Diskusjon: Burde innbruddsforsoek vaere ulovlige?

[DrDoogie]

Hei folkens!

 

Har en oppgave paa universitetet som jeg stusser litt paa, og kunne hatt god bruk for velfunderte meninger om.

 

Vanligvis lar jeg meg ikke synke saa dypt at jeg tigger om hjelp til noe skole-saker, men akkurat denne oppgaven er litt interessant - den ser ved foerste oeyekast enkel ut, men blir vanskeligere jo mer du( jeg, :wink: ) tenker over den.

 

Dette er da den originale oppgaveteksten:

"Discuss whether you think attempting to break into(obtain access to or use of)a computing system without proper authorisation should be illegal(include examples to justify your discussion)."

 

Altsaa en grei "synse-oppgave". Men saa kan man spoerre seg endel spoersmaal da, blant dem:

[*]Hva er "aa forsoeke" aa bryte seg inn i? Er eksempelvis portscanning ett innbruddsforsoek? Hvis ja, hvordan er dette da forskjellig fra ping?

[*]Hva er "aa bryte seg inn i"? Bryter man seg inn i ett system naar man sitter med en 802.11b traadloes stasjon og surfer paa internett via en uvitende bedrifts nettverk? Hvis ja, hvordan passer da en system administrator sine valg inn i bildet?

[*]Hva er "uautorisert tilgang"? Benytter man seg av uautorisert tilgang naar man logger seg inn paa ett fremmed nettverk via en maskin sin M$-SQL med default passord? Hvis ja, hvordan er dette da forskjellig fra eksempelvis anonymous ftp?

 

Saa det er ikke helt enkelt aa vaere kverulant og bli bedt om aa diskutere noe...

 

[ Denne Melding var redigert av: DrDoogie på 2002-11-28 00:54 ]

[abcd423417984]

Jeg vil ikke si at portscanning er typisk innbrudd på noen måte. Jeg synes portscanning er meget nyttig uten at jeg benytter det til noe ulovlig. Er greit for å finne ut hvem på nettverket som bryter de interne reglene ut mot internett ved å f.eks. kjører programmer som kazaa. Dessuten vil det da fort bli vansklig å bestemme hva som er portscanning og hva som ikke er portscanning. Er det da portscanning å sjekke 1 port på en maskin? er det portscanning å sjekke 2 porter? er det portscanning å sjekke 3 porter?

 

Desverre går det en grense før det går ut over personen det gjelder. Med f.eks. ping kan det fort bli flood. Jeg synes ikke at å prøve å koble seg opp mot alle mulige porter er svært forskjellig fra pingflood.

 

Da det gjelder de andre to punktene så er svaret i mine øyne definitivt JA! det er innbrudd.

 

[ Denne Melding var redigert av: namelezz på 2002-11-28 01:04 ]

[Lch]

Quote:

Den 2002-11-28 00:48, skrev DrDoogie: Dette er da den originale oppgaveteksten: "Discuss whether you think attempting to break into(obtain access to or use of)a computing system without proper authorisation should be illegal(include examples to justify your discussion)."

 

Utvetydig og rungende: Ja.

 

Quote:

Altsaa en grei "synse-oppgave". Men saa kan man spoerre seg endel spoersmaal da, blant dem: [*] Hva er "aa forsoeke" aa bryte seg inn i? Er eksempelvis portscanning ett innbruddsforsoek? Hvis ja, hvordan er dette da forskjellig fra ping?

 

Portscanning er ikke innbruddsforsøk. Det er flere grunner til at dette kan skyldes andre ting enn innbruddsforsøk.

 

Quote:

[*] Hva er "aa bryte seg inn i"? Bryter man seg inn i ett system naar man sitter med en 802.11b traadloes stasjon og surfer paa internett via en uvitende bedrifts nettverk? Hvis ja, hvordan passer da en system administrator sine valg inn i bildet?

 

Hvis aksesspunktet tilbyr betingelsesløs tilgang, er det de ansvarlige som må ta støyten. Det er hårreisende uprofesjonelt.

Et fritt/åpent WLAN kan ikke brytes inn i, da er det ikke lengre fritt/åpent.

 

Quote:

[*] Hva er "uautorisert tilgang"? Benytter man seg av uautorisert tilgang naar man logger seg inn paa ett fremmed nettverk via en maskin sin M$-SQL med default passord? Hvis ja, hvordan er dette da forskjellig fra eksempelvis anonymous ftp?   Hm. Den var verre. Jeg vil si nei.   Edit: Inet-forbindelsen gjør meg tokig. Tokig!   [ Denne Melding var redigert av: LarsC på 2002-11-28 01:18 ]

[Shrike]

Portscanning er nyttig spør du meg. Bruker det mye til feilsøking.

[abcd423417984]

mye av sakene over er jo pga uansvarlige administratorer. Hadde man tatt sikkerhet litt mer alvorlig ville det ikke vært så lett, selv om det alltid er noen som klarer å komme seg gjennom sperrene...

[Ola PeK]

Quote:

Den 2002-11-28 00:48, skrev DrDoogie: Dette er da den originale oppgaveteksten: "Discuss whether you think attempting to break into(obtain access to or use of)a computing system without proper authorisation should be illegal(include examples to justify your discussion)."

Litt klossete spørsmålsformulering "attempting to break into...without proper authorisation", må jo per definisjon vere ulovleg.

Quote:

[*] Hva er "aa forsoeke" aa bryte seg inn i? Er eksempelvis portscanning ett innbruddsforsoek? Hvis ja, hvordan er dette da forskjellig fra ping?

Portscanning i seg sjølv: nei. Det må vere greit å sjekke om boksen du har brukarkonto på køyrer ssh på port 22 eller på ein annan port.

Å forsøke innbrot er når du prøver å få tilgang til ein ressurs som du veit eller burde vite at du ikkje skal ha tilgang til.

 

Men td. anonym FTP er ein ressurs som det er ganske vanleg å gje tilgang til, derfor er det ikkje innbrotsforsøk å sjekke om det går an å logge seg på med 'anonymous' eller andre standard b/p.

 

Anonym ssh er derimot ikkje så vanleg, så det må derfor reknast som eit innbrotsforsøk å teste ut forskjellige brukar/passord her.

 

Tvilstilfelle kan jo vere den Reuters-saka i Sverige, der ein Reuter-journalist skreiv inn ein URL (kvalifisert gjetting) og fekk tilgang til kvartalsrapporten før den var offentleggjort. I utgangspunktet må ein jo tru at ting som er tilgjengelege over port 80 er offentlege, samtidig så visste vel Reuters at rapporten skulle offentleggjerast på pressekonferanse litt seinare, og burde derfor vite at rapporten var hands-off fram til da.

Quote:

[*] Hva er "aa bryte seg inn i"? Bryter man seg inn i ett system naar man sitter med en 802.11b traadloes stasjon og surfer paa internett via en uvitende bedrifts nettverk? Hvis ja, hvordan passer da en system administrator sine valg inn i bildet?

Du utnyttar ein ressurs som det ikkje var meininga du skulle bruke.

Om ein uautorisert person tek seg inn på militært område, så er det ulovleg sjølv om ein port var ulåst.

Du kan ikkje berre valse inn i kinosalen utan betale fordi dørvakta ikkje står der akkurat da.

 

At admin er uforsiktig fritek ikkje deg for ansvar. At bedrifta ikkje får erstatning for eventuelt tap fordi admin er uforsiktig er eit anna spørsmål.

Quote:

[*] Hva er "uautorisert tilgang"? Benytter man seg av uautorisert tilgang naar man logger seg inn paa ett fremmed nettverk via en maskin sin M$-SQL med default passord? Hvis ja, hvordan er dette da forskjellig fra eksempelvis anonymous ftp? Ja, same som over, du tek deg inn i ein ressurs som det er ikkje meininga du skal ta deg inn i. Forskjellen frå anonym FTP er at FTP er ein vanleg teneste som ein må kunne gå ut frå er sett opp for at folk skal ha tilgang.   At det er default passord fritek deg ikkje for ansvar.   Mitt prinsipielle syn er altså: At ein ting er usikra betyr ikkje at du kan gjere som du vil. At ei dør er ulåst betyr ikkje alltid at du kan gå inn. At døra på biblioteket/ftp-servaren er ulåst betyr som oftast at du kan gå inn. At døra i ein villa eller eit trådlaust nett i ei bedrift står open betyr vanlegvis ikkje at du kan gå inn, med mindre du kjenner dei som bor der veldig godt, eller du har spurt om lov.

[sofTest]

Deltok i en debatt i denne tråden en tid tilbake. Du kan nok finne noen argumenter du kan bruke i den.

[Skrue]

Spørsmålet er i seg selv rett og slett skremmende, og avdekker en nærmest total mangel på respekt for andres eiendom, generelt sagt.

 

Finner man en "åpen dør", enten i et hus, en bil, eller for den saks skyld i et nettverk, så bør man legge for dagen et såpass moralsk nivå for den som eier gjenstanden / domenet, at man aldri finner på å "gå inn".

 

Jeg er mildest talt oppbragt over at et slikt spørsmål bringes til torgs.

Men er samtidig klar over at det moralske forfallet er ganske påtagelig, og respekten for andres eiendom deretter.

Det er rett og slett tragisk! Rent ut sagt: Jeg gremmes, til de grader......

 

"Quo Vadis"?

[Treat]

http://www.astalavista.com/technologies/li...veAdvantage.zip

 

kan laste ned en ting som kan få deg til og endre mening :razz:

[Lufen]

alle forsøk på å ta seg inn på en pc eller et nettverk som du ikke skal ha tilgang til er innbrud samme gjelder for tomter og hus

tenk dem om en mann som brøt seg inn hos dere ikke fikk straff fordi han ikke hadde gjort det nok ganger

hva ville dere gjort?

ikke tenk på skrivefeil, er for trøtt

[smetho]

Vil si meg enig i at setningen "without proper authorisation" tvinger frem svaret på oppgaven. Det er altså ulovlig! Portscanning er ikke ulovlig, men man får da ikke tilgang på noe som helst ved å scanne porter.

 

Resten orker jeg ikke svare på akkurat nå :smile:

[Skrue]

Quote:

Den 2002-11-30 01:27, skrev Treat: http://www.astalavista.com/technologies/li...veAdvantage.zip kan laste ned en ting som kan få deg til og endre mening :razz:

 

Nei, overhodet ikke! At man på en slik måte kan profittere på et slikt utspill, får heller komme "kortspilleren" til del.

 

det moralske aspektet forandres uansett ikke, i allefall i mine øyne....

[tommyb]

Portscanning:

 

Jeg må si at jeg synes portscanning tilsvarer å gå rundt et hus for å kikke etter åpne vinduer. Det er ikke ulovlig i seg selv, men man burde lukke vinduene når folk tusler rundt på den måten.

 

-t

[cyclo]

Quote:

Den 2002-11-28 00:48, skrev DrDoogie: [*] Hva er "aa forsoeke" aa bryte seg inn i? Er eksempelvis portscanning ett innbruddsforsoek? Hvis ja, hvordan er dette da forskjellig fra ping?

 

Norsk lov og rettspraksis er følgende (I følge det økokrim sa på gjesteforelesning):

Portscanning i seg selv er ikke ulovlig, men regnes som forsterkende ved en evt. dom.

Altså man får en strengere dom for å ha utført et innbrudd dersom man på forhånd har portscannet. Dette fordi portscanninga beviser at man aktivt har gått inn for å gjøre innbruddet.

 

Nå vet du det :wink:

[DrDoogie]

Hei og haa.

Leverer inn oppgaven naa, og takker for innspill.

Synes det kan vaere greit aa inkludere den ferdige teksten, i tilfelle det for noen er interessant aa se et resultat av de innspill som har kommet. Jeg refererer ikke til hardware.no som inspirasjonskilde fordi det blir stress og etter mine betraktninger rundt tyggegummi og navlelo i denne posten er jeg naa litt lat.

 

 

 

Question 3

 

Assumptions:

• I assume "attempting to" means an unsuccessfull attempt

• I assume "break into (obtain access to or use of)" means process data

• I assume "computing system" means some hardware that processes data and belongs to a second party

• The term "proper authorisation" is presumed to be different from simply "authorisation", and taken to mean that the system is responsible for properly communicating both denials and grants of authorisation. The question remains to be answered as to whether this can be done before an attempt to use the system is made. However, the interpretation of "proper" is not important in that respect, as will be argued.

