" »Hibáztunk« – először beszél a hekkerbotrányról a T-Systems vezére"

 ( zitev | 2018. július 12., csütörtök - 10:18 )

"Olyan szintű és mennyiségű tranzakcióról, illetve kibertámadásról beszélek, amiket már nem lehet házi, barkácsolt rendszereken megvalósítani."
- elgondolkodtató, hogy vajon emberünk képben van-e teljesen arról, amiről beszél - milyen lehet az a "házilag barkácsolt" rendszer, amiről szerinte a "kibertámadásokat" meg szokták valósítani, és milyen az, ami már nem ilyen... :)

http://m.hvg.hu/gazdasag/20180712_Komoly_nyomot_hagyott_rajtunk__mit_uzen_a_TSystems_vezer_a_18_eves_hekkernek

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Remelem valami ilyesmire gondolt: https://www.youtube.com/watch?v=msX4oAXpvUE

Azaz... :D

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

:DD

ez a negykezes egy igazi bravur..

Most képzeld, milyen nehéz lehet ezt a sorozatot nyomozóként nézni... :)

:D jogos felvetes

Hackelesben szerintem ez a kiraly:
https://youtu.be/zfy5dFhw3ik

Amatőrök, ez a mindent vivő Nokia + rágópapír ;)


No rainbow, no sugar

:D ez se rossz

milyen lehet az a "házilag barkácsolt" rendszer, amiről szerinte a "kibertámadásokat" meg szokták valósítani, és milyen az, ami már nem ilyen

Én inkább arra lennék kíváncsi, hogy 9-10 gigás telekomos előfizetésről indított ddos/esetleg vásárlási tranzakciót megvalósító kérés minek minősül? Ugyebár házon belül gyakorlatilag 10 darab ilyen előfizetéssel 1,8Gbps sávszéllel lehetne bombázni a szervert. Nálam ez egyébként még a "házilag barkácsolt" kategória.
Ehhez ha még hozzájön pár "elkeseredett" egyén máshonnan is, akik mindenáron vásárolni akarnának, akkor már bukta van, pedig ekkor még nem beszélhetünk masszív támadásról.


Vizsgára felkészülés végett keresek "kidobásra" szánt menedzselhető Cisco switch-eket és routereket, leginkább Pest és Bács-Kiskun megye területén.

Vélhetőleg pontosan ilyesmi okozott túlterhelést a rendszerükben, a hírverés miatt megnövekedett érdeklődés leddosolta az alulméretezett rendszert, és erre jön a klasszikus, misztifikált magyarázat, csakúgy mint a szerencsétlen 18 éves srácot folyamatosan hekkernek titulálani...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

A túlterheléses része jó eséllyel így lehetett. Amit meg a gyerekkel műveltek... Aki egy kicsit kíváncsibb, az rájön az ilyenekre. Nem hiszem, hogy egy jobb katt->elem vizsgálata, majd összeg átírása akkora nagy hekkerség lenne.

Természetesen az országban csak h.lyék vannak, akik erre nem lehetnek képesek.
Csak azt nem tudom, hogy csak nekem voltak olyan tanáraim középsuliban+felsőoktatásban, akik azzal kezdték, hogy "minden felhasználó irányából származó adat veszélyes, így alkalmazás/backend/szerver oldalon feltétlenül ellenőrizni kell"? Továbbá még az is elhangzott állandóan, hogy a felhasználói oldalon levő ellenőrzés csak kényelmi dolog, arra nincs ráhatása a felhasználón kívül senkinek.
Ha viszont máshol ez nem hangzik el, akkor én tuti a felső 1%-tól tanulhattam (nem így érzem) :D.


Vizsgára felkészülés végett keresek "kidobásra" szánt menedzselhető Cisco switch-eket és routereket, leginkább Pest és Bács-Kiskun megye területén.

Azzal mentegetőzik, hogy ismeretlen tettes ellen tettek feljelentést, közben már régen tudták, hogy egy szerencsétlen gyerek talált óvodás hibát a rendszerükben. Persze pánikba estek, hogy bukják a partit és elkezdtek kapkodni, hogy még mielőtt rájuk dől a szar, produkáljanak egy bűnbakot (persze a csapatból még mindig nincs felelős és a projektért minimum felelősséggel tartozó felsővezető is az újságban hülyíti a népet, ahelyett, hogy végre elegánsan dobbantana).

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Mondhatta volna az alábbiakat is, csak ez eléggé sz@rul hangzik. :-)

„Tulajdonképpen ez egy webshop, amiből valószínűleg néhány millió működik már a világban. Csak annyi az eltérés, hogy itt BKV jegyeket és bérleteket lehet venni a regisztráció után. Könnyítés, hogy nem kell személyzetet fenntartani, akik a raktárban összeválogatják a megvásárolt termékeket, majd pedig csomagolják, és postázzák. Elegendő a visszaigazoló email-ben egy QR kódot küldeni. Ez sajnos túl nagy feladat volt a számunkra.”

Ez már egy kicsit jobb:

„A londoni rendszer már évek óta bizonyított és többé-kevésbé jól működik, de azt egy sokkal nagyobb városra méretezték, így nem lett volna jó hasonlót kiépíteni. Mi inkább valami újat, modernebbet akartunk. Sajnos kiderült, hogy a magyarok többsége még nem elég érett egy ilyen rendszer használatára.”

Hogy pozitív is legyek, a javaslatom (bár kérdéses, hogy olvassák-e a HUP-ot):

Az új rendszer beüzemelése előtt minden budapesti lakosnak küldjenek egy levelet (a hogyanról kérdezzék a regnáló miniszterelnököt), amelyben pontosan leírják, hogy az adott személy melyik nap, melyik kétórás időablakban regisztrálhat a webshopba. A levélben legyen egy kód, amit a regisztráció első lépéseként kell megadni. Ha a kód nem az adott időablakhoz tartozik, akkor x percig ne engedjen az adott IP-ről újabb regisztrációs kísérletet. Vidékiek csak akkor regisztrálhatnak, ha már a budapestieknek biztosított időkeret lejárt.

Ezen előzetes intézkedéssel megakadályozható, hogy mindenki ész nélkül, azonnal regisztráljon a webshopba. A regisztrációs időszak hosszát tetszőlegesen választható, akár több év is lehet, ha spórolni akarnak az erőforrásokkal.

Ha te lennél a pr-felelős a t-systemsnél, akkor nem is történt volna ilyen fejetlenség és öntökönlövés náluk!..
...de mivel történt, ez meg is mutatja, hogy kb. mennyire lehet bízni a jövőben bennük, hasonló malőr esetén hogyan fogják kezelni az ügyet.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

egyrészről meg van győződve arról hogy ebben az országban mindenki inkompetens, és/vagy hülye,
másrészről meg azt hiszi, hogy mindegy mit mond, ott áll mögötte az illiberális/keresztény/nemzeti háttérhatalom, meg a tugyukki, és mindig ott is lesz..

csak tudnám ez esetben minek locsog az ilyen, vagy ki és miért kért tőle ilyesmit?

"meg van győződve arról hogy ebben az országban mindenki inkompetens, és/vagy hülye"

teljesen igaza van..ez a hozzaallas a politikaban is milyen jol bejott a futyisznek. csak atultette a gazdasagba.

Egyébként nem, mert elegendő, ha a választásra jogosultak kb. húsz százaléka inkompetens és hülye (vezethető), további húsz százaléknak érdeke fűződik hozzájuk (megvehető, ill. a sikeres vállalkozó mindig kormánypárti , ugye), meg húsz százalék a simán hülye (távolmaradó). A maradékot meg meg lehet osztani ügyesen adagolt mahinációkkal.
(aztán lehet hogy a venn-diagramok nem pont így állnak, de a lényeg, hogy nem áll meg az állítás "mindenki"-ről)

"...megtanulni egy feszesebb működést, és ezzel egyidejűleg az alázatot is. Nekem büszkeség, hogy sikerült..."

nice!

Összefoglalom:
Blablabla, blablabla, mi basztuk el, de akkor is a BKK a hunyó, blablabla.

Édes istenem ennyi hazugságot...

En mindig azt mondom, ha nem ertesz valamihez, akkor bizz meg valakit aki ert hozza. Akamai vagy CloudFare szamara ilyen kis forgalom gyerekjatek.

Ha már hozzáértés: egy CDN nem segít sokat azon, ha dinamikus adatot kell kezelni.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Mindkettonek van DDoS mitigacios szolgaltatasa (is). Nem veletlenul vasarolta fel Akamai a Prolexicet peldaul. Ha mar hozzaertes.

Szerintem elsiklottál afelett, hogy nem DDoS-olni kellett, mittudomén hány teraPPS-nyi szeméttel, hanem be kellett küldeni egy otthoni DSL-ről mondjuk ezer kérést másodpercenként. :)

Nem arra valaszoltam, hanem a CEO altal emlitett tamadasra:
"már úgynevezett DDoS-os vagy elárasztásos támadások jöttek, amikkel már a teljes infrastruktúrát próbálták lefagyasztani."
"Olyan szintű és mennyiségű tranzakcióról, illetve kibertámadásról beszélek, amiket már nem lehet házi, barkácsolt rendszereken megvalósítani."
Barmit is jelentsen ez.

Ez konkrétan hazugságot jelent. Egy dDOS támadás után nem kell egy rendszert leállítani és a nulláról újraírni, kivéve ha az menthetetlenül el van baszva (fubar).

MUHAHAHA

hekkertámadás mi? És atomtámadás ellen is véd??

K.Z. vajon valóban olyan ostoba, hogy azt sem érti amit felolvastattak vele?
vagy csak annyira naív, hogy még el is hiszi amit felolvasott?

Esetleg ez a vizsgamunkája a politikai karrier irányába?
ahol a kiírás ez lehetett:

- nézd hülyének a teljes közönséget, hiszen TE vagy itt a király.
- ismétld el ugyan azt az értelmetlen baromságot, amit már mindneki hallott,
- nézd hülyének az interjúztatót is,
- hárítsd a felelősséget a rendszer ellenségire.
- büszkén meséld el, hogy TE vagy a főnök, és tanultál az esetből,
- de nézd továbbra is hülyének mindenkit - hiszen TE vagy a főnök.
- csak olyan 'információt' ossz meg, amit már amúgy is tudnak.
- háríts némi felelősséget valaki másra is, lássák hogy képben vagy.
- mosolyogj számalmasan bután.
- ne hagyd magad összezavarni a tényekkel, továbbra is nézz hülyének mindenkit.

(a gerinceltávolító műtétet és a party drogokat előzetesen, és ingyen biztosítjuk minden pályázó számára)

vagy simán csak ez is egy olyan projekt, mint a többi:
- 50% megy vissza az osztónak,
- 30%-on marakodhat a sok kicsseb csicska,
- 20%-ból meg vegyetek meg valakit aki esetleg produktumot is tud felmutatni, és van köztük olyan balfasz is aki majd elviszi a balhét - ha arra kerülne a sor.

--
zrubi.hu

> 20%-ból meg vegyetek meg valakit aki esetleg produktumot is tud felmutatni

Az nem érv, hogy ellopták a pénzt, hiszen egy ilyen komplexitású rendszert ennek az összegnek a töredékéért megcsinál egy értelmesebb egyetemista.

A diplomamunkám egy zárt láncú fizetési rendszer volt (a la Festipay) bankkártyás feltöltéssel, QR kódos fizetéssel, stb., kilométereket vert erre az eTicketes megoldásra.

Lehet hogy fölélőtt azzal a 20%-al, és nem kell a kettes mögé az a "0".

"Hibáztunk"

A hiba az, amikor értesz valamihez, de a végeredményben valami rosszul sikerül. Az, hogy ekkora balfaszságok kerültek az éles rendszerbe nem hiba, annál valami sokkal több.

Az egyetlen igazi megoldás az összes résztvevő fejlesztőt, üzemeltetőt, tesztelőt és menedzsert örökre eltiltani a számítógéptől.

Nem akarok senkit védeni, de szerintem pont a fejlesztők nem tehetnek a dologról. Jó eséllyel a határidő miatt annyi fért bele, hogy hibakezelés nélkül működjön minden funkció, de ez jórészt meg is valósult. Ezt az állapotot (erős alfa verzió) viszont nem szabadott volna hagyni élesíteni.


Vizsgára felkészülés végett keresek "kidobásra" szánt menedzselhető Cisco switch-eket és routereket, leginkább Pest és Bács-Kiskun megye területén.

Ó dehogyisnem tehetnek. Minimális tapasztalattal az ember nem tárol jelszót kódolatlanul, de legalább nem küldi le a bárkinek egy beírt userid alapján; egyáltalán nem a klienstől várja vissza az adatokat, de ha bármi okból mégis, akkor ellenőrzi a helyességét.

Ezekből látszik, hogy olyan tapasztalatlan és fals magabiztos csapattal mentek neki a projektnek, akiket nem szabad ilyen mérvű fejlesztési feladatra alkalmazni.

+1

T csak stróman volt a történetben.

De bezzeg a perfekt nyelvtudást elvárják az ilyen cégek, miközben én egy kis vidéki cégnél, piszlicsáré kis belsős programnál is odafigyelek a jelszótárolásra és az XSS kivédésére is.

+1

Nem olvastam végig, mert unalmas. Egy felsövezetö amúgy is olyan messze van a valóságtól az ekkora cégeknél, mint Makó Jeruzsálemtöl, szóval bla bla bla.
Egy biztos, jó pénzért mindent, ez volt itt is a lényeg.
Amúgy meg akkora és annyira erös cég a T, hogy egy ilyet is simán túlél.

--
robyboy

"Azért vitatkoznék ezekkel a szakmai véleményekkel, mert nem mindegy, hogy a semmiből kell egy zöldmezős fejlesztést 3 hónap alatt megcsinálni, vagy egy működő informatikai rendszerkörnyezetbe kell további funkcionalitásokat beilleszteni. Ezért is mi voltunk az egyetlenek, akik szakmailag megszólíthatóak voltunk, és az én, valamint kollégáim értékítélete is az volt, hogy nehéz lesz, de meg tudjuk csinálni."

Azért az elég ijesztő, ha ugyanezt az ementálisajthoz hasonlóan lukacsos kódot már párszáz helyre eladták.

Zrobi írta feljebb, hogy "Esetleg ez a vizsgamunkája a politikai karrier irányába?"

Szerintem igen. A szakmájához nem ért. Vagy rájött magától, vagy szóltak neki hogy nem kéne ezt erőltetni. Gondolta, megpróbál felugrani egy szintet. Kihasználva a kapcsolati hálóját.

Nem sikerült. Most egyrészt sajnáltatja magát, másrészt hárít. Megpróbál celebkedni, mert amúgy politikai karanténba került.

Hát.... ilyen döntéshozókkal nem leszünk az egyik legélhetőbb ország 2030-ra. ( https://index.hu/gazdasag/2018/07/10/varga_magyarorszag_az_ot_legelhetobb_orszag_egyike_kivan_lenni_europaban/ )

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

T-Systems... sok-sok év alatt normális mobilnetet nem bírtak csinálni, mégis mit lehet várni tőlük? :D :D

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba

Ez amúgy pont annyira dolguk, mint mondjuk az otp-nek...

Na meg azok is. Azok se bírtak összehozni egyetlen egy működő publikus mobilnetszolgáltatást se, igazad van.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

hja, a balfaszok :)

" »Hibáztunk« – először beszél a hekkerbotrányról a T-Systems vezére"

ezt mar 1 evvel ezelott is tudtuk. A masik, hogy Kaszas Zolinak tenyleg 1 ev kellett, hogy eljusson idaig? Bar erre is van magyarazat: kedvenc vc-m (Guy Kawasaki) elmelete az, hogy minel magasabbra ersz fel, annal kevesebb ott az oxigen, ezert egyre kevesbe tamogatja az intelligens eletformakat.

Szoval kedves Kaszas Zoli: miert jutott eszedbe, hogy 1 evvel a tortentek utan felmelegiccsed a sztorit?

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

Hibáztunk, nem kamuztunk kellő dramaturgiával, csak úgy, mint holmi kezdő, de összeszedtük magunkat, sokat gyakoroltunk (a munkaanyagokat ősztől a netflix sugározza; két évadra van szerződésünk), és a végeredménnyel elégedettek lehetünk.
Talán akad önök között is, aki az lesz.
Akkor mondanám is:...