Номера кредитных карт были найдены на сайте Renkvil // 24.04.02 03:14
Более двух лет был доступен на веб-странице файл, содержащий имена и адреса пятисот молодых людей.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2002/04/53.html]
Напротив 66-ти записей были внесены номера кредитных карт.
Вебмастер страницы немедленно удалил файл с сервера, как только он получил e-mail от пользователя, обнаружившего файл.
По его словам, файл невозможно было найти путешествуя по страницам, однако при использовании специальных программ, это было досточно вероятно и кто-то ещё уже наверняка этим воспользовался.
Файл был создан ещё 3 января 2000 года и оказался на сервере при ошибочном перемещении с другого компьютера.
Будьте внимательны!
Не они первые не они последние ...вот токо как интересно юзер, эти базы нашедший, будет от FBI отмазываться :) неправомерный доступ к информации налицо :)))
Наверное оформят как явка с повинной :)))
Найдут его, как же! ;))26.04.02 23:10 Автор: Sandy <Alexander Stepanov> Статус: Elderman
> вот токо как интересно > юзер, эти базы нашедший, будет от FBI отмазываться :) > неправомерный доступ к информации налицо :))) > Наверное оформят как явка с повинной :)))
У него мыльник был, небось, типа Vasya.Pupkin@hotmail.com %)))
Номера кредитных карт были найдены на сайте24.04.02 19:45 Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
> Ничего необычного :)))) > > Не они первые не они последние ...вот токо как интересно > юзер, эти базы нашедший, будет от FBI отмазываться :) > неправомерный доступ к информации налицо :))) > Наверное оформят как явка с повинной :))) Да и небось этот юзер кредами попользовался на славу, а потом совесть проснулась :)
Номера кредитных карт были найдены на сайте24.04.02 19:09 Автор: !mm <Ivan Ch.> Статус: Elderman
> Ничего необычного :)))) > > Не они первые не они последние ...вот токо как интересно > юзер, эти базы нашедший, будет от FBI отмазываться :) > неправомерный доступ к информации налицо :))) > Наверное оформят как явка с повинной :)))
Не думаю, что ФБР ему чем-то сможет пригрозить. Информация закрыта не была, и он ничего не ломал.
Номера кредитных карт были найдены на сайте24.04.02 19:48 Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
Ty dumaesh chto esli machina stoiala na ulice s otkrutumi dverimai i s kluchami v zazhiganii , ty sel v nee i poehal, to tebe ni chego ne budet?
Oshibaeshsia takogo roda provokacii delautsia po polnoi programme.
> > > > > Не думаю, что ФБР ему чем-то сможет пригрозить. > > Информация > > > закрыта не была, и он ничего не ломал. > > Ты уверен? :) > > Взлом - по закону - этонезаконноеполучение доступа к >защищённойособым образом информации.
> > Если я ввёл www.blabla.com/index.html я ничего не нарушил. > А если www.blabla.com/cards.dat то да? > Нет
Номера кредитных карт были найдены на сайте24.04.02 22:35 Автор: Renkvil <Boris> Статус: Member
> Ty dumaesh chto esli machina stoiala na ulice s otkrutumi > dverimai i s kluchami v zazhiganii , ty sel v nee i poehal, > to tebe ni chego ne budet?
Будет.
За кражу (незаконное присвоение) чужого имущества.
Есть уголовный кодекс, статьи по краже, а есть статьи по компьютерным преступлениям.
> Oshibaeshsia takogo roda provokacii delautsia po polnoi > programme.
Какие провокации?
В настоящий момент у меня нет американских сводов законов о компьютерных преступлениях, но в европейских ясно сказано, что осуждается незаконноеполучение доступа кзащищённойособым образом информации."
Я авторизирован для чтения файлов с сервера?
Да.
Файл был каким-либо образом защищён?
Нет.
Кстати когда нам рассказывали, что чтение файлов с расшаренных дисков вполне законно, даже запись без изменения существующих данных не нарушает закон в Европе, многие не верили.
Но факт.
Специально для этого перед камерой сканили интернет и читали инфу с расшаренных дисков.
А иначе получалось бы, что тебе пихают в руки инфу, а ты ещё и виноват, что не рассказал владельцам о защите информации.
Номера кредитных карт были найдены на сайте25.04.02 02:38 Автор: Бяша <Biasha> Статус: Member
> В настоящий момент у меня нет американских сводов законов о У меня тоже :(
> компьютерных преступлениях, но в европейских ясно сказано, > что осуждается незаконноеполучение доступа к >защищённойособым образом информации."
> Я авторизирован для чтения файлов с сервера? > Да. > Файл был каким-либо образом защищён? > Нет. Да - ссылку на него нельзя было получить обычным способом.
И ещё:
Если атака - отклонение работы системы от нормального её функционирования.
А нормальное функционирование подразумевает секретность номеров кредиток.
То вписать www.blabla.com/cards.dat - атака, то есть взлом.
Не знаю как там в европе, а в украине и чайника, заразившего по глупости компьютер, можно законно посадить, при желании. Кажется, по росийским законам - тоже.
Номера кредитных карт были найдены на сайте25.04.02 02:45 Автор: Renkvil <Boris> Статус: Member
> Обычным - нельзя. Нужно было использовать "специальную > программу".
... которая называется браузер.
> > Какая разница - index.html или cards.dat? > Какая разница index.html или > ../../../../../../../../../../../../boot.ini ?
Никакой.
И то и другое - разрешённая клинтам фича.
Мы в ответе за тех, кого приручили (с) Сант-Экзюпери, "Маленький принц"
:-)
> > А вписать robots.txt тоже взлом? > Если это нарушает нормальное функционирование системы - да.
А если я зашёл на сервер и это нарушило нормальное функционирование системы?
Кстати если я просматриваю cards.dat, то это не нарушаетнормальноефункционирование: раз файл есть на сервере а у меня есит право чтения, всё идёт как и должно идти.
> > В Европе как я и описал. > > Самое интересное - это расшаренные чужие диски и > > правомерная запись на них :) > Весело :)
Не говори :-)
Борис.
Номера кредитных карт были найдены на сайте25.04.02 04:12 Автор: Бяша <Biasha> Статус: Member
> > > Какая разница - index.html или cards.dat? > > Какая разница index.html или > > ../../../../../../../../../../../../boot.ini ? > > Никакой. > И то и другое - разрешённая клинтам фича.
Неконструктивно. Я придерживаюсь того мнения, что нарушители существуют. Мало того существует нарушение секретности информации.
Мало того, я думаю, что нарушителей нужно сажать в тюрьму.
Так вот, чтобы их сажать в тюрьму нужен формальный критерий.
У меня он есть - нарушение нормального функционирования.
> > > А вписать robots.txt тоже взлом? > > Если это нарушает нормальное функционирование системы > - да. > > А если я зашёл на сервер и это нарушило нормальное > функционирование системы?
Я сторонник строгого формализма. Я считаю, что нормальное функционирование системы должно быть описано до создания системы.
Если бы все были такие, как я - то можно было бы ответить на твой вопрос, но это, к моему сожалению, не так.
Но, к счастью, в большинстве случаев нет сильного расхождения во взглядах на нормальное функционирование конкретной системы: зайти на сервак обычно считают нормальным, а читать номера чужих кредиток - ненормальным.
Кстати, не всегда нужно составлять подробное описание того что можно, а что нет. Можно назначить эксперта.
> Кстати если я просматриваю cards.dat, то это не нарушает >нормальноефункционирование: раз файл есть на сервере а у
> меня есит право чтения, всё идёт как и должно идти.
Я думаю, нарушение секретности номеров кредитных карточек является отклонением от нормального функционирования.
Если бы все было как ты говоришь - можно было бы очень легко подставить человека...25.04.02 10:01 Автор: Glory <Mr. Glory> Статус: Elderman
например, заходишь ты на какой-нить сайт (напр. www.site.com), который тебя редиректит на файл www.super-secret.com/cards. Ссылки на файл нет на индексной странице сайт и на других страницах, то есть по-твоему - этот файл защищен. Потом с www.site.com убирают редирект, а администрация www.super-secret.com предъявляет тебе обвинение в доступе к защищенной информации. Попробуй теперь докажи, что тебя средиректило на этот файл.
Виновен. Нефиг было на www.site.com заходить.26.04.02 22:38 Автор: Бяша <Biasha> Статус: Member
Если ты ходишь по страницам, и это никому не вредит - ради бога.
Но если твои действия при этом нарушают законодательство, то суд должен решать насколько умышленными они были. (кстати за неумышленное убийство тоже наказывают)
И отмазка типа "я не знал, что мене редиректнет", будет не лучше, чем "я не знал, что сгрузив эту программу и запустив её, я нарушу закон".
Бяша, ты заблуждаешься.25.04.02 05:34 Автор: йцукенг <jcukeng> Статус: Member
> Я думаю, нарушение секретности номеров > кредитных карточек является отклонением от > нормального функционирования.
и это отклонение в данном случае произошло по вине админа.
неважно, как назывался файл, cards.dat или top_secret.usa.gov
если для доступа к файлу не требуется авторизация, то он незащищенный, т.е. выложен для публичного доступа из "сети Интернет"(как любят говорить журналисты:).
если такое происходит, нужно наказывать админа, а не тех, кто считал этот файл.
при этом следует учесть, что скачивая файл, человек может ничего не знать о его содержимом, содержимое он узнает только после скачивания.
пример:
допустим, в каком-нибудь секретном учреждении работает шпион. он не может вынести секретный файл на физическом носителе и не может закачать его на какой-нибудь ftp, не может выслать на e-mail, и т.п.(например, из соображений личной безопасности). но, допустим, он имеет доступ к веб-серверу учреждения. и вот он выкладыват файл на веб-сервер.
его сообщник, находящийся за тридевять земель скачивает этот файл. по ходу дела еще около десятка людей случайно (например,допустив ошибку в урл) получают этот файл.
вопрос: кто нарушил закон?
я согласен, пример несколько надуманный, но изобретать более реалистичный мне немного лень. Ясно, что при желании такой пример можно придумать.
секретная информация не должна выкладываться для публичного доступа.
файл выложен для публичного доступа::= для доступа к файлу не требуется подтверждения полномочий, т.е. нет авторизации.
так что ты неправ.
Да ну :) ?26.04.02 23:00 Автор: Бяша <Biasha> Статус: Member
> допустим, в каком-нибудь секретном учреждении работает > шпион. он не может вынести секретный файл на физическом > носителе и не может закачать его на какой-нибудь ftp, не > может выслать на e-mail, и т.п.(например, из соображений > личной безопасности). но, допустим, он имеет доступ к > веб-серверу учреждения. и вот он выкладыват файл на > веб-сервер. Законы (я немного знаю только про украину) строго регламентируют обращение с секретной информации. Выкладывать на web сервер нельзя.
> его сообщник, находящийся за тридевять земель скачивает > этот файл. по ходу дела еще около десятка людей случайно > (например,допустив ошибку в урл) получают этот файл. > вопрос: кто нарушил закон? Случайно скачавший должен сообщить в соответствующие органы, как того и требует закон.
Сообщника - в тюрьму, если удастся доказать его вину.
> я согласен, пример несколько надуманный, но изобретать > более реалистичный мне немного лень. Ясно, что при желании > такой пример можно придумать. Нельзя.
Можно только исходя из не совершенности законов.
> секретная информация не должна выкладываться для публичного > доступа. Секретная - недолжна по закону.
А конфиденциальная, может и выкладываться.
> файл выложен для публичного доступа::= для доступа к файлу > не требуется подтверждения полномочий, т.е. нет > авторизации. > так что ты неправ. А зайти в открытые двери квартиры и читать личные письма, прикрываясь их незащищённостью (дверь не заперта), тоже законно?
> А зайти в открытые двери квартиры и читать личные письма, > прикрываясь их незащищённостью (дверь не заперта), тоже > законно? не спорю, это незаконно. но, пардон, эта аналогия притянута за уши.
При всем моем к тебе уважении, следует заметить, что ты не видишь или делаешь вид, что не видишь разницы между обычными преступлениями и "преступлениями в сфере высоких технологий".
Я приведу более точную аналогию.
Сайт=музей, войти в который могут только те, у кого есть фотоаппарат(без него - вход только для персонала).
Фотоаппарат=браузер.
Фотоаппарат работает автоматически - посмотрел внимательно на экспонат, значит, автоматически сфотографировал.
Было бы странно, если бы посетителей такого музея сажали за фотографирование некоторых из экспонатов, несмотря на отсутствие предупреждающей надписи "данный объект фотографировать нельзя".
Разумеется, совершенно правильно привлекать к ответственности тех, кто ломает двери с надписью "посторонним вход запрещен" или открывает их, подбирая к ним ключ или пользуется отмычкой.
Для перебора названий файлов тоже можно привести аналогию - подходит человек к служителю музея и давай спрашивать - "такой экспонат есть? а такой? а такой? и т.п.". Такие действия, конечно, выходят за рамки приличий, но противозаконными не являются. Взяд ли законы РФ и Украины отличаются настолько сильно:).
И, кстати, то, что музей экспонирует личные данные побывавших в нем не есть правильно. Это не только аморально, но и противозаконно.
К чему я клоню?
А к тому, что есть RFC, описывающие работу по протоколам http, https и др. И если взгляд государства на конфиденциальность информации и авторизацию отличается от общепринятого (читай-описанного в RFC), то должны быть изданы соответствующие нормативные акты, очерчивающие границы дозволенного, детально регламентирующие порядок доступа к конфиденциальной информации, а также устанавливающие меры пресечения для нарушителей этих границ.
Мы можем много и долго спорить об этичности/законности того или иного действия посетителя сайта. Но точку в таком споре должен ставить закон. Если закон не квалифицирует некоторое действие как преступление, следовательно, это действие преступлением не является.
чем больше абстракция - тем лучше :)27.04.02 05:43 Автор: Бяша <Biasha> Статус: Member
> не спорю, это незаконно. но, пардон, эта аналогия притянута > за уши. Каждая аналогия притянута за уши
> При всем моем к тебе уважении, следует заметить, что ты не ещё б "милостивый государь" вставил :)
> видишь или делаешь вид, что не видишь разницы между > обычными преступлениями и "преступлениями в сфере высоких > технологий". Нет никакой разницы. Преступление - то что, приносит вред окружающим и запрещено законодательно.
> Я приведу более точную аналогию. > [...] > Разумеется, совершенно правильно привлекать к > ответственности тех, кто ломает двери с надписью > "посторонним вход запрещен" или открывает их, подбирая к > ним ключ или пользуется отмычкой. > Для перебора названий файлов тоже можно привести аналогию - > подходит человек к служителю музея и давай спрашивать - > "такой экспонат есть? а такой? а такой? и т.п.". Такие
Скорее, ходит и пытается найти дверь, на которую забыли повесить табличку.
> Мы можем много и долго спорить об этичности/законности того > или иного действия посетителя сайта. Но точку в таком споре > должен ставить закон. Если закон не квалифицирует некоторое > действие как преступление, следовательно, это действие > преступлением не является. Да. Всё должен определять закон.
В украине: порядок доступа к конфиденциальной (то есть не секретной, но закрытой) информации определяет владелец.
Так что если админ решил, что так следует хранить номера кред - то он прав.
И, очевидно, подбор имени файла - умышленный обход используемого админом способа защиты секретности информации.
Но, конечно, нужно быть юристом, что бы делать выводы.
Так что у меня вопрос. А здесь нитки тоже могут быть закрыты? :)
чем больше абстракция - тем лучше :)27.04.02 06:20 Автор: Renkvil <Boris> Статус: Member
> Нет никакой разницы. Преступление - то что, приносит вред > окружающим и запрещено законодательно.
Вот это абсолютно правильно.
Если рассматриватьдействующеезаконодательство, а не желаемое.
> Да. Всё должен определять закон.
Во-во.
> В украине: порядок доступа к конфиденциальной (то есть не > секретной, но закрытой) информации определяет владелец. > Так что если админ решил, что так следует хранить номера > кред - то он прав. > И, очевидно, подбор имени файла - умышленный обход > используемого админом способа защиты секретности > информации.
Хорошо.
Я не буду хакать Украину сидя в ней.
И лазить по инету.
Спасибо, что сказал :)
Бяша, ты заблуждаешься.25.04.02 18:49 Автор: Renkvil <Boris> Статус: Member
> > и это отклонение в данном случае произошло по вине > админа. Нет, по вине руководства ядерных держав, которые ещё не уничтожили всё. Если бы они всё уничтожили - проблемы не было бы.
Админ виноват. В том, что не обеспечил достаточный уровень защищённости. Но не только лишь он один виноват.
> > если такое происходит, нужно наказывать админа, а не > тех, > > кто считал этот файл. А за угон авто - владельца, так как он не обеспечил должный уровень защиты.
> Ну это уже заботы фирмы. Правильно.
> > при этом следует учесть, что скачивая файл, человек > может > > ничего не знать о его содержимом, содержимое он узнает > > только после скачивания. Нефиг скачивать то, не знаю что.
> > файл выложен для публичного доступа::= для доступа к > файлу > > не требуется подтверждения полномочий, т.е. нет > > авторизации. Ну блин, а ../../../../../boot.ini тоже не требует авторизации. Тогда комп'ютерных преступлений вообще не существует.
> Это ключевая фраза, которую я описал ещё вчера в двух > предложениях.
Почему? :)27.04.02 02:54 Автор: Renkvil <Boris> Статус: Member
> Админ виноват. В том, что не обеспечил достаточный уровень > защищённости. Но не только лишь он один виноват.
Только.
> > > если такое происходит, нужно наказывать админа, а > не > > тех, > > > кто считал этот файл. > А за угон авто - владельца, так как он не обеспечил должный > уровень защиты.
Нет.
Мы всё ещё о _компьютерных преступлениях_?
Там уже давно составлены законы и дуствуют они несколько иначе, чем ты предполагаешь.
Оговорюсь, я незнаком с законами Украины.
> > > при этом следует учесть, что скачивая файл, > человек > > может > > > ничего не знать о его содержимом, содержимое он > узнает > > > только после скачивания. > Нефиг скачивать то, не знаю что.
Это уже несерьёзно.
По этой логике ты сегодня многократно нарушил закон.
Например скачивая этот пост с Багтрака, ты не знал, что в нём.
> Ну блин, а ../../../../../boot.ini тоже не требует
Конечно.
> авторизации. Тогда комп'ютерных преступлений вообще не > существует.
Существуют.
Например брутофорс.
Почему? :)27.04.02 04:51 Автор: Бяша <Biasha> Статус: Member
> > Админ виноват. В том, что не обеспечил достаточный > уровень > > защищённости. Но не только лишь он один виноват. > > Только. Но не только лишь он один виноват (в том, что нарушена секретность информации, а не в том, что не обеспечена защита).
Человек, пытающийся использовать уязвимость тоже нарушитель.
> Нет. > Мы всё ещё о _компьютерных преступлениях_? > Там уже давно составлены законы и дуствуют они несколько > иначе, чем ты предполагаешь. Что-то я не понял.
Законы о компьютерных преступлениях действуют иначе? Это ж как?
Есть разница между “украсть деньги, сломав сейф” и “украв технологию”?
> Оговорюсь, я незнаком с законами Украины. Я знаком лишь в общих чертах. Мои идеи им не противоречат им, как мне кажется. Даже наоборот, подкрепляются ими:)
> > Нефиг скачивать то, не знаю что. > > Это уже несерьёзно. > По этой логике ты сегодня многократно нарушил закон. > Например скачивая этот пост с Багтрака, ты не знал, что в > нём. Не знал, но я верил, что никому я не наврежу. И кажется ничего не нарушил.
Контр пример: забивая в стенку гвоздь, ты всегда уверен, что не проб'ёшь её насквозь, убив человека, прислонившегося к ней? Но всё же забиваешь гвоздь.
> > авторизации. Тогда комп'ютерных преступлений вообще не > > существует. > > Существуют. > Например брутофорс.
Похоже, я понял из-за чего спор :)
Как я уже говорил, я считаю, что нарушение секретности должно караться.
Не все люди так считают?
Почему? :)27.04.02 05:37 Автор: Renkvil <Boris> Статус: Member
> Но не только лишь он один виноват (в том, что нарушена > секретность информации, а не в том, что не обеспечена > защита). > Человек, пытающийся использовать уязвимость тоже > нарушитель.
Да.
Если он использует какие-то уязвимости, а не просто смотрит разрешённую ему сервером информацию.
> > Нет. > > Мы всё ещё о _компьютерных преступлениях_? > > Там уже давно составлены законы и дуствуют они > несколько > > иначе, чем ты предполагаешь. > Что-то я не понял. > Законы о компьютерных преступлениях действуют иначе? Это ж > как?
Есть Уголовный Кодекс.
Для компьютерных преступлений зачем-то создали отдельные статьи..
> Есть разница между “украсть деньги, сломав сейф” и “украв > технологию”?
В данном предложении практически нет.
> > Оговорюсь, я незнаком с законами Украины. > Я знаком лишь в общих чертах. Мои идеи им не противоречат > им, как мне кажется. Даже наоборот, подкрепляются ими:)
Стоп! Мы говорим вообще про мировые законы или лишь украинские?
Если в Китае хакеру присудили смертную казнь, это колышет только Китай.
Я рассматриваю европейские и американские законы, где собственно говоря и происходило дело. И по этим законам описанное происшествие вполне законно.
> > > Нефиг скачивать то, не знаю что. > > Это уже несерьёзно. > > По этой логике ты сегодня многократно нарушил закон. > > Например скачивая этот пост с Багтрака, ты не знал, > что в > > нём. > Не знал, но я верил, что никому я не наврежу. И кажется > ничего не нарушил.
Если я набираю www.bla.com/index.html то я верю, что попаду на какую-то заглавную страничку.
И разве я виноват, если там окажутся креды?
А если вместо index.html стоит cards.dat, то смысл не меняется.
Твоя же идея о наказании злоумышленников отражена в том, чтоиспользованиедобытых карт таки карается.
Все довольны.
Ты же знаешь, что ссылки на варез пока законны.
Или хранение вареза без запуска его.
Но это уже из другой оперы.
> Контр пример: забивая в стенку гвоздь, ты всегда уверен, > что не проб'ёшь её насквозь, убив человека, прислонившегося > к ней? Но всё же забиваешь гвоздь.
С компьютерами всё несколько многограннее, поэтому и придумали отдельные законы.
> > Существуют. > > Например брутофорс. > > Похоже, я понял из-за чего спор :)
Из-за того, что ты предлагаешь изменить законы, действующие минимум 6 лет :-)
Или в чём-то несогласен с ними.
> Как я уже говорил, я считаю, что нарушение > секретности должно караться. > Не все люди так считают?
Если секретность является и представлена как секретность - да.
Если нет - то соответсвенно.
Человек не обязан каждую секунду думать, что он что нарушает, ибо кто-то считает что-то секретным, что реально доступно всем без сопроводительных надписей.
подробно о проекте
Анализ криптографических сетевых...