• I assume that "illegal" means that the action can be prosecuted and that the law will be enforced in the real world – as opposed to something which is merely "immoral", "evil", or “naughty”

 

As such, the question for this discussion can be rewritten as:

• "Should failure to process data on someone else's hardware be prosecuted, given that the person attempting this has been properly informed that he / she does not have authorisation to do so?"

 

 

Introduction:

As our society becomes more and more dependent on the correct processing of confidential digital information, the necessity for protecting this ability to correctly process confidential information increases. Legislation for the digital age has had a tendency to lag behind the industry's need for such legislation, failing to deterr would-be attackers from disrupting processing or breaching confidentiality. On the other hand, the need for such legislation has in some cases lead to draconian measures <2> <3>, which due to its lack of correctly addressing real issues in a realistic fashion, also fail

to instill in people a healthy respect for the law.

One might say that the preventative aspect of legislation can be likened to the deterence of a guard dog: A dog that barks at everything which moves ends up scaring no one; just the same as a dog that never barks.

Therefore it is both relevant and necessary to try and both preempt the need for legal presedences, and the failure of law in addressing reality, by considering the legislative security issues in the industry today through a realistic perspective.

 

 

a)

 

As a computing professional, the writer does not hold a degree in law. Therefore, in discussing a hypothetical legislative question that in reality deals with intent[1], his viewpoints will inevitably be uninformed, opinionated, and to a large degree reflect his own personal moral standpoint. This is not to say that these viewpoints and standpoints necessarily are not reflective of opinions present in the computing industry, merely that the writer’s opinions further adds to his limitation in addressing the key issue, namely that of law. As such, they will inevitably colour the argumentation of the writer, which should be brought to the front at the very start of the argumentation.

The writer believes the question of proper authorisation is absurd, considering for instance the practice of some software vendors in setting default passwords and open ports on installation of a program.

Having said that, let us consider some examples that illustrate why the writer believes that it should not be illegal to attempt to use a computer system without proper authorisation.

Let us start with the least supportive example. Consider the "Error 401" and "Error 403" <4> messages encountered when attempting to access an Internet resource for which the user does not have authorisation. Should every user encountering such a standard Internet error message be tracked down and prosecuted according to the full penalty of law? This would be difficult to say the least, yet the user has in effect attempted to use a computer system for which he / she does not have authorisation.

Another example is that of warchalking <5>, the practice of drawing chalkmarks

to indicate the presence of a wireless network, which if open, under present

legislation regarding public access to radio waves, can be freely accessed.

One might argue that this practice is immoral, in that it uses bandwidth without

permission, but for the present discussion the question is whether one has authorisation to do this or not. And this is where the interpretation of "proper authorisation" comes into play. A system offering open services on open channels through radio waves regulated as publicly accessible, should be expected to be responsible for communicating authorisation of said services properly. This can only be said to have been done if both denials and grants of authorisation are communicated. Properly.

In the real, physical world there are doors, locks, and signs clearly signaling the need for a user to have both permission and keys in order to access restricted areas - yet the lack of even the most rudimentary measures to inform, deterr, and prevent unauthorised access does not seem to be an issue for some system administrators( who run open wireless networks ).

The last example is a rather more interesting and substantiated one than that of error messages and chalk marks, and is also at heart the example scenario for which the writer feels his opinion is reflective of the general view of the professional IT community.

There was an interesting legal case in Norway a couple of years back, in which Norman Data Defense Systems AS carried out a security analysis of the University of Oslo on

behalf of the Norwegian Broadcasting Channel's Daily News <6>,<7>.

The following is a brief translation of the most accurate article[2], which comments on the case:

"What took place was that an employee at Norman accessed the webserver Info, and by

varying the last numbers in Info's IP-address, found the servers Ernst and

Hermod. Neither of these servers were directly accessible to the public, but

were still unprotected and permanently connected to the Internet. By fingering

Hermod, the workstation Virak was found, and fingering Virak gave the name of

Virak's user. The employee at Norman telneted Virak, and attempted to access the

workstation by using two commonly authorised users – ‘guest’ and ‘anonymous’.

Further, ‘sendmail verify Virak's user’ confirmed that Virak's user's personal

mailbox was located at Virak. Finally, a portscan-program was run against Info,

Ernst, and Hermod, which revealed what services these servers offered. <7>"

 

This portscanning took place on 15. December 1995, and was reported to the Department of Economic Crime by the University of Oslo( UiO ), which took it all the way to the Norwegian Supreme Court <8>. The reason for bringing the case to the Supreme Court, was the Department of Economic Crime's desire for a presedence in this area( primarily portscanning ). The Supreme Court declined to make a principal verdict in this case in its ruling on 15. December 1998, on the grounds of the way the case had been handled in preceding courts, and the substance of the appeals presented to it.

There were two appeals in this case, one from both parties.

The Department of Economic Crime appealed the "not guilty" verdict on the charge of "without permission, break a protective measure or similarly attempt to obtain access to information or hardware" <6>, and Norman appealed the "guilty" verdict on the charge of

"illicitly using accessory / equipment belonging to another" <6>.

The Supreme Court cleared Norman of both charges.

As Professor Jon Bing at the Institute for RettsInformatik comments:

"What is the point here, is that one cannot criminalize common Internet actions. If I find a server for which I do not have an own user account, it must be permissible to attempt using a password like 'guest' without risk being accused of hacking" <7>.

 

An amusing related incident, is that in November 2002, UiO was cracked <9>.

52000 users had to change their passwords after a (allegedly german) cracking group broke into an unpatched Microsoft SQL database server, and used this compromised box to find a system administrator's password. The reason the SQL server had not been patched, was that a program, not a user, had installed it. Now, what makes this

amusing, is that there is a very simple way of performing a security audit of the types of services offered by machines on a network, and so detect boxes that run unauthorised services in violation of the security policy.

It's called portscanning.

 

Which begs the question: “If it was legal to attempt to actually break into a computer system, would we, in the long run, have more or fewer successful break-ins?”

 

In conclusion, there are at present situations that make the question of prosecuting people for attempting to use a computing system without having proper authorisation, problematic and inconvenient. As such, the writer's conclusion is that a legislation aiming at making an attempt to use a computing system without proper authorisation illegal, inevitably will be an inconsistent, slap-dash legislation.

Furthermore, the question of how to, in the future, properly communicate to people attempting to use various semi- or fully open services running at different protocols using a multitude of devices and channels, that they do not, in fact, have proper authorisation

before they attempt to use the service, is problematic to say the least. One may well expect that wireless networks will become more and more common and diversified in the future, presenting situations in which it will be desirable for a user to use some variation of broadcast / rangescanning in order to identify closed and open services - in effect, attempting to use.

It is the belief of the writer that the consensus in the computing community is that, in our desire to make our jobs easier, more irresponsible, or even legislate a little warm and fuzzy feeling of safety into our lives, we do not legislate away neither the possibilities of the future nor the freedom of the present [3].

 

 

 

 

Footnotes / endnotes:

 

[1]: Did the person attempting to use a computing system do so with the intent

of ignoring proper authorisation? Did the person responsible for the computing

system intend for it not to be used without proper authorisation? Was the need

for having proper authorisation properly communicated? Were the necessary steps

taken to ensure that only people with proper authorisation would be able to

access the system, according to (the minimum) industry security standards /

recommendations?

[2]: The writer has chosen to include the Norwegian sources as

they are the most authoritative ones. A lot of even Norwegian papers got their

facts wrong on this one( as journalists often do when things get technical and

boring ), and the foreign ones seemed to be only interested in sensationalising

the issue beyond recognition.

[3]: "They that can give up essential liberty to obtain a

little temporary safety deserve neither liberty nor safety" – Benjamin Franklin

 

 

Bibliography / references:

 

1. Gummi bears defeat fingerprint sensors, http://www.theregister.co.uk/content/55/25300.html, 19.12.2002

2. Gamers face jail in Greece, http://news.zdnet.co.uk/story/0,,t269-s2121692,00.html, 19.12.2002

3. Why restrictive tech laws make no sense, http://www.zdnet.com/anchordesk/stories/st...2879351,00.html, 19.12.2002

4. Explanations of some of the errors found

while cruising the WWW, http://www.pil.net/tech/internet/errors.html#401, 19.12.2002

