Witam
Zastanawia mnie czym jest dokładnie włamanie na strone. Jak ktoś przeprowadzi brute force na jakąś strone to dosyć łatwo stwierdzić, ze to jest włamanie. Natoamiast jeżeli ktoś ma zabezpieczenia typu:
i ktoś "nieupoważniony" dostanie się do tajnegodokumentu czy to też można uznać za włamanie ?
Czy jak zostawisz klucz pod wycieraczka i zastaniesz kogos w domu to bedzie to wlamanie? Pomijam fakt oczywistej glupoty.
johny_bravo napisał(a)
Czy jak zostawisz klucz pod wycieraczka i zastaniesz kogos w domu to bedzie to wlamanie? Pomijam fakt oczywistej glupoty.
Kwestia jest tylko czy życzysz sobie tą osobe w domu czy nie, i czy przypadkiem nie jest tam zameldowana :>
W twoim przypadku z kluczem, ewentualnie może ubezpieczyciel odmówić wypłaty odszkodowania.
mephir napisał(a)
W twoim przypadku z kluczem, ewentualnie może ubezpieczyciel odmówić wypłaty odszkodowania.
Co nie zmienia faktu, ze policja potraktuje ten fakt jako wlamanie. A to, ze ubezpieczyciel sie wymiga jesli tylko sie da to oczywiste.
To może jeszcze inny przykład. Powiedzmy że ktoś sobie założył hasło na super szufrowaną stronę, najlepsze zabezpieczenia itd. No i ktoś z użytkowników upoważnionych do tej strony zamieszcza hasło na ogólnodostępnym forum. Kto w tym przypadku zawinił - ktoś kto wszedł czy ktoś kto umieścił hasło ?
Jesli chodzi o swiat rzeczywisty to chyba (to do klucza pod wycieraczka) rozroznia sie wtargniecie i wlamanie. Ale pewnie prawo jesli chodzi o komputery w polsce (i co gorsza nie tylko) jest tak slabe, ze zalezy od prawnika. A i problem nie jest latwy bo co jak zgadne haslo za pierwszym razem (czyli nie bruteforce)? Wlamanie/wtragniecie ? To tak jakbym na ulicy majac klucz do swojego roweru przez przypadek uzyl go do innego i by pasowal. Ale to juz jest kradziez ... che che zamotane toto
A i może jeszcze jeden przykład. Powiedzmy kolega ma strone chronioną skryptem tak jak w pierwszym poście. Daje mi hasło do strony. Gdy wchodzę na tą strone on zgłasza włamanie na policje i mówi, że nigdy mi hasła nie dawał. Czy ma szanse wygrać ?
Tu masz definicje normalnego wlamania wedlug prawa. Z tego wynika, ze wejscie bez przeszkod nie bedzie wlamaniem. Co nie zmienia faktu, ze zabor rzeczy z otwartego na osciez mieszkania dalej jest przestepstwem, bo jest kradzieza, choc bez wlamania.
@Johny - twoje przykłady są raczej mało trafne. Jaką masz pewność, że włamanie na strone jest traktowane analogicznie do włamania do mieszkania ?
Znalazłem coś takiego - http://www.prawnik.net.pl/pwi/faqhack.htm . Moim zdaniem kodeks przeczy sam sobie w niektórych punktach.
Np to:
Na marginesie rozważań zauważmy, że nie będzie ponosił odpowiedzialności karnej na gruncie omawianego przepisu haker który uzyskuje dostęp do systemu w inny sposób niż łamiąc zabezpieczenia. Nie będziemy mogli postawić zarzutu przestępstwa hackingu intruzowi który wykorzystując błędy w oprogramowaniu omija zabezpieczenia lub używa haseł które wcześniej zdobył stosując tzw. social engineering. (do niektórych ataków tego typu znajdzie zastosowanie art. 267 § 2 k.k.)
A czym innym jest łamanie zabezpieczeń jak nie wykorzystywaniem błedów w oprogramowaniu ? :>
Brute-force nie jest wykorzystaniem bledu w oprogramowaniu. Poza tym tutaj chodzi o wykorzystanie bledu i w ten sposob ominiecie zabezpieczenia. Czyli jezeli w przypadku bledu programisty da sie wejsc np. w panel administracyjny omijajac wpisywanie hasla. Z calego artykulu wynika, ze przytoczona przez Ciebie sytuacja nie jest wlamaniem, analogicznie do przytoczonej przeze mnie definicji realnego wlamania (brak przelamania zabezpieczen).
Powiedzmy teraz że skrypt zabezpieczający wygląda tak:
location = strona + input(...).
Czyli hasło było w adresie. Czy wpisanie po prostu odpowiedniego adresu poprzedzone powiedzmy setką błędnych adresów było by włamaniem czy tylko ominięciem zabezpieczenia?
Nie kumam ostatniego. Skoro haslo bylo w adresie, to po co wpisywac 100 blednych? Skoro wpisujesz 100 blednych to jest to brute-force, czyli lamiesz zabezpieczenie.
Hasło jest w adresie ale adres nie jest podany. Np stroną z super tajnymi informacjami jest:
www.strona.pl/1234qwerty
a na stronie www.strona.pl znajduje się taki input:
location = 'www.strona.pl/' + input(...);
W tym przypadku nie można udowodnić, że ktoś logował się przez skrypt czy też wpisał od razu w adresie tą stronę. Poza tym od ilu zapytań zaczyna się brute force ?
Brute-force nie ma granicy. Zgadywanie hasel to brute-force. Jak zgadniesz za pierwszym razem to tez jest to brute-force.
Osobna kwestia jest w jaki sposob zostanie to udowodnione.
Osobna kwestia jest w jaki sposob zostanie to udowodnione.
No właśnie o taką kwestie mi chodzi :)
No to tutaj jest to niewiadoma. Jezeli ktos loguje proby nieudanego logowania z danego IP no to latwo. Jezeli nic nie robi to z punktu widzenia skryptu istnieje tylko przestrzen czasowa od wyswietlenia formularza do odebrania odpowiedzi i odpowiedniej akcji. Jest to kwestia mozliwosci technicznych i okolicznosci czynu.
Ogolnie rzecz biorac da sie to udowodnic pod warunkiem uprzedniego przewidzenia sprawy i zaangazowania odpowiednich technik.
IMO sprawa wygląda tak. Serwer WWW służy do udostępniania danych. Skoro zatem plik leży gdzieś sobie w public_html, nie jest chroniony przez .htaccess, ani odpowiedni skrypt/program po stronie serwera, to intencją webmastera jest jego udostępnienie. Inaczej mówiąc, skoro wrzuca go niezabezpieczonego do publicznego folderu serwera WWW, to znaczy, że zgadza się na to by inni ten plik pobierali.
To co przedstawił autor wątku, to nie żadne zabezpieczenie tylko kod przenoszący na stronę podaną jako hasło.
Kiedyś na tym forum pojawił się wątek dotyczący książki telefonicznej i TP. Padło w nim stwierdzenie dlaczego pracownik TP nie może podać danych osobowych, gdy my podamy czyjś numer, skoro w książce telefonicznej i tak można te dane odszukać. Idąc tym tokiem rozumowania nie jest bezprawnym udostępnieniem danych osobowych umieszczenie ich w książce telefonicznej (bo ktoś musiałby poświęcić sporo czasu na znalezienie adresu mając tylko nr telefonu), tak samo jak nie jest przestępstwem pobranie nawet metodą siłową określonego zasobu. Co innego jest zastosowanie metody siłowej do skryptu stojącego na straży po stronie serwera.
CyberKid napisał(a)
tak samo jak nie jest przestępstwem pobranie nawet metodą siłową określonego zasobu. Co innego jest zastosowanie metody siłowej do skryptu stojącego na straży po stronie serwera.
mhm.. istnienie zabezpieczenia NIE moze byc wyznacznikiem czynu..
chocby dlatego:
napisze i zbuduje tokeny czasowe, ktory beda wypluwaly 10znakowy tekst w funkcji daty: "yyyy-mm-dd hh" [bez mm/ss/S] ora unikatowego ID tokena (usera). na serwerze http, na domenie www.strona.pl umieszcze skrypcik, ktory z adresu www.strona.pl/{$napis} bedzie redirectowal na www.strona.pl/x?x=$napis . 'x' to zwyczajowy login.php zajmie sie ustawieniem sesji itede. (po to, zeby userzy mojego Tokena mogli po szybko wstukujac adres stronki sie od razu zalogowac). dzieki pass=F(data) moge sprawdzic czy to byl moj token uzyty 'teraz', dzieki pass=F(tokenID) moge okreslic ktory user sie zalogowal [a wiec nie trzeba pary user:pass, wystarczy pass(id,time)]
wg. mojego zdrowego rozsadku, jest to zabezpieczenie (pomijam minusy) ktore nie jest trywialne, ale posrod jego oczywistych slabosci jest jedna taka, ze mozna wlasnie stronke potraktowa "pobieraniem metodą siłową określonego zasobu"
i teraz CASE wlasciwy:
od strony ScriptKiddie/hakera/detektywa ktory wlasnie te stronke zauwazyl 5 sekund temu (powiedzmy zdarzylo sie to o dacie: 2008-05-13 1111), wszedl w zrodlo, zauwazyl redirect na "http://url"+input. oo, taaakii banal... to sie pobawie. osobnik mial dobry humor i po wpisaniu kilku zwyczajowych przeklenstw, wpisal "alamakotka" i...
..i zdarzylo sie, ze tokenizer dla userID "Lech Kaczyński" na godzinie 11' generuje ciag 10znakow "alamakotka" i skrypt ustawil cookiesa i redirectowal na prywatna skromna galeryjke zdjec żony sąsiada..
1' wlamanie/wtargniecie/nic?
2' a jesli nie byloby ciagu prob tylko od razu alamakotka, "bo tak mu sie pomyslalo" ?
3' skad scriptkiddie mialby wiedziec ze tam jest jakis mechanizm? stronka miala biedny wyglad, debilny javascript w srodku. rownie dobrze od razu mogl wpisywac www.strona.pl/blablabla, ja tak na przyklad wikipedie traktuje czasem, albo calkiem czesto - www.ling.pl/{słowo}
4' byly bledne podejscia.. okej. zapomnialem swojego hasla!! kotamaala? zle.. maalakota? access denied.. kotmaale? denied.. makotale? denied.. alamakotka? granted.. jupi.. przypomnialem sobie!
5 ...
analogia do reallife'a:
A) "winny" opowiada: ide sobie ulica. patrze - budynek. drzwi otwarte. wchodze. ale tutaj fajnie! o, lezy sobie kartka z tekstem. tekst wyglada ciekawie, ale jest po fińsku:( no nie kartki zabierac, moze ktos ja tutaj specjalnie zostawil.. ale spisalem sobie ten tekst, zeby potem przetlumaczyc. i wychodze..
B) nagranie z kamer: biuro firmy XYZ. zabezpieczenia, magnet zamki, mikrokamery. pracownik konczy prace, drzwi otwiera i wychodzi. zanim drzwi sie zatrzasnely, wszedl przez nie przypadkowy(?) przechodzien i wszedl bez problemu. porozgladal sie po biurze, podszedl do biurka szefa, skopiowal plan najnowszej umowy z Nokią i wyszedl
1' wtargniecie? wlamanie?
2' zabezpieczen nie bylo widac.. skad mial wiedziec ze sa? i ze wszystko jest 'prywatne/chronione'
3' ...
