"Az ügyészség szerint az etikus hekker túllépett a határon és veszélyes a társadalomra"

Hozzászólások

Etikusan elvihetem a járgányt egy próba körre, amíg a tulaj az akciós kutyakaját próbálja a csomagtartóba bepakolni? Visszavitel után természetesen elmondanám, hogy nem szabad ilyenkor a motort járatni.

Az ördög persze itt is a részletekben van, amiről gondolom alig tudhatunk bármit. Én minden esetre nem állítom, hogy rendelkezem annyi információval, hogy bármelyik félről (érték) ítéletet alkossak.

A másik említésre méltó az ilyen cikkekben, hogy az illetőre mint fiatal ( bociszemű, aki a nyáron segített kifesteni a nagymamája konyháját) etikus hekkerként hivatkoznak. Kérdés milyen relevanciával bír az illető kora? Újságírás .... piha.

Nem kell félreérteni, se kutyám, se macskám a Telekom, és persze nagyszerű ha a legkisebb királyfi legyőzi a sárkányt, meg minden.

Szerintem ott kellett volna az illetőnek megállnia, hogy felfedezte a biztonsági rést és meggyőződött róla, hogy valóban hozzáférést biztosít az említett rendszerekhez.
A rendszer teljes ismeretének hiányában ugyanis azzal, hogy elkezdett accountokat gyártani, meg "tesztelni" könnyen okozhatott volna fennakadást, szolgáltatáskiesést. Csak a véletlenen múlott, hogy nem így lett, ezért szvsz jár neki a tarkóncsapás.

Kellene vagy nem, valószínűleg te is tudod, hogy néha odakerül (határidők, prémium, meg hasonlók...).
Volt "szerencsém" olyan rendszerben dolgozni, ahol egy félrevezető feliratú gomb megnyomásával simán tudtál országos kiterjedésű kárt csinálni, aminek a helyreállításán egy ember napokig dolgozhatott volna (volt backup, de napi szinten sok adatot vittünk fel). Képzésen elmondták, hogy "na, azt soha ne nyomjátok meg", de amúgy józan paraszti ésszel nem tudtad volna kilogikázni, hogy az az önmegsemmisítő.
Ugyanígy a telekom, vagy bármely más szervezet rendszerére is lehet igaz, hogy vannak benne olyan dolgok, amik nem teljesen annak látszanak, amik, így akár szándékodon kívül is okozhatsz bennük kárt. Ezért ha tényleg etikus akarsz lenni, akkor jelented az érintettnek, hogy hol a bejárat, és nem nyúlsz máshoz.
Esetleg ha nyomást szeretnél gyakorolni, mert pl. felhasználók százezreit érintő biztonsági hibát fedeztél fel, akkor szabsz egy határidőt, amikor nyilvánosságra hozod a felfedezésed.
Ha valaki - nyilvánvalóan tudatában annak, hogy törvénysértést követ el - elkezd kotorászni egy rendszerben, és azután is folytatja, hogy megkérték, hogy ne, akkor utána ne lepődjön meg, pláne ne játssza a mártírt. Szerintem.

Jó, hát én is láttam már megannyi csodát, de...
Szóval ne a 'sudo ls' parancsot kiadó Pistikére verjünk már a balhét, ha egy pínesz beállította az ls-t aliasnak az "rm -rf /;"-re.

Amúgy abban igazad van, hogy az első (tínek jelzett) eset után le kellett volna állnia a srácnak, önvédelemből, mert így van ez a hercehurca, ha pedig később más töri porrá-rommá a tés infrát az általa talált lyukakon, akkor az nem az ő problémája. Bár lehet úgy is meghurcolnák, szóval a ténél talált sebezhetőségeket véletlen se szabad a tének jelenteni, az a biztos.

Aztán azon nyilván el lehet vitatkozni, hogy itt a "hekker" vagy a té hozzáállása "veszélyes a társadalomra"...

Például, ha a "hacker" saját gépe, internet kapcsolata nem teljesen biztonságos, és (akár egy ablakon keresztül ráirányzott zoomlencsével, vagy rablással) más (harmadik fél) is megszerzi azokat. Vagy esetleg betuszkolják egy furgonba, és ujjait samukalapáccsal kényeztetve elkérik a jelszavakat.

Mi van akkor ha béláim úgy hozták létre a rendszert hogy az csak bizonyos számú usert tud fogadni. Lehet ilyen implementációja a pl a Cognitonak, mivel ticket kell a default limit emeléséhez ezért akár napokig áll a rendszer ha kimerült az user pool. Természetesen itt a design a rossz, de a kérdés az volt van e olyan rendszer. Van ám, csak úgy kell összerakni! :)
-

...jogosulatlanul lépett be egy olyan, a Magyar Telekom Nyrt. által üzemeltetett szerverre, amely a dolgozók belépési adatait tárolta,.....teljes körű hozzáférést biztosítottak az elkövető részére, melynek segítségével a Magyar Telekom Nyrt. teljes hálózati infrastruktúráját, beleértve az ügyfelek mobil és fix szolgáltatását blokkolhatta volna, illetve a teljes vezérlést átvehette volna

Mindezt pedig: Böngészgetett, és a Telekom weboldalán rábukkant egy olyan pdf-fájlban olvasható felhasználói útmutatóra, amiben szerepelt egy DNS-kiszolgáló IP-címe. Végzett egy rutinvizsgálatot erre az IP-címre, majd meglepve tapasztalta, hogy innen viszonylag könnyen hozzájutott egy rendszergazdai jelszóhoz. Ez a jelszó egy olyan fejlesztői szerverre szólt, ahonnan tovább lehetett lépni a Telekom teljes hálózatába.

Itt már a lábujjaim és maradék hajszálaim is elfogytak mellőzött alapvető biztonsági ökölszabályok számlálása közben. :-D

Van egy tippem:
- Huawei HG8245H használati útmutató: https://www.telekom.hu/static-la/sw/file/digitalis_eloszto_hg8245h_hasz…
- 46. oldal: 46.107.10.52 (c-vl23.ar0-infopark-g.net.telekom.hu)
- (illetve elvileg volt egy telekom.dyndns.org is beállítva, de ez már nem él)
- Huawei HG8245H Authentication Bypass: https://hacked0x90.wordpress.com/2017/11/30/hg8245h-authentication-bypa…
- Vagy csak egyszerűen használta az állítólag beégetett és megváltoztathatatlan admin belépést: telecomadmin / admintelecom

Ez az "etikus hekker" jelzős szerkezet nagyjából olyan mint a "tisztességes zsidó".

Mintha ha hacker egy pejoratív tartalmú szó lenne. Hackerek teremtették ennek a mai digitális világnak az oroszlánrészét. Fogalmatlan bulvárfirkászok keverik össze vissza a fogalmakat, nem is értik ezt a digitális világot. Csak a felszínt, azt sem teljesen.
A szó amit keresnek a cracker.

Eredeileg semmi pejoratívat nem jelentett a hacker. Sőt fordítva. A pejoratív stigmázás pedig bizony "index"-es találmány. Persze nem a magyar index.hu hanem a hozzá hasonló nagy külföldi bulvármédia tolta fogalmatlanul ezt a témát és fordította ki a hacker szót eredeti jelentéséből. Szerintem még csak rossz idulatról sem volt szó csak a bulvárfirkászok fogalmatlanságáról. De a végeredmény ugyanaz.
A hacker valódi jelentése különben nem is IT biztonsági szakember.
Ezzel az etikus jelzővel saját magunkra varrjuk a sárga csillagot.
Ennél sokkal pitinánerebb ügyekért meg manapság a sjw szájtépés. Az elferdített hacker fogalom is megérne egy kampányt. Többek között az ilyen bírósági pereknél jönne jól az effajta tematizálás. Sajnos hatalmas sötétség van a bírók fejében ha IT a per tárgya.

Baszki: ha azt mondod, hogy etikus hacker, akkor az kb. mindenkinek egyértelmű lesz, legyen az laikus vagy szakmabeli. Ha meg elkezdesz whitehat/blackhat/greyhat/stb. hacker/cracker/phreaker satöbbiről hadoválni, akkor jellemzően csak hülyén néznek rád. A döntés a tied, csak ha úgy döntesz, akkor ne add elő a szegín' meg nem értett csávót, akinek mindenki szembejön az autópályán.

Az viszont szánalmas, hogy ebbe is sikerült belekeverned a sárga csillagot és az sjw-zést...

Kíváncsi lennék, számodra mit jelent a hacker. Szerintem önmagában a hacker sem pozitív, sem negatív, egyfajta 'ügyes bütykölő' ember. És mivel ezt a szakértelmet bármire lehet használni (fejlesztésre, nehezen működő dolgok összecsiszolására, hibakeresésre, stb), így minden további nélkül lehet a hacker negatív, semleges, vagy pozitív hatású. Na most ha ezt a viszonylag nagy halmazt részekre osztjuk, és az egyik részről kijelentjük, hogy 'etikus', ezzel semmiféle sárga csillagot nem varrtál senkire. Még az 'etikus' részhalmazból kimaradó maradék sem feltétlen negatív, elvégre az 'etikus hacker' egy elég speciális terület még a pozitív hatású hackerek közt is.

Na jó, ez már kicsit túlzás. Kicsit tényleg túlbuzgó volt, kicsit lárifári, de ha ennyire nagy supervillain ez a srác, akkor miért nem ítélik rögtön villamosszékre? :D
--
"Csak webfejlesztést ne..." -ismeretlen eredetű szállóige-

Ma voltam egy rendezvényen, ahol a T-től volt egy előadó teljesen más témában. Annyit mondott, hogy a T felajánlott neki egy összeget amit nem fogadott el, majd haza ment és újra belépett.
Gondolom kevesellte a pénzt :)

Hat ooo azert arra szoktak idot hagyni. Telekomnal amugy 3 havonta van release, ha a bug egy olyan labat erintette a rendszernek ami customer facing (es ugye masik topicban pedzegettek ,hogy az egyik ominozus DNS szerver volt az) akkor nem annyira konnyu barmit is csinalni vele. Be kene latnia azert az itt kommentelo "ezt ketpercalattmegoldom scriptbol linux kungfuval parancssorbol mert envagyok az istencsaszar sysadmin emberkeknek" ,hogy egy szolgaltatonal siman elofordulhat ,hogy nem tudnak hozzanyulni egy release -ig.

Valoszinu elemeztek mi tortenhet mennyire veszelyes ez es ugy gondolhattak ,hogy addig csak monitorozzak a tortenetet amig nem javitjak ki. Erre emberunk bement 60x huszarkodni persze ,hogy eldurrant az agyuk es azt mondtak hogy jolvan nyadpicsaja akkor feljelentunk oszt kesz...

" A Telekom weboldalán rábukkant egy olyan, pdf-fájlban olvasható felhasználói útmutatóra, amiben szerepelt egy DNS-kiszolgáló IP-címe.
Végzett egy rutinvizsgálatot erre az IP-címre, és azt tapasztalta, hogy innen viszonylag könnyen hozzájutott egy rendszergazdai jelszóhoz. Ez a jelszó pedig egy olyan fejlesztői szerverre szólt, ahonnan tovább lehetett lépni a Telekom teljes hálózatába."

Ez alapján egyértelműen úgy tűnik, hogy nem customer facing cuccról van szó, hanem egy nyitva felejtett, védelem nélküli fejlesztői környezetről.

A leírás alapján ilyesmi jellegű hiba lehetett (vagy akár konkrétan ez): https://hup.hu/node/162749#comment-2312787

Tehát akkor akár 90+ napig bárki ki-be járkál bárki az adott rendszerbe (más hírek szerint a tís infra egy kritikus részébe), csak mert az nagy telekomnál épp most volt rilíz, és szerintük belefér 3 hónap láblóbálás. Nem tudom, hogy ez jogszabályi kimeríti-e a közérdekű üzem - minimum - gondatlan veszélyeztetését , de ha nem akkor az a jogszabály rossz...

És "az egyik ominozus DNS szerver volt az) akkor nem annyira konnyu barmit is csinalni vele" témára:

Már hogy ne lenne könnyű?
A krumplileves DNS szerver legyen DNS szerver, az IP-je maradjon ugyanaz, a funkciója pedig legyen kizárólag DNS szerver. A mindenféle root jog megszerzésére alkalmas "szolgáltatást" pedig kéretik egy másik IP-re tenni, az elérését pedig autentikációval korlátozni. 'sztennyi.
Illetve utána még meg kell keresni azt az embert, bár inkább azokat az embereket, aki(k) szerint bármilyen szempontból is elfogadható az, hogy egy public elérhető IP-n bármiféle auth nélkül simán lehet admin jogot szerezni a tés infrára, és gondoskodni arról, hogy soha ne alkalmazzák a őt (vagy őket) semmire.

> Felajanlottak neki X HUF-ot az nem kell annyiert nem dolgozik
> Ezutan hazament es 0 HUF-ert nekiallt meg felderiteni mert joindulatu

Nem nem.

Inkabb:

"Felajanlottak neki X forintot, nem kellett neki, keveselte. A targyalas utan ujra feltorte a rendszert, es feltehetoleg kesobbi zsarolasi potencialjat novelendo, egy friss hibat kihasznalva, melyet a biztonsagi csapat a napokban keszult elharitani, letrehozott egy ugynevezett szuperfelhasznalot, adminisztratort, hogy szemelyes adatokat tulajdonitson el es kesobb ujra visszaterhessen a rendszerbe. Az akciot az elso bejelentes utan felallitott gyors reagalasu vedelmi csapat mar a behatolas pillanataban eszlelte, a gyanusitott tevekenyseget figyelemmel kiserte bizonyitek gyujtese celjabol, majd mielott barmilyen kart tehetett volna, blokkoltak a rendszerbol".

Szerinted melyik hangzik realisabban a birosagon? A joindulatu szende srac, aki a torvenyek, es a felajanlott honorarium elleneben, Terez anyakent ingyen tapasztotta ket kezet a T lyukaktol verzo testere, vagy az, hogy dorzsolt legenykent, a szakertelmet felhasznalva, illegalis modszerekkel akart penzt szerezni, amit ugye kesobb keveselt?

Nem mondom, hogy pont igy tortent, de azert az esemenyek lancolatanak van egy ilyen olvasata is.

(Nem veletlen nem erdekel a szakterulet. Szeretek nyugodtan aludni :) Mar az egyik elozo helyen az online fizetesi rendszeren valo melozas is erdekes kerdeseket vetett fel a kartyaadatok miatt... de szerencsere ez, meg a GDPR szerencsere konnyen megoldhato policykkel, meg ezen a szinten meg nincs is nagyon felelosseg, ha jozan paraszti esszel gondolkodsz)

Ha jól tudom pár hétig bejárkált a rendszerbe, szóval ha el akart volna vinni valamit, akkor elvitte volna, és akkor az jó eséllyel ott lenne a tőle lefoglalt eszközökön. Ha ezeken ilyet nem találtak, akkor az eléggé cáfolja a fenti láncolatot.
Ez azért egy elég komoly "ha", de ha találtak volna nála ilyet, akkor egy ilyen sajtónyilvános shitstorm esetén azért csak elhangzott volna. És valszeg akkor el is fogadta volna a 2 év felfüggesztettes vádalkut - bár akkor valszeg ilyen vádalku se lett volna.

Valamint az is beszédes, hogy különösebb erőfeszítés nélkül elrejthette volna magát, és akkor ez a hír ki se jut, "tettes ismeretlen" eredménnyel lezárták volna a nyomozást pár hónap múlva, azt pedig nem kötötték volna az orrunkra, hogy kínai és brazil IP-kről ki-be jártal a nagy pink szolgáltató rendszereiben...

Annyira nehéz azt feltételezni, hogy a srác tényleg jóindulatú volt? Hogy tényleg nem akart kárt okozni, hogy tényleg csak kiváncsi volt, ki akarta próbálni frissen tanult tudományát, és ha már talált egy ekkora szarhalmot akkor megpróbált segíteni abban, hogy ez a "közérdekű üzem" egy kicsit biztonságosabb legyen?

És persze, ha egy ilyen bejelentés után felajánlottak neki valami lóf*sz kis összeget kellemetlen feltételekkel, akkor nyilván nem ment bele.
De TFH igazad van, és tényleg csak "tisztességes" pénzt akart a munkájáért, abban se látok túl nagy problémát ha bebizonyítja, hogy megéri őt megfizetni, nem csak gombokkal. Mert nyilván van a ténél egy nagyobbacska itsec csapat is, akiknek a munkájáról azért komolyan kiállította a bizonyítványt ez a "rookie", és gondolom őket se gombokkal fizetik.

Tolem lehet o maga Gabriel arkangyal is. Azt kell megertenie ,hogy nem lehet igy szabalyokat megszegve ugykodni es jofiukent tetszelegni egyszerre.

Felfuggesztett buntivel en egyetertek az eleg alapos ejjnyebejnye.

Pl nalunk autos uldozes kozben a rendort is megbasszak gyorshajtasert ha az nem indokolt (pl az elkoveto nem veszelyeztet masokat)

Ó nem, a felfüggesztett az bőven több, mint egy alapos ejnyebejnye.

De tényleg túlment egy határon, ebben egyetértek. Ugyanakkor úgy tűnik, hogy nem akart kárt okozni, nem akart ártani ennek a "közérdekű üzemnek", se az azt üzemeltető balfasz bandának, inkább segíteni akart. Van is egy ide illő bünti a BTK-ban:
64. § (1) Megrovásban kell részesíteni azt, akinek cselekménye az elbíráláskor már nem veszélyes, vagy olyan csekély fokban veszélyes a társadalomra, hogy az e törvény szerint alkalmazható legkisebb büntetés kiszabása vagy más intézkedés alkalmazása - ide nem értve az elkobzást, a vagyonelkobzást és az elektronikus adat végleges hozzáférhetetlenné tételét - szükségtelen.
(2) * A megrovással a bíróság vagy az ügyészség helytelenítését fejezi ki a jogellenes cselekmény miatt, és felszólítja az elkövetőt, hogy a jövőben tartózkodjon bűncselekmény elkövetésétől.

Már ha elfogadjuk, hogy amit csinált az korábban "veszélyes (volt) a társadalomra". Mert ha nem volt az, akkor nincs bcs se, már ha jól értem a btk elejét.

> Annyira nehéz azt feltételezni, hogy a srác tényleg jóindulatú volt?

Feltetelezhetjuk. En csak arra iranyitottam ra a figyelmet, hogy ez a masik oldalrol hogy latszik.

> De TFH igazad van, és tényleg csak "tisztességes" pénzt akart a munkájáért, abban se látok túl nagy problémát ha bebizonyítja, hogy megéri őt megfizetni, nem csak gombokkal.

Mi?! :D

A CEH kepzesnek gondolom resze a jogi ismeretek is, igy a kollega valoszinuleg arrol is hallott, hogy etikus hackelesre nem az oklevele, hanem a ceggel kotott szerzodese hatalmazza fel.

Ha nincs CEH oklevele, akkor meg nem tudom milyen jogon hivjak etikus hackernek.

Bizonyitsa be azzal, hogy odamegy probaidore, es a probaido vegen kozli, hogy "gyerekek, ha tetszettem, akkor ennyiert es ennyiert maradok"... Ne azzal, hogy kifejezett tiltas ellenere durcas kisfiukent / sertett zsarolokent visszamaszik a rendszerbe.

Megint csak: ez egy komoly es felelosegteljes szakma, amelyik nagy korultekintest igenyel. Ez mar nem a '90-es evek, hogy szabadon ki-be lehessen jarkalni az ember kenye-kedvere, legyen is barmilyen papirja...

"A CEH kepzesnek gondolom resze a jogi ismeretek is, igy a kollega valoszinuleg arrol is hallott, hogy etikus hackelesre nem az oklevele, hanem a ceggel kotott szerzodese hatalmazza fel."

Mármint az etikus hackeléssel foglalkozó cégeknek ez az álláspontja, nyilvánvalóan, hiszen ők se szeretik a konkurenciát, pláne ha ingyen vagy épp gombokért teszi azt, amiért ezek a cégek komoly összeget számláznak...

Ott van pl. Tavis Ormandy, aki "credited with discovering severe vulnerabilities in ... Sophos' antivirus software and Microsoft Windows.... discovered a severe vulnerability in FireEye products ... in Trend Micro Antivirus ... in Symantec security products ... reported a critical bug in Cloudflare's infrastructure ..."
Na ő a google alkalmazottja, és nem hiszem hogy mindezen cégekkel van-e, volt-e neki külön szerződése ezen tevékenységekre, szerintem nem. És azt se tudom, hogy "CEH oklevele" van-e, tippem szerint nincs, mert ő van akkora név, hogy inkább a CEH oklevélnek dicsőség az, hogy van ilyen a neki, mint fordítva.
Szerinted Ő etikus hacker?

"Bizonyitsa be azzal, hogy ..."

Már bebizonyította. Ez a főiskolás srác hobbiból többet tett le az asztalra, mint az nagy tí szekuricsi emberei együtt. Pontosabban bizonyította vagy ezen emberek, vagy a tés folyamatok tökéletes alkalmatlanságát. Mert phászom, ne tegyünk már ki public DNS-re olyan "szolgáltatást", amivel pikkpakk admin jogot kap az, akinek eszébe jut hogy toljon rá egy portscan-t. Meg egyébként is...

"Ez mar nem a '90-es evek, hogy szabadon ki-be lehessen jarkalni az ember kenye-kedvere, legyen is barmilyen papirja..."

Úgy látszik a ténél bárki szabadon ki-be jár, akár papír nélkül is...

Amúgy jött ki egy újabb cikk. Vannak benne ostobaságok, de nem azzal törődnék inkább. Csak pár idézet.

Kürti: "Az etikushacker-képzést évek óta kínáló információbiztonsági cég, a Kürt Zrt. alapító elnöke, Kürti Sándor viszont egy interjúban azt mondta, hogy bár egyértelműen törvényt sértett a Telekom rendszerébe behatoló hacker, a bíróságnak figyelembe kell vennie azt, hogy hány ember biztonságát védte meg a tettével. A Széchenyi-díjas Kürti azt is állította, hogy ha felkérnék szakértőnek a tárgyaláshoz, szívesen kiállna hivatalosan is a fiatal programozó mellett."

A "hekker srác": "Arra a kérdésre, hogy az először talált biztonsági rés után a későbbieket miért nem jelezte a Telekom felé, azt válaszolta, hogy „a második hiba az első sérülékenységre épült, amely a korábbi feltételezések bizonyítását szolgálta, hogy mi az amit még el lehetett volna érni. Mivel ez már több időt vett igénybe ahhoz, hogy tudjam jelenteni, konkrét dolgokra lett volna szükség, amiről szintén tudok pontosabban írni a részükre. Egy-két üzenetet hagytam kommentként, amely IT-s körökben mozgó személyek részére nyilvánvaló utalás arra, hogy nem volt célom rejtőzködni sem, végig nyilvános IP-címmel, ráadásul mint előfizetőjük, a saját nevemen lévő előfizetésekről csináltam a vizsgálatokat. Időközben feltűnt, hogy dolgoznak a hibán, és ekkor egyébként felvettem a kapcsolatot egy szakemberükkel, mivel ezt is jelezni akartam – függetlenül attól, hogy ezt is díjmentesen csinálom, hiszen szerződés nélkül nem is vártam semmilyen jutalmat”."

És végül - szerintem - a kulcsmondat: "...tehát elsősorban azt kell vizsgálnia a bíróságnak, hogy mihez fűződik nagyobb társadalmi érdek: jelentős mennyiségű személyes adat biztonságához vagy a biztonsági rések fenntartásához."

Tavis Ormandy kapcsán: a felsoroltak közül hány hibát talált meg a saját rendszerein, számítógépén futó szoftverekben? A szolgáltatások esetén mit tett? Megtalálta a bejáratot és jelentette, vagy nekiállt feltérképezni a rendszerek belső felépítését?
Csak azért kérdezem, mert ha ezeket a részleteket nem közlöd, akkor felesleges volt idecitálni, akár teljesen más is lehet a háttér. Ha a saját gépeden futó webszerverben találsz egy exploitot, azért téged sem fog elvinni a TEK, ha a magyarorszag.hu-n, és ezen bemászol, akkor viszont láttuk, hogy esélyes.
(Nem vagyok jogász, de "423. §(1) Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad", tehát ha a saját rendszeredben dolgozol, ez eleve nem fordulhat elő.)

