Pull to refresh

Comments 229

Странные профессора факультета компьютерных наук. Интересно какими побуждениями они руководствовались когда принимали свой выбор.
«Работает, да и слава богу»
Скорее: «Работает — не трогай» (с).
Думаю, если бы в статье был указан средний возраст голосовавших за отчисление профессоров, все бы встало на свои места.
Мне как раз довелось работать в Монреале, на факультете компьютерных наук. Правда в другом универе. Я не удивлен. Старперы. Боюсь что половина из них не отличат сканера от сниффера.
В статье говориться не про университет, а про Dawson College, что стоит до университета ещё. Так что ни о каком серьёздном образовании там нет речи.
Этот парень скорее всгео просто умнее их и находчивее. Не хочется терять престиж. Интересно узнать средний возраст этих профессоров…
По моему, отчислив парня, они как раз таки показали свою ограниченность и некомепетентность, что гораздо важнее визуального престижа.
Побуждение называется баттхёрт.
UFO just landed and posted this here
Зачем? Такие отчисленные потом в собственных гаражах делают такое…
Совсем не странные. Они профессора, а тут какой-то студент и скорее всего умнее их. Не отчислишь — займет в скором будущем их места всех вместе взятых.
Интересно, а не мои ли бывшие учителя по Информатике минусов понаставили.
Может сами пользовались этой уязвимостью?
Я думаю тут национальность сыграла не последнюю роль? Или я ошибаюсь? У американцев же вроде наоборот должно быть — у них же толерастия over 9000… Да, странно — тихий какой-то студент попался. Какой-нибудь негр уже бы побежал жаловаться во все суды, с формулировкой что его отчислили «по принципу принадлежности», так сказать…
Американцы не причем, Монреаль — Канада, JFYI
А правда, что сканеры можно использовать только с разрешения владельца сервера?
Статью 272 УК можно за уши притянуть у нас в стране… Есть соглашение, которое нужно читать. Если там что-либо написано, что считать правомерным, а что нет, то нужно заострить на этом внимание.
В частности
Пользователь обязуется:

не нарушать работоспособность сайта путём размещения информации, содержащей вирусы, создания дополнительной нагрузки на сервер, применением программ, не обусловленных функциональным содержанием информационного ресурса и иными способами


5. Ответственность сторон
В случае, если Пользователем была размещена информация, распространение которой ограничивается или запрещается федеральными законами, нарушает авторское или иное защищаемое законом право, всю полноту ответственности за её размещение несёт Пользователь.
Соглашение тут неактуально. 1) Конкретно в случае хабра оно работает только после авторизации. 2) для любой публичной оферты необходим факт её принятия.
Согласен по всем двум пунктам. Статью 272 так же раскройте, пожалуйста.
Я не юрист и не знаком с практикой, но судя по самой статье 272, её тут можно именно что притянуть за уши, потому что сканирование на уязвимости обычно не влечёт за собой «уничтожение, блокирование, модификацию либо копирование компьютерной информации».
Т.е. если я постучался на вашу машину по RDP, ввёл admin/admin, у меня получилось и я сразу вылогинился, то факт неправомерного доступа будет, но он будет ненаказуем, т.к. последствий не было.
В этом случае последствия могут быть, т.к. вы смогли «зайти» (точно установили параметры доступа логин/пароль) и это уже будут не уши, а тот самый неправомерный доступ и статья при наличии логов.
Если не смогли — то факта доступа не удастся установить, последствий утери информации не было.

По теме: вообще я не понимаю, парень все сделал более-менее грамотно, сказал что как, приняли его фидбек и сказали, что исправят. Он же мог догадаться что теперь за серверами с дыркой будет глаз да глаз (по идее). Зачем лезть-то снова.
А меня всегда удивляло, как логи могут вообще служить доказательствам чего либо?
Это же обычный текстовый файл. Таких наклепать можно сколько угодно и любого вида.
Там нет средств контроля их изменения и т.д.

это тоже самое, что в качестве доказательства в суде, показывать бумажку с распечаткой чего либо, без каких бы то ни было печатей и подписей…

В общем хрень какая-то.
UFO just landed and posted this here
Т.е. владелец взломанного ресурса, будучи заинтересованным посадить злодея, не сможет сделать запись с БД, в лог и еще куда там надо будет с «необходимым временем, IP» и чем там еще косвенно можно подтвердить?

Не смешите мои тапочки, это на раз делается…
UFO just landed and posted this here
ok, а если хакер сделает «прокол» в логах, можно посадить владельца сервера?
Под последствиями я имею ввиду модификацию, уничтожение, копирование и прочее. Если этого не было (а в примере этого не было, зашли и вышли), то такое деяние под статью не подпадает. Потому что сам по себе неправомерный доступ незаконен только тогда, когда он влечёт за собой уничтожение, копирование etc. Так в законе прямо написано.
Прокомментирую исключительно случай когда сканером/ручками удалось «подобрать» логин/пароль. Пожалуйста, не воспримите это как упрямство с моей стороны, просто хочу изложить реальную ситуацию, по закону.

Статья 272. Неправомерный доступ к компьютерной информации

Неправомерный доступ к охраняемой законом компьютерной информации ...


Законом действительно охраняется даже логин и пароль и все систематические действия, направленные на получение этих данных можно подтянуть даже под определение шпионажа и пр. Получение доступа к логину/паролю может привести к нарушению коммерческой тайны а это вполне прямой ущерб. На практике исключительно 272 статья отдельно не инкриминируется.
В законе нет дословного определения характера информации и охватить все словом нереально, потому самым первым предложением охвачен практически любой такой характер информации, в том числе и доступы логины/пароли.
Если в какой-то компании был хотя бы один внутренний приказ или распоряжение от тех же администраторов по раздаче доступов — все, с этого момента эти данные по факту можно считать «информацией, охраняемой законом».

Про доказательства через логи пару слов. Да, для однозначного вывода экспертной комиссии недостаточно просто одного типа логов. Обычно, идет их последовательность, увязанная во времени, заверенная представленными организациями. Без этой последовательности будет сложно что-то доказать, по причинам вполне очевидным.

Любой закон — это лишь «50%». Остальные «50%» — правоприменительная практика, прецеденты, на основе которых у нас строится слишком много.

Для примера. Допустим произошел взлом БД в какой-то организации, доступ к БД напрямую закрыт, ломали через шелл/изнутри сети (в принципе — не суть). В качестве хорошей доказательной базы будет следующее: заверенная выписка логов по времени взлома от 1) собственно организации, 2) от хостинг-провайдера/обслуживающей организацию компании-провайдера, 3) по предоставленным данным откуда ломали — логи всех промежуточных провайдеров. Их не настолько сложно и геморройно получить, особенно по следственным мероприятиям от правоохранительных органов.
Если есть четкая взаимосвязь во времени между действиями взломщика и его целью/результатом — доказать и наказать вполне реально.
Если взломщик реально «продуман» и заходит и выходит, к примеру, либо через ring-proxy или внутри тора/впн — то тут уже размер геморроя по доказательству прилично возрастет — количество узлов, для установки взаимосвязи будет большим. А если еще и с заходом в корпоративную сеть — то для получения логов потребуется еще много бумажной волокиты.
Значительно сложнее, но возможно.
всё бы хорошо, но вы же цитируете не до конца. Полностью это выглядит так
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации

Про «если не повлекло» в законе ничего не сказано, значит «неправомерный доступ, не повлекший» не наказуем. Т.е. в теории, если я угадал пароль от вашего рабочего компьютера, никому пароль не давал и ничего не копировал etc, наказывать меня не за что. На практике, конечно, есть привлечённые «эксперты», которые нарисуют модификацию в виде логов доступа и копирование имени пользователя в кэш mstsc.
Как айтишник айтишнику скажите — модифицируется ли информация при успешном логине? Подсказка — в оперативке, в структурах данных того же шелла -тоже информация хранится, а не только на винтах и прочих стораджах.
я ж к тому и клоню, что модификация и копирование-то есть, но это неотъемлемая часть технических процессов. И эксперт, который обязательно будет в деле, может либо уточнить этот момент в заключении, либо умолчать про это как про само собой разумеющуюся вещь, либо раздуть и представить как намеренное копирование и порчу.
И последнее очень печально, потому что мне, например, не хотелось бы когда-нибудь отвечать в суде по подставному делу о копировании объекта АП с сайта онлайн-кинотеатра в оперативную память компьютера.
Мне приятно было вести с вами диалог, но добавить к уже написанному мной выше нечего — данные доступов так же относятся к «компьютерной информации». Даже потеря доступов через подбор — также могут повлечь прямой ущерб. Практически все действия, которые влекут ущерб — имеют охраняющую статью. В общем понимании этой фразы, не буквально.

Это нормально, что любое мнение надо проверять, но тогда в этом случае проще ознакомиться с практикой вынесения решений судов по этому направлению, это и будет истина. То, как оно есть — выше описал.

Единственно отмечу по цитате из статьи, что все, что идет после запятой, которая перед «если» первого предложения — принадлежит уже к определению критериев наказания, а не условия нарушения. Да, определение в статье максимально широкое и «коррупционная составляющая» тут более очень велика. Равновесие тут только в сложности доказательной базы.

Я постарался довести до вас свою позицию, но в споре не вижу для себя целей.
Приведу в заключение еще один наглядный пример.

У вас есть своя компания, в ней — сеть, данные и т.п. Есть какое-то хранилище, защищенное доступами, допустим FTP сервер.
Кто-то, допустим просто гармональный тинейджер с нереализованной самоутвержденностью или профессионал — берет и сканит ваш FTPшник и подбирает-таки пароль. Ничего не делает, просто зашел.

А потом берет эти данные и просто продает/отдает конкуренту, который также просто стирает все к чертям, все доки (допустим, да, что все важное хранится именно там). Все — ваши бизнесс процессы нарушены, денег отняло это много, времени, восстановления.

Задайте себе вопрос — нарушил ли 272 статью тот человек, который просто зашел? Тот, кто напакостил — и так уже ясно что виновен. НО — он бы не смог это сделать, не имея доступов.
Здесь первый человек — соучастник. Это не равносильно «зашёл посмотреть»
Как можно быть соучастником неизвестного тебе преступления? Первый может сказать, что продавал данные чтобы второй тоже посмотрел, ведь смотреть, по-вашему, законно.

А если данные доступа он не продал кому-то конкретному, а в паблик выложил и кто-то неизвестный всё удалил?
Кстати, последний момент законодательством предусмотрен — копирование объектов АП в память компьютера как неотъемлемая часть процесса пользования разрешена явно, если пользование законно (грубо, фильм лицензионный). А вот если у вас «случайно» появился чужой логин и пароль от учетки онлайн-кинотеатра, то вполне возможно, что отвечать придётся и по 146 (незаконное воспроизведение объекта АП), и по 272 (незаконное копирование охраняемой законом информации).
Законом действительно охраняется даже логин и пароль
Не могли бы вы уточнить, какой именно правовой нормой охраняется логин и пароль? Я ранее думал, что «охраняемая законом информация» — это, например, ПДн, государственная и коммерческая тайна. Фотографические изображения других людей вроде тоже законом охраняются (Гражданский кодекс, статья 152.1). А вот про логины и пароли — первый раз слышу.
Если в какой-то компании был хотя бы один внутренний приказ или распоряжение от тех же администраторов по раздаче доступов — все, с этого момента эти данные по факту можно считать «информацией, охраняемой законом».


В примере выше это коммерческая тайна.
Если использовать без разрешения владельца, то есть вероятность что он обидится и отчислит/уволит :)
> А правда, что сканеры можно использовать только с разрешения владельца сервера?

Вообще-то так и есть.
За безобидным названием «сканер» скрывается проведение набора хакерских атак и проверка их успешности.
И даже непонятно, кто чаще пользуется сканерами уязвимости – хакеры или администраторы. Так что, если идешь ломать сайт без разрешения, даже если просто для «исследования», как Ахмед, то надо прикрывать ж*пу, а если отчислят, то не удивляться.
Радоваться надо, что его отчислили. Очень здорово ребята себя проявили, вполне однозначно. Профессура, все дела, можно и не рассмотреть что там как. А так — все ясно стало.
Хороший повод поискать другое место, ну и пеар, конечно :)
Отличный пеар может сделать другой университет, который возьмет его к себе. Можно без экзаменов.
Умение запускать акунетикс не заменяет вступительных экзаменов.
Увидим, заменит или нет. Даже интересно
Какой наивный Ахмед. В сл. раз будет думать головой. Никогда так не делайте! Скрывайтесь, скрывайтесь и еще раз скрывайтесь!
Почитал комменты — оказалось таких наивных «Ахмедов» везде хватает. Что с вами люди? Всегда надо скрываться. Например может выйти так, что этот баг уже кто-то давно заюзал… скомпрометировал найденные данны, украл деньги, все что угодно. В таком случае крайним окажетесь Вы! Это же ясно как божий день… скажут «наворовался» и решил закрыть дыру… решил убрать с себя подозрения, а еще потом окажется, что вы не только сайт универа взломали, а много еще чего нахакерили!
+1, для меня это настолько понятно, что странно как может быть иначе.
Я бы тоже пошел докладывать о найденной уязвимости владельцам не скрываясь. И меня тоже зовут Ахмед )
Мне сейчас 32 и для меня это очевидно. Сегодня я использую эти особенности психики среднестатистического человека для своих целей.
А вот когда мне было 22 я даже представить себе не мог, что люди бывают… «такими».
Меня правда не уволили, а отчитали и запретили подходить к той системе в которой я нашел уязвимости.
Ситуация усугублялась тем, что исполнение этого запрета реально мог проконтролировать только я сам, а уязвимости были закрыты лишь частично (исходя из приятного диалога с разрабами). Сейчас удивляюсь тому как это я после этого проработал там еще полгода и так ни разу не нарушил запрет.
Бредятина какая-то. Чем им всем так нравится тактика страуса?
Не бредятина а суровая реальность.
Большинство взрослых людей большую часть времени живут по шаблонам, и лишь изредка отвлекаются на то, чтобы перенять у кого-то новый шаблон или не дай боже придумать свой.
Когда внешние раздражители выбивают человека из привычных шаблонов, то… в работу включаются шаблоны действий в условиях разрыва шаблона. Если в его наборе шаблонов есть шаблон моделирования ситуаций, то он возможно будет способен промоделировать ситуацию, и в рассматриваемых случаях понять что страус не спасет, а только разозлит виновника. Если же моделировать ситуацию он умеет только в штатной ситуации, то сработают другие шаблоны, в частности «оградиться от опасности любой ценой».
Ну как обычно. Пытался сделать что-то хорошее… отчислили и чуть дело не завели.
Благими намерениями вымощена дорога в ад.

Лучше бы он всё делал анонимно, и скрываясь. Читая уже не первую такую историю, я твёрдо убеждён, что если ты что-то подобное открыл, то скрывайся, скрывайся и еще раз скрывайся
Ну насколько я понял, тут больше проблема не в компании, уязвимость в продукте которой он нашел, а в колледже, где даже разбираться не стали, а тупо выгнали парня. Проф. этику он бы нарушил, если бы взломал их и украл 250К данных, а потом сплавил бы куда-нибудь. А так парень выполнил все требования и все открыто рассказал, я не думаю, что у него не хватило бы знаний потереть логи.
Думаю, у них в некоторых учебных заведениях отношения с начальством и спонсорами недалеки от наших. Потому и отчислили. Либо им преподнесли это только в негативном свете, как всегда делается в подобных случаях
В многих крупных фирмах, госкомпаниях, в том числе и учебных заведениях, одно из требований при каких-либо пентестах это получить письменное разрешение от владельца сервиса и за несоблюдение этих требований могут быть плачевные последствия.
Проф.этика имеет намного больше пунктов и требований, чем взломал-украл-сплавил.
Если бы фривольные аудиторы всегда следовали четкому регламенту и запрашивали письменное разрешение, то у нас минимум 80% всего ПО, разрабатываемого в мире было жутко бажным и дырявым. Представьте себе ситуацию, при которой я нашел, например, критическую уязвимость в google.com. Получается, я должен сначала написать письмо с запросом на разрешение произвести аудит их программного продукта, после чего найти эту самую дырку, а потом, еще и по всем правилам оформить баг-репорт. А учитывая то, что компания большая и тот-же сапорт в день получает просто огромное количество писем, то скорее всего, идея бы завяла на этапе ожидания ответа с офф разрешением. В том то и дело, что 'нормальные' конторы не ставят палки в колеса людям, пытающимся им помочь и сообщить об уязвимости. А прямое воровство с последующим шантажом и распространением — абсолютно другое дело.
Я не по наслышке знаю как работают аудиторы в фирме где трудится более 20000 работников. Сфера — финансы.
Каждое действие согласовано, спектр работ указан очень точно и понятно. Любая инициатива наказуема.
Критические продукционные системы пенетрируются в момент минимального количства клиентов. Бывает, что заранее сообщается основыным СМИ, что они сообщили общественности — такого-то числа там-то там-то возможны перебои в системах.

Я не знаю какая политика у google.com. Но в фин. и гос. секторе без соответсвующего разрешения, можно получить по ушам.

Согласен, но опять- же. Насколько видно из статьи, он не специально нашел уязвимость, а наткнулся на неё, разрабатывая мобильное приложение и первое, что он сделал — так это пошел к руководству колледжа, а не компании. Получается он должен был просто забить на неё, а потом, её бы нашел другой чувак, только более хитрый, который бы скрил свое пребывание, украл бы данные и закинул бы их куда-нибудь
Да он нашёл уязвимость не спецом. Да он сообщил куда надо. Но после этого он «дважды запустил сканер веб-уязвимостей на сайте учебного заведения» — вот это и было начало его конца.
В его случае лучше было попросить разрешения, чем потом просить прощения.
Плохо видимо учился, или, точнее, плохо преподавали. Что этот недохакер, решивший проверить как работает сканер, что профессура университета, далеки они от компьютерной безопасности.
Ну да, я тут купил на савёловском телефон и судя по инфе в нём (владелец, вся телефонная книга сохранена, фотки) — краденный.
Вернул владельцу (он мне деньги за него отдал), а на меня уголовное дело завести хотели, типа я украл телефон, и ноут и фотик из его машины, а потом ему же продать пытался. А владелец когда телефон у меня забирал — номер машины переписал моей, и к следователю с ним пошел.
Связи выручили очень, в итоге.
Первая заповедь гласит: «Нет логов — нет проблем». Ну и «благими намерениями ...» туда же. В общем и целом еще одному товарищу есть суровая наука о том, что если играешь на тонком льду — лучше не думать, что «не делаешь что-то плохое», а заранее, просто для уверенности в беоблачности завтрашнего дня прикрыть свою пятую точку.
Теперь Skytech придется намного усерднее проверять код на уязвимости или огребать за дырявый коммерческий код.
Не верю, что 14 из 15 взрослых профессоров, учителей могли бы исключить парня описанного в статье. Учитель по-идее не равнодушен, когда их ученики что-то делают не так. А если такой правильный, как этот, то это уже удар по их самооценке, призыв работать с ним плотнее, а не исключать.

Тут должна быть вторая сторона дела, в которой парень жрёт водку на лекциях, запугивает и обдирает сокурсников и лезет на сервер, чтобы поменять оценку любому желающему за плату.
UFO just landed and posted this here
Во-первых профессора это не учителя, профессора это лекторы, и в Канаде они даже не проверяют домашки. Поэтому если он особенно сильно интересовался их предметом (а учитывая, что курсы студент выбирает сам, их предмет он мог и не слушать) то они скорее всего его даже не запомнили, и выносили решение на основе отчётов администраторов. На чём и погорели.
У меня 6 из 6ти профессоров на курсе проверяют домашки.
Учусь в Торонто.
Я думал в Канаде такая же система как в США
А еще гомофоб, и говорил, что «женщина — не человек»…

Ах да, и копировал музыку, нарушая авторские права.
Кажется это все смертные грехи 21 века.
Педофилия ещё. Ну и расизм, но это уже не очень модно.
Он не европеец и не wasp, так что расизм — мимо.
UFO just landed and posted this here
UFO just landed and posted this here
Мне вот в этом плане интересна реакция компании-разработчика. Вместо общепринятого «спасибо, информация принята, фикс будет в следующем релизе, пожалуйста, не распространяйтесь о баге следующий месяц» начинаются угрозы, запугивания, NDA. Ну неужели они настолько тупые, что не понимают, что нынче скрыть ничего невозможно. Тот факт, что в ПО был баг — это фигня, у всех есть баги, это не повод рвать сотрудничество с компанией или плохо думать о них, а вот то, как они реагируют на эти баги — это уже повод послать их ко всем чертям.
Это типично для определенного класса компаний. Чтобы адекватно воспринимать такие вещи в компании должна сложиться ИТ-культура, пропитанная определенными ценностями. Что бывает далеко не всегда.
Ну эта же компания не швабры продаёт и не ларьки на рынке крышует — они же программы делают. И звонил студенту не рядовой служивый, который мог психануть по недоразумению, а шишка какая-то, что означает, что в этой компании НУ ВОТ ВООБЩЕ адеквата нету никакого, коль их руководство так себя ведёт.
> шишка какая-то
Я полагаю, дело в том, что контора эта небольшая и в ней президент компании — по совместительству главный из всех трех программистов и двух админов.

Делать программы — это ведь не иммунитет от неадекватных действий, согласитесь :) Можно иметь многомиллиардную ИТ-компанию, и судиться за пару строк очевидного кода.
В многомиллиардных рулят менеджеры.
Меня тоже это удивило. Вместо того, чтобы латать дыры и сохранять лицо — подсовывают парню NDA. Как будто завтра не может найтись другой такой же Ахмед, но со злым умыслом. Вот тогда разработчиков поимеют без вазелина. Как можно этого не понимать?
UFO just landed and posted this here
Они же «умные». Они все эти дыры уже закрыли.
Ключевое слово ЭТИ.
Если сканер пробил брешь, то ошибка не в решениях, а скорее всего в архитектуре (и их поведение это доказывает), и там наверняка есть еще сотни других уязвимостей, но не столь очевидных…
В части «Такие программы, говорит он, можно использовать только предварительно уведомив владельца сервера.» он прав, но реакция совершенно неадекватная.
«член местного компьютерного клуба», «небрежного кодирования».
запустил сканер, чтобы проверить закрыта ли уже найденная им уязвимость.
Причем первый раз это преподносится как уязвимость найденная без использования сканера.
14 из 15 профессоров проголосовали за отчисление — он кого-то там уже здорово достал, сдается там причина не только в этом случае.
Думаю эта история слегка переврана, мы не знаем всех подробностей учебы Ахмеда.
Думаю эта история слегка переврана, мы не знаем всех подробностей учебы Ахмеда.

К этому можно добавить, что автор поста — ализар.
Думаю, в таком раскладе есть смысл посудиться, подключив к делу хорошего адвоката за процент от крупной суммы иска.
Теперь моральный долг Ахмета (ессно скрываясь за прокси) продавать свои услуги бывшим коллегам студентам зная об уязвимости ибо там наверняка есть еще подобные. А вообще конечно глупо.
Задолбали эти файрволы в человеческом мире.
— Эй гражданина, туда не ходи… сюда ходи… в лог попадёшь, совсем неучёный будешь…
Такое ощущение что эту статью лично писал Ахмед, уж слишком она лирическая.
О, я помню меня тоже пожурили когда я попытался пологинится в разные telnet'ы при работе над дипломным проектом в институте (комьютера с интернетом у меня дома не было тогда). Тогда еще не было NAT и proxy и компьюетры подключенные к интернет в институте имели реальные IP адреса. Представляю как было бы печально если бы меня тогда отчислили. Думаю что университет погорячился.
Пфф. Мне закрывали доступ в компьютерный класс ИТМО всего лишь за запуск сканера портов. Заставили писать объяснительную, угрожали отчислением. Думаю, на хабре десятки, если не сотни, таких историй.
ну угрожать конечно это уже перебор, но все жа напишу отповедь.

Админил компьютерный класс в универе, все хорошо, да вот постоянно всякие «кулхакеры» объвлялись, которые пытались всеми правдами и неправдами поломать все что можно. Хорошо если просто порты посканить, мне не жалко. Но вот нашелся один деятель, который сумел выгрузить нод32 из памяти и заразить компьютер какой-то хрень, которая изгадила все *.exe. В университете стояла windows 2000, так что эксплоитов под нее гуляло в сети достаточно, а заплатки выходили медленно.

Лечение не прошло, пришлось перенакатывать ос. Итого, хакер самоутвердился, т.к потом орал на каждом углу, что мол все идиоты, он герой. Нод пофиксили почти через месяц, а в аудитории начались репресси. Потом еще возмущаются студенты: «а почему это все анально огорожено?». Да вот потому и огорожено, что не перевелись еще люди с заниженной самооценкой и желанием повысит карму.

p.s: Желающим влепить мне минус, могу сказать, что можно прийти в гости куда-то и насрать на ковре с криками «А у вас баг, нет запрещающей таблички ЭТО НЕ ТУАЛЕТ», но вот как-то ваша оценка в глазах окружающих не повысится, да и карма пострадает.
Любые ремарки про карму обычно выходят боком :)
Самоутверждение — это жесть, я бы сам не удержался от репрессий за это. А само заражение — тьфу, штатная ситуация.
UFO just landed and posted this here
Ок, я предагаю немедленно его трудоустроить в Нод.

В универе есть вин2000 + Нод, куплено все внезапамятные времена. Хорошо хоть это есть. Бежать к декану с криками — наш антивирус гауно, дайте мешок денег, мы другой купим, возможно он лучше.

Тема выбора антивируса вообще была(наверное остается) холиваром.
UFO just landed and posted this here
Как вы предлагаете защищать ему компы от дебилов, если нет финансирования, что бы обновить ОС и софт? Дежурить у компов с плетью?
В данном случае дело могли просто передать в суд. Ловить хулиганов задача милиции, для этого случая прекрасно подходит 272 статья. Я не хочу чтобы из-за какого-то идиота меня ограничивали в правах при использовании рабочего компьютера.
Но ведь любое можно направить во благо: знаю компьютерный класс, где стоял сервак отвечающий за все в школе. И информатик сразу объявлял — кто получит доступ к внутренностям системы и расскажет как он это сделал, тому 5 в году. Вот это вызывало абсолютное уважение к человеку и уверенность в его профессионализме. За все время вроде только один раз ученикам удалось таки сломать систему и то данные они не получили, но работоспособность нарушили (там стояла последняя линия защиты в виде выключения сервера при определенных аномалиях.

