Allegro.pl
Pokaż: ustaw jako domyślne
pokaż obrazki

Komentarze (29)

  • Reklamy Google

  • kravietz -1  

    Wark: zauważ, że ja nie pisałem że TAK POWINNO SIĘ robić (zatrzymanie kompa itd) - tylko że TAK SIĘ ROBI. To co napisałem to nie jest pochlebna ocena tej praktyki tylko jej skonstatowanie :)

    Problemem nie jest też to, że policja zatrzyma sprzęt (bo mogą stwierdzić że jest OK i oddać) tylko raczej to że przez pół roku po zatrzymaniu nic się z tym nie będzie działo, a potem proces do uniewinnienia może zająć trzy lata. Takie prowadzenie sprawy samo w sobie ma charakter represji.

    Z drugiej strony nie zawsze tak jest - na mnie dwukrotnie złożył na policji doniesienie pewien Anglik, który pod Kielcami zagłodził 11 koni na śmierć. Doniesienia - całkowicie wyssane z palca - złożył na mnie z zemsty za to że występowałem w sądzie jako świadek przeciwko niemu (zrobił to też w stosunku do innych świadków). Za każdym razem byłem przesłuchiwany z pełnym poszanowaniem moich praw i mojego czasu.

    pokaż komentarz
    kravietz
  • wark 0  

    Ano... szczególnie dotkliwe jest zatrzymanie kompa dla osoby utrzymującej się z pracy na nim... a odszkodowanie po kilku latach raczej wstecz nie zadziała :/

    pokaż komentarz
    wark
  • shpyo 0  

    home.pl dobrze to rozergrał ;) Ma darmową reklamę, czego chcieć więcej. Internet, radio i telewizja ;). Cwaniaczki.

    pokaż komentarz
    shpyo
  • maver2001 0  

    Reklama i to jaka! Jednak "dodatowe linki" beda tez w prokuraturze :) Nie wiem czy to sie oplaca...

    pokaż komentarz
    maver2001
  • kravietz 0  

    List opublikowany na Hacking.pl zawiera dokładnie to co napisał Hack.pl. Również dostałem jego kopię jako właściciel serwisu IPSec.pl. Później było jeszcze kilka maili w których Hack.pl twierdził że wcale nie jest to próba wymuszenia tylko oferta pomocy. Moja opinia była taka, że nie była to oferta pomocy tylko uprzejmie sformułowane wymuszenie, pisałem o tym tutaj:

    http://blog.securitystandard.pl/news/108745.html

    pokaż komentarz
    kravietz
  • wark 0  

    Czytałem Twój artykuł. W zasadzie nie zgadzam się z kilkoma rzeczami - gdzie tam nastąpiło przełamanie zabezpieczeń? Czy jak nie zamykam drzwi na klucz i ktoś wejdzie naciskając klamkę to też 'przełamał zabezpieczenia'? Sorry, ale 3 losowe cyfry to coś w rodzaju klamki - przełamanie tego to kwestia 'dedukcji' że trzeba klamkę nacisnąć.

    Druga sprawa - zatrzymuje się narzędzie przestępstwa czy zabezpiecza dowody? Nie jestem prawnikiem i nie wiem jak to jest, ale w sprawach o udostępnianie filmów zabezpiecza się dowody - a to zasadnicza różnica - bo dowodem tutaj nie powinien być cały komputer a jedynie dysk (dokładnych przepisów nie pamiętam ale chodziło o jakieś części ruchome czy coś). Na podobnej zasadzie oprócz kompa powinni też brać biurko na którym stał ew. dywan. Co prawda są zalecenia prokuratury żeby zabierać całego kompa, ale nijak się to ma do prawa i można to zaskarżać.

    Ale przynajmniej artykuł mniej 'sensacyjny' niż większość innych typu 'haracz', 'wymuszenie', 'szantaż' itp. Przez co jak dla mnie przynajmniej wart przeczytania.

    pokaż komentarz
    wark
  • ukash 0  

    Ludzie przemyślcie to... przecież ci ludzie nie są głupi :)

    Zrobili świetną i tanią reklamę swojego serwisu. W ilu mediach aż huczy od wiadomości o serwisie hack.pl!

    Takie techniki reklamy, czyli wzbudzanie kontrowersji w celu zwiększenia widoczności w sieci są często stosowane (zwłaszcza w USA).

    Pomyślcie z perspektywy SEO ile dodatkowych linków w ciągu tygodnia zebrał serwis hack.pl!

    pozdr

    pokaż komentarz
    ukash
  • regoat 0  

    no coz nastepnym razem nie trzeba zadac 200 tys tylko zchakowac im strone zeby sie nie pozbierali.

    pokaż komentarz
    regoat
  • feuer-fest 0  

    Prawda jest taka, że ta usterka była gówno warta.

    Problem polegał na tym, że statystyki konta (na przykładzie mojego) znajdują się w katalogu creatiff.home.pl/statsXXX gdzie XXX to trzy cyfry. Prostym brutforsem, napisabnym w 30 sekund przez średnio zdolną małpę, można te statystyki obejrzeć. Z posiomu statystyk mamy dostep do logów serwera. Jednak przy tym posiomie zabezpieczeń, jakei są na home.pl (dla niepoinformowanych - frebsd+idea webserver) odczytanie logów nic nam nie daje. Oprócz tego, że geniuszki z hack.pl dobrali się do źle zabezpieczonego CMSa MENu - CMS napisała jakaś inna firma i pokpiła sprawę, bo CMS nie sprzawdza autoryzacji cookie/sesji tlyko wpuszcza do katalogu po podaniu hasła, więc to w ogóle nie jest wina home.pl

    O "dziurze" wszyscy userzy home wiedzieli - ja tez zdawałem sobie sprawę z tego, że byle jełop może odczytać moje logi - ale na moim serwerze po pierwsze nie ma nic, co komukolwiek chciałoby się hackować, po drugie chyba mam dość dobre zabezpieczenia jeśli chodzi o CMSy i inne pierdoły. "Dziura" istniała co najmniej od 2004 roku (tyle mam u nich serwer) i jakos nikt nie robił szumu. A teraz klienci do mnie wydzwaniają, bo HAKIERY sie włamały... śmiech na sali

    pokaż komentarz
    feuer-fest
  • modrzew 0  

    Ja upadłem na podłogę i rechotałem przez dwie minuty, gdy zobaczyłem cenę - 200 tysięcy za informację, że jest wolny dostęp do statystyk? Lol ;)

    pokaż komentarz
    modrzew
  • jaceks 0  

    fakty sa takie ze to nie byla luka krytyczna, i napewno nie byl to wlam jako taki.srednio zdolny posiadacz konta w home na to wpadl napewno nie raz.

    oczywiscie ze za audyty i informacje sie placi, ale hack.pl przekombinowal, to tak jakby Wam ktos powiedzial "wiek jak odpalic twoj samochod bez kluczykow, daj mi 200k to nie umieszcze tej informacji w gazecie" - bo tak to mniej wiecej wygladalo.

    gdyby ci z hack.pl mieli troche oleju w glowie to by poszli z tym do home nie wyjezdzajac na starcie z kwota 200k zlotych, a wtedy szef home , majac ta sama odrobine oleju w glowie , podziekowalby panom z hack.pl w 4 oczy, finansowo lub inaczej (audyty,praca, wspolpraca)

    hack.pl postawil od razu sprawe na ostrzu noza, wiec o czym tu mowic, sami sobie petle ukrecili

    pokaż komentarz
    jaceks
  • daromar 0  

    wyłudzenie - przypadek uzyskania czegoś, zwłaszcza pieniędzy, w wyniku podstępu, kłamstwa lub oszustwa

    za słownikiem języka polskiego PWN

    To co mamy powyżej nie spełnia tych warunków, to jest informacja o dziurze i razem z nią oferta (płatna) jej naprawy. Co moim zdaniem wyłudzeniem nie jest.

    W tym przypadku wiadomo tyle ile obydwie strony ujawniły, a że każda strona sytuacje przedstawia zupełnie inaczej to i nie ma faktów a tylko opinie :).

    pokaż komentarz
    daromar
  • termostat 0  

    Wyłudzeniem w tym rozumieniu nie jest, bo do niego nie doszło. Może być za to czymś równie nagannym: próbą wyłudzenia. Lub szantażem.

    daromar napisał: W tym przypadku wiadomo tyle ile obydwie strony ujawniły, a że każda strona sytuacje przedstawia zupełnie inaczej to i nie ma faktów a tylko opinie :).

    Nie zgodzę się, wręcz przeciwnie, mamy dostęp do szeregu faktów:
    - Faktem jest np. list hack.pl do home.pl, którego dokładną treść poznaliśmy.
    - Faktem jest, że jego autorzy chcieli uzyskać korzyść majątkową.
    - Faktem jest, że chcieli ją uzyskać w zamian za jedno lub wszystkie z wymienionych: a) nieujawnienie informacji b) wskazanie błędów c) pomoc w naprawie błędów.
    - Faktem jest, że jeśli chcieli oni uzyskać ową korzyść za a), to przypomina:
    "szantaż: wymuszanie czego (zwł. pieniędzy) na kim przez zastraszenie go, zwł. groźbą ujawnienia kompromitujących postępków, faktów, dokumentów."
    (cytat za www.slownik-online.pl)

    Stąd proponuję im bronić się w sądzie, że korzyść chcieli uzyskać tak naprawdę nie za a), lecz za b) i c). Wtedy może uda im się uniknąć odpowiedzialności za szantaż i jedynie zostaną wyśmiani za swe wygórowane stawki (i nieumiejętne formułowanie ofert).

    pokaż komentarz
    termostat
  • wark 0  

    termostat jeśli znasz pełną wersję listu, może podzielisz się linkiem?

    pokaż komentarz
    wark
  • termostat 0  

    wark, można go przeczytać np tutaj:

    http://hacking.pl/pl/news-6540-Hackpl_za_200000_zl_nie_napiszemy_o_Waszej_luce_w_systemie.html
    http://di.com.pl/news/16261,1.html
    http://www.locos.pl/index2.php?option=com_content&do_pdf=1&id=912

    a tutaj news, w którym hacking.pl twierdzi, że jest to pełna wersja listu:

    http://hacking.pl/pl/news-6553-Sprawa_wymuszenia_przez_hackpl_w_prokuraturze.html

    pokaż komentarz
    termostat
  • wark 0  

    termostat z tego co widzę treść opublikował tylko hacking.pl a reszta powtórzyła za nim... ciekawe skąd mieli maila skoro home.pl go nie publikowało? sorka, ale ten serwis jakoś nie wzbudza mojego zaufania - na pewno nie bardziej niż hack.pl.

    W zasadzie treść tego maila też za bardzo mnie nie wzrusza - może śmieszy kwota, ale nie widzę tam nic niestosownego. Za informacje się płaci - szczególnie jak są ważne.

    Nawet ciężko to włamaniem nazwać - bo włamanie z definicji to przełamanie zabezpieczenia - a 3 cyfrowej liczby raczej zabezpieczeniem nazwać nie można.

    pokaż komentarz
    wark
  • daromar 0  

    skąd wiesz że to dokładna treść listu?
    Nie masz takiej pewności a wiec to NIE JEST fakt

    hacking.pl nie jest strona w tym konflikcie a tylko starają sie zwiększyć sobie przy okazji oglądalność
    więc informacje z ich strony można odrzucić jako mało wiarygodne ,
    stronami jest hack.pl i home.pl
    wiec tam należy szukac informacji, a na forum hack.pl jeden z adminów wypowiedział się że to tylko skrót z korespondencji wymienionej pomiędzy hack.pl a home i to dość jednostronny
    W związku z tym cała reszta twoich wniosków jest hmm trochę niepewna :)

    zresztą informacja na hacking.pl linkująca tylko do WŁASNYCH artykułów nie jest szczególnie wiarygodna

    pokaż komentarz
    daromar
  • termostat 0  

    wark: zgadzam się z Tobą. Ja także kwestionuję wiarygodność i reputację serwisów typu hack.pl czy hacking.pl (wypowiadam się zresztą na ten temat w komentarzu, który znajdziesz nieco niżej).

    Treść maila jednak hacking.pl otrzymał od samych zainteresowanych, czyli od home.pl. Nie pamiętam i nie potrafię teraz znaleźć, gdzie o tym przeczytałem. Za to dziś w Wiadomościach na TVP1 był materiał na ten temat, w którym jeden z właścicieli (Krystian Stypuła) potwierdził przed kamerą, że prócz policji powiadomili o sprawie "inne serwisy zajmujące się bezpieczeństwem" Nie wymienił go z nazwy, chodzi jednak o hacking.pl

    OBIECANY UPDATE: Archiwum wydania Wiadomości z 7 kwietnia, 19:30 (od 07m:05s):
    http://www.itvp.pl/informacje/video.html?channel_id=499&site_id=835&genre_id=-1&form_id=-1&video=23242

    daromar: m.in. z tego, co pogrubiłem w tekście powyżej.

    pokaż komentarz
    termostat
  • daromar 0  

    To powiem jak można to widzieć inaczej :)
    To nie jest moja opinia a tylko sposób w jaki można zinterpretować ruchy home.pl, taki eksperyment myslowy oparty na posiadanych informacjach :D :
    home.pl porozumiało się z hacking.pl żeby zrobili szum w sieci na ten temat,
    hacking.pl dostaje ciekawy temat czyli większą ilość odwiedzin strony a przy okazji może dokopać konkurencji
    treść maila dostali od home, przy czym druga strona (hack.pl) twierdzi że to nie jest kompletna treść a tylko stronniczy skrót,
    no i co z tego wynika?

