-
Data: 2013-02-16 23:32:20
Temat: Re: Hacking...
Od: Michoo <m...@v...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 16.02.2013 22:36, o...@p...wroc.pl wrote:
> On 2013-02-16, Michoo<m...@v...pl> wrote:
>> On 16.02.2013 14:18, Mr. Misio wrote:
>>> I jak rozumiem, taki haker ma teraz problemy... z prawem, bo:
>>> - złamał zabezpieczenia (jakieby nie były)
>>
>> Albo i nie złamał. Karalne jest "przełamanie lub ominięcie zabezpieczenia".
>>
>> Są tak głupie serwery, że mają panel admina bez hasła, albo jakiś
>> getfile.php, czy inny sql injection - technicznie rzecz biorąc żadnych
>> zabezpieczeń wtedy nie łamiesz a tylko grzecznie prosisz o coś serwer co
>> on podaje - BRAK zabezpieczenia przed dostępem.
>
> Tak interpretując to żadne zabezpieczenia nie istnieją.
Nie do końca - masz np zrobioną sieć osiedlową. Dostęp do panelu
administracyjnego z zewnątrz wymaga podania hasła a następnie robi
redirect. I teraz:
- odpalasz jakiegoś brute-force czy nawet słownik i okazuje się, że
hasło to było dupa.8 - zostało przełamane zabezpieczenie
- wpinasz się kablem do drugiego "po drodze" swicha w piwnicy i logujesz
bez hasła, bo z klasy wewnętrznej - zostało ominięte zabezpieczenie
- robisz injecta qwe' or '1'=='1 - zostało ominięte zabezpieczenie
- wchodzisz bezpośrednio na stronę admin.php, która nie wymaga hasła
ciężko tu mówić, żeby ta strona była zabezpieczona
> W końcu każdy
> request wysłany za pomocą dowolnego protokołu to prośba o coś co serwer
> podaje.
> Dlaczego według Ciebie błąd administratora polegający na
> pozostawieniu danego pliku po instalacji czy błąd programisty który
> zostawił sql incjection chcesz traktować surowiej niż pozostawienie
> jakiejś innej podatności wymagającej więcej wiedzy przy "przełamywaniu"
> czy "omijaniu"?
Nie - łagodniej. Ktoś kto się mieni programistą czy administratorem nie
powinien popełniać takich błędów - to jest poziom porównywalny z
właścicielem, który zapomina wieczorem zamknąć sklep więc ciężko mówić o
_przełamaniu_ czegokolwiek [1]
>
> Czy jak zostawię otwarty samochód z kluczykiem w środku i ktoś nim
> odjedzie to nie będzie już kradzież?
Zależy co z nim dalej zrobi, ale:
- nie będzie to kradzież _z włamaniem_
- może to być też Art. 289
- w przypadku 289 i odstawienia samochodu na miejsce, bez uszkodzeń,
ubytku paliwa, i w sytuacji gdy nie uniemożliwiło ci to skorzystania z
niego może zachodzić Art. 1. § 2. - czyn był zabroniony, ale
przestępstwa brak
> A jak nie przypnę roweru którym
> przyjechałem do pracy? Oczywiście w obu przypadkach sam sobie jestem winien.
> Raczej nie mam prawa narzekać na to jacy to źli złodzieje. Mam natomiast prawo
> nazwać ich złodziejami.
Weź tylko pod uwagę, że informację ciężko jest "ukraść", chyba, ze razem
z jedynym nośnikiem.
To, że ktoś uzyska dostęp do Twoich danych jest może i frustrujące, ale
nie jest kradzieżą per se. Do tego kradzież do 250pln to wykroczenie a
nie przestępstwo.
W przypadku większości "hackerskich wybryków" o ile nie kończy się to
krzywdą(publikacja wrażliwych danych)/zniszczeniami(usunięcie
czegoś)/etc(DOS)[2] powinien mieć zastosowanie Art. 1. § 2 - gdyż nie ma
szkodliwości społecznej - jest co więcej społecznie korzystne, że
osobnik, który dostał się na serwer doprowadził do wykrycia luki zanim
dostanie się tam ktoś kto np. postanowi skorzystać z tych numerów
kart... Można by tu nawet (gdy sprawca od razu poinformuje
administratora a nie uzyska dostęp tylko dla "szpanu") zastanowić się
nad Art. 26.
[1] A jak wyświetlanie błędów jest włączone to w ogóle zostawia drzwi
szeroko otwarte - ['] leży tak blisko [RETURN], że naprawdę wiele sql
injectów znalazłem przypadkiem wklejając adres i dostając:
"you have an error in your sql syntax near ... treść ' zapytania"
toż to się aż prosi o and 1==0 union select ...
[2] W kk jest "zapis _istotnej_ informacji" ale "do danych
informatycznych"(jakichkolwiek) więc podpada pod to dowolna modyfikacja.
Imo mały deface (np w formie newsa) nie upośledzający w inny sposób
działania serwisu powinien być legalny - bo się łapie pod Art 1 §2 czy
Art. 26.
--
Pozdrawiam
Michoo
Następne wpisy z tego wątku
- 16.02.13 23:44 Michoo
- 16.02.13 23:46 Andrzej Lawa
- 16.02.13 23:52 Mr. Misio
- 16.02.13 23:57 Mr. Misio
- 17.02.13 00:49 Michoo
- 17.02.13 01:35 Michoo
- 17.02.13 01:51 Mr. Misio
- 17.02.13 01:53 Michoo
- 17.02.13 02:07 Michoo
- 17.02.13 02:07 Mr. Misio
- 17.02.13 02:13 Mr. Misio
- 17.02.13 02:18 Mr. Misio
- 17.02.13 08:41 qwerty
- 17.02.13 08:43 qwerty
- 17.02.13 10:14 ein
Najnowsze wątki z tej grupy
- Poszukiwania
- Re: NSA orzekł że jest przypadek gdy można odebrać obywatelstwo pomimo KRP-34.2
- Re: PO+ rząd obroni żołnierzy przed żandarmerią wojskową i BODNATURĄ dopiero po medialnych doniesieniach :-)
- Re: Premier D. Tusk (PO) dymisjonuje za brak ręcznego sterowania prokuratorami?
- Re: Ziobro "oskarżył" Bodnara i Tuska
- Re: Premier D. Tusk (PO) dymisjonuje za brak ręcznego sterowania prokuratorami?
- Re: Neosędzia w składzie orzekającym nie jest bezwzględnym powodem do kasacji [SN]
- Są afery
- Praca Marzeń: Europoseł / Europosłanka - Pobyt w hotelach Brukseli i Strasburga min. 5*, bilety lotnicze, dieta
- Re: Neosędzia w składzie orzekającym nie jest bezwzględnym powodem do kasacji [SN]
- Doreczanie pism przez komornika
- Posadzi się sąd i już
- 3 osoby z jednej rodziny zginęły na drodze
- Re: Mało? Dużo?
- Re: Mało? Dużo?
Najnowsze wątki
- 2024-06-08 Poszukiwania
- 2024-06-08 Re: NSA orzekł że jest przypadek gdy można odebrać obywatelstwo pomimo KRP-34.2
- 2024-06-07 Re: PO+ rząd obroni żołnierzy przed żandarmerią wojskową i BODNATURĄ dopiero po medialnych doniesieniach :-)
- 2024-06-07 Re: Premier D. Tusk (PO) dymisjonuje za brak ręcznego sterowania prokuratorami?
- 2024-06-07 Re: Ziobro "oskarżył" Bodnara i Tuska
- 2024-06-07 Re: Premier D. Tusk (PO) dymisjonuje za brak ręcznego sterowania prokuratorami?
- 2024-06-06 Re: Neosędzia w składzie orzekającym nie jest bezwzględnym powodem do kasacji [SN]
- 2024-06-06 Są afery
- 2024-06-06 Praca Marzeń: Europoseł / Europosłanka - Pobyt w hotelach Brukseli i Strasburga min. 5*, bilety lotnicze, dieta
- 2024-06-06 Re: Neosędzia w składzie orzekającym nie jest bezwzględnym powodem do kasacji [SN]
- 2024-06-05 Doreczanie pism przez komornika
- 2024-06-05 Posadzi się sąd i już
- 2024-06-04 3 osoby z jednej rodziny zginęły na drodze
- 2024-06-04 Re: Mało? Dużo?
- 2024-06-04 Re: Mało? Dużo?