Sebezhetőség bejelentés

 ( answ | 2017. augusztus 10., csütörtök - 3:15 )

Tegyük fel, hogy valaki feltár egy hibát, amivel egy igen nagy cég eszközeinek tetemes részébe be lehet lépni távolról és akármit lehet velük kezdeni. Ez ráadásul nagyon sok felhasználót érint (>10e)
Jelentenétek-e? Ha igen, akkor hol és hogyan?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Attól függ, hogy milyen cég. Ha a T-systems, akkor nem. Pusztán a negatív tapasztalatok miatt. Ha államközeli, akkor megint nem foglalkoznék vele.
Ha valami értelmes cég, akkor jelenteném. A hiba jellegéből adódik, hogy először megkeresném a cég megfelelő részlegét/vezetőjét. Egy sima e-mailt bárki elolvashat, az ügyfélszolgálaton keresztül pedig esélytelen, hogy időben eljut a megfelelő személyekhez az információ úgy, hogy azt ne tudja meg boldog-boldogtalan.
Szerintem személyesen megtenni a bejelentést felesleges. Egy nagyobb cégnél nem lehet csak úgy besétálni, esetleg azt se tudod kideríteni, hogy melyik telephelyre kellene menni.

Picit hasonló esettel én is küzdök. Xyz szolgáltató július első felében kibocsátott elektronikus számláinak aláírása érvénytelen, mert a tanúsítványt a CA visszavonta még június 30-án. Visszavont tanúsítvánnyal írtak alá számlát július 13-án. Az ügyfélszolgálatot hívtam, nem értik a problémát. E-mailt írtam, de nem reagáltak eddig rá. Csináljak belőle országos botrányt (ügyfélszámuk milliós nagyságrendű)?

Csinálj, ez fontos!

Vagy mehet a NAV-nak.

Ha feljelented őket arra vélhetően reagálnak majd. Az elektronikus számla érvényességének alapvető feltétele az érvényes aláírás.

Ne csinálj belőle botrányt, csak kérdezd meg, hogy a felelősségbiztosításuk biztosan fedezi e azt a összeget amit a NAV által esetlegesen megqrt ügyfeleik kiperelnek belőlük?

--
Gábriel Ákos

Én Asus-nak írtam egy firmware bug miatt. Meglepő módon a support értelmeset válaszolt*. Amit lehet tenni még, hogy a telefonálás során rögtön az ember főnökét kéred, tőle pedig az L2/L3 support-ot.

*: azóta nem jött ki új firmware, szóval a sikerességről nem tudok nyilatkozni.
--
http://naszta.hu

Ha magyar cég, akkor nem. Azok büszke és erős cégek, feljelentenek. Ha külföldi, akkor pedig megfelelő kontaktot keresni és elé tárni amit találtál.

Bullshit. Ha a mi cuccainkban fognál sechole-t, vagy bugot és szólnál róla nekünk, akkor megköszönnénk és mi is magyar cég vagyunk. A feljelentgetős T-Systems meg nem magyar, csak van magyar leányvállalata (vagy minek hívják ezt). Úgyhogy ez nem attól függ, hogy magyar-e a cég vagy sem.

Lehet. Én azonban házmesterországban senkinek nem szólnék. Ki tudja hol dolgozik olyan hülye közép- vagy felsővezetőként, aki rutinból feljelent? Itt mindenki fényezze magát és ha szart csinál, majd nem használjuk.

Önelégült, fontoskodó balfaszok mindenütt vannak, ez nem országfüggő. Ahogy az önkritika megléte, vagy hiánya sem.

Inkább a cég mérete lehet a kulcs; a nagy számok törvénye alapján minél nagyobb egy cég, annál nagyobb az esélye, hogy esetleg belefutsz egy szarrágóba.

+1

Jenő

A múltkori eset kapcsán a DT kikérte magának, hogy kapcsolatba hozták a két céget egymással.

Hát azt nehéz lesz megmagyarázni, hogy nincs közük egymáshoz...

A gyakorlatban tényleg nincs.

.

Nem tudom, hogy pontosan hogy megy ez, de nem lehet csak úgy ráhúzni, hogy "ez egy magyar cég", amikor egyértelműen nemzetközi gyökerei vannak. Ahogy az sem állja meg a helyét, hogy azért jelentget fel, mert "ez egy magyar cég". A felfedezett sebezhetőségek bejelentésének kezelése szempontjából ez teljesen irreleváns.

A T-Systems Magyarországnak annyira vannak nemzetközi gyökerei, hogy 5 magyar cég egyesüléséből lett:
KFKI Rendszerintegrációs Zrt., az IQSYS Zrt., ISH Informatikai Kft., a Dataplex Kft. és a Daten-Kontor Kft.

Mind régi magyar rendszerintegrátor és hasonló enterprise portfoliójú cég.

Ezt az egyesült céget vette meg a Magyar Telekom Zrt (ők az egyetlen részvényes és a 100%-os tulajdonos) és átnevezte az anyavállalat brandjének megfelelően T-Systemsnek, mert a DT portfoliójában T-Systems nevet viselnek a rendszerintegrátor és hasonló portfolióval rendelkező cégek.

Nyugodj meg, a T-Systems Magyarország ízig-vérig magyar cég.

És akkor ez mindjárt igazolja is a szálindító post tartalmát?

Tehát a nap végén:
- a DT a tulajdonos (a Magyar Telekom a DT-é),
- a T-Systems logóit/brandjét használja,
- csak azért kéne nem T-Systems-nek tartani, mert magyar cégeket vásárolt fel és rakott össze a DT.

Ez bullshit. Ezzel az erővel egy rakás multi nincs is jelen Magyarországon, csak egy kis magyar cégük, amit áttételesen épp a multi tulajdonol. Ha nem akarja a DT, hogy ez a zúg Rt. T-Systems legyen, akkor ne adja neki a brand jogokat (logó, név stb.) tulajdonosként.
--
http://naszta.hu

Nem ez a poén. Hanem a DT konszernen belül van egy top level "T-Systems International" cég, na ehhez nincs köze a "T-Systems Magyarország"-nak. mert az a Magyar Telekom leánya. Viszont van egy "IT Services Hungary" nevű cég, ami a T-Systems International magyar leánya. Igen, mindenki DT-hez tartozik, de ettől még egymás versenytársai - legalábbis konszernen belül. Ezért volt a hivatalos elhatárolódás.

Én dolgoztam már japán és amerikai multiknak. Mindenütt az volt a policy, hogy a cég vagy beleáll egy projektbe, névvel, pénzzel (ha kis projekten nagy a bukás, akkor a teljes cég felel érte), mindennel vagy egyáltalán nem. A német cégek meg fel vannak darabolva és ha valami nem jön össze, becsukják a kis boltot (pl.: Siemens is így tolja). Most csak visszanyalt a fagyi. Ez ugyanaz a T, ez a céges kultúra. Egyébként nem kell messzire menni: a Magyar Telekom 5+ éve képtelen webes felületet adni az otthoni szolgáltatásainak...
--
http://naszta.hu

2007/2008 kornyeken koszont el a T-Online weboldal es jott a megvalto Telekomos.

És ma sincs kész. A mobil rész is annyira működik csak, mint a Westel-es időkben. Igaz, a skin már más... :)
--
http://naszta.hu

Meg mindig nincs kesz ? :D

--

"You can hide a semi truck in 300 lines of code"

Sose lesz.
Ahányszor hozzányúlnak mindig csak rosszabb lesz. És hány tízmilliárdot ellop illetve dehogyis, felelősségteljesen elköltöttek már erre a rakásra...

Magyar Telekom 100%-ig tulajdonos.

A Deutsche Telekom Europe B.V. (korábbi nevén: CMobil B.V.) 100%-os tulajdonosa a Deutsche Telekom Europe Holding B.V., amelynek 100%-os Tulajdonosa a Deutsche Telekom Europe Holding GmbH (korábbi nevén T-Mobile Global Holding Nr. 2 GmbH), amelynek 100%-os tulajdonosa a Deutsche Telekom AG, így a Deutsche Telekom AG a Magyar Telekom Nyrt.-ben 59,21%-os közvetett tulajdonosi részesedéssel illetve szavazati joggal rendelkezik.

http://www.telekom.hu/rolunk/befektetoknek/magyar_telekom_reszveny/tulajdonosi_szerkezet

Tényleg 'magyar' cég.
Ide illik valakinek a régi aláírása
Az emberek 2/3-a nem tud számolni.
Gondolj bele, ez majdnem a fele.

Most komolyan, ti azt hiszitek, hogy attól, hogy egy német cég a tulajdonos, a cégbnen dolgozó emberek németek parancsára gondolkodás nélkül cselekvő droidok?
Mintha a Tescoban a bunkó pénztáros amiatt lenne bunkó, mert a Tesco tulajdonosa egy angol cég.
Nem, sajnos a BKKCrypt nevű csodás algoritmust, a feljelentést, és az egész gyökér kommunikációt magyar mérnökök követték el. Ez a nagy helyzet. Jó dolog takarózni ilyenkor azzal, hogy de hát nem is magyar cég, pedig ha bemész a budafoki úti T-Systems irodaházba, idegen szót nem igazán fogsz hallani ott.

igy van. A magyar t-systems onalloan kovette el ezt az orbitalis boszmeseget. Bar arra a meggyozodesre jutottam, hogy a jelenseg az egy magentas betegseg, ti. az anyjanak, az ungarische telekomnak is volt valami hasonlo sztorija...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Senki nem takarózik semmivel. De egy cég alapján en-bloc kijelenteni, hogy az összes magyar cég ilyen, az nettó fasság.

Te állítottad: "de nem lehet csak úgy ráhúzni, hogy "ez egy magyar cég", amikor egyértelműen nemzetközi gyökerei vannak."
Pedig de, ez egy magyar cég. Senki nem mondta, hogy ezért jobbak vagy rosszabbak bárkinél, csak annyit állít, hogy magyar cég. Az egy dolog, hogy külföldi a tulajdonosa.

> Senki nem mondta, hogy ezért jobbak vagy rosszabbak bárkinél, csak annyit állít, hogy magyar cég.

De, a threadot indító SchTamas ezt mondta. Nem azt mondta, hogy konkrétan a T-Systems azért köcsög, mert magyar, hanem en-bloc kijelentette, hogy a magyar cégek mind feljelentenének, ha lereportolnál nekik egy bugot, vagy lukat. Ami nyilvánvalóan nem igaz.

Habár alig járok Tescoba, egyáltalán nem minden pénztáros bunkó.
Amelyik az, az biztos azért, mert tudja, több munkáért 5-öd annyi fizetést kap, mint angol kollégája.
Apropó, angolok

http://hvg.hu/cegauto/20170407_Kidobtak_egy_tevet_egy_ablakon_Budapesten_bulizo_angolok_ami_megrongalt_egy_autot

Az biztos hogy magyar "mérnökök" követték el a hibát, de lássuk csak, ki ennek a magyar cégcsoportnak a mindenért felelős vezetője?

MENEDZSMENT
Christopher Mattheisen Vezérigazgató

Ősi magyar név lehet

"Nem, sajnos a BKKCrypt nevű csodás algoritmust, a feljelentést, és az egész gyökér kommunikációt magyar mérnökök követték el."

Szerintem nem mérnökök. Az biztos, hogy magyarok, ez az egész olyan "magyarosch"...

Meg eleve a Telekom az NyRT, mivel jelen van a tőzsdén.

a szomorú, számomra sem nyilvánvaló helyzet az hogy a T-sys hu-nak több köze van a magyar telekomhoz mint a t globalhoz.. szóval a "helyi hülyék" gyülekezete
https://www.youtube.com/watch?v=QKKS91MOutg

Hát az simán lehet, hogy összegyűjtötték a helyi hülyéket.

nem leányvállalat, valami gitt1let frencsályzolja a dííízálynt, még a rózsaszín föstéket is úgy bérelik ...
a DT elhatárolódott tőlük ... lejjebb van róla szó
//magyar céggel 1ébként lehet beszélni, amelyikkel nem lehet, az nem az, csak itt van, és fogyasztja CO2 kvótát ...//
:):):)
_____________________
www.pingvinpasztor.hu

Nem tudom, hogy hogy van pontosan. Én csak arra céloztam, hogy ezt így nem lehet kijelenteni, hogy egy cég azért köcsög, mert magyar.

Ilyenkor magyar cég.
Ha gazdaságról van szó, akkor német.
Akkor az a mantra, német cégek lélegeztetőgépén lóg a magyar gazdaság.
Amiben van is igazság.

A gazdasági rész nekem sajnos kínai...

Időt takarítunk meg, ha egyből a rendőrségre megyek, önfeljelenteni magamat...

Igazából még több időt takarítunk meg, ha egyből elítéled magad 2-től 8 évig és leülöd helyben, akkor a hatalmi végrehajtást se terheled.

Tegyél magadra szoros bilincset és ülj 8 évig egy helyben. Az a tuti

Soros bilincs:)

Multkor volt egy allami anonim jelento oldal. Talan ok tudnak majd legalis kapcsolatot kialakitani es nekik meg valoban anonim tufod bejelenteni persze csak megfelelo halozaton keresztul.

+1

Én nem leszek álszent: eladnám annak, aki a legtöbbet adja érte.

Well done (miert nincs hanyos smiley?)

"Koztunk marad" ... lol.

+1 :)

--
ESET és Synology hivatalos viszonteladó

Igazad van. Más is ezt teszi, akkor minek a nagy szenteskedés?...

--
openSUSE 42.1 x86_64

Koszonom a hozzaszolasokat, azert nevetseges hogy ez van ma Magyarorszagon.

Ha egy rosszindulatu ember talalja meg a hibat, akkor akar honapokra allithatja le a ceg szolgaltatasat, mert minden egyes ugyfelnel helyszini javitast lehet generalni..

..akkor ez inkább feature. Lásd még: kátyúzás
--
God bless you, Captain Hindsight..

Nem hiszem, hogy a biztonsagi resek orszagfuggoek lennenek.

Nem arra értettem. Hanem hogy nem lehet bejelenti.

Lehet, csak érvénybe lép ennek az országnak az alaptörvénye: ha becsületes vagy, Te szívod meg.

Szerintem a bejelentés után két órával mindenképpen legyen full disclosure a sajtó felé is!

A tré-bkk esetben a gyereket pont így meszelték el.

Nem véletlenül hoztam szóba, a fenti "magyarországon minden cég g*ci" című eszmefuttatásra reakcióképpen.
Azt mindenki nagyvonalúan "kifelejtette", hogy a csávó szerint a level 1 supportra bejelentve egy ilyen hibát, péntek délután elég két óra a teljes javításig.

nehéz kérdés a felelős+hatékony disclosure. Nekem kinntről hadd ne kelljen már tisztában lennem azzal hogy hányszintes alvállalkozói struktúrája van egy cégnek. ha bejelentek valamit és arra annyit sem válaszolnak hogy böf / automata válasz jön hogy majd 30nap múlva talán válaszolunk akkor érdekes kérdés hogy mihez kezdesz. Ha teszem azt 30nap után rakják ki a "javítást" és az alatt hasonló méretű forgalom keletkezik majd közben szivárog kifelé azzal jobb lett? persze a felelős cégnek igen mert nem romlott le -amúgy teljesen megérdemelten- a semmire alapozott image.

+1

mennyi idő telt el pontosan a BKK-nak és az indexnek írt emailek között? :)

Pár óra legalább. Ha egy frissen élesbe tett rendszer esetében nincs pár óra alatt válasz egy biztonsági problémára, akkor mikorra várható? 30 napon belül, vagy hogy is képzelik ezt el az állami cégek?

De amúgy meg: kit érdekel? A srác csak bemondta, hogy a király meztelen. Miután az index ezt lehozta, valszeg senki épeszű ember nem próbálta meg "F12-vel meghekkelni" ezt a csodát, mert érvénytelen bérletért (és esetleg egy feljelentésért) 50 Ft is sok...

Konkrétan közérdekű az, hogy ilyen hibával (szerveroldali validálás hiánya) élesbe tettek egy rendszert. Ez ugyanis olyan hiba, ami indikátor: ha ezt elbaszták, akkor mit még? Ez egy nagy büdös felkiáltójel, hogy bajvanbazmeg, ezt a szart messziről kerüld el.

Három dolgot baszott el a srác:
1. a bankos felületen megadta a kártyaadatait, azaz vásárolt
2. szólt a bkv-nak
3. miután ezt észrevette nem ment el egy free wifi kocsmába, ahol ezt tor-on keresztül nem játszotta el megint, majd toron nem csinált egy eldobható email-t és nem azon keresztül küldte el az indexnek.

Ha jól tudom egy "műkedvelő" 18 éves középiskolás srácról van szó. 18 éves koromban én nem voltam tisztában a "responsible disclosure" szabályaival, pedig már évek óta kockultam. Ehhez képest szerintem nem csinálta rosszul. Szólt a cégnek, és szólt a sajtónak, mert úgy látta, hogy ez egy kritikus hiba (az volt). És igen, 18 évesen a 15 perc hírnév is közrejátszik, ne legyünk már álszentek. De kitolhatta volna rögtön Facebookra/Twitterre is, nem tette.

Az, hogy a level 1 supportja a BKK-nak olyan, hogy a biztonsági fenyegetések nem kerülnek azonnal az biztonsági ügyeletes kezébe, aki nem azonnal kontaktálja a bejelentőt, nem a srác hibája. Nyilván nem megoldással kell ilyenkor jelentkezni, hanem:
- megköszönni a bejelentést
- megtudni további részleteket
- megköszönni még egyszer
- megtudni kinek szólt eddig
- biztosítani arról, hogy nem fogják feljelenteni, és szeretnének vele együttműködni
- ha még nem szólt senkinek, akkor egy határidőt megbeszélni, amig megkéred, hogy ne szóljon senkinek, és addig mindenképpen jelentkezni nála.

A péntek délután nincs biztonsági ügyelet részre inkább nem reagálnék. Hekker Marci nyilván csak H-P: 8-16 között fog támadni, de péntek 12-től már inkább nem, mert tudja, hogy jön a hétvége, és már mindenki menne haza... :)

Az, hogy az Index nem fact-csekkol, és nem beszél a BKK Sajtóügyelettel (vagy ha beszélt, akkor a Sajtóügyeletnek nem volt annyi esze, hogy "várj, 5 perc és visszahívlak" -> biztonsági ügyeletes -> "lécci még ne hozzátok le, kaptok érte exkluzív Tarlós kitűzőt"), megint nem a srác hibája.

+1

Az a nem pite ebben hogy gyakorlatilag a hatter nagysaga miatt, alapbol egy adatkozpontban kell hogy legyenek a vasak, amik ezt a rendszert kiszolgaljak, tehat mindenkeppen van 24 oras felugyelet a rendszerhez.

Ha csak es kizarolag a vasak vannak felugyelve az adatkozpontbol es a szoftveres reszt a t-system latja el (ez a valoszinubb), akkor a szoftver felugyeleti emailes problemakat a NOC reszleghez kell(ett volna) iranyitani, akik ezt folyamatosan tudjak kovetni es be tudtak volna avatkozni, ha szukseges.

Komolyan hany NOC kozpontja lehet a T-nek, ami 24/7-ben megy? Ez az egesz cirkusz, csak es kizarolag tervezesi es management hibakra vezetheto vissza.
Ha mas nem, de legalabb egy CC-s email a NOC kozpontba, akkor onnan legalabb tudtak volna reagalni hogy mi a teendo egy ilyen szintu gebasznal.

+1

Hagy legyek ironikus a tényleges kortárs magyar történések ismeretében:
- bejelented, ami után lehet hogy feljelentenek és 8 év börtönnel fenyegetnek
- félsz hogy meghurcolnak, inkább csendben maradsz és elfelejted
- eladod az információt, lesz belőle egy halom bitcoinod

inkább "hadd" legyél, de lehet hogy inkább rádhagyom :)

--
ESET és Synology hivatalos viszonteladó

https://zerodium.com/

Itt kell jelenteni :D
--

"You can hide a semi truck in 300 lines of code"

No tessék, ezt pedig nem csukják le: http://majorfanni.blog.hu/2017/07/25/igy_vegyel_okos_kulcstartot_90_ft-ert?utm_source=0fanniben0808&utm_medium=ob&utm_campaign=0808

Pedig itt is egy bug lesz a háttérben, amit a divatos néni felfedezett, de nem szól róla, hanem bíztatja az ismerőseit, hogy használják ki! Elintézi ennyivel: "Aki pedig egy ilyen dolgot elront, az magára vessen, nem tudom sajnálni őket :D"

Sima reklámnak tűnik... Kapsz egy gagyiságot ajándékba, de ha már ott vagy, nyilván veszel más gizgazt is, hogy legalább az említett 2eFt összejöjjön (az ingyen kiszállításhoz), de remélhetőleg annál sokkal több: aki okoskulcstartóra és szelfibotra vágyik, az jó esély megveszi a digitális horkoláscsökkentőt vagy az okoskrumplihámozót is.

Igen, nekem is ez jutott az eszembe, de ilyen csomagolásban ez milyen már. :)

Fashion blogokat olvasol..? :D

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

:) Nem, FB dobta elém és valamiért belenéztem. Ja, mert én fent vagyok FB-n, sajnálom. Nem félek a profilozástól.

és valamiért belenéztem

Na ott basztad el...

Egyértelmű, hogy nem jelenteném nekik a hibát. Persze nem is publikálnám, sem nem adnám el. Ingyen nem okosítanék cégeket, feljelentési kockázattól eltekintve sem. Azért fizetik a nagyon képzett informatikusaikat, hogy biztonságos infrastruktúrát biztosítsanak.


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

A BME-n van CrySys Lab: https://www.crysys.hu/

Szerintem ők szívesen segítenek egy responsible disclosure összehozásában.

Ügyvéddel, csakis ügyvéddel. Aláírt szerződés nélkül semmilyen konkrétumot nem árulnék el senkinek.
Ne a szerződéskötés feltétele legyen a konkrétum kiadása hanem a fizetésé.
Aláírt szerződéssel per def "white hat" hacker vagy.

Ha nem szerződnek akkor "nem mondtam semmit" és ennyi. Vagy megeszi őket a kíváncsiság vagy nem, onnantól nem a te dolgod.
Azt megmondhatod hogy van egy hónapjuk visszajelezni utána mivel rövid a memóriád, elfelejted az egészet.

Ez a módszer nem 100% arra hogy pénzed lesz a felfedezésből de biztonságos.
--
Gábriel Ákos