Hakerski szantaż za 200 tysięcy złotych

IP: *.chello.pl 07.04.07, 13:07
Największy hostingodawca nie umie zabezpieczyc serwerów.
KOmpletna kompromitacja
zamiast trąbić o incydencie powinni zapłacic 200t za audyt bezpieczeństwa
fachowcom z hack pl
Chłopaki z hack pl w dobrej wierze zrobili dobra robotę, tak samo niedawno
wskazali luke w allegro.pl i allegro nie robiło afery tylko zapłaciło im za
pracę.
Za audyty bezpieczenstwa się płaci a nie straszy abw.

hańba dla home.pl
    • Gość: pszemek Hakerski szantaż czy odnalezienie luki systemu? IP: *.dip.t-dialin.net 07.04.07, 13:08
      Dużym nadużyciem jest określenie "szantaż".
      Gorąco polecam artykuł na hack.pl, który dokładnie wyjaśnia cały problem.
      I na koniec takie pytanie (retoryczne) - jeśli wiem, że używana technologia
      jest niebezpieczna i wiem jak ją zabezpieczyć to czy powienienem to robić
      w "czynie społecznym"? Wydaje mi się, że czas już wycenić swoje
      umiejętności :)
      • Gość: hehe Re: Hakerski szantaż czy odnalezienie luki system IP: *.aster.pl 07.04.07, 14:29
        > Gorąco polecam artykuł na hack.pl, który dokładnie wyjaśnia cały problem.

        Ciekawe, że zapomnieli się tylko zająknąć o 200 tysiącach za niewyjawianie
        informacji o luce. Ciężko widzę przyszłosć chłopaków z hack.pl, za takie rzeczy
        idzie się za kraty.
        • mario-radyja Powinni określić koszt man-days'a 07.04.07, 21:48
          Chłopaki z hack.pl nieprofesjonalnie zaoferowali swoje usługi. Powinni określić
          koszt dnia pracy konsultanta, ilość potrzebnych konsultantów a nawet ilość
          mandaysów. :)

          Np. 5 osób x 20 dni x 500 euro za cenny czas naszych konsultantów. Mucha nie
          siada :)
          • Gość: andrzej Zwykły szantaż IP: *.neoplus.adsl.tpnet.pl 08.04.07, 13:31
            Sytuacja jest identyczna z próbą wyłudzenia pieniędzy od kogoś, gdy posiada się
            kompromitującą informację. Jaka jest różnica, czy bierze się 200KPLN za nie
            rozpowszechnianie informacji, czy 200KPLN za wytłumaczenie mechanizmu
            popełnionego błędu.

            Hack.pl to zwykli szantażyści, których należy po prostu posłać za kraty.

            W ogóle nie rozważam tutaj działania home.pl , bo to zupełnie inna sprawa.
            • Gość: Dawid Szlome Re: Zwykły szantaż IP: *.spray.net.pl 08.04.07, 18:03
              A gdzie tu szantaż?? Jeśli znajdę wadę konstrukcyjną w zawieszeniu nowego np. FIATA, i zagaję: koledzy inżyniery - to grozi wypadkami. Poprawię waszą pracę, ale za wynagrodzeniem. A jak nie, to MUSZĘ pójść do gazet, bo mogą zginąć ludzie. To jest szantaż??? A w którym miejscu!!! Autorzy serwisu HOME nie wiedzieli, co zepsuli. Za wiedzę się płaci. Swoją NIEKOMPETENCJĄ narazili klientów na STRATY. A sytuacja NIE JEST identyczna z rozpowszechnianiem kompromatów. Była by, gdyby napisali - kasa albo zaatakujemy serwisy waszych klientów.
              • Gość: BartF Re: Zwykły szantaż IP: *.lublin.mm.pl 08.04.07, 19:50
                Oczywiście, że to szantaż. Przykładowa sytuacja którą przytoczyłeś jest nieadekwatna. To czysta demagogia.
                A co gdyby home.pl stwierdziło w odpowiedzi: "Dziękujemy, naprawimy sobie sami" (albo zapłacimy komuś innemu)?
                Hack.pl wprost sugeruje "my naprawimy, wy zapłacicie, albo..."
                a nie:
                "jest luka, trzeba naprawić, naprawcie, albo..." (to "albo" w domyśle)
                Kwestia sformułowania: to drugie jeszcze przejdzie, choć też można by to załatwić w inny, bardziej cywilizowany sposób, ale to pierwsze to czyste kurestwo i sprawa dla prokuratury.
                No, hack.pl ratuje trochę późniejsze tłumaczenie ("nie zamierzaliśmy wykorzystywać..." itp), więc sprawę można by sprowadzić to trudności z jasnym formułowanie myśli. Choć myślę, że treść informacji, w której - chociażby - padają kwoty, jak wymieniona w artykule, należałoby 10 razy przeczytać i 20 razy przemyśleć, zanim się ją pośle w druty....
    • Gość: autochton Prokurator Jacek Krawczyk w Katowicach umorzyl IP: *.neoplus.adsl.tpnet.pl 07.04.07, 13:50
      próbę wyłudzenia 1 miliona złotych nie dopatrując się znamion czynu zabronionego!
      Życzę więc powodzenia - 200.000 przy tym to betka.
      Dla prokuratury najlepsze to podrobienie legitymacji szkolnej albo bójka po
      pijanemu, proste, nie trzeba nadwyrężać intelektu.
      Cała reszta nie warta jest zachodu.
      Panie ministrze Ziobro, wywal Pan tę bandę łobuzów na zbity pysk!
    • Gość: Atomek Hakerski szantaż za 200 tysięcy złotych IP: *.ssp.dialog.net.pl 07.04.07, 13:56
      Gdzie tu szantaż?
      Jest dziura jest problem. Przepis na bombe jest znany każdemu, ale karalne nie
      jest posiadanie przepisu, próba jego sprzedaży....
      • Gość: sino Re: Hakerski szantaż za 200 tysięcy złotych IP: *.neoplus.adsl.tpnet.pl 07.04.07, 19:19
        1.Nie każdemu jest znany, bo ja nie znam!!!
        2.Znalazłem lukę w zabezpieczeniach twojego domu-znaczy się masz szyby nieodporne na rzut cegłą i w ten sposób wlezę ci do chaty-jak mi nie zapłacisz to ci wlezę:)
        3.Aha tylko nie wstaw szyb pancernych, bo ci pokażę że benzyna + zapałki = kolejna luka:)
    • Gość: realista Re: Hakerski szantaż za 200 tysięcy złotych IP: *.neoplus.adsl.tpnet.pl 07.04.07, 15:02
      Gość portalu: JJ napisał(a):

