主题:黑客与许霆 -- yhz
我从来没有否认ATM系统有问题,而且出了问题。
但是ATM系统有问题,出了问题,不等于就可以利用它来获取非法利益。
例如说假如你家大门的锁是假的,任何一把钥匙都能打开。有一天一个小偷去你家,用随便一把钥匙打开了你家大门,然后拿走了很多东西。
之后,小偷的解释是:
如果操作人员违犯开锁步骤引起系统错误。那么是他的责任。这就象酒后开车撞树肯定是司机的责任一样。不能说是车的责任,或者是被撞的行道树的责任。
但如果操作人员没有违犯开锁步骤。那就是锁的制造商的责任。就象被酒后开车的司机撞了一下。肯定是他的责任。
首先要能保证正常操作下正常的锁能打开。不然叫做没有实现。要打0分的。
其次要能尽量做到识别不同钥匙的开锁,然后告警或者锁定或者其它什么对策。比如锁要能识别不正确的钥匙,then alert。这叫做对钥匙的校验。这个部分做好才能打60分。
再次就是能在钥匙错误和崩溃情况下记录现场和恢复等。这叫做锁的健壮性。这些对一般系统来说是加分题。对你家大门这样的涉钱敏感系统来说就是必答题。不然,我就要联想一下你家锁的采购是不是有猫腻了。
在小偷的案里。小偷的开锁操作完全合法(针对这把锁来说)。唯一“不合法”的就是小偷的钥匙不是正确的钥匙。但验证这一钥匙不是小偷的义务。相反是这把锁的责任。所以小偷在这把锁上的操作不是一次攻击。
这把锁没有验证这个钥匙是否合法,或者说这把锁没有发现正在尝试打开的钥匙是错的,导致开锁错误。这只能说明这把锁非常之不健壮。
OK
辩解完毕。
发现什么了吗?
小偷说了半天,都在说这把锁和锁的商的问题。没错,他们是有责任。
但是他们的责任不能抵消小偷去你家偷东西的责任。
许的案子同理。
- 相关回复 上下关系8
压缩 4 层
🙂制造壁垒和举证是银行和制造商的责任。 一饮拼千钟 字579 2008-03-08 18:01:09
🙂你说的这是最理想的情况 yhz 字882 2008-03-08 18:15:02
🙂不存在一个完美的系统,但存在一个完美的操作 1 一饮拼千钟 字992 2008-03-08 18:46:03
🙂你完全偏离了讨论的中心
🙂呵呵。这位童鞋显然知道我一看花花绿绿就头疼。 一饮拼千钟 字465 2008-03-10 05:10:47
🙂你的解释更有问题 yhz 字347 2008-03-10 05:21:15
🙂我说过了,我不下是否是盗窃这个结论 一饮拼千钟 字571 2008-03-10 05:42:13
🙂盗窃与否和契约没有任何关系 yhz 字50 2008-03-10 05:50:12