Új hozzászólás Aktív témák
-
#132
zitababa74
csendes tag
zitababa74
csendes tag
Sziasztok !
A FB-on cégünk jó hírnevét sértő 2 darab poszt eltávolítását sem nekem sem ügyvédeim felszólítására nem volt hajlandó a FB és a FB oldal tulajdonosa sem eltávolítani. Segítséget keresek, jól meg is fizetném aki ebben tud segíteni . Privát email: hofiklubb55@gmail.com
zita -
#19482368
törölt tag
Dehogy is, szó nincs erről. Nincs nekem semmilyen portálom, site-om stb...
De még csak morci se vagyok. Csak máshogy látom a dolgokat.Az egyébként is sok esetben teljesen kiszolgáltatott emberek, legyen az lakossági, kis, és közép vállalakozók. eddig se tudtak mit kezdeni a kialakult IT helyzettel. Ha ehhez hozzá jön, egy szabadabb etikus hack lehetőség, akkor ezeknek az embereknek teljesen vége. Rengeteg, bosszankodás, kiesés, stb... nem részletezem.
Mindez pont azért mert nem felügyelt, körülmények között van. És nincs utána semmi szankció. Egy valamire lehet alapozni, ami napjainkban már így is sok esetben elég instabil az a szó. De mondani mindent lehet.Ez egyáltalán nem jó hosszú távon. Illetve nyilván attól függ melyik oldalon van az ember. Az egyébként is kiszolgáltatott emberek nézőpontja, és védelmét figyelembe véve, közel se etikus, egy ilyen szabad az etikus hack megoldás.
-
-
válasz
#19482368
#128
üzenetére
Nem nem akarom érteni, csak ez az "önkényesen nekiesel valaminek" annyira erőltetett
Teljesen csőlátással persze, hogy értelmezhetetlen. Mint ahogy te meg Borg azt hiszitek, hogy kárt okoz... nem, az etikus hacker nem okoz kárt, amelyik kárt okoz, az meg nem etikus. Mintha nem azt olvasnátok, amit írnak nektek (nem csak én többen itt). -
#19482368
törölt tag
Még mindig nem akarod érteni, de én befejeztem. Mert ha nem akarod érteni, amit mondok akkor teljesen felesleges.
Még mindig a lényeg, ha nincs felkérés, csak önkényesen neki esel valaminek kurvára nem vagy etikus, bármennyire is a jó szándék vezérel, és mindig a támadott fél jóindulatán múlik hogy mik lesznek a következmények.Az hogy mindenki mindennek neki essen, arra hivatkozva hogy ő etikus, semmilyen formában nem elfogadható. Ezért vannak erre ellenörzött felügyelt cégek, akiket a törvény ilyen formában egyfajta védelmet biztosít. Mert mondani, lehet bármit. Még mindig más a történet, ha te egy ilyen cégnél dolgozol. és erre kapsz megbízást. A kettőt nem keverjük.
-
válasz
#19482368
#126
üzenetére
Senki nem mondta hogy megoldás bármire, ha vannak etikus hackerek. De ugyanakkor, ha jó szándékkal jár el, akkor ne büntessük már!
Ha nem jó szándékkal jár el, azt amúgy meg sem tudod. Azt nem szokták bejelenteni.
Vagy max. akkor jössz rá, ha a usereid elkezdenek balhézni, hogy ellopták az adataikat."Bár értem a hasonlatot, sajnos az informatikában ez közel se így működik, jelen pillanatban."
Ez pl. baj."Mert mondjuk, vissza tért a vélt etikus hacker, és nem látott semmi változást ezért szétbarmolta a ......."
Azon kívül, hogy ezt te költötted hozzá, sokadszorra nem érted, hogy ha ilyet csinál, akkor nem etikus hacker, és jogos a bünti. De végig arról volt szó, hogy az etikus hacker nem okoz kárt. Ezt miért ilyen nehéz felfogni? Amint szándékosan kárt okoz, nem etikus."Ha Marika néni web oldalán keresztül megtörik a hostingot, baromira nem fognak vele foglalkozni. "
He? 
Lehet, hogy Marcsit elviszik a yardok, ha a rossz szándékú hacker megfelelő bizonyítékokat gyártott... De az az alap, hogy úgy szórják le a hosting szolgáltatásról, ahogy van.
Haverék újságja egyszer beszívott valami vírust (windózon futott a hosting szerver, és valahogyan odakerült valami file, amiben vírus volt - nem tudni mi, nem ők rakták oda, tehát más gyanús dolog is volt, viszont nem törték meg őket, azt végignéztük)
Megkértek, hogy nézzem meg, miért elérhetetlen az oldaluk : a hoston futó vírusirtó megtalálta a file-t, és blokkolta az adott accountot. Pár napig veszekedtek a hosting szolgáltatással, mire újra ment az oldal.
Szóval a biztonsági slendriánság miatt igencsak megszívhatja, jobban, mint ha etikus hackerrel találkozik. -
#19482368
törölt tag
Bazz én erről pofáztam végig. Ezek tekinthetők etikusnak. A többi nem. (DDOS-olni meg mindenki tud, egy etikus hacker azt pont nem fog.) Egy ilyet miért kéne rendőröknek elkapni? Milyen kárt okozott?
Az a baj hogy még mindig nem érted. Jelen esetben, egy szerencsés helyzet lett a végeredmény. De ez nem jelenti azt, hogy törvényesen járt el az illető, és hogy ez teljesen rendben van. Közel sincs rendben, és közel se ez a megoldása.
Amúgy, a közlekedésben is van műszaki vizsga, és a hatóságot sem érdekli, hogy te ki tudod-e termelni a gépjármű árát, ha pl. munkaeszköz. Ha nem biztonságos, nem közlekedhet.
Bár értem a hasonlatot, sajnos az informatikában ez közel se így működik, jelen pillanatban.Valakinek nagy örömére, valakinek kárára. Attól függ ki melyik oldalon van.Amúgy ha Marika néni virágboltos oldalán találsz valami sebezhetőséget, akkor miért kéne backupból visszaállíttatnia? Nem zúzza le, az etikus hacker csak megvizsgálja. Nem válik elérhetetlenné.
De ha Marika néni oldalán keresztül megtörik a hosting szervert (mert nem voltak kijavítva a hibák), akkor igencsak zabos lesz valaki.
Mert mondjuk, vissza tért a vélt etikus hacker, és nem látott semmi változást ezért szétbarmolta a .......
Ha Marika néni web oldalán keresztül megtörik a hostingot, baromira nem fognak vele foglalkozni. Mint ahogy eddig se tettek ellene semmit. Illetve annyit tesznek hogy áteszik egy olyan szerverre ahol hasonló sorsra került web oldalak vannak. -
válasz
#19482368
#124
üzenetére
"UI: még hozzátenném, hogy anno a mi cégünket is megkereste egy etikus hacker, hogy sebezhetőségeket talált a szerverünkön,......
Nos ez a jobbik eset, és feltételezhető a valódi jó indulat. Viszont, sok esetben napjainkban ez közel se mondható el."
Bazz én erről pofáztam végig. Ezek tekinthetők etikusnak. A többi nem. (DDOS-olni meg mindenki tud, egy etikus hacker azt pont nem fog.) Egy ilyet miért kéne rendőröknek elkapni? Milyen kárt okozott?Amúgy, a közlekedésben is van műszaki vizsga, és a hatóságot sem érdekli, hogy te ki tudod-e termelni a gépjármű árát, ha pl. munkaeszköz. Ha nem biztonságos, nem közlekedhet.
Amúgy ha Marika néni virágboltos oldalán találsz valami sebezhetőséget, akkor miért kéne backupból visszaállíttatnia? Nem zúzza le, az etikus hacker csak megvizsgálja. Nem válik elérhetetlenné.
De ha Marika néni oldalán keresztül megtörik a hosting szervert (mert nem voltak kijavítva a hibák), akkor igencsak zabos lesz valaki. -
#19482368
törölt tag
Pedig pontosan ez az amit fontos lenne megérteni, hogy ezekből a szerverekből lesznek a legkönnyebben botnetek.
Igen ez így van sok esetben sajnos. De nem tudsz vele mit kezdeni. Ahogy Marika néni se. Sőt tovább megyek még a hosting se tehet semmit. Tehát mi a megoldás? A legjobb az lenne ha lekapcsolnák, és addig nem engedik vissza, amíg nincs a probléma megoldva. Csakhogy ennek meg jogi akadályai vannak. Marika néni nem tudja ki termelni hogy normális szakemberek megcsinálják neki, de még csak utána a support-ot se. De neki mint reklám felület, mint az ügyfelekkel való kapcsolattartás viszont elengedhetetlen. Lezúzod a weboldalát, azzal anyagi kárt okozol. Tehát, nincs normális szabályozás erre se.A motiváció az mindig van, ebben nincs probléma.
Sokkal inkább mással.
nagyon nagyon kevés olyan etikus hacker van a szakmában
Osztom véleményed.
Ez tényleg nem fekete és fehér.
Pedig normális mélyre hatolóbb szabályozások esetén akár lehetne az, nem csak erkölcsi, de jogi úton is.
"még egy nmapot sem futtatok le engedély nélkül"
Nos igen, az nmap mint port-scan, anno alapban feltételezte a rossz indulatot. Mára egy port-scan, és akkor mi van? Az még önmagában semmit nem jelent. Ami elgondolkodtató, mit hoz a jövő. És mennyire lesz még kerítés. Már ha lesz. Kicsit elkanyarodva a témától, ha csak azt vesszük alapul hogy a fiatal párkapcsolatok tönkre mennek, és mennyire élnek vissza a párok az okos otthon hozzáféréssel, csak hogy egymáson szánalmas bosszút álljanak. Bizony elgondolkodtató, mennyire jó is az irány. És itt most nem beszélünk hack-röl.
UI: még hozzátenném, hogy anno a mi cégünket is megkereste egy etikus hacker, hogy sebezhetőségeket talált a szerverünkön,......
Nos ez a jobbik eset, és feltételezhető a valódi jó indulat. Viszont, sok esetben napjainkban ez közel se mondható el. -
AMDFan
addikt
válasz
#19482368
#121
üzenetére
"Pontosan erről szól részemről az egyik sztori. Hogy Marika néni virágboltja, fodrász web oldala stb ... teljesen felesleges etikus hacket csinálni, mert nem fog tudni mit kezdeni vele. Max vissza állíttatja valami régi backup-ból. Tehát teljesen felesleges az erődemonstráció, mert célját nem éri el. Innentől kezdve meg minek... hacsak nem visszaélni akar vele, viszont ebben az esetben nem beszélünk etikus hackröl. És teljesen más a story."
Pedig pontosan ez az amit fontos lenne megérteni, hogy ezekből a szerverekből lesznek a legkönnyebben botnetek. Az az általános, hogy az első pár ethical hacking youtube kurzus után, az ember elég sok olyan siteot talál amit könnyedén feltör. Ez azt jelenti, hogy rajta kívül még jó sokan törték már meg, vagy fogják megtörni azt a siteot. A feltörés nem minden esetben jelent észrevehető károkozást, vagy "defaceelést". Nincs itt szó erődemonstrációról. A feltörések nagyrésze észrevétlen marad, mert nem fog semmit megváltoztatni a behatoló, csak elkönyveli, hogy van még egy shellje a botnetjében. És ez egy fontos dolog, sőt, talán a legfontosabb dolog: a motiváció. Mi az ami motivál valakit a hackelésre? Mi motiválja a black hat, és mi motiválja a white hat hackereket? Nagyrészben ugyanaz. Érdekesség, személyes fejlődés, technológia iránti érdeklődés, a rejtvény megoldása. A technológia, a tudás, a tudásba fektetett energia, ezek mind azonosak mindkét oldalon. És nekem van egy olyan erős sejtésem, hogy nagyon nagyon kevés olyan etikus hacker van a szakmában aki sosem követett el olyat, hogy "csak megnéz 1-2 dolgot egy távoli gépen"
Ez tényleg nem fekete és fehér. A "100%-os DDOS meg a deface-elt website" és a "még egy nmapot sem futtatok le engedély nélkül" között azért elég széles skála van még.UI: még hozzátenném, hogy anno a mi cégünket is megkereste egy etikus hacker, hogy sebezhetőségeket talált a szerverünkön, leírta, hogy miket, és ha szeretnék bővebb infót akkor keressük meg. Megköszöntük neki, hogy szólt, a hibákat kijavítottuk mi magunk. Ezzel ő egy forintot sem keresett, viszont mi ki tudja mit előztünk meg a jövőre nézve. Én ezt etikusnak tartottam akkor is, és most is.
-
#19482368
törölt tag
Mit jelent az, hogy szigorítanád a black hat hackelést? Hogyan?
Ez nem nekem kell kitalálni, megoldani. Erre vannak külön specializálódott emberek.Ez egy elméleti lehetőség amire gondolsz
Jelen állás szerint ez egyértelmű, hiszen a gyakorlat más. De akár működhetne normálisan gyakorlatban is.10 év börtönt adnál egy SQLi-ért?
Nyilván nem, meg tudod egy ifjú titán fiatal harcos életét se tenném szívesen tönkre, egy ilyen hülyeség miatt. Ugyanakkor azt figyelembe kell venni, hogy az ami jelen pillanatban van. egyáltalán nem jó irány.Hogyan találod meg az elkövetőt aki TOR-on keresztül
Bizonyos városi legendák azt mondják, hogy semmit nem jelent hogy TOR mögött van az illető, mert ugyan úgy beazonosítható. Természetesen bizonyítékok hiányában se megerősíteni, se cáfolni nem tudom ennek az információnak a hitelességét.A kis cégek mindig védtelenek maradnak majd, akiket könnyen betámadnak, mert 10 éve a szomszéd főiskolás srác írt nekik egy PHP siteot... Nem folytatom.
Pontosan erről szól részemről az egyik sztori. Hogy Marika néni virágboltja, fodrász web oldala stb ... teljesen felesleges etikus hacket csinálni, mert nem fog tudni mit kezdeni vele. Max vissza állíttatja valami régi backup-ból. Tehát teljesen felesleges az erődemonstráció, mert célját nem éri el. Innentől kezdve meg minek... hacsak nem visszaélni akar vele, viszont ebben az esetben nem beszélünk etikus hackröl. És teljesen más a story. -
AMDFan
addikt
válasz
#19482368
#117
üzenetére
Ideologizált világot képzelsz el. Mit jelent az, hogy szigorítanád a black hat hackelést? Hogyan? Ez egy elméleti lehetőség amire gondolsz, de a gyakorlatban működésképtelen. 10 év börtönt adnál egy SQLi-ért? Hogyan találod meg az elkövetőt aki TOR-on keresztül megtört egy szervert, majd azon keresztül X másikat, amiket szépen egymásra felfűzött, és úgy támadja a cégedet? Sehogy.
A kis cégek mindig védtelenek maradnak majd, akiket könnyen betámadnak, mert 10 éve a szomszéd főiskolás srác írt nekik egy PHP siteot... Nem folytatom.
-
AMDFan
addikt
-
borg25
senior tag
"S mi lenne, ha azzal, hogy lenne törvényes _bejelentési_ lehetőség is, a hatóság nem egyből börtönnel meg büntetéssel reagálna, hanem együttműködéssel?"
Három napig DDOS-ollak, majd küldök egy levelet, hogy a tűzfalad nem véd megfelelően a DDOS támadás ellen. Így kéne átállítanod a tűzfalat, és ezeket a beállításokat kellene kérned az ISP-től.
Etikus hacker voltam vagy nem?
Ha csak 3 órát DDOS-oltak volna, akkor már etikus lennék?
A DDOS is egy támadás, az ellen is lehet védekezni, szóval jó ha felhívom rá a figyelmed...Ami még eszembe jutott, ez annyira magyar mentalitás! Akit észreveszünk, azon példát statuálunk, szétszívatjuk, megbüntetjük, a többi simlis megy nyugodtan csinálhatja tovább a dolgát.
Amerikában mi van? Ott ha elkapnak egy hackert akkor nyalókát kap és fej simit? Oké ha elég ügyes akkor felajánlják az együttműködést valahogy így: Együttműködés, úgy hogy figyelünk, és ha bármit csinálsz hűvös, vagy 10 év hűvös? Mit szeretnél? -
#19482368
törölt tag
Ismét sikerült saját céljaid elérése érdekében félre értelmezni soraimat, de ettől szájbarágósabban,nem lehet elmondani, hogy nincs hobbi hack csak hivatás .... . És közel se mondható jó szándékúnak, mint több példa is igazolja. Ha a hack-re van affinitás, akkor vannak erre szakosodott cégek, le lehet szerződni. És törvényes keretek között, szabályozva mehet az etikus hack, megrendelés alapján. És még fizetnek is érte, tisztességesen, becsületesen. Minden egyéb bűncselekmény, amin szigorítani kell. És még jobban szabályozni, ne lehessen a valóban etikus hackerek mögé bújni, azzal takarózni hogy én etikus hacker vagyok, és ezzel elkerülni büntetőjogi büntetéseket.
