Astakos Δημοσιεύτηκε Ιανουάριος 5, 2011 #1 Κοινοποίηση Δημοσιεύτηκε Ιανουάριος 5, 2011 Τις τελευταίες μέρες κάνω μια έρευνα για ένα άρθρο σε τακτικές spamming και σύνδεση τους με γνωστές ελληνικές εταιρίες.. Στην προσπάθεια μου εντοπίσω κάποιους χρηστές και να συνδέσω γεγονότα,user accounts και κοινά mail χρησιμοποίησα αλυσιδωτές αναζητήσεις με διάφορες μηχανές στο διαδίκτυο. Το αποτέλεσμα ήταν χωρίς να το καταλάβω να βρεθώ με δικαιώματα adminιstrator σε κρατικό οργανισμό της Κύπρου και μάλιστα να έχω στην διάθεση μου ένα mail list με 3500 διευθύνσεις. Απλά πατώντας σε ένα άσχετο url, τιποτα πονηρό από αυτά που μπορεί να σκεφτείτε.. Δοκιμάζοντας από διαφορετικό δρόμο ζητάει aunthetication αλλά από το παραπάνω url που παραπέμπει σε κάποιο document με πετάει κατευθείαν μέσα. Τι κάνω τώρα?Ποιον ενημερώνω? Τον διεθυντή, τον admin που το άφησε ξεφραγκο, την εταιρία που εχει Link οτι έφτιαξε το ξεβράκωτο site?Και πως το κάνω? Ανώνυμα?Παίζει να βρω τον μπελά μου? Φυσικά δεν προσδοκώ να κερδίσω κάτι από αυτό άλλα ένα ευχαριστώ θα το εκτιμούσα. Link to comment Share on other sites More sharing options...
eleozz Ιανουάριος 5, 2011 #2 Κοινοποίηση Ιανουάριος 5, 2011 ξεκινας με ενα email στον admin εξηγώντας την κατασταση και πως ακριβως βρεθηκες εκει και ενα email στον διευθυντη/προϊσταμενο να μιλησει με τον admin για να ενημερωθεί για το τι συμβαινει σιγουρεψου πρωτα οτι εισαι σιγουρος οτι δεν ειναι καμια πατατα και αν δεν εχεις τα στοιχεια απο admin,διευθυντη/προϊσταμενο παιρνεις ενα τηλεφωνο και τα μαθαίνεις. καλυτερα ειναι να το κανεις επωνυμα και οχι ανωνυμα ελπιζω μονο να μην πεσεις πανω σε τοιχους Link to comment Share on other sites More sharing options...
Astakos Ιανουάριος 5, 2011 Author #3 Κοινοποίηση Ιανουάριος 5, 2011 Τα τηλεφωνα και τα mails τα εχω Οτι πατατα και να ειναι, οσο και να εχω παρεξηγησει την κατασταση, προσβαση σε 3500 mails που μπορω να τους στειλω οτι χαζομαρα θελω με αποστολεα admin του οργανισμου ειναι χοντρο. Edit: ειναι ενεργα mails ανθρωπων.Τσεκαρα μερικα στο facebook.. Link to comment Share on other sites More sharing options...
Jaco Ιανουάριος 5, 2011 #4 Κοινοποίηση Ιανουάριος 5, 2011 Αν θες να κάνεις κάτι, στείλ' το ανώνυμα από internet cafe και σβήστε και το thread...Δεν ξέρεις με τι τύπους θα μπλέξεις, μην βρεις τον μπελά σου...Κανονικά αυτά δεν τα λένε καν online, είναι αρκετά πιο πολύπλοκο... Link to comment Share on other sites More sharing options...
eleozz Ιανουάριος 5, 2011 #5 Κοινοποίηση Ιανουάριος 5, 2011 το να βρεις ενα bug και να το επισυμανεις πριν δημιουργηση μεγαλυτερα προβληματα δεν νομιζω να ειναι ποινικο αδικημα εκτος και αν ξερεις οτι οι κυπριοι admin ξερουν 5 πολεμικες τεχνες εχουν μαυρη ζωνη στο καρατε 10 νταν και οπλοφορουν:triniti: Link to comment Share on other sites More sharing options...
Jaco Ιανουάριος 5, 2011 #6 Κοινοποίηση Ιανουάριος 5, 2011 mail-list... μάλλον δεν ξέρεις τι σημαίνει αυτό για κάποιες εταιρίες και το τι μπορούν να κάνουν αν ξέρουν ότι κάποιος είχε πρόσβαση σε αυτά...Τέσπα, δεν λέω ότι θα στείλουν κύπριους ninjah ή θα ξεκινήσουν διαδικασίες, απλά είναι κάποια πράγματα που θέλουν "μυστικότητα"... Link to comment Share on other sites More sharing options...
Astakos Ιανουάριος 6, 2011 Author #7 Κοινοποίηση Ιανουάριος 6, 2011 Ευχαριστω παιδια για τις συμβουλες.. Σιγουρα πρόκειται περί bug καθώς καθώς απο οτι κατάλαβα ειναι η λιστα με τα μελη που εχουν κανει subscribe στο site τους. Αν ακολουθησεις την προβλεπομενη διαδρομη σου ζηταει να κανεις Login σαν Admnin. Αν κανεις αναζητηση στο bing καποιο mail που υπαρχει σε αυτη την λιστα, εμφανιζεται καπου στο τελος ενας συνδεσμος απο dοcument σε στελνει κατευθειαν μεσα με την δυνατοτητα να στειλεις μαιλ σε ολους σαν ο ιδιος ο οργανισμος. Τέλος δεν ειμαι τοσο αφελης οσο μπορει να ακουγομαι στο πρωτο ποστ. Ξέρω τι σημαινει mail list και ποσο πουλιουνται στο freelancer,ξερω οτι με logare με το που βρεθηκα εκει και για κακη μου τυχη με την ιδια ip ειχα κανει και την καθημερινη πρωινή μου βολτα απο τα site για θεματα "IT security" που παρακολουθω.. Ενα παρατραβηγμενο και ακραιο σεναριο συνομοσιολογιας λεει οτι θα μπορουσα να γινω εξιλαστηριο θυμα για το μπαραζ hack επιθεσεων που εχουν γινει τον τελευταιο καιρο στην ελλαδα.Χωρίς δευτερη σκεψη εκανα αμεσα επώνυμη αναφορα στον οργανισμο την ιδια στιγμη που ανοιγα θεμα εδω, καθως θεωρησα οτι θα ηταν καλο να υπαρχει και καπου δημοσια.Ας μεινει καπου εδω χωμενο στο offtopic μεχρι νεοτερας. και θα προσεχω.. Link to comment Share on other sites More sharing options...
diodiastop666 Ιανουάριος 7, 2011 #8 Κοινοποίηση Ιανουάριος 7, 2011 στειλε ενα μαιλ στη καθεμια απο τις 3500 διευθυνσεις λεγοντας οτι ειναι σε κινδυνο.... να δεις για ποτε θα το φτιαξουν μετα απο το κραξιμο Link to comment Share on other sites More sharing options...
o polonos Ιανουάριος 7, 2011 #9 Κοινοποίηση Ιανουάριος 7, 2011 Οτι κ αν στειλεις στους 3500 μην ξεχασεις να υπογρψεις. tsakonas & astrolabos.ltd (ltd μιας κ ειναι κυπριοι) Link to comment Share on other sites More sharing options...
Astakos Ιανουάριος 7, 2011 Author #10 Κοινοποίηση Ιανουάριος 7, 2011 Δεν ειχα καμια απαντηση και δεν προκειται να χρεωθω τηλεφωνα στην Κυπρο να ψαχνω να μιλησω με υπευθυνους και εξηγω στο καθε κριαρι τι και πως.. Η λιστα ειναι ακομα ανοιχτη και μαλιστα μεγαλωσε (3506).. Θα στειλω και στην διωξη ηλεκτρονικου εγκληματος το ιδιο mail. στειλε ενα μαιλ στη καθεμια απο τις 3500 διευθυνσεις λεγοντας οτι ειναι σε κινδυνο....να δεις για ποτε θα το φτιαξουν μετα απο το κραξιμο Ηταν το πρωτο που σκεφτηκα αλλα μαλλον θα εβρισκα τον μπελα μου. Link to comment Share on other sites More sharing options...
oxide Ιανουάριος 7, 2011 #11 Κοινοποίηση Ιανουάριος 7, 2011 Δεν ειχα καμια απαντηση και δεν προκειται να χρεωθω τηλεφωνα στην Κυπρο να ψαχνω να μιλησω με υπευθυνους και εξηγω στο καθε κριαρι τι και πως.. Η λιστα ειναι ακομα ανοιχτη και μαλιστα μεγαλωσε (3506)..Θα στειλω και στην διωξη ηλεκτρονικου εγκληματος το ιδιο mail. Ηταν το πρωτο που σκεφτηκα αλλα μαλλον θα εβρισκα τον μπελα μου.Καλά έκανες φίλε, είναι αφελές και δεν πρέπει να προτείνουμε πράγματα έτσι στο χαλαρό.Ότι και να γίνει το full disclosure δεν είναι λύση. Link to comment Share on other sites More sharing options...
Astakos Ιανουάριος 7, 2011 Author #12 Κοινοποίηση Ιανουάριος 7, 2011 To full disclosure θα ηταν να εκθεσω δημοσια το vulnerability καθως επισης και την mail list. Αντιστοιχο με την χοντραδα που εγινε προσφατα και εξεθεσαν accounts,pass, επαγγελματα,διευθυνσεις απο το αρχειο της προστασιας καταναλωτη με προσχημα να εφηστησουν την προσοχη των admins. Απαραδεκτη και κακουργηματικη κινηση με μονο στοχο την αυτοπροβολή.Αυτο που πρότεινε ο φίλος παραπανω ειναι το λεγόμενο limited disclosure. Επειδη η διαφωνια για το πως οφειλεις να πραξεις σε τετοια θεματα υπαρχει καιρο στο ιντερνετ, δημιουργηθηκε το RFPolicy οπου προτεινει μια σειρα απο ενεργειες πριν το disclosure. (Να ενημερωσεις τους υπευθυνους,να δωσεις συγκεκριμενο χρονικο περιθωριο να φτιαξουν το bug και να σου απαντησουν κλπ) Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.