On 11.04.2007, RoMan Mandziejewicz <r...@p...pl> wroted:

>> Co powinien więc zrobić ktoś, kto znajdzie dziurę w cudzym serwisie
>> internetowym? Jeśli nie chce ryzykować, to najlepiej nic. Brzmi to
>> brutalnie, ale taka jest prawda - uzyskanie dostępu do informacji z
>> przełamaniem zabezpieczeń jest w Polsce karalne (art. 267 KK),
>
> Ale tu mowa jest o wykryciu braku zabezpieczeń a nie o ich
> przełamaniu.

Jak weryfikujesz "wykrycie braku zabezpieczeń"? Sprawdzenie, czy na pewno
wykryłeś dziurę jest już "uzyskiwaniem nieautoryzowanego dostępu" itd.
Bycie whitehatem to wybór własnej postawy, niemniej inni mogą Cię widzieć
inaczej. Były już procesy za wykrycie dziur przez admina w ramach wykonywania
obowiązków.

[...]
GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>

do góry

"kravietz" <p...@n...hush.com> writes:

> Prokuratura zdecyduje czy Twoja czy moja definicja miała w TYM
> przypadku zastosowanie.

Kazdy ma prawo o tym zdecydowac, wiec pracownicy prokuratury
takze :-)

> Zgadza się, dlatego jeśli czegoś nie wiem to pytam adwokata. Hack.pl
> najwyraźniej tego nie zrobił.

Wiesz, szczerze mowiac nie czytalem tych listow, i domyslam sie
ze sama forma mogla byc wadliwa. Ale to nie znaczy ze kazda jest
wadliwa, i ze sama proba sprzedazy informacji o dziurze temu, kogo
owa dziura dotyczy, zasluguje na potepienie.

> Jeśli ktoś tę dziurę znajdzie i zamiast powiadomić Home.pl wjedzie do
> nich to być może Home.pl poniesie straty z punktu widzenia P-R. A
> jeśli poniesie straty to być może nauczy się:
>
> 1) reagować na zgłaszane błędy nawet jeśli uważają że nie są błędami,
> 2) prowadzić regularne, zewnętrzne testy penetracyjne albo uruchomić
> soft do tego

Dokladnie tego samego powinna ich nauczyc obecna sprawa, jesli
wczesniej tego nie wiedzieli (a powinni).
Poza tym slowo "albo" jest tu nie na miejscu, uruchomienie testu
nie zastapi prawdziwych testow (swoja droga, jakie glupoty
potrafia przysylac "audytorzy" w ramach "wstepnego testu i oferty
audytu" to az trudno powtorzyc).

>> Zdecydowanie wolalbym dostac maila z informacja o dziurze i oferta
>> na 200 kzl (zawsze mozna negocjowac, sa tez inne mozliwosci) niz gdyby
>> ktos po prostu sie wlamal i zrobil duzo gorsze rzeczy.
>
> To następnym razem jako potulny dostaniesz "ofertę" na 500k.

A dlaczego? Czyzby cena informacji sie zmienila? Cena z oferty jest
oczywiscie bez znaczenia, liczy sie sposob zalatwienia sprawy
(i poniesione koszty).
Przeciez nie napisalem ze place tyle za cokolwiek.

> To musi zadziałać tak żeby zarobić i nie pójść siedzieć. Tylko tyle.

No wlasnie! O to wlasnie chodzi - to nic zlego, trzeba tylko zrobic
to sensownie.

> Pracując w testach penetracyjnych miałem jeden taki przypadek, że
> znaleźliśmy dziurę w produkcie bez zlecenia klienta.

To jest zupelnie inna sprawa i zupelnie czego innego potrzebuje
"zleceniodawca".

> Przykład drugi - pewna firma opublikowała "raport o dziurach w SSL
> polskich banków", licząc na wysyp zamówień z tychże banków.

Dziwni jacys, przeciez "raport" zawieral juz potrzebne informacje,
po co ktos mialby ich zatrudniac? Z okazji drugiej edycji "raportu"?

> Wytłumaczysz bankom że akcja Hack.pl nie była w rzeczywistości
> szantażem i że powinni ich teraz jednak zatrudniać przy testach? Ale
> one stosują SWOJĄ definicję, a nie Twoją i co im zrobisz? :)

Z braku szantazu nie wynika, ze musza byc natychmiast zatrudnieni.

>> Tyle ze ktos moze chciec sprzedac informacje o dziurze a nie
>> rozpoczac prace w charakterze etatowca.
>
> Chcieć zawsze może.

To moze inaczej - ktos moze nie chciec pracowac na takim etacie.

> Zarabianie na chleb w tej branży wiąże się przede wszystkim z
> zaufaniem.

Przy audytach, ale to jest zupelnie inna sprawa.

> Hack.pl zaufania nie wzbudził,

Sama nazwa juz nie wzbudza.
Domyslam sie ze to jacys mlodzi ludzie bez wielkiego wyczucia itp.

> a Home.pl nie miało
> obowiązku przyjąć ich oferty.

No jasne ze nie. Wlasciwie, w praktyce mialo obowiazek jej nie
przyjac. Ale samo zlozenie oferty to nic zlego, po prostu mlodzi
ludzie musza nauczyc sie, ze niektore rzeczy zalatwia sie inaczej,
i ze nie zawsze wychodzi.
--
Krzysztof Halasa

do góry

Grzegorz Staniak <g...@w...pl> writes:

> Jak weryfikujesz "wykrycie braku zabezpieczeń"? Sprawdzenie, czy na pewno
> wykryłeś dziurę jest już "uzyskiwaniem nieautoryzowanego dostępu" itd.

A dowodem na to jest ...

> Były już procesy za wykrycie dziur przez admina w ramach wykonywania
> obowiązków.

W Polsce? Jakies konkretne?
--
Krzysztof Halasa

do góry

On Wed, 11 Apr 2007 06:19:56 -0700, kravietz wrote:

> Z Fido powinieneś pamiętać casus (chyba) JXM-a, któremu pod zarzutem
> piractwa zatrzymali całe wyposażenie firmy bo ktoś doniósł do nich że
> piracą i trzy lata czekało ono "na biegłego". Jako że był to shareware-
> house, więc zabranie wszystkich nośników i komputerów równało się
> upadkowi firmy.

a jak się sprawa skończyła ?
dostał jakieś odszkodowanie ?




--
futszaK
0601061867
Odkad Fenicjanie wymyslili pieniadze,okazywanie
wdziecznosci stalo sie stosunkowo proste

do góry

RoMan Mandziejewicz napisał(a):
> Hello kravietz,
>
> Wednesday, April 11, 2007, 2:47:13 PM, you wrote:
>
> [...]
>
>> Co powinien więc zrobić ktoś, kto znajdzie dziurę w cudzym serwisie
>> internetowym? Jeśli nie chce ryzykować, to najlepiej nic. Brzmi to
>> brutalnie, ale taka jest prawda - uzyskanie dostępu do informacji z
>> przełamaniem zabezpieczeń jest w Polsce karalne (art. 267 KK),
>
> Ale tu mowa jest o wykryciu braku zabezpieczeń a nie o ich
> przełamaniu.

Trzy cyfry wygenerowane w jakiś sposób są zabezpieczeniem. Kiepskim, bo
kiepskim, ale zabezpieczeniem. Jeśli by był formularz z wpisaniem pinu
trzycyfrowego to też nie byłoby to zabezpieczenie?

Te 3 cyfry miały uniemożliwić dostęp do statystyk osobom postronnym.
Więc było to zabezpieczenie.

wer

do góry

RoMan Mandziejewicz napisał(a):
> Hello Krzysztof,
>
> Wednesday, April 11, 2007, 2:56:35 PM, you wrote:
>
>>> Masz dość specyficzne pojęcie "aktywnej sprzedaży". To tak jak
>>> "islamscy" terroryści "aktywnie" nawracają.
>> Chciales chyba napisac: islamscy "terrorysci"?
>
> Dobrze napisał - islam jest religia pokojową z założenia. Ale to już
> zupełnie OT.

Pokojowość tej religii polega na tym, że dopóki są szanse, że się
nawrócisz dobrowolnie to Ci nie utną głowy. Akurat troche się
interesowałem tym tematem. Przeczytałem nawet Koran.

wer

do góry

Bartosz Feński aka fEnIo wrote:
> W artykule Bartosz 'bart' Nowakowski napisał(a):
>
>>>> Jakie jest home to każdy wie
>>> A jakie?
>> Duże. Od pewnego czasu prawie kompletny brak reakcji na zgłaszany do
>> nich spam to mój zarzut a jeszcze się trochę znajdzie od innych.
>
> Znaczy kiedyś na zgłoszenia dotyczące spamu odpowiadali?

Mnie się kilka razy poszczęściło - ale procentowo to nie wygląda zbyt
okazale niestety.


--
Bartosz 'xbartx' Nowakowski

"Lecz będąc biedakiem, jedyne co posiadam to marzenia. Rozsypałem me
marzenia u twych stóp. Stąpaj miękko, gdyż stąpasz po moich marzeniach"

do góry

On 2007-04-11 15:23, kravietz wrote:
> On 11 Kwi, 15:00, Przemysław Maciuszko <s...@h...pl> wrote:
>
>>> http://www.meetbsd.org/papers/meetbsd2006.jurczyk.pd
f
>> Czyli tak jak mowilem.
>> Nie ma sie czym chwalic, te 5 osob wymienione w PDF-ie, to raczej ze wzgledu
>> na dyzury 24/7.
>
> Ale "logo dystrybucji" mają fajne :)

Kwestia gustu ;-)

--
z.

do góry

Hello wer,

Wednesday, April 11, 2007, 8:27:09 PM, you wrote:

>>> Co powinien więc zrobić ktoś, kto znajdzie dziurę w cudzym serwisie
>>> internetowym? Jeśli nie chce ryzykować, to najlepiej nic. Brzmi to
>>> brutalnie, ale taka jest prawda - uzyskanie dostępu do informacji z
>>> przełamaniem zabezpieczeń jest w Polsce karalne (art. 267 KK),
>> Ale tu mowa jest o wykryciu braku zabezpieczeń a nie o ich
>> przełamaniu.
> Trzy cyfry wygenerowane w jakiś sposób są zabezpieczeniem. Kiepskim, bo
> kiepskim, ale zabezpieczeniem. Jeśli by był formularz z wpisaniem pinu
> trzycyfrowego to też nie byłoby to zabezpieczenie?

Nie, skoro nie było blokady na brute-force.

> Te 3 cyfry miały uniemożliwić dostęp do statystyk osobom postronnym.

Nie uniemożliwiało.

> Więc było to zabezpieczenie.

Raczysz żartować.

--
Best regards,
RoMan mailto:r...@p...pl

do góry

On Wed, 11 Apr 2007 21:24:26 +0200, Zbigniew Sikora wrote:

>>>> http://www.meetbsd.org/papers/meetbsd2006.jurczyk.pd
f
>>> Czyli tak jak mowilem.
>>> Nie ma sie czym chwalic, te 5 osob wymienione w PDF-ie, to raczej ze wzgledu
>>> na dyzury 24/7.
>> Ale "logo dystrybucji" mają fajne :)
> Kwestia gustu ;-)

rozumiem że powinna powstać wersja dla tych co lubią chłopców ?



sorki, ale nie mogłem się powstrzymać :>



--
futszaK
0601061867
Odkad Fenicjanie wymyslili pieniadze,okazywanie
wdziecznosci stalo sie stosunkowo proste

do góry