5. Warchalking, http://www.warchalking.org/story/2002/9/22/223831/236, 19.12.2002

6. Norman frifunnet for datainnbrudd[ Norman cleared of computer break-in ], http://www.digi.no/digi98.nsf/pub/dd618116...80KVI2643625544, 19.12.2002

7. Norman-dommen misforstått i utlandet,[ Norman-verdict misunderstood abroad ], http://www.digi.no/digi98.nsf/pub/dd643250...031ER3852140078, 19.12.2002

8. Straffeloven § 145 og § 393.: Påtalemyndigheten (Aktor: Kst statsadvokat Roar Østby) mot X Systems AS og A (Forsvarer: Advokat Kai Thøgersen - til prøve) [The Verdict, requires subscription to access older verdicts ], http://www.lovdata.no/hr/index.html, 15.01.1999

9. Hacker-sjokk for UiO[ Hacker-shock for UiO ], http://www.itavisen.no/art/1299953.html, 19.12.2002

[WebWarrior]

Quote:

Den 2002-11-28 00:48, skrev DrDoogie: Hei folkens! Har en oppgave paa universitetet som jeg stusser litt paa, og kunne hatt god bruk for velfunderte meninger om. Vanligvis lar jeg meg ikke synke saa dypt at jeg tigger om hjelp til noe skole-saker, men akkurat denne oppgaven er litt interessant - den ser ved foerste oeyekast enkel ut, men blir vanskeligere jo mer du( jeg, :wink: ) tenker over den. Dette er da den originale oppgaveteksten: "Discuss whether you think attempting to break into(obtain access to or use of)a computing system without proper authorisation should be illegal(include examples to justify your discussion)." Altsaa en grei "synse-oppgave". Men saa kan man spoerre seg endel spoersmaal da, blant dem: [*] Hva er "aa forsoeke" aa bryte seg inn i? Er eksempelvis portscanning ett innbruddsforsoek? Hvis ja, hvordan er dette da forskjellig fra ping?

 

Portscanning er ikke og burde ikke i seg selv være ulovlig. Stakkars oss admins da! Men vill og unødvendig portscanning av andre nettverk uten tillatelse, det er en annen sak. Nå er det vel egentlig lite galt i det, jeg mener å portscanne er jo det samme som å gå å kjenne på dørhåndtaker om dørene er låst. Problemet er, man kjenner skjelden etter om en dør er lås om man ikke vil forsøke å komme inn igjennom den. Samme med portscanning. Man scanner ikke porter uten tillatelse for å ignorere dem senere. Man scanner porter for å finne ut om man kan komme seg inn. Derfor er det meget forståelig at portscanning annses som innbruddsforsøk.

Ping... Hmmm.... Vel. Idunno. Ping er liksom ikke det samme da. Ping flood er ille, men ping i seg selv ser jeg ingen problemer med.

 

Quote:

[*] Hva er "aa bryte seg inn i"? Bryter man seg inn i ett system naar man sitter med en 802.11b traadloes stasjon og surfer paa internett via en uvitende bedrifts nettverk? Hvis ja, hvordan passer da en system administrator sine valg inn i bildet?   Tja. Det er vel innbrudd det like som det er innbrudd å bare vandre inn i et hus og begynne å spise av maten deres. Likevel mener jeg bedriften bør holdes lastelig for dette. Slik adgang, det å bare entre inn på andre nettverk vha en enkel bærbar er admins ansvar. Vedkommede surfer kan teoretisk tro han sitter på et annet nettverk enn han gjør og dermed kan han ikke like lett holdes lastelig. Etter min mening er det idiopti med trådløse nettverk uten god (og da mener jeg GOD) sikkerhet.     Quote: [*] Hva er "uautorisert tilgang"? Benytter man seg av uautorisert tilgang naar man logger seg inn paa ett fremmed nettverk via en maskin sin M$-SQL med default passord? Hvis ja, hvordan er dette da forskjellig fra eksempelvis anonymous ftp?   Anonymous ftp er som regel satt opp for at alle og enhver skal kunne bruke den. Anon ftp er satt opp som anon ftp servere for å tjene "det offentlige". Det er derfor admin har gitt anon brukere tilgang. Enten er det derfor, eller så har ikke admin peil... Ikke peil over hodet.