Have you ever seen that lame security?
Results 1 to 7 of 7

Thread: Have you ever seen that lame security?

  1. #1
    Senior Member
    Join Date
    Jun 2003
    Posts
    772

    Have you ever seen that lame security?

    I recently came on a site with this as a result of a portscan:
    TCP: 63.xxx.xx.xx[21-ftp]
    TCP: 63.xxx.xx.xx[22-ssh]
    TCP: 63.xxx.xx.xx[23-telnet]
    TCP: 63.xxx.xx.xx[25-smtp]
    TCP: 63.xxx.xx.xx[80-www-http]
    TCP: 63.xxx.xx.xx[111-sunrpc]
    TCP: 63.xxx.xx.xx[113-auth]
    TCP: 63.xxx.xx.xx[587-submission]
    TCP: 63.xxx.xx.xx[725]
    TCP: 63.xxx.xx.xx[873-rsync]
    TCP: 63.xxx.xx.xx[1114-mini-sql]
    TCP: 63.xxx.xx.xx[2049-nfs]
    TCP: 63.xxx.xx.xx[3306-mysql]
    TCP: 63.xxx.xx.xx[6711-backdoor]
    also the serverstatus of the server (apache) was accessible.
    I'm sure it's easy to hack it but I didn't try.
    I mailed the webmaster about the problems and the director of the company(wow, they took it very serious) replied. I don't understand that a server can be that open, it' s just not human any more. I'm not posting the adress of the site so some malicious kiddie can't deface the site or something
    The above sentences are produced by the propaganda and indoctrination of people manipulating my mind since 1987, hence, I cannot be held responsible for this post\'s content - me

    www.elhalf.com

  2. #2
    Just a Virtualized Geek MrLinus's Avatar
    Join Date
    Sep 2001
    Location
    Redondo Beach, CA
    Posts
    7,324
    **Poster has been pm'd to remove/hide IPs**
    Goodbye, Mittens (1992-2008). My pillow will be cold without your purring beside my head
    Extra! Extra! Get your FREE copy of Insight Newsletter||MsMittens' HomePage

  3. #3
    Senior since the 3 dot era
    Join Date
    Nov 2001
    Posts
    1,542
    el-half while so many open ports are probably a risk, some comments:

    first, it's in Belgium forbidden (telecommunications and electricity law) to scan servers. They can argue your attempts are causing losses to the company, if they are, they can sue you. I don't think many firms will do this, specialy since you helped them out. Only a remark, it's not allowed in Belgium and is mostly in the AUP of your ISP.

    second, all those open ports doesn't necesarily mean you can walk right in... it's possible that they are running very good deamons on all those ports. I doubt it, but it's possible.

    Anyway good idea to email and notify them.

  4. #4
    Senior Member
    Join Date
    Jun 2003
    Posts
    772
    I don't know anything about laws concerning computers in Belgium do you know a link to a site that contains information about what is allowed and what not? Belgian laws seem to be very strict
    The above sentences are produced by the propaganda and indoctrination of people manipulating my mind since 1987, hence, I cannot be held responsible for this post\'s content - me

    www.elhalf.com

  5. #5
    Senior since the 3 dot era
    Join Date
    Nov 2001
    Posts
    1,542
    hmmm... I will have a look for you. I know back in the eighties people got convicted for 'steeling electricity' cause there was no other law. I think they use this precedent now for scans. Their logic: you are steeling server electricity (resources = money) from a company.

    You can read it all in:
    VAN EECKE, P., DUMORTIER, J.,**(2003) "De implementatie van het Europese verdrag cybercriminaliteit in de Belgische Wetgeving", Computerrecht, 2003, 2, p. 123-133. Uitg. Kluwer BV, Deventer.

    For Belgium the BIPT is responsible for ICT security, the law from 28 november 2000 decides about ICT security issues.

    Sorry people this is law language so I'm not going to translate to English, I will provide it in Dutch and French like in the Belgian Law.

    Voor België staat het BIPT in voor de telecommunicatie, netwerk en computerbeveiling
    Wat de wetgeving betreft, moet de wet van 28 november 2000 inzake informaticacriminaliteit worden vermeld (Belgisch Staatsblad van 03/02/2001).***

    Voor jouw is in het bijzonder artikel 3 van toepassing;
    § 3. Poging tot het plegen van het misdrijf, bedoeld in § 1, wordt
    gestraft met gevangenisstraf van zes maanden tot drie jaar en met
    geldboete van zesentwintig frank tot vijftigduizend frank of met een
    van die straffen alleen.
    § 3. La tentative de commettre l’infraction vise´eau §1 er et est punie
    d’un emprisonnement de six mois a` trois ans et d’une amende de
    vingt-six francs a` cinquante mille francs ou d’une de ces peines
    seulement.


    Dit wil eigenlijk zeggen dat poging tot een deface van een website je tot maximum 3 jaar cel kan kosten.

    Verder van toepassing op jouw scan:

    Art. 550bis. § 1. Hij die, terwijl hij weet dat hij daar toe niet gerechtigd
    is, zich toegang verschaft tot een informaticasysteem of zich daarin
    handhaaft, wordt gestraft met gevangenisstraf van drie maanden tot
    een jaar en met geldboete van zesentwintig frank tot vijfentwintig
    duizend frank of met een van die straffen alleen.
    Wanneer het misdrijf, bedoeld in het eerste lid, gepleegd wordt met
    bedrieglijk opzet, bedraagt de gevangenisstraf zes maanden tot twee jaar.
    a` un syste`me informatique ou s’y maintient, est puni d’un emprison-nement
    de trois mois a` un an et d’une amende de vingt-six francs a`
    vingt-cinq mille francs ou d’une de ces peines seulement.
    Si l’infraction vise´e a` l’aline ´a 1 er , est commise avec une intention
    frauduleuse, la peine d’emprisonnement est de six mois a` deux ans.


    So in general, yes Belgium laws are very strict. If you interpret them to the letter, a simple scan can cost you from 1 Euro to 1250 Euro and between 6 months and 3 year in prison. But I think they will not see a scan as an attempt (like mentioned in article 3 or a security breach like mentioned in 550bis, so you will probably don't come in trouble). A log in or an actual deface is something else... better have permission or hide very well, lol.

    Damm this is freaky I better read it better myself... even the use of someone elses proxy could be heavily punished:

    Art 6.
    § 3. Hij die zich in een van de gevallen bedoeld in de §§ 1 en 2 bevindt
    en :
    1° hetzij de gegevens die worden opgeslagen, verwerkt of overge-dragen
    door middel van het informaticasysteem op enige manier
    overneemt;
    § 3. Celui qui se trouve dans une des situations vise´es aux §§ 1 er et 2
    et qui :
    1° soit reprend, de quelque manie`re que ce soit, les donne´es stocke´es,
    traite ´es ou transmises par le syste`me informatique;

    2° hetzij enig gebruik maakt van een informaticasysteem van een
    derde of zich bedient van het informaticasysteem om toegang te
    verkrijgen tot een informaticasysteem van een derde;
    2° soit fait un usage quelconque d’un syste`me informatique appar-tenant
    a` un tiers ou se sert du syste`me informatique pour acce´der au
    syste`me informatique d’un tiers;

    3° hetzij enige schade, zelfs onopzettelijk, veroorzaakt aan het
    informaticasysteem of aan de gegevens die door middel van het
    informaticasysteem worden opgeslagen, verwerkt of overgedragen of
    aan een informaticasysteem van een derde of aan de gegevens die door
    middel van het laatstgenoemde informaticasysteem worden opgesla-gen,
    verwerkt of overgedragen;
    wordt gestraft met gevangenisstraf van een jaar tot drie jaar en met
    geldboete van zesentwintig frank tot vijftigduizend frank of met een
    van die straffen alleen.
    3° soit cause un dommage quelconque, meˆme non intentionnelle-ment,
    au syste`me informatique ou aux donne´es qui sont stocke´es
    traite ´es ou transmises par ce syste`me ou au syste`me informatique d’un
    tiers ou aux donne´es qui sont stocke´es, traite ´es ou transmises par ce
    syste`me;
    est puni d’un emprisonnement de un a` trois ans et d’une amende de
    vingt-six francs belges a` cinquante mille francs ou d’une de ces peines
    seulement.


  6. #6
    Senior Member
    Join Date
    Jun 2003
    Posts
    772
    Wow, I didn't know that you could get sued just for trying to hack, I always thought you only got sued when you actually did something. 3 years in jail just for trying to deface isn't that a bit too strict? Whatever, maybe this will stop belgian people from cracking computers.
    The above sentences are produced by the propaganda and indoctrination of people manipulating my mind since 1987, hence, I cannot be held responsible for this post\'s content - me

    www.elhalf.com

  7. #7
    Senior since the 3 dot era
    Join Date
    Nov 2001
    Posts
    1,542

    Belgium law on ICT

    For all Belgian people like el-half wondering what the laws on ICT and security are, I have attached the law from 28 nov 2000 in pdf. You can get it from the ministry of economy, departement information systems too.

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •