Keresés

Új hozzászólás Aktív témák

  • ArchElf

    addikt

    válasz harry #37 üzenetére

    Kicsit nézz a dolgok mögé és rögtön rájössz, hogy nem is hoztál fel rossz példát.
    Hogy messzebbre (pl. politika) ne menjek:
    Lehet, hogy itt a ti véleményetek van többségben, és az én véleményem a hülyeség, de bizony a sajtóban ez a vélemény van kisebbségben, és ez van a sarokba küldve.

    AE

    [ Szerkesztve ]

    Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]

  • deusrache

    csendes tag

    válasz harry #40 üzenetére

    Hát, az hogy nem lehet azzal belépni a szerverre még nem feltétlen jelenti azt hogy egy belépett user nem su-zhat át. Ugyanis bizonyos igen komoly szoftverek - pl. Oracle Real Applications Cluster - rootként futnak, és csak így is tudnak parancsokat végrehajtani. Ha le van tiltva a root bejelentkezés akkor másik usernak van ALL=(ALL) ALL tehát kb ugyanott vagyunk. Ezt nem is lehet kikerülni, már amennyire én tudom.

  • ArchElf

    addikt

    válasz harry #57 üzenetére

    - bemész, és ott szólsz, hogy ez így nem jó. Jó nekik is, neked is.

    El tudod ezt képzelni egy házra/lakásra is?
    Este van, járod a lépcsőházat, lenyomod az összes kilincset, és ahol kinyílik az ajtó, ott bemész, körülnézel, feljegyzeteled, mit találtál. Ha a tulaj otthon van, akkor sem kelted fel, hogy fel ne ismerjen, csak felragasztod a bejárati ajtóra (jó esetben belülről), vagy bedobod a postaládájába. Ugye milyen jó cselekedet?

    Persze ha tetten érnek (míg bent vagy, vagy épp bemenni próbálsz), akkor ugye arra hivatkozol, hogy téged csak a jó szándék vezérelt :DDD

    AE

    Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]

  • ArchElf

    addikt

    válasz harry #65 üzenetére

    Nem arról beszélek, hogy kint van a kulcs.
    Arról beszélek, hogy mondjuk a hagyományos ELZETT hengerzárak nagy része fésüléssel kb 30 mp alatt nyitható. Az hogy a hacker egy bárki számára hozzáférhető szkripttel bejut a rendszerbe és utána figyelmezteti a tulajt/admint nagyjából ennek felel meg. Kihasználja a rendszer gyengeségét, bemegy, körbenéz, és utána hagy egy üzenetet.

    A zárfésülés legalább olyan súlyos sebezhetőség, mint az utolsó patch fel nem rakása (kb ugyanakkora kárt is lehet okozni vele), és kb ugyanannyira hozzáférhető a neten (~300k találat), mint a metasploit leírások (~500k találat).

    El tudod képzelni, hogy zárfésűfel járod a házat, jószándékból megpróbálod kinyitni az összes sebezhetőnek tűnő zárat, bemenni és stb. stb. stb.?

    AE

    Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]

  • bambano

    titán

    LOGOUT blog

    válasz harry #69 üzenetére

    miért kell normálisnak elfogadni azt, hogy valaki scripttel meg egyébbel teszteli, hogy be lehet-e menni a szerveredbe?

    egy idealizált világban nem lenne gond, hogy biztonsági hibák vannak egy szoftverben, mert nem próbálná meg kihasználni senki.

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • janos666

    nagyúr

    válasz harry #71 üzenetére

    Ezt feszegettem én is korábban: Nem fegyverkezési versenybe kéne menekülni, hogy egyre több, és vastagabb falat emelünk, ahogy a crackerek egyre kifinomultabb módszereket dolgoznak ki, hogy áttörjék őket. Valahol máshol kéne keresni a megoldást, mert talán van is.
    A megelőzés szükségszerűen többe kerül, amit a becsületes embereknek kell megfizetni. (Sőt, gyakorlatilag még az előtt perkálnak, hogy bármiféle bűncselekmény történne, és attól függetlenül, hogy enélkül megtörténne-e.) Hiába, hogy a nagy cégeknek kell perkálniuk a biztonságtechnikai cégeknek (akik joggal kérnek horribilis árakat egy paranoid védelmi rendszerért, amihez komoly szaktudással rendelkező programozók hosszas munkájára volt szükség), a cég ezt nem a profitjából vonja le, hanem beépíti a termékei/szolgáltatásai árába, és így gyakorlatilag ők tartják el azokat, akik a biztonságtechnikai cégeknél robotolnak. (És ha úgy nézzük hasznos munkát végeznek, de a zárómérleg nem feltétlen optimális.) Sőt, vegyük bele a számításba azt is, hogy tökéletes védelem sem lesz soha, a méregdrága védelmen is találhatnak véletlenül hibát a szerencsés crackerek. Szóval mindenképp szükség van ezen felül valami más visszatartó erőre is.

    És gondolom könnyű volt kitalálni, hogy szerintem a törvény és rendfenntartás lenne ez a rejtélyes visszatartó erő. Kellően elrettentő büntetéseket (nem, nem gázkamra...) kéne kilátásba helyezni a bűncselekményekkel szemben, és kellően hatékonnyá kéne tenni bűnüldözés munkáját.
    Ne azért gondolja meg a cracker kétszer is, hogy megpróbál-e betörni valahova. mert az YXC védelmi rendszert még senki sem törte fel. Ez inkább kifejezett motiváció a számukra. Inkább arra kéne gondolniuk, hogy "oké, kaszálhatnék egy kicsit, ha eladnám a kilopott információt, de sinte tuti, hogy megtalál a rendőrség, és 6x több bajom lesz az egészből, mint amit keresek, vagy amit a dicsőség ér, hogy én a világon elsőként feltörtem az YXA védelmi rendszert."

    Illetve én kiterjeszteném ugyan ezt a csirkelopástól kezdve mindenre. De persze nagyon alaposan és jól szabályzott módon, mert nem egy (erőszakos) rendőrállamot viziónálok én. Sőt, az ideális világban a becsületes embernek sohasem kéne egyenruhás emberekbe botlania. (És ez is olyan eszköz lehetne, hogy "Á, én élőben sohasem láttam még rendőrt, de igyekszem, hogy ne is kelljen..." - még akkor is, ha valójában nem kéne tőlük félni, mert nem bántalmaznak, ön-bíráskodnak, vagy ilyesmi...)

    De ha érdekelt lennék a védelmi megoldásokban, bizonyára én is ellenkező véleményen lennék. És tulajdonképp a hackerek, az "etikus, de önjelölt ellenőrök" is érdekeltek, mert legtöbben még is csak elfogadnak pénzt a segítségükért cserébe. (Jó, hülyék is lennének, ha nem, hisz ténylegesen dolgoznak is érte, és mindenkinek élnie kell valamiből, kevesen tehetik meg, hogy jótékonykodnak. Illetve bizonyos szemszögből kevesebbet kérnek, mint egy ESETLEGES kár LEHETNE. - Csak nem véletlenül írom feltételes módban...)

    Na jó, mondjuk ezt végigolvasva én is érzem, hogy ez csak egy légből kapott rózsaszín maszlag, de remélem kivehető belőle az alapgondolat, amit meg akartam fogalmazni.

    [ Szerkesztve ]

    TV/monitor kalibrálást vállalok. ||| "All right , Thom. But understand this: I do care for you. I care for all the lost souls than end up up here."

Új hozzászólás Aktív témák