Vlákno názorů k článku Hysteria.sk: jménem zákona se zabavuje od ToM - Slibil jsem druhy priklad z praxe. (Pro Izaka:...
-
ToM (neregistrovaný)Slibil jsem druhy priklad z praxe. (Pro Izaka: z praxe, tj. skutecne se to stalo)
Nema s tim prvnim pripadem KB nic spolecneho. Jen uspecny vysledek pro majitele uctu.
Na konci devadesatych let tj. na zacatku ery e-bankovnictvi jeden konzultant delal posudky pro policii a vsiml si, ze temer vsechny banky maji problem s bezpecnosti. Pred jednim policajtem prohodil, ze odhaduje, ze do pul roku se zacnou zlodeji vybirat ucty.
A stalo se. Ten samy policajt, za nim do pul roku prisel, ze uz to zacalo. Resili jeden konkretni priklad, kdy podnikateli vybrali 30.000. Smesna sice castka, ale vic tam nemel. Tenhle konzultant nelenil, sedl ke klavesnici a zacal zkoumat servery banky. (Banka pochopitelne tvrdila, ze penize prevedl majitel a mel byt kvuli tomu soud, ze banka penize prevedla nepravem.) Konzultant pochopitelne zjistil bezpecnostni chybu v bance a sel jako znalec svedcit k soudu.
Soud uznal opravnenost pozadavku majitele uctu a prikazal bance penize vratit. Jenze. Banka nelenila a podala trestni oznameni na schopneho konzultanta za "ziskani neopravneneho pristupu ve stadiu pokusu". Sazba 6 mesicu nebo 40 tisic pokuty.
Je chyba v zakone? Kde se stala chyba? Jakkoli se to zda v tomto pripade absurdni (na prvni pohled), tak chybu udelal konzultant. Kde? Ne v tom, ze se rozhodl proverit servery banky. Ne v tom, ze sel svedcit. Udelal chybu v jedne trivialni veci. Sel ty servery proverit na vlastni pest. To je to podstatne _na vlastni pest_. To proste nelze obecne tolerovat. Takove svevolne "testovani", "hrani" atd. muze mit dost vazne nasledky. Nehlede na to, ze neexistuje bezpecny a 100% funkcni system bez chyb. Kdo tvrdi opak, tak tomu nerozumi.
Budiz takove pripady ponaucenim i pro ostatni. Jestlize chci neco testovat, tak jen se souhlasem majitele/provozovatele prip. na zaklade narizeni nebo souhlasu soudu. Pokud mam podezreni na snizenou bezpecnost systemu, tak to muzu stejnym slozkam oznamit formou upozorneni nebo stiznosti atd. Mimochodem, tahle diskuse i timto doporucenim se na internetu objevuje v temer pravidelnych cyklech. Jen proto, ze studenti si neumi cist a neuvedomi si dusledky "svych pravidel" take v opacnych pripadech nez je tento.
Bohuzel je tahle masinerie nutna. Kdyby nebyla, tak je to krok do doby zakona kyje a tesaku. Do doby bez platebnich karet, bez elektronickeho bankovnictvi, bez elektronickych podpisu, bez emailu, bez celeho internetu. -
turzin (neregistrovaný)no jasne ze "je tato masinerie nutna a jinak zakon kyje a tesaku", vsichni poslouchat velkyho bratra, nikdo bez povoleni nic nedelat... o bezpecnost se postara hodnej nezkorumpovanej statni urednik, se spamem zatoci novej zakon prosi spamu a firewally sou k nicemu, protoze se nikdo nebude o nic poukouset
-
Toudy (neregistrovaný)Nechapem niektorych ludi na tejto diskusii (vratane teba). Porovnavat to co stalo v NBU s bankou alebo vykradnutim bytu/auta. Podla mna porovnavate dve neporovnatelne veci, lebo tu boli (odsudzene) nematerialne veci, takze akekolvek porovnanie z materialnymi nie je uplne realne.
Skusim priklad ja. NBU = patentovy urad. Maily = patenty. Povedzme, ze by sa na patentovom urade niekde v USA/EU niekto takto nabural do patentoveho uradu a skopiroval si vsetky patenty co tam su. Ochrana by bola uplne rovnaka ako v NBU. Co myslis, ako vlastnik patentu (ktory si za jeho regisraciu a evidenciu musis zaplatit). Koho by si vynil. Patentovy urad, alebo toho co si tie patenty skopiroval. Pritom podotykam, ze tie patenty ma len pre svoje vlastne potesenie. Nikde ich nemoze pouzit (lebo patentovane to mas ty a keby to spravil, ulahcil by tym svoje dolapenie, nikde ich nemoze oficialne predat, dokonca ani zverejnit, ze ich ma - a keby to chcel predat potajme, tak by nato asi logicky neupozornoval). Cize ak to zverejnil tak asi nema umysel to dat konkurencii alebo nejako zneuzit, lebo tym by len na seba upozornil. V zasade, ako vlastnik patentu si k ujme neprisiel, lebo tvoj patent ti ostal (aj so vsetkymi pravami). Jedina ujma ktora ti nastala je, ze okrem patentoveho uradu, ma pristup k tvojmu patentu aj nikto iny, kto by ho sice mat nemal (ale pravdepodobne to nijako nezneuzije, lebo keby to chcel spravit tak opakujem, ze nato neupozorni verejnost). Na druhej strane, vdaka tomu co urobil vies, ze za peniaze co musis platit, sa nikto nestara o bezpecnost tvojho dusevneho vlastnictva a ak uz v minulosti niekto vyuzil tuto nedbalost, tak ta to mohlo/moze v buducnosti stat vela penazi.
Pritom keby nato upozornil v sulade zo zakonom (administratora patentoveho uradu), tak s pravdepodobnostou hraniciacou s istotou, by sa nic nezmenilo, lebo clovek ktoreho netrapi takyto stav veci, by si po upozorneni na problem asi nevstupil do svedomia a nezacal pracovat tak ako by sa cakalo. Maximalne by tomu venoval tak 2 minuty, zalepil by to naco si ho upozornil a zase by pokracoval v svojom nic nerobeni (nikto by mu neslapal na prsty, nikto by ho nezacal kontrolovat a brat na zodpovednost, nikto by ten problem neriesil - skratka by isiel do stratna).
Prepac, ked si ja mohol vybrat medzi moznostou, aby mal nejaky pubis doma moj patent a musel si davat pozor aby sa nedostal nikomu do ruk, lebo zato moze dostat basu, alebo zit v blazenej nevedomosti, ze platim amaterom za nieco, co nerobia a myslim si, ako je to chranene, pritom to moze ktokolvek zneuzit, tak je asi jasne co by som si vybral. Samozrejme moralisti ako ty, by vybrali druhu moznost - len som zvedavy, ci aj v skutocnosti :) -
ToM (neregistrovaný)Patentovy urad a patentova ochrana funguje dost jinak. Ale budiz. Rozumim prikladu a zkusim odpovedet.
V takovem pripade jsou vini oba. Jak patentovy urad tak zlodej. (Uvahy o hodnem zlodeji jsou blbost. To jsou teoreticke uvahy se kterymi nelze v praxi pocitat.)
Chlapi proberte se. Ja souhlasim, ze by to bylo krasne, zit v takovem svete. Ale tohle neni realita. Pokud byste chteli omlouvat prunik do systemu nejakymi "cistymi" umysly, tak jak zastavite ty "opravdove" zlocince, kdyz vsichni tvrdi, ze jen testovali bezpecnost? Timhle pristupem by se cely system totalne zhroutil. Na to bohutel nemyslite.
Takze tyhle teorie jsou tak na urovni marxisticko-leninske ideologie "Kazdy podle svych schopnosti, kazdemu podle jeho potreb." tj. hezka nerealizovatelna idea. -
Toudy (neregistrovaný)Dobre tak je podla teba rozdiel medzi tymito situaciami?
Zistis, ze niekto si pozera kazdy den tvoju postu, subory u teba na pc, ....
Pride ti email, ze tak a tak som sa dostal do tvojho pocitaca a ked chces tomu v buducnosti zabranit, tak si to osetri, alebo si to nechaj spravit ludom co tomu rozumeju? On ti ten email poslat nemusel. Ak bol dobry, nikdy v zivote by sa sa nedozvedel ze tam bol prihlaseny. Mohol tu chybu poslat dalsim ludom aby sa ti tiez pohrabali v pc, ... .
Netvrdim, ze zhladiska zakona je medzi nimi rozdiel. Ale popravde, ak si mozem vybrat, tak nech na moje chyby pride clovek, ktory ma nato upozorni ako ten co mi nic nepovie a chodi sa tam kochat kazdy den. A to ze sa k mojim udajom dostane nikto iny ako ja, je pre mna problem. Ale ak o tom viem, ze tymi udajmi disponuje niekto iny (a este on sam ma nato upozorni, pricom sam by som nato pravdepodobne v zivote neprisiel), tak je to podstatne mensie zlo (a bral by som to ako dan za svoju nevedomost resp. poplatok za vyucbu). -
ToM (neregistrovaný)Tak ja ti ten priklad ted dopovim.
Ty toho hodneho "hackera" poplacas po ramenou. Pozves ho treba na pivo. Podekujes, zabezpecis si pocitac a jsi v pohode.
Jenze tenhle hodny kamos, ti za 2 minuty vybere ucety, elektronicky za tebe podepise prodejni smlouvu na auto (pripadne v budoucnosti i na nemovitost) a zneuzije dalsi tvoje soukrome informace (treba ti vyfoukne nejaky business) atd. atd.
A ty pak brecis a nadavas si, jakej jsi to byl vul.
Nemuzes prece pocitat s tim, ze vsichni kolem tebe jsou hodni. Trebaze tak vypadaj. -
ToM (neregistrovaný)Proc? Nema k tomu duvod. Chcete rict, ze kdy to takhle udelam vam, tak me nebudete podezirat? :-) Tomu se rika pokrytectvi. Urcite to ve wikipedii najdete.
A druha vec je, ze nikdo nezaruci, ze se tyhle citlive udaje nedostaly od hodneho hackera do rukou zlemu hackerovi, ktery je zneuzije.
Vidite, ze vase teorie o hodnych hackerech v praxi muzou hezky rychle narazit. Tak se s tim konecne smirte. -
ToM (neregistrovaný)Vitejte v jednadvacatem stoleti. Dokonce uz koncem minuleho stoleti vyznam slova hacker morfoval. Dnes oznacuje jak zle tak hodne osoby.
Priznejte se, ze vy tu wikipedii, na kterou tady odkazujete, vlastne ani nectete!
Takze zly hacker smaze disk a basta? Super teorie. V jakem jste casovem pasmu? Neni u vas brzke rano? -
disorder (neregistrovaný)povedal kto? je kopa inyh slov, ktore media a vacsina ludi vyklada inak a pritom zmysel ostava rovnaky. len preto, ze nejaky debilko v telke vam povedal, ze to su zli hackeri, tak to nie je pravda.