      > Największy hostingodawca nie umie zabezpieczyc serwerów.

      A niby skąd wiadomo, że "hakerzy" mówią prawdę?
      Strasznie wiarygodni ci ludzie, którzy oferują taką "pomoc". Zupełnie jak ci,
      którzy oferują "ochronę" lokalom rozrywkowym.
      • Gość: JJ Re: Hakerski szantaż za 200 tysięcy złotych IP: *.chello.pl 07.04.07, 15:14
        Audyt swoje kosztuje
        wiedze i czas ldzi z hack.pl
        z analizy tego co napisalo hack pl błąd był duzo poważniejszy a home go
        bagatelizuje.

        zapytam;
        gdybym do kogos z Państwa napisał list o tresci:
        dobry czlowieku, załosnie zabezpieczasz swoj majątek i praktycznie leży on na
        ulicy, popilnuje ci go i zabezpiecze za opłatę(równomierną do wykonanej pracy i
        włożonych umiejetnosi)
        to co wtedy,
        byłbym uznany za szantarzystę?
        czy za kogoś z dobrą wolą?

        bo przecież ten błąd mógł znależć ktos inny.... a nie dobrzy ludzie z hack pl
        wtedy naraziłby home na straty niewspólmiernie większe niż marne 200 tysięcy.

        A jedno widac - home ma w d... swoj wizerunek w branzy.
        • jaras Re: Hakerski szantaż za 200 tysięcy złotych 07.04.07, 15:29
          > zapytam;
          > gdybym do kogos z Państwa napisał list o tresci:
          > dobry czlowieku, załosnie zabezpieczasz swoj majątek i praktycznie leży on na
          > ulicy, popilnuje ci go i zabezpiecze za opłatę(równomierną do wykonanej pracy
          i
          >
          > włożonych umiejetnosi)
          > to co wtedy,
          > byłbym uznany za szantarzystę?
          > czy za kogoś z dobrą wolą?

          W Łodzi na nieciekawych ulicach w okolicy Piotrkowskiej stoją tacy panowie,
          którzy oferują pilnowanie zaparkowanych samochodów, bo jak sami mówią, "to
          niebezpieczna dzielnica, niewiadomo co może się stać". Faktycznie, patrząc na
          ich gęby łatwo zrozumieć czemu niebezpieczna. Ponoć ci co nie płacą znajdują
          swe auto hmm... nieco uszkodzone.

          Oferta ludzi z hack.pl bardzo przypomina mi opisane powyżej praktyki.
        • Gość: zetkaa Re: Hakerski szantaż za 200 tysięcy złotych IP: *.eranet.pl 08.04.07, 11:26
          > dobry czlowieku, załosnie zabezpieczasz swoj majątek i praktycznie leży on na
          > ulicy, popilnuje ci go i zabezpiecze za opłatę(równomierną do wykonanej pracy >
          > włożonych umiejetnosi)
          > to co wtedy,
          > byłbym uznany za szantarzystę?
          > czy za kogoś z dobrą wolą?

