альтернативно одарённые британские законы и суды

[avva]

Какие уроды. Просто нет слов.

Засудили человека за то, что он изменил URL в браузере, добавив ../../../ , чтобы посмотреть, легитимный это сайт или нет.

Друзья, печатными словами это не передать, это полный пиздец.

[via trurle]

Comments

[milwaukee.livejournal.com]

божественно!

[rowaasr13.livejournal.com]

Э... А как они доказали, что это "attempt to elevate", если это абсолютно нормальный URL попадающий под все стандарты и как это законом его запрещено использовать?

[monomyth.livejournal.com]

Ага, дибилизм процветает.

[monomyth.livejournal.com]

Он сам признался, очевидно.

[letchik.livejournal.com]

ironically he taught some members of the Computer Crime Unit.
ничему, как видно, не научил

[ppl.livejournal.com]

Мне бы казалось, что кнопка "Up" в Google Toolbar делает практически то же самое. Разве нет? Очень удобно, кстати.

[http://users.livejournal.com/_rowan_tree_/]

Мда. Степень безграмотности судей зашкаливает. А почему, собственно, нельзя было спросить первого попавшегося студента? Он бы объяснил, в чем там дело. Ну или хоть кого-нибудь из 50% населения Земли, которые разбираются в компьютерах лучше этих идиётов???

[yucca.livejournal.com]

М-да, тут как раз тот случай, когда необходим флешмоб, чтоб все немедленно отправились набирать злополучный URL.

[waxtep.livejournal.com]

охуеть просто.

[ly0lik.livejournal.com]

я не верю, что его засудили только за "../../../". Здравый смысл подсказывает, что неверные ссылки вводятся в немалых количествах, так что IPS в British Telecom должна бы пищать безостановочно. Так что хороший адвокат, пригласив в кач-ве свидетелей нескольких спецов по безопасности, отбил бы клиента на раз, аппелируя лишь к здравому смыслу/.

Что характерно, the Register ни в одной из статей не вдаётся в подробности, что же это были за 2 теста...

[mtyukanov.livejournal.com]

И какое отношение имеет траверсинг к проверке легитимности сайта? А апостроф? Какое это имеет отношение к проверке защищенности сайта я вижу. А к легитимности?

И зачем он сначала рассказывал, что это у него, дескать, браузер такой, что Lynx, мол, всегда так делает? Судья, собственно, прямо сказал, что не врал бы -- был бы оправдан. В общем, понятное решение.

Не, защита тоже понятна -- типа решил проверить, насколько защищен сайт (хотя причем тут легитимность -- все же неясно). Но где грань? А вот если по портам пройтись -- это тоже нормально?

[mtyukanov.livejournal.com]

Что-то мелькает про апостроф. Куда он его ставил -- в упор не ясно. Но похоже, в какую-то форму -- если так -- то это довольно откровенный хак.

[mtyukanov.livejournal.com]

Нет. Она не выходит за пределы внутрисайтового дерева, до рута она не добирается. А парень захотел рут прочитать.

[slavka.livejournal.com]

> А вот если по портам пройтись -- это тоже нормально?
не, давайте штрафовать за каждое обращение к неотродоксальному порту ...

уроды блин
интересно, а где можно почитать закон определяющий, какие URL это ошибка, а какие уже преступление?

[mi-b.livejournal.com]

он не защищенность проверял. А, надеясь, что сайт незащищен, пытался понять, где и кем он размещен. Потому что такая информация могла бы ему помочь понять, жульнический сайт или нет

[mtyukanov.livejournal.com]

А как проверить где и кем он размещен с помощью траверсинга и вставки?

[http://users.livejournal.com/_rowan_tree_/]

что же это были за 2 теста - они совершенно секретны :-)
Нет, там сказано "the two tests" (с определенным артиклем), так что имеются в виду уже какие-то упоминавшиеся тесты. Правда, упомянут один, но думаю, что второй - это ../../ или что-то в этом роде, и они решили статью не усложнять.

[mtyukanov.livejournal.com]

Закон -- Computer Misuse Act от 1990 года -- много где валяется. А специалист по компьютерной безопасности законы своей страны, касающиеся этой самой компьютерной безопасности знать должен.

А где ошибка -- где преступление -- в законе и написано.
(1) A person is guilty of an offence if –
a. he causes a computer to perform any function with intent to secure access to any program or data held in any computer;
b. the access he intends to secure is unauthorised; and
c. he knows at the time when he causes the computer to perform the function that that is the case.

Если человек случайно вдруг набрал такое (ну, думал, что дальше корня урла выйти нельзя) -- он не знал, вышел случайно, ошибка.

Если человек отлично знал, что так можно найти рут -- преступление.

[mi-b.livejournal.com]

ну, выходом на рут, насколько я понимаю, можно увидеть, какие еще сайты лежат рядом. их чего профессионал может делать какие-то выводы. Например, приличный сайт британского charity не будет хоститься в Китае или рядом с чем-нибудь очень подозрительным. Я не думаю, что я бы смог сделать много выводов из вида директории верхнего уровня - но он-то профессионал

[mtyukanov.livejournal.com]

Можно, конечно. Но для того, чтобы что-то всерьез понять, надо и ломать сайт всерьез. Не просто выйти в рут, а еще и шелл там запустить, или там походить по разным директориям, почитать их серверные скрипты.

Но в принципе, для начала проще посмотреть свой собственный лог за время транзакции, протрейсрутить все подозрительные айпишники, и все, что набралось, проверить по whois. И главное, все это совершенно легально.

А какие-то его сторонники(!) утверждают, что второй тест -- это "всего лишь" попытка загнать одинарную кавычку в поле ввода номера кредитки. Если это действительно так -- это довольно откровенная попытка взлома именно что базы кредиток.

[mtyukanov.livejournal.com]

О, его приятель утверждает, что апостроф он ставил в поле ввода кредитки.
Ну-ну. Консультанты по ethical hacking, блин.

[ullr.livejournal.com]

>это довольно откровенная попытка взлома именно что базы кредиток.
после того, как он заплатил 30 фунтов собственной карточкой, очевидно, в той же самой ССЛ сессии?

[mtyukanov.livejournal.com]

А что, это как-то мешает?

[http://users.livejournal.com/_rowan_tree_/]

Так, давайте запретим людям пытаться проверить, законный ли это сайт. А заодно запретим вводить неправильно сформатированные данные. Типа, сказали тебе ввести число в виде mm/dd/yyyy, а ты его вводишь как dd/mm/yy - под суд тебя!
То-то создатели фиктивных сайтов обрадуются! А также все программисты, которым неохота тестировать security.

suppose a scientologist comes to your door

[larvatus.livejournal.com]

    and wedges his credit card between the door and the doorjamb.
    Would you have him arrested for attempting illegal entry?

[enemyreader.livejournal.com]

>1) A person is guilty of an offence if –
>a. he causes a computer to perform any function with intent to secure >access to any program or data held in any computer;
- любая работа с компом.

b. the access he intends to secure is unauthorised; and
обратился к ресурсу, неважно как, и узнал что доступ закрыт.

c. he knows at the time when he causes the computer to perform the function that that is the case.
не знал до этого, что доступ туда закрыт.

плохие адвокаты были у чувака.

[ullr.livejournal.com]

да, мешает мне поверить, что это попытка ломки системы. Так себя не ведут даже скрипт-киддис. А уж человек, занимающийся ком.безопасностью профессионально, тем более.

[mtyukanov.livejournal.com]

Действительно, на действия профессионала по взлому не похоже. Но и на действия профессионала по проверке сайта еще менее похоже.

Что он фактически сделал -- очень слабую и дохлую попытку сломать сайт.

Почему -- да сайт слишком новый, создан под конкретную задачу, дыры наверняка есть, вдруг такие грубые?

Для чего он это сделал -- для благородной проверки безопасности сайта или гнусной попытки украсть у пострадавших от цунами -- хрен его знает. Скорее всего, ни то, ни то -- а просто по привычке. Потому и попытка такая вялая, ненапряжная.

Но ведь и судили его не за попытку кражи, а саму по себе попытку взлома. И то приговорили после того, как стал врать, и судья подчеркнул, что не врал бы -- не было бы и штрафа. Потому как вранье его проверять и расследовать надо было куче народа.

[msh.livejournal.com]

../../../ это известный старый exploit. "IT security consultant", my ass. Обычный script kiddie.

[msh.livejournal.com]

А читая, например, чужой код Вам никогда не бывает трудно поверить, что это написали люди, занимающиеся программированием профессионально? ;-)

[dinozavr.livejournal.com]

Есть такие ассоциации (Microsoft, Гарант, 1С их кормят), которые и в России ставят своей целью "больше уголовных приговоров пиратам".

С жалостью рапотровали они на последнем семинаре, что автору HASP-эмулятора (Сабля) на Дальнем Востоке дали пару лет условно. А не реально.

Судом было однозначно доказано, что он не виновен ни в одном взломе, ни в одном несанкционированном использовании или копировании софта.

Он просто написал эмулятор.

С большой жалостью докладывали, что он не будет сидеть эти два (кажется) года в тюрьме.

Обещали впредь исправиться и усилить работу с судами и правоохранительными органами.

[airmax.livejournal.com]

И ведь это не немцы, нет, англичане. действительно, полный пиздец.

[avva.livejournal.com]

Да, нормально. А вот хакнуть (т.е. найти открытый порт и через него проникнуть в систему) -
это ненормально. Разве не видно здесь очевидного качественного различия?

На машине бежит веб-сервер. Его задача - отвечать на HTTP-запросы. Как можно счесть один из таких запросов "хаком" только потому, что URL в нём не такой, как кому-то хочется, или аргумент в форме не такой, как кому-то хочется? Доступ к неавторизованным ресурсам был? Не было. К файлам, которые веб-сервер не должен был выдавать, доступ был? Не было. Shell access или root access или ещё чего такое был получен? Не было. Попытка DoS путём отсылки тысяч или миллионов запросов была? Не было. Какой же это "хак"? Это смешно просто.

Re: suppose a scientologist comes to your door

[avva.livejournal.com]

То, что описано - это не вставить кредитку в щель с целью открыть дверь, а встать на колени и посмотреть пристальнее на замок, чтобы увидеть, какого он вида и марки. Мне это может не понравиться, но считать это нелегальным действием я не могу.

Re: suppose a scientologist comes to your door

[msh.livejournal.com]

Теперь представьте, что приходите домой - а у двери человек пыхтит и пристально разглядывает как бы вскрыть замок. Позвоните в полицию или нет?

[avva.livejournal.com]

Может, и позвоню. Мало ли что, может, он уже соседнюю квартиру ограбил. Или он известный грабитель и его полиция ищет.

Но если его засудят и заставят заплатить штраф в 1000 долларов за то, что он на мой замок смотрел - справедливым это не сочту.

Кроме того, чтобы аналогию точнее сделать - он не рассматривает, как бы вскрыть замок, а просто на замок смотрит внимательно, чтобы узнать, какой он фирмы и где я его заказал.

[msh.livejournal.com]

Чтобы сделать аналогию точнее, скажем, что он засовывает в замок ржавую отмычку (он применял старые, не работающие exploits). Решите что пусть и дальше ковыряется, все равно отмычка не работает?

[mtyukanov.livejournal.com]

То есть неудачно, ламерски попытаться хакнуть -- это нормально. А вот удачно -- это уже плохо.

Только вот одна проблема: удачный хак по определению не ловится.

А на всякий неудачный можно отмазываться абсолютно тем же способом: да я ничего не делал, ну подбирал пароль -- а вдруг там год рождения, ну пробежался по портам -- а вдруг там открыто, ну просмотрел несколько других известных эксплойтов -- а вдруг там незапачено. Но я ж ничего не сделал...

Человек сознательно попробовал систему на пару известных эксплойтов. Когда его поймали, стал не менее сознательно эксплуатировать лемминговое сознание сетевого сообщества, рассказывая сказки про "арестовали за пользование Lynx-Solaris". Когда ему сказали, чтобы перестал считать всех за идиотов, выдумал другую сказку о якобы "проверке легитимности" -- типа в полиции не знают, как легитимность сайтов проверяют.

Shell access или root access или ещё чего такое был получен? Не было

Не было. Была неудачная попытка. И что теперь? Если угонщика поймали, когда сигнализация и иммобилайзер сработали, его что, оправдывать на основании, что, мол, угона не было -- машина не завелась?

[ullr.livejournal.com]

мне иногда в это трудно поверить, даже читая свой собственный код.

Но ломание принципиально отличается от программирования: оно нелегально. Т.е. оно требует более внимательного отношения.

Re: suppose a scientologist comes to your door

[larvatus.livejournal.com]

    I disagree. The least intrusive HTTP request acts on the web server in a far more palpable way than your look-see acts on a lock.

[enemyreader.livejournal.com]

Вот более точная аналогия. Две двери в дом, одна ручка на стене чтобы их открывать. Все приходящие крутят ручку вправо и проходят в одну из дверей. Влево ручка не крутится - заблокирована, и вторая дверь не открывается. Но если ручку просто подергать влево, тебя посадят за попытку взлома.

[egorfine.livejournal.com]

я уверен, что это неполная информация.

[msh.livejournal.com]

Да ладно, вон в магазинах воруют уж такие идиоты и попадаются постоянно. А тоже нелегально.

[msh.livejournal.com]

Да не надо городить-то вторые двери какие-то, ручки вправо, ручки влево. Неуклюже и не имеет никакого отношения к делу. Он применял exploit, осознанно пытался сломать.

[d-i-a-s.livejournal.com]

другими словами он сел за собственную глупость.
за то, что не сумел научить дебилов, как отличить одно от другого ;-)

нет слов

[volya.livejournal.com]

одни матюки.

[enemyreader.livejournal.com]

Городить-то не я начал :)

Не знаю, как там с точки зрения права, но мне не нравится, что одно и то же действие может быть преступным или не преступным в зависимости от знаний субьекта.

[dpak0h.livejournal.com]

дорогой товарищ, не задерживайте очередь, получайте по талонам свою тушёнку и идите домой.

[dpak0h.livejournal.com]

не ломание, а использование ломания в коммерческих целях. смотрите ниже про автора HASP эмулятора