Sikkerhedshul hos dansk Internet service udbyder

Erwin Mac Fagdroid (74) skrev:

Husk at der ikke skal meget til.

Da jeg nu har beskrevet hullet kan jeg også give et mere uddybende svar på hvorfor der ikke har været noget ulovligt at udforske dette hul.

Erwin Mac Fagdroid (74) skrev:

Selvom du finder noget, der står helt åbent, er det stadig ulovligt at se sig omkring,

Det eneste jeg har kigget på var den html kode som deres website sendte til min browser. Når html koden først er sendt til min computer er det mig selv der bestemmer hvor meget jeg vil kigge på den.

Erwin Mac Fagdroid (74) skrev:

og én testkørsel kørsel af dit exploit er også strafbart.

Jeg har selv et login på det pågældende system, jeg modificerede kun data som jeg havde adgang til at modificere med mit eget login.

Jeg modificerede ikke engang URL parametrene, for sikkerhedshullet lå i at de havde glemt en parameter. Parameteren var ikke til stede under normal brug, og for at udnytte hullet var man nødt til at sende requests hvor parameteren ikke var til stede.

Jeg brugte to computere på mit eget lokalnet til at udføre angrebet. På computer 1 loggede jeg på https://selfcare.pil.dk/, på computer 2 loggede jeg aldrig på systemet, jeg kommunikerede faktisk slet ikke med pils systemer fra computer 2. Men fra computer 2 kunne jeg få computer 1 til at modificere mine oplysninger selvom jeg på intet tidspunkt indtastede mit password på computer 2.

Kommunikationen mellem computer 1 og selfcare.pil.dk var i princippet nøjagtigt den samme uanset om jeg brugte det officielle system eller jeg gennemførte angrebet fra computer 2. Jeg har på intet tidspunkt brugt hullet til at se eller modificere oplysninger tilhørende andre end mig selv.

Da jeg ikke har tilgået andres oplysninger, og da jeg kun har sendt fuldt ud legitime requests til deres system har jeg altså ikke gjort noget ulovligt ved at undersøge hullet.

Erwin Mac Fagdroid (74) skrev:

Jeg ved ikke hvordan du har fundet IP-adresserne, men det lyder heller ikke lovligt.

Hvis du klikker på https://selfcare.pil.dk/ vil din browser bruge DNS systemet til at finde serverens IP adresse. Vil du dermed sige at det er ulovligt at klikke på linket?

Da du skrev udbyder, troede jeg du mente ISP, og at hullerne relaterede sig til brugen af et netværk. Nå jeg hører "internet udbyder" tænker jeg ikke host. De indlæg er ikke relevante mere, for indholdet byggede på en misforståelse. Jeg beklager at jeg ikke har rettet op på det ved at skrive et indlæg om fejlen, så du nu bruger tid på dem.

Du har naturligvis helt ret.

Erwin Mac Fagdroid (152) skrev:

Da du skrev udbyder, troede jeg du mente ISP, og at hullerne relaterede sig til brugen af et netværk.

Jeg valgte bevidst ikke at fortælle præcist hvilke services de udbyder, da jeg vurderede at det da ville være for let at regne ud hvilken udbyder der var tale om, før jeg syntes det skulle offentliggøres.

Jeg kan godt se at det kunne misforstås, hvilket mest hænger sammen med betegnelsen ISP som efterhånden er blevet meget misvisende. Der var tidligere en tends til at man som en selvfølge havde en del services gennem samme firma som man købte sin adgang til Internettet gennem. Selvom de fleste efterhånden er gået over til at bruge services fra andre leverandører, så bruger man stadig betegnelsen ISP.

Det havde nok været sværere at misforstå hvis jeg havde brugt hosting udbyder i stedet for service udbyder i titlen.

Jeg kan godt se, hvad du mener med ISP. Det burde jo relatere sig til en hvilken som helst udbyder af en internet service. Jeg har bare altid brugt det om leverandører af internet fobindelser.

Indlægget bar også præg af at jeg var lidt trigger happy, og ville sikre mig at du havde overvejet at der skal meget lidt til før det er ulovligt. Men nu, da jeg er næsten 90% sikker på at jeg kender dig lidt fra virkeligheden (for længe siden), så er du typen, der ved hvad risikoen er. Du er jo ikke ligefrem en konfirmant eller rookie ;)