- SkyShowtime
- A pápa egyre jobban tart a romlott AI veszélyeitől
- WLAN, WiFi, vezeték nélküli hálózat
- foobar2000
- Milyen NAS-t vegyek?
- A franciáknak elege van abból, hogy minden gyerek mobilozik
- Az iPadOS-re írt appokra is díjat vet ki az Apple
- Sweet.tv - internetes TV
- Windows 11
- Sokat fogyaszt az AI, egyre több az adatközpont, kell az atomenergia
Új hozzászólás Aktív témák
-
addikt
-
Silεncε
őstag
Így is kell. Minél nagyobb visszhangot a BKK-T-Systems bénázásának, hátha megtanulják, hogy kell rendesen programozni/ilyen helyzetet normálisan kezelni...
-
Dezsike
tag
És hol a beígért új rendszer? Úgy tudom a T-Systems azt mondta, hogy saját költségén csinál egy újat pár hónap alatt.
-
DesertDog
tag
😢 Sebaj! A részvétel a fontos.
-
tomazin
veterán
Szerintem a BKK/Tsystemnek is kezdjünk el gyűjteni pénzt. Bár az idei versenyt nem sikerült megnyerni, jövőre további adóforintokat égetve még sikerülhet
-
"... már a részvétel is dicséretes..."
Óriási trollkodás, made my day, Pali!
https://www.coreinfinity.tech
-
vicze
félisten
Amúgy hogy áll az új online jegyrendszer?
Amit nagyon frontos volt NEM a vizes VB miatt műkőképessé tenni. -
bambano
titán
találgass(atok), mi történt:
1. a betli hatására megtanultak rendesen programozni
2. ugyanazt a balfékséget nem sokkal utána még legalább egyszer elkövették, és tojtak a hibabejelentésre?szerk: a poszthoz: nem a bkk nyert. vajon milyen volt a nyertes?
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Ringman
nagyúr
az azerbajdzsáni cég üzemeltette wifihotspotok működnek még?
-
PR0JECTNR56
addikt
Maximálisan a megérdemelt helyen vannak, ténylegesen az egyik leghitványabb reakció volt egy amúgy is csorvasz himpellér attitűddel elővezetett rendszer szerecsenmosdatására.
-
dqdb
nagyúr
A nyertest nem ismerem, de a T-Mobile Austria is eléggé erős versenyző volt a security by faith megközelítéssel
[ Szerkesztve ]
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
-
hemaka
nagyúr
Sajnos nem nyertunk, de legalabb reszt vehettunk egy ilyen nivos esemenyen.
-
tonyrulez
őstag
Ez is egy minőségi Award lehet, ha a pár mondatos leírásokba ennyi hiba került. Csak abban a 2. képen lévő 2 bekezdésben van: oftware, taht, bvulnerabilities, vulns (ok, rövidítés, de írjuk már ki könyörgöm)
4 8 15 16 23 42
-
Seirei
tag
Vajon most mi véleménnyel lehetnek azok az egy-néhány személyek akik az esetet követő totyikban t-systems shill mód szintén a gyereket hibáztatták amiért "kihasználta" a sérthetőséget.
Valaki?
-
Sweet Lou 6
addikt
sweetlou6.wordpress.com
-
hallador
addikt
Nem nyertünk, lőrinc barát és a orbanisztán zsebtábornok nem épített stadiont apu bányájából ,meg a lenyúlt eu-s zsetonból a hackereknek.... Ja bocs ez nem az a topik, őket nehezebb hülyének, nézni meg lefizetni...
The further a society drifts from truth, the more it will hate those that speak it. (George Orwell) [Work Machines: HP EliteBook, HP ProBook & Linux Mint 20 ; Entertainment: Apple Macbook AIR M1]
-
hallador
addikt
Már ha a magyar igen pofátlan és undorító Európában egyedülálló képmutatást, irigységet, és rosszindulatot nézem, akkor igen igazad van, ha pedig azt nézem, hogy a való világ és azok az erkölcsi normák hogyan működnek, amik a világot előrevitték, akkor meg nézz magadba egy picit...
The further a society drifts from truth, the more it will hate those that speak it. (George Orwell) [Work Machines: HP EliteBook, HP ProBook & Linux Mint 20 ; Entertainment: Apple Macbook AIR M1]
-
addikt
+ a tobbiek semmitmondo, szemelyeskedo hozzaszolasaira reagalva.
1 napot nem hagyni az erintettnek, hogy javitsa a hibat es egybol leakelni a sajto fele enyhen szolva nem responsible disclosure.
Ezt egyaltalan nem igy szokas csinalni. Mondom ezt ugy, hogy voltam hivatasos "etikus hacker" / kiberbiztonsagi tanacsado, stb. es most is security teruleten dolgozok, bar nem offensive vonalon. Nem hasrautesszeruen nyogtem be a velemenyem.szerk. A prohardveren talaltam anno olyan hibat, amivel az egesz fiokodat eleg konnyen ellophatnam, es ennek a javitasara honapokat kellett varni, nem 3 napot. Valoszinuleg nem orultel volna, ha masnap irok rola egy logout posztot es a verpistikek meg jol kihasznaljak.
Errol terveztem irni valamit - ha lezso is engedi - es benne lesz egy timeline, hogy mennyi ido telt el a report es tenyleges fix kozott. Meglepodnel.[ Szerkesztve ]
-
PR0JECTNR56
addikt
Ilyen jellegű hibáért, a jelenlegi munkahelyemen, már testrail fázisban is megfontolnák az illetők azonnali kirúgását, éles release-t követően pedig habozás nélkül feláldoznák őket idegen isteneknek rituális keretek között.
Ez a minőségbiztosítás legalja volt, gyakorlatilag zendülés kategória, ami IT biztonság szempontjából elkövethető. A fiatalember reakciója pedig inkább volt egy tapasztalatlan, de segítő szándék, semmint előre megfontolt gonoszságból kitervelt lejáratás.
-
bambano
titán
egyrészt nekem nem hiányzik, hogy a topicrégészek kiássanak egy ezer éve 500x megcsócsált topicot.
másrészt te kevered az azonnali vészhelyzet-elhárítást a megoldással.
egy ilyen jellegű hibánál nem az az első lépés, hogy megjavítsák, hanem az, hogy leállítsák az összes veszélyeztetett rendszert. arra pedig egy jól felkészült rendszergazdának 1-2 perc is elég.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
dabadab
titán
"1 napot nem hagyni az erintettnek, hogy javitsa a hibat es egybol leakelni a sajto fele enyhen szolva nem responsible disclosure."
Ehhez azért illik hozzátenni két dolgot:
1. gimnazista srác volt elég minimális IT szaktudással és ő is észrevette a hibát, tehát nyugodtan mondhajtuk, hogy nagyon szem előtt lévő lyuk volt, olyan, amit nem szabad hagyni napokig tátongani
2. gimnazista srác volt elég minimális IT szaktudással ezek után mindenféle szakmai protokollokat számonkérni rajta elég hülyén veszi ki magát - azt tette, amit a sima józan ész diktáltDRM is theft
-
addikt
válasz PR0JECTNR56 #32 üzenetére
A fiatalember reakciója pedig inkább volt egy tapasztalatlan, de segítő szándék, semmint előre megfontolt gonoszságból kitervelt lejáratás.
Nem mondtam, hogy megfontolt gonoszsag vezerelte. Ugyanakkor ha jol remlik, meg egy valaszt se vart mielott "publikalta" a hibat, tehat nem kifejezetten a ceg erdekei voltak szem elott. Nagyon megorult, hogy talalt valamit es nem tudta magaban tartani.
(#33) bambano
egy ilyen jellegű hibánál nem az az első lépés, hogy megjavítsák, hanem az, hogy leállítsák az összes veszélyeztetett rendszert.Az emlitett ph-s bug eseteben sem az volt a megoldas, hogy leallitjuk az egesz lapcsaladot. Ez nem mindig megoldas.
Ettol fuggetlenul nem vitatom, hogy elerte a celjat, de egy valaszt minimum megvartam volna, hogy 'kosz, egybol javitjuk vagy leallitjuk'. Nem ~2 ora a timeout, mielott boritjuk a bilit.(#34) dabadab
Ez szerintem nem kifejezetten szakmai protokoll, hanem jozan esz, ahogy mondod.
A jozan esz nekem azt diktalna, hogy a hibat nem adom ki harmadik felnek, amig azt ki lehet hasznalni - illetve amig nem kaptam valaszt az egyetlen erintettol, aki erdemben barmit tud kezdeni a hibaval.[ Szerkesztve ]
-
dabadab
titán
"A jozan esz nekem azt diktalna, hogy a hibat nem adom ki harmadik felnek, amig azt ki lehet hasznalni - illetve amig nem kaptam valaszt az egyetlen erintettol, aki erdemben barmit tud kezdeni a hibaval."
Az egyetlen érintett egészen egyszerűen nem volt hajlandó reagálni, így aztán a srác azt az - egyébként teljesen okos és védhető - döntést hozta, hogy akkor rábízza az ügyet az ország legnagyobb lapjának az újságírójára, mert ők csak tudják vagy ki tudják találni, hogy mit kellene ilyenkor tenni.
DRM is theft
-
addikt
define 'nem hajlando reagalni'.
1 oran belul? 12 oran belul? 2 napon belul?
Vagy honnantol szamitjuk, mert szerintem ez itt a kulcs kerdes.
Nem emlekszem pontosan, azert kerdezem. Mennyi ido telt el a bkk-s noreply cimre kuldott email meg az index megkeresese kozott?Amugy a zindex ujsagiroja ugyanugy lehet retardalt, mint barki mas. Foleg ilyen szakmai kerdesekben.
Raadasul az ujsagironak a celja, hogy minel elobb generaljon egy clickbait cikket es altalaban nem erdeke varni es kideriteni, hogy pontosan mi a szitu. -
dabadab
titán
"Nem emlekszem pontosan, azert kerdezem. Mennyi ido telt el a bkk-s noreply cimre kuldott email meg az index megkeresese kozott?"
Nagyságrendileg egy-két óra, most hirtelen én se találtam sehol a konkrét időpontokat - mindenesetre bőven elég ahhoz, hogy valaki reagáljon rá legalább egy "olvastuk, nézzük" választ.
"Amugy a zindex ujsagiroja ugyanugy lehet retardalt, mint barki mas. Foleg ilyen szakmai kerdesekben."
De nem volt az, meg ismét feldobom a kérdést: ki mást kellett volna megkeresnie?
[ Szerkesztve ]
DRM is theft
-
addikt
ismét feldobom a kérdést: ki mást kellett volna megkeresnie?
(most dobod fel eloszor)
En spec. az indexnel egy fokkal hivatalosabb szervet valasztottam volna, pl. cert-hungary.hu. Sikerult mar rajtuk keresztul javittatnom SQLi-t, amire addig nem volt hajlando a ceg, amig csak en piszkaltam oket. Hozzafertem szemelyes adatokhoz, tehat nem valami ostoba "404 content injection" szeru hiba es tuleltem cirkusz csinalas nelkul, sot, tobb mint 90 napot vartam mielott megkerestem a govcert-et.De ez mar reszletkerdes.
Felolem megkereshet barkit, HA kiderult, hogy semmi hajlandosagot nem mutatnak a hiba javitasara. Ennek az eldontesere "nagyságrendileg egy-két óra" egyszeruen nem eleg. Pont. Ez kb. annyi ido, hogy elment mindenki ebedelni meg utana engribordzozni egyet a wc-re. Nem tudod, hogy azert nem valaszolnak, mert nem lattak, vagy azert, mert nem akarnak vele foglalkozni. Ez a fo problemam az egesz storyban. -
hallador
addikt
Ezt elhiszem neked, és tiszteletre méltó, az viszont nem, hogy megcsinálnak egy rendszert a 90'-es évek neo kádár rendszer felfogásával 201x-ben, amikor a kiber biztonság alapvető követelmény, majd ha ezt egy gimnazista, aki mondhatni próbálkozott és 0 szaktudással is képes lett volna lehúzni az állam bácsit, akkor erre mit lehet mondani? Nem nem volt hibás olyan értelemben, hogy magyarosan szart adtak ki a kezükből, majd utána tátogtak, hogy ez hackelés volt. Volt a francot nem volt hackelés. Csak a segghülye magyar, szocializmus szabadult virág elvtársak nem a valósággal próbálják értelmezni a jelent, hanem tekintélyelvűséggel, ezzel csak az a baj, hogy a gimnazista srácnak nagyobb a tekintélye mint BKK, meg a T sz@rt@m állailag támogatott pénznyelő cég bástya elvtársainak.
Erről mondjuk senki nem beszélt még, hogy 201x-ben ilyen munkát nem adunk ki a kezünkből.+ a tobbiek semmitmondo, szemelyeskedo hozzaszolasaira reagalva.
Melyik része volt személyeskedés?
Az, hogy egy ország minden szempontból úgy működik, mint hogy sikkasztásra, kéz kezet fog haveri pénzosztásra van berendezkedve, (ugye nem véletlen, hogy az ITSH letagadja a magyar T-t, mert monjuk igaza is van, aki ismeri a hátterét tudja is.)
Na Ha szerinted, teljesen mindegy legyen biztonság technikai szempontok szerint ez így rendben van, akkor szerintem teljesen mindegy milyen kiváló szakember vagy, máshol keresendő a hiba....
Azért azt úgy Te is beláthatod, hogy mint szakember, hogy a nagy cégeknél ez bizony így működik, a magyaroknál meg jönnek a f@... lógató idióták és megmondják a frankót, mert ugye, a félelemre épített rendszer azért jó, mert akkor nem kell fizetni, nem kell halaldni és semmit nem kell csinálni ami előre vinné Magyarországot... Ja hogy ez nem cél, na látod, akkor most tulajdonképpen hibás a srác, hát milyen szempontból nézzük... Az még jobb ha az emberek nem önállóak, mert akkor még irányíthatóak is...
Ha ilyen szempontól ja semmitmondó... Kérdés mi a cél végül is igazad van,,,
The further a society drifts from truth, the more it will hate those that speak it. (George Orwell) [Work Machines: HP EliteBook, HP ProBook & Linux Mint 20 ; Entertainment: Apple Macbook AIR M1]
-
-
Chaser
titán
egy értelmes világban kapott volna egy szép egyszeri prémiumot, a "programozókat"/céget pedig azonnal kirúgják, természetesen a kifizetett pénzt vissza kell adniuk, kamatostól, és legalább ennyit kártérítésnek a bohóckodásért
nehogy már egy gimnazista legyen a hunyó ilyen b@lfaszok miatt, már elnézést
az megint gyönyörű, h te is találtál itt ahogy szavaidból kivettem kritikus hibát, és hónapok múlva javították...bazzzz, álljon rá mindenki azonnal a javításra aki kompetens benne, vagy állítsák le a fenébe a servert ha nagyobb a gond_tejesen'® joálapotpan'™_-_Hamarosan a hiányból is hiány lesz...by Samus
-
bambano
titán
"tobb mint 90 napot vartam mielott megkerestem a govcert-et.": ha 90 napig hagytad, hogy hozzáférjenek személyes adatokhoz, akkor te sokkal inkább bűnös vagy, mint a tini, akit fikázol. a govcertet azonnal megkereshetted volna, amikor kiderül a hiba, akár még a webhelyet üzemeltetők előtt.
remélem azóta olvastad a gdpr-t, amiben vannak erre határidők.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
borg25
senior tag
Te hol olvastad milangfx írásában, hogy az eset a GDPR életbe lépését követően, 2018.05.25 után történt?
Feltételezem, hogy nem önként törpként kereste a hibát a rendszeren, mert az hazánkban bűncselekmény. Ha meg valami keretében, akkor gondolom arra vagy kiírás volt, ahol leírták a szabályokat, vagy volt egy szerződés, aminek talán volt egy titoktartási nyilatkozat része is, ami leszabályozta, hogy mennyire ugrálhatott. Nem túl jó példa, de ha könyvelő vagy, s mondod az ügyfélnek, hogy adót csalt, és illene javítani az adóbevalláson, akkor ha 1 hónap múlva nem csinált semmit, akkor se nyomod fel a NAV-nak.A BKK-s botrányban pedig a srác tényleg nem volt egy szent. Amit vele tettek, az tényleg bicskanyitogató, nem kellett volna feljelenteni, a rendőrségnek így eljárni. Elhiszem, hogy a jó szándék vezérelte, s nagy tehetsége van hozzá, de érdemes lett volna, ha nem csak a hogyan hackeljük weblapot faq olvassa el, hanem, a hogyan jelezzük a bugokat faq is. Elvégre ha jó szándékú az ember, akkor azért próbálja meg hackelni a weblapot, hogy a hibát jelezhesse, szóval, ezért illene előbb azt elolvasni...
Viszont jó, hogy mondod, hogy ilyen esetben mielőtt az ember aláírná az etikus hackelésről szóló szerződést jelezze, hogy ácsi, gondok vannak, mert a GDPR is szabályozza, hogyha valamit találok, és az személyes adatot is érint, akkor azt nekem x napon belül az állam felé is jeleznem kell.
-
bambano
titán
"Te hol olvastad milangfx írásában, hogy az eset a GDPR életbe lépését követően, 2018.05.25 után történt?": te hol olvastál olyat, hogy a gdpr 2018. 05. 25. után lépett életbe?
te hol olvastál olyat, ami kizárja, hogy a gdpr előtt más törvény rendelkezése alapján is kötelező lett volna bejelentenie?
te hol olvastál olyat, ami kizárja, hogy a józan ész alapján tegyen bejelentést?"Feltételezem, hogy nem önként törpként kereste a hibát a rendszeren, mert az hazánkban bűncselekmény. Ha meg valami keretében, akkor gondolom arra vagy kiírás volt, ahol leírták a szabályokat, vagy volt egy szerződés, aminek talán volt egy titoktartási nyilatkozat része is, ami leszabályozta, hogy mennyire ugrálhatott.": én meg nem feltételezem, hogy szerződés alapján végzett éles rendszeren biztonsági teszteket, majd az eredményt felnyomta a govcertnél.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
borg25
senior tag
Írta, hogy 90 napot várt. Ez szerintem megfelel a "józan ész alapján tegyen bejelentést" elvnek. Általában ennyi idő után szokás a feltárt sérülékenységet nyilvánosságra hozni. Ő jelezte a hatóságoknak.
Én olyat olvastam, hogy az engedély nélküli hackelést az infotörvény bünteti. Ezért nem is csinálnám hobbi célból, csak, hogy megkereshessem a céget, hogy bénák vagytok, én meg ügyes. Ha nem vagyok kellően körültekintő és anonim, akkor egy ilyen bejelentés után teljesen törvényesen ugrálhatnak át a rendőrök hajnali 4kor a kerítésemen.
Igazad van, ne legyünk jóhiszeműek, hogy szerződés/felhívás alapján járt el, viszont írta, hogy szólt a govcertnek.
Viszont a Govcertes bejelentés is szó-szó. Most így elolvasva, ők
a magyarországi kommunikációs hálózat
állami/önkormányzati intézmények
állami/önkormányzati (rész)tulajdonú vállalatok
stratégiai fontosságú vállalatok
esetén illetékesekIlletve (önként) vállalták, hogy ezen a körön kívüli intézményekre vonatkozó biztonsági incidens bejelentéseket is fogadnak, és azt továbbítják az érintett szervezet felé. Az mondjuk érdekelne, hogy ki ez a szervezet?
pl. Nagymami Bt weblapja esetén a Nagymami Bt-nek szólnak ők is, vagy szólnak a rendőrségnek is, naih? Vagy NSA-hoz hasonlóan építik a tudásbázist, hogy kell betörni a Nagymami Bt weblapjára?Ha személyes adathoz nem lehet hozzáférni, akkor nem tudom, hogy egy ilyen bejelentés mit ér?
Új hozzászólás Aktív témák
- AirPods Max - Silver (Hibátlan és tökéletes állapot, tulajdonképpen új, pár napot volt használva)
- LEGJOBB ÁR! GAMER PC - RTX 3070 - Ryzen 5500 - 16GB DDR4 - 500GB Nvme SSD
- ÚJ Playstation 5 CFW képes (feltörhető), lemezes
- ÚJ Dell Vostro 3520 - 15.6" IPS 120Hz / i5-1235U / 8-16Gb DDR4 / 512Gb / HUN backlit / 3 ÉV GAR.
- Nikon D7000, Tamron 18-270mm, Sigma 150-500mm
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen