la filosofia hacker

[kraos_inside]

hola soy kraos_inside y tengo un pequeño problema
siempre intento respetar todo aquello de filosofia y etica
hacker

la cuestion es la siguiente e encontrado un bug en una aplicacion
que esta instalada en muchas web mas de 1.000
y eso que me canse de escanear el bug

con este bug se consige el user y el pasword del host
digamos un control total del web

si la publico o digo sera un desmadre de desfases
de sitios inocente posiblemente por nowbies

si no la digo rompo la etica a la informacion
y la seguridad de todos

que puedo hacer


un saludo

[Ktorce]

ponte en contacto con el creador del programa para que lo parchee.

Salu2

[j8k6f4v9j]

Es lo que se suele hacer. Se le explica con detalle al creador del programa, de forma que sepa cómo parchearlo. Es un poco trabajar gratis, pero a fin de cuentas la filosofía de la que hablas es desinteresada.

Independientemente de que te den los agradecimientos puedes comprobar que han parcheado el programa en versiones más recientes del mismo. Si no lo hacen es negligencia por su parte y es entonces cuando te encuentras en la tesitura que comentas sobre decidir si publicas o no el fallo. Normalmente es mejor hacerlo público, porque así se fuerza al autor a arreglarlo, en cambio, si no lo haces y lo explotas por tu cuenta, por muy buenas que sean tus intenciones no puedes evitar que haya más gente por ahí haciendo lo mismo pero con otras intenciones no tan buenas.

Salu2

Keep on Rollin'

[kraos_inside]

gracias por la colavoracion

de momento explicare que es un servicio de host
y en ese servicio puedes instalar una aplicacion
esta aplicacion es phpmychat que poniendo en el navegador la direccion corecta te enseña el fichero de pasword de sql , ya me e puesto en contacto con ellos y me an pedido un examen forense y un ejemplo
lo cual lo e echo con un host de puevas que tengo con ello

ademas de poder esplicar mediante un tuturias del erro en mi web

[clarinetista]

Ostia pues si que es serio.
Nada, a ponerte con herramientas forenses y a ver que te comentan.
Creo que en distros como bactrack o VDL tenias estas por defecto, con servidor inclusive, para hacerlo todo de golpe.

[kraos_inside]

hola otra vez ,hesmos creado el exploit de momento todo esta funcionando, lo hemos infomado todo ,no toman acciones en nada, no quemos tanto skilled_svr y yo kraos_inside decir mucho ya que es muy simple el bug
el problema esta en inistalador del servicio host ( si de estos que compras un web y tiene unos paquetes para instalar )

necesitariamos un poco de ayuda del staff de hackhispano

[Ktorce]

Deberías esperar unos días para que te respondan, y unos mas en que lo parcheen. Creo que haceis bien no publicandolo (de momento, si no toman medidas, tal y como dice j8, publicalo, así se le obligará a parchearlo).

Cuando dices que el problema está en el instalador del host, ¿quieres decir que en versiones posteriores no tiene el bug?, ¿solo la version en concreto que ofrece el host?.

Si es un problema de la ultima version, y no lo solucionan, cuenta conmigo en lo que pueda ayudarte.

Salu2

[LUK]

Esta claro que antes de publicarlo hay que contactar con el desarrollador... una vez parchea con una nueva version, se publica... y el que no actualice "que se joda", asi ha sido siempre xD.

[clarinetista]

En mi opinión el primer paso, es avisar al desarrollador como te comentaban mis compañeros.
Si no te responde o se hace el sueco, lo que se suele hacer es publicar el bug y el exploit en webs especializadas, como http://www.securityfocus.com/.
Ahí puedes publicar el bug y el exploit.
Tu has hecho lo que has podido, piensa que si en vez tuya lo hubiese encontrado un cracker con menos ética, hubiese aplicado el exploit directamente, sin mas premisas.

[kraos_inside]

hola, bueno todo lo hemos dicho de una manera lo mas aplicada posible ,demostrandolo claramente, no nos antoman en serio creo que las empresas de hosting no realizaran cambios ademas de no admitir el error

el principal motivo de pedir ayuda es para demostrar de que eso esta hay
que es vulnerable facilmente
pero esta mas que claro que decirlo asi del tiron es una estupidez

no podemos publicarlo por miedo a que nos demanden
asi que nada todo a quedado hay

[gondar_f]

puedes publicarlo anonimamente, lo haces desde un sitio publico -ciber, universidad...- y jamas podran pobrar nada. Aunque tampoco creo que llegaran a demandar.

Por cierto, ¿la empresa no sera "hospedajeydominios.com" por casualidad? porque esa te instala el phpmychat y tiene un fallito de seguridad muy similar al que comentas... precisamente fallito por culpa de la instalacion automatica que hacen de ese pequeño programa...

Un Saludo

PD: que conste que a mi me beneficia que no lo publiques, porque un amigo de la UNED tiene una pagina ahi y no me hace gracia que nadie le haga un desface, pero deberian ser un poco mas cuidadosos, ya que mi amigo ya les aviso de un fallo -precisamente el que el que comentaba antes- y le contestaron que ellos ofrecian ese programa, pero que no se hacian cargo de el, que el que lo instalaba era responsable....

[kraos_inside]

pues la cosa que puedo comentar es que en la mayoria de hosting que trae el packete de intalacion en el menu y que lo instala autometicamente
pues tienen este error pero el erro no es de phpmychat sino del intalador
que crea un archivo temporal "digamos asi" para acceder a SQL y tiene que ser eliminado por el administrador del web

como puedes deducir el archivo esta en el directorio /...... (accesible del web)
por lo que lo puede leer todo el que sepa el directorio

[LUK]

Un instalador tipo "Fantastico",no? Hay otro muy comun pero no recuerdo el nombre.

[gondar_f]

El gran problema es que muchos de estos hosting usas ese software de instalacion automatica para ayudar y controlar las instalaciones de sus clientes, pero ellos no tienen ni idea de el, sino el fabricante del software, y ahi radica el problema.

Yo ya embie a mi amigo un mail para que tenga cuidado e repare el error manualmente.

Que por cierto, solo en hospedajeydominios hay un buen monton de gente afectados por el fallo, principalmente porque hace una temporada te instalaban automaticamente ciertos paquetes en una de las modalidades, y entre ellos el mencionado.

LUK el mas usado es Fantastico como complemento al panel cPanel, pero pero hay otros como EasyApps sobre H-Shere. EasyApps son casi identicos y tienes aproximadamente las mismas aplicaciones. Pero hay mas, aunque los anteriores creo que aun son los mas usados, pero debido a que Fantastico esta muy desactualizado, por ejemplo para cPanel surgio Istallatron que tiene muchos mas scripts y mas actualizados, creo que tiene cerca de 90 scripts, muchos comparandolos con los apenas 31 o 32 del EasyApps para Hshere...

Un Saludo

[clarinetista]

kraos_inside, si tienes cualquier cosa nosotros te echamos un cable.
Nadie tiene porque demandaros, les estáis haciendo un jodido favor.
Saludos

[gondar_f]

Por desgracia muchos ahora ven mas facil demandar a quien encuentra sus fallos que solucionarlos, ademas asi ellos se libran de posibles demandas futuras por fallas en sus productos, que aunque raras ya empieza a haberlas. El mundo esta jodidamente mal se persigue a la buena gente y se recompensa a las alimañas. Hace unos años que te daban las gracias por tu ayuda al avisarlos del fallo y ahora te demandan.

Aunque no creo que lo hagan, ya que esa no es una gran compañia, tambien es cierto que dependen mucho la imagen que dan y reconocer fallos es mala politica comercial, ese tipo de compañias lo que mejor les viene es que no se habla de ellas en los medios mucho, sino que sean los propios potenciales usuarios de su software los que le hagan publicidad. Y casi todas las empresas de hosting de cierta calidad buscan aplicaciones que ante todo sean seguras, ya que su negocio en gran medida depende de ellas, y una que tiene fallos muy conocidos -aunque ya allan sido corregios, o que los corrigieron a los 5min de que se descubrieran- les asusta. Aunque normalmente la calidad de un software no se mira en que tenga pocos fallos, sino que tenga muchos fallos corregidos, pero eso la mayor parte de los profesionales parece que quieren saberlo. Y es que hay muchas maximas en la programacion, pero una de las que nunca falla es: "cuantos mas fallos hayas corrregido ya, menos te quedaran por corregir", porque fallos los tienen todas las aplicaciones.

Un Saludo2007 most impressive screensavers

myscreensavers.info

[j8k6f4v9j]

Por supuesto, si quieres hacer uns publicación anónima es fácil y estaré encantado de echarte una mano.

Salu2

Keep on Rollin'

[kraos_inside]

he pensado publicarlo pero usaremos un poco de paciencia
yo donde veo el principal problema es en las otras web las afectadas

aunque tambien se podria tokitear la info ( decirlo de forma solo para hackers o de un poco de nivel o webmaster ) puedan acceder al archivo exacto
si fuera posible decir algo sin decir mucho

de todo modos en el momento de publicacion sereis los prieros en saverlos

todos sabemos que es un instalador que el programa es phpmychat

que tal quedaria la cosa con capturas un pequeno tutorial y algo mas
aceptaria sugerencias

[54yk3r]

estoy de acuerdo con luk y los demas, ponte en contacto con el creador del programa, y se lo explicas,al cabo de un tiempo, sácalo a la luz, y si no te ha hecho caso, peor para el no?

[clarinetista]

Las fechas.......