> Co za pieprzenie... ludzie znaleźli dziurę w home.pl, a firmowe
> marketoidy odwróciły wszystko do góry nogami... przecież się nie
> przyznają publicznie, że dali ciała.

Jeśli faktycznie tak jest, a wszystko na to wygląda, że to jest nagonka
na "szantażystów", to po znalezieniu kolejnej dziury w home.pl, powinni
to tak rozdmuchać, żeby nauczyć trochę pokory baranów z home.

--
MZ

Freude am Fahren

www.chlewik.pl

do góry

Użytkownik "Maksymilian Muller" <p...@m...com>
napisał w wiadomości news:ev6ahv$qhp$1@nemesis.news.tpi.pl...
> simon napisał(a):
>
>> Co za pieprzenie... ludzie znaleźli dziurę w home.pl, a firmowe marketoidy
>> odwróciły wszystko do góry nogami...
>
> Dziura dziura ale nie taka kase. Jakis ten kraj powalony jest, kazdy cche
> zarobic na kims a nikt poprostu pomoc :-/
>

Niektorzy maja rodzine i dzieci do wykamrienia wiec co sie dziwisz?
Pozatym home.pl to bogata firma istac ja na zaplacenie komus za
konsultacje w sprawie sec.

do góry

Dnia 06.04.2007 simon <s...@s...rip> napisał/a:
> Maksymilian Muller napisał(a):
>> Dziura dziura ale nie taka kase. Jakis ten kraj powalony jest, kazdy
>> cche zarobic na kims a nikt poprostu pomoc :-/
>
> Home by bez problemu mogło pocisnąć dowolny kit tak jak teraz, oni mają
> gdzieś klientów, jadą na starej opinii, byle jak najkrócej...

Home ostatnio zwraca maile, które klasyfikują jako spam! W dobie robaków
wstawiających przypadkowe From: niewinnych ludzi... Brak słów po prostu.
--
Samotnik

do góry

Mario wrote:

> Jeśli faktycznie tak jest, a wszystko na to wygląda, że to jest nagonka
> na "szantażystów"

w temacie slowa na "s" niestety autorzy maila w kwestii sformulowania
swojej propozycji sie nie wykazali szczegolna finezja czy tez
wyczuciem, wiec nie dziwi mnie ze taka "oferta" prosto z mostu mogla
zostac odczytana tak a nie inaczej. a pod wymienionymi wczesniej url'ami
mozna znalezc ze akurat tresc propozycji byla jak najbardziej
autentyczna.



--

dworzec PHP.

do góry

elmer radi radisson napisał(a):
> w temacie slowa na "s" niestety autorzy maila w kwestii sformulowania
> swojej propozycji sie nie wykazali szczegolna finezja czy tez
> wyczuciem, wiec nie dziwi mnie ze taka "oferta" prosto z mostu mogla
> zostac odczytana tak a nie inaczej. a pod wymienionymi wczesniej url'ami
> mozna znalezc ze akurat tresc propozycji byla jak najbardziej
> autentyczna.

Daj spokój... wyszło tak, bo home od razu poczuło możliwość zrobienia z
własnej gafy materiału marketingowego... myyy wieelka bezbroonna firma
padliśmy ofiarą napadu, ale na szczęście nasi super hiper technicy już o
tym wiedzieli. Gówno prawda.

--
simon

do góry

On Sat, 07 Apr 2007 09:01:34 +0000, Samotnik wrote:

> Home ostatnio zwraca maile, które klasyfikują jako spam! W dobie robaków
> wstawiających przypadkowe From: niewinnych ludzi... Brak słów po prostu.

z takim komunikatem:

Technical details of permanent failure:
PERM_FAILURE: SMTP Error (state 9): 550 you or your mail server sends spam
and is in our spamers database... ty lub twoj serwer pocztowy rozsyla spam
i znajduje sie w naszej bazie spamerow


co przypomina mniej więcej komunikat jednego z operatorów komórkowych:
"numer jest nieprawidłowy lub abonent jest niedostępny"




--
futszaK
0601061867
Nie przeszkadza mi ze ktos mnie myli z kobieta,
chyba ze ta ostatnia jest Renata Beger :>

do góry

07-04-07, futszaK <f...@g...com> napisał(a):
> On Sat, 07 Apr 2007 09:01:34 +0000, Samotnik wrote:
>
> > Home ostatnio zwraca maile, które klasyfikują jako spam! W dobie robaków
> > wstawiających przypadkowe From: niewinnych ludzi... Brak słów po prostu.
>
> z takim komunikatem:
>
> Technical details of permanent failure:
> PERM_FAILURE: SMTP Error (state 9): 550 you or your mail server sends spam
> and is in our spamers database... ty lub twoj serwer pocztowy rozsyla spam
> i znajduje sie w naszej bazie spamerow
>
>
> co przypomina mniej więcej komunikat jednego z operatorów komórkowych:
> "numer jest nieprawidłowy lub abonent jest niedostępny"
>

Taki zabieg stosuje nie tylko HOME, KEI tez blokuje maile wysylanie
np, z idsla tpsa i podaje urla pod ktorym znajduje sie baza
zablokowanych IP.

Dowcip w tym, ze baza o naszym IP nie wie nic :)

--
[ -----< Maciej Jan Broniarz || g...@g...net >------ ]
| Siamo qui \ sotto la stessa luce \ sotto la sua croce \ |
| cantando ad una voce \ E l'Emmanuel Emmanuel, Emmanuel, |
[ ---------------< E l'Emmanuel, Emmanuel >-------------- ]

do góry

simon wrote:

> Daj spokój... wyszło tak, bo home od razu poczuło możliwość zrobienia z
> własnej gafy materiału marketingowego... myyy wieelka bezbroonna firma
> padliśmy ofiarą napadu, ale na szczęście nasi super hiper technicy już o
> tym wiedzieli. Gówno prawda.

to co zrobilo home - to jest inna sprawa. natomiast przejscie do rzeczy
w wyslanej korespondencji za pomoca gadki o "koszcie informacji"
kojarzy sie po prostu zle, niezaleznie od prawdziwych intencji autora
maila. kropka.



--

nine inch thumbnails.

do góry

07-04-07, elmer radi radisson
<r...@s...spam.wireland.or
g> napisał(a):
> simon wrote:
>
> > Daj spokój... wyszło tak, bo home od razu poczuło możliwość zrobienia z
> > własnej gafy materiału marketingowego... myyy wieelka bezbroonna firma
> > padliśmy ofiarą napadu, ale na szczęście nasi super hiper technicy już o
> > tym wiedzieli. Gówno prawda.
>
> to co zrobilo home - to jest inna sprawa. natomiast przejscie do rzeczy
> w wyslanej korespondencji za pomoca gadki o "koszcie informacji"
> kojarzy sie po prostu zle, niezaleznie od prawdziwych intencji autora
> maila. kropka.
>
>
Ciekawe tez, czy hacking.pl informujac o tym
mial czysto altruistyczne intencje ;)
Mam niejasne wrazenie ze w druga strone tez by taki manwer przeszedl

ale moze demonizuje ;)

gausus
--
[ -----< Maciej Jan Broniarz || g...@g...net >------ ]
| Siamo qui \ sotto la stessa luce \ sotto la sua croce \ |
| cantando ad una voce \ E l'Emmanuel Emmanuel, Emmanuel, |
[ ---------------< E l'Emmanuel, Emmanuel >-------------- ]

do góry

Przejrzałem sobie treść opublikowanej korespondencji między serwisem
hack.pl a home.pl, przeczytałem wszystkie artykuły w prasie - i przyznam,
że nie jestem zachwycony obrazem, który się z tego wyłania.

Zacznę od tego, że jestem zwolennikiem badania bezpieczeństwa technologii,
na których niezawodności polegamy, a także publicznej debaty na ten temat.
Wydaje mi się, że długofalowe korzyści takiego procesu niemal zawsze
znacznie przewyższają ewentualne zagrożenia i niedogodności.

W tym przypadku, sytuacja jest o tyle śliska, że mamy do czynienia z próbą
przełamania zabezpieczeń serwisu WWW bez wiedzy i zgody jego operatora.
Działanie takie samo w sobie może być karalne (KK, art 267, paragraf 1 +
ew. nieautoryzowany dostęp do danych chronionych ustawowo) i niekoniecznie
jest pożądane, ale oczywiście gdy ewidentna jest dobra wola osoby
bezinteresownie zgłaszającej problem, a jej działania nie wpłynęły
negatywnie na procesy biznesowe - wyjątkowo nierozsądne byłoby, gdyby
firma domagała się wszczęcia postępowania, oraz mało prawdopodobne jest
to, by cokolwiek ugrała w prokuraturze lub w sądzie. Ba, przyzwoitość
nakazuje, by taka firma podziękowała danej osobie i być może wynagrodziła
jej wkład w poprawę bezpieczeństwa serwisu.

Tym niemniej, pamiętajmy, że to *tylko* nasze życzenia, a nie obowiązek
atakowanego! Osoba, która próbuje doszukać się dziur na cudzym systemie
porusza się od samego początku po dość ryzykownym terenie i musi liczyć
się z tym, że jest na łasce innych. Grając czysto, może mieć nadzieje na
pozytywny PR i korzyści dla obu stron - ale gdy jej intencje albo metody
budzą wątpliwości, prosi się o zasłużone kłopoty.

Ba, posunąłbym się dalej - w pewnych sytuacjach po prostu nie wypada
wspierać takiej działalności! Gdy mamy podstawy podejrzewać, że atakujący
nas działa na pograniczu prawa albo poza nim, albo gdy czujemy, że próbuje
nas szantażować, to choćby i ekonomicznie opłacałoby się nam zapłacić za
święty spokój, przyzwoitość dyktuje, by takich układów nie wspierać, a
zamiast tego zdemaskować cwaniaka.

I to tyle mojego światopoglądu ;-)

W opisywanym w prasie przypadku home.pl, sytuacja wydaje się być dość
jasna - atakujący skonstruowali swojego maila dość pokrętnie i
dyplomatycznie, ale jego oczywistym przesłaniem jest alternatywa: 200k
PLN, albo publikujemy informacje:

"Chcemy postąpić maksymalnie przyjaźnie wobec home.pl, z naszego punktu
widzenia, dobrze byłoby gdyby na łamach HACK.pl pojawił się news
dotyczący luki w home.pl, ale też rozumiemy Państwa sytuację.

Koszt informacji szacujemy wstępnie na 200,000 złotych, cena -
oczywiście - podlega negocjacji."

Niezbyt przejrzyscie napisane, ale zastanówmy się - jeśli firma odmówi
zapłacenia 200k PLN, news pojawi się na hack.pl, więc także autorzy
serwisu dowiedzą się o podatności. Jeśli zapłaci - no właśnie, to co?
Jeśli news tak czy tak miałby się pojawić, to płacenie czegokolwiek nie ma
większego sensu (takoż fragment "ale też rozumiemy...").

Dla mnie jest to czytelna groźba - jeśli nam zapłacicie, nie ujawnimy
czegoś, co narobi wam wstydu, narazi was na ataki, i może napytać kłopotów
prawnych - kontrola z GIODO, ABW, kto wie od kogo jeszcze. To nie jest
godziwe wynagrodzenie za przekazaną wiedzę - w końcu chodziło o prozaiczną
podatność dotyczącą ścieżek do statystyk, którą home.pl samodzielnie
znalazło w pół godziny po otrzymaniu maila; a poza tym, kwota
*wielokrotnie* przewyższała rynkowe ceny kompletnych audytów aplikacji o
tych rozmiarach, nawet w wykonaniu firm audytorskich z wielkiej czwórki.
To jest kasa za milczenie.

Nie mogę tego widzieć w żaden inny sposób, jak tylko cyniczna i
przemyślana, zapewne nie pierwsza, próba wymuszenia absurdalnie wysokich
korzyści finansowych za utajenie faktów. Wierzę głęboko w piętnowanie
fuszerki, w full disclosure, a na miejscu home.pl czułbym się zawstydzony
i postarałbym się zorganizować porządny, zewnętrzny audyt zabezpieczeń -
ale to w żaden sposób nie usprawiedliwia praktyk "biznesowych" serwisu
hack.pl, które bardziej kojarzą mi się z cwaniaczkami w dresach
inkasującymi opłaty za "ochronę" od sklepikarzy, niż troską o dobro ogółu.

Bardzo cieszę się, że home.pl, jako jedna z niewielu firm, miało odwagę
ujawnić tego typu groźbę zamiast zapłacić, bo prawdopodobnie wpłynie to na
poprawę klimatu w polskim światku IT, gdzie takie zjawiska są (niestety)
coraz częstsze.

/mz

do góry