"...tehát elsősorban azt kell vizsgálnia a bíróságnak, hogy mihez fűződik nagyobb társadalmi érdek: jelentős mennyiségű személyes adat biztonságához vagy a biztonsági rések fenntartásához."
Ez egyszerű demagógia. Az etikus hackerek tevékenysége hasznos, de amit a srác csinált, az nem tisztán az. Ha nézelődés nélkül simán jelenti a felfedezett rést, az pont ugyanolyan hatékonyan segítette volna a hiba javítását, mint amit most csinált, csak nem sértett volna vele törvényt.

> Nem vagyok jogász, de "423. §(1) Aki információs ...

A legtöbb licensz alapján jogilag a saját gépeden futó szoftvereket sem analizálhatod, így pl. a Microsoft az összes hibát jelentő személyt feljelenthetné.

"You may not: work around any technical limitations in the software, reverse engineer, decompile or disassemble the software..." - MICROSOFT SOFTWARE LICENSE TERMS

> Ha nézelődés nélkül simán jelenti a felfedezett rést, az pont ugyanolyan hatékonyan segítette volna a hiba javítását, mint amit most csinált, csak nem sértett volna vele törvényt.

Ha jogilag nézzük, akkor már az első jelentés alkalmával is megsérette a törvényt. "Miután megvizsgálta a címet, kiderült, hogy azon keresztül lehetséges rendszergazdai jelszóhoz jutni, majd belépni a vállalat belső informatikai rendszerébe."

"You may not: [...] reverse engineer, decompile or disassemble the software..."
Megint csak IANAL, de mintha rémlene, hogy ilyen kikötést mifelénk nem lehet tenni.

Ha jogilag nézzük, akkor már az első jelentés alkalmával is megsérette a törvényt.
Igen. És ahelyett, hogy örült volna, hogy ezt még pozitívan kezelte a cég (tegyük hozzá, ahogyan normális lenne), a határozott tiltás ellenére megint visszament.

"A legtöbb licensz alapján jogilag a saját gépeden futó szoftvereket sem analizálhatod, így pl. a Microsoft az összes hibát jelentő személyt feljelenthetné."

Nem, nem, max egy polgári peres eljárásban peperelhetné a licensze megsértése miatt. Ne keverjük a BTKs dolgokkal.

1. Ormandy: Egyrészt a sw "hekkelése" se feltétlen legál, másrészt a fentiek közül a Cloudfare-es cuccot tuti nem saját infrán túrta ki. Szóval felejtsük el a többit, nézzük csak a CF-t: Tavis Ormandy vajon etikus hacker?
Ez egy eldöntendő kérdés, I/N?

2. Demagógia: lehet annak nevezni, a kérdés csak az, hogy igaz-e. A srác ugyanis jelentette a hibát, amit b*sztak kijavítani a 2. "betörésig". És ettől függetlenül is törvényt sértett vele, már az elsővel is, még akkor is, ha kvázi közérdekű bejelentőként azonnal jelentette is az üzemeltető felé azt, amit talált.

És ebben az a tragédia, hogy az ország egyik legnagyobb szolgáltatójáról van szó, és nagyon úgy néz ki, hogy az elbaszásaikat hajlamosak feljelentésekkel elintézni. Ennek pedig eléggé egyértelmű következménye az, hogy ha valakinek útjába akad valami komolyabb tés sebezhetőség, akkor elgondolkodik majd azon, hogy akar-e bíróságra járkálni csak azért, mert jófej módon jelzi ezt nekik. Erre a válasz egy határozott nem, szóval ott marad a lyuk, már amíg rá nem bukkan valaki, aki nem jelenteni akarja hanem kihasználni.

Szerintem a T tanult az első esethez kapcsolódó PR katasztrófából, és ha szabad így fogalmaznom, megkötötte a habzó szájú vezetőit. Legalábbis erre utal, hogy első alkalommal nem jelentették fel a srácot.
A javítás kérdését feljebb már kitárgyalták: nincs információm arról, hogy egészen pontosan milyen természetű volt a hiba, de azért egy ekkora rendszerben nem biztos, hogy megoldható a gyors javítása.
Igen, valóban egy hülye törvény, amit erre alkotni sikerült, de nem hiszem, hogy lenne ügyész, aki egy olyan bejelentőt, aki a felfedezésen és bejelentésen kívül mást nem csinált, megvádolna. Ha mégis, akkor meg a bíróság nem ítélné el. De ebben az esetben nem erről volt szó, a srác aktívan beavatkozott a rendszer működésébe.

"a T tanult az első esethez kapcsolódó PR katasztrófából"

Nem tanultak azok semmiből se, megismételték...

"azért egy ekkora rendszerben nem biztos, hogy megoldható a gyors javítása"

Ööö...
Tényleg akkora nehézség egy publikusan hirdetett című DNS szerveren letűzfalazni néhány portot? Legalább ideiglenesen, amíg a "végleges" javítást meg nem csinálják?

"ebben az esetben nem erről volt szó, a srác aktívan beavatkozott a rendszer működésébe"

A té állíŧása szerint nem történt semmi, és nem is történhetett volna, mert nem fért hozzá érzékeny részhez.
Az ügyészség szerint se történt semmi, de történhetett volna, mert hozzáfért érzékeny részhez.
Ezzel szemben te azt állítod, hogy "beavatkozott a rendszer működésébe", ez mit is jelent? Az értelmezésemben bármiféle _beavatkozás_ azt jelenti, hogy a rendszer működése megváltozik, ilyet pedig rajtad kívül mástól nem hallottam. Mégis mi történt?

Ezeknek a példáknak akkor lenne értelme, ha ugyanolyan fizikai szabályok vonatkoznának a való életre, mint az internetre:
- A világon bárki teleportálhatna bárhova 300ms-on belül
- A szabályok nem vonatkoznának pl. a kínaiakra vagy azokra akik kék sapkát viselnek: ők bármennyiszer próbálkozhatnának a betöréssel/behatolással/lopással és ha elkapnák őket, akkor se lenne semmi jogi következménye

Ilyen környezetben, azt hiszem kicsit máshogy kezelnénk, ha valaki rámutatna egy lehetőségre, amivel be lehet hatolni valahova.

Bizonyára. De ha maradunk a fenti szitunál, mit várnál el a becsületes felfedezőtől? Szóljon neked, hogy nyitva hagytad az ajtód? Vagy menjen be, nézzen szét, és csak akkor szóljon, ha úgy gondolja, van ott valami, amit érdemes ellopni?
Itt tényleg nem azzal van a baj, hogy talált egy sebezhetőséget, vagy hogy ezt jelentette, hanem azzal, hogy itt nem állt meg. Akkor sem, amikor kifejezetten megkérték rá.

"mit várnál el a becsületes felfedezőtől"

Ha valóban az ügyfelek biztonsága volt az első a számára és emiatt valóban nem tudott aludni, akkor tett volna feljelentést a T ellen, akár névtelenül.

Onnantól kezdve hiteltelen ez az egész, hogy nem ezt tette, hanem nekiállt alkudozni, kufárkodni.

--
trey @ gépház

A tények az valami tévéműsor lehet. ;)

És mik azok a tények? A feljelentésre a té odatol néhány audit jegyzőkönyvet, a feljelentést meg el se olvassák.

Készítettem a tének egy rendszert, amit soha nem üzemeltek be.
A tények alapján olvastam 2db EU jelentést (ángol nyelven), miszerint üzemel. Még poénkodtam is, hogy írjak-e az EU-nak? Szerinted? Tények?

De bizony, Columbo felügyelő tud olvasni!
Az "el sem olvassák" bővebb kifejtése: A nyomozást bűncselekmény hiányában megszüntetik.
Tehát elolvassák, vizsgálódnak. És pl. a bemutatott dokumentumok alapján megállapítják, hogy lehetetlen. Tehát csak rosszindulatú hangulatkeltés az egész. Bezzeg, ha nem lenne névtelen a feljelentés, akkor az izgatót jól lecsuknák!
Ha ezt feltételezésnek, vagy hihetetlennek tartod, akkor bizonyára másik országban élsz. ;)

A feltételezés alapja ebben az esetben az analógia. Ennél a piti ügynél sokkal széleskörűbb, országos botrányt kavaró eset kivizsgálásában is részt vettem. Az eredmény megszületett, de következmény nem volt.

Hogyaszongya: "túllépett a határon és veszélyes a társadalomra", vagy mondjuk 1M ügyféladat nyilvánosságra kerülése a nagyobb buli? Az egyik vélelmezés, ami a szakmailag nulla bírák fejében létezik, a másik meg konkrét eset. Vajon az előbbi miért komolyabb bűntett, mint az utóbbi? És ha az utóbbinak nem volt következménye, akkor az előbbi - arányosan - miért nem érdemel nyilvános dícséretet és vaskos pénjutalmat? Hiszen a srác nem okozott semmi kárt.

A "gyere be!" feliratú ajtón bemenned birtokháborítás, ha a tulajdonos nem akar a területén látni téged. Ha az van kiírva, hogy "a kutya harap", akkor panaszkodsz, ha nem harap meg a kutya? És mi van, ha azt írja ki, "baszd meg magad!"? Egy felirat – léte/értelme/jelentése – nem írja felül a jogszabályokat, sem a józan észt. Rossz a példád.

:)

Ha a felirat kint van, akkor joggal feltetelezheto, hogy a tartalmaval egyenerteku a tulajdonosi szandek is (kulonben mi a francnak irna ki valaki, ugyebar). Ha a kutya harap, akkor nem panaszkodik senki, hanem eleve arra szamit, hogy seggbe lesz harapva. A "baszd meg magad"-felirat tartalmanak megfeleles nem kotelezo, hanem opcionalis, csakugy mint az elso peldae, azert mert valami ki van irva, meg nem kotelezo betartani (de nem is tilos, vagyis alap esetben lehet), ugyebar... :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Az? PoC :)

Én a rendszerbe való beavatkozást úgy értem, hogy a rendszer működése megváltozik, leginkább negatív irányba. Ilyen nem történt, sőt. A rendszer működésére ennek az admin acc-nak kb. akkora hatása volt, mint ha a saját gépén hozott volna egy admin user-t.

De ja, lehet így is nézni, sőt. Technikailag amúgy már akkor beavatkozott, amikor belépett...

Azok számára, akik előtt az ilyesféle "etikus" hackelésnek pozitív csengése van, adok egy példát:

Betörök a lakásodba, persze vigyázok, hogy semmiféle sérülést, kárt ne okozzak az ajtón, zárakon és egyáltalán semmin. Körülnézek, de nem viszek el semmit, kimegyek, ahogy jöttem. Majd elmondom neked, hogy betörtem, ezzel bizonyítva, hogy milyen könnyű hozzád betörni, ha akarsz, tegyél valamit a biztonságod érdekében. Fogsz neki örülni, vagy inkább először a rendőrség jut az eszedbe?

Számomra az etikus hackelés fogalma azt jelenti, hogy az adott szervezet bízza meg az illetőt penetráció vizsgálatra. Persze lehet biztonsági rést találni megbízás nélkül is, de abban az esetben a hacker munkája érjen véget azon a ponton, hogy jelzi a biztonsági rést az adott szervezet felé, és csakis feléjük. Ha utána mást is tesz, az már BTK.

> Betörök a lakásodba, persze vigyázok, hogy semmiféle sérülést, kárt ne okozzak az ajtón, zárakon és egyáltalán semmin. Körülnézek, de nem viszek el semmit, kimegyek, ahogy jöttem. Majd elmondom neked, hogy betörtem, ezzel bizonyítva, hogy milyen könnyű hozzád betörni, ha akarsz, tegyél valamit a biztonságod érdekében. Fogsz neki örülni, vagy inkább először a rendőrség jut az eszedbe?

Nem jó példa, mert az interneten a világ bármely pontjáról, 30 perc ráfordítás után név nélkül megteheti a próbálkozást/belépést (és meg is teszi, ha lehetséges)

Eljátsszuk valamikor? Te benne hagyod a lakáskulcsod a zárban (vagy inkább a lábtörlő alatt, mert ugye ezt célzottan keresni kellett), én meg majd valamikor random bemegyek és feltúrom a kecódat. Belelapozgatok a családi fotóalbumba, mazsolázgatok a számláid és leveleid közt stb.

Megígérem, hogy nem viszek el semmit (amit esetleg észrevennél). A végén lefikázlak, hogy milyen ostoba voltál, hogy a zárban hagytad a kulcsot. Adok majd egy ajánlatot, hogy segítenék még rendbe tenni a hozzáállásod. Te majd sokallod, ezért majd még néhányszor ránézek a lakásodra, hogy biztos változtattál-e a szokásaidon. Ha pedig észreveszem, hogy nem vagy rosszul, akkor természetesen visszajárok addig, amíg észre nem veszed és fel nem jelentesz.

Te meg majd cserébe majd küldesz egy köszönőlevelet, hogy milyen kedves voltam.

--
trey @ gépház

A rossz példáknak az a bajuk, hogy nem jók. ;)
Inkább a saját lakásodban gondolkodjál! Tegyük fel, tán betöröm az ablakot, a padlóra piszkítok ... és a bekapcsolt gépeden keresztül hozzáfér(het)ek a hup felhasználók adataihoz.
És aztán 200 hupu csoportos GDPR bejelentést akaszt a nyakadba.

A valóságban bármilyen büntetés is kap a srác, minél pontosabb a vád, annál nagyobb szarban van a té. Ezért nem arról van szó, hogy ki mit csinált, hanem minél kevesebb információ alapján kell büntetést kiszabni. Ha sok az információ, akkor lesz az a jogász, aki az ügyféladatok érdekében kezd perelni.
És ez azért biztos, mert már írtam alá ilyen dokumentumot, mint üzemeltető. Bár nagyon régen volt, de a "cég érdekeit veszélyeztető", vagy "nagyobb tömegű ügyféladatot érintő" (és szó sem volt a károkozásról) esemény, amelynél én lettem volna a felelős - hat év börtönt helyezett kilátásba. Itt mindkettő fennál, csak azóta a szabályok keményedtek.

Nagyon szép ez a Robin Hood-i tett, csak semmi köze nincs a törvényességhez. Kb. mintha kipakolnád az ékszerész széfjét, mert szerinted nem védte rendesen mások ékszereit.

Egyébként meg, mintha kiemelték volna, hogy ügyféladatokhoz nem volt hozzáférése.

--
trey @ gépház

Nem, de el kéne felejteni ezt az összekacsintós, vállveregetős, "te vagy a jani, öcsém", "fasza csávó vagy", egyik percben szegény, fogalmatlan isis srác, másikban "nem gondolod, hogy olyan hülye, azért hagyta ott a nyomát" vén róka etikus hacker faszomkodást is a másik végletben, mert a hideg futkozik a hátamon tőle.

--
trey @ gépház

Pedig jól mondja. Most már eljutottál addig, hogy "kipakolnád az ékszerész széfjét" széfjét hasonlatokkal dobálózol, innen már tényleg csak abba az irányba mehet a téma, hogy erőszakolt, gyilkolt, tömeggyilkos terrorista, whatever.
Szerintem kicsit túltoltad.

Vegyük már észre, hogy nem okozott kárt, nem is akart. Mert ha csak felmerült volna benne ez, akkor nem lett volna olyan hülye, hogy a saját (nem mellesleg tés) IP-jéről, kvázi az arccal és névvel csinálja azt, amit csinált.
Talált egy hatalmas hibát az nagy tí egyik szarhalmában, még szólt is nekik erről, ennyi neki a bűne. Máglyára vele, tényleg.

Szóval, akkor mikor mehetek a lakásodba nem kárt okozni, csak beleolvashatni ebbe-abba?

Mi dolgozunk olyanokkal éppen most is, akik auditálják a rendszereinket. Láttál már olyan szerződést, amit ilyenkor aláíratnak a megbízóval, aki saját maga ellen kér auditot, hogy jogilag rendben legyenek?

Csak úgy kérdezem, mert azt látom, hogy puffogtatsz lassan egy hete a témában.

--
trey @ gépház

Azt hiszem már írtam, de ha nem akkor is csak ugyanazt tudom mondani: gyere nyugodtan, amikor csak akarsz. Ha nyitva találod az ajtót, netán a lábtörlő alatt a kulcsot, akkor bassz is le érte, meg fogom köszönni. És eskü hogy nem hívok rád rendőrt, kivéve persze ha kárt okozol.

Szerződés: a jogászok dolga, nem szoktam nézegetni. A Windows EULA-t se olvastam el, veszélyesen élek xD

Puffogásilag pedig nyugodtan tükörbe is nézhetsz, nem én jutottam el az ékszerész kirablása példáig...

sajnos a hülye példák közt mindig elsikkad az, hogy mit talált, mert statuálni szeretnének jónéhányan:

Bement a bankba, aztán kiderült, hogy nyitva volt az összes széf, benne minden irattal és értékkel együtt.

Bár ez sem jó példa, mert más résztől az egész helyzet olyan, mintha a régi idők, 1989 előtti Magyar Postájára ment volna be, ahol dolgozók sehol, széfek nyitva, értékek örizetlenül. Ugyanott a telefonhívásokba is belehallgathatna, leveleket elolvashatná. De még a csendőrök telefonhívásait és a gyevi bíró forró drótját vagy a vörös telefon vonalába is belehallgathatna vagy hívásokat indíthatna más nevében. Plusz még mindenki mozgását is követhetné, mert a megfigyelési adatok polcát és nézegethetné (mobil tornyok).

De nincs itt semmi látnivaló. Az, hogy ki hazudik nem lényeg, a statuálás, az már igen. Pedig van ez akkora botrány mint a 200 ezer kamu sim kártya. Bár abból is mi lett. Semmi. Vagy olyan régi a lyuk, hogy esetleg ezzel lehetett a homelessznek egy teherautónyi beaktivált kártyája?

Ha kicsit feljebb görgetsz, láthatod, hogy nyitott kapukat döngetsz azzal, hogy ezt pont nekem magyarázod.
Ettől függetlenül igaz az is, hogy aki ilyen mennyiségű érzékeny információt kezel, annak illene foglalkoznia a biztonsággal, és ha valaki hibát talál a rendszerében, azt nem pusztán jogi úton rendezni.
Mentesíti ez a srácot? Nem.

Programozó pistike akkor önbíráskodott volna, ha összeborította volna azt a szarhalmot. De a valóság ezzel szemben az, hogy nem okozott kárt.

Amúgy meg ja, induljon eljárás mindkettő ellen, de érdekes módon csak a kölyök ellen indult, az nagy tít nem baszogassa a hatóság. Pedig igény az vóna rá, szükség pedig még inkább...

A T nemzetstratégia partner nem bántsuk. :P

Off: Ma találkoztam az egyik legaljább gov.hu-s rendszerrel, Leírom hátha valaki magára ismer. Amikor egy országos rendszernél kliens oldalon javascriptel oldod meg a "jogosultság kezelést" például , hogy milyen körlevelet dobsz körbe hivataloknak vagy milyen rendszerüzenet jelenjen meg belépéskor (gondoltam rá , hogy átírom arra, hogy miért nem megy a gomb, de azért lehet kötél járna :)), na ott lehet valahol a legalja :). Ilyet 20 év alatt nem láttam. Nem akartam feltörni, csak próbáltam kitalálni miért nem megy az a kibaszott gomb. ;) Úgyhogy ha olvasod légy szíves az IBTV rendelkezéseinek értelmében eljárni. (Azon se lennék meglepve ha papíron ez is megfelel)

De nem is érdekel csak menjen a gomb és ne engem zaklassanak, hogy nem megy. ;)

Ja, volt már olyan nekem is, hogy küldtem volna be ügyfélpanaszt, de olyan ügyesen validálták az üzenet mezőt, hogy minimum 5000 karaktert kellett beleírni. Na, beleírtam, akkor a szerver oldal dobta vissza, hogy túl hosszú, úgyhogy átírtam a HTML-ben a validálást, beküldtem a panaszomat és még hozzáírtam, hogy esetleg legyenek kedvesek megjavítani a hibát. Javították, nem fogta át a tudatom, hogy ennek a büntetési tétele most öt év vagy kötél.

--
https://iotguru.live

Nem hiszem.
Mondjuk ha bcs. tudomására jut, akkor a nyomozóhatóságnak és/vagy az ügyészségnek hivatalból eljárást kellene indítania. És nem tudom melyik nagyobb gáz: ha ez nem bcs. (közérdekű üzem gondatlan/hanyag veszélyeztetése), vagy ha az, de a hatóság nem tartja be a törvényt...

Könyörgöm senki ne írjon több okos példát!!

:)

Az mindig szopás, amikor valakin példát akarnak statuálni, csak hogy elvegyék még a kedvét is a követöknek.

--
robyboy

Pelikán: Mennyit kapok?
Pelikán lánya: Hát az attól függ, mert lehet, hogy csak pénzbírság, de lehet, hogy a legsúlyosabb, hát szóval halál. Tetszik tudni az a kérdés, hogy apukával példát akarnak-e statuálni.
Pelikán: Micsoda? Halál?
Pelikán lánya: A statuálás a lényeg, mert aszerint kapja apuka a büntetést.

Innentől egyszerű a sztori. Ha találsz egy lyukat a T-* rendszerén, akkor nem szólsz nekik róla, hanem közzéteszed sebezhetőségként.

Gondolom nem véletlen, hogy megszüntették a rövid életű bug bounty programjukat is.

--
https://iotguru.live

Úgy gondolom, hogy érthető a feljelentés. Valaki az utcán megy, és random benyitogat az ajtókon. Amelyik nyitva van, ott bemegy a házba. (És másnap megint bemegy.) De bízom benne, hogy nem kap a gyerek komoly büntetést, gondolom felfogja a dolgot, és itt meg is állnék a büntetésekkel. Ha jól tudom, azért nem egy botnet üzemeltető minden szervert feltörő zsarolóvírus író genya hackerről van szó, akit azonnal lecsuknék ezer évre.

Oké, ki volt írva, hogy nyitva, de az is, hogy bújj be? Vagy nem tudta, hogy merre jár, és csak úgy betévedt, Ő ártatlanul internetezett, a leveleit akarta letölteni. Ez az kérés nélküli etikus hackerkedés azért furcsa dolog. Lakás, kocsi, feleség példa is volt: egy etikus hackert én is ismerek: Engem a volt szomszédom csesztetett, zárjam már a villanyóra szekrényem, mert még mindig ki tudja nyitni, és valaki ki fog velem cseszni. Egy idő után meg is szívatott (onnan tudom hogy Ő, mert a folyosóhoz viszont kettőnknek volt kulcsa :)), lekapcsolta a megszakítókat, és leengedett a hűtő. De legalább kiderült, hogy tényleg igaza volt, és nagyon örült neki. :)

Nyilvanos volt es nyitva volt, bement, majd szolt hogy jonapot, van egy kis pityputty. Erre a vezetosegnek osszeszorult az anuszrozsaja, hogy a protekciosan felvett windozpisti biztonsagi fonok miatt bukta lesz es idegbol rakuldtek a kolokre a rendoroket, akik kimaxolt hozzanemertesuk leven megallapitottak a tenyalladekot. Az ugyseg (az esz-et most hagyjuk) pedig zsigerbol, a jogot ertelmetlenne facsarva villamosszekbe kuldene, ha tehetne...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Értem, mondjuk ez tényleg nevetséges: "veszélyes a társadalomra". Maximum kíváncsi, lehet, mert fiatal. És az nem sokkal veszélyesebb, hogy valaki egy közérdekű szolgáltatás biztosítására vállalkozik, de annyit sem tudott biztosítani, hogy ne tudjon egy fiatal (tehetséges pályakezdő és etikus hacker, stb..) belépni (és a közérdekű üzemet megzavarni)? Na mindegy...

Ettől függetlenül, hogy nem megyünk be mindenhova normáliséknál.