Comments 39
Пообещал — сделай.
Неопытный админ попался — испугался. А мог бы накатать заявление куда следует :)
Все правильно: щелчок по носу админа, удовлетворенное самолюбие и немного денег на радости. И никаких проблем.
Прям целый блокбастер в стиле крепкого орешка! :)
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
www.consultant.ru/popular/ukrf/10_38.html#p4970
© КонсультантПлюс, 1992-2013
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
www.consultant.ru/popular/ukrf/10_38.html#p4970
© КонсультантПлюс, 1992-2013
Тема скользкая. Не факт, что инфа на том сайте охранялась законом. Атака не вредила содержимому сайта. Значит обвинить по этой статье можно только потому что парень плохой, а админы хорошие, например.
Расслабьтесь… Не всякая информация подлежит охране законом. Охраняемая законом информация должна храниться в соответствии с установленными законом требованиями с использованием спец. технических средств и специальными мероприятиями.
Очевидно, что либо на сайте не было информации подлежащей охране (хотя скорей всего была: персональная информация клиентов сайта и информация о финансовых транзакциях), либо админ явно грубо нарушал «установленный законом порядок». За это, кстати говоря, в РФ полагается уголовная ответственность…
В общем сей, с позволения сказать, админ подлежит как минимум увольнению за служебное несоответствие, а как максимум статья… Факт проникновения и ущерб от пентестера надо будет еще доказывать, а злостное уклонение админа от исполнения служебных обязанностей в данном случае просто факт…
Очевидно, что либо на сайте не было информации подлежащей охране (хотя скорей всего была: персональная информация клиентов сайта и информация о финансовых транзакциях), либо админ явно грубо нарушал «установленный законом порядок». За это, кстати говоря, в РФ полагается уголовная ответственность…
В общем сей, с позволения сказать, админ подлежит как минимум увольнению за служебное несоответствие, а как максимум статья… Факт проникновения и ущерб от пентестера надо будет еще доказывать, а злостное уклонение админа от исполнения служебных обязанностей в данном случае просто факт…
Пентестер — самовлюблённый позёр и демпер, который ради 1000 рублей и «растерянного и напуганного голоса из трубки» нарушил пачку законов, подставил людей, мешал другим фрилансерам работать. Надеюсь что это просто литература и не имеет ничего общего с реальностью…
С вас «пачка законов» и цитата того места, где он мешал другим людям работать. Остальное мне оспаривать влом.
Мне вот вообще не понятно почему я должен вам что-то объяснять. На вскидку — про законы выше сказано, а про мешать:
Спустя еще двое суток уязвимость, о которой Админ был уведомлен, была устранена путем отключения функционала обмена файлами, который был восстановлен еще спустя сутки.
Спустя еще двое суток уязвимость, о которой Админ был уведомлен, была устранена путем отключения функционала обмена файлами, который был восстановлен еще спустя сутки.
1) Разумеется, не должны. Вас никто и не заставляет. Только тон вашего сообщения слишком резкий и представляет однобокий взгляд на вопрос.
2) По поводу законов — один упомняли. Другие приведёте? Пачка же. Честно любопытно, за что тут ещё привлечь, кроме несанкционированного доступа.
3) Это устранение уязвимости, а не намеренное вредительство.
2) По поводу законов — один упомняли. Другие приведёте? Пачка же. Честно любопытно, за что тут ещё привлечь, кроме несанкционированного доступа.
3) Это устранение уязвимости, а не намеренное вредительство.
1) Не должен, но вы продолжаете настаивать.
2) Я вообще не юрист, но вот вам ещё один (два — уже толпа) Статья 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ), до 4 лет дают между прочим.
3) Для начала это эксплуатация уязвимости, уже потом устранение. Сутки честные пользователи не могли полноценно пользоваться сервисом за который платят деньги.
2) Я вообще не юрист, но вот вам ещё один (два — уже толпа) Статья 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ), до 4 лет дают между прочим.
3) Для начала это эксплуатация уязвимости, уже потом устранение. Сутки честные пользователи не могли полноценно пользоваться сервисом за который платят деньги.
Надеюсь, пентестер юн. Лет в 18 многие такими были. Проходит.
Вспомнилось ситуация из своего прошлого.
Дело было 3-4 года тому назад, тогда для меня выдалось не лучшее время. Увольнение и затяжной поиск новой оффлайн работы сильнопоим потрепали меня, но именно тогда я начал делать первые попытки зарабатывать в сети.
Подхлестнувшая меня нужда заставила вместе с репортами о найденных уязвимостях предлагать дополнительные услуги, уже за деньги. На одно из таких писем откликнулся веб мастер по имени Леон. Он попросил закрыть имеющуюся дыру и найти другие лазейки. В свою очередь я попросил за свою работу 3т.р.
Дальше был поиск других уязвимостей, рекомендации по закрытию, переписка о начальнике с дальнего востока (не отвечающего на мейлы и телефон), ну и Леон пропал. Работа была выполнена не полностью, но время потраченное впустую очень сильно било по самолюбию. Продолжения не было. Сейчас правда, заходя на тот сайт, его тематика у меня вызывает легкую улыбку.
Очень надеюсь, что этот коммент увидят владелец портала sem40.ru и тот самый веб мастер Леон, стыдно им вряд ли будет, но пусть знают. Фу такими быть!
Дело было 3-4 года тому назад, тогда для меня выдалось не лучшее время. Увольнение и затяжной поиск новой оффлайн работы сильно
Подхлестнувшая меня нужда заставила вместе с репортами о найденных уязвимостях предлагать дополнительные услуги, уже за деньги. На одно из таких писем откликнулся веб мастер по имени Леон. Он попросил закрыть имеющуюся дыру и найти другие лазейки. В свою очередь я попросил за свою работу 3т.р.
Дальше был поиск других уязвимостей, рекомендации по закрытию, переписка о начальнике с дальнего востока (не отвечающего на мейлы и телефон), ну и Леон пропал. Работа была выполнена не полностью, но время потраченное впустую очень сильно било по самолюбию. Продолжения не было. Сейчас правда, заходя на тот сайт, его тематика у меня вызывает легкую улыбку.
Очень надеюсь, что этот коммент увидят владелец портала sem40.ru и тот самый веб мастер Леон, стыдно им вряд ли будет, но пусть знают. Фу такими быть!
Никто даже не заметил того момента, когда пользователь со злополучным id просто исчез, не оставив за собой ни единого байта в таблице.
А логи веб-сервера почистили?
Админ — лох :) таких нубов система должны выявлять на стадии экспериментов — 5-10 странных запросов и для него делается виртуальная копия и все логгируется на внешний ресурс для протоколов и перлов для баша.
Пентестер — нуб. Учись хорошо!
Пентестер — нуб. Учись хорошо!
Приходит нуб к эксперту в гости, а эксперт — тоже нуб!
UFO just landed and posted this here
Было бы интересно почитать где нибудь про практическую реализацию подобного обеспечения безопасности ресурса. Не могли бы Вы поделиться ссылкой или же собственным опытом?
Полностью автоматическая система у меня была только когда я порно сайт админил :) там ломали постоянно и важно было не защитить сайт а пресечь распространение обычных паролей для юзеров по разным форумам. Скрипт, тогда еще на перле, который логи шерстил на тему авторизаций ( и неуспешных и успешных ) и странных запросов. Как только пороги превышались для адреса, сети или просто юзера — он блокировался, адрес фильтровался и так далее. Что бы атакующему не давать инфы или для вломанного эккаунта ( у которого было много авторизаций с разных сетей ) блокированные и фильтрованные адреса попадали на другой инстанс с облегченной копией сайта, где уже можно было детально разглядывать что это тут лезет.
Сейчас я не делаю полностью автомат — в последнее время у меня авария на ошибках висит с адреса — я вручную отфильтровываю адрес на другую виртуалку и смотрю что за нафиг. Но есть «анти-DDOS» скрипт, который по порогу отрубает адрес — хорошо работает и против скриптов для взлома и против примитивных DDOS атак.
Сейчас я не делаю полностью автомат — в последнее время у меня авария на ошибках висит с адреса — я вручную отфильтровываю адрес на другую виртуалку и смотрю что за нафиг. Но есть «анти-DDOS» скрипт, который по порогу отрубает адрес — хорошо работает и против скриптов для взлома и против примитивных DDOS атак.
тоже как то развлекался:
Набрел случайно на сайт который продавал информацию о том, как оформить ИП =) (это же очень сложно, целый час в налоговой убить на это надо), и продавал эту информацию не много не мало за 5 тыс руб…
Надумал наказать злодея и мошенника(хотя в итоге стал таким же, но об этом через пару строчек)
После часа пыхтений получил доступ ко всему, что можно было на этом сайте и тут вопрос стал — что же делать, дефейс? но мне уже не 14 лет, удалить сайт? но копия вернется через какое то время
И тут друг шутки ради говорит — а ты его реквизиты кошелька на ЯД поменяй на свои, все равно не кто не купит этот курс, лохов таких же нет уже…
Так и сделали… какое мое удивление было когда я пришел с работы а на ЯД лежало 15 тыс руб =)
Жалко таких людей которые привыкли за все платить и у них даже мысли не было сходить в налоговую и узнать все там…
Набрел случайно на сайт который продавал информацию о том, как оформить ИП =) (это же очень сложно, целый час в налоговой убить на это надо), и продавал эту информацию не много не мало за 5 тыс руб…
Надумал наказать злодея и мошенника(хотя в итоге стал таким же, но об этом через пару строчек)
После часа пыхтений получил доступ ко всему, что можно было на этом сайте и тут вопрос стал — что же делать, дефейс? но мне уже не 14 лет, удалить сайт? но копия вернется через какое то время
И тут друг шутки ради говорит — а ты его реквизиты кошелька на ЯД поменяй на свои, все равно не кто не купит этот курс, лохов таких же нет уже…
Так и сделали… какое мое удивление было когда я пришел с работы а на ЯД лежало 15 тыс руб =)
Жалко таких людей которые привыкли за все платить и у них даже мысли не было сходить в налоговую и узнать все там…
Хорошо написано — читается на одном дыхании
Какой-то художественный рассказ, без фактов, векторов атаки и пр. Можно много таких придумать. А вот пишите — хорошо, да.
Спасибо за признание писательского таланта, возможно правы были люди, советовавшие в свое время выбрать журфак, хотя об избрании пути студента-физика не жалею. Статья, если быть честным, и была попыткой представить техническую историю в художественной форме, уделив внимание еще и эмоциям участников. А если погружаться в технические детали, то там по факту и смотреть то не на что. Названия ресурса, о котором идет речь, я так и не раскрою. По поводу же векторов атаки — все приведенные дыры в безопасности были дырами в одном единственном плагине Cotonti — не так давно удивившем свет плагине фрилансерской биржи. К слову сказать (это больше относится к гневному комментарию выше), устранение уязвимостей происходило именно на уровне модуля CMS, а не заплатками на сайте, так как «Пентестер» совершенно бескорыстно оставлял репорты и по месту разработки CMS, для которой вскоре вышло глобальное обновление. Поэтому отключение функционала сайта как раз таки было вынужденной мерой предупреждения настоящих взломов и, возможно, единственным правильным решением со стороны «Админа». Вероятнее всего, он лишь дождался обновления модуля и после возобновил работу сервиса. Если все же интересна информация обо всех уязвимостях кратко и в одном месте, то уязвимостей всего три. Первая — reflected XSS, реализации которой мешала нестрогая, но все же фильтрация данных, и мусор от mysqli_real_escape_string(), корорый без фильтрации шел на вывод. К сожалению, точных условий проявления уязвимости я в настоящий момент сформулировать не смогу — нет уже ни уязвимости, ни записей о ней. Вторая активная XSS в описании не нуждается — полное отсутствие фильтрации данных в полях ФИО и ника. Последняя дырка — отсутствие фильтрации загружаемых на сервер файлов по расширению и помещение их в папку на сервере с правами на выполнение — тоже все очень просто, процедура заливки шелла неоднократно описывалась в сети.
Студенты должны сами учиться а не покупать курсовые и дипломные работы на сайтах… Если робингутсвовать, то разрушать такие сайты надо а не заниматься мелким вредительством…
Увы, такие вот сейчас пошли студенты, что оборот компании возможно уже перевалил за миллион. Вопрос на самом деле спорный, что же лучше в наш продажный век, купить диплом или же студенту заочнику гуманитарной специальности купить единственную контрольную по матану, что позволит ему не отвлекаться от работы на изучение не слишком важного ему предмета? Безусловно, я не одобряю оба этих деяния, но и судить так радикально об агентствах «помощи студентам» не стоит.
Жаль что прекрасная CMS\CMF Cotonti которая имеет долгую историю, на хабре, впервые изображена в таком нелицеприятном свете. А ведь не за горами то время когда выйдет Siena 1.0.0, которая будет еще и подкреплена хорошей документацией, чтоб во весь голос можно было заявить об этом событии здесь на многоуважаемом хабре. И тогда многие, надеюсь, узнают и заинтересуются этим движком, что наверняка еще больше улучшит его. Что же касается так красочно и художественно описанного инцидента то могу лишь сказать одно — радует что история закончилась в принципе хорошо для всех: в движке были обнаружены и оперативно устранены изъяны; пентестер усилил свои знания, получил бесценный опыт да еще и добыл свое долгожданное символическое вознаграждение; админ ресурса таки отреагировал на обращение и устранил уязвимость вверенного ему сайта; никто слава Богу не пострадал. Автор спасибо за рассказ
Да собствено к котонти и нет особых претензий, уязвимости в стороннем модуле :). К тому же данный модуль уже переписан с нуля под последнюю ветку Cotonti.
Читал комменты, заинтересовался что такое siena. Видимо горы оказались неприступны, если за 3,5 года Siena так и осталась Siena 0.9.19 )))
А roadmap 1.0.0 говорит что 36% complete )))))
А roadmap 1.0.0 говорит что 36% complete )))))
Увы, но да. Было бы смешно если бы не было грустно ибо дело не в высоте гор, как могло показаться. К сожалению оказалось что все люди которые участвовали в восхождении на тот момент были студентами. Не думаю что это плохо, считаю что даже наоборот. Но, но соответственно все практически остановилось (высота которую они успели покорить) тогда когда они обзавелись семьями и устроились на работу, а бытовуха и нужда обеспечивать себя и свои семьи не оставила времени на то что бы из достаточно хорошего и надежного но неудобного и морально устаревшего движка сделать супер инструмент по созданию сайтов. Достаточного количества талантливых, бескорыстных и умелых последователей которые могли бы подхватить такое перспективное начинание не оказалось вот проект практически и заглох.
Возможно они ошиблись в том что они занимались только кодингом, а популяризацию оставили на момент когда они достигнут вершины и будет о чем заявить миру. Не успели.
Возможно они ошиблись в том что они занимались только кодингом, а популяризацию оставили на момент когда они достигнут вершины и будет о чем заявить миру. Не успели.
UFO just landed and posted this here
Sign up to leave a comment.
Фрилансер — история одного пентеста