Fórum Pirátské strany

Lukas.Novy píše:

Petr.Vileta píše:Cíl je nepodstatný, když prostředky jsou za hranou (zvyklostí, slušnosti, zákona atd.). A asi tedy neumím číst.

Mno to asik neumis cist. Ten dokument jenom ukazuje (a uz sem ti to nekolikrat vysvetloval), ze se nestal trestny cin a ze to predaji do Brna aby se zjistilo, jestli se nestal prestupek. Od te doby nic a tedy je to odlozene.

§ 66 Odložení věci
(3) Správní orgán věc dále odloží, jestliže
a) došlé oznámení (§ 67 odst. 2) neodůvodňuje zahájení řízení o přestupku nebo postoupení věci podle § 71,
g) nezjistí do šedesáti dnů ode dne, kdy se o přestupku dozvěděl, skutečnosti odůvodňující zahájení řízení proti určité osobě.
(4) Rozhodnutí o odložení věci se nevydává. O odložení věci se vyrozumí pouze poškozený.

§ 67
(3) Jestliže správní orgán věc neodloží ani neshledá důvod pro postoupení věci jinému orgánu, zahájí řízení o přestupku bezodkladně, nejpozději do šedesáti dnů.
(4) Požádá-li o to oznamovatel, vyrozumí jej správní orgán do třiceti dnů od oznámení o učiněných opatřeních.

Jelikoz jsi byl v roli oznamovatele, musel bys explicitne pozadat o to, aby te informovali o odlozeni veci.

Tedy si prestan vymyslet a obvinovat me z poruseni zakona.

EDIT: Oznamovatelem je PCR, poskozeny neni nikdo, protoze se nejedna o nahradu majetkove skody (viz § 72).

Lukas.Novy píše:Btw. to tvoje trestni oznameni na me, tak mi volali z Brna a resi to jako legendarni ctyricetdevitku Konkretne 49(1)c, se pochciju

§ 49
Přestupky proti občanskému soužití
(1) Přestupku se dopustí ten, kdo
a) jinému ublíží na cti tím, že ho urazí nebo vydá v posměch,
b) jinému z nedbalosti ublíží na zdraví,
c) úmyslně naruší občanské soužití vyhrožováním újmou na zdraví, drobným ublížením na zdraví, nepravdivým obviněním z přestupku, schválnostmi nebo jiným hrubým jednáním,
d) omezuje nebo znemožňuje příslušníku národnostní menšiny výkon práv příslušníků národnostních menšin,
e) působí jinému újmu pro jeho příslušnost k národnostní menšině nebo pro jeho etnický původ, pro jeho rasu, barvu pleti, pohlaví, sexuální orientaci, jazyk, víru nebo náboženství, pro jeho politické nebo jiné smýšlení, členství nebo činnost v politických stranách nebo politických hnutích, odborových organizacích nebo jiných sdruženích, pro jeho sociální původ, majetek, rod, zdravotní stav anebo pro jeho stav manželský nebo rodinný.
(2) Za přestupek podle odstavce 1 písm. a) lze uložit pokutu do 5000 Kč a za přestupek podle odstavce 1 písm. b) až e) pokutu do 20000 Kč a za přestupek podle odstavce 1 písm. c) lze spolu s pokutou uložit zákaz pobytu.

Lukas.Novy píše:Byl jsem navigovan po telefonu a uvodni slo s duvodovou zpravu jsem tedy nasel:

Ljuba.Polakova píše:Vážený RV, vážení účastníci jednání,
jak už jsem psala v odůvodnění, nemám nic proti a ani nepochybuji o odbornosti Lukáše Nového v TO, ale nemohu souhlasit, aby si člen TO dělal v TO co si zamane bez vědomí šéfa TO, byť chtěl v dobré víře upozornit na nedostatečné zabezpečení serveru vedoucího FO. Způsob provedení je pro mě nepřijatelný.
Nicméně je nutno podotknout, že dokud nebude mít FO kvalitní zabezpečení, hrozí útok na server FO stále, což může mít neblahý dopad na celou stranu tím, že můžeme přijít o veškeré finance, ať už bude veto přijato či ne.

Dovolim si zkopirovat nejdrive svoji reakce z podatelny RV:

Lukas.Novy píše: Vedouci TO o hacku vedel.

Stanislav.Stipl píše: Ne předem.

To nikoliv, ale takovou povinnost sem nemel jelikoz jsem nejednal jako clen TO. Vedel si to proto, protoze obecne panuje predstava (imho) korektni, ze my dva rozhodne nejsme jedna ruka a take proto, protoze VIleta by pravdepodobne po prozrazeni sel za tebou. Coz se tez potvrdilo.

Z tohoto pohledu se tedy jednalo o zalezitost, ktera se technickeho odboru a vykonu prav spojenych s mym postavenim netyka. Presto se vsak jedna o stranickou zalezistost dovolim si tedy zkopirovat popis toho, jak cela vec probihala:

Opakovane sem se snazil zajistit vsemy moznymi prostredky aby Vileta jakozto osoba s pristupem k nasemu uctu s >10 mil. korun dodrzoval bezpecnostni standardy a nehrozilo trvale nebezpeci kradeze nasich prostredku. Po nekolika letech bezuspesneho boje jsem se s prihlednutim ke katastrofalnimu stavu zabezpeceni Viletovych technickych prostredku rozhodl k nasledujicimu planu:
- ziskam pristup na technicke prostredky vedouciho FO a pomoci techto prostredku ziskam jeho prihlasovaci udaje do bankovniho systemu (heslo a certifikat)
- na zasedani CF, ktere probehlo tuto sobotu se zmocnim jeho mobilniho telefonu
- prevedu 1 Kc z jednoho naseho stranickeho uctu na druhy nas stranicky ucet

Ziskat kontrolu nad jeho systemy byla brnkacka, po enumerate jsem objevil nainstalovanou testovaci instanci systemu Drupal s otevrenou registraci a povolenym vkladanim php kodu do publikovanych clanku (penetracnich cest je vice, ja si vybral tu nejjednodussi). Pomoci teto XSS zranitelnosti jsem ziskal shell uzivatele apache na serveru, ktery zaroven slouzi jako pristupovy router domaci site. Prohledanim serveru bylo zjisteno, ze server je "zalohovan" na externi pripojeny disk, pricemz zalohy jsou citelne pro vsechny uzivatele vcetne uzivatele apache. Analyzou zalohy bylo zjisteno, ze Petr omylem zadal heslo uzivatele root do prikazove radky a toto se ulozilo v historii prikazu. Nasledne byla nastavena a spustena analyza sitoveho provozu k urceni idealniho vektoru pro utok na pocitac v mistni siti pouzivany pro pristup do banky. Data nebyla nikdy odeslana mimo server a k jejich zneuziti tak nemohlo dojit. Jelikoz bylo jeste dost casu do CF, nechal sem analyzu bezet a staral se mezitim o jine zalezitosti. Ze byl utok prozrazen jsem se rozvedel prostrednictvim telefonniho hovoru z kriminalky v Plzni, v ramci nehoz jsem byl pozvan na podani vysvetleni.

Po ziskani uzivatele root ale i predtim jsem si dal zalezet na tom, aby bylo na prvni pohled zrejme, ze "utocnikem" jsem ja (pristup a "utok" ze stroje margot.krtek.net, instalace ssh klicu, ktere prokazatelne vlastnim jenom ja apod.) a to z toho duvodu, aby kdyby doslo k prozrazeni pruniku pred konanim CF, mohl mit Petr jistotu, ze se nejedna o utok s nepratelskymi umysly. Nadto jsem samozrejme o pruniku a cili informoval urcite dalsi cleny strany u nichz byl predpoklad, ze by je Petr kontaktoval s zadosti o pomoc v pripade, ze by utok byl prozrazen (coz se taky stalo a Petrovi bylo potvrzeno, ze se nejedna a akci majici zpusobit skodu).

Pres toto vsechno ten palicak misto toho, aby uz konecne pokorne uznal, ze ma kurva problem s bezpecnosti, ktera ohrozuje nase prachy, sel a napraskal me na fizly, takze sem musel zbytecne travit cely den pripravou, cestovanim a vysvetlovanim. Ale asik sem udelal dojem, prisel sem bez bot a po celou dobu, kdy jsem jim diktoval vysvetleni, jsem si jen tak mimochodem s pomoci napinaku a planzet oteviral s sebou prinesene bezpecnostni fabky. Obcas jsme se i pobavili, kdyz bylo potreba predat do spisu jako dukaz urcity email a ani jedna strana samozrejme nebyla ochotna si do pocitaci vlozit flash disk te druhe strany

Soucasna situace je takova, ze statni zastupce trestni rizeni zastavil s tim, ze se nejedna o trestny cin a existuje zde pouze podezreni na prestupek, ktery v Brne odmitly setrit a tak to posilaji do Prahy, kde to s nejvetsi pravdepodobnosti odlozi uplne.

Petr Vileta se mi za celou dobu za toto svoje chovani a udani neomluvil, bezpecnosti situace se serverem stale trva.

Lukas.Novy píše:

Jindrich.Bartek píše:Policie resp. státní zástupce dle dostupných informací zde uvedl(i), že čin se stal ale neměl tu společenskou nebezpečnost.

Ne. Prokurator s tim vysetrovatele poslal pryc a rekl jenom, ze se nejedna o trestny cin a poslal to k vysetreni jestli se nestal prestupek. Nikdo nikdy nerozhodl o tom, ze sem provedl trestny cin nebo ze sem v tomhle pripade spachal prestupek.

Ivan.Bartos píše:Lukáš Nový má CRUD na ostrou databázi fóra, nebo jsem ve vlákně "manipualce s hlasy" měl dávat více pozor? Cože?

Vzdycky sem mel. Jak bych asik jinak vyresil ten Viletuv problem s profilem bez RW pristupu k ostre db?

Kroky ktere jsem provel zajistili, ze duplicitni zaznamy nyni v hlasovani nelze vytvorit a uzivatelske id byt existujiciho uzivatele. Jelikoz toto nelze v mysql udelat "s vyjimkou tech 15 hlasu",tak jsem je presunul do nove vytvorene tabulky. Po presunu sli jiz pravidla, ktera jsem zminil aplikovat, tedy mame nyni jistotu, ze jiz tam neni nikde zadny duplicitni hlas.

Lukas.Novy píše:

Petr.Vileta píše:Státní zástupce vyhodnotil společenskou nebezpečnost tvého činu jako malou a tudíž to předal k projednání jako přestupek. Tím ovšem neřekl, že se čin nestal.

No to teda rekl. Trestny cin se nestal a hotovo. Naskenuj ten dopis at to vidime cerne na bilem.

Petr.Vileta píše:

Lukas.Novy píše:Jak jiz sem uvedl v reakci na tento prispevek v puvodnim vlaknu, Statni zastupce nemuze legalne rozhodnout o tom, ze se jedna o prestupek a ze jsem tedy porusil zakon.

Byl jsem informován plzeňskou kriminálkou při podání vysvětlení, že o dalším osudu případu, po vyšetření policií, rozhodne státní zastupitelství. A byl jsem vyrozuměn úředním dopisem, že případ byl předán k projednání přestupku do Brna. Dopis na vyžádání KK předložím.

Lukas.Novy píše:You just lost your case.

§ 73
Obviněný z přestupku
(1) Občan je obviněným z přestupku, jakmile správní orgán učinil vůči němu první procesní úkon. Na takového občana se hledí, jako by byl nevinen, pokud jeho vina nebyla vyslovena pravomocným rozhodnutím.

Lukas.Novy píše:

Sansom píše:

Petr.Vileta píše: Krtek: máš to děravé jako řešeto.
Já: a pomohl bys mi to zabezpečit?
Krtek: něco si o tom přečti, nauč se to.
Já: není to moje hlavní činnost, nechci se učit věci, které potřebuji jednou za uherský rok. Pomohl bys mi?
Krtek: mě to nezajímá, je to tvoje, tak si s tím něco udělej sám.
Já: ani když ti zaplatím?
Krtek: mě bys nezaplatil.

Krtku, mi osobne to prijde celkem zasadni. Bylo to tak?

Samozrejme, ze nebylo, nabizel sem nekolik reseni, vsechny odmitl.

Petr.Vileta píše:Hmm a ukradl nám někdo nějaké prachy?

To neni dulezite. Nicmene to jasne ukazuje, ze muj pristup byl spravny, protoze tebe proste presvedci jenom to, ze ti je nekdo ukradne.

Petr.Vileta píše:Takže pohled z mojí strany. Opravdu nejsem expert na počítačovou bezpečnost, jsem jen normálně běžně opatrný.

Nejsi bezne opatrny, chovas se jak bezpecnostni impotent. Napriklad jeste nedavno jsi pouzival nezaplatovany Windows XP a vklidu do nej pripojoval harddisky zakazniku, ktere ti poslali na obnovu dat. Jestli se tomuhle rika bezna opatrnost, tak je bezna opatrnost i rouhat se za bourky na kopci ve stredovekkym brneni.

Petr.Vileta píše:Druhá věc je, že dodržuji bezpečnostní pokyny banky.

Nedodrzujes a tez jsem te na to upozornoval.

Petr.Vileta píše:Za třetí, kdyby Krtek chtěl můj mobilní telefon, musel by být i zručný kapesní zloděj.

O rozsahu mych schopnosti toho tusis docela malo.

Petr.Vileta píše:No a pak jsou tu ta hesla k FIO bankovnictví. Ona jsou tam totiž nejen na přihlášení k účtu, ale také na autorizaci pokynu a to už je zase jiné heslo, které se odesílá šifrovanou komunikací (https). Domnívám se, že ani v pozici man-in-the-middle to nejde získat. Takže podat pokyn by možná Krtek ještě dokázal, ale už by ho nedokázal autorizovat.

A ze je pripojeno podle https poznas podle zamecku nahore vedle adresy nebo poctive kontrolujes a pinujes certifikaty serveru? MIM na https je jen o malo slozitejsi nez bez sifrovani, krom toho, nemusis stat po ceste, kdyz mas roota na klientovi.

Petr.Vileta píše:Já si pomoc představuji jinak. Když mohl Krtek strávit tolik času napadením mého serveru, jistě mohl, pokud by chtěl, strávit stejný čas tím, že by za mé součinnosti všechny (nebo alespoň nejhorší) díry opravil.

Jednak to byla otazka jedne noci a druhak sem ti pulku der zalepil. Sis nevsiml, ze se ti ted kazdy den z cronu spousti rkhunter?

Petr.Vileta píše:A nebo mi mohl alespoň předem říci, že zkusí můj server napadnout.

Nemohl, argumentoval bys slovy "a ukradl nam nekdo nejaky prachy"?

Petr.Vileta píše:Navíc není pravda, že jsem se dozvěděl, kdo a proč se mi vrtá v serveru. Dozvěděl jsem se pouze, že se mi tam vrtá Krtek, ale nic dalšího. Takže jsem celý víkend přemýšlel, co s tím udělám, jestli na ty policajty jít nebo ne. Dospěl jsem k závěru, že napadením jednoho z prostředků mé obživy Krtek překročil meze a v pondělí jsem tam šel.

A nenapadlo te se nekoho treba zeptat? Treba se zeptat me? Na moznost podat trestni oznameni by nemelo vliv.

Petr.Vileta píše:No a dostávám se k tomu, jak tedy zabezpečit můj přístup k bankovnímu účtu. Pokud někdo nedůvěřuje mé obezřetnosti (také mám u FIO účet a ten je mi bližší, než ty pirátské ), pak je řešení jednoduché. Strana pro vedoucího FO zakoupí notebook nebo tablet s připojením na internet (třeba přes Vodafone). Nastaví se to jako v korporátu, že si tam sám nesmím nic instalovat, podepíšu dohodu, že i na svůj soukromý účet budu přistupovat z tohoto zařízení a je vystaráno.

Dle smlouvy si ten notebook mas koupit sam a strana ti pak zaplati. To sem ti taky rikal. Stale ti ale unika zasadni myslenka, kterou se ti snazim roky sdelit. Technicke zabezpecni muze byt jake chce, ale pokud mas pristup k tomu certifikatu bez dalsiho omezeni, tak si technicke zabezpeceni muzeme strcit dorite. Kdyz prijdes dom a misto manzelky tam najdes jenom telefon z kteryho ti unosce nadiktuje pozadavky, tak ty penize preves sam, chapes? To uz jsme probirali snad milionkrat. Reseni, ktere si predstavuji a ktere by bylo schopne ochranit jak nase penize, tak tebe a tvoji rodinu, tvrdohlave odmitas.

Petr.Vileta píše:Ovšem teď mě napadá, co kdyby v tom tabletu měl výrobce nějakou díru v Androidu, nebo by Vodafone měl někde špatně zabezpečený router? Přece díra, o jejíž existenci vím, je stejně nebezpečná, jako díra, o jejíž existenci nemám ani tušení.

Tim se netrap, nerozumis tomu.

Petr.Vileta píše:No a ještě ke Krtkovu tvrzení, že se nic nestalo a zákon nebyl porušen. Zákon porušen byl, ale mezi trestným činem a přestupkem je rozdíl ve společenské nebezpečnosti. Státní zástupce dospěl k závěru, že to není tak moc nebezpečné a jde tedy o přestupek a předal to k projednání příslušnému úřadu.

Statni zastupce rozhodl, ze to neni trestny cin ale nerozhodl, ze se jedna o prestupek. O tom totiz ani rozhodnout nemuze. (Ostatne nemuze ani rozhodnout o tom, ze se jedna o trestny cin, ale to je vec jina). Vec predal na reseni prestupku, neopravneny pristup k pocitacovemu systemu ale v prestupkovem zakonu proste neni, takze de lege zadny zakon porusen nebyl.

Lukas.Novy píše:Budes to vytahovat jeste milionkrat ty lhari prolhanej?

Lukas.Novy píše:- ziskam pristup na technicke prostredky vedouciho FO a pomoci techto prostredku ziskam jeho prihlasovaci udaje do bankovniho systemu (heslo a certifikat)

Pres toto vsechno ten palicak misto toho, aby uz konecne pokorne uznal, ze ma kurva problem s bezpecnosti, ktera ohrozuje nase prachy, sel a napraskal me na fizly, takze sem musel zbytecne travit cely den pripravou, cestovanim a vysvetlovanim.