12:22
9/1/2011

Rozmowa “hackera” z katechetą

Dziś weekend, czas na relaks — w dodatku niedziela, wg niektórych dzień święty. Wpasujmy się zatem w ten “świąteczno-rozrywkowy” klimat, śledząc rozmowę “hackera” z właścicielem serwisu religia.pl. Włamywacz znalazł błędy w serwisie, zrobił deface i wdał się w polemikę z prowadzącym serwis katechetą.

Religia.pl hacked

Religia.pl defaced

Katecheta po zauważeniu włamania, umieścił na stronie post (pun unintented), zaczynający się od słów:

Myślę, że skoro ten człowiek tyle natrudził się, aby włamać się – winniśmy poświęcić Mu trochę czasu, chociażby z racji miłości bliźniego.

Z całą historią zapoznać możecie się na religia.pl. Szkoda, że właściciele innych zdeface’owanych stron nie wdają się w polemikę z ich włamywaczami — w niektórych przypadkach na pewno byłoby to zabawne…

Podesłał Sylwek.

Przeczytaj także:

23 komentarzy

Dodaj komentarz
  1. W przypadku firmy JP to byłoby zabawne? Wątpię, byłaby pewnie odpowiedź z ich strony “Ty k*rwa k*tasie j*any masz wp*erdzol ch*ju wiem gdzie k*rwa mieszkasz p*erdolony pedale”.

  2. Nie ma to jak podejście do ludzi :)

  3. Najfajniejszy jest ten tekst : “3 stycznia 2011 r. strona religia.pl została “HACKED”.” lol :D

  4. Sporo temu, nie wiem czy o tym pisaliście, ktoś zrobił deface serwisu online.biblia.pl i stronę potem zdjęli. A sama strona religia.pl ma error 502 service unavailable. Tylu wiernych się serwery pewnie nie spodziewały :D.

  5. na ircnecie kiedys bywalismy na kanale religia czy tam jezus – cale stadko takich milujacych blizniego ludzi. Wkurzyc ich to byl wyczyn, maja swoj swiat tak samo jak Oazowcy (sekta)
    To tutaj to fajna rzecz. Szczescie ze trafilo na jakiegos rozsadnego haka a nie pajaca w dresie…

  6. “Hacker” z wątpliwościami na tle religijnym ^^.

    “A nawet jeśli i tak odejdziesz – wiedz, że do końca mojego życia będę się za Ciebie modlił i będę nosił Cię w pamięci.”

    Żeby tak wszyscy po podmianie strony reagowali ;]…

  7. Nuuuuuuuda Jakiś dzieciak ma problem bo mu Pan Bozia nie dał pod choinkę farmy obliczeniowej

  8. Nudno trochę w tych tekstach, nie chce mi się czytać, ale sama sytuacja ciekawa i dobrze, że o tym napisaliście. A nuż nawiedzonych hakerów przybędzie? :P

  9. w większość takich polemik admin vs hacker polegała by na łacinie pewnie :D szczególnie od strony administratora

  10. Beka z tego hakera, trzeba mieć jaja żeby z nim dyskutować. Jakby ten pan Andrzej nie miał jaj żeby odpowiedzieć komuś na zarzuty to pewnie by się haker wkurzył i zniszczył cały kościół.

  11. Ktoś się orientuje, czy istnieje jakiekolwiek “zabezpieczenie prawne” dla “hakera” może nie przy deface, ale w przypadku znalezienia poważnej luki w serwisie ? Założmy, że jestem white-hat, natknąłem się na jakiś serwis i widzę poważną lukę – chętnie bym powiedział właścicielowi (w ramach wolontariatu – nie oczekujac nic w zamian – ew. dobrowolnego prezentu :P ) co ma źle i dlaczego to takie ważne – chodzi mi o błędy, które mogą powodować rzeczywiste straty finansowe) – ale nawet gdybym to zrobił anonimowo, mógłby pogrzebać w logach, albo otworzyć niebezpiecznika gdybym się pochwalił i mnie ewentualnie namierzyc :P Założmy, że popełniłem już pierwszy błąd i ze swojego kompa się “włamałem”. Czytałem troche na vagla.pl o art. 267 KK (że ominiecie zabezpiecznenia, którego nie ma to nie przestepstwo), ale są też inne (niekorzystne rozporządzenie cudzym mieniem, spowodowanie nieprawidłowego działania systemu) – a wolałbym uniknąć jakiegokolwiek kontaktu sądowego… co zrobić ? powiadamiać imiennie, i liczyć że się nie wkurzą, powiadomić anonimowo i zrezygnowac z ewentualnego opisania tego później, czy w ogóle nie powiadamiać :D

  12. * Art. 267
    o §1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
    §2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
    §3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w §1 lub 2 ujawnia innej osobie.
    §4. Ściganie następuje na wniosek pokrzywdzonego

  13. Czyli lepiej nie zgłaszać dziury, bo jak się trafi na debila, to będzie nas po sądach ciągał.

  14. @barkh – około tygodnia temu sam dostałem maila, że mój serwis ma dziurę (krytyczny błąd w phpThumb, nawet pisałem o tym do niebezpiecznika, ale mnie olali). nie wiem dlaczego odkrywcę miałbym ciągać po sądach, skoro mi napisał w czym tkwi błąd i zalecił łatanie. podziękowałem ładnie i chciałem nawet mu dać na piwo, ale kontakt się urwał.
    pewnie kopia bazy mu wystarczyła ;)

  15. “Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo

    rozumiem jeśli np jest jakies archiwum szyfrowane, zahasłowane itp. ale w przypadku “głebokiego ukrycia” ;) to moim zdaniem nie jest to dokument zamknięty. jak rozumieć to słowo zamknięty?

    @barkh
    lepiej nie powiadamiac. ja tego nigdy nie robię i mam spokój. nie pasuje mi bieganie po sądach przez np. prawidłowe skorzystanie z wyszukiwarki google….

    zawsze mozesz napisac do admina PRZED jakimi kolwiek działanami, czy Ci na to pozwala bo robisz to hobbystycznie. wsumie pentest za free jakby nie patrzec ;)

  16. Zaraz, zaraz… racjonalista.pl? Już gdzieś to widziałem…
    A wiem! forum.fedora.pl http://www.google.pl/#sclient=psy&hl=pl&q=site:fedora.pl+racjonalista.pl

  17. nie chodzi tylko o art. 267 KK, ale też o inne (nie pamiętam numerów), które mówią o naruszeniu zasobów systemu, ingerencje w odczyt,zapis danych, niekorzystne rozporządzenie mieniem…

    Konkretnie chodzi mi o np. takie przypadki:
    Szperam po stronie i widze w “głębokim ukryciu” plik z danymi do np. poczty. Nieopatrznie loguje się na skrzynke – co już jest w logach. Informować czy nie ?
    Szperam po stronie i widze, że jak odpowiednio spreparuje dane GET czy POST to odczytam dane, które normalnie są płatne. Zrobiłem, sprawdziłem, “naraziłem” serwis na strate 50 gr – informować czy nie ?
    Szperam po stronie i widze, że odpowiednio manipulując danymi POST mogę wygenerować sobie coś co normalnie jest płatne (założmy, że nie wykorzystuję tego w celu osiagniecia korzysci majatkowej tylko dla zabawy) – informować czy nie ?
    No i możnaby dalej tak wymieniać – czy data mining jest prawnie dozwolony – np. jeśli będę inkrementowal sobie jakieś id zczytując dane, które są normalnie dostępne dla użytkownika, ale nie w ilości hurtowej – łamie prawo, czy nie ? Co jeśli są to dane osobowe, dane firm, maile, etc. ?

  18. @maciek: nie wiem dlaczego – ze zwykłej złośliwości. http://prawo.vagla.pl/node/8154 chociaż tu sprawa ma się inaczej, bo on żądał wynagrodzenia za wskazanie luki. Nawet gdybym miał wygrać sprawę, to nie mam czasu się czołgać po sądach (zazwyczaj w innym mieście) i walczyć z bublami prawnymi.

  19. @barkh
    * Art. 268
    §1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
    §2. Jeżeli czyn określony w §1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3.
    §3. Kto, dopuszczając się czynu określonego w 1 lub 2, wyrządza istotną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
    §4. Ściganie następuje na wniosek pokrzywdzonego.
    * Art. 269
    §1. Kto, na komputerowym nośniku informacji, niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji lub funkcjonowania administracji rządowej lub samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
    §2. Tej samej karze podlega, kto dopuszcza się czynu określonego w §1, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące automatycznemu przetwarzaniu, gromadzeniu lub przesyłaniu informacji.
    * Art. 278
    §1. Kto zabiera w celu przywłaszczenia cudzą rzecz ruchomą, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
    §2. Tej samej karze podlega, kto bez zgody osoby uprawnionej uzyskuje cudzy program komputerowy w celu osiągnięcia korzyści majątkowej.
    §3. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
    §4. Jeżeli kradzież popełniono na szkodę osoby najbliższej, ściganie następuje na wniosek pokrzywdzonego.
    §5. Przepisy §1, 3 i 4 stosuje się odpowiednio do kradzieży energii lub karty uprawniającej do podjęcia pieniędzy z automatu bankowego.
    * Art. 287
    §1. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji lub zmienia, usuwa albo wprowadza nowy zapis na komputerowym nośniku informacji, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
    §2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
    §3. Jeżeli oszustwo popełniono na szkodę osoby najbliższej, ściganie następuje na wniosek pokrzywdzonego.

  20. @barkh: z miłości do bliźniego – w Polsce nikogo nie informuj – nie dawaj się starszawym sędziom uczyć działania Internetu i systemów informatycznych na Tobie za darmo.

  21. […] o tym, ponieważ w odpowiedziach na takie pytania prędzej czy później ta historia zostanie przywołana. Cóż, nasze prawo nie jest doskonałe a i […]

  22. Sam miałem to shakować
    :)
    Tylko wsadzili mnie do więzienia (placówka opiekunczo wychowawcza
    Szkoda sql inj :)

  23. barkh

    Po przeżyciach mojego znajomego stwierdzam, że czasy dobrego samarytanina się skończyły i nie ma sensu ryzykować powiadamiając kogoś o czymś, oddając znalezioną rzecz (żeby nie było – chodzi mi o nie ruszanie jej , a nie czasem zatrzymanie sobie). Jakiś czas temu znalazł telefon, dużo informacji w środku, chciał być dobry i oddać właścicielowi, teraz się buja po sądach, ponieważ właściciel go nie zgubił tylko zostało mu skradzione z jeszcze innymi rzeczami jak później twierdził. A na początku na dzień dobry chciał go jeszcze na siano naciągnąć grożąc sądami.

    Przez chciwość, zawiść i pazerność ludzi doprowadzamy się do takiego stanu. Jakiego? Takiego, że jeśli mogą grozić Ci nawet najmniejsze problemy z tym związane, to po prostu to najlepiej olać!

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.