информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetВсе любят медСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Номера кредитных карт были найдены на сайте 24.04.02 13:05  Число просмотров: 2004
Автор: XR <eXtremal Research> Статус: The Elderman
<"чистая" ссылка>
Ничего необычного :))))

Не они первые не они последние ...вот токо как интересно юзер, эти базы нашедший, будет от FBI отмазываться :) неправомерный доступ к информации налицо :)))
Наверное оформят как явка с повинной :)))
<site updates>
Номера кредитных карт были найдены на сайте 24.04.02 03:14  
Publisher: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
Номера кредитных карт были найдены на сайте
The Topeka Capital-Journal http://www.cjonline.com/stories/042002/com_security.shtml

Более двух лет был доступен на веб-странице файл, содержащий имена и адреса пятисот молодых людей.
Напротив 66-ти записей были внесены номера кредитных карт.
Вебмастер страницы немедленно удалил файл с сервера, как только он получил e-mail от пользователя, обнаружившего файл.
По его словам, файл невозможно было найти путешествуя по страницам, однако при использовании специальных программ, это было досточно вероятно и кто-то ещё уже наверняка этим воспользовался.
Файл был создан ещё 3 января 2000 года и оказался на сервере при ошибочном перемещении с другого компьютера.
Будьте внимательны!


Полный текст
Э, пожлста поподробнее о специальных программах ;) 25.04.02 01:42  
Автор: RedAndr UfaTeam <Андрей Рыжков> Статус: Member
<"чистая" ссылка>
Э, пожлста поподробнее о специальных программах ;) 25.04.02 01:51  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
Брутофорс на URL.
Т.е. прога/перл-скрипт/батник/... которая последовательно переберает
что-то типа

www.bla.com/1.txt
www.bla.com/1.txt
...
www.bla.com/NN.txt
...
www.bla.com/3424.dat
...

Можно скомбинировать лист перебора или взять вордлист и запустить

wget -i yourfile www.bla.com

Вот и вся программа.

Некоторые лепят из этого всякие ГУИшки под Вынь, но линуксоиды уже давно даказали непрактичность такого подхода.
:-)

Борис
Номера кредитных карт были найдены на сайте 24.04.02 13:05  
Автор: XR <eXtremal Research> Статус: The Elderman
<"чистая" ссылка>
Ничего необычного :))))

Не они первые не они последние ...вот токо как интересно юзер, эти базы нашедший, будет от FBI отмазываться :) неправомерный доступ к информации налицо :)))
Наверное оформят как явка с повинной :)))
Найдут его, как же! ;)) 26.04.02 23:10  
Автор: Sandy <Alexander Stepanov> Статус: Elderman
<"чистая" ссылка>
> вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))

У него мыльник был, небось, типа Vasya.Pupkin@hotmail.com %)))
Номера кредитных карт были найдены на сайте 24.04.02 19:45  
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
<"чистая" ссылка>
> Ничего необычного :))))
>
> Не они первые не они последние ...вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))
Да и небось этот юзер кредами попользовался на славу, а потом совесть проснулась :)
Номера кредитных карт были найдены на сайте 24.04.02 19:09  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> Ничего необычного :))))
>
> Не они первые не они последние ...вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))

Не думаю, что ФБР ему чем-то сможет пригрозить. Информация закрыта не была, и он ничего не ломал.
Номера кредитных карт были найдены на сайте 24.04.02 19:48  
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
<"чистая" ссылка>

> Не думаю, что ФБР ему чем-то сможет пригрозить. Информация
> закрыта не была, и он ничего не ломал.
Ты уверен? :)
Номера кредитных карт были найдены на сайте 24.04.02 20:12  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
>
> > Не думаю, что ФБР ему чем-то сможет пригрозить.
> Информация
> > закрыта не была, и он ничего не ломал.
> Ты уверен? :)

Взлом - по закону - этонезаконноеполучение доступа кзащищённойособым образом информации.

Если я ввёл www.blabla.com/index.html я ничего не нарушил.
А если www.blabla.com/cards.dat то да?
Нет
Номера кредитных карт были найдены на сайте 24.04.02 22:17  
Автор: + <Mikhail> Статус: Elderman
<"чистая" ссылка>
Ty dumaesh chto esli machina stoiala na ulice s otkrutumi dverimai i s kluchami v zazhiganii , ty sel v nee i poehal, to tebe ni chego ne budet?
Oshibaeshsia takogo roda provokacii delautsia po polnoi programme.

> >
> > > Не думаю, что ФБР ему чем-то сможет пригрозить.
> > Информация
> > > закрыта не была, и он ничего не ломал.
> > Ты уверен? :)
>
> Взлом - по закону - этонезаконноеполучение доступа к
>защищённойособым образом информации.
>
> Если я ввёл www.blabla.com/index.html я ничего не нарушил.
> А если www.blabla.com/cards.dat то да?
> Нет
Номера кредитных карт были найдены на сайте 24.04.02 22:35  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Ty dumaesh chto esli machina stoiala na ulice s otkrutumi
> dverimai i s kluchami v zazhiganii , ty sel v nee i poehal,
> to tebe ni chego ne budet?

Будет.
За кражу (незаконное присвоение) чужого имущества.
Есть уголовный кодекс, статьи по краже, а есть статьи по компьютерным преступлениям.

> Oshibaeshsia takogo roda provokacii delautsia po polnoi
> programme.

Какие провокации?
В настоящий момент у меня нет американских сводов законов о компьютерных преступлениях, но в европейских ясно сказано, что осуждается незаконноеполучение доступа кзащищённойособым образом информации."
Я авторизирован для чтения файлов с сервера?
Да.
Файл был каким-либо образом защищён?
Нет.

Кстати когда нам рассказывали, что чтение файлов с расшаренных дисков вполне законно, даже запись без изменения существующих данных не нарушает закон в Европе, многие не верили.
Но факт.
Специально для этого перед камерой сканили интернет и читали инфу с расшаренных дисков.
А иначе получалось бы, что тебе пихают в руки инфу, а ты ещё и виноват, что не рассказал владельцам о защите информации.
Номера кредитных карт были найдены на сайте 25.04.02 02:38  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
> В настоящий момент у меня нет американских сводов законов о
У меня тоже :(

> компьютерных преступлениях, но в европейских ясно сказано,
> что осуждается незаконноеполучение доступа к
>защищённойособым образом информации."
> Я авторизирован для чтения файлов с сервера?
> Да.
> Файл был каким-либо образом защищён?
> Нет.
Да - ссылку на него нельзя было получить обычным способом.

И ещё:
Если атака - отклонение работы системы от нормального её функционирования.
А нормальное функционирование подразумевает секретность номеров кредиток.
То вписать www.blabla.com/cards.dat - атака, то есть взлом.

Не знаю как там в европе, а в украине и чайника, заразившего по глупости компьютер, можно законно посадить, при желании. Кажется, по росийским законам - тоже.
Номера кредитных карт были найдены на сайте 25.04.02 02:45  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Да - ссылку на него нельзя было получить обычным способом.

Можно.
Какая разница - index.html или cards.dat?

> И ещё:
> Если атака - отклонение работы системы от нормального её
> функционирования.

Показывая файл на серевере, если пользователь имеет права на чтение, система делает всё абсолютно корректно.
Клиент тоже.

> А нормальное функционирование подразумевает секретность
> номеров кредиток.

Значит у клинта не должно быть прав на чтение.
Или файла не должно быть на сервере.

> То вписать www.blabla.com/cards.dat - атака, то есть взлом.

А вписать robots.txt тоже взлом?
Т.е. кажый поисковик ломает систему?

> Не знаю как там в европе, а в украине и чайника,

В Европе как я и описал.
Самое интересное - это расшаренные чужие диски и правомерная запись на них :)

> заразившего по глупости компьютер, можно законно посадить,
> при желании. Кажется, по росийским законам - тоже.

В Европе тоже.
Хотя случай случаю рознь


Борис
Номера кредитных карт были найдены на сайте 25.04.02 03:01  
Автор: Бяша <Biasha> Статус: Member
Отредактировано 25.04.02 03:03  Количество правок: 1
<"чистая" ссылка>
> > Да - ссылку на него нельзя было получить обычным
> способом.
>
> Можно.
Обычным - нельзя. Нужно было использовать "специальную программу".

> Какая разница - index.html или cards.dat?
Какая разница index.html или ../../../../../../../../../../../../boot.ini ?

> А вписать robots.txt тоже взлом?
Если это нарушает нормальное функционирование системы - да.

> В Европе как я и описал.
> Самое интересное - это расшаренные чужие диски и
> правомерная запись на них :)
Весело :)
Номера кредитных карт были найдены на сайте 25.04.02 03:38  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Обычным - нельзя. Нужно было использовать "специальную
> программу".

... которая называется браузер.

> > Какая разница - index.html или cards.dat?
> Какая разница index.html или
> ../../../../../../../../../../../../boot.ini ?

Никакой.
И то и другое - разрешённая клинтам фича.

Мы в ответе за тех, кого приручили (с) Сант-Экзюпери, "Маленький принц"
:-)

> > А вписать robots.txt тоже взлом?
> Если это нарушает нормальное функционирование системы - да.

А если я зашёл на сервер и это нарушило нормальное функционирование системы?
Кстати если я просматриваю cards.dat, то это не нарушаетнормальноефункционирование: раз файл есть на сервере а у меня есит право чтения, всё идёт как и должно идти.

> > В Европе как я и описал.
> > Самое интересное - это расшаренные чужие диски и
> > правомерная запись на них :)
> Весело :)

Не говори :-)

Борис.
Номера кредитных карт были найдены на сайте 25.04.02 04:12  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
> > Обычным - нельзя. Нужно было использовать "специальную
> > программу".
>
> ... которая называется браузер.

В данном случае - нет:
http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=45738
> Брутофорс на URL.
> Т.е. прога/перл-скрипт/батник/... которая последовательно переберает
> что-то типа
> [...]

> > > Какая разница - index.html или cards.dat?
> > Какая разница index.html или
> > ../../../../../../../../../../../../boot.ini ?
>
> Никакой.
> И то и другое - разрешённая клинтам фича.

Неконструктивно. Я придерживаюсь того мнения, что нарушители существуют. Мало того существует нарушение секретности информации.
Мало того, я думаю, что нарушителей нужно сажать в тюрьму.
Так вот, чтобы их сажать в тюрьму нужен формальный критерий.
У меня он есть - нарушение нормального функционирования.

> > > А вписать robots.txt тоже взлом?
> > Если это нарушает нормальное функционирование системы
> - да.
>
> А если я зашёл на сервер и это нарушило нормальное
> функционирование системы?

Я сторонник строгого формализма. Я считаю, что нормальное функционирование системы должно быть описано до создания системы.
Если бы все были такие, как я - то можно было бы ответить на твой вопрос, но это, к моему сожалению, не так.
Но, к счастью, в большинстве случаев нет сильного расхождения во взглядах на нормальное функционирование конкретной системы: зайти на сервак обычно считают нормальным, а читать номера чужих кредиток - ненормальным.

Кстати, не всегда нужно составлять подробное описание того что можно, а что нет. Можно назначить эксперта.

> Кстати если я просматриваю cards.dat, то это не нарушает
>нормальноефункционирование: раз файл есть на сервере а у
> меня есит право чтения, всё идёт как и должно идти.

Я думаю, нарушение секретности номеров кредитных карточек является отклонением от нормального функционирования.
Если бы все было как ты говоришь - можно было бы очень легко подставить человека... 25.04.02 10:01  
Автор: Glory <Mr. Glory> Статус: Elderman
<"чистая" ссылка>
например, заходишь ты на какой-нить сайт (напр. www.site.com), который тебя редиректит на файл www.super-secret.com/cards. Ссылки на файл нет на индексной странице сайт и на других страницах, то есть по-твоему - этот файл защищен. Потом с www.site.com убирают редирект, а администрация www.super-secret.com предъявляет тебе обвинение в доступе к защищенной информации. Попробуй теперь докажи, что тебя средиректило на этот файл.
Виновен. Нефиг было на www.site.com заходить. 26.04.02 22:38  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
Так что, теперь вообще в инет не ходить, если не знаешь о сайте заранее? 27.04.02 02:49  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
А ножом пользоваться можно? 27.04.02 04:06  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
Ходить то можно, нельзя нарушать законы :)

Если ты ходишь по страницам, и это никому не вредит - ради бога.
Но если твои действия при этом нарушают законодательство, то суд должен решать насколько умышленными они были. (кстати за неумышленное убийство тоже наказывают)

И отмазка типа "я не знал, что мене редиректнет", будет не лучше, чем "я не знал, что сгрузив эту программу и запустив её, я нарушу закон".
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach