О паролях⁠⁠

xxx: Сегодня прикол был

xxx: Один аутсорсер, в приложении для нас встроил тайм-бомбу. Это когда перед запуском программы проверяется текущая дата и если она превышает заложенную - программа перестаёт выполнятся. Он периодически присылал обновления, в которых сдвигал эту дату. К слову, мы с ним расплатились в полном объеме. Программа - макрос на VBA для Excel.

xxx: И сегодня у заказчика время пришло и макрос перестал выполняться

xxx: Я понимаю, если бы мы ему не платили, такое бывает, но тут он неправ

xxx: Дозвониться до него не получилось

xxx: Ну я распаковал xlsx, залез в ресурсы и нашёл там пароль в открытом виде. Открыл с этим паролем макросы и вычистил бомбу из исходника

xxx: Потом думаю - а не попробовать ли мне этот пароль ввести к его почте, с которой он с нами поддерживает связь...и вуаля, пароль подошёл! :-)))

xxx: Вывод - всегда используйте разные пароли! :-)

348

Вы смотрите срез комментариев. Показать все

labudada

5 лет назад

Это хитрый байт, что бы развести вас на взлом его почты. Honeypot по нашему.

Дальше вы получаете повестку в суд и заплатите за этот веселый 'прекол' такую сумму, что незадачливый разработчик больше никогда не притронется и пальцем к вба.

раскрыть ветку (68)

Sobakko

5 лет назад

а где тут взлом? пароль - вот он, в документах. а мы думали что он от почты, мы не шарим в этих ваших технологиях.

а и то что он эту хрень оставил после оплаты, ничего?

раскрыть ветку (34)

YaSpammer

5 лет назад

Ну как бэ незнание чего-то и не шаряние в чём-то не освобождает от ответственности, если при этом нарушается закон

раскрыть ветку (5)

come0n

5 лет назад

Да но при этом есть понятие "умысел", если его нет, то и ответственности на порядок меньше

раскрыть ветку (3)

YaSpammer

5 лет назад

Это да. Ну и нанесённый ущерб тоже. Если не было, то могут и пальчиком для профилактики пригрозить и дело с концом.

Sobakko

5 лет назад

и я к тому

Alexmelyon

5 лет назад

То есть если пытаться зайти на заведомо чужую известную почту с известным паролем, то умысла нет? Ну не знаю...

Assaliant

5 лет назад

Так ТС не сказал, каким браузером пользовался для входа в эту почту. Вдруг тором? И попробуй докажи, что заходил он.

DELETED

5 лет назад

Взлом почты - попытка нсд к ней. Он имеет место быть. Но не факт что наши суды почешутся по этому поводу.

labudada

5 лет назад

'После оплаты' это вы где в посте уведели?

```

http://www.consultant.ru/document/cons_doc_LAW_10699/5c33767...

```

Копирование по факту доказывать не приходится. Всё что нужно - доказать момент взлома. То, что ключи от двери дома были под ковриком, не является оправданием взлома в этот самый дом.

раскрыть ветку (24)

DzirtDoYein

5 лет назад

Ну-ну) и можете привести хотя бы пару дел, где за вход на почту что-то было человеку?)

раскрыть ветку (19)

labudada

5 лет назад

ну искать сложно, если хорошенько поискать, найти можно совсем идентичные кейсы. но похожие вещи нашел быстро:

https://rospravosudie.com/court-nizhegorodskij-oblastnoj-sud...

Невероятно сильно удивлён, почему такое огромное количество людей в снг считают, что электронная почта и прочая личная вещь не охраняется законом и что ее, при желании, можно и нужно взламывать. Чот прям репортаж из зоопарка.

раскрыть ветку (14)

DzirtDoYein

5 лет назад

Прочитал.

Мне кажется или вы не правильно понимаете вопрос или я неправильно ставлю вопрос.

В данном случае человек понёс прямой ущерб, в случае, о котором идёт речь выше - был получен доступ к почте, однако никакого ущерба нет. Вам не кажется, что это вопросы очень разные по сути своей?

раскрыть ветку (13)

labudada

5 лет назад

Есть факт взлома.

Ещё раз: вы оставили открытой форточку в квартире на 5м этаже. Человек, рофлов ради, залез туда. Вы нашли его в своей квартире. Будете ли вы в этот момент разглядывать что именно он мог сломать или спиздить или будете спешно звонить в полицию и кричать караул? То, что человек сделал это ради смеха, не может являться обоснованием невиновности.

раскрыть ветку (12)

DzirtDoYein

5 лет назад

перечитайте коментарии мои, мне кажется я достаточно понятно выражаю свои мысли.

Ещё раз повторю на всякий случай, меня интересует есть ли у нас судебная практика, по которой наказывают за взлом без причинения ущерба. Почему все вокруг пытаются доказать что существует статья?

У нас много на что статьи есть.

Например нельзя переходить дорогу в неположенном месте. И как? У нас никто не переходит? Или всех наказывают? статья же есть

раскрыть ветку (11)

IBn.Fadlan

5 лет назад

"можете привести хотя бы пару дел, где за вход на почту что-то было человеку?)"
За вход тебе ответили.
Что появляется условие

судебная практика, по которой наказывают за взлом без причинения ущерба

Тут если рассуждать то, что является материальным ущербом, а что нет решает суд в конкретных случаях.

Может на почте там фигня,
Мб тайны компаний или роман какой-то.
Мб интим фотки которые потом как-то оказались в сети.
По вашему можно хакать без наказано?

Например нельзя переходить дорогу в неположенном месте. И как? У нас никто не переходит? Или всех наказывают? статья же есть

По вашему не кого не штрафовали? Да трудно поймать, лень ловить и т.д, но если это деяние доказано то штраф будет.
Лет 6 назад слушал от учительницы, что переходить в неположенном месте не надо, даже если толпа переходит. Т.к она перешла и её 1 остановили и оштрафовали. Ей было очень обидно.

labudada

5 лет назад

Вы же понимаете, что когда мы говорим об информации ущерб оценить трудно? Можно очень формально подойти к делу и предъявить следующее:

'Подсудимый использовал для доступа к почте браузер, который для того, что бы отобразить информацию на компьютере подсудимого обменивался с почтовым сервером запросами и копировал(агрегировал) у себя в том числе личные данные потерпевшего.'. Это и есть то самое копирование информации, о котором говорится в статье. А дальше, уже сам подсудимый найдет что именно нанесло ему ущерб - чувствительные документы, реквизиты доступы, личная переписка, фотки голой жены.

По переходам это ну совсем рофл.

Есть статья, есть штрафы. В чём проблема? Если именно вас не штрафовали, то вы или ходите хорошо или удачно. Что в Питере, что в Москве порой штрафуют. Не то, что бы это распространенная практика, но она есть.

раскрыть ветку (9)

DELETED

5 лет назад

Возможно, он устал повторять, так что сделаю это за него:

Его интересует конкретная информации по наличию судебной практики, по которой наказывают за взлом без причинения ущерба, а не голословные утверждения. И уж точно его не интересует судьба переходов в неположенном месте.

Цитата из твоей ссылки "ч. 1 ст. 272 УК РФ - как неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло блокирование и модификацию компьютерной информации"

Вот тебе прямое определение ущерба в данном случае. Ущерб был - наказание было.

Вот тебе ссылка на статью - https://rospravosudie.com/law/Статья_272_УК_РФ

Тоже прямым текстом написано, что всё дело в ущербе.

Т.е. без доказанного ущерба для человека - если человек просто зашёл на почту и сразу вышел, по данной статье привлечь не могут.

раскрыть ветку (2)

labudada

5 лет назад

1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

Мы уже доказали копирование. Я даже не знаю куда дальше уже вас ткнуть.

раскрыть ветку (1)

DzirtDoYein

5 лет назад

ПФФ...
Поясню ещё проще, хотя вроде как некуда.

Практика по переходам - есть. Практика за взлом почты без ущерба есть? Это ЕДИНСТВЕННОЕ что я пытаюсь узнать, однако куча людей приводит какие-то абстрактные примеры и рассуждения вместо ответа на конкретный и простой вопрос.

раскрыть ветку (5)

labudada

5 лет назад

не ну ты капсом и я тоже.

С ЧЕГО ТЫ ВЗЯЛ ЧТО НЕТ УЩЕРБА, АЛО?

раскрыть ветку (2)

IBn.Fadlan

5 лет назад

Практика за взлом почты без ущерба есть?

Как Вы представляешь требование в суде человека, который не понёс ущерб? Какие случай по этому, мы можем Вам даже теоретически даже предоставить.

Вы после 1 коммента добавил условие "без ущерба" при этом тебе надо найти конкретный случай с твоим выдуманным условием.
С дополнением условие некоторые легко доказываемые вещи становиться трудно доказать. Докажи что луна круглая а не плоская показав её со всех сторон. Луну виндно всегда с 1 стороны.

раскрыть ветку (1)

R4level

5 лет назад

Ну, когда реальный срок дают за репост, тут у вопрос лишь в желании.

раскрыть ветку (3)

DzirtDoYein

5 лет назад

А ещё если желание будет - меня камаз собьёт. Может по делу стоит говорить, а не вдаваться в образную философию?

раскрыть ветку (2)

bond43

5 лет назад

Статья есть, о чем тут вообще спорить и что то доказывать?

раскрыть ветку (1)

DzirtDoYein

5 лет назад

Статья может быть сколько угодно, однако есть ли у нас практика применения данной статьи из-за подобного "взлома"?

Sobakko

5 лет назад

Внимательно пост перечитайте. Там все написано

раскрыть ветку (3)

labudada

5 лет назад

Перечитал, не нашел. Процитируете?

раскрыть ветку (2)

Sobakko

5 лет назад

К слову, мы с ним расплатились в полном объеме.

раскрыть ветку (1)

labudada

5 лет назад

Ну очевидно, что была начальная оплата + дальнейшая поддержка. Пишут же, что летели обновления.

Если бы разраб бы просто кинул бы их и требовал денег сверх договора, то тут же уже отправился бы под суд.

Конечно автора лучше спросить, но в целом выглядит как-то так.

DELETED

5 лет назад

Если квартира не закрыта, это не значит что чужим туда можно заходить.

mmmwww

5 лет назад

ознакомьтесь со статьей 272 УК РФ

RustedAstronaut

5 лет назад

Учитывая его действия, он сам под статью уголовного кодекса попадает. Вспомните как судили ебанько за его же бухгалтерский софт, который стал выдавать неверные данные после триала, а тут еще и неправомерный доступ пришить можно, помимо внедрения вредоносного кода(дада, мой юный друх, vba вполне себе подпадает под это), с доказухой проблем не будет, было бы желание.

раскрыть ветку (5)

keter682

5 лет назад

А это смотря какой договор, может там мелким мелким шрифтом на 25-й из ста страниц сказано "срок действия экземпляра программы ограничен, однако заказчик вправе обратиться к разработчику с целью продления работоспособности программы".

раскрыть ветку (4)

RustedAstronaut

5 лет назад

Мелуие шрифты запрещены в россии, чтобы ты знал. Все чтотмелким шрифтом написано не имеет юридической силы.

раскрыть ветку (3)

keter682

5 лет назад

мелкий шрифт это такое фигуральное выражение.

-а почему там написано "срок действия экземпляра программы ограничен, однако заказчик вправе обратиться к разработчику с целью продления работоспособности программы"?

-так надо все равно ПО ежемесячно, это чтобы старая версия не устроила коллизию с новой версией.

-а, ну хорошо (подписывает договор)

раскрыть ветку (2)

keter682

5 лет назад

Какой же неадекват @RustedAstronaut, я значит ему корректно объясняю, а он в чс кидается. А уж слова software as a service для него и вовсе черная магия наверное.

Vba скрипт в экселе останавливающий время это вредоносное по

Это величайший прорыв в науке и технике, если оно и правда останавливает время. А в посте этот vba скрипт просто не работал в определенный момент, и это при желании можно описать в договоре как правильное поведение.

Или теперь надо посадить весь гугл за то что у них android market не работает?

RustedAstronaut

5 лет назад

Vba скрипт в экселе останавливающий время это вредоносное по. Фигуры речи будешь обсуждать со следователем и судьёй потом. Договор можно признать ничтожным если он нарушает законы рф или ставит одну их сторон в невыгодное положение, а так же нарушил нормальную работу клиента. Законы рф стоят над любыми договорами, так что, писать ты можешь что хочешь, судимость все равно тебе получать. Один такой ебанат уже писал предцпреждения, получил условный и судимость с известностью после которой его даже за еду на работу не позовут. Не трать мое время.

basvas4

5 лет назад

Ну если работник не идиот, то зайдет под анонимайзером.

раскрыть ветку (12)

DELETED

5 лет назад

Вы обсуждаете какую-то сильно гипотетическую ситуацию, которая к реалиям, по крайней мере российским, неприменима.

раскрыть ветку (7)

labudada

5 лет назад

А вы то точно применимы к реалиям? Вы или к вам ни разу ук 272 не применяли? Я 4 года был тех директором одного небольшого хостинга. Заявления в полицию по 272 приходилось писать довольно часто(специфика работы, клиенты не всегда хотят хранить пароли безопасно, а код латать от дыр). Это весьма распространенная практика.

Главная проблема в том, что полиция далеко не всегда может найти злоумышленника и далеко не всегда есть улики. За 4 года осуждено было человек 10, типа того. Из примерно 200 заявлений.

Но тут то всё на блюдечке - сам сознается, лул.

раскрыть ветку (6)

DELETED

5 лет назад

200 заявлений за 4 года с раскрываемостью 5% при том, что несанкционированный доступ к данным осуществляется сотни тысяч и миллионы раз в день - это и есть неприменимо к реалиям. Этим никто не пользуется, это никому не надо и всем в принципе похуй. Как обычно.

раскрыть ветку (5)

koldun1

5 лет назад

Вот именно и тут такой простейший случай который повысит раскрываемость.

labudada

5 лет назад

Забыл, да, часть дел до суда решались.

Энивэй, 5% это мало? 5% это дичайше огромный процент, если что.

Вы вот когда пишете про миллионам похуй и вот это вот всё, вы на какой опыт или на какие знания опираетесь? Расскажите.

раскрыть ветку (3)

DELETED

5 лет назад

Для вас составляет какой-то секрет сколько почт взламывается, аккаунтов уводится, персданных утекает?
5% по заявлениям - ни о чем не говорящая цифра, а вот по фактам взлома этот процент стремится к нулю.

раскрыть ветку (2)

labudada

5 лет назад

А вы в курсе сколько правил дорожного движения нарушается? А процент осужденных за нарушение vs нарушителей всего? Что за чушь вы несёте? 5% по заявлениям - охуенная цифра. Приведёте мне статью, где процент выше?

Всё стремится к нулю если экстраполировать как десятилетний ребёнок.

раскрыть ветку (1)

DELETED

5 лет назад

Ладно-ладно, убедили. Признаю, я не прав.

labudada

5 лет назад

Скорее всего идиот. Логи у провайдера в любом случае должны быть. Ситуация неприятная, с любой стороны.

раскрыть ветку (3)

basvas4

5 лет назад

Логи у провайдера в любом случае должны быть

Логи подключения к VPN, а дальше?

раскрыть ветку (2)

labudada

5 лет назад

Ну бро, серьёзно. Если человек работает в it, но в их конторе используют ms excel и аутсорсеров, которые пишут им скирпты на вба, если человек никогда не слышал о том, что нельзя пртосто так и брать взламывать, всё что тебе хочется и уж тем более хвалиться этим на публичных ресурсах - то можно смело констатировать, что человек идиот. О каком тут VPN речь?

раскрыть ветку (1)

basvas4

5 лет назад

Ну вообще да, действительно.

WillParry

5 лет назад

Ага, тоже про это подумал. Тем паче что если у фирмы статический IP-адрес ... вычислить - дело на час у органов.

раскрыть ветку (2)

labudada

5 лет назад

Если vpn вычислять будут долго и ничего не вычислят. Если конечно всё сделано нормально. SSL довольно трудно взломать, даже если у тебя много звезд на погонах.

раскрыть ветку (1)

format.d

5 лет назад

Если, конечно, vpn-сервером владеют просто люди, а не люди в погонах

NENAVIZHUSOSEDEY

5 лет назад

Могу себе представить, что он в заявлении в полицию написал, "вот эти реюята зашли на мою почту! Расстреляйте их!"

раскрыть ветку (9)

labudada

5 лет назад

Нет, я понимаю, когда вам 10 лет с половиной и в вашей почте только нотифы из одноклассников, то в целом то вам пофиг. У взрослых дядей и тётей в почте много всего того, что показывать всем негоже. Вырастешь - поймёшь.

раскрыть ветку (7)

JollyRogerTG

5 лет назад

Чет фейспалм прям пробил. Я 8 лет уже комп практически не выключаю, работаю по 14 часов, и что у меня можно найти на почте? Нихуя, разве что привязанные аккаунты к паре сайтов. А что это дает взломщикам? Правильно: нихуя. Так что не надо строить из себя старика. Почта не всем юзерам нужна.

раскрыть ветку (3)

labudada

5 лет назад

То, что у тебя там ничего нет, не значит что у других там ничего нет.

раскрыть ветку (1)

JollyRogerTG

5 лет назад

Как и наоборот, но ты только что назвал человека школьником потому, что якобы у него на почте ничего нет и ее взлом для него ничего не значит.

ivapet

5 лет назад

Можно восстановить пароль и зайти в любой аккаунт

koldun1

5 лет назад

вообще не важно, что там было. состав налицо.

NENAVIZHUSOSEDEY

5 лет назад

Дело в том, что в России не так просто добиться правосудия и по более очевидным и простым делам, а тут электронный почтовый ящик.

Да и вообще, было бы мне 10 лет, у меня бы лежали сообщения из контакта и фэйсбука или инстограмма, а не одноклассников, это как раз у взрослых дядей и тетей на почте куча спама из одноклассников.

раскрыть ветку (1)

labudada

5 лет назад