> Takze zly hacker smaze disk a basta? Super teorie. V jakem jste casovem pasmu? Neni u vas brzke rano?
zly clovek, nie hacker. -
ToM (neregistrovaný)Asi slepy. Hned prvni odstavec:
The term usually bears strong connotations, but may be either positive or negative depending on cultural context
Konecne si prectete i ty odstavce, na ktere upozornujete. Predevsim ten 1.2.
Vy opravdu malo ctete. Pak se neni cemu divit, ze mate tak pokrivene nazory a predstavy. -
another debian user (neregistrovaný)However, the most common usage of hacker in this respect refers to someone who exploits systems or gains unauthorized access by means of clever tactics and detailed knowledge, while taking advantage of any carelessness or ignorance on the part of system operators. This use of hacker as intruder (frequent in the media) generally has a strong negative connotation, and is disparaged and discouraged within the computer community
ale ja som slepy. uz nemam slov, tymto ste ma presvedcil o tom, ze netreba pokracovat. -
ToM (neregistrovaný)Tak vidite, ze to ma i negativni vyznam. Zmena vyznamu slova a to bud rozsirovanim vyznamu nebo zuzovanim vyznamu je naprosto bezny zpusob tvorby slov, ktery existuje ve vsech jazycich.
Taky si tukate na hlavu, kdyz nekdo mluvi o fotbalovem zapase? Vzdyt se hraci za pas nechataji! To je totiz puvodni vyznam slova zapas.
Jazyk se vyviji. Neni to nic, co by zakonzervovali nasi obrozenci. -
ToM (neregistrovaný)Neni to rozdil. Slovo zapas take existovalo veky a jaky ma dnes vyznam (a desitky dalsich). Nebylo to nic platne.
A se slovem hacker to je stejne. Mate smulu. Tenhle boj uz jste prohral.
Ano. Ve chvili, kdy vic nez 90 procent lidi ma pod slovem hacker fixovaneho zleho hackera a neni sance jak to zmenit, tak jste ten boj uz davno prohral. A to i z hlediska pravniho (viz. soudni rad). Pripominate mi Paroubka, ktery se hadal o vysledky voleb a to mel daleko priznivejsi skore nez mate vy.
Ti rozumnejsi alespon se snazili zavest pojmy white-hat a black-hat. Ale mezi ty, vy urcite nepatrite.
Koncim. Venoval jsem vam vic nez je zdravo sveho casu. Dle vasi teorie byste mi mel za informace zaplatit, ale netrvam na tom (ostatne mozna jsem vam mezi tim uz vybral bankovni ucet ;-)) -
disorder (neregistrovaný)je mi luto, nepoznam etymologiu slova zapas, ale vyzera to byt diametralne odlisne.
pokial sa bude vo vsetkych vykladoch slova nachadzat vysvetlenie, ze to nie je jeho pravy vyznam a bude odkazovat na cracking - tak mate smolu vy. tak ako nepredefinujete ine slova.
konecne, uz som myslel, ze neprestanete. a platit? za co? za tu kopu kecov? podla akej teorie? niekto tu "mlží" -
anonymní
Takze tyhle teorie jsou tak na urovni marxisticko-leninske ideologie "Kazdy podle svych schopnosti, kazdemu podle jeho potreb." tj. hezka nerealizovatelna idea.
IMHO open source/free software je k tomuto idealu hodne blizko. Kazdy podla svojich schopnosti plati trivialne, kazdy podla svojich potrieb plati vo vela pripadoch (feature requesty, atd.). Preto si ho mnohi mylia s komunizmom, pritom je to meritokracia. Netvrdim, ze sa to da pouzit v "realnom" svete, ale poukazuje to na povodny problem.
-
anthem (neregistrovaný)Takze clovek, co slusne upozorni adminov banky, ze na webe internetoveho bankovnictva maju chybu, je kriminalnik? Bez naroku na odmenu, len preto, aby kvoli nejakemu "chytrakovi" neprisiel o peniaze on ani ostatni. Tak dakujem pekne, neprosim, na taky system mozem viete co.
A upovedomit "zlozky"? Aby sa to mesiac tahalo, len ked treba zmenit 3 slova v zakone? A robi na tom skupina ludi, ktorym nikto neuhradi strateny cas, ktory by inak stravili v praci?
Za to, ze ste si zvolili sporny system, my nemozeme. Zo sporneho systemu odvodite kazdu kravinu. Viz: obcan nic nepovie - "kto mlci ten svedci", obcan nieco povie - "trafena hus zagagala". A taketo kraviny v zakonoch naozaj su (skusenosti na vlastnej kozi).
Samozrejme by stat chcel, aby sa kazdy najprv spytal: "Sudruzka vychovavatelka, mozem odmerat ihrisko a dokazat, ze to neni 20 metrov ale 40 metrov?" Sudruzka by povedala: "Nie, tomiku, pretoze som povedala." Je jasne, preco to statu vyhovuje a preco je to kardinalna blbost. -
ToM (neregistrovaný)Aaaa dalsi molekula inertniho plynu. Kolik vas v tom vakuu jeste je?
Jaka jste generace, ze uz nerozumite cestine? Pisal som, ze ten chalan to robil viacmenej na vlastne triko. Admini o tom nevedeli.
Precitajte si najprv tie prispevky. Bolo uz povedane vse podstatne vratanie nesmlyslnosti vasej teorie.
PS: Za pripadne gramaticke chyby sa ospravedlnujem. -
caepule (neregistrovaný)Jde ovsem o to, zda-li je anonymni proxy bez logu neco, co je z principu spatne?
Protoze lidska svoboda je vec mnohem krehci a zranitelnejsi, nez pitomosti (ve srovnani) jako system platebnich karet nebo elektronickeho bankovnictvi.
A protoze velke spolky maji zajem tak maximalne na tom, vydojit ze svych ovecek co nejvice a zredukovat jejich prava a svobody na minimum, to vse ve jmenu spravedlnosti a bezpecnosti (nebo posledni dobou napriklad ve jmenu boje proti terorismu).
A proto musi stovky lidi donekonecna kopat do zakonem posvecenych zlodeju a mocipanu... (napr. poplatky bank pro obchodniky za pouzivani platebnich karet nejsou nicim jinym, nez zakonem posvecena lichva). Bohuzel je tato vzdorovitost nutna. Kdyby nebyla, bude to navrat do doby, kdy se nekteri lide rodili jako otroci, kdy kazda zena byla menecena oproti kazdemu muzi a kdy se do delniku, stavkujicich ohledne svojeho postaveni ve spolecnosti strilelo ze samopalu.
A btw, internet byl "pouzitelny" davno predtim, nez se zacaly prosazovat prihlouple zakony ohledne uchovavani dat providery. ;-) -
ToM (neregistrovaný)Z principu a v idealnim svete to neni vubec spatna vec.
Registrace zbrani take nebyla od prvniho okamziku jejiho vynalezu. Dokonce ani po prvnim problemu s identifikaci pachatele se nic takoveho nezavedlo.
K takovym krokum se pristupuje pokud vyvstane nejaky problem, prip. je vysoka pravdepodobnost, ze vznikne. A muze tim ke vsemu ohrozit rad spolecnosti.
Shrnu-li to, tak tu proti sobe stoji dva nazory:
1) neco s tim delat, a jako "neco" se v tuto chvili nabizi "jen" logovani cinnosti.
2) nic s tim nedelat a nechat celemu prubehu volnost
Muj nazor je, ze varianta 2) znamena, ze kdokoli bude moct beztrestne:
a) zjistit cizi heslo
b) zjistit duverne udaje a zneuzit je napr. v obchodnim styku
c) vyuzivat komercni sluzby na cizi ucet
d) uzavirat smlouvy za cizi osoby bez jejich vedomi
e) podavat bankovni prikazy bez vedomi majitele uctu
f) podavat danova priznani a tim dostat cizi lidi do problemu
g) dokonce kdokoli bude moci vyrazovat sluzby z provozu
h) atd. atd.
Zatim tady nepadlo jedine reseni jak tomuto predejit. Az navrhnete cestu, tak tomu zamezit, tak od prosazovani logu ustoupim.
Takze pochlapite se? -
hm (neregistrovaný)Rozlisujte medzi umyslom a nahodou.
a) technicky moze zistit admin hesla userov nahodou pri rieseni nejakeho sietoveho problemu, prevazna vacsina pouzivanych protokolov je nechranena. Na zneuzitie treba umysel
b) az h) vyzaduje umysel
Z principu je kazda obrana prelomitelna. Ak na to niekto neupozorni, zacnu sa tam hrabat ludia s necistymi umyslami a ti sa tym budu chvalit tak max. medzi sebou.
Nie som sice pravnik, ale ak ma pamat neklame, pri sude treba preukazat umysel, alebo? Vyzadova logy vypoveda o neschopnosti vysetrit pripad. Ak suhlasite s logmi, tak zacnite prikladom: namontujeme Vam kamery vsade do domu aj na oblecenie, atd. -
ToM (neregistrovaný)U nekterych trestnych cinu je nutne dokazat umysl, u nekterych ne. To ale nesouvisi s tim, ze mi ve "vasem svete" nedokazete zajistit/vynutit relativne bezpecne prostredi.
Znova opakuji. Jak chcete zamezit/omezit riziko, ze nekdo provede a-h?
NIKDO TOTO RIZIKO NERESI!!!! Naopak to jeste podporujete ve jmenu pochybne "svobody".
Jak vy byste takovy pripad resil. Nekdo napadne server zpusobi skodu a vy? Pokrcite rameny a placnete vetu "Meli si to zabezpecit."? -
hm (neregistrovaný)"NIKDO TOTO RIZIKO NERESI!!!!"
Ano, presne to sa snazim povedat cely cas. To sa riesit v principe neda - na kazde opatrenie niekto najde cesticku okolo, atd.
Nepodari sa Vam zarucit 100% ze sa niekto niekde nenabura (pocitac, dom, auto) a nieco neposkodi/neukradne. Ale zrovna v oblasti pocitacovej bezpecnosti to vyzera takto:
-je kopa script kiddies, ti si postahuju sniffery a strasne sa vytesuju, ze niekomu odchytia heslo. Potom ich to prejde alebo dostanu po prstoch (viz afera Nova vs "ukradnutie hesiel Seznamu").
-script kiddies to po case bud prestane bavit, bud dalej tomu nerozumeju, alebo sa ucia dalej. Nemusi to byt nutne napadanim cudzich pocitacov, casto si to simuluju na vlastnych. Ucenie je jednoducho vyzva, nieco ako sach. Aj pri prelomeni sa casto stava, ze ak admin napadnuteho stroja urobil len malu chybicku, tak casto dostane oznamenie, ze tam ma chybu (ak to teda nema derave jak prehnity emental)
-tito ludia sa neskor zamestnaju ako admini/specialisti na bezpecnost, ak ich budete ostrakizovat, tak bude akurat kopa neschopnych adminov a kopa zbytocnych problemov
Co je jadro problemu: Ak sa pozriete na spravy rozlicnych velkych spolocnosti (MC-Afee, Symantec, atd.), tak zistite, ze skoro vsetok spam, podvodne kliky, viry a ina haved pochadza od relativne maleho mnozstva organizovanych skupin (radovo 10-20). Oni dokonca medzi sebou superia, vymazavaju si viry a trojany navzajom. Ak by sme to zobrali do extremu, reverznym inzinierstvom virov by tie kompy sli na dialku zaplatovat :-)
"Zly hacker" je vacsinou mytus, skor vynimka nez pravidlo, az na tych par organizovanych skupin (ale tie budete hladat niekde uplne inde nez na hysterke). -
abyssal (neregistrovaný)
Takze nad tim, ze nad beztrestnosti utoku na server jen krcite rameny s poznamkou "takovy je zivot"?
Mozete sa na to pozerat aj tak. Ale na kazdej aspon trocha solidnej prednaske o informacnej bezpecnosti hned v prvych par minutach ucia:
- neexistuje dokonale bezpecny system (jedine rozmlatit komp kladivom, prepiect v mikrovlnke, zabetonovat a hodit hlboko do mora, co zase nerobi ten komp moc uzitocnym ;-))
- bezpecnost je proces, nie produkt, tj. nikdy nebude existovat nejaky balik, ktory vyriesi vsetky problemy, ako sa to napr. Mrakosoft snazi nahustit ludom do hlavy
Je dokazatelne, ze za urcitych predpokladov (splnenych vacsinou v nasom svete) prave ta "neexistencia absolutnej bezpecnosti" plati. Ci to bude uzivatelom stacit, je ich vec. Keby som mal dat zaucho kazdemu, ked mi hadze pod nohy klaciky len preto, ze nedokaze pochopit pravdu, tak by odo mna odchadzalo vela ludi s cervenymi usami ;-) (zase plati to aj opacne, tiez som sa velakrat popalil ked som tvrdil blbosti, proste clovek sa musi ucit aby mohol rast)
Spytajte sa toto lubovolneho cloveka, co je v branzi dost dlho (pozrite napr. The Daily WTF). Kazdy potvrdi, ze videl tolko deravych systemov, ze bol zazrak, ze sa do nich nikto nenabural. Alebo ked sa aj nabural, tak nesposobil velku skodu. Kazdy potvrdi rozlicne "nemenovane firmy", kde zostaval rozum stat.
Nie je problem, ak autor/programator/admin uzna kritiku, pouci sa a nabuduce chybu nespravi. Horsi su taki, co si myslia, ze zozrali mudrost sveta a nechcu si chybu priznat, zvaluju vinu na tych, co na chybu upozornuju.
-
abyssal (neregistrovaný)Ja to tiez opakujem od zaciatku :-)
Ci to uzivatelom stacit bude, to je mi jedno. Trebars nech nepouzivaju internet. Mne pride, ze sa snazite, aby uzivatelia boli schopni bezpecne pouzit vec, ktorej takmer vobec nerozumeju. To je asi ako dat dietatu zapalky bez varovania. V najlepsom pripade zisti, ze ohen pali bez velkych zraneni, v horsom bude mat velke zranenia a v najhorsom sa z toho nikdy nepouci (a popali sa znova).
Medialna masaz (na cele s Mrakosoftom) sa snazi uzivatelov presvedcit, ze vsetko je easy a plug-and-play a click-a-blij a neviemco. Uzivatelia potom cakaju bezpecny a funkcny balik, co je takmer oxymoron. Ale nie je to tak - a oni na to nakoniec pridu (zase v lepsom pripade sa poucia, v horsom nadavaju na vsetko okolo).
Cele mi to pride tak, ze hladate riesenie v nespravnom tvare: hladate jednoduche blbuvzdorne riesenie na problem, ktory nie je konecny (jedno ci sa jedna o zakon alebo o pocitacovu bezpecnost). -
ToM (neregistrovaný)Vam je to jedno? Tak to vam taky bude jedno povinne logovani. Protoze diky temto lidem, kteri vas nezajimaji, se to prosadi. Pesek.
Medialni masaz? Mrknete obcas na Internet. Uz nekolik mesicu je to spis masaz o Linuxu.
Snazim se problem resit, zatimco vy jste na to rezignoval. Kdo z nas dvou ziska podporu verejnosti? Ne jenom obecne verejnosti. Trvam na tom, ze s drtivou prevahou ziskam prevahu i odborne verejnosti. -
abyssal (neregistrovaný)Neprekrucajte prosim to, co som povedal.
Logovanie mi nie je jedno. Co tvrdim je, ze nech "nebezpecne" veci pouziva kazdy na vlastne riziko. Nech sa uci. Materialov je dost. Staci chut a nejaky ochotny clovek sa pripadne najde, co pomoze (ak to nebudu stale ten isty problem dokola). Alebo nech si tych ludi na bezpecnost zaplatia - vela ludi ma pocit, ze "henten odvedla" mi vzdy zadara pomoze s akymkolvek problemom.
Riesenim je mat kvalitnych adminov. A tych odpovedajuco zaplatit. A ten, co ich vybera, nech ich vybera podla znalosti a nie podla toho, ze su napr. synom sefky brata byvaleho spolubydlica.
Ad rezignovanost: nie, ja jednoducho vidim, ze konecny algoritmus (zakon) na nekonecny problem obecne nevymyslite, nezavisle od toho, jak moc budete chciet, aj ked sa na hlavu postavite. -
ToM (neregistrovaný)No to je nadhera. Kdyz to zopakuju tak:
1) nejdriv reknete, ze neexistuje zabezpeceny system
2) pak lidem radite, aby pouzivali jen zabezpecene systemy
3) dodate, ze nezabezpecene veci - to jest vsechny (viz 1) - ma kazdy pouzivat na vlastni riziko
4) a ukoncite to tvrzenim, ze na pocitacovou kriminalitu nerezignujete.
Jen jeden tady mel vetsi blaboly nez tohle.
Prosim vas usporadejte si sve myslenky, abyste sam sebe za dve reakce nepoprel. -
caepule (neregistrovaný)Stejne nevidim, jak by tomu zabranilo i napr. postaveni anonymnich proxy mimo zakon.
Uz jenom proto, ze pokud ziskam roota na cizim stroji, muzu z nej stejne nakonec anonymni-proxy "vyrobit" (pokud uz nekdo ziska podobny pristup a neni blazen, zacne pochopitelne mazat logy).
Dulezita vec je, ze a-h nikdy nepujde a neslo beztrestne, mluvime tu jenom o efektivite potirani podobnych veci.
Ad e, Pokud vim, tak za zneuziti sluzby banovnich prevodu bude vzdy zodpovedna banka, at uz se jedna o platebni karty nebo napr. elektronicke bankovnictvi, pokud snad soudne neprokaze klientovi umysl (vetsinou nicmene vse odskace obchodnik :P ).
Pokud nekdo bude spolehat na smlouvu uzavrenou po internetu (to jde??) a neoveri si to alespon telefonatem s protistranou, pak je blazen a neverim, ze jeho "narok" soud uzna! ;-)
No a nakonec, kdyz si umi s anonymous-proxy "poradit", tj. blokovat, na spouste IRC serveru (kvalitnich blacklistu jsou mraky), tak by si s tim snad kolegove ITaci v bankach a na uradech mohli taky poradit, ne? Pokud to nedokazou, tak jsou diletanti a rozhodne nejsou spravne na svem miste.
Ono uz jenom to, jak banky jeste nedavno tvrdily, ze pouzivani e-bankovnictvi odkudkoliv je v poradku a bezpecne i z uplne ciziho pocitace (v dobe kdy ochrana byla pres na klavesnici zadane heslo) je do nebe volajici diletanstvi, to jen tak pro uplnost!
Takze na zaver, volim moznost 2 (nedelat nic), protoze se o nic tak zavazneho nedeje (nikdo neumira ;-)), sice bych byl pro, napriklad pokud se tyka potirani terorismu, ale tam zase absolutne neverim v efektivitu podobnych "nastroju". -
ToM (neregistrovaný)Jo, to je slovo do pranice. Nikdo neveri, ze to kriminalitu odstrani, ale urcite to omezi. A jeli na vyber toto proti nicemi, tak radeji toto.
a-h bude de-facto beztrestne.
e ... ktera banka bude provozovat bankovnictvi, kdyz kazdy neopravneny prevod pujde z jeji kapsy?
O co je bezpecnejsi telefon nez internet? Notabene kdyz za chvili tu mame boom VOIPu. Blazni jsou vsichni co podavaji elektronicky danove priznani? Blazni jsou vsichni co delaji prevody penez pres internet?
Bezpecnost IRC? Ale no tak. To je dokonaly protimluv.
Takze radeji volite zivot bez pocitacu a internetu. No proc ne. Znam takovy, co se chtej vratit do jeskyni.
Ale jsem si 100% jist, ze vetsina lidi bude volit 1). -
pepan (neregistrovaný)Tome nepoznas zakladny princip demokracie, clovek je nevinny pokial mu sud nepreukaze vinu. demokracia sluzi ludom (aspon by mala), v opacnom, Vami udavanom pripade ide o policajny stat, kde kazdy je posudzovany ako potencionalny zlocinec.
Pritom jeho jediny dokazatelny precin (ak spravil len to, co spravil) je, ze vstupil na sukromny pozemok bez povolenia (ak by som to prirovnal k hmotnemu svetu, proste vopchal kluc a zamok sa otvoril, co sa strochou stastia moze stat aj na normalnom zamku) a zistil, ze je to slabo zabazpecene a zistenie oznamil, ale ak by, co i len cital doverne data, mozu ho za narusenie sukromia alebo narusenie listoveho tajomstva alebo nieco podobne (prirovnanie tiez k hmotnemu svetu) odsudit aj za toto, ale myslim, ze tato skutocnost mu zatial dokazana nebola.
nepoznate problematiku bezpecnosti a osocujete tu odbornika, ak povedal, ze neexistuje bezpecny system, tak neexistuje, ak povedal, ze mate pouzivat bezpecne systemy tak ich pouzivajte, tieto vety si neodporuju ...
admin NBUSR mal byt na hodinu prepusteny.
a len clovek nezasvateny do prava a bezpecnosti, moze zvolit 1.
btw. bezpecny system je taky system, ktory vsetky uvazovane(!!!) poruchy prevedie do bezpecneho stavu, to znamena ze aj MSWIN je bezpecny ak povedia, ze sa vam do kompu nikto nenabura, pretoze to mi nepredpokladame, alebo je tu minimalna sanca(uvazovana porucha , ale z minimalnou pravdepodobnostou vyskytu, ktoru vyratal nejaky MS expert, ktora je ale omnoho vyssia a mala by byt uvazovana)
ste, clovek, ktory nedoveruje nicomu, len sebe, taky ludia su najnebezpecnejsi !!!
ak chcete takto narabat zo svetom, tak bezte na Kubu alebo do Ciny, tam sa maju ludia dobre.
v sulade s tym, co som napisal na zaciatku, ja beriem urcite 2. takze vasich 100% si mozete strcit ... -
ToM (neregistrovaný)V souladu s demokracii by lide zvolili cestu 1.
A dale.. Jak muzete takhle studovat, kdyz vam z ty matematiky porad vypadavaji dost dulezite axiomy ze zivota (minimalne vam dvema poslednim diskutujicim). Pak je jasne, ze mate spatny vysledek.
a) bezpecny server neexistuje
b) nepouzivat server, ktery neni bezpecny
resenim je nepouzivat server, jenze zapominate na to hlavni
c) lide chteji pouzivat server
d) zdroje (financni, lidske) jsou omezene
Vase filozoficka definice bezpecneho systemu je sice krasna, ale je
1) zalozena na subjektivnim hodnoceni bezpecnosti
2) pripousti prolomeni systemu
3) neresi pripad 2 a tim jste zase na uplnem zacatku
Takze se mejte za experta, ale v oblasti bezpecnosti radeji ne.
Znova opakuji: NIKDO Z VAS RADOBY EXPERTU NENAVRHL USPESNEJSI RESENI, SIROCE AKCEPTOVATELNE, KTERE BY BYLO LEPSI NEZ LOGOVANI.
Snazize se, snazite, ale nejde vam to. -
pepan (neregistrovaný)a je videt, ze vy ste lama, ufnukany chudacik, co fušuje do veci, o ktorych nema ani paru. ani jeden vas nazor nema pevnu podu pod nohami ...
ta definicia bezpecnosti je taka aka ma byt, precitajte si normu a pridite sa ospravedlnit.
ja radsej pojdem na kavu z cestnym clovekom, co mi povedal, ze mam deravy komp, ako s idiotom, co zozral mudrost sveta.
diskusiu si kludne uzavrite, tymto vyrokom ste len uzavrel svoju obmedzenost, znalec naroda ;-) ale je pravda, ze kazdy priemerny clovek zvoli 1, zdar vasej priemernosti. -
zufik (neregistrovaný)Este jeden prispevocek pred triumfalnym vitazstvom...
CO LOGOVANIM VYRIESITE?uvediem pribeh z dielne pavla dobsinskeho: som zly skaredy oplzly a nadovsetko nebezpecny hacker/radsej cracker/ ktory udaje zneuziva a nikomu o tom nic nepovie..pridem do internetovej kaviarne a popri pive na neakom slabsie zabezpecenom kompe niekde na nete nazvyme ho xy ziskam/napr pomocou nbuser a nbuser123/ roota..fajn logy su povinne takze mam log na servri kaviarne ze z jedneho pocitaca v kaviarni pristupujem na masinu xy..no podme do extremu..loguju sa aj cele pakety..lenze co z toho ked som si konneksn tuneloval sslkom?a je nelegalne pristupovat k pocitacu xy? nieje..samozrejme ze budem v logoch na xy..ale tam uz som root..co z toho vypliva? mozu mi vsetci fukat praskovy cukor do ritneho otvoru pretoze ked uz som root s radostou si logy prekreslim ako sa mi chce..a aj keby sa mi prave nehcelo hrat maju tam akurat pristup z neakej net kaviarne//tak mi napada..nemali by sme pred pristupom na net z ic udavat obsluhe svoje rodne cislo?//no podme dalej do extremov nech ma zaloguje aj kazdy router ktorym presli moje pakety..co tym ziskaju? nic..najdu tam koneksn z jednej masiny v neakej ic na masinu xy..ale uz sa mi nechce byt v kaviarni..tak idem domov a na xy pristupujem z domu..a na xy su stale logy ake chcem ja najlepsie teda bez mojich koneksn..trosku odbocim a teraz to uvedieme na konkretny priklad hysterky..som strasne zly cracker a vsetci na hysterke ma uz davno stvu..su to lamy a ja ich potrebujem zneskodnit..tak ich poslem k ujom policajtom..ako? neaky lamkos crackol velmi nebezpecny server..nazvime ho vnu/velmi nebezpecny urad/..a teraz po nom patra pol policajneho statu pretoze ten debil to zverejnil..tak sa teda pripojim na moj oblubeny xy a cez proxy na hysterke sa idem polamacky priamo pozriet na vnu trosku sa im tam pohrabem..ale to len tak symbolicky a hned tam maju log hysterky..samozrejme proxy na tej skaredej hysterii si ma zapise do logov..co sa stane teraz? pridu ujovia policajti..a zacnu svojimi mudrymi hlavickami skumat server vnu..co tam najdu? koneksn priamo z hysterii..aa ano..to je ta liahen hackerov..a huraaa ideme zabavit dokazovy material..a kedze na hysterii je vsetko logovane co tam najdu tak po troch mesiacoch? aaa koneksn z xy..ideme na xy..lenze na xy su len logy ktore sa mi tam pacili..a aby som sa hadam dopracoval k niecomu s tou hysterkou hodim tam koneksn priamo z tej spinavej jaskyne plnej hackerov..samozrejme ze mimo milionu5 dalsich logov ich zaujme prave tento..vobec ich nebudu trapit tie z mojej nenapadnej masinky od neakeho big poskytovatela internetovych sluzieb..tak pridu na hysterku a vsetkych tam pozatvaraju....ake poucenie plynie z tejto rozpravocky? logovanie je viacmenej nebezpecna vec..
PRECO NELOGOVAT? A PRECO SERVRE KTORE NELOGUJU POVAZUJEM ZA SERIOZNE?
Preco nelogovat som uz svojsky nacrtol v predchadzajucej rozpravocke..jednoducho to nema zmysel ..preco to nema zmysel? lebo ujo root moze ponapravat logy ako sa mu paci..perco existuje ujo root?..vlastne fakt..vie niekto preco existuje vsemohuci mr root?..opytajte sa uja torvaldsa..mozno vam to vysvetli...teraz sa na vec pozrime zo stranky uzivatela..preco mam rad servre ktore neloguju? lebo to znamena ze o mne nechcu mat ziadne informacie..na ilustraciu dalsia rozpravocka..som skaredy oplzly a ziskuchtivy admin neakeho servru kde bezi fe burza cennych papierov..samozrejme..logujem si vsetko..a najradsej si logujem kto kde kolko akcii kupuje..no samozrejme..internet je plny spekulantov na ktorych nieje spolah..ale tak nenapadne si vsimnem jednu ipcku jednej firmy o ktorej je zname ze celkom ako aj zbohatla na burze..co budem robit? kupovat akcie ktora kupuju aj oni..co ma z toho ta firma? mozno nic a mozno vyfuknuty job.....mozno si poviete ze je to len spekulacia..pravdou je ze existuje milion5 dalsich sposobou ako moze admin zneuzit to ze ma moju ipcku..takisto nikto vam neunesie deti ked nevie kde sa hraju, kde byvate, a kam chodia do skoly..preto su pre mna serioznejsie servre ktore neloguju..
LOGOVAT CI NIE?
Niektore sluzby by som na servri predsa len logoval/napr take ssh alebo samotny shell/ ale samozrejme treba potom tie logy aj pravidelne kontrolovat..tak raz denne je celkom dobry interval..a zase nevidim dovod preco logovat proxy server ked ho vyhlasujem za anonymny..
ALTERNATIVNE RIESENIE
Myslim si ze je podstatnejsia bezpecnost vlastneho servru ako bezpecnost ostatnych servrov..keby kazdy pristupoval k zabezpeceniu servru zodpovedne musel by sa ujo cracker aspon trosicku zapotit..zatial co nbuser:nbuser123 vela prace nedal. a logovanie na anonymnom proxy by potom myslim nikomu nechybalo.
Druhov alternativou je logovat vsetko a vsade..a samozrejme uchovavat v archivoch aspon 15 rokov..nikto nevie ako dlho uz bol nbu cracknuty..potom by bolo myslim vyhodnejsie zmenit strukturu internetu..neako tak aby sa logovalo aj to rodne cislo v internetovej kaviarni
OFFTOPIC FOR ToM:
Myslite ze anonymita by mala zmiznut z internetu?
Su podla vas technologie ako onion routing/tor a i2p/nebezpecne? -
ToM (neregistrovaný)Vase teorie narazi na jeden zakladni axiom. Dokonaly zlocin neexistuje. A i kdyby, ciste teoreticky existoval, tak spolecnost je ochotna toto akceptovat, paklize pripadna opatreni eliminuji drtivou vetsinu trestnych cinu. (Jinymi slovy, kvuli par teoretickym prikladum spolecnost nerezignuje na pravni rad.)
Uz po nekolikate opakuji, ze nejsem pro odstraneni anonymity na internetu a po nekolikate opakuji, ze si myslim ze je v nemale vetsine pripadu prospesna. Ale to neznamena, ze jsem pro obstrukce v pravnim systemu. Chci, aby _i_ pravni system minimalizoval riziko, ze se mi nekdo bude nabouravat do systemu (a jak uz jsem uvedl, jsem ochoten tolerovat, ze to nebude v plnych 100% pripadu).
Mozna, ze lepe nez ja, by vam to vysvetlila nejaka ucebnice prava. Tezko rict.
A posledni poznamka k technologiim. Z hlediska pravniho systemu je irelevantni o jake technologiie se jedna. Podstatna je pouze cinnost a jeji spolecenska nebezpecnost a dostatecna prukazni schopnost, ktera vede k potrestani nebezpecnych cinu a tim k jejich eliminaci. -
zufik (neregistrovaný)Kto tu hovori o dokonalom zlocine? preco je potom uspesnost vyriesenia pripadov niekde okolo 40%? Nieste nehodov pravnik? cely tento thread pozadujete lepsie riesenie ako logovanie a ked vam poukazem na silne nedostatky v logovani uvadzate neaky axiom neexistujuceho dokonaleho zlocinu..verte ci nie logovanie a dostupnost vasej ip adresy kazdemu serveru na ktory zavitate je denne zneuzivana..niekolko threadov nizsie som vam vysvetlil pojem bot..takze urcite by ste drvivu vetsinu trestnych cinov logovanim nevyriesil..ak chcete neake konkretne priklady utokov pomocou botov dajte mi par dni cas a ja vam ich najdem..verte ci nie ale obrovske mnozstvo utokov je spachane prave cez botov..logy na verejnych sluzbach boli su a budu.. ale kym budu aj anonymne sluzby su vam na prd..ked anonymne sluzby zakaze zakon, ajtak to nic nevyriesi pretoze technicky zdatny jedinec si najde cestu ako sa vyhnut identifikacii...mimo to som ochotny a odhodlany dat sa na rebeliu pretoze v tom momente zijem v policajnom state a to prave nieje zivot aky by sa mi pacil!
Ako pravny system minimalizuje riziko ze vas niekto napadne v tmavej ulicke? alebo v lese? Je to iba urcity eticky ci moralny kodex alebo kombinacia fyzickych vlastnosti ktora nedovoli vecsine ludi okradnut vas kazdy den..alebo chodite iba cez monitorovane uzemie? aj to je moznost..v tom pripade sa na internet pripajajte cez neaku dobre zabezpecenu vpn siet a verte mi ze prave na vas server nikto utoky pachat nebude...Ked si pred domom necham nezamknuty bicykel a niekto mi ho ukradne..zavolam policiu a oni sa nebudu ani namahat presetrit tento pripad..preco? mal som si bicykel zamknut..taky je realny zivot
