Vlákno názorů k článku Hysteria.sk: jménem zákona se zabavuje od Peto_MiG - Viaceri diskutujuci sa domahaju akehosi "slusneho" postupu zo...
-
Článek je starý, nové názory již nelze přidávat.
-
Peto_MiG (neregistrovaný)Viaceri diskutujuci sa domahaju akehosi "slusneho" postupu zo strany hackerov. Posledne dianie vsak ukazalo, ze takato poziadavka je naivna.
Prienik bol uskutocneny v aprili. V juli zhabala policia server. Hackeri na protest zablokovali webserver NBU. Co sme sa este dozvedeli?
1, heslo, ktore uz deti nosia na trickach a je predmetom vtipov, sa na klucovej infrastrukture STALE NEZMENILO. Z toho vyplyva, ze NBU nie je schopne a/alebo ochotne vykonat potrebne kroky na napravu stavu
2, NBU klame, zavadza, zatlka. Niekolkodnovu nedostupnost servera obhajuju "nahravanim obsahu". Nepotrebuje komentar.
Mne z toho vyplyva, ze poziadavky na hackerov, aby sa najprv "slusne opytali", potom "slusne upozornili a nic nebrali" a nakoniec "este slusnejsie zverejnili" su naivne.
Aky by mal byt postup, ktory by vyhovoval vsetkym puntickarom? Na zaklade doterajsieho konania zucastnenych si to mozme rozviest:
1, hackeri sa opytaju admina, ci mozu skontrolovat system.
Moznosti:
a, ziadna odpoved
b, "dakujem, netreba"
c, policia zacne nahanat "zlych hackerov", hoci este nic neurobili, len tak, preventivne, pre zastrasenie
poznamka: niektore moznosti sa navzajom nevylucuju
o niekolko dni
2, hackeri uskutocnia prienik a upovedomia admina, ze ma system deravy ako sito. Nic odtial nevezmu.
Moznosti:
a, ziadna odpoved
b, "to nie je mozne, klamete, nikde ste sa nedostali"
c, policia zacne nahanat "zlych hackerov"
poznamka: niektore moznosti sa navzajom nevylucuju
o par dni
3, hackeri zistia, ze zabezpecenie sa v nicom nezlepsilo. Informacie o prieniku zverejnia.
Moznosti:
a, NBU sa nevyjadri
b, NBU vsetko poprie, hackeri aj tak nemaju ziadne dokazy, a system NBU predsa presial bezpecnostnym auditom za 3,5 miliona
c, policia zacne nahanat "zlych hackerov"
poznamka: niektore moznosti sa navzajom nevylucuju
4, hackeri zistia, ze nic sa nezmenilo. Skopiruju si zo servera nejake data ako dokaz a znovu to zverejnia.
Moznosti:
a, Novinari nemaju chut tahat sa s NBU za prsty a preto sa informacii nedostane ani 10% predchadzajucej pozornosti. Ved predsa sef NBU uz predtym vsetko jasne poprel a pre obcanov je pohodlnejsie uverit jemu, nez sa zmierit s tym, ze nase citlive data su takmer verejne dostupne komukolvek na svete.
b, NBU znovu vsetko poprie a zatvari sa pritom zovialne
c, policia zacne nahanat "zlych hackerov"
poznamka: niektore moznosti sa navzajom nevylucuju -
ToM (neregistrovaný)Dobra, zkusim popsat svuj soukromy tip na postup, ackoli urcite vsem vyhovovat nebude.
Bohuzel, jelikoz se jedna o instituci, bude treba vyrazne vetsiho usili k prosazeni zameru (o to vic, kdyz jde o statni zrizeni). Omlouvam, se jestli to bude vypada slozite, ale pro toho, kdo se v takovem prostredi pohybuje dlouho, to ve skutecnosti je rutina. Urcite to nezabere az zase tolik casu, jak to na prvni pohled vypada. V podstate jde o bezny postup pri obchodnich schuzkach.
ad 1) hackeri sa opytaju admina, ci mozu skontrolovat system.
Motivace:
- Presvedcit, ze jsem duveryhodna osoba, se kterou ma cenu se bavit.
- Zjistit, zda pravidelne prochazi bezpecnostnim auditem.
- Presvedcit, ze mam potrebne know-how.
- Ziskat povoleni k provereni bezpecnosti.
1.1 Hacker si zjisti, kdo je zodpovedny za IT bezpecnost (webove stranky, nebo spojovatelka na ustredne).
1.2 Domluvi si primo s odpovednym pracovnikem (vedouci/reditel bezpecnosti IT, vedouci/reditel IT oddeleni nebo reditel financniho oddeleni - zalezi na instituci) osobni schuzku - pokud se chovam slusne, neni treba mit z toho tremu.
1.3 Dostavi se na schuzku vcas a slusne obleceny (doporucuji nejaky ala business styl) - ackoli to bude pro mnoho hackeru neprirozene, je to pomerne dulezite. Druha strana vas bude brat o poznani vazneji.
