Пользователь
250,2
рейтинг
21 января 2013 в 13:31

Разработка → Студента отчислили за использование сканера веб-уязвимостей



20-летний студент Ahmed Al-Khabaz (Ахмед Аль-Хабаз) отчислен с факультета компьютерных наук монреальского колледжа. Причиной стало то, что он дважды запустил сканер веб-уязвимостей на сайте учебного заведения — и нашёл-таки опасную уязвимость в учебном портале Omnivox, который используют почти все колледжи и университеты Квебека. Тем самым он якобы «поставил под угрозу» приватные данные 250 тысяч студентов.

Студент колледжа Доусона (Монреаль) и член местного компьютерного клуба, Ахмед работал над мобильным приложением, с помощью которого студентам было бы легче работать со своими данными на учебном сайте. Во время работы над программой он с коллегами и обнаружил вышеупомянутую уязвимость в Omnivox. Из-за «небрежного кодирования» любой желающий, обладающий базовыми компьютерными знаниями, может получить доступ к профилю любого студента в системе, включая номер социального страхования, домашний адрес, номер телефона, расписание занятий и всё остальное.

Когда Ахмед обнаружил уязвимость, он посчитал своим моральным долгом сообщить о ней руководству колледжа. «Я мог бы легко скрыть свою личность за прокси. Но я не сделал этого, потому что не считал, что совершаю что-то плохое», — говорит студент в интервью канадской газете National Post.

Ахмеда и его друга, тоже программиста, пригласили на встречу с директором по информационным технологиям колледжа. Тот поблагодарил их за работу и пообещал, что они вместе с компанией Skytech, разработчиком системы Omnivox, закроют уязвимость в ближайшее время.

Через два дня Ахмед решил проверить, закрыли они дыру или нет. Он запустил сканер веб-уязвимостей Acunetix, и буквально тут же к нему домой позвонили из компании Skytech. Звонил лично президент компании — он сказал, что уже второй раз видит Ахмеда в своих логах, и то что он делает, называется кибератакой. Ахмед несколько раз извинился и объяснил, что это именно он обнаружил ту уязвимость, о которой сообщал пару дней назад, а сейчас просто проверял, что она закрыта. Президент компании Skytech сказал, что парню грозит от 6 до 12 месяцев тюрьмы, если он прямо сейчас не приедет и не подпишет NDA (соглашение о неразглашении), что студент и сделал. Согласно этому документу, он не имел права разглашать любую информацию, найденную на серверах Skytech, или любую другую информацию, которая касается компании Skytech и их программного обеспечения и способов доступа к серверам.

Соглашение также запрещало разглашать факт наличия соглашения.

В интервью National Post директор компании потом объяснил, что в каждом программном обеспечении есть баги, и Ахмед с другом нашёл хитрый баг в безопасности, но использование сканера уже было нарушением. Такие программы, говорит он, можно использовать только предварительно уведомив владельца сервера.

О «проступке» студента узнало руководство колледжа, которое инициировало процедуру его отчисления за «серьёзное нарушение профессиональной этики» (serious professional conduct issue). После обсуждения вопрос поставили на голосование среди 15 профессоров факультета компьютерных наук, и за исключение проголосовали 14 из них. Сам Ахмед считает несправедливым, что ему не дали возможности объяснить ситуацию лично перед советом факультета.
Анатолий Ализар @alizar
карма
739,5
рейтинг 250,2
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (229)

  • +102
    Странные профессора факультета компьютерных наук. Интересно какими побуждениями они руководствовались когда принимали свой выбор.
    • +35
      «Работает, да и слава богу»
      • +4
        Скорее: «Работает — не трогай» (с).
    • +37
      Думаю, если бы в статье был указан средний возраст голосовавших за отчисление профессоров, все бы встало на свои места.
      • +9
        Мне как раз довелось работать в Монреале, на факультете компьютерных наук. Правда в другом универе. Я не удивлен. Старперы. Боюсь что половина из них не отличат сканера от сниффера.
        • 0
          В статье говориться не про университет, а про Dawson College, что стоит до университета ещё. Так что ни о каком серьёздном образовании там нет речи.
    • +7
      Этот парень скорее всгео просто умнее их и находчивее. Не хочется терять престиж. Интересно узнать средний возраст этих профессоров…
      • +21
        По моему, отчислив парня, они как раз таки показали свою ограниченность и некомепетентность, что гораздо важнее визуального престижа.
    • +12
      Побуждение называется баттхёрт.
    • НЛО прилетело и опубликовало эту надпись здесь
      • +4
        Зачем? Такие отчисленные потом в собственных гаражах делают такое…
    • –1
      Совсем не странные. Они профессора, а тут какой-то студент и скорее всего умнее их. Не отчислишь — займет в скором будущем их места всех вместе взятых.
      • 0
        Интересно, а не мои ли бывшие учителя по Информатике минусов понаставили.
    • +1
      Может сами пользовались этой уязвимостью?
    • 0
      Я думаю тут национальность сыграла не последнюю роль? Или я ошибаюсь? У американцев же вроде наоборот должно быть — у них же толерастия over 9000… Да, странно — тихий какой-то студент попался. Какой-нибудь негр уже бы побежал жаловаться во все суды, с формулировкой что его отчислили «по принципу принадлежности», так сказать…
      • 0
        Американцы не причем, Монреаль — Канада, JFYI
  • +33
    А правда, что сканеры можно использовать только с разрешения владельца сервера?
    • 0
      Статью 272 УК можно за уши притянуть у нас в стране… Есть соглашение, которое нужно читать. Если там что-либо написано, что считать правомерным, а что нет, то нужно заострить на этом внимание.
      • 0
        В частности
        Пользователь обязуется:

        не нарушать работоспособность сайта путём размещения информации, содержащей вирусы, создания дополнительной нагрузки на сервер, применением программ, не обусловленных функциональным содержанием информационного ресурса и иными способами


        5. Ответственность сторон
        В случае, если Пользователем была размещена информация, распространение которой ограничивается или запрещается федеральными законами, нарушает авторское или иное защищаемое законом право, всю полноту ответственности за её размещение несёт Пользователь.
      • 0
        Соглашение тут неактуально. 1) Конкретно в случае хабра оно работает только после авторизации. 2) для любой публичной оферты необходим факт её принятия.
        • 0
          Согласен по всем двум пунктам. Статью 272 так же раскройте, пожалуйста.
          • 0
            Я не юрист и не знаком с практикой, но судя по самой статье 272, её тут можно именно что притянуть за уши, потому что сканирование на уязвимости обычно не влечёт за собой «уничтожение, блокирование, модификацию либо копирование компьютерной информации».
            Т.е. если я постучался на вашу машину по RDP, ввёл admin/admin, у меня получилось и я сразу вылогинился, то факт неправомерного доступа будет, но он будет ненаказуем, т.к. последствий не было.
            • 0
              В этом случае последствия могут быть, т.к. вы смогли «зайти» (точно установили параметры доступа логин/пароль) и это уже будут не уши, а тот самый неправомерный доступ и статья при наличии логов.
              Если не смогли — то факта доступа не удастся установить, последствий утери информации не было.

              По теме: вообще я не понимаю, парень все сделал более-менее грамотно, сказал что как, приняли его фидбек и сказали, что исправят. Он же мог догадаться что теперь за серверами с дыркой будет глаз да глаз (по идее). Зачем лезть-то снова.
              • 0
                А меня всегда удивляло, как логи могут вообще служить доказательствам чего либо?
                Это же обычный текстовый файл. Таких наклепать можно сколько угодно и любого вида.
                Там нет средств контроля их изменения и т.д.

                это тоже самое, что в качестве доказательства в суде, показывать бумажку с распечаткой чего либо, без каких бы то ни было печатей и подписей…

                В общем хрень какая-то.
                • НЛО прилетело и опубликовало эту надпись здесь
                  • +2
                    Т.е. владелец взломанного ресурса, будучи заинтересованным посадить злодея, не сможет сделать запись с БД, в лог и еще куда там надо будет с «необходимым временем, IP» и чем там еще косвенно можно подтвердить?

                    Не смешите мои тапочки, это на раз делается…
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • 0
                        ok, а если хакер сделает «прокол» в логах, можно посадить владельца сервера?
              • 0
                Под последствиями я имею ввиду модификацию, уничтожение, копирование и прочее. Если этого не было (а в примере этого не было, зашли и вышли), то такое деяние под статью не подпадает. Потому что сам по себе неправомерный доступ незаконен только тогда, когда он влечёт за собой уничтожение, копирование etc. Так в законе прямо написано.
                • +1
                  Прокомментирую исключительно случай когда сканером/ручками удалось «подобрать» логин/пароль. Пожалуйста, не воспримите это как упрямство с моей стороны, просто хочу изложить реальную ситуацию, по закону.

                  Статья 272. Неправомерный доступ к компьютерной информации

                  Неправомерный доступ к охраняемой законом компьютерной информации ...


                  Законом действительно охраняется даже логин и пароль и все систематические действия, направленные на получение этих данных можно подтянуть даже под определение шпионажа и пр. Получение доступа к логину/паролю может привести к нарушению коммерческой тайны а это вполне прямой ущерб. На практике исключительно 272 статья отдельно не инкриминируется.
                  В законе нет дословного определения характера информации и охватить все словом нереально, потому самым первым предложением охвачен практически любой такой характер информации, в том числе и доступы логины/пароли.
                  Если в какой-то компании был хотя бы один внутренний приказ или распоряжение от тех же администраторов по раздаче доступов — все, с этого момента эти данные по факту можно считать «информацией, охраняемой законом».

                  Про доказательства через логи пару слов. Да, для однозначного вывода экспертной комиссии недостаточно просто одного типа логов. Обычно, идет их последовательность, увязанная во времени, заверенная представленными организациями. Без этой последовательности будет сложно что-то доказать, по причинам вполне очевидным.

                  Любой закон — это лишь «50%». Остальные «50%» — правоприменительная практика, прецеденты, на основе которых у нас строится слишком много.

                  Для примера. Допустим произошел взлом БД в какой-то организации, доступ к БД напрямую закрыт, ломали через шелл/изнутри сети (в принципе — не суть). В качестве хорошей доказательной базы будет следующее: заверенная выписка логов по времени взлома от 1) собственно организации, 2) от хостинг-провайдера/обслуживающей организацию компании-провайдера, 3) по предоставленным данным откуда ломали — логи всех промежуточных провайдеров. Их не настолько сложно и геморройно получить, особенно по следственным мероприятиям от правоохранительных органов.
                  Если есть четкая взаимосвязь во времени между действиями взломщика и его целью/результатом — доказать и наказать вполне реально.
                  Если взломщик реально «продуман» и заходит и выходит, к примеру, либо через ring-proxy или внутри тора/впн — то тут уже размер геморроя по доказательству прилично возрастет — количество узлов, для установки взаимосвязи будет большим. А если еще и с заходом в корпоративную сеть — то для получения логов потребуется еще много бумажной волокиты.
                  Значительно сложнее, но возможно.
                  • 0
                    всё бы хорошо, но вы же цитируете не до конца. Полностью это выглядит так
                    Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации

                    Про «если не повлекло» в законе ничего не сказано, значит «неправомерный доступ, не повлекший» не наказуем. Т.е. в теории, если я угадал пароль от вашего рабочего компьютера, никому пароль не давал и ничего не копировал etc, наказывать меня не за что. На практике, конечно, есть привлечённые «эксперты», которые нарисуют модификацию в виде логов доступа и копирование имени пользователя в кэш mstsc.
                    • 0
                      Как айтишник айтишнику скажите — модифицируется ли информация при успешном логине? Подсказка — в оперативке, в структурах данных того же шелла -тоже информация хранится, а не только на винтах и прочих стораджах.
                      • 0
                        я ж к тому и клоню, что модификация и копирование-то есть, но это неотъемлемая часть технических процессов. И эксперт, который обязательно будет в деле, может либо уточнить этот момент в заключении, либо умолчать про это как про само собой разумеющуюся вещь, либо раздуть и представить как намеренное копирование и порчу.
                        И последнее очень печально, потому что мне, например, не хотелось бы когда-нибудь отвечать в суде по подставному делу о копировании объекта АП с сайта онлайн-кинотеатра в оперативную память компьютера.
                        • 0
                          Мне приятно было вести с вами диалог, но добавить к уже написанному мной выше нечего — данные доступов так же относятся к «компьютерной информации». Даже потеря доступов через подбор — также могут повлечь прямой ущерб. Практически все действия, которые влекут ущерб — имеют охраняющую статью. В общем понимании этой фразы, не буквально.

                          Это нормально, что любое мнение надо проверять, но тогда в этом случае проще ознакомиться с практикой вынесения решений судов по этому направлению, это и будет истина. То, как оно есть — выше описал.

                          Единственно отмечу по цитате из статьи, что все, что идет после запятой, которая перед «если» первого предложения — принадлежит уже к определению критериев наказания, а не условия нарушения. Да, определение в статье максимально широкое и «коррупционная составляющая» тут более очень велика. Равновесие тут только в сложности доказательной базы.

                          Я постарался довести до вас свою позицию, но в споре не вижу для себя целей.
                        • 0
                          Приведу в заключение еще один наглядный пример.

                          У вас есть своя компания, в ней — сеть, данные и т.п. Есть какое-то хранилище, защищенное доступами, допустим FTP сервер.
                          Кто-то, допустим просто гармональный тинейджер с нереализованной самоутвержденностью или профессионал — берет и сканит ваш FTPшник и подбирает-таки пароль. Ничего не делает, просто зашел.

                          А потом берет эти данные и просто продает/отдает конкуренту, который также просто стирает все к чертям, все доки (допустим, да, что все важное хранится именно там). Все — ваши бизнесс процессы нарушены, денег отняло это много, времени, восстановления.

                          Задайте себе вопрос — нарушил ли 272 статью тот человек, который просто зашел? Тот, кто напакостил — и так уже ясно что виновен. НО — он бы не смог это сделать, не имея доступов.
                          • 0
                            Здесь первый человек — соучастник. Это не равносильно «зашёл посмотреть»
                            • 0
                              Как можно быть соучастником неизвестного тебе преступления? Первый может сказать, что продавал данные чтобы второй тоже посмотрел, ведь смотреть, по-вашему, законно.

                              А если данные доступа он не продал кому-то конкретному, а в паблик выложил и кто-то неизвестный всё удалил?
                        • 0
                          Кстати, последний момент законодательством предусмотрен — копирование объектов АП в память компьютера как неотъемлемая часть процесса пользования разрешена явно, если пользование законно (грубо, фильм лицензионный). А вот если у вас «случайно» появился чужой логин и пароль от учетки онлайн-кинотеатра, то вполне возможно, что отвечать придётся и по 146 (незаконное воспроизведение объекта АП), и по 272 (незаконное копирование охраняемой законом информации).
                  • 0
                    Законом действительно охраняется даже логин и пароль
                    Не могли бы вы уточнить, какой именно правовой нормой охраняется логин и пароль? Я ранее думал, что «охраняемая законом информация» — это, например, ПДн, государственная и коммерческая тайна. Фотографические изображения других людей вроде тоже законом охраняются (Гражданский кодекс, статья 152.1). А вот про логины и пароли — первый раз слышу.
                    • 0
                      Если в какой-то компании был хотя бы один внутренний приказ или распоряжение от тех же администраторов по раздаче доступов — все, с этого момента эти данные по факту можно считать «информацией, охраняемой законом».


                      В примере выше это коммерческая тайна.
    • 0
      Если использовать без разрешения владельца, то есть вероятность что он обидится и отчислит/уволит :)
    • +1
      > А правда, что сканеры можно использовать только с разрешения владельца сервера?

      Вообще-то так и есть.
      За безобидным названием «сканер» скрывается проведение набора хакерских атак и проверка их успешности.
      И даже непонятно, кто чаще пользуется сканерами уязвимости – хакеры или администраторы. Так что, если идешь ломать сайт без разрешения, даже если просто для «исследования», как Ахмед, то надо прикрывать ж*пу, а если отчислят, то не удивляться.
  • +2
    Радоваться надо, что его отчислили. Очень здорово ребята себя проявили, вполне однозначно. Профессура, все дела, можно и не рассмотреть что там как. А так — все ясно стало.
    Хороший повод поискать другое место, ну и пеар, конечно :)
    • +9
      Отличный пеар может сделать другой университет, который возьмет его к себе. Можно без экзаменов.
      • +15
        Умение запускать акунетикс не заменяет вступительных экзаменов.
        • +6
          Увидим, заменит или нет. Даже интересно
  • +31
    Какой наивный Ахмед. В сл. раз будет думать головой. Никогда так не делайте! Скрывайтесь, скрывайтесь и еще раз скрывайтесь!
    • +52
      Почитал комменты — оказалось таких наивных «Ахмедов» везде хватает. Что с вами люди? Всегда надо скрываться. Например может выйти так, что этот баг уже кто-то давно заюзал… скомпрометировал найденные данны, украл деньги, все что угодно. В таком случае крайним окажетесь Вы! Это же ясно как божий день… скажут «наворовался» и решил закрыть дыру… решил убрать с себя подозрения, а еще потом окажется, что вы не только сайт универа взломали, а много еще чего нахакерили!
      • 0
        +1, для меня это настолько понятно, что странно как может быть иначе.
      • +1
        Я бы тоже пошел докладывать о найденной уязвимости владельцам не скрываясь. И меня тоже зовут Ахмед )
        • +1
          Мне сейчас 32 и для меня это очевидно. Сегодня я использую эти особенности психики среднестатистического человека для своих целей.
          А вот когда мне было 22 я даже представить себе не мог, что люди бывают… «такими».
          Меня правда не уволили, а отчитали и запретили подходить к той системе в которой я нашел уязвимости.
          Ситуация усугублялась тем, что исполнение этого запрета реально мог проконтролировать только я сам, а уязвимости были закрыты лишь частично (исходя из приятного диалога с разрабами). Сейчас удивляюсь тому как это я после этого проработал там еще полгода и так ни разу не нарушил запрет.
          • 0
            Бредятина какая-то. Чем им всем так нравится тактика страуса?
            • 0
              Не бредятина а суровая реальность.
              Большинство взрослых людей большую часть времени живут по шаблонам, и лишь изредка отвлекаются на то, чтобы перенять у кого-то новый шаблон или не дай боже придумать свой.
              Когда внешние раздражители выбивают человека из привычных шаблонов, то… в работу включаются шаблоны действий в условиях разрыва шаблона. Если в его наборе шаблонов есть шаблон моделирования ситуаций, то он возможно будет способен промоделировать ситуацию, и в рассматриваемых случаях понять что страус не спасет, а только разозлит виновника. Если же моделировать ситуацию он умеет только в штатной ситуации, то сработают другие шаблоны, в частности «оградиться от опасности любой ценой».
    • 0
      www.catb.org/esr/writings/taoup/html/script-kiddie.html
      “I want to b3 a wizard hax0r”, the stranger replied, “and 0wn ever3one's b0xen”.
  • +29
    Ну как обычно. Пытался сделать что-то хорошее… отчислили и чуть дело не завели.
    • +2
      Благими намерениями вымощена дорога в ад.

      Лучше бы он всё делал анонимно, и скрываясь. Читая уже не первую такую историю, я твёрдо убеждён, что если ты что-то подобное открыл, то скрывайся, скрывайся и еще раз скрывайся
      • +1
        Ну насколько я понял, тут больше проблема не в компании, уязвимость в продукте которой он нашел, а в колледже, где даже разбираться не стали, а тупо выгнали парня. Проф. этику он бы нарушил, если бы взломал их и украл 250К данных, а потом сплавил бы куда-нибудь. А так парень выполнил все требования и все открыто рассказал, я не думаю, что у него не хватило бы знаний потереть логи.
        • +1
          Думаю, у них в некоторых учебных заведениях отношения с начальством и спонсорами недалеки от наших. Потому и отчислили. Либо им преподнесли это только в негативном свете, как всегда делается в подобных случаях
        • 0
          В многих крупных фирмах, госкомпаниях, в том числе и учебных заведениях, одно из требований при каких-либо пентестах это получить письменное разрешение от владельца сервиса и за несоблюдение этих требований могут быть плачевные последствия.
          Проф.этика имеет намного больше пунктов и требований, чем взломал-украл-сплавил.
          • 0
            Если бы фривольные аудиторы всегда следовали четкому регламенту и запрашивали письменное разрешение, то у нас минимум 80% всего ПО, разрабатываемого в мире было жутко бажным и дырявым. Представьте себе ситуацию, при которой я нашел, например, критическую уязвимость в google.com. Получается, я должен сначала написать письмо с запросом на разрешение произвести аудит их программного продукта, после чего найти эту самую дырку, а потом, еще и по всем правилам оформить баг-репорт. А учитывая то, что компания большая и тот-же сапорт в день получает просто огромное количество писем, то скорее всего, идея бы завяла на этапе ожидания ответа с офф разрешением. В том то и дело, что 'нормальные' конторы не ставят палки в колеса людям, пытающимся им помочь и сообщить об уязвимости. А прямое воровство с последующим шантажом и распространением — абсолютно другое дело.
            • +2
              Я не по наслышке знаю как работают аудиторы в фирме где трудится более 20000 работников. Сфера — финансы.
              Каждое действие согласовано, спектр работ указан очень точно и понятно. Любая инициатива наказуема.
              Критические продукционные системы пенетрируются в момент минимального количства клиентов. Бывает, что заранее сообщается основыным СМИ, что они сообщили общественности — такого-то числа там-то там-то возможны перебои в системах.

              Я не знаю какая политика у google.com. Но в фин. и гос. секторе без соответсвующего разрешения, можно получить по ушам.

              • +1
                Согласен, но опять- же. Насколько видно из статьи, он не специально нашел уязвимость, а наткнулся на неё, разрабатывая мобильное приложение и первое, что он сделал — так это пошел к руководству колледжа, а не компании. Получается он должен был просто забить на неё, а потом, её бы нашел другой чувак, только более хитрый, который бы скрил свое пребывание, украл бы данные и закинул бы их куда-нибудь
                • +1
                  Да он нашёл уязвимость не спецом. Да он сообщил куда надо. Но после этого он «дважды запустил сканер веб-уязвимостей на сайте учебного заведения» — вот это и было начало его конца.
                  В его случае лучше было попросить разрешения, чем потом просить прощения.
      • –5
        Плохо видимо учился, или, точнее, плохо преподавали. Что этот недохакер, решивший проверить как работает сканер, что профессура университета, далеки они от компьютерной безопасности.
      • +18
    • +1
      Ну да, я тут купил на савёловском телефон и судя по инфе в нём (владелец, вся телефонная книга сохранена, фотки) — краденный.
      Вернул владельцу (он мне деньги за него отдал), а на меня уголовное дело завести хотели, типа я украл телефон, и ноут и фотик из его машины, а потом ему же продать пытался. А владелец когда телефон у меня забирал — номер машины переписал моей, и к следователю с ним пошел.
      Связи выручили очень, в итоге.
  • +2
    Первая заповедь гласит: «Нет логов — нет проблем». Ну и «благими намерениями ...» туда же. В общем и целом еще одному товарищу есть суровая наука о том, что если играешь на тонком льду — лучше не думать, что «не делаешь что-то плохое», а заранее, просто для уверенности в беоблачности завтрашнего дня прикрыть свою пятую точку.
  • +2
    Теперь Skytech придется намного усерднее проверять код на уязвимости или огребать за дырявый коммерческий код.
  • +19
    Не верю, что 14 из 15 взрослых профессоров, учителей могли бы исключить парня описанного в статье. Учитель по-идее не равнодушен, когда их ученики что-то делают не так. А если такой правильный, как этот, то это уже удар по их самооценке, призыв работать с ним плотнее, а не исключать.

    Тут должна быть вторая сторона дела, в которой парень жрёт водку на лекциях, запугивает и обдирает сокурсников и лезет на сервер, чтобы поменять оценку любому желающему за плату.
    • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Во-первых профессора это не учителя, профессора это лекторы, и в Канаде они даже не проверяют домашки. Поэтому если он особенно сильно интересовался их предметом (а учитывая, что курсы студент выбирает сам, их предмет он мог и не слушать) то они скорее всего его даже не запомнили, и выносили решение на основе отчётов администраторов. На чём и погорели.
      • +2
        У меня 6 из 6ти профессоров на курсе проверяют домашки.
        Учусь в Торонто.
        • 0
          Я думал в Канаде такая же система как в США
    • +3
      А еще гомофоб, и говорил, что «женщина — не человек»…

      Ах да, и копировал музыку, нарушая авторские права.
      Кажется это все смертные грехи 21 века.
      • +2
        Педофилия ещё. Ну и расизм, но это уже не очень модно.
        • 0
          Он не европеец и не wasp, так что расизм — мимо.
  • +6
    Справедливости ради добавлю, что автор статьи в National Post Итан Кокс — политический активист и журналист, сделавший карьеру на сотрудничестве со студенческим союзом колледжа Доусона, который активно защищает студентов в их конфликтах с администрацией. То есть возможно, что оценка действий Ахмеда и начальства колледжа в его статье может быть весьма однобокой. Что, конечно, никак не влияет на то, что администрация повела себя крайне тупо и грубо. Даже если Ахмед и не настолько белый и пушистый, они могли хотя бы попытаться прояснить ситуацию. Вместо этого они делают вид, что ничего не произошло.

    Кстати, в комментариях к статье в первоисточнике парню уже несколько раз предложили работу.
  • +45
    С таким-то ФИО этот студент должен радоваться, что в террористы не записали.
    • +7
      Может уже и записали.
  • +14
    Мне вот в этом плане интересна реакция компании-разработчика. Вместо общепринятого «спасибо, информация принята, фикс будет в следующем релизе, пожалуйста, не распространяйтесь о баге следующий месяц» начинаются угрозы, запугивания, NDA. Ну неужели они настолько тупые, что не понимают, что нынче скрыть ничего невозможно. Тот факт, что в ПО был баг — это фигня, у всех есть баги, это не повод рвать сотрудничество с компанией или плохо думать о них, а вот то, как они реагируют на эти баги — это уже повод послать их ко всем чертям.
    • +2
      Это типично для определенного класса компаний. Чтобы адекватно воспринимать такие вещи в компании должна сложиться ИТ-культура, пропитанная определенными ценностями. Что бывает далеко не всегда.
      • +1
        Ну эта же компания не швабры продаёт и не ларьки на рынке крышует — они же программы делают. И звонил студенту не рядовой служивый, который мог психануть по недоразумению, а шишка какая-то, что означает, что в этой компании НУ ВОТ ВООБЩЕ адеквата нету никакого, коль их руководство так себя ведёт.
        • +5
          > шишка какая-то
          Я полагаю, дело в том, что контора эта небольшая и в ней президент компании — по совместительству главный из всех трех программистов и двух админов.

          Делать программы — это ведь не иммунитет от неадекватных действий, согласитесь :) Можно иметь многомиллиардную ИТ-компанию, и судиться за пару строк очевидного кода.
          • 0
            В многомиллиардных рулят менеджеры.
    • 0
      Меня тоже это удивило. Вместо того, чтобы латать дыры и сохранять лицо — подсовывают парню NDA. Как будто завтра не может найтись другой такой же Ахмед, но со злым умыслом. Вот тогда разработчиков поимеют без вазелина. Как можно этого не понимать?
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Хороший вопрос :)
        • 0
          Они же «умные». Они все эти дыры уже закрыли.
          Ключевое слово ЭТИ.
          Если сканер пробил брешь, то ошибка не в решениях, а скорее всего в архитектуре (и их поведение это доказывает), и там наверняка есть еще сотни других уязвимостей, но не столь очевидных…
  • +2
    В части «Такие программы, говорит он, можно использовать только предварительно уведомив владельца сервера.» он прав, но реакция совершенно неадекватная.
  • +11
    «член местного компьютерного клуба», «небрежного кодирования».
    запустил сканер, чтобы проверить закрыта ли уже найденная им уязвимость.
    Причем первый раз это преподносится как уязвимость найденная без использования сканера.
    14 из 15 профессоров проголосовали за отчисление — он кого-то там уже здорово достал, сдается там причина не только в этом случае.
    Думаю эта история слегка переврана, мы не знаем всех подробностей учебы Ахмеда.
    • –1
      Думаю эта история слегка переврана, мы не знаем всех подробностей учебы Ахмеда.

      К этому можно добавить, что автор поста — ализар.
  • +2
    Думаю, в таком раскладе есть смысл посудиться, подключив к делу хорошего адвоката за процент от крупной суммы иска.
  • –1
    Теперь моральный долг Ахмета (ессно скрываясь за прокси) продавать свои услуги бывшим коллегам студентам зная об уязвимости ибо там наверняка есть еще подобные. А вообще конечно глупо.
  • +4
    Задолбали эти файрволы в человеческом мире.
    — Эй гражданина, туда не ходи… сюда ходи… в лог попадёшь, совсем неучёный будешь…
  • +3
    Такое ощущение что эту статью лично писал Ахмед, уж слишком она лирическая.
  • 0
    О, я помню меня тоже пожурили когда я попытался пологинится в разные telnet'ы при работе над дипломным проектом в институте (комьютера с интернетом у меня дома не было тогда). Тогда еще не было NAT и proxy и компьюетры подключенные к интернет в институте имели реальные IP адреса. Представляю как было бы печально если бы меня тогда отчислили. Думаю что университет погорячился.
  • +14
    Пфф. Мне закрывали доступ в компьютерный класс ИТМО всего лишь за запуск сканера портов. Заставили писать объяснительную, угрожали отчислением. Думаю, на хабре десятки, если не сотни, таких историй.
    • +38
      ну угрожать конечно это уже перебор, но все жа напишу отповедь.

      Админил компьютерный класс в универе, все хорошо, да вот постоянно всякие «кулхакеры» объвлялись, которые пытались всеми правдами и неправдами поломать все что можно. Хорошо если просто порты посканить, мне не жалко. Но вот нашелся один деятель, который сумел выгрузить нод32 из памяти и заразить компьютер какой-то хрень, которая изгадила все *.exe. В университете стояла windows 2000, так что эксплоитов под нее гуляло в сети достаточно, а заплатки выходили медленно.

      Лечение не прошло, пришлось перенакатывать ос. Итого, хакер самоутвердился, т.к потом орал на каждом углу, что мол все идиоты, он герой. Нод пофиксили почти через месяц, а в аудитории начались репресси. Потом еще возмущаются студенты: «а почему это все анально огорожено?». Да вот потому и огорожено, что не перевелись еще люди с заниженной самооценкой и желанием повысит карму.

      p.s: Желающим влепить мне минус, могу сказать, что можно прийти в гости куда-то и насрать на ковре с криками «А у вас баг, нет запрещающей таблички ЭТО НЕ ТУАЛЕТ», но вот как-то ваша оценка в глазах окружающих не повысится, да и карма пострадает.
      • +2
        Любые ремарки про карму обычно выходят боком :)
        Самоутверждение — это жесть, я бы сам не удержался от репрессий за это. А само заражение — тьфу, штатная ситуация.
      • НЛО прилетело и опубликовало эту надпись здесь
        • +3
          Ок, я предагаю немедленно его трудоустроить в Нод.

          В универе есть вин2000 + Нод, куплено все внезапамятные времена. Хорошо хоть это есть. Бежать к декану с криками — наш антивирус гауно, дайте мешок денег, мы другой купим, возможно он лучше.

          Тема выбора антивируса вообще была(наверное остается) холиваром.
          • НЛО прилетело и опубликовало эту надпись здесь
            • +2
              Как вы предлагаете защищать ему компы от дебилов, если нет финансирования, что бы обновить ОС и софт? Дежурить у компов с плетью?
            • –2
              В данном случае дело могли просто передать в суд. Ловить хулиганов задача милиции, для этого случая прекрасно подходит 272 статья. Я не хочу чтобы из-за какого-то идиота меня ограничивали в правах при использовании рабочего компьютера.
      • +19
        Но ведь любое можно направить во благо: знаю компьютерный класс, где стоял сервак отвечающий за все в школе. И информатик сразу объявлял — кто получит доступ к внутренностям системы и расскажет как он это сделал, тому 5 в году. Вот это вызывало абсолютное уважение к человеку и уверенность в его профессионализме. За все время вроде только один раз ученикам удалось таки сломать систему и то данные они не получили, но работоспособность нарушили (там стояла последняя линия защиты в виде выключения сервера при определенных аномалиях.

        Вот такие люди вызывают уважение — учителю не нужно было утверждаться в глазах учеников, быть строгим — его просто все уважали и каждый мог проверить «кто умнее». А пример с депрессиями это пример неконструктивного подхода к образовательному процессу, если люди готовы сидеть в классе, чтобы хакнуть сервак — это же просто отлично, их даже не нужно звать на урок.
      • +1
        Что мешало выкатить этому студенту счёт «за восстановление работоспособности сети» на сумму с пятью-шестью нулями? А потом любезно согласиться взять услугами по восстановлению ОС на всех побитых компах?

        P.S. А у нас в универе просто каждую ночь на всех компах винда из образа накатывалась. А документы все хранили на файловом серваке (потому что знали о том, что завтра на диске ничего уже не будет). И плевать на все хаки.
        • 0
          А что мешало эту же сумму вычесть из незаслуженно получаемой админом зарплаты?

          Это как если бы уборщица возмутилась, что студент посс… помочился не на левую стенку писсуара, а на правую и на этом основании потребовала сумму с нулями и/или отчисления.
      • 0
        Ну так одно дело использовать уязвимость для «поломки» компьютерного класса (такое надо пресекать чтоб дальше неповадно было), и совсем другое обнаружить уязвимость и сообщить о ней администратору…
      • +6
        Это был он.
      • +2
        *Здесь рассказ про хакера и солонки*

        Чёрт, опередили.
    • +6
      В компании Intel Вас бы уволили в 24 часа.
      • +1
        Когда учился в институте, там ходили истории про студентов, устроившихся на высокие позиции в Intel. Видимо, это одно из следствий :)
    • +1
      Ну по моему скромному мнению этика несанкционированных проверок всегда была такова:
      1 — начал атаку, и не нашел уязвимостей, но был пойман — значит виноват.
      2 — начал атаку, нашел уязвимости, и самолично признался в атаке и показал уязвимости — спасибо тебе, мил человек.
      Все остальные варианты промежуточные между этими двумя, и довольно индивидуальны.
  • +33
    Помню нашёл баг в интернет-магазине своего провайдера (в котором я кстати работал, правда менеджером), позволяющий покупать товар оплачивая с лицевого счёта других абонентов зная их логин и пароль, в обход защиты, которая запрещает (в теорие) совершать покупки с чужого IP. (причём cам баг не проверил на практике, но был уверен, что сработает).

    Тут же отписал главному безопаснику, всё объяснил, тот посмеялся и сказал, что защита 100%-ая и обойти нельзя. Поспорили с ним, что баг существует, через 10 минут скинул ему доказательства обхода защиты (купил с левого аккаунта книжку за 15 рублей), он поблагодарил и сказал, что всё исправят.

    На следующий день приезжаю на работу, меня сразу к начальству вызывают. Захожу и мне показывают письмо от главного безопасника с просьбами:
    1) уволить меня за нарушение каких-то частей договора
    2) завести на меня уголовное дело за обход защиты
    3) бла-бла-бла

    Хорошо хоть с начальником не плохо общался, всё объяснил ему, тот похвалил меня и посмеялся над безопасниками, а так ведь серьёзно могли в ответку гадость устроить.

    Вот такие вот дела.
    • +44
      Если главный безопасник после этого эпизода продолжил спокойно работать на своём месте, то начальство сильно недооценило его самодурство.
    • +1
      И вы после этого продолжили работать в этой компании, зная что там кам минимум безопасник и директор некомптентны (или сволочи)?
      • 0
        Я работал менеджером, не пересекался с безопасником и директором после :]
        А моё непосредственное начальство меня вполне устраивало
  • +3
    Ну, зато теперь его с радостью возьмут учиться те, кто заинтересован в активных и ответственных студентах.
  • +1
    [deleted]
  • +5
    «Я мог бы легко скрыть свою личность за прокси. Но я не сделал этого, потому что не считал, что совершаю что-то плохое»

    Теперь он будет делать тоже самое, но уже за проксей.
    • +13
      … и сливать уязвимость тем, кто действительно заинтересован в них…
      • +2
        Да можно даже не сливать, тут уже дело принципа.
        • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      «Я мог бы легко скрыть свою личность за прокси...

      О да, за прокси сильно скроешься…
      • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Ну оно и понятно. Но с другой стороны можно подойти куда позитивнее. К примеру: Виртуалка + Tor + прокси лист + инет через 3G модем.
      • 0
        Конечно тут же не позвонит. Однако, если захочет то через время может он может запросто позвонить, если за это не возьмется какая-нибудь другая «веселая» служба.
        Наверное он этим словом обозвал меры предосторожности (обзовем их так) в целом.
  • +2
    Гугл платит за это а учебные заведения садят.
    • 0
      Угу… такое ощущение что дело было не в Европе, а у нас
      • 0
        Выходит, мы ещё до них не доросли…
  • +14
    На их месте я бы в первую очередь отчислил президента SkyTech :) за «серьезное нарушение безопасности продукта»
  • +1
    Я так понял описано две ситуации:
    Первая — он обнаружил уязвимость и сообщил о ней, быстро исправить код не удалось и они пригрозили судом, дабы подписать nda. Тут все логично, все сделали, что могли. Могли конечно и денег дать за найденный баг, но это уж как где заведено.

    А вот руководство факультета не стало разбираться что к чему и отчислили парня. И далеко не факт, что компания издатель ПО просили об этом, возможно они вообще сообщили об это в нейтральном свете и без подробностей. А вот совет профессоров поленился разбираться. Крайне странно, что не вызвали для пояснений студента, даже у нас на разборки всегда вызывают, говоришь свою точку зрения и потом без тебя обсуждают, наказывать ли, а тут вроде Европа, все права чтутся и уважаются.
    • +6
      даже у нас

      а тут вроде Европа


      Сказки про Европу только сказки. Как европейцы судят о России по Москве, так и мы судим об Европе смотря на пару образцовых городов (стран?), таки дела.
      • +5
        Монреаль в Канаде. (как мы судим об американцах так и они судят о нас)
        • +2
          Человек, которому я отвечал, говорил про Европу, я даже процитировал, вот :[
          • 0
            Да по географии мне двойка. Но сути моего ответа это не меняет. У меня есть друзья обучающиеся в зарубежных институтах и «там» подход совсем другой. Вот только недавно общался с человеком, переехавшим на продолжение обучения. На вопрос «что там лучше» он ответил, что главное разительное отличие — то что у студента есть права и то, что он не изучает ни одного непонятного предмета, которые у нас везде пихают для галочки. Прежде всего разница обусловлена тем, что почти везде обучение платное и ты выбираешь институт по интересам, а не потому что все так делают, как он рассказал такие есть только первый год, потом они отсеиваются все.
            • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                Помню очень переживал, когда в 92-м году поступал вроде в институт, а оказался в университете. Не доволен, что у меня было слишком широкое образование — лучше бы программирования больше давали, чем философии или психологии.
                • НЛО прилетело и опубликовало эту надпись здесь
                  • 0
                    Подтверждаю. Даже не учась в универе находил способы пробраться в лабораторию и написать что-то / пошпилить в варкрафт с студентами.
                  • 0
                    Учится-то сам, но нужны какие-то ориентиры и, желательно, обратная связь. Сложно выучиться чему-то, о существовании чего даже не подозреваешь и когда никто не контролирует правильно ли ты поступаешь. Например, сложно вфыучить теорию программирования, если даже не знаешь, что вообще существует такое понятие

                    Нам практически не давали теорию ООП, а об ФП вообще даже не упомянули — узнал о нем вроде с Хабра. Что такое формальная сложность алгоритмов узнал где-то случайно тоже. Немного структурного программирования, немного алгоритмов типа пузырька или половинного деления, немного структур данных типа массивов и списков. Никакой рекомендованной литературы или учебников, только лекции и практики/лабы. Послабления «волокущим» только в виде разрешения не посещать лекции и на практиках заниматься чем угодно (СМ-1420 или ЕС-1840 в зависимости от курса на кафедре). Хотя нет, раз в две недели в ВЦ института пускали на пару, где были, кажется, 386. Ну и мы трое «волокущих» в группе правдами и неправдами время от времени получали доступ к каким-то немецким клонам IBM PC на кафедре инженерной графики.

                    P.S. Сорри за некропостинг, сразу не заметил вашего коммента.
              • 0
                Ну вот выше призывают не плодить стереотипы, а здесь предлагают их же. В нормальных университетах изучают и философию, и литературу, и всё прочее. Уже сама по себе система major subject / minor subject заставляет шире смотреть на своё образование.
    • +1
      Это таки Канада.
  • 0
    А если он в суд подаст, его разве не восстановят, да еще денег сверху не дадут?
    Даже в российских университетах пугали судом преподов. И выгоняли особо наглых.
  • 0
    Чувствую после этой статьи омнивокс ляжет под хэ и студенты начнут учиться по новому расписанию)
  • +10
    Настоящие учёные не прикрывают своё высокомерие профессиональной этикой. Когда я работал «профессором компьютерных наук» и админом ВУЗа одновременно, я за нахождение уязвимостей в моей системе пятёрки и пиво ставил.
    • 0
      Да так везде, таков мир, такая калиюга.
  • +2
    Между прочим, указанный сканер вполне способен одним сканированием нарушить работу служб. Помнится, дали на лечение один из внезапно рухнувших сайтов, заглядываю в БД, а там куча упоминаний этого акунетикса, вписанных как попало. То есть сканер сканировал и таки находил уязвимости, через которые в БД попадала куча левого хлама, несогласованного со схемой БД, в результате чего сервис и упал.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Ну, справедливости ради, надо признать, что бывают разные ситуации. Вот ты, сидя у себя в университете и никому зла не желая, написал «на коленке» простенькую систему для одноразового или временного решения какой-то конкретной задачи, не запариваясь при этом всякими проверками (на практике в таких случаях, когда создать продукт для потомков/продажи — не есть задача, принять предположение об идеальном качестве входного потока и сэкономить кучу времени совершенно нормально). И тут объявляется какой-то мажор-скрипткидди со сканером и загаживает/сносит тебе к хренам базу с наработанными данными — вот это уже действительно нарушение профессиональной этики.
        • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        А потом эти люди возмущаются, когда предлагают сделать вход в интернет по паспортам.
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Если он стучится рукой — это нормально. А если он в в витрину кипричом стучится, то это слегка не то, чего хотелось бы. Пусть даже и у половины магазинов установлены противовандальные стекла и им ничего не будет от кирпича.
            • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                >То есть сканер сканировал и таки находил уязвимости, через которые в БД попадала куча левого хлама, несогласованного со схемой БД, в результате чего сервис и упал
                • 0
                  Я пропустил этот факт при прочтении или это лично ваша гипотеза?
                  • 0
                    Пропустили, этов первом комментарии текущей ветки.
                    • 0
                      Ну в данном случае это только гипотеза.
                      Мало ли какие были обстоятельства в том случае? может там сканер запускали по стопитсот раз на день.
            • 0
              Раз уж встали на путь аналогий, то сервис, который ломается от сканера уязвимостей — это магазин из гофрокартона с окнами из стретч-плёнки. Чем туда стучатся — неважно. Он и так сам по себе от ветра иногда падает.
    • +16
      Мдээээээ, если уж вам просто сканер уязвимостей сервис поломал…
      Mad coding skillz, bro.
    • 0
      программисты сами виноваты если не фильтруют данные, даже банальное экранирование с триггерами уже позволяет на порядок сократить размер уязвимостей.
  • +18
    Я правильно понимаю, что существование этой статьи — это нарушение подписанного Ахмедом NDA, и теперь он сядет на срок от 6 до 12 месяцев?
    • 0
      «When reached for comment Mr. Taza acknowledged mentioning police and legal consequences, but denied having made any threats, and suggested that Mr. Al-Khabaz had misunderstood his comments.» из National Post. Переведу это так: «Когда сотрудники NP добрались за комментариями до г-н Таза, он признал что предупреждал о полиции и правовых последствиях при разглашении, но отрицал, что делал какие-то угрозы в сторону г-н аль-Хабаз, и предположил, что г-н аль-Хабаз неправильно понял его комментарии.»

      alizar вы упустил этот момент.
  • +2
    Хмм, странно. Думаю, что-то тут не так — если он уже знал как эксплуатировать уязвимость, почему пытался проверить с помощью Acunetix’а если уязвимость устранена?
  • 0
    «Я мог бы легко скрыть свою личность за прокси. Но я не сделал этого, потому что забыл не считал, что совершаю что-то плохое»
  • 0
    Грустная конечно история, но мне почему-то кажется, что парень без учебы/ работы не останется, имя он себе уже сделал.
    • +2
      Чем сделал-то? Просто запустив сканер по порталу?
      PS: Уязвимость кстати до сих пор есть.
      • +1
        Вы на Хабре читаете новость про этого паренька, который учиться в Канаде, я подозреваю он не читает новость про Вас на канадских сайтах =)
        • +1
          Ваша правда. Но я думаю его потенциальные работодатели понимают, что он на самом деле сделал. Но пиар конечно неплохой, может он действительно компенсирует несправедливость. Хотя, если честно, мне кажется что-то тут не чисто, и кто-то из сторон что-то не договаривает)
          • +1
            Честно говоря мне тоже так по началу показалось, слишком все гладко, и как то не очень не верится в некомпетентность 14 профессоров.
          • 0
            пиар никакой
  • +2
    «Какая-либо информация о технологиях обвеса и обсчёта покупателей, а также о применении данных технологий являются коммерческой тайной компании-владельца магазина». Ты обнаружил, что колбаса просроченная, а тебя потащили к директору магазина и заставили подписать NDA… Никогда не думал, что подобное бывает в реальности.
  • 0
    Omnivox, да есть тут у нас такая тема. Только его ломали уже не первый раз,
  • 0
    Еще одно подтверждение что светлая сторона безопасности как правило неинтересна, и скорее даже вреда.
    P.S. а с другой стороны — студент сам виноват — нужно было использовать VPN и цепочку прокси…
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      «темная сторона зла» — надо запомнить
  • 0
    Ну и чего эти старые пердуны могут научить?
    • 0
      «юзай прокси и три логи»(с)
  • 0
    Ради интереса у себя в ВУЗе юзал метасплоит фреймворк в университетской сети. Подбирал диапазоны. В один из дней нашёл две критических уязвимости: 1. На сервере лицензий 2. На компьютере охраны с базой электронных пропусков. Струхнул, записал данные и отдал зав кафедрой, на которой учусь. Спустя пару дней уязвимости софта закрыли, видимо путём обновления. Никаких карательных мер не последовало.
    • +1
      Но в соответствующие органы заявку отправили :)
  • +6
    Мда… есть пара своих старых мозолей. На втором курсе (1998 г.) не последнего в городе технического ВУЗа (экономический факультет) я как-то предложил — а давайте сделаем некий портал для студентов — расписание там, новости факультета итп. Меня открытым текстом спросили — «тебе что, больше всех надо?». «Ну да, а что?». «Иди отсюда».

    Два года спустя на лекции по «информатике» (с) лектор заявила (цитирую по памяти): «Эксель — это, можно сказать, ядро операционной системы Виндоус». Больше на эти лекции я не ходил. Пришло время зачета… который она мне ставить отказалась, заявив — «на лекции не ходил? ничего не знаешь, давай до свидания». Пришлось поднимать на уши знакомых с кафедры информатики, чтобы пробиться через эту стену.

    Еще год спустя (2001 г.!!) сдавал диплом, в котором была небольшая практическая часть с небольшим количеством кода (ага, на экономе). По требованиям моей экономической кафедры пришлось получить подпись от преподавателя информатики под практической частью. Диалог с преподом:

    — Так, что тут у тебя?

    — Вот, сайтик небольшой.

    — Что это за язык?

    — РНР.

    — А, так это и есть РНР? Где подписать?

    Ну хоть за это спасибо.

    А вообще — что посеете, то и пожнете, господа преподаватели. Те роботы с отсутствием смекалки, исследовательской жилки и нестандартного подхода, которых вы культивируете из-за нежелания смотреть на свою работу открыто, через 20 лет сядут писать код для вашего кардиостимулятора. Выбирайте.
    • +6
      Те роботы с отсутствием смекалки, исследовательской жилки и нестандартного подхода, которых вы культивируете из-за нежелания смотреть на свою работу открыто, через 20 лет сядут писать код для вашего кардиостимулятора.

      это пять!
  • 0
    Рискую нарваться, но… Мне кажется, не надо большого ума, чтобы запустить какую-то софтину, написанную другими людьми. Вот если бы он без этой софтины обнаружил дырку — вот тогда почет и уважуха. А из любопытства (!) запустить «сканер уязвимостей» может не только будущий программист, но и будущий, простите, гуманитарий. Администраторы, уверен, читая этот топик, скрежещут зубами, потому как умников, узнавших об умном слове «сканер», и «уверенно запускающих его на писи с виндоуз» хватает и без Ахмеда. И если запуск такого специфичного софта можно простить неуместно любопытному гуманитарию, который не понимает, к чему это может привести, то будущему программисту такой безответственности простить нельзя. Разрабатываешь мобильное приложение? Разрабатывай, тебе же не поручали сканировать боевой сайт. Другое дело, если ты непосредственно в процессе своей работы обнаружил уязвимость — вот тогда все честно, ты умный, наблюдательный и скрупулезный.
    Причем, заметьте, не смотря на это, его в первый раз все-таки похвалили. Дескать, от греха подальше, похвалим, может, обойдется, не станет парень больше пальцы в розетку сувать. Не обошлось.
    • 0
      Пост немного противоречив. Непонятно, как в первый раз он обнаружил уязвимость. Ссылка на сканер только во втором случае. При первом — «во время разработки». Лично мне бы во время разработки «морды» к сайту или веб-API не пришло бы в голову сканировать сайт на уязвимости, пока сам бы (случайно или анализируя механизмы, скажем, аутентификации) не обнаружил хотя бы одну.
  • 0
    Проблема, видимо в том, что никто не собирался эту уязвимость латать…
    «Получить доступ к перс.данным через единую платформу для большого количества вузов, которую студент находит — это простите, пахнет, умыслом и диверсией»…
  • 0
    Хотелось бы услышать версию руководства колледжа.
    Сдается мне, что студент чего-то не договаривает
  • –1
    Нарушение этики университета -> отчисление. Не очень понимаю, чего тут обсуждать, все так, как и должно было быть.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Попытка взлома, причем успешная. Сканер же по сути совершает серию атак на сканируемый сервер.
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Запуск эксплоита по-моему есть попытка взлома, что еще-то может быть? Хочешь проверять сервер на уязвимости — получи разрешение.
            • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                Нет, не согласен. А как это связано?
                • 0
                  Так, что любой может повторить действия этого студента со злым умыслом, и упереть все данные. И вместо того, чтобы закрыть дырку, ответственные лица перекладывают ответственность с больной головы на здоровую.
                  • 0
                    Я ночью проник в ювелирный магазин, о чем сообщил его владельцам. И, хотя я убеждал их, что любой может повторить мои действия со злым умыслом, вместо того, чтобы улучшить систему безопасности они все равно передали меня полиции.
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • 0
                        А в случае со студентом присутствует, т.к. это неправомерный доступ к информации. Между прочим, любой нормальный сканер предупреждает о незаконности его использования на чужих серверах.
                        • 0
                          Не было наказуемого неправомерного доступа к информации, по крайней мере по нашему УК. см этот комментарий. Не думаю, что Канадское законодательство в этом вопросе отличается(хотя всякое бывает, конечно).
                        • 0
                          Поясню на простом примере, почему вы, скорей всего, неправы. На бесплатном почтовом сервисе вы случайно опечатались в написании своего стопицотого e-mail-а для всякого мусора с простым паролем, и, впечатав свой простой пароль ВНЕЗАПНО попали в чужой ящик. Вышли. Руководствуясь лучшими побуждениями написали письмо, в котором посоветовали хозяину ящика сменить пароль. По вашей логике тут явный неправомерный доступ, а хозяин ящика, в который вы случайно попали — пойдёт и свидетелем(чего?), и пострадавшим(в чём?).
                          • 0
                            Нет, плохой пример. Это случайность. Оперся на дверь банка, а она не заперта была и ты ввалился внутрь. А вот если ты специально ввел чужой емейл и подобрал пароль (пусть очень простой, угадал с первого раза) — неправомерный доступ, взлом.
                            • 0
                              >А вот если ты специально ввел чужой емейл и подобрал пароль (пусть очень простой, угадал с первого раза) — неправомерный доступ, взлом.
                              Как отличить ваш пример от моего? Исключая возможность чтения мыслей?
                              • 0
                                Какая разница? Это же просто примеры. Он-то осознанно сканер запустил, да еще и рассказал об этом. А потом еще раз это сделал.

                                Нет, я понимаю, что он хотел как лучше. Но он нарушил правила, а возможно, и закон. Так что он еще легко отделался.
                                • 0
                                  Ещё раз — он не нарушил закон. Его действия не повлекли за собой никакого ущерба. Состава преступления нет. А если есть — то он есть в и случайном доступе.
                                  • 0
                                    Во-первых, по-моему, у вас странное представление о том, как работают законы (не в том смысле, что плохо работают, а вообще). Во-вторых, кажется, вы не очень понимаете, что такое состав преступления и как определяется его наличие или отсутствие.

                                    Т.к. доказать или опровергнуть факт копирования информации после неправомерного к ней доступа, как правило, невозможно, самого факта доступа достаточно.

                                    А если вы обратите внимание на комментарии к 272 статье, то обнаружите, что по законам РФ даже после согласия владельца информации и сервера, взлом и проникновение на этот сервер могут быть признаны незаконными, что ставит под сомнение любые пентесты.
                                    • 0
                                      Вообще если рассуждать только в рамках статьи, то я бы на его месте подал на них в суд с нехилой суммой иска.
                                      1 — я СЛУЧАЙНО обнаружил уязвимость которая могла привести к утечке МОИХ личных данных.
                                      2 — я сообщил об этом ответственным лицам, и с целью защиты своих личных данных проверил исправили ли они?
                                      3 — после того как стало ясно, что несмотря на мои законные требования в результате преступной халатности (или преступного замысла?) нарушение закона не было устранено, и с целью сокрытия…

                                      В общем позиция ясная и простая. Я защищал свои законные интересы не нарушая ни чьих интересов и не нанеся никому вреда.
                                      • 0
                                        Случайно запустил сканер?
                                        • 0
                                          Случайно нашел когда писал мобильное приложение.
                                      • 0
                                        После 3 логичный шаг обращаться в правоохранительные органы, а то и после 1.
                                        • 0
                                          Ну я бы как и написал начал с гражданского иска. Это проще. В плане того что его проще контролировать, нет ментов которые действуют по своему усмотрению и т.п…
                                          Да и доказательная база у злого умысла слабовата, так что гражданского иска вполне достаточно.
                                          • 0
                                            Гражданские суды тоже относится к системе правоохранительных органов.

                                            А вот с точки зрения закона «проверил исправили ли» может быть не чисто. Может не быть у вас полномочий так проверять. Например как в ситуации: случайно открыли вместо двери соседа свою дверь своим ключом и увидели там, скажем, явно незаконную перепланировку, угрожающую вашей жизни, сообщили ему, чтобы он восстановил капитальную стену, но это не даёт вам право повторно уже сознательно открывать его дверь своим ключом и проверять.
                              • 0
                                Как-то суды разбираются. Наличие или отсутствие умысла один из важнейших факторов классификация деяний.
                                • 0
                                  Как отсутствие умысла доказать-то? Получается, что если не дай бог обнаружил проблему где-то(случайно, или осознанно) — не сообщай о ней ни в коем случае, молчи, а то посадят?
                                  • 0
                                    А сканер он случайно запустил что ли? Запустил сканер — умысел.
                                    • 0
                                      Я спросил не как доказать наличие, а как доказать отсутствие умысла. Если невозможно определить, скопированы данные, или нет, по действиям невозможно определить, случайный это доступ, или с какими-то намерениями. Когда есть инструмент для взлома — ок, можно предполагать, что умысел есть. В противном случае, можно судить за случайный и за преднамеренный взлом в равной степени. И не надо про презумпцию невиновности — факт неправомерного доступа-то налицо.
                                      • 0
                                        Правомерность доступа это как минимум суд должен устанавливать.
                                        Факт преступления содержит многие составляющие, и наличие умысла является далеко не единственной «незначительной» деталью о которую разобьются любые попытки что-либо доказать.
                                        Очень упрощенно можно сказать, что поскольку злого умысла у обвиняемого не было, и ущерба никто кроме него не понес, то всё это редкостная чепуха.
                                  • 0
                                    По идее обвинитель должен доказывать наличие умысла, а не обвиняемый отсутствие.
                                    • 0
                                      Погодите, изначально была реплика о том, что умысел и последствия не важны, а важен сам «факт неправомерного доступа». Когда я попытался абсурдность этого обосновать, мне почему-то стали доказывать, что умысел-то там был. Зачем всё наизнанку выворачивать?
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                      • 0
                                        Я к вот этому привязался:
                                        Его действия не повлекли за собой никакого ущерба. Состава преступления нет. А если есть — то он есть в и случайном доступе.


                                        Был умысел — был состав. Не было умысла — не было состава.
                                        • 0
                                          Тут такое… уголовного дела не было, так что по большому счету — не было умысла, но был ущерб — все равно отвечай. Если я без умысла врежусь в вашу машину… ну вы поняли.
                                          • 0
                                            Тут вообще отчислили за нарушение этики. По сути из-за невыполнения условий договора между студентом и вузом договор об обучении был расторгнут. Ну, как провайдеры запрещают продавать их интернет соседям или спам рассылать или сети сканировать — узнают и расторгнут договор за факт нарушения его условий независимо от того был ли фактический ущерб.

                                            Аналогия с машиной не очень подходит — это средство повышенной опасности, за которую гражданскую ответственность несёт прежде всего владелец (не водитель, а именно владелец).
    • 0
      Вопрос в том, зафиксирована ли где-нибудь эта этика.
      • 0
        Конечно, зафиксирована. Даже в МГУ ввели несколько лет назад.
  • НЛО прилетело и опубликовало эту надпись здесь
    • –1
      Вы так говорите, будто брать чужое это нормально
  • НЛО прилетело и опубликовало эту надпись здесь
  • –1
    Месть арабу за 11 сентября)) Был бы он американским евреем вроде Цукерберга все было бы иначе
  • +2
    — Полковник, — сказал я серьезным голосом, — позвольте мне сказать Вам кое-что об этих замках. Когда дверь сейфа или верхний ящик шкафа для документов открыты, очень легко найти комбинацию. Именно это я проделал, когда Вы читали мой отчет, только для того, чтобы продемонстрировать Вам опасность. Вы должны настоять, чтобы во время работы с бумагами все держали закрытыми свои шкафы, потому что в открытом состоянии они очень, очень уязвимы.

    — Да-да. Я Вас понимаю. Это очень интересно.

    Теперь мы играли в одной команде.

    В мой следущий приезд в Ок-Ридж все секретарши и все знавшие, кто я, махали на меня руками: «Сюда не подходите! Сюда не подходите!»

    Оказалось, что полковник разослал по заводу циркуляр, в котором спрашивалось: «Во время своего последнего визита находился ли мистер Фейнман какое-то время в вашем кабинете, возле вашего кабинета или проходил ли он через ваш кабинет?» Одни ответили да, другие нет. Ответившие утвердительно получили еще один циркуляр: «Пожалуйста, смените комбинацию на вашем сейфе».

    Это была его реакция: опасность представлял я. Так что из-за меня всем пришлось менять комбинацию. Менять комбинацию и запоминать новую — не подарок, и все они злились на меня и не хотели подпускать меня близко, чтобы им снова не пришлось менять комбинацию. Нечего и говорить о том, что во время работы их шкафы были по-прежнему открыты!

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.