Vlákno názorů k článku Botnet proskenoval celý internet: používá se jen třetina IPv4 adres od anonym - Keď som čítal koniec vety: "přesto škodu způsobil...

Keď som čítal koniec vety: "přesto škodu způsobil tím, že výsledky zveřejnil.", nedá sa mi opýtať: "Keby výsledky nezverejnil, tak by škodu nespôsobil?"

Nechcem polemizovať či mal alebo nemal právo používať cudzí majetok. Zaráža ma to zverejnenie, pretože nerozumiem aká škoda vznikne zverejnením informácií. Pripomína mi to našich politikov, ktorým vzniká ujma zverejnením podrobností o ich bačovaní. Či naše banky, ktorým zase vzniká škoda zverejnením ich bezpečnostných nedostatkov (akoby bez zverejnenia tie chyby neexistovali), atď, atď.

Zverejnil snáď nejaké súkromné informácie, menoval koho zariadenia použil, aby to mohli ďalší zopakovať? Ako teda zverejnením informácií spôsobil škodu? Mám taký pocit, že autor štúdie (nie článku) bude zanedlho obvinený zo znásilnenia prostitútky...

Je velký rozdíl ve zveřejňování běžných informací a informací s bezpečnostním charakterem. Platy úředníků, smlouvy a další podobné údaje nepředstavují pro nikoho bezpečnostní hrozbu a měly by být veřejné (z mnoha důvodů). Ale informace o tom, která firma používá jaký trezor (nebo děravý server), už citlivá je. Je možné takto snadno vytipovat cíle.

Samozřejmě je možné argumentovat tím, že jde o veřejně dostupné informace a může je takto zjistit každý. Ano, teoreticky může, ale každý to nedělá. A především se autor ohání tím, že chce být za všech okolností hodný. Při zveřejnění podrobných údajů (ne obecných statistik) ale tuhle hranici dalece překračuje.

Rozhodně je to otázkou dlouhé debaty. Právě proto, že jsem to nechtěl přejít mávnutím ruky, jsem se o tom v článku zmínil.

Myslím, že tá formulácia bola zvolená veľmi nešťastne, akoby bol výsledok debaty už jasný (a jednoznačný).

V neposlednom rade, stále nerozumiem, čo také zverejnil? Zverejnil ktoré zariadenia boli nezabezpečené? Ich IP či inú adresu? Ich majiteľov? Nie, skonštatoval, že existujú nezabezpečené (resp. slabo zabezpečené) zariadenia, a to je informácia všeobecne známa. Keďže sa v článku oháňate Trestným zákonom, mohli by ste vedieť, že všeobecne známe informácie dokonca netreba na súde ani dokazovať, nie to ešte za ich zopakovanie niekoho postihovať.

A len tak mimochodom, minule som v televízore pozeral akýsi dokumentárny film, kde robili "na živo" test odolnosti trezorov (keď už spomínate trezory). Dokonca uvádzali aj presný typ trezora a výrobcu trezora. Hmm, Vy by ste ich asi zavrel všetkých, hercami (či čo boli zač) počnúc a majiteľmi televízie končiac. A pre istotu aj divákov!

Pletete osm věcí dohromady.

• Trestní zákoník jsem zmiňoval v souvislosti se zneužíváním routerů, ne se zveřejňováním zjištěných informací.
• Nikoho jsem nenavrhoval zavřít. Jen jsem psal, že je to morálně velmi pochybné jednání.
• Říct: „Trezor SuperSafe 2000 je nebezpečný.“ je něco jiného než k tomu dodat: „A koupily si ho tyto firmy na následujících adresách...“
• On zveřejnil podrobné informace včetně IP adres, verzí aplikací, otevřených portech a podobně. Nejde o osobní údaje uživatelů, ale o konkrétní informace o zranitelnostech.

Když se jednou za čas objeví zpráva typu „pomocí Google je možné vyhledávat zranitelné instalace WordPressu“, tak je z toho poměrně velký humbuk. Tenhle člověk zveřejnil informace, podle kterých se dá bez námahy dohledat zranitelnost prakticky čehokoliv. Potřebujete děravý mailserver? Přístup na nějaké SSH?

Já ho nenavrhuji zavřít, upálit ani vykastrovat. Jen upozorňuji na to, že jeho „čistě vědecký a nikoho nepoškozující“ experiment má i temnou stranu.

Ak je to tak ako píšete, potom zverejnil niečo citlivé, ale asi som zle hľadal, pretože IP adresy napadnutých zariadení a popis ich zraniteľnosti som nenašiel...