В Екатеринбурге осудили двух хакеров

была оставлена возможность админинть сайт снаружи, при не всегда фиксированном IP

свое виденье мотива я изложил на первой странице данного треда, о чем и чем они думали на самом деле я незнаю.

представьтесь пожалуйста. Вы работали в Пормэлектронике?


Позиция АнтонТМ, мне вовсе непонятна - директор компании-хостера защищает хакеров - парадокс.



понимаю, более убедительные доказательства были на суде - свидетельские показания, данный сотрудник не один сайтом занимался. здесь я их вам представить не могу

вообще-то обсуждение началось с конкретных наездов и откровенных оскорблений, товарищь погорячился, его понять можно

""можно прописать время доступа
и айпихи - с которых возможен доступ""--а как айпи привязать к конкретному физлицу?

еще хочу заметить, етих чертей он нашел достаточно быстро, на следующий день, просто ситуацию решили развивать в правовом поле.
да, даром видеть будущее и читать мысли, он к сожалению не располагает. надо будет включить это в его трудовые обязанности - пусть тренируется.

от всех дураков не заложишься (с) незнаю чей

Мне кажется вы не знаете значение слова хакер.
Хакер взламывает, а эти парни зашли в открытые двери сайта. Их вина - мелкое хулиганство.

Ваша вина - несерьезное отношение к собственному рабочему инструменту - сайту.

Тогда возникает вопрос - а в чем проблема ?
Или с какова посещаемость сайта
и через какой промежуток времени руководству
стало известно о несанкционированной модификации сайта ?

Мдя - ни директор вообще ни директор СБ
не знают что происходит с их сотрудниками
и вообще - что они делают :-)

Что конкретно вас интересует ?
Все данные которые я счел возможным опубликовать
находятся в предназначеном для этого месте - профиле

нет
У меня удивление вызвала фраза -
которая по сути ничего не означает
а иное означает нарушение УК РФ

Он не защищает - если вы не поняли
Он объясняет с точки зрения профессионала
Впрочем я не Антон(тм) и предоставим
ему самому трактовать свои слова


На счет оскорблений согласен - погорячился Антон(тм)
А вот ваш рукамиводитель СБ испортил вам всю малину
Горячиться он может в своем кабиенте
но не на публичном форуме да еще от имени компании
Если он этого не понимает - то мне его жаль
Я бы еще понял - если он был
старшим охранником по гантелям
да и то - черезчур, особенно впаре с директором
Либо у вас СБ - 100% ОПС под личиной ЧОП
что тоже характеризует далеко не лучшим образом
и СБ и фирму в целом - которая свою безопасность
строит подобным крестьянским образом

Хых - учитывая что судя по тексту сообщения
они зашли с личного ПК - ничего удивительного
Паспортные данные берутся при трудоустройстве
Руководитель СБ молодец - читать умеет :-d
Одобрямс :-)

Опять же - как и в случае с выплатой ЗП
и тем более ее официальностью
будет очень странно - если компания заявит иное
Хотя мысли в голове руководителя СБ броят
А что у трезвого на уме ... ;-)

:-)

Так же есть афоризм - можно придумать защиту
от дурака - но только не от руководящего
Ничего личного - только бизнес ©

+

Представиться я попросил для того, чтобы поинтересоваться в отделе кадров был у нас такой сотрудник или нет, чтобы утверждать о суммах з/п.

впрочем Вы и сами ответили, так что вопрос снят

Какая разница - что за цирфа стоит ?
Ваше утверждение из ряда - мы не грабим
и платим все положенные нам налоги
а так же производим все расчетвы воремя

Странно от лица компании заявлять даже на градус иное
Рад что вы в отличие от свого руководителя СБ
способны хотя бы держаться в рамках правого поля

и он держится, не переживайте, просто здесь каков посыл - таков и ответ. что погорячился, я уже сказал, общение в инете немного расслабляет, я и сам в жизни не столько не говорю, скока тут написал :-)
завтра он появится может сам чего напишет. не нам его судить.

Даже если допустить что Антон(тм) дурак (а это вряд ли )
то есть правило -никогда не спорьте с дураком
иначе люди не заметят между вами разницы
Снова ваш руководитель летит
мимо кассы- как стая рашпилей
Во вторых - ответить можно
(я бы даже сказал - очень нужно )
так - чтобы у людей не расширялись глаза от удивления
а ответ вызывал уважение и не вызывал ответных реплик
......
Видимо мне пора открывать мастер класс по обучению :-)

Почитал я все что здесь понаписали и вот что мне видится.
Ну во-первых разговаривать с руководителем СБ у меня нет никакого желания, я как-то не сразу заметил "СБ" и больше обратил внимание на слово "Руководитель", что, учитывая тон и лежащее за ним образование и воспитание мне показалось вообще что руководство вышеназванной компании просто невменяемо. Впрочем наличие "СБ" меняет дело, всё ясно.

Возможно конечно я изначально погорячился, если кто не заметил, то мой комментарий был написан по мотивам оригинальной новости и, собственно, отражает мою позицию именно к тому что там было написано, если дело было не так, то прошу прощения что погорячился.

Далее, моя позиция. Я в своей практике неоднократно наблюдал как и сисадмины различных контор, в том числе и крупных, и профессиональные веб-разработчики и даже именитые веб-студии устраивали такие дыры в своем ПО, особенно в сайтах, "что мама не горюй". В свете этого оригинальная новости мне не показалась черезмерно надуманной, мало того, я не уверен что она так уж сильно преувеличена до сих пор.

Поскольку представители промэлектроники рассказали какие-то просто фантастичные события описывая свое видение случившегося, то мне видится примерно 3 варианта того как могли развиваться события плюс-минус некоторые ньюансы.

Вариант 1. Собственно работник ПЭ обнаружил дыру в ПО сайта, сообщил об этом кому следует (ИТ отделу), но на его предупреждение был положен болт. Тогда он просто напросто написал на сайте надпись про отсутствующий пароль и разместил ее в новостях.
Учитывая что с сайтом ДИВСа в свое время было то же самое, а именно - пароль был, но он был пустой, то есть нажимая просто кнопку "Войти" на форме логина любой желающий попадал в админскую часть сайта. Такой вариант вполне возможен и виновата в таком случае именно Промэлектроника в лице ответственных за доступ к сайту администраторов. Что собственно и написали на е1 в новостях. Разумеется самой ПЭ этот вариант не выгоден.

Вариант 2. Недавно уволенный/уволившийся сотрудник, обиженный по каким-то причинам на бывшую свою контору, обнаруживает что не смотря на то, что при его увольнении при подписании им обходного листа все его активные логины должны были быть деактивированы, он по-прежнему имеет доступ в систему управления сайтом. Что было дальше все в курсе. Кто виноват ? Опять - Промэлектроника, именно они в таком случае, в лице опять же ИТ-отдела, не решили вопрос с доступом в закрытые части сайта.

Вариант 3. Тот самый, который рассказывают представители ПЭ, но на мой взгляд, а похоже что я не один так думаю, наименее вероятный и придуманный чтобы выгородить ПЭ. Действующий сотрудник ПЭ каким-то образом узнает реквизиты доступа к бэкофису сайта. Толи по работе, толи благодаря утечке информации - не важно. Важно то, что он, будучи видимо съехавши с катушек, наверняка осознавая что любой доступ к якобы запаролированному бэкофису пишется в лог файлы, все равно залез на сайт и написал там надпись. В этом случае я согласен что он действительно виновен и возможно еще очень легко отделался.
Почему собственно я не верю в этот вариант ? Потому что:
- для этого надо быть совершенно безголовым, не понимать вообще основ работы интернета и вообще иметь какое-то средне-дошкольное образование. Тогда не понятно как он оказался на занимаемой должности, как он получил доступ к бэкофису интернет-представительства компании и куда смотрел тот самый руководитель СБ ? Тем более что г-н Raid утверждает что этот человек занимался сопровождением сайта, значит он знал что логи ведутся и что его запросто поймают.
- надпись гласила, судя по новости, что бэкофис не запаролирован. Какой смысл писать такую надпись в реально запаролированном бэкофисе ? Толи е1 наврал текст надписи, толи представители Промэлектроники про то, что пароль таки был. Или пароль был, но что-то типа "admin/123" ?
Я вполне допускаю что события в новости были перевраны, но меня, честно говоря, сильно удивляет вариант, предложенный Raid'ом, который очень сильно смахивает на то, что тот самый кладовщик, который упоминался ранее, владея чуть ли не единственным ключом от своего склада сам вместе с товарищем разрисовывает/разворовывает вверенное ему на ответхранание имущество, прекрасно осознавая что на утро он будет пойман практически за руку.
Впрочем это лишь предположение, как было на самом деле я не знаю. Но у меня остается один вопрос: кто же все таки ...

в сложившейся ситуации ?

респект и уважуха
Сразу же видно нашего человека

Ключевое фраза здесь - "охраняемой законом информации".

Закономерный вопрос:
Кроме значка (ц) информация на сайте зарегестрирована авторским правом (юридически)?

Dev, на самом деле ключевое слово в данной статье УК "неправомерный". Если у человека есть доступ к информации благодаря его должностным обязанностям или доступ на самом деле ничем не ограничен, то я не уверен что его можно охарактеризовать как неправомерный.

Например можно ли охарактеризовать как "кража со взломом" вынос чего-либо из открытого помещения ? Весь сыр-бор на 3 страницы вокруг этой новости именно из-за того что в новости написано что дверь-то похоже была открыта, а людям, в нее вошедшим, инкриминировали именно "кражу со взломом". Даже вот слово "хакер" употребили.

P.S. я нисколько не пытаюсь оправдывать людей, ломающих сайты. Мое выступление направлено против людей, оставляющих открытыми двери, а потом обвиняющих тех, кто открытыми дверями пользуется.

[Сообщение изменено пользователем 15.02.2006 23:46]

Антон™, я так думаю, что это можно охарактеризовать как "злоупотребление служебным положением, повлекшее за собой (нужное вставить)".


Ну тут я не согласен, вор он вор и есть, просто с открытой дверью ему было гораздо проще. А вот того, кто оставил дверь открытой имеет смысл пнуть побольнее, чтобы не облегчал жизни ворам :-)

[Сообщение удалено пользователем 16.02.2006 00:30]

[Сообщение удалено пользователем 16.02.2006 00:34]

А как на счет тезиса, что чисто не там, где убирают - а там, где не серят? :-)

Прокол может быть везде, даже в банальной вещи. И не гоже судить строго администратора, а тем более руководителя службы безопасности из-за какой-то дыры в ПО или его настройках только в связи с тем, что вы на столько типа круты, и считаете, что такого просто не должно быть. :-) Дык и на старуху бывает проруха. :-)
Другое дело, если проколы перманентны.

Я с другой стороны... C судейно-юридической. Чисто по-людски может люди и не правы (не могу утверждать в силу того, что не знаю (и не узнаю) всех деталей этой ситуации), но юридически мне весьма интересно.

К тому же вопрос закономерный в плане расмотрения дела по уголовному кодексу.
Фирма имеет юридические права на информацию (помимо домена и хоста)?

[Я работал в сфере разработки софта и веб-страниц, и скажу что большинство клиентов отказывались "патентовать" покупаемые проекты, в силу затрат времени и денег (довольно трудоёмкий процесс).]

А собственно если нет, то сотрудник редактировал или свой, или "ничейный" текст. И статья 272 не имеет силы в данном деле по отсутствию собственно состава преступления.

Из-за недостатка информации не стану судить, на сколько велика вина "хакеров". Даже не хочу делать выводы о том, кого точно следовало бы уволить после такого "взлома". Но за высказывания отметившихся здесь работников ЗАО "Промэлектроника" их следовало бы уволить, по-моему. По крайней мере, отпадает всяческое желание работать с компанией, представленной столь неадекватными людьми.

Кому интересно, почитайте что пишут на эту тему профессиональные веб-разработчики в соответствующем форуме: http://www.e1.ru/talk/forum/read.php?f=37&i=65728&...

Dev, вообще мне видится что весь процесс был показухой, ибо привлечены к нему были все юристы ПЭ, которые наверняка из любой мухи раздули соотвестсвующего слона с притягиванием к хвосту этого слона "соответствующей" статьи УК или КОАП, а у отвечиков бабла на нормального адвоката просто небыло. Впрочем, я могу и ошибаться.

зачем выгораживать ПЭ? то, что ты в него не веришь еще не значит, что такого не могло быть. "... ты видишь сурка?..."

все было именно так. решение суда тебе уже тоже не доказательство?




нам самим до сих пор не понятно



да ничего страшного, бывает, Вам бы тоже не мешало знать, что о незнакомых людях не стоит так отзываться.

Если судить по твоей реакции на эту тему, ты тоже не блещешь своим образованием и воспитанием. И если с твоей компанией не случалось такой проблемы, то тебе везёт пока что. Но мне не ясно другое, как ты не разобравшись толком в проблеме начал вовсю тут свои глубоко образованные высказывания в защиту двух - "клоунов". А то что в твоей канторе нет СБ, так это не говорит о вменяемости твоего руководства, а как раз наоборот. Дай бог тебе, конечно, спокойных рабочих дней, дай бог........

Alchem, просто "кража" и "кража со взломом" - это разные статьи и совершенно разный уровень наказания. Намек понятен :-) ?

А на кой тогда нужны админы? Зарплату получать?

Не мое дело конечно, но меня этот вопрос весьма интересует. Не секрет - этот злополучный ИТ-шник был единственный, у кого вычли из зарплаты за трафик? Или это нормальная практика? Или он был первый?