Użytkownik Mr. Misio napisał:
> Użytkownik Michoo napisał:
>>> Podmiana strony głównej to juz jest (karalna) modyfikacja systemu
>>> teleinformatycznego.
>>
>> Tak, ale czy stanowi przestępstwo to jeszcze kilka innych okoliczności
>> się liczy.
>
> Oczywiscie. Ale zalozmy, ze nie jest to przestepstwo. A haker z adminem
> wspopracowali na jakims etapie. Taka "akcja" hakera nadaje sie wtedy
> chocby na pozew cywilny o odszkodowanie. Wygranym jest admin (bo haker
> jest pozwany, a w cywilnych nie ma domniemania niewinnosci tylko trzeba
> udowodnic, ze sie nie jest osłem).
>
>>> Znalazłęm ciekawy dokument z którego cytuję:
>>
>> Znam ;) Od czasów nowelizacji to wprowadzającej skończyłem zabawę w
>> wyszukiwanie luk i powiadamianie administracji. A mam na koncie m.i. 2
>> banki ;) ale teraz to robiąc popełniał bym czyn zabroniony i mimo, że
>> chyba bym się gdyby co wybronił (ochrona większej wartości) to i tak bym
>> nie zaryzykował zgłoszenia - nawet wygrany proces do przyjemnych by nie
>> należał. Czujesz się bezpieczniej dzięki temu?
>
> Nie. :) Bo ty piszesz z sensem w takim sensie, ze raczej nawet jakby
> prawo było po staremu, to nie wywalilbys do netu bazy klientow firmy
> admina. Niestety wielu hakerow uwaza, ze jest to FUN.
>
>>>> Kiedyś było "w normie" wysłanie zapytania w stylu "hejka, macie lukę.
>>>> Może jesteście zainteresowanie pomocą w załataniu?". Nikt nie mówi tu o
>>>> szantażu - ja wiem, że masz lukę, zapłacisz to pomogę załatać, nie
>>>> zapłacisz to szukaj sobie sam
>>> ------------^^^^^^^^^^^^^^^^^^^^
>>>
>>> a nie "podmienie ci strone, upublicznie baze danych klientów, i
>>> zaoferuje przywrocenie backupy strony za drobna oplata"
>>
>> Zgadza się. Wg mnie to conajmniej szczeniactwo.
>
> Szczeniactwo to jest podlozyc pinezke na stolek. NAzywajmy dzialanie
> tego typu zgodnie z przesłankami - świadome łamanie prawa i działanie na
> szkodę innego człowieka/firmy.
>
>> Inna sprawa, ze publikacja fragmentu (anonimizowanego) bazy/wysłanie
>> masowego mailingu klientom/etc to czasami jedyny sposób na zmuszenie
>> leniwego admina do działania i ma na celu _ochronę_ klientów.
>
> A nie wystarczyłoby zgłoszenie do GIODO? Firma taka i taka nie zapewnia
> bezpieczenstwa?
>
> Bez robienia wiochy i narazania sie na konsekwencje prawne? Bo nikt cię
> nie pozwie za donos do giodo. Za pozyskanie nieautoryzowane danych i ich
> wykorzystanie ze szkoda dla firmy - juz mozna zostac pozwanym.
>
>> Nie wiem
>> jak ty, ale ja tam wolę, żeby w razie fack-upu mój nr karty kredytowej
>> był możliwie krótko dostępny w sieci.
>
> Ja założyłem, że co wprowadzam do netu moze zostac upublicznione. Patrz
> co sie wydarzyło Sony i innym gigantom, a ile rzeczy (w bankach) zostało
> wyciszone i nikt nie wie.
>
> Lepiej założyć - Twoja karta jest upubliczniona wiec patrz co sie na
> niej dzieje i miej mądre limity ;)
>
> Natomiast gdyby mo jakis koles AAAA, ktorego nie znam, napisal, ze moja
> karta taka a taka... to mialbym go na celowniku - bo on jej miec nie
> powinien. A skoro wie, ze costam gdzies wyciekło, to znaczy ze ma moja
> karte.
>
>>> To juz bedzie musial sad rozstrzygmnąć, czy zabezpieczenia byly
>>> niewlasciwe.
>>
>> Tylko do sprawy przeciw adminiowi raczej nie dojdzie - to przecież
>> "ofiara włamania".
>
> W zwiazku z włamaniem nie. Ale np. GIODO moze sie przycepic, ze baza nie
> zgloszona... ;)
>
>>> Baza nie byla dostepna publicznie a zostala udostępniona po
>>> uzyskaniu przez hakera nieautoryzowanego dostępu.
>>
>> My wcale danych kredytobiorców nie udostępniliśmy, były wprawdzie w
>> magazynie pod miastem z napisem DANE KREDYTOWE, ale drzwi były zamknięte
>> na SKOBEL. Tylko najwyższej klasy włamywacze mogli sobie z czymś takim
>> poradzić.
>
> Były wystarczająco zabezpieczone, aby osoba postronna ich nie mogła
> obejrzeć bez podjęcia odpowiednich działań :)
>
>>> Nawet jeśli to haker pozywa admina, za niedotrzymanie warunków umowy
>>> (cywilnie). A nie robi co zrobił.
>>
>> Tak. I ktoś inteligentny by tak zrobił. Tu trafiło na głupka.
>
> Albo dwóch :)
>
>
>>>> Zachował się jak dzieciak z tą publikacją bazy (no i raczej popełnił
>>>> przestępstwo) - ja bym napisał do klientów jaka była sytuacja:
>>>
>>> uzywajac danych z bazy?
>>
>> Oczywiście. A jak inaczej to zrobić?
>
> NIE ROBIĆ! :) Nie przetwarzać danych do których nie ma się uprawnien
> bo... choćby przykład z GIODO - jako admin zgłaszam, że zbior danych
> osobowych przetwarza osoba, która nie zglosila tego. Nic nie wspominam,
> ze to moja baza. Dowody na to, ze haker przetwarzał są w mailach 800
> klientów. Giodo bierze hakera, i haker placi kare :) W trakcie okazuje
> sie, ze to tak na prawde nie jego tylko on ja wzial jakiejs firmie.
> GIODO pyta admina, admin potwierdza, tak to nasza baza, ale osoba hakera
> nieuprawniona, wiec byl wlam, zgloszenie do prokuratury. :)
>
>> W dniu xxx administrator serwisu XXX został poinformowany o krytycznej
>> luce pozywającej na przeglądanie dowolnych danych klientów. Ponieważ do
>> dnia yyy nie została ona naprawiona czuję się w obowiązku poinformować,
>> że do czasu naprawy państwa dane są dostępne dla wszystkich w sieci.
>> Zalecam zmianę wszelkich haseł dostępowych i rozejrzenie się za bardziej
>> bezpiecznym hostingiem.
>>
>> tutaj trochę niekrytycznych danych z bazy weryfikujących
>>
>>
>> Jest też wersja wredniejsza - "administrator XXX zaoferował mi zakup
>> państwa danych - gdy zorientowałem się że są one bez państwa zgody
>> zrezygnowałem, ale czuję się w obowiązku poinformować o braku
>> uczciwości..." )
>
> ;)
>
> Ja jestem za tym, zeby tak nie robić. Dla swojego dobra. Jakos swoje
> dobro cenie bardziej, niz dobro setki klientów marnego admina.
>
>
>>> :) Brawo - pierwsze co bym zrobil to zglosil
>>> adminowi, ze ma sprawe do prawnikow zglaszac, bo albo ma nieuczciwa
>>> konkurencje (karalne ) albo ktos mu sie wlamal (karalne).
>>
>> I nie miałbyś nic przeciwko temu, że on miał w dupie to, ze twoje dane
>> są publicznie dostępne?
>
> Mialbym, to haker je upublicznia :)
>
>> Pamiętaj, ze jakiś "haxior" który się "włamie" i dostanie dane i będzie
>> o tym trąbić to mały problem - problem jest jak ktoś te dane uzyska po
>> cichu i zrobi z nich użytek - phishing, wyłudzenie, oszustwo, etc.
>
> Kto wie, czy haker nie zaczyl trabic o tym jak juz wykorzystal dane? W
> koncu mial do tego dostep jakis czas.
>
> Pomijajac, ze jego historyjka moze byc po prostu zmyslona. W sensie
> "jaki od dobry haker, znalazl dziure i chcial pomoc za grosze".
>
> Moze wcale nie chcial pomoc? Moze zostal nakryty i postanowił, poki mogl
> odwrocic kota ogonem?
>
> A może został wynajęty by medialnie narobić smrodu? :)
>
> Albo został wylany z firmy ale zdazyl zostawic backdoora i tak sie
> odgrywa na pracodawcy.
>
> JEdno dla mnie jest pewne - nie wierze w dobre intencje kogos, kto robi
> takie rzeczy w taki sposob.
>
>>> i to jest blad, bo jak pisalem - moze zgodnie z prawem pozwac, a tak -
>>> bedzie pozwanym.
>>
>> Ja to wiem i ty to wiesz. Większość "hackerów" to niestety tylko script
>> kiddies bez elementarnych podstaw bezpieczeństwa. Własnego również - co
>> dobrze obrazuje sprawa anonymous w stanach.
>
> Znaczy nie wiem co ze sprawa anonymous w stanach, daj linka :)
>
>>> Uwazasz, ze ogień ogniem? :) Oko za oko? :)
>>
>> Czasami tak - "dla dobra ogółu".
>>
>
> Jednak lepije nie robic "dla ogółu". To coś jak "odpowiedzialnosc
> zbiorowa".
>
> Niedawno pokazywali w TV, ze w 10 mieszkaniowej kamienicy odcieto media
> wszystkim, bo 2 najemcow zalegało z oplatami.
>
> Gfybym był na miejscu kogos z tych 8 pozostałych to zebrałbym tych
> pozostałych do kupy, do prawnika, i albo "zerwanie umowy najmu" albo
> pozew zbiorowy za naruszenie warunków/umowy najmu. Rachunki opłącone - a
> mediow brak.
>
>
>
Znając polskie realia...
1). zbankrutowałbyś na prawników,
2). wygrałbyś, za 2-3-5 lat,
2a). lub przegrał, w sądzie "racja" jest dużo mniej warta od
umiejętności prawnika...
3). dostał "bonifikatę" za niedostarczone media...

Ale przez ten czas byłbyś na 99% BEZ nich...

W.P.