gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Direito à prevenção!
Contribuído por BladeRunner em 24-04-01 17:34
do departamento quem-perceber-alguma-coisa-destas-leis-diga
Teenagers com demasiado tempo livre... Eraser escreve "Viva! Tenho uma pergunta pertinente. Imaginemos a seguinte situação hipotética (que de hipotética não tem assim tanto :)): alguém tenta ligar-se a minha máquina numa porta sem nenhum serviço disponivel, ou faz um belo scan de alto a baixo, ou então simplesmente tenta fazer login ou envia pacotes adulterados. Em resposta por precaução, faço um traceroute, um nslookup e scan à minha "visita não solicitada". Tenho ou não o direito de fazer um scan? É me ou não permitido tentar obter o máximo de informação sobre o meu "visitante" :-o? A lei condena o scanning? E neste caso? Não sei se já alguém passou por uma situação destas, mas isto costuma acontecer-me dia-sim dia-nao. Tenho tendência a reagir agressivamente a quem chega "perto" da minha máquina sem a devida autorização.

Fica lançada a pergunta! :)
PS: Já verifiquei a legislação no site da PJ e não encontrei nada sobre portscanning.:( "


Ximian GNOME 1.4 | IBM compra Informix por $1 bln.  >

 

gildot Login
Login:

Password:

Referências
  • Mais acerca Teenagers com demasiado tempo livre...
  • Também por BladeRunner
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    e s foi hackado ... (Pontos:2, Informativo)
    por freax em 24-04-01 17:51 GMT (#1)
    (Utilizador Info)
    Agora imagina o que poderá acontecer com os últimos virus/trojans que se andam a espalhar por aí atacando unix's/linux's:

    Supondo que um server duma empresa é hackado por um destes virus/trojans.
    Seguidamente ele faz um scan á tua box.
    Tu fazes um nele.
    A empresa descobre que foi hackada, e se forem espertos têm os log's a serem redireccionados para a impressora, logo toparam o teu ip !
    Acho que ficarás na lista da investigação deles.

    Vi um caso destes na net (n m lembro do link) em que até o FBI chegou a 'visitar' o tipo.
    Claro que alguém que gosta minimamente de informática tem algum material ... por isso tramou-se !

    Pra pensar ... ;)
    Re:e s foi hackado ... (Pontos:1)
    por Eraser em 24-04-01 18:33 GMT (#2)
    (Utilizador Info)
    Ok. Bom exemplo, mas:

    - se eles mandam os logs para a impressora então também têm os logs de quem hackou a máquina. ;)

    - se os logs deles servem para provar que eu lhes fiz um scan também posso apresentar os meus a dizer que eles fizeram o mesmo. Assim não saímos da cepa torta. :)

    O que eu quero saber é a legalidade do scanning em si.

    Obrigado pela contribuição. :)

    JP

    Re:e s foi hackado ... (Pontos:1)
    por [WaR] em 24-04-01 19:28 GMT (#5)
    (Utilizador Info) http://www.GenHex.org/
    Acerca dos portscans.. .err.. who cares ? :) acho q nao fazia mais nada na vida se me preocupasse com isso. Nem com os do snort me preocupo muito.

    Quanto à legalidade, a lei é explícita: "a tentativa é punível"
    Só resta conseguires provar que um portscan é uma tentativa de intrusão. Mas acho q era mais fácil o outro provar a facilidade com que se faria um portscan spoofed, e logo dava cabo da tua argumentação :)

    -- [WaR]
    ACKnowledge my SYNs
    Re:e s foi hackado ... (Pontos:1)
    por freax em 25-04-01 15:13 GMT (#16)
    (Utilizador Info)
    - ok ... ok ... também concordo com isso, mas pode ter sido um hack em grupo contendo os vários ip's nos log's.
    Além disso, aconteceu nesse caso REAL. Alguém hackou a máquina, ele chegou depois para ver a página hackada (tinha sido anunciada na attrition.org) e mesmo assim o FBI não ligou a essa teoria :)) Esse foi o q o tipo ficou mais lixado !

    - Quanto aos log's, é uma treta dos diabos. Tanto um como o outro pode alterar os log's. Então é assim: para o FBI a vítima é a empresa e não o jovem delinquente q hackou a máquina ! :)
    Imagina q a gildot.org altera os log's e insere o teu ip. Quem achas q vão acreditar ? São os teus log's contra os da gildot, mas ...

    Na informática tudo é possível e nada é fiável.
    Por isso mesmo, torna-se díficil achar soluõçes para este tema.

    []'s
    Logs na impressora não funcionam! (Pontos:2, Interessante)
    por jneves em 24-04-01 19:29 GMT (#6)
    (Utilizador Info)

    e se forem espertos têm os log's a serem redireccionados para a impressora

    Esta solução dos logs redireccionados para a impressora é um mito em termos de soluções seguras. Uma solução para dar a volta a esses sistemas é limpar os logs e mandá-los imprimir de novo, afinal, quem é que começa a ver os logs do fundo da pilha ?

    Já agora, uma empresa que é atacada e que já tenha este nível de protecção já teria notado qualquer coisa de estranho, ou não ?


    Re:Logs na impressora não funcionam! (Pontos:1)
    por MacLeod em 24-04-01 23:31 GMT (#10)
    (Utilizador Info)
    Bom, se a pilha for do dobro do tamanho que costuma ser, é natural que alguém comece a ver os logs desde o fundo.
    Eu... (Pontos:0)
    por Anonimo Cobarde em 24-04-01 19:01 GMT (#3)
    Borrifo-me nos tipos e divirto-me a beça a usar o portsentry.
    Procura no SecurityFocus
    Portscanning pode ser ilegal... (Pontos:1)
    por jneves em 24-04-01 19:24 GMT (#4)
    (Utilizador Info)
    Segundo me explicou à algum tempo atrás um membro da Brigada de Crimes Informáticos da PJ, coisas como port scanning, telnets ao porto 25 (eu uso para testes de e-mail) e outras coisas do género, quando feitas sem autorização do administrador de sistemas da máquina são crime. A figura jurídica é acesso não autorizado. A pena ? É melhor não falar no assunto: 6 meses a 3 anos de cadeia, se bem me lembro.
    Re:Portscanning pode ser ilegal... (Pontos:3, Interessante)
    por nuno em 24-04-01 20:24 GMT (#8)
    (Utilizador Info)
    um caso que pode ser discutível: uma empresa contrata os serviços de um ISP para administração de alguns dos seus sistemas e administração da rede que os interliga. A empresa original dá instruções ao ISP periodicamente para abertura de portas e/ou serviços entre os seus sistemas e sistemas terceiros. A única forma que a empresa tem para provar que as suas instruções não foram seguidas pelo ISP é fazer um port scanning/telnets/etc... entre os seus sistemas. No entanto o ISP alega que tal acção é ilegal dado não haver "autorização" do administrador de sistemas/rede para tal. Como se compreende o ISP não vai dar autorização para se verificar aquilo que "não quer" que se verifique. Como pode então a empresa dona dos sistemas provar que o ISP não cumpriu as suas instruções conforme o estabelecido em contracto ?
    Re:Portscanning pode ser ilegal... (Pontos:1)
    por jneves em 25-04-01 12:15 GMT (#13)
    (Utilizador Info)

    Este tipo de problema é normal em contratos do tipo de outsourcing (sim, esta situação está longe de ser hipotética). A única solução é fazer parte do contrato quais os meios que podem ser usados para verificar a qualidade do serviço prestado.

    Claro que, tanto quanto sei, logs de máquinas só são válidos em tribunal se o sistema tiver sido auditado antes pela Brigada de Crimes Informáticos da PJ, por isso apanhar um criminoso será sempre extremamente difícil, uma vez que são um grupo pequeno.


    Re:Portscanning pode ser ilegal... (Pontos:2, Interessante)
    por elclip em 24-04-01 20:55 GMT (#9)
    (Utilizador Info) http://accao.net

    Acho isso francamente bizarro. Um portscan é (tecnicamente) uma tentativa de ligação, e não uma ligação ou um "acesso" humano a um sistema.

    Em termos jurídicos, a figura de acesso não autorizado está normalmente ligada a dolo, e um portscan não causa danos e não tem intenção (imediata) de causar dolo.

    Mas posso estar a ver mal a coisa. No entanto, a menção do porto 25 lembra-me um cenário interessante aqui: deverá um ISP incluir nas cláusulas de serviço autorização (implícita ou explícita) para fazer port scans aos seus clientes, nem que seja para se defender de relays abertos nas máquinas deles? ;)


    http://accao.net - mais um dia, mais uma frag.
    Re:Portscanning pode ser ilegal... (Pontos:2, Informativo)
    por jmce em 25-04-01 5:24 GMT (#11)
    (Utilizador Info)

    Bizarrissimo. Parece-me uma interpretacao errada da figura juridica. Em termos da velha analogia com as portas de casa, isso nao e' entrar sem permissao do dono, e' olhar para as portas e janelas. Se sera' natural desconfiar de um fulano que fica bons bocados a contemplar portas e janelas de vivendas, e a coisa possa motivar algumas precaucoes, isso so' por si nao e' crime.

    Se a PJ entende assim o alcance da lei, entao alguem precisa de explicar algumas coisas `a PJ (e pelo que vi em tempos, muito falta aprender em termos tecnicos pela policia e magistrados portugueses neste campo). Para perceber a diferenca entre o que constitui "entrar" ou nao "entrar", de forma a facilitar o paralelo com as situacoes mais classicas que talvez sirvam de base `as leis novas, e' preciso ter ideia de alguns aspectos tecnicos. Naturalmente, um juiz por fora das questoes tecnicas talvez se tente informar sobre se uma certa accao numa rede pode ser vista ou nao como "acesso" analogo ao de entrar numa casa. Se quem o informa fizer um mau trabalho, arriscamos ter condenacoes injustas, para nao falar de aproveitamentos indevidos por parte de algumas pseudo-vitimas interessadas em prejudicar alguem.

    "Falar" com um sendmail alheio por telnet e' algo perfeitamente natural para alguns testes legitimos. Um port scan, embora possa levantar suspeitas, tambem pode ser algo util sem ter a ver com tentativas de intrusao. Recentemente nos EUA (a noticia anda pelo Slashdot) um juiz considerou (bem, do meu ponto de vista) que port scanning nao seria passivel, apenas por si, de ser considerado crime, a nao ser que por alguma razao provocasse alguma perturbacao do funcionamento normal.

    Claro que a coisa muda de figura quando efectivamente se *entra* na maquina alheia ou se perturba o funcionamento normal dela. Se essa maquina foi uma fonte de ataque, eu tendia a ver isso como algo entre a defesa legitima (tentar procurar informacao que ajude a perceber o que mais pode ter sido comprometido) e uma investigacao nao autorizada constituindo uma intrusao. Mas a interpretacao legal parece ser mais a segunda: entrada nao autorizada, eventualmente "justica pelas proprias maos", crime, e possibilidade de invalidar eventuais provas (por ser uma "investigacao" em moldes irregulares, nao autorizada).

    Dito isto, e' claro que alguem que se entretenha a fazer port scans just for fun se arrisca a atrair suspeitas se acontecer alguma intrusao nos sitios por onde passeou (como aconteceria com o contemplador de janelas do exemplo acima se aparecessem casas assaltadas por perto).

    Parece tambem ser de bom senso, em geral, evitar entrar em guerrinhas com potenciais intrusos. E se os port scans alheios preocuparem muito, coisas como o portsentry podem ajudar a acalmar (e, claro, "buracos" tapados...)

    Re:Portscanning pode ser ilegal... (Pontos:1)
    por jneves em 25-04-01 12:26 GMT (#14)
    (Utilizador Info)
    Se pensarmos que é fácil fazer um portscan que provoque um DoS (Denial of Service) em várias máquinas, qualquer juiz pode pensar duas vezes se é ou não crime. Embora cada vez mais raros estes tipos de problemas são normais especialmente nos chamados sistemas embebidos. Pela minha experiência pessoal já vi de tudo a ir abaixo devido a um portscan, desde máquinas "grandes", PCs, servidores de terminais, bases de dados, routers e bridges, etc. Mesmo que alguém alegue que não conhecia o risco, ele existe.
    Variação (Pontos:1)
    por BladeRunner em 24-04-01 19:39 GMT (#7)
    (Utilizador Info) http://www.gildot.org
    Viva!

    Já agora uma variação:
    Administro uma máquina com um servidor ftp a correr.
    O dito cujo está configurado para não aceitar acessos anónimos e mesmo aos utilizadores legítimos não deixar "passar para cima" de /home.

    De cada vez que dou uma vista de olhos pelos logs, lá tenho uma carrada de tentativas de acesso anónimo vindas desde o Hawai até à Rep. Checa, passando pela Alemanha e sem esquecer os .pt

    Isto também é crime?
    Suponho que não, certo?

    Mário Gamito
    PortScans (Pontos:1)
    por cfriacas em 25-04-01 10:39 GMT (#12)
    (Utilizador Info) http://cfriacas.home.sapo.pt
    Hello.

    Do meu ponto de vista um portscan pode ser visto como um "bater à porta", ou como um "verificar se a porta a que se bate está segura". A intenção de quem o faz é que será sempre questionável, até porque não se sabe o que vai na cabeça dos outros...

    No primeiro caso, não me parece que seja crime... no segundo, seria bom pensar que também não o fosse. Isto só porque às vezes é mesmo útil recorrer aos portscans. Já fiz de sysadmin durante uns anitos, e mesmo agora ainda recorro a esse método para diagnosticar certas situações e que (felizmente) não têm nada a ver com segurança.

    Só é preciso é cuidado com a paranóia... se se analiza o sistema de um paranóico, que faz a analise automática quando é analisado e depois vocês têm o mesmo sistema, é muito fácil chegar a deadlocks... consumidores de recursos...

    E também já conheci casos de experiências de tools que descambam em alertas por tudo quanto é sítio... e quando este tipo de coisas escala, não é nada agradável! ;-)

    Como em tudo é sempre necessária uma boa dose de bom senso...

    Regards,
     
    ./Carlos "Networking is Fun!"
    Re:PortScans (Pontos:1)
    por Eraser em 25-04-01 14:16 GMT (#15)
    (Utilizador Info)
    "Como em tudo é sempre necessária uma boa dose de bom senso... "

    Concordo plenamente mas a pergunta é sobre a legalidade do portscan não sobre o bom senso no seu uso. :) As cadeias podem estar cheias de pessoas com bom senso e para tal basta não conhecer a lei.

    Até aqui a resposta mais directa e menos especulativa também não me convenceu muito:

    "...coisas como port scanning, telnets ao porto 25 (eu uso para testes de e-mail) e outras coisas do género, quando feitas sem autorização do administrador de sistemas da máquina são crime. A figura jurídica é acesso não autorizado."

    Como já referi, eu fui ao site da PJ ver a legislação mas não encontrei nada em que pudesse enquadrar o portscanning. "Acess não autorizado" não me parece adequado para definir um portscanning. Claro, que isto não passa da minha opinião.

    Pelo que percebi a maior parte dos post são especulativos. Ninguém tem a certeza daquilo que afirma. Daqui concluo que a lei não é suficientemente clara neste aspecto ou que por simplesmente é desconhecida devido ao seu pouco uso. :) O tema continua em aberto:

    Qual a legalidade do portscan em Portugal (tendo em conta a actual legislação)?

    Alguém já passou ou tem conhecimento de uma situação jurídica em Portugal que envolvesse portscan?

    Fiquem bem! :)

    JP

    PS: Por falar na PJ ;) , já que eles têm a fama de ler os posts no Gildot, que tal uma contribuição para ajudar a esclarecer este assunto? :))

    Aquecer o lume.. (Pontos:0)
    por Anonimo Cobarde em 25-04-01 20:14 GMT (#17)
    Ja' agora, mais um pouco de lenha para a fogueira. Ainda nao vim ninguem a perguntar/referir: A partir de que momento se pode considerar portscanning? Digo.. telnet a um porto, nao e' com certeza. A dois, tambem nao, etc.. existe um numero/limite a partir do qual se comeca a considerar portscanning? E se, ao visitar uma pagina, na maior das boas intencoes, o utilizador abrir popup wins ( no caso do IE p.e. ) se tentam ligar a varios portos de uma maquina remota, esse utilizador esta' a fazer protscanning aos olhos da lei?
    Re:Aquecer o lume.. (Pontos:1)
    por Eraser em 26-04-01 7:34 GMT (#18)
    (Utilizador Info)
    "...A partir de que momento se pode considerar portscanning?"

    Boa pergunta!

    Pelo que sei muitas das ferramentas de segurança baseiam-se no IP, nº de ports acedidos e o tempo entre os acessos aos mesmos. Se eu estiver enganado corrijam-me. : )Agora, quais os valores a partir dos quais se considera portscanning? Não faço minima ideia.: ( Vou ver se encontro algo na documentação. : ) Enjoy! JP

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]