gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Vulnerabilidades no SSH1 @ .PT
Contribuído por mvalente em 25-11-01 0:20
do departamento open-doors
Teenagers com demasiado tempo livre... A Frenetik Technet encontrou vários Servidores em Portugal que poderão ser alvo de ataques devido a vulnerabilidades no protocolo SSH1. A lista de servidores afectados está aqui.
É de notar que os administradores dos servidores tiveram uma semana para corrigir o erro.

Qual filesystem escolher | TVCabo interactiva falha rotundamente  >

 

gildot Login
Login:

Password:

Referências
  • Frenetik Technet
  • aqui
  • Mais acerca Teenagers com demasiado tempo livre...
  • Também por mvalente
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Poderao ou Sao? (Pontos:2)
    por Cyclops em 25-11-01 10:50 GMT (#2)
    (Utilizador Info) http://greymalkin.yi.org
    E que ha muita diferenca nisto.

    Quando surgiu o bug com o ssh 1.2.31, muita gente aplicou o patch que saiu na altura, e poderao estar a ser incorrectamente visados, recebendo assim pub negativa desmerecida.

    Vou agora ver a lista.

    Hugs, Cyclops
    Banners?! (Pontos:2, Engraçado)
    por eddie em 25-11-01 11:20 GMT (#3)
    (Utilizador Info)
    Pelo que está no site deles basearam-se nos banners do ssh para dizer se o site era vulneravel ou não.
    Ou seja... uma pesquisa 100% inutil. O banner quer dizer tanto como a palavra de um politico.
    Continuem assim que vão longe.
    Se eu estivesse nessa lista processava-os por difamação.
    Re:Banners?! (Pontos:2)
    por Eraser em 26-11-01 11:22 GMT (#10)
    (Utilizador Info)
    Desculpa mas não concordo. As minhas razões são as seguintes:

    1) Os banners são umas das possíveis maneiras de informar a versão de um software. No caso de serem alterados, a responsabilidade é de quem os alterou e à ele (admin)cabe repor a verdade se o achar necessário. Não se deve culpar as pessoas por terem sido enganadas por algo que fizemos exactamente nesse intuito.

    2) Eles dizem claramente que se basearam nos banners mas também que avisaram os admins com devida antecedência e antes da publicação da dita lista . Isso permitia que os casos de manipulação de banners fossem esclarecido antes de haver desinformação.

    Para finalizar, as alternativas a utilização dos banners não eram muitas, mas podiam sempre correr o exploit em cima só para provar que estavam vulneráveis e assim arranjarem sarilhos dos grandes. Em vez de mandar postas de pescada analisa a situação. Se é verdade que os banners podem ser alterados , também é verdade que era a única maneira "educada" de saber a versão do servidor de ssh. Tendo em conta que não publicaram logo esses dados mas deram a hipóteses de serem desmentidos por quem de direito (os admins), eu acho que agiram bem.
    Se achas que atitude não foi sensata, dá a tua opinião e justifica-te.

    Fica bem!

    JP
    PS: não leves a mal, é só a minha opinião. :)
    Re:Banners?! (Pontos:1)
    por simp em 26-11-01 19:01 GMT (#13)
    (Utilizador Info) http://www.hacker.com.br/loy~
    E agora sou eu que não concordo! A diferença entre afirmar que alguem está vulnerável ou que poderá estar vulnerável é como a deferença entre matar uma velha ou pensar em matar uma velha !!! Adivinha qual não te leva à prisão. Desculpa a analogia mas só com uma imagem forte é que penso vires a entender os que esses putos andam a fazer... Basta ver a confusão que isto está a fazer nas cabeças menos apurados dos nossos jornalistas!
    -ß- o|~|‡ -ß-
    Re:Banners?! (Pontos:2)
    por Eraser em 26-11-01 19:13 GMT (#14)
    (Utilizador Info)
    Acho que ainda não percebeste: a lista só foi disponibilizada alguns dias depois de contactar os admins. Não existe difamação. Difamação seria eles publicarem essa lista sem consultar ninguém e sem dar hipóteses de rectificação antes de ser tornada pública. Os jornalistas não tiver acesso a nada antes dos admins.

    Eu não considero difamação eles dizerem aos próprios admins que estão vulneráveis mesmo que isso não seja verdade: o admin pode sempre repor a verdade se achar necessário.

    Se achas difamação não tornar a informação pública antes de ser confirmada por quem de direito, então tens razão. :) Senão acho que o teu ponto de vista esta a ser demasiado extremista.

    Fica bem! :)
    JP


    Re:Banners?! (Pontos:1)
    por jepm em 26-11-01 23:33 GMT (#17)
    (Utilizador Info)
    Caro Eraser,

    O problema é quando os jornalistas não percebem o que estão a publicar, e publicam tudo o que os experts (ou pesudo-experts) à procura de protagonismo fácil lhes passam para a mão ... Por muito que essas empresas tenham desmentido ou venham a desmentir, e não seja verdade as acusações que foram feitas, a verdade é que as mesmas já chegaram ao público ... e esse lembra-se apenas das acusações ...
    Ou seja, o mal já está feito.

    Tenho um amigo meu que ao reflectir sobre estas situações que ultimamente têm ocorrido teve um comentário que cada vez me parece mais acertado:
    "Estas empresas estão-se a preparar para no futuro cobrarem protecção" ...

    Eu sei que é uma ideia em que não se acredita à primeira, mas pouco a pouco começo a ser forçado a acreditar ...
    Repare nos últimos exemplos:
    - porque é que são exactamente 100 domínios que a Frenetik encontra ? Só testaram esses ? Testaram todos os domínios em .pt e apareceram exactamente 100 ? Após chegarem aos primeiros 100 não lhes apeteceu tentar mais ? Quais foram os critérios ?
    - vulnerabilidade dos servidores de mail publico levado a cabo por outros experts - Chegam à conclusão de que "Após o teste, a Phibernet chegou à conclusão que TODOS os sites são vulneráveis, com a excepção dos seguintes domínios: clix.pt, mail.pt, sapo.pt e net.sapo.pt".
    E repare agora no seguinte: "Gostaríamos de salientar que não foi possível testar o serviço do netc.pt, pois não nos foi possível a criação de um utilizador. O serviço encontrava-se em baixo na altura do teste." Sou só eu que acha estranho ? Será que a pressa de fazer o relatório era tanta que não o poderam efectuar a outra hora ? O serviço do netc.pt está permanentemente em baixo ? Ou haverá mais qualquer coisa ...

    Engraçado que não vi nenhum jornalista fazer estas perguntas ...

    A ver vamos,

    jepm


    Re:Banners?! (Pontos:2)
    por Eraser em 27-11-01 10:58 GMT (#19)
    (Utilizador Info)
    Concordo, contigo em muita coisa. Principalmente na parte que se refere a busca de notícias sensacionalistas por parte dos jornalistas que por essa razão se fica pelos promenores que acham mais apelativos esquecendo de realmente informar. :( A propósito do famoso número "100", não me parece possível em tempo "útil" verificar todos os possíveis servers em .pt pelo que tinham de parar algures.

    Quanto ao sensacionalismo ou busca de fama da parte de quem fez o advisory, bem, pode até haver algum mas a verdade é que tinham a obrigação de informar uma vez que já existia solução para o problema. Com certeza que isso pode pôr em cheque um admin menos atento, mas isso são ossos do ofício.

    Fica bem!
    JP

    PS: Obrigado pelo debate saudável de ideias. :) É sempre bom poder ver pontos vistos diferentes do nosso. :)


    Ainda estes ?.... (Pontos:0, Engraçado)
    por Anonimo Cobarde em 25-11-01 12:53 GMT (#4)
    Estes tipo também têm tido várias encarnações ao longo dos anos... No ano passado eram a LonoSS ou qq treta assim e ofereciam-se para administrar remotamente os servidores do pessoal :)

    Pena é que ao fim de tanto tempo ainda não tenham aprendido a escrever português decentemente...

    Ahhh.. Jynx, quando é que aprendes a não escrever "your ass belongs to me" em todas as páginas ?
    Tempo (Pontos:2)
    por Branc0 em 26-11-01 1:13 GMT (#5)
    (Utilizador Info) http://www.branc0.f2s.com
    Uma semana para agir?
    A falha no sshd foi reportada a 08 de Fevereiro deste ano...


    "A mais louca das mulheres consegue dominar o mais inteligente dos homens"

    patio da fama (Pontos:0, Interessante)
    por Anonimo Cobarde em 26-11-01 4:23 GMT (#7)
    soh me gohzam!

    este lame da frenetique so faz merda, arranja exploit pro ssh e perde algum do seu precioso tempo a fazer scan ahs maquinas de portugal para terem os seus minutos de fama...

    nesta pagina encontram o quao interessados pela seguranca das maquinas em portugal eles sao
    http://defaced.hacker.com.br/2001/11/16/www.ibge.gov.br/

    gcc my-thiefed-ssh.c ; ./a.out www.ibge.gov.br

    o david, ja crescias e aprendias que a unica coisa que tens jeito eh para o design e mesmo assim ripas as imagens e ehs todo plugin-o-matic

    dv.
    Jornalismo (Pontos:1)
    por Khazunga em 26-11-01 16:06 GMT (#12)
    (Utilizador Info)
    Estes artigos na recortes e na SIC fazem-me pensar que os jornalistas em Portugal não fazem qualquer tipo de investigação e se limitam a repetir press-releases.

    Eu pensava que os jornalistas serviriam para contactar os implicados, cruzar a informação, e apresentar uma perspectiva completa da notícia. Pelos vistos por terras lusas não...

    Re:Jornalismo (Pontos:1)
    por jepm em 26-11-01 23:05 GMT (#15)
    (Utilizador Info)
    Caro Kazhunga,

    Há uns meses também pensava assim.

    O acordar para a realidade por vezes pode ser duro ... Apostava em como o Expresso vai trazer um artigo destruidor sobre esta situação ...

    A ver vamos,

    jepm
    Re:Jornalismo (Pontos:1)
    por simp em 26-11-01 23:19 GMT (#16)
    (Utilizador Info) http://www.hacker.com.br/loy~
    Porque será que isso não me surpreenderia?! :)
    -ß- o|~|‡ -ß-
    Re:Jornalismo (Pontos:2)
    por pls em 27-11-01 12:06 GMT (#20)
    (Utilizador Info) http://pls.mrnet.pt
    Não sou jornalista mas verifiquei algumas das máquinas mencionadas e estavam (na altura) vulneráveis.

    PLS

     

     

    [ Topo | FAQ | Editores | Contacto ]