Na 10 lat do więzienia za skrypt wysyłający żądania HTTP
- Dodano: 16 May 2010
- Wprowadził: Szymon Barczak
- Komentarze: 76
Pewien mieszkaniec Łotwy napisał w bashu skrypt pobierający pliki dostępne bez jakichkolwiek zapezpieczeń. Teraz grozi mu 10 lat więzienia.
“Groźny haker”, bo takim mianem został określony przez policję, napisał poniższy skrypt:
for i in {1..7500000}; do
wget http://www2.vid.gov.lv/eds/Pages/GetDuf.aspx?id=$i;
done
z pomocą którego Łotysz o nazwisku Poikans wyciągnął z serwera rządowego 7,5 miliona zeznań podatkowych.
Policja przeszukała mieszkanie dziennikarki, która jako pierwsza opisała sprawę, rekwirując (“zabezpieczając”) cały jej sprzęt komputerowy, dzięki czemu udało się namierzyć “groźnego hakera”. Teraz może spędzić w więzieniu aż 10 lat.
Wydaje się nieprawdopodobnym, iż można ukarać kogoś za samo zautomatyzowanie żądań HTTP. Wkraczając tutaj w dziedzinę prawa, nie ma znaczenia czy dane były dostępne bez zabezpieczeń czy z nimi, dostęp do nich bez odpowiednich pozwoleń podlega karze.
Więcej informacji: http://niebezpiecznik.pl/post/10-lat-wie...znik.pl%29
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
76 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Do powiadamiania dziennikarek proponuję używać tego. A same pliki należy pobierać chociażby przez proxy (jeszcze lepiej przez tunel ssh, bo wtedy trudno by ISP udowodnił wejście na daną stronę).
Na jakiej podstawie tak twierdzisz?
W niusie źródłowym w komentarzu była taka wypowiedź.
Komentarz nie jest podstawą prawną. Ja tyle wiem że można wszędzie wejść przez niezabezpieczone drzwi (tzn nie zamknięte na klucz i bez żadnego oznakowania) zupełnie legalnie – co innego jak są zamknięte albo jest napis np. nieupoważnionym wstęp wzbroniony. Co do zabezpieczeń to wydaje mi się że jak nie ma zabezpieczenia to można korzystać legalnie a tu ich nie było więc to było niczym przysłowiowa dycha na trawniku na ulicy – ale oczywiście wszyscy chyba wiedzą jak działa nasza kochana policja i prokuratura więc ten news specjalnie mnie nie zdziwił.
Mieszkasz na Łotwie?
Kradzież otwartego sampchodu z kluczykami w środku to dalej kradzież, czy sie to komu podoba czy nie
A cóż ten Łotysz ukradł?
Patrzenie na ekshibicjonistę to już nie podglądanie, czy się to komuś podoba czy nie.
No czekam na głosy zwolenników e-administracji
"Pewien mieszkaniec Wąchocka wykonał w garażu pudełko strzelające metalowymi kulkami w ludzi nieposiadających żadnych zabezpieczeń. Grozi mu za to 10 lat."
nieważne jest czy się "przełamuje zabezpieczenia" czy nie. Tak samo jak zapomnisz zamknąć drzwi mieszkania, czy ma to oznaczać ze każdy może tam wejść bez żadnych konsekwencji?
@el.pescado: Znaczy, w przypadku bezpieczenstwa teleinformatycznego niekoniecznie tak jest. To zalezy od ustawodawstwa w danym kraju, ale na przyklad w Polsce zeby skazac kogos za przelamanie zabezpieczenia, nalezy najpierw udowodnic, ze takie zabezpieczenie bylo i dzialalo.
Wydaje mi się, że w Polsce jest trochę inaczej – pamiętacie sprawę "włamania" się na stronę przez podanie użytkownika "Admin" i hasła "Admin"? Wydaje mi się (ale pamięć może mnie mylić) że sąd uniewinnił sprawcę, ponieważ "nie doszło do przełamania żadnych zabezpieczeń – bo żadnych realnych zabezpieczeń nie było".
Odświeżcie mi pamięć, bo mogę się na prawdę mylić
.
W Polsce od pewnego czasu jest dokładnie tak samo. I całe szczęście.
No tak… porównanie domu z stroną www, nieźle
Ciekawe jak byś rozważył taki błąd, jest strona dynamiczna i są na niej "ukryte" teksty (nie ma do nich linków na stronie) ale bez trudu otwiera się po podaniu jakiegoś id i przyjmijmy taki scenariusz.
Strona WWW:
text: index.(*)?id=1234, jest widoczny
text: index.(*)?id=123, jest niewidoczny i są dane poufne
Klient X:
Kopiuje sobie linka, ale ucina mu ostatni znak bo źle zaznaczył (mi się to zdarza dosyć często), przez co wchodzi na stronę zabezpieczoną.
Ile za to lat byś zasądził?
A jak widzisz rower na ulicy to tez wezmiesz tylko dlatego ze można?
Poza tym nie mów ze ktoś mógłby "przypadkowo" pobrać 7,5 miliona dokumentów…
No a czy ja bym pobrał przypadkowo? udostępniają to biorę, taka definicja stron WWW.
Zły masz przykład do takich rozmów, co innego by było jakby np: za pomocą SQL Inject lub innego ataku, przejął uprawnienia jakieś osoby która ma dostęp do dokumentów i wtedy pobrał te 7,5 mln. stron.
Mam nadzieje, że widzisz różnice.
Jeśli jest w mieście całe mnóstwo dostępnych za darmo rowerów, które można wziąć i sobie nimi pojeździć, to się nie będę zastanawiał, czy stający niezabezpieczony rower jest do użytku publicznego, czy jakiś dupek go nie zapiął.
Jak możecie porównywać dom albo rower z siecią? Co do przedmiotów, jest naturalnym że są one własnością prywatną i posiadają właściciela. Internet jednak służy do PUBLIKOWANIA informacji. Jeżeli zatem mogę wejść na jakąś stronę wklepując po prostu adres w przeglądarce to przyjmuję założenie,że informacje te zostały upublicznione celowo, a nie zastanawiam się czy admin to rzeczywiście taka dupa.
A skąd ta pewność? W naszym prawie uzyskanie nieuprawnionego dostępu do informacji jest karalne tylko, gdy dokonano go "przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie" (art. 267 KK).
Na Litwie może to wyglądać inaczej.
Nie tak samo (art. 193 KK). Takie analogie nie mają sensu.
Da się wejść nie wykonując włamania. Nie da się włamać do otwartego mieszkania. Naruszenie miru domowego może – ale kara nieporównywalnie mniejsza. Jak wejdziesz i coś ukradniesz to inna sprawa.
W Polsce prawo się w zeszłym roku zmieniło. Kiedyś trzeba było przełamywać zabezpieczenia, obecnie można pójść siedzieć za posiadanie nmapa.
to nie w Polsce a u niemcow
anonim wyżej podał konkretny artykuł kodeksu karnego, więc to raczej jemu wierzę. Poza tym czy tu nie chodzi o map24 czy jakoś tak?
"nieważne jest czy się “przełamuje zabezpieczenia” czy nie. Tak samo jak zapomnisz zamknąć drzwi mieszkania, czy ma to oznaczać ze każdy może tam wejść bez żadnych konsekwencji?"
Popełniasz błąd w myśleniu. Jeżeli chcesz używać takiego porównania to weź pod uwagę, że strona internetowa jest dostępna dla wszystkich(publiczna) i dom do którego porównujesz stronę również musi być publiczny. Dopiero wchodzenie tam gdzie jest napisane, że nie wolno, bądź wyważanie zamkniętych drzwi jest dopiero pogwałceniem prawa.
Analogie w prawie karnym, przynajmniej w Polsce, są zabronione. nullum crimen sine lege.
porównanie z domem chyba mało trafione. Tu raczej lepiej pasuje porównanie z knajpą, w której jest impreza zamknięta i zapomniano zamknąć drzwi i wystawić bramkarza.
czyli gdyby Google zaindeksował te dokumenty i umieścił w wynikach wyszukiwania to należałoby zamknąć i Brin'a i Page'a?
wystawienie takich dokumentów publicznie to jak wystawienie roweru koło śmietnika, gdzie ludzie zostawiają kanapy, szafki itp
Drogi autorze – to, ze ktos zostal aresztowany, a potem okazalo sie, ze napisal tylko skrypt w bashu, nie oznacza, ze mozna kogos ukarac za zautomatyzowanie żądań HTTP. Bo raz, ze nikogo nie ukarano, a dwa, ze nie chodzi o zautomatyzowanie czegokolwiek.
Teraz każdy, kto rozumie powyższe parę linijek w Bashu, to groźny przestępca i kryminalista!
Tak na poważnie, to jedynie kompromitacja rządu. Jak inaczej można nazwać pozostawienie takiej furtki?
Całkowicie się zgadzam, w zasadzie to takie dane powinny “leżeć” na serwerze dopiętym od internetu i dostęp powinien być po odpowiednim uwierzytelnieniu a haker dobrze zrobił bo odkrył gołe dupsko żałosnych administratorów łotewskich dodatkowo z tego co widzę to te dane leżały na serwerze Windowsowym co udowadnia że nie system jest najsłabszym ogniwem a administrator…
Popraweczka [...]odpiętym od internetu[...]
Nie system czy administrator, a programista – admin nie musi wiedzieć jak działa hostowana aplikacja, tutaj dane są odpowiedzią na konkretny parametr w zapytaniu.
Admin MUSI wiedzieć jak działają aplikacje, które trzyma na serwerze. Admin musi wiedzieć jak ewentualne luki zabezpieczyć. Jeśli admin trzyma na swoim serwerze aplikację, która na proste zapytanie daje każdemu poufne dane (ot choćby /etc/password i /etc/shadow, albo tajne dane finansowe/podatkowe jak tutaj), to to jest dupa, nie admin.
O tak, zwłaszcza gdy zarząd firmy odgórnie kupi aplikację webową, bez źródeł, zaszyfrowaną icecubem, to admin będzie wiedział tyle co nic.
Popraw mnie jeżeli się mylę: admin jest od administrowania, programowanie to zadanie co najwyżej drugorzędne. Wzmiankowany administrator zazwyczaj nie jest też developerem softu, który na jego serwerze chodzi. Co z tego, że admin będzie wiedział jak działa soft? Luki mają to do siebie, że zainteresowani najczęściej nie mają pojęcia o ich istnieniu.
Od tego Windows czy Unix/Linux mają rozbudowany system uprawnień aby potencjalnie niepewne oprogramowanie mogło grzebać wyłącznie w swoich zasobach. To samo tyczy się chociażby baz danych.
.
Jak rozumiem jesteś wybitnym programistą-administratorem, który skomplikowane systemy zna na pamięć i wszystko odpala z roota? …bo tak można streścić to, co napisałeś.
Nie jestem ani wybitnym programistą ani wybitnym administratorem. Na adminowanie serwera, który odgórnie musi mieć zainstalowane takie dziurawe oprogramowanie i nikt mi tego oprogramowania zmienić nie pozwala, a zabezpieczyć go nie umiem, bym się po prostu nie zgodził. Bo nie jestem do tego wystarczająco kompetentny, znam swoje granice. Dla mnie proste. Jeśli ktoś na siłę dalej się w pcha w rządowe dane, które dosłownie każdy może sobie pobrać, to moje zdanie o nim jest jak w poście powyżej.
Nie uważacie, że admin tego czegoś nie powinien sprawdzić podatności na SQLInjection, proste zapytania, jak to wykorzystane w “ataku”, i tego typu najprostsze metody włamań? Jeśli nie, to od czego są admini? Od włączenia i wyłączenia serwera? Bo przecież całą resztę zrobili programiści pisząc oprogramowanie…
Inna sprawa, gdyby został przeprowadzony jakiś bardziej skomplikowany atak, wykradanie danych logowania admina przy użyciu błędu w oprogramowaniu – tak, wtedy wina jest programistów, admin ma prawo nie wiedzieć o ciężkiej do wykrycia luce. Ale tam te dane było można *dostać od serwera bez wykradania*, ot wpisując odpowiedni adres. Jeśli to nie jest sprawa admina, to ja naprawdę nie rozumiem idei administrowania serwerem.
nie ma to jak zrozumienie i rozroznienie funkcji administratora systemu operacyjnego, od administratora danych.
o wielki administratorze nie-dupo: doczytaj moze co prawnie nalezy do obowiazkow wspomnianych funkcji.
hint: administrator systemu operacyjnego to bardziej wąska funkcja, gdzie praca polega na utrzymywaniu ciaglosci dzialania systemu. administrator danych – to ta osoba dbajaca o to by przetwarzane dane zarowno wydajnie sie przetwarzaly, ale tez i wyniki ich przetwarzania trafialy wylacznie w upowaznione rece…
btw. to nie administrator systemu odpowiada za ochrone przed sqlinjection – jak juz to programista/tester tego oprogramowania. nie zrzucaj odpowiedzialnosci za brak kompetencji producenta, na sprzedawce…
OK, w tym wypadku zrób sobie w moich postach s/administrator/administrator danych/. Na tamtym serwerze były dane, które nigdy nie powinny trafić w niepowołane ręce, a mógł je wyciągnąć dzieciak z podstawówki. To oznacza błąd w konfiguracji serwera. Serwer nie powinien być skonfigurowany tak, żeby dostarczał każdemu poufne dane na każde zapytanie.
I nie, nie zrzucam odpowiedzialności z programistów na adminów, bo wina tych pierwszych jest oczywista. Ale IMO to nie upoważnia adminów do zupełnie bezrefleksyjnego wrzucenia tego softu i “niech się dzieje wola nieba”, bo programiści na pewno zrobili wszystko dobrze. Ale tak, zgadzam się, administrator systemu, który wpływu na serwowane dane i sposób ich serwowania nie ma żadnego, winien w żaden sposób nie jest. Inna sprawa, że nie użyłem nigdzie określenia “administrator systemu”, a rzucałem ogólnikowo “admin”.
To oznacza błąd w konfiguracji serwera. Serwer nie powinien być skonfigurowany tak, żeby dostarczał każdemu poufne dane na każde zapytanie. – dalej się mylisz. Aplikacja powinna wiedzieć komu dać dostęp do danych a komu nie.
Idąc tym tokiem myślenia administrator serwerowni w firmie hostingowej musi znać wszystkie aplikacje web klientów i je zabezpieczać a to jest ingerencja w cudzą prywatność.
Dobry administrator zabezpiecza system tak aby skopana aplikacja web zainstalowana przez użytkownika nie spowodowała paraliżu serwera (w tym jednym przypadku).
Twórcy aplikacji lub administrator tej aplikacji dał ciała. Administrator (w domyśle administrator serwera/systemu) jest całkowicie niewinny.
Pieprzysz, aplikacja ma wykonywać swoje zadanie i byc przy tym konfigurowalna bo nie każdy administrator chce bezpiecznie przetrzymywać te dane tak jak w tym przypadku, to administrator odpowiada gdzie aplikacja składuje swoje dane, to administrator odpowiada na to jakie usługi są włączone, jakie zabezpieczenia są włączone. Oczywiście, zatrudniajmy po jednym administratorze na każdą aplikację w systemie, w ten sposób nie będzie bezrobocia wśród administratorów.
Nie każdy wsadza swoje poufne dane do /home//html a tym bardziej nie każdy pozostawia uprawnienia do odczytu każdemu. Administrator to dupa i to on zawinił bo to On powinien się upewnić że wszystko jest w porządku i czy nie ma luk a że olał to ktoś to wykorzystał.
– A Ty gdzie trzymasz swoje zdjęcia w portfolio? W katalogu porno-z-nieletnia/ bo tak mi kazał administrator.
A teraz przemyśl swoje słowa.
– wyobrażasz sobie administratora który opiekuje się 5 maszynami, stroną www firmy (robi też grafikę i potrafi optymalizować każdy kod php/ruby/perl/etc), dodatkowo zna parę różnych systemów CMS które stosują różne oddziały firmy, obsługuje w pełni CRM, dodatkowo zajmuje się siecią w całym budynku, zaawansowanym routingiem, itd, itd… Jeżeli tak to zapraszam. Ale musisz posiadać minimalnie taką wiedzę jaką przedstawiłem i po jednym włamaniu do aplikacji wylatujesz z czarnymi referencjami na bruk. Gwarantuję Ci, że wylecisz po 1szym dniu.
Pracuję jako zewnętrzna firma oferująca outsourcing IT i wierz mi, nie odpowiadam za to jakie aplikacje mają użytkownicy, gdzie trzymają dane i jak można się do nich dostać. Pilnuję bezpieczeństwa systemu oraz sieci. Resztą zajmują się odpowiedni ludzie.
Skończ waść Pan i wstydu oszczędź.
I co by nie było, wszystko tyczy się aplikacji web czyli różnego rodzaju CMS itp systemów bo o tym jest artykuł jak i moja poprzednia wypowiedź do której się odnosisz. Wyjątek jest taki, że wcześniej użyłem zwrotu "aplikacja web" a teraz skróciłem to do "aplikacja".
Kompromitacja tak, ale nie rządu tylko osoby która napisała tą stronę (bądź jej część).
nie tylko, bo i jej zwierzchnikow.
ktos pisze, ktos testuj, ktos to pozniej instaluje, odbiera.
ktos to pozniej obsluguje – odpowiedzialnosc (w roznym stopniu) ponosza wszyscy.
No, i właśnie o to mi chodziło. Programiści, którzy to napisali nie są jedynymi winnymi, jak niektórzy to sugerują, człowiek, który zgodził się obsługiwać to oprogramowanie jest winny w równym stopniu. Dlatego, że nawet nie spróbował zabezpieczyć tych danych, i że mimo to zgodził się to obsługiwać AKA tym administrować.
Admin nie ma nic do zgadzania się – dostaje wrzutę z informacją "zainstalować, administrować".
Zawiódł proces wytwórczy oprogramowania zastosowany w przypadku tej aplikacji. Aplikacji szczególnie wrażliwej, bo (w teorii: selektywnie) udostępniającej poufne dane w publicznej sieci.
Gdzie człowiek się nie obróci tam straszni hakerzy czychają na jego zeznania podatkowe
Taki skrypt jest w stanie napisać uczeń podstawówki
ale uczen podstawowki nie za sobie sprawy z konsekwencji swoich kilku linijek kodu.
Tu nie trzeba nawet skryptu wystarczy
curl adres?id=[1-7500000]
To też swego rodzaju skrypt.
Wystarczy przeglądarka i ręczne zwiększanie numerka – czy to jest przestępstwo? A jeśli tak to czy muszę zrobić saveas by je popełnić? I od ilu obejrzanych zeznań to jest przestępstwo, a od ilu nie jest? Co ten skrypt tu zmienia?
samo polecenie skryptu nie czyni…
karze powinien podlegac ten, kto taki dostep zapewnil.
nie wiem jak w obliczu łotewskiego prawa calosc sie zakonczy – ale w polskim przypadku by spokojnie dalo sie chlopaka wybronic.
publicznie dostepne dane, brak przelamywania jakichkolwiek zabezpieczen (chociaz oskarzajacy moze udowadniac ze do tego jaka taki link powinien miec postac – musial dotrzec jakakolwiek droga, byc moze "przelamujac zabezpieczenia").
ale pomyslcie co by bylo gdyby na bialorusi kolo taki skrypt zapuscil – czapa przed procesem…
U nas teraz wyboru. Napiszmy skrypt odświeżający stronkę z wynikami (PKW?) co np. 2 sekundy… Zakładając że skoro nas tak uczyni zrobimy mały DoS…Ciekawe czy to karalne… W końcu zamierzeniem jest chęć posiadania udostępnionej bez limitów informacji…
Ech, standardowe osfaktowe brednie.Wg tej samej logiki gość, który zbudował taśmociąg, którym złodzieje wywozili worki z kasą z banku, byłby ścigany "za automatyzację przenoszenia ciężkich przedmiotów z punktu A do punktu B".
Hmm ten komentarz może być zinterpretowany jako obrona gościa od skryptu, więc się poprawię: wg tej samej logiki gość, który zbudował dedykowany taśmociąg dostosowany do architektury okradanego banku, którym następnie złodzieje wywozili worki z kasą, byłby ścigany za "automatyzację przenoszenia ciężkich przedmiotów z punktu A do punktu B" a nie za zwykły współudział w przestępstwie.
Po pierwsze: Czy wy też zauważyliście, że kary za przestępstwa, ba nawet coś kwalifikującego się pod wykroczenie internetowe są ostatnio coraz wyższe i w dodatku nieproporcjonalne do winy?
Po drugie: O ile dobrze pamiętam ten człowiek postanowił złamać prawo by ujawnić fakt, że tamtejsi politycy nie podawali swoich prawdziwych pensji wypłacanych z budżetu państwa. Bez dowodów przecież nic by nie mógł zrobić w tej sprawie – zwyczajnie oświadczono by, że to nieprawda i ukręcono łeb sprawie.
Rozumiem, że policja też powinna móc łamać prawo, żeby zdobyć dowody?
zgadza sie, ale tylko w niektorych sytuacjach (glownie drogówka).
@Prometheus: Po pierwsze – nie, nie zauwazylismy. Projekty zaostrzenia kar proponowane przez Ziobre na szczescie wyladowaly w smietniku.
A co do powodow zlamania prawa – nie wiem, jak jest na Litwie, ale u nas w tego typu sytuacjach sąd moze odstapic od wymierzenia kary, afaik, jesli uzna, ze "bylo warto". Sprawa opisana w niusie w ogole nie dotarla jeszcze do sadu (i nie wiadomo, czy dotrze).
Thanks for the post I actually learned something from it. Very good content on this site Always looking forward to new post.
This was novel. I wish I could read every post, but i have to go back to work now… But I’ll return.
bulky diary you’ve compass
You truly are a really wise person!
I have been a frequent follower of your website and will certainly stay to do so. The info is valuable for myself
I wish more people would write blogs like this that are really fun to read. With all the fluff floating around on the net, it is rare to read a blog like this instead.
This post is very accommodating for someone who has been having difficulties with this situation. I have seen at a amount of resources but to no avail. I will continue studying and learning here in the desire of finally getting past this.
I guess you hear and read this a lot: Thank you, thank you, thank you
WONDERFUL Post.thanks for share..more wait .. …
Thx for your post. I would really like to write my opinion that the cost of car insurance will vary from one scheme to another, for the reason that there are so many different issues which give rise to the overall cost. As an example, the make and model of the motor vehicle will have a massive bearing on the fee. A reliable outdated family auto will have a lower priced premium than the usual flashy expensive car.
I have to say, many of these comments strike a real chord with me but some peoples comments seem to get a bit too aggresive if you do not correspond with their thoughts.
I like the layout of your blog and I am going to do the same thing for mine. Do you have the script or where you get the theme from please?
The site feels good!!! Thanx a lot for everything you have placed into it. Just when I think the group couldn’t get improved, you learn ways to make it materialize!
My partner and I stumbled over here coming from a different website and thought I might as well check things out. I like what I see so i am just following you. Look forward to exploring your web page yet again.
@trasz – ale mimo wszystko trzeba przyznać, że kary na świecie są zaostrzane. Np. w takiej Anglii możesz pójść siedzieć, za samą odmowę podania hasła, do zaszyfrowanego pliku… (co prawda musiałbyś być podejrzany o terroryzm, no ale jednak).