» »

Dvojici varnostnih raziskovalcev grozi zapor zavoljo prijave napake

Dvojici varnostnih raziskovalcev grozi zapor zavoljo prijave napake

The mighty blue AT&T.

vir: Ars Technica
Ars Technica - Kljubovanje mobilnim operaterjem zgleda vedno ni najboljša ideja, ker lahko hitro vodi do kakšne kazenske ovadbe za vdor v informacijski sistem, v ZDA pa (zgleda) tudi do obsodbe. Dvojica varnostnih raziskovalcev, znanih pod imenom Goatse Sec, ki je dve leti nazaj izpostavila zoprno varnostno luknjo v AT&T-jevem aktivacijskem postopku za iPade, zdaj grozi do 5 let zapora zaradi "vdora v informacijski sistem".

Namreč, šlo je za 3G različice tablice, te pa so vsebovale tudi svojo SIM-ko, ta pa vsaka svojo identifikacijsko številko (ICC-ID). Izkazalo se je, da 1) da so te številke sekvenčne 2) da je bilo mogoče z obiskom javno dostopnega servisnega URL-ja zgolj na podlagi te številke dobiti ime in priimek ter e-poštni naslov kupca.

Dvojec Andrew Auernheimer in Daniel Spitler je hitro uspel spisati skripto, ki je snela 114.000 takih računov, sicer zgolj za demo, ampak uspešno. Med njimi pa sta potem našla veliko javnih oseb, med njimi Newyorkšega župana Bloomberga, pa Obaminega nekdanjega šefa kabineta Emanuela, mnogo .mil naslovov, in tako dalje.

E-poštnih naslovov nista nikoli zlorabljala, ter tudi ne objavila v celoti. Kljub hecnemu imenu, povezavam s 4chanom in občasnim odkritim trollanjem gre konec koncev še vedno za resno varnostno firmo, ki je tudi prikazala resno varnostno pomankljivost. A nesrečna kombinacija nasprotnika (mastodont od operaterja, proizvajalca tablic) in domnevnih žrtev (washingtonski pomembneži) je naredila svoje. FBI ju je začel preiskovati za kaznivo dejanje vdora v informacijski sistem. Tožilec je vložil obtožnico. In porota ju je pravkar obsodila. Še vedno jima ostane pritožba, a če ne uspeta, ju lahko doleti do 5 let zapora.

Previdno torej s temi državnimi operaterji, shoot-the-messenger mentaliteta je še kako prisotna.

40 komentarjev

antonija ::

Nauk: raje prodat rusom na crnem trgu, kot pa povedat domacim da imajo napako.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

amigo_no1 ::

Don't shoot the messenger !

antonija
+1
Naj se jebejo (domači) s takim odnosom.

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

mailer ::

V primeru neuspeha pritožbe objavit na Wikileaksu vse podatke. Brezveze sedet za prazen nič. No ja, pri nas ti pomagajo narediti samomor.

mihor ::

Članek sicer ne pove direktno, ampak FBI je pridobil njune chat loge, v katerih sta razmišljala, da bi prodala bazo naslovov ali pa kar delnice AT&T, z namenom, da bi jih kasneje - ko bi padle - kupila nazaj. To se seveda ni zgodilo, ampak s tem sta izgubila dobršen del kredibilnosti, kar je po mojem v veliki meri vplivalo na poroto. Vsekakor je pa glavni problem v preveč ohlapni pravni definiciji 'neavtoriziranega dostopa' v ameriških zakonih.
Vsekakor pa, fantje in punce, današnji nauk je, da uporabljajte cryptocat! ;)

amigo_no1 ::

http://security.goatse.fr/a-few-notes-o...

The case is based entirely upon IRC logs, anonymously submitted, which could be completely fabricated with no method of verification. These logs constitute the majority of the prosecution's "evidence", and are solely being used to create an image of malicious intent.



http://security.goatse.fr/fbi-arrests-g...

IRC LOGS:

The only actual "evidence" presented of wrongdoing in the entire
complaint is "150 pages" of IRC logs provided by a confidential
source. Perhaps they are relying on the fact that the jury will
consist of people who have no idea what IRC is or why one should not
treat what is basically a text file from an anonymous source on the
internet as the basis for locking someone up for 10 years.

Unbelievably, the FBI actually subpoenaed Goatsec member "Rucas the
Earthworm" to appear before a grand jury in New Jersey to defend
himself for advising people to throw their computers in the river,
accusing him of advising people to destroy evidence.

The rest of the complaint is filled with hearsay and non-facts with a
number of downright fabrications. In one footnote, the agent preparing
the report notes that "the phrase 'D8' means to be deeply involved in
an activity or to perform an activity to the fullest extent possible."
Since "D8" is just a frowny face on its side, one can only conclude
that this and other facts are being made up wholesale.

The criminal charges being levied against Spitler and Auernheimer are
disconcerting for a number of reasons; most notably the concept of
charging someone with conspiracy on the basis of IRC logs. As
explained earlier, IRC logs are hardly difficult to make up, alter or
attribute to other persons. To say nothing of the very idea of
conspiracy as a crime itself. The fact that the conspiracy charge is
thrown in usually indicates that the prosecution doesn't actually have
any hard evidence of a real crime being committed, so they resort to
trying to pin thought-crime charges on their victims instead. It is
not my intention to be alarmist, but all citizens of any country
should be greatly concerned when corporations are able to get law
enforcement to arbitrarily enforce overly broad laws to silence and
punish anyone they deem an annoyance.


Imaš na nbihovem bloku obširno napisano...

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

mihec87 ::

Nauk bodi tiho in izkoriščaj ali pa prodaj, pri slednjem bi sedajle pod palmo srkala koktajl..

Gregor P ::

Mislim, da v Evropi ti logi ne bi prišli skozi sodišča (vsaj ne tako enostavno), ravno zaradi tega ker jih je tako lahko ponarediti, prirediti ipd. ... morda le, če bi o njihovi pristnosti podal mnenje kakšen sodni izvedenec, strokovnjak oz./ali v kombinaciji s podatki kakšne visoke ("internetne") inštitucije z visoko stopnjo (mednarodne) verodostojnosti (oz. več njih).:8)
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

PaX_MaN ::

amigo_no1 je izjavil:

http://security.goatse.fr/a-few-notes-o...

The case is based entirely upon IRC logs, anonymously submitted, which could be completely fabricated with no method of verification. These logs constitute the majority of the prosecution's "evidence", and are solely being used to create an image of malicious intent.



http://security.goatse.fr/fbi-arrests-g...

IRC LOGS:

The only actual "evidence" presented of wrongdoing in the entire
complaint is "150 pages" of IRC logs provided by a confidential
source. Perhaps they are relying on the fact that the jury will
consist of people who have no idea what IRC is or why one should not
treat what is basically a text file from an anonymous source on the
internet as the basis for locking someone up for 10 years.

Unbelievably, the FBI actually subpoenaed Goatsec member "Rucas the
Earthworm" to appear before a grand jury in New Jersey to defend
himself for advising people to throw their computers in the river,
accusing him of advising people to destroy evidence.

The rest of the complaint is filled with hearsay and non-facts with a
number of downright fabrications. In one footnote, the agent preparing
the report notes that "the phrase 'D8' means to be deeply involved in
an activity or to perform an activity to the fullest extent possible."
Since "D8" is just a frowny face on its side, one can only conclude
that this and other facts are being made up wholesale.

The criminal charges being levied against Spitler and Auernheimer are
disconcerting for a number of reasons; most notably the concept of
charging someone with conspiracy on the basis of IRC logs. As
explained earlier, IRC logs are hardly difficult to make up, alter or
attribute to other persons. To say nothing of the very idea of
conspiracy as a crime itself. The fact that the conspiracy charge is
thrown in usually indicates that the prosecution doesn't actually have
any hard evidence of a real crime being committed, so they resort to
trying to pin thought-crime charges on their victims instead. It is
not my intention to be alarmist, but all citizens of any country
should be greatly concerned when corporations are able to get law
enforcement to arbitrarily enforce overly broad laws to silence and
punish anyone they deem an annoyance.


Imaš na nbihovem bloku obširno napisano...

Škoda k ne citiraš tistga, k pravjo da IRC logi so ponarejeni.
Nej uganem: nč tazga ne pravjo?8-)
In ne, "could be completely fabricated" to ni, ker s tem lahko označiš _čisto vsak_ ampak res _vsak_ dokaz.

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

mihor ::

PaX_MaN je izjavil:

Škoda k ne citiraš tistga, k pravjo da IRC logi so ponarejeni.
Nej uganem: nč tazga ne pravjo?8-)
In ne, "could be completely fabricated" to ni, ker s tem lahko označiš _čisto vsak_ ampak res _vsak_ dokaz.


To pa ne drži. IRC logi so navadna tekstovna datoteka, ki je ni nobena umetnost ponarediti. In upam, da se strinjaš, da je taka sorta 'dokaza' dosti bolj dovzetna za ponarejanje kot recimo kakšen prstni odtis, digitalni podpis itd. Saj ne rečem, v teoriji se da vsak dokaz ponaredit. Ampak nekatere dosti lažje kot druge. In temu primerna bi morala biti tudi dejanska teža takega dokaza.

PaX_MaN ::

Ne. Da se ga da zelo lahko ponaredit, nima nič s tem ali je res bil ponarejen.

mihor ::

PaX_MaN je izjavil:

Ne. Da se ga da zelo lahko ponaredit, nima nič s tem ali je res bil ponarejen.


Seveda nima. Vendar po zdravi kmečki logiki velja, da ima tak dokaz dosti nižjo težo kot če bi bil podkrepljen s kakim dejstvom o svoji avtentičnosti. Recimo če bi bil hipotetično digitalno podpisan, to bi bil lep primer. V tem primeru ne vem, kako je FBI potrdil resničnost. Ali je glede tega pričal njihov anonimni doušnik ali še kdo drug, tega nisem zasledil.

Zgodovina sprememb…

  • spremenilo: mihor ()

Kamran ::

Ojla,

mihor je izjavil:

Članek sicer ne pove direktno, ampak FBI je pridobil njune chat loge, v katerih sta razmišljala, da bi prodala bazo naslovov ali pa kar delnice AT&T, z namenom, da bi jih kasneje - ko bi padle - kupila nazaj.

Tole je pa (overall) odlična ideja... >:D

Looooooka ::

mihor je izjavil:

Članek sicer ne pove direktno, ampak FBI je pridobil njune chat loge, v katerih sta razmišljala, da bi prodala bazo naslovov ali pa kar delnice AT&T, z namenom, da bi jih kasneje - ko bi padle - kupila nazaj. To se seveda ni zgodilo, ampak s tem sta izgubila dobršen del kredibilnosti, kar je po mojem v veliki meri vplivalo na poroto. Vsekakor je pa glavni problem v preveč ohlapni pravni definiciji 'neavtoriziranega dostopa' v ameriških zakonih.
Vsekakor pa, fantje in punce, današnji nauk je, da uporabljajte cryptocat! ;)

Nauk je ocitno to, da na slo-techu objavljajo tudi novice, ki ocitno prikazujejo bullshit.
Dejansko je vecja verjetnost, da so res pezdeti, ki so poskusali dobiti poznornost in med tem storiti se nekaj skode(AT&T pac ni najbolj priljubljen operater kar se tice geekov).
Tko da...ko gre clovek prebrat par drugih novic in pogleda se te loge izpade tale cela slo-tech novica kot velik bullshit.
Zgleda res ne moremo verjeti nobeni novici z interneta...vkljucno novicam s te strani.
how fucking sad :D

enadvatri ::

mihor je izjavil:

Članek sicer ne pove direktno, ampak FBI je pridobil njune chat loge, v katerih sta razmišljala, da bi prodala bazo naslovov ali pa kar delnice AT&T, z namenom, da bi jih kasneje - ko bi padle - kupila nazaj. To se seveda ni zgodilo, ampak s tem sta izgubila dobršen del kredibilnosti, kar je po mojem v veliki meri vplivalo na poroto. Vsekakor je pa glavni problem v preveč ohlapni pravni definiciji 'neavtoriziranega dostopa' v ameriških zakonih.
Vsekakor pa, fantje in punce, današnji nauk je, da uporabljajte cryptocat! ;)


Ravno na CryptoCat sem pomislil in uporabo še drugih anonimizacijskih omrežij. Pa taka varnostna strokovnjaka!

enadvatri ::

Gregor P je izjavil:

Mislim, da v Evropi ti logi ne bi prišli skozi sodišča (vsaj ne tako enostavno), ravno zaradi tega ker jih je tako lahko ponarediti, prirediti ipd. ... morda le, če bi o njihovi pristnosti podal mnenje kakšen sodni izvedenec, strokovnjak oz./ali v kombinaciji s podatki kakšne visoke ("internetne") inštitucije z visoko stopnjo (mednarodne) verodostojnosti (oz. več njih).:8)


Dnevniške datoteke (logi) gredo super čez naše sodstvo, prav nestrokovnost izvedencev pa je zaslužena za to. In celo logi pridobljeni v državah izven EU na podlagi sodne odredbe gredo. Tudi IRC logi (poznam primer, kjer so človeka obsodili zaradi posedovanja in nalaganja otroške pornografije z nekih IRC botov). Skratka sodna praksa obstaja.

Gregor P ::

Hudiča spet so me narobe učili v tujini:D

enadvatri je izjavil:

Dnevniške datoteke (logi) gredo super čez naše sodstvo, prav nestrokovnost izvedencev pa je zaslužena za to.

... to pa na žalost verjamem ja.:'(
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Zgodovina sprememb…

  • spremenil: Gregor P ()

antonija ::

Pa taka varnostna strokovnjaka!
Ti res ni jasno a so tisti IRC logi fake, al sta pa res tolk glupa... :|
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

enadvatri ::

antonija je izjavil:

Pa taka varnostna strokovnjaka!
Ti res ni jasno a so tisti IRC logi fake, al sta pa res tolk glupa... :|


Zelo trivialna zgodba.

antonija ::

Za eno od teh dveh se moras odlocit. Al sta res tolk glupa (in sta najdla varnostno luknjo cist ponesreci, ko sta si zjutraj pekla jajca na oko in je enemu padla sol na iPad), ali sta pa dobro vedla kaj delata pa tega verjetno nista sama napisala. Dokazov pa itak nimas, sej jih se na sojenju ni blo.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

para! ::

Tudi IRC logi (poznam primer, kjer so človeka obsodili zaradi posedovanja in nalaganja otroške pornografije z nekih IRC botov). Skratka sodna praksa obstaja.

Aja? A pogovarjal se je z boti o otroški pornografiji? Če jo je pa preko irca nalagal, potem pa ne gre za klasične irc loge, ki se shranjujejo na klientov računalnik, ampak za loge DCC prenosov, kar pa je verjetno mogoče potrditi tudi po prometnih podatkih.

Ali si pričakoval, da bojo logi kar padli, samo zato, ker se jih da enostavno ponaredit?

Sicer pa smo spet tam, kjer določeni komentatorji na STju _vejo_ kaj se je zgodilo, se pravi logi so ponarejeni, AT&T je bad guy, ker jih ni direktno zaposlil in nagradil za prijaznost, sodišča so pa itak u kurcu k loge upoštevajo!
Death before dishonor!

Zgodovina sprememb…

  • spremenil: para! ()

antonija ::

Trenutno sta fanta obtozena tega, da nista naredila nic narobe. Do zdaj sta samo sprocila AT&Tju da imajo en velik problem (in to na white hat nacin). In ne samo to, obsojena sta za isto stvar.

Glede na odnos firm se veliko bolj splaca stvari prodat rusom, pol naj se pa AT&T z njimi ukvarja. Tko bi fanta imela nekaj vec denarja, svobodo in veliko manj stresa. AT&T bi imel pa resen problem ker bi kar naenkrat prisli osebni podatki njihovih narocnikov v napacne roke, pa nebi imeli pojma od kje.

Glede na to da so jima z IRC logi "dokazali" da nista naredila nic... pol mi sploh ni jasno kako AT&T tukaj ni bad guy.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

para! ::

Z IRC logi so "dokazali", da nista naredila tega, o čemer sta se pogovarjala in zarad česar bi verjetno dobila še mnogo strožjo kazen. Ampak zaradi tega nista bila obsojena, temveč že zaradi samega poskusa vdora, če se ne motim čez lužo to vzamejo bolj resno in jih ne zanima toliko zakaj si to šel počet?
Death before dishonor!

smash ::

iz prebranega se mi zdi, da nista imela poštenih namenov, torej je odločitev nekako pravilna?

para! ::

smash je izjavil:

iz prebranega se mi zdi, da nista imela poštenih namenov, torej je odločitev nekako pravilna?

Sej ne kaznujemo nepoštenih namenov, ampak dejanja. Če sta se o zlorabi podatkov samo pogovarjala, ni to nič spornega.
Death before dishonor!

bosmla ::

Primer; s prijateljico na sprehodu nadeva denarnico, jo poberema in nesema na policijo. Vmes pogledama kaj je notri in se pogovarjama kaj vse bi lahko naredila z vsebino (npr. pocitnice v Rusiji). Ta pogovor slisi policaj in si to zapise. Denarnico nedotaknjeno oddama na policiji. Pol pa za 5 let v arest.

Looooooka ::

bosmla je izjavil:

Primer; s prijateljico na sprehodu nadeva denarnico, jo poberema in nesema na policijo. Vmes pogledama kaj je notri in se pogovarjama kaj vse bi lahko naredila z vsebino (npr. pocitnice v Rusiji). Ta pogovor slisi policaj in si to zapise. Denarnico nedotaknjeno oddama na policiji. Pol pa za 5 let v arest.

Glede na loge sploh ni isto(ce niso fake).

Zgodovina sprememb…

  • spremenilo: Looooooka ()

smash ::

bosmla je izjavil:

Primer; s prijateljico na sprehodu nadeva denarnico, jo poberema in nesema na policijo. Vmes pogledama kaj je notri in se pogovarjama kaj vse bi lahko naredila z vsebino (npr. pocitnice v Rusiji). Ta pogovor slisi policaj in si to zapise. Denarnico nedotaknjeno oddama na policiji. Pol pa za 5 let v arest.


Primer: Balkanski bojevnik se s prijatelji pogovarja, kako fino bi bilo spet prodat nekaj robe ...to sliši policaj in si zapiše....To pokaže sodišču, nakar sodišče "dokaz" izloči in ga izpusti.

para! ::

Primer: Balkanski bojevnik se s prijatelji pogovarja, kako fino bi bilo spet prodat nekaj robe ...to sliši policaj in si zapiše....To pokaže sodišču, nakar sodišče "dokaz" izloči in ga izpusti.

Če ne bi blo tko, bi imeli policaji odličen sluh.
Death before dishonor!

KaRkY ::

Dejanski primer da se ne splača biti dobra duša je ko je sodelavec našel ključe od avta na parkirnem prostoru zraven avtomobila od katerega so bili ključi. Nesel jih je na policijo in je imel nekaj urno zaslišanje, če je kaj ukradel nakar mu je policaj še zagrozil, da če bo lastnik rekel da kaj manjka je on kriv za to. Sicer kasneje ni mel več problemov je pa rekel da naslednjič ko najde kakšne ključe od avta ali kaj podobnega jih raje kar pusti kjer so.

Drugače pa ne razumem kako lahko nekoga obtožijo na podlagi tega kar je mislil nardit. Res je sporno to, da sta pridobivala podatke vendar so bili ti podatki tako slabo zavarovani, da bi jih osebno štel kot da so bli javno objavljeni.

Pa da še omenim tukaj kako butasto funkcinirajo sodišča. Jaz sem bil nekaj let nazaj zaboden v trebuh prstni koš ter roko in je kriminalist rekel, da mu nemorjo sodit poskusa umora ker mu nemorjo dokazat da je nož zraven prinesel z razlogom da me bo ubil. In storilec je bil takrat star 17 let pa je bila edina kazen do nadaljnega 1x mesečno pogovori z socialno delavko.
When you look long into an abyss, the abyss looks into you

xxxul ::

kolko računov morš snet da pokažeš/nakažeš varnostno luknjo "na white hat način"?

zadeva je sicer glupa, ampak 114k accountov snet in pol chatat kako piz**** bi s tem naredu pa tud nekako ne nakazuje poštenih namenov...

@KaRkY - če je pobiranje tujih ključev z tal kaznivo, boš premislil če bi pobral ključe in jih nesel na policijo, če pa jih boš pa pričakuj kazen.

Problem tega primera ni sodišče ki je sledilo zakonom, ampak butasti zakon. Po drugi strani se pa verjetno vsak scriptkiddie ko ga dobijo zagovarja de je hotu samo nakazat ranljivost.

Zgodovina sprememb…

  • spremenil: xxxul ()

mihec87 ::

Dobijo? Saj sta sama opozorila na to...korporacije pač-kot sloni v trgovini z porcelanom..

Zgodovina sprememb…

  • spremenil: mihec87 ()

xxxul ::

tle je pa problem (glede na zakonodajo)... kaj bi se pri nas zgodilo če bi oropal trgovino, naslednji dan pa šou v trgovino in jim povedu "sm vas oropu, alarm v skladišču vam ne dela" pokradeno robom mam pa doma in jo bom obdržu? (nič ne piše da bi tadva predala 114k računov nazaj AT&T, ampak sta se kr lepo pogovarjala kaj nardit z računi)

OK, ni čisto isto - ampak problematičen je pa samo zakon,
sta pa bumbarja.

Kamran ::

smash je izjavil:

Primer: Balkanski bojevnik se s prijatelji pogovarja, kako fino bi bilo spet prodat nekaj robe ...to sliši policaj in si zapiše....To pokaže sodišču, nakar sodišče "dokaz" izloči in ga izpusti.

... in zaradi takšnih "odmevnih primerov" ljudstvo zahteva, da nelegalne metode prisluhov (po novem) postanejo legalne in legitimne... Heglova dialektika. :))

KaRkY je izjavil:

Drugače pa ne razumem kako lahko nekoga obtožijo na podlagi tega kar je mislil nardit.

Uvod v takšno družbo.

KaRkY je izjavil:

Res je sporno to, da sta pridobivala podatke vendar so bili ti podatki tako slabo zavarovani, da bi jih osebno štel kot da so bli javno objavljeni.

No ja... če so vrata hiše tako zaklenjena, da jih tebi uspe (tako kot v filmih) odpreti z recimo eno "plastiko" (v filmih kreditna kartica, tebi uspe z Urbano), se boš potem zgovarjal, da naj bi lastniki bolje poskrbeli za zavarovanje svojega premoženja ? :P

Jupito ::

xxxul je izjavil:

tle je pa problem (glede na zakonodajo)... kaj bi se pri nas zgodilo če bi oropal trgovino, naslednji dan pa šou v trgovino in jim povedu "sm vas oropu, alarm v skladišču vam ne dela" pokradeno robom mam pa doma in jo bom obdržu? (nič ne piše da bi tadva predala 114k računov nazaj AT&T, ampak sta se kr lepo pogovarjala kaj nardit z računi)

OK, ni čisto isto - ampak problematičen je pa samo zakon,
sta pa bumbarja.


Nekaj podobnega, kot se zgodi vsakič v komentarjih na ST, kadar dobimo tako analogijo, ki nima nič skupnega s primerom. - Troll logika bi se zgodila.
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

antonija ::

No ja... če so vrata hiše tako zaklenjena, da jih tebi uspe (tako kot v filmih) odpreti z recimo eno "plastiko" (v filmih kreditna kartica, tebi uspe z Urbano), se boš potem zgovarjal, da naj bi lastniki bolje poskrbeli za zavarovanje svojega premoženja ?
Ce mi pride en na moja vrata demonstrirat da jih lahko dopre z eno gumico, starim zvecilnim gumijem in zobno scetko, potem bom vesel te informacije in bom uredilo zadevo da bo naslednjic vsaj malo tezja. Pa mozakarju placal pivo ker mi je pomagal.

Predvsem ga ne bom sel tozit, dokler ni nic ukradel. Ce bo pa kaj zmanjkalo, bo pa policija verjetno pri njemu preverila kje se je nahajal med morebitnim vlomom in krajo.

Ker ce bom pizda in ga sel ganjat zaradi tega, kaj mu brani da naslednjic pocaka da me ni doma in mi sprazni stanovanje? Dobra vedenja je treba nagrajevat, ne pa kaznovat.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

enadvatri ::

para!, jaz nisem trdil, da logi niso pristni v tem ali onem postopku. Samo izrazil sem (povsem legitimni) dvom, v njihovo pristnost zaradi dejstva, da se jih zlahka falsificira. Mar to ni dejstvo?

Zgodovina sprememb…

  • spremenilo: enadvatri ()

Looooooka ::

enadvatri je izjavil:

para!, jaz nisem trdil, da logi niso pristni v tem ali onem postopku. Samo izrazil sem (povsem legitimni) dvom, v njihovo pristnost zaradi dejstva, da se jih zlahka falsificira. Mar to ni dejstvo?

Ni ker nikjer ne pise v kaksni obliki so ti logi.
Teoreticno(ampak res cist cist teoreticno) logi mogoce niso od uporabnika, ki je bil prisoten na chatu in je pac delal client side login in potem fejkalne fejkal loge.
Mogoce sta imela über hekerja pogovor na strezniku, ki je vse loge shranjeval na svoji strani.
Ta streznik je vse loge mogoce hranil v arhiv po vseh predpisih za ARHIV(timestampanje in hash pa vsa procedura).
Torej je cisto mozno, da so logi OK...ker nikjer ne pise v kaksni obliki in iz kaksnega vira so.

Vsa nadaljna sklepanja so plod moje lastne domisljije in predsodkov do podobnih pezdetov.
Ce nista o tem obvestila prizadete firme in ce nista objavila "luknje" sele po tem, ko so ju odjebali in ignorirali prijavo napake...potem to nista nobena "varnosta raziskovalca" ampak tocno to kar pravi sodisce. Kriminalca.
V najboljsem primeru(ce bi kje pisalo, da sta jih obvestila in se nista sla hvalit na vse butaste strani) bi bila "zelo prijazna zdolgocasneza, ki v prostem casu opravljata robin hoodovske vdoe iz ciste prijaznosti".
Varnostni raziskovalec si pa pomojem sele, ko te nekdo najame za tvoje profesionalno mnenje.
Kljucavnicar, ki v prostem casu odpre moj avto in si skopira vse moje dokumente je pac navaden TAT a ne?

HeMan ::

bosmla je izjavil:

Primer; s prijateljico na sprehodu nadeva denarnico, jo poberema in nesema na policijo. Vmes pogledama kaj je notri in se pogovarjama kaj vse bi lahko naredila z vsebino (npr. pocitnice v Rusiji). Ta pogovor slisi policaj in si to zapise. Denarnico nedotaknjeno oddama na policiji. Pol pa za 5 let v arest.



Bolj analogen primer bi bil, če bi s prijateljico videla strica, ki mu denarnica na pol visi iz žepa. Mu jo ukradla in nato nesla na policijo. Mislim, da bi bila kaznovana in se noben ne bi čudil :)

Glugy ::

Ma ja k jim bodo pa tuje obveščevalne službe vdrle bodo pa sam v luft gledal pa nobenmu nč rekl ker itak navjo vedl za koga zares gre(proxyi). Zdej se pa delajo češ kot da branjo pravico. Mrš!

Matija82 ::

In early June, Spitler discussed with the group how they might use the information. "I don't see the point unless we phish for passes even then that's boring," he wrote. Other members of the group suggested mining the e-mail addresses to sell to spammers "for thousands," or leaking the addresses to the press to "tarnish AT&T."



@Looka

> Early June - Goatse Sec. members discover that iPad style AJAX message sent to a wide open API on AT&T's website returns a users email address when the message contains a hardware identifier matching that of the user's iPad. Goatse Sec. attempts to contact AT&T, but is unable to reach AT&T
> June 9, 2010 - Goatse Sec. publicly announces their findings, offering partially redacted portions of the 120,000+ email addresses they obtained. Those redacted logs are published in Valleywag, a Gawker Media property. FBI opens an investigation into the incident.

http://www.dailytech.com/Interview+Goat...

HeMan, gre za izpostavljanje ranljivosti sistema. Kvečjemu pride v poštev izdelovalec hlač, katerega zadnji žepi so tako slabo narejeni, da denarnica visi ven toda ne moremo primerjavi fizičnih predmetov z email naslovom.

xxul, isto kot zgoraj. "Roba" je še vedno pri operaterju toda slab alarm ne ogroža uporabnikov z razliko od te ranljivosti.

Ima kdo vse loge ?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8420579 (10886) Furbo
»

Primer Aarona Swartza, pol leta kasneje

Oddelek: Novice / Avtorsko pravo
176238 (4741) Okapi
»

Ali je "vstop" v IS, ki ni vdor, kazniv?

Oddelek: Informacijska varnost
434758 (3906) Kamran
»

EU pripravlja hujše kazni za hekerje

Oddelek: Novice / Varnost
247557 (5950) Matthai
»

Bo v Sloveniji prepovedano posedovanje računalnikov? (strani: 1 2 )

Oddelek: Novice / Varnost
9010639 (7740) nevone

Več podobnih tem