Так сканирование портов ничем не отличается от сканирования URL-адресов методом HEAD, как и от сканирования некоторых уязвимостей. Во всех этих случаев, в результате сканирования мы будем знать, что и где находится на определённом IP-адресе.
Кстати, учитывая что мы ничего не нарушали во время сбора этой информации, можем ли мы легально продать все собранные данные?
Возможно, Вы опять правы, и все кто твердят подписывать договоры, лишь заблуждаются, а то, что некоторые машины всё-таки падают — слишком маленькая вероятность, дабы воспринимать как нечто серьёзное.
Напоследок, хочу лишь цитировать себя:
Очевидно, в нашем споре каждый останется при своём мнении. Но я, как и автор статьи, хочу предупредить остальных, не делать то, в чем 100% не уверены или есть капля сомнения в законности и безопасности процесса.
Каюсь, не знал этого. Спасибо, что подсказали. И Вы абсолютно правы насчёт моих знаний о силовых структурах РФ. Если позвольте оправдываться, у меня есть на это веская причина: я не являюсь гражданином РФ и никогда им не был.
Насчёт «фишки» — полностью согласен. Я бы сказал, что 90% это слишком мало. Думаю, лишь единицы осмеливаются сканировать напрямую.
Просто хочу уточнить: Вы считаете «компромиссом» то, что компания решила не уведомлять старых пациентов (не говоря уже о какой-либо компенсации)? Вы уверены, что обе стороны вместе обсуждали эту проблему и пришли к такому «компромиссу»?
Поскольку не являюсь юристом, я очень рад, что не сталкивался с уголовными делами в этой области. Возможно, это связано с тем, что у меня всегда был договор с клиентами перед тем как что-либо «исследовать».
Что касается толкования закона — думаю, всё предельно ясно: если хост упал или кто-то не смог получить доступ к нему, а в ходе расследования окажется, что в это время с конкретного IP-адреса были отправлены множество пакетов (сообщений электросвязи) — это «несанкционированное вмешательство в работу ЭВМ, повлекшее блокирование информации, искажение процесса обработки информации и нарушение установленного порядка ее маршрутизации».
У вас, наверное, нету машин с белыми IP, не закрытыми фаерволами ISP
Я упоминал выше про мегабайтные логи iptables. Это за один день, и такой размер есть практически на каждой машине. «Исследователи дёргают ручки» круглосуточно, и, как правило, многие которые доходят до веб-сервера, почему-то начинают искать всякие URL-адреса (такие как /webdav, /bbs.cgi, /dump.sql).
владелец ресурса не среагирует
Интересно, среагирует ли ФСБ, ФАПСИ или МВД, если сканировать их диапазон IP-адресов напрямую (то есть, без VPN и прочее) с домашнего компьютера находясь в Москве? С меня плюсики, если кто-то поделиться результатом. Если действительно не будут внезапные звонки или визиты среди ночи, то это будет просто отличная новость.
Но есть нюанс
Именно этот «нюанс» должен подсказывать, что сканирование это не 100% безобидная штука. Я практически готов согласиться, что на простое сканирование владелец ресурса не среагирует, но я не могу быть уверенным в этом.
Так тут дело не во мнении, сканер, тот же nmap, можно использовать очень по-разному и вызвать проблемы действительно не трудно.
Здесь полностью согласен с Вами. Только автор nmap ещё предупреждает, что могут крашиться старые машины или неправильно сконфигурированные. Да, владелец хоста сам виноват, что не обезопасил свою машину, но всё произошло именно из-за сканирования портов.
Мы обсуждаем исключительно то, о чем написал автор данной темы, то и отталкиваемся от обсуждаемой задачи, в рамках которой вероятность получить проблемы стремится к нулю.
А Вы попробуйте прочитать статью ещё раз, и угадайте, что происходит дальше, если например, был обнаружен веб-сервер, камера, или принтер.
То есть, если автор nmap предупреждает, что всё-таки сбои бывают, это тоже ничего не означает? То, что тысячи машин сканируют ежедневно один IP-адрес — это «нулевая вероятность»?
Я даже не могу себе представить, сколько у Вас опыта в этой области, если Вы оперируйте такими словами, как «никаких отказов», «абсолютно никакого внимания», «вероятность стремится к нулю», «смело утверждать», «не повлечёт за собой какой-либо ответственности», «отсутствием каких-либо последствий».
Если лично я в чём-то сомневаюсь, я доверяю тем, у кого больше знаний и опыта. И если выбрать между Вашими словами и словами разработчиков сканеров, пентестеров или компаниями в сфере ИБ — то боюсь, я не могу согласиться с Вами.
Очевидно, в нашем споре каждый останется при своём мнении. Но я, как и автор статьи, хочу предупредить остальных, не делать то, в чем 100% не уверены или есть капля сомнения в законности и безопасности процесса.
Проблема в том, что без ведома владельца хоста Вы создаёте ему ненужную нагрузку и/или забиваете канал ненужными пакетами, а значит, в лучшем случае это денежные затраты, или в худшем — отказ в обслуживании. Кроме того, не забывайте, что помимо Вас ещё многие делают то же самое, и если владелец хоста решит подать в суд, он будет судиться с «соседями», а не, например, с китайскими исследователями. В общем, то, что не видите в этом проблему, не освобождает Вас от ответственности и уж точно не Вам решать, создали ли Вы «трудности» владельцу хоста или нет.
Никак не пойму что вы хотите доказать.
Например, там мелькает словосочетание «несанкционированное сканирование». И главное, это означает, что всё-таки сканирование неприятная штука вызывающая нарушение работы сети. Иными словами, если сканирование портов не создаёт «никаких проблем», зачем запрещать?
Если отсуствует словосочетание «запрещено сканирование» — не означает что это не запрещено. Дело в том, что Вы не знаете, какое устройство или система находится на конкретном IP-адресе. Например, если Вам удалось найти порт откуда возвращается конфиденциальная информация — это утечка. Если нашли древний GSM-терминал, который отключился из-за того что Вы и ещё 9000 «исследователей» решили собрать статистику — это утрата информации и нарушение работы ЭВМ. Если повезло наткнуться на секретный объект — неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.
Вот почему, если Вы окажитесь в суде из-за того что кто-то не оценил Ваши исследовательскую деятельность, то Вы практически никак не сможете доказать свою невиновность.
DoS-атака (не DDoS) это когда один компьютер отправляет множество запросов на один хост. И именно это происходит при сканировании портов. Возникнет отказ в обслуживании или нет — это уже как повезёт. Но владелец хоста вправе обратиться в суд и обвинить Вас в DoS-атаку и нарушение работы системы, а Интернет-провайдер предоставит все нужные логи. Кстати, если не секрет, какой у Вас Интернет-провайдер? В договоре ничего не написано о том что «При пользовании Услугой Абоненту запрещается производить несанкционированное сканирование любого диапазона IP-адресов»?
Напоследок, попробуйте узнать, сколько пентестеров запускают nmap или acunetix без заключения договора с клиентами. И ещё: хоть разработчик nmap не считает сканирование портов незаконным, он настоятельно рекомендует получить письменное разрешение перед тестированием и предупреждает, что хоть сбои систем редки при сканировании, они всё же случаются.
Ради интереса, посмотрел логи одного сервера за самый «нагруженный день». Были заблокированы 32386 запросов и получено 6.2MB данных (чтобы понять разницу, вчера были заблокированы 18463 запросов и получено 1MB данных).
То есть, если дропать ненужные запросы, для домашнего IP маловероятно получить 20 Мбит/с только при сканировании портов. А вот если поднять веб-сервер на стандартные порты, да, там уже начинается веселье (особенно если не настроен хонейпот).
У меня мегабайтные логи iptables и я прекрасно знаю, что очень многие сканируют эти порты. Но то, что многие так делают, это не означает что это правильно или законно.
Если хотите по закону, то сканируя порты одной машины без ведома владельца, Вы совершаете действия, которых можно прировнять к «Несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи, повлекшее утечку, утрату, подделку, блокирование информации, искажение процесса обработки информации или нарушение установленного порядка ее маршрутизации».
Сканируя все порты подряд, Вы мешаете компьютерам работать должным образом. Считайте, что Вы атакуете эту систему используя DoS-атаку. Также, Вы можете вынудить владельца на дополнительные денежные расходы (кто-то платит за компьютерное время, другие за количество запросов или трафик).
Если хотите ещё проще, считайте это спамом — то что я опубликовал на сайт мой емайл или номер телефона, это не означает что Вы имеете право отправить мне Ваши рекламные сообщения.
Ничего не обновляют; возможна компенсация тем, кто купил контроллер за последние четыре года
Medtronic will not be developing a product update to address these vulnerabilities. If a user has never programmed or used a remote controller, they are not susceptible to this attack. Additionally, if the user disables the remote option or turns off the easy bolus option in their pump, they are not susceptible to this attack.
The easy bolus and remote options are turned off in the pump by default. In cases where users want to continue to use the convenience of the remote controller, as a precaution to this attack, Medtronic recommends the easy bolus is turned off when they are not intending to use remote bolus option; and when the easy bolus option is turned on, be attentive to pump alerts.
Medtronic has released additional patient focused information, at the following location:
Additionally, Medtronic will be sending a letter to all the patients who have acquired these remote controllers over the past four years to inform them about the security risks and compensating controls.
NCCIC recommends that users take defensive measures to minimize the risk of exploitation of these vulnerabilities.
Проблема в том, что сканирование (сбор информации) является первым этапом взлома. Даже если Вы можете доказать, что дальше этого этапа не заходили, ещё не означает, что Вы не планировали этого делать или не собирали эти сведения для плохих парней.
p.s. Представьте себе, что среди ночи кто-то тянул за ручку двери каждой квартиры в подъезде. Возможно, не все его поймут, но он тоже собирает статистику.
Старший вице-президент и генеральный управляющий McAfee, Стюарт Макклюр, когда-то заявил:
Все устройства, включая медицинские устройства, могут быть взломаны, и компании безрассудны, если считают, что их устройства неуязвимы
Ну и представитель Medtronic сказал, что «вероятность взлома равна нулю». Правда, после того как появились доказательства пришлось заявить, что:
Будет сложно вносить изменения в инсулиновых помпах, которые уже используются, поскольку производители устройств должны получить одобрение FDA, прежде чем что-либо менять в своих продуктах, в том числе выпускать программные патчи.
Вы о хакере, который нашёл подобные уязвимости (в том числе в «гаджетах» Medtronic) и неожиданно умер от передозировки (героин, кокаин, бенадрил и ксанакс + пиво и шампанское) за несколько дней до начала конференции Black Hat, где собирался рассказать о дистанционном воздействии на кардиостимуляторы с расстояния до 9 метров?
Кстати, учитывая что мы ничего не нарушали во время сбора этой информации, можем ли мы легально продать все собранные данные?
Напоследок, хочу лишь цитировать себя:
Насчёт «фишки» — полностью согласен. Я бы сказал, что 90% это слишком мало. Думаю, лишь единицы осмеливаются сканировать напрямую.
Что касается толкования закона — думаю, всё предельно ясно: если хост упал или кто-то не смог получить доступ к нему, а в ходе расследования окажется, что в это время с конкретного IP-адреса были отправлены множество пакетов (сообщений электросвязи) — это «несанкционированное вмешательство в работу ЭВМ, повлекшее блокирование информации, искажение процесса обработки информации и нарушение установленного порядка ее маршрутизации».
Интересно, среагирует ли ФСБ, ФАПСИ или МВД, если сканировать их диапазон IP-адресов напрямую (то есть, без VPN и прочее) с домашнего компьютера находясь в Москве? С меня плюсики, если кто-то поделиться результатом. Если действительно не будут внезапные звонки или визиты среди ночи, то это будет просто отличная новость.
Именно этот «нюанс» должен подсказывать, что сканирование это не 100% безобидная штука. Я практически готов согласиться, что на простое сканирование владелец ресурса не среагирует, но я не могу быть уверенным в этом.
А Вы попробуйте прочитать статью ещё раз, и угадайте, что происходит дальше, если например, был обнаружен веб-сервер, камера, или принтер.
К тому же, листая ics-cert.us-cert.gov, более чем уверен, что можно найти много чего интересного.
Я даже не могу себе представить, сколько у Вас опыта в этой области, если Вы оперируйте такими словами, как «никаких отказов», «абсолютно никакого внимания», «вероятность стремится к нулю», «смело утверждать», «не повлечёт за собой какой-либо ответственности», «отсутствием каких-либо последствий».
Если лично я в чём-то сомневаюсь, я доверяю тем, у кого больше знаний и опыта. И если выбрать между Вашими словами и словами разработчиков сканеров, пентестеров или компаниями в сфере ИБ — то боюсь, я не могу согласиться с Вами.
Очевидно, в нашем споре каждый останется при своём мнении. Но я, как и автор статьи, хочу предупредить остальных, не делать то, в чем 100% не уверены или есть капля сомнения в законности и безопасности процесса.
Например, там мелькает словосочетание «несанкционированное сканирование». И главное, это означает, что всё-таки сканирование неприятная штука вызывающая нарушение работы сети. Иными словами, если сканирование портов не создаёт «никаких проблем», зачем запрещать?
Вот почему, если Вы окажитесь в суде из-за того что кто-то не оценил Ваши исследовательскую деятельность, то Вы практически никак не сможете доказать свою невиновность.
DoS-атака (не DDoS) это когда один компьютер отправляет множество запросов на один хост. И именно это происходит при сканировании портов. Возникнет отказ в обслуживании или нет — это уже как повезёт. Но владелец хоста вправе обратиться в суд и обвинить Вас в DoS-атаку и нарушение работы системы, а Интернет-провайдер предоставит все нужные логи. Кстати, если не секрет, какой у Вас Интернет-провайдер? В договоре ничего не написано о том что «При пользовании Услугой Абоненту запрещается производить несанкционированное сканирование любого диапазона IP-адресов»?
Напоследок, попробуйте узнать, сколько пентестеров запускают nmap или acunetix без заключения договора с клиентами. И ещё: хоть разработчик nmap не считает сканирование портов незаконным, он настоятельно рекомендует получить письменное разрешение перед тестированием и предупреждает, что хоть сбои систем редки при сканировании, они всё же случаются.
То есть, если дропать ненужные запросы, для домашнего IP маловероятно получить 20 Мбит/с только при сканировании портов. А вот если поднять веб-сервер на стандартные порты, да, там уже начинается веселье (особенно если не настроен хонейпот).
Если хотите по закону, то сканируя порты одной машины без ведома владельца, Вы совершаете действия, которых можно прировнять к «Несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи, повлекшее утечку, утрату, подделку, блокирование информации, искажение процесса обработки информации или нарушение установленного порядка ее маршрутизации».
Сканируя все порты подряд, Вы мешаете компьютерам работать должным образом. Считайте, что Вы атакуете эту систему используя DoS-атаку. Также, Вы можете вынудить владельца на дополнительные денежные расходы (кто-то платит за компьютерное время, другие за количество запросов или трафик).
Если хотите ещё проще, считайте это спамом — то что я опубликовал на сайт мой емайл или номер телефона, это не означает что Вы имеете право отправить мне Ваши рекламные сообщения.
p.s. Представьте себе, что среди ночи кто-то тянул за ручку двери каждой квартиры в подъезде. Возможно, не все его поймут, но он тоже собирает статистику.
Ну и представитель Medtronic сказал, что «вероятность взлома равна нулю». Правда, после того как появились доказательства пришлось заявить, что:
Кажется, придётся убрать точки над «i» :)