Użytkownik Michoo napisał:
> On 16.02.2013 23:11, Mr. Misio wrote:
>> Użytkownik Michoo napisał:
>>
>>> Karty sieciowe mają wbudowany tryb "promiscous" w celu podsłuchiwania
>>> przychodzącego ruchu (używa się w diagnostyce).
>>>
>>> LOIC - używany przez "anonimowych" do DDoSów to narzędzie do testów
>>> wytrzymałościowych.
>>>
>>> John the ripper służy do odzyskiwania zagubionych haseł.
>>>
>>> sqltest służy do testowania czy nie popełniono dość standardowych błędów
>>> w tworzeniu witryny.
>>
>> Nóż, służy do smarowania kanapek masłem. Czy jeśli zadźgam kogoś nożem
>> to bede niewinny?
>
> Nie o tym tu mówimy.

Dokładnie o tym! (n o prawie ;)

> Wyobraź sobie, ze ustawa zakazuje właśnie posiadania noży,

Wlasciwie z tego co pamietam zabrania noszenia (na ulicy) nozy dluzszych
niz 15 cm.

> bo ludzie nie
> tylko nimi smarują kanapki ale też zabijają - a niektóre noże mają
> spiczasty czubek, więc ewidentnie są przystosowane do wbijania. Tak
> wygląda art 269b.

Mysze sie wczytac, zapewne masz racje :)

>> IMHO to jednak liczą się intencje. Intencją hakera było dostanie się do
>> systemu (tak długo grzebał przy zamku, aż drzwi otworzył, nieważne, czy
>> podniosł drutem haczyk na jaki drzwi były zamknięte - włamanie.
>
> A jak napisał tylko:
> foobar --dowload-db http://example.org/art.php?id=
> i w efekcie dostał bazę to się włamał, czy tylko pobrał coś co było
> publicznie dostępne?

No i gdyby tylko pobrał to wlasciwie nie byłoby o czym dyskutować.

Niestety - poinformował i... upublicznił. Cos jak ze sciaganiem filmow z
sieci. Sciagnac sobie mozna. Ale upubliczniac nie.

> A jak wpisał w google
> "passwords.txt" intitle:Index of
> a następnie się po prostu zalogował za pomocą publicznie dostępnego hasła?

To uzyskał dostęp bez bycia uprawnionym.

> Dostęp do systemu informatycznego != kradzież i != włamanie.

Inaczej

Dostęp do systemu informatycznego to nie zawsze kradzież lub włamanie.

> Nie mówię,
> że każdy przypadek powinien być bezkarny. Ale wydaje mi się, ze często
> zapomina się o odpowiedzialności administratora. Brakuje mi tytułów w
> rodzaju:
> "za pomocą sql injection pobrali bazę 10k klientów - leniwemu
> administratorowi grozi 5 lat więzienia"

"Odjechali samochodem wlasciciela, ktory zostawil kluczyki w stacyjce,
wlascicielowi grozi 5 lat wiezienia"

O to chodzi?

O karanie ofiar?

do góry

Użytkownik Michoo napisał:

> Nie - łagodniej. Ktoś kto się mieni programistą czy administratorem nie
> powinien popełniać takich błędów - to jest poziom porównywalny z
> właścicielem, który zapomina wieczorem zamknąć sklep więc ciężko mówić o
> _przełamaniu_ czegokolwiek [1]

Ale czy to oznacza, ze jesli mozesz wejsc to mozesz sobie wyniesc
telewizor? Będzie kradzież, choć bez włamania.

> W przypadku większości "hackerskich wybryków" o ile nie kończy się to
> krzywdą(publikacja wrażliwych danych)/zniszczeniami(usunięcie
> czegoś)/etc(DOS)[2] powinien mieć zastosowanie Art. 1. § 2 - gdyż nie ma
> szkodliwości społecznej - jest co więcej społecznie korzystne, że
> osobnik, który dostał się na serwer doprowadził do wykrycia luki zanim
> dostanie się tam ktoś kto np. postanowi skorzystać z tych numerów
> kart... Można by tu nawet (gdy sprawca od razu poinformuje
> administratora a nie uzyska dostęp tylko dla "szpanu") zastanowić się
> nad Art. 26.

Publikujac w sieci dane kart, zeby inni mogli skorzystac - niska
szkodliwosc? Czy jednak wysoka?

do góry

On 16.02.2013 23:27, Mr. Misio wrote:
> Użytkownik Michoo napisał:
>
>>> - szantażował właściciela (albo zapłacicie, albo ...)
>>
>> Nie wiesz tego.
>
> Smiem podejrzewac ze tak. Dlaczego? Tylko poszlaki. Wykrycie luk w
> systemie i zgloszenie ich oraz oferta naprawy OK. Ale tutaj wyszlo "nie
> chcial pomocy, to upublicznilem to i owo".
>
> Podmiana strony głównej to juz jest (karalna) modyfikacja systemu
> teleinformatycznego.

Tak, ale czy stanowi przestępstwo to jeszcze kilka innych okoliczności
się liczy.

>
> Znalazłęm ciekawy dokument z którego cytuję:

Znam ;) Od czasów nowelizacji to wprowadzającej skończyłem zabawę w
wyszukiwanie luk i powiadamianie administracji. A mam na koncie m.i. 2
banki ;) ale teraz to robiąc popełniał bym czyn zabroniony i mimo, że
chyba bym się gdyby co wybronił (ochrona większej wartości) to i tak bym
nie zaryzykował zgłoszenia - nawet wygrany proces do przyjemnych by nie
należał. Czujesz się bezpieczniej dzięki temu?

>
>> Kiedyś było "w normie" wysłanie zapytania w stylu "hejka, macie lukę.
>> Może jesteście zainteresowanie pomocą w załataniu?". Nikt nie mówi tu o
>> szantażu - ja wiem, że masz lukę, zapłacisz to pomogę załatać, nie
>> zapłacisz to szukaj sobie sam
> ------------^^^^^^^^^^^^^^^^^^^^
>
> a nie "podmienie ci strone, upublicznie baze danych klientów, i
> zaoferuje przywrocenie backupy strony za drobna oplata"

Zgadza się. Wg mnie to conajmniej szczeniactwo.

Inna sprawa, ze publikacja fragmentu (anonimizowanego) bazy/wysłanie
masowego mailingu klientom/etc to czasami jedyny sposób na zmuszenie
leniwego admina do działania i ma na celu _ochronę_ klientów. Nie wiem
jak ty, ale ja tam wolę, żeby w razie fack-upu mój nr karty kredytowej
był możliwie krótko dostępny w sieci.

>
>
>>> - upublicznił dane osobowe (kolejna ustawa)
>>
>> Zgadza się, chociaż tutaj też ustawa dla hostingowca nie jest zbyt
>> łaskawa - co najmniej niewłaściwe zabezpieczenie a w przypadku sql
>> injecta publikacja w sieci...
>
> To juz bedzie musial sad rozstrzygmnąć, czy zabezpieczenia byly
> niewlasciwe.

Tylko do sprawy przeciw adminiowi raczej nie dojdzie - to przecież
"ofiara włamania".

> Baza nie byla dostepna publicznie a zostala udostępniona po
> uzyskaniu przez hakera nieautoryzowanego dostępu.

My wcale danych kredytobiorców nie udostępniliśmy, były wprawdzie w
magazynie pod miastem z napisem DANE KREDYTOWE, ale drzwi były zamknięte
na SKOBEL. Tylko najwyższej klasy włamywacze mogli sobie z czymś takim
poradzić.


>
>
>>> Ciekaw jestem opinii, bo haker sie tutaj wybiela ("głupi adminie, masz
>>> luki w serwerze") a oczerniany jest (amatorski? w sensie technicznym)
>>> hosting.
>>
>> Z tego co rozumiem hacker współpracował z adminem a ten jak pomyślał, ze
>> już naprawione to postanowił go zrobić w jajo.
>
> Nawet jeśli to haker pozywa admina, za niedotrzymanie warunków umowy
> (cywilnie). A nie robi co zrobił.

Tak. I ktoś inteligentny by tak zrobił. Tu trafiło na głupka.

>
>> Zachował się jak dzieciak z tą publikacją bazy (no i raczej popełnił
>> przestępstwo) - ja bym napisał do klientów jaka była sytuacja:
>
> uzywajac danych z bazy?

Oczywiście. A jak inaczej to zrobić?

W dniu xxx administrator serwisu XXX został poinformowany o krytycznej
luce pozywającej na przeglądanie dowolnych danych klientów. Ponieważ do
dnia yyy nie została ona naprawiona czuję się w obowiązku poinformować,
że do czasu naprawy państwa dane są dostępne dla wszystkich w sieci.
Zalecam zmianę wszelkich haseł dostępowych i rozejrzenie się za bardziej
bezpiecznym hostingiem.

tutaj trochę niekrytycznych danych z bazy weryfikujących


Jest też wersja wredniejsza - "administrator XXX zaoferował mi zakup
państwa danych - gdy zorientowałem się że są one bez państwa zgody
zrezygnowałem, ale czuję się w obowiązku poinformować o braku
uczciwości..." )


> :) Brawo - pierwsze co bym zrobil to zglosil
> adminowi, ze ma sprawe do prawnikow zglaszac, bo albo ma nieuczciwa
> konkurencje (karalne ) albo ktos mu sie wlamal (karalne).

I nie miałbyś nic przeciwko temu, że on miał w dupie to, ze twoje dane
są publicznie dostępne? Od dawna wiadomo, że najlepiej zastrzelić
posłańca ale bez przesady
- albo twoje dane powinny być chronione - czepiaj się tego co je
wystawił w świat
- albo nie powinny - co się czepiasz, że ktoś wziął co było dostępne


Pamiętaj, ze jakiś "haxior" który się "włamie" i dostanie dane i będzie
o tym trąbić to mały problem - problem jest jak ktoś te dane uzyska po
cichu i zrobi z nich użytek - phishing, wyłudzenie, oszustwo, etc.


