Zapadł wyrok w sprawie hakera, który zastosował atak typu SQL Injection, w celu uzyskania dostępu do cudzej strony WWW. Polski sąd uniewinnił “włamywacza” uznając że nie da się “przełamać czegoś co nie istnieje”. Chodziło tu o zabezpieczenia serwisu.
Sprawę opisywał serwis VaGla.pl w tekstach Fuszerka wykonawcy, szukanie luki, oferta naprawy i kajdanki i Ciąg dalszy w sprawie, w której kajdanek użyto po podpisaniu klauzuli.
W toku postępowania przed sądem, Sąd – mając na uwadze wątpliwości wynikające z doświadczenia życiowego oraz wniosek obrońcy oskarżonego – dopuścił dowód z opinii innego biegłego. Z tej opinii zaś wynikało, że poprzez wprowadzenie ciągu znaków “‘ or 1=1” mężczyzna nie dokonał złamania zabezpieczeń bazy danych. Nie złamano żadnego hasła dostępowego do bazy danych, nie wpisano kodu programowego, a mężczyzna w żaden sposób nie wpłynął na funkcjonowanie zabezpieczeń bazy danych. Nie usunął również zabezpieczenia, a także nie zmienił haseł dostępowych, nie założył konta dostępowego do bazy danych. Z opinii biegłego wynikało, że wprowadzenie tego ciągu znaków należy uznać za wykorzystanie SQL Injection w celu obejścia zabezpieczeń, na co pozwoliło niewłaściwe zabezpieczenie bazy danych. Formularz logowania i serwis internetowy był tak skonstruowany, że podany przez mężczyznę ciąg znaków był dopuszczalnym ciągiem danych wejściowych dla tego typu pól formularza. Poprawność zaś tego ciągu znaków powinna zweryfikować aplikacja sprawdzając, czy w bazie danych jest zapisany użytkownik o takiej nazwie lub posiadający takie hasło i wygenerować odpowiedni komunikat o błędzie.
Obrony mężczyzny podjął się mec. Artur Kmieciak, znany m.in. z zakończonej sukcesem ruchu wolnego oprogramowania sprawy udostępnienia przez ZUS specyfikacji protokołów komunikacji wykorzystywanych przez program Płatnik.
Uzasadnienie wyroku przeczytać można w podlinkowanym artykule w serwisie VaGli.
Dodaj komentarz