003
    Ubicación
    Galiza
    Mensajes
    3.918
    Descargas
    8
    Uploads
    1
    Por desgracia muchos ahora ven mas facil demandar a quien encuentra sus fallos que solucionarlos, ademas asi ellos se libran de posibles demandas futuras por fallas en sus productos, que aunque raras ya empieza a haberlas. El mundo esta jodidamente mal se persigue a la buena gente y se recompensa a las alimañas. Hace unos años que te daban las gracias por tu ayuda al avisarlos del fallo y ahora te demandan.

    Aunque no creo que lo hagan, ya que esa no es una gran compañia, tambien es cierto que dependen mucho la imagen que dan y reconocer fallos es mala politica comercial, ese tipo de compañias lo que mejor les viene es que no se habla de ellas en los medios mucho, sino que sean los propios potenciales usuarios de su software los que le hagan publicidad. Y casi todas las empresas de hosting de cierta calidad buscan aplicaciones que ante todo sean seguras, ya que su negocio en gran medida depende de ellas, y una que tiene fallos muy conocidos -aunque ya allan sido corregios, o que los corrigieron a los 5min de que se descubrieran- les asusta. Aunque normalmente la calidad de un software no se mira en que tenga pocos fallos, sino que tenga muchos fallos corregidos, pero eso la mayor parte de los profesionales parece que quieren saberlo. Y es que hay muchas maximas en la programacion, pero una de las que nunca falla es: "cuantos mas fallos hayas corrregido ya, menos te quedaran por corregir", porque fallos los tienen todas las aplicaciones.

    Un Saludo2007 most impressive screensavers

    myscreensavers.info
    He conocido muchos dioses. Quien niegue su existencia está tan ciego como el que confía en ellos con una fe desmesurada. Robert E. Howard
    La suerte ayuda a la mente preparada.
    Citar  
     

  17. #17  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.280
    Descargas
    7
    Uploads
    0
    Por supuesto, si quieres hacer uns publicación anónima es fácil y estaré encantado de echarte una mano.

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  18. #18  
    Iniciado
    Fecha de ingreso
    Mar 2007
    Ubicación
    cadiz
    Mensajes
    27
    Descargas
    0
    Uploads
    0
    he pensado publicarlo pero usaremos un poco de paciencia
    yo donde veo el principal problema es en las otras web las afectadas

    aunque tambien se podria tokitear la info ( decirlo de forma solo para hackers o de un poco de nivel o webmaster ) puedan acceder al archivo exacto
    si fuera posible decir algo sin decir mucho

    de todo modos en el momento de publicacion sereis los prieros en saverlos

    todos sabemos que es un instalador que el programa es phpmychat

    que tal quedaria la cosa con capturas un pequeno tutorial y algo mas
    aceptaria sugerencias
    Citar  
     

  19. #19  
    Avanzado
    Fecha de ingreso
    Jan 2008
    Mensajes
    170
    Descargas
    8
    Uploads
    0
    estoy de acuerdo con luk y los demas, ponte en contacto con el creador del programa, y se lo explicas,al cabo de un tiempo, sácalo a la luz, y si no te ha hecho caso, peor para el no?
    "La información es poder "
    Citar  
     

  20. #20  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.703
    Descargas
    30
    Uploads
    8
    Las fechas.......
    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 09-01-2012, 12:16
  2. Filosofia cibernética
    Por ABDERRAMAH en el foro CIBERACTIVISMO
    Respuestas: 10
    Último mensaje: 04-05-2009, 14:09
  3. Un hacker podria .....o no
    Por loki_lokis en el foro TELEFONIA
    Respuestas: 1
    Último mensaje: 21-08-2006, 12:25
  4. documento hacker
    Por the_piyoyo en el foro GENERAL
    Respuestas: 3
    Último mensaje: 18-08-2006, 17:54

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •