Sebezhetőség bejelentés

Közösségi kerekasztal

Tegyük fel, hogy valaki feltár egy hibát, amivel egy igen nagy cég eszközeinek tetemes részébe be lehet lépni távolról és akármit lehet velük kezdeni. Ez ráadásul nagyon sok felhasználót érint (>10e)
Jelentenétek-e? Ha igen, akkor hol és hogyan?

  • 3849 megtekintés

( n.balazs v | 2017. 08. 10., cs – 04:59 )

Attól függ, hogy milyen cég. Ha a T-systems, akkor nem. Pusztán a negatív tapasztalatok miatt. Ha államközeli, akkor megint nem foglalkoznék vele.
Ha valami értelmes cég, akkor jelenteném. A hiba jellegéből adódik, hogy először megkeresném a cég megfelelő részlegét/vezetőjét. Egy sima e-mailt bárki elolvashat, az ügyfélszolgálaton keresztül pedig esélytelen, hogy időben eljut a megfelelő személyekhez az információ úgy, hogy azt ne tudja meg boldog-boldogtalan.
Szerintem személyesen megtenni a bejelentést felesleges. Egy nagyobb cégnél nem lehet csak úgy besétálni, esetleg azt se tudod kideríteni, hogy melyik telephelyre kellene menni.

Picit hasonló esettel én is küzdök. Xyz szolgáltató július első felében kibocsátott elektronikus számláinak aláírása érvénytelen, mert a tanúsítványt a CA visszavonta még június 30-án. Visszavont tanúsítvánnyal írtak alá számlát július 13-án. Az ügyfélszolgálatot hívtam, nem értik a problémát. E-mailt írtam, de nem reagáltak eddig rá. Csináljak belőle országos botrányt (ügyfélszámuk milliós nagyságrendű)?

( naszta v | 2017. 08. 10., cs – 06:13 )

Én Asus-nak írtam egy firmware bug miatt. Meglepő módon a support értelmeset válaszolt*. Amit lehet tenni még, hogy a telefonálás során rögtön az ember főnökét kéred, tőle pedig az L2/L3 support-ot.

*: azóta nem jött ki új firmware, szóval a sikerességről nem tudok nyilatkozni.
--
http://naszta.hu

( SchTamas | 2017. 08. 10., cs – 06:29 )

Ha magyar cég, akkor nem. Azok büszke és erős cégek, feljelentenek. Ha külföldi, akkor pedig megfelelő kontaktot keresni és elé tárni amit találtál.

Bullshit. Ha a mi cuccainkban fognál sechole-t, vagy bugot és szólnál róla nekünk, akkor megköszönnénk és mi is magyar cég vagyunk. A feljelentgetős T-Systems meg nem magyar, csak van magyar leányvállalata (vagy minek hívják ezt). Úgyhogy ez nem attól függ, hogy magyar-e a cég vagy sem.

Nem tudom, hogy pontosan hogy megy ez, de nem lehet csak úgy ráhúzni, hogy "ez egy magyar cég", amikor egyértelműen nemzetközi gyökerei vannak. Ahogy az sem állja meg a helyét, hogy azért jelentget fel, mert "ez egy magyar cég". A felfedezett sebezhetőségek bejelentésének kezelése szempontjából ez teljesen irreleváns.

A T-Systems Magyarországnak annyira vannak nemzetközi gyökerei, hogy 5 magyar cég egyesüléséből lett:
KFKI Rendszerintegrációs Zrt., az IQSYS Zrt., ISH Informatikai Kft., a Dataplex Kft. és a Daten-Kontor Kft.

Mind régi magyar rendszerintegrátor és hasonló enterprise portfoliójú cég.

Ezt az egyesült céget vette meg a Magyar Telekom Zrt (ők az egyetlen részvényes és a 100%-os tulajdonos) és átnevezte az anyavállalat brandjének megfelelően T-Systemsnek, mert a DT portfoliójában T-Systems nevet viselnek a rendszerintegrátor és hasonló portfolióval rendelkező cégek.

Nyugodj meg, a T-Systems Magyarország ízig-vérig magyar cég.

Tehát a nap végén:
- a DT a tulajdonos (a Magyar Telekom a DT-é),
- a T-Systems logóit/brandjét használja,
- csak azért kéne nem T-Systems-nek tartani, mert magyar cégeket vásárolt fel és rakott össze a DT.

Ez bullshit. Ezzel az erővel egy rakás multi nincs is jelen Magyarországon, csak egy kis magyar cégük, amit áttételesen épp a multi tulajdonol. Ha nem akarja a DT, hogy ez a zúg Rt. T-Systems legyen, akkor ne adja neki a brand jogokat (logó, név stb.) tulajdonosként.
--
http://naszta.hu

Nem ez a poén. Hanem a DT konszernen belül van egy top level "T-Systems International" cég, na ehhez nincs köze a "T-Systems Magyarország"-nak. mert az a Magyar Telekom leánya. Viszont van egy "IT Services Hungary" nevű cég, ami a T-Systems International magyar leánya. Igen, mindenki DT-hez tartozik, de ettől még egymás versenytársai - legalábbis konszernen belül. Ezért volt a hivatalos elhatárolódás.

Én dolgoztam már japán és amerikai multiknak. Mindenütt az volt a policy, hogy a cég vagy beleáll egy projektbe, névvel, pénzzel (ha kis projekten nagy a bukás, akkor a teljes cég felel érte), mindennel vagy egyáltalán nem. A német cégek meg fel vannak darabolva és ha valami nem jön össze, becsukják a kis boltot (pl.: Siemens is így tolja). Most csak visszanyalt a fagyi. Ez ugyanaz a T, ez a céges kultúra. Egyébként nem kell messzire menni: a Magyar Telekom 5+ éve képtelen webes felületet adni az otthoni szolgáltatásainak...
--
http://naszta.hu

Magyar Telekom 100%-ig tulajdonos.

A Deutsche Telekom Europe B.V. (korábbi nevén: CMobil B.V.) 100%-os tulajdonosa a Deutsche Telekom Europe Holding B.V., amelynek 100%-os Tulajdonosa a Deutsche Telekom Europe Holding GmbH (korábbi nevén T-Mobile Global Holding Nr. 2 GmbH), amelynek 100%-os tulajdonosa a Deutsche Telekom AG, így a Deutsche Telekom AG a Magyar Telekom Nyrt.-ben 59,21%-os közvetett tulajdonosi részesedéssel illetve szavazati joggal rendelkezik.

http://www.telekom.hu/rolunk/befektetoknek/magyar_telekom_reszveny/tula…

Tényleg 'magyar' cég.
Ide illik valakinek a régi aláírása
Az emberek 2/3-a nem tud számolni.
Gondolj bele, ez majdnem a fele.

Most komolyan, ti azt hiszitek, hogy attól, hogy egy német cég a tulajdonos, a cégbnen dolgozó emberek németek parancsára gondolkodás nélkül cselekvő droidok?
Mintha a Tescoban a bunkó pénztáros amiatt lenne bunkó, mert a Tesco tulajdonosa egy angol cég.
Nem, sajnos a BKKCrypt nevű csodás algoritmust, a feljelentést, és az egész gyökér kommunikációt magyar mérnökök követték el. Ez a nagy helyzet. Jó dolog takarózni ilyenkor azzal, hogy de hát nem is magyar cég, pedig ha bemész a budafoki úti T-Systems irodaházba, idegen szót nem igazán fogsz hallani ott.

igy van. A magyar t-systems onalloan kovette el ezt az orbitalis boszmeseget. Bar arra a meggyozodesre jutottam, hogy a jelenseg az egy magentas betegseg, ti. az anyjanak, az ungarische telekomnak is volt valami hasonlo sztorija...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Te állítottad: "de nem lehet csak úgy ráhúzni, hogy "ez egy magyar cég", amikor egyértelműen nemzetközi gyökerei vannak."
Pedig de, ez egy magyar cég. Senki nem mondta, hogy ezért jobbak vagy rosszabbak bárkinél, csak annyit állít, hogy magyar cég. Az egy dolog, hogy külföldi a tulajdonosa.

> Senki nem mondta, hogy ezért jobbak vagy rosszabbak bárkinél, csak annyit állít, hogy magyar cég.

De, a threadot indító SchTamas ezt mondta. Nem azt mondta, hogy konkrétan a T-Systems azért köcsög, mert magyar, hanem en-bloc kijelentette, hogy a magyar cégek mind feljelentenének, ha lereportolnál nekik egy bugot, vagy lukat. Ami nyilvánvalóan nem igaz.

Habár alig járok Tescoba, egyáltalán nem minden pénztáros bunkó.
Amelyik az, az biztos azért, mert tudja, több munkáért 5-öd annyi fizetést kap, mint angol kollégája.
Apropó, angolok

http://hvg.hu/cegauto/20170407_Kidobtak_egy_tevet_egy_ablakon_Budapeste…

Az biztos hogy magyar "mérnökök" követték el a hibát, de lássuk csak, ki ennek a magyar cégcsoportnak a mindenért felelős vezetője?

MENEDZSMENT
Christopher Mattheisen Vezérigazgató

Ősi magyar név lehet

nem leányvállalat, valami gitt1let frencsályzolja a dííízálynt, még a rózsaszín föstéket is úgy bérelik ...
a DT elhatárolódott tőlük ... lejjebb van róla szó
//magyar céggel 1ébként lehet beszélni, amelyikkel nem lehet, az nem az, csak itt van, és fogyasztja CO2 kvótát ...//
:):):)
_____________________
www.pingvinpasztor.hu

( NevemTeve | 2017. 08. 10., cs – 06:41 )

Időt takarítunk meg, ha egyből a rendőrségre megyek, önfeljelenteni magamat...

( freeoli v | 2017. 08. 10., cs – 07:02 )

Multkor volt egy allami anonim jelento oldal. Talan ok tudnak majd legalis kapcsolatot kialakitani es nekik meg valoban anonim tufod bejelenteni persze csak megfelelo halozaton keresztul.

( ncc1701 | 2017. 08. 10., cs – 12:32 )

Én nem leszek álszent: eladnám annak, aki a legtöbbet adja érte.

( answ | 2017. 08. 10., cs – 13:49 )

Koszonom a hozzaszolasokat, azert nevetseges hogy ez van ma Magyarorszagon.

Ha egy rosszindulatu ember talalja meg a hibat, akkor akar honapokra allithatja le a ceg szolgaltatasat, mert minden egyes ugyfelnel helyszini javitast lehet generalni..

( gelei v | 2017. 08. 10., cs – 14:30 )

Szerintem a bejelentés után két órával mindenképpen legyen full disclosure a sajtó felé is!

nehéz kérdés a felelős+hatékony disclosure. Nekem kinntről hadd ne kelljen már tisztában lennem azzal hogy hányszintes alvállalkozói struktúrája van egy cégnek. ha bejelentek valamit és arra annyit sem válaszolnak hogy böf / automata válasz jön hogy majd 30nap múlva talán válaszolunk akkor érdekes kérdés hogy mihez kezdesz. Ha teszem azt 30nap után rakják ki a "javítást" és az alatt hasonló méretű forgalom keletkezik majd közben szivárog kifelé azzal jobb lett? persze a felelős cégnek igen mert nem romlott le -amúgy teljesen megérdemelten- a semmire alapozott image.

Pár óra legalább. Ha egy frissen élesbe tett rendszer esetében nincs pár óra alatt válasz egy biztonsági problémára, akkor mikorra várható? 30 napon belül, vagy hogy is képzelik ezt el az állami cégek?

De amúgy meg: kit érdekel? A srác csak bemondta, hogy a király meztelen. Miután az index ezt lehozta, valszeg senki épeszű ember nem próbálta meg "F12-vel meghekkelni" ezt a csodát, mert érvénytelen bérletért (és esetleg egy feljelentésért) 50 Ft is sok...

Konkrétan közérdekű az, hogy ilyen hibával (szerveroldali validálás hiánya) élesbe tettek egy rendszert. Ez ugyanis olyan hiba, ami indikátor: ha ezt elbaszták, akkor mit még? Ez egy nagy büdös felkiáltójel, hogy bajvanbazmeg, ezt a szart messziről kerüld el.

Három dolgot baszott el a srác:
1. a bankos felületen megadta a kártyaadatait, azaz vásárolt
2. szólt a bkv-nak
3. miután ezt észrevette nem ment el egy free wifi kocsmába, ahol ezt tor-on keresztül nem játszotta el megint, majd toron nem csinált egy eldobható email-t és nem azon keresztül küldte el az indexnek.

Ha jól tudom egy "műkedvelő" 18 éves középiskolás srácról van szó. 18 éves koromban én nem voltam tisztában a "responsible disclosure" szabályaival, pedig már évek óta kockultam. Ehhez képest szerintem nem csinálta rosszul. Szólt a cégnek, és szólt a sajtónak, mert úgy látta, hogy ez egy kritikus hiba (az volt). És igen, 18 évesen a 15 perc hírnév is közrejátszik, ne legyünk már álszentek. De kitolhatta volna rögtön Facebookra/Twitterre is, nem tette.

Az, hogy a level 1 supportja a BKK-nak olyan, hogy a biztonsági fenyegetések nem kerülnek azonnal az biztonsági ügyeletes kezébe, aki nem azonnal kontaktálja a bejelentőt, nem a srác hibája. Nyilván nem megoldással kell ilyenkor jelentkezni, hanem:
- megköszönni a bejelentést
- megtudni további részleteket
- megköszönni még egyszer
- megtudni kinek szólt eddig
- biztosítani arról, hogy nem fogják feljelenteni, és szeretnének vele együttműködni
- ha még nem szólt senkinek, akkor egy határidőt megbeszélni, amig megkéred, hogy ne szóljon senkinek, és addig mindenképpen jelentkezni nála.

A péntek délután nincs biztonsági ügyelet részre inkább nem reagálnék. Hekker Marci nyilván csak H-P: 8-16 között fog támadni, de péntek 12-től már inkább nem, mert tudja, hogy jön a hétvége, és már mindenki menne haza... :)

Az, hogy az Index nem fact-csekkol, és nem beszél a BKK Sajtóügyelettel (vagy ha beszélt, akkor a Sajtóügyeletnek nem volt annyi esze, hogy "várj, 5 perc és visszahívlak" -> biztonsági ügyeletes -> "lécci még ne hozzátok le, kaptok érte exkluzív Tarlós kitűzőt"), megint nem a srác hibája.

Az a nem pite ebben hogy gyakorlatilag a hatter nagysaga miatt, alapbol egy adatkozpontban kell hogy legyenek a vasak, amik ezt a rendszert kiszolgaljak, tehat mindenkeppen van 24 oras felugyelet a rendszerhez.

Ha csak es kizarolag a vasak vannak felugyelve az adatkozpontbol es a szoftveres reszt a t-system latja el (ez a valoszinubb), akkor a szoftver felugyeleti emailes problemakat a NOC reszleghez kell(ett volna) iranyitani, akik ezt folyamatosan tudjak kovetni es be tudtak volna avatkozni, ha szukseges.

Komolyan hany NOC kozpontja lehet a T-nek, ami 24/7-ben megy? Ez az egesz cirkusz, csak es kizarolag tervezesi es management hibakra vezetheto vissza.
Ha mas nem, de legalabb egy CC-s email a NOC kozpontba, akkor onnan legalabb tudtak volna reagalni hogy mi a teendo egy ilyen szintu gebasznal.

( lyken | 2017. 08. 10., cs – 16:12 )

Hagy legyek ironikus a tényleges kortárs magyar történések ismeretében:
- bejelented, ami után lehet hogy feljelentenek és 8 év börtönnel fenyegetnek
- félsz hogy meghurcolnak, inkább csendben maradsz és elfelejted
- eladod az információt, lesz belőle egy halom bitcoinod

Sima reklámnak tűnik... Kapsz egy gagyiságot ajándékba, de ha már ott vagy, nyilván veszel más gizgazt is, hogy legalább az említett 2eFt összejöjjön (az ingyen kiszállításhoz), de remélhetőleg annál sokkal több: aki okoskulcstartóra és szelfibotra vágyik, az jó esély megveszi a digitális horkoláscsökkentőt vagy az okoskrumplihámozót is.

( Raynes v | 2017. 08. 11., p – 07:22 )

Egyértelmű, hogy nem jelenteném nekik a hibát. Persze nem is publikálnám, sem nem adnám el. Ingyen nem okosítanék cégeket, feljelentési kockázattól eltekintve sem. Azért fizetik a nagyon képzett informatikusaikat, hogy biztonságos infrastruktúrát biztosítsanak.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

( gabrielakos v | 2017. 08. 11., p – 11:05 )

Ügyvéddel, csakis ügyvéddel. Aláírt szerződés nélkül semmilyen konkrétumot nem árulnék el senkinek.
Ne a szerződéskötés feltétele legyen a konkrétum kiadása hanem a fizetésé.
Aláírt szerződéssel per def "white hat" hacker vagy.

Ha nem szerződnek akkor "nem mondtam semmit" és ennyi. Vagy megeszi őket a kíváncsiság vagy nem, onnantól nem a te dolgod.
Azt megmondhatod hogy van egy hónapjuk visszajelezni utána mivel rövid a memóriád, elfelejted az egészet.

Ez a módszer nem 100% arra hogy pénzed lesz a felfedezésből de biztonságos.
--
Gábriel Ákos