Naopak! Já oceňuji to, že jste odkaz pro stažení zveřejnili!
- Existuje milión zpráv typu "úřednice zveřejnila rodné čísla v XLS začerněné černým pozadím", "někdo ukradl emisní povolenky" nebo "unikla databáze zaměstnanců organizace OSA".
Pokud neuvede autor článku zdroj, způsob útoku a jiné detaily potvrzující pravost... jedná se o článek typu jedna paní povídala-čili Blesk, kachna, TV a publicita jen pro publicitu.
- Vypovídající hodnota takového článku je 0(nula) a rovnají se zprávě "viděl jsem mimozeměťana a mám databázi z jejich vesmírné lodi".
Za druhé, bez pořádného průseru nebude fix!
- ODS už dostala první výstrahu, kterou naprosto ignorovala, proto je tohle naprosto adekvátní chování. Anonymous na citlivé místo upozornili a ODS nepodnikla kroky k tomu aby tu databázi zavřely do trezoru. Proto je zveřejnění chyby veřejnosti naprosto adekvátní další postup.
- Z pohledu výrobce softwaru, pokud máte bezpečnostní chybu v programu... Whitehat hacker na ni výrobce upozorní. Výrobce nereaguje. Co těd? Má možnost to prodat na černý trh, nebo zveřejnit všem. Zveřejnění všem je ta světlejší možnost! A kdo ví kolik Blackhatů už tuhle databázi zneužilo a někomu prodalo...
Máte-li doma pod slamníkem celoživotní úspory a ukradnou vám je, byla to prostě jenom vaše hloupost. Máte-li doma pod slamníkem stranickou pokladničku a ukradnou vám ji, nesete za to spoluodpovědnost: svěřenou hodnotu jste měl zabezpečit lépe.
Odpovědenost zloděje tím, pochopitelně, není nijak dotčena.
Ne vždy musí jít o neznalost autora databáze, do věci promlouvají i jiné důvody jako je například přenositelnost nebo optimalizace.
V ideálním případě boolean reprezentuje jeden bit, jenže pro počítače (i databáze) je adresovatelná jednotka paměti jeden byte a pracovat přímo s bity je časově náročnější (musejí se "vymaskovávat"), proto je boolean obvykle vnitřně reprezentován prostě a jednoduše číslem (0 nebo 1) a to dokonce celým o rozsahu osmi nebo častěji 32bitů (práce s wordy je nejefektivnější). Jinak řečeno: sizeof(bool) == sizeof(int) - na většině implementací C/C++ například.
Takže v některým případech (neříkám vždy) se může stát, že takový tinyint(1) i int(4) zabírá v konečném důsledku méně prostoru, než boolean (teoreticky 64 bitů na 64bitovém serveru). Záleží na situaci, podpoře ze ztrany runtime (SQL serveru) atd atp.
To jen tak na okraj. Ne vždy se jedná o neschopnost. Dost často jen lidé nevidí všechny souvislosti ;-)
Tak tak, "Odpovědenost zloděje tím, pochopitelně, není nijak dotčena.". Je tu ale jasná odpovědnost ODS a ani po dvou měsících není jasné, kdo je za tento úlet odpovědný a jak je vůbec možné, že k němu došlo. Tradičně to končí mlčením či ignorováním otázek.
Najít zloděje bude těžké, měsíce byl tenhle server rejdištěm velkého množství lidí.
Zapomíná se trochu na jednu podstatnou věc, nebo jen není dostatečně zdůrazněna:
ODS porušila velmi zásadně zákon 101 o ochraně osobních údajů, který provozovateli databáze ukládá povinnost tato data chránit. MySQL bez hesla tuto povinnost jednoznačně nenaplňuje.
Tím také velmi pokulhává přirovnání ke slamníku a zlodějům celoživotních úspor. To nebyl slamník, bylo to jak poházené na zahradě za plotem ;-) Na zahradě neležely bankovky, ale osobní údaje uživatelů, která se majitel DB zavázal chránit a přikazuje mu to zákon...
