416 odpovědí na toto téma

[hauskaa]

Opravdu to vypadá, že to všechno teď do sebe tak nějak zapadlo. V Tišnově bylo hned několik afér, jednak se někdo kdysi začal vydávat za Safariky a dost je tím poškozoval v očích jiných kačerů, pak Simanteam, který jednak loudil pod smyšlenými důvody finálky složitých keší, pak se v Tišnově začaly keše ztrácet - vždy po logu Simanteamu a teď tohle. Na jeden malej skromnej Tišnov až moc velká náhoda, že by ztadyma pocházel víc než jeden záškodník. Tišnovská pivková parta si na prsou hřála hada, jak to tak vypadá.

[Modrak]

Novom napsal/a:
Číst to tu může, alespoň vidí, co se mu v blízké době stane. Nejspíše trestní oznámení, vyšetřování a jak to tak vypadá, i lynčování od naštvaných kačerů, kterým vadí, co provedl a i to, že se vydával za Simanteam a nejspíš i zlikvidoval komplet keše v Tišnově.

Se jeste rad pujde udat na policii aby ho na ty 3 roky zavreli, pac to je pro nej furt lepsi nez riskovat ze na ulici potka nejakyho kacera

[_cermik_]

Kde se dá najít to tiskové prohlášení? Na webu nic nevidím a tady na fpru taky link není.

[perchCZ]

http://www.geocachin...441#post_386441

[parman16]

Samaell napsal/a:
kdo z poskozenych da prvni trestni oznameni? :-)

Mohl by se k tomuhle někdo víc vyjádřit (Sutechu?)?
Nijak jsem to nezkoumal, ale předpokládám, že všechno co na gc.com vložíme (listingy, logy, fotky) je majetkem Groundspeaku, tudíž by se musel hájit on. Jestli se ale mýlím, co a jak by šlo postihnout? Lock, změna textu v listingu, změna/smazání hypertextového odkazu..?

[ditka]

přesunuto

[Aviatik]

Jenom technický dotaz: Reviewer může opravdu editovat jakýkoliv listing?

[rr]

Aviatik napsal/a:
Jenom technický dotaz: Reviewer může opravdu editovat jakýkoliv listing?

Ano.

[Roman_Jaromer]

Stejně se nejvíce divím z toho tiskového prohlášení pár věcem: - píše se v něm, že před nedávnem se dostali na stopu a reálně zjistili s GS dva RW účty, pomocí kterých se neoprávněně přistupuje na server. Vidím v tom to, že GS přichystal volavku, na kterou se měli chytit nepoctiví kačeři. Jen mi nejde do hlavy, proč v případě, že ti nepoctivci začali škodit až v takovémto rozsahu, že prostě ty dva účty okamžitě GS nezablokoval (neříkejte mi, že to nešlo daleko dříve, než po skoro celém dni), poté co začal zamykat první listingy a zasahovat do databáze. Takhle dotyčný zaměstnal mnoho lidí na mnoho hodin... Si říkám, jestli nebylo lepší prostě ten účet (pokud nepatřil nějakému činnému RW) prostě smazat, případně změnit heslo rovnou v začátku, nechystat žádné volavky, zabezpečit systém proti různým hackrům a bylo by to daleko lepší, než dělat podobné pasti, na které nakonec jak vidíme na příkladu tomto a na příkladech Chroustání chřástala nakonec doplácí RW a normální kačeři, protože tím ztrácí hromady času...

[Saturnin]

Tedy nestačím se divit, co se zase děje. A to jsem vás tady nechal chvíli o samotě Opět se potvrdily dvě věci: že je systém GS příliš křehký a příliš nepočítal s útoky tohoto typu a že průšvih opět pramení z jedné maličké zemičky uprostřed Evropy. Jen nevím, jestli je to dobrá cesta ke zviditelnění. Jsem zvědav, jak to dopadne. Zas tak podrobně jsem celé vlákno nepročetl, abych zjistil, jak byl pachatel odhalen.

[kolombo]

Obávám se, že problém je v tom, že GS nebude mít dozor typu 7*24 a tak chvilku trvalo, než zabral příslušný človíček a začal reagovat. A nepředpokládám, že by zrovna u GS měli uživatelé práva blokovat přístup uživatelů na stejném levelu zabezpečení, takže těžko lze vypnout z úrovně RW jiného RW :-( Ale u Chřástala jsem se tu už ptal, jak je to s úrovní hesel u RW a jestli je musí pravidelně měnit. Odhaduji, že asi ne, to byl totiž první náznak, že něco nehraje v přístupech do databáze :-(

[kolombo]

Saturnin napsal/a:
......
Opět se potvrdily dvě věci: že je systém GS příliš křehký a příliš nepočítal s útoky tohoto typu a že průšvih opět pramení z jedné maličké zemičky uprostřed Evropy. Jen nevím, jestli je to dobrá cesta ke zviditelnění.
.......

Nemyslím, že by to byl právě problém ČR.

Náš problém byl v tom, že se tu našel blbeček, který neunesl to, že může, a použil práva RW k narušení systému.

Pokud by zůstalo u využití k řešení mysterek a generovaní logů typu: "Matematicky jsem nasimuloval ....", tak jim to mohl fungovat ještě dlouho.

Doufám, že se z toho na GS poučí v přístupu k bezpečnosti. Pokud by heslo platilo 3 měsíce, jak je normální, tak to takhle prostě není možné !!!

[Sopdet Reviewer]

Aviatik napsal/a:
Jenom technický dotaz: Reviewer může opravdu editovat jakýkoliv listing?

Ano a muzeme delat vse krom nahravani obrazku a treba ja to rekneme dost vyuzivam, pokud najdu treba jen diakritiku a zjistim ze vse je OK, tak to opravuju za ownera a poustim ..

[Dain & Olik]

Saturnin napsal/a:
je systém GS příliš křehký a příliš nepočítal s útoky tohoto typu

ja bych to spis definoval, ze system je hlavne odflakly. a hlavnim smyslem GS je nic nedelat. viz treba feedback - z jeho cteni a prace potencialne vyplyvajici z navrhu se museli pravidelne opupinkovavat, nez ho radsi zrusili .

[Hamaci]

kolombo napsal/a:
Náš problém byl v tom, že se tu našel blbeček, který neunesl to, že může, a použil práva RW k narušení systému.

Mně přijde smutné spíše to, že se o prozrazení hesla ví už dlouho a nikdo to neoznámil.
Autority to prý jen tušily, a jak je vidět, tak problém podcenily.
Bylo jen otázkou času, kdy se heslo dostane k někomu, kdo to zneužije podobným způsobem.
No nic, záškodník nám zboural pár báboviček, ale my si zase postavíme nové .

[Sopdet Reviewer]

2 Hamaci: vim ze nase zprava je povrchni, ale ver ze GS to resil, RV a ostatni menili hesla a ve finale se zjistilo jak to tak byva ze se vlastne jedna o selhani jednoho jednotlivce, ktery rekneme na neco zapomel ...

[kolombo]

Sopdet Reviewer napsal/a:
2 Hamaci: vim ze nase zprava je povrchni, ale ver ze GS to resil, RV a ostatni menili hesla a ve finale se zjistilo jak to tak byva ze se vlastne jedna o selhani jednoho jednotlivce, ktery rekneme na neco zapomel ...

Pravidla na tvorbu a pravidelnou změnu hesla je možné nastavit už do systému. Pokud pro RW hesla platí totéž, co pro hesla běžných uživatelů, tak se nelze divit :-(

[gygant]

Taky mně přišlo, že ten problém trval hrozně dlouho, než se to začalo intenzívně řešit až při tom posledním megaprů***u. Ale asi se mně to snadno říká. Docela by mne zajímalo, kdo ještě dostal kromě Štvance banána za neoprávněné přístupy? Podle "tiskového prohlášení" vyplývá, že to bude nejen on, kdo ho dostane. A jak rozsáhlé vlastně to zneužívání bylo.

[Sopdet Reviewer]

OK, tohle si myslim ze muzeme rict, po vcerejsi komunikaci s GS je odstaveno celkem 15 uctu, z toho 8 aktivnich a mnohdy ne zacatecnickych, zbytek zrejme "fake" ucty ze to nekdo zkusil ... Z tech 8 je 6 ceskych, z tech 6 jsou 4 nejak spojeni se STVANCEM, ty 2 jsou jini lide ...