On 7 Kwi, 13:56, elmer radi radisson <r...@spam-spam-spam-eggs-bacon-
and.spam.wireland.org> wrote:

> to co zrobilo home - to jest inna sprawa. natomiast przejscie do rzeczy
> w wyslanej korespondencji za pomoca gadki o "koszcie informacji"
> kojarzy sie po prostu zle, niezaleznie od prawdziwych intencji autora
> maila. kropka.

Ja zacytuje to co napisałem na securitystandard.pl. Jeśli ktoś gra
ostro to może mieć szansę na duży zarobek, ale musi się też liczyć z
równie ostrą odpowiedzią.

http://blog.securitystandard.pl/news/108745.html

Wczoraj wieczorem właściciel polskiej firmy hostingowej Home.pl
otrzymał nietypową propozycję - autorzy serwisu hack.pl napisali, że
wykryli w oprogramowaniu Home.pl poważną dziurę. Za szczegóły zażądali
200 tys. zł.

List był utrzymany w tonie delikatnej perswazji - z jednej strony
autorzy zastrzegali, że "piszą w celu informacyjnym" i że ich
"zamiarem nie jest wykorzystanie tego błędu w sposób niezgodny z
prawem". Z
drugiej strony sugerowali, że chcą opublikować na swojej stronie
informacje dziurze, co z pewnością wpłynęłoby na wizerunek Home.pl.

Autorom trzeba oddać sprawiedliwość, że informacje o dziurze chcieli
opublikować bez podawania szczegółów technicznych. W sumie mogli to
zrobić od razu, bez pytania o zgodę Home.pl - w końcu serwisy
"chakerskie" robią to cały czas. Całkowicie niedopuszczalne z ich
strony było jednak uzależnienie ujawnienia informacji o szczegółach
dziury od zapłacenia autorom 200 tys. zł. Jest to działanie, które
łatwo można
podciągnąć pod próbę wyłudzenia, co samo w sobie jest przestępstwem.

Co powinien więc zrobić ktoś, kto znajdzie dziurę w cudzym serwisie
internetowym? Jeśli nie chce ryzykować, to najlepiej nic. Brzmi to
brutalnie, ale taka jest prawda - uzyskanie dostępu do informacji z
przełamaniem zabezpieczeń jest w Polsce karalne (art. 267 KK), a taki
detal jak ustalenie czy doszło czy nie doszło do "przełamania
zabezpieczeń" wymaga oceny biegłego. Rozprawa może potrwać i dwa lata,
w czasie której podejrzanego czeka wiele nieprzyjemności (nawet
włącznie z aresztem), a na pewno zatrzymaniem "narzędzia przestępstwa"
czyli sprzętu komputerowego. Niech zatem za bezpieczeństwo swoich
serwerów odpowiadają ich właściciele.

Jeśli decydujemy się na zgłoszenie dziury to musi mieć ono taką
postać, by nie było najmniejszych wątpliwości co do intencji autora.
Jeśli jego intencją jest pomoc to należy umieścić w zgłoszeniu
wszystkie
informacje, które rzeczywiście mogą być pomocne administratorowi w
załataniu luki. Każda dwuznaczna sugestia, że "chcemy pomóc, ale
chcemy też zarobić" natychmiast kojarzy się z rosyjskim rekietierem z
lat
90-tych, który opowiadając o "drużbie narodow" mimochodem rozważał
łatwopalność budynku restauracji, do której przyszedł z ofertą.

Pokusa zmuszenia właściciela serwisu do skorzystania z naszych usług
może być bardzo silna - osoba, która znalazła dziurę dysponuje pewną
informacją, która może być wartościowa dla drugiej strony. Ale usługi
na
rynku bezpieczeństwa IT opierają się na zaufaniu. Nikt nie zaufa
szantażyście. Jeśli natomiast zgłoszenie dziury będzie utrzymane w
formie nie pozostawiającej wątpliwości co do przyjaznych intencji
zgłaszającego, to nic nie stoi na przeszkodzie żeby zaoferować swoje
usługi w którymś z kolejnych maili, już po wyjaśnieniu kwestii
związanych ze zgłaszanym problemem i najlepiej po załataniu dziury.