Par dzīvi Latvijā, par šo forumu, un kaut ko no tā..... .

[Laxe]

 Vai tad tur vīriešiem bija atļauts iet? likās ka tikai Sievietēm un Transiem tā komūna

[Laxe]

Pag, tad kuriem Žurknālistiem taisnība?

 

https://www.delfi.lv/46713439/arzemes/120032206/trampa-padomnieku-plans-maskavai-japiekrit-sarunam-vai-ari-vasingtonas-palidziba-ukrainai-palielinas

 

https://www.politico.eu/article/donald-trump-ukraine-russia-war-threatens-cut-aid-election-2024/

 

https://www.reuters.com/world/us/trump-reviews-plan-halt-us-military-aid-ukraine-unless-it-negotiates-peace-with-2024-06-25/

[_dunduks_]

Kārtējais pierādījums, ka nevajag būt par korķi visām pudelēm.

https://www.apollo.lv/8047552/notiesats-izgudrotajs-kurs-atklaja-drosibas-caurumu-csdd-it-sistema

[M@R$$]

1 stundu atpakaļ, _dunduks_ teica:

Kārtējais pierādījums, ka nevajag būt par korķi visām pudelēm.

https://www.apollo.lv/8047552/notiesats-izgudrotajs-kurs-atklaja-drosibas-caurumu-csdd-it-sistema

Es tieši aizdomājos, mosh tomēr Betons ir augšāmcēlies? Bet nekā...

[TOoMoOT]

pirms 2 stundām , _dunduks_ teica:

Kārtējais pierādījums, ka nevajag būt par korķi visām pudelēm.

https://www.apollo.lv/8047552/notiesats-izgudrotajs-kurs-atklaja-drosibas-caurumu-csdd-it-sistema

Tikko izlasīju. 
Skuruks bija pārāk vieglprātīgs savā komunikācijā. Savukārt CSDD ar savu rīcību ir stulbi no stratēģiskās puses.

[AndrisBB]

Tad jau labāk patērējis laiku mēģinot atras Ābolā kādu caurumu

https://security.apple.com/bounty/categories/

[Aigars]

Vai nebija gadījums, ka kaut kādā sistēmā bija speciāli atstāts caurums prieks zinātājiem?

[Jurkins]

pirms 3 stundām , _dunduks_ teica:

Kārtējais pierādījums, ka nevajag būt par korķi visām pudelēm.

Nē! Tas ir kārtējais pierādījums, ka vienkārši anonīmi jāizliek darknetā (gan jau ka var, nezinu kā, jo neesmu bijis tur 🤣). Un tālāk, ja ir sūdi valsts mērogā, tad lai ir.

Šajā gadījumā Satiksmes ministram (jab kā pakļautībā ir tas žurku kantoris) būtu pilnā sastāvā jāatlaiž (bez kompensācijām) visas valdes, padomes un viceprezidenti. Un attiecīgi jāizvērtē visu zemākguļošo dibenlaižu atbilstība ieņemamajam amatam un vispār spēja strādāt valsts iestādē.

Labots Jūnijs 25, 2024 - Jurkins

[Boņs]

Pirms 41 minūtēm , TOoMoOT teica:

Tikko izlasīju. 
Skuruks bija pārāk vieglprātīgs savā komunikācijā. Savukārt CSDD ar savu rīcību ir stulbi no stratēģiskās puses.

CSDD vadība ir stulba, ja nepateikt vairāk - notriec 3K grūtgalvjiem kodieriem, kas neko nerubī un beigās palaiž krimiķi, kur stafeti pārņem grūtgalvji juristi.

Var jau būt, ka komunikācija nebija optimāla, taču mūsdienās kiberdrošībā 1K nav nekas - pašā prastākajā pentestā vismaz piečuks aizies un tādus atbilstoši MK442. noteikumiem vajadzētu taisīt vismaz reizi divos gados.

[e = d]

Ja Tu grabsties gar sistēmu, par kuras pentestu Tev nav līguma ar sistēmas īpašnieku, tad neko neatšķiries no hulīša, kurš mēģina pārlīst pāri sētai un tikt svešā pagalmā.

[ggg97]

Šitas hulītis nosauca savu vārdu un vērsa uzmanību uz caurumu. Citi hulīši izrulētu skarbāku scenāriju.

[Jurkins]

Pirms 14 minūtēm , e = d teica:

Ja Tu grabsties gar sistēmu, par kuras pentestu Tev nav līguma

O, jā! Juristeļu pasaule rullē! 🤣

[ggg97]

Te vairāk vecā padomju sistēma rullē.

[Jurkins]

Just now, ggg97 teica:

Te vairāk vecā padomju sistēma rullē.

Eu! Nu davai pietiek šito dzīt. Vēl 700-gadu vācu jūgu derētu pieminēt. 🤣

[ggg97]

Te vairāk vecā komuņagu padomju sistēma rullē.

Pirms 2 minūtēm , Jurkins teica:

Vēl 700-gadu vācu jūgu derētu pieminēt.

Komuņagu sistēmu atceros, vācu jūgu neatceros.

[Jurkins]

Vecīt! Vēlreiz? Tie CSDD ARNP par padomju sistēmu no vēstures grāmatām varbūt zina. Visticamāk nezina 🤣.

Moderno ofisa tārpu absolūtā nespēja rīkoties situācijā, kas trakāka par "kafijas automāts jāatkaļķo", nespēja uzņemties par kaut ko atbildību, nespēja pieņemt visvienkāršāko lēmumu nenolaizot dibenu priekšniekam bez augstākstāvošā tāda paša dolbajoba rakstiska rīkojuma...

Labots Jūnijs 25, 2024 - Jurkins

[zeds]

Pirms 1 minūtes , ggg97 teica:

Te vairāk vecā komuņagu padomju sistēma rullē.

Kāds te vispār sakars? CSDD pareizi rīkojās, tā ne tikai izskatās pēc izspiešanas , bet arī krāpšanas.

Tas pats kā reklāmas banneri "Tavā sistēmā ir atrasts caurums , nopērc antivirusu šeit!" 

 

Es tev varu pateikt kas (hipotētiski) notiktu ja CSDD samaksātu.  CSDD programmētāji sāktu taisīt un pārdot bagus par kickbackiem "drošības pētniekiem".

Līdzigā situācijā nonāca kompānija kas sāka maksāt testētājiem par atrastajiem bagiem. Koderi sāka taisīt bagus, testētāji viņus atrada, naudu dalīja uz pusēm. Lieki teikt ,ka eksperiments beidzās. 

[ggg97]

Iniciatīva ir sodāma.

[Jurkins]

Jā, tā tas visos laikos ir bijis. 🤣

[Jurkins]

Pirms 10 minūtēm , zeds teica:

Es tev varu pateikt kas (hipotētiski) notiktu ja CSDD samaksātu. 

Negribas iedziļināties (slinkums), bet, ja cilvēks šādā gadījumā nosauc savu vārdu, tad nekas traks nebūtu, ja viņa honorāru noskaitītu nost, nē, vienkārši, nomainītu visu koderu komandu ar pirmo noteikumu - ja kāds atradīs caurumu un prasīs naudu, tad mēs viņam samaksāsim no jūsu atlgojuma x10.

 

Varbūt, vienkārši, koderu līmenis ir nāvējoši zems? Prot paņemt kaut kādu freimvorku un ar peli savilkt "kubiciņus"? Mani tas pilnībi neizbrīnītu. Jo galvenais ir lētāk un ātrāk.

Labots Jūnijs 25, 2024 - Jurkins

[zeds]

Pirms 7 minūtēm , Jurkins teica:

Negribas iedziļināties (slinkums), bet, ja cilvēks šādā gadījumā nosauc savu vārdu, tad nekas traks nebūtu, ja viņa honorāru noskaitītu nost, nē, vienkārši, nomainītu visu koderu komandu ar pirmo noteikumu - ja kāds atradīs caurumu un prasīs naudu, tad mēs viņam samaksāsim no jūsu atlgojuma x10.

Un Tu atvadīsies no amata un dosies pa taisno uz tiesu un vēl atvadīsies no developeru komandas...

Un tie kas paliks strādās 10x lēnāk.

Labi vēl , ka tas muļķis CSDD izvēlējās, ir organizācijas kas viņam naudas vietā termorektālo kripanalīzi uztaisītu par baltā hakera pakalpojumu.

Labots Jūnijs 25, 2024 - zeds

[Jurkins]

Just now, zeds teica:

Un Tu atvadīsies no amata un dosies pa taisno uz tiesu un vēl atvadīsies no developeru komandas...

Ak jā! Sorry! 🤣 Aizmirsu, ka dzīvojam perverso juristeļu pasulē.🤣

[AndrisBB]

Būtu samaksājuši, nevienam neko neteikusi un miers, problēma atrisināta. Nejau tur miljonu prasīja, bet viduvēja programmētāja nedēļas samaksu.

Ja prasītājs nekādu caurumu nevarētu parādīt, tad varētu tiesāt par krāpšanu.

Menedžeri vienkārši pēc labs cilvēkiem sini gadījumā izklausās, kas elementāru problēmu nevar atrisināt.

Labots Jūnijs 25, 2024 - AndrisBB

[ggg97]

Jebkurā gadījumā infa tagad ir publiska vairākos portālos, arī komenti. Redzēs, kā tas attīstīsie. Zed, Tu man šķiet iesastīts. neko objektīvi neitrālu no Tevis nedzirdu.

Pirms 7 minūtēm , AndrisBB teica:

Nejau tur miljonu prasīja, bet viduvēja programmētāja nedēļas samaksu.

Tā, man šķiet, vispār bija simboliska kapeiksumma.

Labots Jūnijs 25, 2024 - ggg97

[Jurkins]

Visriebīgākais ir tas, ka kārtējo reizi atklājās kādi izpisteņi "strādā" valsts iestādēs.

[AndrisBB]

Vismaz cerams ka viņš nepateica kur ir caurums.

[Jurkins]

Just now, AndrisBB teica:

Vismaz cerams ka viņš nepateica kur ir caurums.

Nu ... man viņa vietā darbības plāns būtu skaidrs - darknets, da pofig, kaut par brīvu, lai iznes nakuj to CSDD 🤣.

[zeds]

Pirms 25 minūtēm , ggg97 teica:

Jebkurā gadījumā infa tagad ir publiska vairākos portālos, arī komenti. Redzēs, kā tas attīstīsie. Zed, Tu man šķiet iesastīts. neko objektīvi neitrālu no Tevis nedzirdu.

Tā, man šķiet, vispār bija simboliska kapeiksumma.

ggg97: man nav radu, draugu paziņu , akciju CSDD, es tur nestrādāju un nekad neesmu strādājis.

Kāpēc man jābūt neitrālam ? Man ir kāds pienākums pret šo "balto hakeri" ?

Ja vinš prasītu man es viņam paskaidrotu kāpēc tā ir slikta ideja, bet tā pēc fakta - es esmu brīvībā , viņš cietumā..

 

Labots Jūnijs 25, 2024 - zeds

[ggg97]

Pirms 5 minūtēm , zeds teica:

es esmu brīvībā , viņš cietumā..

Lab, šitas rīt jānoskraidro.

Pirms 5 minūtēm , zeds teica:

 

 

Labots Jūnijs 25, 2024 - ggg97

[versatile]

pirms 7 stundām , AndrisBB teica:

Būtu samaksājuši, nevienam neko neteikusi

Tur jau tā bēda, ka nevar tā valsts kantoris nevienam neko samaksāt. Visam ir iepirkums, pamatojums, dienesta ziņojums, utt.

Pirms nu jau padaudz gadiem swedbank (vēl pirms smart-id) bija fīča, kad, ja pareizi atceros, internetbankā ievadot lietotāja nr, nākamajā solī internetbanka parādīja personas kodu - vai ko tamlīdzīgu. Katrā gadījumā, lietotāja nr + pers kods bija reāli iegūstama datu kopa. Kirils (jā, tas pats) šo viņiem noziņoja, swed to salaboja, bet komentārs bija - tas nebija nekāds gļuks, jo drošība no tā neir necik apdraudēta. Jau toreiz likās dīvaini. Bet nu tas bija pre-gdpr laiks.

Atradu - https://possible.lv/news/tag/mobilas-aplikacijas/ - ok netiek iegūts pers kods, bet vārds/uzvārds. Ar ko pat mūsdienās bieži pietiek, lai tiktu pie personas koda, piemēram, Uzņēmu reģistra datos. 2013.gadā tas bija vēl vairāk iespējams.

Pēc tam parādījās smart-id, kur pieprasījumam uz ierīci pietiek ar to, ka internetbankā ievada tieši šo kombināciju - lietotāja nr un personas kodu. Ja aizsūtīt 1000 pieprasījumus uz viedierīcēm, gan jau pāris jauši vai nejauši akceptētu.

Labots Jūnijs 26, 2024 - versatile

[Jurkins]

Pirms 11 minūtēm , versatile teica:

Tur jau tā bēda, ka nevar tā valsts kantoris nevienam neko samaksāt.

Ne jau par to! Par to "karstā kartupeļa viļāšanu" (varētu pateikt nepieklājīgāk), kas (nezinu, klāt nebiju) spriežot pēc publiskotās informācijas notika tajā iestādē.

Gribot negribot rodas jautājums - vai iekšlietu vai aizsardzības ministrijas iestādēs arī notiktu tāpat?

Labots Jūnijs 26, 2024 - Jurkins

[versatile]

Pirms 10 minūtēm , Jurkins teica:

vai iekšlietu vai aizsardzības ministrijas iestādēs arī notiktu tāpat?

Visdrīzāk. Arī lielos privātos uzņēmumos pastāv iespēja, ka būtu tāpat, ja vien tur nav dedicated security džeks/departaments UN izdodas sakomunicēt tieši ar viņu. Bet arī tad, samaksāt nav viegli.

Vispār, te varētu vērsties prokuratūrā, jo, iespējams, tur ir bijusi csdd interese slēgt fiktīvu līgumu ar punktiņiem, lai veiktu apmaksu par bez iepirkuma veiktu pakalpojumu trešajai personai.

[AndrisBB]

1 stundu atpakaļ, versatile teica:

Tur jau tā bēda, ka nevar tā valsts kantoris nevienam neko samaksāt. Visam ir iepirkums, pamatojums, dienesta ziņojums, utt.

A kā tad noalgoja tos programētājus, kas meklēja caurumu?

[versatile]

Pirms 14 minūtēm , AndrisBB teica:

A kā tad noalgoja tos programētājus, kas meklēja caurumu?

Ar tiem, droši vien, ir kāds "jumta līgums" - iepirkuma procedūrā noslēgts līgums par IT pakalpojumiem, kur katru mēnesi punktiņi izstāda aktu ar veiktajiem darbiem, un, kamēr kopsumma nepārsniedz ieprikuma procedūru, viss kārtībā. Sliktums, manuprāt, sākas, kad caur šādiem jumta līgumiem mēģina samaksāt trešajām pusēm.

[AndrisBB]

Domājams ka ja ļoti gribētu, tad atrastu iespēju samaksāt 1k. Nav jau runa par kautkādām mega summām. 1k visdrīzāk palien zem visādiem 'sīki neparedzēti izdevumi' utt.

Vai paprasītu citai iestādei, kas var veikt šādu maksājumu nevienam neko īpaši neprasot.

Labots Jūnijs 26, 2024 - AndrisBB

[versatile]

Nevar valsts iestādē būt maksājums bez lēruma pavaddokumentu. Es pats strādāju privātā, bet valsts regulētā iestādē, mēs bez n-tajiem parakstiem nevaram neko nevienam aizskaitīt.

 

Pārfrāzējot vienu atbildi, ko es reiz sniedzu bijušajam priekšniekam - es nezinu, kā no uzņēmuma ārā dabūt 1k, bet man būtu idejas, kā dabūt ārā 100k.

Labots Jūnijs 26, 2024 - versatile

[_dunduks_]

Pirms 1 minūtes , versatile teica:

Nevar valsts iestādē būt maksājums bez lēruma pavaddokumentu.

Takš, ja gribētu, tie paši "jumta" ārējie developeri, varēja viņam pārskaitīt un rēķinu pārforwardēt uz csdd.
Man šķiet, ka šeit kāds vienkārši iestājās visvarenā pozā.

[e = d]

Reāli čalis pēc tam, kad šie pat sazīmēja līgumu, nekādu caurumu uzrādīt nespēja. Tikai tāpēc tā lieta tika ierosināta. Jo viņš izčakarēja lērumu cilvēku, kuri bija tam piegājuši samērā nopietni un gatavi izdarīt visu, lai novērstu problēmu. 

[AndrisBB]

Kautkā gan neizklausās ka tur 'nekāds' caurums nav bijis.

 

Pēc nedēļas darba viena ievainojamība tikusi atklāta, tikai CSDD speciālistiem nebijis skaidrs, vai tā ir tā pati, par kuru brīdināja Skuruls. Kā vēlāk izrādījās, tas bijis cits CSDD informācijas sistēmas defekts, bet savā ziņā līdzīgs, jo vienotās pieteikšanās modulī pastāvējusi iespēja autorizēties ar citas personas identitāti.

[zeds]

Beidziet lūdzu teoretizēt. Diskusijas par to ko darīt ja zvana "baltais hakeris" un piedāvā samaksāt prēmiju ir bijušas un instrukcijas šādai situācijai vienmēr ir skaidras - izturieties pret to kā par krāpšanu ( pat ja nav ) un nemaksāt!

 

Kā vajadzēja rīkoties - noreportēt bagu par velti. Mans drošības dienesta kolēģis tā sev ieguva labi apmaksātu darbu un rezultātā nopelnīja daudz vairāk kā 1000 labas algas. Jā tā nav tieša peļņā, bet iegūstot reputāciju tas var kļūt par nesliktu ienākumu avotu.

Ja gribas ar to visu nodarboties ir bounty programmas galu galā.+