Vložení neviditelného odkazu na mou stránku (hacknutí)

Ivy:
„Dá se to žalovat?“

Stejně dobře jako jakékoliv jiné prolomení CMS (čti: nahlas to supportu a počkej až vydají patch).

Myslel jsem support phpRS.
Patch neboli záplata je opatření, které zalepí nějakou objevenou díru.

Kdo vlastní doménu, si můžeš najít tady: http://whois.domaintools.com/bozidar.info

Ivy:
„Takže prosím co je to ten patch? Je jejich postup správný?“
Patch je oprava nějaké chyby. Na ni bych asi v tomto případě nečekal. Domnívám se, že phpRS se už dlouhou dobu nevyvíjí.
www.bozidar.info nejede („THIS HOSTNAME IS NOT REGISTERED YET, HAS BEEN STOPPED OR REMOVED“).

„Dá se to žalovat?“
Bez důkazů těžko. A s nimi nijak snadno.

Ivy:
Dokazovanie nie je vôbec jednoduché. Je pekné, že hostujú tam, kde hostujú, ale hosting s tým nemôže urobiť absolútne nič (mimochodom, ten kontakt nie je gsh.cz ale qsh.cz - predpokladám, že nechceš písať gymnáziu).
To, že odkaz vedie na bozidar.info ešte neznamená, že to tam musel vložiť správca tej stránky. Rovnako to mohol urobiť aj niekto, kto ich chce očierniť (málo pravdepodobné, ale môže sa stať).

jenikkozak:
Web funguje normálne, takže hosting neurobil žiadne unáhlené a protiprávne rozhodnutie.

Ivy:
Ja nehovorím, že to bola konkurencia - mohla to byť, ale to je malá pravdepodobnosť. Aby však mohol hosting vypnúť tú stránku, musí mať nejaké právoplatné rozhodnutie (od súdu), nemôže si dovoliť len tak, sám od seba obmedziť fungovanie webu, ak ten web priamo neporušuje žiadne zákony.
Aj keby to bol niekto z tej stránky, stále nemôžu "vypnúť" ten web, pretože zodpovedný je za to ten človek, nie tá stránka. A predpokladám, že žiadny hosting nebude riskovať žalobu kvôli takejto drobnosti.

Súhlasím, že to vie nahnevať, aj mňa by to nahnevalo - základom je zabezpečený systém (preto ti ostatní radia, že treba aktualizovať). Či ti tvoj hosting bude vedieť povedať, ako sa tam ten útočník dostal a kto to bol (jeho IP adresa), to naozaj neviem, ale pravdepodobnosť je malá.

No, z logu svého hostingu můžeš zjistit IP adresu útočníka*, který využil chyby v phpRS. Otázka je, zda k něčemu bude, protože bych čekal, že takový útok byl proveden přes něco jako anonymizér. V ideálním případě by ta IP mohla jít spojit s účtem www.bozidar.info na jeho hostingu.

*) Předpokládám, že útočník přidal odkaz do databáze, takže tam by šlo možná zjistit poslední modifikaci tabulky a v té době hledat podezřelé záznamy v logu. Ale hlavně by tak šlo najít bezpečnostní díru systému.

shaggy:
„Rovnako to mohol urobiť aj niekto, kto ich chce očierniť (málo pravdepodobné, ale môže sa stať).“
Nevím, zda to může hrát roli z právnického hlediska v tom smyslu, že dokud nebudou opravdové důkazy, tak to bude dostatečný důvod uplatnit presumpci neviny. Z praktického hlediska bych se přikláněl k tomu, že to skutečně bude málo pravděpodobná varianta, protože ty odkazy odkazovanému webu – dokud se neodstraní nebo dokud na to (manuálně?) nezareagují vyhledávače – prospívají. A vzhledem k tomu, že jsou skryté, spoléhá se útočník zřejmě na to, že nebudou objeveny. Možná spekuluje i s menší zkušeností autorů webů, které napadl právě přes daný redakční systém, pokud je ten RS, jak tady zaznělo, zastaralý.

Ivy:
Píšeš, že je poškozených webů více – co se spojit a podat na toho grázla, až ho vypátráte, hromadnou žalobu? Doporučil bych v tom případě věnovat píli objevování právnických aspektů a výčtu všech nepravostí, kterých se dopustil. Jinak řečeno - zamyslet se ne nad jedním nebo dvěma zákony, které mohl porušit, ale nad všemi jen nějak myslitelnými – obchodní zákoník, občanský zákoník, trestní právo, autorské právo atd... A zavčas popřemýšlet nad tím, že pachatel může být nezletilý, a zaměřit se na zákony, podle kterých by i jako nezletilý mohl být aspoň nějak popotahován. Taková podlost mu prostě nesmí projít, ať je to kdo chce.

Ivy:
Jen tak mimochodem, jakou škodu vám tím vložením odkazu daný "hacker" vlastně způsobil? Dokážete to reálně vyčíslit? Protože od toho se odvíjí vše ostatní.

Reaguji na Petra_:
Nejsem právník, ale selský rozum mi napovídá:

1. Falšování záznamu
2. Nekalá soutěž (zneužití pozice druhého na trhu pro vlastní prospěch)
3. Porušení soukromí
4. Poškození dobrého jména
5. Podvržená identita
6. Neoprávněný zásah do autorského díla
7. Poškození autorského díla
8. Podvržené autorství
9. Podvržené tvrzení ("podporuji jakýsi náboženský web")
10. Ohrožení pozic ve vyhledávání kvůli penalizaci za black hat SEO
11. Ušlý zisk pro poškození pozic ve vyhledávání
12. Ušlý zisk pro poškození dobrého jména

Podotýkám, že ušlý zisk už z principu lze jen odhadovat, to ale nemůže znamenat, že za ušlý zisk nepůjde žalovat. Pokud vím, Ivy má povolání, ve kterém záleží na reputaci a nemyslím si, že bude mít problém vyčíslit vzniklou škodu. Navíc bych řekl, že zrovna u Ivina povolání je odkaz na web s náboženskou tématikou (usuzuji ze znění odkazu, nelezl jsem tam) pro potenciální zákazníky jako pěst na oko.

Řekl bych, že daný čin porušuje minimálně občanský zákoník (poškození dobrého jména, poškození soukromí), obchodní zákoník (nekalá soutěž), autorský zákon (podvrh autorství).

Nejsem právník.

Ivy:
„Je to hotel“
Ach, řekl bych, že to je jedno. Nomen est omen, neboli lidí jako já, kteří na ten web vůbec nepolezou a vyvodí si ze znění odkazu případně mylné závěry, může být víc. Nejde tím pádem o to, kam odkaz skutečně míří, ale o to, jaký vyvolává dojem. Tvoje povolání a nějaký Boží Dar v odkazu na tvém webu, to prostě nejde k sobě. :-) Co to je vlastně za hotel? Není třeba, jak bych to řekl, "hodinový"? (Hádám podle úvahy "podvodné SEO – pochybný hotel".)

Petr ZZZ:
„Podotýkám, že ušlý zisk už z principu lze jen odhadovat, to ale nemůže znamenat, že za ušlý zisk nepůjde žalovat.“
Nedělal bych z toho zas tak velké drama. Nevím, jaký má Ivy web. Ale vzhledem k tomu, na jakém byl postaven systému, hádal bych, že škoda nebude tak převratná. Ivy je správná správkyně webu, přidaného odkazu (přestože byl neviditelný) si brzo všimla. Záleží na tom, jak často ji navštěvují roboti, ovšem odhaduji, že toto přidání odkazu jejímu webu v očích vyhledávačů neoblížilo.
A to, že teoreticky ji to poškodit mohlo, že to teoreticky mohlo snížit hodnotu (která ani předtím nebyla vyčíslena) jejího webu, že jí někdo podvrhnul autorské dílo atd. přece není možné nějak hradit.
Pokud nejde o opravdu důležitý web, měla by Ivy spíše zvážit, zda jí těch pár kaček za tu námahu stojí.
Půjdete-li po ulici, přes kterou se bude otáčet rameno jeřábu nesoucí kus panelu, taky teoreticky ten panel může spadnout, ale těžko po stavební firmě vymůžete miliony za to, že vás mohli zabít.
Vůbec se nechci toho, kdo úmyslně poškozuje cizí díla, zastávat. Naopak myslím, že dobrá facka je lepší než vrácená stokoruna.

„(Hádám podle úvahy "podvodné SEO – pochybný hotel".)“
Ale vždyť zatím není dokázané, že v má majitel hotelu prsty...

Petr ZZZ:
Trochu bizarní výčet. Řekl bych, že čin nebude (a to ani vzdáleně) splňovat jakýkoliv z těchto bodů (nehledě na to, že většina z nich právně ani neexistuje).

Ivy:
Škoda, která ti vznikla, se limitně blíží nule. Tvé možnosti osobní vendetty rovněž tak. Odstraň odkaz a používej kvalitnější webovou aplikaci - phpRS je zhůvěřilost, už pět let ve stavu klinické smrti, udržováno na přístrojích bůhví kým a bůhví proč.

jenikkozak:
„Ale vždyť zatím není dokázané, že v má majitel hotelu prsty...“
Proto píšu, že hádám. To jednak. A za druhé je z právního hlediska zodpovědný nejspíš on jako majitel webu. Jestliže ho podvedl jeho webdesigner nebo SE-"optimalizátor", má možnost vymáhat svou škodu na něm. Ale vůči napadeným webům je podle mého názoru zodpovědný majitel toho hotelového webu.

Ivy:
„myslím, že nežádoucí chování na internetu by se mělo postihovat.“
Můj názor. Vzhledem k počtu poškozených webů si myslím, že je to šance na exemplární proces, která by se neměla promrhat. Bez váhání bych majitele hotelu žaloval kolektivně na takové částky, že o ten hotel přijde. Pořádně to rozpatlat v médiích včetně tisku, rozhlasu a televize a pak uvidíme, jak dlouho ještě vydrží na internetu praktiky divokého západu. Když tak různě čtu, jak se kdekdo snaží kdekoho odrbat – stačí projít vlákna třeba zde v diskuzi v rubrice Obsah webu, ale i JavaScript nebo PHP. Každou chvíli se tu někdo ptá, jak vytáhnout data támhle z cizího webu, tuhle z cizí databáze, zda ukradený obrázek nelze přece jen nějak zaonačit jako legálně nabytý a tak dále a pořád dokola. Dělá se mi zle, když vidím, kolik lidí jakoby žilo v přesvědčení, že co je technicky možné, je automaticky legální. Nacpat někomu na web bez ptaní a bez svolení svoje data je virtuální vloupání.

Pokud jde o škodu, ještě mě napadlo – tím vloženým kódem mají majitelé napadených webů vyšší přenos dat, který musí hradit. Zajímavé by to mohlo být alespoň u webů, které tím podvrženým kódem překročily nějaký limit a dostaly se tak do dražší kategorie.

Moc to všichni prožíváte.

Dnes a denně je hacknuto velké množství webů a v naprosté většině případů za to nebyl nikdo potrestán, protože nebyl tak hloupý, aby se nechal chytit. Podívejte se na ukázku hacků na Soomu nebo do archivu Zone-H (tam jich je několik tisíc denně, protože tam soutěží o to, kdo jich hackne nejvíc). Už byly napadené a zlikvidované celé webové servery a hostingy (kromě Kapusty a Banánu to nebylo ani ve zprávách), a slyšeli jste snad, že by byl nalezen viník a bylo mu to dokázáno?

Používejte webové aplikace, které jsou někým podporované, udržované a pravidelně záplatované. PHPRS je děravé jak cedník, což mohu doložit tím, že se běžný uživatel může velice jednoduše stát adminem.

Nechci tímto pachatele obhajovat, ale pokud někdo provozuje děravý systém s neopravenými a několik let dobře zdokumentovanými chybami, tak dobře mu tak. Může být rád, že jeho web nedopadl mnohem hůř.

Řekl bych k tomu asi toto:
Jak píše jenikkozak, majitel hotelu /v tomto případě Penzion Rebel Boží Dar/ asi bez viny nebude. Scénář podle mne by mohl vypadat asi takto:

1. Protože je na Božím Daru penzionů a hotelů jako máku, boj o místo na netu, tedy doménu včetně výrazného značení pro vyhledávací boty je dost urputný. Majitel zmíněného penzionu si zaplatí sestrojení webu a požádá jeho tvůrce, aby to nějak zaonačil, aby to bylo vidět ve všech vyhledávačích. Oslovený webař udělá to co udělal, tedy prasečinu non plus ultra, kdy zaspamuje půl republiky, jen proto aby si boti penzionu povšimli. Jde to udělat slušně a jinak. Webař je prase a hoteliér trouba, že mu naletěl.

2. Protože všichni hoteliéři a majitelé lufťáckých penzionů jsou čeládka, které není radno věřit ani kolik je hodin, je tu varianta druhá, ještě horší. Například majitel konkurenčního penzionu, kterému zmíněný Rebel bere kunčofty, osloví týpka, o kterém ví, že je v programování dobrej, nebo mu jej doporučili. Mimo oslovení, též dobře zaplatí a řekne: Podělej jim web. Týpek oprávněně namítne, že to sice jde /je to fikaný hacker/ že to zas tak jednoduchý nebude, sundat cizí web je průser a za čas to stejně opraví. Ale něco bych tu měl, ale je to náročný a je to tutovka, praví tajemně. Hoteliér přihodí další peníz.
Týpek shrábne prachy a řekne: "Fajn, dostanu je do maléru, to nevydejchaj, nechte to na mne". To je vše, co řekne tomu hoteliérovi. Výsledek znáte. Pak udělá to, co jsme viděli. Je od fochu, ví že phpRS je v problémech a léta bez fungující podpory, bude to brnkačka. Z technického hlediska to pro zkušeného kódaře brnkačka je, phpRS je bohužel děravý a zastaralý systém. Taky velmi dobře ví, protože hackeři nejsou pitomci ale naopak, dokážou předvídat zcela abstraktní situace a zvraty, že phpRS byť opuštěný tvůrcem J. Lukášem, zas takový sirotek není. Má stále fungující komunitu, která jej těžko, ale urputně drží nad vodou. Tato komunita to skutečně nevydejchá a zareaguje. A to o dost více, než nerudně.
Rachot je tady, píše se o tom, dochází k vypínání domény bozidar.info, možná i žalobám, šuškanda v branži, jakej že je majitel Rebela dobytek, neštítí se ničeho, ani hackingu a spamu. To v kšeftě dobrý rozhodně není.
Je jasný že lidé z phpRS komunity ví, jak se taková čuňárna dělá a proč se dělá, že penzion Rebel na Božím Daru, nemusí v tom mít prsty, ale kravál okolo domény bozidar.info stačí k tomu aby penzion Rebel dostal dost zakouřit a to přímo v letní sezóně. Dojde ke sporu, žalobám a může se najít viník a odkud bylo spamováno. Ale ten flastr penzionu Rebel už nikdo neodpáře. Jak říkám letní dovolenková sezóna je v plným proudu a konkurence si mne ruce.

3. Ještě jedna možnost: Může se jednat o pishingový útok, za účelem zneužít doménu bozidar.info k daleko horším legráckám, než utopit konkurenci. Takže výše zmínění protagonisté dramatu na Božím Daru a případná konkurence tamtéž, je mimo mísu. Mimo majitele postižené domény pochopitelně. I když tak by to muselo být o trochu více promakaný.

Poznámka:
phpRS byl dobrý CMS a stále je to moje srdeční záležitost. Začínal jsem na něm s PHP a databázemi. Snad jej ta komunita okolo opět vzkřísí k životu. Pravda přešel jsem na Drupal /z nezbytné nutnosti/, ale phpRS nezavrhuji, kdykoliv se rád k němu vrátím.

K spôsobu vyčíslenia škody:
Z hľadiska spôsobenej škody tu nejde vôbec o ten vložený link. Problém je, že k údajom (kľudne spadajúcim do kategórie osobný údaj) sa dostala neoprávnená osoba spôsobom, ktorý je v rozpore so zákonom, konkrétne u nás na Slovensku je to prinajmenšom porušenie zákona č. 610/2003 o elektronických komunikáciách, resp. § 2 ods. 2 zákona č. 166/2003 Z. z. o ochrane súkromia pred neoprávneným použitím informačno-technických prostriedkov. Navyše vzniknutá škoda môže byť vysoká v tom, že poškodení musia venovať čas/prostriedky na kontrolu, pretože nie je isté, či zásah útočníka skončil pri vložení toho skrytého odkazu.