Michal Zalewski wrote:

> Nie mogę tego widzieć w żaden inny sposób, jak tylko cyniczna i
> przemyślana, zapewne nie pierwsza, próba wymuszenia absurdalnie wysokich
> korzyści finansowych za utajenie faktów. (...)

A jako bonus w Polskę poszło, że to hackerzy byli :/

--
Bartosz 'xbartx' Nowakowski

"Lecz będąc biedakiem, jedyne co posiadam to marzenia. Rozsypałem me
marzenia u twych stóp. Stąpaj miękko, gdyż stąpasz po moich marzeniach"

do góry

W artykule Bartosz 'bart' Nowakowski napisał(a):

>>> Jakie jest home to każdy wie
>>
>> A jakie?
>
> Duże. Od pewnego czasu prawie kompletny brak reakcji na zgłaszany do
> nich spam to mój zarzut a jeszcze się trochę znajdzie od innych.

Znaczy kiedyś na zgłoszenia dotyczące spamu odpowiadali?

pozdr,
fEnIo

--
,''`. Bartosz Fenski | mailto:f...@d...org | pgp:0x13fefc40 | irc:fEnIo
: :' : 32-050 Skawina - Glowackiego 3/15 - malopolskie v. - Poland
`. `' phone:+48602383548 | proud Debian maintainer and user
`- http://skawina.eu.org | jid:f...@j...org | rlu:172001

do góry

On Sun, 8 Apr 2007, [UTF-8] Miroslaw Jaworski wrote:

> "... przeszkoda zabezpieczająca mienie nie powinna mieć charakteru
> symbolicznego lecz powinna być przeszkodą realną, broniącą rzeczywiście
> dostępu (...)"

Odnosiłem się tutaj do testowania zabezpieczeń cudzych witryn WWW jako
takiego, bez rozpatrywania, jak sąd zinterpretuje konkretną aktywność, bo
tego po prostu nie wiem, niezależnie od tego, ile ustaw przejrzę. Nie jest
dla mnie jasne, do jakiego momentu "tajny" URI jest zabezpieczeniem
symbolicznym, od jakiego - nietrywialnym; albo czy do różnych części URI
należy stosować inne reguły (czyli czy np. '/stats' jest równoważne
'/login?user=admin&pass=admin').

Pisałem o tym jeno po to, by zaznaczyć, że szeroko rozumiane praktyki tego
typu są ryzykowne, zwykle jest pargraf, który pozwala *przynajnniej* na
rozpoczęcie postępowania, i że atakujący jest w związku z tym na łasce
atakowanego, który może, ale nie musi, grać przyzwoicie - więc w interesie
testera jest wykazanie się dobrą wolą, a i tak musi on się liczyć z
ryzykiem.

Jeśli chodzi o osobisty stosunek do tego typu spraw - w życiu nie
przyszłoby mi do głowy ścigać ludzi, którzy coś tam sobie z ciekawości
dłubią, i nie uważam tego za coś szczególnie złego.

> Kto jak kto, ale Ty doskonale powinieneś wiedzieć, jaki był techniczny
> aspekt tego przypadku. W tym kontekście Twoja pro-homenet'owa wypowiedź
> ( "[...] mamy do czynienia z próbą przełamania [...]" )

Wypowiedź w dalszej części była pro-homenetowa, ale w tym akurat
fragmencie, jeszcze do tego nie doszła ;-) Po prostu chciałem wyjaśnić,
czemu dla mnie kwestia intencji jest tu tak ważna.

/mz

do góry

On 8 Kwi, 10:06, Michal Zalewski <l...@d...ids.pl> wrote:
> Odnosiłem się tutaj do testowania zabezpieczeń cudzych witryn WWW jako
> takiego, bez rozpatrywania, jak sąd zinterpretuje konkretną aktywność, bo
> tego po prostu nie wiem, niezależnie od tego, ile ustaw przejrzę. Nie jest
> dla mnie jasne, do jakiego momentu "tajny" URI jest zabezpieczeniem
> symbolicznym, od jakiego - nietrywialnym; albo czy do różnych części URI
> należy stosować inne reguły (czyli czy np. '/stats' jest równoważne
> '/login?user=admin&pass=admin').

Pozwolę sobie zacytować wypowiedź rafian'a z forum hack.pl:
<cytat>
Witam.
Jestem klientem home.pl od wielu lat jak założyłem u nich konto
wszedłem sobie na swoją stronę z logami, stwierdziłem, że takie
informacje nie powinny być jawne i zabezpieczyłem ten katalog hasłem,
czynność zajęła o.k 1min.
</cytat>

Oraz Kwadrata
<cytat>
Najśmieszniejsze jest to że ja osobiście jakiś rok temu pisałem o tej
sprawie do home.pl :] Oficjalnie wysłałem pismo na a...@h...pl bo
sam MIAŁEM tam konto i zaniepokoiła mnie ta sytuacja Nawet sobie
zrobiłem generator linków :P Żeby sprawdzić czy faktycznie to się
sprawdza, bo aż nie mogłem uwierzyć :]

Na co dostałem odpowiedz od administatorów, żebym sobie zabezpieczył
konto/katalog i nie zawracał im gitary ;]
</cytat>

IMHO problemem adminow poszczegolnych kont na home.pl jest
niezakładanie hasła na statystyki.
To że nie jest to zrobione by default przy zakładaniu konta można
traktować jako niedopatrzenie, to że nie było jawnej instrukcji dla
klienta żeby sobie takie hasło założył niedopatrzeniem większym. Ale
nie traktowałbym tego jako dziury.

pozdrawiam,
Vladimir

do góry

simon napisał(a):
> Jan Strybyszewski napisał(a):
>> Ciekawostka
>>
>> Jacys szantazyscii groza ujawnieniem "materiałów" w tym portalu MEN
>> na serwerach firmy home.pl
>> Home.pl przynaje sie ze szantazysci uzyskali dostep do statystyk i
>> logow serwera. Informacja z radiazet.pl. Oczywiscie placic nie maja
>> zamiaru, policja powiadomiona a ow dostep nieautoryzowany do panelu
>> nie zagraza serwisom www i ich tresci [jak twierdzi home.pl]
>
> Co za pieprzenie... ludzie znaleźli dziurę w home.pl, a firmowe
> marketoidy odwróciły wszystko do góry nogami... przecież się nie
> przyznają publicznie, że dali ciała.
>

Wiesz, łatwo można się włamać do twojego domu, jeśli mi zapłacisz 5000
zł to nie rozwieszę w twojej okolicy ogłoszeń z tym jak to zrobić. To
jest oferta dobrej woli.

wer

do góry

http://jola.comm.pl/galeria/rozne/ludziki/lcamtuf/zl
ytuf_pp2.jpg
tu zdjecie ;P
taki mlody :P

do góry

o, kogo moje oczy widza na polipie :)

On Sun, 08 Apr 2007 03:27:53 -0700, vovcia wrote:

> IMHO problemem adminow poszczegolnych kont na home.pl jest
> niezakładanie hasła na statystyki.
> To że nie jest to zrobione by default przy zakładaniu konta można
> traktować jako niedopatrzenie, to że nie było jawnej instrukcji dla
> klienta żeby sobie takie hasło założył niedopatrzeniem większym. Ale
> nie traktowałbym tego jako dziury.

To czy coś nazwiemy dziurą czy nie to już jest kwestia nazwenictwa, z
praktycznego punktu widzenia w Sieć poszła jednak informacja że jakaś
dziura jednak byla w home.pl co może w jakiś (minimalny) sposób się odbić
na sprzedaży usług home.pl, aczkolwiek pewnie za jakiś czas wszyscy o
sprawie zapomną, niesmak jednak pozostanie bo można było zmodyfikować
skrypt kreujący katalogi domowe szkodników i by problemu nie było

jeśli zaś chodzi o MEN to pewnie wyszły po raz nie pierwszy i nie ostatni
oszczędności jakie się robi na polskiej nauce.
Efektów jest więcej - ponad milion młodych ludzi, z reguły po studiach
pojechała za granice pracować,bo studia nie przygotowały ich do życie
w polskich realiach gospodarczych.


Sorki że się na koniec off-topicznie rozpisałem



--
futszaK
0601061867
Nie przeszkadza mi ze ktos mnie myli z kobieta,
chyba ze ta ostatnia jest Renata Beger :>

do góry

futszaK napisał(a):

> jeśli zaś chodzi o MEN to pewnie wyszły po raz nie pierwszy i nie ostatni
> oszczędności jakie się robi na polskiej nauce.

Nie bardzo rozumiem (w zasadzie wcale) Twoją wypowiedź. Możesz
powiedzieć na jakiej podstawie sądzisz, że MEN zrobiło oszczędności na
stronie www i przez to ktoś na podstawie logów dostał dostęp do
zarzadzania ich stronę ?
Bo ja chyba nie wiem o czymś o czym wiesz Ty ?
No chyba, że zawsze masz odpowiedź na wszystko mówiącą, że jak sobie nie
dali zarobić, to jest złe ?

> Efektów jest więcej - ponad milion młodych ludzi, z reguły po studiach
> pojechała za granice pracować,bo studia nie przygotowały ich do życie
> w polskich realiach gospodarczych.

co ma do tego strona MAN (dobra, zła, technicznie poprawna lub nie,
zrobiona oszczędnie lub nie)?

Wojtek

do góry

On Sun, 08 Apr 2007 15:07:01 +0200, crazy bejbi wrote:

> futszaK napisał(a):
>
>> jeśli zaś chodzi o MEN to pewnie wyszły po raz nie pierwszy i nie ostatni
>> oszczędności jakie się robi na polskiej nauce.
>
> Nie bardzo rozumiem (w zasadzie wcale) Twoją wypowiedź.

państwo oszczędza na edukacji, edukacja oszczędza na adminach strony, wiec
ci co się tym zajmują albo zajmują się zbyt dużą ilością zajęć naraz i
zabiedbują sprawy zabezpieczeń, albo są słabi i nie zabezpieczają w sposób
należyty prowadzonych serwisów

> No chyba, że zawsze masz odpowiedź na wszystko mówiącą, że jak sobie nie
> dali zarobić, to jest złe ?

to nie jest "zawsze na wszystko odpowiedź" ale szczera prawda :(

>> Efektów jest więcej - ponad milion młodych ludzi, z reguły po studiach
>> pojechała za granice pracować,bo studia nie przygotowały ich do życie
>> w polskich realiach gospodarczych.
> co ma do tego strona MAN (dobra, zła, technicznie poprawna lub nie,
> zrobiona oszczędnie lub nie)?

to była tak zwana bardziej ogólna rozkmina na temat smutnej sytuacji w
polskiej edukacji :(



--
futszaK
0601061867
Nie przeszkadza mi ze ktos mnie myli z kobieta,
chyba ze ta ostatnia jest Renata Beger :>

do góry

futszaK napisał(a):

> państwo oszczędza na edukacji, edukacja oszczędza na adminach strony, wiec
> ci co się tym zajmują albo zajmują się zbyt dużą ilością zajęć naraz i
> zabiedbują sprawy zabezpieczeń, albo są słabi i nie zabezpieczają w sposób
> należyty prowadzonych serwisów

powiem tak:

ostatnio miałem zlecenie na zainstalowanie jestemu
antyspamowego/antywirusowego na serwerze pewnego starostwa powiatowego.
Mają polpaka. Mój admin zainstalował, a przy okazji komenda: apt-get
upgrade dała odpowiedź, że brakuje ok 300MB poprawek.

Ponadto odkryliśmy rootkita, który działał i siedzał tam od ok 2 lat.

Główny informatyk jak dostał raport o tym i pytanie co mamy robić
wzruszył ramionami i powiedział, że przecież wszystko do tej pory
działało i było ok.

To może niech lepiej wykupią sobie hosting na home czy gdziekolwiek
indziej. Nawet jakby był problem jak teraz z home, to jednak nie jest to
to samo co lewe procesy na ich serwerze, z którymi nie zamierzają nic
robić ...

Nie wiem, kto robił stronę MEN, ale jednak często robią to firmy
zewnętrzne, a nie lokalni "Administratorzy", szczególnie, jak mamy do
czynienia z cms-em (no, chyba, ze ktoś zainstluje joolme), ale pisanie
własnego, to chyba jednak przerasta człowieka, który się zajmuje przy
okazji innych obowiązków stroną www ...

Szczególnie, że teraz NIE BYŁ PROBLEM w złamaniu zabezpieczeń TEGO cms,
ale dostanie się do cms przez błąd zabezpieczeń w home - zresztą szybko
i sprawnie usunięty (po aktualnym upublicznieniu - nie wnikając czy
wiedzeli o tym wcześniej). Czyli to, że strona MEN stoi na home to
raczej zaleta a nie wada. Nie sądzę, że w przypadku postawienia strony
MEN na własnym serwerze problem byłby usunięty tak szybko (patrz powyżej).

>>> Efektów jest więcej - ponad milion młodych ludzi, z reguły po studiach
>>> pojechała za granice pracować,bo studia nie przygotowały ich do życie
>>> w polskich realiach gospodarczych.
>> co ma do tego strona MAN (dobra, zła, technicznie poprawna lub nie,
>> zrobiona oszczędnie lub nie)?
>
> to była tak zwana bardziej ogólna rozkmina na temat smutnej sytuacji w
> polskiej edukacji :(

nadal nie rozumiem związku :)
generalnie wszystkiemu są winni cykliści ?

Wojtek

do góry