-
Data: 2013-02-16 23:32:20
Temat: Re: Hacking...
Od: Michoo <m...@v...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 16.02.2013 22:36, o...@p...wroc.pl wrote:
> On 2013-02-16, Michoo<m...@v...pl> wrote:
>> On 16.02.2013 14:18, Mr. Misio wrote:
>>> I jak rozumiem, taki haker ma teraz problemy... z prawem, bo:
>>> - złamał zabezpieczenia (jakieby nie były)
>>
>> Albo i nie złamał. Karalne jest "przełamanie lub ominięcie zabezpieczenia".
>>
>> Są tak głupie serwery, że mają panel admina bez hasła, albo jakiś
>> getfile.php, czy inny sql injection - technicznie rzecz biorąc żadnych
>> zabezpieczeń wtedy nie łamiesz a tylko grzecznie prosisz o coś serwer co
>> on podaje - BRAK zabezpieczenia przed dostępem.
>
> Tak interpretując to żadne zabezpieczenia nie istnieją.
Nie do końca - masz np zrobioną sieć osiedlową. Dostęp do panelu
administracyjnego z zewnątrz wymaga podania hasła a następnie robi
redirect. I teraz:
- odpalasz jakiegoś brute-force czy nawet słownik i okazuje się, że
hasło to było dupa.8 - zostało przełamane zabezpieczenie
- wpinasz się kablem do drugiego "po drodze" swicha w piwnicy i logujesz
bez hasła, bo z klasy wewnętrznej - zostało ominięte zabezpieczenie
- robisz injecta qwe' or '1'=='1 - zostało ominięte zabezpieczenie
- wchodzisz bezpośrednio na stronę admin.php, która nie wymaga hasła
ciężko tu mówić, żeby ta strona była zabezpieczona
> W końcu każdy
> request wysłany za pomocą dowolnego protokołu to prośba o coś co serwer
> podaje.
> Dlaczego według Ciebie błąd administratora polegający na
> pozostawieniu danego pliku po instalacji czy błąd programisty który
> zostawił sql incjection chcesz traktować surowiej niż pozostawienie
> jakiejś innej podatności wymagającej więcej wiedzy przy "przełamywaniu"
> czy "omijaniu"?
Nie - łagodniej. Ktoś kto się mieni programistą czy administratorem nie
powinien popełniać takich błędów - to jest poziom porównywalny z
właścicielem, który zapomina wieczorem zamknąć sklep więc ciężko mówić o
_przełamaniu_ czegokolwiek [1]
>
> Czy jak zostawię otwarty samochód z kluczykiem w środku i ktoś nim
> odjedzie to nie będzie już kradzież?
Zależy co z nim dalej zrobi, ale:
- nie będzie to kradzież _z włamaniem_
- może to być też Art. 289
- w przypadku 289 i odstawienia samochodu na miejsce, bez uszkodzeń,
ubytku paliwa, i w sytuacji gdy nie uniemożliwiło ci to skorzystania z
niego może zachodzić Art. 1. § 2. - czyn był zabroniony, ale
przestępstwa brak
> A jak nie przypnę roweru którym
> przyjechałem do pracy? Oczywiście w obu przypadkach sam sobie jestem winien.
> Raczej nie mam prawa narzekać na to jacy to źli złodzieje. Mam natomiast prawo
> nazwać ich złodziejami.
Weź tylko pod uwagę, że informację ciężko jest "ukraść", chyba, ze razem
z jedynym nośnikiem.
To, że ktoś uzyska dostęp do Twoich danych jest może i frustrujące, ale
nie jest kradzieżą per se. Do tego kradzież do 250pln to wykroczenie a
nie przestępstwo.
W przypadku większości "hackerskich wybryków" o ile nie kończy się to
krzywdą(publikacja wrażliwych danych)/zniszczeniami(usunięcie
czegoś)/etc(DOS)[2] powinien mieć zastosowanie Art. 1. § 2 - gdyż nie ma
szkodliwości społecznej - jest co więcej społecznie korzystne, że
osobnik, który dostał się na serwer doprowadził do wykrycia luki zanim
dostanie się tam ktoś kto np. postanowi skorzystać z tych numerów
kart... Można by tu nawet (gdy sprawca od razu poinformuje
administratora a nie uzyska dostęp tylko dla "szpanu") zastanowić się
nad Art. 26.
[1] A jak wyświetlanie błędów jest włączone to w ogóle zostawia drzwi
szeroko otwarte - ['] leży tak blisko [RETURN], że naprawdę wiele sql
injectów znalazłem przypadkiem wklejając adres i dostając:
"you have an error in your sql syntax near ... treść ' zapytania"
toż to się aż prosi o and 1==0 union select ...
[2] W kk jest "zapis _istotnej_ informacji" ale "do danych
informatycznych"(jakichkolwiek) więc podpada pod to dowolna modyfikacja.
Imo mały deface (np w formie newsa) nie upośledzający w inny sposób
działania serwisu powinien być legalny - bo się łapie pod Art 1 §2 czy
Art. 26.
--
Pozdrawiam
Michoo
Następne wpisy z tego wątku
- 16.02.13 23:44 Michoo
- 16.02.13 23:46 Andrzej Lawa
- 16.02.13 23:52 Mr. Misio
- 16.02.13 23:57 Mr. Misio
- 17.02.13 00:49 Michoo
- 17.02.13 01:35 Michoo
- 17.02.13 01:51 Mr. Misio
- 17.02.13 01:53 Michoo
- 17.02.13 02:07 Michoo
- 17.02.13 02:07 Mr. Misio
- 17.02.13 02:13 Mr. Misio
- 17.02.13 02:18 Mr. Misio
- 17.02.13 08:41 qwerty
- 17.02.13 08:43 qwerty
- 17.02.13 10:14 ein
Najnowsze wątki z tej grupy
- ilość węzłów sanitarnych w biurowcu
- Korekta prognozy
- ROBERT GWIAZDOWSKI: PO CO NAM ZWIĄZKI PARTNERSKIE?
- Czy można orzekać po pijaku?
- reparacje
- ustawienie przetargu
- Przeszukiwanie baz i netu
- Mini Netykieta polskich grup dyskusyjnych
- Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- Re: Powtórne wezwanie na PO-komisję uzdrowi Ziobrę już w 10 dni
- Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- Re: Jak Sejm się przygotował na M. Wosia na PO-komisji rewizją/przeszukaniem w hotelu sejmowym
- AKCJA "PAPROTKA". KURIOZALNY PROJEKT MINISTERSTWA SPRAWIEDLIWOŚCI
- IMiGW 2 stopień ostrzeęnia upały
- picie piwa na terenie kampusu uniwersyteckiego
Najnowsze wątki
- 2024-07-05 ilość węzłów sanitarnych w biurowcu
- 2024-07-04 Korekta prognozy
- 2024-07-04 ROBERT GWIAZDOWSKI: PO CO NAM ZWIĄZKI PARTNERSKIE?
- 2024-07-03 Czy można orzekać po pijaku?
- 2024-07-02 reparacje
- 2024-07-02 ustawienie przetargu
- 2024-07-02 Przeszukiwanie baz i netu
- 2024-07-01 Mini Netykieta polskich grup dyskusyjnych
- 2024-07-01 Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- 2024-07-01 Re: Powtórne wezwanie na PO-komisję uzdrowi Ziobrę już w 10 dni
- 2024-06-30 Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- 2024-06-28 Re: Jak Sejm się przygotował na M. Wosia na PO-komisji rewizją/przeszukaniem w hotelu sejmowym
- 2024-06-27 AKCJA "PAPROTKA". KURIOZALNY PROJEKT MINISTERSTWA SPRAWIEDLIWOŚCI
- 2024-06-27 IMiGW 2 stopień ostrzeęnia upały
- 2024-06-26 picie piwa na terenie kampusu uniwersyteckiego