» »

Naroči me na upravno enoto

1 2
3
4

anoq ::

Zakaj že plačujemo SI-CERT? :D

Okapi ::

Zakaj bi kdo dajal potuho nekomu, ki svoje delo slabo opravlja. In naročniku (državni upravi), ki drago plačuje slabe izdelke, oziroma ne preveri, kakšen izdelek bo uporabljal?

Izvajalcev nihče ne sili delati za slabe naročnike, in kratki roki, slabi pogoji in kar je še teh reči so samo prazni izgovori.

PrimoZ_ ::

preiskovalec je izjavil:

Naročnik skoraj zanesljivo ni bil obveščen pred objavo. Izvajalec skoraj zanesljivo ni bil obveščen pred objavo. "Te dni" ne more biti šteto v dnevih, ker je bila predstavitvev in javna objava storitve v četrtek, ranljivost pa je bila objavljena v petek. Vse to je neposredno razvidno iz javno dostopnih podatkov, samo povezati jih je treba. Če je avtor dobil podatke o ranljivosti še pred četrtkom, toliko bolj žalostno, ker kaže na "inside job". Ljubosumje, rivalstvo, konkurenca, samo neodgovorno ravnanje in iskanje slave s strani tistega, ki je odkril ranljivost? Kdo ve? V vsakem primeru pa skrajno neodgovorno s strani avtorja N/A.
Razprave o SQL injection so popolnoma mimo in so čisto zavajanje s strani avtorja članka, ker ranljivost nima nič z SQL injection, kar je razvidno tudi iz članku priloženih slik.
Razprave o "mastnem zaslužku" prav tako čisto mimo. Flamerska objava, ki z namernim nepopolnim poročanjem daje občutek, da je nekdo za "to skropucalo" zaslužil 300k, aplikacija pa je samo manjši del storitve (razvidno iz javno objavljenega javnega naročila).

Takšen dogodek kaže samo dvoje:
1. Več se bo treba pogovarjati o tem kakšno "varnostno testiranje" storitev je sploh dovoljeno (po našem KZ-1 pač ni) ter kako razkrivati ugotovitve.
2. Državo bo treba spraviti v red. Verjamem, da večina ne ve kako zelo slabo stanje je v državi na področju IT. Morda je boljše tako. Večina verjetno tudi ne ve kako nemogoče je delati z državo. Izvedba javnega naročila v zadnjem trenutku (ali zaradi pritožb ali zato ker je treba porabiti EU sredstva, vezana na roke), naknadno spreminjanje specifikacij, pritiski z implementacijo prej nedogovorjenih funkcionalnosti, presenečenja glede "dejanskega stanja" pri integracijah ipd. Se komu sliši znano? Programiranje ponoči, da programerji ujamejo nemogoče zastavljene roke in "scope creep". Testiranja sploh ni, ker zmanjka časa. Zato ranljivosti niso nobeno presenečenje, ne v tem, ne v drugih primerih. In vse se začne pri birokratih, ki že postavijo nemogoče cilje in roke, nadaljuje pri šefih, ki se kljub nemogočim pogojem sploh prijavijo na te razpise (če bi imeli več integritete in manj pohlepa se ne bi nihče prijavil) in konča pri operativi, ki mora narediti nemogoče. Mi pa tolčemo po operativi?

Zato bi bilo za slo-tech skupnost veliko bolj konstruktivno, če bi enkrat iskali in identificirali prave, izvirne probleme, morda tudi predlagali kakšne rešitve. Prepričan sem, da zmoremo več od flaminga. Od avtorjev člankov pa malo več taktnosti pri objavah, ker ko je tako šlampasto narejena, daje vtis po "članku po naročilu" ali pa vsaj članku z osebnim interesom? Ostali pa smo lahko malo bolj pametni in ne "pademo na finto".

Tarči napada pa želim samo dovolj poguma, da zadevo preišče do konca in najde ter kaznuje storilca. Enkrat rabimo takšen vzorec. Za vzgled.


A te ni nič sram da ste tako zanič sprogramirali vse skupaj?

6bt9hmDwY ::

PrimoZ_ je izjavil:

A te ni nič sram da ste tako zanič sprogramirali vse skupaj?

Ok, za vse skupaj zanič se (še) ne ve, zagotovo pa so bile narejene (in izpostavljene) napake, kjer jih res ne bi smelo biti, vsaj ne v letu 2022, k sreči je bilo vsaj hitro ugotovljeno.

preiskovalec ::

PrimoZ_ je izjavil:

A te ni nič sram da ste tako zanič sprogramirali vse skupaj?


Motiš se, s tem projektom nimam nič. Sem pa videl preveč drugih. Cela zadeva pa smrdi zaradi načina kako je napisana izvirna objava in zato, ker je zanimivo kako je bil ponudnik izbran ter kdo so bili neizbrani ponudniki (si lahko vsak pogleda na portalu enaročanje). Res žalostno kako nizko smo padli, da se vsaj navidez (ker konkretnih dokazov nimam, več bosta vedela naročnik in izvajalec) maščevalne aktivnosti konkurentov izvajajo na račun osebnih podatkov državljanov.

Tisti, ki poznajo naš mali svet JN in ponudnike v njem, bodo že dobro vedeli o čem govorim, samo poglejte si akterje...

Očitno se žal ne moremo odlepiti od flaminga. Škoda.

Samael ::

Okapi je izjavil:

Zakaj bi kdo dajal potuho nekomu, ki svoje delo slabo opravlja. In naročniku (državni upravi), ki drago plačuje slabe izdelke, oziroma ne preveri, kakšen izdelek bo uporabljal?

A to misliš glede opozorila in časa za popravek predno greš v javnost?
Verjetno zato, ker se le to ne naredi z namenom dajanja potuhe naročniku, servisu, ipd... ampak zaščite uporabnikov oz. njihovih osebnih podatkov. To se stori, in prav je tako, z mislijo na tvoje osebne podatke, ki jih neka baza vsebuje in katerih razkritje v javnosti pomeni potencialno zlorabo le teh, ne naročnika.
To, da se takšen leak objavi je prav in hvalevredno dejanje. Vendar v nekem razumnem časovnem zaporedju, ki da lastniku čas zakrpati ranljivost.
Vse kaj drugega je zgolj senzacionalizem, kovanje železa dokler je vroče, pa četudi na račun uporabnikov, ki se znajdejo nekje vmes in so pogosto zgolj kolateralna škoda.
Samael != Samuel

Zgodovina sprememb…

  • spremenilo: Samael ()

Okapi ::

Samael je izjavil:

....ki da lastniku čas zakrpati ranljivost.

Hočeš reči, prikriti malomarnost?

Brez takšnega razkrivanja se bo malomarnost in slab način poslovanja samo nemoteno nadaljeval. Ne da bi bil kdorkoli zares odgovoren, oziroma brez posledic za tiste, ki slabo delajo.

Če je vmes kdo kaj ukradel, je pa kriv tisti, ki je ukradel (poleg tistega, ki ni dovolj poskrbel za varovanje), ne tisti, ki je opozoril na slabo varovanje.

kovanje železa dokler je vroče,
Točno to - če hočeš kaj doseči, moraš železo kovati, dokler je vroče.

Zgodovina sprememb…

  • spremenil: Okapi ()

Samael ::

Okapi je izjavil:

Samael je izjavil:

....ki da lastniku čas zakrpati ranljivost.

Hočeš reči, prikriti malomarnost?

Ne, to si se sam izmislil. Predvidevam, da ne razumeš, da je opozoriti lastnika neke baze podatkov na ranljivost z nekim razumnim časom, da se le ta odpravi, predno novico lansiraš v javnost dobra praksa pri vseh odkritih ranljivostih, malomarnosti, 0day exploitih in podobno ...
Mislim, a je res to zdaj sploh vprašanje?
Samael != Samuel

Zgodovina sprememb…

  • spremenilo: Samael ()

MrStein ::

Dej no, novica bi bila enaka, če bi jo objavili teden-dva pozneje, potem ko je luknja že zakrpana.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Okapi ::

MrStein je izjavil:

Dej no, novica bi bila enaka, če bi jo objavili teden-dva pozneje, potem ko je luknja že zakrpana.

Besedilo na papirju bi bilo morda res enako, učinek pa niti slučajno ne.

Samael ::

Očitno si povsem zgrešil point obveščanja o ranljivosti nekea sistema, ki vsebuje osebne podatke uporabnikov, predno le to predstaviš javnosti in pri svojem trmoglaviš no matter what...
Samael != Samuel

Zgodovina sprememb…

  • spremenilo: Samael ()

6bt9hmDwY ::

Ja, jaz tudi mislim, da ni nič (zelo) narobe, da se je to tako izpostavilo...
Tudi v opomin drugim pri drugih projektih.

MrStein ::

Okapi je izjavil:

MrStein je izjavil:

Dej no, novica bi bila enaka, če bi jo objavili teden-dva pozneje, potem ko je luknja že zakrpana.

Besedilo na papirju bi bilo morda res enako, učinek pa niti slučajno ne.

Seveda, takrat ne bi ukradli kupe osebnih podatkov, tako pa so.
Zato pa poudarjam razliko. (novica ista, posledice druge)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Okapi ::

MrStein je izjavil:

Okapi je izjavil:

MrStein je izjavil:

Dej no, novica bi bila enaka, če bi jo objavili teden-dva pozneje, potem ko je luknja že zakrpana.

Besedilo na papirju bi bilo morda res enako, učinek pa niti slučajno ne.

Seveda, takrat ne bi ukradli kupe osebnih podatkov, tako pa so.

In kateri kup osebnih podatkov so ukradli? Kdaj je kdo hotel priti na upravno enoto? Če je kdo res kaj ukradel, imam policijo, da ga izsledi in kaznuje.

V-i-p ::

No, jaz bom pa kontra preiskovalcu, ki se je mimogrede danes najbrž slučajno registriral, dal roko avtorju N/A. Zakaj? Zato, ker vsako prikrivanje pomeni, da se jim daje potuho, češ zrihtajte pa bo. Nihče nič vedel, nihče kriv, pika. Do naslednjega projekta, ki to sploh ni, a ne? Je bruh od projekta in to se ne bi smelo zgodit in edina streznitev za take šalabajzarje je takale odlična novica, ki vas bo mogoče malo prizemljila a ne, preiskovalec :).
Kar lahko storiš danes, ne odlašaj na jutri. Raje reci, da si naredil že včeraj!

papak ::

Zdaj bo šlo več denarja in energije v preganjanje tistega, ki je odkril ranljivost ter debatiranje o tem in kako bi bilo potrebno ukrepati. Morda celo pride do spremembe zakonodaje.

Medtem pa se sama praksa v IT JU ne bo naprej premaknila niti za mm.

Samael ::

6bt9hmDwY je izjavil:

Ja, jaz tudi mislim, da ni nič (zelo) narobe, da se je to tako izpostavilo...
Tudi v opomin drugim pri drugih projektih.

To je zato, ker ti je pač vseeno za tistih nekaj tisoč ljudi, katerih osebni podatki so pri tem kolateralna škoda, medtem ko bo nek resen raziskovalec o ranljivosti prej obvestil lastnika baze podatkov, mu dal nek razumen čas, da le to odpravi ... in šele potem predstavil odkritje o ranljivosti javnosti.

Meni je tu fanscinantno, da sploh debatiramo o tem in kako iracionalni osebni občutki ob tem, ko jih nekdo za svojo malomarnost dobi po prstih pretehtajo nad tem kaj je prav in kaj narobe.
Še enkrat, za tiste, ki ne razumete. To da obvestiš skrbnika, da odpravi ranljivost predno objaviš odkritje v javnosti ne storiš zato, da daš skrbniku potuho, ampak ker je to edini način da zaščitiš uporabnika, predno leak z vsemi osebnimi podatki uporabnikov obelodaniš celemu svetu.
Zagovarjati, da je kakroli drugega ok je zgolj odraz iracionalnega maščevalnega uma, kjer ti je v bistvu vseeno za ljudi, ki jih ta leak prizadeva, se s svojim self-righteous egom postavljaš nad njihovo dobrobit, kar pa tako ali tako ni vredno debate, tako da ...
Samael != Samuel

Zgodovina sprememb…

  • spremenilo: Samael ()

Okapi ::

Prvo kot prvo, in če že kaj, mu ne daš "nek razumen čas", da ranljivost odpravi, ampak kvečjemu pet minut, da pritisne na tipko in izklopi strežnik.

Kot drugo - a je kdo objavil "leak z vsemi osebnimi podatki uporabnikov"?

Kot tretje, v večini civiliziranih držav so žvižgači z zakonom zaščiteni pred preganjanjem, in pri tem niso obvezni prej obveščati tistih, ki so naredili kaj narobe.

Samael ::

A zdaj si pa tudi na tem področju strokovnjak? Svašta ...
Samael != Samuel

Okapi ::

Strokovnjak sem ravno toliko, kot ti.

6bt9hmDwY ::

Samael je izjavil:

To je zato, ker ti je pač vseeno za tistih nekaj tisoč ljudi, katerih osebni podatki so pri tem kolateralna škoda, medtem ko bo nek resen raziskovalec o ranljivosti prej obvestil lastnika baze podatkov, mu dal nek razumen čas, da le to odpravi ... in šele potem predstavil odkritje o ranljivosti javnosti.

Meni je to predvsem nepojmljivo (iz strokovnega stališča), da lahko kdorkoli izkušen napravi takšno elementarno napako v letu 2022 in po možnosti, ko dela tovrsten produkt, kjer bi morala varnost podatkov biti zelo ozaveščena. Ne vem, kašno analogijo naj dam... To je približno takšen spodrsljaj, kot da greš brez hlač v službo...

Se strinjam morda samo toliko - da bi morali poklicati naročnika in izvajalca, ju obvestiti za napako in da gre zadeva v 30 minutah v javnost in da naj vmes storitev izklopijo, če imajo kaj čuta odgovornosti.

Izvajalcu bi morali naložiti penale v višini celotnega naročila, kar bi bilo še ugodno. Če bi bil še malo bolj 'eksemplaričen' glede storitev upravne enote (ali podobno), pa 10x. In to nakazati tem, ki so bili izpostavljeni, normalno.

Zgodovina sprememb…

Samael ::

6bt9hmDwY je izjavil:


Meni je to predvsem nepojmljivo (iz strokovnega stališča), da lahko kdorkoli izkušen napravi takšno elementarno napako v letu 2022 in po možnosti, ko dela tovrsten produkt, kjer bi morala varnost podatkov biti zelo ozaveščena. Ne vem, kašno analogijo naj dam... To je približno takšen spodrsljaj, kot da greš brez hlač v službo...

Saj nihče ne oporeka objavi, predstavitvi tako obupnega spodrsljaja oz. malomarnosti javnosti. To sploh ni pod vprašanjem. Prav je, da se takšna odkritja razkrijejo. Gre se zgolj za to, da to narediš na način, da ne povzročaš še nadaljnje škode samim uporabnikom, ki so že tako potencialne žrtve tega spodrsljaja skrbnikov sistema. Že na prvi strani tega članka se je nekdo v komentarju spodaj pohvalil, da je na osnovi navodil v članku stegnil dol celo bazo.

Boljša analogija, kot da greš ti brez hlač v službo je da brez hlač v vrtec pelješ svoje otroke, nekdo pa to poslika in da na facebook, še predno otroci pridejo domov in se oblečejo. Recimo ... če se že greva te čudaške analogije. Ni kul ane? To, da je nekdo malomaren, neodgovoren itd... ne pomeni, da moraš biti tudi ti, kot raziskovalec tega, neodgovoren.
No, pa saj mislim, da smo kar smo imeli na to temo povedati povedali. Tisti, ki bo želel razumeti bo razumel, ostalim pa tako ali tako ne moreš pomagati ... tako da lep večer še naprej :)
Samael != Samuel

Zgodovina sprememb…

  • spremenilo: Samael ()

6bt9hmDwY ::

Samael je izjavil:

No, pa saj mislim, da smo kar smo imeli na to temo povedati povedali. Tisti, ki bo želel razumeti bo razumel, ostalim pa tako ali tako ne moreš pomagati ... tako da lep večer še naprej :)

Iz strokovnega stališča nedopustno, sramotno in dejansko vredno visoke kazni. To samo dokazuje nestrokovnost, neprofesionalnost, v bistvu res izgleda, da so to delali neki študenti in brez pravega nadzora... Mislim tudi, da je dobra priložnost, da se naredi iz tega 'večen primer', zaračuna se kazen in denar razdeli oškodovanim. Še več, izvajalec bi se moral opravičiti in ne izstaviti računa oziroma vrniti vse plačano, če bi si hotel povrniti vsaj del ugleda.

V fahu te, ko vidiš, da nekdo ne uporablja parametriziranih stavkov za operacije v bazi, zmrazi do kosti. To je tako nepojmljiva reč, da je, če si iz industrije, sploh ne moreš dojeti, v bistvu si šokiran. In da gre to v produkcijo za državno upravo.

Hlače niso dober primer v letu 2022 pa že tudi prej ne, če se spomnimo škotskih kiltov, ampak saj se razumemo, nisem tako precizno formuliral spodrsljaja, ker sem se še sedaj pretresen.

In to je samo ugotovljeno! Koliko podobnih stvari obstaja in še ne vemo zanje, še Ajpes je bil menda podoben. Pa kako to pride skozi QA, mi lahk kdo to razloži? Ne more, ni opravičila!

Zgodovina sprememb…

Phantomeye ::

BigWhale je izjavil:

MrStein je izjavil:


Čakaj zdaj da se oglasijo osebki iz teme NAS za domačo uporabo in ti povedo, da če nisi sam "skoval" sam čip CPU-ja, potem nisi pravi dec...


Drzavna/javna uprave ne more svojih stvari pospravit na nek cloud ... To je neumnost.

To, da je pa drzavni cloud sranje, je pa druga stvar. :>


Odvisno, ko smo pri nas na JU delali en projekt, ki bi bil gostovan v cloudu sem predlagal nekaj zanesljivega - npr. od amazona. Pa so rekli ne, ker imamo svoj cloud. Čeprav ni funkcionirale in so ble težave.

Druga stvar - varnost. Velikokrat je razlog, da ne sme biti third party cloud ta, da gre za občutljive podatke. Pa sem ziher, da imajo cloud firme bolj poskrbljeno za varnost kot marsikatera inštitucija v JU.

MrStein ::

Nekateri podatki po zakonu* ne smejo biti hranjeni v tujini. A ima ta cloud provider serverje v Sloveniji?

* koliko je ta zakon smiseln, je druga debata
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

preiskovalec je izjavil:

Cela zadeva pa smrdi zaradi načina kako je napisana izvirna objava in zato, ker je zanimivo kako je bil ponudnik izbran ter kdo so bili neizbrani ponudniki (si lahko vsak pogleda na portalu enaročanje).

Em, laž?

Na e-naročanje se NE vidi kdo so bili neizbrani ponudniki. Vidi se samo koliko se jih je prijavilo.
sudo poweroff

hruske ::

Glede na to, da se je preiskovalec pravkar registriral, bi bilo od njega pošteno, da se izreče o lastnih interesih glede obravnavane teme, torej če je lastnik, zaposleni, sorodnik, politično ali kako drugače povezan z izbranim ali neizbranim ponudnikom storitve, ali če je kakor koli drugače povezan z obravnavano problematiko, npr. zaposlen v JU.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

MrStein ::

Samael je izjavil:


Meni je tu fanscinantno, da sploh debatiramo o tem in kako iracionalni osebni občutki ob tem, ko jih nekdo za svojo malomarnost dobi po prstih pretehtajo nad tem kaj je prav in kaj narobe.

Hja, kot da bi govoril z otroci...

6bt9hmDwY je izjavil:


Se strinjam morda samo toliko - da bi morali poklicati naročnika in izvajalca, ju obvestiti za napako in da gre zadeva v 30 minutah v javnost in da naj vmes storitev izklopijo, če imajo kaj čuta odgovornosti.

Ja, pa niti tega niso naredili.

Bomo tako, "do konca" ker drugače zgleda ne gre:
če odkriješ, da imajo v bolnici bug, s katerim lahko kdorkoli preko interneta izklopi opremo za vzdrževanje življenja in tako ubija paciente, boš to objavil, "da se naredi primer", ali boš počakal vsaj toliko, da vmes internet odklopijo?


6bt9hmDwY je izjavil:


Iz strokovnega stališča nedopustno, sramotno in dejansko vredno visoke kazni. To samo dokazuje nestrokovnost, neprofesionalnost, v bistvu res izgleda, da so to delali neki študenti in brez pravega nadzora... Mislim tudi, da je dobra priložnost, da se naredi iz tega 'večen primer', zaračuna se kazen in denar razdeli oškodovanim. Še več, izvajalec bi se moral opravičiti in ne izstaviti računa oziroma vrniti vse plačano, če bi si hotel povrniti vsaj del ugleda.

In to vse se lahko naredi, brez da izpostaviš uporabnike tveganju.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

poweroff ::

MrStein je izjavil:


Bomo tako, "do konca" ker drugače zgleda ne gre:
če odkriješ, da imajo v bolnici bug, s katerim lahko kdorkoli preko interneta izklopi opremo za vzdrževanje življenja in tako ubija paciente, boš to objavil, "da se naredi primer", ali boš počakal vsaj toliko, da vmes internet odklopijo?

No, moje stališče do tega je jasno. Najprej jih obvestiš, objaviš po nekem razumnem roku, včasih šele, ko je zadeva odpravljena. Odvisno pa seveda od primera do primera. Recimo, ko smo našli hudo ranljivost v GSM omrežjih, smo bili pripravljeni počakati tudi več mesecev (smo imeli interno debato o tem). Ampak je operater zadevo popravil praktično čez noč. Ko so za Novo24 tisti hekerji "grozili", da bodo objavili PHP kodo, iz katere bi se dalo videti salt za hashe, sem pisal o tem, kako je hashe možno deanonimizirati, ampak sem Novo24 opozoril, da naj spremenijo gesla. To, da so novinarji Nove24 zame osebno pisuni in da je medij po mojem mnenju za v smeti, nima veze s tem, da se mi vseeno še zdi prav, da se jih o taki stvari obvesti. OK, pri SDS je bila napaka iz moje strani, je pa res, da smo bili v komunikaciji takoj po objavi članka in da gor ni bilo nekih osebnih podatkov, ki bi jih bilo mogoče izrabiti. Pri trgovinah s sex pripomočki smo čakali do odprave ranljivosti in šele nato objavili - po približno tednu dni.

Tako da malo je odvisno tudi od tipa podatkov, ki so ogroženi. Pri bolnišnici bi bilo definitivno za počakat dokler zadeva ni urejena.

Vsekakor pa vlečenje cele baze dol ni kul v nobenem primeru.
sudo poweroff

Saul Goodman ::

poweroff je izjavil:


To se ne dela. Preprosto je nespodobno in predvsem nezakonito. Saj se zavedaš, da si s tem prekršil kup zakonov, ne? Jaz osebno sem mnenja, da je take stvari sicer dobro arhivirati, ampak to pomeni, da se zajame zaslonski posnetek ali dva, ne pa celotne baze. Pa da se potem občutljive podatke anonimizira. S tem je namen arhiviranja dosežen (če je na prime potrebno za dokazovanje, da je ranljivost res obstajala), storjena škoda pa je resnično minimalna.

To kar si ti naredil je pa skrajno zavržno dejanje.


poweroff je izjavil:


Jaz nič ne pravim kaj je legalno. Pravim pa, da če delaš pentest, da se moraš potruditi narediti kar najmanjši obseg potencialne škode. Da stegneš dol celo bazo, pač ni minimalen možen poseg.

Ne glede ali je nekaj legalno ali ne, se pač določenih stvari ne dela.


matthai, te daje shizofrenija? ne veš točno kaj bi rad povedal? a zate je obiskovanje url-jev pentest? kje je pa bila penetracija? razen zraka v tvojo glavo?

kot prvo - nehaj se podpisovati kot N/A pod svoje članke in drugič premisli, preden objavljaš javne poti do PII, url-je, katere je lahko kdorkoli obiskoval, brez da bi "nepooblaščeno vstopal v informacijski sistem", ker sistem ni imel nobenih pristopnih kontrol. kaj kurca tle ni jasno?

tvoja zgodovina drekanja je kar bogata, od pravokatorja naprej, ko si se naučil, da je včasih bolje poročati kot "anonimnež", saj je podpis pod vsako pizdarijo včasih kontraproduktiven za tvojo kariero.

kot drugo - če se prav spomnim, je bil ID 1 v to aplikacijo vkucan konca novembra 2021, tam 28. ali 29. koliko časa je bila aplikacija objavljena javno ne vem, ampak med 28-29. novembrom in 7. januarjom, ko je bila objavljena novica na slo-tech, je preteklo že kar nekaj časa (39? dni) in v tem času je baza rastla.

prav mogoče je matthai kot N/A novico objavil, ker se naročnik / izvajalec nista odzivala na opozorila. v takem primeru razumem matthaija, da je v izogib nadaljnem leakanjem PII novico raje obelodanil, saj je bilo jasno, da bo pritisk, ki ga bo novica generirala, od naročnika / izvajalca generiral hitrejši odziv.

Saul Goodman ::

Matthai, me pa vseen zanima, kako si ugotovil, da je sistem ranljiv na SQL injection brez dejanskega "pentestinga"? Kako si legalno ugotovil, da input fieldi niso sanitizani?

starfotr ::

V tem projektu bode v oči tudo to, da je app narejen za par UE, namesto za vse UE v državi.

In še, da laufa na eni xy domeni, namesto na gov.si.

Vrhunski zajebi. Bedaki neumni.

Tody ::

Ma kaki zajeb? Nekdo je naročil storitev podjetju, podjetje je šparalo na stroških in dobilo reklamacijo. Če jih bo kdo tožil bodo se vedno imeli +. Če mislite da se je kdo kaj naučili pac ste naivci...

taliban ::

@Saul Goodman, a si kdaj sodeloval na kakem bug bounty-ju? Namreč ne bi dobil niti 1 nagrade, ker si šel beyond discovering a leak, in si shranjeval podatke.

To se enostavno ne dela. Praviloma se naročnika opozori takoj, ko se napako odkrije.

Skratka, patetično se obnašaš.

poweroff ::

Naj bo nekaj kristalno jasno. Jaz se pod svoje novice podpisujem z imenom in priimkom. Kdo je NA tudi zelo dobro vejo admini foruma, in to definitivno nisem jaz.

Jaz tudi vedno jasno napišem kaj sem odkril sam in kaj so mi posredovali viri.

Nima pa to veze s tem, kar si ti naredil. Mogoče je nezakonito - ontem naj odločajo pristojni organi -vsekakor se pa to ne dela.
sudo poweroff

Saul Goodman ::

taliban je izjavil:

@Saul Goodman, a si kdaj sodeloval na kakem bug bounty-ju? Namreč ne bi dobil niti 1 nagrade, ker si šel beyond discovering a leak, in si shranjeval podatke.

To se enostavno ne dela. Praviloma se naročnika opozori takoj, ko se napako odkrije.

Skratka, patetično se obnašaš.


skratka, budala si. najprej si moraš razjasniti kaj je bug bounty, kaj je penetration testing in kaj je web/data scraping in kje prihaja do kršenja zakona.

a se potegujemo za bounty tle?

potem se moraš vprašati kaj mi pravzaprav očitaš? poobjavo podatkov? zlorabo podatkov? kje? razloži. a imaš kak dokaz? sem kje kaj objavil? printscreen or shut the fuck up.

po drugi strani poglej matthai-jeve screenshote v članku. jaz trdim, da ima on vse podatke na računalniku, vendar se le dela budalo, zato tudi N/A kot podpis in kup virtue signalinga. 2 screenshota može shranit, curlat se pa ne sme. sure.

poweroff je izjavil:

Naj bo nekaj kristalno jasno. Jaz se pod svoje novice podpisujem z imenom in priimkom. Kdo je NA tudi zelo dobro vejo admini foruma, in to definitivno nisem jaz.

Jaz tudi vedno jasno napišem kaj sem odkril sam in kaj so mi posredovali viri.

Nima pa to veze s tem, kar si ti naredil. Mogoče je nezakonito - ontem naj odločajo pristojni organi -vsekakor se pa to ne dela.


a zdej je že mogoče? a nisi bil včeraj še prepričan? povej, da nimaš pojma o čem govoriš.

Zgodovina sprememb…

taliban ::

Saul Goodman je izjavil:

taliban je izjavil:

@Saul Goodman, a si kdaj sodeloval na kakem bug bounty-ju? Namreč ne bi dobil niti 1 nagrade, ker si šel beyond discovering a leak, in si shranjeval podatke.

To se enostavno ne dela. Praviloma se naročnika opozori takoj, ko se napako odkrije.

Skratka, patetično se obnašaš.


skratka, budala si. najprej si moraš razjasniti kaj je bug bounty, kaj je penetration testing in kaj je web/data scraping in kje prihaja do kršenja zakona.

a se potegujemo za bounty tle?

potem se moraš vprašati kaj mi pravzaprav očitaš? poobjavo podatkov? zlorabo podatkov? kje? razloži. a imaš kak dokaz? sem kje kaj objavil? printscreen or shut the fuck up.

po drugi strani poglej matthai-jeve screenshote v članku. jaz trdim, da ima on vse podatke na računalniku, vendar se le dela budalo, zato tudi N/A kot podpis in kup virtue signalinga. 2 screenshota može shranit, curlat se pa ne sme. sure.

poweroff je izjavil:

Naj bo nekaj kristalno jasno. Jaz se pod svoje novice podpisujem z imenom in priimkom. Kdo je NA tudi zelo dobro vejo admini foruma, in to definitivno nisem jaz.

Jaz tudi vedno jasno napišem kaj sem odkril sam in kaj so mi posredovali viri.

Nima pa to veze s tem, kar si ti naredil. Mogoče je nezakonito - ontem naj odločajo pristojni organi -vsekakor se pa to ne dela.


a zdej je že mogoče? a nisi bil včeraj še prepričan? povej, da nimaš pojma o čem govoriš.


Ti dajam priložnost da opaziš, kaj je problem. S primerjavo na bug bounty. Osnova je, da ne greš downloadat podatkov, če odkriješ napako. To se ne dela. Upam, da se tukaj strinjava?

hruske ::

Kaj ti očita? Samoovadbo.

Saul Goodman je izjavil:

hvala za novico, 25k rezervacij spumpanih v offline bazo. :) moram preverit, če odtekajo tudi podatki moje družine.

ne jokat `DoC, to so javno dostopne informacije.


Bodisi si se zlagal ko si rekel, da si prenesel 25k rezervacij, bodisi se lažeš zdaj, ko trdiš, da nisi naredil ničesar, kar ni v skladu z lokalnim pravom.

Trdiš, da si vzpostavil kopijo podatkovne baze, kot je razvidno iz cenzuriranega zaslonskega posnetka, ta vsebuje tudi kontaktne podatke oseb, ki se naročajo na termine za obisk UE, kar so v veliki večini osebni podatki. GDPR tega ne dovoljuje.

Poleg tega je matthai prav na ST napisal že kar nekaj novic, in že iz sloga je jasno, da novice ni pisal on.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

Tody ::

Jaz se strinjam s Saulom, zato ker pač ni gumba download se ne pomeni da se zadeve ne da dobit dol. To ni vdiranje v bazo, ni pognal nobenga creka, tudi ni izkoristil kake ranljivosti ki bi mu dal admin pravice. Enostavno je prebral podatke. Ali jih je obdelal al ne ve on, tožnik bo moral dokazat da je to res. Zaenkrat samo opletate z tujim kurcom po koprivah... Novica je ok, jaz sem mnenja da tudi ce bi jim javili se bi jim jebalo ker pač to bi bilo se 200 eur več, ki bi jim odžrel dobiček

hruske ::

Nihče ne oporeka tehnični zmožnosti tega dobit dol - nasprotno, prav na to opozarja novica.

Če še ni tehnične ovire, to še ne pomeni, da je to legalno, kot ni legalno odpeljat avta človeku, ki je pustil ključe v ključavnici.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

Karamelo ::

recimo da grem mimo omare, v kateri so obešeni osebni podatki kot na oglasni deski..omara je odprta, ker nekdo ni poskrbel, da bi jo zaprl in zaklenil..

omara je javno dostopna in moj pogled proti njej je možen, ker ni zaprta

ali sem torej že v prekršku, ker sem slučajno pogledal (kliknil na dostopni link na slo-techu) proti omari? ali je kaj narobe če želim pobližje pogledati če sem tudi jaz kje na tem seznamu? ali je kaj narobe če si na list papirja prepišem vsebino omare za lasten pregled in ga nikomur ne pokažem?

vem da če je avto odklenjen, da ne smem vanj in ne smem iz njega nič vzeti, ampak vem tudi, da mi nič ne prepričuje pogleda proti neki odklenjeni omari in ta pogled se lahko zgodi tudi nenamerno (recimo da nekdo da na nek portal nek link)...vstop v avto je nekako namerna poteza, pogled proti nekemu javno objavljenemu linku pa nenujno, torej je neka razlika

kdaj se torej tu krši kak zakon? tudi fotografiranje ljudi je dovoljeno dokler so podatki pri sebi za lastno uporabo, sporno je to dajati drugim..

a so tu kakšne vzporednice in bi nek pravnik lahko tole malo bolj razložil, kako je s tem

Saul Goodman ::

problem je, da ne razumeš razlike med "nepooblaščenim vstopom v informacijski sistem" in kaj je "web scraping" oz. shranjevanje javno dostopnih informacij.

v tej novici se je nepooblaščen vstop v informacijski sistem zgodil s testiranjem SQL injectiona v input fieldih. zanimivo bi blo slišat razlago matthaija & co. kako so ta del penetracijskega testa izpeljali brez dovoljenja stranke.

po drugi strani, obiskovanje povezave https://uen.ortus-inc.si/api/reservatio... do https://uen.ortus-inc.si/api/reservatio... ni nepooblaščen vstop v informacijski sistem, k večjemu firbecanje.

Ko avtomatiziraš obiske povezav s skripto, tudi nisi nepooblaščeno vstopil v informacijski sistem, ampak si avtomatiziral obiske. če si vsebino obiskov shranil v fajl, si začel "scrapat web".

Situacija se spremeni na točki, ko se odločiš te podatke objavit ali zlorabit za druge nečednosti, kot so npr phishing kampanije ali kaj podobnega. Do takrat pa ni nobenga problema. Kriv je izvajalec, ki je GDPR podatke izpostavil tveganju. In kriv bo tisti, ki bo te podatke objavil javno, jih uporabil za phishing napad, uporabil to bazo za spam, ipd.

In to so zelo realni scenariji. Zato sem v enem od zgodnjih odgovorov tudi napisal, da upam, da v prihodnjih dneh ne bo preveč sprenevedanja, da do zlorab ni prišlo. Te podatke je treba tretirat kot leak, primerno temu kaznovat izvajalca in prmerno temu obvestit vse žrtve leaka, da so v prihodnjih mesecih vsaj pozorni na kakšne neobičajna emaile ali klice, ki bi lahko bili posledica tega dogodka.

Karamelo je izjavil:

recimo da grem mimo omare, v kateri so obešeni osebni podatki kot na oglasni deski..omara je odprta, ker nekdo ni poskrbel, da bi jo zaprl in zaklenil..

omara je javno dostopna in moj pogled proti njej je možen, ker ni zaprta

ali sem torej že v prekršku, ker sem slučajno pogledal (kliknil na dostopni link na slo-techu) proti omari? ali je kaj narobe če želim pobližje pogledati če sem tudi jaz kje na tem seznamu? ali je kaj narobe če si na list papirja prepišem vsebino omare za lasten pregled in ga nikomur ne pokažem?

vem da če je avto odklenjen, da ne smem vanj in ne smem iz njega nič vzeti, ampak vem tudi, da mi nič ne prepričuje pogleda proti neki odklenjeni omari in ta pogled se lahko zgodi tudi nenamerno (recimo da nekdo da na nek portal nek link)...vstop v avto je nekako namerna poteza, pogled proti nekemu javno objavljenemu linku pa nenujno, torej je neka razlika

kdaj se torej tu krši kak zakon? tudi fotografiranje ljudi je dovoljeno dokler so podatki pri sebi za lastno uporabo, sporno je to dajati drugim..

a so tu kakšne vzporednice in bi nek pravnik lahko tole malo bolj razložil, kako je s tem


eh. za matthaija je legit da obiskuje te linke in dela screenshote, ker so 3. njemu postane nelegalno, ko se zadeve lotiš sistematsko. ampak to je sam njegovo mnenje, čutenje, mehur mu tako pravi, ker če bereš njegove odgovore je včasih "nelegalno, za obešanje" drugič pa sam "ni lepo". lol.

Zgodovina sprememb…

Saul Goodman ::

hruske je izjavil:

Kaj ti očita? Samoovadbo.

Saul Goodman je izjavil:

hvala za novico, 25k rezervacij spumpanih v offline bazo. :) moram preverit, če odtekajo tudi podatki moje družine.

ne jokat `DoC, to so javno dostopne informacije.


Bodisi si se zlagal ko si rekel, da si prenesel 25k rezervacij, bodisi se lažeš zdaj, ko trdiš, da nisi naredil ničesar, kar ni v skladu z lokalnim pravom.

Trdiš, da si vzpostavil kopijo podatkovne baze, kot je razvidno iz cenzuriranega zaslonskega posnetka, ta vsebuje tudi kontaktne podatke oseb, ki se naročajo na termine za obisk UE, kar so v veliki večini osebni podatki. GDPR tega ne dovoljuje.

Poleg tega je matthai prav na ST napisal že kar nekaj novic, in že iz sloga je jasno, da novice ni pisal on.


torej tebe skrbi kdaj sem se zlagal, ne kaj bo s temi informacijami? skrbi te, da jih jaz "potencialno imam", ne skrbi te pa dejstvo, da so bili dostopni širnemu svetu X dni in da ima te podatke še Y oseb z Z nameni?

dej ti to "lokalno pravo" podrobno definiraj, da bomo vidl da nisi samo nek pavšalen nabijač.

Samael ::

Saul Goodman je izjavil:


skrbi te, da jih jaz "potencialno imam"

Zakaj uporabljaš zdaj besedo "potencialno", ko si se pa sam pohvalil, da si izkoristil varnostno luknjo v sistemu in si osebne podatke 25k uporabnikov prenesel dol ter shranil v offline bazo?
Samael != Samuel

Zgodovina sprememb…

  • spremenilo: Samael ()

Saul Goodman ::

Samael je izjavil:

Saul Goodman je izjavil:


skrbi te, da jih jaz "potencialno imam"

Zakaj uporabljaš zdaj besedo "potencialno", ko si se pa sam pohvalil, da si si osebne podatke 25k uporabnikov prenesel dol in shranil v offline bazo?


Nisi zmožen slediti nitki? Baje baze nimam več. Podatke se da tudi brisati, ko ti ne služijo več, kajne? Ampak, a mi verjameš? Jaz si ne bi.

Samo zate imam zato pripravljeno kopijo schrodingerjeve baze, ok? Ko boš prišel k meni s preiskovalnim nalogom (lol) boš šele ugotovil, ali baza obstaja, ali pa si samo idiot. Srečno.

Samael ::

Zanimive tehnike odvračanja imaš :)

- prvo se na osebo, ki te opomni, da to, kar si naredil najbrž ni ok, spraviš s pokusom diskreditacije na osebni ravni, vmes namečeš en kup irelevantnih reči, za katere ti je vseeno, če so resnične ali ne, le da zadenejo in debato speljeljo na obrobno offtopic stranpot.

- in v drugo z bluzenjem v smislu "vas skrbi, ker sem dol stegnil osebne podatke uporabnikov z nekim namenom, ne skrbi vas pa ker so mogoče še drugi stegnili osebne podatke uporabnikov dol z nekim namenom". (?!)

Ne, ti si bil samo dovolj neumen, da si naredil bedarijo in se s tem celo pohvalil.
Samael != Samuel

Zgodovina sprememb…

  • spremenilo: Samael ()

Saul Goodman ::

Samael je izjavil:

Zanimive tehnike odvračanja imaš :)

- prvo se na osebo, ki te opomni, da to, kar si naredil najbrž ni ok, spraviš s pokusom diskreditacije na osebni ravni, vmes namečeš en kup irelevantnih reči, za katere ti je vseeno, če so resnične ali ne, le da zadenejo in debato speljelje na obrobno offtopic stran smer.

- in v drugo z bluzenjem v smislu "vas skrbi, ker sem dol stegnil podatke z nekim namenom, ne skrbi vas pa ker so mogoče še drugi stegnili bazo dol z nekim namenom".

Ne, ti si bil samo dovolj neumen, da si naredil bedarijo in se s tem celo pohvalil.


ne, ti si samo dovolj neumen, da verjameš neki svojim teorijam o nelegalnosti. pač, še en pavšalc. ti kar nabijaj naprej. važn da se preusmeri pozornost iz dejanskega problema. :)

ampak, ker si že tolk pameten o legalnosti tega početja, verjamem, da boš znal prlimat relevantno zakonodajo in sodno prakso na tem področju, da utišaš mojo nevedno rit.

Zgodovina sprememb…

Samael ::

Kakšnim teorijam? A mi zaupaš kje si z moje strani videl kakšne teorije?

Povsem prepričan sem namreč, da sam o tem nisem debatiral, se tega področja nisem dotaknil in da ti zgolj ponovno izvajaš mentalno akrobacijo, ko bi si najbrž naredil uslugo, če bi bil preprosto tiho.

Seveda smo rekli marsikaj o "dejanskem problemu". Pa tudi o tvoji neumnosti. Mislim, a ni neumno izkoristiti ranljivost neke baze podatkov, dol stegniti osebne podatke uporabnikov, nato pa se o tem celo javno pohvaliti?
Samael != Samuel

Karamelo ::

no kje je torej razlika?

- posnameš nekoga kako v svoji hiši nag skače okoli, in tega ne objaviš

- snameš osebne podatke iz nekega dostopnega linka, in tega ne objaviš

jaz razlike ne vidim

Saul Goodman ::

Samael je izjavil:

Kakšnim teorijam? A mi zaupaš kje si z moje strani videl kakšne teorije?

Povsem prepričan sem namreč, da sam o tem nisem debatiral, se tega področja nisem dotaknil in da ti zgolj ponovno izvajaš mentalno akrobacijo, ko bi si najbrž naredil uslugo, če bi bil preprosto tiho.

Seveda smo rekli marsikaj o "dejanskem problemu". Pa tudi o tvoji neumnosti. Mislim, a ni neumno izkoristiti ranljivost neke baze podatkov, dol stegniti osebne podatke uporabnikov, nato pa se o tem celo javno pohvaliti?


problem je, da si ti tista budala, ki misli, da so "moje bedarije" ilegalne in to potrjuješ v tvojih odgovorih. "Ni neumno izkoristiti ranljivosti neke baze podatkov?" Katero ranljivost sem pa izkoristil, ti sveta preproščina?

Oprosti, nisem vedel da se v resnici pogovarjam s prodajalcem čevljev, ki ne ve kaj govori in o zakonodaji na tem področju v resnici nima pojma. bluzi naprej.
1 2
3
4


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo

digitalno potrdilo o cepljenju COVID-19 (strani: 1 2 )

Oddelek: Loža
5311489 (5712) primoz4p
»

Naroči me na upravno enoto (strani: 1 2 3 4 )

Oddelek: Novice / Zasebnost
19542280 (23601) preiskovalec
»

E-napotnica (strani: 1 2 )

Oddelek: Loža
5816130 (9238) simnov
»

Kako preverim, če je stavba črna gradnja in ne poznam investitorja (strani: 1 2 )

Oddelek: Loža
8840448 (38542) Rok Woot
»

problemi z digitalnim certifikatom SIGEN-CA

Oddelek: Informacijska varnost
3417917 (8708) Ice-Heki

Več podobnih tem