iT邦幫忙

3

如何讓非資訊人員理解、釐清資訊犯罪的區別/定義?

  • 分享至 

  • xImage

最近作了場"惡夢",夢中有些與資訊相關的法務問題向各位先進請教。

先節錄要點給怕囉嗦的網友,想更進一步瞭解詳情的請再往下看。

我使用臺灣網路資訊中心提供的公開、免費的DNS檢測工具
https://rs.twnic.net.tw/cgi-bin/dns.cgi
查詢第三方網域相關資訊,被網域擁有方投訴任職單位總部,並揚言提告。
縱使向己方總部說明,並展示經濟部的《商工登記公示資料查詢服務》
https://findbiz.nat.gov.tw/fts/query/QueryBar/queryInit.do
以及財政部的《稅籍登記資料公示查詢》
https://www.etax.nat.gov.tw/etwmain/online-service/publicity-inquiry/taxation-registration
作為範例來說明,但仍不為接受,要求部門主管作懲處。

特別再次強調這只是場夢,千萬不要自行對號"入座"。以下是"夢境"內容。

● 楔子
年節過後,與山上的老朋友在網路閒談。聊著聊著聊到高歌"驛動的心",突然
告知我山上前陣子網路問題不斷,現任資訊一直無法徹底解決,上頭已開缺找
人,問我有無意願。

● 序曲
聽完他說明狀況,對問題心中已有想法,但尚待一些相關依據證實。就在臨下
班前又收到他傳來的詢問的訊息,正巧手頭上工作結朿也沒什麼事,開始我的
驗證。

● 引火
就先從外部驗證開始,利用了臺灣網路資訊中心提供的免費的DNS檢測工具
https://rs.twnic.net.tw/cgi-bin/dns.cgi
把骨友單位的網域填入並送出,得到結果也算不上什麼大問題,可的確有些小
瑕庛,就善意發函提醒對方。由於當時已逾對方下班時段,手上也無對方的連
絡方式,就用了對方的人資連絡資料。這邊我犯了一個關鍵疏失....使用我在
單位的公務郵箱發信。信件如圖一(因應法規,隱去部份)。

● 焚身
隔了幾天,部門主管忽然詢問我是否發信到總部?本想該不會上班時段用公務
電腦找工作被發現了,只得老實承認。隔天,主管有點氣急敗壞帶著另位涉外
部門主管找我問罪。說是總部通知,有外面人士向總部投訴,指稱我擅自侵犯
他人公司網路,要提告我們單位。並拿出圖一那封信,問是不是我寄發的?

經過進一步瞭解,對方根據信箱網域先來函確認我是否為單位員工,再附上圖
一信函投訴我侵犯他們公司網路,要提告我們單位。

頓時百感交集,我善意提醒卻遭「狗咬呂洞賓」。立即跟涉外部門主管解釋,
這只是運用半官方的臺灣網路資訊中心所提供的,公開、免費便民服務的 DNS
檢測工具查詢網域相關資訊,並無入侵網路的犯罪行為。就像財政部的《稅籍
登記資料公示查詢》或者經濟部的《商工登記公示資料查詢服務》。

反正她就是不接受,要求部門主管作懲處並回報。

部門主管雖理解我的說明,可訓誡我:「把自己事情作好就好,管別人家的事
幹嘛?還沒事去挑釁人家,你想展示自己多厲害嗎?」並要求我寫份報告回覆
總部。

仔細想想也是啦!!善意提醒不過是我一廂情願的想法,對方可未必這樣認為,
特別是對方單位已開出相關職缺...。

好吧!!自己活該,怨不得人。不知白帽駭客如何想?

● 後記
由於法令相關規範,不便進入對方內部網路檢測。找了一些網路文章給山上的
朋友,請他自行處理。後續告知有一些設備IP是 172.10.X.X 網段,使用內部
DNS 主機。有些設備IP是 172.16.X.X 網段,使用 DNS 是 168.95.1.1 ...。
心裏有譜了,我救不了...呵呵呵。

《論語.陽貨》「唯女子與小人難養也,近之則不遜,遠之則怨。」。
https://ithelp.ithome.com.tw/upload/images/20240402/20074761huTjrjt5aY.jpg

看更多先前的討論...收起先前的討論...
沒有看到圖。
cjeco iT邦新手 3 級 ‧ 2024-04-02 14:59:26 檢舉
重新補上
cmwang iT邦大師 1 級 ‧ 2024-04-02 15:04:09 檢舉
之前常常被客戶盧,要鵝幫他們刪發錯的mail,甚至有些官衙門也是這樣,後來我都直接請他們去Google刑法第359條,願意簽切結書再來找鵝,然後就沒有然後了XD....
cjeco iT邦新手 3 級 ‧ 2024-04-02 15:14:07 檢舉
我的行為沒有違反刑法第359條吧!!只是主管們怕事進行"切割"...棄卒保帥
cmwang iT邦大師 1 級 ‧ 2024-04-02 15:19:03 檢舉
有些資安顧問說隨便幫別人的機器弱掃可能會被刑法第360條伺候,所以最好別亂掃....

