Tisíce etických otázok po tretíkrát a naposledy
Z Azetu uniklo štvrť milióna e-mailov. Unikli samé? Predstavte si ako sa štvrťmilióna e-mailových adries vybralo samo od seba na potulky Bratislavou a gúľajú sa na zavináčoch dolu Námestím SNP.
Pohľad prvý
Vždy je to len uhol pohľadu. Hovoríme tomu prizma. Tak si dajme na oči iné okuliare a prizrime sa na problém unikajúcich e-mailov inak.
Tie e-mailové adresy neunikli len tak. Niekto im otvoril bránku a cielene ich vysosol z cudzej databázy a spracoval z nich krátky výťah. Okrem toho vytvoril aplikáciu (šperhák), pomocou ktorej niekto iný tie e-maily vysosol z cudzej databázy a vystavil verejne na sieť.
Pohľad druhý
A dajme si na oči ešte iné okuliare, aby sa nám prizma opäť trochu zmenila.
Je pravda, že sa vlámal do otvorených dverí, ale z etického pohľadu je to stále rovnaká krádež. Už chýba, aby sa ukázalo, že… Ale to si domyslíte po prečítaní predchádzajúcich častí miniseriálu Tisíce etických otázok.
Pod čiarou: Mojim zmäteným čitateľom sa týmto vysvetľujúcim článkom úprimne ospravedlňujem.
- Súvisiace články:
- Kam sa podela logika a úcta?
- Samozvané “spolky záhradkárov” zas úradujú
- Seven Deadly Sins as per Mahatma Gandhi
- Na vypnutom počítači nič nebeží
- Nevyhovárajme sa na spam
Podporte jeden, čítajte všetko
Ak sa vám článok páčil, môžete dobrovoľne autora podporiť platbou.Hlasuj za článok na
.
Prevádzkujem internetovú Lekáreň na webe. 
Od zaciatku som mal pocit, ze smerujes k hackerom a nejakej ich “spravnej iniciative na ukazanie, ze niekto ma slabe zabezpecenie a oni vlastne nic nespravili zle” a nemylil som sa. Akurat to natahovanie a prepointovanie je mi trochu proti srsti.
problem je vtom ze v tomto pripade nikto nevnikol do databazy emaili boli uvedene priamo na stranke v tvare “meno@domena.tld” takze aj ten najprimitivnejsi spamovaci robot ich mohol zbierat uz od spustenia zoznamky!! jedine co sa teraz zmenilo je, ze okolo toho niekto urobil velky humbuk… a azet opravil chybne spravanie svojej aplikacie.
Čítal si druhý diel? Čítal si nadpis? Nejde mi o technické riešenie, teda “ako veľmi boli dostupné”.
Ide o to, či je etické si cez ten živý plot pre tie čerešne skočiť (Synopsi si pre tie emailové adresy cielene išiel. ). Či je etické vyrábať nástroje, ktoré spoza plota oberú za 10 minút celú úrodu v záhrade (Nešiel pre jednu ukážkovú čerešňu, ale zbastlil stroj na masový zber. Dokonca ho ponúka voľne na použitie komukoľvek, kto ide okolo danej záhrady.) A do akej miery je etické, keď tebe predavač okenných žalúzii, s kameňom v ruke, spomenie ako ľahko sa dajú práve tvoje okná bez jeho žalúzii rozbiť kameňom (Toto si už hádam domyslíš)?
Podľa mňa nie je, nie je, a nie je to etické.
Vzdelávací účel? Profíci robia kauzuistiky na anonimizovaných prípadoch!!!
Právny systém funguje z pohľadu internetových užívateľov na Slovensku nahovno. Neexistuje reálna vymožiteľnosť ochrany duševného vlastníctva, neexistuje (pre každého) dostupná ochrana identity… Vzdelávanie užívateľov v reálnej a profesionálnej podobe na Slovensku neexistuje. A práve preto je pre fungovanie internetu potrebné, aby etické princípy podľa ktorých pracujú internetový profesionáli fungovali na vyššej úrovni. Aj na strane poskytovateľov zoznamiek ale aj na strane bezpečnostných expertov.
Cital som druhy diel aj nadpis. Ale stale existuje druha strana mince. Robotov ktory behaju po internete a zbieraju emailove adresy je dnes neurekom. A predsa si azet dovoli takto servirovat emailove adresy 100000 uzivatelov.
Ano, je od oooo nemoralne ze zverejnil nastroj na zbieranie adries. Ale uprimne. Keby to nespravil zmenil by azet svoje spravanie? Zoznamka bezi uz roky a vsetko vyzera tak, ze sa emaili takto servirovali cely cas. Neverim ze tamad cely ten cas ziadny robot neprebehol. A neverim ze nikoho z azetu nenapadlo ze logicky system zoznamky je zly.
V tomto pripade tento jeden zverejneny robot zabrani dalsim stovkam zbierat emaili dalej a potichu. Je to dobre alebo zle?
MareceK dakujem za obhajobu mojich cinov.
Martin: to ci to je moralne alebo nie je fajn otazka. Mna vsak zaujima. Je normalne zatvarat pred tym oci? keby som ten nastroj nedal vonku, ako dlho by trvalo azetu kym tieto veci zmenil? zrazu vsak dostali do ruk nastroj, ktory mohol pouzit kazdy. aha! a musime s tym nieco urobit. prestali robit to co robili a okamzite sa pustili do opravy chyby. voala! do 24 hodin bola chyba pekne zaplatana. ak mas iny napad ako to urobit sem s nim. ja som im pisal niekolkokrat, mozes si to dohladat u mna na blogu. ja uz sa nemienim opakovat. s azetom sa komunikovalo otrasne, ich zaujem o bezpecnost je nulovy. jedina moznost bola nasilnym donutenim. mozno sa ti to nepaci, no narozdiel od teba nezatvaram oci pred podobnymi vecami ale aktivne s nimi nieco robim. co si urobil ty pre zvysenie bezpecnosti na Slovenskom webe? to ma celkom zaujima.
Trochu mi trvalo kým som tento podivný “seriál” pochopil. Synposi blog sledujem už dlhšie, páči sa mi, že poukazuje na chyby. Z viacerých článkov vidno, že miera bezpečnosti na slovenských portáloch je dosť nízka a ich tvorcom je to úprimne jedno, nerobia nič kým vyslovene nemusia a práve takéto články ich donútia konečne urobiť niečo pre bezpečnosť svojich užívateľov.
Ta protiotazka na konci je “red herring” alebo “special pleading”? - http://www.nobeliefs.com/fallacies.htm
Ehmo: upozornovat na bezpecnost je fajn. Bezny uzivatel vie o bezpecnosti hovno, preto by sa mali firmy starat o bezpecnost svojich webov v maximalnej miere to je tiez pravda. Co je vsak absolutne nepripustne (imho) aby sa takymto zverejneniami poskodil hlavne uzivatelov. Anonymitu internetovych zoznamiek vnimaju ich uzivatelia velmi citlivo. Dalo by sa to zverejnit aj tak, ze tie emaily (program na ich ziskanie) nezverejnis. Uprimne dufam, ze si niekoho z @minv.sk nastval, napriklad toho pirotechnika, a pride ta potom niekedy vecer navstvit a ukaze ti nieco co sa naucil na policajnej akademii. Kedze mam ten zoznam emailov, mohol by som jednoducho napisat vsetkym email s odkazom na tvoj clanok, s tvojou adresou. Urcite by sa medzi nimi nasiel nejaky iniciativny urazeny jedinec…
Áno, toto je dôležité podotknúť. Pritom ten jedinec urobí presne to čo Synopsi. Vezme “spravodlivosť podľa vlastných etických princípov” do vlastných rúk… Ale kde toto skončí? Na súde v lepšom prípade, v márnici v tom horšom! Práve aby sa spoločnosť nedostávala do takejto vražednej špirály, fungujú v nej nejaké pravidlá. Či už etické (je normálne neskákať cez ten plot…), alebo právne (je to prostá krádež čerešní).
Aktívne s tým niečo robíš? Áno, násilným donútením (to je citácia tvojich slov) za použitia rukojemníkov. To s vysokým etickým kreditom, ktorý u bezpečnostného profesionála ako zákazník samozrejme očakávam, nemá nič spoločné. Áno, jemná hodinárska práca je nudná, pomalá, nie je ju tak vidieť a občas sa hodinky opraviť nepodarí.
Z môjho pohľadu si si vybral cestu samozvaného Jánošíka, ktorý sa snaží všetkým ukázať (riadne hlasno a krvavo), že jeho pravda je tá správna. Ale vedie to k nasledovnému:
Z môjho pohľadu je tvoj etický a morálny kredit na nejakej úrovni. Takže na základe čoho (akého argumentu, skúsenosti s tebou) mám veriť, že to s tou komunikáciou s Azetom je skutočne tak ako to ty hovoríš? Naozaj to nechcem spochybňovať, len hľadám argumenty ZA.
Ak chceš naozaj niečo zmeniť, zmeť systém. Trebárs nech je v zákone, že každý internetový projekt s viac ako 500 užívateľmi musí mať bezpečnostný audit na presne definované formy útoku, ktoré bude upravovať vyhláška, ktorú bude nejaké ministerstvo povinne každý polrok dopĺňať a vydávať. Alebo nech každý programátor povinne musí mať koncesiu a na jej získanie musí doložiť vzdelanie v bezpečnostnej oblasti.
Áno, je to zdĺhavé a otravné sa dopracovať k nejakému hmatateľnému výsledku. Ale takto funguje naša stredoeurópska spoločnosť! Vďaka tejto forme fungovania môžu byť naše ulice aj v noci plné ľudí a čerešne v súkromných sadoch ostanú na strome. Napriek tomu, že majú len 1,2 metra vysoký plot. A žiadny predajca plotov sa im nesnaží obratím úrody dokázať, že by mali mať ten plot trojmetrový.
pointa je podla mna v tom že to ani v najmenšom neohrozilo postavenie azetu u uživatelov,mam tam email dresy,ine služby nevyuživam,čo sa tyka pokecu,zoznamok a všetkeho okolo toho
matin: velmi som sa pobavil pri citani tvojho komentaru. ty zijes v inej krajine ako my vsetci ostatni? viem ze si v cz, ale tam to nie je o nic lepsie. v eu nie su schopni prijat ustavu ani jej nahrazku a ty chces dokopavat niekoho k tomu, aby boli jasne stanovene pravidla pre audity a bezpecnost? mozno bola chyba spustit synopsi.com ako page, pretoze teraz vsetci mate pocit, ze tie sluzby ponukam ja. tie sluzby su outsourcovane, ja v nich nemam ani len jedinu. bezpecnostne audity obstarava spolocnost nethemba s.r.o. ano, dotlacil som nasilim azet k tomu, aby okamzite jednal. bol to zamer a vsetko je v medziach zakona. ci je to mornalne ste uz rozobrali sami. poskodil som niekoho? silne pochybujem. je to vsak mozne, s tym ja uz nic neurobim. keby som dal adresy ako *@minv.sk, nijaky tlak na azet neurobim.
co sa tyka mojej komunikacie s azetom, tak len ta verejna azet 1, azet 2. to su len priklady, osobnu komunikaciu zverejnovat nebudem, prislubil som to uz na zaciatku.
mne sa velmi pacia tie tvoje navrhy ako by sa dalo pomahat a vzdelavat. len ma zaujima, ked uz ich tolko mas, preco to aj nerealizujes. keby sa dalo s azetom a ostatnymi spolocnostami dobre komunikovat, davno sa mohlo niekam pohnut a nemuseli vznikat taketo clanky. mne je popularita nanic, ja sa pohybujem v inych skupinach ludi. kazdopadne, ak mas pocit, ze to zvladas lepsie, na azet mam hned niekolko desiatok dalsich bugov, z ktorych je mozne urobit clanky. mozes byt cestny konzultant a som velmi zvedavy na efekt a dopad vo vysledku po tvojich radach.
oriu: mozno mas pravdu, ale tym ze vystrasis uzivatelov (co som evidentne urobil, vid teba a martina a dalsich), dotlacis ich k tomu, aby tlacili sami na azet a ine spolocnosti. alebo ste chceli, aby sa jedneho dna objavila taka db niekde pekne v botnete ktory bude rozosielat malware? asi celkom nerozumiem vasim pohnutkam. je vam jedno ze uzivatelia doplacaju na to, ze sa spolocnosti nestaraju? oni nedoplacaju na to, co som urobil ja, ale na to, co neurobil azet. a to je to co sluboval vo svojich pravidlach azet pravidla (sukromie pouzivatela)
pastujem text, ktory mam pripraveny uz dlho. kvoli vypadkom komentarov ho publikujem az teraz
Nie, nie som taký naivný. Pracujem v oblasti (lekárenstvo), ktoré je tak regulované, ako žiadne iné, takže viem ako to s tvorbou legislatívy chodí. No súčasne nedokážem akceptovať “branie spravodlivosti do vlastných rúk”, pretože si dovidím ďalej od nosa a mám reálne skúsenosti s tým, kde takéto počínanie môže skončiť. Cesta do pekla je skutočne dláždená dobrými úmyslami.
OT: dolu je poznámka: V prípade že komentár obsahuje 2 a viac odkazov, bude čakať na moje schválenie. Neberte to osobne, je to ochrana proti spamu. Preto sa komentár nezobrazil hneď. Cena za zlepšenie funkcionality by bola neúmerná (musel by som zaplatiť naprogramovanie ronyho riešenia spamu, čo je z rozpočtu tohoto blogu nereálne) ak súčasne chcem, aby užívatelia mohli používať aktívne odkazy a neboli tu debilné obrázky.
A vlastne to nie je až tak OT. Pretože aj v prípade riešenia niektorých bezpečnostných problémov by bola cena za ich zaplátanie taká veľká, že by presahovala finančné možnosti daného projektu. A tak by projekt skončil. Viac tu: Od zrodu po hrob slovenských internetových služieb Preto považujem udržanie niektorých etických pravidiel v slovenskom internetovom prostredí za dôležité.