Új hozzászólás Aktív témák
-
#19482368
törölt tag
Örülne-e bárki, ha a lakása bejárati ajtaját nyitogatná egy vadidegen
Majdnem szó szerint ezek a gondolatok fogalmazódót meg bennem.Mag amúgy az tök jó, hogy a mai világban már elég egy Kali Linuxot telepíteni
Pontosan, és szinte minden szükséges információ szájbarágósan dokumentálva van. Sok esetben még csak gondolkodni se kell.
Én azzal egészíteném ki, hogy az a slussz poén hogy napi szinten jelennek meg friss sebezhetőségek, és sok esetben annak pontos dokumentálása megtalálható az interneten. Ellenben a sebezhetőség befoldozására kiadott patch-re relatív elég sok időt kell várni. Így a porul járt embereknek, üzemeltetőknek szinte esélyük nincs normálisan megoldani a problémákat. Főleg akkor ha valamilyen szinten érintett az adott sebezhetőségben.
Az a baj, hogy etikus hackelés mögé bújva próbál sok fiatal népszerűséget, elismerést, szerezni hogy hátha felfigyel rá valami komoly cég, és ezzel meg tudja alapozni a jövőjét. Sok mindent, mindenkit lehet hibáztatni, a jelenleg kialakult informatikai problémák miatt, sok esetben felelős a gyártó, a marketinges, az üzemeltető a tulajdonos, felhasználó stb.. De mindezt felülírja Murphy(O.o) gondolata, miszerint Örülne-e bárki, ha a lakása bejárati ajtaját nyitogatná egy vadidegen, azzal a felszólítással, hogy: "Etikus tolvaj vagyok
De lehetne mondani más példát is, attól hogy az alma fa ága, kilóg a kerítésen túl, még nem jelenti azt, hogy leszedheted a fáról. Ezek viszont olyan íratlan elvek, amiket elég rég óta ismerünk, csak éppen napjainkban túl sokan a kellő magasságból kezelik.[ Szerkesztve ]
-
#19482368
törölt tag
Azért ez nem egészen így működik.
Kevesen gondolnak bele, hogy az IT-ra a világ minden pénze is kevés lenne. Mert az IT egy olyan osztály, ami látszólag viszi a pénzt, de produktívan általában nem termel. Az IT-feladata az informatikai háttér kiépítése, üzemeltetése amire általában éves szinten egy előre meghatározott összeg áll rendelkezésre. Ezt az összeget kell beosztani az IT felső vezetőknek. És elég sok mindenre kell gondolnia előre. Pl ha egy etikus hacker felkérés hiányában nekilát hogy feltárja a sebezhetőségeket, valójában nem segít, hanem plusz költséget termel. Mert jobb esetben felkérnek külsős szakembereket, akiknek az a feladata hogy felfedjék a támadó kilétét, hogy utána eljárást lehessen indítani ellene. Egy ilyen team akár napi 500.000 Ft is ki tud számlázni. Ez plusz költség, ami az éves keret terhére megy. Erre rá jön az adott eszköz helyre állítása, esetlegesen cseréje. Na már most vállalati szinten egy switch, egy router, egy szerver nem éppen 10-20.000Ft Plusz szakember, aki igény szerint beállítja a szükséges biztonsági beállításokat. Azok a cégek, akik megtehetik hogy külső céget kérnek fel, a szükséges beállításokra nem kevés pénzt fizetnek ki. Olyan helyeken ahol mindezt nem tudják ki termelni az üzemeltetők, rendszergazdák feladata, ahol rendszerint a szükséges tanfolyamokra se jutnak el, mert nem fér bele a cég kiadásaiba. Azért ezek elég kemény pénzek, és nem minden cég tudja ezt ki termelni. Persze, van az a pont, amikor a lustaság, nem nemtörődömség is bele játszik. De ez nem ok arra hogy etikus hack mögé bújva, gyakorlatilag szándékos kár okozás történik.
A digitális világ, pont olyan mint a napjaink. Csak a környezet más, de ugyan úgy felelősségteljes emberek hoznak döntéseket. Semmiben nem különbözik, csak sokan azzal érvelnek hogy más, mert azt hiszik anonimok tudnak maradni, vagy mert látszólag bűntettlenül lehet felelőtlen döntéseket hozni. Pont akkora káosz van a digitális életben, mint a mindennapjainkban.
-
#19482368
törölt tag
Igen ebben is van nagy igazság. Én arra próbálok rá világítani, hogy közel se olyan egyszerű a probléma, mint azt sokan gondolnák. De ha az érem azt a részét világítjuk meg, hogy pont a kéretlen etikus hack mögé bújva, lőjük szarrá az egyébként sebezhető szervert. Akkor gyakorlatilag egy kevésbé etikus hackernek adunk nyitott kaput. Ami lehet, egyébként fel se keltené a figyelmét, mert nem lát benne potenciális lehetőséget. De ha már nyitva a kapu. akkor bolond lenne nem kihasználni. Pont ezért próbálnak erre valami szabályozást készíteni. Azért hívják etikus hackernek mert maga a célpont ad megbízást a hibák felderítésére, feltérképezésére, és dokumentálásra. Hogy a szükséges lépéseket meg lehessen tenni. Minden más támadási kísérlet, nem nevezhető etikus hack-nek.
-
#19482368
törölt tag
Igen a lényeg a nem feltétlenen van. De nyoma van, mert ... Mindig ez a vége.
Mindegy egyébként abban az aspektusban hogy nem nevezhető etikusnak. Hiszen a támadott fél tudta, belegyezése nélkül történik. Na már most, mi a garancia hogy nem megy tovább? Mi a garancia hogy nem vitt adatokat, és azzal nem él vissza? Azt hogy ő mondja, mondani mindent lehet. Tehát további kérdések merülnek fel. Ami már nagyon képlékeny.Mondok egy egyszerű példát. Van egy wifi hálózat, amire nem vagy jogosult csatlakozni. Ezen az AP-n mac-address szűrés van beállítva. Tehát elmondható hogy jogilag, védet hálózat. Mivel a mac-address szűrés is egyfajta védekezési megoldás, tehát védet hálózatnak minősül. Viszont a jog, nem terjed ki a biztonság beállításának mértékére, hatékonyságára. Tehát jogilag, ha rá csatlakozol, akkor betörést követtél el. Mivel a jog a beállított védelem hatékonyságára nem terjed ki. És itt a probléma. Tehát az hogy önkényesen neki esek egy szervernek, az nem etikus hack, hanem céltudatos támadás. A támadás viszont feltételezi a rossz szándékot. És itt dől meg a mutatvány, mert jogilag ezt kimagyarázni elég érdekes. Akkor nem feltételeznék a rossz szándékot, ha erre a wifi üzemeltető felkér. Ennek megvan a formája, szabályai. Ennek hiányában nem beszélünk etikus hackről jogilag. Van a másik végzet, amikor a AP üzemeltető, megköszöni a visszajelzést, és hatékonyabb biztonsági beállításokat alkalmaz. De ettől nem lesz etikus, csupán a támadott fél jó indulata, bizalma van mögötte. De lehet ezt csak félelemből írja, mert abban reménykedik, hogy ha megteszi a szükséges hatékony biztonsági beállításokat, akkor békén hagyod, és nem indítasz tovább ellene ilyen irányú támadásokat.
Hogy mit akarok a példával mondani, hogy nagyon képlékeny a ez a téma. És a támadó a támadott fél jó indulatára alapozik. Mint a gyakorlati példa is mutatja, amiből precedens értékű hír is lett, hogy bizony nagyon nem veszik jó néven, az emberek. -
#19482368
törölt tag
Értem amit mondasz, elsőre is megértettem. De véleményem szerint nincs különbség. Teljesen mindegy hogy etikusan, vagy etikátlanul él vissza az illető. Jogi értelemben, bűncselekménynek minősül mind kettő.
Az hogy valaki azt álltja magáról ő etikus hacker, és csak a sérülékenységeket térképezi fel, csupán jó indulatból, már önmagában ellentmondásos. Talán pont azért, mert nincsenek a szabályok lefektetve, a célpont nem ismeri a támadót, és semmire nincs garancia. Csak az hogy a támadó azt állítja magáról, ő etikus hacker, de mint tudjuk, mondani mindent lehet. Számomra pont annyira összeférhetetlen, mint amikor azt állítja valaki milyen jó fejek azok az emberek akik különböző programokhoz crack-írnak. Persze jó fej annak a szemében aki nem tudja megfizetni a terméket, de egyáltalán nem jó fej annak a csapatnak a szemében aki profit reményében pénzt, időt, energiát fektet a program megírásában. Na most akkor jó fej, vagy nem jó fej? Minden csak nézőpont kérdése.A támadás nem feltételezi a rossz szándékot Dehogynem, én még soha nem hallottam jó indulatú támadásokról. Illetve ez is nézőpont kérdése. pl ha a konkurencia web szolgáltatását folyamatosan ddos támadást kap, vagy tönkre teszik a webshop-ját az számomra jó, mint konkurencia, mert az ő ügyfelei is hozzám jönnek. De a támadott fél szemében ez közel se mondható el. Ismét csak nézőpont kérdése.
Az a helyzet, hogy azok a cégek, ahol nem fér bele egy ilyen vizsgálat költsége, annak csupán anyagi okai vannak sok esetben. Az hogy egy ismeretlen magát etikus hacker-nek kiadó láthatatlan személy, engedély nélkül vizsgálatokat kezdeményez nem jelenti hogy valóban a jó indulat vezérli. Főleg napjainkban. Okkal feltételezi a célpont hogy a felé induló támadás rossz indulatú. Főleg hogy nem adott ki ilyen jellegű megbízást. Gyakorlatilag, azon csodálkozom hogy mint emberi hiba tényező miért nem említik meg soha. Pl.. Jahh főnők a múlt héten egy jó fej etikus hacker feltárt sok sok sebezhetőséget, ő azt mondta nem élt vissza semmilyen személyes adattal. Látod főnök, vannak még jó fej srácok akik ingyen is elvégzik a rendszeren a sebezhetőséget. Bezzeg a szemét cég, képzeld főnök óránként 25.000Ft/fó óradíjat akart felszámolni nekünk ezért, és ő merő jó fejtségből ingyen elvégezte.
Ugye milyen vicces? Mert véleményem szerint közel se vicces. Semmi garancia nincs semmire, nincs ledokumentálva semmi, ami van az vagy úgy van, vagy nem. Tulajdonképpen azt se tudod ki az illető, mert mondani leírni mindent lehet. Számomra még mindig az az etikus hack, amikor megbízok célorientáltan egy céget, akinek ez a munkája hogy vizsgálja meg a rendszer sebezhetőségét, hogy min kell probléma esetén változtatni. Erről kapok egy jegyző könyvet, ledokumentálva miben mi a gyenge láncszem. És akár javaslatot add, mire cseréjük, javítsuk a problémás területet. Ez az etikus hack, minden más meglehetősen képlékeny.
-
#49
#19482368
törölt tag
Depression
#48
#19482368
törölt tag
válasz
Depression
#48
üzenetére
Legyen iroda, példában nincs jelentősége.
Jön egy betörő (és ezzel már meg is van, hogy mi a megnevezése) , aki a hecc kedvéért betör az irodába, és hozzáfér az ott dolgozók adataihoz. Majd szól, hogy jó lenne lecserélni a zárat, mert bármelyik másik betörő is simán bejut.
Eddig elég egyértelmű a helyzet.
Tehát eleve betörést bűncselekményt követ el. Szándéka ismeretlen, nem tud logikus, elfogadható magyarázatot adni tettére.Na de a betörő megint visszamegy, és látja, hogy semmi sem történt.
Nos ha én etikus lakatos vagyok, akkor ugyan jelzem a biztonsági problémát. De onnantól kezdve az iroda vezető, és a karbantartók feladata, felelőssége hogy valóban megtörténjen a csere. Ha etikus a lakatos, akkor ahogy átadta a feltárt biztonsági réseket, ejti az esetet, és tovább lép.Berág, és figyelmezteti az ott dolgozókat, hogy megvan minden adatuk, le fénymásolt mindent, mert az iroda üzemeltetője nem csinált semmit.
Tehát máris fény derült valójában mi vezérelte a cselekedetét, mi volt a cél. Tehát ezzel azt a bizonytalan magyarázatot is kirúgta a lába alól, miszerint ő etikus lakatos. Mivel ilyet egy etikus lakatos cég se csinál, felkérés esetén elvégzi a feladatott, feltárja az iroda vezetőnek mik a problémák. De annak gyakorlati kijavítása már nem az ő feladata. Kivétel, ha erre külön nem készül megbízás.Az iroda üzemeltetője feljelenti a betörőt, az megy a börtönbe, és ezzel vége a sztorinak.
Na ná, mert ezek után mi a garancia hogy zár csere után, nem ismétlődik meg ismét az incidens. Ezzel azt sugallja az iroda vezetőnek, felrakhatsz bármit, mert én majd jó meg szakértem. És ismét vehetsz egy másikat, mert nem felelt meg az etikus lakatos elvárásainak. Akinek ugyan semmi köz nincs ahhoz, hogy milyen zár van az ajtón. De ezzel elindít egy végtelen ciklust, aminek gyakorlatilag sosincs vége. Kb olyan mint a zsarolók, ha fizetsz, semmi garancia nincs arra hogy nem zsarol meg ismét, és nem követel további összeget. Egy megoldás van a problémára, az önjelölt lakatost, lekapcsolni minél hamarabb. Tehát az iroda vezető ebben a kérdésben helyesen járt el.[ Szerkesztve ]
-
#55
#19482368
törölt tag
Depression
#50
#19482368
törölt tag
válasz
Depression
#50
üzenetére
Azzal van bajom, hogy az irodavezetőt nem vonják felelősségre, mert nem a saját dolgait vitték el, hanem másokét.
Nos ez viszont egy teljesen más sztori, ennek aztán már végképp semmi köze nincs az etikus hack-hez.
Az irodavezető felelőtlenségere miatt indított felelősség vonás, büntetése ez az adott incidens mértékétől függ. Könnyen meglehet hogy a büntetés mértékét belső körben oldják meg. Lehet gondatlan adatkezelés miatt eljárást indít ellene a cég. De valójában teljesen mindegy, mert más asztalra tartozik.Ok viszont ezen az alapon minden internet szolgáltató ellen támadásokat kellene indítani, mert a lakossági ügyfelekhez kihelyezett eszközök nem felelnek meg a mai biztonsági elvárásoknak. Tehát ismét ott járunk, nagyon képlékeny a téma. Felelős lehet a rendszermérnök, fejlesztő, a marketinges, a gyártó soron álló munkás, az eladó, felhasználó stb.... Nem a felelős keresésben kell keresni a probléma megoldását. Sokkal inkább egy olyan rendszerek gyártása, amik eleve megfelelnek az aktuális biztonsági elvárásoknak. De hát ott járunk hogy az OPEN SSH-ban a mai napig találnak biztonsági réseket, csak úgy mint a hálózati eszközökben, processzorokban stb... Tehát, valójában egy rendszer sincs biztonságban. És mint fenti írásomban kifejtettem, ahhoz hogy valaki hatékonyan tudja csökkenteni a visszaélések lehetőségét, hatalmas beruházási költséget emésztene meg. Érted hol döglik meg a buli? Ezért írtam fentebb, közel se olyan egyszerű a probléma megoldása, mint azt sokan gondolnák.
[ Szerkesztve ]
-
#19482368
törölt tag
Minden csak nézőpont kérdése.
Ha egy cégnek az éves bevételébe nem fér bele, hogy az informatika eszközöket fejlessze, az elavult eszközöket cserélje. Annak bizony nem fog beleférni a keretbe hogy 25.000 Ft /fő óra díjat ki tudjon fizetni.
Nézzünk egy szerintem átlagos felkérést, a megbízott cég 2-4 embert küld ki általában. Persze ez probléma függő, de csak a példa kedvéért.Egy főnek 8 órában 200.000 Ft a költsége. Ha kevés 1 nap akkor ugye folyatódik a munka másnap. tehát máris 2 napra 1 fő 8 órában 400.000 Ft jelent. Egy ember nem csinál nyarat, sok esetben. Tehát lehet számolni 3-4 emberel. 3 fő esetén 2 munkanap alatt 1 200.000 Ft a költsége. Megtörtént a hiba feltárás, a jegyzőkönyv alapján eszköz csere indokolt. Ennek költsége legyen pl 500.000 Ft, A megbízott cég azt mondja hogy plusz 200.000 Ft megteszi a szükséges biztonsági beállításokat, és beállítja, beüzemeli. Tehát van egyszer egy
1 200.000 Ft a hiba feltárásra, 500.000 Ft az eszköz beszerzése. 200.000 Ft az eszköz feltelepítése, üzembe helyezése, és a szükséges biztonsági beállítások elvégzése. Ez annyi mint 1 900.000 Ft.
Szerintem ezt a költséget nem sok kis és közepes cég engedheti meg magának pluszban. És sok esetben ez a probléma.Látom tovább gondoltad az önjelölt etikus hack-et. Ez ebben a formában, még problémásabb a helyzet.
Tehát a kis és közepes vállalkozó, vagy ki termeli az IT infrastruktúra költségeit, vagy elfogadja, hogy etikus hack nevében ismeretlen személyek még jobban visszaélnek az adatokkal. illetve továbbítják a szükséges hátsó kaput jó pénz fejében akár a konkurenciának.Emberi oldalról megközelítve, mennyire szimpatikus ez a kialakult helyzet? Szerintem nagyon rémisztő.
[ Szerkesztve ]
-
#73
#19482368
törölt tag
justmemory
#72
#19482368
törölt tag
válasz
justmemory
#72
üzenetére
Kérdés: ha én feltöröm, majd csatlakozok hozzá és esetleg nekifogok torrentezni, vagy simán csak napi használatba veszem, de "semmi kárt nem okozok", akkor bűnös vagyok-e vagy sem...?
Igen, bűncselekményt követtél el. Ami akár büntetőjogi eljárást vonhat maga után.
Talán a jog még úgy ahogy, de vannak hiányosságok. Fentebb írtam egy példát, ott mac-address szűrést írtam mint védelem. A jog ugyan kiterjed a védet hálózatra, de annak hatékonyságára már nem terjed ki. Így a mac-address védelemmel ellátott hálózat is védet hálózatnak minősül. Az már más kérdés, ki mennyire tudja érvényesíteni a jogát. Vannak ugyan megoldások, hogyan tudja érvényesíteni az áldozat a jogait, de az plusz pénzbe kerül. És nem a Rendőrséghez fordulsz mert...A lényeg, megbízol egy normális céget, aki feltárja, ledokumentálja, és konyhakész anyagot, (tehát már megvan az elkövető), beadod az ügyészségre.... És a gépezet, bár lassan de elindult. Az ismét más kérdés hogy ennek mekkora a költsége, és mennyi az okozott kár. Ha az elkövető csak torrentezik az áldozat hálózatán, bár bűncselekmény, követ el minden tekintettben, de a büntetés mértéke szinte elenyésző. Tehát értsd, úgy hogy az elkövető ellen hogy eljárást tudj indítani, annak költsége magasabb, mint az elkövetőre kiszabott maximális összeg.
ugyanis a jogaidat, csak polgári úton tudod érvényesíteni. Illetve ha megnyered a pert akkor vissza jön az összeg, de azt az elkövető fizeti neked vissza. És hát a gondok akkor vannak, ha nem fizet, akkor ismét per, ami idő. Szóval van egy elmélet, meg egy gyakorlat, a kettő sok estben köszönő viszonyban sincs. [ Szerkesztve ]
-
#19482368
törölt tag
Nézd, bár értem hogy mit mondasz, de azonosulni nem tudok.
Ha valaki törvényes keretek között akar ettikus hacker lenni akkor itt lehet jelentkezni.
https://kurtakademia.hu/kepzesek/etikus_hacker_kepzes, vagy itt http://nik.uni-obuda.hu/etikushack/ Az etikus hackerek már a képzés alatt elkelnek. írja a http://news.uni-obuda.hu/articles/2017/08/01/az-etikus-hackerek-mar-a-kepzes-alatt-elkelnek
Akik ezen, keretek között végzik a tevékenységet, azok jogilag védve vannak. Tehát minden lehetőség adott, hogy törvényes keretek között lehessen valaki etikus hacker. Minden más önjelölt etikus hacker tevékenység mögé bújva nekiesnek egy rendszernek nem etikus hacker. Hanem közönséges bűncselekmény.Tudod erről az jut eszbe hogy mától etikus agysebész leszek, így gyanútlan járókelőkön kísérletezek, arra hivatkozva, hogy az emberi elme, agy nem minden része van teljesen feltárva, és több szem többet lát alapon vizsgálatokat csinálok. Tehát én valójában etikus agysebész vagyok.
Ugye érted.Biztonsági auditor cégek szoktak olyat csinálni
Igen mindezt szerződés kötés után, ahol mint jogilag, mint erkölcsileg minden le van dokumentálva. De te kevered a szezont a fazonnal. És erőteljesen ferdíteni próbálsz.Aha... vagy azt se tudják, hogy kéne, vagy nem érdekli őket.
Biztos sok ilyen vállalkozás, közintézmény van, ahol nem halottak róla, illetve ha hallott is róla, nem tudja kitermelni annak költségét. Főleg hogy sok helyen TP-Link all in one eszközök és társai biztosítják biztosítják a vonalat. -
#19482368
törölt tag
Látod itt vannak a gondok, és a félre értelmezés hogy pont az önjelölt, magukat etikus hackrenek mondó egyének, akarják magukat valódi etikus hackernek ki kiáltani. És egy kalap alá venni. Pont azzal a tevékenységgel, hogy ők ismeretlenül, mindenféle felügyelet, megállapodás, hiányában neki esnek rendszereknek, mondván ő etikus.
Tudod ebben a formában mondani mindent lehet, és vagy úgy van, vagy nem. Nincs semmire garancia.Az a helyzet hogy mivel biztosítva van annak a lehetősége, hogy törvényes úton etikus hacker legyen valaki, ezzel az önjelölt magukat etikus hackernek ki kiáltó emberek védekezési lehetősége, ki is lett iktatva. Tehát meg van különböztetve a jó, és rossz indulat. Ettől a pontól, meg bűncselekmény. Van olyan is hogy betörési kísérlet, az is le van szabályozva. És ugyan úgy büntetendő. Tehát, te hiába mondod magad jó indulatúnak, a törvények alapján, közel se vagy az. Az már más kérdés, ki hogyan éli meg. Lehet megköszöni, de lehet hogy eljárást indít az elkövető ellen. Mind kettő benne van a pakliban, és mindkettő lehetőséggel számolni kell.
Tehát elmondható, hogy törvényes keretek között van szabályozva, ki számít etikus hackernek, és ki nem.
Minden más, csak félre magyarázás.Ha valakit érdekel a hackelés, és mindezt törvényes keretek között akarja csinálni, erre is van lehetőség tudtommal. Pont a Kali oldalon van, vagy volt lehetőség ( Már régen voltam a Kali oldalon) különböző virtual image letöltésére, azzal a céllal hogy találd meg a gyenge pontot, és törd fel. Mindezt törvényes kereteken belül, büntetlenül. Saját develop környeztetettben. Tehát erre is van lehetőség. Ha te már profinak érzed magad, vannak cégek, ahova regisztrálsz és a feltárt sebezhetőségek után akár pénzbeli jutalmat is kapsz.
Szintén szabályozva, felügyelve van. Tehát elmondható hogy minden lehetőség meg van arra, hogy törvényes keretek között akár autodidakta módon megtanultakat, akár egyetemen végzett ember vagy, erkölcsi, anyagi hasznod legyen. És etikus hacker legyél.[ Szerkesztve ]
-
#19482368
törölt tag
Amennyire eddig láttuk, a valóság kicsit különbözik. Nem csak az lehet etikus hacker, aki vizsgás, hanem anélkül is.
Pontosan ez a probléma, hogy azok is annak vallják magukat, akik erre nem jogosultak."Nincs semmire garancia."Mire legyen?
Látod, pont ez a különbség a valós etikus hacker, és az önjelölt között. És ezt nem akarja pár ember megérteni.jó-e így a szabályozás? Valóban, vannak még meg nem oldott kérdések, amiket sokkal komolyabban kellene szabályozni, kontrollálni.
S mi lenne, ha azzal, hogy lenne törvényes _bejelentési_ lehetőség is
Sok cég biztosít erre felületet, sőt lehetőséget add arra hogy regisztráld magad. És az általad feltárt hibákat jelezni tudjad. Ahol nincs erre lehetőség, értelemszerűen adja magát. Másfelől gondolod hogy egy webshop biztosítani fog neked ilyen felületet? Ugye érted ....S mi lenne, ha azzal, hogy lenne törvényes _bejelentési_ lehetőség is, a hatóság nem egyből börtönnel meg büntetéssel reagálna, hanem együttműködéssel?
És mi lenne ha önjelölt emberkék nem azzal szórakoznának, hogy illetéktelenül, önkényesen neki essenek különböző rendszereknek?IT kultúra
Az IT kultúrának mindig is voltak irtott, és íratlan szabályai, amit pár jó képességű ember folyamatosan felrúg, és saját együgyű céljainak elérése érdekében és próbálja sajátságosan értelmezni.Akit észreveszünk, azon példát statuálunk, szétszívatjuk, megbüntetjük,
Az a világ ami szabályokban él, ez csak természetes. Ezen az alapon a betörőknek, gyilkosoknak is buksi simogatás jár. Mert ők csak felhívták a figyelmet egy rendszer sérülékenységére.Na most egy tetszőleges, publikusan neten lógó eszközt amúgy is folyamat ér támadás nap mint nap - scriptek, botok, és hackerek által, ha akarod, ha nem - akkor természetesen pont azt kellene megbüntetni, aki nem károkozás céljából tesztelte a hálódat. Aki kárt akart okozni, azt meg minek.
Nos ez már egy másik téma, igen az interneten az eszközöknek, programoknak meg kell tudni birkózni a folyamatosan felé érkező rossz indulatú kódoktól. Ez valamikor sikerül, valamikor nem. Naponta több ezer kártékony kód születik meg az interneten, azzal a céllal, hogy másoknak kárt okozzanak. Ennek megelőzése érdekében több cég, csoport napi szinten folyamatosan próbálja hatástalanítani, ami többé kevésbé sikerül is nekik. De ha mindezt figyelembe veszed, és plusz hozzáadsz egy céltudatos etikus hacket, már korántsem biztos hogy a rendszer hatékonyan tudd védekezni. Legfőképpen alacsony költségvetésű IT infrastruktúrák esetében. És biztos hogy valamilyen szintig el is jut. Annak mélysége, súlyossága, IT rendszer, függő. Ahol több pénz van a hatékony védelemre, és naprakészen tartására, ott kisebb az esély arra hogy komoly kárt okozzanak. Ahol erre nincs pénz, erőforrás ott nyilván hatékonyabban tudnak ténykedni. De ez nem jelenti azt, hogy ahol van rá pénz, erőforrás ott nincsenek visszaélések. Lásd a Drop-Box botrány, a yahoo botrány, stb... És az idén Agusztus 20-án ért Austriai Telekom ellen indított támadások ahol ügyfelek adatait szerezték meg. Ezek mind nagy cégek, komoly infrastruktúrával rendelkeznek. Ennek ellenére sajnos előfordulnak hibák, sebezhetőségek. Így felteszem a kérdést, mit akarsz te tesztelni? Kis és közép vállalkozásokat? Nuke mambo, joomla, WordPress portál rendszereket? Vagy lakossági előfizetőket? Ahhoz hogy normalizálódjon a helyzet, olyan eszközöket, programokat kell készíteni amik folyamatosan napra készek.és annak akár központi naprakészen tartását kell biztosítani. Amíg ez nincs szabályozva, és szankcionálva, addig nincs miről beszélni. Tehát a IT infrastruktúra biztonságossá tétele, abból kellene hogy álljon, hogy csak olyan eszközök lehetnek az interneten amikre még van támogatás. Amire meg szűnt, azt lekapcsolnák.
De a valóság az ez se járható út, megoldás. -
#19482368
törölt tag
Botnet nem kerdez, nem ker jogosultsagot. Ez így van, sajnos. De a botnetbe előtte valakinek be kell húznia magát az eszközt. Itt további kérdések merülnek fel, vajon napra készen frissítve volt az eszköz, ha igen akkor mindez hogy történhetett meg. Ha olyan eszköz, amire már nincs támogatás, mit keres a boltok polcain?
Menedzsment vallat von. IT biztonsagra PONT nem volt eleg forras...
Nos van ilyen is, meg olyan is. Azt kell megérteni, ahol nem tudják ki termelni az IT költségét, az nem fog tudni mit kezdeni a kialakult helyzettel. Az IT mint azt fentebb ki fejtettem hatalmas összegeket emészt fel. Ezt nem mindenki tudja kitermelni. Arról nem beszélve, hogy amilyen dinamikusan változik minden, aki napra kész akar lenni mindenben, sok esetben hatalmas erőforrást, és összegeket emészt fel. Ez viszont nem fér bele a költségvetésbe, sok esetben. Így csak akkor, csak azt ami okvetlen szükséges, miután előtte már a sokadik tűzoltás történt.Pont ezert kellene udvozolni a segitseget, nem? Mert elobb-utobb _biztos_ hogy tamadas eri a rendszert. Azt a webshopot amelyik lyukas mint az ementali es nem hajlando befoltozni a biztonsagi reseit azt egybol be kell zarni, helyet soval behinteni, tulajt megbuntetni es bitcoin-banyaban dolgoztatni
Egyetertek hcl-lel hogy kellene egy torvenyes lehetoseg, bejelenteni a problemakat mert nem elhallgatni kell oket hanem megszunteni. Surgosen.
Nem, mert sok esetben nem segítség. Sőt a jó indulat könnyedén, átfordul rossz irányba. Minden rendszert ér támadás, napi szinten. Az esetek döntő többségével meg is tudnak birkózni. Igen abban egyet értek, hogy olyan web-shop ami nincs napra készen tartva, le kell kapcsolni a hálózatról. Csak ennek meg jogi akadályai vannak. Ha olyan eszközök, szoftverek lennének amik megfelelnek az elvárásoknak akkor nem lenne baj. De sok esetben csak későn derül ki egy programba milyen hibák vannak. és már x ideje megy a visszaélés.
Erről ügyfeleit nagyon kevés cég értesíti, és tájékoztatja mikorra várható a biztonsági patch.
Tehát az lenne a normális, ha a gyártók, külön emailban tájékoztatnák ügyfeleit, hogy 2018.12.20-án megszűnik a termék támogatása. Vagy a szoftver támogatása. Szerintem ez sokkal tisztességesebb megoldás.
Ha bitcoin-banyaba kerül már nem beszélünk etikus viselkedésről. Tehát ez ellentmondás annak a filozófiának amit hirdetek.Ha joszandekkal teszik akkor hajra. Kulonben majd a botnetek megteszik ugyanezt es kozben a ceg vezetes probalja elsumakolni a dolgot, mikozben a kartyaadataim esetleg Kinaban vagy E-Koreaban kotnek ki.
Az en -mint kulonbozo szolgaltatasok ugyfele- jol felfogott erdekem, hogy minel hamarabb foltozzak be a lyukakat. Nem vigasztal hogy esetleg kesobb kapott buntit a ceg, ellenben futhatok az adataim es a penzem utan.
Nézd addig amíg eleve hamis biztonságot hirdetnek különböző cégek, addig csak az ártatlan ügyfelekkel van kiszúrva. Akik hiába próbálnak ki mászni, egyszerűen esélyük nincs. Mert a piac tele van gagyitális elektronikai hulladékokkal, programokkal. Ha csak azt nézzük hogy sok VPN cég ami a biztonságot hirdeti milyen szinten veri át az előfizetőit, akkor tulajdonképpen miről beszélünk. De meg lehet említeni a gagyitális hálózati eszközöket, amik lakossági szinten vannak üzembe helyezve, vagy a szolgáltatók által kihelyezett hálózati eszközök hatékonyságáról. Akkor most ezért a lakossági előfizetőket kell még pluszba büntetni? Hiába vesz 10-20-30.000 Ft eszközt, azok többnyire 1%-jobbak csak. És valójában ki kapja a büntiket? Nem a gyártó cég, hanem a vásárlóközönség. Szinte ugyan ez a helyzet mindennel.Naivitas azt gondolni, hogy minden rendben van,
Egy percig se hitegettem magam ilyen naiv gondolatokkal. Csak arról van szó, hogy valójában közel se olyan egyszerű a megoldás. Azzal hogy kéretlen etikus hack megy, csak olaj a tűzre sok esetben. És a probléma se oldódik meg, sok esetben. Vagy éppen elfajul. A másik fele tudod mint a lakosságnak, mint cég vezetőknek, üzemeltetőknek tele van faszuk ezzel az egésszel. Mert a hal, mindig a fejénél bűzlik. Mint fentebb írtam, a termék megalkotói a felelősek, az ő trehányságuk, nem ügyfélközpontú gondolkodásuk vezetett ide, ami van. Kiadok egy terméket a piacra, 1-2 frissítés, és sorsára hagyom, mondván vegyél másikat, újabbat. De a meglévő ügyfeleket csak az új termékről értesítem, a régiek megszűnéséről már nem.
És ez a probléma. Hogy nagyon profit orientált lett minden, a minőség, megbízhatóság rovására. Ezzel viszont nem tud sok cég, mit kezdeni, mert esélye nincs arra hogy felvegye a versenyt. Arról nem beszélve, hogy a rossz indulatú kódok napi szinten jelennek meg. Azt osztályozzák milyen erősségű és nyilván a magasabb kockázatú hiányosságokat próbálják befoltozni. De ez is idő, így a rossz indulatú kódok mindig eleve potenciális előnyben vannak. Tehát helytálló megfogalmazás ha azt mondom rombolni sokkal könnyebb, mint építeni. De az igazság az, hogy a díjat az építők kapják, és nem a rombolók.[ Szerkesztve ]
-
#19482368
törölt tag
Nem a vizsga a lényeg. a hangsúly, részemről a legálisan van volt eddig is. Ha vizsga nélkül alkalmaz egy erre szakosodott cég, azzal nincs semmi baj. Az csak a cégre tartozik, senki másra. Nekem azzal van bajom, amikor mindenféle felkérés, egyeztetés nélkül neki esnek emberek egy rendszernek, miközben magát etikusnak állítja be. Holott erről sok esetben szó nincs, sokkal inkább arról hogy etikus hackerek mögé bújva, gyakorlatilag, betörést csinál. Ebben az esetben semmire nincs garancia, csak amit a logok mutatnak, már ha nem törölte, illetve az elkövető állít. De mint olvasható fentebb, sok esetben azzal hogy feltárta a sebezhetőséget, közel se áll meg a történet. Valaki fentebb leírta, hogy behelyezett egy back-dort. és a konkurenciának eladta. Hogy ennek mennyi a valóság alapja, ezt nem tudom megítélni, nyilván nem véletlen írta az illető. Felmerül a kérdés mennyire mondható etikusnak. Ha egy cég aki ebből él, egy ilyen incidenst nem engedhet meg magának. Csak olyan emberek akit közel se a jó szándék vezérel.
Ellenben ha a cég, felkér egy erre specializálódott céget, ott minden le van dokumentálva. Felügyelt, kontrollált körülmények között van minden.
[ Szerkesztve ]
-
#19482368
törölt tag
Nem tudom osztani a véleményeteket. Mert pont ti akarjátok az egészet egy kalap alá vonni.
Ami erősen súrolja a határokat.Először is különbségeket kell tenni.
1. Nem, nem esünk neki különböző rendszereknek, hálózatoknak, illetéktelenül mert bűncselekmény.
2. Ahol biztosítva van, bejelentési lehetőség, sőt külön meg kap minden támogatást, segítséget, az addig a pontig amíg betartja a szabályokat, teljesen rendben van. Ezzel nincs semmi baj.
3. Egy kis vállokozás, ahol minden alacsony költségvetésen van, nem fog ilyen lehetőséget biztosítani, mert ha tisztába van is a sebezhetőségekkel, de annak megoldási költségeit nem tudják sokan ki termelni.
4. Azzal ha neki esik mindenki minden rendszernek, azzal a címszóval hogy ő csak Penetration Testinget csinál, és ő etikus hacker elindul egy olyan folyamat, láncreakció ami még jobban megnehezíti az egyébként is sok sebből vérző internet-et. Akin Penetration Testing-et csinálnak, és észreveszi időben, nem tudja hogy te etikus, vagy kevésbé etikus hacker vagy. Ezért sokkal jobb megoldás ha mindez szabályozva, felügyelve van.
5. Egyáltalán nem normális hogy a mai fiatalok, filmeket, zenéket, programokat tulajdonítanak el. Én a mai napig azt az elvet preferálom, ha tetszik egy film, zene, program akkor megveszem. Ez egy fajta tisztelet, az alkotó munkát végző személyek felé. És ez a normális. A kenyeret se lopom a péktől, hanem megveszem. Ez a normális, hozzáállás,és nem az hogy eltulajdonítom. Az hogy milyen irányba mennek a mai fiatalok, közel se mondható jó iránynak. Mint fentebb leírtam, rombolni könnyebb, mint építeni. Sokkal inkább az építésre kellene motiválni a fiatalokat, és nem a rombolásra. Ebbe benne van részemről az etikus hack-is. Ha már annyira profi vagyok, akkor az energiát az építésre kell fordítani. Tehát, akkor írok egy tuti rendszert, amiért vállalom a felelősséget. És ha kész vagyok, bebizonyítom az ügyfeleimnek miért jó ha az általam írt, programot használja. Ez a normális hozzáállás. Ha valóban jó az amit csinálok, sokan lecserélik az egyébként több sebből vérző rendszert.Egy más aspektus pedig az, hogy milyen mértékben növeli a botnetek méretét az, hogy az IT infrastruktúrával rendelkező cégek ~98%-ka nem fizet meg semmilyen biztonsági céget hogy feltárja a hibákat Igen sajnos ez így van, és a helyzet csak rosszabb lesz. Addig a pontig amíg erre se születik meg egy szigorúbb szabályozás. Legyen az terméktámogatás, support stb...
Ez megelőzhető lenne azzal, hogy azok a szürke zónában mozgó, de mégis etikusan eljáró hackerek, akik mondjuk csak hobbiból, vagy gyakorlásból űzik ezt az ipar, büntetlenül szólhatnának a mikrovállalkozásoknak, hogy "heló, amúgy sebezhető a rendszeretek, és csak idő kérdése, hogy ezt más is észrevegye". Mint írtam, több cég biztosít erre felületet, de ez mint tudjuk nem megoldás. A megoldás az, hogy előtérbe kell hozni a minőséget, megbízhatóságot. De addig amíg napi szinten jelnek meg olcsó gagyi eszközök, és arra van vevő addig nincs normális megoldás. A vásárlóközönséget büntetni, meg szintén nem szabadna hogy előforduljon. Tehát felülről bűzlik a hal, és addig amíg ott nincs rend, szigorúbb szabályozás, addig nincs normális megoldás se, csak szar tologatás.
Amúgy mi a véleményed azzal, amikor nem hálózaton keresztül próbálsz meg betörni valahová, hanem egy adott szoftver sérülékenységét teszteled localhoston? (gondolok itt mondjuk egy böngészőre).
Mit gondolok erről, hogy baromira nem etikus, hogy így belülről lehet rombolni az infrastruktúrát, hogy addig a pontig amíg nincs rá normális megoldás, addig sajnos egy átlag ember, felhasználó nem fog tudni mit kezdeni. A fő gond, hogy sokszor azok se tudnak rá megoldást, akiknek valamit kellene ezzel kapcsolatban virítaniuk. -
#19482368
törölt tag
Ismét sikerült saját céljaid elérése érdekében félre értelmezni soraimat, de ettől szájbarágósabban,nem lehet elmondani, hogy nincs hobbi hack csak hivatás .... . És közel se mondható jó szándékúnak, mint több példa is igazolja. Ha a hack-re van affinitás, akkor vannak erre szakosodott cégek, le lehet szerződni. És törvényes keretek között, szabályozva mehet az etikus hack, megrendelés alapján. És még fizetnek is érte, tisztességesen, becsületesen. Minden egyéb bűncselekmény, amin szigorítani kell. És még jobban szabályozni, ne lehessen a valóban etikus hackerek mögé bújni, azzal takarózni hogy én etikus hacker vagyok, és ezzel elkerülni büntetőjogi büntetéseket.
-
#19482368
törölt tag
Mit jelent az, hogy szigorítanád a black hat hackelést? Hogyan?
Ez nem nekem kell kitalálni, megoldani. Erre vannak külön specializálódott emberek.Ez egy elméleti lehetőség amire gondolsz
Jelen állás szerint ez egyértelmű, hiszen a gyakorlat más. De akár működhetne normálisan gyakorlatban is.10 év börtönt adnál egy SQLi-ért?
Nyilván nem, meg tudod egy ifjú titán fiatal harcos életét se tenném szívesen tönkre, egy ilyen hülyeség miatt. Ugyanakkor azt figyelembe kell venni, hogy az ami jelen pillanatban van. egyáltalán nem jó irány.Hogyan találod meg az elkövetőt aki TOR-on keresztül
Bizonyos városi legendák azt mondják, hogy semmit nem jelent hogy TOR mögött van az illető, mert ugyan úgy beazonosítható. Természetesen bizonyítékok hiányában se megerősíteni, se cáfolni nem tudom ennek az információnak a hitelességét.A kis cégek mindig védtelenek maradnak majd, akiket könnyen betámadnak, mert 10 éve a szomszéd főiskolás srác írt nekik egy PHP siteot... Nem folytatom.
Pontosan erről szól részemről az egyik sztori. Hogy Marika néni virágboltja, fodrász web oldala stb ... teljesen felesleges etikus hacket csinálni, mert nem fog tudni mit kezdeni vele. Max vissza állíttatja valami régi backup-ból. Tehát teljesen felesleges az erődemonstráció, mert célját nem éri el. Innentől kezdve meg minek... hacsak nem visszaélni akar vele, viszont ebben az esetben nem beszélünk etikus hackröl. És teljesen más a story.[ Szerkesztve ]
-
#19482368
törölt tag
Pedig pontosan ez az amit fontos lenne megérteni, hogy ezekből a szerverekből lesznek a legkönnyebben botnetek.
Igen ez így van sok esetben sajnos. De nem tudsz vele mit kezdeni. Ahogy Marika néni se. Sőt tovább megyek még a hosting se tehet semmit. Tehát mi a megoldás? A legjobb az lenne ha lekapcsolnák, és addig nem engedik vissza, amíg nincs a probléma megoldva. Csakhogy ennek meg jogi akadályai vannak. Marika néni nem tudja ki termelni hogy normális szakemberek megcsinálják neki, de még csak utána a support-ot se. De neki mint reklám felület, mint az ügyfelekkel való kapcsolattartás viszont elengedhetetlen. Lezúzod a weboldalát, azzal anyagi kárt okozol. Tehát, nincs normális szabályozás erre se.A motiváció az mindig van, ebben nincs probléma.
Sokkal inkább mással.
nagyon nagyon kevés olyan etikus hacker van a szakmában
Osztom véleményed.
Ez tényleg nem fekete és fehér.
Pedig normális mélyre hatolóbb szabályozások esetén akár lehetne az, nem csak erkölcsi, de jogi úton is.
"még egy nmapot sem futtatok le engedély nélkül"
Nos igen, az nmap mint port-scan, anno alapban feltételezte a rossz indulatot. Mára egy port-scan, és akkor mi van? Az még önmagában semmit nem jelent. Ami elgondolkodtató, mit hoz a jövő. És mennyire lesz még kerítés. Már ha lesz. Kicsit elkanyarodva a témától, ha csak azt vesszük alapul hogy a fiatal párkapcsolatok tönkre mennek, és mennyire élnek vissza a párok az okos otthon hozzáféréssel, csak hogy egymáson szánalmas bosszút álljanak. Bizony elgondolkodtató, mennyire jó is az irány. És itt most nem beszélünk hack-röl.
UI: még hozzátenném, hogy anno a mi cégünket is megkereste egy etikus hacker, hogy sebezhetőségeket talált a szerverünkön,......
Nos ez a jobbik eset, és feltételezhető a valódi jó indulat. Viszont, sok esetben napjainkban ez közel se mondható el.[ Szerkesztve ]
-
#19482368
törölt tag
Bazz én erről pofáztam végig. Ezek tekinthetők etikusnak. A többi nem. (DDOS-olni meg mindenki tud, egy etikus hacker azt pont nem fog.) Egy ilyet miért kéne rendőröknek elkapni? Milyen kárt okozott?
Az a baj hogy még mindig nem érted. Jelen esetben, egy szerencsés helyzet lett a végeredmény. De ez nem jelenti azt, hogy törvényesen járt el az illető, és hogy ez teljesen rendben van. Közel sincs rendben, és közel se ez a megoldása.
Amúgy, a közlekedésben is van műszaki vizsga, és a hatóságot sem érdekli, hogy te ki tudod-e termelni a gépjármű árát, ha pl. munkaeszköz. Ha nem biztonságos, nem közlekedhet.
Bár értem a hasonlatot, sajnos az informatikában ez közel se így működik, jelen pillanatban.Valakinek nagy örömére, valakinek kárára. Attól függ ki melyik oldalon van.Amúgy ha Marika néni virágboltos oldalán találsz valami sebezhetőséget, akkor miért kéne backupból visszaállíttatnia? Nem zúzza le, az etikus hacker csak megvizsgálja. Nem válik elérhetetlenné.
De ha Marika néni oldalán keresztül megtörik a hosting szervert (mert nem voltak kijavítva a hibák), akkor igencsak zabos lesz valaki.
Mert mondjuk, vissza tért a vélt etikus hacker, és nem látott semmi változást ezért szétbarmolta a .......
Ha Marika néni web oldalán keresztül megtörik a hostingot, baromira nem fognak vele foglalkozni. Mint ahogy eddig se tettek ellene semmit. Illetve annyit tesznek hogy áteszik egy olyan szerverre ahol hasonló sorsra került web oldalak vannak.[ Szerkesztve ]
-
#19482368
törölt tag
Még mindig nem akarod érteni, de én befejeztem. Mert ha nem akarod érteni, amit mondok akkor teljesen felesleges.
Még mindig a lényeg, ha nincs felkérés, csak önkényesen neki esel valaminek kurvára nem vagy etikus, bármennyire is a jó szándék vezérel, és mindig a támadott fél jóindulatán múlik hogy mik lesznek a következmények.Az hogy mindenki mindennek neki essen, arra hivatkozva hogy ő etikus, semmilyen formában nem elfogadható. Ezért vannak erre ellenörzött felügyelt cégek, akiket a törvény ilyen formában egyfajta védelmet biztosít. Mert mondani, lehet bármit. Még mindig más a történet, ha te egy ilyen cégnél dolgozol. és erre kapsz megbízást. A kettőt nem keverjük.
-
#19482368
törölt tag
Dehogy is, szó nincs erről. Nincs nekem semmilyen portálom, site-om stb...
De még csak morci se vagyok. Csak máshogy látom a dolgokat.Az egyébként is sok esetben teljesen kiszolgáltatott emberek, legyen az lakossági, kis, és közép vállalakozók. eddig se tudtak mit kezdeni a kialakult IT helyzettel. Ha ehhez hozzá jön, egy szabadabb etikus hack lehetőség, akkor ezeknek az embereknek teljesen vége. Rengeteg, bosszankodás, kiesés, stb... nem részletezem.
Mindez pont azért mert nem felügyelt, körülmények között van. És nincs utána semmi szankció. Egy valamire lehet alapozni, ami napjainkban már így is sok esetben elég instabil az a szó. De mondani mindent lehet.Ez egyáltalán nem jó hosszú távon. Illetve nyilván attól függ melyik oldalon van az ember. Az egyébként is kiszolgáltatott emberek nézőpontja, és védelmét figyelembe véve, közel se etikus, egy ilyen szabad az etikus hack megoldás.
Új hozzászólás Aktív témák
it A történet jól rávilágít arra, hogy milyen sikamlós terület, milyen szürke zóna a kéretlen hackelés, milyen problematikus a megítélése. De egy kívülálló könnyen börtönben találhatja magát.