>
>>> Bo dla mnie, to sytuacja jak z włamywaczem-szantarzystą, który znalazł
>>> sposób na otwarcie zamka w mieszkaniu, poszperał, znalazł nagie fotki
>>> włąściciela i napisał mu liścik - albo zaplacisz mi za zmianę zamka i
>>> nieupublicznianie Twoich nagich fotek, i że nie bede do ciebie wiecej
>>> sie zakradał albo...
>>
>> Wg opisu do którego linkowałeś:
>> A: stary,twój system alarmowy reaguje na hasło serwisowe, akurat się na
>> tym znam - może ci pomóc...za opłatą?
>> B: ok, to pomóż mi to na prawić...
>> A zaczyna naprawiać, B stwierdza, że teraz już sobie sam poradzi
>> B: a teraz spier*
>> A: a moja kasa?
>> B: spier*
>>
>> A publikuje fotki _domowników_ B.
>
> i to jest blad, bo jak pisalem - moze zgodnie z prawem pozwac, a tak -
> bedzie pozwanym.

Ja to wiem i ty to wiesz. Większość "hackerów" to niestety tylko script
kiddies bez elementarnych podstaw bezpieczeństwa. Własnego również - co
dobrze obrazuje sprawa anonymous w stanach.

>
>> Nadal moralnie naganne(imo nawet bardziej) i nielegalne ale sytuacja
>> ździebko inna.
>
> Uwazasz, ze ogień ogniem? :) Oko za oko? :)

Czasami tak - "dla dobra ogółu".

--
Pozdrawiam
Michoo

do góry

On 16.02.2013 23:52, Mr. Misio wrote:
>
> Wlasciwie z tego co pamietam zabrania noszenia (na ulicy) nozy dluzszych
> niz 15 cm.

Mit ;) Możesz i z mieczem samurajskim chodzić tak długo jak długo nie
będziesz stwarzał zagrożenia dla otoczenia. (Nie dotyczy sądów, imprez
masowych, i czegoś tam jeszcze.)

>
>>> IMHO to jednak liczą się intencje. Intencją hakera było dostanie się do
>>> systemu (tak długo grzebał przy zamku, aż drzwi otworzył, nieważne, czy
>>> podniosł drutem haczyk na jaki drzwi były zamknięte - włamanie.
>>
>> A jak napisał tylko:
>> foobar --dowload-db http://example.org/art.php?id=
>> i w efekcie dostał bazę to się włamał, czy tylko pobrał coś co było
>> publicznie dostępne?
>
> No i gdyby tylko pobrał to wlasciwie nie byłoby o czym dyskutować.

Zostańmy w prostym przypadku - wpisuję i dostaję bazę:
- czy powinno to być przestępstwo z art za uzyskanie nieuprawnionego dostępu
- czy powinno to być przestępstwo z art za udostępnianie nieuprawnionym

no bo chyba nie 2 na raz?

>
> Niestety - poinformował i... upublicznił.

W tym przypadku - tak. Ale co w ogólnym?

>> A jak wpisał w google
>> "passwords.txt" intitle:Index of
>> a następnie się po prostu zalogował za pomocą publicznie dostępnego
>> hasła?
>
> To uzyskał dostęp bez bycia uprawnionym.

No i znowu problem - uzyskał dostęp i co dalej? Czemu mamy karać za samo
"uzyskanie dostępu" - a gdzie jest szkoda?

>
>> Dostęp do systemu informatycznego != kradzież i != włamanie.
>
> Inaczej
>
> Dostęp do systemu informatycznego to nie zawsze kradzież lub włamanie.

Dostęp do systemu info to nigdy nie jest kradzież (co by RIAA nie mówiła
danych się nie da ukraść inaczej niż z jedynym nośnikiem), włamanie
zresztą też nie - inne realia, inne skutki, inne paragrafy.

>
>> Nie mówię,
>> że każdy przypadek powinien być bezkarny. Ale wydaje mi się, ze często
>> zapomina się o odpowiedzialności administratora. Brakuje mi tytułów w
>> rodzaju:
>> "za pomocą sql injection pobrali bazę 10k klientów - leniwemu
>> administratorowi grozi 5 lat więzienia"
>
> "Odjechali samochodem wlasciciela, ktory zostawil kluczyki w stacyjce,
> wlascicielowi grozi 5 lat wiezienia"

Jakby to były dane tego admina to nie ma problemu. Tylko że to są
zazwyczaj dane użytkowników - oni są ofiarami jego niedbalstwa.

Poza tym jak tym samochodem rozbije się jakiś dzieciak to tak, możesz
odpowiadać za jego niewłaściwe zabezpieczenie.

>
> O to chodzi?
>
> O karanie ofiar?


Wyobraź sobie, że zapomniano zmienić domyślne hasło sejfu z depozytami i
je ukradziono. Bank niewinny, nie można go karać, bo to on jest ofiarą?
Chrzanić klientów, którzy stracili depozyty, biedny bank straci renomę...


--
Pozdrawiam
Michoo

do góry

Użytkownik Michoo napisał:
>> Podmiana strony głównej to juz jest (karalna) modyfikacja systemu
>> teleinformatycznego.
>
> Tak, ale czy stanowi przestępstwo to jeszcze kilka innych okoliczności
> się liczy.

Oczywiscie. Ale zalozmy, ze nie jest to przestepstwo. A haker z adminem
wspopracowali na jakims etapie. Taka "akcja" hakera nadaje sie wtedy
chocby na pozew cywilny o odszkodowanie. Wygranym jest admin (bo haker
jest pozwany, a w cywilnych nie ma domniemania niewinnosci tylko trzeba
udowodnic, ze sie nie jest osłem).

>> Znalazłęm ciekawy dokument z którego cytuję:
>
> Znam ;) Od czasów nowelizacji to wprowadzającej skończyłem zabawę w
> wyszukiwanie luk i powiadamianie administracji. A mam na koncie m.i. 2
> banki ;) ale teraz to robiąc popełniał bym czyn zabroniony i mimo, że
> chyba bym się gdyby co wybronił (ochrona większej wartości) to i tak bym
> nie zaryzykował zgłoszenia - nawet wygrany proces do przyjemnych by nie
> należał. Czujesz się bezpieczniej dzięki temu?

Nie. :) Bo ty piszesz z sensem w takim sensie, ze raczej nawet jakby
prawo było po staremu, to nie wywalilbys do netu bazy klientow firmy
admina. Niestety wielu hakerow uwaza, ze jest to FUN.

>>> Kiedyś było "w normie" wysłanie zapytania w stylu "hejka, macie lukę.
>>> Może jesteście zainteresowanie pomocą w załataniu?". Nikt nie mówi tu o
>>> szantażu - ja wiem, że masz lukę, zapłacisz to pomogę załatać, nie
>>> zapłacisz to szukaj sobie sam
>> ------------^^^^^^^^^^^^^^^^^^^^
>>
>> a nie "podmienie ci strone, upublicznie baze danych klientów, i
>> zaoferuje przywrocenie backupy strony za drobna oplata"
>
> Zgadza się. Wg mnie to conajmniej szczeniactwo.

Szczeniactwo to jest podlozyc pinezke na stolek. NAzywajmy dzialanie
tego typu zgodnie z przesłankami - świadome łamanie prawa i działanie na
szkodę innego człowieka/firmy.

> Inna sprawa, ze publikacja fragmentu (anonimizowanego) bazy/wysłanie
> masowego mailingu klientom/etc to czasami jedyny sposób na zmuszenie
> leniwego admina do działania i ma na celu _ochronę_ klientów.

A nie wystarczyłoby zgłoszenie do GIODO? Firma taka i taka nie zapewnia
bezpieczenstwa?

Bez robienia wiochy i narazania sie na konsekwencje prawne? Bo nikt cię
nie pozwie za donos do giodo. Za pozyskanie nieautoryzowane danych i ich
wykorzystanie ze szkoda dla firmy - juz mozna zostac pozwanym.

> Nie wiem
> jak ty, ale ja tam wolę, żeby w razie fack-upu mój nr karty kredytowej
> był możliwie krótko dostępny w sieci.

Ja założyłem, że co wprowadzam do netu moze zostac upublicznione. Patrz
co sie wydarzyło Sony i innym gigantom, a ile rzeczy (w bankach) zostało
wyciszone i nikt nie wie.

Lepiej założyć - Twoja karta jest upubliczniona wiec patrz co sie na
niej dzieje i miej mądre limity ;)

Natomiast gdyby mo jakis koles AAAA, ktorego nie znam, napisal, ze moja
karta taka a taka... to mialbym go na celowniku - bo on jej miec nie
powinien. A skoro wie, ze costam gdzies wyciekło, to znaczy ze ma moja
karte.

>> To juz bedzie musial sad rozstrzygmnąć, czy zabezpieczenia byly
>> niewlasciwe.
>
> Tylko do sprawy przeciw adminiowi raczej nie dojdzie - to przecież
> "ofiara włamania".

W zwiazku z włamaniem nie. Ale np. GIODO moze sie przycepic, ze baza nie
zgloszona... ;)

>> Baza nie byla dostepna publicznie a zostala udostępniona po
>> uzyskaniu przez hakera nieautoryzowanego dostępu.
>
> My wcale danych kredytobiorców nie udostępniliśmy, były wprawdzie w
> magazynie pod miastem z napisem DANE KREDYTOWE, ale drzwi były zamknięte
> na SKOBEL. Tylko najwyższej klasy włamywacze mogli sobie z czymś takim
> poradzić.

Były wystarczająco zabezpieczone, aby osoba postronna ich nie mogła
obejrzeć bez podjęcia odpowiednich działań :)

>> Nawet jeśli to haker pozywa admina, za niedotrzymanie warunków umowy
>> (cywilnie). A nie robi co zrobił.
>
> Tak. I ktoś inteligentny by tak zrobił. Tu trafiło na głupka.

Albo dwóch :)


>>> Zachował się jak dzieciak z tą publikacją bazy (no i raczej popełnił
>>> przestępstwo) - ja bym napisał do klientów jaka była sytuacja:
>>
>> uzywajac danych z bazy?
>
> Oczywiście. A jak inaczej to zrobić?

NIE ROBIĆ! :) Nie przetwarzać danych do których nie ma się uprawnien
bo... choćby przykład z GIODO - jako admin zgłaszam, że zbior danych
osobowych przetwarza osoba, która nie zglosila tego. Nic nie wspominam,
ze to moja baza. Dowody na to, ze haker przetwarzał są w mailach 800
klientów. Giodo bierze hakera, i haker placi kare :) W trakcie okazuje
sie, ze to tak na prawde nie jego tylko on ja wzial jakiejs firmie.
GIODO pyta admina, admin potwierdza, tak to nasza baza, ale osoba hakera
nieuprawniona, wiec byl wlam, zgloszenie do prokuratury. :)

> W dniu xxx administrator serwisu XXX został poinformowany o krytycznej
> luce pozywającej na przeglądanie dowolnych danych klientów. Ponieważ do
> dnia yyy nie została ona naprawiona czuję się w obowiązku poinformować,
> że do czasu naprawy państwa dane są dostępne dla wszystkich w sieci.
> Zalecam zmianę wszelkich haseł dostępowych i rozejrzenie się za bardziej
> bezpiecznym hostingiem.
>
> tutaj trochę niekrytycznych danych z bazy weryfikujących
>
>
> Jest też wersja wredniejsza - "administrator XXX zaoferował mi zakup
> państwa danych - gdy zorientowałem się że są one bez państwa zgody
> zrezygnowałem, ale czuję się w obowiązku poinformować o braku
> uczciwości..." )

;)

Ja jestem za tym, zeby tak nie robić. Dla swojego dobra. Jakos swoje
dobro cenie bardziej, niz dobro setki klientów marnego admina.


>> :) Brawo - pierwsze co bym zrobil to zglosil
>> adminowi, ze ma sprawe do prawnikow zglaszac, bo albo ma nieuczciwa
>> konkurencje (karalne ) albo ktos mu sie wlamal (karalne).
>
> I nie miałbyś nic przeciwko temu, że on miał w dupie to, ze twoje dane
> są publicznie dostępne?

Mialbym, to haker je upublicznia :)

> Pamiętaj, ze jakiś "haxior" który się "włamie" i dostanie dane i będzie
> o tym trąbić to mały problem - problem jest jak ktoś te dane uzyska po
> cichu i zrobi z nich użytek - phishing, wyłudzenie, oszustwo, etc.

Kto wie, czy haker nie zaczyl trabic o tym jak juz wykorzystal dane? W
koncu mial do tego dostep jakis czas.

Pomijajac, ze jego historyjka moze byc po prostu zmyslona. W sensie
"jaki od dobry haker, znalazl dziure i chcial pomoc za grosze".

Moze wcale nie chcial pomoc? Moze zostal nakryty i postanowił, poki mogl
odwrocic kota ogonem?

A może został wynajęty by medialnie narobić smrodu? :)

Albo został wylany z firmy ale zdazyl zostawic backdoora i tak sie
odgrywa na pracodawcy.

JEdno dla mnie jest pewne - nie wierze w dobre intencje kogos, kto robi
takie rzeczy w taki sposob.

>> i to jest blad, bo jak pisalem - moze zgodnie z prawem pozwac, a tak -
>> bedzie pozwanym.
>
> Ja to wiem i ty to wiesz. Większość "hackerów" to niestety tylko script
> kiddies bez elementarnych podstaw bezpieczeństwa. Własnego również - co
> dobrze obrazuje sprawa anonymous w stanach.

Znaczy nie wiem co ze sprawa anonymous w stanach, daj linka :)

>> Uwazasz, ze ogień ogniem? :) Oko za oko? :)
>
> Czasami tak - "dla dobra ogółu".
>

Jednak lepije nie robic "dla ogółu". To coś jak "odpowiedzialnosc zbiorowa".

Niedawno pokazywali w TV, ze w 10 mieszkaniowej kamienicy odcieto media
wszystkim, bo 2 najemcow zalegało z oplatami.

Gfybym był na miejscu kogos z tych 8 pozostałych to zebrałbym tych
pozostałych do kupy, do prawnika, i albo "zerwanie umowy najmu" albo
pozew zbiorowy za naruszenie warunków/umowy najmu. Rachunki opłącone - a
mediow brak.

do góry

On 16.02.2013 23:46, Andrzej Lawa wrote:
> W dniu 16.02.2013 22:31, Michoo pisze:
>
>>> Chyba ździebko nadinterpretujesz - zakazane są programy oraz urządzenia
>>> komputerowe _przystosowane_ do popełnienia pewnych określonych
>>> przestępstw.
>>
>> Karty sieciowe mają wbudowany tryb "promiscous" w celu podsłuchiwania
>> przychodzącego ruchu (używa się w diagnostyce).
>
> Czyli jest to narzędzi diagnostyczne. Używanie do nielegalnego
> podsłuchiwana jest niezgodne z przeznaczeniem narzędzia.

Co poza _intencją_ w takim razie rozróżnia legalność od nielegalności?
Bo urządzenie nie rozróżnia - działanie jest jedno, różni się tylko CEL
działania.

>
>> LOIC - używany przez "anonimowych" do DDoSów to narzędzie do testów
>> wytrzymałościowych.
>
> Jak wyżej.

Jakby podliczyć użytkowników to wandale pewnie przekraczają tych
działających zgodnie z przeznaczeniem o kilka rzędów wielkości ;)


>
>> W każdym z tych przypadków _podstawowa_ funkcja programu służy też do
>> popełnienia przestępstwa. Tak jak podstawowym zadaniem wytrychów jest
>
> Tak samo jak podstawowa funkcja siekiery może posłużyć do zabicia
> człowieka.
>
> Ale siekiera do rąbania drewna nie jest narzędziem specjalnie
> przystosowanym do zabijania ludzi.

Ale tu mówimy o siekierze do zabijania ludzi, którą normalnie
specjaliści używają do testów wytrzymałości hełmów. Ona została
całkowicie opracowana na podstawie siekier używanych do tej pory do
zabijania ludzi i musi się do tego świetnie nadawać, bo inaczej test
będzie kiepski - to nie może być zwykła siekier do drewna tylko raczej
taka wzorowana na produktach największych bandytów. Różnica jest tylko w
co uderzasz a nie czym i jak - w hełmie masz arbuza a nie głowę.

>
>> otwieranie zamków a nie włamywanie się - wytrychy są zakazane, chyba, że
>> spełniasz odpowiednie warunki. Tutaj posiadanie jest zakazane bez
>> wyjątków.
>
> Nadal nadinterpretujesz.

Jesteś w stanie podać podstawę prawną? Bo jakiś czas temu chciałem kupić
wytrychy - żeby zbadać na ile typowe zamki są bezpieczne, wcale nie w
celu włamywania się gdziekolwiek. I okazało się, że zakupienie ich
legalnie jest cokolwiek trudne.

>
>>> Przystosowane czyli specjalnie (celowo i z zamysłem)
>>> przygotowane do tych celów.
>>
>> Problem jest taki, że większość "ataków" to normalne korzystanie z
>> komputera i standardowych narzędzi w trochę niestandardowy sposób. A
>
> I posiadanie tych narzędzi nie jest nielegalne. Chyba że je specjalnie
> przystosujesz do tego konkretnego nielegalnego celu.

Jeszcze raz, czym jest wg ciebie przystosowanie?

foobar mój.host/aaa.php - test mojego softu
foobar twój.host/aaa.php - uzyskanie nieuprawnionego dostępu

>
> Ale nie specjalnie stworzone lub dostosowane do tych ataków.

Dokładnie w tym celu są tworzone - przeprowadzają typowe ataki w
kontrolowanych warunkach.

>
> Bezdyskusyjnie nielegalne będą tylko te programy lub urządzenia, które
> mogą służyć wyłącznie do popełniania przestępstw lub jest to ich
> podstawowa funkcja.
>
> Czyli generalnie musiałbyś wykazać kryminalny CEL
> stworzenia/przerobienia programu/urządzenia.
>
Ok, czyli dostajemy zbiór pusty:
- konie trojańskie są do monitoringu
- "narzędzia hackerskie" - do pentestów
a przynajmniej tak jest napisane w instrukcji ;)

--
Pozdrawiam
Michoo

do góry

On 16.02.2013 23:57, Mr. Misio wrote:
> Użytkownik Michoo napisał:
>
>> Nie - łagodniej. Ktoś kto się mieni programistą czy administratorem nie
>> powinien popełniać takich błędów - to jest poziom porównywalny z
>> właścicielem, który zapomina wieczorem zamknąć sklep więc ciężko mówić o
>> _przełamaniu_ czegokolwiek [1]
>
> Ale czy to oznacza, ze jesli mozesz wejsc to mozesz sobie wyniesc
> telewizor? Będzie kradzież, choć bez włamania.

Będzie. Tylko danych się NIE wynosi. To, że ktoś zrobi ich kopię nie
sprawia, że ty je przestajesz mieć. Wiec analogia taka sobie - może lepiej:
Ktoś wszedł i zrobił zdjęcie twojego świadectwa?
Ktoś wszedł, odczytał jaki masz model telewizora i kupił sobie taki sam?

>
>> W przypadku większości "hackerskich wybryków" o ile nie kończy się to
>> krzywdą(publikacja wrażliwych danych)/zniszczeniami(usunięcie
>> czegoś)/etc(DOS)[2] powinien mieć zastosowanie Art. 1. § 2 - gdyż nie ma
>> szkodliwości społecznej - jest co więcej społecznie korzystne, że
>> osobnik, który dostał się na serwer doprowadził do wykrycia luki zanim
>> dostanie się tam ktoś kto np. postanowi skorzystać z tych numerów
>> kart... Można by tu nawet (gdy sprawca od razu poinformuje
>> administratora a nie uzyska dostęp tylko dla "szpanu") zastanowić się
>> nad Art. 26.
>
> Publikujac w sieci dane kart, zeby inni mogli skorzystac - niska
> szkodliwosc? Czy jednak wysoka?

Wysoka. [1] "Ładnie" się to robi tak, że stawiasz stronkę na darmowym
serwerze, która ma zapisane:
sha1(imie+nazwisko),numer_karty.substr(numer_karty.l
enght-5)
+ formularz - pozwala sprawdzić, że karta pana Jana kowalskiego była w
zbiorze jednocześnie nie narażając go na problemy.

[1] Ktoś naprawdę zły je po cichu sprzeda. Opublikować może najwyżej
ktoś głupi, nie zdający sobie sprawy z tego co robi albo ktoś nie
liczący się z innymi w rodzaju anonymous, czy wiki leaks.

--
Pozdrawiam
Michoo

do góry

Użytkownik Michoo napisał:
> On 16.02.2013 23:52, Mr. Misio wrote:
>>
>> Wlasciwie z tego co pamietam zabrania noszenia (na ulicy) nozy dluzszych
>> niz 15 cm.
>
> Mit ;) Możesz i z mieczem samurajskim chodzić tak długo jak długo nie
> będziesz stwarzał zagrożenia dla otoczenia. (Nie dotyczy sądów, imprez
> masowych, i czegoś tam jeszcze.)

No ja tam pamiętam w TV było, że kogoś capneli za replike armaty na
podwórku :) Bo "broń palna". Co do tych nozy to nie mam pewnosci, ale
miecz samurajski to miecz, a nie nóż :) Tu z kolei przypomina mi sie USA
i tam jak dobrze pamietam sa stany gdzie mozna miec dowolna broń długą,
bylebyła na widoku, a na noszenie krótkiej trza mieć specjaniejsze
pozwolenie (inne po prostu). Tak mi to jakos znajomy relacjonował, ale
to było na piwie to moglem zle spamietac ;)

>> No i gdyby tylko pobrał to wlasciwie nie byłoby o czym dyskutować.
>
> Zostańmy w prostym przypadku - wpisuję i dostaję bazę:

Był temat. Zależy co i jak wpisujesz. Jeśli wpisujesz "bruteforce" to
intencją było odgadniecie, czyli nawet taka metoda to nieuprawniony
dostęp. To tak jakbyś stał przy sklepie i sprawdzał kolejno 10 tysiecy
kluczy, a nóż któryś otworzy. Czyli wchodzisz przez przypadek, czy
jednak włamanie?

> - czy powinno to być przestępstwo z art za uzyskanie nieuprawnionego
> dostępu
> - czy powinno to być przestępstwo z art za udostępnianie nieuprawnionym
>
> no bo chyba nie 2 na raz?

JAk uzyska a potem udostepni - to czemu nie dwa w jednym? :)


>> Niestety - poinformował i... upublicznił.
>
> W tym przypadku - tak. Ale co w ogólnym?

Nie ma ogólnych przypadków :)

KAżdy jest szczególny. Dlatego są sądy a nie bramki zerojedynkowe "uciąć
rękę, nie uciąć" ;)

>>> A jak wpisał w google
>>> "passwords.txt" intitle:Index of
>>> a następnie się po prostu zalogował za pomocą publicznie dostępnego
>>> hasła?
>>
>> To uzyskał dostęp bez bycia uprawnionym.
>
> No i znowu problem - uzyskał dostęp i co dalej? Czemu mamy karać za samo
> "uzyskanie dostępu" - a gdzie jest szkoda?

W upublicznieniu czegoś, do upubliczniania czego nie ma sie uprawnien a
dodatkowo upublicznienie naraza osoby, ktorych dane zostały
upublicznione na np. niekorzystne zarzadzanie mieniem (gdy nuemry kart
zostana upublicznione wraz z kodami cvv) :)

>
>>
>>> Dostęp do systemu informatycznego != kradzież i != włamanie.
>>
>> Inaczej
>>
>> Dostęp do systemu informatycznego to nie zawsze kradzież lub włamanie.
>
> Dostęp

doprecyzujmy - bo mówimy o dostępie nieupowaznionym

> do systemu info to nigdy nie jest kradzież (co by RIAA nie mówiła
> danych się nie da ukraść inaczej niż z jedynym nośnikiem), włamanie
> zresztą też nie - inne realia, inne skutki, inne paragrafy.

>> "Odjechali samochodem wlasciciela, ktory zostawil kluczyki w stacyjce,
>> wlascicielowi grozi 5 lat wiezienia"
>
> Jakby to były dane tego admina to nie ma problemu. Tylko że to są
> zazwyczaj dane użytkowników - oni są ofiarami jego niedbalstwa.

I mogą go za to pozwać.

I giodo moze go ukarać.

I niekoniecznie niedbalstwa. Brak wiedzy z pewnego zakresu to nie
niedbalstwo. Ewentualnie brak kompetencji. Ale tez niekoniecznie admina,
ale osoby ktora go zatrudniła. Bo labo nie ustalono wymagań, albo
zignorowano wymagania by zatrudnic (kogos z rodziny posła).

> Poza tym jak tym samochodem rozbije się jakiś dzieciak to tak, możesz
> odpowiadać za jego niewłaściwe zabezpieczenie.

To tak jak na drodze z drogówką "panią karzemy za spowodowanie wypadku,
a pana mandatem za przekroczenie szybkosci".

Złodziej samochodu odpowiada za kradzież.

A czasem nie odpowiada ;) Jak ukradnę samochód bo potrzebuję akurat
zawieźć napadnięta osobe do szpitala - to dostanę w nagrodę pochwałę,
mandat za szybką jazde z fotoradaru, zrozumienie bądź nie właściciela.
Ale żaden sad mnie nie skaże za kradzież, gdy zaszła wyższa koniecznośc
ratowania życia.

>> O to chodzi?
>>
>> O karanie ofiar?
>
>
> Wyobraź sobie, że zapomniano zmienić domyślne hasło sejfu z depozytami i
> je ukradziono. Bank niewinny, nie można go karać, bo to on jest ofiarą?

Bank ma ubezpieczenie lub nie ma. Ponosi karę bo musi oddać to co
obiecał przechować lub równowartość. Nie ma za co karać banku (karnie).

> Chrzanić klientów, którzy stracili depozyty, biedny bank straci renomę...

Banki to nie złote sztabki ;) Gwarancje bankowe itakie tam rzeczy
pospisywane w umowach okreslaja kto komu co ma oddac jak bank zostanie
obrabowany. Do tego otworem stoi droga cywilna. Ale karna?

Karna dotyczy złodzieja/włamywacza/oszusta.

do góry

Użytkownik Michoo napisał:
> On 16.02.2013 23:46, Andrzej Lawa wrote:
>> W dniu 16.02.2013 22:31, Michoo pisze:
>>
>>>> Chyba ździebko nadinterpretujesz - zakazane są programy oraz urządzenia
>>>> komputerowe _przystosowane_ do popełnienia pewnych określonych
>>>> przestępstw.
>>>
>>> Karty sieciowe mają wbudowany tryb "promiscous" w celu podsłuchiwania
>>> przychodzącego ruchu (używa się w diagnostyce).
>>
>> Czyli jest to narzędzi diagnostyczne. Używanie do nielegalnego
>> podsłuchiwana jest niezgodne z przeznaczeniem narzędzia.
>
> Co poza _intencją_ w takim razie rozróżnia legalność od nielegalności?
> Bo urządzenie nie rozróżnia - działanie jest jedno, różni się tylko CEL
> działania.

To powiem tak - kolś ze słuchawką z TPSA, co diagnozuje połaczenia -
legalne. Ten sam koleś po godzinach, podłuchujący erotyczną telelinię
sąsiadki z jej kochankiem - nielegalne. Intencja zatem.


> Ok, czyli dostajemy zbiór pusty:
> - konie trojańskie są do monitoringu

Ja dobrze pamiętam, że SONY taki manewr zastosowało? Rootkit jakiś na
płytach Audio?

> - "narzędzia hackerskie" - do pentestów


harcerskie! ;) Finka do otwierania konserwy! ;)

Albo Szwedka... nigdy nie wiem ;)

do góry

Użytkownik Michoo napisał:
> On 16.02.2013 23:57, Mr. Misio wrote:
>> Użytkownik Michoo napisał:
>>
>>> Nie - łagodniej. Ktoś kto się mieni programistą czy administratorem nie
>>> powinien popełniać takich błędów - to jest poziom porównywalny z
>>> właścicielem, który zapomina wieczorem zamknąć sklep więc ciężko mówić o
>>> _przełamaniu_ czegokolwiek [1]
>>
>> Ale czy to oznacza, ze jesli mozesz wejsc to mozesz sobie wyniesc
>> telewizor? Będzie kradzież, choć bez włamania.
>
> Będzie. Tylko danych się NIE wynosi. To, że ktoś zrobi ich kopię nie
> sprawia, że ty je przestajesz mieć. Wiec analogia taka sobie - może lepiej:
> Ktoś wszedł i zrobił zdjęcie twojego świadectwa?
> Ktoś wszedł, odczytał jaki masz model telewizora i kupił sobie taki sam?

W powyższych opisanych przypadkach nie będzie kradzieży.

Natomiast skopiowanie danych cyfrowych to cos innego niz utrwalenie
obrazu aparatem.

To, że fizycznie mi rzeczy nie zabierasz, to jednak wchodzisz w
posiadanie czegoś, do czego nie masz uprawnień. Bo:
- jeśli to coś sprzedaje, to nie kupiłeś
- jeśli nie jest publicznie dostępne, to nie miałeś uprawnień aby
skopiować (nie mowie o technicznych mozliwosciach powstalech na skutek
wlamu czy czegokolwiek).

Nie można zrobić "zdjęcia" danych cyfrowych nie wchodząc w posiadanie
danych cyfrowych (identycznej kopii).

Reasumując: jeśli mi nie zniknie baza kart kredytowych moich klientów,
to nie oznacza, ze masz prawo ją sobie skopiować i "zabrać".

do góry