Vlákno názorů k článku
Krádež relace na Seznam.cz: postup získání neomezeného přístupu k e-mailu
od Uncaught ReferenceError: - pěkně popsané, ty weby jsou past vedle pasti....
-
pěkně popsané, ty weby jsou past vedle pasti. Přitom je vidět, že snadno testovatelné bezpečnostní závory nemají správně implementované, stejně tak jde vidět, že chybí nějaká proaktivní aktivita na jejich straně, měly tady měsíce probíhající útok, kdy útočník používal úspěšně XSS a nic.
Jen škoda, že odměny nevyplácí vždycky a ne vždy jsou takhle ochotní a slušní. Po vyhrožování trestním oznámením (rok 2021) už nemám moc chudí jim ty věci hlásit.
-
Dalo by se rict .. "a co bys chtel, zadarmo".
Pricemz utoky tohodle typu se daji usporadat prakticky na cokoli, staci ty moresy, ze se polovina obsahu stahuje ze vsemoznych horoucich pekel, a ani sam provozovatel vlastne netusi, co to dela.
Trestni oznameni bys mel spis podavat ty na ne, oni jsou povini data chranit, ne ty.
-
a to je špatně, že nemáš díky komplexnosti přehled a byl bych rád, kdyby se to zase navrátilo k zjednodušování než opačně.
No, white hat hacker balancuje na hraně kriminálu, aby něco vyzkoumal, musí cíleně se snažit narušit bezpečnost cílového systému a to může být trestní čin. Paralela z reálného světa je, když se budeš snažit někam vloupat, abys ukázal, že mají nízkej plot a hlídač chodí moc předvídatelně, to nemůžeš, zatkou tě za vloupání.
Jediná možnost jak to dělat legálně u nás je mít smlouvu/svolení daného subjektu, že můžeš zkoumat jeho bezpečnost. Dělat to ve volném čase je na hranici trestného činu. Pokud to ale člověk dělá jako koníček, je těžké získávat souhlasy nebo dokonce smlouvy, pak tam je určité očekávání, report, časový rámec a už to není ten koníček, ale práce.
-
měsíce sledování nějakého webu, registrace, testování persistentních XSS, debugování api a hledání smítka nesrovnalosti přece nelze srovnat s tím, že jdeš kolem auta a zkusíš šáhnout na kliku a na základě toho udělat spor.
Penetrační testování na cizím systému bez svolení v ČR může být opravdu postihnuto. Nebo myslíš, že majiteli auta dokážeš rozumně vysvětlit, že ho nejdeš vykrást, ale pomoc mu, když ně u něho nachytá jak jsi právě otevřel dveře?
-
Tady nekdo vubec netusi ze? Ja nic vysvetlovat nemusim, vysvetlovat bude naopak majitel toho auta.
Tohle je exaktne totez. Nemluve o tom, ze jsou tu zakone povinosti prave provozovatelu takovych sytemu(a majitelu tech aut), a zadny je nedodrzuje, takze bych chtel videt, jak si bude vyskakovat.
Na odhaleni zasadnich bezpecnostnich pruseru staci prevazne tak 10 minut. Dokonce k tomu v mnoha pripadech nepotrebuju vubec komunikovat se systemy protistrany ze? Staci kdyz vygrepuju logy svych serveru, a pokocham se treba tim, kdo pouziva tls 1.0. A ze takovych je ... Pricemz s pravdepodobnosti atakujici 100% tohle neni zdaleka jedinej nedostatek. Je to spis indikator toho, ze na to protistrana zvysoka kasle (a mimo jine tim porusuje zakony ze?).
-
jakých deset minut? Viz i tahle zprávička, Marek Tóth s tím strávil měsíce. Penetrační testy přece nejsou jen o tom, že se podívám na metadata, najdu starý zranitelný verze a mám vyhráno. To co tada Marek dělal a popsal na svém blogu je přesně situace, která hraniční s trestným činem, pokud k tomu nemám svolení.
To, že většina provozovatelů je za takovéhle hlášení ráda a ještě tě obmění nic nemění na tom, že tě klidně mohou udat na policii, což někteří strašně rádi dělají a pak s tím je dost oplétaček, zbytečně. Naše zákony ale na white hat hackery nemyslí.
-
Zákonem je zakázáno i neoprávněné užití cizí věci - jde o přestupek dle § 8 zákona č. 251/2016 Sb. (v případě výše probíraného dobývání se do auta může jít i o trestný čin dle § 207 trestního zákoníku, kde je specificky uveden případ motorového vozidla).
Samozřejmě vždycky jde o to, zda se proti tomu někdo bude bránit u soudu a jaký měl dotyčný úmysly.
Mě spíš fascinuje, že ve většině diskuzí se tady každý ohání nedotknutelností soukromého majetku, ale šťourání se v cizím (taky soukromém) je evidentně v pořádku a když se někam cíleně vlámou, tak je to najednou chyba majitele. Pokrytectví v přímém přenosu.
-
To ze ma auto otevrene dvere (a nemate teda zapnuty autolock) neznamena ze neni zajistene proti tomu aby ho neopravnene nemohla uzit jina osoba.
U nekterych modernich aut nepohnete ani rucni brzdou bez vylomenin zahrnujici hledani mechanickeho override nebo utrzeni mechanismu. Nehlede na to ze pokud nemate veterana nebo parodii na moderni auto, tak vam treba nebude fungovat ani prevodovka vcetne zbytku elektroniky. Takove auto je zajistene relativne bezpecne vzhledem k situaci. Nemusi uz to vsak byt z pohledu pojistovny (coz neni obsahem toho prispevku).
Pokud prokazete ze auta ma takove mechanismy je to ve spravnim rizeni rozsekatelne.
A potom ani pokud auto neni zajistene nyni neznamena ze majitel auto nezajistil predtim nez ho opustil. Uvolnit zamek dveri mohl zlodej pred nim pokud mate papir od policie ze doslo mezitim k vloupani.
Dalsi vylozene blbe pripady vznikaji kdyz si sednete na klicky nebo nekam natece do ridici jednotky a zamky se zamykaji/odemykaji samy jak z hororu ;-)
ČLÁNKY DO MAILU