eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoGrupypl.soc.prawoHacking...Re: Hacking...
  • Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news.cyf-kr.edu.pl!news.nask
    .pl!news.nask.org.pl!news.internetia.pl!not-for-mail
    From: Michoo <m...@v...pl>
    Newsgroups: pl.comp.os.linux,pl.soc.prawo
    Subject: Re: Hacking...
    Date: Sat, 16 Feb 2013 23:32:20 +0100
    Organization: Netia S.A.
    Lines: 92
    Message-ID: <kfp1se$2dv$1@mx1.internetia.pl>
    References: <kfo0v6$i6c$1@node1.news.atman.pl> <kfoqnh$as6$1@mx1.internetia.pl>
    <s...@o...wcss.wroc.pl>
    NNTP-Posting-Host: 83.238.197.12
    Mime-Version: 1.0
    Content-Type: text/plain; charset=UTF-8; format=flowed
    Content-Transfer-Encoding: 8bit
    X-Trace: mx1.internetia.pl 1361054414 2495 83.238.197.12 (16 Feb 2013 22:40:14 GMT)
    X-Complaints-To: a...@i...pl
    NNTP-Posting-Date: Sat, 16 Feb 2013 22:40:14 +0000 (UTC)
    In-Reply-To: <s...@o...wcss.wroc.pl>
    X-Tech-Contact: u...@i...pl
    User-Agent: Mozilla/5.0 (X11; Linux i686 on x86_64; rv:10.0.11) Gecko/20121123
    Icedove/10.0.11
    X-Server-Info: http://www.internetia.pl/
    Xref: news-archive.icm.edu.pl pl.comp.os.linux:887579 pl.soc.prawo:715211
    [ ukryj nagłówki ]

    On 16.02.2013 22:36, o...@p...wroc.pl wrote:
    > On 2013-02-16, Michoo<m...@v...pl> wrote:
    >> On 16.02.2013 14:18, Mr. Misio wrote:
    >>> I jak rozumiem, taki haker ma teraz problemy... z prawem, bo:
    >>> - złamał zabezpieczenia (jakieby nie były)
    >>
    >> Albo i nie złamał. Karalne jest "przełamanie lub ominięcie zabezpieczenia".
    >>
    >> Są tak głupie serwery, że mają panel admina bez hasła, albo jakiś
    >> getfile.php, czy inny sql injection - technicznie rzecz biorąc żadnych
    >> zabezpieczeń wtedy nie łamiesz a tylko grzecznie prosisz o coś serwer co
    >> on podaje - BRAK zabezpieczenia przed dostępem.
    >
    > Tak interpretując to żadne zabezpieczenia nie istnieją.

    Nie do końca - masz np zrobioną sieć osiedlową. Dostęp do panelu
    administracyjnego z zewnątrz wymaga podania hasła a następnie robi
    redirect. I teraz:
    - odpalasz jakiegoś brute-force czy nawet słownik i okazuje się, że
    hasło to było dupa.8 - zostało przełamane zabezpieczenie
    - wpinasz się kablem do drugiego "po drodze" swicha w piwnicy i logujesz
    bez hasła, bo z klasy wewnętrznej - zostało ominięte zabezpieczenie
    - robisz injecta qwe' or '1'=='1 - zostało ominięte zabezpieczenie
    - wchodzisz bezpośrednio na stronę admin.php, która nie wymaga hasła
    ciężko tu mówić, żeby ta strona była zabezpieczona

    > W końcu każdy
    > request wysłany za pomocą dowolnego protokołu to prośba o coś co serwer
    > podaje.

    > Dlaczego według Ciebie błąd administratora polegający na
    > pozostawieniu danego pliku po instalacji czy błąd programisty który
    > zostawił sql incjection chcesz traktować surowiej niż pozostawienie
    > jakiejś innej podatności wymagającej więcej wiedzy przy "przełamywaniu"
    > czy "omijaniu"?

    Nie - łagodniej. Ktoś kto się mieni programistą czy administratorem nie
    powinien popełniać takich błędów - to jest poziom porównywalny z
    właścicielem, który zapomina wieczorem zamknąć sklep więc ciężko mówić o
    _przełamaniu_ czegokolwiek [1]


    >
    > Czy jak zostawię otwarty samochód z kluczykiem w środku i ktoś nim
    > odjedzie to nie będzie już kradzież?

    Zależy co z nim dalej zrobi, ale:
    - nie będzie to kradzież _z włamaniem_
    - może to być też Art. 289
    - w przypadku 289 i odstawienia samochodu na miejsce, bez uszkodzeń,
    ubytku paliwa, i w sytuacji gdy nie uniemożliwiło ci to skorzystania z
    niego może zachodzić Art. 1. § 2. - czyn był zabroniony, ale
    przestępstwa brak


    > A jak nie przypnę roweru którym
    > przyjechałem do pracy? Oczywiście w obu przypadkach sam sobie jestem winien.
    > Raczej nie mam prawa narzekać na to jacy to źli złodzieje. Mam natomiast prawo
    > nazwać ich złodziejami.

    Weź tylko pod uwagę, że informację ciężko jest "ukraść", chyba, ze razem
    z jedynym nośnikiem.

    To, że ktoś uzyska dostęp do Twoich danych jest może i frustrujące, ale
    nie jest kradzieżą per se. Do tego kradzież do 250pln to wykroczenie a
    nie przestępstwo.

    W przypadku większości "hackerskich wybryków" o ile nie kończy się to
    krzywdą(publikacja wrażliwych danych)/zniszczeniami(usunięcie
    czegoś)/etc(DOS)[2] powinien mieć zastosowanie Art. 1. § 2 - gdyż nie ma
    szkodliwości społecznej - jest co więcej społecznie korzystne, że
    osobnik, który dostał się na serwer doprowadził do wykrycia luki zanim
    dostanie się tam ktoś kto np. postanowi skorzystać z tych numerów
    kart... Można by tu nawet (gdy sprawca od razu poinformuje
    administratora a nie uzyska dostęp tylko dla "szpanu") zastanowić się
    nad Art. 26.


    [1] A jak wyświetlanie błędów jest włączone to w ogóle zostawia drzwi
    szeroko otwarte - ['] leży tak blisko [RETURN], że naprawdę wiele sql
    injectów znalazłem przypadkiem wklejając adres i dostając:
    "you have an error in your sql syntax near ... treść ' zapytania"
    toż to się aż prosi o and 1==0 union select ...
    [2] W kk jest "zapis _istotnej_ informacji" ale "do danych
    informatycznych"(jakichkolwiek) więc podpada pod to dowolna modyfikacja.
    Imo mały deface (np w formie newsa) nie upośledzający w inny sposób
    działania serwisu powinien być legalny - bo się łapie pod Art 1 §2 czy
    Art. 26.

    --
    Pozdrawiam
    Michoo

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1