информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Все любят медСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Шестой Perl превратится в Raku,... 
 Kik закрывается, все ушли на криптофронт 
 Sophos открывает Sandboxie 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2002 / апрель
2002
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость





Номера кредитных карт были найдены на сайте
Renkvil // 24.04.02 03:14
Более двух лет был доступен на веб-странице файл, содержащий имена и адреса пятисот молодых людей.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2002/04/53.html]

Напротив 66-ти записей были внесены номера кредитных карт.
Вебмастер страницы немедленно удалил файл с сервера, как только он получил e-mail от пользователя, обнаружившего файл.
По его словам, файл невозможно было найти путешествуя по страницам, однако при использовании специальных программ, это было досточно вероятно и кто-то ещё уже наверняка этим воспользовался.
Файл был создан ещё 3 января 2000 года и оказался на сервере при ошибочном перемещении с другого компьютера.
Будьте внимательны!

Источник: The Topeka Capital-Journal      
предложить новость  |  обсудить  |  все отзывы (29) [10437]
назад «  » вперед

последние новости
Шестой Perl превратится в Raku, пятый останется просто Perl'ом // 15.10.19 00:49
Kik закрывается, все ушли на криптофронт // 24.09.19 15:54
Sophos открывает Sandboxie // 13.09.19 00:22
Большой вторник патчей от MS // 10.09.19 22:30
И ещё раз об интернет-голосовании // 18.08.19 16:38
Типовые уязвимости в драйверах уровня ядра ряда производителей // 11.08.19 03:16
Logitech готовится закрыть очередную уязвимость в Unifying Receiver // 16.07.19 03:38

Комментарии:

Э, пожлста поподробнее о специальных программах ;) 25.04.02 01:42  
Автор: RedAndr UfaTeam <Андрей Рыжков> Статус: Member
<"чистая" ссылка>
Э, пожлста поподробнее о специальных программах ;) 25.04.02 01:51  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
Брутофорс на URL.
Т.е. прога/перл-скрипт/батник/... которая последовательно переберает
что-то типа

www.bla.com/1.txt
www.bla.com/1.txt
...
www.bla.com/NN.txt
...
www.bla.com/3424.dat
...

Можно скомбинировать лист перебора или взять вордлист и запустить

wget -i yourfile www.bla.com

Вот и вся программа.

Некоторые лепят из этого всякие ГУИшки под Вынь, но линуксоиды уже давно даказали непрактичность такого подхода.
:-)

Борис
Номера кредитных карт были найдены на сайте 24.04.02 13:05  
Автор: XR <eXtremal Research> Статус: The Elderman
<"чистая" ссылка>
Ничего необычного :))))

Не они первые не они последние ...вот токо как интересно юзер, эти базы нашедший, будет от FBI отмазываться :) неправомерный доступ к информации налицо :)))
Наверное оформят как явка с повинной :)))
Найдут его, как же! ;)) 26.04.02 23:10  
Автор: Sandy <Alexander Stepanov> Статус: Elderman
<"чистая" ссылка>
> вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))

У него мыльник был, небось, типа Vasya.Pupkin@hotmail.com %)))
Номера кредитных карт были найдены на сайте 24.04.02 19:45  
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
<"чистая" ссылка>
> Ничего необычного :))))
>
> Не они первые не они последние ...вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))
Да и небось этот юзер кредами попользовался на славу, а потом совесть проснулась :)
Номера кредитных карт были найдены на сайте 24.04.02 19:09  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> Ничего необычного :))))
>
> Не они первые не они последние ...вот токо как интересно
> юзер, эти базы нашедший, будет от FBI отмазываться :)
> неправомерный доступ к информации налицо :)))
> Наверное оформят как явка с повинной :)))

Не думаю, что ФБР ему чем-то сможет пригрозить. Информация закрыта не была, и он ничего не ломал.
Номера кредитных карт были найдены на сайте 24.04.02 19:48  
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
<"чистая" ссылка>

> Не думаю, что ФБР ему чем-то сможет пригрозить. Информация
> закрыта не была, и он ничего не ломал.
Ты уверен? :)
Номера кредитных карт были найдены на сайте 24.04.02 20:12  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
>
> > Не думаю, что ФБР ему чем-то сможет пригрозить.
> Информация
> > закрыта не была, и он ничего не ломал.
> Ты уверен? :)

Взлом - по закону - этонезаконноеполучение доступа кзащищённойособым образом информации.

Если я ввёл www.blabla.com/index.html я ничего не нарушил.
А если www.blabla.com/cards.dat то да?
Нет
Номера кредитных карт были найдены на сайте 24.04.02 22:17  
Автор: + <Mikhail> Статус: Elderman
<"чистая" ссылка>
Ty dumaesh chto esli machina stoiala na ulice s otkrutumi dverimai i s kluchami v zazhiganii , ty sel v nee i poehal, to tebe ni chego ne budet?
Oshibaeshsia takogo roda provokacii delautsia po polnoi programme.

> >
> > > Не думаю, что ФБР ему чем-то сможет пригрозить.
> > Информация
> > > закрыта не была, и он ничего не ломал.
> > Ты уверен? :)
>
> Взлом - по закону - этонезаконноеполучение доступа к
>защищённойособым образом информации.
>
> Если я ввёл www.blabla.com/index.html я ничего не нарушил.
> А если www.blabla.com/cards.dat то да?
> Нет
Номера кредитных карт были найдены на сайте 24.04.02 22:35  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Ty dumaesh chto esli machina stoiala na ulice s otkrutumi
> dverimai i s kluchami v zazhiganii , ty sel v nee i poehal,
> to tebe ni chego ne budet?

Будет.
За кражу (незаконное присвоение) чужого имущества.
Есть уголовный кодекс, статьи по краже, а есть статьи по компьютерным преступлениям.

> Oshibaeshsia takogo roda provokacii delautsia po polnoi
> programme.

Какие провокации?
В настоящий момент у меня нет американских сводов законов о компьютерных преступлениях, но в европейских ясно сказано, что осуждается незаконноеполучение доступа кзащищённойособым образом информации."
Я авторизирован для чтения файлов с сервера?
Да.
Файл был каким-либо образом защищён?
Нет.

Кстати когда нам рассказывали, что чтение файлов с расшаренных дисков вполне законно, даже запись без изменения существующих данных не нарушает закон в Европе, многие не верили.
Но факт.
Специально для этого перед камерой сканили интернет и читали инфу с расшаренных дисков.
А иначе получалось бы, что тебе пихают в руки инфу, а ты ещё и виноват, что не рассказал владельцам о защите информации.
Номера кредитных карт были найдены на сайте 25.04.02 02:38  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
> В настоящий момент у меня нет американских сводов законов о
У меня тоже :(

> компьютерных преступлениях, но в европейских ясно сказано,
> что осуждается незаконноеполучение доступа к
>защищённойособым образом информации."
> Я авторизирован для чтения файлов с сервера?
> Да.
> Файл был каким-либо образом защищён?
> Нет.
Да - ссылку на него нельзя было получить обычным способом.

И ещё:
Если атака - отклонение работы системы от нормального её функционирования.
А нормальное функционирование подразумевает секретность номеров кредиток.
То вписать www.blabla.com/cards.dat - атака, то есть взлом.

Не знаю как там в европе, а в украине и чайника, заразившего по глупости компьютер, можно законно посадить, при желании. Кажется, по росийским законам - тоже.
Номера кредитных карт были найдены на сайте 25.04.02 02:45  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Да - ссылку на него нельзя было получить обычным способом.

Можно.
Какая разница - index.html или cards.dat?

> И ещё:
> Если атака - отклонение работы системы от нормального её
> функционирования.

Показывая файл на серевере, если пользователь имеет права на чтение, система делает всё абсолютно корректно.
Клиент тоже.

> А нормальное функционирование подразумевает секретность
> номеров кредиток.

Значит у клинта не должно быть прав на чтение.
Или файла не должно быть на сервере.

> То вписать www.blabla.com/cards.dat - атака, то есть взлом.

А вписать robots.txt тоже взлом?
Т.е. кажый поисковик ломает систему?

> Не знаю как там в европе, а в украине и чайника,

В Европе как я и описал.
Самое интересное - это расшаренные чужие диски и правомерная запись на них :)

> заразившего по глупости компьютер, можно законно посадить,
> при желании. Кажется, по росийским законам - тоже.

В Европе тоже.
Хотя случай случаю рознь


Борис
Номера кредитных карт были найдены на сайте 25.04.02 03:01  
Автор: Бяша <Biasha> Статус: Member
Отредактировано 25.04.02 03:03  Количество правок: 1
<"чистая" ссылка>
> > Да - ссылку на него нельзя было получить обычным
> способом.
>
> Можно.
Обычным - нельзя. Нужно было использовать "специальную программу".

> Какая разница - index.html или cards.dat?
Какая разница index.html или ../../../../../../../../../../../../boot.ini ?

> А вписать robots.txt тоже взлом?
Если это нарушает нормальное функционирование системы - да.

> В Европе как я и описал.
> Самое интересное - это расшаренные чужие диски и
> правомерная запись на них :)
Весело :)
Номера кредитных карт были найдены на сайте 25.04.02 03:38  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Обычным - нельзя. Нужно было использовать "специальную
> программу".

... которая называется браузер.

> > Какая разница - index.html или cards.dat?
> Какая разница index.html или
> ../../../../../../../../../../../../boot.ini ?

Никакой.
И то и другое - разрешённая клинтам фича.

Мы в ответе за тех, кого приручили (с) Сант-Экзюпери, "Маленький принц"
:-)

> > А вписать robots.txt тоже взлом?
> Если это нарушает нормальное функционирование системы - да.

А если я зашёл на сервер и это нарушило нормальное функционирование системы?
Кстати если я просматриваю cards.dat, то это не нарушаетнормальноефункционирование: раз файл есть на сервере а у меня есит право чтения, всё идёт как и должно идти.

> > В Европе как я и описал.
> > Самое интересное - это расшаренные чужие диски и
> > правомерная запись на них :)
> Весело :)

Не говори :-)

Борис.
Номера кредитных карт были найдены на сайте 25.04.02 04:12  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
> > Обычным - нельзя. Нужно было использовать "специальную
> > программу".
>
> ... которая называется браузер.

В данном случае - нет:
http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=45738
> Брутофорс на URL.
> Т.е. прога/перл-скрипт/батник/... которая последовательно переберает
> что-то типа
> [...]

> > > Какая разница - index.html или cards.dat?
> > Какая разница index.html или
> > ../../../../../../../../../../../../boot.ini ?
>
> Никакой.
> И то и другое - разрешённая клинтам фича.

Неконструктивно. Я придерживаюсь того мнения, что нарушители существуют. Мало того существует нарушение секретности информации.
Мало того, я думаю, что нарушителей нужно сажать в тюрьму.
Так вот, чтобы их сажать в тюрьму нужен формальный критерий.
У меня он есть - нарушение нормального функционирования.

> > > А вписать robots.txt тоже взлом?
> > Если это нарушает нормальное функционирование системы
> - да.
>
> А если я зашёл на сервер и это нарушило нормальное
> функционирование системы?

Я сторонник строгого формализма. Я считаю, что нормальное функционирование системы должно быть описано до создания системы.
Если бы все были такие, как я - то можно было бы ответить на твой вопрос, но это, к моему сожалению, не так.
Но, к счастью, в большинстве случаев нет сильного расхождения во взглядах на нормальное функционирование конкретной системы: зайти на сервак обычно считают нормальным, а читать номера чужих кредиток - ненормальным.

Кстати, не всегда нужно составлять подробное описание того что можно, а что нет. Можно назначить эксперта.

> Кстати если я просматриваю cards.dat, то это не нарушает
>нормальноефункционирование: раз файл есть на сервере а у
> меня есит право чтения, всё идёт как и должно идти.

Я думаю, нарушение секретности номеров кредитных карточек является отклонением от нормального функционирования.
Если бы все было как ты говоришь - можно было бы очень легко подставить человека... 25.04.02 10:01  
Автор: Glory <Mr. Glory> Статус: Elderman
<"чистая" ссылка>
например, заходишь ты на какой-нить сайт (напр. www.site.com), который тебя редиректит на файл www.super-secret.com/cards. Ссылки на файл нет на индексной странице сайт и на других страницах, то есть по-твоему - этот файл защищен. Потом с www.site.com убирают редирект, а администрация www.super-secret.com предъявляет тебе обвинение в доступе к защищенной информации. Попробуй теперь докажи, что тебя средиректило на этот файл.
Виновен. Нефиг было на www.site.com заходить. 26.04.02 22:38  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
Так что, теперь вообще в инет не ходить, если не знаешь о сайте заранее? 27.04.02 02:49  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
А ножом пользоваться можно? 27.04.02 04:06  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
Ходить то можно, нельзя нарушать законы :)

Если ты ходишь по страницам, и это никому не вредит - ради бога.
Но если твои действия при этом нарушают законодательство, то суд должен решать насколько умышленными они были. (кстати за неумышленное убийство тоже наказывают)

И отмазка типа "я не знал, что мене редиректнет", будет не лучше, чем "я не знал, что сгрузив эту программу и запустив её, я нарушу закон".
Бяша, ты заблуждаешься. 25.04.02 05:34  
Автор: йцукенг <jcukeng> Статус: Member
<"чистая" ссылка>
> Я думаю, нарушение секретности номеров
> кредитных карточек является отклонением от
> нормального функционирования.

и это отклонение в данном случае произошло по вине админа.
неважно, как назывался файл, cards.dat или top_secret.usa.gov
если для доступа к файлу не требуется авторизация, то он незащищенный, т.е. выложен для публичного доступа из "сети Интернет"(как любят говорить журналисты:).
если такое происходит, нужно наказывать админа, а не тех, кто считал этот файл.
при этом следует учесть, что скачивая файл, человек может ничего не знать о его содержимом, содержимое он узнает только после скачивания.
пример:
допустим, в каком-нибудь секретном учреждении работает шпион. он не может вынести секретный файл на физическом носителе и не может закачать его на какой-нибудь ftp, не может выслать на e-mail, и т.п.(например, из соображений личной безопасности). но, допустим, он имеет доступ к веб-серверу учреждения. и вот он выкладыват файл на веб-сервер.
его сообщник, находящийся за тридевять земель скачивает этот файл. по ходу дела еще около десятка людей случайно (например,допустив ошибку в урл) получают этот файл.
вопрос: кто нарушил закон?
я согласен, пример несколько надуманный, но изобретать более реалистичный мне немного лень. Ясно, что при желании такой пример можно придумать.

секретная информация не должна выкладываться для публичного доступа.
файл выложен для публичного доступа::= для доступа к файлу не требуется подтверждения полномочий, т.е. нет авторизации.
так что ты неправ.
Да ну :) ? 26.04.02 23:00  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
> допустим, в каком-нибудь секретном учреждении работает
> шпион. он не может вынести секретный файл на физическом
> носителе и не может закачать его на какой-нибудь ftp, не
> может выслать на e-mail, и т.п.(например, из соображений
> личной безопасности). но, допустим, он имеет доступ к
> веб-серверу учреждения. и вот он выкладыват файл на
> веб-сервер.
Законы (я немного знаю только про украину) строго регламентируют обращение с секретной информации. Выкладывать на web сервер нельзя.

> его сообщник, находящийся за тридевять земель скачивает
> этот файл. по ходу дела еще около десятка людей случайно
> (например,допустив ошибку в урл) получают этот файл.
> вопрос: кто нарушил закон?
Случайно скачавший должен сообщить в соответствующие органы, как того и требует закон.
Сообщника - в тюрьму, если удастся доказать его вину.

> я согласен, пример несколько надуманный, но изобретать
> более реалистичный мне немного лень. Ясно, что при желании
> такой пример можно придумать.
Нельзя.
Можно только исходя из не совершенности законов.

> секретная информация не должна выкладываться для публичного
> доступа.
Секретная - недолжна по закону.
А конфиденциальная, может и выкладываться.

> файл выложен для публичного доступа::= для доступа к файлу
> не требуется подтверждения полномочий, т.е. нет
> авторизации.
> так что ты неправ.
А зайти в открытые двери квартиры и читать личные письма, прикрываясь их незащищённостью (дверь не заперта), тоже законно?
твоя аналогия неточна. загляни внутрь. 27.04.02 05:11  
Автор: йцукенг <jcukeng> Статус: Member
<"чистая" ссылка>
> А зайти в открытые двери квартиры и читать личные письма,
> прикрываясь их незащищённостью (дверь не заперта), тоже
> законно?
не спорю, это незаконно. но, пардон, эта аналогия притянута за уши.
При всем моем к тебе уважении, следует заметить, что ты не видишь или делаешь вид, что не видишь разницы между обычными преступлениями и "преступлениями в сфере высоких технологий".
Я приведу более точную аналогию.
Сайт=музей, войти в который могут только те, у кого есть фотоаппарат(без него - вход только для персонала).
Фотоаппарат=браузер.
Фотоаппарат работает автоматически - посмотрел внимательно на экспонат, значит, автоматически сфотографировал.
Было бы странно, если бы посетителей такого музея сажали за фотографирование некоторых из экспонатов, несмотря на отсутствие предупреждающей надписи "данный объект фотографировать нельзя".
Разумеется, совершенно правильно привлекать к ответственности тех, кто ломает двери с надписью "посторонним вход запрещен" или открывает их, подбирая к ним ключ или пользуется отмычкой.
Для перебора названий файлов тоже можно привести аналогию - подходит человек к служителю музея и давай спрашивать - "такой экспонат есть? а такой? а такой? и т.п.". Такие действия, конечно, выходят за рамки приличий, но противозаконными не являются. Взяд ли законы РФ и Украины отличаются настолько сильно:).
И, кстати, то, что музей экспонирует личные данные побывавших в нем не есть правильно. Это не только аморально, но и противозаконно.
К чему я клоню?
А к тому, что есть RFC, описывающие работу по протоколам http, https и др. И если взгляд государства на конфиденциальность информации и авторизацию отличается от общепринятого (читай-описанного в RFC), то должны быть изданы соответствующие нормативные акты, очерчивающие границы дозволенного, детально регламентирующие порядок доступа к конфиденциальной информации, а также устанавливающие меры пресечения для нарушителей этих границ.
Мы можем много и долго спорить об этичности/законности того или иного действия посетителя сайта. Но точку в таком споре должен ставить закон. Если закон не квалифицирует некоторое действие как преступление, следовательно, это действие преступлением не является.
чем больше абстракция - тем лучше :) 27.04.02 05:43  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
> не спорю, это незаконно. но, пардон, эта аналогия притянута
> за уши.
Каждая аналогия притянута за уши

> При всем моем к тебе уважении, следует заметить, что ты не
ещё б "милостивый государь" вставил :)

> видишь или делаешь вид, что не видишь разницы между
> обычными преступлениями и "преступлениями в сфере высоких
> технологий".
Нет никакой разницы. Преступление - то что, приносит вред окружающим и запрещено законодательно.

> Я приведу более точную аналогию.
> [...]
> Разумеется, совершенно правильно привлекать к
> ответственности тех, кто ломает двери с надписью
> "посторонним вход запрещен" или открывает их, подбирая к
> ним ключ или пользуется отмычкой.
> Для перебора названий файлов тоже можно привести аналогию -
> подходит человек к служителю музея и давай спрашивать -
> "такой экспонат есть? а такой? а такой? и т.п.". Такие

Скорее, ходит и пытается найти дверь, на которую забыли повесить табличку.

> Мы можем много и долго спорить об этичности/законности того
> или иного действия посетителя сайта. Но точку в таком споре
> должен ставить закон. Если закон не квалифицирует некоторое
> действие как преступление, следовательно, это действие
> преступлением не является.
Да. Всё должен определять закон.
В украине: порядок доступа к конфиденциальной (то есть не секретной, но закрытой) информации определяет владелец.
Так что если админ решил, что так следует хранить номера кред - то он прав.
И, очевидно, подбор имени файла - умышленный обход используемого админом способа защиты секретности информации.

Но, конечно, нужно быть юристом, что бы делать выводы.
Так что у меня вопрос. А здесь нитки тоже могут быть закрыты? :)
чем больше абстракция - тем лучше :) 27.04.02 06:20  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Нет никакой разницы. Преступление - то что, приносит вред
> окружающим и запрещено законодательно.

Вот это абсолютно правильно.
Если рассматриватьдействующеезаконодательство, а не желаемое.

> Да. Всё должен определять закон.

Во-во.

> В украине: порядок доступа к конфиденциальной (то есть не
> секретной, но закрытой) информации определяет владелец.
> Так что если админ решил, что так следует хранить номера
> кред - то он прав.
> И, очевидно, подбор имени файла - умышленный обход
> используемого админом способа защиты секретности
> информации.

Хорошо.
Я не буду хакать Украину сидя в ней.
И лазить по инету.
Спасибо, что сказал :)
Бяша, ты заблуждаешься. 25.04.02 18:49  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> и это отклонение в данном случае произошло по вине админа.

Вот именно

> неважно, как назывался файл, cards.dat или
> top_secret.usa.gov

А если это был бы index.html?
Всё правильно.

> если такое происходит, нужно наказывать админа, а не тех,
> кто считал этот файл.

Ну это уже заботы фирмы.

> при этом следует учесть, что скачивая файл, человек может
> ничего не знать о его содержимом, содержимое он узнает
> только после скачивания.

Пример с index.html

> файл выложен для публичного доступа::= для доступа к файлу
> не требуется подтверждения полномочий, т.е. нет
> авторизации.

Это ключевая фраза, которую я описал ещё вчера в двух предложениях.
Почему? :) 26.04.02 23:02  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
> > и это отклонение в данном случае произошло по вине
> админа.
Нет, по вине руководства ядерных держав, которые ещё не уничтожили всё. Если бы они всё уничтожили - проблемы не было бы.

Админ виноват. В том, что не обеспечил достаточный уровень защищённости. Но не только лишь он один виноват.

> > если такое происходит, нужно наказывать админа, а не
> тех,
> > кто считал этот файл.
А за угон авто - владельца, так как он не обеспечил должный уровень защиты.

> Ну это уже заботы фирмы.
Правильно.

> > при этом следует учесть, что скачивая файл, человек
> может
> > ничего не знать о его содержимом, содержимое он узнает
> > только после скачивания.
Нефиг скачивать то, не знаю что.

> > файл выложен для публичного доступа::= для доступа к
> файлу
> > не требуется подтверждения полномочий, т.е. нет
> > авторизации.
Ну блин, а ../../../../../boot.ini тоже не требует авторизации. Тогда комп'ютерных преступлений вообще не существует.

> Это ключевая фраза, которую я описал ещё вчера в двух
> предложениях.
Почему? :) 27.04.02 02:54  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Админ виноват. В том, что не обеспечил достаточный уровень
> защищённости. Но не только лишь он один виноват.

Только.

> > > если такое происходит, нужно наказывать админа, а
> не
> > тех,
> > > кто считал этот файл.
> А за угон авто - владельца, так как он не обеспечил должный
> уровень защиты.

Нет.
Мы всё ещё о _компьютерных преступлениях_?
Там уже давно составлены законы и дуствуют они несколько иначе, чем ты предполагаешь.
Оговорюсь, я незнаком с законами Украины.

> > > при этом следует учесть, что скачивая файл,
> человек
> > может
> > > ничего не знать о его содержимом, содержимое он
> узнает
> > > только после скачивания.
> Нефиг скачивать то, не знаю что.

Это уже несерьёзно.
По этой логике ты сегодня многократно нарушил закон.
Например скачивая этот пост с Багтрака, ты не знал, что в нём.


> Ну блин, а ../../../../../boot.ini тоже не требует

Конечно.

> авторизации. Тогда комп'ютерных преступлений вообще не
> существует.

Существуют.
Например брутофорс.
Почему? :) 27.04.02 04:51  
Автор: Бяша <Biasha> Статус: Member
<"чистая" ссылка>
> > Админ виноват. В том, что не обеспечил достаточный
> уровень
> > защищённости. Но не только лишь он один виноват.
>
> Только.
Но не только лишь он один виноват (в том, что нарушена секретность информации, а не в том, что не обеспечена защита).
Человек, пытающийся использовать уязвимость тоже нарушитель.

> Нет.
> Мы всё ещё о _компьютерных преступлениях_?
> Там уже давно составлены законы и дуствуют они несколько
> иначе, чем ты предполагаешь.
Что-то я не понял.
Законы о компьютерных преступлениях действуют иначе? Это ж как?
Есть разница между “украсть деньги, сломав сейф” и “украв технологию”?

> Оговорюсь, я незнаком с законами Украины.
Я знаком лишь в общих чертах. Мои идеи им не противоречат им, как мне кажется. Даже наоборот, подкрепляются ими:)

> > Нефиг скачивать то, не знаю что.
>
> Это уже несерьёзно.
> По этой логике ты сегодня многократно нарушил закон.
> Например скачивая этот пост с Багтрака, ты не знал, что в
> нём.
Не знал, но я верил, что никому я не наврежу. И кажется ничего не нарушил.
Контр пример: забивая в стенку гвоздь, ты всегда уверен, что не проб'ёшь её насквозь, убив человека, прислонившегося к ней? Но всё же забиваешь гвоздь.

> > авторизации. Тогда комп'ютерных преступлений вообще не
> > существует.
>
> Существуют.
> Например брутофорс.

Похоже, я понял из-за чего спор :)

Как я уже говорил, я считаю, что нарушение секретности должно караться.
Не все люди так считают?
Почему? :) 27.04.02 05:37  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Но не только лишь он один виноват (в том, что нарушена
> секретность информации, а не в том, что не обеспечена
> защита).
> Человек, пытающийся использовать уязвимость тоже
> нарушитель.

Да.
Если он использует какие-то уязвимости, а не просто смотрит разрешённую ему сервером информацию.

> > Нет.
> > Мы всё ещё о _компьютерных преступлениях_?
> > Там уже давно составлены законы и дуствуют они
> несколько
> > иначе, чем ты предполагаешь.
> Что-то я не понял.
> Законы о компьютерных преступлениях действуют иначе? Это ж
> как?

Есть Уголовный Кодекс.
Для компьютерных преступлений зачем-то создали отдельные статьи..

> Есть разница между “украсть деньги, сломав сейф” и “украв
> технологию”?

В данном предложении практически нет.

> > Оговорюсь, я незнаком с законами Украины.
> Я знаком лишь в общих чертах. Мои идеи им не противоречат
> им, как мне кажется. Даже наоборот, подкрепляются ими:)

Стоп! Мы говорим вообще про мировые законы или лишь украинские?
Если в Китае хакеру присудили смертную казнь, это колышет только Китай.
Я рассматриваю европейские и американские законы, где собственно говоря и происходило дело. И по этим законам описанное происшествие вполне законно.

> > > Нефиг скачивать то, не знаю что.
> > Это уже несерьёзно.
> > По этой логике ты сегодня многократно нарушил закон.
> > Например скачивая этот пост с Багтрака, ты не знал,
> что в
> > нём.
> Не знал, но я верил, что никому я не наврежу. И кажется
> ничего не нарушил.

Если я набираю www.bla.com/index.html то я верю, что попаду на какую-то заглавную страничку.
И разве я виноват, если там окажутся креды?
А если вместо index.html стоит cards.dat, то смысл не меняется.
Твоя же идея о наказании злоумышленников отражена в том, чтоиспользованиедобытых карт таки карается.
Все довольны.
Ты же знаешь, что ссылки на варез пока законны.
Или хранение вареза без запуска его.
Но это уже из другой оперы.

> Контр пример: забивая в стенку гвоздь, ты всегда уверен,
> что не проб'ёшь её насквозь, убив человека, прислонившегося
> к ней? Но всё же забиваешь гвоздь.

С компьютерами всё несколько многограннее, поэтому и придумали отдельные законы.

> > Существуют.
> > Например брутофорс.
>
> Похоже, я понял из-за чего спор :)

Из-за того, что ты предлагаешь изменить законы, действующие минимум 6 лет :-)
Или в чём-то несогласен с ними.

> Как я уже говорил, я считаю, что нарушение
> секретности должно караться.
> Не все люди так считают?

Если секретность является и представлена как секретность - да.
Если нет - то соответсвенно.
Человек не обязан каждую секунду думать, что он что нарушает, ибо кто-то считает что-то секретным, что реально доступно всем без сопроводительных надписей.

Борис.
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2019 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach