Názory k článku
(Ne)legální port scanning

No, podle me se da prirovnat k obchazeni parkoviste a zkouseni aut na odemceny/zamceny zamky (at uz s umyslem to auto ukrast nebo ne, to je jedno). Ovsem ani u toho netusim zda je to legalni nebo ne - asy by se musel prokazovat umysl (v pripade ze by nedoslo k zadne skode).

Pri obchozeni parkoviste se da ocekavat, ze na tebe nekdo zavola policajty. Zajimalo by me, co by delali, kdybych to delal casto. V tomhle pripade by asi pomohlo zavreni na 48 hodin s oduvodnenim, ze jsem hledany zlodej aut. Vetsinu "zkousecu" by to pak preslo. Ale hackerum ve scanovani nezabranis.

A co kdyby obchazel ty auta nejaky policajt -> ne proto, ze by je chtel ukrast, ale proto, ze by byl aktivni.
Ja jsem jednoznacne pro dokazovani umyslu, at uz primo, nebo pres nejake indicie (minulost, zamestnani .. apod.)

Peter

Souhlasím s tím, že jde v zásadě o něco velmi podobného. Obchazeni parkoviste a zkouseni aut zda jsou odemčená není nezákonné. Svědectví (např. ve formě nahraného záznamu) Mohlo by to však být použito jako podpůrný důkaz v soudním řízení. Pro odsouzení někoho takového by ale nepochybně bylo třeba prokázání úmyslu to auto ukrást, případně neoprávněně užívat.

Se skenováním je to v tomto směru velmi podobné.

JM

Ale u bytů už to údajně neplatí. Vzpomínám si, že jsem četl kdysi o případu člověka, který zkoušel otvírat zámky u bytů. Nešlo o pokus o krádež, myslím, že ani nelezl dovnitř, prostě ho jen bavilo to zkoušet. Přesto byl odsouzen, ten trestný čin se jmenoval nějak jako "poškozování domovní svobody".

Určitě platí, jenom si dovedu představit, že když se bude někdo vlamovat do bytu půl dne a rozštípe při tom dveře, tak by už šlo patrně o pokus nějakého trestného činu (např. porušování domovní svobody, kráděž, apod.). Podle ceny dveří pak nepochybně ale půjde o trestný čin poškozování cizí věci.
JM

Z trestního zákona:

Porušování domovní svobody (§ 238) Kdo neoprávněně vnikne do domu nebo do bytu jiného nebo tam neoprávněně setrvá, bude potrestán odnětím svobody až na dvě léta nebo peněžitým trestem.

Poškozování cizí věci (§ 257) Kdo zničí, poškodí nebo učiní neupotřebitelnou cizí věc a způsobí tak na cizím majetku škodu nikoli nepatrnou, bude potrestán odnětím svobody až na jeden rok nebo zákazem činnosti nebo peněžitým trestem nebo propadnutím věci.

Velmi oblibena analogie, ale nemas pravdu. To co popisujes je zkouseni exploitu. Port scanning je kdyz stojis na parkovisti a prohlizis si, ktere auto ma jaky typ zamku.

Nemas pravdu, tim ze nekdo scanuje muj pocitac, tak vyuziva jeho prostredky (linku, vytizenost pocitace), takze analogie sedi, protoze je to podobne fyzickemu kontaktu.
Predstav si, zeby si mel proste neuveritelnou smulu a najednou tvuj pocitac "osahavali" vsechny portscannery, co na inetu existuji. To by uz nebylo ani zkouseni zamku, to by bylo lomcovani celym autem.

Jenze u pocitace se predpoklada (narozdil od auta) ze by nekdo mohl dovnitr vstupovat legalne. Takze je to spis jako koukat, jestli maji v obchode otevreno nebo ne. Muze to byt protoze tam chci nakoupit nebo protoze to chci vykrast, ale to tezko zjistis...

No, on se da snadno najit ekvivalent i v realnem svete. Pokud se do maleho obchodu, kde je misto tak pro deset lidi, bude z nejakeho duvodu snazit dostat par tisic zakazniku najednou (treba jen proto, aby se _podivali_ na zbozi), taky to asi (snad!!!) neni trestny cin, ze? A to presto, ze tim prakticky zpusobi DoS ;-))

Analogie nesedi, protoze pokud je nejaky zamek odemceny, tak tim automaticky ziskavam pristup do auta, kdezto vysledkem portscanningu je seznam pouzitelnych portu, tedy rekneme seznam dveri toho auta. Scanovani portu je ziskavani informaci, teprve dalsim krokem je zneuziti techto informaci pro vstup dovnitr.

jo .. scanning .. to by me vcelku zajimalo proc server www.lupa.cz lezl(leze) po portech 80 (ceskeho) internetu :)

Plošné skenování portů prováděné donedávna strojem www.lupa.cz a v současné době strojem drson.lupa.cz je v přímé souvislosti s pravidelnými studiemi trhu připojení k Internetu, jež společnost Internet Info vydává.

Skenování se snažíme provádět maximálně citlivě, konkrétně porty 80 a 25 oslovujeme na každém počítači jednou až dvakrát měsíčně. Kromě toho vysíláme opět řádově jednotky požadavků ICMP Echo.

Jsem přesvědčen, že náš postup získávání statistických dat pro naše studie není v rozporu ani s dobrými mravy.

dekuji za odpoved a namet k prohlednuti konfugurace sveho firewallu neb otevreni portu 25 ani icmp jsem si nevsimnul :)

Proc by mel proboha Google delat port scaning? Nebo je to mysleno tak, ze pouze zkousi jeden port (80)?

Máte pravdu, pro účely tohoto článku považuji za port scanning i skenování byť jediného portu.

JM

vie autor co znamena port scanning ?

No mám li být upřímný, tak jsem se o tuto problematiku začal zajímat teprve nedávno. Ve svém článku jsem však vycházel především z definice uvedene zde:

http://whatis.techtarget.com/definition/0,289893,sid9_gci214054,00.html

Jinak jsem právník a posudek soudního znalce, který tomu rozumí :-) jsem si nevyžádal - možná jsem ale měl. U soudu by tomu patrně nebylo jinak.

JM

před časem jsme podobný útok odhalili včetně IP adresy a následně jména pachatele.Po trestním oznámení dle § 149 tr.zák. byl sice postup PČR neuvěřitelně rychlý , ale podle jejich vyjádření přes všechny /velmi podrobné a přesné záznamy / šance na postižení pachatele skoro nulová. Jediná výhoda je, že po takových společnostech jako je např.Grafika Publishing s.r.o. chodi Policie a zkoumá jejich PC a příště si snad jistě dají pozor komu jaká práva ke svým PC dávají a jaké lidi to vlastně zaměstnávají. Legislativa v ČR na tento trestný čin není bohužel absolutně připravena přesto že jim "pachatele" přinesete na stůl včetně jeho jména a firmy odkud útok provedl.

Utok - myslite DoS? zalezi na tom co delali. A Navic u rozumne provedeneho DoS (IP spoofing) je dost problem dotycneho vypatrat.

ne byl to prunik do systému a pak následné mazáni dat.Utočník byl amatér a nechal po sobě IP adresu svého zaměstnavatele včetně historie příkazů...

he he, co znam yo, tak bych rekl ze to nebyl moc slozity hack :) Bych o tech amaterech radeji pomlcel..

Nikdy jsem se k logum serveru nenaboural a ani jsem je nemazal. Neslo de-facto o hack, i kdyz se to tak jevi, proste jsem mazal tam, kde jsem mel pristup - www3.yo.cz/forum/admin/createtables.php - ten skript tam byl a mazal tabulky diskuznich for, aniz by byl chranen heslem, mohl ho pustit kdokoli. Pokud nekdo bere za dukaz vypis "nejakeho" logu nekde z databaze, ktery si tvori nejakym skriptem... klidne si takovych logu vytisknu tisice... A k pruniku do systemu bylo pomoci adminova hesla, ktere jsem znal...

K tomu amaterizmu jeste,netvrdim ze jsem expert, a zvlaste pak expert na hacking, ale mozna je amater i na druhe strane, ktery nezjistil, ze k mazani nedoslo z pracovniho pocitace umisteneho v prostorach firmy Grafika Publishing s.r.o. ale z meho domaciho pocitace uplne nekde jinde... IMHO: to uz jsem uvedl i do vypovedi u prislusnych organu. Je treba si projit logy apache serveru, coz se asi nestalo...

AD Grafika Publishing s.r.o.: myslim si ze muj dosavadni zamestnavatel se vyjdaril jednoznacne - k 30.6.2001 se mnou ukoncuje prqacovni pomer...

Ale to nesouvisi s timto clankem... Omlouvam se za zatizeni diskuze...

Hehehe, na co si admin Yo stezuje, kdyz ani nerozumi vlastnim logum :)))))))) Asi to je jeste vetsi lammer, nez domely hacker... Smazat neco pomoci volne pristupneho a nezabezpeceneho scriptu, da se to vubec povazovat za utok??? Spis bych zavrel admina za neschopnost!!!!! S tim si nechodte stezovat na policii, milej zlatej.

Je tak... Pokud admin resi sve bezpecnostni chyby pres policii, pak to poukazuje na jeho vlastni neschopnost.
Zatim tu bylo opomenuto zminit jeden z telekomunikacnich zakonu - uz si sice presne nepamatuji jeho zneni, ale v kostce je to o tom, ze uzivatel site je zodpovedny za sve ciny a pripadnou skodu kterou svym jednanim napachal, nicmene: je-li jednodussi provest opatreni na strane serveru (poskytovatele sluzeb), pak je poskytovatel povinen toto provest. Zase k analogii - kdyz budete mit na dverich mizerny zamek a v prizemi nebudou mrize na oknech, pak neuvidite od pojistovny ani korunu... Coz sice neni moc pekne ale jak jinak to udelat ?
A jeste neco - pan JOJO ma silne reci, ale chybi tady opravdu dukaz... Logy ? IP adresa ? Logy od ISP ? He he he... Fakt se bavim ! ;) Dokud nelogujete kompletni transfery dat tam i zpet, nemate sanci neco dokazat. A i tak je to nemozne (takovy o 10000% tezsi reverse enginering) Co treba takovy masked remote client, pracujici jako proxy, ftp, sys info aj ? Pokud vam tohle nekdo hodi na disk a pouzije proti nekomu jinemu - Z VASEHO POCITACE, HOSTNAME A IP - pak budete jenom rad, ze zakony na postihovani takovychto cinu neexistuji. Stacilo by, aby si k vasemu pocitaci sedl maly synek, dcerka, zena nebo kdokoliv jiny... Jednoduse receno lamer... Pak uz by vas nezachranilo nic...

Myslim si ze by mi mohl byt pan Pericevic jeste hodne zavazan za to, kdyz jsem na jeho serverech asi pred rokem objevil bezpecnostni diru - kazdy z uzivatelu si mohl na serveru krast data kohokoli jineho - ja se tak treba dostal k rootovskemu heslu Yo.cz a podotykam ze jsem jej NIKDY nepouzil pro jakekoli poskozeni serveru, a jak jiste vsichni chapete, tak jsem si mohl se serverem udelat co jsem chtel... ale neudelal a na chybu jsem admina upozornil.... Klidne jsem si mohl potaji kopirovat co jsem chtel aniz by to nekdo zjistil. No a pokud tam byly i osobni udaje uzivatelu, pak bych rekl ze by i toto nezajisteni mohlo prejit v pravni spor...

Taky by mohl byt vdecny ze sluzbu Forum.Yo jsem naprogramoval ja, bez jakychkoli financnich naroku (kdyz neberu pozvani na dva panaky)...

A IMHO: pane Pericevic, co ty me odcizene skripty asi pred rokem? Kdo je odcizil? Nebyl jste nahodou spravce? Obavam se ze tak doslo k pozskozeni autorskych prav a dusevniho vlastnictvi... Myslim si ze my dva si vazne nemame co vycitat..

ale zbytečný nejen já /a nejsem na to vůbec odborník / našel útočníka podle IP adresy vašeho zaměstnavatele tak snad věcně je lepší se držet faktů...? Nebo mám sem náhrát texty které jste u nás zveřejnil...? Myslím a jak je patrno
stihnul vás alespoň nějaký trest a to je myslím docela poučení pro ostatní...

Text neznam presne, ale tusim bylo neco na zpusob: "HEHE, Yo.cz HACKNUTO !!!", presnou formulaci toho textu uz si nepamatuji, napsal jsem co me napadlo a rozeslal to pomoci rozhlasu do chatu.

Co se týče faktů, jde o to dokázat, zda ten log skutečně pochází z provozu nebo byl uměle vytvořen a přiznejme si, že logy padelat neni zadny problem. Tim nechci tvrdit ze byl log padelany, jen konstatuji moznost.

Pane Kocmane , bud jste paranoik nebo nebo nevím máte
jedinný rozumný důvod proč bychom to dělali.Osobně jsem vás nikdy neviděl a nevím proč bych "padělal" jakýsi log na vaší osobu a následně tento včetně mnoha dalších předával Policii, nemyslíte, že by to bylo nemoudré. Ta část logu byla jen pro osvěžení vaší asi chatrné paměti ohledně toho že jste nikdy nic nemazal a připojoval jste s z domova.???
Což jak vidno je zase jinak. Zkuste variantu II. a to třeba omluvu...

Nikdy jsem netvrdil ze nekdo logy padelal !!! Prectete si poradne me prispevky... Jen jsem konstatoval ze padelani neni problem a tudiz bych osobne nikdy log nebral jako HLAVNI dukaz... Samozrejme by padelani bylo nemoudre - padelani dukazu je trestny cin, pokud se nemylim... Ma pamet neni zase tak spatna... vim a na KPCR jsem netvrdil nic co by vyvracelo zmineny log. Nicmene stale tvrdim ze jsem skript www3.yo.cz/forum/admin/createtables.php spustil z jineho nez pracovniho pocitace a to v uplne jinou dobu, tak jak jsem uvedl vyse. Zkuste si to dohledat v access logu serveru...

Take netvrdim, ze to co v logu je jsem neudelal, ale evidentne tam neni nic o smazani diskuznich prispevku na Forum.Yo a o to tady snad slo hlavne ne? Ty jsem smazal z domu. Takze kdyby nebylo osudneho prihlaseni z prace, tak by jste pravdepodobne vinika neznali...

Tak byl tam ten script zcela nezabezpečený nebo ne?
A hned zveřejněte ty slavné texty a nemlžte "jako disident". Ať všichni vidíme, jací lidé jsou "špatní" a jací "dobří". Hlavně jestli v těch textech nebylo něco tak hrozného, jako třeba jiný názor na stávku v České televizi, než jaký rozesílali spamem slavní správci některých komerčních serverů!

Pane Kocmane , myslíte že jsme všichni padlí na hlavu.
A že jste nikdy nepoužil nic k mazání dat jestli chcete pošlu vám klidně výpis včetně historie a textů a logů apache
které identifikují vašeho zaměstnavatele. Nebo jak myslíte, že jsem vás našel , pokud by jste byl připojen přes DIAL-UP z domova bylo by to asi dost složité ale takto to byla otázka chvilky. Spíš bych se chytil za hlavu a možná bych v rámci slušného chování uvažoval a omluvě co myslíte...?

13.06.2001/08:47:38|LOGIN|195.144.124.140|mail.kalypso.cz
13.06.2001/08:47:56|Smazani uzivatele c. 984838045
13.06.2001/08:48:04|Smazani uzivatele c. 972289074
13.06.2001/08:48:05|Smazani uzivatele c. 972289074

13.06.2001/08:49:39|Zprava rozhlasem: HEHE Yo.cz HAKNUTO !!!
13.06.2001/08:49:48|Zprava rozhlasem: HEHE Yo.cz HAKNUTO

13.06.2001/08:47:38|LOGIN|195.144.124.140|mail.kalypso.cz
13.06.2001/08:47:56|Smazani uzivatele c. 984838045
13.06.2001/08:48:04|Smazani uzivatele c. 972289074
13.06.2001/08:48:05|Smazani uzivatele c. 972289074

13.06.2001/08:49:39|Zprava rozhlasem: HEHE Yo.cz HAKNUTO !!!
13.06.2001/08:49:48|Zprava rozhlasem: HEHE Yo.cz HAKNUTO

Vyse zmineny text nemuze pochazet z logu apache serveru to se na me nezlobte (pokud ano tak je to velice silena konfigurace a chtel bych vice nez log videt ten radek z httpd.conf kde je to nastaveny). Jinak nevim co dokazuje vyse zminena zmet znaku. Je to snad dukaz k tomu ze jsem neco smazal v diskuznich forech? Ja si myslim ze ne. Vidite tam snad smazani prispevku v diskuznich forech? Ja ne !! Jestlize jsem smazal tri uzivatele, pak se jim rad omluvim.
Jeste v tom logu na prvnim radku chybi username: Markíza heslo: Eliza

A navic jsem na policii uvadel ze ke smazani patricnych dat v diskuznich forech doslo kolem 2:00 nikoli po 8:00 !!! Takze si najdete v logu volani www3.yo.cz/forum/admin/createtables.php !!!

A jeste podotykam, ze doma nepouzivam DIAL-UPoveho pripojeni. Mam internetove pripojeni pres kabelovou televizi, kde mam pridelenou pevnou adresu IP 10.5.34.34, adresa je sice neverejna, ve skutecnosti stojim za proxy, jehoz IP presne neznam, ale pomoci X-FORWARDED si muzete zjistit vyse zminenou IP a dle teto IP jsem samozrejme urcite vedeny v zaznamech kabelove televize.

PS: Nechapu proc ste databazi nezprovoznil ze zalohy. Nebo snad zadnou nemate? Slysel jsem tady neco o amaterizmu...

Ne není to log apache a poslal jsem jen část logu protože by to bylo velmi dlouhé a zbytečné a log apache je totožný s logem vnitním /Identifikace IP adresy /které jsem vám pro ukázku zaslal včetně času a IP adresy tak to asi nevysvětlíte. Log mazáni samozřejmě pokračuje a nevididím důvod proč ho sem zasílat celý.Asi nechápete že IP adresa je totožná již s uváděnou společností včetně času !!!. Máte velmi zvlaštní způsob komunikace, a skutečně nechat po sobě IP adresu zaměstnavatele /podle které jsem vás našel ...? / je velmi obdivuhodný výkon a myslím, že vás za to každý ocení.

Ja priznal ze jsem mazal, uvedl jsem kdy a odkud. Je na vas aby ste mi to vyvratili a tim mi dokazali krivou vypoved... Ja si proste stojim za tim co jsem rekl. Pokud z toho logu vychazi volani www3.yo.cz/forum/admin/createtables.php z meho pracovniho pocitace, pak pochybuji o duveryhodnosti logovani na Vasich serverch.

Pokud by jste potřeboval v tomto směru nějakou právní radu apod., klidně se na mě obraťte. Rád se pokusím Vám pomoci - a to samozřejmě zdarma :-)

JM

Dekuji Vam za nabidku. Mozna ji v budoucnu vyuziji.

A tohle jste dávali policii?
Tak hloupí snad na yo,yo nemůžete být? Nezeptali se Vás i policiati neznalí Internetu, kolik týdnů Vám trvá, než Vás někdo přesvědčí o mezeře v systému, a zda to vůbec jde jinak než takto?
Znova se tedy ptám, jako to bylo se zabezpečením onoho skriptu?

nevim jak to bylo se zabezpecenim onoho scriptu, nemam s yo nic spolecneho, ale jak tak ctu nazory (mimo jine uplne mimo misu nez smeruje clanek). Tak jak jsem se docetl, pan J.K. programoval onu aplikaci. Takze, to co provedl, byl jakysi utok z vlastnich rad, a kdo tyto utoky ma predpokladat (nam se to ve firme stalo take). Vsechno je to veci duvery, a ta zde jak vidno silne selhala.
Faktem je take to ze to nebylo fer od pana J.K. ale take hloupost od yo.cz je tam ten script nechali (zase je zde otazka, kdo to mohl predpokladat).

No, popravde receno se musim trochu zastat admina, resp. yo.cz, ono je velice tezke predpokladat utok z vlastnich rad (i kdyz byvalych), je to vec duvery.
Jelikoz jsi tu apliakci programoval, vis jake ma slabiny a jak ji poskodit.
Ad. placeni za aplikaci, jednoducha rovnice, jak pises, nic jsi za naprogramovani te aplikace nechtel, tudiz jsi zrejme nic nedostal.

Přece už z posloupnosti příspěvků je zřejmé, že všechny he,he asi nepsal J.K.
Pokud máte někde také takto "inteligentní" správce serveru, hned si alespoň všechna pro Vás důležitá data překopírujte na disketu!

Nerekl jsem ze jsem nic nechtel! Rekl jsem ze jsem nic nedostal. To je rozdil.