Je opravdu "skvělé" vědět, že až budou někde člověku ukradena jeho osobní data (třeba za databáze členů bytového družstva), rádobyseriózní novináři se rádi přiživí na tom, aby byla krádež rozšířena a zanechala co nejvíce škod. A ještě se někdo odváží dát tomu nálepku "investigativní žurnalistika"!
Ano tohle jsou povětšinou IT aspekty... jde o takzvaný Data mining . Sestavení správných SQL dotazů a získání relevantních statistických údajů.
Datum narození Nečase (samozřejmě nejde o žádné tajemství) je taková bulvární informace pro oživení článku... což se rozhodně povedlo, takovýto zájem (soudě podle rozsáhlé diskuze) běžně o články Lupy nebývá.
No, pořád jsou mi milejší ti, kdo se flákají a dostávají nějakou v podstatě směšnou dávku, než ti, kdo z pozice moci devastují tuto zemi, kradou, lžou a podvádějí v měřítku, které si normální člověk nedovede ani představit, a ještě k tomu jako výsměch všem slušným lidem pobírají královský plat.
Ti první jsou možná ubozí, ale ti druzí jsou zvrhlí. A ubohost mi zkrátka přijde přijatelnější než zvrhlost. A být v jedné partě se zvrhlíky mi opravdu nepřipadá jako něco, čím by se měl člověk chlubit.
Co se veřejně věnovat pouze tomu, čemu rozumíte?
Oba zápisy tinyint(1) a tinyint(4) obojí ukládá jeden bajt dat. To, že si domýšlíte co má znamenat to druhé číslo a ještě špatně je v pořádku. Ovšem veřejně na tom postavit kritiku, ačkoli o tom mnoho nevíte – nechám bez komentáře.
Stejně tak jsem měl problém číst dál, když jsem četl ohnivou kritiku toho, že v MySQL někdo použil integerový typ pro bool.
Přečtěte si prosím, na co jsem regoval. Že mohou být věci zabezpečené lépe nebo hůře, o tom není sporu. Danie Dočekal ale uváděl, že podstata věci je v tom, že to ODS umožnila. A já si právě nemyslím, že podstata krádeže je v tom, že někdo nemá věci neukradnutelně zabezpečené.
A také si nemyslím, že je OK koupit si věc, o které vím, že je kradená nebo odkazovat na kradená data, stahovat si je a vrtat se v nich.
Je to opravdu zajímavé, jak může existovat SQL bez hesla. Dá se pak vůbec mluvit o neveřejných informacích?
Před příchodem vyhledávačů bylo takto na internetu zveřejněno všechno. Tedy že data jste si mohli prohlédnout pouze pokud vám někde řekl (případně jste si to někde přečetl), kde jsou.
V tomhle případě je to asi stejné.
vedle celé řady novinářů snad ze všech hlavních médií od práva, lidovek, mfdnes, economie, ctk, ceskepozice, parlamentnichlistu, aktualne.cz, ceskeho rozhlasu az po ceskou televizi ... se v databázi nachází i jméno pravdoláskaře Karla Schwarzenberga a pozdějšího šéfa Věcí veřejných Radka Johna :)
To taky nikdo neříká :-))) U MySQL je tinyint ovšem 8 bitů, int 32 bitů a tak dále. http://dev.mysql.com/doc/refman/5.0/en/integer-types.html
Tohle není spor o to, jestli se zabezpečením sníží pravděpodobnost krádeže nebo jestli je dobré si své statky chránit, pokud to jde, protože v tom jsme zajedno. Problém je v něčem jiném, přečtěte si znova můj poslední příspěvek, na který jste reagoval, jen bych se opakoval.
Např.:
* Jaké je "pracovní zařazení" členů ODS: zajímavý střípek do mozaiky. Do které kategorie asi patří kmotři? A ve kterých kategoriích kmotři určitě nebudou? A mimochodem: i když z odpovědí na tyhle otázky vyvodím, že z nich nic dalšího nedovodím, má tento poznatek svou hodnotu :)
* Jak málo je členů i v největších městech: kolik jich je potom v jednotlivých buňkách? Tj. v kolika lidech se asi dělají zásadní rozhodnutí? Zajímavé je to proto, že v malé skupině se dá snáz domluvit na nějaké "černotě" (a úspěšně ji ututlat).
* Jak se členové opakují - jsou to podvody s hlasy? Znamená to, že se na "černotách" domlouvá o to snadněji?
argument pro levicově smýšlející holobrátky. Ale na tom být členem ODS není nic špatného. Aféra má vzbudit dojem, že ano. Že by se členové ODS měli za své členství stydět. Což hodně vypovídá o mladé generaci, která je opilá etatismem a svou budoucnost vidí ve své vlastní dotované existenci. Říkají, oni kradou, my proto dostaneme méně. Což je ta samá logika zloděje.
Když se na to tak koukám, řešil jste dvě věci:
1. "Danie Dočekal ale uváděl, že podstata věci je v tom, že to ODS umožnila. A já si právě nemyslím, že podstata krádeže je v tom, že někdo nemá věci neukradnutelně zabezpečené."
Na tuhle část jsem odpovídal - tím, že podstatu věci vidím v tom, že vládní strana by neměla mít vlastní data tak málo zabezpečená.
2. "A také si nemyslím, že je OK koupit si věc, o které vím, že je kradená nebo odkazovat na kradená data, stahovat si je a vrtat se v nich."
S tím v podstatě souhlasím - nicméně si myslím, že tenhle případ může být oprávněnou výjimkou. ODS má prsty ve velkém množství korupčních afér a v této souvislosti mi statistika (nikoli konkrétní informace) o jejích členech přijde zajímavá - viz vlákno o kousek níž.
1. Trestní odpovědnost dle příslušných paragrafů za nabourání se do cizího systému a krádež dat.
2. Za neoprávněné šíření těchto dat (které je mimo jiné v rozporu se zákonem na ochranu osobních údajů).
Poznámka: Jsem si vědom toho, že ten, kdo to vystavil na net, nemusí být ten, kdo ty data ukradl. I v tomto případě je ale zloděj odpovědný za neoprávněné šíření: dal to minimálně jedné další osobě (tj. tomu, kdo to vystavil na net).
Mno az nebudou vysokoskolaci platit 3x takove dane jako lopaty (tedy vy) tak si tu skolu jiste radi zaplati. Nehlede na to, ze mam velmi blizkou zkusenost se soukromou stredni skolou - zaplatite, a pak si prijdete uz jen pro vysledek. Dokud platite, tak vas nikdo nevyhodi.
MySQL pre kompatibilitu s SQL syntaxou pouziva cislo v zatvorke, ktore hovori o dlzke slova, ale neberie ho do uvahy. Niektore nastroje na pracu s DB mozu byt urcene pre viac platforiem a tomuto cislu venuju vyzam a niekto kto chcel urobit boolean vytvoril tinyint(1). Alebo aj nevenuju a defaultne tam daju int(4), alebo aj preto, ze vedia, ze aj tak MySQL pouzije viac bitov.
Takze ak je to MySQL, tak je uplne jedno, ci je tam tinyint 1, 4, alebo 17.
Funkcny priklad:
CREATE TABLE `nekritizuj_bezhlavo_toho` (`o_koho_robote_vela_nevies` TINYINT(17));
Takže co neudělá on, udělá o něco později a důkladněji někdo jiný! Ježe ono je mnohem pohodlnější dělat mrtvého brouka, než se pokoušet spáchaný zmetek opravit. Pokud udělám botu a někdo mne na ni upozorní, mělo by být zákonem zaručeno, že upozorňující dostane odměnu a upozorněný neprodleně zjedná nápravu!
Pokud mi někdo ukradne ,,jen" zamčené auto, budu ho mít pojištěné a chtít plnění, co mi asi pojišťovna dá? 1/ auto bez dodatečného zabezpečení mi proti krádeži nikdo nepojistí, 2/ pokud se zjistí, že jsem dodatečný systém nechal odemknutý, nedostanu ani Ň! Takže ten, kdo tu databázi adekvátně nezabezpečil je za její zneužití minimálně spoluzodpovědný; pokud není Ú. B., (úplně blbý), musel aspoň tušit, jakou cenu tato data mají, navíc porušil i zákon o ochraně osobních údajů, který povinnost tato data kvalitně zabezpečit výslovně ukládá.
Pokud se vám to stane, podejte žalobu na správce databáze, podle zákona na ochranu osobních údajů je za jejich ochranu osobně zodpovědný. P. S. také jednu takovou databázi spravuji, ale z internetu se na ni nikdo nedostane a pokud někdo nějaké údaje chce, tak jedině přes moji osobu a jedině ty, které se ho osobně týkají a pouze zašifrované.
ovsem toto auto stalo zaparkovane doma v garazi.
jde mi pouze o docekalovo nesmysl kde napsal ze nekdo "umoznil" ukrast tuto db protoze mel aplikovanu pouze zakladni bezpecnost a ne vsechny mozne bezpecnostni prvky. co kdyby nekdo prolezl i pres ne? tak by dotycny take "umoznil" ona data ukrast?
Dane, pohrál ses pěkně, ale zveřejňovat to je nedůstojné. Na lupu to asi patří, podle toho, jak tu lidi diskutují, tak to má hodně hitů i na reklamy, ale já bych se pod něco takového nepodepsal. Nedávno jsem zahlíd v televizi, jak někdo našel v potoce zdravotní kartotéku a taky to nenaskenoval a nevystavil na picassa, to se prostě nedělá. Až bude chtít ODS zveřejnit procento "nemakačenků", tak to zveřejní i sama.
spise myslel ony marxisticke myslitele z filosofickych fakult, kteri povazuji bezplatnou vs za svuj narok. jesteze mam dite ve druhe tride, platim jen za druzinu, krouzky a obedy, kdyz byl ve skolce tak se platilo komplet vsechno, inu treba se tim hradi studium vs "raketovym inzenyrum" z filosofickych a humanitarnich fakult.
jelikoz se jako spravna lopata jiz dvacaty rok pohybuji a zivim v oboru "danoveho poradenstvi" celkem by me zajimalo, ktery paragraf v novem danovem radu uklada trojnasobnou dan vysokoskolakum. pokud jste myslel ono "3x takove" nominalne pak to doklada ale jedine. vs vydelava minimalne 3x+ tolik co lopata (pokud plati pri stejne sazbe dpfo 3x tolik) k cemuz mu evidentne pomohla vs. takze neni duvod si nezaplatit skolne (klidne i jako odlozene skolne po ukonceni vs) kdyz musi kazdy rodic povinne platit diteti materskou skolku ci druzinu.
Tento článek je skvělou ilustrací toho, jací ,,odborníci" vedou tento stát. Troufají si rozhodovat o osudech deseti milionů dnes již řádně naštvaných (až na výjimky), občanů a přitom nejsou schopni si zabezpečit ani vlastní databázi! Potom se nemůžeme divit, kam jsme se od r. 1989 dostali. Kdyby ovládali IT technologie stejně, jako lhaní a kradení, neměli by hackeři ani tu nejmenší šanci.
Vy se na to díváte jako na IT problém. Ale opravdu, svět se netočí kolem IT, ani se netočí kolem petlic na dvéře. ODS na téhle databázi nestojí, ani to není jádro ani okraj jejího "businessu".
Nebyl problém při whitehat zveřejnění nejcitlivější věci anonymizovat.
Pokud by někdo použil znalost té dalabáze k další investigaci, ok. Ale jenom to zveřejnit a udělat nad tím pár nic hlubšího nevypovídajících SQL dotazů... to je opravdu jenom k nadýmání ega "hackerů".
Tohle je jednoduše vandalství, hloupě dělané pro pocit moci a potěšení z povyku luzy.
Takže pokud je někdo členem strany, která vám není sympatická, tak je to podle vás zločinec? To snad nemyslíte vážně, ne? Nejprve byste si měl uvědomit, jak to ve stranách funguje. Na parlamentní úroveň se dostane pouze čtvrt procenta členů, zbytek působí jen v místních sdruženích. A pokud si myslíte, že byste práci politiků zvládl lépe, nic vám nebrání v tom kandidovat a dostat se nahoru.
Potrefená husa se ozvala, hehehe! Hňup, který se neumí pomalu ani vyčůrat, závidí těm, co si umí poradit! Je zajímavé, že na jakoukoli odbornější činnost, než zametání ulic musí mít každý alespoň jedno lejstro s kulatým razítkem, včetně pravidelných přezkoušek, ale na vedení státu může aspirovat kdejaký Pepek Vyskoč, bez toho, že by někoho zajímalo, zda na to vůbec odborně a morálně má! A ten řev, když se najde někdo, kdo by chtěl kvality politiků testovat!!!
Vraťme se k mému příkladu se stranickým pokladníkem: co když nechá ležet (otevřenou = bez hesla!) pokladničku s několika miliony na sedadle auta - několik měsíců... Jistě že by to -podle zákona- nikdo ukrást neměl, ale realita je taková, že je prakticky jisté, že to někdo zkusí.
Jinými slovy: realita je bohužel taková, že zloději jsou, byli a budou. Povinností těch, kdo opatrují cizí majetek (data) je proto uchovávat svěřené hodnoty tak, aby je zbytečně nevystavoval riziku.
Ano, riziko nikdy nelze *zcela* eliminovat. Ale dle Paretova pravidla (20/80) lze s minimálním úsilím eliminovat 80% hrozeb. A to je to, co se v tomto případě nestalo - pokladník selhal i v tom nejzákladnějším zabezpečení...!
A zajímavé je to právě proto, že takhle triviálně selhal "pokladník" vládní strany. V tom je podle mě ta "podstata věci" - musím se teď ptát: podle čeho ta strana vybírá ministry, poslance a radní? Jinými slovy: Když té straně ani vlastní členové nestojí za to, aby je chránila - jak jí mám věřit, že o *naše* (tj. veřejné) statky se hodlá starat zodpovědněji?
"V USA" je asi tak široký pojem jako "v Evropě". USA jsou federace padesátky států a k překvapení mnohých vcelku rozdílných. Ne, ochranku nemáme, ale u nás se krade určitě méně než někde tady: http://en.wikipedia.org/wiki/United_States_cities_by_crime_rate . Jedna anekdotická story pro dokreslení: se tady minulý rok objevila nějaká grupa kriminálníků ze severu a vybílila dopoledne pár domů. Tak v místní TV běžela reportáž, že by bylo vhodné zamknout si barák alespoň dopoledne když jdou lidi do práce a nikdo tam není ;-) A on to taky tady takovej zloděj nemá tak jednoduché jako u vás, viz Castle doctrine.
Tohle je ciste o tom, ze nekdo tu pokladnicku s milionama v aute otevrel, vyfotil a ty fotky zverejnil, ovsem nikomu nic neukrad.
Pokud si date na web fotky ze svy loznice, tak se taky budete strasne cilit kdyz se na Lupe zacne psat o tom, jaky ste idiot?
Jak je vidět, jsou nasbíraná data evidentně s řadou chyb. Navíc samotné údaje mohou mít často jen dočasnou platnost (např. telefonnní čísla) a aparát, který by je udržoval není - nejvýš si může každý zadat svá data na svou odpovědnost.
Další věc je, kdo má k datům přístup a jak jsou chráněná. Řada údajů je zbytečná a jen nesmyslně zvyšují "hodnotu" úniků. Své by k tomu asi mohl říci i ÚOOÚ.
A nejhorší je, že i řada úřadů má snahu si budovat takové špatně zabezpečené databáze, kde data jsou vedena na serverech mimo úřad nebo se spravují externí firmou bez definované odpovědnosti. A kolikrát tam data dává občan "povinně"...
Proč je to nesmyslné? Já v tom nesmysl nevidím.
Nesmyslné je, když Daniel Dočekal a několik dalších kritizují něco, o čem evidentně vědí kulové.
Těším se a rozhodně si nenechám ujít, až Daniel Dočekal napíše třeba kritiku práce atomových fyziků, nebo jiných oborů, ve kterých se neorinetuje. Bude bžunda. Jestli to budou stejné voloviny jako píše o databázích, tak prosím o upozornění předem.
Ano, už tomu rozumím. Podstata věci je v tom, že vina za krádež je na straně okradeného. Když je někdo tak blbej, že si nechá ukrást mobil/auto/kolo, tak je to jeho vina. "Neni ten mobil kradenej, kámo?" "Je, ale jestli se ti to nelíbí, obrať se na toho troubu, co si ho nechal ukrást, hehe!"
"Co zajímavého najdete v uniké databázi ODS" je IT aspekt tohoto případu?
A počet inžinýrů v databázi je IT aspekt tohoto případu?
Datum narození Nečase je IT aspekt tohoto případu?
Nedělejte ze sebe větší faidioty a pokrytce než ve skutečnosti jste... Jestli vás zajímá jak je možné že ta data unikla, tak není potřeba se v nich takhle vrtat ani je zveřejňovat.
Inu- pověstný modrý prák, nositel zhoubné ptačí chřipky v nejhnusnějším a odporně zlodějském trendu, ničiteké národního hospodářství v čele s heberejem Klausem, zlodějem a buranem Topolánkem, Nečasem jiným nepřebernýn gesindelem, vhodným co budoucí laciné a doživotní pracovní síly pro budoucí obnovu porevolučního národního hospodářství. Jiné cesty není!!!
Mno, tam kde já bydlím garáž normálně nezamykám a klíče(a dokonce i doklady) v autě normálně nechávám - ono je to jednušší, když s ním potřebuje manželka někam jet.
A sousedy tedy nenapadne si to auto "vypůjčit".
Ale jak koukám, jiná země - jiný mrav.
62.259 unikátních rodných čísel
56.377 účtů bez hesla
8.872 unikátních hesel (některá hesla jsou použita u více účtů, max. 3)
44.764 unikátních telefonních čísel (1 či více k osobě)
14 účtů testovacích
2 unikátní pohlaví (marťani jsou jen v ČSSD :)
příklad SQL query: "SELECT `password_md5`, count(`password_md5`) as c FROM `cleni` GROUP BY `password_md5` ORDER BY c DESC"
nebo "SELECT `titul_pred`, count(`titul_pred`) as c FROM `cleni` GROUP BY `titul_pred` ORDER BY c DESC"
298 různých kombinací titulů :) ukázka prvních 10 míst:
titul_pred count
bez titulu 50334
Ing. 7679
Mgr. 2916
MUDr. 1162
Bc. 1118
JUDr. 341
RNDr. 271
PhDr. 256
PaedDr. 128
MVDr. 116
DiS. 112
za zmínku stojí i to, že hesla jsou MD5 hashe, bez problémů jde rozlousknout každé 5. heslo (např. "hospoda", "2605", "tuning")
doufám, že ODS obešle či obvolá všechny, kteří mají MD5 hash v této databázi a upozorní je, že jejich heslo může být již známo (mnoho lidí používá stejná hesla pro více účtů)
za zmínku stojí, že pan prezident z databáze vymazán nebyl - pouze byla jeho data nahrazena:
1 NULL NULL Václav Klaus prof. Ing. CSc. 999999999 9999 999999 NULL NULL NULL NULL NULL NULL NULL NULL 0 0 NULL 0 0 0 0 0 0 0 0 0 141 0 0 NULL NULL NULL 1 74326128 NULL 0 0 NULL NULL 0 0 0 0 591 0 NULL 0 0
>"Chcete zjistit telefony na premiéra Nečase, Pavla Béma a tisíce dalších členů?"
Samozřejmě, to je přesně to, co na Lupě hledáme! Děkujeme za odkaz na data porušující zákon. Nudné IT weby už nikoho nebaví, je skvělé, že tu máme nový společenský magazín. Připravuje Lupa také redesign webu ve stylu Super nebo Blesku?
Internet Info Lupa.cz (www.lupa.cz)
Server o českém Internetu. ISSN 1213-0702
Copyright © 1998 – 2021 Internet Info, s.r.o. Všechna práva vyhrazena.