» »

Transparentna Slovenija #4: "Luknje" v spletnih straneh treh zdravstvenih domov SI-CERT uspel odpraviti v pol leta

Transparentna Slovenija #4: "Luknje" v spletnih straneh treh zdravstvenih domov SI-CERT uspel odpraviti v pol leta

Slo-Tech - 10. marca 2018 je s strani etičnega hekerja na SI-CERT romala prijava spletnih strani treh zdravstvenih domov (ZD Šmarje pri Jelšah, ZD Laško in ZD Žalec), ki so bile ranljive z napadom »SQL injection«. Gre za izjemno zahtevno metodo vdiranja v spletna mesta, ko heker s spreminjanjem URL naslova dobi dostop do sicer nejavnih baz podatkov. Tehnološko pismenim ljudem je bil zaradi napak omogočen dostop do zalednih zbirk omenjenih spletnih strani.

Kot je bilo v soboto razkrito na konferenci BSides Ljubljana, so omenjeni zdravstveni domovi po posredovanju slovenskega varuha Internetov SI-CERT, ki ga vodi Gorazd Božič, potrebovali skoraj pol leta, da jim je uspelo odpraviti omenjeno napako. Lani so omenjeni zdravstveni domovi uspeli popraviti zahtevno napako, tako da njihovi pacienti sedaj lahko bolj mirno spijo, vedoč, da so spletne strani bolj varne. Kaj točno so delali na SI-CERT in predvsem v informacijskih službah zdravstvenih domov pol leta, ni čisto jasno.

Rezultat ukrepanja SI-CERTa je sicer v primerjavi z odzivom Informacijskega pooblaščenca na šlamastiko bolnišnice Izola (IP je odreagiral v 30 minutah) malo počasnejši, vendar je vsako ukrepanje za dobrobit naroda potrebno pohvaliti. Ker, kot je zapisal eden izmed ljubljanskih okrožnih sodnikov pred časom, »zahtevati, da uradniki svoje delo opravijo v nekem relativno kratkem roku, je to nasilje in mobing«, tega pa ne počnemo.

Ob tem velja spomniti, da SI-CERT od sprejema Zakona o informacijskih varnosti sicer ima nekaj malega pristojnosti za ukrepanje v tovrstnih primerih, vendar kot je razvidno zgoraj, to na resnost obveščenih ponudnikov ne vpliva. K temu zagotovo pripomore odsotnost prekrškovnih pooblastil. Je pa leta 2017 SI-CERT altruistično in samoiniciativno prevzel nase tudi breme "reševanja spletnih šlamastik" državnih organizacij.





Pošiljanje podatkov v objavo (raziskovalno novinarstvo in 'whistleblowing')

Slo-Tech redno raziskuje in opozarja na nepravilnosti, ki jih posredujejo notranji prijavitelji (t.i. whistleblowerji) in drugi viri. Za komuniciranje z le-temi poleg običajnih kanalov uporablja storitev SecureDrop, ki ob izvajanju osnovnih varnostnih ukrepov omogoča relativno zaupno posredovanje dokumentov.
Storitev je preko omrežja TOR na voljo na naslovu: http://wxm23trged7cneqk.onion

76 komentarjev

«
1
2

fikus_ ::

"»zahtevati, da uradniki svoje delo opravijo v nekem relativno kratkem roku, je to nasilje in mobing«"

Potem se v gospodarstvu skoraj vsakodnevno srečujemo z mobingom!

crystal ::

mal sm se pa nasmejal :D izjemno zahtevno metodo sql injection haha :D

BigWhale ::

Eticni heker ima med bookmarki "Online Courses - Lea..." ... rning how to hack? :>

JocJOC ::

Mislim, da tehnološko manjpismeni ne bodo dojeli, da je tole o izjemni zahtevnosti metode vdiranja sarkazem.
Pa si bodo mislili: Prekleti hekerji, delajo nemogoče, pol pa tule pišejo nepotrebno in krivijo upravljalce strani.

c3p0 ::

fikus_ je izjavil:


Potem se v gospodarstvu skoraj vsakodnevno srečujemo z mobingom!


JS so večinoma drugi svet. Delo med pavzami, ne pavza med delom.

srus ::

Lepo, da N/A zadnje čase najde lepe besede za odzivnost IP. Saj sem vedel, da gre za neuslišano ljubezen.

MrStein ::

A ne bi to v kaki forumski niti nizali te dogodke?
Saj je zanimivo, ampak tudi policija ne objavi članka vsakič, ko koga ustavijo zaradi prehitre vožnje.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Saul Goodman ::

BigWhale je izjavil:

Eticni heker ima med bookmarki "Online Courses - Lea..." ... rning how to hack? :>


OPSEC fail. se vidi, da je samo etični heker, ne profesionalec. :-D

bbf ::

MrStein je izjavil:

A ne bi to v kaki forumski niti nizali te dogodke?
Saj je zanimivo, ampak tudi policija ne objavi članka vsakič, ko koga ustavijo zaradi prehitre vožnje.


Vredu je na naslovni. Mogoče še kakšnega mladega bralca navduši k profesinonalnemu pristopu do tematike. Poleg tega bolj učinkoviti širi zavest med programerji web strani, da malo sprofesionalizirajo svoje početje.

BigWhale ::

Emm, profesionalni dostop do tematike bi bil, ce bi eticni heker poklical v zdravstvni dom in se jim ponudil za testiranje spletne strani. Sosedu ne gres kr probavat bumpkeyat vseh vrat in probavat a se da okna snet dol, ce te za to ni prosil.

thramos ::

Mhm. Najprej prvemu - po treh letih, ko bi dobil odgovor, drugemu, in tako naprej. Po 712 letih, ko bi se prva luknja odkrila in po 712.5 letih, ko bi se zakrpala, pa niti slučajno ne bi zainteresirani in oškodovani javnosti obelodanil zadeve.

Odličen način, da vse ostane tako, kot trenutno je - greznica.

MrStein ::

Ja, ker ne more vsem isti dan poslati sporočila...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

brbr21 ::

BigWhale je izjavil:

Emm, profesionalni dostop do tematike bi bil, ce bi eticni heker poklical v zdravstvni dom in se jim ponudil za testiranje spletne strani. Sosedu ne gres kr probavat bumpkeyat vseh vrat in probavat a se da okna snet dol, ce te za to ni prosil.


Zdaj pa že nehajte nabijat kaj je OK in kaj ne. Odklenjena sosedova vrata načeloma oz. kar de facto ne povzroči škode n-tim uporabnikom. Kot pač šalabajzerstvo na portalih prizadane popolnoma nič krive uporabnike storitev.
Etični hacking bi morali uzakoniti. Seveda ob popolnoma jasnih pravilih tako za lastnika strani, kot hackerja. In obenem predipisano finančno odgovornostjo enih in drugih. Zadeva pač vpliva na preveliko število državljanov, ki ne morejo nič, da preprečijo zlorabe ali uhajanje njihovih osebnih podatkov. Občasno si celo obvezan uporabljat portale!

MrStein ::

Aha, in zdaj ko je ST opozoril javnost, da so sistemi JU dosegli švicarski nivo kvalitete (s tem mislim na švicarski sir in njegove luknje), in bo kaki zdolgočaseni najstnik ali bognedaj "protidržavni element" šel prečesavati, tak če se slučajno najde kaj zanimivega, bo odgovarjal kdo?
No, kaj bi ti v zakon napisal glede tega?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

BigWhale ::

Tudi eticno vdiranje v hise je treba uzakonit. Ne cakajte, da sosedu v hiso vdrejo lopovi, storite to vi ze danes.

49106 ::

brbr21 je izjavil:

BigWhale je izjavil:

Emm, profesionalni dostop do tematike bi bil, ce bi eticni heker poklical v zdravstvni dom in se jim ponudil za testiranje spletne strani. Sosedu ne gres kr probavat bumpkeyat vseh vrat in probavat a se da okna snet dol, ce te za to ni prosil.


Odklenjena sosedova vrata načeloma oz. kar de facto ne povzroči škode n-tim uporabnikom. Kot pač šalabajzerstvo na portalih prizadane popolnoma nič krive uporabnike storitev.


This!

Zgodovina sprememb…

  • spremenilo: 49106 ()

BigWhale ::

Kaj pa vrata v banki? Ce vam je ta primerjava ljubsa? A mamo tud eticne roparje bank, ki randomly probavajo a se da oropati banko in pol poklicejo policijo in povedo: 'ej tam v uni banki bi lahk odnesl ven pecto maljonov, dejte jih mal pogledat.' ?

Ne, nimamo. Imamo pa podjetja, ki jih banke najemajo, da z njihovim vedenjem pocnejo te reci.

Just because you can, it doesn't mean you should.

Tomassi ::

Tole prizadane uporabnike storitev toliko, kot da bi nekdo nezaščiten list z delovnim časom odlepil iz lokalnega mercatorja?

GupeM ::

BigWhale je izjavil:

Kaj pa vrata v banki? Ce vam je ta primerjava ljubsa? A mamo tud eticne roparje bank, ki randomly probavajo a se da oropati banko in pol poklicejo policijo in povedo: 'ej tam v uni banki bi lahk odnesl ven pecto maljonov, dejte jih mal pogledat.' ?

Ne, nimamo. Imamo pa podjetja, ki jih banke najemajo, da z njihovim vedenjem pocnejo te reci.

Just because you can, it doesn't mean you should.

Seveda tega ne delajo, ker vejo, da bodo vrata zakljenjena. Takoj, ko bi bila verjetnost, da bodo vrata od banke odkenjena večja od 5%, bi ogromno ljudi to poizkušalo in tudi v novicah bi zadeva bila redno. Na spletu je ta verjetnost verjetno precej višja od 5%.

imagodei ::

BigWhale je izjavil:

Kaj pa vrata v banki? Ce vam je ta primerjava ljubsa? A mamo tud eticne roparje bank, ki randomly probavajo a se da oropati banko in pol poklicejo policijo in povedo: 'ej tam v uni banki bi lahk odnesl ven pecto maljonov, dejte jih mal pogledat.' ?

Problem je, da search engine pajki javno dostopne strani itak poindeksirajo. Jst pogosto iščem kaj na način "site:bla-cvek.com". In kar mi pade ven - ne morem biti jaz kriminalec, če kliknem na nek pdf, iz katerega ni čisto jasno razvidno, da bom gor našel osebne podatke.

Primerjave z vdiranjem k sosedu, v banko ipd., so dobre samo do določene mere. WWW je star skoraj 30 let, kako deluje, vemo (vse, kar je dostopno gor, je pač dostopno - če poznaš link), prvi search engines so stari dobrih 25 let.

Saj se strinjam, da se spodobi najprej diskretno opozorit lastnika spletne strani in mu dati razumen čas, da odreagira. Skratka, da ni treba počez pribijat na križ. In ja, velika razlika je, a neka bolnišnica zajebe tako, da so diagnoze pacientov z imenom in priimkom prosto dostopne na netu, ali pa gre "zgolj" za račune nakupov proteinskih napitkov. Po drugi strani, data mining pajki se non stop sprehajajo po webu... Če smo se odločili, da je varovanje osebnih podatkov pomembno ...


Zdaj smo v eni posebni situaciji, lihkar bo leto dni od uvedbe GDPR... Gre za dogodek, kjer bi rekel, da so podjetja malo bolj resno vzela področje varovanja osebnih podatkov, pa vidimo, da temu ni tako. Ne glede na to, da bi vsaj v primeru računov za proteinske napitke in pralnih strojev osebno morda res najprej obvestil lastnika spletne strani, razumem tudi motivacijo tistih, ki pišejo tovrstne članke na S-T. Očitno grožnja z visokimi kaznimi ni bila dovolj in bo treba par podjetij postavit za vzgled. Al pa še naprej, kdo ve koliko časa še, trpet zanikrn odnos ustanov in podjetij do naših osebnih podatkov.
- Hoc est qui sumus -

BigWhale ::

Prosim, ce ne primerjas probavanja SQL injection napadov in googlovega indeksiranja, to sta dve precej razlicni zadevi.

GupeM je izjavil:

Seveda tega ne delajo, ker vejo, da bodo vrata zakljenjena. Takoj, ko bi bila verjetnost, da bodo vrata od banke odkenjena večja od 5%, bi ogromno ljudi to poizkušalo in tudi v novicah bi zadeva bila redno. Na spletu je ta verjetnost verjetno precej višja od 5%.


Ne. Tega ne pocnejo zato, ker vedo, da gredo lahko za to v zapor in da je vecja moznost, da jih ujamejo.

Nek kvazi eticni hacking se pa gredo ljudje zato, ker jih je malo tezje ujeti, nekako tako kot je pri piratstvu.

Zgodovina sprememb…

  • spremenil: BigWhale ()

imagodei ::

BigWhale je izjavil:

Prosim, ce ne primerjas probavanja SQL injection napadov in googlovega indeksiranja, to sta dve precej razlicni zadevi.

Imaš čisto prav, to se mi je izmuznilo.
- Hoc est qui sumus -

poweroff ::

BigWhale je izjavil:

Emm, profesionalni dostop do tematike bi bil, ce bi eticni heker poklical v zdravstvni dom in se jim ponudil za testiranje spletne strani. Sosedu ne gres kr probavat bumpkeyat vseh vrat in probavat a se da okna snet dol, ce te za to ni prosil.

Been there, done that.

S kolegom sva se pred časom obrnila na dve slovenski javni ustanovi in jim ponudila brezplačno varnostno testiranje. V zameno za to, da bi lahko ugotovitve objavila midva (seveda po tem, ko bi oni odpravili ranljivosti in z ustrezno redakcijo; končno prezentacijo/report bi oni odobrili). Seveda bi bili zraven lahko tudi njihovi ITjevci, vse se bi delalo v vnaprejšnjem dogovoru z njimi, itd. Načeloma bi rekel, da bi bil to za njih precej dober deal, iz najine perspektive bi pa tudi midva imela nekaj od tega.

Pri obeh ustanovah je dogovarjanje trajalo kar nekaj časa (več sestankov,...). Pri eni smo prišli do razgovora s strani obveščevalne službe (je pač take vrste ustanova), in po tem ni bilo več nič slišati o njih. S tem, da sem jim prej (brezplačno) že javil eno ranljivost, da so jo lahko odpravili.

Druga ustanova si je vzela malo pavze... in naju poklicala čez eno leto. Da oni bi se pa zdaj spet malo pogovarjali.

Sorry, to je zame neresnost. Od zdaj naprej se pogovarjam samo z računom. Visokim. Ali pa pač ne sodelujem. Aja, pa obe ustanovi imata čez tako imenovano kritično infrastrukturo.

Izkušnje z zasebnim sektorjem so pa tudi zanimive. Name sta se obrnili dve firmi, ki sta fasali kripto virus. Ena že drugič. Ena pa prvič. Tej slednji sem lepo povedal kaj naj nabavijo, njihovemu ITjevcu poslal navodila kako Synology skonfigurira, da in kaj namestit, da bodo naslednjič varni. Brezplačno. In zraven dodal, da me lahko tudi najamejo, če sami ne znajo ali zmorejo.

Kaj se je zgodilo? Čez nekaj časa so me kontaktirali še enkrat, da jih je kripto virus še enkrat zadel in če lahko zdaj pomagam.

Sorry fantje, brezplačno nič več. Neumnost se plača.

BigWhale je izjavil:

Tudi eticno vdiranje v hise je treba uzakonit. Ne cakajte, da sosedu v hiso vdrejo lopovi, storite to vi ze danes.

Tole, kar je tule popisano sploh ni kaznivo. Jaz imam glede tega zelo razčiščene pojme. Vdiram ne (razen po vnaprejšnjem dogovoru), škode tudi ne povzročam (da bi kaj risal,...). In vedno se pri takih stvareh posvetujem z odvetnikom. Če pa je nekdo narobe skonfiguriral spletno stran in potem dostopam do javnih podatkov, pa to ni moj problem.

Tisti moji članki z razkritji so nastali zato, ker mi je tako zapasalo. Neumnost in malomarnost je treba razkriti.

Če pa hoče kdo da z ekipo preverimo njegovo varnost ali mu kaj svetujemo, se pa lahko dogovorimo. Ampak nič več pro bono.
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()

GupeM ::

BigWhale je izjavil:

Prosim, ce ne primerjas probavanja SQL injection napadov in googlovega indeksiranja, to sta dve precej razlicni zadevi.

GupeM je izjavil:

Seveda tega ne delajo, ker vejo, da bodo vrata zakljenjena. Takoj, ko bi bila verjetnost, da bodo vrata od banke odkenjena večja od 5%, bi ogromno ljudi to poizkušalo in tudi v novicah bi zadeva bila redno. Na spletu je ta verjetnost verjetno precej višja od 5%.


Ne. Tega ne pocnejo zato, ker vedo, da gredo lahko za to v zapor in da je vecja moznost, da jih ujamejo.

Nek kvazi eticni hacking se pa gredo ljudje zato, ker jih je malo tezje ujeti, nekako tako kot je pri piratstvu.

Če se bi ugotovilo, da veliko bank nima ustrezne zaščite oz. nima zaščite nasploh (odklenjena vrata), bi folk začel sprobavati, če je določena banka odklenjena. Glede na to, da je vhod v banko na javnem mestu in poskušaš vstopiti, pa so vrata odklenjena, zakaj ne bi vstopil? Sam sem že večkrat poskusil kam vstopiti, pa so bila vrata zaklenjena, potem pa sem videl delovni čas samo do 15:00. Sem se obrnil in šel stran. Če bi bila vrata odklenjena, bi vstopil. Če bi ob vstopu na šalterju videl kupček denarja, bi verjetno povedal banki, da imajo vrata odklenjena, na šalterju pa kupček gotovine, tako kot to stori etični heker. Če bi bil black-hat, bi pa kupček denarja vzel in poskusil še naslednji dan.

Ne vem, v čem bi bila težava, da hodiš po mestu in na vseh bankah probaš vstopiti. Če se vrata ne odprejo, odnehaš, če se odprejo, lahko vstopiš, lahko ne. Pomembno je, kaj storiš po tem. Lahko poveš banki kot etični hacker, lahko pa vstopiš in malo pobrskaš po dokumentih, pobereš nekaj gotovine, če bi ravno ležala na tleh, nato odideš in naslednji dan ponoviš vajo. Kje pa piše, da ne smem poskusiti, ali so vrata odklenjena ali ne? Seveda to velja za javno dostopne poslovalnice, ne pa za privat hiše.

Markus386 ::

Tehnično je to, kot če hodiš po parkirišču pa iščeš avte z odklenjenimi vrati. S tem da je sql injection še, da probaš z kovancem odklenit prtljažnik (yugo style), če slučajno sploh ni notri pinov, in je potrebno samo zavrteti cilinder.

Če bi pred trgovino našli koga ki hodi od avta do avta in "probava" kljuke, vemo kaj sledi... pa četudi je imel dobre namene.

Gagatronix ::

Tale sarkasticen nacin porocanja o teh zadevah je kratkomalo nadlezen.

GupeM ::

Markus386 je izjavil:

Tehnično je to, kot če hodiš po parkirišču pa iščeš avte z odklenjenimi vrati. S tem da je sql injection še, da probaš z kovancem odklenit prtljažnik (yugo style), če slučajno sploh ni notri pinov, in je potrebno samo zavrteti cilinder.

Če bi pred trgovino našli koga ki hodi od avta do avta in "probava" kljuke, vemo kaj sledi... pa četudi je imel dobre namene.

Ni isto. Tehnično je to, kot če hodiš po mestu pa iščeš trgovine oz. druge javne poslovalnice z odklenjenimi vrati.

poweroff ::

Gagatronix je izjavil:

Tale sarkasticen nacin porocanja o teh zadevah je kratkomalo nadlezen.

Nadležno je predvsem šalabajzerstvo nekaterih slovenskih IT firm.
sudo poweroff

Markus386 ::

GupeM je izjavil:

Markus386 je izjavil:

Tehnično je to, kot če hodiš po parkirišču pa iščeš avte z odklenjenimi vrati. S tem da je sql injection še, da probaš z kovancem odklenit prtljažnik (yugo style), če slučajno sploh ni notri pinov, in je potrebno samo zavrteti cilinder.

Če bi pred trgovino našli koga ki hodi od avta do avta in "probava" kljuke, vemo kaj sledi... pa četudi je imel dobre namene.

Ni isto. Tehnično je to, kot če hodiš po mestu pa iščeš trgovine oz. druge javne poslovalnice z odklenjenimi vrati.


SQL injection ni samo "pokljukal sem vrata kjer piše vhod", ampak bliže "vtaknil sem šravfenciger v zadnja vrata in probal zavrtet"

Phantomeye ::

Saul Goodman je izjavil:

BigWhale je izjavil:

Eticni heker ima med bookmarki "Online Courses - Lea..." ... rning how to hack? :>


OPSEC fail. se vidi, da je samo etični heker, ne profesionalec. :-D


Pomoje je to šala? Da se to vidi.

BigWhale je izjavil:

Prosim, ce ne primerjas probavanja SQL injection napadov in googlovega indeksiranja, to sta dve precej razlicni zadevi.

GupeM je izjavil:

Seveda tega ne delajo, ker vejo, da bodo vrata zakljenjena. Takoj, ko bi bila verjetnost, da bodo vrata od banke odkenjena večja od 5%, bi ogromno ljudi to poizkušalo in tudi v novicah bi zadeva bila redno. Na spletu je ta verjetnost verjetno precej višja od 5%.


Ne. Tega ne pocnejo zato, ker vedo, da gredo lahko za to v zapor in da je vecja moznost, da jih ujamejo.

Nek kvazi eticni hacking se pa gredo ljudje zato, ker jih je malo tezje ujeti, nekako tako kot je pri piratstvu.


to, da na koncu natipkaš ' ni ravno sql injection, no :D

Zgodovina sprememb…

poweroff ::

Če samo ' natipkaš po moje ni problem. Problem je, ko začneš sistematično dodajati non-random znake...
sudo poweroff

Mehmed ::

Markus386 je izjavil:


Če bi pred trgovino našli koga ki hodi od avta do avta in "probava" kljuke, vemo kaj sledi... pa četudi je imel dobre namene.


Sem nasel enga eticnega narkomana to pocet in omenil policajem, ker so bili ravno za ovinkom.
Ce kdo misli da so ga odpeljali bo razocaran.

_0\WA6m7Uzc ::

kulinarika.nekaj je imela dolgo sql injection na loginu... sem se leta hahljal :D Da ne bo nesporazuma, slo se je samo za diagnostiko ;)

Zgodovina sprememb…

_0\WA6m7Uzc ::

Pa tole je tudi svojevrstno salabajzerstvo: https://telekom.si/

Zgodovina sprememb…

  • odbrisal: BigWhale ()

BigWhale ::

poweroff je izjavil:


Tole, kar je tule popisano sploh ni kaznivo. Jaz imam glede tega zelo razčiščene pojme. Vdiram ne (razen po vnaprejšnjem dogovoru), škode tudi ne povzročam (da bi kaj risal,...). In vedno se pri takih stvareh posvetujem z odvetnikom. Če pa je nekdo narobe skonfiguriral spletno stran in potem dostopam do javnih podatkov, pa to ni moj problem.

Tisti moji članki z razkritji so nastali zato, ker mi je tako zapasalo. Neumnost in malomarnost je treba razkriti.

Če pa hoče kdo da z ekipo preverimo njegovo varnost ali mu kaj svetujemo, se pa lahko dogovorimo. Ampak nič več pro bono.


No, sedaj se kar naenkrat pogovarjamo o zelo razlicnih stvareh.

Jaz sem se konkretno obregnil ob izraz 'eticni heker'. Pri tem, da gres nekomu vdirat v sistem zaradi tega, ker ti je dolgcas in gres ob najdeni napaki obvescat SI-CERT ni nic eticnega. Eticno bi bilo, ce bi se o tem dogovoril s stranko. Zdaj, a je to totalen black hattery al je to bolj sivina, je pa stvar debate. Probavanje a je nekdo ranljiv na SQL injections al ne, je poizkus vdora v informacijski sistem, ne glede na to kaksni so bli nameni hekerja.

To kar naprej razlagas je pa IMO malenkost prevzetno. Ali heker s svojim pocetjem povzroca skodo ali ne je vprasanje. Morda je pa spletna trgovina proteini.si zaradi tega ob kaksno stranko zaradi objave na S-T. Zdaj se bo sicer oglasilo kup ljudi, ki bodo rekli, da si to itak zasluzijo, ker so taksni salabajzerji ampak a si to res zasluzijo? Saj ne vemo zaradi cesa je prislo do te napake in kdo je kriv za to. Povsem mozno je, da so kupili spletno trgovino in jo uporabljali v dobri meri, da je vse ok. To jim je zagotovil izvajalec. Stvari so redko crno bele.

Narobe skonfiguriran web server pomeni javne podatke? Predvidevam, da si se zmotil, ko si to zapisal. Tudi odklenjena omara s kartotekami, na hodniku zdravstvenega doma, niso javni podatki. Pa je lahko omara odklenjena, trije predali odprti in pet kartotek lezi kar na tleh. Te reci niso javni podatki.

Tudi denar, ki lezi v odprtem kovcku, sredi ceste, ni denar, ki ga lahko kar vsak vzame.

poweroff ::

Spletna trgovina je dolžna varovati osebne podatke strank. Edina žrtev tukaj so njihove stranke, ne spletna trgovina.
sudo poweroff

boolsheat ::

BigWhale je izjavil:

Kaj pa vrata v banki? Ce vam je ta primerjava ljubsa? A mamo tud eticne roparje bank, ki randomly probavajo a se da oropati banko in pol poklicejo policijo in povedo: 'ej tam v uni banki bi lahk odnesl ven pecto maljonov, dejte jih mal pogledat.' ?

Ne, nimamo. Imamo pa podjetja, ki jih banke najemajo, da z njihovim vedenjem pocnejo te reci.

Just because you can, it doesn't mean you should.


Ojoj...

Enim še vedno ni jasno, da internet je čisto nekaj drugega kot B&M svet?

boolsheat ::

BigWhale je izjavil:

poweroff je izjavil:


Tole, kar je tule popisano sploh ni kaznivo. Jaz imam glede tega zelo razčiščene pojme. Vdiram ne (razen po vnaprejšnjem dogovoru), škode tudi ne povzročam (da bi kaj risal,...). In vedno se pri takih stvareh posvetujem z odvetnikom. Če pa je nekdo narobe skonfiguriral spletno stran in potem dostopam do javnih podatkov, pa to ni moj problem.

Tisti moji članki z razkritji so nastali zato, ker mi je tako zapasalo. Neumnost in malomarnost je treba razkriti.

Če pa hoče kdo da z ekipo preverimo njegovo varnost ali mu kaj svetujemo, se pa lahko dogovorimo. Ampak nič več pro bono.


No, sedaj se kar naenkrat pogovarjamo o zelo razlicnih stvareh.

Jaz sem se konkretno obregnil ob izraz 'eticni heker'. Pri tem, da gres nekomu vdirat v sistem zaradi tega, ker ti je dolgcas in gres ob najdeni napaki obvescat SI-CERT ni nic eticnega. Eticno bi bilo, ce bi se o tem dogovoril s stranko. Zdaj, a je to totalen black hattery al je to bolj sivina, je pa stvar debate. Probavanje a je nekdo ranljiv na SQL injections al ne, je poizkus vdora v informacijski sistem, ne glede na to kaksni so bli nameni hekerja.

To kar naprej razlagas je pa IMO malenkost prevzetno. Ali heker s svojim pocetjem povzroca skodo ali ne je vprasanje. Morda je pa spletna trgovina proteini.si zaradi tega ob kaksno stranko zaradi objave na S-T. Zdaj se bo sicer oglasilo kup ljudi, ki bodo rekli, da si to itak zasluzijo, ker so taksni salabajzerji ampak a si to res zasluzijo? Saj ne vemo zaradi cesa je prislo do te napake in kdo je kriv za to. Povsem mozno je, da so kupili spletno trgovino in jo uporabljali v dobri meri, da je vse ok. To jim je zagotovil izvajalec. Stvari so redko crno bele.

Narobe skonfiguriran web server pomeni javne podatke? Predvidevam, da si se zmotil, ko si to zapisal. Tudi odklenjena omara s kartotekami, na hodniku zdravstvenega doma, niso javni podatki. Pa je lahko omara odklenjena, trije predali odprti in pet kartotek lezi kar na tleh. Te reci niso javni podatki.

Tudi denar, ki lezi v odprtem kovcku, sredi ceste, ni denar, ki ga lahko kar vsak vzame.


Internet != realni svet.

Tista omara s kartotekami je tam fizično na lokaciji, le malo kdo lahko pride tam mimo in izkoristi "luknjo".

Napake objavljene na internet so pa čisto nekaj drugega..
Prosim, da te primerjave, iz fizičnega sveta, vključiš v debato, samo takrat, ko bo neka stvar primerljiva - 24/7 instantno oddaljeno dostopna.

MrStein ::

Torej če kradem denar iz spletne banke je OK, če pa iz trezorja na izpostavi, pa ni?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

poweroff ::

Poanta je, da je kiberkriminal mogoče izvršiti lažje, z manj tveganja in na daljavo.
sudo poweroff

SeMiNeSanja ::

poweroff je izjavil:

Spletna trgovina je dolžna varovati osebne podatke strank. Edina žrtev tukaj so njihove stranke, ne spletna trgovina.

No, ne samo spletna trgovina....

Samo kaj, ko se (pre)hitro pozabi na dolžnosti, potegne ven ta največjo macolo in hop nad messengerja, ki je prinesel slabo novico.
Bistvo je, da ne glede na način, kako je messenger prišel do spoznanja o neki ranljivosti, ta še vedno obstaja in predstavlja neke vrste prekrška (da me ne bo spet kakšne odvetnik popravljal!).

Obnašamo se, kot da samo tisti 'etični hecker' sprobava kljuke in si zatiskamo oči pred visoko verjetnim dejstvom, da je kljuko pred njim v roki držalo že kup drugih akterjev, ki niso imeli namena kogarkoli obvestiti o odklenjenih vratih, nekateri pa so se morda tudi že pasli po podatkih, do katerih so se uspeli dokopati.

Pozabljate, da se vse IP-je neprestano skenira z vsemi mogočimi in nemogočimi skriptami, orodji,.....in podatke na koncu nekje agregira. Nekaj najdeš na Shodanu, nekaj v bolj temačnih kotičkih interneta.
To kar mi vidimo, še vrh ledene gore ni. Spletišč in sistemov, ki so ranljivi ali narobe skonfigurirani, imaš kot plevja.

Seveda ni nikomur všeč, če se ga obesi na sramotilni steber. Ampak koliko je že bilo primerov, ko se ni nič zgodilo, dokler se ni lumpa obesilo na sramotilni steber?

Že pred leti sem Gorazdu Božiču rekel, da naj naredijo neko stran, kjer si boš lahko ogledal vse primere, ki so jim bili prijavljeni. Sicer v anonimizirani obliki, da nebi mogel kar tako ugotoviti za koga se gre, vendar za to, da se že končno enkrat zruši tisti mit o tem, da te noben grdi podli hacker ne bo našel, ker živiš v neki podalpski vasici. Da se poruši mit, da se gre zgolj za 'osamljene primere' in same 'hude butlne', ki se jim dogajajo 'internetni spodrsljaji'.

Kakorkoli se mogoče nekomu zdi 'neetično', če nekdo hodi naokoli in sprobava kljuke - če tega nihče od 'ta dobrih' nebi počel - 'ta hudobni' to zagotovo počno. Za marsikateri problem nebi nikoli vedeli, če 'ta dobri' nebi sprobavali kljuk na razne mile viže. Problem je zgolj, da vsak hoče, da bi to počeli pri nekomu drugemu, ne pri njemu.

Tisti, ki so miselno en korak dalje, pa celo javno ponujajo bonbončke za tiste, ki jim bodo povedali, da imajo zanič ključavnico, ali pa da so pozabili zakleniti.

spegli ::

Prva stvar pri novih študentih na IT razvoju je razlaga "Prepared Statements"

Podpiram idejo o iskanju.

spegli ::

Prva stvar pri novih študentih na IT razvoju je razlaga "Prepared Statements"

Podpiram idejo o iskanju.

matijadmin ::

BigWhale je izjavil:

Prosim, ce ne primerjas probavanja SQL injection napadov in googlovega indeksiranja, to sta dve precej razlicni zadevi.

GupeM je izjavil:

Seveda tega ne delajo, ker vejo, da bodo vrata zakljenjena. Takoj, ko bi bila verjetnost, da bodo vrata od banke odkenjena večja od 5%, bi ogromno ljudi to poizkušalo in tudi v novicah bi zadeva bila redno. Na spletu je ta verjetnost verjetno precej višja od 5%.


Ne. Tega ne pocnejo zato, ker vedo, da gredo lahko za to v zapor in da je vecja moznost, da jih ujamejo.

Nek kvazi eticni hacking se pa gredo ljudje zato, ker jih je malo tezje ujeti, nekako tako kot je pri piratstvu.

Oladi, dečko.

Če je nekdo (iz javno dostopnih) spletnih virov, npr. headerjev, copyright vsebine komentarjev, skript ... razbral, katera verzija programja (mislim na CMS z raznimi dodatki) poganja določeno spletno stran ter nato zanjo preveril (ne boš verje, kje - kar na spletu), katere ranljivosti so dokumentirane, še ne pomeni, da je vdiral ali to poskušal. Torej ni počel nič nezakonitega in tvoja analogija z vrati banke ali soseda je čisto mimo.

Markus386 je izjavil:

GupeM je izjavil:

Markus386 je izjavil:

Tehnično je to, kot če hodiš po parkirišču pa iščeš avte z odklenjenimi vrati. S tem da je sql injection še, da probaš z kovancem odklenit prtljažnik (yugo style), če slučajno sploh ni notri pinov, in je potrebno samo zavrteti cilinder.

Če bi pred trgovino našli koga ki hodi od avta do avta in "probava" kljuke, vemo kaj sledi... pa četudi je imel dobre namene.

Ni isto. Tehnično je to, kot če hodiš po mestu pa iščeš trgovine oz. druge javne poslovalnice z odklenjenimi vrati.


SQL injection ni samo "pokljukal sem vrata kjer piše vhod", ampak bliže "vtaknil sem šravfenciger v zadnja vrata in probal zavrtet"

Ni res. To pišete, ker nimate pojma!
Vrnite nam techno!

Zgodovina sprememb…

boolsheat ::

MrStein je izjavil:

Torej če kradem denar iz spletne banke je OK, če pa iz trezorja na izpostavi, pa ni?


A lahko bolj zgrešiš point?

Nič ni od tega ni OK.

Je pa luknja na spletni banki dosegljiva na čisto drugem nivoju in zato primerjava s fizičnim svetom nikakor ni primerljiva.

Če se najde nekdo, ki troši svoj čas, da rešuje podjetja ali javne ustanove pred katastrofo, za katero je samo vprašanje časa, si zasluži pohvale kakorkoli obrnemo...

thramos ::

BigWhale je izjavil:

No, sedaj se kar naenkrat pogovarjamo o zelo razlicnih stvareh.

Jaz sem se konkretno obregnil ob izraz 'eticni heker'. Pri tem, da gres nekomu vdirat v sistem zaradi tega, ker ti je dolgcas in gres ob najdeni napaki obvescat SI-CERT ni nic eticnega. Eticno bi bilo, ce bi se o tem dogovoril s stranko. Zdaj, a je to totalen black hattery al je to bolj sivina, je pa stvar debate. Probavanje a je nekdo ranljiv na SQL injections al ne, je poizkus vdora v informacijski sistem, ne glede na to kaksni so bli nameni hekerja.


Ne glede na to, kakšni so nameni hackerja, je končni rezultat večja varnost osebnih podatkov potrošnikov, torej nas vseh. Glede na to, da avtor napake javno objavlja, in to šele potem, ko je težava odpravljena, so njegovi nameni nepomembni.

BigWhale je izjavil:


To kar naprej razlagas je pa IMO malenkost prevzetno. Ali heker s svojim pocetjem povzroca skodo ali ne je vprasanje. Morda je pa spletna trgovina proteini.si zaradi tega ob kaksno stranko zaradi objave na S-T. Zdaj se bo sicer oglasilo kup ljudi, ki bodo rekli, da si to itak zasluzijo, ker so taksni salabajzerji ampak a si to res zasluzijo? Saj ne vemo zaradi cesa je prislo do te napake in kdo je kriv za to. Povsem mozno je, da so kupili spletno trgovino in jo uporabljali v dobri meri, da je vse ok. To jim je zagotovil izvajalec. Stvari so redko crno bele.


Morda. A serija takih člankov jasno kaže, da ne gre za redek primer ampak za standardno početje. Izvajalcev? Nima veze, odgovornost je na strani naročnikov.

Samo čestitke grejo avtorju člankov, upam da bodo zadeve pograbili tudi bolj mainstream mediji in da bo stanje na področju katastrofalnega ravnanja z osebni podatki s časoma uredilo.

BigWhale ::

poweroff je izjavil:

Spletna trgovina je dolžna varovati osebne podatke strank. Edina žrtev tukaj so njihove stranke, ne spletna trgovina.


Sem mar kje trdil, da je trgovina zrtev?

boolsheat je izjavil:


Enim še vedno ni jasno, da internet je čisto nekaj drugega kot B&M svet?


Enim pa se vedno ni jasno, da so stvari precej analogne (podobne), potem pa privzemajo, da zato ker je neko stvar lazje narediti in je tezje izsledljiva, lahko te stvari kar pocnejo. To je neumnost.

Zgodovina sprememb…

  • spremenil: BigWhale ()

thramos ::

Seveda si. S celotnim spodnjim odstavkom impliciraš, da je trgovina žrtev in da si ne zasluži izgube strank zaradi slabega ravnanja z osebnimi podatki kot posledica delovanja izvajalca.

BigWhale je izjavil:

Morda je pa spletna trgovina proteini.si zaradi tega ob kaksno stranko zaradi objave na S-T. Zdaj se bo sicer oglasilo kup ljudi, ki bodo rekli, da si to itak zasluzijo, ker so taksni salabajzerji ampak a si to res zasluzijo? Saj ne vemo zaradi cesa je prislo do te napake in kdo je kriv za to. Povsem mozno je, da so kupili spletno trgovino in jo uporabljali v dobri meri, da je vse ok. To jim je zagotovil izvajalec. Stvari so redko crno bele.


Če pa želiš le povedat, da bi bilo potrebno poleg naročnikov izpostaviti tudi izvajalce, potem imaš seveda prav.

Zgodovina sprememb…

  • spremenil: thramos ()

BigWhale ::

SeMiNeSanja je izjavil:

Kakorkoli se mogoče nekomu zdi 'neetično', če nekdo hodi naokoli in sprobava kljuke - če tega nihče od 'ta dobrih' nebi počel - 'ta hudobni' to zagotovo počno. Za marsikateri problem nebi nikoli vedeli, če 'ta dobri' nebi sprobavali kljuk na razne mile viže. Problem je zgolj, da vsak hoče, da bi to počeli pri nekomu drugemu, ne pri njemu.


Svet ni tako preprost kot si to morda predstavljas. 'Sprobavanje kljuk' je, vsaj pri nas, protizakonito. Opravicevanje kljukanja vrat s tem, da delas dobro za uporabnike, je v vecini primerov neumnost. Ce bi slo resnicno za nek altruizem potem bi se tistim krsiteljem ponudilo pomoc in se poskrbelo, da problem odpravijo preden se jih javno linca.

SeMiNeSanja je izjavil:

Tisti, ki so miselno en korak dalje, pa celo javno ponujajo bonbončke za tiste, ki jim bodo povedali, da imajo zanič ključavnico, ali pa da so pozabili zakleniti.


To je nekaj povsem drugega. Dokler od ponudnika nimas dovoljenja za taksno pocetje, je taksno pocetje nezakonito. In pri teh receh je treba VEDNO pogledati smiselnost ukrepa glede na velikost in razseznost krsitve. Je prav, da se izolsko bolnisnico obesi na veliki zvon? Seveda, gre za precej hud primer krsitev. Ampak potrebno je pocakati na to, da odpravijo napako, ker drugace lahko s svojim razkritjem povzrocis precej vecjo skodo, kot je nastala prej, dokler ranljivost se sploh razkrita ni bila. Potem, ko je vse skupaj odpravljeno, pa go ahead, fire away. Prav je, da se pove in da za to nekdo odgovarja.

Kaj pa XY trgovina za katero se prakticno nihce ni slisal? V tem primeru so pa taksna sramotilna razkritja prej neumnost kot pa neka dobrodelnost in skrb za uporabnike.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Transparentna Slovenija #5: Spletni trgovini s spolnimi pripomočki razkrili svoje kup (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
12551063 (28777) Saul Goodman
»

Transparentna Slovenija #4: "Luknje" v spletnih straneh treh zdravstvenih domov SI-CE (strani: 1 2 )

Oddelek: Novice / Varnost
7620921 (17929) matijadmin
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
369132564 (97797) AndrejO
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13953349 (43486) fujtajksel
»

Dobri ali slabi fantje? (strani: 1 2 )

Oddelek: Novice / Varnost
7326694 (19944) Markoff

Več podobnih tem