1.4 Na schuzce se strucne predstavim a uvedu cim se zabyvam, co je moje specializace (vhodne je uvest 2-3 realne reference).
1.5 A samozrejme uvedu duvod schuzky tj. nabidka na provereni bezpecnosti serveru. Pokud na to nekdo ma, tak jeste lepe "bezpecnostni audit" (minimalne to zni dobre :-) ). A nezapomenu takovou nabidku zduvodnit. Zjistit, zda provadi pravidelne bezpecnostni audit a pripadne nabidnout oponentni posudek atd. Meli byste byt schopni vysvetlit schema takoveho auditu bez technickych detailu. Na terminy jako BOF nebo nmap radeji zapomente. Cloveku tim muzete akorat zamotat hlavu. (nerikam, ze nejsou vyjimky). Musite zjistit, jestli by stali o vasi nabidku.
Pozn. radeji se neoznacovat za hackera. Tohle slovo proste laikum nahani hruzu a zavrelo by vam to s nejvetsi pravdepodobnosti dvere. Vysvetlovat puvod slova nema cenu. Verte mi.
Urcite jednejte diplomaticky. Ne ze mu reknete, jake hloupe administratory ma ve svem uradu.
Shrnuti: Pusobite seriozne, presvedcili jste, ze jste odbornik s potrebnym know-how.
Mozne reakce:
a) ano, zajima nas to - rozpracujete metodiku, poslete nabidku a cekate na odpoved. Metodika bude napr. obsahovat i 2. fazi provereni po případných napravných opatřeních.
b) nemame zajem - muzete se slusne ubezpecit, zda si dotycny uvedomuje, ze data mohou byt ohrozena (uvedete priklad), pokud ho nepresvedcite muzete se na to cele vykaslat nebo vasi nabidku eskalovat vedoucimu uradu/rediteli spolecnosti.
c) nevime, nechame si to projit hlavou - dohodnete se na terminu
d) zajima nas to, ale - predevsim u NBU, hrozi, ze byste se aktivitami mohli dostat k informacim tzv. utajovanych skutecnosti prip. jinych dat neverejne povahy. U NBU to znamena projit bezpecnostni proverkou, ktera trva nekolik tydnu az mesicu (zalezi na pozadovanem stupni). Take muzete narazit na fakt, ze bezpecnostni audit systemu muze provadet jen samo NBU. V takovem pripade toho cloveka musite presvedcit a ziskat povoleni treba "jen" na overeni bezpecnosti web serveru. (povoleni = smlouva o dilo viz. a))
Pokud objednavku neziskate, tak muze viz. b) eskalovat vasi nabidku vys a nebo se na to vykaslat.
V pripade, ze jste nahodou narazili na nejaky bezpecnostni problem, tak mate vyrazne jednodussi situaci. Mate padny argument, ze bezpecnost je narusena a tim presvedcite danou osobu, aby se situaci zabyvala. Pokud i na doporuceny dopis s dodejkou se odmita k situaci vyjadrit a aktivne ji napravit, muze to v dalsich fazich prerust az v podani trestniho oznameni (napr. poruseni povinnosti pri sprave ciziho majetku; v pripade NBU me ted nic nenapada - minimalne stiznost vlade).
Mimochodem, nemyslim si, ze by se media bala vlivu NBU. Nevim jak na SK, ale v CZ jde sefredaktorovi spis o prodejnost nez o "ty nahore". A media, to neni jen tisk a televize, ale i internetove denniky.
ad 2) hackeri uskutocnia prienik a upovedomia admina, ze ma system deravy ako sito. Nic odtial nevezmu.
2.1 Cely postup musi byt do detailu promysleny dopredu. Tzn. musi existovat presny postup, ktery je zdokumentovany.
2.2 Provereni (obzvlast, pokud jde o invazivni test zivych serveru) musi byt i nacasovany. Musi byt vytvorene zálohy dat, musi se pocitat s vypadkem sluzeb, ktere nesmi ohrozit prip. ovlivnit beh uradu/spolecnosti nebo jeji casti nad ramec dohody.
2.3 Kazda provedeny krok musi byt zdokumentovany (to je neco jineho nez 2.1)
2.4 Je vytvořena záverečná zpráva s případnými doporučeními.
ad 3) hackeri zistia, ze zabezpecenie sa v nicom nezlepsilo. Informacie o prieniku zverejnia.
3.1 Overeni napravných opatření musí být také v souladu s celkovou metodikou, kterou odsouhlasil objednatel a jedna se o stejny bod 2 (v jeho redukovane podobe)
3.2 Informace o pruniku zverejnit nemohou, protoze kazdy rozumny urad/spolecnost sepise s dodavatelem NDA.
3.3 V takovem pripade lze postupovat tak, jak jsem psal vyse. Eskalovat to na nadrizene, prip. podat stiznost nebo dokonce v posledni fazi trestni oznameni.
Hruza co? :-) Ale jak uz jsem psal. V podstate se jedna o bezne obchodni jednani, kterych maji obchodnici nekolik denne.
Plati jedna zasada pro komunikaci. Pokud se omezite jen na email, tak se podari dohodnout jen maloco. Vetsinou jen nepodstatne veci. Je to holt prilis anonymni.
Telefon je rozhodne lepsi a v tomto pripade byste se osobnimu setkani asi nevyhnuli.
Podani trestniho oznameni je samozrejme to nejzassi variantou, na kterou ve vetsine pripadu ani nedojde.
Podstatne ovsem je, ze nikdo nema pravo na testovani. Pokud bude moje nabidka zamitnuta s oduvodnenim, ze pravidelne delaji audit, a nebudu mit v ruce nic, co by nasvedcovalo, ze neni bezpecnost narusena, tak mam smulu. To by za nima mohlo chodit 10 lidi denne, ze si to chteji otestovat, protoze tem ostatnim auditorum neveri.
Nakonec to je hodne o jednani s lidmi. Na druhou stranu, kolik lidi je tady schopno udelat smysluplne provereni bezpecnosti IT? To neni pro script kiddies. Takove testovani instituci nepomuze (snad jen na par dni). Je to hodne (dost mozna vyrazne hodne) o procesech. Neco, co rada administratoru nesnasi :-) -
zufik (neregistrovaný)"Pane prominte ale vy si to predstavujete jako hurvinek valku"..ak som dobre pochopil vas prispevok ma to niekolko nedostatkov:
add 1) Viete si predstavit zeby neaky "obycajny" clovek prisiel za veducim it oddelenia NBU a povedal mu ze spravi bezpecnostny audit organizacii ktora mala byt certifikacnou autoritou na slovensku? Teda vlastne bezpecnostne audity by mal vykonavat NBU..Viem si zivo predstavit ako by sa pan manager pobavil na vasej ponuke..to je ako ponuknut policajtom ze im budete strazit veznicu lebo sa vam zda ze par veznou chce ujst.. prezradte mi prosim s cim by ste k nemu prisli? nieco ako: mam dovodne podozrenie ze vas server nieje dostatocne zabezpeceny?//isty neuspech//alebo..nahodov som prisiel na to ze cez mailagenta mozem spustat prikazy na vasom servri..myslim si ze je to bezpecnostna diera//iste zazalovanie za pokus o napadnutie pripadne ziadna reakcia ved sme NBU a my najlepsie vieme co je bezpecne a co nie//
add 2)Skuste to..prajem Vam priemny pobyt vo vezeni...
add 3)Stale sa pytam s cim pojdete za nadriadenymi? s tym ze ste im napadli pred rokom server a oni s tym stale nepohli? Viz add 2..to iste plati aj o zalobe na sude..
a na zaver taka teoreticka otazka? mozem sa vykaslat na stav zabezpecenia institucie ktora mala byt certifikacnou autoritou? Myslim ze nie..
Myslim si ze postup ktory ste tu nacrtli je uplne nepriatelny..a postup ktory pouzili ti chlapici co NBU napadli sa mi zda byt ajked nie idealny ale pre nich ako jedincov jediny mozny..na ilustraciu vam mozem porozpravat dalsiu rozpravocku... -
ToM (neregistrovaný)ad 1) :-) Presto takto zacina rada obchodnich jednani (v praxi!). A jestli alternativne nabizite "zacit busit do jejich serveru bez dohody a povoleni" ...
ad 2) Za co do vezeni? Za neopravnene ziskani pristupu? Ja ho mam ale z bodu 1 opravneny!
ad 3) Nikdo nikomu server nenapadal. Psal jsem s cim pujdu za nadrizenymi. Se spravou o bezpecnostnim provereni, ktera dokazuje problem v siti.
K te teoreticke otazce: Pokud vam nic nezbyva, tak ano. Muzete a dokonce musite. Chcete snad proverit veznice, ze se z nich neda utect? Chcete svevolne proverit banku, ze se z ni neda ukrazt penize? Proc bych vam mel verit, ze chcete "jen" proverovat bezpecnost? Proc si myslite, ze vasim proverovanim nezpusobite zadnou skodu?
Netvrdil jsem, ze vam budou predstavitele NBU libat ruce. Kazdopadne na informaci, jestli je pravidelne provaden bezpecnostni audit IT mate pravo (v nejhorsim pripade prostrednictvim vaseho poslance). Poslanec by mozna mel moznost zjistit i dalsi podrobnosti (ktere vam doslova pochopitelne nerekne).
Mimochodem dost vazne pochybuju o schopnostech nekterych diskutujicich vubec takovy smysluplny audit uskutecnit. Rada z nich se totiz nedokaze kriticky divat na ciny potencialniho utocnika, cimz zanechavaji v systemu diru jako vrata. -
zufik (neregistrovaný)add1)Ok..obchodne jednania takto mozno zacinaju..ale predstavte si ze by ste prisli za neakym vladnym predstavitelom ministerstva obrany /dajme tomu ministrom obrany/ ze ste uplne neznamy obchodnik so zbranami ale zda sa vam ze mig29 niesu to co potrebuje nas stat a ponukli mu nakup napr francuzskych mirage? Bez "lobovania"..bez udania neakych konkretnych vyhod vasej stihacky a bez toho aby bol vypisany neaky konkurz?..nieje to trosku nezmysel?..cisto z obchodneho hladiska..aku by ste mali sancu uspiet?
add2)//add3)co ak by ste pristup nemali vid add1..bola by vam bezpecnost NBU ukradnuta?
Naozaj sa nemozem vykaslat na bezpecnost NBU..za ziadnych okolnosti! Pretoze tym ze nieje dobre zabezpeceny ohrozuje aj mna ako uzivatela pohybujuceho sa na slovenskom internete.. Viete co to znamena certifikacna autorita? viete co to znamena sprava elektronickych podpisov? Predpokladam ze ano..tak urcite viete aj co by to znamenalo mat k servru takejto organizacii pristup..Ak budem mat dovodne podozrenie zeby z veznice mohol ujst vezen ktoreho pobyt na slobode by ohrozil moju existenciu..pojdem najprv na policiu..tam mi dajme tomu neuveria a potom sa dohodnem s kamaratmi a budem veznicu sledovat z vonku..Ak budem mat v bezpecnostnom trezore v banke nieco na com mi zalezi a ich zabezpecenie sa mi nebude pozdavat tak si tu vec od nich vyberiem a dam do inej banky..
lenze ja ako uzivatel sa nemozem rozhodovat kto mi na slovensku udeli certifikat alebo elektronicky podpis a tiez je nemozne pasivne snifovat na servri nbu a cakat kym niekto zautoci..ved aj sniff je v podstate utok...
Samozrejme ze na informacie o bezpecnosti NBU mate pravo..ale stazovali ste sa niekedy neakej vecsiej firme na nekvalitu alebo nedostatky ich sluzieb? Neviem ako vam ale mne mnohokrat prisiel list v zneni: "dakujeme vam za to ze vyuzivate nase sluzby ..bla bla bla bla ..je v nasom zaujme aby sme sa nase sluzby stale zlepsovali a vasu pripomienku bereme na vedomie...bla bla bla" Od kazdeho predstavitela by ste sa urcite dozvedeli ze audit sa vykonava pravidelne v n-ddnovych intervaloch..preco? pretoze sa do toho vobec nerozumie..a dajme tomu ze admin si raz za tyzden prezrel letmo logy na servri a nazval to v sprave bezpecnostny audit. -
ToM (neregistrovaný)ad 1) Ano. Podle toho, jak to podavaji noviny to tak vypada. Ale o realite to nic nerika. Dokud to nezkusime, tak o tom muzeme jen teoretizovat. A pak - kde rozdavaji migy zadarmo? Vy prece za tu sluzbu nic nechcete. Takze zadne vyberove rizeni. Mimochodem mluvil jsem castecne obecne s upozornenim na mozne komplikace v pripade NBU.
ad 2,3) to jsem take uz psal. Ne. Mam legalni moznost zjistit, jestli provadi bezpecnostni audit. Pokud ne, tak mam opet legalni moznosti, jak vyvijet tlak. Pokud audit provadi (nezavisly a nekolikanasobny), tak muzete byt v pohode, protoze uz vam asi zadna legalni moznost nezbyla.
=======================================================
Na to co je napsano vyse muzete klidne zapomenout, protoze to oduvodneni neni podstatne.
Podstatne je to, ze vy si nemuzete hrat na superhackera a zjistovat slabiny systemu. Proc by vam mel nekdo verit, ze to delate pro "dobro"?
Proc se snazite stale ignorovat tenhle fakt? -
zufik (neregistrovaný)add1)Uhm..takze ja vo vlastnom zaujme pojdem na kolienkach ziadat neakeho kapa v NBU aby mi dovolil overit zabezpecenie..nezda sa Vam to trosku nelogicke? odkedy je predmetom obchodu ponuknut niekomu nieco zadarmo? trosku na ujasnenie..soft vydany pod gpl si mozem kludne stiahnut zadarmo z netu..obchodujem s niekym? nie..ale ak pridem do obchodu ..a chcem napr dvdka debiana musim za ne zaplatit..sice v podstate smiesnu sumu..ale predmetom obchodu je vymena tovaru/sluzby za peniaze..a predmetom obchodneho jednania je obchod..ak som niekde urobil chybu prosim opravte ma
add2,3)vid posledny odstavec predchadzajuceho prispevku..chybka je v tom ze ak klame vlada nemate si to ako overit
----------------------------------------------
hmm rozoberem to z dvoch pohladov..
