Fórum Root.cz

Ostatní => Odkladiště => Téma založeno: Elep331 04. 12. 2018, 10:07:57

Název: Cizí data vs zákon
Přispěvatel: Elep331 04. 12. 2018, 10:07:57
Ahoj, nedávno na Rootu proběhl článek a nějaké blogové zápisky o Shodanu.

Ok, vlezete na Shodan, najdete si např. nějaký nezabezpečený NAS a pomocí výchozího jména a hesla si tam prohlédnete nějaká data. Případně vlezete někomu do domácího wifi routeru a něco mu tam pro výstrahu přenastavíte.

Jsou tyto činy mimo zákon?

Díky
Název: Re:Cizí data vs zákon
Přispěvatel: Trupik 04. 12. 2018, 10:22:02
Keď si niekto zabudne zamknúť byt, je legálne sa mu tam poprechádzať, pozrieť do skríň a poprehadzovať mu potraviny v chladničke?
Název: Re:Cizí data vs zákon
Přispěvatel: Petr Krčmář 04. 12. 2018, 10:38:58
Nejsem právník a zřejmě tady nikdo. Ale pro představu si stačí přečíst § 230 Trestního zákoníku (https://www.podnikatel.cz/zakony/zakon-c-40-2009-sb-trestni-zakonik/f3919953/#p230): „Kdo získá přístup k počítačovému systému nebo k nosiči informací a neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací… bude potrestán odnětím svobody až na tři léta, zákazem činnosti nebo propadnutím věci.“ Stoupá to pak podle závažnosti k osmi létům.

Podle mě to zavání trestným činem a neblbnul bych s tím.
Název: Re:Cizí data vs zákon
Přispěvatel: Analytik 04. 12. 2018, 11:29:51
To mi připomíná ranné hackery, jak si mysleli že budou beztrestní, protože hackují z výchovných důvodů, aby si banka zabezpečila líp systém :) Fakt je, že většina jenom zkoušela, co jim může projít.
Název: Re:Cizí data vs zákon
Přispěvatel: Ondrej Nemecek 04. 12. 2018, 13:01:16
Podívejte se na pravidla etického hackingu.
Název: Re:Cizí data vs zákon
Přispěvatel: Franta <xkucf03/> 04. 12. 2018, 13:28:36
Keď si niekto zabudne zamknúť byt, je legálne sa mu tam poprechádzať, pozrieť do skríň a poprehadzovať mu potraviny v chladničke?

Jiný příklad: dejme tomu, že v šatně v posilovně budu mít pocit, že si někdo zapomněl zamknout skříňku -- v tu chvíli mi přijde normální tu skříňku otevřít a přesvědčit se, že jsou v ní skutečně věci a ne třeba jen nějaký bordel (což nešlo poznat, když byla zavřená/pootevřená). A následně se pak můžu podívat, jestli je majitel někde poblíž nebo to oznámit na recepci, ať mu to zamknou/uklidí.
Název: Re:Cizí data vs zákon
Přispěvatel: Petr Krčmář 04. 12. 2018, 13:33:01
Přesně proto se každý případ posuzuje individuálně a podstatnou roli tu hraje úmysl. Je rozdíl, když si z otevřeného cizího serveru dumpnu všechny databáze s uživatelskými účty, hesly a čísly karet nebo tam budu hledat mail na admina.
Název: Re:Cizí data vs zákon
Přispěvatel: OO 04. 12. 2018, 13:41:26
Za poslednich hromadu let jsem povypinal a poprenastavil hromadu WIFIn NASu IPkamer... u tech co mam "pri ceste"
a muzu po case "zkontrolovat" vetsinou majitel pochopil na poprve a pokud ne na podruhe uz zmizelo uplne.
Název: Re:Cizí data vs zákon
Přispěvatel: gnat 04. 12. 2018, 14:48:25
A to zkoumání obsahu (prohlížení fotek, videa), kterým se tu někteří chlubili, je IMHO už jednoznacne za hranou zákona.
Název: Re:Cizí data vs zákon
Přispěvatel: phpkral 04. 12. 2018, 15:01:46
Ahoj, nedávno na Rootu proběhl článek a nějaké blogové zápisky o Shodanu.

Ok, vlezete na Shodan, najdete si např. nějaký nezabezpečený NAS a pomocí výchozího jména a hesla si tam prohlédnete nějaká data. Případně vlezete někomu do domácího wifi routeru a něco mu tam pro výstrahu přenastavíte.

Jsou tyto činy mimo zákon?

Díky
Nezamkl jsem uto. Může s nim kdokoliv jezdit? 8 z deseti dětí řekne že ne. Kolik ti je let?
Název: Re:Cizí data vs zákon
Přispěvatel: Jamil 04. 12. 2018, 17:07:21
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
Název: Re:Cizí data vs zákon
Přispěvatel: Ondra Satai Nekola 04. 12. 2018, 17:14:01
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.

Neco jako eticky hacking existuje... ale urcite to neobsahuje hrabani se cizimi daty a jejich kopirovani k sobe.
Název: Re:Cizí data vs zákon
Přispěvatel: MasoxCZ 05. 12. 2018, 12:48:53
Podívejte se na pravidla etického hackingu.

Jejich dodržení (nejlépe dokumentované) je sice použitelná obhajoba, nicméně nezaručuje to právní ochranu, protože k protiprávnímu jednání i tak dojde. Ve výsledku pak záleží na intelektu soudce, který to eventuálně dostane na stůl. Rozhodně je dobré se před tím poradit s právníkem.
Název: Re:Cizí data vs zákon
Přispěvatel: MasoxCZ 05. 12. 2018, 12:50:45
A to zkoumání obsahu (prohlížení fotek, videa), kterým se tu někteří chlubili, je IMHO už jednoznacne za hranou zákona.

Blbý je, že je to za hranou zákona i v případě, kdy je to nezbytné ke zjištění, koho je vlastně třeba kontaktovat. A pokud je dotyčný píčus, který i na upozornění že má problém reaguje žalobou, může to vyřešit až soudce, takže v každém případě podniknuté kroky dokumentovat pro účely doložení že škoda nevznikla a podniknuto bylo jen to nezbytné.
Název: Re:Cizí data vs zákon
Přispěvatel: kkt1 05. 12. 2018, 13:10:14
A to zkoumání obsahu (prohlížení fotek, videa), kterým se tu někteří chlubili, je IMHO už jednoznacne za hranou zákona.

Blbý je, že je to za hranou zákona i v případě, kdy je to nezbytné ke zjištění, koho je vlastně třeba kontaktovat. A pokud je dotyčný píčus, který i na upozornění že má problém reaguje žalobou, může to vyřešit až soudce, takže v každém případě podniknuté kroky dokumentovat pro účely doložení že škoda nevznikla a podniknuto bylo jen to nezbytné.
nezbytne ke zjisteni... ke zjisteni nepotrebujes zkoumat fotky, nebo obsah sdilenych disku, poskytovatel pripojeni (dane IP) ma patrne k dispozici informaci o tom kdo je zakaznik, tudiz ho muze kontaktovat. Prohlizeni si souboru/fotek/cehokoliv je z pohledu zakona za hranou.
Název: Re:Cizí data vs zákon
Přispěvatel: Franta <xkucf03/> 05. 12. 2018, 13:38:44
Na druhou stranu je to dost neprůkazné -- dejme tomu, že vlezeš do nějakého adresáře pomocí GUI správce souborů, který automaticky ty soubory začne stahovat, aby zobrazil jejich náhled. Data po síti sice prošla, ale nedá se spolehlivě říct, jestli to byl tvůj záměr (ukrást cizí data). Než se tam rozkoukáš a uvědomíš si, co se stalo a vyhodnotíš situaci, tak už hodně dat mohlo protéct k tobě.

Tím nechci nikoho nabádat, aby se takhle vymlouval, ale chci jen říct, že ty případy jsou dost nejednoznačné a ta hranice není ostrá. Nakonec pak jde (mělo by jít) o ten úmysl -- zda jsi data zneužil nebo sis je nějak připravil/uložil, abys je mohl zneužít později. Nikoli to, zda nějaká data protekla po síti (což je to jediné, co může být vidět ze vzdáleného zařízení), protože to neříká nic o tom, jestli jsi je viděl a uložil, nebo skončila někde v /dev/null. Je to stejné, jako když tvůj server přijme e-mail pro tebe -- taky to neříká nic o tom, že o něm víš a četl jsi ho. A nakonec, když je nějaké zařízení kompromitované, tak v něm může rejdit kde kdo, může být nějakým útočníkem zavšivené, můžou v něm být promazané nebo naopak zfalšované logy... celkově není důvěryhodné.

Takže dodržujte netiketu, respektujte cizí soukromí. Nicméně u soudu musí stále platit presumpce neviny a měl by se primárně řešit úmysl a vzniklé škody.
Název: Re:Cizí data vs zákon
Přispěvatel: O 05. 12. 2018, 16:06:00
A to zkoumání obsahu (prohlížení fotek, videa), kterým se tu někteří chlubili, je IMHO už jednoznacne za hranou zákona.

Blbý je, že je to za hranou zákona i v případě, kdy je to nezbytné ke zjištění, koho je vlastně třeba kontaktovat. A pokud je dotyčný píčus, který i na upozornění že má problém reaguje žalobou, může to vyřešit až soudce, takže v každém případě podniknuté kroky dokumentovat pro účely doložení že škoda nevznikla a podniknuto bylo jen to nezbytné.

A proč by mělo být nezbytné někoho kontaktovat? Jaký máš vůbec důvod se k nějakému cizímu zařízení připojovat a zkoumat, jaké má díry v konfiguraci? Jestli má někdo špatně zabezpečený router nebo server, tě vůbec nemusí zajímat, je to jeho blbost a jeho problém. Na ulici snad taky netaháš autům za kliku, jestli není nějaké odemčené.
Název: Re:Cizí data vs zákon
Přispěvatel: j 05. 12. 2018, 16:23:55
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
Jakej je rozdil mezi tim, ze si browsas po necim webu a po neci nezajisteny sambe? Presne ... ZADNEJ. Takze neblabol.
Název: Re:Cizí data vs zákon
Přispěvatel: Ondra Satai Nekola 05. 12. 2018, 16:36:12
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
Jakej je rozdil mezi tim, ze si browsas po necim webu a po neci nezajisteny sambe? Presne ... ZADNEJ. Takze neblabol.

Tak urcite...
Název: Re:Cizí data vs zákon
Přispěvatel: MasoxCZ 05. 12. 2018, 21:21:55
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
Jakej je rozdil mezi tim, ze si browsas po necim webu a po neci nezajisteny sambe? Presne ... ZADNEJ. Takze neblabol.

Po technické stránce v použitém protokolu.
Po právní stránce obrovský.
Název: Re:Cizí data vs zákon
Přispěvatel: hawran diskuse 05. 12. 2018, 22:26:06
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
Jakej je rozdil mezi tim, ze si browsas po necim webu a po neci nezajisteny sambe? Presne ... ZADNEJ. Takze neblabol.
Mi se líbí, jak Ty seš strašně rychle se vším hotovej.
:D
(asi Ti to tajně závidím)
Název: Re:Cizí data vs zákon
Přispěvatel: kkt1 06. 12. 2018, 05:35:18
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
Jakej je rozdil mezi tim, ze si browsas po necim webu a po neci nezajisteny sambe? Presne ... ZADNEJ. Takze neblabol.
Mi se líbí, jak Ty seš strašně rychle se vším hotovej.
:D
(asi Ti to tajně závidím)
Jeho zena musi mit radost...
Název: Re:Cizí data vs zákon
Přispěvatel: MasoxCZ 06. 12. 2018, 08:43:53
Nikdo nemá právo lézt do cizího zařízení, tím méně tam něco měnit nebo odtama kopírovat. Konec debaty. Nic jako eticky hacking neexistuje. Cus.
Jakej je rozdil mezi tim, ze si browsas po necim webu a po neci nezajisteny sambe? Presne ... ZADNEJ. Takze neblabol.
Mi se líbí, jak Ty seš strašně rychle se vším hotovej.
:D
(asi Ti to tajně závidím)
Jeho zena musi mit radost...

Však to je dobře , ne? Je o to víc otevřená podnětům zvenčí...
Název: Re:Cizí data vs zákon
Přispěvatel: AI 11. 12. 2018, 04:30:41
LOGIKA op JE JASNÁ:
1. mám touhu lézt do cizích zařízení ale vím že je to špatné
2. vymyslím spoustu kokotin a postnu téma do rootu až dánlivě celou věc úplně rozmlžím
3. bylo mi to houby platné, protože lézt do cizích zařízení je morálně pořád špatné a většinou proti zákonu
Název: Re:Cizí data vs zákon
Přispěvatel: Yarda 11. 12. 2018, 09:11:11
Když už se tu diskutuje na tohle téma:
Občas - ne každý den a ne v množství větším než malém, spíš tak jednou za několik měsíců - mi přijde do jedné z mých emajlových schránek co má adresu která se dá snadno splést s jinými nějaký emajl co není určený mně. Pokud se to stane, vždy upozorním odesilatele, že se zmýlil a s obsahem emajlu nijak nepracuji. Nebo nedávno mi přišla serepeska o nějakém srazu co taky nebyla pro mne.
Tak mne zajímá, jak se na takové případy dívá zákon, například kdyby odesilatel předpokládal, že emajl nebo serepesku dostal pravý adresát a třeba by na tom, jestli to opravdu dostal záviselo hodně peněz.
Název: Re:Cizí data vs zákon
Přispěvatel: grg 11. 12. 2018, 10:06:59
Tak mne zajímá, jak se na takové případy dívá zákon, například kdyby odesilatel předpokládal, že emajl nebo serepesku dostal pravý adresát a třeba by na tom, jestli to opravdu dostal záviselo hodně peněz.
Keďže e-mail nie je garantovaná služba (od okamihu, ako mail opustí infraštruktúru odosielateľovho poskytovateľa, už nad ním nemá nijakú kontrolu), tak sa s tým nejako veľa neurobí, a odosielateľ, ktorý také niečo predpokladá (a, ak ide o veľa peňazí, nezavolá príjemcovi "dostali ste môj e-mail?"), dopadne neslávne...
Název: Re:Cizí data vs zákon
Přispěvatel: Tomáš Marný 11. 12. 2018, 10:58:20
Když už se tu diskutuje na tohle téma:
Občas - ne každý den a ne v množství větším než malém, spíš tak jednou za několik měsíců - mi přijde do jedné z mých emajlových schránek co má adresu která se dá snadno splést s jinými nějaký emajl co není určený mně. Pokud se to stane, vždy upozorním odesilatele, že se zmýlil a s obsahem emajlu nijak nepracuji. Nebo nedávno mi přišla serepeska o nějakém srazu co taky nebyla pro mne.
Tak mne zajímá, jak se na takové případy dívá zákon, například kdyby odesilatel předpokládal, že emajl nebo serepesku dostal pravý adresát a třeba by na tom, jestli to opravdu dostal záviselo hodně peněz.

Proč by se na to měl zákon nějak dívat? To je snad problém čistě mezi odesilatelem a adresátem – jeden sděli chybnou adresu a/nebo druhý chybně adresu napíše.

P.S.: Co je serepeska? V životě jsem takové slovo neslyšel.
Název: Re:Cizí data vs zákon
Přispěvatel: MasoxCZ 12. 12. 2018, 09:19:46
Tak mne zajímá, jak se na takové případy dívá zákon, například kdyby odesilatel předpokládal, že emajl nebo serepesku dostal pravý adresát a třeba by na tom, jestli to opravdu dostal záviselo hodně peněz.
P.S.: Co je serepeska? V životě jsem takové slovo neslyšel.

Hádám že to je od spojení "sere pes", takže třeba SMS?
Název: Re:Cizí data vs zákon
Přispěvatel: gnat 12. 12. 2018, 10:32:27
Jakej je rozdil mezi tim, ze si browsas po necim webu a po neci nezajisteny sambe? Presne ... ZADNEJ. Takze neblabol.
Asi takovej jako když jdeš do Ikey a lehneš si tam na vystavenou postel (oni jí vystavili věfomě a dali ti právo tu postel vyzkoušet) a pak obejdeš ulici a začneš zkoušet kdo zapomněl zamknout barák (shodan) a pokud bude odemčeno, tak se mu vyválíš v posteli (přístup jsi sice získal nenásilně, ale nelegálně zneužitím něčí neznalosti/opomenutí).
Název: Re:Cizí data vs zákon
Přispěvatel: SB 12. 12. 2018, 15:14:48
J to nenapsal úplně špatně. Přeformuluju to:

Když se někam dostanu (web, soubory v Sambě, FTP, ...), jak rozeznám, že je správce vědomě vystavil do netu, neboli jak poznám, že mám právo je prohlížet, od situace, kdy byly vystaveny omylem?
Název: Re:Cizí data vs zákon
Přispěvatel: gnat 12. 12. 2018, 17:17:43
Co třeba z kontextu ? SMB s otevřeným guest accountem do Internetu nikdo vědomě nevystaví.
Název: Re:Cizí data vs zákon
Přispěvatel: Tomáš Marný 12. 12. 2018, 20:15:46
J to nenapsal úplně špatně. Přeformuluju to:

Když se někam dostanu (web, soubory v Sambě, FTP, ...), jak rozeznám, že je správce vědomě vystavil do netu, neboli jak poznám, že mám právo je prohlížet, od situace, kdy byly vystaveny omylem?

V § 230 trest. z. se rozlišuje:

1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému... (atd.) bude potrestán...

a

2) Kdo získá přístup a zároveň a) b) c) d) neoprávněně užije, poškodí, zničí, pozmění, potlačí atd. data, bude potrestán...

Neboli trestné je už samotné překonání bezpečnostního opatření. Není-li, tak je trestná až manipulace s daty.