» »

Ajpes končno priznal: Ne vemo, kaj delamo

1
2
»

dronyx ::

Furbo je izjavil:

In kaj konkretno od drugega člena naj bi ta heker storil?

Gre za tretji odstavek. Namreč ti težko odkriješ neko varnostno luknjo na spletni strani če ne poskušaš z vdorom. Tu je potem seveda pravno vprašanje "naklepa", kjer poskušaš z izgovorom, da tvoj namen ni bil vdor in kraja podatkov ampak opozarjanje na ranljivosti. Kako se to v praksi obnese sicer ne vem, vendar če potegnemo analogijo z ostalimi "vdori" se potem lahko vsak tat, ki ti doma poskuša vdreti v stanovanje in ga pri tem ujamejo izgovarja na to, da samo "preverja ranljivost tvoje ključavnice". Zadeva ni preprosta in tu bi potrebovali mnenje pravnikov, kaj je iz področja tako imenovanega "etičnega hekanja" sploh dopustno po naši zakonodaji. Pa se pri tem ne želim postaviti na nobeno stran, samo zagovarjam pa stališče, da je zakone potrebno spoštovati, ne glede na to, kaj si o njih mislimo. Če je nek zakon traparija, ga je pač potrebo spremeniti. Upam pa da se vsi strinjamo s tem, da je v našem skupnem interesu, da so naši osebni podatki ustrezno zaščiteni in varovani.

Če je Ajpes res vložil kazensko ovadbo je ta lahko povsem na mestu. Oni so namreč zaznali poskus vdora in ne morejo vedeti ali gre za "etičnega hekerja", ali pa zlikovca, ki je poskušal ukrasti kopijo CRP oziroma kakšne druge zbirke osebnih podatkov.

Zgodovina sprememb…

  • spremenil: dronyx ()

Furbo ::

Ne vem, če je upraba javne strani in ogled implementacije varnosti ravno poiskus vdora.

Če jaz stopim v NLB poslovalnico in se ozrem po senzorjih za gibanje, pogledam kakšna vrata imajo.. a že vdiram?
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

cesnja ::

Furbo je izjavil:

Če jaz stopim v NLB poslovalnico in se ozrem po senzorjih za gibanje, pogledam kakšna vrata imajo.. a že vdiram?

Naklep je to že :))

dronyx ::

Furbo je izjavil:

Ne vem, če je upraba javne strani in ogled implementacije varnosti ravno poiskus vdora.

Če jaz stopim v NLB poslovalnico in se ozrem po senzorjih za gibanje, pogledam kakšna vrata imajo.. a že vdiram?

Jaz sicer nisem strokovnjak za informacijsko varnost, vendar samo z ogledom neke spletne strani verjetno težko ugotoviš potencialne ranljivosti. Ti moraš verjetno zagnati neke programe ki testirajo spletno stran na znane ranljivosti? Razen seveda če se da samo iz prikaza strani ugotoviti, da ranljivost obstaja, kar pa nekako dvomim. Vem da recimo v računalniških omrežjih lahko zaženeš program, ki ti preskenira celotno omrežje in analizira vsako napravo (PC, stikala, usmerjevalniki, tiskalniki itd.) ter ugotovi ranljivosti in celo razloži, kako se da ranljivosti enostavno izkoristiti. To ni nobena znanost in to lahko izvede vsakdo, ki ima do omrežja dostop. Za marsikoga so rezultati takih testov šokantni, ampak kot pravijo...nevednost je blagoslov. :)

Zgodovina sprememb…

  • spremenil: dronyx ()

Furbo ::

Hja, po razlagi nekaterih, bi bila potem že sama uporaba teh orodij (spletnih strani) nelegalna.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

BigWhale ::

dronyx je izjavil:

Furbo je izjavil:

Ne vem, če je upraba javne strani in ogled implementacije varnosti ravno poiskus vdora.

Če jaz stopim v NLB poslovalnico in se ozrem po senzorjih za gibanje, pogledam kakšna vrata imajo.. a že vdiram?

Jaz sicer nisem strokovnjak za informacijsko varnost, vendar samo z ogledom neke spletne strani verjetno težko ugotoviš potencialne ranljivosti. Ti moraš verjetno zagnati neke programe ki testirajo spletno stran na znane ranljivosti? Razen seveda če se da samo iz prikaza strani ugotoviti, da ranljivost obstaja, kar pa nekako dvomim.


Lahko pogledas source kodo spletne strani in vidis, da uporabljajo nek star software, ki je luknjast. In ce jih na to opozoris, kaj si storil? Kaznivo dejanje?

Sicer pa 'eticni hekerji' (tolk bizaren izraz, da bi kaj bolj butastega tezko nasli) delujejo tako, da se s stranko dogovorijo, kaj bodo poceli in stranka ponavadi placa to storitev.

Ce gres ti in kr tko mal probavas in pol posiljas maile okrog, nisi bas neki eticen. :)

matijadmin ::

Sicer pa je vse skupaj hecno ... Kolikor je meni znano, je 'etični' heker Milan Gabor brez privoljenja hekal eno od svojih nesojenih strank na neki konferenci pred očmi javnosti in so ga nato skoraj nagnali od tam ... Pa tudi SI-CERT-ov uslužbenec Hren, čeravno napadalce, 'etično' heka, tako da vdira v njihove račune brez odredbe sodišča in mimo organov pregona ... Kar tako na svojo pest. In potem taki pametujejo o tem, kaj je etično hekanje.

Drugače pa ne pozabite, ni kaznivega dejanja brez naklepa. Ne glede na to, kaj bodo organi pregona stlačili v obtožni akt ... Če nisi izsiljeval upravljalca/lastnika ranljivega sistema in si ga na ranljivost po odkritju dobronamerno opozoril, samo poskus vdora ali vdor brez povzročanja škode (pozor, odprava ranljivosti ni škoda, ki jo povzroči napadalec) ob dobrem odvetniku nikakor ne bosta prinesla obsodbe.
Vrnite nam techno!

AndrejO ::

matijadmin je izjavil:

Drugače pa ne pozabite, ni kaznivega dejanja brez naklepa.

V splošnem je to fail, ker obstajajo tudi kazniva dejanja iz malomarnosti.

Specifično, pa je to fail, ker je definicija naklepa v KZ-1 (in to je edina relevantna definicija za kazniva dejanja), sledeča:

Kaznivo dejanje je storjeno z naklepom, če se je storilec zavedal svojega dejanja in ga je hotel storiti (direktni naklep), ali če se je zavedal, da lahko stori dejanje, pa je v to privolil (eventualni naklep).


Torej: storilec se je zavedal svojega dejanja in ga je hotel storiti. Dvomim, da te iz tega izvleče še tako dober odvednik, ker boš težko pojasnil, kako si "slučajno in nevede v poizvedbeno polje vpisal nekaj naključnih znakov, ki so naključno prikazali vse tabele v RDBMS".

Potem je že bolje, da najdeš odvetnika, ki se specializira za iskanje postopkovnih napak.

dronyx ::

BigWhale je izjavil:

Lahko pogledas source kodo spletne strani in vidis, da uporabljajo nek star software, ki je luknjast. In ce jih na to opozoris, kaj si storil? Kaznivo dejanje?

V to kategorijo bi po moje recimo sodil primer podpisne komponente. Ti lahko podpisno komponento preneseš k sebi, saj je prosto dostopna na spletu, jo "dekompajliraš" in iščeš ranljivosti. S tem še nisi izvedel nobenega poskusa vdora.

Drug primer pa so recimo omrežni skenerji, ki iščejo ranljivosti in imajo obsežno bazo podatkov vseh mogočih varnostnih luken. Ob uporabi takega orodja pa si predstavljam da bi moral sistem za detekcijo vdorov (IDS) sprožiti alarm, saj je iskanje ranljivosti lahko prvi korak pri poskusu vdora (sledi lahko potem izraba odkrite ranljivosti).

perci ::

V splošnem je to fail, ker obstajajo tudi kazniva dejanja iz malomarnosti.

Za kazniva dejanja iz malomarnosti, mora biti eksplicitno določeno, da so kazniva tudi iz malomarnosti. Za predmetno kaznivo dejanje, to ni določeno.

Looooooka ::

matijadmin je izjavil:

Looooooka je izjavil:

AJPES je treba obesit za jajca prav tako pa vas, ki trdite, da ste z objavo dosegali neke "standarde" "etičnega hekanja". Če dobite odgovor, da je zadeva rešena(vi in ne nekdo drug) se zadevo preveri. Konec koncev bi lahko bila zadeva sele na stagingu pa se ni sla v produkcijo. Če vas pošljejo v k**** oz se strinjajo z objavo pa pač objaviš.
Anonimnost pa again res nakazuje na to, da se gospod etični ni bil prepričan v legalnost svojega početja.
Me briga za objavo ampak malce pretiravate z etičnostjo glede na način kako je bilo skomunicirano.

Delaš na AJPES pa bi rad plezal po šefih? >:D

Briga me za ajpes ampak dejansko vem, da ko ti nek pencil pusher napise, da je reseno to pomeni, da mu je tako zagotovil isti vosel, ki je napako ustvaril. In ce te ni brigalo za pravne posledice pri prvem 'vdoru' pa zdaj bluzis o neki etiki potem bi bilo zelo eticno, da preveris ce so podatki se dosegljivi preden to naznanis celemu svetu.
Kot sem napisal... etike mate ravno toliko kot bancni ropar.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

Looooooka ::

Pa ce se ni dovolj natancno napisano.
Moti me zgolj bluzenje o etiki.
Za podatke vam je vseeno to je ocitno.
Konec koncev tudi mene ne gane in mi je bolj pomembno, da taki podizvajalci letijo na crne liste, ampak ne pa iz sebe delat Robin Hooda.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

BigWhale ::

Se enkrat ...

"Eticni hekerji" so tisti, ki se s stranko zmenijo, da bodo izvajali penetracijo in preizkus sistema. Stranka VE, da bodo to poceli.

Ostalo pa spada v katergorijo 'vigilante'.

konspirator ::

Kako pogosto se na straneh državnih organov/JS/JU izvajajo penetracijski testi, če sploh ?
Ker ajpesova stran je tako nevarna, da nebi smela biti online.
--

Zgodovina sprememb…

AndrejO ::

perci je izjavil:

V splošnem je to fail, ker obstajajo tudi kazniva dejanja iz malomarnosti.

Za kazniva dejanja iz malomarnosti, mora biti eksplicitno določeno, da so kazniva tudi iz malomarnosti. Za predmetno kaznivo dejanje, to ni določeno.

Matija je napisal, da "ni kaznivega dejanja brez naklepa". Tega nisem razumel kot omejeno na predmetno k.d. in se mi je zato zdelo vredno omeniti, da temu niti pod razno ni tako.

V nadaljevanju pa sem napisal tudi kako je definiran naklep, ki se tiče konkretnega k.d. in tudi svoje razmišljanje o tem, kaj pomeni takšna definicija pri konkretnem k.d..

Zgodovina sprememb…

  • spremenil: AndrejO ()

dronyx ::

AndrejO je izjavil:

Matija je napisal, da "ni kaznivega dejanja brez naklepa". Tega nisem razumel kot omejeno na predmetno k.d. in se mi je zato zdelo vredno omeniti, da temu niti pod razno ni tako.

To da ni kaznivega dejanja brez naklepa seveda ne drži. Z naklepom je samo kaznivo dejanje hujše. Recimo pri umoru gre za neklepno kaznivo dejanje, uboj pa nenaklepno.

Bi bilo pa seveda zanimivo videti pravno prakso v primerih kaznivega dejanja poskusa vdora v informacijski sistem. Možno celo da za to sploh še ni bil nihče obsojen in tako pravne prakse sploh ni pri nas.

dronyx ::

dronyx je izjavil:

Bi bilo pa seveda zanimivo videti pravno prakso v primerih kaznivega dejanja poskusa vdora v informacijski sistem. Možno celo da za to sploh še ni bil nihče obsojen in tako pravne prakse sploh ni pri nas.

Tule se moram popraviti. V KZ dejansko piše takole:

(2) Kdor podatke v informacijskem sistemu neupravičeno uporabi, spremeni, preslika, prenaša, uniči ali v informacijski sistem neupravičeno vnese kakšen podatek, ovira prenos podatkov ali delovanje informacijskega sistema, se kaznuje za zaporom do dveh let.

(3) Poskus dejanja iz prejšnjega odstavka je kazniv.


Torej kot kaže niti ni kaznivo dejanje poskus vdora, ampak poskus "oviranja prenosa podatkov ali delovanja informacijskega sistema" ter poskus da neupravičeno uporabiš, spremeniš, uničiš...podatke v informacijskem sistemu.

Da podatke lahko poskušaš spreminjati in uničevati moraš priti v informacijski sistem. Torej če dejansko ne vdreš tu ne moreš kaj dosti poskušati. Poskus oviranja prenosa in delovanja info. sistema je pa po moje bolj megleno.

perci ::

Recimo pri umoru gre za neklepno kaznivo dejanje, uboj pa nenaklepno.

Popolnoma si brcnil v temo. Uboj je VEDNO naklepen. Uboj iz malomarnosti ne obstaja.

zigak ::

To, da ne vejo kaj delajo, bi morali priznati tudi na Informacijskem pooblaščencu. Če se navežem na nov zapis Mateja Kovačiča. Gre za tipično pometanje pod preprogo. En organ ali agencija se skriva za napakami drugih. Oba organa sta isto dolžna ravnati skrbno, a zadnje insinuacije in primeri, ki smo jih zadnje čase s strani Informacijskega pooblaščenca vajeni, pa kažejo na resno in hudo nepoznavanje informacijske varnosti, predvsem se to kaže s koncem lanskega leta, ko jim je strmo začela padati kvaliteta odločb na tem področju. Ne vem, kaj se dogaja s tem organom, ampak za Ajpes smo vsaj vedeli, če ne drugega, potihoma, da imajo resno kadrovsko podhranjenost na področju informacijske varnosti, za IP pa...

Zgodovina sprememb…

  • spremenilo: zigak ()

Furbo ::

V glavnem, če bi privat firma tako zajebala, bi fasala orenk kazni.. ker je pa JU.. meh.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

perci ::

Od koga bi privat firma fasala orenk kazni?

A ti misliš, da je v privat vse sektorju vse super zavarovano? Smeh.

Furbo ::

perci je izjavil:

Od koga bi privat firma fasala orenk kazni?

A ti misliš, da je v privat vse sektorju vse super zavarovano? Smeh.

Malo si poglej kakšna je zakonodaja glede osebnih podatkov.. letos se še lahko zajebavajo, naslednje leto...
Ampak kot ponavadi, bo to naš JU presenetilo s spuščenimi hlačami, razen ko bo treba pisati kazni zasebnikom..
Kazni v višini do 4% prometa itd..
General Data Protection Regulation @ Wikipedia
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

Saul Goodman ::

matijadmin je izjavil:

Sicer pa je vse skupaj hecno ... Kolikor je meni znano, je 'etični' heker Milan Gabor brez privoljenja hekal eno od svojih nesojenih strank na neki konferenci pred očmi javnosti in so ga nato skoraj nagnali od tam ... Pa tudi SI-CERT-ov uslužbenec Hren, čeravno napadalce, 'etično' heka, tako da vdira v njihove račune brez odredbe sodišča in mimo organov pregona ... Kar tako na svojo pest. In potem taki pametujejo o tem, kaj je etično hekanje.

Drugače pa ne pozabite, ni kaznivega dejanja brez naklepa. Ne glede na to, kaj bodo organi pregona stlačili v obtožni akt ... Če nisi izsiljeval upravljalca/lastnika ranljivega sistema in si ga na ranljivost po odkritju dobronamerno opozoril, samo poskus vdora ali vdor brez povzročanja škode (pozor, odprava ranljivosti ni škoda, ki jo povzroči napadalec) ob dobrem odvetniku nikakor ne bosta prinesla obsodbe.


jo, lahko kakša informacija več o tej zgodbi z Gaborjem in hekanjem? Katera konferenca/firma? Bsides? Letos sem zamudil. O Hrenu vem, ker se je znal sam pohvalit na twitterju. :-)

matijadmin ::

Baje, da NT konferenca ... Njega vprašajte.
Vrnite nam techno!

krneki0001 ::

Ja, lansko leto je bil (2016), pa se ne spomnim, da bi kaj udiral. Še predstavitev, ki jo je imel je nekaj nagajala (Gone in 60 minutes). Je bil pa vzvišen, kot da je nekaj več in je po vsem kar ni bilo po njegovem okusu pljuval.
To je bila njegova predstavitev:
Ta predstavitev ne bo tipična predstavitev, kot ste jih bili vajeni do sedaj. S pravo simulacijo APT napada, ki bo pokazala, kaj vse se lahko dejansko zgodi tudi vašemu informacijskemu sistemu. V 60 minutah bo simuliran realen napad z resničnimi tarčami, brez dvojnikov, preobrati, obrambami, zaščitami in vsem kar spada zraven. Pri vseh aktivnostih bo prikazano in razloženo, kako se lahko proti takšnim tipom napadov tudi uspešno branimo, kakšne zaščite dejansko delujejo in zakaj je potrebno vaše zaposlene varnostno ozaveščati.



Powershell predstavitev sem pa zapustil nekje na sredini predavanja, ker tiste skripte so bile en zmazek, pa sem skoraj siguren, da niso bile njegovo delo, ker jih je moral brati, da je videl kaj sploh delajo. Ponavadi prideš na predavanje pripravljen in veš kaj tvoje skripte delajo, zato da gledaš ljudi in razlagaš, ne da buljiš v ekran in bereš.

To je bila pa powershell predstavitev:
PowerShell ne koristi samo sistemskim administratorjem za lažje opravljanje njihovega dela, ampak je lahko tudi zelo močno orodje v rokah hekerjev. V predavanju bo prikazano, na kakšne kreativne načine hekerji uporabljajo PowerShell. Prikazano bo tudi, kako lahko takšne stvari omejimo in smo na njih pozorni. Kaj lahko na hitro naredimo, da se izognemo napadom z uporabo PowerShella.




V glavnem poznam kr nekaj programerjev in sistemcev (tudi na tem forumu), ki ga v znanju prekašajo "muljun puta", pa se ne nosijo tako visoko.

Jst ::

Kaj samo meni, ko odprem ajpes in LP, kliknem "uvoz xml datoteke" in se prikaže

"C:\fakepath\excel_generirano_ime.xml"

Ni važno kje je path, napiše "fakepath". Ampak uvozi normalno.

Tako da res ne vejo, kaj delajo, na večih nivojih...
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

techfreak :) ::

To je varnostni feature brskalnika, da javascript ne more dostopati do celotne poti iz kjer si ti izbral datoteko.

technolog ::

perci je izjavil:

Od koga bi privat firma fasala orenk kazni?


Od svojih strank. In od izgube dobrega imena.

Zgodovina sprememb…

perci ::

Aha, na to je furbo mislil, ko je omenjal kazni. Dobr, da si pojasnil.

Mimogrede, misliš, da je direktorjem državnih institucij vseeno za dobro ime organa, ki ga vodijo? Direktorici AJPES v tem konkretnem primeru? Misliš, da medijsko nabijanje na križ ne pride to teh ljudi?

AndrejO ::

perci je izjavil:

Aha, na to je furbo mislil, ko je omenjal kazni. Dobr, da si pojasnil.

Mimogrede, misliš, da je direktorjem državnih institucij vseeno za dobro ime organa, ki ga vodijo? Direktorici AJPES v tem konkretnem primeru? Misliš, da medijsko nabijanje na križ ne pride to teh ljudi?

Vseeno? Nekaterim ni, nekaterim pa tudi je.

Kar se tiče "dobrega imena organa", je to pri javnih storitvah neuporabna kategorija, ker nimaš še treh konkurenčnih AJPES-ov, da bi lahko glasoval z denarnico. Glasovanje z denarnico pa je tisto, čemer se reče "vrednost dobrega imena" oz. "vrednost blagovne znamke".

Kar se pa tiče "dobrega imena vodje organa", pa je stvar malo bolj mešana. Nekateri pač pazijo na svoj ugled. Potem pa imaš tudi takšne, ki imajo dovolj politične zaslombe, da lahko dobesedno ignorirajo vse in na koncu, po ključu političnega kupčkanja, še vedno dobijo stolček ... samo v kakšnem drugem organu.

Furbo ::

perci je izjavil:

Aha, na to je furbo mislil, ko je omenjal kazni. Dobr, da si pojasnil.

Mimogrede, misliš, da je direktorjem državnih institucij vseeno za dobro ime organa, ki ga vodijo? Direktorici AJPES v tem konkretnem primeru? Misliš, da medijsko nabijanje na križ ne pride to teh ljudi?

Malce višje si preberi, kaj sem mislil.

Pa če bi medijsko nabijanje škodilo kakemu nesposobnemu birokratu in tatinskemu politiku, bi bila naša država že Švica v2.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

BigWhale ::

O medijskem nabijanju lahk vprasas unga ravnatelja, ki se je obesil. On zih ve!

Furbo ::

On ni počel nič škodljivega. Očitno je bil pa tudi sam naročen na srednjeveško razmišljanje o seksu.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

perci ::

Bi te rad videl na njegovem mestu, če bi bil še vedno glasen.

Furbo ::

Mislim, da to nima prav nobene veze s to temo. Povsem zgrešen primer in neokusno.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
369131004 (96237) AndrejO
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20181076 (63630) jukoz
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13953056 (43193) fujtajksel
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8432390 (22697) Furbo

Več podobnih tem