Norske diskusjonsnettsteder hacket

[Runar]

Helt enig. Og akkurat det samme gjelder voldtekt av jenter. De må lære å forsvare seg selv. Voldtekter vil skje så lenge jenter ikke tar selvforsvarkurs. Inntil alle gjør det er voldtektsmenn et nødvendig onde for å lære jenter at de må forsvare seg selv.

 

Det er forskjell på kriminelle handlinger. Selv om to ulike handlinger er kriminelle, kan de ikke nødvendigvis sammenlignes. Det er idiotisk og useriøst å sammenligne hacking/cracking med voldtekt.

[JohndoeMAKT]

Ref: Github et par dager siden.

[Ozwald]

Spørsmålet er, vil du ha en liten gruppe amatører som bare bryter seg inn og gjør litt ugang, eller vil du ha de som bryter seg inn for å bruke serveren til verre ting?

 

 

Hvis denne gruppen ville belyse hvor viktig sikkerhet er hadde de ikke tatt narkoman,no.De hadde beskyttet narkoman.no. Dette er den alvorlige kriminaliteten du refererer til som man må beskytte seg mot. Ja narkoman.no har ansvar for sikkerheten, men NorSec er virkelig drøye kriminelle her.

[007CD]

Beskyttet? Tror du skal lese deg litt opp om hvordan en server fungerer og hvordan en dårlig oppsatt server ligger sikkerhetsmessig.

Alternativet hadde vært at Narkoman.no plutselig deltar i ett raid på Lockheed Martin som mellomledd eller dumpeplass for data til eksempel.

Derfor vil jeg heller ha en drøss med ugangskråker enn sistnevnte.

[Ozwald]

Ja, beskyttet, de skulle fortalt narkoman.no hvordan de kunne fikset sikkerheten, evnt. bare sendt en mail og sagt at de ikke var beskyttet og evntuelle konsekvenser av dette. Siden du tydeligvis vet en del om servere, så vet du også at det er vanskeligere enn å bare kjøpe en ny lås, i dette tilfelle er det ikke latskap men lite kunnskap som er grunnen til den lave sikkerheten, Å poste hele brukerdatabasen på internett er ulovlig og akkuratt hva narkoman.no burde beskyttet seg mot, veldig trist at de ikke hadde kunnskapen til det, og at NorSec utnyttet det for å bedrive kriminalitet.

[deaktivert443556]

Det er idiotisk og useriøst å sammenligne hacking/cracking med voldtekt.

Nei, det er det ikke. Derimot er det særdeles idiotisk å dytte ansvaret over på offeret uansett om det gjelder voldtekt eller datakriminalitet. Og mens vi snakker om idioti...

 

Mange ganger i uken rapporterer white hats om at det er ett sikkerhetshull i X og gir dem noen uker på å fikse det.

Hvilken rett har noen som helst til å stille et slikt ultimatum? Hei 007CD, huset ditt har verken alarm eller sikkerhetslås. Du har to uker på å fikse dette eller så bryter jeg meg inn. Men slapp av, jeg skal bare snoke rundt i tingene dine, legge dagboken din ut på nett og litt annet moro.

[karantene]

Apropos straff, hva slags straff risikerer hackerne i denne sammenhengen? Her har man både brutt seg inn i andres eiendom og deretter bidratt til å spre personsensitiv data, begge deler relativt alvorlig kriminalitet. Noen som har eksempler fra Norge der gjerningsmennene har blitt tatt og hvilken straff de har fått?

[dagtveit]

Men har man et nettsted som kan inneholde sensitiv informasjon, så er det jo første bud at de oppdaterer softwaren slik at mulige sikkerhetshull blir tettet. Så i stedet for å synes synd på seg selv, så burde de heller ha konsentrert seg om driften av nettstedet sitt for å forhindre denne typen hendelser..

 

Nei det blir feil. folk må kunne få lagt noen nettsamfunn uten og ha allverden med kunnskap. Jeg støtter hacking av giganter som sony og diverse når de går etter små privat personer med gigantiske og meningsløse søksmål. som man sier. enkelte ting har konsekvenser og sony fikk jammen meg smake konsekvens. Og det er bra at noen er i stand til og gi de en smekk.

