информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsЗа кого нас держат?Портрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 С наступающим 
 Apple, Google, Microsoft и Mozilla... 
 Cloudflare, Apple и Fastly предложили... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
твоя аналогия неточна. загляни внутрь. 27.04.02 05:11  Число просмотров: 1375
Автор: йцукенг <jcukeng> Статус: Member
<"чистая" ссылка>
> А зайти в открытые двери квартиры и читать личные письма,
> прикрываясь их незащищённостью (дверь не заперта), тоже
> законно?
не спорю, это незаконно. но, пардон, эта аналогия притянута за уши.
При всем моем к тебе уважении, следует заметить, что ты не видишь или делаешь вид, что не видишь разницы между обычными преступлениями и "преступлениями в сфере высоких технологий".
Я приведу более точную аналогию.
Сайт=музей, войти в который могут только те, у кого есть фотоаппарат(без него - вход только для персонала).
Фотоаппарат=браузер.
Фотоаппарат работает автоматически - посмотрел внимательно на экспонат, значит, автоматически сфотографировал.
Было бы странно, если бы посетителей такого музея сажали за фотографирование некоторых из экспонатов, несмотря на отсутствие предупреждающей надписи "данный объект фотографировать нельзя".
Разумеется, совершенно правильно привлекать к ответственности тех, кто ломает двери с надписью "посторонним вход запрещен" или открывает их, подбирая к ним ключ или пользуется отмычкой.
Для перебора названий файлов тоже можно привести аналогию - подходит человек к служителю музея и давай спрашивать - "такой экспонат есть? а такой? а такой? и т.п.". Такие действия, конечно, выходят за рамки приличий, но противозаконными не являются. Взяд ли законы РФ и Украины отличаются настолько сильно:).
И, кстати, то, что музей экспонирует личные данные побывавших в нем не есть правильно. Это не только аморально, но и противозаконно.
К чему я клоню?
А к тому, что есть RFC, описывающие работу по протоколам http, https и др. И если взгляд государства на конфиденциальность информации и авторизацию отличается от общепринятого (читай-описанного в RFC), то должны быть изданы соответствующие нормативные акты, очерчивающие границы дозволенного, детально регламентирующие порядок доступа к конфиденциальной информации, а также устанавливающие меры пресечения для нарушителей этих границ.
Мы можем много и долго спорить об этичности/законности того или иного действия посетителя сайта. Но точку в таком споре должен ставить закон. Если закон не квалифицирует некоторое действие как преступление, следовательно, это действие преступлением не является.
<site updates>
Номера кредитных карт были найдены на сайте 24.04.02 03:14  
Publisher: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
Номера кредитных карт были найдены на сайте
The Topeka Capital-Journal http://www.cjonline.com/stories/042002/com_security.shtml

Более двух лет был доступен на веб-странице файл, содержащий имена и адреса пятисот молодых людей.
Напротив 66-ти записей были внесены номера кредитных карт.
Вебмастер страницы немедленно удалил файл с сервера, как только он получил e-mail от пользователя, обнаружившего файл.
По его словам, файл невозможно было найти путешествуя по страницам, однако при использовании специальных программ, это было досточно вероятно и кто-то ещё уже наверняка этим воспользовался.
Файл был создан ещё 3 января 2000 года и оказался на сервере при ошибочном перемещении с другого компьютера.
Будьте внимательны!


Полный текст
Э, пожлста поподробнее о специальных программах ;) 25.04.02 01:42  
Автор: RedAndr UfaTeam <Андрей Рыжков> Статус: Member
<"чистая" ссылка>
Э, пожлста поподробнее о специальных программах ;) 25.04.02 01:51  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
Брутофорс на URL.
Т.е. прога/перл-скрипт/батник/... которая последовательно переберает
что-то типа

www.bla.com/1.txt
www.bla.com/1.txt
...
www.bla.com/NN.txt
...
www.bla.com/3424.dat
...

Можно скомбинировать лист перебора или взять вордлист и запустить

wget -i yourfile www.bla.com

Вот и вся программа.

Некоторые лепят из этого всякие ГУИшки под Вынь, но линуксоиды уже давно даказали непрактичность такого подхода.
:-)

Борис
Номера кредитных карт были найдены на сайте 24.04.02 13:05  
Автор: XR <eXtremal Research> Статус: The Elderman
<"чистая" ссылка>
Ничего необычного :))))

Не они первые не они последние ...вот токо как интересно юзер, эти базы нашедший, будет от FBI отмазываться :) неправомерный доступ к информации налицо :)))
Наверное оформят как явка с повинной :)))
Найдут его, как же! ;)) 26.04.02 23:10  
Автор: Sandy <Alexander Stepanov> Статус: Elderman
<"чистая" ссылка>
> вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))

У него мыльник был, небось, типа Vasya.Pupkin@hotmail.com %)))
Номера кредитных карт были найдены на сайте 24.04.02 19:45  
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
<"чистая" ссылка>
> Ничего необычного :))))
>
> Не они первые не они последние ...вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))
Да и небось этот юзер кредами попользовался на славу, а потом совесть проснулась :)
Номера кредитных карт были найдены на сайте 24.04.02 19:09  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> Ничего необычного :))))
>
> Не они первые не они последние ...вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))

Не думаю, что ФБР ему чем-то сможет пригрозить. Информация закрыта не была, и он ничего не ломал.
Номера кредитных карт были найдены на сайте 24.04.02 19:48  
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
<"чистая" ссылка>

> Не думаю, что ФБР ему чем-то сможет пригрозить. Информация
> закрыта не была, и он ничего не ломал.
Ты уверен? :)
Номера кредитных карт были найдены на сайте 24.04.02 20:12  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
>
> > Не думаю, что ФБР ему чем-то сможет пригрозить.
> Информация
> > закрыта не была, и он ничего не ломал.
> Ты уверен? :)

Взлом - по закону - этонезаконноеполучение доступа кзащищённойособым образом информации.

Если я ввёл www.blabla.com/index.html я ничего не нарушил.
А если www.blabla.com/cards.dat то да?
Нет
Номера кредитных карт были найдены на сайте 24.04.02 22:17  
Автор: + <Mikhail> Статус: Elderman
<"чистая" ссылка>
Ty dumaesh chto esli machina stoiala na ulice s otkrutumi dverimai i s kluchami v zazhiganii , ty sel v nee i poehal, to tebe ni chego ne budet?
Oshibaeshsia takogo roda provokacii delautsia po polnoi programme.

> >
> > > Не думаю, что ФБР ему чем-то сможет пригрозить.
> > Информация
> > > закрыта не была, и он ничего не ломал.
> > Ты уверен? :)
>
> Взлом - по закону - этонезаконноеполучение доступа к
>защищённойособым образом информации.
>
> Если я ввёл www.blabla.com/index.html я ничего не нарушил.
> А если www.blabla.com/cards.dat то да?
> Нет
Номера кредитных карт были найдены на сайте 24.04.02 22:35  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Ty dumaesh chto esli machina stoiala na ulice s otkrutumi
> dverimai i s kluchami v zazhiganii , ty sel v nee i poehal,
> to tebe ni chego ne budet?

Будет.
За кражу (незаконное присвоение) чужого имущества.
Есть уголовный кодекс, статьи по краже, а есть статьи по компьютерным преступлениям.

> Oshibaeshsia takogo roda provokacii delautsia po polnoi
> programme.

Какие провокации?
В настоящий момент у меня нет американских сводов законов о компьютерных преступлениях, но в европейских ясно сказано, что осуждается незаконноеполучение доступа кзащищённойособым образом информации."
Я авторизирован для чтения файлов с сервера?
Да.
Файл был каким-либо образом защищён?
Нет.

Кстати когда нам рассказывали, что чтение файлов с расшаренных дисков вполне законно, даже запись без изменения существующих данных не нарушает закон в Европе, многие не верили.
Но факт.
Специально для этого перед камерой сканили интернет и читали инфу с расшаренных дисков.
А иначе получалось бы, что тебе пихают в руки инфу, а ты ещё и виноват, что не рассказал владельцам о защите информации.
Номера кредитных карт были найдены на сайте 25.04.02 02:38  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
> В настоящий момент у меня нет американских сводов законов о
У меня тоже :(

> компьютерных преступлениях, но в европейских ясно сказано,
> что осуждается незаконноеполучение доступа к
>защищённойособым образом информации."
> Я авторизирован для чтения файлов с сервера?
> Да.
> Файл был каким-либо образом защищён?
> Нет.
Да - ссылку на него нельзя было получить обычным способом.

И ещё:
Если атака - отклонение работы системы от нормального её функционирования.
А нормальное функционирование подразумевает секретность номеров кредиток.
То вписать www.blabla.com/cards.dat - атака, то есть взлом.

Не знаю как там в европе, а в украине и чайника, заразившего по глупости компьютер, можно законно посадить, при желании. Кажется, по росийским законам - тоже.
Номера кредитных карт были найдены на сайте 25.04.02 02:45  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Да - ссылку на него нельзя было получить обычным способом.

Можно.
Какая разница - index.html или cards.dat?

> И ещё:
> Если атака - отклонение работы системы от нормального её
> функционирования.

Показывая файл на серевере, если пользователь имеет права на чтение, система делает всё абсолютно корректно.
Клиент тоже.

> А нормальное функционирование подразумевает секретность
> номеров кредиток.

Значит у клинта не должно быть прав на чтение.
Или файла не должно быть на сервере.

> То вписать www.blabla.com/cards.dat - атака, то есть взлом.

А вписать robots.txt тоже взлом?
Т.е. кажый поисковик ломает систему?

> Не знаю как там в европе, а в украине и чайника,

В Европе как я и описал.
Самое интересное - это расшаренные чужие диски и правомерная запись на них :)

> заразившего по глупости компьютер, можно законно посадить,
> при желании. Кажется, по росийским законам - тоже.

В Европе тоже.
Хотя случай случаю рознь


Борис
Номера кредитных карт были найдены на сайте 25.04.02 03:01  
Автор: Бяша <Biasha> Статус: Member
Отредактировано 25.04.02 03:03  Количество правок: 1
<"чистая" ссылка>
> > Да - ссылку на него нельзя было получить обычным
> способом.
>
> Можно.
Обычным - нельзя. Нужно было использовать "специальную программу".

> Какая разница - index.html или cards.dat?
Какая разница index.html или ../../../../../../../../../../../../boot.ini ?

> А вписать robots.txt тоже взлом?
Если это нарушает нормальное функционирование системы - да.

> В Европе как я и описал.
> Самое интересное - это расшаренные чужие диски и
> правомерная запись на них :)
Весело :)
Номера кредитных карт были найдены на сайте 25.04.02 03:38  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Обычным - нельзя. Нужно было использовать "специальную
> программу".

... которая называется браузер.

> > Какая разница - index.html или cards.dat?
> Какая разница index.html или
> ../../../../../../../../../../../../boot.ini ?

Никакой.
И то и другое - разрешённая клинтам фича.

Мы в ответе за тех, кого приручили (с) Сант-Экзюпери, "Маленький принц"
:-)

> > А вписать robots.txt тоже взлом?
> Если это нарушает нормальное функционирование системы - да.

А если я зашёл на сервер и это нарушило нормальное функционирование системы?
Кстати если я просматриваю cards.dat, то это не нарушаетнормальноефункционирование: раз файл есть на сервере а у меня есит право чтения, всё идёт как и должно идти.

> > В Европе как я и описал.
> > Самое интересное - это расшаренные чужие диски и
> > правомерная запись на них :)
> Весело :)

Не говори :-)

Борис.
Номера кредитных карт были найдены на сайте 25.04.02 04:12  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
> > Обычным - нельзя. Нужно было использовать "специальную
> > программу".
>
> ... которая называется браузер.

В данном случае - нет:
http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=45738
> Брутофорс на URL.
> Т.е. прога/перл-скрипт/батник/... которая последовательно переберает
> что-то типа
> [...]

> > > Какая разница - index.html или cards.dat?
> > Какая разница index.html или
> > ../../../../../../../../../../../../boot.ini ?
>
> Никакой.
> И то и другое - разрешённая клинтам фича.

Неконструктивно. Я придерживаюсь того мнения, что нарушители существуют. Мало того существует нарушение секретности информации.
Мало того, я думаю, что нарушителей нужно сажать в тюрьму.
Так вот, чтобы их сажать в тюрьму нужен формальный критерий.
У меня он есть - нарушение нормального функционирования.

> > > А вписать robots.txt тоже взлом?
> > Если это нарушает нормальное функционирование системы
> - да.
>
> А если я зашёл на сервер и это нарушило нормальное
> функционирование системы?

Я сторонник строгого формализма. Я считаю, что нормальное функционирование системы должно быть описано до создания системы.
Если бы все были такие, как я - то можно было бы ответить на твой вопрос, но это, к моему сожалению, не так.
Но, к счастью, в большинстве случаев нет сильного расхождения во взглядах на нормальное функционирование конкретной системы: зайти на сервак обычно считают нормальным, а читать номера чужих кредиток - ненормальным.

Кстати, не всегда нужно составлять подробное описание того что можно, а что нет. Можно назначить эксперта.

> Кстати если я просматриваю cards.dat, то это не нарушает
>нормальноефункционирование: раз файл есть на сервере а у
> меня есит право чтения, всё идёт как и должно идти.

Я думаю, нарушение секретности номеров кредитных карточек является отклонением от нормального функционирования.
Если бы все было как ты говоришь - можно было бы очень легко подставить человека... 25.04.02 10:01  
Автор: Glory <Mr. Glory> Статус: Elderman
<"чистая" ссылка>
например, заходишь ты на какой-нить сайт (напр. www.site.com), который тебя редиректит на файл www.super-secret.com/cards. Ссылки на файл нет на индексной странице сайт и на других страницах, то есть по-твоему - этот файл защищен. Потом с www.site.com убирают редирект, а администрация www.super-secret.com предъявляет тебе обвинение в доступе к защищенной информации. Попробуй теперь докажи, что тебя средиректило на этот файл.
Виновен. Нефиг было на www.site.com заходить. 26.04.02 22:38  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
Так что, теперь вообще в инет не ходить, если не знаешь о сайте заранее? 27.04.02 02:49  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
А ножом пользоваться можно? 27.04.02 04:06  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
Ходить то можно, нельзя нарушать законы :)

Если ты ходишь по страницам, и это никому не вредит - ради бога.
Но если твои действия при этом нарушают законодательство, то суд должен решать насколько умышленными они были. (кстати за неумышленное убийство тоже наказывают)

И отмазка типа "я не знал, что мене редиректнет", будет не лучше, чем "я не знал, что сгрузив эту программу и запустив её, я нарушу закон".
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach