Ve lo siete mai chiesto?
Sappiamo tutti che hacking=illegalità.
E' illegale però dire ad html.it(a titolo di esempio), che c'è una falla di sicurezza in questo o in quello? Ipotizziamo che l'operazione non abbia comportato danni ma abbia comportato l'ottenimento di permessi non autorizzati....
Eccoti!
Secondo la legge italiana, è illegale la detenzione di codici di accesso ai sistemi informatici (oltre ovviamente all'intercettazione o modifica delle trasmissioni, e al danneggiamento).
Un semplice scan per trovare punti vulnerabili non è illegale, ma potrebbe comunque non essere gradito. Basta ovviamente che non sfrutti la situazione a tuo vantaggio.
Solitamente le segnalazioni (costruttive) sono bene accette, a meno che chi sta dall'altra parte non sia un incompetente.
Io ho già segnalato molte volte a grandi portali italiani e stranieri, e finora sono a piede libero
Aspetta x...i miei dubbi sono di 2 tipi:
- La possibilità di trovare un webmaster rompiballe che mi fa causa.
- La possibilità di operare in chiaro...
Lo facevi in chiaro o attraverso proxy. Dichiaravi i problemi di vulnerabilità anonimamente o no?
Eccoti!
Chi si considera in buona fede può anche fare a meno di usare proxy o mail anonime
Quando dovevo segnalare dei problemi l'ho sempre fatto a viso scoperto. Solitamente i professionisti ringraziano, gli incompetenti non ti rispondono nemmeno (anche se magari poi seguono i tuoi consigli), e solo gli stolti possono pensare di denunciare una persona che tenta di aiutarli senza chiedere nulla in cambio.
A me finora non è mai successo.
Devi però considerare gli aspetti legali di quello che fai.
In criminologia si dice che il mezzo Internet distorce la percezione della realtà, della gravità di quello che si sta facendo.
La pena per l'introduzione abusiva in un sistema informatico arriva fino a 3 anni di reclusione.
Bisogna dire però che si parla di sistemi protetti. Se un sistema non è protetto adeguatamente, allora non c'è il reato...questo dice la legge, ma potrebbe essere modificata molto presto.
L'interpretazione della legge, poi, spetta al giudice:
Facendo certe cose si è sempre al limite della legalità...quindi attenzione(ANSA) - ROMA, 7 DIC - Gli hacker entrano in Cassazione e
subiscono la prima
condanna penale definitiva per violazione di domicilio
informatico ai danni
di una rete non protetta dall' interno del sistema. La mancanza di
schermatura interna - ha stabilito la Corte - non e' infatti
un elemento da
cui desumere il libero accesso ai dati.
Per la Suprema Corte infatti l'introduzione abusiva in un sistema
informatico e' del tutto paragonabile alla violazione del
domicilio delle
persone - tesi dottrinaria che trova oggi la prima applicazione
in una
sentenza passata in giudicato - nella quale l'elemento che
caratterizza il
reato e' agire "contro la volonta espressa o tacita" del
legittimo
proprietario o inquilino dell'appartamento. Insomma
l'hackeraggio e' un
crimine anche quando il sito - o la banca dati bersagliata -
non e' corazzato
da chiavi di accesso e sbarramenti sistemici.
- ROMA, 7 DIC - Sottolineano in merito in supremi giudici
che
l'articolo 615 ter del codice penale ("accesso abusivo ad
un sistema
informatico o telematico") punisce non solo l'introduzione
clandestina ma
anche chi "vi si mantiene contro la volonta' esplicita o
tacita di chi ha il
diritto di escluderlo". Ovvero il proprietario del sistema
o della banca
dati. Ne consegue che "la violazione dei dispositivi di
protezione del
sistema informatico - prosegue la Cassazione - non assume
rilevanza di per
se', bensi' solo come manifestazione di una volonta'
contraria a quella di chi
del sistema legittimamente dispone".
Naturalmente la Suprema Corte specifica che il reato
contestato si configura
solo se il sistema informatico "non e' aperto a tutti".
E sul punto viene
fatta una importante affermazione: perche' il sistema
debba considerarsi
protetto assume "rilevanza qualsiasi meccanismo di
selezione dei soggetti
abilitati all'accesso al sistema informatico, anche
quando si tratti di
strumenti esterni al sistema e meramente organizzativi".
Come quelli
destinati "a regolare l'ingresso stesso nei locali
in cui gli impianti sono
custoditi".
Insomma una banca dati privata deve considerarsi
protetta per il solo fatto
che esista un sistema di allarme all'entrata
dell'edificio che la ospita o
di selezione del personale autorizzato
a varcare la soglia del portone. E in
tali circostanze commette hackeraggio
"la persona estranea
all'organizzazione che acceda ai dati
senza titolo o autorizzazione, essendo
implicita, ma intuibile, la volonta'
dell'avente diritto di escludere gli
estranei".
Per meglio definire la natura di questo
crimine i supremi giudici - sentenza
12732 - affermano che "non si tratta
percio' di un illecito caratterizzato
dall'effrazione dei sistemi protettivi,
perche' altrimenti non avrebbe
rilevanza la condotta di chi, dopo essere
legittimamente entrato nel
sistema, vi si mantenga contro la volonta'
del titolare". Si tratta invece
"di un illecito caratterizzato appunto
dalla contravvenzione alle
disposizioni del titolare, come avviene
nel delitto di violazione di
domicilio, che e' stato notoriamente il
modello di questa nuova fattispecie
penale, tanto da indurre molti ad
individuarvi, talora anche criticamente,
la tutela di un 'domicilio informatico'".
Nel caso specifico la Suprema Corte ha
definitivamente condannato un
programmatore (braccio operativo), un
commercialista e l'ex socio di una
banca dati (menti pensanti) che avevano
copiato i dati della banca
facilitandosi cosi' l'acquisizione della
clientela per la banca dati - che a
loro volta avevano intenzione di allestire.
La loro linea di difesa - sia in
Cassazione che innanzi alla Corte di Appello
di Torino che gia' li aveva
condannati nel luglio del '99 - era tutta
puntata sul rilievo che i dati
sottratti non erano protetti e dunque non
si poteva configurare il reato di
violazione del sistema informatico.
Sostenevano, anzi, che ad essere
perseguito sarebbe dovuto essere il
titolare della banca in quanto non
proteggendo i dati aveva violato la
legge sulla privacy. E anche con
riguardo a questo aspetto i supremi giudici
intervengono con un chiarimento:
il comportamento di chi non rispetta la
legge sulla protezione dei dati
personali sensibili non esime, comunque,
da responsabilita' chi violi i pur
insufficienti meccanismi di protezione esistenti".
Come ha ben detto xdesign (come al solito) senza permessi scritti del proprietario dei server o della rete non puoi entrare in sezioni dove non hai i permessi di farlo.
Gli unici che posso bucare server e vengono pure pagati sono le aziende di sicurezza informatica.
Tutto il resto (ideologie a parte) è reato, compreso l'hacking di server, siti o quant'altro di proprietà altrui.
Non ci sono scappatoie.
Topolin, Topolin, viva Topolin!
x... dall'articolo che hai riportato non emerge un quadro confortante.
Credo che uno scanning comunque non rientri nella fattispecie.
Grazie a presto
Eccoti!
Hai ragione, ma se con lo scan trovi un servizio vulnerabile e provi a usare un exploit per averne la conferma, allora sarebbe già un accesso non autorizzato.
Come dice Al, l'unica maniera per non avere problemi è procurarsi un permesso scritto. Ovviamente questo vale per chi è incaricato di testare la sicurezza del sistema. Sicuramente non rilasciano permessi a uno sconosciuto
L'argomento è spinoso perchè la legislazione italiana è molto carente e poco chiara. In America anche un port scan può essere considerato illegale (ma mi sembra veramente eccessivo).
Comunque... proverò in maniera anonima e poi vi faccio sapere...
Eccoti!
Il bello è che postando qui già sei schedato, e tu magari neanche lo sai.
Mi fai un po' sorridere... non sai se chmod è un fumetto Marvel o un comando *nix (come si evince dal thread http://forum.html.it/forum/showthrea...hreadid=267169 ), ma ti dedichi al portscan su cui (probabilmente) non sai una cippalippa, né della procedura, né dell'applicativo che hai lanciato in fretta e furia dopo averlo (probabilmente) downloadato da un sitarello di hacking di cui hai avuto il link (probabilmente) da tuo cuggino (doppia G, mi raccomando).
Vuoi sapere che taglia di mutande porta quel tale sito ( come dai a vedere con questo thread: http://forum.html.it/forum/showthrea...hreadid=262282 ) per sapere se puoi attaccarlo, tuo cuggino ti dice che sei diventato matto e che la Pula Postale ti può sgamare, e allora fai la cosa più sbagliata in assoluto: posti il tuo dubbio in un forum a cui ti sei iscritto ignorando che secondo le vigenti norme vengono tracciati tutti i post con indirizzi IP etc.
Inoltre non sai se HTTP è un protocollo UDP o TCP o CCCP o ACDC o VATTELAPPESCA come dimostri qui: http://forum.html.it/forum/showthrea...hreadid=244587
...e insisti con il logo Java come avatar, linguaggio con cui non sapresti neanche compilare un fagiolo, come dichiari candidamente qua: http://forum.html.it/forum/showthrea...hreadid=244587
Ti do un consiglio: prova ad attaccare con un portscan il link all'homepage del mio user, e poi conta i secondi entro i quali ti arrivano i compagni dell'Arma a casa: rimarrai sorpreso... in negativo.
Gli hacker sono pericolosi, ma quelli come te (mi pare li chiamino Script Kiddies) sono peggio, perché perdono, o non hanno mai avuto, il controllo di quello che fanno per semplice ignoranza o pressapocaggine.
Fai un favore alla comunità Internet intera: studia un pochino prima di lanciare portscan, exploit et similia, rischi di accendere una macchina di cui non conosci a fondo gli effetti.
Grazie per l'attenzione, so di essermi espresso con arroganza, ma era intenzionale: volevo proprio darti una strigliata.
Permessi di invio
Rispondi quotando