Magyar hacker rendőrkézen


A Készenléti Rendőrség Nemzeti Nyomozó Iroda (KR NNI) Kiberbűnözés Elleni Főosztály nyomozást indított információs rendszer felhasználásával elkövetett csalás bűntette miatt D. Zsolt ellen. A 25 éves budapesti férfi 2019. december 8. és 2020. január 20. között egy műszaki cikkeket árusító webáruház informatikai rendszerét hackelte meg.

[...]

Az internetes támadás következtében az oldal úgy érzékelte, hogy a csaló az általa 22 alkalommal megrendelt nagyértékű elektronikai eszközök árát kifizette, ami valójában nem történt meg. Az így megszerzett okostelefonok, okosórák, játékkonzolok, laptopok és az ezekhez tartozó alkatrészek egy részét megtartotta saját magának – illetve ismerőseinek –, a maradékot pedig továbbértékesítésre szánta.

[...]

A rendőrök 2020. február 19-én egyszerre tartottak kutatást a férfihoz köthető több lakcímen, és lefoglalták a bűncselekményekből származó – összesen 8 millió forint értékű – elektronikai eszközöket.

Részletek itt. További részletek az RTL Híradó tegnap esti adásában, 11:01-től.

Hozzászólások

További részletek az RTL Híradó tegnap esti adásában, 11:01-től.

trey @ gépház

Szerkesztve: 2020. 02. 23., v – 08:54

Egyszerű megítélni a dolgot. Ha az értékhatárt átlépte, akkor bűnügy. Nem tudom, hogy az informatikai rész önmagában is büntetendő-e vagy minősítő tényező-e.

> Sol omnibus lucet.

Ha nem értékesítette volna tovább, akkor is az lenne. Etikusnak akkor lehetne esetleg tekinteni, ha rendelt volna egy kis értékű valamit, amit kiszállíttat, de nem vesz át. Majd ezt dokumentálva értesíti az érintett feleket. 8 millió összértékű, többszöri próbavásárlás nem életszerű akkor sem, ha nem adta tovább.

trey @ gépház

etikusnak akkor lehet tekinteni, ha előtte felkérik, szerződést kötnek, megtervezik mi fog történni, mi lesz a terv, egyeztetett időpontban DOKUMENTÁLTAN elvégzi a munkát, majd átadja a dokumentációt. ha átmegyek felásom a kertedet, joggal követelek munkabért?

Aki másnak vermet ás, az stack pointer.

Ezért írtam, hogy esetleg. A legtisztább az, amikor szerződéssel rendelkezik. Ha közüzemről van szó és mondjuk milliókat érint egy esetleges hiba feltárása, ott esetleg el tudom fogadni a "szerződés nélkül, a köz érdekében" elkövetett, de tényleg csak a feltárásra irányuló tevékenységet. Azonnali bejelentés mellett. Egyszer. És nem nyereségvágyból.

trey @ gépház

le kell szarni ha rájössz ilyenre. fenének buzgómocsingoskodni? csak beszopod a liberális jogrendszerben...

vagy ugy megoldani, hogy ip-d ne legyen visszakereshető, külföldi proxyn keresztül, vagy valami nyitott wifin az ország másik végéről.... és egyszer kell szakítani, vagy havonta-kéthavonta amig nyitva a rés...

isten nem bizonyitja rád.

Aki másnak vermet ás, az stack pointer.

" isten nem bizonyitja rád. " itt termék vásárlásáról van szó, amit valahova ki kell szállítani, amit valakinek át kell venni. A gyanu esetén (tehát a kereskedő tudja, hogy valaki nemfizetősen "vásárol" a webshopból) a második átvételnél talán, a harmadiknál meg szinte biztos, hogy lekapcsolás következik.

Pár hónapja rendeltem valamit az egyik webshopból, a visszaigazoló emailben www.valamiwebshop/rendeles/3278123 url szerepelt, mint link ahol követhetem a rendelésem állapotát. (oké a rendelés id base64-vel "titkosítva" volt)

Kipróbáltam és más id-vel rendelkező, nem saját rendelések adatait is le tudtam kérni. Reportoltam nekik, állítólag javították is.

Most akkor etikátlan voltam? 

Amit leírtál, az a megbízott IT biztonsági auditor. A véletlenszerű helyen, véletlenszerű komponensen, véletlenszerű időben elkövetett hackelésnek pont az lenne az értelme, hogy olyan hibákat fogjunk, amire az érintett nem készült fel, vagy éppen szart rá. A megbízással való, előre dokumentált hackerkedés a legtöbb esetben életszerűtlen. A fenti eset (és még sok más hasonló) is bizonyítja, hogy spontán lehet a legfájóbb hibákat, biztonsági réseket megtalálni egy rendszerben.

Etikus hacker az a hacker, aki a lehető legkisebb károkozással bebizonyítja, hogy egy rendszer feltörhető, majd erről értesíti az illetékeseket. Alapvetően ez persze a white-hat hacker definíciója, de én minden white-hat hackert alapból etikus hackernek tekintek, akár van megbízása, akár nincs.

Abban egyetértek, hogy nem követelhet munkabért, ha a hackelésben érintettnek nincs valamilyen bounty programja, ami alapján igen. Etikusnak addig tekinthető, amíg a megszerzett információkat nem osztja meg az érintetten kívül harmadik féllel és nem használja saját haszonszerzésre. Viszont az érintettől is elvárható, hogy nem azzal indít, hogy feljelenti, ha már volt olyan felelőtlen trehány disznó, hogy köpött a rendszere biztonságára, netán elspúrkodta az ehhez szükséges költségvetést az extraprofit érdekében, mindezzel százezrek, milliók személyes adatát kockáztatva, hogy az később valódi kiberbűnözők kezébe kerüljön.

Azt hittem, hogy legalább itt a HUP-on világos a többségnek, hogy valaki nem lehet etikus hacker, ha nem kérik fel az adott feladatra. Nem, akkor sem, ha nem okoz kárt és jelzi a hibát! Ez eleve kizárja az etikus hackelést, a kifejezés definíciója miatt.

Ez a leltár azonnal fájt.
Egy webshopban 20 millás kár, és leltár... Na... A "just in time as possible" világában... Nem tűnt fel, hogy valaki átvett 100 telefont? Egyszerűen a rendőrök töketlenkedhettek, amíg oltári-hatalmas-különösen-nagyértékű nem lesz a fogás.

READY.
󠀠󠀠‎‏‏‎▓

A valóságban nem ennyi a leltár. Össze szokták vezetni a könyveléssel is, adminisztrációs és könyvelési hibákat keresve.

Gondolom ez utóbbi ponton bukott le, hogy rendelés volt, de a könyvelésen hiányzott a másik lába (pénz nem volt). Egyébként ugyan ezen módszerrel találják meg, hogy mondjuk a raktár felelős lop (a saját oldalát ki tudja írni, de a másik lábat a könyvelésben nem tudja módosítani).

Zavard össze a világot: mosolyogj hétfőn.

Dolgoztam egy helyen, IT supportot adtam nekik, behívtak egyszer egy leltárra is.

Egy kb ~100 milliós éves forgalmú papír-írószer (kb 2000 féle termék) raktárépület.

Párokba állították a dolgozókat, akik egy vonalkódolvasóval végigmentek a raktáron, mindent beolvastak, darabszámot tettek mellé. Aztán párcsere, másik páros is végigment ugyanott. Ha egyezett, akkor NA és most jön a kemény dolog:

Akkor törölték az aktuális leltárkészletet és felvezették bele az új, beolvasottat. 

Akármekkora hiány lehetett volna, maga a módszer nem volt alkalmas arra, hogy akár egy tízmilliós hiányt is kibuktasson. Persze radírból sokat kellene hozzá lopni. Ez az igazi leltár :D Mindig minden megvolt!

Igazából a hackelés pont erről szól: egy meglévő interface-t nem arra hivatott módon használsz

Amúgy az ügy jogi megítélése szempontjából lényegtelen: ugyanúgy lopásnak számít az is, ha beülsz egy autóba és elhajtasz vele akkor is, ha valaki csak benne felejtette a kulcsot

A riportban elhangzik, hogy a gyerek nem is értett hozzá. Éppen ezért az fordult meg a fejemben, hogy simán láthatóan átadott kulcs-értél párokkal használhatta ki a weblapot. A szakértő célzott rá, hogy a weblap is olyan, hogy kihasználható. Nemrégiben a BKV jegy értékesítésénél volt ilyesmi: /?jegy=fizetve&ara=3ft&tipus=felnotthavi. Ezt a legostobább ember is ki tudja használni.

READY.
󠀠󠀠‎‏‏‎▓

Nemrégiben a BKV jegy értékesítésénél volt ilyesmi: /?jegy=fizetve&ara=3ft&tipus=felnotthavi

Szerintem ez hackelésnek számít, de a jog nem ismeri ezt a fogalmat.

A wikipedia szerint: "someone who explores methods for breaching defenses and exploiting weaknesses in a computer system or network."

Ez nem feltételez semmi féle tudást.

A legsikeresebb fél-magyar hacker Guccifer egy aradi taxis volt, saját elmondása szerint mindenféle technikai háttér nélkül.

"..lopásnak számít az is, ha beülsz egy autóba és elhajtasz vele akkor is, ha valaki csak benne felejtette a kulcsotm."

- nem feltétlen, ha később visszaviszed (avagy jelzed a szándékot),  akkor csak jármű önkényes elvétele. 

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Volt már olyan eset, hogy a lopást annak tényében minősítették jármű önkényes elvételére, hogy a menet közben megállított tolvajok azt nyilatkozták a rendőröknek, hogy csak kocsikázni indultak... - De egyébként igen, ha van kulcs benne és úgy viszi el, az is szándékosságot feltételez. Viszont ha nincs tudomása arról,  hogy rossz helyen jár, akkor a szándékosság nem állja meg a helyét (itt visszautalok (alább) a facebookos példára - ha a neten olyan területre tévedek, ami elszarás miatt publikussá van téve, akkor ott nem állja meg a helyét a szándékos visszaélés -szerintem legalábbis...) 

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Szerintem van a képletben még egy ember, aki egy kicsit ért az URL-ekhez is. Ő kitalálta, de parázott, ő volt a passzív. Aktív ember, épp nincs munkája vagy egyébként is csibészkedik, bevállalta. Ment is a dolog, örültek. Aztán aktív lebukott. Nem dobta fel passzívot, mert a buli elején passzív puhap@cs volt és 50-50 helyett 10%-ot kért csak, sőt lehet nem is kapott semmit, csak az elején 50e Ft-ot. Ezután passzív nem tudta azt mondani, hogy együtt csinálták.

Szerkesztve: 2020. 02. 24., h – 12:54

Az túl naiv elképzelés a részemről, ha ilyen esetekben a károsult webshop ellen is folytatnának egy rövidke kivizsgálást, hogy igen, ők mindenben megfelelően jártak el informatikai oldalról (+ akár egy GDPR megfelelőség is akár, ha már létezik). Ahogy korábban is írták mások, azért elég erősen felmerül a gyanú, hogy milyen szar rendszer lehetett az, amit most "meghekkeltek". És lássuk be, valószínűleg senkinek se hiányoznának az ilyen, vépristikék által tákolt rendszerek.

Később,ha meg tényleg komolyabb breach van és kikerülnek érzékeny adatok is, akkor meg csak küldenek egy email-t, hogy elnézést, de megszívtad?

Az túl naiv elképzelés a részemről, ha ilyen esetekben a károsult webshop ellen is folytatnának egy rövidke kivizsgálást, hogy igen, ők mindenben megfelelően jártak el informatikai oldalról (+ akár egy GDPR megfelelőség is akár, ha már létezik).

Tudtommal a BKV és a Telekom ellen sem történt ilyen vizsgálat, szóval valószínű ez nem szokás. 

> Ahogy korábban is írták mások, azért elég erősen felmerül a gyanú, hogy milyen szar rendszer lehetett az, amit most "meghekkeltek"

Több külső jel van rá, hogy a banki rendszerek is ebbe a kategóriába tartoznak én amiatt jobban aggódnék.

> Később,ha meg tényleg komolyabb breach van és kikerülnek érzékeny adatok is, akkor meg csak küldenek egy email-t, hogy elnézést, de megszívtad?

A GDRP kiterjed erre: British Airways (BA) could be slugged with a £183 million (AU$328m) fine over a data breach it disclosed in September 2018, months after the EU’s new GDOR privacy laws allowed regulators to impose fines of up to four percent of an organization’s global annual revenues. 

Arra gondoltam, hogy szerintem jó lenne, ha lenne ilyen kivizsgálás. Tudom, hogy jelenleg nem létezik ilyen.

GDPR vizsgálat csak feljelentés, vagy saját GDPR felelős által történt bejelentés után lehet csak tudtommal (de fixme). Szóval, adott esetben, ha kiküldik az emailt és nem tesz senki bejelentést a megfelelő helyen, akkor ennyi is volt.

Mondjuk szerintem az ország gazdasági/biztonsági szempontjából pozitív lenne, ha lenne egy állami szerv, ami folyamatosan teszteli a hazai vállalatokat különféle it biztonsági szempontokból (publikus sérülékenységek, általánosan elkövetett hibák) és értesít, ha hibát talál.

(ez egyébként is megtörténik, csak külföldi szervezetek által és az értesítés része kimarad)

Nem. Nem jarnank jol ezzel. Csak lenne meg egy vizfeju tarsasag, jo sok adminisztracioval, sok sok power point prezentacioval, hogy mekkora jok, milliardos koltsegvetessel, stb. Nem hianyzik ez.

Az allam inkabb oktatast adjon, vagy mas modon segitsen, a piac majd eldonti az ilyen cegek sorsat... Az orszag meg azzal jar jol, ha sok olyan ceg van ami a sajat laban megall.

Mi az a torveny amit megsertettek?

Hogy konkrét törvényt sért-e az jó kérdés, de azért adatkezelési elvárásoknak meg kell felelni (gdpr), és nyilván a webshop is tett olyan kijelentéseket (anélkül hogy tudnám melyik - tuti tett) a weboldalán, hogy "biztonságos fizetés" és a társai.

A GDPR a személyes adatokat védi.
Ha olyan sampont veszel, ahol a webshop azt írja rá, hogy "nincs több könnycsepp", aztán mégis csípi a szemet, az nem sérti a GDPR-t, mert nem került ki személyes adatod.
Ha felírják a webshopra, hogy biztonságos fizetés, és közben nem az; de személyes adataidat az előírt módon kezeli, akkor az sem sérti a GDPR-t.

Ugyanakkor ha a webshopban a rendelés URL-jét módosítva mondjuk meg tudod nézni egy másik személy rendelését (különösen, ha a neve-címe is ott van), akkor az már sérti a törvényt.

Nagy Péter

Szerintem ő is azon bukott el, hogy nem állt le a rendelésekkel.
Amikor már 2 hete rendelgetett, és nála volt vagy 1-2 millányi áru, akkor ahogy elnézem a tudósítást, simán megúszhatta volna még. Az sem derült volna ki, hogy hová lett a holmi.

Nagy Péter