Pogodak.co.yu, analiza sigurnosti
|
BanG!
Jedva cekam reakcije! :) Jesu li popravili to sto si im rekao? |
Nisam stigao da im kazem bilo sta jer nisam dobio nikakav reply ...
|
Moze jedno glupo pitanje: cemu sluzi objavljivanje ovoga izvjestaja?
|
Ne postoji glupo pitanje ;)
"Tekst je napisan u cilju edukacije citalaca i podizanja svesti o sigurnosti na mrezi." |
Ni meni se ne sviđa to što radiš, odnosno način na koji to radiš.
Jedno je kada dođe neko pa pita "kako vam se sviđa moj sajt" a onda naiđe lavina "znalaca" sa komentarima "odvratan je, ništa ne valja, nije validan, previše je validan, premalo je validan..." , a drugo je kada neko dođe i objavi "E sad ću da vam kažem kako je odvratan onaj sajt". Ne vidim svrhu ovakvog izveštaja. Ako je naručen, onda nije za objavljivanje javno, a ako nije naručen onda opet nije za javno objavljivanje. Ako si hteo da im ukažeš na propuste, pošto obično u ovakvim situacijama ljudi tvrde da imaju altruističke pobude, onda si, kažeš, to i uradio, i ok. Šta sad? Meni je ovo slično kao objavljivanje oglasa u Politici: Žuta kuća, 3. sa desne strane, ulica W3C validatora broj 2007, vlasnik ostavlja otključanu garažu kroz koju je moguće ući, a moguće je ući i sa zadnje strane jer matora spremačica zaboravi da zatvori prozorče iznad vrata, ubacuiš kanap, povučeš rezu i brava se otključa. A kanap se pravi tako što..... Svo "žuto" je na spratu u komodi sa desne strane, treća fioka... A da... ključ je ispod otirača, inače ja sam samo hteo da pomognem vlasnicima da obezbede svoju kuću. Catburglers sWWWih zemalja - ujedinite se. |
Citat:
|
Ok, ne svidja vam se ovo sto radim ... to je normalno jer ova oblast nije toliko zastupljena kod nas i sve sto je strano, na pocetku je odbojno. Vani, sve je ovo deo svakodnevnice.
Ja pokusavam da podignem nivo svesti o sigurnosti na mrezi za dobrobit celog naseg interneta, naravno samim tim donosim i sebi vise posla ali to je cini mi se normalno jer koliko vidim i svi vi svakodnevno objavljujete nova "otkrica" u oblastima u kojima ste strucni. Vise puta sam procitao analizu ovoga i onoga, u raznim oblastima, od kodiranja preko dizajna pa sve do ekonomskih poteza i marketing trikova. I sta sad ? Ja objavim nesto u vezi sigurnosti, i to je lose ? U konkretnom slucaju, da smo profesionalci kako se prica, pogodak bi vec sve ovo imao samo za sebe, ali ja nisam imao nikakav reply ... ali u svakom slucaju za neki dan a mozda i vec danas najveci lokalni pretrazivac ce biti sigurniji za svoje korisnike. |
Nisam mogao ovo da ne postujem sada :)
Nisam mogao da izdrzim a da ne postujem ovo :)
Off Topic: The Conscience of a Hacker Another one got caught today, it's all over the papers. "Teenager Arrested in Computer Crime Scandal", "Hacker Arrested after Bank Tampering"... Damn kids. They're all alike. But did you, in your three-piece psychology and 1950's technobrain, ever take a look behind the eyes of the hacker? Did you ever wonder what made him tick, what forces shaped him, what may have molded him? I am a hacker, enter my world... Mine is a world that begins with school... I'm smarter than most of the other kids, this crap they teach us bores me... Damn underachiever. They're all alike. I'm in junior high or high school. I've listened to teachers explain forthe fifteenth time how to reduce a fraction. I understand it. "No, Ms. Smith, I didn't show my work. I did it in my head..." Damn kid. Probably copied it. They're all alike. I made a discovery today. I found a computer. Wait a second, this is cool. It does what I want it to. If it makes a mistake, it's because I screwed it up. Not because it doesn't like me... Or feels threatened by me... Or thinks I'm a smart ass... Or doesn't like teaching and shouldn't be here... Damn kid. All he does is play games. They're all alike. And then it happened... a door opened to a world... rushing through the phone line like heroin through an addict's veins, an electronic pulse is sent out, a refuge from the day-to-day incompetencies is sought... a board is found. "This is it... this is where I belong..." I know everyone here... even if I've never met them, never talked to them, may never hear from them again... I know you all... Damn kid. Tying up the phone line again. They're all alike... You bet your ass we're all alike... we've been spoon-fed baby food at school when we hungered for steak... the bits of meat that you did let slip through were pre-chewed and tasteless. We've been dominated by sadists, or ignored by the apathetic. The few that had something to teach found us willing pupils, but those few are like drops of water in the desert. This is our world now... the world of the electron and the switch, the beauty of the baud. We make use of a service already existing without paying for what could be dirt-cheap if it wasn't run by profiteering gluttons, and you callus criminals. We explore... and you call us criminals. We seek after knowledge... and you call us criminals. We exist without skin color, without nationality, without religious bias... and you call us criminals. You build atomic bombs, you wage wars, you murder, cheat, and lie to us and try to make us believe it's for our own good, yet we're the criminals. Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you, something that you will never forgive me for. I am a hacker, and this is my manifesto. You may stop this individual, but you can't stop us all... after all, we're all alike. The Mentor. 08/01/1986 Naravno uvek se u ovoj oblasti postavlja pitanje etike i morala, da li treba objaviti javno ili ne... Isto kao i sa eutanazijom, da li je dozvoliti ili ne... Meni ovo nista ne smeta, ako si ih kontaktirao a oni nista nisu preduzeli povodom toga, ti odlucujesh. Po meni takve informacije ne treba da se objave... Ja nemam vremena za neko objavljivanje i tome slicno, a ni koristi, jer sve shto radim vezano za sigurnost je cisto iz moje radoznalosti i zelje za ucenjem, a ne profitom... eventualno budem nagradjen nekada, a za profit su zaduzene druge oblasti... Verujem da ce se jedan eminentni gospodin sa ovog foruma prepoznati ukoliko procita ovaj post, , a ko je to necu da imenujem. :) Pozdrav. |
1. Nisam haker
2. "najveci lokalni pretrazivac ce biti sigurniji za svoje korisnike" |
Ivane evo ja te podrzavam sa malom zadrskom.
Ne znam kakav si im mail poslao ali jedan sa "Objavljujem ovo za 30 dana, popravite ili snosite posledice! Sve najbolje..." (tj da shvate da to moraju da poprave) mislim da bi bio ok. Kao i to da si im mozda dao malo vremena, ne znam bas kakva je priroda propusta ali da si im dao 30ak dana mislim da bi to bilo ok. Opet misljenja su ko guzice, svako ih ima. :1041: |
Citat:
|
Trebao si da pre kacenja na svoj sajt budes siguran da su mail zaista procitali... Sta ako je osoba kojoj je upucen na odmoru? Koliko znam u Srbiji imaju jako jako malo zaposljenih...
Takodje smatram da je kontakt telefonom nakon slanja maila najbolje resenje. Citat:
|
hm... ni meni se ne dopada pristup, nekako ima oblik blage ucene (da ne bude zabune, ne kazem da je "the ucena"), takodje sam posasvim siguran da je ceo web jedna velika rupa puna propusta, though i dalje postoji i generalna filosofija, sa dobrim razlogom, nije pravljenje mega-super-secure-ultra-udobnih servisa nego prosti risk-management.
licno, ono sto mislim da si ovde pogresno uradio ivane, jeste da si poslao poruku "show me the money (unajmite me da radim XYZ analizu), inace ce vas prljav propust izaci na videlo", a ne "zelim da pomognem da imate bolji servis (i eventualno to zapravo i naplatim)" - u pitanju su nijanse, ali mislim da je ovo pogresan nacin. takodje, imaj u vidu pravne konsekvence prilikom ovakvih poteza, ne znam kako je ovde, ali u USA imas konstantno neke parnice koje se vrte oko toga. cak i da ti ne mogu nista troskovi advokata nisu zanemarivi i daleko ih bolje podnose velike firme. |
@bluesman
Razumem ja sta ti govoris, ali odlucio sam se za ovakav korak zato sto smatram da neka organizacija kao sto je pogodak, sa uslugama koje pruza, mora vise paznje obratiti na sigurnost svojih korisnika. @pcigre Kontaktirane su dve osobe i prilicno sam siguran da su procitali email. @caboom Nije ucena, ponudio sam da iznesem detalje oko propusta, takodje ponudio sam i svoje usluge, na njima je bilo da izaberu ... proslo je vise od 15 dana. Sto se tice pravnih posledica, mislim da ovde nema nikakvih problema jer ja nisam radio nista ilegalno. Sve propuste sam otkrio "rucno", koriscenjem funkcija samog sajta. |
ivane,
procitaj ponovo recenicu: "Nije ucena, ponudio sam da iznesem detalje oko propusta, takodje ponudio sam i svoje usluge, na njima je bilo da izaberu ... proslo je vise od 15 dana." bad karma covek. |
@caboom
Iskreno, nije mi bitno sta mislis o meni niti o mom postupku, cak sta vise, zanima me da vidim kako ce se ovaj postupak odraziti globalno. Ali, da ne bude zabune (kod ostalih), nijednog trenutka ja nikoga nisam ucenjivao, nisam napisao da cu da objavim propuste ili ne. Odlucio sam se na ovaj korak (posle 18 dana preciznije) jer smatram da je tako najbolje za sve. |
Mislim da je uobicajena praksa u ovakvim slucajevima obavestiti vlasnike sajta o propustu, u dogovoru sa njima dati im neko vreme da propust isprave (nedelju, dve) a tek onda objaviti propust javno. Nacin na koji ti to radis nije nimalo eticki, a mislim da je cak i protivzakonito! Ok, kapiram ja tvoju zelju da se sto pre na svom Blogu pohvalis kako si pronasao propust kod "veliiikog pogotka", ali moras malo da vodis racuna i o posledicama objavljivanja tih podataka. To sto si ti na Blogu stavio da ti ne snosis nikakve posledice, mozes narodski receno da "obesis macku o rep".
|
@dinke
A kako da se sa nekime dogovoris ako ti on ne odgovori ? Drugo nemoj da provociras jer da hocu da se hvalim, svakog dana bi objavljivao po jedan propust na nasim sajtovima. Mislim da niste ni svesni koliko su "nasi - vasi" sajtovi busni, cak i kod velikih kompanija je takav slucaj. Ah da, gde to pise da je nezakonito ? Pogodak koristim svakodnevno, dosao sam da potrazim neku frazu koja pocinje sa "-- nesto" i video sam propust ... bla bla. Svakodnevno pratim velike security blogove i forume, cim se objavi neki propust za npr Google, ubrzo bude ispravljen jer Google prati sve to isto. Ukratko to je profy, priznaju gresku, isprave je, ... cak se desavalo da i sami ucestvuju u diskusijama. |
Citat:
Citat:
A sto se zakona tice, ne sumnjam da bi se i tu mogao iskopati neki clan x.y koji kaze tipa "objavljivanje osetljivih poslovnih informacija koje nanose stetu ... bla bla" i da te neko tuzi zbog toga. |
Citat:
Citat:
Citat:
|
Nisam stigao odmah da reagujem nakon Ivanovog prvog posta, ali kako vidim ostali clanovi su uglavnom odgovorili na slican nacin kao sto bih ja to ucinio.
Nije prvi put da dobijamo mejlove sa sadrzinom tipa: "Platite nam x€ do tada inace cemo vam hackovati sajt" I sta se desilo, nista i dalje smo tu. Ne zelim da zvucim prepotento ali na ovakve ucene jednostavno ne treba reagovati. Ja sam siguran da je Ivan ovo objavio u najboljoj nameri, ali mislim da je pogresan nacin na koji je to uradio. U ovo sam siguran zbog toga sto sam odmah, nakon sto smo dobili njegov mejl, proverio njegove reference sa sajta. Njegovi klijenti su imali samo reci hvale na racun njegove strucnosti u poslu kojim se bavi. Jos jednom, dobra namera ali totalno pogresan nacin na koji je to uradio. Sto se tice samog security propusta upoznati smo sa njim, nije rec o kriticnom propustu. I svakako time nisu ugrozeni korisnici Pogotka. |
Citat:
Bio bi dovoljan samo jedan reply i imali bi detalje o propustima. Citat:
|
@ivan - pre svega, ne bih da ovo prebacujem na licni plan posto te ne poznajem, samim tim nemam nikakvo misljenje o tebi kao osobi.
Citat:
|
Vreme je GMT +2. Trenutno vreme je 14:21. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.