Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | | | | | | | |
Виновен. Нефиг было на www.site.com заходить. 26.04.02 22:38 Число просмотров: 1681
Автор: Бяша <Biasha> Статус: Member
|
|
|
|
<site updates>
|
Номера кредитных карт были найдены на сайте 24.04.02 03:14
Publisher: Renkvil <Boris> Статус: Member
|
Номера кредитных карт были найдены на сайте
The Topeka Capital-Journal http://www.cjonline.com/stories/042002/com_security.shtml
Более двух лет был доступен на веб-странице файл, содержащий имена и адреса пятисот молодых людей.
Напротив 66-ти записей были внесены номера кредитных карт.
Вебмастер страницы немедленно удалил файл с сервера, как только он получил e-mail от пользователя, обнаружившего файл.
По его словам, файл невозможно было найти путешествуя по страницам, однако при использовании специальных программ, это было досточно вероятно и кто-то ещё уже наверняка этим воспользовался.
Файл был создан ещё 3 января 2000 года и оказался на сервере при ошибочном перемещении с другого компьютера.
Будьте внимательны!
Полный текст
|
|
Э, пожлста поподробнее о специальных программах ;) 25.04.02 01:42
Автор: RedAndr UfaTeam <Андрей Рыжков> Статус: Member
|
|
|
| |
Э, пожлста поподробнее о специальных программах ;) 25.04.02 01:51
Автор: Renkvil <Boris> Статус: Member
|
Брутофорс на URL.
Т.е. прога/перл-скрипт/батник/... которая последовательно переберает
что-то типа
www.bla.com/1.txt
www.bla.com/1.txt
...
www.bla.com/NN.txt
...
www.bla.com/3424.dat
...
Можно скомбинировать лист перебора или взять вордлист и запустить
wget -i yourfile www.bla.com
Вот и вся программа.
Некоторые лепят из этого всякие ГУИшки под Вынь, но линуксоиды уже давно даказали непрактичность такого подхода.
:-)
Борис
|
|
Номера кредитных карт были найдены на сайте 24.04.02 13:05
Автор: XR <eXtremal Research> Статус: The Elderman
|
Ничего необычного :))))
Не они первые не они последние ...вот токо как интересно юзер, эти базы нашедший, будет от FBI отмазываться :) неправомерный доступ к информации налицо :)))
Наверное оформят как явка с повинной :)))
|
| |
Найдут его, как же! ;)) 26.04.02 23:10
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
> вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))
У него мыльник был, небось, типа Vasya.Pupkin@hotmail.com %)))
|
| |
Номера кредитных карт были найдены на сайте 24.04.02 19:45
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
|
> Ничего необычного :))))
>
> Не они первые не они последние ...вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))
Да и небось этот юзер кредами попользовался на славу, а потом совесть проснулась :)
|
| |
Номера кредитных карт были найдены на сайте 24.04.02 19:09
Автор: !mm <Ivan Ch.> Статус: Elderman
|
> Ничего необычного :))))
>
> Не они первые не они последние ...вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))
Не думаю, что ФБР ему чем-то сможет пригрозить. Информация закрыта не была, и он ничего не ломал.
|
| | |
Номера кредитных карт были найдены на сайте 24.04.02 19:48
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
|
> Не думаю, что ФБР ему чем-то сможет пригрозить. Информация
> закрыта не была, и он ничего не ломал.
Ты уверен? :)
|
| | | |
Номера кредитных карт были найдены на сайте 24.04.02 20:12
Автор: Renkvil <Boris> Статус: Member
|
>
> > Не думаю, что ФБР ему чем-то сможет пригрозить.
> Информация
> > закрыта не была, и он ничего не ломал.
> Ты уверен? :)
Взлом - по закону - этонезаконноеполучение доступа кзащищённойособым образом информации.
Если я ввёл www.blabla.com/index.html я ничего не нарушил.
А если www.blabla.com/cards.dat то да?
Нет
|
| | | | |
Номера кредитных карт были найдены на сайте 24.04.02 22:17
Автор: + <Mikhail> Статус: Elderman
|
Ty dumaesh chto esli machina stoiala na ulice s otkrutumi dverimai i s kluchami v zazhiganii , ty sel v nee i poehal, to tebe ni chego ne budet?
Oshibaeshsia takogo roda provokacii delautsia po polnoi programme.
> >
> > > Не думаю, что ФБР ему чем-то сможет пригрозить.
> > Информация
> > > закрыта не была, и он ничего не ломал.
> > Ты уверен? :)
>
> Взлом - по закону - этонезаконноеполучение доступа к
>защищённойособым образом информации.
>
> Если я ввёл www.blabla.com/index.html я ничего не нарушил.
> А если www.blabla.com/cards.dat то да?
> Нет
|
| | | | | |
Номера кредитных карт были найдены на сайте 24.04.02 22:35
Автор: Renkvil <Boris> Статус: Member
|
> Ty dumaesh chto esli machina stoiala na ulice s otkrutumi
> dverimai i s kluchami v zazhiganii , ty sel v nee i poehal,
> to tebe ni chego ne budet?
Будет.
За кражу (незаконное присвоение) чужого имущества.
Есть уголовный кодекс, статьи по краже, а есть статьи по компьютерным преступлениям.
> Oshibaeshsia takogo roda provokacii delautsia po polnoi
> programme.
Какие провокации?
В настоящий момент у меня нет американских сводов законов о компьютерных преступлениях, но в европейских ясно сказано, что осуждается незаконноеполучение доступа кзащищённойособым образом информации."
Я авторизирован для чтения файлов с сервера?
Да.
Файл был каким-либо образом защищён?
Нет.
Кстати когда нам рассказывали, что чтение файлов с расшаренных дисков вполне законно, даже запись без изменения существующих данных не нарушает закон в Европе, многие не верили.
Но факт.
Специально для этого перед камерой сканили интернет и читали инфу с расшаренных дисков.
А иначе получалось бы, что тебе пихают в руки инфу, а ты ещё и виноват, что не рассказал владельцам о защите информации.
|
| | | | | | |
Номера кредитных карт были найдены на сайте 25.04.02 02:38
Автор: Бяша <Biasha> Статус: Member
|
> В настоящий момент у меня нет американских сводов законов о
У меня тоже :(
> компьютерных преступлениях, но в европейских ясно сказано,
> что осуждается незаконноеполучение доступа к
>защищённойособым образом информации."
> Я авторизирован для чтения файлов с сервера?
> Да.
> Файл был каким-либо образом защищён?
> Нет.
Да - ссылку на него нельзя было получить обычным способом.
И ещё:
Если атака - отклонение работы системы от нормального её функционирования.
А нормальное функционирование подразумевает секретность номеров кредиток.
То вписать www.blabla.com/cards.dat - атака, то есть взлом.
Не знаю как там в европе, а в украине и чайника, заразившего по глупости компьютер, можно законно посадить, при желании. Кажется, по росийским законам - тоже.
|
| | | | | | | |
Номера кредитных карт были найдены на сайте 25.04.02 02:45
Автор: Renkvil <Boris> Статус: Member
|
> Да - ссылку на него нельзя было получить обычным способом.
Можно.
Какая разница - index.html или cards.dat?
> И ещё:
> Если атака - отклонение работы системы от нормального её
> функционирования.
Показывая файл на серевере, если пользователь имеет права на чтение, система делает всё абсолютно корректно.
Клиент тоже.
> А нормальное функционирование подразумевает секретность
> номеров кредиток.
Значит у клинта не должно быть прав на чтение.
Или файла не должно быть на сервере.
> То вписать www.blabla.com/cards.dat - атака, то есть взлом.
А вписать robots.txt тоже взлом?
Т.е. кажый поисковик ломает систему?
> Не знаю как там в европе, а в украине и чайника,
В Европе как я и описал.
Самое интересное - это расшаренные чужие диски и правомерная запись на них :)
> заразившего по глупости компьютер, можно законно посадить,
> при желании. Кажется, по росийским законам - тоже.
В Европе тоже.
Хотя случай случаю рознь
Борис
|
| | | | | | | | |
Номера кредитных карт были найдены на сайте 25.04.02 03:01
Автор: Бяша <Biasha> Статус: Member
Отредактировано 25.04.02 03:03 Количество правок: 1
|
> > Да - ссылку на него нельзя было получить обычным
> способом.
>
> Можно.
Обычным - нельзя. Нужно было использовать "специальную программу".
> Какая разница - index.html или cards.dat?
Какая разница index.html или ../../../../../../../../../../../../boot.ini ?
> А вписать robots.txt тоже взлом?
Если это нарушает нормальное функционирование системы - да.
> В Европе как я и описал.
> Самое интересное - это расшаренные чужие диски и
> правомерная запись на них :)
Весело :)
|
| | | | | | | | | |
Номера кредитных карт были найдены на сайте 25.04.02 03:38
Автор: Renkvil <Boris> Статус: Member
|
> Обычным - нельзя. Нужно было использовать "специальную
> программу".
... которая называется браузер.
> > Какая разница - index.html или cards.dat?
> Какая разница index.html или
> ../../../../../../../../../../../../boot.ini ?
Никакой.
И то и другое - разрешённая клинтам фича.
Мы в ответе за тех, кого приручили (с) Сант-Экзюпери, "Маленький принц"
:-)
> > А вписать robots.txt тоже взлом?
> Если это нарушает нормальное функционирование системы - да.
А если я зашёл на сервер и это нарушило нормальное функционирование системы?
Кстати если я просматриваю cards.dat, то это не нарушаетнормальноефункционирование: раз файл есть на сервере а у меня есит право чтения, всё идёт как и должно идти.
> > В Европе как я и описал.
> > Самое интересное - это расшаренные чужие диски и
> > правомерная запись на них :)
> Весело :)
Не говори :-)
Борис.
|
| | | | | | | | | | |
Номера кредитных карт были найдены на сайте 25.04.02 04:12
Автор: Бяша <Biasha> Статус: Member
|
> > Обычным - нельзя. Нужно было использовать "специальную
> > программу".
>
> ... которая называется браузер.
В данном случае - нет:
http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=45738
> Брутофорс на URL.
> Т.е. прога/перл-скрипт/батник/... которая последовательно переберает
> что-то типа
> [...]
> > > Какая разница - index.html или cards.dat?
> > Какая разница index.html или
> > ../../../../../../../../../../../../boot.ini ?
>
> Никакой.
> И то и другое - разрешённая клинтам фича.
Неконструктивно. Я придерживаюсь того мнения, что нарушители существуют. Мало того существует нарушение секретности информации.
Мало того, я думаю, что нарушителей нужно сажать в тюрьму.
Так вот, чтобы их сажать в тюрьму нужен формальный критерий.
У меня он есть - нарушение нормального функционирования.
> > > А вписать robots.txt тоже взлом?
> > Если это нарушает нормальное функционирование системы
> - да.
>
> А если я зашёл на сервер и это нарушило нормальное
> функционирование системы?
Я сторонник строгого формализма. Я считаю, что нормальное функционирование системы должно быть описано до создания системы.
Если бы все были такие, как я - то можно было бы ответить на твой вопрос, но это, к моему сожалению, не так.
Но, к счастью, в большинстве случаев нет сильного расхождения во взглядах на нормальное функционирование конкретной системы: зайти на сервак обычно считают нормальным, а читать номера чужих кредиток - ненормальным.
Кстати, не всегда нужно составлять подробное описание того что можно, а что нет. Можно назначить эксперта.
> Кстати если я просматриваю cards.dat, то это не нарушает
>нормальноефункционирование: раз файл есть на сервере а у
> меня есит право чтения, всё идёт как и должно идти.
Я думаю, нарушение секретности номеров кредитных карточек является отклонением от нормального функционирования.
|
| | | | | | | | | | | |
Если бы все было как ты говоришь - можно было бы очень легко подставить человека... 25.04.02 10:01
Автор: Glory <Mr. Glory> Статус: Elderman
|
|
например, заходишь ты на какой-нить сайт (напр. www.site.com), который тебя редиректит на файл www.super-secret.com/cards. Ссылки на файл нет на индексной странице сайт и на других страницах, то есть по-твоему - этот файл защищен. Потом с www.site.com убирают редирект, а администрация www.super-secret.com предъявляет тебе обвинение в доступе к защищенной информации. Попробуй теперь докажи, что тебя средиректило на этот файл.
|
| | | | | | | | | | | | |
Виновен. Нефиг было на www.site.com заходить. 26.04.02 22:38
Автор: Бяша <Biasha> Статус: Member
|
|
|
| | | | | | | | | | | | | |
Так что, теперь вообще в инет не ходить, если не знаешь о сайте заранее? 27.04.02 02:49
Автор: Renkvil <Boris> Статус: Member
|
|
|
| | | | | | | | | | | | | | |
А ножом пользоваться можно? 27.04.02 04:06
Автор: Бяша <Biasha> Статус: Member
|
Ходить то можно, нельзя нарушать законы :)
Если ты ходишь по страницам, и это никому не вредит - ради бога.
Но если твои действия при этом нарушают законодательство, то суд должен решать насколько умышленными они были. (кстати за неумышленное убийство тоже наказывают)
И отмазка типа "я не знал, что мене редиректнет", будет не лучше, чем "я не знал, что сгрузив эту программу и запустив её, я нарушу закон".
|
|
|
подробно о проекте
Анализ криптографических сетевых...
