西西河

主题:黑客与许霆 -- yhz

共:💬73 🌺5
全看树展主题 · 分页首页 上页
/ 5
下页 末页
家园 关键是“合法输入”的定义是什么?

也许从你这里,你觉得“合法输入”的定义就是从输入框中输入某些数据,然后按某些按钮。

但是,从服务器端来看,他认为的“合法输入”,就是包含了某些数据的指令序列。

而通常意义上的“客户端”,就是负责从你认为的“合法输入”转换到服务器认为的“合法输入”的这么个步骤。

所以,从银行或者服务器系统的角度来说,他只要指令正确,序列正确,他就认为合法,就会执行对应的操作。

那么,你说的:

对合法输入下产生的非法结果,用户是不需要负责的。

究竟是那个的“合法输入”呢?这点没有明确的规定。

从目前的技术取证水平还有实践来看,往往是以服务器端的判断为准的。

家园 不做这行也能看穿你的把戏

你获得营业员权限,你就不是顾客了.穿个马甲也一样.

再说,网络银行的BUG自然也是银行方面非常关注的.你若真是有水平的黑客(HACKER),将找到的成功攻击路线提供给银行方面,估计都会得到合理合法的相应报酬.

请勿摆个软件专家的POSE吹牛.若真有那能力,请搞一次示范的攻击,让报纸给您报道一下.当然最好是攻入不破坏,不犯罪,给银行方面一个修补BUG的机会.某期待您在半年之内的成功案例报道.

家园 不要试图转移话题

既然你不是做这行的,你自然不会明白里面的很多实际的操作规程和设计定义。

我只是告诉你,在系统设计的角度看上去,许某人的行为和黑客是完全一样的:发现系统在某些特定情况下的一个漏洞,然后通过特定的手段重复和再现它,使之可以利用它达到执行和影响当初系统设计目标之外的操作

至于那算不算盗窃,还是算不当获利,那我真的没弄懂。

至于我的水平如何,那就不是你能看得出来的了。我参加的大型电信系统的设计和开发,也不是一个两个了。我的水平如何,我的同事和合作方都有共睹了。

不过我再笨,也不会笨到拿自己的前途开玩笑。你呀,还是少来这套吧。

家园 我想应该是这样

1、使用服务商提供或者认可的终端

2、在服务商允许的操作范围内操作

3、未主动修改终端至服务端系统之任一环节

符合这些要求的操作,应当可以称为合法操作。不然网银和ATM也就没有应用的基础了。

其实,ATM和网银有一个大大的不同。在ATM上进行的是现金交易,而网银并不是。所以ATM之1:1000的具体问题出在那一头,现在还很不好说。从我对事情的了解来看。许取钱后查询到他账户内确实扣除了1元/次。那么更多的责任应该出在那台ATM机上。服务端到未必有什么问题。

从这个意义上说,仅仅以服务端的判断为判断就不合适了。

ATM系统也好,网银系统也好。都是一个系统工程,环环相扣。对咱们具体做技术的人来说,客户端和服务端没有轻重之分高矮之别。那头出了问题都不是小问题。所以只考虑客户端接收到的数据是否WellFormated是不可取的。象许案中,就算ATM的服务端工作一切正常又有什么意义呢?钱还不是错误的吐出去了。

家园 你的定义其实可行性不大

使用服务商提供或者认可的终端

这个在实际取证中是非常困难的,根源就是数字信号的完全可复制性和模拟性。所以,虽然理论上都会有这个要求,但是实际上几乎没有这么操作的。

例如说QQ虽然也有那种要求,但是实际上无论从珊蝴虫之类的修改版到eva或者pidgin之类的完全重写版本,伪造客户端这种行为,根本就无从防范,腾讯只能做的,也就是频繁的升级自己的协议版本,来打时间差了。

当然,ATM机那类的和硬件捆绑的客户端容易防范。不过从软硬件等价的原理来看,要完全模拟一个ATM机,从理论上不是不可能的。

在服务商允许的操作范围内操作

这点不用多说,几乎所有的攻击操作,都是在“服务商允许的操作范围内操作”的,即使不是,也是从这里开始的。

道理很简单:如果不是“服务商允许的操作范围内操作”,那么一开始,系统就会拒绝你的请求和操作,那你又如何进行下一步的攻击呢?

