Nowelizacja kodeksu karnego, hacking a przypadek PKN
Security | 2008-10-06 23:07:04
W ostatnim czasie dosyć głośno mówi się o nowelizacji kodeksu karnego, głównie poprzez aspekt ataków na systemy teleinformatyczne i proponowanych zmianach (Rządowy projekt ustawy o zmianie ustawy - Kodeks karny oraz niektórych innych
ustaw). Na szczególną uwagę naszym zdaniem zasługuje propozycja zmiany art. 267 par. 2: "Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego". Nasuwa się pytanie, jak traktować ten paragraf poprzez pryzmat np. Google Hacking?
Weźmy pod lupę coś 'sztywnego', np. Polski Komitet Normalizacyjny - www.pkn.pl. Szukamy punktu zaczepienia, tak więc podglądamy plik
nie mamy dostępu do zasobów :( Logiczne. Z pomocą przychodzi nam jednak wyszukiwarka internetowa Google z zapytaniem wyglądającym np. tak:
W wyniku uzyskujemy dostęp do dokumentów, które naszym zdaniem, nie są przeznaczone dla mas (pliki dopiero co drukowane, kierowane do druku, notatki służbowe, oferty czekające w kolejce do wrzucenia na główną stronę, itp).
Przestępstwo?! Uzyskujemy także pogląd na strukturę katalogu /admin/ oraz jego podkatalogów. Przestępstwo?! Po głębszych poszukiwaniach możemy doszukać się jeszcze "ciekawszych" rzeczy...
O pomstę do nieba zakrawa także nowelizowany art. 269b par.1:
"Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3".
Nessus? John the Ripper? Debuggery? Telnet? Na upartego każdy system operacyjny można pod ten paragraf podciągnąć...
Studium przypadku nowelizacji KK pozostawiamy dla każdego z osobna.
Autorzy: Damian Zelek & sir Numerous Digital
Weźmy pod lupę coś 'sztywnego', np. Polski Komitet Normalizacyjny - www.pkn.pl. Szukamy punktu zaczepienia, tak więc podglądamy plik
robots.txt. Po wielu godzinach wysiłku i hektolitrach wypitej kawy :) wpadamy na jakże błyskotliwy pomysł wpisania w naszej przeglądarce adresu www.pkn.pl/admin. Jak widać:
nie mamy dostępu do zasobów :( Logiczne. Z pomocą przychodzi nam jednak wyszukiwarka internetowa Google z zapytaniem wyglądającym np. tak:
site:www.pkn.pl/admin +filetype:*
W wyniku uzyskujemy dostęp do dokumentów, które naszym zdaniem, nie są przeznaczone dla mas (pliki dopiero co drukowane, kierowane do druku, notatki służbowe, oferty czekające w kolejce do wrzucenia na główną stronę, itp).
Przestępstwo?! Uzyskujemy także pogląd na strukturę katalogu /admin/ oraz jego podkatalogów. Przestępstwo?! Po głębszych poszukiwaniach możemy doszukać się jeszcze "ciekawszych" rzeczy...
O pomstę do nieba zakrawa także nowelizowany art. 269b par.1:
"Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3".
Nessus? John the Ripper? Debuggery? Telnet? Na upartego każdy system operacyjny można pod ten paragraf podciągnąć...
Studium przypadku nowelizacji KK pozostawiamy dla każdego z osobna.
Autorzy: Damian Zelek & sir Numerous Digital