GoldenLine
Zaloguj się
Łukasz Stampkowski

Łukasz Stampkowski Starszy Inżynier
Systemów Unix

Temat: skanowanie zabezpieczen a prawo

Witam,
szukalem inf. na ten temat poniższy w googlach ale mozecie miec lepsze pojecie
Czy skanowanie zabezpieczen serwera firmy X jest legalne z punktu
widzenia prawa?
Mianowicie czy jak ktos skanuje zabezpieczenia pewnego serwera www
np: pewnej gminy (strona jak i serwer są hostowane u prywatnej firmy).I zostały znalezione w nim dziury oraz to ze oprogramowanie nie bylo
aktualizowane od kilku lat. Może zostac pozwany do sądu za to przez właściciela witryny? lub czy
firma u ktorej ta gmina ma hosting strony i serwera moze pozwac dana
osobe do sądu?
(mowimy tylko o zeskanowaniu zabezpieczeń, a nie o wykorzystaniu luk w celu ataku)
Link do wypowiedziLink
Maciej K.

Maciej K. DevOps Engineer

Temat: skanowanie zabezpieczen a prawo

Co jakiś czas powraca na różnych branżowych forach dyskusja na ten temat :) Też jestem ciekawy czy coś się zmieniło, bo do niedawna polskie prawo nie stanowiło wprost o tym, czy skanowanie portów jest legalne czy nie. Biorąc pod uwagę obowiązujące paragrafy można wręcz powiedzieć, że samo skanowanie portów jest legalne o ile nie zakłóca w żaden sposób funkcjonowania skanowanego systemu. Pytanie jak sąd mógłby się odnieść do tego, że w efekcie skanowania weszliśmy w posiadanie wiedzy mogącej służyć do skutecznego ataku na system. To jednak bardziej pytanie do prawnika. Całą sytuację można porównać do dzwonienia domofonem i sprawdzania czy ktoś jest w domu - nie jest to przecież zabronione. A w efekcie dzwonienia możemy stwierdzić, że w domu nikogo nie ma ale to przecież nie znaczy, że od razu będziemy się tam włamywać.Maciej K. edytował(a) ten post dnia 03.02.10 o godzinie 15:34
Link do wypowiedziLink
Michał Ławicki

Michał Ławicki dostawca zadowolenia

Temat: skanowanie zabezpieczen a prawo

"Kto bez uprawnienie uzyskuje dostęp do informacji dla niego nieprzeznaczone ..." etc etc :-(
Link do wypowiedziLink
Michał Panasiewicz

Michał Panasiewicz Administrator
systemów, sieci i
aplikacji.

Temat: skanowanie zabezpieczen a prawo

"Nie można przełamać czegoś, co nie istnieje" - ...

Fuszerka wykonawcy, szukanie luki, oferta naprawy i kajdanki

Skanowanie portów - czy znamy jakieś polskie przypadki?

Stado może przejść przez dziurę po sprytnej krowie, ...

Prezydent podpisał nowelę Kodeksu karnego. Czy można obejść coś, co nie istnieje?Michał Panasiewicz edytował(a) ten post dnia 04.02.10 o godzinie 02:21
Link do wypowiedziLink
Michał Panasiewicz

Michał Panasiewicz Administrator
systemów, sieci i
aplikacji.

Temat: skanowanie zabezpieczen a prawo

Maciej K.:
...Też jestem ciekawy czy coś się zmieniło, bo do niedawna polskie prawo nie stanowiło wprost o tym, czy skanowanie portów jest legalne czy nie. Biorąc pod uwagę obowiązujące paragrafy można wręcz powiedzieć, że samo skanowanie portów jest legalne o ile nie zakłóca w żaden sposób funkcjonowania skanowanego systemu.

w temacie jest "skanowanie zabezpieczeń", nie "skanowanie portów" :).

Poza tym IMHO skanowanie portów jako takie nie jest groźne, jedna ze zwykłych czynności administracyjnych (cyferki zawsze mogą się pomylić przecież w IP i już skanujesz nie swój serwer), "groźne" są raczej wnioski jakie można wyciągnąć na podstawie jego wyników. Poza tym w dobie narzędzi typu tor/tortunnel trudno ustalić rzeczywistego skanującego.
Link do wypowiedziLink
Maciej K.

Maciej K. DevOps Engineer

Temat: skanowanie zabezpieczen a prawo

W takim razie należałoby zdefiniować kilka pojęć :) Czy "skanowanie zabezpieczeń" jest sprawdzeniem czy port, na którym nasłuchuje dana usługa jest otwarty i dostępny, czy może podpada pod to sprawdzenie wersji oprogramowania a może np. atak brute-force a może jeszcze coś innego? Poza tym jak stwierdzić czy mamy do czegoś uprawnienia czy nie? To w kwestii uwagi "Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej...". Sam słusznie zauważyłeś, że adres IP można pomylić, czy zatem połączenie się z usługą jest skanowaniem zabezpieczeń czy już atakiem? Takie pojęcia są raczej abstrakcją dla polskiego prawa ale może jakiś prawnik się na ten temat wypowie :)
Link do wypowiedziLink
Piotr Konieczny

Piotr Konieczny Chief Information
Security Officer,
Niebezpiecznik.pl

Temat: skanowanie zabezpieczen a prawo

Maciej K.:
[cut]
czy może podpada pod to sprawdzenie wersji oprogramowania
[cut]

Tak się przysłuchuję dyskusji i zastanowiło mnie właśnie to "sprawdzenie wersji oprogramowania" -- czy to może być "zapoznanie się z informacją dla niego nieprzeznaczoną"?

Warto zwrócić uwagę, na dwie rzeczy: wersję usługi możemy dostać automatycznie (np. banner FTP) lub określić na zasadzie aktywnego probingu (np. nmap -V)
Link do wypowiedziLink
Michał Panasiewicz

Michał Panasiewicz Administrator
systemów, sieci i
aplikacji.

Temat: skanowanie zabezpieczen a prawo

Maciej K.:
W takim razie należałoby zdefiniować kilka pojęć :) Czy "skanowanie zabezpieczeń" jest sprawdzeniem czy port, na którym nasłuchuje dana usługa jest otwarty i dostępny, czy może podpada pod to sprawdzenie wersji oprogramowania a może np. atak brute-force a może jeszcze coś innego? Poza tym jak stwierdzić czy mamy do czegoś uprawnienia czy nie? To w kwestii uwagi "Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej...".

no cóż nasze szanowne p.osły likwidując założenie "zabezpieczonego systemu" zafundowały wszystkim obywatelom perspektywę łatwego dostania się na darmowy wikt i opierunek państwa.
"
§ 1. Kto bez uprawnienia uzyskuje dostęp do infor­macji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, infor­ma­tyczne lub inne szczególne jej za­bez­pieczenie,
podlega grzywnie, karze ograniczenia wol­ności albo pozba­wienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego."

PS. i teraz postawione przez ciebie pytanie, na jakiej podstawie mamy stwierdzić czy mamy uprawnienia czy nie, np:

odwiedzając ten link wlasnie-zlamales-prawo.
(ale nie martw się, samotny nie będziesz bo idziemy obydwaj :) ponieważ:
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.
)
czy też gdy nasze urządzenie wifi łączy się z automatycznie z najbliższą niezabezpieczoną prywatną siecią radiową postawioną przez jakiegoś lamera/ladmina?

PS:
polecam czytać http://vagla.pl i http://olgierd.bblog.pl
PS2:
czytasz lege artis zapewne jestes bandyta zdaniem poslow
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj