Название: вопрос специалистам Отправлено: capablanka от 31 Марта 2008, 14:37:38 Ситуация: захожу на сайт какой-нибудь коммерческой организации ООО "Рога и копыта". Совершенно случайно :) при наборе данных допускаю ошибку, которая вместо информации о деятельности всем известной фирмы "Рога и копыта" выводит на экран содержимое базы данных этого сайта, например, список пользователей. Т.е. сайт уязвим. Я, как честный гражданин, пишу на официальный адрес данной организации электронное письмо, в котором сообщаю:
1. что их сайт содержит уязвимость, 2. описываю последовательность действий (или набор данных) которые приводят к ошибке, 3. указываю, что информация о характере уязвимости, данные полученные в результате неправильной работы их сайта, не будут сохранены на любых носителях, переданы третьим лицам , или ещё как либо использованы. 4. указываю координаты фирмы, которая занимается поиском и исправлением уязвимостей :) Важные, на мой взгляд моменты: 1. в письме не будет никаких угроз по использованию данной уязвимости 2. будут указано, что я не могу дать рекомендаций по устранению данной уязвимости, т.к. не имею доступа к исходным кодам сайта 3. уязвимость будет найдена только вводом неправильных данных, никаких действий по сканированию удаленного компьютера, подбора паролей не будет. 4. данные о уязвимости не будут использованы, или переданы третьим лицам. 5. данные, которые будут выданы на экран при использовании уязвимости (например, список пользователей сайта и их пароли) не будут сохранены и не будут использованы или переданы третьим лицам. Вопросы: 1. Насколько законны данные действия? 2. Если они не законны, есть ли методы ухода от ответственности? Название: Re:вопрос специалистам Отправлено: Carolus от 01 Апреля 2008, 21:17:39 В принципе, если владельцы сайта неадекватны, то у Вас могут быть проблемы. С другой стороны, не слышал ни одного случая привлечения к уголовной ответственности за SQL-инъекцию. Просто потому, что доказать умышленный ввод определённых символов весьма проблематично. Тем более, что результат вызван, скорее, не злоумышленником, а уязвимостью ресурса.
Хотя наличие на Вашем жёстком диске статей про такие инъекции несколько разрушают версию случайности нажатия. Хотя в нормальной стране это не явилось бы достаточным доказательством, но в нашей ... вон в Питере несостоявшихся "бомбистов" судят - так одним из важнейших доказательств умысла на теракт являются файлы с компьютера, рассказывающие о терактах. Название: Re:вопрос специалистам Отправлено: capablanka от 02 Апреля 2008, 03:06:43 Да, вы абсолютно правы, речь идёт о SQL-injection. Вероятность найти неадеквата мала, но она существует. К тому же есть вероятность, что когда-нибудь, этот ресурс кто-нибудь ломанёт (например троян какой-нибудь) и они про это письмо вспомнят.
Насколько я понимаю, хранить такие статьи на компьютере, закон не запрещает. Если вопрос настолько сложен, посоветуйте к кому можно обратиться за советом. Название: Re:вопрос специалистам Отправлено: Игорь Собецкий от 02 Апреля 2008, 12:50:43 До настоящего времени в РФ за SQL-инъекции к ответственности не привлекали. В особенности, в описанной ситуации. Так что на самом деле ничего такого страшного опасаться не надо. Владельцы сайта сопоставят сумму на стимулирование возбуждения уголовного дела с нанесённым им вредом... и идут залатывать дыру на сайте. Проблем быть не должно.
Совсем другое дело, если в подобной ситуации попытаться поиметь немножко денег с сайтовладельцев. Вот тут уже перспективы будут вполне уголовные. Название: Re:вопрос специалистам Отправлено: Николай Николаевич Федотов от 07 Апреля 2008, 17:59:52 1. что их сайт содержит уязвимость, Именно таким способом некоторые умники пытались заработать денег в конце 1990-х. Не удалось.2. описываю последовательность действий (или набор данных) которые приводят к ошибке, 3. указываю, что информация о характере уязвимости, данные полученные в результате неправильной работы их сайта, не будут сохранены на любых носителях, переданы третьим лицам , или ещё как либо использованы. 4. указываю координаты фирмы, которая занимается поиском и исправлением уязвимостей :) Название: Re:вопрос специалистам Отправлено: f_s_b_37 от 09 Апреля 2008, 00:31:33 Цитировать Именно таким способом некоторые умники пытались заработать денег в конце 1990-х. Не удалось. Ну там ситуация была несколько иная - проглядывался банальный шантаж. Тут же насколько я понял, лишь координаты фирмы, оставленые в надежде, что получатель письма решит обратиться к ней за помощью в исправлении уязвимости, либо для проведения аудита (а точнее тестов на проникновение) целевой системы, без всяких намеков, на какие-то действия, в случае необращения...Название: Re:вопрос специалистам Отправлено: Igor Michailov от 09 Апреля 2008, 03:12:16 Угадайте кому милиция будет двери ломать, если, скажем, через неделю после получения подобного письма, чисто случайно, у владельца "упадет сайт"?
;D ;D ;D Название: Re:вопрос специалистам Отправлено: Николай Николаевич Федотов от 09 Апреля 2008, 11:12:34 Цитировать Именно таким способом некоторые умники пытались заработать денег в конце 1990-х. Не удалось. Ну там ситуация была несколько иная - проглядывался банальный шантаж. Тут же насколько я понял, лишь координаты фирмы, оставленые в надежде, что получатель письма решит обратиться к ней за помощью в исправлении уязвимости, либо для проведения аудита (а точнее тестов на проникновение) целевой системы, без всяких намеков, на какие-то действия, в случае необращения...Название: Re:вопрос специалистам Отправлено: chernov_valera от 27 Мая 2008, 17:05:57 Ситуация: захожу на сайт какой-нибудь коммерческой организации ООО "Рога и копыта". Совершенно случайно :) при наборе данных допускаю ошибку, которая вместо информации о деятельности всем известной фирмы "Рога и копыта" выводит на экран содержимое базы данных этого сайта, например, список пользователей. Т.е. сайт уязвим. Я, как честный гражданин, пишу на официальный адрес данной организации электронное письмо, в котором сообщаю: Интересный вопрос, но он имеет на мой взгляд совсем другую цель от указанной выше. Вроде как человек описывает, что все пушисто и гладко и он, совсем "случайно", путем нажатия на клавиатуру набрал одну из милиарда возможных комбинаций ту единственную которая приводит к описанной уязвимости, но что интересно в этом тут же он предлагает обратиться к определенным людям которые знают как устранить эту беду. Из этого сразу видно что он из корыстных побуждений все это забодяжил и на перед просчитывает варианты как ему уйти от ответственности в случае если у него ничего не выйдет. В чем прикол если откатить все на некоторое время назад, то из логов этого сайта все прекрасно будет видно как этот самый товарищь осуществлял взлом сайта путем подбора заветной строчки информацию о которой он получил из определенных источников. И что самое интересное если молодой человек уже говорит об этом значит он уже совершил все эти действия и думает как поступить дальше и стоит ли ему извлечь из этого выгоду и значит он уже подпадает под действия ст.272 УК РФ так как уже получил информацию о паролях у абонентов и вопрос времени использует ли он ее или забудет все пока не поздно. Мой совет если ты уж сделал эти действия и к тебе до сих пор не пришли то уж молчи об этом и не распространяйся про свои действия иначе можешь влететь!1. что их сайт содержит уязвимость, 2. описываю последовательность действий (или набор данных) которые приводят к ошибке, 3. указываю, что информация о характере уязвимости, данные полученные в результате неправильной работы их сайта, не будут сохранены на любых носителях, переданы третьим лицам , или ещё как либо использованы. 4. указываю координаты фирмы, которая занимается поиском и исправлением уязвимостей :) Важные, на мой взгляд моменты: 1. в письме не будет никаких угроз по использованию данной уязвимости 2. будут указано, что я не могу дать рекомендаций по устранению данной уязвимости, т.к. не имею доступа к исходным кодам сайта 3. уязвимость будет найдена только вводом неправильных данных, никаких действий по сканированию удаленного компьютера, подбора паролей не будет. 4. данные о уязвимости не будут использованы, или переданы третьим лицам. 5. данные, которые будут выданы на экран при использовании уязвимости (например, список пользователей сайта и их пароли) не будут сохранены и не будут использованы или переданы третьим лицам. Вопросы: 1. Насколько законны данные действия? 2. Если они не законны, есть ли методы ухода от ответственности? |