fusys ha scritto:
Spero ci sia la possibilita' di un ulteriore inutile msg in questo
thread :-)
[snip]
Raven wrote:
> La programmazione non è una scienza perfetta da qui, segue la mia
> domanda :) Sarà l' effetto della "vendita" delle scoperte di
> vulnerabilità che porta a questo ?
no. sara' che oggi codare un remoto per IIS e' ancora piu' difficile
di anni fa. e mentre addirittura nelle universita' si parla di stack
overflow, l'equivalente degli ADM o di Gobbles forse non e' solo
nascosto. Forse non esiste. Forse...
Rispondo solo per quel che riguarda il mio commento. Ti do ragione, non
esistono più equivalenti di persone simili ma non credo che sia ancora
più difficile scrivere un remoto per IIS in sé e per sé, forse, non si
ricerca più molto in quel campo e/o noi gente normale (parlo di me) non
ne veniamo a conoscenza molto facilmente come poteva essere qualche
tempo fa. Ricordo il bug di IIS, diamine se lo ricordo, c'erano perfino
i ragazzini di 16 anni che lo usavano e facevano la "ricchezza" di mille
canali warez o di film con le loro macchine. Client e server da tutto il
mondo con IIS 3/4/5 erano state bucate come poco tempo prima le SunOS
con l' exploit di rpc. Ora, i canali warez usano le webapp e sono sempre
quei ragazzini a bucare.
Dimmi quello che vuoi, ma risultati come quelli offertici da team come
TESO o perfino r57 a me mancano.
Nelle università, si parla dello stack overflow, come un barista parla
del suo capo con la moglie di quest'ultimo, ovvero per niente, o per lo
meno nella mia università è così. C'è tanto di quel vecchiume in alcune
università italiane, che manca poco che non si continui a programmare in
Pascal quello che può essere fatto in ruby ora. (Escludendo la
didatticità di tale linguaggio).
Onestamente, non mi pare vero che IIS6 sia così sicuro, da non far
uscire nemmeno un remoto o più di uno ?
TNT wrote:
> ma d'altro canto i cracker oggi quasi tutti indissolubilimente legati
> alla criminalita' organizzata, cio' che producono sono quasi
> esclusivamente trojan per il loro beneficio economico piu' che hacking
> tools, etc.
non saprei. le figure che descrivi c'erano anche venti anni fa.
Addirittura nel 1994 Rushkoff in "Cyberia" parla di gruppi che fanno
cracking "commerciale" da anni e riporta alcuni brevi cenni di
intervista/conversazione con alcuni di loro. solo che c'erano anche un
sacco di white/grey/black con le pa!!e fumanti in grado di fare quella
che oggi definiremmo ricerca. oggi si fa solo quella (sebbene in molti
casi MOLTO piu' noiosa e accademicamente vaporosa) e non ci sono piu'
quelli con le pa!!e, direi. immaginare che siano tutti cracker
commerciali mi sembra piuttosto una trama alla X-Files.
banalmente, oggi scoprire un bof locale non conta niente.
Non conterà niente, ma a me ingrifano lo stesso... fai tu :)
michele dallachiesa wrote:
> sicuramente il momento non e' esaltate... il problema, almeno in
> italia, e' che non ce' cambio generazionale. dove sono i nuovi
> ragazzetti che postano idee e codice? che provano a rompere qualche
> cosa? che collaborano in gruppetti a qualche progetto innovativo?
> bella domanda!
most true. speriamo solo che non sia realmente cosi'. vedo un sacco di
gente in IRC che fa "la grossa". speriamo producano anche qualcosa,
altrimenti tanto vale cominciare con "non ci sono piu' le mezze
stagioni" :-)
Esattamente! Di parolai ce ne sono a centimigliaia...Di persone che
fanno realmente qualcosa, possiamo usare tutte le dita che abbiamo in
corpo per contarli.
Denis lo Presti wrote:
> molti os lasciati in "default" sui server erano la scintilla che
> facevano divertire tanto,esplorando sempre piu fino al punto di
> scrivere magari qualcosa di personale portandola sui server attaccati
> e sperimentando le conseguenze.
puo' essere. ma queste scintille non portavano su phrack, direi. dal
numero 47 per almeno una quindicina di numeri, i "molti os lasciati in
"default"" non hanno MAI animato la ricerca dei vari articoli. oggi
mancano articolisti di quel calibro o, magari, non scrivono o, magari,
i lettori si adagiano al "non ci sono piu' i phrack di una volta" :-)
Può essere che realmente non ci siano le menti "brillanti" di una volta
che scrivono articoli per noi, come comunità... L' hai affermato tu
prima. Poco sopra. Quindi cosa facciamo, accettiamo così come si stanno
ponendo i fatti?
saretto wrote:
> le leggi sono cambiate sia in italia che a livello internazionale,
> sono molto severe rispetto a una volta. molti hanno paura a esporre
le > proprie sperimentazioni e vuln. in giro per paura di beccarsi un
> **ergastolo**. la legge sta perseguitando in un modo
> tremendo pirati informatici e hacker qualsiasi sia il loro scopo
> (lucro o semplice sperimentazione).
ma per favore :-)
quello che tu stai dicendo, se non ho capito male, e' che siccome ci
sono leggi piu' dure allora non e' che non codino/buchino/ricerchino.
No. Lo fanno di nascosto. Invece prima del 2001, prima della follia,
prima dell'anti-pirateria, della pedofilia, del phishing, quando
comunque c'erano leggi che parlano di ANNI DI RECLUSIONE per il
POSSESSO di codici abusivi di accesso, erano tutti piu' sicuri e lo
facevano alla luce del sole. MA PER FAVORE :-) ....
Non sono le leggi. Al massimo potremmo discutere in thread piu' lunghi
ancora di cosa abbia portato alla sicurezza in rete la full
disclosure. Di come si siano comportati i vendor. I media. Gli utenti.
I ricercatori. Di cosa abbia detto RFP e perche'. Di cosa abbia
portato al movimento antisec. E Gobbles? E la revange blackhat dal
2000 ad oggi? Ma non le leggi, no.
Forse chi sa ha deciso che non valga la pena divulgare. Forse.
Forse chi sa non c'e' piu' come una volta, perche' e' piu' difficile
sapere cosa sapere. Forse. E qui non si tratta di conoscere alla
perfezione linguaggi di programmazione o le tecniche (stra-)NOTE. Si
tratta di scoprire qualcosa di nuovo.
Concordo.
Prima delle leggi cattive potremmo supporre ci fossero, raggruppando
proprio tutti (?!), almeno 1 milione di smanettoni nella security in
tutto il pianeta (ho detto PROPRIO TUTTI). E quanti hanno scritto su
Phrack o hanno pubblicato dump delle sessioni SSH di gente stranota?
Quanti su un milione? Oggi quel numero e' ancora piu' basso. Dov'e' la
scoperta?
Le nuove leve che non abbiano voglia di fare SOLO i bulli.
Ma che abbiano voglia di produrre, in una decina di anni, una nuova
scena che abbia voglia di sperimentare. Forse abbiamo sbagliato noi :-)
Abbiamo creato bulli, FINTI blackhat e inconsapevoli utonti che si
fregiano di titoli vari.
Fanno i bulli perchè per sentirsi grandi basta andare su milw0rm
prendere l' exploit della webapp di turno ed hanno finito. A loro non
interessa capire il perchè c'è quella vulnerabilità, o per lo meno al
85% di questi ultimi non interessa.
Sono scocciato, annoiato e seccato di questa scena transient...Direi di
spogliarci tutti e correre nudi per le strade di Oslo, mi han detto che
fa caldo da quelle parti :)
Scusate lo sproloquio.
fusys
Grazie del ragionamento costruttivo che le tue parole mi hanno aiutato a
completare.
[raven]
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