          Taaa, do restauratorów na warszawskiej starówce też przychodzili panowie z
          dużymi karkami i proponowali ochronę :))

          Na dworcach w większych miastach też podchodzą żule, którzy popilnują Ci auta za
          3 złote, spróbuj im nie dać :))

          > bo przecież ten błąd mógł znależć ktos inny.... a nie dobrzy ludzie z hack pl
          > wtedy naraziłby home na straty niewspólmiernie większe niż marne 200 tysięcy.

          Btw. to nie był błąd, w całej akcji NIE BYŁO ŻADNEGO PRZEŁAMYWANIA ZABEZPIECZEŃ!
      • Gość: Miś Smutne, że tylu Polaków akceptuje szantaż IP: *.ext.ti.com 07.04.07, 15:19
        Gość portalu: realista napisał(a):
        > A niby skąd wiadomo, że "hakerzy" mówią prawdę?
        > Strasznie wiarygodni ci ludzie, którzy oferują taką "pomoc". Zupełnie jak ci,
        > którzy oferują "ochronę" lokalom rozrywkowym.

        Masz rację! Smutne jest, że w ankiecie większość osób uważa, że szantażyści
        załugują na zapłatę, a nie więzienie. Dlatego Polska jest na 62 miejscu na
        liście porównującym korupcję w rówżnych krajach, niżej niż wiele krajów
        afrykańskich. Mnóstwo Polaków zapłacenie łapówki uważa za przejaw inteligencji,
        a nie przestępstwo. Gdy ja ukradnę to dobrze, gdy mi ukradną to źle.
        • indy.m hmmmmm 07.04.07, 21:10
          A jeśli ci hakerzy nie są Matką Terasą z kalkutą... wykryli dziurę ale nie mają
          zamiaru ot tak z dobrego serca o tym poinformować (w końcu o to walczyliśmy
          przed 1989, nie?).

          Lepiej żeby olali i zapomnieli o tym co odkryli czy może taką propozycję złożyć
          - "zapłacicie nam to wam powiemy jak się przed tym zabezpieczyc"?
        • Gość: szantażer Smutne, że uważasz szantaż sam w sobie za zło IP: *.chello.pl 08.04.07, 23:04
      • chakernickms Re: Hakerski szantaż za 200 tysięcy złotych 29.04.07, 23:16
        Łukaszczyk1974

        ms
    • Gość: Yeti "Odkryłem, że masz słaby zamek w drzwiach" IP: *.neoplus.adsl.tpnet.pl 07.04.07, 15:03
      potrafię go otworzyć. Zapłać mi 200 tysięcy, to powiem ci, jak wymienić na inny.
      • Gość: and Re: "Odkryłem, że masz słaby zamek w drzwiach" IP: *.neoplus.adsl.tpnet.pl 07.04.07, 23:45
        To powinno brzmieć: Zapłać mi 200 tysięcy, a nie powiem wszystkim w okolicy jak
        go otworzyć :|.

        Nieprofesjonalne zachowanie i dziwne żeby było interpretowane inaczej jak
        szantaż. Skoro znaleźli problem powinni przyjść, pokazać paluszkiem gdzie jest
        problem i powiedzieć, że zdaje się należy się jakieś "piwo". I już.
        • Gość: Usul Re: "Odkryłem, że masz słaby zamek w drzwiach" IP: *.brda.net 12.04.07, 10:28
          Dobre, dobre. A home.pl na to by rzekł "nie zamawialiśmy u was audytu, nie
          zamierzamy płacić, fajnie, że wskazaliście błąd, dzięki". Za wiedzę się płaci,
          tak było, jest i będzie - nie każdy chce się dzielić tym co potrafi za darmo i
          ma do tego pełne prawo. Inna sprawa, że hack.pl powinien bardzo mocno pomyśleć
          w jakiej formie złożyć swoją ofertę, bo ta, którą wysłali była po prostu
          dwuznaczna.

          A to wszystko i tak nie zmienia faktu, że dziura (a właściwie brak
          zabezpieczenia dostępu do logów - bo zabezpieczenie jakie tam zastosowano było
          banalne do obejścia) istniała już parę lat i była groźna w połączeniu z innymi
          błędami (co zaowocowało chociażby możliwością dowolnej edycji treści na
          stronach MEN). To rzuca spory cień na home.pl.
    • Gość: gosc Re: Hakerski szantaż za 200 tysięcy złotych IP: *.230.219.81.magma-net.pl 07.04.07, 15:05
      Duzo wieksze problemy byly zauwazone rok temu u 4 innych dostawcow hostingu z
      pierwszej dziesiatki www.top100.pl Wiecej na:
      www.chip.pl/arts/archiwum/n/articlear_166099.html
    • Gość: mcdriver "Masz słabo zabezpieczony samochód" IP: *.neoplus.adsl.tpnet.pl 07.04.07, 15:06
      Wiem, jak pokonać blokadę kierownicy i zapłonu. Daj mi 200 tysięcy, a powiem ci
      jak go zabezpieczyć.
    • Gość: realista Re: Hakerski szantaż za 200 tysięcy złotych IP: *.neoplus.adsl.tpnet.pl 07.04.07, 15:07
      > Za audyty bezpieczenstwa się płaci a nie straszy abw.

      Jak ktoś ci wymieni zamek w drzwiach do mieszkania, choć tego nie zamawiałeś -
      zapłacisz?

      • Gość: jj Re: Hakerski szantaż za 200 tysięcy złotych IP: *.chello.pl 07.04.07, 15:15
        ale oni nie poprawili dziury, zaoferowali pomoc..
        • Gość: hmm Re: Hakerski szantaż za 200 tysięcy złotych IP: *.aster.pl 07.04.07, 16:39
          Nie pomoc, tylko zasugerowali niewyjawianie informacji o niej. Sama "dziura"
          była banalnie prosta do naprawienia i została od razu załatana. Wiem bo
          mam konto na home.pl.
          • Gość: Usul Re: Hakerski szantaż za 200 tysięcy złotych IP: *.brda.net 12.04.07, 10:31
            Masz tam konto i nie rusza Cię to, że brak zabezpieczenia logów - coś o czym
            home.pl MUSIAŁ wiedzieć - jest tam już przynajmniej od 5 lat?

            Ja bym się mocno zirytował płacąc za hosting i dowiadując się, że logi mego
            serwera może każdy bez większych problemów sobie przejrzeć.
    • Gość: Grigoryj Nie wiem czym tu się podniecać... IP: 213.17.162.* 07.04.07, 15:20

      To nie żadna luka.. usmiałem się jak to przeczytalem...

      w skrócie chodzi o to, że każde konto na home.pl ma statystyki, które użytkownik
      konta sobie może obejrzeć...i nie jest to żadna tajemnica...

      każde konto ma statystyki w formacie...

      www.konto_na_home.pl/stats[xxx]

      gdzie xxx to liczba od 1-999

      wystarczy zatem przeklikać wszystkie kombinacje by wejść na statystyki danego konta

      i taka informacje jest gó.. warta, a nie 200.000 PLN ....zbłaźnili się ludzie z
      takimi propozycjami audytorskimi :P


      • Gość: jj Re: Nie wiem czym tu się podniecać... IP: *.chello.pl 07.04.07, 15:25
        sorry gregory, chyba nie czytałes...
        • Gość: jj Re: Nie wiem czym tu się podniecać... IP: *.chello.pl 07.04.07, 15:30
          Musi ktoś tu robi w marketingu home.pl
          • Gość: gosc Re: Nie wiem czym tu się podniecać... IP: 80.54.14.* 07.04.07, 15:37
            marketingu ale hack.pl
    • jaras Po prostu źle się do do tego zabrali 07.04.07, 15:36
      Zapewne zaproponowana kwota była tym co najbardziej wkurzyło dyrektorów z
      home.pl. Gdyby ktos złożył mi podobną propozycję też potraktowałbym ją jak
      szantaż.
      Prawdopodobnie inaczej zostaliby potraktowani gdyby najpierw zaproponowali
      pomoc, a o pieniądzach porozmawiali w cztery oczy.
      • Gość: tlen Re: Czy O2 i home.pl to ta sama firma? IP: *.adsl.inetia.pl 07.04.07, 17:37
        Mam swoją opinię na temat właściciela tlenu i jakoś pasuje mi ta reakcja władz
        home.pl do jego wizerunku.
    • stalactite Chłopaki zrobili elementarny błąd. 07.04.07, 18:23
      Powinni wykupić najtańszy hosting w home.pl i włamać się na WŁASNE konto. To,
      co zrobili nazywa się "nieuprawnionym dostępem" i nic tu nie pomogą tłumaczenia
      w stylu "chcieliśmy zrealizowac NIEZAMÓWIONY audyt". Gdyby włamali się bez
      logowania na swoje konto, mogliby tłumaczyć się "szukalismy bezpiecznego
      miejsca dla swojego serwisu WWW i postanowilismy sprawdzić, czy dokonaliśmy
      dobrego wyboru".
      Nawiasem mówiąc, hosting w home.pl to oferta dalece amatorska. Osobiście
      korzystam z profesjonalnej oferty (polska firma z serwerami w Polsce) i polecam
      ten hosting swoim klientom. Nie wymienię nazwy firmy (z wielu powodów) :)
      Życzę chłopakom powodzenia, ale marnie oceniam ich szanse w sądzie. Poszli na
      żywioł i trafili na raptusa. Raptus prawdopodobnie ma juz przechlapane, ale sam
      wybrał politykę...
      • Gość: pawli Re: Chłopaki zrobili elementarny błąd. IP: *.chello.pl 08.04.07, 01:33
        Dokładnie tak. Poza tym, ta tzw "luka" była znana zapewne każdemu świadomemu
        użytkownikowi home.pl. W każdym serwisie, który uruchomiłem u tego operatora
        zabezpieczałem katalog /statsXXX za pomocą prostego mechanizmu .htaccess i po
        problemie. Nazywanie tego luką jest dużym nadużyciem, to raczej otwarta
        domyślnie furtka, którą bardzo łatwo zamknąć :-) Moim zdaniem hack.pl
        zwyczajnie się ośmieszył.

        Ze swojej strony polecam hosting w USA w GTS lub na własną rękę :-)
      • Gość: kami Klienci sie powinni wypowiedzieć IP: 62.233.164.* 08.04.07, 10:45
        a firma przesłać oświadczenie dlaczego kiepsko chroni ich dane

        www.foto-tel.pl/
    • jah.rastafari.jest.mym.panem Ściema brukowej gazety z tym szantażem 07.04.07, 18:26
      jakby ktoś chciał szantażowac to wykradłby poufne dane i nie robiłby tego z
      otwartą przyłbicą i tak oficjalnie. Bez takich akcji jak hack.pl to w Polsce
      hakerzy mieliby łatwiej. Hack pl jednak ostrzega przed dziurami w systemach i
      ujawnia je oficjalnie. Ja np zrezygnowałem z jportalu po przeczytaniu na
      hack.pl o tym jak łatwo złamać tam hasła. A tak ludzie byliby nieswiadomi
      zagrożeń.
      A że ktoś chce pieniędzy to mnie toi nie dziwi. Trochę dużo, ale niech sobie
      znajdą innych speców jak będa tańsi tylko niech nie mają dziur w programie.
    • Gość: hakerski ale wybiórcza wybiera.... IP: *.neoplus.adsl.tpnet.pl 07.04.07, 18:42
      gorzej niż fakt, to jest dno...
      nie znacie sprawy, a takie bzdury piszecie ze glowa boli...
    • Gość: Waldek To nie problem logów IP: *.neoplus.adsl.tpnet.pl 07.04.07, 18:57
      To, że logi serwerów są łatwo dostępne to nie dziwota. Alt to, że jakaś łajza
      iformatyk napisał dla MENu taki CMS, który poprzez logi udostępnia aktywne
      identyfikatory sesji będź nawet loginy i hasła to dopiero przegięcie.
    • Gość: Staszek Re: Hakerski szantaż za 200 tysięcy złotych IP: 82.160.24.* 07.04.07, 19:09
      Zabawnie piszecie, ze ludzie z hack.pl dobrze zrobili, odnalezli bardzo powazna
      luke bezpieczenstwa pozwalajaca UWAGA! na obejrzenie statystyk ogladalnosci
      strony ;D oznacza to, ze oni zrobili z igly widly, tak samo, jak znajduja dziury
      xssowe, na stronach, gdzie one nie sa nic warte i pisza o tym, jakby sie wlamali
      do pentagonu. Portale hacking.pl, hack.pl i inne zwiazane z pierwszym haxiorem
      RP Pawlem `Gorionem` Jablonskim sa traktowane jak fakt, czy super ekspres w
      polskiej prasie. A tak przy okazji, na ich serwerach znaleziono duzo wieksze
      luki pozwalajace na wlamanie sie na ich serwery i kasowanie/podmienianie
      wszystkich zawartych na nich danych.

    • Gość: Ałtor Hakerski szantaż za 200 tysięcy złotych IP: *.dolsat.pl 07.04.07, 19:30
      Żal. Jak pisano poważna firma nie potrafi zadbać o bespieczeństwo i bezbłędność
      systemu to kto ma? Ogółem to całkiem umysłowy ktoś musiał pisać tego newsa, jako
      że domyślić sie można że jeżeli byli pokojowo nastawieni, na doatek eni
      wykorzystali tego w złej wierze [a mogli z powodzeniem] to jak można pisać że są
      hakerami?

      ps. a jakbym uzyskał dostęp do MEN to niewykluczone że ustawił bym się SZEFEM
      WSZYSTKICH SZEFÓW! Jak Krzysztof Jerzyna ze szczecina! :D
      • Gość: Pawel Re: Hakerski szantaż za 200 tysięcy złotych IP: *.centertel.pl 07.04.07, 20:28
        Ja juz nigdy nie skorzystam z home i tego jestem pewien, goscie zamiast pocichutku załagodzic sprawe robia rozglos na całą polske ( troche wstyd ).
        • unhappy Re: Hakerski szantaż za 200 tysięcy złotych 08.04.07, 00:32
          > Ja juz nigdy nie skorzystam z home i tego jestem pewien, goscie zamiast pocichu
          > tku załagodzic sprawe robia rozglos na całą polske ( troche wstyd ).

          Wstyd komu i za co? Że home zamiast zamieść sprawę pod dywan i udawać, że mają
          najlepiej zabezpieczone systemy na świecie ostrzegły swoich klientów? Łagodzić
          sprawę? Mimo, że wypróbowanie kilkuset linków, żeby trafić na ten właściwy nie
          jest trudne to jednak jest to ewidentne przełamywanie zabezpieczeń (security by
          obscurity).

          Audyt bezpieczeństwa to jest coś co się zamawia. Audyt bezpieczeństwa
          przeprowadzany jest PO jego zamówieniu a nie przed. Za "audyt" PRZED też
          rozmawia się z prokuratorem zwłaszcza jeśli chce się go wykonać za cenę
          kilkukrotnie przekraczającą jego wartość. Kiedyś jak się chodziło samemu po
          parku można było trafić na takie ekstra oferty jak cegła za 500 zł.

          No i chyba nam się znaczenie słowa haker mocno urynkowiło. Mi kiedyś zrobił qq
          haker (zap) po czym ładnie napisał co miałem spieprzone i dlaczego jestem lama.
          I był anonimowy tak, że aż mnie to bolało. I kasy nie chciał - jakiś idiota to
          musiał być.

          • Gość: xinq Re: Hakerski szantaż za 200 tysięcy złotych IP: *.eranet.pl 08.04.07, 03:54
            Jestem administratorem w pewnej korporacji. Kiedyś jednak stałem z tej drugiej
            strony. Pracuję tu bo wiem to co wiem i umiem to co umiem.
            Pierwsza sprawa to że absolutnie nie można mówić o łamaniu zabezpieczeń bo ich
            NIE BYŁO. Skoro strona wyświetlała się tylko ze zmiennym numerem i w dodatku tak
            przewidywalnym to po prostu była dostępna publicznie. Nie pojawiała się z
            wygenerowanym kluczem, nie generowała się dopiero po autoryzacji. Ona cały czas
            była dostępna właściwie publicznie. Szansa na trafienie jej z przypadku była
            większa niż wygranej w totka, podczas gdy nic nie powinno być pozostawione
            przypadkowi. To nie jest żadne zabezpieczenie. Każda możliwość nieautoryzowanego
            obejrzenia treści oznacza że tak się stanie prędzej czy później.
            Druga sprawa. Absolutnie niewybaczalne jest umieszczenie logów z informacjami
            niejawnymi w miejscu tak łatwo dostępnym. Zwłaszcza dziwię sie tu ministerstwu
            że dopuściło do takiej sytuacji. Zastanawia mnie polityka ochrony informacji.
            Wygląda na to że nikt jej nie kontroluje. Powierzono przechowywanie danych
            zewnętrznej firmie. Może i nie bardzo istotnych, ale pośrednio wpływających na
            sposób postrzegania Polski.
            Trzecia sprawa to wyjątkowo dziecinna postawa home.pl. Próby włamania są na
            porządku dziennym. Każdego dnia ktoś próbuje faktycznie "przełamać
            zabezpieczenia" i to nie fikcyjne ale prawdziwe. Bywają to próby marne, ale też
            czasem bardzo ciekawe. Trzeba umieć się uczyć swoich słabości. Gdyby ktoś
            przełamał moje zabezpieczenia, uznałbym że jest lepszy, lub potrafi dostrzec coś
            czego ja nie widziałem. W obu wypadkach starałbym się pozyskać taką osobę, gdyż
            byłaby doskonałym uzupełnieniem zespołu.
            Uważam że zamiast docenić to że oszczędzono im faktycznych strat, które mogły
            powstać gdyby ktoś inny na to wpadł, home.pl po prostu dziecinnie się zemścił za
            to że ktoś ośmielił się być lepszy.
            • Gość: jacek Re: Hakerski szantaż za 200 tysięcy złotych IP: *.internetdsl.tpnet.pl 08.04.07, 09:05
              Hmm, ktos wyzej pisal o .htaccess, przekopalem dokumentacje homa i znalazlem u
              nich info, ze staty sa dostepne pod linkiem z numerkiem, a zeby je ukryc,
              trzeba wlasnie z tego pliku skorzystac. Wiec Skoro o tym jawnie pisali w
              dokumentacji, to czemu z tego robi sie problem? I 200 000 za to kasowac? Moim
              skromnym nie ma tu tez znaczenia czy ktos zlamal cos czy nie zlamal. Weszli do
              miejsca, gdzie ich nikt nie prosil:) Nie mieli linka, wykorzystali brute force,
              wiec jednak byl atak. Wzieli logi i po nich dotarli do cms-a men-u. I to
              bardziej boli, ze men wykorzystal tak rewelacyjny CMS do wlasnej obslugi:)
            • unhappy Re: Hakerski szantaż za 200 tysięcy złotych 09.04.07, 03:14
              Gość portalu: xinq napisał(a):

              > Jestem administratorem w pewnej korporacji. Kiedyś jednak stałem z tej drugiej
              > strony. Pracuję tu bo wiem to co wiem i umiem to co umiem.
              > Pierwsza sprawa to że absolutnie nie można mówić o łamaniu zabezpieczeń bo ich
              > NIE BYŁO. Skoro strona wyświetlała się tylko ze zmiennym numerem i w dodatku ta
              > k
              > przewidywalnym to po prostu była dostępna publicznie.

              Myślę że nie ma tu miejsca na dyskusję co jest a co nie jest przełamywaniem
              zabezpieczeń. Tu decyzja będzie należała do prokuratora. Pod uwagę poddam tylko
              fakt, że aby zobaczyć ową dostępną publicznie stronę należało wypróbować do 999
              adresów stron. Działanie intencjonalne mające na celu wyświetlenie strony,
              której zawartość była prywatną właśnością. Że sposób dziecinny i
              nieodpowiedzialny - zgoda. Bóg jeden wie od jak długiego czasu ciekawscy macali
              w ten sposób logi klientów HOME.

              > Nie pojawiała się z
              > wygenerowanym kluczem, nie generowała się dopiero po autoryzacji. Ona cały cza
              > s
              > była dostępna właściwie publicznie.

              Jak napisałem - ty nie przekonasz mnie, ja nie przekonam ciebie. Chociaż fakt,
              użycia przez ciebie słowa "właściwie" jest interesujący :D

              > Szansa na trafienie jej z przypadku była
              > większa niż wygranej w totka, podczas gdy nic nie powinno być pozostawione
              > przypadkowi.

              Bardzo często jest to kwestia przypadku - czasem tylko prawdopodobieństwo znikome.

              > To nie jest żadne zabezpieczenie. Każda możliwość nieautoryzowaneg
              > o
              > obejrzenia treści oznacza że tak się stanie prędzej czy później.

              Znowu - nie chce tutaj dyskutować o możliwościach i niemożliwościach.
              Zabezpieczenia są lepsze i gorsze, mniej lub bardziej bliskie zabezpieczeniom
              stuprocentowym do czasu aż trafi się ktoś sprytniejszy. Bardzo wielu
              administratorów było przekonanych o doskonałych zabezpieczeniach ale nie ma
              systemów bez błędów.

              > Druga sprawa. Absolutnie niewybaczalne jest umieszczenie logów z informacjami
              > niejawnymi w miejscu tak łatwo dostępnym. Zwłaszcza dziwię sie tu ministerstwu
              > że dopuściło do takiej sytuacji. Zastanawia mnie polityka ochrony informacji.
              > Wygląda na to że nikt jej nie kontroluje. Powierzono przechowywanie danych
              > zewnętrznej firmie. Może i nie bardzo istotnych, ale pośrednio wpływających na
              > sposób postrzegania Polski.

              Tak dzieje się często. Przyczyny są różne - przeważnie finansowe i częściowo men
              talne.

              > Trzecia sprawa to wyjątkowo dziecinna postawa home.pl. Próby włamania są na
              > porządku dziennym. Każdego dnia ktoś próbuje faktycznie "przełamać
              > zabezpieczenia" i to nie fikcyjne ale prawdziwe. Bywają to próby marne, ale też
              > czasem bardzo ciekawe. Trzeba umieć się uczyć swoich słabości. Gdyby ktoś
              > przełamał moje zabezpieczenia, uznałbym że jest lepszy, lub potrafi dostrzec co
              > ś
              > czego ja nie widziałem.

              Cóż - najwyraźniej tu się kończy romantyka a zaczyna duży biznes. I świadomość,
              że nie ma stuprocentowych zabezpieczeń.

              > W obu wypadkach starałbym się pozyskać taką osobę, gdyż
              > byłaby doskonałym uzupełnieniem zespołu.

              To mit. Mit hakera, który zarabia krocie dlatego bo wykradł tajne dane z banku
              :D Już po pierwszym liście home musiał wiedzieć na czym polegał problem chyba,
              że ich admini nie przeglądają logów. Być może luka była "by design" być może w
              momencie projektowania systemu popełniono duży błąd. Uwagę HOME na ten problem
              zwracano długo zanim wyszła afera :)

              > Uważam że zamiast docenić to że oszczędzono im faktycznych strat, które mogły
              > powstać gdyby ktoś inny na to wpadł, home.pl po prostu dziecinnie się zemścił z
              > a
              > to że ktoś ośmielił się być lepszy.

              I to jest właśnie dziecinne podejście.
    • Gość: alter sondaż obok mówi wszystko o nas Polakach... IP: *.broadband.pl 08.04.07, 11:55
      tzn. jak coś leży to trzeba to wziąć dla siebie , albo - kandydować na posła ? a
      ile płacą? Jak jest okazja coś za darmo wyciągnąć to życie i zdrowie poświęcimy
      aby to złapać...inny przykład - sąsiad pali śmiecie na posesji , na zwróconą uwagę
      mówi przepraszam i pali dalej a korzystniej byłoby dać śmieciarzom 5zł za worek
      i nie wdychać toksycznego dymu skracając sobie życie przykładowo o miesiąc .
      • maruda.r Upraszczasz 09.04.07, 18:47
        Gość portalu: alter napisał(a):

        > tzn. jak coś leży to trzeba to wziąć dla siebie , albo - kandydować na posła ?

        ************************************

        Pytanie, dlaczego więc prawo przewiduje rekompensatę w postaci tzw. znaleźnego?


        Sprawa do prostych nie należy. Zgadzam się, że fakt pozostawienia przez kogoś
        otwartych drzwi mieszkania nie upoważnia jeszcze nikogo do wynoszenia z niego
        rzeczy. Ale takiej sytuacji w sprawie home.pl vs. hack.pl nie mieliśmy.

        Mieliśmy do czynienia z sytuacją, gdy zamykano bank z depozytami na dobry zamek,
        jednocześnie pozostawiając otwarte drzwi od strony ogrodu. Za depozyty pobierano
        pieniądze i wmawiano ludziom, że są bezpieczne.

        Czy za wskazanie niebezpieczeństwa w postaci otwartych drzwi należy się
        rekompensata? Moim zdaniem, tak. Szczerze mówiąc, home.pl zachowało się zgodnie
        z przewidywaniami - oskarżając hack.pl o szantaż. Osobiście, z podobnymi
        sytuacjami spotykam się całe życie. Ilekroć zwracałem uwagę na różnego rodzaju
        zagrożenia, tylekroć nie doczekałem się nawet najprostszej formy
        zadośćuczynienia - podziękowań. Często spotkałem się natomiast z
        podejrzliwością. Nie pozostaje mi więc nic innego, niż w podobnych wypadkach
        wzruszać ramionami i udawać, że nic nie widzę.


        • michal_powolny1 Re: Upraszczasz 09.04.07, 21:25
          Sprawa jest dziecinnie prosta. Złodzieje pobawili się serwerami po czym
          przyszli o powiedzieli żez 200 tysięcy informacji nie ujawniają.
          Gdyby grali uczciwie poszli by do firmy i od razu na dzień dobry pokazali że
          zabepieczenia heme są w pewnym miejscu słabe (najlepiej jak by to robili z
          własnym kontem). Oddali by dokumnetację działań. I wyszli.
          Pobieranie pieniędzy za informację o dordze możliwego włamania jest
          obrzydliwe.
          • unhappy Re: Upraszczasz 09.04.07, 21:57
            michal_powolny1 napisał:

            > Sprawa jest dziecinnie prosta. Złodzieje pobawili się serwerami po czym
            > przyszli o powiedzieli żez 200 tysięcy informacji nie ujawniają.

            Heh... właściwie to większość analogii kaleczy temat. Chłopaki z hack.pl
            wymyślili problem i większość i tak będzie musiała poczekać na jego rozwiązanie.
            Najbardziej prawdopodobne to takie, że prokurator umorzy sprawę a inni "rycerze"
            Internetu uwalniający białogłowy za kasę dwa razy się zastanowią. I dobrze.

            > Gdyby grali uczciwie poszli by do firmy i od razu na dzień dobry pokazali że
            > zabepieczenia heme są w pewnym miejscu słabe (najlepiej jak by to robili z
            > własnym kontem). Oddali by dokumnetację działań. I wyszli.

            Tak było kiedyś. Administrator dostawał kąśliwego maila i przysiadał fałdów.
            Wielu w ten sposób wiele się nauczyło :D Teraz niestety romantyzm szlag
            trafił... chociaż deface'y robione są chyba za darmo :D

            > Pobieranie pieniędzy za informację o dordze możliwego włamania jest
            > obrzydliwe.

            Nie, to się nazywa audyt i zazwyczaj słono kosztuje ale faktem jest, że się go
            zamawia PRZED penetracją a nie PO :)
          • maruda.r Re: Upraszczasz 10.04.07, 03:14
            michal_powolny1 napisał:

            > Sprawa jest dziecinnie prosta. Złodzieje pobawili się serwerami po czym
            > przyszli o powiedzieli żez 200 tysięcy informacji nie ujawniają.
            > Gdyby grali uczciwie poszli by do firmy i od razu na dzień dobry pokazali że
            > zabepieczenia heme są w pewnym miejscu słabe

            **********************************************

            I w tym momencie powiedzieli już wszystko. Sądzisz, że w home.pl siedzą tumany,
            którym wszystko trzeba tłumaczyć, jak chłop krowie na miedzy?

            Oficjalne oświadczenie home.pl brzmiałoby następująco: "nigdy nie było
            zagrożenia, a nasza ekipa stale pracuje nad bezpieczeństwem", czyli kolejna
            wersja mantry powtarzanej przez banki tuż po ogołoceniu kont przez "nieznanych
            sprawców".

            Pobieranie pieniędzy za informację jest tak samo eleganckie (lub nie), jak
            bezpodstawne wmawianie ludziom, że ich dane i pieniądze są bezpieczne.

    • Gość: zinteresowany Hakerski szantaż za 200 tysięcy złotych IP: 212.160.172.* 08.04.07, 12:02
      zgadzam sie hańba dla home.pl - rezygnuję z ich usług !!!
Inne wątki na temat:
Pełna wersja