| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
| |
Mais publicidade 'a Phibernet. Continua assim que vais bem.
-- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias |
| |
| |
| | herm, isto é a tua resposta standard a todos os advisories de todos os grupos, ou só daqueles com que implicas pessoalmente?
por favor, deixa que o brilho da tua mente nos ilumine, indicando o que achaste mal no advisory, ou volta para debaixo da pedra de onde saíste.
sheesh, não há paciência para estes gajos.
-- bgp is for those who can't keep it static long enough |
| |
| | | herm, isto é a tua resposta standard a todos os advisories de todos os grupos, ou só daqueles com que implicas pessoalmente? Nao implico com ninguem, porque nem os conheco. Agora, com o que implico e' com algo como: Devido à gravidade do problema, a Phibernet reserva-se ao direito de tornar pública esta informação 24 horas após o aviso. Sobre que criterio de conduta ? Sobre que base legal ? Achas honestamente que 24 horas e' tempo suficiente para qualquer organizacao receber um aviso e resolver o problema ? Uma conduta muito mais prestavel era avisar, ajudar a resolver e depois tornar publico em conjunto com a organizacao visada. A conduta da Phibernet por defeito e' irresponsavel e em geral pode mesmo ser ilegal em muitos casos. Parece que certo pessoal so' brinca com quem eles querem, e os outros sao os "lerdos". por favor, deixa que o brilho da tua mente nos ilumine, indicando o que achaste mal no advisory, ou volta para debaixo da pedra de onde saíste. Como disse -- nada de mal no advisory -- muito util ate' -- a atitude e' que esta' errada. Quanto 'a tal pedra -- tu e' que pareces estar com uma nos rins -- experimenta beber menos que isso passa. Regards,
-- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias
|
| |
| | se tiveres paciência para ler (como são artigos algo extensos, podem ser chatos):
bruce schneier e jericho
por outro lado, se assinasses a lista de discussão da phibernet, saberias que alguns dos que estão na lista tinham sido avisados por uma pessoa que não tem nada a ver com a phibernet, há meses (!!) e obviamente não tinham feito nada. a meu ver, nada como a full-disclosure para os pôr a trabalhar.
-- bgp is for those who can't keep it static long enough |
| |
| | Nao vou discutir argumentos de "full-disclosure" vs "bug secrecy" porque a questao nao e' essa. A questao e' a forma como grupos estilo Phibernet lida com estas coisas: "se nao recebermos uma resposta que nao consideramos valida toca a tornar tudo publico".
Na minha opiniao a atitude correcta e' fazer tudo o que e' razoavelmente possivel para avisar a(s) organizacao(oes) em questao, e depois quando estiver resolvido tornar publico -- se decidires tornar publico antes entao deves explicar qual e' o problema, mas nao dar detalhes do exploit -- a CERT tem feito isto durante anos e tem funcionado -- se achas que o teu modelo e' melhor entao nao me expliques a mim -- explica-lhe a eles.
-- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias |
| |
| | sim, o certo tem tido tão bons resultados que até mudaram a política deles de esperar ad aeternium (depois de alguns problemas estarem anos!! sem serem resolvidos) para 45 dias, penso eu de que... um bom exemplo, o cert.
-- bgp is for those who can't keep it static long enough |
| |
| | sim, o cert tem tido tão bons resultados que até mudaram a política deles de esperar ad aeternium (depois de alguns problemas estarem anos!! sem serem resolvidos) para 45 dias, penso eu de que... um bom exemplo, o cert.
-- bgp is for those who can't keep it static long enough |
| |
| | | Esqueci-me de referir -- se fores ler isto, o Bruce Schneier parece ter uma opiniao um bocado diferente: We shouldn't lose sight of who is really to blame for this problem. It's not the system administrators who didn't install the patch in time, or the firewall and IDS vendors whose products didn't catch the problem. It's the authors of the worm and its variants, eEye for publicizing the vulnerability, and especially Microsoft for selling a product with this security problem. You can argue that eEye did the right thing by publicizing this vulnerability, but I personally am getting a little tired of them adding weapons to hackers' arsenals. O que e' engracado -- parece que ele tem opinioes diferentes consoante traz mais lucro 'a Counterpane... que por acaso e' a empresa dele. Oh well... Regards, PS: tambem sei ler artigos para o caso de nao teres reparado.
-- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias
|
| |
| | | "Nao implico com ninguem, porque nem os conheco. Agora, com o que implico e' com algo como: Devido à gravidade do problema, a Phibernet reserva-se ao direito de tornar pública esta informação 24 horas após o aviso." Se é grave e quem gere as máquinas não é lesto(leia-se competente), porque é que não devem tornar público? É um favor que fazem aos utilizadores. Microsoft way (leia-se esconder), não é a panaceia. "Sobre que criterio de conduta ? A que acharam correcta. "Sobre que base legal ?" Mas que é que tem o direito a ver com isto? "Achas honestamente que 24 horas e' tempo suficiente para qualquer organizacao receber um aviso e resolver o problema ? Eu acho que sim, principalmente quando o software em questão já está patchado... "Uma conduta muito mais prestavel era avisar.." Avisaram a organização que desenvolve o software. Querias que avisassem também o Papa? "...ajudar a resolver e depois tornar publico em conjunto com a organizacao visada." Ajudar a resolver? Quem? Os sys admin? Não são pagos para isso? Aah, a papa feita não é? A organização que produz o software comunicou e agradeceu à phibernet "A conduta da Phibernet por defeito e' irresponsavel e em geral pode mesmo ser ilegal em muitos casos." Claro, é ilegal dizer que certos serviços são inseguros assim como dizer que Portugal é uma República das bananas, perdão, dos queijos. Os comentários do amigo Leitão é que às vezes não são os melhores. Assim como os meus também às vezes não são os melhores. Não façamos disso é prática corrente.
"Os meus 2 Duh!" Gimp zZzZz
|
| |
| | Boa, acho que ajudaste a esclarecer uma questão... mesmo que a base legal em que esse comunicado foi feito não seja muito bom, ao menos dá-me a possibilidade de se algum email meu nalgum desses servidores for lido sem a minha autorização, através desse bug, posso sempre por um processo em cima da empresa em causa, não se podem desculpar de nao terem sido avisados... e em relação a argumentarem que só me leram o email porque a phibernet divulgou o resultado, bem, contra-argumentação: da mesma maneira que a phibernet conseguiu usar esse bug, milhares de outras pessoas podiam ter usado... :P
HiTek DeVil |
| |
| | "horde/imp."Refiro-me a este software. Quanto ao rsto que dêm mas é corda aos sapatos. Serviço de auditoria de borla não é comum nos dias que correm.
"Os meus 2 Duh!" Gimp zZzZz
|
| |
| | Pois... ajudar os admins... e alguma vez viste um admin desses a mecher o cu para fazer o que quer que fosse sem antes acontecer qualquer coisa? Ao menos assim mechem o cu de certeza, ao ver os seus erros publicados... a pressão aí é maior (faz-me lembrar o pessoal da netcabo... parece que ao telefonar-se para o director da netcabo é o serviço técnico torna-se mais rápido... passam de não disponiveis a 5 minutos estarem a tocar à campainha... estranho para quem dizia que "só daqui a duas semanas pois estamos cheios de serviço inadiável....)
HiTek DeVil |
| |
| | "Achas honestamente que 24 horas e' tempo suficiente para qualquer organizacao receber um aviso e resolver o problema ?"
è mais do que suficiente.O problema nem sequer devia existir !!
"Uma conduta muito mais prestavel era avisar, ajudar a resolver e depois tornar publico em conjunto com a organizacao visada."
E já agora aproveitavam e despediam os admin's porque afinal nem faziam falta , já que a Phibernet detectava o problema , ajudava (fazia) a correção e a seguir dava uma conferencia de imprensa a anunciar que estava tudo resolvido.
Pena era para os sites que eles não testaram nem corrigiram... Esses estavam tramados porque não tinham sido "avisados".
|
| |
| | eia, faltava aqui a teoria da conspiração! lindo! estou mesmo a ver os departamentos de mkt das duas empresas (que se dão muito bem, como toda a gente sabe) a combinarem: 'pá, em vez de torrarmos uma pipa de massa em mais pub na tv, inforpors e afins, vamos mas é aí arranjar um grupo para dizer mal de todos menos de nós'... fenomenal!
-- bgp is for those who can't keep it static long enough |
| |
| |
Agora estas e' a ser ingenuo -- lembras-te da altura de um tal ISP que conheceste bem que entretanto foi comprado por uma tal IP ? Na altura nao havia umas certas guerrinhas entre grupos diferentes de techies de diferentes ISP's ? Nao achas que se calhar agora ainda existem, especialmente num pais pequeno como Portugal ?
Se calhar nao -- se calhar sim.
-- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias |
| |
| | Pois é.
O melhor seria não emitir advisory nenhum.
O melhor seria informar que APÓS já ter sido divulgado este bug na SecurityFocus-Bugtraq há algum tempo, os webmails das empresas xpto, continuam vulneráveis.
Mas não, lá foram os lerdos da Phibernet avisar admins preguiçosos com uma antecedência (desnecessária porque o bug já era conhecido), os quais na volta nem sequer sabem o que é uma Mailing List do género da atrás referida.
"Os 'fibras' sao novis/ptmultimedia... " ah são ? E como é que tu sabes disso ? Estás enganado, não são mais que um bando de cozinheiros, com receitas maçónicas para conquistar o mundo.
mms
__
"You can't beg the sun for mercy."
|
| |
| | O teu desejo de protagonismo fascina-me.
Isso é algum complexo Pavlov powered ? Tipo quando se fala em phibernet tu babas-te ? :-)
mms
___
"You can't beg the sun for mercy."
|
| |
| | | Le o meu comentario acima que explica a minha posicao.
-- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias
|
| |
| | Não estou a ver qual o problema... mesmo que fosse publicidade à phibernet, que eu tenha visto, até teem trabalhado bem... neste caso em concreto, até acho de grande utilidade, pena muitos admins não prestarem muita atenção à segurança e privacidade dos seus clientes e dados (neste caso emails e afins)...
HiTek DeVil |
| |
| | Acabaste de mostrar a tua capacidade de argumentacao... obrigado por mostrares que es um imbecil.
-- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias |
| |
| | Não compreendo o porquê do artigo ser tão extenso!
Não bastava colocar o link?
Pensei que a filosofia de um artigo fosse expor de uma forma resumida o seu conteúdo. Se o leitor achar interessante, lê, senão passa à frente...
Assim, claro que é, e como diz o Leitão, "BORING"...
Yours,
McB
They told me it need Windows 95 or better, so I chose Linux |
| |
| | as in recortes.org -
"Por último, Recortes apurou que entre todos os responsáveis contactados apenas dois responderam - sendo que um deles (que não revelamos para não piorar o caso) pediu para o seu servidor ser retirado por já ter sido corrigido, o que era mentira como constatou a PIN numa segunda verificação de rotina. O segundo dos responsáveis, que assinou com o seu nome pelo que não era um endereço respondedor automático, pediu... que telefonassem para o Serviço a Clientes!"
Quem foi ??? ;) Mais abaixo temos o phorum onde a caleida diz que ja alterou o xekmail.aeiou.pt ... http://www.recortes.org/comment/read.php?i=1156&t=1156&art=22829&dir=%2F228%2F22829.p hp
Cumprimentos,
vd |
| |
| |
| | A Caleida tem razão - e no mesmo forum já lha foi dada.
Recortes fará um update da notícia amanhã, sexta-feira, dia 16 de Novembro, onde se incluirão os webmails que já estejam corrigidos. Quanto ao "quem foi", a PIN que responda se quiser. Optámos na Recortes por manter o sigilo sobre isso, devido à delicadeza do tema :) um abraço
|
| |
| | Voçes... pah... Deveriam de ser incluidos no servico publico ;)
Ja agora... Onde estavas tu no 11 de Setembro ?
Cumprimentos,
vd |
| |
| | bahahaha!!! a almoçar no indiano!
|
| |
| | | ganda maluco :) ps: voces "jornalistas" muito almocam.. Um dia inteiro a almocar...
Cumprimentos,
vd |
| |
| | Viva, na homepage do portugalmail.pt está um comunicado deles a indicar que estão seguros. Mas tal é *FALSO*, o webmail do portugalmail.pt continua VULNERAVEL, sendo até mais fácil que utilizando o bug do IMP. O Comunicado da Phibernet, nunca referiu que os serviços utilizavam todos o IMP, o IOL nem utiliza cookies mas também está vulnerável! O objectivo desta história toda era levantar a questão do cross site scri pting em Portugal, tal ainda não tinha sido feito. Perdemos apenas uns 5 minutos por site até encontrar uma vulnerabilidade susceptível de ser explorada. Agora imaginem um atacante realmente teimoso :). Um abraço a todos da comunidade Gildot, por permitirem que certos assuntos sejam levantados de forma aberta.
|
| |
| | [esqueço-me sempre que tenhoque por em texto. Sorry :)]
Viva, na homepage do portugalmail.pt está um comunicado deles a indicar que estão seguros.
Mas tal é *FALSO*, o webmail do portugalmail.pt continua VULNERAVEL, sendo até mais fácil que utilizando o bug do IMP.
O Comunicado da Phibernet, nunca referiu que os serviços utilizavam todos o IMP, o IOL nem utiliza cookies mas também está vulnerável!
O objectivo desta história toda era levantar a questão do cross site scri pting em Portugal, tal ainda não tinha sido feito.
Perdemos apenas uns 5 minutos por site até encontrar uma vulnerabilidade susceptível de ser explorada. Agora imaginem um atacante realmente teimoso :).
Um abraço a todos da comunidade Gildot,
por permitirem que certos assuntos sejam levantados de forma aberta.
|
| |
| |
|
| | A noticia já se encontra no digito e no tek.sapo
podem vela em http://tek.sapo.pt/4M0/291627.html
e
http://www.digito.pt/tecnologia/noticias/tec4774.html
Agora só falta aparecerem outra vez na televisão :-)
|
| |
| |
| | ja apareceram alguma vez?
|
| |
| | | Bom, este post n tem mt a ver c o tema mas é o seguinte: Estava a ver a gildot como user nao identificado e ao vir ver o que é que se dizia sobre a segurança em protugal deparei com o artido la dos phiber todo num só linha... e o meu scroll com 3km de comprimento. Conclusão, era só para os responsaveis saberem que algo está mal :)
|
| |
| | Nao sei qual é a politica destes senhores, mas estar a anunciar isto é fazer a um convite a qq hakaro com meio cerebro a deitar abaixo os sites nomeados. Qualquer Newbie hacker vai a um site de exploits e da cabo da vida a muitos utilizadores Claro que se deve publicar, mas espero que tenham o bom censo de avisar os responsaveis pelos sites visados.
|
| |
| |
|
