přejít na obsah přejít na navigaci

Linux E X P R E S, Objevil špatné šifrování, byl odsouzen k podmínce

Objevil špatné šifrování, byl odsouzen k podmínce

Šifrování

Slovinec objevil špatně nastavené šifrování systému TETRA. Po zveřejnění této informace dva roky od upozornění byl odsouzen k podmíněnému trestu.


Čtenář webu Slashdot upozornil na případ slovinského bezpečnostního analytika Dejana Orniga. Ten zjistil, že slovinská policie používá špatně nakonfigurovaný komunikační systém TETRA, s příliš slabým šifrováním. Opakovaně na to úřady upozorňoval, když se ale dva roky nic nedělo, informace zveřejnil.

Systém TETRA se používá velmi hojně. V Česku je (rok 2014) v provozu 13 sítí, systém používají například orgány a organizace měst, vojenské letecké základny nebo firmy Hyundai a Chemopetrol. Bezpečnostní složky v ČR však používají „konkurenční“ systém Tetrapol.

Ornig byl následně obviněn z útoku na informační systém (do policejní sítě se někdo úspěšně naboural a odposlouchával komunikaci; tento útok byl „připsán“ Ornigovi), padělání dokumentů (konkrétně policejního odznaku nalezeného při domovní prohlídce) a neoprávněného zvukového záznamu (ten byl taktéž nalezen při prohlídce; Ornig ho pořídil, když chtěl prokázat mobbing u svého někdejšího zaměstnavatele). Lublaňský soud za uvedené přečiny uložil Ornigovi trest odnětí svobody na patnáct měsíců s podmíněným odkladem na tři roky.

Nahoru

Příspěvky

Petr Valach Objevil špatné šifrování, byl odsouzen k podmínce
Petr Valach 22. 05. 2016, 21:21:01
Odpovědět  Odkaz 
Je jedno, co kdo člověk doma má. Důležitější je, co s tím UDĚLÁ. Můžou mě zavřít, protože mám nůž. Můžou mě zavřít, protože mám komp, se kterým můžu provádět nekalé rejdy.
Objevil špatné šifrování, byl odsouzen k podmínce
NULL 22. 05. 2016, 22:48:27
Odpovědět  Odkaz 
Na jednu stranu je od něj hezké, že upozornil na zranitelnost, na druhou stranu nevím na kolik je v pořádku, že takhle někdo oťukává systémy. Asi si by se mi nelíbilo, kdyby mi pořád někdo lezl k domu a zkoušel, jestli jsou dobře zavřená okna, dveře, dveře do garáže, do sklepa, zamčené auto a pak, když náhodou nechávám jedno z oken na ventilačku (symbolizuje slabě zabezpečenou službu třeba - potenciálně je možné se jednodušeji dostat do domu) - tak aby mi vypisoval emaily a když nereaguji tak to zveřejnil ...
Re: Objevil špatné šifrování, byl odsouzen k podmínce
nobody 22. 05. 2016, 23:05:15
Odpovědět  Odkaz 
opravdu je tvuj dum prostredek komunikace statni spravy, policie a dalsich slozek ktere si lide plati ze svejch dani a ocekavaji nejakou uroven jak sluzeb tak zabezpeceni?

ano, je hezke ze upozornil na zranitelnost, neni ale hezke ze musel opakovane, uz vubec ne ze vsem to bylo jedno a to ze to obratili proti nemu je uz proste ubohost...
Lukáš Jelínek Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
Lukáš Jelínek 22. 05. 2016, 23:08:54
Odpovědět  Odkaz 
U nás někdo kdysi udělal penetrační test na servery Komerční banky. Našel zranitelnost, informace odeslal do banky ... a dočkal se okamžitého trestního oznámení. Penetrační testy na cizí systémy jsou samozřejmě kontroverzní praktika, ale je dost rozdíl, jestli to někdo udělá proto, aby někomu pomohl to lépe zabezpečit, nebo aby to sám zneužil.
Petr Valach Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
Petr Valach 22. 05. 2016, 23:48:31
Odpovědět  Odkaz 
Kdybych byl na odpovědném místě, tak člověka, co něco objevil a nezištně mě o tom informoval, mám za boha a ještě se mu odměním.
Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
Pavel Šimerda 23. 05. 2016, 07:51:22
Odpovědět  Odkaz 
Tak pokud by o tu odměnu požádal, tak je TO na místě.
Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
NULL 23. 05. 2016, 11:39:50
Odpovědět  Odkaz 
Ano, vypadá to jako bohulibá činnost, ale to chování se mi nelíbí. Když se nahoře nezdál příklad s domem, že to jako není státní a tak jako ten případ nepochopil ;-), ale je to jako by někdo obcházel třeba policejní auta na parkovišti a snažil se tam dostat bez násilí. A pak zase na parkovišti u někoho před domy a pak by tam tak chodilo denně 20 týpků dělat penetrační testy ..... a kam by jsme došli.
Tak má se tím živit a tam kde o to nestojí, tak se tam nehrnout. A spravil by jim to tak zadarmo jako jim to zadarmo zkusil zlomit, když chce tak moc pomoct - zadarmíko? Ona se z toho stává trošku móda a sebeprezentace,tady z těch pentestů na veřejné struktury. Ano, zabezpečení je dnes důležité, ale vyřeší se to tím, že budou nějací "testeří" chodit a posílat maily, nebo když veřejnost zatlačí a provedou se testy?
Tomáš Crhonek Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
Tomáš Crhonek 23. 05. 2016, 12:51:41
Odpovědět  Odkaz 
"a kam by jsme došli"

Třeba k zámkům, které se nedají otevřít jinak než klíčem.

Jinak se tomu říká evoluce. Jeden organismus vyvine nějakou obranu a jiný organismus se ji snaží napadnout, tím vede první organismus k vyvinutí lepších obran. Které také mohou sloužit k jiným účelům, než jen k obraně.

"Ano, zabezpečení je dnes důležité, ale vyřeší se to tím, že budou nějací "testeří" chodit a posílat maily, nebo když veřejnost zatlačí a provedou se testy?"

Veřejnost na nic takového tlačit nebude, protože o tom neví. Toto mají dělat odborníci. Jenže odborníky málokdo poslouchá, takže se jednoduše čeká na průser, který odpovědné donutí něco dělat (kde "něco" většinou není zabezpečení, ale spíše zakrytí). (Odpovědní to potom samozřejmě hodí na někoho jiného, protože nepřiznají vlastní neschopnost. A pokud jsou ještě k tomu hloupí, tak zavřou toho, kdo je na chybu upozornil. Příště už je nikdo upozorňovat nebude a přijdou skuteční zlí hoši a budou mít volný přístup do kompletně děravého systému.)

Tak to prostě je. Nelíbí se mi to, rád bych viděl ty systémy zabezpečené k state of the art, jenže z různých důvodů nejsou. Jestli máš jiný nápad, sem s tím.
Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
NULL 23. 05. 2016, 13:50:48
Odpovědět  Odkaz 
Veřejnost nebude tlačit? Tak státní správa, směrnice, něco jako generálka u aut třeba. Rozhodně lepší, než aby kdejaký chytrák oťukával systémy, ty jsi trávil čas v logách zjišťováním co tam opravdu napáchal a i když pak někoho chytneš, tak ti řekne: Já jsem tester a myslím to dobře:-)) a jsme všichni sluníčkoví. Paráda. Když ho to tak zajímá, ať si založí iniciativu za bezpečnější státní správu a ne takhle lozit pro zábavu. Jako kdyby to zjistil třeba při práci: komunikuje s API a vysype mu to třeba hesla a tak nebo něco, jasné, supr, hned to nahlásím, ale takhle se srát do cizích věcí, kdo je mu na to zvědavý ... Ale je pravda, že když už jim to nahlásil, tak to měli okamžitě opravit ...
Tomáš Crhonek Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
Tomáš Crhonek 23. 05. 2016, 14:41:32
Odpovědět  Odkaz 
Státní správa, směrnice, generálky, to vše existuje. Na papíře. V praxi to vypadá tak, že se systém nasadí nedodělaný za 5 minut dvanáct, protože ministr (nebo kdokoliv) má zrovna projev a tam ten systém uvede. Takže na věci jako bezpečnostní testy, testy HA apod. (které v těch směrnicích můžete mít třeba 100x), tak stejně není čas. Protože to řídí nekompetentní lidé, kteří jsou hnáni politiky (nebo někým na rozhodovací úrovni) do nereálných termínů. Ono se to jako vždycky nějak nasadí, fasáda vypadá dobře, a potom se za běhu dodělávají vnitřnosti a děj se vůle boží (a někdy se to pokazí tak, jako třeba registr vozidel).

Potrestán není nikdo.

Ten chytrák ty systémy bude otloukávat vždycky. Když dáte něco na sít, musíte počítat s tím, že tam prostě budou chodit také "nevalidní" požadavky. S tím nic neuděláte. Spousta lidí má představu o tom, že dají něco na síť a ostatním řeknou kdo tam má a kdo tam nemá co posílat. Takto to nefunguje. A je to dobře.
Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
nobody 23. 05. 2016, 12:53:06
Odpovědět  Odkaz 
porad divne priklady... pokud by policisti nechavali odemcena auta, nebo zamknuta ale stahle okenka, tak je to spatne a urcite je lepsi kdyz to nekdo "otuka" a upozorni nez aby to auto jinej ukradnul a v horsim pripade zneuzil i treba k vydavani se za policii...

navic srovnavas porad kravinu, fyzicke osahavani auta muze vest k zaspineni, muze nekdo kdo nema cit v ruce urvat kliku, nebo zrcadko kdyz o nej zavadi atd... naproti tomu test zabezpeceni site nema zadne vedlejsi ucinky, asi si pletes penetracni test s DoS utokem, ten by jedine zatezoval zbytecne sit...
Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
NULL 23. 05. 2016, 13:45:37
Odpovědět  Odkaz 
Jo? Zažil jsem i testování, kdy pentester shodil celý web aniž by chtěl, prostě narazil a to se ani nebavím o tom, když vypustí něco na databázi a projde mu třeba sleep a rozesere ti replikace. Fakt supr
Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
nobody 23. 05. 2016, 14:31:46
Odpovědět  Odkaz 
takze si zazil situace kdy nekdo testema zjistil slabe mista? to jsou veci :) nemas mit slaba mista, nebo je mas zjistit sam, pripadne mas byt vdecnej ze to nekdo udela za tebe kdyz ty nejsi schopnej nebo nemas cas...
Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
NULL 23. 05. 2016, 16:35:17
Odpovědět  Odkaz 
Jo ty chytráku, zažil. Sekne ti databázi, něco ti smaže, zbourá ti spojení se serverem a po 3 hodinovém výpadku a obnově, obnově záznamů z prodeje, ihned musíš ty i 1/2 call centra do práce, škoda 50 - 80 tis. Zaplatíš to? A co takhle kdyby ti přišla faktura 2x za týden?
Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
nobody 23. 05. 2016, 17:42:33
Odpovědět  Odkaz 
no takze si mel vadnej system a fnukas ze ti ho nekdo zvenku zboril??? za chybu toho systemu ale muzet TY, jeho spravce nebo dodavatel, pripadne ten kdo to vystavil do netu i kdyz to nebylo osetrene... nikolik nekdo z internetu kdo na tom provede test...
kolik by te stalo kdyby se databaze tvejch zakazniku a dodavatelu dostala ke konkurenci/na verejnost? urcite ne drobne v radu desitek tisic ;)
Re: Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
NULL 23. 05. 2016, 20:50:11
Odpovědět  Odkaz 
Jsi zdravý? Jak asi máš mít dobře zabezpečený systém, když ti vedení objednalo testy aby se vědělo jak na tom ten systém vůbec je? Chtěl bych vidět tebe ty experte. Když někdo chce, tak se tam vždycky dostane. Ještě jsem neslyšel, že by někde crackeři ostrouhali. Tak se modli aby jsi taky neměl jednou takový skvělý den na infrastruktuře, na kterou admin 10 let sral a pak to hodili tobě. To fakt miluju takové mudrlanty.
Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
nobody 23. 05. 2016, 22:46:11
Odpovědět  Odkaz 
aha... tak ty fnukas ze nekdo udelal test co neco zboril a nakonec z tebe vyleze ze to bylo objednane a testovalo se neco 10let neudrzovaneho... OMG :)
Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
NULL 24. 05. 2016, 10:44:24
Odpovědět  Odkaz 
"aha... tak ty fnukas ze nekdo udelal test co neco zboril a nakonec z tebe vyleze ze to bylo objednane a testovalo se neco 10let neudrzovaneho... OMG :)"

No ty jseš teda dílo.
Takže podle tebe se má první všecko hledat, opravovat a hledat a opravovat a až pak si nechat prověřit díry do infrastruktury/systému? Dovol abych se zasmál.
Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
nobody 24. 05. 2016, 15:06:49
Odpovědět  Odkaz 
"Takže podle tebe se má první všecko hledat, opravovat a hledat a opravovat a až pak si nechat prověřit díry do infrastruktury/systému?"

zasadni nepochopeni... pokud mas neudrzovanej system a objednas si na to penetracni testy, neni normalni aby jsi si pak stezoval ze:
1. nekdo provedl testy...
2. pri testech ten system ukazal slabe mista a/nebo zkolaboval...
Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
NULL 24. 05. 2016, 20:38:15
Odpovědět  Odkaz 
Co pořád nechápeš na tom, že i takový obyčejný vtipálek nebo dobroser nebo pentester, který s tvým systémem myslí fakt dobře, ti tam náhodou může způsobit fakt průser, když se mu náhodou něco povede? Dal jsem ti konkrétní příklad. co se může stát.

1.Co je mě do toho, že se nějaký vochomejták nudí, to mám furt procházet logy poznávat, kdy se mi na tom jenom nějaký zneuznaný odborník ukájí a kdy se mi do toho snaži opravdu někdo nabourat?

2. Pokud někde děláš admina, tak bych se moc nesmál, protože 0 days chyby opravdu existují a občas se objeví nové, takže ta tvoje nadnesená póza o klidu a zabezpečeném systému skončí jakmile ti na to vletí někdo, kdo to myslí opravdu vážně.
Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
nobody 25. 05. 2016, 10:50:30
Odpovědět  Odkaz 
tak znovu(vynechame to ze si michal zkusenost s objednavkou pentestu):

1. nekdo prijde na problem at jiz zabezpeceni, nebo ze lze system zborit a informuje te o tom s informacema co udelal a ty si muzes podle toho system zabezpecit/opravit

2. nekdo prijde na problem zabezpeceni, ukradne tve data, o zakaznikach a dodavatelich, bude je proda konkurenci, nebo vystavi na internetu, jako bonus ti nainstaluje rootkit a pres tvuj administracni/auditovaci system vytahne i dalsi data s klientskych stanic

opravdu mas pocit ze chces nadavat/vynechat moznost 1 ktera ti pomuze omezit vznik moznosti 2???

btw: admina sem delal ~15let , nikdy nikdo nic neschodil, obcas se ozval nekdo, ze delal z venku nejaky test a zjistil to a to, ve spolupraci pak udelal dalsi (jiz placene) testy a na zaklade jejich zjisteni se udelali patricne kroky k naprave
Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
NULL 25. 05. 2016, 18:11:36
Odpovědět  Odkaz 
Co pořád nechápeš na tom, že i takový obyčejný vtipálek nebo dobroser nebo pentester, který s tvým systémem myslí fakt dobře, ti tam náhodou může způsobit fakt průser, když se mu náhodou něco povede? Dal jsem ti konkrétní příklad. co se může stát.
Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
nobody 25. 05. 2016, 19:57:32
Odpovědět  Odkaz 
goto http://www.linuxexpres.cz/novinky/objevil-spatne-sifrovani-byl-odsouzen-k-podmince#post26484 :)
Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
NULL 26. 05. 2016, 09:52:20
Odpovědět  Odkaz 
A opravdu máš pocit, že když ti nějaký zneuznaný odborník odhalí někde nějakou chybu, tak jseš v klidu a nikdo se ti tam nikdo jinak dostat nemůže a vše je vyřešeno?

A jako bývalý admin by jsi měl vědět, jak je skvělé se v logách dopátrat toho, co se tam dělo, když ti to bude každou chvíli nějaký dobroser zajebávat "anomáliema" a pokusy se ukájet.

V žádném případě neobhajuji strkání hlavy do písku, ale komu jde o zabezpečení, ať si udělá audit, sám nebo externě, ale nechat nějaké sráče se do toho navážet a ještě je za to plácat po ramenou je ta nejhorší možnost.

Chytil jses toho hned, al já ti jen napsal příklad, že i když to někdo myslí dobře a má ti pomoct, tak ti může způsobit škodu - a kdo je mu na to zvědavý? kdo se ho o to prosil? Já teda ne . . .
Tomáš Crhonek Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
Tomáš Crhonek 24. 05. 2016, 10:22:57
Odpovědět  Odkaz 
"Ještě jsem neslyšel, že by někde crackeři ostrouhali."

To bude asi tím, že se nikdo nechlubí neúspěchem.

Jinak z vašich komentářů není vůbec jasné co vlastně chcete. To opravdu chcete provozovat 10 let neupdatované systémy a stěžovat si na ty, kteří jej shodí, rozbijí a já nevím co? Mimochodem přesně toto dělají některé úřady státní správy. Místo řešení problému před to dají paraván (a říkají tomu firewall) a tváří se, že problém neexistuje. Jsou to jen další časované bombičky, které čekají jen na to, až se tam někdo probourá (no to je silné slovo, prostě se tam připojí) a zveřejní nějaká data. Potom nějaký politik pronese plamenou řeč o tom, jak je nutné posílit kybernetickou bezpečnost a vymyslí yet another NKCB, další zbytečný úřad.

"Tak se modli aby jsi taky neměl jednou takový skvělý den na infrastruktuře, na kterou admin 10 let sral a pak to hodili tobě."

Nejste odpovědný za to, že na to někdo 10 let sral. Prostě navrhněte řešení. Jestli jej vedení přijme nebo ne, není vaše věc.
Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
NULL 24. 05. 2016, 10:39:54
Odpovědět  Odkaz 
"Nejste odpovědný za to, že na to někdo 10 let sral. Prostě navrhněte řešení. Jestli jej vedení přijme nebo ne, není vaše věc."

Jo, vedení přišlo s tím, že jim někdo udělá pene testy a podle toho se uvidí. A borec to při tom prostě rozbil, ale taky to v tu dobu mohl být jakýkoliv aktivista v tu dobu. Co je na tom k nepochopení?

A jaké právo dává někomu, aby i když je systém starý, aby do něj z venku jebal? Když budete mít staré auto bez alarmu, tak mi to dává právo Vám ho zkoušet otevřít a pak Vám o tom posílat emaily?

A příklad to není mimo: Soukromé vlastnictví, dostupné z venku, záleží na zabezpečení
Tomáš Crhonek Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
Tomáš Crhonek 24. 05. 2016, 11:32:53
Odpovědět  Odkaz 
"A borec to při tom prostě rozbil, ale taky to v tu dobu mohl být jakýkoliv aktivista v tu dobu. Co je na tom k nepochopení?"

No mohl a co? Vedení si objednalo testy a výsledek těch testů je, že se aplikace rozbila. Takže vedení dostalo výsledek. Jak s ním naloží je jeho věc.

"A jaké právo dává někomu, aby i když je systém starý, aby do něj z venku jebal? Když budete mít staré auto bez alarmu, tak mi to dává právo Vám ho zkoušet otevřít a pak Vám o tom posílat emaily? "

Promiňte, ale takhle ten svět jednoduše nefunguje. To, že někdo nemá právo ještě neznamená, že se o danou akci nepokusí. Vůbec nepomůže se rozčilovat nad tím, že někdo udělal něco, na co nemá právo.

A fyzický svět se od sítě dost podstatně liší. Ve fyzickém světě mám nějaké okolí a pokud je to okolí slušné, můžu snížit zabezpečení a nemusím mít obvodové stěny z 5m betonu. Což by mi třeba v případě války stejně nestačilo.

V síti žádné slušné okolí nemáte. Kdokoliv na celém světě může přijít a ten domeček z karet vám zbořit. Další rozdíl je cena. Zatímco v fyzickém světě skoro nikdo nemá na bunkr s 5m stěnami, tak v síti je zabezpečení velmi levné. Proto, než řešit kdo na co má a nemá právo je lepší si ten systém zabezpečit up to date. Lze to. Nikdo netvrdí, že se tím odradí 100% útoků, ale proti běžným pentestům to odolné bude.
Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
NULL 24. 05. 2016, 20:28:44
Odpovědět  Odkaz 
" Vůbec nepomůže se rozčilovat nad tím, že někdo udělal něco, na co nemá právo."

Teda perlíš. Nejsem zlý člověk, ale asi by jsi vyloženě potřeboval, aby, až ti někdo třeba vybere byt, ti policajti řekli že má právo to zkusit a šli do háje.

Já netvrdím že se nemá zabezpečovat, naopak, já jsem z těch paranoid správců, a ano, samozřejmě že to pořád někdo zkouší a samozřejmě že to jenom zákaz nezastaví, ale jako tvrdit, že má někdo právo mi jebat do systému zkoušet to rozbít, no to je promiň, ale to je debilita nejvyššího kalibru.

Prosím tě, já chápu že jako hacking je cool a super underground, zní to hrdinsky a Niovsky, ale prosim tě, sedni si, napij se a v klidu se laskavě zamysli nad tím, co obhajuješ.
Lukáš Jelínek Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
Lukáš Jelínek 23. 05. 2016, 14:45:00
Odpovědět  Odkaz 
Ohledně toho příměru s auty, případně domy: přesně takové "penetrační testy" PČR a někde i MP občas dělá - po parkovištích obchází auta a ověřuje, jestli jsou zamčená. Totéž u chat v chatových osadách mimo sezónu.

A jinak ano, penetrační testy jsou kontroverzní, ale je lepší, když někdo ten test udělá a nahlásí, co zjistil, než aby tu zranitelnost později objevil nějaký skutečný útočník a tiše ji zneužil.
Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
NULL 23. 05. 2016, 16:41:35
Odpovědět  Odkaz 
Tak PČR je ale něco jiného než nějaký "vtipálek" nebo "dobrodinec". Jako jde o to, že se z toho nesmí vytvořit precedens aby se pak ve světě sebralo 50 mil. lidí a začali jako pentestovat jen tak ze srandy. Jak jsem psal. Ať si založí sdružení a začne tlačit na stát, aspoň z toho bude mít kšeft třeba a nebo když je to takový kanón, tak to i tak může na objednávku státu dělat zdarma. Ale jako pokud jde o mě, tak tohle mi napsat, tak to začnu okamžitě opravovat a nikam ho bonzovat nebudu, ale plně to chápu a naopak si myslím, že dobře mu tak. Nehledě na to, že jako zkušený pentester moc dobře věděl, že mu za to něco hrozí. Tak nevím na co to divadlo.
Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
nobody 23. 05. 2016, 17:46:39
Odpovědět  Odkaz 
no jasne, staci tech 50milionu lidi co si hraje na admina a boji se ze mu nekdo z netu zbori system :)

zalozit organizaci penetracnich testeru? si upad ne? :) nechces si ty zalozit organizaci nullnet, ktera bude mimo internet a budete si sitovat jen mezi sebou? aby ti nahodou nekdo neudelal zas nejakou skodu :)
Re: Re: Re: Re: Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
NULL 23. 05. 2016, 20:53:45
Odpovědět  Odkaz 
"no jasne, staci tech 50milionu lidi co si hraje na admina a boji se ze mu nekdo z netu zbori system :)"

:-D Jasně machýrku
Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
Ondřej Surý 24. 05. 2016, 19:17:26
Odpovědět  Odkaz 
Ač KB jinak nemůžu přijít na jméno, tak mám opačnou zkušenost. Asi tak do dvou dnů od otevření účtu jsem jim obešel 2fa autentizaci[*], nahlásil jsem jim to, pozvali si mě, ukázal jsem jim to, a opravili to.

Dtto moje stížnost na to, že v mobilním bankovnictví je uživatelské jméno rodné číslo a je vidět i při neautorizovaném přístupu do aplikace. Dneska už jsou tam jenom hvězdičky.

* - úplně čirou náhodou, protože jsem nervóza klikací :)
Lukáš Jelínek Re: Re: Re: Re: Objevil špatné šifrování, byl odsouzen k podmínce
Lukáš Jelínek 24. 05. 2016, 20:51:43
Odpovědět  Odkaz 
Zmíněný případ s KB je velmi starý, odehrál se někdy koncem 90. let, kdy se na to ještě koukalo trochu jinak. V té době KB také mj. neměla internetové bankovnictví (tehdy čerstvě spuštěné) zabezpečené jinak než podepisováním soukromým klíčem (pomocí ActiveX v IE). Tehdy byly docela četné případy vybílení účtů pomocí malwaru, který zkopíroval soubor s klíčem a z klávesnice odchytil heslo. Teprve na základě toho průšvihu byla zavedena autorizace přes SMS. Od té doby ale udělala KB značný krok dopředu (a taky mám pozitivní zkušenosti ohledně řešení problémů internetového bankovnictví), i když v něčem je pořád dost pozadu oproti tuzemské špičce (o světové nemluvě).
Objevil špatné šifrování, byl odsouzen k podmínce
Osvald Tretter 23. 05. 2016, 07:23:49
Odpovědět  Odkaz 
Pokud bylo vše doopravdy tak, jak informace popisuje, včetně čistého úmyslu Orniga, pak to jen dokazuje, kdo v evropských zemích včetně té naší, doopravdy vládne. Je to stále dokola, pod křídly státní moci se krčí morálně ta nejhorší chamraď, jaká se v daných zemích rodí. To sou ti lidé, kteří tyto země "táhnou ke dnu".
Objevil špatné šifrování, byl odsouzen k podmínce
Pavel Šimerda 23. 05. 2016, 07:49:16
Odpovědět  Odkaz 
„na kolik je v pořádku, že takhle někdo oťukává systémy.“

Samozřejmě, že je v pořádku testovat a opravovat zabezpečovací systémy. Tedy pokud nejsi zločinec, který se bojí, že by mohl ztratit používaný exploit.
Lukáš Jelínek Objevil špatné šifrování, byl odsouzen k podmínce
Lukáš Jelínek 4. 06. 2016, 16:50:09
Odpovědět  Odkaz 
Další podobná událost: http://arstechnica.com/security/2016/05/armed-fbi-agents-raid-home-of-researcher-who-found-unsecured-patent-data/

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog