eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoGrupypl.soc.prawoHacking...Re: Hacking...
  • Data: 2013-02-17 00:49:25
    Temat: Re: Hacking...
    Od: Michoo <m...@v...pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    On 16.02.2013 23:27, Mr. Misio wrote:
    > Użytkownik Michoo napisał:
    >
    >>> - szantażował właściciela (albo zapłacicie, albo ...)
    >>
    >> Nie wiesz tego.
    >
    > Smiem podejrzewac ze tak. Dlaczego? Tylko poszlaki. Wykrycie luk w
    > systemie i zgloszenie ich oraz oferta naprawy OK. Ale tutaj wyszlo "nie
    > chcial pomocy, to upublicznilem to i owo".
    >
    > Podmiana strony głównej to juz jest (karalna) modyfikacja systemu
    > teleinformatycznego.

    Tak, ale czy stanowi przestępstwo to jeszcze kilka innych okoliczności
    się liczy.

    >
    > Znalazłęm ciekawy dokument z którego cytuję:

    Znam ;) Od czasów nowelizacji to wprowadzającej skończyłem zabawę w
    wyszukiwanie luk i powiadamianie administracji. A mam na koncie m.i. 2
    banki ;) ale teraz to robiąc popełniał bym czyn zabroniony i mimo, że
    chyba bym się gdyby co wybronił (ochrona większej wartości) to i tak bym
    nie zaryzykował zgłoszenia - nawet wygrany proces do przyjemnych by nie
    należał. Czujesz się bezpieczniej dzięki temu?

    >
    >> Kiedyś było "w normie" wysłanie zapytania w stylu "hejka, macie lukę.
    >> Może jesteście zainteresowanie pomocą w załataniu?". Nikt nie mówi tu o
    >> szantażu - ja wiem, że masz lukę, zapłacisz to pomogę załatać, nie
    >> zapłacisz to szukaj sobie sam
    > ------------^^^^^^^^^^^^^^^^^^^^
    >
    > a nie "podmienie ci strone, upublicznie baze danych klientów, i
    > zaoferuje przywrocenie backupy strony za drobna oplata"

    Zgadza się. Wg mnie to conajmniej szczeniactwo.

    Inna sprawa, ze publikacja fragmentu (anonimizowanego) bazy/wysłanie
    masowego mailingu klientom/etc to czasami jedyny sposób na zmuszenie
    leniwego admina do działania i ma na celu _ochronę_ klientów. Nie wiem
    jak ty, ale ja tam wolę, żeby w razie fack-upu mój nr karty kredytowej
    był możliwie krótko dostępny w sieci.

    >
    >
    >>> - upublicznił dane osobowe (kolejna ustawa)
    >>
    >> Zgadza się, chociaż tutaj też ustawa dla hostingowca nie jest zbyt
    >> łaskawa - co najmniej niewłaściwe zabezpieczenie a w przypadku sql
    >> injecta publikacja w sieci...
    >
    > To juz bedzie musial sad rozstrzygmnąć, czy zabezpieczenia byly
    > niewlasciwe.

    Tylko do sprawy przeciw adminiowi raczej nie dojdzie - to przecież
    "ofiara włamania".

    > Baza nie byla dostepna publicznie a zostala udostępniona po
    > uzyskaniu przez hakera nieautoryzowanego dostępu.

    My wcale danych kredytobiorców nie udostępniliśmy, były wprawdzie w
    magazynie pod miastem z napisem DANE KREDYTOWE, ale drzwi były zamknięte
    na SKOBEL. Tylko najwyższej klasy włamywacze mogli sobie z czymś takim
    poradzić.


    >
    >
    >>> Ciekaw jestem opinii, bo haker sie tutaj wybiela ("głupi adminie, masz
    >>> luki w serwerze") a oczerniany jest (amatorski? w sensie technicznym)
    >>> hosting.
    >>
    >> Z tego co rozumiem hacker współpracował z adminem a ten jak pomyślał, ze
    >> już naprawione to postanowił go zrobić w jajo.
    >
    > Nawet jeśli to haker pozywa admina, za niedotrzymanie warunków umowy
    > (cywilnie). A nie robi co zrobił.

    Tak. I ktoś inteligentny by tak zrobił. Tu trafiło na głupka.

    >
    >> Zachował się jak dzieciak z tą publikacją bazy (no i raczej popełnił
    >> przestępstwo) - ja bym napisał do klientów jaka była sytuacja:
    >
    > uzywajac danych z bazy?

    Oczywiście. A jak inaczej to zrobić?

    W dniu xxx administrator serwisu XXX został poinformowany o krytycznej
    luce pozywającej na przeglądanie dowolnych danych klientów. Ponieważ do
    dnia yyy nie została ona naprawiona czuję się w obowiązku poinformować,
    że do czasu naprawy państwa dane są dostępne dla wszystkich w sieci.
    Zalecam zmianę wszelkich haseł dostępowych i rozejrzenie się za bardziej
    bezpiecznym hostingiem.

    tutaj trochę niekrytycznych danych z bazy weryfikujących


    Jest też wersja wredniejsza - "administrator XXX zaoferował mi zakup
    państwa danych - gdy zorientowałem się że są one bez państwa zgody
    zrezygnowałem, ale czuję się w obowiązku poinformować o braku
    uczciwości..." )


    > :) Brawo - pierwsze co bym zrobil to zglosil
    > adminowi, ze ma sprawe do prawnikow zglaszac, bo albo ma nieuczciwa
    > konkurencje (karalne ) albo ktos mu sie wlamal (karalne).

    I nie miałbyś nic przeciwko temu, że on miał w dupie to, ze twoje dane
    są publicznie dostępne? Od dawna wiadomo, że najlepiej zastrzelić
    posłańca ale bez przesady
    - albo twoje dane powinny być chronione - czepiaj się tego co je
    wystawił w świat
    - albo nie powinny - co się czepiasz, że ktoś wziął co było dostępne


    Pamiętaj, ze jakiś "haxior" który się "włamie" i dostanie dane i będzie
    o tym trąbić to mały problem - problem jest jak ktoś te dane uzyska po
    cichu i zrobi z nich użytek - phishing, wyłudzenie, oszustwo, etc.


    >
    >>> Bo dla mnie, to sytuacja jak z włamywaczem-szantarzystą, który znalazł
    >>> sposób na otwarcie zamka w mieszkaniu, poszperał, znalazł nagie fotki
    >>> włąściciela i napisał mu liścik - albo zaplacisz mi za zmianę zamka i
    >>> nieupublicznianie Twoich nagich fotek, i że nie bede do ciebie wiecej
    >>> sie zakradał albo...
    >>
    >> Wg opisu do którego linkowałeś:
    >> A: stary,twój system alarmowy reaguje na hasło serwisowe, akurat się na
    >> tym znam - może ci pomóc...za opłatą?
    >> B: ok, to pomóż mi to na prawić...
    >> A zaczyna naprawiać, B stwierdza, że teraz już sobie sam poradzi
    >> B: a teraz spier*
    >> A: a moja kasa?
    >> B: spier*
    >>
    >> A publikuje fotki _domowników_ B.
    >
    > i to jest blad, bo jak pisalem - moze zgodnie z prawem pozwac, a tak -
    > bedzie pozwanym.

    Ja to wiem i ty to wiesz. Większość "hackerów" to niestety tylko script
    kiddies bez elementarnych podstaw bezpieczeństwa. Własnego również - co
    dobrze obrazuje sprawa anonymous w stanach.

    >
    >> Nadal moralnie naganne(imo nawet bardziej) i nielegalne ale sytuacja
    >> ździebko inna.
    >
    > Uwazasz, ze ogień ogniem? :) Oko za oko? :)

    Czasami tak - "dla dobra ogółu".

    --
    Pozdrawiam
    Michoo

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1