kilogram Skrevet 2. mars 2006 Del Skrevet 2. mars 2006 Professor gir ulovlig oppgave En professor på et amerikansk universitet har gitt sine studenter i oppgave å "foreta en sikkerhetsevaluering av en eller flere datasystemer." Bare synd at det er ulovlig. Les artikkelen her Lenke til kommentar
efikkan Skrevet 2. mars 2006 Del Skrevet 2. mars 2006 Latterlig. Det er nok av folk som gjør dette fra før! Lenke til kommentar
Simen1 Skrevet 2. mars 2006 Del Skrevet 2. mars 2006 Å forhindre folk med gode intensjoner om å finne sikkerhetshull må jo være en bra taktikk </ironi> Lenke til kommentar
jorgis Skrevet 2. mars 2006 Del Skrevet 2. mars 2006 Er ikke dette lov i norge? Mener å huske at åndsverksloven sier noe om at det er lov å ta ifra hverandre og analysere hvordan et dataprogram eller en database fungerer, om det er nødvendig for å få bruke det slik du vil. Vil da regne med at dette også gjelder hele datasystemer også, selv om det ikke står det spesifikt. Og portscanning er da ikke noe nytt. Min lille linux-boks som sitter her på rommet og kjører som server blir utsatt for et par tusen regelrette innbruddsforsøk hver dag, og da snakker vi om mer enn bare portscanning. Lenke til kommentar
ATWindsor Skrevet 2. mars 2006 Del Skrevet 2. mars 2006 Er ikke dette lov i norge? Mener å huske at åndsverksloven sier noe om at det er lov å ta ifra hverandre og analysere hvordan et dataprogram eller en database fungerer, om det er nødvendig for å få bruke det slik du vil. Vil da regne med at dette også gjelder hele datasystemer også, selv om det ikke står det spesifikt. Og portscanning er da ikke noe nytt. Min lille linux-boks som sitter her på rommet og kjører som server blir utsatt for et par tusen regelrette innbruddsforsøk hver dag, og da snakker vi om mer enn bare portscanning. 5687860[/snapback] Hvor går egentlig skillet mellom scanning, og en lovlig request? AtW Lenke til kommentar
jorgis Skrevet 2. mars 2006 Del Skrevet 2. mars 2006 Er ikke dette lov i norge? Mener å huske at åndsverksloven sier noe om at det er lov å ta ifra hverandre og analysere hvordan et dataprogram eller en database fungerer, om det er nødvendig for å få bruke det slik du vil. Vil da regne med at dette også gjelder hele datasystemer også, selv om det ikke står det spesifikt. Og portscanning er da ikke noe nytt. Min lille linux-boks som sitter her på rommet og kjører som server blir utsatt for et par tusen regelrette innbruddsforsøk hver dag, og da snakker vi om mer enn bare portscanning. 5687860[/snapback] Hvor går egentlig skillet mellom scanning, og en lovlig request? AtW 5687970[/snapback] Scanning består vel egentlig av en serie med nøye utformede (men lovlige) requests, som en analyserer svaret på, så skillet er jo voldsomt flytende. På samme måte er det jo ikke lett å definere skillet på dDoS og en slashdotting eller digging. Hmm, vanskelig, dette... Lenke til kommentar
willbend Skrevet 2. mars 2006 Del Skrevet 2. mars 2006 (endret) [offtopic] Det blir veldig vanskelig for de som lager lover å lage lover etter hvor stor grad man har hacket. De folka der vet jo sikkert ikke forskjell på http og ftp. Da blir det vanskelig å dømme eller lage lover mot hacking. Men en annen ting jeg har tenkt på, når det gjelder datakriminalitet. Jeg leste en plass der irc logger ble levert til politiet og ble brukt som bevis mot en kar, slike logger kan jo forfalskes? Og hva med access_log i linux? Den kan jo også forfalskes. Med andre ord, alt elektronisk kan forfalskes så vidt jeg kan se. Noen kommentar til det? [/offtopic] Endret 2. mars 2006 av willbend Lenke til kommentar
jorgis Skrevet 2. mars 2006 Del Skrevet 2. mars 2006 [offtopic]Det blir veldig vanskelig for de som lager lover å lage lover etter hvor stor grad man har hacket. De folka der vet jo sikkert ikke forskjell på http og ftp. Da blir det vanskelig å dømme eller lage lover mot hacking. Men en annen ting jeg har tenkt på, når det gjelder datakriminalitet. Jeg leste en plass der irc logger ble levert til politiet og ble brukt som bevis mot en kar, slike logger kan jo forfalskes? Og hva med access_log i linux? Den kan jo også forfalskes. Med andre ord, alt elektronisk kan forfalskes så vidt jeg kan se. Noen kommentar til det? [/offtopic] 5690453[/snapback] Vitneuttalelser kan forfalskes, fysiske spor kan forfalskes. Det handler mer om hvor troverdige bevisene er. Hvis de får tilsendt IRC-logger fra en anonym person er de mindre troverdige enn en logg hentet direkte fra IRC-serveren under en razzia. Det må rett og slett bare brukes sunn fornuft, det går ikke an å basere saken på en lett forfalskbar logg. Lenke til kommentar
Dipso Skrevet 5. mars 2006 Del Skrevet 5. mars 2006 (endret) Vitneuttalelser kan forfalskes, fysiske spor kan forfalskes. Det handler mer om hvor troverdige bevisene er. Hvis de får tilsendt IRC-logger fra en anonym person er de mindre troverdige enn en logg hentet direkte fra IRC-serveren under en razzia. Det må rett og slett bare brukes sunn fornuft, det går ikke an å basere saken på en lett forfalskbar logg. 5690600[/snapback] Det er sant som han sier: alle som ser litt csi vet at man også må være nøye med å dokumentere hele veien til beviset. Slik kan man dokumentere at de kom, tok maskina mi, åpna loggen, og printa den ut. (f.eks) hvis de bare sier "hepp! en logg" så blir det lite troverdig ja. En log er derfor veldig dårlig bevis for en privatperson å legge fram. uten å ha bevis og dokumentasjon på hvordan den er skaffet og at den ikke er endra. Endret 5. mars 2006 av Dipso Lenke til kommentar
jorgis Skrevet 5. mars 2006 Del Skrevet 5. mars 2006 Vitneuttalelser kan forfalskes, fysiske spor kan forfalskes. Det handler mer om hvor troverdige bevisene er. Hvis de får tilsendt IRC-logger fra en anonym person er de mindre troverdige enn en logg hentet direkte fra IRC-serveren under en razzia. Det må rett og slett bare brukes sunn fornuft, det går ikke an å basere saken på en lett forfalskbar logg. 5690600[/snapback] Det er sant som han sier: alle som ser litt csi vet at man også må være nøye med å dokumentere hele veien til beviset. Slik kan man dokumentere at de kom, tok maskina mi, åpna loggen, og printa den ut. (f.eks) hvis de bare sier "hepp! en logg" så blir det lite troverdig ja. En log er derfor veldig dårlig bevis for en privatperson å legge fram. uten å ha bevis og dokumentasjon på hvordan den er skaffet og at den ikke er endra. 5702340[/snapback] Om jeg har gjort noe gale, og bevisene ligger på min maskin er det ikke noe problem for meg å forfalske loggene, og fjerne spor etter det igjen. Troverdighet er et vanskelig emne. Men jeg skjønner godt hvorfor denne professoren vil gi denne oppgaven. Om en skal finne sikkerhetshull i systemer er man nødt til å ta utgangspunkt i det en eventuell inntrenger vet, og det en eventuell inntrenger kan/vil finne på. Skal en lete etter feil må en hakke på utsiden og se hva som skjer, ikke bare sitte innenfor og tro at alt er fint. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå