Witam,

czy zgodne z prawem jest zaproponowanie firmie X wskazanie dziur w oprogramowaniu w zamian za pieniądze ?

Pozdrawiam

Oczywiście. Sądzisz, że wszystkie firmy audytorskie i konsultanci bezpieczeństwa na rynku działają nielegalnie?

Że np. firma może powiedzieć, że dostałem się do danych zastrzeżonych... że się włamałem lub coś podobnego.

A Ty możesz powiedzieć, że odkryłeś to przez przypadek (jeśli da sie coś takiego przez przypadek odkryć). Nie wiem na ile poważna jest ta firma, ale Microsoft płaci za każdą wykrytą lukę.. Podzielam zdanie mike'a.

W takim razie zaproponuj przekazanie informacji na temat luk. Jeśli odmówią to trudno, nie przekażesz im tych informacji.
Wtedy możesz napisać artykuł na hacking.pl i znów jakaś firma będzie pośmiewiskiem.

jeżeli najpierw zaproponujesz usługę, a potem będziesz szukał dziur - to jest umowa czyli legane działanie
jeżeli najpierw włazisz przez dziury, a potem dzwonisz i mówisz że zabezpieczysz za pieniądze - to podchodzi pod nielegalny włam.

zastanów się, przez analogię, kto byłby wg ciebie godny zaufania:

1. koleś, który przychodzi do ciebie do domu i mówi: z tego co widzę, ma pan kiepskie drzwi wejściowe, stary typ okien, żadnego alarmu i zabezpieczenia ... jeżeli pan się zgodzi, to panu zademonstruję, jak łatwo tu wejść oraz zaproponuję rozwiązanie problemu

2. czy może koleś, który przychodzi do ciebie do domu i mówi: ale ma pan kiepskie zabezpieczenia, byłem to u pana w środku już trzy razy i nikt niczego nie zauważył ... mógłbym bezkarnie wszystko wynieść lub zniszczyć, ale jestem człowiekiem interesu więc za opłatą podpowiem jak się zabezpieczyć ...

ja w drugim przypadku już bym wybierał numer na policję ...

http://prawo.vagla.pl/node/7149

gdzie mam wam słać paczki? Jak usłyszycie pukanie o 6 rano to już wiecie o co komon

Dzisiaj wysłałem maila do firmy z propozycją współpracy w tym zakresie... zobaczymy. Cytowany tekst w artykule trochę nie brzmi mi prawdziwie

Staaare, śmieszne i precedensowe.
W sytuacji z linka koleś okazał się frajerem i źle zagrał, więc go wykorzystano.

Poza tym tekst wyssany z palca ponieważ nie ma żadnych opinii drugiej strony czy informacji o jakichkolwiek wyrokach sądu.
Bajka i tyle. Takimi rzeczami co najwyżej programiści niegrzeczne dzieci mogą straszyć.

Mike, widzę, że nie znasz sprawy nawet w 10% a obrażanie ludzi jak zawsze wychodzi Ci rewelacyjnie Poza tym... poczekaj na wyrok :-) Sprawa jeszcze trwa.

Art. 267 przeszedł/przechodzi nowelizację. Wejście w posiadanie danych nieprzeznaczonych dla danej osoby, nawet bez łamania zabezpieczeń będzie karalne. Będzie po "amerykancku" ale moim zdaniem, takie rozwiązanie też nie jest za dobre...

--- edit

Jeśli chodzi o wiarygodność tego tekstu to ja nie mam żadnych wątpliwości Pozostałe osoby też będą mogły to zweryfikować jak dokumenty trafią da neta, po zapadnięciu wyroku.

Fakt, Vagla to bajkopisarz, zapomniałem. :/ no comments.

Od siebie jeszcze dodam dalszą część:

http://prawo.vagla.pl/node/7271

@cornholio666

Uważaj, stąpasz po cienkim lodzie Jak to kwestia kilku stówek/tysięcy - odpuść. Jeśli luki są w jakimś poważnym serwisie i w grę wchodzą większe pieniądze, może warto zaryzykować...

Kogo obraziłem? Jak sie podpisuje coś czego się nie rozumie i to później służy przeciwko mnie to przepraszam, to nie jest się frajerem. Jest się mega frajerem.

Sprawę znam na tyle ile podejrzewam każdy ja zna. Czyli na tyle na ile informacji w tej chwili można uzyskać w internecie. A jest to relacja jednostronna.
Co to oznacza? Wiarygodność jest niewielka, ponieważ nie masz żadnego odniesienia.

