Vlákno názorů k článku Hysteria.sk: jménem zákona se zabavuje od CyberBob66 - Ze strany policie je to fyzickým způsobem provedený...
-
Článek je starý, nové názory již nelze přidávat.
-
ToM (neregistrovaný)Uz jsem to tu psal. Vysetreni podezreni ze spachani trestneho cinu ma prednost pred komernimi duvody.
Kdyby tomu tak nebylo, tak se nikdy nic nevysetri.
Proto je to take omezene. Muze to provadet jen policie, jejiz pravomoce jsou regulovane zakonem o policii a trestnim radem. Takze rozhodnuti take neni v pravomoci policie, ale statniho zastupce a jde-li o soukromi (domovni nebo osobni prohlidka) tak jen v pravomoci soudu. Ale to jsem uz take psal.
Co vas v te obcanske nauce uci? :-) -
zufik (neregistrovaný)Este raz opakujem..z hysterky nebol vedeny utok na NBU..takze tu by som pochyboval o neakom trestnom cine..predstavte si taku absurdnu situaciu ktora mohla nastat..som ujo vysetrovatel ktory nema hackerov v laske a mimo to potrebujem neakeho obetneho baranka v pripade NBU..na hysterke sa mohol registrovat kazdy..co teda spravim? zaregistrujem sa na hysterku a kedze postup je verejne znamy..a vlastne uplne primitivny ssh-nem sa na NBU cez proxy hysterky..co tym dosiahnem? mam logy..a potom je postup jednoduchy..ujovia vysetrovatelia sa poznaju s panmi sudcami a tak vybavit neake lajstro na konfiskaciu servru nieje problem..co som dosiahol? hysterka je v cudu a ja som ukazal verejnosti ze nespinkam ale tazko makam na vyrieseni pripadu..hec..povazujem sice tento scenar za nepravdepodobny ale zaujima ma akykolvek pokus o vyvratenie jeho realnosti..
este by ma celkom zaujimalo kolko IPciek okrem hysterky pri vysetrovani zistili..verim ze clanok uputal celu detsku komunitu velkych hackerov a vsetci sa bezali povrtat v NBU..vysvetli mi niekto preco medzi dajme tomu stovkou IPciek uputala prave hysteria? -
ToM (neregistrovaný)Mame takovy system, jaky mame. Podobny pripad muzete vymyslet i v pripade trestneho cinu vrazdy, kdy muzete byt omylem odsouzen. Ano muzete. Co s tim nadelate? Od toho jsou v systemu obhajci a nezavisly soud. A hlavne vas zdravy rozum, ktery vam zabrani takove situace vyhledavat.
Jestli pujdete v davu s rozzurenymi fanousky fotbalu, tak musite pocitat s tim, ze dostanete od policajta obuskem. A proto taky v rozzurenem davu fanousku fotbalu nechodim. -
zufik (neregistrovaný)nezavisly sa mi nezda byt spravne slovo..vsetko zavisi od jedineho cloveka..pokial viem neexistuje ziadna nezavisla porota z obcianskych radov..da as obhajovat ak proti vam stoji tak silna organizacia akou je stat? ak nahodov mate neake kon kretne pripady sem s nimi
zdravy rozum???trosku ot ale predsa to len rozviniem a skusim aplikovat zdravy rozum..pred par rokmi pri prestrelke mafii v jednom slovenskom meste rozstrtielali mladeho nevinneho chalana ked isiel okolo v aute..dopadlo na auto len par guliek..ale tri boli smrtelne => nebudem jazdit autom..maleho osemrocneho chlapceka prevalcovalo auto v 160tke a od vtedy je na vozicku => nebudem chodit cez cestu..turistku v tatrach zabil blesk => nebudem chodit do tatier...pri vybuchu plynu zahynulo x ludi => budem byvat niekde kde sa nekuri plynom..rodina sa udusila CO=>nebudem kurit drevom..zena v strednom veku sa posmykla vo vani a od vtedy je imobilna => nebudem sa kupat ..............a na zaver trosku fantazie z oblasti it ..z mojho pocitaca si niekto spravil bota a teraz som obvineny z napadnutia neakeho vladneho servru => radsej sa nebudem pripajat na net..takze navrhujem navrat do jaskyn alebo ani to radsej nie pretoze co ak nas v jaskyni zasype? nie tadialto cesta naozaj nevedie.. -
ToM (neregistrovaný)Slovo nezavisly je spravne. Jen ho nesmite vytrhavat z kontextu. To pak neuspejete naprosto zadnym tvrzenim o cemkoli (prosim, nechytat za gramaticke paradoxy ceskeho jazyka; nemohu za ne :-))
Proc byste se mel objavat? Prave ja tady zastavam nazor jednat tak, aby se tahle situace minimalizovala. Jestli me nekdo chce zalovat kvuli nabidce na bezpecnostni audit, tak do toho jdu s usmevem na tvari.
A i kdyz to s tim nesouvisi, tak zalovat stat - a uspesne - se da. Dokladaji to prinejmensim nase (CZ) prohrane arbitraze nebo uspesne zaloby restituentu a dalsich.
Co se tyka uvedenych prikladu, tak reagovat na takove okolnosti se da ruznymi zpusoby. Zalezi jen na okolnostech a jake riziko jste ochoten akceptovat. Ale principialne na to budete reagovat.
Vy uvadite reakce pouze dohnane do extremu, ale svet neni z jednicek a nul.
Jestli vas tedy dobre chapu, tak jste pro to, aby bylo mozne napadat cizi servery bez svoleni beztrestne. Ano? -
zufik (neregistrovaný)add1) MOZE BYT SUD NEZAVISLY NA STATE AK JE STATNOU INSTITUCIOU? To je ako v rozpravke o kralovnej kolobezke1. ...v kralovstve sudi kral..ale kto sudi krala?..pokial bude iba jeden sudca bez skutocne nezavislej poroty odmietam hovorit o nezavislom sude...
add2-5) Do extremov ste zasli vy v momente ked ste porovnali naburanie servra s vrazdou..som zvedavy ci by ste sli na sud s usmevom aj v pripade zeby ste boli obvineny z vrazdy..samozrejme nespravodlivo.
add6) Skor ako sa budem bavit dalej na tuto temu chcel by som vas poprosit aby ste definovali niekolko pojmov: ziskat nedovoleny pristup; nahodne ziskat nedovoleny pristup; napadnut server; pokus o napadnutie servra; bot; zatial dakujem -
ToM (neregistrovaný)Vidite a presto muze byt soud nezavisly. Ostatne prakticky dukaz nezavislosti muzeme v CZ sledovat temer kazdy pulrok.
Nabidnuti bezpecnostniho auditu neni trestny cin. A rozhodne jsem neprirovnaval nabourani serveru k vrazde. Mluvili jsme o zneuziti pravniho systemu.
Co se tyka definic, tak myslim, ze jsem nikde nepouzil a nebudu definovat:
- nahodne ziskat nedovoleny pristup
- bot
Ziskat neopravneny pristup a napadnuti serveru ("pokus" je to same): zalezi na konkretnim pripade. Lze aplikovat "Neopravnene nakladani s osobnimi udaji", "Neopravnene uzivani cizi veci", "Poskozeni a zneuziti zaznamu na nosici informaci", "Poskozovani cizi veci" nebo "Poskozovani a ohrozovani provozu obecne prospesneho zarizeni". V pripade NBU by mohlo jit i o "Ohrozeni utajovane skutecnosti". A urcite by se daly najit dalsi. Veskrze jde o tresty do 1 roku nebo do 3 let. V pripade organizovaneho cinu az 8 let.
Toliko asi posledni lekce. Vic se budete muset snazit sam. -
zufik (neregistrovaný)Neverim ze moze byt sud nezavisly pokial o vsetkom rozhoduje jediny clovek..ano mozno sa tak vola..mozno ho tak nazvali..ale to je vsetko..nezavysli jednoducho nieje
No je to zvlastne klasifikovat pokus rovnako ako cin..myslim ze ani v zakone nieje pokus o vrazdu sankciovany rovnako ako vrazda..ale to mi je vlastne jedno..a co by ste namerali adminovi v NBU? zanedbanie povinnosti? Ohrozovanie utajovanej skutocnosti?/kto je za utajenie danych dat zodpovedny?/ alebo rovno vlastizradu?
Dodefinujem vami nedefinovane pojmy..aby som mohol odpovedat na vasu otazku je dost dolezite aby sme sa na ich vyzname zhodli:
nahodne ziskany neopravneny pristup: nedovoleny pristup ku ktoremu dojde nahodov pocas opravneneho uzivania neakej sluzby..teda pocas opravneneho uzivania sluzby objavite dieru ktora vam umoznuje neopravneny pristup..a to sa neda inak ako do tej diery "spadnut"..priklad z praxe:mr.abcd pisal skript pre uzivatelov svojej webovej aplikacie pomocou ktoreho by sa mohli bezpecne prihlasit na jednu nemenovanu zahranicnu penaznu sluzbu..pocas jedneho z testov prisiel na to ze sposobom akym chcel povodne prihlasovat svojich uzivatelov moze prihlasit akehokolvek pouzivatela bez zadania potrebneho autentifikacneho udaju..
bot: prvok siete/napr PC/ ktory bol uspesne napadnuty a teraz su utoky vedene aj z neho..zli skaredi a nebezpecni hackeri pouzivaju siet takychto pocitacov napr na rozne DoS utoky
suhlasite s tymito definiciami? -
ToM (neregistrovaný)No vidite, opet se mylite viz. Trestni zakon. Je trestna dokonce i priprava k trestnemu cinu. Mrzi me, ze ztracim cas v diskusi, kdy si druha strana neoveri o cem mluvi. (A v dobe internetu je to tak snadne.)
Nikdy jsem nepochyboval o provineni administratoru NBU. Ale o tom tu rec nevedeme. A dost mozna, ze bychom se na tom i shodli. Nicmene asi jen v tomto konkretnim pripade administratoru NBU (prihlizim k okolnostem). Napadnout (a uspesne) lze ale i server, ktery je zabezpecen _realtivne_ dobre. Minimalne muzete zpusobit vypadek sluzba. Za takovy stav serveru nemuzete vinit administratora.
Obycejne znam pojem bot pod jinym vyznamem, ale v tomto "namespace" mohu akceptovat i vasi definici. Je to preci jen definice. Mimo tento namespace budu stale ale pouzivat tu svoji.
Co se tyka "nahodne ziskaneho neopravneneho pristupu", tak mam trochu problem ji pochopit. Nikde se explicitne nepise o neopravnenem pristupu. Jen ze lze prihlasit jakehokoli uzivatele bez potrebne autentizace. A o nahode se zminujete jen, ze autor na tuto skutecnost prisel nahodou. -
zufik (neregistrovaný)Precitajte si moj predchadzajuci prispevok pozorne!!!! Aj mna dost mrzi ze stracam cas v diskusii ked druha strana nevie poriadne citat..aby som vam ten drahocenny cas usetril prezradim vam ze som uvadzal ze POKUS O VRAZDU NIEJE ROVNAKO SANKCIOVANY AKO VRAZDA z coho samozrejme nevypliva ze nieje sanckiovany vobec!!!! Pravom sa nezaoberam takze budete musiet ospravedlnit niektore moje nedostatocne vedomosti..
Bol by som rad ak by ste ma uviedli do obrazu..o com teda vedieme rec? Samozrejme ze sa da napadnut i relativne dobre zabezpeceny server..lenze1: dobre zabezpeceny server "nedobijete" za jeden den a niekedy ani za mesiac... lenze2: kedze utok je dlhodoby su tu od toho plateni administratori ktori ak su co i len trosku kvalitnejsi vedia identifikovat utok a urobit protiopatrenia/aj proti DoS/..alebo to takto nefunguje a ja zijem mimo virtualnu realitu???
Takze ideme sa chytat za slovicka..fajn..Prihlasenie akehokolvek uzivatela podla vas neznamena ze mozem mat pristup k datam/sluzbam ku ktorym pristup mat nemam??? zaujimave...a ak ja nahodov pridem na skutocnost ze predomnou lezi 5 korun tak som nahodov nasiel 5 korun ci nie? fakt nieste pravnik? -
ToM (neregistrovaný)Pokus o vrazdu a vrazda jsou v CZ sankcionovane stejnou trestni sazbou. Obecne existuji moznosti kdy trestnost pokusu zanika, ale je na to nekolik podminek a asi ani jednu chlapci hackeri nesplnili. Nehlede na to, ze neni jiste, zda se jednalo jen o pokus.
O cem diskutujeme?
1) Zda zajisteni serveru hysteria.sk mohlo byt opravnene.
2) Zda pokusy o proniknuti do systemu se zaminkou testovani bezpecnosti jsou v poradku.
Nezlobte se na mne. Kdyz nerozumim definici, tak se ptam. Jestlize mam nejakou moznost neco udelat (ziskat neopravneni pristup), tak to neznamena, ze jsem to udelal (ziskal neopravneny pristup) a dokonce to neznamena, ze jsem se pripravoval to udelat nebo se pokousel to udelat (ziskat neopravneny pristup). To me prave na te definici mate. -
zufik (neregistrovaný)Uhm..tak to sa ospravedlnujem..o tom som nevedel..
Som rad ze ste mi to ujasnili
Rozumiem..lenze ako zistite ci tu moznost mate? osobne si myslim ze tazko najst genia ktory by to zistil z vlastnych zdrojakov a k zdrojakom tej spolocnosti pristup jednoducho nemate..proste do tej diery "spadnete" nahodov sa dostanete k informaciam/datam/sluzbam ku ktorym by ste pristup mat nemali... -
ToM (neregistrovaný)Dobre. Autor pri vyvoji sve aplikace zjisti, ze vzdaleny system povoluje pristup i kdyz by, vzhledem k povaze takove sluby, nemel. Autor tim takto ziskal nahodne neopravneny pristup. Takto te definici rozumim.
V takovem pripade by ale nemel ve zkoumani pokracovat a ihned situaci nahlasit. Nejjednoduseji na policii a pak provozovateli, kteremu sdeli, ze tato skutecnost byla na policii nahlasena. A jestli me nejaky policista bude chtit poslat obrazne receno "do haje", tak nema sanci a trvam na nahlaseni.
Mimochodem vyvoj a testovani takove aplikace na "zivem" systemu by melo byt provozovateli znamo nebo a priori schvaleno. Muze se vam totiz stat, ze takovym testovanim odstavite celou sluzbu. Navic by ten vyvoj mel byt v souladu s platnymi standardy one vzdalene sluzby. Pamatuji si na pripad, kdy specificky poskozeny snmpget poslal dolu hlavni router site s tisici uzivateli. Nezkoumali jsme cim vsim se to da shodit - omezovalo by to dost vyrazne velkou organizaci. Okamzite se to hlasilo provozovateli, se kterym jsme se osobne znali, takze jsme nemeli duvod k jine akci.
Myslim, ze ti kluci to meli _osobne_ hlasit okamzite po prvnim zjisteni, ze neco neni v poradku. (Stejne na vsechny diry neprisli.) Ale pravdepodobne by tim zamezili zajisteni serveru hysteria.sk. Argumenty, ze by se na to policie vykaslala, jsou trochu alibisticke. Stejne toho medializaci moc nedokazali. -
zufik (neregistrovaný)no neviem ake mate skusenosti s hlasenim bezpecnostneho problem na policii..no konkretne aky by som dajme tomu nahlasil bezpecnostny problem v danej zahranicnej penaznej sluzbe sai by na mna pozerali ako na jedinca pod vplyvom drog..nevidim k tomu dovody..osobne ked nieco zistim okamzite to hlasim prevadzkovatelovi/tak sa samozrejme stalo aj v mnou uvadzanom priklade/..je to taky neaky platny eticky kodex ci nie?..prevadzkovatel sa vecsinou podakuje a chybu napravi..je to tak? predpokladam ze ste prevadzkovatelom neakej sluzby a ste teda ochotny tolerovat takyto neopravneny pristup? neviedli by ste proti danemu "hackerovi" ziadne trestne konanie?
hovoril som o vyvoji absolutne primitivneho skriptu..je to nieco podobne ako ked si napisem par riadkov pretoze sa mi nechce kazdy den chodit na neaky web , prihlasit sa a pozriet napr ci nepribudol neaky prispevok v diskusnom fore..
Aj v tomto pripade zdielam vas nazor..neurobili to spravne..lenze tu je obrovsky priestor pre polemiku..mali to len nahlasit adminom NBU? ved clanok bol uz niekolko dni na ciernej diere a horde NBU nebol stale zaplatany..co by sa stalo? asi by to admini vyhlasili za nerealne..je mozne aby takato diera bola na urade ktory ma sluzit ako certifikacna autorita? nieje..co dalej? aky by ste zvolili postup? -
ToM (neregistrovaný)No s hlasemin mam samozrejme spatne zkusenosti. Proto jsem uvedl, ze je treba na tom trvat. Nemohou vas odmitnout. Mimochodem mam dost spatne zkusenosti i pokud slo o svedecke vypovedi policity.
Zamerne jsem uvedl upozorneni policie na prvnim miste. Pokud to bude prvni provozovatel (rozhodne ne admin!), tak vas provozovatel muze predbehnout a jeste vas obvini. V zakone je jasne stanovena policie nebo statni zastupce. Je lepsi kdyz i vy se chranite proti "zlemu" provozovateli. Policie byva pomerne blizko, takze to neni prilis slozite a muze mi to usetrit problemy. V praxi asi clovek bude zvazovat i okolnosti a rizika. V pripade pristupu do banky jednoznacne bezim na Policii. V pripade pristupu k emailum nejake skoly asi na policii nepobezim. Vsechno mezi je vyvazeni rizika a komplikaci.
Pokud bych zjistil, ze se mi dotycny coural po systemu nebo siti a dokonce si stahoval postu, tak s trestnim oznamenim neotalim. Pokud by mi to oznamil tesne po zjisteni tj. te chyby nevyuzil, tak bych zvazil, jakou skodu mohl napachat a dost mozna bych mu opravdu i podekoval. Zaroven bych provedl kompletni revizi bezpecnosti a zjistil k jakym informacim mohl mit pristup. Tyto informace bych oznacil za kompromitovane atd. Je ale rozdil pokud provozuju nejaky jednoduchy eshop nebo bankovni system. U tech dulezitejsich systemu je ten rezim precijen prisnejsi. -
zufik (neregistrovaný)Hmm a co ti policajti do toho hlasenia napisu?
Zdrava miera paranoje je nevyhnutna..ale to co tu spominate je prave ta 1 z intervalu < 0,1 >..Priamo z toho vyplyva ze ak vas niekto upozorni na hole v systeme a niekto iny tuto hole pred tym zneuzival obvinite toho cloveka ktory vas na to upozornil..
Moje posledne slova: vam by som urcite radsej ososaval cele dni server ako povedat vam ze v nom mate hole... -
ToM (neregistrovaný)Jakym zpusobem zaeviduji moje oznameni po pravde ani nehodlam resit. Jake na to maji "kolonky" a jestli maji nejakou obecnou netusim. Spokojim se s potvrzenim o takovem oznameni, ktere jsou povinni vydat.
Asi mam dost spatne zkusenosti a predevsim spatne zkusenosti vidim kolem sebe. Ale uplna 1 to take neni. Psal jsem, ze v pripade mailserveru nejake skoly to asi nebudu resit s policii. Bohuzel me ale me okoli stale presvedcuje, ze byt v urcitych situacich pozorny, se vyplati. Navic si myslim, ze se to bude zhorsovat s tim, jak bude cela spolecnost zavisla na sluzbach internetu. Ale kdo vi? Mozna to vidim prilis cerne.
