- 程序有所改变。发帖如还有问题请报告
- 【征集】西西河的经济学,及清流措施,需要主动参与者,『稷下学宫』新认证方式,24年网站打算和努力目标
主题:黑客与许霆 -- yhz
假如我是一个黑客,在某次使用网上银行交易的时候,发现了银行系统的一个漏洞(例如说什么缓冲区溢出之类的)。然后我利用了这个漏洞,先后170次获取(或者转移)17万现金。
那么,我的行为是属于“不当得利”呢?还是属于“非法侵入的盗窃”呢?
许霆利用了ATM机器的故障,我利用了网上银行的漏洞;
许霆是“正当操作”,那我利用银行提供的网上银行API和协议也是进行“正当操作”;
许霆通过操作银行的ATM机来获得那些钱的,没有进入金库之类的,那我也是利用自己的鼠标键盘,也没有进入金库之类的;
许霆用自己的银行卡操作,我也用我自己的帐户名和密码操作;
…………
按楼主的描述,就不是黑客而是顾客,请确定黑客的定义.
如果(因楼主没有给出技术细节)这个网络银行案的错账情节与许某的同类,即结算BUG是对顾客有利,例如取款1000元记账为1元,且设定后续情节都一致,则结论是:
该顾客构成了恶意透支的罪行.跟某对许某案的判断一致.
论据就是这个网络银行的错账是可以恢复的,一旦查出错账原因就可以加以恢复,从而确定本案的嫌疑犯是恶意地超额透支.
某些人始终试图把不同的身份对立起来,以此达到混淆视听的目的。不是没有学过,就是根本不懂得辩证法。
建议把“黑客”两个字改掉。是不是“黑客”这个身份根本无所谓,关键是做了什么。
例如说常见的做法就是发现某个API有缓冲区溢出的漏洞。
那么我就可以精心的构造一段数据,交给这个API执行,然后就可以提升了我所拥有的权限,然后接管部分或者整个系统。
但是不管怎么样,我黑客的做法都是调用公开的API,使用标准的命令来完成我所需要的各种操作。在这点上,我和所有的正常的顾客是一样的。
用这个打比方比较通俗易懂。
呵呵
问题是脑子清楚的人知道,但难免也有人会告诉既然是“黑客”,就不是“顾客”,既然是“顾客”,就不会是“黑客”。
所以,还是说清楚比较好嘛
不要狡辩.你若是顾客,就从头登陆别动服务器.任何黑客都要入侵,您都修改API往上装了,都控制整个系统了,还自称普通顾客?你以为别人跟你一样脑筋短路啊?
我用的就是他们自己的API啊。
我执行的也是他们API给定的操作范围,有什么错?
至于说控制系统,那只是我的合法操作的结果,就好比许霆通过合法操作,取了1000块钱却只扣1块钱一样,是操作的结果而已。
不就是说,一个人入侵系统改服务器程序,另一个作为顾客再去登陆交易?
真的是利用系统BUG?制造一个BUG装上去,这个不是入侵?
难以理解........
系统入侵,大部分情况下都不需要修改执行的服务器程序,只需要修改运行程序的权限就可以了。
打个比较通俗的比方,就是如果一个客户登录网上银行,那么他的权限就是普通客户,可以对他自己的帐号进行操作。
但是如果我能够通过么偶些漏洞,使我的权限提升到营业员的权限,那么我就可以无中生有的给我的帐号“存钱”了。(当然,实际情况中,没有哪个银行会把这些权限和网上银行连接在一起,只是一个比方而已)
通过某种合法但无意义的操作。比如点某按钮1000次。发现自己帐户多出1000元。
但不修改服务端和客户端程序,也不修改封包。
算么?
那么你无中生有地为自己账号添钱不是进入了银行系统?
什么没有修改API,没有改服务器程序.关键的问题,是你是否如一个顾客一样活动.
自己都承认自己扮演伪装的营业员了,还说其它话干吗?
即便不是所谓营业员权限,不也是在造成服务器应用程序的溢出等异常后,再另外入侵.第一,那个BUG不是自动地给你帐户钱.第二,那个BUG和你帐户活动是相互配合的.第三,你一定要有事后"清理"现场的活动,否则很快就会被发现和抓住.
别管你用什么手段,不论是服务器程序还是下载到你客户端的程序,你必须控制服务器的动作才能让服务器给你钱.特别地,那个BUG变成实际的故障,是你的"精心编写的数据"激发的.....
这些跟那许某案件都是风马牛.许某案件若跟楼主你的例子能相比的话,只能是这样一种巧合,即你这个暴徒突破了服务器的权限,正企图弄一个帐户来"接钱"的时候,别人恰巧登陆进来,你搞出来的钱,流进了别人的帐户,而那家伙跟许某一样,反复地接你偷出来的钱......最后,破案时那家伙只是恶意透支.
从服务器系统那端来说,他接收的就是一串合法的指令序列,然后进行相应的操作而已。他是不会对如何产生这串合法指令序列感兴趣的。
所以,黑客们要做的就是要发现某个系统,在某些合法指令序列的某些特定组合下,服务器系统可能出现不应该有的操作结果,然后有意识的利用这些结果去做另外一些事情。
至于这些指令序列如何产生:是利用原有的客户端或者工具,还是自己写一套新的脚本或者软件,或者录制回放某些指令等等,其实关系不大。
当然,最后说一句:黑客其实是通俗名词,在法律上来说,这个词是没有明确的定义的。
那你要从银行取钱,不也是要进入银行的系统?你不进入银行的系统,银行怎么可以校验你的身份,怎么会让你转帐?怎么会给你钱?
自己都承认自己扮演伪装的营业员了,还说其它话干吗?
软件通信行业,有一个专有含义的词,叫做“协议”。只要我的操作符合你银行方面定义的协议规范,那么我就是合法的,我就是“如一个顾客一样活动”。这点毫无疑义。所以我不需要伪装,当我获得营业员权限之后,我就是合法的营业员。
看我上一个帖子,软件或者计算机系统只关心客户端提交指令,以及这些指令的特定序列组合。
至于这些指令和组合如何产生,是对问题毫无影响的。
对用户来说。未被修改的网银客户端和未被破坏的ATM机一样。都是UI。用户不需要理解Server和Client之间的运行机制。只需要知道输入一个数额,然后点操作。对合法输入下产生的非法结果,用户是不需要负责的。