西西河

主题:黑客与许霆 -- yhz

共:💬73 🌺5
分页树展主题 · 全看首页 上页
/ 5
下页 末页
                            • 家园 是laska--拉丝卡,没有卷舌音滴~~

                              您老兄偷懒打中文,我就惨了。还有打出更难看呢:)

                              • 家园 送花致歉,另感慨。

                                南京人不会分平卷舌,而且拼音加加加看来也不会,没想到许霆案搞出这么多想法,这在业内几乎没有人争议的问题,这才是我等法律工作者要思考的地方。

                                老兄名字也是怪了点,有什么出处?

                                • 家园 说到出处么

                                  知道charge & aska么?

                                  另外

                                  这在业内几乎没有人争议的问题

                                  是不是可以理解为在律师行业内,很少有人认为许霆不是“盗窃罪”?如果我没有理解错的话,那么说明这个观点和我观察与接触到的情况是基本一致的。

                                  • 家园 是的,那几个兄弟是在博出位

                                    本所在江苏大概算第一,也是比较注意组织学习讨论的了,合伙人和专职律师无人对许案有疑问,我在本部门还特地让实习律师和助理讨论了一下,结论也无他,盗窃。当然我在的部门不是刑事部,我们所的刑事业务也一般。

                                    今天看人大或政协有一位法学院院长又在说什么,我无话可说。不同意别人,但誓死捍卫别人说话的权利这个道理还是懂的,我最诧异的是社会上有这么多议论,这也是我在讨论中提醒助理们注意的,律师是和社会打交道的,应该对社会舆论保持敏感。

                                    这和中国缺少法律传统有关,有空会专贴议之。

                                    中国律师生存艰难,请对博出位的兄弟保持谅解。

                                    • 家园 唉,博出位也不是这么博的。

                                      许霆坐牢,这几位啥事儿没有,许霆哪怕判轻一年,这几位就名利双收。

                                      啧啧,纯是拿许霆当垫脚石了。

                • 家园 使用网银客户端

                  通过某种合法但无意义的操作。比如点某按钮1000次。发现自己帐户多出1000元。

                  但不修改服务端和客户端程序,也不修改封包。

                  算么?

                  • 家园 黑客与否很难界定的

                    从服务器系统那端来说,他接收的就是一串合法的指令序列,然后进行相应的操作而已。他是不会对如何产生这串合法指令序列感兴趣的。

                    所以,黑客们要做的就是要发现某个系统,在某些合法指令序列的某些特定组合下,服务器系统可能出现不应该有的操作结果,然后有意识的利用这些结果去做另外一些事情。

                    至于这些指令序列如何产生:是利用原有的客户端或者工具,还是自己写一套新的脚本或者软件,或者录制回放某些指令等等,其实关系不大。

                    当然,最后说一句:黑客其实是通俗名词,在法律上来说,这个词是没有明确的定义的。

                    • 家园 关系还是比较大的吧。

                      对用户来说。未被修改的网银客户端和未被破坏的ATM机一样。都是UI。用户不需要理解Server和Client之间的运行机制。只需要知道输入一个数额,然后点操作。对合法输入下产生的非法结果,用户是不需要负责的。

                      • 家园 关键是“合法输入”的定义是什么?

                        也许从你这里,你觉得“合法输入”的定义就是从输入框中输入某些数据,然后按某些按钮。

                        但是,从服务器端来看,他认为的“合法输入”,就是包含了某些数据的指令序列。

                        而通常意义上的“客户端”,就是负责从你认为的“合法输入”转换到服务器认为的“合法输入”的这么个步骤。

                        所以,从银行或者服务器系统的角度来说,他只要指令正确,序列正确,他就认为合法,就会执行对应的操作。

                        那么,你说的:

                        对合法输入下产生的非法结果,用户是不需要负责的。

                        究竟是那个的“合法输入”呢?这点没有明确的规定。

                        从目前的技术取证水平还有实践来看,往往是以服务器端的判断为准的。

                        • 家园 我想应该是这样

                          1、使用服务商提供或者认可的终端

                          2、在服务商允许的操作范围内操作

                          3、未主动修改终端至服务端系统之任一环节

                          符合这些要求的操作,应当可以称为合法操作。不然网银和ATM也就没有应用的基础了。

                          其实,ATM和网银有一个大大的不同。在ATM上进行的是现金交易,而网银并不是。所以ATM之1:1000的具体问题出在那一头,现在还很不好说。从我对事情的了解来看。许取钱后查询到他账户内确实扣除了1元/次。那么更多的责任应该出在那台ATM机上。服务端到未必有什么问题。

                          从这个意义上说,仅仅以服务端的判断为判断就不合适了。

                          ATM系统也好,网银系统也好。都是一个系统工程,环环相扣。对咱们具体做技术的人来说,客户端和服务端没有轻重之分高矮之别。那头出了问题都不是小问题。所以只考虑客户端接收到的数据是否WellFormated是不可取的。象许案中,就算ATM的服务端工作一切正常又有什么意义呢?钱还不是错误的吐出去了。

                          • 家园 你的定义其实可行性不大

                            使用服务商提供或者认可的终端

                            这个在实际取证中是非常困难的,根源就是数字信号的完全可复制性和模拟性。所以,虽然理论上都会有这个要求,但是实际上几乎没有这么操作的。

                            例如说QQ虽然也有那种要求,但是实际上无论从珊蝴虫之类的修改版到eva或者pidgin之类的完全重写版本,伪造客户端这种行为,根本就无从防范,腾讯只能做的,也就是频繁的升级自己的协议版本,来打时间差了。

                            当然,ATM机那类的和硬件捆绑的客户端容易防范。不过从软硬件等价的原理来看,要完全模拟一个ATM机,从理论上不是不可能的。

                            在服务商允许的操作范围内操作

                            这点不用多说,几乎所有的攻击操作,都是在“服务商允许的操作范围内操作”的,即使不是,也是从这里开始的。

                            道理很简单:如果不是“服务商允许的操作范围内操作”,那么一开始,系统就会拒绝你的请求和操作,那你又如何进行下一步的攻击呢?

                            未主动修改终端至服务端系统之任一环节

                            这点在理论上也不是有太多的可操作性。

                            特别是部署在公网中的服务系统来说,这些链路的安全性,从技术上几乎不可能得到完全的保证,包括ssl之类的也是这样。

                            所以,从系统安全的角度来说,没有任何一种技术和措施可以保证绝对的安全,唯有加强管理和内部执行条例来大到目的。

                            再举一个例子:

                            我们现在的银行卡密码,基本上都是只接受6位10进制数(至少中国的是这样),学过基本的软件安全的都知道,只有10^6次的枚举对于现在的硬件运算速度来说,顶多就是几分钟的事情。所以,要保证客户的密码不外泄,从技术的角度来看是几乎不可能的,只有通过管理等办法来保证这个。

                            所以,安全防范的措施多少及严密与否,取决于其重要性、被攻击的风险及后果,还有对于潜在攻击者所拥有和愿意为此付出的资源。

                            • 家园 这个应该还是有办法的吧。

                              我们现在的银行卡密码,基本上都是只接受6位10进制数(至少中国的是这样),学过基本的软件安全的都知道,只有10^6次的枚举对于现在的硬件运算速度来说,顶多就是几分钟的事情。所以,要保证客户的密码不外泄,从技术的角度来看是几乎不可能的,只有通过管理等办法来保证这个。

                                比如说现在不少网站用的校验码,要你输入一个图片上的数字或字母,而且这个图片特意做的歪歪斜斜,让你没法用图象识别软件。

                                还有限制在多少时间内只能连续输入少数几次密码。

                                这些都应该能有效地防止用穷举法破解密码。

分页树展主题 · 全看首页 上页
/ 5
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河