Új hozzászólás Aktív témák
-
Nem, nincs nyoma. Ha te találtál egy gyenge pontot, azon bemész, annak kifelé nem marad látható nyoma.
Befelé lehet, de azt kintről nem látod.Nagyon egyszeru ellenpelda:
Adott egy Unrestricted File Upload. Feltoltesz egy web-shell-t. Egy harmadik fel ezt megtalalja, mert rendkivul elmesen shell.php-nak nevezted es a scannere rafutott a site.com/shell.php-ra.
Megvan kintrol a lathato nyom. Magat a file uploadot nem is kell megtalalni, hasznalhatja azt az 'ajtot', amit te kinyitottal. Sot, lehet, hogy a file upload bug javitva lett vagy mar nem is letezik ilyen feature, de a backdoorod meg mindig ott van. -
#19482368
törölt tag
Értem amit mondasz, elsőre is megértettem. De véleményem szerint nincs különbség. Teljesen mindegy hogy etikusan, vagy etikátlanul él vissza az illető. Jogi értelemben, bűncselekménynek minősül mind kettő.
Az hogy valaki azt álltja magáról ő etikus hacker, és csak a sérülékenységeket térképezi fel, csupán jó indulatból, már önmagában ellentmondásos. Talán pont azért, mert nincsenek a szabályok lefektetve, a célpont nem ismeri a támadót, és semmire nincs garancia. Csak az hogy a támadó azt állítja magáról, ő etikus hacker, de mint tudjuk, mondani mindent lehet. Számomra pont annyira összeférhetetlen, mint amikor azt állítja valaki milyen jó fejek azok az emberek akik különböző programokhoz crack-írnak.
Persze jó fej annak a szemében aki nem tudja megfizetni a terméket, de egyáltalán nem jó fej annak a csapatnak a szemében aki profit reményében pénzt, időt, energiát fektet a program megírásában. Na most akkor jó fej, vagy nem jó fej? Minden csak nézőpont kérdése.A támadás nem feltételezi a rossz szándékot Dehogynem, én még soha nem hallottam jó indulatú támadásokról. Illetve ez is nézőpont kérdése. pl ha a konkurencia web szolgáltatását folyamatosan ddos támadást kap, vagy tönkre teszik a webshop-ját az számomra jó, mint konkurencia, mert az ő ügyfelei is hozzám jönnek. De a támadott fél szemében ez közel se mondható el. Ismét csak nézőpont kérdése.
Az a helyzet, hogy azok a cégek, ahol nem fér bele egy ilyen vizsgálat költsége, annak csupán anyagi okai vannak sok esetben. Az hogy egy ismeretlen magát etikus hacker-nek kiadó láthatatlan személy, engedély nélkül vizsgálatokat kezdeményez nem jelenti hogy valóban a jó indulat vezérli. Főleg napjainkban. Okkal feltételezi a célpont hogy a felé induló támadás rossz indulatú. Főleg hogy nem adott ki ilyen jellegű megbízást. Gyakorlatilag, azon csodálkozom hogy mint emberi hiba tényező miért nem említik meg soha. Pl.. Jahh főnők a múlt héten egy jó fej etikus hacker feltárt sok sok sebezhetőséget, ő azt mondta nem élt vissza semmilyen személyes adattal. Látod főnök, vannak még jó fej srácok akik ingyen is elvégzik a rendszeren a sebezhetőséget. Bezzeg a szemét cég, képzeld főnök óránként 25.000Ft/fó óradíjat akart felszámolni nekünk ezért, és ő merő jó fejtségből ingyen elvégezte.
Ugye milyen vicces? Mert véleményem szerint közel se vicces. Semmi garancia nincs semmire, nincs ledokumentálva semmi, ami van az vagy úgy van, vagy nem. Tulajdonképpen azt se tudod ki az illető, mert mondani leírni mindent lehet. Számomra még mindig az az etikus hack, amikor megbízok célorientáltan egy céget, akinek ez a munkája hogy vizsgálja meg a rendszer sebezhetőségét, hogy min kell probléma esetén változtatni. Erről kapok egy jegyző könyvet, ledokumentálva miben mi a gyenge láncszem. És akár javaslatot add, mire cseréjük, javítsuk a problémás területet. Ez az etikus hack, minden más meglehetősen képlékeny.
-
Egon
nagyúr
Azért ennél sokkal bonyolultabb a kérdés.
Ha legalizálod a kéretlen etikus hackelést, az összes rosszindulatú támadó azzal fog takarózni, hogy "de hát ő csak etikusan nyomult", és ennek ellenkezőjét adott esetben rettentő nehezen lehetne bebizonyítani.
A jó irány szerintem inkább az, hogy törvényileg kell szabályozni, hogy a kritikus szektorokban legyen mundjuk évente sérülékenység vizsgálat (ahogy most a bankoknál, bár ott (is) sajnos olyan jó magyarosan sikerült mindezt megvalósítani, monopol helyzetbe juttatva a Hungi-t...
).Állami és energia szektorban végzett sérülékenység vizsgálatok és IT biztonsági auditok szakmai projektmenedzselését végzem lassan egy éve, van rálátásom a kérdésre. Egy normális sérülékenység vizsgálat meg van tervezve, ha lehetséges akkor a teszt rendszeren van kezdve, rendelkezésre állnak kapcsolattartók, akik adott esetben közbe bírnak avatkozni, ha mégis leülne a vizsgált rendszer - ez mind nem adott egy (akár jó szándékú) amatőr próbálkozása során. Mi van, ha történetesen egy adott rendszert véletlenségből elkerülnek a fekete kalaposok (mert éppen érdektelen, esetleg nulla profittal kecsegtet), de egy ilyen amatőr leülteti?
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Persze jó fej annak a szemében aki nem tudja megfizetni a terméket, de egyáltalán nem jó fej annak a csapatnak a szemében aki profit reményében pénzt, időt, energiát fektet a program megírásában. Na most akkor jó fej, vagy nem jó fej? Minden csak nézőpont kérdése.
).Új hozzászólás Aktív témák
it A történet jól rávilágít arra, hogy milyen sikamlós terület, milyen szürke zóna a kéretlen hackelés, milyen problematikus a megítélése. De egy kívülálló könnyen börtönben találhatja magát.
- Kertészet, mezőgazdaság topik
- sziku69: Fűzzük össze a szavakat :)
- Yettel topik
- Windows 10
- Samsung Univerzum: Az S23-at is megbabonázta a Galaxy AI
- Diablo IV
- Gaming notebook topik
- Villanyszerelés
- Futott egy Geekbench kört egy új HTC készülék
- Magga: PLEX: multimédia az egész lakásban
- További aktív témák...
