Kilka razy zdarzyło mi uczestniczyć w specyficznym rodzaju konwersacji z osobami zazwyczaj początkującymi lub luźno związanymi z hackingiem, która szła mniej więcej tak:
Mój Rozmówca: - Jak się włamać na stronę XYZ?
Ja: - A dlaczego chcesz się włamać na stronę XYZ?
MR: - Bo chce przećwiczyć to czego się nauczyłem.
Ja: - Ale wiesz, że włamując się na stronę XYZ podpadasz pod Kodeks Karny?
MR (zirytowany): - No to jak niby według ciebie mam ćwiczyć hacking?!
Tego typu (lub bardzo zbliżonych) rozmów przeprowadziłem na tyle dużo, że uznałem za warte spisania zagadnienia omawiane zazwyczaj w dalszej części takiej dyskusji.
Zacznę od kilku popularnych mitów często powtarzanych przez rozmówców, gdy wskazuje na KK:
Mit 1: "Mogę włamać się na cudzą stronę jeśli robie to w celach edukacyjnych"
"Mogę" jest tutaj rozumiane jako "legalnym jest", lub bardziej potocznie, "nie dostanę za to po łapach".
Ale niestety, gdyby zajrzeć do polskiego Kodeksu Karnego (Art. 267), to nie ma tam nic o zwolnieniu z odpowiedzialności jeśli ktoś włamuje się tylko w "celach edukacyjnych". Nie jest również nigdzie tam napisane, że jeśli ktoś włamuje się w "celach edukacyjnych" to staje się osobą uprawnioną ("Kto bez uprawnienia...").
Podsumowując: nie, włamywanie się w "celach edukacyjnych" nie jest legalne w świetle polskiego prawa karnego.
Mit 2: "Mogę włamać się na cudzą stronę jeśli nic nie zniszczę"
Rozumiane jako "zrobię deface ale zachowam stary plik jako index.php.bak".
Niestety, KK penalizuje już sam nieuprawniony dostęp do konta/danych/etc ("Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego."). W świetle powyższego, to czy coś zostanie zniszczone, czy nie, przestaje mieć już znaczenie.
Mit 3: "Mogę się włamać na cudzą stornę jeśli dam znać adminowi co było źle"
Tak tak, to również jest mit. Jak wyżej, kodeks karny nie mówi nic o tym czy atakujący poinformował czy coś było źle, czy nie, etc. Ważny jest sam fakt uzyskania nieuprawnionego dostępu do systemu lub danych.
Ale, jest w tym samym artykule (Art. 267 KK) zapis mówiący, że tego typu przestępstwa są ścigane na wniosek pokrzywdzonego. To oznacza mniej więcej tyle, że włamując się na daną stronę, a następnie zgłaszając adminowi błędy, zdajmy się na jego łaskę. Admin w zależności od nastroju/pogody/typu człowieka jakim jest/polityki firmy/etc, może:
- albo przesłać nam podziękowania (a może nawet i nawet jakiś upominek)
- albo udać się do prokuratury i złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa
W przeszłości zdarzało się i tak i tak.
W przypadku tego mitu zazwyczaj są podnoszone głosy protestu typu "ale przecież on dał/ja dałem im znać co jest nie tak, dlaczego więc ma/mam prokuraturę na karku?!?!". Jest tutaj kilka kwestii do przemyślenia (które polegają głównie na postawieniu się po drugiej stronie):
1. Skoro to prywatna strona (w rozumieniu "prywatna własność"), to co daje atakującemu prawo do naruszenia tej prywatności? (podpowiedź: nic)
2. Zamieńmy na chwilę słowo "strona", "serwer" czy "serwis" na słowo "dom". Czy gdyby ktoś obcy (zupełnie nieznajomy) włamał się do naszego domu, po czym powiedział nam jak to zrobił, to czy byśmy się ucieszyli z tego powodu? Czy uwierzyli byśmy jego zapewnieniom, że nic nie zginęło, że nie czytał naszego tajnego-pamiętnika-który-ukrywamy-pod-poduszką, etc? A może czulibyśmy się dziwnie, bo ktoś naruszył naszą prywatność? Być może nawet jakaś wdzięczność by się pojawiła po czasie, jak byśmy to przemyśleli i być może nawet kupili lepszy zamek, natomiast nie sądzę, żeby było to dominujące uczucie.
Mit 4: "Ucząc się hackingu zawsze podpada się pod KK, a jeśli się nie podpada, to się jest teoretykiem"
Nic bardziej mylnego! Jest cała masa różnych rzeczy które można robić, żeby poćwiczyć hacking w sposób całkowicie legalny (czyli taki przy którym można spać spokojnie w nocy nie martwiąc się o wjazd czołgu z napisem CBŚ o 5tej rano do naszego pokoju).
Hacking legalnie?
Oprócz spania spokojnie taka legalna aktywność ma jeszcze kilka innych zalet:
1. Można pod osiągnięciami podpisywać się własnym nickiem lub imieniem i nazwiskiem, tj. nie trzeba kryć się za tzw. fastnickami czy przejmować jeśli nasz nick pojawi się w okolicy naszego nazwiska.
2. Często można pochwalić się w CV lub w liście motywacyjnym rzeczami które zrobiliśmy/osiągnęliśmy.
3. Można pewne dokonania opublikować (np. w postaci wystąpienia na konferencji czy "papierka").
4. Można na tym zarabiać w całkiem legalny sposób (prosiłbym o nie komentowanie tego punktu w sposób "kasa mnie nie interesuje" przez osoby mieszkające z rodzicami ;> ... tak, takie komentarze się często zdarzają ;>).
Punkty 1-3 bardzo często bardzo pomagają w osiągnięciu punktu nr 4.
Więc, jak ćwiczyć ten cały hacking?
1. Hack Me, Crack Me, Sploit Me & Own Me
Istnieje całkiem sporo rożnych serwisów z zadaniami typu "przełam zabezpieczenie strony www/skryptu/programu/etc". Ponieważ owe zabezpieczenia zostały stworzone w celach edukacyjnych i zostały udostępnione po to, żeby je łamać, to całość jest legalna.
Kilka linków do takich serwisów:
http://www.overthewire.org/wargames/
http://tdhack.com/
http://crackmes.de/
http://securitytraps.no-ip.pl/
http://www.uw-team.org/
http://hax.tor.hu/welcome/
http://smashthestack.org/ (thx sts)
http://www.astalavista.com/index.php?app=hackingchallenge (thx Geding)
http://thisislegal.com/ (thx Geding)
http://www.bright-shadows.net/ (thx Geding)
http://hackme.m01.pl/ (thx Geding)
http://www.net-force.nl/challenges/ (thx Geding)
http://www.hackthissite.org (thx Geding)
http://www.wechall.net (agregator hackme; thx Geding)
http://www.hackertest.net/ (thx Nism0)
http://deathball.net/notpron/ (thx Nism0)
http://www.hack-test.com/index.htm (thx Nism0)
(zachęcam do podawania innych linków w komentarzach, postaram się je dodać tutaj)
Jest też kilka podobnych stronek w których oprócz zadań dostajemy serię podpowiedzi jak dane zadanie rozwiązać (lub gdzieś na stronie jest opublikowany tutorial do danego zadania). Wskazałbym tutaj następujące strony:
http://bootcamp.threats.pl/
http://google-gruyere.appspot.com/
http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project (thx crony)
(j/w)
2. Konkursy, turnieje, CTF
Co jakiś czas organizowane są jakieś konkursy lub turnieje (czasem zbliżone w formie do hackme, czasem nie), w których można wykazać się swoim skillem lub po prostu pobawić w rozwiązywanie zadań. Często takie konkursy towarzyszą różnym imprezom (patrz crackme i CTF na Confidence albo Pwn2Own na CanSecWest), a czasem są robione "bo tak".
Np. była w naszym kraju kilka lat temu seria konkursów pod nazwą Security Days. Najpierw był etap internetowy, który w skrócie, polegał na przełamaniu zabezpieczeń specjalnie spreparowanej w tym celu strony oraz kilku serwisów nasłuchujących na pewnych portach, a potem był etap offline typu "5 zadanek na 4 godziny czasu", podobnego rodzaju zadanek oczywiście.
Miłym bonusem do zdobycia odrobiny praktyki bywają tutaj nagrody, np. w postaci ciekawej książki, przenośnego dysku twardego, czy laptopa.
Skąd wiedzieć, że taki konkurs jest? Czytać serwisy newsowe / fora z branży :)
3. Vulnerability Bounty oraz creditsy
Pamiętacie jeszcze Mit 3? Otóż, istnieją firmy/etc które nie dość, że pozwalają grzebać na swoich stronach / w swoich produktach (chociaż tu mają mniej do "pozwalania"), to jeszcze za to płacą.
Od kilku lat fundacja Mozilla prowadzi program wypłat nagród za dobre (niebezpieczne) błędy znalezione w ich produktach:
http://www.mozilla.org/security/bug-bounty.html
Analogicznie, firma Google prowadzi dwa tego typu programy, jeden dla błędów znalezionych w Chrome, a drugi dla błędów znalezionych na stronach serwisów należących do Google. Szczegóły można znaleźć na tych stronach:
http://www.google.com/corporate/rewardprogram.html
http://dev.chromium.org/Home/chromium-security
Jest jeszcze kilka innych firm które mają podobne programy, lub które nagradzają znalazców np. zestawem własnych produktów.
(ponownie, zachęcam do wrzucania w komentarzach linków do innych podobnych programów)
UWAGA: Po przeczytaniu tej części przeczytaj koniecznie komentarz Borysa Łąckiego (3ci komentarz do tego postu) oraz kolejne komentarze w dyskusji.
Istnieje również cała masa firm/etc które są znane z tego, że dziękują za wskazane błędy. Tzn można domniemywać, że wyrażają zgodę na sprawdzenie bezpieczeństwa ich stron/serwerów, oczywiście pod warunkiem nie rozrabiania i zgłaszania wszystkiego co się znajdzie. Natomiast (patrz komentarz Borysa i moją odpowiedź na niego) takie domniemanie to bardzo śliska sprawa, więc trzeba być tutaj bardzo ostrożnym.
Jeśli natomiast firma explicit wyraża zgodę na testy (tj. uprawnia do nich) to zazwyczaj w zamian za głoszone błędy umieszcza imienne podziękowania dla osoby która znalazła dany błąd na swojej stronie, a czasem dorzucą jakiś drobny upominek (tak jak zrobiło to np. GG Network S.A. kilka dni temu (ponownie, patrz komentarz Borysa)).
Oznacza to mniej więcej tyle, że na stronach takich firm można sobie trochę poćwiczyć (ponownie zaznaczam: patrz Mit 3 i komentarz Borysa). Przy czym, chciałbym tutaj uczulić, że ataki DoS, DDoS, ściągnięcie z serwerów i publikacja czegokolwiek niepublicznego, itp, na pewno nie przerodzi się w podziękowania (patrz Mit 3). Tak więc wszystko w granicach rozsądku.
(P.S. tak, zgodnie z notką pod menu po prawej, na moim blogu również można sobie ćwiczyć ;>)
4. Ćwiczenia, eksperymenty, DVL
Nic nie stoi na przeszkodzie, żebyśmy sami (lub ze znajomymi) postawili jakąś stronę i spróbowali ją "shaczyć" (w końcu jeśli to nasza strona i nasz serwer, to jesteśmy uprawnieni do przełamywania zabezpieczeń). Oczywiście nie ogranicza się to do stron WWW - możemy stworzyć dowolnego rodzaju zabezpieczenie na dowolnym poziomie i się nim pobawić.
Ciekawym projektem jest np. Damn Vulnerable Linux, czyli distro Linuxa z celowo pozostawionymi lukami. Można je ściągnąć, zainstalować na jakiejś wirtualce (np. VirtualBox) i się pobawić.
5. Pentesty
W skrócie (i sporym uproszczeniu), pentest (Penetration Test) to przetestowanie zabezpieczeń sieci/serwerów należących do firmy która nas wynajęła. Czyli, firma X wynajmuje pentestera, a ten próbuje znaleźć wszystkie luki w zabezpieczeniach stron/serwerów. Firma musi oczywiście zlecić to konkretnemu pentesterowi/firmie która się tym zajmuje, dać odpowiednie uprawnienia, wskazać konkretne cele, ustalić zasady, etc. Z pentestu sporządzany jest raport, w którym musi być opisane co zostało przetestowane, gdzie znaleziono luki, sugestie jak je naprawić, itp., a następnie jest on przekazywany firmie (która na jego podstawie powinna połatać wszystkie luki).
Początkującym wskazuje, że można podpytać znajomych pentesterów lub firmy które się zajmują o praktyki czy dołączenie do pentestu.
Przy czym od razu mówię: pentest to praca, która wymaga systematycznego podejścia i profesjonalizmu (etyka), więc podejmując się pentestu podejmujemy się również pewnych zobowiązań i zasad które należy respektować.
(istnieje kilka spisanych metodyk przeprowadzania pentestu etc, np. OSSTMM czy OWASP Testing Guide z którymi warto się zapoznać)
6. Vulnerability Research
Testowanie bezpieczeństwa konkretnych serwerów czy stron internetowych to oczywiście nie wszystko. Można iść o abstrakcyjny krok wyżej i zająć się vulnerability researchem (tzw. bughuntem), czyli szukaniem luk (i dowodzeniem czy są exploitowalne) w konkretnym oprogramowaniu czy systemie operacyjnym.
Np., czy defaultowa instalacja XYZ OS jest bezpieczna? A może jest jakiś suidowalny pliczek który ma pewną lukę pozwalającą na podniesienie uprawnień? Czy aplikacja XYZ jest bezpieczna? A może ma pewną exploitowalną lukę która pozwala na przechwycenie danych lub zdalne wykonanie kodu? Itd.
Temat "jak szukać luk" jest zdecydowanie poza tematyką tego postu, natomiast sądzę, że na google można trochę metodologii znaleźć (jest też kilka ciekawych książek o testowaniu oprogramowania, na które również warto rzucić okiem).
Załóżmy, że znaleźliśmy lukę. Co dalej?
Zazwyczaj trzeba przygotować tzw. advisory lub bug report (czyli spisane informacje o tym na czym błąd polega i co można za jego pomocą uzyskać; np. w takiej formie) oraz (czasami) działający Proof of Concept (exploit który dowodzi, że luka faktycznie istnieje i jest exploitowalna) i zdecydować co z tym dalej zrobić. Opcje są następujące:
1. Przesłać vendorowi (twórcy systemu / oprogramowania) i dać mu czas na poprawienie błędu (jest to tzw. responsible discplosure zwane również vendor-coordinated disclosure).
2. Opublikować (np. na liście bugtraq lub full-disclosure) dając tym samym znać użytkownikom/adminom, pentesterom, a co za tym idzie, również innym atakującym (jest to tzw. full-disclosure).
3. Sprzedać lukę jednej z firm które skupują luki (w legalnych celach), np. iDefense Labs lub TippingPoint w ramach ZDI (oczywiście ta luka musi być odpowiednio dobra).
Które wybrać? To kwestia indywidualna i w zasadzie zależna od naszego "widzimisie".
Warto natomiast wiedzieć, że kwestia Full-Disclosure vs. Responsible-Disclosure jest wynikiem wielu dyskusji w środowisku, zachęcam do rzucenia okiem np. tutaj:
Not the disclosure debate again?...
Responsibilities in vulnerability disclosure
Również kwestia czy vendor powinien nagradzać zgłoszone bugi jakoś inaczej niż krótkim "dziękuje" czy creditsami jest szeroko dyskutowana. M.in. powstała inicjatywa No More Free Bugs.
Natomiast, jak pisałem w punkcie 3, niektórzy vendorzy (Google, Mozilla) już przyznają nagrody pieniężne za zgłoszone błędy w ich produktach.
Jeszcze jedna uwaga na koniec tego punktu - oprócz szukania samych błędów warto również poszukać nowych klas błędów, chociaż to już trochę inny poziom zaawansowania.
Done.
OK, ode mnie tyle. Mam nadzieję, że udało mi się dowieść, że hackingiem można zajmować się również całkowicie legalnie i że jest tutaj szerokie pole do popisu jak i pewne aspekty przyszłościowe czy lukratywne idące za tym.
Zachęcam czytelników do wrzucania pomysłów na inne legalne aktywności pomagające ćwiczyć hacking, w końcu komputery są coraz szerzej używane, więc za kilka lat przyda się zastrzyk pentesterów i researcherów na rynku pracy :)
P.S. Jeszcze kilka kwestii mi przyszło do głowy:
1. Jeśli bardzo nas "korci" jakaś strona/serwer, zawsze można zapytać admina czy można by ją potestować (taki mini-pentest). Oczywiście należy uszanować decyzję admina jeśli będzie odmowna, a jeśli się zgodzi, to dać znać co warto by poprawić. Ba, powiem więcej, ZALECAM takie podejście w przypadku stron/serwisów/serverów które przechowują nasze dane (np. hosting na którym chcemy hostować naszą stronę, i który umieścił w ofercie słowo "bezpieczeństwo").
2. Gorąco zachęcam do zapoznania się z prawem dotyczącym aspektów związanych z hackingiem w kraju w którym mieszkamy, oraz ze sprawami (w sądach) jakie miały w danym kraju miejsce. Lepiej wiedzieć takie rzeczy i wiedzieć gdzie mniej więcej biegnie linia między "legalny" i "nielegalny" niż kierować się "widzimisię" czy tzw "zdrowym rozsądkiem" (który nie zawsze z prawem ma dużo wspólnego). W przypadku gdy nasz cel leży w innym kraju, warto również zapoznać się z prawem tam obowiązującym. Historia zna kilka przypadków, gdy ktoś po paru latach poleciał do kraju XYZ i go "capneli" na granicy oraz poinformowali, że to co zrobił może i w jego kraju jest legalne, ale u nich nie.
Comments:
Zgadzam się z resztą ale tutaj bardzo bym uważał bo ten jeden paragraf dość mocno IMHO zubaża pozostały mądry wydźwięk tekstu. Młodzież może to zrozumieć po swojemu czyli: znajdę błędy i ich powiadomię i na pewno podziękują i wszyscy będą zadowoleni, w końcu już /przykład GG/ kiedyś podziękowali eurogąbkami czy innymi ggminutami ;]. A tego typu przypadki się mnożą /wystarczy przejrzeć głębokie ukrycia i inne tagi #security z blip.pl, które w większości przypadków są łamaniem prawa. A przecież chcemy chronić naszych milusińskich ;]]]]
http://thisislegal.com/
http://www.bright-shadows.net/
http://hackme.m01.pl/
http://www.net-force.nl/challenges/
http://www.hackthissite.org
Najlepsza strona: http://www.wechall.net - agreguje tego typu serwisy i zlicza z każdego punkty ;)
Thx, dodane ;>
@crony
Thx, dodane ;>
@Borys Łącki
Bardzo słuszna uwaga (wrzuciłem odnośnik do Twojego komentarza w poście).
Masz rację, że do złamania prawa w takiej sytuacji prawdopodobnie dochodzi, natomiast jako że pokrzywdzony nie uważa się za pokrzywdzonego i nie składa zawiadomienia, a Art. 267 wskazuje że są to czyny ścigane na wniosek pokrzywdzonego, to przypuszczam, że najistotniejsze tutaj jest to, że dana osoba nie będzie ścigana.
Ale jak pisałem w Mit 3, jest to kwestia admin/firmy/polityki/etc, więc jest to też pewne ryzyko.
Arashi zwróciła uwagę tutaj, że prezes/zarząd firmy/admin może się zmienić, a więc i polityka odnoszenia się do zgłoszeń bugów może się zmienić.
Być może warto więc w przypadku gdy nie me explicit napisane "jesteś uprawniony do testowania zabezpieczeń tej strony" warto o takie uprawnienie się postarać?
@shaql
Ah, masz rację, przyzwyczajenie ;) Fixed, thx.
@mt3o
Słuszna uwaga.
@Geding
Thx, dodane wszystkie po kolei ;>
Pozdrawiam :)
Przyznaje, że się wahałem, a sprawdziłem na google tylko "zdażyło" (210k wyników). Mój błąd, "zdarzyło" ma 1mln wyników.
Poprawione, thx ;)
IMO warto dodać, że sprawdzanie zabezpieczeń stron nie jest takie łatwe jak się wydaje.
Raz zdarzyło mi się testować stronę i na początku było fajnie, bo siedziałem i wynajdywałem(ręcznie) różne xssy, mysqli, lfi i masę innych prostych błędów(co można szybko i bez wysiłku znaleźć jakimś programem), ale jak później dostałem do przejrzenia kod php to zrobiło się niewesoło.
Skończyłem to tylko dlatego, że jakiś czas już nad tym spędziłem i szkoda by było nie dostać za niego kasy.
Inaczej pisząc czytanie cudzego kodu, szczególnie w języku dynamicznym, słabo typowanym, wplecionym w 2 inne i pozwalającym na chyba wszytko skutecznie mnie zniechęciło do tej profesji, a cała strona(nie licząc oddzielnego arkusza css) miała mniej niż 1200 lini(dla 10000 bym się chyba załamał).
To nie jest przełamanie zabezpieczeń, ale dostęp do danych, do których nie powinienem mieć dostępu - do których nie mam praw - uzyskuję dostęp do informacji dla mnie nie przeznaczonej. Wejście na linka (niewidoczny normalnie, tylko przy patrzeniu na nagłówki wiadomości) to może być traktowane jako przełamanie zabezpieczeń. Hacking?
Anom, tak to już jest z pentestami. Jest to jednak praca, do której trzeba być odpowiednio zmotywowanym i uzbrojonym w dużą dozę cierpliwości i samozaparcia.
@faramir
Skoro strona jest dostępna publicznie a ty dostałeś do niej linka, to najwyraźniej nie ma na niej poufnych danych, a sprawa jest raczej interesująca dla GIODO które powinno stwierdzić czy nadawca e-maila odpowiednio przechowuje dane.
Sądzę, że gdyby firma zgłosiła podejrzenie popełnienia przestępstwa z Art 267, to byłaby to ciekawa sprawa, ale sądzę, że można przypuszczać, że zostałbyś uniewinniony w tym konkretnym przypadku.
Inną sprawa byłby np. znalezienie przez ciebie (np. jakimś skanerem) import_old_users.php z listą e-maili. Imo tutaj pojawiają się pytania, czy stronę można uznać za publiczną jeśli jest ona dostępna przez HTTP bez żadnych haseł, czy może nie można, ponieważ nie ma do niej nigdzie publicznego linka.
Sądzę, że warto by zapytać jakiegoś prawnika o opinię/ekspertyzę (a najlepiej zapytać sądu), natomiast sprawa nie jest już zbyt jasna, i jest to narażanie się na ryzyko wjazdu czołgu z napisem CBŚ o 5tej nad ranem do sypialni.
Nie możesz się włamywać, ale zawsze możesz " klikać w urele "
Jeżeli dasz sobie narzucić ich perespektywę to przegrałeś
ale pamiętaj że oni tak na prawdę rzadko wiedzą o czym mówią
mając tylko jeden cel - uzyskać wyrok skazujący
, nie zależnie od tego czy jesteś winny czy nie
Wystarczy pamiętać o czymś bardzo naturalnym że wszystko można interpretować na kilka sposobów
Polska jest dość sepcyficznym krajem
gdzie np potrafi się zbierać "materiał dowodowy" ze skompromitowanego komputera - mało tego
działające na nim backdory można nawet włączyć pod paragraf
mówiący o posiadaniu i cośtam złośliwego oprogramowania
Niby s punktu widzenia biegłego wykonującego ekspertyze
jest to prawda
.No bo na dysku jest malware
Tyle tylko że nikt nie bierze już pod uwagę tego że ono sobie działa od N dni i zainfekowało tak integralne częsci systemu jak expolrer.exe
gdzie między innymi zostaje wykryte w trakcie ekspertyzy sądowej
W normalnym kraju moim zdaniem to chyba dyskfalifikuje większość materiału dowodowego
ale w Polsce zazwyczaj się to przykrywa milczeniem
i zwyczajnie straszy dzieciaka stosem pargrafów , opiniami "ekspretów" etc
Mimo wszytko nie polecam takiej formy zdobywania doświadczeń :D
@faramir: Prawo jest tak głupio skonstruowane, że niechby Ci admin serwisu przez przypadek wysłał dumpa tabeli użytkowników, to mogą Ciebie oskarżyć o nieuprawniony dostęp do materiałów firmy. Dlatego obstawałbym, że wszelka próba nawet wchodzenia przez otwarte drzwi jest średnio legalna.
Myślę, że zasadniczo chodzi właśnie o nie generowanie sytuacji, w której może skończyć się coś źle. To czy Twoje kliknięcie w odnośnik (niezależnie jak uzyskany, ukryty czy nie, z wyszukiwarki google czy nie) podejdzie pod Art. 267. Kodeksu Karnego to będzie kwestia biegłych, sądu, prawników itd. a nie naszych tutaj dywagacji. A to już będzie się działo w sądzie czyli w dość nieprzyjemnych okolicznościach, po zabraniu komputera klikającego do analizy i przy okazji wypunktowaniu nielegalne treści itp. Sprawa się będzie przeciągała w lata, zamiast na wakacje będzie trzeba stawiać się w sądzie bo "z ciekawości" kliknęło się link, którym to kliknięciem się miało nadzieję, że jednak nikt nas nie oskarży. I nawet jeśli biegli będą ścierali się czy było to ominięcie zabezpieczenia lub nie, czy było to przełamanie innego specjalnego zabezpieczenia, czy bez uprawnienia uzyskano dostęp do całości lub części systemu informatycznego - osoba klikająca będzie pluła sobie w brodę, że nie powstrzymała właśnie ciekawości i kliknęła.
Aktualny KK jest tak pechowo skonstruowany, że jak pokazał kiedyś przykład ze sprawą dotyczącą SQL injection, jest szansa, że określoną sprawę wygramy (zawsze jest jakaś szansa ;) co nie znaczy, że powinniśmy kierować się w stronę takiego zachowania gdzie wiemy, że jest one obarczone ryzykiem wystąpienia przykrych konsekwencji.
A na końcu i tak firma wyciągnie nie komputerowe argumenty, że przykładowo później chwaląc się odkryciem, doprowadziliście do milionowych strat i znajdzie prawnika, który znajdzie zupełnie nie komputerowe zarzuty, które zostaną potwierdzone ;]
Przekaz jest prosty: Każde działanie, może skończyć się źle. Dlatego dwa razy pomyślmy przed "kliknięciem" :]
Został uniewinniony. Co nie oznacza, że w każdej podobnej sprawie - zostaniesz uniewinniony.
Szczegóły:
http://prawo.vagla.pl/node/8154
"Z tej opinii zaś wynikało, że poprzez wprowadzenie ciągu znaków "' or 1=1" mężczyzna nie dokonał złamania zabezpieczeń bazy danych. Nie złamano żadnego hasła dostępowego do bazy danych, nie wpisano kodu programowego, a mężczyzna w żaden sposób nie wpłynął na funkcjonowanie zabezpieczeń bazy danych. Nie usunął również zabezpieczenia, a także nie zmienił haseł dostępowych, nie założył konta dostępowego do bazy danych. Z opinii biegłego wynikało, że wprowadzenie tego ciągu znaków należy uznać za wykorzystanie SQL Injection w celu obejścia zabezpieczeń, na co pozwoliło niewłaściwe zabezpieczenie bazy danych. Formularz logowania i serwis internetowy był tak skonstruowany, że podany przez mężczyznę ciąg znaków był dopuszczalnym ciągiem danych wejściowych dla tego typu pól formularza. Poprawność zaś tego ciągu znaków powinna zweryfikować aplikacja sprawdzając, czy w bazie danych jest zapisany użytkownik o takiej nazwie lub posiadający takie hasło i wygenerować odpowiedni komunikat o błędzie."
Od tamtego czasu zmieniło się prawo, jakiś rok temu (zima 2009). Kiedyś trzeba było "przełamać zabezpieczenia" teraz wystarczy "uzyskać dostęp do części systemu". Co oznacza w skrócie, że Gyn nas może zgłosić na Policję, bo nie mamy od niego pisemnej zgody na wysyłanie ciągu "GET " do jego infrastruktury. Mam nadzieję, że zostalibyśmy uniewinnieni, a nasze komputery wróciłyby do nas w stanie umożliwiającym ich prezentację w muzeum (Policja już nie raz gubiła je z depozytu).
@Makdaam
Macie, jest pod menu po prawej stronie. Pozwolę sobie zacytować:
"autor będący jednocześnie właścicielem bloga zezwala na próby (również skuteczne) przełamania zabezpieczeń bloga (na poziomie HTTP, server nie mój, zostawmy go w spokoju ;>) bez ponoszenia konsekwencji jakiegokolwiek rodzaju (nie dotyczy to ataków DoS) - czyli w skrócie, uznaje że wszystkie informacje w katalogu bloga są przeznaczone dla osób którym uda się je przeczytać, i wszystkie osoby uprawniam do zmiany ich treści/zawartości jeżeli uda się im ją zmienić)"
To powinno być wystarczające (chociaż przyznaję, że nie pokazywałem tego prawnikowi) do przeglądania mojego bloga ;)
Ad mit2: Taaa, w ameryce też można dostać kulkę za wejście na czyjeś podwórko
Ale tak czy siak, fajnie że to opisałeś. Ciekawe ile zbłąkanych owieczek udało ci się nawrócić.
Nie wiem czy to nie będzie zbyt wielki offtop, ale chętnie bym przeczytał o tym jak wykrywać luki w programach. Oczywiście oglądałem odcinki o reverse engineeringu, niemniej w bardziej rozbudowanych programach raczej trzeba wiedzieć gdzie szukać takiej luki. Czy to 6 programistyczny zmysł, który się wyrabia wraz z ilością przeczytanego zdeasemblowanego kodu, czy są jakieś techniki do szukania takich potencjalnych dziur?
Pozdrawiam serdecznie
us3r
Jednak pozostaję odrobinę "socjoskrętna" - Przy włamaniu na stronę moją czy mojej firmy pierwszą moją myślą byłoby "DLACZEGO AKURAT TA" ;)
teraz juz raczej nikt nie szuka luk czytajac zdisasmowanego exeka -- w przypadku realnych celow (czyli nie hackme), jak np. adobe reader, to po prostu niewykonalne. jesli dostepne sa zrodla, to sie je po prostu czyta, majac na uwadze rozne klasy bledow (stack/heap/integer overflow, use after free, etc) i/lub pisze fuzzery, jesli zrodel nie ma.
znajomosc asma jest potrzebna przy tworzeniu exploita, bo od znalezienia buga do odpalenia wlasnego kodu droga moze byc bardzo daleka (np.: http://goo.gl/MTOLs)
Gynvael : " (zachęcam do podawania innych linków w komentarzach, postaram się je dodać tutaj) "
http://www.hackertest.net/
http://deathball.net/notpron/
http://www.hack-test.com/index.htm
Co do samego posta :
Fajnie że w ogóle powstał taki post, jak czytam takie posty Twoje Gyn, jak np ten czy "wybór studiów" , "Poradnik Początkującego Programisty" to mam wrażenie że czytasz w cudzych umysłach i wiesz że akurat taki czy inny post jest w danej chwili potrzebny chociaż imo większość (o ile nie wszystkie) są, lub będą ponadczasowe ;)
Gritz
267.2 w postaci:
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
Innymi słowy używając takiej interpretacji - bardzo łatwo będzie w prawie każdym przypadku, przekonać sąd, że klikający jest WINNY. Nie trzeba już omijać specjalnych zabezpieczeń!
Ja używałem do php:
%s/^$a$/$jakaś_sensowna_nazwa ale sprawdzało się to raczej średnio.
Prosiłbym Cię, żebyś starał się jednak pisać mniej chaotycznie. Sądzę, że ułatwi to dyskusję :)
Ad Twoja wypowiedź:
Zauważ, że mój post proponuje podejście w którym nie musisz się z prokuratorem/biegłym kłócić o interpretację danych przepisów.
Co do sytuacji w której pozwana jest osoba która była częścią botnetu, o której, jak rozumiem, piszesz. Czy opisujesz jakąś konkretną sprawę która miała miejsce w Polsce? Czy mógłbyś napisać trochę więcej szczegółów (w mniej chaotyczny sposób)?
@Tomasz Kowalczyk
No cóż, oskarżyć to i teraz cię mogą o cokolwiek, kwestia czy uda im się uzyskać wyrok skazujący :)
@Borys Łącki
"Przekaz jest prosty: Każde działanie, może skończyć się źle. Dlatego dwa razy pomyślmy przed "kliknięciem" :]"
To mi przypomina kwestię wykorzystania klientów webowych jako proxy, np. crawlerów lub userów którzy nieopatrznie wchodzą na jakąś evil-stronę która zawiera <img src="http://companyxyz.com/?id='; DROP DATABASE clients --">.
(Zainteresowanych odsyłam do artykułu "Against the System: Rise of the Robots" lcamtufa, phrack 57)
(na resztę komentarzy odpisze później)
http://prawo.vagla.pl/node/9297
Wyrok w sprawie trzech prowadzących redwatch.org
Prowadzili serwis, w którym nawoływali do nienawiści i przemocy. Mimo tego, że serwer był w USA, Polaków obowiązywało polskie prawo. Osoba, która administrowała z USA nie została skazana gdyż jej polskie prawo nie dotyczyło.
Półtorej roku więzienia (nie w zawiasach) to jeden z wyższych wyroków tego typu za "administrowanie stroną" ;].
Ad Mit 1
Możemy, o czym wspominam w punkcie 3 :)
Ad "ci od inżynierii genetycznej czy medycyny to robią"
Nie mogę się z Tobą zgodzić. Z tego co mi wiadomo ilość obwarowań prawnych, etycznych, etc jest większa w genetyce i medycynie niż w hackingu, jeśli oczywiście mówimy o eksperymentach poza laboratorium.
A jak wspominam w punkcie 4, laboratorium to i do nauki hackingu sobie można zrobić :)
Ad nawracanie: każdy wybierze to co uzna za stosowne, po prostu chciałbym wierzyć, że wybór zostanie dokonany z pełną świadomością zalet, wad i konsekwencji :)
@us3r
Masz rację, skupiłem się na "włamaniu na stronę", ponieważ moi rozmówcy zazwyczaj o czymś takim właśnie mówili. Fakt faktem, na początku zabawy z hackingiem najbardziej widowiskowe wydają się być deface'y i "włamywanie się na strony", dlatego też o tym pisałem w mitach.
Ad jak szukać luk, to jest to "out of scope" tego wpisu, natomiast wrzucę sobie na listę TODO napisanie czegoś na ten temat (natomiast zachęcam do poszperania po google, sądzę że jakieś ciekawe materiały na ten temat się znajdą).
Ad gdzie szukać luk: wszędzie gdzie jakiś protokół/kanał/transmisja danych/etc łączy dwa ośrodki o różnych uprawnieniach :)
(też wrzucę na listę todo).
Ad techniki, stosuje się różne rzeczy, od fuzzingu/mutacji danych wejściowych, poprzez czytanie kodu (zarówno assembly jak i kodu w językach wyższego poziomu), czytanie dokumentacji, etc.
Zachęcam do rzucenia okiem na video z tego postu: http://gynvael.coldwind.pl/?id=179
@neme
Hehehe :)))
@jurek ogórek
Nadal się czyta deadlistingi, zarówno wybranych fragmentów, jak i podchodząc do pliku exe jako do całości (żeby daleko nie szukać, ostatni raz taką "technikę" stosowałem w zeszłym tygodniu ;>).
Ad link, readlist++ :)
Oczywiście zgadzam się, że w przypadku błędu leżącego w okolicy natywnego kodu znajomość assembly jest wymagana.
@Nism0
Thx za linki, dodane!
Cieszę się, że uważasz posty za przydatne :)
@Borys Łącki
Chwilę po wrzuceniu przez Ciebie komentarza Vagla dodał kolejnego posta o kolejnych proponowanych zmianach w KK:
http://prawo.vagla.pl/node/9299 - warte rzucenia okiem :)
13) po art. 255 dodaje się art. 255a w brzmieniu:
„Art. 255a. Kto rozpowszechnia treści mogące ułatwić popełnienie przestępstwa o charakterze terrorystycznym w zamiarze, aby przestępstwo takie zostało popełnione, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.”,
Tutaj jak słynny paragraf w .de. Prawie każde narzędzie służące do testowania bezpieczeństwa - może zostać w ten deseń podciągnięte. Ciekawe jak będą interpretować "zamiar". :] Miejmy nadzieję, że zgodnie z opisami na stronie Vagli jeśli nie będę nawoływał otwarcie "Tym skanerem, możesz zmienić świat" do terroryzmu, to przeżyję ;]
14) art. 268a § 1 otrzymuje brzmienie:
„Art. 268a. § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia dane informatyczne lub utrudnia dostęp do takich danych, podlega karze pozbawienia wolności do lat 3.”;
Ponownie widać choćby po komentarzach u Vagli, że prawo to trudna materia i nie da się zrobić uniwersalnego, pokrywającego wszystkie przypadki dobrobytu.
Tu ewidentnie podmiana strony WWW nawet z jej kopią zapasową podbiegnie pod ten paragraf.
Art. 268 mi się podoba, i gdyby obowiązywał wszędzie to ktoś zdolny kto znalazłby dziurę w np googlu i ujawni ją na swojej stronce miałby pewność, że google nie wpłynie na firmę hosting żeby twoją stronkę usunęli(wiem, że to utopia i będzie działało tylko w przypadku jednostek, lub małych firm, niemniej jednak miło pomarzyć).
Art.255 jest natomiast czymś kuriozalnym, bo to tak jakby karać za produkcję lub sprzedaż noży, bo przecież ktoś może nimi zabić, albo sznurków bo ktoś może kogoś powiesić.
IMO prawo nie powinno mieć wcale możliwości pokrycia wszystkiego, tylko pokrywać rzeczy niezbędne(tzn jakieś 80%(na oko) przepisów należy wywalić), niestety przyjęło się inaczej i dzięki temu nie mogę ściąć drzewa na mojej posesji bez pozwolenia, banany musiały mieć odpowiedni kąt, ślimak to ryba śródlądowa, a z drabiny należy schodzić tyłem.
cała seria hackme uw-team:
http://www.uw-team.org/hm3next/
http://www.uw-team.org/hm2/index.htm
http://www.uw-team.org/hackme/index.htm
chyba druga co do popularności w Polsce strona z hackme, crackme, kryptografia:
http://phmaster.info (design trocheskopany, ale zadanka naprawdę ciekawe)
Gyn badz tak mily i podepnij ;p napewno kogos zaciekawia.
Jakiś czas temu "przypadkiem" znalazłem sporą "lukę" typu głębokie ukrycie w jednym z serwisów pozwalająca na zdobycie sporej bazy maili i haseł. Napisałem do adminów z wyjaśnieniem przyczyn błędu oraz instrukcjami sposobu naprawy luki jednak olali maila. Dopiero po drugim mailu usunęli stronę/zabezpieczyli ale zero odzewu żadnych podziękowań ani na szczęście gróźb sądem, których oczywiście byłem świadom. Może jak pisał mt3o w swoim komentarzu oskarżenia pokażą przy podróży do stanów [:.
W dzisiejszych czasach, zwłaszcza dla osób, które interesują się tym zagadnieniem nie problem jest postawić sobie w domu serwerek i próbować go zdobyć. Przy modernizacji komputera/kupnie nowego planuje sobie zrobić właśnie coś takiego.
Sporo osób, które jeszcze się uczą może przejść się do dyrektora szkoły z prośba o przetestowanie serwera szkolnego. Po pierwsze sprawdzi umiejętności legalnie po drugie pokaże dlaczego hasło zaq1@WSX jest złym wyborem.
Paru adminów, których znam ma swoje serwery testowe, na które pozwoliliby jednej czy dwóm osobom ćwiczyć włamania jednocześnie sprawdzając własne umiejętności obronne wystarczy popytać.
Do niektórych serwisów hackme jakoś nie mam przekonania spora część zadań napisanych w javascriptcie gdzie kilkoma krokami można zrobić autodisolve podające hasełko. Jeden serwis, którego nazwy nie pamiętam (rangi były stopniem wojskowym)
miał naprawdę fajne zadanka, podobnie jak tdhack (wszystko poniżej 98pkt zrobione).
P.S.
CBŚ może wpaść najwcześniej o 6 rano.
Hf&Gl ;>
Ale faktycznie masz rację, ten blog jest świetnym "polem do popisu " dla niejednej osoby , nawet dla tych bardziej zaawansowanych (o ile się nie mylę, na razie nikt nie zdobył "twierdzy" Gynvaela ;] ). Jednak tutaj dla ludzi którzy zaczynają przygodę z hackingiem, lub dopiero chcą ją rozpocząć pojawia się pewien problem, który tkwi w tym, że zarówno na blogu Gyna jak i innych stronach (np typu hackme) można poćwiczyć zdobytą już wiedzę w praktyce. Ofc to dobrze że jest gdzie legalnie poćwiczyć, ale imo problemem "nowicjuszy" jest to, że nie wiedzą gdzie i w jaki sposób mają się uczyć hackingu. Tutaj z pomocą przychodzą chociażby takie linki jak podaje autora wątku na jego początku. Jest tam fajnie opisane co,jak i dlaczego, ale rzeczą jasną jest, że to nie wszystko. Oczywistym jest także, ze w sieci nie ma żadnego "How To" zostać hakerem, bo to by było bezsensu. Bardziej chodzi o sposób nauki aniżeli o materiały do niej, bo tych w sieci naprawdę nie brakuje wobec czego osoba która zabiera się za naukę hackingu ma spory "arsenał" który może wykorzystać.
Dziś przygotowałem kolejne wyzwanie (w zasadzie zabawę). Więcej szczegółów na jej temat znajduje się pod adresem http://threats.pl/bezpieczenstwo-aplikacji-internetowych/lekcja-25-wyzwanie-v. Zapraszam do zabawy i powodzenia!
Możesz polecić jakieś pozycje?
ale zdziwiło mnie, że tu nie ma żadnego: http://gynvael.coldwind.pl/download.php?f=../index.php . a powinien być :P
hmm, co by tu jeszcze... utf7xss pewnie nie zadziała, a nawet jeśli, nie będzie z tego kotka...
Ciekawy wpis, jak zwykle. Co do hackingu i Twojego punktu widzenia Gyn, to mogę mieć tylko jedno zastrzeżenie: jeśli ktoś ma zostać ekspertem i specjalistą, to zostanie. Jeśli ktoś jest leniwy i opiera się na gotowych rozwiązaniach - nie. Charakteru człowieka nie zmienią żadne słowa, sam się o tym przekonałem czytając miliardy motywujących tekstów. Dopiero wzięcie się za robotę i samodzielne dłubanie oraz nauka przynoszą efekty. Niemniej, dobrze jest od czasu do czasu wesprzeć się tego typu artem, dlatego świetnie, że je tworzysz dla braci informatycznej ;> Może zawrócisz jedną na milion zabłąkaną owieczkę, kto wie... :D
a odnośnie "Charakteru człowieka nie zmienią żadne słowa, (...)Dopiero wzięcie się za robotę i samodzielne dłubanie oraz nauka przynoszą efekty." - wydawało mi się, że najpierw trzeba zmienić charakter człowieka, żeby sam się wziął do roboty xD (co mi się czasem udaje na niektórych :P ). ale to by wymagało ścisłych definicji takich rzeczy, jak "charakter człowieka", i innych rozważań filozoficznych :P
co do captchy: nietrudno napisać bota, zawsze jest najpierw mnożenie, potem dodawanie, zawsze są te 3 liczby. trudno to zaprogramować? xD a jak wynik działania jest ten sam, to i hash md5 jest ten sam, ale nie udało mi się znaleźć czego konkretnie jest to hash. może jest solony przy pomocy IP? xD
Tutaj wynik byłby niezmienny, ale na wielu stronach różnice mogłyby być spore.
http://www.signedness.org/challenges/
http://www.owasp.org/index.php/OWASP_CTF
p.s. strasznie skomplikowane te dzialania matematyczne;-p
Myślę, że warto zerknąć. Sensowny poradnik :)
Hacker101 to agregat Bug Bounty - w poście jest o tym w sekcji Vulnerability Bounty (tzn nie konkretnie o tym serwisie, ale o samym koncepcie).
Add a comment: