Dnia Tue, 23 Dec 2008 12:11:38 +0100, Szymon napisał(a):

>> IMHO wystarczy jakieś nieszkodliwe ciasteczko "I WAS HERE".
>
> Wczytane bez autoryzacji użytkownika i bez jego zgody. No nie wiem...

I tu masz rację, zgodnie z prawem telekomunikacyjnym usługodawca powinien
poinformować usługobiorcę o instalacji cookie na jego komputerze.
Tyle, że w takim przypadku nie ma zastosowania PT.

To tak jak ze złodziejem: czy mam prawo "pacnąć" jego samochód farbką na
tylnej szybie, żeby później łatwiej rozpoznać sprawcę.

> tego w jakiś sposób trzeba zlokalizować komputer, z którego się
> logowano.

Ależ proszę bardzo:

pytanie: whois 87.105.100.22

odpowiedź:
inetnum: 87.105.99.0 - 87.105.100.255
netname: DIALOGNET
descr: Dynamic Broadband Services
descr: Telefonia Dialog S.A. - Dialog Telecom
country: PL

pytanie: traceroute 87.105.100.22

odpowiedź:
traceroute to 87.105.100.22 (87.105.100.22), 30 hops max, 40 byte packets
(...)
8 r-1-gsr-ge404-war.wroclaw.dialog.net.pl (217.30.128.77)
9 r-1-gsr-ge12-elb.elblag.dialog.net.pl (217.30.128.174)
10 b-1-elb.elblag.dialog.net.pl (217.30.141.80)

Później się urywa, pewnie są jakieś firewalle w Elblągu.

Chyba nie sądzisz, że użytkownik internetu jest anonimowy?

--
pozdrawiam serdecznie, Olgierd
Lege Artis http://olgierd.bblog.pl

do góry

Dnia Tue, 23 Dec 2008 12:29:50 +0100, Sebcio napisał(a):

>> W kwestii formalnej: od 5 dni jest to przestępstwem z zagrożeniem karą
>> pozbawienia wolności do lat 2 (art. 267 par. 2 kk).
>
> Ale tu nie ma uzyskiwania wiadomości do której brak uprawnienia,
tak
> więc samo korzystanie z cudzego routera nie wyczerpuje znamion
> przestępstwa o którym mowa.

A gdzie we wskazanym przepisie mowa jest o uzyskaniu dostępu takowej
informacji? Dla wyjaśnienia, art. 267 par. 2 kk brzmi "Tej samej karze
podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części
systemu informatycznego."

--
pozdrawiam serdecznie, Olgierd
Lege Artis http://olgierd.bblog.pl

do góry

>> Wczytane bez autoryzacji użytkownika i bez jego zgody. No nie wiem...
>
> I tu masz rację, zgodnie z prawem telekomunikacyjnym usługodawca powinien
> poinformować usługobiorcę o instalacji cookie na jego komputerze.
> Tyle, że w takim przypadku nie ma zastosowania PT.

PT?

> To tak jak ze złodziejem: czy mam prawo "pacnąć" jego samochód farbką na
> tylnej szybie, żeby później łatwiej rozpoznać sprawcę.

No nie wiem. Jeśli pacnięcie wyrządzi szkodę większą niż szkoda poczyniona
przez złodzieja to bym się zastanawiał.

>> tego w jakiś sposób trzeba zlokalizować komputer, z którego się
>> logowano.
>
> Ależ proszę bardzo:
>
> pytanie: whois 87.105.100.22
>
> Chyba nie sądzisz, że użytkownik internetu jest anonimowy?

Wszystko ślicznie, tylko piszę ze stałego łącza w domu. Pamiętaj, że z owego
feralnego WLANu mogłem korzystać 10 min. przeglądając strony www. whois tu
nic nie pomoże, bo zaprowadzi do routera "pokrzywdzonego". Trzeba byłoby
ustalić jak sądzę numer MAC karty sieciowej, a potem jeszcze... jakoś...
odszukać komputer, który może już być setki kilometrów dalej, udowadniając,
że to właśnie z niego łączyłem się owe 10 min. oglądając Interię na
przykład.

do góry

Dnia Tue, 23 Dec 2008 13:03:33 +0100, Szymon napisał(a):

>> I tu masz rację, zgodnie z prawem telekomunikacyjnym usługodawca
>> powinien poinformować usługobiorcę o instalacji cookie na jego
>> komputerze. Tyle, że w takim przypadku nie ma zastosowania PT.
>
> PT?

Art. 173 ustawy z 16 lipca 2004 r. prawo telekomunikacyjne.

>> To tak jak ze złodziejem: czy mam prawo "pacnąć" jego samochód farbką
>> na tylnej szybie, żeby później łatwiej rozpoznać sprawcę.
>
> No nie wiem. Jeśli pacnięcie wyrządzi szkodę większą niż szkoda
> poczyniona przez złodzieja to bym się zastanawiał.

Jeśli.

>> pytanie: whois 87.105.100.22
>> Chyba nie sądzisz, że użytkownik internetu jest anonimowy?

> Trzeba byłoby ustalić jak sądzę numer MAC karty sieciowej, a potem
> jeszcze... jakoś... odszukać komputer, który może już być setki
> kilometrów dalej, udowadniając, że to właśnie z niego łączyłem się owe
> 10 min. oglądając Interię na przykład.

Wszystko to prawda. Sądzę, że ustalenie MAC to 2 minuty, odnalezienie
komputera o zadanym MAC -- jeśli akurat jest połączony -- kolejne 22
minuty.
Można także użytkownika rozpoznać po analizie pakietów, jakie sobie on
zażyczył z tej sieci. Zważ, że pytałeś o połączenie z bankiem ;-)
Domyślnie: z Twoim bankiem ;-) i teraz już pytanie dla ekspertów: na ile
zabezpieczenie transmisji SSL uniemożliwi podgląd pakietów na tyle
dobrze, aby się nie udało sprawdzić, które akurat konto bankowe
przeglądałem.
Jest jeszcze poczta elektroniczna, komunikatory (także treść
komunikatów).
Do tego nawet Echelon nie jest potrzebny ;-)

BTW mieliśmy niedawno problem z gościem, który na forum reklamował
konkurencyjne forum. Dłużej pisałem do niego listela w rodzaju "nie rób
tego, bo będzie wstyd jak się ludzie dowiedzą, że taka poważna firma jak
XYZ robi takie spamerskie triki", niż ustalenie jego imienia, nazwiska,
adresu poczty elektronicznej oraz powiązania z ową firmą...

--
pozdrawiam serdecznie, Olgierd
Lege Artis http://olgierd.bblog.pl

do góry

> Art. 173 ustawy z 16 lipca 2004 r. prawo telekomunikacyjne.

No nie jestem pewien czy bez mojej zgody tak sobie może ktoś wprowadzać dane
do mojego komputera, jakie mu się widzi. Straty z tego tytułu mogą być dla
mnie o wiele większe niż skorzystanie z routera wifi, gdzie do danych
komputerowych właściciela nie mam i nie próbuję mieć żadnego dostępu.

>> No nie wiem. Jeśli pacnięcie wyrządzi szkodę większą niż szkoda
>> poczyniona przez złodzieja to bym się zastanawiał.
>
> Jeśli.

Cały czas zakładamy, że nie robię nic złego prócz skorzystania z sieci.
Wiesz... mamy święta i czas kradzieży w sklepach - podobno do kwoty 250zł
złodzieje odpowiadają tylko jak za wykroczenie i kończy się mandatem, bowiem
nie jest to kwalifikowane jako przestępstwo, a Ty już byś mnie zamykał na 2
lata, bo sprawdziłem newsy na Interii :-)

> Wszystko to prawda. Sądzę, że ustalenie MAC to 2 minuty, odnalezienie
> komputera o zadanym MAC -- jeśli akurat jest połączony -- kolejne 22
> minuty.

Ustalenie MAC to 5 sekund jesli się wie, jak to zrobić. Ale odnalezienie
komputera nawet jeśli jest połączony w ciągu 22 minut? Może być wszędzie w
odległości kilkudziesięciu -set metrów.

> Można także użytkownika rozpoznać po analizie pakietów, jakie sobie on
> zażyczył z tej sieci. Zważ, że pytałeś o połączenie z bankiem ;-)

Tak, potencjalnie z bankiem. Ale czy bank udzieli odpowiedzi kto się łączył
z danego IP w danej chwili, jesli nie będzie nakazu prokuratury? A czy ta
wystosuje takowy jeśli "pokrzywdzony" użytkownik np. neostrady wycenił moje
przebywanie w swojej sieci np. na kilkadziesiąt groszy?

> Domyślnie: z Twoim bankiem ;-) i teraz już pytanie dla ekspertów: na ile
> zabezpieczenie transmisji SSL uniemożliwi podgląd pakietów na tyle
> dobrze, aby się nie udało sprawdzić, które akurat konto bankowe
> przeglądałem.

Marne szanse moim zdaniem. Jak tu niektórzy stwierdzili SSL jest bezpieczny,
a w dniu, w którym przestanie - banki zmienią pewne szyfrowanie.

> Jest jeszcze poczta elektroniczna, komunikatory (także treść
> komunikatów).
> Do tego nawet Echelon nie jest potrzebny ;-)

Wszystko prawda, jednak nie sądzisz, że to trochę polowanie z armatą na
wróbla? W przypadku nękania sieci i celowego jej sabotowania pewnie jakieś
kroki zostałyby podjęte, ale tu mówimy o chwilowym użyciu, baaardzo
sporadycznym (w trasie, na wakacjach itp.).

> BTW mieliśmy niedawno problem z gościem, który na forum reklamował
> konkurencyjne forum. Dłużej pisałem do niego listela w rodzaju "nie rób
> tego, bo będzie wstyd jak się ludzie dowiedzą, że taka poważna firma jak
> XYZ robi takie spamerskie triki", niż ustalenie jego imienia, nazwiska,
> adresu poczty elektronicznej oraz powiązania z ową firmą...

OK Olgierd, ale on się nie łączył pewnie z przygodnego WLANu. Gdyby tak było
roześmiałby się, bo firma XYZ to mogłaby być kawarnia, McDonald's czy tam
Multikino. Co oczywiście nie powoduje, że zachęcam do spamu, który też tam
podpada pod paragrafy sam w sobie (każdy z nas wie ile to zmienia zaglądając
co dzień do skrzynki).

do góry

Olgierd pisze:

> A gdzie we wskazanym przepisie mowa jest o uzyskaniu dostępu takowej
> informacji? Dla wyjaśnienia, art. 267 par. 2 kk brzmi "Tej samej karze
> podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części
> systemu informatycznego."

A to już się kajam i cofam co napisałem - przekonany byłem zawsze że
ISIP jest aktualizowany bez zbędnej zwłoki a prezentowany akt
ujednolicony zawiera brzmienie aktualne ;)

W tym brzmieniu przepisu faktycznie sprawa jest jasna i oczywista.


--
Pozdrawiam,
Sebcio

do góry

Dnia Tue, 23 Dec 2008 13:49:19 +0100, Szymon napisał(a):

>> Art. 173 ustawy z 16 lipca 2004 r. prawo telekomunikacyjne.
>
> No nie jestem pewien czy bez mojej zgody tak sobie może ktoś wprowadzać
> dane do mojego komputera, jakie mu się widzi. Straty z tego tytułu mogą
> być dla mnie o wiele większe niż skorzystanie z routera wifi, gdzie do
> danych komputerowych właściciela nie mam i nie próbuję mieć żadnego
> dostępu.

Treść wskazanego przepisu powinna rozwiać Twoje wątpliwości.

>>> No nie wiem. Jeśli pacnięcie wyrządzi szkodę większą niż szkoda
>>> poczyniona przez złodzieja to bym się zastanawiał.
>>
>> Jeśli.
>
> Cały czas zakładamy, że nie robię nic złego prócz skorzystania z sieci.
> Wiesz... mamy święta i czas kradzieży w sklepach - podobno do kwoty
> 250zł złodzieje odpowiadają tylko jak za wykroczenie i kończy się
> mandatem, bowiem nie jest to kwalifikowane jako przestępstwo, a Ty już
> byś mnie zamykał na 2 lata, bo sprawdziłem newsy na Interii

Ja bym Ciebie nie zamykał.
Różnica jest taka, że kradzież przedmiotu o wartości do 250 zł nie jest
przestępstwem, bo tak chce ustawodawca. Natomiast wpięcie się w cudzą
sieć telekomunikacyjną jest przestępstwem, bo tak chce ustawodawca.

>> Można także użytkownika rozpoznać po analizie pakietów, jakie sobie on
>> zażyczył z tej sieci. Zważ, że pytałeś o połączenie z bankiem ;-)
>
> Tak, potencjalnie z bankiem. Ale czy bank udzieli odpowiedzi kto się
> łączył z danego IP w danej chwili, jesli nie będzie nakazu prokuratury?

Ale dlaczego bez nakazu?

> A czy ta wystosuje takowy jeśli "pokrzywdzony" użytkownik np. neostrady
> wycenił moje przebywanie w swojej sieci np. na kilkadziesiąt groszy?

Nie mam pojęcia. Z ostrożności powiem: pięciu prokuratorów odmówi, ale
dwóch klepnie.

>> Domyślnie: z Twoim bankiem ;-) i teraz już pytanie dla ekspertów: na
>> ile zabezpieczenie transmisji SSL uniemożliwi podgląd pakietów na tyle
>> dobrze, aby się nie udało sprawdzić, które akurat konto bankowe
>> przeglądałem.
>
> Marne szanse moim zdaniem. Jak tu niektórzy stwierdzili SSL jest
> bezpieczny, a w dniu, w którym przestanie - banki zmienią pewne
> szyfrowanie.

Nie znam się na tyle dobrze na technice, aby rozwikłać te wątpliwości.

Tak czy inaczej z mojej strony EOT, pozdrawiam :-)

--
pozdrawiam serdecznie, Olgierd
Lege Artis http://olgierd.bblog.pl

do góry

Olgierd <n...@r...org> wrote:
> Wszystko to prawda. Sądzę, że ustalenie MAC to 2 minuty,

Stary, żaden z tych rozpakowanych z pudełka routerków
serwujących niezabezpieczony WLAN nie ma włączonego logowania
ruchu. MAC pojawia się w eterze przez 10-15 minut i znika.
Leży jeszcze chwilę (rzędu minuty) w ARP cache i też znika.
DHCP lease może dłużej wygasać, o ile użyszkodnik się
nie rozłączył jak Bozia przykazała, z grzecznym zakończeniem
lease'u. Cześć pieśni, szukaj wiatru w polu.

Jeśli już ktoś loguje ruch, to raczej *po* zabezpieczeniu
sieci, na wszelki wypadek, gdyby ktoś się włamał. Tego
przypadku nie rozpatrujemy w tym wątku.

> odnalezienie komputera o zadanym MAC -- jeśli akurat jest
> połączony -- kolejne 22 minuty.

Taaa, jak masz wóz techniczny UKE w pogotowiu.

> Można także użytkownika rozpoznać po analizie pakietów,
> jakie sobie on zażyczył z tej sieci.

Czasem można. Wracamy do punktu 1. - brak logowania ruchu.

> Zważ, że pytałeś o połączenie z bankiem ;-)
> Domyślnie: z Twoim bankiem ;-) i teraz już pytanie dla ekspertów: na ile
> zabezpieczenie transmisji SSL uniemożliwi podgląd pakietów na tyle
> dobrze, aby się nie udało sprawdzić, które akurat konto bankowe
> przeglądałem.

Uniemożliwi skutecznie. Bank wprawdzie wie, kto rozpoczął
i zamknął sesję o tej i o tej godzinie, ale byle komu tego
nie powie.

> Jest jeszcze poczta elektroniczna, komunikatory (także treść
> komunikatów).
> Do tego nawet Echelon nie jest potrzebny ;-)

Jeśli użyszkodnik jest nieostrożny i sam się podkłada, to
oczywiście jest bardzo łatwo go zidentyfikować - dopóki
jest po czym, patrz punkt 1.

Jeżeli jest ostrożny i korzysta z szyfrowanych połączeń,
tuneli itp. wówczas analiza ruchu będzie *ZNACZNIE*
utrudniona. Nawet, jeśli ten otwarty jak wrota od stodoły
WLAN loguje ruch, to sam MAC nic nie daje w pojedynczym
przypadku skorzystania z sieci na cudzy koszt.

Owszem, był jakiś czas temu przypadek złapania przez organa
ścigania allegrowego oszusta, który łączył się z niezabezpieczonych
WLANów. Ale to była grubsza sprawa, nie pojedynczy incydent, a
seria oszustw, i konkretne pieniądze poszkodowani stracili,
więc sprawą się zajęto na poważnie. Złapano faceta też
tylko dlatego, że jego działania były powtarzalne.
Pojedynczy przypadek - szukaj tatka latka.

"Poszkodowany" przez 15-minutowy nieautoryzowany dostęp
po pierwsze go w 99.99% nie zauważy, a nawet jeśli zauważy,
to jakie straty będzie mógł wykazać? Żadne. Jakie dowody
przedstawić? Mizerne (o ile użyszkodnik sam mu się na
tacy nie wystawił).


No chyba, że pechowy użyszkodnik trafi na prowokację CBA
rozstawiającego po rynkach i placach "darmowe" hots^H^Hneypoty...

--
Piotr Auksztulewicz i...@n...net

do góry

> Różnica jest taka, że kradzież przedmiotu o wartości do 250 zł nie jest
> przestępstwem, bo tak chce ustawodawca. Natomiast wpięcie się w cudzą
> sieć telekomunikacyjną jest przestępstwem, bo tak chce ustawodawca.

Takie cuda to tylko w PL. Sytuacja jest paradoksalna - wiele kawarni,
hoteli, a nawet urzędy miasta inwestują w infrastrukturę WLAN, by
udostępniać ją wszem i wobec w ramach reklamy/promocji, tymczasem klient nie
może się połączyć, bo popełnia przestępstwo. Nie ma praktycznie technicznej
możliwości sprawdzenia czy sieć jest ogólnie dostępna czy nie. Nawet gdyby
chcieć to sprawdzić (np. niektóre w nazwie sieci mają stronę www) to...
trzeba się zalogować. Absurdalne dla mnie.

>> Tak, potencjalnie z bankiem. Ale czy bank udzieli odpowiedzi kto się
>> łączył z danego IP w danej chwili, jesli nie będzie nakazu prokuratury?
>
> Ale dlaczego bez nakazu?

Sądzisz, że przy takich "stratach" można mówić o tak daleko idącej sytuacji?
W dobie, gdy DSL był z limitem to OK, ktoś mógł go wyczerpać nieświadomie,
ale w tej chwili straty były groszowe (dosłownie, bo ja za 1Mb płacę 25zł na
miesiąc to ile mi wyjdzie za 10 minut?). Jeszcze raz podkreślę, iż jest to
kwestia sprawdzenia poczty, kilku stron www i tyle.

>> A czy ta wystosuje takowy jeśli "pokrzywdzony" użytkownik np. neostrady
>> wycenił moje przebywanie w swojej sieci np. na kilkadziesiąt groszy?
>
> Nie mam pojęcia. Z ostrożności powiem: pięciu prokuratorów odmówi, ale
> dwóch klepnie.

Podsunąłeś mi niezły pomysł na biznes - nic tylko router z WLANem kupić,
wystawić na dachu antenę i niech no ktoś mi się zaloguje. Od razu pismo do
prokuratury, a potem kup pan cegłę za 5 tys., bo nie wycofam (przypominam:
ścigane na wniosek pokrzywdzonego).
Swoją drogą najczęściej DSLe mają klauzulę w umowie o zakazie udostępniania
łącza poza obręb lokalu, zatem ów "pokrzywdzony" też nie będzie bez winy.

do góry

scream <n...@p...pl> writes:

> A jak to sie ma do tematu? Nijak. Rozmawiamy o tym czy szyfrowanie SSLem
> jest bezpieczne czy nie.

Przeciwnie, to wlasnie najwazniejsza rzecz zwiazana z tym tematem.
Nikt normalny nie bedzie sie meczyl z rozszyfrowaniem nawet chocby
DESa (choc jest to mozliwe). Przecietny user nie rozumie, ze
podstawowy problem jest inny niz szyfrowanie, mysli ze jak chroni go
jakis mityczny "SSL256" to jest bezpieczny. W rzeczywistosci jest
wiele duzo latwiejszych wektorow ataku, chocby dziury (publicznie
znane lub nie) w przegladarkach.
--
Krzysztof Halasa

do góry