Lovråd slår fast: ‘URL-hacking‘ er ikke hacking

"ALT der sker via URL adressen er lovligt, så SQL injection via URL'en er lovligt."

Hvordan kan I få den opfattelse? Der er jo er spørgsmål om formål og forsæt (god eller ond tro).

Der er jo altid en individuel vurdering af skyld og forsæt. Det er jo derfor det er mennesker og ikke algoritmer der dømmer i en retssag.

Der er da forskel på at efterprøve sikkerheden på 1 time og så på at lave automatiserede angreb eller blive ved med angribe dag efter dag.

Naturligvis skal firmaet der har ansvaret for løsningen stilles til ansvar, @mark. Problemet her er blot, at udspillet er alt for snævert, når det kun handler om URL-hacking.

Jeg kan kun være enig med dig Povl :)

Naturligvis skal firmaet der har ansvaret for løsningen stilles til ansvar, @mark. Problemet her er blot, at udspillet er alt for snævert, når det kun handler om URL-hacking.

Spørgsmålet er snarere, hvorvidt omgåelse eller påpegning af barnagtig mangelfuld sikkerhed skal straffes!</p>
<p>Hvis man specifikt lovgiver omkring URL-modifikation, hvad så med felter, default passwords der ikke er ændrede, felter hvor der ikke har taget højde for SQL-injection, og meget meget andet, der er set i praksis i tilsvarende sløsede implementeringer?

I min optik burde man kunne stille ejere af diverse website og lign. til ansvar for dårlig sikkerhed hvis man kan få uhensigtsmæssig adgang til data gennem en eller anden form for input. Evt. sikkerhedshuller i selve serveren osv., er lige et niveau op hvis man skal helgardere sig mod den slags, men nu til dags er det simpelthen så nemt at udvikle applikationer som er sikret imod ondsindet input, i situationer hvor det ikke bliver gjort er det formentlig pga. manglende kompetencer, manglende prioritering eller diverse dårlige undskyldninger som "det går jo nok".

Spørgsmålet er snarere, hvorvidt omgåelse eller påpegning af barnagtig mangelfuld sikkerhed skal straffes!

Hvis man specifikt lovgiver omkring URL-modifikation, hvad så med felter, default passwords der ikke er ændrede, felter hvor der ikke har taget højde for SQL-injection, og meget meget andet, der er set i praksis i tilsvarende sløsede implementeringer?

Jeg læser det som at ALT der sker via URL adressen er lovligt, så SQL injection via URL'en er lovligt.</p>
<p>Spørgsmålet er så, hvad med manipulering af POST data?

Hvis nu at POST'en bliver sendt via HTTPS så vil jeg anse det for at være mere end bare at ændre en URL, men samtidig BURDE et hvert system være beskyttet mod dette, eftersom man BURDE udvikle sine løsninger efter at der kun skal én malicious user til at udnytte hullerne i dit system.

Jeg læser det som at ALT der sker via URL adressen er lovligt, så SQL injection via URL'en er lovligt.

Spørgsmålet er så, hvad med manipulering af POST data?

"I en meddelelse udtaler ministeren dog, at man som borger skal have sikkerhed for at »vores kommunikation, vores hjem og i det hele taget vores privatliv kan holdes utilgængeligt for andre.«"

Fortæl det til de offentlige myndigheder der åbenbart har meget svært ved at fatte det.

Der er ikke og har ikke været en uklar juridisk problemstilling selvom mange skribenter tror at forskelle i teknikken udgør forskellige problemer.</p>
<p>Du kan billedlig talt sige

Straffelovrådet bruger ikke tid på at udarbejde en betænkning om en problemstilling, hvis der ikke er behov for afklaring på området. At du kan blive ved med at fabulere med en masse lægmandsbetragtninger om det ene og det andet, er ikke bevis for noget som helst.

Prøv at sætte dig i tingene. Ingen andre end Justitsministeriet kan bede Straffelovsrådet om noget.

"Hvad nu hvis ..." URL'en indeholder et signeret token, som det nogen gange gøres i redirect logon mekanismer. Er det så lovligt at gætte på alle kombinationerne?

Okay!, at gætte sig til et token på 32 hex bogstaver eller længere for at få adgang til en lukket side er så heller ikke noget man bare sådan lige gør da man sandsynligvis skal bruge mere end 100 år på at finde en som fungere, og så skal den jo også være aktiv, så mon ikke det er lidt som at forsøge at gætte sig til hvad koden til stor bankboks uden brug af værktøj.

Okay!, jeg vil dog mene at hvis man rent faktisk bruger en speciel boremaskine til at få adgang til en bankboks så må det høre under hackning området, og mon ikke det kan sammenlignes med at man får adgang til at kopiere hele SAM, passwd eller en anden type database til ens egen pc for derefter at gætte sig til alle koderene via et automatiseret system som benytter pc'ens grafik processor eller noget lign.

Det burde for de fleste være rimeligt åbenlyst, at JM er de rette til at anmode rådet om at foretage en sådan vurdering. Men det er det åbenbart ikke for dig.

Der er ikke og har ikke været en uklar juridisk problemstilling selvom mange skribenter tror at forskelle i teknikken udgør forskellige problemer.

Du kan billedlig talt sige, at hvis data ligger direkte på nettet på samme måde som en stak papir ligger på et skrivebord, så er det skrivebords ejerens ansvar at sikre data. Det er ikke hacking uanset metoden til at læse "forsiden".

Hvis du som besøgende tager papirbunken op og systematisk gennemlæser indholdet af de sider som ligger bagved/under "forsiden", så er det hacking hvis ikke du stopper med at læse, når du indser eller burde have indset, at dette er fortroligt materiale du læser.

Men det er ikke nogen ny juridisk problemstilling, for det har altid været sådan at kommer jeg på besøg hos dig -når du lukker mig ind så er det dit ansvar hvis der ligger fortrolige oplysninger og flyder.

Er du f.eks. på toilettet og jeg i mellemtiden dirker et skab på dit kontor op for at læse de fortrolige oplysninger du har lagt væk, så er sagen anderledes.

Lukker du mig derimod ind og jeg læser fortrolige oplysninger om dig eller dine kunder - fordi de ligger og flyder frit fremme, så er det dit problem.

Og det er blot det som Straffelovsrådet skriver. Du kan lade være med at lukke mig ind og jeg må ikke trænge ind i aflåste gemmer.

Men det er altså ikke en ny juridisk problemstilling uanset hvor meget du insisterer og jeg synes du skal finde en som du stoler på, som kan forklarer dig det.

Der er altså ikke taget stilling til hvad der måtte ske af automatiserede operationer.
Selvom du måtte sidde og taster 2 mia kombinationer i hånden, vil jeg dog gætte på at det falder ind under hackning.

Man kan også sige det på den måde, at personer, der tilkobler en enhed til internettet, som udgangspunkt selv bærer ansvaret for, hvad man ved anvendelse af sædvanlige programmer til internetkommunikation kan læse på den, <strong>herunder</strong> ved direkte indtastning af url-adressen.

Det har aldrig været intentionen med Straffelovrådet, at Straffelovrådet skulle afklare domspraksis.

Du begår et indlæg, hvor du påstår uden henvisning til en eneste dom, at "de få domme på området" foretager denne sondring. Andre mere opvakte debattører modsiger med det samme din faktafri påstand med henvisning til Valus-afgørelsen.

Og så farer du ad en tangent med din selvopfundne idé om, at Straffelovrådet pludselig skulle begynde at opfinde straffe for intimidering af whistleblowere.

Ærligt talt så har jeg mere tiltro til Straffelovrådet end til din fuldstændigt faktafri vurdering af hvad domspraksis på området er.

Det har aldrig været intentionen med Straffelovrådet, at Straffelovrådet skulle afklare domspraksis. Straffelovrådet har til opgave af afgive indstilling om strafferetlige lovgivningsspørgsmål.

Derfor håbede jeg på at Straffelovrådet ville overveje minimumsstraffe ved intimidering af ”whistleblowere” og det er et validt ønske.

"Hvad nu hvis ..." URL'en indeholder et signeret token, som det nogen gange gøres i redirect logon mekanismer. Er det så lovligt at gætte på alle kombinationerne?

Nu er der jo ikke tale om lovgivning, men alligevel

hvor en person ved direkte indtastning af en url-adresse

Der er altså ikke taget stilling til hvad der måtte ske af automatiserede operationer. Selvom du måtte sidde og taster 2 mia kombinationer i hånden, vil jeg dog gætte på at det falder ind under hackning.

Det man bør bemærke ved artiklen er, at der ikke noget nyt!</p>
<p>Kan indhold tilgås direkte ved blot at ændre i en URL, så er det ikke hacking eller noget andet kriminelt og dermed er Straffelovrådet helt på linie med de få domme som eksisterer på området.</p>
<p>Juridisk har man hele tiden skelnet imellem om ting "er pakket ind" a la et brev (som f.eks. kryptering og/eller en f.eks. en betalingsmur med brugernavn og password som f.eks. netaviser anvender).

