Форум ''Интернет и Право''
17 Декабрь 2017, 10:11:36 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1]   Вниз
  Печать  
Автор Тема: вопрос специалистам  (Прочитано 3015 раз)
capablanka
Посетитель
*
Офлайн Офлайн

Сообщений: 2


С любовью к ближнему


« : 31 Март 2008, 14:37:38 »

Ситуация: захожу на сайт какой-нибудь коммерческой организации ООО "Рога и копыта". Совершенно случайно  Улыбающийся при наборе данных допускаю ошибку, которая вместо информации о деятельности всем известной фирмы "Рога и копыта" выводит на экран содержимое базы данных этого сайта, например, список пользователей. Т.е. сайт уязвим. Я, как честный гражданин, пишу на официальный адрес данной организации электронное письмо, в котором сообщаю:
1. что их сайт содержит уязвимость,
2. описываю последовательность действий (или набор данных) которые приводят к ошибке,
3. указываю, что информация о характере уязвимости, данные полученные в результате неправильной работы их сайта, не будут сохранены на любых носителях, переданы третьим лицам , или ещё как либо использованы.
4. указываю координаты фирмы, которая занимается поиском и исправлением уязвимостей Улыбающийся

Важные, на мой взгляд моменты:
1. в письме не будет никаких угроз по использованию данной уязвимости
2. будут указано, что я не могу дать рекомендаций по устранению данной уязвимости, т.к. не имею доступа к исходным кодам сайта
3. уязвимость будет найдена только вводом неправильных данных, никаких действий по сканированию удаленного компьютера, подбора паролей не будет.
4. данные о уязвимости не будут использованы, или переданы третьим лицам.
5. данные, которые будут выданы на экран при использовании уязвимости (например, список пользователей сайта и их пароли) не будут сохранены и не будут использованы или переданы третьим лицам.

Вопросы:
1. Насколько законны данные действия?
2. Если они не законны, есть ли методы ухода от ответственности?
 
Записан
Carolus
Участник
**
Офлайн Офлайн

Сообщений: 371


Нечем защищаться - бей кодексом!


E-mail
« Ответ #1 : 01 Апрель 2008, 21:17:39 »

В принципе, если владельцы сайта неадекватны, то у Вас могут быть проблемы. С другой стороны, не слышал ни одного случая привлечения к уголовной ответственности за SQL-инъекцию. Просто потому, что доказать умышленный ввод определённых символов весьма проблематично. Тем более, что результат вызван, скорее, не злоумышленником, а уязвимостью ресурса.

Хотя наличие на Вашем жёстком диске статей про такие инъекции несколько разрушают версию случайности нажатия. Хотя в нормальной стране это не явилось бы достаточным доказательством, но в нашей ... вон в Питере несостоявшихся "бомбистов" судят - так одним из важнейших доказательств умысла на теракт являются файлы с компьютера, рассказывающие о терактах.
Записан
capablanka
Посетитель
*
Офлайн Офлайн

Сообщений: 2


С любовью к ближнему


« Ответ #2 : 02 Апрель 2008, 03:06:43 »

Да, вы абсолютно правы, речь идёт о SQL-injection. Вероятность найти неадеквата мала, но она существует. К тому же есть вероятность, что когда-нибудь, этот ресурс кто-нибудь ломанёт (например троян какой-нибудь) и они про это письмо вспомнят.
Насколько я понимаю, хранить такие статьи на компьютере, закон не запрещает.
Если вопрос настолько сложен, посоветуйте к кому можно обратиться за советом.
Записан
Игорь Собецкий
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 361


С уважением, крепко жму горло...

793985
WWW E-mail
« Ответ #3 : 02 Апрель 2008, 12:50:43 »

До настоящего времени в РФ за SQL-инъекции к ответственности не привлекали. В особенности, в описанной ситуации. Так что на самом деле ничего такого страшного опасаться не надо. Владельцы сайта сопоставят сумму на стимулирование возбуждения уголовного дела с нанесённым им вредом... и идут залатывать дыру на сайте. Проблем быть не должно.
Совсем другое дело, если в подобной ситуации попытаться поиметь немножко денег с сайтовладельцев. Вот тут уже перспективы будут вполне уголовные.
Записан

Опять приходит с обыском конвой, опять нашли под полом пулемёт. Я думал, это тот же - нет, другой... Какая сволочь их туда кладёт?!
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #4 : 07 Апрель 2008, 17:59:52 »

1. что их сайт содержит уязвимость,
2. описываю последовательность действий (или набор данных) которые приводят к ошибке,
3. указываю, что информация о характере уязвимости, данные полученные в результате неправильной работы их сайта, не будут сохранены на любых носителях, переданы третьим лицам , или ещё как либо использованы.
4. указываю координаты фирмы, которая занимается поиском и исправлением уязвимостей Улыбающийся
Именно таким способом некоторые умники пытались заработать денег в конце 1990-х. Не удалось.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
f_s_b_37
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 46


голодный студет

1522235
« Ответ #5 : 09 Апрель 2008, 00:31:33 »

Цитировать
Именно таким способом некоторые умники пытались заработать денег в конце 1990-х. Не удалось.
Ну там ситуация была несколько иная - проглядывался банальный шантаж. Тут же насколько я понял, лишь координаты фирмы, оставленые в  надежде, что получатель письма решит обратиться к ней за помощью в исправлении уязвимости, либо для проведения аудита (а точнее тестов на проникновение) целевой системы, без всяких намеков, на какие-то действия, в случае необращения...
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #6 : 09 Апрель 2008, 03:12:16 »

Угадайте кому милиция будет двери ломать, если, скажем, через неделю после получения подобного письма, чисто случайно, у владельца "упадет сайт"?

 Смеющийся Смеющийся Смеющийся
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #7 : 09 Апрель 2008, 11:12:34 »

Цитировать
Именно таким способом некоторые умники пытались заработать денег в конце 1990-х. Не удалось.
Ну там ситуация была несколько иная - проглядывался банальный шантаж. Тут же насколько я понял, лишь координаты фирмы, оставленые в  надежде, что получатель письма решит обратиться к ней за помощью в исправлении уязвимости, либо для проведения аудита (а точнее тестов на проникновение) целевой системы, без всяких намеков, на какие-то действия, в случае необращения...
Я имел в виду как раз такие случаи, когда шантажа и в помине нет. А описание уязвимости играет роль рекламного подарка. Оказалось, что такая реклама не способствует обращению в рекламируемую фирму. Азы рекламного дела: нельзя говорить клиенту о его недостатках.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
chernov_valera
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 44


295301702
E-mail
« Ответ #8 : 27 Май 2008, 17:05:57 »

Ситуация: захожу на сайт какой-нибудь коммерческой организации ООО "Рога и копыта". Совершенно случайно  Улыбающийся при наборе данных допускаю ошибку, которая вместо информации о деятельности всем известной фирмы "Рога и копыта" выводит на экран содержимое базы данных этого сайта, например, список пользователей. Т.е. сайт уязвим. Я, как честный гражданин, пишу на официальный адрес данной организации электронное письмо, в котором сообщаю:
1. что их сайт содержит уязвимость,
2. описываю последовательность действий (или набор данных) которые приводят к ошибке,
3. указываю, что информация о характере уязвимости, данные полученные в результате неправильной работы их сайта, не будут сохранены на любых носителях, переданы третьим лицам , или ещё как либо использованы.
4. указываю координаты фирмы, которая занимается поиском и исправлением уязвимостей Улыбающийся

Важные, на мой взгляд моменты:
1. в письме не будет никаких угроз по использованию данной уязвимости
2. будут указано, что я не могу дать рекомендаций по устранению данной уязвимости, т.к. не имею доступа к исходным кодам сайта
3. уязвимость будет найдена только вводом неправильных данных, никаких действий по сканированию удаленного компьютера, подбора паролей не будет.
4. данные о уязвимости не будут использованы, или переданы третьим лицам.
5. данные, которые будут выданы на экран при использовании уязвимости (например, список пользователей сайта и их пароли) не будут сохранены и не будут использованы или переданы третьим лицам.

Вопросы:
1. Насколько законны данные действия?
2. Если они не законны, есть ли методы ухода от ответственности?
 
Интересный вопрос, но он имеет на мой взгляд совсем другую цель от указанной выше. Вроде как человек описывает, что все пушисто и гладко и он, совсем "случайно", путем нажатия на клавиатуру набрал одну из милиарда  возможных комбинаций ту единственную которая приводит к описанной уязвимости, но что интересно в этом тут же он предлагает обратиться к определенным людям которые знают как устранить эту беду. Из этого сразу видно что он из корыстных побуждений все это забодяжил и на перед просчитывает варианты как ему уйти от ответственности в случае если у него ничего не выйдет. В чем прикол если откатить все на некоторое время назад, то из логов этого сайта все прекрасно будет видно как этот самый товарищь  осуществлял взлом сайта путем подбора заветной строчки информацию о которой он получил из определенных источников. И что самое интересное если молодой человек уже говорит об этом значит он уже совершил все эти действия и думает как поступить дальше и стоит ли ему извлечь из этого выгоду и значит он уже подпадает под действия ст.272 УК РФ так как уже получил информацию о паролях у абонентов и вопрос времени использует ли он ее или забудет все пока не поздно. Мой совет если ты уж сделал эти действия и к тебе до сих пор не пришли то уж молчи об этом и не распространяйся про свои действия иначе можешь влететь!
Записан

Вор должен сидеть!
Страниц: [1]   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2017. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).
Rambler's Top100

Произвольная ссылка:

Powered by SMF 1.1.21 | SMF © 2011, Simple Machines