Dnia 08-04-2007 o 01:54:52 Bartosz 'bart' Nowakowski <b...@h...net>
napisał(a):

>
> A jako bonus w Polskę poszło, że to hackerzy byli :/
>

Tak to juz jest jak "plebejskie" media weżną się za sprawe o której nie
mają pojęcia i do tego ten komentarz pod koniec materału w TVP-owkich
"Wiadomościach" koszmar nie długo powiedzą że Stallman to zbir bo tez jest
hackerem a do tego komunistą bo był inicjatorem ruchu free software ;)

--
2M1R

do góry

On 8 Kwi, 15:44, crazy bejbi <t...@n...ma> wrote:
> Szczególnie, że teraz NIE BYŁ PROBLEM w złamaniu zabezpieczeń TEGO cms,
IMHO zabezpieczenie dostępu do panelu administracyjnego za pomocą
SSIDa w URLu i niestosowanie nawet trywialnych coockies ani
autoryzacji apache jest EWIDENTNYM problemem w zabezpieczeniu TEGO
cms.

pozdrawiam,
Vladimir

do góry

Michal Zalewski <l...@d...ids.pl> writes:

> Pisałem o tym jeno po to, by zaznaczyć, że szeroko rozumiane praktyki tego
> typu są ryzykowne, zwykle jest pargraf, który pozwala *przynajnniej* na
> rozpoczęcie postępowania, i że atakujący jest w związku z tym na łasce
> atakowanego, który może, ale nie musi, grać przyzwoicie - więc w interesie
> testera jest wykazanie się dobrą wolą, a i tak musi on się liczyć z
> ryzykiem.

Powiedzmy sobie szczerze - mozliwe scenariusze sa takie:
a) ktos wie co robi i nie chce sie ujawnic, jesli tylko nie rusza
instalacji np. odpalajacych rakiety ani nie ukradl $1G
z najwiekszego banku to paragrafy moga mu skoczyc.
b) ktos wie co robi i ujawnia sie - paragrafy tez mu nic nie zrobia,
bo najdalej moze sprawa zakonczyc sie na umorzeniu z braku
dowodow, na skutek wyparcia sie wszystkiego przez ta osobe.
c) ktos nie wie co robi, ale chyba jasne jest ze za bledy mozna
zaplacic.

Nie wiem ktory to byl przypadek, przyznaje ze nie patrzylem w te
ich listy czy co to tam bylo.
--
Krzysztof Halasa

do góry

Witam,

W poście <ev59l9$e6l$1@news.onet.pl>
Jan Strybyszewski <g...@o...pl> m.in. napisał(a)::

> Home.pl przynaje sie ze szantazysci uzyskali dostep do statystyk i
> logow serwera. Informacja z radiazet.pl. Oczywiscie placic nie maja
> zamiaru, policja powiadomiona a ow dostep nieautoryzowany do panelu nie
> zagraza serwisom www i ich tresci [jak twierdzi home.pl]

Problem dotyczy większości serwerów i ma ścisły związek a macdonaldyzacją
życia (w tym także rynku IT), ale to temat na oddzielny wątek.

--
Tomasz Motyliński
Linux jest dla leniwych, raz zainstalowany działa wiecznie
... i do tego jaki ładny :) http://satfilm.net.pl/~motto77/mydesktop.jpg
http://debian.linux.pl/ - Polskie Forum Użytkowników Debiana

do góry

Tomasz Motyliński napisał(a):
> Witam,
>
> W poście <ev59l9$e6l$1@news.onet.pl>
> Jan Strybyszewski <g...@o...pl> m.in. napisał(a)::
>
>> Home.pl przynaje sie ze szantazysci uzyskali dostep do statystyk i
>> logow serwera. Informacja z radiazet.pl. Oczywiscie placic nie maja
>> zamiaru, policja powiadomiona a ow dostep nieautoryzowany do panelu nie
>> zagraza serwisom www i ich tresci [jak twierdzi home.pl]
>
> Problem dotyczy większości serwerów i ma ścisły związek a macdonaldyzacją
> życia (w tym także rynku IT), ale to temat na oddzielny wątek.
>

Powyżej 1000 wirtualnych serwerów nie da się inaczej. Po prostu za duża
skala, żeby się bawić.

wer

do góry

Witam,

W poście <evbrsd$avr$1@news.supermedia.pl>
wer <b...@n...pl> m.in. napisał(a)::

>>> Home.pl przynaje sie ze szantazysci uzyskali dostep do statystyk i
>>> logow serwera. Informacja z radiazet.pl. Oczywiscie placic nie maja
>>> zamiaru, policja powiadomiona a ow dostep nieautoryzowany do panelu nie
>>> zagraza serwisom www i ich tresci [jak twierdzi home.pl]
>>
>> Problem dotyczy większości serwerów i ma ścisły związek a macdonaldyzacją
>> życia (w tym także rynku IT), ale to temat na oddzielny wątek.
>
> Powyżej 1000 wirtualnych serwerów nie da się inaczej. Po prostu za duża
> skala, żeby się bawić.

Mniej więcej, wszyscy chcą tanio a tani się nie da, jak chcesz mieć pewność,
że system będzie bezpieczny to zatrudnij admina daj mu stosowną kasę aby
siedział po nocach i szukał dziury w całym nawet jak wszystko działa.
Niestety sam doświadczyłem, że nie szanuje się w tym kraju adminów
pasjonatów, którzy każdą wolną chwilę poświęcają na "tunning" systemu.
Dlaczego? Bo tego nie widać z wierzchu "a skoro nie widać różnicy to po co
przepłacać"? I potem rodzą się takie kwiatki.

--
Tomasz Motyliński
Linux jest dla leniwych, raz zainstalowany działa wiecznie
... i do tego jaki ładny :) http://satfilm.net.pl/~motto77/mydesktop.jpg
http://debian.linux.pl/ - Polskie Forum Użytkowników Debiana

do góry

wer wrote:

> Wiesz, łatwo można się włamać do twojego domu, jeśli mi zapłacisz 5000
> zł to nie rozwieszę w twojej okolicy ogłoszeń z tym jak to zrobić. To
> jest oferta dobrej woli.

Można też tak...

Znalazłeś zajebiście (najzajebiściej zejbiście) poważnego buga
(powiedzmy, powiązanego z możliwością naprawdę dużego finansowego fraudu
lub uzyskanie poważnej liczby danych osobowych, haseł, niejawnej
dokumentacji etc..) w usłudze (paypala, abw, sony, mbanku, nsa, nasa,
gadu-gadu etc.).

Teraz możesz, co jest na pewno etycznie i być może (tego nie wiem)
prawnie naganne, zarządać od firmy powiedzmy "200.000 zł ;)" za
milczenie, lub też zachować się zgodnie z prawem i w imię wolnego
dostępu do informacji, bez wyciągania kasy z firmy, wypuścić informację
na czymś poczytnym (full-dislosure i inne ciakerskie fora) o 4:30 w
nocy (coby admini gdy się obudzą zastali już sajgon), co może oznaczać
straty dla firmy liczone powiedzmy w mln/mld złotych/dolarów/ojro/pesos.

Gdybyś był szefem paypala/abw/sony/mbanku/nsa/nasa/gadu-gadu wolałbyś
szantaż czy wolny dostęp do informacji? :)

--
Robert Swiecki - http://www.swiecki.net
NEVER EVER mess with a PCB jumper you don't understand, even if it's
labelled "SEX AND FREE BEER" (C)1992 Dave Haynie - Amiga developer

do góry

09-04-07, Robert Święcki <r...@s...net> napisał(a):
> wer wrote:
>
> > Wiesz, łatwo można się włamać do twojego domu, jeśli mi zapłacisz 5000
> > zł to nie rozwieszę w twojej okolicy ogłoszeń z tym jak to zrobić. To
> > jest oferta dobrej woli.
>
> Można też tak...
>
> Znalazłeś zajebiście (najzajebiściej zejbiście) poważnego buga
> (powiedzmy, powiązanego z możliwością naprawdę dużego finansowego fraudu
> lub uzyskanie poważnej liczby danych osobowych, haseł, niejawnej
> dokumentacji etc..) w usłudze (paypala, abw, sony, mbanku, nsa, nasa,
> gadu-gadu etc.).
>
> Teraz możesz, co jest na pewno etycznie i być może (tego nie wiem)
> prawnie naganne, zarządać od firmy powiedzmy "200.000 zł ;)" za
> milczenie, lub też zachować się zgodnie z prawem i w imię wolnego
> dostępu do informacji, bez wyciągania kasy z firmy, wypuścić informację
> na czymś poczytnym (full-dislosure i inne ciakerskie fora) o 4:30 w
> nocy (coby admini gdy się obudzą zastali już sajgon), co może oznaczać
> straty dla firmy liczone powiedzmy w mln/mld złotych/dolarów/ojro/pesos.
>
> Gdybyś był szefem paypala/abw/sony/mbanku/nsa/nasa/gadu-gadu wolałbyś
> szantaż czy wolny dostęp do informacji? :)
>

Moim zdaniem , najrozsadniejszym zachowaniem byloby napisac do
wlasciciela serwisu ze ma buga , opisac gdzie , co i jak. Mozna ew.
zasugerowac delikatnie wlascicielowi serwisu ze moglby okazac
wdziecznosc. Zwlaszcza , ze od kiedy Fenicjanie wynalezli pieniadz
okazywanie wdziecznosci nie jest trudne :)


Oczywiscie, mozna napisac - przelej 1000000 zl na moje konto to powiem
gdzie masz buga. Ale wtedy to jest zwyczajny szantaz a nie hackerska
batalia o bezpieczenstwo i wolnosc. Takich delikwentow nalezy tepic,
zeby nie znajdywali nasladowcow. Home.pl mozna przebolec, ale jak
jakis bystry inaczej wlamie sie do komputera w szpitalu i zacznie
szantazowac wladze owego szpitala to juz moze byc mniej wesolo

gausus
--
[ -----< Maciej Jan Broniarz || g...@g...net >------ ]
| Siamo qui \ sotto la stessa luce \ sotto la sua croce \ |
| cantando ad una voce \ E l'Emmanuel Emmanuel, Emmanuel, |
[ ---------------< E l'Emmanuel, Emmanuel >-------------- ]

do góry

Maciej Jan Broniarz wrote:

> Oczywiscie, mozna napisac - przelej 1000000 zl na moje konto to powiem
> gdzie masz buga. Ale wtedy to jest zwyczajny szantaz a nie hackerska
> batalia o bezpieczenstwo i wolnosc. Takich delikwentow nalezy tepic,
> zeby nie znajdywali nasladowcow. Home.pl mozna przebolec, ale jak
> jakis bystry inaczej wlamie sie do komputera w szpitalu i zacznie
> szantazowac wladze owego szpitala to juz moze byc mniej wesolo

Nie wiem jakie moga być konsekwencje prawne ujawnienia informacji,
której wykorzystanie może wiązać się ze złamaniem prawa.

Chciałbym zauważyć jednak mały paradoks. Mniejsze nieszczęście
(zarządanie i zapłacenie szantażyście kwoty x za informację o bugu) może
być (i zapewne jest) nielegalne, zaś upublicznienie tej informacji (i
narażenie na straty, powiedzmy, rzędu np. 100x) już przestępstwem
"raczej" nie jest. Nie można ograniczyć rozmiarów "katastrofy", bo
przeszkadzają ograniczenia prawne, nawet jeżeli ekonomicznie szantaż
bardziej by się szantażowanemu opłacił.

Nie do końca rozumiem także argument, by nie płacić, bo to zniechęci
innych do szantażu. Skoro zniechęci do szantażu, to zachęci do
ujawnienia. Takietam akademickie rozważania ;)

Tak, btw., przypadek home.pl nie ma raczej związku z powyższymi
dywagacjami jako, że bug był taki-sobie.

--
Robert Swiecki - http://www.swiecki.net
NEVER EVER mess with a PCB jumper you don't understand, even if it's
labelled "SEX AND FREE BEER" (C)1992 Dave Haynie - Amiga developer

do góry

09-04-07, Robert Święcki <r...@s...net> napisał(a):
> Maciej Jan Broniarz wrote:
>
> > Oczywiscie, mozna napisac - przelej 1000000 zl na moje konto to powiem
> > gdzie masz buga. Ale wtedy to jest zwyczajny szantaz a nie hackerska
> > batalia o bezpieczenstwo i wolnosc. Takich delikwentow nalezy tepic,
> > zeby nie znajdywali nasladowcow. Home.pl mozna przebolec, ale jak
> > jakis bystry inaczej wlamie sie do komputera w szpitalu i zacznie
> > szantazowac wladze owego szpitala to juz moze byc mniej wesolo
>
> Nie wiem jakie moga być konsekwencje prawne ujawnienia informacji,
> której wykorzystanie może wiązać się ze złamaniem prawa.
>
> Chciałbym zauważyć jednak mały paradoks. Mniejsze nieszczęście
> (zarządanie i zapłacenie szantażyście kwoty x za informację o bugu) może
> być (i zapewne jest) nielegalne, zaś upublicznienie tej informacji (i
> narażenie na straty, powiedzmy, rzędu np. 100x) już przestępstwem
> "raczej" nie jest. Nie można ograniczyć rozmiarów "katastrofy", bo
> przeszkadzają ograniczenia prawne, nawet jeżeli ekonomicznie szantaż
> bardziej by się szantażowanemu opłacił.
>
> Nie do końca rozumiem także argument, by nie płacić, bo to zniechęci
> innych do szantażu. Skoro zniechęci do szantażu, to zachęci do
> ujawnienia. Takietam akademickie rozważania ;)
>
> Tak, btw., przypadek home.pl nie ma raczej związku z powyższymi
> dywagacjami jako, że bug był taki-sobie.
>

A czyja perspektywe przyjmujemy za obowiazujaca ? Klienta, ktory moze
niezasluzenie miec klopoty czy dostawcy uslug, ktory cos olewa ?

gausus
--
[ -----< Maciej Jan Broniarz || g...@g...net >------ ]
| Siamo qui \ sotto la stessa luce \ sotto la sua croce \ |
| cantando ad una voce \ E l'Emmanuel Emmanuel, Emmanuel, |
[ ---------------< E l'Emmanuel, Emmanuel >-------------- ]

do góry