No ja nevim, ale tomuhle bych hack nerikal. Kdybychom meli davat trestni oznameni na kazdeho kdo hada hesla, zkousi, jestli se na svoje mailove konto nepripoji SSH ( :-))) ), scanuje porty atp., potrebovali bychom rozsahle pravni oddeleni :-) Resime pouze kriklavejsi pripady a docela se osvedcilo ukazat dotycnemu ze neni tak anonymni jak si mysli :-)

Kdybyste meli zabezpeceni stejne kvality jako yo.cz, byli byste 2/3 casu offline.
Btw, "kazdeho kdo hada hesla, zkousi, jestli se na svoje mailove konto nepripoji SSH ( :-)))". Nevim, co je na tom divneho - nastaveni, ze si clovek muze pres ssh zmenit heslo je afaik vcelku mozne. Nekdo to muze zkusit- pripoji se, zjisti, ze to nejde, odpoji se - to je imho stejne nevine, jako scanovani portu 80.

Zajimave nestaveni :-) Nevim, ze by ho nejaky portal mel :-)

POkud je to tak jak říkáte, tak si nemyslím, že můžeme hovořit o spáchání jakéhokoliv trestného činu.
Vstup do systému pomocí adminova hesla, které znáte (byť bez svolení tohoto admina) není sám o sobě nelegální. Pokud nějakým způsobem pouze odhalím heslo, jehož prostřednictvím si přečtu JIŽ PŘEČTĚNOU e-poštu, také nejde o trestný čin.
Něco jiného pak ale bude když takto získaná data nějak užiju (např. za úplatu sdělím, na objednávku zničím apod).
JM

"podobný útok"? Myslel jsem, že tématem článku bylo skenování portů -- nějak nevidím souvislost s útokem.

Pokud bych na dálku chtěl zneužít nějakou díru v apache/ftpd/čemkoli_jiném, není kvůli tomu nutné skenovat porty, že? Prostě se tam rovnou připojím, A naopak -- portscan se občas hodí i k naprosto normálním účelům, například jsem nevěděl kterou ze 62 IP adres má počítač na který jsem se potřeboval SSHčkem připojit, tak jsem si tenhle rozsah adres projel nmapem, a bylo to. Na třech z nich byl port 22 otevřený, a smozřejmě jen jeden z nich měl správný host-key :). Je na tom něco špatného?

S tím bezpochyby souhlasím. Potrvá to patrně ještě velmi dlouho, než se začnou dodržovat předpisy upravující např. právě Vámi zmíněnou nekalou soutěž. Právní úprava je u nás velmi přísně, zřídkakdy je však aplikována (státní moc ji téměř nevynucuje). Navíc v tomto případě je ještě spojena s trestným činem spáchaným protřednictvím Internetu.

Jen bych chtel upozornit ze o zadnou nekalou soutez se nejedna! Vse co bylo (jakymkoli zpusobem) ucineno z me strany vuci portalu Yo.cz po me nebylo jakkoli zadano ci vynucovano zamestnavatelem ci tretimi osobami. Byl to ciste muj osobni pocin. To ze se do toho zamichal muj zamestnavatel nebylo v umyslu.

Já samozřejmě netvrdím, že k nějaké nekalé soutěži došlo (o tom ať rozhoduje někdo jiný), jenom jsem chtěl poukázat na to, že Internet může být opravdu vhodným nástrojem k různým nekalosoutěžním deliktům.

Nekalá sotěž se stává téměř běžným prvkem našeho života - nikdo ji navíc nažaluje. Podotýkám, že § 44 Obchodního zákoníku stanoví, že "Nekalou soutěží je jednání v hospodářské soutěži, které je v rozporu s dobrými mravy soutěže a je způsobilé přivodit újmu jiným soutěžitelům nebo spotřebitelům. Nekalá soutěž se zakazuje.. Jak sami vidíte, je to opravdu velmi široké. Čas ukáže zda se změní právní úprava, či snad zda dojde k důsledné aplikaci takovýchto podobných ustanovení.

JM

Obsah mého příspěvku měl být jak zcela neuvěřitelně a to doslova reagovala Policie ČR na tento zcela nový jev trestné činnosti. Rychlost s jakou si počínala si zaslouží
jen pochvalu a nedomnívám se, že by podobný jev nedokázali
postihovat.A dle mého názoru bylo patrno že vědí co hledají a kde to najdou a především jak to hledat.
Snad to bude varování pro další "útočníky" ať je k tomu vedou jakékoliv důvody.
Závěrem pane Kocmane nemá smysl vést tuto diskuzi dále,
myslím,že větou "Ty jsem smazal z domu. Takze kdyby nebylo osudneho prihlaseni z prace, tak by jste pravdepodobne vinika neznali..." jste jasně signalizoval svůj podil a myslím ,že svůj díl postihu jste už dostal. Poškodil jste svého zaměstnavatele, protože nelze jinak než termín "zamíchal" a použít počítačů svého zaměstnavatele k páchaní škody nazvat zneužitím a to zcela jednoznačně.
Škoda jen, že jste se ještě se neomluvil nebo něco podobného....?
Všichni tady doufáme , že jednou dospějete a dostanete rozum.

Tím, že jste zcela vynechali v odpovědích přístupnost skriptu, jste o něm řekli vše.
Je to ale strašné. Nějaký moula nechá na serveru volně přístupný mazací skript, a aby zakryl svou neschopnost před nadřízenými, tak udává na policii.
No může mít pak policie čas stíhat skutečné lumpy a zloděje, když musí takováto nesmyslná podání alespoň vypapírovat?
A yo-yo se ještě diví, že nejsou všichni v pozoru, když mají na serveru školácké mezery.
Asi by chtěli, aby to po nich kontrolovala policie. Auta na parkovišti také někdy kontrolují. Ale pozor, za nezamčené auto může dostat pokutu i řidič. A něco podobného by mělo platit i v internetu. Jinak bude každý trouba otravovat s podáním, kdo mu na co na serveru klikl.

he-he ma opet zasah, ale podle meho nazoru trochu vedle, ale jen malo. Jak jsem jiz psal, jak mohli z yo.cz predpokladat utok ze vnitr. Nadruhou stranu jsou zrejme malo paranoidni.

Podle mne, by si admin a pan J.K. meli podat ruce. Pacto ze se tady hadaji jak dva kohouti (jeste ke vsemu na verejnosti a uplne mimo tema clanku). Pan J.K. podle mne udelal (podle mne) nelogicky cin, protoze poskodil aplikaci kterou sam delal. A admin je taky tydyt, protoze to mohl dejme tomu alespon predpokladat a ty scripty odstranit. Takze se mi zda ze vina je na obou stranach.

naprosto souhlasim s hehe,

to co jste predvedli je ostudne, budte tak laskavi a neocekavejte omluvu od pana Kocmana drive nez se omluvite vsem adminum za to ze jim kazite povest.

dekuji vam

No pokud vim, tak jsou to takove mimikry. Adresou admin@yo.cz se podepisuje - pan majitel? Pozoruhodny pripad "socialniho inzenyrstvi". "admin" ma v internetove komunite respekt, obecenstvo si zrejme predstavi geeka u unixove konzole, coz asi vyvolava sympatie. V porovnani s podepsanim se jmenem (to je asi celkem neutralni) nebo treba se "sales@" (to uz ma pro nekoho skoro negativni nadech ;).

Jsem obvinen z trestneho cinu a nasledky urci pravomocne organy, proto omlouvat se nema smysl, zvlaste pak cloveku, ktery pri telefonickych hovorech uziva sprostych slov a pouziva zastrasovani fyzickym nasilim. Omluva by mohla byt smyslna v pripade stazeni obvineni, myslim si ze by si tim oddechla spousta lidi.

Chtěl bych jen vědět zda jste byl obvinět tedy resp. zda vám bylo sděleno obvinění z tohoto trestného činu . Mohl bych nabídnout pomoc.

Vysetrovatelem mi bylo zdeleno "podezreni z poškození a zneužití záznamu na nosiči informací dle § 257a".

Diky za nabidku, uvidime, jak se tato kauza vyvine dale.

Skvěly úspěch , dobře ti tak budeš asi první blbec kterého za to stíhaj a co se nechal chytnout moc rozumu jsi asi nepobral vid ...

Treba jsem pobral vice rozumu nez vy pane Pavliku, treba jsem byl natolik rozumny, ze jsem se nesnazil probourat pres SSH a provest neco se serverem. Se serverem se nestalo nic, co by ohrozilo jeho funkcnost a to jak po softwarove tak hardwarove strance.

Mel bych jeden dotaz na zde pritomne pravniky, a to, zda se da povazovat za "poškození a zneužití záznamu na nosiči informací" i smazani mych uzivatelskych uctu, ktere na serveru Yo.cz hostovaly.

Nedá je to ošetřeno v podmíkách s kterými jsi souhlasil při registraci.

Souhlasil? Nikde jsem nic nepodepisoval...

Celou dobume zajimalo proc to pan J.K. udelal, proste duvod co ho k tomu vedlo. A najednou je tu, ale ted se ptam, je klasicky postup, odstrani mi ucet na freewebu, tak se nastvu a poskodim aplikaci, kterou jsem sam naprogramoval.
Uprime receno, me se tento postup nezda prilis logicky, ja bych se zrejme zeptal proc mi je smazali. A jelikoz jak pise pan J.K. se s lidmi z yo.cz zna, predpokladam ze by to nebyl zas az takovy problem ziskat ucet zpet a nebo alespon by vedel proc se tak stalo. Protoze si nemyslim, ze kdyz se nekdo z yo.cz spatne vyspi, tak aby si zlepsil naladu, tak smaze bezduvodne nejaky ucet. Takze nejaky duvod tam zrejme byl.

Ad. umisteni scriptu na serveru a jeho pristupnost. Kdyz jsem uz v tom obhajovani, uprime receno, ja osobne bych netipl adresu www3.yo.cz/forum/admin/createtables.php rovnou z fleku. A pochybuju ze i ostatni vedeli na pevno ze tam takovy script je, a nebo se mylim a jeto tak strasne jednoduche uhodnout presny nazev scriptu ?!

Neznam lidi z yo.cz krome pana Pericevice se kterym se mi nikdy nejednalo dvakrat nejlepe... Kdyby me k memu pocinani vedla pomsta, mohl jsem jak jiz jsem ve svem prispevku nekde tady psal smazat cely server Yo.cz pomoci rootovskeho hesla a v te dobe jsem byl opravdu nastvany, kdyz se skripty, ktere jsem mel na jednom z uctu objevily na uplne cizim uctu anizh bych nekomu tyto skripty predaval! Tehda jsem mel skutecne velky duvod. Smazani uctu uz byla malichernost. Navic ke smazani uctu doslo priblizne koncem brezna, nikoli v cervnu, takze jsem se mohl pomstit jiz drive, nemyslite?. Pokud si myslite ze jednat po mailu s Yo.cz je prijatelnejsi, tak bych rekl ze je to velice na povazenou. Nevim jak vice uzivatelu, ale treba me prisel od admina mail s tim ze mi na uctu zmenil heslo tak jak jsem si pral, pritom jsem ale zadne zmeny nezadal... Jsou to zvlastni postupy...

Ad createtables.php. Kdo zna mou praci, adresarovou strukturu, kterou pouzivam, tak se klidne trefit mohl hned napoprve. A takovych lidi, kteri znaji muj styl programovani, potazmo videli ci primo vyuzivaji totoznych PHP skriptu pro diskuzni fora, je docela dost. Samozrejme take vedi ze bezi na serveru Yo.cz.

BTW: Porad hovorite o internim utoku, ja nikdy nebyl zamestnance Yo.cz ci osob, ktere s Yo.cz maji co do cineni. Jen jsem naprogramoval neco co pak bezelo na Yo.cz, nikdy jsem neposkytoval zadnou zaruku funkcnosti ci bezpecnosti techto skriptu... To ze jsem prispevky smazal neberu jako velky prohresek, to muze delat kazdy uzivatel diskuznich for!
Take tady stale rikate neco na zpusob toho ze si pozkozuji vlastni aplikaci, ja aplikaci NIKDY !!! neposkodil. Pouze jsem smazal data, touto aplikaci vytvorene, navic jsem je smazal soucasti aplikace, takze je hodne sporne zda jsem se neceho trestneho (co se tyce diskuznich for) dopustil. Yo.cz zacalo dobrovolne pouzivat mou aplikaci, nikdo je k tomu nenutil, ba naopak byl jsem ze strany Yo.cz podporovan k tomu abych aplikaci dokoncil. Jako autor a majitel autorskych prav k produktu mam snad narok uzivat aplikace v plnem rozsahu, zvlaste pak, kdyz mi to z Yo.cz nikdo jakymkoli zpusobem nezakazoval, nebo mi to pravo chce nekdo upirat?

Pokud se nemylim, tak (pokud to neni smluvne osetreno) muze programator, ktery z firmy odchazi svemu zamestnavateli naridit, aby jim napsane aplikace zamestnavatel prestal pouzivat, ci smazal uplne, pokud tak neucini, dopousti se byvaly zamestnavatel trestneho cinu poskozeni autorskych prav (toto je muj subjektivni nazor, nejsem pravnik, tudiz si nejsem timto tvrzenim 100% jist, takze ho neberte jako smerodatny, budu rad, pokud se k tomuto nejaky pravnik vyjadri). No to sem sice nepatri. Take jsem, ciste hypoteticky mohl tvrdit, ze me skripty Yo.cz pouziva nelegalne.

Jiři neblázni , dej se už dohromady.

Nikdy jsem nic nepopiral, jen jsem upresnoval Vase tvrzeni o tom kdy a kde jsem co smazal. Nicmene Vasim tvrzenim uhybate od otazky: Kdyby nebylo prihlaseni z prace, zjistili by jste kdo smazal diskuzi?
Nebo: Proc byl skript s tak nebezpecnymi ucinky volne dostupny z weboveho prohlizece bez jakekoli ochrany (treba ochrany heslem). Myslim si ze ucastnici diskuze by to radi vedeli a zaroven by radi vedeli, zda ten, kdo nechal takhle nebezpecny skript volne dostupny, bude nejakym zpusobem personalne postizen. Vlastne i ten clovek je z Vasi strany zalovatelny...

Na zaver jeste jedna drobnost. Nekde v pocatku tehle diskuze tvrdite ze utocnik (ja) je amater (coz jsem nevyvracel)... V teto souvislosti si neodpustim jednu otazecku: Kdyz se dokaze do Yo.cz "nabourat" amater, co dokaze skutecny expert-hacker? Lituji vsech lidi kteri maji u vas web...

Mě stačí, když se podívám do logu firewallu, a vím, kdo mě neustále scanuje, ale nejaktivnější jdou z www.toplist.cz a ad1.mia.cz. Ostaní jsou daleko za nimi.

Premyslel jste, zda se www.toplist.cz a ad1.mia.cz snazili pristupovat na Vas port 80, nebo Vy na jejich? Mate predstavu, k cemu tyto servery slouzi (vetsina ctenaru Lupy asi ano), nebo jste jen ignorant a debil?

Děkuji Vám za jasné vysvětlené Vašeho stanoviska. Poučte mě tedy, proč mi tyto servery chodí na port 137 ?

ad1.mia.cz je DNS round robin jmeno pro dva servery reklamniho systemu NetGravity AdServer. Pro vysvetleni prikladam komunikaci se supportem NetGravity, ktera objasnuje chovani, na nez si stezujete:

NetGravityDNSLookup uses GetHostbyAddr() system function. All administrators' complaints came from IP addresses which were not recognized by DNS servers, ie. they had no DNS record.

In MSDN Library, I found: The gethostbyaddr API issues a NETBIOS Node Status Query if the address is not found in the local hosts file or a domain name server(DNS).

Some programs use the gethostbyaddr() call to resolve an IP address to a host name. The gethostbyaddr() call uses the following sequence:
1. Check local computer host name.
2. Check the HOSTS file for a matching address entry.
3. If a DNS server is configured, query it.
4. If no match is found, send a NetBIOS Adapter Status Request to the IP address being queried, and if it responds with a list of NetBIOS names registered for the adapter, parse it for the computer name.

Software se snazi kvuli cileni reklamy na domeny asynchronne prevadet IP adresy na jmena. Takze to neni portscan, ale "windows standard feature", pokud nemate v poradku reverzni zaznamy.

Moc děkuji za vysvětlení. Už tomu rozumím.

Je to standardní feature, kterou je ale vhodné zakázat.

Též si myslím, že na portu NetBIOSu se automaticky stávají návštěvníci podezřelými.

Každopádně děkuji ještě jednou za opravdu dobré vysvětlení ze strany MIA, velmi si toho vážím a oceňuji to.

Je trochu neco jineho UDP port 137, a TCP port 139. Teprve pokus o pripojeni na 139/tcp znamena, ze si nekdo chce pravdepodobne pripojit nejaky sdileny disk. Ale je fakt, ze dotazem na 137/udp se da zjistit alespon jmeno pocitace a prihlaseneho uzivatele, takze i to muze byt potencialne problem.

Nevím, nakolik mám brát článek vážně, viz třeba kouzelnou větu "Každé takové skenování (ať již je jeho původcem hacker či výše uvedený vyhledávač) nepochybně snižuje kapacitu, případně výkonnost jednotlivých systémů a v řadě případů dokonce může výrazným způsobem přispět k pádu či přetížení celého systému.".

Asi by bylo dobré nejdříve si ujasnit, co autor myslí skenováním portů. Je SYN-SCAN portu 80 skenováním? Jak moc "sníží kapacitu nebo výkonnost" serveru? Nebo za skenování považujete až situaci, kdy někdo během méně než X sekund oskenuje více než Y portů na více než Z počítačích? Pokud je portscan DoS útokem, pak jím jsou i jakékoli regulérní požadavky na web/smtp/... server.

Navíc mám pocit, že s portscanem má tento článek pramálo společného, protože stačí nahradit si spojení "skenování portů" na konci článku slovy "jakákoli činnost" a vyjde to nastejno. Nebo ne? (Osoba, která přímo či nepřímo provádí JAKOUKOLI ČINNOST za tuto činnost odpovídá pouze výjimečně, a to zejména v tom případě, že touto svou činností způsobí (byť z nedbalosti) jinému škodu a zároveň naplní všechny předpoklady obecné odpovědnosti za škodu ... ... Důsledkem JAKÉKOLI ČINNOSTI pak může být také trestní odpovědnost osoby, která ... získá přístup k nosiči informací a učiní zásah do technického nebo programového vybavení počítače.)

Souhlasím s tím, že by vůbec nebylo špatné, vymezit co se rozumí skenováním portů pro účely tohoto článku. Osobně jsem se však touto cestou nevydal - samotné vymezení hranice mezi legálním skenováním a nelegálním tak ponechávám na čtenářích LUPY. Dle mého soudu jsou to schopni odhadnout lépe něž já.

V článku se snažím poskytnout spíše takové vodítko. ... Určit jednoznačně hranici mezi běžným skenováním portů a útokem typu DoS a s tím spojenými různými odpovědnostními důsledky není snadné přesně vymezit. Dle mého názoru to však lze dovodit z následujících řádek..

Soud by si v případě řešení otázky tohoto typu nepochybně vyžádal posudek soudního znalce, který by takovouto hranici stanovil.

JM

Ale o tom to prece je. Rozumne scanovani portu je OK. Pravne postizitelny je pouze takovy scan, ktery pretizi server tak, ze nemuze plnit ucel pro ktery je urcen. (treba poskytovat stranky, nebo prijimat postu). Plati to nejen pro scanovani portu, ale tento clanek je o pravnich dusledcich scanu.

Po plamené diskuzi nutno uvést zásadní závěr a to utočník (p. Jiří Kocman ) byl obviněn dle § 257 tr.zákona. Tím lze konstatovat, že i vyšetřovatel na základě poznatků a důkazů dospěl k názoru že došlo k trestnému činu a zahájil trestní stíhání.Každý kdo není v právním bezvědomí ví jak zásadní rozdíl je mezi podezřelým a obviněným.

Ano, a vy také jistě víte něco o presumpci neviny, že. :-) No a závěrem: kdo chce kam, pomožme mu tam. Kdyby na neschopnost administrátorů neupozornil třeba tímto poněkud nešťastným způsobem pan Kocman, tak vám ten web mohl někdo smazat kompletně a bylo by po vtákách, co? :-D Co si takhle nejprve zamést před vlastním prahem, "admine"? :-O

tady nekdo necetli predchozi radky ...

Uprime receno, jsou o tom jak se dva hadaji na verejnosti (a jeste ke vsemu o necem jinem nez je napsan clanek - lehce se to zvrhlo). Doufam ze z toho maji oba dobry pocit.

Ma "Vasek" vsech pet po hromade? To co tady predvadi, je jak inzerat pro hackery.
Byt jim, tak se radeji ucim vsechny parametry tar-u, abych pripadne po svatcich 9.7. umel rychle server zrekonstruovat.