Názory k článku
Hosting90 byl "hacknut". Jak k tomu došlo?

Především si myslím, že když jste se o "napadení", tj. zveřejnění FTP účtů a hesel, dozvěděl, měl jste kontaktovat Hosting90, celou záležitost jim oznámit a ne ji jen zapsat do svého blogu a - IMHO škodolibě - čekat, jestli si toho všimnou sami nebo ne.
IMHO se tak měl zachovat každý, kdo četl původní příspěvek i váš blog - aby to nebylo jen na vás. Úplně zbytečně byly ohroženy webové prezentace a později data uživatelů hostingových služeb; tenhle přístup "z cizího krev neteče" nechápu a docela se mi hnusí.
(Pokud jste Hosting90 28.10. kontaktoval a zapomněl se o tom ve svém článku zmínit, pak se Vám omlouvám. Ale opravte, prosím, článek - působí dojmem, že "vědět o problému, ale neoznámit ho" je dle Vás normální.)

naprostý souhlas
jinak článek je moc pěknej, zajímalo by mě jak se má bránit člověk který je u takové firmy zákazníkem - přece nebudu přecházet vždy když admin něco nezvládne - to bych nedělal nic jinýho

Pouze jsem prebral informaci od "zdroje", overil ji a zverejnil. Nepatral jsem po tom, jestli se informace o hacku uz nekde na internetu objevila nebo ne. Proto jsem ani nevedel, jestli o incidentu sama spolecnost vi. To, ze Hosting90 nic nevedel, jsem pochopil az po rozhovoru s panem Koptou (patek 29.10.), ktery je kontaktoval a udalost jim de facto oznamil.

Urcite nebylo zamerem kohokoliv poskodit. Pokud bych zverejnil odkaz na stranku s FTP pristupy, pak by to jiste skodolibost byla. To se ale nestalo.

Urcity posun ve vnimaji tady je. Pred sedmi lety by byla diskuze na tema zdali je dobre zverejnit cely seznam pass a provozovateli nic nerict. Ted je diskuze na tema zdali nejste darebak, kdyz jste mu to nenapsal a za pet let vas budou kadrovat, proc jste nezavolal hned, ale az za 2 hodiny - az po obede. A vy budete argumentovat, ze mate vredy a ze jste musel nejprve v klidu dojist ;-)

Mozna by tu bylo dobre rict ze prvni kdo na utok byl upozornen byl samotny hosting90. Proto mi prijde napadani koholiv tady ze nic nerekl uplne nesmyslne! Vse ostatni bylo zverejneno az potom co H90 odmitl zverejnit svou chybu a na svych strankach lhal ze byla zavada v HW. Zamerem bylo varovat verejnost pred lhostejnosti jejich providera a upozornit potencialni klienty co je ceka! Pokud nekdo toto odsuzuje tak mozna jen proto ze je admin nebo spolecnik spolecnosti H90, nebo provozuje hosting za stejnych podminek jako oni a modli se ze si ho nikdo nevsimne. Tyto vsechny bych rad upozornil ze vsimne!

Ano, tahle informace se ke mne taky dostala, ale jako naprosto nepotvrzena a neoveritelna. Pry utocnik sam kontaktoval Hosting90 a upozornoval na bezpecnostni diry webhostera, udajne pred nekolika tydny, snad mesicem ...

Pane Bohuslave, taková pěkně použitá anafora. Skoro jako z učebnice! Bohužel to je pojem z básnických figur a ne normálně psaného textu vyjadřujícího se k nějaké věci. IMHO si tedy myslím, že používat IMHO a IMHO hned dvakrát za sebou na začátku dvou vět jdoucích po sobě je poněkud špatně vypadající.
Mé vyjádření k článku? Pan Honza Horna je zajisté magor, ale určitě nééé hajzlík ani mamlas, možná trochu cvok. Vím to, protože ho znám a IMHO je docela v pohodě a když už jsem u těch "anglických výrazů" je taky prostě cool... :)

Chybí mi v anketě odpověď jednoznačné 'ano'.
Jinak ale pekny, pekny

A jaky by me melo potom vychovny element, kdyby jim to oznamil tak to potichoucku ututlaj. Je to dobre ze jim takto dal zausi, aspon se za ne priste chytnou...

