|
|
 | ITbutikken
Fra : Asbjorn Hojmark |
Dato : 14-10-03 22:10 |
| | |
 Max Andersen (14-10-2003)
| Kommentar
Fra : Max Andersen |
Dato : 14-10-03 22:20 |
|
"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:ncpoovs479bvrd2gu22fjb89cnlumhl3me@news.cybercity.dk...
> Det er da interessant, at en så relativt firkantet udtalelse
> kommer fra formanden for FDIH,
>
Jeg synes at det er en god idé at acceptere 'whitehats' ligesom microsoft og
andre også gør det. Ellers ville sikkerhedshuller KUN blive opdaget af
konsulentfirmaer betalt for ydelsen, eller Blackhats.
Max
| |
Jens U. K. (15-10-2003)
| Kommentar
Fra : Jens U. K. |
Dato : 15-10-03 13:55 |
|
"Max Andersen" <max@militant.dk> wrote in message
news:3f8c687a$0$69903$edfadb0f@dread12.news.tele.dk...
>
> "Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
> news:ncpoovs479bvrd2gu22fjb89cnlumhl3me@news.cybercity.dk...
> > Det er da interessant, at en så relativt firkantet udtalelse
> > kommer fra formanden for FDIH,
> >
>
> Jeg synes at det er en god idé at acceptere 'whitehats' ligesom
microsoft og
> andre også gør det. Ellers ville sikkerhedshuller KUN blive opdaget af
> konsulentfirmaer betalt for ydelsen, eller Blackhats.
Hvis selvtægt/whitehats skulle accepteres, har jeg en ide til hvordan det
imho måske kunne gøres "acceptabelt": Når en whitehat har mistanke om et
sikkerhedshul, kontaktes X, som er en offentlig instans beregnet til
formålet. X giver herefter whitehat'en lov til at "udnytte"
sikkerhedshullet, for at se om mistanken kan bekræftes. Det fysiske sted
whitehat'en, udfører sin "audit" fra burde nok være under "beskyttede"
forhold, f.eks. kunne der være centre hvorfra den videre "udnyttelse" blev
udført, således at X havde en log over nettraffikken, alternativt en proxy
hos X. Ellers kunne det også være at X selv kunne undersøge mistanken
nærmere, men det kræver selvfølgelig at X har kompetencen.
/Jens Ulrik
| |
 Lars B. Dybdahl (18-10-2003)
| Kommentar
Fra : Lars B. Dybdahl |
Dato : 18-10-03 10:23 |
|
Jens U. K. wrote:
> Når en whitehat har mistanke om et
> sikkerhedshul, kontaktes X, som er en offentlig instans beregnet til
> formålet. X giver herefter whitehat'en lov til at "udnytte"
> sikkerhedshullet, for at se om mistanken kan bekræftes.
Det er en komplet uakceptabel fremgangsmåde. Det offentlige kan ikke give
private lov til hacking. En person, der på offentlighedens vegne foretager
hacking, skal være ansat hos eller hyret af politiet med ansvar overfor
disse og uddannet til formålet.
Og dit forslag glemmer også, at det normalt kræver en dommerkendelse at
invadere andres private sfærer.
Eneste mulighed for at undgå at kalde det hacking, er at man legaliserer
visse former for påvirkninger af edb-systemer, såsom at smide mærkelige
URL'er i hovedet på dem. Men hvis en URL indeholder noget, som minder om en
adgangskode, så ville det være det samme som at legalisere brute force
angreb på en ssh login...
Juridisk set er problemet stort og bør nok overlades til jurister.
Lars.
--
GnuPG nøgle: http://dybdahl.dk/lars/gpg/
| |
Jens U. K. (20-10-2003)
| Kommentar
Fra : Jens U. K. |
Dato : 20-10-03 09:27 |
|
"Lars B. Dybdahl" <Lars@dybdahl.dk> wrote in message
news:3f910667$0$45340$edfadb0f@dread11.news.tele.dk...
> Jens U. K. wrote:
> > Når en whitehat har mistanke om et
> > sikkerhedshul, kontaktes X, som er en offentlig instans beregnet til
> > formålet. X giver herefter whitehat'en lov til at "udnytte"
> > sikkerhedshullet, for at se om mistanken kan bekræftes.
>
> Det er en komplet uakceptabel fremgangsmåde.
Så har jeg nok ikke forklaret mig tydeligt nok.
> Det offentlige kan ikke give
> private lov til hacking.
Taget ud af kontekst er jeg enig.
> En person, der på offentlighedens vegne foretager
> hacking, skal være ansat hos eller hyret af politiet med ansvar overfor
> disse og uddannet til formålet.
Og det var en sådan løsning jeg hentydede til. At hackningen foregår via
et offentligt overvåget center eller lign. Altså at politiet midlertidigt
og under overvågning giver en person som har ekspertisen, lov til at
bevise at det formodede sikkerhedshul eksisterer.
(Du glemmer også mit alternativ: At X selv undersøger det mulige
sikkerhedshul. Og det er selvfølgelig at foretrække; men hvis ekspertisen
eller tiden mangler, kunne politiet "låne" en whitehat).
>
> Og dit forslag glemmer også, at det normalt kræver en dommerkendelse at
> invadere andres private sfærer.
Det var jo netop det jeg mente med den offentlige instans X. De skulle
have muligheden for at give lov, f.eks. ved at have en person tilknyttet
der kunne uddele dommerkendelser.
>
> Eneste mulighed for at undgå at kalde det hacking, er at man legaliserer
> visse former for påvirkninger af edb-systemer, såsom at smide mærkelige
> URL'er i hovedet på dem. Men hvis en URL indeholder noget, som minder om
en
> adgangskode, så ville det være det samme som at legalisere brute force
> angreb på en ssh login...
Hvis hensigten er at bryde ind (#1), bør det kun være lovligt via en
instans a la X.
>
> Juridisk set er problemet stort og bør nok overlades til jurister.
Det har du nok ret i.
Jeg synes bare der burde være en mulighed for whitehats at bevise at de
har rent mel i posen. f.eks. ved at "hacke" via X. Generelt tror jeg
nemlig at fra en virksomheds naive synspunkt er en person der bryder ind i
deres system kort og godt: en hacker. Uanset om personen kun vil dem og
offentligheden det "godt".
/Jens Ulrik
#1: Bryde ind kan her være at afprøve om det formodede sikkerhedshul rent
faktisk eksisterer, for derefter at informere "offeret". Men det kunne
lige vel være at bryde ind for at stjæle.
| |
Kasper Dupont (20-10-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 20-10-03 10:48 |
|
"Lars B. Dybdahl" wrote:
>
> Eneste mulighed for at undgå at kalde det hacking, er at man legaliserer
> visse former for påvirkninger af edb-systemer, såsom at smide mærkelige
> URL'er i hovedet på dem. Men hvis en URL indeholder noget, som minder om en
> adgangskode, så ville det være det samme som at legalisere brute force
> angreb på en ssh login...
>
> Juridisk set er problemet stort og bør nok overlades til jurister.
Jeg mener under ingen omstændigheder man bør gå videre end til at påvise
hullets eksistens eller blot have kraftige indicer på dets ekisistens.
Hvis man mener at have fundet et hul bør man straks gøre systemets
administrator opmærksom på problemet.
Der kan være flere grunde til, at man ønsker at undersøge, om der er et
hul. F.eks. kan man tilfældigvis have opdaget symptomer på et hul, eller
af anden grund have fået en mistanke. Det kan også være, man selv ønsker
at bruge systemet og derfor først vil vide om det er sikkert.
Hvis enhver på grundlag af blot den mindste mistanke om et sikkerhedshul
kontakter systemets administrator ville de nok drukne i henvendelser om
ikke eksisterende huller. Det ville med stor sandsynlighed resultere i,
at når der endelig blev fundet et hul ville en evt. henvendelse omkring
hullet blive ignoreret.
Problemet er blot, at en administrator, kan se i sin logfil, at der er
blevet ledt efter huller. Men når der ingen huller blev fundet kan han
ikke se, hvorfor der blev ledt efter huller. Der kan ikke ses forskel
på indlende manøvrer til et angreb, og en uskyldig undersøgelse af
systemet.
Hvad vil fra et praktisk synspunkt være en god måde at finde ud af, om
der er huller i systemet?
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
|
|