Cum reacţionează Yahoo! atunci când e vorba de probleme de securitate?
10 Weekendul acesta a avut loc în Bucureşti unul dintre cele mai importante evenimente organizate în România – Yahoo! Open Hack, o competiţie ce se desfăşoară de mai multe ori pe an, în diverse locaţii ale globului şi are ca scop adunarea comunităţilor locale şi internaţionale de programatori într-o competiţie de 24 de ore pentru realizarea celor mai interesante aplicaţii web, folosind API-urile puse la dispoziţie de Yahoo.
O echipă formată din doi programatori români, ascunşi sub pseudonimele pax şi Cheater au dorit să construiască o aplicaţiec are să le demonstreze oficialilor de la Yahoo! că există probleme grave de securitate. Cei doi băieţi au găsit un XSS permanent în Yahoo! Pipes, cu ajutorul căruia au dezvoltat aplicaţia „Yahoo Self Spreading Worm via Instant Messaging using an ALIVE XSS”. Victimele accesau viermele ce executa codul maliţios pentru a fura cookieurile, folosindu-se pentru răspândire şi spam de adresele de mail ale victimelor.
„At the end, they didn’t metion me, didn’t thank me, didn’t salute me. In my objective opinion ( and others as well ) they were complete bitches, but it doesen’t matter because I fucked them at their own ‘hack’ contest.”, spune tanarul roman.
Aceştia susţin că li s-a permis să prezinte doar 70 de secunde din cele 90 care ar fi trebuit să dispună, la finalul cărora au insistat să prezinte oficialilor Yahoo! cum funcţionează aplicaţia, sperând măcar la o menţionare in cadrul premierii. Reacţia oficialilor nu a existat, aceştia i-au ignorat complet la finalul explicaţiilor şi, evident, i-au ignorat până la sfârşitul evenimentului. Problemele de securitate vor fi, cel mai probabil, rezolvate în câteva zile. Băieţii şi-au asumat un risc mergând în faţa publicului cu această prezentare dar, din pacate, s-au întors acasă fără nici măcar un „Mulţumesc”.
Aviz dezvoltatorilor şi administratorilor
NU, dar insist, NU faceţi aşa!
Interpretare
La nivel corporativ, această problemă de securitate, dacă ar fi mediatizată ar reprezenta un prejudiciu de imagine, de aceea reacţia este una perfect normală. Cei care fac show off trebuie să înţeleagă că niciodată o corporaţie nu va mulţumi unor oameni care îi trag de coadă, doar în cazul programelor speciale de răsplatire prin care se face asta. Nu e prima şi nici ultima dată când o companie reacţionează aşa, dar asta nu înseamnă ca trebuie să le urmăm exemplele.
De citit si http://blog.rstcenter.com/2011/05/17/cand-dorinta-de-afirmare-depaseste-granitele-bunului-simt-paxnwo-un-leecher-ordinar/ ca e tot pe tema asta.
Da, m-am abtinut sa dezbat si aceasta problema pentru ca etica comunitatilor underground e un subiect neutru in care nu as vrea sa intru din diverse motive, unul din ele fiind certurile care le-a marcat subiectul prin alte locuri. 🙂
well, daca ai fi venit acolo, la inscriere, pe langa faptu ca te puneau sa te semnezi pe foaie, numele, telefonu, mail, aveai si o alta foaie cu care erai de acord, nu am stat sa citesc, dar am vorbit cu altii care au citito si au mentionat ca, nu era frumos sa faci chestii naspa
Din cate am inteles si din ce am vazut, baietii s-au semnat cu identitati false asa ca erau niste formalitati ca sa iasa bine. 🙂
meh… irelevant, a fost fun.
apropoz, http://www.yoda.ro/software/bucurestiul-devine-capitala-hackerilor.html citeste comentariile
Ce sa zic, urat din partea celor de la Yahoo!
Lasand la o parte problemele mele cu Pax si considerand prin absurd ca el a descoperit xss-ul pe care eu i l-am dat si care era facut public tot de mine de aproape 3 ani de zile, ce parere aveti despre urmatoarea situatie:
Ma duc la o conferinta organizata de o companie uriasa pe plan mondial avand ca nume de echipa o jignire adusa unui roman ce s-a facut cunoscut in toata lumea prin forte proprii fara a cersi atentie de la presa ca altii ce plangeau dupa un interviu ca sa se laude la mami ce grozav sunt ei. Conferinta are rolul de a le permite developerilor sa isi expuna aplicatiile. Eu urc pe scena si prezint o vulnerabilitate FOARTE BANALA intr-un serviciu oferit chiar de compania organizatoare, vulnerabilitate ce afecteaza doar browserele clientilor nu si serverele in sine. Arat publicului ca am creeat un xss worm, adica o chestie pentru care exista destule tutoriale la liber pe net ce iti explica cum sa creezi asa ceva. Ah, stai, am facut GUI Menu la worm. Sweeet. La ce foloseste GUI Menu in cazul unui xss worm? Dracu stie. Cei de la conferinta se uita la mine crucis si nu inteleg ce caut eu cu vulnerabilitati la o intalnire a developerilor asa ca organizatorii trec mai departe la urmatoarea prezentare si mie imi taie macaroana.
Vulnerabilitatea e „official patched” si cei de la compania respectiva ma contacteaza intr-un mod public (twitter este foarte public), pentru a le da detalii despre o alta vulnerabilitate cu care m-am laudat. Citez ceea ce a spus reprezentantul Yahoo intr-un tweet public referitor la situatia actuala: „i’m reaching out to you as a fellow researcher who likes to study security issues, but I won’t ask you against your will”. Pentru ca nu mi-au pupat talpile si nu m-au angajat la ei pe baza unei prezentari la care am contribuit cu un xss incep sa le vorbesc de sus. Ca sa le dau peste nas definitiv pun la vanzare un alt xss worm cu autospread ce dpdv legal e la acelasi nivel cu distributia Zeus si SpyEye. Asa ca am grija ca toata lumea sa stie ca eu vand un exploit (pastebin.com/Wg5UkMnZ) intr-un sistem asupra caruia nu am nici un drept si care, culmea, apartine unei companii uriase ale carei servicii le folosesc zilnic de cativa ani.
Deci daca punem cap la cap toate detaliile cine a gresit? Cei de la Yahoo pentru ca au tacut din gura pana au vazut daca vulnerabilitatea este sau nu reala si care este impactul ei, sau eu care stiam de ani de zile ca Yahoo nu discuta niciodata despre gaurile din sistemul lor dar totusi asteptam sa fiu ridicat in slavi cu toate ca am nimerit ca nuca in perete si am prezentat ceva total „offtopic” la o conferinta organizata de ei? Cine ar multumi unui astfel de om?
In domeniul asta orice researcher din afara care se respecta cauta, gaseste, pastreaza si exploateaza sau publica si contribuie la remedierea problemei fara a astepta multumiri sau recompense din partea cuiva.
Sirdarckcat a publicat ani de-a randul tot felul de metode de a manipula browserele si vulnerabilitati xss in diferite site-uri de mare relevanta in online. A fost angajat de Google pentru a face parte din echipa lor de securitate.
Jeremiah Grossman a publicat foarte multe metode de atac si vulnerabilitati de-a dreptul revolutionare dar nu s-a apucat niciodata sa ameninte companiile ca face si drege daca nu ii adreseaza multumiri sau nu il recompenseaza.
Rezultatul? Ei castiga intr-o luna cat majoritatea dintre noi intr-un an, iar altii vand xss-uri pe 50 euro ca sa aiba bani de tigari. Etica aduce beneficii pe termen lung pe cand vendetele publice pe baza de smecherie romaneasca aduc numai probleme si marginalizare din partea oamenilor care conteaza cu adevarat.
Intr-adevar politica full disclosure aplicata de Yahoo e de tot rahatul, securitatea lor cel putin in cazul vulnerabilitatilor cross site scripting e de doi lei, dar in cazul de fata au avut rabdare inainte de a declara ceva in mod oficial asa cum toti jucatorii mari din online trebuie sa procedeze pentru a nu avea probleme de imagine.
Referitor la articol chiar ieri am primit multumiri pentru ajutorul acordat din partea unui reprezentant al staffului de securitate din cadrul Yahoo. O sa public un screenshot cu mailul cand isi vor duce pana la capat sarcina propusa legata de situatia actuala. La fel si fostul reprezentant al Yahoo! Romania, Booby Voicu, mi-a multumit de fiecare data cand i-am raportat o vulnerabilitate xss in serviciile lor.
Dracul nu e atat de negru pe cat pare si nu vad rostul agitatiei create pe baza unei probleme de comunicare dintre un pustan fara imaginatie care vinde oricui xss-uri in Yahoo pentru a avea bani de tigari si reprezentantii unei companii uriase pe plan mondial ce aplica totul ca la carte si au semnat un contract prin care sunt obligati sa nu discute anumite chestiuni ce pot afecta imaginea firmei pentru care lucreaza.
Cam atat am de comentat momentan asupra subiectului. Cat despre leech sa fie Pax sanatos ca altceva nu o sa mai vada vreodata de la noi iar reclama proasta pe care si-a facut-o cu mana lui o sa il urmareasca destul timp.
Iti multumesc pentru comentariul acesta. Asa cum am precizat intr-un alt mesaj scris aici, m-am abtinut sa interpretez realizarea tocmai datorita scandalului realizat in jurul ei.
Nu am vrut sa agitam acest subiect pe blog, ci doar am gasit o modalitate buna de a oferi un aviz developerilor in general abuzand putin de eveniment.
Se citeste clar frustrarea prin atentia pe care vrei sa o acorzi subiectului si prin cantitatea scrisa, iar din cate te stiu eu, si toata lumea, tu nu prea iti bati capul cu astea, nici daca esti calcat pe coada, dar te-ai iritat rau de data asta. Faptul ca tu crezi ca imi faci un rau povestind lumii cum au stat treburile si prin incercarea de a ma izola de restul comunitatii atesta ideea ca tu chiar crezi ca mie imi pasa; ai vrut ca pedeapsa mea sa fie marginalizarea, chestie care doare doar pentru cei care-si duc viata pe net. O singura greseala ai facut in tot : ti-ai insusit xss-ul. Era accesibil oricui putea sa il gaseasca. Pe langa asta, ai povestit cum mi-ai spus unde e si cum se exploateaza; aici gresesti, mi-ai spus ca traieste in pipes si daca-l gasesc sa nu-l fac public ca o incurc. Baietii au fost martori cum l-am gasit si cat am stat sa-l exploatez. Asa ca leech-ul iese din discutie, insa nu si nesimtirea, chestiune pe care o accept. Lucrul pe care nu-l inteleg e de ce iti bati capul; tu singurel arati ca esti ala batran si intelept care se pisa pe fraieri. Adevaratul meu scop a iesit la iveala ieri, printr-un email, iar baietii carora le-am povestit au spus ca si-ar fi turnat si tovarasii pentru o asa oportunitate. Prin urmare, am pus interesul personal si viitoarea cariera peste prietenia cu tine si peste legatura ( ca intre **** si ***** ) cu botii de pe rst ( ii exclud pe cei cu care inca sunt tovaras si care nu au pus la indoiala increderea pe care mi-au ( si mi-o ) acorda ). Asa ca n-am nici cel mai mic resentiment pentru incheierea relatiilor, datorita cuvantului pe care mi l-am incalcat cu un scop mult mai pretios decat unul pe care doar mi l-as fii imaginat, si puteti in continuare sa scrieti ce vreti, pe unde vreti, sa faceti ce vreti, e doar pierdere de timp si copilarie din partea voastra. Oricum, deja ati aplicat raul pe care credeti voi ca mi l-ati facut, nu ? Asta este prima si ultima interventie publica asupra incidentului, la indemnurile baietilor.
Explicatii jenante ce pot fi combatute de oricine cunoaste indeaproape situatia. Nu are rost sa imi mai bat gura cu cineva care ii arde pe cei care l-au sprijinit.