Dnia Wed, 06 Feb 2002 01:53:21 +0100, Dariusz (d...@p...onet.pl) pisze
na pl.soc.prawo:

> > > O ile pamietam, ustawodawstwo nie zostalo zmienione, zatem nadal
> > > nieuprawnione skanowanie portow jest przestepstwem.
> >
> > Jak najbardziej jest.
> To tutaj musze podziekowac za wsparcie.
> O ile rozumiem, to potwierdzasz, ze nieuprawnione skanowanie portow jest
> przestepstwem.
> Czy tak ?

"Skanowanie portów" - w znaczeniu: "badanie kilku niestandardowych portów
danej maszyny, lub badanie portu znanego z backdoorów lub trojanów" (w
dowolnym czasie, według dowolnego wzorca, z dowolnych IP, o ile powiązywalnych
ze sobą w jakiś sposób). Niestandardowych portów, czyli takich, na których
rzadko znajdują się usługi publiczne - a w szczególności badanie
kilku(nastu/dziesięciu/set/tysięcy) takich portów pod rząd.

Czyli:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 - to oczywisty
bezczelny skan.
21 80 666 - to skan, w przyszłości będzie pewnie próba włamania przez jakiegoś
trojana na 666 porcie.
21 23 80 119 139 6667 8000 - to nie skan, tylko ustalenie obecności usług FTP,
Telnet, WWW, Ident, Samba, IRC i WinAmp ShoutCast.


ALE! Ale i tak nie jest to przestępstwem. Przestępstwem będzie, gdy
wykorzystam wyniki takiego skanu, i komuś się włamię. Patrząc z samego tylko
prawnego punktu widzenia, skanować sobie będę mógł do woli, kogo popadnie. Tu
zaś wkracza regulamin ISPów, gdyż jeżeli z mojego SDI komuś poskanuję porty w
jakiś bezczelny sposób, to gościu dzwoni do abuse w Tepsie gdzieś, a mi Tepsa
urywa głowę, a przynajmniej ciężko opieprza i grozi zerwaniem umowy, powołując
się na jakiś punkt o uprzykrzaniu życia innym użytkownikom sieci.

To podobnie jak z "dołkiem" policyjnym - jeżeli chodzę po ulicy i bezczelnie
gapię się ludziom w torebki, kieszenie, portfele, ale nic nie kradnę, tylko
ewidentnie mam taki zamiar, to może mnie policja na 24 godziny zamknąć "na
wszelki wypadek". Żeby mi się odechciało głupich zamiarów.

> > 1) nie uzyskuję informacji zastrzeżonych i "bez uprawnień", tylko takie, do
> > których prawo uzyskałem logując się jako anonymous,
>
> Tutaj juz nie rozumiem twoich zastrzezen.
> Z komentarza do Art. 267 zalaczaonego w linku wynikalo,
> ze skoro nie pokonujesz fizycznych zabezpieczen, to rzekomo mozesz
> dzialac bez uprawnien i uzyskiwac dostep
> do informacji, ktore nie sa przeznaczone dla ciebie.

Nie tak.

SKORO nie pokonuję fizycznych zabezpieczeń, to tym samym ZYSKUJĘ uprawnienia,
i mogę uzyskiwać dostęp do informacji, które ODTĄD traktuję jak przeznaczone
dla mnie.

Po to są prawa dostępu, przyznawalne użytkownikom, grupom, i tak dalej. Jeżeli
coś MAM MOŻLIWOŚĆ odczytać (bez łamania żadnych zabezpieczeń) to domyślne jest
że właściciel tego UMYŚLNIE nadał takie prawa dostępu, bym mógł do tych danych
mieć dostęp. Jeżeli nieumyślnie - to już jego wina. Jeżeli ktoś "nieumyślnie"
rozsypie po mieście rozebrane zdjęcia swojej żony, to nie może winić ludzi, że
je podnoszą i oglądają: powinien był upilnować swojego.

> Moim skromnym zdaniem niewatpliwie zostanie uznane za skanowanie.
> Czynnikiem istotnym jest tutaj cel odpytywania setek maszyn, zamiar
> mapowania kontentu, jak i sumaryczna ilosc generowanych zapytan.
>
> Wystepuje tutaj podobienstwo do metody uzyskiwania dostepu do kont
> shellowych.

Nie. Metoda "brute force" jest metodą WŁAMYWANIA się - a więc przestępstwa. A
mapowanie FTPów przez jakiś Plikoskop, czy przeze mnie, jest wyłącznie
uzyskiwaniem informacji o udostępnionych PUBLICZNIE zasobach. Zasobach, które
GDYBY nie były przeznaczone dla wszystkich w Sieci, to by NIE były
udostępnione dla anonymousa.

> Ale w tej sprawie powinienes sie zwrocic z zapytaniem do abuse SDI, gdyz
> sprawa jest delikatna.

Zwracałem, a jakże. Zgodnie z ich regułami mógłbym sobie publiczne porty badać
ile by mi się żywnie spodobało, bowiem wyznają zasadę: bezpieczeństwo klienta
jest jego prywatną sprawą. Oni interweniują wyłącznie przy faktycznych PRÓBACH
WŁAMU - patrz mój podział skanów/nieskanów na początku.

--
MaXxX
- znudziło mnie pisanie idiotyzmów,
więc dla odmiany napisałem głupotę.