Home > Polityka > NaszaKlasa na Hacking.pl

NaszaKlasa na Hacking.pl

Kilka miesięcy temu wracałem sobie po pracy do domu. A raczej chciałem wrócić, gdyż na parkingu nie znalazłem samochodu, który zaparkowałem tam z rana. Miałem szczęście, po kilku tygodniach Policja odnalazła mój samochód i po kilku miesiącach mogłem już nim jeździć. Korzystając z okazji, przesyłam podziękowania dla Policji!!!
Dziś na łamach portalu Hacking.pl znalazłem informacje o dziurawej stronie Internetowej – NaszaKlasa.pl – z której można pobrać dane milionów polaków. Uważam, że opisany przez Hacking.pl sposób jest przestępstwem. Dostęp do strony WWW powinien odbywać się przez przeglądarkę WWW a nie przez bibliotekę programistyczną.
Mój samochód można było ukraść przy użyciu łomu i odpowiedniej wiedzy technicznej. Tak samo można ukraść dane użytkowników NaszejKlasy – przy użyciu programu CURL i… wiedzy technicznej. Jednak zawsze jest to kradzież. Większość czytelników tej strony nigdy nie ukradła samochodu. Większość moich czytelników potrafiła by skraść dane z NaszejKlasy. Nie kradniemy samochodów, nie okradajmy też stron internetowych. Używajmy naszej wiedzy w taki sposób, który nie wyrządza szkody innym ludziom.
Categories: Polityka Tags:
  1. Andrzej Dopierała
    January 26th, 2008 at 16:04 | #1

    I tak i nie…
    Opis sposobu nie jest przestępstwem. Tak samo jak nie jest przestępstwem napisanie że do samochodu można włamać się łomem.

    Natomiast użycie tego “sposobu” już przestępstwem można by nazwać. A conajmniej niezgodnością z regulaminem.

    Z drugiej strony obnaża to problemy z bezpieczeństwem na n-k. Problemy wynikające z błędnych założeń na temat autoryzacji i uprawnień. A przecież wystarczyło by tylko wzorem np linkedin dać możliwość udostępnienia np tylko imienia/nazwiska/jednej fotki osobom nieznajomym. A całą resztę dawać tylko osobom “zaufanym” dodanym osobiście do przyjaciół. I w tym momencie wszelkie automaty automagicznie by odpadły…

    Drugi sposób to zablokowanie nowych rejestracji na portalu. Ewentualnie weryfikacji istniejących. Brzmi może trochę drastycznie, ale… w tej chwili prawie każdy zna kogoś kto jest na n-k. Co więc szkodzi wprowadzić system zaproszeń/weryfikacji kont?

  2. Antoni Jakubiak
    January 26th, 2008 at 21:37 | #2

    Całkowicie się z Tobą zgadzam. Opis nie jest przestępstwem, jednak sądząc po tabelkach – screenshotach – aby ten opis wykonać – ktoś musiał dokonać przestępstwa.
    Działanie Hacking.pl przypomina mi jednak trochę kradzież samochodu, po to by powiedzieć właścicielowi – że jego samochód można ukraść i że powinien go lepiej zabezpieczyć.

  3. Zboczuch
    January 27th, 2008 at 16:16 | #3

    Nie zgadzam się z Tobą, Antek. Tzn. Twoje porównanie nie jest jednak izomorficzne. Autorzy z hacking.pl mimo wszystko używali protokołów udostępnionych przez serwis. Musiałbyś mieć wejście na łom w aucie, aby było to porównywalne.

    Tym niemniej nie pochwalam. Uważam takie techniki za nieetyczne, ale nie za przestępcze.

  4. Antoni Jakubiak
    January 27th, 2008 at 18:16 | #4

    O ile mnie pamięć nie myli, to Ty pierwszy (zboczuch) zwróciłeś mi na to uwagę.

    “Czy interfejsem strony WWW jest protokół HTTP, czy przeglądarka” – to dobry temat do dyskusji…

  5. Zboczuch
    January 27th, 2008 at 19:57 | #5

    Tak – i wciąż jestem przeciwny takim technikom. Tym niemniej daleki jestem od traktowania takiego działania jako czegoś niezgodnego z prawem. Jest to niemoralne, ale – niestety – dozwolone.

    No bo gdyby zabronić CURL-a, to zaraz spryciarze obeszliby to np. przy pomocy pluginu do przeglądarki. I wtedy już miałbyś klienta odpowiedniego, a mimo wszystko wciąż automat.

    Jedynym rozwiązaniem jest chyba tylko mądre projektowanie serwisu i zwracanie uwagi na problemy bezpieczeństwa i ochrony danych.

  6. Antoni Jakubiak
    January 28th, 2008 at 09:07 | #6

    Jeżeli ktoś zbierze wszystkie dane użytkowników naszej klasy przy użyciu CURL’a, to jest to tak samo szkodliwe, jak by wszedł do serwerowni i gwizdną dysk twardy. Szkoda jest ta sama. Jeżeli ktoś gwizdnie mi auto, to będzie to dla mnie bez różnicy, czy użył łoma czy komputera – po prostu nie mam auta.
    Mój post na blogu ma przestrzegać ludzi, którzy tak jak kiedyś ja, nie zwracali na ten aspekt uwagi.
    Warto się też jednak zastanowić, czy NaszaKlasa należycie dba o bezpieczeństwo danych jej użytkowników?
    Firma ubezpieczeniowa nie zwróci kasy za samochód, jeżeli ukradną go z kluczykami i dowodem.

  7. Tomasz ‘mrman’ Skórski
    January 29th, 2008 at 01:20 | #7

    Zastanawiałem się nad tym postem na hacking.pl jeszcze przed jego publikacją.

    Niestety, prawda jest taka że sama metoda wyciągnięcia danych z n-k jest banalnie prosta. Co więcej, opisany tekst opublikowany na dość poczytnym portalu nie publikuje gotowego rozwiązania w postaci kodu źródłowego, a co najwyżej sugeruje, jak słabo dane osobowe w n-k są chronione.

    I to jest w moim odczuciu główny cel publikacji tego wpisu.

    Pozdrawiam

  8. Azrael Nightwalker
    January 31st, 2008 at 02:54 | #8

    Jak można ukraść coś, co jest zwyczajnie rozsypane na ulicy?
    Tak właśnie jest z danymi Naszej-Klasy – każdy może z nich czerpać garściami, więc nie widzę tu żadnego przestępstwa. Tylko głupotę administratorów którzy na to pozwalają.
    Stara zasada prawa mówi: co nie jest zabronione jest dozwolone.

  9. Antoni Jakubiak
    January 31st, 2008 at 09:17 | #9

    Nie zgadzam się z Tobą. Jeżeli nie zamkniez okna w samochodzie – to kradzież takiego samochodu jest kradzieżą samochodu.
    Użycie specjalistycznej wiedzy – nie każdy ją ma – w sposób który szkodzi innym jest zawsze złem.
    Programiści NaszejKlasy mogli się bardziej przyłożyć – ale to nie znaczy, że mamy ich okradać.

  10. Anonymous
    February 20th, 2008 at 20:28 | #10

    To przeciez mozna sobie to wszystko w zeszytach zanotowac to samo co na kompie chwile by zeszlo ale masz to samo wiec po co tu pisac o jakims przestepstwie

  11. Antoni Jakubiak
    February 20th, 2008 at 20:49 | #11

    Używanie wiedzy w celu szkodzenia innym jest nie etyczne!

  12. napster
    April 22nd, 2008 at 16:25 | #12

    Opis nie może być przestępstwem. Wręcz odwrotnie: jest dobrodziejstwem dla tych, którzy czuwają nad bezpieczeństwem. Wiedząc, że brama jest otwarta, mają szansę ją zamknąć.

    Namawianie ludzi do do nie używania takich sposobów to czysta utopia. Tak, jakbyś apelował “nie kradnijcie samochodów”. No pewnie, że nie każdy to robi, ale zawsze się znajdzie ktoś, kogo sumienie nie rusza. Tak samo obowiązkiem producentów aut jest ich zabezpieczanie przed kradzieżą na wszelkie możliwe sposoby, tak samo producenci naszej klasy są zobligowani do zapewnienia nam bezpieczeństwa. Innym idealnym przykładem jest bank, który ma za wszelką cenę pilnować naszych pieniedzy. Nasza klasa musi pilnować naszych danych.

    Podsumowując. Opis na hacking.pl nie jest namową do przestępstwa, tylko apelem do twórców naszej klasy i do jej użytkowników, aby było bezpieczniej.
    Włamywacze nie zwykli słuchać apeli a ludzie, których jesteśmy klientami mają obowiązek zapewnić nam bezpieczeństwo

  13. Antoni Jakubiak
    April 22nd, 2008 at 16:42 | #13

    1. Co innego powiedzieć właścicielowi, że brama jest otwarta, a co innego powiedzieć na forum publicznym.

    2. Apeluje o to, by nie bawić się wytrychem, i nie chwalić się tym – ile samochodów udało nam się nim otworzyć.

  14. Sabre
    February 26th, 2009 at 10:33 | #14

    “Dostęp do strony WWW powinien odbywać się przez przeglądarkę WWW a nie przez bibliotekę programistyczną.” – B-Z-D-U-R-A ;D Dostep do stron www realizowany jest za pomoca prokolu HTTP; przeladarka jest po prostu klientem implementujacym ten protokul. cURL jest takim samym klientem jak kazdy inny. Nie wyobrazam sobie, jak mozna logiczenie uargumentowac teze gloszaca, iz nie mozna korzystac ze stron www za pomoca cURL chociazby.

  15. February 26th, 2009 at 11:34 | #15

    @Sabre
    cURL _N_I_E_ _J_E_S_T_ taką samą przeglądarką internetową jak IE czy Firefox. Spróbuj przekonać swoją żonę, kobietę, ojca, mamę, brata, ciocię – by przeglądały internet cURL’em ;)

  16. Sabre
    February 26th, 2009 at 16:24 | #16

    @Antoni Jakubiak

    Alez ja nie twirdze ze cURL jest przegladarka, tylko ze tak jak przegladarka jest klientem implementujacym protokol HTTP. Oraz ze nie ma powodu by ktores z nich faworyzowac, a tym bardziej uznawac za ‘nielegalny’ :D

  17. February 26th, 2009 at 17:14 | #17

    @Sabre
    więc przyznasz, że do oglądania stron służy przeglądarka internetowa a nie klient protokołu HTTP (np.: telnet albo cURL). Dlatego piszę, że samo użycie cURL jest nieetyczne i nie obchodzi mnie czy to jest zgodne z prawem czy nie zgodne. Ważne, że jest nieetyczne. Twórca strony zaprojektował ją tak, by używać jej przez przeglądarkę internetową, a nie przez klienta http. To tak samo jak gapić się przez lornetkę na cudze okna. Część osób nie kupiło jeszcze firanek (na przykład ja). Gapienie się przez lornetkę na moje okno prawnie jest dozwolone, ale trzeba się liczy że przywalę w mordę. Tak samo jest z cURL. To jest po prostu nie etyczne. Dorosłemu człowiekowi nie przystoi robić takie rzeczy.

  18. Michal
    March 7th, 2009 at 17:22 | #18

    Zepsuło mi się X11, manager pakietów i nie mam zainstalowanego Lynksa, ale potrzebuję natychmiast wejść na naszą-klasę. Nie mogę użyć cURL?
    Drugi przykład: Użycie cURL do stworzenie kanału RSS dla naszaj-klasy. Też nieetyczne?

  19. March 7th, 2009 at 18:42 | #19

    Pierwszy przykład – sam sobie odpowiedziałeś – jak najbardziej ok. Jeżeli Twoim zamiarem jest zobaczenie strony to możesz używać nawet telnetu. Natomiast, jeżeli chcesz się na tą stronę włamywać to użycie cURLa będzie nieetyczne. Mówienie, że strona jest źle zabezpieczona bo mając cURLa mogę zrobić np.: SQL Injection – będzie głupie – dokładnie to tak samo jakby mówić że mając łom można ukraść samochód. Sam cURL jest przydatnym narzędziem pracy. Łom też ma praktyczne legalne zastosowania. Natomiast mówienie, że samochód jest źle zabezpieczony bo można go otworzyć łomem nie jest żadną rewelacją.
    Drugi przykład to zupełnie inny temat.

  20. Rogi
    March 11th, 2009 at 01:12 | #20

    Przestańmy popadać w paranoje. Jak wiadomo samo wykorzystanie cURL’a nie jest niczym zabronionym. Nie jest to ani biblioteka nielegalna, ani cudowny program ‘hakierski’. Każdy ma prawo do jej wykorzystania i połączenia się z danym serwisem. I tutaj różnić się tylko mogą cele i zakres połączenia. Przecież niczym strasznym, czy też nawet nieetycznym będzie pobranie sobie powiedzmy listy swoich znajomych do pliku XML i przerobienie go sobie do swoich potrzeb. Przecież ja to mogę zrobić klikając link po linku i zmieniając strony ale zajmie mi to 3 dni, a tak mogę to zrobić w parę lub paręnaście minut. I mówienie, że nie ma innego sposobu może ‘łyknąć stara babcia’. Po drugie: NK z założenia miał być serwisem o dużym przepływie informacji i userów i tutaj rozpaczanie nad ‘kradzieżą’ jest śmieszne, bo każdy wie i ma dostęp, to nie jest tajna baza NFZ czy Policji. Tu każdy wchodzi i sobie ogląda. Nieetycznym w tym przypadku może być powiedzmy zapuszczenie przeczesywania całego serwisu na całe dni, lub nadzwyczajne obciążenie ich serwera. To jest już jakieś naruszenie regulaminu lub nawet można patrzeć w kategorii wykroczenia. I problemem nie jest tu cURL tylko intencje. Prostym przykładem może być, że kiedyś dla testów w 17 osób wcisnęliśmy F5 na stałe w firefoxie na pewnej stronie. Po paru minutach cała domena przestała odpowiadać (nie użyliśmy curla). Inną sprawą jest też cel dla którego się to robi. Jeśli ktoś to robi bo chce sobie zrobić z tych znajomych listę kontaktów na gg to czemu nie. Ale jak ktoś ściągnie 100 tys. nazwisk i potem będzie do nich spamował, lub próbował zarobić, to jest złe. Jeśli NK chce mieć chociaż minimalną kontrolę nad tym wszystkim (co z założenia jest niemożliwe), niech zacznie stosować więcej zabezpieczeń. To może odstraszyć chociaż część potencjalnych ‘potrzebujących’. Prosta reorganizacja katalogów. Zmiana ich nazw na alfanumeryczną ale nie na Boga zwykła cyferka gdzie inkrementacja zmiennej wystarczy aby dostać się do profilu, dłuższe adresy pochowane w inputach (jak to robią banki). Ja bym tutaj bardziej porównał NK i jej dane do banknotu znalezionego na ulicy. Jeżeli już sobie leży to wzięcie go nie jest chyba niczym złym. No można jeszcze zostawić w tym miejscu karteczkę gdzie go szukać, ale kto to robi. A NK z odpowiednimi zabezpieczeniami porównałbym do banknota w portfelem, który leży na ulicy. Tego już z czystym sumieniem się tak nie weźmie, bo należy jeszcze do kogoś. I nie powinniśmy się zadręczać w dzisiejszych czasach nad prawidłowością samych metod. Czy to cURL, czy zwykły fopen, socket czy inne. Postęp idzie i zawsze człowiek będzie sobie ułatwiał życie. Tylko teraz pojawia się pytanie o jego intencje i co on chce za pomocą różnych narzędzi osiągnąć. Czy coś przyzwoitego, czy nie.

  21. Fzhut
    February 27th, 2010 at 19:28 | #21

    Witam
    Dlaczego uważacie że zarabianie na tych danych jest czymś złym ?
    Skoro dane te są ogólnie dostępne to o jakim przestępstwie my tu mówimy ?
    A (jak już ktoś napisał) jeśli przepiszę sobie te dane z monitora komputera na katkę to też będzie przestępstwo ?

    Ludzie jak wystawiacie swoje dane osobowe do wiadomości publicznej to liczcie się z tym że “publiczność” je przeczyta a część je nawet wykorzysta :)

    Pozdrawiam.

  22. February 27th, 2010 at 19:58 | #22

    Dane na NK były ogólnodostępne w taki samym znaczeniu jak samochód zaparkowany na ulicy. Dane można było ukraść przy użyciu specjalnego narzędzia i wiedzy.

  23. youidiot
    July 21st, 2010 at 22:26 | #23

    Samo hakerstwo nie jest chyba legalne,mistrzu,więc ich metody też nie.

  24. July 23rd, 2010 at 21:40 | #24

    Nie rozmawiajmy o tym co jest legalne, ale o tym co jest etyczne.

  1. No trackbacks yet.

Subscribe without commenting