12:35
1/4/2019

Jak zapewne się już teraz domyślacie, nasz dzisiejszy artykuł o wycieku danych na temat 30 milionów Polaków był żartem na Prima Aprilis. Poniżej tłumaczymy jak sprawiliśmy, że każdy w artykule widział wyciek ze swojej firmy lub od swojego dostawcy łącza internetowego.

Wasze dane NIE wyciekły, ale służby i tak mają do nich dostęp :P

Na wstępie uspokajamy: żadne Wasze dane oczywiście nie wyciekły (a przynajmniej nie tym razem). Ani NCBC ani MON ani inna “wojskowa formacja” nie zostawiła na serwerze publicznie dostępnej bazy z 30 milionami osób.

Chcielibyśmy też napisać, że służby w Polsce, nie zbierają i nie mają dostępu do takiego zakresu danych, jakiego opisaliśmy w artykule, ale …nie byłaby to całkowicie prawda :)

Zacznijmy więc od przypomnienia, że służby (nie tylko w Polsce) na mocy prawa (to ważne!), mają możliwość ustalenia Waszych danych osobowych, a także poproszenia Waszego dostawcę łącz internetowych i/lub serwisy z usług których korzystacie o informacje, jakie te podmioty mają na Wasz temat. I nie jest to nic złego — takie możliwości służby i organy ścigania powinny i muszą mieć. Oczywiście należy kontrolować, czy nie dochodzi do nadużyć, ale to temat na inny artykuł.

Co służby pozyskać mogą z serwisu internetowego?

Podsumowując, polskie służby działające na mocy prawa, mogą uzyskać m.in.:

  • Wasz login w danej usłudze
  • Czasy logowania do danej usługi
  • Adresy IP założenia konta (lub używane do logowania)
  • Podane przez Was dane kontaktowe (e-mail, nr telefonu, adres zamieszkania)
  • Użytą metodę płatności (np. adres PayPall, BTC, lub numer karty)
  • A także inne charakterystyczne dla danego serwisu informacje (np. z kim czatowaliście).
Mówiąc ściślej, służby mogą uzyskać i przetwarzać dane telekomunikacyjne, czyli metadane o naszych połączeniach (określone w art. 180c i art. 180d Prawa telekomunikacyjnego) dane pocztowe, czyli dane o świadczonych usługach pocztowych i ich użytkownikach (określone w art. 82 ust. 1 pkt 1 Prawa pocztowego) i wreszcie dane internetowe określone w art. 18 ust. 1–5 Ustawy o świadczeniu usług drogą elektroniczną. Każdej służbie daje do tego prawo odpowiednia ustawa np. w przypadku policji takie uprawnienie wynika z art. 20c Ustawy o Policji. “Dane internetowe” przetwarzane są od czasu kontrowersyjnej swojego czasu nowelizacji ustawy o Policji zwanej niegdyś ustawą “inwigilacyjną”.

To wszystko oczywiście jest możliwe pod warunkiem, że dane, których służby żądają są przez dany serwis logowane. Nie każdy serwis przechowuje przecież np. IP użyte do założenia konta.

Co służby pozyskać mogą od dostawcy internetu?

Natomiast od operatorów/dostawców internetu (tzw. ISP) służby otrzymać mogą jeszcze więcej informacji na Wasz temat:

  • Z jakich adresów IP korzystaliście i kiedy
  • Na jakie adresy IP i porty się łączyliście i kiedy (zgodnie z art. 180a Prawa telekomunikacyjnego, dane te są dostępne za ostatnich 12 miesięcy — nie jest to tożsame z URL-ami odwiedzanych stron, ale często na podstawie tych danych można dość precyzyjnie to ustalić)
  • Jaki dokument okazaliście przy podpisaniu umowy
  • Pod jakim adresem świadczona jest usługa
  • Jaki adres sprzętowy ma Wasza karta sieciowa routera (a od osób, które korzystają z routerów zarządzanych przez ISP, także jakie adresy MAC mają wszystkie urządzenia w Waszej sieci domowej podpięte do routera)
  • W przypadku operatorów GSM możliwe będzie również ustalenie parametrów połączenia do BTS-ów, które pozwolą określić przybliżone miejsce Waszego przebywania w danym czasie.

Ale to nie koniec. Jeśli służby zwrócą się do ISP z zatwierdzonym przez sąd wnioskiem o kontrolę operacyjną (czyt. podsłuch), to cały Wasz ruch internetowy / telekomunikacyjny może być zgrywany i analizowany, a w niektórych przypadkach służby mają także możliwość “uzyskiwania danych zawartych na urządzeniach końcowych” co w uzasadnieniu wyjaśniono jako instalację złośliwego oprogramowania na czyimś komputerze (por. Art. 19 Ustawy o Policji i ten artykuł sprzed roku).

Nie powinieneś mieć powodu do paniki

Jednym słowem, jeśli obawiasz się służb specjalnych, to słusznie czujesz przed nimi respekt :) Bo prawdopodobnie nie dasz rady przed nimi “uciec”, o ile tylko będą zmotywowane aby Cię dopaść. Środki techniczne i zdolności ku temu mają — inna sprawa, czy zawsze odpowiednio z nich korzystają.

Tylko czy na pewno służby są Tobą zainteresowane? Dlaczego miałbyś być na ich celowniku? Większość ludzi nie jest. Nie powinieneś obawiać się służb, a bo one w sprawnie działającym państwie interesują się co do zasady tylko tymi, którymi służby jak najbardziej powinny się interesować.

Podsumowując, nikt inny “nielegalnie” danych obywateli nie powinien pozyskiwać (oczywiście z zastrzeżeniem, że każdy pracownik każdej firmy, która przetwarza Twoje dane jest etyczny, a tak niestety nie jest).

Ale ja jestem nieufny…

Jeśli jednak masz wrodzoną nieufność (przydatna wartość!) lub po prostu cenisz sobie prywatność i chciałbyś utrudnić zbieranie informacji na Twój temat przez operatora, dzięki czemu niczego nie przekaże na Twój temat ani w odpowiedzi na zapytanie służb ani w przypadku gdyby do jego systemu zajrzał wścibski pracownik lub włamywacz, to jedyne co ma sens, to korzystanie z VPN-a. Ta nasza rada z prima-aprilisowego artykułu była jak najbardziej serio.

“Przed inwigilacją od strony operatorów (lub kogoś kto monitoruje twoje łącze internetowe) zabezpieczyć możesz się w zasadzie tylko w jeden sposób — korzystając z VPN-a. Wiele już o VPN-ach pisaliśmy w poprzednich artykułach, więc do nich odsyłamy. Przytaczaliśmy tam porównanie kilkudziesięciu różnych VPN-ów, płatnych i darmowych, ale jeśli nie macie czasu czytać i porównywać, to skorzystajcie z tego VPN-a, z którego i my korzystamy, czyli NordVPN. To najlepszy z najtańszych, pozwalający jedną licencją objąć sprzęt wszystkich domowników (do 6 urządzeń), mający potwornie dużo serwerów praktycznie każdym kraju, co pozwala Wam wyjść na świat przez Portugalię, Rumunię, Islandię, Mołdawie czy Albanię, wedle uznania. Jest szybki, pozwala na torrenty i Netfliksa, ale co najważniejsze ma stabilnie działające, wygodne i proste w obsłudze aplikację zarówno na Windows, macOS, Linuksa, iPhona jak i Androida. Nam i setkom innych działa, ale gdyby Tobie nie zadziałał, to możesz go do 30 dnia od zakupu zwrócić bez kosztów, warto wziąć go na testy.”

Dobra, dobra, ale jak żart działał od strony technicznej?

Żart, jak zauważyliście, polegał na tym, że w trzecim akapicie tekstu wymieniona była firma, której użytkowników miano podsłuchiwać przez monitoring łącz.

Dla każdego Czytelnika firmą tą była firma, z której usług dostępu do internetu on korzysta, albo wprost firmą, w której on pracuje.

Jak to możliwe? Nasz skrypt na stronie, kiedy czytaliście artykuł, sprawdzał bazę WHOIS pod kątem Waszego adresu IP. Z bazy WHOIS wyciągał dwie informacje — nazwę firmy (org-name), która była podana jako właściciel Waszego adresu IP oraz miasto z adresu firmy. Dane te były dynamicznie (w kolorze czerwonym) wstawiane w artykuł. Warunkiem oczywiście było to, aby Czytelnik miał włączoną obsługę JavaScript.

Podsumowując, Ci z Was, którzy z firmowego łącza, pracując w firmie np. Firmex Sp. z o.o., weszli na nasz artykuł, widzieli że to z łącz Firmex Sp. z o.o. zebrano dane. Ci, którzy pracowali w Spółex Sp. z o.o., widzieli że dane pochodziły z nasłuchu łącz Spółeksu.

Tak, każdy kogo stronę odwiedzicie ma dostęp do tych informacji (wyróżnionych na czerwono), które widzieliście w naszym primaaprilisowym artykule. Niektórych mocno zaskoczyło, że nie są tak anonimowi w internecie jak im się wydaje…

Ale jeśli tylko ktoś doczytał artykuł do końca, to miał wiele okazji, aby przekonać się, że coś tu nie gra. Oto krótki poradnik Fact-Checkinu, Fake-News-Spottingu i generalnie krytycznego myślenia, na przykładzie naszego poprzedniego artykułu:

  1. Umieściliśmy screen ze starego wycieku danych, który już kiedyś był na naszym serwisie (por. Wyciekła baza sklepu kibiców). Robiąc fact-checking warto sprawdzać obrazki za pomocą odpowiednich wyszukiwarek — czy rzeczywiście są tak “świeże” jak podaje artykuł.
  2. Powołaliśmy się na nieistniejący raport serwisu speedtest.pl, dorabiając historię, że czerwony kolor kółek z pomiarem prędkości oznacza ich spadek w stosunku do pomiaru z poprzedniego miesiąca. Weryfikując materiały prasowe zawsze docierajcie do źródła: raportu, wypowiedzi, stenogramu z konferencji i tam sprawdzajcie liczby, wartości. Dziennikarze, także dużych mediów, niestety, często nie piszą w oparciu o źródło pierwotne a bazują na celowo lub przypadkowo przekłamanych opracowaniach. Jak takie niewinne przekłamania działają w praktyce możecie zauważyć obserwując zabawę w głuchy telefon. Świetnie ilustruje to ten filmik:

  3. Nie wskazaliśmy żadnej podstawy prawnej, która umożliwiałaby NCBC wymuszenia na ISP przechwytywania ruchu poprzez wpinanie swoich serwerów in-line. Każde działania organów państwowych muszą być realizowane w oparciu o zapisy prawne. Warto więc zweryfikować, czy “prawo na to pozwala”.
  4. W tekście przywołaliśmy same anonimowe źródła. Choć na tej podstawie nie powinno się oceniać wiarygodności (niektórzy informatorzy muszą niekiedy pozostać anonimowi), to teksty pisane wyłącznie na podstawie źródeł bez twarzy powinny być traktowane z dużą ostrożnością.
  5. Aby zyskać podświadome “potwierdzenie”, że to co piszemy jest prawdą, odwołaliśmy się do czegoś, co zdarza się często (chwile przerwy w dostępie do sieci, odczucie spowolnienia) i o czego większość na pewno doświadczyła. Ale przecież występowanie tych zjawisk nie powinno być dla nikogo dowodem na poparcie stawianej w artykule tezy. Fake newsy często mieszają prawdę i oczywiste oczywistości z fałszem. Dzięki temu trudniej się je podważa, “no bo przecież ten akapit to sama prawda!”. Ale inny może być już kłamstwem…
  6. Wrzuciliśmy zdjęcie urządzenia, które w rzeczywistości było …zdjęciem zasilacza UPS. A jak ktoś zajrzał w metadane tego zdjęcia, to zobaczył, że zostało ono zrobione pod adresem “Április 4. u. 1” :-) W metadane zawsze warto zaglądać.

  7. Adres IP serwera zasysającego dane, czyli 155.138.234.34 faktyczne w RevDNS ma domenę “collector1-redis.ncbc.mon.gov.pl.” ale co z tego, skoro to nasz serwer i mogliśmy mu ustawić taki RevDNS jaki chcemy — każdy, kto jest właścicielem adresu IP może ustawić sobie RevDNS na dowolny. Nawet na niebezpiecznik.pl. Ale to nie znaczy, że choć on wskazuje na nas, to nasza domena będzie wskazywać na jego adres IP ;) Taka techniczna weryfikacja wymaga wiedzy, dlatego warto konsultować artykuły z dziedzin, w których nie jesteśmy ekspertami z …ekspertami z tych dziedzin :)
  8. Pierwsze litery wymienionych w poradzie krajów końcówek VPN-ów (Portugalia, Rumunia, Islandia, Mołdawia, Albania) składają się na słowo “PRIMA”, a rozmiar bazy to 1.4 TB, podobnie jak i liczba rekordów z tajną wiadomością (1.400.000).
  9. No i wreszcie sama zagadka, była spoilerem. Po zdekodowaniu z Base64, prezentowała następujący tekst:

    Być może się domyślasz, a może wiesz już na pewno, że ten artykuł nieprzypadkowo został opublikowany właśnie dziś. Spójrz w kalendarz. A teraz spójrz w kod HTML tego wpisu. Treść na czerwono jest dynamicznie podstawiana. Dla każdego czytelnika jest nią nazwa firmy, która znajduje się we w bazie WHOIS dla adresu IP, z którego czytelnik nas odwiedza. Jeśli więc chcesz z kogoś zażartować, możesz prześłać mu link do naszego artykułu, z informacją np.: “stary, chyba mieliście niezły wyciek, niebezpiecznik o was pisze!”, o ile oczywiście jesteś pewien, że na artykuł Twój znajomy wejdzie z firmowego adresu IP, który we WHOIS ma podaną nazwę jego firmy, a nie “Neostrada”, czy wskazanie innego ISP, bo wtedy to zamiast nazwy jego firmy pojawi się w artykule. Wszystkiego najśmieszniejszego! ;) Aha, gratulujemy czujności, ale nie psuj zabawy innym i nie ujawniaj w komentarzach, że to żart. Na wyjaśnienia przyjdzie czas :-)

Mamy nadzieję, że część z Was, pomimo tak oczywistych wskazówek, że to fake-news, jednak wkręciliśmy. Jeśli nie — miejcie się na baczności za rok :) Żart planowaliśmy dociągnąć do 15:00, jak zwykle wrzucając kilka dodatkowych podpowiedzi i zagadek. Ale zainteresowanie artykułem przerosło nasze oczekiwania i liczbę zapytań API do WHOIS wystukaliście do limitu już o 10:40. Dlatego obecnie w artykule na sztywno pojawia się “XXX”. A planowane podpowiedzi i zagadki zostawimy sobie na za rok ;)

Jutro opis Waszych reakcji

Jutro (bo jest tego sporo) opublikujemy artykuł z reakcjami (e-mailami, telefonami i komentarzami) jakie w sprawie tego artykułu nam przesyłali i Ci, którzy się nabrali i Ci, którzy nabrać się nie dali. Na plus zaskoczyły nas telefony od dziennikarzy, którzy nie przepisali bezmyślnie artykułu w swoich mediach, a dzwonili aby *zweryfikować*, czy wiadomość nie jest żartem. Szacunek! Choć odrobinkę smuci, że dla dziennikarzy nie było to oczywiste. Ale to zwróćcie uwagę, że tych dziennikarzy, którym brakowało wiedzy technicznej do samodzielnego wykrycia żartu, uratowało to, że trzymają się zasad (czyli potwierdzają wiadomość).

Na adres do weryfikacji napisało do chwili publikowania tego artykułu 1073 osoby, około 100 wysłała nam maile w inne miejsca i odebraliśmy też kilkanaście telefonów. Podsumowanie jutro.

PS. Aha, jakby ktoś się zastanawiał, czy sekcja o rozszywaniu HTTPS jest prawdziwa i firmy faktycznie robią to swoim pracownikom, to TAK. W tym akapicie nie było ani słowa żartu. Więc jeśli tego jeszcze nie zrobiliście, to polecamy sprawdzić jak z Waszego firmowego łącza wyglądają certyfikaty HTTPS do znanych serwisów HTTPS z których korzystacie. Instrukcja poniżej:

PPS. Jest jeszcze jeden easter egg w artykule prima aprilisowym, którego tu nie opisaliśmy. Może ktoś znajdzie… :)


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

68 komentarzy

Dodaj komentarz
  1. A ja się zastanawiałem, czemu nazwę firmy blokuje mi noscript. :/

    • A u mnie pokazywało jakieś dane nijakie a teraz żeby noscripta wyłączyć :)

  2. I po zabawie :(

  3. Przyznaję, wkrecliscie mnie. Ale nie byłem do końca pewny czy to nie jest żart. Mi nazwa firmy nie wyswietliła się wcale (nie wiem dlaczego).

  4. Mam nadzieję, że to dementi jest właściwym prima aprilisem.
    Cóż to za zwyczaj, by wyjaśniać sprawę jeszcze 1 kwietnia? Buuuu, panika fajna była. ;)

  5. A na iOS w Safari cały czas mi pokazuje bym wyłączył noscript więc to nie działa :/

  6. NoScrip, którego nie mam

  7. >zgodnie z art. 180a Prawa telekomunikacyjnego, dane te są dostępne za ostatnich 12 miesięcy
    W ustawie jest określony tylko minimalny okres przechowywania danych. Nigdzie nie ma ustawowego maksymalnego okresu. Wielu operatorów przechowuje wszystko od początku swojego istnienia.

    • Jeżeli tylko operator podlega obowiązkowi uzyskania poświadczenia bezpieczeństwa ABW, to ten limit wynosi 12 miesięcy co do dnia. I jest to ściśle kontrolowane.

    • Nie weryfikujesz u źródła! Doczytaj wspomniany Art. PT. Hint: słowo-klucz to “niszczyć”.

    • Nie zgodzę się z Tobą gdyż w ust. 1 pkt. 1 wyraźnie jest napisane, że dane objęte obowiązkiem retencyjnym mają być przechowywane 12 msc i z dniem upływu tego okresu powinny zostać zniszczone.

      Poza tym jakiemu operatorowi komercyjnemu operatorowi opłaca się trzymać te dane dłużej skoro musi za to płacić. W przypadku dużych operatorów to są miliony logów dziennie.

  8. Skąd przeświadczenie że popularne usługi VPN zlokalizowane bóg-wie-gdzie są lepsze od operatorów działających na mocno uregulowanym rynku?

    • tłumaczą to w podlinkowanym artykule. Odsuwasz ryzyko w inną jurysdykcję, gdzie polskie służby nie zapną “czarnego pudełka”, czy tam UPS’a ;]

    • no tak, ale mam tu na myśli prywatność jako taką a nie unikanie konsekwencji przestępstw

      w Polsce chyba trzeba mieć poświadczenie bezpieczeństwa

  9. Dobra, nabrałem się, mogłem się domyślić, nie zostaje nic innego jak plucie sobie w brodę i płacz że nabrałem się jak jakiś nieopierzony piekłam.

  10. Jak zobaczyłem zdjęcie portów tajemniczego urządzenia to myślę … zaraz przecież ja takie mam pod biurkiem :)

    • Fragment urządzenia z zewnątrz może być podobny.Gniazda kabli internetowych są podobne,a kablem kat 7 może już polecieć sporo danych.

  11. A mi wyswietlalo nieznaną mi firmę z Warszawy a ‘klikalem’ prawie 400 km dalej.

  12. Obstawiam, że to wszystko jednak była prawda — tyle, że teraz, zgodnie ze starą zasadą służb, trzeba się zapierać…

    ;-)

  13. Skrót do wyswietlenia parametrów strony to ctrl + shift + i , an nie ctrl + alt + I, chyba że chodziło o podgląd strony do wydruku :)

  14. napracowali się chłopaki, a użyli darmowego API.
    a wystarczy parę linijek żeby odpytywać prawdziwy whois i cache sobie trzymać w Redisie.
    oj.

    • a próbowałeś? bo my w robocie tak. Szybko wpadniesz w filtry i niektóre z serwerów ukrywają część informacji. Na taką skalę jak oni to robili to bezpieczniej jednak brać z api. Darmowych nie znam, ale płatnych trochę jest i działają stabilnie. Integracja prosta. Moim zdaniem szkoda czasu na dzierganie swoich zabawek i ryzyko że Cie serwer zastuffuje fejk danymi.

  15. Ja też się wskręciłem. Nawet posłałem Wam maila do weryfikacji :P

  16. Żart rozpoznałem już po tytule. Wymyślcie coś lepszego

    • Ale jesteś bystry!

  17. Z nazwą operatora (“Polkomtel sp. z o.o.”) trafiliście idealnie ale miasto “Warszawa” to hmmmm jednak spory kawałek od nas! Czyżby lokalizacja wg BTS nie zadziałała?

    • to nie jest lokalizacja po BTS, tylko po adresie IP – a sieci które nie posiadają własnej infrastrutktury światłowodowej (czyli wszystkie poza Orange) lubią ruch skupiać w jednym, centralnym miejscu – czyli najczęściej Warszawa. dlatego jako lokalizacja będzie podane W-w, a nie ta prawdziwa :))

  18. A odpowiedzi na e-mail nadal brak

  19. Ja liczyłem, że na waszym mailu weryfikacja zostanie ustanowiony autoresponder i odeślecie mi wiadomość, że to żart :) Szybciej i bez sprawdzania exifów

    • też tak myślałem dlatego spróbowałem z drugiego e-maila ale nie dostałem odpowiedzi :(

  20. “takie możliwości służby i organy ścigania powinny i muszą mieć” jednak jednocześnie nie są w stanie jej mieć ze względów technicznych
    chyba że w celu łapania script kiddies i innych “groźnych przestępców” na podobnym poziomie

  21. jak sie czyta te metadane zdjec?

    • EXIF

  22. “klienci jak i pracownicy firmy (ze względu na ochronę przed robotami musisz mieć wyłączonego NoScripta aby to zobaczyć). Ta firma, wedle naszych informacji ma oddziały w kilku miastach, ale najwięcej danych wyciekło odnośnie użytkowników z miasta Warszawy.”
    eh, słabo coś wam działa
    jakby to dobrze zrobić to te rzeczy byłyby wykonane po stronie serwera
    poza tym skoro ten sam kod obie dane pozyskiwał to dlaczego wywalił się tylko na jednej? i dlaczego się wywali, skoro żadnych nietypowych domen nie wycięło?

  23. “Na adres do weryfikacji napisało do chwili publikowania tego artykułu 1073 osoby, około 100 wysłała nam maile w inne miejsca i odebraliśmy też kilkanaście telefonów. Podsumowanie jutro.”

    wow 1k+ osób :D nice…

  24. Mogliście dopracowac jakis auto response na skrzynkę
    To była by już mega zajawka dla tych co sie wkrecili…..

  25. Na Firefoxie tej zakładki Security nie widzę ;(

  26. Dalem sie nabrac, ale tak naprawde tylko sprawdzilem fragment z rozszywaniem https :D
    Fajnie ze nawet w prima aprilis mozna sie czegos nauczyc :)

  27. 30 mln Polaków już mi nie pasowało.

  28. Nie wiem czy dobrze zrozumiałem –
    “Na jakie adresy IP i porty się łączyliście i kiedy” – przechowywane 12 miesięcy
    “Z jakich adresów IP korzystaliście i kiedy” – przechowywane na zawsze?

  29. No to widzę że szybko zadziałały władze, niestety teraz ten wyciek zostanie potraktowany jako żart a ten artykuł jest jedynie potwierdzeniem tego że w naszym kraju panuje cenzura i rząd ucisza ludzi którzy są niewygodni. Swoją drogą to bardzo wygodnie wyszło dla rządu że wrzuciliście ten artykuł dziś bo łatwiej było go zdyskredytować pisząc taki artykuł-autopoprawkę. Teraz jak mają kontrolę nad internetem to nie znajdziecie prawdziwych artykułów na ten temat w polsce… ale na świecie wszędzie o tym piszą!

  30. A mogliście dać do ściągnięcia exe (wam by zaufali) które przełącza na fullscreen i udaje ransomware :D to by były jajca :D

  31. Ja się nauczyłem, że jeżeli jakaś strona chce, żebym wyłączył NoScripta a nie ma z boku jakiegoś “Fork me…” gdzie można zapoznać się choćby z wcześniejszą wersją kodu (większość otwartoźródłowych aplikacji webowych tak robi), to nie ma przyjaznych zamiarów. Co wszystkim Internautom polecam.

  32. ja się nie nabrałem (ale czytam niebezpiecznika już od paru lat) – szkoda, że żart tak szybko się skończył, może więcej osób by się nabrało :) niestety ostatniego easter egga nie udało mi się znaleść, choć może znalazłem go wcześniej a teraz przestałem go zauważać

    PS: macie błąd w pierwszej sekcji (co służby mogą) -> PayPall zamiast PayPal

  33. Na szczęście “zwykli śmiertelnicy” nie mają możliwości namierzania odwiedzających ich stronę przy pomocy BTS. Można namierzyć po IP tylko, że z dokładnością różnie, adresu zamieszkania nie dostaniesz z żadnego API.
    Z doświadczenia wiem, że chyba najmniej dokładne jest lokalizowanie zmiennych adresów IP przydzielanych przez sieci komórkowe. Łatwiej jest, gdy masz stały adres, ale i tak może być błąd w miejscowości, zależy też jakie API.
    Można się pobawić na https://www.iplocation.net/

  34. Trochę się pospieszyliście, bo wchodzę dziś na niebezpiecznika i są już oba artykuły :(

  35. Warunkiem oczywiście było to, aby Czytelnik miał włączoną obsługę JavaScript

    Chciałoby się myśleć, że wiekszość czytelników tej strony ma WYłączoną obsługę JavaScript, jednak sądząc po ilości komentarzy, jestem w mylnym błędzie :/

    • Cloudflare na wejściu wymuszał JS / bez tego nie przepuszczał na serwer :)

    • Wirtualizacja jest do przeglądania internetu bardziej sensowna. Pewnie,że można przeglądać strony z noscriptem wszędzie,ale przy dzisiejszych stronach połowa treści jest przez to wykastrowana.

    • Cloudflare wymuszał nie tylko js, ale i ciastka… od razu zaśmierdziało :)

    • @Piotr – CF przepuszcza z włączonym NoScriptem(+ uMatrix). Przekerowanie trwa dłużej i następuje “weryfikacja” przeglądarki.
      Skrót nazwy firmy był wtedy (o ile mój RAM nie ma błędów CRC) LGBT – ale pełnej nazwy teraz nie powtórze (L G B Telecom).
      Taki mix faktów, półprawd i insynuacji godny telewizji narodowej (chodzicie na te same zajęcia ;-) ?)
      1.04 dał się wyczuć od początku.
      Gratki

  36. Ale ja pobrałem tą bazę…

    • Ja też. Ale co w tym dziwnego skoro baza była publicznie dostępna.

  37. Przeczytałam, w telefonie w “artykułach dla ciebie”. Przyznaję można było się nabrać, tyle, że dość prymitywne infantylne jak całe to “święto”. Mam poczucie humoru, także na swój temat, to mnie jednak nie bawi. Może miast tego pseudo-święta czas zacząć obchodzić coś bardziej inteligentnego i na czasie.

  38. Witam. Ostatni znaleziony easter egg wysłałem Wam ekipo nbzp przez formularz kontaktowy.
    Pozdrawiam.

    • Ponoć lubicie wyzwania :)

  39. Kochanieńcy, moglibyście wymyślić bardziej sensowne wytłumaczenie. Po przeczytaniu tekstu „(ze względu na ochronę przed robotami musisz mieć wyłączonego NoScripta aby to zobaczyć)” od razu sobie pogratulowałem stałego włączenie NoScripta i oczywiście nie miałem zamiaru go włączać.

  40. Co do tego reklamowania wszędzie VPN jako najlepszego środka na zachowania anonimowości to myślę że warto by dodać że te dane, które VPN ukrywa przed dostawcą internetu i tym samym może ukryć przed służbami to z kolei ujawnia je dostawcy VPN. Co więcej sami przekazujemy mu te dane dodatkowo płacąc mu jeszcze za to, a w zamian otrzymujemy wolniejszy internet oraz poczucie anonimowości. Choć z tą anonimowością to tak na prawdę tylko kwestia zaufania, komu bardziej ufamy – czy dostawcy internetu i organom państwowym czy dostawcy VPN.

  41. Motyw z firma i miastem u mnie nie dzialal. Czyzby adblock? :?

  42. Podstawa prawna: “podobno ktoś widział na stronie trzymanej u was porno z nieletnimi, trzeba będzie serwery zatrzymać i przewieźć do ekspertyzy… chyba że nam pójdziecie na rękę.”

    A główny realizm wynikał z tego, że tenkraj nie kontroluje policji jawnych, tajnych i dwupłciowych w ogóle, więc pomysł wcale nie był szokujący.

  43. Wy tak poważnie, że tyle osób się na to nabrało?

  44. Bardzo mocno się staraliście, aż za bardzo a mimo to wątpię żeby jakakolwiek osoba, która ma minimalne obycie techniczne się na to nabrał.

  45. ctrl szift i, alty nie tym razem

  46. Czyżby żartem była notka, ze podacie statystyki dzień później? :P

  47. “odwołaliśmy się do czegoś, co zdarza się często (chwile przerwy w dostępie do sieci, odczucie spowolnienia)” – zadziałało ;) Ale i tak się pocieszam, że przed końcem artykułu się zorientowałem ;)

  48. u mnie zadziałało tylko miasto, firmy nie podało. mam blokery reklam.

  49. rozszywaniu HTTPS? To kto go wcześniej zszył?

Odpowiadasz na komentarz krwi

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: