Znalezienie błędu w skrypcie, kogo powiadomić, czy można żądać wynagrodzenia Opcje

[phpion]

Witam,
aktualnie mam styczność z pewnym skryptem, który jest masowo sprzedawany m.in. na Allegro. Przypadkowo w kodzie trafiłem na oznakę, że możliwe byłoby przejęcie praw administracyjnych nad serwisem przez dowolnego użytkownika. Sprawdziłem na testowym serwisie przy którym pracuję - faktycznie (IMG:style_emoticons/default/smile.gif)

Moje pytanie: kogo mam o tym fakcie powiadomić? Z jednej strony mógłbym firmę X, która napisała system. Z drugiej strony - mogę powiadamiać bezpośrednio serwisy, które stoją na tym skrypcie. Jak wygląda to od strony prawnej? Czy mogę żądać wynagrodzenia za udostępnienie informacji o błędzie (autorowi skryptu) lub naprawę dziury (serwisom)?

Pozdrawiam,
pion

PS: Kojarzy mi się, że był już podobny wątek, ale wyszukiwarka odmawia posłuszeństwa.

[Damonsson]

Jeśli to poważne firmy, oferuj usługę audytu bezpieczeństwa, oczywiście nic nie mówiąc o już znanych lukach (IMG:style_emoticons/default/smile.gif)

[phpion]

Sądząc po kodzie to raczej nie są to zawodowcy (IMG:style_emoticons/default/wink.gif) Poza tym sądzę, że ot tak na audyt nie będą wydawać kasy będąc przekonanymi, że skrypt jest bezpieczny.

[pyro]

Cześć.

To jest trochę gra na loterii. Zależy na kogo trafisz.

Raz znalazłem kilka błędów u pewnego usługodawcy hostingowego (hosting, VPS, dedyki). Napisałem do nich, że ich systemy są dziurawe i że w związku z tym, że jestem audytorem, mogę wykonać pełen audyt bezpieczeństwa dla ich serwisu poza znalezionymi błędami (te załączyłem za darmo w raporcie). Zaczęli mnie straszyć sądem i policją pod zarzutem próby wyłudzenia pieniędzy i szantażu (EDIT: oraz nieautoryzowanego dostępu do poufnych informacji).

Czasami też bywało tak, że podsyłając za free błędy właścicielom niektórych serwisów oni potem sami proponowali mi współpracę przy zabezpieczaniu i rozwijaniu ich serwisów.

Także tak jak wspomniałem - trochę loteria, zależy na kogo trafisz (IMG:style_emoticons/default/wink.gif) .

Pozdrawiam.

Ten post edytował pyro 18.06.2013, 12:05:47

[!*!]

Jeśli nie jest to skrypt marki gimnazjumPRO, to wypadałoby pierw powiadomić producenta z zapytaniem o ewentualną współpracę.
W innym wypadku omiń go i wyślij informację do innych użytkowników tego skryptu.

Prawnie to chyba nie ma nic do rzeczy, bo przecież nie udostępniasz ich danych, jak i informacji o luce publicznie.

[nospor]

Zaczęli mnie straszyć sądem i policją pod zarzutem próby wyłudzenia pieniędzy i szantażu (EDIT: oraz nieautoryzowanego dostępu do poufnych informacji).

I jak sie sprawa skończyła?

[phpion]

W jakieś audyty tego skryptu nie mam czasu/ochoty się bawić, nie liczyłbym też na propozycję współpracy. Spróbuję dowiedzieć się czegoś na forum prawniczym.

[m44]

Pytanie, czy jak ktoś sprzedaje lub kupuje skrypt za parę złotych na Allegro, to będzie się chciał bawić w audyt i jeszcze za niego płacić?

[phpion]

Skrypt nie kosztuje kilku zł, a nieco więcej, nie chcę oferować audytów a jedynie "łatkę" zabezpieczającą. Myślę, że dostając informację o tym, że każdy może dostać się do panelu admina niewiele osób zignoruje tą wiadomość. W przeciągu kilku minut (kwestia szybkości kliknięć) jestem w stanie pousuwać wszystkie dane z każdego serwisu opartego na tym skrypcie.

[memory]

Czy to nie ten słynny skrypt co opisywał nospor?

[Mackos]

Ogółem polecam przeczytać artykuł na niebezpieczniku:
http://niebezpiecznik.pl/post/zatrzymala-g...-wojewodzkiego/
I myślę że ten cytat ze wskazanego linku tłumaczy wszystko:

Tego typu czynności to łamanie prawa — wykonując testy bezpieczeństwa bez zgody właściciela infrastruktury, wykonujesz je na własną odpowiedzialność i ryzykujesz zatrzymanie przez policję nawet jeśli swoimi odkryciami za darmo i bezinteresownie podzielisz się z właścicielem. Prawda jest taka, że “po ujawnieniu” twój los jest całkowicie w rękach właściciela sieci, do której się włamałeś — a łatwo jest sobie wyobrazić, jaka jest pierwsza reakcja osoby, która dowiaduje się, że ktoś mógł np. czytać jej pocztę (IMG:style_emoticons/default/wink.gif)

[O$iek]

Ja bym sobie odpuścił, bo możesz mieć z tego tylko więcej problemów niż korzyści.

[phpion]

Między mną, a przypadkiem opisanym pod podanym linkiem jest ta zasadnicza różnica, że ja nigdzie się nie włamywałem. Zgłosił się do mnie klient z prośbą o sprawdzenie kilku rzeczy w zakupionym sofcie. W trakcie przeglądania kodu natrafiłem na omawianą lukę. Temu klientowi od razu zabezpieczyłem to miejsce.

Planuję skontaktować się z właścicielami serwisów postawionych na tym skrypcie pisząc: korzystacie ze skryptu X, prawdopodobnie macie krytyczny błąd bezpieczeństwa, jeśli chcecie dokonam próbnego ataku i jeśli dziura faktycznie będzie to będę mógł ją wyeliminować za kwotę X. Tak więc żadnego ataku bez wiedzy właściciela by nie było.

Jedyne co chciałbym wiedzieć to czy w pierwszej kolejności nie jestem zobowiązany powiadomić o luce autora skryptu, czy w ogóle jestem zobowiązany do powiadomienia go.

[b4rt3kk]

Między mną, a przypadkiem opisanym pod podanym linkiem jest ta zasadnicza różnica, że ja nigdzie się nie włamywałem. Zgłosił się do mnie klient z prośbą o sprawdzenie kilku rzeczy w zakupionym sofcie. W trakcie przeglądania kodu natrafiłem na omawianą lukę. Temu klientowi od razu zabezpieczyłem to miejsce.

Planuję skontaktować się z właścicielami serwisów postawionych na tym skrypcie pisząc: korzystacie ze skryptu X, prawdopodobnie macie krytyczny błąd bezpieczeństwa, jeśli chcecie dokonam próbnego ataku i jeśli dziura faktycznie będzie to będę mógł ją wyeliminować za kwotę X. Tak więc żadnego ataku bez wiedzy właściciela by nie było.

Jedyne co chciałbym wiedzieć to czy w pierwszej kolejności nie jestem zobowiązany powiadomić o luce autora skryptu, czy w ogóle jestem zobowiązany do powiadomienia go.

Jeśli by mi ktoś taką wiadomość napisał to bym uznał, że mnie szantażuje i nie pisał do Ciebie, a do autora skryptu, bądź osoby od której go kupiłem, żeby naprawił ową lukę za darmo, bo w końcu zapłaciłem autorowi nie po to, żeby jeszcze płacić jakiemuś szantażyście. A w przypadku, gdyby ktokolwiek ową lukę wykorzystał to pierwsze podejrzenie padłoby na Ciebie.

[phpion]

Dlaczego szantażyście? Nikogo przecież nie zmuszę do skorzystania z mojej pomocy. Ktoś będzie chciał to napisze do autora skryptu, który może stworzy łatkę i roześle aktualizację. O ile oczywiście znajdzie to trefne miejsce w swoim kodzie. Z tego co wiem to w przypadku tej firmy (jak i pewnie większości tego typu) kontakt urywa się po zakupie softu. Doprosić się o jakiekolwiek zmiany to cud.

Co wg Ciebie powinienem zrobić? Za free łatać ludziom dziurawy skrypt czy może naprowadzić autora na miejsce luki? Jeśli stworzył dziurawy soft to niech teraz odbiera skargi od klientów. Gdybym skontaktował się bezpośrednio z nim to pewnie tak by sprawę załatwił, że o dziurze nikt by się nie dowiedział (np. "łatka poprawiająca wydajność").

Co do wykorzystania luki: najpierw chyba musieliby mi udowodnić, że to faktycznie ja. Nie mam zamiaru bawić się we włamania do serwisów, nie kręci mnie to.

[!*!]

@phpion - to już jest taka narodowa mentalność, jeśli chodzi o jakiekolwiek standardy, w PL jesteśmy na szarym końcu. Większości trudno jest nawet zrozumieć co to jest audyt i dlaczego jest potrzebny, a jak zgłaszasz wybite okno, to pewnie jesteś złodziejem.

[b4rt3kk]

No wiesz, chodzi mi o to, że od razu proponujesz, że naprawisz ww. lukę po uiszczeniu X zł. A tu trzeba bardziej delikatnie, dyplomatycznie. Np.

Pragnę Państwa poinformować, ze wasz serwis - www.xyz.pl postawiony na sofcie firmy X posiada lukę w bezpieczeństwie, na którą natrafiłem przy pracy z wymienionym. W razie zainteresowania problemem, mogę przesłać szczegóły, jak i naprawić ww. lukę. Lub proszę skontaktować się z firmą X.

I dopiero jak ktoś się odezwie to mówić o pieniądzach, bo tak to brzmi jak wyłudzenie. Zwłaszcza jak krzykniesz jakąś sumę z kosmosu. A skoro sam pisałeś, że soft do najdroższych nie należy to wątpię by ktoś chciał jeszcze dokładać, raczej się wkurzy, że taki badziew kupił i z problemami wystartuje do sprzedawcy.

Swoją drogą, być może jest to jakiś sposób na zarabianie "na lewo". Pozostawiasz dziurę w swoim sofcie (albo raczej backdoora) i udając dobrego samarytanina oferujesz naprawę za opłatą. Tylko jest to dla kogoś komu nie zależy na dobrej opinii o jego sofcie. Bo ja osobiście czegoś takiego bym nie zrobił.

[phpion]

a jak zgłaszasz wybite okno, to pewnie jesteś złodziejem.

Zgadza się. Kiedyś mama znalazła portfel, w środku były dokumenty (pieniędzy nie było) więc poszła oddać go właścicielowi. Została potraktowana tak, jakby to ona ten portfel ukradła i oczyściła z gotówki.

Pragnę Państwa poinformować, ze wasz serwis - www.xyz.pl postawiony na sofcie firmy X posiada lukę w bezpieczeństwie, na którą natrafiłem przy pracy z wymienionym. W razie zainteresowania problemem, mogę przesłać szczegóły, jak i naprawić ww. lukę. Lub proszę skontaktować się z firmą X. I dopiero jak ktoś się odezwie to mówić o pieniądzach, bo tak to brzmi jak wyłudzenie. Zwłaszcza jak krzykniesz jakąś sumę z kosmosu.

Wydaje mi się, że "sposób" opisany przeze mnie jest generalnie taki sam, tylko że od razu stawiam sprawę jasno odnośnie wynagrodzenia. Przecież każdy rozgarnięty domyśli się, że może uderzać do osoby, od której kupił skrypt. Cena nie byłaby z kosmosu - 1 godzina pracy liczona po stawce godzinowej.

A skoro sam pisałeś, że soft do najdroższych nie należy to wątpię by ktoś chciał jeszcze dokładać, raczej się wkurzy, że taki badziew kupił i z problemami wystartuje do sprzedawcy.

Do najtańszych też nie należy, nie jest to kilkadziesiąt złotych. A że badziew kupił - ja to wiem (IMG:style_emoticons/default/smile.gif) A że wystartuje do sprzedawcy? Moim zdaniem słusznie.

Swoją drogą, być może jest to jakiś sposób na zarabianie "na lewo". Pozostawiasz dziurę w swoim sofcie (albo raczej backdoora) i udając dobrego samarytanina oferujesz naprawę za opłatą. Tylko jest to dla kogoś komu nie zależy na dobrej opinii o jego sofcie. Bo ja osobiście czegoś takiego bym nie zrobił.

No tylko, że możesz mieć smród jeśli ktoś będzie Cię "ścigał" za tego backdoora (jako wykonawcę).

[b4rt3kk]

No to jak uważasz, tyle że zapewne klient owej firmy sprzedającej soft najpierw do nich uderzy, jak oni nie będą wiedzieć o co chodzi i jak to naprawić to wtedy być może zgłosi się do Ciebie. Tak jak mówiłem, kiedy coś kupujesz to chcesz by było wysokiej jakości i pozbawione wad. A jak coś nie tak, to lecisz najpierw do sprzedawcy, że Ci bubel wcisnął i jeszcze oszukał.

Jak dopiero zaczynałem przygodę z www, z 10 lat temu lub więcej, to mi kiedyś jakiś cwaniaczek bez żadnego ostrzeżenia całe forum (dosyć już wtedy dobrze prosperujące) wykasował, a stało na wydawać by się mogło dobrze zrobionym phpBB. A że nie robiłem backupów to wszystko szlag trafił i nie chciało mi się już od nowa zaczynać. A wtedy moja stronka o Heroes 3 była dosyć popularna, a forum było jej integralną częścią. (IMG:style_emoticons/default/biggrin.gif)

[phpion]

Autorowi skryptu również zaproponuję informację o błędzie i/lub naniesienie poprawek, ale już za nieco inną kwotę (na razie namierzyłem 20 serwisów opartych na tym skrypcie).

[b4rt3kk]

A możesz zdradzić tak ogólnie do czego ten skrypt służy? No i ciekaw jestem jakiego rzędu są kwoty, którą za niego trzeba zapłacić? Pomiędzy 100-200 zł czy nieco więcej?

[!*!]

Jak skończysz, podaj info jaki to skrypt i jaka to luka (w zależności jak załatwisz sprawę)

[phpion]

Z różnych powodów wolałbym nie zdradzać co to za soft. Jego cena to więcej niż podane przez Ciebie kwoty, można powiedzieć, że kilka razy więcej.

// Edit:
Nie podam do publicznej wiadomości co to za skrypt i na czym polega luka.

[O$iek]

Nie zdziwiłbym się jakby chodziło o jakiś serwis ogłoszeniowy (IMG:style_emoticons/default/wink.gif)

[Damonsson]

Pewnie chodzi o to http://allegro.pl/portal-internetowy-najwy...3319239362.html
dziurawe jak sito na makaron, mojej babci

Ten post edytował Damonsson 19.06.2013, 12:12:53

[nospor]

Pewnie chodzi o to http://allegro.pl/portal-internetowy-najwy...3319239362.html
dziurawe jak sito na makaron, mojej babci

Faktycznie, po jednej minucie spędzonej u nich na demo widać, że osoby to piszące w php siedzące może max od miesiąca :/

To kto chętny zgłaszać ten portal? Na chwilę obecną mamy tam XSS i SQLInjection a więcej przez przypadek znalezionych rzeczy nie chce mi się szukać (IMG:style_emoticons/default/wink.gif)

[b4rt3kk]

Zwłaszcza grafika tych stron wydaje się taka toporna, brzydka i robiona w paincie (może tylko ja mam takie wrażenie?). Ale jak dla mnie to już zeszła epoka. Zarówno na ich stronie, jak na stronach wcześniej wykonywanych przez nich. Całość oparta na forum phpBB, za dużo się nie napracował, a kasy woła jak za w pełni przez siebie wykonane dzieło.

[nospor]

edit:
no właśnie, a jak prawnie wyglądałaby sprawa gdyby ktoś na swojej stronie napisał, że taki a taki portal/skrypt jest dziurawy jak ser szwajcarski, że jest podatny na taki czy owaki atak? Oczywiście nie ma tu mowy o żadnym włamie, a o prostym stwierdzeniu, że taki portal na dane ataki jest podatny

[phpion]

@nospor:
Najlepiej zapytać na forum prawniczym. Niestety z tego co zauważyłem (zadałem tam kilka pytań) to nie bardzo kwapią się do odpowiedzi :/ Pozostałaby wizyta u prawnika, ale to znowu koszty.

[b4rt3kk]

@nospor:
Najlepiej zapytać na forum prawniczym. Niestety z tego co zauważyłem (zadałem tam kilka pytań) to nie bardzo kwapią się do odpowiedzi :/ Pozostałaby wizyta u prawnika, ale to znowu koszty.

Mogę się brata spytać jak wrócę z pracy, prawnikiem jest. (IMG:style_emoticons/default/smile.gif)

EDIT:
Tutaj napisz te pytania lub na PW to przekażę.

Ten post edytował b4rt3kk 19.06.2013, 12:49:23

[nospor]

@bartek
moje pytanie:
no właśnie, a jak prawnie wyglądałaby sprawa gdyby ktoś na swojej stronie napisał, że taki a taki portal/skrypt jest dziurawy jak ser szwajcarski, że jest podatny na taki czy owaki atak? Oczywiście nie ma tu mowy o żadnym włamie, a o prostym stwierdzeniu, że taki portal na dane ataki jest podatny

Drugie pytanie:
A co w przypadku gdy kupiliśmy na takiej aukcji ich skrypt, czyli defacto mamy jego kod źródłowy legalnie i na podstawie tego kody wykryliśmy x błędów bezpieczeństwa i je opublikowaliśmy.

[pyro]

Cześć,

Odkryte błędy możesz normalnie publikować. Koledzy po fachu robią to na co dzień, ALE jak byś przy okazji do opisu błędu załączył sporą część kodu, który normalnie nie jest publiczny (trzeba go kupić / jest to wewnętrzny system / itp.) to mogliby oskarżyć Cię o piractwo czy coś w tym stylu. Same exploity możesz normalnie publikować.

[nospor]

@pyro jeśli dobrze Cię zrozumiałem to mogę legalnie i bezkarnie napisać:
Skrypt X firmy Y jest podatny na atak SQLInjection. Na potwierdzenie moich słów proszę wejść na stronę Z i tu i tu wpisać taki ciąg znaków.

Dobrze zrozumiałem?
I nawet jeśli każdy w tym momencie będzie mógł pobrać praktycznie dowolne dane z bazy, na której stoi skrypt, to nadal ja za to nie beknę? Jakoś nie chce mi się w to wierzyć, musiałem Cię źle zrozumieć (IMG:style_emoticons/default/smile.gif)

[pyro]

@pyro jeśli dobrze Cię zrozumiałem to mogę legalnie i bezkarnie napisać:
Skrypt X firmy Y jest podatny na atak SQLInjection. Na potwierdzenie moich słów proszę wejść na stronę Z i tu i tu wpisać taki ciąg znaków.