Predstavte si ze ste admin neakeho serveru...a pride vam mail ze mate deravy system..mr xxx v nom presne opise chyby ktore nasiel a ako dokaz prilozi neake bezvyznamne data..ako by ste zareagovali?pokial viem tak na bezpecnostnu chybu sa vecsinou pride len cistou nahodou..takze asi tazko bolo jeho umyslom napadnut vas server ked vam teraz presne opisal kde mate chyby..zazalovali by ste ho? alebo by ste si zabezpecili server? samozrejme tieto dve moznosti sa niako nevylucuju..osbne by som sa mu podakoval a zabezpecil si server..samozrejme by som sa snazil z neho dostat k akym datam mal pristup a pripadne ho zamestnat na dobre platenu poziciu..podla toho by som informoval aj uzivatelov..urcite by som sa snazil aj o osobne stretnutie s nim..napr pozvat ho na to pivo..ak pozvanie prime a pride..znamena to ze je sakra odvazny..pretoze riskoval ze na nho pockam s policiou... a hlavne ma 100% cestne umysly ..ved ho vidim svojimi vlastnymi ocami a teda viem ho identifikovat..ak pozvanie neprime..budem opatrny a urcity cas budem sledovat system 24/7/4/12..
No a teraz si predstavte ze som zsonnc //zly skaredy oplzly a nanajvys nebezpecny cracker//..napadnem server a narootujem sa na nho..aky by som mal pristup ku vsetkym datam a admini by o mne nemali ani paru..aky by som mal dovod zverejnit to? alibi? pred kym? ved nikto o mne nevie a ak sa aj dakto o mne dozvie ipcky hovoria o cine a po rokoch patrania v zemiach juhovychodnej azie a juznej ameriky sa dostanu na onion routing server a tam skoncili..alebo koli pocitu ze som nieco dokazal a chcem byt slavny? to sa mozem pochvalit pred kamaratmi v krcme..potichucku pri stole na meatingu zsonnc a budem slavny v undergrounde..so stalym pristupom k datam na napadnutom servri..medializacia? no tak dajme tomu..chcem ukazat celemu svetu aky je spravca servru curak..tak anonymne vypustim niekde neake mensie mnozstvo dat..napr na pokec.sk..v momente o tom vie pol slovenska aj s novinarskou obcou..a ja si stale slobodne beham po servri kde stale zneuzivam data..
fascinujuca pre mna bola reakcia NBU ktory nielen ze neopravil bezpecnostne chyby, neposlal spravcu za primitivne heslo do vecnych lovist a nevymenil ho za niekoho schopneho.. ale zacalo sa trestne stihanie voci tym kto sa na NBU nabural..heslo sa nezmenilo za 3 mesiace/ajked mozno to bol honeymoon..comu velmi neverim/ a viacmenje bezdovodne zkonfiskovali onyx server.. -
ToM (neregistrovaný)Pripad 1) To, ze neznate motiv, neznamena, ze neexistuje. Koukam, ze vy byste pachatele poustel na jejich cestne slovo. Jiste je, ze i takto se pachatele chovaji. A vy mate dost vazny problem, protoze a priori zamitate jednu z moznych variant.
Pripad 2) Ano, podle meho nazoru, i v pripade NBU stala zverejnenim jesitnost akteru. A proc by to zverejnoval? No protoze prave vy ho pak nebudete podezirat viz. vase definice z prikladu 1.
IF clovek upozorni na bezp. problem THEN clovek nemohl spachat trestny cin -
zufik (neregistrovaný)add1)tvrdim ze v pripade ak sa s niekym osobne stretnem doverujem mu pretoze aj on doveroval mne..ked mi ten hackmajster ukaze svoju tvar..da vizitku a ja mu dam svoju..v tom momente sme obchodni partnery..tym lepsie pre mna nie? A ta druha moznost je aka? ze pride za mnou na osobne stretnutie clovek..povie mi nazdar ja som jano..a bude mi dalej ocucavat server? respektive..nanovo si server zabezpecim a on si najde novu cesticku do mojho domceka..to by muysel byt cracker-adrenalista nemyslite?a tie data ktore ziskal predoslim ocucavanim bud zneuzil pred tym ako mi oznamil to ze mam deravy server alebo bude prvy podozrivy..tak si na nho urobim obcas neaky hrniec s medom..
add2)z coho ho nebudem podozrievat??? nemylte si prosim pritomy a minuly cas..to ze data ktore ziskal nezneuzil alebo nezneuzije v buducnosti..zarucit neviem..je to moja chyba pretoze ja som mal slabo zabezpeceny server..ale stavil by som sa o cokoladu ze obycajny hacker ked by uz vysiel s pravdou najavo nesnazil by sa dalej ziskavat nove data..je to ako ked ste majtelom obchodu..stale vam niekto kradne zuvacky az raz sa prizna neaky chlapcek len tak..koli vlastnym vnutornym pocitom ze robi nieco zle..viete ze zuvacky ktore vam ukradol vam nikdy nevrati..ale viete aj to ze uz kradnut nebude.
IF clovek upozorni na bezp. problem THEN ak aj pachal tre stny cin, neplanuje v tom pokracovat do buducnosti -
ToM (neregistrovaný)ad1) jestli by musem mit rad adrenalin je mi celkem fuk. Faktem je, ze takovi pachatele existuji a to zdaleka ne vyjimecne. Cimz diskuse k tomuto bodu konci.
ad2) Nevim co vas vede k zaveru, ze kluk, ktery se prizna, ze kradl zvykacky, uz to neudela. Ruku za nej do ohne davat nebudu. Vy ano?
