Új hozzászólás Aktív témák
-
Ez az "etikus hacker" dolog eléggé kényes kérdéseket feszeget, mégha tényleg jó szándékkal teszi is valaki...
Örülne-e bárki, ha a lakása bejárati ajtaját nyitogatná egy vadidegen, azzal a felszólítással, hogy: "Etikus tolvaj vagyok, jelezném, ha be tudok jutni a házadba". Még, ha így is van, jogszabályok vonatkoznak rá, illetve senki nem kérte meg.
Mag amúgy az tök jó, hogy a mai világban már elég egy Kali Linuxot telepíteni + némi blogot olvasni, youtube videót nézni, és bárki nyomathatja az sqlmapot, meg az uniscant stb. "etikus hacker vagyok" felszólítással, de ez ettől még nem lesz legális amit csinál.
Az meg már csak külön hab a tortán, hogy sok cégnek rosszul jön, ha valaki rávilágít, hogy fos, sebezhető a terméke, és javítani kéne. Kb. olyan, mint mikor beszólsz a gizdának, hogy tök jó a hifi a kocsiban, csak már lassan a segge kifér az alvázon olyan szar a kaszni... biztosan nem simogatja meg a fejedet, max egy drótkefével.
Tapasztalatból írom, nem örül senki, ha megnézem a rendszerét, bármilyen jó szándékkal is teszem.
-
Az a helyzet, hogy digitális tulajdon is tulajdon, eszmei és anyagi értéke van, így akár többet is érhet (szokott is érni), mint egy autó vagy egy ház, ezért teljesen jó a hasonlat.
Az meg remélem mindenkinek megvan, mikor a nagy Amerika kijelentette, hogy, ha őket valaki kiber támadással megtámadja, akkor igazi ellentámadással válaszolnak rá... Ennyire veszik ma komolyan a kiber támadásokat
-
Igen azt! De gondold végig a példádat... Ha egy Film ára mondjuk 10.000 HUF, te azt akkor se fizeted ki érte (RGO jogtalanul használod), mikor letöltöd, de akkor is ekkora kárt csinálsz, ha ellopod.
Azért remélem a GDPR nem ismeretlen előtted... mennyire is bírságolhatnak egy céget, ha "csupán" adatszivárgás történik (mondjuk kilistáznak egy webrootot, vagy benne pár fájl tartalmat)? Segítek: [link] , [link] , [link] , [link]
A fentiek alapján szerinted melyik fáj többe egy cégnek, ha ellopsz tőlük egy kocsit, vagy, ha kiszivárogtatod valamelyik általuk kezelt személyes adatot és jól megvágják őket pár millió euróra?
Amúgy meg az "etikus hacker" nem összetévesztendő az "önjelölt hacker"-el.
Az igazi etikus hackereket meg lehet bízni pl. a cég sérülékenységeinek kivizsgálásával, azok feltárásával... Nálunk a cégnél volt ilyen, ez teljesen legális. De az önjelölt hackereknek semmi joguk nincs mások szervereit, weblapjait... próbálgatni, még akkor se, ha jó szándékkal teszik. Ez jelenlej a jogállás, nem kell, hogy tetsszen, de ettől még így van. Ha valaki mégis megteszi, és jelenti, vagy megköszönik, vagy feljelentik, de mind a kettő lépés jogilag teljesen oké (na persze nem olyan módon, mint a BKK-s rémtörténetben)
[ Szerkesztve ]
-
Azért korábban még szándékos film lopásról, meg dir listázásról beszéltél, most meg véletlenül...
És amúgy igen, a GDPR-nak pont ez a lényege, hogy rákényszerítse a szakbarbárokat, hogy ugyan az apache konfigba ne engedjük már meg a directory listinget az ügyfelek személyes adatait tartalmazó mappára még véletlenül se... Figyeljenek oda a személyes adatokra!
Ha cégnél dolgozol, és "véletlenül" rosszul állítasz be valamit, ami miatt személyes adatlopás történik, a céget nagyon megvághatják, hiába véletlenül bénáztad el a konfigot.
Ha meg "véletlenül" fértél hozzá nem a te jogkörödbe való adatokhoz, azt nyilván jelezheted, mert egy etikus ember vagy, de itt nem a "véletlenül történt" esetekről megy a téma, hanem a szánt szándékkal, "etikus hacker vagyok" címen elkövetett dolgokon.De mond meg akkor: Tegyük fel, hogy pár éve Uniscan-el észrevettem, hogy a wlap.hu oldalon van SQLInjection sebezhetőség, amit tegyük fel, hogy sqlmappal meg is néztem, és tegyük fel, hogy az ügyfelek összes adatát (személyi szám, cím, bankszámla szám...) ki tudtam volna dumpolni... Ha ezt megtettem volna bűncselekményt követek el? Pedig csak jelezni szettem volna nekik egy dump-al, hogy nagyon gáz az oldaluk.
Szerinted váll veregetést, vagy TEK ölelést kaptam volna?[ Szerkesztve ]
-
Az nem baj, ha úgy szól, hogy meglátta, az már más kérdés, hogy úgy szól, hogy előtte ő nyitotta ki, hogy aztán jelezze neked, hogy "figyu már, a táskádat könnyű kinyitni, figyelj oda, mert más nem olyan jófej, mint én, és ki is veszi a cuccot, miután kinyitotta."
A lényeget értsük meg: más az, ha azért szólsz, mert véletlenül észrevettél valamit,pl.: kiesett a telefon a farzsebből a buszon , vagy azért szólsz, mert előtte piszkálgattad a telefont, hogy vajon ki tud-e esni. Jó eséllyel az előbbinél kézfogás és köszönöm, utóbbinál gyomorszájas lesz a reakció.
-
Csakhogy életszerű példa is legyen: [link] , [link] , [link]
Mindegyik oldal sqlinjection sebezhetőségben szenved, mivel egy sima ' karakterrel mysql hibát tudsz előidézni, innentől meg az sqlmap szépen bejárhatja az egész weboldal mögötti adatbázist (sőt lehet, hogy az OS fölött is átvehetjük az uralmat...)
Ha azért jöttem erre rá, mert véletlenül leütöttem a ' karaktert, az teljesen más, mintha úgy jöttem rá, hogy először biztonsági scannerekkel végignéztem az oldalt sebezhetőségek után kutatva, majd miután az sqlinjectiont-t megtaláltam, kihasználva azt letöltöttem (illegálisan) adatokat az adatbázisból...
Aki ezt másképp gondolja, az adja meg a címét, ma este elmegyek és megnézem mennyire sebezhető a bejárati ajtó a házon, meg a zár a kocsin, de persze csak etikusan
[ Szerkesztve ]
-
Komolyan gondolod, hogy az én linkeim miatt törik majd fel ezeket az oldalakat? Googleba beírod, hogy: "php?id=1", és az első oldalon van a találati listában mind a 3. Szerinted hányan játszottak már ezekkel az oldalakkal? Mellesleg akkor a Google nak is szólj, hogy szüntesse be a saját exploit adatbázisát.
A nyomonkövetésről még annyit, hogy azért a webszerver logjaiban látszik, ha valaki web scannereket futtat, max az IP-t tudod tor hálózatban proxychainnel változtatni, de attól a logba látszani fog, hogy valaki próbálkozott.
-
Továbbra se érted a lényeget
A gdpr csak példa, hogy a digitális adatnak is nagyon nagy értéke lehet, mind1, hogy adatot lopsz, vagy BKK bérletet veszel 50 ft-ért, mind a kettő illetéktelen használat, rgo büntethető.A web logokba meg azért sokmindent látszik, de a webszolgáltatódat is felkeresheti a rendörség,hogy adja ki nekik a Te netforgalmadat (merthogy eltárolja egy ideig a szolgáltató)... Szóval azért ki tud az derülni, hogy ki mennyire véletlenül csinált valamint.
[ Szerkesztve ]
Új hozzászólás Aktív témák
it A történet jól rávilágít arra, hogy milyen sikamlós terület, milyen szürke zóna a kéretlen hackelés, milyen problematikus a megítélése. De egy kívülálló könnyen börtönben találhatja magát.
- gban: Ingyen kellene, de tegnapra
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Politika
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- LEGO klub
- Itt az első kép a 2024-es Nokia 3210-ről
- YouTube
- E-book olvasók
- Horgász topik
- Magyarországra is megérkezik az LG új okosmonitora
- További aktív témák...