    Na koniec wiadomościami TVP :D
    obawiam się że poziom techniczny tej informacji był hmm niezbyt wysoki :) ale jak zobaczę to się wypowiem

    pokaż komentarz
    daromar
  • termostat 0  

    daromar: jeszcze jedno słowo w sprawie kompletnej treści - skoro hack.pl twierdzi, że to stronniczy skrót, to wypadałoby, żeby zamieścili pełną wersję korespondencji. Dopóki tego nie zrobią, to wierzę, że jest to oryginalny mail, taki jakim go elektrony stworzyły ;)

    Z pozostałą częścią się zgodzę, że każda strona stara się tu ugrać swoje:

    - Sądze np że Home.pl także może nie być obiektywny w kwestii oceny tego, czy i na ile ten błąd był/mógł być krytyczny (twierdzą, że nie był) i co w ogóle znaczy tu słowo krytyczny (Przykładowo, AFAIK, w nomenklaturze security oznacza to uzyskanie praw roota na serwerze (co nie miało miejsca), jednak być może była możliwość edycji treści stron WWW - co mogłoby być uznane za lukę krytyczną, choć tylko z punktu widzenia klientów). Więc zeby ocenić oświadczenia obu stron w tej sprawie przydałoby się taki definicyjny spór rozstrzygnąć :))

    pokaż komentarz
    termostat
  • chlitto 0  

    ogolem to oskarzenie bez podstawne... ale dobrze im tak:) bo jak mozna byc takim idiota zeby za takie cos rzadac 200k!?

    ogolem strony z "hack" w nazwie ost daja wiele rozrywek ^^ hackig.pl wydal na swiat cenionego przez wszystkich goriona, ktory mysli ze jest "king of the universe" a hack.pl cenia sie jeszcze wyzej i za byle kiwniecie palcem rzadaja kilkutysiecy ^^

    podsumowanie... goriona i tak nic nie przebije ^^

    EDIT:
    wlansie mi sie przypomnialo cos co czytalem w jakims innym serwisie... oni ich nie oskarza o szantaz tylko o "wlamania" metoda brute-force do statystyk... napewno gazeta znowu szukala taniej sensacji i wszystko pomieszala:)

    tak samo jak kiedys na wikipedii ktos wyedytowal na chwile jakas strone a oni pisali "wlamanie na strone wikipedii" ^^ po godzinie podmienili artykul... tego samego dnia jacys "wscipsy" czytelnicy przesledzili historie edycji tej podstrony i okazalo sie ze strona byla podmieniona... MINUTE ^^ (doslownie:P)

    pokaż komentarz
    chlitto
  • termostat 0  

    Reakcja administratorów home.pl na ten incydent umocniła mnie w przekonaniu, że jest to dobrze zorganizowana firma, której bez obaw można powierzyć swoje dane. Dlaczego? Bo nie poddali się próbom szantażu, nie tuszowali sprawy (jak to im zaproponował hack.pl), błyskawiczne i samodzielne (zanim jeszcze hack.pl ujawnił wszystkim swoje 'rewelacje') zlokalizowali oraz naprawili usterkę. Szczerze im gratuluję i życzę dalszych sukcesów.

    Zaś panom z hack.pl życzę więcej rozumu, zwłaszcza jeśli chodzi o wycenę własnych umiejętności na rynku (200.000 za błąd, a 20.000 pensji na starcie zaś życzył sobie jeden z nich, gdyby ktoś chciał dostąpić zaszczytu zatrudnienia tego wybitnego specjalisty , nie wspominając o możliwości odbycia ciekawych podróży...). Może warto pójść na spacer, skoro godziny spędzone w wirtualnej rzeczywistości tak bardzo wykrzywiają wasze spojrzenie na 'real'?

    Warto wspomnieć o jeszcze jednym aspekcie sprawy. Newsy o niej entuzjastycznie publikuje portal hacking.pl, skompromitowany w oczach wielu nie tylko napuszoną postawą goriona, który (IMHO) na swoim blogu na nowo odkrywa koło, kreując się przy tym umiejętnie na większego specjalistę IT, niż jest w rzeczywistości. Skompromitowany także przez publikowanie artykułów takich jak ten:

    http://hacking.pl/pl/news-6504-Zuzanna_Filutowska_aka_Platyna_wlamala_sie_na_strone_kibicow_Lechii_Gdansk.html

    lokujących poziom portalu hacking.pl poniżej dokonań Faktu.

    Tworzy to (dokonania hack.pl i hacking.pl) razem smutny obraz środowiska ludzi zajmujących się bezpieczeństwem IT jako niedojrzałych nastolatków, których umiejętności nie tak bardzo różnią się od umiejętności tzw. scriptkiddies, a których zadufanie i pewność siebie przewyższają butę prezentowaną przez naszych rodzimych polityków.

    pozdrawiam czytających ten przydługi komentarz ;-)

    pokaż komentarz
    termostat
  • pawlik 0  

    Przydługi, ale jakże trafiony!

    +1

    pokaż komentarz
    pawlik
  • wark 0  

    "błyskawiczne i samodzielne zlokalizowali oraz naprawili usterkę" - naprawdę ciężką sprawą było nie domyślić się o stopniu zabezpieczenia 3-cyfrowym hasłem...

    sorka ale tego typu zabezpieczenie raczej nie wzbudza zaufania - tym bardziej że tego typu kwiatków może być w serwisie więcej :/

    pokaż komentarz
    wark
  • termostat -1  

    wark: IMHO to wyglądało trochę inaczej. Wyobraź sobie, że dostajesz taki oto e-mail: 'macie błąd w serwisie, zapłacicie, to wam powiemy jaki.' Z punktu widzenia administratora, to jak szukanie igły w stogu siana, błąd może być przecież gdziekolwiek. Przekopanie się przez logi i analiza dokonań "gości" musiała więc być chyba choć trochę kreatywna? Dla Ciebie to wygląda na rzecz oczywistą, ale gdyby wszystkie luki w zabezpieczeniach były oczywiste to by ich nie było. Każdy też chyba wie, że nie ma (złożonych) systemów komputerowych, które nie posiadają luk).

    ps: Te trzy cyfry nie stanowiły hasła dostępu. Poczytaj na hack.pl opis luki:
    http://hack.pl/aktualnosci/oswiadcznie_w_sprawie_wykrycia_krytycznej_luki_serwerow_homepl_593

    pokaż komentarz
    termostat
  • wark 0  

    termostat Spoko, to był skrót myślowy, cokolwiek niefortunny ;) Faktem jest że musieli trochę poszperać (czy dużo nie wiem - w końcu logi można filtrować) - poza tym ciekaw jestem jak takie cudo im się ostało na serwerach - każdy audyt czy też po prostu analiza samego home.pl powinna to wykryć przecież.

    pokaż komentarz
    wark
  • koniczynek 0  

    Będzie zgłoszenie o popełnieniu przestępstwa to się zastanowią pewni ludzie na przyszłość co robią.

    pokaż komentarz
    koniczynek
  • tliff 0  

    Moim zdaniem byla to chamska proba wyludzenia kasy. Moj argument: HACK.pl nie napisal ze w serwerach maja taka a taka dziure i jesli sami nie dadza sobie rady to pomoga, tylko napisali ze jest dziura, wcale nie informujac konkretnie jaka, zeby zmusic do zaplaty kosmicznie wywindowanej ceny, a home.pl wcale nie potrzebuje pomocy przy usuwaniu takich bledow, wystarczy informacja o dziurze z sugestia by to naprawic. A tutaj byla informacja: jest dziura ktora pozwala na to i na to, ale nie powiemy wam co to za dziura, bo chcemy 200 tysiecy za to info.

    pokaż komentarz
    tliff
  • wark 0  

    Wyłudzenia? Za informacje też czasem się płaci. Jeśli chcesz wszystko oddawać za free - Twoja sprawa, ale nie oczekuj że każdy tak będzie robił.

    A jeśli chodzi o tą konkretną sytuację - mamy dwie odmienne opinie dwóch stron konfliktu - chyba najlepiej to sąd rozsądzi mając do dyspozycji fakty a nie publikacje prasowe.

    pokaż komentarz
    wark
pokaż 

Wykopali i zakopali (52 / 0)