- Otthoni hálózat és internet megosztás
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Az USA nem akarja visszafogni Kína növekedését
- Súlyos adatvédelmi botrányba kerülhet a ChatGPT az EU-ban
- DIGI internet
- Windows 11
- A pápa egyre jobban tart a romlott AI veszélyeitől
- Milyen routert?
- Debian GNU/Linux
- Windows 10
Új hozzászólás Aktív témák
-
válasz
#19482368
#23
üzenetére
"Pl ha egy etikus hacker felkérés hiányában nekilát hogy feltárja a sebezhetőségeket, valójában nem segít, hanem plusz költséget termel."
Ha meg egy nem etikus hacker nekilát, hogy hülyére keresse magát az ügyfelek adataival, akkor esetleg bedőlhet a cég is. Sokkal jobb!
Mutogatni való hater díszpinty
-
válasz
#19482368
#29
üzenetére
Ööööö, ha te kihasználsz egy biztonsági részt, az nem feltétlen marad ott nyitva mindenki másnak is
Pláne, ha ügyes vagy. Nem fogja senki más észrevenni a cég security-jén kívül esetleg, hogy ott jártál.Ha meg csak a célpont ad megbízást, akkor izélhatod, nincs az a hülye célpont, aki fizetne érte, míg a saját kárán meg nem tanulja, hogy a biztonság nem vicc. Csak akkor már késő.
Melóhelyen is hallottam már, hogy ha lelépsz adatokkal olyan jogászcsapat van, hogy szétperelik a gatyád...
...igen, de a károkozás már megtörtént, és a konkurrencia hozzájutott ahhoz, ami kellett neki.Szóval nem tudom, ha valaki szól nekem, hogy nyitva a táskám, és kilógnak a cuccaim, akkor nem vágom fejbe...
[ Szerkesztve ]
Mutogatni való hater díszpinty
-
#48
Depression
veterán
#19482368
#16
Depression
veterán
válasz
#19482368
#16
üzenetére
Az a baj, hogy pontatlan a megfogalmazás. Ez nem lakás, hanem egy iroda.
Jön egy betörő (és ezzel már meg is van, hogy mi a megnevezése) , aki a hecc kedvéért betör az irodába, és hozzáfér az ott dolgozók adataihoz. Majd szól, hogy jó lenne lecserélni a zárat, mert bármelyik másik betörő is simán bejut.
Eddig elég egyértelmű a helyzet.
Na de a betörő megint visszamegy, és látja, hogy semmi sem történt. Berág, és figyelmezteti az ott dolgozókat, hogy megvan minden adatuk, le fénymásolt mindent, mert az iroda üzemeltetője nem csinált semmit.
Az iroda üzemeltetője feljelenti a betörőt, az megy a börtönbe, és ezzel vége a sztorinak.Látod, hogy hol van ebben a gubanc?
Orr alatt hordott szájmaszk pont annyit ér, mint a herére húzott koton.
-
#50
Depression
veterán
#19482368
#49
Depression
veterán
válasz
#19482368
#49
üzenetére
Nincs semmi bajom azzal, hogy a betörő, az betörő.
Azzal van bajom, hogy az irodavezetőt nem vonják felelősségre, mert nem a saját dolgait vitték el, hanem másokét. Ezért is irodaként írtam.
És akkor térjünk vissza az eredeti felálláshoz: Miért nem megy inkább fejjel a falnak? Betör, ellopja az adatokat, kirakja nyilvános helyre, és feljelenti névtelenül a céget. Nem kerül börtönbe, és a GDPR alapján meg fizethet a cég mint a katonatiszt.Mert ebből engem csak az érdekel, hogy azok az oldalak ne tartsák elérhető helyen a bankkártyaadataimat és a jelszavamat.
[ Szerkesztve ]
Orr alatt hordott szájmaszk pont annyit ér, mint a herére húzott koton.
-
válasz
#19482368
#44
üzenetére
Kifelejtetted azt a plusz opciós lehetőséget, mikor az önjelölt jó szándékú anonim hackerünk azért dolgozik nekünk ingyen, mert a konkurencia megbízta, hogy térképezze fel a rendszereinket.
Megadta azt a 9 sebezhetőséget, ami érdektelen, a 10. sebezhetőséget, ami a banki rendszerhez ad hozzáférést, illetve a 11-et ami a konkurenciának kell, azt nem.
Mivel ingyen dolgozott, még nem is felelősségre vonható, hogy félreinformált, téves biztonságba ringatott, illetve azt is hitte a vezetés, hogy a munkája ért annyit, mintha kifizetnek egy 1 óra vizsgálatot egy okleveles, nyilvántartásba vett hackernek. -
válasz
#19482368
#62
üzenetére
Tudok mondani még rémisztőbbet, amit a GDPR nyitott meg.
Ha önjelölt hackerünknek a profitmaximalizálás a célja, akkor mondhatja azt, hogy
a. Biztonsági hiba feltárása, csak itt csak most neked 100eHUF
b. Béna voltál, leszedtem a személyes adatokat, ahhoz, hogy ne posztoljam, s ne kapj mondjuk egy millás bírságot elég ha utalsz 0,25 bitcoint (465eHUF)Utóbbi már kőkemény zsarolás, dehát az elérhető profit is 5x, és ha sikerül személyes adathoz hozzáférni, akkor miért ne? Laptop se ingyé van.
Ha pedig már kinyílt Pandora szelencéje, akkor ne álljunk már itt meg, ha a konkurenciát megbírságolják, az sose fáj, és hát vesszen minden Piréz vállalat is, ők úgy is mások. -
#74
justmemory
senior tag
#19482368
#73
justmemory
senior tag
válasz
#19482368
#73
üzenetére
Na hát igen, pont ez az... Mármint az elmélet és a gyakorlat, és ezért is írtam, hogy vajon van-e és ha igen, milyen mélységű és minőségű egyeztetés.
Az elméleti kérdésemre adott válasz alapján meg akkor ugye rögtön elvileg egyértelmű, hogy noha én jó szándékkal törtem fel, sőt szólok is, hogy bizony ez a WPA/WPA2 nem valami hatékony, bűncselekményt követtem el; megdicsérni biztosan nem fognak érte.--- Imprisoned, inside this mind... --- Joined at the soul with a pair of headphones ---
-
válasz
#19482368
#44
üzenetére
Amúgy a topic pont arról is szól, hogy nem lenne-e érdemes jogilag is értelmezhetővé tenni az ilyesmit. tehát mondjuk egy ilyen lehetőséget adni, hogy ha bejelentesz egy általad feltárt sebezhetőséget, akkor legálisan megtehesd, és ne attól kelljen félni, hogy elvisznek? Ez erősen win-win eset.
(Akár ledokumentálod, amit találtál, a megfelelő hatóságok felé, bizonyítva, hogy nem okoztál kárt, stb.)
Ugyanis ahogy egyéb közösségi dolgokban, abban is ott van az a potenciál, hogy olyan dolgokat láthat meg valaki, amiket egy biztonsági cég nem. Több szem mindig többet lát.
Pláne, hogy itthon eszébe nem jut senkinek a hálózatát auditáltatni."A támadás nem feltételezi a rossz szándékot Dehogynem, én még soha nem hallottam jó indulatú támadásokról. "
Biztonsági auditor cégek szoktak olyat csinálni
Amúgy ha a támadás annak érdekében történik, hogy kiderítsd, milyen sebezhetőséget vannak, s nem lopsz el semmit stb., akkor máris lehet jó szándékú."Az a helyzet, hogy azok a cégek, ahol nem fér bele egy ilyen vizsgálat költsége, annak csupán anyagi okai vannak sok esetben."
Aha... vagy azt se tudják, hogy kéne, vagy nem érdekli őket."Az hogy egy ismeretlen magát etikus hacker-nek kiadó láthatatlan személy, engedély nélkül vizsgálatokat kezdeményez nem jelenti hogy valóban a jó indulat vezérli."
Hát, ha szól neked, hogy nem vagy rendben, akkor valószínűleg, különben miért hívná fel magára a figyelmet? (Utánad Borg vagy ki is írta, hogy mi van, ha elhallgat egy lyukat? Hát akkor hülye lenne közölni veled, hogy ő nézte a hálózatod... )
Amelyiket nem a jó vezérli, arról nem hallasz, miközben messze jár az adataiddal. Utóbbiból amúgy van pár, azaz akármilyen eszközt kiteszel publikusan a netre, úgyis jönni fognak a támadások... Ha akarod, ha nem... Ha engedi a jog, ha nem..." Bezzeg a szemét cég, képzeld főnök óránként 25.000Ft/fó óradíjat akart felszámolni nekünk ezért,"
Ha valakinek esze van, akkor nem vár az etikus hackelésre, de ha már jött egy figyelmeztetés, hogy lyukas a hálója, akkor intézkedik. Mármint nem feljelenti a hackert, hanem kijavítja a hibát." Semmi garancia nincs semmire, nincs ledokumentálva semmi, ami van az vagy úgy van, vagy nem."
Könnyen ellenőrizheted, ha megnézed a hálód... És ha tényleg hibás?
És ha feltörik a hálód egy nem dokumentált hiba segítségével, akkor mi lesz? Szólsz, hogy hé, az nem volt dokumentálva, nem lophattátok el a cuccokat?
Nekem egy olyan, mint a texasi farmer, az adóellenőr, meg a bika esete.
S ahogy fentebb írtam, ha lehetőség lenne úgy bejelenteni az ilyesmit, hogy hivatalosan is vállalod, abban mi baj lenne?Mutogatni való hater díszpinty
-
válasz
#19482368
#98
üzenetére
Nem azonosulni kell vele. Nekem van egy véleményem, leírtam.
A képzés után sem lehet azt, hogy ha valahol észreveszel valami hibát (mint a BKV-s csávó) bejelented, és az a helyén lesz kezelve, nem bűncselekményként. Csupán azt akartam jelezni, hogy ezen jó lenne változtatni.
"Minden más önjelölt etikus hacker tevékenység mögé bújva nekiesnek egy rendszernek nem etikus hacker. Hanem közönséges bűncselekmény."
Ha nem okoz kárt, hanem jelzi neked a hibát, akkor mitől kéne bűncselekménynek lennie?
Mert ha kárt okoz, vagy nem jelzi, akkor simán az. De ha nem származik hátrányod?"Igen mindezt szerződés kötés után, ahol mint jogilag, mint erkölcsileg minden le van dokumentálva. "
Attól még támadás. És jóindulatú. Az volt a bajod, hogy nincs jóindulatú támadás - de, van."Biztos sok ilyen vállalkozás, közintézmény van, ahol nem halottak róla, illetve ha hallott is róla, nem tudja kitermelni annak költségét."
Tök jó, és akkor annak költségét ki tudja, ha ellopják az adataikat? Pláne egy közintézményből a te adataidat lopja el valaki?
Ebben az esetben a legkevésbé az érdekel, hogy le van-e dokumentálva (anyám, ha az etikus hacker jelzi, hogy milyen hibád van, az már dokumentálás), hanem hogy ne legyen hiba!Részemről itt fejeztem be, mert ennél jobban nem tudom elmagyarázni, hogy nem kéne mindenkit egy kalap alá venni.
[ Szerkesztve ]
Mutogatni való hater díszpinty
-
válasz
#19482368
#100
üzenetére
Amennyire eddig láttuk, a valóság kicsit különbözik. Nem csak az lehet etikus hacker, aki vizsgás, hanem anélkül is.
A biztonsági rés, meg a nem etikus hacker, meg továbbra sem kérdez."Nincs semmire garancia."
Mire legyen?