Takze kdyz to prepisu:
IF (clovek upozorni na bezp. problem AND pachal trestny cin) THEN neplanuje v pachani trestne cinnosti pokracovat v budoucnosti
Coz znamena:
1) ze mu trestny cin prominete
2) ze si ziskal vasi bezmeznou duveru (ve smyslu pachani trestne cinnosti)
Pochopil jsem vas dobre? -
zufik (neregistrovaný)add1)OMYL! Diskusia tymto nekonci..poprosil by som vas konkretne priklady..nevenujem sa tymto pripadom natolko zeby som o tom vedel a ujo google mi o tom tiez nevie nic povedat..ale velmi by ma to zaujimalo..porosim ak viete o neakych konkretnych pripadoch sem s nimi..
add2) Za to ze nebude kradnut v inych obchodoch sa vam zarucit nemozem..ale za to ze u mna na tie zuvacky ani nesiahne vam plne rucim..preco? urcite si na nho dam pozor..a poznate ten ponizujuci pocit ked sa musite majtelovi priznat ze ste mu nieco nedovolene vzali? ja ano..zazil som to raz v zivote..a nikdy viac nezazijem..preco sa priznava chlapec ktory kradol? co ho k tomu nuti?..to neviem..a preco sa priznava hacker ktory vam napadol masinu? nechce tym povedat aby ste si ju zabezpecili? no potom fakt neviem o co mu ide..
budme konkretny:
IF(clovek upozorni na bezp.problem AND pred tym spachal trestny cin nedovoleneho pristupu na server na ktorom odhalil bezp.problem)THEN neplanuje v pachani trestne cinnosti neopravneneho pristupu na tento server pokracovat v buducnosti AND ja si server zaplatam a v blizkej buducnosti server budem sledovat aby k tomu nedoslo.
co znamena:
1)Ano trestny cin neopravneneho pristupu mu prepacim prave koli tomu ze ma v podstate ochranil od ostatnych ktory by sa nepriznali
2)Urcitu doveru avsak ohranicenu(napr ak uvidim neaky cudzi pohyb na svojom servri prvym podozrivim je on) tym urcite ziska( v zmysle pachania trestnej cinnosti nedovoleneho pristupu na moj server)
Z vasho uvazovanaia mi vychadza ze ak niekto spacha trestny cin mali by sme ho zavriet na dozivotie do vezenia pretoze je tu urcite percento pravdepodobnosti ze trestny cin zopakuje..alebo uplne najlepsie by bolo ho rovno popravit..potom uz urcite ziaden trestny cin pachat nebude -
ToM (neregistrovaný)1.1. Sam jste tuto moznost pripustil, byt s urcitymi podminkami, ktere ale ja povazuji za splnitelne.
1.2. Ciste teoreticky - dukaz sporem vam toto potvrdi.
1.3. A prakticky? Doufam, ze vam nevadi, ze to nebude z IT oblasti. Princip zustava stejny. Tak ted rychle si vzpominam na pripad, kdy mi ukradli penezenku. Vratil mi ji jakysi "hodny" clovek. Ovsem bez penez. Jen s dokladama (zaplat panbuh aspon za ne). Jenze ja si vsiml, ze ten clovek se uz kolem mne motal driv a dodnes ho podeziram z toho, ze ty penize ukradl on sam. Proc by tu penezenku vracel? Na to se ho asi uz nezeptame (pochybuju, ze by to priznal). Kazdopadne bych ho na zaklade teto zkusenosti nezamestnaval. Zeptejte se kterehokoli vysetrovatele, ze pokud se tyka vaznych trestnych cinu s vetsi skodou, tak takoveho "hodneho" nalezce/oznamovatele budou proverovat. To je naprosto trivialni logika. Mimochodem, z te zkusenosti jsem se poucil a rozhodne ne tak, ze nenosim penezenku.
1.4 Druhy priklad, ktery asi neni uplne to, co chcete slyset, je pripad toho kluka z Ceske sporitelny.
2.1. Vyvracite sam svoje tvrzeni. "Verite, ze vam to znova neudela, ale presto si date na nej pozor."
2.2. Svedomi nema jen 0 a 1. Navic to co se na prvni pohled zda jako kajicne priznani muze byt naprosto promyslena kalkulace.
Aby bylo jasno. Ja nejsem zastance radikalnich reseni. Nekolikrat jsem v diskusi zduraznil, ze se kazdy pripad musi posoudit individualne vzhledem k okolnostem. Dokonce jsem nekolikrat uvedl, ze podle mne, to kluci (at uz to byli hackeri, crackeri, script kiddies nebo kdovi co jeste) provedli ze zabavy a z jesitnosti.
Ale i presto:
1) je nutne proverit i variantu, ze to bylo zamerne s umyslem skodit
2) jsem zastance urcite formy trestu (existuje cela skala trestu), protoze takoveto jednani povazuji spolecensky za nebezpecne (nejde o dvoustavovou velicinu)
V neposledni rade i soud muze po zvazeni vsech faktu upustit od potrestani. Ale to pouze za urcitych podminek. Ostatne pojem amnestie, i kdyz jde o trochu neco jineho, take asi znate. -
zufik (neregistrovaný)1.1-2 Pri urcitych splnitelnych podmienkach moze na zemskom povrchu zit 20 metrovy dinosaurus! samozrejme dokaz sporom vam to potvrdi..ak vychadzate v realnom zivote z matematickych dokazov potom urcite ocakavate utok mimozemstanov..vylodenie neznamej flotily z bermudskeho trojuholniku na americkom pobrezi alebo svojvolnu teleportaciu objektov..pripadne cesko-slovensku vojnu...vsetky tieto javy vam dokaz sporom potvrdi!..prosim vas berte v uvahu aj pravdepodobnost!
1.3 Velmi ste ma neuspokojili..vlastne ste ziaden pouzitelny priklad neuviedli.. iba urcitu spekulaciu na zaklade vasich dohadov..aj to uplne mimo odbor..samozrejme je vela pripadov ked sa zlocinec prizna pred sudom..pripadne najdu sa aj take ked sa chce kryt napr tym ze zlocin ohlasi..ale to nema naozaj nic spolocne s napadnutim servra..nahlasenim bezpecnostnej chyby..a opetovnym napadnutim....predstavte si ze by ste nasli otvoreny tunel priamo k trezoru neakej banky..nikto by o nom nevedel iba vy..samozrejme..malicko by ste sa obohatili a potom by ste to ako "kryci manever" isli ohlasit..majtel banky by ten tunel zasypal postavil tam 3.5metrovu betonovu stenu a okolo trezoru by postavil 10 ozbrojenych strazcov...hned potom by ste sa opet snazili dostat nepozorovane k tomu trezoru..ma to logiku?..ak sa vam to zda byt logicke naozaj sa nemame o com bavit
2) Hovoria vam nieco pojmy opatrnost a prevencia? Dovera tiez nema stavy 0 a 1 ale <0,1>
Ako preverite variantu ci to nespravili s umyslom skodit? preco by sa priznavali? preco by si nechali zasypat tunel k trezoru? ..chlapci to spravili nahodov..nie zo zabavy ani z jesitnosti..proste nasli dieru v systeme..a ked zistili ze uzivatel nbuser ma heslo nbuser123 //a to stale hovorime o organizacii ktora by mala zabezpecovat bezpecnost celeho statu// chceli upozornit na to verejnost..tot moj nazor..samozrejme..nedodrzali uplne pravidla hry..ale ak by ste im vymerali akykolvek trest aky trest by potom postihol toho administratora? dozivotie? ved ohrozil bezpecnost celeho statu!niekolko krat! -
ToM (neregistrovaný)1.1-2 Chcete tim tedy rict, ze pravdepodovnost utoku mimozestanu je vyssi nez pravdepodobnost existence pachatele, ktery ze sebe dela dobreho poradce?
1.3 Jestli se vam zda nelogicke domnivat se, ze ciny pachatelu nemusi byt logicke, pak souhlasim, ze diskuse zkoncila. (Kdyz vysetrovatel nezna motiv, tak jednani pachatele muze zcela logicky pusobit nelogicky.)
2. To vy jste nastavil svym tvrzenim hodnotu na "verit,podekovat,jit na pivo, zamestnat"
Jak to proverit? Jednou z klicovych fazi je zajisteni dukazu napr..
Pokud je zapis na blackhole autenticky, tak to spis vypada na tu zabavu.
Mimochodem NBU nezabezpecuje bezpecnost celeho statu. To zavani zpravou TV Nova/JOJ. Jeho pusobnost je vymezena zakonem a neni problem si to nastudovat. Na webu budou mi asi take informace.
Myslite, ze administrator NBU ohrozil bezpecnost statu? Je pravda, ze i toto by mela policie (resp. pravomocny organ) vysetrit. Ale dost o tom pochybuji (vidite, pochybuji, ale presto zadam prosetreni.) -
zufik (neregistrovaný)Vy nechcete aby som sa v zdravy dozil staroby vsak nie?
1.1-2 Nie podla mojich dlhotrvajucich vyskumov je pravdepodobnost ze zautocia mimozemstania priblizne 1*10^-25 a pravdepodobnost ze existuje hacker/stale sa bavime o utokoch na server/ktory po utoku a naslednom ohlaseni chyby opakuje utok za ucelom skodit je nieco okolo 1*10^-9
1.3 Samozrejme pripadov ked pachatel kona nelogicky je velke mnozstvo..ale ukazte mi jeden jediny konkretny za cca 30 rokov existencie sieti kedy hacker najprv ohlasil chybu a potom zautocil znovu, ziskal data a zneuzil ich..pekne vas o to prosim..nech sa tu nehadame o dogmach...
2. kedy som nastavil hodnotu na 100% verit? opet necitate moje prispevky pozorne!!!!
No mimo to ze si mylite blackhole s hysteriou je v konecnom dosledku //resp v buducnosti mal byt// NBU zodpovedny za nieco ako statnu bezpecnost na pode it..viete co je to certifikacna autorita? samozrejme jedina na slovensku..viete co to znamena pridelovat elektronicke podpisy?
Hmm tazko povedat ci ohrozil admin statnu bezpecnost..zalezi na tom o ake data slo..ak v networku NBU su aj utajovane data urcite ju ohrozil tym ze akykolvek pokus statneho nepriatela by viedol k ich odcudzeniu..Polozme inak otazku..kto by mal podla vas dostat vyssi trest? admin nbu alebo chlapci ktory ten server napadli? -
ToM (neregistrovaný):-) Ok. Zvolnime. Konkretni priklad z oblasti IT osobne neznam. Take ale znam jen par konkretnich pripadu pruniku do systemu (kdy o neco slo). Vlastne jsem si vzpomnel na jeden priklad, kdy majitel firmy na zabezpecovaci systemy IT vedomne napadal systemy firem, kterym pak prodaval svuj software.
http://blackhole.sk/node/442 ... blackhole - o tom jsem psal.
Bezpecnost statu je na certifikacni autorite zavisla jen velmi omezene. Uznavam, ze to problemy nadelat muze a dost vazne, ale "bezpecnost statu"? To je hodne pro-medialni hodnoceni. -
zufik (neregistrovaný)Samozrejme..co by clovek nespravil pre biznis..a najlepsi je tovar ktory sa sam predava..lenze to nema absolutne nic spolocne s hackerom ktory si zbura svoje "dvere" do systemu tym ze nahlasi chybu..takze momentalne ma statistiky nutia pozmenit predchadzajuce pravdepodobnostne udaje..pravdepodobnost ze na nas zautocia mimozemstania je 1*10^-25 a pravdepodobnost ze existuej hacker ktory si zbura svoje zadne dvierka je (1*10^-25 - 1*10^-29)vyplyva to z poznania ze niekolko ludi tvrdi a su ochotni pred sudom odprisahat ze ich uniesli mimozemstania a teda je mozne ze nas pomalycky infiltruju..zatial co o takomto hackerovi som este nepocul.
K tomu blackhole sa ospravedlnujem..neako mi to nesadlo do kontextu..
Citujem:"Bezpecnost statu je na certifikacni autorite zavisla jen velmi omezene." Takze v podstate uznavate ze je predsa /ajked samozrejme v nizsiej miere/ ale je ohrozena..pravdou je ze som nepouzil mozno najspravnejsie pomenovanie..mozno by bolo spravnejsie pouzit "bezpecnost obyvatelov statu". -
ToM (neregistrovaný)Takovy hacker, ktery nahlasi chybu, si sice zavre jedny dvere do systemu, ale jsou to dvere, ktere uz nemusi potrebovat nebo je ozeli. Muze zaroven vedet o dalsich dverich, o kterych nikomu nerekl. A proc by to nahlasil? Otevre si tim ohromna vrata, protoze se dostane do vnitra organizace.
Druha svetova valka byla plna agentu, kteri druhe strane predhodili urcite informace , aby je presvedcili o sve loajalite. Dostali se tim do systemu a sve strane pak posilali informace, ke kterym by jinak nemeli pristup.
Myslim, ze ta pravdepodobnost existence analogie v IT oblasti je o dost vyssi nez si myslite. Ale to tu asi nevyresime.
Ano. Pripoustim, ze neopravnene nakladani s certifikacni autoritou muze zpusobit problemy. Ale v takovem pripade se na bezpecnosti podili specialni technologie a predevsim prave zminene procesy. Navic ziskanim pristupu k CA muzete pouze zneplatnit vydany certifikat nebo vydat novy. Spis jsou pro spionaz hodnotnejsi systemy, ktere uchovavaji informace o utajovanych skutecnostech. Jestli k nim ale patril i webserver, to tezko z vnejsku soudit. (Mozna naivne verim, ze ne urcite ne ty "priste tajne".) Ale proto jsem pro, aby i tato vec byla prosetrena. -
zufik (neregistrovaný)Samozrejme ze o dvojitych agentoch viem..lenze pokial viem ani jeden agent sa nestal dvojitym tak ze by sa priznal jednej strane ze pracoval pre druhu a ponukol im svoje sluzby/samovrah?/..ano boli pripady ked jedna strana chytila agenta a pod prislubom zisku ho pustila aby spehoval aj pre nich..pravdou je ze to nevyriesime..moj osbny postoj je najprv cloveku doverovat a az ked sa nieco stane zacat s podozrievanim.
IMHO najvecsie nebezpecenstvo hrozi prave koli moznosti vydat novy certifikat..predstavte si na kolkych zle zabecenych servroch kde by mali crackery umiestnene svoje sniffre by obycajni BFU surfovali s pocitom absolutneho bezpecia a odborna verejnost s pocitom relativneho bezpecia?kolko penaznych a inych operacii by sa dalo takto zneuzit?
