Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Kamisamacz 21. 02. 2020, 13:39:15
-
Zdravím pánové,
je to pár sekund co se mi stala taková patálie, našel jsem na internetu NVR co mělo defaultní login.
Po hodině hledáni jsem přišel na to koho to je a dotyčnému dal echo o nastalé situaci. Ten mi poděkoval. (milý starší pán)
Asi po čtvrt hodině mě volal technik s klasickými otázkami jak, kde....a zakončil to debatou o tom že je to nelegální a jestli jsem s tím něco provedl bude mě žalovat. (už byl mírně agresivní) A nechtěl si přiznat že žádné hackovaní zařízení které asi on nainstaloval nebylo.
Otázka zní, jak moc může jeho žaloba být velká, a co mi hrozí za mou dobrotu?
-
Pokud jsi upozornil na defaultní login, tak se ti nic stát nemůže. Technikovi by mohlo.
-
Právníci, které znám, se shodují na tom, že i použití výchozího přihlašovacího hesla je neoprávněný přístup k počítačovému systému (http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230), samozřejmě pokud se nejedná například o objednané penetrační testování.
-
Nic by se ti nemelo stat - nemaji jak prokazat ze nejakou neplechu si provedl konkretne ty. A zadruhe pochybuji, ze slo o neco vice, nez nejaky vylev technika amatera.
Je to asi stejny problem, jako dukazna nouze u stahovani skrze otevrenou wifi - tim, ze oni meli zarizeni otevrene do celeho internetu, nemuzou rict, ze jsi to provedl konkretne ty - skudcu tam mohlo byt mnoho jinych.
A pro priste - doporucuji nahravat si hovory - takove nahodne arogantni vyhrozovace je nutno mit zalogovano elektronicky, at ma clovek klidne spani a nepremysli nad tim, zda to mysleli vazne nebo ne :)
-
Děkuji za odezvu, a propo měl jsem ho upozornit že moje xiaomi automaticky nahrává tento rozhovor. Ale naučil jsem se to říkat jen když volá nějaká reklama.
Pročetl jsem i odkaz na daný zákon, a pár bodů by se asi našlo. ale nic co by odvrátilo konaní dobra :-D.
Ještě jednou íki za reakce :-) .
-
Právníci, které znám, se shodují na tom, že i použití výchozího přihlašovacího hesla je neoprávněný přístup k počítačovému systému (http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230), samozřejmě pokud se nejedná například o objednané penetrační testování.
Souhlasím. Ale aby to bylo trestné musel by tam ještě být i úmysl a společenská škodlivost podle §12 (2) a §13 (2).
Takže náhodný objev s oznámením problému majiteli by měl být úplně v pohodě.
-
Právníci, které znám, se shodují na tom, že i použití výchozího přihlašovacího hesla je neoprávněný přístup k počítačovému systému (http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230), samozřejmě pokud se nejedná například o objednané penetrační testování.
V tomto případě naprosto souhlasím. Jedná je o neoprávněný přístup k počítačovému systému(pokud se přihlásil). Definice je naprosto zjevná,snadno pochopitelná a navíc ani neumožnuje více verzí výkladu jak je to v naší legislativě běžné.
Na podání žaloby to skutečně je. Dále je otázka důkazů, jak jsi s nimi komunikoval(telefonní záznam, mail = může být použít jako přímý/nepřímý důkaz ) atd.. . Prostě pokud jsi narazil na kokoty mohou ti velmi znepříjemnit život.
-
V tomto případě naprosto souhlasím. Jedná je o neoprávněný přístup k počítačovému systému(pokud se přihlásil). Definice je naprosto zjevná,snadno pochopitelná a navíc ani neumožnuje více verzí výkladu jak je to v naší legislativě běžné.
To by jste se divil - jednoznacne vyklady zakonu temer neexistuji. Citace "Kdo překoná bezpečnostní opatření," znamena, ze musite prekonat ono opatreni - zde se konkretne jedna o zabezpeceni elektronickeho systemu pripojeneho do site / Internetu. Kazdy znalec IT bezpecnosti rekne, ze musi byt nastaveno heslo (a to netrivialni a ne ze seznamu leaknutych hesel). Tudiz system, ktery vyuziva vychozich hesel, verejne znamych, nelze povazovat za system, na kterem bylo jakekoliv opatreni provedeno - zalujici stranou - majitelem/provozovatelem. Opacny nazor maji zrejme pravnici co stoji na druhe strane sporu :-)
Dotaz na zalujici stranu / admina by byl: Jake bezpecnostni opatreni jste provedl? ... zadne ... a navic to pripojil do verejne site. Takze bod (1) zakona nebude pro tento pripad platit.
Co bod (2), kde se nevyzaduje prekonani niceho - ten by jiz platit na default heslo mohl. Ale to by pan musel neco skaredeho provest podle bodu a) az d) ... a muselo by mu to byt prokazano.
-
To by jste se divil - jednoznacne vyklady zakonu temer neexistuji. Citace "Kdo překoná bezpečnostní opatření," znamena, ze musite prekonat ono opatreni - zde se konkretne jedna o zabezpeceni elektronickeho systemu pripojeneho do site / Internetu. Kazdy znalec IT bezpecnosti rekne, ze musi byt nastaveno heslo (a to netrivialni a ne ze seznamu leaknutych hesel). Tudiz system, ktery vyuziva vychozich hesel, verejne znamych, nelze povazovat za system, na kterem bylo jakekoliv opatreni provedeno - zalujici stranou - majitelem/provozovatelem. Opacny nazor maji zrejme pravnici co stoji na druhe strane sporu :-)
Dotaz na zalujici stranu / admina by byl: Jake bezpecnostni opatreni jste provedl? ... zadne ... a navic to pripojil do verejne site. Takze bod (1) zakona nebude pro tento pripad platit.
Co bod (2), kde se nevyzaduje prekonani niceho - ten by jiz platit na default heslo mohl. Ale to by pan musel neco skaredeho provest podle bodu a) az d) ... a muselo by mu to byt prokazano.
Za prvé je to otázka pro soudce
Za druhé já tvrdím ( můj názor ), že bod (1) provedl. Překonal bezpečnostní opatření a bezpečnostním opatřením je přihlášení a díky tomu získal neoprávněný přístup k danému zařízení. Kdyby to přihlášení (tvz. bez zadávání uživatele + hesla ) neexistovalo pak bod (1) nebyl naplněn. Klíčem je ta výchozí podmínka "překonání bezpečnostního opatření".
Bod (2) je podle mě pro obě varianty "bez bezpečnostního opatření" tvz. když chybí přihlášení a "s bezpečnostním opatřením" s přihlášením.
např. (2) a) nebylo naplněno ( žádné data nepoužil )
např. (2) b) nebylo naplněno ( žádné data nepožkodil )
např. (2) c) nebylo naplněno ( žádné data neupravil ), i když pokud dané zařízení logguje tak jeho přičiněním nová data nepřímo vznikla, ( byl upraven log file )
např. (2) d) nebylo naplněno ( žádné data nevložil )
- Bod (2) podle mě vůbec neprovedl
PS. podání žaloby != odsouzení, příp. zápis v trestním rejstříku. Jak jsem již uvedl, pokud to budou kokoti mohou mu velmi znepříjemnit život. Pořád je to jenom můj názor.
-
Už jsem to tu psal. Oba zapomínáte na:
§12 (2) Trestní odpovědnost pachatele a trestněprávní důsledky s ní spojené lze uplatňovat jen v případech společensky škodlivých, ve kterých nepostačuje uplatnění odpovědnosti podle jiného právního předpisu.
§13 (2) K trestní odpovědnosti za trestný čin je třeba úmyslného zavinění, nestanoví-li trestní zákon výslovně, že postačí zavinění z nedbalosti.
Takže pokud klikl na přímý odkaz například z vyhledávače, nenaplnil §13. A i pokud to zkusil o své iniciativě a jediný výsledek (a škoda) byl hlášení majiteli, tak ho poměrně dobře chrání §12, protože upozornění na chybu jednoznačně není společensky škodlivé. Naopak majitel může mít problém, pokud patří mezi povinné osoby a nenahlásí tu chybu NCKB (dle 181/2014 Sb.).
-
Pokud jsi tam nic nedelal/nestahoval, tak to soud pravdepodobne zamitne.
Nadruhou stranu, firma si udela super reklamu - zalujeme cloveka kterej se default heslem dostal do naseho NVR.
Mozna by stalo za to podat podnet na UOOU ;).
-
Pokud do toho systému nejste pozván, nemáte co zkoušet ani ten defaultní login. Je to považováno za neoprávněný přístup k systému a je to chráněno zákonem. V době, kdy jste se přihlašoval, nemohl jste vědět, co tam najdete (i když jste to předpokládal. Nemohl jste ani vědět, jestli najdete kontakt na majitele, nebo jestli ho zastihnete. Naopak jste věděl, že tam nemáte co dělat i jste věděl, že nemáte co zkoušet jakékoliv heslo. Tolik, jak je to technicky. V konkrétní, popsané situaci si nedovedu představit, že by Vás někdo potrestal, případně jen symbolicky.
-
Prostě sis spletl ip a přihlásil jsi se úplně náhodně. Pokud neexistuje email komunikace, tak už vůbec o ničem nevíš a pošli je do háje.
-
Prostě sis spletl ip a přihlásil jsi se úplně náhodně. Pokud neexistuje email komunikace, tak už vůbec o ničem nevíš a pošli je do háje.
Pokud ale důkazy existují, mohlo by to být složitější. Pak by musel prokazovat, jak k záměně došlo, že byl v dobré víře atd.
Nemyslím si, že by to kdokoliv kamkoliv hnal. Pro druhou stranu to představuje jen pakárnu, komplikace, náklady a žádný přínos. Dělají jen bububu. Možná dokonce dělá bububu jen tamní ajťák, co má máslo na hlavě za mizerné zabezpečení. Možná se jen potřeboval vykřičet, protože sám byl na koberečku.
Příště bych do cizích systémů nelezl a určitě bych to neoznačoval za "dobrotu".
-
A jaký z toho plyne poučení? Pro dobrotu na žebrotu...
A když už upozorňovat na nějaký problém, tak (semi)anonymně - tzn nějaký email co používám na registrace na internetu pod přezdívkou, nikoliv jmeno.prijmeni@gmail.com nebo když už telefon, tak to číslo co používám na registrace a ne moje primární...
-
Není mi jasné, proč jste tam lezl, ale dejme tomu, že to bylo jakési nedopatření. Pak jste narazil na tzv. ko*ota českého (český endemit, dle IUCN náležející k málo dotčeným druhům). Být na jeho místě, držím hubu a dělám, že jsem neviditelný. Nebylo to tu zmíněno, ale kdyby chtěl dělat problémy, nejprve bych zavolal tomu milému dědovi a probral s ním základní zabezpečení sítí, je dost možné, že je jeho nadřízeným a pořeší si to s ním, takže už o endemitovi neuslyšíte.
-
Ten předmět je uveden špatně - jestli chápu situaci, tak majitel byl za Vaši informaci vděčný a předal ji dál k řešení - prudič je nějaký blb, co to instaloval a nechal tam default login. Já bych viděl dvě cesty - kontaktujete toho pána majitele a domluvíte se s přímo ním, nebo to necháte být, pravděpodobnost, že to někdo někam požene je mizivá (navíc, když ten majitel proti vám zřejmě nic nemá, a prudič technik na to nemá páky - navíc je to jeho průser, osobně mne fascinuje drzost, že je takový lempl, a ještě si otevírá hubu).
Nicméně dobrý nápad by byl příště nelézt do cizích zařízení - chápu, že to bylo v dobré víře, ale jak vidíte, nevděk světem vládne - akorát z toho máte těžkou hlavu. Navíc to dle zákona je to na hraně.
-
Jen dvě připomínky:
1. Bezpečnostní opatření musí být účinné. Pokud tam někdo nechal default heslo, které je zveřejněné například v dokumentaci výrobce, pak se nejedná o účinné bezpečnostní opatření. Podobně jako zamčené dveře, u kterých klíč visí na klice. Soud bude na takové opatření nahlížet jako kdyby neexistovalo. Tedy pokud nějaký znalecký posudek nebude tvrdit opak.
2. I když tam není žádné bezpečnostní opatření, které by bylo nutné/možné obejít, tak ani tak tam nesmíte. Fakt, že si někdo nezamkne dům, vám ještě nedává právo jít dovnitř a dívat se kolem. Pro IS platí to samé - vy víte, že v tom systému nemáte co dělat, že není váš.
V tomhle případě bych se tedy ničeho nebál. Žádné účinné bezpečnostní opatření tam nebylo, takže nebylo co překonat. A pachatel jen vzal za kliku, vevnitř se neprocházel. Kdo tahá krátkou sirku je technik, který vyinkasoval peníze za práci, kterou neodvedl. Bohužel tady by musel žalobu podat majitel toho zařízení, náhodný kolemjdoucí by mohl leda kdyby to byl trestný čin. Což nemůže posoudit, protože se dovnitř nepodíval. Proto těžko může tvrdit věci typu "byly tam dostupné zdravotní záznamy" apod.
-
Hned mě napadl tenhle článek, u kterého jsem si říkal, že bych tu redaktorku poslal do háje. Upozornění na otevřený přístup je v pořádku a za to bych byl rád. Ale za zveřejnění v novinách/na internetu, to tedy ne - https://www.seznamzpravy.cz/clanek/videli-jsme-on-line-co-ma-byt-skryto-to-je-sila-reagovala-podnikatelka-89589
-
co je NVR? To celkem zásedně mění Postavení dotazu.
-
co je NVR? To celkem zásedně mění Postavení dotazu.
https://en.wikipedia.org/wiki/Network_video_recorder
-
co je NVR? To celkem zásedně mění Postavení dotazu.
Téda, vy musíte být žénius, že takovou triviálnost ani neumíte dohledat na Googlu. Nevím, proč vůbec plevelíte diskuzi takovýma blbostma, ale ono není pak divu, že když tady se zájmem nakouknu poslední dobou do nějaké diskuze o RPi, zda se tam nedozvím něco nového, tak je to jen váš dotaz na úplnou kravinu, pramenící z neschopnosti a lenosti si o tom něco najít.
-
Podobně jako zamčené dveře, u kterých klíč visí na klice. Soud bude na takové opatření nahlížet jako kdyby neexistovalo. Tedy pokud nějaký znalecký posudek nebude tvrdit opak.
Cože? Takže když někde uvidíte klíče ve dveřích, znamená to, že smíte dveře otevřít a jít dovnitř?
Nebo si představte, že jdete po ulici a budete zkoušet jeden rodinný dům vedle druhého, jestli je zamknutý a když nebude, tak půjdete majitele upozornit. Myslíte, že bude vděčný za upozornění, nebo Vás sjede, že jste jeho dveře neměl co zkoušet?
Jen na okraj, neoprávněný přístup do systému neznamená překonat jméno a heslo. I kdyby systém byl úplně bez loginu, ale byl nadepsaný: přístup jen pro zaměstnance, ale vy tam přesto půjdete, bude se jednat o neoprávněný přístup. To je stejné jako s těmi dveřmi, zloděj páchá trestný čin i když jsou dveře dokořán.
-
co je NVR? To celkem zásedně mění Postavení dotazu.
Téda, vy musíte být žénius, že takovou triviálnost ani neumíte dohledat na Googlu. Nevím, proč vůbec plevelíte diskuzi takovýma blbostma, ale ono není pak divu, že když tady se zájmem nakouknu poslední dobou do nějaké diskuze o RPi, zda se tam nedozvím něco nového, tak je to jen váš dotaz na úplnou kravinu, pramenící z neschopnosti a lenosti si o tom něco najít.
Pivotal je takový Pepek Vyskoč místní diskuse ;D
Ale teď také plevelím, tak slibuji, že už to dělat nebudu...
-
Na podání žaloby to skutečně je. Dále je otázka důkazů, jak jsi s nimi komunikoval(telefonní záznam, mail = může být použít jako přímý/nepřímý důkaz ) atd.. . Prostě pokud jsi narazil na kokoty mohou ti velmi znepříjemnit život.
Na podání žaloby? A o co? K tomu, aby ho mohli žalovat by jim musel způsobit nějakou škodu. Takže pokud si ji nevyrobí sami tak, aby to vypadalo, že ji způsobil on, jaksi ho nemají o co žalovat. Mohou tak maximálně podat trestní oznámení, které ale u soudu nemá šanci na úspěch protože opět chybí škoda i společenská nebezpečnost přičemž alespoň jedno z toho by muselo být přítomno. A co nemá šanci na úspěch u soudu, do toho půjde státní zástupce jen velmi nerad a do čeho půjde státní zástupce jen velmi nerad, do toho ráda nepůjde ani policie. (Zkušenost s případem v úplně jiné věci.)
-
...chybí škoda i společenská nebezpečnost přičemž alespoň jedno z toho by muselo být přítomno. A co nemá šanci na úspěch u soudu, do toho půjde státní zástupce jen velmi nerad a do čeho půjde státní zástupce jen velmi nerad, do toho ráda nepůjde ani policie...
Škoda není. Ale příslušné §§ TZ nepodmiňují trestnost jen škodou, ale i získáním prospěchu a dokonce stanovují trestnost i v případě, že ani prospěch nezískáte.
Společenská nebezpečnost existuje; každý hacker by v případě odhalení pokusu o přístup mohl vždy tvrdit, že nechtěl získat ani prospěch, ani způsobit škodu. Dokonce i ten, kdo opravdu nechce způsobit škodu, může v systému najít něco, co mu přijde na tolik lákavé, že "neodolá". Proto je to nastaveno právě tímto způsobem, aby byl každý odrazen to byť jen zkoušet.
https://www.zakonyprolidi.cz/cs/2009-40#p230. V odst. 1 je stanovena obecná trestnost, v odst. 2-5 jsou speciální sazby v případě způsobení škody nebo získání prospěchu; pokud nic z toho nenastane, spadá to právě pod odst. 1 (sazba až dvě léta nebo propadnutí věci).
Obdobně jsou nastaveny i další trestné činy a přečiny. Na nudistické pláži vidíte na vlastní oči obnažená těla. Přesto si je nemůžete fotografovat, ani pro vlastní potřebu, ačkoliv by na fotografii bylo zachyceno jen to samé, co jste in natura stejně viděl. Nezkoumá se, jestli jste fotografie chtěl ukazovat dalším osobám, nebo je prodávat a dál šířit.
V čem musím souhlasit je to, že v popsaném případě existují určité exkulpační faktory a že ani SZ, ani PČR se nepohrnou toto řešit. Technicky by se pravděpodobně odkázali na zásadu subsidiarity trestní represe (zásada praví, že co lze řešit mírnějšími nástroji práva, má se jimi řešit) a poškozeného by odkázali minimálně v první řadě na civilní řízení. Teprve kdyby poškozený trval právě na zmíněné společenské škodlivosti konání a vyargumentoval to (důvody jsem psal výše), teprve pak by se tím PČR zabývala doopravdy. Následně by to zařízl SZ, poškozený by se zase bránil, ..., až by to na konci z principu zařízl soud. To už dávno poškozený zjistí, že nemá smysl do toho vkládat energii.
-
A nenapadlo někoho (výrobce webkamer) defaultní hesla používat jen z interních IP, zatímco při přístup z internetu buď mít login defaultně vypnutý (jako mívají routery z WAN zakázán defaultně) a nebo aspoň mít jinou sadu přihlašovacích údajů z internetu - heslo by nebylo admin ale bylo by náhodné. Samozřejmě dostat se tam z interní sítě tam vždy lze.
Tedy. Jestli to takhle jde.
-
To je polořešení - zaprvé kameře je prd do toho, odkud provoz přichází, není to firewall. Zadruhé to nebrání proti útokům z nabouraných zařízení z vnitřní sítě. Zatřetí to do budoucna neřeší přístup výhradně z veřejných adres (IPv6). To už je lepší ono jinde navrhované řešení pro routery, že výchozím heslem se dá přihlásit jen jednou.