Pobranie opłaty za wykrycie luk Opcje

[cornholio666]

Witam,

czy zgodne z prawem jest zaproponowanie firmie X wskazanie dziur w oprogramowaniu w zamian za pieniądze ?

Pozdrawiam

[mike]

Przypadek na który się powołujecie to szaleństwo. Aż sobie przeczytałem te artykuły kolejny (chyba już dziesiąty raz) i:

1.

Przeglądając źródło strony zauważyłem, że są tam liczne błędy, po czym wpisałem w formularz do logowania następujący ciąg znaków: ' or 1=1;-- Spowodowało to, że zostałem zalogowany na konto losowego użytkownika.

Powiedzcie mi drodzy wyznawcy prawdy jedynej do czego służy formularz logowania? Otóż powiem Wam bo może nie wiecie, nie wie chyba nasz kochany bohater bo cała jego obrona polega na wmawianiu, że nie przełamał żadnych zabezpieczeń.
Formularz logowania (ogólnie logowanie) jest to mechanizm mający na celu zweryfikowanie użytkownika i w przypadku poprawnej weryfikacji nadanie mu odpowiednich praw pozwalających na dostęp do treści, do których nie ma osoba niezalogowana.

A co nasz bohater zrobił? Zmylił mechanizm logowania (wpłynął na jego funkcjonowanie) i dzięki temu w nieuczciwy sposób uzyskał dostep do danych chronionych.
No przepraszam ale jeśli formularza logowania nie uznajemy za zabezpieczenie to ja przepraszam.

Już tu można olać sprawę, ale idźmy dalej.

2.

Kod

Po pewnym czasie skontaktował się ze mną dyrektor firmy projektującej te strony. Przesłał mi umowę-zlecenie, umowę o współpracy a także umowę o zachowaniu poufności.

Grubymi nićmi szyte. Załóżmy (no nic innego nie możemy zrobić), najbardziej logiczną wersję zdarzeń. Umowa dotyczyła zlecenia wykrycia lub naprawienia wykrytych dziur (nie wiadomo). Strony podpisują i co? I jeśli koleś podpisał coś co miało relację z rzeczywistością to wpada policja a on pokazuje papier i mówi, że działa na zlecenie. Tak się nie stało. Co więc podpisał? Pewnie nic bo później czytamy:

Gdy przyjechałem, po krótkiej rozmowie, wyciągnięciu ode mnie informacji jak naprawić błędy, podsunięto mi umowę o poufności, którą podpisałem. Wtedy została wezwana policja, która czekała w pokoju obok. Pozostałe umowy nie zostały podpisane. Bez podania zarzutów zostałem skuty, przeszukany i zabrany na komisariat.

I tu po pierwsze wrócą do słowa frajer (delikatnych odsyłam do słownika, frajer to potocznie osoba naiwna). Najpierw zawiera się umowę, później się ją realizuje. A nie odwrotnie. Po drugie policja nie ma praw zatrzymać kogokolwiek bez podania zarzutów. Brzmi to jak jęczenie pięciolatka. "Wpadli starszaki do piaskownicy i zabrali mi lizaka."

Idziemy dalej:

3.Jeden biegły:

Ciekawsze i więcej wnoszące do sprawy wydają się kolejne pytania, w odpowiedzi na które biegły stwierdza, że na zabezpieczonych dyskach nie ma programów służących do przełamywania zabezpieczeń. Jednak najistotniejsze jest to, że biegły stwierdził, iż nie doszło do przełamania zabezpieczeń serwera, o co wytrwale oskarża mnie Pani Prokurator.

I ... drugi biegły:

Zaskakujące wydaje się w nim stwierdzenie Pani Prokurator, iż przeprowadzone w toku postępowania czynności w tym przesłuchanie świadków jak również opinia biegłego pozwoliły na ustalenie, że „przełamałem elektroniczne zabezpieczenia serwera” ((IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif) !) co całkowicie nie zgadza się z opinią biegłego, który jednoznacznie napisał, że do przełamania zabezpieczeń nie doszło!

To jak to jest? Ilu biegłych było? Który był biegłym sądowym, który opiniował na rzecz prokuratury? Czy obaj byli wpisani na listę biegłych sądowych? Nie wiem. Mamy tylko jakiś mdłe pseudo-fakty.
A rzeczywistość jest taka, że przed sądem biegłego powołuje ... sąd. Na wniosek jednej (lub obu) ze stron. Prokuratura mogła podeprzeć się co najwyżej opinią rzeczoznawcy. Sąd może ale nie musi nawet czytać tego co on opiniuje. W przypadkach spornych powoływany jest biegły sądowy. No chyba że bohater właśnie jego opinię podważa.

4. Teraz trochę humoru.

Chciałbym zwrócić uwagę choćby na samą definicję SQL Injection:

I tu pada definicja z .... wikipedii. Nie mam komentarza.

5. Na końcu bohater powołuje się na dwa cytatu osób, które sa większymi autorytetami praw niż razem wszyscy tutaj wzięci i które to opinie w moich oczach pogrążają bohatera:

Reasumując, o popełnieniu przestępstwa określonego w art. 267 par 1 kk decyduje sposób uzyskania zastrzeżonej informacji, nie zaś samo jej uzyskanie. Jeżeli następuje to bez przełamywania zabezpieczeń

Nie można natomiast uznać za przełamanie zabezpieczenia obejścia mechanizmów lub procedur postępowania uniemożliwiających zapoznanie się z informacją osób nieuprawnionych. Przełamanie zabezpieczenia następuje wyłącznie wówczas, gdy sprawca swoim działaniem wpływa na funkcjonowanie tego zabezpieczenia.

I wracamy do punktu wyjścia. Autor afery przełamał zabezpieczenia swoim działaniem. Informacje, do których dostęp uzyskał były dostępne (najprawdopodobniej) po przejściu autoryzacji. Bohater oszukał ten system a wstrzykując mu SQLa zmienił sposób jego funkcjonowania. Więc o co chodzi?


To wszystko to tylko moja ocena. Pozostaje mi tylko to co wyczytałem. Ja również czytuję Vagla ale zwykłem sobie wypracować swoje zdanie. Zresztą Vagla również ocenia sprawę zdawkowo na podstawie tego co zna. A zna relację tylko jednej ze stron.

[LonelyKnight]

1.A co nasz bohater zrobił? Zmylił mechanizm logowania (wpłynął na jego funkcjonowanie) i dzięki temu w nieuczciwy sposób uzyskał dostep do danych chronionych. No przepraszam ale jeśli formularza logowania nie uznajemy za zabezpieczenie to ja przepraszam.

Hymm... a do czego służy pole "text" html'a? Do wpisywania literek z A-z? Wpisanie wyłącznie apostrofu jest według Ciebie złamaniem zabezpieczenia? Wpisanie czegokolwiek w takie pole, według mnie nie jest łamaniem zabezpieczeń - bo programiści wstawiając je na stronę przewidzieli jakie dane tam mogą zostać wpisane i zapewne odpowiednio skonstruowali swoją aplikację (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Dla mnie to zrzucanie odpowiedzialności z, delikatnie mówiąc, niedouczonych programistów...

2.

Kod

Po pewnym czasie skontaktował się ze mną dyrektor firmy projektującej te strony. Przesłał mi umowę-zlecenie, umowę o współpracy a także umowę o zachowaniu poufności.

Grubymi nićmi szyte. Załóżmy (no nic innego nie możemy zrobić), najbardziej logiczną wersję zdarzeń. Umowa dotyczyła zlecenia wykrycia lub naprawienia wykrytych dziur (nie wiadomo). Strony podpisują i co? I jeśli koleś podpisał coś co miało relację z rzeczywistością to wpada policja a on pokazuje papier i mówi, że działa na zlecenie. Tak się nie stało. Co więc podpisał?

Chyba jest jasno napisane - umowę o zachowaniu poufności - tzn. że nie będzie klepał w mediach o lukach. Poza tym była umową o pracę i umowa zlecenie, które zostały zabrane po podpisaniu tej pierwszej.

Pewnie nic bo później czytamy:I tu po pierwsze wrócą do słowa frajer (delikatnych odsyłam do słownika, frajer to potocznie osoba naiwna). Najpierw zawiera się umowę, później się ją realizuje. A nie odwrotnie. Po drugie policja nie ma praw zatrzymać kogokolwiek bez podania zarzutów. Brzmi to jak jęczenie pięciolatka. "Wpadli starszaki do piaskownicy i zabrali mi lizaka."

Chłopie, wierzysz w to co piszesz? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) W tej sprawie ze strony policji padały groźby, zatrzymani zostali rodzice chłopaka!, został zakuty (też nie mieli prawa), niewylegitymowany (wskazał go palcem dyrektor firmy), a na pytanie o zarzuty padło tylko "ty nam to powiesz".

3.Jeden biegły:I ... drugi biegły:To jak to jest? Ilu biegłych było? Który był biegłym sądowym, który opiniował na rzecz prokuratury? Czy obaj byli wpisani na listę biegłych sądowych? Nie wiem. Mamy tylko jakiś mdłe pseudo-fakty.
A rzeczywistość jest taka, że przed sądem biegłego powołuje ... sąd. Na wniosek jednej (lub obu) ze stron. Prokuratura mogła podeprzeć się co najwyżej opinią rzeczoznawcy. Sąd może ale nie musi nawet czytać tego co on opiniuje. W przypadkach spornych powoływany jest biegły sądowy. No chyba że bohater właśnie jego opinię podważa.

I znowu chyba nie wiesz o czym piszesz. Prokurator może powołać biegłego (biegłego sądowego, żeby nie było wątpliwości), który wyda opinię będącą dowodem w sprawie. Poza tym ani sąd ani prokuratura nie musi prosić o jakiś wniosek, którejkolwiek ze stron. Sąd, jeśli uzna za konieczne, powołanie biegłego to robi to. ...a rzeczoznawca zajmuję się zazwyczaj wycenami a nie wydawaniem opinii.

4. Teraz trochę humoru.I tu pada definicja z .... wikipedii. Nie mam komentarza.

A co w tej definicji jest nieprawdziwego, naciągniętego, "nieprofesjonalnego"? Jest zła? PWN niestety o SQL Injection nie pisze.

Vagla również ocenia sprawę zdawkowo na podstawie tego co zna. A zna relację tylko jednej ze stron.

Vagla zapewne ma świadomość, iż opis sytuacji nie jest naciągany. Pewnie ma kontakt z adwokatem (adw. Artur Kmieciak), który broni chłopaka, a ten pewnie widział dokumenty (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)