FYI:https://mojlaw.moj.gov.tw/LawContent.aspx?LSID=FL001424&lawNumber=358&TypeSort=2
SunM0on iT邦新手 4 級 ‧ 2024-04-02 15:23:16 檢舉
弱掃是另一回事,哪怕你光明正大去nmap scan也不會出事,何況是DNS Trace
SunM0on iT邦新手 4 級 ‧ 2024-04-02 15:24:52 檢舉
反正法律面正常來講是沒事,但要說服不懂技術的了解這件事 本身是一個挑戰
cmwang iT邦大師 1 級 ‧ 2024-04-02 15:27:01 檢舉
DNS trace的話的確和攻擊對方的弱點無關,而是揭示對方config的錯誤,如果是這樣就甭理他了吧,不過用nmap掃別人的機器的確可能被解釋成有惡意,所以最好別亂掃....
SunM0on iT邦新手 4 級 ‧ 2024-04-02 15:32:42 檢舉
我想了想,其實對方存心要找碴你是真的沒轍,上面又沒辦法說服,如果被切割,頂多玉石俱焚吧,在各大網站宣布是哪家,做了甚麼事,讓你丟了工作,你的損失不小,但他們之後名聲也不會好
cmwang iT邦大師 1 級 ‧ 2024-04-02 15:36:43 檢舉
說到這些東西,有些資安"顧問"說穿了根本是在製造混亂,像鵝遇過說MX收到不存在的收件人的信時不可以回user unknown(因為會讓人得知哪些帳號是有效的),鵝實在很想回他們說那依您的看法,我們是不是就只好收下99%的垃圾然後丟掉,只為了不讓外界知道哪些帳號是無效的啊....
看了你的信,我認為你本來就不該發那封信,畢竟你對對方公司來說,是個「外人」,人家並沒有請你協助判斷網路問題,雖然你是出於好意,但對於對方來說那風信可以算得上是一種挑釁了。
換位思考,你突然收到一封你根本不認識的人的來信,然後直指你公司資訊系統、資訊環境有問題,是你的話,你會是什麼感覺?
看了留言~的確是~犯下過度好事的衝動~
感覺吃上官司也就見怪不怪了~
這種就像是介入別人的婚姻似的~
自己不對的行為卻認為正義的舉動...
supermaxfight iT邦研究生 4 級 ‧ 2024-04-03 10:33:53 檢舉
1. 資訊主管不懂資訊,可能連ping、tracert指令都不知道,這本身就是公司自己的沉痾
2.發信過去提醒,要有把握對方看得懂阿。
我曾經提醒過某奴隸銀行的廣告MAIL,他家的SPF語法錯誤,隔兩天有看到他們修正好了,再隔個幾天就炸了,越改越離譜,算了,別人家的事。
之前有某大學的IP,大量測試我們網站的帳號與密碼。我好心把證據寄去給對方的計算機中心,請他們多跟學生宣導,不要這樣做。對方回信,意思是我們自己防堵不嚴,不關他們的事(不處理)........我把證據與他的回信,立刻寄去給教育部、對方校長、計算機中心主任。然後他就來道歉了。
敢辯user unknown那位應該是對資安沒認識
nerv80736 iT邦新手 4 級 ‧ 2024-04-10 11:09:44 檢舉
等一下,遇到白帽 不是該慶幸?!
之前在SI 有遇到主管,在討論某家公司疑似遭入侵,而且在該司主管信件發了一封信件草稿,內容:只有HI
Rebacce iT邦新手 4 級 ‧ 2024-04-27 17:30:33 檢舉
無論【出發點】多麼的善意,可是利用你知道的資源入侵到別人隱私已經

越矩了

一旦超越了尺度是人都會不高興的(人際相處的有距離存在,太近會感覺威脅不是嗎?)

請記得明哲保身才是保護自己的方式,而主管說自以為厲害,已經被貼標了
請在事後向主管真誠道歉,並謝謝主管替你善後
很多事別太單純的善意
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
14
Ray
iT邦大神 1 級 ‧ 2024-04-02 15:50:28
最佳解答
  1. 白帽駭客在進行任何弱點檢測手段之前, 都需事先經由目標單位的同意並簽下NDA.
  2. 未經同意就進行弱點探測, 還發信要求對方「盡速改善」, 有觸犯強制罪的嫌疑
  3. 公開資訊你可以隨意查, 但並不代表你有權命令對方要改善, 除非對方干擾你
  4. 你未經合法管道告知, 導致對方缺失可能被代轉該郵件的其他人士得知, 有名譽損失
  5. 你可能無罪, 但用公司信箱發信, 隱含你代表公司的身分, 所以提告對象是公司
  6. 公司處理法務需要成本(費用), 你無端造成公司額外支出, 這筆帳務費用要誰來出?
  7. 你的問題不是出在: 使用公開檢測工具, 而是:「通知對方」這件事情的流程.
  8. 你默默檢測, 悄悄告訴朋友問題, 甚麼都不跟對方說的話, 今天就不會有這件事.
  9. 雖然憲法保障自然人有知的權利, 但公司法人也有: 不要干涉我營運管理的權利
  10. 有沒有犯罪是法務來判斷, 主管沒有權力認定或拒絕, 她只能把你送交法務處理
  11. 此外, 私人企業的公文書裡面, 並沒有: 我司/貴司, 這樣的用法(兩岸皆同), 請見:
    https://blog.udn.com/benny881112/163151781
    考證過程:
    https://www.facebook.com/TaipeiSalarymen/posts/pfbid0F1JxfCLp4bnwKPJJPQv4hPPxHghkChZarGDx4etYvDhYoxWLnPYZB25eXGsQWRSfl
看更多先前的回應...收起先前的回應...
ak02 iT邦研究生 1 級 ‧ 2024-04-03 14:07:48 檢舉

白帽駭客在進行任何弱點檢測手段之前, 都需事先經由目標單位的同意並簽下NDA.

之前就有白帽駭客未經我司同意就檢測,這應該就是犯法

Ray iT邦大神 1 級 ‧ 2024-04-03 16:47:04 檢舉

未經我司同意就檢測

這已經是灰/黑帽的行為, 不能叫白帽了. 白帽一定都要事先簽好 NDA, 或者企業本身就已經有預授權(例如:已經設立漏洞獎金制度, 或公告漏洞檢測與通報的方法)

SunM0on iT邦新手 4 級 ‧ 2024-04-03 17:21:48 檢舉

說實話,白帽成長就是要有環境練手,有灰帽經歷,幾乎是必經的路,更別說以前沒有這麼多完善的練手環境,重要的願意回報與否,要較真灰帽白帽的稱呼,有幾個是真的完全乾淨的呢?

Ray iT邦大神 1 級 ‧ 2024-04-03 21:54:18 檢舉

法律上每一個案件都是分別獨立看待, 依個案的涉案證據來論定, 所以跟: 你過去是甚麼身分? vs 現在是甚麼身分? 兩者沒有關連, 不會因為過去做過 OOXX, 現在就認定你為 YYZZ;

法律上只看:你在眼前這個案件裡面, 是意圖用甚麼身分和手段去行動?

知名的黑帽轉白帽案例: Kevin Mitnick, 陳盈豪, 張啟元...等等
白帽不小心變黑帽案例: 2017年資通電軍漢光33號演習事件

果然法律身分很重要~沒有是非之分
就像臨老病歿的伴侶~為了處理後事~
才需要登記身分~才能幫另一半醫囑單簽字

是扭曲了po主的意思還是鬼島法律是這麼扭曲?
我看到完全不同也不符國際的意思形態

#4是鬼島專有我滿確定

0
coolberth
iT邦新手 5 級 ‧ 2024-04-03 04:26:38

謝謝,這很有趣

cjeco iT邦新手 3 級 ‧ 2024-04-05 13:24:34 檢舉

感謝大神開釋!!

1
小處成就大事
iT邦研究生 1 級 ‧ 2024-04-03 10:38:33

我再一次看了你的文章,從你的標題到你的內文。
我發現你根本就不認為自己有問題。

你朋友跟你反應他公司網路有問題,然而你不找你朋友,直接找上他公司?
直接找上他公司就算了,用的還不是自己的信箱是你公司的信箱?
最後的最後,你還引用論語?
你把你自己的謎之操作引發的後果,歸咎於對方是個難養的女子或小人???
你認為你的問題無傷大雅,是對方小題大作,WTF?
我只能說,我希望對方勝訴,以杜絕這種莫名其妙的行為。

看更多先前的回應...收起先前的回應...
j00001217 iT邦新手 5 級 ‧ 2024-04-03 16:44:21 檢舉

你好無聊喔 會不會太入戲= =

SunM0on iT邦新手 4 級 ‧ 2024-04-03 16:53:58 檢舉

法律面來說,本來就沒什麼問題,不懂就別硬答了,最大的問題是他發給對方時用的信箱,白帽願意指導如何修正是好心,妳希望對方勝訴我倒是覺得妳挺噁心的。

SunM0on
請看一樓雷大回答的第一點,謝謝。
而且開版是白帽?從哪裡看到的?

SunM0on iT邦新手 4 級 ‧ 2024-04-03 17:32:42 檢舉

小處成就大事
首先,DNS Trace屬於公開資訊,
並不會存在弱點掃描這類敏感資訊,謝謝。

其實雷大的總結寫得非常完美了,所以我也沒有發表甚麼言論自取其辱

開版是不是白帽我不知道,我是白帽,這件事他本身願意去寫信(哪怕他寫信時用的身分就是最大問題)指導如何修正我也願意稱他為一聲白帽。

Good!

0
sam0407
iT邦大師 1 級 ‧ 2024-04-03 11:14:40

同為資訊相關從業人員我們應該要互相幫忙,所以以下發言僅為我個人的看法,希望彼此砥礪求進步,希望所有的事圓滿~~

對方公司上層對現任資訊人員不滿,也許只是口頭說說,畢竟還沒資遣他不是嗎?

若對方已有開缺找人,您想過去直接投履歷就好,要表現您的專業,到面試階段面試官有問您的時候再說就好。人資應該不懂技術,您直接發郵件給人資等於是把事情搞大,若對方公司有個慣老板會不會害了現職的資訊人員呢?

在我現任的公司有導入ISO 27001,網路架構是屬於內部機密資料,您的朋友直接告訴您內網的相關IP訊息是不合資安規定的,現在事情已經搞大了,您修一下文吧,不然對方後續追查下去,這篇PO文也有可能也會害了您的朋友~~

看更多先前的回應...收起先前的回應...

不要搞混, iso覺得是內部機密不代表事實也是如此

sam0407 iT邦大師 1 級 ‧ 2024-04-09 10:33:00 檢舉

若您公司的網路架構不算是內部機密,我個人完全沒有任何意見,我提ISO原因單純是提醒原PO,他並不知道對方公司規定,有可能會害朋友被挑刺....

我個人被挑刺的經驗多多,已經久病成良醫了~~

我意思是公司認定為內部機密不代表法律上也是如此. iso是建議的內控框架, 不是法定的框架; 不合資安規定不是觸法, po主該擔心的只有法律上問題

sam0407 iT邦大師 1 級 ‧ 2024-04-12 09:53:31 檢舉

您說的都對,但和我關注的點不在一個層面上。

原PO該面對的法律問題,他本來就該去處理,我會建議他修一下文,是因為後記部份有明確寫到他的朋友告訴他,公司裡有用到幾個的IP網段,若這篇Po文被對方公司的人看到,可能會害了他朋友....

很久之前在網路上有看過一篇文章:生命中的五個球。工作是橡皮球,掉了早晚會彈回來;友誼是玻璃球,請務必好好珍惜~~

0
ak02
iT邦研究生 1 級 ‧ 2024-04-03 14:10:41

所以我常跟下面的說
資訊凡是都要小心
例: 不斷交待千萬不要碰觸他人身體
如果需要他人滑鼠也要先請對方移開身體
再使用

尤其是在這個年代
被指控有的沒的
算正常

就像我在公司很多私人電腦公用
一律都說不處理

4
海綿寶寶
iT邦大神 1 級 ‧ 2024-04-05 14:55:57

最近作了場"惡夢",夢中有些與資訊相關的法務問題向各位先進請教。

你看見的重點是「資訊」
我看見的重點是「法務」,只看事實

事實:
1.這社會,只要有人(A)覺得權益受損,就可以找人(B)負責/求償(%)
2.在此案例中,B就是你公司(因為你堂而皇之地使用公司帳號)
3.B有兩種可能下場
第一種:花了一番功夫,證明自己不用負責
第二種:摸摸鼻子負責/賠償了事
而不管是那一種,都絶對不是B平常的主要工作/營利內容

結論
不處罰你要處罰誰呢
/images/emoticon/emoticon67.gif

%:送你一個極端例子
如果在美國,你因為這件事受到任何權益損害
你就可以向TWNIC提告
告他公開提供的工具讓你因使用而受到權益損害
然後求償1000萬元之類的
重點1:你可以提告,告不告得成是另一回事 而法律訴訟的過程,有時會讓人覺得比結果還難忍受
重點2:講法律的時侯就不要講道理;講道理的時侯就不要搬法律

我要發表回答

立即登入回答