Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | | | | | | |
Бяша, ты заблуждаешься. 25.04.02 05:34 Число просмотров: 1687
Автор: йцукенг <jcukeng> Статус: Member
|
> Я думаю, нарушение секретности номеров
> кредитных карточек является отклонением от
> нормального функционирования.
и это отклонение в данном случае произошло по вине админа.
неважно, как назывался файл, cards.dat или top_secret.usa.gov
если для доступа к файлу не требуется авторизация, то он незащищенный, т.е. выложен для публичного доступа из "сети Интернет"(как любят говорить журналисты:).
если такое происходит, нужно наказывать админа, а не тех, кто считал этот файл.
при этом следует учесть, что скачивая файл, человек может ничего не знать о его содержимом, содержимое он узнает только после скачивания.
пример:
допустим, в каком-нибудь секретном учреждении работает шпион. он не может вынести секретный файл на физическом носителе и не может закачать его на какой-нибудь ftp, не может выслать на e-mail, и т.п.(например, из соображений личной безопасности). но, допустим, он имеет доступ к веб-серверу учреждения. и вот он выкладыват файл на веб-сервер.
его сообщник, находящийся за тридевять земель скачивает этот файл. по ходу дела еще около десятка людей случайно (например,допустив ошибку в урл) получают этот файл.
вопрос: кто нарушил закон?
я согласен, пример несколько надуманный, но изобретать более реалистичный мне немного лень. Ясно, что при желании такой пример можно придумать.
секретная информация не должна выкладываться для публичного доступа.
файл выложен для публичного доступа::= для доступа к файлу не требуется подтверждения полномочий, т.е. нет авторизации.
так что ты неправ.
|
|
<site updates>
|
Номера кредитных карт были найдены на сайте 24.04.02 03:14
Publisher: Renkvil <Boris> Статус: Member
|
Номера кредитных карт были найдены на сайте
The Topeka Capital-Journal http://www.cjonline.com/stories/042002/com_security.shtml
Более двух лет был доступен на веб-странице файл, содержащий имена и адреса пятисот молодых людей.
Напротив 66-ти записей были внесены номера кредитных карт.
Вебмастер страницы немедленно удалил файл с сервера, как только он получил e-mail от пользователя, обнаружившего файл.
По его словам, файл невозможно было найти путешествуя по страницам, однако при использовании специальных программ, это было досточно вероятно и кто-то ещё уже наверняка этим воспользовался.
Файл был создан ещё 3 января 2000 года и оказался на сервере при ошибочном перемещении с другого компьютера.
Будьте внимательны!
Полный текст
|
|
Э, пожлста поподробнее о специальных программах ;) 25.04.02 01:42
Автор: RedAndr UfaTeam <Андрей Рыжков> Статус: Member
|
|
|
| |
Э, пожлста поподробнее о специальных программах ;) 25.04.02 01:51
Автор: Renkvil <Boris> Статус: Member
|
Брутофорс на URL.
Т.е. прога/перл-скрипт/батник/... которая последовательно переберает
что-то типа
www.bla.com/1.txt
www.bla.com/1.txt
...
www.bla.com/NN.txt
...
www.bla.com/3424.dat
...
Можно скомбинировать лист перебора или взять вордлист и запустить
wget -i yourfile www.bla.com
Вот и вся программа.
Некоторые лепят из этого всякие ГУИшки под Вынь, но линуксоиды уже давно даказали непрактичность такого подхода.
:-)
Борис
|
|
Номера кредитных карт были найдены на сайте 24.04.02 13:05
Автор: XR <eXtremal Research> Статус: The Elderman
|
Ничего необычного :))))
Не они первые не они последние ...вот токо как интересно юзер, эти базы нашедший, будет от FBI отмазываться :) неправомерный доступ к информации налицо :)))
Наверное оформят как явка с повинной :)))
|
| |
Найдут его, как же! ;)) 26.04.02 23:10
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
> вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))
У него мыльник был, небось, типа Vasya.Pupkin@hotmail.com %)))
|
| |
Номера кредитных карт были найдены на сайте 24.04.02 19:45
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
|
> Ничего необычного :))))
>
> Не они первые не они последние ...вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))
Да и небось этот юзер кредами попользовался на славу, а потом совесть проснулась :)
|
| |
Номера кредитных карт были найдены на сайте 24.04.02 19:09
Автор: !mm <Ivan Ch.> Статус: Elderman
|
> Ничего необычного :))))
>
> Не они первые не они последние ...вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))
Не думаю, что ФБР ему чем-то сможет пригрозить. Информация закрыта не была, и он ничего не ломал.
|
| | |
Номера кредитных карт были найдены на сайте 24.04.02 19:48
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
|
> Не думаю, что ФБР ему чем-то сможет пригрозить. Информация
> закрыта не была, и он ничего не ломал.
Ты уверен? :)
|
| | | |
Номера кредитных карт были найдены на сайте 24.04.02 20:12
Автор: Renkvil <Boris> Статус: Member
|
>
> > Не думаю, что ФБР ему чем-то сможет пригрозить.
> Информация
> > закрыта не была, и он ничего не ломал.
> Ты уверен? :)
Взлом - по закону - этонезаконноеполучение доступа кзащищённойособым образом информации.
Если я ввёл www.blabla.com/index.html я ничего не нарушил.
А если www.blabla.com/cards.dat то да?
Нет
|
| | | | |
Номера кредитных карт были найдены на сайте 24.04.02 22:17
Автор: + <Mikhail> Статус: Elderman
|
Ty dumaesh chto esli machina stoiala na ulice s otkrutumi dverimai i s kluchami v zazhiganii , ty sel v nee i poehal, to tebe ni chego ne budet?
Oshibaeshsia takogo roda provokacii delautsia po polnoi programme.
> >
> > > Не думаю, что ФБР ему чем-то сможет пригрозить.
> > Информация
> > > закрыта не была, и он ничего не ломал.
> > Ты уверен? :)
>
> Взлом - по закону - этонезаконноеполучение доступа к
>защищённойособым образом информации.
>
> Если я ввёл www.blabla.com/index.html я ничего не нарушил.
> А если www.blabla.com/cards.dat то да?
> Нет
|
| | | | | |
Номера кредитных карт были найдены на сайте 24.04.02 22:35
Автор: Renkvil <Boris> Статус: Member
|
> Ty dumaesh chto esli machina stoiala na ulice s otkrutumi
> dverimai i s kluchami v zazhiganii , ty sel v nee i poehal,
> to tebe ni chego ne budet?
Будет.
За кражу (незаконное присвоение) чужого имущества.
Есть уголовный кодекс, статьи по краже, а есть статьи по компьютерным преступлениям.
> Oshibaeshsia takogo roda provokacii delautsia po polnoi
> programme.
Какие провокации?
В настоящий момент у меня нет американских сводов законов о компьютерных преступлениях, но в европейских ясно сказано, что осуждается незаконноеполучение доступа кзащищённойособым образом информации."
Я авторизирован для чтения файлов с сервера?
Да.
Файл был каким-либо образом защищён?
Нет.
Кстати когда нам рассказывали, что чтение файлов с расшаренных дисков вполне законно, даже запись без изменения существующих данных не нарушает закон в Европе, многие не верили.
Но факт.
Специально для этого перед камерой сканили интернет и читали инфу с расшаренных дисков.
А иначе получалось бы, что тебе пихают в руки инфу, а ты ещё и виноват, что не рассказал владельцам о защите информации.
|
| | | | | | |
Номера кредитных карт были найдены на сайте 25.04.02 02:38
Автор: Бяша <Biasha> Статус: Member
|
> В настоящий момент у меня нет американских сводов законов о
У меня тоже :(
> компьютерных преступлениях, но в европейских ясно сказано,
> что осуждается незаконноеполучение доступа к
>защищённойособым образом информации."
> Я авторизирован для чтения файлов с сервера?
> Да.
> Файл был каким-либо образом защищён?
> Нет.
Да - ссылку на него нельзя было получить обычным способом.
И ещё:
Если атака - отклонение работы системы от нормального её функционирования.
А нормальное функционирование подразумевает секретность номеров кредиток.
То вписать www.blabla.com/cards.dat - атака, то есть взлом.
Не знаю как там в европе, а в украине и чайника, заразившего по глупости компьютер, можно законно посадить, при желании. Кажется, по росийским законам - тоже.
|
| | | | | | | |
Номера кредитных карт были найдены на сайте 25.04.02 02:45
Автор: Renkvil <Boris> Статус: Member
|
> Да - ссылку на него нельзя было получить обычным способом.
Можно.
Какая разница - index.html или cards.dat?
> И ещё:
> Если атака - отклонение работы системы от нормального её
> функционирования.
Показывая файл на серевере, если пользователь имеет права на чтение, система делает всё абсолютно корректно.
Клиент тоже.
> А нормальное функционирование подразумевает секретность
> номеров кредиток.
Значит у клинта не должно быть прав на чтение.
Или файла не должно быть на сервере.
> То вписать www.blabla.com/cards.dat - атака, то есть взлом.
А вписать robots.txt тоже взлом?
Т.е. кажый поисковик ломает систему?
> Не знаю как там в европе, а в украине и чайника,
В Европе как я и описал.
Самое интересное - это расшаренные чужие диски и правомерная запись на них :)
> заразившего по глупости компьютер, можно законно посадить,
> при желании. Кажется, по росийским законам - тоже.
В Европе тоже.
Хотя случай случаю рознь
Борис
|
| | | | | | | | |
Номера кредитных карт были найдены на сайте 25.04.02 03:01
Автор: Бяша <Biasha> Статус: Member
Отредактировано 25.04.02 03:03 Количество правок: 1
|
> > Да - ссылку на него нельзя было получить обычным
> способом.
>
> Можно.
Обычным - нельзя. Нужно было использовать "специальную программу".
> Какая разница - index.html или cards.dat?
Какая разница index.html или ../../../../../../../../../../../../boot.ini ?
> А вписать robots.txt тоже взлом?
Если это нарушает нормальное функционирование системы - да.
> В Европе как я и описал.
> Самое интересное - это расшаренные чужие диски и
> правомерная запись на них :)
Весело :)
|
| | | | | | | | | |
Номера кредитных карт были найдены на сайте 25.04.02 03:38
Автор: Renkvil <Boris> Статус: Member
|
> Обычным - нельзя. Нужно было использовать "специальную
> программу".
... которая называется браузер.
> > Какая разница - index.html или cards.dat?
> Какая разница index.html или
> ../../../../../../../../../../../../boot.ini ?
Никакой.
И то и другое - разрешённая клинтам фича.
Мы в ответе за тех, кого приручили (с) Сант-Экзюпери, "Маленький принц"
:-)
> > А вписать robots.txt тоже взлом?
> Если это нарушает нормальное функционирование системы - да.
А если я зашёл на сервер и это нарушило нормальное функционирование системы?
Кстати если я просматриваю cards.dat, то это не нарушаетнормальноефункционирование: раз файл есть на сервере а у меня есит право чтения, всё идёт как и должно идти.
> > В Европе как я и описал.
> > Самое интересное - это расшаренные чужие диски и
> > правомерная запись на них :)
> Весело :)
Не говори :-)
Борис.
|
| | | | | | | | | | |
Номера кредитных карт были найдены на сайте 25.04.02 04:12
Автор: Бяша <Biasha> Статус: Member
|
> > Обычным - нельзя. Нужно было использовать "специальную
> > программу".
>
> ... которая называется браузер.
В данном случае - нет:
http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=45738
> Брутофорс на URL.
> Т.е. прога/перл-скрипт/батник/... которая последовательно переберает
> что-то типа
> [...]
> > > Какая разница - index.html или cards.dat?
> > Какая разница index.html или
> > ../../../../../../../../../../../../boot.ini ?
>
> Никакой.
> И то и другое - разрешённая клинтам фича.
Неконструктивно. Я придерживаюсь того мнения, что нарушители существуют. Мало того существует нарушение секретности информации.
Мало того, я думаю, что нарушителей нужно сажать в тюрьму.
Так вот, чтобы их сажать в тюрьму нужен формальный критерий.
У меня он есть - нарушение нормального функционирования.
> > > А вписать robots.txt тоже взлом?
> > Если это нарушает нормальное функционирование системы
> - да.
>
> А если я зашёл на сервер и это нарушило нормальное
> функционирование системы?
Я сторонник строгого формализма. Я считаю, что нормальное функционирование системы должно быть описано до создания системы.
Если бы все были такие, как я - то можно было бы ответить на твой вопрос, но это, к моему сожалению, не так.
Но, к счастью, в большинстве случаев нет сильного расхождения во взглядах на нормальное функционирование конкретной системы: зайти на сервак обычно считают нормальным, а читать номера чужих кредиток - ненормальным.
Кстати, не всегда нужно составлять подробное описание того что можно, а что нет. Можно назначить эксперта.
> Кстати если я просматриваю cards.dat, то это не нарушает
>нормальноефункционирование: раз файл есть на сервере а у
> меня есит право чтения, всё идёт как и должно идти.
Я думаю, нарушение секретности номеров кредитных карточек является отклонением от нормального функционирования.
|
| | | | | | | | | | | |
Если бы все было как ты говоришь - можно было бы очень легко подставить человека... 25.04.02 10:01
Автор: Glory <Mr. Glory> Статус: Elderman
|
|
например, заходишь ты на какой-нить сайт (напр. www.site.com), который тебя редиректит на файл www.super-secret.com/cards. Ссылки на файл нет на индексной странице сайт и на других страницах, то есть по-твоему - этот файл защищен. Потом с www.site.com убирают редирект, а администрация www.super-secret.com предъявляет тебе обвинение в доступе к защищенной информации. Попробуй теперь докажи, что тебя средиректило на этот файл.
|
| | | | | | | | | | | | |
Виновен. Нефиг было на www.site.com заходить. 26.04.02 22:38
Автор: Бяша <Biasha> Статус: Member
|
|
|
| | | | | | | | | | | | | |
Так что, теперь вообще в инет не ходить, если не знаешь о сайте заранее? 27.04.02 02:49
Автор: Renkvil <Boris> Статус: Member
|
|
|
| | | | | | | | | | | | | | |
А ножом пользоваться можно? 27.04.02 04:06
Автор: Бяша <Biasha> Статус: Member
|
Ходить то можно, нельзя нарушать законы :)
Если ты ходишь по страницам, и это никому не вредит - ради бога.
Но если твои действия при этом нарушают законодательство, то суд должен решать насколько умышленными они были. (кстати за неумышленное убийство тоже наказывают)
И отмазка типа "я не знал, что мене редиректнет", будет не лучше, чем "я не знал, что сгрузив эту программу и запустив её, я нарушу закон".
|
|
|
подробно о проекте
Анализ криптографических сетевых...
