On 7 Kwi, 13:56, elmer radi radisson <r...@spam-spam-spam-eggs-bacon-
and.spam.wireland.org> wrote:

> to co zrobilo home - to jest inna sprawa. natomiast przejscie do rzeczy
> w wyslanej korespondencji za pomoca gadki o "koszcie informacji"
> kojarzy sie po prostu zle, niezaleznie od prawdziwych intencji autora
> maila. kropka.

Ja zacytuje to co napisałem na securitystandard.pl. Jeśli ktoś gra
ostro to może mieć szansę na duży zarobek, ale musi się też liczyć z
równie ostrą odpowiedzią.

http://blog.securitystandard.pl/news/108745.html

Wczoraj wieczorem właściciel polskiej firmy hostingowej Home.pl
otrzymał nietypową propozycję - autorzy serwisu hack.pl napisali, że
wykryli w oprogramowaniu Home.pl poważną dziurę. Za szczegóły zażądali
200 tys. zł.

List był utrzymany w tonie delikatnej perswazji - z jednej strony
autorzy zastrzegali, że "piszą w celu informacyjnym" i że ich
"zamiarem nie jest wykorzystanie tego błędu w sposób niezgodny z
prawem". Z
drugiej strony sugerowali, że chcą opublikować na swojej stronie
informacje dziurze, co z pewnością wpłynęłoby na wizerunek Home.pl.

Autorom trzeba oddać sprawiedliwość, że informacje o dziurze chcieli
opublikować bez podawania szczegółów technicznych. W sumie mogli to
zrobić od razu, bez pytania o zgodę Home.pl - w końcu serwisy
"chakerskie" robią to cały czas. Całkowicie niedopuszczalne z ich
strony było jednak uzależnienie ujawnienia informacji o szczegółach
dziury od zapłacenia autorom 200 tys. zł. Jest to działanie, które
łatwo można
podciągnąć pod próbę wyłudzenia, co samo w sobie jest przestępstwem.

Co powinien więc zrobić ktoś, kto znajdzie dziurę w cudzym serwisie
internetowym? Jeśli nie chce ryzykować, to najlepiej nic. Brzmi to
brutalnie, ale taka jest prawda - uzyskanie dostępu do informacji z
przełamaniem zabezpieczeń jest w Polsce karalne (art. 267 KK), a taki
detal jak ustalenie czy doszło czy nie doszło do "przełamania
zabezpieczeń" wymaga oceny biegłego. Rozprawa może potrwać i dwa lata,
w czasie której podejrzanego czeka wiele nieprzyjemności (nawet
włącznie z aresztem), a na pewno zatrzymaniem "narzędzia przestępstwa"
czyli sprzętu komputerowego. Niech zatem za bezpieczeństwo swoich
serwerów odpowiadają ich właściciele.

Jeśli decydujemy się na zgłoszenie dziury to musi mieć ono taką
postać, by nie było najmniejszych wątpliwości co do intencji autora.
Jeśli jego intencją jest pomoc to należy umieścić w zgłoszeniu
wszystkie
informacje, które rzeczywiście mogą być pomocne administratorowi w
załataniu luki. Każda dwuznaczna sugestia, że "chcemy pomóc, ale
chcemy też zarobić" natychmiast kojarzy się z rosyjskim rekietierem z
lat
90-tych, który opowiadając o "drużbie narodow" mimochodem rozważał
łatwopalność budynku restauracji, do której przyszedł z ofertą.

Pokusa zmuszenia właściciela serwisu do skorzystania z naszych usług
może być bardzo silna - osoba, która znalazła dziurę dysponuje pewną
informacją, która może być wartościowa dla drugiej strony. Ale usługi
na
rynku bezpieczeństwa IT opierają się na zaufaniu. Nikt nie zaufa
szantażyście. Jeśli natomiast zgłoszenie dziury będzie utrzymane w
formie nie pozostawiającej wątpliwości co do przyjaznych intencji
zgłaszającego, to nic nie stoi na przeszkodzie żeby zaoferować swoje
usługi w którymś z kolejnych maili, już po wyjaśnieniu kwestii
związanych ze zgłaszanym problemem i najlepiej po załataniu dziury.

do góry

Hello kravietz,

Wednesday, April 11, 2007, 2:47:13 PM, you wrote:

[...]

> Co powinien więc zrobić ktoś, kto znajdzie dziurę w cudzym serwisie
> internetowym? Jeśli nie chce ryzykować, to najlepiej nic. Brzmi to
> brutalnie, ale taka jest prawda - uzyskanie dostępu do informacji z
> przełamaniem zabezpieczeń jest w Polsce karalne (art. 267 KK),

Ale tu mowa jest o wykryciu braku zabezpieczeń a nie o ich
przełamaniu.

> a taki detal jak ustalenie czy doszło czy nie doszło do "przełamania
> zabezpieczeń" wymaga oceny biegłego.

Załóżmy przez chwilę, że żyjemy w państwie prawa i dopóki się nie
udowodni przestępstwa domniemamy jednak niewinność...

[...]

--
Best regards,
RoMan mailto:r...@p...pl

do góry

v...@g...com writes:

> Masz dość specyficzne pojęcie "aktywnej sprzedaży". To tak jak
> "islamscy" terroryści "aktywnie" nawracają.

Chciales chyba napisac: islamscy "terrorysci"?

Znakomita wiekszosc ludzi na swiecie jest dobra, to tylko niektore
jednostki sa zle. Nie wierz politykom.

> To się nazywa audytem i robi się na umowie-zleceniu. AFAIK.

Audyt to jest zupelnie inna sprawa.

To tak jak z ogloszeniami - sa takie "kupie samochod", ale mozna
tez spotkac "sprzedam".

> No, opublikowanie krzykliwego i przesadzonego newsa na łamach hack.pl,
> opowiadającego o MEGAHIPERKRYTYCZNYBUGPRZEJE... szargającego dobre
> imię home.pl nie jest robieniem krzywdy. Wcale a wcale.

A jest? To sąd, znieslawienie itd. W czym problem?
A jesli to miala byc prawda, to wybacz, ale pisanie prawdy to nic
zlego. Nawet jesli sie to komus "duzemu" nie podoba.

> Wolałbym chyba po mordzie dostać.

Hmm...
--
Krzysztof Halasa

do góry

On 11 Kwi, 14:53, RoMan Mandziejewicz <r...@p...pl> wrote:
> Ale tu mowa jest o wykryciu braku zabezpieczeń a nie o ich
> przełamaniu.
Było przełamanie "zabezpieczeń" CMSu MEN.

> Załóżmy przez chwilę, że żyjemy w państwie prawa i dopóki się nie
> udowodni przestępstwa domniemamy jednak niewinność...
W takim założeniu chciałem zwrócić uwagę na coś innego.
Co za nierób odpowiada za bezpieczeństwo MEN? Kto dopuścił do
wpuszczenia TAKIEGO CMSa? Kto za to odpowiada i jakie poniesie
konsekwencje?

Panowie, MEN to instytucja która utrzymuje się z naszych podatków i
mamy pełne prawo do wglądu w jej funkcjonowanie. Niechże w tym
państwie ktoś w końcu poniesie konsekwencje!

pozdrawiam,
Vladimir Mitiouchev

do góry

Bartosz 'bart' Nowakowski <b...@h...net> wrote:

> http://www.meetbsd.org/papers/meetbsd2006.jurczyk.pd
f

Czyli tak jak mowilem.
Nie ma sie czym chwalic, te 5 osob wymienione w PDF-ie, to raczej ze wzgledu
na dyzury 24/7.
Znam przynajmniej kilka miejsc gdzie podobny przelicznik to ok. 200-300 systemow
na glowe, przy duzej roznorodnosci srodowiska (serwery aplikacyjne,
bazodanowane, infrastruktury, produkcyjne, developerskie, testowe itd.)


--
Przemysław Maciuszko

do góry

On 11 Kwi, 14:56, Krzysztof Halasa <k...@p...waw.pl> wrote:
> Chciales chyba napisac: islamscy "terrorysci"?
Nie.

> A jesli to miala byc prawda, to wybacz, ale pisanie prawdy to nic
> zlego. Nawet jesli sie to komus "duzemu" nie podoba.
To nie jest prawda. W mojej opinii znaleziona "dziura" nie jest
dziurą. To problem posiadaczy kont że nie założyli sobie hasła na
katalog z logami choć jest to operacja która zajmuje 1 minutę.

pozdrawiam,
V.

do góry

On 11 Kwi, 14:53, RoMan Mandziejewicz <r...@p...pl> wrote:

> > a taki detal jak ustalenie czy doszło czy nie doszło do "przełamania
> > zabezpieczeń" wymaga oceny biegłego.
>
> Załóżmy przez chwilę, że żyjemy w państwie prawa i dopóki się nie
> udowodni przestępstwa domniemamy jednak niewinność...

Jak napisałem powyżej, w Polsce proces "pozostawania w domniemaniu
niewinności" również może mieć charakter represji. Jak sam napisałeś -
"załóżmy", więc zdajesz sobie sprawę że rzeczywistość jest inna.

Mamy teraz dwie alternatywy - można przyjąć to za pewien aspekt
otaczającej nas rzeczywistości i tak postępować, żeby się nie
podkładać. Można się też podkładać, ale nawet przekonanie że masz
rację nie osłodzi utraty sprzętu na czas nieokreślony.

Z Fido powinieneś pamiętać casus (chyba) JXM-a, któremu pod zarzutem
piractwa zatrzymali całe wyposażenie firmy bo ktoś doniósł do nich że
piracą i trzy lata czekało ono "na biegłego". Jako że był to shareware-
house, więc zabranie wszystkich nośników i komputerów równało się
upadkowi firmy.

Hack.pl się ewidentnie podłożył i co do tego nie mam żadnych
wątpliwości. Być może zrobili to z naiwności, ale jak już pisałem -
kto chce grać ostro (200k) ten musi być na to przygotowany.

Zresztą tak bywa nie tylko w Polsce - pozwolę sobie przypomnieć sprawy
DVD Jona (chyba USA), Elcomsoftu (USA), Pirate Bay (SE), serwerów Tor
(DE). Tylko że w tych krajach sądownictwo nie tkwi jedną nogą w PRL i
dlatego procedury są sprawniejsze.

do góry

Hello vovcia,

Wednesday, April 11, 2007, 3:00:13 PM, you wrote:

>> Ale tu mowa jest o wykryciu braku zabezpieczeń a nie o ich
>> przełamaniu.
> Było przełamanie "zabezpieczeń" CMSu MEN.

Był dostęp do niezabezpieczonych danych.

>> Załóżmy przez chwilę, że żyjemy w państwie prawa i dopóki się nie
>> udowodni przestępstwa domniemamy jednak niewinność...
> W takim założeniu chciałem zwrócić uwagę na coś innego.
> Co za nierób odpowiada za bezpieczeństwo MEN? Kto dopuścił do
> wpuszczenia TAKIEGO CMSa? Kto za to odpowiada i jakie poniesie
> konsekwencje?

Nikt nie odpowiada a konsekwencje poniesie jakiś mało znaczący,
niebędący w aktualnym układzie, szeregowy pracownik.

> Panowie, MEN to instytucja która utrzymuje się z naszych podatków i
> mamy pełne prawo do wglądu w jej funkcjonowanie. Niechże w tym
> państwie ktoś w końcu poniesie konsekwencje!

Założenie "państwa prawa" było tylko chwilowe - tak naprawdę żyjemy w
państwie Prawa i Sprawiedliwości - Lech skończył prawo a Jarosław
(wy)kończy właśnie sprawiedliwość...

--
Best regards,
RoMan mailto:r...@p...pl

do góry

Hello Krzysztof,

Wednesday, April 11, 2007, 2:56:35 PM, you wrote:

>> Masz dość specyficzne pojęcie "aktywnej sprzedaży". To tak jak
>> "islamscy" terroryści "aktywnie" nawracają.
> Chciales chyba napisac: islamscy "terrorysci"?

Dobrze napisał - islam jest religia pokojową z założenia. Ale to już
zupełnie OT.

[...]

--
Best regards,
RoMan mailto:r...@p...pl

do góry

"kravietz" <p...@n...hush.com> writes:

> Całkowicie niedopuszczalne z ich
> strony było jednak uzależnienie ujawnienia informacji o szczegółach
> dziury od zapłacenia autorom 200 tys. zł. Jest to działanie, które
> łatwo można
> podciągnąć pod próbę wyłudzenia, co samo w sobie jest przestępstwem.

To chyba mamy rozne definicje wyludzenia. Oferta sprzedazy informacji,
uzyskanej bez naruszenia prawa i dobrych obyczajow, gdy zadna ze
stron nie ma watpliwosci co do wartosci i rodzaju tej informacji,
a kontrowersyjna jest co najwyzej zaproponowana cena, to wyludzenie?

Ja bym raczej napisal, ze wyludzenie to skorzystanie z nieswiadomosci
drugiej strony co do przedmiotu transakcji ale moze to tylko taka
moja definicja.

> Co powinien więc zrobić ktoś, kto znajdzie dziurę w cudzym serwisie
> internetowym? Jeśli nie chce ryzykować, to najlepiej nic. Brzmi to
> brutalnie, ale taka jest prawda - uzyskanie dostępu do informacji z
> przełamaniem zabezpieczeń jest w Polsce karalne (art. 267 KK),

Z tym ze to zupelnie inna sprawa i wymaga:
a) przelamania zabezpieczen
b) uzyskania informacji innych niz np. publiczne.

A tu nie wiem czy ktorys z tych punktow byl spelniony (ale moze byl
jeden).

> Rozprawa może potrwać i dwa lata,
> w czasie której podejrzanego czeka wiele nieprzyjemności (nawet
> włącznie z aresztem), a na pewno zatrzymaniem "narzędzia przestępstwa"
> czyli sprzętu komputerowego.

Strach ma wielkie oczy, potegowane przez niewiedze.

> Niech zatem za bezpieczeństwo swoich
> serwerów odpowiadają ich właściciele.

To nie tak. Raczej "jak ktos cos takiego robi, to niech robi to
tak, by nikt go nie namierzyl".
Myslisz, ze jesli nikt nie zglosi takiemu np. home.pl jakiejs dziury,
to po prostu tej dziury nie ma i nikt jej nie wykorzysta?

Zdecydowanie wolalbym dostac maila z informacja o dziurze i oferta
na 200 kzl (zawsze mozna negocjowac, sa tez inne mozliwosci) niz gdyby
ktos po prostu sie wlamal i zrobil duzo gorsze rzeczy.

> Jeśli decydujemy się na zgłoszenie dziury to musi mieć ono taką
> postać, by nie było najmniejszych wątpliwości co do intencji autora.

A jesli ten chce zarobic?

To tak jak z wojskiem - sa poborowi, ale sa tez najemnicy.

Zreszta home.pl moglo im odmowic i samemu poszukac, jesli im sie
to oplacalo bardziej.

> Nikt nie zaufa
> szantażyście.

Masz tez chyba inna definicje szantazu.

Poza tym podstawowa zasada w bezpieczenstwie nie tylko IT jest
inna - "nie ufaj nikomu".

> Jeśli natomiast zgłoszenie dziury będzie utrzymane w
> formie nie pozostawiającej wątpliwości co do przyjaznych intencji
> zgłaszającego, to nic nie stoi na przeszkodzie żeby zaoferować swoje
> usługi w którymś z kolejnych maili, już po wyjaśnieniu kwestii
> związanych ze zgłaszanym problemem i najlepiej po załataniu dziury.

Tyle ze ktos moze chciec sprzedac informacje o dziurze a nie
rozpoczac prace w charakterze etatowca.


Piszesz tak jakby ten, kto znalazl dziure, byl przynajmniej o krok
od przestepstwa, a firma miala mu robic wielka łaskę, ze za
informacje o dziurze (+ oferte) nie wpakowali go do wiezienia.
Rozumialbym ze tak czuja to ludzie z gimnazjum - oni maja prawo
nie miec pojecia o zasadach w "interesie" i myslec, ze zarabianie
na chleb moze opierac sie na "robieniu przyslug" i "liczeniu na
wdziecznosc".

A tu sytuacja jest inna - home.pl dalo d* (nie zeby byli tu
wyjatkiem, to raczej norma niz wyjatek), i to ich sprawa/problem
i oni musza cos z tym zrobic.
--
Krzysztof Halasa

do góry