Új hozzászólás Aktív témák
-
Hi!King
őstag
Dolgoztam sok év alatt egyre szarabbá vált gigaprojekteken, olyanon is, hogy 15-20 éve random indiai arcok kedték, de másfél év az átlagos fluktuáció, így 10-szer lecserélődtek azóta a fejlesztők.
Még ehhez képest is volt ami megdöbbentett a kódban, pedig csak random néztem bele. A magyar elnevezések már önmagában megdöbbentettek, de mondjuk gyakorlati szempontból ez még a kisebb baj.
-
ddekany
veterán
Aki dolgozott akárhol sok-sok éve futó gigaprojekteken, az tudja, hogy a legtöbb "egy rakás sz*r". De kitartóan kalapálják őket, ezért jobbára működnek. Hogy KRÉTA mennyivel kisebb vagy nagyobb sz*r mint a tipikus ilyen jellegű projekt, nem tudom, de esélyes, hogy túl van ez tolva a sajtóban. (Láttam a SQL injection védelmet, igen... Remélhetően tényleg csak ottfelejtődött régiség. De az nyilván nem egy átlagos minta a forráskódból, hanem az volt a legcikibb, amit hirtelen találtak.)
-
-
Chaser
legenda
másik oldalról, ha ártó szándék lett volna a háttérben, azt "direktben" is megoldják
de ilyen nem volt, se egyéb dolog ami azt igazolná bármilyen kárt akartak okozni
hatásos ösztönzés az volt
engem az érdekel, a jövőben megpróbálják-e ennek elejét venni az illetékesek - mármint nem azt, hogy esetleg meghackeljék a csodáikat, hanem hogy ilyen szutykokat kiengednek élesben -
lesz-e valami felügyelőszerv ami politika és hülyeség mentes, nem mellesleg olyanokból áll akik értenek is ahhoz amit csinálnak - első blikkre sajnos nem, fel sem merül bennük hogy ez lenne a megoldás - -
Hi!King
őstag
Én elolvastam a cikket, és nem győzött meg abban, hogy a fejlesztés ne lett volna trehány. Egyrészt én nem csak a közösségi oldalakon kiemelt részleteket néztem meg, hanem belenéztem több helyen a kódba is, és mindenütt gányolással találkoztam. Ennek ellenére meg tudom érteni mezei fejlesztő szemszögéből, mikor kapsz egy eleve gány kódot, és mindig gyorsan kellenek a feature-ök vagy a hibajavítások, esélyed nincs jobbítani a kódon. Plusz követtem el én is rossz kódot úgy, hogy a specifikáció napi szinten változott, attól függően épp kiből milyen további részleteket tudtam kiszedni, vagy adott esetben az illető egyik nap 180 fokban az ellenkezőjét mondta, mint a másik nap, így a kód is ennek megfelelően alakult.
Csakhogy a fejlesztésnek része az is, hogy hogyan szervezik, tervezik a munkát, ebben viszont vitathatatlan a fejlesztő cég felelőssége.
Emellett megjegyzem, abból, hogy random belenéztem a kódba itt-ott, én azt a következtetést vontam le, hogy az új modulok is problémásak, tehát nem állja meg a helyét, hogy kizárólag az örökölt kódbázissal van gond.
Ami az sql injectiont illeti, ha már nem használták, miért hagyták ott szemétnek? Értem, hogy sokszor ottmarad szemét, de konkrétan egy ilyen kód otthagyása plusz biztonsági kockázatot jelent, hiszen bármikor jöhet egy új fejlesztő, aki nem elég alapos, ami egy szar céges kultúra esetén előfordulhat, ha rugdossák, hogy legyen már kész, és ezt a kódot hasznosítja.
Összességében a kódot látva én azt mondom, hogy amit biztosan tudunk az az, hogy a fejlesztéssel gond van. Ez nem jelenti azt, hogy az egyes fejlesztők mind elkúrták, de a fejlesztés egésze biztosan rosszul működik.
Ha egyetemi oktató lennék, és lenne befolyásom valamely karon, illetve tanszéken, akkor egy választható tárgyat indítanék, ahol azt tanítanám, hogy hogyan ne, és egyből lehetne kezdeni ezzel a kóddal. Bizonyos szempontból jobb oktató anyag, mint a WebGoat, mert ezt maga az élet szülte.
-
#41
hemaka
nagyúr
philoxenia
#40
hemaka
nagyúr
válasz
philoxenia
#40
üzenetére
Embertelen mennyiségű pénzt borítottak már bele, fent vannak a szerződések, össze lehet adogatni, de így hasra ütve is már bő 4 milliárd felett járnak és ezt sikerül(t) felmutatniuk. Persze azzal tisztában vagyok, hogy ebben az országban ebből az összegből alsóhangon a 95%-a eltűnt valahol útközben...
-
#40
philoxenia
MODERÁTOR
philoxenia
MODERÁTOR
A cikkhez sokat hozzászóló fórumtárshoz hasonlóan én sem értek a programozáshoz. Azonban egy országban az számít bűncselekménynek, amit a törvények annak minősítenek. Éltem olyan országban, ahol pl. a sztrájk az volt. Ja, most is olyanban élek...
Ez egy "fogd meg a söröm" ország. A pandémia alatt hirtelen és azonnal kellett az akkor nem tudom milyen állapotban lévő rendszert online oktatásra átállítani. Ezt figyelembe véve, valamint azt, hogy egy állami megrendelésnél két dolog szokott számítani: a bizalom a nyertesben és a minél alacsonyabb ár a projekt elkészítőjénél, nem tudom miért csodálkoznak azon emberek, hogy ez a rendszer ilyen lett. Tegnapra kellett elkészíteni fillérekből nyilván, mint minden mást általában. Versenyről mint olyanról eleve nem lehetett szó, ez egyértelmű. A "gyorsan jól és olcsón" opciókból köztudomásúlag kettőt lehet választani. -
gregory91
senior tag
"Szóval lehet próbálkozni védni a védhetetlent, de sok értelme nincs..."
Akkor te miért erőlködsz?
Elsősorban ha cég lennék nem adnám át százezrek adatait tartalmazó adatbázis kezelését egy laikus személynek akik - ezek szerint - még az alapvető megelőző lépésekről se volt tisztában.Ha ők betudtak ennyi erővel mások is betudnának lépni.
Másodszor az eset nem most történt:Szeptemberben történt az eset ennyi idő(60 nap és nem 30) alatt simán ki lehetett volna küszöbölni a rendszer sebezhetőségeit biztonsági szakértők bevonásával.Azóta megtörtént a foltozás? Hamarosan kiderül.... -
riki
senior tag
Bocs ,de a nagy cégek komoly lét tolnak bele abba a 30- 90 napba,de te hallottál ilyenről ? Azt mondták volna ,hogy gyerekek ennyi a cél prémium ,ha addig nincs szivárogtatás. Minden résért célprémium. Ha a Telexnek sikerült felvenni velük a kapcsolatot,akkor a szürke zónában más is megtehette volna,és az adatok biztonságban maradnak. Lehet védeni a mundért, de ha elb...tuk,legalább a felhasználó ne érezze,hogy veszélyben van. Van elég baja ,így is.
-
-
Chaser
legenda
én egyiket se védem, de ha valakit s_ggberúgnék nem a hacker banda lenne, az biztos
akiket tényleg elő lehetne venni lapítani fognak mint sz@r a fűben, ez a nagy baj - és persze simán megússzák -
a hacker banda ellen meg hajtóvadászat indul, ez itt agyarország, ez van
egy normális országban csoportosan szétperelnék az illetékeseket - és meg is nyernék -, itt semmi nem leszfatal`
ha ártani akartak volna kib@sznak mindent telibe' vagy részlegesen, nem a forráskóddal játszanak
nyilván nem véletlen rakták ki, aki kompetens az lássa hogy egy rakás sz@r az egész - én nem vagyok az -szerintem
-
Egon
nagyúr
De, a fejlesztéssel van a gond. Az a fejlesztő, aki belemegy abba, hogy egy többszörösen elavult, és amúgy is szar kódrészletet felhasznál, és ehhez a nevét adja, az gond. nagyon is, főleg hogy nem a nagymama képeit tárolja az a rendszer.
El kellene olvasni a telexes cikket. Utána értelmezni. Esetleg akkor nem írnál ekkora blődséget.
-
Egon
nagyúr
válasz
gregory91
#30
üzenetére
Mert mondjuk jófejeknek akarnak tűnni, a laikus közvélemény számára.
Az iparági gyakorlat minimum 30 nap: [link] Úgy 30 nap, hogy csak a gyártót értesítik, nem telekürtölik vele a netet, hogy XY program sérülékeny, hátha más is megtalálja a rést...
Szóval lehet próbálkozni védni a védhetetlent, de sok értelme nincs... -
dolon75
senior tag
Az egy dolog, hogy valami béna kódra épül.
Szerintem sok alkalmazás van így.
Amelyeket aztán vagy dobnak, vagy nem.Ami konkrétan számomra itt bicskanyitigató, hogy ezt nem egy kis költségvetésű cég követte el. Valahol olvastam, hány milliárd Ft volt a bevétel. Ebből biztosan futott volna még pár fejlesztőre, akii folyamatosan javítják a kódot
De nem, biztos kellett a pénz a sokadik kocsira, vagy házra.
Rohadt kapzsiság.
-
fatal`
titán
Jogilag bűncselekmény lenne. De a forráskód közzététele azt a cél szolgálta, hogy felébressze a többi embert, hogy a saját érzékeny adataik veszélybe vannak, méghozzá úgy, hogy nagyívben szarnak rá a fejlesztők.
Nem lenne, hanem az. Ez nem a többi embert ébreszti fel, hanem a többi crackert. Aztán legközelebb lehet, hogy tényleg landolnak a személyes adatok valahol (ha még nem vitték el őket korábban).A bankszámládról minden hónapban lecsippentenek 10eFt-ot, amiről te sosem kapsz jelzést, és a végösszeg is mindig a fals értéket mutatja. Abban a hitben vagy, hogy milyen fasza neked, egészen addig, míg egy hacker be nem megy a rendszerbe, és felhívja a figyelmedet, hogy bizony át vagy b.szva a palánkon, és nem haszonszerzés céljából teszi. Nos akkor megköszönöd neki, vagy letartoztatod a szemét bűnözőt? Nos?
Azt lehet, hogy megköszönöm neki. Ha közzéteszi a banki szoftver forráskódját a neten azt biztosan nem.Milyen tanúsítványt tettek közzé, amivel ártottak az ériontett ügyfeleknek, akiknek az érzékeny adatait tárolták?
A forráskód csomagban van tanúsítvány is, többek között az EESZT kapcsolattal. Ezeket már valószínűleg cserélték. Azt nem tudom, hogy jelszó volt-e melléjük, de ha cserélni kellett őket, akkor az máris pluszmunka volt egy másik rendszerben, ami bizony károkozás.És egyéb rendszerekhez is kapcsolódik a kréta.
Hiába állítasz itt be bárkit jóindulatúnak, ez bizony károkozás. Amióta közzétették a forráskódot, azóta nem áll fenn a károkozás nélküli "jófej-hack", hiába állítjátok be így.
Ettől még a rendszer egy kalap szar, azonnal le kéne állítani. A céget meg meg kéne büntetni 20 millió euróra
-
Shyciii
veterán
Betörni egy rendszerbe bűncselekmény. Közzétenni az onnan lopott (a minőségtől eltekintve) forráskódot pedig minimum anyagi kárt okoz, de ha akarom akár ipari kémkedésnek is tekinthető.
Jogilag bűncselekmény lenne. De a forráskód közzététele azt a cél szolgálta, hogy felébressze a többi embert, hogy a saját érzékeny adataik veszélybe vannak, méghozzá úgy, hogy nagyívben szarnak rá a fejlesztők. De vegyünk egy másik példát. A bankszámládról minden hónapban lecsippentenek 10eFt-ot, amiről te sosem kapsz jelzést, és a végösszeg is mindig a fals értéket mutatja. Abban a hitben vagy, hogy milyen fasza neked, egészen addig, míg egy hacker be nem megy a rendszerbe, és felhívja a figyelmedet, hogy bizony át vagy b.szva a palánkon, és nem haszonszerzés céljából teszi. Nos akkor megköszönöd neki, vagy letartoztatod a szemét bűnözőt? Nos?
És nem csak forráskódot tett közzé, hanem többek között tanúsítványokat is. Hiába véded, ez károkozás és morálisan erősen megkérdőjelezhető.
Milyen tanúsítványt tettek közzé, amivel ártottak az ériontett ügyfeleknek, akiknek az érzékeny adatait tárolták? -
Glenda
addikt
ráadásul kurva sok pénzért
Pont ezért nem érzem bűncselekménynek, inkább azt bicskanyitogatónak, hogy:
- Ennyit fizet(t)ünk ezért a szemétért
- Ebben tárolják az érzékeny adatainkat (gyerekek betegségei pl)
- Nem javítani, hanem elkenni akartákés ami a leginkább fáj, hogy mindezt azért így, mert egy feljelentésnek a tákoló cég/minisztérium/felelős ellen semmi következménnyel sem járna.
Én úgy látom, hogy amíg tényleg csak a figyelemfelhívás történik meg és nem derülnek ki az érzékeny adatok, addig lehet illegális, de legitim a dolog.
-
fatal`
titán
Fordítva ülsz a lovon.
Nyilvánvalóan, ha a fejlesztő teszi közzé a saját szoftverét, akkor nem.
Betörni egy rendszerbe bűncselekmény. Közzétenni az onnan lopott (a minőségtől eltekintve) forráskódot pedig minimum anyagi kárt okoz, de ha akarom akár ipari kémkedésnek is tekinthető.
És nem csak forráskódot tett közzé, hanem többek között tanúsítványokat is. Hiába véded, ez károkozás és morálisan erősen megkérdőjelezhető.
Random zárt forrású program forráskódját ellopni és közzétenni semmiképpen sem kifejezetten jó dolog.
-
#20
Shyciii
veterán
aprokaroka87
#19
Shyciii
veterán
válasz
aprokaroka87
#19
üzenetére
Nincs olyan programkód, amit eleve nyílt forráskódúnak terveznek, vagy sem. Ez egy "elhatározás", semmi több.
Mint az összes kormánypárti tendernyertes cégek által tervezett hulladék szoftvernek, ennek is volt takargatnivalója. -
Shyciii
veterán
A gondatlan adatkezelés is minimum problémás, ez nyilvánvaló.
Minimum problémás?
hol élsz te? legalább annyira problémás, ha nem jobban, mint hogy valaki betört a rendszerbe ÉS ezt jelezte, mert nem adatlopás, és haszonszerzés vezette, hanem a rendszer gyengeségére akarta NYILVÁNOSAN felhívni a figyelmet, mert amúgy a működtetők szartak rá.Erre mondtam, hogy jelen pillanatban az látszik, nem feltétlenül a fejlesztéssel van gond. Felelősen ennél többet (a részletek ismeretének hiányában) nem lehet mondani.
De, a fejlesztéssel van a gond. Az a fejlesztő, aki belemegy abba, hogy egy többszörösen elavult, és amúgy is szar kódrészletet felhasznál, és ehhez a nevét adja, az gond. nagyon is, főleg hogy nem a nagymama képeit tárolja az a rendszer.
-
hemaka
nagyúr
Egyre nagyobb kabaré ez, azt mondja Geri hogy a kormány már a támadás után néhány nappal tudott az esetről - Az nem baj, hogy szeptember óta bent vannak? Akkor hogy tudtatok róla? Jézus, kajak hülyének nézik az embereket idehaza.
Na a NISZ-t ha bevonják, a másik dilettáns banda, láttam már micsoda szakemberek vannak ott is. Kíváncsi leszek sikerül-e kijavítaniuk határidőre... -
Chaser
legenda
lehetne boncolgatni, de minek?
az adatok nincsenek biztonságban, innentől az sokadlagos hogy a fejlesztéssel vagy üzemeltetéssel van-e probléma - ha bárkinek kikerülne adata, nem fogja érdekelni melyik miatt -
a kutyasz@r csak ok-okozati példa, ha nem találnak ott semmit nem lenne balhé, de találtak - teljesen lényegtelen szándékosan "sétáltak" arra vagy direkt -
én ezt a hackerkedési formát egyébként nem tenném bűncselekmények közé, nincs benne ártó szándék és mint a példa is jól mutatja, ha nincsenek ilyen csoportok nagy disznóságok lehetnek "biztonságos" rendszerekben
talán érdemes lenne olyan felügyeleti szervet létrehozni, ami érti a munkáját - és nem jóskapista' haver miatt dolgozik ott -, akik az állami projekteket felügyelik, és megint nem lenne miről beszélniszerk:
bankrablás szerintem azért nem állja meg a helyét, mert oda egyértelműen ártó szándékkal megy a delikvens, akkor is ha nem tudja végigvinni
ezekben a csinájjátokmeg' virtuális sztorikban meg éppen ellenkezőleg, nem akar ártani -
gregory91
senior tag
Már az is egy lépés azon hogy egyáltalán foglalkoznak az üggyel és nem magasról tesznek rá....
Amúgy meg miért vagy olyan biztos abban hogy az a támadókód egyáltalán lefut-e? Ha elolvasod teljesen a forrást akkor tudhatod azt is hogy a forrásban olyan részek is vannak ami kikerültek az eredetiből(volt névtelen dolgozó is ezt nyilatkozta). -
Egon
nagyúr
Végig kellene olvasni a cikket:
A lapunknak nyilatkozó egykori KRÉTA-fejlesztők szerint azonban a kiszivárgott kódban, illetve az arról készült képeken látható, valóban elégtelen megoldást – bár tényleg benne van a kódban – a KRÉTA már évek óta nem is használja.
„A KRÉTA eredetileg a Neptun alapján, neptunos fejlesztőkkel készült, ami egy kezdetleges verzió volt, de még ma is ez adja a rendszer magját, illetve rengeteg, már nem használt kódrészletet. A Neptun örökségét lehet látni a hekkerek által megosztott forráskódban is, aminek egy része ma már szintén nincs használatban, ilyen az idejétmúlt SQL-injekció elleni védelem is” – mondta az egyik volt KRÉTA-s fejlesztő, hozzátéve, hogy úgy tudja, ezt a megoldást már maga a Neptun is évekkel ezelőtt ejtette.
Erre mondtam, hogy jelen pillanatban az látszik, nem feltétlenül a fejlesztéssel van gond. Felelősen ennél többet (a részletek ismeretének hiányában) nem lehet mondani.
-
Egon
nagyúr
Azonban ha bűncselekmény jut a tudomásodra és nem jelented, akkor - tudomásom szerint - Te is bűncselekményt követsz el.
Ergo, ha a kurmány tudott a hackről és nem tett feljelentést, bűncselekményt követtek el ők is.Ezt mondja meg egy jogász, nem tudom. Azt se, hogy pl. az NKI vizsgálta-e a kérdést.
-
Egon
nagyúr
Az egy ekkora rendszernél édeskevés. Csak a probléma megértése, megoldás nagy vonalú felvázolása, arra erőforrás becslés adása alsó hangon egy hét. Alsó hangon.
Ez ahhoz kell, hogy felmérje: egyáltalán érdemes-e belevágnia a javításba, ergo javításra tett ígéretként nem lehet kezelni. Azt úgy egy hét után lehetne elvárni. -
Egon
nagyúr
A gondatlan adatkezelés is minimum problémás, ez nyilvánvaló. Ugyanakkor a legutóbbi cikk alapján egyre kuszább a történet. Nekem nagyon úgy tűnik, hogy nem feltétlenül a fejlesztéssel van probléma, inkább ahogy üzemeltették, és ez két különböző történet.
A kutyasz*ros hasonlat meg sehogy sem áll meg: belelépni véletlen szoktak. Ezek a "hekkerek" inkább egy kutyatelepekre belógó, ott páros lábbal ugráló, "hátha kutyakakiba lépek" típusú megközelítéssel éltek. -
Én sehol nem állítottam, hogy ez etikus hacking volt - noha a képet árnyalja, hogy a korábbi figyelmeztetésekre a füle botját sem mozgatta a fejlesztő és nem történt volna semmi, ha nem publikál a támadó.
Azonban ha bűncselekmény jut a tudomásodra és nem jelented, akkor - tudomásom szerint - Te is bűncselekményt követsz el.
Ergo, ha a kurmány tudott a hackről és nem tett feljelentést, bűncselekményt követtek el ők is. -
Chaser
legenda
ennyi erővel a gondatlan adatkezelés az mi?
meg kell simogatni az okosfejüket' érte?
inkább örülnének, hogy nem eleve ártó szándékkal ment ki publikba minden, vagy nem zsarolás lett a vége - attól független, hogy a hackerek eljárása is bűncselekmény szerintem -
de ne az legyen már a hibás aki belelépett a kutyasz@rba, hanem akinek odatojta a kutyája az ajándékot -
Egon
nagyúr
Továbbra is a védhetetlent véded: ez nem etikus hacking, attól nagyon messze van.
A lényeget elfelejtetted kiemelni:Csütörtökön este azonban a hekkerek új üzenettel jelentkeztek, amelyben azt írták, a KRÉTA épp akkor zajló karbantartása után fogják tesztelni az exploitot, viszont ha az továbbra is működik, nem fogják rögtön közzétenni, hanem előbb elküldik a rendszert fejlesztő eKRÉTA Zrt.-nek, és szombat 23:59-ig adnak időt a cégnek, hogy javítsa a hibát vagy jelezze, hogy erre készül. Ha ez nem történik meg, akkor viszont közzéteszik a kódot.
LOL. Tehát egy napja (plusz egy szombatja) van a fejlesztőnek, hogy felmérje: egyáltalán mekkora munka lenne kijavítani az adott sérülékenységet (lehet hogy milliárdos költsége lenne számára), különben közzétesznek egy exploitot, egy élő, személyes adatok tömkelegét tartalmazó rendszer vonatkozásában (ugyebár 90 nap szokott ez lenni jobb helyeken).
Ha valami, hát ez az, ami bűncselekmény... -
"Roppant fontos megállapítás, hogy Gulyás Gergely miniszter a Kormányinfón azt közölte, hogy a kormány már a támadás után néhány nappal tudott az esetről. Mindez azért teszi furcsává a helyzetet, mert az eddigi adatok alapján viszont hatósági vizsgálat (feltehetően, de nem bizonyosan) csak a telex.hu cikkének megjelenése után indult."
Ez nem bűncselekmény, ha a betörés az?
hol élsz te? legalább annyira problémás, ha nem jobban, mint hogy valaki betört a rendszerbe ÉS ezt jelezte, mert nem adatlopás, és haszonszerzés vezette, hanem a rendszer gyengeségére akarta NYILVÁNOSAN felhívni a figyelmet, mert amúgy a működtetők szartak rá.
Új hozzászólás Aktív témák
it Úgy tűnik, a támadókat sikerült meggyőzni az exploit publikálásának veszélyességéről.
- Honor 200 Pro - mobilportré
- Milyen videókártyát?
- Debrecen és környéke adok-veszek-beszélgetek
- Megjelent a OnePlus 13T
- 3D nyomtatás
- A héten érkezik az Xbox alkalmazás az LG okostévékre
- Assassin’s Creed Shadows teszt
- Packeta
- 500 millió eurós bírságot kapott az Apple az App Store okán
- Iqos cigaretta
- További aktív témák...
- AKCIÓ ÚJ Bontatlan Macbook Pro 16 M4 Pro 14CPU/20GPU 24GB/512GB SSD Magyar billent Azonnal átvehető.
- Lenovo ThinkPad P15 Tervező Vágó Laptop -50% 15,6" i7-10850H 64/512 QUADRO T1000 4GB
- Lenovo ThinkPad P15 Tervező Vágó Laptop -50% 15,6" i7-10850H 32/512 QUADRO T1000 4GB
- EJJ! Dell Latitude 7330 -65% "Kis Gamer" Üzleti Profi Ultrabook 13,3" i5-1245U 16/256 FHD IRIS Xe
- Wilbur Smith könyvek (15 db) egyben
- LG 34WK95U-W - 34" NANO IPS - 5120x2160 5K - DCI-P3 98% - HDR 600 - ThunderBolt 3.0/Type-C
- BLUESUMMERS NVMe SSD adapter
- Eredeti Lenovo 230W töltők - 4X20Z83995
- Dell Optiplex MT/SFF/Mini 3040, 3050, 3060, 3070, 5070, 7060/ Hp ProDesk /SZÁMLA- GARANCIA
- Bezámítás! HP Elitebook 840 G11 üzleti notebook - Ultra 5 135U 16GB RAM 256GB SSD Intel Graphics W11
Állásajánlatok
Cég: Laptopszaki Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest