Új hozzászólás Aktív témák

  • noPublicFG

    senior tag

    Az etikus hackelés jó dolog, akkor is, ha hivatalosan (magyarországon) nem számít legális tevékenységnek a szabadúszók tevékenysége.
    (Sajnos abból indulok ki, amit magam is tapasztaltam korábban. A cégvezetés nem értette mi is az informatika, illetve miért is kell nekik pénzt költeni a hálózat fenntartására és védelmére. Sajnos a védelem, mint kifejezés érthetetlen volt számukra, és gondolom sok más cégnél is felfoghatatlan, ha a céges gép ott van előttem az asztalon, akkor miért nem elég a kapuban álló biztonsági őr?) Innen tovább gördítve a gondolatot: Amikor a legolcsóbb hostinggal kell szerződést kötni, nulla támogatással, na az a csillag a korona tetején. A fentiekből kifolyólag, a szürkezónás etikus hackelés (is) a hozzá nem értő vezetők miatt elítélendő (magyarországon).
    Személy szerint viszont támogatom.

    plus ça change, plus c'est la même chose

  • hcl

    félisten

    LOGOUT blog (1)

    Akinek esze van, az rájön, hogy ha valaki hibát talált, és szól nekem, az jót akar. Nem kihasználta, nema konkurrenciának adja el...
    Ilyen esetben felnyomni az illetőt, igazi házmestertempó.

    Mutogatni való hater díszpinty

  • Mr.C

    őstag

    válasz hcl #2 üzenetére

    csak hát az igazság és a jog az két különböző dolog a legtöbb esetben... ha nincs szerződése akkor igazságtalan a jószándékút felnyomni ellenben a cselekedet jogos...

    sudo rm -rf /*

  • 0xmilan

    addikt

    önmagát etikus hackerként definiálta
    lel.

    Eleg par bekezdest elolvasni a blogjan.

    Az 'etikus' meg az en olvasatomban is ott megall, hogy megtalal > jelent.
    Nem megtalal, belep, kihasznal, adatbazist dumpol, fajlokat torol, stb. > jelent.
    Az a kalap erosen szurke; nem frissen mosott hofeher.

  • Snoop-y

    veterán

    válasz 0xmilan #4 üzenetére

    Ha dumpol es torol akkor meg csak nem is szurke... :(

    New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

  • Fred23

    nagyúr

    "Nagyjából szakmai konszenzus van arról, hogy etikus hackernek csak az nevezhető, aki a törvények betartásával végzi tevékenységét – pl. megbízásra, kontrolláltan. A partizánakciók szinte mindegyike átlépi a törvényesség határát – még akkor is, ha az illetőt a jó szándék vezérli."

    Vagyis ha nem kérnek fel senkit, akkor nem is lesz látható biztonsági rés, tehát "mindenki" jól jár. :DDD

    Illetve mi a garancia arra, hogy akit jó pénzért felkérnek, az jó munkát fog végezni? Ott is profitábilisabbnak tűnik az a megoldás, hogy "nem találtam semmit, adhatjátok a pénzt (hiszen azért is engem választottatok, hogy ne találjak semmit)!

    [ Szerkesztve ]

  • NandoXXL

    senior tag

    Anonim módon kellene bejelenteni, és nem elhencegni a darkweben ;] Utána ha problémáznak mehetnének a levesbe, elvégre én sem szeretnék olyan céget aki nem vigyáz az adataimra. Kivéve kórházak stb. otta működés az első.

  • borg25

    senior tag

    LOGOUT blog

    válasz Fred23 #6 üzenetére

    Vagyis ha nem kérnek fel senkit, akkor nem is lesz látható biztonsági rés, tehát "mindenki" jól jár
    Hibás a következtetés.

    Feltörhetetlen rendszer nincs. Az, hogy egy etikus hacker tegnap azt mondta, hogy nem tudja feltörni a rendszert nem jelenti azt, hogy ma már nem tudná, vagy nála jobban hozzáértő tegnap se tudta volna. Azt se jelenti, hogyha több embernap vizsgálatot fizettek volna, akkor nem-e talált volna végül fogást a rendszeren.

    Ha nem csak egy 3 napos gyorstalpalón szerezte a képzést két hete, hanem évek óta nyomja, és gyűjtötte a tapasztalatokat az etikus hackerünk, akkor elég nagy valószínűséggel megtalálja a kiskapukat, vagy igen jó részét. Az ismert sebezhetőségeket nyilván végigpróbálta, tehát aki fel akarja törni a rendszert annak jobb ötlettel kell próbálkoznia, mint a routeren a default jelszó használata...

    Nem vagyok etikus hacker, csak érdekel a téma, tudtommal elég szép sebezhetőségi listát össze tudnak állítani. Ha meg biztosra akar menni a cég, ő is megteheti, hogy átmenetileg elrejt egy sebezhetőséget a rendszeren, hogy vajon hackerünk megtalálja: pl Biztonsági frissítés felrakásával várnak, jelszót primitívre állítják.

    Igazság szerint nem is cél az összes hiba megtalálása. Valójában a cég semmire se megy azzal, ha tudja, hogy mik a sebezhetőségei, neki azt kell tudnia, hogy az elkövetkezendőkben mire kell költenie, hogy a biztonságot a lehető leghatékonyabban tudja növelni. Vagy kiválaszt egy rendszert pl gyártósor vezérlés és azt teszi biztonságossá.

  • mikej95

    aktív tag

    válasz Fred23 #6 üzenetére

    Hát persze, az illegális tevékenységek be vannak tiltva, így senki sem csinál olyat. Csak néhanapján olyanok akik nem értik meg a törvény szövegét, mint ezek az etikus hekkelek.

    Szerződéses melóra is láthattunk nemrég igazi magyar példát. Kürt Zrt. a tesztek során megállapította, hogy a választási rendszer le fog halni. Kivitelező semmit sem csinált. Összeomlás bekövetkezett betűre pontosan. NVI konklúziója: Kürt a hibás, nem a kivitelező cég. Ezután hatalmas néma csönd következett, mert rájöttek mit sikerült nyilatkozniuk...
    Ezen a ponton már a füstszűrős sapka sem segít.

    @borg25 Nem tudom eldönteni, hogy Fred23 poénja nem jött át vagy csak simán rákontrázol.

    Azt viszont nem tudják, hogy mi nem tudjuk azt, amiről ők úgy tudják, hogy tudjuk.'

  • borg25

    senior tag

    LOGOUT blog

    válasz mikej95 #9 üzenetére

    Fred23 megállapítása vicces is, és fájóan igaz is.
    Állambácsi környékén sok az olyan eset, mikor az a jó, ha kiderül, hogy nincs semmi baj. Nem csak IT biztonság hanem más ellenőrzési területen is. :(
    Magánszektorban is lehet ilyen nézet, mikor a biztonságot, minőségbiztosítást nyűgnek érzik, amit csak ki kell pipálni, és nem kéne mélyen megkaparni.
    Aztán, van olyan is, mikor belátják, hogy ez tényleg érdek, és egy minőségbiztosítás hozzáadott értéket is jelent, nem csak egy papírt, ami a pályázás feltétele. Mikor tényleg felvetődik a kérdés, hogy lehetek hatékonyabb és biztonságosabb...

  • Döglött Róka

    veterán

    Jól látom, hogy az ember csak SQL injection-t csinál?

    Ikea Tafjord, Kínai indukciós töltő, Victorinox Traveler, 10 Tojás M (3 már hiányzik),Rádiós ébresztőóra piros kijelzővel, Varta akkutöltő

  • Lacc

    aktív tag

    válasz mikej95 #9 üzenetére

    Pedig igaza van a definíciót illetően. (1. bekezdés, a többivel én sem értek egyet).
    Etikus hacker alatt a Fehér kalapos hackeret értik, és a legfontosabb, hogy legyen szerződése (de nem akármilyen), ez benne van a nemzetközi etikus hacker képzési tananyágban is.

    Nem szabad a fogalmat keverni a szürke, fekete, script kiddi, hacktivista, stb fogalmakkal.

    Az más kérdés, hogy nem elég csak az XY weboldal tulajdonossal szerződést kötni, ha ugyanis a hoszting szolgálatás nem az ő tulajdonában van akkor a szolgálatóval is fel kell venni a kapcsolatot, hiszen annak szervereit "piszkálja"

  • dajkopali

    addikt

    válasz Döglött Róka #11 üzenetére

    igen, az egyik nyilatkozó szakértő ezt ki is emelte nekem

    "fácánjava calvadosban/teljesítünk, egyre jobban " - Konok Péter

  • Csóró™

    senior tag

    Ez az "etikus hacker" dolog eléggé kényes kérdéseket feszeget, mégha tényleg jó szándékkal teszi is valaki...

    Örülne-e bárki, ha a lakása bejárati ajtaját nyitogatná egy vadidegen, azzal a felszólítással, hogy: "Etikus tolvaj vagyok, jelezném, ha be tudok jutni a házadba". Még, ha így is van, jogszabályok vonatkoznak rá, illetve senki nem kérte meg.

    Mag amúgy az tök jó, hogy a mai világban már elég egy Kali Linuxot telepíteni + némi blogot olvasni, youtube videót nézni, és bárki nyomathatja az sqlmapot, meg az uniscant stb. "etikus hacker vagyok" felszólítással, de ez ettől még nem lesz legális amit csinál.

    Az meg már csak külön hab a tortán, hogy sok cégnek rosszul jön, ha valaki rávilágít, hogy fos, sebezhető a terméke, és javítani kéne. Kb. olyan, mint mikor beszólsz a gizdának, hogy tök jó a hifi a kocsiban, csak már lassan a segge kifér az alvázon olyan szar a kaszni... biztosan nem simogatja meg a fejedet, max egy drótkefével.

    Tapasztalatból írom, nem örül senki, ha megnézem a rendszerét, bármilyen jó szándékkal is teszem.

  • vicze

    félisten

    válasz Fred23 #6 üzenetére

    (Nem feltételen neked válasz.)
    A viccet félretéve, a GDPR egyik hatása az is kellene legyen, hogy a cégek törődnek és kötelezően saját érdekükben töltenek a biztosságra. És ajánlom minden rendszergazdának, hogy ezzel fenyegetőzzön a főnökénél, hogy ha kell kierőszakolja a biztonságra való törekvést, ha egy külső vizsgálatot nem is fizetnek ki, de legalább minimális dolgokra ügyeljenek, és bejelentésekre reagáljanak.

    Az pedig hogy az etikus hacker(vagy pusztán bejelentő, akárminek is hiszi magát) elsősorban ellenségnek van tekintve nem pedig segítőnek, egy olyan felfogásbeli dolog amit részben a tudatlanság, a pop kultúra, és a média is táplál sajnos. Ezt a felfogást kellene megváltoztatni elsősorban felsőbb szinten.

    Amúgy az itt általánosan emlegetett hozzá nem értés nem mindig helytálló, ha felhozhatom a Hack Team esetét, akiket kizárólagosan saját hanyagságuk miatt sikerült feltörni, és itt nem áll fenn a hozzánemértés esete, puszta nemtörődömség miatt történt.

  • #19482368

    törölt tag

    válasz Csóró™ #14 üzenetére

    Örülne-e bárki, ha a lakása bejárati ajtaját nyitogatná egy vadidegen
    Majdnem szó szerint ezek a gondolatok fogalmazódót meg bennem.

    Mag amúgy az tök jó, hogy a mai világban már elég egy Kali Linuxot telepíteni
    Pontosan, és szinte minden szükséges információ szájbarágósan dokumentálva van. Sok esetben még csak gondolkodni se kell. :(

    Én azzal egészíteném ki, hogy az a slussz poén hogy napi szinten jelennek meg friss sebezhetőségek, és sok esetben annak pontos dokumentálása megtalálható az interneten. Ellenben a sebezhetőség befoldozására kiadott patch-re relatív elég sok időt kell várni. Így a porul járt embereknek, üzemeltetőknek szinte esélyük nincs normálisan megoldani a problémákat. Főleg akkor ha valamilyen szinten érintett az adott sebezhetőségben.

