Novice » Varnost » Transparentna Slovenija #4: "Luknje" v spletnih straneh treh zdravstvenih domov SI-CERT uspel odpraviti v pol leta
BigWhale ::
matijadmin je izjavil:
Če je nekdo (iz javno dostopnih) spletnih virov, npr. headerjev, copyright vsebine komentarjev, skript ... razbral, katera verzija programja (mislim na CMS z raznimi dodatki) poganja določeno spletno stran ter nato zanjo preveril (ne boš verje, kje - kar na spletu), katere ranljivosti so dokumentirane, še ne pomeni, da je vdiral ali to poskušal. Torej ni počel nič nezakonitega in tvoja analogija z vrati banke ali soseda je čisto mimo.
Ce gres pa googlat ali ima WordPress 5.1.1 kak exploit, potem to ni kaznivo, jasno. Ce gres sprobavat na neko spletno stran ali je ranljiva za ta exploit, potem pa to je nezakonito.
thramos ::
Kaj pa XY trgovina za katero se prakticno nihce ni slisal? V tem primeru so pa taksna sramotilna razkritja prej neumnost kot pa neka dobrodelnost in skrb za uporabnike.
Bulšit.
Očitno XY trgovine z osebnimi podatki ravnajo kot svinja z mehom. Trenutni sistem nadzora in kazni očitno ne deluje.
Sramotilna razkritja bodo morda, _morda_, prestrašila trgovine in izvajalce, da se bo stanje izboljšalo.
Kakšna pa je škoda? Izguba strank? Trgovin, ki niso sposobne zakonitega poslovanja? Izvajalcev, ki niso sposobni zagotoviti ustreznih rešitev?
matijadmin ::
SeMiNeSanja je izjavil:
Kakorkoli se mogoče nekomu zdi 'neetično', če nekdo hodi naokoli in sprobava kljuke - če tega nihče od 'ta dobrih' nebi počel - 'ta hudobni' to zagotovo počno. Za marsikateri problem nebi nikoli vedeli, če 'ta dobri' nebi sprobavali kljuk na razne mile viže. Problem je zgolj, da vsak hoče, da bi to počeli pri nekomu drugemu, ne pri njemu.
Svet ni tako preprost kot si to morda predstavljas. 'Sprobavanje kljuk' je, vsaj pri nas, protizakonito. Opravicevanje kljukanja vrat s tem, da delas dobro za uporabnike, je v vecini primerov neumnost. Ce bi slo resnicno za nek altruizem potem bi se tistim krsiteljem ponudilo pomoc in se poskrbelo, da problem odpravijo preden se jih javno linca.
SeMiNeSanja je izjavil:
Tisti, ki so miselno en korak dalje, pa celo javno ponujajo bonbončke za tiste, ki jim bodo povedali, da imajo zanič ključavnico, ali pa da so pozabili zakleniti.
To je nekaj povsem drugega. Dokler od ponudnika nimas dovoljenja za taksno pocetje, je taksno pocetje nezakonito. In pri teh receh je treba VEDNO pogledati smiselnost ukrepa glede na velikost in razseznost krsitve. Je prav, da se izolsko bolnisnico obesi na veliki zvon? Seveda, gre za precej hud primer krsitev. Ampak potrebno je pocakati na to, da odpravijo napako, ker drugace lahko s svojim razkritjem povzrocis precej vecjo skodo, kot je nastala prej, dokler ranljivost se sploh razkrita ni bila. Potem, ko je vse skupaj odpravljeno, pa go ahead, fire away. Prav je, da se pove in da za to nekdo odgovarja.
Kaj pa XY trgovina za katero se prakticno nihce ni slisal? V tem primeru so pa taksna sramotilna razkritja prej neumnost kot pa neka dobrodelnost in skrb za uporabnike.
Tebi res ni jasno, o čem pišemo.
Folk je do spoznanj prišel z zbiranjem javno dostopnih informacij in naposled logičnega sklepa ter nikakor s poizkušanjem, tj. nevnaprej dogovorjenim pentestom (pa naj bo to zgolj skeniranje vrat ali poganjanje eksploitov).
Vrnite nam techno!
BigWhale ::
Samo čestitke grejo avtorju člankov, upam da bodo zadeve pograbili tudi bolj mainstream mediji in da bo stanje na področju katastrofalnega ravnanja z osebni podatki s časoma uredilo.
Dokler se bo govorilo o igrace-za-otroke-od-tri-do-pet-let.si, ki ga upravlja Janez&Jozica d. o. o. z 0 zaposlenimi in imajo letno pet tisoc evrov prometa, tega ne bo pograbil noben mainstream medij. Dejte razumet to.
matijadmin ::
matijadmin je izjavil:
Če je nekdo (iz javno dostopnih) spletnih virov, npr. headerjev, copyright vsebine komentarjev, skript ... razbral, katera verzija programja (mislim na CMS z raznimi dodatki) poganja določeno spletno stran ter nato zanjo preveril (ne boš verje, kje - kar na spletu), katere ranljivosti so dokumentirane, še ne pomeni, da je vdiral ali to poskušal. Torej ni počel nič nezakonitega in tvoja analogija z vrati banke ali soseda je čisto mimo.
Ce gres pa googlat ali ima WordPress 5.1.1 kak exploit, potem to ni kaznivo, jasno. Ce gres sprobavat na neko spletno stran ali je ranljiva za ta exploit, potem pa to je nezakonito.
Ce sem prav razumel situacijo, so samo v CVE bazah preveriali ali so za predmetne verzije dokumentirani eksploiti!
Vrnite nam techno!
BigWhale ::
matijadmin je izjavil:
Folk je do spoznanj prišel z zbiranjem javno dostopnih informacij in naposled logičnega sklepa ter nikakor s poizkušanjem, tj. nevnaprej dogovorjenim pentestom (pa naj bo to zgolj skeniranje vrat ali poganjanje eksploitov).
Men se zdi, da pa teb ni cist jasno o cem jaz pisem. :)
thramos ::
Dokler se bo govorilo o igrace-za-otroke-od-tri-do-pet-let.si, ki ga upravlja Janez&Jozica d. o. o. z 0 zaposlenimi in imajo letno pet tisoc evrov prometa, tega ne bo pograbil noben mainstream medij. Dejte razumet to.
Morda. Pa še enkrat: kakšna je škoda, da tega ni smiselno počet?
In pa kaj predlagaš, da se bo stanje dejansko uredilo.
jype ::
In pa kaj predlagaš, da se bo stanje dejansko uredilo.Sprejetje standardov odprtokodne programske opreme, ki jo lahko pregleda strokovnjak, ki ga plačujemo davkoplačevalci. Prepričan sem, da bi si-cert to lahko opravljal kot del njihovih zadolžitev, vsi, ki ponujajo izdelavo, gostovanje ali celostno storitev spletnih trgovin, bi pa lahko to uporabljali in imeli zagotovilo, da je reč bila pregledana.
imagodei ::
SeMiNeSanja je izjavil:
Kakorkoli se mogoče nekomu zdi 'neetično', če nekdo hodi naokoli in sprobava kljuke - če tega nihče od 'ta dobrih' nebi počel - 'ta hudobni' to zagotovo počno. Za marsikateri problem nebi nikoli vedeli, če 'ta dobri' nebi sprobavali kljuk na razne mile viže. Problem je zgolj, da vsak hoče, da bi to počeli pri nekomu drugemu, ne pri njemu.
Svet ni tako preprost kot si to morda predstavljas. 'Sprobavanje kljuk' je, vsaj pri nas, protizakonito. Opravicevanje kljukanja vrat s tem, da delas dobro za uporabnike, je v vecini primerov neumnost. Ce bi slo resnicno za nek altruizem potem bi se tistim krsiteljem ponudilo pomoc in se poskrbelo, da problem odpravijo preden se jih javno linca.
Ampak vseeno (SQL injection je seveda na drugem nivoju, ampak - ) javno dostopne, poindeksirane strani na Googlu niso primerljive s kljukanjem na vrata, vstopanju v stanovanje, odpiranju omar s kartotekami na hodniku zdravstvenega doma...
- Hoc est qui sumus -
BigWhale ::
Morda. Pa še enkrat: kakšna je škoda, da tega ni smiselno počet?
In pa kaj predlagaš, da se bo stanje dejansko uredilo.
There are bigger fish to fry, po domace povedano.
Izpostavljati treba primere, ki kaj pomenijo in ki predstavljajo bolj resno nevarnost za uporabnike. Ravno zato ze ves cas razlagam, da stvari niso crno bele in da ena XY trgovina ni tak problem kot bi bil problem recimo Mercator ali pa v konkretnem primeru, bolnisnica Izola.