-
borg25
senior tag
Még, hogy kára nem származik a cégnek, ha önjelölt etikus hackerünk teszteli a rendszert.
Először is hardware erőforrásokat köt le. Kicsi az esélye, hogy ez terheli túl a rendszert, de a rendszer működése lelassulhat. Ha mondjuk ez nem csak a publikus webszervert érinti, hanem azokat a szervereket is, amin az alkalmazottak dolgoznak, az bosszantó, és lassabban halad a munka, ami miatt esetlegesen túlórázni kell.
Hackelés egy része próba cseresznye. Beküldesz egy üzenetet, s várod mit reagál rá a szoftver. Aztán ha page faultal elhasal a szoftver, akkor ugye leáll a munka, lehet fizetni az informatikust, hogy indítsa újra az egészet, hajnali 2kor ezt lehet, hogy plusz pénzért fogja megtenni, vagy csak reggel 8kor szembesülnek vele, s az első 1 órában mindenki lógatja a lábát, mert nem tud dolgozni.Ha jó a rendszer, akkor jelzi a támadást, mivel nem lehet egyből tudni, hogy te egy jó szándékú kedves etikus hacker vagy, ezért egyből elindul a védekezés, lehet riasztani az informatikusokat, IT biztonsági szakembereket. Lehet küzdeni a támadás leállításáért, meghatározni, hogy mihez fért hozzá, milyen kára keletkezett a cégnek. Riasztani a döntéshozókat, menedzsereket, mert mondjuk a szerver lelövéséről nem a mezei ügyeletes IT-s fog dönteni. A menedzserek se lesznek boldogok, hogy egy önjelölt etikus hacker miatt kellett hajnali 3kor felkelniük, úgy hogy 8kor mennek tárgyalni egy fontos ügyben.
Szóval nem, egy nem egyeztetett jó szándékú támadásnak igen súlyos költségei lehetnek.
-
-
#19482368
törölt tag
Nem tudom osztani a véleményeteket. Mert pont ti akarjátok az egészet egy kalap alá vonni.
Ami erősen súrolja a határokat.Először is különbségeket kell tenni.
1. Nem, nem esünk neki különböző rendszereknek, hálózatoknak, illetéktelenül mert bűncselekmény.
2. Ahol biztosítva van, bejelentési lehetőség, sőt külön meg kap minden támogatást, segítséget, az addig a pontig amíg betartja a szabályokat, teljesen rendben van. Ezzel nincs semmi baj.
3. Egy kis vállokozás, ahol minden alacsony költségvetésen van, nem fog ilyen lehetőséget biztosítani, mert ha tisztába van is a sebezhetőségekkel, de annak megoldási költségeit nem tudják sokan ki termelni.
4. Azzal ha neki esik mindenki minden rendszernek, azzal a címszóval hogy ő csak Penetration Testinget csinál, és ő etikus hacker elindul egy olyan folyamat, láncreakció ami még jobban megnehezíti az egyébként is sok sebből vérző internet-et. Akin Penetration Testing-et csinálnak, és észreveszi időben, nem tudja hogy te etikus, vagy kevésbé etikus hacker vagy. Ezért sokkal jobb megoldás ha mindez szabályozva, felügyelve van.
5. Egyáltalán nem normális hogy a mai fiatalok, filmeket, zenéket, programokat tulajdonítanak el. Én a mai napig azt az elvet preferálom, ha tetszik egy film, zene, program akkor megveszem. Ez egy fajta tisztelet, az alkotó munkát végző személyek felé. És ez a normális. A kenyeret se lopom a péktől, hanem megveszem. Ez a normális, hozzáállás,és nem az hogy eltulajdonítom. Az hogy milyen irányba mennek a mai fiatalok, közel se mondható jó iránynak. Mint fentebb leírtam, rombolni könnyebb, mint építeni. Sokkal inkább az építésre kellene motiválni a fiatalokat, és nem a rombolásra. Ebbe benne van részemről az etikus hack-is. Ha már annyira profi vagyok, akkor az energiát az építésre kell fordítani. Tehát, akkor írok egy tuti rendszert, amiért vállalom a felelősséget. És ha kész vagyok, bebizonyítom az ügyfeleimnek miért jó ha az általam írt, programot használja. Ez a normális hozzáállás. Ha valóban jó az amit csinálok, sokan lecserélik az egyébként több sebből vérző rendszert.Egy más aspektus pedig az, hogy milyen mértékben növeli a botnetek méretét az, hogy az IT infrastruktúrával rendelkező cégek ~98%-ka nem fizet meg semmilyen biztonsági céget hogy feltárja a hibákat Igen sajnos ez így van, és a helyzet csak rosszabb lesz. Addig a pontig amíg erre se születik meg egy szigorúbb szabályozás. Legyen az terméktámogatás, support stb...
Ez megelőzhető lenne azzal, hogy azok a szürke zónában mozgó, de mégis etikusan eljáró hackerek, akik mondjuk csak hobbiból, vagy gyakorlásból űzik ezt az ipar, büntetlenül szólhatnának a mikrovállalkozásoknak, hogy "heló, amúgy sebezhető a rendszeretek, és csak idő kérdése, hogy ezt más is észrevegye". Mint írtam, több cég biztosít erre felületet, de ez mint tudjuk nem megoldás. A megoldás az, hogy előtérbe kell hozni a minőséget, megbízhatóságot. De addig amíg napi szinten jelnek meg olcsó gagyi eszközök, és arra van vevő addig nincs normális megoldás. A vásárlóközönséget büntetni, meg szintén nem szabadna hogy előforduljon. Tehát felülről bűzlik a hal, és addig amíg ott nincs rend, szigorúbb szabályozás, addig nincs normális megoldás se, csak szar tologatás.
Amúgy mi a véleményed azzal, amikor nem hálózaton keresztül próbálsz meg betörni valahová, hanem egy adott szoftver sérülékenységét teszteled localhoston? (gondolok itt mondjuk egy böngészőre).
Mit gondolok erről, hogy baromira nem etikus, hogy így belülről lehet rombolni az infrastruktúrát, hogy addig a pontig amíg nincs rá normális megoldás, addig sajnos egy átlag ember, felhasználó nem fog tudni mit kezdeni. A fő gond, hogy sokszor azok se tudnak rá megoldást, akiknek valamit kellene ezzel kapcsolatban virítaniuk. -
AMDFan
addikt
válasz
#19482368
#109
üzenetére
Szia!
Végigolvastam a topikot, és úgy általánosságban szeretnék reagálni a hozzászólásaidra.
Szerintem nem korrekt ahogy párhuzamot vonsz a digitális világ (pl. port scannelés) és a fizikai világ között (odamegyek a lakáshoz a zárat próbálgatni). A digitális világot nagyon nehéz párhuzamba állítani a fizikai világgal és analógiákat hozni. Ez 10-15 éve is nagyon demagóg volt amikor a multimédia letöltéseket megfeleltették a lopással. A mai fiatalok számára pl. már nem kérdés, hogy a zenék ingyen elérhetőek online (mármint számukra ingyen, a mögöttes licenszek stb... az már más kérdés), és ez így normális. Az analógiád a lakásba való betörés és a szerverre való betörés között akkor lenne korrekt, ha azt látnád az utcán hogy minden egyes zárat naponta 50-60an próbálnak feltörni, mert a digitális világban ugye ez a megszokott, elég megnézni egy iptables logot. Lehet valaki 100%-ban etikus és próbálhatod ezt a nézetet terjeszteni, de a valóság az, hogy a neten nagyon könnyű anonim módon scannelni, és ezt meg is teszik, és akik megteszik, azok próbálkoznak, tanulnak, fejlődnek, és be fognak törni.Egy más aspektus pedig az, hogy milyen mértékben növeli a botnetek méretét az, hogy az IT infrastruktúrával rendelkező cégek ~98%-ka nem fizet meg semmilyen biztonsági céget hogy feltárja a hibákat, így viszont szabad prédává válhat a blackhat hackerek előtt. Ez megelőzhető lenne azzal, hogy azok a szürke zónában mozgó, de mégis etikusan eljáró hackerek, akik mondjuk csak hobbiból, vagy gyakorlásból űzik ezt az ipar, büntetlenül szólhatnának a mikrovállalkozásoknak, hogy "heló, amúgy sebezhető a rendszeretek, és csak idő kérdése, hogy ezt más is észrevegye".
Ezt egyébként a komoly cégek mint pl a google észrevették, és támogatják a bejelentéseket.
Amúgy mi a véleményed azzal, amikor nem hálózaton keresztül próbálsz meg betörni valahová, hanem egy adott szoftver sérülékenységét teszteled localhoston? (gondolok itt mondjuk egy böngészőre). -
MageRG
addikt
válasz
#19482368
#103
üzenetére
"És mi lenne ha önjelölt emberkék nem azzal szórakoznának, hogy illetéktelenül, önkényesen neki essenek különböző rendszereknek?"
Föl nem foghatom ezt a fafejű hozzáállást.
Mi lenne ha a fejlesztők nem hagynának biztonsági réseket? Mi lenne, ha a cégek naprakészen tartanák a rendszert? Mi lenne ha a nagyapámnam áramszedője lenne?
Sajnos együtt kell élni a realitással.A biztonsági tesztelés piszok költséges, óriási benne az asszimetria, és nagyon gyorsan avul.
Ha bejön az utcáról egy csöves és lejelent egy sechole-t, akkor is a minimum, hogy megköszönik.
Mert ingyen, szakmai kíváncsiságból végezte el azt a munkát, amiért pénzt kellene fizetni, az elmaradása meg még több pénzbe kerülhet a cégnek.
Egy bűnöző nem fog szólni. Óriási hiba az önkéntes bejelentőket jogilag felelősségre vonni.Csak összehasonlítás képpen:
Az USA-ban egy bírói balfogás miatt perelhetőek voltak azok, akik életmentés közben (vélt vagy valós) kárt tettek. Az eredményt el lehet képzelni: a segítségnyújtás elmaradása miatt többen haltak meg, mert az emberek így még kevésbé voltak érdekeltek beavatkozni.
Azóta törvény van rá, hogy ne perelhessenek, ha újraélesztés közben eltöröd valaki bordáját.
Talán nem ártana valami hasonló informatikai biztonság terén is... -
0xmilan
addikt
válasz
#19482368
#109
üzenetére
Nekem azzal van bajom, amikor mindenféle felkérés, egyeztetés nélkül neki esnek emberek egy rendszernek, miközben magát etikusnak állítja be.
Pedig a bug bounty programoknal ez a helyzet. Senki nincs felkerve es nincs egyeztetes a felek kozott, megis teljesen legalis. (privat programoknal kuldenek meghivot, de az nem egy hivatalos felkeres, csak lehetove teszi, hogy elerd a programot. public programoknal viszont mindenki latja a leirast, scope-ot, stb.) Rengeteg ceg hasznalja es joval koltseghatekonyabb csak azert a hibaert fizetni, amit megtalaltak. Nagyobb scope-ot tudnak lefedni kisebb befektetessel es adott esetben az "onjelolt" hackerek tapasztalata, tudasa is nagyobb, mint amivel az erre szakosodott ceg alkalmazottai rendelkeznek.
Ezzel szemben a hagyomanyos pentestek mogott a legfobb hatjoero a torvenyi szabalyozas, ami eloirja, hogy adott idokozonkent auditalni kell a biztonsagkritikus rendszereket. Nem termeszetes modon, a felek oszinte, kolcsonos erdekeire alapulva jon letre a kapcsolat. A ceg a hata kozepere sem kivanja az egeszet, csak a papir kell neki, hogy megfelel az eloirasoknak. A low es medium kockazatunak sorolt bugok ott varnak a kovetkezo evi tesztnel is; a high risk issue-kat duzzogva, de kijavitjak, mert 90 napon belul kotelezo nekik. Ugyanakkor sokszor az "etikus hacker" is joval szivesebben dolgozna barmilyen masik bug bounty programon, ahol nincs mesterseges keretek koze szoritva es azt a celpontot tesztelheti, ami oszinten erdekli (es a program resze) es azzal a tool-lal, modszerrel, amivel jonak latja. -
Ami még.
Állami szerv, a hálózatán hatalmas rés. Vagy nem is volt auditálva (ugye ebben az esetben van garancia, dokumentálás, stb., bár lehet, hogy meghamisítva), vagy ha igen, nem foglalkoztak vele, mert azt a keretet is elsikkasztották. (Ez nem csak itthon képzelhető el.) Pláne nem tájékoztattak erről senkit.
Egy etikus hacker megtalálja a rést, jelzi a szervezetnek, majd miután hónapokig semmi válasz, a felettes szervnek, akik rápirítanak a szervezetre.
(De akár legyen nem etikus hacker, aki eladja a sajtónak az infót - pláne miután az állam nem foglalkozik vele - miszerint valószínűleg évek óta szabadon hozzáférhetőek állampolgárok adatai.)Ki volt a rossz arc?
-
#19482368
törölt tag
Nem a vizsga a lényeg. a hangsúly, részemről a legálisan van volt eddig is. Ha vizsga nélkül alkalmaz egy erre szakosodott cég, azzal nincs semmi baj. Az csak a cégre tartozik, senki másra. Nekem azzal van bajom, amikor mindenféle felkérés, egyeztetés nélkül neki esnek emberek egy rendszernek, miközben magát etikusnak állítja be. Holott erről sok esetben szó nincs, sokkal inkább arról hogy etikus hackerek mögé bújva, gyakorlatilag, betörést csinál. Ebben az esetben semmire nincs garancia, csak amit a logok mutatnak, már ha nem törölte, illetve az elkövető állít. De mint olvasható fentebb, sok esetben azzal hogy feltárta a sebezhetőséget, közel se áll meg a történet. Valaki fentebb leírta, hogy behelyezett egy back-dort. és a konkurenciának eladta. Hogy ennek mennyi a valóság alapja, ezt nem tudom megítélni, nyilván nem véletlen írta az illető. Felmerül a kérdés mennyire mondható etikusnak. Ha egy cég aki ebből él, egy ilyen incidenst nem engedhet meg magának. Csak olyan emberek akit közel se a jó szándék vezérel.
Ellenben ha a cég, felkér egy erre specializálódott céget, ott minden le van dokumentálva. Felügyelt, kontrollált körülmények között van minden.
-
0xmilan
addikt
válasz
#19482368
#103
üzenetére
Amennyire eddig láttuk, a valóság kicsit különbözik. Nem csak az lehet etikus hacker, aki vizsgás, hanem anélkül is.
Pontosan ez a probléma, hogy azok is annak vallják magukat, akik erre nem jogosultak.Adnek egy talalos kerdest. Szerinted etikus hacker az, aki a bug bounty platform toplistajan legalisan - de cert, vizsga es elozetes szerzodes nelkul - sok ezer dollart keres?
"Nincs semmire garancia."Mire legyen?
Látod, pont ez a különbség a valós etikus hacker, és az önjelölt között. És ezt nem akarja pár ember megérteni.Pontosan mi a kulonbseg?
-
-
#19482368
törölt tag
Botnet nem kerdez, nem ker jogosultsagot. Ez így van, sajnos. De a botnetbe előtte valakinek be kell húznia magát az eszközt. Itt további kérdések merülnek fel, vajon napra készen frissítve volt az eszköz, ha igen akkor mindez hogy történhetett meg. Ha olyan eszköz, amire már nincs támogatás, mit keres a boltok polcain?
Menedzsment vallat von. IT biztonsagra PONT nem volt eleg forras...
Nos van ilyen is, meg olyan is. Azt kell megérteni, ahol nem tudják ki termelni az IT költségét, az nem fog tudni mit kezdeni a kialakult helyzettel. Az IT mint azt fentebb ki fejtettem hatalmas összegeket emészt fel. Ezt nem mindenki tudja kitermelni. Arról nem beszélve, hogy amilyen dinamikusan változik minden, aki napra kész akar lenni mindenben, sok esetben hatalmas erőforrást, és összegeket emészt fel. Ez viszont nem fér bele a költségvetésbe, sok esetben. Így csak akkor, csak azt ami okvetlen szükséges, miután előtte már a sokadik tűzoltás történt.Pont ezert kellene udvozolni a segitseget, nem? Mert elobb-utobb _biztos_ hogy tamadas eri a rendszert. Azt a webshopot amelyik lyukas mint az ementali es nem hajlando befoltozni a biztonsagi reseit azt egybol be kell zarni, helyet soval behinteni, tulajt megbuntetni es bitcoin-banyaban dolgoztatni
Egyetertek hcl-lel hogy kellene egy torvenyes lehetoseg, bejelenteni a problemakat mert nem elhallgatni kell oket hanem megszunteni. Surgosen.
Nem, mert sok esetben nem segítség. Sőt a jó indulat könnyedén, átfordul rossz irányba. Minden rendszert ér támadás, napi szinten. Az esetek döntő többségével meg is tudnak birkózni. Igen abban egyet értek, hogy olyan web-shop ami nincs napra készen tartva, le kell kapcsolni a hálózatról. Csak ennek meg jogi akadályai vannak. Ha olyan eszközök, szoftverek lennének amik megfelelnek az elvárásoknak akkor nem lenne baj. De sok esetben csak későn derül ki egy programba milyen hibák vannak. és már x ideje megy a visszaélés.
Erről ügyfeleit nagyon kevés cég értesíti, és tájékoztatja mikorra várható a biztonsági patch.
Tehát az lenne a normális, ha a gyártók, külön emailban tájékoztatnák ügyfeleit, hogy 2018.12.20-án megszűnik a termék támogatása. Vagy a szoftver támogatása. Szerintem ez sokkal tisztességesebb megoldás.
Ha bitcoin-banyaba kerül már nem beszélünk etikus viselkedésről. Tehát ez ellentmondás annak a filozófiának amit hirdetek.Ha joszandekkal teszik akkor hajra. Kulonben majd a botnetek megteszik ugyanezt es kozben a ceg vezetes probalja elsumakolni a dolgot, mikozben a kartyaadataim esetleg Kinaban vagy E-Koreaban kotnek ki.
Az en -mint kulonbozo szolgaltatasok ugyfele- jol felfogott erdekem, hogy minel hamarabb foltozzak be a lyukakat. Nem vigasztal hogy esetleg kesobb kapott buntit a ceg, ellenben futhatok az adataim es a penzem utan.
Nézd addig amíg eleve hamis biztonságot hirdetnek különböző cégek, addig csak az ártatlan ügyfelekkel van kiszúrva. Akik hiába próbálnak ki mászni, egyszerűen esélyük nincs. Mert a piac tele van gagyitális elektronikai hulladékokkal, programokkal. Ha csak azt nézzük hogy sok VPN cég ami a biztonságot hirdeti milyen szinten veri át az előfizetőit, akkor tulajdonképpen miről beszélünk. De meg lehet említeni a gagyitális hálózati eszközöket, amik lakossági szinten vannak üzembe helyezve, vagy a szolgáltatók által kihelyezett hálózati eszközök hatékonyságáról. Akkor most ezért a lakossági előfizetőket kell még pluszba büntetni? Hiába vesz 10-20-30.000 Ft eszközt, azok többnyire 1%-jobbak csak. És valójában ki kapja a büntiket? Nem a gyártó cég, hanem a vásárlóközönség. Szinte ugyan ez a helyzet mindennel.Naivitas azt gondolni, hogy minden rendben van,
Egy percig se hitegettem magam ilyen naiv gondolatokkal. Csak arról van szó, hogy valójában közel se olyan egyszerű a megoldás. Azzal hogy kéretlen etikus hack megy, csak olaj a tűzre sok esetben. És a probléma se oldódik meg, sok esetben. Vagy éppen elfajul. A másik fele tudod mint a lakosságnak, mint cég vezetőknek, üzemeltetőknek tele van faszuk ezzel az egésszel. Mert a hal, mindig a fejénél bűzlik. Mint fentebb írtam, a termék megalkotói a felelősek, az ő trehányságuk, nem ügyfélközpontú gondolkodásuk vezetett ide, ami van. Kiadok egy terméket a piacra, 1-2 frissítés, és sorsára hagyom, mondván vegyél másikat, újabbat. De a meglévő ügyfeleket csak az új termékről értesítem, a régiek megszűnéséről már nem.
És ez a probléma. Hogy nagyon profit orientált lett minden, a minőség, megbízhatóság rovására. Ezzel viszont nem tud sok cég, mit kezdeni, mert esélye nincs arra hogy felvegye a versenyt. Arról nem beszélve, hogy a rossz indulatú kódok napi szinten jelennek meg. Azt osztályozzák milyen erősségű és nyilván a magasabb kockázatú hiányosságokat próbálják befoltozni. De ez is idő, így a rossz indulatú kódok mindig eleve potenciális előnyben vannak. Tehát helytálló megfogalmazás ha azt mondom rombolni sokkal könnyebb, mint építeni. De az igazság az, hogy a díjat az építők kapják, és nem a rombolók. -
cog777
senior tag
válasz
#19482368
#103
üzenetére
Es egy kicsit a masik oldalrol is.. jelezven hogy egy parbeszedet (altalanosan nezve) mindenkeppen meger a dolog.
Pontosan ez a probléma, hogy azok is annak vallják magukat, akik erre nem jogosultak.
Botnet nem kerdez, nem ker jogosultsagot. Jon, ut, gyoz. Menedzsment vallat von. IT biztonsagra PONT nem volt eleg forras...Sok cég biztosít erre felületet, sőt lehetőséget add arra hogy regisztráld magad. És az általad feltárt hibákat jelezni tudjad. Ahol nincs erre lehetőség, értelemszerűen adja magát. Másfelől gondolod hogy egy webshop biztosítani fog neked ilyen felületet? Ugye érted ...
már korántsem biztos hogy a rendszer hatékonyan tudd védekezni. Legfőképpen alacsony költségvetésű IT infrastruktúrák esetében.
Pont ezert kellene udvozolni a segitseget, nem? Mert elobb-utobb _biztos_ hogy tamadas eri a rendszert. Azt a webshopot amelyik lyukas mint az ementali es nem hajlando befoltozni a biztonsagi reseit azt egybol be kell zarni, helyet soval behinteni, tulajt megbuntetni es bitcoin-banyaban dolgoztatni
Egyetertek hcl-lel hogy kellene egy torvenyes lehetoseg, bejelenteni a problemakat mert nem elhallgatni kell oket hanem megszunteni. Surgosen.És mi lenne ha önjelölt emberkék nem azzal szórakoznának, hogy illetéktelenül, önkényesen neki essenek különböző rendszereknek?
Ha joszandekkal teszik akkor hajra. Kulonben majd a botnetek megteszik ugyanezt es kozben a ceg vezetes probalja elsumakolni a dolgot, mikozben a kartyaadataim esetleg Kinaban vagy E-Koreaban kotnek ki.
Az en -mint kulonbozo szolgaltatasok ugyfele- jol felfogott erdekem, hogy minel hamarabb foltozzak be a lyukakat. Nem vigasztal hogy esetleg kesobb kapott buntit a ceg, ellenben futhatok az adataim es a penzem utan.Tegnap huszmillional tobb tamadast eszleltek kulonbozo infrastrukturakban: [link]
Az a világ ami szabályokban él, ez csak természetes. Ezen az alapon a betörőknek, gyilkosoknak is buksi simogatás jár. Mert ők csak felhívták a figyelmet egy rendszer sérülékenységére.
Ez az egyik oldal. A masik hogy akkor csak a backdoor-os DES titkositast hasznalhatnad most is ja nem.. mert sikerult kijatszani az USA export tilalmanak szabalyait. Szoval most tulajdonkeppen te is nyertel a szabalyok athagasaval tehat nem fekete es feher.Az a helyzet hogy az atlathatosag mindig biztositja hogy nincs semmi hatsoszandek. Tiszta lap (-pal valo jatszas), jo kozerzet
Naivitas azt gondolni, hogy minden rendben van, ha nem engedjuk kiderulni hogy a menedzsment esetleg inkompetens IT-ben
Valahogy van az az erzesem hogy az szerinted ha nem kerul bejelentesre / nyilvanossagra egy biztonsagi res (persze a protokollt betartva, turelmi idot adva stb.), akkor az jobb biztonsag szempontjabol. Pedig nem...nagyobb cegek is beismertek mar ezt, pl az Intel is el akarta sumakolni a dolgot eloszor...Szoval +1 hcl-nek.
-
#104
noPublicFG
senior tag
Végigolvastam a hozzászólásokat, és elég siralmas, hogy az etikus hackelést / hackerkedést feketének és fehérnek állítják be sokan. A joggal ellentétben az informatikában nem csak primitíven bűnös és ártatlan létezik. Vannak biz' színek is.
A legjobb hasonlat, amire a cikk emlékeztet engem, amikor a pláza parkolóban a napon 40 fokban egy luxusautó áll, a hátsó ülésen jól kivehető gyerekülés, és a baba alszik benne. Mit csinálsz? Elmész mellette? Ha megállsz, és megnézed mi történik. Mit teszel? Az egy perce elrohant anyuka már fél órája a plázában cseverészik. Bekopogsz az ablakon? Ha nem reagál, akkor megpróbálod kinyitni az ajtót, de az nem nyílik a központi zár miatt, betöröd az ablakot? De az szándékos rongálás nem? És így tovább... A lényeg a lényegen: sokan önként kiszolgáltatják az adataikat millió honlapon, de az már nem érdekli őket, hogy visszaélnek vele, vagy egyáltalán megfelelően védik őket? Ezek az adatok mind te magad vagy! A címed, telefonszámod, életkorod, banki adatok, jelszavak, stb. Te magad vagy az a kiszolgáltatott csecsemő bennt a hátsó ülésen az ötven fokos autóban. Tévedés ne essék, én sem tartom pozitívnak azt, hogy az etikusnak nevezett hackerek beleegyezés és bármi kontroll nélkül kutakodnak, de a kisebbik "rossz" feledteti a nagyobb bajt, netán katasztrófát. -
#19482368
törölt tag
Amennyire eddig láttuk, a valóság kicsit különbözik. Nem csak az lehet etikus hacker, aki vizsgás, hanem anélkül is.
Pontosan ez a probléma, hogy azok is annak vallják magukat, akik erre nem jogosultak."Nincs semmire garancia."Mire legyen?
Látod, pont ez a különbség a valós etikus hacker, és az önjelölt között. És ezt nem akarja pár ember megérteni.jó-e így a szabályozás? Valóban, vannak még meg nem oldott kérdések, amiket sokkal komolyabban kellene szabályozni, kontrollálni.
S mi lenne, ha azzal, hogy lenne törvényes _bejelentési_ lehetőség is
Sok cég biztosít erre felületet, sőt lehetőséget add arra hogy regisztráld magad. És az általad feltárt hibákat jelezni tudjad. Ahol nincs erre lehetőség, értelemszerűen adja magát. Másfelől gondolod hogy egy webshop biztosítani fog neked ilyen felületet? Ugye érted ....S mi lenne, ha azzal, hogy lenne törvényes _bejelentési_ lehetőség is, a hatóság nem egyből börtönnel meg büntetéssel reagálna, hanem együttműködéssel?
És mi lenne ha önjelölt emberkék nem azzal szórakoznának, hogy illetéktelenül, önkényesen neki essenek különböző rendszereknek?IT kultúra
Az IT kultúrának mindig is voltak irtott, és íratlan szabályai, amit pár jó képességű ember folyamatosan felrúg, és saját együgyű céljainak elérése érdekében és próbálja sajátságosan értelmezni.Akit észreveszünk, azon példát statuálunk, szétszívatjuk, megbüntetjük,
Az a világ ami szabályokban él, ez csak természetes. Ezen az alapon a betörőknek, gyilkosoknak is buksi simogatás jár. Mert ők csak felhívták a figyelmet egy rendszer sérülékenységére.Na most egy tetszőleges, publikusan neten lógó eszközt amúgy is folyamat ér támadás nap mint nap - scriptek, botok, és hackerek által, ha akarod, ha nem - akkor természetesen pont azt kellene megbüntetni, aki nem károkozás céljából tesztelte a hálódat. Aki kárt akart okozni, azt meg minek.
Nos ez már egy másik téma, igen az interneten az eszközöknek, programoknak meg kell tudni birkózni a folyamatosan felé érkező rossz indulatú kódoktól. Ez valamikor sikerül, valamikor nem. Naponta több ezer kártékony kód születik meg az interneten, azzal a céllal, hogy másoknak kárt okozzanak. Ennek megelőzése érdekében több cég, csoport napi szinten folyamatosan próbálja hatástalanítani, ami többé kevésbé sikerül is nekik. De ha mindezt figyelembe veszed, és plusz hozzáadsz egy céltudatos etikus hacket, már korántsem biztos hogy a rendszer hatékonyan tudd védekezni. Legfőképpen alacsony költségvetésű IT infrastruktúrák esetében. És biztos hogy valamilyen szintig el is jut. Annak mélysége, súlyossága, IT rendszer, függő. Ahol több pénz van a hatékony védelemre, és naprakészen tartására, ott kisebb az esély arra hogy komoly kárt okozzanak. Ahol erre nincs pénz, erőforrás ott nyilván hatékonyabban tudnak ténykedni. De ez nem jelenti azt, hogy ahol van rá pénz, erőforrás ott nincsenek visszaélések. Lásd a Drop-Box botrány, a yahoo botrány, stb... És az idén Agusztus 20-án ért Austriai Telekom ellen indított támadások ahol ügyfelek adatait szerezték meg. Ezek mind nagy cégek, komoly infrastruktúrával rendelkeznek. Ennek ellenére sajnos előfordulnak hibák, sebezhetőségek. Így felteszem a kérdést, mit akarsz te tesztelni? Kis és közép vállalkozásokat? Nuke mambo, joomla, WordPress portál rendszereket? Vagy lakossági előfizetőket? Ahhoz hogy normalizálódjon a helyzet, olyan eszközöket, programokat kell készíteni amik folyamatosan napra készek.és annak akár központi naprakészen tartását kell biztosítani. Amíg ez nincs szabályozva, és szankcionálva, addig nincs miről beszélni. Tehát a IT infrastruktúra biztonságossá tétele, abból kellene hogy álljon, hogy csak olyan eszközök lehetnek az interneten amikre még van támogatás. Amire meg szűnt, azt lekapcsolnák.
De a valóság az ez se járható út, megoldás. -
Ami még eszembe jutott, ez annyira magyar mentalitás! Akit észreveszünk, azon példát statuálunk, szétszívatjuk, megbüntetjük, a többi simlis megy nyugodtan csinálhatja tovább a dolgát. Ez megvan adóügyekben, bürokráciában, közlekedésben, mindenben.
Na most egy tetszőleges, publikusan neten lógó eszközt amúgy is folyamat ér támadás nap mint nap - scriptek, botok, és hackerek által, ha akarod, ha nem - akkor természetesen pont azt kellene megbüntetni, aki nem károkozás céljából tesztelte a hálódat. Aki kárt akart okozni, azt meg minek.
-
válasz
#19482368
#100
üzenetére
Amennyire eddig láttuk, a valóság kicsit különbözik. Nem csak az lehet etikus hacker, aki vizsgás, hanem anélkül is.
A biztonsági rés, meg a nem etikus hacker, meg továbbra sem kérdez."Nincs semmire garancia."
Mire legyen?
Jön egy levél, hogy hibás az oldalad, javítsd ki, mert veszélyes. Tényleg hibás? Tényleg! Mire akarsz garanciát? (Azt inkább attól a bandától kell követelni, aki a hibás cuccot összerakta.)Szóval lehet, hogy valamilyen szinten van tövényes lehetőség, de pont ez volt a cikkben felvetett probléma : jó-e így a szabályozás? Mert valószínűleg nem.
Pont ezért : "Az már más kérdés, ki hogyan éli meg. Lehet megköszöni, de lehet hogy eljárást indít az elkövető ellen. Mind kettő benne van a pakliban, és mindkettő lehetőséggel számolni kell."
S mi lenne, ha azzal, hogy lenne törvényes _bejelentési_ lehetőség is, a hatóság nem egyből börtönnel meg büntetéssel reagálna, hanem együttműködéssel?
Részemről az adómból szívesen áldoznék erre, mert a magyar IT kultúra ugyanúgy a béka feneke alatt van, mint sok egyéb terület, így viszont máris sokkal több lehetőség lenne javulni.Amúgy meg
-
#19482368
törölt tag
Látod itt vannak a gondok, és a félre értelmezés hogy pont az önjelölt, magukat etikus hackrenek mondó egyének, akarják magukat valódi etikus hackernek ki kiáltani. És egy kalap alá venni. Pont azzal a tevékenységgel, hogy ők ismeretlenül, mindenféle felügyelet, megállapodás, hiányában neki esnek rendszereknek, mondván ő etikus.
Tudod ebben a formában mondani mindent lehet, és vagy úgy van, vagy nem. Nincs semmire garancia.Az a helyzet hogy mivel biztosítva van annak a lehetősége, hogy törvényes úton etikus hacker legyen valaki, ezzel az önjelölt magukat etikus hackernek ki kiáltó emberek védekezési lehetősége, ki is lett iktatva. Tehát meg van különböztetve a jó, és rossz indulat. Ettől a pontól, meg bűncselekmény. Van olyan is hogy betörési kísérlet, az is le van szabályozva. És ugyan úgy büntetendő. Tehát, te hiába mondod magad jó indulatúnak, a törvények alapján, közel se vagy az. Az már más kérdés, ki hogyan éli meg. Lehet megköszöni, de lehet hogy eljárást indít az elkövető ellen. Mind kettő benne van a pakliban, és mindkettő lehetőséggel számolni kell.
Tehát elmondható, hogy törvényes keretek között van szabályozva, ki számít etikus hackernek, és ki nem.
Minden más, csak félre magyarázás.Ha valakit érdekel a hackelés, és mindezt törvényes keretek között akarja csinálni, erre is van lehetőség tudtommal. Pont a Kali oldalon van, vagy volt lehetőség ( Már régen voltam a Kali oldalon) különböző virtual image letöltésére, azzal a céllal hogy találd meg a gyenge pontot, és törd fel. Mindezt törvényes kereteken belül, büntetlenül. Saját develop környeztetettben. Tehát erre is van lehetőség. Ha te már profinak érzed magad, vannak cégek, ahova regisztrálsz és a feltárt sebezhetőségek után akár pénzbeli jutalmat is kapsz.
Szintén szabályozva, felügyelve van. Tehát elmondható hogy minden lehetőség meg van arra, hogy törvényes keretek között akár autodidakta módon megtanultakat, akár egyetemen végzett ember vagy, erkölcsi, anyagi hasznod legyen. És etikus hacker legyél. -
válasz
#19482368
#98
üzenetére
Nem azonosulni kell vele. Nekem van egy véleményem, leírtam.
A képzés után sem lehet azt, hogy ha valahol észreveszel valami hibát (mint a BKV-s csávó) bejelented, és az a helyén lesz kezelve, nem bűncselekményként. Csupán azt akartam jelezni, hogy ezen jó lenne változtatni.
"Minden más önjelölt etikus hacker tevékenység mögé bújva nekiesnek egy rendszernek nem etikus hacker. Hanem közönséges bűncselekmény."
Ha nem okoz kárt, hanem jelzi neked a hibát, akkor mitől kéne bűncselekménynek lennie?
Mert ha kárt okoz, vagy nem jelzi, akkor simán az. De ha nem származik hátrányod?"Igen mindezt szerződés kötés után, ahol mint jogilag, mint erkölcsileg minden le van dokumentálva. "
Attól még támadás. És jóindulatú. Az volt a bajod, hogy nincs jóindulatú támadás - de, van."Biztos sok ilyen vállalkozás, közintézmény van, ahol nem halottak róla, illetve ha hallott is róla, nem tudja kitermelni annak költségét."
Tök jó, és akkor annak költségét ki tudja, ha ellopják az adataikat? Pláne egy közintézményből a te adataidat lopja el valaki?
Ebben az esetben a legkevésbé az érdekel, hogy le van-e dokumentálva (anyám, ha az etikus hacker jelzi, hogy milyen hibád van, az már dokumentálás), hanem hogy ne legyen hiba!Részemről itt fejeztem be, mert ennél jobban nem tudom elmagyarázni, hogy nem kéne mindenkit egy kalap alá venni.
-
#19482368
törölt tag
Nézd, bár értem hogy mit mondasz, de azonosulni nem tudok.
Ha valaki törvényes keretek között akar ettikus hacker lenni akkor itt lehet jelentkezni.
https://kurtakademia.hu/kepzesek/etikus_hacker_kepzes, vagy itt http://nik.uni-obuda.hu/etikushack/ Az etikus hackerek már a képzés alatt elkelnek. írja a http://news.uni-obuda.hu/articles/2017/08/01/az-etikus-hackerek-mar-a-kepzes-alatt-elkelnek
Akik ezen, keretek között végzik a tevékenységet, azok jogilag védve vannak. Tehát minden lehetőség adott, hogy törvényes keretek között lehessen valaki etikus hacker. Minden más önjelölt etikus hacker tevékenység mögé bújva nekiesnek egy rendszernek nem etikus hacker. Hanem közönséges bűncselekmény.Tudod erről az jut eszbe hogy mától etikus agysebész leszek, így gyanútlan járókelőkön kísérletezek, arra hivatkozva, hogy az emberi elme, agy nem minden része van teljesen feltárva, és több szem többet lát alapon vizsgálatokat csinálok. Tehát én valójában etikus agysebész vagyok.
Ugye érted.Biztonsági auditor cégek szoktak olyat csinálni
Igen mindezt szerződés kötés után, ahol mint jogilag, mint erkölcsileg minden le van dokumentálva. De te kevered a szezont a fazonnal. És erőteljesen ferdíteni próbálsz.Aha... vagy azt se tudják, hogy kéne, vagy nem érdekli őket.
Biztos sok ilyen vállalkozás, közintézmény van, ahol nem halottak róla, illetve ha hallott is róla, nem tudja kitermelni annak költségét. Főleg hogy sok helyen TP-Link all in one eszközök és társai biztosítják biztosítják a vonalat. -
válasz
#19482368
#44
üzenetére
Amúgy a topic pont arról is szól, hogy nem lenne-e érdemes jogilag is értelmezhetővé tenni az ilyesmit. tehát mondjuk egy ilyen lehetőséget adni, hogy ha bejelentesz egy általad feltárt sebezhetőséget, akkor legálisan megtehesd, és ne attól kelljen félni, hogy elvisznek? Ez erősen win-win eset.
(Akár ledokumentálod, amit találtál, a megfelelő hatóságok felé, bizonyítva, hogy nem okoztál kárt, stb.)
Ugyanis ahogy egyéb közösségi dolgokban, abban is ott van az a potenciál, hogy olyan dolgokat láthat meg valaki, amiket egy biztonsági cég nem. Több szem mindig többet lát.
Pláne, hogy itthon eszébe nem jut senkinek a hálózatát auditáltatni."A támadás nem feltételezi a rossz szándékot Dehogynem, én még soha nem hallottam jó indulatú támadásokról. "
Biztonsági auditor cégek szoktak olyat csinálni Amúgy ha a támadás annak érdekében történik, hogy kiderítsd, milyen sebezhetőséget vannak, s nem lopsz el semmit stb., akkor máris lehet jó szándékú."Az a helyzet, hogy azok a cégek, ahol nem fér bele egy ilyen vizsgálat költsége, annak csupán anyagi okai vannak sok esetben."
Aha... vagy azt se tudják, hogy kéne, vagy nem érdekli őket."Az hogy egy ismeretlen magát etikus hacker-nek kiadó láthatatlan személy, engedély nélkül vizsgálatokat kezdeményez nem jelenti hogy valóban a jó indulat vezérli."
Hát, ha szól neked, hogy nem vagy rendben, akkor valószínűleg, különben miért hívná fel magára a figyelmet? (Utánad Borg vagy ki is írta, hogy mi van, ha elhallgat egy lyukat? Hát akkor hülye lenne közölni veled, hogy ő nézte a hálózatod... )
Amelyiket nem a jó vezérli, arról nem hallasz, miközben messze jár az adataiddal. Utóbbiból amúgy van pár, azaz akármilyen eszközt kiteszel publikusan a netre, úgyis jönni fognak a támadások... Ha akarod, ha nem... Ha engedi a jog, ha nem..." Bezzeg a szemét cég, képzeld főnök óránként 25.000Ft/fó óradíjat akart felszámolni nekünk ezért,"
Ha valakinek esze van, akkor nem vár az etikus hackelésre, de ha már jött egy figyelmeztetés, hogy lyukas a hálója, akkor intézkedik. Mármint nem feljelenti a hackert, hanem kijavítja a hibát." Semmi garancia nincs semmire, nincs ledokumentálva semmi, ami van az vagy úgy van, vagy nem."
Könnyen ellenőrizheted, ha megnézed a hálód... És ha tényleg hibás?
És ha feltörik a hálód egy nem dokumentált hiba segítségével, akkor mi lesz? Szólsz, hogy hé, az nem volt dokumentálva, nem lophattátok el a cuccokat?
Nekem egy olyan, mint a texasi farmer, az adóellenőr, meg a bika esete.
S ahogy fentebb írtam, ha lehetőség lenne úgy bejelenteni az ilyesmit, hogy hivatalosan is vállalod, abban mi baj lenne? -
zseko
veterán
De, tudom a választ: kivárnám, hogy lemenjen az ára
A a Steam listámban még mindig vannak 2010-ben hozzáadott játékok is.A példádat nem találom annyira jónak, mert az inkább 'fizikai', 'online' tevékenység, vagy személyesebb, ha úgy tetszik, míg a másik személytelen, ezért sem foglalkozik vele sok ember, és nem érti mi a gond a letöltéssel, természetesebbnek veszik, hogy 'jár'.
Persze ez én példám sem volt teljesen jó, mivel amire válaszoltam ott meg fizikai bolti lopásról volt szó, és az nem ugyanaz mint amit én írtam (a végeredmény szempontjából persze igen, csak a megvalósításban nem).Én sem akarom megideologizálni, mivel netflix és hbogo-m is van, mégis nézek online filmet. Persze mondhatnám, hogy 'rá vagyok 'kényszerítve' ' két előfizetés mellett is, de igazad lenne abban, hogy ez így nem teljesen igaz, és ezt az a 'nyavajgás' sem oldja fel, hogy de máshogy nem érhető el pár kedvenc régi filmem (Csillagok küldötte, Zapped, Benji, Parker Lewis sohasem veszít, Nehéz napok egy Föld nevű bolygón, stb.) Csak tavaly többször voltam moziban, mint amennyi filmet végül leszedtem, zenét pedig gyakorlatilag azóta nem töltöttem le, mióta elérhető a Deezer az országban :/ Telefonon is minden vásárolt, Steam óta pedig előbb jut eszembe hogy hol vehetem meg olcsóbban a játékot, mint hogy honnan tudom letölteni... És mindez a Microsoft hibája
Miattuk kaptam rá, mikor suliban 5k-ért eredeti xp+office lehetett, aztán fősulin elérhetővé vált a legális win7-win server-egyéb programjuk. Hogy rohadjanak meg (mennyi pénzem megmarad volna pedig ) ![;]](//cdn.rios.hu/dl/s/v1.gif)
Érdekes dolog. Előtte le se sz.rtam az ilyet... :/ Most meg vásárolom össze a régi kedvenc játékaimat.
Viszont már eléggé eltértünk a tárgytól -
#95
st3v3np3t3r
nagyúr
haxiboy
#94
-
#94
haxiboy
veterán
st3v3np3t3r
#76
haxiboy
veterán
válasz
st3v3np3t3r
#76
üzenetére
Ha komolyabb hálózatra célirányosan szeretnél bejutni van rengeteg fizetős szolgáltatás akik offline bf-olnak.
-
#92
justmemory
senior tag
Egon
#88
justmemory
senior tag
-
#91
sztanozs
veterán
st3v3np3t3r
#90
sztanozs
veterán
válasz
st3v3np3t3r
#90
üzenetére
nem is neked válaszolt - vagy mindkettő te vagy?
-
#90
st3v3np3t3r
nagyúr
Egon
#88
st3v3np3t3r
nagyúr
miért beszélnék félre, mert véletlenül összekevered hogy a WPS PIN 8 számból áll, én meg a játszós routerem WEP jelszavát 0-9 és a-f(vegyesen) 8db karakteres jelszóval(nem pinnel) "védtem le"... ezen mit lehet félrebeszélni...max félreérteni lehet... szerintem téged a 8 karakter kavart meg
-
sztanozs
veterán
Mondjuk ezzel a sebességgel nem lesz világbajnok:
Speed.Dev.#1…..: 44 H/sBár ahogy nézem, ez csak egy sima Salted SHA1 Hash bruteforce, ami a PMK-t fejti vissza, utána 4096 Salted SHA1 ami a PSK-t visszaadja:
PMK = PBKDF2(HMAC−SHA1, PSK, SSID, 4096, 256)
PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA) -
#88
Egon
nagyúr
justmemory
#83
Egon
nagyúr
válasz
justmemory
#83
üzenetére
Szerintem szándékosan beszélsz félre, úgyhogy én itt abbafejeztem.
-
#86
Egon
nagyúr
st3v3np3t3r
#81
Egon
nagyúr
válasz
st3v3np3t3r
#81
üzenetére
PMKID Hash törés viszonylag új fejlemény, de nekem az jött le a cikkekből, hogy vannak erre a támadásfajtára sérülékeny eszközök, így egyrészt korántsem biztos, hogy minden router (illetve AP) esetében működő dologról beszélünk, másrészt lehet hogy lesz rá patch.
-
#85
sztanozs
veterán
st3v3np3t3r
#84
sztanozs
veterán
válasz
st3v3np3t3r
#84
üzenetére
Lol, WEP-et törni - aircrack-ng vel ment az 2-3 perc alatt is...
-
#84
st3v3np3t3r
nagyúr
Egon
#82
st3v3np3t3r
nagyúr
-
#83
justmemory
senior tag
Egon
#82
justmemory
senior tag
Elmondásom szerint nem emlékszem már pontosan, hogy 5 évvel ezelőtt mit állítottam be
Úgy emlékszem, hogy akkor WPS-t.Utóbb: most hirtelen rápróbáltam WPA2-re (ezért is írtam le, hogy pl. airodump-ban mi látszik) és működik, töri. Mint írtam, reaver-el csináltam/próbáltam, nem aircrack-el...
Egyébként nem azért írom, mert mekkora "trúváj"; pont ez a dolog lényege (egyszersmind a mondanivalóm lényege is), hogy gyakorlatilag pici keresgéléssel ezek a parancsok, programok bárki számára elérhetőek, letölthetőek legálisan, stb.
-
#82
Egon
nagyúr
justmemory
#80
Egon
nagyúr
válasz
justmemory
#80
üzenetére
-
#81
st3v3np3t3r
nagyúr
Egon
#78
st3v3np3t3r
nagyúr
nálam alap a tiltott WPS, a jelszó 96karakteres készettel(0-9,a-z,A-Z,spec karakterek) vegyes kombinációjával van felvértezve, ami 16 karakternél hosszabb... tehát félig meddig biztonságos
és van Whitelist Access Controll...hát aki WPA2őt próbálna BF-el törni, az időben álljon neki,meg szerezzen be jó pár terabájt tárolót a wordlist-hez... viszont olvastam egy külföldi cikket, ha jól értettem a benne leírtak, akkor PMKID Hash töréssel megszerezhető a jelszó... ezt nem volt időm megnézni -
#80
justmemory
senior tag
Egon
#79
-
#79
Egon
nagyúr
justmemory
#77
Egon
nagyúr
válasz
justmemory
#77
üzenetére
Oké, a WPS-t nyilván tiltani érdemes, ha az ember biztonságos otthoni hálózatot szeretne. WPA2 törésre lettem volna (én is) kíváncsi.
-
#78
Egon
nagyúr
st3v3np3t3r
#76
Egon
nagyúr
válasz
st3v3np3t3r
#76
üzenetére
Erről van szó. Nem lehet egy lapon említeni a WEP-et a WPA-val biztonsági szempontból, de még a WPA és a WPA2 között is komoly különbség van. A WEP-et percek alatt bárki feltöri, és a protokoll hiányosságai miatt ezen érdemben nem is lehet segíteni, csak azzal, ha eltekintünk a használatától. A WPA sem tekinthető sokkal jobb választásnak manapság, mivel belátható időn belül törhető. Ellenben egy normálisan kiválasztott (legalább 10-12 (de még inkább 14-16) karakter hosszú, legalább az angol abc 26 betűjének és a számjegyeknek a kombinációját tartalmazó) jelszóval felvértezett WPA2-PSK hálózatot, a wannabe hackerek által elérhető erőforrásokkal, nem igazán lehet értelmes időn belül megtörni.
-
#77
justmemory
senior tag
Egon
#75
justmemory
senior tag
Évekkel ezelőtt volt, így ne kérdd, hogy emlékezzek mindenre pontosan, mert nem tudom már; a konfig otthon van, majd' 1 éve áll már, 2009-ben vásárolt ThinkPad SL500, de hogy pontosan mi van benne, meg kellene nézzem... WPA volt talán és WPS PIN method-al (reaver-el) - tehát a jelszó hossza/bonyolultsága pont nem számít. Mondhatod, hogy ravasz vagyok, de mielőtt újból belém szállsz, hogy "mégismiazhogyésmitéshogyan", ezt csak példaként írtam, hogy ugye a kvázi biztonságosabb védelmekre is jobban kellene figyelni és ha lehet, akkor még biztonságosabbá tenni, mert sok router valóban simán WEP és WPA titkosítással van beállítva és azok sem törhetetlenek, plusz a lényeg az volt, hogy ha mondjuk hetente megfordulok 2-szer az adott helyen, mondjuk 1-1 órára, akkor jó eséllyel 1 hét alatt azt a WPA-t (és akkor maradjunk annál) fel lehet(ne) törni. Nem értek hozzá, csak érdekel a dolog, és adott esetben otthon ki is próbálom, mert nyilván magamat is szeretném védeni, amennyire csak lehet. Okítást és érdemi párbeszédet mindig szívesen veszek...