    Az a baj, hogy etikus hackelés mögé bújva próbál sok fiatal népszerűséget, elismerést, szerezni hogy hátha felfigyel rá valami komoly cég, és ezzel meg tudja alapozni a jövőjét. Sok mindent, mindenkit lehet hibáztatni, a jelenleg kialakult informatikai problémák miatt, sok esetben felelős a gyártó, a marketinges, az üzemeltető a tulajdonos, felhasználó stb.. De mindezt felülírja Murphy(O.o) gondolata, miszerint Örülne-e bárki, ha a lakása bejárati ajtaját nyitogatná egy vadidegen, azzal a felszólítással, hogy: "Etikus tolvaj vagyok
    De lehetne mondani más példát is, attól hogy az alma fa ága, kilóg a kerítésen túl, még nem jelenti azt, hogy leszedheted a fáról. Ezek viszont olyan íratlan elvek, amiket elég rég óta ismerünk, csak éppen napjainkban túl sokan a kellő magasságból kezelik. :(

    [ Szerkesztve ]

  • vicze

    félisten

    válasz Csóró™ #14 üzenetére

    Pont ez a felfogás az amit említettem, nem akar költeni, időt energiát befektetni a biztonságba, mert üzletileg annyira sokad rangú, hogy csak na. Persze ha burul a bili, akkor felelősséget se válla senki, az előző hiányáért és jön a mentegetőzés és a "gonosz" hackerre mutogatás. És ez elsősorban felső vezetői probléma, másodsorban pedig felelősséget soha senki se vállal.

    Az hogy kriminalizálod a lehető legjobban, a sript kidiket és társait, csak azt éred el, hogy akár milyen hülyén hangzik is de a sötét oldal felé tereled őket, mert sokkal jobban megéri majd eladni a megszerzett információt megfelelő körökben, minthogy jelentei.
    Gyakorlatilag ezzel hozzáállással mindenki saját maga alatt vágja a fát.

    A hülye "lopnál-e autót" hasonlatokat meg tessék elfelejteni, mert semmilyen értelmük nincs a digitális világban, ott ahol nincsenek országok, határok, államok, és teljes anonimitás van.

  • Candy

    tag

    A magyar informatikai kultúra, főleg céges berkekben nagyjából mínuszegy, a KKV-k esetében meg még egy kicsit alatta is leledzik. Emellett a GDPR-t sajnos erősen hijackelték a jogászok, illetve, ha van egy infosec szemszögből történő audit, ott már általában a kérdőív kitöltése is gondot okoz az embernek.

    Bárki tud automata sérülékenységvizsgálót futtatni: igen, BÁRKI tud. Ezért lenne mondjuk alap, hogy valaki megnézi azt, hogy a publikus IP-jéről mi látszódik, illetve az oldalán milyen XSS, SQLi és egyéb gyöngyszemek vannak. Ha ezt nem tudja önerőből, akkor kérjen meg rá valakit. Sőt, továbbmenve, csak olyan weblapkészítővel szerződni, aki tudja garantálni, hogy az általa átadott oldal az átadás időpontjában CVSS mentes.

    Általában egyébként egy megfelelően beállított és hardenelt infrát nem nagyon lehet megfektetni egy automata szkenneléssel, maximum kézileg, itt jön képbe, hogy egy rendes penteszt miért is kerül annyiba.

    pluszegy:

    Jelentkezzen az, aki nem szokott néha nmapolni egy jót, ha bekerül mondjuk egy publikus wifire, pusztán a tájékozódás kedvéért. Ha meg már ottvan és talál mondjuk egy wifikontrollert, akkor nem próbál rá default accal.

    pluszkettő:

    Ismerve a magyar cégek és szervek hozzáállását, a dumpolás teljesen érthető, ha tényleg azt akarod, hogy javítsák meg a szarukat. Így legalább van valami a kézben, amivel el tudsz menni a sajtóhoz, ha semmi nem történik...

    wunderbike.postr.hu

  • Döglött Róka

    veterán

    válasz dajkopali #13 üzenetére

    Rajtam max baseballsapka van de annyit en is tudok, hogy az SQL injection-höz nagy szakértelem nem kell és minimalis idő alatt tanulható. :)

    Ikea Tafjord, Kínai indukciós töltő, Victorinox Traveler, 10 Tojás M (3 már hiányzik),Rádiós ébresztőóra piros kijelzővel, Varta akkutöltő

  • hcl

    félisten

    LOGOUT blog (1)

    válasz Mr.C #3 üzenetére

    Ja, hát mondom, akinek esze van. Itthon nem mindenkinek van.

    Mutogatni való hater díszpinty

  • Csóró™

    senior tag

    válasz vicze #17 üzenetére

    Az a helyzet, hogy digitális tulajdon is tulajdon, eszmei és anyagi értéke van, így akár többet is érhet (szokott is érni), mint egy autó vagy egy ház, ezért teljesen jó a hasonlat.

    Az meg remélem mindenkinek megvan, mikor a nagy Amerika kijelentette, hogy, ha őket valaki kiber támadással megtámadja, akkor igazi ellentámadással válaszolnak rá... Ennyire veszik ma komolyan a kiber támadásokat

  • 0xmilan

    addikt

    válasz Döglött Róka #19 üzenetére

    Sajnos maig ez a legegyszerubb es legelterjedtebb olyan sebezhetoseg, amivel OS szintu hozzaferes szerezheto.
    A 2017-es OWASP Top 10-ben meg mindig az elso helyen van.
    Talan az XXE kezdi atvenni a helyet, ahogy egyre tobb framework mar ved SQLi ellen es csak kezi ganyolassal lehet elrontani.

    Itt van sok szep grafikon. Latszik, hogy adott teruleteken milyen vuln a legelterjedtebb. (Vulnerabilities by Industry)
    XSS mindenhol toronymagasan vezet. Viszont ilyen es ehhez hasonlo client side sebezhetosegekkel onmagaban nem lehet kodot futtatni. Ezert adja magat az SQLi, mert joval egyszerubb megtalalni, mint pl. egy rendes code injection-t.

  • #19482368

    törölt tag

    válasz vicze #17 üzenetére

    Azért ez nem egészen így működik.

    Kevesen gondolnak bele, hogy az IT-ra a világ minden pénze is kevés lenne. Mert az IT egy olyan osztály, ami látszólag viszi a pénzt, de produktívan általában nem termel. Az IT-feladata az informatikai háttér kiépítése, üzemeltetése amire általában éves szinten egy előre meghatározott összeg áll rendelkezésre. Ezt az összeget kell beosztani az IT felső vezetőknek. És elég sok mindenre kell gondolnia előre. Pl ha egy etikus hacker felkérés hiányában nekilát hogy feltárja a sebezhetőségeket, valójában nem segít, hanem plusz költséget termel. Mert jobb esetben felkérnek külsős szakembereket, akiknek az a feladata hogy felfedjék a támadó kilétét, hogy utána eljárást lehessen indítani ellene. Egy ilyen team akár napi 500.000 Ft is ki tud számlázni. Ez plusz költség, ami az éves keret terhére megy. Erre rá jön az adott eszköz helyre állítása, esetlegesen cseréje. Na már most vállalati szinten egy switch, egy router, egy szerver nem éppen 10-20.000Ft Plusz szakember, aki igény szerint beállítja a szükséges biztonsági beállításokat. Azok a cégek, akik megtehetik hogy külső céget kérnek fel, a szükséges beállításokra nem kevés pénzt fizetnek ki. Olyan helyeken ahol mindezt nem tudják ki termelni az üzemeltetők, rendszergazdák feladata, ahol rendszerint a szükséges tanfolyamokra se jutnak el, mert nem fér bele a cég kiadásaiba. Azért ezek elég kemény pénzek, és nem minden cég tudja ezt ki termelni. Persze, van az a pont, amikor a lustaság, nem nemtörődömség is bele játszik. De ez nem ok arra hogy etikus hack mögé bújva, gyakorlatilag szándékos kár okozás történik.

    A digitális világ, pont olyan mint a napjaink. Csak a környezet más, de ugyan úgy felelősségteljes emberek hoznak döntéseket. Semmiben nem különbözik, csak sokan azzal érvelnek hogy más, mert azt hiszik anonimok tudnak maradni, vagy mert látszólag bűntettlenül lehet felelőtlen döntéseket hozni. Pont akkora káosz van a digitális életben, mint a mindennapjainkban.

  • hcl

    félisten

    LOGOUT blog (1)

    válasz #19482368 #23 üzenetére

    "Pl ha egy etikus hacker felkérés hiányában nekilát hogy feltárja a sebezhetőségeket, valójában nem segít, hanem plusz költséget termel."

    Ha meg egy nem etikus hacker nekilát, hogy hülyére keresse magát az ügyfelek adataival, akkor esetleg bedőlhet a cég is. Sokkal jobb!

    Mutogatni való hater díszpinty

  • vicze

    félisten

    válasz Csóró™ #21 üzenetére

    Tehát azt mondod, hogy a letöltök egy filmet és az elopom a boltból teljesen azonos tettek, ahogy akikistazom a webroot dirt is teljesen azonos azzal, ha valaki bútor egy lakásba.

    Ezzel már azt bizonyítod, hogy pont annyira értesz a digitális világhoz, akik Amerikában hülyeségekkel hablatyolnak, úgy hogy orosz ha kérek juttaták hatalomra őket. Pontosan ugyan az a dilettáns hozzáállas, ami miatt itt tartunk és aminek meg KELL változnia.

    [B(]#23) k.feri80: Elmondanád hogy hol írtam "szándékos kár okozás"-ról, és hol történik egy ilyen egy biztonsági hiba jelentésekor?

    Pont ti mutatjátok,hogy mi a probléma, a kifogások és a bűnbakok keresgélés számotokra fontosabb, mint egy akár egyszerűen javítható hibás beállítás. Inkább fejét a homokba, az sokkal jobb. :(

  • dajkopali

    addikt

    válasz hcl #24 üzenetére

    azért azt vegyük figyelembe, hogy itt az "etikus hacker" fogalmáról is beszélünk, épp azért, mert az illető így minősíti magát, hogy az vajon mit jelent
    egyébként persze, van a határokon sétáló, billegő hacker - kategorizálatlanul, vagy némi kategorizálással -, az más kérdés

    "fácánjava calvadosban/teljesítünk, egyre jobban " - Konok Péter

  • hcl

    félisten

    LOGOUT blog (1)

    válasz dajkopali #26 üzenetére

    Igen, ennek értelmezése is megérne egy misét. Az én véleményem az, hogy
    - jelenti a talált hibákat a rendszer tulajának
    - nem használja fel a megszerzett információkat semmire

    Amúgy elég sok olyan eset van, amikor független végek jönnek rá hibákra, amik kiderítésére nem kérte őket senki - és ezeket jelentik. Ez esetben a kéretlenséget még senki nem kifogásolta.

    Mutogatni való hater díszpinty

  • Csóró™

    senior tag

    válasz vicze #25 üzenetére

    Igen azt! De gondold végig a példádat... Ha egy Film ára mondjuk 10.000 HUF, te azt akkor se fizeted ki érte (RGO jogtalanul használod), mikor letöltöd, de akkor is ekkora kárt csinálsz, ha ellopod.

    Azért remélem a GDPR nem ismeretlen előtted... mennyire is bírságolhatnak egy céget, ha "csupán" adatszivárgás történik (mondjuk kilistáznak egy webrootot, vagy benne pár fájl tartalmat)? Segítek: [link] , [link] , [link] , [link]

    A fentiek alapján szerinted melyik fáj többe egy cégnek, ha ellopsz tőlük egy kocsit, vagy, ha kiszivárogtatod valamelyik általuk kezelt személyes adatot és jól megvágják őket pár millió euróra?

    Amúgy meg az "etikus hacker" nem összetévesztendő az "önjelölt hacker"-el.

    Az igazi etikus hackereket meg lehet bízni pl. a cég sérülékenységeinek kivizsgálásával, azok feltárásával... Nálunk a cégnél volt ilyen, ez teljesen legális. De az önjelölt hackereknek semmi joguk nincs mások szervereit, weblapjait... próbálgatni, még akkor se, ha jó szándékkal teszik. Ez jelenlej a jogállás, nem kell, hogy tetsszen, de ettől még így van. Ha valaki mégis megteszi, és jelenti, vagy megköszönik, vagy feljelentik, de mind a kettő lépés jogilag teljesen oké (na persze nem olyan módon, mint a BKK-s rémtörténetben)

    [ Szerkesztve ]

  • #19482368

    törölt tag

    válasz hcl #24 üzenetére

    Igen ebben is van nagy igazság. Én arra próbálok rá világítani, hogy közel se olyan egyszerű a probléma, mint azt sokan gondolnák. De ha az érem azt a részét világítjuk meg, hogy pont a kéretlen etikus hack mögé bújva, lőjük szarrá az egyébként sebezhető szervert. Akkor gyakorlatilag egy kevésbé etikus hackernek adunk nyitott kaput. Ami lehet, egyébként fel se keltené a figyelmét, mert nem lát benne potenciális lehetőséget. De ha már nyitva a kapu. akkor bolond lenne nem kihasználni. Pont ezért próbálnak erre valami szabályozást készíteni. Azért hívják etikus hackernek mert maga a célpont ad megbízást a hibák felderítésére, feltérképezésére, és dokumentálásra. Hogy a szükséges lépéseket meg lehessen tenni. Minden más támadási kísérlet, nem nevezhető etikus hack-nek.

  • tomcat78

    őstag

    Azért azt csendben megjegyezném,hogy ebben az esetben a viselkedés lehet etikus.Ami nem jelenti azt autómatikusan,hogy törvényes is.Ami etikátlan inkább-még,ha törvényes is-az a cégek viselkedése a témával kapcsolatban.Gondolok itt azokra a dolgokra amit felsoroltatok,sz@rok bele,jóvanazúgy stílus.
    Magával a szó összetétellel nincs baj,ha valaki valóban csak jelenti az emlegetett biztonsági réseket.De,mint kezdtem,a jó szándék is lehet törvénytelen...

    "Adjatok hatalmat, hogy elvehessem tőletek. Rakjátok a fegyvert a szátokba, aztán lőjetek!" Tkyd...

  • Feketelaszlo

    senior tag

    Tehát a katasztrófavédelem radioaktív rendeléseinek szállítóleveleit posztolgatja a netre, s még nem csukták le? Szerintem azért ez elég komoly fokú szabadság a számára - usákoknál már úton lenne Kuba szigetére, a napfényes Guantanamo öbölbe :) Én elhiszem és tisztelem, hogy nemes szándék vezérli a fiatalembert, de valakinek le kéne ülni beszélgetni vele, hogy ilyesmit nem csinálunk.
    Nem, akkor sem, ha a hanyagsága okán a rendszerüzemeltető esetleg tényleg megérdemelné, hogy kiteregessék a szennyesét.

    [ Szerkesztve ]

  • vicze

    félisten

    válasz Csóró™ #28 üzenetére

    Módjuk úgy munkám miatt egy csöppet jobban tisztában vagyok vele mint elég egyértelműen mint te.
    Persze azt már nem árulom el, hogy a webroot listázása, milyen módon ad hozzáférést személyes adatokhoz és sérti a GDPR-t. :U Persze eltúlozni és másfelé terelni egyszerű. :(
    Engem már többszörösen le kell akkor csukni, mert rosszul beállított oldalakon már csak véletlenül is kilistaztam dolgokat, amiket nem szabadna. Marika nénit is tessék le csukni mert véletlen elgépelés miatt rossz oldalra tévedt, ahogy a link is lehet hibás egy oldalon, de ha rakattintok a te szemedben ez már börtön büntetés. Küldetés is a rendőröket a nickemre... :U
    Sőt még port scanneltem is, de Nessusban írtam el már IP címet is véletlen, szóval már vagy 20évet biztos rámsózhatnak.

    Igen nem vagy tisztában a digitális világgal, ez elég egyértelmű minden érvelesi próbálkozásból.

  • Csóró™

    senior tag

    válasz vicze #32 üzenetére

    Azért korábban még szándékos film lopásról, meg dir listázásról beszéltél, most meg véletlenül...

    És amúgy igen, a GDPR-nak pont ez a lényege, hogy rákényszerítse a szakbarbárokat, hogy ugyan az apache konfigba ne engedjük már meg a directory listinget az ügyfelek személyes adatait tartalmazó mappára még véletlenül se... Figyeljenek oda a személyes adatokra!

    Ha cégnél dolgozol, és "véletlenül" rosszul állítasz be valamit, ami miatt személyes adatlopás történik, a céget nagyon megvághatják, hiába véletlenül bénáztad el a konfigot.
    Ha meg "véletlenül" fértél hozzá nem a te jogkörödbe való adatokhoz, azt nyilván jelezheted, mert egy etikus ember vagy, de itt nem a "véletlenül történt" esetekről megy a téma, hanem a szánt szándékkal, "etikus hacker vagyok" címen elkövetett dolgokon.

    De mond meg akkor: Tegyük fel, hogy pár éve Uniscan-el észrevettem, hogy a wlap.hu oldalon van SQLInjection sebezhetőség, amit tegyük fel, hogy sqlmappal meg is néztem, és tegyük fel, hogy az ügyfelek összes adatát (személyi szám, cím, bankszámla szám...) ki tudtam volna dumpolni... Ha ezt megtettem volna bűncselekményt követek el? Pedig csak jelezni szettem volna nekik egy dump-al, hogy nagyon gáz az oldaluk.
    Szerinted váll veregetést, vagy TEK ölelést kaptam volna?

    [ Szerkesztve ]

  • hcl

    félisten

    LOGOUT blog (1)

    válasz #19482368 #29 üzenetére

    Ööööö, ha te kihasználsz egy biztonsági részt, az nem feltétlen marad ott nyitva mindenki másnak is :) Pláne, ha ügyes vagy. Nem fogja senki más észrevenni a cég security-jén kívül esetleg, hogy ott jártál.

    Ha meg csak a célpont ad megbízást, akkor izélhatod, nincs az a hülye célpont, aki fizetne érte, míg a saját kárán meg nem tanulja, hogy a biztonság nem vicc. Csak akkor már késő.
    Melóhelyen is hallottam már, hogy ha lelépsz adatokkal olyan jogászcsapat van, hogy szétperelik a gatyád...
    ...igen, de a károkozás már megtörtént, és a konkurrencia hozzájutott ahhoz, ami kellett neki.

    Szóval nem tudom, ha valaki szól nekem, hogy nyitva a táskám, és kilógnak a cuccaim, akkor nem vágom fejbe...

    [ Szerkesztve ]

    Mutogatni való hater díszpinty

  • Csóró™

    senior tag

    válasz hcl #34 üzenetére

    Az nem baj, ha úgy szól, hogy meglátta, az már más kérdés, hogy úgy szól, hogy előtte ő nyitotta ki, hogy aztán jelezze neked, hogy "figyu már, a táskádat könnyű kinyitni, figyelj oda, mert más nem olyan jófej, mint én, és ki is veszi a cuccot, miután kinyitotta."

    A lényeget értsük meg: más az, ha azért szólsz, mert véletlenül észrevettél valamit,pl.: kiesett a telefon a farzsebből a buszon , vagy azért szólsz, mert előtte piszkálgattad a telefont, hogy vajon ki tud-e esni. Jó eséllyel az előbbinél kézfogás és köszönöm, utóbbinál gyomorszájas lesz a reakció.

  • #19482368

    törölt tag

    válasz hcl #34 üzenetére

    Igen a lényeg a nem feltétlenen van. De nyoma van, mert ... Mindig ez a vége. :D
    Mindegy egyébként abban az aspektusban hogy nem nevezhető etikusnak. Hiszen a támadott fél tudta, belegyezése nélkül történik. Na már most, mi a garancia hogy nem megy tovább? Mi a garancia hogy nem vitt adatokat, és azzal nem él vissza? Azt hogy ő mondja, mondani mindent lehet. Tehát további kérdések merülnek fel. Ami már nagyon képlékeny.

    Mondok egy egyszerű példát. Van egy wifi hálózat, amire nem vagy jogosult csatlakozni. Ezen az AP-n mac-address szűrés van beállítva. Tehát elmondható hogy jogilag, védet hálózat. Mivel a mac-address szűrés is egyfajta védekezési megoldás, tehát védet hálózatnak minősül. Viszont a jog, nem terjed ki a biztonság beállításának mértékére, hatékonyságára. Tehát jogilag, ha rá csatlakozol, akkor betörést követtél el. Mivel a jog a beállított védelem hatékonyságára nem terjed ki. És itt a probléma. Tehát az hogy önkényesen neki esek egy szervernek, az nem etikus hack, hanem céltudatos támadás. A támadás viszont feltételezi a rossz szándékot. És itt dől meg a mutatvány, mert jogilag ezt kimagyarázni elég érdekes. Akkor nem feltételeznék a rossz szándékot, ha erre a wifi üzemeltető felkér. Ennek megvan a formája, szabályai. Ennek hiányában nem beszélünk etikus hackről jogilag. Van a másik végzet, amikor a AP üzemeltető, megköszöni a visszajelzést, és hatékonyabb biztonsági beállításokat alkalmaz. De ettől nem lesz etikus, csupán a támadott fél jó indulata, bizalma van mögötte. De lehet ezt csak félelemből írja, mert abban reménykedik, hogy ha megteszi a szükséges hatékony biztonsági beállításokat, akkor békén hagyod, és nem indítasz tovább ellene ilyen irányú támadásokat. :D Hogy mit akarok a példával mondani, hogy nagyon képlékeny a ez a téma. És a támadó a támadott fél jó indulatára alapozik. Mint a gyakorlati példa is mutatja, amiből precedens értékű hír is lett, hogy bizony nagyon nem veszik jó néven, az emberek.

  • Csóró™

    senior tag

    Csakhogy életszerű példa is legyen: [link] , [link] , [link]

    Mindegyik oldal sqlinjection sebezhetőségben szenved, mivel egy sima ' karakterrel mysql hibát tudsz előidézni, innentől meg az sqlmap szépen bejárhatja az egész weboldal mögötti adatbázist (sőt lehet, hogy az OS fölött is átvehetjük az uralmat...)

    Ha azért jöttem erre rá, mert véletlenül leütöttem a ' karaktert, az teljesen más, mintha úgy jöttem rá, hogy először biztonsági scannerekkel végignéztem az oldalt sebezhetőségek után kutatva, majd miután az sqlinjectiont-t megtaláltam, kihasználva azt letöltöttem (illegálisan) adatokat az adatbázisból...

    Aki ezt másképp gondolja, az adja meg a címét, ma este elmegyek és megnézem mennyire sebezhető a bejárati ajtó a házon, meg a zár a kocsin, de persze csak etikusan :R

    [ Szerkesztve ]

  • 0xmilan

    addikt

    válasz Csóró™ #37 üzenetére

    Nem szokas veletlenul leutni az ' karaktert az URL-ben, meg ugy altalaban kezzel matatni a cimsorban.
    De tegyuk fel, hogy veletlenul lenyomtad a shift-et, pedig csak 1-et szerettel volna (magyar kiosztason - angolon ugye az ' a szamsor kozeleben sincs). Miert kell neked kezzel atirni az id-t? Csak nem IDOR-t keresel manualisan? Ugyanolyan rossz, mintha SQLi-re probalgatnal scannerrel vagy anelkul.

    Nem kene ilyeneket linkelgetni.
    A peldadat kovetve, gyakorlatilag leirast adtal, hogy hogyan kell betorni valakinek az autojaba / hazaba.

    [ Szerkesztve ]

  • vicze

    félisten

    válasz Csóró™ #33 üzenetére

    1. Hogyan különbözteted meg a véletlent a szándékostól? A többit fel se hozom... Na meg különben is a betörés az betörés tök mindegy hogy szándékos vagy véletlen nem de? Persze véletlenek jöttél be a házba éjjel mi?
    2. Nem értem mire ez a GDPR-re való kiegyezés? Nem csak személyes adat létezik a világon, pont a BKK esetében nem volt semmilyen személyes adathoz való hozzáférés, egy URL-ben való számjegy átírása történt, ez ugye teljesen azok számodra azzal, hogyha kizsebelsz valakit. (Az hogy máig ismeretlenek a teljes adatbázist dumpoltak utána már tök lényegtelen. Végülis őket nem tudják feljelenteni, mert anonim maradtak.)
    3. Egyáltalán elovastad, amit az elején írtam?

    A digitális világ nem fizikai bármilyen erőltetett módon is akarod ráhúzni, butábnál butább párhuzamokkal.

  • hcl

    félisten

    LOGOUT blog (1)

    válasz Csóró™ #35 üzenetére

    IT-ban pedig vizsgálat nélkül nincs eredmény. Más is ugyanúgy fogja vizsgálni, csak nem fog szólni.

    @k.feri80 : Nem, nincs nyoma. Ha te találtál egy gyenge pontot, azon bemész, annak kifelé nem marad látható nyoma.
    Befelé lehet, de azt kintről nem látod.

    Ha kikötsz a netre egy gépet, azt valószín sok-sok nem etikus támadás fogja érni. És nem szórakoznak jóindulattal.

    A támadás nem feltételezi a rossz szándékot - miután csak támadási eljárásokkal tudhatsz meg valamit. Ráadásul itt egy nem hasznosított támadástól senkinek nem keletkezik azonnali kára, egy jó szándékú támadásból csak előnyöd lehet.
    Ha nem deríti ki egy etikus hacker, akár kéretlenül is, hogy hol vagy gyenge, akkor majd kideríti egy nem etikus. (Vagy egy botnet.) Ezt mondtam az előbb : annak magyarázhatod, hogy nem volt etikus, amit csinált.
    A jog itt már csak eső tán köpönyeg lehet.

    A kéretlen etikus hackelés gyak. az, hogy kapsz egy elég drága szolgáltatást ingyen, ami adott esetben súlyos veszteségeket előz meg. Tehát ha már amúgy is sokan akarnak betörni a hálódra, akkor legalkább ne azt az egyet vegzáld, amelyik jelzi, hogy hol a lyuk :D

    [ Szerkesztve ]

    Mutogatni való hater díszpinty

  • btprg

    senior tag

    válasz vicze #25 üzenetére

    Elég komikus a dilettáns hozzáállásról beszélni és kritikát megfogalmazni úgy, hogy a fosadék autocorrect miatt kb. minden mondat értelmetlen lesz :D (Bocsi.)

    "Tepid! Tepid is no good for a star, but it'll do for stardust." (nmlorg/naim)

  • 0xmilan

    addikt

    válasz hcl #40 üzenetére

    Nem, nincs nyoma. Ha te találtál egy gyenge pontot, azon bemész, annak kifelé nem marad látható nyoma.
    Befelé lehet, de azt kintről nem látod.

    Nagyon egyszeru ellenpelda:
    Adott egy Unrestricted File Upload. Feltoltesz egy web-shell-t. Egy harmadik fel ezt megtalalja, mert rendkivul elmesen shell.php-nak nevezted es a scannere rafutott a site.com/shell.php-ra.
    Megvan kintrol a lathato nyom. Magat a file uploadot nem is kell megtalalni, hasznalhatja azt az 'ajtot', amit te kinyitottal. Sot, lehet, hogy a file upload bug javitva lett vagy mar nem is letezik ilyen feature, de a backdoorod meg mindig ott van.

  • Fred23

    nagyúr

    válasz vicze #15 üzenetére

    "de legalább minimális dolgokra ügyeljenek"

    Kriminalizálni mindig egyszerűbb lesz. Emlékszem, mekkora volt anno, mikor minden diák simán csak azzal szórakozott, hogy használta a Google keresőt, és benéztek ide-oda, meg néha elforgattak pár megtalált kamerát. Szinte csoda, hogy nem ül már mind börtönben! :DDD

  • #19482368

    törölt tag

    válasz hcl #40 üzenetére

    Értem amit mondasz, elsőre is megértettem. De véleményem szerint nincs különbség. Teljesen mindegy hogy etikusan, vagy etikátlanul él vissza az illető. Jogi értelemben, bűncselekménynek minősül mind kettő.
    Az hogy valaki azt álltja magáról ő etikus hacker, és csak a sérülékenységeket térképezi fel, csupán jó indulatból, már önmagában ellentmondásos. Talán pont azért, mert nincsenek a szabályok lefektetve, a célpont nem ismeri a támadót, és semmire nincs garancia. Csak az hogy a támadó azt állítja magáról, ő etikus hacker, de mint tudjuk, mondani mindent lehet. Számomra pont annyira összeférhetetlen, mint amikor azt állítja valaki milyen jó fejek azok az emberek akik különböző programokhoz crack-írnak. :D Persze jó fej annak a szemében aki nem tudja megfizetni a terméket, de egyáltalán nem jó fej annak a csapatnak a szemében aki profit reményében pénzt, időt, energiát fektet a program megírásában. Na most akkor jó fej, vagy nem jó fej? Minden csak nézőpont kérdése.

    A támadás nem feltételezi a rossz szándékot Dehogynem, én még soha nem hallottam jó indulatú támadásokról. Illetve ez is nézőpont kérdése. pl ha a konkurencia web szolgáltatását folyamatosan ddos támadást kap, vagy tönkre teszik a webshop-ját az számomra jó, mint konkurencia, mert az ő ügyfelei is hozzám jönnek. De a támadott fél szemében ez közel se mondható el. Ismét csak nézőpont kérdése.

    Az a helyzet, hogy azok a cégek, ahol nem fér bele egy ilyen vizsgálat költsége, annak csupán anyagi okai vannak sok esetben. Az hogy egy ismeretlen magát etikus hacker-nek kiadó láthatatlan személy, engedély nélkül vizsgálatokat kezdeményez nem jelenti hogy valóban a jó indulat vezérli. Főleg napjainkban. Okkal feltételezi a célpont hogy a felé induló támadás rossz indulatú. Főleg hogy nem adott ki ilyen jellegű megbízást. Gyakorlatilag, azon csodálkozom hogy mint emberi hiba tényező miért nem említik meg soha. Pl.. Jahh főnők a múlt héten egy jó fej etikus hacker feltárt sok sok sebezhetőséget, ő azt mondta nem élt vissza semmilyen személyes adattal. Látod főnök, vannak még jó fej srácok akik ingyen is elvégzik a rendszeren a sebezhetőséget. Bezzeg a szemét cég, képzeld főnök óránként 25.000Ft/fó óradíjat akart felszámolni nekünk ezért, és ő merő jó fejtségből ingyen elvégezte.

    Ugye milyen vicces? Mert véleményem szerint közel se vicces. Semmi garancia nincs semmire, nincs ledokumentálva semmi, ami van az vagy úgy van, vagy nem. Tulajdonképpen azt se tudod ki az illető, mert mondani leírni mindent lehet. Számomra még mindig az az etikus hack, amikor megbízok célorientáltan egy céget, akinek ez a munkája hogy vizsgálja meg a rendszer sebezhetőségét, hogy min kell probléma esetén változtatni. Erről kapok egy jegyző könyvet, ledokumentálva miben mi a gyenge láncszem. És akár javaslatot add, mire cseréjük, javítsuk a problémás területet. Ez az etikus hack, minden más meglehetősen képlékeny.

  • Snoop-y

    veterán

    válasz 0xmilan #38 üzenetére

    Little Bobby tables we call him :D

    New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

  • Csóró™

    senior tag

    válasz 0xmilan #38 üzenetére

    Komolyan gondolod, hogy az én linkeim miatt törik majd fel ezeket az oldalakat? Googleba beírod, hogy: "php?id=1", és az első oldalon van a találati listában mind a 3. Szerinted hányan játszottak már ezekkel az oldalakkal? Mellesleg akkor a Google nak is szólj, hogy szüntesse be a saját exploit adatbázisát.

    A nyomonkövetésről még annyit, hogy azért a webszerver logjaiban látszik, ha valaki web scannereket futtat, max az IP-t tudod tor hálózatban proxychainnel változtatni, de attól a logba látszani fog, hogy valaki próbálkozott.

  • Csóró™

    senior tag

    válasz vicze #39 üzenetére

    Továbbra se érted a lényeget :(
    A gdpr csak példa, hogy a digitális adatnak is nagyon nagy értéke lehet, mind1, hogy adatot lopsz, vagy BKK bérletet veszel 50 ft-ért, mind a kettő illetéktelen használat, rgo büntethető.

    A web logokba meg azért sokmindent látszik, de a webszolgáltatódat is felkeresheti a rendörség,hogy adja ki nekik a Te netforgalmadat (merthogy eltárolja egy ideig a szolgáltató)... Szóval azért ki tud az derülni, hogy ki mennyire véletlenül csinált valamint.

    [ Szerkesztve ]

  • Depression

    veterán

    válasz #19482368 #16 üzenetére

    Az a baj, hogy pontatlan a megfogalmazás. Ez nem lakás, hanem egy iroda.
    Jön egy betörő (és ezzel már meg is van, hogy mi a megnevezése) , aki a hecc kedvéért betör az irodába, és hozzáfér az ott dolgozók adataihoz. Majd szól, hogy jó lenne lecserélni a zárat, mert bármelyik másik betörő is simán bejut.
    Eddig elég egyértelmű a helyzet.
    Na de a betörő megint visszamegy, és látja, hogy semmi sem történt. Berág, és figyelmezteti az ott dolgozókat, hogy megvan minden adatuk, le fénymásolt mindent, mert az iroda üzemeltetője nem csinált semmit.
    Az iroda üzemeltetője feljelenti a betörőt, az megy a börtönbe, és ezzel vége a sztorinak.

    Látod, hogy hol van ebben a gubanc?

    Orr alatt hordott szájmaszk pont annyit ér, mint a herére húzott koton.

  • #19482368

    törölt tag

    válasz Depression #48 üzenetére

    Legyen iroda, példában nincs jelentősége.
    Jön egy betörő (és ezzel már meg is van, hogy mi a megnevezése) , aki a hecc kedvéért betör az irodába, és hozzáfér az ott dolgozók adataihoz. Majd szól, hogy jó lenne lecserélni a zárat, mert bármelyik másik betörő is simán bejut.
    Eddig elég egyértelmű a helyzet.

    Tehát eleve betörést bűncselekményt követ el. Szándéka ismeretlen, nem tud logikus, elfogadható magyarázatot adni tettére.

    Na de a betörő megint visszamegy, és látja, hogy semmi sem történt.
    Nos ha én etikus lakatos vagyok, akkor ugyan jelzem a biztonsági problémát. De onnantól kezdve az iroda vezető, és a karbantartók feladata, felelőssége hogy valóban megtörténjen a csere. Ha etikus a lakatos, akkor ahogy átadta a feltárt biztonsági réseket, ejti az esetet, és tovább lép.

    Berág, és figyelmezteti az ott dolgozókat, hogy megvan minden adatuk, le fénymásolt mindent, mert az iroda üzemeltetője nem csinált semmit.
    Tehát máris fény derült valójában mi vezérelte a cselekedetét, mi volt a cél. Tehát ezzel azt a bizonytalan magyarázatot is kirúgta a lába alól, miszerint ő etikus lakatos. Mivel ilyet egy etikus lakatos cég se csinál, felkérés esetén elvégzi a feladatott, feltárja az iroda vezetőnek mik a problémák. De annak gyakorlati kijavítása már nem az ő feladata. Kivétel, ha erre külön nem készül megbízás.

    Az iroda üzemeltetője feljelenti a betörőt, az megy a börtönbe, és ezzel vége a sztorinak.
    Na ná, mert ezek után mi a garancia hogy zár csere után, nem ismétlődik meg ismét az incidens. Ezzel azt sugallja az iroda vezetőnek, felrakhatsz bármit, mert én majd jó meg szakértem. És ismét vehetsz egy másikat, mert nem felelt meg az etikus lakatos elvárásainak. Akinek ugyan semmi köz nincs ahhoz, hogy milyen zár van az ajtón. De ezzel elindít egy végtelen ciklust, aminek gyakorlatilag sosincs vége. Kb olyan mint a zsarolók, ha fizetsz, semmi garancia nincs arra hogy nem zsarol meg ismét, és nem követel további összeget. Egy megoldás van a problémára, az önjelölt lakatost, lekapcsolni minél hamarabb. Tehát az iroda vezető ebben a kérdésben helyesen járt el.

    [ Szerkesztve ]

  • Depression

    veterán

    válasz #19482368 #49 üzenetére

    Nincs semmi bajom azzal, hogy a betörő, az betörő.
    Azzal van bajom, hogy az irodavezetőt nem vonják felelősségre, mert nem a saját dolgait vitték el, hanem másokét. Ezért is irodaként írtam.
    És akkor térjünk vissza az eredeti felálláshoz: Miért nem megy inkább fejjel a falnak? Betör, ellopja az adatokat, kirakja nyilvános helyre, és feljelenti névtelenül a céget. Nem kerül börtönbe, és a GDPR alapján meg fizethet a cég mint a katonatiszt.

    Mert ebből engem csak az érdekel, hogy azok az oldalak ne tartsák elérhető helyen a bankkártyaadataimat és a jelszavamat.

    [ Szerkesztve ]

    Orr alatt hordott szájmaszk pont annyit ér, mint a herére húzott koton.

Új hozzászólás Aktív témák