Pritisniti je treba na regulatorje in inspektorje. Zakaj nimamo inspekcijskih sluzb, ki bi preverjale kako je s temi recmi? Zakaj podjetja skrbijo za pravilno oddajo davkov in bolj slabo za varnost v spletni trgovini? Zato, ker vedo, da je FURS omnipresent authority figure, ki zna tudi ukrepati.
Kako je blo ze tisto? Vklopi razum, zahtevaj racun? Zakaj nimamo ministrstva, ki bi se slo podobno reklamno kampanjo za varnost na spletu? In ne, ne klicem po policijski drzavi ampak v prvi fazi vsaj po ustreznem obvescanju in ukrepanju.
BigWhale ::
Ampak vseeno (SQL injection je seveda na drugem nivoju, ampak - ) javno dostopne, poindeksirane strani na Googlu niso primerljive s kljukanjem na vrata, vstopanju v stanovanje, odpiranju omar s kartotekami na hodniku zdravstvenega doma...
Ne, niso enake stvari, so pa primerljive. V vsakem primeru gre za podatke do katerih nisi upravicen do vpogleda. In tudi google ni upravicen do vpogleda.
Kaj se zgodi z mapo na kateri pise gor "TOP SECRET" in jo nekdo pozabi na klopci v parku? Jo lahko pogledas? Smes narest kopijo in dat kopijo tistemu, ki izrazi zeljo, da bi jo imel?
Tukaj je polno enih reci, ki so na nekem se precej nedefiniranem podrocju. A je smiselno privzeti, da je VSE kar je na spletnem strezniku, ki je javno dostopen, kosher za branje prav vsakogar?
imagodei ::
Bom še enkrat napisal:
Al pa bi vsaj morali vedet, kako deluje. Podatkov, za katere nočeš, da so javno dostopni, ne nalagaš na javno dostopni spletni strežnik. Ever.
Če se ti zdi, da bi morali biti dostopni omejenemu številu oseb, to ustrezno zrihtaš. Kot je očitno iz te in povezanih tem, je strokovnjakom jasno, da Wordpress v kombinaciji z najcenejšim izvajalcem (sosedovim mulcem) ni platforma, ki bi bila primerna za to.
WWW je star skoraj 30 let, kako deluje, vemo (vse, kar je dostopno gor, je pač dostopno - če poznaš link), prvi search engines so stari dobrih 25 let.
Al pa bi vsaj morali vedet, kako deluje. Podatkov, za katere nočeš, da so javno dostopni, ne nalagaš na javno dostopni spletni strežnik. Ever.
Če se ti zdi, da bi morali biti dostopni omejenemu številu oseb, to ustrezno zrihtaš. Kot je očitno iz te in povezanih tem, je strokovnjakom jasno, da Wordpress v kombinaciji z najcenejšim izvajalcem (sosedovim mulcem) ni platforma, ki bi bila primerna za to.
- Hoc est qui sumus -
Zgodovina sprememb…
- spremenil: imagodei ()
SeMiNeSanja ::
@Whale - a se lahko strinjava, da ima vsaka medalja (vsaj) dve plati?
Če veš, da so 'bad boys' z veliko gotovostjo že zdavnaj odkrili tvoj fail - kaj ti je potem ljubše:
- da ga 'bad boys' tudi zlorabijo in si potemtakem po GDPR v lepi godlji, ker moraš sam obveščati vse od Poncija do Pilata
ali
- da te 'good boys' še pravočasno opozorijo, da imaš resen problem in ga porihtaj?
Če si na gala prireditvi, prideš z WC-ja....
Vidiš, kako se ti ljudje nekaj nasmihajo...
- ti je ljubše, če ti nekdo pristopi in prišepne 'frajer, daj si šlic zapret!'
ali
- da te še nekdo fotografira in sliko tebe z odprto štalco postavi na instagram, video na youtube, označi za perverzneža,...?
V prvem primeru boš diskretno zaprl zadrgo oz. zapel tiste par gumbov. Kasneje pa se s kolegi smejal tej prigodi.
V drugem primeru pa mislim, da ti bo precej manj do smeha in kasnejšega 'obujanja anekdot'
V bistvu si s skrivanjem izza zakonodaje nihče ne dela prav posebne usluge.
Ja, res je, da je marsikaj prepovedano in kot 'preverjanec' niti slučajno ne veš, ali je trenutno na delu 'good' ali 'bad boy'. Toda koliko jih pa sploh ugotovi, da jih nekdo preverja? Koliko jih je sploh zmožnih ugotoviti, da jih nekdo skenira?
Koliko jih sploh ve, da jih Shodan praktično vsakodnevno 'potipa', rezultate pa si lahko vsakdo ogleda na spletu?
Ali je tudi vpogled v Shodan bazo kaznivo dejanje? Mislim da ne...?
Koliko pa kdo investira v to, da bi otežil raznorazna testiranja od odprtih portov, pa vse do URL vej, ki že same po sebi kličejo po težavah?
Tudi če si kdo nekaj nastavi na požarni pregradi, se to običajno konča z 'drop-om', napadalec pa brez težav gre dalje in testira naslednji port in to križemkražem preko vseh IP naslovov, ki jih imaš.
Koliko jih ima sploh tehnično možnost, da tisti 'connection drop' spremeni v 'začasni ban', da napadalec nima več dostopa niti do servisov, ki so vsem drugim javno dostopni?
Po svoje je kar hecno, da se na požarnih pregradah dodaja blazno fancy inteligentne varnostne storitve, hudo malo pa se naredi na teh najbolj osnovnih zadevah, ki te lahko v veliki meri 'skrijejo' pred raznoraznimi testiranji - ne glede na to, ali se gre za dobre ali grde fante.
Če veš, da so 'bad boys' z veliko gotovostjo že zdavnaj odkrili tvoj fail - kaj ti je potem ljubše:
- da ga 'bad boys' tudi zlorabijo in si potemtakem po GDPR v lepi godlji, ker moraš sam obveščati vse od Poncija do Pilata
ali
- da te 'good boys' še pravočasno opozorijo, da imaš resen problem in ga porihtaj?
Če si na gala prireditvi, prideš z WC-ja....
Vidiš, kako se ti ljudje nekaj nasmihajo...
- ti je ljubše, če ti nekdo pristopi in prišepne 'frajer, daj si šlic zapret!'
ali
- da te še nekdo fotografira in sliko tebe z odprto štalco postavi na instagram, video na youtube, označi za perverzneža,...?
V prvem primeru boš diskretno zaprl zadrgo oz. zapel tiste par gumbov. Kasneje pa se s kolegi smejal tej prigodi.
V drugem primeru pa mislim, da ti bo precej manj do smeha in kasnejšega 'obujanja anekdot'
V bistvu si s skrivanjem izza zakonodaje nihče ne dela prav posebne usluge.
Ja, res je, da je marsikaj prepovedano in kot 'preverjanec' niti slučajno ne veš, ali je trenutno na delu 'good' ali 'bad boy'. Toda koliko jih pa sploh ugotovi, da jih nekdo preverja? Koliko jih je sploh zmožnih ugotoviti, da jih nekdo skenira?
Koliko jih sploh ve, da jih Shodan praktično vsakodnevno 'potipa', rezultate pa si lahko vsakdo ogleda na spletu?
Ali je tudi vpogled v Shodan bazo kaznivo dejanje? Mislim da ne...?
Koliko pa kdo investira v to, da bi otežil raznorazna testiranja od odprtih portov, pa vse do URL vej, ki že same po sebi kličejo po težavah?
Tudi če si kdo nekaj nastavi na požarni pregradi, se to običajno konča z 'drop-om', napadalec pa brez težav gre dalje in testira naslednji port in to križemkražem preko vseh IP naslovov, ki jih imaš.
Koliko jih ima sploh tehnično možnost, da tisti 'connection drop' spremeni v 'začasni ban', da napadalec nima več dostopa niti do servisov, ki so vsem drugim javno dostopni?
Po svoje je kar hecno, da se na požarnih pregradah dodaja blazno fancy inteligentne varnostne storitve, hudo malo pa se naredi na teh najbolj osnovnih zadevah, ki te lahko v veliki meri 'skrijejo' pred raznoraznimi testiranji - ne glede na to, ali se gre za dobre ali grde fante.
Mehmed ::
Kaj se zgodi z mapo na kateri pise gor "TOP SECRET" in jo nekdo pozabi na klopci v parku? Jo lahko pogledas? Smes narest kopijo in dat kopijo tistemu, ki izrazi zeljo, da bi jo imel?
Tukaj je polno enih reci, ki so na nekem se precej nedefiniranem podrocju. A je smiselno privzeti, da je VSE kar je na spletnem strezniku, ki je javno dostopen, kosher za branje prav vsakogar?
Ni koser vsekakor, samo tezko ves kaj gledas dokler ne pogledas. Tudi pri mapi, sam napis ti ne pove a je en mulc dal nalepko na svojo mapo izrezkov iz playboya ali je kaj resnega not. Ce bi jo siril potem ko pogledas je eno, da si pogledal nekaj kar ni nedvoumno prepovedano pa drugo.
Take primerjave, predvsem glede vrat, so dost ponesrecene. Ker realno bi v casu ki bi ga porabil, da gres fizicno probat vrata dveh bank ze sprobal virtualna vseh v drzavi doma. Pa drkal z drugo roko vmes.
Za razne kartoteke, ki bi lezale v hodniku bolnice ravno tako. Rabis biti fizicno tam, ob dolocenem casu, brez da te nekdo ustavi pa fizicno si omejen koliko lahko odneses.
Je podobno, ni pa tok podobno, da bi kr enacili stvari.
Zgodovina sprememb…
- spremenilo: Mehmed ()
boolsheat ::
Spletna trgovina je dolžna varovati osebne podatke strank. Edina žrtev tukaj so njihove stranke, ne spletna trgovina.
Sem mar kje trdil, da je trgovina zrtev?
Enim še vedno ni jasno, da internet je čisto nekaj drugega kot B&M svet?
Enim pa se vedno ni jasno, da so stvari precej analogne (podobne), potem pa privzemajo, da zato ker je neko stvar lazje narediti in je tezje izsledljiva, lahko te stvari kar pocnejo. To je neumnost.
V teoriji so res analogne.
V praksi pa ne. Luknje na internetu bo slej kot prej nekdo izkoristil...
Vsem v interesu mora biti, da se lukjne poišče in zakrpa ASAP!
imagodei ::
Ma, te primerjave itak niso primerne. A lahko pogledaš na list, kjer piše TOP SECRET in ga je nekdo izgubil v parku? A če je v zaprti mapi s takim napisom, še lahko pogledaš? A če je napisano z otroško pisavo lahko gledaš, če ima pa gor grb od Republike Slovenije in logotip od SOVE pa ne smeš? A v pozabljeno torbico na klopi v parku lahko pogledaš - da vrneš lastniku? Al je treba zaprto odnest na policijsko postajo?
Lahko sploh še pobereš izgubljeno osebno/vozniško in prebereš, komu pripada, ali je že to prepovedano?
In če rešimo vse te dileme - kaj nam to pove za splet, kjer že 30 let velja, da je javno vse, do česar lahko dostopaš (če imaš seveda link)? IMO (IANAL) bi moralo obveljati tako. Valjda, SQL injection je na drugem nivoju. Tako kot tudi vsako namensko brskanje, takoj ko postane jasno, da gre za nenameren zajeb. Npr., v temi Transparentna Slovenija #5: Spletni trgovini s spolnimi pripomočki razkrili svoje kupce je opisan primer, kjer bi IMO vsakomur s kančkom zdrave pameti moralo postati jasno, da gre za nenameren zajeb. Kot so nekateri že komentirali, zajeb postavljalca spletne strani ali lastnika trgovine tebe ne odveže odgovornosti, da počenjaš stvari, za katere bi moral vedeti, da so prepovedane.
In jasno, če se človek po začetni ugotovitvi, da je našel napačno hranjene dokumente z osebnimi podatki namensko loti pregledovanja kopice dokumentov na spletni strani npr. Izolske bolnišnice, je to brez dvoma narobe. Ne more pa biti narobe to, da po nesreči naletim na tak dokument in da na kratko (pred prijavo ustreznim inštitucijam) preverim, a gre za osamljen dokument ali za napako v zasnovi spletne strani. Right?
Lahko sploh še pobereš izgubljeno osebno/vozniško in prebereš, komu pripada, ali je že to prepovedano?
In če rešimo vse te dileme - kaj nam to pove za splet, kjer že 30 let velja, da je javno vse, do česar lahko dostopaš (če imaš seveda link)? IMO (IANAL) bi moralo obveljati tako. Valjda, SQL injection je na drugem nivoju. Tako kot tudi vsako namensko brskanje, takoj ko postane jasno, da gre za nenameren zajeb. Npr., v temi Transparentna Slovenija #5: Spletni trgovini s spolnimi pripomočki razkrili svoje kupce je opisan primer, kjer bi IMO vsakomur s kančkom zdrave pameti moralo postati jasno, da gre za nenameren zajeb. Kot so nekateri že komentirali, zajeb postavljalca spletne strani ali lastnika trgovine tebe ne odveže odgovornosti, da počenjaš stvari, za katere bi moral vedeti, da so prepovedane.
In jasno, če se človek po začetni ugotovitvi, da je našel napačno hranjene dokumente z osebnimi podatki namensko loti pregledovanja kopice dokumentov na spletni strani npr. Izolske bolnišnice, je to brez dvoma narobe. Ne more pa biti narobe to, da po nesreči naletim na tak dokument in da na kratko (pred prijavo ustreznim inštitucijam) preverim, a gre za osamljen dokument ali za napako v zasnovi spletne strani. Right?
- Hoc est qui sumus -
SeMiNeSanja ::
Ne, niso enake stvari, so pa primerljive. V vsakem primeru gre za podatke do katerih nisi upravicen do vpogleda. In tudi google ni upravicen do vpogleda.
Kaj se zgodi z mapo na kateri pise gor "TOP SECRET" in jo nekdo pozabi na klopci v parku? Jo lahko pogledas? Smes narest kopijo in dat kopijo tistemu, ki izrazi zeljo, da bi jo imel?
Emmm.. a veš, kako delajo pentesterji (in badboys)?
Najprej na web serverju preverijo datoteko robots.txt, in v njej preberejo, da si Googlu in ostalim naročil, da naj nikar ne indeksirajo url-ja /TOP-SECRET.
Kaj meniš, da je naslednji logični korak? Ja logično - šel bo pogledat, kaj imaš za skrivat v /TOP-SECRET, da se to ne sme indeksirat.
In kaj misliš, se mu zgodi, ko to poskusi naresti pri meni?
Avtomatično pristane na ban listi!
Pri tem mu še dodatno naštimam vabljive URL mape v robots.txt (/private /place /hidden ,...) da ga ja čim prej zvabim, da se sam sebe odstreli.
Podobno se zgodi tudi takim, ki preiskušajo /WP-Admin in podobne povezave - torej probavako kljuko (ob tem, da WP-ja sploh nimam).
Skratka, če oni taktizirajo....moraš še ti malo taktizirati nazaj.
In ne - ne gre se za security through obscurity. Gre se ta to da ga lopneš po prstih, čim jih začne stegovati! (ne pa da potem jokaš, da te je celega prešlatal...)
poweroff ::
Ce gres pa googlat ali ima WordPress 5.1.1 kak exploit, potem to ni kaznivo, jasno. Ce gres sprobavat na neko spletno stran ali je ranljiva za ta exploit, potem pa to je nezakonito.
No, točno to prvo - ugotovit kateri WordPress ima in koliko je exploitov zanj - sem naredil za ustanovo ****. In jih obvestil o potencialni ranljivosti.
Nazaj sem dobil prijazno zahvalo, nekaj izmotavanja da stvari sploh niso tak problem, ampak zraven obvestilo, da so zadeve (delno) pofixali. Bo članek... ko bo čas.
sudo poweroff
matijadmin ::
SeMiNeSanja je izjavil:
Kakorkoli se mogoče nekomu zdi 'neetično', če nekdo hodi naokoli in sprobava kljuke - če tega nihče od 'ta dobrih' nebi počel - 'ta hudobni' to zagotovo počno. Za marsikateri problem nebi nikoli vedeli, če 'ta dobri' nebi sprobavali kljuk na razne mile viže. Problem je zgolj, da vsak hoče, da bi to počeli pri nekomu drugemu, ne pri njemu.
Svet ni tako preprost kot si to morda predstavljas. 'Sprobavanje kljuk' je, vsaj pri nas, protizakonito. Opravicevanje kljukanja vrat s tem, da delas dobro za uporabnike, je v vecini primerov neumnost. Ce bi slo resnicno za nek altruizem potem bi se tistim krsiteljem ponudilo pomoc in se poskrbelo, da problem odpravijo preden se jih javno linca.
Ampak vseeno (SQL injection je seveda na drugem nivoju, ampak - ) javno dostopne, poindeksirane strani na Googlu niso primerljive s kljukanjem na vrata, vstopanju v stanovanje, odpiranju omar s kartotekami na hodniku zdravstvenega doma...
Kot tudi ni primerljivo iskanje na sql vrivanje ranljivih streznikov. Tega sploh ni potrebno dejansko poskusiti, da veš.
Ma, te primerjave itak niso primerne. A lahko pogledaš na list, kjer piše TOP SECRET in ga je nekdo izgubil v parku? A če je v zaprti mapi s takim napisom, še lahko pogledaš? A če je napisano z otroško pisavo lahko gledaš, če ima pa gor grb od Republike Slovenije in logotip od SOVE pa ne smeš? A v pozabljeno torbico na klopi v parku lahko pogledaš - da vrneš lastniku? Al je treba zaprto odnest na policijsko postajo?
Lahko sploh še pobereš izgubljeno osebno/vozniško in prebereš, komu pripada, ali je že to prepovedano?
In če rešimo vse te dileme - kaj nam to pove za splet, kjer že 30 let velja, da je javno vse, do česar lahko dostopaš (če imaš seveda link)? IMO (IANAL) bi moralo obveljati tako. Valjda, SQL injection je na drugem nivoju. Tako kot tudi vsako namensko brskanje, takoj ko postane jasno, da gre za nenameren zajeb. Npr., v temi Transparentna Slovenija #5: Spletni trgovini s spolnimi pripomočki razkrili svoje kupce je opisan primer, kjer bi IMO vsakomur s kančkom zdrave pameti moralo postati jasno, da gre za nenameren zajeb. Kot so nekateri že komentirali, zajeb postavljalca spletne strani ali lastnika trgovine tebe ne odveže odgovornosti, da počenjaš stvari, za katere bi moral vedeti, da so prepovedane.
In jasno, če se človek po začetni ugotovitvi, da je našel napačno hranjene dokumente z osebnimi podatki namensko loti pregledovanja kopice dokumentov na spletni strani npr. Izolske bolnišnice, je to brez dvoma narobe. Ne more pa biti narobe to, da po nesreči naletim na tak dokument in da na kratko (pred prijavo ustreznim inštitucijam) preverim, a gre za osamljen dokument ali za napako v zasnovi spletne strani. Right?
Kar ni izrecno prepovedano, ne more biti sankcionirano in pri odškodninah pa se zmeraj presoja na podlagi predpostavke, da je uporabnik povprečno skrben in povprečno vešč. Tako da nehajte bluzit, da bi stara mama morala vedeti, da je admin in ima to lahko posledice zanjo.
Vrnite nam techno!
Zgodovina sprememb…
- spremenil: matijadmin ()
matijadmin ::
Zato pa po naši sodni praksi tudi pri vdoru na strani uporabnika (seveda, govorimo o fizičnih osebah), za škodo -odtujeni denar odgovarja banka, če je le uporabnik ravnal povprečno skrbno (ni delil gesel, menda celo av mora zagotoviti ali vsaj preveriti ponudnik).
Vrnite nam techno!
SeMiNeSanja ::
Še ena reč, ki me rahlo bega....
Verjetno se gre za razliko med ameriško in našo zakonodajo...a vendarle:
ko se z ameriškimi admini pogovarjaš, te zelo hitro opozorijo, da moraš na čisto vsako figo obesiti 'disclaimer', se pravi obvestilo, da sme uporabnik do točke X in nikamor dalje, sicer se ga bo preganjali z FBI in težkim topništvom za najhujša hudodelstva (to obešajo na vse logine routerjev, switchev,....).
Baje, da si brez tega obvestila, presneto bos, ko se z barabo soočiš na sodišču.
Do določene mere je tako postopanje še logično.... je pa nekoliko smešno v primeru direktne zlorabe nekega exploita. Saj ne boš šel pogledat na login, če tam piše ali smeš ali ne smeš uporabiti SQL injection, da bi 'malo pobrskal'. Nekoliko nelogično bi tudi bilo pričakovati, da bi tako obvestilo kogarkoli zaustavilo, če bi se hotel igrati z SQL injection...
Pri nas pa dejansko še nisem nikogar videl, da bi zganjal neko paniko okoli tovrstnih 'pravnih obvestil in podukov'. Pa so res nepotrebna?
Verjetno se gre za razliko med ameriško in našo zakonodajo...a vendarle:
ko se z ameriškimi admini pogovarjaš, te zelo hitro opozorijo, da moraš na čisto vsako figo obesiti 'disclaimer', se pravi obvestilo, da sme uporabnik do točke X in nikamor dalje, sicer se ga bo preganjali z FBI in težkim topništvom za najhujša hudodelstva (to obešajo na vse logine routerjev, switchev,....).
Baje, da si brez tega obvestila, presneto bos, ko se z barabo soočiš na sodišču.
Do določene mere je tako postopanje še logično.... je pa nekoliko smešno v primeru direktne zlorabe nekega exploita. Saj ne boš šel pogledat na login, če tam piše ali smeš ali ne smeš uporabiti SQL injection, da bi 'malo pobrskal'. Nekoliko nelogično bi tudi bilo pričakovati, da bi tako obvestilo kogarkoli zaustavilo, če bi se hotel igrati z SQL injection...
Pri nas pa dejansko še nisem nikogar videl, da bi zganjal neko paniko okoli tovrstnih 'pravnih obvestil in podukov'. Pa so res nepotrebna?
imagodei ::
SeMiNeSanja je izjavil:
Še ena reč, ki me rahlo bega....
Verjetno se gre za razliko med ameriško in našo zakonodajo...a vendarle:
ko se z ameriškimi admini pogovarjaš, te zelo hitro opozorijo, da moraš na čisto vsako figo obesiti 'disclaimer', se pravi obvestilo, da sme uporabnik do točke X in nikamor dalje, sicer se ga bo preganjali z FBI in težkim topništvom za najhujša hudodelstva (to obešajo na vse logine routerjev, switchev,....).
Baje, da si brez tega obvestila, presneto bos, ko se z barabo soočiš na sodišču.
Na Cisco tečajih na veliko težijo s temi disclaimerji
- Hoc est qui sumus -
tony1 ::
Menda se gre za ameriške predpise, ki v nekaterih zveznih državah zahtevajo takšno obvestilo, sicer krekerja, ki ti vdre po njihovi zakonodaji ne moreš preganjati...
MrStein ::
Enim še vedno ni jasno, da internet je čisto nekaj drugega kot B&M svet?
Enim pa se vedno ni jasno, da so stvari precej analogne (podobne), potem pa privzemajo, da zato ker je neko stvar lazje narediti in je tezje izsledljiva, lahko te stvari kar pocnejo. To je neumnost.
Heh, me spomnilo na zadevo izpred let, o softverskih patentih. Gre nekako takole :
Patent number xyz: exactly the same thing as being done for decades..... (wait for it)..... but on a computer!
matijadmin je izjavil:
Folk je do spoznanj prišel z zbiranjem javno dostopnih informacij in naposled logičnega sklepa ter nikakor s poizkušanjem, tj. nevnaprej dogovorjenim pentestom (pa naj bo to zgolj skeniranje vrat ali poganjanje eksploitov).
Kateri folk? Ta iz novice je konkretno poizkušal na ciljnem sistemu.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
MrStein ::
Ne, niso enake stvari, so pa primerljive. V vsakem primeru gre za podatke do katerih nisi upravicen do vpogleda. In tudi google ni upravicen do vpogleda.
Kaj se zgodi z mapo na kateri pise gor "TOP SECRET" in jo nekdo pozabi na klopci v parku? Jo lahko pogledas? Smes narest kopijo in dat kopijo tistemu, ki izrazi zeljo, da bi jo imel?
Ja, lahko. Ni prekršek. (razen če mi pisrs kaže neveljavno verzijo ZTP)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
matijadmin ::
@mitjadmin, a si ti sicer prebral, na katerem stališču sem jaz?
Sem in vem, da opozarjanje, ki mu predhodno ni botrovalo poskušanje, ne obsojaš. Pa vendar ne razumem, zakaj eni še naprej mlatite slamnate može, ko je avtor jasno izpostavil, da tega niso počeli.
Vrnite nam techno!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Transparentna Slovenija #5: Spletni trgovini s spolnimi pripomočki razkrili svoje kup (strani: 1 2 3 )Oddelek: Novice / Zasebnost | 51030 (28744) | Saul Goodman |
» | Transparentna Slovenija #4: "Luknje" v spletnih straneh treh zdravstvenih domov SI-CE (strani: 1 2 )Oddelek: Novice / Varnost | 20885 (17893) | matijadmin |
» | AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )Oddelek: Novice / Varnost | 132451 (97684) | AndrejO |
» | Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )Oddelek: Novice / NWO | 53319 (43456) | fujtajksel |
» | Dobri ali slabi fantje? (strani: 1 2 )Oddelek: Novice / Varnost | 26671 (19921) | Markoff |