Форум ''Интернет и Право''
29 Марта 2024, 18:48:56 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 2 3 [4]   Вниз
  Печать  
Автор Тема: ст 273. Actual Spy  (Прочитано 15874 раз)
Сергей Середа
Тех.специалист
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1415


Говори, что думаешь, но думай, что говоришь (с)

286903819
WWW
« Ответ #30 : 14 Июня 2007, 15:08:15 »

Вы хотите сказать, что тэг
Цитировать
<IMG SRC="./imagecrash.jpg" width="9999999" height="9999999" ALT="Oversized image causes blue screen of death">
- вредоносный код? Это неверно. Вся "вредоносность" здесь заключается в выходе значений параметров высоты и ширины изображения за пределы возможностей ОС.
А вот я как эксперт признал бы такой код вредоносной программой, если бы нашёлся хоть один браузер, падающий от него (не говоря уже о "синем экране").

Аргументы? Пожалуйста. Будем отталкиваться от развёрнутого определения вредоносной программы, которое дано в известной вам статье:
Цитировать
Вредоносной следует считать программу для ЭВМ, объективным свойством которой является её способность осуществлять неразрешённые обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации или неразрешённые оператором информационной системы нарушения работы этой информационной системы (ЭВМ, системы ЭВМ или их сети), причём, те и другие действия – без участия и без предварительного уведомления вышеуказанных субъектов.

Код HTML является программой для ЭВМ (с точки зрения ЗоПОПЭВМ). Свойство данного кода - нарушение работы ЭВМ без санкции оператора. Оператор предварительно не уведомляется о таком свойстве программы. Вредоносное свойство появилось не случайно, а было придано программе умышленно, о чём свидетельствует имя файла и альтернативный текст. Значит, вредоносная.

Во-первых, HTML-код с технической точки зрения программой для ЭВМ не является.
Во-вторых, два числа, введенные в нужных местах никак не составляют результата творческого труда, что является обязательным условием для объекта АП, а, следовательно, и для "работы" определения из закона.
В-третьих, а если он без комментария будет?
Например, код:
=======
#include <stdio.h>

int main ()
{
  char str [20];

  scanf ("%s",str);

  return 0;
}
=======
Является примером для переполнения буфера (нужно просто ввести строку длиной более 20 символов).

Значит, если я допишу туда слова "Crashes when strlen(str)>20", она станет вредоносной, что-ли?

В-четвёртых, как Вам известно, эта штука является "эксплоитом", который вовсе не обязательно должен быть программой и вовсе не обязательно вредоносной. Я сам как-то нашёл комбинацию тэгов, которая позволяла делать один и тот же текст видимым для пользователей Opera и невидимым для пользователей Internet Explorer.

В-пятых, тогда Вам, как эксперту, придётся признавать "вредоносной программой" и файл JPEG с изменёнными внутренними характеристиками, "вешающий" InternetExplorer или Photoshop, видоизменённый IP-пакет, "вешающий" брандмауэр, документ Word, "вешающий", соответственно,  Word и т.д. и т.п. То есть всё сразу.
Это тот самый "путь в ад", который выложен благими намерениями...
« Последнее редактирование: 14 Июня 2007, 15:21:34 от Сергей Середа » Записан
Condor
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 33


ICQ (5435435); Skype (bobmcfarrin)

5435435
« Ответ #31 : 14 Июня 2007, 17:44:38 »

Вы хотите сказать, что тэг
Цитировать
<IMG SRC="./imagecrash.jpg" width="9999999" height="9999999" ALT="Oversized image causes blue screen of death">
- вредоносный код? Это неверно. Вся "вредоносность" здесь заключается в выходе значений параметров высоты и ширины изображения за пределы возможностей ОС.
А вот я как эксперт признал бы такой код вредоносной программой, если бы нашёлся хоть один браузер, падающий от него (не говоря уже о "синем экране").

Аргументы? Пожалуйста. Будем отталкиваться от развёрнутого определения вредоносной программы, которое дано в известной вам статье:
Цитировать
Вредоносной следует считать программу для ЭВМ, объективным свойством которой является её способность осуществлять неразрешённые обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации или неразрешённые оператором информационной системы нарушения работы этой информационной системы (ЭВМ, системы ЭВМ или их сети), причём, те и другие действия – без участия и без предварительного уведомления вышеуказанных субъектов.

Код HTML является программой для ЭВМ (с точки зрения ЗоПОПЭВМ). Свойство данного кода - нарушение работы ЭВМ без санкции оператора. Оператор предварительно не уведомляется о таком свойстве программы. Вредоносное свойство появилось не случайно, а было придано программе умышленно, о чём свидетельствует имя файла и альтернативный текст. Значит, вредоносная.

Во-первых, HTML-код с технической точки зрения программой для ЭВМ не является.
Во-вторых, два числа, введенные в нужных местах никак не составляют результата творческого труда, что является обязательным условием для объекта АП, а, следовательно, и для "работы" определения из закона.
В-третьих, а если он без комментария будет?
Например, код:
=======
#include <stdio.h>

int main ()
{
  char str [20];

  scanf ("%s",str);

  return 0;
}
=======
Является примером для переполнения буфера (нужно просто ввести строку длиной более 20 символов).

Значит, если я допишу туда слова "Crashes when strlen(str)>20", она станет вредоносной, что-ли?

В-четвёртых, как Вам известно, эта штука является "эксплоитом", который вовсе не обязательно должен быть программой и вовсе не обязательно вредоносной. Я сам как-то нашёл комбинацию тэгов, которая позволяла делать один и тот же текст видимым для пользователей Opera и невидимым для пользователей Internet Explorer.

В-пятых, тогда Вам, как эксперту, придётся признавать "вредоносной программой" и файл JPEG с изменёнными внутренними характеристиками, "вешающий" InternetExplorer или Photoshop, видоизменённый IP-пакет, "вешающий" брандмауэр, документ Word, "вешающий", соответственно,  Word и т.д. и т.п. То есть всё сразу.
Это тот самый "путь в ад", который выложен благими намерениями...

Эксполит — это программа, которая эксполотирует уязвимость. Программа, которая содержить уязвимость экспоитом не является.

А комбинация тего является все-таки алгоритмом, алгоритмом разметки, но все же программой, которая сумеет вследствии уязмости в браузерах показать BSOD

А про то, что написано в свободной энциклопедии — я прямо сейчас могу это исправить. Для меня это язык программирования, поскольку он уже разросся до такого уровня. В принципе на нем можно построить веб-приложение, отягощенного самым минимум команд php и не пользуюясь средствами php для комбинациями со строками и чего там еще пригодится
Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #32 : 14 Июня 2007, 18:50:11 »

Во-первых, HTML-код с технической точки зрения программой для ЭВМ не является.
С технической - вопрос спорный, поскольку нет чёткого технического определения программы. А с юридической - программа, поскольку определению из ЗоПОПЭВМ соответствует.


Во-вторых, два числа, введенные в нужных местах никак не составляют результата творческого труда...
Смотря какие числа и где. Найти нужное место для числа - вполне себе творческая деятельность. Правда, не из области художественного, а из области научного творчества, но всё равно АП охраняется.

И, кстати, стоит ли смешивать здесь отношения по поводу интеллектуальной собственности и отношения по поводу защиты информации? Статья 273 УК действует независимо от принадлежности АП на вредоносную программу.


В-третьих, а если он без комментария будет?
...
Значит, если я допишу туда слова "Crashes when strlen(str)>20", она станет вредоносной, что-ли?
Комментарий не относится к свойствам программы. Комментарий лишь позволяет установить, намеренно или случайно программа приобрела указанные свойства. Если окажется, что слуайно, ответственности по ст.273 автор нести не должен.


В-четвёртых, как Вам известно, эта штука является "эксплоитом", который вовсе не обязательно должен быть программой и вовсе не обязательно вредоносной.
Ну, эксплоит. Ну и что? Это же не исключает, что HTML-код является программой для ЭВМ.


В-пятых, тогда Вам, как эксперту, придётся признавать "вредоносной программой" и файл JPEG с изменёнными внутренними характеристиками, "вешающий" InternetExplorer или Photoshop, видоизменённый IP-пакет, "вешающий" брандмауэр, документ Word, "вешающий", соответственно,  Word и т.д. и т.п. То есть всё сразу.
Очень интересный вопрос. JPEG и IP-пакет я бы вредоносной программой не признал. Но исключительно по той причине, что они не являются программой. По духу закона, нарочно изготовленный вредоносный IP-пакет не менее опасен, чем вредоносная программа. И за изготовление и распространение вредоносного контента следовало бы наказывать, как и за вредоносные программы.

Впрочем, следует упомянуть, что изготовить вредоносный пакет, не прибегая к помощи специализированной (т.е. вредоносной) программы, трудно.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Urix
Гость


E-mail
« Ответ #33 : 14 Июня 2007, 19:27:44 »

Цитировать
Во-первых, HTML-код с технической точки зрения программой для ЭВМ не является.
В техническом стандарте RFC-1866 написано:
As such, it defines the semantics of the HTML syntax and how that syntax should be interpreted by user agents.

И пожалуйста, не делайте больше ссылок на безграмотную Wiki. Пользуйтесь стандартами.

Цитировать
Найти нужное место для числа - вполне себе творческая деятельность.
Согласен. Например в таблице "Спортлото".
Цитировать
А с юридической - программа, поскольку определению из ЗоПОПЭВМ соответствует.
С математической тоже.
Цитировать
IP-пакет я бы вредоносной программой не признал
А ECHO на 64К и WinNuke? С точки зрения математики пакет - это программа для автомата, реализующего стек протоколов TCP/IP. Да и под юр.определение тоже подпадает. Единственная зацепка - это электромагнитная волна, которая почему-то ювристами объектом материального мира не считается, хотя радио они слушают и телевизор смотрят.
« Последнее редактирование: 16 Июня 2007, 19:41:46 от Urix » Записан
Condor
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 33


ICQ (5435435); Skype (bobmcfarrin)

5435435
« Ответ #34 : 14 Июня 2007, 19:47:06 »




В-пятых, тогда Вам, как эксперту, придётся признавать "вредоносной программой" и файл JPEG с изменёнными внутренними характеристиками, "вешающий" InternetExplorer или Photoshop, видоизменённый IP-пакет, "вешающий" брандмауэр, документ Word, "вешающий", соответственно,  Word и т.д. и т.п. То есть всё сразу.
Очень интересный вопрос. JPEG и IP-пакет я бы вредоносной программой не признал. Но исключительно по той причине, что они не являются программой. По духу закона, нарочно изготовленный вредоносный IP-пакет не менее опасен, чем вредоносная программа. И за изготовление и распространение вредоносного контента следовало бы наказывать, как и за вредоносные программы.

Впрочем, следует упомянуть, что изготовить вредоносный пакет, не прибегая к помощи специализированной (т.е. вредоносной) программы, трудно.


Пока JPG файл хранится на винчестере и его никто не трогает, это файл, а когда он грутся в память компьютера — для интерпретатора (то есть программы-просмоторщика) и для интерпретатора он является наборами командами по рисованию пикселей в графической памяти компьютера — это уже программа.

В истории известны случаи, когда специально сформированным gif-файлом или ani-курсором удалось сделать запрос удаленному серверу и загрузить на компьютер прогрмму и запустить ее (у меня на винчестере по-моему хранится такой ani-файл, но это надо копаться). Это уже полноценный эксплоит.
То же самое с большими пакетами, отосланные на удаленные машины: это становится наборами команд для системных приложений — чем вам не программа?

К слову сказать, программа
<...>
char ch[20];
cin>>ch;
<...>

это не эксплоит, это программа, содержащая уязвимость

Эксплоит — это программа, позволяющая эксплотировать уязвимость.
« Последнее редактирование: 14 Июня 2007, 19:50:31 от Condor » Записан
Сергей Середа
Тех.специалист
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1415


Говори, что думаешь, но думай, что говоришь (с)

286903819
WWW
« Ответ #35 : 14 Июня 2007, 21:09:46 »

Ясно. Уважаемые участники форума, к сожалению, не очень себе представляют, чем отличаются программы от параметров их исполнения. Ну и чем программы отличаются от данных. Прискорбный факт.

Придётся писать статью. Сложность только в том, что для доказательства совершенно очевидных вещей, о которых я писал, придётся перелопатить очень большое число литературных источников, т.к. авторы учебников и монографий часто просто не уделяют подобным вопросам внимания.

А пока жду реализацию сортировки "методом пузырька" на HTML, SQL.
Чувствую, пора основывать второй "фонд скептиков" - для "новаторов" в ИТ. Считайте, что 1000 рублей там уже лежит...


P.S.

2 CONDOR: Да, Вы правы, приведённый мною пример с переполнением буфера сам эксплоитом не является. Им является строка длиннее 20 символов. Похоже, по Вашей логике именно она и является "вредоносной программой" (я имею в виду общий случай, а не тот, когда строка подбирается так, чтобы при переполнении буфера она превратилась в исполяемый код в памяти) .

2 ННФ: Если мы рассматриваем ст. 273 без привязки к закону о правовой охране программ для ЭВМ, тогда определение из этого закона применять некорректно - тут логический круг.

2 Urix: То, что в RFC написано, что у HTML есть синтаксис, ни о чём не говорит. И, в частности, не говорит о том, что HTML - язык программирования.
Записан
Condor
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 33


ICQ (5435435); Skype (bobmcfarrin)

5435435
« Ответ #36 : 14 Июня 2007, 21:32:52 »

Ясно. Уважаемые участники форума, к сожалению, не очень себе представляют, чем отличаются программы от параметров их исполнения. Ну и чем программы отличаются от данных. Прискорбный факт.

Придётся писать статью. Сложность только в том, что для доказательства совершенно очевидных вещей, о которых я писал, придётся перелопатить очень большое число литературных источников, т.к. авторы учебников и монографий часто просто не уделяют подобным вопросам внимания.

А пока жду реализацию сортировки "методом пузырька" на HTML, SQL.
Чувствую, пора основывать второй "фонд скептиков" - для "новаторов" в ИТ. Считайте, что 1000 рублей там уже лежит...


P.S.

2 CONDOR: Да, Вы правы, приведённый мною пример с переполнением буфера сам эксплоитом не является. Им является строка длиннее 20 символов. Похоже, по Вашей логике именно она и является "вредоносной программой" (я имею в виду общий случай, а не тот, когда строка подбирается так, чтобы при переполнении буфера она превратилась в исполяемый код в памяти) .


Я имею ввиду именно тот, когда мы внедряем вредоностный (шелл код) после переполнения буфера, а так само по себе переполнение буфера не представляет собой вреда.
Также как и уязвимости сайтов. до тех пор, пока мы их не эксплуатировали: не повредили/скопировали/изменили данные
К слову о программах и их данных — мне нравится определение вышеупомянутого закона.

Насколько я понял, по вашему представлению программами являются бинарные коды, выполняемые операционными системами.
Но гипотетически возможно написание операционной системы, которая будет работать на JavaScript например или на любом другом интерпретируемом языке, переводя его в бинарный код (так действует интерпретатор PHP)

Но проблема в том, что данные, которые передаются таким программам тоже представляют потенциальную опасность.

Жду статьи.
Записан
Urix
Гость


E-mail
« Ответ #37 : 14 Июня 2007, 21:48:20 »

Цитировать
То, что в RFC написано, что у HTML есть синтаксис, ни о чём не говорит. И, в частности, не говорит о том, что HTML - язык программирования.
Настоятельно рекомендую все-таки предварительно, перед тем как писать статью, посмотреть теорию формальных языков. И особенно обратить внимание на терминологию - что такое синтаксис, грамматика, как задается язык и что такое автомат, реализующий грамматику языка.

Надеюсь, что Вы не будете утверждать, что HTML не является формальным языком?

Цитировать
Уважаемые участники форума, к сожалению, не очень себе представляют, чем отличаются программы от параметров их исполнения. Ну и чем программы отличаются от данных.
Ой! А чем же? В этом месте поподробней, plz.
« Последнее редактирование: 16 Июня 2007, 19:43:07 от Urix » Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #38 : 15 Июня 2007, 14:32:20 »

Цитировать
А пока жду реализацию сортировки "методом пузырька" на HTML, SQL.
На HTML пузырёк вряд ли получится. Очень уж специализированный язык. Но какой-нибудь алгоритм попроще реализовать можно.

Впрочем, я не буду настаивать, что HTML-код - это программа с технической точки зрения. Я лишь утверждаю, что HTML-код - это программа с точки зрения закона.

link=board=9;threadid=2712;start=30#42598 date=1181840986]2 ННФ: Если мы рассматриваем ст. 273 без привязки к закону о правовой охране программ для ЭВМ, тогда определение из этого закона применять некорректно - тут логический круг.
ОК. А по другим моим аргументам?
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Сергей Середа
Тех.специалист
Завсегдатай
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1415


Говори, что думаешь, но думай, что говоришь (с)

286903819
WWW
« Ответ #39 : 19 Июня 2007, 23:53:15 »

ОК. А по другим моим аргументам?

Давайте посмотрим:

Во-первых, HTML-код с технической точки зрения программой для ЭВМ не является.
С технической - вопрос спорный, поскольку нет чёткого технического определения программы. А с юридической - программа, поскольку определению из ЗоПОПЭВМ соответствует.

Был советский ГОСТ 19781-74 с таким определением. Я его (определение) приводил в своих статьях:
===
Программа вычислительной машины – алгоритм, записанный в форме, воспринимаемой вычислительной машиной
===

В более "современном" ГОСТ 19781-90 дано уже противоречивое определение ("программа - это данные"). Приведу его - пусть Юрикс порадуется:
===
Программа – данные, предназначенные для управления конкретными компонентами системы обработки информации в целях реализации определенного алгоритма
===

Однако, даже здесь "данные" должны непосредствено управлять "компонентами системы обработки информации", т.е. "железом", хотя явным образом это и не написано (возможно стоит почитать термины и определения в этом ГОСТе).

Стандарт ISO/IEC 2382-1 определяет программу через язык программирования:
===
Программа; компьютерная программа – синтаксический блок, соответствующий правилам конкретного языка программирования и состоящий из объявлений и утверждений или инструкций, необходимых для выполнения определенных функций, [решения] задач или проблем.
===

Итого: на HTML невозможно реализовывать алгоритмы и HTML не является языком программирования (это не совсем тавтология) и HTML не управляет компонентами информационой системы, поэтому с технической точки зрения текст на HTML программой не является.

Во-вторых, два числа, введенные в нужных местах никак не составляют результата творческого труда...
Смотря какие числа и где. Найти нужное место для числа - вполне себе творческая деятельность. Правда, не из области художественного, а из области научного творчества, но всё равно АП охраняется.

Творческая деятельность - поиск нужного места для чисел. Такой вид деятельности называется исследованием, а результаты исследований АП не охраняются. (На F=ma у кого авторские права?)

В-третьих, а если он без комментария будет?
...
Значит, если я допишу туда слова "Crashes when strlen(str)>20", она станет вредоносной, что-ли?
Комментарий не относится к свойствам программы. Комментарий лишь позволяет установить, намеренно или случайно программа приобрела указанные свойства. Если окажется, что слуайно, ответственности по ст.273 автор нести не должен.

Если Вы вспомните про "заведомость" для автора тех гадостей, которые делает вредоносная программа, то должны будете согласиться, что если автор не знал о деструктивных последствиях работы программы, то юридически она вредоносной признаваться не должна, хотя технически может быть именно таковой...

В-пятых, тогда Вам, как эксперту, придётся признавать "вредоносной программой" и файл JPEG с изменёнными внутренними характеристиками, "вешающий" InternetExplorer или Photoshop, видоизменённый IP-пакет, "вешающий" брандмауэр, документ Word, "вешающий", соответственно,  Word и т.д. и т.п. То есть всё сразу.
Очень интересный вопрос. JPEG и IP-пакет я бы вредоносной программой не признал. Но исключительно по той причине, что они не являются программой. По духу закона, нарочно изготовленный вредоносный IP-пакет не менее опасен, чем вредоносная программа. И за изготовление и распространение вредоносного контента следовало бы наказывать, как и за вредоносные программы.

Наказывать-то, может, и надо бы, да только по закону. А в законе за "вредоносные данные" ответственность не предусмотрена. А значит всё законно.

У наших законодателей ведь ума хватает только на то, чтобы по 146 сроки поднимать. А там где нужно серьёзно прорабатывать статьи (при совершенно необходимой сейчас полной переработке 28-й главы УК), "лихость" законодателя как-то затихает...

Впрочем, следует упомянуть, что изготовить вредоносный пакет, не прибегая к помощи специализированной (т.е. вредоносной) программы, трудно.

Hiew - вредоносная программа? С её помощью можно и JPEG "изготовить" и даже вирус целиком написать...

Записан
Страниц: 1 2 3 [4]   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines