» »

Popustil najšibkejši člen Slo-Techa

Popustil najšibkejši člen Slo-Techa

Slo-Tech - Pozorni obiskovalci ste nekaj pred dvajseto lahko opazili vročo novico, da je bil Slo-Tech "pohekan". Obvestilo se je ponašalo z opisom domnevne varnostne luknje (šlo naj bi za t.i. "XSS" - Cross Site Scripting napad), napotilom k boljšemu programiranju in pojasnilom, da domnevni heker ni povzročil nobene škode (t.j. ni ničesar brisal niti vgradil "zadnjih vrat").

Po takojšnjem ukrepanju se je ugotovilo, da je enemu od petih uporabnikov Slo-Techa z največ pravicami na za zdaj še neznan način "ušlo" geslo. ZliHeker se je s tem računom prijavil v sistem in svojemu običajnemu računu podelil niz pravic, ki mu sicer ne gredo, ter na njihovi podlagi objavil novico. Navedbe o tovrstni varnostni luknji so tako neresnične.

Slo-Tech ob tej priložnosti obiskovalcem zagotavlja, da do drugih posegov ali vpogledov v sistem Slo-Techa ni prišlo. Prav tako je tudi v primeru razbitja administratorskega gesla nemogoč nepovraten izbris katerihkoli podatkov.

Pri tem velja nadebudne "hekerje" opozoriti k večji skrbnosti pri uporabi raznih orodij za prikrivanje spletne identitete ter k dejstvu, da gre pri tovrstnem početju za kaznivo dejanje po 225. členu Kazenskega zakonika ("Neupravičen vstop v informacijski sistem").

Za nezmožnost uporabe naših storitev se opravičujemo.

193 komentarjev

«
1
2 3 4

Kami ::

Zakaj pa stran ni delovala kar nekaj ur, če ni blo nič drugega kot da je vedel geslo, in bi si ga lahko admin spremenil in uporabniku odzvel pravice ?

Al pa vas je sram povedat da, je res bla napaka v kodi (pa tudi nevem zakaj bi vas blo sram, to se lahko vsakemu zgodi) :)

Sicer pa vseeno, važno da ste nazaj in ni večje škode.

sinko999 ::

Dajte no 1 april je že zdavnaj mimo ta glavni pa ziher niso tak "butasti" da bi gesla delili okoli pa pisali na ceglce pa kakšen cache pobrisali za sabo .
Ni? ni ve?no !

Primoz ::

Nekaj časa je trajalo, da smo za nazaj izsledili čisto vse, kar je človek naredil.

Potem pa je še dve uri in pol trajalo zavarovanje dokazov.
There can be no real freedom without the freedom to fail.

fiore ::

pa se da to vroco novico se kje prebrat?
al pa vsaj kaksen screen shot? :\

asgard2.0 ::

Zakaj jaz temu nič ne verjamem. Mislim da se vam je kaj zjebal pol so pa hekerji krivi. Bogi adminčki. ;((
Šiht, CPU , Hrana, Spanje, Šiht ....

xpozed ::

Lepo da ste našli vzrok in boste primerno ukrepali...

Drugače pa ja, skrinšot™:


(sicer pa res deluje kot zapoznela prvoaprilska... :D )

Zgodovina sprememb…

  • zavaroval slike: Primoz ()

mtosev ::

>:D :D >:D :D 1. april je mimo!
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

volkec ::

Tako da je že čas da utihneš, ne? :\

BoLhCa ::

Smeh.. pa da se da folku dejansko s tem ukvarjat:\ Upam vsaj, če je zgodba resnična, da se sproži postopek in seveda prijava kaznivega dejanja!

kilergas ::

Take novice radi beremo :),..nekoc ste pisali,da je nemogoce se vas lotiti,..eko vam polento na kruh,pa ceprav smrdi po aprilski polenti :)

OwcA ::

So stvari, ki so "svete", to da je prišlo do udora, četudi varnostni mehanizmi strani sami niso bili krivi, je precej bolj boleče kot kakršna koli tehnična težava ali napaka v kodi.
Otroška radovednost - gonilo napredka.

Zgodovina sprememb…

  • spremenilo: OwcA ()

BluPhenix ::

Mislim, da bo nekdo dobil obisk kriminalistov. Tako se dela.

Očitno je to še vedno nekomu zabavno...
Podpisa ni več, ker so me poskušali asimilirati.

mtosev ::

OK rečte nick usera kateri je shackal S-T?
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

OwcA ::

Igraj se detektiva in sam ugotovi, vse potrebne podatke imaš podane v tej temi. ;)
Otroška radovednost - gonilo napredka.

xpozed ::

OwcA je napisal:
So stvari, ki so "svete", to da je prišlo do udora, četudi varnostni mehanizmi strani sami niso bili krivi, je precej bolj boleča kot kakršna koli tehnična težava ali napaka v kodi.


Tukaj se pa čisto strinjam. Sicer pa nekako ne vidim nič pozitivnega v takih vdorih. Ne rečem če bi šlo res za tehnično napako z vaše strani... pač bi zadevo popravili in to je to (grešiti je človeško). Sam tkole, pa da je osebek geslo staknil (ne vem kaj je admin razmišljal) in šel trositi brezvezne izjave...

Bi se morebiti dalo zvedeti, zakaj je potrebnih 5 osebkov z najvišjimi privilegiji?

Zgodovina sprememb…

  • spremenil: xpozed ()

fiore ::

nick pise na skrinšotu™
glej povezavo zgoraj

BigWhale ::

Kako tipicno, defacement naredi vedno nekdo, ki je polpismen.

;>

BluPhenix ::

MAh, bi bilo boljše, da bi ta "heker" pisal v slovenščini, saj mu angleščina ne gre najbolje:

Security flaws was found... ?
holles...
potencial...
Podpisa ni več, ker so me poskušali asimilirati.

Zgodovina sprememb…

VolkD ::

Vedno se nekdo najde. V celotnem spektru ljudi so pač tudi taki in onaki.

Tega se ne da preprečiti.
Našel se je nekdo, ki je bil "voljan" to narediti in našel se je nekdo, ki pač ni bil dovolj pazljiv z geslom.

To je vse. Dogaja se povsod. Dogaja se vsak dan. Ni da bi iz tega delal Slona. Zgolj človeški faktor. In tega se ne da preprečiti.
Je pa prav, da se storilca poišče in ustrezno kaznuje, pa tudi, da se nadaljevanje te zgodbe do njenega konca objavlja tu. Čisto v poduk ostalim.

OwcA ::

Bi se morebiti dalo zvedeti, zakaj je potrebnih 5 osebkov z najvišjimi privilegiji?

Slotech je tako velik in ima toliko pretoka, da je podvajanje funkcij nujno za kolikor toliko nemoteno delovanje. Poleg tega za povzročiti škodo, kot smo jo bili deležni, torej objava neodobrene novice, niti ne rabiš najvišji privilegijev.
Otroška radovednost - gonilo napredka.

Microsoft ::

Pa da se to Linuksim in Apacheju naredi, ki so tako oh in sploh varni... Ali pac niso?:\

Sicer pa, a nimate omejene prijave samo iz dolocenih (domacih) IPjev? Al so vam shekal v domace masine, vam nasli geslo in prisli notri?

In kakorkoli obrnete, so vas shekal. To ni dvoma. Nekdo je prisel v sistem (ali del sistema) in ge imel zacasno pod kontrolo. Tak sisitem se smatra kot shekan, negelde na to, na kak nacin je nekdo prisel notri.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

OwcA ::

Strežnik sam ni bil niti za hip ogrožen. Udor je bil le na nivoju spletnega vmesnika, ki omogoča samo omjen (objavljanje novic, moderiranje, ...) in, kar je morda še bolj važno, povsem reverzibilen nadzor nad stranjo.

Kaj lahko se izkaže, da je do kraje gesla prišlo na Windows sistemu. ;)
Otroška radovednost - gonilo napredka.

Zgodovina sprememb…

  • spremenilo: OwcA ()

VolkD ::

Imaš prav in ne..
Po tej logiki je namreč vsak sistem hekabilen .... tako da..

Miha.. a se v tvojem postu slučajno ne čuti malo privoščljivosti ?
Je tudi v tebi še ostalo malo najstniškega hekerja ?

xpozed ::

Microsoft je napisal:
Pa da se to Linuksim in Apacheju naredi, ki so tako oh in sploh varni... Ali pac niso?:\


Točno kaj ima ta izjava veze s tem dogodkom?

Sicer pa, a nimate omejene prijave samo iz dolocenih (domacih) IPjev? Al so vam shekal v domace masine, vam nasli geslo in prisli notri?


Tole je pa dobra teza...

Microsoft ::

OwcA, ma cist mozno. Nek domac Windows je dober zacetek za nadaljne pohode.

VolkD, vsak sistem, ki je "odprt", je hekabilen. Razmisljanje, da je sistem 100% varen, je vsaj ignorantsko, ce ne se kaj drugega.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

:roketa> ::

Reče se vdor. Razen če smatratrate, da sploh niso prišli noter, da je to samo neke vrste površinski udor. :P

OwcA ::

Slednje, ampak verjetno bi res bila uporaba kurzivne pisave na mestu. 8-)
Otroška radovednost - gonilo napredka.

lukanium ::

Kakorkoli obrneš vse skupaj, bedno je, da so med nami taki stvori, ki jim je dejansko tako početje v zadovoljstvo.

Eh, eni imajo pač očitno preveč časa...
When a person can no longer laugh at himself,
it is time for others to laugh at him. [Thomas Szasz]

G-man ::

Microsoft, žal nimaš prav. Pri napakah na tistem screenshotu jasno piše med napakamu ena zadevca, če si malce poblizu podgledaš: IE only. :P :D :D :D :D :D

fiction ::

Res ste grozni. Vsak thread morte nujno spremenit v nek beden OS flamewar.
Glede na to, da je ocitno slo le za napacno uporabo webinterfaca
s pomocjo ukradenega gesla, nekako OS sploh nima veze.

G-man: Ja, tisti osebek ima sigurno prav, ko v pravilni anglescini razlaga katere luknje
je izkoristil. :p

Ko boste zadevo razcistili, bi me zanimalo kako je prislo do te kraje passworda.
Vdor v racunalnik od nekoga z administrativnimi privilegiji ali
zgolj prijava z javnega mesta kjer je nekdo posniffal password?
Avtentikacija glede na IP ter username + password za dolocene uporabnike, kot je predlagal
Microsoft, bi bila vredna razmisleka.

Zgodovina sprememb…

  • spremenil: fiction ()

Matri[X] ::

Avtentikacija, ki bazira na IP naslovu ne pride v postev. Vdor v sistem? Dalec od tega. Slo-Techova varnost temelji na "damage control" principu. Varnostni sistem deluje odlicno. Nic ni bilo permanentno spremenjeno.

mtosev ::

A se ve kak je vdrl not? :\
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

Bakunin ::

mtosev:

saj pise

"...se je ugotovilo, da je enemu od petih uporabnikov Slo-Techa z največ pravicami na za zdaj še neznan način "ušlo" geslo. ZliHeker se je s tem računom prijavil v sistem in svojemu običajnemu računu podelil niz pravic, ki mu sicer ne gredo,..."

To je tako kot, če najdeš na ulici denarnico z kreditnimi karticami. Lahkobi jo pustil tam ležat ali pa vrnil lastniku, ampak NEEE... raje gre delat pizdarije. bad karma!

Kakorkoli - to JE kriminalno dejanje in upam da bodo paglavca primerno kaznovali.... dobili ga bodo tako ali tako. >:D

rovtarček ::

če ni povzročil bilokakšne škode, pol mu ne moreš nič.

jype ::

To ni res.

Ce je neupraviceno pridobil dostop do sistema, je kriv vloma.

Ziga Dolhar ::

> če ni povzročil bilokakšne škode, pol mu ne moreš nič.

Predlagam ogled zakonske inkriminacije po 225 KZ.
https://dolhar.si/

grex ::

In zakaj bi sedaj tega cloveka kaznovali. Pravno podlago morda imate, moralne pa vsekakor ne. Skoda, ki jo je povzrocil(a), se je kazala predvsem na prizadetih verskih custvih administratorjev, lahko bi se pa bistveno bolje poigral(a) z vami. Tako ste pa dobili le dober poduk, t.j. naj vam gesla nikar ne "uhajajo".

V hekanju je vse dovoljeno, tudi postavljanje kamere nad tipkovnico za pridobitev gesla in ravno taksni prijemi, ki niso omejeni na pisanje nekih kunštnih skript, so najučinkovitejši.

Bakunin ::

grex

zivis v zmoti.

Ce nekdo pusti vrata hise odprta, je to sicer njegova neumnost, ampak tisti, ki vstopi oz. izrabi (neumnost) lastnika hise, je vseeno storil kaznivo dejanje.

Poleg tega to ni bilo hekanje, ampak zelo beden "social engineering" (najdeno geslo).

Glede skode pa je tako, da VSAK vdor (spremenjena vsebina ali ne), pomeni par ur pregleda ter ciscenja.
Ali bos verjel, ko ti na spletno stran napisejo, da niso nic spremenili ?

in vsaj teh par ur dela SE steje kot (gospodarska) skoda.

Ce je v "crackanju" vse dovoljeno, potem je dovoljeno tudi, da se paglavca kazensko preganja.

Zgodovina sprememb…

  • spremenil: Bakunin ()

linuxdady ::

Neupravičen vstop v informacijski sistem

225. člen

(1) Kdor neupravičeno vstopi v informacijski sistem ali kdor
neupravičeno prestreže podatek ob nejavnem prenosu v ali iz
informacijskega sistema, se kaznuje z denarno kaznijo.

(2) Kdor podatke v informacijskem sistemu neupravičeno uporabi,
spremeni, preslika, prenaša, uniči ali v informacijski sistem
neupravičeno vnese kakšen podatek, ovira prenos podatkov ali
delovanje informacijskega sistema, se kaznuje za zaporom do dveh
let.

(3) Poskus dejanja iz prejšnjega odstavka je kazniv.

(4) Če je z dejanjem iz drugega odstavka tega člena povzročena
velika škoda, se storilec kaznuje z zaporom od treh mesecev do
petih let.


Ampak v obravnavani zadevi bi najbrž svoj namen še najbolj doseglo dve okrog ušes.

grex ::

Kako v zmoti??? Kot sem rekel: Pravna podlaga je, ampak glede na to, da iz hiše nič ni odnesel in le opozoril na svoj prihod, pa bi prišla (moralno.,.. naj ponovim... MORALNO!) v poštev le tožba za povzročene psihične bolečine in strah (t.j. joj, nikoli več se ne bom varnega počutil v svoji hiši.,.. kuku lele meni).

Mislim saj noben ne zameri administratorjem, take stvari se pač zgodijo. Bodo drugič bolj pazili. Samo ni treba sedaj iskati ultimativne zlobe v tem cloveku.

Bakunin ::

grex

ne bi rekel da se par ur pregleda ter ciscenja sistema smatra kot "psihicne bolecine".
Ce to napises na delovni nalog, se ti bo racunovodkinja smejala.... saj nisi psihiater.

antonija ::

Grex a te v zelodcu zvija?>:D

Kazni in pravni procesi so doloceni s starni prava, zato je tudi vsaka taka akcija pogojena s pravnimi sredstvi. Morala nima tukaj nic zdraven. "Moralno" ga lahko tozijo admini (ali lastnik,...) za povzroceno psihicno trpljenje, ampak upam da tega ne bo (ker je to BS). Po kazenskem zakoniku je pa vsekakor kriv in naj placa za svoje neumnosti.

Itak pa vedno velja: If you can't stand the heat stay out of the kitchen.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

HAM ::

Za cel vtrtec vas je.
Gandhi je rekel: Ne boste vi mene zaprli, jaz bom zaklenil vas ven.
Kaj ce vas sovraznik tako razmislja ?
Jaz mu cestitam, in pohvalim, ker ni naredil nobene skode, ampak
je le opozoril na nekaj.
Kogar kaca pici, se boji zvite vrvi.

MrM ::

Se popolnoma strinjam z grexom, čeprav ga nočete razumeti in še vedno turite svoje, da je človek kazensko odgovoren, blah, blah, blah... Mulc se je malo pozabaval in s svojim dejanjem na zabaven način opozoril administratorje, naj malo bolj pazijo na svoja gesla. Če kaj, vam je naredil uslugo. Pustite reveža pri miru in se mu raje zahvalite.
I have always wished for a computer that would be as easy to use as my
telephone. My wish came true. I no longer know how to use my telephone.
--Bjarne Stroustrup

Daedalus ::

In zakaj bi sedaj tega cloveka kaznovali. Pravno podlago morda imate, moralne pa vsekakor ne. Skoda, ki jo je povzrocil(a), se je kazala predvsem na prizadetih verskih custvih administratorjev, lahko bi se pa bistveno bolje poigral(a) z vami. Tako ste pa dobili le dober poduk, t.j. naj vam gesla nikar ne "uhajajo".

Grex, sporoči mi svoj naslov. Te bom hodo mal opazovat in ni vrag, da boš enkrat pozabo zaklenit bajto za sabo, al pa bom vidal, kam skrivaš ključ. Ko se bo to zgodilo, bom vstopil v tvojo bajto, pa ti malo prestavil pohištvo. Na pultu ti pa bom pustil listek, da sem se malo poigral, pa da ne več puščat ključa za nabiralnikom, da pa nisem povzročal škode. Ne boš klical policije? Sej sem pa za (slabo) šalo zgolj izkoristil tvojo nepazljivost... Sej me ne boš kaznoval, ali pač? V bistvu bi mi mogo bit hvaležn, da sem te "samo opozoril" na tvojo nepazljivost - to je, naj ti ključ ne "uhaja."

Ista "ponudba" velja za uporabnika HAM in MrM.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

Zgodovina sprememb…

  • spremenilo: Daedalus ()

Senitel ::

In seveda se nad tebe ne bo spravil z baseballko, če te bo zalotil, ko boš šel ven čez vhodna vrata... >:D

AndrejS ::

Morda pa ni bilo geslo najdeno ampak je bil racun shekan. Kdo ve. Le tisti ki je vdrl >:D

BluPhenix ::

Ne vem koliko pravic si je človek dodelil, ampak če dovolj, je lahko videl tudi zaupne osebne podatke. Kdo mi garantiral, sa si jih ni skopiral. Tako da ne govorit da ni bilo škode, marsikakšno škodo se da narediti brez tega, da kaj uničiš.

Ne govorim, da je ST tako narejen, da se da to narediti, ker ne vem ali se da. Sem samo izpostavil enega izmend mogočih problemov. Vsekakor je treba preganjat takega človeka. Naj bo tudi njemu v lekcijo, da je to kaznjivo dejanje. Vprašanje če mu bo vedno dovolj je "opozarjanje" na napake...
Podpisa ni več, ker so me poskušali asimilirati.

antonija ::

"Mulc se je malo pozabaval"... Mulc nej se kar zabava kolikor hoce, zdraven naj pa prekleto dobro ve da ce bo krsil zakon bo najebal. Jaz sem se tud zabaval, delal pizdarije, pa tud najebal. Fair enough. Vedu sm kaj delam (na sreco starsi niso) in vedu sm kaksne so (lahko) posledice. Ce ti posledice niso vsec... se pejt v peskovnik igrat. Ce "tega nisi vedu" pa itak nimas kej delat za kompom (ja, sam se moras pozanimat kaj so tvoje pravice in kaj dolznosti).

Bemti to je tko kot da bi izzival pretep pol se pa pritozeval da te je nekdo nazaj udaril. Damn right da te je. Pa se zbrcal te bo na tleh ce ne bos dal mira!!
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
«
1
2 3 4


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8432566 (22873) Furbo
»

Varnostna luknja v .Mac

Oddelek: Novice / Varnost
212780 (2778) opeter
»

Popustil najšibkejši člen Slo-Techa (strani: 1 2 3 4 )

Oddelek: Novice / Varnost
19319327 (11983) jype
»

Varnost nekaterih spletnih trgovin

Oddelek: Omrežja in internet
443087 (2007) BigWhale
»

Hekerji (strani: 1 2 3 )

Oddelek: Programiranje
13313209 (4654) darkolord

Več podobnih tem