未主动修改终端至服务端系统之任一环节

这点在理论上也不是有太多的可操作性。

特别是部署在公网中的服务系统来说,这些链路的安全性,从技术上几乎不可能得到完全的保证,包括ssl之类的也是这样。

所以,从系统安全的角度来说,没有任何一种技术和措施可以保证绝对的安全,唯有加强管理和内部执行条例来大到目的。

再举一个例子:

我们现在的银行卡密码,基本上都是只接受6位10进制数(至少中国的是这样),学过基本的软件安全的都知道,只有10^6次的枚举对于现在的硬件运算速度来说,顶多就是几分钟的事情。所以,要保证客户的密码不外泄,从技术的角度来看是几乎不可能的,只有通过管理等办法来保证这个。

所以,安全防范的措施多少及严密与否,取决于其重要性、被攻击的风险及后果,还有对于潜在攻击者所拥有和愿意为此付出的资源。

家园 拿专业技术打比方可能不容易理解,我试着这么理解

您说的黑客相当于自己用自己的资源冒充商店经理/售货员/仓库管理员,然后就开始从商店里靠这个身份拿东西了。这问题涉嫌伪造身份,盗窃。。。多了

而许某相当于碰上一个二百五的售货员,每次给他十块钱买东西,找给许某10000块,我觉得这个售货员的问题更大,而且雇用这个售货员的人事部门也应该有比许某大的责任。这还是现金交易找回来的可能性为零的情况下,如果售货员、经理不担更大的责任,他要是都便宜自己认识的人了,你能查的回来么?许某都被找回来了,钱也能退回有这么严重么?我记得反正金融系统里,很多人挪用公款,最后只要能把本金还上是啥事也没有的。

您可别笑话我不是干这行的瞎说阿,我虽然也在软件制造业混,基本不懂什么黑客技术。我知道有些人靠当黑客吃饭呢,我确实比不了。

家园 你的死穴

你的死穴就在这里:

发现系统在某些特定情况下的一个漏洞,然后通过特定的手段重复和再现它,使之可以利用它达到执行和影响当初系统设计目标之外的操作。

那"特定的手段"一定不是原有的规程设定的.连起码的规则都没有搞清楚,参加什么大型系统,也不过是个力巴.

如果对许某案件有适当的了解,转入网络银行的环境,也仍然是将发现的BUG在不突破顾客权限的前提下进行正常操作,反复再现.动辄就"特定手段",显然若是许某的话就等效于动用电焊机,风镐.这技术含量也忒低了.........

给个技术含量高的例子:国外投币式电话在国人大量涌去"留学"的时候,有高人发明了在硬币上打小孔穿线进行投币并抽出的技术.人家不过就是将硬币落下的通道多拐几个弯就将这BUG补上了.

家园 要把ATM比作售货员的话,结论还是差不多

法律上规定,限制行为能力、精神病发作期间的人的行为是没有效力的。

也就是说如果你诱使一个精神病患者主动自愿的给出17万,你的法律责任照样跑不掉。如果你和一个精神病患者XX了,那估计你很大可能会被以强奸罪起诉。

那放到这个案子上,ATM就是一个间歇性精神病患者,或者是一个有潜在间歇性精神病的人。(你是做软件的也应该知道,除了写hello world,谁敢保证自己的软件或者系统没有一点bug?)

许某人刚好在它精神病发作期间碰上了,然后许某人精明的发现了它的行为不对,然后积极的利用了这一机会,获得了非法的利益。

所以从法律上来说,盗窃这个罪名还是比较适合的。

至于说道管理责任,那是肯定跑不掉的。个人估计那件事情内部,银行和ATM系统的供应商少不了扯皮,踢皮球。

但是,这和其他当事人的责任没有关联。也就是说,不能因为人家的系统不好,你就可以随便的攻击他的系统,然后毫无责任的潇洒离开。

家园 你真的认为你举的两个例子是一回事?
家园 您的死穴

如果是在讨论许是否盗窃罪的问题,那么银行系统有没有问题和许的罪没有关系,法律上的受害人过错不是指这个,您可以摆渡一下"受害人过错"这个关键词,讨论黑克各位自便,但许的盗窃罪和这个没有关系.

补:许案即使有所谓"受害人过错"也不影响定罪,最多是个量刑问题,这和拉是卡说的就不矛盾了.

家园 谁说“特定手段”就是电焊机,风镐的?

写过软件,调试过bug的都知道,所有的bug都可以通过正常的各种操作出现。

所谓的“特定手段”,或者说“调试手段”只不过能让这个bug以更高的几率出现,方便检查和调试而已。

谁说重现这种一定“不是原有的规程设定的”?

开玩笑,如果“不是原有的规程设定的”操作就不能出现的话,还叫做bug吗?

至于你对我的猜测,算了吧,面对如此心胸狭小之人,懒得反驳了。

家园 你可以指出他们的不同之处

然后分析一下这些不同之处给最后的定性带来什么样的影响。

这么光一个标题在反问,想表达些什么?

家园 如果你真的认为两个例子是一样的,那就不用讨论了。。

双方认识相差太多,无话可说

家园 那您慢走,不送
家园 您说的有道理,我就是觉得跟黑客不大一样。

而且,我估计钱都回来了,管理方的责任也没人在意了。哪个atm供应商不和银行有巨铁的关系?17万块就算追不回来,又能怎么着,最后肯定一团和气了。这是最让人不平的,毕竟回头给我们带来危害的不是许某,他的钱可以追回来,也不是直接从我们这出。危害我们的就是那些低质量的服务和低安全性的系统。

全看树展主题 · 分页首页 上页
/ 5
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河