LulzStorm, arriva l'attacco alle università italiane

[Ares17]

Quote:

Originariamente inviato da machiavelli7

Bisognarebbe vedere 'sta cosa delle vertebre, pero' e' certo il fatto che tui rimani un morto di fame che si sgarra il sedere per 1000 euro al mese, leccando culi a destra e sinistra, mentre quello a cui tu vorresti provare a rompere le vertebre, 'sta facendo quello che vuole e con le qualita' che ha, non penso che sta leccando i culi per 1000 euro.

L'unica qualità che vedo in questi tizi e nel tuo post è l'assoluta mancanza di rispetto per gli altri.
Io preferirei essere un morto di fame piuttosto che agire come loro, ma dato che i criminali sono solo degli scansafatiche credo che io mangio pane e cipolla, loro non so (magari pestando i piedi a qualcuno potrebbero diventare anche spazzolini da water).

[PaveK]

Quote:

Originariamente inviato da pirlano

che serva da esempio, perchè c'è gente che prende fior di soldi per progettare siti e applicazioni web, e fanno lavori da CANI, perchè purtroppo in Italia lavora solo chi è raccomandato (e quindi incapace di fare il proprio lavoro). Un università seria dovrebbe insegnare almeno i fondamenti degli attacchi SQL parallelamente alla progettazione e alla gestione di un database, qui c'è gente che salva dati sensibili in chiaro, a me sembra una follia, gli hash a cosa servono? siamo rimasti 50 anni indietro?
Gli esperti di sicurezza devono fare gli esperti di sicurezza, non stare seduti su una scrivania a prendere soldi guardando facebook 8 ore al giorno.
Tra l'altro ci sono svariati politecnici coinvolti, io mi vergognerei se fossi il creatore di queste splendide applicazioni web.
E l'Italia a differenza di altri paesi che fa? Mette in galera chi se ne intende, e continua a pagare gli incompetenti...
Gli anonymous italia hanno agito in maniera sconsiderata (e poco furba evidentemente...), questo attacco mi sembra fatto da persone competenti. Se riescono a trovarli, io li assumerei...

Sì, a parole.
Poi nei fatti c'è il designer web -e- l'esperto di sicurezza. Raramente le figure coincidono, e meno male visto la capacità media di distinzione dei colori e di gusto per l'ergonomia di un vero geek.
Ci sono a malapena i soldi per pagare il primo, pretendi che il secondo vada a rivedersi i sorgenti di tutte le pagine di tutti le web app di tutti i dipartimenti di tutto l'ateneo? Non parliamo poi dei server con accessi non blindati. Qualcosa sfugge sempre, e mica perché sono tutti imbecilli.

Un ragazzetto può permetteris il lusso di conoscere a memoria tutti gli exploit 0-day e di vederli apparire in tempo reale. Ci passa le giornate, non deve badare ad una mazza di niente nelal vista. Un padre di famiglia che fa questo per lavoro e non sta in nessuna crew di cracker non ha mica sempre la stessa "fortuna". Qualcosa sfugge sempre.

Ricorda che il problema di sicurezza non è in sé, è quando qualcuno decide di scassarti le bolle e ti mette sottosopra i sistemi che gestisci. Raramente i sysadmin sono anche consulenti di sicurezza.

A leggere qui sembra che su HWUP ci stia il fior fiore del genio italico e là fuori tutti fessi.
Sveglia!!! Il mondo reale è più complesso!

[supermario]

magra consolazione, il poliTO non è stato aperto

[machiavelli7]

Quote:

L'unica qualità che vedo in questi tizi e nel tuo post è l'assoluta mancanza di rispetto per gli altri.
Io preferirei essere un morto di fame piuttosto che agire come loro, ma dato che i criminali sono solo degli scansafatiche credo che io mangio pane e cipolla, loro non so (magari pestando i piedi a qualcuno potrebbero diventare anche spazzolini da water).

C'era una canzone - "Parole, parole. parooolee....".....
Gente che dice le cose che dici tu, non e' solo banale, ma falsa pure.
L'unica differenza tra te e questi hacker e' che loro magari hanno abilita' con le quali possono fare qualcosa per migliorare la loro vita e non parlo di rubare password. Se sono talmente idioti da rubare password, sono cavoli loro, ma non mi venire a fare il santo e parlare di rispetto, perche' la vita non e' un film, ma e' una cosa reale e per vivere bisogna fare cose reali e non sparare frasi da film o quotare qualche personaggio del passato.

[Sajiuuk Kaar]

Io qua con Alice non ho problemi di commessione, Kerunera >.>

Comunque ringraziamo ministro dell'istruzione e delel telecomunicazioni per i tagli...

[metallus84]

neanche la mia cara piccola uniroma tre è stata attaccata bene! noi in lab comunque siamo tutti in rete locale con i windows aggiornati (sigh) e zone alarm a cannone + antivirus vari! Poi le simulazioni girano lente però ....

se invece si fa un semplice "esplora risorse di rete" si scoprono moltissimi computer windows (e anche basati su mac osx) con le cartelle condivise e tutto aperto.... che tristezza. Ma come si dice, il problema è sempre rappresentato da cosa sta tra la sedia e la tastiera! Non ci si può proprio fare niente

[iorfader]

Quote:

Originariamente inviato da Sajiuuk Kaar

Io qua con Alice non ho problemi di commessione, Kerunera >.>

Comunque ringraziamo ministro dell'istruzione e delel telecomunicazioni per i tagli...

infatti se rileggi il tuo post, vedi già i danni che ha fatto con tutti sti tagli

[Ares17]

Quote:

Originariamente inviato da machiavelli7

C'era una canzone - "Parole, parole. parooolee....".....
Gente che dice le cose che dici tu, non e' solo banale, ma falsa pure.
L'unica differenza tra te e questi hacker e' che loro magari hanno abilita' con le quali possono fare qualcosa per migliorare la loro vita e non parlo di rubare password. Se sono talmente idioti da rubare password, sono cavoli loro, ma non mi venire a fare il santo e parlare di rispetto, perche' la vita non e' un film, ma e' una cosa reale e per vivere bisogna fare cose reali e non sparare frasi da film o quotare qualche personaggio del passato.

Ti auguro allora di superarmi sia in fatturato mensile che in influenza tra le persone che contano.

[pirlano]

@pavek: quindi un ragazzetto può conoscere gli 0day (ma fidati che se uno progetta database con le pass in chiaro è l'ultimo dei problemi) e il team che realizza siti web di prestigiose università, è normale che non sappia nulla di sql injection. Il ragazzino non prende un euro, il team prende 300 mila euro esclusa la gestione dei server e manutenzione (fidati che non te lo regalano, ho un fascicolo del consiglio di facoltà della mia università). E' normale?

[PaveK]

Quote:

Originariamente inviato da pirlano

@pavek: quindi un ragazzetto può conoscere gli 0day (ma fidati che se uno progetta database con le pass in chiaro è l'ultimo dei problemi) e il team che realizza siti web di prestigiose università, è normale che non sappia nulla di sql injection. Il ragazzino non prende un euro, il team prende 300 mila euro esclusa la gestione dei server e manutenzione (fidati che non te lo regalano, ho un fascicolo del consiglio di facoltà della mia università). E' normale?

E' normalissimo. Il ragazzetto non ha una mazza di altro da fare e si diverte a fare il cracker a tempo perso. Non guadagna e non ha nessuno da mantenere né da pagare tasse.

Il professionista ha, oltre la famiglia, uno zilione di cose a cui pensare per ciascun progetto del quale si occupa, sia come sviluppo che come manutenzione. Non è così semplice essere aggiornato quanto un ragazzino che si occupa di solo di quello. Mi sembra estremamente normale.
La vivacità mentale di un adolescente è solitamente molto superiore a quella di un adulto... pecca altrove.

Detto questo non credo si tratti solo di banali SQL Injection, non foss'altro che ci sono funzioni in tutti i linguaggi web oriented che parsano le stringhe proprio per evitare giochetti da principianti come questi.

Venir espugnati non significa non aver avuto alcuna difesa!!!

[Ares17]

Quote:

Originariamente inviato da PaveK

E' normalissimo. Il ragazzetto non ha una mazza di altro da fare e si diverte a fare il cracker a tempo perso. Non guadagna e non ha nessuno da mantenere né da pagare tasse.

Il professionista ha, oltre la famiglia, uno zilione di cose a cui pensare per ciascun progetto del quale si occupa, sia come sviluppo che come manutenzione. Non è così semplice essere aggiornato quanto un ragazzino che si occupa di solo di quello. Mi sembra estremamente normale.
La vivacità mentale di un adolescente è solitamente molto superiore a quella di un adulto... pecca altrove.

Detto questo non credo si tratti solo di banali SQL Injection, non foss'altro che ci sono funzioni in tutti i linguaggi web oriented che parsano le stringhe proprio per evitare giochetti da principianti come questi.

Venir espugnati non significa non aver avuto alcuna difesa!!!

Il problema che alcune volte (e per quanto riguarda il pubblico purtroppo spesso) ci sono troppo raccomandati (ma come gia visti hanno bucato anche colossi che certamente curano di più la sicurezza, almeno a livello di personale impiegato).

[blackshard]

Quote:

Originariamente inviato da PaveK

E' normalissimo. Il ragazzetto non ha una mazza di altro da fare e si diverte a fare il cracker a tempo perso. Non guadagna e non ha nessuno da mantenere né da pagare tasse.

Il professionista ha, oltre la famiglia, uno zilione di cose a cui pensare per ciascun progetto del quale si occupa, sia come sviluppo che come manutenzione. Non è così semplice essere aggiornato quanto un ragazzino che si occupa di solo di quello. Mi sembra estremamente normale.
La vivacità mentale di un adolescente è solitamente molto superiore a quella di un adulto... pecca altrove.

Si ma un professionista non è un professionista se non sa quello che fa.
Questi che lavorano in università non sanno quello che fanno.
Per inciso, violare il sito dell'università non significa che quell'università sia in qualche modo becera, piuttosto si è affidata a società che hanno prodotto per lei un sistema da quattro soldi.

Perché?

Perchè in italia il laureato, con tutto il suo bagaglio di conoscenze acquisite con anni di studio, sta a spasso, mentre le aziende (grandi e piccole) cercano diplomati perchè devono risparmiare sui loro dipendenti.

pirlano, a dispetto del nick che può confondere le idee, ha assolutamente ragione. O sei un professionista o non lo sei. Quelli che hanno progettato questi sistemi sono delle schiappe e basta.

Quote:

Originariamente inviato da Ares17

Il problema che alcune volte (e per quanto riguarda il pubblico purtroppo spesso) ci sono troppo raccomandati (ma come gia visti hanno bucato anche colossi che certamente curano di più la sicurezza, almeno a livello di personale impiegato).

Ho i miei dubbi. Queste sono violazioni sui sistemi di login e di gestione dei dati. Non credo che le università sviluppino questi sistemi internamente. Magari se le cose venissero fatte in modo più sistemato, magari con dei penetration test fatti da professionisti si starebbe un po' tutti più tranquilli. Il fatto che manca l'hash sulla password invece è indice di TOTALE incompetenza da parte degli sviluppatori.

[Ares17]

Quote:

Originariamente inviato da blackshard

Si ma un professionista non è un professionista se non sa quello che fa.
Questi che lavorano in università non sanno quello che fanno.
Per inciso, violare il sito dell'università non significa che quell'università sia in qualche modo becera, piuttosto si è affidata a società che hanno prodotto per lei un sistema da quattro soldi.

Perché?

Perchè in italia il laureato, con tutto il suo bagaglio di conoscenze acquisite con anni di studio, sta a spasso, mentre le aziende (grandi e piccole) cercano diplomati perchè devono risparmiare sui loro dipendenti.

pirlano, a dispetto del nick che può confondere le idee, ha assolutamente ragione. O sei un professionista o non lo sei. Quelli che hanno progettato questi sistemi sono delle schiappe e basta.



Ho i miei dubbi. Queste sono violazioni sui sistemi di login e di gestione dei dati. Non credo che le università sviluppino questi sistemi internamente. Magari se le cose venissero fatte in modo più sistemato, magari con dei penetration test fatti da professionisti si starebbe un po' tutti più tranquilli. Il fatto che manca l'hash sulla password invece è indice di TOTALE incompetenza da parte degli sviluppatori.

Fidati che i raccomandati non sono solo quelli impiegati direttamente alle dipendenze dello stato (ne conosco diversi di raccomandati da politici che sono impiegati in ENI, Fiat, Marelli ecc).
Gli scambi di "favori" sono all'ordine del giorno, ed io imprenditore quelli meno capaci li metto in posti dove mi costano poco, o per niente, i danni che possono causare.
Non dico che tutti quelli che sono impiegati in modo diretto o indiretto in strutture statali sono raccomandati o peggio ancora incapaci, ma che la possibilità di beccarli è più alta (lasciare le password in chiaro potrebbe essere indice di inesperienza o di presunzione di sicurezza).
Non voglio crocifiggere nessuno, ma sulla mia pelle vedo che in comuni o province quando ti chiamano per dei problemi ti sembra sempre di lavorare su una camicia sunta e rattoppatta all'inverosimile (e spesso converrebbe più rifare da zero tutto che metterci un'altra toppa), ma i compromessi in politica (non necessariamente quella statale) "obbligano" chi di dovere a dover commissionare spesso la peggiore soluzione consapevolmente.
Non so che tipo di tecnica hanno usato per forare i server (alcune volte basta una semplice mail per ritrovarti serviti le credenziali di accesso) ma una trentina di persone eterogenee (con esperienze diverse maturate in realtà varie) se sufficientemente competenti possono violare qualsiasi server (magari non in profondità).
Fine OT

[WarDuck]

@blackshard: il laureato che sta a spasso in genere pensa che il lavoro debba piovere dal cielo solo per il semplice fatto che è laureato, oppure si rifiuta di accettare contratti che non siano a tempo indeterminato (come se già avesse dimostrato chissà cosa a chi).

Francamente spesso vedo gente che è solo capace di lamentarsi.

Poi bisogna anche la materia di studio, perché per anni hanno illuso i ragazzi con il numero aperto, salvo poi ritrovarsi in settori saturi nei quali la concorrenza è spietata.

Io, sarò un caso fortunato, mi sono laureato ad Aprile di quest'anno e ho trovato un lavoro che mi piace e che mi può dare qualche soddisfazione economica, considerando che è la mia prima esperienza lavorativa.

Detto ciò quello che non riusciamo a capire in Italia è che la nozione di per se non serve a nulla, bisogna far uscire gente che sappia ragionare intorno alle nozioni.

Purtroppo molti oggi non sanno ragionare con la loro testa, specie in Italia, e questo è colpa di un sistema di istruzione che per anni è servito alla classe politica per produrre gente con lo stampino, facilmente manipolabile e abbindolabile.

[PaveK]

Quote:

Originariamente inviato da blackshard

Si ma un professionista non è un professionista se non sa quello che fa.

Oh per piacere!
Basta con discorsi generalisti e svincolati dalla realtà. Nessun professionista è perfetto e nessun sito/server è inviolabile. Per quanto una società possa annoverare dei luminari nel loro campo, qualche campo resta sguarnito e le persone sono imperfette per natura.

Veramente, non so che lavoro fai, ma sono assolutamente certo che tu commetta degli errori.
Io non lavoro nel settore dello sviluppo di portali per PA/Università, ma non riesco a sentire certi discorsi

Ora alla fin fine sembra siano tutti una massa di incompetenti raccomandati.
La caccia alle streghe è fuori moda da tempo.

[riuzasan]

Quote:

Originariamente inviato da WarDuck

@blackshard: il laureato che sta a spasso in genere pensa che il lavoro debba piovere dal cielo solo per il semplice fatto che è laureato, oppure si rifiuta di accettare contratti che non siano a tempo indeterminato (come se già avesse dimostrato chissà cosa a chi).

Francamente spesso vedo gente che è solo capace di lamentarsi.

Poi bisogna anche la materia di studio, perché per anni hanno illuso i ragazzi con il numero aperto, salvo poi ritrovarsi in settori saturi nei quali la concorrenza è spietata.

Io, sarò un caso fortunato, mi sono laureato ad Aprile di quest'anno e ho trovato un lavoro che mi piace e che mi può dare qualche soddisfazione economica, considerando che è la mia prima esperienza lavorativa.

Si, sei un caso fortunato.
Se avessi 34 anni, avessi passato 4 anni della tua vita dopo la laurea a sperare di restare a fare quello che ti piace e poi a ritrovarti per strada senza una mazza FORSE potresti capire che sei fortunato.
Ho decine di amici laureati che fanno parte di quei 2 milioni di "ragazzi" (oramai anche a 35 si è ragazzo per qualcuno) disoccupati o con contratti assurdi.
Personalmente io in 1 anno con una laurea in informatica, con anni di esperienza SUL campo di cracking e WhiteHacking (sono, tanto ormai so passati 10 anni, uno dei manteiner di #warez su ircgate), con un dottorato e puttanate varie, mi sono ritrovato ad un Helpdesk di secondo livello per 4 mesi e poi adesso come tecnico in una cazzo di università col contratto di 3 anni NON rinnovabile.
Come tanti non mi gratto niente, mi faccio il culo con 2 ore e mezza di auto da casa al lavoro e mi ritrovo:
- come collega un ex portinaio a tempo indeterminato
- nel centro di calcolo persone preparatissime affiancate da raccomandati che passano giornate intere su FB ecompagnia bella
- un sistema generale informatico che dovrebbe essere ripensato COMPLETAMENTE da zero etc.
Ma di che cazz stai a parlà WarDuck?
Maledico piuttosto la sfiga, perchè l'Uni è piccola e per Lulz assolutamente insignificante ... può darsi che domani si sarebbe mosso qualcosa dopo che professori e dirigenti si fossero trovati account mail e dati sensibili pubblicati in giro.

[Fire-Dragon-DoL]

Beh è semplicemente che il sito dell'università la sapienza fa pena...

una volta ci sono loggato senza mettere la password, non so per quale motivo -.-'

[blackshard]

Quote:

Originariamente inviato da PaveK

Ora alla fin fine sembra siano tutti una massa di incompetenti raccomandati.
La caccia alle streghe è fuori moda da tempo.

No, non sono tutti una massa di raccomandati incompetenti, solo quelli che hanno sviluppato quei software lì. E lì, bada bene, di soldi se ne ricevono a palate, nell'ordine delle centinaia di migliaia di euro, per fare lavori del genere.

[blackshard]

Quote:

Originariamente inviato da riuzasan

Si, sei un caso fortunato.
Se avessi 34 anni, avessi passato 4 anni della tua vita dopo la laurea a sperare di restare a fare quello che ti piace e poi a ritrovarti per strada senza una mazza FORSE potresti capire che sei fortunato.

[...cut...]

Ma di che cazz stai a parlà WarDuck?
Maledico piuttosto la sfiga, perchè l'Uni è piccola e per Lulz assolutamente insignificante ... può darsi che domani si sarebbe mosso qualcosa dopo che professori e dirigenti si fossero trovati account mail e dati sensibili pubblicati in giro.

Sono d'accordo.

[Arthens]

Quote:

Originariamente inviato da PaveK

E' normalissimo. Il ragazzetto non ha una mazza di altro da fare e si diverte a fare il cracker a tempo perso. Non guadagna e non ha nessuno da mantenere né da pagare tasse.

Il professionista ha, oltre la famiglia, uno zilione di cose a cui pensare per ciascun progetto del quale si occupa, sia come sviluppo che come manutenzione. Non è così semplice essere aggiornato quanto un ragazzino che si occupa di solo di quello. Mi sembra estremamente normale.
La vivacità mentale di un adolescente è solitamente molto superiore a quella di un adulto... pecca altrove.

Detto questo non credo si tratti solo di banali SQL Injection, non foss'altro che ci sono funzioni in tutti i linguaggi web oriented che parsano le stringhe proprio per evitare giochetti da principianti come questi.

Venir espugnati non significa non aver avuto alcuna difesa!!!

Password. In. Chiaro.

Bastano queste 3 parole a dimostrare che il tuo discorso, per quanto sensato, non sia applicabile in questo contesto. Uno sviluppatore che fa un sito con le password in chiaro non è un professionista.