Opinião sobre Competição de Invasão

[dcarlospa]

Olá a todos do Fórum.
Represento um Centro Acadêmico e estou com a idéia
de promover uma competição de invasão na Universidade, a UFPA.

A idéia é basicamente assim:
Teremos um servidor alvo com determinadas informações e os inscritos
deveriam obter essas informações, utilizando técnicas de invasão.

O objetivo é promover uma cultura de segurança em nossa cidade, Belém. E saber o quanto estamos de fato protefidos.
Durante o evento teríamos um consultor que estaria realizando uma perícia forense,
determinando quem era o nosso invasor, ou algo assim.
Teríamos também um instrutor que daria um mini curso de tácnicas de invasão e como se proteger.

Essa é a idéia base, ainda precisa ser trabalhada, e ainda não falei com nenhum consultor.


Vocês do fórum conhecem alguém que estivesse interessado em participar de um evento como esse?
Poderiam me ajudar a trabalhar melhor a idéia do evento?

Muito obrigado.

[MrRuffl3Z]

Ahhh não...

Não acredito estar lendo isso.. hahah...
Tive que pesquisar no google e realmente..

UFPA = Universidade Federal do Pará

hahahahah... YOU SUCK !

Quer uma boa opinião? Antes de pensar em fazer war game.. Faça um favor a SI MESMO e reveja a segurança do teu servidor.. ou rodar ircd de rede de banker / carder fazia parte do programa da sua universidade?

[galenogarbe]

Acho bem interessante este tipo de evento dentro de universidades.

Tenho certeza que aqui mesmo no ISTF achará alguém para o fim que precisa.

Não deixe e colocar aqui como foi o evento.

[dcarlospa]

Com certeza eu vou dizer sim como foi.

Espero encontrar alguém que possa nos ajudar nessa tarefa,
o evento promete bombar.

[galenogarbe]

Ahhh não...

Não acredito estar lendo isso.. hahah...
Tive que pesquisar no google e realmente..

UFPA = Universidade Federal do Pará

hahahahah... YOU SUCK !

Quer uma boa opinião? Antes de pensar em fazer war game.. Faça um favor a SI MESMO e reveja a segurança do teu servidor.. ou rodar ircd de rede de banker / carder fazia parte do programa da sua universidade?

Em qual universidade você estudou mesmo MrRuffl3Z? Eu não entendi a crítica à Universidade Federal do Pará.

[MrRuffl3Z]

Quer uma boa opinião? Antes de pensar em fazer war game.. Faça um favor a SI MESMO e reveja a segurança do teu servidor.. ou rodar ircd de rede de banker / carder fazia parte do programa da sua universidade?

Em qual universidade você estudou mesmo MrRuffl3Z? Eu não entendi a crítica à Universidade Federal do Pará.

A segurança do servidor deles (http:// ufpa.br) é muito fraca, por muito, muito tempo mesmo, foi usado por ladrões (pois quem rouba é ladrão!!), para rodar um ircd de uma rede de bankers e carders que já foi denunciada até na tv!! (quem sabe o mínimo sobre bankers sabe que rede é essa)

Como sei disso?

Linux caripi.cultura.ufpa.br 2.4.22-1.2199.nptl #1 Wed Aug 4 12:21:48 EDT 2004 i686

Apenas um tolo diz que não tem arrependimentos na vida.
Como diz o ditado: "Só não muda de idéia quem não as têm!"
Eu perdi muito tempo com essa palhaçada, você pode detonar quantas redes de banker conseguir, muda alguma coisa? Não muda nada. Quem tem que fechar e prender esses estelionatarios é a polícia! E tem que prender quem codou o source do banklogger e quem fez o spam, não o pobre coitado do laranja que foi no banco sacar um dinheiro pra ganhar 10% em cima!! (ou 150$ reais por semana... como eles costumavam pagar)

Reputação

Sua reputação neste post está um pouco negativa.
Comentários sobre este post

comentário desnecessário e preconceituoso

Você tem -3 ponto(s) de reputação.

Se foram hackeados o certo a fazer é admitir. Vocês que são contra full disclosure são tudo que tem de errado na nossa área. Não adianta é bancar estarem altamente interessados em segurança, simplesmente para aparecer, quando não estão.

"De tanto se repetir uma mentira, ela acaba se transformando em verdade."
(Joseph Goebbels, ministro da Propaganda de Adolf Hitler)

[Robot Bastard]

Quem tem que fechar e prender esses estelionatarios é a polícia!

Certíssimo. É papel dela.

E tem que prender quem codou o source do banklogger e quem fez o spam...

"Codar" e "spamear" não são crimes previstos no Código Penal brasileiro, logo não dá para prender com base nisso. Porém... existe a figura do partícipe.

não o pobre coitado do laranja que foi no banco sacar um dinheiro pra ganhar 10% em cima!! (ou 150$ reais por semana... como eles costumavam pagar)

Pobre coitado do laranja? Se o cara aceitou sacar dinheiro sabendo que é dinheiro alheio, então é no mínimo partícipe e tem mais é que ser preso também.

Vocês que são contra full disclosure são tudo que tem de errado na nossa área.

É um dilema interessante, que nem Shakespeare imaginou: falar ou não falar, eis a questão!
Alertar para todo mundo sobre uma vulnerabilidade em um servidor interessa a quem, além do admin e dos clientes? Se você espalha a notícia, a bandidagem vai se aproveitar da vulnerabilidade enquanto esta durar - cá para nós, tem muito admin que não faz idéia nem como começar a resolver o problema, o que deixa o servidor à mercê da bandidagem por meses até.
Por outro lado, compartilhar a informação pode levar a uma solução mais rápida, desde que haja vontade em ajudar quem está padecendo na mão dos crápulas... (drámatico, não?).

[]s,

RB

[MrRuffl3Z]

Pobre coitado do laranja? Se o cara aceitou sacar dinheiro sabendo que é dinheiro alheio, então é no mínimo partícipe e tem mais é que ser preso também.

Quando digo pobre coitado, realmente digo que o sujeito é um pobre coitado. Pra você ter noção.. Certa vez entrei no banco, na área dos ATM's, e fui aproximado por um senhor de chapéu, feições rudes e sotaque caipira. Numa mão ele tinha um papelzinho e na outra um cartão de banco!! Ele queria que eu ajudasse ele a sacar dinheiro!!

"Preciso receber um dinheiro.. Mas sabe como é né... Estou com nome sujo na praça e não posso abrir conta... Pode receber uns pagamentos pra mim? Te pago até uma ajuda de custo pra manter a conta!!"

Os bankers não são estelionatários apenas na internet... ; )

falar ou não falar, eis a questão!

Falar.. Mas como falar?

Quando foi a última vez que você leu uma advisorie original? Não lembra? Nem eu. Ninguém além de outros researchers lê a advisorie original escrita por quem descobriu o bug. Pois é muito mais fácil usar serviços como security focus, secunia, ou whatever, que combinam advisories muitas vezes do mesmo bug de varios researchers diferentes.

Mas.. Se você ver um full disclosure original.... Vai ver que sempre existe um time line, desde a descoberta do bug, ao desenvolver ser notificado, o patch ser liberado, e, depois de uma semana, ou meses... o full disclosure é liberado.

Além do mais da no mesmo.. Tendo a atualização, alguém vai debugar e comparar o sistema antes e depois de aplicado o patch!! Tendo o full diclosure, desenvolvedores de antivirus / ids / ips podem criar regras para filtrar os exploits.

Grande abraço!