Jön egy levél, hogy hibás az oldalad, javítsd ki, mert veszélyes. Tényleg hibás? Tényleg! Mire akarsz garanciát? (Azt inkább attól a bandától kell követelni, aki a hibás cuccot összerakta.)Szóval lehet, hogy valamilyen szinten van tövényes lehetőség, de pont ez volt a cikkben felvetett probléma : jó-e így a szabályozás? Mert valószínűleg nem.
Pont ezért : "Az már más kérdés, ki hogyan éli meg. Lehet megköszöni, de lehet hogy eljárást indít az elkövető ellen. Mind kettő benne van a pakliban, és mindkettő lehetőséggel számolni kell."
S mi lenne, ha azzal, hogy lenne törvényes _bejelentési_ lehetőség is, a hatóság nem egyből börtönnel meg büntetéssel reagálna, hanem együttműködéssel?
Részemről az adómból szívesen áldoznék erre, mert a magyar IT kultúra ugyanúgy a béka feneke alatt van, mint sok egyéb terület, így viszont máris sokkal több lehetőség lenne javulni.Amúgy meg
[ Szerkesztve ]
Mutogatni való hater díszpinty
-
cog777
senior tag
válasz
#19482368
#103
üzenetére
Es egy kicsit a masik oldalrol is.. jelezven hogy egy parbeszedet (altalanosan nezve) mindenkeppen meger a dolog.
Pontosan ez a probléma, hogy azok is annak vallják magukat, akik erre nem jogosultak.
Botnet nem kerdez, nem ker jogosultsagot. Jon, ut, gyoz. Menedzsment vallat von. IT biztonsagra PONT nem volt eleg forras...Sok cég biztosít erre felületet, sőt lehetőséget add arra hogy regisztráld magad. És az általad feltárt hibákat jelezni tudjad. Ahol nincs erre lehetőség, értelemszerűen adja magát. Másfelől gondolod hogy egy webshop biztosítani fog neked ilyen felületet? Ugye érted ...
már korántsem biztos hogy a rendszer hatékonyan tudd védekezni. Legfőképpen alacsony költségvetésű IT infrastruktúrák esetében.
Pont ezert kellene udvozolni a segitseget, nem? Mert elobb-utobb _biztos_ hogy tamadas eri a rendszert. Azt a webshopot amelyik lyukas mint az ementali es nem hajlando befoltozni a biztonsagi reseit azt egybol be kell zarni, helyet soval behinteni, tulajt megbuntetni es bitcoin-banyaban dolgoztatni
Egyetertek hcl-lel hogy kellene egy torvenyes lehetoseg, bejelenteni a problemakat mert nem elhallgatni kell oket hanem megszunteni. Surgosen.És mi lenne ha önjelölt emberkék nem azzal szórakoznának, hogy illetéktelenül, önkényesen neki essenek különböző rendszereknek?
Ha joszandekkal teszik akkor hajra. Kulonben majd a botnetek megteszik ugyanezt es kozben a ceg vezetes probalja elsumakolni a dolgot, mikozben a kartyaadataim esetleg Kinaban vagy E-Koreaban kotnek ki.
Az en -mint kulonbozo szolgaltatasok ugyfele- jol felfogott erdekem, hogy minel hamarabb foltozzak be a lyukakat. Nem vigasztal hogy esetleg kesobb kapott buntit a ceg, ellenben futhatok az adataim es a penzem utan.Tegnap huszmillional tobb tamadast eszleltek kulonbozo infrastrukturakban: [link]
Az a világ ami szabályokban él, ez csak természetes. Ezen az alapon a betörőknek, gyilkosoknak is buksi simogatás jár. Mert ők csak felhívták a figyelmet egy rendszer sérülékenységére.
