информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеПортрет посетителяГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 С наступающим 
 Apple, Google, Microsoft и Mozilla... 
 Cloudflare, Apple и Fastly предложили... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Номера кредитных карт были найдены на сайте 24.04.02 19:45  Число просмотров: 1663
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
<"чистая" ссылка>
> Ничего необычного :))))
>
> Не они первые не они последние ...вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))
Да и небось этот юзер кредами попользовался на славу, а потом совесть проснулась :)
<site updates>
Номера кредитных карт были найдены на сайте 24.04.02 03:14  
Publisher: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
Номера кредитных карт были найдены на сайте
The Topeka Capital-Journal http://www.cjonline.com/stories/042002/com_security.shtml

Более двух лет был доступен на веб-странице файл, содержащий имена и адреса пятисот молодых людей.
Напротив 66-ти записей были внесены номера кредитных карт.
Вебмастер страницы немедленно удалил файл с сервера, как только он получил e-mail от пользователя, обнаружившего файл.
По его словам, файл невозможно было найти путешествуя по страницам, однако при использовании специальных программ, это было досточно вероятно и кто-то ещё уже наверняка этим воспользовался.
Файл был создан ещё 3 января 2000 года и оказался на сервере при ошибочном перемещении с другого компьютера.
Будьте внимательны!


Полный текст
Э, пожлста поподробнее о специальных программах ;) 25.04.02 01:42  
Автор: RedAndr UfaTeam <Андрей Рыжков> Статус: Member
<"чистая" ссылка>
Э, пожлста поподробнее о специальных программах ;) 25.04.02 01:51  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
Брутофорс на URL.
Т.е. прога/перл-скрипт/батник/... которая последовательно переберает
что-то типа

www.bla.com/1.txt
www.bla.com/1.txt
...
www.bla.com/NN.txt
...
www.bla.com/3424.dat
...

Можно скомбинировать лист перебора или взять вордлист и запустить

wget -i yourfile www.bla.com

Вот и вся программа.

Некоторые лепят из этого всякие ГУИшки под Вынь, но линуксоиды уже давно даказали непрактичность такого подхода.
:-)

Борис
Номера кредитных карт были найдены на сайте 24.04.02 13:05  
Автор: XR <eXtremal Research> Статус: The Elderman
<"чистая" ссылка>
Ничего необычного :))))

Не они первые не они последние ...вот токо как интересно юзер, эти базы нашедший, будет от FBI отмазываться :) неправомерный доступ к информации налицо :)))
Наверное оформят как явка с повинной :)))
Найдут его, как же! ;)) 26.04.02 23:10  
Автор: Sandy <Alexander Stepanov> Статус: Elderman
<"чистая" ссылка>
> вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))

У него мыльник был, небось, типа Vasya.Pupkin@hotmail.com %)))
Номера кредитных карт были найдены на сайте 24.04.02 19:45  
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
<"чистая" ссылка>
> Ничего необычного :))))
>
> Не они первые не они последние ...вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))
Да и небось этот юзер кредами попользовался на славу, а потом совесть проснулась :)
Номера кредитных карт были найдены на сайте 24.04.02 19:09  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> Ничего необычного :))))
>
> Не они первые не они последние ...вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))

Не думаю, что ФБР ему чем-то сможет пригрозить. Информация закрыта не была, и он ничего не ломал.
Номера кредитных карт были найдены на сайте 24.04.02 19:48  
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
<"чистая" ссылка>

> Не думаю, что ФБР ему чем-то сможет пригрозить. Информация
> закрыта не была, и он ничего не ломал.
Ты уверен? :)
Номера кредитных карт были найдены на сайте 24.04.02 20:12  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
>
> > Не думаю, что ФБР ему чем-то сможет пригрозить.
> Информация
> > закрыта не была, и он ничего не ломал.
> Ты уверен? :)

Взлом - по закону - этонезаконноеполучение доступа кзащищённойособым образом информации.

Если я ввёл www.blabla.com/index.html я ничего не нарушил.
А если www.blabla.com/cards.dat то да?
Нет
Номера кредитных карт были найдены на сайте 24.04.02 22:17  
Автор: + <Mikhail> Статус: Elderman
<"чистая" ссылка>
Ty dumaesh chto esli machina stoiala na ulice s otkrutumi dverimai i s kluchami v zazhiganii , ty sel v nee i poehal, to tebe ni chego ne budet?
Oshibaeshsia takogo roda provokacii delautsia po polnoi programme.

> >
> > > Не думаю, что ФБР ему чем-то сможет пригрозить.
> > Информация
> > > закрыта не была, и он ничего не ломал.
> > Ты уверен? :)
>
> Взлом - по закону - этонезаконноеполучение доступа к
>защищённойособым образом информации.
>
> Если я ввёл www.blabla.com/index.html я ничего не нарушил.
> А если www.blabla.com/cards.dat то да?
> Нет
Номера кредитных карт были найдены на сайте 24.04.02 22:35  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Ty dumaesh chto esli machina stoiala na ulice s otkrutumi
> dverimai i s kluchami v zazhiganii , ty sel v nee i poehal,
> to tebe ni chego ne budet?

Будет.
За кражу (незаконное присвоение) чужого имущества.
Есть уголовный кодекс, статьи по краже, а есть статьи по компьютерным преступлениям.

> Oshibaeshsia takogo roda provokacii delautsia po polnoi
> programme.

Какие провокации?
В настоящий момент у меня нет американских сводов законов о компьютерных преступлениях, но в европейских ясно сказано, что осуждается незаконноеполучение доступа кзащищённойособым образом информации."
Я авторизирован для чтения файлов с сервера?
Да.
Файл был каким-либо образом защищён?
Нет.

Кстати когда нам рассказывали, что чтение файлов с расшаренных дисков вполне законно, даже запись без изменения существующих данных не нарушает закон в Европе, многие не верили.
Но факт.
Специально для этого перед камерой сканили интернет и читали инфу с расшаренных дисков.
А иначе получалось бы, что тебе пихают в руки инфу, а ты ещё и виноват, что не рассказал владельцам о защите информации.
Номера кредитных карт были найдены на сайте 25.04.02 02:38  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
> В настоящий момент у меня нет американских сводов законов о
У меня тоже :(

> компьютерных преступлениях, но в европейских ясно сказано,
> что осуждается незаконноеполучение доступа к
>защищённойособым образом информации."
> Я авторизирован для чтения файлов с сервера?
> Да.
> Файл был каким-либо образом защищён?
> Нет.
Да - ссылку на него нельзя было получить обычным способом.

И ещё:
Если атака - отклонение работы системы от нормального её функционирования.
А нормальное функционирование подразумевает секретность номеров кредиток.
То вписать www.blabla.com/cards.dat - атака, то есть взлом.

Не знаю как там в европе, а в украине и чайника, заразившего по глупости компьютер, можно законно посадить, при желании. Кажется, по росийским законам - тоже.
Номера кредитных карт были найдены на сайте 25.04.02 02:45  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Да - ссылку на него нельзя было получить обычным способом.

Можно.
Какая разница - index.html или cards.dat?

> И ещё:
> Если атака - отклонение работы системы от нормального её
> функционирования.

Показывая файл на серевере, если пользователь имеет права на чтение, система делает всё абсолютно корректно.
Клиент тоже.

> А нормальное функционирование подразумевает секретность
> номеров кредиток.

Значит у клинта не должно быть прав на чтение.
Или файла не должно быть на сервере.

> То вписать www.blabla.com/cards.dat - атака, то есть взлом.

А вписать robots.txt тоже взлом?
Т.е. кажый поисковик ломает систему?

> Не знаю как там в европе, а в украине и чайника,

В Европе как я и описал.
Самое интересное - это расшаренные чужие диски и правомерная запись на них :)

> заразившего по глупости компьютер, можно законно посадить,
> при желании. Кажется, по росийским законам - тоже.

В Европе тоже.
Хотя случай случаю рознь


Борис
Номера кредитных карт были найдены на сайте 25.04.02 03:01  
Автор: Бяша <Biasha> Статус: Member
Отредактировано 25.04.02 03:03  Количество правок: 1
<"чистая" ссылка>
> > Да - ссылку на него нельзя было получить обычным
> способом.
>
> Можно.
Обычным - нельзя. Нужно было использовать "специальную программу".

> Какая разница - index.html или cards.dat?
Какая разница index.html или ../../../../../../../../../../../../boot.ini ?

> А вписать robots.txt тоже взлом?
Если это нарушает нормальное функционирование системы - да.

> В Европе как я и описал.
> Самое интересное - это расшаренные чужие диски и
> правомерная запись на них :)
Весело :)
Номера кредитных карт были найдены на сайте 25.04.02 03:38  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Обычным - нельзя. Нужно было использовать "специальную
> программу".

... которая называется браузер.

> > Какая разница - index.html или cards.dat?
> Какая разница index.html или
> ../../../../../../../../../../../../boot.ini ?

Никакой.
И то и другое - разрешённая клинтам фича.

Мы в ответе за тех, кого приручили (с) Сант-Экзюпери, "Маленький принц"
:-)

> > А вписать robots.txt тоже взлом?
> Если это нарушает нормальное функционирование системы - да.

А если я зашёл на сервер и это нарушило нормальное функционирование системы?
Кстати если я просматриваю cards.dat, то это не нарушаетнормальноефункционирование: раз файл есть на сервере а у меня есит право чтения, всё идёт как и должно идти.

> > В Европе как я и описал.
> > Самое интересное - это расшаренные чужие диски и
> > правомерная запись на них :)
> Весело :)

Не говори :-)

Борис.
Номера кредитных карт были найдены на сайте 25.04.02 04:12  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
> > Обычным - нельзя. Нужно было использовать "специальную
> > программу".
>
> ... которая называется браузер.

В данном случае - нет:
http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=45738
> Брутофорс на URL.
> Т.е. прога/перл-скрипт/батник/... которая последовательно переберает
> что-то типа
> [...]

> > > Какая разница - index.html или cards.dat?
> > Какая разница index.html или
> > ../../../../../../../../../../../../boot.ini ?
>
> Никакой.
> И то и другое - разрешённая клинтам фича.

Неконструктивно. Я придерживаюсь того мнения, что нарушители существуют. Мало того существует нарушение секретности информации.
Мало того, я думаю, что нарушителей нужно сажать в тюрьму.
Так вот, чтобы их сажать в тюрьму нужен формальный критерий.
У меня он есть - нарушение нормального функционирования.

> > > А вписать robots.txt тоже взлом?
> > Если это нарушает нормальное функционирование системы
> - да.
>
> А если я зашёл на сервер и это нарушило нормальное
> функционирование системы?

Я сторонник строгого формализма. Я считаю, что нормальное функционирование системы должно быть описано до создания системы.
Если бы все были такие, как я - то можно было бы ответить на твой вопрос, но это, к моему сожалению, не так.
Но, к счастью, в большинстве случаев нет сильного расхождения во взглядах на нормальное функционирование конкретной системы: зайти на сервак обычно считают нормальным, а читать номера чужих кредиток - ненормальным.

Кстати, не всегда нужно составлять подробное описание того что можно, а что нет. Можно назначить эксперта.

> Кстати если я просматриваю cards.dat, то это не нарушает
>нормальноефункционирование: раз файл есть на сервере а у
> меня есит право чтения, всё идёт как и должно идти.

Я думаю, нарушение секретности номеров кредитных карточек является отклонением от нормального функционирования.
Если бы все было как ты говоришь - можно было бы очень легко подставить человека... 25.04.02 10:01  
Автор: Glory <Mr. Glory> Статус: Elderman
<"чистая" ссылка>
например, заходишь ты на какой-нить сайт (напр. www.site.com), который тебя редиректит на файл www.super-secret.com/cards. Ссылки на файл нет на индексной странице сайт и на других страницах, то есть по-твоему - этот файл защищен. Потом с www.site.com убирают редирект, а администрация www.super-secret.com предъявляет тебе обвинение в доступе к защищенной информации. Попробуй теперь докажи, что тебя средиректило на этот файл.
Виновен. Нефиг было на www.site.com заходить. 26.04.02 22:38  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
Так что, теперь вообще в инет не ходить, если не знаешь о сайте заранее? 27.04.02 02:49  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
А ножом пользоваться можно? 27.04.02 04:06  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
Ходить то можно, нельзя нарушать законы :)

Если ты ходишь по страницам, и это никому не вредит - ради бога.
Но если твои действия при этом нарушают законодательство, то суд должен решать насколько умышленными они были. (кстати за неумышленное убийство тоже наказывают)

И отмазка типа "я не знал, что мене редиректнет", будет не лучше, чем "я не знал, что сгрузив эту программу и запустив её, я нарушу закон".
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach