Nu nebija tur cauruma, kuru viņš spētu uzrādīt. Pazīstu es Pāvelu un zinu šo gadījumu 

Bet programmētāji ta neatrada.

Kā nav iekļauts? Sistēmas testēšana/QA un pēctam labošana. Ja ir līgums par uzturēšanu, tad tas pats par sevi saprotams ka ietilpst līgumā. Tas ko kampānija maksā apakš-kotraktoriem, tā nav CSDD darīšana.

Baltais hakeris ir balts un pūkains, salīdzinot ar datu valsts inspekciju, ja nu tomēr noplūde panesās.

Neko skaidru es tur neredzu. Cilvēks atrod problēmu, informē resursa īpašnieku, bet par to grib samaksu. Viss godīgi. Ja pat ne-drošības speciālists tādu atrada, tad kaimiņu hakeri atrastu to ātri vien. Visi šinī gadījumā ieguvēji. Vai vajadzēja klusēt un atstāt kā ir? (pietam rezultātā paši darbinieki vēl tur atrada papildus caurumus)

Koruptīva shēma, kuru būtu jāizmeklē prokuratūrai. Nevar maksāt par pakalpojumiem, kas nav iekļauti jumta līgumā. Citādi, uztaisi iepirkumu par vajadzīgo summu X+20%, firma uzvar, un tad saņem rēķinu no cita uzņēmuma par tiem 20%. Tā nevar.

Beidziet lūdzu teoretizēt. Diskusijas par to ko darīt ja zvana "baltais hakeris" un piedāvā samaksāt prēmiju ir bijušas un instrukcijas šādai situācijai vienmēr ir skaidras - izturieties pret to kā par krāpšanu ( pat ja nav ) un nemaksāt!   Kā vajadzēja rīkoties - noreportēt bagu par velti. Mans drošības dienesta kolēģis tā sev ieguva labi apmaksātu darbu un rezultātā nopelnīja daudz vairāk kā 1000 labas algas. Jā tā nav tieša peļņā, bet iegūstot reputāciju tas var kļūt par nesliktu ienākumu avotu. Ja gribas ar to visu nodarboties ir bounty programmas galu galā.+

Kautkā gan neizklausās ka tur 'nekāds' caurums nav bijis.   Pēc nedēļas darba viena ievainojamība tikusi atklāta, tikai CSDD speciālistiem nebijis skaidrs, vai tā ir tā pati, par kuru brīdināja Skuruls. Kā vēlāk izrādījās, tas bijis cits CSDD informācijas sistēmas defekts, bet savā ziņā līdzīgs, jo vienotās pieteikšanās modulī pastāvējusi iespēja autorizēties ar citas personas identitāti.

Reāli čalis pēc tam, kad šie pat sazīmēja līgumu, nekādu caurumu uzrādīt nespēja. Tikai tāpēc tā lieta tika ierosināta. Jo viņš izčakarēja lērumu cilvēku, kuri bija tam piegājuši samērā nopietni un gatavi izdarīt visu, lai novērstu problēmu. 

Takš, ja gribētu, tie paši "jumta" ārējie developeri, varēja viņam pārskaitīt un rēķinu pārforwardēt uz csdd. Man šķiet, ka šeit kāds vienkārši iestājās visvarenā pozā.

Nevar valsts iestādē būt maksājums bez lēruma pavaddokumentu. Es pats strādāju privātā, bet valsts regulētā iestādē, mēs bez n-tajiem parakstiem nevaram neko nevienam aizskaitīt.   Pārfrāzējot vienu atbildi, ko es reiz sniedzu bijušajam priekšniekam - es nezinu, kā no uzņēmuma ārā dabūt 1k, bet man būtu idejas, kā dabūt ārā 100k.

Domājams ka ja ļoti gribētu, tad atrastu iespēju samaksāt 1k. Nav jau runa par kautkādām mega summām. 1k visdrīzāk palien zem visādiem 'sīki neparedzēti izdevumi' utt. Vai paprasītu citai iestādei, kas var veikt šādu maksājumu nevienam neko īpaši neprasot.

Ar tiem, droši vien, ir kāds "jumta līgums" - iepirkuma procedūrā noslēgts līgums par IT pakalpojumiem, kur katru mēnesi punktiņi izstāda aktu ar veiktajiem darbiem, un, kamēr kopsumma nepārsniedz ieprikuma procedūru, viss kārtībā. Sliktums, manuprāt, sākas, kad caur šādiem jumta līgumiem mēģina samaksāt trešajām pusēm.

Mans komentārs bij par to, ka vajag karti, kas māk paņemt analogo signālu. Nevajag. Vai kaut ko nepareizi sapratu no rakstītā?  

A kā tad noalgoja tos programētājus, kas meklēja caurumu?

Kuram mūsdienu kompim ir firewire ieeja? Ja stacionārais, tad gan jau karti var atrast, ko piespraust. Kamēr pats lietoju miniDV, tikmēr arī vēl varēja par portatīvos jaunus nopirkt ar fw, ko arī darīju. Pēc tam jau nopirku ar SD karti, un vairs nebija jāčakarējas ar pārdzīšanu.

Visdrīzāk. Arī lielos privātos uzņēmumos pastāv iespēja, ka būtu tāpat, ja vien tur nav dedicated security džeks/departaments UN izdodas sakomunicēt tieši ar viņu. Bet arī tad, samaksāt nav viegli. Vispār, te varētu vērsties prokuratūrā, jo, iespējams, tur ir bijusi csdd interese slēgt fiktīvu līgumu ar punktiņiem, lai veiktu apmaksu par bez iepirkuma veiktu pakalpojumu trešajai personai.

Kaut ko par daudz samudžināji. Vnk kompis ar Fireware ieeju, DV kamera ar fireware vadu - pa taisno kompī ciparos. Digital 8 kamera ar fireware kabeli. Ja ieraksts ir Digital8 (DV), tad nav problēmu, ja parastā 8, vai Hi8, tad vajag kameru, kas jau pati konvertē pūš ārā uz firewari DV.  @edzha90, padod ziņu cik tur daudz tev ir un kad vajag. Man pašam viss nepieciešamais ir, bet nav laika. Iedošu kontaktu, kas palīdzēs pa normālu ciparu.

Ne jau par to! Par to "karstā kartupeļa viļāšanu" (varētu pateikt nepieklājīgāk), kas (nezinu, klāt nebiju) spriežot pēc publiskotās informācijas notika tajā iestādē. Gribot negribot rodas jautājums - vai iekšlietu vai aizsardzības ministrijas iestādēs arī notiktu tāpat?

Tur jau tā bēda, ka nevar tā valsts kantoris nevienam neko samaksāt. Visam ir iepirkums, pamatojums, dienesta ziņojums, utt. Pirms nu jau padaudz gadiem swedbank (vēl pirms smart-id) bija fīča, kad, ja pareizi atceros, internetbankā ievadot lietotāja nr, nākamajā solī internetbanka parādīja personas kodu - vai ko tamlīdzīgu. Katrā gadījumā, lietotāja nr + pers kods bija reāli iegūstama datu kopa. Kirils (jā, tas pats) šo viņiem noziņoja, swed to salaboja, bet komentārs bija - tas nebija nekāds gļuks, jo drošība no tā neir necik apdraudēta. Jau toreiz likās dīvaini. Bet nu tas bija pre-gdpr laiks. Atradu - https://possible.lv/news/tag/mobilas-aplikacijas/ - ok netiek iegūts pers kods, bet vārds/uzvārds. Ar ko pat mūsdienās bieži pietiek, lai tiktu pie personas koda, piemēram, Uzņēmu reģistra datos. 2013.gadā tas bija vēl vairāk iespējams. Pēc tam parādījās smart-id, kur pieprasījumam uz ierīci pietiek ar to, ka internetbankā ievada tieši šo kombināciju - lietotāja nr un personas kodu. Ja aizsūtīt 1000 pieprasījumus uz viedierīcēm, gan jau pāris jauši vai nejauši akceptētu.