Industria Hacker (fjala per white-hats & sKiddie)

Ne cilen epok jetojm?
Ne ate qe quhet ‘materializem’ dhe si ç’do fushe tjeter edhe kjo , goxha abstrakte dhe filozofike ka kaluar ne Materializem, dhe gjerat shikohen vetem ne baze te profitit.
Tema eshte shume delikate, keshtu qe perpiquni ti shikoni gjerat nga kenveshtrime te ndryshme, nese ndonje black-hat eshte duke lexuar i them qe nuk jemi ne kohen e Legion of Doom,  John Draper, phc, ~el8, etj  e duke u ngjitur deri tek ato qe kane ngelur sot, whitehatsave qe besoj se jane shumica u them gjithashtu qe te lexojn me vemendje pasi kjo eshte drejtuar juve,  persa i perket script kiddiez, mendimin mbi ta e kam paraqitur edhe ne shume postime te tjera.
Dizinformimi, ashtu si ne fushat e tjera ka arritur dhe ne kete fushe.
Jo pa qellim e titullova Industria Hacker sepse ne kurriz te shume white-hats ndertohen bizneset e tyre, dhe ne saje te skript kiddieve industria e security do te gjej gjithmon klient.
Te gjith ata qe ja kane pak idene, gjeja e pare qe jane nisur `per tu bere hacker` ka qene ‘si ti futem tjetrit ne kompiuter’ apo jo?
Shumica e webeve, pa perjashtuar edhe ato qe e mbajn veten si black-hats pasi perkufizimi qe i eshte dhene whitehat eshte teresisht i gabuar (keshtu qe mos kujtoni se jeni  blackhat nese postoni exploitin per te shit pordh), e kjo kap kulmin kur Kevin mitnick quhet black-hat, e gjith kjo shkakton goxha konfuzion apo jo?

Po standartiozojm pak gjendjen.
A) Security Industry — te gjitha ato firmat e medha security qe ushqehen me source kode te koduara falas nga hackera ne mbare boten, shitjen e tyre tek klientet e tyre .
B) Hacking Scene — te pakten ajo qe quhet sot me `skena hacking` eshte ndertuar ne menyre te perkryer nga keta kolos te industris duke u vene modele perpara te gjitheve,  dhe te gjith thyhen ne dysh per te pasur emrin e tyre tek securityfocus, firsirt, milp0rn, mitre,etj etj .
C) WhiteHat — jam i detyruar te perdor te njejtin perkufizim te PHC, edhe pse  kane ndryshuar shume gjera qe atehere dhe spo merret me vesh who is who, Ata qe ndihmojn industrin security duke postuar bug-e\exploits\teknika sulmi etj.
D) Script Kiddiez — Nje perkufizim eshte `ata qe nuk lexojn kod` , por ne kete teme o u themi ata qe plotesojn pikturen e te gjith kesaj..

Shumica prej jush e kane nisur me `dua te hyj ne nje kompiuter` dhe sa keni perfunduar ne forumin e pare ~`hax0r` qe u binte dhe benit pyetje te tilla u hakerreheshin me ‘neewbieeee’ – ‘lamerrr’ – ‘script kiddieeee’  e te tjera si keto, dhe mesoheshit qe ajo eshte keq dhe mire eshte qe ti te zbulosh nje bug\exploit dhe ta  postosh tek milw0rm, securityfocus, etj ne menyre qe te jesh “hacker” e dikush me rendesi, e ne fund te exploitit shkruaje ‘faleminderit filanit, filanit, filanit’ autori, data e te tjera si keto.
Shume shpejt , max 2 vite do e lije dhe kete pune pasi nuk ke me entuziazem, ti shpenzon ore te tera, studime, analizim kodi dhe ske asnje perfitim perveç se te kesh hapur nje irc, \website\ ku te tjeret vijn e te bejn qejfin per 2 copa kodi dhe ti e di mire kete!

PRAPASKENA

Kodi qe ti je lodhur aq shum, exploiti qe e ke nxjerr me aq shume mund , merret nga  koloset e kompanis, modifikohet pakz (ose edhe ashtu shqeto) , integrohet me ndonje program sigurie qe shitet me 500€  1 liçenc e vetme, 😉
Per kete argument eshte edhe ezine e publikuar 1 teme me pare ketu ne albanianwizard.org, shiko se si Dan  kerkon ndihme me emaile kontakteve te tij per te zbuluar `exploitin e tij te famshem mbi DNS-t` te cilin e njohin te gjith ata qe ndoqen Defcon-in e fundit.
E te tjeret normalisht behen copash per te koduar per te, sepse ai eshte ‘hackeri’ a kupto!?

Po Script Kiddiez ku hyn ne kete muabet?
Ata, heh, kush nuk di te marri nje kod gati nga sitet e mesiperme e te filloj me nje dork te qelloj 20 faqet e rradhes te gjetura ne google?
Keshtu qe ata jane horrori i vertet, sepse terrorizojn publikun injorant se jane hackera, jane te keqinj, grrrrrr, dhe keta shkojn te marrin ndonje ‘specialist sigurie’ nga keto firmat qe folem per te ~`siguruar biznesin`~  e tyre.

Ja nje tablo :)
Inustria Hacker
Zgjidhja?

Une jam me black-hat deri diku, dhe me white-hat deri diku , une them nese do te behesh analist, mos e publiko kodin tend, mbaje ne menyre qe ta shesesh neser, per mua websitet si milw0rm, securityfocus, etj jane webe qe nuk duhet te egzistojn, eshte nje lloj sikur te mbash depot e 97 hapur, kujton se njerezit nuk do sulmojn me ato arm?
Sigurisht qe do te sulmojn dhe do te demtojn, por nga ana tjeter egziston pyetja, si do te eci siguria perpara kur une mbaj kodet e mia private?
Per fat te mire, secili eshte i specializuar ne nje fush, psh njeri ne exploite BOF, tjetri ne heap overflow, tjetri ne remote exploit, tjetri ne local exploit, njeri ne vulnerabilitete web, tjetri di LKM-t, e keshtu me rradhe, keshtu qe per analizen qe ben ja vlen dhe te paguehesh dhe jo te marri tjetri leket ne kurrizin tend.
Pikerisht white-hatsat te rene pre e kesaj politike dhe duke degjuar teorit qe bejn lavazhe te trurit perdit, broçkullat `etike` e meqe ra fjala:
Cili nga ata qe ka publikuar exploit dhe e mban veten si njeri me etik qe ruan `privacy` e te tjera si keto nuk ka penetruar ndonjehere ne ndonje vend qe nuk duhet te ishte?
Ndryshe si ka mesuar qe exploiti i tij punon apo jo?
Hajde, nuk i ha njeri ato.
Me siguri eshte nje teme qe ka nevoje per shtjellime dhe normalisht ne munges njohurish tek lexuesit mund te lindin dhe keqkuptime.
Nese ka pyetje te behen ketu.

Leave a Reply

Your email address will not be published. Required fields are marked *