 

men i dette tilfelle så er det som tidligere nevnt reint herverk av noen patetiske drittunger

[Gjest Bruker-95147]

 

men i dette tilfelle så er det som tidligere nevnt reint herverk av noen patetiske drittunger

 

Om de er "patetiske drittunger" vet du ingenting om, men er din dom, og bare din, her.

 

"Hærverket" er de som inviterer deg inn og lover at dine opplysninger er trygge hos dem.

[Thorsen]

men i dette tilfelle så er det som tidligere nevnt reint herverk av noen patetiske drittunger

 

Om de er "patetiske drittunger" vet du ingenting om, men er din dom, og bare din, her.

 

"Hærverket" er de som inviterer deg inn og lover at dine opplysninger er trygge hos dem.

 

Nå tror jeg de fleste brukere av narkoman.no og liknende nettverk forstår at dette er sider som er drevet på hobbybasis av folk som har mye høyere mål i livet enn å tilby verdens mest paranoide nettsikkerhet. Jeg er ikke bruker av noen av disse sidene, men hadde ikke lastet dem dersom mine opplysninger ble stjålet.

 

Argumentasjonen som mange her kommer med er lik den argumentasjonen 12-15 åringer på skråplanet kommer med når de blir spurt om hvorfor de stjeler fra butikker.

[Konto brukes ikke]

Om de er "patetiske drittunger" vet du ingenting om, men er din dom, og bare din, her.

 

De er det, uansett. Om de er 90 for den del, så er de noen drittunger. Mentalt er de det.

 

Skjønner ikke at folk skal unnskylde digitale lovbrudd. Idiotene/drittungene er det uansett om de nasker på butikk, raner verdi-transport, kort svindel, eller annet.

 

Ja, man har ansvar for å sikre seg uansett hv det er, men lovbrudd ER den som begår handling - drittunger.

[-morten]

Så vidt jeg kunne se ligger alle nettstedene hos Domeneshop. Som bruker av dem har jeg stusset på hvordan opplegget deres er, for det er veldig usikkert med mindre man vet hva man driver med. Vet ikke om denne måten å gjøre det på er vanlig hos andre webhoster også?

 

De har bare Linux-servere. Alle brukere har sin mappe i /home. Default-rettighetene for nye webhotell er slik at andre brukere på samme server kan lese alle filene til andre brukere. Dette inkluderer jo da php-filer med passord til eventuelle mysql-databaser.

 

For å sikre seg kan man manuelt endre tilgangsrettighetene.

- Ved å chmod-e mapper til 711 vil ikke andre kunne få listet opp filene, men de vil fortsatt kunne lese dem hvis de vet hva filene heter (noe de typisk gjør, dersom det brukes standard CMS-systemer og forumer).

- Domeneshop bruker suPHP, som gjør at eksekveringen av PHP-filer gjøres som kundens bruker. Det er en god ting, som medfører at alle PHP-filer kan settes til rettighet 600, slik at ingen andre enn kunden kan lese dem (og dermed er mysql-passord sikret).

- Andre filer enn PHP-filer må være leselige for alle brukere for at webserveren (Apache) skal kunne lese dem, noe som gjør at filer som ellers er beskyttet med HTTP Auth (via .htaccess og .htpasswd) kan leses av uvedkommende.

 

Man må altså være kunde hos Domeneshop for å kunne utnytte dette, men det koster jo ikke stort. Tipper disse "hackerene" har en nettside hos Domeneshop, og plutselig oppdaget muligheten det overnevnte gir.

 

At Domeneshop legger skylden over på brukerne er litt feigt, for antagelig vet de fleste av kundene deres ikke noe om dette, tross at det sikkert står litt om det i FAQ-en deres. De kunne kommunisert dette mye mer aktivt, og automatisk filtrert ut kontoer der sikkerheten ser ut til å være god (rettigheter er satt). De kunne også satt PHP-skript til strengere rettigheter automatisk, slik at man eksplisitt måtte åpnet rettighetene for disse hvis man skulle trenge det.

 

Det finnes også flere måter å øke sikkerheten på, feks chroot. Brukes det på større webhoteller?

Windows-servere har forøvrig et helt annet system for tilgangskontroll.

[007CD]

Ja, beskyttet, de skulle fortalt narkoman.no hvordan de kunne fikset sikkerheten, evnt. bare sendt en mail og sagt at de ikke var beskyttet og evntuelle konsekvenser av dette. Siden du tydeligvis vet en del om servere, så vet du også at det er vanskeligere enn å bare kjøpe en ny lås, i dette tilfelle er det ikke latskap men lite kunnskap som er grunnen til den lave sikkerheten, Å poste hele brukerdatabasen på internett er ulovlig og akkuratt hva narkoman.no burde beskyttet seg mot, veldig trist at de ikke hadde kunnskapen til det, og at NorSec utnyttet det for å bedrive kriminalitet.

 

Slike ultimatum settes for ellers gjør ikke selskapene noe med det, dette er fakta og eneste måten white hats kan forhindre at andre utnytter det for andre ting, slik er det der ute i verdenen og slik vil det alltid være.

Og det som er MEST skremmende er at du er velkommen til å prøve å overbevise Narkoman.no eller uansett annet nettsted, du vil GARANTERT i 95% av tilfellene bli avfeid eller bli møtt med stillhet og ingen forandring.

Det må skje noe før det taes affære i en buisness verdenen, sånn er livet og sånn er faktaene idag.

 

@Bradbury: Velkommen skal du være, har kanskje ikke alarm men ikke klag på at du går opp i vekt i inngangspartiet grunnet bly innhold

Men før dere begynner å skyte videre og gå på personangrep, så forsvarer jeg ikke disse gutta men jeg skjønner det større bildet over hva som skjer der ute og når man gjør det så er det bedre å ha denne typen enn de som vil bruke serveren din til mer kriminelle handlinger som en proxy for innbrudd hos andre.

Da kan jeg garantere deg at når de er ferdige så skroter de serveren og fjerner absolutt alt og overskriver det, for å gjøre sporingen umulig (Under angrepet på Lockheed Martin ble 2 servere, muligens flere (Klarte kun å finne 2) krasjet på det viset og alt av spor var vekk)

 

Nettet er ett ugjestmildt miljø, og man må kunne beskytte seg og ha nettvett, og nettvettet for brukere og servere er to forskjellige ting som SiDDi nevnte på forrige side med ønske om sertifisering.

Endret 17. mars 2012 av 007CD

[siDDis]

Ja, du lar ikkje nabogutten på 15 år setja opp det elektriske anlegget ditt heime. Og det er ikkje fordi du tviler på om at han har ferdigheitane til det, men skjer det noko gale så er du som ansvarleg om liv går tapt.

Derfor er det viktig å bruke seriøse aktørar som følgje retningslinjer som gjer det umogleg å få tak i personleg data.

Hadde ein blitt stilt til ansvar og fått fengselsbot/saftige bøter for å ikkje å ha brukt sertifisert it-kompetanse, så kunne folk flest ha følt seg tryggare på nettet.

 

Det er nokon som trur at ingen systemer er 100% trygge frå hackere, men det er feil.

[m-momr]

Ikke nødvendigvis. Det er mange hackere som jobber innen sikkerhet, utvikling og programmering også. Begrepet hacker skiller ikke på lovlig og ulovlig virksomhet.

Begrepet er dog kontekstavhengig og må forståes i sammenheng med resten av det som står skrevet, både i innlegget og i den kommenterte artikkelen. Det menneskelige språket er finurlig og har mange ord og uttrykk som må tolkes i sammenhengen det benyttes. Du har kanskje akkurat begynt å lære deg språk?

Med tanke på måten du fremstilte det på, så er jeg uenig, men meg om det. Det er mange som ikke er klar over hva som ligger bak begrepet, så det er lett å tolke det i den retningen.

 

... og spar deg for de meningsløse frekkhetene dine.

 

Takk tamarin, der slapp jeg å skrive det

Endret 20. mars 2012 av m-momr