Przestepstwo?

**Amarel** · 01-02-2008

Hej. Dostalem dzisiaj takiego maila:

Witam
Znalazlem Błedy na państwa stronie <link> dzieki ktorym mozna:

-Dostac sie do FTP (plikow)
-Dostac sie do phpmyadmin(Baz danych)
-Dostac sie do Panelu admina

W celu pomocy w zabezpieczeniu tych luk prosimy o skontaktowanie sie ze mna [email protected]
Dziekuje z Poważaniem unnamed

UDOWONIE BŁAD!!!

Odpisalem mu, ze chce wiedziec co i jak to napisal:

Prosze Podac link do Strony

Podalem mu link bedac zdziwionym, ze napisal do mnie sam, a teraz nie wie juz nawet jaki adres, a on mi odpisal:

Bo dzis znalazlem luke na wielu stronach,

U panstwa wystarczy ze dam takie oto zapytanie
<tutaj jest link ze sql injection> i mam hash hasła admina wystarczy dekodowac i mam haslo

Jesli checie panstwo abym zabezpieczyl mozemy sie dogadac co do ceny.
Z powazaniem d3mp0
CZekam na odpowiedz

Wyciagnal hasha z jportala, ale ten system koduje je chyba w md5 wiec chyba trzebaby bylo byc idiota zeby odgadywac te haslo kilka lat metoda brute force, zwlaszcza, ze niektorzy moga miec hasla 20-literowe

Odpisalem:

Troche jest to zalosne co Pan robi

Nie jestem kulejnym glupkiem, ktorego ma Pan nadzieje naciagnac.
Po pierwsze mam inne haslo do wszystkiego, nawet do ftp czy tez mysql.
Zdekodowanie takiego hasla jest niemozliwe. To znaczy szczerze mowiac nie znamy jeszcze przypadku zeby ktos wymyslil dekoder md5, ale to szczegol :P Moze Pan jest swiatowej slawy hakierem. A jesli uda sie nawet Panu odkodowac moje 20-literowe haslo jakims bruteforcem za 20 lat to gratuluje glupoty.

Niestety, nie zdaje Pan sobie sprawe z kim Pan chce w to grac. Dodatkowo zle zabezpieczyl Pan swoja wiadomosc. Wyciagnalem juz pana IP. Chyba nie zglosze tego na policje, chociaz kto wie - tez mozemy dogadac sie w sprawie roznych cen

Pozdrawiam
Konrad, pogromca idiotyzmu spolecznego

P.S.
Jak zechce to sam to naprawie bo jestem skrypterem php. Zdaje sobie sprawe z tych bugow bo mozna je znalezc nawet w google. W krotkim czasie planuje wylaczyc ta strone.

A on mi na to:

Niestety ale na policje nie mozecie isc bo nic nie zrobilem, zapytalem tylko czy pomóc

Wiec ja mu na to:

Ale to jest zerowanie na innych ludziach i wykorzystywanie ich naiwnosci.

Wiec on mi teraz napisal:

Wiec chcesz zglosic na policje tak?

Pomozcie. Co mam z nim zrobic? Czy to jest przestepstwo? Co mu odpisac?
Jego mail to [email protected]

**GSG-9** · 01-02-2008

a wystarczylo podziekowac porozmawiac i zalatac a nie odrazu afere robic ~~

co do md5 mozna znalesc hash w md5 db

database
passcracking.ru
hashchecker.com
tydal.nu
gdataonline.com
securitystats.com
milw0rm.com
md5.rednoize.com
md5encryption.com
md5.dustinfineout.com
us.md5.crysm.net
md5-db.com
md5hashes.com
sha1search.com
md5.elemneo.pl
md5.xpzone.de
csthis.com/md5
schwett.com/md5
md5.benramsey.com
md5this.com
hackerscity.free.fr
ice.breaker.free.fr
md5search.deerme.org
md5decrypter.com
securitydb.org/cracker
plain-text.info
md5lookup.com
md5.geeks.li
hashreverse.com
md5.overclock.ch
md5crack.it-helpnet.de
astalavista.net
mmkey.com/md5
md5recover.com
und0it.com
emte.w.phc.pl/md5

no chyba ze tam nie bedzie :P

**Amarel** · 01-02-2008

Po co mi lista stron na ktorych nie koniecznie musi byc 20-literowe haslo? Trafienie na dane haslo to czysty przypadek.
Nie pomogles mi. Chcialem sie dowiedziec jakie kroki mam podjac, aby ten uzytkownik przestal zerowac na innych?

Wejdzie jakies dziecko, nauczy sie podstaw php, wejdzie na byle jaka stronke z bugami, znajdzie cos co znalezli inni i pisze po adminach jportalow, ze znalazlo buga i moze go platnie zalatac chociaz w google instrukcji jest duzo.

**gogulas** · 01-02-2008

Istotnie, wymyslil sobie gosc sposob na spedzanie wolnego czasu, ogolnodostepna luka w ogolnodostepnym darmowym cmsie, studiowanie google i szukanie frajera ktory sie przestraszy i zaplaci,
Niestety nie jestem do konca pewien czy on robi cos sprzecznego z prawem, nie szantarzuje, nie wlamuje sie, niczego nie wymusza...

Podobna sytuacja byla kiedy Panowie Michaly cos tam wysylali do home.pl ze niby maja luke i za pomoc w jej usunieciu 200k pln. :P

Popos hashow (z jportalu

) passcrackingru odnalazl mi w ok tydzien 15 znakowy (litery cyfry) haslo, wiec przelamywanie skrotow md5 jest jak najbardziej mozliwe i prawdopodobne, okreslam to prawdopodobnienstwo w ciemno na 30% :P

**Amarel** · 01-02-2008

Dziekuje za pomoc. Nie bede z nim walczyl. Nie ma sensu.

**kosiarz** · 01-02-2008

a tak w ogóle to d3mp0, to chyba dostał zakaz siadania do kata podłączonego do sieci z tego co sie orientuje, daj sobie z tym spokój poszukaj sam luki uaktualnij soft.

**TQM** · 01-03-2008

W sumie nic zlego nie zrobil, probowal co najwyzej wysepic kase (napisal ze udowodni swoja teorie wiec to zabrzmialo jak grozba) ale nic wiecej. Ja bym zignorowal i odeslal na przyslowiowe drzewo.

Pamietajmy, ze w takich sytuacjach nalezy zachowac dalece idacy dystans i rozsadek udzielajac jakichkolwiek odpowiedzi. W koncu nie wazne jak wielka moze byc moja wiedza i doswiadczenie - zawsze mozna trafic na lepszego... a nie doceniac przeciwnika to najwiekszy blad (vide Sun Tzu).

Jak do tej pory widzialem tylko raz aby jakikolwiek szantaz on-line zadzialal ale tam szlo o doslownie grube miliony i firma poswiecila jednego klienta by nie stracic wszystkich klientow... w tym wypadku widac delikwent sie nie wysilil

**eMCe** · 01-03-2008

hehe ja w takiej sytułacji:
a) sprawdziłbym czy mam najnowszą wersję...

b) jeśli nie uaktualnił zmienił Hasło,
podziękowałbym za poinformowanie o błędzie,
powiedział że nie potrzebujesz pomocy ponieważ soft jest darmowy,
i odpowiednie łatki znajdują się na stronie projektu...
gość się za specjalnie w tym wypadku się widocznie nie wysilił - bo czuję że nie zrobił nic więcej jak znalazł coś w bugtraq i poszukał w google jakie serwisy stoją na tym cms'ie

c) jeśli nie poprosiłbym w ramach upewnienia się o podanie tego hash'a i porównania ze swoim...
jesli hash'e sie zgadzają na pewno należało by dać znak twórcą projektu...

raczej nie zawierałbym transakcji z takim gościem - nawet jesli chcesz pomóc w rozwoju projektu to lepiej przekarz dotację dla opiekunów projektu a oni niech wykupią informację o błędzie....

------------
czego bym nie robił w takiej sytułacji...

napewno nie odgrażał się policją (tutaj nie ma szantarzu typu - mam twoje hasło cukierek albo psikus...)
tutaj jest propozycja pomocy....
jeśli nie chesz z niej skorzystać poprostu grzecznie odmów i podziękuj za poinformowanie o błędzie...

------------
co do łamania prawa to nie wiem czy wyciągnięcie hash'a nie jest już złamaniem prawa...
wkońcu jest to pozyskanie informacji nie przeznaczonej dla danej osoby poprzez przełamanie zabezpieczeń...

hehe no niestety tak sie to przedstawia...
z odnajdywaniem zabezpieczeń niestety tak już jest....
w znanych cms'ach trudno coś znaleźć..
w nowych nie ma funduszy na audyty...
a w cms'y "prywatne" - np. firm webmasterskich strach zaglądać z sieci...

jeśli ktoś już naprawdę jest w tym dobry zna rużne metody ataków sql inj,xss,csrf, js inj, html inj, itp... to może powysyłać maile do firm z oferta audytu aplikacji... - niestety programisci w takich firmach są przekonani że się nie mylą - i to jest ich największy błąd - ja tam nieraz błędy znajduję sam po sobie czytając kod z 5 raz... (o 4 nad ranem bardzo łatwo jest zapomnieć o walidacji którejś ze zmiennych...)

bynajmniej takie jest moje zdanie...

**anti** · 01-03-2008

Skoro w sprawie home.pl prokuratura stwierdziła, że nie było szantażu ani próby wyłudzenia, to tutaj chyba tymbardziej.. Nie popadajmy w paranoje.

Temat: Przestepstwo?

Narzędzia wątku

Display

Przestepstwo?

Przestępstwo?

Zasady Postowania

Subskrybuj