Ez az egyik oldal. A masik hogy akkor csak a backdoor-os DES titkositast hasznalhatnad most is ja nem.. mert sikerult kijatszani az USA export tilalmanak szabalyait. Szoval most tulajdonkeppen te is nyertel a szabalyok athagasaval tehat nem fekete es feher.Az a helyzet hogy az atlathatosag mindig biztositja hogy nincs semmi hatsoszandek. Tiszta lap (-pal valo jatszas), jo kozerzet
Naivitas azt gondolni, hogy minden rendben van, ha nem engedjuk kiderulni hogy a menedzsment esetleg inkompetens IT-ben
Valahogy van az az erzesem hogy az szerinted ha nem kerul bejelentesre / nyilvanossagra egy biztonsagi res (persze a protokollt betartva, turelmi idot adva stb.), akkor az jobb biztonsag szempontjabol. Pedig nem...nagyobb cegek is beismertek mar ezt, pl az Intel is el akarta sumakolni a dolgot eloszor...Szoval +1 hcl-nek.
HP ZBook Workstation A3000 - Linux Mint; Raspberry Pi4 - Raspbian
-
válasz
#19482368
#103
üzenetére
Amennyire eddig láttuk, a valóság kicsit különbözik. Nem csak az lehet etikus hacker, aki vizsgás, hanem anélkül is.
Pontosan ez a probléma, hogy azok is annak vallják magukat, akik erre nem jogosultak.Adnek egy talalos kerdest. Szerinted etikus hacker az, aki a bug bounty platform toplistajan legalisan - de cert, vizsga es elozetes szerzodes nelkul - sok ezer dollart keres?
"Nincs semmire garancia."Mire legyen?
Látod, pont ez a különbség a valós etikus hacker, és az önjelölt között. És ezt nem akarja pár ember megérteni.Pontosan mi a kulonbseg?
-
válasz
#19482368
#109
üzenetére
Nekem azzal van bajom, amikor mindenféle felkérés, egyeztetés nélkül neki esnek emberek egy rendszernek, miközben magát etikusnak állítja be.
Pedig a bug bounty programoknal ez a helyzet. Senki nincs felkerve es nincs egyeztetes a felek kozott, megis teljesen legalis. (privat programoknal kuldenek meghivot, de az nem egy hivatalos felkeres, csak lehetove teszi, hogy elerd a programot. public programoknal viszont mindenki latja a leirast, scope-ot, stb.) Rengeteg ceg hasznalja es joval koltseghatekonyabb csak azert a hibaert fizetni, amit megtalaltak. Nagyobb scope-ot tudnak lefedni kisebb befektetessel es adott esetben az "onjelolt" hackerek tapasztalata, tudasa is nagyobb, mint amivel az erre szakosodott ceg alkalmazottai rendelkeznek.
Ezzel szemben a hagyomanyos pentestek mogott a legfobb hatjoero a torvenyi szabalyozas, ami eloirja, hogy adott idokozonkent auditalni kell a biztonsagkritikus rendszereket. Nem termeszetes modon, a felek oszinte, kolcsonos erdekeire alapulva jon letre a kapcsolat. A ceg a hata kozepere sem kivanja az egeszet, csak a papir kell neki, hogy megfelel az eloirasoknak. A low es medium kockazatunak sorolt bugok ott varnak a kovetkezo evi tesztnel is; a high risk issue-kat duzzogva, de kijavitjak, mert 90 napon belul kotelezo nekik. Ugyanakkor sokszor az "etikus hacker" is joval szivesebben dolgozna barmilyen masik bug bounty programon, ahol nincs mesterseges keretek koze szoritva es azt a celpontot tesztelheti, ami oszinten erdekli (es a program resze) es azzal a tool-lal, modszerrel, amivel jonak latja.[ Szerkesztve ]
-
MageRG
addikt
válasz
#19482368
#103
üzenetére
"És mi lenne ha önjelölt emberkék nem azzal szórakoznának, hogy illetéktelenül, önkényesen neki essenek különböző rendszereknek?"
Föl nem foghatom ezt a fafejű hozzáállást.
Mi lenne ha a fejlesztők nem hagynának biztonsági réseket? Mi lenne, ha a cégek naprakészen tartanák a rendszert? Mi lenne ha a nagyapámnam áramszedője lenne?
Sajnos együtt kell élni a realitással.A biztonsági tesztelés piszok költséges, óriási benne az asszimetria, és nagyon gyorsan avul.
Ha bejön az utcáról egy csöves és lejelent egy sechole-t, akkor is a minimum, hogy megköszönik.
Mert ingyen, szakmai kíváncsiságból végezte el azt a munkát, amiért pénzt kellene fizetni, az elmaradása meg még több pénzbe kerülhet a cégnek.
Egy bűnöző nem fog szólni. Óriási hiba az önkéntes bejelentőket jogilag felelősségre vonni.Csak összehasonlítás képpen:
Az USA-ban egy bírói balfogás miatt perelhetőek voltak azok, akik életmentés közben (vélt vagy valós) kárt tettek. Az eredményt el lehet képzelni: a segítségnyújtás elmaradása miatt többen haltak meg, mert az emberek így még kevésbé voltak érdekeltek beavatkozni.
Azóta törvény van rá, hogy ne perelhessenek, ha újraélesztés közben eltöröd valaki bordáját.
Talán nem ártana valami hasonló informatikai biztonság terén is..."What is bravery, without a dash of recklessness!"
-
AMDFan
addikt
válasz
#19482368
#109
üzenetére
Szia!
Végigolvastam a topikot, és úgy általánosságban szeretnék reagálni a hozzászólásaidra.
Szerintem nem korrekt ahogy párhuzamot vonsz a digitális világ (pl. port scannelés) és a fizikai világ között (odamegyek a lakáshoz a zárat próbálgatni). A digitális világot nagyon nehéz párhuzamba állítani a fizikai világgal és analógiákat hozni. Ez 10-15 éve is nagyon demagóg volt amikor a multimédia letöltéseket megfeleltették a lopással. A mai fiatalok számára pl. már nem kérdés, hogy a zenék ingyen elérhetőek online (mármint számukra ingyen, a mögöttes licenszek stb... az már más kérdés), és ez így normális. Az analógiád a lakásba való betörés és a szerverre való betörés között akkor lenne korrekt, ha azt látnád az utcán hogy minden egyes zárat naponta 50-60an próbálnak feltörni, mert a digitális világban ugye ez a megszokott, elég megnézni egy iptables logot. Lehet valaki 100%-ban etikus és próbálhatod ezt a nézetet terjeszteni, de a valóság az, hogy a neten nagyon könnyű anonim módon scannelni, és ezt meg is teszik, és akik megteszik, azok próbálkoznak, tanulnak, fejlődnek, és be fognak törni.Egy más aspektus pedig az, hogy milyen mértékben növeli a botnetek méretét az, hogy az IT infrastruktúrával rendelkező cégek ~98%-ka nem fizet meg semmilyen biztonsági céget hogy feltárja a hibákat, így viszont szabad prédává válhat a blackhat hackerek előtt. Ez megelőzhető lenne azzal, hogy azok a szürke zónában mozgó, de mégis etikusan eljáró hackerek, akik mondjuk csak hobbiból, vagy gyakorlásból űzik ezt az ipar, büntetlenül szólhatnának a mikrovállalkozásoknak, hogy "heló, amúgy sebezhető a rendszeretek, és csak idő kérdése, hogy ezt más is észrevegye".
Ezt egyébként a komoly cégek mint pl a google észrevették, és támogatják a bejelentéseket.
Amúgy mi a véleményed azzal, amikor nem hálózaton keresztül próbálsz meg betörni valahová, hanem egy adott szoftver sérülékenységét teszteled localhoston? (gondolok itt mondjuk egy böngészőre). -
válasz
#19482368
#114
üzenetére
"Mint írtam, több cég biztosít erre felületet, de ez mint tudjuk nem megoldás. "
Nem hát, de sokkal jobb, mint élből kriminalizálni a white hat hackereket, akik segítenek! Pont arról szólt a cikk, hogy rossz a szabályozás!
Komolyan nem hiszem el basszusMutogatni való hater díszpinty
-
AMDFan
addikt
válasz
#19482368
#117
üzenetére
Ideologizált világot képzelsz el. Mit jelent az, hogy szigorítanád a black hat hackelést? Hogyan? Ez egy elméleti lehetőség amire gondolsz, de a gyakorlatban működésképtelen. 10 év börtönt adnál egy SQLi-ért? Hogyan találod meg az elkövetőt aki TOR-on keresztül megtört egy szervert, majd azon keresztül X másikat, amiket szépen egymásra felfűzött, és úgy támadja a cégedet? Sehogy.
A kis cégek mindig védtelenek maradnak majd, akiket könnyen betámadnak, mert 10 éve a szomszéd főiskolás srác írt nekik egy PHP siteot... Nem folytatom.
[ Szerkesztve ]
-
AMDFan
addikt
válasz
#19482368
#121
üzenetére
"Pontosan erről szól részemről az egyik sztori. Hogy Marika néni virágboltja, fodrász web oldala stb ... teljesen felesleges etikus hacket csinálni, mert nem fog tudni mit kezdeni vele. Max vissza állíttatja valami régi backup-ból. Tehát teljesen felesleges az erődemonstráció, mert célját nem éri el. Innentől kezdve meg minek... hacsak nem visszaélni akar vele, viszont ebben az esetben nem beszélünk etikus hackröl. És teljesen más a story."
Pedig pontosan ez az amit fontos lenne megérteni, hogy ezekből a szerverekből lesznek a legkönnyebben botnetek. Az az általános, hogy az első pár ethical hacking youtube kurzus után, az ember elég sok olyan siteot talál amit könnyedén feltör. Ez azt jelenti, hogy rajta kívül még jó sokan törték már meg, vagy fogják megtörni azt a siteot. A feltörés nem minden esetben jelent észrevehető károkozást, vagy "defaceelést". Nincs itt szó erődemonstrációról. A feltörések nagyrésze észrevétlen marad, mert nem fog semmit megváltoztatni a behatoló, csak elkönyveli, hogy van még egy shellje a botnetjében. És ez egy fontos dolog, sőt, talán a legfontosabb dolog: a motiváció. Mi az ami motivál valakit a hackelésre? Mi motiválja a black hat, és mi motiválja a white hat hackereket? Nagyrészben ugyanaz. Érdekesség, személyes fejlődés, technológia iránti érdeklődés, a rejtvény megoldása. A technológia, a tudás, a tudásba fektetett energia, ezek mind azonosak mindkét oldalon. És nekem van egy olyan erős sejtésem, hogy nagyon nagyon kevés olyan etikus hacker van a szakmában aki sosem követett el olyat, hogy "csak megnéz 1-2 dolgot egy távoli gépen"
Ez tényleg nem fekete és fehér. A "100%-os DDOS meg a deface-elt website" és a "még egy nmapot sem futtatok le engedély nélkül" között azért elég széles skála van még.UI: még hozzátenném, hogy anno a mi cégünket is megkereste egy etikus hacker, hogy sebezhetőségeket talált a szerverünkön, leírta, hogy miket, és ha szeretnék bővebb infót akkor keressük meg. Megköszöntük neki, hogy szólt, a hibákat kijavítottuk mi magunk. Ezzel ő egy forintot sem keresett, viszont mi ki tudja mit előztünk meg a jövőre nézve. Én ezt etikusnak tartottam akkor is, és most is.
[ Szerkesztve ]
-
válasz
#19482368
#124
üzenetére
"UI: még hozzátenném, hogy anno a mi cégünket is megkereste egy etikus hacker, hogy sebezhetőségeket talált a szerverünkön,......
Nos ez a jobbik eset, és feltételezhető a valódi jó indulat. Viszont, sok esetben napjainkban ez közel se mondható el."
Bazz én erről pofáztam végig. Ezek tekinthetők etikusnak. A többi nem. (DDOS-olni meg mindenki tud, egy etikus hacker azt pont nem fog.) Egy ilyet miért kéne rendőröknek elkapni? Milyen kárt okozott?Amúgy, a közlekedésben is van műszaki vizsga, és a hatóságot sem érdekli, hogy te ki tudod-e termelni a gépjármű árát, ha pl. munkaeszköz. Ha nem biztonságos, nem közlekedhet.
Amúgy ha Marika néni virágboltos oldalán találsz valami sebezhetőséget, akkor miért kéne backupból visszaállíttatnia? Nem zúzza le, az etikus hacker csak megvizsgálja. Nem válik elérhetetlenné.
De ha Marika néni oldalán keresztül megtörik a hosting szervert (mert nem voltak kijavítva a hibák), akkor igencsak zabos lesz valaki.[ Szerkesztve ]
Mutogatni való hater díszpinty
-
válasz
#19482368
#126
üzenetére
Senki nem mondta hogy megoldás bármire, ha vannak etikus hackerek. De ugyanakkor, ha jó szándékkal jár el, akkor ne büntessük már!
Ha nem jó szándékkal jár el, azt amúgy meg sem tudod. Azt nem szokták bejelenteni.
Vagy max. akkor jössz rá, ha a usereid elkezdenek balhézni, hogy ellopták az adataikat."Bár értem a hasonlatot, sajnos az informatikában ez közel se így működik, jelen pillanatban."
Ez pl. baj."Mert mondjuk, vissza tért a vélt etikus hacker, és nem látott semmi változást ezért szétbarmolta a ......."
Azon kívül, hogy ezt te költötted hozzá, sokadszorra nem érted, hogy ha ilyet csinál, akkor nem etikus hacker, és jogos a bünti. De végig arról volt szó, hogy az etikus hacker nem okoz kárt. Ezt miért ilyen nehéz felfogni? Amint szándékosan kárt okoz, nem etikus."Ha Marika néni web oldalán keresztül megtörik a hostingot, baromira nem fognak vele foglalkozni. "
He?
Lehet, hogy Marcsit elviszik a yardok, ha a rossz szándékú hacker megfelelő bizonyítékokat gyártott... De az az alap, hogy úgy szórják le a hosting szolgáltatásról, ahogy van.
Haverék újságja egyszer beszívott valami vírust (windózon futott a hosting szerver, és valahogyan odakerült valami file, amiben vírus volt - nem tudni mi, nem ők rakták oda, tehát más gyanús dolog is volt, viszont nem törték meg őket, azt végignéztük)
Megkértek, hogy nézzem meg, miért elérhetetlen az oldaluk : a hoston futó vírusirtó megtalálta a file-t, és blokkolta az adott accountot. Pár napig veszekedtek a hosting szolgáltatással, mire újra ment az oldal.
Szóval a biztonsági slendriánság miatt igencsak megszívhatja, jobban, mint ha etikus hackerrel találkozik.Mutogatni való hater díszpinty
-
válasz
#19482368
#128
üzenetére
Nem nem akarom érteni, csak ez az "önkényesen nekiesel valaminek" annyira erőltetett
Teljesen csőlátással persze, hogy értelmezhetetlen. Mint ahogy te meg Borg azt hiszitek, hogy kárt okoz... nem, az etikus hacker nem okoz kárt, amelyik kárt okoz, az meg nem etikus. Mintha nem azt olvasnátok, amit írnak nektek (nem csak én többen itt).Mutogatni való hater díszpinty
-
Pláne, ha ügyes vagy. Nem fogja senki más észrevenni a cég security-jén kívül esetleg, hogy ott jártál.
Amúgy ha a támadás annak érdekében történik, hogy kiderítsd, milyen sebezhetőséget vannak, s nem lopsz el semmit stb., akkor máris lehet jó szándékú.
Új hozzászólás Aktív témák
it A történet jól rávilágít arra, hogy milyen sikamlós terület, milyen szürke zóna a kéretlen hackelés, milyen problematikus a megítélése. De egy kívülálló könnyen börtönben találhatja magát.
