[Flug] hacklacite - prossime hacknight

Gian g.ciotti@tirrenide.net
Ven 12 Mar 2010 19:18:10 CET 

On 11.03.10, 19:41, Leandro Noferini wrote:
> On Thu, Mar 11, 2010 at 11:35:41AM +0100, Lorenzo Cocchi wrote:
>  
> > > - KOBA E IL SERVERONE (da Leandro chiamata "Sfondaci il Serverone")
[...]
> Al di là del personale fatto che sto perdendo rapidamente interesse per questo
> tipo di iniziative, rimango però curioso dal capire questi "detto-non detto":
> perché si pensa che se qualcuno trova il tempo e la voglia di fare un'analisi
> del livello di esposizione del serverone e poi venirci a spiegare quello che ha
> fatto sia una cosa "sbagliata"?

1. perche' e' piuttosto evidene che l'intento di chi ha cercato di 
   organizzare la cosa sia ben altro.

2. perche' se non viene fatto con tutti i "canoni" legali del caso, 
   c'e' di mezzo il penale e dovremmo aver tutti capito che i tempi 
   del "fate fate, tanto io non c'entro nulla" son finiti.

3. se non fosse chiaro il punto 2: "fate fate, tanto io non c'entro
   nulla" NON funziona piu'! ;)
 
4. perche' se l'idea proposta in termini diversi e' anche buona, la 
   cosa va prima di tutto discussa con i piu' diretti interessati, 
   nel nostro caso i "root" del serverone ai quali poi toccherebbe la 
   "bega" di sistemare eventuali problemi non piu' gestibili da 
   remoto dopo un eventuale DoS causato dalla fase di VA o da un fin 
   troppo efficente fuzzing sul chissa' che del caso (e il "caso" si 
   sa ci vede sempre benissimo con la sfiga intorno).

5. perche' non siamo all'interno di War Games (o simili) ;)


> Non c'è nessuna polemica sinceramente, vorrei solo capire.

la parte "legale" del problema (che anche presa da sola credo possa
bastare) mi sembrava che fosse stata ben citata.

Giusto per tornare ad essere proattivi: se gli amministratori sono
daccordo facciamolo basta che qualcuno firmi la liberatoria, contatti 
Brain e verifichi anche con loro quali particolari pezzi di carta vanno
firmati e/o quali eventuali loro protocolli interni vanno rispettati,
comunichi in forma scritta tutti gli eventuali vincoli al pentester,
formuli la forma piu' opportuna per gestire il fatto che l'attivita'
verra' svolta dall'IP della linea ADSL dell'HL e si prenda in questo 
modo tutte le responsabilita' legali del caso nel caso del "caso" 
peggiore ;)

Riassumo:

Amministratori     : si[ ]  no[ ]

Responsabile Legale: _________________


"dai dai dai" (cit) ;)


-- 

Gian

member of  A.G.O.W. #C10771
   and orgoglione to be!
       :(){ :|:&};:

Maggiori informazioni sulla lista flug