Ajpes končno priznal: Ne vemo, kaj delamo

Furbo je 15. mar 2017 ob 19:05 izjavil:

In kaj konkretno od drugega člena naj bi ta heker storil?

Gre za tretji odstavek. Namreč ti težko odkriješ neko varnostno luknjo na spletni strani če ne poskušaš z vdorom. Tu je potem seveda pravno vprašanje "naklepa", kjer poskušaš z izgovorom, da tvoj namen ni bil vdor in kraja podatkov ampak opozarjanje na ranljivosti. Kako se to v praksi obnese sicer ne vem, vendar če potegnemo analogijo z ostalimi "vdori" se potem lahko vsak tat, ki ti doma poskuša vdreti v stanovanje in ga pri tem ujamejo izgovarja na to, da samo "preverja ranljivost tvoje ključavnice". Zadeva ni preprosta in tu bi potrebovali mnenje pravnikov, kaj je iz področja tako imenovanega "etičnega hekanja" sploh dopustno po naši zakonodaji. Pa se pri tem ne želim postaviti na nobeno stran, samo zagovarjam pa stališče, da je zakone potrebno spoštovati, ne glede na to, kaj si o njih mislimo. Če je nek zakon traparija, ga je pač potrebo spremeniti. Upam pa da se vsi strinjamo s tem, da je v našem skupnem interesu, da so naši osebni podatki ustrezno zaščiteni in varovani.

Če je Ajpes res vložil kazensko ovadbo je ta lahko povsem na mestu. Oni so namreč zaznali poskus vdora in ne morejo vedeti ali gre za "etičnega hekerja", ali pa zlikovca, ki je poskušal ukrasti kopijo CRP oziroma kakšne druge zbirke osebnih podatkov.

Furbo je 15. mar 2017 ob 19:26 izjavil:

Če jaz stopim v NLB poslovalnico in se ozrem po senzorjih za gibanje, pogledam kakšna vrata imajo.. a že vdiram?

Naklep je to že

Hja, po razlagi nekaterih, bi bila potem že sama uporaba teh orodij (spletnih strani) nelegalna.

Sicer pa je vse skupaj hecno ... Kolikor je meni znano, je 'etični' heker Milan Gabor brez privoljenja hekal eno od svojih nesojenih strank na neki konferenci pred očmi javnosti in so ga nato skoraj nagnali od tam ... Pa tudi SI-CERT-ov uslužbenec Hren, čeravno napadalce, 'etično' heka, tako da vdira v njihove račune brez odredbe sodišča in mimo organov pregona ... Kar tako na svojo pest. In potem taki pametujejo o tem, kaj je etično hekanje.

Drugače pa ne pozabite, ni kaznivega dejanja brez naklepa. Ne glede na to, kaj bodo organi pregona stlačili v obtožni akt ... Če nisi izsiljeval upravljalca/lastnika ranljivega sistema in si ga na ranljivost po odkritju dobronamerno opozoril, samo poskus vdora ali vdor brez povzročanja škode (pozor, odprava ranljivosti ni škoda, ki jo povzroči napadalec) ob dobrem odvetniku nikakor ne bosta prinesla obsodbe.

BigWhale je 15. mar 2017 ob 21:54 izjavil:

Lahko pogledas source kodo spletne strani in vidis, da uporabljajo nek star software, ki je luknjast. In ce jih na to opozoris, kaj si storil? Kaznivo dejanje?

V to kategorijo bi po moje recimo sodil primer podpisne komponente. Ti lahko podpisno komponento preneseš k sebi, saj je prosto dostopna na spletu, jo "dekompajliraš" in iščeš ranljivosti. S tem še nisi izvedel nobenega poskusa vdora.

Drug primer pa so recimo omrežni skenerji, ki iščejo ranljivosti in imajo obsežno bazo podatkov vseh mogočih varnostnih luken. Ob uporabi takega orodja pa si predstavljam da bi moral sistem za detekcijo vdorov (IDS) sprožiti alarm, saj je iskanje ranljivosti lahko prvi korak pri poskusu vdora (sledi lahko potem izraba odkrite ranljivosti).

matijadmin je 15. mar 2017 ob 12:25 izjavil:

Looooooka je 15. mar 2017 ob 08:01 izjavil:

AJPES je treba obesit za jajca prav tako pa vas, ki trdite, da ste z objavo dosegali neke "standarde" "etičnega hekanja". Če dobite odgovor, da je zadeva rešena(vi in ne nekdo drug) se zadevo preveri. Konec koncev bi lahko bila zadeva sele na stagingu pa se ni sla v produkcijo. Če vas pošljejo v k**** oz se strinjajo z objavo pa pač objaviš.
Anonimnost pa again res nakazuje na to, da se gospod etični ni bil prepričan v legalnost svojega početja.
Me briga za objavo ampak malce pretiravate z etičnostjo glede na način kako je bilo skomunicirano.

Delaš na AJPES pa bi rad plezal po šefih?

Briga me za ajpes ampak dejansko vem, da ko ti nek pencil pusher napise, da je reseno to pomeni, da mu je tako zagotovil isti vosel, ki je napako ustvaril. In ce te ni brigalo za pravne posledice pri prvem 'vdoru' pa zdaj bluzis o neki etiki potem bi bilo zelo eticno, da preveris ce so podatki se dosegljivi preden to naznanis celemu svetu.
Kot sem napisal... etike mate ravno toliko kot bancni ropar.

Se enkrat ...

"Eticni hekerji" so tisti, ki se s stranko zmenijo, da bodo izvajali penetracijo in preizkus sistema. Stranka VE, da bodo to poceli.

Ostalo pa spada v katergorijo 'vigilante'.

perci je 16. mar 2017 ob 07:15 izjavil:

V splošnem je to fail, ker obstajajo tudi kazniva dejanja iz malomarnosti.

Za kazniva dejanja iz malomarnosti, mora biti eksplicitno določeno, da so kazniva tudi iz malomarnosti. Za predmetno kaznivo dejanje, to ni določeno.

Matija je napisal, da "ni kaznivega dejanja brez naklepa". Tega nisem razumel kot omejeno na predmetno k.d. in se mi je zato zdelo vredno omeniti, da temu niti pod razno ni tako.

V nadaljevanju pa sem napisal tudi kako je definiran naklep, ki se tiče konkretnega k.d. in tudi svoje razmišljanje o tem, kaj pomeni takšna definicija pri konkretnem k.d..

dronyx je 16. mar 2017 ob 11:58 izjavil:

Bi bilo pa seveda zanimivo videti pravno prakso v primerih kaznivega dejanja poskusa vdora v informacijski sistem. Možno celo da za to sploh še ni bil nihče obsojen in tako pravne prakse sploh ni pri nas.

Tule se moram popraviti. V KZ dejansko piše takole:

(2) Kdor podatke v informacijskem sistemu neupravičeno uporabi, spremeni, preslika, prenaša, uniči ali v informacijski sistem neupravičeno vnese kakšen podatek, ovira prenos podatkov ali delovanje informacijskega sistema, se kaznuje za zaporom do dveh let.

(3) Poskus dejanja iz prejšnjega odstavka je kazniv.

Torej kot kaže niti ni kaznivo dejanje poskus vdora, ampak poskus "oviranja prenosa podatkov ali delovanja informacijskega sistema" ter poskus da neupravičeno uporabiš, spremeniš, uničiš...podatke v informacijskem sistemu.

Da podatke lahko poskušaš spreminjati in uničevati moraš priti v informacijski sistem. Torej če dejansko ne vdreš tu ne moreš kaj dosti poskušati. Poskus oviranja prenosa in delovanja info. sistema je pa po moje bolj megleno.

To, da ne vejo kaj delajo, bi morali priznati tudi na Informacijskem pooblaščencu. Če se navežem na nov zapis Mateja Kovačiča. Gre za tipično pometanje pod preprogo. En organ ali agencija se skriva za napakami drugih. Oba organa sta isto dolžna ravnati skrbno, a zadnje insinuacije in primeri, ki smo jih zadnje čase s strani Informacijskega pooblaščenca vajeni, pa kažejo na resno in hudo nepoznavanje informacijske varnosti, predvsem se to kaže s koncem lanskega leta, ko jim je strmo začela padati kvaliteta odločb na tem področju. Ne vem, kaj se dogaja s tem organom, ampak za Ajpes smo vsaj vedeli, če ne drugega, potihoma, da imajo resno kadrovsko podhranjenost na področju informacijske varnosti, za IP pa...

Od koga bi privat firma fasala orenk kazni?

A ti misliš, da je v privat vse sektorju vse super zavarovano? Smeh.

matijadmin je 15. mar 2017 ob 23:33 izjavil:

Sicer pa je vse skupaj hecno ... Kolikor je meni znano, je 'etični' heker Milan Gabor brez privoljenja hekal eno od svojih nesojenih strank na neki konferenci pred očmi javnosti in so ga nato skoraj nagnali od tam ... Pa tudi SI-CERT-ov uslužbenec Hren, čeravno napadalce, 'etično' heka, tako da vdira v njihove račune brez odredbe sodišča in mimo organov pregona ... Kar tako na svojo pest. In potem taki pametujejo o tem, kaj je etično hekanje.

Drugače pa ne pozabite, ni kaznivega dejanja brez naklepa. Ne glede na to, kaj bodo organi pregona stlačili v obtožni akt ... Če nisi izsiljeval upravljalca/lastnika ranljivega sistema in si ga na ranljivost po odkritju dobronamerno opozoril, samo poskus vdora ali vdor brez povzročanja škode (pozor, odprava ranljivosti ni škoda, ki jo povzroči napadalec) ob dobrem odvetniku nikakor ne bosta prinesla obsodbe.

jo, lahko kakša informacija več o tej zgodbi z Gaborjem in hekanjem? Katera konferenca/firma? Bsides? Letos sem zamudil. O Hrenu vem, ker se je znal sam pohvalit na twitterju. :-)

Ja, lansko leto je bil (2016), pa se ne spomnim, da bi kaj udiral. Še predstavitev, ki jo je imel je nekaj nagajala (Gone in 60 minutes). Je bil pa vzvišen, kot da je nekaj več in je po vsem kar ni bilo po njegovem okusu pljuval.
To je bila njegova predstavitev:

Ta predstavitev ne bo tipična predstavitev, kot ste jih bili vajeni do sedaj. S pravo simulacijo APT napada, ki bo pokazala, kaj vse se lahko dejansko zgodi tudi vašemu informacijskemu sistemu. V 60 minutah bo simuliran realen napad z resničnimi tarčami, brez dvojnikov, preobrati, obrambami, zaščitami in vsem kar spada zraven. Pri vseh aktivnostih bo prikazano in razloženo, kako se lahko proti takšnim tipom napadov tudi uspešno branimo, kakšne zaščite dejansko delujejo in zakaj je potrebno vaše zaposlene varnostno ozaveščati.

Powershell predstavitev sem pa zapustil nekje na sredini predavanja, ker tiste skripte so bile en zmazek, pa sem skoraj siguren, da niso bile njegovo delo, ker jih je moral brati, da je videl kaj sploh delajo. Ponavadi prideš na predavanje pripravljen in veš kaj tvoje skripte delajo, zato da gledaš ljudi in razlagaš, ne da buljiš v ekran in bereš.

To je bila pa powershell predstavitev:

PowerShell ne koristi samo sistemskim administratorjem za lažje opravljanje njihovega dela, ampak je lahko tudi zelo močno orodje v rokah hekerjev. V predavanju bo prikazano, na kakšne kreativne načine hekerji uporabljajo PowerShell. Prikazano bo tudi, kako lahko takšne stvari omejimo in smo na njih pozorni. Kaj lahko na hitro naredimo, da se izognemo napadom z uporabo PowerShella.

V glavnem poznam kr nekaj programerjev in sistemcev (tudi na tem forumu), ki ga v znanju prekašajo "muljun puta", pa se ne nosijo tako visoko.

To je varnostni feature brskalnika, da javascript ne more dostopati do celotne poti iz kjer si ti izbral datoteko.

Aha, na to je furbo mislil, ko je omenjal kazni. Dobr, da si pojasnil.

Mimogrede, misliš, da je direktorjem državnih institucij vseeno za dobro ime organa, ki ga vodijo? Direktorici AJPES v tem konkretnem primeru? Misliš, da medijsko nabijanje na križ ne pride to teh ljudi?

perci je 20. mar 2017 ob 14:40 izjavil:

Aha, na to je furbo mislil, ko je omenjal kazni. Dobr, da si pojasnil.

Mimogrede, misliš, da je direktorjem državnih institucij vseeno za dobro ime organa, ki ga vodijo? Direktorici AJPES v tem konkretnem primeru? Misliš, da medijsko nabijanje na križ ne pride to teh ljudi?

Malce višje si preberi, kaj sem mislil.

Pa če bi medijsko nabijanje škodilo kakemu nesposobnemu birokratu in tatinskemu politiku, bi bila naša država že Švica v2.

On ni počel nič škodljivega. Očitno je bil pa tudi sam naročen na srednjeveško razmišljanje o seksu.

Mislim, da to nima prav nobene veze s to temo. Povsem zgrešen primer in neokusno.