Diskusijų forumai

www.peilininkai.lt

Dabar yra 2024-03-28- 21:00

Visos datos yra UTC + 2 valandos [ DST ]




Naujos temos kūrimas Atsakyti į temą  [ 140 pranešimai(ų) ]  Eiti į Ankstesnis  1 ... 4, 5, 6, 7, 8, 9, 10  Kitas
Autorius Žinutė
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-19- 20:02 
Atsijungęs
Pirmininkas
Vartotojo avataras

Užsiregistravo: 2009-11-03- 20:43
Pranešimai: 10033
Šalis: Lietuva
Miestas: Vilnius
mahelad rašė:
Taip galima ir prisižaisti.

Nežaisk ir neprisižaisi. ;)

_________________
Geriausias peilis yra tas, kurį turi kai jo prireikia...


Į viršų
 Aprašymas  
 
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-19- 20:12 
Atsijungęs
Klubo narys
Vartotojo avataras

Užsiregistravo: 2010-07-26- 15:53
Pranešimai: 2544
Šalis: Lietuva
Miestas: Vilnius
mahelad rašė:
Oj ne. Čia ne tas. Pentestą niekas nedraudžia daryti.

Draudžia, jei neturi savininko sutikimo. Iš kur tu ištraukei, kad nedraudžia? Dėl įdomumo paskaityk savo interneto tiekėjo sutartį -- greičiausiai ten bus paminėta, kad net portų skenavimą daryti yra draudžiama/nelegalu ir vien už tai tau gali atjungt internetą... Jau nekalbant apie "pentestą"...

mahelad rašė:
Ir pentesto įrankiai Lietuvoje yra visiškai legalūs.

Peiliai irgi legalūs, bet daryti jais "pentestą" atsitiktiniams praeiviams nelegalu.

mahelad rašė:
Sąžiningai motyvas laužtys buvo paprastas - yra UAB "Kriptis". Jie daro elektroninius sprendimus vyriausybei. Vieną kartą užklydau į valdišką puslapį. Manę ten sudomino apsauga nuo bruteforso (ten labai įdomiai POST parametrai generuojami, Hydra nepaima). Panorėjau ją ištirti ir kopijuoti sau sprendimą. Pusdienį patyrinėjau, parašiau savo skriptą, apeinanti pirmynę apsaugą. Viskas. Tiesa dabar galvoju, veltui neslėpiau IP. Galiu užsirauti ant atskleidžiamumų ištroškusio mento.

Aš tai nesuprantu: tu rimtai galvoji, kad visa tai ką čia parašei yra "nieko tokio"? Rašei script'ą su tikslu apeiti apsaugas nuo įsilaužimo, jį testavai ant valdiško tinklapio ir dar galvoji, kad kažkas galėtų tai traktuoti kaip nors kitaip nei kenkėjiška veikla?.. OK, gal ir netyčinė, bet vistiek kenkėjiška.


Į viršų
 Aprašymas  
 
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-19- 20:43 
Atsijungęs
Vartotojo avataras

Užsiregistravo: 2012-01-27- 23:41
Pranešimai: 1059
Miestas: Vilnius
swerfot rašė:
Aš tai nesuprantu: tu rimtai galvoji, kad visa tai ką čia parašei yra "nieko tokio"? Rašei script'ą su tikslu apeiti apsaugas nuo įsilaužimo, jį testavai ant valdiško tinklapio ir dar galvoji, kad kažkas galėtų tai traktuoti kaip nors kitaip nei kenkėjiška veikla?.. OK, gal ir netyčinė, bet vistiek kenkėjiška.

Na jo. Galvojau nieko tokio.
Dabar naujiena išlindo įdomi. Pentestą darau jau gal du metus. Niekada niekas nei žodžio neužsiminė, kad tai nusikaltimas. Taip buvo piktų. Bet net jie nesakė, kad pažeidžiau įstatimą. Mušiau eksploitais be payloadų, skenavau portus, rinkau informaciją apie sistemas, bruteforsinau. Laikiausi vieno principo - nekenkti. Gal kokių 20 kartų pranešiau apie pažeidžiamumus savininkams. Žymiai dažniau tiesiog nutylėdavau. IP neslėpiau niekad, jei tikslas buvo informacijos rinkimas. Na kartais naudojau nemokamą VPN'ą, kuris pirmai policijos užklausai esant išduotu mane.
Kažkada paskaičiau BK įstatimus. Ten parašyta, kad negalima prisijungti prie sistemų, disponuoti slapta medžiaga, slaptažodžiais, kenkėjiškomis programomis, negalima nieko gadinti, keisti. Apie informacijos rinkimą niekur nei vienam įstatyme nėra pamynėta. Taip pat nėra apibrėžta riba, kada informacijos rinkimas pereina į nusikaltimą.
Jei dariau kažką tikrai nelabai gražaus, negailėjau pinigų anonimiškumui. Bet geras. Pasirodo kad bet koks informacijos rinkimas taipogi nusikalstama veikla...
Ironija - aptarinėjau valdiškų įstaigų IT saugumo lygmenį Rusijos specifiniuose forumuose, slėpdamas savo IP tiesiog iš principo... Tik dabar suvokiau, kaip man pasisekė, jog bent čia visi galai 100 procentų vandenyje.


Į viršų
 Aprašymas  
 
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-19- 21:05 
Atsijungęs
Pirmininkas
Vartotojo avataras

Užsiregistravo: 2009-11-03- 20:43
Pranešimai: 10033
Šalis: Lietuva
Miestas: Vilnius
mahelad rašė:
Kažkada paskaičiau BK įstatimus. Ten parašyta, kad negalima prisijungti prie sistemų, disponuoti slapta medžiaga, slaptažodžiais, kenkėjiškomis programomis, negalima nieko gadinti, keisti. Apie informacijos rinkimą niekur nei vienam įstatyme nėra pamynėta. Taip pat nėra apibrėžta riba, kada informacijos rinkimas pereina į nusikaltimą.

Neįdėmiai skaitei BK. Yra du susiję straipsniai: 198 ir 198-1.
Supaprastintai sakant, jeigu jungiesi prie informacinės sistemos pažeisdamas IS apsaugos priemones ir neturi tam sistemos savininko leidimo - BK 198-1. Ir visai nesvarbu ką po to darei/nedarei sistemoje. Čia visai tinka analogija su svetima patalpa: jeigu durys praviros ir gali laisvai užeiti - užeiti ne nusikaltimas. Bet jeigu durys uždarytos, o juo labiau užrakintos, - atidaryti/atrakinti ir užeiti be patalpų savininko sutikimo - nusikaltimas.
BK 198 inkriminuojamas tuomet, kai neteisėtai prisijungęs prie IS stebi, fiksuoji, perimi, įsigyji, laikai, pasisavini, paskleidi ar kitaip panaudoji neviešus elektroninius duomenis.

PS: Sąvoka „stebėti“ reiškia atidžiai žiūrint tirti, kaupti žinias, žiūrinėti ieškant ko tinkamo. Taigi vien stebėjimo pakanka inkriminuoti BK 189, jeigu prie IS prisijungei neteisėtai.

_________________
Geriausias peilis yra tas, kurį turi kai jo prireikia...


Į viršų
 Aprašymas  
 
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-19- 21:14 
Atsijungęs
Vartotojo avataras

Užsiregistravo: 2012-01-27- 23:41
Pranešimai: 1059
Miestas: Vilnius
_Vladas_ rašė:
mahelad rašė:
Kažkada paskaičiau BK įstatimus. Ten parašyta, kad negalima prisijungti prie sistemų, disponuoti slapta medžiaga, slaptažodžiais, kenkėjiškomis programomis, negalima nieko gadinti, keisti. Apie informacijos rinkimą niekur nei vienam įstatyme nėra pamynėta. Taip pat nėra apibrėžta riba, kada informacijos rinkimas pereina į nusikaltimą.

Neįdėmiai skaitei BK. Yra du susiję straipsniai: 198 ir 198-1.
Supaprastintai sakant, jeigu jungiesi prie informacinės sistemos pažeisdamas IS apsaugos priemones ir neturi tam sistemos savininko leidimo - BK 198-1. Ir visai nesvarbu ką po to darei/nedarei sistemoje. Čia visai tinka analogija su svetima patalpa: jeigu durys praviros ir gali laisvai užeiti - užeiti ne nusikaltimas. Bet jeigu durys uždarytos, o juo labiau užrakintos, - atidaryti/atrakinti ir užeiti be patalpų savininko sutikimo - nusikaltimas.
BK 198 inkriminuojamas tuomet, kai neteisėtai prisijungęs prie IS stebi, fiksuoji, perimi, įsigyji, laikai, pasisavini, paskleidi ar kitaip panaudoji neviešus elektroninius duomenis.


Na va čia ir išlenda mano nesugebėjimas teisingai traktuoti įstatymus. Paaiškinsiu mano kaip dabar matau, klaidingą minčių eigą.
1) Mano interpretacijoje vieša vieta yra ta, kuri pasiekiama visiems. Jei kas nors nenori, kad prie jo sistemos jungusi, daro baltų IP adresų sąrašą. Tik iš šių IP galima pasijungti prie sistemos. Jei servisas visiems pasiekiamas, mano nuomone bet kas gali užklysti ir pasiaiškinti ką jisai surado. Aišku sėkmingai autorizuotis yra draudžiama. (apie nesekmingą autorizaciją nėra užsiminta)
2) Dėl BK 198-1 terminas "neteisėtai prisijungė" mano nuomone susijęs su autorizacija. Nėra autorizacijos nėra prisijungimo. Mano nuomone "prisijungimas" yra autorizacija, kuriuos metu vartotojas gauna priėjimą prie neviešos sistemos dalies.
3) Dėl BK 198 "neviešus elektroninius duomenis". Jei jie pasiekiami visiems tai mano nuomone jie negali būti nevieši. Ar viešumas tik tada, jei jie indeksuojami google?
4) Dėl BK 196 jei nepaveikiau duomenų - šio BK inkriminuoti negalima
5) Dėl BK 197 "Neteisėtas poveikis informacinei sistemai" - mano nuomone jei sistemos veikimas nenukentėjo, šio BK inkriminuoti negalima
6) Vat pagal BK 198-2 Neteisėtas disponavimas įrenginiais, programine įranga - čia jau taip, norint galima pritraukti už ausų visą mano SSD + pusę įrenginių lentynos. Bet pagal ši BK galima nuteisti pusę programuotojų.


Į viršų
 Aprašymas  
 
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-19- 21:25 
Atsijungęs
Klubo narys
Vartotojo avataras

Užsiregistravo: 2010-07-26- 15:53
Pranešimai: 2544
Šalis: Lietuva
Miestas: Vilnius
Esmė, kad tu ne "užklydai ir suradai", o tikslingai ir sistemingai darei visokius neaiškius kaka-maka. Dėl to tu automatiškai nesi nekaltas praeivis. O kokie buvo tavo motyvai -- kenkėjiški ar gerietiški, čia jau reiks aiškint atskirai.

O kad pagal kažkokį ten straipsnį "galima nubausti pusę Lietuvos programuotojų" nieko nekeičia -- prieš "hipotetinį teismą" dabar stovi tu, o ne pusė Lietuvos ;-)

[RED.]
O šiaip tai atsipalaiduok, realiame pasaulyje 99% atvejų tų "bruteforcinimų" ir tokio lygio mėgėjiškų "pentestingų" niekas nesureikšmina ir nekreipia dėmesio. Tiesiog jei turi kažkokį tinklapį, el. pašto ar kitokį serverį, prieinamą internete, tai kiekvieną dieną sulauksi serbentilijonų visokių neaiškių skenavimų, bandymų jungtis ir kitokių nesąmonių iš viso pasaulio bot'ų... Normalus adminas tiesiog teisingai susikonfigūruoja ugniasienes, Fail2Ban ir pan. apsaugas ir nesuka sau galvos. Rimtesnių priemonių imamasi tik tada, kai pastebima kažkokia "tikslinga" ataka, t.y. kai pasidaro aišku, kad čia braunasi realus žmogus, o ne tik vienas iš milijono automatizuotų bot'ų.


Į viršų
 Aprašymas  
 
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-19- 21:42 
Atsijungęs
Pirmininkas
Vartotojo avataras

Užsiregistravo: 2009-11-03- 20:43
Pranešimai: 10033
Šalis: Lietuva
Miestas: Vilnius
Informacinė sistema nėra vieša vieta. O viešais laikomi tik tie duomenys, prie kurių suteikta vieša prieiga.
Kasacinėje teismų praktikoje yra išaiškinta, kad veika turi būti kvalifikuojama pagal BK 198-1 straipsnį nustačius, kad prie informacinės sistemos buvo prisijungta pažeidžiant šios sistemos apsaugos priemones. Aiškinant informacinės sistemos apsaugos priemonių pažeidimo požymį, kasacinėse nutartyse pažymėta, jog:
1) vartotoją informacinėje sistemoje leidžianti nustatyti autentiškumo patvirtinimo procedūra gali būti laikoma viena iš šios sistemos saugumo (taip pat ir konfidencialumo) užtikrinimo priemonių,
2) teisėto vartotojo tapatybę patvirtinančių duomenų neteisėtas įvedimas, suklaidinant sistemą, laikytinas šios sistemos apsaugos priemonių pažeidimu,
3) prisijungimas prie informacinės sistemos pažeidžiant autentifikavimo priemonėmis nustatytų prisijungimo prie informacinės sistemos apribojimus (reikalavimus).

Iš esmės viskas susiveda į tai, kas yra IS apsaugos priemonės. Ginčo atveju tai spręs teismas. :law:

_________________
Geriausias peilis yra tas, kurį turi kai jo prireikia...


Į viršų
 Aprašymas  
 
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-19- 21:47 
Atsijungęs
Vartotojo avataras

Užsiregistravo: 2012-01-27- 23:41
Pranešimai: 1059
Miestas: Vilnius
_Vladas_ rašė:
Informacinė sistema nėra vieša vieta. O viešais laikomi tik tie duomenys, prie kurių suteikta vieša prieiga.
Kasacinėje teismų praktikoje yra išaiškinta, kad veika turi būti kvalifikuojama pagal BK 198-1 straipsnį nustačius, kad prie informacinės sistemos buvo prisijungta pažeidžiant šios sistemos apsaugos priemones. Aiškinant informacinės sistemos apsaugos priemonių pažeidimo požymį, kasacinėse nutartyse pažymėta, jog:
1) vartotoją informacinėje sistemoje leidžianti nustatyti autentiškumo patvirtinimo procedūra gali būti laikoma viena iš šios sistemos saugumo (taip pat ir konfidencialumo) užtikrinimo priemonių,
2) teisėto vartotojo tapatybę patvirtinančių duomenų neteisėtas įvedimas, suklaidinant sistemą, laikytinas šios sistemos apsaugos priemonių pažeidimu,
3) prisijungimas prie informacinės sistemos pažeidžiant autentifikavimo priemonėmis nustatytų prisijungimo prie informacinės sistemos apribojimus (reikalavimus).

Iš esmės viskas susiveda į tai, kas yra IS apsaugos priemonės. Ginčo atveju tai spręs teismas. :law:

O, čia jau konkretika. Ačiū. Nelinksmos naujienos...
Na bet kokiu atveju jei nuskils, nieko nebus, jei ne - sumokėsiu kiek reikia. I taip du metus nesuvokdamas kaip rizikuoju, po laiminga žvaigžde vaikščiuojau.
sferfot rašė:
O šiaip tai atsipalaiduok,
Man atrodo dabar pats laikas pagaliau susiimti. Iki kokio naivaus neatsakingumo dasiritau dėl atsipalaidavimo :censored: Juk rimtai galėjau įkliūti. Mano mėgiamas bajeris - kuklus defase mažų šriftu... Po to taip taktiškai sakydavau savininkui - pašalinkite mano parašą iš savo puslapio... Jei bent vienas iš tų žmonių parašytų pareiškimą... :prison:


Į viršų
 Aprašymas  
 
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-20- 9:56 
Atsijungęs
Klubo narys
Vartotojo avataras

Užsiregistravo: 2010-06-24- 21:40
Pranešimai: 3312
Miestas: Kaunas
mahelad rašė:
Na jo. Galvojau nieko tokio.
Dabar naujiena išlindo įdomi. Pentestą darau jau gal du metus. Niekada niekas nei žodžio neužsiminė, kad tai nusikaltimas. Taip buvo piktų. Bet net jie nesakė, kad pažeidžiau įstatimą. Mušiau eksploitais be payloadų, skenavau portus, rinkau informaciją apie sistemas, bruteforsinau. Laikiausi vieno principo - nekenkti. Gal kokių 20 kartų pranešiau apie pažeidžiamumus savininkams. Žymiai dažniau tiesiog nutylėdavau. IP neslėpiau niekad, jei tikslas buvo informacijos rinkimas. Na kartais naudojau nemokamą VPN'ą, kuris pirmai policijos užklausai esant išduotu mane.
Kažkada paskaičiau BK įstatimus.<...>


Hmmm...vis paskaitant "mahelad" postus skirtingose temose, susidaro vaizdas, kad jis maždaug 14-18m. jaunuolis, kaip ir jo spuoguoti draugeliai, ryjantys tai ko nežino ir atsibundantys psichuškėje...arba areštinėje.;) ...nes tokių briedų, dirbant adminu ar bent kažkiek giliau susipažinus su tinklu, stengiamasi nedaryti be tikslo...na nebent "script-kiddie" esi.;)

_________________
Information is a weapon of mass destruction...


Į viršų
 Aprašymas  
 
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-20- 11:01 
Atsijungęs
Klubo narys
Vartotojo avataras

Užsiregistravo: 2014-05-14- 16:39
Pranešimai: 1391
Miestas: Kaunas
GAdas rašė:
Hmmm...vis paskaitant "mahelad" postus skirtingose temose, susidaro vaizdas, kad jis maždaug 14-18m. jaunuolis, kaip ir jo spuoguoti draugeliai, ryjantys tai ko nežino ir atsibundantys psichuškėje...arba areštinėje.;) ...nes tokių briedų, dirbant adminu ar bent kažkiek giliau susipažinus su tinklu, stengiamasi nedaryti be tikslo...na nebent "script-kiddie" esi.;)

Parašei tai ką galvoju tik neparašiau iki šiol. :liuks:

_________________
Išminuotojai vaikšto lėtai, bet jų geriau nelenkti (;


Į viršų
 Aprašymas  
 
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-20- 11:55 
Atsijungęs
Vartotojo avataras

Užsiregistravo: 2012-01-27- 23:41
Pranešimai: 1059
Miestas: Vilnius
GAdas rašė:
dirbant adminu ar bent kažkiek giliau susipažinus su tinklu, stengiamasi nedaryti be tikslo...na nebent "script-kiddie" esi.;)

Na šiaip ir esu script kiddie. Gal man tai patinka. Gerbiamieji, ar man kaip suaugusiam vyrui geriau imtys vyryškų pramogų, na žmonai antausį duoti, kazike algą pralošti, pragerti kelys šimtus eu su meiluže, teises pragerti?
O dėl to ar galima ar negalima taip daryti, nustebtumete, kiek atsainiai policija žiuri į smulkius nusikaltimus, kol nėra pareiškimo.


Į viršų
 Aprašymas  
 
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-20- 12:12 
Atsijungęs
Klubo narys
Vartotojo avataras

Užsiregistravo: 2010-07-26- 15:53
Pranešimai: 2544
Šalis: Lietuva
Miestas: Vilnius
mahelad rašė:
GAdas rašė:
dirbant adminu ar bent kažkiek giliau susipažinus su tinklu, stengiamasi nedaryti be tikslo...na nebent "script-kiddie" esi.;)

Na šiaip ir esu script kiddie. Gal man tai patinka. Ar man stengtis eltis taip kad forume visiems įtikčiau? Ar man kaip suaugusiam vyrui būtina imtys vyryškų pramogų, na žmonai antausį duoti, kazike algą pralošti, pragerti kelys šimtus eu su meiluže, teises pragerti?
O dėl to ar galima ar negalima taip daryti, nustebtumete, kiek atsainiai policija žiuri į smulkius nusikaltimus, kol nėra pareiškimo.

Nesupratai... Pagrindinė mintis čia buvo tame, kad labai vaikiškai atrodo visa tai. Jei tau įdomu informacinių sistemų saugumas, tai švieskis, skaityk, žiūrėk DEF CON įrašus, eksperimentuok testinėje aplinkoje arba gavęs kitos šalies sutikimą... T.y. jausk šiek tiek atsakomybės.
Nes dabar tai atrodo lyg būtum vaikėzas, švystelėjęs akmenį į daugiabučio langus ir dedantis į kojas, viduje apsvaigęs nuo adrenalino pojūčio ir įsivaizduojantis esąs "blogiukas".


Į viršų
 Aprašymas  
 
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-20- 12:27 
Atsijungęs
Vartotojo avataras

Užsiregistravo: 2012-01-27- 23:41
Pranešimai: 1059
Miestas: Vilnius
Na tame yra tiesos. Nėra adrenalino, nėra progreso. Etinis pentestas tas pat, kas žaisti pokerį oficialiam turnyre be jokių pinigų.


Į viršų
 Aprašymas  
 
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-20- 12:40 
Atsijungęs
Klubo narys
Vartotojo avataras

Užsiregistravo: 2010-07-26- 15:53
Pranešimai: 2544
Šalis: Lietuva
Miestas: Vilnius
mahelad rašė:
Na tame yra tiesos. Nėra adrenalino, nėra progreso. Etinis pentestas tas pat, kas žaisti pokerį oficialiam turnyre be jokių pinigų.

Vėlgi, pagrindinė mintis tavęs nepasiekė: vaikiškas langų daužymas nėra progresas.


Į viršų
 Aprašymas  
 
 Pranešimo tema: Re: Teisininku patarimai
StandartinėParašytas: 2017-11-20- 13:10 
Atsijungęs
Vartotojo avataras

Užsiregistravo: 2012-01-27- 23:41
Pranešimai: 1059
Miestas: Vilnius
swerfot rašė:
mahelad rašė:
Na tame yra tiesos. Nėra adrenalino, nėra progreso. Etinis pentestas tas pat, kas žaisti pokerį oficialiam turnyre be jokių pinigų.

Vėlgi, pagrindinė mintis tavęs nepasiekė: vaikiškas langų daužymas nėra progresas.

Man tai sunku pripažinti, nors paneigti taipogi negaliu.


Į viršų
 Aprašymas  
 
Rodyti paskutinius pranešimus:  Rūšiuoti pagal  
Naujos temos kūrimas Atsakyti į temą  [ 140 pranešimai(ų) ]  Eiti į Ankstesnis  1 ... 4, 5, 6, 7, 8, 9, 10  Kitas

Visos datos yra UTC + 2 valandos [ DST ]


Dabar prisijungę

Vartotojai naršantys šį forumą: Registruotų vartotojų nėra ir 35 svečių


Jūs negalite kurti naujų temų šiame forume
Jūs negalite atsakinėti į temas šiame forume
Jūs negalite redaguoti savo pranešimų šiame forume
Jūs negalite trinti savo pranešimų šiame forume
Jūs negalite prikabinti failų šiame forume

Pereiti į:  
Veikia su phpBB® Forum Software © phpBB Group Color scheme by ColorizeIt!
Vertė Vilius Šumskas © 2003, 2005, 2007