Nie mogłem przejść obojętnie wobec linka podrzuconego przez mmazura. To, że Hacking.pl jest w środowiskach informatycznych uważany za komputerowy odpowiednik SuperExpressu, czy innej Pani Domu, to jedno. Ale, panowie, proszę ja was, nie przeginajcie.
Pomijam fakt upartego twierdzenia, że hackerstwo jest jednoznaczne z włamaniami (zapraszam z takimi pomysłami na LKML). Tak jest bardziej medialnie, zwłaszcza, jeśli zatytułować artykuł
(cudzysłów konieczny, ze względu na sarkazm) Hackowanie na żywo!
Klikam ci ja link i dowiaduję się, co następuje: niejaki Paweł, osoba powszechnie kojarzona w kraju,
wystąpi w programie, o którym nigdy nie słyszałem (najlepsze show polityczne
— nie wiedziałem nawet, że show jest rodzaju nijakiego, ale ja nie mam telewizora, mogę się nie znać).
Cóżen on za jeden, ten ekspert pod kątem bezpieczeństwa sieci
(i w jakich jednostkach liczy się kąt bezpieczeństwa?), możnaby spytać. Ano wsławił się imć J. ujawnieniem skandalicznych nieprawidłowości w Instytucie Energii Atomowej w Świerku.
Czyżby radioaktywne wycieki, wszak budynki z atomami w nazwie to nie przelewki. Przykro mi, ale chodziło o włamania script kiddies na słabo zabezpieczony serwer WWW. (Swoją drogą, kiedyś w Hacking.pl pojawił się przedruk mojego tekstu o tym, jak wyjąć sobie bazę klientów Alei Handlowej, czy też jestem już powszechnie,
czy trzeba coś atomowego zepsuć?)
Szukam ci ja więcej informacji o tajemniczym ekspercie, wszak nie wypada człowiekowi oferującemu audyty bezpieczeństwa aplikacji, by nie znał osoby powszechnie… itp.
Zaglądam więc na bloga rzeczonego specjalisty i czytam, ci ja powoli (bo takich zdań szybko czytać się nie da):
Pobierana przeze mnie edukacja w szerokim zakresie programu edukacyjnego obejmuje zagadnienia większości nauk ścisłych w tym także kierunkowych, takich jak teoria sterowania, automatyka przemysłowa, komputerowe wspomaganie projektowania układów automatyki, optoelektronicznych, elektronicznych a także technika cyfrowa mikroprocesorowa.
Dla mniej obdarzonych fantazją, w wolnym przekładzie:
Pobierana przeze mnie woda w szerokim zakresie wody zawierała dużo płynów, w tym także mokrych, jak H2O.
Do czego piję? Ja wiem, że Hacking.pl płynie na fali sensacji, że musi mieć szokujące nagłówki, że to nie hackerzy toto czytają. Mimo wszystko, trochę pokory w autopromocji. W życiu o gościu nie słyszałem, jego dorobek zawodowy jest porównywalny z co najmniej połową moich kontaktów na LinkedIn, a wy mi tu z powszechnie kojarzonymi?
Powszechnie kojarzony to jest lcamtuf albo Joanna Rutkowska.
Z całym szacunkiem dla Pawła, któremu życzę takiego rozgłosu, jaki mu koledzy przykleili.
Musieli jakoś przyprawić aby była większa oglądalność oraz że niby w studiu będzie ekspert. Takie są reguły telewizji.
Może być nawet zabawnij niż podczas ujawniania “taśm prawdy” …
A ja tam chętnie obejrze, jeśli ktoś wrzuci na yuotube’a. Jak zwykle będzie gadka-szmatka o niczym, fakty o których wszyscy wiedzą, tylko, że ładnie pokolorowane. Mam pewne doświadczenia z ludzmi z TV i wiem, że są dosyć eghmmm “oryginalni”, na niczym się nie znają, ale o wszystkim gadają :D Swoją drogą film “Hakerzy” z 1995 też mi się podobał ;)
Paweł Jabłoński? Kojarzę owego szacownego pana z joggerowego bloga marcoosa, z paru mało udanych wypowiedzi na nim, pogróżek, przechwałek… i przekręcenia słowa steganografia. Z tym mi się kojarzy ten człowiek i tylko z tym.
lcamtuf? a kto to jest? Zresztą to nie jest prawdziwy hacker, bo nie pije kawy i piszę bloga :)
Temat hakingu w telewizji niestety jest taktowany strasznie sensacyjnie - dużo do czynienia z dziennikarzami mieliśmy do czynienia przy okazji opublikowania naszego raportu o bezpieczeństwie bankowości elektronicznej (ze dwie telewizjie i chyba pięć dzienników) - pierwsze pytanie tych ludzi brzmiało “to ile mogliście ukraść?” Kompletne niezrozumienie tematu.
Co do tego, czy ktoś jest powszechnie znany, czy też nie to jest bardzo względna sprawa. Fakt, że o kolesiu słyszę nie pierwszy raz nie znaczy, że jest powszechnie znany - kiedy ostatni raz o nim czytałem, to przetłumaczył jakiś artykuł o omijaniu IDS-ów i podpisał swoim nazwiskiem. :)
A ja, czy ja też jestem powszechnie znany :P
Kliknąłem żeby się nagrało, być może Marvin się nie zawiesi od nagrywania tego programu ale … szkoda czasu na wysyłanie tego gdziekolwiek :D
Nie ma to jak jak “hackowanie” skrzynki pocztowej policji przez interia.pl :P
“Emacsem przez sendmaila” :)
Zważ na podtytuł bloga: “miarą sukcesu w Polsce jest ilość posiadanych wrogów”. To o Lepperze? Anyway, właśnie zostałeś jednym z nich :)
Przez interię cała prezentacja legła w gruzach, ah.
No i kurde co ten koleś próbował udowodnić - ja wprawdzie wiem, że prezentacje na żywo mają to do siebie, że czasami się nie udają - no ale litości - 2 próby, 2 porażki - śmiech.
To było raczej “Internet Exploiterem przez wifi” :D
nie przez interię tylko na pewno pan generał zapomniał, że trzeba nacisnąć “wyślij” ;-)
Anyway najlepszy był chyba wstęp, muszę zobaczyć czy umiem powiesić film na Utube … no i poczekać aż mi się mickey zaktualizuje (się gnome kompiluje), żeby było na czym przerobić .vdr na .mpeg
Jego Skype ID mnie rozwalił: inz.pawel.jablonski
Za niecały rok zmienię sobie swój ID na mgr.przemyslaw.kulczycki żeby poczuć się lepszym ;)
yZZuf: był taki u mnie na śp. joggu? Bo ja sobie nie przypominam… ;-)
Nie mam nic do goriona, ale dlaczego powiedział, że nikt mu się nie włamał nigdy. Przeciesz podmienili mu http://WWW.
Panowie chyba jakies kompleksy maja. Pol katowickiej policji ogladalo program, nie widze problemu zeby mu ‘ubic’ tego maila :-). I nie wiem dlaczego sie wszyscy czepiaja. No i swoja droga swietny wyznacznik eksperta: czy go zna autor niniejszego bloga :p.
olac program … jaja to sa na tym blogu w komentarzach :D http://paweljablonski.bblog.pl/wpis,poziom;zabezpieczen;polskich;serwerow;rzadowych,539.html
nie no daj spokój, nie daj sie wciągnąć w tę szczeniacką nagonkę na człowieka tylko dlatego że to nie Ty.. (czy każdy inny) został zaproszony do tego programu tylko akurat on - i jak widzę to wystarczy żeby go powiesić, wyzwać, sponiewierać i uczynić sprawcą wszelkiego zła i co tam jeszcze sobie kto zamarzy ;)
Ja to widzę tak: koleś potrafi się wypromować (w sposób jaki nie potrafi każdy z tak zaciekle krytykujących go komentatorów), a cała reszta postanowiła z zazdrości wyżyć się na nim za wszystkie swoje niespełnione marzenia o sławie, pieniądzach i kobietach. ;-)
Take it easy.
PS. najpierw dyskredytujesz haking.pl żeby kilka linijek niżej przyznać się że przecież Ty też pisałeś do tego SuperExpressu - i jest się czym chwalić ? A jeżeli krytykuje się coś (program) to wypada mieć o tym wcześniej pojęcie.
Aaah, gorion. To raczej był na blogu mmazura niż moim. ;-))
Zgadzam sie z krzak-iem. No i jeszcze kwestia edukacji. To ze autorowi tego bloga te terminy nic nie mowia, swiadczy tylko o autorze wlasnie.
krzak:
Podobnie, jak pisałem do innych serwisów, które były w stanie wywrzeć dostateczną presję na panów z Alei Handlowej, która miała wszystko w dupie. Mogłem też puścić na Wykop link do danych klientów.
Czepiam się tego, że Hacking.pl szuka taniej sensacji, podobnie jak szuka jej TVN. Takie programy bynajmniej nie zwiększają świadomości u Kowalskich w domu. Kowalscy dalej są przekonani, że policja trzyma dane wszystkich obywateli RP i że te dane są na ich stronie http://WWW.
Talk show w TV tego nie zmieni, choćby zaprosili tam całe PLD na raz. Gdyby powiedzieli, że “taka i taka firma ma dziurawą stronę,” to by zrobili widzom większą przysługę, niż podkreślanie co 2 zdania, że to intytut atomowy i że ma luki w systemach bezpieczeństwa.
Notkę pisałem przed programem i nieświadom powiązań Pawła z Gorionem z bloga mmazura (to było 2 lata temu, jak sprawdziłem u źródła).
Z twojej notki wynika to, że żałujesz że to nie ty byłeś w tv, tylko gorion. Nie słysząc o nim wpadłeś na pomysł, żeby go zdyskredytować, ale ciekawe dla kogo ta notka. Ludzie którzy znają goriona wiedzą, że koleś dużo wie, i wiedziałbyś o tym i ty gdybyś kiedyś wyjrzał przez okno swojego ego.
Co lepsze fragmenty z bloga rzeczonego pana, który właśnie odwiedziłem:
(merytoryczne w pomieszaniu z językowymi, wszystkie na podobnym poziomie)
“[NLP] jest sztuką oraz nauką tworzenia idealnej doskonałości.”
“jak również technik interakcji z otoczeniem pod kątem wszelkich procesów natury neorulingwistycznej”
“W NLP świadomym jest coś, o czym zdajemy sobie aktualnie sprawę”
“Celem programowania neurolingwistycznego, którego wstępny zarys przedstawiam w niniejszym wpisie, ma dać ludziom więcej możliwości w tym co robią,”
No dobra, wpis do bani, to może poczytajmy co pan Paweł ma o sobie do
“W latach 2003 - 2006 byłem redaktorem portalu poruszającego tematykę bezpieczeństwa informatycznego Hacking.pl.”
O, interesujące, nieprawdaż? ;>
Ja wierzę, że pan Paweł Jabłoński jest osobą kompetentną w tematyce bezpieczeństwa, a przynajmniej że zna się na komputerach i sieciach. CV ma dość imponujące.
Ale błagam, niech mu ktoś znający się choć trochę na pisaniu te teksty redaguje, bo w obecnym stanie są… są jak widać.
A kwestii lansu za pomocą portalu w którym się redaktorzyło nawet nie będę komentował.
Ten gosciu bawi mnie do lez ta swoja auto-promocja. Z panem INZYNIEREM Pawlem J. Mozna skontaktowac sie rowniez przez skype, nazwa konta to:
inz.pawel.jablonski,
Prawdziwy powod do dumy.
Czytam tak te Wasze komentarze jak się z gościa śmiejecie… ale tak naprawdę to Wy jesteście śmieszni. Powiedzcie, że mu zazrościcie teraz, a nie pieprzcie takie głupoty i cytaty z jego bloga.
Za takich wymiataczy się uważacie?
Gość znalazł błąd na serwerze, dał cynk tvn i ma teraz swoje pięć minut.
Pewnie gdyby na miejscu Pawła był autor tego bloga, to komentarze byłby “zajebiście Ci poszło!”, “było jeszcze bardziej skompromitować tego speca IT z policji”, a Zawadzki by wpadł w samo uwielbienie.
:)
jan dzban, shpyo:
Ja rozumiem, że jesteście z jednej piaskownicy i w ogóle, ale czytać to nie potraficie. Notka nie jest o Pawle wcale, jest o Hacking.pl i naciąganiu pierdół i robieniu sensacji kosztem czytelnika.
Możecie dowolnie długo kombinować z tym, jak to jadę po programie i jak zazdroszczę, ale ja nie mam telewizora nawet. Przykro mi.
Dobra, to teraz na spokojnie kilka komentarzy
#1 - sam program był z jednej strony nudny, a z drugiej straszliwie nastawiony na sensacje. Co się gorionowi udało - przed programem przechwycić maila wysłanego przez formularz na stronie i wykraść danę kilu osobowe kilkunastu policjantów. To wszystko implikuje atak XSS i/lub SQL injection (może jeszcze CSFR). Nie doszło do przełamania żadnych poważniejszych zabezpieczeń (a przynajmniej nic na ten temat nie padło). Nie pierwsza to strona i nie ostatnia, która ma tego typu błędy - sam jestem w stanie wykonać kilka takich ataków dziennie, ale to jeszcze nie czyni mnie hakerem i nie wzbudza sensacji. No ale to był serwer policji - i jest szał, bo można o tym program zrobić, jak to policja nie pilnuje danych.
#2 - było sporo gadania o bezpieczeństwie poufnych danych policyjnych. Najpierw gorion mówił jak to można przełamać zabezpieczenia policji i dostać się do sieci wewnętrznej. Gadał, ale nie pokazał - wnioskuje więc, że się to nie udało. Potem Pan z policji długo i cierpliwie tłumaczył, że dane poufne są trzymane w odseparowanej sieci - tego tematu nikt nie podchwycił, bo nie pasowało do koncepcji programu. A wogle, to znajomy mi podpowiada, że te dane który niby ujawnili, to były numery kontaktowe do dzielnicowych. Strasznie tajne dane
#3 - jeśli chodzi o główną tezę programu, to się zgadzam - instytuje państwowe są słabo zabezpieczone. Problemem nie jest wcale brak pieniędzy (skoro stać ich na komputery za 25k euro z szyfratorem), ale brak odpowiedniego podejścia do bezpieczeństwa. Zresztą pisałem o tym u siebie nie raz.
#4 - co do kwalifikacji goriona nie będę się wypowiadał, bo ich nie znam i nie mogę ich ocenić. Pretensje mam tylko za to, że był w tym programie cholernie pasywny, nie drążył tematu i wyglądał jak nie z tej bajki. Na pewno nie jest to człowiek powszechnie znany w środowisku hackerskim. Powszechnie znani, to są ludzie, którzy piszą na bugtraqa, występują na koferencjach i tworzą jakieś poważne projekty. Gorion nic takiego nie robi (z tego co wiem).
#5 - temat lansowania się. Oczywiście zaraz pojawiły się zarzuty, że patrys komuś czegoś zazdrości. Jasne, każdy przecież chciałby wystąpić w telewizji. No ale nie każdy ma ku temu zdolności i nie każdy się tam pcha na siłę. Patrys może ma, ale się tam nie pcha. Gorion dostał się do programu, ale zdolności występowania przed kamerą nie ma (jakiś specjalnych zdolności hackerskich też się nie dopatrzyłem) - ot zwykły entuzjasta bezpieczeństwa.
Reasumując program - góra urodziła mysz.
http://www.youtube.com/watch?v=Gt21CIcv4ow
Jeszcze komentarz mojego kolegi z zespołu. Komentarz pierwotnie poszedł na bloga goriona (http://paweljablonski.bblog.pl/wpis,poziom;zabezpieczen;polskich;serwerow;rzadowych,539.html), ale mamy obawy, że zniknie, więc przeklejamy tutaj:
Błażej Miga:
Kilka uwag (pewnie na spokojnie):
1) gorion powiedział że nigdy mu się nie włamali. Cierpliwi niech poszukają archiwum z deface http://www.gorion.org (wisiało z miesiąc)
2) Opublikowanie danych dzielnicowych nie jest impnującym osiągnięciem niezależnie od tego czy dostał się do nich przez code injection, brak hasła dla phpmyadmin czy ściągnął je ze strony http://WWW. ;)
3) Paweł jest znany ze swojego “charakteru”. Lubi publiczne wystąpienia, lubi opowiadać o swoich umiejętnościach mimo że zawalił laborki z C na pierwszym roku politechniki. Tyle o umiejętnościach.
4) Komentatorzy powyżej słusznie zauważyli że znani to są Michał Zalewski albo Joanna Rutkowska. Paweł nic nie opublikował, nigdzie nie występował, niczego sensownego nie napisał (no albo może tak blackhatuje że nie pokazał).
5) Jestem pod wrażeniem umiejętności lansowania się goriona - piszę całkiem serio - mimo małej wiedzy, jeszcze mniejszego doświaczenia umie wykreować swój image speca od bezpieczeństwa i pewnie kiedyś to skutecznie sprzeda. Obłudę tego działania dostrzega tylko kilka osób, które widzą że “czary” goriona są tylko ściemą.
6) gorion - typek z policji pytając się czy wykorzystujesz wiedzę zdobytą w czasie legalnej działalności stowarzyszenia do nielegalnego “włamywania się” do sieci publicznych nie chciał usłyszeć “tak” ;) Gratuluje pewnie ostatnich chwil sławy
ps. kiedyś mi obiecałeś że przyjedziesz do mnie swoim BMW i nastukasz mi kijem bejsbolowym a następnie strzelisz ze swojego guna którego podobno nosisz przy sobie. Nadal aktualne?
Patrys:
Ja nie próbuję nawet bronić goriona (czy jak mu jest) przed tym że może się nie zna, może się zna - mnie osobiście to nie interesuje bo człowieka nie znam i w tym programie niczego się o jego umiejętnościach nie dowiedziałem.
Zwracam tylko uwagę na krytykanctwo które pojawiło się wraz z chwilą gdy opublikowana została informacja o tym że to właśnie on a nie jakiś już znany entuzjasta bezpieczeństwa wystąpi w programie mającym duża oglądalność. Pozatym… jak by wzięli znanego to też by stracił szacunek bo przecież nikt by nie zaakceptował że ktoś zniżył się do występu w programie sensacyjnym. Ot taki nasz polskawy smrodek zazdrośników z kompleksami.
Szacunek zdobywa się na blogach w których krytykuje się wszystkich i wszystko oprócz swoich doskonałych dzieł, wiadomo ;)
Szacunek.
Krzak:
Dalej ignorujesz fakt, że w notce nie ma nic o TVN, a dostało się tylko redakcji Hackingu.
g pozamiatał, nalejcie mu wódki! :D
@g: ale on wcale sie nie wylansował… moze miał taki zamiar, ale w programie “pokazał się” jako geek, ktory nie jest medialny, nie ma “gadany”, ani za duzych umiejętności… (najlepsze jak pokazywali screeny z ls’ow ;)… program okazał sie żąłosny, a wczesniejsze zapowiedzi nie do końca prawdziwe i tyle…. powienien być EOT, szczegolnie ze strony tego “specjalisty”.
@pcc: zobaczysz że się jednak wylansował - padło kilka magicznych słów typu “specjalista”, ‘Znany” itp. Paweł pokazał się w tv i pewnie kiedyś coś z tego wyciągnie. Nie ważne jak mówią - ważne żeby mówili. I za to go “podziwiam”. ;) Pozdrawiam
btw. Pawłowi trzeba też gratulować wytrwałości. Najpierw klapa cipher, deface strony, a teraz to. Pewnie też zniknie na kilka tygodni żeby podleczyć ego, postraszyć mniejszych od niego lub poopowiadać na czatach jak podrywa małolaty, żę ma guna i że jeździ BMW. No a później pojawi się na scenie z kolejnym pomysłem na zawojowanie świata security. Zamiast usiąść i poprostu trochę poczytać, pomyśleć, poklikać… ;)
g - trafne treści.
Nie wsłuchiwałem się i przez to prawie complexów dostawałem, że ja taki głupi jestem :P
Na szczęście jak zwykle wróciliście mi ludzie wiarę w moją inteligencję! Teraz wiem, że mam dość IQ żeby założyć dres na właściwą stronę :P
http://komandrat.wrzuta.pl/film/1q82W8QyrH/hackowanie_na_ekranie
Co do programu tam nie chodzilo o wlamanie, ale o to zeby zabezpieczac, ale Wy jestescie na tyle slepi, ze nie zrozumieliscie puenty tego programu oraz calosciowego przekazu. To byla prezentacja mozliwosci jakie niesie ze soba nieodpowiednie udostepnianie jawnych informacji, bledow aplikacji, etc. Btw. Patrys, a wg Ciebie YouTube to nie `zdalny` telewizor ?:)
Z Patrysa taki spec, że nawet na studia zarobić nie potrafi więc nie ma sensu czytać jego subiektywnych opinii. Zresztą w tym środowisku każdy uważa się za specjalistę, bo przecież wie więcej od swojej mamy.
g.v:
Na czym waść opierasz swoje złośliwości? Jakimś cudem stać mnie na płacenie 420 PLN czesnego miesięcznie, podobnie jak stać mnie na płacenie 1100 PLN za połowę czynszu i rachunków (mieszkam z nbw). Stać mnie też na papierosy, piwo, a ostatnio i na leki, bo leżę z gorączką w domu.
A że nie zarabiam jakiejś góry pieniędzy? Cóż Google ci powiedzą, czemu - wolny czas spędzam przy oprogramowaniu OpenSource.
Nadmuchali goriona jak zabke..
Autor tekstu ma całkowitą racje. Robi się sensacje z byle czego. Co innego gdyby Jabłoński pokazał bardziej zaawansowane “sztuczki” a nie pokazy typu “ściągnij gotowy exploit ze strony i go użyj”. Co do samego serwisu hacking.pl to od dobrych dwóch lat nie jest już rzetelnym serwisem i nic ciekawego się na nim nie dzieje tak jak to dawniej było. Nawet ekipa nie jest już taka jak dawniej - z tego co słyszałem i co widać na stronach, wykruszył się skład całej ekipy - odszedł główny redaktor o pseudonimie jerry, który według mnie napędzał ten serwis i to dzięki niemu były bardzo ciekawe odkrycia, a pisane przez niego informacje naprawdę były warte uwagi i pochodziły zazwyczaj z pierwszej ręki. Autor starał się również badać zabezpieczenia stron www i publikował o tym ciekawe artykuły i informacje prasowe. Przyznam się, że jeszcze wtedy lubiałem czytać ten serwis bo zawsze było coś
ciekawego i świeżego a teraz to zestaw marnie przefiltrowanych newsów.
Wyluzujcie sam machnacz potwierdzil, ze jest to fachowiec najwyzszej klasy. Kto jak kto ale policja ma zawsze najlepsze rozpoznanie. Dlaczego po nim tak jezdzicie? widac tu od razu wasze zawiedzione ambicje i poczucie zyciowego niespelnienia, ktorzy marza chociazby o kawalku slawy jaka posiada obecnie gorion. Pracujcie a moze dojdziecie do tego co on.
kazik: do czego dojdziecie? do mieszkania z mamą? do wypowiadania się w mediach o rzeczach o których nie ma pojęcia? do filmów na youtube.com ze sobą w roli głównej opisanych jako “jak zrobić z siebie idiotę w 10 minut”? Do wprowadzenia popularnego e-powiedzenia “głupi jak gorion”? Do czego mam dojść Twoim zdaniem? To nie jest kwestia zazdrości - Pawłowi trzeba oddać, że umie “pokazać się w mediach”. I tylko tyle. A co do dr inż hab, który mówi o fachowcach najwyższej klasy - wystarczy wpisać w guglach “paweł jabłoński” żeby przeczytać napisane przez niego teksty, że “jest znanym specjalistą” “wiele lat research” itd. I to jest pierwsze wrażenie. Jak ktoś poszuka głębiej to zauważy że Paweł sam chciał się dodać na wikipedi.. że nigdy nic nie opublikował… że do tej pory jedynie zaczyna projekty, a ich nie kończy… że dużo mówi, a mało robi… Gorion jest pewnym fenomenem na polskiej “scenie” i to czego powinniśmy mu zazdrościć to wiary w siebie i dużego ego. Ja po tylu kompromitacjach bym się pewnie załamał i zaszył w lesie zajmując się uprawą ryżu i gandzi a on mimo porażek nadal się lansuje i pokazuje. Za to szacunek - jeżeli chodzi o bronienie idiotycznego programu w którym jeżeli nawet coś pokazał to nie swoje nie ma chyba sensu. Elo
kazik to powiedz mi dlaczego jak powstał serwis hacking.pl i przez kilka lat, z tego co pamiętam to jerry, odkrywał poważne problemy z bezpieczeństwem w serwisach pocztowych, na allegro, w bankach, w tvn, tpsa i innych. Jakoś przez te kilka lat nikt nigdy nie powiedział, że to specjalista, że zna się na rzeczy. Zamiast tego straszyli sądami i policją bo wykrył nieprawidłowości w bezpieczeństwie. O jego osiągnięciach pisało nawet onet, wp, interia, chip i inne znane gazety. Tak więc dlaczego nie uznali go jako specjalisty? Bo nie miał występu w telewizji, a może dlatego, że nie wywyższał się i nie popularyzował swojej osoby tak jak jabłoński - zrezygnował z medialności bo obił to co robił, i robił zapewne najlepiej jak potrafił - nie dbał o to czy go nazwają specjalistą - dbał o to by wykryć i udowodnić, że są słabe zabezpieczenia i chwała mu za to.
Panowie, jak już chcecie się rzucać błotem, to chociaż się podpisujcie, bo poziom merytoryczny dyskusji nie pozwala stwierdzić, kto ma doktorat, a kto jest w gimnazjum.
Oglądałem program w internecie, było słabo. Cieszę się, że ktoś poruszył publicznie kwestię zabezpieczeń na publicznie dostępnych serwerach, ale zrobili z tego taki cyrk (głównie redaktorzy, dla nich pojęcia publicznego i prywatnego serwera są tożsame), że czekałem, aż któryś spyta, czy Paweł może wystawić komuś akt zgonu (vide pewien film).
Co do Pawła — jakoś nie robi wrażenia eksperta — zapytany o serwery zaczął coś opowiadać o klasach adresowych, to raczej nie jest najlepsza metoda na wytłumaczenie laikowi, co to znaczy self-hosted. Tym bardziej, że oni bynajmniej nie są self-hosted, co można sprawdzić dość prosto:
Dla ułatwienia podam, że pracuję w firmie, która korzysta z łącz Pro Futuro i klasy klientów z własnym hostingiem znajdują się w górnej połowie 81.219.0.0/16. Jak widać, w żadnym wypadku nie jest to “serwer rządowy.”
Następnie powiedział, że RADIUS (system zdalnej autentykacji wdzwanianej) jest metodą szyfrowania. Autoryzacja i autentykacja doszyfrowania mają się nijak.
Na sam koniec zaś upierał się w kwestii tego, że potrafi włamać się do KSIP — ta część mu się chyba przyśniła, bo KSIP jest niezależną siecią szkieletową i między nią a Internetem nie ma ani jednego punktu routingu. Dostęp do poufnych danych odbywa się w specjalnych pomieszczeniach, gdzie rejestrowane są wejścia i wyjścia, a dostęp do komputera wymaga karty chipowej, klucza, loginu i hasła. Jedyna metoda wydobycia stamtąd danych, to przekupienie człowieka z odpowiednimi uprawnieniami. Dodatkowo, zmiany w KSIP są monitorowane przez Warszawę.
Więcej szczegółów udzieli pewnie chętnie rzecznik prasowy dowolnej Komendy Wojewódzkiej, ja sieć miałem okazję oglądać od wewnątrz.
g & nixau: a moze jest tak, ze po prostu go niedoceniacie? on mial za zadanie w tym programie pokazac jak niski jest poziom zabezpieczen serverow panstwowych. Skoro sami mowicie, ze to co on zrobil to blachostka, to tym samym potwierdzacie jego teze, ze sa one zabezpieczone skandalicznie. Ta blachostka wystarczyla, do zreazlizowania tego celu. Po co mial pokazywac wiecej i zrobic to jakims super sposobem, o ktorym nikt w zyciu nie slyszal?? Poza tym kto by byl taki glupi zeby sie tym publicznie dzielic? Pomyslcie troche.
Jak na razie to pokazał tylko, jak słabe są zabezpieczenia serwerów firmy ProFuturo.
Patrys: punkt! Dokładnie o to chodzi. Cel i idea szczytna, wykonanie marne i zwyczajnie kompromitujące. Paweł od wielu lat stara się zabłysnąć, ale zamiast zrobić cokolwiek sensownego szuka tylko poklasku. A moim zdaniem nie tędy droga. To podobnie jak inny redaktor “portalu” hack.pl, który na swojej stronie pisze, że pracuje dla banków i agencji detyktywistycznych jako “senior security specialist”, a tak naprawdę szuka pracy w e-kawiarence. Megalomania środowiska w Polsce staje się dziwna. Jest dużo kreatywnych ludzi, którzy pracują, uczą się i rozwiązują więcej problemów “serwerów rządowych” wysyłając mail’a do odpowiednich organów władzy niż Paweł wielkim medialnym show z którego nic nie wyszło. Może to komuś otworzy oczy, a może nie. Tak czy inaczej gorion po raz kolejny wyszedł przed szereg nie w dobrej intencji, ale dla własnego ego i potrzeby dowartościowania. Elo.
@Patrys: a tak przy okazji RADIUS to nie tylko “system zdalnej autentykacji wdzwanianej” (mimo “dial-in” w nazwie) ale ogólnie system zdalnego potwierdzenia tożsamości do wykorzystania w różnych sieciach. W ramach upierdliwego sprostowania.
ps. na pewno jest to “system szyfrowania” jak twierdzi Paweł “gorion” Jabłoński. ;)
Możecie mi wyjaśnić, co to jest ta “autentykacja”, którą wspominacie tak często obok autoryzacji? Czy to coś związanego z uwierzytelnianiem?
dozzie:
Doskonale wiesz, że to jedno i to samo, czasem zwyczajnie kalki z angielskiego w środowisku przyjmują się lepiej niż polskie odpowiedniki (vide oficjalna polska nomenklatura Cisco).
Sęk w tym, że to nie jest jedno i to samo. Nie widziałem ani jednego specjalisty od kryptografii czy bezpieczeństwa komputerowego, który by używał słowa “autentykacja”. Co więcej, nie widziałem go w żadnej publikacji ani w żadnej książce. Natomiast często spotykam się z tak paskudną kalką w tekstach autorstwa laików, nierzadko mylących dowodzenie tożsamości i zezwolenie na dostęp.
Owszem, nomenklatura Cisco to kalki z angielskiego, ale tylko w przypadkach, gdzie nie było wcześniej powszechnie przyjętego polskiego terminu.
dozzie:
Ale to jest to samo :)
Autentykacja (uwierzytelnianie) potwierdza, że encja (użytkownik, komputer, drukarka, cokolwiek) jest tym, za co się podaje.
Autoryzacja sprawdza, czy uwierzytelniona encja ma prawo do żądanego zasobu.
PS. “Laika” odebrałem jako złośliwość i proszę, nie pisz mi, że “entity” ma polski odpowiednik w rodzaju “byt” czy “istota.” :)
Patrys: juz z samej definicji ktora podales nie wynika ze to jest to samo - jest jeszcze kilka innych czynnikow ktore wplywaja na to czy cos mozna zakwalifikowac jako autentykacja czy autoryzacja. paradoksem stalo sie tlumaczenie z jezyka angielskiego ktore tam brzmi tak samo w obydwu przypadkach a odnosi sie do innych rzeczy w zaleznosci od kontekstu.
frob:
Ale pytanie było, czy autentykacja i uwierzytelnianie to jest to samo, a nie czy uwierzytelnianie to autoryzacja :)
Przynajmniej tak zrozumiałem pytanie zadane przez dozzie.
Patrys, ja wiem że laicy uważają “autentykację” za uwierzytelnianie, ale nie istnieje taki termin jak “autentykacja”. Dlatego to *nie jest* to samo.
A jeśli chodzi o encję, to akurat nie znam żadnego ładnego polskiego odpowiednika, najwyżej parę opisowych. Bo “byt” czy “jednostka” na pewno nie pasują do opisywanej rzeczy.
Swoją drogą, nie wiedziałem że uważasz się za kryptologa, że obruszasz się na nazwanie siebie laikiem. Mogę zobaczyć listę twoich publikacji? A nuż nasze zainteresowania się pokrywają.
@frob: Nie rozumiesz o czym mowa? Nie o authentication vs. authorization, tylko o polskim nazewnictwie używanym do określenia procesu uwierzytelniania.
Nie jestem informatykiem, moja wiedza w tym zakresie ogranicza się jedynie do “on” i “off” na komputerze. Przeczytałem z olbrzymią uwagą Wasze komentarze. Miałem sposobność rozmawiania z Pawłem Jabłońskim. Musicie jednakże wszyscy oddać jedno - Paweł zrobił wokół bezpieczeństwa w sieci szum medialny. Program “Teraz my” nie jest programem specjalistycznym, a obaj prowadzący są bardziej skandalistami niż dziennikarzami. Umiejętności Pawła w dziedzinie bezpieczeństwa mogą i powinni oceniać ludzie lepsi od niego, więc ja będąc kompletnym laikiem nie mam zamiaru tego czynić. Moim zdaniem krzywdzicie tego chłopaka zapominając o jednym - zanim ukazał się ten program telewizyjny Paweł usiłował zwrócić uwagę odpowiedzialnych pracowników Komendy Głównej na zauważony problem. “Olano” jego maile, olano go samego - uwierzcie mi - gdyby nic nie było na rzeczy - obaj panowie z policji nie fatygowali by się do studia, nie mieliby dość smętnych min, nie czuliby strachu, a więc w tym kontekście oceńcie działania samego Goriona. Do tematu powrócę, o ile mi na to pozwolicie, a teraz przyjmijcie ode mnie życzenia wesołych i szczęśliwych Świąt :-)
dozzie:
Chodzi ci, jak mniemam, o autentykację jako “potwierdzanie pochodzenia?”
Nie, nie jestem kryptologiem, słowo “laik” podałeś bez kontekstu i nie przyszłoby mi do głowy pomylić tych dwóch pojęć :)
Moje jedyne osiągnięcie to zaliczenie przedmiotu “kryptografia” i korekta merytoryczna pracy inżynierskiej z algorytmów utajniania transmisji danych (głównie SSL, z którym się mocno poznałeś, z tego co o tobie wiem).
Tak, wiem, namieszalem z nazewnictwem. Dzieki Patrys & dozzie - chodzilo o definicje slowa uwierzytelnianie i czasami bledne tlumaczenia z j.ang… :]
@Patrys: dobrze mniemasz, chodzi o używanie radosnego słowotwórstwa zamiast dobrze znanego terminu.
@Krzysztof: umiejętności PJ najwyraźniej są mizerne, to już nawet ja potrafię więcej zaprezentować. Jego maili nie olano. Gościu je posłał w nieodpowiednie miejsce, to i trudno się dziwić, że nie uzyskał odpowiedzi.
Swoją drogą, nie odniosłem wrażenia, że policjanci mieli smętne miny.
Tak bo ty juz wiesz gdzie je poslal - nie robcie z siebie debili bo widaz zwykla zazdrosc.
WoW
gościu używał opery-wie co dobre
Krzysztof Szklarski zwrócił uwagę na efekt wystąpienia Pawła Jabłońskiego w TV. Trafnie zauważył, że wywołało to pewnego rodzaju szum medialny na temat bezpieczeństwa w intytucjach państowych. To bardzo dobrze. Pozostałe osoby skupiły się na osobie samego Jabłońskiego oraz popełnionych przez niego błędach - prawdopodobnie przez brak świeżego i obiektywnego spojrzenia, które cechuje laika. Należy pamiętać, że głównym celem programu było zwrócenie uwagi na problem poziomu bezpieczeństwa w instytucjach państwowych. Cel ten został osiągnięty, co potwierdza bardzo duża ilość komentarzy po emisji programu.
Wielka szkoda, że wystąpienie Pawła nie było udane. Używał specjalistycznego języka (pomimo próśb prowadzących, aby mówił jaśniej) chociaż program “Teraz My” do programów specjalistycznych nie należy. Co gorsze, zaczął się gubić w tym co mówi (RADIUS, hosting). Nie przedstawił też żadnych dowodów wskazujących na to, że rzeczywiście uzyskał dostęp do poufnych danych (nie wspominając o nieudanej próbie przekierowania poczty). Szkoda.
Wiecie co dajcie sobie luz -czytam te Wasze brednie i powiem tak o hakerce to Wy raczej pojecie nie macie .Paweł robił ataki z grupami Z USA I CHIN o jakich Wam sie niesniło.Wasza hakerka to zwykłae budowanie stron http://www.Pozdrowienia z CHICAGO
Migoo:
A ty masz pryszcze, kulawego chomika i nie odróżniasz hakera od włamywacza. A na dodatek nie radzisz sobie z językiem polskim.
Podobny poziom merytoryczny dyskusji można znaleźć w komentarzach na Onecie, gdzie pana zapraszam.
Moze i mam pryszcze ,ale ja np. pracuje dla Tiemanna z Aską Rutkowska ,a Ty oceniasz Pawła nieznając jego możliwości .
Pozdrawiam
Migoo:
To zrób sobie z Asią zdjęcie i roześlij po stacjach telewizyjnych. Jak wiadomo, firma, w której się pracuje, jest rewelacyjnym argumentem w dyskusjach.
pozdroeinie dla Migoo User i Magii gdzie ty sie podziewałeś
Ma Ktoś może gdzieś jeszcze zdjęcie P.J. [goriona] ze swoimi koleżkami? :>
Ten blog, te krasomowczosc.
Czy to nie przypadkiem wierzejski ma druga osobowosc ?
tak jak np batman
Migo a ja pracuje w Firmie(tm) jestem wielkim specjalista itp itd …
Albo nie masz IQ albo bardzo skutecznie ukrywasz ten fakt :)
W TVN byl program pokroju Szymon Majewski Szol tylko nedzniejsza obsad ot co. A poziom zabezpieczen i dotep do sieci wewnetrznej to kwestia na inna rozmowe gdzie argumentem moga byc firewalle idsy i archotektura sieci a nie nijaki “powszechnie znany” gornion.
> Moim zdaniem krzywdzicie tego chłopaka zapominając o jednym [...]
Czy ktoś siłą posadził go w telewizji? Każda akcja powoduje reakcję. Paweł pojawiając się w programie stał się osobą publiczną. Jest dorosły, jest wolny, ponosi konsekwencje swojej wolności i swoich wyborów.
Jest takie powiedzenie: “jeśli nie potrafisz nie pchaj się na afisz”.
Czy to znaczy, że on nie potrafi? Pewnie coś otrafi, chociaż akurat tam robił co innego niż mówił. Nie wierzę w słowa, wierzę w czyny. A tam nie pokazał nic ciekawego. Powiedział, że może “monitorować pracę całej śląskiej policji”, a pokazał coś zupełnie innego. I nie chodzi nawet o to, że on pokazał coś i to akurat nie zadziałało, ale o to, że on robił _zupełnie inną rzecz_, zupełnie innej jakości działanie podjął.
Pozwól, że wytłumaczę to przez analogię. Można zaprosić złodzieja okradającego mieszkania, który chwali się, że jest w stanie okraść z kasy państwową mennicę. Na miejscu ów rzezimieszek zacząłby uskuteczniać włamanie przy użyciu łoma do biura jednego z pracowników mennicy, biura które mieści się zupełnie gdzie indziej i jest komórką odpowiedzialną za dystrybuowanie środków czystości. Jednocześnie narrator (jak i sam gość programu) wciąż powtarzałby, że akt włamania do tego biura świadczy o tym, że można wykradać pieniądze produkowane w mennicy. Taki mniej/więcej był wydźwięk tego wśród osób choć trochę obeznanych z tematem.
Piszesz, że motywacją Pawła było to, żeby podnieść poziom bezpieczeństwa poprzez pokazanie czegoś. Nie zgadzam się z Tobą. Moim zdaniem, uważnie studiując jego poprzednie działania można dojść do wniosku, że jego główną motywacją jest chęć uzyskania sławy i rozgłosu. Dlatego teraz ludzie się śmieją. Niekoniecznie z zazdrości, tylko po prostu z błędów merytorycznych, naciąganej historii i przerysowanego języka jakim była ona opowiadana.
korłor
Otwieram http://www.hacking.pl i co widze? HACKED :)
P.S.
Nie przywalajcie sie do goriona, gosc sie promuje i o to chodzi! Nie wazne co kto umie tylko za ile się sprzeda. Powiedzmy ze ktoś umie dwa razy tyle co gorion i co? Jak nikt o tym nie bedzie wiedział to pozostaje praca w caffe a jak ktos cos liznoł tematu i sie lansuje to moze całkim niezłą kase doić. Reasumujac wolałbym kosić gruba kase w zamian za to ze paru fahowców nazwie mie lamerem :) niz byc anonimowym guru :)
Witam serdecznie już w nowym roku. Postanowiłem “popełnić” bardzo obszerny tekst - właśnie w temacie hackingu. Jak już to wcześniej zaznaczałem, nie jestem człowiekiem z “branży”, ale właśnie poprzez takie patrzenie z boku na to zagadnienie, jestem w stanie dostrzec to, co Wam ciągle umyka w Waszych rozważaniach. Tekst mój z całą pewnością będzie obszerny, ale nie mogę go napisać w ciągu najbliższych dni, gdyż właśnie zajmuję się sprawą równie ważną (może nawet ważniejszą), a mianowicie policyjnymi “nalotami” do mieszkań i zabezpieczeniami sprzętu komputerowego a także różnego rodzaju nośników. Postawiłem publicznie zarzut Komendantowi Głównemu Policji działań o charakterze wręcz przestępczym. Postawić zarzut jest łatwo, teraz to muszę udowodnić, ale z całą pewnością nie będę tematu rozwijał publicznie nadal, dopóki sam zainteresowany z zarzutami się nie zapozna i dopóki nie udzieli mi odpowiedzi. Każdemu należy dać szansę, tym bardziej osobie, która ma właśnie dbać o zachowania zgodne z zasadami praworządności. Nie wiem czy wolno jest tu zamieszczać link do strony, na której będę opisywał tę problematykę, więc zanim to uczynię, proszę o wyrażenie zgody, aby mój post nie był potraktowany jako spam. Chciałbym także skontaktować się z osobami, które uważają się za hackerów, gdyż mam dla Was niezwykle atrakcyjną i dobrze płatną pracę, ale jedynie będę rozmawiał z tymi osobami, które wiedzą co oznacza być praworządnym, uczciwym i którzy chcą spożytkować swą niemałą wiedzę dla dobra innych a przy tej okazji sporo i to uczciwie zarobić, a na razie życzę Wam wszystkim szczęśliwego Nowego Roku oraz tego, abyście stali się dla siebie nawzajem bardziej życzliwi, a spory wiedli z korzyścią dla wszystkich stron. Trzymajcie się w zdrówku :-)
hehe, samego tematu jakos nawet nie odnotowalem a tutaj prosze jakie kwiatki :-)
przeczytalem nawet wszystkie komentarze :-D (so pro, yeah)
i droga caffeine thinkin doszedlem do jednego wniosku:
dajcie se siana ludzie :-> juz samo prowadzenie blogow jest dosyc smiechowe, wiec w pewien sposob i ten caly ‘gorion’ (methinks he’s got phuntazzy for sucha nick &) jak rowniez wozny z pokoju 303 (hi patrys) sa na rownym poziomie. Nie mam tutaj na mysli umiejetnosci ‘branzowych’ bo nie mnie je oceniac - gdy nie znam ani Ciebie drogi autorze tego sajta, ani goriona. Takowoz bazujac na wszelkich komentarzach mozna zaobserwowac ze mamy tutaj do czynienia ze zjawiskiem pro vs wannabies :-> przy czym 1:0 dla wannabies
oh so lame lame lame :-)
ok, rozumiem, poruszanie tematyki ze ’sceny’ itp brednie. powstaje tylko pytanie po co tracic na to czas, yo? ktos tam pdorodze wspomnial zeby robic swoje. no wlasnie, podpisuje sie obiema mackami! (cthulhu!).
btw: http://www.getdigital.de/index/0×104/lng/-3 , imho bezsensu drogo, zwlaszcza ze to samo latwo zrobic samodzielnie i taniej :> (no, powiedzmy ze to samo :D) /* tak wiem ze nie na temat ;D
popsul: a siakis tam wetware hacker :-) (zeby nie bylo do kompow tylko ‘geek’, zadnym specjalista nt security/software nie jestem :D)
ps. wszelkie naduzycia jezykowe uzyte zostaly przezemnie zupelnie celowo :-)
Ziomsy…
Wytrzymałem 3/4 komentarzy..
Więcej już nie mam siły czytać:D.
Nie wiem też po co piszę ale powiedzmy że jestem tak samo niedowartościowany jak Gorion i chcę się pokazać wśród ludzi, których darzę pewnym respektem za swoje dokonania;](koniec lizania dupy).
Zgadzam się ze wszystkimi komentarzami G i Patrysa.. Wybacz Patrys, ale skupię się na G;].
Gorion.. Znam kilku takich, co robią a nie kończą, reklamują swoje ptaszki jak orły bieliki, czy też robią wszystko tylko dla swojego ego, nie potrafią przyznać się do błędu, i zwyczajnie, często korzystają z gotowych udogodnień(jak ten exploit w tvn;])..
W sumie trzech takich znam.. Dwaj z nich(pozwólcie że się pożalę:D), to dwie najbardziej kluczowe postaci w informatycznej sferze mojej szkoły.. Tzn. informatyk(sic… jestem w klasie informatycznej i pierwsze trzy lekcje cieszyłem się z fachowca i fajnego gostka.. A to schematyczny, mściwy, leniwy i lamerski kolo), i jego pupil z dziś klasy maturalnej. Obaj tacy sami. Różnica? Jeden ze złości sprawił że ledwo zaliczyłem semestr, drugi groził mi śmiercią:D. A i w ogóle tacy ludzie to straszni hipokryci… Proponował komuś z klasy sprawić, żeby sieć sekretariatu była widoczna w otoczeniu sieciowym sali informatycznej, ja mu mówię że do tego fajnego trojana znalazłem(wiem, wiem:D), on na to że to lamerskie i że są do tego dobre exploity… Jakiś czas później dowiaduję się, że pupil użył trojana po coś, nauczyciel nic se z tego nie zrobił. Pupil zmienił kumplowi oceny w dzienniku na kompie, wkurzył się jak się wydało. Bosh…
Nie wiem czy za dużo o nim nie gadam, ale z charakteru te 4 osoby są niemal identyczne.. Lans, hipokryzja, przereklamowanie itp…
I mam ziomka w klasie. 2 lata uczył się php samemu. Bez problemu(a ku zdziwieniu wszystkim ‘lepszym’ w klasie) wydobył tabelę użytkowników z mySQL.. Przy pewnym gnoju(wstawiłem mój artykuł z nonsensopedii o germanistce na newsy na stronie szkoły) wyszła też sprawa włamania, miał to koleś naprawić.. Rok minął.. I co? Hasła nadal są dostępne dla każdego w szkole, kto o nie poprosi w odpowiedni sposób.. Też kurde… A brak mi słów. Ale strasznie nie przepadam za takimi ludźmi, zwłaszcza jak muszę z nimi wojować, bo to nieugięte toto…
A stronka szkoły(sami oceńcie:D): http://lo3.sytes.net/lo3 ^^…..
Sorki za sucharny comment..
I pozdrawiam normalnych niecodziennych ludzi^^!
A co powiesz na to, że dane o rzekomych odwiedzinach bloga w ciągu dnia są zwykle 6-krotnie zawyżone?? Dziś Gorion napisał, że wlazło mu na bloga 7176 osób, podczas gdy mi jak wół wychodzi, że 1054?
I to nie od dziś. Widocznie kiepsko mu się widzi to, że zainteresowanie spadło…
Olgierd:
A skąd akurat 1054?
Skąd wiem? Ma się swoje sposoby ;-)
Tyle było; najśmieszniejsze, że jak mu napisałem, że coś nie tak, najpierw skasował mój komentarz i wprowadził moderowanie. Następnie już podmienił całego posta z dziś na kolejne baju-baju, już bez tych cyferek ściągniętych z sufitu.
Komopromitacja.
Aha, jeszcze jedno - bo ja średnio techniczny jestem - tu nie chodzi o unikalnych użytkowników ale o odświeżenia strony.