Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Halálos hiba

2009.06.09. 17:12 | buherator | 32 komment

Hétfőn holtan találták a virtualizációs megoldásokat gyártó indiai LxLabs vezetőjét. K.T. Ligesh a hírek szerint egy átitalozott estét követően felakasztotta magát. Történt mindez azután, hogy a cég által készített HyperVM szoftver hibáját kihasználva nagyjából 100.000 weboldal tartalmát semmisítették meg rosszindulatú támadók a VAServ.com rendszerén. Az érintett ügyfelek fele túlságosan olcsó csomagot fizetett elő ahhoz, hogy mentsék az adataikat...

A milw0rm-re múlt héten beküldött egyik fájl 24 hibát említ a szintén LxLabs által jegyzett (és a VAserv által is használt) Kloxo virtualizált webhoszting megoldás legfrissebb verziójával kapcsolatban. Mind ezekkel a hibákkal, mind a fenti incidenssel kapcoslatban felmerült, hogy az LxLabs munkatársaival nem lehetett érdemi kommunikációt létesíteni a felfedezett problémák kivizsgálása érdekében.

Címkék: incidens durva kloxo

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Önjáró Talajgyalu 2009.06.09. 19:19:39

Hoho, igy jar ha valaki indiai programozokra bizza az adatait. Megerdemeltek. (Ez nem fajgyulolet. Ez tapasztalat. Akinek nem lenne vilagos, az indiai programozo kb. a kinai tomegtermek szinonimaja az IT-ben, uberbugos, hiperlassu megelhetesi takolmanyok tehetsegtelen eloallitoja. Van kivetel, persze, de nem ez a jellemzo.)

Eric_Cartman 2009.06.09. 19:22:44

Ilyenem sztorim volt nekem is. Először leállt, aztán eltűnt a cuccom. De sajnos az illető nem akasztotta föl magát, csak beb.szott.
Sajnos.
Egy világhírű szarvasi webcég.

indapasssucks 2009.06.09. 19:25:12

Baze, elolvastam.
GYakorlatilag az összes létező támadás ment a cucc ellen. Az is hülye, aki ezt használta. Az meg ahogy a csávót aki jelentette ignorálták, megér egy misét.

Azt viszont senki nem mondja, hogy 0 day vulnerability. Nem igaz.
05/21/2009 - sent initial email to vendor...
05/23/2009 - received the following: "Thanks for the info. I will review this and let you know." (no signature)
05/30/2009 - sent an email asking if there were any updates
06/01/2009 - received the following: "Sorry for the delay....
06/04/2009 - nothing heard from vendor...

Mr. Recessz · http://recessz.blog.hu 2009.06.09. 19:28:10

@Önjáró Talajgyalu:
abszolút így van. És még: nagyon kedves mind és furcsa akcentusukon keresztül győzködnek arról, hogy hamarosan mindent megcsinálnak amit mondasz nekik"yees sier. indeeed seir" de ha hiba van akkor egyik sem vállalja a felelősséget. ezen felül akkor is curry szaguk, ha egy hétig nem esznek. az a teóriám, hogy az életük során elfogyasztott curry a bőrükön keresztül párolog el.

Laetus 2009.06.09. 19:33:38

Mindettől függetlenül: vajon milyen kurva fontos adat lehetett azon a 100.000 oldalon, ami miatt fel kéne akasztania magát valakinek. Egyáltalán mi olyan fontos van úgy globálisan az interneten, ami többet ér, mint egy emberélet? Mondjátok meg nekem? Lábszagú postok? Narcisztikus kommentek? Koprofág pornófilmek? Szemét bankok szemét adati? He?

Tomi from There · http://fotobolt.blog.hu 2009.06.09. 19:42:07

@Laetus: Az a kurva fontos, hogy a szerződésben garantálod pl, hogy ha eltünik az adat, akkor ennyi meg ennyi kötbért fizetsz...

bécsi pszicho · http://www.flickr.com/photos/haazee 2009.06.09. 20:17:17

@Önjáró Talajgyalu: Indiaiakkal felejthetlen élményt szereztem pár éve. Oracle-ben valami addig ismeretlen területre tévedtem. Pár napi szopás után irány a support. Egy indiai faszi volt a "vonal" (Metalink) túlvégén. Két hétig társalogtunk, kérte az újabbnál újabb logokat, leírásokat arról, hogy mit művelek, míg a második héten rájöttem, hogy kapitális baromságot csináltam puszta figyelmetlenségből... :DDD
De az indiai még akkor sem jött rá...

EQ · http://rycon.hu 2009.06.09. 20:34:46

Elég komoly h csinál a csóka x ezer hibát, és van annyi lelkiismerete h felakasztja magát, nem mintha helyeselném ezt a túlérzékenységet, de mégis, itt pedig tönkretehetsz egy országot és még mindig :)

agyvihar · http://agyvihar.blog.hu/ 2009.06.09. 20:49:02

Ha minden szoftverfejlesztő felakasztaná magát, akinek hibás a programja,,,

dark future · http://www.andocsek.hu 2009.06.09. 20:56:38

Bill Gates is felköthette volna magát már párszor, ha ez így menne...

buherator · http://buhera.blog.hu 2009.06.09. 20:57:34

@EQ:
- Politika OFF
- Kétlem hogy a csávó egyetlen sort kódolt volna a cuccból, már többen ráéreztek, hogy itt inkább a pénz volt a motiváló erő. Egyébként a fickó anyja és a testvére is ugyanígy végzett magával, szóval ez részben genetikailag is kódolva lehetett.

musi 2009.06.09. 20:57:41

még hogy az index nem bulvárosodik... haha.. :D röhej... ez a két bekezdéses post került főoldalra, csak mert öngyilkosság van benne.

fraki 2009.06.09. 20:59:56

szerelmes dolgokat nem kéne bannolni a szpemmelésért?

Tomzone 2009.06.09. 21:05:43

Reggelre kiderult hogy egy volt kirugott alkalmazott viccelte meg a fonokot nehany emailel es telefonnal italozas kozben, semilyen adat nem semmisult meg...

Fhmen 2009.06.09. 21:58:34

én meg azért vesztettem el a melóm mert viszik indiába...meg is érdemlik majd a sok szopást.
remélem pakisztán majd felhasználja az atombombáit chennai-on,mumbay-on meg a többi koszfészken,mielőtt a talibannak adnák, hogy azok majd minket szórjanak meg vele.

egy hang a hátsó sorból 2009.06.09. 22:51:36

@Fhmen: Az amerikaiak ugyanezt mondtak rad, amikor idehoztak a melodat. (Feltetelezem, hogy vmi nyugati multinal lehettel.) Termeszetesen egyutterzek, csak gondoltam jelzem, hogy ez is relativ, mint minden...

Ленина · http://szanalmas.hu 2009.06.09. 23:05:45

tökéleteset úgysem lehet alkotni, ha egyszer rád veti magát valaki, akkor előbb-utóbb úgyis felnyom.
Nahát. :)

Önjáró Talajgyalu 2009.06.09. 23:47:32

@bécsi pszicho: Ja, ne is mondjad. Enis szoptam mar indiai supportossal. Devsupport, ami meg rosszabb. Fel evig kuzdottem vele, mire elismerte, hogy nem halucinalok, es tenyleg bug van a cuccukban. Es ekkor visszakuldte a bug leirast, amit en kuldtem neki, hogy ez a workaround. :)))

Igy utolag mar rohogok. De akkor csak elforwardoltam a levelet a fonokomnek, 'hazamentem' subjecttel, aztan ugy is tettem. Nem szoltak be erte... :P

goyoq 2009.06.09. 23:51:21

@Mr. Recessz:

En tobb mint 8 eve dolgozom indiai programozokkal (neha kinaiakkal is) es bizton allithatom, hogy a magyar programozokkal SOKSZOROSAN tobb problemam volt es sokkal tobbszor csusztam el.

Hagyjuk mar ezeket a demagog, fajgyulolo, alapokat nelkulozo sz@r szovegeket.

brlv24 2009.06.10. 01:27:16

@goyoq: szerencsed van:)
En UK-ben dolgoztam veluk, khm...alulkepzettek....

schawo2 2009.06.10. 06:49:15

Hm, az én LxAdminomat is feltörték ma reggelre :( Még jó hogy nem hallottam sehol a k. hibáról. Faxa.

Birqa · http://bircaman.freeblog.hu/ 2009.06.10. 07:43:52

@Fhmen: "én meg azért vesztettem el a melóm mert viszik indiába...meg is érdemlik majd a sok szopást. remélem pakisztán majd felhasználja az atombombáit chennai-on,mumbay-on meg a többi koszfészken"

Remélem hamarosan lebombázzák egész Magyarországot is, mert abba a koszfészekbe vitte a Nokia, az Audi, meg a Suzuki a gyártást! Felháborító!

Birqa · http://bircaman.freeblog.hu/ 2009.06.10. 07:46:57

Egyébként jelenlegi gibraltári, s előző amerikai munkaadómnál is Indiában volt az informatikai részleg. Az előző helyen a helyzet katasztrofális volt, napont átlag 10-szer omlott össze a rendszer, a jelenlegi helyen viszont minden tökéletesen működik. Szóval nem hiszem, hogy a programozók és az IT-részleg nemzetisége lenne a gond.

peetmaster · http://nemdohanyzom.blog.hu 2009.06.10. 08:32:09

egyébként a támadókat is el kéne kapni és felakasztani. Azért az se normális, hogy mindenki a fejlesztőt fikázza. A betörés akkor is betörés, ha nincs zárva az ajtó...

tyberius 2009.06.10. 08:48:21

Hehe, nekem nincs személyes tapasztalatom, de egy haverom dolgozik indiai IT-sekkel (nyugati világcég hazai fejleszőközpontja)... a szakmai felkészültségüket nem kommentálta, de azt igen, hogy a Clearwater-kütyüre úgy jártak rá, mintha az örök fiatalság kútja lenne... konkrétan vitték haza a vizet üdítősüvegekben. És a konyhába kitett, teakészítéshez használt segédanyagok (cukor, citromlé, etcetera) is rendszeresen eltünedeznek, amióta ők ott dolgoznak. Hát hiába, van még lejjebb a Balkánnál...

Szelid sunmalac 2009.06.10. 10:06:07

En speciel indiai SAP konzulensek munkajat koordinalom. Az IBM-nel kataszrofa volt amit muveltek, a T-Systemsnel verprofik. Nem nemzetisegfuggo. Ezek a sracok kenterbe verik akarmelyik magyar nagypofaju programozot, de az amcsikat is siman. Persze sokan pl. ott tanultak, beszelnek 5-6 nyelvet, volt, aki 4 honap alatt megtanult nemetul, mert kertek tole. Errol ennyit. De ha te felhivod, a vonal vegen, neked is csak egy indiai...

zZz 2009.06.10. 11:14:06

@SzerelmesDolgok: "De hová lett a kommentem?"

Mármint a spam-ed. Mert amit te csinálsz az összes blogon, az nem kommentelés, hanem spam-elés.

brodaclop 2009.06.10. 14:28:03

Na, megmondom mi van.

Az indiaiakkal per se semmi problema nincs.

A problema az "indiai outsourcing" jelenseggel van, ami arrol szol, hogy a fejlesztest szigoruan a legolcsobb ajanlatot benyujto cegnek adod oda. A baj nem azzal van, hogy indiaiak csinaljak, hanem hogy kb. kozepiskolasokkal iratjak meg a cuccot, ha egyetemet vegzett emberekkel, vagy netan valodi programozokkal iratnak, akkor nem lenne ilyen olcso.

Ennyirol szol csak a tortenet, hogy meg Indiaban _sincs_ ingyenebed, akarmit is gondol par faszfej nyugati cegvezeto.