On 12 Kwi, 10:02, v...@g...com wrote:

> Koran 60:8
> "Allah nie zabrania wam, abyście byli dobrzy i sprawiedliwi względem
> tych, którzy was nie zwalczali z powodu religii, ani nie wypędzali was
> z waszych domostw. Zaprawdę, Allah miłuje ludzi sprawiedliwych. "

Cytaty o niczym nie świadczą. W dowolnej świętej księdze znajdziesz
dowolny cytat na dowolną tezę. Problem polega na tym że kasę z Arabii
Saudyjskiej dostają ci drudzy, cytujący fragmenty o odwrotnym
znaczeniu niż te które przytoczyłeś. Więc ich islamu jest więcej.
Polecam np. filmy z serii "Russian Hell", można znaleźć na eMule.
Zresztą Timur Mutsurajew też ma ciekawe pomysły co zrobić z
niewiernumi jak się wsłuchać w jego piosenki. Ja przestałem być jego
fanem jak dotarło do mnie że zasadniczo to ja jestem ten niewierny z
jego punktu widzenia. Chociaż śpiewa ładnie.

W tym temacie to może zapraszam tutaj: http://krawczyk.salon24.pl/10154,index.html

Bo tu jest polip.

do góry

>>> Czyli jak moje drzwi od mieszkania otworzysz kopem
>>
>> Nie było kopa - frzwi nie były zabezpieczone jakimkolwiek zamkniem.
>> Wystarczyło ruszyć klamką.

bzdura zeby odgadnac liczbe 3 cyfrowa trzeba bylo przeprowadzic
atak brute force wiec wybacz ale otworzyl to mieszkanie wytrychami ze
stadionu za 3 zl ale nadal to wlamanie

do góry

Grzegorz Staniak wrote:

>>> Jak weryfikujesz "wykrycie braku zabezpieczeń"? Sprawdzenie, czy na
>>> pewno wykryłeś dziurę jest już "uzyskiwaniem nieautoryzowanego dostępu"
>>> itd.
>> A dowodem na to jest ...
> A to już zupełnie inna bajka. Choćby radosne poinformowanie o fakcie
> właściciela rzeczonego systemu.

Czyli, podsumowując, jeśli - nie daj RNG - znajdziesz buga, który podpada
pod 'uzyskanie nieautoryzowanego dostępu'[1] to albo milczysz jak grób,
albo, jeśli zechcesz już o tym porozmawiać, to nie z właścicielem, bo
będzie miał dowód?
Czyli jak i z kim mają rozmawiać? Może napisać na pl.comp.security posta w
stylu 'Załóżmy, że jest serwis hostingowy, który trzyma logi w postaci (tu
opis + ew. opis jak przełamać to 'zabezpieczenie'). W logach mogą się
znaleźć dane typu (tu opis) które w szczególnym przypadku (tu opis)
pozwalają na (tu opis + ew. adnotacja że ma wrażenie że w przypadku portalu
jednego z ministerstw wydaje mu się, że tak jest). Czy takie coś jest
błędem w zabezpieczeniach? Jakie daje możliwości nadużyć?'
Oczywiście najlepiej by było, gdyby każda firma zamieściła na stronie info,
jak będzie traktować tego typu zgłoszenia, najlepiej z dokładnym cennikiem
za jakie informacje ile płaci (jeśli płaci). Tyle, że to nierealne.
A co IMO powinien zrobić home.pl? Poprawić swój błąd (to zrobili szybko i
skutecznie, z tego co wyczytałem), powiadomić admina portalu MEN o dziurze,
ze wskazaniem znalazcy dziury (czy też dać 24h na powiadomienie samemu
znalazcy), zabić śmiechem ofertę ('OK, było niedociągnięcie, ale jest już
poprawione (trzymamy się wersji, że analiza logów wystarczyła), dzięki za
zgłoszenie, możemy wam za to dać <tu np. rok hostingu gratis[2]>, jak nie,
to sobie publikujcie'. A dlaczego? Bo błędy były i będą, tak samo jak
ludzie, którzy ich szukają. A polityka 'u nas błędów nie ma[3], a spróbuj
ich poszukać/powiedzieć o nich, to się na ABW skończy' na dłuższą metę
działa IMO przeciw firmie.

>>> Były już procesy za wykrycie dziur przez admina w ramach wykonywania
>>> obowiązków.
>> W Polsce? Jakies konkretne?
> Nie, nie w Polsce.

Pewnie tam, gdzie rzeźby molestują studentów uczelni?

[1] Niby na którym etapie miała niby miejsce _autoryzacja_ w przypadku
opisanego dostępu do serwisu MEN? Z tego co piszą na
<http://hack.pl/aktualnosci/oswiadcznie_w_sprawie_wy
krycia_krytycznej_luki_serwerow_homepl_593>
po prostu weszli (klik w URL) do katalogu ze statystykami, tam były
niezabezpieczone pliki txt z logami, a w nich był link do strony z
potwierdzeniem o poprawnym zalogowaniu, po wejściu na którą otrzymywało się
pełny dostęp. Podsumowując: kliknięcie w określonego linka dawało pełny
dostęp do treści. Gdzie tu niby jest uwierzytelnianie (rozumiem, że jak
ktoś poda tu takiego linka a Ty klikniesz, to dokonasz 'uzyskania
nieautoryzowanego dostępu'? ;->)? Tak, czytałem
<http://ihack.pl/hack.pl-200-tys-za-statystyki>; tak, błędy dotyczyły
serwisów, nie home.pl (tu był wyłącznie nierozsądny sposób przechowywania
logów); tak, cena była śmieszna.
[2] Czy tam cokolwiek - do negocjacji. Minimum to podziękowania za 'pomoc w
zwiększeniu bezpieczeństwa serwisu', jeśli faktycznie pomogli w
znalezieniu/naprawieniu dziury/niedociągnięcia. W sumie w tym przypadku
prestiż mógłby być cenniejszy od pieniędzy.
[3] Jak się jest absolutnie pewnym bezbłędności programu/systemu, to się
wyznacza nagrodę za znalezienie błędu. Taka darmowa reklama. ;->

do góry

v...@g...com wrote:

> A co ma do tego robot google?
> Jeżeli nie znajdzie nigdzie linka do tak "zabezpieczonej" strony albo
> jak tego linka nie wyśle Firefox do gugli to nic nie znajdzie. Gdzie
> widzisz przełamywanie zabezpieczeń?

Czyli co, jak autor 'włamania' poda linka do strony (na chińskim serwerze),
na której będą kombinacje linków od 000 do 999 i powie, że stamtąd kliknął,
to włamania nie było, a jak sam wygeneruje, to włamanie było?
A jak podam linka typu http://hack.pl/000/ (tylko przykład, aktualnie
strona nie istnieje, ale jak znam życie to pojawi się tam wkrótce hasło do
administrowania hack.pl ;->) to przy odrobinie pecha 'przełamuję
zabezpieczenia portalu hack.pl' (czy tam inny współudział)? No ja Cię
proszę...

do góry

v...@g...com wrote:

>> Nie było. Brak jakichkolwiek oznak, że wchodzisz w miejsce zakazane.
> Skoro tak twierdzisz to proponuję połazić sobie po takich
> niezabezpieczonych miejscach, pokasować pliki niezabezpieczone przed
> kasowaniem i opublikować informacje które przecież są publicznie
> dostępne.

Uważaj chodząc po lesie. Możesz się 'włamać na teren prywatny' i
dokonać 'poważnych zniszczeń flory' (tu nie Skandynawia, nie masz
gwarantowanego wstępu na tego typu tereny).

do góry

Paweł 'Róża' Różański napisał(a):
> v...@g...com wrote:
>
>> A co ma do tego robot google?
>> Jeżeli nie znajdzie nigdzie linka do tak "zabezpieczonej" strony albo
>> jak tego linka nie wyśle Firefox do gugli to nic nie znajdzie. Gdzie
>> widzisz przełamywanie zabezpieczeń?
>
> Czyli co, jak autor 'włamania' poda linka do strony (na chińskim serwerze),
> na której będą kombinacje linków od 000 do 999 i powie, że stamtąd kliknął,
> to włamania nie było, a jak sam wygeneruje, to włamanie było?

Zapomniales o pewneym drobiazgu. WYkorzystano dane uzyskane z tej strony
do przelamania CMSu portalu MEN. To jakbys znalazl klucze z adresem i
wszedl do domu "cudzego" a potem powiedzial ze oddasz mu klucze za
200tys zlotych a jak nie zaplaci to wzor klucza i adres umiescisz
na slupie ogloszeniowym w centrum miasta.

Zamiast mieszkania raczej nalezalo by powiedziec znalazl klucze do
wszystkich pokoi w Mariotach na calym swiecie.

do góry

On Fri, 13 Apr 2007 09:06:07 +0200, Paweł 'Róża' Różański wrote:

> Czyli, podsumowując, jeśli - nie daj RNG - znajdziesz buga, który podpada
> pod 'uzyskanie nieautoryzowanego dostępu'[1] to albo milczysz jak grób,
> albo, jeśli zechcesz już o tym porozmawiać, to nie z właścicielem, bo
> będzie miał dowód?

każdy powód jest dobry żeby wpaść na kawe czy zorganizować admińską wódke :>



--
futszaK
0601061867
Odkad Fenicjanie wymyslili pieniadze,okazywanie
wdziecznosci stalo sie stosunkowo proste

do góry

Bartosz 'bart' Nowakowski wrote:

> Zainteresowani Michał Bućko
> i Michał Semeniuk na swojej stronie wyjaśnienia podpisują Autor:
> HACK.pl. Komputery osobiste już pewnie zabezpieczone a właściciele
> latają po prawnikach, bo zachciało się kozaczyć.

Nawet jeśli, to dolary przeciw orzechom, że nic im nie zrobią, tylko
postraszyć chcą. W związku z czym chłopaki się nauczą ważnej życiowej
lekcji, że nie warto być uczciwym, albo przynajmniej zachować anonimowość
i 'występować w środowisku hackerskim pod pseudonimem' i nie łączyć się z
domu.
Czyli 'lepiej dać łapówkę i załatwić, niż zgłosić, że chcieli łapówkę, bo
wtedy będą kłopoty z organami ścigania za "próbę wręczenia łapówki"
i "zamieszanie w aferę łapówkową"'.
Identycznie kumpel dostał mandat za 'brak zgłoszenia czasowego miejsca
pobytu' (sic!, jest obowiązek meldunku tymczasowego jeśli mieszkasz więcej
niż ileśtam dni w danym miejscu), bo zgodził się porozmawiać z policjantami
(w roli świadka) o jakiejś awanturze na klatce.
Brawo! Prawo i sprawiedliwość! Bezpieczeństwo wzrasta (bo statystyki mówią,
że liczba zgłoszonych przestępstw spada)!

do góry

On 13.04.2007, Paweł 'Róża' Różański <r...@r...onet.pl> wroted:

>>>> Jak weryfikujesz "wykrycie braku zabezpieczeń"? Sprawdzenie, czy na
>>>> pewno wykryłeś dziurę jest już "uzyskiwaniem nieautoryzowanego dostępu"
>>>> itd.
>>> A dowodem na to jest ...
>> A to już zupełnie inna bajka. Choćby radosne poinformowanie o fakcie
>> właściciela rzeczonego systemu.
>
> Czyli, podsumowując, jeśli - nie daj RNG - znajdziesz buga, który podpada
> pod 'uzyskanie nieautoryzowanego dostępu'[1] to albo milczysz jak grób,
> albo, jeśli zechcesz już o tym porozmawiać, to nie z właścicielem, bo
> będzie miał dowód?

Zawsze istnieje ryzyko, że zamiast Ci podziękować, zacznie Cię ścigać. A wtedy
tak, czynności związane ze zgłoszeniem dziury mogą być dowodem na "uzyskanie
nieautoryzowanego dostępu" etc.
[...]

> [1] Niby na którym etapie miała niby miejsce _autoryzacja_ w przypadku
> opisanego dostępu do serwisu MEN?
[...]

Nie mówię o dziurze w CMSie MEN. Mówię o tym, że _technicznie_ w bardzo wielu
przypadkach weryfikacja odkrycia dziury jest "uzyskiwaniem nieautoryzowanego
dostępu" etc. Jeśli właściciel serwisu z takich czy innych przyczyn zechce
Cię wobec tego ścigąć, ma szanse Ci zaszkodzić.

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>

do góry

v...@g...com wrote:

>> A jesli to miala byc prawda, to wybacz, ale pisanie prawdy to nic
>> zlego. Nawet jesli sie to komus "duzemu" nie podoba.
> To nie jest prawda. W mojej opinii znaleziona "dziura" nie jest
> dziurą. To problem posiadaczy kont że nie założyli sobie hasła na
> katalog z logami choć jest to operacja która zajmuje 1 minutę.

Jasne. Dziura nie jest dziurą i dlatego home ją załatał. Znaczy nie
załatał, bo nie było czego. I sposób udostępniania logów się jak widać nie
zmienił. Oczywiście.

do góry