Povazuji za soucast "profesni cti" cloveka stojiciho na teto strane "bojove linie", ze pokud zjisti podobnou vec, kontaktujte a informuje postizeneho. Publikovat pouze informaci na blogu je dle meho nazoru jeste horsi, nez neudelat nic.
Kdyz nekdo mediu oznami, ze v nemocnici je bomba, myslim, ze redakce kontaktuje (v tomto pripade) policii, namisto toho, aby otiskla clanek s titulkem "Sestricky si dnes zaletaji". I kdyz co ctu posledni dobu iDnes, kdo vi...
Pokud mluvim o "bojove linii", nechci aby to vypadalo, ze odsuzuji hackera/y. Minimalne v tomto pripade mohli (pokud by chteli) byt mnohem destruktivnejsi. Takto se snad alespon cela vec zjistila vcas, nez na ni prisel pubescent, ktery by se nerozpakoval cely system promaznout.

promazat? proc, pro DoS utok staci par giga porna a odkaz na freefoto.cz :)

Vzhledem k povaze uniklých dat bych usuzoval, že byla hesla přístupná v čitelné podobě. Pokud tomu tak skutečně bylo, můžou si za to částečně sami.

Místo právníka by měli najmout bezpečnostního konzultanta.

Souhlas, jen kreten v dnesni dobe ulozi hesla jako "plain text". Alespon MD5knout by to stacilo - neni to sice buletproof, ale poradnou chvili to zabere vygenerovat z toho heslo.

?

Ja bych to neřešil, teď se to stalo jedné firmě, zítra se to stane druhé. Každý kdo alespoň trošku v oboru dělá ví, že velká většina hostingových firem nějakou bezpečnost příliš neřeší. Ono se ani není co divit, hostingy založené na posledním Linuxu, Apache2, poslední verzi PHP, poslední verzi MySQL atd. jsou zranitelné už ze své podstaty. Nebo snad znáte někoho, kdo by jel na ověřených stable verzích? Ani by to nešlo, zákazníci by ho roztrhali.

Takže se všichni modlí, updatují vybavení při každé nové verzi (i to je svým způsobem ochrana :) a doufají že hackerovi nebudou stát za útok.

Možná to někde dělají jinak, ale za svou kariéru jsem takovou firmu nepotkal (a to byste se někdy divili, jak vypadá "hosting" velké hostingové, webdesignové, nebo full service firmy)

Aniz bych si chtel delat reklamu, tak skutecne znam... dokonce jsou i zakaznici, kterym je temer jedno, zda-li maji last version nebo ne... spise ocenuji stabilnost nabizeneho reseni....<p>A to "zazemi" na ktere narazite... ryba smrdi od hlavy, tak treba zacnete tim, jak vypadaji hostingova centra temer vsech vetsich ISP...:-)))

a panove pozor, promluvil odbornik, tady konci legrace, veskere nase polemiky a diskuze nemaji cenu, kdyz tady pan tvrdi, ze nezna firmy, ktere tam nenaserou vzdy up-to-milisecond-date verzi, tak asi neexistujou njn. jdu zavolat kamosum at ty hostingy zrusej, kdyz vlastne neexistujou a svymu poskytovateli taky, v podstate ja mu uz ted ani nemusim platit - vzdyt neexistuje ...

ja jo, www.portland.co.uk

hostuje vic nez TOP5 hostingu v cz dohromady

jede to na AIXu, Php, MySQL

no ja nevim, ale ja se nemoh na ftp dostat se svym starym heslem uz ve ctvrtek rano(kolem 8:00). Takze u mne bylo ftp "free" vlastne "jenom" pres noc. Jak to bylo s databazi, to nevim. Nemoznost prihlasit se jsem zaregistroval v sobotu vecer.

A jaky smysl tento hack mel? Banda pubescentu se pobavila, vyborne. Pokud chteli na neco poukazat, tak snad jen na to, ze by se meli zabyvat smysluplnejsi praci, protoze ten kdo na to doplatil, byl vicemene zakaznik hostingu...

Myslím že zákazník tohoto hostingu může být rád, že nyní se snad v této firmě bezpečnost zvýší, tím i částečně obhajuji ten útok (c; třeba se nad tím zamyslí i ostatní

Pridam jeste jeden mozny smysl - zamerny utok od nejake konkurence. Nemusi to sice byt prave tento pripad, ale sam jsem se v praxi s timto setkal u mensi hostingove spolecnosti a ona konkurencni firma (prave zacinala podnikat) pote velmi intenzivne obvolavala jejich zakazniky a vychvalovala svoje zabezpeceni...

---> 1. Docela chápu, že Jan Horna nevěděl, jak se má v takové situaci zachovat - je to jen blogger. Považoval informaci za zveřejněnou a jen si ji poznamenal do blogu.

Pro mě naopak šlo o oficiální zveřejnění až ve chvíli, kdy jsem o tom psal - proto bylo třeba informaci experimentálně ověřit (prostě se připojit, nahrát data, kouknout na ně na webu, smazat data, odpojit se) a získat vyjádření poškozeného.

Mít víc času, obvolal bych i některé klienty společnosti a zeptal se, jak jim společnost incident oznámila a jak je informovala o nápravných krocích.

---> 2. Jestli zveřejněním této informace na Lupě došlo ke škodě na straně poskytovatele služeb, nedokážu posoudit. Každopádně společnost jsem kontaktoval telefonicky a emailem mezi desátou a jedenáctou hodinou, zprávička vyšla až ve tři (bez odkazu na seznam loginů), takže měla možnost chybu napravit, obeslat klienty, vydat oficiální vyjádření (pět hodin je dlouhá doba).

Zveřejnění této informace je důležité ze dvou důvodů: a) informovat klienty společnosti o potenciálním nebezpečí (společnost je vystavila možné újmě a neinformovala je), b) působit preventivně (ať už to znamená, že potenciální zákazník má lepší informace pro zvážení rizik, že konkurenční společnosti si dají na tento typ úniku informací důležitých dat pozor, sám poskytovatel bude věnovat více pozornosti zabezpečení, protože už ví, že to neututlá).

Informovat veřejnost o úniku takových dat je vpodstatě povinností masového sdělovacího prostředku. Je to informace o hrozícím nebezpečí. Podobně, jako když třeba z chemičky uniká nějaký plyn (akorát tady nehrozí poškození zdraví, ale "jen" hospodářský dopad pro poškozené klienty). A myslím, že Lupa v tomhle případě jednala vůči klientům splečnosti citlivě, když dala poskytovateli služeb dost času na zajištění bezpečnosti (i kdyby třeba jen shodila FTP server).

---> 3. Bývá zvykem, že konkurenční společnosti obvolají nebo obepíší klienty při takovémhle incidentu. Spíš se divím, že si u tohodle článku ještě žádný hosting nezaplatil reklamu. ;-) Taky bývá zvykem, že konkurence obepíše své klienty, aby je ubezpečila, jaké kroky podnikla k zamezení podobného incidentu. Každopádně, ze zveřejnění té informace nemám osobní prospěch a Lupa také bezprostředně ne. A ke zveřejnění informace nás nehnal špatný úmysl, spíš naopak - proto nechápu, proč mi zástupci společnosti opakovaně vyhrožovali soudem a trestním stíháním.

Eto vsjo z mé strany. Těším se na slíbenou soudní obsílku - nebyla by první, ale určitě by to bylo poprvé, kdy by soud uznal pochybení na straně média.

>> nebyla by první

To by byl docela zajimavy clanek, takovy prehled zalob v historii ceskeho internetu.

Obvykle nedošly dál než k předběžnému opatření soudu.

http://www.nic.cz/soudni_rozhodnuti/

castym jevej je zalovat komplet vsechny registratory, protoze si dle sveho vyjadreji pro svou rychlost vybral nas system i pavel simon tu a tam prijde obsilka od soudu, kupodivu jsou tam casto velmi pestre veci :)

naposledy bylo v zalobe ze casopis xxx spolecnesky zabavny jedinecne vtipny, cenove dostupny urceny k pobaveni siroke verejnosti .....

Teda Martine, nezklamals, zase je ti výtečně rozumět... :-)

dk

coje na tom k nepochopeni ?:)

shrnu:
1. predbezna opatreni jsou bezna
2. casto jsou zalovani komplet vsici registratori
3. casto jsou zaloby opatrenyo az komickymi zduvodnenimi
4. pavel simon ma u nas par takto problematickych domen takze to od soudu chodi dost casto.

jinak zdravim, ted z odstupem uz je to snad v poho. pozdravuj doma (1,2,3 nebo kolik vas ted je:)

"právě znásilnili sousedku, nevím co s tím, tak si to poznamenám do blogu, jsem jen blogger."

-->> TO MYSLÍTE VÁŽNĚ?

Zustanu u tehle analogie - hned po znasilneni pachatel utekl a sousedka zavolala policii sama. Vy jste si cele veci vsiml, az kdyz policie prijela. Budete volat 158? Ctete dvakrat, nez neco napisete, podle me to autor docela jasne vysvetlil.

..a ked ten pachatel utiekol tak Vam zavolal na mobil ze znasilnil vasu susedku, vy ste to napsal do novin, susedka
si precitala noviny a zistila ze ju niekto znasilnil a zavolala vam jak to ze ste to napisal do novin a nekontaktoval ju osobne.. akurat mi nieje jasne kto volal policiu a kedy, z clanku to nieje moc jasne ;)

Spíš je to tak, že si v průchodu pod dálnicí přečtete "znásilnil jsem vaši sousedku, má na krku mateřské znaménko" a jelikož je pod tím připsán časový údaj půl dne starý, žeknete si, že to sdělení určitě už viděla spousta lidí a prvních několik určitě alarmovalo policii a nejspíš i místní pochůzkář od městské už nápis také viděl, a tak si poznamenáte do deníčku: "dneska se v jednom průchodu pachatel přiznal, že znásilnil naši sousedku, prý má na krku znaménko, ověřil jsem to, opravdu ho tam má".

Ale přirovnání vždycky pokulhávají a tohle přirovnávání je spíš hra , než že by to o něčem vypovědělo.

Zapomel jsi rict, ze ten denicek je vystavenej na navsi ...

"Mít víc času, obvolal bych i některé klienty společnosti a zeptal se, jak jim společnost incident oznámila a jak je informovala o nápravných krocích."

Tak ja vam trosku prace usetrim a ozvu se sam.
Firma oznamila pouze to, ze hesla byla zmenna z duvodu rozsahleho upgrade systemu (ktery umozni spusteni novych planovanych sluzeb). O problemech se zabezpeceni a hacknuti ani zminka. Neco se da vycist mezi radky z toho, ze doporucuji pouzivani dlouhych hesel s kombinacemi cisel a pismen, ale jinak nic. Docela me stvou, tohle neni seriozni jednani.

Pro některé své webové účty z pohodlnosti používám ftp. dlouhá hesla jsou zajímavá jen kvůli útoku hrubou silou (odhadování hesla). Jelikož je ftp otevřený protokol, není nic snazšího, než si heslo cestou mezi klientem a serverem odchytit. Proto neni vhodne ftp pouzivat pro komercni aplikace.

Použítí nějakého secure ftp nebo scp by bylo z hlediska ochrany uživatelů lepší -- tedy za předpokladu, že útočník hesla jen odchytává, pokud si pro ně přijde na server, scp vás nezachrání.

existuje mnohem elegantejsi reseni - mit ve webadminu (ci jak se prislusna rozhrani jednotlivych firem jmenuji) moznost zakazit FTP ucet. Rada zakazniku to uspesne pouziva treba proto ze jim obsah webu zajistuje nekdo jiny a i kdyz heslo zna/da se zmenit tak ftp vubec neni povoleno. Odemceni je pak zalezitost par minut. Ovsem predpoklada to mit moznot kompletne oddelit hesla od jednotlivych sluzeb a mit centralni login na veskera nastaveni (pristupne pouze pres SSL).
Z praktickych zkusenosti lze ovsem prohlasit ze casteji se k souborum/datum ze serveru dostane clovek mnohem primocareji a nemusi nachazet odkudzepak to nekdo nahrava data pres ftp. Pouzije nejakou chybu v www aplikaci a uz ani ftp nepotrebuje dostane tam nejake webftp ci sve "tools" precte celej ten web zjisti hesla ....

a pak spamuje :) je zajimave kolik lidi se tomu venuje a kolik lidi nema ani tu zakladni otrlost prejmenovat ruzne formail.php/asp sendmail.php nebo pouzit nejakou primitivni autorizaci (treba nejaky treba 10 minut platny hash obsahujici i mail prijemce )

pekny den, osobne si o hacku hostingu90 myslim pouze to ze jiste ma souvislost s vypadkem elektricke energie v housingu casablanca. nic proti adminovi nemam, ale troska vice skromnosti by obcas prospela! /uff az se mi od huby prasi :)/

Podle vseho to vypada, ze jo. Myslite si, ze ho chyti? Je jeho ip 66.119.34.xxx? Je to jenom nejaka proxy?

Pane Horna, vy budete zrejme peknej mamlas. Doufam, ze vam taky haknou byt a sousedi to napisou na autobusovou zastavku, misto toho aby vam zavolali.

Pokud je muj blog stejne navstevovany jako autobusova zastavka, pak jsem rad a Vam dekuji za uznani :-)

Neprecenoval bych navstevnost autobusovych zastavek. Zvlaste nekterych.

Já naopak Hornovi velmi děkuji za zveřejnění. Copak Hosting90, ten je již odepsaný. Ale pro ostatní nechť je to memento.
Každý natáhne software z CD-čka, obtáhne skripty z internetu, a pak spustí suverénní reklamu, jaký je mezi providery borec. To potom jinak dopadnout nemůže.
Jen jediný dotaz na Hosting90. Kolikrát týdně (v průměru) některý jejich správce projde logové soubory? - A odpovězte sami, ne nějakým neznalým právníkem!

Hosting90 neni odepsany. Clanek na Lupe nema vliv na uspech v podnikani. Stejne jako negativni kampan AAA Auto. Kdyz to vysilali (pro 10 000x sirsi populaci nez je zde) tak jsem si myslel, ze to druhy den zavrou, a jak se jim dari.

Když jsem byl v létě u moře, tak jsem si říkal, jak Globtour se (na rozdíl od naší cestovky) stará daleko lépe o zákazníky. - Až na to, že už nedojeli domů! (A s Fischerem to bylo loni zrovna tak.)
Ale AAA auto a Hosting90 jsou úplně jinak vedené a úplně solidní firmy.

Coze? AAA Auto je solidni firma? :-))))))))

>Coze? AAA Auto je solidni firma? :-))))))))

coz AAA, ale "coze? hosting90 je solidni firma?"

cozpak AAA, ale jmeliii ;))))))

Což hlavně není ani smyslem článků. Chyba se může stát kdekoli.

Ano, souhlas. Ale firma, ktera se okamzite ohani pravnikama i kdyz je vina evidentne na jeji strane je u me odepsana.

je to specifikum jedne ceske kynologicke firmy :) jen ktere kdyz se uz zase prejmenovala. puvodne jsem reagoval ze pisete ze je odsouzena k zaniku (odepsana) pak nasledne ze je u vas odepsana - ne neni zivot de dal 85% zakazniku se to dle meho ani nedozvi.

Mate obrovskou pravdu (vic, nez je prijemne), ze dneska se do IT a podnikani v IT pousti kde kdo a dela kde co. Od prodeje hardware pres spravu siti, webdesign a webhosting az po vyuku. Neni neobvykle potkat cloveka, ktery sam sebe nazyva pocitacovym expertem od doby, kdy se naucil preinstalovat si Wi(n)dows. A bohuzel takovy clovek obvykle mnoho navic ani neumi.

Ale i presto, ze vsechny obory souvisejici s pocitaci jsou dnes preplnene ruznymi diletanty a takyexperty, nepouzivejte slovo "kazdy" - to slovo oznacuje vsechny bez vyjimky a treba uz ja sam se proti tomu musim ohradit.

proc ta skromnost? Uz umite preinstalovat i directx?

Aj, vyznelo to jinak, nez jsem chtel. No, co uz, pozde bycha honit.
Jsem jeste pul krucku za preinstalaci DirectX - poradim si i s vecmi jako ./configure; make; make install; to uz ale do Windows nepatri.

Pro Eregon:
Když už chcete mít dokonalý WebHosting, tak si dejte TITLE až za META.
(Ale to má také špatně každý - třeba i Národní knihovna a ti už mají s Webem daleko více zkušeností než leckterý sebevědomý provider.)

Tak to je ubohe a je zrejme ze Vam neslo o to komukoli pomoci, ale jen o to jak ziskat publicitu pro Vas smnesny blog. Coz je dos smutne a poukazuje to na Vasi ¨Inteligenci¨ i povahu.

Souhlas, je to hipík.
ast

Ano Františku, máš pravdu.

To je blba analogie. Tady nikdo nepsal o tom, ze Janu Novakovi co hostuje u Hosting90 hackli web. Vina pada na toho, kdo mel jeho bezpecnost zajistit. Cili na tu autobusovou zastavku by sousedi mohli napsat leda tek jmeno firmy, co autorovi delala zabezpeceni dveri.

Autorovi doporucujii procist tenhle clanek, a zamyslet se.
http://underground.cz/548

A vy jste ten clanek cetl? :) Cituji par bodu:

Hned po objevení můžete chybu zveřejnit za následujících okolnosti:

- pokud je chyba masově zneužívána a pozdržení informace by způsobilo víc škody než užitku

- když provozovatel nereaguje na vaše maily nebo chybu popírá (riziko blamáže je na vaší straně, pořádně si ověřte, že netvrdíte blbosti!)

Myslim, ze autor tohoto clanku se zachoval naprosto korektne. Neni policajtem, aby napravoval chyby ostatnich, kteri jsou za spravu webhostingu placeni. Navic chybu nijak nezneuzil a ani nenapsal navod, ale pouze overil. To, ze hosting90.cz byl hacknut, neni chyba SW, ale spravcu, kteri ho spravuji. Proto take najednou (behem nekolika desitek minut) meli na serveru vse v poradku. Zrejme probudili sveho quru na site a ten sel zase jednou zaplatovat... :o)

v ankete mi chybi moznost ze to priznat nemeli.
vsechny moznosti jsou jen ANO a posledni je ze nevim takze jsem debil bez nazoru. neni to az prilis cilena anketa k jednomu vysledku...?? v ramci objektitivy nazoru cternare by tam moznosti melo byt vic, minimalne jedna univerzalni NE urcite.

S timto mam jiste zkusenosti - pres trivialni chybu (includovani parametru) jsem se dostal k FTPku kde bylo (a do ted je) shromazdeno asi 300 webu. Informoval jsem webmastera, ktery odpovedel neco o tom ze to spravi. Nespravil, dira tam je porad, a dokonce se ani neobtezovali zmenit heslo na ftp, takze obcas kdyz se v TotalCommanderu ukliknu tak tam skoncim. A pokazde mam nutkani je upozornit nejak vyrazneji nez mejlem. To ze jsem to doted neudelal svedci o mem vyjimecne silnem charakteru ~_^

Nikoli zlomyslnych lidi je na netu porad jeste dost - myslim ze FTP pristup na nahodne ci cilene vybrane virtualni servery klientu 'hosting90' si ze zvedavosti vyzkouselo hodne lidi, ale zatim jsem nikde necetl o tom, ze by byli zakaznici 'hosting90' poskozeni neopravnenou zmenou www obsahu. Take jsem ale nikde nenasel statistiku FTP provozu 'hosting90' za ony inkriminovane dny - na kolika strojich ted lezi kopie dat?
Vas pristup nesvedci pouze o vyjimecne silnem charakteru, ale i o lehkovaznosti. Prestoze zjevne take verite v lidskou slusnost, svemu webmasterovi liknavost v otazkach bezpecnosti netolerujte - ten clovek za svou praci bere penize stejne, jako Vy za svou. Obratte se na jinou odpovednou osobu, v nejhorsim pripade primo na majitele spolecnosti. Jiz zde byl citovan clanek http://underground.cz/548 - vrele doporucuji.

damy a panove z hostingu90,

je usmevne, ze probehla podle Vaseho vyjadreni "dukladna analyza utoku a zabecpeceni serveru" ihned po zverejneni ftp uctu (mimochodem ty jiz kolovali na internetu 5ty den), kdyz jiz druhy den daslo k zverejneni platnych uctu klientu k databazim

pan Horna ma pravdu, ze h90 nebyl (a neni) schopen danou situaci resit (zaloba za poskozeni dobreho jmena spolecnosti? vzdyt zadne nemate :)

vase tvrzeni, ze vase firma podnikla "rozsahla bezpecnosti
opatreni" nuti k zamysleni proc bezpecnosti problemy na vasich serverch stale pretrvavaji?!

"rozsahla bezpecnosti opatreni" podle vas znamena
"zmenili jsme hesla ted uz to je v pohode"? co to bude priste? "komplexni bezpecnostni audit?" :)

pravniky v pravde zalostny stav vaseho hostingoveho "systemu" nezachranite

mimochodem zdrojove kody toho soucasneho(pozor! psalo to nejake prase: :) sic) se prave ted vydali na svou dlouhou pout internetem

do noveho roku vam timto prejeme mnoho dalsich uspechu a
spokojenych zakazniku

herman georing & spol.

adresa:
200.198.105.130
t.c. sluzebne v Brazilii

Stala se proste typicka situace jako vsude jinde.. dokad nenastane poradnej pru*er tak proste spolecnost prachy na bezpecnost neda, a taknejak se to pytlikuje a jakmile nastane problem, vse se ututlava kazdej se tam chyta za hlavu jak se to mohlo stat a pritom stacilo tak malo mit v rozumne vysi fond na bezpecnost jak hw&sw tak na lidi...

Dobry den,
tento clanek a tato diskuse jsou pro me velice uzitecne informace a rad bych pozadal o radu.
Pred par lety mi emailem prisla od nekoho informace, ze mame v nasem systemu bezpecnostni diru a ze dotycny clovek nam ji rad za 1000,- prozradi. Priznavam se, ze tehdy jsem situaci nezvladl a nevim, jak bych to udelal dnes.
Firma nechtela penize jen tak nekomu dat a platit ze sveho jsem to take nechtel (postupem casu by mi z vyplaty moc nezbylo). Asi 2 mes. jsem prolezal cely nas system, ale marne. Pote jsem se odhodlal napsat dotycnemu o radu, ale bez reakce. Dodnes si na to obcas vzpomenu a trapi me to :-)
Zajimalo by me, jak by jste se v teto situaci zachovali vy?
Dekuji

Chtel bych dukaz, ze chyba realne existuje. (Ve stylu "Firma v oblasti IT prijme hackera na plny uvazek. Strukturovany zivotopis zanechte, prosim, na pocitaci STANICE1 v adresari C:\Dokumenty\Konkurs" ;-)

Poznamka pod carou: pocitac neni pripojen k zadne siti, dvere nevykopavejte.