-
#76
st3v3np3t3r
nagyúr
justmemory
#72
st3v3np3t3r
nagyúr
válasz
justmemory
#72
üzenetére
nekem a saját játszadozós routeren egy 8karakteres(0-9,a-f karakterekkel) wpa2-aes/tkip-es jelszó 200-400óra lett volna BF-el...
kíváncsi voltam már erre a sok cikkben olvasott easy wpa/wpa2 hackre, meg több embertől hallottam hogy feltörte a szomszéd wifijét,arról netezik dumákra...így vettem akciósan egy Tenda N3-as routert és kipróbáltam, nem mint ha a saját TPLink Archer C2 nem felelt volna meg a célra, de ezt egyszerűbb konfogzni, meg nem addig is van netem, nem kell várnom míg rebootol a router egy-egy újabb konfigolás után...így hát nekiálltam tesztelni az elméletet...és egy kicsit meglepődtem... WEP-es jelszó az 10percen belül megvolt,de a WPA2 igencsak keménydiónak bizonyult a gépem számára... és nem mondható gyengének...jó nem egy i3as vagy C2Q, de laptophoz mérten elég gyors... -
#75
Egon
nagyúr
justmemory
#72
Egon
nagyúr
válasz
justmemory
#72
üzenetére
Milyen hosszú jelszavas védelmet törtél te meg 6 óra alatt, pontosan milyen konfigon, milyen módszerrel? Jah, és WPA vagy WPA2 volt (mert ravaszul egy kalap alá vetted ezeket, holott egyáltalán nem mindegy)? Illetve még az sem mindegy (ha már belemegyünk a részletekbe), hogy TKIP vagy AES volt beállítvaa titkosításnál?
-
#74
justmemory
senior tag
#19482368
#73
justmemory
senior tag
válasz
#19482368
#73
üzenetére
Na hát igen, pont ez az... Mármint az elmélet és a gyakorlat, és ezért is írtam, hogy vajon van-e és ha igen, milyen mélységű és minőségű egyeztetés.
Az elméleti kérdésemre adott válasz alapján meg akkor ugye rögtön elvileg egyértelmű, hogy noha én jó szándékkal törtem fel, sőt szólok is, hogy bizony ez a WPA/WPA2 nem valami hatékony, bűncselekményt követtem el; megdicsérni biztosan nem fognak érte. -
#73
#19482368
törölt tag
justmemory
#72
#19482368
törölt tag
válasz
justmemory
#72
üzenetére
Kérdés: ha én feltöröm, majd csatlakozok hozzá és esetleg nekifogok torrentezni, vagy simán csak napi használatba veszem, de "semmi kárt nem okozok", akkor bűnös vagyok-e vagy sem...?
Igen, bűncselekményt követtél el. Ami akár büntetőjogi eljárást vonhat maga után.
Talán a jog még úgy ahogy, de vannak hiányosságok. Fentebb írtam egy példát, ott mac-address szűrést írtam mint védelem. A jog ugyan kiterjed a védet hálózatra, de annak hatékonyságára már nem terjed ki. Így a mac-address védelemmel ellátott hálózat is védet hálózatnak minősül. Az már más kérdés, ki mennyire tudja érvényesíteni a jogát. Vannak ugyan megoldások, hogyan tudja érvényesíteni az áldozat a jogait, de az plusz pénzbe kerül. És nem a Rendőrséghez fordulsz mert...A lényeg, megbízol egy normális céget, aki feltárja, ledokumentálja, és konyhakész anyagot, (tehát már megvan az elkövető), beadod az ügyészségre.... És a gépezet, bár lassan de elindult. Az ismét más kérdés hogy ennek mekkora a költsége, és mennyi az okozott kár. Ha az elkövető csak torrentezik az áldozat hálózatán, bár bűncselekmény, követ el minden tekintettben, de a büntetés mértéke szinte elenyésző. Tehát értsd, úgy hogy az elkövető ellen hogy eljárást tudj indítani, annak költsége magasabb, mint az elkövetőre kiszabott maximális összeg.
ugyanis a jogaidat, csak polgári úton tudod érvényesíteni. Illetve ha megnyered a pert akkor vissza jön az összeg, de azt az elkövető fizeti neked vissza. És hát a gondok akkor vannak, ha nem fizet, akkor ismét per, ami idő. Szóval van egy elmélet, meg egy gyakorlat, a kettő sok estben köszönő viszonyban sincs. -
#72
justmemory
senior tag
st3v3np3t3r
#56
justmemory
senior tag
válasz
st3v3np3t3r
#56
üzenetére
Nagyon érdekes kérdés ez... A WEP-et is törni kell, tehát elvileg illegális. A WPA/WPA2 sem keményebb dió, tovább tart, ennyi (gyengébb configgal nekem 6 óra volt (saját, játszóson, még mielőtt...), de ugye folytatható/megszakítható, tehát nem kell "ott ülni"/ott hagyni a gépet 6 órán át...). Ezen az elven tehát valamennyi, nem kellő szintű védelmet alkalmazó cég/magányszemély figyelmeztethető lenne, hogy bizony... Tudom, onnan még hátravan az adatszerzés, de na.
Kérdés: ha én feltöröm, majd csatlakozok hozzá és esetleg nekifogok torrentezni, vagy simán csak napi használatba veszem, de "semmi kárt nem okozok", akkor bűnös vagyok-e vagy sem...?
Szerintem ez nagyon ingoványos talaj, jogilag sincsenek szerintem felkészülve igazán (kíváncsi vagyok, hogy vajon mennyi szakmai egyeztetés megy a jogászok és az IT/Sec. szakemberek között mondjuk egy-egy jogszabály megalkotásakor) a lehetséges dolgokra. Mivel mindenki be van kötve már, szabadon hozzáfér sok mindenhez, és gyakorlatilag magán a hálózaton "nem kószálnak rendőrök", így tényleg csak az egyéni morális értékekre van bízva, hogy ki és mit csinál. -
aryx
újonc
Nemrég posztolt egy kódot a blogjára, amivel a dkp.hu-t lehet SQLivel támadni - elvileg ő ezt áprilisban jelentette nekik. Megírtam a dkp-nak, hogy mi történt, hát ők máshogy látják a helyzetet: [link]
Érdekes, miután írtam, egyből javították a hibát. Szóval korábban sem volt ő etikus. -
-
Egon
nagyúr
Nem tudok azonosulni a letöltés kriminalizálásával, de...
Az első példa még akár elfogadható is lenne (bár majd a végén írok példát én is), de a másodikat nem tudom osztani: nem derül ki ugyanis, hogy mi lenne a helyzet akkor, ha valami szuper másolásvédelmi eljárás végett, fizikailag képtelen lennél letölteni a játékot: kivárnád-e vajon, hogy lemenjen az ára, vagy pár hét/hónap után, fogcsikorgatva, de kicsengetnéd az 50 EUR-t? A választ senki sem tudhatja, még te sem...Az első példára egy ellenpélda. Már vagy 15-20 éve olvastam anno a Nemzeti Sportban egy cikket. Egy újságíró tudósított valami focivébéről, és az ottani kalandjait írta meg. Bementek valami gagyi meccsre, amit a kutya sem nézett. A jegyük egy eléggé rossz szektorba szólt. Mivel a szomszédos szektor tök üres volt, hát átültek oda. Pár perc múlva jött egy rendező hölgy, és kérte a jegyüket. Elmagyarázták neki, hogy azért bátorkodtak oda ülni, mert üresek voltak a helyek, és ha esetleg jönne a hely tulajdonosa, azonnal odébb ülnek, de ez nem hatotta meg a rendezőt, és távozásra szólította fel őket. Ismét elmagyarázták, hogy hát istenbizony odébb mennek majd ha kell, mire a hölgy eltűnt. Öt perc múlva jött két háromajtós szekrény, és kikísérte őket a szektorból. Tudod, miért? Mert nem arra fizettek. Nem járt nekik az a hely. A stadion tulajának szíve joga akár 1000 dollárért adni egy helyet az adott szektorba, és végignézni, hogy az üresen marad. Az ő dolga. De aki megvette az olcsó jegyet, az üljön az olcsó helyre. Ha a film terjesztője úgy gondolta, hogy csak Kamcsatkán árulja a cuccot, akkor szíve joga úgy tenni. Hogy ebből kifolyólag elmaradt haszon fog nála jelentkezni? Az az ő dolga. A konkrét példádban lesz elmaradt haszon? Nem. Felhjatalmaz ez téged erkölcsileg arra, hogy letöltsd? Nem, a két dolog között nincs összefüggés. Jogilag letöltheted? Igen, hiszen nálunk létezik a magáncélú letöltés intézménye. Innentől kezdve nyilván azt csinálsz amit akarsz.
Félreértés ne essék: nem vagyok álszent, én is töltök le filmeket, néha még zenéket is. De azzal nem tudok azonosulni, ha ezt megpróbálják jól-rosszul megideologizálni. -
zseko
veterán
Igen azt! De gondold végig a példádat... Ha egy Film ára mondjuk 10.000 HUF, te azt akkor se fizeted ki érte (RGO jogtalanul használod), mikor letöltöd, de akkor is ekkora kárt csinálsz, ha ellopod.
Ha ezt valóban komolyan gondolod, akkor ott vannak problémák. Két, nagyon egyszerű, nem teljesen a tiédhez hasonló, de valós példa:
- fizetnék érte, de a szolgáltató geolokációs tiltásos szarságja miatt eleve nem elérhető a tartalom. Vajh' éri-e kár a szolgáltatót letöltés esetén egy olyan dolog miatt, amibe látványosan belesz@rik, hogy pénze legyen belőle, azaz nem is érdekli hogy nekem (is) szolgáltasson?
- adott játékot tudom, hogy meg fogom venni, de azt is tudom, hogy nem vagyok hajlandó érte teljes árat fizetni, mivel számomra 50€-t nem ér meg (vagy túlértékelt, vagy eleve szar a játék) - viszont 8-10€-t még igen. Ha előbb letöltöm mint megvenném, károsítom-e a kiadót? Hiszen fizetni fogok érte - csak épp lehet, hogy két év múlva lesz annyi az ára amennyit (valójában, vagy nekem, mindegy) ér.
-
Egon
nagyúr
Azért ennél sokkal bonyolultabb a kérdés.
Ha legalizálod a kéretlen etikus hackelést, az összes rosszindulatú támadó azzal fog takarózni, hogy "de hát ő csak etikusan nyomult", és ennek ellenkezőjét adott esetben rettentő nehezen lehetne bebizonyítani.
A jó irány szerintem inkább az, hogy törvényileg kell szabályozni, hogy a kritikus szektorokban legyen mundjuk évente sérülékenység vizsgálat (ahogy most a bankoknál, bár ott (is) sajnos olyan jó magyarosan sikerült mindezt megvalósítani, monopol helyzetbe juttatva a Hungi-t... ).Állami és energia szektorban végzett sérülékenység vizsgálatok és IT biztonsági auditok szakmai projektmenedzselését végzem lassan egy éve, van rálátásom a kérdésre. Egy normális sérülékenység vizsgálat meg van tervezve, ha lehetséges akkor a teszt rendszeren van kezdve, rendelkezésre állnak kapcsolattartók, akik adott esetben közbe bírnak avatkozni, ha mégis leülne a vizsgált rendszer - ez mind nem adott egy (akár jó szándékú) amatőr próbálkozása során. Mi van, ha történetesen egy adott rendszert véletlenségből elkerülnek a fekete kalaposok (mert éppen érdektelen, esetleg nulla profittal kecsegtet), de egy ilyen amatőr leülteti?
-
borg25
senior tag
válasz
#19482368
#62
üzenetére
Tudok mondani még rémisztőbbet, amit a GDPR nyitott meg.
Ha önjelölt hackerünknek a profitmaximalizálás a célja, akkor mondhatja azt, hogy
a. Biztonsági hiba feltárása, csak itt csak most neked 100eHUF
b. Béna voltál, leszedtem a személyes adatokat, ahhoz, hogy ne posztoljam, s ne kapj mondjuk egy millás bírságot elég ha utalsz 0,25 bitcoint (465eHUF)Utóbbi már kőkemény zsarolás, dehát az elérhető profit is 5x, és ha sikerül személyes adathoz hozzáférni, akkor miért ne? Laptop se ingyé van.
Ha pedig már kinyílt Pandora szelencéje, akkor ne álljunk már itt meg, ha a konkurenciát megbírságolják, az sose fáj, és hát vesszen minden Piréz vállalat is, ők úgy is mások. -
#19482368
törölt tag
Minden csak nézőpont kérdése.
Ha egy cégnek az éves bevételébe nem fér bele, hogy az informatika eszközöket fejlessze, az elavult eszközöket cserélje. Annak bizony nem fog beleférni a keretbe hogy 25.000 Ft /fő óra díjat ki tudjon fizetni.
Nézzünk egy szerintem átlagos felkérést, a megbízott cég 2-4 embert küld ki általában. Persze ez probléma függő, de csak a példa kedvéért.Egy főnek 8 órában 200.000 Ft a költsége. Ha kevés 1 nap akkor ugye folyatódik a munka másnap. tehát máris 2 napra 1 fő 8 órában 400.000 Ft jelent. Egy ember nem csinál nyarat, sok esetben. Tehát lehet számolni 3-4 emberel. 3 fő esetén 2 munkanap alatt 1 200.000 Ft a költsége. Megtörtént a hiba feltárás, a jegyzőkönyv alapján eszköz csere indokolt. Ennek költsége legyen pl 500.000 Ft, A megbízott cég azt mondja hogy plusz 200.000 Ft megteszi a szükséges biztonsági beállításokat, és beállítja, beüzemeli. Tehát van egyszer egy
1 200.000 Ft a hiba feltárásra, 500.000 Ft az eszköz beszerzése. 200.000 Ft az eszköz feltelepítése, üzembe helyezése, és a szükséges biztonsági beállítások elvégzése. Ez annyi mint 1 900.000 Ft.
Szerintem ezt a költséget nem sok kis és közepes cég engedheti meg magának pluszban. És sok esetben ez a probléma.Látom tovább gondoltad az önjelölt etikus hack-et. Ez ebben a formában, még problémásabb a helyzet.
Tehát a kis és közepes vállalkozó, vagy ki termeli az IT infrastruktúra költségeit, vagy elfogadja, hogy etikus hack nevében ismeretlen személyek még jobban visszaélnek az adatokkal. illetve továbbítják a szükséges hátsó kaput jó pénz fejében akár a konkurenciának.Emberi oldalról megközelítve, mennyire szimpatikus ez a kialakult helyzet? Szerintem nagyon rémisztő.
-
aryx
újonc
Nekem az a kedvencem, hogy a friss bejegyzésében kiírja, hogy a feltört oldalról letöltötte a gyerekpornót, meg azt a több tonna jelszót, aztán a "feltételezett" elkövetőt ő figyelte meg a lopott accountján át.
Én ezt azért nem írnám ki, azután sem, hogy leszedtem mindenhonnan azt, hogy "etikus hacker vagyok". -
borg25
senior tag
válasz
#19482368
#44
üzenetére
Kifelejtetted azt a plusz opciós lehetőséget, mikor az önjelölt jó szándékú anonim hackerünk azért dolgozik nekünk ingyen, mert a konkurencia megbízta, hogy térképezze fel a rendszereinket.
Megadta azt a 9 sebezhetőséget, ami érdektelen, a 10. sebezhetőséget, ami a banki rendszerhez ad hozzáférést, illetve a 11-et ami a konkurenciának kell, azt nem.
Mivel ingyen dolgozott, még nem is felelősségre vonható, hogy félreinformált, téves biztonságba ringatott, illetve azt is hitte a vezetés, hogy a munkája ért annyit, mintha kifizetnek egy 1 óra vizsgálatot egy okleveles, nyilvántartásba vett hackernek. -
#59
haxiboy
veterán
Döglött Róka
#11
haxiboy
veterán
válasz
Döglött Róka
#11
üzenetére
Az egyik legegyszerűbb támadási felület, és sajnos a leggyakoribb. Nem kell hozzá nagy ész hogy találj egy ilyen sebezhetőséget. Elég valamilyen textboxba berakni egy aposztrófot, ha valamilyen hibát kapsz, neadjisten még ki is írja hogy melyik sorban keletkezett a kivétel akkor járható az út. Ráadásul rengeteg előre megírt tool van ami a népszerű injection testeket automatizáltan lefuttatja az összes formon ami az oldalon található, és jelez ha valahol hiba van. Ebből látszik hogy aki megtervez egy rendszert, tesztelésre - user szemszögből szinte egyáltalán - nem fordít elegendő időt. Aztán ha a számológépben Marinéni 0-val osztja a B -betűt és lehal miatta az egész backend és kell egy restart az csak a jobbik eset Marinéni ebből csak annyit vesz észre hogy már megin' lefagyott ez a sz@r...
-
borg25
senior tag
Vezettél már autót? Vezettél már gyorsabban mint a megengedett? Gondolom azért csak előfordult, hogy mikor biztonságos volt, hiába volt ott a 30-as tábla, mentél 50-el, vagy autópálya felújítás esetén a többiekkel egyetembe az átlagsebességed inkább a 90-et közelítette meg, semmint az előírt 60-at, pedig te csak az előtted lévő sebességét vetted fel a 2x1 sávos úton.
Az egy másik kérdés, hogy előfordult-e olyan is, mikor hajnali 3-kor úgy gondoltad, hogy Budapest területén 140-el is lehet repeszteni, mert úgy sincs senki az utakon, a kereszteződésnél pedig senki se fog jönni. Esetleg autópályán barátságos 190?
Mikor a település határához érsz, akkor az előírt 50km/h cammogsz be, vagy megvárod míg az autó szépen magától lelassít 80-ról. Esetleg figyelembe veszed, hogy 15km/h sebességtúllépést csak helyszínen büntetik, ha te vagy a tulajdonos.Mindegyik sebességtúllépést bünteti a törvény.
Mindegyik esetén járhatsz úgy, hogy tőled függetlenül egy gyerek kiszalad az útra, s kénytelen leszel belátni, ha 30-al mentél volna, akkor hamarább megállsz. Ha az előtte lévő 1km-en betartod a 30-at, és nem 50-el mész, akkor 48 másodperccel később érsz oda, addigra a kisgyerek rég átfut. De neked sietni kellett.
Az építkezésen kint felejtett tábla érdekes dolog. Tőlünk nyugatabbra, ha vége a műszaknak, akkor az összes táblát elfordítják, hogy már nem dolgoznak az út mellett, nyugodtan lehet menni újra 90-el.
Rossz nyelvek szerint, néha kiadják a rendőröknek, hogy pénzt kell gyűjteni, s nagyon jól tudják, hogy ilyenkor mondjuk a település határába kell kimenni, ami azért bár jogszerű, de szemét dolog.
Aki városon belül megy 140-el, annak inkább a két kezét törném el, mert úgy tuti, hogy 2 hónapig nem fog vezetni, jogsielvételtől ellenben még a BMW indul.Ezek fényében érdemes elgondolkodni az önjelölt etikus hackelésen. Azért az se lehet jó érzés, mikor másnap az ember azt olvassa, hogy egy hackertámadás miatt a mentők belső szervere egy buffer overflow támadás után page faultal leállt, s hárman meghaltak, mert vissza kellett állniuk a régi eljárásra, és késve értek ki a mentők egy balesethez. Pedig a hacker csak jót akart, mondván, a mentőknek biztos nincs pénzük egy etikus hackert megfizetni, s karitatívan segített.
Azt is meg lehetett volna tenni, hogy előre ingyen felajánlja a szolgálatát, aztán ha elhajtják, akkor max megy a helyi kórházhoz, hogy ott kell-e ingyenes biztonsági audit. -
#56
st3v3np3t3r
nagyúr
dajkopali
#52
st3v3np3t3r
nagyúr
válasz
dajkopali
#52
üzenetére
bár jogosan merül fel a kérdés hogy hol ér véget az etikusság határa és hol kezdődik a rosszhiszeműség... mivel az említett személy ugyan hozzáférést szerzett a "lyukas" szervereken lévő adatokhoz, ami már önmagában bűncselekménynek számít,mint BTK 422-424, viszont azokat feltételezhetően nem használta fel szándékos károkozásra vagy haszonszerzésre, pusztán figyelem felkeltésre, hogy megmutassa a "rést a pajzson". Viszont ezek közül nem mondható, hogy kijátszotta a védelmet, mivel ezüst tálcán kínálta fel az adatokat maga a szerver,véleményem szerint. A hazai vállalatokkal,hogy sajnálják a pénzt arra, hogy a rendszerük biztonságos legyen, inkább kínlódnak,szenvednek, mitsem hogy felfogadjanak egy "etikus hackert" hogy feltárja és szükség esetén javítsa a hibá(ka)t... Ez a legnagyobb probléma, hogy a szakértelmet nem fizetik meg, pedig szerintem többe kerül eltakarítani az adatszivárgás okozta incidenst, mitsem megelőzni azt.
De beszélhetnék akár a laikus lakosságról is akik WEP titkosítást használnak az otthoni wifi-n vagy még azt sem, nem pedig WPA/WPA2-őt...a 300m-es lakókörnyezetemben van 4-5WEP-es wifi meg 1-2 nyitott... ezek az emberek is sajnálják az időt esetleg pénzt hogy tanácsot kérjenek hogy védhetné a saját otthoni hálózatát...vettem egy gagyi Tenda N3-as routert "játszósnak", kb.6 perc alatt meglett a WEP-es jelszava, viszont a WPA2 már talán keményebb dió...
-
#55
#19482368
törölt tag
Depression
#50
#19482368
törölt tag
válasz
Depression
#50
üzenetére
Azzal van bajom, hogy az irodavezetőt nem vonják felelősségre, mert nem a saját dolgait vitték el, hanem másokét.
Nos ez viszont egy teljesen más sztori, ennek aztán már végképp semmi köze nincs az etikus hack-hez.
Az irodavezető felelőtlenségere miatt indított felelősség vonás, büntetése ez az adott incidens mértékétől függ. Könnyen meglehet hogy a büntetés mértékét belső körben oldják meg. Lehet gondatlan adatkezelés miatt eljárást indít ellene a cég. De valójában teljesen mindegy, mert más asztalra tartozik.Ok viszont ezen az alapon minden internet szolgáltató ellen támadásokat kellene indítani, mert a lakossági ügyfelekhez kihelyezett eszközök nem felelnek meg a mai biztonsági elvárásoknak. Tehát ismét ott járunk, nagyon képlékeny a téma. Felelős lehet a rendszermérnök, fejlesztő, a marketinges, a gyártó soron álló munkás, az eladó, felhasználó stb.... Nem a felelős keresésben kell keresni a probléma megoldását. Sokkal inkább egy olyan rendszerek gyártása, amik eleve megfelelnek az aktuális biztonsági elvárásoknak. De hát ott járunk hogy az OPEN SSH-ban a mai napig találnak biztonsági réseket, csak úgy mint a hálózati eszközökben, processzorokban stb... Tehát, valójában egy rendszer sincs biztonságban. És mint fenti írásomban kifejtettem, ahhoz hogy valaki hatékonyan tudja csökkenteni a visszaélések lehetőségét, hatalmas beruházási költséget emésztene meg. Érted hol döglik meg a buli? Ezért írtam fentebb, közel se olyan egyszerű a probléma megoldása, mint azt sokan gondolnák.
-
sztanozs
veterán
Jó kis téma - érdekes, hogy a profit alapon működő globális cégek fizetnek azért, hogy hibát találj náluk, idehaza meg börtön az alapeset.
Nem csak a szabályozással, de a szemlélettel is gond van. Amíg fontosabb a büntethetőség, mint a biztonság (a cég és az ügyfelek értékeinek biztonsága), addig sokminden nem fog változni idehaza. -
#50
Depression
veterán
#19482368
#49
Depression
veterán
válasz
#19482368
#49
üzenetére
Nincs semmi bajom azzal, hogy a betörő, az betörő.
Azzal van bajom, hogy az irodavezetőt nem vonják felelősségre, mert nem a saját dolgait vitték el, hanem másokét. Ezért is irodaként írtam.
És akkor térjünk vissza az eredeti felálláshoz: Miért nem megy inkább fejjel a falnak? Betör, ellopja az adatokat, kirakja nyilvános helyre, és feljelenti névtelenül a céget. Nem kerül börtönbe, és a GDPR alapján meg fizethet a cég mint a katonatiszt.Mert ebből engem csak az érdekel, hogy azok az oldalak ne tartsák elérhető helyen a bankkártyaadataimat és a jelszavamat.
-
#49
#19482368
törölt tag
Depression
#48
#19482368
törölt tag
válasz
Depression
#48
üzenetére
Legyen iroda, példában nincs jelentősége.
Jön egy betörő (és ezzel már meg is van, hogy mi a megnevezése) , aki a hecc kedvéért betör az irodába, és hozzáfér az ott dolgozók adataihoz. Majd szól, hogy jó lenne lecserélni a zárat, mert bármelyik másik betörő is simán bejut.
Eddig elég egyértelmű a helyzet.
Tehát eleve betörést bűncselekményt követ el. Szándéka ismeretlen, nem tud logikus, elfogadható magyarázatot adni tettére.Na de a betörő megint visszamegy, és látja, hogy semmi sem történt.
Nos ha én etikus lakatos vagyok, akkor ugyan jelzem a biztonsági problémát. De onnantól kezdve az iroda vezető, és a karbantartók feladata, felelőssége hogy valóban megtörténjen a csere. Ha etikus a lakatos, akkor ahogy átadta a feltárt biztonsági réseket, ejti az esetet, és tovább lép.Berág, és figyelmezteti az ott dolgozókat, hogy megvan minden adatuk, le fénymásolt mindent, mert az iroda üzemeltetője nem csinált semmit.
Tehát máris fény derült valójában mi vezérelte a cselekedetét, mi volt a cél. Tehát ezzel azt a bizonytalan magyarázatot is kirúgta a lába alól, miszerint ő etikus lakatos. Mivel ilyet egy etikus lakatos cég se csinál, felkérés esetén elvégzi a feladatott, feltárja az iroda vezetőnek mik a problémák. De annak gyakorlati kijavítása már nem az ő feladata. Kivétel, ha erre külön nem készül megbízás.Az iroda üzemeltetője feljelenti a betörőt, az megy a börtönbe, és ezzel vége a sztorinak.
Na ná, mert ezek után mi a garancia hogy zár csere után, nem ismétlődik meg ismét az incidens. Ezzel azt sugallja az iroda vezetőnek, felrakhatsz bármit, mert én majd jó meg szakértem. És ismét vehetsz egy másikat, mert nem felelt meg az etikus lakatos elvárásainak. Akinek ugyan semmi köz nincs ahhoz, hogy milyen zár van az ajtón. De ezzel elindít egy végtelen ciklust, aminek gyakorlatilag sosincs vége. Kb olyan mint a zsarolók, ha fizetsz, semmi garancia nincs arra hogy nem zsarol meg ismét, és nem követel további összeget. Egy megoldás van a problémára, az önjelölt lakatost, lekapcsolni minél hamarabb. Tehát az iroda vezető ebben a kérdésben helyesen járt el. -
#48
Depression
veterán
#19482368
#16
Depression
veterán
válasz
#19482368
#16
üzenetére
Az a baj, hogy pontatlan a megfogalmazás. Ez nem lakás, hanem egy iroda.
Jön egy betörő (és ezzel már meg is van, hogy mi a megnevezése) , aki a hecc kedvéért betör az irodába, és hozzáfér az ott dolgozók adataihoz. Majd szól, hogy jó lenne lecserélni a zárat, mert bármelyik másik betörő is simán bejut.
Eddig elég egyértelmű a helyzet.
Na de a betörő megint visszamegy, és látja, hogy semmi sem történt. Berág, és figyelmezteti az ott dolgozókat, hogy megvan minden adatuk, le fénymásolt mindent, mert az iroda üzemeltetője nem csinált semmit.
Az iroda üzemeltetője feljelenti a betörőt, az megy a börtönbe, és ezzel vége a sztorinak.Látod, hogy hol van ebben a gubanc?
-
Továbbra se érted a lényeget
A gdpr csak példa, hogy a digitális adatnak is nagyon nagy értéke lehet, mind1, hogy adatot lopsz, vagy BKK bérletet veszel 50 ft-ért, mind a kettő illetéktelen használat, rgo büntethető.A web logokba meg azért sokmindent látszik, de a webszolgáltatódat is felkeresheti a rendörség,hogy adja ki nekik a Te netforgalmadat (merthogy eltárolja egy ideig a szolgáltató)... Szóval azért ki tud az derülni, hogy ki mennyire véletlenül csinált valamint.
-
Komolyan gondolod, hogy az én linkeim miatt törik majd fel ezeket az oldalakat? Googleba beírod, hogy: "php?id=1", és az első oldalon van a találati listában mind a 3. Szerinted hányan játszottak már ezekkel az oldalakkal? Mellesleg akkor a Google nak is szólj, hogy szüntesse be a saját exploit adatbázisát.
A nyomonkövetésről még annyit, hogy azért a webszerver logjaiban látszik, ha valaki web scannereket futtat, max az IP-t tudod tor hálózatban proxychainnel változtatni, de attól a logba látszani fog, hogy valaki próbálkozott.
-
#19482368
törölt tag
Értem amit mondasz, elsőre is megértettem. De véleményem szerint nincs különbség. Teljesen mindegy hogy etikusan, vagy etikátlanul él vissza az illető. Jogi értelemben, bűncselekménynek minősül mind kettő.
Az hogy valaki azt álltja magáról ő etikus hacker, és csak a sérülékenységeket térképezi fel, csupán jó indulatból, már önmagában ellentmondásos. Talán pont azért, mert nincsenek a szabályok lefektetve, a célpont nem ismeri a támadót, és semmire nincs garancia. Csak az hogy a támadó azt állítja magáról, ő etikus hacker, de mint tudjuk, mondani mindent lehet. Számomra pont annyira összeférhetetlen, mint amikor azt állítja valaki milyen jó fejek azok az emberek akik különböző programokhoz crack-írnak. Persze jó fej annak a szemében aki nem tudja megfizetni a terméket, de egyáltalán nem jó fej annak a csapatnak a szemében aki profit reményében pénzt, időt, energiát fektet a program megírásában. Na most akkor jó fej, vagy nem jó fej? Minden csak nézőpont kérdése.A támadás nem feltételezi a rossz szándékot Dehogynem, én még soha nem hallottam jó indulatú támadásokról. Illetve ez is nézőpont kérdése. pl ha a konkurencia web szolgáltatását folyamatosan ddos támadást kap, vagy tönkre teszik a webshop-ját az számomra jó, mint konkurencia, mert az ő ügyfelei is hozzám jönnek. De a támadott fél szemében ez közel se mondható el. Ismét csak nézőpont kérdése.
Az a helyzet, hogy azok a cégek, ahol nem fér bele egy ilyen vizsgálat költsége, annak csupán anyagi okai vannak sok esetben. Az hogy egy ismeretlen magát etikus hacker-nek kiadó láthatatlan személy, engedély nélkül vizsgálatokat kezdeményez nem jelenti hogy valóban a jó indulat vezérli. Főleg napjainkban. Okkal feltételezi a célpont hogy a felé induló támadás rossz indulatú. Főleg hogy nem adott ki ilyen jellegű megbízást. Gyakorlatilag, azon csodálkozom hogy mint emberi hiba tényező miért nem említik meg soha. Pl.. Jahh főnők a múlt héten egy jó fej etikus hacker feltárt sok sok sebezhetőséget, ő azt mondta nem élt vissza semmilyen személyes adattal. Látod főnök, vannak még jó fej srácok akik ingyen is elvégzik a rendszeren a sebezhetőséget. Bezzeg a szemét cég, képzeld főnök óránként 25.000Ft/fó óradíjat akart felszámolni nekünk ezért, és ő merő jó fejtségből ingyen elvégezte.
Ugye milyen vicces? Mert véleményem szerint közel se vicces. Semmi garancia nincs semmire, nincs ledokumentálva semmi, ami van az vagy úgy van, vagy nem. Tulajdonképpen azt se tudod ki az illető, mert mondani leírni mindent lehet. Számomra még mindig az az etikus hack, amikor megbízok célorientáltan egy céget, akinek ez a munkája hogy vizsgálja meg a rendszer sebezhetőségét, hogy min kell probléma esetén változtatni. Erről kapok egy jegyző könyvet, ledokumentálva miben mi a gyenge láncszem. És akár javaslatot add, mire cseréjük, javítsuk a problémás területet. Ez az etikus hack, minden más meglehetősen képlékeny.
-
"de legalább minimális dolgokra ügyeljenek"
Kriminalizálni mindig egyszerűbb lesz. Emlékszem, mekkora volt anno, mikor minden diák simán csak azzal szórakozott, hogy használta a Google keresőt, és benéztek ide-oda, meg néha elforgattak pár megtalált kamerát. Szinte csoda, hogy nem ül már mind börtönben!
-
0xmilan
addikt
Nem, nincs nyoma. Ha te találtál egy gyenge pontot, azon bemész, annak kifelé nem marad látható nyoma.
Befelé lehet, de azt kintről nem látod.Nagyon egyszeru ellenpelda:
Adott egy Unrestricted File Upload. Feltoltesz egy web-shell-t. Egy harmadik fel ezt megtalalja, mert rendkivul elmesen shell.php-nak nevezted es a scannere rafutott a site.com/shell.php-ra.
Megvan kintrol a lathato nyom. Magat a file uploadot nem is kell megtalalni, hasznalhatja azt az 'ajtot', amit te kinyitottal. Sot, lehet, hogy a file upload bug javitva lett vagy mar nem is letezik ilyen feature, de a backdoorod meg mindig ott van. -
IT-ban pedig vizsgálat nélkül nincs eredmény. Más is ugyanúgy fogja vizsgálni, csak nem fog szólni.
@k.feri80 : Nem, nincs nyoma. Ha te találtál egy gyenge pontot, azon bemész, annak kifelé nem marad látható nyoma.
Befelé lehet, de azt kintről nem látod.Ha kikötsz a netre egy gépet, azt valószín sok-sok nem etikus támadás fogja érni. És nem szórakoznak jóindulattal.
A támadás nem feltételezi a rossz szándékot - miután csak támadási eljárásokkal tudhatsz meg valamit. Ráadásul itt egy nem hasznosított támadástól senkinek nem keletkezik azonnali kára, egy jó szándékú támadásból csak előnyöd lehet.
Ha nem deríti ki egy etikus hacker, akár kéretlenül is, hogy hol vagy gyenge, akkor majd kideríti egy nem etikus. (Vagy egy botnet.) Ezt mondtam az előbb : annak magyarázhatod, hogy nem volt etikus, amit csinált.
A jog itt már csak eső tán köpönyeg lehet.A kéretlen etikus hackelés gyak. az, hogy kapsz egy elég drága szolgáltatást ingyen, ami adott esetben súlyos veszteségeket előz meg. Tehát ha már amúgy is sokan akarnak betörni a hálódra, akkor legalkább ne azt az egyet vegzáld, amelyik jelzi, hogy hol a lyuk
-
vicze
félisten
1. Hogyan különbözteted meg a véletlent a szándékostól? A többit fel se hozom... Na meg különben is a betörés az betörés tök mindegy hogy szándékos vagy véletlen nem de? Persze véletlenek jöttél be a házba éjjel mi?
2. Nem értem mire ez a GDPR-re való kiegyezés? Nem csak személyes adat létezik a világon, pont a BKK esetében nem volt semmilyen személyes adathoz való hozzáférés, egy URL-ben való számjegy átírása történt, ez ugye teljesen azok számodra azzal, hogyha kizsebelsz valakit. (Az hogy máig ismeretlenek a teljes adatbázist dumpoltak utána már tök lényegtelen. Végülis őket nem tudják feljelenteni, mert anonim maradtak.)
3. Egyáltalán elovastad, amit az elején írtam?A digitális világ nem fizikai bármilyen erőltetett módon is akarod ráhúzni, butábnál butább párhuzamokkal.
-
0xmilan
addikt
Nem szokas veletlenul leutni az ' karaktert az URL-ben, meg ugy altalaban kezzel matatni a cimsorban.
De tegyuk fel, hogy veletlenul lenyomtad a shift-et, pedig csak 1-et szerettel volna (magyar kiosztason - angolon ugye az ' a szamsor kozeleben sincs). Miert kell neked kezzel atirni az id-t? Csak nem IDOR-t keresel manualisan? Ugyanolyan rossz, mintha SQLi-re probalgatnal scannerrel vagy anelkul.Nem kene ilyeneket linkelgetni.
A peldadat kovetve, gyakorlatilag leirast adtal, hogy hogyan kell betorni valakinek az autojaba / hazaba. -
Csakhogy életszerű példa is legyen: [link] , [link] , [link]
Mindegyik oldal sqlinjection sebezhetőségben szenved, mivel egy sima ' karakterrel mysql hibát tudsz előidézni, innentől meg az sqlmap szépen bejárhatja az egész weboldal mögötti adatbázist (sőt lehet, hogy az OS fölött is átvehetjük az uralmat...)
Ha azért jöttem erre rá, mert véletlenül leütöttem a ' karaktert, az teljesen más, mintha úgy jöttem rá, hogy először biztonsági scannerekkel végignéztem az oldalt sebezhetőségek után kutatva, majd miután az sqlinjectiont-t megtaláltam, kihasználva azt letöltöttem (illegálisan) adatokat az adatbázisból...
Aki ezt másképp gondolja, az adja meg a címét, ma este elmegyek és megnézem mennyire sebezhető a bejárati ajtó a házon, meg a zár a kocsin, de persze csak etikusan
-
#19482368
törölt tag
Igen a lényeg a nem feltétlenen van. De nyoma van, mert ... Mindig ez a vége.
Mindegy egyébként abban az aspektusban hogy nem nevezhető etikusnak. Hiszen a támadott fél tudta, belegyezése nélkül történik. Na már most, mi a garancia hogy nem megy tovább? Mi a garancia hogy nem vitt adatokat, és azzal nem él vissza? Azt hogy ő mondja, mondani mindent lehet. Tehát további kérdések merülnek fel. Ami már nagyon képlékeny.Mondok egy egyszerű példát. Van egy wifi hálózat, amire nem vagy jogosult csatlakozni. Ezen az AP-n mac-address szűrés van beállítva. Tehát elmondható hogy jogilag, védet hálózat. Mivel a mac-address szűrés is egyfajta védekezési megoldás, tehát védet hálózatnak minősül. Viszont a jog, nem terjed ki a biztonság beállításának mértékére, hatékonyságára. Tehát jogilag, ha rá csatlakozol, akkor betörést követtél el. Mivel a jog a beállított védelem hatékonyságára nem terjed ki. És itt a probléma. Tehát az hogy önkényesen neki esek egy szervernek, az nem etikus hack, hanem céltudatos támadás. A támadás viszont feltételezi a rossz szándékot. És itt dől meg a mutatvány, mert jogilag ezt kimagyarázni elég érdekes. Akkor nem feltételeznék a rossz szándékot, ha erre a wifi üzemeltető felkér. Ennek megvan a formája, szabályai. Ennek hiányában nem beszélünk etikus hackről jogilag. Van a másik végzet, amikor a AP üzemeltető, megköszöni a visszajelzést, és hatékonyabb biztonsági beállításokat alkalmaz. De ettől nem lesz etikus, csupán a támadott fél jó indulata, bizalma van mögötte. De lehet ezt csak félelemből írja, mert abban reménykedik, hogy ha megteszi a szükséges hatékony biztonsági beállításokat, akkor békén hagyod, és nem indítasz tovább ellene ilyen irányú támadásokat.
Hogy mit akarok a példával mondani, hogy nagyon képlékeny a ez a téma. És a támadó a támadott fél jó indulatára alapozik. Mint a gyakorlati példa is mutatja, amiből precedens értékű hír is lett, hogy bizony nagyon nem veszik jó néven, az emberek. -
Az nem baj, ha úgy szól, hogy meglátta, az már más kérdés, hogy úgy szól, hogy előtte ő nyitotta ki, hogy aztán jelezze neked, hogy "figyu már, a táskádat könnyű kinyitni, figyelj oda, mert más nem olyan jófej, mint én, és ki is veszi a cuccot, miután kinyitotta."
A lényeget értsük meg: más az, ha azért szólsz, mert véletlenül észrevettél valamit,pl.: kiesett a telefon a farzsebből a buszon , vagy azért szólsz, mert előtte piszkálgattad a telefont, hogy vajon ki tud-e esni. Jó eséllyel az előbbinél kézfogás és köszönöm, utóbbinál gyomorszájas lesz a reakció.
-
válasz
#19482368
#29
üzenetére
Ööööö, ha te kihasználsz egy biztonsági részt, az nem feltétlen marad ott nyitva mindenki másnak is
Pláne, ha ügyes vagy. Nem fogja senki más észrevenni a cég security-jén kívül esetleg, hogy ott jártál.Ha meg csak a célpont ad megbízást, akkor izélhatod, nincs az a hülye célpont, aki fizetne érte, míg a saját kárán meg nem tanulja, hogy a biztonság nem vicc. Csak akkor már késő.
Melóhelyen is hallottam már, hogy ha lelépsz adatokkal olyan jogászcsapat van, hogy szétperelik a gatyád...
...igen, de a károkozás már megtörtént, és a konkurrencia hozzájutott ahhoz, ami kellett neki.Szóval nem tudom, ha valaki szól nekem, hogy nyitva a táskám, és kilógnak a cuccaim, akkor nem vágom fejbe...
-
Azért korábban még szándékos film lopásról, meg dir listázásról beszéltél, most meg véletlenül...
És amúgy igen, a GDPR-nak pont ez a lényege, hogy rákényszerítse a szakbarbárokat, hogy ugyan az apache konfigba ne engedjük már meg a directory listinget az ügyfelek személyes adatait tartalmazó mappára még véletlenül se... Figyeljenek oda a személyes adatokra!
Ha cégnél dolgozol, és "véletlenül" rosszul állítasz be valamit, ami miatt személyes adatlopás történik, a céget nagyon megvághatják, hiába véletlenül bénáztad el a konfigot.
Ha meg "véletlenül" fértél hozzá nem a te jogkörödbe való adatokhoz, azt nyilván jelezheted, mert egy etikus ember vagy, de itt nem a "véletlenül történt" esetekről megy a téma, hanem a szánt szándékkal, "etikus hacker vagyok" címen elkövetett dolgokon.De mond meg akkor: Tegyük fel, hogy pár éve Uniscan-el észrevettem, hogy a wlap.hu oldalon van SQLInjection sebezhetőség, amit tegyük fel, hogy sqlmappal meg is néztem, és tegyük fel, hogy az ügyfelek összes adatát (személyi szám, cím, bankszámla szám...) ki tudtam volna dumpolni... Ha ezt megtettem volna bűncselekményt követek el? Pedig csak jelezni szettem volna nekik egy dump-al, hogy nagyon gáz az oldaluk.
Szerinted váll veregetést, vagy TEK ölelést kaptam volna? -
vicze
félisten
Módjuk úgy munkám miatt egy csöppet jobban tisztában vagyok vele mint elég egyértelműen mint te.
Persze azt már nem árulom el, hogy a webroot listázása, milyen módon ad hozzáférést személyes adatokhoz és sérti a GDPR-t. Persze eltúlozni és másfelé terelni egyszerű.
Engem már többszörösen le kell akkor csukni, mert rosszul beállított oldalakon már csak véletlenül is kilistaztam dolgokat, amiket nem szabadna. Marika nénit is tessék le csukni mert véletlen elgépelés miatt rossz oldalra tévedt, ahogy a link is lehet hibás egy oldalon, de ha rakattintok a te szemedben ez már börtön büntetés. Küldetés is a rendőröket a nickemre...
Sőt még port scanneltem is, de Nessusban írtam el már IP címet is véletlen, szóval már vagy 20évet biztos rámsózhatnak.Igen nem vagy tisztában a digitális világgal, ez elég egyértelmű minden érvelesi próbálkozásból.
-
#31
Feketelaszlo
senior tag
Feketelaszlo
senior tag
Tehát a katasztrófavédelem radioaktív rendeléseinek szállítóleveleit posztolgatja a netre, s még nem csukták le? Szerintem azért ez elég komoly fokú szabadság a számára - usákoknál már úton lenne Kuba szigetére, a napfényes Guantanamo öbölbe
Én elhiszem és tisztelem, hogy nemes szándék vezérli a fiatalembert, de valakinek le kéne ülni beszélgetni vele, hogy ilyesmit nem csinálunk.
Nem, akkor sem, ha a hanyagsága okán a rendszerüzemeltető esetleg tényleg megérdemelné, hogy kiteregessék a szennyesét. -
tomcat78
őstag
Azért azt csendben megjegyezném,hogy ebben az esetben a viselkedés lehet etikus.Ami nem jelenti azt autómatikusan,hogy törvényes is.Ami etikátlan inkább-még,ha törvényes is-az a cégek viselkedése a témával kapcsolatban.Gondolok itt azokra a dolgokra amit felsoroltatok,sz@rok bele,jóvanazúgy stílus.
Magával a szó összetétellel nincs baj,ha valaki valóban csak jelenti az emlegetett biztonsági réseket.De,mint kezdtem,a jó szándék is lehet törvénytelen... -
#19482368
törölt tag
Igen ebben is van nagy igazság. Én arra próbálok rá világítani, hogy közel se olyan egyszerű a probléma, mint azt sokan gondolnák. De ha az érem azt a részét világítjuk meg, hogy pont a kéretlen etikus hack mögé bújva, lőjük szarrá az egyébként sebezhető szervert. Akkor gyakorlatilag egy kevésbé etikus hackernek adunk nyitott kaput. Ami lehet, egyébként fel se keltené a figyelmét, mert nem lát benne potenciális lehetőséget. De ha már nyitva a kapu. akkor bolond lenne nem kihasználni. Pont ezért próbálnak erre valami szabályozást készíteni. Azért hívják etikus hackernek mert maga a célpont ad megbízást a hibák felderítésére, feltérképezésére, és dokumentálásra. Hogy a szükséges lépéseket meg lehessen tenni. Minden más támadási kísérlet, nem nevezhető etikus hack-nek.
-
Igen azt! De gondold végig a példádat... Ha egy Film ára mondjuk 10.000 HUF, te azt akkor se fizeted ki érte (RGO jogtalanul használod), mikor letöltöd, de akkor is ekkora kárt csinálsz, ha ellopod.
Azért remélem a GDPR nem ismeretlen előtted... mennyire is bírságolhatnak egy céget, ha "csupán" adatszivárgás történik (mondjuk kilistáznak egy webrootot, vagy benne pár fájl tartalmat)? Segítek: [link] , [link] , [link] , [link]
A fentiek alapján szerinted melyik fáj többe egy cégnek, ha ellopsz tőlük egy kocsit, vagy, ha kiszivárogtatod valamelyik általuk kezelt személyes adatot és jól megvágják őket pár millió euróra?
Amúgy meg az "etikus hacker" nem összetévesztendő az "önjelölt hacker"-el.
Az igazi etikus hackereket meg lehet bízni pl. a cég sérülékenységeinek kivizsgálásával, azok feltárásával... Nálunk a cégnél volt ilyen, ez teljesen legális. De az önjelölt hackereknek semmi joguk nincs mások szervereit, weblapjait... próbálgatni, még akkor se, ha jó szándékkal teszik. Ez jelenlej a jogállás, nem kell, hogy tetsszen, de ettől még így van. Ha valaki mégis megteszi, és jelenti, vagy megköszönik, vagy feljelentik, de mind a kettő lépés jogilag teljesen oké (na persze nem olyan módon, mint a BKK-s rémtörténetben)
-
válasz
dajkopali
#26
üzenetére
Igen, ennek értelmezése is megérne egy misét. Az én véleményem az, hogy
- jelenti a talált hibákat a rendszer tulajának
- nem használja fel a megszerzett információkat semmireAmúgy elég sok olyan eset van, amikor független végek jönnek rá hibákra, amik kiderítésére nem kérte őket senki - és ezeket jelentik. Ez esetben a kéretlenséget még senki nem kifogásolta.
-
dajkopali
addikt
-
vicze
félisten
Tehát azt mondod, hogy a letöltök egy filmet és az elopom a boltból teljesen azonos tettek, ahogy akikistazom a webroot dirt is teljesen azonos azzal, ha valaki bútor egy lakásba.
Ezzel már azt bizonyítod, hogy pont annyira értesz a digitális világhoz, akik Amerikában hülyeségekkel hablatyolnak, úgy hogy orosz ha kérek juttaták hatalomra őket. Pontosan ugyan az a dilettáns hozzáállas, ami miatt itt tartunk és aminek meg KELL változnia.
[B(]#23) k.feri80: Elmondanád hogy hol írtam "szándékos kár okozás"-ról, és hol történik egy ilyen egy biztonsági hiba jelentésekor?
Pont ti mutatjátok,hogy mi a probléma, a kifogások és a bűnbakok keresgélés számotokra fontosabb, mint egy akár egyszerűen javítható hibás beállítás. Inkább fejét a homokba, az sokkal jobb.
-
válasz
#19482368
#23
üzenetére
"Pl ha egy etikus hacker felkérés hiányában nekilát hogy feltárja a sebezhetőségeket, valójában nem segít, hanem plusz költséget termel."
Ha meg egy nem etikus hacker nekilát, hogy hülyére keresse magát az ügyfelek adataival, akkor esetleg bedőlhet a cég is. Sokkal jobb!
-
#19482368
törölt tag
Azért ez nem egészen így működik.
Kevesen gondolnak bele, hogy az IT-ra a világ minden pénze is kevés lenne. Mert az IT egy olyan osztály, ami látszólag viszi a pénzt, de produktívan általában nem termel. Az IT-feladata az informatikai háttér kiépítése, üzemeltetése amire általában éves szinten egy előre meghatározott összeg áll rendelkezésre. Ezt az összeget kell beosztani az IT felső vezetőknek. És elég sok mindenre kell gondolnia előre. Pl ha egy etikus hacker felkérés hiányában nekilát hogy feltárja a sebezhetőségeket, valójában nem segít, hanem plusz költséget termel. Mert jobb esetben felkérnek külsős szakembereket, akiknek az a feladata hogy felfedjék a támadó kilétét, hogy utána eljárást lehessen indítani ellene. Egy ilyen team akár napi 500.000 Ft is ki tud számlázni. Ez plusz költség, ami az éves keret terhére megy. Erre rá jön az adott eszköz helyre állítása, esetlegesen cseréje. Na már most vállalati szinten egy switch, egy router, egy szerver nem éppen 10-20.000Ft Plusz szakember, aki igény szerint beállítja a szükséges biztonsági beállításokat. Azok a cégek, akik megtehetik hogy külső céget kérnek fel, a szükséges beállításokra nem kevés pénzt fizetnek ki. Olyan helyeken ahol mindezt nem tudják ki termelni az üzemeltetők, rendszergazdák feladata, ahol rendszerint a szükséges tanfolyamokra se jutnak el, mert nem fér bele a cég kiadásaiba. Azért ezek elég kemény pénzek, és nem minden cég tudja ezt ki termelni. Persze, van az a pont, amikor a lustaság, nem nemtörődömség is bele játszik. De ez nem ok arra hogy etikus hack mögé bújva, gyakorlatilag szándékos kár okozás történik.
A digitális világ, pont olyan mint a napjaink. Csak a környezet más, de ugyan úgy felelősségteljes emberek hoznak döntéseket. Semmiben nem különbözik, csak sokan azzal érvelnek hogy más, mert azt hiszik anonimok tudnak maradni, vagy mert látszólag bűntettlenül lehet felelőtlen döntéseket hozni. Pont akkora káosz van a digitális életben, mint a mindennapjainkban.
-
#22
0xmilan
addikt
Döglött Róka
#19
0xmilan
addikt
válasz
Döglött Róka
#19
üzenetére
Sajnos maig ez a legegyszerubb es legelterjedtebb olyan sebezhetoseg, amivel OS szintu hozzaferes szerezheto.
A 2017-es OWASP Top 10-ben meg mindig az elso helyen van.
Talan az XXE kezdi atvenni a helyet, ahogy egyre tobb framework mar ved SQLi ellen es csak kezi ganyolassal lehet elrontani.Itt van sok szep grafikon. Latszik, hogy adott teruleteken milyen vuln a legelterjedtebb. (Vulnerabilities by Industry)
XSS mindenhol toronymagasan vezet. Viszont ilyen es ehhez hasonlo client side sebezhetosegekkel onmagaban nem lehet kodot futtatni. Ezert adja magat az SQLi, mert joval egyszerubb megtalalni, mint pl. egy rendes code injection-t. -
Az a helyzet, hogy digitális tulajdon is tulajdon, eszmei és anyagi értéke van, így akár többet is érhet (szokott is érni), mint egy autó vagy egy ház, ezért teljesen jó a hasonlat.
Az meg remélem mindenkinek megvan, mikor a nagy Amerika kijelentette, hogy, ha őket valaki kiber támadással megtámadja, akkor igazi ellentámadással válaszolnak rá... Ennyire veszik ma komolyan a kiber támadásokat
-
A magyar informatikai kultúra, főleg céges berkekben nagyjából mínuszegy, a KKV-k esetében meg még egy kicsit alatta is leledzik. Emellett a GDPR-t sajnos erősen hijackelték a jogászok, illetve, ha van egy infosec szemszögből történő audit, ott már általában a kérdőív kitöltése is gondot okoz az embernek.
Bárki tud automata sérülékenységvizsgálót futtatni: igen, BÁRKI tud. Ezért lenne mondjuk alap, hogy valaki megnézi azt, hogy a publikus IP-jéről mi látszódik, illetve az oldalán milyen XSS, SQLi és egyéb gyöngyszemek vannak. Ha ezt nem tudja önerőből, akkor kérjen meg rá valakit. Sőt, továbbmenve, csak olyan weblapkészítővel szerződni, aki tudja garantálni, hogy az általa átadott oldal az átadás időpontjában CVSS mentes.
Általában egyébként egy megfelelően beállított és hardenelt infrát nem nagyon lehet megfektetni egy automata szkenneléssel, maximum kézileg, itt jön képbe, hogy egy rendes penteszt miért is kerül annyiba.
pluszegy:
Jelentkezzen az, aki nem szokott néha nmapolni egy jót, ha bekerül mondjuk egy publikus wifire, pusztán a tájékozódás kedvéért. Ha meg már ottvan és talál mondjuk egy wifikontrollert, akkor nem próbál rá default accal.
pluszkettő:
Ismerve a magyar cégek és szervek hozzáállását, a dumpolás teljesen érthető, ha tényleg azt akarod, hogy javítsák meg a szarukat. Így legalább van valami a kézben, amivel el tudsz menni a sajtóhoz, ha semmi nem történik...
-
vicze
félisten
Pont ez a felfogás az amit említettem, nem akar költeni, időt energiát befektetni a biztonságba, mert üzletileg annyira sokad rangú, hogy csak na. Persze ha burul a bili, akkor felelősséget se válla senki, az előző hiányáért és jön a mentegetőzés és a "gonosz" hackerre mutogatás. És ez elsősorban felső vezetői probléma, másodsorban pedig felelősséget soha senki se vállal.
Az hogy kriminalizálod a lehető legjobban, a sript kidiket és társait, csak azt éred el, hogy akár milyen hülyén hangzik is de a sötét oldal felé tereled őket, mert sokkal jobban megéri majd eladni a megszerzett információt megfelelő körökben, minthogy jelentei.
Gyakorlatilag ezzel hozzáállással mindenki saját maga alatt vágja a fát.A hülye "lopnál-e autót" hasonlatokat meg tessék elfelejteni, mert semmilyen értelmük nincs a digitális világban, ott ahol nincsenek országok, határok, államok, és teljes anonimitás van.
-
#19482368
törölt tag
Örülne-e bárki, ha a lakása bejárati ajtaját nyitogatná egy vadidegen
Majdnem szó szerint ezek a gondolatok fogalmazódót meg bennem.Mag amúgy az tök jó, hogy a mai világban már elég egy Kali Linuxot telepíteni
Pontosan, és szinte minden szükséges információ szájbarágósan dokumentálva van. Sok esetben még csak gondolkodni se kell.Én azzal egészíteném ki, hogy az a slussz poén hogy napi szinten jelennek meg friss sebezhetőségek, és sok esetben annak pontos dokumentálása megtalálható az interneten. Ellenben a sebezhetőség befoldozására kiadott patch-re relatív elég sok időt kell várni. Így a porul járt embereknek, üzemeltetőknek szinte esélyük nincs normálisan megoldani a problémákat. Főleg akkor ha valamilyen szinten érintett az adott sebezhetőségben.
Az a baj, hogy etikus hackelés mögé bújva próbál sok fiatal népszerűséget, elismerést, szerezni hogy hátha felfigyel rá valami komoly cég, és ezzel meg tudja alapozni a jövőjét. Sok mindent, mindenkit lehet hibáztatni, a jelenleg kialakult informatikai problémák miatt, sok esetben felelős a gyártó, a marketinges, az üzemeltető a tulajdonos, felhasználó stb.. De mindezt felülírja Murphy(O.o) gondolata, miszerint Örülne-e bárki, ha a lakása bejárati ajtaját nyitogatná egy vadidegen, azzal a felszólítással, hogy: "Etikus tolvaj vagyok
De lehetne mondani más példát is, attól hogy az alma fa ága, kilóg a kerítésen túl, még nem jelenti azt, hogy leszedheted a fáról. Ezek viszont olyan íratlan elvek, amiket elég rég óta ismerünk, csak éppen napjainkban túl sokan a kellő magasságból kezelik. -
vicze
félisten
(Nem feltételen neked válasz.)
A viccet félretéve, a GDPR egyik hatása az is kellene legyen, hogy a cégek törődnek és kötelezően saját érdekükben töltenek a biztosságra. És ajánlom minden rendszergazdának, hogy ezzel fenyegetőzzön a főnökénél, hogy ha kell kierőszakolja a biztonságra való törekvést, ha egy külső vizsgálatot nem is fizetnek ki, de legalább minimális dolgokra ügyeljenek, és bejelentésekre reagáljanak.Az pedig hogy az etikus hacker(vagy pusztán bejelentő, akárminek is hiszi magát) elsősorban ellenségnek van tekintve nem pedig segítőnek, egy olyan felfogásbeli dolog amit részben a tudatlanság, a pop kultúra, és a média is táplál sajnos. Ezt a felfogást kellene megváltoztatni elsősorban felsőbb szinten.
Amúgy az itt általánosan emlegetett hozzá nem értés nem mindig helytálló, ha felhozhatom a Hack Team esetét, akiket kizárólagosan saját hanyagságuk miatt sikerült feltörni, és itt nem áll fenn a hozzánemértés esete, puszta nemtörődömség miatt történt.
-
Ez az "etikus hacker" dolog eléggé kényes kérdéseket feszeget, mégha tényleg jó szándékkal teszi is valaki...
Örülne-e bárki, ha a lakása bejárati ajtaját nyitogatná egy vadidegen, azzal a felszólítással, hogy: "Etikus tolvaj vagyok, jelezném, ha be tudok jutni a házadba". Még, ha így is van, jogszabályok vonatkoznak rá, illetve senki nem kérte meg.
Mag amúgy az tök jó, hogy a mai világban már elég egy Kali Linuxot telepíteni + némi blogot olvasni, youtube videót nézni, és bárki nyomathatja az sqlmapot, meg az uniscant stb. "etikus hacker vagyok" felszólítással, de ez ettől még nem lesz legális amit csinál.
Az meg már csak külön hab a tortán, hogy sok cégnek rosszul jön, ha valaki rávilágít, hogy fos, sebezhető a terméke, és javítani kéne. Kb. olyan, mint mikor beszólsz a gizdának, hogy tök jó a hifi a kocsiban, csak már lassan a segge kifér az alvázon olyan szar a kaszni... biztosan nem simogatja meg a fejedet, max egy drótkefével.
Tapasztalatból írom, nem örül senki, ha megnézem a rendszerét, bármilyen jó szándékkal is teszem.
-
#13
dajkopali
addikt
Döglött Róka
#11
dajkopali
addikt
válasz
Döglött Róka
#11
üzenetére
igen, az egyik nyilatkozó szakértő ezt ki is emelte nekem
-
Lacc
aktív tag
Pedig igaza van a definíciót illetően. (1. bekezdés, a többivel én sem értek egyet).
Etikus hacker alatt a Fehér kalapos hackeret értik, és a legfontosabb, hogy legyen szerződése (de nem akármilyen), ez benne van a nemzetközi etikus hacker képzési tananyágban is.Nem szabad a fogalmat keverni a szürke, fekete, script kiddi, hacktivista, stb fogalmakkal.
Az más kérdés, hogy nem elég csak az XY weboldal tulajdonossal szerződést kötni, ha ugyanis a hoszting szolgálatás nem az ő tulajdonában van akkor a szolgálatóval is fel kell venni a kapcsolatot, hiszen annak szervereit "piszkálja"
-
#11
Döglött Róka
veterán
Döglött Róka
veterán
Jól látom, hogy az ember csak SQL injection-t csinál?
-
borg25
senior tag
Fred23 megállapítása vicces is, és fájóan igaz is.
Állambácsi környékén sok az olyan eset, mikor az a jó, ha kiderül, hogy nincs semmi baj. Nem csak IT biztonság hanem más ellenőrzési területen is.
Magánszektorban is lehet ilyen nézet, mikor a biztonságot, minőségbiztosítást nyűgnek érzik, amit csak ki kell pipálni, és nem kéne mélyen megkaparni.
Aztán, van olyan is, mikor belátják, hogy ez tényleg érdek, és egy minőségbiztosítás hozzáadott értéket is jelent, nem csak egy papírt, ami a pályázás feltétele. Mikor tényleg felvetődik a kérdés, hogy lehetek hatékonyabb és biztonságosabb... -
mikej95
aktív tag
Hát persze, az illegális tevékenységek be vannak tiltva, így senki sem csinál olyat. Csak néhanapján olyanok akik nem értik meg a törvény szövegét, mint ezek az etikus hekkelek.
Szerződéses melóra is láthattunk nemrég igazi magyar példát. Kürt Zrt. a tesztek során megállapította, hogy a választási rendszer le fog halni. Kivitelező semmit sem csinált. Összeomlás bekövetkezett betűre pontosan. NVI konklúziója: Kürt a hibás, nem a kivitelező cég. Ezután hatalmas néma csönd következett, mert rájöttek mit sikerült nyilatkozniuk...
Ezen a ponton már a füstszűrős sapka sem segít.@borg25 Nem tudom eldönteni, hogy Fred23 poénja nem jött át vagy csak simán rákontrázol.
-
borg25
senior tag
Vagyis ha nem kérnek fel senkit, akkor nem is lesz látható biztonsági rés, tehát "mindenki" jól jár
Hibás a következtetés.Feltörhetetlen rendszer nincs. Az, hogy egy etikus hacker tegnap azt mondta, hogy nem tudja feltörni a rendszert nem jelenti azt, hogy ma már nem tudná, vagy nála jobban hozzáértő tegnap se tudta volna. Azt se jelenti, hogyha több embernap vizsgálatot fizettek volna, akkor nem-e talált volna végül fogást a rendszeren.
Ha nem csak egy 3 napos gyorstalpalón szerezte a képzést két hete, hanem évek óta nyomja, és gyűjtötte a tapasztalatokat az etikus hackerünk, akkor elég nagy valószínűséggel megtalálja a kiskapukat, vagy igen jó részét. Az ismert sebezhetőségeket nyilván végigpróbálta, tehát aki fel akarja törni a rendszert annak jobb ötlettel kell próbálkoznia, mint a routeren a default jelszó használata...
Nem vagyok etikus hacker, csak érdekel a téma, tudtommal elég szép sebezhetőségi listát össze tudnak állítani. Ha meg biztosra akar menni a cég, ő is megteheti, hogy átmenetileg elrejt egy sebezhetőséget a rendszeren, hogy vajon hackerünk megtalálja: pl Biztonsági frissítés felrakásával várnak, jelszót primitívre állítják.
Igazság szerint nem is cél az összes hiba megtalálása. Valójában a cég semmire se megy azzal, ha tudja, hogy mik a sebezhetőségei, neki azt kell tudnia, hogy az elkövetkezendőkben mire kell költenie, hogy a biztonságot a lehető leghatékonyabban tudja növelni. Vagy kiválaszt egy rendszert pl gyártósor vezérlés és azt teszi biztonságossá.
-
"Nagyjából szakmai konszenzus van arról, hogy etikus hackernek csak az nevezhető, aki a törvények betartásával végzi tevékenységét – pl. megbízásra, kontrolláltan. A partizánakciók szinte mindegyike átlépi a törvényesség határát – még akkor is, ha az illetőt a jó szándék vezérli."
Vagyis ha nem kérnek fel senkit, akkor nem is lesz látható biztonsági rés, tehát "mindenki" jól jár.
Illetve mi a garancia arra, hogy akit jó pénzért felkérnek, az jó munkát fog végezni? Ott is profitábilisabbnak tűnik az a megoldás, hogy "nem találtam semmit, adhatjátok a pénzt (hiszen azért is engem választottatok, hogy ne találjak semmit)!
-
0xmilan
addikt
önmagát etikus hackerként definiálta
lel.Eleg par bekezdest elolvasni a blogjan.
Az 'etikus' meg az en olvasatomban is ott megall, hogy megtalal > jelent.
Nem megtalal, belep, kihasznal, adatbazist dumpol, fajlokat torol, stb. > jelent.
Az a kalap erosen szurke; nem frissen mosott hofeher. -
Akinek esze van, az rájön, hogy ha valaki hibát talált, és szól nekem, az jót akar. Nem kihasználta, nema konkurrenciának adja el...
Ilyen esetben felnyomni az illetőt, igazi házmestertempó. -
#1
noPublicFG
senior tag
Az etikus hackelés jó dolog, akkor is, ha hivatalosan (magyarországon) nem számít legális tevékenységnek a szabadúszók tevékenysége.
(Sajnos abból indulok ki, amit magam is tapasztaltam korábban. A cégvezetés nem értette mi is az informatika, illetve miért is kell nekik pénzt költeni a hálózat fenntartására és védelmére. Sajnos a védelem, mint kifejezés érthetetlen volt számukra, és gondolom sok más cégnél is felfoghatatlan, ha a céges gép ott van előttem az asztalon, akkor miért nem elég a kapuban álló biztonsági őr?) Innen tovább gördítve a gondolatot: Amikor a legolcsóbb hostinggal kell szerződést kötni, nulla támogatással, na az a csillag a korona tetején. A fentiekből kifolyólag, a szürkezónás etikus hackelés (is) a hozzá nem értő vezetők miatt elítélendő (magyarországon).
Személy szerint viszont támogatom.
Teljesen csőlátással persze, hogy értelmezhetetlen. Mint ahogy te meg Borg azt hiszitek, hogy kárt okoz... nem, az etikus hacker nem okoz kárt, amelyik kárt okoz, az meg nem etikus. Mintha nem azt olvasnátok, amit írnak nektek (nem csak én többen itt).
Miattuk kaptam rá, mikor suliban 5k-ért eredeti xp+office lehetett, aztán fősulin elérhetővé vált a legális win7-win server-egyéb programjuk. Hogy rohadjanak meg (mennyi pénzem megmarad volna pedig ![;]](http://cdn.rios.hu/dl/s/v1.gif)
Érdekes dolog. Előtte le se sz.rtam az ilyet... :/ Most meg vásárolom össze a régi kedvenc játékaimat.
ugyanis a jogaidat, csak polgári úton tudod érvényesíteni. 
Új hozzászólás Aktív témák
-
Frissítve! Hackersiralmak
- AKCIÓ! AMD Ryzen 9 3900X 12 mag 24 szál processzor garanciával hibátlan működéssel
- HATALMAS AKCIÓK / MICROSOFT WINDOWS 10,11 / OFFICE 16,19,21,24 / VÍRUS,VPN VÉDELEM / SZÁMLA / 0-24
- Wacom Cintiq DTK-2260 - Digitális rajztábla
- iKing.Hu - Apple iPhone 14 Pro Max - Gold - Használt, szép állapot
- Konzol felvásárlás!! Xbox Series S, Xbox Serries X
Állásajánlatok
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest