You are currently browsing the monthly archive for Septembrie 2007.

O super initiativa a luat nastere acum 2 zile. MIT, Stanford University si University of Michigan pe partea universitara si Centrify Corporation, the Financial Services Technology Consortium, Google, Sun Microsystems pe partea conerciala, s-au unit pentru a crea un consortiu care va lucra dezvoltarea protocolului de autentificare Kerberos. Pina acum proiectul Open Source a fost dezvoltat si suportat de 4 oameni de la MIT. Noul colectiv va fii de aproximativ 14 oameni care se vor ocupa de dezvoltarea, interoperabilitate si documentatie a versiunii actuale 5.0 (RFC 4120) si nu in ultimul rind standardizarea protocolului. Apple, care viseaza sa conecteze toate i-device-urile sale, s-a hotarit sa contribuie si el generos la proiect. Ma intreb de ce nu si Microsoft, pentru ca daca ihmi aduc eu bine aminte Kerberos sta la baza autentificarii in 2003. O sorry este numai metoda preferata. Poate de aceea :-D.

Kerberos se profileaza sa devina tehnologia de baza pentru solutiile „single-sing-on”, deci daca vreti sa va lamuriti „nelamuririle”, uitati-va aici.

Acum exista si oficial. Poti cumpara propriul tau 0-day. Frima Wabisabilab ofera o platforma de licitatie pentru exploit-uri. Cu 500 de EUR poti cumpara un exploit pentru PhpMyAdmin sau daca te tine buzunarul dai 5000 de EUR pentru un exploit de SAP GUI. Hmmmm….cine o fii oare in spatele acestei firme care din intimplare are sediul in Elvetia? Voi ce parere aveti?

Google are un blog foarte interesant de securitate. Merita citit articolul despre search worms si cel despre fuzzere. Un site care merita toata atentia.

Circul din jurul paragrafului 202c continua. Site-ul de stiri Techchannel.de a cerut inceperea urmaririi penale impotriva Oficiul pentru Securitatea Informatie German BSI pentru proliferare de „Hackertools”.  BOSS, o distributia de Linux (live CD) conceputa pentru security testing,  este unu din proiectele care au fost sustinute activ pina acum de BSI, care contine tool-uri cum ar fii John the Ripper sau Nessus. Cu toate ca pare hilara situatia, rezolvarea ei este benefica pentru cercetatorii de securitate din 2 motive.

In momentul in care cererea nu este admisa atunci nu va mai fii nici o problema sa fie dezvoltate. folosite sau  distribuite „Hackertools” care pot fii folosite in acelasi timp si pentru cresterea niveluluii de securitate a sistemelor, urmind modelul BSI.

In momentul in care cererea este admisa, atunci va fii oferita si o interpretare mult mai clara a articolului de catre Ministerul de Justitie.

Oricum este interesat de urmarit acest „impas juridic german”, pentru a putea vedea in ce spirit va fii interpretat de catre justitia germana paragraful 202c.

Keep in touch.

Pentru a afla in ce fel se prezinfa legea romana am apelat la Bogdan Manolea. 

Cred ca depinde de frazarea corecta a dispozitiilor respective.

In legislatia romana este articolul:

Art. 46. – (1) Constituie infractiune si se pedepseste cu închisoare e la 1 la 6 ani:
a) fapta de a produce, vinde, de a importa, distribui sau de a pune la dispozitie, sub orice altă formă, fără drept, a unui dispozitiv sau program informatic conceput sau adaptat în scopul săvârsirii uneia dintre infractiunile prevăzute la art. 42-45;
b) fapta de a produce, vinde, de a importa, distribui sau de a pune la dispozitie, sub orice altă formă, fără drept, a unei parole, cod de acces sau alte asemenea date informatice care permit accesul total sau partial la un sistem informatic în scopul săvârsirii uneia dintre infractiunile prevăzute la art. 42-45.
(2) Cu aceeasi pedeapsă se sanctionează si detinerea, fără drept, a unui dispozitiv, program informatic, parolă, cod de acces sau dată informatică dintre cele prevăzute la alin. (1) în scopul săvârsirii uneia dintre infractiunile prevăzute la art. 42-45.

din legea
http://www.legi-internet.ro/index.php/Prevederi_legislative_privind/84/0/

care este de fapt o traducere a unui articol similar din Conventia privind criminalitatea informatica. – Art 6 – vezi in engleza
http://www.legi-internet.ro/index.php/Convention_of_Cybercrime_Cou/96/0/ ( decizia comisiei aratate de tine tot de acolo s-a inspirat)

Aici sunt 2 elemente esentiale :
a) Faptul ca parola sau programul ala trebuie sa poata fi folosita pentru realizarea unei infractiuni ( inclusiv accesul ilegal la un calculator)
b) ele sa fie distribuite, detinute IN SCOPUL realizarii infractiunii.
Altfel spus daca produsul respectiv are 1% alta utilizare legala, tu poti sa-l detii fara probleme pentru ca detinerea IN SCOPUL realizarii infractiunii trebuie demonstrata de procurori (si nu invers)

Din ce vad ( si nu inteleg germana ) din textul german, acesta pare a fi mai dur decit cel romanesc, eliminind scopul circumstantiat ( asta e termenul juridic) prevazut de legea romana si care „ar salva” cercetatorii romani. Deocamdata nu se discuta despre modificarea textului ( in nici un sens), iar investigatorii romani sunt depasiti de numarul cazurilor si problemele pe care le au cu cazurile de phising pentru a se gandi la asa ceva.

Dar cred ca analiza ta este corecta, o anumita larghete in definitia infractiunilor fiind criticata si la Conventia privind Criminalitatea Informatica.
Dar deocamdata asta e standardul si putem spera doar ca judecatorii vor invata sa aplice legea atunci cind trebuie si sa o inteleaga corect.

Sper ca te ajuta.

Bogdan

Odata cu modificarea legii penale germane din (11. August 2007), prin introducerea articolului 202c se inchide poarta tuturor cercetatorilor germani din domeniul securitatii. Ce stipuleaza acest articol si care sint implicatiile modificarii legii()?

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a
Abs. 2) ermöglichen, oder

2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet
oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit
Geldstrafe bestraft.

O traducere aproximativa ar fii ca: Cei care publica parole sau coduri de acces care permit logarea intr-un sistem informatic sau cei care dezvolta, vind, folosesc sau fac public programe soft, a caror scop poate fi accesarea ilegala a unui sistem informatic sint pasibili de pedeapsa cu privarea de libertate pina la un an sau amenda.

Consecintele a acestei modificari sint inchiderea site-ului german al clubului THC, eliminarea uneia din cele mai buna liste de parole default pentru sisteme informatice de pe sie-ul celor de la Pheneolit si eliminarea tuturor POC pentru PHP de pe site-ul lui Stefan Esser si lista ar putea continua.

Intr-un interviu cu HD Moore, liderul proiectului Metasploit, el declara ca tot framework-ul si documentatia aferenta cad sub incidenta acestei legi si din cauza asta va evita orice calatorie in Germania. Oricum conform lui toate distibutiile de linux ar putea fii considerate ilegale din moment ce majoritate au integrat programul nmap.

Ce consecinte se pot trage? Numarul de tool-uri create pentru analizele de securitate vor fii din ce in ce mai mic si calitatea lor va scade datorita imposibilitatii comunitatii de a-si aduce aportul la imbunatatirea lor. Procurarea unor astfel de tool-uri va fii posibila numai daca ai contact direct cu dezvoltatorul iar detinerea lor va fii ilegala.

Sper ca Romania, odata cu alinierea la Recomandarile 2006/24/EG din 15 martie 2006 privitoare la combaretea criminalitatii in spatiul Internet, sa nu se inchida inchida poarta cercetatorilor romani din acest domeniu cum a fost facut in Germania.

Septembrie 2007
L M M M V S D
« Aug   Oct »
 12
3456789
10111213141516
17181920212223
24252627282930