Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Elep331 04. 12. 2018, 10:07:57
-
Ahoj, nedávno na Rootu proběhl článek a nějaké blogové zápisky o Shodanu.
Ok, vlezete na Shodan, najdete si např. nějaký nezabezpečený NAS a pomocí výchozího jména a hesla si tam prohlédnete nějaká data. Případně vlezete někomu do domácího wifi routeru a něco mu tam pro výstrahu přenastavíte.
Jsou tyto činy mimo zákon?
Díky
-
Keď si niekto zabudne zamknúť byt, je legálne sa mu tam poprechádzať, pozrieť do skríň a poprehadzovať mu potraviny v chladničke?
-
Nejsem právník a zřejmě tady nikdo. Ale pro představu si stačí přečíst § 230 Trestního zákoníku (https://www.podnikatel.cz/zakony/zakon-c-40-2009-sb-trestni-zakonik/f3919953/#p230): „Kdo získá přístup k počítačovému systému nebo k nosiči informací a neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací… bude potrestán odnětím svobody až na tři léta, zákazem činnosti nebo propadnutím věci.“ Stoupá to pak podle závažnosti k osmi létům.
Podle mě to zavání trestným činem a neblbnul bych s tím.
-
To mi připomíná ranné hackery, jak si mysleli že budou beztrestní, protože hackují z výchovných důvodů, aby si banka zabezpečila líp systém :) Fakt je, že většina jenom zkoušela, co jim může projít.
-
Podívejte se na pravidla etického hackingu.
-
Keď si niekto zabudne zamknúť byt, je legálne sa mu tam poprechádzať, pozrieť do skríň a poprehadzovať mu potraviny v chladničke?
Jiný příklad: dejme tomu, že v šatně v posilovně budu mít pocit, že si někdo zapomněl zamknout skříňku -- v tu chvíli mi přijde normální tu skříňku otevřít a přesvědčit se, že jsou v ní skutečně věci a ne třeba jen nějaký bordel (což nešlo poznat, když byla zavřená/pootevřená). A následně se pak můžu podívat, jestli je majitel někde poblíž nebo to oznámit na recepci, ať mu to zamknou/uklidí.
-
Přesně proto se každý případ posuzuje individuálně a podstatnou roli tu hraje úmysl. Je rozdíl, když si z otevřeného cizího serveru dumpnu všechny databáze s uživatelskými účty, hesly a čísly karet nebo tam budu hledat mail na admina.
-
Za poslednich hromadu let jsem povypinal a poprenastavil hromadu WIFIn NASu IPkamer... u tech co mam "pri ceste"
a muzu po case "zkontrolovat" vetsinou majitel pochopil na poprve a pokud ne na podruhe uz zmizelo uplne.
-
A to zkoumání obsahu (prohlížení fotek, videa), kterým se tu někteří chlubili, je IMHO už jednoznacne za hranou zákona.
-
Ahoj, nedávno na Rootu proběhl článek a nějaké blogové zápisky o Shodanu.
Ok, vlezete na Shodan, najdete si např. nějaký nezabezpečený NAS a pomocí výchozího jména a hesla si tam prohlédnete nějaká data. Případně vlezete někomu do domácího wifi routeru a něco mu tam pro výstrahu přenastavíte.
Jsou tyto činy mimo zákon?
Díky
Nezamkl jsem uto. Může s nim kdokoliv jezdit? 8 z deseti dětí řekne že ne. Kolik ti je let?
-
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
-
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
Neco jako eticky hacking existuje... ale urcite to neobsahuje hrabani se cizimi daty a jejich kopirovani k sobe.
-
Podívejte se na pravidla etického hackingu.
Jejich dodržení (nejlépe dokumentované) je sice použitelná obhajoba, nicméně nezaručuje to právní ochranu, protože k protiprávnímu jednání i tak dojde. Ve výsledku pak záleží na intelektu soudce, který to eventuálně dostane na stůl. Rozhodně je dobré se před tím poradit s právníkem.
-
A to zkoumání obsahu (prohlížení fotek, videa), kterým se tu někteří chlubili, je IMHO už jednoznacne za hranou zákona.
Blbý je, že je to za hranou zákona i v případě, kdy je to nezbytné ke zjištění, koho je vlastně třeba kontaktovat. A pokud je dotyčný píčus, který i na upozornění že má problém reaguje žalobou, může to vyřešit až soudce, takže v každém případě podniknuté kroky dokumentovat pro účely doložení že škoda nevznikla a podniknuto bylo jen to nezbytné.
-
A to zkoumání obsahu (prohlížení fotek, videa), kterým se tu někteří chlubili, je IMHO už jednoznacne za hranou zákona.
Blbý je, že je to za hranou zákona i v případě, kdy je to nezbytné ke zjištění, koho je vlastně třeba kontaktovat. A pokud je dotyčný píčus, který i na upozornění že má problém reaguje žalobou, může to vyřešit až soudce, takže v každém případě podniknuté kroky dokumentovat pro účely doložení že škoda nevznikla a podniknuto bylo jen to nezbytné.
nezbytne ke zjisteni... ke zjisteni nepotrebujes zkoumat fotky, nebo obsah sdilenych disku, poskytovatel pripojeni (dane IP) ma patrne k dispozici informaci o tom kdo je zakaznik, tudiz ho muze kontaktovat. Prohlizeni si souboru/fotek/cehokoliv je z pohledu zakona za hranou.
-
Na druhou stranu je to dost neprůkazné -- dejme tomu, že vlezeš do nějakého adresáře pomocí GUI správce souborů, který automaticky ty soubory začne stahovat, aby zobrazil jejich náhled. Data po síti sice prošla, ale nedá se spolehlivě říct, jestli to byl tvůj záměr (ukrást cizí data). Než se tam rozkoukáš a uvědomíš si, co se stalo a vyhodnotíš situaci, tak už hodně dat mohlo protéct k tobě.
Tím nechci nikoho nabádat, aby se takhle vymlouval, ale chci jen říct, že ty případy jsou dost nejednoznačné a ta hranice není ostrá. Nakonec pak jde (mělo by jít) o ten úmysl -- zda jsi data zneužil nebo sis je nějak připravil/uložil, abys je mohl zneužít později. Nikoli to, zda nějaká data protekla po síti (což je to jediné, co může být vidět ze vzdáleného zařízení), protože to neříká nic o tom, jestli jsi je viděl a uložil, nebo skončila někde v /dev/null. Je to stejné, jako když tvůj server přijme e-mail pro tebe -- taky to neříká nic o tom, že o něm víš a četl jsi ho. A nakonec, když je nějaké zařízení kompromitované, tak v něm může rejdit kde kdo, může být nějakým útočníkem zavšivené, můžou v něm být promazané nebo naopak zfalšované logy... celkově není důvěryhodné.
Takže dodržujte netiketu, respektujte cizí soukromí. Nicméně u soudu musí stále platit presumpce neviny a měl by se primárně řešit úmysl a vzniklé škody.
-
A to zkoumání obsahu (prohlížení fotek, videa), kterým se tu někteří chlubili, je IMHO už jednoznacne za hranou zákona.
Blbý je, že je to za hranou zákona i v případě, kdy je to nezbytné ke zjištění, koho je vlastně třeba kontaktovat. A pokud je dotyčný píčus, který i na upozornění že má problém reaguje žalobou, může to vyřešit až soudce, takže v každém případě podniknuté kroky dokumentovat pro účely doložení že škoda nevznikla a podniknuto bylo jen to nezbytné.
A proč by mělo být nezbytné někoho kontaktovat? Jaký máš vůbec důvod se k nějakému cizímu zařízení připojovat a zkoumat, jaké má díry v konfiguraci? Jestli má někdo špatně zabezpečený router nebo server, tě vůbec nemusí zajímat, je to jeho blbost a jeho problém. Na ulici snad taky netaháš autům za kliku, jestli není nějaké odemčené.
-
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
Jakej je rozdil mezi tim, ze si browsas po necim webu a po neci nezajisteny sambe? Presne ... ZADNEJ. Takze neblabol.
-
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
Jakej je rozdil mezi tim, ze si browsas po necim webu a po neci nezajisteny sambe? Presne ... ZADNEJ. Takze neblabol.
Tak urcite...
-
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
Jakej je rozdil mezi tim, ze si browsas po necim webu a po neci nezajisteny sambe? Presne ... ZADNEJ. Takze neblabol.
Po technické stránce v použitém protokolu.
Po právní stránce obrovský.
-
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
Jakej je rozdil mezi tim, ze si browsas po necim webu a po neci nezajisteny sambe? Presne ... ZADNEJ. Takze neblabol.
Mi se líbí, jak Ty seš strašně rychle se vším hotovej.
:D
(asi Ti to tajně závidím)
-
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
Jakej je rozdil mezi tim, ze si browsas po necim webu a po neci nezajisteny sambe? Presne ... ZADNEJ. Takze neblabol.
Mi se líbí, jak Ty seš strašně rychle se vším hotovej.
:D
(asi Ti to tajně závidím)
Jeho zena musi mit radost...
-
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
Jakej je rozdil mezi tim, ze si browsas po necim webu a po neci nezajisteny sambe? Presne ... ZADNEJ. Takze neblabol.
Mi se líbí, jak Ty seš strašně rychle se vším hotovej.
:D
(asi Ti to tajně závidím)
Jeho zena musi mit radost...
Však to je dobře , ne? Je o to víc otevřená podnětům zvenčí...
-
LOGIKA op JE JASNÁ:
1. mám touhu lézt do cizích zařízení ale vím že je to špatné
2. vymyslím spoustu kokotin a postnu téma do rootu až dánlivě celou věc úplně rozmlžím
3. bylo mi to houby platné, protože lézt do cizích zařízení je morálně pořád špatné a většinou proti zákonu
-
Když už se tu diskutuje na tohle téma:
Občas - ne každý den a ne v množství větším než malém, spíš tak jednou za několik měsíců - mi přijde do jedné z mých emajlových schránek co má adresu která se dá snadno splést s jinými nějaký emajl co není určený mně. Pokud se to stane, vždy upozorním odesilatele, že se zmýlil a s obsahem emajlu nijak nepracuji. Nebo nedávno mi přišla serepeska o nějakém srazu co taky nebyla pro mne.
Tak mne zajímá, jak se na takové případy dívá zákon, například kdyby odesilatel předpokládal, že emajl nebo serepesku dostal pravý adresát a třeba by na tom, jestli to opravdu dostal záviselo hodně peněz.
-
Tak mne zajímá, jak se na takové případy dívá zákon, například kdyby odesilatel předpokládal, že emajl nebo serepesku dostal pravý adresát a třeba by na tom, jestli to opravdu dostal záviselo hodně peněz.
Keďže e-mail nie je garantovaná služba (od okamihu, ako mail opustí infraštruktúru odosielateľovho poskytovateľa, už nad ním nemá nijakú kontrolu), tak sa s tým nejako veľa neurobí, a odosielateľ, ktorý také niečo predpokladá (a, ak ide o veľa peňazí, nezavolá príjemcovi "dostali ste môj e-mail?"), dopadne neslávne...
-
Když už se tu diskutuje na tohle téma:
Občas - ne každý den a ne v množství větším než malém, spíš tak jednou za několik měsíců - mi přijde do jedné z mých emajlových schránek co má adresu která se dá snadno splést s jinými nějaký emajl co není určený mně. Pokud se to stane, vždy upozorním odesilatele, že se zmýlil a s obsahem emajlu nijak nepracuji. Nebo nedávno mi přišla serepeska o nějakém srazu co taky nebyla pro mne.
Tak mne zajímá, jak se na takové případy dívá zákon, například kdyby odesilatel předpokládal, že emajl nebo serepesku dostal pravý adresát a třeba by na tom, jestli to opravdu dostal záviselo hodně peněz.
Proč by se na to měl zákon nějak dívat? To je snad problém čistě mezi odesilatelem a adresátem – jeden sděli chybnou adresu a/nebo druhý chybně adresu napíše.
P.S.: Co je serepeska? V životě jsem takové slovo neslyšel.
-
Tak mne zajímá, jak se na takové případy dívá zákon, například kdyby odesilatel předpokládal, že emajl nebo serepesku dostal pravý adresát a třeba by na tom, jestli to opravdu dostal záviselo hodně peněz.
P.S.: Co je serepeska? V životě jsem takové slovo neslyšel.
Hádám že to je od spojení "sere pes", takže třeba SMS?
-
Jakej je rozdil mezi tim, ze si browsas po necim webu a po neci nezajisteny sambe? Presne ... ZADNEJ. Takze neblabol.
Asi takovej jako když jdeš do Ikey a lehneš si tam na vystavenou postel (oni jí vystavili věfomě a dali ti právo tu postel vyzkoušet) a pak obejdeš ulici a začneš zkoušet kdo zapomněl zamknout barák (shodan) a pokud bude odemčeno, tak se mu vyválíš v posteli (přístup jsi sice získal nenásilně, ale nelegálně zneužitím něčí neznalosti/opomenutí).
-
J to nenapsal úplně špatně. Přeformuluju to:
Když se někam dostanu (web, soubory v Sambě, FTP, ...), jak rozeznám, že je správce vědomě vystavil do netu, neboli jak poznám, že mám právo je prohlížet, od situace, kdy byly vystaveny omylem?
-
Co třeba z kontextu ? SMB s otevřeným guest accountem do Internetu nikdo vědomě nevystaví.
-
J to nenapsal úplně špatně. Přeformuluju to:
Když se někam dostanu (web, soubory v Sambě, FTP, ...), jak rozeznám, že je správce vědomě vystavil do netu, neboli jak poznám, že mám právo je prohlížet, od situace, kdy byly vystaveny omylem?
V § 230 trest. z. se rozlišuje:
1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému... (atd.) bude potrestán...
a
2) Kdo získá přístup a zároveň a) b) c) d) neoprávněně užije, poškodí, zničí, pozmění, potlačí atd. data, bude potrestán...
Neboli trestné je už samotné překonání bezpečnostního opatření. Není-li, tak je trestná až manipulace s daty.