主题:黑客与许霆 -- yhz
- 复 黑客与许霆
家园 赞同YHZ 某些人始终试图把不同的身份对立起来,以此达到混淆视听的目的。不是没有学过,就是根本不懂得辩证法。
建议把“黑客”两个字改掉。是不是“黑客”这个身份根本无所谓,关键是做了什么。
- 复 黑客与许霆
家园 你不是黑客,是顾客 按楼主的描述,就不是黑客而是顾客,请确定黑客的定义.
如果(因楼主没有给出技术细节)这个网络银行案的错账情节与许某的同类,即结算BUG是对顾客有利,例如取款1000元记账为1元,且设定后续情节都一致,则结论是:
该顾客构成了恶意透支的罪行.跟某对许某案的判断一致.
论据就是这个网络银行的错账是可以恢复的,一旦查出错账原因就可以加以恢复,从而确定本案的嫌疑犯是恶意地超额透支.
家园 我没有限定是取1000扣1块钱 例如说常见的做法就是发现某个API有缓冲区溢出的漏洞。
那么我就可以精心的构造一段数据,交给这个API执行,然后就可以提升了我所拥有的权限,然后接管部分或者整个系统。
但是不管怎么样,我黑客的做法都是调用公开的API,使用标准的命令来完成我所需要的各种操作。在这点上,我和所有的正常的顾客是一样的。
家园 你进入网络银行的控制系统,不是入侵? 不要狡辩.你若是顾客,就从头登陆别动服务器.任何黑客都要入侵,您都修改API往上装了,都控制整个系统了,还自称普通顾客?你以为别人跟你一样脑筋短路啊?
家园 我没改API啊 我用的就是他们自己的API啊。
我执行的也是他们API给定的操作范围,有什么错?
至于说控制系统,那只是我的合法操作的结果,就好比许霆通过合法操作,取了1000块钱却只扣1块钱一样,是操作的结果而已。
- 复 我没改API啊
家园 前面说自己修改过,现在又说是自己的? 不就是说,一个人入侵系统改服务器程序,另一个作为顾客再去登陆交易?
真的是利用系统BUG?制造一个BUG装上去,这个不是入侵?
难以理解........
家园 估计你不是做软件相关行业的吧? 系统入侵,大部分情况下都不需要修改执行的服务器程序,只需要修改运行程序的权限就可以了。
打个比较通俗的比方,就是如果一个客户登录网上银行,那么他的权限就是普通客户,可以对他自己的帐号进行操作。
但是如果我能够通过么偶些漏洞,使我的权限提升到营业员的权限,那么我就可以无中生有的给我的帐号“存钱”了。(当然,实际情况中,没有哪个银行会把这些权限和网上银行连接在一起,只是一个比方而已)
家园 如果你获得营业员权限是意外 那么你无中生有地为自己账号添钱不是进入了银行系统?
什么没有修改API,没有改服务器程序.关键的问题,是你是否如一个顾客一样活动.
自己都承认自己扮演伪装的营业员了,还说其它话干吗?
即便不是所谓营业员权限,不也是在造成服务器应用程序的溢出等异常后,再另外入侵.第一,那个BUG不是自动地给你帐户钱.第二,那个BUG和你帐户活动是相互配合的.第三,你一定要有事后"清理"现场的活动,否则很快就会被发现和抓住.
别管你用什么手段,不论是服务器程序还是下载到你客户端的程序,你必须控制服务器的动作才能让服务器给你钱.特别地,那个BUG变成实际的故障,是你的"精心编写的数据"激发的.....
这些跟那许某案件都是风马牛.许某案件若跟楼主你的例子能相比的话,只能是这样一种巧合,即你这个暴徒突破了服务器的权限,正企图弄一个帐户来"接钱"的时候,别人恰巧登陆进来,你搞出来的钱,流进了别人的帐户,而那家伙跟许某一样,反复地接你偷出来的钱......最后,破案时那家伙只是恶意透支.
家园 你果然不是做这行的 那么你无中生有地为自己账号添钱不是进入了银行系统?那你要从银行取钱,不也是要进入银行的系统?你不进入银行的系统,银行怎么可以校验你的身份,怎么会让你转帐?怎么会给你钱?
关键的问题,是你是否如一个顾客一样活动.自己都承认自己扮演伪装的营业员了,还说其它话干吗?
软件通信行业,有一个专有含义的词,叫做“协议”。只要我的操作符合你银行方面定义的协议规范,那么我就是合法的,我就是“如一个顾客一样活动”。这点毫无疑义。所以我不需要伪装,当我获得营业员权限之后,我就是合法的营业员。
特别地,那个BUG变成实际的故障,是你的"精心编写的数据"激发的.....看我上一个帖子,软件或者计算机系统只关心客户端提交指令,以及这些指令的特定序列组合。
至于这些指令和组合如何产生,是对问题毫无影响的。
家园 不做这行也能看穿你的把戏 你获得营业员权限,你就不是顾客了.穿个马甲也一样.
再说,网络银行的BUG自然也是银行方面非常关注的.你若真是有水平的黑客(HACKER),将找到的成功攻击路线提供给银行方面,估计都会得到合理合法的相应报酬.
请勿摆个软件专家的POSE吹牛.若真有那能力,请搞一次示范的攻击,让报纸给您报道一下.当然最好是攻入不破坏,不犯罪,给银行方面一个修补BUG的机会.某期待您在半年之内的成功案例报道.
家园 不要试图转移话题 既然你不是做这行的,你自然不会明白里面的很多实际的操作规程和设计定义。
我只是告诉你,在系统设计的角度看上去,许某人的行为和黑客是完全一样的:发现系统在某些特定情况下的一个漏洞,然后通过特定的手段重复和再现它,使之可以利用它达到执行和影响当初系统设计目标之外的操作。
至于那算不算盗窃,还是算不当获利,那我真的没弄懂。
至于我的水平如何,那就不是你能看得出来的了。我参加的大型电信系统的设计和开发,也不是一个两个了。我的水平如何,我的同事和合作方都有共睹了。
不过我再笨,也不会笨到拿自己的前途开玩笑。你呀,还是少来这套吧。
- 复 不要试图转移话题
家园 你的死穴 你的死穴就在这里:
发现系统在某些特定情况下的一个漏洞,然后通过特定的手段重复和再现它,使之可以利用它达到执行和影响当初系统设计目标之外的操作。那"特定的手段"一定不是原有的规程设定的.连起码的规则都没有搞清楚,参加什么大型系统,也不过是个力巴.
如果对许某案件有适当的了解,转入网络银行的环境,也仍然是将发现的BUG在不突破顾客权限的前提下进行正常操作,反复再现.动辄就"特定手段",显然若是许某的话就等效于动用电焊机,风镐.这技术含量也忒低了.........
给个技术含量高的例子:国外投币式电话在国人大量涌去"留学"的时候,有高人发明了在硬币上打小孔穿线进行投币并抽出的技术.人家不过就是将硬币落下的通道多拐几个弯就将这BUG补上了.