Tales from the Machine Room

A volte questo lavoro ha dei lati divertenti (o almeno da un punto di vista) e tu, D, sei nel posto giusto per divertirti un sacco...

Rodorodorodorodorodo

"solo" Playboy? Che gentile sei stato ...

Hola!

-- Savoldi Claudio

questa storia insegna molto a noi poveri mortali, ci insegna di nasconderti gli indirizzi dei nostri poveri siti se no saremo costretti a guardare playboy fino alla fine dei nostri giorni... bhe non è poi neanche così male come maledizione!

-- - Simone

>IO - Hummm... sono le 5 di sera...

>DB - Vabbe', lo fai domani.

Mi sarei aspettato da DB una risposta del tipo "Vabbe', domattina puoi venire in ufficio 1 ora piu' tardi"

Scherzi a parte, Davide quanto tempo ti e' servito completare per tutta la hackerata?

Complimenti per il "lavoretto"

-- maxxfi

> Scherzi a parte, Davide quanto tempo ti e' servito completare per tutta la hackerata?

Meno di un'ora, e la parte tragica e' che l'unica cosa che ho usato e' stato un browser ed un editor.

-- Davide Bianchi

C'è da ammettere che almeno non si sono fidati ciecamente della pappa che gli hanno dato e si sono accertati sulla sua affidabilità.

Sbaglio o adesso che sei a $networkgestapo l'intelligenza media dei cl/clienti si è (almeno un po) alzata?

-- "Unix IS user friendly. It's just selective about who its friend are"

> C'è da ammettere che almeno non si sono fidati ciecamente della pappa che gli hanno dato e si sono accertati sulla sua affidabilità.

Quale parte di "é deployato su un server di produzione" non ti é chiara ;D

Scherzi a parte, per fare prove di affidabilità di un software prima di mandarlo su una macchina di produzione dovrebbe essere al massimo su un server "sfasciabile" sulla intranet. Sono stati fortunati che solo il nostro DB ci avesse messo le mani sopra, altrimenti si sarebbero ritrovati con un nuovo swerver smtp, ftp ed hosting di materiale di provenienza non meglio specficata.

-- http://limacat.blogspot.com

Ecco questo lo vorrei far leggere a tutti quelli che dicono "mi metto a fare siti web, tanto che ci vuole!"

-- lucac81

> Ecco questo lo vorrei far leggere a tutti quelli che dicono "mi metto a fare siti web, tanto che ci vuole!"

A farlo, poco, ad hackarlo, di meno!

-- Davide Bianchi

Quello che mi piacerebbe vedere è la faccia dei responsabili di $noiguardiamoivostriinteressi quando hanno letto i tuoi commenti.

Ciao D e buona settimana.

-- Mamo

...e bravo BigD

poi ti meravigli se ricevi "proposte di acquisto" del tuo sito/dominio... non è che per caso hai fatto lo stesso giochino con altri sprovveduti in giro per la rete?

Ciao

-- Ciao,

Michele

Proprio playboy?

Non potevi redirigerlo sul sito dei loro concorrenti?

-- Diego

Quando ho messo le mani nel sito di $cleanMe, la prima volta, e non avevo le password per l'area amministrativa.

Tempo 2 secondi:

Username: admin

Password: admin

Sorvoliamo sulle password in chiaro nel db, ovviamente, la cosa che più mi fece capire il problema era che l'autenticazione era tramite Cookie, non Session, e TUTTI i dati dell'utente venivano inseriti nel cookie, compresi quelli per l'autenticazione...

Come dite? Una cagata paurosa?

-- I can only please one person per day. Today is not your day. Tomorrow is not looking good either.

---

D.

Ma sei un pericolo..... non ti facevo cosi acher!

Non è che sei tu quell' acher che ruba le password di msn?

(ps: cosi mi han scritto una volta, aiuto un acher mi ha rubato la pass di msn)

-- Edenroz

Se per bucare un sito ogni volta, bastasse così poco non esisterebbe più internet

Dì un po' bigD, ma quanto ci hanno messo a firmare un contrattone per rifare il sito da capo?

-- Il saggio coltiva Linux...

Tanto Windows si pianta da solo.

> Dì un po' bigD, ma quanto ci hanno messo a firmare un contrattone per rifare il sito da capo?

Stay tuned for more exciting episodes...

-- Davide Bianchi

ho riso mezz'ora.... ma ho avuto anche conati di vomito.... da webmaster provo scherno per quel tapino, ma pure orrore e raccapriccio... mai vista una roba simile!!

-AT- Daniele C.

non parlarmi di password idiote!! io combatto da anni la lotta per le password sicure, ma far capire che una password sicura è migliore di una facilmente memorizzabile (admin; data di nascita; nome oppure cognome; ecc...) è spesso difficile, come ben saprai

-- certe volte reindirizzerei tutti a /dev/null

> -AT- Daniele C.

> non parlarmi di password idiote!! io combatto da anni la lotta per le password sicure, ma far capire che una password sicura è migliore di una facilmente memorizzabile (admin; data di nascita; nome oppure cognome; ecc...) è spesso difficile, come ben saprai

> --

> certe volte reindirizzerei tutti a /dev/null

Ah, non ti invidio la lotta contro gli utonti delle password insicure, ma ho il mio bel da fare contro i peggior WebDesigner dell'universo (per dirti, come 'azzo fai a fare un file .asp di 1300, MILLETRECENTO, righe che gestisce l'inserimento e la visione di dati di una tabella MySQL?!?!), ma anche con il peggior LuserAdmin dell'universo, il BHFH!!

La sua ultima: dato che il suo tentativo di installare un server di posta non ha avuto esiti molto positivi ('somma aveva creato un relay pubblico), ha imposto l'autenticazione per l'invio (buona cosa), e l'obbligo di spedire via SMTP solo sulla porta 2525 (non sono un esperto di security quindi non so se è bene o non cambia nulla, D, rispondimi tu!). Peccato che il modulo ASP per l'invio di Mail che ha installato non permetta di impostare la porta SMTP da usare.

La sua soluzione, dato che, per sua stessa ammissione, non ha la più pallida idea di come impostare un account che possa inviare sulla porta 25, è stato installare un altro server virtuale, il cui unico compito è fare da relay verso il mail server buono, direttamente dalla porta 25.

Per dire, abbiamo proprio risorse da buttare via...

-- I can only please one person per day. Today is not your day. Tomorrow is not looking good either.

---

D.

> imposto l'autenticazione per l'invio (buona cosa), e l'obbligo di spedire via SMTP solo sulla porta 2525 (non sono un esperto di security quindi non so se è bene o non cambia nulla, D, rispondimi tu!).

Cambia quasi nulla, elimini, in molti casi, i rompiballe piu' terra-terra, ma non e' che sia una cosa tanto anormale la porta 2525. Tipicamente la si usa quando il provider blocca la "normale" porta 25.

-- Davide Bianchi

Mi aspettavo qualche cosa di più complicato, ma d'altronde quando in giro c'è gente che si affida ai controlli in javascript anche per fare i login ... in confronto questi erano una roccaforte.

-- Kesty

> Mi aspettavo qualche cosa di più complicato, ma d'altronde quando in giro c'è gente che si affida ai controlli in javascript anche per fare i login ... in confronto questi erano una roccaforte.

> --

> Kesty

Beh, JS può essere comodo per certi versi, metti di avere una form con 10 campi obbligatori, con JS eviti che l'utonto schissi submit prima di aver compilato i campi obbligatori e debba attendere la comunicazione col server per sapere se la richiesta è stata eseguita. Anche il fatto di criptare i dati prima di inviarli al server può essere un'ottima cosa (non per l'autenticazione, dato che inviare la password in chiaro o criptata non cambia molto se la action del login la accetta...), per evitare che dati personali vengano intercettati, ma per quello esiste da sempre SSL, no?

-- I can only please one person per day. Today is not your day. Tomorrow is not looking good either.

---

D.

> Beh, JS può essere comodo per certi versi

JS puo' essere comod _per certi versi_, ma usare solo quello e' un suicidio.

-- Davide Bianchi

> Beh, JS può essere comodo per certi versi, metti di avere una form con 10 campi obbligatori, con JS eviti che l'utonto schissi submit prima di aver compilato i campi obbligatori e debba attendere la comunicazione col server per sapere se la richiesta è stata eseguita.

Uhm, il javascript è comodo per avere un feeling piu' immediato se l'utente preme qualcosa di sbagliato o dimentica tutti i campi, ma l'esperienza insegna che la validazione delle form sta nella logica applicativa, NON in uno script di interfaccia utente, altrimenti basta che qualcuno forgi le cose come fa davide e addio pitena.

Certo davide che l33t h4x0r 5k1llz che hai!

-- CinghialeMannaro

Da un mio cliente tutti gli username degli account di email erano codificati (XXYYYY) con XX che erano due lettere, sempre uguali, e YYYY numeri crescenti (0000, 0001, 0002, eccetera). Ovviamente le password erano uguali agli username. Account sequenziali e password uguali agli username. Piu` semplice di cosi`?

Dopo che sono passato io, non e` piu` cosi.

Da un altro cliente, tutte le password di "amministrazione" erano uguali fra loro, e il router adsl era un cesso noto per avere una vulnerabilita` grossa come una casa (Scoperta da me un paio di anni prima e segnalata, ma questa e` un'altra storia) per cui gli si poteva CHIEDERE la password con un pacchetto UDP, da REMOTO. Morale: chiesta la password al router, frugato nella LAN con la stessa password, accesso completo alla rete in meno di mezz'ora. Purtroppo non ho visto la loro faccia quando hanno letto il report.

-- Il massimo danno con il minimo sforzo

>

> Dopo che sono passato io, non e` piu` cosi.

>

E gli utenti che hanno detto?

1) Ben fatto. Ora i nostri account sono piu' sicuri

o

2) Uff... ma basta con queste paranoie sulla sicurezza

P.S. si, lo so che quando ci sono responsabilita' sulla sicurezza dei dati

quello che gli utenti dicono passa in secondo piano.

-- maxxfi

Altro che SQL injection! Questa è idiocy introspection

-- FDG

Per un attimo ho letto l'abbreviazione DB come Davide Bianchi, ho dovuto rileggere due volte l'introduzione

-- http://limacat.blogspot.com

Mi è capitata una cosa simile una volta, non era per lavoro, ma stavo girando un po' di siti di videogame cercando Baldur's Gate... E fu così che scoprii che alcuni siti erano decisamente vulnerabili alle SQL Injection! Con un paio di query son riuscito a vedere tutto il database utenti, poi non ho approfondito perché non mi interessava, ma di sicuro i miei dati non ce li ho messi lì

-- Sté-Phane

É leggendo cose del genere che vorrei aver studiato di più, per poterle fare anche io... :asd:

-- Poor little student...

> È leggendo cose del genere che vorrei aver studiato di più, per poterle fare anche io... :asd:

Scrivere siti web hackabili o hackarli?

-- Davide Bianchi

> > É leggendo cose del genere che vorrei aver studiato di più, per poterle fare anche io... :asd:

>

> Scrivere siti web hackabili o hackarli?

> --

> Davide Bianchi

Scrivere siti Web Hackabili, farli pagare $big_bucks, addurre n-mila scuse infarcite di paroloni ultratecnici quando ti chiedono ragione di cracking vari e far fallire il cliente a forza di soldi spesi in assistenza (sempre fornita da te, ovviamente).

-- I can only please one person per day. Today is not your day. Tomorrow is not looking good either.

---

D.

> > É leggendo cose del genere che vorrei aver studiato di più, per poterle fare anche io... :asd:

>

> Scrivere siti web hackabili o hackarli?

> --

> Davide Bianchi

Hackarli, ovvio...

Senti, parlando di fusione borg, proposta qualche notizia fa da qualcuno, cosa ne penseresti?

-- Poor little student...

> Senti, parlando di fusione borg, proposta qualche notizia fa da qualcuno, cosa ne penseresti?

Huh?

-- Davide Bianchi

Beh, almeno non hanno scritto l'intera lista dei nomi utenti e password nel codice Javascript! ( Si, mi e' successo di vedere cose del genere -_-; )

-- Axel DominatoR ^^^ HC

> Beh, almeno non hanno scritto l'intera lista dei nomi utenti e password nel codice Javascript! ( Si, mi e' successo di vedere cose del genere -_-; )

Si corre verso una involuzione del genere umano...

-- Andrea Ballarati

> Beh, almeno non hanno scritto l'intera lista dei nomi utenti e password nel codice Javascript! ( Si, mi e' successo di vedere cose del genere -_-; )

Allora non sono il solo. Io ho visto nel codice html {!-- password per debug sadkjk12321[21 --//}

-- <b>Massy</b>

> > Beh, almeno non hanno scritto l'intera lista dei nomi utenti e password nel codice Javascript! ( Si, mi e' successo di vedere cose del genere -_-; )

>

> Allora non sono il solo. Io ho visto nel codice html {!-- password per debug sadkjk12321[21 --//}

> --

> <b>Massy</b>

In modo diverso ma ci sono passato anche io...

Applicativo amministrativo, in pratica accozzaglia di maschere Access, protette da password di login...

Shift + Enter, si apre l'elenco di maschere / tabelle / query, bellissima tabella "login" con nomi utente e password in chiaro

-- Riccardo C.

nella mia rete ci sono anche alcuni negozi ai quali ho fatto cambiare la password (tecnicamente sono accessibili a tutti essendo appunto in un negozio), sotto i miei consigli han messo almeno un numero e un simbolo creando così una password veramente forte (tipo 12 caratteri di password han fatto) poi l'hanno scritta su un post-it e attaccata sul monitor... e io non dovrei incazzarmi?

-- - Simone

> nella mia rete ci sono anche alcuni negozi ai quali ho fatto cambiare la password (tecnicamente sono accessibili a tutti essendo appunto in un negozio), sotto i miei consigli han messo almeno un numero e un simbolo creando così una password veramente forte (tipo 12 caratteri di password han fatto) poi l'hanno scritta su un post-it e attaccata sul monitor... e io non dovrei incazzarmi?

> --

> - Simone

passi quello.... io ho fisto un post-it con la combinazione della cassaforte attaccato a fianco della stessa

-- EnricoC

Purtroppo, viene sempre percepita come una forma di "magia nera", e come tale viene data scarsa responsabilità a chi fa le cose alla $penedisegugio. La "colpa" dell'hacker.

É una questione di mentalità: se un'impresa costruisce una casa che viene giù al primo temporale, finisce nei guai, anche se il temporale lo crea l'"hacker" di turno con il tubo dell'acqua del giardino. Questo lo capisce chiunque.

Qui non si tratta di un bug, di un'abile operazione di cracking cercando nelle pieghe qualche vulnerabilità: questi hanno montato il tetto della casa al contrario, perché non sono capaci a fare case. Punto. D. ha fatto solo vedere che succede quando piove. Ma difficilmente chi ha comprato la casa lo capirà (e se lo capirà, lo ammetterà!)

-- Marco Colombo

Anche al sottoscritto e' stata chiesta un'operazione simile. Nel mio caso pero' la fetecchia era un probabile acquisto.

Dopo aver smantellato la ciofeca, registrati tutti gli errori e dopo aver scritto il tutto in una relazione sono stato chiamato a testimoniare di persona da $viceBoss e $direttoreGenerale (il controllo era stato richiesto da lui). Mi hanno chiesto di ri-spiegare quali erano i problemi in maniera piu' semplice possibile, hanno chiesto a coloro che avrebbero dovuto usare l'immondizia per lavorare un consulto, hanno appurato che si trattava di una patacca... Oggi quel coso e' entrato in produzione.

E' bello essere ascoltati soprattutto in concomitanza del fatto che il tuo stipendio viene ridotto di 30€ per via del fatto che la rimozione dell'ICI sulla prima casa ha richiesto atti di vampirismo economico su altre fonti...

Gama

-- Tutti abbiamo bisogno di credere in qualcosa... Io credo che mi faro' un'altra birra!

So cosa ne pensi tu del PHP, Davide,(anche se non capisco perchè-) ma forse, dico, forse, fare quel sito in PHP sarrebbe stato più sicuro.

-- Francexi

> So cosa ne pensi tu del PHP, Davide,(anche se non capisco perchè ma forse, dico, forse, fare quel sito in PHP sarrebbe stato più sicuro.

Non è il linguaggio ma ciò che sta tra monitor e sgabello

-- <b>Massy</b>

Complimenti davvero. E, "paghi quello che hai" rende abbastanza; però toglimi una curiosità:

Traducimi "Scalzacani" che son curioso davvero!

-- EnricoC

> Complimenti davvero. E, "paghi quello che hai" rende abbastanza; però toglimi una curiosità:

>

> Traducimi "Scalzacani" che son curioso davvero!

knijper

-- Davide Bianchi

> Complimenti davvero. E, "paghi quello che hai" rende abbastanza; però toglimi una curiosità:

>

> Traducimi "Scalzacani" che son curioso davvero!

> --

> EnricoC

Persona poco esperta nel proprio lavoro. ~ incapace, schiappa.

Comunque questa storia ha avuto effetti magici: un cliente mi ha chiesto di fargli l'aggiornamento del sito perché lui... ha perso la propria STUPIDISSIMA password-non-sicura-ma-memorizzabile!!

Felice come una pasqua, ho aggiornato, e gli ho cambiato la password con una decente.

-- certe volte reindirizzerei tutti a /dev/null

> Comunque questa storia ha avuto effetti magici: un cliente mi ha chiesto di fargli l'aggiornamento del sito perché lui... ha perso la propria STUPIDISSIMA password-non-sicura-ma-memorizzabile!!

> Felice come una pasqua, ho aggiornato, e gli ho cambiato la password con una decente.

Quindi ora ti aspetta una lunga e noiosa telefonata di lui che si lamenta della nuova password troppo complicata, perché è così stressante quando usi password difficile, ed è invece così pratico mettere la stessa password a posta, login, accessi speciali ad un sito, accesso normale ad un altro, etc, etc. Perché non si può avere una password sola e poi, perché le password, tanto chi mi va a guardare quello che faccio, mica ci metto la carta di credito, e poi ora e sicuro, blablablablabla

Al che tu, dopo un'ora, esaurito, gli rimetterai la stessa password, imparando la Regola N° 14 dell'Ordine di Dilbert:

Never argue with an idiot. They drag you down to their level, then beat you with experience.

-- I can only please one person per day. Today is not your day. Tomorrow is not looking good either.

---

D.

grazie per la tua catastrofica previsione ma per ora il cliente non si è sentito né via telefono né via mail... forse mi andrà bene... è un utonto, ma di quelli poco aggressivi

-- certe volte reindirizzerei tutti a /dev/null

...si potrebbe aprire una parentesi sul fatto di cambiare la password per motivi di sicurezza ed inviarla all'utente via MAIL, strumento notoriamente insicuro.

Cioè, è come una fabbrica di serrature a combinazione che, dopo un intervento tecnico, cambiano la combinazione della cassaforte e poi la comunicano al cliente con una cartolina.

É sempre la solita situazione: pensare prima di fare. Ma, ovviamente, è troppo difficile...

-- I can only please one person per day. Today is not your day. Tomorrow is not looking good either.

---

D.

> ...si potrebbe aprire una parentesi sul fatto di cambiare la password per motivi di sicurezza ed inviarla all'utente via MAIL, strumento notoriamente insicuro.

verissimo, in effetti! si potrebbe mettere i dati sensibili in un file zip protetto da password.... ma poi ci sarebbe lo stesso problema!!

alternative? caricare il file in un ftp dedicato ai clienti, oppure inviare la password via sms.

-- certe volte reindirizzerei tutti a /dev/null

> verissimo, in effetti! si potrebbe mettere i dati sensibili in un file zip protetto da password.... ma poi ci sarebbe lo stesso problema!!

> alternative?

PGP questo sconosciuto...

-- Davide Bianchi

>

> PGP questo sconosciuto...

>

> --

> Davide Bianchi

ooops che vergogna!! lapsus freudiano? e pensare che giusto l'altro giorno stavo lamentandomi dello scarso uso del PGP... ho bisogno di ferie

-- certe volte reindirizzerei tutti a /dev/null

>

> ooops che vergogna!! lapsus freudiano? e pensare che giusto l'altro giorno stavo lamentandomi dello scarso uso del PGP... ho bisogno di ferie

> --

però dovrei insegnare agli utonti come si usa!!!! no no, non mi reggerebbero i nervi

-- certe volte reindirizzerei tutti a /dev/null

Beh, comunque dipende anche dall'importanza del sito: se Ú aziendale sulla intranet non serve spendere troppo tempo a renderlo supersicuro...

-- Kaspa

http://www.youtube.com/watch?hl=it&v=qNNEJb1F_og&gl=IT

applicatamente,

Cthulhu

-- Cthulhu

ma perche' i miei commenti non vengono riportati? cosa dico di male? (magari adesso vengo smentito)

-- WM

> ma perche' i miei commenti non vengono riportati?

quali commenti?

-- Davide Bianchi

eccolo! smentito subito (ma magari questo non va! o forse devo aggiungere questa frase altrimenti non viene visualizzato l' intervento )

stavo dicendo che non racconti piu' dei tuoi incubi. se e' perche' non ne fai piu' allora le cose ti vanno cosi' bene che ti stai rilassando! (qui la toccatina e' d' obbligo)

-- WM