Вот такие люди вызывают уважение — учителю не нужно было утверждаться в глазах учеников, быть строгим — его просто все уважали и каждый мог проверить «кто умнее». А пример с депрессиями это пример неконструктивного подхода к образовательному процессу, если люди готовы сидеть в классе, чтобы хакнуть сервак — это же просто отлично, их даже не нужно звать на урок.
Что мешало выкатить этому студенту счёт «за восстановление работоспособности сети» на сумму с пятью-шестью нулями? А потом любезно согласиться взять услугами по восстановлению ОС на всех побитых компах?

P.S. А у нас в универе просто каждую ночь на всех компах винда из образа накатывалась. А документы все хранили на файловом серваке (потому что знали о том, что завтра на диске ничего уже не будет). И плевать на все хаки.
А что мешало эту же сумму вычесть из незаслуженно получаемой админом зарплаты?

Это как если бы уборщица возмутилась, что студент посс… помочился не на левую стенку писсуара, а на правую и на этом основании потребовала сумму с нулями и/или отчисления.
Ну так одно дело использовать уязвимость для «поломки» компьютерного класса (такое надо пресекать чтоб дальше неповадно было), и совсем другое обнаружить уязвимость и сообщить о ней администратору…
В компании Intel Вас бы уволили в 24 часа.
Когда учился в институте, там ходили истории про студентов, устроившихся на высокие позиции в Intel. Видимо, это одно из следствий :)
Ну по моему скромному мнению этика несанкционированных проверок всегда была такова:
1 — начал атаку, и не нашел уязвимостей, но был пойман — значит виноват.
2 — начал атаку, нашел уязвимости, и самолично признался в атаке и показал уязвимости — спасибо тебе, мил человек.
Все остальные варианты промежуточные между этими двумя, и довольно индивидуальны.
Помню нашёл баг в интернет-магазине своего провайдера (в котором я кстати работал, правда менеджером), позволяющий покупать товар оплачивая с лицевого счёта других абонентов зная их логин и пароль, в обход защиты, которая запрещает (в теорие) совершать покупки с чужого IP. (причём cам баг не проверил на практике, но был уверен, что сработает).

Тут же отписал главному безопаснику, всё объяснил, тот посмеялся и сказал, что защита 100%-ая и обойти нельзя. Поспорили с ним, что баг существует, через 10 минут скинул ему доказательства обхода защиты (купил с левого аккаунта книжку за 15 рублей), он поблагодарил и сказал, что всё исправят.

На следующий день приезжаю на работу, меня сразу к начальству вызывают. Захожу и мне показывают письмо от главного безопасника с просьбами:
1) уволить меня за нарушение каких-то частей договора
2) завести на меня уголовное дело за обход защиты
3) бла-бла-бла

Хорошо хоть с начальником не плохо общался, всё объяснил ему, тот похвалил меня и посмеялся над безопасниками, а так ведь серьёзно могли в ответку гадость устроить.

Вот такие вот дела.
Если главный безопасник после этого эпизода продолжил спокойно работать на своём месте, то начальство сильно недооценило его самодурство.
И вы после этого продолжили работать в этой компании, зная что там кам минимум безопасник и директор некомптентны (или сволочи)?
Я работал менеджером, не пересекался с безопасником и директором после :]
А моё непосредственное начальство меня вполне устраивало
Ну, зато теперь его с радостью возьмут учиться те, кто заинтересован в активных и ответственных студентах.
«Я мог бы легко скрыть свою личность за прокси. Но я не сделал этого, потому что не считал, что совершаю что-то плохое»

Теперь он будет делать тоже самое, но уже за проксей.
… и сливать уязвимость тем, кто действительно заинтересован в них…
Да можно даже не сливать, тут уже дело принципа.
UFO just landed and posted this here
«Я мог бы легко скрыть свою личность за прокси...

О да, за прокси сильно скроешься…
UFO just landed and posted this here
Ну оно и понятно. Но с другой стороны можно подойти куда позитивнее. К примеру: Виртуалка + Tor + прокси лист + инет через 3G модем.
Конечно тут же не позвонит. Однако, если захочет то через время может он может запросто позвонить, если за это не возьмется какая-нибудь другая «веселая» служба.
Наверное он этим словом обозвал меры предосторожности (обзовем их так) в целом.
Гугл платит за это а учебные заведения садят.
Угу… такое ощущение что дело было не в Европе, а у нас
Выходит, мы ещё до них не доросли…
На их месте я бы в первую очередь отчислил президента SkyTech :) за «серьезное нарушение безопасности продукта»
Я так понял описано две ситуации:
Первая — он обнаружил уязвимость и сообщил о ней, быстро исправить код не удалось и они пригрозили судом, дабы подписать nda. Тут все логично, все сделали, что могли. Могли конечно и денег дать за найденный баг, но это уж как где заведено.

А вот руководство факультета не стало разбираться что к чему и отчислили парня. И далеко не факт, что компания издатель ПО просили об этом, возможно они вообще сообщили об это в нейтральном свете и без подробностей. А вот совет профессоров поленился разбираться. Крайне странно, что не вызвали для пояснений студента, даже у нас на разборки всегда вызывают, говоришь свою точку зрения и потом без тебя обсуждают, наказывать ли, а тут вроде Европа, все права чтутся и уважаются.
даже у нас

а тут вроде Европа


Сказки про Европу только сказки. Как европейцы судят о России по Москве, так и мы судим об Европе смотря на пару образцовых городов (стран?), таки дела.
Монреаль в Канаде. (как мы судим об американцах так и они судят о нас)
Человек, которому я отвечал, говорил про Европу, я даже процитировал, вот :[
Да по географии мне двойка. Но сути моего ответа это не меняет. У меня есть друзья обучающиеся в зарубежных институтах и «там» подход совсем другой. Вот только недавно общался с человеком, переехавшим на продолжение обучения. На вопрос «что там лучше» он ответил, что главное разительное отличие — то что у студента есть права и то, что он не изучает ни одного непонятного предмета, которые у нас везде пихают для галочки. Прежде всего разница обусловлена тем, что почти везде обучение платное и ты выбираешь институт по интересам, а не потому что все так делают, как он рассказал такие есть только первый год, потом они отсеиваются все.
UFO just landed and posted this here
Помню очень переживал, когда в 92-м году поступал вроде в институт, а оказался в университете. Не доволен, что у меня было слишком широкое образование — лучше бы программирования больше давали, чем философии или психологии.
UFO just landed and posted this here
Подтверждаю. Даже не учась в универе находил способы пробраться в лабораторию и написать что-то / пошпилить в варкрафт с студентами.
Учится-то сам, но нужны какие-то ориентиры и, желательно, обратная связь. Сложно выучиться чему-то, о существовании чего даже не подозреваешь и когда никто не контролирует правильно ли ты поступаешь. Например, сложно вфыучить теорию программирования, если даже не знаешь, что вообще существует такое понятие

Нам практически не давали теорию ООП, а об ФП вообще даже не упомянули — узнал о нем вроде с Хабра. Что такое формальная сложность алгоритмов узнал где-то случайно тоже. Немного структурного программирования, немного алгоритмов типа пузырька или половинного деления, немного структур данных типа массивов и списков. Никакой рекомендованной литературы или учебников, только лекции и практики/лабы. Послабления «волокущим» только в виде разрешения не посещать лекции и на практиках заниматься чем угодно (СМ-1420 или ЕС-1840 в зависимости от курса на кафедре). Хотя нет, раз в две недели в ВЦ института пускали на пару, где были, кажется, 386. Ну и мы трое «волокущих» в группе правдами и неправдами время от времени получали доступ к каким-то немецким клонам IBM PC на кафедре инженерной графики.

P.S. Сорри за некропостинг, сразу не заметил вашего коммента.
Ну вот выше призывают не плодить стереотипы, а здесь предлагают их же. В нормальных университетах изучают и философию, и литературу, и всё прочее. Уже сама по себе система major subject / minor subject заставляет шире смотреть на своё образование.
UFO just landed and posted this here
Чувствую после этой статьи омнивокс ляжет под хэ и студенты начнут учиться по новому расписанию)
Настоящие учёные не прикрывают своё высокомерие профессиональной этикой. Когда я работал «профессором компьютерных наук» и админом ВУЗа одновременно, я за нахождение уязвимостей в моей системе пятёрки и пиво ставил.
Да так везде, таков мир, такая калиюга.
Между прочим, указанный сканер вполне способен одним сканированием нарушить работу служб. Помнится, дали на лечение один из внезапно рухнувших сайтов, заглядываю в БД, а там куча упоминаний этого акунетикса, вписанных как попало. То есть сканер сканировал и таки находил уязвимости, через которые в БД попадала куча левого хлама, несогласованного со схемой БД, в результате чего сервис и упал.
UFO just landed and posted this here
Ну, справедливости ради, надо признать, что бывают разные ситуации. Вот ты, сидя у себя в университете и никому зла не желая, написал «на коленке» простенькую систему для одноразового или временного решения какой-то конкретной задачи, не запариваясь при этом всякими проверками (на практике в таких случаях, когда создать продукт для потомков/продажи — не есть задача, принять предположение об идеальном качестве входного потока и сэкономить кучу времени совершенно нормально). И тут объявляется какой-то мажор-скрипткидди со сканером и загаживает/сносит тебе к хренам базу с наработанными данными — вот это уже действительно нарушение профессиональной этики.
UFO just landed and posted this here
А потом эти люди возмущаются, когда предлагают сделать вход в интернет по паспортам.
UFO just landed and posted this here
Если он стучится рукой — это нормально. А если он в в витрину кипричом стучится, то это слегка не то, чего хотелось бы. Пусть даже и у половины магазинов установлены противовандальные стекла и им ничего не будет от кирпича.
UFO just landed and posted this here
>То есть сканер сканировал и таки находил уязвимости, через которые в БД попадала куча левого хлама, несогласованного со схемой БД, в результате чего сервис и упал
Я пропустил этот факт при прочтении или это лично ваша гипотеза?
Пропустили, этов первом комментарии текущей ветки.
Ну в данном случае это только гипотеза.
Мало ли какие были обстоятельства в том случае? может там сканер запускали по стопитсот раз на день.
Раз уж встали на путь аналогий, то сервис, который ломается от сканера уязвимостей — это магазин из гофрокартона с окнами из стретч-плёнки. Чем туда стучатся — неважно. Он и так сам по себе от ветра иногда падает.
Мдээээээ, если уж вам просто сканер уязвимостей сервис поломал…
Mad coding skillz, bro.
программисты сами виноваты если не фильтруют данные, даже банальное экранирование с триггерами уже позволяет на порядок сократить размер уязвимостей.
Я правильно понимаю, что существование этой статьи — это нарушение подписанного Ахмедом NDA, и теперь он сядет на срок от 6 до 12 месяцев?
«When reached for comment Mr. Taza acknowledged mentioning police and legal consequences, but denied having made any threats, and suggested that Mr. Al-Khabaz had misunderstood his comments.» из National Post. Переведу это так: «Когда сотрудники NP добрались за комментариями до г-н Таза, он признал что предупреждал о полиции и правовых последствиях при разглашении, но отрицал, что делал какие-то угрозы в сторону г-н аль-Хабаз, и предположил, что г-н аль-Хабаз неправильно понял его комментарии.»

alizar вы упустил этот момент.
Хмм, странно. Думаю, что-то тут не так — если он уже знал как эксплуатировать уязвимость, почему пытался проверить с помощью Acunetix’а если уязвимость устранена?
«Я мог бы легко скрыть свою личность за прокси. Но я не сделал этого, потому что забыл не считал, что совершаю что-то плохое»
Грустная конечно история, но мне почему-то кажется, что парень без учебы/ работы не останется, имя он себе уже сделал.
Чем сделал-то? Просто запустив сканер по порталу?
PS: Уязвимость кстати до сих пор есть.
Вы на Хабре читаете новость про этого паренька, который учиться в Канаде, я подозреваю он не читает новость про Вас на канадских сайтах =)
Ваша правда. Но я думаю его потенциальные работодатели понимают, что он на самом деле сделал. Но пиар конечно неплохой, может он действительно компенсирует несправедливость. Хотя, если честно, мне кажется что-то тут не чисто, и кто-то из сторон что-то не договаривает)
Честно говоря мне тоже так по началу показалось, слишком все гладко, и как то не очень не верится в некомпетентность 14 профессоров.
«Какая-либо информация о технологиях обвеса и обсчёта покупателей, а также о применении данных технологий являются коммерческой тайной компании-владельца магазина». Ты обнаружил, что колбаса просроченная, а тебя потащили к директору магазина и заставили подписать NDA… Никогда не думал, что подобное бывает в реальности.
Omnivox, да есть тут у нас такая тема. Только его ломали уже не первый раз,
Еще одно подтверждение что светлая сторона безопасности как правило неинтересна, и скорее даже вреда.
P.S. а с другой стороны — студент сам виноват — нужно было использовать VPN и цепочку прокси…
UFO just landed and posted this here
«темная сторона зла» — надо запомнить
Ну и чего эти старые пердуны могут научить?
«юзай прокси и три логи»(с)
Ради интереса у себя в ВУЗе юзал метасплоит фреймворк в университетской сети. Подбирал диапазоны. В один из дней нашёл две критических уязвимости: 1. На сервере лицензий 2. На компьютере охраны с базой электронных пропусков. Струхнул, записал данные и отдал зав кафедрой, на которой учусь. Спустя пару дней уязвимости софта закрыли, видимо путём обновления. Никаких карательных мер не последовало.
Но в соответствующие органы заявку отправили :)
Мда… есть пара своих старых мозолей. На втором курсе (1998 г.) не последнего в городе технического ВУЗа (экономический факультет) я как-то предложил — а давайте сделаем некий портал для студентов — расписание там, новости факультета итп. Меня открытым текстом спросили — «тебе что, больше всех надо?». «Ну да, а что?». «Иди отсюда».

Два года спустя на лекции по «информатике» (с) лектор заявила (цитирую по памяти): «Эксель — это, можно сказать, ядро операционной системы Виндоус». Больше на эти лекции я не ходил. Пришло время зачета… который она мне ставить отказалась, заявив — «на лекции не ходил? ничего не знаешь, давай до свидания». Пришлось поднимать на уши знакомых с кафедры информатики, чтобы пробиться через эту стену.

Еще год спустя (2001 г.!!) сдавал диплом, в котором была небольшая практическая часть с небольшим количеством кода (ага, на экономе). По требованиям моей экономической кафедры пришлось получить подпись от преподавателя информатики под практической частью. Диалог с преподом:

— Так, что тут у тебя?

— Вот, сайтик небольшой.

— Что это за язык?

— РНР.

— А, так это и есть РНР? Где подписать?

Ну хоть за это спасибо.

А вообще — что посеете, то и пожнете, господа преподаватели. Те роботы с отсутствием смекалки, исследовательской жилки и нестандартного подхода, которых вы культивируете из-за нежелания смотреть на свою работу открыто, через 20 лет сядут писать код для вашего кардиостимулятора. Выбирайте.
Те роботы с отсутствием смекалки, исследовательской жилки и нестандартного подхода, которых вы культивируете из-за нежелания смотреть на свою работу открыто, через 20 лет сядут писать код для вашего кардиостимулятора.

это пять!
Рискую нарваться, но… Мне кажется, не надо большого ума, чтобы запустить какую-то софтину, написанную другими людьми. Вот если бы он без этой софтины обнаружил дырку — вот тогда почет и уважуха. А из любопытства (!) запустить «сканер уязвимостей» может не только будущий программист, но и будущий, простите, гуманитарий. Администраторы, уверен, читая этот топик, скрежещут зубами, потому как умников, узнавших об умном слове «сканер», и «уверенно запускающих его на писи с виндоуз» хватает и без Ахмеда. И если запуск такого специфичного софта можно простить неуместно любопытному гуманитарию, который не понимает, к чему это может привести, то будущему программисту такой безответственности простить нельзя. Разрабатываешь мобильное приложение? Разрабатывай, тебе же не поручали сканировать боевой сайт. Другое дело, если ты непосредственно в процессе своей работы обнаружил уязвимость — вот тогда все честно, ты умный, наблюдательный и скрупулезный.
Причем, заметьте, не смотря на это, его в первый раз все-таки похвалили. Дескать, от греха подальше, похвалим, может, обойдется, не станет парень больше пальцы в розетку сувать. Не обошлось.
Пост немного противоречив. Непонятно, как в первый раз он обнаружил уязвимость. Ссылка на сканер только во втором случае. При первом — «во время разработки». Лично мне бы во время разработки «морды» к сайту или веб-API не пришло бы в голову сканировать сайт на уязвимости, пока сам бы (случайно или анализируя механизмы, скажем, аутентификации) не обнаружил хотя бы одну.
Проблема, видимо в том, что никто не собирался эту уязвимость латать…
«Получить доступ к перс.данным через единую платформу для большого количества вузов, которую студент находит — это простите, пахнет, умыслом и диверсией»…
Хотелось бы услышать версию руководства колледжа.
Сдается мне, что студент чего-то не договаривает
Нарушение этики университета -> отчисление. Не очень понимаю, чего тут обсуждать, все так, как и должно было быть.
UFO just landed and posted this here
Попытка взлома, причем успешная. Сканер же по сути совершает серию атак на сканируемый сервер.
UFO just landed and posted this here
Запуск эксплоита по-моему есть попытка взлома, что еще-то может быть? Хочешь проверять сервер на уязвимости — получи разрешение.
UFO just landed and posted this here
Нет, не согласен. А как это связано?
Так, что любой может повторить действия этого студента со злым умыслом, и упереть все данные. И вместо того, чтобы закрыть дырку, ответственные лица перекладывают ответственность с больной головы на здоровую.
Я ночью проник в ювелирный магазин, о чем сообщил его владельцам. И, хотя я убеждал их, что любой может повторить мои действия со злым умыслом, вместо того, чтобы улучшить систему безопасности они все равно передали меня полиции.
UFO just landed and posted this here
А в случае со студентом присутствует, т.к. это неправомерный доступ к информации. Между прочим, любой нормальный сканер предупреждает о незаконности его использования на чужих серверах.
Не было наказуемого неправомерного доступа к информации, по крайней мере по нашему УК. см этот комментарий. Не думаю, что Канадское законодательство в этом вопросе отличается(хотя всякое бывает, конечно).
Поясню на простом примере, почему вы, скорей всего, неправы. На бесплатном почтовом сервисе вы случайно опечатались в написании своего стопицотого e-mail-а для всякого мусора с простым паролем, и, впечатав свой простой пароль ВНЕЗАПНО попали в чужой ящик. Вышли. Руководствуясь лучшими побуждениями написали письмо, в котором посоветовали хозяину ящика сменить пароль. По вашей логике тут явный неправомерный доступ, а хозяин ящика, в который вы случайно попали — пойдёт и свидетелем(чего?), и пострадавшим(в чём?).
Нет, плохой пример. Это случайность. Оперся на дверь банка, а она не заперта была и ты ввалился внутрь. А вот если ты специально ввел чужой емейл и подобрал пароль (пусть очень простой, угадал с первого раза) — неправомерный доступ, взлом.
>А вот если ты специально ввел чужой емейл и подобрал пароль (пусть очень простой, угадал с первого раза) — неправомерный доступ, взлом.
Как отличить ваш пример от моего? Исключая возможность чтения мыслей?
Какая разница? Это же просто примеры. Он-то осознанно сканер запустил, да еще и рассказал об этом. А потом еще раз это сделал.

Нет, я понимаю, что он хотел как лучше. Но он нарушил правила, а возможно, и закон. Так что он еще легко отделался.
Ещё раз — он не нарушил закон. Его действия не повлекли за собой никакого ущерба. Состава преступления нет. А если есть — то он есть в и случайном доступе.
Во-первых, по-моему, у вас странное представление о том, как работают законы (не в том смысле, что плохо работают, а вообще). Во-вторых, кажется, вы не очень понимаете, что такое состав преступления и как определяется его наличие или отсутствие.

Т.к. доказать или опровергнуть факт копирования информации после неправомерного к ней доступа, как правило, невозможно, самого факта доступа достаточно.

А если вы обратите внимание на комментарии к 272 статье, то обнаружите, что по законам РФ даже после согласия владельца информации и сервера, взлом и проникновение на этот сервер могут быть признаны незаконными, что ставит под сомнение любые пентесты.
Вообще если рассуждать только в рамках статьи, то я бы на его месте подал на них в суд с нехилой суммой иска.
1 — я СЛУЧАЙНО обнаружил уязвимость которая могла привести к утечке МОИХ личных данных.
2 — я сообщил об этом ответственным лицам, и с целью защиты своих личных данных проверил исправили ли они?
3 — после того как стало ясно, что несмотря на мои законные требования в результате преступной халатности (или преступного замысла?) нарушение закона не было устранено, и с целью сокрытия…

В общем позиция ясная и простая. Я защищал свои законные интересы не нарушая ни чьих интересов и не нанеся никому вреда.
Случайно запустил сканер?
Случайно нашел когда писал мобильное приложение.
После 3 логичный шаг обращаться в правоохранительные органы, а то и после 1.
Ну я бы как и написал начал с гражданского иска. Это проще. В плане того что его проще контролировать, нет ментов которые действуют по своему усмотрению и т.п…
Да и доказательная база у злого умысла слабовата, так что гражданского иска вполне достаточно.
Гражданские суды тоже относится к системе правоохранительных органов.

А вот с точки зрения закона «проверил исправили ли» может быть не чисто. Может не быть у вас полномочий так проверять. Например как в ситуации: случайно открыли вместо двери соседа свою дверь своим ключом и увидели там, скажем, явно незаконную перепланировку, угрожающую вашей жизни, сообщили ему, чтобы он восстановил капитальную стену, но это не даёт вам право повторно уже сознательно открывать его дверь своим ключом и проверять.
Как-то суды разбираются. Наличие или отсутствие умысла один из важнейших факторов классификация деяний.
Как отсутствие умысла доказать-то? Получается, что если не дай бог обнаружил проблему где-то(случайно, или осознанно) — не сообщай о ней ни в коем случае, молчи, а то посадят?
А сканер он случайно запустил что ли? Запустил сканер — умысел.
Я спросил не как доказать наличие, а как доказать отсутствие умысла. Если невозможно определить, скопированы данные, или нет, по действиям невозможно определить, случайный это доступ, или с какими-то намерениями. Когда есть инструмент для взлома — ок, можно предполагать, что умысел есть. В противном случае, можно судить за случайный и за преднамеренный взлом в равной степени. И не надо про презумпцию невиновности — факт неправомерного доступа-то налицо.
Правомерность доступа это как минимум суд должен устанавливать.
Факт преступления содержит многие составляющие, и наличие умысла является далеко не единственной «незначительной» деталью о которую разобьются любые попытки что-либо доказать.
Очень упрощенно можно сказать, что поскольку злого умысла у обвиняемого не было, и ущерба никто кроме него не понес, то всё это редкостная чепуха.
По идее обвинитель должен доказывать наличие умысла, а не обвиняемый отсутствие.
Погодите, изначально была реплика о том, что умысел и последствия не важны, а важен сам «факт неправомерного доступа». Когда я попытался абсурдность этого обосновать, мне почему-то стали доказывать, что умысел-то там был. Зачем всё наизнанку выворачивать?
UFO just landed and posted this here
Я к вот этому привязался:
Его действия не повлекли за собой никакого ущерба. Состава преступления нет. А если есть — то он есть в и случайном доступе.


Был умысел — был состав. Не было умысла — не было состава.
Тут такое… уголовного дела не было, так что по большому счету — не было умысла, но был ущерб — все равно отвечай. Если я без умысла врежусь в вашу машину… ну вы поняли.
Тут вообще отчислили за нарушение этики. По сути из-за невыполнения условий договора между студентом и вузом договор об обучении был расторгнут. Ну, как провайдеры запрещают продавать их интернет соседям или спам рассылать или сети сканировать — узнают и расторгнут договор за факт нарушения его условий независимо от того был ли фактический ущерб.

Аналогия с машиной не очень подходит — это средство повышенной опасности, за которую гражданскую ответственность несёт прежде всего владелец (не водитель, а именно владелец).
Вопрос в том, зафиксирована ли где-нибудь эта этика.
Конечно, зафиксирована. Даже в МГУ ввели несколько лет назад.
UFO just landed and posted this here
Вы так говорите, будто брать чужое это нормально
UFO just landed and posted this here
Месть арабу за 11 сентября)) Был бы он американским евреем вроде Цукерберга все было бы иначе
— Полковник, — сказал я серьезным голосом, — позвольте мне сказать Вам кое-что об этих замках. Когда дверь сейфа или верхний ящик шкафа для документов открыты, очень легко найти комбинацию. Именно это я проделал, когда Вы читали мой отчет, только для того, чтобы продемонстрировать Вам опасность. Вы должны настоять, чтобы во время работы с бумагами все держали закрытыми свои шкафы, потому что в открытом состоянии они очень, очень уязвимы.

— Да-да. Я Вас понимаю. Это очень интересно.

Теперь мы играли в одной команде.

В мой следущий приезд в Ок-Ридж все секретарши и все знавшие, кто я, махали на меня руками: «Сюда не подходите! Сюда не подходите!»

Оказалось, что полковник разослал по заводу циркуляр, в котором спрашивалось: «Во время своего последнего визита находился ли мистер Фейнман какое-то время в вашем кабинете, возле вашего кабинета или проходил ли он через ваш кабинет?» Одни ответили да, другие нет. Ответившие утвердительно получили еще один циркуляр: «Пожалуйста, смените комбинацию на вашем сейфе».

Это была его реакция: опасность представлял я. Так что из-за меня всем пришлось менять комбинацию. Менять комбинацию и запоминать новую — не подарок, и все они злились на меня и не хотели подпускать меня близко, чтобы им снова не пришлось менять комбинацию. Нечего и говорить о том, что во время работы их шкафы были по-прежнему открыты!
Sign up to leave a comment.

Articles