主题:黑客与许霆 -- yhz
- 复 您的死穴
家园 是laska--拉丝卡,没有卷舌音滴~~ 您老兄偷懒打中文,我就惨了。还有打出更难看呢:)
家园 送花致歉,另感慨。 南京人不会分平卷舌,而且拼音加加加看来也不会,没想到许霆案搞出这么多想法,这在业内几乎没有人争议的问题,这才是我等法律工作者要思考的地方。
老兄名字也是怪了点,有什么出处?
家园 说到出处么 知道charge & aska么?
另外
这在业内几乎没有人争议的问题是不是可以理解为在律师行业内,很少有人认为许霆不是“盗窃罪”?如果我没有理解错的话,那么说明这个观点和我观察与接触到的情况是基本一致的。
- 复 说到出处么
家园 是的,那几个兄弟是在博出位 本所在江苏大概算第一,也是比较注意组织学习讨论的了,合伙人和专职律师无人对许案有疑问,我在本部门还特地让实习律师和助理讨论了一下,结论也无他,盗窃。当然我在的部门不是刑事部,我们所的刑事业务也一般。
今天看人大或政协有一位法学院院长又在说什么,我无话可说。不同意别人,但誓死捍卫别人说话的权利这个道理还是懂的,我最诧异的是社会上有这么多议论,这也是我在讨论中提醒助理们注意的,律师是和社会打交道的,应该对社会舆论保持敏感。
这和中国缺少法律传统有关,有空会专贴议之。
中国律师生存艰难,请对博出位的兄弟保持谅解。
家园 唉,博出位也不是这么博的。 许霆坐牢,这几位啥事儿没有,许霆哪怕判轻一年,这几位就名利双收。
啧啧,纯是拿许霆当垫脚石了。
家园 使用网银客户端 通过某种合法但无意义的操作。比如点某按钮1000次。发现自己帐户多出1000元。
但不修改服务端和客户端程序,也不修改封包。
算么?
- 复 使用网银客户端
家园 黑客与否很难界定的 从服务器系统那端来说,他接收的就是一串合法的指令序列,然后进行相应的操作而已。他是不会对如何产生这串合法指令序列感兴趣的。
所以,黑客们要做的就是要发现某个系统,在某些合法指令序列的某些特定组合下,服务器系统可能出现不应该有的操作结果,然后有意识的利用这些结果去做另外一些事情。
至于这些指令序列如何产生:是利用原有的客户端或者工具,还是自己写一套新的脚本或者软件,或者录制回放某些指令等等,其实关系不大。
当然,最后说一句:黑客其实是通俗名词,在法律上来说,这个词是没有明确的定义的。
家园 关系还是比较大的吧。 对用户来说。未被修改的网银客户端和未被破坏的ATM机一样。都是UI。用户不需要理解Server和Client之间的运行机制。只需要知道输入一个数额,然后点操作。对合法输入下产生的非法结果,用户是不需要负责的。
家园 关键是“合法输入”的定义是什么? 也许从你这里,你觉得“合法输入”的定义就是从输入框中输入某些数据,然后按某些按钮。
但是,从服务器端来看,他认为的“合法输入”,就是包含了某些数据的指令序列。
而通常意义上的“客户端”,就是负责从你认为的“合法输入”转换到服务器认为的“合法输入”的这么个步骤。
所以,从银行或者服务器系统的角度来说,他只要指令正确,序列正确,他就认为合法,就会执行对应的操作。
那么,你说的:
对合法输入下产生的非法结果,用户是不需要负责的。究竟是那个的“合法输入”呢?这点没有明确的规定。
从目前的技术取证水平还有实践来看,往往是以服务器端的判断为准的。
家园 我想应该是这样 1、使用服务商提供或者认可的终端
2、在服务商允许的操作范围内操作
3、未主动修改终端至服务端系统之任一环节
符合这些要求的操作,应当可以称为合法操作。不然网银和ATM也就没有应用的基础了。
其实,ATM和网银有一个大大的不同。在ATM上进行的是现金交易,而网银并不是。所以ATM之1:1000的具体问题出在那一头,现在还很不好说。从我对事情的了解来看。许取钱后查询到他账户内确实扣除了1元/次。那么更多的责任应该出在那台ATM机上。服务端到未必有什么问题。
从这个意义上说,仅仅以服务端的判断为判断就不合适了。
ATM系统也好,网银系统也好。都是一个系统工程,环环相扣。对咱们具体做技术的人来说,客户端和服务端没有轻重之分高矮之别。那头出了问题都不是小问题。所以只考虑客户端接收到的数据是否WellFormated是不可取的。象许案中,就算ATM的服务端工作一切正常又有什么意义呢?钱还不是错误的吐出去了。
- 复 我想应该是这样
家园 你的定义其实可行性不大 使用服务商提供或者认可的终端这个在实际取证中是非常困难的,根源就是数字信号的完全可复制性和模拟性。所以,虽然理论上都会有这个要求,但是实际上几乎没有这么操作的。
例如说QQ虽然也有那种要求,但是实际上无论从珊蝴虫之类的修改版到eva或者pidgin之类的完全重写版本,伪造客户端这种行为,根本就无从防范,腾讯只能做的,也就是频繁的升级自己的协议版本,来打时间差了。
当然,ATM机那类的和硬件捆绑的客户端容易防范。不过从软硬件等价的原理来看,要完全模拟一个ATM机,从理论上不是不可能的。
在服务商允许的操作范围内操作这点不用多说,几乎所有的攻击操作,都是在“服务商允许的操作范围内操作”的,即使不是,也是从这里开始的。
道理很简单:如果不是“服务商允许的操作范围内操作”,那么一开始,系统就会拒绝你的请求和操作,那你又如何进行下一步的攻击呢?
未主动修改终端至服务端系统之任一环节这点在理论上也不是有太多的可操作性。
特别是部署在公网中的服务系统来说,这些链路的安全性,从技术上几乎不可能得到完全的保证,包括ssl之类的也是这样。
所以,从系统安全的角度来说,没有任何一种技术和措施可以保证绝对的安全,唯有加强管理和内部执行条例来大到目的。
再举一个例子:
我们现在的银行卡密码,基本上都是只接受6位10进制数(至少中国的是这样),学过基本的软件安全的都知道,只有10^6次的枚举对于现在的硬件运算速度来说,顶多就是几分钟的事情。所以,要保证客户的密码不外泄,从技术的角度来看是几乎不可能的,只有通过管理等办法来保证这个。
所以,安全防范的措施多少及严密与否,取决于其重要性、被攻击的风险及后果,还有对于潜在攻击者所拥有和愿意为此付出的资源。
家园 这个应该还是有办法的吧。 我们现在的银行卡密码,基本上都是只接受6位10进制数(至少中国的是这样),学过基本的软件安全的都知道,只有10^6次的枚举对于现在的硬件运算速度来说,顶多就是几分钟的事情。所以,要保证客户的密码不外泄,从技术的角度来看是几乎不可能的,只有通过管理等办法来保证这个。比如说现在不少网站用的校验码,要你输入一个图片上的数字或字母,而且这个图片特意做的歪歪斜斜,让你没法用图象识别软件。
还有限制在多少时间内只能连续输入少数几次密码。
这些都应该能有效地防止用穷举法破解密码。
家园 对于这种系统,不用穷举 先构造特定明文,然后监听,分析协议字段,找到密码变换算法和密文,然后用字典匹配就完了。