Этичный хакинг

man whitehats, greyhats, blackhats

Странно, что ребята пишут в support@, а не на abuse@ или крайняк noc@. Ибо support@ это все же для простых смертных. А те, кто читают abuse@ / noc@ подходят к делу более ответственно и компетенты. Не удивительно, что реакция > 1 дня.

Если бы вы владели собственым коммерческим веб-ресурсом, как бы вы отреагировали на присланный «тикет» с крупной уязвимостью?

Отключил сервис, развернул бэкап, пофиксил уязвимость, заставил пользователей сменить пароли, включил сервис. Это если уязвимость серьёзная, с полным доступом к БД и ФС. Проще развернуть бэкап, чем искать, а не внедрили ли какую-то гадость. Проще сменить пароли, чем гадать, спёрли их или нет.

Как-то раз одному моему знакомому за описание уязвимости ну и за пруфконцепт со меной аватарки модератора на пони чуть ли не угрожали, исправления так и не было, а потом ресурс загнулся.

История успеха Прошу потеснить. Можно ломать/хакать и прочие прелести.

Я не компания, но если есть возможность выкупить уязвимость выкуплю, дабы исправить и забыть.

Как-то получил доступ к открытой phpmyadmin без пароля на сайте провайдера. Быстро прикрыли.

А на сайте соседнего провайдера ещё долго висела дырка, даже после того как я сообщил админу.

Не уверен, существовал ли у нас noc. На abuse писали в основном автоматические сервисы (кроме спамеров). В своё время даже когда была юридическая заруба с Газпорном - общались как раз через support@

Бегло посмотрел первую ссылку - ржачь, 10 страниц драмы, а «хацкир» с Украины, главное комментировать там нельзя - эти «звезданутые» реально думают, что можно в нынешней ситуации на Украине привлечь хохла за удаленные файлы на серваке? Комедия.

Я реагирую моментальным огораживанием, скорейшим исправлением бага и словами благодарности.

На ресурсах с виртуальными пиписькомерками могу виртуально озолотить и выдать медаль по желанию присылателя.

В детстве реагировал неадекватно, каюсь.

А те, кто читают abuse@ / noc@

Это вот очень оптимистично. Что они есть, в смысле. Не раз сталкивался с ситуацией, когда складывалось ощущение, что эти письма читает /dev/null...

на пони

Так убивать же ж. :-)

Я ожидал, что кто-то нечто такое ляпнет. Шлите такую недоконтору далеко-далеко. Ибо кто не читает абузу сразу считается де-факто спамерьем паганым. Про нок я вообще молчу.

Шлите такую недоконтору далеко-далеко.

Многие из них и так далеко. Бывает, что аж за океаном. :-)
А бывает, что они вообще везде. Ну вот как Google.

Ну вот как Google.

Пруф или не было. Либо ты чушь им написал, либо некую очевидную вещь, либо ты слал со спам-ресурса и напихал жепегов левых, протрояненных и с ссылками на подозрительные ресурсы.

Все, кто считает, что абуз трудно читать, т.к. валит спам это байки от «байкеров». Достаточно один раз попробовать и окажется, что писем приходит столько же сколько на засвеченный любой другой ящик.

В крайнем случае, если ты такой вайтхэт — позвони. Это 100% работает. Быстро, надежно.

Пруф или не было.

Да мне, честно говоря, всё равно, что ты думаешь. Может, найду потом.

Либо ты чушь им написал, либо некую очевидную вещь

Вещь совершенно очевидная. Из лога Апача. Дело было связано вовсе не со спамом.

Скажем честно, не тая правды - it depends.

Проще всего так: если (стоимость часа простоя * время простоя на устранение + стоимость устранения) > (стоимость риска * вероятность эксплуатации) - забить до плановой профилактики. Иначе - закрывать.

Шлите такую недоконтору далеко-далеко.

А вот ещё, кстати, вариант:

$ telnet mx.megafon.ru 25
Trying 193.201.228.109...
Connected to mx.megafon.ru.
Escape character is '^]'.
220 mx.megafon.ru ESMTP
helo [<my ip>]
250 mx.megafon.ru
mail from:<>
250 sender <> ok
rcpt to:<abuse@megafon.ru>
550 #5.1.0 Rejected by bounce verification.

Ну то есть, abuse@megafon.ru, может, и существует, но реакция на mail from:<>, как бы, намекает, при том, что у домена есть SPF-запись, и там есть ~all.

стоимость риска * вероятность эксплуатации

Если тебе уже показали, как, завтра это могут выложить во вконтактик, а уж кул хацкер, поверь, найдётся. Так что, вероятность эксплуатации сразу начинает стремиться к 100%.

Ну ок, убери из уравнения вероятность (хотя даже и в этом случае вероятность на 100%).

Один фиг решение упирается в деньги, если мы говорим о коммерческом предприятии.

без пароля

а там что разрешенно создавать учетку без пароля?

думают, что можно в нынешней ситуации на Украине привлечь хохла за удаленные файлы на серваке

Только в киеве правоохранительные органы заняты, насколько я понял кул-хацкер живёт в другом городе.

Выдал бы бабла не задумываясь + предложил оффер по поиску других уязвимостей.

Да мне, честно говоря, всё равно, что ты думаешь. Может, найду потом.

Мне тоже стало интересно. Покажи, пожалуйста.

Мне тоже стало интересно. Покажи, пожалуйста.

Нашёл.

crawl-66-249-71-37.googlebot.com - - [11/Mar/2012:05:32:42 +0300] "GET /proxy.cgi?query=114.255.139.31&targetnic=auto HTTP/1.1" 200 1193
crawl-66-249-71-37.googlebot.com - - [11/Mar/2012:08:11:19 +0300] "GET /proxy.cgi?query=178.46.207.255&targetnic=auto HTTP/1.1" 200 1193
crawl-66-249-71-37.googlebot.com - - [11/Mar/2012:10:40:59 +0300] "GET /proxy.cgi?query=109.169.140.132&targetnic=auto HTTP/1.1" 200 1193

Этого было, на самом деле, много, временами гораздо чаще. Вот зачем он так делал ? В общем-то, собственная доля разгильдяйства есть тоже - не стоило whois-прокси без капчи в Интернет выставлять (собственно, и совсем не надо было выставлять в общий доступ). Но тем не менее. Сообщение на abuse@google.com было полностью проигнорировано.

А проблема - RIPE лимитирует количество запросов к базе с одного IP.

>>без пароля

>а там что разрешенно создавать учетку без пароля?

Ну в MySQL по умолчанию логин root без пароля.

Шлите такую недоконтору далеко-далеко.

Вот ещё, кстати, момент:

domain:        SBERBANK.RU
nserver:       ns2.gldn.net.
nserver:       ns3.gldn.net.
nserver:       shark11.sberbank.ru. 194.186.207.33
nserver:       shark12.sberbank.ru. 194.186.207.34
state:         REGISTERED, DELEGATED, VERIFIED

$ host sberbank.ru. ns2.gldn.net.
Using domain server:
Name: ns2.gldn.net.
Address: 194.67.2.109#53
Aliases: 

Host sberbank.ru not found: 2(SERVFAIL)

В сбер я писал. Эффекта нет уже месяца два.

Если бы вы владели собственым коммерческим веб-ресурсом, как бы вы отреагировали на присланный «тикет» с крупной уязвимостью?

В зависимости от серьёзности проблемы - от простого спасибо до денежного вознаграждения не-анонимными способами (чтоб меньше было интересу использовать закладки, если шляпа у войтохэда не совсем белая).
Ну и естественно сервис на техобслуживание, уязвимость закрыть, провести внеплановый аудит кода и инфраструктуры. Если уж совсем всё печально - тогда разворачиваться из бэкапов и пытаться ручками проверить дельту на самые важные изменённые данные.

войтохэда
войтохэта

охщи, поправлено.
А так, обычно собственник бизнеса может прикинуть риски, если ему объяснить, это через работников «на местах» можешь не пробиться.
Хотя да, слыхал о клинических случаях а-ля попытки засудить.

Вещь совершенно очевидная. Из лога Апача. Дело было связано вовсе не со спамом.

Ты не под следствием, так что сам выскажу другие варианты. Твое дискложу было неполным и/или написано на ломанном английском. Либо вообще без дискложу и только логи.

И вообще, судя по логам, я их прочитал, бот делал все правильно. Нет, если ты им так и сунул в нос: «смотрите-смотрите! че ваш бот творит! вот паразит!» и без описания сути проблемы, я бы на их месте тоже тебя проигнорил, да еще и в спамлист запихнул.

А вот про то, что гуглобот может делать sql-инъекции твоя работа? Вот это дело так дело :)

Host sberbank.ru not found: 2(SERVFAIL)

УМВР, сайт открывается.

В сбер я писал. Эффекта нет уже месяца два.

Ты знаешь кто такой golden telecom? Им писать надо, епрст. Нет, я бы еще понял, что сбербанк висит на своих днс-серверах и вот с ними что-то не в поряде. А тут-то.

Итого, я понял почему тебя игнорят. Во-первых, даже тут ты не можешь объяснить проблему, хорошо у меня бошка варит еще, что-то понимаю или пытаюсь понять... Во-вторых, писать надо в нужные места, искать причину, а не следствие.

С тем же сбербанком — клиент доволен? Доволен. Может так и задумано было. Вот, глянь:

$ host sberbank.ru. ns3.gldn.net.
Using domain server:
Name: ns3.gldn.net.
Address: 194.67.7.1#53
Aliases:

sberbank.ru has address 194.54.14.129
sberbank.ru mail is handled by 10 shark12.sberbank.ru.
sberbank.ru mail is handled by 10 shark11.sberbank.ru.
sberbank.ru mail is handled by 10 shark14.sberbank.ru.
sberbank.ru mail is handled by 10 shark13.sberbank.ru.

Failover по-русски это называется.

надобыло на billing@ писать

Твое дискложу было неполным и/или написано на ломанном английском.

Ага. Все понимают, Google - нет. Не могу сказать, что английский у меня идеален, но переписка заметная, во всяких рассылках. Да и переспросить можно, если непонятно.

Либо вообще без дискложу и только логи.

Даже только логи - уже должны быть понятны. Нечего гуглоботу за информацией по IP лазить, куда ни попадя - есть непосредственно базы RIR.

бот делал все правильно

Кроме того, что он за DoS-ил прокси: он живо довёл до суточного лимита у RIPE, и whois.ripe.net перестал отвечать. Причём бот этого не понял, и продолжил долбиться.

А вот про то, что гуглобот может делать sql-инъекции твоя работа?

Не понял причинно-следственную связь. :-)

УМВР, сайт открывается.

Естественно. Их же 4, а не работает один из.

Ты знаешь кто такой golden telecom ?

Нет, не знаю. ;-) На всякий случай, у нас с Вымпелкомом корпоративно-договорные отношения.

Им писать надо, епрст.

Почему, если домен сберовский ? Они, как владельцы, должны сами разбираться с поставщиком услуг. Но с Вымпелкомом, тем не менее, я общался тоже, пользуясь операторской техподдержкой, и знаю, что Сбер крайний на самом деле: первичный у них, и он зону не отдаёт на ns2.gldn.

хорошо у меня бошка варит еще, что-то понимаю или пытаюсь понять...

Пытаешься - это похвально. Но, честно говоря, эти очевидные вещи должны быть понятны сразу. Лет 10 назад такое понимали сходу.

Failover по-русски это называется.

Это несовсем то. Тут просто неработающий DNS. Это надо или починить, или вынести ненужный DNS из списка NS зоны.

Даже только логи - уже должны быть понятны. Нечего гуглоботу за информацией по IP лазить, куда ни попадя - есть непосредственно базы RIR.

Хотел оставить для тебя этот вопрос открытом и передумал. Гуглобот тупой как пробка. Если ты нароешь инфу на sql-инъекции в гуглоботе, то тебя наведет на мысль факт, что бот может делать то, что ему скажут. Причем скажут кто угодно и что угодно. Следовательно, причина того, что у тебя лег сервис в тебе:

• Научись кэшировать запросы
• Научись крыть доступ
• Читай правила сервисов, которыми пользуешься. За релей RIPE вроде как минимум дают по ушам, максимум пожизненный бан.
• Открой для себя robots.txt
• Ищи причины
• Досканально разбирайся прежде чем дергать других людей

Итого, своими действиями ты:

• испортил себе репутацию и утратил доверие
• заставил тратить чужое время на вникание твоих проблем
• не учишься на своих ошибках

Это несовсем то. Тут просто неработающий DNS. Это надо или починить, или вынести ненужный DNS из списка NS зоны.

И снова, с чего ты взял, что данная схема сломана? Я тебе намекнул про failover. Это реально работающая схема. Кроме того, DNS может быть хитро настроен и отвечать только доверенным серверам/группам IP. Если домен делегериван, зарегистрирован, то настройки верны. Вот хоть пальцем крути у виска — все сделано как надо. То, что у тебя что-то не работает не значит, что это сломано. Не сломано, просто тебе не хватает опыта и знаний.

Хотел оставить для тебя этот вопрос открытом и передумал.

И лучше бы ты промолчал.

Гуглобот тупой как пробка.

И это - проблема Гугля.

Дальнейшие перечисления действий ты сделал совершенно бесполезно. Я и без твоих советов решил проблему за 30 секунд. А Гугль известил по причине того, что у них там что-то не так. Впрочем, исправление ситуации у Гугля меня ни сколько не интересовало.

испортил себе репутацию и утратил доверие

Чьё ? :-)

И снова, с чего ты взял, что данная схема сломана?

Потому, что это очевидно.

Я тебе намекнул про failover.

Это - совершенно не в тему.

Это реально работающая схема.

Сейчас это - сломанная схема.

Если домен делегериван, зарегистрирован, то настройки верны.

Ничуть. Регулярные проверки делал RIPN, а RU-Center (хотя люди те же в большинстве), на это забил. DNS можно сломать потом.

То, что у тебя что-то не работает не значит, что это
сломано. Не сломано, просто тебе не хватает опыта и знаний.

Если ты не видишь очевидное, опыта не хватает у тебя. У RIPE был DNS-тестер где-то. Поищи и проверь зоны Сбера. Я даже спорить не буду на тему, покажет ли он фатальные ошибки: он покажет.

Открой для себя robots.txt

И да, зря я не почитал. Расскажи, при чём тут robots.txt. ;-)
Ты повёлся на реверс crawl-66-249-71-37.googlebot.com ?

То, что у тебя что-то не работает не значит, что это сломано.

А ещё меня вот такие IT-специалисты добивают: «у меня работает, значит не сломано». А про резервирование, видимо, не в курсе (хотя и знают модные слова «failover»). И да, можно считать, что это батхерт вида «в интернете кто-то не прав». :-)

И это - проблема Гугля.

Когда гуглобот начнет понимать семантику, составлять предложения, говорить, писать, думать, читать, то боюсь никакие специалисты больше не нужны будут :)

И лучше бы ты промолчал.

Нет. Надо сказать спасибо, что я тебе помогаю. Но ничего, в следующий раз вообще ничего не скажу, раз ты считаешь себя самым-самым, идеальным-идеальным, не признающим своих ошибок, ой не признающий. МУЖИК!

Когда гуглобот начнет понимать семантику

А я тебе намекал... Гуглобот тут только при том, что это тот же хост, не более того.

Но ничего, в следующий раз вообще ничего не скажу, раз ты считаешь

Я не считаю, я знаю. По тем случаям, что я описал, я прав на 100%. А вот то, что ты не понял проблемы с DNS у Сбера, показывает твой уровень. И это не удивляет - это та самая беда в Интернет с падением общего уровня развития специалистов, ты далеко не один такой.

Если ты не админ локалхоста, лучше разберись с примером Сбера. Я серьёзно совершенно. Если сам не можешь, давай, всё же, помогу - случай-то относительно серьёзный.

Я серьёзно совершенно.

Все просто: звонок или письмо на noc@gldn.net. Что тут решать? Сбербанк лишь заказчик услуг у голдентелекома. Конечно они могут проигнорировать, послать или ничего не делать, ибо не ты платишь за эти услуги. Более того, я уверен, что у Сбербанка работают компетентные сотрудники, которые сами в состоянии все решать. И не надо пытаться спасать мир :)

Все просто: звонок или письмо на noc@gldn.net.

Как в том анекдоте ? Чукча не читатель ? ;-) Вчитайся сюда:
Этичный хакинг (комментарий)
Несмотря на то, что я считаю, что крайний Сбер, с Вымпелкомом я давно пообщался. Или ты не в курсе, что Билайн давно купил Голден-Телеком ? Или не в курсе, что Билайн - торговая марка, а компания - Вымпелком ?

Сбербанк лишь заказчик услуг у голдентелекома.

Именно. И он должен решать вопрос со своей услугой.

Более того, я уверен, что у Сбербанка работают компетентные сотрудники

А я знаю, что дело совсем не в компетентности, а в жирности. Тот, кто в курсе, мог ошибиться. Но вот пробиться к нему письмом - болт. Я тебе больше скажу, это невозможно даже для несовсем последнего сотрудника Сбера: у меня есть знакомый начальник IT-отдела городского отделения. Он тоже ничего не может сказать Москве по поводу этой ситуации - нет контактов.

Более того, я уверен, что у Сбербанка работают компетентные сотрудники

Кстати, я нашёл, для тебя, http://dnscheck.ripe.net/
Оказывается, они его выкопали из глубин сайта.
Вот, и слегка удивился. Оказывается,
shark11.sberbank.ru.
shark12.sberbank.ru.
имеют, до кучи, вот это:
http://www.us-cert.gov/ncas/alerts/TA13-088A
Совсем до конца я не проверял. Может, конечно, они и хотели сделать публично доступные DNS, как Google, и приняли меры...

Вчитайся сюда

Я откуда знаю с кем ты общался? Может ты общался не с тем отделением.

Вымпелком

Вымпелком монстр. Опять же одна большая шишка в одном отделении не отвечают за работу подчиненного в другом.

Именно. И он должен решать вопрос со своей услугой.

А тебя-то что так припекло? :)

А я знаю, что дело совсем не в компетентности, а в жирности.

Откуда такой негатив? С таким настроем у тебя точно ничего не получится.

Вобщем, я не хочу решать твои проблемы. Все, что мог — я сказал. Есть другой вариант: напиши статью на хабре, там офисный планктон живо тебе поможет, ибо им лишь бы не работать, а другой мудистикой заниматься, повышать себе карму-мамру. Может даже нужный человек прочитает твою писанину и все исправит, как делаю в мейл.ру. Дерзай!

Я откуда знаю с кем ты общался? Может ты общался не с тем отделением.

Ну если я там написал «пользуясь операторской техподдержкой, и знаю, что Сбер крайний», то как думаешь, с кем я общался ? Поверь, мне показали достаточно, чтобы я убедился, что у Вымпелкома всё хорошо.

А тебя-то что так припекло? :)

Я ж писал, что мы к обычным клиентам Вымпелкома не относимся и какие возможности для общения с ними я имею. ;-) И не только с Вымпелкомом, кстати.

И наши абоненты за косяки в Интернет спрашивают, «почему-то», нас. А не тех, кто накосячил на самом деле. Вот даже ты не понял сходу, что у Сбера есть какая-то проблема, а представь, теперь, обычного пользователя ? И вот таких «сис блин админов» развелось вагон.

Может даже нужный человек прочитает твою писанину и все исправит

Я здесь ровно с этой целью пишу, вообще-то. ;-) На хабре эккаунта нет, да и неохота.

Может даже нужный человек прочитает твою писанину и все исправит

Ты смотри, дошло, похоже, до сбербанковских, где у них косяк:

$ host sberbank.ru ns2.gldn.net
Using domain server:
Name: ns2.gldn.net
Address: 194.67.2.109#53
Aliases:

sberbank.ru has address 194.54.14.129
sberbank.ru mail is handled by 10 shark14.sberbank.ru.
sberbank.ru mail is handled by 10 shark12.sberbank.ru.
sberbank.ru mail is handled by 10 shark11.sberbank.ru.
sberbank.ru mail is handled by 10 shark13.sberbank.ru.

Интересно, где и что они прочитали...

Может даже нужный человек прочитает твою писанину и все исправит

А, теперь, ещё и отписались даже. Ещё 4 месяца спустя. :-)

Кстати, вот ещё свежак. Уже не Сбер, а Китайцы:

X-Envelope-From: transaction@notice.aliexpress.com
Received: from mtat244.us.alibaba.com (mtat244.us.alibaba.com = [205.204.114.244])

$ host -t txt notice.aliexpress.com
notice.aliexpress.com descriptive text "v=spf1 include:spf1.ocm.aliyun.com -all"

$ host -t txt spf1.ocm.aliyun.com
spf1.ocm.aliyun.com descriptive text "v=spf1 ip4:42.120.232.0/23 ip4:198.11.139.0/27 -all"

Это вот как, никто совсем SPF не использует, или же для aliexpress срочно все сделали исключение ? Ведь не «~all», а прямо таки "-all"... И да, этим я тоже рассказал недели полторы назад и повторил вчера...