Her er det relevante citat fra den 356 sider lange betænkning:

Efter Straffelovrådets opfattelse gælder det nævnte udgangspunkt også i tilfælde, hvor en person ved direkte indtastning af en url-adresse opnår adgang til dele af enheden, selvom ejeren af oplysningerne på enheden ikke ønsker, at der skal være offentlig adgang hertil. Der vil i praksis kunne være en glidende overgang, både for den, der læser på enheden, og
for den, der ejer oplysningerne på den. Den, der læser, kan benytte direkte indtastning af url-adressen blot for at komme hurtigere til det ønskede og kan også have fået url-adressen af tredjemand (herunder læst den på internettet) uden kendskab til, at ejeren af oplysningerne har et ønske om ikke at give adgang til den pågældende del af enheden. Men den, der
læser, kan også helt bevidst gå efter oplysninger, som den pågældende positivt formoder ønskes hemmeligholdt af ejeren af oplysningerne. Den, der ejer oplysningerne, kan blot have undladt at forholde sig specifikt til, hvad den pågældende ønsker at give adgang til, men kan også have et positivt ønske om ikke at give adgang til bestemte oplysninger, men
uden at have sikret oplysningerne tilstrækkeligt mod direkte indtastning af url-adressen, eksempelvis på grund af utilstrækkeligt kendskab til, hvordan en webserver fungerer.</p>
<p>Sådanne tilfælde er efter Straffelovrådets opfattelse sammenlignelige med andre situationer, hvor oplysninger fejlagtigt gøres tilgængelige for andre, eksempelvis hvor en e-mail (eller for den sags skyld et papirbrev) sendes til en forkert adressat eller med en forkert vedhæftet fil, hvor man lægger en forkert version ud på internettet, eller hvor man, før det var tilsigtet, offentliggør noget på internettet. **Man kan også sige det på den måde, at personer, der tilkobler en enhed til internettet, som udgangspunkt selv bærer ansvaret for, hvad man ved anvendelse af sædvanlige programmer til internetkommunikation kan læse på den, herunder ved direkte indtastning af url-adressen. **</p>
<p>Det skal understreges, at der hermed alene sigtes til adgangen til oplysningerne. I forhold til videregivelse og anden brug vil andre strafbestemmelser (eksempelvis om erhvervshemmeligheder, tavshedspligt, insiderhandel eller videregivelse af oplysninger om en andens private forhold) kunne anvendes, hvis gerningsmanden har forsæt med hensyn til, at oplysningerne utilsigtet er blevet gjort tilgængelige.

Mange administratorer af skod-systemer vil sikkert påstå at brugere som ham skoleeleven sidste år, netop ændrede i data (for det er ulovligt) - for på den måde at dække over egen inkompetence.

"Hvad nu hvis ..." URL'en indeholder et signeret token, som det nogen gange gøres i redirect logon mekanismer. Er det så lovligt at gætte på alle kombinationerne?

Eller hvad hvis der anvendes et link med et token som bare er svært at gætte? Det bruges ofte til "dele-links".

Jeg håber at dette betyder, at man ikke fremover kan dømmes på så løst et grundlag som i Valus sagen.

Jeg tolker det jeg kan læse ud af artiklen, som at lovrådet har affejet "security by obscurity" som en lovligt sikkerhedregime og at du som systemejer ikke kan kaste skylden for manglende sikkerhed over på "uberettiget adgang" fra tredjepart. Det lyder jo sådan set meget fornuftigt :-)

At kalde det at ændre en URL for "Hacking".... :-(

Lidt at pisse på de, som rent faktisk KAN hacke... I min verden er det lige som at kalde én, som vælger farve, interiør og ekstraudstyr til en bil for bildesigner.

Det man bør bemærke ved artiklen er, at der ikke noget nyt!

Kan indhold tilgås direkte ved blot at ændre i en URL, så er det ikke hacking eller noget andet kriminelt og dermed er Straffelovrådet helt på linie med de få domme som eksisterer på området.

Juridisk har man hele tiden skelnet imellem om ting "er pakket ind" a la et brev (som f.eks. kryptering og/eller en f.eks. en betalingsmur med brugernavn og password som f.eks. netaviser anvender).

Mange administratorer af skod-systemer vil sikkert påstå at brugere som ham skoleeleven sidste år, netop ændrede i data (for det er ulovligt) - for på den måde at dække over egen inkompetence.

Så derfor havde jeg håbet at Straffelovrådet havde forslået en minimumstraf for administratorer som forsøger at intimiderer folk til tavshed, som ham skoleleven blev det da han sidste påpegede sikkerhedsbrister i skolens system.

Var det min søn som var udsat for den slags, var den pågældende skoleleder forlængst blevet sigtet i en privat straffesag (æreskrænkende udtalelser, hvor mere end 80 % af alle indboforsikringers retshjælpsdækning vil dække advokatomkostningen).

Skulle det ske, at i bliver udsat for noget tilsvarende, så følg samme proces som for hævnporno (http://njordlaw.com/da/de-5-trin-njord-udsender-guide-til-ofre-haevnporno/).

Hvad hvis en url fx tager imod SQL queries eller anden form for kode, for at siden returnerer noget, som ellers ikke skulle være offentligt? Bliver der stadig betragtet på samme måde, eller er vi her ude i "en mere alvorlig handling"?