Oczywiście to się może zmienić jeśli wyjaśnienia i wyrok zostaną opublikowane w internecie. Albo, albo. Albo sprawa okaże się fikcją albo faktycznie smutnym faktem.
Na chwilę obecną wygląda to tak: "O ja biedny chciałem dobrze a oszukali mnie. Banda ..." Oczywiście, że każdy z kolesiem sympatyzuje. Tylko zastanówcie się jaka jest weryfikowalność opublikowanych faktów? Żadna.

Nie twierdzę że to nie jest prawda. Twierdzę że nie wiadomo czy to jest prawda i czy tak to wyglądało.
Bardzo łatwo postawić się w roli Dawida stłamszonego zastraszanego przez Goliata. Ale w takich sytuacjach bardzo łatwo posunąć się do oszczerstwa.

~cornholio666 na Twoim miejscu napisałbym do właściciela/twórcy strony, że przeglądałeś stronę i przypadkowo odkryłeś, że strona może zawierać błędy. Może się tak zdarzyć ponieważ instynkt, wypracowany przez doświadczenie Ci to podpowiada.
Jeśli firma się zgadza możesz przeprowadzić audyt i wystąpić w roli konsultanta.

Pamiętaj jednak, że jeśli spotkasz się ze sprzeciwem, nie powinieneś dotykać dziur, bo złamiesz prawo.

może jakby to napisał edek z krainy kredek to owszem, ale Vagla w tych sprawach jest dla mnie autorytetem i mam całkowite zaufanie do zamieszczanych przez niego informacji. juz nie raz pokazał, że prowadzi ten serwis b. profesjonalnie więc w/w to nie są dla mnie żadne argumenty. i tyle mam do powiedzenia. autor wątku otrzymał obszerne wyjaśnienia.

Przypadek na który się powołujecie to szaleństwo. Aż sobie przeczytałem te artykuły kolejny (chyba już dziesiąty raz) i:

1.Powiedzcie mi drodzy wyznawcy prawdy jedynej do czego służy formularz logowania? Otóż powiem Wam bo może nie wiecie, nie wie chyba nasz kochany bohater bo cała jego obrona polega na wmawianiu, że nie przełamał żadnych zabezpieczeń.
Formularz logowania (ogólnie logowanie) jest to mechanizm mający na celu zweryfikowanie użytkownika i w przypadku poprawnej weryfikacji nadanie mu odpowiednich praw pozwalających na dostęp do treści, do których nie ma osoba niezalogowana.

A co nasz bohater zrobił? Zmylił mechanizm logowania (wpłynął na jego funkcjonowanie) i dzięki temu w nieuczciwy sposób uzyskał dostep do danych chronionych.
No przepraszam ale jeśli formularza logowania nie uznajemy za zabezpieczenie to ja przepraszam.

Już tu można olać sprawę, ale idźmy dalej.

2.Grubymi nićmi szyte. Załóżmy (no nic innego nie możemy zrobić), najbardziej logiczną wersję zdarzeń. Umowa dotyczyła zlecenia wykrycia lub naprawienia wykrytych dziur (nie wiadomo). Strony podpisują i co? I jeśli koleś podpisał coś co miało relację z rzeczywistością to wpada policja a on pokazuje papier i mówi, że działa na zlecenie. Tak się nie stało. Co więc podpisał? Pewnie nic bo później czytamy:I tu po pierwsze wrócą do słowa frajer (delikatnych odsyłam do słownika, frajer to potocznie osoba naiwna). Najpierw zawiera się umowę, później się ją realizuje. A nie odwrotnie. Po drugie policja nie ma praw zatrzymać kogokolwiek bez podania zarzutów. Brzmi to jak jęczenie pięciolatka. "Wpadli starszaki do piaskownicy i zabrali mi lizaka."

Idziemy dalej:

3.Jeden biegły:I ... drugi biegły:To jak to jest? Ilu biegłych było? Który był biegłym sądowym, który opiniował na rzecz prokuratury? Czy obaj byli wpisani na listę biegłych sądowych? Nie wiem. Mamy tylko jakiś mdłe pseudo-fakty.
A rzeczywistość jest taka, że przed sądem biegłego powołuje ... sąd. Na wniosek jednej (lub obu) ze stron. Prokuratura mogła podeprzeć się co najwyżej opinią rzeczoznawcy. Sąd może ale nie musi nawet czytać tego co on opiniuje. W przypadkach spornych powoływany jest biegły sądowy. No chyba że bohater właśnie jego opinię podważa.

4. Teraz trochę humoru.I tu pada definicja z .... wikipedii. Nie mam komentarza.

5. Na końcu bohater powołuje się na dwa cytatu osób, które sa większymi autorytetami praw niż razem wszyscy tutaj wzięci i które to opinie w moich oczach pogrążają bohatera:I wracamy do punktu wyjścia. Autor afery przełamał zabezpieczenia swoim działaniem. Informacje, do których dostęp uzyskał były dostępne (najprawdopodobniej) po przejściu autoryzacji. Bohater oszukał ten system a wstrzykując mu SQLa zmienił sposób jego funkcjonowania. Więc o co chodzi?


To wszystko to tylko moja ocena. Pozostaje mi tylko to co wyczytałem. Ja również czytuję Vagla ale zwykłem sobie wypracować swoje zdanie. Zresztą Vagla również ocenia sprawę zdawkowo na podstawie tego co zna. A zna relację tylko jednej ze stron.

Hymm... a do czego służy pole "text" html'a? Do wpisywania literek z A-z? Wpisanie wyłącznie apostrofu jest według Ciebie złamaniem zabezpieczenia? Wpisanie czegokolwiek w takie pole, według mnie nie jest łamaniem zabezpieczeń - bo programiści wstawiając je na stronę przewidzieli jakie dane tam mogą zostać wpisane i zapewne odpowiednio skonstruowali swoją aplikację Dla mnie to zrzucanie odpowiedzialności z, delikatnie mówiąc, niedouczonych programistów...



Chyba jest jasno napisane - umowę o zachowaniu poufności - tzn. że nie będzie klepał w mediach o lukach. Poza tym była umową o pracę i umowa zlecenie, które zostały zabrane po podpisaniu tej pierwszej.



Chłopie, wierzysz w to co piszesz? W tej sprawie ze strony policji padały groźby, zatrzymani zostali rodzice chłopaka!, został zakuty (też nie mieli prawa), niewylegitymowany (wskazał go palcem dyrektor firmy), a na pytanie o zarzuty padło tylko "ty nam to powiesz".



I znowu chyba nie wiesz o czym piszesz. Prokurator może powołać biegłego (biegłego sądowego, żeby nie było wątpliwości), który wyda opinię będącą dowodem w sprawie. Poza tym ani sąd ani prokuratura nie musi prosić o jakiś wniosek, którejkolwiek ze stron. Sąd, jeśli uzna za konieczne, powołanie biegłego to robi to. ...a rzeczoznawca zajmuję się zazwyczaj wycenami a nie wydawaniem opinii.



A co w tej definicji jest nieprawdziwego, naciągniętego, "nieprofesjonalnego"? Jest zła? PWN niestety o SQL Injection nie pisze.



Vagla zapewne ma świadomość, iż opis sytuacji nie jest naciągany. Pewnie ma kontakt z adwokatem (adw. Artur Kmieciak), który broni chłopaka, a ten pewnie widział dokumenty

Z własnych doświadczeń mocno odradzam tego typu umowy. [link wstawilem umyslnie] Chciałem zrobić coś podobnego z host247.pl, gdyż szukając hostingu dla moich stron przypadkowo zauważyłem warningi na podstronach firmy. Ponieważ było tego dużo i wiedziałem, że można wstrzykiwać dowolne zapytania SQL (konto, z którego dawano zapytanai do SQL to root [LOL]) to złożyłem pewną propozycję. Zaczęli straszyć policją, a tak sie czasem dzieje nawet jak komuś chce się pomoc nic nie chcac w zamian wiec po co pomagac jesli mozna sobie zaszkodzic?

Powtarzam: Bohater celowo wpisał taki a nie inny kod. Zrobił to po to by oszukać system i jego oczekiwaniem było to, że operacja się powiedzie. Powiodła się a to kodeks definiuje jako wykroczenie. Z kim polemizujesz? Z kodeksem karnym?
Rozumiem żeby to była pani z okienka czy edek z krainy kredek który nie wie że taki działania może skutkować tak a nie inaczej. On wiedział i celowo to zrobił. Nie było tu żadnej przypadkowości czy nieumyślności działań.
I znów frajer. Przecież w tej sytuacji łatwe byłoby do wykazania że szef proponował mu inne umowy. Przecież ma te wysłane wcześniej. Czy Oni mu zabrali?
Przepraszam, mnie tam nie było. Ty byłeś? Znasz się z bohaterem? Ja nie, oceniam to co przeczytałem. Do innych informacji nie dotarłem. Jeśli pojawiły się błędy proceduralne (czytaj: jeśli zostaną udowodnione) to się o tym dowiemy. Na razie tego nie wiemy. Ani Ty, ani ja.
A wyobraź sobie, że wiem. Obaj nie jesteśmy prawnikami i możemy tak się przekonywać do usranej śmierci.
Każda ze stron może złożyć wniosek o powołanie biegłego. Są może taki wniosek uznać lub nie. Jeśli tego nie uzna znaczy to że nie ma powodu posiłkować się inną opinia niż własna - sądu. Ponadto opinie biegłych nie muszą być dowodami w sprawie. Sąd może również je uznać lub nie.
Możemy tak długo dywagować. Nie wyjaśnione jest tak czy inaczej dlaczego przed sądem pojawiły się dwie sprzeczne opinie biegłych. I dlaczego wątpliwości nie zostały usunięte.
Nie ważne. Ważne jest to, że ten tekst nie ma podstaw prawnych a cytat z wikipedii nie jest i nic nie znaczy dla sądu. Wiesz ile sam debilizmów poprawiłem na Wikipedii? Dużo. A wiesz ile z nich wróciło? Równie dużo.
Na końcu artykułu mamy napisane:To jak to jest?

Powtarzam: To jest moja opinia wypracowana na podstawie dostarczonych (przeczytanych w artykułach) informacji. Spraw jest na chwilę obecną jednostronna i niewyjaśniona. Można bardzo długo bawić sie w "moim zdaniem". Ja również czekam na wyrok sądu bo jestem ciekaw rezultatu.

Ciekawe. To są "równi i równiejsi"? Karać za wiedzę? Co z tego, że wiedział? Równie dobrze można posadzić część udzielających się w subforum "oceny". Ile razy było tam SQL Injection czy XSS? Za takie rzeczy powinien odpowiadać programista.

Kilka pytań, jeśli można

1. Czy wpisując w text'y, ' czy ' or 1=1, wykracza się poza zastosowanie tego typu pól?
2. Czy klikając w "wyślij" zakłóca się działanie aplikacji?
3. Czy powinno interesować usera co Twoja aplikacja robi z danymi?

...i na tym sprawa powinna się skończyć.


Podczas rozmowy obecny był policjant przedstawiony jako informatyk, widział umowy, słyszał rozmowę, umowy są na zarekwirowanych komputerach... ale jakie to ma znaczenie w świetle art. 267?


Owszem, znam.


To nie tak. Prokuratura powołała biegłego, który stwierdził, że "nie doszło do łamania zabezpieczeń serwera". Natomiast prokurator zdecydowała się złożyć do sądu AO, w którym napisała, że "na podstawie opinii biegłego można stwierdzić iż doszło do łamania zabezpieczeń serwera". Niestety prokurator to święta krowa, praktycznie żadnej odpowiedzialności za rzucane oskarżenia.

Dlatego sąd uznał, iż potrzebna jest kolejna opinia i powołał drugiego biegłego, który jeszcze nie wydał opinii.


Jasne ale moim zdaniem def. SQL Injection jest ok. Poza tym na czymś sąd/biegli muszą się opierać. Książkach, publikacjach itp.



Przeczytaj komentarze. Adw. Kmieciak zaproponował obronę i robi to w interesie publicznym, za darmo.

Dla mnie sprawa wygląda tak.

Topowy koncern samochodowy, naprawdę "topowy" posiada takie luki w serwisie. Daje dostęp do szczegółowych danych swoich klientów. Co zrobić? Znaleźć kozła ofiarnego. Po co przyznawać się do winy? Co znaczy słowo studenta przeciwko takiej firmie?

Ja rozumiem, że znasz się z bohaterem, ale nie bądź zaślepiony. Frajer i tyle z kolesia to teraz beknie. Czzego bardzo mu życzę. Jak wszystkim życzę kary kiedy łamią prawo.

Nie został ukarany za posiadanie wiedzy tylko za jej używanie. Używanie w sytuacji kiedy nikt go o to nie prosił.
Na forum Oceny ludzi proszą o testowanie aplikacji. Widzisz różnicę?

Tekst "równi i równiejsi" to głupi argument z Twojej strony. Złodziej samochodowych zamykają za to że wiedzą jak otworzyć cudzy samochód czy za to że je otwierają? Mężczyzn karze się za gwałty za samo posiadanie "narzędzi" czy za ich użycie.
Przejrzyj na oczy i nie pisz śmiesznych rzeczy.

Szkoda ~mike, że nie przeczytałeś komentarzy pod oboma artykułami.
Polecam również zapoznanie się z wątkiem na forum poradnia prawna.

Sprawa została przeniesiona do sądu grockiego. Początkowo nikt nie chciał go sądzić. Sąd uznał go winnym. Pozwany dostał wyrok w zawieszeniu + ileś tam godzin miesięcznie prac społecznych(tak?) i pokrycie kosztów procesu. Oczywiście odwołuje się.

Jeśli jest tak jak ~mike mówi i bohater tej historii tak zręcznie manipuluje faktami (ba zwodzi nawet prawników) a my tak łatwo wierzymy w odgrywany przez niego teatrzyk to jestem równocześnie pełen podziwu jak i przepełnia mnie strach, że tak łatwo dałem się podejść. Cała nadzieja w ~mike'u który już po powierzchownym zapoznaniu się ze sprawą odkrył te niespójności.

A teraz na poważnie. Wypominasz, że nie masz podstaw żeby uznać tę relację za wiarygodną a równocześnie komentujesz opierając się na szczątkowych informacjach. Czym różnisz się od osób bezkrytycznie stających po stronie oskarżonego?

Oczywiście ja również nie znam prawdziwego przebiegu sytuacji.

tym ze on ocenia dostępne fakty, a na czym miałby sie niby opierać jak nie an tych szczątkowych informacjach? na przekazie z kryształowej kuli?

mike chłodno ocenia wszystkie skrawki informacji które zostały przekazane i na ich podstawie wyciąga subiektywne wnioski

osobiście nie zajmuje żadnej pozycji bo nie chce mi się tego czytać, analizować itp bo potem będzie że jestem be i nie podzielam opinii większości :]

Jakbym był wredny to zamknąłbym wątek, bo przecież nikt nie ma "prawa" tu się wypowiadać.
Poza sędzią i prawnikami uczestniczącymi w rozprawia. W końcu oni mają dostęp do wszystkich informacji. Cała reszta ma tylko tyle ile ochłapów zostało rzuconych na media.

Równie dobrze ja mogę mieć rację chłodno przyjmując fakty. Choć nie stoję po niczyjej stronie. Wskazuję tylko kilka szczegółów, które mi się osobiście nie podobają. A równie dobrze może mieć rację ~LonelyKnight, który stoi za bohaterem bo się znają i z pewnością nie jest obiektywny.

Oczywiście. W pełni się z Tobą zgadzam.

Nic nie mówiłem o prawie do wypowiedzi.

Zauważcie jednak, że śledząc wątek na forum (poradni prawna) można prześledzić przebieg całej sprawy. Nie wiecie o tym bo go nie przeczytaliście. Nikt nie oczekuję oczywiście, że poświecicie na to swój prywatny czas. Ja przeczytałem go jakiś czas temu chcąc wyrobić sobie zdanie na ten temat.

Co w nim jest ciekawego? Opis rzeczywistości polskiego systemu sądowniczego? Dowód na to jak łatwo pozbyć się kogoś (statystycznego) rzucając go w tryby machiny biurokratycznej? Każdy w miarę dojrzały człowiek zdaje sobie z tego sprawę.
Jest w nim również parę odpowiedzi na Twoje wątpliwości ~mike ( to "kilka szczegółów").

Ten proces dotyczy nas wszystkich. Bo korzystamy szeroko z technologi odnośnie których nasze ustawodastwo jest w średniowieczu.

~kwiateusz: na wszystkich dostępnych informacjach

Przeczytałem teraz i jaki jest mój wniosek? Inny niż większości.
Ty i wiele osób sądzi że prześledziło tok sprawy. A to nie prawda.
Prześledziłeś tok sprawy z perspektywy bohatera. Samo przekazania faktów i nasycenie ich emocjami (trudno o to winić Mateusza) powoduje to, że ich odbiór jest podciągnięty pod chęć solidaryzowania się ze stłamszonym studentem. Łatwiej identyfikować się z nim niż z firmą z którą toczy spór.

Nie twierdzę, że było inaczej niż jest przedstawiane. Nie musi tak być. Chciałbym po postu usłyszeć wersję drugiej strony. Bez tego to gdybanie jest nic nie warte.
Jeśli chodzi o rację Mateusza to są dwie możliwości i obie są tak samo prawdopodobne. Albo ją albo nie.

Na podstawie tego co przeczytałem skłaniam się mocno ku temu, że jednak jej nie ma, ponieważ w mojej opinii popełnia błąd formalny twierdząc, że nie przełamał żadnych zabezpieczeń. Opinię tą potwierdza sporo osób w tym biegli sądowi osoby o sporych autorytetach, z drugiej strony opinia przeciwna ma również "plecy". Jak było? Zobaczymy.

Ale zapytam raz jeszcze (być może retorycznie): Czym jest formularz autoryzacji? Czy nie zabezpieczeniem służącym do nadania praw osobom, które te prawa mogą uzyskać? Jeśli już osławione magic_quote było by OK, a Mateusz złamałby formularz kradną sesję to też byłyby głupie komentarze, że zabezpieczeń nie było? A jakby wysniffował hasło od kogoś to też byście mówili, że nie było zabezpieczeń skoro mu się udało?
W nielegalny sposób uzyskał dostęp do informacji, do których nie miał praw.

Zabrnęliśmy za bardzo w tą konkretną sprawę, może niepotrzebnie. Sąd wyda wyrok i zdecyduje czy złamano art. 267 czy nie. Niezależnie od tego jaki on będzie to dla mnie "moralnym" zwycięzcą i tak będzie M. Uważam, że "firma" zachowała się... żenującą i skrajnie mało profesjonalnie, zamiast przyznać się do błędu, to zwaliła winę na kogoś innego.

@Mike - nikt nie uważa, że formularz nie jest zabezpieczeniem, chodzi o to, że aplikacja była niepoprawnie napisana, a wpisanie apostrofu czy jakiegoś SQL w formularz to raczej "ominięcie" zabezpieczenia, a nie złamanie. Dlatego chcą przeprowadzić teraz nowelizację tego art. żeby prawo w tym względzie było bardziej restrykcyjne, na wzór tego z np. USA, gdzie za samo podejście do komputera i próbę wpisania hasła i loginu, jeśli ma się świadomość, że nie posiada się w systemie swojego loginu i hasła, traktowane jest jako przestępstwo. Polskie prawo odnosi się tylko do stanowczego "łamania zabezpieczeń". Po nowelizacji art. 267 (jeśli nie wprowadzą zmian) będzie brzmiał "kto łamie lub omija zabezpieczenia", wtedy sytuacja byłaby jasna. Pytasz ciągle o ten formularz ale kilka postów wcześniej zadałem Tobie ze 3 pytania, w których zawarta jest podstawa mojej opinii na ten temat. Dane wprowadzone do formularza były zgodne z przeznaczeniem formularza - nie wykraczały poza jego zastosowanie, a to co aplikacja później robi z danymi (poprawnymi danymi! bo mamy prawo uważać, że ktoś dający tego typu formularz do sieci przewidział, jakie dane trafią do aplikacji) nie powinna usera obchodzić. Jeśli jakaś firma nie potrafi zabezpieczyć danych to powinna odpowiadać z Ustawy o Och. Danych Oso., bo ta określa jak dane powinny być zabezpieczone.

Co do tego "wykradania sesji"... to też różnie może z tym być. Zależy jak to się zrobi. Jeśli dostaniesz na gg link z numerem sesji, klikniesz w niego i przejdziesz bez autoryzacji do konta usera, to uważasz, że powinieneś iść do więzienia? Jeśli sniffujesz to oczywiście będziesz odpowiadał ale z innego paragrafu. (art.267 par. 2) - sniffowanie to jednoznaczne podsłuchiwanie.

Wracając jeszcze do tego łamania zabezpieczeń, to wyobraź sobie taką sytuację:

http://forum.php.pl/index.php?act=Login&am...p;pass=';--

...wpada tutaj bot Google i Google idzie do więzienia. Google stworzyło narzędzie do łamania zabezpieczeń - swojego spidera - i użyło go do złamania zabezpieczenia zdobywając nieprzeznaczone dla nich informacje. Nie widzisz tutaj absurdu? Jeśli tak będziemy podchodzić do sprawy to niebawem strach będzie kliknąć w jakikolwiek link bez sprawdzania źródła, a internet stanie się dzikim zachodem gdzie cwaniaki zaczną wykorzystywać takie podejście sądów. Po co włamywać się jeśli można zostawić w sieci podobne linki, "odpowiednio" przygotować formularze i w świetle prawa wyłudzać od ludzi pieniądze.

Klik... "Dziękujemy za włamanie do naszego systemu, niebawem skontaktuje się z Panem/Panią nasz prawnik".

A ja doskonale rozumiem i popieram mike. Choć czasami formułuje swoje opnie w dość "nieszczęśliwy" sposób przez co denerwują się na niego inni forumowicze ;-)

Sprawa jest prosta - relacja jednostronna zawsze będzie... jednostronna. Każdy fakt można nagiąć i przeinaczyć. Nie wiemy jak dokładnie np. wyglądały rozmowy studenta z firmą - może wcale nie było tak jak pisze, a bardziej skłaniało się to w stronę szantażu (nie twierdzę, że tak było).

Sam pośrednio miałem do czynienia z programem Uwaga z TVN i wiem jak można przedstawić coś w mediach. U nas pojawił się pewien dość istotny problem poprzez zaniedbanie firmy, ale szybko został rozwiązany z korzyścią dla poszkodowanych (propozycja zwrotu pieniędzy, przeniesienia realizacji kontraktu do innej firmy lub zostanie w firmie do czasu rozwiązanie problemu). Nadmiernie również, że osoby przed podpisaniem umowy były informowane, że problem może wystąpić. W zasadzie na ~90 poszkodowanych osób 2 były niezadowolone (choć odzyskały pieniądze), reszta stanęła w obronie firmy i nie odeszła a problem wkrótce został rozwiązany. Oczywiście w TV pokazano te 2 osoby (nie poinformowano, że dostały pieniądze z powrotem) i przedstawiono pełno poszatkowanych i tendencyjnych wycinków z rozmów z osobami z firmy. Zadowolonych z rozwiązania sprawy klientów nie pokazano w ogóle, choć stanowili ogromną większość. Wyszło na to, że doszło do wielkiej afery, które w sumie nie było.
Od tamtej pory nie mam 100% zaufania do ŻADNEJ informacji z mediów. Zawsze wiedziałem, że informacje można zmanipulować, ale nie sądziłem że osoby pracujące dla poważnej firmy za jaką uważam TVN są w stanie posunąć się do takich manipulacji i świadomie prezentować nieprawdę tylko po to aby był news.

Także reasumując - nigdy nie dojdziemy prawdy. Jedyny obiektywny fakt to wyrok sądu. Ale nawet po wyroku fakty mogą zostać zniekształcone i będzie news, że ten a ten został tak a tak skrzywdzony złym wyrokiem. Tylko będąc na rozprawie i śledząc dowody można dojść prawdy, ale nikt z nas tego nie zrobi.

Jasne, manipulować można zawsze. Wątek szantażu również był poruszany u Vagli. Jestem przekonany, że poczuli się zagrożeni. Jestem przekonany, że wiele osób zaczęło obawiać się o swoje stołki. Wybrali najlepsze dla siebie rozwiązanie - "powiemy, że doszło do włamania, nie popełniliśmy zaniedbania, a gnojka nauczymy pokory". Sprawa zapewne się wyjaśni ale musimy poczekać na wyrok.

Już niedługo nie będzie problemów jak ten tutaj: Rozszerzenie kar za przestępstwa komputerowe

Zgadza się. Mają zmienić ten przepis chociaż jak dla mnie niepotrzebnie.

http://prawo.vagla.pl/node/8154

@up: zaden Humor. Łącze tego posta z tematem, ktory juz byl na ten temat

edit: i połączone

@LonelyKnight
Sam piszesz o amerykańskim prawie, a potem walisz że nie było ominięcia zabezpieczeń.
Do czego służył formularz? Do wprowadzenia swojego loginu i hasła aby dać uprawnienia do dostępu, nie mając konta, lub specjalnie wpisując inne dane próbujesz ominąć zabezpieczenia, i koniec na ten temat. Że do dziurki (od klucza ) można wsadzić co się chce, nie znaczy, że jak się to zrobi to nie poniesie się konsekwencji. Można wsadzić przecież tytanowy klucz i używając dźwigni przełamać zabezpieczenie, czy nawet fuksem mieć tak podobny klucz, czy ukradziony, że otworzy się bez problemu, ale to nie zmienia faktu wejścia bez uprawnień.
Jedyne rzecz która mogła by być usprawiedliwiona to taka, że zalogowaliśmy się do systemu i dostaliśmy z wyniku błędu uprawnienia których nie powinniśmy mieć.

Co do samego zgłaszania takich rzeczy, to ten ostatni przykład można podać, bo to nie wynika z naszej strony, te co były sprawą rozprawy i podobne, czyli wykorzystanie jakiś "trików", moim zdaniem podpisać umowę o znajdywanie takich rzeczy, a potem dopiero powiedzieć w prost, że się taki znalazło (oczywiście nie podawać że to było przed podpisaniem umowy, bo nie wiem czy tego nie dało by się już wykorzystać).

@Sedziwoj ale przeciez sedzia oglosil juz wynik (link dwa posty wyzej) "Nie można złamać czegoś, czego nie ma". Po sprawie

@nospor

Właśnie tu pies jest pogrzebany. Jeśli istnieje możliwość wstrzyknięcia kodu SQL, to zabezpieczenia nie ma – w praktycznym wymiarze. Jednak zabezpieczenie istniało i działało dobrze dla ludzi, którzy o tym nie wiedzieli.

Dobrze, że u nas nie ma precedensów. Gdyby tak było, to każde ominięcie zabezpieczeń dałoby się podpiąć pod ten wyrok. Zabezpieczenia dało się ominąć, więc ich w praktyce nie było, więc nie ma sprawy. SSH udało się wyeksploitować, bo nie było zabezpieczone, więc nie ma sprawy...

Wychodzę na słup telefoniczny, podłączam telefon i rozmawiam. Zabezpieczeń nie było, czyli jestem bezkarny? Jak dla mnie wyrok sądu jest zły.

EDIT: Oczywiście zabezpieczeń nie było i w tym wypadku nie "złamałbym" ich, ale nie zmienia to faktu że byłbym winny i powinienem zostać za to ukarany.

@michalkjp chodziło mi oto, ze sąd sie wypowiedział i po sprawie. To czy sie z tym zgadzam czy nie nie bylo zamiarem mojego poprzedniego posta.

Choc osobiscie ciesze sie z takiego wyroku akurat w tej konkretnej sprawie.

@webdice

Z tego co słyszałem, podpinanie się "na pajączka" do linii telekomunikacyjnych jest surowo karane.

@nospor

Co do tej konkretnej sprawy, to nie mam zdania. Nie wiem jaką formą miała "oferta pomocy" w usunięciu luki – już kilka razy słyszałem o zwykłych szantażach (na dobrą sprawę chyba ciężko jest zaoferować taką usługę w sposób, który nie wygląda jak szantaż...). Nie wiem też co podkusiło firmę do tak drastycznych posunięć.

A więc tak – nie mam nic do wykrywania błędów czy luk w programach (sam znalazłem trochę błędów w Linuksie, niektóre z nich można było wykorzystać jako lokalny DoS, dla innych pewnie też dałoby się znaleźć zastosowanie) problem polega tylko na sposobie powiadomienia o zaistnieniu takiego błędu. Jeśli ma to wyglądać jak szantaż, to jestem zdecydowanie przeciw. Jeśli sprawa miałaby się skończyć precedensem, który byłby biczem na wszystkich ludzi szukających błędów w programach, to też jestem zdecydowanie przeciw.

Precedens w takiej sprawie byłby bardzo niebezpieczny – każda powinna być rozpatrywana indywidualnie przez sędziego, który przede wszystkim zna się na rzeczy (na ławników raczej nie można liczyć...).

@nospor

Tylko że ta sprawa to nie główny temat dyskusji.

@sedziwuj
to nie jest sprawa tytulowa (tytul i pierwsze pare postow bylo ogolnie), ale szybko zrobila sie glowna

No jasne że jest karane, ale biorąc pod uwagę wyrok tej rozprawy powinienem czuć się bezkarny.

Ja się cieszę, z takiego wyroku, bo jest on sprawiedliwy. Nie wiem, ilu z Was czytało uzasadnienie sądu, ale jest ono zgodne z obecnym prawem, co sąd sam podkreśla. Nie można karać za posiadanie dostępu do informacji bez przełamania zabezpieczeń. Te istnieć muszą, jeśli informacje są prawnie chronione. Sąd podkreśla dodatkowo, że prawo należy zmienić (z tym się nie zgadzam), aby również ataki SQL Injection były uznawane za włamanie. Nie zgadzam się, bo doprowadzimy do sytuacji komicznej, gdzie programiści zaczną myśleć, że żadne filtry nie są potrzebne, bo wystarczy ostrzeżenie "sql injecion karane", a hakierzy będą i tak mieli to głęboko w ...
Nawet, nawet tak się nie stanie, to i tak na 100% ewentualne przypadki takich dziur nie będą zgłaszane firmom.To dopiero będzie raj przestępców.
Pozdrawiam.