Dnia 05.08.2007 stern <s...@n...to> napisał/a:
> stawiam piwo, ?e go ska??
> bo:
> "wpisa?em w formularz do logowania nast?puj?cy ci?g
> znaków: ' or 1=1;-- Spowodowa?o to, ?e zosta?em zalogowany na konto
> losowego u?ytkownika. Znajdowa?y si? tam szczegó?owe informacje o danej
> osobie. Aby wykluczy? jednorazowy b??d systemu operacj? wykona?em jeszcze
> oko?o trzech razy, za ka?dym razem loguj?c si? na inne konto."
> czyli pod??czy? si? do systemu, obszed? login/has?o i dosta? dane.
> 267 par. 1 kk w czystej postaci.

MZ nie, bo podłączyć wydaje się być użyte w art. 267 w znaczeniu
fizycznego podłączenia ("..podłączając się do przewodu.."). Już prędzej
przełamał zabezpiecznie, choć to też MZ dyskusyjne.

--
Marcin

do góry

Świadomy znaczenia swych słów i odpowiedzialności przed prawem Sun, 05 Aug
2007 17:03:56 +0800, Marcin Debowski zeznał(a):

> MZ nie, bo podłączyć wydaje się być użyte w art. 267 w znaczeniu
> fizycznego podłączenia ("..podłączając się do przewodu..").

sluszna uwaga, rozpędziłem się w dziennikarstwie ;)

> Już prędzej
> przełamał zabezpiecznie, choć to też MZ dyskusyjne.

informację uzyskał.
SJP mówi m.in.:

przełamać -- przełamywać
2. <<przezwyciężyć coś, co stanowiło przeszkodę w czymś>>

para login i hasło stanowiła przeszkodę w poznaniu danych osobowych
klienta.
Działanie kolegi sprawiło, że przestała stanowić przeszkodę.
Co jednocześnie obala teorię Adamskiego o niekaralności "obchodzenia
zabezpieczeń." ;)

do góry

Dnia 05.08.2007 stern <s...@n...to> napisał/a:
> prze?ama? ? prze?amywa?
> 2. Ťprzezwyci??y? co?, co stanowi?o przeszkod? w czym?ť
> para login i has?o stanowi?a przeszkod? w poznaniu danych osobowych
> klienta.
> Dzia?anie kolegi sprawi?o, ?e przesta?a stanowi? przeszkod?.
> Co jednocze?nie obala teori? Adamskiego o niekaralno?ci "obchodzenia
> zabezpiecze?." ;)

No ale pod taką interpretację podpada cytowany gdzieś na wcześniej
wymienionym forum skobel u drzwi czy nawet same drzwi.

MZ działanie tego faceta przypomina bardziej sytuację gdy wszyscy
wchodzili do pomieszczenia mozolnie wstukując indywidualne kody, a on
zauważył, że drzwi mają również klamkę, nacisnął ją po czym wszedł do
środka. Jako drugie ektremum widzę sytuację gdy ktoś wykorzystuje np.
popularny kiedyś buffer overflow i nadpisuje jakiś plik na dysku co daje
mu dostęp do systemu. Tu nic takiego nie miało miejsca. I teraz mam
właśnie problemy z określeniem kiedy to już jest włamanie a kiedy nie
jest. Oczywistym kryterium wydawałaby się trwała modyfikacja systemu
zabezpieczeń ale też przecież, jak ktoś mi się włamie do domu dorobionym
kluczem... o... przepraszam, za gwałtowną zmianę tematu, ale pod co
właściwie podpadada włamanie bez kradzieży? :)

--
Marcin

do góry

Świadomy znaczenia swych słów i odpowiedzialności przed prawem Sun, 05 Aug
2007 18:51:58 +0800, Marcin Debowski zeznał(a):

> No ale pod taką interpretację podpada cytowany gdzieś na wcześniej
> wymienionym forum skobel u drzwi czy nawet same drzwi.

coś mi się kołacze po glowie orzeczenie, że skobel się liczy za
zabezpieczenie i kradzież po otwarciu skobla, liczy się za kradzież z
włamaniem. Co IMHO ma sens.

> MZ działanie tego faceta przypomina bardziej sytuację gdy wszyscy
> wchodzili do pomieszczenia mozolnie wstukując indywidualne kody, a on
> zauważył, że drzwi mają również klamkę, nacisnął ją po czym wszedł do
> środka.

a tam znalazł informacje dla niego nieprzeznaczone.
Zresztą wiedział, że naciśnięcie klamki da mu dostęp do tych informacji,
ale było mu obojętne czy je dostanie czy nie, bo chciał zobaczyć czy da
się dostać do systemu.

> przepraszam, za gwałtowną zmianę tematu, ale pod co
> właściwie podpadada włamanie bez kradzieży? :)

w zależności od tego co się stało:
124 kw albo 288 kk - jesli cos zniszczyl włamując się
oraz oczywiscie 193 kk

do góry

Dnia 05.08.2007 Marcin Debowski <a...@I...ml1.net> napisał/a:
> kluczem... o... przepraszam, za gwałtowną zmianę tematu, ale pod co
> właściwie podpadada włamanie bez kradzieży? :)

Uzupełnię - z tym dorobionym kluczem... nie podpada mi to za bardzo pod
naruszenie miru...

--
Marcin

do góry

Świadomy znaczenia swych słów i odpowiedzialności przed prawem Sun, 05 Aug
2007 19:27:54 +0800, Marcin Debowski zeznał(a):

> Uzupełnię - z tym dorobionym kluczem... nie podpada mi to za bardzo pod
> naruszenie miru...

uważasz, że wchodzenie do cudzych mieszkań wbrew woli właściciela nie jest
karalne?

BTW: Jaki masz stosunek do posiadania broni przez obywateli? ;)

do góry

Dnia 05.08.2007 stern <s...@n...to> napisał/a:
> ?wiadomy znaczenia swych s?ów i odpowiedzialno?ci przed prawem Sun, 05 Aug
> 2007 19:27:54 +0800, Marcin Debowski zezna?(a):
>> Uzupe?ni? - z tym dorobionym kluczem... nie podpada mi to za bardzo pod
>> naruszenie miru...
> uwa?asz, ?e wchodzenie do cudzych mieszka? wbrew woli w?a?ciciela nie jest
> karalne?

No wiadomo, że nie uważam - zaskoczyła mnie nierozerwalność w kk
połączenia 2ch słówek: włamania i kradzieży - a raczej, że to pierwsze nie
występuje bez drugiego.

> BTW: Jaki masz stosunek do posiadania broni przez obywateli? ;)

W kontekscie naruszenia miru i zapowiadanej czy dokonanej (się już
pogubiłem) noweli kk? Myślę, że powiększałoby już i tak spore pole do
nadużyć.

--
Marcin

do góry

Kiedyś słyszałem interpretację, że przełamywanie zabezpieczeń (w przypadku
systemu informatycznego) ma miejsce w przypadku, gdy wyraźnie widać, że
właściciel życzy sobie aby nikt niepowołany nie uzyskał do niego dostępu, a
mimo to, ktoś próbuje to zrobić.
A więc np. jeśli masz formularz logowania (który nie przepuszcza dalej bez
podania właściwych danych), to od razu widać, że właściciel strony nie chce
wpuszczać tam nikogo obcego. W takim przypadku próby zgadnięcia loginu / hasła
(nawet jeśli są bardzo proste do odgadnięcia), czy wykonania sztuczek typu
'SQL injection' są już przełamywaniem zabezbieczeń.

Zaznaczę jeszcze, że nie wiem czy to wiarygodna interpretacja, ale moim
zdaniem brzmi to rozsądnie.

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

ML <o...@g...pl> napisał(a):

> Kiedyś słyszałem interpretację, że przełamywanie zabezpieczeń (w przypadku
> systemu informatycznego) ma miejsce w przypadku, gdy wyraźnie widać, że
> właściciel życzy sobie aby nikt niepowołany nie uzyskał do niego dostępu, a
> mimo to, ktoś próbuje to zrobić.
> A więc np. jeśli masz formularz logowania (który nie przepuszcza dalej bez
> podania właściwych danych), to od razu widać, że właściciel strony nie chce
> wpuszczać tam nikogo obcego. W takim przypadku próby zgadnięcia loginu / hasła
> (nawet jeśli są bardzo proste do odgadnięcia), czy wykonania sztuczek typu
> 'SQL injection' są już przełamywaniem zabezbieczeń.
>
> Zaznaczę jeszcze, że nie wiem czy to wiarygodna interpretacja, ale moim
> zdaniem brzmi to rozsądnie.
>

Zapomniałem jeszcze napisać, że aby to miało zastosowanie, to musi w ogóle
istnieć jakieś zabezpieczenie tego systemu.
Np. gdy na stronie jest umieszczony bezpośredni link do poufnych danych, a nad
nim jest napis "Jeśli nie jesteś pracownikiem firmy, to nie klikaj w ten
link", to wyżej wymieniony artykuł nie ma tu zastosowania, bo nie ma żadnego
zabezpieczenia.
Formularz logowania jest już jakimś zabezpieczeniem (w omawianym przykładzie
był wykonany wadliwie, ale jednak był).

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Dnia 05.08.2007 stern <s...@n...to> napisał/a:
> ?wiadomy znaczenia swych s?ów i odpowiedzialno?ci przed prawem Sun, 05 Aug
> 2007 18:51:58 +0800, Marcin Debowski zezna?(a):
>
>> No ale pod tak? interpretacj? podpada cytowany gdzie? na wcze?niej
>> wymienionym forum skobel u drzwi czy nawet same drzwi.
>
> co? mi si? ko?acze po glowie orzeczenie, ?e skobel si? liczy za
> zabezpieczenie i kradzie? po otwarciu skobla, liczy si? za kradzie? z
> w?amaniem. Co IMHO ma sens.

Na wcześniej wymienionym (http://www.tinyurl.pl?HYmEIhK2) cytowane są SN z
24 kwietnia 1958 r., IV KRN 170/58 i uchwała SN(25 czerwca 1980, VII KZP
48/78) choć MZ autor błędnie je interpretuje kładąc nacisk na fizyczną
istotę zabezpieczenia a MZ chodzi tam dużo bardziej o sposób manifestacji
woli właściciela zabezpieczonego obiektu. Czyli de facto ww. orzeczenia
sugerują MZ odpowiedzialnośc sprawcy a nie jakby chiała osoba udzielająca
tam porady, niezaistnienie włamania.


>> MZ dzia?anie tego faceta przypomina bardziej sytuacj? gdy wszyscy
>> wchodzili do pomieszczenia mozolnie wstukuj?c indywidualne kody, a on
>> zauwa?y?, ?e drzwi maj? równie? klamk?, nacisn?? j? po czym wszed? do
>> ?rodka.
> a tam znalaz? informacje dla niego nieprzeznaczone.
> Zreszt? wiedzia?, ?e naci?ni?cie klamki da mu dost?p do tych informacji,
> ale by?o mu oboj?tne czy je dostanie czy nie, bo chcia? zobaczy? czy da
> si? dosta? do systemu.

Nie wiedział, co najwyżej musiał się z tym liczyć. Pytanie MZ nadal
najbardziej istotne czy było to przełamanie czy nie, bo jeśli nie, to
powyższe nie ma takiego znaczenia.
Zresztą nawet idąc po lini ww. orzeczeń to dyskusyjne również w jakimś
zakresie jest czy takie działanie jest klarownym przełamaniem
zabezpieczenia niezgodnym z wolą właściciela bo ta wola związana jest z
ochroną tu danych a te nie były zagrożone.

--
Marcin

do góry