Tego na czerwono nie możesz napisać. Namawiasz ludzi do ataku na cudzą stronę (IMG:style_emoticons/default/tongue.gif)

Zajrzyj na exploit-db.com i zobacz jak ludzie piszą. Przykładowo:

Kod

Acme Script <= 1.5 SQL Injection Vulnerability
Exploit: http://xyz.com/profile.php?id=[sql]

[nospor]

Czyli mogę jedynie napisać:
Skrypt X firmy Y jest podatny na atak SQLInjection.

i tylko tyle? Zaraz mnie oskarżą o fałszywe składanie zeznań (IMG:style_emoticons/default/wink.gif)

Powód edycji: [nospor]:

[pyro]

Jeżeli nie skłamałeś i luka istnieje to w jaki sposób mają Cię oskarżyć o fałszywe składanie zeznań?

[nospor]

No zaraz napiszą, że to nie prawda, że kłamca a ja mam związane ręcę i nie mogę tego udowodnić.

Ale może też być zupełnie na odwrót: a skad wiesz, grzebałeś w naszym systemie? Lecimy do sądu.

[pyro]

@nospor, nie rozumiem o jakim przypadku teraz mówisz. Masz ten kod skryptu czy nie? Znalazłeś go na stronie czy gdzie? O jakim dokładnie przypadku mówisz?

[b4rt3kk]

Zaraz mnie oskarżą o fałszywe składanie zeznań (IMG:style_emoticons/default/wink.gif)

Co najwyżej o pomówienie lub działanie na szkodę. Bo żadnych zeznań składać na policji nie będziesz, to sprawa cywilna. Chyba, że przed sądem zeznasz nieprawdę to wtedy licz się z tym, że możesz pójść na odsiadkę do lat 2-ch. (IMG:style_emoticons/default/smile.gif)

[!*!]

@nospor - to zawsze wygląda tak samo.

1. odkrycie luki
2. kontakt z producentem
- gdy ten Cie olewa, kontakt z jego klientami
- gdy oni Cie olewają, powtarzasz punkt 2gi
3. ujawnienie błędu na blogasku, wpis do CV (IMG:style_emoticons/default/wink.gif) link jest opcjonalny, byleby prowadził do Twojego serwisu, a nie kogoś z zewnątrz
4. jak jesteś dobrym człowiekiem pokazujesz sposób jak to załatać

I tyle. O ile do klientów czy producenta nie pisałeś "siema ku***a, albo zapłacisz 20k zł do jutra, albo wyj*** ci baze a emaile do klientów upublicznimy" to wszytko jest w porządku (nie licząc postawy producenta).

edycja:

Już nie wspominając o fakcie ze ostrzegasz kolejnych potencjalnych klientów tego skryptu, żeby go nie kupowali. Działanie na szkodę producenta raczej nie przejdzie, bo luka nie jest wyssana z palca i można to udowodnić.

Ten post edytował !*! 19.06.2013, 14:36:25

[Spawnm]

A co byście zrobili z sytuacją gdzie po kontakcie z jakąś agencją robiącą strony, gdzie informuję że większość ich stron jest podatna na różne ataki, ci odpowiadają że uwzględnią to w kolejnych poprawkach swojego cms'a. Jednak starych klientów u których zlokalizowaliście luki, olewają. Kontaktować się z klientami tych stron, czy jeszcze raz rozpocząć rozmowę z agencją, czy mają zamiar zaktualizować strony klientów?


Dodam że agencja nie sprzedaje pudełkowych rozwiązań, a ja nie mam ich kodu. Tak coś z nudów macałem ich portfolio i znalazłem masę dziur.

[com]

W zasadzie to wszystko zależy od tego na kogo trafisz, bo ingerencja w kod źródłowy oprogramowania, które nie zostało upublicznione na licencji upoważniającej Cie do jego rozpowszechniania i dokonywania zmian, jest naruszeniem prawa autorskiego. Tego typu działanie ma nawet własna nazwę http://pl.wikipedia.org/wiki/Cracking (http://pl.wikipedia.org/wiki/Cracker). Wiec jedynie dobrą wolą autora jest chęć współpracy z tobą i ale nie zwalnia to Cię z odpowiedzialności karnej... Ponieważ nawet zakup takowego oprogramowania nie daje Ci praw do jego modyfikacji, bo jedynie stajesz się posiadaczem licencji na to oprogramowanie, a właścicielem nadal jest podmiot który jest autorem dzieła.

#edit
Spawnm

Odpowiadając na twoje pytanie odpowiedź nie będzie jednoznaczna, bo z jednej strony widać zgodzili się na współpracę, to dobrze, jednakże w zasadzie to w ich kwestii powinno leżeć, aby wprowadzić tego typy poprawki na serwerach klienckich, jednakże skoro tego nie zrobili to można by się pokusić o to żeby samemu im zgłosić, ale tak jak wspomniałem wszelkie tego typu zmiany dokonywane przez osoby trzecie, są na granicy prawa... Dlatego trzeba by się zastanowić czy gra warta świeczki...

