Jan Strybyszewski wrote:

>> Przepis wyraźnie wskazuje, że przestępstwem jest ingerencja fizyczna lub
>> programowa albo założenie podsłuchu (cokolwiek by tu autor przepisu nie
>> miał na mysli).
> Macku ale oni pojda "siedziec" za szantaz albo zadanie lapowki.

Jaki szantaż? 'Dawaj 200k zł bo jak nie to skorzystam z wolności
wypowiedzi?'[1] Home być może mógłby ścigać, gdyby doznał strat na skutek
publikacji i/lub zamieszczone informacje były fałszywe.

> Jak beda chcieli ukarac to bat sie znajdzie

Nielegalne(?) wykorzystanie logo home.pl na stronce. ;>

[1] Przychylam się do stanowiska, że to była nieudolna próba negocjacji
stawki przez dzieciaki. Taki arabski(?) zwyczaj: żądaj 100 razy więcej, niż
towar jest wart, opuścisz cenę dziesięciokrotnie, a kupujący będzie
zadowolony, choć dziesięciokrotnie przepłaci.

do góry

Jan Strybyszewski wrote:

>> Czyli co, jak autor 'włamania' poda linka do strony (na chińskim
>> serwerze), na której będą kombinacje linków od 000 do 999 i powie, że
>> stamtąd kliknął, to włamania nie było, a jak sam wygeneruje, to włamanie
>> było?
> Zapomniales o pewneym drobiazgu. WYkorzystano dane uzyskane z tej strony
> do przelamania CMSu portalu MEN.

Nie do 'przełamania CMSu' (wtf?), tylko - jeśli dobrze zrozumiałem, co
piszą - pod tym linkiem był m.in. link (fragmenty?) dający pełen dostęp[1]
do CMS tegoż portalu.

> To jakbys znalazl klucze z adresem i
> wszedl do domu "cudzego" a potem powiedzial ze oddasz mu klucze za
> 200tys zlotych a jak nie zaplaci to wzor klucza i adres umiescisz
> na slupie ogloszeniowym w centrum miasta.

Chybiona analogia - ten 'dom' był otwarty (bez żadnych drzwi).

> Zamiast mieszkania raczej nalezalo by powiedziec znalazl klucze do
> wszystkich pokoi w Mariotach na calym swiecie.

Dobrze napisane portale były bezpieczne. Przecież home.pl nie narażało
świadomie wszystkich klientów na szwank, prawda?

[1] Niektórzy twierdzą, że dostęp był tylko pozorny.

do góry

Michal Zalewski wrote:

>> A jak podam linka typu http://hack.pl/000/ to przy odrobinie pecha
>> 'przełamuję zabezpieczenia portalu hack.pl' (czy tam inny współudział)?
>> No ja Cię proszę...
> A jak podasz linka typu:
> https://hack.pl/_admin/login.php?user=admin&pass=adm
in
> ...a jak admin123? a jak AdmiN321? A jak sprawdzisz 100 innych kombinacji?
> A jak uzyjesz POST i onLoad=form.submit()?

Tylko, że tego nie robili... Żadnego przekazywania parametrów.

> Rzecz w tym, ze zaden z tych przypadkow nie jest jasny, i ciezko nakreslic
> jakakolwiek czysto techniczna granice, gdzie konczy sie "niewinny link" i
> zaczyna "proba wlamania".

Nie no, to oczywiste. Taki fach.

> To, co w tej sytuacji gra role i czym zapewne kierowalby sie sad, to
> kwestia zamiaru - rozroznienia miedzy przypadkiem albo zwykla ludzka
> ciekawoscia, a usilna i zdeterminowana proba przelamania zabezpieczen.

Proszę, nie mówmy o zabezpieczeniach w tym przypadku. To jest poziom rot13.

> I w tym wlasnie sensie hack.pl skladajac swoja propozycje nie do
> odrzucenia strzelil sobie w stope.

Jaką 'nie do odrzucenia'? IMO wyszło śmiesznie/żałośnie. Czy Microsoft
gania po sądach 'pryszczersów' jak któryś napisze Microshit?

do góry

Krzysztof Halasa wrote:

> To jak to wygladalo? Pieniadze tez wyrywali "na sile"?
> Przeciez to dla nich zaden biznes jesli wiedza ze ktos
> nie zaplaci.

Dokładnie. Zawsze mówię, że nie chcę i idą dalej. Czasem umyją. Za free
(cóż, ich ryzyko). Zdarzyło mi się jednak dać kolesiowi gumę za umycie (z
góry zapowiedziałem, że kasy nie mam, nikogo innego na światłach nie było,
więc pewnie dlatego umył, a szyba była brudna i umył naprawdę
dokładnie...).

do góry

On 13 Kwi, 19:04, Paweł 'Róża' Różański
<r...@r...onet.pl> wrote:
> Pvrxnjr xgb cemrynzvr gb fmpmrtbyar mnormcvrpmravr.
Vqvbgn.
Rbg.

pozr.Vladimir

do góry

On Fri, 13 Apr 2007, Paweł 'Róża' Różański wrote:

>> https://hack.pl/_admin/login.php?user=admin&pass=adm
in
> Tylko, że tego nie robili... Żadnego przekazywania parametrów.

No czyli co, kryterium sa w koncu parametry, czy zlozonosc - czyli jesli
byloby login.php?pass=123 to jest to przelamanie zabezpieczenia, a jesli
zrobili fubar/123, to nie jest?

A co jesli ktos korzysta z PATH_INFO?;)

Btw, ja sie nie staram wykazac, ze cokolwiek przelamali. Ja po prostu nie
wiem, jak rozumiec wole ustawodawcy, ale mam niejasne przeczucie, ze
nalezy podchodzic do tego jak do jeza.

> Jaką 'nie do odrzucenia'? IMO wyszło śmiesznie/żałośnie. Czy Microsoft
> gania po sądach 'pryszczersów' jak któryś napisze Microshit?

Ja tam widze pewna roznice miedzy obrazaniem kogos, a pisaniem mu, ze jak
nie zaplaci dwoch bazylionow dolarow, to <costam>. Nie wiem, jak
zareagowalby na to Microsoft, podejrzewam jednak, ze gdyby wygladalo to
chocby pol wiarygodnie i pochodzilo z USA, doniesliby do FBI.

Jak wyszlo tak wyszlo...

/mz

do góry

Użytkownik <v...@g...com> napisał w wiadomości
news:1176364941.556048.109830@y5g2000hsa.googlegroup
s.com...
On 12 Kwi, 00:53, "Kajetan" <n...@n...pl> wrote:
> Użytkownik "wer" <b...@n...pl> napisał w
> wiadomościnews:evj9b3$gfs$2@news.supermedia.pl...
>
> >> Dobrze napisał - islam jest religia pokojową z założenia. Ale to już
> >> zupełnie OT.
>
> > Pokojowość tej religii polega na tym, że dopóki są szanse, że się
> > nawrócisz dobrowolnie to Ci nie utną głowy. Akurat troche się
> > interesowałem tym tematem. Przeczytałem nawet Koran.
>
> Ta... chyba w oryginale.

FYI
Koran 2:256
Koran 60:8
...
Wlasnie o tym pisze.

k

do góry

Michal Zalewski wrote:

> Ja tam widze pewna roznice miedzy obrazaniem kogos, a pisaniem mu, ze jak
> nie zaplaci dwoch bazylionow dolarow, to <costam>.

Jak już ktoś wspomniał wcześniej, to <costam> oznacza ujawnienie
informacji. Trudno będzie (chyba) podciągnąc to pod groźbę karalną z
art. 191 kk (jak to sugeruje komentarz na home.pl).

Grożba karalna to groźba popełnienia przestępstwa (wg wikipedii), więc
ten artykuł nie bardzo, na moje laickie oko, tutaj pasuje. Jak ktoś chce
stosować powyższą poradę prawną w praktyce to na własne ryzyko ;).

--
Robert Swiecki - http://www.swiecki.net
NEVER EVER mess with a PCB jumper you don't understand, even if it's
labelled "SEX AND FREE BEER" (C)1992 Dave Haynie - Amiga developer

do góry

Michal Zalewski wrote:

>>> https://hack.pl/_admin/login.php?user=admin&pass=adm
in
>> Tylko, że tego nie robili... Żadnego przekazywania parametrów.
> No czyli co, kryterium sa w koncu parametry, czy zlozonosc - czyli jesli
> byloby login.php?pass=123 to jest to przelamanie zabezpieczenia, a jesli
> zrobili fubar/123, to nie jest?

I parametry, i złożoność, zapewne. A tak poważenie, uważasz, że dane były
_zabezpieczone_?
I druga sprawa. Ktoś korzysta z jakiejśtam usługi. Rzuca mu się w oko
możliwa dziura (ale nie ma pewności, że faktycznie działa). To co on ma
bidulek zrobić (testować samemu czy zawracać głowę adminowi)? A jeśli
znalezienie możliwości nadużycia czegośtam wymaga specyficznej wiedzy, czy
nie ma prawa żądać wynagrodzenia za wiedzę? Jak ma złożyć ofertę audytu,
nie sprzedając jednocześnie danych o dziurze? Dla mnie to jest główny
problem.

> A co jesli ktos korzysta z PATH_INFO?;)

A tego się przypadkiem nie da wyłączyć w konfigu php/serwera?

> Btw, ja sie nie staram wykazac, ze cokolwiek przelamali. Ja po prostu nie
> wiem, jak rozumiec wole ustawodawcy, ale mam niejasne przeczucie, ze
> nalezy podchodzic do tego jak do jeza.

A to na pewno. Ale używanie słowa 'włamanie' i wzywanie ABW na pomoc to w
tym kontekście IMO odpowiednio nadużycie i overkill.

>> Jaką 'nie do odrzucenia'? IMO wyszło śmiesznie/żałośnie. Czy Microsoft
>> gania po sądach 'pryszczersów' jak któryś napisze Microshit?
> Ja tam widze pewna roznice miedzy obrazaniem kogos, a pisaniem mu, ze jak
> nie zaplaci dwoch bazylionow dolarow, to <costam>.

Chodzi o stosunek akcji do reakcji, przede wszystkim. Zresztą, wyobraź
sobie, że napisałeś książkę. Piszesz do redakcji, że jak nie zapłacą 200k
zł, to opublikujesz ją w necie (tak, wiem nie do końca to samo co pisać o
kimś). To też szantaż?

> Nie wiem, jak
> zareagowalby na to Microsoft, podejrzewam jednak, ze gdyby wygladalo to
> chocby pol wiarygodnie i pochodzilo z USA, doniesliby do FBI.

USA nie jest dobrym przykładem, tam posągi molestują studentów. ;)

do góry

Hello Paweł,

Friday, April 13, 2007, 7:04:53 PM, you wrote:

[...]

>> Przełamali "zabezpieczenie" 3 cyfrowego kodu i uzyskali informację
>> nieprzeznaczoną: dostęp do CMSa MENu.
> Pvrxnjr xgb cemrynzvr gb fmpmrtbyar mnormcvrpmravr.

Jesteś okrutny, tego się nie da obejść...

> ZFCNAP

Ja również ;-D

--
Best regards,
RoMan mailto:r...@p...pl

do góry