Salve a tutti.
Vorrei un consiglio su come dovrei comportarmi in seguito a una mia leggerezza.
Ieri sera ero in compagnia di un mio amico che lavora con macchine windows e, alla sua richiesta di fargli vedere di quali tool per la rete disponesse Linux, pensando fosse cosa frequente e, soprattutto, LEGALE, ho lanciato un semplice nmap al server dell'azienda per cui lavora attualmente e al server dell'azienda per cui aveva lavorato in precedenza.
Ho poi usato alcune volte dig, whois e nslookup, ma questo lo riporto solo per completezza perché è perfettamente legale...
Volevo poi fargli vedere come con telnet si potevano fare richieste http alla porta 80 del server (dove ho poi visto era in ascolto apache), dimenticandomi però per errore la prima volta di specificare la porta (non ottenendo quindi nessuna connessione).
Scherzavo sulla faccenda e sulle possibili conseguenze del port scanning, ritenendole, superficialmente, inesistenti perché, nella modalità "a volto scoperto" e all'acqua di rose, senza nessun tentativo reale di accesso, credevo fosse pienamente legale quanto stavo facendo.
Sono cominciati però subito dopo, in particolare pensando al telnet andato a vuoto, i dubbi, che stasera, ripensandoci, sono aumentati tanto da spingermi a chiedervi un parere.
Ho letto http://www.slacky.it/forum/viewtopic.php?t=7192
http://www.crimine.info/public/criminei ... matico.htm
http://www.diritto.it/materiali/tecnolo ... imone.html
e l'articolo 615 ter del codice penale e sinceramente non mi sento più tanto tranquillo...
Ovvero, non ho messo in atto nulla di pericoloso, però un amministratore un po' scrupoloso mi potrebbe creare dei problemi...
Credete sia il caso di contattare gli amministratori del server o di lasciar perdere, essendo stata in fondo un'azione senza cattive intenzioni, senza alcuna reale minaccia e isolata?
Il fatto è che utlizzavo un pc non mio, ma di un'associazione di cui faccio parte su cui facevo girare knoppix e mi scoccerebbe se venisse anch'essa tirata in ballo...
A parte la raccomandazione di non farlo mai più se non su macchine mie o al limite con un esplicito e dettagliato accordo scritto con l' amministratore se non lo fossero, che cosa mi suggerireste di fare?
Grazie a tutti.
Leggerezza su scanning porte altrui
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Citare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza dell'ultima regola porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Citare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza dell'ultima regola porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
6 messaggi
• Pagina 1 di 1
Leggerezza su scanning porte altrui
da albatros » lun apr 24, 2006 22:13
-
albatros - Iper Master
- Messaggi: 2050
- Iscritto il: sab feb 04, 2006 14:59
- Località: 43°52' N 11°32' E
- Slackware: current 64bit
- Kernel: 3.8.4
- Distribuzione: ubuntu 12.04
da Absolut » lun apr 24, 2006 23:53
Prova a mettere su un firewall tipo zone allarm su windows.... guarda quanti tentativi si scan o telnet ti arrivano!!! se attivi i pop up... te ne compare uno al secondo!!!
Stia pure tranquillo quindi.....
Stia pure tranquillo quindi.....
-
Absolut - Linux 3.x
- Messaggi: 1465
- Iscritto il: gio feb 10, 2005 1:00
- Località: Roma
- Slackware: current
da DaNiMoTh » mar apr 25, 2006 9:25
Un mio amico (!!!) e` da anni che nmappa allegramente. Nessuno, mai, gli ha bussato alla porta. Nessuno si prenderebbe l'impegno di denunciare ogni tentativo di scan... Se fosse un'attacco, beh la faccenda sarebbe diversa, ma non e` il tuo caso.
Direi che puoi stare tranquillo, secondo me hai quelle "crisi da prima volta", passera`
Direi che puoi stare tranquillo, secondo me hai quelle "crisi da prima volta", passera`
-
DaNiMoTh - Linux 2.6
- Messaggi: 941
- Iscritto il: mar nov 30, 2004 1:00
- Località: irc.syrolnet.org /// #slackware
da Vlk » mar apr 25, 2006 11:07
Beh, sono io quello che provò col cugino.
Premesso che con mio cugino posso anche entrare nel pc senza che abbia ricadute legali (ma comunque non ho le capacità per farlo), mi fu spiegato che i lamer che fanno le scansioni le fanno su un dato range di ip, nel quale possono esserci ovviamente anche pc di aziende. Siccome queste scansioni ne fanno una ogni secondo, gli amministratori di sistema anzichè denunciarle al provider, che probabilmente riderebbe, programmano il firewall in modo da ignorare qualunque cosa provenga dall'ip che ha fatto la scansione.
p.s. ma se tutte le porte risultano stealthed il mio ip sarà visibile alla scansione? Suppongo che sono visibili solo se si fa una scansione con -P0, giusto?
Premesso che con mio cugino posso anche entrare nel pc senza che abbia ricadute legali (ma comunque non ho le capacità per farlo), mi fu spiegato che i lamer che fanno le scansioni le fanno su un dato range di ip, nel quale possono esserci ovviamente anche pc di aziende. Siccome queste scansioni ne fanno una ogni secondo, gli amministratori di sistema anzichè denunciarle al provider, che probabilmente riderebbe, programmano il firewall in modo da ignorare qualunque cosa provenga dall'ip che ha fatto la scansione.
p.s. ma se tutte le porte risultano stealthed il mio ip sarà visibile alla scansione? Suppongo che sono visibili solo se si fa una scansione con -P0, giusto?
- Vlk
- Linux 2.6
- Messaggi: 671
- Iscritto il: mer feb 09, 2005 1:00
da ZeroByte » mar apr 25, 2006 12:18
Questo è un annoso problema, che comunque ora se non sbaglio è disciplinato in modo un po' più dettagliato dalla legislazione (e comunque è sostanzialmente sbagliato paragonare un'irruzione in un sistema informatico ad una violazione di domicilio, come scritto in un link che hai postato).
Anni fa, il Provider Libero aveva intentato una causa contro un suo abbonato, in quanto quest'ultimo aveva lanciato un port scanning su un server di proprietà Libero. Questo suo abbonato, non era proprio un semplice "navigatore", bensì un esperto di Sicurezza Informatica (leggi, qualcuno che non si fa fottere così come il primo arrivato...). Senza farla troppo lunga, in aula si è difeso affermando che lui aveva lanciato un port scanning solo per vedere quali servizi erano attivi. Morale: ha vinto la causa.
In generale comunque, bisogna sempre ben distinguere da quello che si fa ad un sistema remoto. Infatti, se da una parte è vero che il port scanning è una delle primissime azioni che si intraprendono per sferrare un attacco ad una macchina, dall'altra è anche vero che se rimane un'azione isolata, ovvero non seguita da altri tentativi, non può avere conseguenze legali.
Dal mio punto di vista, quindi, puoi star più che tranquillo. Anche perché se il System Administrator ha un po' di sale in zucca, non ti portebbe mai in tribunale per una cosa del genere. (E in giro ci sono sistemisti che non sanno nemmeno leggere un file di log... Vabbé!)
ZeroByte
Anni fa, il Provider Libero aveva intentato una causa contro un suo abbonato, in quanto quest'ultimo aveva lanciato un port scanning su un server di proprietà Libero. Questo suo abbonato, non era proprio un semplice "navigatore", bensì un esperto di Sicurezza Informatica (leggi, qualcuno che non si fa fottere così come il primo arrivato...). Senza farla troppo lunga, in aula si è difeso affermando che lui aveva lanciato un port scanning solo per vedere quali servizi erano attivi. Morale: ha vinto la causa.
In generale comunque, bisogna sempre ben distinguere da quello che si fa ad un sistema remoto. Infatti, se da una parte è vero che il port scanning è una delle primissime azioni che si intraprendono per sferrare un attacco ad una macchina, dall'altra è anche vero che se rimane un'azione isolata, ovvero non seguita da altri tentativi, non può avere conseguenze legali.
Dal mio punto di vista, quindi, puoi star più che tranquillo. Anche perché se il System Administrator ha un po' di sale in zucca, non ti portebbe mai in tribunale per una cosa del genere. (E in giro ci sono sistemisti che non sanno nemmeno leggere un file di log... Vabbé!)
ZeroByte
-
ZeroByte - Linux 2.0
- Messaggi: 117
- Iscritto il: sab feb 11, 2006 23:02
- Località: Milano
da albatros » mar apr 25, 2006 16:30
Ringrazio tutti quelli che sono intervenuti per l'interessamento.
Mi pare di capire che le scansioni di porte siano abbastanza frequenti e che quanto da me fatto (in dettaglio: nmap <nome-dominio>, telnet <nome-dominio> (per errore, fra l'altro la porta di default, la 23 mi pare, era chiusa), telnet <nome-dominio> 80 e, dal prompt di telnet, get (minuscolo!) index.htm (altro errore, ho dato un comando come con l'ftp, non una cosa tipo GET /index.html HTTP/1.0 )) sia in sostanza insufficiente per far intraprendere all'amministratore del sistema remoto azioni che vadano oltre il conservare il log dei contatti...
Mi pare altresì di capire che non sia dunque consigliabile contattare l'amministratore del sistema scansionato per prevenire segnalazioni da parte sua (che non ci dovrebbero essere) al provider dell'associazione cui apparteneva il pc da me usato...
Il fatto è che, non avendo nulla a che fare con l'amministrazione di server, non sono pratico né del quadro normativo (che credevo fosse più preciso e che comunque non contemplasse come reato la semplice scansione di porte o un telnet dato per errore senza specificare la porta 80, ma solo cose dal provare insistentemente di accedere ad un server ssh in su), né di quanto le scansioni siano frequenti e quanto preoccupino gli amministratori (ieri l'altro pensavo frequentissime e di interesse 0 per gli amministratori a patto che non vengano fatte ripetutamente decine di volte).
Ieri si è fatto però sempre più insistente in me il dubbio di aver sottovalutato la faccenda, che per me era stata solo un giochetto banale e innocente senza finalità aggressive e senza conseguenza o minaccia per la sicurezza di nessuno (che in effetti non ci sono state)...
Basta, d'ora in poi, comunque, starò molto più attento a quello che farò in remoto...
Fra l'altro, non è che sia neanche un grande appassionato di reti, anche se, per completezza, almeno un'infarinatura me la son fattta (leggera, eh, basta vedere come telnetto bene...)
Per stasera mi darò un po' a esplorare l'assembly, che è un'altra delle mie tante carenze...
Un sentito grazie a tutti e buona giornata!
Gabriele
Mi pare di capire che le scansioni di porte siano abbastanza frequenti e che quanto da me fatto (in dettaglio: nmap <nome-dominio>, telnet <nome-dominio> (per errore, fra l'altro la porta di default, la 23 mi pare, era chiusa), telnet <nome-dominio> 80 e, dal prompt di telnet, get (minuscolo!) index.htm (altro errore, ho dato un comando come con l'ftp, non una cosa tipo GET /index.html HTTP/1.0 )) sia in sostanza insufficiente per far intraprendere all'amministratore del sistema remoto azioni che vadano oltre il conservare il log dei contatti...
Mi pare altresì di capire che non sia dunque consigliabile contattare l'amministratore del sistema scansionato per prevenire segnalazioni da parte sua (che non ci dovrebbero essere) al provider dell'associazione cui apparteneva il pc da me usato...
Il fatto è che, non avendo nulla a che fare con l'amministrazione di server, non sono pratico né del quadro normativo (che credevo fosse più preciso e che comunque non contemplasse come reato la semplice scansione di porte o un telnet dato per errore senza specificare la porta 80, ma solo cose dal provare insistentemente di accedere ad un server ssh in su), né di quanto le scansioni siano frequenti e quanto preoccupino gli amministratori (ieri l'altro pensavo frequentissime e di interesse 0 per gli amministratori a patto che non vengano fatte ripetutamente decine di volte).
Ieri si è fatto però sempre più insistente in me il dubbio di aver sottovalutato la faccenda, che per me era stata solo un giochetto banale e innocente senza finalità aggressive e senza conseguenza o minaccia per la sicurezza di nessuno (che in effetti non ci sono state)...
Basta, d'ora in poi, comunque, starò molto più attento a quello che farò in remoto...
Fra l'altro, non è che sia neanche un grande appassionato di reti, anche se, per completezza, almeno un'infarinatura me la son fattta (leggera, eh, basta vedere come telnetto bene...)
Per stasera mi darò un po' a esplorare l'assembly, che è un'altra delle mie tante carenze...
Un sentito grazie a tutti e buona giornata!
Gabriele
-
albatros - Iper Master
- Messaggi: 2050
- Iscritto il: sab feb 04, 2006 14:59
- Località: 43°52' N 11°32' E
- Slackware: current 64bit
- Kernel: 3.8.4
- Distribuzione: ubuntu 12.04
6 messaggi
• Pagina 1 di 1
Chi c’è in linea
Visitano il forum: Nessuno e 1 ospite