E-mail Comment Del.icio.us Digg Reddit Technorati Furl

Jak można złamać coś, co nie istnieje

paź 6, 2008 Bez kategorii

Nieoceniony VaGla znowu podrzucił bardzo ciekawy temat. W artykule “Nie można przełamać czegoś, co nie istnieje” – polski wyrok w sprawie SQL Injection poruszył bardzo ciekawy temat (który z resztą już wcześniej pilotował) dotyczący wykrycia luk w systemie przetwarzającym dane osobowe.

W skrócie:
 - ten dobry znalazł lukę w systemie i przy pomocy ” ‘or 1=1 ” (sic! – sql injection) “włamał się do systemu” 
- powiadomił twórcę portalu internetowego (CMSa) – zero odzewu
- powiadomił firmy, które były klientami 
- dopiero wtedy pojawił się odzew
- doszło do spotkania, podpisania klauzuli o zachowaniu poufności
-… ten dobry wyszedł w kajdanch.
Po prosty firma, której nacisnął na odcisk obraziła się i wezwałą policję. 

Nie do końca zgadzam się z reprezentowanym przez VaGlę i jednego z biegłych, punktem, że włamania nie było (a co, mogę mieć własne zdanie :))

Z tej opinii zaś wynikało, że poprzez wprowadzenie ciągu znaków “‘ or 1=1” mężczyzna nie dokonał złamania zabezpieczeń bazy danych. Nie złamano żadnego hasła dostępowego do bazy danych, nie wpisano kodu programowego, a mężczyzna w żaden sposób nie wpłynął na funkcjonowanie zabezpieczeń bazy danych. Nie usunął również zabezpieczenia, a także nie zmienił haseł dostępowych, nie założył konta dostępowego do bazy danych. Z opinii biegłego wynikało, że wprowadzenie tego ciągu znaków należy uznać za wykorzystanie SQL Injection w celu obejścia zabezpieczeń, na co pozwoliło niewłaściwe zabezpieczenie bazy danych.

Włamanie zostało dokonane poprzez wykorzystanie luki w systemie, a więc zostały złamane zabezpieczenia (ja jednak lubie porównanie z realnym życiem i zamkami). O niewinności świadczy jednak poinformowanie zainteresowanego o lukach w systemie, a nie brak faktu włamania.

Nie będę silił się na znawcęprawa, ale proponuję zapoznać się artykułem.

Wnioski mam dwa:
- VaGla na senatora, a przynajmniej na konsultanta w ministerstwie
- jak ktoś w sposób kulturalny informuje o błedach, to schować dumę, podziękować, dać dowód wdzięczności i poprawić błedy – a nie gonić do sądu. 



Mentis.pl

Tags: , ,

This entry was posted on poniedziałek, Październik 6th, 2008 at 21:49 and is filed under Bez kategorii. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Zostaw komentarz

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>