On 16.02.2013 22:36, o...@p...wroc.pl wrote:
> On 2013-02-16, Michoo<m...@v...pl> wrote:
>> On 16.02.2013 14:18, Mr. Misio wrote:
>>> I jak rozumiem, taki haker ma teraz problemy... z prawem, bo:
>>> - złamał zabezpieczenia (jakieby nie były)
>>
>> Albo i nie złamał. Karalne jest "przełamanie lub ominięcie zabezpieczenia".
>>
>> Są tak głupie serwery, że mają panel admina bez hasła, albo jakiś
>> getfile.php, czy inny sql injection - technicznie rzecz biorąc żadnych
>> zabezpieczeń wtedy nie łamiesz a tylko grzecznie prosisz o coś serwer co
>> on podaje - BRAK zabezpieczenia przed dostępem.
>
> Tak interpretując to żadne zabezpieczenia nie istnieją.

Nie do końca - masz np zrobioną sieć osiedlową. Dostęp do panelu
administracyjnego z zewnątrz wymaga podania hasła a następnie robi
redirect. I teraz:
- odpalasz jakiegoś brute-force czy nawet słownik i okazuje się, że
hasło to było dupa.8 - zostało przełamane zabezpieczenie
- wpinasz się kablem do drugiego "po drodze" swicha w piwnicy i logujesz
bez hasła, bo z klasy wewnętrznej - zostało ominięte zabezpieczenie
- robisz injecta qwe' or '1'=='1 - zostało ominięte zabezpieczenie
- wchodzisz bezpośrednio na stronę admin.php, która nie wymaga hasła
ciężko tu mówić, żeby ta strona była zabezpieczona

> W końcu każdy
> request wysłany za pomocą dowolnego protokołu to prośba o coś co serwer
> podaje.

> Dlaczego według Ciebie błąd administratora polegający na
> pozostawieniu danego pliku po instalacji czy błąd programisty który
> zostawił sql incjection chcesz traktować surowiej niż pozostawienie
> jakiejś innej podatności wymagającej więcej wiedzy przy "przełamywaniu"
> czy "omijaniu"?

Nie - łagodniej. Ktoś kto się mieni programistą czy administratorem nie
powinien popełniać takich błędów - to jest poziom porównywalny z
właścicielem, który zapomina wieczorem zamknąć sklep więc ciężko mówić o
_przełamaniu_ czegokolwiek [1]


>
> Czy jak zostawię otwarty samochód z kluczykiem w środku i ktoś nim
> odjedzie to nie będzie już kradzież?

Zależy co z nim dalej zrobi, ale:
- nie będzie to kradzież _z włamaniem_
- może to być też Art. 289
- w przypadku 289 i odstawienia samochodu na miejsce, bez uszkodzeń,
ubytku paliwa, i w sytuacji gdy nie uniemożliwiło ci to skorzystania z
niego może zachodzić Art. 1. § 2. - czyn był zabroniony, ale
przestępstwa brak


> A jak nie przypnę roweru którym
> przyjechałem do pracy? Oczywiście w obu przypadkach sam sobie jestem winien.
> Raczej nie mam prawa narzekać na to jacy to źli złodzieje. Mam natomiast prawo
> nazwać ich złodziejami.

Weź tylko pod uwagę, że informację ciężko jest "ukraść", chyba, ze razem
z jedynym nośnikiem.

To, że ktoś uzyska dostęp do Twoich danych jest może i frustrujące, ale
nie jest kradzieżą per se. Do tego kradzież do 250pln to wykroczenie a
nie przestępstwo.

W przypadku większości "hackerskich wybryków" o ile nie kończy się to
krzywdą(publikacja wrażliwych danych)/zniszczeniami(usunięcie
czegoś)/etc(DOS)[2] powinien mieć zastosowanie Art. 1. § 2 - gdyż nie ma
szkodliwości społecznej - jest co więcej społecznie korzystne, że
osobnik, który dostał się na serwer doprowadził do wykrycia luki zanim
dostanie się tam ktoś kto np. postanowi skorzystać z tych numerów
kart... Można by tu nawet (gdy sprawca od razu poinformuje
administratora a nie uzyska dostęp tylko dla "szpanu") zastanowić się
nad Art. 26.


[1] A jak wyświetlanie błędów jest włączone to w ogóle zostawia drzwi
szeroko otwarte - ['] leży tak blisko [RETURN], że naprawdę wiele sql
injectów znalazłem przypadkiem wklejając adres i dostając:
"you have an error in your sql syntax near ... treść ' zapytania"
toż to się aż prosi o and 1==0 union select ...
[2] W kk jest "zapis _istotnej_ informacji" ale "do danych
informatycznych"(jakichkolwiek) więc podpada pod to dowolna modyfikacja.
Imo mały deface (np w formie newsa) nie upośledzający w inny sposób
działania serwisu powinien być legalny - bo się łapie pod Art 1 §2 czy
Art. 26.

--
Pozdrawiam
Michoo