-
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news.cyf-kr.edu.pl!news.nask
.pl!news.nask.org.pl!news.internetia.pl!not-for-mail
From: Michoo <m...@v...pl>
Newsgroups: pl.comp.os.linux,pl.soc.prawo
Subject: Re: Hacking...
Date: Sat, 16 Feb 2013 23:32:20 +0100
Organization: Netia S.A.
Lines: 92
Message-ID: <kfp1se$2dv$1@mx1.internetia.pl>
References: <kfo0v6$i6c$1@node1.news.atman.pl> <kfoqnh$as6$1@mx1.internetia.pl>
<s...@o...wcss.wroc.pl>
NNTP-Posting-Host: 83.238.197.12
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: mx1.internetia.pl 1361054414 2495 83.238.197.12 (16 Feb 2013 22:40:14 GMT)
X-Complaints-To: a...@i...pl
NNTP-Posting-Date: Sat, 16 Feb 2013 22:40:14 +0000 (UTC)
In-Reply-To: <s...@o...wcss.wroc.pl>
X-Tech-Contact: u...@i...pl
User-Agent: Mozilla/5.0 (X11; Linux i686 on x86_64; rv:10.0.11) Gecko/20121123
Icedove/10.0.11
X-Server-Info: http://www.internetia.pl/
Xref: news-archive.icm.edu.pl pl.comp.os.linux:887579 pl.soc.prawo:715211
[ ukryj nagłówki ]On 16.02.2013 22:36, o...@p...wroc.pl wrote:
> On 2013-02-16, Michoo<m...@v...pl> wrote:
>> On 16.02.2013 14:18, Mr. Misio wrote:
>>> I jak rozumiem, taki haker ma teraz problemy... z prawem, bo:
>>> - złamał zabezpieczenia (jakieby nie były)
>>
>> Albo i nie złamał. Karalne jest "przełamanie lub ominięcie zabezpieczenia".
>>
>> Są tak głupie serwery, że mają panel admina bez hasła, albo jakiś
>> getfile.php, czy inny sql injection - technicznie rzecz biorąc żadnych
>> zabezpieczeń wtedy nie łamiesz a tylko grzecznie prosisz o coś serwer co
>> on podaje - BRAK zabezpieczenia przed dostępem.
>
> Tak interpretując to żadne zabezpieczenia nie istnieją.
Nie do końca - masz np zrobioną sieć osiedlową. Dostęp do panelu
administracyjnego z zewnątrz wymaga podania hasła a następnie robi
redirect. I teraz:
- odpalasz jakiegoś brute-force czy nawet słownik i okazuje się, że
hasło to było dupa.8 - zostało przełamane zabezpieczenie
- wpinasz się kablem do drugiego "po drodze" swicha w piwnicy i logujesz
bez hasła, bo z klasy wewnętrznej - zostało ominięte zabezpieczenie
- robisz injecta qwe' or '1'=='1 - zostało ominięte zabezpieczenie
- wchodzisz bezpośrednio na stronę admin.php, która nie wymaga hasła
ciężko tu mówić, żeby ta strona była zabezpieczona
> W końcu każdy
> request wysłany za pomocą dowolnego protokołu to prośba o coś co serwer
> podaje.
> Dlaczego według Ciebie błąd administratora polegający na
> pozostawieniu danego pliku po instalacji czy błąd programisty który
> zostawił sql incjection chcesz traktować surowiej niż pozostawienie
> jakiejś innej podatności wymagającej więcej wiedzy przy "przełamywaniu"
> czy "omijaniu"?
Nie - łagodniej. Ktoś kto się mieni programistą czy administratorem nie
powinien popełniać takich błędów - to jest poziom porównywalny z
właścicielem, który zapomina wieczorem zamknąć sklep więc ciężko mówić o
_przełamaniu_ czegokolwiek [1]
>
> Czy jak zostawię otwarty samochód z kluczykiem w środku i ktoś nim
> odjedzie to nie będzie już kradzież?
Zależy co z nim dalej zrobi, ale:
- nie będzie to kradzież _z włamaniem_
- może to być też Art. 289
- w przypadku 289 i odstawienia samochodu na miejsce, bez uszkodzeń,
ubytku paliwa, i w sytuacji gdy nie uniemożliwiło ci to skorzystania z
niego może zachodzić Art. 1. § 2. - czyn był zabroniony, ale
przestępstwa brak
> A jak nie przypnę roweru którym
> przyjechałem do pracy? Oczywiście w obu przypadkach sam sobie jestem winien.
> Raczej nie mam prawa narzekać na to jacy to źli złodzieje. Mam natomiast prawo
> nazwać ich złodziejami.
Weź tylko pod uwagę, że informację ciężko jest "ukraść", chyba, ze razem
z jedynym nośnikiem.
To, że ktoś uzyska dostęp do Twoich danych jest może i frustrujące, ale
nie jest kradzieżą per se. Do tego kradzież do 250pln to wykroczenie a
nie przestępstwo.
W przypadku większości "hackerskich wybryków" o ile nie kończy się to
krzywdą(publikacja wrażliwych danych)/zniszczeniami(usunięcie
czegoś)/etc(DOS)[2] powinien mieć zastosowanie Art. 1. § 2 - gdyż nie ma
szkodliwości społecznej - jest co więcej społecznie korzystne, że
osobnik, który dostał się na serwer doprowadził do wykrycia luki zanim
dostanie się tam ktoś kto np. postanowi skorzystać z tych numerów
kart... Można by tu nawet (gdy sprawca od razu poinformuje
administratora a nie uzyska dostęp tylko dla "szpanu") zastanowić się
nad Art. 26.
[1] A jak wyświetlanie błędów jest włączone to w ogóle zostawia drzwi
szeroko otwarte - ['] leży tak blisko [RETURN], że naprawdę wiele sql
injectów znalazłem przypadkiem wklejając adres i dostając:
"you have an error in your sql syntax near ... treść ' zapytania"
toż to się aż prosi o and 1==0 union select ...
[2] W kk jest "zapis _istotnej_ informacji" ale "do danych
informatycznych"(jakichkolwiek) więc podpada pod to dowolna modyfikacja.
Imo mały deface (np w formie newsa) nie upośledzający w inny sposób
działania serwisu powinien być legalny - bo się łapie pod Art 1 §2 czy
Art. 26.
--
Pozdrawiam
Michoo
Następne wpisy z tego wątku
- 16.02.13 23:44 Michoo
- 16.02.13 23:46 Andrzej Lawa
- 16.02.13 23:52 Mr. Misio
- 16.02.13 23:57 Mr. Misio
- 17.02.13 00:49 Michoo
- 17.02.13 01:35 Michoo
- 17.02.13 01:51 Mr. Misio
- 17.02.13 01:53 Michoo
- 17.02.13 02:07 Michoo
- 17.02.13 02:07 Mr. Misio
- 17.02.13 02:13 Mr. Misio
- 17.02.13 02:18 Mr. Misio
- 17.02.13 08:41 qwerty
- 17.02.13 08:43 qwerty
- 17.02.13 10:14 ein
Najnowsze wątki z tej grupy
- Dyplomaci a alkomaty
- Zmiana kary
- Poseł Ryszard Petru w Biedronce
- Ideologia Geniuszy-Mocarzy dostępna na nowej s. WWW energokod.pl
- Precedensy politycznie motywowanego nie wydawania w UE
- Obrońcy
- Obrońcy
- Obrońcy
- Ekstradycja
- policja pomaga
- Kolejny biegły
- Taka ciekawostka skrzyżowaniowa
- Poseł oszukany "na policjanta"
- znów chory psychicznie
- Rozproszona Kontrola Konstytucyjności WYBORNE ;-)
Najnowsze wątki
- 2024-12-27 Dyplomaci a alkomaty
- 2024-12-27 Zmiana kary
- 2024-12-23 Poseł Ryszard Petru w Biedronce
- 2024-12-21 Ideologia Geniuszy-Mocarzy dostępna na nowej s. WWW energokod.pl
- 2024-12-20 Precedensy politycznie motywowanego nie wydawania w UE
- 2024-12-20 Obrońcy
- 2024-12-20 Obrońcy
- 2024-12-20 Obrońcy
- 2024-12-20 Ekstradycja
- 2024-12-19 policja pomaga
- 2024-12-19 Kolejny biegły
- 2024-12-19 Taka ciekawostka skrzyżowaniowa
- 2024-12-18 Poseł oszukany "na policjanta"
- 2024-12-18 znów chory psychicznie
- 2024-12-17 Rozproszona Kontrola Konstytucyjności WYBORNE ;-)