Стоит ли сообщать об уязвимости?

Зачем? Никто, ничего не ломает. Взломом занимаются единицы.

Стоит сообщать. Сделай мир чуточку лучше.

Слушал на ютубе одно радио.

Вот тебе голубчик, овчинный тулупчик

http://guzei.com/online_radio/list/

Даже если сообщить, не факт, что кто-то что-то будет исправлять. Я ещё в школе учась, нашёл на одном сайте (не популярный, просто php-самопис со статьями на определенную тематику) sql инъекцию. Сообщил. Пару лет назад вспомнил, решил проверить. Сайт - существует, дыра на месте. 10 лет прошло :)

http://guzei.com/online_radio/list/

по ссылкам не хожу На ютубе хотя бы чат есть.

А куда им сообщать?

В вк? С основы не хочу, а фейки регистрировать лень

На почту? Они скорее всего её не читают(при создании канала на ютубе такая почта должна указываться автоматически)

Если не оставили буквально в 1клик обратную связь с собой, без всяких соцсеточек, тогда они ссзб. Я бы написал на почту и умыл руки.

Я бы написал на почту

Если бы этой почтой действительно пользовались, то указали бы её в конфигурации icecast(она бы отображалась тут)

Если не оставили буквально в 1клик обратную связь с собой, без всяких соцсеточек,

Оставили. Через донат.

Если бы этой почтой действительно пользовались

Так или иначе, это наиболее логичный и наименее затратный для тебя вариант. Потрать минуту, отправь сообщение. Не прочтут - ок, ССЗБ.

А вас и поругать могут.
Обычно сначала сообщают разработчику об уязвимости, он ее устраняет и лишь затем публикуют мемуары.

Уязвимость может быть и надуманная. Может на самом деле у них icecast более новой версии(в репозиториях Ubunutu обновление, закрывающее эту уязвимость, называлось 2.4.3-2ubuntu0.1(всё ещё 2.4.3, но уже без уязвимости)? Также и с ssh на 22 порту(может у них пароль очень сложный для брутфорса).

На http://guzei.com/online_radio/list/ имеется страница с категориями радио станций.
Захотел джаз послушать - получай голубчик сто ссылок …

Похожего радио там нет. Ты вначале это послушай.

Взломай, ворвись в эфир и сообщи слушателям об уязвимости. Адрес не свети.

Взломай, ворвись в эфир и сообщи слушателям об уязвимости. Адрес не свети.

Оно им надо?
Можно сообщение и поинтересней придумать …

Ну так хотя бы хозяева заметят.

Максимум что им реально можно сделать - прервать трансляцию. Ничего страшного с ними не случится.

ужаснулся, увидев, что ssh не перенесён с 22 порта на другой

Может у них там авторизация по ключу only. Или ты проверял что пароль спрашивает?

Сообщили бы вы об уязвимости или попытались бы поднасрать владельцам радио?

Конечно бы сообщил авторам проекта. Тех людей, которые пытались «поднасрать» в таких случаях схватывали бан даже на ЛОРе. И это правильно.

Конечно пиши мыло, уж хуже точно не будет. Можно за донат, если там рубль задонатить.

А ssh на 22 порту не так уж и страшно.

Надо не security through obscurity, а ключи, fail2ban и прочие PermitRootAccount no.

Стоит ли сообщать об уязвимости?

[раскрывает, какой и в чем именно]

Чел, так дела не делаются. Написал им на лучший из указанных каналов — все, сиди ровно и молча. А теперь все, теперь котелок в аду уже готовят.

ужаснулся, увидев, что ssh не перенесён с 22 порта на другой

белки-истерички.jpg

Или ты проверял что пароль спрашивает?

Не проверял.

пытались «поднасрать» в таких случаях

Я и не хотел.

Максимум что им реально можно сделать - прервать трансляцию.

Для этого надо знать, что у них в конфиге.

Не проверял.

Тогда какой смысл бугуртить из-за 22 порта?

ssh не перенесён с 22 порта на другой

TrueLinuxLuser, ok.

Любой дурак может взломать их радио

A buffer overflow was discovered in the URL-authentication backend of the Icecast before 2.4.4. If the backend is enabled, then any malicious HTTP client can send a request for that specific resource including a crafted header, leading to denial of service and potentially remote code execution.

Ну давай попробуй взломай, мне прям интересно

Сообщили бы вы об уязвимости или попытались бы поднасрать владельцам радио?

То есть или сообщить, или поднасрать, просто пройти мимо совсем не вариант? :)

Если можешь сформулировать внятно — напиши на почту. Во вконтакт действительно не стоит, если они неадекваты, могут поднасрать в ответ.

у меня тоже на 22 порту. но есть fail2ban и диапазон айпи ограничен. сначала сообщают потом публикуют историю. так что у вас получилось как всегда.

Задонатить(50% вероятность прочтения, но деньги жалко)

Напиши скрипт, который уничтожит это радио с 50% вероятностью за один запуск.

По мне, так вполне справедливо.

Нет. На тебя ещё и в суд подадут. Особенно когда они не залатают то что ты написал, а их кто-то ломанёт, кто будет первым подозреваемым, как думаешь. А за баги и дурь их самих жизнь покарает.

ssh не перенесён с 22 порта

Вообще пофиг. Если авторизация по ключу, то китайские брутфорсеры будут ломать до тепловой смерти вселенной

используется уязвимая версия icecast

If the backend is enabled

А он enabled? А то если нет, то уязвимости нет.

ssh не перенесён с 22 порта на другой

авторизация по ключу решает все проблемы с портами.

На тебя ещё и в суд подадут. Особенно когда они не залатают то что ты написал, а их кто-то ломанёт

Есть ip, есть письмо с предупреждением в исходящих и на почтовом сервере. С чего бы? В крайнем случае менты проверят и уйдут. А скорее всего и проверять не будут, потому что ip другой. Ну, а если совсем честно, то и ip проверять не будут. Если же им хватит «ума» пойти в гражданский суд, то, во-первых, для этого надо знать ФИО и адрес ответчика, а не только его анонимный е-мейл, а во-вторых, если даже они всё это раздобудут, то суд проиграют и будут оплачивать судебные издержки. Можно, конечно, предположить, что они с одной стороны такие крутые какиры, которые выяснят личность, чтоб подать в суд, а с другой — такие сказочные идиоты. Но это как-то не очень укладывается. Почему бы не предупредить по почте об уязвимости в версии софта? Использование 22 порта я уязвимостью не считаю.

Яровая поможет. Специально пачку здоровых законов приняли на эту тему. Ещё и емайл провайдер сольёт всю инфу по первому же запросу, даже без всякого ФСБ. Так что в зависимости от того чей там сервак и насколько неадекватен его владелец ты можешь очень плотно сесть на бутылку. Ладно если там всё через одноразовый ботнет шло или хотя бы тор, тогда может не захотят связываться.

Ещё и емайл провайдер сольёт всю инфу по первому же запросу

По запросу ментов. Но менты и запрашивать не будут. См. мою тему Вас взломали! (спамеры) .

ты можешь очень плотно сесть на бутылку. Ладно если там всё через одноразовый ботнет шло или хотя бы тор, тогда может не захотят связываться.

А что будет иначе, если ip’шник взломщика не мой, и на моих устройствах нет никаких следов подобной деятельности? На самом деле, если ip’шник не мой, то до проверки устройств даже не дойдёт. А иначе любой может стукнуть на соседа или начальника, что де он взломал мой сервак.

Это потому что ты - никто. А как только взломают уважаемого человека, так сразу найдут и взломавшего и всех кто свечку держал.

как только взломают уважаемого человека,

Тогда нужно определение «уважаемого человека». Мелкие музыкальные интернет-радиостанции тоже входят в этот список?

так сразу найдут и взломавшего и всех кто свечку держал.

Если взломщика захотят найти, то с большой степенью вероятности найдут, учитывая, что скорее всего он окажется кул-хацкером. Но при чём тут предупредивший об опасности? Есть какие-то законы, запрещающие анализировать степень защиты и предупреждать об уязвимостях? Или какие-то реальные истории, когда таких людей именно за это отдавали под суд? Что-то мне кажется, что это ещё одна лишённая оснований страшилка из серии «как страшно жить».

https://4s-info.ru/2020/11/28/kemerovskij-haker-osuzhden-za-vzlom-sajtov-prav...

Тогда нужно определение «уважаемого человека».

Райкин давно определил. Дефицит пропал, а уважаемые люди остались.

ЗЫ

Хотя нет, дефицит остался, только он теперь в деньгах.

Есть какие-то законы, запрещающие анализировать степень защиты и предупреждать об уязвимостях?

Да, есть. Взлом называется. Это как в замке копаться, а потом говорить что у вас уязвимость, он открывается отмычкой. Посодют, если не повезёт.

Что-то мне кажется, что это ещё одна лишённая оснований страшилка

Вот только даже в самых демократических странах за пентесты могут на бутылки сажать.

https://4s-info.ru/2020/11/28/kemerovskij-haker-osuzhden-za-vzlom-sajtov-pravitelstva-mordovii/

Так там же речь идёт о реальном проникновении, да ещё и на сервер правительства Мордовии, относящийся к «критической инфраструктуре». А здесь — какой-то нонеймный сервер, который ТС даже и не пытался взламывать, а просто просканировал nmap’ом (это, кстати, уже произошло, и если такое сканирование считать преступлением, то оно тоже уже произошло, и рыпаться поздно), а теперь хочет предупредить администрацию сервера о потенциальной угрозе. По-моему, диаметрально противоположные ситуации.

дефицит остался, только он теперь в деньгах.

Дефицит денег был и есть всегда и везде, где были деньги, которые хоть чего-то стоили.

Однако и обычный дефицит товаров искусственно создавался и умело использовался западными маркетологами задолго до Райкина. Так, например, мадам Шанель, чтобы продвинуть свои знаменитые духи, пустила слух, что де есть такие супер-экспериментальные духи, которые пока что нельзя купить, потому что они ещё не до конца доработаны (хотя они уже были доработаны, и ничто не мешало запустить массовое производство). Зато она бесплатно одаривала этими духами своих подруг в таком количестве, чтобы те могли делиться ими со своими подругами, но не раздавать направо и налево. В результате вокруг этих духов, которые невозможно купить ни за какие деньги, а только получить бесплатно по блату от лиц, приближённых к мадам Шанель, разгорелся нездоровый ажиотаж. И когда эти духи таки были выпущены в продажу, цены на них изначально были запредельными, но все покупали, не считаясь с этим.

Сейчас широко распространённым аналогом такого дефицита, позволяющего почувствовать себя приближённым к «элите», являются разные членские карты магазинов, клубов и пр., которые невозможно купить, но можно получить, оказавшись в нужное время в нужном месте, а в Сети — инвайты.

Так что да, Райкин был абсолютно прав и одновременно неправ. А неправ в том, что высмеивал дефицит, как временное явление, выставляя смешным и абсурдным своего персонажа, который на самом деле зрил в корень, безо всякого смеха. :-)

Есть какие-то законы, запрещающие анализировать степень защиты и предупреждать об уязвимостях?

Да, есть. Взлом называется.

Стоп. Взлом — это проникновение в систему, а не её поверхностный осмотр nmap’ом.

Это как в замке копаться, а потом говорить что у вас уязвимость, он открывается отмычкой.

Ну вот если я вскрою твой замок и залезу в квартиру, то да, это будет взломом. А если я просто внимательно осмотрю замочную скважину, систему сигнализации, видео-камеры и скажу тебе, что твоя модель замка легко открывается отвёрткой, ссылаясь на пруфы о взломе таких замков, что сигнализация элементарно отключается, а у камер множество слепых зон, по которым можно незаметно подойти к зданию, а потом так же незаметно уйти, это будет взломом?

Да, есть ещё понятие приготовления и покушения на преступление, когда ты осматривал замок с сигнализацией и камерами с целью это всё взломать, но не успел. Тогда это тоже преступление. Но если ты ничего не сделал не потому, что тебе кто-то помешал, а потому что сам не захотел, то простой осмотр, насколько я могу судить, преступлением считаться не может.

Впрочем, я не юрист. Поискал пруфы по поводу противозаконности использования nmap и ничего не нашёл, кроме пары обсуждений на форумах, в которых участвовали такие же «юристы», как я. Вроде, another говорил, что он юрист. Может, он и разрешит наш спор? Или ты подкинь пруфов на подобные уголовные дела у нас или у них. Только на такие, где судят именно за использование nmap с последующим предупреждением владельцев ресурса об уязвимости, а не за реальный взлом или попытку такового.

оно тоже уже произошло

Именно. Просто этому конкретному васе этот конкретный какир нафиг не сдался. Вот так и живем.

Недавно в Турции на бутылку разраба посадили, который написал про уязвимость в проездном билете. Правда не особо гуглится, а закладку я не делал, но эту тему я более-менее мониторю, т.к. хороший признак крепкости маразма.

Да, я тоже не нашёл, но верю, что что-то там могло быть. Помню, давно, много лет назад в новостях рассказывали, как какой-то француз подделал электронный проездной, которые незадолго до того появились, прошёл по нему в метро ровно 1 раз и рассказал об этом в Интернете, равно как и о технологии подделки. Его судили и присудили по-моему условный срок, хотя точно уже не помню. Когда его спросили, почему он прошёл только 1 раз, вместо того, чтобы сделать на этом бизнес, он ответил, что он инженер, а не вор, и его целью было предупредить общество. Я считаю, что даже самое мягкое наказание за это — тоже свинство и идиотизм. Его надо было благодарить и премировать из кармана всё того же французского метрополитена, а не наказывать. Но чисто формальный повод был: он-таки 1 раз воспользовался этим билетом, «обокрав» французскую подземку на сколько-то евро. Возможно, в Турции было что-то подобное? Хотя от турок всего можно ожидать.

Я не спец по уголовному законодательству, работал только в гражданской сфере.

Да и вопрос не понял. Можно ли использовать nmap? С тем, что ты написал, я полностью согласен. Преступлением является «неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации».

http://www.consultant.ru/document/cons_doc_LAW_10699/5c337673c261a026c476d578035ce68a0ae86da0/ и http://www.consultant.ru/document/cons_doc_LAW_161817/2e91d385fb5ad4a0d4cf31b897557e83e5e64009/

Если такового доступа не было и не было попытки получить доступ, то преступления нет.

Да, есть ещё понятие приготовления и покушения на преступление, когда ты осматривал замок с сигнализацией и камерами с целью это всё взломать, но не успел. Тогда это тоже преступление.

Про приготовление - это касается только тяжких и особо тяжких преступлений. Покушение - всех.

См. http://www.consultant.ru/document/cons_doc_LAW_10699/fcf32c096a5c16bb6bcb2dc894d2d6530af4ce39/ и http://www.consultant.ru/document/cons_doc_LAW_10699/da2816304405597f50919c18f77906b4bf4594c3/#dst100117

то простой осмотр, насколько я могу судить, преступлением считаться не может.

Если изначально не было умысла на совершение действий по взлому - то с формальной точки зрения это не может считаться даже приготовлением к преступлению. Другое дело, как правоохранительные органы воспримут этот осмотр. Просто осмотр в моем понимании - на покушение не может потянуть, максимум - на приготоволение. Если ты сделал попытку взломать, но не получилось - тогда это уже покушение на преступление.

Если говорить про осмотр как приготовление к преступлению, то в этом случае потребуются доказательства того, что осмотр делался в целях совершения преступления и преступление должно относиться к категории тяжких и особо тяжких. Только тогда можно будет привлечь к ответственности.

Но еще раз, я опыта в уголовном производстве почти не имею, бывал только в нескольких процессах как представитель гражданского ответчика в рамках уголовного дела, да и то это было давно.

Спасибо за ответ. Про ограниченность применения понятия «приготовление к преступлению» только тяжкими и особо тяжкими статьями не знал, но это ещё больше затрудняет задачу пришить статью только за сканирование портов nmap’ом. peregrine и deep-purple, см. Стоит ли сообщать об уязвимости? (комментарий).

Грузил сервер сканером? Грузил, стучавшись по всем портам, что тебе никто не разрешал, ДОС-ил получается, вот и привлекут. Было бы желание.

может взломать

взломай и сообщи - пусть они проникнутся и осознают глобальность проблемы…

Спасибо за ответ.

Чем могу.

но это ещё больше затрудняет задачу пришить статью только за сканирование портов nmap’ом

Я на 146% уверен, что никого никогда за простой анализ системы безопасности не сажали. Сажали только за конкретную попытку взлома, удавшуюся или нет, либо за аналогичные серьезные действия.

Все остальные росказни про то, как простых людей сажают почем зря, - это байки про кровавую гэбню, тупую ментуру, всемогущий АНБ/ЦРУ и так далее, в зависимости от рассказчика, а также бардака в его голове или целей, которые он преследует, неся подобную дезинформацию.