Форум ''Интернет и Право''

Основной раздел => Компьютерные преступления => Тема начата: capablanka от 31 Марта 2008, 14:37:38



Название: вопрос специалистам
Отправлено: capablanka от 31 Марта 2008, 14:37:38
Ситуация: захожу на сайт какой-нибудь коммерческой организации ООО "Рога и копыта". Совершенно случайно  :) при наборе данных допускаю ошибку, которая вместо информации о деятельности всем известной фирмы "Рога и копыта" выводит на экран содержимое базы данных этого сайта, например, список пользователей. Т.е. сайт уязвим. Я, как честный гражданин, пишу на официальный адрес данной организации электронное письмо, в котором сообщаю:
1. что их сайт содержит уязвимость,
2. описываю последовательность действий (или набор данных) которые приводят к ошибке,
3. указываю, что информация о характере уязвимости, данные полученные в результате неправильной работы их сайта, не будут сохранены на любых носителях, переданы третьим лицам , или ещё как либо использованы.
4. указываю координаты фирмы, которая занимается поиском и исправлением уязвимостей :)

Важные, на мой взгляд моменты:
1. в письме не будет никаких угроз по использованию данной уязвимости
2. будут указано, что я не могу дать рекомендаций по устранению данной уязвимости, т.к. не имею доступа к исходным кодам сайта
3. уязвимость будет найдена только вводом неправильных данных, никаких действий по сканированию удаленного компьютера, подбора паролей не будет.
4. данные о уязвимости не будут использованы, или переданы третьим лицам.
5. данные, которые будут выданы на экран при использовании уязвимости (например, список пользователей сайта и их пароли) не будут сохранены и не будут использованы или переданы третьим лицам.

Вопросы:
1. Насколько законны данные действия?
2. Если они не законны, есть ли методы ухода от ответственности?
 


Название: Re:вопрос специалистам
Отправлено: Carolus от 01 Апреля 2008, 21:17:39
В принципе, если владельцы сайта неадекватны, то у Вас могут быть проблемы. С другой стороны, не слышал ни одного случая привлечения к уголовной ответственности за SQL-инъекцию. Просто потому, что доказать умышленный ввод определённых символов весьма проблематично. Тем более, что результат вызван, скорее, не злоумышленником, а уязвимостью ресурса.

Хотя наличие на Вашем жёстком диске статей про такие инъекции несколько разрушают версию случайности нажатия. Хотя в нормальной стране это не явилось бы достаточным доказательством, но в нашей ... вон в Питере несостоявшихся "бомбистов" судят - так одним из важнейших доказательств умысла на теракт являются файлы с компьютера, рассказывающие о терактах.


Название: Re:вопрос специалистам
Отправлено: capablanka от 02 Апреля 2008, 03:06:43
Да, вы абсолютно правы, речь идёт о SQL-injection. Вероятность найти неадеквата мала, но она существует. К тому же есть вероятность, что когда-нибудь, этот ресурс кто-нибудь ломанёт (например троян какой-нибудь) и они про это письмо вспомнят.
Насколько я понимаю, хранить такие статьи на компьютере, закон не запрещает.
Если вопрос настолько сложен, посоветуйте к кому можно обратиться за советом.


Название: Re:вопрос специалистам
Отправлено: Игорь Собецкий от 02 Апреля 2008, 12:50:43
До настоящего времени в РФ за SQL-инъекции к ответственности не привлекали. В особенности, в описанной ситуации. Так что на самом деле ничего такого страшного опасаться не надо. Владельцы сайта сопоставят сумму на стимулирование возбуждения уголовного дела с нанесённым им вредом... и идут залатывать дыру на сайте. Проблем быть не должно.
Совсем другое дело, если в подобной ситуации попытаться поиметь немножко денег с сайтовладельцев. Вот тут уже перспективы будут вполне уголовные.


Название: Re:вопрос специалистам
Отправлено: Николай Николаевич Федотов от 07 Апреля 2008, 17:59:52
1. что их сайт содержит уязвимость,
2. описываю последовательность действий (или набор данных) которые приводят к ошибке,
3. указываю, что информация о характере уязвимости, данные полученные в результате неправильной работы их сайта, не будут сохранены на любых носителях, переданы третьим лицам , или ещё как либо использованы.
4. указываю координаты фирмы, которая занимается поиском и исправлением уязвимостей :)
Именно таким способом некоторые умники пытались заработать денег в конце 1990-х. Не удалось.


Название: Re:вопрос специалистам
Отправлено: f_s_b_37 от 09 Апреля 2008, 00:31:33
Цитировать
Именно таким способом некоторые умники пытались заработать денег в конце 1990-х. Не удалось.
Ну там ситуация была несколько иная - проглядывался банальный шантаж. Тут же насколько я понял, лишь координаты фирмы, оставленые в  надежде, что получатель письма решит обратиться к ней за помощью в исправлении уязвимости, либо для проведения аудита (а точнее тестов на проникновение) целевой системы, без всяких намеков, на какие-то действия, в случае необращения...


Название: Re:вопрос специалистам
Отправлено: Igor Michailov от 09 Апреля 2008, 03:12:16
Угадайте кому милиция будет двери ломать, если, скажем, через неделю после получения подобного письма, чисто случайно, у владельца "упадет сайт"?

 ;D ;D ;D


Название: Re:вопрос специалистам
Отправлено: Николай Николаевич Федотов от 09 Апреля 2008, 11:12:34
Цитировать
Именно таким способом некоторые умники пытались заработать денег в конце 1990-х. Не удалось.
Ну там ситуация была несколько иная - проглядывался банальный шантаж. Тут же насколько я понял, лишь координаты фирмы, оставленые в  надежде, что получатель письма решит обратиться к ней за помощью в исправлении уязвимости, либо для проведения аудита (а точнее тестов на проникновение) целевой системы, без всяких намеков, на какие-то действия, в случае необращения...
Я имел в виду как раз такие случаи, когда шантажа и в помине нет. А описание уязвимости играет роль рекламного подарка. Оказалось, что такая реклама не способствует обращению в рекламируемую фирму. Азы рекламного дела: нельзя говорить клиенту о его недостатках.


Название: Re:вопрос специалистам
Отправлено: chernov_valera от 27 Мая 2008, 17:05:57
Ситуация: захожу на сайт какой-нибудь коммерческой организации ООО "Рога и копыта". Совершенно случайно  :) при наборе данных допускаю ошибку, которая вместо информации о деятельности всем известной фирмы "Рога и копыта" выводит на экран содержимое базы данных этого сайта, например, список пользователей. Т.е. сайт уязвим. Я, как честный гражданин, пишу на официальный адрес данной организации электронное письмо, в котором сообщаю:
1. что их сайт содержит уязвимость,
2. описываю последовательность действий (или набор данных) которые приводят к ошибке,
3. указываю, что информация о характере уязвимости, данные полученные в результате неправильной работы их сайта, не будут сохранены на любых носителях, переданы третьим лицам , или ещё как либо использованы.
4. указываю координаты фирмы, которая занимается поиском и исправлением уязвимостей :)

Важные, на мой взгляд моменты:
1. в письме не будет никаких угроз по использованию данной уязвимости
2. будут указано, что я не могу дать рекомендаций по устранению данной уязвимости, т.к. не имею доступа к исходным кодам сайта
3. уязвимость будет найдена только вводом неправильных данных, никаких действий по сканированию удаленного компьютера, подбора паролей не будет.
4. данные о уязвимости не будут использованы, или переданы третьим лицам.
5. данные, которые будут выданы на экран при использовании уязвимости (например, список пользователей сайта и их пароли) не будут сохранены и не будут использованы или переданы третьим лицам.

Вопросы:
1. Насколько законны данные действия?
2. Если они не законны, есть ли методы ухода от ответственности?
 
Интересный вопрос, но он имеет на мой взгляд совсем другую цель от указанной выше. Вроде как человек описывает, что все пушисто и гладко и он, совсем "случайно", путем нажатия на клавиатуру набрал одну из милиарда  возможных комбинаций ту единственную которая приводит к описанной уязвимости, но что интересно в этом тут же он предлагает обратиться к определенным людям которые знают как устранить эту беду. Из этого сразу видно что он из корыстных побуждений все это забодяжил и на перед просчитывает варианты как ему уйти от ответственности в случае если у него ничего не выйдет. В чем прикол если откатить все на некоторое время назад, то из логов этого сайта все прекрасно будет видно как этот самый товарищь  осуществлял взлом сайта путем подбора заветной строчки информацию о которой он получил из определенных источников. И что самое интересное если молодой человек уже говорит об этом значит он уже совершил все эти действия и думает как поступить дальше и стоит ли ему извлечь из этого выгоду и значит он уже подпадает под действия ст.272 УК РФ так как уже получил информацию о паролях у абонентов и вопрос времени использует ли он ее или забудет все пока не поздно. Мой совет если ты уж сделал эти действия и к тебе до сих пор не пришли то уж молчи об этом и не распространяйся про свои действия иначе можешь влететь!