---

Valus-Hackeren har modtaget et skriftligt dokument:

http://cubus-adsl.dk/elteknik/div/valushacker_orientering_0404.php

Og til Jura: Hvad går et sådan retsmøde ud på og hvem er tilstede?

--
Cubus
http://cubus-adsl.dk/

---

Cubus wrote:
>
> Valus-Hackeren har modtaget et skriftligt dokument:
>
> http://cubus-adsl.dk/elteknik/div/valushacker_orientering_0404.php

Jeg synes det er lidt sjovt, at de har skrevet
requesten forkert. For hvis der rent faktisk var
blevet sendt
"GET/publisering/default.asp? Cid=3%01SHUTDOWN"
som der står i dokumentet, havde udfaldet nok
været et andet. Jeg spekulerer også lidt på, hvad
der er årsagen til, at de vælger at oversætte
request med kommando. Det er ikke en korrekt
oversættelse ifølge min ordbog.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Kasper Dupont" <kasperd@daimi.au.dk> skrev

> > Valus-Hackeren har modtaget et skriftligt dokument:
> >
> > http://cubus-adsl.dk/elteknik/div/valushacker_orientering_0404.php

> Jeg spekulerer også lidt på, hvad
> der er årsagen til, at de vælger at oversætte
> request med kommando. Det er ikke en korrekt
> oversættelse ifølge min ordbog.

Hvad kunne en kommando være i en browsers adresselinje?

--
Cubus
http://cubus-adsl.dk/

---

In article <iH5ec.126$cj3.88@news.get2net.dk>, Cubus wrote:
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev
>
>> > Valus-Hackeren har modtaget et skriftligt dokument:
>> >
>> > http://cubus-adsl.dk/elteknik/div/valushacker_orientering_0404.php
>
>> Jeg spekulerer også lidt på, hvad
>> der er årsagen til, at de vælger at oversætte
>> request med kommando. Det er ikke en korrekt
>> oversættelse ifølge min ordbog.
>
> Hvad kunne en kommando være i en browsers adresselinje?

Måske noget som
javascript:window.close()

---

Cubus wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev
>
> > > Valus-Hackeren har modtaget et skriftligt dokument:
> > >
> > > http://cubus-adsl.dk/elteknik/div/valushacker_orientering_0404.php
>
> > Jeg spekulerer også lidt på, hvad
> > der er årsagen til, at de vælger at oversætte
> > request med kommando. Det er ikke en korrekt
> > oversættelse ifølge min ordbog.
>
> Hvad kunne en kommando være i en browsers adresselinje?

Jeg tror ikke jeg forstår spørgsmålet.

Det du skriver i adresselinien er en URL. Når din
browser vil vise siden sender den en request til
serveren. Requesten indeholder en del af URLen.
Når du i din browser skriver:

http://www.valus.dk/publisering/default.asp?Cid=3%01SHUTDOWN

Bruges delen efter hostnavn som URI i requesten.
En request består af først en request line, der
indeholder en metode, en URI og et protokol
versionsnummer. Derefter følger en eller flere
headers. Det vil sige at requesten kunne se
sådan ud:

GET /publisering/default.asp?Cid=3%01SHUTDOWN HTTP/1.1
Host: www.valus.dk

Typisk vil der være flere headers, men det er
irelevant i den her sammenhæng.

Ordet kommando mener jeg ikke passer ind i den her
sammenhæng. Hvis du læser HTTP/1.1 standarden vil
du opdage, at ordet command ikke bruges en eneste
gang.

Mit gæt er, at det forkerte ordvalg skyldes enten
at teksten er skrevet af en person, der ikke ved
hvad han skriver om. Eller det er et bevidst valg
for at give et passende indtryk af hændelsesforløbet.

Den anden fejl taget i betragtning er det mest
sandsynlige nok, at dokumentet er skrevet af en
person uden den nødvendige viden.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Cubus wrote:

[klip]

> Hvad går et sådan retsmøde ud på og hvem er tilstede?

Eftersom sagen forventes fremmet til dom i medfør af retsplejelovens §
922, er der antagelig tale om et retsmøde i henhold til retsplejelovens
§ 694, stk. 3.

Retsmødet går i sin enkelthed ud på, at du tilstår forholdet.

Anklageren er tilstede, Dommeren er tilstede, du er tilstede og din
forsvarer er tilstede, jf. § 922, stk. 1 og 4, da du formentlig allerede
har fået beskikket en forsvarer, jf. retsmødebegæringens ordlyd in fine.

/Rune Wold

---

> Retsmødet går i sin enkelthed ud på, at du tilstår forholdet.

GET requesten ser forkert ud. Mellemrummene er forkerte. Hvis jeg var
"skyldig" ville jeg ikke kende mig skyldig førend de fik deres GET
forespørgsel på plads. De kan i det mindste skrive det ordentligt.
Ellers må sagen kunne afvises, da deres det tydeligvis er en invalid
HTTP request.

---

No1 wrote in dk.videnskab.jura:

>> Retsmødet går i sin enkelthed ud på, at du tilstår forholdet.
>
> GET requesten ser forkert ud. Mellemrummene er forkerte. Hvis jeg var
> "skyldig" ville jeg ikke kende mig skyldig førend de fik deres GET
> forespørgsel på plads. De kan i det mindste skrive det ordentligt.
> Ellers må sagen kunne afvises, da deres det tydeligvis er en invalid
> HTTP request.

Det er vel mere en teknisk end juridisk diskussion men nævnte request er vel
som sådan ufarlig (uanset hvad) så hvis Cubus erklærer sig skyldig i at
have sendt de requests har han vel bare indrømmet at han lavet noget
ufarligt og kan som sådan ikke straffes?

--
Med Venlig Hilsen: Henrik Bøgh || http://55.5cm.dk/geek/usenet.html

"Interesting lady. Can I kill her?"
-- Sarah Michelle Gellar as Buffy in 'Buffy the Vampire Slayer'

---

> Det er vel mere en teknisk end juridisk diskussion men nævnte request er vel
> som sådan ufarlig (uanset hvad) så hvis Cubus erklærer sig skyldig i at
> have sendt de requests har han vel bare indrømmet at han lavet noget
> ufarligt og kan som sådan ikke straffes?

Hvis han erklærer sig skyldig i det der står i dokumentet, erklærer han
sig skyldig i noget han ikke har gjort. Det ville jeg ikke gøre med
mindre der var en meget god grund til det.

Hvis anklagerens sag går på at den nævnte request skulle have foretaget
lukning af serveren, burde den hurtigt kunne afvises.

---

No1 wrote:
>
> Hvis anklagerens sag går på at den nævnte request skulle have foretaget
> lukning af serveren, burde den hurtigt kunne afvises.

Ja, sandsynligvis ville den nævnte request slet ikke
have kunnet forårsage at serveren blev lukket ned.
Der er mindst tre grunde til, at den nævnte request
må formodes at have været harmløs:

Webserveren burde have givet en fejl 400 Bad Request.
Det gør min Apache 2 i hvert fald. Jeg har ikke lige
nogen Apache 1.3.19 at teste med.

Selv hvis webserveren havde accepteret metoden ville
den næppe have fundet scriptet, da det burde være
delen efter mellemrumet, der blev fortolket som URI.
Og hvis serveren ikke kunne finde det sårbare script
ville hullet heller ikke kunne udnyttes.

Og hvis endeligt serveren havde været snedig nok til
at indsætte det manglende mellemrum efter GET ville
det ekstra mellemrum i parameteren betyde, at
strengen ikke blev placeret i den rigtige variabel,
og dermed ikke kunne sendes videre til database
serveren.

Og endeligt ville det næppe kunne lade sig gøre at
frembringe en så knækket request ved at skrive noget
i adresselinien på sin browser.

Jeg ved ikke lige hvad man skal svare til den
anklage, men man skal ikke erklære sig skyldig i en
handling man umuligt kan have gjort. Og jeg tror
umuligt man kunne have lukket serveren ned med den
nævnte request.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Rune Wold wrote:

> Retsmødet går i sin enkelthed ud på, at du tilstår forholdet.

Andre i tråden har påpeget, at sproget i brevet ikke er teknisk korrekt,
og at den nævnte request er fejlagtig (problemer med mellemrum). Har det
nogen betydning for sagen?

Det skal nævnes, at den sendte request skam virkede godt nok.

--
Mvh. Kim Ludvigsen

---

> Andre i tråden har påpeget, at sproget i brevet ikke er teknisk korrekt,
> og at den nævnte request er fejlagtig (problemer med mellemrum). Har det
> nogen betydning for sagen?

Jeg er ikke advokat, så det kan jeg ikke sige. Men det er sjusk at det
står forkert. Hvis blot et mellemrum blev fjernet det rigtige sted og et
mellemrum sat ind det rigtige sted, ville den sandsynligvis være god nok.

> Det skal nævnes, at den sendte request skam virkede godt nok.

Ja, men de har ikke skrevet den rigtigt i det dokument der linkes til i
det originale indlæg.

---

No1 wrote:
>
> > Andre i tråden har påpeget, at sproget i brevet ikke er teknisk korrekt,
> > og at den nævnte request er fejlagtig (problemer med mellemrum). Har det
> > nogen betydning for sagen?
>
> Jeg er ikke advokat, så det kan jeg ikke sige. Men det er sjusk at det
> står forkert. Hvis blot et mellemrum blev fjernet det rigtige sted og et
> mellemrum sat ind det rigtige sted, ville den sandsynligvis være god nok.

Der er sandsynligvis en detalje mere, som er forkert.
Hvis requesten er blevet sendt af en browsere af
nyere dato, må den også have indeholdt et protokol
versionsnummer.

Om en request uden versionsnummer kunne have lukket
serveren ned, kan jeg ikke gennemskue. Serveren kan
ikke håndtere requests uden versionsnummer korrekt,
og det kunne måske have forhindret angrebet.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont wrote:
>
> Om en request uden versionsnummer kunne have lukket
> serveren ned, kan jeg ikke gennemskue. Serveren kan
> ikke håndtere requests uden versionsnummer korrekt,
> og det kunne måske have forhindret angrebet.

Hov, jeg tog fejl. Jeg havde lige overset et lille
s i URLen. Serveren kan vist godt håndtere requests
uden versionsnummer alligevel. Men under alle
omstændigheder tror jeg den request, der oprindeligt
blev sendt har indeholdt et versionsnummer.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kim Ludvigsen wrote:

[klip]

> Har det nogen betydning for sagen?

Jeg er ikke sikker på, at anklagemyndigheden vil begære den nævnte type
retsmøde, hvis det ikke var fordi man i forvejen havde forvisset sig om,
at sigtede var parat til at tilstå forholdet. I så fald er fejlen i
beskrivelsen af requesten ligegyldigt, idet den under alle
omstændigheder kan rettes under retsmødet. Desuden afhænger ens
strafskyld ikke af en skrivefejl.

[klip]

> Det skal nævnes, at den sendte request skam virkede godt nok.

I så fald har jeg et mere principielt spørgsmål, til dem der har
forstand på teknikken. Kan straffelovens § 263, stk. 2 evt. jf. § 21
(forsøg) overhovedet anvendes på forholdet?

§ 263. Med bøde ....

Stk. 2. Med bøde eller fængsel indtil 6 måneder straffes den, som
uberettiget skaffer sig adgang til en andens oplysninger eller
programmer, der er bestemt til at bruges i et anlæg til elektronisk
databehandling.

§ 21. Handlinger, som sigter til at fremme eller bevirke udførelsen af
en forbrydelse, straffes, når denne ikke fuldbyrdes, som forsøg.

Ved at skrive URL'en ind i browseren og derefter trykke enter, har
vedkommende ikke skaffet sig adgang til en andens oplysninger.

Hvis bestemmelsen kan anvendes, så er det vel fordi forholdet forstås
således, at man ved den nævnte request har iværksat et program og derved
også skaffet sig adgang til programmet. Man har skaffet sig adgangen
uberettiget, idet man burde vide, at requesten ikke skulle bruges af
menigmand, men blot af serverens "administrator".

Er det sådan, det må forstås?

/Rune Wold

---

In article <407aa19d$0$10938$ba624c82@nntp02.dk.telia.net>, Rune Wold wrote:
> § 263. Med bøde ....
>
> Stk. 2. Med bøde eller fængsel indtil 6 måneder straffes den, som
> uberettiget skaffer sig adgang til en andens oplysninger eller
> programmer, der er bestemt til at bruges i et anlæg til elektronisk
> databehandling.
>
> § 21. Handlinger, som sigter til at fremme eller bevirke udførelsen af
> en forbrydelse, straffes, når denne ikke fuldbyrdes, som forsøg.
>
> Ved at skrive URL'en ind i browseren og derefter trykke enter, har
> vedkommende ikke skaffet sig adgang til en andens oplysninger.
>
> Hvis bestemmelsen kan anvendes, så er det vel fordi forholdet forstås
> således, at man ved den nævnte request har iværksat et program og derved
> også skaffet sig adgang til programmet. Man har skaffet sig adgangen
> uberettiget, idet man burde vide, at requesten ikke skulle bruges af
> menigmand, men blot af serverens "administrator".
>
> Er det sådan, det må forstås?

Men han har jo netop med en shutdown kommando forhindret både sig selv
og andre i at bryde §263 stk 2. Når databasen er lukket er oplysningerne
sikret forsvarligt.

---

Povl H. Pedersen wrote:

[klip]

> Men han har jo netop med en shutdown kommando forhindret både sig selv
> og andre i at bryde §263 stk 2. Når databasen er lukket er oplysningerne
> sikret forsvarligt.

Men shutdown kommandoen er jo et program, der sættes igang, hvorved man
vel principielt set har skaffet sig adgang til det. § 263, stk. 2
vedrører ikke bare oplysninger, men også programmer.

---

Rune Wold wrote:
>
> Men shutdown kommandoen er jo et program, der sættes igang,

Det tror jeg ikke er rigtigt.

Programmerne, der har været involveret i behandlingen
af denne request må være de samme som ved enhver
legitim request. Man har altså ikke skaffet sig adgang
til nogen programmer, som man ikke retsmæssigt kan
bruge. Den eneste forskel på den pågældende request og
en vilkårlig legitim request er, at et af programmerne
afsluttede efter behandling af requesten.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Scripsit Kasper Dupont <kasperd@daimi.au.dk>
> Rune Wold wrote:

> > Men shutdown kommandoen er jo et program, der sættes igang,

> Det tror jeg ikke er rigtigt.

God pointe. Programmet kører allerede før man sender forespørgslen.
Og det var ejerens hensigt at man skulle have adgang til det - det er
altså ikke uberettiget at *skaffe* sig denne adgang. Men adgangen har
været *brugt* til noget som ejeren ikke har forestillet sig.

FUT dk.videnskab.jura (fra krydspost med dk.edb.sikkerhed)

--
Henning Makholm "Vi skal nok ikke begynde at undervise hinanden i
den store regnekunst her, men jeg vil foreslå, at vi fra
Kulturministeriets side sørger for at fremsende tallene og også
give en beskrivelse af, hvordan man læser tallene. Tak for i dag!"

---

Henning Makholm wrote:

[klip]

> Programmet kører allerede før man sender forespørgslen.

Men requesten må vel have fået programmet til at udføre en eller anden
handling. Spørgsmålet er så om denne forbindelse kan karakteriseres som
"at skaffe sig adgang" til programmet i lovens forstand. Der er jeg i
hvert fald selv i tvivl.

[klip]

> Og det var ejerens hensigt at man skulle have adgang til det - det er
> altså ikke uberettiget at *skaffe* sig denne adgang.

Der er jeg uenig. At enhver kunne skrive en adresse i URL'en, der
medførte systemets lukning, er vel mere udtryk for dårlig webdesign, end
det er udtryk for ejerens hensigt.

Argumentet er så, at det er så åbenbart, at menigmands anvendelse af
adressen er utilsigtet, hvorefter en sådan anvendelse er uberettiget.

/Rune Wold

---

Rune Wold wrote:
>
> Henning Makholm wrote:
>
> [klip]
>
> > Og det var ejerens hensigt at man skulle have adgang til det - det er
> > altså ikke uberettiget at *skaffe* sig denne adgang.
>
> Der er jeg uenig. At enhver kunne skrive en adresse i URL'en, der
> medførte systemets lukning, er vel mere udtryk for dårlig webdesign, end
> det er udtryk for ejerens hensigt.

Du har ikke forstået argumentationen. De linkede
selv til URLer, der aktiverer de samme programmer.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont wrote:

[klip]

> Du har ikke forstået argumentationen.

Så forklar det lige for mig.

Er det ikke rigtig, at man med den specifikke URL kunne aktivere en
procedure, der lukkede systemet ned?

Og i bekræftende fald, er det så ikke også rigtigt, at denne procedure
består af en handling udført af et program (både i datalogisk forstand
og i lovens forstand)?

Og hvis ovenstående i det hele er rigtigt forstået, er det så ikke
sandsynligt, at denne "adgang" ikke skulle bruges af menigmand, selvom
systemet rent faktisk tillod dette?

/Rune Wold

---

Rune Wold wrote:

> Er det ikke rigtig, at man med den specifikke URL kunne aktivere en
> procedure, der lukkede systemet ned?

Jo.

> Og i bekræftende fald, er det så ikke også rigtigt, at denne procedure
> består af en handling udført af et program (både i datalogisk forstand
> og i lovens forstand)?

Jo.

> Og hvis ovenstående i det hele er rigtigt forstået, er det så ikke
> sandsynligt, at denne "adgang" ikke skulle bruges af menigmand, selvom
> systemet rent faktisk tillod dette?

Og atter jo.

--
Mvh. Kim Ludvigsen

---

Rune Wold wrote:
>
> Kasper Dupont wrote:
>
> [klip]
>
> > Du har ikke forstået argumentationen.
>
> Så forklar det lige for mig.
>
> Er det ikke rigtig, at man med den specifikke URL kunne aktivere en
> procedure, der lukkede systemet ned?

Lukker en del af systemet ned, jo det er korrekt.

>
> Og i bekræftende fald, er det så ikke også rigtigt, at denne procedure
> består af en handling udført af et program (både i datalogisk forstand
> og i lovens forstand)?

Nej. Du sender data til nogle programmer, der allerede
kører, og de sender nogle data tilbage. Det skete både
hvis du brugte den URL de selv linkede til på deres
forside og hvis du brugte let modificerede URL som
sagen drejer sig om.

Som en del af processen blev der udført et script. Og
igen ville dette ske både med den originale og den
modificerede udgave af URLen. Scriptet opførte sig på
nøjagtigt samme måde uanset om man brugte den ene eller
den anden URL. Og det var faktisk der sikkerhedshullet
lå, for scriptet sendte ukritisk hvad som helst videre
til databaseserveren.

Databaseserveren er ikke et program, som personer
udefra udfører. Det er blevet startet op af systemets
administrator og er dermed hele tiden klar til at tage
imod data som brugeren sender via webserveren som
kører scriptet.

Da databaseserveren modtog de modificerede data lukkede
den ned. Både webserver og script må formodes at have
virket som hidtil efterfølgende, men scriptet har ikke
mere kunnet komme i kontakt med databaseserveren, som
havde lukket sig selv ned ved den sidste forespørgsel.

>
> Og hvis ovenstående i det hele er rigtigt forstået, er det så ikke
> sandsynligt, at denne "adgang" ikke skulle bruges af menigmand, selvom
> systemet rent faktisk tillod dette?

Hele adgangen som jeg har beskrevet den skulle bruges
af besøgende på sitet. På forsiden var der et link til
en side med oplysninger om, hvor sikkert systemet var.
Hvis du fulgte dette link ville webserver, script og
database blive aktiveret som beskrevet. Den eneste
forskel mellem den originale og den modificerede URL
var altså, at databaseserveren lukkede ned efter at
have set sidstnævnte.

Så man har altså ikke skaffet sig adgang til noget
program, men ikke havde rettigheder til at bruge. Man
har heller ikke skaffet sig adgang til nogen data,
som man ikke har rettigheder til at bruge (man har
faktisk overhovedet ikke skaffet sig adgang til nogen
data).

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont wrote:

I det følgende skal du huske på, at ligepræcis dette indlæg, og dét som
jeg skrev før dette, ikke er en argumentation for, at § 263, stk. 2 kan
anvendes, men et forsøg på at forstå de faktiske omstændigheder.

[klip]

>> Og i bekræftende fald, er det så ikke også rigtigt, at denne
>> procedure består af en handling udført af et program (både i
>> datalogisk forstand og i lovens forstand)?
>
> Nej........
>
> Databaseserveren er ikke et program, som personer udefra udfører.

Skal det forstås, at det ikke er et program i datalogisk forstand, der
lukker systemet ned?

Databaseserverens OS er vel principielt et program i datalogisk og
juridisk forstand (det består i hvert fald af programmeringskode). Dette
program foretager "handlinger" som følge af de data, der sendes til det.
F.eks. kan handlingen være at afskære kommunikationen med webserveren,
fordi et script sender en bestemt forespørgsel.

[klip]

> Da databaseserveren modtog de modificerede data lukkede den ned.

Skal det forstås, at brugeren ikke har fået databaseserveren til at
foretage denne handling.

/Rune Wold

---

Rune Wold skrev:

>Skal det forstås, at det ikke er et program i datalogisk forstand, der
>lukker systemet ned?

Nej, det er (naturligvis) et program der lukker databasen ned.
Din tidligere beskrivelse lød som om du troede at brugeren havde
startet et helt specielt program, og det var ikke tilfældet.

>Databaseserverens OS er vel principielt et program i datalogisk og
>juridisk forstand

Ja.

>F.eks. kan handlingen være at afskære kommunikationen med webserveren,
>fordi et script sender en bestemt forespørgsel.

Ja.

>Skal det forstås, at brugeren ikke har fået databaseserveren til at
>foretage denne handling.

Nej. Brugeren bestemte indholdet i en URL (en streng bl.a.
indeholdende "SHUTDOWN"), og det program som var beregnet til at
reagere på brugerinput, udførte kommandoen som det skulle.

"Skulle" = sådan skal OS'et gøre når det får kommandoen
"SHUTDOWN". Det var dog ikke planen at brugeren skulle give den
kommando.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:
>
> "Skulle" = sådan skal OS'et gøre når det får kommandoen
> "SHUTDOWN". Det var dog ikke planen at brugeren skulle give den
> kommando.

Er SHUTDOWN ikke en SQL kommando som databaseserveren
udfører? (Og som har til virkning at lukke
databaseserveren ned). Der er vel ikke tale om, at
databaseserveren har udført system("SHUTDOWN");?

(Undskyld det blev lidt teknisk, men jeg vil gerne
lige have den detalje på plads.)

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont skrev:

>Er SHUTDOWN ikke en SQL kommando som databaseserveren
>udfører?

Så spørger du om mere end jeg kan svare på.

>(Undskyld det blev lidt teknisk, men jeg vil gerne
>lige have den detalje på plads.)

Helt i orden.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:
>
> Kasper Dupont skrev:
>
> >Er SHUTDOWN ikke en SQL kommando som databaseserveren
> >udfører?
>
> Så spørger du om mere end jeg kan svare på.

OK, det lød bare som om du vidste noget om det.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In <407C253D.D0B19757@daimi.au.dk> Kasper Dupont <kasperd@daimi.au.dk> writes:

>Bertel Lund Hansen wrote:
>>
>> "Skulle" = sådan skal OS'et gøre når det får kommandoen
>> "SHUTDOWN". Det var dog ikke planen at brugeren skulle give den
>> kommando.

>Er SHUTDOWN ikke en SQL kommando som databaseserveren
>udfører? (Og som har til virkning at lukke
>databaseserveren ned). Der er vel ikke tale om, at
>databaseserveren har udført system("SHUTDOWN");?

Hvis det er en Oracle-database, saa er der en raekke
udvidelser til standard SQL, hvor 'shutdown' er en ordre,
som nogle database brugere kan udfoere.

Der boer kun vaere en enkelt oracle bruger,
der har de saakaldte DBA-grants dvs. bl.a. shutdown og
man har selvfl. lavet en anden bruger til rene select og insert.

/Martin

---

Martin Moller Pedersen wrote:
>
> In <407C253D.D0B19757@daimi.au.dk> Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> >Er SHUTDOWN ikke en SQL kommando som databaseserveren
> >udfører? (Og som har til virkning at lukke
> >databaseserveren ned). Der er vel ikke tale om, at
> >databaseserveren har udført system("SHUTDOWN");?
>
> Hvis det er en Oracle-database, saa er der en raekke
> udvidelser til standard SQL, hvor 'shutdown' er en ordre,
> som nogle database brugere kan udfoere.

OK, det stemmer fint overens med min opfattelse af
situationen.

>
> Der boer kun vaere en enkelt oracle bruger,
> der har de saakaldte DBA-grants dvs. bl.a. shutdown og
> man har selvfl. lavet en anden bruger til rene select og insert.

Det var så den anden fejl man havde begået da man
designede systemet. De to fejl tilsammen betød, at
den pågældende url kunne lukke serveren ned. Vil man
vide mere kan man i øvrigt læse:

http://debat.computerworld.dk/thread.asp?Mode=View&threadID=3700
http://www.snakeoil.dk/kommentarer/20021016-1

(Hvis man da ikke allerede har læst dem).

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Rune Wold wrote:
>
> Kasper Dupont wrote:
> >
> > Databaseserveren er ikke et program, som personer udefra udfører.
>
> Skal det forstås, at det ikke er et program i datalogisk forstand, der
> lukker systemet ned?

Som jeg har forstået det er det ikke hele systemet,
der lukkes ned, men blot databasen. Selvfølgelig er
det et program (faktisk en række af programmer) der
gør dette. Men der er tale om programmer brugeren
har lov til at bruge.

>
> Databaseserverens OS er vel principielt et program i datalogisk og
> juridisk forstand (det består i hvert fald af programmeringskode).

Jeg kan ikke lige gennemskue om det har nogen
relevans for sagen, men nej, et OS er ikke et
program. Der er nogen gange lidt uenighed om præcis
hvor meget, der skal regnes med som værende en del
af OS. Som minimum må det bestå af en kerne, men
som regel vil en del libraries og programmer blive
regnet som en del af OS.

> Dette
> program foretager "handlinger" som følge af de data, der sendes til det.
> F.eks. kan handlingen være at afskære kommunikationen med webserveren,
> fordi et script sender en bestemt forespørgsel.

Nu var ikke kommunikationen med webserveren, men
derimod kommunikationen med databaseserveren, der
blev afskåret.

>
> [klip]
>
> > Da databaseserveren modtog de modificerede data lukkede den ned.
>
> Skal det forstås, at brugeren ikke har fået databaseserveren til at
> foretage denne handling.

Indirekte har brugeren fået databasen til at lukke
ned. Men det er ikke sket ved at uretsmæssig skaffe
sig adgang til noget program.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont wrote:

[klip]

> Men der er tale om programmer brugeren har lov til at bruge.

Indledningsvist vil jeg understrege, at jeg på ingen måde prøver at
fange dig i en eller anden formulering, jeg kan bruge til at sige: HA
HA, § 263, stk. 2 kan selvfølgelig anvendes.

Jeg prøver virkelig objektivt at få klarlagt de faktiske omstændigheder,
idet jeg må erkende, at jeg ved mere om jura, end om servere og webdesign.

Men jeg tror, at jeg kan konkludere følgende om de faktiske omstændigheder.

Valus-hackeren har ved at anvende et modificeret URL, fået ét program
til at udføre en handling, i dette tilfælde nedlukning af (visse dele
af?) databaseserveren.

Du må meget gerne erklære dig enig eller uenig i denne udlægning af de
faktiske omstændigheder. Men prøv at gøre det uden § 263, stk. 2 i tankerne.

Under forudsætning af, at vi er enige om udlægningen af faktum, mener
jeg, at følgende kan konkluderes om, hvorvidt faktum kan henføres under
gerningsindholdet i § 263, stk. 2.

Vurderingen foretages i to led.

1. Kan man overhoved tale om, at man ved det nævnte hændelsesforløb, har
skaffet sig adgang til et program.

2. Og kan dette overhovedet betragtes som uberettiget.

Ad 1)

Valus hackeren har udfra en ren betragtning om årsag og virkning, fået
ét program til at udføre en handling. Dette har medført, at
kommunikationen mellem webbrugere og databaseserveren, der kørte
programmet, er ophørt. Men det har ikke medført, at values hackeren "er
inde" i programmet, har kontrol over det, har frataget administratoren
kontrollen over programmet, får det til udføre handlinger efter
forgodtbefindene osv.
Da bestemmelsen er "hacker" bestemmelsen, må fortolkningen af ordet
adgang ses i dette lys, hvorefter der må lægges særlig vægt på den
datalogiske forståelse af begrebet *adgang til et program*
Derfor må en naturlig sproglig forståelse af bestemmelsen medføre, at
valus-hackeren ikke har fået adgang til et program (i den forbindelse
lægger jeg ukritisk makholms betragtninger om ordet adgang til grund).

Men jeg kan ikke umiddelbart helt udelukke, at man vil være lydhør
overfor argumenter om at anvende bestemmelsen analogisk på forholdet.
Argumentet kunne være, at man i et tidsrum i en eller anden forstand har
tilegnet sig en vis negativ kontrol over systemet som helhed. Med
negativ kontrol mener jeg, at han har forhindret alle andre webbrugere i
at bruge "et eller andet" (i mangel af bedre beskrivelse)

Analogihjemlen forudsætter to ting. At der ikke findes andre
bestemmelser der retteligt burde være anvendt. Og at den strenge
betingelse i strfl § 1 om straf efter en analogihjemmel er opfyldt.

Ad 2)

Besvarelsen af dette spørgsmål falder logisk set væk efter ovenstående
besvarelse. Men jeg vil nu alligevel skrive lidt om det, fordi der i mit
sind ikke kan herske tvivl om, at der også i juridisk forstand, er
foretaget en uberettiget handling af valus hackeren.
Argumentet er, at valus hackeren har anvendt det modificerede URL,
hvilket han formentlig klart, men i hvert fald med overvejende
sandsynlighed, vidste ville medføre et skadeligt resultat for en anden.
Det får dog bare ingen strafferetlig betydning i relation til § 263, stk. 2.

Til sidst vil jeg blot at sige, at den omstændighed, at valus hackeren
tiltales efter § 263, stk. 3, formentlig i højere grad hænger sammen
med, at personen kalder sig for hacker, end logiske overvejelser om
begrebet *adgang til et program*. Anklagemyndigheden har blot tænkt, at
når manden selv mener, at han har hacket, så tiltaler vi ham efter
hacker bestemmelsen.

Det mest groteske ville være, hvis valus hackeren er klar over, at der
kan fremsættes væsentlige og afgørende argumenter mod anvendelsen af
bestemmelsen og så alligevel tilstår forholdet. Men i så fald har valus
hackeren jo også fået dom for, at han er hacker, hvilket nødvendigvis
ikke er en dårlig ting set med hans øjne

/Rune Wold

---

Rune Wold wrote:
>
> Kasper Dupont wrote:
>
> [klip]
>
> > Men der er tale om programmer brugeren har lov til at bruge.
>
> Indledningsvist vil jeg understrege, at jeg på ingen måde prøver at
> fange dig i en eller anden formulering, jeg kan bruge til at sige: HA
> HA, § 263, stk. 2 kan selvfølgelig anvendes.
>
> Jeg prøver virkelig objektivt at få klarlagt de faktiske omstændigheder,
> idet jeg må erkende, at jeg ved mere om jura, end om servere og webdesign.

Det er helt i orden. I mit tilfælde er det lige
omvendt.

>
> Men jeg tror, at jeg kan konkludere følgende om de faktiske omstændigheder.
>
> Valus-hackeren har ved at anvende et modificeret URL, fået ét program
> til at udføre en handling, i dette tilfælde nedlukning af (visse dele
> af?) databaseserveren.

Når du bruger ordet server kan det enten betyde det
specifikke program, eller maskinen programmet kører
på. Om samme maskine har andre formål vides ikke,
men det er også sagen uvedkommende. Webserver og
databaseserver er to programmer, de kan have kørt
på samme maskine eller hver sin maskine.

Det er korrekt at den modificerede URL indirekte
fik databaseserveren (altså programmet) til at
lukke ned.

>
> Du må meget gerne erklære dig enig eller uenig i denne udlægning af de
> faktiske omstændigheder. Men prøv at gøre det uden § 263, stk. 2 i tankerne.
>
> Under forudsætning af, at vi er enige om udlægningen af faktum, mener
> jeg, at følgende kan konkluderes om, hvorvidt faktum kan henføres under
> gerningsindholdet i § 263, stk. 2.
>
> Vurderingen foretages i to led.
>
> 1. Kan man overhoved tale om, at man ved det nævnte hændelsesforløb, har
> skaffet sig adgang til et program.
>
> 2. Og kan dette overhovedet betragtes som uberettiget.
>
> Ad 1)
>
> Valus hackeren har udfra en ren betragtning om årsag og virkning, fået
> ét program til at udføre en handling. Dette har medført, at
> kommunikationen mellem webbrugere og databaseserveren, der kørte
> programmet, er ophørt. Men det har ikke medført, at values hackeren "er
> inde" i programmet, har kontrol over det, har frataget administratoren
> kontrollen over programmet, får det til udføre handlinger efter
> forgodtbefindene osv.
> Da bestemmelsen er "hacker" bestemmelsen, må fortolkningen af ordet
> adgang ses i dette lys, hvorefter der må lægges særlig vægt på den
> datalogiske forståelse af begrebet *adgang til et program*
> Derfor må en naturlig sproglig forståelse af bestemmelsen medføre, at
> valus-hackeren ikke har fået adgang til et program (i den forbindelse
> lægger jeg ukritisk makholms betragtninger om ordet adgang til grund).

Jeg er ikke helt klar over hvordan *adgang til et
program* skal fortolkes. Men med alle de mulige
fortolkninger jeg kan komme i tanke om er
konklusionen enten:

1) "Hackeren" har aldrig haft adgang til programmet.
eller
2) Systemets administrator og/eller programmør har
givet "hackeren" adgang. "Hackeren" har herefter
udnyttet den pågældende adgang til at udføre
en utilsigtet handling.

De fortolkninger af adgang til et program jeg kan
komme i tanke om er:

1) Adgang til at læse programkoden. (Om vi så snakker
binærkode eller kildekode er irrelevant, fordi
"hackeren" på intet tidspunkt har haft adgang til
at læse koden i nogen form).
2) Adgang til at afvikle programmet.
3) Adgang til at kommunikere med en kørende instans
af programmet.

Hvis vi bruger definition 1 eller 2 er min konklusion,
at "hackeren" ikke har haft adgang. Hvis vi bruger
definition 3 er min konklusion, at adgangen er blevet
givet af systemets administrator, og "hackeren"
derfor ikke har *skaffet* sig adgang.

>
> Men jeg kan ikke umiddelbart helt udelukke, at man vil være lydhør
> overfor argumenter om at anvende bestemmelsen analogisk på forholdet.
> Argumentet kunne være, at man i et tidsrum i en eller anden forstand har
> tilegnet sig en vis negativ kontrol over systemet som helhed. Med
> negativ kontrol mener jeg, at han har forhindret alle andre webbrugere i
> at bruge "et eller andet" (i mangel af bedre beskrivelse)
>
> Analogihjemlen forudsætter to ting. At der ikke findes andre
> bestemmelser der retteligt burde være anvendt. Og at den strenge
> betingelse i strfl § 1 om straf efter en analogihjemmel er opfyldt.

Bare lige for at være sikker, der er den her § du
snakker om?

§ 1. Straf kan kun pålægges for et forhold,
hvis strafbarhed er hjemlet ved lov,
eller som ganske må ligestilles med et
sådant. Med hensyn til de i kapitel 9
nævnte retsfølger gælder en tilsvarende
regel.

I så fald kan jeg ikke gennemskue, hvad "ganske må
ligestilles med et sådant" betyder.

>
> Ad 2)
>
> Besvarelsen af dette spørgsmål falder logisk set væk efter ovenstående
> besvarelse. Men jeg vil nu alligevel skrive lidt om det, fordi der i mit
> sind ikke kan herske tvivl om, at der også i juridisk forstand, er
> foretaget en uberettiget handling af valus hackeren.

Jeg formoder der er foretaget en uberettiget
handling (det vil jeg sandelig håbe, for ellers
er der en lov der trænger til en finjustering),
men jeg mener ikke handlingen har været at
skaffe sig adgang til et program.

> Argumentet er, at valus hackeren har anvendt det modificerede URL,
> hvilket han formentlig klart, men i hvert fald med overvejende
> sandsynlighed, vidste ville medføre et skadeligt resultat for en anden.

Ifølge hans egne udsagn har han på forhånd fået
at vide, hvad den mulige konsekvens var. Men han
troede ikke på at det var sandt.

> Det får dog bare ingen strafferetlig betydning i relation til § 263, stk. 2.
>
> Til sidst vil jeg blot at sige, at den omstændighed, at valus hackeren
> tiltales efter § 263, stk. 3, formentlig i højere grad hænger sammen
> med, at personen kalder sig for hacker, end logiske overvejelser om
> begrebet *adgang til et program*. Anklagemyndigheden har blot tænkt, at
> når manden selv mener, at han har hacket, så tiltaler vi ham efter
> hacker bestemmelsen.

Der har tydeligvis ikke været tale om et forsøg
på at skaffe sig adgang til nogen oplysninger fra
serveren. Det første han gjorde var at afskære
sig selv og andre fra enhver kommunikation med
serveren. Og jeg ved ikke, hvad de andre særlig
skærpende omstændigheder skulle være. Et par
formildende omstændigheder kan jeg til gengæld
godt få øje på.

At han vælger at kalde sig selv for hacker lyder
for mig mest som ironi.

>
> Det mest groteske ville være, hvis valus hackeren er klar over, at der
> kan fremsættes væsentlige og afgørende argumenter mod anvendelsen af
> bestemmelsen og så alligevel tilstår forholdet.

Da det både er uklart om Stk. 2 overhovedet er
overtrådt, og de skærpende omstændigheder er
svære at få øje på, kan jeg ikke forstå hvorfor
han skulle tilstå.

> Men i så fald har valus
> hackeren jo også fået dom for, at han er hacker, hvilket nødvendigvis
> ikke er en dårlig ting set med hans øjne

Det ved jeg nu ikke om han er interesseret i. Det
giver jo ikke meget respekt, når det eneste han
kunne finde ud af var at cut'n'paste en URL uden
at vide hvad den gjorde.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont skrev:

>Ifølge hans egne udsagn har han på forhånd fået
>at vide, hvad den mulige konsekvens var. Men han
>troede ikke på at det var sandt.

Ifølge anklageskriftet (nu kan jeg selvfølgelig ikke finde det -
så det er efter hukommelsen) er der ikke tale om ét forsøg, men
fem forsøg heraf nogle dagen efter. Hvis det er korrekt, kan han
højst have været uskyldig ved det første forsøg.

>At han vælger at kalde sig selv for hacker lyder
>for mig mest som ironi.

Enig. Mig bekendt begyndte han først på det da han var blevet
anklaget.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

"Rune Wold" <none@none.dk> wrote in message
news:407c3b4d$0$12172$ba624c82@nntp02.dk.telia.net...
> Indledningsvist vil jeg understrege, at jeg på ingen måde prøver at
> fange dig i en eller anden formulering, jeg kan bruge til at sige: HA
> HA, § 263, stk. 2 kan selvfølgelig anvendes.
>
> Jeg prøver virkelig objektivt at få klarlagt de faktiske omstændigheder,
> idet jeg må erkende, at jeg ved mere om jura, end om servere og webdesign.
>
> Men jeg tror, at jeg kan konkludere følgende om de faktiske
omstændigheder.
>
> Valus-hackeren har ved at anvende et modificeret URL, fået ét program
> til at udføre en handling, i dette tilfælde nedlukning af (visse dele
> af?) databaseserveren.

Da jeg besidder lidt baggrundsviden om netop denne sag kan jeg da sige
følgende - det er der sket, rent teknisk, er at Cubus (eller Valus
hackeren), har sendt et request til serveren med URL parametre - disse
parametre blev af Valus Applikationen ikke valideret, men direkte parset ind
i den SQL streng som skulle foretage en given handling på databaseserveren.
Tegnene '%01' i strengen gør at SQL fortolkeren på databaseserveren
forventer en ny kommando. Den nye kommando er så 'SHUTDOWN' som gør at
Databaseservicen lukker sig selv ned. Ingen maskiner og ingen kommunikation
bliver afbrudt eller spærret - den service (reelt set databaseprogrammet)
lukker sig selv ned og skal 'manuelt' tændes for at virke igen (hvilket
Valus gjorde uden at tjekke hvorfor databasen gik ned og blev senere lagt
ned igen). Herefter vil alle forespørgelser mod Databasen time ud, da der
ikke er nogen til at tage i mod dem.

Det kan lade sig gøre fordi;

1) Inputtet bliver ikke valideret men brugt direkte.

2) Databaseforbindelsen kører med de højeste rettigheder muligt (SHUTDOWN
er nok en af de mindsk skadelige handlinger en 'hacker' kunne have
foretaget, specielt fordi den effektivt lukker for videre udnyttelse af
hullet).

Det skal sige at selve betalingssystemet, iflg. Datatilsynet og Valus selv,
ikke har været i fare (i den virkelige verden er det jo noget vrøvl, men da
Datatilsynet nok, desværre, betragtes som en kompetent faktor kan det vel
have betydning for en eventuel dom).

Cubus gør det ud fra følgende indlæg på Computerworlds debatforum
(Computerworld har fjernet indlægget, så Cubus' kopi må bruges i stedet);

http://cubus-adsl.dk/elteknik/div/valushacker.php#baggrund

Jeg kunne godt tænke mig at høre om det ændrer din fortolkning af
paragrafferne osv...?


// Søren

---

"Søren Christensen" <soren_niks_pille_at_post1.tele.dk> skrev

> Cubus gør det ud fra følgende indlæg på Computerworlds debatforum
> (Computerworld har fjernet indlægget, så Cubus' kopi må bruges i stedet);
>
> http://cubus-adsl.dk/elteknik/div/valushacker.php#baggrund
>

Nej, hele debattråden er der skam endnu:

http://debat.computerworld.dk/thread.asp?Mode=View&threadID=3700

--
Cubus
http://cubus-adsl.dk/

---

"Cubus" <cubus@sol.dk> wrote in message
news:SpYec.3768$Cc6.1299@news.get2net.dk...
> "Søren Christensen" <soren_niks_pille_at_post1.tele.dk> skrev
>
> > Cubus gør det ud fra følgende indlæg på Computerworlds debatforum
> > (Computerworld har fjernet indlægget, så Cubus' kopi må bruges i
stedet);
> >
> > http://cubus-adsl.dk/elteknik/div/valushacker.php#baggrund
> >
>
> Nej, hele debattråden er der skam endnu:
>
> http://debat.computerworld.dk/thread.asp?Mode=View&threadID=3700
>

Tak for det. Jeg får jo nok også brug for at henvise til den på et
tidspunkt..;)

// Søren

---

"Søren Christensen" wrote:
>
> (Computerworld har fjernet indlægget, så Cubus' kopi må bruges i stedet);

Computerworld har lavet om på deres debatforum
siden dengang, men indlæget findes skam stadig:
http://debat.computerworld.dk/thread.asp?Mode=Findthread&ContributionID=14121

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:407C53CE.582F1631@daimi.au.dk...
> "Søren Christensen" wrote:
> >
> > (Computerworld har fjernet indlægget, så Cubus' kopi må bruges i
stedet);
>
> Computerworld har lavet om på deres debatforum
> siden dengang, men indlæget findes skam stadig:
>
http://debat.computerworld.dk/thread.asp?Mode=Findthread&ContributionID=14121
>

Takker!

Lidt OT:

Jeg sad faktisk og ledte efter den - ved at ændre i de forskellige
parametre (jeg har en udskrevet kopi af den og kendte derfor IDer o.l.). Nu
har jeg jo lært at man skal passe ekstremt på hvad man siger om sådanne
ting, men det viste sig faktisk at Computerworld stadig ikke validere deres
input ordentligt (selv efter denneher:
http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16916 ) og derfor
er deres system _muligvis_ ligeså åbent som det var for snart to år siden.
Det er skisme lidt trist at tænke på.

// Søren

---

Søren Christensen wrote:

[klip]

> Jeg kunne godt tænke mig at høre om det ændrer din fortolkning af
> paragrafferne osv...?

Hvis du læser mellem linjerne i mit indlæg, så spørger jeg jer.
Spørgsmålet er: Kan den omstændighed, at en person anvender et URL i sin
browser, som i sidste ende medfører, at et program udfører en handling,
betragtes som, at personen har skaffet sig adgang til programmet. Eller
kræves der noget mere, før man kan sige, at der har være adgang til
programmet. Husk på, at man i denne vurdering bør holde spørgsmålet om
berettigelsen udenfor.

Jeg er efterhånden kommet til den konklusion, at den naturlige sproglige
forståelse af bestemmelsen medfører, at den ikke kan anvendes, idet der
ikke har været en adgang til et program (er du uenig?). Derved opstår
spørgsmålet om forholdet og bestemmelsen kan bære en udvidende eller
analogisk fortolkning.

Eftersom der rent faktisk er en i debatten, som står til straf ifølge
bestemmelsen, så er jeg varsom med at udtale mig om det sidste
spørgsmål. Men jeg vil iøvrigt tilføje, at jeg ikke kan forstå, at
vedkommende er gået med på at tilstå tiltalen.

/Rune Wold

---

Scripsit Rune Wold <none@none.dk>

> Spørgsmålet er: Kan den omstændighed, at en person anvender et URL i
> sin browser, som i sidste ende medfører, at et program udfører en
> handling, betragtes som, at personen har skaffet sig adgang til
> programmet.

Det mener jeg ikke i det foreliggende tilfælde. Ihvertfald er adgangen
ikke uberettiget. Dabaseejeren havde *med vilje* givet almenheden
adgang til at sende kommandoer til programmet, og den adgang var en
integreret del af den service som ejeren forsøgte at tjene penge på at
tilbyde. Hvis tiltalte har *skaffet sig adgang* har det ihvertfald
ikke været *uberettiget*, for det var en adgang som ejeren direkte og
bevidst havde forårsaget at enhver kan skaffe sig.

Det der går galt er hvad vor ven foretager sig *efter* han har fået
sin berettigede adgang.

> Eller kræves der noget mere, før man kan sige, at der har være
> adgang til programmet. Husk på, at man i denne vurdering bør holde
> spørgsmålet om berettigelsen udenfor.

Jeg er ikke sikker på om "skaffe sig adgang" har været tilfældet. Jeg
argumenterer for at *hvis* man siger det har været tilfældet, så har
det ikke været uberettiget. Derfor bliver spørgsmålet om adgang eller
ej ikke længere afgørende.

.... Ihvertfald efter min læsning, som ikke nødvendigvis er
byrettens. Det er en snørklet sag, hvor man *intuitivt* forventer at
handlingen som udgangspunkt må være strafbar, og hvor jeg derfor ikke
bliver overrasket over at en domstol anvender den nærmest tilgængelige
bestemmelse analogt.

> Eftersom der rent faktisk er en i debatten, som står til straf ifølge
> bestemmelsen, så er jeg varsom med at udtale mig om det sidste
> spørgsmål. Men jeg vil iøvrigt tilføje, at jeg ikke kan forstå, at
> vedkommende er gået med på at tilstå tiltalen.

Enig.

Når der nu er tale om en tilståelsessag, realitetsbehandler retten så
overhovedet af egen drift spørgsmålet om hvorvidt gerningsindholdet
er opfyldt?

--
Henning Makholm "Hele toget raslede imens Sjælland fór forbi."

---

Henning Makholm wrote:
>
> Scripsit Rune Wold <none@none.dk>
>
> > Spørgsmålet er: Kan den omstændighed, at en person anvender et URL i
> > sin browser, som i sidste ende medfører, at et program udfører en
> > handling, betragtes som, at personen har skaffet sig adgang til
> > programmet.
>
> Det mener jeg ikke i det foreliggende tilfælde. Ihvertfald er adgangen
> ikke uberettiget. Dabaseejeren havde *med vilje* givet almenheden
> adgang til at sende kommandoer til programmet

Jeg er ikke enig, selvom jeg hverken er juridisk eller teknisk haj. Han
har haft adgang til programmet, og han har kunnet sende kommandoer til
det. Og man kan vel sige, at han har skaffet sig adgang ved, at han har
benyttet adressefeltet i stedet for at betjene siden som beregnet*.

Jeg mener ikke, databaseejeren med vilje har givet almenheden adgang til
at sende kommandoer til programmet. Det har ikke været meningen, at
brugeren skulle kunne sende kommandoer via adressefeltet, men at han
skulle bruge links og formularknapper på siden. Og reelt kan man vel
sige, at det i almindelig brug ikke er brugeren, der sender kommandoer,
men programmet selv, baseret på brugerens valg.

* Jeg har ikke prøvet siden, men jeg kan ikke forestille mig, at det har
været meningen, brugeren skal indtaste kommandoer via URL'en. Tager jeg
fejl heri, holder mine argumenter selvfølgelig ikke.

--
Mvh. Kim Ludvigsen

---

Scripsit Kim Ludvigsen <usenet@kimludvigsen.dk>
> Henning Makholm wrote:

> > Det mener jeg ikke i det foreliggende tilfælde. Ihvertfald er adgangen
> > ikke uberettiget. Dabaseejeren havde *med vilje* givet almenheden
> > adgang til at sende kommandoer til programmet

> Jeg er ikke enig, selvom jeg hverken er juridisk eller teknisk haj. Han
> har haft adgang til programmet, og han har kunnet sende kommandoer til
> det. Og man kan vel sige, at han har skaffet sig adgang ved, at han har
> benyttet adressefeltet i stedet for at betjene siden som beregnet*.

Adgangen er stadig ikke uberettiget, for det er en adgang som normale
brugere også har og bruger.

> Jeg mener ikke, databaseejeren med vilje har givet almenheden adgang til
> at sende kommandoer til programmet.

Var det ikke sådan webstedet var indrettet?

> Det har ikke været meningen, at brugeren skulle kunne sende
> kommandoer via adressefeltet, men at han skulle bruge links og
> formularknapper på siden.

For at få de links og formularknapper til at virke, har ejeren valgt
at give browsere i almindelighed *adgang* til at sende kommandoer til
serveren.

> * Jeg har ikke prøvet siden, men jeg kan ikke forestille mig, at det har
> været meningen, brugeren skal indtaste kommandoer via URL'en.

Det er lige meget om det er meningen at adgangen skal udnyttes på den
ene eller den anden måde. Det vigtige er at den *er* der i
forvejen. Så kan man ikke "skaffe sig" den på uberettiget vis.

Man kan *bruge* adgangen på uberettiget vis, men det er så vidt jeg
kan se ikke selvstændigt kriminaliseret.

--
Henning Makholm "It was intended to compile from some approximation to
the M-notation, but the M-notation was never fully defined,
because representing LISP functions by LISP lists became the
dominant programming language when the interpreter later became available."

---

Henning Makholm wrote:

[klip]

> Det er lige meget om det er meningen at adgangen skal udnyttes på den
> ene eller den anden måde. Det vigtige er at den *er* der i
> forvejen. Så kan man ikke "skaffe sig" den på uberettiget vis.

Enhver hacker skaffer sig en adgang, der er indbygget i systemet. Dvs.
ifølge din argumentation kan man ikke bruge hackerbestemmelsen § 263,
stk. 2 på en hacker, idet han brugt en adgang, som *er* der i forvejen,
hvorved han pr. definition ikke kan have skaffet sig adgangen uberettiget.

Jeg er ret sikker på, at man ved bedømmelsen af kriteriet om
berettigelse, må se på hvad vedkommende har brugt adgangen til. I dette
tilfælde har valus hackeren i hvert fald med et sandsynlighedsforsæt
brugt adgangen til at få programmet til at udføre en skadelig og
utilsigtet handling. Det har aldrig været meningen, at han skulle bruge
adgangen på den nævnte måde, hvilket han i hvert fald med overvejende
sandsynlighed vidste. Det er efter min mening nok til at opfylde
kriteriet om (u)berettigelse.

Det eneste jeg kan se, der kan være afgørende for anvendelsen af § 263,
stk. 2, er, om brug af en mulighed for at få et program til at udføre en
handling, rent faktisk kan karakteriseres som en adgang til et program i
§ 263, stk. 2's forstand.

PS. jeg svinger mellem et bekræftende og et benægtende svar, for hvert
indlæg jeg læser.

/Rune Wold

---

Scripsit Rune Wold <uuu@iii.dk>
> Henning Makholm wrote:

> > Det er lige meget om det er meningen at adgangen skal udnyttes på den
> > ene eller den anden måde. Det vigtige er at den *er* der i
> > forvejen. Så kan man ikke "skaffe sig" den på uberettiget vis.

> Enhver hacker skaffer sig en adgang, der er indbygget i
> systemet.

Nej.

> Dvs. ifølge din argumentation kan man ikke bruge hackerbestemmelsen
> § 263, stk. 2 på en hacker, idet han brugt en adgang, som *er* der i
> forvejen,

Nej, det følger ikke af min argumentation. Din forudsætning er
forkert. Jeg siger *ikke* at adgang altid er noget der er der i
forvejen. Jeg siger at *i dette tilfælde* var adgangen til programmet
noget som ejeren bevidst havde givet.

> Jeg er ret sikker på, at man ved bedømmelsen af kriteriet om
> berettigelse, må se på hvad vedkommende har brugt adgangen til.

I så fald snakker vi om berettigelsen af *brugen* af adgangen, ikke
berettigelsen af det isolerede faktum at vedkommende på præcis samme
måde som alle de andre kunder skaffede sig præcis samme adgang som de
andre kunder havde.

> I dette tilfælde har valus hackeren i hvert fald med et
> sandsynlighedsforsæt brugt adgangen til at få programmet til at
> udføre en skadelig og utilsigtet handling.

Ja. Det er *brugen* der er gal, ikke adgangen selv.

> Det er efter min mening nok til at opfylde kriteriet om
> (u)berettigelse.

Uberettigelse af *brugen*, ikke af *adgangen* selv.

> Det eneste jeg kan se, der kan være afgørende for anvendelsen af §
> 263, stk. 2, er, om brug af en mulighed for at få et program til at
> udføre en handling, rent faktisk kan karakteriseres som en adgang til
> et program i § 263, stk. 2's forstand.

Adgangen kan efter min forståelse ikke forstås som andet end den rene
mulighed for at sende kommandoer til programmet. Den adgang er ens for
alle brugere, og netop derfor var det ikke uberettiget at skaffe sig
den.

--
Henning Makholm "Men selv er han skaldet som Roskildevejen."

---

Henning Makholm wrote:

[klip]

> Nej.

Nåh, dvs. at en hacker kan fremproducere en adgang i et system, der
aldrig aktuelt eller latent har været indbygget i systemet?

[klip]

> Jeg siger at *i dette tilfælde* var adgangen til programmet noget som
> ejeren bevidst havde givet.

Du mener, at adgangen til programmet er etableret allerede ved, at man
kan få programmet til at udføre handlinger. Desuden mener du, at da
ejeren bevidst har etableret denne adgang for alle brugere, så har man
ikke uberettiget skaffet sig adgangen. Samtidig mener du, at det er
ligegyldigt, at ejeren ikke bevidst har skabt adgangen således, at der
er mulighed for at få programmet til udføre nedlukningen.

Jeg mener, at det er forkert ikke at se på, hvad ejeren har ment skulle
være brugen af adgangen. Vi kan vist alle blive enige om, at den
faktiske anvendelse af adgangen ikke har været tilsigtet af ejeren, og
at valus-hackeren iøvrigt måtte vide dette. Adgangen kan ikke betragtes
isoleret fra den mængde af handlinger, man kan få programmet til at
udføre. Jeg mener hermed, at den "del" af adgangen, der giver mulighed
får at nedlukke systemet ikke er givet bevidst.

Er vi enige om, hvad vi er uenige om?

[klip]

> I så fald snakker vi om berettigelsen af *brugen* af adgangen, ikke
> berettigelsen af det isolerede faktum at vedkommende på præcis samme
> måde som alle de andre kunder skaffede sig præcis samme adgang som de
> andre kunder havde.

Problemet er, at hvis man ikke også tager den faktiske brug med i
betragtning i vurderingen af berettigelsen, så vil "ofrets"
uforsigtighed medføre ansvarsfrihed for "gerningsmanden". Dette tillades
normalt ikke i dansk strafferet.

Man kan vel sammenligne med § 264, stk. 1, nr. 1:

En butiksejer tager hjem ved ophør af normal butikstid. Ejeren glemmer
at låse døren, hvorefter der stadig er fri adgang for offentligheden. En
person hører fra en salgsassistent, at ejeren glemte at låse dåren.
Denne person går ind i butikken.

Fra dette tidspunkt af, vil jeg mene at vedkommende uberettiget har
skaffet sig adgang til et ikke frit tilgængeligt sted, jf. § 264, stk.
1, nr. 1, idet han måtte vide, at det ikke var meningen, at han skulle
bruge adgangen, efter ophør af normal butikstid. Det mener ikke blot
jeg, men også kommentaren til straffeloven, s. 336.

/Rune Wold

---

In article <407d8d68$0$5947$ba624c82@nntp03.dk.telia.net>, Rune Wold wrote:
> Nåh, dvs. at en hacker kan fremproducere en adgang i et system, der
> aldrig aktuelt eller latent har været indbygget i systemet?

Ja. Buffer overflows udnyttes af hackere til at uploade vilkårlig
kode, herunder bagdøre er remote fjernstyringsværktøjer.

> [klip]
>
>> Jeg siger at *i dette tilfælde* var adgangen til programmet noget som
>> ejeren bevidst havde givet.
>
> Du mener, at adgangen til programmet er etableret allerede ved, at man
> kan få programmet til at udføre handlinger. Desuden mener du, at da
> ejeren bevidst har etableret denne adgang for alle brugere, så har man
> ikke uberettiget skaffet sig adgangen. Samtidig mener du, at det er
> ligegyldigt, at ejeren ikke bevidst har skabt adgangen således, at der
> er mulighed for at få programmet til udføre nedlukningen.

Ved at lade webserveren tilgå databasen som databaseadministrator,
og ikke som en begrænset bruger, da har ejeren taget et bevidst valg
om at brugere af webserveren skulle have fuld kontrol over databasen.
Adgange tildeles jo i denne verden efter et need-to-have princip.

Der er ingen der har bare en marginal fornuftig holdning der vil
give webbrugere administrator adgang til en vigtig backenddatabase
medmindre der er et reelt behov.

> Jeg mener, at det er forkert ikke at se på, hvad ejeren har ment skulle
> være brugen af adgangen. Vi kan vist alle blive enige om, at den
> faktiske anvendelse af adgangen ikke har været tilsigtet af ejeren, og
> at valus-hackeren iøvrigt måtte vide dette. Adgangen kan ikke betragtes
> isoleret fra den mængde af handlinger, man kan få programmet til at
> udføre. Jeg mener hermed, at den "del" af adgangen, der giver mulighed
> får at nedlukke systemet ikke er givet bevidst.

Så er den givet fordi dem har har lavet tingene har været dummere end
loven tillader. Hvis en håndværker laver noget rørarbejde hos mig, og
jeg hænger et hånklade til tørre på et rør, og det hele braser sammen,
så er det altså håndværkerens skyld, og ikke min.

Et website må forvente at kunne holde til at blive brugt på Internet,
altså at blive testet med almindelige metoder uden at fejle.

> Er vi enige om, hvad vi er uenige om?
>
> [klip]
>
>> I så fald snakker vi om berettigelsen af *brugen* af adgangen, ikke
>> berettigelsen af det isolerede faktum at vedkommende på præcis samme
>> måde som alle de andre kunder skaffede sig præcis samme adgang som de
>> andre kunder havde.
>
> Problemet er, at hvis man ikke også tager den faktiske brug med i
> betragtning i vurderingen af berettigelsen, så vil "ofrets"
> uforsigtighed medføre ansvarsfrihed for "gerningsmanden". Dette tillades
> normalt ikke i dansk strafferet.
>
> Man kan vel sammenligne med § 264, stk. 1, nr. 1:
>
> En butiksejer tager hjem ved ophør af normal butikstid. Ejeren glemmer
> at låse døren, hvorefter der stadig er fri adgang for offentligheden. En
> person hører fra en salgsassistent, at ejeren glemte at låse dåren.
> Denne person går ind i butikken.
>
> Fra dette tidspunkt af, vil jeg mene at vedkommende uberettiget har
> skaffet sig adgang til et ikke frit tilgængeligt sted, jf. § 264, stk.
> 1, nr. 1, idet han måtte vide, at det ikke var meningen, at han skulle
> bruge adgangen, efter ophør af normal butikstid. Det mener ikke blot
> jeg, men også kommentaren til straffeloven, s. 336.

Men sker det i den annoncerede åbningstid ? Såfremt dette er tilfældet,
så er det ikke et lovbrud.

Såfremt gæsten går ind, slå smæklåsen til, og går ud igen, så har
han heller ikke gjort noget galt.

---

Povl H. Pedersen wrote:

[klip]

> Ja. Buffer overflows udnyttes af hackere til at uploade vilkårlig
> kode, herunder bagdøre er remote fjernstyringsværktøjer.

Hvis det er muligt at uploade vilkårlig kode, så har hackerens endelig
adgang også latent været indbygget i systemet. En kvinde har latent
muligheden for at blive gravid, men manden må så at sige uploade sin del
før graviditeten kan begynde

[klip]

> Der er ingen der har bare en marginal fornuftig holdning der vil give
> webbrugere administrator adgang til en vigtig backenddatabase
> medmindre der er et reelt behov.

Anerkender du, at valus hackeren med forsæt har anvendt en adgang *på en
måde*, der ikke har været tilsigtigt af ejeren?

I så fald er ejerens dumhed i den forbindelse uden betydning for
spørgsmålet om anvendelsen af § 263, stk. 2.

Det eneste indvending man kan have er, om brugen af adgangen skal have
betydning ved vurderingen af (u)berettigelsen.

[klip]

> Men sker det i den annoncerede åbningstid ? Såfremt dette er
> tilfældet, så er det ikke et lovbrud.

Jeg skriver netop, at det sker udenfor normal butikstid. Og det er netop
derfor adgangen er uberettiget. Analogien til vores sag er, at den
konkrete brug af adgangen ikke har været tilsigtet, og dette har
brugeren med overvejende sandsynlighed vidst, hvorefter den konkrete
adgang har været uberettiget.

[klip]

> Såfremt gæsten går ind, slå smæklåsen til, og går ud igen, så har han
> heller ikke gjort noget galt.

Nej det er rigtigt, men i så fald er der heller ikke sket en for "ofret"
skadelig handling, men tværtimod en gavnlig handling. Dette er ikke
tilfældet i vores sag.

/Rune Wold

---

Rune Wold uttered:
>> Såfremt gæsten går ind, slå smæklåsen til, og går ud igen, så har han
>> heller ikke gjort noget galt.
>
> Nej det er rigtigt, men i så fald er der heller ikke sket en for "ofret"
> skadelig handling, men tværtimod en gavnlig handling. Dette er ikke
> tilfældet i vores sag.

Jo. Den omtalte kommando, SHUTDOWN, er den mest benevolente udnyttelse
af de beføjelser Valus utilsigtet har givet brugerne af systemet. Man
kunne lige let have udformet URLen Valus-'hackeren' copy/pastede ind i
adresselinien på sin browser på en sådan måde at alle data var blevet
slettet, skrevet ud på skærmen etc. Hvis det havde været tilfældet
havde Valus formentlig ikke opdaget noget før det var for sent og alle
konti lænset. Derved svarer Valus-'hackeren's handling faktisk meget
godt til at gå ind i en åben butik efter lukketid og smække låsen, så
andre ikke kan komme ind.

\\kristian
--
"The ability to enslave a planet is insignificant
next to the power of the Macintosh"
--Darth Vader

---

Kristian Thy wrote:

[klip]

> Jo. Den omtalte kommando, SHUTDOWN, er den mest benevolente udnyttelse
> af de beføjelser Valus utilsigtet har givet brugerne af systemet.

Okay, jeg kan godt se pointen. Jeg tvivler dog på om synspunktet rent
praktisk kunne vinde gehør i forhold til den konkrete sag og § 263, stk.
2. Mit eksempel var heller ikke ment som en fuldstændig analogi mellem
to forskellige faktiske forhold.

Som en opsamling på mit syn på sagen, vil jeg sige følgende:

1. Der er et spørgsmål, om man kan sige, at valus hackeren har haft
adgang til et program.

2. Og der er et spørgsmål, om denne adgang konkret er uberettiget.

Det virker som alle er enige om at svare ja til 1. Her har jeg dog haft
mine største tvivl. Dem har jeg ikke længere.

Hvis 1 skulle besvares bekræftende, har Jeg dog aldrig været i tvivl om,
at valus hackeren uberettiget har skaffet sig denne adgang. Her er der
mange der er uenige. Begrundelserne deler sig i to. Nogen mener, at
adgangen ikke er sket uberettiget, idet det ikke kan være relevant at
tage den faktiske brug af adgangen i betragtning. Argumentation er efter
min mening ikke juridisk holdbar. Andre mener, at adgangen ikke er sket
uberettiget i bund og grund fordi, valus egen dumhed burde ramme dem
selv. Dette hensyn har stort set aldrig vægt i en strafferetlig
vurdering. Og det bør efter min mening heller ikke have vægt i denne sag.

/Rune Wold

---

Scripsit Rune Wold <none@none.dk>
> Kristian Thy wrote:

> > Jo. Den omtalte kommando, SHUTDOWN, er den mest benevolente udnyttelse
> > af de beføjelser Valus utilsigtet har givet brugerne af systemet.

> Okay, jeg kan godt se pointen. Jeg tvivler dog på om synspunktet rent
> praktisk kunne vinde gehør i forhold til den konkrete sag og § 263,
> stk. 2.

Enig i det. Hvis man ville argumentere sådan, skulle man have
kombineret nedlukningen med en direkte henvendelse til administrator
for systemet og gjort udtrykkeligt opmærksom på hullet. Ellers ville
det jo gå galt igen så snart databasen bliver genstartet manuelt.

I stedet for har tiltalte i denne sag tilsyneladende erkendt at han
handlede af ren nysgerrighed - dermed må han have afskåret sig fra
at påberåbe sig uanmodet forretningsførelse (eller noget i den dur)
senere.

> 1. Der er et spørgsmål, om man kan sige, at valus hackeren har haft
> adgang til et program.

> 2. Og der er et spørgsmål, om denne adgang konkret er uberettiget.

> Det virker som alle er enige om at svare ja til 1.

Jeg tvivler nu personligt. Resten af §263 handler om at skaffe sig
*kendskab* til andre folks hemmeligheder. Det virker derfor mest
nærliggende for mig at forstå "adgang til" i stk 2 som en måde at sige
"mulighed for at gøre sig bekendt med".

Det har jeg ikke råbt så højt op om, for under denne forståelse er der
slet ikke noget problem - den tiltalte har så *ikke* haft "adgang til"
programmet, og resten af spørgsmålene forsvinder så af sig selv.
Med denne læsning vil det også være klart at det *ville* være en
overtrædelse af paragraffen at bruge hullet til at skaffe sig "adgang"
(= kendskab) til konkrete data lagret på systemet.

--
Henning Makholm "Jeg mener, at der eksisterer et hemmeligt
selskab med forgreninger i hele verden, som
arbejder i det skjulte for at udsprede det rygte at
der eksisterer en verdensomspændende sammensværgelse."

---

Povl H. Pedersen skrev:

>Såfremt gæsten går ind, slå smæklåsen til, og går ud igen, så har
>han heller ikke gjort noget galt.

Og hvad hvis døren var efterladt ulåst med vilje, og købmandens
nøgler lå på hans skrivebord i baglokalet?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen uttered:
> Povl H. Pedersen skrev:
>
>>Såfremt gæsten går ind, slå smæklåsen til, og går ud igen, så har
>>han heller ikke gjort noget galt.
>
> Og hvad hvis døren var efterladt ulåst med vilje, og købmandens
> nøgler lå på hans skrivebord i baglokalet?

Det svarer så i analogi med den aktuelle sag til at Valus *med vilje*
har givet administratorrettigheder til alle webbrowsere for at kunne
administrere systemet fra en fjernmaskine. Derved frafalder også
ethvert spørgsmål om hvorvidt 'hackeren' har *skaffet* sig adgang.

\\kristian
--
PROGRAMMER [n]: a device for converting coffee into software.

---

---

Povl H. Pedersen wrote:
>
> In article <407d8d68$0$5947$ba624c82@nntp03.dk.telia.net>, Rune Wold wrote:
>
> > Nåh, dvs. at en hacker kan fremproducere en adgang i et system, der
> > aldrig aktuelt eller latent har været indbygget i systemet?
>
> Ja. Buffer overflows udnyttes af hackere til at uploade vilkårlig
> kode, herunder bagdøre er remote fjernstyringsværktøjer.

Buffer overflows eller andre sikkerhedshuller falder vel ikke uden for
det Rune skrev.

> Ved at lade webserveren tilgå databasen som databaseadministrator,
> og ikke som en begrænset bruger, da har ejeren taget et bevidst valg
> om at brugere af webserveren skulle have fuld kontrol over databasen.

Hvordan kommer du frem til, at det er et bevidst valg? Mon ikke nærmere
der er tale om en dumme-fejl? Jeg har simpelthen ikke fantasi til at
forestille mig, at Valus bevidst skulle have valgt at give brugerne
mulighed for at lægge databasen ned.

--
Mvh. Kim Ludvigsen

---

Scripsit Rune Wold <none@none.dk>
> Henning Makholm wrote:

> > Nej.

> Nåh, dvs. at en hacker kan fremproducere en adgang i et system, der
> aldrig aktuelt eller latent har været indbygget i systemet?

Ja. Det er der en masse buffer overflow-exploits m.v. der går ud på.

Og selv om man skaffer sig en adgang ved at gætte sig til et password,
er der tale om at *skaffe sig* den. Det kan være uberettiget.

I den foreliggende sag har tiltalte naturligvis også i en vis forstand
skaffet sig adgang, men det var ikke uberettiget at skaffe sig
den. Det var meningen at folk i almindelighed skulle skaffe sig adgang
på denne måde.

Igen: det der var uberettiget var ikke *skaffelsen* men *brugen* af adgangen.

> > Jeg siger at *i dette tilfælde* var adgangen til programmet noget som
> > ejeren bevidst havde givet.

> Du mener, at adgangen til programmet er etableret allerede ved, at man
> kan få programmet til at udføre handlinger.

Det er det "adgang" betyder for mig.

> Desuden mener du, at da ejeren bevidst har etableret denne adgang
> for alle brugere, så har man ikke uberettiget skaffet sig adgangen.

Man har skaffet sig adgang, men skaffelsen har ikke været uberettiget.

> Samtidig mener du, at det er ligegyldigt, at ejeren ikke bevidst har
> skabt adgangen således, at der er mulighed for at få programmet til
> udføre nedlukningen.

Ja, for det er den samme adgang der bliver skaffet i begge tilfælde.

> Jeg mener, at det er forkert ikke at se på, hvad ejeren har ment
> skulle være brugen af adgangen.

Det synes jeg ikke der er hold for i straffebestemmelsens ordlyd.

Hvis jeg går ind på det nærmeste folkebibliotek i åbningstiden og
efterlader en bombe i læsesalen, er den deri bestående terrorhandling
ganske uberettiget. Men det er ikke uberettiget i sig selv at jeg
*åbnede døren* og således skaffede mig adgang til læsesalen. Det er
uafhængigt af hvad bibliotekaren har ment med at låse døren op.

Døråbningen kan jeg ikke straffes for, kun bomben. (Og det stemmer
fint i analogien, fordi der rent faktisk er en straffebestemmelse der
omfatter bombning af biblioteker, og ikke blot en der straffer folk
der uberettiget skaffer sig adgang til dem).

> Vi kan vist alle blive enige om, at den faktiske anvendelse af
> adgangen ikke har været tilsigtet af ejeren, og at valus-hackeren
> iøvrigt måtte vide dette.

Ja.

> Adgangen kan ikke betragtes isoleret fra den mængde af handlinger,
> man kan få programmet til at udføre.

Det mener jeg man er nødt til, når straffebestemmelsen kun drejer sig
om adgang og ikke siger noget om hvad man bruger den til. (Det kan vi
nok blive enige om er en fejl i straffebestemmelsen, men det vil være
et skråplan at give sig til at fortolke en rettelse ind i den - det
ville være at gøre vold på ordlyden).

> Jeg mener hermed, at den "del" af adgangen, der giver mulighed får
> at nedlukke systemet ikke er givet bevidst.

Jeg mener ikke at man kan skille adgangen ad på den måde. Enten har
man adgang til at sende kommandoer til programmet, eller også har man
ikke.

> Er vi enige om, hvad vi er uenige om?

Måske.

> > I så fald snakker vi om berettigelsen af *brugen* af adgangen, ikke
> > berettigelsen af det isolerede faktum at vedkommende på præcis samme
> > måde som alle de andre kunder skaffede sig præcis samme adgang som de
> > andre kunder havde.

> Problemet er, at hvis man ikke også tager den faktiske brug med i
> betragtning i vurderingen af berettigelsen, så vil "ofrets"
> uforsigtighed medføre ansvarsfrihed for "gerningsmanden".

Sådan synes jeg ikke man kan konkludere.

> Dette tillades normalt ikke i dansk strafferet.

Normalt tillades heller ikke så stærkt udvidende omfortolkninger af
ordlyd som du gør dig til talsmand for.

> En butiksejer tager hjem ved ophør af normal butikstid. Ejeren glemmer
> at låse døren, hvorefter der stadig er fri adgang for
> offentligheden. En person hører fra en salgsassistent, at ejeren
> glemte at låse dåren. Denne person går ind i butikken.

Jeg mener ikke analogien er gyldig. Det *er* uberettiget at gå ind i
butikken - og det skyldes ikke formålet, men at butiksejeren ikke
tillader almenheden at skaffe sig adgang på det tidspunkt *uanset
formålet*.

> skaffet sig adgang til et ikke frit tilgængeligt sted, jf. § 264,
> stk. 1, nr. 1, idet han måtte vide, at det ikke var meningen, at han
> skulle bruge adgangen, efter ophør af normal butikstid.

Og derfor *er* det uberettiget for enhver at skaffe sig adgang på det
tidspunkt uanset hvad man har tænkt sig at bruge adgangen til. (Med
mindre altså formålet i sig selv indebærer en særlig berrettigelse,
fx hvis der er ild i butikken og man forsøger at komme til at slukke
den).

--
Henning Makholm "Hell, every other article you read
is about the Mars underground, and how
they're communists or nudists or Rosicrucians --"

---

Rune Wold skrev:

>Der er jeg uenig. At enhver kunne skrive en adresse i URL'en, der
>medførte systemets lukning, er vel mere udtryk for dårlig webdesign, end
>det er udtryk for ejerens hensigt.

Det var ejernes hensigt at man skulle kunne skrive kommandoer i
URL'en. De/programmøren havde bare ikke taget højde for at man
kunne skrive noget andet end de kommandoer der ønskedes udført på
systemet.

Det svarer lidt til at man laver en tekstboks og skriver: "Angiv
en DOS-kommando her", og så sender den skrevne kommando direkte
til DOS-systemet.

Så er man forsvarsløs hvis én skriver "Format C:\ /u /autotest".
(Kids, don't try this at home!)

Det er altså ikke metoden, men indholdet i kommandoen der var
utilsigtet.

Det er rigtigt at det var dåligt design. Brugerinput skal altid
tjekkes før det lukkes videre.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:
>
> Det var ejernes hensigt at man skulle kunne skrive kommandoer i
> URL'en. De/programmøren havde bare ikke taget højde for at man
> kunne skrive noget andet end de kommandoer der ønskedes udført på
> systemet.

Er du sikker på det? Jeg har ikke prøvet hjemmesiden, men jeg har endnu
ikke set en side, hvor brugeren manuelt skal skrive kommandoer i URL'en.
Den slags kommandoer skabes normalt ved et klik på et link.

> Det er rigtigt at det var dåligt design. Brugerinput skal altid
> tjekkes før det lukkes videre.

Enig.

--
Mvh. Kim Ludvigsen

---

Scripsit Rune Wold <none@none.dk>
> Henning Makholm wrote:

> > Og det var ejerens hensigt at man skulle have adgang til det - det er
> > altså ikke uberettiget at *skaffe* sig denne adgang.

> Der er jeg uenig.

Hm, mon vi er uenige om hvordan systemet virker teknisk, eller i
definitoriske spidsfindigheder om hvad "skaffe sig adgang" betyder?

For mig er det klart at ejeren med vilje havde *givet* offentligheden
*adgang* til at sende kommandoer til databaseserveren. Hans egne
formularer virkede kun på grund af den adgang.

At den tiltalte *udnyttede* denne adgang til noget uventet er ikke a
priori den samme som at han har *skaffet* sig den på uberettiget vis.
Tværtimod - det er fuldt berettiget at *skaffe* sig adgang; det
uventede for ejeren skete først *efter* adgangen var skaffet.

> At enhver kunne skrive en adresse i URL'en, der medførte systemets
> lukning, er vel mere udtryk for dårlig webdesign, end det er udtryk
> for ejerens hensigt.

Ja, men det *var* ejerens (eller hans inkompetente programmørers)
hensigt at almenheden i mere bred forstand skulle have adgang til at
sende kommandoer til servicen. Det er det der er det springende, synes
jeg: *adgangen* er der med vilje.

Med bævende hjerte forsøger jeg en analogi:

Vi forestiller os en forretningsejer som slår dørene op for
almenheden for at de kan komme ind og købe varer hos ham. Henne i
et hjørne af butikslokalet hænger frit tilgængeligt en knap der
starter brandalarmen og sprinkleranlægget. Nu kommer der en person
ind ad døren; han styrer målrettet hen mod knappen og udløser
alamrmen, så alle de andre kunder bliver dyngvåde og alle den
stakkels købmands varer bliver ødelagt af vandskade.

Så bliver den indtrængende sigtet efter en straffebestemmelse om
"uberettiget at skaffe sig adgang til et forretningslokale". Det synes
jeg ikke holder -- uanset hvordan man moralsk vurderer hans senere
handlinger, var det helt berettiget at han tog sig *adgang* til
lokalet. Skal man kritisere ham er det ikke for at have været et sted
han ikke måtte, men for hvad han *gjorde*. Men så har en sprogbrug der
taler om "adgang" jo ikke noget at gøre, og man må kigge sig om efter
en anden straffebestemmelse. (Eller evt falde tilbage på culpaansvar).

--
Henning Makholm "They want to be natural, the anti-social
little beasts. They just don't realize that
everyone's good depends on everyone's cooperation."

---

Rune Wold wrote:
>
>
> > Det skal nævnes, at den sendte request skam virkede godt nok.
>
> I så fald har jeg et mere principielt spørgsmål, til dem der har
> forstand på teknikken. Kan straffelovens § 263, stk. 2 evt. jf. § 21
> (forsøg) overhovedet anvendes på forholdet?

Jeg skal ikke gøre mig klog på, hvordan paragraffen skal fortolkes i
forhold til den aktuelle sag, men mon ikke samme paragraf er blevet
anvendt i denne sag:
http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16916
hvor en anden person blev dømt skyldig i samme handling.

--
Mvh. Kim Ludvigsen

---

Kim Ludvigsen wrote:
>
> http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16916

Af samme artikel fremgår, at personen, der skrev
linket på computerworld også er blevet sigtet.

Er det ulovligt at fortælle om et sikkerhedshul?

Der blev i den pågældende tråd på computerworlds
debatforum skrevet indtil flere links, som udnyttede
sikkerhedshuller i systemet. Hvem blev sigtet?

Første indlæg dokumenterer et mindre hul, og en
person der angiveligt har tilknytning til valus
fortæller senere, at det første hul er blevet lukket.

Senere bliver endnu et hul dokumenteret, først i et
indlæg, med en ganske uskadelig URL, som blot
demonstrerer hullets eksistens.

Det næste indlæg fortæller så, hvordan hullet måske
kan udnyttes til at lukke serveren ned, og hvordan
det måske kan bruges til at slette data fra serveren.

Hvem af de tre blev sigtet, hvem har begået noget
ulovligt?

URLen, som ifølge indlæget måske kunne lukke
serveren ned viste sig at virke. Muligheden for at
slette data var der vist ikke nogen der nåede at
afprøve, fordi serveren allerede var lukket ned
inden da.

Jeg har indtil flere gange prøvet at opdage lignende
huller på forskellige danske websites. Hvor meget
må jeg fortælle om dem?

Hvis man skriver en email til den ansvarlige for
serveren bliver den typisk ignoreret. Man kan prøve
at være lidt mere nærgående, så opnår man omtrent
følgende hændelsesforløb:

- Min første henvendelse bliver ignoreret.
- Min anden henvendelse resulterer i et pænt svar
om at man vil se på sagen.
- Min tredje henvendelse resulterer i en kommentar
om at man ikke har tid til at tage sig af hullet,
og at jeg i øvrigt skal blande mig uden om deres
sikkerhedshuller.
- Min fjerde henvendelse resulterer i en benægtelse
af hullets eksistens, med en begrundelse, som bar
tydligt tegn på manglende forståelse for sikkerhed
i computersystemer.
- Min femte henvendelse resulterer i trusler om
sagsanlæg hvis hullet bliver udnyttet. Fra samme
person, som lige har benægtet eksistensen.

Herefter beslutter jeg mig for at melde dem til
datatilsynet. Min første henvendelse til datatilsynet
får jeg ingen respons på.

Herefter erfarer jeg, at andre, uafhængigt af mig
har opdaget samme hul. Ikke overraskende taget i
betragtning at jeg selv opdagede hullet ved en
tilfældighed ved ganske normal brug af sitet.

Jeg skriver igen til datatilsynet og denne gang får
jeg et svar om, at de få dage forinden har besluttet
at tage sagen op. Firmaet bag websitet har fået
godt en måned til at komme med en redegørelse.

Kort tid før denne frists udløb forsvinder de
symptomer som var årsag til at jeg i første omgang
kontaktede firmaet. Så noget har de ændret. Detaljerne
kender jeg af gode grunde ikke.

Jeg har sidenhen intet hørt fra hverken firmaet eller
datatilsynet. Jeg har heller ikke kontaktet nogen af
dem og spurgt til sagen.

Det ovenfor beskrevne hændelsesforløb varede over et
halvt år. I hele denne periode har hullet stået åbent,
og har sandsynligvis været kendt af flere personer.
Om det er blevet misbrugt vides ikke.

Er en offentliggørelse nødvendig for at sådan et
sikkerhedshul bliver lukket hurtigere end et halvt år?
Og hvor meget må man fortælle om et sikkerhedshul med
formål at få de ansvarlige til at tage sig sammen til
at lukke det?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Scripsit Kasper Dupont <kasperd@daimi.au.dk>

> Er det ulovligt at fortælle om et sikkerhedshul?

Ikke i sig selv. Men hvis hensigten har være at hjælpe andre til at
udnytte det (på ulovlig vis) man kan straffes for medvirken til
forbrydelsen.

Der er mig bekendt ikke nogen entydig domspraksis om hvad der skal til
for at overbevise en domstol over at man har haft en anden hensigt med
offentliggørelsen.


I edb-sikkerhedskredse synes der at være en vis konsensus om at det er
"moralsk acceptabelt" for den der har opdaget et sikkerhedsproblem at
true den ansvarlige for hullet med at offentliggøre sin opdagelse,
hvis ikke det bliver lukket indenfor rimelig tid - og i givet fald
gøre alvor af truslen. Det gælder ihvertfald hvis der er tale om et
hul der kan udnyttes til skade for tredjemand.

Heraf følger imidlertid ikke automatisk at en sådan handlemåde ikke
er strafbar. En ihærdig anklager vil nok kunne argumentere for at ved
at gøre alvor af truslen hjælper man fæle personer med at udnytte
hullet.

Man kunne nok ønske sig en klarere retstilstand på dette område. Det
må imidlertid være en politisk sag at tilvejebringe den, så her i
gruppen er det bare at henvise til
<http://www.ft.dk/Samling/20031/00000037/00818608.htm>
<http://wwwdb.europarl.eu.int/ep5/owa/p_meps.short_list?ilg=DA&ictry=DK>

--
Henning Makholm "Gå ud i solen eller regnen, smil, køb en ny trøje,
slå en sludder af med købmanden, puds dine støvler. Lev!"

---

Henning Makholm wrote:
>
> Scripsit Kasper Dupont <kasperd@daimi.au.dk>
>
> > Er det ulovligt at fortælle om et sikkerhedshul?
>
> Ikke i sig selv. Men hvis hensigten har være at hjælpe andre til at
> udnytte det (på ulovlig vis) man kan straffes for medvirken til
> forbrydelsen.

Jeg ville selvfølgelig aldrig gøre det for at hjælpe
nogen med at udføre et angreb. Men jeg kunne godt
finde på at bruge det som eksempel, når jeg skal
forklare andre hvordan man laver sikre systemer, og
specielt, hvordan man ikke gør.

>
> Der er mig bekendt ikke nogen entydig domspraksis om hvad der skal til
> for at overbevise en domstol over at man har haft en anden hensigt med
> offentliggørelsen.

Hvad nu hvis man i første omgang gør firmaet
opmærksom på hullet og ved en senere lejlighed når
man tror hullet er blevet lukket fortæller
offentligheden om det?

Og hvornår kan man med rimelighed forvente hullet
er lukket?

>
> I edb-sikkerhedskredse synes der at være en vis konsensus om at det er
> "moralsk acceptabelt" for den der har opdaget et sikkerhedsproblem at
> true den ansvarlige for hullet med at offentliggøre sin opdagelse,
> hvis ikke det bliver lukket indenfor rimelig tid - og i givet fald
> gøre alvor af truslen. Det gælder ihvertfald hvis der er tale om et
> hul der kan udnyttes til skade for tredjemand.

Hvad er i den her forbindelse rimelig tid? Hvor stor
skal skaden være for tredjemand? Ville det være nok,
hvis det f.eks. var en liste med alle brugerenes
email adresser, der var tilgængelig for udvekommende?
Hvem afgør, hvad der er moralsk acceptabelt? Og har
det overhovedet nogen retslig betydning?

>
> Heraf følger imidlertid ikke automatisk at en sådan handlemåde ikke
> er strafbar. En ihærdig anklager vil nok kunne argumentere for at ved
> at gøre alvor af truslen hjælper man fæle personer med at udnytte
> hullet.

Men hvad nu hvis enhver person, der måtte have
interesse i at udnytte hullet selv ville kunne finde
det på et øjeblik? Hvis man har set denne slags
huller før ville det tage under et minut at gå ind på
det pågældende site og undersøge om hullet fandtes.

FUT: dk.videnskab.jura

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Scripsit Kasper Dupont <kasperd@daimi.au.dk>
> Henning Makholm wrote:

> > Der er mig bekendt ikke nogen entydig domspraksis om hvad der skal til
> > for at overbevise en domstol over at man har haft en anden hensigt med
> > offentliggørelsen.

> Hvad nu hvis man i første omgang gør firmaet
> opmærksom på hullet og ved en senere lejlighed når
> man tror hullet er blevet lukket fortæller
> offentligheden om det?

Så er der naturligvis intet forsæt til at hjælpe nogen med at udnytte hullet.

> > I edb-sikkerhedskredse synes der at være en vis konsensus om at det er
> > "moralsk acceptabelt" for den der har opdaget et sikkerhedsproblem at
> > true den ansvarlige for hullet med at offentliggøre sin opdagelse,
> > hvis ikke det bliver lukket indenfor rimelig tid - og i givet fald
> > gøre alvor af truslen. Det gælder ihvertfald hvis der er tale om et
> > hul der kan udnyttes til skade for tredjemand.

> Hvad er i den her forbindelse rimelig tid? Hvor stor
> skal skaden være for tredjemand?

Disse spørgsmål er der næppe konsensus om en skarp grænse for. De
fleste af dem der ville erklære sig enige i den moralske regel jeg har
formuleret, vil næppe være med til at trække en klar linje ned gennem
gråzonen, og vil i stedet lade det være op til den enkelte at skønne i
hver konkret sag.

> Hvem afgør, hvad der er moralsk acceptabelt?

Det gør vi alle, når vi beslutter os for enten at blive forargede over
en given handlemåde eller lade være.

> Og har det overhovedet nogen retslig betydning?

Nej. *Muligvis* kan det inddrages i en culpavurdering i anledning af
et borgerligt erstatningskrav, men moral har ikke noget at gøre i en
strafferetlig overvejelse.

> > En ihærdig anklager vil nok kunne argumentere for at ved at gøre
> > alvor af truslen hjælper man fæle personer med at udnytte hullet.

> Men hvad nu hvis enhver person, der måtte have interesse i at
> udnytte hullet selv ville kunne finde det på et øjeblik?

Tja, så skal anklageren måske være mere ihærdig end som så.

--
Henning Makholm "Den nyttige hjemmedatamat er og forbliver en myte.
Generelt kan der ikke peges på databehandlingsopgaver af
en sådan størrelsesorden og af en karaktér, som berettiger
forestillingerne om den nye hjemme- og husholdningsteknologi."

---

Henning Makholm wrote:
>
> Scripsit Kasper Dupont <kasperd@daimi.au.dk>
>
> > Men hvad nu hvis enhver person, der måtte have interesse i at
> > udnytte hullet selv ville kunne finde det på et øjeblik?
>
> Tja, så skal anklageren måske være mere ihærdig end som så.

Ville det være ulovligt at fortælle, hvordan man
finder denne slags sikkerhedshuller? Der findes en
simpel fremgangsmåde som hvem som helst ville kunne
lære på fem minutter. Fremgangsmåden er let at forstå
og er mig bekendt uskadelig. Den giver et fingerpeg
om, hvorvidt et givet site lider af en fejl af den
pågældende type. Og det kræver intet udover en browser,
et enkelt klik med musen og to tastetryk på tastaturet.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Scripsit Kasper Dupont <kasperd@daimi.au.dk>

> Ville det være ulovligt at fortælle, hvordan man
> finder denne slags sikkerhedshuller?

Det afhænger af formålet.

Det er ligesom følgende juraklassikker:

Er det strafbart at købe en æske tændstikker?

Svar: Ja, hvis man køber den for at stikke ild på
Amalienborg. Straffes som forsøg på ildspåsættelse med fængsel
indtil 10 år. Nej, hvis man køber den for at få ild på sin pibe.

--
Henning Makholm "What the hedgehog sang is not evidence."

---

> Det afhænger af formålet.
>
> Det er ligesom følgende juraklassikker:
>
> Er det strafbart at købe en æske tændstikker?
>
> Svar: Ja, hvis man køber den for at stikke ild på
> Amalienborg. Straffes som forsøg på ildspåsættelse med fængsel
> indtil 10 år. Nej, hvis man køber den for at få ild på sin pibe.

Er det ulovligt at købe tændstikker hvis man har tænkt sig at bruge dem
til at brænde huse ned også selvom man ombeslutter sig kort tid efter
købet? Er det ikke nok at det er strafbart at brænde huse ned? Er det
køb af alle remedier der kan være hjælpsomme i forbindelse med en
strafbarhandling der er ulovlige? Kan det fx også være ulovligt at købe
en elefanthue? Hvilken lov/paragraf beskriver det?

---

"No1" skrev 14.04.2004 21:59:

> Hvilken lov/paragraf beskriver det?

Straffelovens § 21.

Men du finder ikke nogen udtømmende beskrivelse i ordlyden.

/kristian

---

No1 wrote in dk.videnskab.jura:

>> Det afhænger af formålet.
>>
>> Det er ligesom følgende juraklassikker:
>>
>> Er det strafbart at købe en æske tændstikker?
>>
>> Svar: Ja, hvis man køber den for at stikke ild på
>> Amalienborg. Straffes som forsøg på ildspåsættelse med fængsel
>> indtil 10 år. Nej, hvis man køber den for at få ild på sin pibe.
>
> Er det ulovligt at købe tændstikker hvis man har tænkt sig at bruge dem
> til at brænde huse ned også selvom man ombeslutter sig kort tid efter
> købet? Er det ikke nok at det er strafbart at brænde huse ned? Er det
> køb af alle remedier der kan være hjælpsomme i forbindelse med en
> strafbarhandling der er ulovlige? Kan det fx også være ulovligt at købe
> en elefanthue? Hvilken lov/paragraf beskriver det?

Padre, Peter Grauslund og Jakob Paikin m.fl. har på et tidligere tidspunkt
være inde på det her i gruppen:

http://groups.google.com/groups?hl=da&threadm=8vimsg$102m$1@news.net.uni-c.dk

--
Med Venlig Hilsen: Henrik Bøgh || http://55.5cm.dk/geek/usenet.html

"There is only one truth - my truth"
-- unknown

---

Scripsit Kim Ludvigsen <usenet@kimludvigsen.dk>
> Rune Wold wrote:

> > I så fald har jeg et mere principielt spørgsmål, til dem der har
> > forstand på teknikken. Kan straffelovens § 263, stk. 2 evt. jf. § 21
> > (forsøg) overhovedet anvendes på forholdet?

Jeg ville som fagmand tvivle på om gerningsindholdet rent teknisk er
opfyldt. Det forudsætter en forståelse af ordet "adgang" som jeg
finder unaturligt bred.

> Jeg skal ikke gøre mig klog på, hvordan paragraffen skal fortolkes i
> forhold til den aktuelle sag, men mon ikke samme paragraf er blevet
> anvendt i denne sag:
> http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16916
> hvor en anden person blev dømt skyldig i samme handling.

Ifølge artiklen var der også der tale om en tilståelsessag.

Fra et almindeligt nysgerrigt standpunkt ville det være interessant
at se hvilket resultat domstolen ville nå frem til hvis den tiltalte
erkender de faktiske forhold i anklageskriftet, men gør gældende at
gerningsindholdet i straffebestemmelsen ikke er opfyldt. (Men jeg
forstår også godt hvis hans forsvarer har rådet ham til ikke at gå den
vej).

--
Henning Makholm "Monsieur, vous êtes fou."

---

On Fri, 9 Apr 2004 19:48:33 +0200, "Cubus" <cubus@sol.dk> wrote:

> Valus-Hackeren har modtaget et skriftligt dokument:

Det var vel mere overraskende, hvis det var et mundtligt...

-A
--
http://www.hojmark.org/