Így is lehet: a NASA megköszönte az őt (újra) feltörő hacker munkáját

Példaértékű, ahogy az amerikai űrkutatási vállalat a helyzetet kezelte: a NASA egy oklevélben megköszönte a 7h3h4ckv157 nevű független biztonsági szakértőnek, hogy az általa a rendszerein felfedezett biztonsági sebezhetőségeket a NASA Vulnerability Disclosure Policy irányelv szerint, felelős közlés útján feléjük jelezte.

A NASA az oklevéllel elismeri, hogy a biztonsági sebezhetőségek detektálása és bejelentése fontos és értékes képesség az IT biztonság iparág terén. A hacker felelős bejelentése a korábban a NASA számára ismeretlen biztonsági sérülékenységekről hozzájárul ahhoz, hogy a NASA meg tudja őrizni az információi integritását és elérhetőségét.

Hozzászólások

hanyatló nyugat :S inkább börtönben lenne a helye!

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Így utólag visszakeresgélve a T-systems a bénázásai mellett tényleg elkövette azt a hibát, hogy válasz helyett kapásból feljelentette a srácot;  ettől függetlenül az, hogy a srác pénteken észlelte, következő kedd estére már szétkürtölte a hibát...  az nem felelős viselkedés.  Akár azt is megértem, hogy addigra már stresszelt, de hát ennyi tűrőképesség kell erre a pályára.

Legalább nem lett semmi baja, 1 év múlva még a T-systems bocsánatot is kért a feljelentésért.

hat a tsystemen belul a managerek hetfon azzal voltak elfoglalva kire tudnak rasozni a felelosseget. mivel senkit nem talaltak jott a jollyjoker: jelentsuk fel!

es mivel a seggvedessel voltak elfoglalva, ezert a megoldasra mar nem jutott ido, a kommunikaciora meg vegkepp.

egy ilyen hibanal nemhogy a tobbnapi reagalas is gaz, hanem a 24 oran tuli (es tokmind1, hogy van-e hetvege kozben vagy sincs).

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

tehat azt mondod, hogy biztosan tudod, hogy a T szep csendben kijavitotta volna a hibat es nem eri millios/milliardos kar a BKK-t egy kulso beszallito balfaszsaga miatt, aki esetleg elsunnyogja a dolgot es nem javtija ki csak hetek utan. Sot, hogy ha kuldesz valakinek egy joszandeku figyelmeztetest annak mar elegnek kellene legyen szamodra, hogy el is engedd a problemat. Negy nap. Nem mondom hogy zeroday vulnerability volt, de azert nekem egy kicsit ez sok, plane hogy a hibat kb fel ora alatt befoltozza egy ugyesebb kezu gyakornok. :)

Akkor en most hozok harom tanut, hogy barmire amire feljelentelek az igaz. Majd azten lehet egy ev mulva bocsanatot kerek amikor mar a kornyekeden mindenki azt hiszi, hogy gyermekbantalmazo, sikkaszto, akarmi vagy. Gondllom az egy ev mulva adott bocsanatkeresem megnyugtat majd :D

> tehat azt mondod, hogy biztosan tudod, hogy a T szep csendben kijavitotta volna a hibat es nem eri millios/milliardos kar a BKK-t egy kulso beszallito balfaszsaga miatt

Ezt mondtam volna?

> Akkor en most hozok harom tanut, hogy barmire amire feljelentelek az igaz

Legkevésbé sem ugyanaz a helyzet, amire feljelentették, az igaz volt, balfék volt a T-systems nyilván (persze ha te is akkora balfék vagy, akkor jelents fel nyugodtan), ezért nem lett baja a srácnak, sokáig azon kellett hisztiznie a médiának, hogy még az 50 Ft-ját sem kapta vissza!!!444, úgyhogy visszakapta. :)

Pénzt is adnak mellé?

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Lehet azt tenni amit értékesnek és jónak gondolunk anélkül is, hogy megjutatlmaznának érte.

Amúgy ha valakinek van egy anyagi biztonsága, akkor ez lenne a követendő irány.

Meg ott lehet a szakmai közösség elismerőse is, mint drive, emlékeim szerint ESR is ilyesmiről ír a The Cathedral and the Bazaarban.

Szerkesztve: 2024. 09. 27., p – 12:38

Mindeközben az évente megrendezendő security 'konferenciákra' (hacker verseny) mindenki csak betárazza a még be nem jelentett hibákat, hogy minél nagyobb eséllyel tudja megnyerni a versenyt. Nem törődve azzal, hogy ezt közben mások is megtalálhatják/kihasználhatják.

 

Szóval ez a "felelős bejelentés" eléggé szubjektív. (és mindíg valamelyik fél érdekei szerint működik)

 

szerintem.

Ez nem volt fix, mert még mindig í van ott.

Akartam nyomtatni neki az építő kritika miatt egy oklevelet, de kifogyott a papír a nyomtatóból.

Úgyhogy B terv, másik narratíva, mivel gyakorlatilag szétkürtölt egy bugot, karóba húzni, és utána börtönbe vele! :-)