Ten post edytował com 19.06.2013, 15:21:16

[Spawnm]

No właśnie dwa serwisy są bardzo syte jeśli chodzi o markę i bardzo chętnie bym je przytulił, tylko pytanie co mi grozi jeśli na maila o dziurach z propozycją audytu/nowej strony postanowią zrobić aferę? Czy jeśli nie doszło do dewastacji to można w ogóle coś mi zrobić? Miewałem przypadki gdzie nawet po wyprowadzeniu danych z serwera(na dowód istnienia dziury) zgłaszałem luki i mi za to dziękowano, jednak nigdy nie robiłem tego w celach zarobkowych. A od dłuższego czasu przyglądam się tym stronką i mam na nie ochotę ;]

@b4rt3kk - jak taki przypadek widzi twój brat?

[solificati]

No właśnie dwa serwisy są bardzo syte jeśli chodzi o markę i bardzo chętnie bym je przytulił, tylko pytanie co mi grozi jeśli na maila o dziurach z propozycją audytu/nowej strony postanowią zrobić aferę? Czy jeśli nie doszło do dewastacji to można w ogóle coś mi zrobić? Miewałem przypadki gdzie nawet po wyprowadzeniu danych z serwera(na dowód istnienia dziury) zgłaszałem luki i mi za to dziękowano, jednak nigdy nie robiłem tego w celach zarobkowych. A od dłuższego czasu przyglądam się tym stronką i mam na nie ochotę ;]

Zasada jest prosta, jak uzyskałeś dostęp do czegoś czego nie powinieneś to złamałeś prawo, niezależnie od Twojego celu.
Jak powiesz właścicielowi "hej, macie dziurę taką, że mogę wejść" a on chce zrobić "aferę", to jedyne co możesz w sądzie zrobić to próbować udowodnić, że wykryłeś dziurę bez jej wykorzystywania (jak masz kod źródłowy to nie ma problemu). Na przykład "zauważyłem, że nie używacie tego i tego jak oglądałem wynik zapytania do serwera, to może oznaczać, że jeśli spreparowałbym zapytanie to mógłbym... ". Ale jak to w sądzie, nie wiadomo.

[memory]

Pewnie chodzi o to http://allegro.pl/portal-internetowy-najwy...3319239362.html
dziurawe jak sito na makaron, mojej babci

Jakiś przykład strony gdzie mogę poćwiczyć (IMG:style_emoticons/default/smile.gif)

[b4rt3kk]

@bartek
moje pytanie:
no właśnie, a jak prawnie wyglądałaby sprawa gdyby ktoś na swojej stronie napisał, że taki a taki portal/skrypt jest dziurawy jak ser szwajcarski, że jest podatny na taki czy owaki atak? Oczywiście nie ma tu mowy o żadnym włamie, a o prostym stwierdzeniu, że taki portal na dane ataki jest podatny

Drugie pytanie:
A co w przypadku gdy kupiliśmy na takiej aukcji ich skrypt, czyli defacto mamy jego kod źródłowy legalnie i na podstawie tego kody wykryliśmy x błędów bezpieczeństwa i je opublikowaliśmy.

W pierwszym wypadku jeśli opiszesz to zbyt szczegółowo to może być pomocnictwo i możesz wtedy odpowiadać karnie za to. Jeśli napiszesz że jest dziurawy to OK, ale jeśli napiszesz jak to wykorzystać to tak jak mówię możesz zostać pociągnięty do odpowiedzialności. W drugim przypadku to sprowadza się do tego samego. Umożliwiasz komuś dokonanie przestępstwa - włamanie na stronę i odpowiadasz za współudział. Brat przytoczył przykład to tak jakby strażnik bankowy sprzedał plany banku i na tej podstawie ktoś dokonał napadu.

No właśnie dwa serwisy są bardzo syte jeśli chodzi o markę i bardzo chętnie bym je przytulił, tylko pytanie co mi grozi jeśli na maila o dziurach z propozycją audytu/nowej strony postanowią zrobić aferę? Czy jeśli nie doszło do dewastacji to można w ogóle coś mi zrobić? Miewałem przypadki gdzie nawet po wyprowadzeniu danych z serwera(na dowód istnienia dziury) zgłaszałem luki i mi za to dziękowano, jednak nigdy nie robiłem tego w celach zarobkowych. A od dłuższego czasu przyglądam się tym stronką i mam na nie ochotę ;]

@b4rt3kk - jak taki przypadek widzi twój brat?

Jeśli odezwiesz się do klienta i powiesz że jego serwis jest dziurawy i że możesz to naprawić za pieniądze to jest to legalne (skoro autor skryptu się nie interesuje). Ale włamanie się i przedstawienie danych z ich własnej strony jest nielegalne i każdy rodzaj włamania, nieautoryzowanego dostępu jest przestępstwem i jest karalne, nawet w celu udowodnienia klientowi dziur systemu.

Art. 267 KK reguluje te kwestie:

art. 267
§ 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
§ 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.

Ten post edytował b4rt3kk 19.06.2013, 18:12:19

[nospor]

@nospor, nie rozumiem o jakim przypadku teraz mówisz. Masz ten kod skryptu czy nie? Znalazłeś go na stronie czy gdzie? O jakim dokładnie przypadku mówisz?

No tak, masz rację.
Jeśli mam kod pozyskany w legalny sposób to faktycznie sytuacja wygląda inaczej niż gdy lukę znajdziesz korzystając ze strony.

W drugim przypadku to sprowadza się do tego samego. Umożliwiasz komuś dokonanie przestępstwa - włamanie na stronę i odpowiadasz za współudział. Brat przytoczył przykład to tak jakby strażnik bankowy sprzedał plany banku i na tej podstawie ktoś dokonał napadu.

Jeśli już miałbym przyrównywać to bardziej jako strażnik banku napisałbym na kartce, które drzwi mają zepsuty zamek, a nie że podaję plany banku (IMG:style_emoticons/default/smile.gif)

Podsumowując: jak ktoś jest ryzykantem to niech ogłasza światu luki, a jak ktoś woli spokojnie spać to lepiej niech siedzi cicho.

bo ingerencja w kod źródłowy oprogramowania, które nie zostało upublicznione na licencji upoważniającej Cie do jego rozpowszechniania i dokonywania zmian, jest naruszeniem prawa autorskiego.

Wykrycie luki SQLINjection nie jest żadną ingerencją w kod źródłowy. Taką lukę można spokojnie wykryć nie widząc nigdy w życiu kodu źródłowego

Tego typu działanie ma nawet własna nazwę http://pl.wikipedia.org/wiki/Cracking (http://pl.wikipedia.org/wiki/Cracker).

Ta definicja mnie zawsze zastanawia

zajmująca się łamaniem zabezpieczeń

Jak można złamać coś, czego nie ma....

[pyro]

Tak pół tematem: Kiedyś ktoś w kodzie chyba że tak delikatnie ujmę nie znał się na tworzeniu aplikacji i chyba nie widział różnicy między komentarzami PHP a HTML i w kodzie strony widniało coś w stylu:

<!-- host:111.111.111.111:3306 login: xxx hasło: yyy -->

Po numerze portu chyba nietrudno się domyśleć do czego to dane. Oczywiście z niedowierzaniem w tak olbrzymią cudzą głupotę musiałem to sprawdzić i się zalogować... zadziałało. Czyli poza podaniem danych serwer miał jeszcze zezwolone logowanie z nielokalnych hostów. A był to sklep internetowy (IMG:style_emoticons/default/czarodziej.gif)

// EDIT

Oczywiście jak powiadomiłem o tym administrację od razu zaczęli im grozić policją, że mają moje IP w logach (przy logowaniu do mysql) itp / itd (IMG:style_emoticons/default/wink.gif)

Ten post edytował pyro 20.06.2013, 08:40:08

[!*!]

@pyro i jak to się skończyło? Jak ktoś grozi policją to trzeba umieć z kimś takim rozmawiać, zabawne staje się ich tłumaczenie gdy usłyszą o kontroli GIODO czy innych urzędach. Jeśli już jesteśmy przy takich sprawach, tu nawet nie chodzi o serwisy internetowe, bo to chyba skrajne przypadki... Większy problem widzę w sieciach osiedlowych i udostępnianiu dysków w windows na zewnątrz... Głupia sprawa jak duża hurtownia udostępnia dane od księgowej, klientach i pokazuje swoje rachunki na dysku...

[pyro]

@pyro i jak to się skończyło?

Pozdrowieniami z mojej strony i życzeniem sukcesów w sądzie ;)

[b4rt3kk]

Pozdrowieniami z mojej strony i życzeniem sukcesów w sądzie (IMG:style_emoticons/default/wink.gif)

Jakby zgłosili sprawę to bez problemu by wygrali. Mieli logi? Zapewne mieli. Maile od Ciebie również. Udowodnić winę nie byłoby trudno.

[!*!]

Jakby zgłosili sprawę to bez problemu by wygrali. Mieli logi? Zapewne mieli. Maile od Ciebie również. Udowodnić winę nie byłoby trudno.

Narobiliby sobie kłopotów prędzej.

[pyro]

Jakby zgłosili sprawę to bez problemu by wygrali. Mieli logi? Zapewne mieli. Maile od Ciebie również. Udowodnić winę nie byłoby trudno.

Nawet jakby rzeczywiście w logach były moje dane to byłoby im trudno. Ale czy ja gdziekolwiek wspomniałem, że w tych logach są moje dane?

[b4rt3kk]

Nawet jakby rzeczywiście w logach były moje dane to byłoby im trudno. Ale czy ja gdziekolwiek wspomniałem, że w tych logach są moje dane?

No skoro połączyłeś się z ich bazą. (IMG:style_emoticons/default/smile.gif)

[pyro]

@b4rt3kk, chyba nie mamy o czym gadać. Raczej tylko programiści zrozumieją ;p

[phpion]

Witam ponownie.

Aktualnie sprawa wygląda tak: skontaktowałem się z autorem skryptu proponując kwotę X zł netto za informacje + poprawę błędu. W odpowiedzi otrzymałem, że może to być kwota Y zł brutto. Odpisałem, że zgadzam się, ale żeby to była kwota netto (FV). Na tym "negocjacje" się zakończyły, rozumiem, że autor nie jest zainteresowany wyeliminowaniem błędu.

Zebrałem zatem kilkadziesiąt adresów stron, opartych na tym lub innym systemie tej firmy. Planuję skontaktować się bezpośrednio z klientami proponując usunięcie błędu. Nie mam jednak 100% pewności, że w danej wersji skryptu błąd również występuje. Jest to bardzo prawdopodobne, ale bez fizycznej próby jego wykorzystania nie jestem w stanie tego zweryfikować.

Moje pytanie zatem: czy jeśli napiszę do danego serwisu, że w wykorzystywanym przez nich oprogramowaniu może znajdować się krytyczny błąd w bezpieczeństwie, a okaże się, że takowego błędu nie ma, to czy autor skryptu może mieć w stosunku do mnie jakieś roszczenia (np. psucie wizerunku firmy)? Czy błąd jest czy go nie ma mógłbym stwierdzić jedynie po otrzymaniu zgody od danego serwisu na próbę dokonania włamania.

Pozdrawiam,
pion

[mar1aczi]

Czy błąd jest czy go nie ma mógłbym stwierdzić jedynie po otrzymaniu zgody od danego serwisu na próbę dokonania włamania.

Poproś o zgodę na przeprowadzenie testu bezpieczeństwa. Otrzymasz zgodę i stosowny dokument, nie będzie żadnego łamania prawa.

[phpion]

Tak, zgadza się. Chodzi mi jednak o to czy jeśli takowego błędu nie będzie w danej wersji oprogramowania, to czy jego autor mógłby mi zarzucić działanie na swoją szkodę, pomówienie, cokolwiek.

[memory]

phpion - tak.
Mało prawdopodobne, że zarobisz. Pierwsze co bym zrobił to zadzwonił do wykonawcy skryptu, że jakiś "gość" mi wmawia że system jest dziurawy. Kazał to poprawić.

[red.orel]

Błąd może występować, nie musi. Aktualnie posiadasz odpowiednie dowody nt. nie działania na niekorzyść firmy (posty na forum, korespondencja z firmą) itd. Jeśli się uprą to i tak sprawę do sądu skierują.

[Daiquiri]

Memory, na czym opierasz wniosek iż będzie to pomówienie? Jeżeli informujesz, iż luka występowała w poprzedniej wersji oprogramowania (a to jest fakt) i masz w związku z tym podstawy by sądzić, iż być może występuje nadal, a na życzenie klienta możesz przeprowadzić audyt bezpieczeństwa, aby to potwierdzić lub nie, to gdzie tu pomówienie? Zwłaszcza, iż najpierw zgłosił się do autora skryptu, tylko nie doszli do porozumienia w kwestii finansowej.

Pytanie brzmi, czy klienci tej firmy mogą pozwolić Ci na taki audyt.

[phpion]

Też mi się wydaje, że nikt raczej nie będzie mógł mi niczego zarzucić, ale wolę poddać to "dyskusji". Kwota jaką chcę zaproponować pojedynczemu klientowi to po prostu stawka godzinowa (sprawdzenie + zmiany zajmą godzinę) więc nie będą to przerażające koszty. Pełnego audytu nie będę robił, a jedynie sprawdzę istnienie tej znalezionej luki.

[Daiquiri]

Miałam na myśli to, czy licencja pozwala klientom na takie audytowanie (IMG:style_emoticons/default/smile.gif) .

[phpion]

A czy licencja musi na to pozwalać? Na pewno pozwala na ingerencję w kod w celu nanoszenia własnych modyfikacji.

[memory]

Daiquiri - jeżeli przeprowadzi audyt na życzenie klienta to wszystko ok.

[Daiquiri]

A czy licencja musi na to pozwalać? Na pewno pozwala na ingerencję w kod w celu nanoszenia własnych modyfikacji.

Miałam na myśli poprawki kodu (IMG:style_emoticons/default/smile.gif) .