gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Problema de segurança no site dos Phibernet
Contribuído por scorpio em 24-09-01 15:06
do departamento dor-de-cotovelo??
PhiberNet Anonimo Cobarde escreve "Pode ver todo o artigo no site da recortes:
"PROBLEMA DE SEGURANÇA ENCONTRADOS NOS SITES DOS HACKERS PORTUGUESES (tendo por base o relatório que os mesmo hackers colocaram nesta página ).
B - Nos seguintes sites tem-se acesso ao conteúdo de uma directoria, sendo possível saber desta forma quais os ficheiros existentes, bem como aceder ao conteúdo dos mesmos. Foi efectuada uma cópia da directoria, para análise posterior. Caso sejam encontrados mais problemas de segurança no código entretanto analisado, os mesmos serão publicados neste site. "
Consideramos este problema uma ENORME falha de segurança. (notem que o texto atrás é exactamente o mesmo que está no relatório ; será que no site dos hacker isto também revela uma ENORME falha de segurança ???):
phibernet.org
p.ulh.as
[Editor's note: Encontrei o logotipo destes PhiberNéticos. Já que são os visados, pareceu-me adequado inserir o tópico deles.]

Jogo Hitman: Codename 47 agradece uso de software | LimeWire, agora em Open Source !!!  >

 

gildot Login
Login:

Password:

Referências
  • no relatório
  • phibernet.org
  • p.ulh.as
  • recortes
  • nesta página
  • Mais acerca PhiberNet
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    eu jah aquei! (Pontos:3, Engraçado)
    por RaTao em 24-09-01 15:17 GMT (#1)
    (Utilizador Info)
    ...e fiz download de uma pic atraves deste bug!

    ...agora vou ao mbnet ver se consigo fazer download de 100.000.000$00

    brb,

    Regards,
    Nuno Silva aka RaTao
    *duh*, but then again, I'm guessing (Pontos:3, Interessante)
    por buffer em 24-09-01 15:30 GMT (#5)
    (Utilizador Info) http://xpto dot org
    Difs..
    O sai-te da Phibernet não leva dados tais como os details das contas das pessoas.
    Nem uso o sai-te dos Pulhas para guardar o meu dinheirinho.
    Uma coisa é um sai-te duma "organização" qualquer [phibernet, pulhas, toxyn, erva], outra coisa é um sai-te duma empresa que supostamente controla dinheiro alheio.

    Quem fez esse post deve ser o gajo que configurou o apache na maquina do mbnet.. or something..

    Além disso, a Phibernet fez foi um favor em explicar os potenciais problemas do sistema, por isso, comam, corrijam e agradeçam.

    -- what was my problem with man You ask? No.. I ask you what was man's problem with me..

    DUH! (Pontos:1)
    por japc em 24-09-01 15:56 GMT (#6)
    (Utilizador Info) http://xpto.org/~japc
    Desde quando e' que os sites mencionados teem alguma coisa a ver com o meu dinheirinho?

    Mais, nao me parece que tenham custado 1 milhao...

    Muito a desproposito.

    Duh^2.


    japc.
    É o fim da picada... (Pontos:0, Interessante)
    por Anonimo Cobarde em 24-09-01 16:05 GMT (#7)
    Espero que o jm que assinou nao seja o mesmo Pina Miranda da SIBS... Porque a isto chama-se "infantilidade".
    A phibernet, até onde sei, não está a proclamar a "venda" de informações seguras. O certificado não-acreditado chega-lhes perfeitamente... Não têm que provar idoneidade nenhuma.
    Quanto ao site dos pulhas... Be afraid... Vou usar a listagem dos exploits de BSD para atacar o serviço PulhasBank. Afinal, estamos a comparar sites bancários, não é?
    Re:É o fim da picada... (Pontos:1)
    por jepm em 24-09-01 18:11 GMT (#14)
    (Utilizador Info)
    Acho este comentário demasiado grosseiro.
    Espero que só digam que são meus, os textos que recebam assinados digitalmente por mim.

    Obrigado,
    José Pina Miranda
    Re:É o fim da picada... (Pontos:1)
    por jepm em 24-09-01 18:24 GMT (#16)
    (Utilizador Info)
    Exactamente.

    Obrigado,
    jepm
    Re:É o fim da picada... (Pontos:0, Informativo)
    por Anonimo Cobarde em 24-09-01 23:17 GMT (#26)
    Realmente isto só prova que este país está cheio de teóricos !! Então o Dr. Pina Miranda mete-se a dar conferências e congressos sobre "Segurança Informática na Internet e Certificação Digital" há uns seis meses atrâs, e na prática vem cometer estas argoladas ??? (Segurança na Internet e certificação digital
    ) Sinceramente Sr. Dr., se tem a conferência gravada ouça-na e relembre o que foi dito e depois venha responder aqui públicamente se está conforme o que foi posto na prática no famoso projecto de 1.000.000.000$00
    Sinceros cumprimentos e uma boa noite, pois culminando assim desta forma o meu comentário, não vai ter motivos para o considerar de modo algum grosseiro.
    Re:É o fim da picada... (Pontos:1)
    por jepm em 24-09-01 23:44 GMT (#28)
    (Utilizador Info)
    Caro Anónimo Cobarde,

    Tenho participado neste forum sem me esconder atrás de um pseudónimo. Do mesmo modo não estou aqui para enxovalhar nem atentar contra a dignidade e bom nome de alguém.

    Já que parece ser assim tão sabedor do que eu faço, gostaria que também se identificasse e me explicasse onde errei ou cometi uma argolada.

    Agradeço-lhe por ter uma tão boa impressão de mim que julgue que fui eu é que desenhei e desenvolvi todo o projecto. Espero que quando chegar à conclusão que é um bom projecto, também mo aqui venha agradecer publicamente.

    Obrigado,

    jepm

    P.S. Se ainda não utilizou o serviço MBNET, por favor tente utilizá-lo (efectuando uma compra em Portugal e no estrangeiro) e depois expresse a sua opinião.


    p.ulh.as/xploitdb (Pontos:0, Informativo)
    por Anonimo Cobarde em 24-09-01 16:23 GMT (#8)
    E' verdade... E' browseable... E e' propositado. Assim qualquer pessoa pode fazer mirror da DB de advisories.
    Nao percebo e' a comparacao com o MBNet... Tb querem mirrors do MBNet??

    Fritz@p.ulh.as
    Off topic.. (Pontos:1)
    por NeVErMinD em 26-09-01 22:05 GMT (#33)
    (Utilizador Info)
    Tb gostava da Security Bugware, mas ao que parece o Hrvoje Crvelin nao vai manter aquilo, portanto secalhar é melhor fazerem mirror de outra DB.
    topic=phibernet (Pontos:2, Interessante)
    por fog em 24-09-01 16:38 GMT (#9)
    (Utilizador Info) http://www.fog.nu/
    topic=phibernet

    Criaram um topico especial para phibernet ?

    WOW, Os tipos devem ser mesmo importantes.
    E' caso para perguntar... (Pontos:2, Esclarecedor)
    por vd em 24-09-01 17:39 GMT (#13)
    (Utilizador Info)
    Onde e' que esta' a polvora ????
    E o que andam a fazer com os nossos certificados ???
    Quer dizer.. o Governo tambem precisa de ganhar uns quantos cobres..

    Cumprimentos,
    vd
    Funny :) ... (Pontos:2, Interessante)
    por Lowgitek em 24-09-01 18:27 GMT (#17)
    (Utilizador Info) http://www.ideiasdigitais.co.pt
    Não deixa de ter a sua piada é mesmo coisa de portugues apontar o deifeito dos outros e não olhar ao própio umbigo :).

    Tb ficava bem aqui aquele outro que é: Santo da casa não fazem milagres afinal andam tão ocupados com a segurança dos outros que se esquecem do quintal la de casa anyway não vejo grande gravidade nem num caso (no da mbnet) nem do outro afinal não era nada por ali alem.

    Fingerprint (Pontos:2, Interessante)
    por MacLeod em 24-09-01 18:59 GMT (#20)
    (Utilizador Info)
    A geração de um certificado deste tipo é uma tarefa simples, ao alcance de qualquer pessoa com alguns conhecimentos técnicos. Como prova do que falamos, viste o site https://mbnet.phibernet.org/ repare na janela de aviso que o seu browser lhe irá mostrar.

    Pois é, muito triste... parece que realmente faltam umas noções de criptografia a alguém. Para além do nome da companhia estar mal escrito nesse vosso certificado (e para além de outras diferenças pequenas) é obvio que a fingerprint (quer SHA1 ou MD5) não condiz. Não me parece que uma pessoa minimamente informada caia nessa de um certificado diferente do original, ie, tendo em conta que se conseguiu autenticar o original com a MBNet por métodos que são normalmente utilizados (por exemplo) para verificar chaves públicas de PGP.

    Re:Fingerprint (Pontos:2)
    por MacLeod em 24-09-01 23:27 GMT (#27)
    (Utilizador Info)
    Então não faz sentido falar em buraco de segurança. O site é seguro, as pessoas é que não.
    Asneira da M$ ?! NAAAAHHHHHH :-) (Pontos:2)
    por xeon em 24-09-01 23:17 GMT (#25)
    (Utilizador Info) http://pthelp.org
    O facto da Verisign (e a Microsoft, por nao ter o mecanismo de expiring a funcionar de forma correcta) ter metido a pata na poça (o famoso caso dos certificados "Micro$oft" que afinal nao o eram ... ) implica que a SIBS possa mandar 1 milhao de contos (dos contribuintes, presumo ...) para o balde e implementar um site com:

    - Um certificado que nao e' reconhecido como 'trustable' pelos browsers usados por ..hmm... 99% das pessoas que 'navegam' na web ?
    - Uma implementacao de user/passcode facilmente 'exploitable' (ao mais que nao seja para fazer pseudoDoS nas contas dos clientes) ?

    Nao estou a deitar a 'tecnologia' portuguesa 'as urtigas (faz-se MUITA coisa bem feita ca' ...), mas ja' e' tempinho da SIBS admitir que fez asneira da grossa e repensar a implementacao...

    Ah, ja' agora, enquanto nao o fazem, tirem os vossos spots das radios, TVs e casset^H^H^H^H^H^H^H^H. E' que me da' uma irresistivel e imparavel vontade de desatar 'a gargalhada sempre que ouço a expressao "...forma segura de pagamento..." neles ... e ja' passei por maluquinho no meio do transito.

    --
    Nao ha' mulheres feias ... um gajo e' que bebe pouco ...
    Re:Asneira da M$ ?! NAAAAHHHHHH :-) (Pontos:1)
    por k em 26-09-01 22:16 GMT (#34)
    (Utilizador Info)
    Se tiver recebido fundos do Governo ou da União Europeia para o fazer. Por acaso não faço a mais pequena ideia se o fez, mas isso deve ser público...
    --
    k
    Clap Clap...to phibernet work... (Pontos:1)
    por Jynx em 25-09-01 1:01 GMT (#30)
    (Utilizador Info) http://www.frenetik.net
    Nice piece of work, phibernet...

    Clap Clap to all the work involved...

    Agora tudo o que veio a seguir devido a isto no comments...mas valia esconderem a ignorancia estando calados...

    Jynx


    :::Frenetik Technet inc. "your soul may belong to Jesus, but your ass belongs to me..." :::::::::::::::EOF
    muito fogo de vista (Pontos:1)
    por lucipher em 28-09-01 7:48 GMT (#35)
    (Utilizador Info) http://www.unsecurity.org/
    Não vejo razão para tanto alarido, será que a mbnet estenografou alguns dos dados nessas imagens ? duvido.
    unsecurity.org
    "Reality is merely an illusion, albeit a very persistent one." -- A. Einstein
    Re:muito fogo de vista (Pontos:1)
    por lucipher em 29-09-01 4:43 GMT (#37)
    (Utilizador Info) http://www.unsecurity.org/
    :)
    unsecurity.org
    "Reality is merely an illusion, albeit a very persistent one." -- A. Einstein
    Re:wow ! (Pontos:0)
    por BipBip em 24-09-01 15:29 GMT (#4)
    (Utilizador Info) Http://BipBip.XpTo.OrG
    mbnet.dos.buracos.profundos.org
    ----

    Do not phear them, phear me because i'm lame. ~:o)=
    Re:Do que o anonimo se esqueceu :-)) (Pontos:0, Informativo)
    por Anonimo Cobarde em 24-09-01 22:37 GMT (#24)
    Os Toxyn estao alojados na maquina dos Pulhas
    Giro... o p.ulh.as, pelo que vejo, e' o 195.23.2.4. Nem sequer estao no mesmo provider, quanto mais a mesma maquina...
    Re:Do que o anonimo se esqueceu :-)) (Pontos:0)
    por Anonimo Cobarde em 24-09-01 23:55 GMT (#29)
    Azar... já bazaram.
    Agora os "juntos" são os Phibernet.org e os Toxyn. Mesma maquina.

    Mas se abrires os olhos vais reparar que os Pulhas ainda nao tiraram o virtual host dos toxyn que la tinham.

    telnet pulhas.org 80
    GET / HTTP 1.0
    Host: www.toxyn.org

    E voilá... aparece a antiga pagina deles... ;-)

     

     

    [ Topo | FAQ | Editores | Contacto ]