Robert Święcki <r...@s...net> wrote:
> Można też tak...
>
> Znalazłeś zajebiście (najzajebiściej zejbiście) poważnego buga
> (powiedzmy, powiązanego z możliwością naprawdę dużego finansowego fraudu
> lub uzyskanie poważnej liczby danych osobowych, haseł, niejawnej
> dokumentacji etc..) w usłudze (paypala, abw, sony, mbanku, nsa, nasa,
> gadu-gadu etc.).

Zestawianie NSA z GG jest bezsensem w najczystszej formie.
Ale ja nie o tym chciałem...

> Teraz możesz, co jest na pewno etycznie i być może (tego nie wiem)
> prawnie naganne, zarządać od firmy powiedzmy "200.000 zł ;)" za
> milczenie, lub też zachować się zgodnie z prawem i w imię wolnego
> dostępu do informacji, bez wyciągania kasy z firmy, wypuścić informację
> na czymś poczytnym (full-dislosure i inne ciakerskie fora) o 4:30 w
> nocy (coby admini gdy się obudzą zastali już sajgon), co może oznaczać
> straty dla firmy liczone powiedzmy w mln/mld złotych/dolarów/ojro/pesos.

Odkąd pamietam jestem fanem filozofii "full disclosure" - myślę, że nie
ma lepszej metody uświadomienia "czynnikom decyzyjnym" i "czynnikom
wytwórczym", że tworzenie dobrego oprogramowania naprawdę się opłaca
i że warto poświęcić czasami doraźne "oszczędnostki", a za to dostać/stworzyć
porządny produkt, który w dalszej perspektywie zabezpieczy przed koniecznością
płacenia szantażystom, wypłacania odszkodowań i becelowania za poprawianie czegoś,
za co już raz zapłacono i miało być dobre...

Co do home.pl - wiem z "pierwszej ręki" (ze źródeł naprawdę
pierwszoligowych, którym chłopcy z hack.pl mogliby najwyżej sznurówki
ssać), że ta podatność była już dawno zgłaszana, tylko personel
homenetu jakoś nie znalazł wyobraźni, żeby się tym przejąć i zrzucał
odpowiedzialność na klientów. Nie sądzę, aby home.pl ponióśł w związku
z tym specjalne straty, ale mam nadzieję, że chociaż jakieś wnioski
wyciągneli - co się opłaci i tej firmie i jej klientom.

Daleki jestem od alarmistycznego tonu wypowiedzi - skompromitowanej skądinąd
- ekipy dyletantów i cwaniaczków z hack.pl, jednak z drugiej strony wiem,
że dane pozyskane z logów (i ich długotrwałej obserwacji) mogą czasami
ułatwić różnego rodzaju ataki socjotechniczne (i nie tylko zresztą).
I nawet jeśli home.pl (czy inny operator/dostawca) uważa tego typu
zagrożenia za mało realne, to jednak powinni mieć świadomość ich istnienia.
W końcu jednak nikt z nas nie wygrał 6 w totka, a jednak wygrane wciąż
padają... ;-)

> Gdybyś był szefem paypala/abw/sony/mbanku/nsa/nasa/gadu-gadu wolałbyś
> szantaż czy wolny dostęp do informacji? :)

Wolność jest warta każdej ceny. Na szczęście nie jestem odpowiedzialny
przed żadnymi akcjonariuszami... :~)

Ponc
--
Kto misiowi urwał ucho?

do góry

On Wed, 11 Apr 2007 00:22:17 +0000, Tomasz Piłat wrote:

> Odkąd pamietam jestem fanem filozofii "full disclosure" - myślę, że nie
> ma lepszej metody uświadomienia "czynnikom decyzyjnym" i "czynnikom
> wytwórczym", że tworzenie dobrego oprogramowania naprawdę się opłaca
> i że warto poświęcić czasami doraźne "oszczędnostki", a za to dostać/stworzyć
> porządny produkt, który w dalszej perspektywie zabezpieczy przed koniecznością
> płacenia szantażystom, wypłacania odszkodowań i becelowania za poprawianie czegoś,
> za co już raz zapłacono i miało być dobre...

ziemia do ponckiego, słyszycie nas ???

wszyscy jesteśmy zwolennikami takiego podejścia, ale trzeba być albo
bardzo wybitnym specjalistom żeby nas było stać na realizowanie jego w
praktyce, albo pakujemy sie w segment ekskluzywnych (czytaj bardzo
drogich) usług dla bardzo wąskiego grona odbiorców którzy DOKŁADNIE WIEDZĄ
co kupują, aczkolwiek nikt nie gwarantuje że również oni nie zachorują na
chorobe o nazwie "cięcie kosztów"

> Co do home.pl - wiem z "pierwszej ręki" (ze źródeł naprawdę
> pierwszoligowych, którym chłopcy z hack.pl mogliby najwyżej sznurówki
> ssać), że ta podatność była już dawno zgłaszana, tylko personel
> homenetu jakoś nie znalazł wyobraźni, żeby się tym przejąć i zrzucał
> odpowiedzialność na klientów.

wystarczyło poczytać w/w wątek bo było w nim o zgłoszeniach i
szablonowych odpowiedziach na zgłoszenia w/w problemu

to że hołmnet ma polityke zwalania odpowiedzialności na klientów to my
wiemy, swego czasu nie mogłem się z nimi dogadać w kwestii walki ze spamem
i też dostawałem odpowiedzi w stylu "zrób sobie pan czarną i białą liste
nadawców i nie zawracaj nam głowy" więc koniec końców zdecydowałem nie
przedłużać z nimi umowy na konto bo konto pocztowe dla konta pocztowego to
ja sobie moge postawić sam gdziekolwiek (na którymś z obsługiwanych
serverów posiadających publiczny adres IP) nie płacąc za to grosza,zaś
od płatnego serwisu oczekuje czegoś więcej.


--
futszaK
0601061867
Odkad Fenicjanie wymyslili pieniadze,okazywanie
wdziecznosci stalo sie stosunkowo proste

do góry

On Mon, 9 Apr 2007, Robert Święcki wrote:

> Znalazłeś zajebiście (najzajebiściej zejbiście) poważnego buga
> (powiedzmy, powiązanego z możliwością naprawdę dużego finansowego fraudu
> lub uzyskanie poważnej liczby danych osobowych, haseł, niejawnej
> [...]
>
> Gdybyś był szefem paypala/abw/sony/mbanku/nsa/nasa/gadu-gadu wolałbyś
> szantaż czy wolny dostęp do informacji? :)

Na 99% osoba stawiajaca firme przed taka alternatywa za pare godzin
mialaby gosci i spedzilaby najblizsze 4 lata w Guantanamo, czekajac na
proces ;-)

/mz

do góry

11-04-07, Michal Zalewski <l...@d...ids.pl> napisał(a):
> On Mon, 9 Apr 2007, Robert Święcki wrote:
>
> > Znalazłeś zajebiście (najzajebiściej zejbiście) poważnego buga
> > (powiedzmy, powiązanego z możliwością naprawdę dużego finansowego fraudu
> > lub uzyskanie poważnej liczby danych osobowych, haseł, niejawnej
> > [...]
> >
> > Gdybyś był szefem paypala/abw/sony/mbanku/nsa/nasa/gadu-gadu wolałbyś
> > szantaż czy wolny dostęp do informacji? :)
>
> Na 99% osoba stawiajaca firme przed taka alternatywa za pare godzin
> mialaby gosci i spedzilaby najblizsze 4 lata w Guantanamo, czekajac na
> proces ;-)
>

Linia podzialu jest dosyc wyrazna. Jezeli, ktos zglasza blad tak po prostu
to jest ok. Jezeli juz na starcie chce za to pieniadze to nalezy go
spacyfikowac.

Nie wiem czy bym zaryzykowal dawanie kasy w ciemno. Kazdy moze
powiedziec ze zna dziure w serwerze danej firmy.

Spotkalem sie tez pare razy ze zjawiskiem, ze gdy zglasza sie
firmie/agencji rzadowej blad na ich serwerach to za jakis czas dzwoni
mily pan i proponuje prace/wspolprace/zlecenie .

Reasumujac, ludzie z hack.pl chcieli sie dorobic na szybko i tyle :)
A ze nie ma drogi na skroty to miejsca , do ktorego warto dojsc......

;)

gausus
PS: ciekawe, ze prekursorem medialnego trabienia o domniemanych
bledach jest wlasnie hacking.pl ;)


--
[ -----< Maciej Jan Broniarz || g...@g...net >------ ]
| Siamo qui \ sotto la stessa luce \ sotto la sua croce \ |
| cantando ad una voce \ E l'Emmanuel Emmanuel, Emmanuel, |
[ ---------------< E l'Emmanuel, Emmanuel >-------------- ]

do góry

On Wed, 11 Apr 2007, Maciej Jan Broniarz wrote:

> PS: ciekawe, ze prekursorem medialnego trabienia o domniemanych bledach
> jest wlasnie hacking.pl ;)

Hacking.pl wielokrotnie dawal do zrozumienia, ze bardziej im zalezy na
dogryzaniu kolegom, niz na utrzymaniu jakiegokolwiek chocby
polprofesjonalnego poziomu redakcyjnego - case in point:

http://hacking.pl/pl/news-6504-Zuzanna_K_Filutowska_
aka_Platyna_wlamala_sie_na_strone_kibicow_Lechii_Gda
nsk.html

...niestety chyba wszystkie "wortale" z "hack" w nazwie prezentuja u nas
podobny poziom - promimentnie zaprezentowany aktualny pagerank,
super-krytyczne XSSy na stronie Orange i Allegro, i uszczypliwe artykuly o
znajomych ;-)

/mz

do góry

11-04-07, Michal Zalewski <l...@d...ids.pl> napisał(a):
> On Wed, 11 Apr 2007, Maciej Jan Broniarz wrote:
>
> > PS: ciekawe, ze prekursorem medialnego trabienia o domniemanych bledach
> > jest wlasnie hacking.pl ;)
>
> Hacking.pl wielokrotnie dawal do zrozumienia, ze bardziej im zalezy na
> dogryzaniu kolegom, niz na utrzymaniu jakiegokolwiek chocby
> polprofesjonalnego poziomu redakcyjnego - case in point:
>
> http://hacking.pl/pl/news-6504-Zuzanna_K_Filutowska_
aka_Platyna_wlamala_sie_na_strone_kibicow_Lechii_Gda
nsk.html
>
> ...niestety chyba wszystkie "wortale" z "hack" w nazwie prezentuja u nas
> podobny poziom - promimentnie zaprezentowany aktualny pagerank,
> super-krytyczne XSSy na stronie Orange i Allegro, i uszczypliwe artykuly o
> znajomych ;-)
>

Hacking.pl bazuje na wystepie Goriona w TVN. Ciekawe, natomiast, ze
wszystkie te watpliwej wartosci newsy o bledach, sa publikowane w
onet/tvn24 jako bardzo wazne newsy :)

gausus

--
[ -----< Maciej Jan Broniarz || g...@g...net >------ ]
| Siamo qui \ sotto la stessa luce \ sotto la sua croce \ |
| cantando ad una voce \ E l'Emmanuel Emmanuel, Emmanuel, |
[ ---------------< E l'Emmanuel, Emmanuel >-------------- ]

do góry

Witam,

W poście <evfr7r$1gdn$1@news2.ipartners.pl>
wer <b...@n...pl> m.in. napisał(a)::

> Niestety nie da się za te pieniądze bawić się, w siedzenie i
> tuningowanie serwerów. Trzeba robić nowe projekty, łatać awarie. Minął
> czas hobbystów i grzebaczy, teraz liczy się przerób.

Może to przejściowe? Pamiętasz jak ludzie zachłysnęli się marketami? Teraz
to mija i coraz więcej ludzi kupuje w sklepiku na osiedlu bo cena nie wiele
wyższa, jakość lepsza i zawsze świeże.

--
Tomasz Motyliński
Linux jest dla leniwych, raz zainstalowany działa wiecznie
... i do tego jaki ładny :) http://satfilm.net.pl/~motto77/mydesktop.jpg
http://debian.linux.pl/ - Polskie Forum Użytkowników Debiana

do góry

On Wed, 11 Apr 2007 11:41:16 +0200, Maciej Jan Broniarz wrote:

> Hacking.pl bazuje na wystepie Goriona w TVN. Ciekawe, natomiast, ze
> wszystkie te watpliwej wartosci newsy o bledach, sa publikowane w
> onet/tvn24 jako bardzo wazne newsy :)

onet/tvn24 publikują to co chcą odbiorcy reklam zobaczyć, a widocznie
temat z gatunku Hacking.pl do tego typu treści należy

jogurtownia się kłania :>


--
futszaK
0601061867
Odkad Fenicjanie wymyslili pieniadze,okazywanie
wdziecznosci stalo sie stosunkowo proste

do góry

On Sun, 08 Apr 2007 00:23:51 +0200, Mateusz Papiernik wrote:

> To sa jeszcze tacy, ktorzy nie slyszeli o Michale? :) Jak bylem
> dzieckiem, to mi historie o lcamtufie opowiadali ;)

to strasznie młody musisz być :>


--
futszaK
0601061867
Odkad Fenicjanie wymyslili pieniadze,okazywanie
wdziecznosci stalo sie stosunkowo proste

do góry

futszaK napisał(a):
> to strasznie młody musisz być :>

No cóż ;>


--
Mateusz Papiernik, Maticomp Webdesign
m...@m...net, http://www.maticomp.net
"One man can make a difference" - Wilton Knight

do góry