4' ..
nie jest nigdy tak rozowo i jednoznacznie:|
johny_bravo napisał(a)
Tu masz definicje normalnego wlamania wedlug prawa. Z tego wynika, ze wejscie bez przeszkod nie bedzie wlamaniem. Co nie zmienia faktu, ze zabor rzeczy z otwartego na osciez mieszkania dalej jest przestepstwem, bo jest kradzieza, choc bez wlamania.
wejscie bez przeszkod.. wspominalem ze otwieram kłodki w 3 sekundy? zadna przeszkoda dla mnie. hm.. a moze chodzilo bez typowych przeszkod? albo bez przeszkod-dla-typowego-obywatela? pewnie tak.. ale kto to jest typowy obywatel o typowych umiejetnosciach i typowym mniemaniu o "przeszkodzie"? druga rzecz - zabor mienia - bomba. patrz historyjka numer dwa: skopiowanie tekstu. nic nie zabralem, a firma jest wsciekla i mnie pozwala. jeszcze inaczej: wszedlem do pomieszczenia i ZOBACZYLEM fotke na scianie przedstawiajaca naga wlascicielke pomieszczenia. pozwala mnie o wtargniecie/wlamanie..?
piszac to nie czepiam sie polskiego/amrykanskiego/etc prawa.. chce tylko powiedziec, ze wg. mnie definicja takiego przestepstwa jest bardzo ciezka. mozna latwo i prosto utworzyc bardzo dobra definicje chroniaca wlasnosc, ale --- zeby zwykli ludize przypadkiem jej nie lamali, musieliby siedziec jak trusia, wylaczyc ciekawosc, nigdzie nie zagladac, nie dotykac, nie sluchac, nie patrzec, nie wciagac powietrza bo a nuz w tym pomieszczeniu nowy zapach Dior testowal...
niejasnosci zwykle sie rozwiazuje w prosty sposob: ochroniarz przy wejsciu, tabliczki wstep wzbroniony itepe.. mozna sie klocic czy niewidomi.. nie wazne ;p
wracajac do stronek: z drugiej strony - widoczne zabezpieczenia wskazujace ze TU SIE LOGOWAC/bez konta nie wchodzic/blah.. jak "winny" sie uprze ze na nie nie spojrzal, bo byly za kolorowe lub zbyt kolorowe i wzial je za banner reklamowy.. i po prostu sobie probowal wejsc sadzac ze mozna? pomyslowosc ludzka nie zna granic..
quetzalcoatl napisał(a)
CyberKid napisał(a)
tak samo jak nie jest przestępstwem pobranie nawet metodą siłową określonego zasobu. Co innego jest zastosowanie metody siłowej do skryptu stojącego na straży po stronie serwera.
mhm.. istnienie zabezpieczenia NIE moze byc wyznacznikiem czynu..
Wiesz, niebardzo o to mi chodziło. Chciałem po prostu podkreślić fakt, że jeśli się coś udostępnia przez HTTP, to jest to domyślnie udostępnione dla wszystkich :) Równie dobrze możnaby szukać metodą siłową domen w internecie i sprawdzać co na nich jest :)
Ty natomiast przytoczyłeś sytuacje kiedy to człowiek popełnia przestępstwo, ale udaje się mu to zupełnie przypadkowo. To jest różnica :) To tak jakbyś był na jakiejś imprezie, gdzie rozdają za darmo długopisy. Ty wziąłbyś 5 i został oskarżony o kradzież:)
quetzalcoatl napisał(a)
historyjka numer dwa: skopiowanie tekstu. nic nie zabralem, a firma jest wsciekla i mnie pozwala. jeszcze inaczej: wszedlem do pomieszczenia i ZOBACZYLEM fotke na scianie przedstawiajaca naga wlascicielke pomieszczenia. pozwala mnie o wtargniecie/wlamanie..?
Piszesz >>wszedłem<<, a tak na prawdę powinno być >>wpuszczono mnie<< :)
Kiedyś na tym forum był link do innego, do wątku, w którym autor śmiał twierdzić, że plugin Googli w jego FireFoksie szpieguje odwiedzane przez niego strony do tego stopnia, że nawet loguje się do jego konta. Okazało się, że problem leżał po stronie skryptu, który zamiast kontrolować dostęp do zasobów tylko pobierał login i hasło, a następnie przekierowywał na stronę dostępną dla wszystkich.