Po jedenaste, odwracaj głowę od luk bliźniego swojego
Ahh nie było mnie tu już trochę, zapał opadł, doszły nowe obowiązki na forum, sporo pracy zarobkowej i blog leży. Niezupełnie oczywiście, bo nowa wersja na localhost już dawno jest gotowa, wersja z podziałem na devbloga i doxabloga. Ten ostatni to wydzielone miejsce na rzeczy nie związane z programowaniem. Dobrze, przejdę do rzeczy. Dzisiejszy tekst jest sponsorowany przez literki W, T i F, dlatego pojawia się jako kolejny wpis z moimi opiniami, choć tym razem porusza temat internetu. Od kilku dni szeroko komentowany jest wyciek danych osobowych aplikantów do banku Pekao S.A. Mam do samego wydarzenia jak i do reakcji, które on wywołał poważne uwagi, głównie natury etycznej.
Istnieją dwie wersje wydarzeń. Pierwsza z nich mówi o włamaniu i zmianie konfiguracji serwera www w firmie Possum Comunication w wyniku której dane stały się publiczne. Druga winą obarcza wspomnianą firmę, której pracownicy (programiści i/lub administratorzy) mieliby rzekomo nie zabezpieczyć wystarczająco serwera.
Moim zdaniem prawdopodobna jest hipoteza, że katalog ten został celowo wystawiony na potrzeby komunikacji z systemem banku. Ktoś pomyślał: przecież nikt nie zna adresu, co jest klasycznym przykładem zabezpieczenia poprzez utajnienie. Jak to mogło wyglądać w praktyce? Ano, serwer jak wiemy, nie wchodzi w skład systemu banku Pekao S.A, ale przecież jakaś wymiana danych musi istnieć, prawda? Pan X, pracownik banku pisze prosty skrypt kopiujący dane z serwera, lub po prostu używa aplikacji wget - metoda nie ma znaczenia - ważne jest, że potrzebuje dostępu do tego katalogu, a najprościej jest użyć protokołu HTTP. Pan Y w firmie Possum odbiera telefon
- Cześć Y, tu X - muszę skopiować cefałki, bo kadry mnie cisną, ale wywala mi 403
- Cześć, ok, czekaj, wywalę htaccess
- O, teraz działa, wiesz co? Zostaw to tak jak jest, bo może jutro też będę potrzebował zassać
- Dobra, nie ma sprawy
Prawda to? Nie wiem, to tylko teoria, ale niestety, stosowana w praktyce codziennie. Pal licho, jeśli to nie są dane wrażliwe.
Może też pani Zosia z kadr sama chciała ściągać i potrzebowała dostępu? Być może wystarczył jeden link do katalogu (dla Pani Zosii) i Google zrobiło swoje. Może te teorie nawet się uzupełniają, prawdy nie dojdziemy, chyba, że któryś informatyk opowie nieco o realiach pracy w obu firmach. To możliwe, bo teraz będą szukali kozła ofiarnego i pierwsze spadną głowy w Possum, a rozżaleni ludzie zechcą dokopać pracodawcom.
Dobrze, mamy obraz sytuacji, możliwe przyczyny "wycieku". Teraz czas na Pana Glucika, który w moim przekonaniu padł ofiarą polskiego prymitywnego prawa komputerowego, ale i chamstwa oraz braku wiedzy innych, również znanych ludzi.
Słyszałem i kimś, kto znalazł lukę w oprogramowaniu jednego z polskich sklepów z branży IT. Luka umożliwiała dokonanie prymitywnego wręcz ataku SQL injection i uzyskaniu dostępu do dowolnego konta użytkownika w sklepie. Żeby było zabawniej, to sklep obsługuje głównie firmy komputerowe, a firma, która go wykonała posiada kilometrowej długości listę certyfikatów (w tym bezpieczeństwa) od znanej firmy produkującej "malutkie programy". Znajomy ten chciał poinformować sklep o luce, bo trafił na nią przypadkiem, w ramach nauki o zabezpieczeniach i stara sie być uczciwym obywatelem. Niestety, wykorzystał ową lukę bez pośrednictwa proxy, co automatycznie zostawiało znajomego w łasce rzeczonej firmy, która mogła powiadomić policję o włamaniu. Miałaby do tego pełne prawo, niestety.
Co zrobił znajomy? Nic nie zrobił, luka ponoć wisi dalej - oto polskie prawo.
Pan Glucik postąpił inaczej, ale o dziwo, zdaje się, że nie złamał prawa.
Znalazł lukę przez wyszukiwarkę Google. Skoro otrzymał wyniki od wyszukiwarki, to chyba miał prawo je widzieć, prawda? Na chłopski rozum tak, bo jakim prawem ma podejrzewać, że osoby, których dane tam wiszą, nie wyraziły na to zgody? Mamy donosić na wszelki wypadek?
Co mogło powodować Glucikiem, że zdecydował się ujawnić to na swoim blogu? Ano, to samo prawo, które kierowało moim znajomym od sklepu - niechęć do zdania się na łaskę Pekao S.A i Possum Communication. Powiadomienie opinii publicznej jest obecnie najlepszym sposobem w tym kraju na załatwianie takich spraw. Za ludzki odruch, oskarża się Go teraz o "rozpowszechnianie informacji, do których nie miał prawa". Jak to nie miał prawa? Miał, bo były to dane upublicznione, koniec, kropka! Znajdując się w katalogu publicznym są dostępne dla wszystkich na całym świecie. Wina za rozpowszechnianie leży po stronie Pekao S.A i Possum Communication - niec sąd decyduje, na kim bardziej, ale Glucik w żadnym wypadku nie złamał prawa.
Tu przejdę do zawodu, jaki sprawił mi Krzysztof J. Szklarski publikując na swoim forum napisy.info nieprzemyślaną, chamską wręcz opinię. Krzysztofa Szklarskiego szanuję, bo jego walka z bezmózgowiem i nielegalnymi praktykami niektórych firm jest godna pochwały. Tym razem przegiął jednak i cała powaga, z jaką traktowałem Jego wypowiedzi zaczyna ulatywać, jak z przebitej opony. Pomijam już, że dał oręż do ręki tym, którzy z nim walczą. Parafrazując; zaczęło się pięknie, skończyło jak zawsze. Szkoda tylko, że długie ręce Szklarskiego dobiorą się do czterech liter Glucika - nie osobiście, ale pewnie przez osoby, których dane zostały upublicznione - będą pozwy zbiorowe. Pewnie nawet oskarżą Google. Tych firm mi nie żal, bo sa bogete i stać je na równorzędną walkę. Glucika niestety nie, wsparcie właściciela vagla.pl, który załatwił Glucikowi prawnika to i tak za mało. Zniszczą chłopaka, a reszta z branży już będzie wiedziała, że niech sie wali, niech się pali, ale miejmy w dupie innych i o lukach nie informujmy, bo (i tu wybaczcie, ze zmuszam do wysiłku) Summum ius, summa iniuria
P.S
Nie pisałem tego z kodeksem karnym w ręku, więc powyższe wypowiedzi nie są wykładnią prawa polskiego, należy je traktować raczej jako pobożne autora życzenia na rozumie oparte.
Istnieją dwie wersje wydarzeń. Pierwsza z nich mówi o włamaniu i zmianie konfiguracji serwera www w firmie Possum Comunication w wyniku której dane stały się publiczne. Druga winą obarcza wspomnianą firmę, której pracownicy (programiści i/lub administratorzy) mieliby rzekomo nie zabezpieczyć wystarczająco serwera.
Moim zdaniem prawdopodobna jest hipoteza, że katalog ten został celowo wystawiony na potrzeby komunikacji z systemem banku. Ktoś pomyślał: przecież nikt nie zna adresu, co jest klasycznym przykładem zabezpieczenia poprzez utajnienie. Jak to mogło wyglądać w praktyce? Ano, serwer jak wiemy, nie wchodzi w skład systemu banku Pekao S.A, ale przecież jakaś wymiana danych musi istnieć, prawda? Pan X, pracownik banku pisze prosty skrypt kopiujący dane z serwera, lub po prostu używa aplikacji wget - metoda nie ma znaczenia - ważne jest, że potrzebuje dostępu do tego katalogu, a najprościej jest użyć protokołu HTTP. Pan Y w firmie Possum odbiera telefon
- Cześć Y, tu X - muszę skopiować cefałki, bo kadry mnie cisną, ale wywala mi 403
- Cześć, ok, czekaj, wywalę htaccess
- O, teraz działa, wiesz co? Zostaw to tak jak jest, bo może jutro też będę potrzebował zassać
- Dobra, nie ma sprawy
Prawda to? Nie wiem, to tylko teoria, ale niestety, stosowana w praktyce codziennie. Pal licho, jeśli to nie są dane wrażliwe.
Może też pani Zosia z kadr sama chciała ściągać i potrzebowała dostępu? Być może wystarczył jeden link do katalogu (dla Pani Zosii) i Google zrobiło swoje. Może te teorie nawet się uzupełniają, prawdy nie dojdziemy, chyba, że któryś informatyk opowie nieco o realiach pracy w obu firmach. To możliwe, bo teraz będą szukali kozła ofiarnego i pierwsze spadną głowy w Possum, a rozżaleni ludzie zechcą dokopać pracodawcom.
Dobrze, mamy obraz sytuacji, możliwe przyczyny "wycieku". Teraz czas na Pana Glucika, który w moim przekonaniu padł ofiarą polskiego prymitywnego prawa komputerowego, ale i chamstwa oraz braku wiedzy innych, również znanych ludzi.
Słyszałem i kimś, kto znalazł lukę w oprogramowaniu jednego z polskich sklepów z branży IT. Luka umożliwiała dokonanie prymitywnego wręcz ataku SQL injection i uzyskaniu dostępu do dowolnego konta użytkownika w sklepie. Żeby było zabawniej, to sklep obsługuje głównie firmy komputerowe, a firma, która go wykonała posiada kilometrowej długości listę certyfikatów (w tym bezpieczeństwa) od znanej firmy produkującej "malutkie programy". Znajomy ten chciał poinformować sklep o luce, bo trafił na nią przypadkiem, w ramach nauki o zabezpieczeniach i stara sie być uczciwym obywatelem. Niestety, wykorzystał ową lukę bez pośrednictwa proxy, co automatycznie zostawiało znajomego w łasce rzeczonej firmy, która mogła powiadomić policję o włamaniu. Miałaby do tego pełne prawo, niestety.
Co zrobił znajomy? Nic nie zrobił, luka ponoć wisi dalej - oto polskie prawo.
Pan Glucik postąpił inaczej, ale o dziwo, zdaje się, że nie złamał prawa.
Znalazł lukę przez wyszukiwarkę Google. Skoro otrzymał wyniki od wyszukiwarki, to chyba miał prawo je widzieć, prawda? Na chłopski rozum tak, bo jakim prawem ma podejrzewać, że osoby, których dane tam wiszą, nie wyraziły na to zgody? Mamy donosić na wszelki wypadek?
Co mogło powodować Glucikiem, że zdecydował się ujawnić to na swoim blogu? Ano, to samo prawo, które kierowało moim znajomym od sklepu - niechęć do zdania się na łaskę Pekao S.A i Possum Communication. Powiadomienie opinii publicznej jest obecnie najlepszym sposobem w tym kraju na załatwianie takich spraw. Za ludzki odruch, oskarża się Go teraz o "rozpowszechnianie informacji, do których nie miał prawa". Jak to nie miał prawa? Miał, bo były to dane upublicznione, koniec, kropka! Znajdując się w katalogu publicznym są dostępne dla wszystkich na całym świecie. Wina za rozpowszechnianie leży po stronie Pekao S.A i Possum Communication - niec sąd decyduje, na kim bardziej, ale Glucik w żadnym wypadku nie złamał prawa.
Tu przejdę do zawodu, jaki sprawił mi Krzysztof J. Szklarski publikując na swoim forum napisy.info nieprzemyślaną, chamską wręcz opinię. Krzysztofa Szklarskiego szanuję, bo jego walka z bezmózgowiem i nielegalnymi praktykami niektórych firm jest godna pochwały. Tym razem przegiął jednak i cała powaga, z jaką traktowałem Jego wypowiedzi zaczyna ulatywać, jak z przebitej opony. Pomijam już, że dał oręż do ręki tym, którzy z nim walczą. Parafrazując; zaczęło się pięknie, skończyło jak zawsze. Szkoda tylko, że długie ręce Szklarskiego dobiorą się do czterech liter Glucika - nie osobiście, ale pewnie przez osoby, których dane zostały upublicznione - będą pozwy zbiorowe. Pewnie nawet oskarżą Google. Tych firm mi nie żal, bo sa bogete i stać je na równorzędną walkę. Glucika niestety nie, wsparcie właściciela vagla.pl, który załatwił Glucikowi prawnika to i tak za mało. Zniszczą chłopaka, a reszta z branży już będzie wiedziała, że niech sie wali, niech się pali, ale miejmy w dupie innych i o lukach nie informujmy, bo (i tu wybaczcie, ze zmuszam do wysiłku) Summum ius, summa iniuria
P.S
Nie pisałem tego z kodeksem karnym w ręku, więc powyższe wypowiedzi nie są wykładnią prawa polskiego, należy je traktować raczej jako pobożne autora życzenia na rozumie oparte.
http://napisy.info/forum/lofiversion/index.php?t129612.html
Ehhh, pan Krzysztof J. Szklarski cały czas wyzywa innych użytkowników jego forum, banuje ich za byle co i straszy prokuraturą. Regulamin mówi, że użytkownik ma prawo wykasować swoje dodane napisy, a po tym stwierdza, że prawo karne i cywilne jest ważniejsze. Prawo jest ważniejsze od regulaminu "jakiegoś portaliku" jak sam p. Szklarski stwierdził, ale przecież nie ma żadnego dowodu, że dany użytkownik złamał prawo (to tylko podejrzenia). To tak jakby powiedział, że regulaminu nie ma sensu czytać, bo i tak znajdzie coś w kodeksie. Bezsens. http://prawo.vagla.pl/node/7908 Pan Szklarski IMO zaprzecza samemu sobie - walczy o prawa tłumaczy, a później występuje przeciwko nim.