Pobranie opłaty za wykrycie luk Opcje

[cornholio666]

Witam,

czy zgodne z prawem jest zaproponowanie firmie X wskazanie dziur w oprogramowaniu w zamian za pieniądze ?

Pozdrawiam

[mike]

Przypadek na który się powołujecie to szaleństwo. Aż sobie przeczytałem te artykuły kolejny (chyba już dziesiąty raz) i:

1.

Przeglądając źródło strony zauważyłem, że są tam liczne błędy, po czym wpisałem w formularz do logowania następujący ciąg znaków: ' or 1=1;-- Spowodowało to, że zostałem zalogowany na konto losowego użytkownika.

Powiedzcie mi drodzy wyznawcy prawdy jedynej do czego służy formularz logowania? Otóż powiem Wam bo może nie wiecie, nie wie chyba nasz kochany bohater bo cała jego obrona polega na wmawianiu, że nie przełamał żadnych zabezpieczeń.
Formularz logowania (ogólnie logowanie) jest to mechanizm mający na celu zweryfikowanie użytkownika i w przypadku poprawnej weryfikacji nadanie mu odpowiednich praw pozwalających na dostęp do treści, do których nie ma osoba niezalogowana.

A co nasz bohater zrobił? Zmylił mechanizm logowania (wpłynął na jego funkcjonowanie) i dzięki temu w nieuczciwy sposób uzyskał dostep do danych chronionych.
No przepraszam ale jeśli formularza logowania nie uznajemy za zabezpieczenie to ja przepraszam.

Już tu można olać sprawę, ale idźmy dalej.

2.

Kod

Po pewnym czasie skontaktował się ze mną dyrektor firmy projektującej te strony. Przesłał mi umowę-zlecenie, umowę o współpracy a także umowę o zachowaniu poufności.

Grubymi nićmi szyte. Załóżmy (no nic innego nie możemy zrobić), najbardziej logiczną wersję zdarzeń. Umowa dotyczyła zlecenia wykrycia lub naprawienia wykrytych dziur (nie wiadomo). Strony podpisują i co? I jeśli koleś podpisał coś co miało relację z rzeczywistością to wpada policja a on pokazuje papier i mówi, że działa na zlecenie. Tak się nie stało. Co więc podpisał? Pewnie nic bo później czytamy:

Gdy przyjechałem, po krótkiej rozmowie, wyciągnięciu ode mnie informacji jak naprawić błędy, podsunięto mi umowę o poufności, którą podpisałem. Wtedy została wezwana policja, która czekała w pokoju obok. Pozostałe umowy nie zostały podpisane. Bez podania zarzutów zostałem skuty, przeszukany i zabrany na komisariat.

I tu po pierwsze wrócą do słowa frajer (delikatnych odsyłam do słownika, frajer to potocznie osoba naiwna). Najpierw zawiera się umowę, później się ją realizuje. A nie odwrotnie. Po drugie policja nie ma praw zatrzymać kogokolwiek bez podania zarzutów. Brzmi to jak jęczenie pięciolatka. "Wpadli starszaki do piaskownicy i zabrali mi lizaka."

Idziemy dalej:

3.Jeden biegły:

Ciekawsze i więcej wnoszące do sprawy wydają się kolejne pytania, w odpowiedzi na które biegły stwierdza, że na zabezpieczonych dyskach nie ma programów służących do przełamywania zabezpieczeń. Jednak najistotniejsze jest to, że biegły stwierdził, iż nie doszło do przełamania zabezpieczeń serwera, o co wytrwale oskarża mnie Pani Prokurator.

I ... drugi biegły:

Zaskakujące wydaje się w nim stwierdzenie Pani Prokurator, iż przeprowadzone w toku postępowania czynności w tym przesłuchanie świadków jak również opinia biegłego pozwoliły na ustalenie, że „przełamałem elektroniczne zabezpieczenia serwera” ((IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif) !) co całkowicie nie zgadza się z opinią biegłego, który jednoznacznie napisał, że do przełamania zabezpieczeń nie doszło!

To jak to jest? Ilu biegłych było? Który był biegłym sądowym, który opiniował na rzecz prokuratury? Czy obaj byli wpisani na listę biegłych sądowych? Nie wiem. Mamy tylko jakiś mdłe pseudo-fakty.
A rzeczywistość jest taka, że przed sądem biegłego powołuje ... sąd. Na wniosek jednej (lub obu) ze stron. Prokuratura mogła podeprzeć się co najwyżej opinią rzeczoznawcy. Sąd może ale nie musi nawet czytać tego co on opiniuje. W przypadkach spornych powoływany jest biegły sądowy. No chyba że bohater właśnie jego opinię podważa.

4. Teraz trochę humoru.

Chciałbym zwrócić uwagę choćby na samą definicję SQL Injection:

I tu pada definicja z .... wikipedii. Nie mam komentarza.

5. Na końcu bohater powołuje się na dwa cytatu osób, które sa większymi autorytetami praw niż razem wszyscy tutaj wzięci i które to opinie w moich oczach pogrążają bohatera:

Reasumując, o popełnieniu przestępstwa określonego w art. 267 par 1 kk decyduje sposób uzyskania zastrzeżonej informacji, nie zaś samo jej uzyskanie. Jeżeli następuje to bez przełamywania zabezpieczeń

Nie można natomiast uznać za przełamanie zabezpieczenia obejścia mechanizmów lub procedur postępowania uniemożliwiających zapoznanie się z informacją osób nieuprawnionych. Przełamanie zabezpieczenia następuje wyłącznie wówczas, gdy sprawca swoim działaniem wpływa na funkcjonowanie tego zabezpieczenia.

I wracamy do punktu wyjścia. Autor afery przełamał zabezpieczenia swoim działaniem. Informacje, do których dostęp uzyskał były dostępne (najprawdopodobniej) po przejściu autoryzacji. Bohater oszukał ten system a wstrzykując mu SQLa zmienił sposób jego funkcjonowania. Więc o co chodzi?


To wszystko to tylko moja ocena. Pozostaje mi tylko to co wyczytałem. Ja również czytuję Vagla ale zwykłem sobie wypracować swoje zdanie. Zresztą Vagla również ocenia sprawę zdawkowo na podstawie tego co zna. A zna relację tylko jednej ze stron.

[LonelyKnight]

1.A co nasz bohater zrobił? Zmylił mechanizm logowania (wpłynął na jego funkcjonowanie) i dzięki temu w nieuczciwy sposób uzyskał dostep do danych chronionych. No przepraszam ale jeśli formularza logowania nie uznajemy za zabezpieczenie to ja przepraszam.

Hymm... a do czego służy pole "text" html'a? Do wpisywania literek z A-z? Wpisanie wyłącznie apostrofu jest według Ciebie złamaniem zabezpieczenia? Wpisanie czegokolwiek w takie pole, według mnie nie jest łamaniem zabezpieczeń - bo programiści wstawiając je na stronę przewidzieli jakie dane tam mogą zostać wpisane i zapewne odpowiednio skonstruowali swoją aplikację (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Dla mnie to zrzucanie odpowiedzialności z, delikatnie mówiąc, niedouczonych programistów...

2.

Kod

Po pewnym czasie skontaktował się ze mną dyrektor firmy projektującej te strony. Przesłał mi umowę-zlecenie, umowę o współpracy a także umowę o zachowaniu poufności.

Grubymi nićmi szyte. Załóżmy (no nic innego nie możemy zrobić), najbardziej logiczną wersję zdarzeń. Umowa dotyczyła zlecenia wykrycia lub naprawienia wykrytych dziur (nie wiadomo). Strony podpisują i co? I jeśli koleś podpisał coś co miało relację z rzeczywistością to wpada policja a on pokazuje papier i mówi, że działa na zlecenie. Tak się nie stało. Co więc podpisał?

Chyba jest jasno napisane - umowę o zachowaniu poufności - tzn. że nie będzie klepał w mediach o lukach. Poza tym była umową o pracę i umowa zlecenie, które zostały zabrane po podpisaniu tej pierwszej.

Pewnie nic bo później czytamy:I tu po pierwsze wrócą do słowa frajer (delikatnych odsyłam do słownika, frajer to potocznie osoba naiwna). Najpierw zawiera się umowę, później się ją realizuje. A nie odwrotnie. Po drugie policja nie ma praw zatrzymać kogokolwiek bez podania zarzutów. Brzmi to jak jęczenie pięciolatka. "Wpadli starszaki do piaskownicy i zabrali mi lizaka."

Chłopie, wierzysz w to co piszesz? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) W tej sprawie ze strony policji padały groźby, zatrzymani zostali rodzice chłopaka!, został zakuty (też nie mieli prawa), niewylegitymowany (wskazał go palcem dyrektor firmy), a na pytanie o zarzuty padło tylko "ty nam to powiesz".

3.Jeden biegły:I ... drugi biegły:To jak to jest? Ilu biegłych było? Który był biegłym sądowym, który opiniował na rzecz prokuratury? Czy obaj byli wpisani na listę biegłych sądowych? Nie wiem. Mamy tylko jakiś mdłe pseudo-fakty.
A rzeczywistość jest taka, że przed sądem biegłego powołuje ... sąd. Na wniosek jednej (lub obu) ze stron. Prokuratura mogła podeprzeć się co najwyżej opinią rzeczoznawcy. Sąd może ale nie musi nawet czytać tego co on opiniuje. W przypadkach spornych powoływany jest biegły sądowy. No chyba że bohater właśnie jego opinię podważa.

I znowu chyba nie wiesz o czym piszesz. Prokurator może powołać biegłego (biegłego sądowego, żeby nie było wątpliwości), który wyda opinię będącą dowodem w sprawie. Poza tym ani sąd ani prokuratura nie musi prosić o jakiś wniosek, którejkolwiek ze stron. Sąd, jeśli uzna za konieczne, powołanie biegłego to robi to. ...a rzeczoznawca zajmuję się zazwyczaj wycenami a nie wydawaniem opinii.

4. Teraz trochę humoru.I tu pada definicja z .... wikipedii. Nie mam komentarza.

A co w tej definicji jest nieprawdziwego, naciągniętego, "nieprofesjonalnego"? Jest zła? PWN niestety o SQL Injection nie pisze.

Vagla również ocenia sprawę zdawkowo na podstawie tego co zna. A zna relację tylko jednej ze stron.

Vagla zapewne ma świadomość, iż opis sytuacji nie jest naciągany. Pewnie ma kontakt z adwokatem (adw. Artur Kmieciak), który broni chłopaka, a ten pewnie widział dokumenty (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[mike]

Hymm... a do czego służy pole "text" html'a? Do wpisywania literek z A-z? Wpisanie wyłącznie apostrofu jest według Ciebie złamaniem zabezpieczenia? Wpisanie czegokolwiek w takie pole, według mnie nie jest łamaniem zabezpieczeń - bo programiści wstawiając je na stronę przewidzieli jakie dane tam mogą zostać wpisane i zapewne odpowiednio skonstruowali swoją aplikację (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Dla mnie to zrzucanie odpowiedzialności z, delikatnie mówiąc, niedouczonych programistów...

Powtarzam: Bohater celowo wpisał taki a nie inny kod. Zrobił to po to by oszukać system i jego oczekiwaniem było to, że operacja się powiedzie. Powiodła się a to kodeks definiuje jako wykroczenie. Z kim polemizujesz? Z kodeksem karnym?
Rozumiem żeby to była pani z okienka czy edek z krainy kredek który nie wie że taki działania może skutkować tak a nie inaczej. On wiedział i celowo to zrobił. Nie było tu żadnej przypadkowości czy nieumyślności działań.

Chyba jest jasno napisane - umowę o zachowaniu poufności - tzn. że nie będzie klepał w mediach o lukach. Poza tym była umową o pracę i umowa zlecenie, które zostały zabrane po podpisaniu tej pierwszej.

I znów frajer. Przecież w tej sytuacji łatwe byłoby do wykazania że szef proponował mu inne umowy. Przecież ma te wysłane wcześniej. Czy Oni mu zabrali?

Chłopie, wierzysz w to co piszesz? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) W tej sprawie ze strony policji padały groźby, zatrzymani zostali rodzice chłopaka!, został zakuty (też nie mieli prawa), niewylegitymowany (wskazał go palcem dyrektor firmy), a na pytanie o zarzuty padło tylko "ty nam to powiesz".

Przepraszam, mnie tam nie było. Ty byłeś? Znasz się z bohaterem? Ja nie, oceniam to co przeczytałem. Do innych informacji nie dotarłem. Jeśli pojawiły się błędy proceduralne (czytaj: jeśli zostaną udowodnione) to się o tym dowiemy. Na razie tego nie wiemy. Ani Ty, ani ja.

I znowu chyba nie wiesz o czym piszesz. Prokurator może powołać biegłego (biegłego sądowego, żeby nie było wątpliwości), który wyda opinię będącą dowodem w sprawie. Poza tym ani sąd ani prokuratura nie musi prosić o jakiś wniosek, którejkolwiek ze stron. Sąd, jeśli uzna za konieczne, powołanie biegłego to robi to. ...a rzeczoznawca zajmuję się zazwyczaj wycenami a nie wydawaniem opinii.

A wyobraź sobie, że wiem. Obaj nie jesteśmy prawnikami i możemy tak się przekonywać do usranej śmierci.
Każda ze stron może złożyć wniosek o powołanie biegłego. Są może taki wniosek uznać lub nie. Jeśli tego nie uzna znaczy to że nie ma powodu posiłkować się inną opinia niż własna - sądu. Ponadto opinie biegłych nie muszą być dowodami w sprawie. Sąd może również je uznać lub nie.
Możemy tak długo dywagować. Nie wyjaśnione jest tak czy inaczej dlaczego przed sądem pojawiły się dwie sprzeczne opinie biegłych. I dlaczego wątpliwości nie zostały usunięte.

A co w tej definicji jest nieprawdziwego, naciągniętego, "nieprofesjonalnego"? Jest zła? PWN niestety o SQL Injection nie pisze.

Nie ważne. Ważne jest to, że ten tekst nie ma podstaw prawnych a cytat z wikipedii nie jest i nic nie znaczy dla sądu. Wiesz ile sam debilizmów poprawiłem na Wikipedii? Dużo. A wiesz ile z nich wróciło? Równie dużo.

Vagla zapewne ma świadomość, iż opis sytuacji nie jest naciągany. Pewnie ma kontakt z adwokatem (adw. Artur Kmieciak), który broni chłopaka, a ten pewnie widział dokumenty (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Na końcu artykułu mamy napisane:

Od siebie dodam, że autor powyższego listu nie zgodził się na dobrowolne poddanie się karze, które mu zaproponowano. Nie jest reprezentowany przez adwokata. Broni się sam.

To jak to jest?

Powtarzam: To jest moja opinia wypracowana na podstawie dostarczonych (przeczytanych w artykułach) informacji. Spraw jest na chwilę obecną jednostronna i niewyjaśniona. Można bardzo długo bawić sie w "moim zdaniem". Ja również czekam na wyrok sądu bo jestem ciekaw rezultatu.

[LonelyKnight]

Powtarzam: Bohater celowo taki a nie inny kod. Zrobił to po to by oszukać system i jego oczekiwaniem było to, że operacja się powiedzie. Powiodła się a to kodeks definiuje jako wykroczenie. Z kim polemizujesz? Z kodeksem karnym?
Rozumiem żeby to była pani z okienka czy edek z krainy kredek który nie wie że taki działania może skutkować tak a nie inaczej. On wiedział i celowo to zrobił. Nie było tu żadnej przypadkowości czy nieumyślności działań.

Ciekawe. To są "równi i równiejsi"? Karać za wiedzę? Co z tego, że wiedział? Równie dobrze można posadzić część udzielających się w subforum "oceny". Ile razy było tam SQL Injection czy XSS? Za takie rzeczy powinien odpowiadać programista.

Kilka pytań, jeśli można (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

1. Czy wpisując w text'y, ' czy ' or 1=1, wykracza się poza zastosowanie tego typu pól?
2. Czy klikając w "wyślij" zakłóca się działanie aplikacji?
3. Czy powinno interesować usera co Twoja aplikacja robi z danymi?

...i na tym sprawa powinna się skończyć.

I znów frajer. Przecież w tej sytuacji łatwe byłoby do wykazania że szef proponował mu inne umowy. Przecież ma te wysłane wcześniej. Czy Oni mu zabrali?

Podczas rozmowy obecny był policjant przedstawiony jako informatyk, widział umowy, słyszał rozmowę, umowy są na zarekwirowanych komputerach... ale jakie to ma znaczenie w świetle art. 267?

Przepraszam, mnie tam nie było. Ty byłeś? Znasz się z bohaterem?

Owszem, znam.

Możemy tak długo dywagować. Nie wyjaśnione jest tak czy inaczej dlaczego przed sądem pojawiły się dwie sprzeczne opinie biegłych. I dlaczego wątpliwości nie zostały usunięte.

To nie tak. Prokuratura powołała biegłego, który stwierdził, że "nie doszło do łamania zabezpieczeń serwera". Natomiast prokurator zdecydowała się złożyć do sądu AO, w którym napisała, że "na podstawie opinii biegłego można stwierdzić iż doszło do łamania zabezpieczeń serwera". Niestety prokurator to święta krowa, praktycznie żadnej odpowiedzialności za rzucane oskarżenia.

Dlatego sąd uznał, iż potrzebna jest kolejna opinia i powołał drugiego biegłego, który jeszcze nie wydał opinii.

Nie ważne. Ważne jest to, że ten tekst nie ma podstaw prawnych a cytat z wikipedii nie jest i nic nie znaczy dla sądu. Wiesz ile sam debilizmów poprawiłem na Wikipedii? Dużo. A wiesz ile z nich wróciło? Równie dużo.

Jasne ale moim zdaniem def. SQL Injection jest ok. Poza tym na czymś sąd/biegli muszą się opierać. Książkach, publikacjach itp.

Na końcu artykułu mamy napisane:To jak to jest?

Przeczytaj komentarze. Adw. Kmieciak zaproponował obronę i robi to w interesie publicznym, za darmo.

Dla mnie sprawa wygląda tak.

Topowy koncern samochodowy, naprawdę "topowy" (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) posiada takie luki w serwisie. Daje dostęp do szczegółowych danych swoich klientów. Co zrobić? Znaleźć kozła ofiarnego. Po co przyznawać się do winy? Co znaczy słowo studenta przeciwko takiej firmie?

Ten post edytował LonelyKnight 30.04.2008, 16:48:29