[ vidonk @ 04.07.2019. 17:46 ] @
Pozdrav forumaši,
Prije par dana sam otkrio dva sigurnosna propusta kod najveće ISP firme u Crnoj Gori. Nisam njihov korisnik ali su svi njihovi korisnici izloženi "opasnosti" na internetu kao i u lokalnoj mreži.
Pa se pitam da li da im prijavim sigurnosni propuste (kakve koristi ja imam od toga ?) ili ne ? Šta bi ste vi uradili. Da li je u redu da im prijavim propuste i tražim novčanu naknadu i šta ako me odbiju i tuže me na sudu ?

Svaki savjet je i više nego dobrodošao :)
[ DUSKEZ @ 05.07.2019. 09:53 ] @
Ja bih uradio ovako,rekao bih im za taj propust pa ako budu dobre volje trazi ako ne svejedno ce koristiti i tebi i svim korisnicima da se zakrpi taj propust.U pitanju je puno korisnika/osoba odlicno je i samo im reci.Ja licno se nebih sudio mora da se vuces po sudu svadjas preplices i nakraju mozda izgubis pa platis advokatu.Ne znam tacno sta da ti kazem.....
[ Grada22 @ 05.07.2019. 10:22 ] @
Citat:
vidonk:

Pa se pitam da li da im prijavim sigurnosni propuste (kakve koristi ja imam od toga ?) ili ne ?


Ne vidim da ovde ima mesta bilo kakvoj dilemi..

Ja licno sam ponosan sto moji sinovi ovde ne bi ni trenutak razmisljali.
[ vidonk @ 06.07.2019. 12:25 ] @
Citat:
DUSKEZ:
Ja bih uradio ovako,rekao bih im za taj propust pa ako budu dobre volje trazi ako ne svejedno ce koristiti i tebi i svim korisnicima da se zakrpi taj propust.U pitanju je puno korisnika/osoba odlicno je i samo im reci.Ja licno se nebih sudio mora da se vuces po sudu svadjas preplices i nakraju mozda izgubis pa platis advokatu.Ne znam tacno sta da ti kazem.....


Ja sam skeptičan, strah me je njihove reakcije i poziva da dođem na sud a čisto sumnjam da sam jedini koji je upoznat sa propustima jer je jedan "namjerno ostavljen otvorren" :)

Citat:
Grada22:

Ne vidim da ovde ima mesta bilo kakvoj dilemi..

Ja licno sam ponosan sto moji sinovi ovde ne bi ni trenutak razmisljali.


Lako je tebi reći

Citat:
canny: Batali, uhapsiće te kao najgoreg kriminalca.


I ja mislim da je tako najbolje. Valjda će se naći još neko da im to prijavi
[ Branimir Maksimovic @ 06.07.2019. 17:56 ] @
"Ja sam skeptičan, strah me je njihove reakcije i poziva da dođem na sud"

Kakav sud? Ti njima naćeš sigurnosni propust a oni tebe na sud? Zar ne bi trebalo bar pohvalnicu da ti daju?
[ vidonk @ 06.07.2019. 18:12 ] @
Citat:
Branimir Maksimovic: "Ja sam skeptičan, strah me je njihove reakcije i poziva da dođem na sud"

Kakav sud? Ti njima naćeš sigurnosni propust a oni tebe na sud? Zar ne bi trebalo bar pohvalnicu da ti daju?


Pa za neovlašćeni upad u sistem jer nisam imao njihovu dozvolu, šta znam bolje mi da ćutim
[ anon70939 @ 06.07.2019. 18:12 ] @
Pa ko zna šta je našao...

Mislim da nije dozvoljeno "testiranje" (penetration testing) bez dozvole onog ko je testiran.

Zato lepo im pises, kazes da si nasao propuste i ponudis da posle potpisivanja nekog ugovora im ukazes na njih.

Sad... da li ces traziti naknadu i da li ce to izgledati kao ucenjivanje zavisi od tebe.
[ DirigentXYZ @ 06.07.2019. 18:40 ] @
Ja sam našao sigurnosni procep od jedne banke i sebi uplatio milion evra, nisam hteo više da me ne bi ufatili. Ali evo vrama priznajem, al da ćutite.
[ vidonk @ 06.07.2019. 18:59 ] @
Citat:
CoyoteKG:
Pa ko zna šta je našao...

Mislim da nije dozvoljeno "testiranje" (penetration testing) bez dozvole onog ko je testiran.

Zato lepo im pises, kazes da si nasao propuste i ponudis da posle potpisivanja nekog ugovora im ukazes na njih.

Sad... da li ces traziti naknadu i da li ce to izgledati kao ucenjivanje zavisi od tebe.


Da upravo tako nemam odobrenje, a oni njihovi iz supporta mi ni ne mogu dati odobrenje, kao i što ne znam ni kome bi trebalo da napišem mail i tražim odobrenje kako ne bih upao u nevolju

Citat:
DirigentXYZ: Ja sam našao sigurnosni procep od jedne banke i sebi uplatio milion evra, nisam hteo više da me ne bi ufatili. Ali evo vrama priznajem, al da ćutite.


Ovo što si napisao je jako korisno hvala
[ DirigentXYZ @ 06.07.2019. 19:06 ] @
Gledajte realno. Ne postoji pravi sistem odbrane. Jedan dokaz, paljenje kompjutera putem mreže. Probao sam na linuxu a može i na windowsu. Samo treba da se scenira i vidi koja je mac adresa kompa i možeš da ga pališ gasiš putem mreže. To je dozvoljeno u biosu. E sad kad je kompjuter ugašen, to znači da nije baš sasvim, nešto se tu stalno vrti. Tako da je svaki komp podložan napadima. Ko zna c ili asembler, može da se igra kako hoće.

A još mi nešto pada na pamet, da ne budem dosadan, ali na primer paypal. Ko nam garantuje da kreatori ovog sistema mogu sebi na račun uplate kolko hoće, zar ne, samo promene sadržaj database. Znači oslanjamo se na moralnost i profesionalnost da to neće da urade.
[ Zlatni_bg @ 07.07.2019. 03:24 ] @
zero day je "radio dobro" za intel, ili protiv intela, kako god zelimo to da kazemo
[ nkrgovic @ 07.07.2019. 07:23 ] @
Citat:
DirigentXYZ:
A još mi nešto pada na pamet, da ne budem dosadan, ali na primer paypal. Ko nam garantuje da kreatori ovog sistema mogu sebi na račun uplate kolko hoće, zar ne, samo promene sadržaj database. Znači oslanjamo se na moralnost i profesionalnost da to neće da urade.

Kreatori tog sistema rade sa novcem i kontrolise ih poreska i finansijska inspekcija. :D Oni ti garantuju :D. (Osim naravno korisnika, koji bi primetili da imaju manje para "u bazi").
[ Grada22 @ 17.02.2020. 04:49 ] @
Citat:
vidonk:
Pozdrav forumaši,
Prije par dana sam otkrio dva sigurnosna propusta kod najveće ISP firme u Crnoj Gori. Nisam njihov korisnik ali su svi njihovi korisnici izloženi "opasnosti" na internetu kao i u lokalnoj mreži.
Pa se pitam da li da im prijavim sigurnosni propuste (kakve koristi ja imam od toga ?) ili ne ? Šta bi ste vi uradili...


Sta bi na kraju od svega?
Hoces li nam reci?
[ vidonk @ 18.02.2020. 12:26 ] @
Citat:
Grada22: Sta bi na kraju od svega?
Hoces li nam reci?


Stupio sam u kontakt preko jedog druga sa njihovim serviserom i on mi je rekao nemoj da se praviš dobar ne budi budala ne prijavljuj ništa, ljudi koji rade u podršci ti ne mogu dati dozvolu kojom bi opravdao "upad"
[ Milan Kragujevic @ 18.02.2020. 20:15 ] @
Ja sam Vipu prijavio sigurnosni propust u sistemu obračuna potrošnje, i dobio na poklon telefon Motorola One, i NEO 10 sa telefonom po ceni NEO 2 bez telefona. Your mileage may vary.
[ Grada22 @ 18.02.2020. 20:42 ] @
Ja sam ovde jedini (mozda se ipak varam) koji je coveku savetovao da prijavi propust..

Vecina je bila jednoglasna "ne, nikako im se ne javljaj. na***aces"
On ih je poslusao..

Milane, da si se bar ranije javio..
[ mjanjic @ 18.02.2020. 20:52 ] @
@DirigentXYZ

Intel čipset u sebi ima ME (Management Engine), koji radi sve dok ploča ima napajanje, a sistemu se može pristupiti preko mreže i kad je računar isključen (ako ploča ima napajanje), čak i na Wiki imaju svi detalji, iako sam pre našao na nekom sajtu u kome je detaljnije navedeno šta je u vezi ME otkrio jedan od Guglovih inženjera: https://en.wikipedia.org/wiki/Intel_Management_Engine
[ Milan Kragujevic @ 18.02.2020. 21:03 ] @
@Grada22 Od "težine" propusta zavisi šta će (i da li će nešto) dobiti. Može da dobije neograničenu uslugu, telefon, tužbu, krivičnu prijavu, kolač sa logom firme (dešavalo se .. :) -- Telenor), itd.

Moj konkretan propust je omogućavao svim korisnicima da koriste neograničenu količinu 4G Interneta po punoj brzini čak i kada nisu imali kredita na računu, bez obzira da li su prepaid ili postpaid. Potrošnja tim posebnim načinom pristupa nije bila evidentirana u Vip sistemu za obračun, pa bi jedino "saznali" za to da neki korisnik potroši par terabajta u toku meseca i pritom izazove degradaciju servisa na takvom nivou da budu primorani da pogledaju tehničke logove. Trebalo im je 4 meseca da mi odgovore i 9 meseci da reše problem.

Ja sam inače za taj propust kontaktirao mrežne administrature u NOC-u Vip mobile, ne korisnički servis, a oni su posle prosledili zahtev korisničkom servisu da se dogovorimo oko nagrade.

Recimo za Crnogorski Telekom slao bih im mejl na [email protected], a za mtel cg na [email protected].

Pitanje je kako bi Telekom Srbija reagovao na prijavu propusta, u slučaju da je problem bio mtel cg. Deutsche Telekom bi ga nagradio skoro sigurno, ali opet... ne znam kakav stav ljudi u Crnogorskom Telekomu imaju prema ovakvim stvarima, retko se dešava.