主题：黑客与许霆 -- yhz

也许从你这里，你觉得“合法输入”的定义就是从输入框中输入某些数据，然后按某些按钮。

但是，从服务器端来看，他认为的“合法输入”，就是包含了某些数据的指令序列。

而通常意义上的“客户端”，就是负责从你认为的“合法输入”转换到服务器认为的“合法输入”的这么个步骤。

所以，从银行或者服务器系统的角度来说，他只要指令正确，序列正确，他就认为合法，就会执行对应的操作。

那么，你说的：

究竟是那个的“合法输入”呢？这点没有明确的规定。

从目前的技术取证水平还有实践来看，往往是以服务器端的判断为准的。

你获得营业员权限,你就不是顾客了.穿个马甲也一样.

再说,网络银行的BUG自然也是银行方面非常关注的.你若真是有水平的黑客(HACKER),将找到的成功攻击路线提供给银行方面,估计都会得到合理合法的相应报酬.

请勿摆个软件专家的POSE吹牛.若真有那能力,请搞一次示范的攻击,让报纸给您报道一下.当然最好是攻入不破坏,不犯罪,给银行方面一个修补BUG的机会.某期待您在半年之内的成功案例报道.

既然你不是做这行的，你自然不会明白里面的很多实际的操作规程和设计定义。

我只是告诉你，在系统设计的角度看上去，许某人的行为和黑客是完全一样的：发现系统在某些特定情况下的一个漏洞，然后通过特定的手段重复和再现它，使之可以利用它达到执行和影响当初系统设计目标之外的操作。

至于那算不算盗窃，还是算不当获利，那我真的没弄懂。

至于我的水平如何，那就不是你能看得出来的了。我参加的大型电信系统的设计和开发，也不是一个两个了。我的水平如何，我的同事和合作方都有共睹了。

不过我再笨，也不会笨到拿自己的前途开玩笑。你呀，还是少来这套吧。

1、使用服务商提供或者认可的终端

2、在服务商允许的操作范围内操作

3、未主动修改终端至服务端系统之任一环节

符合这些要求的操作，应当可以称为合法操作。不然网银和ATM也就没有应用的基础了。

其实，ATM和网银有一个大大的不同。在ATM上进行的是现金交易，而网银并不是。所以ATM之1：1000的具体问题出在那一头，现在还很不好说。从我对事情的了解来看。许取钱后查询到他账户内确实扣除了1元/次。那么更多的责任应该出在那台ATM机上。服务端到未必有什么问题。

从这个意义上说，仅仅以服务端的判断为判断就不合适了。

ATM系统也好，网银系统也好。都是一个系统工程，环环相扣。对咱们具体做技术的人来说，客户端和服务端没有轻重之分高矮之别。那头出了问题都不是小问题。所以只考虑客户端接收到的数据是否WellFormated是不可取的。象许案中，就算ATM的服务端工作一切正常又有什么意义呢？钱还不是错误的吐出去了。

这个在实际取证中是非常困难的，根源就是数字信号的完全可复制性和模拟性。所以，虽然理论上都会有这个要求，但是实际上几乎没有这么操作的。

例如说QQ虽然也有那种要求，但是实际上无论从珊蝴虫之类的修改版到eva或者pidgin之类的完全重写版本，伪造客户端这种行为，根本就无从防范，腾讯只能做的，也就是频繁的升级自己的协议版本，来打时间差了。

当然，ATM机那类的和硬件捆绑的客户端容易防范。不过从软硬件等价的原理来看，要完全模拟一个ATM机，从理论上不是不可能的。

这点不用多说，几乎所有的攻击操作，都是在“服务商允许的操作范围内操作”的，即使不是，也是从这里开始的。

道理很简单：如果不是“服务商允许的操作范围内操作”，那么一开始，系统就会拒绝你的请求和操作，那你又如何进行下一步的攻击呢？

这点在理论上也不是有太多的可操作性。

特别是部署在公网中的服务系统来说，这些链路的安全性，从技术上几乎不可能得到完全的保证，包括ssl之类的也是这样。

所以，从系统安全的角度来说，没有任何一种技术和措施可以保证绝对的安全，唯有加强管理和内部执行条例来大到目的。

再举一个例子：

我们现在的银行卡密码，基本上都是只接受6位10进制数（至少中国的是这样），学过基本的软件安全的都知道，只有10^6次的枚举对于现在的硬件运算速度来说，顶多就是几分钟的事情。所以，要保证客户的密码不外泄，从技术的角度来看是几乎不可能的，只有通过管理等办法来保证这个。

所以，安全防范的措施多少及严密与否，取决于其重要性、被攻击的风险及后果，还有对于潜在攻击者所拥有和愿意为此付出的资源。

您说的黑客相当于自己用自己的资源冒充商店经理/售货员/仓库管理员，然后就开始从商店里靠这个身份拿东西了。这问题涉嫌伪造身份，盗窃。。。多了

而许某相当于碰上一个二百五的售货员，每次给他十块钱买东西，找给许某10000块，我觉得这个售货员的问题更大，而且雇用这个售货员的人事部门也应该有比许某大的责任。这还是现金交易找回来的可能性为零的情况下，如果售货员、经理不担更大的责任，他要是都便宜自己认识的人了，你能查的回来么？许某都被找回来了，钱也能退回有这么严重么？我记得反正金融系统里，很多人挪用公款，最后只要能把本金还上是啥事也没有的。

您可别笑话我不是干这行的瞎说阿，我虽然也在软件制造业混，基本不懂什么黑客技术。我知道有些人靠当黑客吃饭呢，我确实比不了。

你的死穴就在这里:

那"特定的手段"一定不是原有的规程设定的.连起码的规则都没有搞清楚,参加什么大型系统,也不过是个力巴.

如果对许某案件有适当的了解,转入网络银行的环境,也仍然是将发现的BUG在不突破顾客权限的前提下进行正常操作,反复再现.动辄就"特定手段",显然若是许某的话就等效于动用电焊机,风镐.这技术含量也忒低了.........

给个技术含量高的例子:国外投币式电话在国人大量涌去"留学"的时候,有高人发明了在硬币上打小孔穿线进行投币并抽出的技术.人家不过就是将硬币落下的通道多拐几个弯就将这BUG补上了.

法律上规定，限制行为能力、精神病发作期间的人的行为是没有效力的。

也就是说如果你诱使一个精神病患者主动自愿的给出17万，你的法律责任照样跑不掉。如果你和一个精神病患者XX了，那估计你很大可能会被以强奸罪起诉。

那放到这个案子上，ATM就是一个间歇性精神病患者，或者是一个有潜在间歇性精神病的人。（你是做软件的也应该知道，除了写hello world，谁敢保证自己的软件或者系统没有一点bug？）

许某人刚好在它精神病发作期间碰上了，然后许某人精明的发现了它的行为不对，然后积极的利用了这一机会，获得了非法的利益。

所以从法律上来说，盗窃这个罪名还是比较适合的。

至于说道管理责任，那是肯定跑不掉的。个人估计那件事情内部，银行和ATM系统的供应商少不了扯皮，踢皮球。

但是，这和其他当事人的责任没有关联。也就是说，不能因为人家的系统不好，你就可以随便的攻击他的系统，然后毫无责任的潇洒离开。

如果是在讨论许是否盗窃罪的问题,那么银行系统有没有问题和许的罪没有关系,法律上的受害人过错不是指这个,您可以摆渡一下"受害人过错"这个关键词,讨论黑克各位自便,但许的盗窃罪和这个没有关系.

补:许案即使有所谓"受害人过错"也不影响定罪,最多是个量刑问题,这和拉是卡说的就不矛盾了.

写过软件，调试过bug的都知道，所有的bug都可以通过正常的各种操作出现。

所谓的“特定手段”，或者说“调试手段”只不过能让这个bug以更高的几率出现，方便检查和调试而已。

谁说重现这种一定“不是原有的规程设定的”？

开玩笑，如果“不是原有的规程设定的”操作就不能出现的话，还叫做bug吗？

至于你对我的猜测，算了吧，面对如此心胸狭小之人，懒得反驳了。

然后分析一下这些不同之处给最后的定性带来什么样的影响。

这么光一个标题在反问，想表达些什么？

双方认识相差太多，无话可说

而且，我估计钱都回来了，管理方的责任也没人在意了。哪个atm供应商不和银行有巨铁的关系？17万块就算追不回来，又能怎么着，最后肯定一团和气了。这是最让人不平的，毕竟回头给我们带来危害的不是许某，他的钱可以追回来，也不是直接从我们这出。危害我们的就是那些低质量的服务和低安全性的系统。