Vlákno názorů k článku Hysteria.sk: jménem zákona se zabavuje od ToM - Zlodeji nebo policajti? Podle diskuse tu jasne vede...
-
ToM (neregistrovaný)Zlodeji nebo policajti? Podle diskuse tu jasne vede hysteria.sk.
Ale proc?
Protoze z jejich serveru byl napadeny pocitac statni spravy? Proto jsou hrdinove?
Protoze spravci nejsou schopni dohledat kdo to provedl? Snad kvuli tomu jsou hrdinove?
Protoze ted statni sprava bude vynakladat kazdy rok minimalne pul miliardy korun za zabezpeceni, audity a dalsi sluzby ze statniho rozpoctu? (odhad je _silne_ podhodnoceny) Proto jsou hrdinove?
Ze k uctu nbusr uhodli heslo nbusr123? Hmm. K tomu clovek potrebuje jiste vysoke matematicke vzdelani z kryptologie.
Jestli spravcove hysteria.sk ani nevedi, co se jim na serveru deje a kdo se jim tam prohani, tak nejsou o nic lepsi nez spravce serveru na nbusr. -
anonymníMyslite rozdil mezi soukromym serverem, ze ktereho se delaji utoky a serverem statni spravy na ktery se delaji utoky?
Jiste. Ten rozdil vidi i male decko. A neni to v privlastcich soukromy vs. statni.
Pokud me bude odstrelovat nekdo ze sveho brlohu, tak mu to hnizdo vypalim a muze se 100x hajit, ze mame demokracii, ze si muze delat co chce. -
Karel (neregistrovaný)Když mi někdo řekně, že jsem si nezamkl auto, tak mu poděkuji a auto si zamknu.
NBU bohužel auto nezamkla a místo poděkování začala křičet "zloděj!" Argument, že neměl vůbec zkoušet brát za kliku, je bohužel pro celou věc irrelevantní a ani sebelepší právník nebo vyšetřovatel tím auto zpětně nezamkne.
Nejsem občanem SR, ale kdybych byl, asi bych se ohradil, že to je moje pěkně drahé a důležité auto, a ten kdo ho nechal odemčené by měl dostat přes držku, protože právě za to zamykání ho platím. A abych se oháněl po tom, kdo na to přišel a oznámil? Ne, pouze bych se snažil zjistit zda byl první a zda skutečně nic nevzal. Pokud ne, omluvil bych se mu. Každopádně už na začátku bych mu poděkoval, protože bůh ví kolik lidí to samé udělalo předtím, nic o tom neřekli a snad ani nedomýšlet, k čemu všemu ty informace mohli použít. Uvědomme si, že "hackeři" z Hysterie nic nerozbili, ale pouze nám ukázali, že už je to rozbité. -
Jinx (neregistrovaný)RTFM! Nejdrive si laskave vsichni overte fakta a pak kecejte ;-) Slo jenom o upozorneni na velmi velke nedostatky v zabezpeceni takto citliveho uradu. Az vam nejaky lamer slohne penize z uctu jenom proto ze admin ve vasi bance je looser, nevi nic o zabezpeceni a cele dny nedela v pracovni dobe nic jineho nez cuci na porno a chatuje urcite budete nadavat...
-
anonymníRTFM? Jaky manual? Tady ti lidi uz placaji fakt paty pres devaty.
Slo jenom o upozorneni? To je do nebe sahajici naivita. Tohle nemuze vymyslet nekdo, kdo ma obcansky prukaz.
Az mi lamer slohne v bance penize, tak to bude problem banky a jejiho nedostatecneho overovaciho postupu. Viz. priklad z praxe z roku cca 2002 - kauza KB (neautorizovany vyber vice nez 8MKc).
Vymyslite blbosti totelne odtrzene od reality. Vy jste tady temer sami teoretici.... -
anonymníStalo. Samozrejme, ze se v KB cukali a porad tvrdili, ze si to majitel vybral sam. Jenze soud rozhodl rychle a jednoznacne.
Ale postup KB byl mozna i pochopitelny (i kdyz to na prvni pohled navypadalo). Banky maji ruzna pojisteni a je dost mozne, ze i pro takoveto pripady. Pro pripadne plneni je ale vetsinou nutne mit soudni rozhodnuti. Takze banku to ve vysledku mozna nestalo ani tolik. -
Izak (neregistrovaný)To ani nahodou, reknou vam, ze jstye to vybral a basta.
LASKAVE SI PRECTETE PODMINKY, je tam jasne receno, ze pokud se nekdo dozvi vase helso, jste zobpovedny vy.... takze hacker odcizi hesla a jste bez penez. Mimochodem znam cloveka, kteremu v zahranici skopli platebni kartu a pak na ni provedli nakup, podle platnych slmluv mezinardni VISA to reklamoval v CR ho poslali doprdele ze je to jeho problem, financni arbitr v EU vs VISA ovsem prokazali, ze v ten sami den tento clovek plati svou kartou uplne v jinem state a tak mu byla hotovost vracena, jenze v absudristane jmenem CR, kde prodejce neni zodpovedny za overeni karty mate smulu. To v blbem Spanelsku po me chcou vsude nejaky prukaz, protoze pak musi resit reklamaci myslim 60 nebo 30 dnu od uskutecneni platby a prisly by o penize.
Jinak za crackly bankomat je v zahranici taky zodpovedny provozovatel, u nas majitel uctu. -
Silne pochybuju, ze by v CR banka u soudu ustala situaci, kdy na jejim bankomatu byla nainstalovana ctecka karet a kamerova lista... Ucivatel neni povinen provadet etchnicou expertizu zarizeni banky pri kazdem pouziti. Je povinen beznou opatrnosti a ochranou karty a tajnych udaju v rozashu svych schopnosti... Lomcovat slicem na krtu, jestli tam nahodou neni namontovany oredstavec, to po nikom nemuzou chtit... -
Miloš (neregistrovaný)Samozřejmě, že hrdinové jsou ti z hysteria.sk a pokud by NBU ovladali profesionalove, a nikoliv banda alibistických diletantů dali by jim naopak metál. Ne za to, že se tam nabourali, ale za to, že tento fakt i postup zveřejnili. ( I kvalita práce NBU musí být pod veřejnou kontrolou). Kolik lidí se tam už nabouralo, z jakých zemí a jak velké bezpečnostní riziko pro Slovensko tento server představoval, se můžeme jen domýšlet. Ale jsem skálopevně přesvědčen, že hysteria.sk nebyla první. Servery těchto "firem" se jistě těší v "sesterských firmách" obzvláštní pozornosti. Stejně tak jsem přesvědčen, že by prokuratura měla vyšetřovat někoho úplně jiného. Nebo snad znáte lepší způsob, jak se v dnešní době může napakovat dvojitý agent? (A k tomu úplně bez rizika - geniální).
-
anonymníMyslim, ze i skolak zakladni skoly vi, ze ziskat neopravneny pristup k cemukoli neni uplne v poradku. A ti znalejsi dokonce vedi, ze to muze byt trestne. A jestli tohle tem chlapeckum nedoslo, tak to jsou zcela jednoduse hlupaci a na metal nemaj narok.
Pokud zjistim, ze jsou otevrene dvere, tak jen blbec se tam vrhne, vezme zarizeni z bytu a pak se haji tim, ze chtel jen upozornit na nedostatecnou bezpecnost.
NBU pod verejnou kontrolou? :-) To asi dost dobre primo nelze. Kdyby mel byt NBU pod verejnou kontrolou, tak neni mozne, aby NBU mohl existovat. Z podstaty veci.
Bezpecnost asi ohrozena nebyla, kdyz zmizely udajne jen pi****. Kdo to trochu zna, tak vi, ze tyhle servery neobsahuji nic jineho. To jen potvrzuje, ze akterovi neslo o zadnou bezpecnost a podobne vyssi cile, ale ze to delal ze zvedavosti. -
Miloš (neregistrovaný)Šmírovat dalekohledem sousedovic ložnici taky není fér. Ale pokud se tímto stanete svědkem vraždy, měl by být stíhán především vrah a nikoliv šmírák. Ti kluci prokázali Slovensku službu, na tom trvám. O tom, že strategické informace jsou chráněny lépe si troufám silně pochybovat. Je to jako kdybyste tvrdil, že nějaký chirurg sice neumí vyříznout slepý střevo, ale srdce operuje výborně. Stejně tak tvrdím, že i NBU musí být pod veřejnou kontrolou, jinak se stane kombinací Gestapa a NKVD (Pokud k tomu už nedošlo). Samozřejmě, že rozhodovat musí bez nějakého omezování. Ale následně si své rozhodnutí musí zodpovědět a obhájit i oni. A tohle by si měli zodpovědět sakramentsky.
-
anonymníNetrvejte. Zadnou sluzbu nikomu neudelali. Snad jen sobe.
A pokud zpochybnujete rozdilnost pristupu (a ochrany) k ruznym typum informaci, tak jste asi tak sto let za opicema, protoze toto se delo jeste driv nez byla vynalezena propiska.
Dnes a denne se opakuje, ze vy kluci si myslite, ze se z hlediska principu pristupu k informacim internetem a vypocetni technikou neco zasadne zmenilo. Neverete akcnim filmum. -
anonymníTakze smirovat je povolene, protoze by smirak mohl byt svedkem pripadneho trestneho cinu?
Ne, ze bych byl pravnik, ale v podstate muzete porusit trestni zakon, ale jen pokud tim zabranite vetsi skode a zadne dalsi prostredky nepomahaji. Na to zakon pamatuje.
Ale tohle neni ten pripad.
1) Ti kluci nechteli zabranit zadne skode. To je jasne a vlastne to i prohlasuji, takze si tu nebudeme nic nalhavat.
2) Nevyuzili zadne jine prostredky, aby pripadne skode zabranili.
3) Nikoho na omezenou bezpecnost neupozornili a souperili s administratorem.
Nechapu vasi slepotu. -
Karel (neregistrovaný)Nejsou hrdinové, jsou poškození.
A půl miliardy investice do zabezpečení za současného personálního obsazení bude mít zhruba stejnou úroveň jako nechat si k bytu namontovat pancéřové dveře, pancéřové zárubně, čtyřstranné duplikované bezpečnostní závory, bezpečnostní vložku a "nekopírovatelnou FABku", když nájemník za sebou beztak nezavírá dveře, natož aby zamykal.
A uvědomte si, že se tu nebavíme o zabezpečení místí samoobsluhy, ale o národní bezpečnosti. Nechci urazit lidi z Hysterie, ale když se do NBU dokáže dostat i takováhle máčala, tak jak těžké to asi bude pro organizovaný zločin, špionáž apod., když si mohou dovolit investovat velké peníze? Proč stát investuje obrovské peníze do boje proti organizovanému zločinu, proč má tajné agenty, konspirační byty, síť informátorů, zásahovku apod., když vzápětí veškeré tajné informace defakto zveřejní? Kolik závažných zločinů pachatelům prošlo jen proto, že se dostali tak snadno k těmto informacím? To už nikdy nezjistíme, leda by se sami přiznali.
Když čtu reakce podobné té vaší, tak mně vždycky zajímá, jestli si dotyčný zamyká byt a auto. Ono přeci odjet cizím nezamčeným autem nebo vykrást nezamčený byt je zákonem zakázáno a proto je zamykání zbytečné. Kolik peněz zbytečně vyhodíte za takové věci jako jsou zámky u auta, centrální zamykání, immobilizery apod? Vždyť krádež auta je zakázána a to přeci úplně stačí, nebo ne? Toto je dost zvrácená logika, ale přesto ji celá řada lidí ve vám podobném duchu na informační technologie aplikuje. -
anonymníAno nejsou hrdinove, ale jak je videt, tak vetsina je tak vidi.
A jestli jsou poskozeni? Muj nazor je, ze jim vubec neslo o nejake overeni bezpecnosti a pod. Jsem presvedcen, ze to udelali z chlapecke zvedavosti a zabavy a domnivam se, ze to take vedi i lidi z policie. Jenze tohle proste neni mozne tolerovat. Pokud dostanu nejake podezreni na snizenou uroven bezpecnosti systemu, myslim ze existuje dost legitimnich cest, jak takovou skutecnost oznamit a dat do poradku.
Problem je, ze kluci za klavesnicema si potrebuji porad neco dokazovat a tak si s administratory hrali na kocku a mys. To nevypadalo jako konzultace...
Takze o nejakych uslechtilych cilech nemuze byt rec.
Faktem je, ze neopravnene ziskani pristupu se NESMI TOLEROVAT. A kluci presne tohle porusili. Ze neudelali zadnou skodu? Ze to nebylo ve zlem umyslu? A opravdovi zaskodnici budou tvrdit neco jineho?
Ad investice do zabezpeceni. Proto jsem psal i audity, ktere proveruji procesy a jejich dodrzovani. A co se tyka te sumy, tak je to spis takova lepsi Fabka v rozsahu statni spravy.
K ruznym informacim se pristupuje ruzne. Ziskana data mela hodnoceni "pi***".
K tem neprisnejsim informacim se rozhodne daleko lepe dostanete socialnim inzenyrstvim nez pres sit. Holt nejmodejnesi veci nemusi byt nejlepsi.
Auto i byt zamykam. A co vy? Uz vam nekdy neco ukradli, protoze jste to nemel "dostatecne" zabezpecene? Kdyz zapomenete zamknout auto a nekdo vam s nim odjede, tak to nechate plavat, protoze to je vase vina? Kdyz zapomeneze zabouchnout dvere, tak vam nebude vadit, ze by nekdo prisel do bytu a prohlizel si vase veci?
Znova opakuji naprosto zasadni pravodlo, ze neopravnene ziskani pristupu se NESMI TOLEROVAT. -
xobot (neregistrovaný)Moje, resp. nase "auto" spravuje sofer.
Ten sofer je plateny od toho, aby sa o auto staral, min. aspon o jeho bezpecnost. Tento sofer ma svoje poslanie zjavne na haku a nechava kluce vo dverach popijajuc si kafe v oblibenom pube. To si vsimnu chalani, auto si pozicaju, opisu si zaznamy z notesu, smsky+kontakty zo sluzobneho mobilu atd co im posluzi ako trofej = dokaz.
Neskor si uvedomia, ze i oni su spoluvlastnici auta a jeho zabezpecenie nie je v poriadku. O celej veci anonymne informuju verejnost....
Ako spoluvlastnik auta (a danovy poplatnik) ma netesi, ze sa niekto vozil v nasom aute a mal pristup k nasim sukr. datam, ale som rad, ze som bol upozorneny na hrube chyby v zabezpeceni danej veci a lajdackosti sofera.
Dosledky upozornenia by mali byt v kazdej rozumnej (no jo :c/ ) spolocnosti zhruba nasledovne:
Chalani by nemali byt potrestani, lebo nam pokytli dolezite informacie, no nemali by byt brani ako hrdinovia (vozit sa bez dovolenia v cudzich autach nie je pre spolocnost ziaduce)
Sofer by mal byt ROZHODNE brany na zodpovednost !!!
Treba analyzovat, k akym skodam mohlo dojst;
hladat stopy, ci uz nedoslo v minulosti k uniku informacii ku gangu autickarom a zabezpecit, aby sa nieco taketo nemohlo (aspon takto primitivne) zopakovat (a ak toho nie su schopni nasi soferi, prenajat si sikovnejsich). -
xobot (neregistrovaný)1. vsak sa jednalo o same pi... a to aj podla vyjadreni "sofera"
2. boli by jedni z mala "zlocincov", ktory zneuziju inf. a vzapati o tom informuju verejnost - to moc logiky nema, a hlavne:
3. nic to nemeni na mojom postoji voci soferovi, ktory hrubym zanedbanim svojich povinnosti take nieco pripustil.
btw: nechapem tu solidaritu s adminmi NBU, keby som svoju pracu sabotoval rovnakym sposobom, tak si to poriadne vyzerem. Kazdemu sa samozrejme moze stat, ze mu hacknu server, ale je rozdiel nevsimnut si, resp. neskoro zareagovat na novoobjavenu chybu v jadre ci sluzbe, a mat servery dostupne bez obmedzenia z celeho sveta + prislusnu password policy.
A to sa bavime o NARODNOM BEZPECNOSTNOM URADE !!! -
anonymníAle kdeze.
1. Pi... to byly podle vyjadreni chalanu
2. Pro kristapana. Jak to, ze to nema logiku? Vzdyt se tim ospravedlnuji! Naopak takhle preci reaguje vetsina "zlocincu". Nebyli by prvni pachatele, co po "kradezi" veci ji jdou vratit puvodnimu majiteli a jeste chteji "nalezne". Vzdyt to urcite vite, jen jste si to neuvedomil.
3. Ano jiste. Rikal jsem, ze s odpovednosti sofera souhlasim. Jenze odpovednost sofera je z pravniho hlediska jiny pripad. To nemuze ospravedlnit chovani pachatelu.
Uvedu jeste jeden markantnejsi pripad, ktery se take stal, v oddelenem threadu. -
disorder (neregistrovaný)1. nie, bolo to oficialne. http://www.sme.sk/clanok.asp?cl=2819980
2. pekne naivne a nebezpecne. naozaj si myslite, ze by to spravili? (okrem toho ze ziskali same *) -
abyssal (neregistrovaný)Nerad by som Vam bral iluzie, ale zrovna platobne karty nie su najlepsim prikladom zabezpecenia.
V Britanii pred rokmi pri zavadzani platobnych kariet existovali "dummy" ucty, ktore boli na testovanie, ale davali realne peniaze. Kvoli jednemu bugu sa raz stalo, ze boli len 3 rozlicne PINy na velkej serii kariet a keby si tie PINy ludia navzajom povedali, zistili by to. Stacilo by potom ukradnut kartu a na 3 pokusy by spravny PIN uhadli :-) Mali velke stastie ze sa tak nestalo (alebo len vo velmi malo pripadoch), inak by sme dnes mozno karty nemali.
Odvtedy sa uz mnohe zlepsilo, ale karta nie vsemocna. Mnohe zariadenia dnes este nevedia citat cipy, len magneticku pasku. Ta sa da lahko skopirovat (napr. nepoctivy predavac si namontuje citacku svoju do povodnej citacky). A kamerou odchytava PIN. Stalo sa uz, tusim CSOB na vaclavaku. Bankomaty maju tiez mnozstvo bugov.
PIN posielany v obalke sa da specialnym vlnenim (druh lasera) precitat bez otvorenia obalky, ta bielo-cierna bodkovana struktura nestaci. Nech sa vymysli hocico, stale to pojde nejak obist.
"dávám si pozor kam ji strkám a komu jí dávám do ruky" - tomu IMHO len verite, ale nie je to pravda (viz predchadzajuci text). -
Petr (neregistrovaný)Zabihame daleko od puvodniho tematu, ale neda mi to:
O kartach nikdy nikdo netvrdil, ze jsou dobre zabezpecene. Bohate staci, ze lze rozsah zneuziti mit pod kontrolou (rekneme kolem 1%). Pak uz lze udelat business case na to, ze poplatky z karet jsou kolem 2%, z toho 1% pokryje ztraty zneuzitim a 1% je zisk.
V USA, odkud se karty rozsirily, nese riziko zneuziti obchodnik a banka. (Lide jsou dokonce federalnim zakonem chraneni - maximum liability je $40.) Jenze v Cechach je to zparchantele a banky riziko prenaseji na drzitele karet. Tim se system rozklada, protoze drzitel karty nema, jak se proti zneuziti ucinne branit. Nastesti pro banky to zatim lidem nevadi; a nanestesti pro uzivatele zatim banky drzi basu a zadna se k tomu nepostavila celem. -
anonymníDavate si pozor kam ji strkate a komu ji davate do ruky? Verte, ze 100% ne dostatecne. Byl byste vyjimka. A i kdybyste ta vyjimka byl, tak vas lituju, protoze to placeni musi byt poradna fuska. A nakonec tu jsou stejne ti ostatni, kteri si pozor nedavaji, vcetne mensiny, ktera si mysli, ze ano. Teorie, ze si maj davat pozor jako vy a tim si to placeni vlastne znemoznit neuspeje.
-
Radius (neregistrovaný)Protoze z jejich serveru byl napadeny pocitac statni spravy? Proto jsou hrdinove?
***ano, kdyz parodie na slozku nbu ma paradoxne bezpecnost zarucovat
Protoze spravci nejsou schopni dohledat kdo to provedl? Snad kvuli tomu jsou hrdinove?
***ano, kdyz organi odnesou server, aby jako nasli stopu, kdyz nedokazou zabezpecit svuj vlastni
Protoze ted statni sprava bude vynakladat kazdy rok minimalne pul miliardy korun za zabezpeceni, audity a dalsi sluzby ze statniho rozpoctu? (odhad je _silne_ podhodnoceny) Proto jsou hrdinove?
***ano, kdyz to nedokazou sami, musi jim nekdo pomoci. je smutne ze za dane obyc.lidi.
Ze k uctu nbusr uhodli heslo nbusr123? Hmm. K tomu clovek potrebuje jiste vysoke matematicke vzdelani z kryptologie.
***ano. jinak by tam to heslo asi nebylo.
ANO!! zavreme inetove kavarny, Zavreme kryptology!!! ANO, zavreme vsechny co jsou chytrejsi nez statni sprava.. ANOOO!!! vypneme vsechno co nemuzeme mit pod kontrolou!!!
chce se me blejt...
