"Robert W. Jaroszuk" wrote:
>
> On Sun, 03 Feb 2002, Dariusz wrote:
>
> ; > Dariusz <d...@p...onet.pl> skribis:
> ; >
> ; > >Czemu uwazasz, ze kazdy pecet podlaczony do sdi ma cos tobie udostepniac
> ; > >?
> ; >
> ; > bo jest podlaczony do internetu.
> ;
> ; Jest podlaczony do internetu, aby z niego korzystac jako biorca a nie
> ; dawca.
> ; 99% uzytkownikow internetu to biorcy a nie dawcy informacji.
> ;
> ; Dokladnie tak jak 99% samochodow osobowych to nie sa taryfy.
>
> Ale Internet to nie firma przewozowa.
> Takie analogie sa IMHO bez sensu.
> Oczywiste jest ze jesli podlaczas sie do sieci, to korzystasz z zasobow
> komputerow do niej podlaczonych.
Nieprawda.
Korzystasz jedynie z zasobow tych komputerow, do ktorych dostep prawnie
uzyskales.

> Oczywiste jest ze jesli podlaczasz sie do sieci, to inni moga korzystac z
> zasobow Twojego komputera.
Oczywiscie ze to jest nieprawda.

> Jak niby chcesz egzekwowac to bezsensowne prawo o skanowaniu portow?
Dokladnie tak jak w Stanach.
Zebranie dowodow. Policja. Prokuratura. Sprawa w sadzie. Wyrok.
Odszkodowanie.

> Jesli Ty jestes w RPA, ja w Polsce, wysle pakiet z ustawiona flaga SYN na
> port 21 Twojego komputera, Twoj IDS zacznie swirowac, bo wykryje skan, to
> co zrobisz?
> Powiadomisz swoja regionalna policje, oni poinformuja ta w Polsce i co
> dalej? Mam placic "setki tysiecy dolarow odszkodowania" za to ze wyslalem
> glupie 75 bajtow danych do jakiejs maszyny odleglej o tysiace kilometrow
> ode mnie?
> Powiesz, ze to nie skan, bo to tylko jeden pakiet.
> OK.
> Ale w takim razie co to jest skan?
> 5 portow? 10? 100?
> Powiesz ze 100.
> To ja przeskanuje 99. I co? Juz nie przestepstwo?

Przeciez to jest takie oczywiste.
Nieuprawnione skanowanie portow jest przestepstwem i to ty musisz
dowodzic, ze skanowanie bylo uprawnione.

> A co jesli bede sobie skanowal po jednym porcie dziennie?
> A co jesli bede sobie skanowal po jednym porcie dziennie i to codziennie z
> innej maszyny?
> Jak mnie wtedy zlapiesz?
Ciebie nie trzeba zlapac.
Jestes zlapany i nawigowany w kazdej sekundzie korzystania z internetu.

> A moze ja sobie robie statystyki do szkoly na lekcje informatyki, bo pan
> profesor wymyslil zeby policzyc ile w Gdansku jest serwerowo www?
> I pojechalem cale *.gdansk.sdi.tpnet.pl w poszukiwaniu maszyn z otwartym
> portem 80?

Jestes naprawde zabawny.
Nauczyciel w szkole wymyslil aby policzyc produkcje samochodow w FSO,
a ty oczywiscie wchodzisz do magazynow fabryki i na hale produkcyjna i
zaczynasz liczyc samochody ?

A czym jest zrobienie tej statystyki jak nie przetwarzaniem danych
osobowych ?
Konkretny serwer, jego IP jest przypisany do konkretnej osoby.
A zatem w celu unikniecia odpowiedzialnosci karnej za nieuprawnione
skanowanie portow,
zwracasz sie do operatora SDI o udzielenie takich informacji, o ile on
jest uprawniony do zbierania i gromadzenia takich informacji o swoich
klientach na podstawie prawa o telekomunikacji i umow zawartych z
klientami.
Ale jak sam wiesz, takze taka informacja ma charakter poufny i sluzbowy,
zatem operator powinien
odmowic udzielenia takich informacji i skierowac zapytanie do szkoly, na
jakiej podstawie nauczyciel
jest uprawniony do zadawania takich pytan i zlecania takich zadan swoim
uczniom.

Rownie dobrze moglby zadac zadanie sprawdzenia w ilu samochodach na
parkingu sa otwarte drzwi, uchylone.

>
> Ja rozumiem ze niektorym moze sie takie cos nie podobac, ale ludzie,
> badzcie realistami...
> Przestepstwem i proba wlamania jest testowanie exploitow na serwerze, a
> nie skanowanie portow.

Po co teoretyzowac.
Znane jest orzecznictwo w mysl ktorego przestepstwem jest samo
skanowanie portow.

> Tak samo przestepstwem nie jest to ze sobie _ogladam_ samochod, mimo ze
> wam to sie nie podoba, bo uwazacie ze probuje go ukrasc.

Ogladanie jest dzialaniem pasywnym, biernym, a skanowaniem jest
aktywnym, z udzialem konkretnego serwera.

> A moze ja po prostu rozwazam zakup takiego samochodu i sobie go ogladam?
j.w.

> Tak samo - to ze ogladam jakie kto ma serwery ftp, to wcale nie znaczy ze
> probuje sie wlamac, moze po prostu rozwazam instalacje jakiegos
> konkretnego demona u siebie na komputerze i patrze czego jest najmniej,
> bo chce byc oryginalny i zainstalowac cos czego nikt nie ma?

> I za to ma mnie nawiedzac FBI, CBŚ czy inne UOPy?
Mysle ze policja powinna w kazdym razie chronic uzytkownikow internetu
przed wlamaniami.

Tak jak ochroniarze chronia prywatny salon samochodowy i gdy bedziesz
tak ogladal, ogladal codziennie te samochody zza plotu to cie przyuwaza
i grzecznie zapytaja co tam robisz.

>
> ; >Czemu traktujesz pecety osob trzecich jak Napster ? ; >
> ; > one sa podlaczone do internetu, wiec mozna z nich korzystac.
> ; Gdzie to wyczytales ?
>
> To oczywiste zjawisko.
Gdzie to wyczytales ?

> Dlaczego na mnie patrzysz? Pozwolilem? To ze chodze po ulicy nie znaczy ze
> mozesz na mnie patrzec.

Juz to bylo. Zacznij sie mocno gapic na jakas babke idaca z facetem, to
szybko guza zarobisz.
>
> Prosta analogia:
> - Wchodze do sklepu - widze stoisko z filami DVD
> (Znalazlem jakis serwer w sieci - patrze - ma otwarty port 21 (ftp)).
> - Podchodze do tego stoiska i chce kupic film.
> (loguje sie na konto anonymous i chce sciagnac jakis zasob)
> - Sprzedawca kaze mi zaplacic kilkaset tysiecy dolarow odszkodowania, bo
> mowi ze nie sprzedaje filmow, a ja jestem zlodziejem bo nielegalnie
> znalazlem to stanowisko zobaczylem.
> (wlasciciel tego komputera twierdzi ze zalogowalem sie bo chcialem sie
> wlamac - on nie udostepnia plikow w sieci a ja nielegalnie znalazlem ta
> usluge).

Zakres uslugi internetowej jest dokladnie opisany na serwerze, stronie
www, czy w formie komunikatu ftp

>
> ; > >Nie jestes uprawniony do ustalania kto ma postawione WWW.
>
> A kto jest uprawniony?
> Jesli nie ja, to znaczy ze nikt nie jest, bo ja jestem takim samym
> uzytkownikiem sieci jak wszyscy inni.

Nikt nie jest uprawniony do ustalania kto ma postawione www.
Jednorazowo wpisujesz adres www i czekasz na odpowiedz serwera.

Ale nie prowadzisz ciaglej operacji polegajacej na ustalaniu kto ma
postawione www przez skanowanie
wielu przypadkowo lub kolejno dobranych serwerow,
tak jak nie wydzwaniasz pod kolejne numery telefonow i nie pytasz, czy
tam mieszka lekarz.


>
> ; > ty oczywiscie nie wchodzisz nigdy na strony www, bo to wymaga sprawdzenia
> ; > portu 80
> ; Ale tego sprawdzenia dokonuje aplikacja , przegladarka www, a nie skaner
> ; portow www.
>
> A kto wystawia cerytikaty, ze dany program to przegladarka a nie skaner
> portow?
> przeciez ja moge zrobic w przegladarce taki myk:
> http://www.serwer.pl:1
> http://www.serwer.pl:2
> http://www.serwer.pl:3
> .
> .
> .
> http://www.serwer.pl:65534
>
> I w tym momencie przeglarka robi za skaner portow, bo laczy sie na
> wszystkie porty i sprawdza czy sa otwarte.
> Znaczy to jest legalne, tak?

A powiedz mi, czemu twoja przegladarka ma byc wykorzystana do skanowania
portow i w jakim celu ?

>
> ; Poza tym sprawdzanie portow dla kolejnych tysiaca adresow ip, to jest
> ; dokladnie
> ; sprawdzenie czy w kolejnych 1000 domow drzwi sa zamkniete , czy otwarte.
>
> Nie, to jest sprawdzanie czy serwery te oferuja cos ciekawego dla swiata.

Chyba nie dla swiata, ale dla ciebie.
Co to oznacza cos ciekawego ?
Serwer udostepnia katalog zgromadzonych materialow albo nie i tresc
strony glownej wyraznie okresla zamiar autora.

> Sprawdzaniem czy drzwi sa otwarte jest probowanie exploitow na konkretnej
> usludze.
Oczywiscie ze nie.
Ty naciskasz klamki kolejnych mieszkan od 1 wzwyz.

>
> Wejscie do czyjegos mieszkania jest nielegalnym uzyskaniem dostepu do
> niego.
A ta rewelacja skad znasz ?
Ta zasada nie jest powszechnie obowiazujaca a wrecz na wsiach bywa tak,
ze domy sa otwarte
i gdy ktos chce kogos odwiedzic do wchodzi.

> A nielegalnym uzyskaniem dostepu do maszyny jest udane wykorzytanie bledu
> w jakiejs usludze - czyli fakt wlamania sie do danego komputera.
> A nie wlamiesz sie skanerem portow, tylko exploitem.

Ale po to skanujesz aby skorzystac z exploitow.

>
> ; > >Nie jestes uprawniony do ustalania kto oferuje jaka usluge w internecie.
> ; >
> ; > a kto niby i z jakiej racji daje takie prawa ?
> ; Dokladnie.
> ; Nikt nie daje takich praw.
>
> Czyli wszyscy sa uprawnieni do ustalania kto co oferuje.
Raz jeszcze.
Nikt nikomu nie daje praw ani uprawnien do ustalania kto oferuje jaka
usluge w internecie.

>
> ; > >Ty ciagle traktujesz komputery osob trzecich jako czesc zasobow
> ; > >napstera.
> ; >
> ; > nie napstra tylko internetu
> ; Ok.
> ; Traktujesz komputery osob trzecich jako wlasnosc spoleczna -
> ; socjalistyczna.
> ; Gdzie to wyczytales, ze ktokolwiek podlaczajacy/podlaczony do internetu
> ; godzi sie/ ma zamiar
> ; udostepnienia tobie swoich zasobow ?
>
> No to zamnij te porty, jesli nie chcesz nic udostepniac.

Porty to jest maly problem.
W firmach stoja dziesiatki komputerow.
Czy tez podchodzisz do kazdego i sprawdzasz co ma ciekawego na dysku ?

>
> ; Przeciez udostepnienie nastepuje dopiero po wyraznym ogloszeniu takiej
> ; mozliwosci, np. przez wpis do wyszukiwarki.
>
> A co jesli ja dodam Cie do wyszukiwarki?
> Wtedy bede mogl poskanowac? :P
Wtedy zwroce sie do admina wyszukiwarki o skasowanie nieuprawnionego
wpisu
i wprowadzenie procedury, ktora umozliwia zglaszanie wpisu jedynie
wlascicielowi kontentu,
tak jak posty do usenetu moze kasowac jedynie autor postu.

Ten problem tez juz jest znany i go omawialem.
A dotyczyl zapisywania osob trzecich na listy dyskusyjne.
Oczywiscie ze wadliwy jest taki system, ktory bez identyfikacji
umozliwia zapisania kogokolwiek
na dowolna mailowa liste dyskusyjna.
I taka mozliwosc zostala juz usunieta.

>
> ; Miliony ludzi sa podlaczeni do telefonu.
> ; Czy rowniez dzwonisz do setek osob , aby sprawdzic czy osoba po drugiej
> ; stronie moze sie okazac interesujaca w rozmowie ?
>
> A dlaczego nie?
zartujesz

> Nie chce zeby do niej dzwonili to niech nie instaluje telefonu (nie
> podlacza sie do sieci), albo niech go sobie zastrzeze (wylaczy porty
> jesli nie chce zeby ktos sie z nimi laczyl).
> Albo niech zablokuje polaczenia przychodzace, i bedzie mogla tylko
> dzwonic do innych.
> To proste. I skuteczne.

Zycie znalazlo latwiejsze rozwiazanie.
Prawna ochrona przed telefonicznym spamem i nekaniem przez telefon.

>
> ; Definicja internetu na ktora sie powolujesz jest mitem z przeszlosci,
> ; sprzed 15-20 lat,
> ; gdy do internetu byly podlaczone jedynie komputery wyzszych uczelni,
> ; instytucji, a nie osob prywatnych.
> ;
> ; Obecnie latwosc podlaczania sie osob prywatnych jest tak wielka, ze
> ; definicja internetu jako sieci wszystkich komputerow podlaczonych do
> ; internetu juz nie obowiazuje.
>
> Znajdz mi przepis ktory o tym mowi, to uwierze.
Nigdy nie bylo przepisy ze internet to siec sieci.
To pastor Ed Krol z Uniwersytetu w Illonois tak opisal internet w swojej
ksiazce
The Whole Internet, ktora mi dedykowal Timothy o'Reilly.
Jezeli beda chetni to moga ja dac na licytacje na jakis szczytny cel.

>
> ; Da dawcy i biorcy zasobow. Sa dawcy publiczni i prywatni.
> ; Dostep jest otwarty, ograniczony lub zamkniety.
>
> DOKLADNIE.
> Mozesz miec usluge wystawiona dla wszystkich maszyn w sieci,
> mozesz udostepnic ja dla konkretnych IP, a reszte zablokowac,
> albo mozesz calkowicie zablokowac usluge, jesli nie chcesz, aby ktos sie z
> nia laczyl.

Ale o tym decydujesz przez dzialanie czynne, a nie bierne.

>
> ; I to wlasciciele tych komputerow, zasobow o tym decyduja.
> ; I brak jest jakiejkowiek podstawy dla twierdzen, ze celem biorcy
> ; internetu jest zamiar udostepniania swoich zasobow.
>
> Nie.
> Znajdz mi w sieci wykaz maszyn, na ktore moge sie laczyc,
> oraz wykaz tych, ktore sobie tego nie zycza.

Tylko te maszyny www ktore zostaly zeskanowane przez palaki wyszukiwarek
internetowych zycza
sobie odwiedzin.
Wszystkie maszyny sobie nie zycza odwiedzin, oprocz tych, ktore wyraznie
wyslaly zaproszenia.

>
> ; Sa 4 podstawowe publiczne uslugi internetowe: www, ftp, e-mail, usenet,
> ; irc/mirc
> ; nastepnie seria uslug internetowych zwiazanych z aplikacjami
> ; multimedialnymi typu mp3, video itp.
> ; Liste mozna dalej uzupelniac.
> ;
> ; Ale lista publicznych uslug dla biorcow nie jest wcale az tak dluga, ani
> ; za dluga, aby dozwalala na praktyki nieuprawnionego skanowania wszystkich
> ; portow dowolnego wybranego serwera z zamiarem uzyskania informacji, co
> ; tam moze byc.
> ;
> ; Zatem nieuprawnione skanowanie portow zostalo w orzecznictwie uznane za
> ; przygotowanie i usilowanie wlamania do systemu i tak tez jest scigane.
>
> ROTFL.
Ok.
Zawsze mozesz doswiadczyc na sobie procedury sadowej zza oceanu, gdy
podejmiesz sie skanowania
portow serwerow znajdujacych sie po drugiej stronie oceanu.

>
> ; Chcesz skanowac to wysylasz zapytanie e-mailem o wyrazenie zgody.
> ; Uzyskasz zgode to skanujesz. Brak odpowiedzi to brak zgody i
> ; powstrzymujesz sie od nieuprawnionego skanowania
> ; i chronisz sie przed odpowiedzialnoscia karna.
>
> Ale zeby wyslac email, to musze polaczyc sie z portem 25 (smtp).
> A co jesli ktos sobie tego nie zyczy?
> Pojde do wiezienia?
> Maaaaamooo, ja nie chce :~(.

Juz napisalem.
Sa uslugi publiczne z dozwolonym domniemanym uzytkiem i pozostale,
watpliwe.
I to ty masz dowodzisz uzyskania zgody na korzystanie z uslugi.

>
> ; I to wszystko.
> ; Orzecznictwo jest dostepne w internecie.
>
> Gdzie, i czy znajduje sie na serwerze, na ktory moge sie polaczyc?
> Czy musze sie najpierw zapytac?
Jezeli serwer zostal zgloszony do wyszukiwarki internetowej to oznacza,
ze jego administrator wyrazil zgode na publiczny dostep do uslugi.
Zawsze mozesz sprawdzic w Google.
>
> ; A chcesz ryzykowac skanowanie serwerow urzedow administracji panstwowej,
> ; przedsiebiorstw, policji, roznych sluzb, agencji security, to musisz sie
> ; godzic z odpowiedzialnoscia i konsekwencjami prawnymi.
>
> Ojej, a jak wchodze na www.kwp.gov.pl to tez lamie prawo?
> Bo moze oni nie chca zeby ktos im skanowal port 80?
(skanowanie portow , a nie portu).
Pewnie gdy zaczniesz im skanowac wszystkie porty to nie beda zachwyceni,
ale mozesz do nich sam zadzwonic
i zapytac.
Z pewnoscia odpowiedza na wszystkie twoje watpliwosci.

>
> ; Zawsze mogles wczesniej wyslac zapytanie e-mailem.
> ; Tego nie czynisz, zatem ryzykujesz na wlasna odpowiedzialnosc.
>
> Ale nie musze pisac podania o zgode na polaczenie sie na port 25?

Kto wie.
Moze za rok bedziesz musial pisac podanie.
Terroryzm internetowy i walka z nim wypowiedziana za oceanem obejmuje
juz coraz wiecej krajow
i doprawdy nikt nie wie, jak bedzie nastepowal dalszy rozwoj internetu.

Prawdopodobnie juz za 1-3 lata, kazdy uzytkownik internetu bedzie sie
musial zarejestrowac i otrzyma osobista karte identyfikacyjna, ktora
bedzie sie musial poslugiwac tak jak w bankomacie.
Kazde wejscie do internetu bedzie oficjalnie rejestrowane ( teraz tez
jest), a zakres dostepnych uslug i uprawnien, bedzie wpisany na karcie
identyfikacyjnej.

Koncze, bo dyskusja przypomina mi anegdote o przybyszu z miasta, ktory
odowiedzil glucha wies
i mowi ze w miescie jezdza juz samochody, a rolnik sie pyta, ile taki
samochod zje owsa na dzien
i czy kierowca musi po nim sprzatac nawoz.

Nie od dzis wiadomo ze internet nie powstal w kraju , ale w Stanach i
tam jest centrum monitorujace rozwoj internetu i kreujace jego rozwoj i
stamtad nadchodza nowe uslugi internetowe, trendy, takze trendy prawne w
internecie i szkoda naprawde dyskutowac co bedzie w kraju w internecie
za 10 lat, gdy juz wiadomo
co tam juz teraz jest, to bedzie u nas za te 10 lat.

Zatem jezeli nie ma wiecej pytan to zamykam dyskusje.

Jacek