http://www.mmtorun.pl/artykul/pokazal-luke-w-systemie-zabezpieczen-torunskie...
Ehh...
W dniu 07.05.2014 14:28, Wiktor Przybylski pisze:
http://www.mmtorun.pl/artykul/pokazal-luke-w-systemie-zabezpieczen-torunskie...
Ehh...
Tak się kończy jak się robi niezamówione testy penetracyjne. Wiedział na co się decyduje.
Za to dużo bardziej smuci info z tego newsa że te rowery są kradzione/niszczone - po prostu polska :-/.
2014-05-07 14:31 GMT+02:00 "Łukasz "Cyber Killer" Korpalski" < cyberkiller8@gmail.com>:
Tak się kończy jak się robi niezamówione testy penetracyjne. Wiedział na co się decyduje.
Wciąż, jest to chore i przez taką kulturę mamy tyle dziur w systemach.
Jacek Złydach, http://temporal.pr0.pl/devblog | http://esejepg.pl | http://hackerspace-krk.pl TRC - Bringing you tomorrow's solutions yesterday.
On 07/05/14 14:35, TeMPOraL wrote:
2014-05-07 14:31 GMT+02:00 "Łukasz "Cyber Killer" Korpalski" <cyberkiller8@gmail.com mailto:cyberkiller8@gmail.com>:
Tak się kończy jak się robi niezamówione testy penetracyjne. Wiedział na co się decyduje.Wciąż, jest to chore i przez taką kulturę mamy tyle dziur w systemach.
Jacek Złydach, http://temporal.pr0.pl/devblog | http://esejepg.pl | http://hackerspace-krk.pl TRC - Bringing you tomorrow's solutions yesterday.
Nie tylko kulturę, ale też prawo. Nowelizacja KK po "głębokim ukryciu" postawiła całą sytuację na głowie. To nie administrator systemu jest odpowiedzialny, tylko atakujący (chyba, że administrator zdecyduje się na nie składanie wniosku o ściganie).
Jeżeli ktoś atakuje w niecnych celach, to taki nierozgarnięty administrator tego nawet nie zauważy. Gdy ktoś zwróci uwagę, to może skończyć w sądzie. Czyli nie ma motywacji do zgłaszania błędów i nawet grożą za to kary.
Pozdrawiam Leszek Jakubowski
2014-05-07 15:21 GMT+02:00 Leszek Jakubowski leszek.jakubowski@gmail.com:
Jeżeli ktoś atakuje w niecnych celach, to taki nierozgarnięty administrator tego nawet nie zauważy. Gdy ktoś zwróci uwagę, to może skończyć w sądzie. Czyli nie ma motywacji do zgłaszania błędów i nawet grożą za to kary.
Nie można dać tego jakimś pismakom do zespinowania w mediach? "Wyobraź sobie, że zauważasz, iż Twój sąsiad zostawił otwarte drzwi. Mówisz mu o tym, a on dzwoni po policję i oskarża Cię o włamanie. Absurd? Tak dziś wygląda sytuacja z bezpieczeństwem systemów elektronicznych."
Or whatever.
Jacek Złydach, http://temporal.pr0.pl/devblog | http://esejepg.pl | http://hackerspace-krk.pl TRC - Bringing you tomorrow's solutions yesterday.
On 07/05/14 15:24, TeMPOraL wrote:
2014-05-07 15:21 GMT+02:00 Leszek Jakubowski <leszek.jakubowski@gmail.com mailto:leszek.jakubowski@gmail.com>:
Jeżeli ktoś atakuje w niecnych celach, to taki nierozgarnięty administrator tego nawet nie zauważy. Gdy ktoś zwróci uwagę, to może skończyć w sądzie. Czyli nie ma motywacji do zgłaszania błędów i nawet grożą za to kary.Nie można dać tego jakimś pismakom do zespinowania w mediach? "Wyobraź sobie, że zauważasz, iż Twój sąsiad zostawił otwarte drzwi. Mówisz mu o tym, a on dzwoni po policję i oskarża Cię o włamanie. Absurd? Tak dziś wygląda sytuacja z bezpieczeństwem systemów elektronicznych."
Or whatever.
Jacek Złydach, http://temporal.pr0.pl/devblog | http://esejepg.pl | http://hackerspace-krk.pl TRC - Bringing you tomorrow's solutions yesterday.
To nie jest dobra analogia. :) Nie znam dobrych analogii.
Moznaby nad czymś pomyśleć, może bardziej w stronę odpowiedzialności instytucji za swoją infrastrukturę?
Pozdrawiam, Leszek Jakubowski
Tako rzecze Leszek Jakubowski (2014-05-07, 15:38):
Nie można dać tego jakimś pismakom do zespinowania w mediach? "Wyobraź sobie, że zauważasz, iż Twój sąsiad zostawił otwarte drzwi. Mówisz mu o tym, a on dzwoni po policję i oskarża Cię o włamanie. Absurd? Tak dziś wygląda sytuacja z bezpieczeństwem systemów elektronicznych."
To nie jest dobra analogia.
Czemu?
Hm, kto normalny sprawdza czy sąsiedzi zostawili otwarte czy zamknięte drzwi? W przypadku okna analogia była by nieprawidłowa, ale dla drzwi działa - wraz z całym swoim absurdem.
Serdecznie pozdrawiam / Best regards,
Jakub Kramarz http://about.me/jkramarz
W dniu 7 maja 2014 15:50 użytkownik antoszka antoni@hackerspace.plnapisał:
Tako rzecze Leszek Jakubowski (2014-05-07, 15:38):
Nie można dać tego jakimś pismakom do zespinowania w mediach? "Wyobraź sobie, że zauważasz, iż Twój sąsiad zostawił otwarte drzwi. Mówisz mu o tym, a on dzwoni po policję i oskarża Cię o włamanie. Absurd? Tak dziś wygląda sytuacja z bezpieczeństwem systemów elektronicznych."
To nie jest dobra analogia.
Czemu?
-- [アントシカ]
General mailing list General@lists.hackerspace.pl https://lists.hackerspace.pl/mailman/listinfo/general
2014-05-07 15:58 GMT+02:00 antoszka antoni@hackerspace.pl:
w tym kraju ludzie zapomnieli co to jest dobre sąsiedztwo
In a way, that's exactly the point. Te "niezamówione testy penetracyjne" to właśnie dobre sąsiedztwo.
Jacek Złydach, http://temporal.pr0.pl/devblog | http://esejepg.pl | http://hackerspace-krk.pl TRC - Bringing you tomorrow's solutions yesterday.
antoszka,
Czy podciągamy pod dobre sąsiedztwo czy mamy coś przeciwko, by sąsiad szarpał za moją klamkę kiedy nas nie ma?
Serdecznie pozdrawiam / Best regards,
Jakub Kramarz http://about.me/jkramarz
W dniu 7 maja 2014 15:58 użytkownik antoszka antoni@hackerspace.plnapisał:
Tako rzecze Jakub Kramarz (2014-05-07, 15:52):
Hm, kto normalny sprawdza czy sąsiedzi zostawili otwarte czy zamknięte drzwi?
No tak, w tym kraju ludzie zapomnieli co to jest dobre sąsiedztwo.
-- [アントシカ]
General mailing list General@lists.hackerspace.pl https://lists.hackerspace.pl/mailman/listinfo/general
2014-05-07 16:01 GMT+02:00 Jakub Kramarz lenwe@lenwe.net:
antoszka,
Czy podciągamy pod dobre sąsiedztwo czy mamy coś przeciwko, by sąsiad szarpał za moją klamkę kiedy nas nie ma?
Żeby chociaż klamki były w tych stronach internetowych.
Powinna być klauzula dotycząca typowych, znanych luk. Ktos sobie XSS/CSRS znajdzie (czasem przypadkiem) i powinien być ścigany, jak poinformuje administratorów? Jeśli wykaże lukę pozwalającą pobrać hasła lub wejść do panelu administracyjnego?
Rozumiem, jeśli by np. przeprowadził atak słownikowy czy takie...
Chciałbym wiedzieć, kto wystawia certyfikaty bezpieczeństwa takim stronom jak ta od tych rowerów i go zrugać.
R.
---- Wł. Śr, 07 maj 2014 22:09:26 +0200 Radoslaw Szkodzinskiastralstorm@gmail.com napisał(a) ----
Chciałbym wiedzieć, kto wystawia certyfikaty bezpieczeństwa takim stronom jak ta od tych rowerów i go zrugać.
Pewnie mieli na myśli certyfikat SSL.
On 07/05/14 22:12, enki wrote:
---- Wł. Śr, 07 maj 2014 22:09:26 +0200 Radoslaw Szkodzinskiastralstorm@gmail.com napisał(a) ----
Chciałbym wiedzieć, kto wystawia certyfikaty bezpieczeństwa takim stronom jak ta od tych rowerów i go zrugać.
Pewnie mieli na myśli certyfikat SSL.
http://lcamtuf.blogspot.com/2012/06/this-page-is-now-certified.html
W dniu 7 maja 2014 16:01 użytkownik Jakub Kramarz lenwe@lenwe.net napisał:
Czy podciągamy pod dobre sąsiedztwo czy mamy coś przeciwko, by sąsiad szarpał za moją klamkę kiedy nas nie ma?
Lepiej, żeby to zrobił sąsiad niż złodziej...
A może analogia do zamka rowerowego? Na rynku jest parę takich, które da się otworzyć... zatyczką od mazaka albo długopisem (mają charakterystyczne, okrągłe kluczyki). Zauważam, że sąsiad trzyma rower "zabezpieczony" takim zamkiem w publicznie dostępnym miejscu i mówię mu o tym.
Dnia środa, 7 maja 2014 15:52:34 Jakub Kramarz pisze:
Hm, kto normalny sprawdza czy sąsiedzi zostawili otwarte czy zamknięte drzwi? W przypadku okna analogia była by nieprawidłowa, ale dla drzwi działa - wraz z całym swoim absurdem.
No nie wiem, jak widzę, że drzwi sąsiada są uchylone, a widziałem, ze wychodził, to daję mu znać.
rysiek:
No nie wiem, jak widzę, że drzwi sąsiada są uchylone, a widziałem, ze wychodził, to daję mu znać.
Problem z tą analogią jest taki, że to chyba nie było zgłoszenie „wpatruję się świdrującym wzrokiem w swoją przeglądarkę i wszystko wskazuje na to, że Państwa strony nie mają zielonej kłódeczki”.
W analogii z sąsiadem mamy sytuację „sąsiad miał uchylone drzwi, więc wszedłem, przejrzałem papiery na biurku i sfotografowałem co ciekawsze, po czym wyniosłem telewizor do siebie i doszedłem do wniosku, że chyba faktycznie nie zamknął drzwi”. Dlatego ta analogia jest dość ryzykowna. :)
— Piotr Szotkowski
Dnia piątek, 9 maja 2014 14:18:58 Piotr Szotkowski pisze:
rysiek:
No nie wiem, jak widzę, że drzwi sąsiada są uchylone, a widziałem, ze wychodził, to daję mu znać.
Problem z tą analogią jest taki, że to chyba nie było zgłoszenie „wpatruję się świdrującym wzrokiem w swoją przeglądarkę i wszystko wskazuje na to, że Państwa strony nie mają zielonej kłódeczki”.
W analogii z sąsiadem mamy sytuację „sąsiad miał uchylone drzwi, więc wszedłem, przejrzałem papiery na biurku i sfotografowałem co ciekawsze, po czym wyniosłem telewizor do siebie i doszedłem do wniosku, że chyba faktycznie nie zamknął drzwi”. Dlatego ta analogia jest dość ryzykowna. :)
No właśnie -- przejrzał papiery? Wyniósł telewizor? Czy zajrzał, stwierdził, że sąsiada nie ma i dał mu znać?
rysiek:
Dnia piątek, 9 maja 2014 14:18:58 Piotr Szotkowski pisze:
Problem z tą analogią jest taki, że to chyba nie było zgłoszenie „wpatruję się świdrującym wzrokiem w swoją przeglądarkę i wszystko wskazuje na to, że Państwa strony nie mają zielonej kłódeczki”.
W analogii z sąsiadem mamy sytuację „sąsiad miał uchylone drzwi, więc wszedłem, przejrzałem papiery na biurku i sfotografowałem co ciekawsze, po czym wyniosłem telewizor do siebie i doszedłem do wniosku, że chyba faktycznie nie zamknął drzwi”. Dlatego ta analogia jest dość ryzykowna. :)
No właśnie -- przejrzał papiery? Wyniósł telewizor? Czy zajrzał, stwierdził, że sąsiada nie ma i dał mu znać?
Nie mam pojęcia, dziennikarskie „Włamał się na stronę. Niczego nie wykradł, a swój sposób działania opisał i wysłał do toruńskiego magistratu. Przy okazji podpowiadając, jak poprawić zabezpieczenia.” może znaczyć cokolwiek.
Bez względu na to, co konkretnie zrobił, chciałem zwrócić uwagę na ryzyko analogii z mieszkaniem – bo łatwo jej też użyć przeciwko argumentom „ale to było tylko niewinne sprawdzenie, czy luka faktycznie istenieje” („czyli to tak jakby włamać się do sąsiada, żeby sprawdzić, czy zamka nie da się otworzyć spinaczem?”). Bardzo kusi używanie tej analogii w tłumaczeniu tego typu rzeczy osobom mniej technicznie kompetentnym, ale może ugryźć w tyłek.
— Piotr Szotkowski
Dnia piątek, 9 maja 2014 17:47:16 Piotr Szotkowski pisze:
rysiek:
Dnia piątek, 9 maja 2014 14:18:58 Piotr Szotkowski pisze:
Problem z tą analogią jest taki, że to chyba nie było zgłoszenie „wpatruję się świdrującym wzrokiem w swoją przeglądarkę i wszystko wskazuje na to, że Państwa strony nie mają zielonej kłódeczki”.
W analogii z sąsiadem mamy sytuację „sąsiad miał uchylone drzwi, więc wszedłem, przejrzałem papiery na biurku i sfotografowałem co ciekawsze, po czym wyniosłem telewizor do siebie i doszedłem do wniosku, że chyba faktycznie nie zamknął drzwi”. Dlatego ta analogia jest dość ryzykowna. :)
No właśnie -- przejrzał papiery? Wyniósł telewizor? Czy zajrzał, stwierdził, że sąsiada nie ma i dał mu znać?
Nie mam pojęcia, dziennikarskie „Włamał się na stronę. Niczego nie wykradł, a swój sposób działania opisał i wysłał do toruńskiego magistratu. Przy okazji podpowiadając, jak poprawić zabezpieczenia.” może znaczyć cokolwiek.
Bez względu na to, co konkretnie zrobił, chciałem zwrócić uwagę na ryzyko analogii z mieszkaniem – bo łatwo jej też użyć przeciwko argumentom „ale to było tylko niewinne sprawdzenie, czy luka faktycznie istenieje” („czyli to tak jakby włamać się do sąsiada, żeby sprawdzić, czy zamka nie da się otworzyć spinaczem?”). Bardzo kusi używanie tej analogii w tłumaczeniu tego typu rzeczy osobom mniej technicznie kompetentnym, ale może ugryźć w tyłek.
To racja. We need good analogies.
To racja. We need good analogies.
General mailing list General@lists.hackerspace.pl https://lists.hackerspace.pl/mailman/listinfo/general
Myślę, że nie jest to kwestia analogii technicznych. Podejrzewam, że poza nami mało kogo interesuje to, że jakaś strona jest podatna na CSRF, czy po prostu można zrobić XSSa. Ale z drugiej strony ludzi interesuje, że: - wykonawca zrobił stronę w taki sposób, że możliwe jest wyciąganie danych/przelanie pieniędzy z konta czy inny efekt wpływający na życie Użytkownika - wykonawca mógł zrobić to dobrze niewielkim kosztem (np. przeczytać poradnik OWASPa) - wykonawcę nie obchodzi to, że można zrobić [rzeczy wpływające na życie Użytkownika] - wykonawca stara się zrzucić winę za swoje niedoróbki na osobę, która te niedoróbki wykryła - ewentualnie: zamawiający niedopilnował wykonawcy i próbuje zrobić to co wyżej wymieniłem
Bardziej porównałbym tego typu usługę do dobra publicznego. Moja nienajlepsza i pewnie niespójna (szukajcie niespójności) analogia:
Droga w mieście
Czy aktualnemu stanowi drogi (pełna dziur) jest winny wykonawca/utrzymujący drogę, czy osoba, która napisała wniosek o jej naprawienie wskazując liczbę dziur?
Przecież przed zgłoszeniem dziur w drodze we wszystkich statystykach droga była gładka, a po zgłoszeniu są dziury.
Wniosek: zgłaszający powołał dziury do istnienia.
Leszek
2014-05-09 14:18 GMT+02:00 Piotr Szotkowski chastell@chastell.net:
W analogii z sąsiadem mamy sytuację „sąsiad miał uchylone drzwi, więc wszedłem, przejrzałem papiery na biurku i sfotografowałem co ciekawsze, po czym wyniosłem telewizor do siebie i doszedłem do wniosku, że chyba faktycznie nie zamknął drzwi”. Dlatego ta analogia jest dość ryzykowna. :)
Tak? Ten koleś "ukradł" jakieś dane czy coś?
Bo jeśli nie doszło do kradzieży (np. włamał się na własne konto), to trochę bieda. Jeśli natomiast wykazał, że dane da się ukraść i jak, ale ich nie zabrał, to o co chodzi?
Bardziej sensownym porównaniem by był ślusarz i otwieranie zamków za pomocą spinki do włosów - które to oczywiście jest u nas zabronione, ale praktycznie każdy to umie dla prostych zamków.
Jeśli jakaś kłodka daje się tak otworzyć, to jej właściciel raczej powinien się cieszyć, że mu pokazałeś, a nie pozywać ciebie, że włamałeś się do niego.
R.
On Wed, 7 May 2014, Wiktor Przybylski wrote:
http://www.mmtorun.pl/artykul/pokazal-luke-w-systemie-zabezpieczen-torunskie...
Jesteśmy 11 lat za Niemcami:
//Saper
http://www.mmtorun.pl/artykul/pokazal-luke-w-systemie-zabezpieczen-torunskie...
Ehh...
-- Pozdrawiam. Wiktor Przybylski
A wystarczyło wysłać anonimowego maila i nie do nich - raczej do GIODO:)
2014-05-07 15:18 GMT+02:00 angelika_piatkowska@interia.pl:
A wystarczyło wysłać anonimowego maila i nie do nich - raczej do GIODO:)
piatkosia++++.
Słyszałem (od największego spamera rzeczypospolitej) dobre rzeczy o reakcjach GIODO. Że podobno jak siądą jakiejś firmie na d**ie, to nie ma przebacz. Ktoś potwierdzi/zaprzeczy?
Jacek Złydach, http://temporal.pr0.pl/devblog | http://esejepg.pl | http://hackerspace-krk.pl TRC - Bringing you tomorrow's solutions yesterday.
On 2014-05-07 14:28, Wiktor Przybylski wrote:
http://www.mmtorun.pl/artykul/pokazal-luke-w-systemie-zabezpieczen-torunskie...
Ehh...
On 08.05.2014 09:59, spin@hackerspace.pl wrote:
On 2014-05-07 14:28, Wiktor Przybylski wrote:
http://www.mmtorun.pl/artykul/pokazal-luke-w-systemie-zabezpieczen-torunskie...
Ehh...
Chyba chcesz mieć kłopoty...
General mailing list General@lists.hackerspace.pl https://lists.hackerspace.pl/mailman/listinfo/general
Tako rzecze spin@hackerspace.pl (2014-05-08, 09:59):
On 2014-05-07 14:28, Wiktor Przybylski wrote:
http://www.mmtorun.pl/artykul/pokazal-luke-w-systemie-zabezpieczen-torunskie...
Ehh...
A nice trip down the memory lane... (inb4 skojarzenia hackerów).
-
"Łukasz \"Cyber Killer\" Korpalski " -
angelika_piatkowska@interia.pl -
antoszka -
Daniel Ziólkowski -
enki -
Jakub Kramarz -
Kuba Niewiarowski -
Leszek Jakubowski -
Marcin Cieslak -
Piotr Szotkowski -
Radoslaw Szkodzinski -
rysiek -
spin@hackerspace.pl -
TeMPOraL -
Wiktor Przybylski