Pochwalił się internetowi, pochwali się wnukom
Nie wdając się na razie w analizowanie sytuacji odnotuję włamanie do serwisu Antyweb, prowadzonego przez Grzegorza Marczaka (pozdrowienia dla Hazana). Poniżej nie będę analizował sytuacji, gdyż za chwilę, za kilka dni opublikuję informacje na temat pewnego postępowania, które będzie lepiej nadawało się do tego, by prowadzić dyskusje na podobne tematy (to będzie - jak uważam - naprawdę ważne doniesienie). Tu jedynie napiszę, że osoba, która - korzystając z luki w systemie zarządzania treścią WordPress - opublikowała w Antywebie notatkę, sama się następnie do tego przyznała w swoim blogu.
O sprawie pisze Hazan już po poprawieniu konfiguracji swojego serwisu, w tekście Włamał się na Antyweb a potem się tym chwali - czyli jak zarabiać na hakerach. Włamania miał dokonać Grzegorz Wójcik, prowadzący serwis kminek.pl. On również opublikował na ten temat notatkę: Jak zhakierowałem antyweb.pl – czyli co zrobić by poprawić bezpieczeństwo WordPressa.
Najpierw przywołam to, co napisał Kminek. Najpierw opisuje on swoją ocenę sylwetki Hazana, co pominę jako nieistotne dla poruszanych w tym serwisie kwestii, a potem:
(...)
Otóż – trochę poszperałem, trochę poczytałem i udało mi się zalogować do panelu administracyjnego antyweb.pl jako admin :) Jak to zrobiłem? Szczegółowy opis już niedługo w tym poscie wraz ze wskazówkami jak lepiej zabezpieczać blogi oparte o silnik WordPress. Na razie publikuję tylko screenshoty jakie zachowałem sobie na pamiątkę tuż po ataku, aby w przyszłości pochwalić się wnukom ;)
(...)
Hazan zaś komentuje sprawę tak:
Nie zdążyłem jeszcze dobrze pomyśleć jak zareagować na wyczyn “hakerski” specjalisty webmastera Grzegorz Wójcika a już dostałem dwie oferty od prawników przy ewentualnej pomocy w usadzeniu hakera w sądzie. Podobno przy posiadaniu numerów IP sprawcy, logów od firmy hostingowej, oraz fakcie przyznania się do winy, sprawa nie będzie długa - bo wygrana według nich nie ulega wątpliwości (ja się na tym nie znam)
(...)
W jednym kolega Kmiotek ma racje - nie zrobiona aktualizacja przy skrypcie takim jak wordpress to jedna z głupszych rzeczy jaką można zrobić. Natomiast szczytem głupoty jest wykorzystanie tej sytuacji, zrobienie włamania (bo z tego co pamiętam zmiana treści czy danych bez autoryzacji jest już włamaniem) i przyznanie się do tego na swoim blogu.
W tym serwisie kilkakrotnie zajmowałem się kwestiami luk bezpieczeństwa oraz kwestiami odpowiedzialności za wykorzystanie tych luk (również w kontekście odpowiedzialności za działanie oprogramowania). Nie rozpoczynając dziś rozważań, zachęcam do lektury również innych tekstów, proszę przy tym pamiętać, że w Sejmie jest projekt nowelizacji kodeksu karnego (por. Tak, tak, nowelizują kodeks karny... wizerunki małoletnich, hacking, 269b...):
- Fuszerka wykonawcy, szukanie luki, oferta naprawy i kajdanki
- Ciąg dalszy w sprawie, w której kajdanek użyto po podpisaniu klauzuli poufności
- Sklonujmy sobie tanio kartę RFID - luki bezpieczeństwa a globalna gospodarka oparta na wiedzy
- Wojna polsko-turecka? Samosąd za sąd.
- Cisza przedwyborcza: atak hackerów, gra nerwów czy dziennikarstwo?
- Dobre klikanie i pozyskanie - rozważania o danych Gemiusa
- Cross site scripting i "Linuks już nie darmowy"
- Skanowanie portów - czy znamy jakieś polskie przypadki?
- Dyskusja o bezpieczeństwie systemów... Policji
- Stado może przejść przez dziurę po sprytnej krowie, czyli CSS nie jest "skutecznym" zabezpieczeniem
- Syndrom sprytnej krowy i AACS
- "All your base are belong to us" czyli walka o hex odbezpieczający HD-DVD i Blu-Ray
- Zatrzymano chłopaka, który umieścił "złe psy" na stronie suwalskiej policji
- Afera o zdjęcie na stronach suwalskiej policji
- Kara dla robota, czy odpowiedzialność producenta oprogramowania?
- Hackerska lustracja poczty kandydatki na wiceprezydenta USA (w stylu 4chan)
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Powiedz co chciałeś powiedzieć?
Rozumiem, że ta sprawa o której mówisz dotyczy obronienia osoby włamującej się na źle zabezpieczony serwer.
Jeśli faktycznie chcesz powiedzieć, że Kminek (wlamywacz) może robić co chce (zmieniać hasła, publikować ośmieszające kogoś wpisy) bez konsekwencji - to niezależnie od wyroku jaki sąd ogłosi uznam że w naszym kraju jest popieprzone prawo.
No ale mam nadzieję, że tamten case jest inny..
daj znać co się dzieje i generalne jaka jest twoja opinia na temat tego przypadku.
Dodam, że nie specjalnie zależy mi na ściganiu kogoś po sądach ale osoba z którą chcę zawrzeć nazwijmy to ugodę w tej sprawie nie ma nawet odwagi żeby się do mnie odezwać (wycina moje komentarze, nie odpowiada na maile itp) :)
Proszę o cierpliwość
Chcę jedynie powiedzieć, że niebawem będzie można analizować różne tego typu sprawy w oparciu o praktykę stosowania przepisów ustawy. Nic nad to. Nie znam szczegółów okoliczności uzyskania przez Grzegorza Wójcika dostępu do konta administratora (superusera).
--
[VaGla] Vigilant Android Generated for Logical Assassination
hmmm kiedys byla sprawa iz
hmmm kiedys byla sprawa iz sad uznal niezabezpieczona strone za sytuacje podobna do tej iz np drzwi sa zamkniete tylko na haczyk, ktory kazdy moze podniesc. A to wlasciciel musi zadbac o odpowiednie zabezpieczenie swojej strony. Niestety nie jestem w stanie podac sygnatury.
prawo elektroniczne jest nieadekwatne do realiów
analogiczna sytuacja, zostawiam mieszkanie z drzwiami jedynie podpartymi kołkiem. Dlaczego w takim wypadku sam jestem sobie winny? Przecież kołek to wystarczające zabezpieczenie przed szczurami, bezdomnymi psami, dziećmi (w tym trollami [;), a jednak żadna firma nie wypłaci mi ubezpieczenia. Dlaczego w przypadku pozostawienia systemu dziurawego jak ser szwajcarski, za włamanie nic nie odpowiadam? Odpowiedź jest prosta, ci co tworzą prawo, o ile jeszcze mają pojęcie o zamkach w drzwiach i wiedzą, jak odeprzeć kołek od drzwi, to nie mają zielonego pojęcia z dziedziny IT-sec. Dla nich odparcie kołka nie ma znamienia przestępstwa puki nikt niczego nie ukradnie/zniszczy. Dlatego za odparcie kołka kary nie uświadczymy, ale za zalogowanie się na panel administracyjny na admin/admin już tak. Na używanie maszyny x86 powinno wydawać się licencje jak prawo jazdy. Nie umiesz - nie korzystasz, nie przeszkadzasz innym w korzystaniu, nikt nie musi tobie tłumaczyć co to jest proxy, firewall, iso osi itd., wiesz jak dbać o system (analogicznie jak przegląd techniczny w aucie), ty to po prostu wiesz, bo musiałeś się tego nauczyć. Niestety nasi lawmakerzy nawet nie zdają sobie sprawy ze swojej niewiedzy w tym temacie. I potem na obradach słychać że mamy system operacyjny "Microsoft Office" lol. Cóż począć, inteligentni uciekają z tego kraju, głupie społeczeństwo wybiera głupich przedstawicieli, inteligentni widząc projekty ustaw tych kretynów (którzy na biegłych wybierają dalekich kuzynów) uciekają z tego kraju, koło się zamyka...
Tak jest nie tylko z IT, genetycy uciekają bo nie mogą modyfikować żywych organizmów (tak tak, ustawa o zakazie gmo gdyby była przestrzegana w Polsce nie można byłoby produkować nowych szczepionek, na szczęście izby kontrolujące także uważają ustawę za farsę). Przykłady można mnożyć.. dobrze dzieje się tylko rolnikom, górnikom, stoczniowcom, pielęgniarkom (nie mylić z lekarzami) i prawnikom.. im bardziej ścisły zawód tym trudniej wytrzymać (także ze śmiechu) polskie prawo.