Tsunami 'hacker' is innocent, say readers [zdnet.co.uk]
から引用すると
It's understood that Cuthbert added ../../../ to the URL,
hoping to get access to higher directories in the hope of confirming
whether or not the Web site was genuine. He argued in his case that
when he set off an intruder alarm he was checking the site out as he
feared that rather than actually donating he had been taken in by a
phishing scam.
より引用
During the trial, Cuthbert's defence argued that any unauthorised
access was entirely innocent. In evidence it was shown that he had
attempted to access the tsunami donations site on two occasions and
the site's security systems had denied him access.
ここより引用 District Judge Mr Quentin Purdy said: "For whatever reason Mr Cuthbert intended to secure access, in an unauthorised way, to that computer...it is with some considerable regret...I find the case proved against Mr Cuthbert.
It's understood that Cuthbert added ../../../ to the URL, hoping to get access to higher directories in the hope of confirming whether or not the Web site was genuine. He argued in his case that when he set off an intruder alarm he was checking the site out as he feared that rather than actually donating he had been taken in by a phishing scam.
フィッシング詐欺を確認するためのテスト (スコア:2, 興味深い)
> フィッシング詐欺を疑い、サイトのセキュリティを確かめるために2つのテストを実施した
だそうなので、実際にはこれが不正アクセスと思われたと言う可能性はありそうです。
このテストの内容が知りたいところですが、どこかに記載はありますかね?
Re:フィッシング詐欺を確認するためのテスト (スコア:3, 興味深い)
から引用すると
It's understood that Cuthbert added ../../../ to the URL,
hoping to get access to higher directories in the hope of confirming
whether or not the Web site was genuine. He argued in his case that
when he set off an intruder alarm he was checking the site out as he
feared that rather than actually donating he had been taken in by a
phishing scam.
そして、
Tsunami 'hacker' conviction worries experts [zdnet.co.uk]
より引用
During the trial, Cuthbert's defence argued that any unauthorised
access was entirely innocent. In evidence it was shown that he had
attempted to access the tsunami donations site on two occasions and
the site's security systems had denied him access.
寄付するサイトのドメインが正しいかどうか
ディレクトリをさかのぼって、それで2回、
該当サイトのセキュリティシステムに
接続拒否の記録されただけのようです。
Re:フィッシング詐欺を確認するためのテスト (スコア:2)
最初、CNET Japanの日本語訳記事を読んで「証言を二転、三転し」とか「セキュリティを確かめるために2つのテストを実施」ってあったので、無断テストじゃぁしょうが無いかなと思ってました。
でも、その「テスト」が"../../../"じゃぁなぁ……
どんな証言をしたかわかりませんけど、彼は最初、その「テスト」が問題だったとは思わなかったんじゃない?彼自身がなにが問題だったか良く理解しないまま証言して、段々と問題点が分かってくるに従い証言も変わってきたのでは?
すごく同情してきちゃった。
さて、日本の不正アクセス禁止法だと、接続拒否されているこのケースでは「不正アクセス行為」とみなされませんね。「不正アクセス行為」は「特定利用をし得る状態にさせる行為」ですから。
あと、些細な事かも知れませんけど、記事に追記された内容に付いて。
ZDNet UKの続報1の書き方と、IDSが作動した事を合わせて考えると、「上位のディレクトリに」というより、リクエスト中に"../../../"とあったからだと思ったのですが、どうでしょうか?
google等のクローラーもディレクトリを辿るようなアクセスはしているように思うし、それだけでIDSが動作するとは思えないのですが。まぁ、憶測に過ぎませんが。
Re:フィッシング詐欺を確認するためのテスト (スコア:1)
有罪判決を出した裁判官のコメントがでていました。
Tsunami hacker convicted [theregister.co.uk]
ここより引用
District Judge Mr Quentin Purdy said: "For whatever reason Mr Cuthbert intended to secure access, in an unauthorised way, to that computer...it is with some considerable regret...I find the case proved against Mr Cuthbert.
いかなる理由(フィッシングを疑った)があったにせよ、許可されていない方法でアクセスした事実により有罪という判断が下ったようです。
「許可されていない」というのが、そのサイト管理者の
「想定外」と置き換えれるなら、ちょっと怖いです。
Re:フィッシング詐欺を確認するためのテスト (スコア:1)
私は、「許可されていない」でも「想定外」でもコンピュータ業界とかセキュリティ業界とかそういった所で、そう判断するのが妥当という物なら有罪でもしかたないとは思うんですけど、「そのサイト管理者(=検察?)」の「許可されていない」「想定外」のアクセスだから駄目って様に思えてなんだかな、って感じです。
記事読んでも、アクセスの理由を争ってたような感じなんですけど、そもそも不正かどうかは争われなかったのかな?
まぁ、紳士たる者かぎまわるような事をしてはならんという、イギリスらしい所なのかも知れませんが。
Re:フィッシング詐欺を確認するためのテスト (スコア:0)
Re:フィッシング詐欺を確認するためのテスト (スコア:0)
Re:フィッシング詐欺を確認するためのテスト (スコア:0)
ディレクトリトラバースしたらしい。
もう1つはなんだろう。
office氏のときもディレクトリトラバース
Re:フィッシング詐欺を確認するためのテスト (スコア:0)
あ、あと、相対パスでなくて絶対パスでした。
つまり 「../../../」ではなく「/usr/local/apache/cgi-bin/foo.cgi」。
Re:フィッシング詐欺を確認するためのテスト (スコア:0)