Hakerzy i lanserzy
Przed świętami grzecznym być...
Ostatnio rozmawiałem z pewną osobą, która stwierdziła, ze grzecznie i nudno zrobiło się na moim blogu. To fakt, nie jest już tutaj tak wesoło jak było kiedyś; widać to też po liczbie komentarzy - kiedyś po 30, dziś jestem szczęśliwy, jeśli jest ich 10, z czego chociaż 2 merytoryczne :). Pora więc na to, aby wrócić do dawnej formy i wkurzyć kilka osób (no bo co to za blog, który nie porusza kontrowersyjnych tematów). Wszyscy miłośnicy postów merytorycznych (są tutaj tacy?) niech jednak nie usuwają mnie z czytników RSS - niedługo, mam nadzieje, pojawi się tutaj więcej technicznych wpisów (pracuje nad kilkoma, ale zima temu nie sprzyja).
Jak cię widzą... ?
...tak ci piszą, jak mówi stare powiedzenie ludowe. Warto przypomnieć jaki jest średni obraz hakera w popkulturze. Opi napisał wprawdzie o geekach/nerdach, ale jego tekst dobrze oddaje pewne nurty. Generalnie ton publikacji prasowych o "Hakerach" jest mniej więcej zbliżony - hakerzy to źli, niedobrzy, młodzi, geniusze z zespołem Aspergera którzy włamują się i niszczą dane na serwerach, a na dodatek kradną numery kart kredytowych i wykradają dane z tajnych amerykańskich sieci. Pomijam oczywiście opisy hakerów w czasopismach, które się na tym znają, bo ich ilość to zaniedbywalny błąd pomiaru.
W każdym kraju jest tak, że media mainstreamowe dostosowują swój poziom do średniego poziomu odbiorców. Polacy, którym na lekcjach języka polskiego, aż do obrzygania tłuczono do głowy jedyną słuszną formę - rozprawkę - ciężko przyswajają sobie tekst, który nie jest skonstruowany według tego wzorca. Z tego też powodu większość artykułów w prasie ma formę teza->argumenty->potwierdzenie tezy. Dotychczas teza była prosta; haker to złodziej i pedofil (to oni przecież zbudowali tajną sieć Tor).
TVNFakt
Dziś w godzinach wczesno-porannych przeczytałem artykuł, który stał się impulsem do stworzenia tego wpisu. Z racji tego, że było jeszcze wcześniej, zamiast zwyczajowego "WTF?!" i garści bluzgów tylko głęboko się zamyśliłem nad działalnością tego fantastycznego portalu i szeroką znajomością tematu Pani Luizy Łuniewskiej, która to podpisana jest pod tym tekstem.
Mam wrażenie, że tezą artykułu było ocieplić wizerunek hakera. Hakerzy są dobrzy, zwalczają pedofilów, pomagają policji, przeprowadzają staruszki przez ulicę i ratują koty z drzew. Oczywiście w treść artykułu wplątało się wiele zabawnych cytatów:
Hakerski comming out. Shain (Iwo Graj) dopiero niedawno ujawnił w sieci swoją prawdziwą tożsamość.[...]Paweł "Gorion" Jabłoński miał bardzo spektakularny coming out.
Pomijając to, że "comming" piszemy przez jedno "m" dobrze jest mieć świadomość pełnego znaczenia tego wyrażenia. Ja rozumiem, że chodziło tutaj o ujawnienie jakiegoś sekretu, ale efekt jest raczej komiczny.
[...]żeby udowodnić swoje umiejętności w ciągu kilku minut sforsował zabezpieczenia Komendy Wojewódzkiej Policji w Katowicach.
Niestety, pomylił trasę routingu i włamał się do firmy hostingowej Pro Futuro i wykradł tajne dane z numerami dzielnicowych.
Wiedzą, że aby dostać dobrą propozycję pracy jako blue hat (konsultant ds. bezpieczeństwa), trzeba mieć czystą kartotekę.
Że jaki hat? O niebieskich kapeluszach jeszcze nie słyszałem, ale ja to zawsze późno dostrzegam wszelkie trendy.
l’enfant terrible
Zdaje sobie sprawę, ze każde skomplikowane zagadnienie (a temat hakerstwa taki jest) uproszczone tak, aby było zrozumiałe dla normalnego czytelnika staje się parodią samego siebie. Pogodziłem się z tym. Natomiast nie pogodzę się z jednym - dlaczego, zawsze kiedy jakieś media chcą napisać o hakerach przytaczają dwa najgorsze możliwe przypadki na polskiej scenie bezpieczeństwa.
Kiedy czytam artykuł o hakerach w którym to w rolę ekspertów wciągnięto Pana Pawła Jabłońskiego i Pana Iwo Graja to już nie wiem, czy mam się śmiać czy płakać. Wypowiedzi tych Panów nie chce nawet komentować, bo uważam, że nie kopie się leżącego, ale czy następnym razem dziennikarze nie mogą poprosić o opinię kogoś poważniejszego? Może dzięki temu artykuł będzie na wyższym poziomie, niż przedstawione tutaj cytaty. Pan Paweł i Pan Iwo hakerami nie są i żadnych szczególnych dokonań nie mają - na konferencjach nie występują, własnych narzędzi nie piszą, advisory nie publikują,ba - nawet nie pracują w zawodach związanych z bezpieczeństwem - ot, coś tam hobbystycznie dziergają. Pytanie ich o hakerstwo to jak pytanie mnie o nielegalne wyścigi samochodowe - raz takie widziałem przez szybę. Pociągu.
Nuda...
Niestety, chyba nie ma co liczyć na to, że doczekamy się w prasie o zasięgu ogólnokrajowym rzetelnego artykułu o hakerach. Problemów jest kilka, ale tak naprawdę to dziennikarzom nie zależy na tym, żeby było rzetelnie. Artykuł ma chwytać za serce i nie pozostawiać czytelnika obojętnym, a prawdziwy hacking średnio się sprzedaje w gazetach (opisać w gazecie jak przez 2 dni dopieszcza się jakieś narzędzie, żeby było "eleganckie"?; opisać jak przez całą noc pracuje się nad zwiększeniem skuteczności znalezionego 0day'a?). Inną sprawą jest to, że ludzie którzy poważnie zajmują się tematyką bezpieczeństwa raczej są na tyle inteligentni, że nie dadzą się wciągnąć w formułę dziennikarską, która wymusza szukanie sensacji. Nikt rozsądny nie będzie się też chwalił w mediach działaniami, które są karalne lub przynajmniej ocierają się o paragrafy.
Na sam koniec jeszcze jeden cytat kogoś, kto prawdopodobnie przecenia umiejętności pewnych osób:
Funkcjonariusze ścigający przestępstwa w internecie mają takie same, jeśli nie większe od hakerów umiejętności. Potrafią zdobyć wszelkie informacje, ale muszą przestrzegać procedur.
Dzięki bogu mamy procedury, bo inaczej żaden tajny numer konta w Banku Szwajcarskim nie dawałby gwarancji poufności.
±
Komentarze do wpisu "Hakerzy i lanserzy":
1.
21 grudnia 2009, 20:56:01
Ostatnio moim głównym skojarzeniem i reakcją na teksty typu "w prasie jest za mało o" tudzież "w prasie źle piszą o" jest - to dlaczego ludzie, którzy się na tym znają, nie napiszą sami tej swojej wymarzonej Prawdy? Są przecież narzędzia typu wiadomosci24 itp. - nie są na pewno idealne, ale jakąś tam poczytność mają.
2.
21 grudnia 2009, 21:09:06
@katafrakt: Mainstream. Mówimy o głównym nurcie - Wyborcza, Rzeczpospolita itp. Więcej społecznościowych tekstów na ten temat już nie potrzebujemy, ponieważ i tak jest ich niezwykle dużo włącznie z rzeczowym artykułem na Wiki.
Media głównego nurtu lubują się w przeinaczaniu rzeczywistości i to właśnie niestety one (a może to dobrze?) wpływają na osądy przeciętnego obywatela.
3.
21 grudnia 2009, 21:11:53
@Zal: zajrzałem włąśnie na rzeczone w24 i nie, nie ma tam rzetelnych tekstów. A uważam, że to już znacznie bliżej mainstreamu niż jakieś blogi, na których poważny dziennikarz raczej opierać się wręcz nie może. Zresztą wierzę też, że ktoś w imię rzetelności zatrudni w ramach precedensu jakiegoś specjalistę ds. internetu przy mainstreamowym medium. W takiej sytuacji szukaliby właśnie tam zapewne.
4.
21 grudnia 2009, 21:13:05
@katafrakt:
Chyba nie zrozumiałeś o czym jest ten tekst.
5.
21 grudnia 2009, 22:38:00
Ech, nie myślałem, że tak prędko zobaczę tego nicka na literkę "G" znów... A pana Iwo nie znałem, trzeba będzie zaprząc wyszukiwarkę ;)
Z tym blue hat, to może Pani coś się z Fedorą skojarzyło (no bo to niby red hat, ale z niebieskim logiem - niezbadane są ścieżki umysłów dziennikarskich...)
Niestety w obecnych czasach dziennikarzom się coraz mniej chce, szczególnie jeśli chodzi o szukanie źródeł, a starczyło by chociaż zajrzeć do Wikipedii!
6.
22 grudnia 2009, 00:00:18
Goriona sie mozna czepiac, Iwo cool czlowiek :)
7.
22 grudnia 2009, 00:45:42
Po tym artykule stracilem szacunek, ktory mi jeszcze pozostal szczatkowo do niektorych osob - porazka. Co tu duzo mowic... masz racje carstein - wazne naglosnienie nie prawda... żal...
8.
22 grudnia 2009, 01:38:14
(Komentarz zmodyfikowany 22.12.2009 o 09:35)
##Anonimowe komentarze będą kasowane##
9.
22 grudnia 2009, 10:12:37
W jakimś sensie wymieniony w artykule TVN24 osoby elektryzują, a o to chyba w mediach chodzi. Nie wiem dlaczego, ale media nie starają się o komentarz innych ludzi. Ja np. dowiedziałem się ostatnio, że jeden z nich rozpowiada, że piliśmy razem alkohol - bzdura. Sam nie wiem dlaczego, bo zyskać na tym chyba się nie dało.
Może gdyby ktoś w końcu wyciągnał konsekwencje po takim zgłoszeniu błedów, jakie oni zgłaszają - obciążył kosztami obsługi incydentu (zabezpiecznie materiału, analiza czy nie doszło do wycieku danych, czy nie odnaleziono innych błędów, czy nie pozostawiono backdoor'a, itd.) jednego czy drugiego bohatera mediów w Polsce to coś by się zmieniło. Bo kto i kiedy mówił o kosztach jakie w konsekwencji generuje dobroczynny 'haker'?
Bo przecież każdy taką analizę robi, prawda? Czy może jednak ufa, że to tylko w jednym miejscu był błąd, dziękuje się zgłaszającemu i zapomina o sprawie?
PS
Blue Hat kojarzy mi się z konferencją firmy MS - http://blogs.technet.com/bluehat/about.aspx
10.
22 grudnia 2009, 11:50:09
@rezos: Samo zgłoszenie takiego czy innego błędu nie "generuje" kosztów, tak samo jak nie generuje ich wytknięcie przez sąsiada, że masz dziurę w płocie. To jest podejście, mówiąc eufemistycznie, nieprofesjonalne — co nie zmienia oczywiście faktu, że wiele firm tak robi. Potem przerzucają się w mediach informacjami że ten a ten cyberprzestępca spowodował straty w wysokości brazyliona dolarów, a my się z tego śmiejemy.
Łatwiej jest zaksięgować koszt naprawy dziury w płocie jako spowodowany przez sąsiada niż jako coś co powstało w wyniku zaniedbania działu utrzymania płotu czy kogoś kto ten płot stawiał. No chyba że sąsiad faktycznie użył nożyc…
11.
22 grudnia 2009, 12:06:54
Doprecyzuję: w powyższym chodziło mi o "generuje" w sensie cywilnoprawnym czy nawet karnym, odnoszącym się do obciążenia kosztami obsługi incydentu itp. osoby która błąd zgłosiła.
W sensie księgowym takie zgłoszenie może oczywiście generować koszty, w takim samym stopniu jak przelot motyla przez biuro — to jest kwestia czysto umowna.
Zastrzeżenie: bliżej mi do księgowego niż do prawnika.
12.
22 grudnia 2009, 12:33:35
ojciec gorio znów na mikrofonie, warszafka płonie. tak jak Wiesław N. ps. Dziad był medialnym gangsterem tak i Paweł J. jest medialnym hakierem z różnicą taką iż Wiesiek był gangsterem.
13.
22 grudnia 2009, 12:54:17
Ale jedno trzeba przyznać, że geniusz pijaru przekuł porażkę na sukces. Nie dlatego się z Pawła po pybcie w TVN śmiali, że jest hackującym majtki kmiotem czy też, że niewiele pokazał i niewiele umie, ino, że _własny - pożal się Boże - ród_ od czczi i wiary go odsądza za to, że jest dobrego serca, poczciwym blue hatem - gorionem, przepraszam panem Pawłem, cytując. Ech, ach, och.
14.
22 grudnia 2009, 13:09:20
@sziwan: widziałeś kiedyś oderwany od swojej pracy zespół[1] 3 osób, który przez 4 dni po 10-14h siedzi nad wyjaśnieniem incydentu po zgłoszeniu podatności? Myślisz, że motyl przelatujący przez biuro ma taki sam potencjał wygenerowania kosztów?
Abstrahując od brazylionów dolarów podawanych czasami przez media, policz ile może kosztować firmę taka praca zespołu.
4(dni)x16(h - 16, a nie 12, bo 8+4 nadgodziny po 200%)x100(zł, minimalnie!)x3(osoby)=19 200 zł + koszty opóźnień w innych projektach, którymi ten zespół by się zajmował. Ewentualnie można zatrudnić firme zew., ale ile oni za to policzą? Pomijam, że stawki są bardzo przykładowe.
[1] - ci ludzie nie siedzieli podpierając się o siebie czekając tylko na obsługę incydentu.
15.
22 grudnia 2009, 13:15:01
Ogólnie bez zbędnych emocji chciałem tylko zwrócić uwagę na coś o czym się nie mówi.
Wesołych Świąt :-)
16.
22 grudnia 2009, 13:56:07
Pozwólcie mi coś powiedzieć o "panu Iwo", którego to potkniecia z nieukrywanym rozbawieniem i zaciekawieniem obserwuję od dawna.
1) artykul ktory opisujesz, carstein, to najprawdopodobniej nie autorski temat p. luizy, ale tekst, ktory Iwo jej podeslal. On zawsze, po wykryciu byle xssa wysyla do wszystkich mediow przesadzone informacje pelne nieumiejetnego oszacowania ryzyka, szczeniackiej mitomanii hackerskiej i FUD-u. Oczywiscie wszedzie glownym bohaterem jest haker Iwo, bezinteresownie niosacy pomoc i zarabiajacy $$$ na lataniu luk (rzuccie okiem na jego CV, to zobaczycie z jakimi to powaznymi firmami wspolpracowal :>)
2) Iwo to niewyobrazalna wrecz attention whore, to jak juz jakas redakcja pchnie nadeslany tekst na strone, to Iwo zabiera sie za generowanie komentarzy w tylu "pan Iwo musi byc niesamowity, oh, ah", "dziekujemy panie Iwo". Wszelkie kontrargumenty zalatwia slowami "gul z zazdrosci ci skacze", czyli na poziomie godnym goriona.
3) To ze spiknal sie z gorionem wiadomo od dawna. To tlumaczy zarowno obecnosc goriona w cytowanym przez carsteina tekscie jak i te same brednie o "dziurach w rzadowych serwerach" i te same metody zalewania wszystkich niezainteresowanych najmniejszymi sukcesikami w postaci znalezienia starszej niz najnowsza wersji apacza na ktoryms z serwerow .gov.pl
Jednym zdaniem: koles ewidentnie ma kompleksy, ze nikt nie traktuje go powaznie.
Iwo, wiem ze tu trafisz i bedziesz to czytal. Pozwol, ze uwolnie cie od konfigurowania proxy w przegladarce i sam to napisze: tak, skacze mi gul.
17.
22 grudnia 2009, 13:57:06
Trafny wpis.
Swoją drogą Pan Paweł miał trochę szczęścia podczas "live włamu" na TVN, bo podejrzewam, że nie miał stosownych zezwoleń na - bądź co bądź - pentest. Więc gdyby coś mu się udało to miałby ciepło (bo jak nie, to rozgorzałaby dyskusja o równych i równiejszych). Inną teorią może być, że wcale nie jest taki głupi na jakiego wygląda i celowo (lub też z braku umiejętności - jak kto woli) nie zrobił nic szczególnego, bo wiedział, że nie może i wystarczy pokazać coś co podchwycą media (to mu się udało).
Ciekawe tylko, czy spodziewał się takiej reakcji ze strony polskiej sceny security ;>
18.
22 grudnia 2009, 17:12:00
@rezos: Odwracasz trochę kota ogonem — to o czym piszesz jest oczywiście prawdą, ale to nie to do czego się odnosiłem.
Ciągnąc analogię z płotem, jeśli sąsiad zadzwoni i powie że mam w nim dziurę, to oczywiście stracę czas na sprawdzenie gdzie ta dziura jest, jak wygląda, czy czegoś przez nią nie wyniesiono itd., oprócz tego poniosę fizyczne koszty naprawy płotu, a i też pewnie przez parę nocy nie będę spał martwiąc się że ktoś w nocy mógł przyjść i zrobić mi kuku. To wszystko da się od biedy przeliczyć na bilety Narodowego Banku Polskiego.
Pytanie kontrolno-retoryczne: czy po skończonej aferze powinienem wystawić sąsiadowi rachunek?
Kończę, bo to nie miejsce na taką dyskusję. Jeśli masz ochotę to ciągnąć to mojego maila łatwo znajdziesz. Zaproponowałbym piwo ale to nie w najbliższym czasie niestety.
19.
22 grudnia 2009, 21:47:10
@sziwan:
Tak, zgadzam się z Tobą. Trochę odwróciłem. Dlatego wysłałem kolejny komentarz. A na piwo b. chętnie, ale to już w przyszłym roku.
Pozdrawiam.
20.
22 grudnia 2009, 22:17:09
Piwo? Lubie piwo :) Chce piwo :)
21.
23 grudnia 2009, 00:17:36
Przywieź mi kawałek antymaterii i dostaniesz całą beczkę. =P
22.
24 grudnia 2009, 01:09:29
Moze byc kwark dziwny? :)
23.
25 grudnia 2009, 04:35:35
Podoba mi się ta notka. Twoje postrzeganie spraw "hackingu" w mediach jest (patrząc po tym co tutaj napisałeś) bardzo zbliżone do mojego. Początkowo myślałem by sprawę skomentować "po mojemu", ale sądze, że zyskałbym tym samym kilku nowych wrogów [...]
Będę tu częściej zaglądał :)
Pozdrawiam
24.
27 grudnia 2009, 14:43:05
Piszesz totalne brednie, nieżetelne informacje innymi słowy Panie Autorze. Przeczytaj artykuł a później coś dopiero napisz.
http://www.tvn24.pl/12690,1634539,0,1,pokochac-hakera,wiadomosc.html
Artykuł na łamach TVNu nie został autoryzowany w żaden sposób. Wpis o mnie został usunięty tak szybko jak ukazał się artykuł na stronie TVNu.
Robię to co mi się podoba, publikuję co chcę na moim blogu. Przynajmniej u mnie informacje są potwierdzone i pewne :).
@ap: palę system i w żaden sposób nie jesteś mnie w stanie powstrzymać, zarówno twój wpis czy też kolejny wpis kolejnej osoby. Totalnie zlewam twoje zachowanie czy komentarz Autora.
Jednym słowem bieda :D
Pozdrawiam,
Iwo Graj
25.
27 grudnia 2009, 14:48:45
s* / nieżetelne / nierzetelne
Pozdrawiam Iwo Graj
26.
27 grudnia 2009, 15:14:33
Poświęciłem chwilę czasu, już wiem skąd kojarzę imię i nazwisko Autora tego bloga: Michał Melewski :) Panie kolego pamiętam jak wyciskałeś siódme poty podczas wargame na confidence 2008 w Krakowie :D . Siedząc na korytarzu byłeś załamany że nie umiesz zrobić prostego sql injection w banalną aplikację (śmiech). Używałeś wtedy gotowców, jednak nawet gotowa aplikacja nic ci nie pomogła. Kombinacje z 'foo' jakoś się nie kleiły hehehe.
Piszesz o kimś kogo nie znasz :) a mażesz się jak dzieciak jeśli ci nic nie wychodzi, czy to jest wizerunek pentestra ? :D Bieda Michałku.
Pozdrawiam Iwo Graj
27.
27 grudnia 2009, 18:42:28
O, Pan Inżynier Iwo odwiedził mój skromny blog.
>Piszesz totalne brednie, nieżetelne informacje innymi słowy Panie Autorze. Przeczytaj artykuł a później coś dopiero napisz.
Czy mógłbyś proszę wskazać konkretne przykłady? Nie lubie takich mglistych określeń. Artykuł z trudnością, ale przeczytałem, więc nie za bardzo wiem, o co Tobie chodzi.
>Artykuł na łamach TVNu nie został autoryzowany w żaden sposób. Wpis o mnie został usunięty tak szybko jak ukazał się artykuł na stronie TVNu.
Usuneli go zanim zaczeliśmy się z ciebie śmiać, czy już po? Nie wiem, jak dokładnie pracują dziennikarze TVN, ale sugerujesz, że autorka artykułu wszystko o tobie zmyśliła? Ci dziennikarze ...
>Robię to co mi się podoba, publikuję co chcę na moim blogu.
To może tam zostań ze swoimi przemyśleniami? Bo tutaj na pewno kariery nie zrobisz.
>Totalnie zlewam twoje zachowanie czy komentarz Autora.
Aha. Trzy (no, dwa dłuższe niż 3 słowa) komentarze, pod artykułem, który totalnie zlewasz. Rozumiem.
>Poświęciłem chwilę czasu, już wiem skąd kojarzę imię i nazwisko
Oh, wypominasz mi moją największą traumę tamtego roku. To boli. Faktycznie, nie poradziłęm sobie z zadaniem na Confidence 2008, mimo użycia sqlmapa. Śmiech totalny, masz rację. Dopiero psycholog pomógł mi się z tym uporać. Na szczęście nie zwolnili mnie za to z pracy.
> Piszesz o kimś kogo nie znasz :) a mażesz się jak dzieciak jeśli ci nic nie wychodzi, czy to jest wizerunek pentestra ? :D Bieda Michałku.
Nie znam, bo mimo tego, że bardzo chciałeś się wtedy do nas przysiąść jakoś nam twoje towarzystwo nie odpowiadało. Mój wizerunek na szczęście z powodu tego zdarzenia nie ucierpiał. Nie życzę sobie zwracania się do mnie Michałku; tak możesz pisać do swojej żony.
A teraz poważniej: to już drugie twoje wystąpienie na moim blogu; nigdy nie napisałeś nic merytorycznego, a jedynie wypłakujesz się tutaj, że ktoś o tobie źle napisał.
Przemyśl dobrze swój następny post, bo może będzie on ostatni.
28.
29 grudnia 2009, 05:27:24
To mój pierwszy post na jakimkolwiek blogu. Coś we mnie pękło i postanowiłem zrobić coming out. Niezbyt odważny, bo Kamil to nie moje prawdziwe imię. Nadal jednak czuję wewnątrz jakby wołanie "Nie wysyłaj, nie wysyłaj!", wręcz paniczny strach przed nieuniknioną krytyką i logami zostawionymi na serwerze. Nie włącze tora, to niewiele da, ponieważ wykonałem już kilka requestów, a jest 5:00 nad ranem. Znacie to uczucie? Wolno sklejasz zdania, ważysz każde słowo, czytasz wielokrotnie swój tekst a następnie jeździsz kursorem przez kilka sekund wokół buttona "wyślij". Serce zaczyna mocniej bić, na czole pojawiają się kropelki potu, czytasz znowu swój tekst, dopieszczasz, usuwasz literówki i powtórzenia, szukasz eleganckich synonimów, włączasz nowego taba i czytasz newsy na jakimś portalu. Nie masz pewności czy tekst jest fajny, warty opublikowania. Ostatecznie kasujesz wszystko i szybko starasz się zatrzeć w pamięci kolejną nieudaną próbe nawiązania kontaktu z ludźmi z "branży".
Uważam się za sympatyczną osobę, która lubi wyjść ze znajomymi na piwo, ceni sobie luźną rozmowę, nie obawia się krytyki i jest pewna siebie. W realu.
Tutaj jest inaczej. Na pewnym etapie "wtajemniczenia" zauważasz że większość ludzi piszących z internecie o security (fora, portale etc) niewiele wie na ten temat. Głupio Ci że jeszcze przed chwilą byłeś jednym z nich. Ale teraz czujesz moc - przecież już wiesz jak szukać sqli w kodzie php. Zabierasz się za pisanie swojego pierwszego emaila na bugtraq- sqli/lfi/cokolwiek w mało popularnym skrypcie. Tym razem jednak jesteś bardziej bystry. Wspomnienie niedawnych postów o brutusie i kompilowaniu exploitów nie pozwala Ci się podpisać własnym imieniem. Co jeśli to co robie nie jest na tyle fajne? Przecież są buffer overflowy, format stringi i inne kosmosy... Ostatecznie wysyłasz maila incognito i gdzie tylko możesz sugerujesz że to Ty jesteś znalazcą tego buga. Pniesz się wyżej, swobodnie piszesz exploity, omijasz dep/aslr i z nikim o tym nie rozmawiasz, bo jeszcze niedawno podniecałeś się integer overflowem który w rzeczywistości był zwykłym crashem. Może teraz jest tak samo? Widzisz przecież co dzieje się z ludźmi którzy powiedzieli do kamery o jedno słowo za dużo. Ba, też nimi pogardzasz. Zastanawiasz się czy to co napiszesz będzie lansem czy nie. Dochodzisz do wniosku że lepiej się nie udzielać...
Ale czasami musisz coś napisać. I robisz to o 5:00 nad ranem, incognito.
29.
07 stycznia 2010, 11:35:09
na marginesie, w hacklogach juz zwracaja sie do goriona i iwo per "pan" ;-)
screeny tu: http://niebezpiecznik.pl/post/wojenka-polskiej-sceny-security/
30.
07 stycznia 2010, 13:54:53
Niby każdy wie, że w tej "subkulturze" liczą się osiągnięcia, są osoby wybitne, są średnie, ale są tacy, którym nie pasuje bycie gorszym [pojęcie względne] lub mniej poważanym od innych. Wtedy kombinują, "jak by tu się wbić pomiędzy tych najwyższych" i zamiast usiąść do pracy i wykazać się w normalny sposób szukają łatwej drogi na szczyt. Może czasem się to komuś uda, ale w większości niestety tracą autorytet gorzej, niż gdyby wcale się nie pokazywali.
Mam świadomość tego, że sam na pewno nie jestem "ostatni" [taki mały relatywizm - nikt nie jest najgorszy ;]], ale nie uzurpuję sobie żadnego miejsca w czołówce. Mogę zacytować przeczytany gdzieś fragment: "jeśli wchodzisz w branżę tylko po to, żeby ludzie nazywali Ciebie hakerem, to możesz odpuścić - nigdy nim nie zostaniesz". Takich pseudohakerów zjada jedno - chorobliwe żądanie uznania przez innych. Zamiast być "dobrym średniakiem", zostają "upadłymi geniuszami".
Ja wolę być tym średniakiem. ;]
31.
12 stycznia 2010, 02:51:28
http://www.youtube.com/watch?v=qL4kwZkOG_I
:)
32.
13 stycznia 2010, 14:43:22
Ja się tylko chciałem odnieść do kilku szczegółów Pana l’enfant terrible :)
"Pan Paweł [wytnę Iwo, bo piszę o sobie] nie są i żadnych szczególnych dokonań nie mają"
- na konferencjach nie występują - bzdura
- własnych narzędzi nie piszą - bzdura
- advisory nie publikują - prawda
- nawet nie pracują w zawodach związanych z bezpieczeństwem - bzdura
- ot, coś tam hobbystycznie dziergają - prawda
Także, widać że masz informacje z pierwszej ręki :) a jeśli umniejszasz człowiekowi tylko dlatego, że nie publikuje advisory, to reprezentujesz poziom na prawdę niski. Nie wspominając już o tym, że tak na prawdę mnie nie znasz i nawet nie wiesz co robię.
"Pytanie ich o hakerstwo to jak pytanie mnie o nielegalne wyścigi samochodowe - raz takie widziałem przez szybę. Pociągu."
Tak, niech pytają lepiej Ciebie, wielkiego pentestera, który ma tyle dokonań... nie? :) Wiesz co, znudziło mi się branie udziału w takich dyskusjach i nie chce mi się udowadniać wszystkim, że jesteś malutki. A mógłbym, bo w przeciwieństwie do Ciebie dysponuję faktami, a nie wymyśloną na potrzeby wstrzelenia się w artykuł TVN24 historią i próbą przedłużenia swojego małego.
"Dziś w godzinach wczesno-porannych przeczytałem artykuł, który stał się impulsem do stworzenia tego wpisu. Z racji tego, że było jeszcze wcześniej, zamiast zwyczajowego "WTF?!" i garści bluzgów tylko głęboko się zamyśliłem nad działalnością tego fantastycznego portalu".
Nowele zacznij pisać ;)
33.
13 stycznia 2010, 15:11:31
> - własnych narzędzi nie piszą - bzdura
> - advisory nie publikują - prawda
> - nawet nie pracują w zawodach związanych z bezpieczeństwem - bzdura
Daj linki Paweł... pochwal się.
34.
13 stycznia 2010, 15:36:57
Ja mam! http://www.youtube.com/watch?v=IXXkT2rx32k
35.
14 stycznia 2010, 23:24:42
pawel, jak koles z bezpieczenstwa moze nie publikowac advisory? :) Twoje toolsy tez sa dobre xd, juz lepiej bylo ich nie pisac :P
..a na konfy to zapraszaja cie na takie jak zaslugujesz.
36.
15 stycznia 2010, 14:48:00
ciekawe co gorion zrobiles kiedykolwiek w temacie security, moze jakis research pokaz? przejedz sie kiedys na konferencje o bezpieczenstwie dla ludzi zajmujacych sie bezpieczenstwem i pokaz cos czym zainteresujesz tych ludzi.. jak na razie nie pokazales totalnie nic, poszedles do TVN'u i zrobiles z siebie idiote. Ludzie tego nie zweryfikowali. Mowisz potem, ze chciales zwrocic na pewne sprawy uwage? w jaki sposob? podajac zupelnie nierzetelne informacje? Skoro z Ciebie taki security to dlaczego powiedz mi pracujesz w infovide i "awansowales" z architekta na developera? pare miesiecy pracy - 3 rozne stanowiska.
Dlaczego nie pracujesz w firmie ktora zajmuje sie stricte bezpieczenstwem ?
Uprawiasz demagogie w bialych rekawiczkach a jak na razie pokazalas soba... nic. Dno.
Dodaj komentarz:
Chcesz mieć swoje zdanie - miej też personalia.
Anonimowe komentarze bedą kasowane.