Haker uniewinniony w sprawie o SQL Injection

Zapadł wyrok w sprawie hakera, który zastosował atak typu SQL Injection, w celu uzyskania dostępu do cudzej strony WWW. Polski sąd uniewinnił “włamywacza” uznając że nie da się “przełamać czegoś co nie istnieje”. Chodziło tu o zabezpieczenia serwisu.

Sprawę opisywał serwis VaGla.pl w tekstach Fuszerka wykonawcy, szukanie luki, oferta naprawy i kajdanki i Ciąg dalszy w sprawie, w której kajdanek użyto po podpisaniu klauzuli.

W toku postępowania przed sądem, Sąd – mając na uwadze wątpliwości wynikające z doświadczenia życiowego oraz wniosek obrońcy oskarżonego – dopuścił dowód z opinii innego biegłego. Z tej opinii zaś wynikało, że poprzez wprowadzenie ciągu znaków “‘ or 1=1” mężczyzna nie dokonał złamania zabezpieczeń bazy danych. Nie złamano żadnego hasła dostępowego do bazy danych, nie wpisano kodu programowego, a mężczyzna w żaden sposób nie wpłynął na funkcjonowanie zabezpieczeń bazy danych. Nie usunął również zabezpieczenia, a także nie zmienił haseł dostępowych, nie założył konta dostępowego do bazy danych. Z opinii biegłego wynikało, że wprowadzenie tego ciągu znaków należy uznać za wykorzystanie SQL Injection w celu obejścia zabezpieczeń, na co pozwoliło niewłaściwe zabezpieczenie bazy danych. Formularz logowania i serwis internetowy był tak skonstruowany, że podany przez mężczyznę ciąg znaków był dopuszczalnym ciągiem danych wejściowych dla tego typu pól formularza. Poprawność zaś tego ciągu znaków powinna zweryfikować aplikacja sprawdzając, czy w bazie danych jest zapisany użytkownik o takiej nazwie lub posiadający takie hasło i wygenerować odpowiedni komunikat o błędzie.

Obrony mężczyzny podjął się mec. Artur Kmieciak, znany m.in. z zakończonej sukcesem ruchu wolnego oprogramowania sprawy udostępnienia przez ZUS specyfikacji protokołów komunikacji wykorzystywanych przez program Płatnik.

Uzasadnienie wyroku przeczytać można w podlinkowanym artykule w serwisie VaGli.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

41 odpowiedzi na „Haker uniewinniony w sprawie o SQL Injection”
  1. Awatar VaGla
    VaGla

    Nawet nie tyle opisywał tą sprawę serwis VaGla.pl co sam VaGla ją opisywał 🙂 Pozdrawiam

    1. Awatar michuk
      michuk

      E tam, od dawna wiadomo, że VaGla nie istnieje i tak naprawdę wszystkie niusy tam publikuje automat.

      1. Awatar jellonek
        jellonek

        yyy, android 😉
        to wlasnie pod wplywem jakosci/innowacyjnosci VaGLi polscy pracownicy googli zaproponowali nazwe dla ich nowego produktu – zawsze to troche na reklamie zaoszczedza 😉

      2. Awatar Jakub Klawiter
        Jakub Klawiter

        Tak, tak … a ten automat to zmodyfikowany Tomek Surmacz najsłynniejszy bot polskiego usenetu. takie kity to my, ale nie nam! 😀

  2. Awatar Ponton
    Ponton

    To nie jest haker.

    1. Awatar michuk
      michuk

      Nie jest to też cracker ani script-kiddie. Uznałem, że włamanie nie wykonane gotowym automatem, a nie dokonane z chęcią zysku czy modyfikacji danych kwalifikuje się najbardziej na miano "hakerskiego".

      1. Awatar szatox (ktoś)
        szatox (ktoś)

        na pewno bardziej niż pozostałe. Jak by nie było, tutaj przynajmniej nie razi

      2. Awatar Kamil Reszczyk
        Kamil Reszczyk

        Metoda z jakiej skorzystano w celu przeprowadzenia ataku jest na tyle powszechnie znana (OR '1'='1'), że zdcydowanie nie należy tego jeszcze tak nazywać. Tytuł powinien więc brzmieć "Włamywacz amator uniewinniony w sprawie o SQL Injection".

        1. Awatar jellonek
          jellonek

          Mateusz nie jest ani amatorem, ani włamywaczem, tak więc oba miana które mu przypinasz, są "lekko" nie na miejscu.
          Nazywanie tego "atakiem" to również spore nadużycie…

        2. Awatar Kamil Reszczyk
          Kamil Reszczyk

          Napisałem to tylko na podstawie suchych informacji z powyższego news'a.

        3. Awatar jellonek
          jellonek

          nastepnym razem siegnij do zrodel, nim zaczniesz sie tak wypowiadac…

        4. Awatar DeBill
          DeBill

          @jellonek: Śmiem twierdzić że jest to atak. Większość z nas kojarzy słowo "atak" a większą… agresją, ale… czy należy z armaty strzelać do komara?

  3. Awatar Hanka
    Hanka

    To bardzo dobrze. Kolejny dowód na to, że żyjemy w normalnym kraju, a nie w cyrku.

    1. Awatar Kamil Porembiński
      Kamil Porembiński

      Ciekawe czy też byś tak mówił jakby ktoś Tobie się tak "włamał" 😉

      1. Awatar jellonek
        jellonek

        MówiłA 😉
        Za nieuwagę się płaci. Czasem niestety boleśnie…

        1. Awatar Kamil Porembiński
          Kamil Porembiński

          Fakt 😉 Nieuwagę? A może brak doświadczenia? Głupotę? Coś jak sprawa z wyciekiem CV z zainwestujwprzyszlosc.pl 😉

        2. Awatar jellonek
          jellonek

          tak, tak…
          można to i tak nazwać…
          niestety obecnie próbuje się piętnować niosących pomoc, a nie układających kładki ze spróchniałych desek…

    2. Awatar Albi
      Albi

      No przepraszam bardzo, w moim przekonaniu jest to nieetyczne co najmniej. To, że jest zgodne z polskim prawem (które w tej kwestii jest dziurawe jak sitko), nie oznacza że można włamywać się i robić co się zechce. Czyli jeżeli przypadkiem wyświetli mi się hasło do ftp onet'u (uproszczenie takie), to od razu mam im zrobić deface'a i będzie to legalne?

      Z drugiej strony biorąc pod uwagę okoliczności (zgłoszenie problemu poprzed bezpośredni kontakt i chęć pomocy) zachowanie właścicieli strony jest po prostu śmieszne i w tej kwestii się z Tobą zgadzam.

      1. Awatar Joseph
        Joseph

        Pomijając, że na onecie to nie za pomocą ftp zmienia stronę to jednak można to przyrównać jakbyś zobaczył rażący błąd i poinformował twórce o tym nie nie zmieniając na stronie. A to jest jednak pewna różnica.
        Sam mam czasem dylemat czy zgłaszać takie dziury twórcom. Bo one aż kłują w oczy.

        1. Awatar shoomq
          shoomq

          Zgłaszaj. Mnie kiedyś zwrócono i zauważyłem com przeoczył. Byłem zadowolony, że mi zgłoszono. Od tego czasu tego nie przeoczam 🙂 ku chwale i bezpieczeństwu każdego produktu wychodzącego spod mych palców 🙂

          Oczywiście różne są wydźwięki takiego zgłoszenia. Początkowo też była afera, że wykryto dziurę. Ale ze spokojem została załatana i szafa gra. Na szczęście mamy (my, twórcy programów) za pazuchą argument, że "nawet sam Microsoft co miesiąc łata dziury" 🙂 jakkolwiek durnie to brzmi, na lajkonika to wystarcza (bo już fachowiec się zdumiewa, czemu tylko raz na miesiąc).

      2. Awatar Sławek
        Sławek

        Czytałeś niusa? Osoba ta nie wyrządziła żadnych szkód, nie dodała backdoora, nie utworzyła sobie profilu, nie zmieniła hasła, itd. A Polskie prawo nie byłoby nieprecyzyjne, gdyby zabraniało wchodzenia na serwery w dowolny sposób? Ktoś to może wykorzystać m.in do zakazania z korzystania z danej przeglądarki. Przypomnę, że ta osoba nie złamała żadnych zabezpieczeń.

  4. Awatar zarazek
    zarazek

    Dla mnie to dziwny wyrok. Przypuśćmy, że zapomniałem zamknąć zamek w drzwiach. Po powrocie zastałem w mieszkaniu obcego człowieka. Czy jeśli ten ktoś będzie się tłumaczył, że chciał tylko pozwiedzać, nic nie ukradł ani nie wymienił zamka w drziwach, to też zostanie uniewinniony?

    1. Awatar mirek
      mirek

      @zarazek: Uzyskanie dostępu a faktyczny dostęp (skorzystanie z dostępu) to co innego. Twoja analogia powinna raczej wyglądać tak – "o drzwi są otwarte" 🙂 Z powyższego tekstu wynika, że gościu tylko stwierdził, że serwis jest podatny na taki atak i tyle.

    2. Awatar jellonek
      jellonek

      drzwi byly otwarte?
      niczego nie ukradl, ani nie zniszczyl?
      po opuszczeniu twojego mieszkania poinformowal cie o tym ze pozostwiles luke bezpieczenstwa i ktos moze wykorzystac ja w zlym celu – powinno sie go ukarac?
      otwarte drzwi – to nietypowa sytuacja – sprawdzal tylko czy wszytko jest ok, a ty go po sadach chcesz ciagac?

    3. Awatar krowa mućka
      krowa mućka

      przypuśćmy, że idę nocą i widzę wyłamane drzwi w czyimś domu, wchodzę, pytam czy trzeba pomocy, facet w środku mówi, że nie (nie wiem nawet, czy to nie włamywacz), wracam do domu, tydzień później pozywają mnie do sądu za włamanie – właściwie słusznie, przecież nadgorliwość jest gorsza od zbrodni

      hmmm, po zastanowieniu, powinienem był wejść, wziąć co się da i zmyć się przed ewentualnym przybyciem policji. gwarantowane umorzenie z powodu niewykrycia sprawców zapewnia mi całkowite bezpieczeństwo, a takie zachowanie wpisuje się w promowane obecnie wartości społeczne

    4. Awatar Soll
      Soll

      A popełnił przestępstwo? Kradzież? Zniszczenie? A może zapukał, nikt nie otworzył ale zobaczył że otwarte i pomyślał, że może straciłeś przytomność, uderzyłeś o stół i teraz leżysz w kałuży krwi w kuchni i potrzebna Ci pomoc? W końcu nie wszyscy ludzie to złodzieje…

      Do momentu gdy nie zostanie udowodnione popełnienie przestępstwa to człowiek jest niewinny! I tak na szczęście stwierdził też sąd.

      PS. Wielu hakerów świadomie popełnia "przestępstwa" w celu wykrycia luk w oprogramowaniu nie czerpiąc z tego korzyści lecz np. w celu podniesienia bezpieczeństwa programów (w tym przypadku serwisu/strony www).

    5. Awatar krowa mućka
      krowa mućka

      wczytałem się w treść i było nawet gorzej, faceta poprosili o pomoc, zwodzili, modzili a potem pozwali, po prostu przejaw debilizmu skrajnego, nie tylko sobie nabruździli, ale wielu innym firmom, które oszukane przez autorów WWW nie będą mogły liczyć na pomoc, bo się ludzie będą bali pozwu, co za kretyni

      1. Awatar Sławek
        Sławek

        To nie jest odosobniony przypadek. Tak jest chyba w przypadku każdej sytuacji, gdy ktoś uprzejmie nas informuje o naszych problemach. Chcieli po prostu gościa wykorzystać. Wypytać, gdzie jest luka, najszybciej podłożyć mu umowę NDA i przyznanie się do winy pod nos. W ten sposób przymknęli by buźkę temu człowiekowi na bardzo długo, a ze swoimi zabezpieczeniami bardzo długo mogliby nic nie robić, bo facet siedzi teraz w wiezieniu, a po wyjściu zobowiązuje go umowa na zachowanie tajemnicy. Swoją drogą mogliby też poprawić ten błąd w bezpieczeństwie, ale nie oszukujmy się. Większość firm webmasterskich i niezależnych projektantów nie przekazuje praw autorskich na swoich klientów, więc naprawa nawet błahego błędu byłaby strasznie droga.

    6. Awatar bla
      bla

      Zgodnie z KK nie będzie to włamanie (nawet bodaj zasuwka zamykająca dzwi nie kwalifikuje otwarcia takowych do włamania). Dopiero jeśli Ci coś ukradnie złamie prawo.

      Ale wszelakie analogie do rzeczywistości się tu nie sprawdzają, więc lepiej ich nie używać.

      1. Awatar Jas Wedrowniczek
        Jas Wedrowniczek

        Jest jeszcze coś takiego jak naruszenie miru domowego.

        Prawo jest jednak elastyczne i zależy w pewnym stopniu od papugi…

        1. Awatar [r4]
          [r4]

          Papugi? A nie jaskółki?

          Afrykańskiej czy europejskiej? 🙂

        2. Awatar krowa mućka
          krowa mućka

          jakiego miru domowego??? w odniesieniu do SERWISU internetowego i to serwisu FIRMY??? mieszasz waść pojęcia jak nie przymierzając spuszczana woda zawartość klozetu

    7. Awatar zarazek
      zarazek

      Eeee… nie doczytałem, że ten "włamywacz" poinformował właścicieli strony o błędzie. Jeśli tak, to wszystko w porządku. Przepraszam za niepotrzebne zamieszanie spowodowane moim postem.

      1. Awatar uczciwy obywatel
        uczciwy obywatel

        Jasne. Zatrudniam hakiera dobra-rada by wykradł dane konkurencji, a potem się przedstawił, wskazał luki i przeprosił. Haker bezpieczny, nikt go nie aresztue, a ja mam (nie)legalnie zdobyte dane za pomocą których zniszcze konkurencję. Albo jeszcze lepiej. Mafia zatrudnia hakiera dobra-rada by się włamał na serwer policji. Nic nie ukradł, nie zniszczył! Tylko podpatrzył adres świadka koronnego… W sumie to można pozwolić na totalną inwigilację, zakładanie podsłuchów w domach itp. bo wg. waszych sądów nie są to czyny szkodliwe. Ludzie! Co z wami???!! Tacy z Was wolnościowcy?

        1. Awatar jellonek
          jellonek

          piszesz o wykradaniu danych – czyli o przestepstwie
          to, ze ktos znalazl luke – NIE OZNACZA ZE AUTOMATYCZNIE ROBIL TO W CELU NEGATYWNYM DLA SPRAWDZANEJ OSOBY.
          czlowieku, co z Toba? tak ciezko zrozumiec ze TU NIE BYLO ZADNEGO WLAMANIA?
          jesli ktos podniesie portfel, ktory upusciles, po czym poda Ci go, zaczniesz z miejsca okrzykiwac go zlodziejem, bo wszedl w posiadanie twojej wlasnosci bez twojej wiedzy?
          nie upraszczaj tak sytuacji! przynajmniej sprobuj sie nieco wysilic, by ja przeanalizowac!
          nie neguj tylko po to by negowac!

    8. Awatar Thar
      Thar

      Przypadek mojej matki: z zakładu pracy nieznany sprawca wyniósł torebkę, po czym różne fragmenty jej zawartości znalazły się w różnych częściach miasta. Nie zginęły dokumenty ani pieniądze. Orzeczenie prokuratury brzmiało “brak znamion czynu zabronionego”.

  5. Awatar init.d
    init.d

    ale dlaczego wieść o tym jest dzisiaj, a nie w sierpniu? Wyrok z uzasadnieniem zapadł kilkadziesiąt dni temu.

    1. Awatar umlaut
      umlaut

      … dzis vagla raczyl poinformowac o tym …

    2. Awatar maquina
      maquina

      Może wyrok dopiero teraz się uprawomocnił?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *