On 16.02.2013 23:27, Mr. Misio wrote:
> Użytkownik Michoo napisał:
>
>>> - szantażował właściciela (albo zapłacicie, albo ...)
>>
>> Nie wiesz tego.
>
> Smiem podejrzewac ze tak. Dlaczego? Tylko poszlaki. Wykrycie luk w
> systemie i zgloszenie ich oraz oferta naprawy OK. Ale tutaj wyszlo "nie
> chcial pomocy, to upublicznilem to i owo".
>
> Podmiana strony głównej to juz jest (karalna) modyfikacja systemu
> teleinformatycznego.

Tak, ale czy stanowi przestępstwo to jeszcze kilka innych okoliczności
się liczy.

>
> Znalazłęm ciekawy dokument z którego cytuję:

Znam ;) Od czasów nowelizacji to wprowadzającej skończyłem zabawę w
wyszukiwanie luk i powiadamianie administracji. A mam na koncie m.i. 2
banki ;) ale teraz to robiąc popełniał bym czyn zabroniony i mimo, że
chyba bym się gdyby co wybronił (ochrona większej wartości) to i tak bym
nie zaryzykował zgłoszenia - nawet wygrany proces do przyjemnych by nie
należał. Czujesz się bezpieczniej dzięki temu?

>
>> Kiedyś było "w normie" wysłanie zapytania w stylu "hejka, macie lukę.
>> Może jesteście zainteresowanie pomocą w załataniu?". Nikt nie mówi tu o
>> szantażu - ja wiem, że masz lukę, zapłacisz to pomogę załatać, nie
>> zapłacisz to szukaj sobie sam
> ------------^^^^^^^^^^^^^^^^^^^^
>
> a nie "podmienie ci strone, upublicznie baze danych klientów, i
> zaoferuje przywrocenie backupy strony za drobna oplata"

Zgadza się. Wg mnie to conajmniej szczeniactwo.

Inna sprawa, ze publikacja fragmentu (anonimizowanego) bazy/wysłanie
masowego mailingu klientom/etc to czasami jedyny sposób na zmuszenie
leniwego admina do działania i ma na celu _ochronę_ klientów. Nie wiem
jak ty, ale ja tam wolę, żeby w razie fack-upu mój nr karty kredytowej
był możliwie krótko dostępny w sieci.

>
>
>>> - upublicznił dane osobowe (kolejna ustawa)
>>
>> Zgadza się, chociaż tutaj też ustawa dla hostingowca nie jest zbyt
>> łaskawa - co najmniej niewłaściwe zabezpieczenie a w przypadku sql
>> injecta publikacja w sieci...
>
> To juz bedzie musial sad rozstrzygmnąć, czy zabezpieczenia byly
> niewlasciwe.

Tylko do sprawy przeciw adminiowi raczej nie dojdzie - to przecież
"ofiara włamania".

> Baza nie byla dostepna publicznie a zostala udostępniona po
> uzyskaniu przez hakera nieautoryzowanego dostępu.

My wcale danych kredytobiorców nie udostępniliśmy, były wprawdzie w
magazynie pod miastem z napisem DANE KREDYTOWE, ale drzwi były zamknięte
na SKOBEL. Tylko najwyższej klasy włamywacze mogli sobie z czymś takim
poradzić.


>
>
>>> Ciekaw jestem opinii, bo haker sie tutaj wybiela ("głupi adminie, masz
>>> luki w serwerze") a oczerniany jest (amatorski? w sensie technicznym)
>>> hosting.
>>
>> Z tego co rozumiem hacker współpracował z adminem a ten jak pomyślał, ze
>> już naprawione to postanowił go zrobić w jajo.
>
> Nawet jeśli to haker pozywa admina, za niedotrzymanie warunków umowy
> (cywilnie). A nie robi co zrobił.

Tak. I ktoś inteligentny by tak zrobił. Tu trafiło na głupka.

>
>> Zachował się jak dzieciak z tą publikacją bazy (no i raczej popełnił
>> przestępstwo) - ja bym napisał do klientów jaka była sytuacja:
>
> uzywajac danych z bazy?

Oczywiście. A jak inaczej to zrobić?

W dniu xxx administrator serwisu XXX został poinformowany o krytycznej
luce pozywającej na przeglądanie dowolnych danych klientów. Ponieważ do
dnia yyy nie została ona naprawiona czuję się w obowiązku poinformować,
że do czasu naprawy państwa dane są dostępne dla wszystkich w sieci.
Zalecam zmianę wszelkich haseł dostępowych i rozejrzenie się za bardziej
bezpiecznym hostingiem.

tutaj trochę niekrytycznych danych z bazy weryfikujących


Jest też wersja wredniejsza - "administrator XXX zaoferował mi zakup
państwa danych - gdy zorientowałem się że są one bez państwa zgody
zrezygnowałem, ale czuję się w obowiązku poinformować o braku
uczciwości..." )


> :) Brawo - pierwsze co bym zrobil to zglosil
> adminowi, ze ma sprawe do prawnikow zglaszac, bo albo ma nieuczciwa
> konkurencje (karalne ) albo ktos mu sie wlamal (karalne).

I nie miałbyś nic przeciwko temu, że on miał w dupie to, ze twoje dane
są publicznie dostępne? Od dawna wiadomo, że najlepiej zastrzelić
posłańca ale bez przesady
- albo twoje dane powinny być chronione - czepiaj się tego co je
wystawił w świat
- albo nie powinny - co się czepiasz, że ktoś wziął co było dostępne


Pamiętaj, ze jakiś "haxior" który się "włamie" i dostanie dane i będzie
o tym trąbić to mały problem - problem jest jak ktoś te dane uzyska po
cichu i zrobi z nich użytek - phishing, wyłudzenie, oszustwo, etc.


>
>>> Bo dla mnie, to sytuacja jak z włamywaczem-szantarzystą, który znalazł
>>> sposób na otwarcie zamka w mieszkaniu, poszperał, znalazł nagie fotki
>>> włąściciela i napisał mu liścik - albo zaplacisz mi za zmianę zamka i
>>> nieupublicznianie Twoich nagich fotek, i że nie bede do ciebie wiecej
>>> sie zakradał albo...
>>
>> Wg opisu do którego linkowałeś:
>> A: stary,twój system alarmowy reaguje na hasło serwisowe, akurat się na
>> tym znam - może ci pomóc...za opłatą?
>> B: ok, to pomóż mi to na prawić...
>> A zaczyna naprawiać, B stwierdza, że teraz już sobie sam poradzi
>> B: a teraz spier*
>> A: a moja kasa?
>> B: spier*
>>
>> A publikuje fotki _domowników_ B.
>
> i to jest blad, bo jak pisalem - moze zgodnie z prawem pozwac, a tak -
> bedzie pozwanym.

Ja to wiem i ty to wiesz. Większość "hackerów" to niestety tylko script
kiddies bez elementarnych podstaw bezpieczeństwa. Własnego również - co
dobrze obrazuje sprawa anonymous w stanach.

>
>> Nadal moralnie naganne(imo nawet bardziej) i nielegalne ale sytuacja
>> ździebko inna.
>
> Uwazasz, ze ogień ogniem? :) Oko za oko? :)

Czasami tak - "dla dobra ogółu".

--
Pozdrawiam
Michoo