主题：黑客与许霆 -- yhz

您老兄偷懒打中文，我就惨了。还有打出更难看呢：）

和一个不懂法律偏喜欢胡扯法律；不懂会计偏喜欢胡扯会计；不懂系统偏喜欢胡扯系统的人费尽呢？

有道理就说嘛，没啥可说的何必满口“胡扯胡扯”的。谁是通才，谁是专家？您会计几级？律师证拿下来了么？作过什么计算机系统？作家协会进了几年？不照样在这写东西么，干嘛这么苛刻。不懂做饭的就不能通过自己的感觉评论好吃不好吃了？有道理说出来好了，有错误指出来好了，有蛮不讲理的自己会暴露的，懒得讲也不必多说。您这么说自己倒像不爱讲道理似的。

请针对这两条，这个是某认为许某案不是盗窃的主要论据。

这楼主就企图用软件的技术形式来掩盖“入侵”，企图证明没有入侵也能实现盗窃。结果不成功。

那个ATM案，如果发生的是盗窃，则无论用什么结算方法都不能实现账目平衡。这个恐怕比什么受害人过错更要紧一点。

PS：再对楼主说一句，那网络银行的例子，只要能实现账目平衡，那BUG就不是导致盗窃的发生。记得早期有个银行结算将四舍五入的尾巴转帐的盗窃案，就是合法的结算一定不能平账。

您要是有兴趣，可以去翻翻以前别的帖子。

另外：

会计几级不敢，毕业后没吃这行饭，但我是审计科班出身；

律师证没拿过，但基本的法律训练还是受过熏陶的，工作中遇到的正牌律师也未必敢在我面前信口开河，究竟是先搞个律师证还是博士学位，不过是我未来两三年的选项罢了；

计算机系统么，不好意思，从小计算机就不好，所以这方面的问题我绝对不搀合，因为不懂的东西我绝对不胡扯。

　　比如说现在不少网站用的校验码，要你输入一个图片上的数字或字母，而且这个图片特意做的歪歪斜斜，让你没法用图象识别软件。

　　还有限制在多少时间内只能连续输入少数几次密码。

　　这些都应该能有效地防止用穷举法破解密码。

〉〉许霆是“正当操作”，那我利用银行提供的网上银行API和协议也是进行“正当操作

网上银行API的使用，是有授权的。

银行终端程序的开发商才有。

你没有。

你这是违法。

银行的网银条款里约定了，必须使用官方版的终端程序，你使用自己弄来的非法程序访问网银，这也是违法。

许霆使用的是官方的终端，利用官方界面，进行的当然是合法操作。

这跟你所描述的行为，完全不一样。

先构造特定明文，然后监听，分析协议字段，找到密码变换算法和密文，然后用字典匹配就完了。

即便如您所说,研究API,发现BUG,设定特殊的数据(特别的输入值)让BUG造成实际错误.那接着您若没有利用溢出等获得高权限,而是直接让那BUG给您的账号实际的现金额(为方便,假设是"取-100"的输入换来账面100的凭空增加),然后您重复这个过程,如许某一样.....那么,最后您撤退的时候,不设法消弭您操作过程中留下的数据和操作痕迹吗?

若如此,您就是高人了.网络银行发现错账找到了您,您设法请律师给解释您正常地"取-100"操作的意义吧.

当然,您若利用根权限等等设法消除掉服务器上的操作痕迹,那就请给解释怎么是"没有入侵".

许某案中,许某仅仅是正常操作中发现BUG,用完全正常的操作再现BUG,循环170次,退出.您若跟许某一样幸运,在网络银行中发现BUG(或者解析出BUG),用巧妙且属于合理范围的数据让服务器给您帐户添了许多额度......总之将ATM的节目搬到网络银行再演一遍.那么,最后也应该按照恶意透支来作为结论.

顺便说,某常用的一家网络银行,已经急忙地将日提款额和单次提款限额都大大压低了.大概是担心盗窃案破获率低或者定案困难,提前采取规避风险的行动了吧?

先把你自己的这两条论据给个出处，证明一下好吧？

例如说早期最著名的黑客，就是利用录音机录下了电话拨号的音频，然后特定重组后在话筒上回放，就实现免费打电话的目的。

你分析一下，他“入侵”哪里了？

首先，我是否抹掉我自己的操作记录，那是另一回事，和是否有攻击行为无关。

其次，要解释“取-100”很困难吗？按错按钮了，键盘串线了等等等等。还别说，我公司的键盘就出现过按“｜”键，实际打印出来的是“＆”字符的情况。那我完全可以解释那个负号是我在不知情的情况下被输入的。就像现在许某人解释说他要替银行保管那些钱一样，想诡辩，想找借口，没多难。

再次，银行当然要考虑到面对网络银行的风险和概率，但是无论怎么样，都不可能完全阻止这些非法行为，也不可能从刑事上为他们找免罪借口。

最后，我不明白，一张不可以透支的借记卡，怎么会当作“恶意透支”来下结论？按照你的逻辑来说，如果他没有非法侵入，又怎么能拿着张不可透支的借记卡恶意透支？

在法律上，无法取证的事实不能作为证据。

即使我真的分析了API，也真的伪造了客户端。

那你在法庭上，能举出什么证据证明我分析了API而不是误打误撞的？能举出什么证据证明我伪造了客户端而不是直接使用银行自己提供的客户端？银行敢保证自己提供的客户端能不出一点bug？要是真的能保证，那么许某人也就根本不会碰上这档子事了。

那么，如果没有办法为我的这些行为举证，那么在法庭上，就无法认定我实施了这样的行为。

那么，不管实际情况如何，至少在法律上，我就和许某人一样，我是合法操作的。

另外有一个案件,是借记卡误授权透支的,尚未审结判决......许某这个案件有特殊的地方,就是错误平账发现"失窃",而正确平账之后才能确定"盗窃"的金额.这个总额是实际许某获得的171*999元加上171元,都该记录到许某的名下,等价于171次透支.这样帐目的凭据就存在了.那个借记卡获得透支的权限就只能作为事实认可,是ATM未发现超限额造成的.

许某案件不能作为盗窃,还有个窃取过程的不确定性.170次超限额取款,1000元记录为1元,若以这种错误计算方法判案,认定每次"盗窃"都窃得999元,那么哪张是合法的1元,哪些张是非法的999元呢?若说合法与非法的款项混合在一起,那么就又与"秘密窃取"的秘密行为特征出现冲突了.

这样的方法就让本地记录按键动作的计费程序不动作.这时如果不是投币式电话就没有效果.因为电话账单会被登记在这个号码的帐户上.

此时若用模拟DTMF声音的方法,就是本地不按键或少按键时话机可以由远方动作转入通话状态.这个BUG对于早期的纵横制电话较难解决,5号特别是7号信令出现后可由话机与交换机端的通信来消除之.早期比较稳妥的解决方案是一定要在全部号码输入完毕后由话机替顾客拨号.

用系统提供的设备之外的"工具"来操作,这个就是确定无疑的入侵了.

在法律上，你如何举证我使用了“系统提供的设备之外的工具来操作”？

我的口技水平高，我用嘴巴模拟出这些信号行不？你总不能说我用嘴巴对着话筒嚷嚷也是违法的吧？

另外：且不论

这句是否合理，既然你不能举证证明我“系统提供的设备之外的工具来操作”，那么在法律上，在法庭上，你就无法认定我使用了“系统提供的设备之外的工具”。