[pokerstjärna]

Citat:

Ursprungligen postat av Westman

Citat:

Det första jag kommer att tänka på är naivitet. Tyvärr är det så att om man försöker uppmärksamma företag/myndigheter/organisationer på att de har säkerhetsproblem så händer i de allra flesta fall en av tre saker:
- De ignorer allt vad man har att säga och problemet kvarstår
- Man får en rejäl utskällning men problemet kvarstår
- Man blir anklagad för att försöka göra/ha gjort intrång och hotas med polis etc. oavsett om man ens gjort intrång eller bara märkt att säkerheten inte fungerar

De erfarenheterna är jag inte ensam om att ha, Danski verkar ha fått liknande erfarenheter och jag vet massor med folk runt om i världen som säger samma sak. Nu var det ju tämligen länge sen jag pillrade med andras burkar olovandes men vissa saker förändras inte. Jag har dock insett att nyfikenhet och upptäckarglädje inte ses med blida ögon av andra och har därför ändrat lite på mig själv.

Jag förstår Danski och dig!

Men låt säga att jag kontaktar ett företag och säger att det finns en säkerhetsbugg i deras system.

Om dom skiter i mig och låter problemet kvartså

Ja, då får dom skylla sig själva.

Om dom väljer att hota med polis

Då får dom göra det.


Väljer dom att skälla ut mig

Då skäller jag tillbaka!!

Så resonerar jag :angry:

[Xamda]

Det kan bara finnas en anledning till att INTE gå till myndigheterna i Sverige. Det är att man vill ha upmärksamheten för det man åstadkommit.

Det är helt befängt att tro att du skulle få problem av den magnitud du nämner om du visade på hur omfattande detta problem är och dessutom visade hur.

Det finns en rad kanaler som man använda sig av, men denna verkar väl, i mina dunkla ögon, vara den minst begåvade... Såvida man inte är ute efter "cred" för det man lyckats med och gillar att bada i strålkastarskenet.

För övrigt, efter att ha läst lite artiklar, varför publicerar du detta på det sätt du gör och inte under ditt eget namn om det nu är så legitimt? Suck...

Dessutom kan jag ju se hur massor med företag nu vill anlita dessa "säkerhetstjänster". Not.

Efter att ha publicerat detta, vad kan inte en säkerhetskonsult hitta på i nästa steg, insläppt i mer skyddade delar? Publicera vad för något? Suck.

[Westman]

Snabbaste sättet att få sakerna åtgärdade är publicitet - myndigheter är inte snabba om de ens lyssnar vilket de sällan gör. Att det sen även ger andra effekter, ja det är väl inget konstigt.

[Alpha]

Vad tror ni de som loggat in och laddat hem epost kan få för problem?

[Danski]

Citat:

Originally posted by Xamda@Aug 31 2007, 09:33
Det kan bara finnas en anledning till att INTE gå till myndigheterna i Sverige. Det är att man vill ha upmärksamheten för det man åstadkommit.

Det är helt befängt att tro att du skulle få problem av den magnitud du nämner om du visade på hur omfattande detta problem är och dessutom visade hur.

Myndigheterna i Sverige är fortfarande mycket svalt intresserade trots uppmärksamheten. Ska vi gissa hur intresset hade varit innan? Större eller mindre? Fortfarande döva öron man talar till men det är klart att vi har en övertro på att våra myndigheter faktiskt ska lyssna.

Citat:

Det finns en rad kanaler som man använda sig av, men denna verkar väl, i mina dunkla ögon, vara den minst begåvade... Såvida man inte är ute efter "cred" för det man lyckats med och gillar att bada i strålkastarskenet.

Javisst, ge förslag på en av alla dessa massor kanaler... lovar att använda det nästa gång =)

Citat:

För övrigt, efter att ha läst lite artiklar, varför publicerar du detta på det sätt du gör och inte under ditt eget namn om det nu är så legitimt? Suck...

Öhhh? Mitt namn står på sidan hur tydligt som helst, dessutom mitt hemnummer :-p

Citat:

Dessutom kan jag ju se hur massor med företag nu vill anlita dessa "säkerhetstjänster". Not.

Ojdå, vad säljer jag? Är det nått bra? Jag säljer inga tjänster eller något annat för den delen.


Får mig att undra, har du ens tittat på sidan då du tydligen tror jag säljer något och att jag inte står med namn? Tror du fortfarande att myndigheterna skulle hjälpa mig med tanke på deras övervälmande intresse i frågan? Har du någon erfarenhet av detta?

[grazzy]

Varför släppte du inte hålet istället för listan Danski? Det är ju faktiskt så man brukar göra. Nu bevisar du ju bara för alla (antar jag här..) att du faktiskt har utnyttjat ett säkerhetshål och eventuellt gjort intrång?

[Danski]

Citat:

Originally posted by grazzy@Aug 31 2007, 14:28
Varför släppte du inte hålet istället för listan Danski? Det är ju faktiskt så man brukar göra. Nu bevisar du ju bara för alla (antar jag här..) att du faktiskt har utnyttjat ett säkerhetshål och eventuellt gjort intrång?

Det har jag faktiskt inte ens tänkt på :huh: Det är inte ett hål i den benämningen varav det inte slått mig. Helt klart en vettig synvinkel!

Men frågan är om hur det skulle tas emot. Man kan bara spekulera men jag tror inte det skulle ha fått dem att ändra rutin, speciellt med tanke på hur de har agerat nu.
De bytar inte ens lösenord trots att alla vet om problemen. Lösenorden ifrågasattes tills det att någon skogsmulle loggade in och publicerade vad som hittades, troligen skulle samma sak hända med en publicering av hålet:
Tills dess att någon använde "hålet", fick uppgifterna, loggade in och publicerar lösenord och dokument så tar inget det på allvar.

Och igen hamnar allt i samma sitts...

[JonathanS]

Danski har en anmärkningsvärd och imponerande bredd. Han har gått från att försöka "hjälpa" folket på Nuie att ta över .nu domänen till att "hacka ambassader". Det ska bli spännande att se vad han hittar på härnäst.

[melin]

Mjo.. Danski har en poäng faktiskt

I mina yngre dagar så satt jag och hade mina asp-sidor på ett gratis webhotell för just ASP (man fick även ha en access databas)

Till saken hör den att jag upptäckte att jag kunde kika in i alla andra konton med hjälp av Server.MapPath kommandot.. samt öppna/ladda ner deras filer (även de i DB mappen som ska vara "säker" för intrång)

Jag mailade dom om detta med en skärmdump, min kod osv (detta är en kod som vilken asp-knackare som helst kan göra) och inväntade svar.

Fick inget.. såg dessutom att min kod fortfarande fungerade.

Så.. jag "saboterade" helt enkelt ca 500 konton genom att kasta in lite random textfiler i vardera..

Och sen berättade jag för dom hur jag gjorde, igen..

Den här gången fick jag svar

[Danski]

Citat:

Originally posted by JonathanS@Aug 31 2007, 14:55
Danski har en anmärkningsvärd och imponerande bredd. Han har gått från att försöka "hjälpa" folket på Nuie att ta över .nu domänen till att "hacka ambassader". Det ska bli spännande att se vad han hittar på härnäst.

Eller ingen hobby :-p sticka vantar var tråkigt