Szólt a Magyar Telekomnak egy biztonsági résről, 8 év börtönt kaphat

 ( Charybdis | 2019. január 27., vasárnap - 13:49 )

Hiányos vádirattal, fenyegetőzéssel, az ügyészség feltűnő szakmai hozzá nem értése mellett zajlik annak az etikus hackernek a büntetőpere, aki felhasználók százezreit veszélyeztető hibát tárt fel a Magyar Telekom informatikai rendszerében. A biztonsági résen keresztül akár az összes felhasználó személyes adatait megszerezhették volna. A fiatal informatikus jelezte a hibát az illetékeseknek, akik először az alkalmazásáról tárgyaltak vele, majd inkább feljelentették.

Forrás: https://ataszjelenti.blog.hu/2019/01/25/igy_kert_bortont_etikus_hacker_vedencunkre_az_ugyesz
https://index.hu/techtud/2019/01/27/telekom_tasz_biztonsagi_hiba_etikus_hekker_per/

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Kis országunkban vannak más alternatívák is.
Semmiképpen ne jelentsd a hibát!
A cél függvényében:
- Magadat megfelelően levédve rombold porig a rendszert!
- Add el az információt a sötét oldalanak!
A többi út járhatatlan. :(
Tudnod kell, hogy az engedély nélküli penetrációs vizsgálatot a Btk. büntetni rendeli, ezért ha a meghackelt szervezet feljelent, a büntetőeljárás biztosan megindul ellened.

Ezen akkor változtass, ha a Btk. a trehány céget is bünteti. Vajon miért nem?

A fiatal informatikus jelezte a hibát az illetékeseknek, akik először az alkalmazásáról tárgyaltak vele, majd inkább feljelentették.

Nem tudom, nem ertek hozza, de meg az is elkepzelheto lehet, hogy esetleg ketton all a vasar?

Azt el tudom kepzelni, hogy irrealisak voltak a tag elvarasai a kompenzaciorol, belengette, hogy ha nem fizetnek neki csillio kreditet havonta, akkor keres jobban fizeto ugyfelet, es erre jott a reakcio...

De nem ismerem a reszleteket, szoval az is tok elkepzelheto, hogy a nemet cegek magyar leanyvallalatai ennyire szemetek...

A zsarolást nem említi a cikk. Bár a cikkben elég kevés információ van. Viszont a cikk szerint a vádiratban is elég kevés információ van. Így aztán sem kizárni, sem megerősíteni nem lehet, hogy zsarolás is volt.

A megszakadt tárgyalások arra utal, hogy nem tudtak megegyezni abban, mi legyen a "hallgatás ára", ami után a srác nem tudom, honnan gondolta, hogy a javításig nem fog a Telekom megfelelő területe nagyítóval figyelni minden, az adott sérülékenység kihasználására utaló jelet figyelni, és arra lecsapni?

A zsarolás valami ilyesmi:
„Na idefigyeljetek vagy fizetek rögtön, de sokat, vagy nyilvánosságra hozom az információkat.”

Ennek nem sok köze van ahhoz, hogy a megbeszélés után a srác volt olyan hülye, hogy újra belépett.

Én is azt mondom, hogy házhoz ment a lóf@ßért...

Én meg azt, hogy a zsarolást nem említi egyik fél sem.

természetesen nem, mert az egy btk.-s tényállás, viszont az, hogy nem tudtak megállapodni az első sérülékenység kapcsán, az az igény - ajánlat vélhetően jelentős különbségéből fakadt. Ami alapesetben btk. szerint nem zsarolás, de azzá válhat - attól függ, mit tett utána a srác azért, hogy amit kért, azt mégis megkapja.

Nagyon véded ezt a balfasz pink bandát, még azt is behaluzod, hogy megzsarolta a nagy büdös tét. Pedig nyilván nem.
Csak nem ott dolgozol?

Közöm nincs a T-hez, de ha utánaolvasol, a tárgyalások azon akadtak el, hogy biza' többet szeretett volna bezsebelni, mint amennyit a T ajánlott neki. Innentől meg egy tökös ügyész kell, hogy a fél világot ráhúzzák.

Dolgozol nekem 5000forintért naponta vagy feljelentelek?

Pontosítok:
Telekom: Amit csináltál öcsi, az btk.-s dolog, de a jóhiszeműség alapján NDA aláírása mellett és a további btk.-s cselekmények mellőzése esetén fel tudunk ajánlani 5 fabatkát.
Srác: Ez így nem jó, n*5 fabatkát szeretnék kapni.
Telekom:
Srác folytatta a behatolást, további jogosultságokat alakított ki magának - ami maitt a T szépen feljelentést tett, és az NNI ölégy gyorsan kopogtatott a gyereknél.

Csak hogy a történet jelenleg ismert lépéseit tisztázzuk. Hogy a 2. "kör" utáni feljelentésben az első körben elkövetett behatolás is ottvan-e a "listán", azt nem tudom, de a lényeg szempontjából nem releváns.

Ha már fantáziálunk, akkor én jobban örültem volna egy más befejezésnek:

A srác folytatta a behatolást, de közben kijavították a hibát, és az IDS észlelte a kísérletet, ezért a T szépen feljelentést tett. (Az NNI-s rész rendben van.)

Viszont a rendelkezésre álló kevés információ alapján a T nem kapkodta el a hiba kijavítását. Még azon sem lepődnék meg, ha a sérülékenység továbbra is kihasználható lenne.

Továbbá: az ember (és az újságíró is) úgy működik, hogy ha nem kap elég információt, akkor megpróbálja azt a korábbi tapasztalatai alapján kiegészíteni. A korábbi tapasztalatok nem túl kedvezőek a Telekomra nézve. Aztán vagy eltaláljuk az igazságot, vagy nem. Az újságírónál plusz szempont, hogy úgy kell kiegészíteni az tényeket, hogy az lehetőleg az olvasottságot is növelje. Ez így volt 1000 évvel ezelőtt is, és vélhetőleg még sokáig így fog maradni. Tehát az, hogy a Telekom megint rossz színben tűnik fel, az magának a Telekomnak is a hibája. A behatolót elfogták, a vádirat megszületett, tehát már nyugodtan nyilvánosságra lehetne hozni lényegi információkat is. Ha a tárgyaláson derül ki, hogy bizonyos vádak nem megalapozottak, akkor az még rosszabb fényt fog vetni a Telekomra.

Van amikor kettős fedezék mögött érdemes védekezni, de van amikor előre kell menekülni. A Telekom a kettős fedezéket választotta. Azt majd később lehet megmondani, hogy ez a döntés helyes volt-e.

Az, hogy a T javította-e a hibát, vagy sem az irreleváns a srác ügyében - másodszor is bement, a jelen ismeretek alapján emelt szintű jogosultságot szerzett (a satöbbit csak azért nem írom ide, mert arról nincs infónk, de esélyes, hogy volt más is, amit semelyik fél sem fog publikálni). Ez btk.-ba ütköző tevékenység, és a T nem tehetett mást, mint megtette a feljelentést.

A Telekom feljelentést tett ismeretlen tettes ellen, a btk. adott pontjaiba ütköző tevékenység miatt. A pontos vádiratot az ügyészség készíti el a feljelentés, illetve a nyomozati szakaszban begyűjtött információk, bizonyítékok, vallomások, stb. alapján. Ha a vádakból valami "nem áll meg", az nem a feljelentő, hanem a vádiratot összeállító ügyész(ség) hibája.
A lényegi információk nyilvánosságra hozatala több oldalról sem biztos, hogy kívánatos - sem az ügyészség, mint vádhatóság, sem a vádlott és védői, sem pedig a Telekom, mint sértett szempontjából.

Te fantáziáltál, hogy vajon hogyan történt a dolog. Én fantáziáltam egy szerintem jobb befejezést. Ebből a szempontból teljesen irreleváns, hogy mi történt, mert mindkettő csak egy elképzelt lehetőség, és nincs olyan információnk, amivel az egyiket vagy másikat megerősíthetnék, vagy kizárhatnánk. Még az is lehet, hogy az egyikünk fantáziálása megfelel a valóságnak. Vagy esetleg
egyiknek sincs semmi köze a valósághoz.

Lazíts!

"a tárgyalások azon akadtak el, hogy biza' többet szeretett volna bezsebelni, mint amennyit a T ajánlott neki."

Amire azt írta a zindex, hogy "alkalmazottként több százezer forintos bruttó havi fizetés is szóba került". Csak azt nem tudom, hogy 200 bruttót vagy 200 nettót ajánlottak neki. Bár inkább az előbbi, mert 200 nettóért egy vidéki fősulis szerintem boldogan igent mondana...

"Innentől meg egy tökös ügyész kell, hogy a fél világot ráhúzzák."

Már a vádban, azt pedig kb. ki is maxolták. De jön majd a bíróság, ahol ennek jogerősen meg is kell állnia...

Kimaradt az indexes verzióból, hogy meg lett tiltva (fel lett szólítva) neki explicit a pentest és miután nem tudtak megegyezni, retorzió nélkül, egy hátba veregetéssel engedték el.

Az igazai probléma az, hogy a Telekommal kapcsolatban eddig két ilyen eset kapott nyilvánosságot, és mind a kettő feljelentéssel végződött. Ugyan az első esetben nem lett belőle per, de ez nem a Telekomon múlott.

Ennek az az üzenete, hogy a Telekomot nem érdemes megkeresni ilyen üggyel kapcsolatban. Ez független attól, hogy mi történt a konkrét Telekom-Hacker megbeszélésen, és azután mi történt. Sőt attól is független, hogy a végén a bíróság hogyan fog dönteni a bűnösség kérdésében.

Bármi más utat választ a következő „hacker”, az biztos, hogy mindenképpen rosszabb lesz a Telekom számára. A legvisszafogottabb forgatókönyv szerint, a hacker senkinek nem szól, és nem is okoz kárt. Így viszont a Telekom mindaddig nem értesül a sebezhetőségről, amíg egy másik, károkozásra hajlamos hacker meg nem találja ugyanazt a sebezhetőséget. Az összes többi lehetséges forgatókönyv még ennél rosszabb lesz a Telekomnak.

És mindez azért, mert olyan rendszert találtak ki ez ilyen esetek kezelésére, ami lehetővé teszi számukra, hogy a feltárt sebezhetőséget ne kelljen kijavítani.

+1 maguk alatt vágják a fát, plusz PR-katasztrófát is előidézhet az eset újból.

Ha a tökike nem próbálkozik a "tárgyalások megszakadtak" szituban a sérülékenység további kihasználásával, illetve további jogosulatlan behatolást nem csinál, akkor ő sem került volna a vádlottak padjára.

Az a baj, hogy sokan nem látják az igazi problémát, és ennek a mostani ügynek a részletein csámcsognak.

A Telekom egy olyan rendszert szeretne a hibák bejelentésére, amiben megteheti azt, hogy a bejelentett hibát nem javítja ki évekig (vagy soha). Ez nyilván előnyös a Telekomnak. Amíg valaki a bejelentés után x hónappal/évvel kárt nem okoz, kihasználva az adott sebezhetőséget. Bejelentek egy hibát. 1 év múlva a hibát kihasználva valaki betör a rendszerbe. Tippem szerint én leszek az első, akit megfingatnak. Ha vagyok olyan szerencsétlen, hogy a behatolás magyarországi IP-ről történik (Magyarországon a Magyar Telekom esetén ez nem kizárt, ha ez elkövető amatőr.), akkor még nagyobb bajba leszek.

Viszont nekem, mint Telekom ügyfélnek, az az érdekem, hogy a hibák minél hamarabb ki legyenek javítva. Mert nem szeretném, ha az adataimat árusítaná valaki: név, lakcím, anyja neve, születési adatok, előfizetések, telefonszám, email cím. Ezek mind megvannak a Telekomnak. Tehát a Telekom és az előfizető érdeke teljesen más.

Visszatérve a mostani esetre: Állítólag nem fért hozzá az előfizetői adatokhoz a srác. Ok, elhiszem. A kérdés az, hogy azért nem fért hozzá mert nem akart, vagy mert nem tudott. Nem mindegy.

+1

Értem. Meg lett neki tiltva. (De ugye javítva nem lett a sebezhetőség. Mert b*szták kijavítani. Pedig biztos nagyon nehéz azt kijavítani, hogy rámenve egy IP címre ne kapjál admin jelszót...) Mi az hogy hátba veregetéssel engedték el? Vádat emeltek ellene. A BKK-s srác ellen is vádat emeltek volna, de akkora volt a felháborodás, hogy inkább mégse tették. Ezzel ugye azt érik el, hogy legközelebb ha talál valaki valamit szétgyalulja a hülye rendszerüket, mert szólni úgysem érdemes (a mellékelt ábra szerint).

Vagy eladja, mint zero-day sebezhetőség jó pénzért.

A tárgyalások megszakadása után valóban nem javították azonnal (nem minden hiva javítható per prompt...), viszont vélhetőleg rááltak monitorozni az adott sérülékenység kihasználására utaló tevékenységet. A srác meg visszament, további dolgokat is csinált, és a feljelentés emiatt a behatolás maitt történt.

Na igen, nyilván nem lehetne csak úgy szólni neki hogy "Tökikém! Lebuktál..." Mert az még beleférne a dolgok normális elrendezésébe. (Ezután nyilván meg lehetne vele egyezni. Sőt! Ha fizetnének is valamit amit ők gondoltak akkor még a srác se varnyoga utána semmit.=> Nincs média katasztrófa sem. Nem tudódik ki semmi.) Hanem be kell akasztani a srácnak izomból... Tanulja meg, hogy bár mi voltunk balfaszok, tulajdonképp ő volt jófej hogy először szólt nekünk, de zsugoriak vagyunk, és nekünk vannak befolyásos barátaink.(Ebből kb. ennyi jön le.) Ez az eset is esélyes a legrosszabbul managelt PR-ra az idei Pwnie-n.

Azért szomorú, hogy egy ekkora cég, de nincs neki kidolgozott PR stratégiája (sem), hogy mit is kéne ebben a helyzetben csinálni.

Hányszor mehessen be büntetlenül? Azt nem udjuk, mi történt a megszakadt tárgyalásokon (nem mindegy!), mit csinált, mit ért el a második körben. Ezeket a T ismeri, és vélhetően alaposan mérlegelték, hogy megtegyék-e a feljelentést, vagy sem.

Már bocsánat, de ha egyszer már lebuktál, és belengetnék, hogy kis pénz vagy feljelentünk akkor azt hiszem eléggé egyértelmű mit lépne... És megtalálni sem lehet olyan nehéz hiszen egyszer már személyesen megjelent, nyilván őt hívnám fel először...

Én nem azt mondom, hogy nem törvényes amit a Telekom csinált, de hogy nem etikus, és morálisan kifogásolható, az biztos.

Elsőre megmondták, hogy ezt nem kéne legközelebb. Visszajött legközelebb, és továbbment. Pofonverték. Ennyi.

Én is kaptam pár pofont fősuli/egyetem alatt, de azok nem tartottak 8 évig. :) Ennyi.

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

Itt a 8 év az valójában "nyolc évig terjedő", és általános bírói gyakorlat a középmértékből kiindulni.

Segíteni próbált, ezért pofán akarják veretni a témagyar állammal. Ennyi.

Első körben elkövetett egy bcs.-t, amit a bejelentése és a tárgyalások megindulása alapján úgy tűnik, a T nem akart feljelentéssel "díjazni", elfogadva a gyerek jóhiszeműségét.
De azzal, hogy újabb behatolással magára borította a bilit, az nem segíteni akarás, az idiótaság - egyszerűen azért, mert onnantól kezdve a jóhiszeműségét is meg lehet kérdőjelezni.

"Elsőre megmondták, hogy ezt nem kéne legközelebb."

Rendelkezésre álló infók alapján (=cikkek a neten) nekem nem világos, hogy hol jelentették ezt ki. Esetleg van valami belsős infód van?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Akkor másképp fogalmazok: szinte biztos, hogy elmagyarázták neki, hogy amit csinál, arra a btk. vonatkozik. Ha ebből nem értette meg, hogy nem kéne továbbmennie, pláne akkor, amikor az anyagiakban nem tudtak megegyezni, hát... Sajnálom, de házhoz a lóf@ßért.

Így ok. Annyi volt a bajom, hogy ahogy leírtad, nekem úgy jött le, mintha ezt (publikált) tényként közölnéd és nem a saját véleményedként és ez nekem félreérthető volt, mert erre semmiféle megerősítést nem olvastam ki a cikkekből.

Leginkább azért zavart, mert nem tudjuk, hogy miért szakadtak meg a tárgyalások. Ha most találnék egy hibát véletlen a Telekom rendszerében, jelenteném nekik szintén (pluszban valamelyik releváns hatósági szervnek, ld. releváns BTK rész), de ettől még jó eséllyel nem váltanék munkahelyet, egyszerűen azért, mert elég jól érzem magam a mostani helyen. Ha adnának valamit köszönetképp azt mondjuk valószínűleg elfogadnám.

Persze, ettől még lehet igazad.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Egyetlen vaskos tanulsága van az ügynek, az ilyen mentalitasu ceggel ugy erdemes legkozelebb banni, hogy anonim modon ki kell rakni a netre a sebezhetoseget es hagyni, hadd tortenjenek a dolgok a maguk utjan.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

+1

Várom a T közleményét.

Hosszú életű leszel? :)

A BKK-s srác ellen vádat is emeltek tudtommal.

Mert a szakmai hozzáértés hiánya általában nem Btk.-s kategória, vagy, ha széles körben az lenne, hol húznád meg a határt?

Ez nem csak engedély nélküli pentest volt, hanem a kifejezett tiltás ellenére ismét engedély nélkül bejutott a hálózatra és változtatásokat végzett benne.

> Ez nem csak engedély nélküli pentest volt, hanem a kifejezett tiltás ellenére ismét engedély nélkül bejutott a hálózatra és változtatásokat végzett benne.

A bírói döntés akkor helyes, ha az okozott kár (akár társadalmi, akár anyagi) egyensúlyban áll a büntetéssel.

Okozott kár: ?
Javasolt büntetés: előzetes letartóztatás, 8 év letöltendő börtönbüntetés

Hát nemtudom...

Okozott kár: A Telekom állítólagos közleménye szerint 0 (azaz nulla). Azért állítólagos, mert a Telekom hivatalos közleményei között nem szerepel: https://www.telekom.hu/rolunk/sajtoszoba/sajtokozlemenyek

A Telekom 'közérdekű üzem működésének jelentős mértékű megzavarása' (Btk. 323.) miatt tett büntetőfeljelentést, ha ennek van jogi alapja (nyilván konzultáltak ügyvédekkel és szakmai képviselőkkel), akkor kellett történnie kárakózásnak, vagy legalábbis vélelmezem, hogy bizonyítani tudják, hogy, ha nem is sikerült, de ez volt a srác célja (mondjuk, mert zsarolta a szolgáltatót).

Fikciókról beszélgetünk, mindkét fél önmagára nézve kedvező nyilatkozatokat tesz.

Olvasom, hogy a Telekom közleményt adott ki. Olvasom, hogy a feljelentésben ez meg az van. Közben sem a Telekomnál, sem az MTI-nél nem lelhető fel olyan közlemény, ami ezzel kapcsolatos információkat tartalmazna. A keresővel sem sikerült a hiteles forrást megtalálni. Mindenhol csak hivatkoznak rá, hogy a közleményben az van, hogy… Vagy a feljelentésben az van, hogy…

Hol lehet ezeket az információkat megtalálni eredetiben? Dobhatnál egy linket, vagy legalább egy kereső kifejezést, ami a hiteles forrásokhoz vezet. Elsősorban a Telekom önmagára nézve kedvező nyilatkozatainak a hiteles forrása érdekelne.

A másik oldalról a TASZ védi a csávót, ők sem fognak a srác ellen terhelőt nyilatkozni, ezekre a nyilatkozatokra sem érdemes alapozni.

Ha nyomozati szakaszban van, akkor semmilyen hivatalos információt nem fognak kiadni, ha lesz bírósági döntés, akkor itt lehet keresni:
https://birosag.hu/birosagi-hatarozatok-gyujtemenye

Ha konkrétan a Btk. 375: információs rendszerek elleni támadásokról szóló döntéseket szeretnéd látni, akkor erre szűrj:

https://imgur.com/a/Nq9dls0

(pécsit néztem, de itt nem sok releváns ügy volt)

https://imgur.com/a/I1WhfZl

Korábban:
„A Telekom 'közérdekű üzem működésének jelentős mértékű megzavarása' (Btk. 323.) miatt tett büntetőfeljelentést,”
Most:
„Ha konkrétan a Btk. 375: információs rendszerek elleni támadásokról szóló döntéseket szeretnéd látni, akkor…”

A kérdés nem az, hogy random jogszabályok mit tartalmaznak. Hanem az, hogy a Telekom mi miatt tett feljelentést. Illetve az, hogy az ügyészség mivel vádolja a vádiratban. El tudom képzelni, hogy a Telekom az egyik jogszabály alapján tett feljelentést, de az ügyészség egy másikra alapozva állította össze a vádiratot.

„Ha nyomozati szakaszban van, akkor semmilyen hivatalos információt nem fognak kiadni”

Nem vagyok jogász, de úgy rémlik, hogy ha van vádirat, akkor a nyomozati szakasz már lezárult. De a Telekom közleménye, amelyre egyes portálok mint az igazság forrására hivatkoznak, valamiért sehol nem található.

Ettől függetlenül lennie kellene valamilyen hivatalos forrásnak. Például fentebb Te is írtad, hogy „Kimaradt az indexes verzióból,”. Tehát van egy hivatalos forrásod, amit olvasva ezt a következtetést levontad. Vagy csak egy másik újságírónak jobban hiszel?

De átfogalmazom, és egyszerűsítem a kérdést: Hol található a Telekom közleménye, amire a Telekommal szimpatizálók hivatkoznak?

Ha közérdekű üzem, akkor viszont a jogszabályok konkrétan védik a srácot (közérdekű bejelentő).

Nálunk a lányom a jogász, de helyette saját kútfőből hantázok valamit. ;)

Legjobb tudomásom szerint a szakmai hozzáértés hiánya nem mentesít a felelősség alól.
Ha nyúltenyésztő vagyok és elvállalom, hogy készítek egy beton járdát, ami szétfagy a hibás kivitelézéstől, akkor is felelős vagyok a művemért.
Itt meg jóhiszeműen feltételezhető, hogy egy felhasználó által használt rendszert nem egy takarítónő konfigurál és üzemeltet. Természetesen az ÁSZF tartalmazza a szankciókat, ha veszélyezteted a hálózat biztonságát. A fordítottját meg nem.

A hibák soha nem derülnek ki, csak ha már baj van. A Btk. biztosítja, hogy épeszű ember ne jelentse be pusztán jóindulatból a felfedezett hibát. Ezzel grantálva a hiba kizárólagosan rosszindulatú "vizsgálatát".

Innentől, ha a srác szólt nekik, akkor az elvárható tevékenység a hiba javítása lett volna. A többi csak duma.

Képzeld el, ha a szomszéd elmegy otthonról. Közben rászólsz, mert nem zárta be az ajtót. Ezt ő tagadja - vagy sem. Mire odalépsz és kinyitod az ajtót, de úgy, hogy még látja - ezt ő megtiltja vagy sem.
Nyilvánvalóan fel fog jelenteni betöréses rablásért. :-D

Ha az emlékeim nem csalnak, először jelzett egy hibát és tárgyaltak a kompenzációról, de nem tudtak megállapodni. Ezután tovább folytatta a ténykedését, amit felfedeztek és feljelentették. A részletek ismerete nélkül ebből úgy tűnik, hogy az illető kihívta maga ellen a sorsot.

Üdv,
Marci

Akár így is lehetett.
De nem tűnt fel, hogy zsarolásért jelentették volna fel.
Talán a srác IS dilettáns. Egy szakmai megbeszélésre egy cég delegál 2 szakértőt, az IBM meg 3 jogászt. Na, ők nem dilettánsok. ;)

a hasonlatod nagyon jó de még szemléletesebb lenne szomszéd helyett mondjuk korházi asszisztenssel, és nyitvahagyott kapu helyett a kapu előtt hagyott százezer beteg leletével. a hangsúly azon van hogy nem csak a saját javát kockáztatja ezzel az asszisztens.

~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack

De szintén a Btk. szerint ha magadat "feljelented" az kizárja a büntethetőséget. Ezért pl. oktatásokon naplóznak az etikus hackerek, aztán a logot mellékelve "feljelentik" magukat.

Ezt kifejtenéd részletesebben?

--
trey @ gépház

"Információs rendszer védelmét biztosító technikai intézkedés kijátszása
424. § (1) * Aki a 375. §-ban, a 422. § (1) bekezdés d) pontjában vagy a 423. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő

a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez, vagy forgalomba hoz, illetve

b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit más rendelkezésére bocsátja,

vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

(2) * Nem büntethető az (1) bekezdés a) pontjában meghatározott bűncselekmény elkövetője, ha - mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy számítástechnikai program készítése a büntetőügyekben eljáró hatóság tudomására jutott volna - tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását.

(3) E § alkalmazásában jelszó: az információs rendszerbe vagy annak egy részébe való belépést lehetővé tevő, számokból, betűkből, jelekből, biometrikus adatokból vagy ezek kombinációjából álló bármely azonosító."

Ez egy nagyon specifikus kitétel, a feljelentésben szereplő Btk 323-ra nem vonatkozik.

Jogász logikából kiindulva lehet azért a 323-mal támadják, mert akkor biztosan nincs kizárva a büntethetőség. Azt ugyanis nem tudják, hogy vajon a sérülékenységvizsgálat után ezt jelezte-e a hatóságnak.

Erre védelmet nem alapoznék. Itt - a konkrét ügyben - a BTK 300/C játszik szerintem.

--
trey @ gépház

Nincs már 300/C. 375 van helyette meg 422. Meg némileg a 224 is érintett.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Vagy jelentsd be a GovCERT-nek, és majd ők rendezik tovább.

erre én is kíváncsi lennék. Leszúrtam, de szóltam, uh nem baj?

(rejtett sub)

> De szintén a Btk. szerint ha magadat "feljelented" az kizárja a büntethetőséget

Are you quite sure? Hivatkozást, légyszi.

Kevered a feljelent és a tudomására hoz fogalmát.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Elismerem én mezei IT aggyal fogalmaztam meg a dolgot első körben az emlékeim alapján. Az én nézőpontomból a lényeg benne volt :)

Pedig IT-s fejjel érdemes lenne legalább az IT-re vonatkozó jogszabályokat jól ismerni.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Eddigi tapasztalataim szerint igen ritka az az ember, aki egyszerre tud működni IT és jogász logika alapján. Én biztos nem ilyen vagyok. Rám és munkakörnyezetemre vonatkozó értelmezésben ismerem a jogszabályokat.
Tudom hogy ha a T-nél akartam volna sérülékenységet vizsgálni:
- Megnézetm volna van-e bug bounty programja, és ha van, akkor onnan indulok.
- Ha pedig nincs és nagyon fűt a kíváncsiság, akkor a hivatkozott kitétellel éltem volna.

Kis országunkban, jól bevett gyakorlat, etika és értékrend híján, illetve a profithajhász multikat előnyben részesítő jogalkotás miatt szerintem az alábbi módszerek a legcélravezetőbbek.

1. Bejelenteni a hibát anonim módon (Tor, álneves e-mail cím), mindenképpen másolatot küldve a hírközlési és adatvédelmi hatóságoknak úgy, hogy erről multiék is tudomást szerezzenek (pl. carbon copy e-mail). Ekkor multiék inkompetens, ellenben karrierista (értsd: értéket nem képviselő pozíciójukat féltő) szakemberei léhűtői betojnak, és amennyiben a hatóságok nincsenek már előre lefizetve (vagy legalább a léhűtők nem tudnak róla), jóeséllyel kijavítják a hibát.

2. Amennyiben a biztonsági rés közérdeket sért, veszélyeztet (mondjuk több millió felhasználó adatait és adatforgalmát) és záros határidőn (mondjuk 1 hónapon) belül nem orvosolják a hibát, úgy szépen tovább kell törni a rendszert, majd az így nyert jogosultságokon keresztül befoltozni azt, emellett értesíteni a felhasználókat arról, hogyan veszélyeztette az arrogáns multi a biztonságukat. Erre tökéletesen alkalmas egy kiadós deface a honlapra, vagy egy broadcast SMS minden előfizetőnek, esetleg mindkettő.

2-ért kúrnak meg igazán. Joggal.

Egészen egyszerűen nem kell hibát keresni más rendszerében egyáltalán amíg előre nem fizetnek egy szemmel jól látható összeget.
Otthohaggyonmeg, jóvanazúgy jeligére.

--
Gábriel Ákos

Idézet:
2-ért kúrnak meg igazán. Joggal.

Nem joggal, ugyanis a hibát befoltozod, továbbá nem okozol semmiféle kárt. Csakhogy, egy igazságos világban az embereknek joguk van tudni, mit művelnek az adataikkal és mennyire nemtörődöm módon "őrzik" azokat.

Idézet:
Egészen egyszerűen nem kell hibát keresni más rendszerében

Ez így rendben van, de ha több millió honfitársad adatainak biztonsága függ a benne lévő hibától, akkor erkölcsi kötelességed megtenni.

Az első feléhez: olvass btk.-t. Nem kell kárt okoznod ahhoz, hogy a cselekményed büntethető, illetve büntetendő legyen.
A második feléhez: aki bcs. elkövetésére buzdít, attól az "erkölcsi kötelessége" kifejezés erősen visszás, nem gondolod?

Attól még, hogy valami nem legális, lehet erkölcsös vagy tisztességes, adott helyzettől függően. Lásd Bradley Manning vagy Edward Snowden példáját.

Ha az arrogáns multi elspúrkodja a költségvetést, feljelenti a jóhiszemű etikus hekkereket és veszélyezteti többmillió előfizetője adatainak biztonságát, akkor azt gondolom, ennek felül kell írnia a "jajj szegény multika, nehogy rossz hírét keltsék" típusú, egységsugarú birkalogikákat, ahogy a BTK ide vonatkozó paragrafusait is. Hívhatjuk egyfajta vádalkunak.

A törvényt egy dolog írhatja felül, az pedig az alkotmány, illetve idehaza az alaptörvény. Ha ez nem tetszik, akkor fordulj az országgyűlési képviselődhöz a jogalkotással kapcsolatos világmegváltó ötleteiddel. Bár gondolom, f2f erre (is) nyuszi vagy, csak egy nick alól vagy képes okádni a baromságodat.

"A törvényt egy dolog írhatja felül, az pedig az alkotmány, illetve idehaza az alaptörvény."

Nem.

Egyébként fun fact: az alaptörvény sem hazai találmány, a németek pl. elég régóta ismerik (Grundgesetz néven).

Jogszerűen mi írhat felül egy törvényt tehát?

Nagyon egyszerű: pl. egy másik törvény. :P

A törvényt nem írja felül az alkotmány, az "csak" magasabbrendű.
Egy törvény (vagy egyéb jogszabály) egy része (extrém esetben az egésze is) lehet alkotmányellenes. Ha valaki (aki teheti) ezzel az alkotmánybírósághoz fordul, akkor az ÁB a témáról hoz egy döntést. És ha alkotmányellenesnek találja az adott jogszabályt, akkor megsemmisíti.

Azaz ha a törvény és az alkotmány ellentétes egymással, akkor ez utóbbi kvázi "felülírja" a törvényt. Erre céloztam, semmi másra.

Én pedig a gyakorlatot írtam le, hogy lehet akár "nyilvánvalóan" is alkotmányellenes egy törvény, a ténylegesen csak akkor lesz az, ha azt az AB ítélete kimondja.

Jogilag az alkotmány/alaptörvény írhatja felül, de nem a jogról beszéltem, hanem a tisztességről és az erkölcsről. Semmi baj, utóbbiakat az arrogáns, megélhetési mérnök urak nem szokták ismerni, így neked elnézem, hogy ignoráltad. Emellett azt se felejtsd el, hogy egy vádalku is felülírhatja a törvényben taglalt büntetési tételeket, avagy végeredményben magát a törvényt.

Idézet:
Bár gondolom, f2f erre (is) nyuszi vagy, csak egy nick alól vagy képes okádni a baromságodat.

Egyfelől, te is csak egy nick mögül vagy, tehát ebben semmivel nem vagy jobb. Másfelől, nekem legalább van saját véleményem, kialakult értékrendem. Neked csak arra futotta, hogy idemásolgasd a Btk-t, annak birkaként feltétel nélkül behódolandó, multiékat mosdatandó.

Tapasztalataim szerint egyesek nagyon szeretnek a tisztesség és az erkölcs fogalma mögé bújni, pont azért, mert még annyira sincs egzaktul definiálva, mint a törvény így kényük-kedvük szerint tudják rángatni rángatni, hogy mikor mi a tiszességes és az igazságos.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

"Ha az arrogáns multi elspúrkodja a költségvetést"

Biztos vagy te abban, hogy mindig az arrogáns multi spórolja el a költségeket és elő sem fordulhat olyan, hogy olcsójános beszállító szakmai inkompetencia híján vagy szarok bele hozzáállásával nem kerülhet be ilyen rés?

Nagyon szereted sarazni a multikat, csak kihagyod azt az apróságot, hogy a multiknak van egy halom beszállítója, bedolgozója, ahol sokszor még annyi QA sincs, mint egy multinál.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Hat a telekomos QA-t ne nagyon minősítsük, főleg h nem az ő/QA csapat/ hibájuk h olyan amilyen, tekintettel a letszamukra de sokkal inkább a "jól szervezett" cégre, aminél pl normális dolog h pl szállítás hamarabb kéne legyen mint a megrendelés, a terv doksikat el se olvassák stbstb...

"Biztos vagy te abban, hogy mindig az arrogáns multi spórolja el a költségeket "
Nem. De ha a telekomról van szó akkor a fillérbaszó pont megfelelő kifejezés. (már ha nem épp valami visszacsorgatós csodálatos dobozos termék ki-be-ismétki-ismétbe-sokadjára-de-már-biztosanbe vezetéséről van szó. Vagy az x évente lezajló saját-külső-saját-külső IT stb.ről :D )

Telekom beszerzés:
Nem lehetne a költségkeret felének negyedéből lefejleszteni az eredeti scope-ot + még 10 másikat amire elsőre nem is gondoltunk.. esetleg holnapra? ja és persze fizetni majd franctudja mikor fogunk..

ha a QA csak az emberek elkötelezettségén/lelkesedésén múlna, még talán lenne is esélyük. De pl folyamatba a végén "kapcsolódnak be" vagyis rájuk öntenek egy kupacot hogy nesze, hajrá.. A cégen belül meg olyan a hozzáértés/ownership hogy ha felhívod a rendszer felelősét hogy valami érdemit kérdezz az a válasz, hogy megnézi az excelben hogy hozzá tartozik-e aminek elvileg ő a gazdája/felelőse/ismerője :D..

Így jár a cég ami az "öregek"et akik 'sokba kerülnek' kirakja/inkább elmennek valami értelmesebb helyre, a helyükre meg felvesznek 2-3 ifjú titánt akiknek legjobb esetben valami halvány fingja van..

Amúgy a "fiatalítás" lehetne pozitív szempont is.. csak azt kicsit másképp kéne csinálni..
De majd a törzsi rendszer mindent megold. Uff beszéltem :D..

"a multiknak van egy halom beszállítója, bedolgozója"
XD
Ilyen jól sikerült a vendor konszolidáció?
XD

Tehát: Nem kell olcsójánosokat választani beszállítónak, elspúrkodva ezzel a költségvetést.

Másik oldalt meg az SMS ára miatt picsogsz.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Az sms ára tényleg felháborító, és csak azért tud ilyen magas lenni, mert a té hatóság arra nem határoz meg egy kellően alacsony (<0,1 Ft/SMS) interconnect díjat.

Publikus csomagokban még ma is röpködnek a 20+ Ft-os SMS díjak azért a 160 byte-ért. TFH minden metaadattal együtt számoljunk SMS-enként 10 kB adatot, akkor ez 2+ millió Ft/GB árat jelent.

Sosem az üzem-költséget fizetted meg hanem a szolgáltatást. és még csak nem is garantált / megbízható üzenetküldési forma :D

Telenor: 40 Ft+ ÁFA / SMS a jelenlegi privát előfizetésemen. Még jó h. a g*ci mobilparkolás csak SMS-ben működik, ahol még +100 Ft KÉNYELMI(!!) díjat is rábasszák, csak mert.
--

Simple app? Ott nincs SMS ár, és csak 70Ft a kényelmi díj. és működik nem OTP-s kártyával is.

--
openSUSE 42.2 x86_64

es terkep is van

A mobilfizetes-appal csak 50 Ft a kenyelmi díj, es ugyanugy van térkép (+e-matricavasarlas, stb.)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Igen. Teljesen jogosan. A T pedig majd akkor picsoghat jogosan, ha a beszállítón spúrkodott pár százezer, esetleg pár millió forint nem csak egy kerekítési hiba a teljes leányvállalat költségvetésében, hanem 10-20%-okkal megkurtítja a profitjukat. Addig az a spúrkodás csak egy plusz buborék befektetőék jakuzzijába, amire sokkal kevesebb szükség van, mint a T infrastruktúrájának és ezáltal a felhasználók adatainak biztonságára.

A BTK elején szerepel ez:

4. § (1) Bűncselekmény az a ... cselekmény, amely veszélyes a társadalomra, és amelyre e törvény büntetés kiszabását rendeli.
(2) Társadalomra veszélyes cselekmény az a tevékenység vagy mulasztás, amely mások személyét vagy jogait, illetve Magyarország Alaptörvény szerinti társadalmi, gazdasági, állami rendjét sérti vagy veszélyezteti.

Az igazi kérdés nem az, hogy a csávó jogosulatlanul belépett-e a tí rendszerébe (ún. feltörte azt), ezt be is ismerte. Az kérdés az, hogy amit csinált az veszélyes-e a társadalomra.

Hát, ha ezek után mindenki azt gondolja, hogy szabadon csinálhat mások rendszerén pentestet, hiszen azzal csak segít, az elég veszélyes a társadalomra.
(A társadalomra veszélyesség messze nem a közvetlen károkozásról szól, ennél sokkal egyértelműbben „veszélytelenebb” esetben is láttam már felfüggesztett kiszabását.)

Azzal vádolják, hogy közérdekű üzem ellen követett el btk423 típusú bcs-t, mert állítólag az nagy té szarhalma az. Én nem értek a lovakhoz, elhiszem az ügyészségnek ezt.
Na most ha az az üzem közérdekű, akkor a biztonsága pláne az. (Pont ezért jár a faszkorbács díj a tének is, és minden jelenlegi és volt tés dolgozónak, akinek köze volt ehhez a lyukhoz.)

A csávó talált egy lyukat ezen a szitán, ezt jelezte a tének, eddig teljesen jól csinálta. A té szerint is, mert ezek után valamiféle jutalmazásról/együttműködésről _is_ beszélgettek vele, és nem az Aradi utcába szaladtak egyből.
Majd később visszanézett, látta hogy továbbra is ott a lyuk. Ezért feljelentették. Well...

Szóval az igazi kérdés az, hogy vajon ő itt a csávó magatartása volt "társadalomra veszélyes", vagy épp próbálta egy nagy, közérdekű üzemet üzemeltető cég társadalomra veszélyes magatartását a jobb irányba befolyásolni.

"Szóval az igazi kérdés az, hogy vajon ő itt a csávó magatartása volt "társadalomra veszélyes", vagy épp próbálta egy nagy, közérdekű üzemet üzemeltető cég társadalomra veszélyes magatartását a jobb irányba befolyásolni."
Nem válaszoltál a kérdésemre: ha ezek után mindenki azt gondolja, hogy szabadon csinálhat mások rendszerén pentestet, az nem veszélyes a társadalomra?
(A kérdés megválaszolásához tök lényegtelen, hogy amit a T csinált, az mi.)

FYI: szinte mindenkin folyamatosan csinálnak "pentestet". Ha megnézed egy átlag webserver logjait, sokszor több a betörési kísérlet, mint a legit kérés.

(Ettől még a srác második köre jó eséllyel el volt csúszva, de valódi véleményhez lényegesen többet kéne ismerni az ügyből.)
--
https://naszta.hu

Válaszoltam a kérdésedre: ez közérdekű üzem, nem a kovács és társa kft. honlapja. Szóval ne ferdítsünk már, ne tegyünk már úgy, mintha egy tizenkettő egy tucat "mások rendszere" lenne. Ez az egyik része.

A másik része pedig az, hogy minden netre kötött gép folyamatosan pentestelve van. Van egy sehol nem reklámozott vps-em, az elmúlt 12 órában 2200 fölötti csomagot dobott el a tűzfal, akkor el lehet képzelni, hogy egy komolyabb rendszer miket kap. Most nyilván el lehet kezdeni azon faszkodni, hogy mennyire fúj az, hogy valaki mások rendszerét teszteli, de szerintem az igazi kérdés az, hogy ha bejutott, akkor mit csinál. Sokan (vissza)élnének a lehetőséggel, de ez a srác inkább jelezte a problémát az üzemeltetőknek.

"Szóval az igazi kérdés az, hogy vajon ő itt a csávó magatartása volt "társadalomra veszélyes", vagy épp próbálta egy nagy, közérdekű üzemet üzemeltető cég társadalomra veszélyes magatartását a jobb irányba befolyásolni."

Hamis dilemmád van, az, hogy az egyik veszélyes a társadalomra, nem jelenti azt, hogy a másik nem az.

Aham, hamis dilemma.
Autópályán tilos gyalog közlekedni, hősünk pedig leáll az autópályán és kiszáll egy égő autót eloltani, vagy legalábbis segíteni benne. Te gondolom ráhívnád a rendőröket, hogy büntessék meg jól...

Ez nem jó példa mert a KRESZ rendelkezik a segítségnyújtásról pont.
--
Gábriel Ákos

Nézd, attól, hogy megpróbálsz egy -- mellesleg nyilvánvalóan blőd -- példát a számba adni, majd azzal vitatkozni, attól még nem lesz igazad.

Azt kellene észrevenned, hogy még csak azt sem állítottam, hogy a kiscsákó cselekedete társadalomra veszélyes lenne (v.ö. "te gondolom ráhívnád a rendőröket, hogy büntessék meg jól..."), egyszerűen arra próbáltam felhívni a figyelmedet, hogy az az érvelés, amit használsz, miszerint mivel amit a T csinál az rossz, ezért amit a kiscsákó csinált, az nem veszélyes a társadalomra, nem állja meg a helyét. Ez a két dolog egymástól függetlenül mérlegelendő.

Emberünk explicite BTKba ütköző dolgot tett. Akármennyire is 100%-ban nemesek voltak a szándékai, ettől ez még lehet a társadalomra veszélyes. Ez ugyanis egy csodálatos, önrekurzív gumiszabály: ahogy más is említette már, egy ilyen arra ösztökél, hogy nyugodtan le lehet tojni a BTK ide vonatkozó paragrafusát, ezzel erodálva a közrend társadalmi megállapodás alapján való működését, ergo veszélyes a társadalomra :).

És igen, jól látod, ez generic működik, a törvények megsértése, ha azt szankció nélkül hagyod, akkor csökkenti a törvényekbe vetett bizalmat, növeli az azok be-nem-tartására való hajlandóságot, tehát mint olyan, veszélyes a társadalomra. Ezért nem is nagyon látni -- fórumokon kívül -- erre való hivatkozást, mert a gyakorlatban e miatt ilyennek csak akkor érdemes neki menni, ha elég erős érvekkel tudod alátámasztani, hogy abban a konkrét esetben ez nem áll fent.

Erre az esetre ez szerintem igen nehezen ráaggatható. A srác csinált egy csomó olyat, ami a jó szándékát megkérdőjelezi, bőven lett volna más, jogintézményeken belül maradó cselekvési lehetősége, hogy kezdjen valamit a T-vel, ráadásul a T "rosszsága" sem tűnik egyértelműnek jogi szempontból. Uh. marad az, hogy a bíró azt, hogy egyébként a T mit (nem) csinált, majd max enyhítő körülményként tudja reálisan beszámítani. Meg természetesen ettől függetlenül lehet abuzálni a T-t, hogy amit csinált, az egyébként szar, és büntessük. (Bár hozzáteszem, BTKst szerintem rájuk nem lehet húzni)

És félreértés ne essék, a terület szabályozása szerintem elég szar, a joggyakorlat még inkább, és nagyon nem tud mit kezdeni az internet nemzetköziségével, de ettől még az érvelés hogy "T rossz -> gyerek nem rossz" nem állja meg a helyét.

Csak hogy egy tény is szembejöjjön ebben a szálban: a BKK-s ügyben a főügyészség konkrétan arra hivatkozva szüntette meg a nyomozást, hogy az elkövetett cselekmény nem bűncselekmény, mert nem veszélyes a társadalomra.

Vagy csak felhívott az ügyész egy szakértőt + látta a collateral damage-et a T oldalán és rájött, hogy nem tud kijönni jól és elengedte. A szándék szerintem meg lett volna. (BTW: ez az indok inkább kivétel, mint szabály.)
--
https://naszta.hu

Igen, emlékszem.

Nem gondolom, hogy ez bármennyire is ellentmondana a fentieknek. Hint: konkrét eset, konkrét körülményei. Azok eléggé mások. A basztatott rendszer is sokkal nagyobb fos volt, meg a srác is sokkal tisztábban járt el. Emlékeim szerint ráadásul egyébként is közérdekű bejelentésnek értékelte, ami szintén kizárja a büntethetőséget, csak így kevesebbet kellett gépelni :)

Ráadásul itt nem a bíró mondta ezt, hanem az ügyész döntött úgy, hogy inkább nem emel vádat, akinek ilyen jogköre ugyan van, viszont a sztori végén az övé is csak egy olyan vélemény, mint adott esetben az ügyvédé.

Illetve -- és ez már szigorúan a konspirációs magánvéleményem a dologról --, fogta az ügyész a gumiszabályt, hogy kisétálhasson abból a PR szarcunamiból, amit a T húzott a fejére.

"A basztatott rendszer is sokkal nagyobb fos volt"

Ezt honnan tudod? Amúgy meg almát a körtével, az egy himihumi webshop volt, ez pedig közérdekű üzem.

"meg a srác is sokkal tisztábban járt el"

Mármint hogy pár órával később lejött a hír az indexen? Szerinted a gyorsreagálású tét mennyi idő alatt törte volna porrá-rommá minden scriptkiddie, és vajon ezért mennyire akarnák most megbaszni a srácot? Rávernék még a 323. §-t is, meg még ki tudja mit. Mert egy webshopot le lehet csapni a netről, de egy közérdekű üzemet azért macerásabb...

"A srác csinált egy csomó olyat, ami a jó szándékát megkérdőjelezi"

Konkrétan felsorolnád azt a "csomó" dolgot?

"bőven lett volna más, jogintézményeken belül maradó cselekvési lehetősége, hogy kezdjen valamit a T-vel"

Például?
Mert azon már túl volt, hogy jelezte nekik, de nem javították.

"ráadásul a T "rosszsága" sem tűnik egyértelműnek jogi szempontból."

Jogi szempontból? LOL
Az tény, hogy nincs a btk-ban "közérdekű üzem hanyag/gondatlan üzemeltetése" jellegű paragrafus, de ez nem jelenti azt, hogy nem is kellene lennie.

Hát, ha nálad a deface és az előfizetők riogatása a befoltozás, ami nem okoz semmilyen kárt, akkor valami nagyon nem stimmel az agyaddal.

Illuzionális kárt (marketingkárt, PR-kárt) lehet, hogy okoz, viszont ez nem riogatás, hanem teljeskörű tájékoztatás.

Egyébként, nem kell arrogáns módon elspúrkodni az informatikai biztonságra szánt keretösszegeket és nincs miről beszélni.

Kínoz a kérdés, hogy fel kellett-e volna tenniük a meltdownos patcheket...

Bennem az merült fel, hogy ha mindenütt 64 bites XP-t használnának, ócska Pentiumon, akkor nem lenne gond ez sem :-D

Mind a deface mind a "minden előfizetőnek sms" bizony károkozás, nem is kicsi.

--
Gábriel Ákos

A deface egy mozdulattal visszaállítható (erről persze gondoskodnia kell a tényfeltáró hackernek). A körSMS-nek csak és kizárólag adminisztratív (fix) költsége van. Az, hogy a díjcsomagodban 20-30 Ft az bizony azt jelenti, hogy multika úgy húzza le a pénzed, ahogy nem szégyelli.

Látszik hogy lila fingod nincs a költségszerkezetről (sem). Végződtetési díj, roaming, csak hogy párat említsek.
Félreértés ne essék, nem sajnálom a multikat, de a szakmaiatlan fröcsögés zavar.

Amúgy pont leszarom, azt csinálsz amit akarsz.

--
Gábriel Ákos

" úgy szépen tovább kell törni a rendszert" további bcs.-t elkövetve ugye... Csak hogy még mélyebbre ásd magad a féceszbe. Bár amennyire szatyorban (a valóságtól messze távol) élsz, nem csodálom, hogy ekkora baromságot írsz.
"kiadós deface a honlapra, vagy egy broadcast SMS minden előfizetőnek" - pláne... Aztán polg.peres eljárásban a következő életed jövedelmét is leperlik rólad a károkozás miatt, miután néhány btk.-s tényállás minősített esetével kapcsolatban bűnösnek mondanak ki.

Jól (észrevétlenül) kell csinálni, és esélyük nem lesz leperelni rólam bármit, amennyiben azt sem tudják, ki vagyok.

Akkor tedd meg b+, de ügyesen ám! Azért előtte írd meg, mi a kedvenc kajád, hátha lesz valaki hozzád hasonló barom, aki visz neked a sittre...

Látom, megakadt a lemez.

Ha jól értem, felfedezett egy hibát, bement a T-hez jelenteni, azok meg vagy felfogták a dolgot vagy nem, aztán később hekkerünk kíváncsiságból, hogy javították-e már, ismét kihasználta az adott hibát, amire válaszul feljelentették.
Nekem ez úgy hangzik, hogy valaki házhoz ment a lófaszért.

Én az e-jegy balhé óta (meg amúgy sem) mernék már itthon ilyen nyíltan sebezhetőséget jelenteni. Két hibát is elkövetett a cikkben említett "hacker". Bár szerintem megint egy lelkes amatőrről szól inkább a történt, nem egy profiról.

- Miért kell személyesen bemenni és úgy jelenteni? Megfelelő védelemmel ellátott gépről (nyilvános wifi + Tor + VM/nem saját laptop) küldött anonim e-mail bőven megteszi. De ez még talán a kisebbik hiba. A nagyobbik...

- Miután ismerik a személyazonosságomat, betörök mégegyszer úgy, hogy simán rám is tudják bizonyítani??? (saját gép, saját IP, stb.)

Az ilyen hibák bejelentésének megvan a módja. Ezt egy etikus hacker feltehetően jól ismeri:

http://www.cert-hungary.hu/anonim-bejelentes

--
trey @ gépház

Ha a hozzáférés és a kipróbálás bűncselekmény, akkor ez az oldal kimeríti a felbujtás vádját.

Jogszabályi tényállást. A vád az más.

"Nemzeti Kibervédelmi Intézet", de sima http-n jön be az oldaluk...

Megy az https-en is.

--
trey @ gépház

Ez gyakorlatilag egy e-mail cím.
Én ide semmit nem küldenék saját IP-ről/címről.

Küldj, nem kell tőlük félni, próbáltam. Kapsz egy hibajegy számot, amit néhány hét / hónap után lezárnak megoldatlanul.
De lehet, ezt csak én tapasztaltam és nem ez az általános. :)

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

Az a gaz imperialisták megtévesztésére van csak, nehogy azt hidd, hogy kijavították a hibát, közben meg ott vár a csapda.
/s

A HunCERT nyilvános kulcsa:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGP 8.0.2 - not licensed for commercial use: www.pgp.com

mQENBD+f2EgBCADKxwHCIQ9OnEDw73wnto/ll6hfsd1I9lKMwllqWWoauWIIYFOh
...

pro

Most gondold meg, mekkora pro egy non-profit intezet hasznal egy szoftvert non-commercial cellal, outrageous, azonban de te sikeresen megtalatad a cert.hu-t a cert-hungary.hu(Magyar Kormany/Govcert) helyett. Hat bravo :) "pro"

Jogos feedback, fölösleges "kötés" volt. Btw én tudomásom szerint a for- vagy non-profitságától függetlenül a nem személyes felhasználás commercial-nek számít.

Szerintem csak örüljünk, hogy egyáltalán vannak ilyen szervezeteink. Ez sem triviális a világban mindenhol. :)

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

Nem teljesen mindegy?

"A hibát jelezte a Telekomnak, sőt, be is ment a céghez, hogy személyesen adhassa át a biztonsági kockázatról készített elemzését a cég kiberbiztonsági szakembereinek."

Itt ért véget a feladata, mint etikus hacker.

"A találkozón tapasztaltak azonban nem nyugtatták meg afelől, hogy a hibát tényleg megszüntetik, ezért később ismét belépett a rendszerbe, hogy tesztelje azt."

Itt pedig lekövette azt a hibát (bűncselekmény gyanúja), amit nem kellett volna.

LK: Számítástechnikai rendszer és adatok elleni bűncselekmény

--
trey @ gépház

+1

A TASZ meg adja a hülyét, próbálja kelteni a hangulatot.

--
trey @ gépház

+1

+1

Khmmm...
Csak egy dologról nincs itt szó: okozott kárról.

A srác csak kiváncsi volt, segíteni próbált, erre ráküldték a témagyar állam erőszakszervezeteit, aztán profi ügyvédet nyilván nem tud megfizetni, kirendelt védővel pedig annyi esélye van a bíróság előtt, mint szálasinak anno...
De szerencsére itt a TASZ, ami pont a dolgát végzi. Értsd: amikor az állam elkezd köcsögölni az r=1 állampolgárral, akkor megpróbál segíteni neki.

Ebben a témában a tevékenység maga büntetendő, nem függ kárértéktől.

Van ilyen szabály, hogy etikus hacker adott szervezetet csak 1 alkalommal tesztelhet? És ha már egyszer felfedezett egy hibát, akkor mennyi időnek kell eltelnie, hogy ugyanennél a szervezetnél újra felfedezhessen egy hibát?

Hogyha a Telekom foltozta volna a jelzett hibát, akkor nem tudott volna újra belépni.

A hatóság és a szakértők komplett és átlátszó hülyének nézése lenne erre hivatkozni.

--
trey @ gépház

Olyan JOGszabály van, hogy nem végezhetsz törvényesen még csak egy szimpla, script mentes nmap-ot sem. Nem csak te, vagy én, de még csak a GovCert sem.
Helyette ők is a Shodan-t használják információszerzésre, ami kínai. :)

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

"Andrást azonban nem hagyta nyugodni a gondolat, hogy ennyire sérülékeny a rendszer. Folytatta a tesztelést, aminek eredményét szintén meg akarta osztani a Telekommal. Május elején olyan sebezhetőségre bukkant, amellyel a teljes állami és lakossági mobil- és adatforgalomhoz hozzá lehetett férni, és a T-Systems által kiszolgált cégek szervereinek adatforgalmát is meg lehetett volna figyelni. András a teszt során nem rejtette el kilétét (IP-címét). Megvizsgálta, hogy a Telekom belső rendszerében létre tud-e hozni egy rendszergazdai jogosultsággal rendelkező tesztfelhasználót. Ez sikerült, de hamar észrevette, hogy ezt kiszúrták a Telekom emberei is. András ebből látta, hogy ezt a sebezhetőséget ezek szerint már észlelték a cégnél. Ezek után felhagyott a rendszer tesztelésével."

Szerintem annak nem kéne bűncselekménynek lennie, hogy valaki tesztelés szempontjából belép valahova és ott nem történik károkozás.

Annak már inkább, hogy egy cég annak ellenére sem tett semmit, hogy tudott róla, hogy olyan hiba van a rendszerben, ami hozzáférést enged a rendszerhez és az ügyfelek adataihoz.

A legtöbb webes szolgáltatást érintő hiba csak teszteléssel deríthető ki. Ha ezt bűncselekménynek vesszük, akkor azzal csak látszólagosan növeljük a szolgáltatás biztonságát és a valódi, professzionális hackerek malmára hajtjuk a vizet.

"egy cég annak ellenére sem tett semmit, hogy tudott róla, hogy olyan hiba van a rendszerben, ami hozzáférést enged a rendszerhez és az ügyfelek adataihoz" - azt honnan, miből szűrted le, hogy a T nem tett intézkedést az ismertté vált hiba javítására, illetve a kihasználhatóságának a csökkentésére? Az, hogy "nemlettjavítva" az egy dolog, az meg egy másik, hogy a megfelelő monitoringban felcsapja a piros lámpát, ha valaki nekilát kihasználni az adott sérülékenységet, és reaktív módon, de tesznek ellene.

Kérdezek:

Ha a házad hátsó bejáratán a zár bedöglik, és nyitva áll az ajtó, amin valaki besétál az előtérbe, majd ezt jelzi neked, hogy heló, nyitva van az ajtó hátul, mit csinálsz?
Ha nem tudtok megegyezni abban, hogy mivel köszönöd meg neki, és mindketten tudjátok, hogy az adott zár cseréje/javítása nem megy egyik napról a másikra, és ez az alak legközelebb a nappalidban turkál a személyes papírjaid között, akkor mit teszel?

IRL/internetes hálózat összehasonlítása nagyon ritkán állja meg a helyét:
Ha a bejárati ajtómon valaki megpróbálna bejönni egy hamis kulccsal, akkor feljelentést tehetnék.
Ha admin/admin-al próbálkozott az ssh-n és emiatt feljelentést akarnék tenni, akkor elég furcsán néznének rám azthiszem.

Én nem látok különbséget, de akkor a brute force is maradhat, vagy ott már jogosnak érzed?

Nem hiszem, hogy a feljelentés a megfelelő lenne ennek a kezelésére: a szolgáltatást próbálnám úgy kialakítani, hogy kevésbé legyen lehetőség brute force-ra.

Fel kell ismerni, hogy az internetes térben kis erőfeszítéssel elérhető viszonylag magas szintű anonimitás, így a való életben alkalmazott, elrettentésnek szánt megoldások kevésbé célravezetőek a valódi bűnelkövetőkkel szemben és a biztonság kialakításában sokkal nagyobb felelőssége van a szolgáltatást nyújtó cégnek.

Tehát a tökike második behatolására hogyan reagálnál?

Megnézném hogyan jutott be, befoltoznám hibát és logolnám a tevékenységét.

> Ha admin/admin-al próbálkozott az ssh-n és emiatt feljelentést akarnék tenni, akkor elég furcsán néznének rám azthiszem.

Nem fognak, nyugi. :)

"Ha admin/admin-al próbálkozott az ssh-n és emiatt feljelentést akarnék tenni, akkor elég furcsán néznének rám azthiszem."

Szerencsére a jog nem az alapján dönti el, hogy jogosult-e valaki belépni egy rendszerbe vagy egy adott helységbe, hogy mennyire biztonságos a zár*, hanem az alapján, hogy van-e ott keresnivalója az illetőnek vagy sem. Ergo, ha egy garázskapu csak be van csukva de nincs lelakatolva, attól még nem vagy jogosult bemenni azzal az indokkal, hogy "nem volt lelakatolva".

* Mondjuk mintha lenne szabály arra is, hogy neked is foglalkoznod kell az értékeid védelméve.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

> Ergo, ha egy garázskapu csak be van csukva de nincs lelakatolva, attól még nem vagy jogosult bemenni azzal az indokkal, hogy "nem volt lelakatolva".

Tehát ha csinálok egy weboldalt, amire kirakok egy linket azzal a felirattal, hogy "Magánterület! Erre a gombra csak Kovács Pista kattinthat rá", akkor mindenkit feljelenthetek, aki rákattint és nem Kovács Pista?

Továbbra is úgy gondolom, hogy a fizikai térben lévő jogszabályokat nem szabad átültetni internetes jogra, mert alapvető különbségek vannak. (pl. hogy a világ másik végéről, anonim módon is megtörténhet a behatolás)

"Továbbra is úgy gondolom"

Sem a jogalkotókat és sem az ügyvédeket, sem a ügyészséget nem érdekli, hogy te mit gondolsz. BTK-ban egyértelműen le van írva, ráadásul pont informatikai rendszerekre szabva:

"Információs rendszer vagy adat megsértése

423. § * (1) Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő."

Tehát, ha admin/admin a jelszó és neked ott nincs keresnivalód, mégis belépsz, BTK 423. Mondjuk azon már lehet vitatkozni, hogy a "kiírtam, hogy csak Pistuka léphet be" megfelel-e az "információs rendszer védelmét biztosító intézkedés"-nek. Szvsz. ügyvéd kérdése, hogy be tudja-e bizonyítani, hogy az védelem. Kontextusfüggően még akár meg is állhatja a helyét, akármenynire is szokatlan use-case.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Ez oké, de amikor garázskapura hivatkozol egy internetes login esetében, akkor nem arról vitatkozunk, hogy a BTK szerint hova sorolható be a dolog, hanem személyesen mennyire érezzük elítélendőnek a cselekedetet.

Ebben elég egyértelmű a BTK: volt-e védelem, ami arra hivatott, hogy megakadályozzon valakit a belépéstől vagy sem? Egy login form, nekem eléggé védelemnek tűnik.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

„Szerencsére a jog nem az alapján dönti el, hogy jogosult-e valaki belépni egy rendszerbe vagy egy adott helységbe, hogy mennyire biztonságos a zár”

A jogosultságot nem ez alapján állapítja meg, de a büntetés mértékénél már számít: betörés vs. besurranás.

Érdekességképpen, mert már régen volt, és azóta változott a Btk. is: Valamikor a 90-es évek közepén feljelentett az HBO (vagy egy TV szolgáltató?) egy szűrőgyártót. A per végén a birói döntés lényege: Tetszett volna olyan védelmi rendszert alkalmazni, amilyet nem lehet ilyen könnyen kijátszani. Ezután vezették be azt a módszert, hogy nem zavarjelet tettek az adásra, hanem a komplett csatornát kiszűrték (még a lakáson kívül) azoknál, akik nem fizettek elő.

Már bocsi, de ez inkább ahhoz hasonlatos, hogy rossz a zár, ő szól, nem tudtok megegyezni a jutalomban, ő elmegy, te meg felfegyverezve várod visszajön-e. Amikor benyit az ajtón (és lehet, hogy csak köszönne...) te ráugrasz és összevered magánterület sértésért.(Ahelyett, hogy megkérdezném: Megint te, vagy? Na húzzál a P-ba...)

Lehet hogy másik szálban kéne kérdeznem de:

"Egy nyilvános, interneten elérhető felhasználói útmutatóban figyelt fel egy DNS-kiszolgálóhoz tartozó olyan IP-címre, amiről kiderült: azon keresztül rendszergazdai jelszót lehet szerezni, majd azzal belépni a Magyar Telekom belső informatikai rendszerébe"

Ebben mit nem lehet fél órán belül elhárítani?

Igen, tudom, hogy akkor egy hétig áll a rendszer mert ki kell találni valami jobbat.(És az IT-t baszogatják.) És utána ki kell okosítani a kimászkáló munkatársakat is.(Miközben mindenki két pofával az IT-t szidja.) De, ha nagy a gebasz tessék felismerni, és a megfelelő (akár drasztikus) lépéseket foganatosítani.(Mert mint egy másik szálban említettem ez bizony GDPR sértés! Mert már tudtál róla, mégsem tetted meg amit meg kellet volna tenni!) Nem alszanak szegények két napig (hétig) mert ezen dolgoznak? Ezért jár nekik a nagy Zs. (Nekem nem jár nagy Zs, de ha valami főfasz kitalálja hogy nem jó úgy ahogy eddig jó volt én sem alszom egy hétig. Ez egy átlagos munkakörben benne van.)

Nem átlagos munkakör. Ne felejtsd el, hogy a Telekom egy szocialista cég a versenyszférában, Frankurtban is.
Bármekkorát hibázhatnak, akármekkora kiadást csinálhatnak, a német kormány úgy is kifizeti/kimossa a bajból.

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

Nem. Ha utánaolvasol, akkor bement, és további sérülékenységeket keresett/talált és egyéb rendszerekhez is hozzáfért.

Csak kíváncsiságból: Az új sérülékenység volt amit "Egy nyilvános, interneten elérhető felhasználói útmutatóban" talált?

Bocs elolvastam. Nem az volt.

Azért így utánaolvasva elég bicskanyitogató módon reagált a Telekom. Ugye szerződésről, meg napidíjról volt szó, amit sokallottak. Ez OK. De azért mondjuk az első sebezhetőségért igazán fizethettek volna valamit. Ekkor mondjuk alá is írathattak volna vele valami papírt, hogy nem fog az engedélyük nélkül piszkálni.

Azt nem értik nagyon sokan, hogy a hackelést tiltani pontosan olyan, mint az emberi kíváncsiságot tiltani. (== Mintha saját magát kéne megtagadni az embernek.)
És ha bennünk már nincs is olyan sok, egy diákban azért úgy feltételezem, hogy még akad.
Nehezen hiszem el, hogy egy főiskolást ne lehetne meggyőzni barátságos módon anyagilag...
Szerintem is sorozatos hibák történtek megint a Trékomnál. A baj csak az, hogy a negatív reklám is reklám.

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

+1 kéne egy törvényt alkotni az etikus hackelésről (nem tudom, van-e ilyen, hír alapján gondolom nincs). Tehát ne lehessen büntethető az etikus hacker, aki a talált sebezhetőséget haladéktalanul megosztja kizárólag az érintett szervezettel, és nem él vissza a sebezhetőséggel.

Nem, arról kell törvény, hogy a telcom közszolgáltatások a XXI. században fontosságban egyenértékűek a kommunális szolgáltatásokkal és, mint ilyennek, meghatározott IT security követelményeknek kell megfelelniük.

Van lehetőség a tényleges etikus hackelésre. Úgy hívják, hogy szerződés sérülékenységvizsgálatra. Ez a szerződés a szokásos szerződési adatokon túl tartalmazza a megbízó átvizsgálni kívánt saját rendszereit, a vizsgálat időtartamát (tól-ig) és egyéb feltételeket.

Gondolom, ha felkertek tesztelesre, akkor a megfelelo szerzodesek birtokaban a biro nem fogja elitelni.

az általad idézettek alapján (https://index.hu/belfold/2017/07/26/telekom_t-systems_biztonsagi_res_nni_etikus_hekker_rendorseg_nni_orizetbe_vetel/) egy másik, újabb biztonsági rést talált és "Mint később megtudta, a Magyar Telekom ezen napon ismeretlen tettes ellen feljelentést tett a rendszerét ért támadás miatt.", azaz nem őt magát jelentették fel, valamiféle kicsinyes bosszúból, hanem saját magát buktatta le. Az előbbi cikket elolvasva, azért árnyaltabb a történet, mint ahogyan most tálalják.

Azért ismeretlen tettes ellen tesznek feljelentést ilyenkor, nehogy kimerítsék a hamis vádat, és visszanyaljon a fagyi.

szerinted honnan tudhatták, hogy ő volt, az a srác, aki 1-2 hónapja náluk járt?

majd biztos ellenőrizték az IP címeket, mi? annál azért lustábbak az emberek, majd a szerv megtalálja az elkövetőt, minek vesződjünk vele...

Náluk volt az IP címe, ők voltak a szolgáltató, a szerv tőlük kérte volna az előfizetőt.

arról sehol sincs említés, hogy Telekomos előfizető volt, és ha igen, mivel főiskolás a srác, és otthon lakott, ezért az előfizetés sem valószínű, hogy az ő nevén volt...

ha konkrétan ismerték volna az elkövetőt, akkor nem 3 hét múlva megy ki az NNI, szerintem... (lásd az említett cikket)

túl sokag feltételezel az nni-ről.

Egy büntetőügy közepén van a csávó, te a helyében kiadnál egy közleményt, hogy "naná, hogy megszereztem a root usert (ezt bevallotta) és lekaptam az összes ügyfél adatát"? (+5 év börtön)

Ebben az a marhaszép hogy ezek alapján a Telekom GDPR-t sértett(Nem is kicsit). Hiszen ha csak úgy kívülről létre tudott hozni egy rendszergazdai jogosultsággal rendelkező felhasználót, az GDPR szempontjából olyan lyukas rendszer, mint a szita. A GDPR-t pont azért hozták létre, hogy cégeknek tessék végiggondolni, hogy biztonsági szempontból megfelelően védett-e a rendszerük. Szomorú, hogy a T-kom (ami azért mégsem nevezhető garázscégnek) nem vette a fáradságot a fentiekre...

GDPR-t aligha.

Üdv,
Marci

Még értelmezés kérdése: https://www.theverge.com/2018/10/1/17922946/facebook-breach-gdpr-lawsuit-privacy-commissioner-europe

De ha felmerül adatszivárgás lehetősége és nem jelentették 72 órán belül, akkor az biztosan sérti a GDPR-t: https://www.pwc.com/im/en/media-room/articles/managing-responding-data-breaches-gdpr.html

A GDPR még nem volt hatályos akkor.

Üdv,
Marci

Már bocsánat, de

"A rendelet 2016. május 24-én lépett hatályba, és kétéves türelmi időszak után 2018. május 25-től kell alkalmazni."

Tehát hatályos volt, csak nem büntettek érte.

OK, igaz.

Üdv,
Marci

-dupla-

Szerintem ez előtte történt.

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

"A GDPR-t pont azért hozták létre, hogy cégeknek tessék végiggondolni, hogy biztonsági szempontból megfelelően védett-e a rendszerük."

Nem, a GDPR a személyes adatok védelmét szolgálja.

Arról megy a mese az ügyvédje (TASZ) részéről, hogy a srác semmilyen ügyfél-adathoz nem fért hozzá, így tehát nem releváns a dolog GDPR szempontjából.

Mert egy admin jogosultsággal amit egy fejlesztői gépre szerezhet bárki (és onnan szabad a bejárás a Telekom rendszerébe) olyan marha nagy biztonságban vannak a személyes adatok. Persze, ha egy cég semmilyen személyes adatot nem kezel (haha) akkor nem releváns a GDPR. Akárhogy is nézem a Telekom is ludas hiszen nem vigyázott rendesen az adatokra.

A srácot amúgy ugye nem a GDPR alapján perelték be (ami miatt ő sem büntethető mert az elkövetés idejében a GDPR-ben türelmi időszak volt) hanem 'közérdekű üzem működésének jelentős mértékű megzavarása' ami kb. terrorcselekmény.

"hanem 'közérdekű üzem működésének jelentős mértékű megzavarása' ami kb. terrorcselekmény"
- ez ugye nem all meg, hiszen nem tortent megzavaras, ezt a vadat egy kezdo jogasz is azonnal szetkapja.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Sajnos ez ma Magyarország. Inkompetens ügyészek és bírók, korrupt szakértők.
Ép eszű ember nem vállal ilyen munkát a saját nevén.

Mármint nem vállal munkát a magyar telekomnál?
--

+1 :) Akarhogy is, a BKV ugy utan most ez, nem tul jo reklam a T-nek.
____________________
echo crash > /dev/kmem

Azok a Telekomos kollegák, akik zsarolással és jogszabályokkal takaróznak... gondolkozzanak már el azon, hogy szándékosan elkövetett gyilkosságra 3-4 éveket osztanak nálunk. Egy véres verekedésre meg pár hónap felfüggesztettet.

Valamint szeretnék visszautalni erre a meetup-ra is: https://rendezveny.hwsw.hu/free/31
Ahol egy csomó szépet és jót hallhattunk a Telekomos "Bug bounty - közösségi hibafeltárás a védelem oldaláról [Támogatói előadás]"
https://www.hwsw.hu/kepek/hirek/2018/05/hary_bugbounty.pptx

Most akkor druszám (ismeretlenül is) az első nyertes? Ja nem... második? Talán sokadik?

Alig találni jó munkaerőt... Miért kell sportot űzni a fiatalok jövőjének leromolásából? Hogy az inkompetens rétegnek is maradjon melója? Maradna egyébként is...
Hol fog szerencsétlen munkát kapni majd büntetett előélettel?
Senki sem gondolja szerintem komolyan, hogy egy ilyen után nem fogja itthagyni az országot.

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

Hogy hagyná?! Csak nálunk van Túró Rudi!

Jogos...
(Bár nekem úgy rémlik, hogy a románoknál, osztrákoknál is van, csak picit másabb.)

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

A mai fiataloknak meg eszre kene venni ,hogy nem a matrix 28-at forgatjak veluk eloben. Ha egy szemelyes talalkozo utan a ceg reszerol nem tortenik megkereses akkor leallunk es nem Neo-t jatszunk hanem keszulunk a vizsgankra vagy egyeb hasznos dolgot teszunk. Az onjelolt "hoskodes" jutalma nem marad el. Nem is ertem mit gondolt ,hogy majd tapsolnak neki es a laba ele borulnak?

A beszelgetes alapjan vagy o nem volt elegge meggyozo szakmailag es ugy gondoltak jol van ver istvan ratalalt az egyik szarul konfigolt service-unkre vagy ha megsem akkor a ceges belso politika kaszalta el az ugyet.

Anno meg adatparkos idoben en is szoltam T-nek ,hogy ugyfel oldali VLAN egybe volt akasztva a T-Kabel belso haloval. Megkoszontek aztan jol nem tortent semmi kesobb is megvolt ez a res ugyanugy de nem kezdtem el szethekkelni.

"mai fiatalok" - épp ez az! Egy fősulis diákról beszélünk, (aki még csak nem is dolgozik a Trékomnak), lényegesen kisebb felelősségérzettel, mint neked az Adatparkos időkben lehetett. :)
Viszont lelkesedése az van, én instant felvenném. (Vagyis úgy sejtem... épp most próbálják kiölni belőle.)

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

Anno meg adatparkos idoben en is szoltam T-nek ,hogy ugyfel oldali VLAN egybe volt akasztva a T-Kabel belso haloval. Megkoszontek aztan jol nem tortent semmi kesobb is megvolt ez a res ugyanugy de nem kezdtem el szethekkelni.

Nagy szerencsédre más sem, mert különben lehet, hogy csak most szabadulnál.

Ugye te is olyan voltal egyetemista korodban, hogy ha talaltal valami brutal izgalmas dolgot, akkor az elso elmeny utan gyorsan eltuntel vizsgakra keszulni? :)

Hidd el, hogy a "mai fiatalok" eléggé szarnak mindenbe, nem kell erre külön felhívni a figyelmüket. Az meg, hogy van 1-2 lelkesebb emberke akiben nem teng túl a közöny, és a bullshit-en kívül más is érdekli, ne vigye fel a vérnyomásodat.
--
"Csak webfejlesztést ne..." -ismeretlen eredetű szállóige-

Ohh en nyugodt vagyok. Mindenki ugy alakitja az eletet ahogyan neki tetszik. Mondjuk azert erdemes jobban belegondolni neha ,hogy mikent mukodik egy nagy ceg nem csak szabadsagharcoskent kardozni meg sajnalni szegeny sracot. Egy egyetemre jaro fiataltol elvarna az ember ,hogy mielott ilyen lepesekre szanja el magat hatszor vegiggondolja a lehetseges kimeneteleket is. Tudom az szokas mostanaban ,hogy nagyon vedelmezzuk oket mert hogy milyen fiatal. Elvileg 2x+ eves tanult ember nem? Most nem azt mondom ,hogy bortonbe vele es rohadjon ra a muanyag lakat de egy ejnye-bejnye az alapos vizsgalat utan igazan raferne. Plusz egy nagy ceg, policy alapjan hivatalbol el kell ,hogy jarjon egy bizonyos pont elerese utan. Sajnos o elerte ezt a pontot.

Hoztak egy nem tul okos dontest aminek a kimenetele lett ,hogy koszonjuk nem kerunk beloled. Ekkor vennie kellett volna a lapot es nem "aggodni" meg tovabb hekkelni a rendszert.

Mondjuk egy egyetemista ahelyett ,hogy orult volna ,hogy beteheti a labat az orszag egyik legnagyobb szolgaltatojahoz elbaszta azzal ,hogy kicsit kapzsi volt. Siman kezdhetett volna interimkent akkor is kapott volna jo kis zsebpenzt. Van egy gyanum ,hogy mar most Mitnicknek kepzelte magat es ugy arazta be magat...

"Tudom az szokas mostanaban ,hogy nagyon vedelmezzuk oket mert hogy milyen fiatal" - csak nem hiányoznak a 90 előtti évek, amikor egy jó gumibotozásért elég volt ha fiatal voltál és hosszú a hajad?
"orult volna ,hogy beteheti a labat az orszag egyik legnagyobb szolgaltatojahoz" :D :D :D ez akkora megtiszteltetés? A 3/4-ét megkérdezed, azt nem tudja elmondani, hogy mit csinál ott.

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

". gondolkozzanak már el azon, hogy szándékosan elkövetett gyilkosságra 3-4 éveket osztanak "

Ezt honnan veszed?
Mert ugye az alapeset is 5-től kezdődik, valamint:

"Jelen kutatás módszerének kialakításához alapul vettem még Balla Lajosnak, a
Debreceni Ítélőtábla elnökének 2010-ben megjelent munkáját, amely az irányítása alatt működő bíróság büntetéskiszabási gyakorlatát ismerteti.31 Az ügyvizsgálat
során arra az eredményre jutott a szerző, hogy a mintában szereplő emberölés alapesete kapcsán hozott ítéletek 74%-ában 10 év szabadságvesztés-büntetést szabott
ki az ítélőtábla. A büntetési mérték meghatározásakor a büntetési tételkeret középmértékéből indul ki ez a bírói fórum. "

https://jog.tk.mta.hu/uploads/files/2018-01-GoczaA.pdf

Személyes ismeretségből sajnos... de ha bogarászod a hírportálokat egy kicsit, igazolni fogja.

OFF: A börik magánkézben vannak, nagy biznisz. (a 300ft/perces telefonálások csak a jéghegy csúcsa - az is Telekom vajon?)
Mivel 2-300%-on túl vannak használva, a rabok távozáskor rendre beperelték a böriket, komoly milliókat kaszálva...
Reakció: tiltsuk ki a Helsinki Bizottságot! Amit nem látnak, az nincs!
Szerinted... egy fiatal, jóképességű, főiskolás fiúra... mi vár egy olyan helyen, ahol 2-3X több ember van egy zárkában, mint kéne és az a téma, hogy New York-ban milyen nyelven beszélnek?
És akkor még az előzetről nem is beszéltünk, az sokkal kutyább.
Debrecent meg inkább hagyjuk szerintem... 2010 meg 9 éve volt.

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

"A börik magánkézben vannak, nagy biznisz."

Te melyik országról beszélsz?

> Hol fog szerencsétlen munkát kapni majd büntetett előélettel?

IT security vonalon? Állami szervezeteket leszámítva bárhol.

A megbízás nélkül hackerkedtem, majd megpróbáltam eladni magam, visszautasítottak, megkértek, hogy hagyjam abban, de én a saját IP-mről visszamentem és folytattam, vajon jó referencia? :)

A teljes T csoporton belül egyébként jelentős reorganizáció megy éppen.

"Véletlenül találtam egy sebezhetőséget, szóltam róla, megpróbáltak felvenni, de nem akartam náluk dolgozni" így akartad kezdeni, ugye?

T-nél reorg? még szarabb lesz?

A kérdés csak a büntetett előéletről szólt. :)

De csak mert állami szervezetnél belehalna a hibajegy fociba. XD

> Hol fog szerencsétlen munkát kapni majd büntetett előélettel?

Majd indit sajat biztonsagi ceget...

https://mitnicksecurity.com

Gyorsan fel is hivom mindjart a Telekomot, hogy kapcsoljak ki nalami a Telekom Fon-t.

Csináld magad! Ha jól tudom csak a Speedportokon van.
DynDNS beállításokon keresztül simán tudsz rajta kódot futtatni, emlékeim szerint valami TR-069-szerű interfész is van a lan oldalon amivel configot lehet titkosítatlanul le/feltölteni ha jól rémlik auth nélkül. (régen volt DSL :))

:) :) :)

Note to self: A Telekomnak semmit nem szabad jelenteni. :D

Anno másfél éve aktualizáltam a BSA-s börtönnaplót, most is lehetne... :)

1. hét, hétfő

Éjjel bevittek az előzetesbe. Van itt néhány nagydarab, tetovált rab. Főleg gyilkosok és rablógyilkosok. Elmondtam, hogy 50 forintért vettem bérletet, mert súlyos hibát találtam a BKK online felületén. Elsápadtak, majd tisztelettel arrébb húzódtak. Az egyik felajánlotta, hogy szívesen kitisztítja majd a cipőmet, ha igényt tartok rá. Talán nem is lesz itt annyira rossz.

1. hét, kedd

Beszélgettem a cellatársaimmal. Az egyik gyilkos elmondta, hogy 5 évet is kaphat, de lehet hogy 3 év múlva szabadon engedik mert hirtelen felindulásból ölt. A másik ittasan elütött egy asszonyt, 3 évet kaphat, de lehet hogy 2 év múlva elengedik, mert a nő szabálytalanul közlekedett. Mondtam, hogy az 50 forintért vett bérlet miatt 3 évet is kaphatok, de lehet hogy leviszik 2 évre, mert két perccel később jeleztem a BKK felé a hibát.

1. hét, szerda

Ma kihallgattak a rendőrök. Azt mondták, bizonyítsam be, hogy nem nyerészkedni akartam a vásárlással. Mondtam hogy 300 kilométerre lakom Budapesttől. Azt mondták ne próbáljak trükközni, ők okos rendőrök, "Mink to-vább-kép- zé-sen is vó-tunk" (így mondták) és tudják, hogy akár le is másolhattam budapestieknek a QR kódot. Végem van.

1. hét, csütörtök

Kínozni kezdtek! Behoztak egy számítógépet, a hóhér a BKK oldalát mutogatta, amíg már csak az 503-as hibát lehetett látni.

1. hét, péntek

Tovább kínoznak! Mivel a BKK oldala nem jött be, arra kényszerítettek, hogy a T-Systems weboldalát nézzem órákon át. Aztán már az se jött be.

2. hét, hétfő

Miután látták, hogy nem török meg, magánzárkába tettek. Nem én vagyok a zárka első lakója. Van itt egy falhoz láncolt csontváz. A falra valaki körömmel néhány régi SSL sebezhetőséget kapart. Az utolsót már nem tudta befejezni... Ma éjszaka megjelent a csontváz szelleme. Dömötör a neve, még az SSL Heartbleed hibát jelezte egy állami cégnek, ezért zárták el, aztán itt felejtették és éhen halt. Azóta itt kísért.

2. hét, kedd

Bejött az ügyvédem. Azt mondta, az "információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz" paragrafussal gyanúsítanak. Megkért, áruljam el neki, milyen keretekről van szó, amelyek miatt nem lehet hozzáférni az adatokhoz. Nem tudom, hogy az ügyvéd mennyire felkészült a témában, de rossz előérzetem van.

2. hét, szerda

Elkészült a szakértői jelentés. Egymillió forintos anyagi kárt okoztam az 50 forintért vett bérlettel, további két milliárd forintos erkölcsi kárt pedig azzal, hogy az ellenzéki sajtó is tudomást szerzett erről. A szakértő szerint a bérletet akár a maffiának is eladhattam. Ha nem tudom bebizonyítani hogy ezt nem tettem, leültetnek. Hogy lehet bebizonyítani, hogy valamit az ember nem tett meg?

2. hét, csütörtök

Olvasgatom tovább a szakértői jelentést. A szakértő talált néhány bitet a gépemen, ami őt távolról a korábbi kormányzati támadásra emlékeztette. Azt írta, ez alapján biztos hogy azt is én tettem, a kár mintegy 150 millió forint.

3. hét, péntek

Kopogást hallottam a zárka falán. Rájöttem, hogy valaki a bináris kódban kopog. Válaszoltam neki, és most hexában kopogva beszélgetünk. Ő is hibajelentés miatt ül. Egyre többen szállnak be a kopogós levelezésbe. Most már levelezési listaként kopogunk. Dömötör lett a mailer daemon.

[egy klasszikus sztori aktualizálva]

--
https://iotguru.live

Az a baj, ahogy nincs következetes joggyakorlás hazánkban, hasonló esetben (mert lesz még pár) nem lehet előre tudni, hogy megköszönik vagy tönkretesznek.

Első után megköszönték volna, de megszakadtak a tárgyalások - gondolom azért egyértelműen kifejezésre juttatta a T a tárgyalások során, hogy a srác nem folytathatja, amit addig csinált - erre a srác visszament, és mélyebbre turkászott.
Az első sérülékenység felfedezése utáni jelzés és tárgyalás mutatta midkét fél jóhiszeműségét. Az viszont, hogy a tárgyalások sikertelensége után a srác tovább kutakodott, mélyebbre merült, az már kérdésessé teszi a jóhiszeműséget.

azt se tudjuk hogy a srac egy mitnickes 1-2misis arat kert, vagy a telekom ajanlott egy kemeny 50k-s jutalmat. mivel sikertelen lett a targyalas, az egyik (vagy mindket) fel hulyenek nezte a masikat. johiszemuseg ide vagy oda.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ez az eset több szemszögből nézhető, ahogy a kommentek is mutatják, valami majd lesz belőle...
De mi lesz legközelebb, mire számítsd, hogy járj el, ha biztonsági rést fedezel fel?

Eddig is nyilvánvaló volt, hogy ha nagyvállalati arroganciáról van szó, akkor te mindig az arrogáns oldalt favorizálod.

Elmondom akkor röviden, hogy a srác miért hekkelt tovább: Azért, mert felelősséget érzett a több millió előfizető (értsd: honfitárs, polgártárs, ember stb.) iránt, akiknek felhasználói biztonságát félvállról veszi az arrogáns multi. Ha pedig erről tájékoztatják a multit, akkor legyintenek egyet áh jó lesz az úgy, mert nyilván egy csöppet azért biztos mérlegeltek, aztán rájöttek, nemérimeg™ kijavítani hibát, esetleg valamelyik cégen belüli részleg így akarta elfedni múltbéli hiányosságait.

Persze, nyilván hallgatnia kellett volna, és birka módon elfogadni, hogy a szolgáltató közreműködésével eszközölt mindenféle pofába villantott okostelefon-reklámmal, mesterséges igénykeltéssel, régi telefonok kidobatásával, hűségnyilatkozatok torkokon lenyomásával lehúzott előfizetőinek adataira és felhasználói biztonságára fittyet hány egy olyan cég, aki az ő zsírjukon realizál milliárdos profitokat. Mivel a srác az első incidenst követő hekkelés után is megkereste a szolgáltatót, és nem okozott kárt a cégnek, így etikusan járt el. A szolgáltató egyértelműen arrogánsan viselkedett a feljelentgetésével, ahogy a tech-szektorban ámokfutó, profithajhász, kartellező oligarcháktól megszokhattuk. Tekintettel arra, hogy nem Tapicskoló Tamás otthoni Lenovo Yogájáról van szó, hanem egy több milliók személyes adatait, privát beszélgetéseit, internetes forgalmát kezelő-bonyolító nagyvállalat informatikai rendszeréről, így itt sajnos az nem tekinthető etikus válasznak (de még megfelelő válasznak sem), hogy utasítják a hekkert arra, hogy álljon le, és ha ezt nem teszi meg, eltapossák. A potenciális érintettek számát tekintve, gyakorlatilag közérdekűnek tekinthető a hiányosság feltárása, amit ő végzett el az egyértelmű erőforrásfölényben lévő, arrogáns szolgáltató helyett.

"A szolgáltató egyértelműen arrogánsan viselkedett a feljelentgetésével" a tények ne zavarjanak össze téged, de ez akkor történt meg, amikor a srác a T ajánlatát elutasítva ismét "bement", és további rendszerekbe is bejutva újabb, rá nem tartozó adatokhoz fért hozzá. Első alkalommal tárgyaltak vele, vélhetően számára is érthető formában elmondták neki, hogy amit tett az btk.-s tényállás(oka)t valósít meg, úgyhogy a saját érdekében hagyjon fel vele, mert kénytelenek lesznek feljelentést tenni. Nem hagyta abba, feljelentés megszületett, tökére lépnek. Ennyi. Aki tátott szájjal rohan bele a f@szerdőbe, az így jár.

A tények bizony makacs dolgok, de néha árnyaltabbak annál, mint amilyennek fősodratú mérnök uraságod multimosdatás közben látja.

index.hu írta:
Egy laptopon meg is mutatta nekik, milyen úton lehet megszerezni a rendszergazdai jelszót egy publikus weboldalukon keresztül. A szakemberek ingatták a fejüket, és azt mondták: „Igen, igen, kellő kitartással valóban elképzelhető ez, de ez valószínűleg kevés embernek jutna eszébe.”

Tehát, ennyire érdekli a Telekomot a több millió előfizetője adatainak biztonsága. Egy ilyen válaszért már alapból kirúgás kellett volna járjon annak, aki ezt így kimondta.

index.hu írta:
A Telekomnál újra és újra azt kérdezték tőle, mi volt a motivációja, miért törte fel a rendszert, és ezt most miért jelzi feléjük. András azt felelte: semmi különösebb motivációja nem volt, szívesen segít a cégnek a továbbiakban is hasonló hibák feltárásában.

Ne akard megtudni, hogy működik. Ne akard megtudni, hogy kezeljük az adataidat. Csak tapicskold az okostelefonod, Facebookozz, Messengerezz, fogyassz, és fizess!

index.hu írta:
András egy emailben megírta, mennyi pénzre gondolt ő azért, hogy biztonsági rések feltárásában segít a szolgáltatónak a rendszer tökéletesítéséhez. Erre már csak egy egysoros választ kapott, amiben azt írták neki: sokallják az általa kért napidíjat.

A már jól megszokott költségoptimalizáció™. Nyilvánvaló, hogy egy informatikus tanuló nem fogja holmi junior fizetésért feladni az egyetemet, meg az egész addigi életét, csakhogy multiéknak dolgozhasson. A tisztességes fizetést meg nyilván sajnálták tőle. A hiba kijavítására, vagy az azzal kapcsolatos tűzoltásra (mondjuk az érintett szerver leállítására, a netről megszerezhető rendszergazda jelszó megváltoztatására) is sajnálták az időt és a pénzt. A Telekom több szempontból (lásd fentebb) inkompetens, nemtörődöm hozzáállást tanúsított. Ez már önmagában arrogáns húzás, a több millió felhasználó adatait, illetve az informatikai biztonságot, mint szakmát tekintve. Később, mikor hackerünk gyakorlatilag ingyen feltárt további hibákat a rendszerbe való (de az arrogáns multi által szóban megtiltott) újbóli behatolással (amivel már lényegében a köz érdekében járt el, ugyanis több millió felhasználó adatai voltak veszélyben), már mentek is érte a rendőrök. Maffiák működnek ilyen módszerekkel. Persze, védd csak nyugodtan multiékat.

Mondjuk úgy, hogy az index bitpazarlója által leírtak szerint. A fentiekből saccra a 2/3-a a népmese kategóriába tartozónak lehet tekinteni, az meg, hogy a T-vel folytatott tárgyalásokon mi hangzott el, mi kerültt írásban is rögzítésre (mennyit és milyen feltételekkel ajánlott a T, milyen reakciója volt a barom kölöknek, stb.) az meg nagyjából-egészéből nem publikus.
Az viszont biztos, hogy a tárgyalásokat a T úgy kezdte, hogy figyelmeztette a srácot arra, hogy amit tett, az btk.ba ütköző cselekmény, és a jövőben ennek megfelelően fog eljárni a cég.
Ha rosszindulatú lennék, azt is mondhatnám, hogy sokat kért, utána a második körrel meg akarta zsarolni a céget, hogy mégis fizessenek neki annyit, amennyit elképzelt. De nem vagyok rosszindulatú, így csak azt mondom, hogy totálisan hülye volt, hogy második körben is nekiment a T-nek, ugyanis ha a tárgyalások alapján nem volt világos a számára, hogy ha folytatja, akkor feljelentés következik, akkor más jelzőt nem lehet rá találni, merthogy helybe ment a maflásért.

Idézet:
A fentiekből saccra a 2/3-a a népmese kategóriába tartozónak lehet tekinteni

Zeller Szélsőségesen Idealista Multimosdató Fősodratú Mérnök Úr szerint. Ha majd az ügy bírósági anyagainak többsége fent lesz az Interneten és mindketten elolvashatjuk, akkor lehet népmesézni. Addig semmivel sem hihetőbb a Telekom álláspontja, mint a hekkeré vagy az Index interpretációja.

Ott kezdődik a történet, hogy a T valósított meg legalább adatvédelmi törvénysértést (ha nem bűncselekményt) azzal, hogy az adatokat lyukas rendszerben tárolta. Ezután a hekker felhívta a figyelmét erre a T-nek, nyilván nem jogi vonatkozásban, mert ő nem egy, az emberek percdíjakkal és mobilnettel való lehúzásán meggazdagodott multi, akinek telik a legmenőbb jogászokra, hanem csak egy egyszerű ember. Erre a T közölte, hogy leszarják a hibát, mert szerintük úgyse találja meg senki, egyébként meg ne hekkerkedjen, mert fel lesz jelentve.

A cég tanúbizonyságot tett arról, hogy messze nem érdekli a hiba sorsa és fontosabb neki az, hogy emberünk miért hekkerkedik. Ezek után sejthető, hogy nem egy megbecsült IT-biztonsági szakember fizetését ajánlották neki, hanem valami juniorét (bruttóban az is van többszázezer). Magyarul, vele akarták elvégeztetni a piszkos munkát, olcsó pénzért, amit nekik kellett volna elvégezniük.

A T velejéig arrogáns, undorító és nemtörődöm hozzáállású profitmulti. Kár mosdatnod.

"a T valósított meg legalább adatvédelmi törvénysértés" - tessék, itt a remek alkalom, hogy megszivasd a gaz multit: jelentsd föl a NAIH-nál.

"Erre a T közölte, hogy leszarják a hibát, mert szerintük úgyse találja meg senki, egyébként meg ne hekkerkedjen, mert fel lesz jelentve." - Nem. A T közölte, hogy eltekintenek a feljelentéstől első alkalommal (de a későbbiekben nem), és adtak egy ajánlatot a srácnak a munkájáért. Ő ennél jóval "gálánsabb" ajánlatra vágyott, amire a T azt mondta, hogy nem. A srác eztán újra nekilendült, ekkor pedig feljelentették, és vélhetően erősen f@szulni fog. A saját hülyesége miatt.

Az, hogy a hiba sorsa nem érdekelné a céget az khm. eléggé érdekes felvetés - szerinted a második körben,a mikor ugyanott ment be, miért tudták kvázi azonnal begyűjteni? Mert a javítás még nem történt meg, viszont odafigyeltek az adott hibás eszközre/rendszerre.

A kölyök meg egyszerűen hülye, néhány btk.-s tényállás tisztán ráhúzható arra, amit csinált, úgyhogy kár mosdatnod.

Idézet:
tessék, itt a remek alkalom, hogy megszivasd a gaz multit: jelentsd föl a NAIH-nál.

Ezt a srácnak kellett volna megtennie, miután megtalálta a második biztonsági rést, mert neki lettek volna rá konkrét bizonyítékai. Multiék gyorsabbak voltak.

Idézet:
Nem. A T közölte, hogy eltekintenek a feljelentéstől első alkalommal (de a későbbiekben nem), és adtak egy ajánlatot a srácnak a munkájáért. Ő ennél jóval "gálánsabb" ajánlatra vágyott, amire a T azt mondta, hogy nem.

Megélhetésiként valószínűleg soha nem fogod megérteni, mit jelent az, hogy valaki jobbá szeretne tenni valamit, továbbá felelősséget érez multiék helyett is egy milliókat érintő biztonsági problémát illetően. Emellett, nyilván azért nem fogadta el az ajánlatot, mert szarért-húgyért akarták dolgoztatni, ahogy a BKK rendszert is valószínűleg gyakornokokkal, meg hivatásos StackOverflow copy-pasterekkel csináltatták meg, azért lett olyan, amilyen. Ha ez a helyzet (márpedig 99%, hogy ez a helyzet), akkor a srácot gyakorlatilag megalázták multiék. Ezek után nem hiszem, hogy kötelessége lett volna elfogadni az ajánlatot és aztán úgy táncolni, ahogy a multiék fütyülnek. Viszont, a biztonsági probléma továbbra is érdekelte, ezért gyakorlatilag multiéknak ingyen dolgozva feltárt egy sokkal súlyosabb hibát, amit már a köz érdeke is megkíván és utóbbi felülírja multiék érdekeit. Erre multiék véráldozatot csináltak belőle, és feljelentették.

Idézet:
szerinted a második körben,a mikor ugyanott ment be, miért tudták kvázi azonnal begyűjteni

Azért, mert undorító, költségoptimalizációs, spúrkodós hozzáállással csak annyira futotta nekik, hogy figyeljék, ki használja ki az adott sebezhetőséget. Nyilván kevesebb idő és pénz volt elindítani egy loggert, mint átalakítani úgy a rendszert, hogy ne legyen támadható. Egyébként, a T álláspontjából ki is derül, miért ezt csinálták.

index.hu írta:
A szakemberek ingatták a fejüket, és azt mondták: „Igen, igen, kellő kitartással valóban elképzelhető ez, de ez valószínűleg kevés embernek jutna eszébe.”

Más kérdés, ha multimosdatás közben szándékosan a homokba dugod a fejed és nem vagy képes elfogadni, hogy a T-t marhára nem érdekelte ez a biztonsági rés, de a srác közbenjárására kíváncsiak lettek, ki használja ki. Mert itt is fontosabb volt a nagyvállalati idealizmusok leszármazott fattyú módszereit alkalmazni (kockázatelemezni), mintsem a józan eszüket használni. Pedig, ha legalább egy, a biztonságra valamit adó ember lett volna a T-nél, akkor már csak szimpla igényességből is befoltozták volna. Persze, nem lep meg, ha a befektetőlogikás, mindent pénzben és ár-érték-megtérülés arányokban mérő fősodratú mérnök uraságod nem fogja ezt sem soha megérteni.

Idézet:
viszont odafigyeltek az adott hibás eszközre/rendszerre

Ami képességet a srác korábbi munkájának köszönhetnek. Erre való tekintettel is minimum etikátlan, amit művelt a T, hogy azt a tudást, amivel a srác felruházta őket, végül ellene fordították, mert túl spúrok voltak megfizetni a további munkáját.

Tok jo ,hogy te zsigerbol lehulyezed az osszes embert akik ott dolgoznak mert TE mar csak ismered a T rendszereit. Egyreszt ennek a T-nek sok koze nincsen a BKK ugyhoz azon kivul ,hogy egy T betu szerepel mindket cegnevben.

Ne zavard össze őket tényekkel, hogy az egyik T-Systems a másik meg Telekom. :)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

"A cég tanúbizonyságot tett arról, hogy messze nem érdekli a hiba sorsa"

Mivel is tette?

"nem egy megbecsült IT-biztonsági szakember fizetését ajánlották neki, hanem valami juniorét (bruttóban az is van többszázezer)"

Mesélj, úgy látom, te tudsz pontos összegeket, hogy mit ajánlottak és mit kért a srác.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

"nem fogja holmi junior fizetésért feladni az egyetemet, meg az egész addigi életét, csakhogy multiéknak dolgozhasson" - ellenben büncselekményt elkövetni fog. Nagyon okos - szerintem terjeszd fel Nobel-díjra is ezt a barmot...

A két dolog összemosása egy mondatban értelmetlen. Nem azért hekkelt tovább, hogy multiéknak dolgozhasson. Azt már elhatározta előbb, hogy nem fog szarért-húgyért multiéknak dolgozni. Azért hekkelt tovább, hogy a végére járjon, hogyan veszélyezteti az arrogáns Telekom a felhasználók adatait.

Azért hekkelt tovább, mert hülye, vagy mert szeret tátott szájjal berohanni a f@szerdőbe.

Hozzaszolasaid teljesen a regi idok ujsagiroi fordulatait idezik. Az arrogans kapitalista-lusta verszivo etc. Valami idocsapdaba kerultel?

"Azért hekkelt tovább, hogy a végére járjon, hogyan veszélyezteti az arrogáns Telekom a felhasználók adatait."

Ezt csak te akarod bemagyarázni. Már az első körben is megállapította, hogy gáz van.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

"régi telefonok kidobatásával, "

Senki nem tart pisztolyt a fejedhez, hogy vegyél új telefont. A 10-15 évvel ezelőtti telefonod is nyugodtan használhatod.

"hűségnyilatkozatok torkokon lenyomásával"

Igazából vicces az előbbi pontod, mert nem is vehetsz új telefont a szolgáltatótól, míg le nem jár a hűségidőd. ;)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Bejarkalok majd hozzatok az ajton szetnezek napokon at. Benezek a budiba a furdobe. Majd szolok hogy be lehet hozzatok jarkapni de isten biza nem loptam el semmit. Kicserelteted velem a zarat es elhiszed hogy jol vegzem a munkam? Larifari onjelolt buzgomocsimg
------------------------
Jézus reset téged

van baj

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Innen nézve inkább arról van szó, hogy ment a mandró az utcán, látta, hogy lehúzva maradt az ablaka az egyik autónak, becsöngetett, hogy szóljon, elküldték a picsába, ő meg nem elment a picsába, hanem azért is megpróbálta valahogy felhúzni az autó ablakát, erre a tulaj kihívta a rendőröket, hogy valaki el akarja lopni az autóját, a rendőrök meg bevitték és megvádolták autólopással, amit nyilvánvalóan nem követett el.

Egyszerűen a sztoriban résztvevő összes fél balfasz és ebből nem szokott jó dolog kisülni.

--
https://iotguru.live

> összes fél balfasz

Valoszinu, hogy a legegyszerubb magyarazat a nyero.
https://hu.wikipedia.org/wiki/Occam_borotv%C3%A1ja

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

+1
--
"Csak webfejlesztést ne..." -ismeretlen eredetű szállóige-

"megpróbálta valahogy felhúzni az autó ablakát"
Nem egészen. Inkább beült körülnézni a kocsiban.

Egy olyan autóban, amiben az ügyfelek adatait tárolod, amit ha valaki ellop, akkor elintézheted egy "bocsival". Egy olyan autó amihez milliók férhetnek és próbálhatják feltörni névtelenül.

A célja akkor is az ablak felhúzása volt. Ehhez be kellett ülni szétnézni, de legalább az ablakemelőt megtalálni. Ha pedig minden a helyén marad a kocsiban, miután felhúzta az ablakot, nincs miről beszélni. Persze, védd csak nyugodtan multiékat.

+1

Sántít a hasonlat, mert nem magánhálózat hanem szolgáltatóé, tehát nem hozzám járkálsz be, hanem pl. egy óvodába mert úgy látod, hogy elfelejtették bezárni a kaput, a gyerekek meg kiszökhetnek. Belépsz és bekopogsz az ablakon az óvónőnek, hogy zárja be. Egyszer megköszöni, legközelebb pedofilnak néz és rád hívja a zsarukat. (persze ettől még lehet, hogy valóban pedofil vagy :))

"Szólt a Magyar Telekomnak egy biztonsági résről, 8 év börtönt kaphat"

Tehát a cím helyesen:

Vissza-visszajárogatott a Magyar Telekom rendszerébe, akár 8 évet is kaphat

Mert a sztori nem arról szól, hogy azért kaphat 8 évet, mert szólt. Persze, mit várhatunk az Indextől?

--
trey @ gépház

Most komolyan a Telekomot mosdatod?
Majd meg megsiratom oket, hogy nem voltak kepesek a jelentett hibat 1 het alatt kijavitani.

"Most komolyan a Telekomot mosdatod?"

Kibaszott szót nem ejtettem a Telekomról, részemről el is fordulhat.

"Majd meg megsiratom oket, hogy nem voltak kepesek a jelentett hibat 1 het alatt kijavitani."

Szó sem volt ilyesmiről. A gagyi Index és a TASZ gyászos hangulatkeltéséről írok végig.

Lásd még itt.

--
trey @ gépház

"A gagyi Index és a TASZ gyászos hangulatkeltéséről írok végig."

Miért, neked magának a pernek a létezése nem volt elég ahhoz, hogy kinyíljon a bicska? Annyira kísértetiesen BKK e-jegy ügy, hogy nagyon nem is kell hangulatot kelteni.

Van egyébként más hírportál amelyik objektívebben írt róla? Mert az Origót hirtelen átlapozva pl. egyetlen szó sincs róla.

Az e-jegy esetében az első kör után indult az eljárás, itt betört, szólt, felajánlottak egy összeget, többet kért, nem válaszoltak, ismét betört, és tovább is ment, erre feljelentették. Szerintem van némi különbség...

+1

--
trey @ gépház

Nincs különbség. Mindkét esetben pont ugyanúgy, pont ugyanolyan arrogánsan járt el a Telekom. Az e-jegyes esetben is feljelentés volt a válasz, a hekker által tanúsított segítő szándék ellenére. Végül anyavállalati szintről szóltak le, hogy nem kéne, majd rúgták ki páros lábbal a velejéig korrupt, inkompetens felelős vezetőket (Takács József, Lakatos András). Ezt kizárólag a népharagnak és az ügy nyilvánosságának köszönhetjük. Ha az ügy nem kap nyilvánosságot, az e-jegyes kissrác ma már a fiatalkorúak börtönében ülne.

Amit látni kéne (de amit eddig képtelen voltál látni), hogy mindkét hekkerben segítő szándék volt és valamit jobbá akart tenni. Jelen esetben milliók adatait kezelő, internetes forgalmát, privát beszélgetéseit bonyolító szolgáltató igénytelenül összetapicskolt, lyukas rendszerét. Akármit is harsog a tech-lakájmédia, mindkét hacker fehér kalaposnak tekinthető.

ha szerinted nincs különbség, akkor nagyon messze állsz az értő olvasás általános iskola végére elvárt szintjétől. Is. Segítő szándék enyhítő körülmény lehet, de önmagában nem ment fel a bcs. elkövetésébek a felelőssége alól, ugyanúgy, ahogy a másik fél esetlegesen gondatlan magatartása sem menség, csak enyhítő körülmény.

Nem, szerintem nem a tét védi.
Csak a TASZ védi a srácot, tehát soros, tehát fúj. Mint a hardcore fideszhívőknél szokás...

Pedig alig tíz év telt el, hogy Orbánt és a Fideszt védte a TASZ... :)

--
https://iotguru.live

A sztori arról szól, hogy azzal együtt, mindenért együtt kaphat akár 8 évet.
Az indextől pedig azt várhatjuk, hogy amit a független sajtótól szokás. Nem a fideszpropaganda nem az.

Legalább olvasnád el a TASZ írását. 2 év felfüggesztettet kínáltak neki.

Most ott tartunk - az Index és a TASZ szerint -, hogy 8 év.

Mivel a TASZ kijelentette, hogy "ügyfelünknek", kinek tulajdonítsuk e "sikeres" védelmet?

--
trey @ gépház

Elolvastam, reagáltam is rá.

A két év felfüggesztett nem csak játék és mese, még akkor se, ha nem is csinál X évig semmi olyat, ami miatt leültetnék két évre. És persze a fujjsoros tasz fegyvert tartott a srác fejéhez, hogy el ne merje fogadni az ügyészség ajánlatát, sehogy máshogy nem történhetett ez.

Amúgy hasonló esetben "elkövetőt" a TASZ már védett olyan "sikeresen", hogy az ügyészség inkább visszavonta vádat. És a tasz szerint ez a vádirat is egy vicc, szóval...

Értem én, hogy neked mindenről ugyanaz a szarozás jut eszedbe, de az indexes csúsztatástól indult a szál. Arról tudnál valamit írni?

"Amúgy hasonló esetben "elkövetőt" a TASZ már védett olyan "sikeresen", hogy az ügyészség inkább visszavonta vádat. És a tasz szerint ez a vádirat is egy vicc, szóval..."

Egyik oldalon 2 év felfüggesztett, a másikon akár 8 év letöltendő (ha hihetünk az infóknak, vádiratot nem nagyon láttunk). Partvonalról hazardírozni nem drága. Én mindenesetre a biztosra mennék.

--
trey @ gépház

Mit írjak róla? Hogy semmi a "közérdekű" fideszpropaganda hazugságaihoz képest? :)

Amúgy az akár 8 év egy vicc, ezt lentebb kifejtettem.

Értem. Tehát, tulajdonképpen egyetértesz velem, hogy az Index cikk címe egy hangulatkeltő csúsztatás.

--
trey @ gépház

"Szólt a Magyar Telekomnak egy biztonsági résről" -> true
"8 év börtönt kaphat" -> true, az ügyészi vád szerint ennyi a max. amit kaphat

Aztán nyilván nem csak ennyi történt, akit érdekel az el tudja olvasni a cikket, abban le van írva. Clickbait, azt aláírom. De ha ez csúsztatás, akkor ezen gondolatmenet alapján szinte minden cikkcím egy csúsztatás, ami egy kicsit is összetettebb történetről szól, mint pl. a "megjelent az ubuntu 18.04", ahol az egész hír bele van írva a címbe.

Mert mégis minek kellene lennie a címnek? "Egy vidéki felsőoktatási hallható egy nyilvános tés doksiban talált dolog alapján bejutott a té rendszerébe, majd erről szólt nekik, beszélgettek, de nem sikerült megállapodniuk munka jellegű együttműködésben, majd ismét bement a té rendszerébe és ott csinált valamit, erre a té feljelentést tett ismeretlen tettes ellen, aki persze a fenti srác volt, be is ismerte, most pedig a bíróság előtt áll és 2-8 év közötti sittet kaphat a vád alapján."
Mert ez így nem csúsztatás, de nem is egy cikkcím...

Én sajnálom a srácot, főleg ha a frissen szerzett ismereteit akarta jóra fordítani.
De hogyan jutott el oda, hogy ezt próbálgassa? Volt egy templateje ilyen hibákra és nekiállt futtatni, hogy hol pozitív a találat? Nagyon lelkes és naív lehet, hogy azt gondolta - névvel, arccal -, hogy megfogta az isten lábát.
De az, hogy visszament és tovább berhelt, az inkább orvosi kérdés. Meg attól, hogy valaki talál egy hibát, még nem lett szakember és miért kellene bárkinek alkalmazni csak ezért?

> De hogyan jutott el oda, hogy ezt próbálgassa?

Netes szolgáltatások tesztelése másképpen nehezen elképzelhető.

Hogy EZT a sebezhetőséget próbálgassa!
Miből gondolta hogy lehet ilyen sebezhetőség a rendszerben?

A legjellemzőbbek: Portscan, verziószám, shodan.io, próbálkozás (pl. sqlinjection)

Biztos hibázott, de mennyire aránytalan már ezért 8 év börtönt kérni rá. Vicc.
Ha nem okozott kárt, akkor a reális büntetés a bírói figyelmeztetés lenne, hogy többet ilyet ne csináljon, és utána el kéne engedni. Ha meg kárt okozott, akkor pedig még ezen felül a kár megtérítésére kéne kötelezni.

> Biztos hibázott

"az ügyészség az ügyfelünknek ajánlott. Eszerint, ha beismeri bűnösségét, akkor csak 2 év felfüggesztett börtönt kap,"

--
trey @ gépház

"ezért 8 év börtönt kérni rá" - pontosítok: 8 évig terjedő szabadságvesztéssel büntethető cselekménnyel lett megvádolva.

Az új cím:

2 év felfüggesztettel megúszhatta volna a csínyt, de a TASZ addig "védte", míg 8 év letöltendőt kapott

--
trey @ gépház

Most tegyük félre a taszt. Te bevállalnál 2 év felfüggesztettet a semmiért?
Mert okozott kár nincs, a társadalmi veszélyessége semmi, sőt. Szóval amit csinált, abban nincs semmi olyan, amiért bármit is kapnia kellene.

Igazából a té hozzáállása az, ami miatt répázni kellene, mert a mostani hercehurca miatt már minden blackhat arcnak nyilvánvaló, hogy a trékom rendszere mint az ementálni, szóval érdemes náluk körülnézni. Nyilvános doksi alapján lehet náluk admin jogot szerezni, és egy olyan amatőr is talál náluk lyukat, aki még a saját nyomait se rejti el. Ellenben "etikus" ember a közelébe se fog nézni a trének, és ha valami akár csak véletlenül is a tudomására jutna, ilyen reakció mellett tuti nem fog szólni nekik.

Dehogy tegyük félre, amikor most próbál a gyereknek felfüggesztett helyett letöltendő éveket intézni. Nektek meg a hülyeség szajkózásához muníciót adni.

Egy védőnek az a célja, hogy a legjobbat tegye az ügyfelének. A TASZ bohócai szívesen okoskodnak a bíróságon, csak nem az ő bőrükre megy a játék. Van olyan helyzet, amikor a 2 év felfüggesztett egy jó ajánlat.

--
trey @ gépház

De nem abban az esetben, ha a cselekmény nem veszélyes a társadalomra, mert akkor a cselekmény nem bűncselekmény.

Adott emberünk, aki felnyom egy olyan országos infrastruktúrát, amit a lakosság mellett közintézmények és állami szervek is használhatnak, majd pénz próbál ebből szerezni (vajon megáll a nyereségvágyból elkövetés?), megkérik, hogy hagyja abba, de ő folytatja, admin jogosultságokat szerezz és ki tudja, hogy mihez fér hozzá és miket változtat meg (amit vagy bevall, illetve vagy rá tudnak bizonyítani vagy nem).

Ennek nincs kára, szabadon végezhető magatartásforma legyen?

> Ennek nincs kára, szabadon végezhető magatartásforma legyen?

Kérdés, hogy mennyire elrettentő a magatartásformával szemben börtönbüntetés, ha az anonimitás kb 5 perc alatt megszerezhető bárki számára.

> mihez fér hozzá és miket változtat meg (amit vagy bevall, illetve vagy rá tudnak bizonyítani vagy nem).

A bizonyítás egy rendesen felépített rendszernél nem lehet probléma, de olyan jogrendszerben élünk, hogy ha ezt nem tudják megtenni, akkor azt úgy kell tekinteni, hogy nem történt meg.

Valamint a szándékot mindenképpen vizsgálni kell és a tény, hogy saját ip-ről történt a behatolás eléggé kétségbe vonja a rossz szándékot.

> aki felnyom egy olyan országos infrastruktúrát, amit a lakosság mellett közintézmények és állami szervek is használhatnak

És aki ilyen, kritikus infrastruktúrát üzemeltet úgy, hogy tud róla, hogy kritikus biztonsági hiba van a rendszerben?

Ha jogilag akarjuk az internet biztonságát garantálni, akkor felejtsük el a jelszavakat. Helyette a bejelentkezéshez tegyünk ki egy feliratot: "Magánterület, csak akkor nyomj rá a Tovább gombra, ha jogosult vagy rá"

"de ő folytatja, admin jogosultságokat szerez"

LOL

Uhh, nagyon beakadt nálad a fujjsoros lemez...

A két év felfüggesztett kb. egy vicc, ami _ha_ megáll a vád, akkor lehet kb. a maximum.

Ez az alapeset:
423. § * (1) Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

És ez az a vicc, amivel vádolják:
(4) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el.

Szóval _ha_ megáll a közérdekű üzem elleni hekkelés téma, akkor is: a srác valszeg büntetlen előéletű, nem zavart meg semmit, az okozott kár 0, társadalmi veszélyessége 0, sőt, még jelezte is nekik a problémát. Szóval ez tipikusan az az eset, amikor a büntetés alsó határát kell használni, és a semmiért tuti nem fog letöltendőt kapni, amúgy is tele vannak a börtönök.

És hogy mennyire vicc is az az 5 év letöltendő, amivel "motiválni" próbálta az ügyészség a srácot a beismerésre és a 2 év felfüggesztett elfogadására, erre csak 2 dolog:
1. Emberölés miatt jogerősen négy év letöltendő börtönbüntetést szabott ki kedden a Pécsi Ítélőtábla egy somogyi férfival szemben, aki elhanyagolta gondozásra szoruló édesanyja ápolását, és ezzel szülője halálát okozta.
2. BTK 323. § (1) Aki közérdekű üzem működését jelentős mértékben megzavarja, bűntett miatt egy évtől öt évig terjedő szabadságvesztéssel büntetendő.

Szóval _ha_ megáll a bcs és elítélik a srácot, akkor lehet ebből kb. 2 év felfüggesztett, de láttuk már a "bkk hekker" esetében, hogy hasonlóan megalapozott vádaknál végül inkább feladta az ügyészség.

Emberek, álljunk már meg: HA közérdekű üzem lenne, akkor a jogszabályok védenék a srácot!

Lásd: 2012. II. 160/A

De ha meg bebizonyosodik, hogy nem "ártott", akkor meg a cselekmény nem bűncselekmény.

Most vagy befejezed ezt az unalmas sorosbohózatot, vagy magaddal fogsz beszélgetni. Elhiszem, hogy a haveri és egyéb köreidben nagyon menő ez, de engem nem igazán érdekel.

Majd olvasd el az Index cikket arról, hogy mi milyen kronológiai sorrendben történt, utána beszélgethetünk tovább:

https://index.hu/belfold/2017/07/26/telekom_t-systems_biztonsagi_res_nni_etikus_hekker_rendorseg_nni_orizetbe_vetel/

--
trey @ gépház

Tegyük hozzá, hogy a cikk leginkább a jelenleg zajló büntetőeljárás vádlottjának (ügyvédjének) verzióján alapul.

Természetesen. Indexesítve. Vagyis: Szegény peti nagymamája elemekkel teletűzdelve, érzékenyítve az olvasót az együttérzésre.

--
trey @ gépház

Olvastam.

"András ezekre azt mondja: elsősorban a segítő szándék és a kíváncsiság hajtotta. Ő maga is ügyfele a Telekomnak, és nem akarta elhinni, hogy ilyen biztonsági rések vannak a rendszerben. Ezt szerette volna jobban felderíteni. A Telekomnál lezajlott találkozó után ezért folytatta a teszteléseket, amelyeknek eredményét szintén szerette volna átadni a cég biztonsági vezetőinek. András nem tartja magát hekkernek, csak az informatikai biztonság iránt érdeklődő embernek, akit csalódással töltött el, hogy a mobil- és internetszolgáltató nem veszi elég komolyan saját rendszere és ügyfelei adatainak biztonságát."

És ez hihető is, legalábbis az alapján, hogy először is szólt a tének arról, amit talált. Ha pedig az ügyészség ezt cáfolni akarja, akkor az szép feladat lesz...

Ez odaig egy szep tortenet marmar tanulsagos nepmese a szegeny juhaszlegenyrol amig a megtalaloi 2 arany helyett o inkabb egy lada kincset ker amit a kincstar sokallt... A szep feladat inkabb az lesz ezek utan, hogy hogyan mossak ki a sracot abbol ,hogy nyereszkedni akart.

Fogalmad sincs hogy mennyit kért, és persze azt miért és milyen konstrukcióban. És arról sincs, hogy a nagy tí érdemtelenül túlfizetett emberi mennyit is ajánlottak neki.
Az meg hogy a srác nyerészkedni akart volna, az rágalom.

Bár kicsit utánanézve a hupos kommentjeidnek, ez inkább a tí hivatalos álláspontja lehet.

Nem mondta, hogy nyerészkedni akart, de az anyagiak miatt megszakadt tárgyalások után újra betört okán nehéz lesz a jóhiszeműségét/etikus voltát bebizonyítani, mert ez minden szempontból az ellenkezőjére utal.

Hogy beleugassak: ha arra készülnék hogy valami felügyeleti szervnek/hatóságnak jelentem hogy az egyik országos szolgáltatónál több a lyuk mint egy szitán, akkor készítenék pár viszonylag bizonyító jellegű valamit (screenshotot, bármit), hogy bizony az órákkal/napokkal/hetekkel korábban jelzett problémát még mindig nem hárították/fedték el. Nem állítom hogy a srác is ezért tette ami tett, de ez is egy lehetőség.

Nem mondta, csak utalt rá.
És első körben ugye felvette a céggel a kapcsolatot, aztán a későbbi próbálkozásainál se okozott kárt, és meg se próbálta elrejteni magát. Ezek után elég nehéz lesz eladni azt, hogy ő rossz szándékból tette amit akart.

Lasd lentebbi hozzaszolast. Eleg konnyen ugorhatnak erre a konkluziora is. Az sem sokat segit ,hogy emberunk nem tudta megfogalmazni ,hogy mi vezerelte. Ha valamilyen nagyon emberbarat birot fog ki akkor ezek szamithatnak -------> falusi kiscsavo nagymamaja szobajabol piszkalgat valamit es fogalma sincs mit csinalt. Viszont ebbe a kepbe nem illik bele a segitenek penzert jobbatenni a rendszert...

Ez bullshit, már ne haragudj. Lehet hogy már nem a ténél vagy, de továbbra is foggal-körömmel véded azt a fos céget.

A szocske a szocske

Pici szikla

A KACSA

Ki vagy te O lovag ki olyan jartas vagy a tudomanyokban?

Fene egye meg lebuktam :D

Amugy nem nyert de valoban dolgoztam naluk nem is keveset es elofordulhat az is ,hogy talan a topicban talalgatoknal kicsit jobban ismerem ,hogyan epul fel a rendszer.

Igy van azt nem is kell tudnunk ,hogy mennyit kert mert irrelevans. A problema az ,hogy letezik egy level ,hogy koszonjuk nem kerjuk. Na innentol a magyarisztani birok allaspontja altalaban a szolgaltatokeval szokott megegyezni de legalabbis nekik kedveznek. Nehez lesz bizonyitani ,hogy o Robin Hood de meg ha kiderul ,hogy o az akkor mit kezd vele a biro? En felfuggesztett iteletre szamitok ebben az esetben. Ha sokaig fujjak az ugyet meg az is lehet ,hogy letoltendot inteznek a sracnak. Az meg mar bocsanat ,hogy igy fogalmazok eleg hulye erv ,hogy sajat IP-rol nyomult. Ez max a birot erositi meg meg abban is hogy emberunk "hulye" de legalabbis nincs tisztaban tetteinek kovetkezmenyevel.

Az az informacio sem helyes miszerint sokan azt velelmezik nem kovetkezett be kar. A plusz igenybevett orakat barmilyen specialista bevonasa eseten ha szamszerusitik akkor lehet meglepodnenek itt sokan. Az nem erv ,hogy az adott szaki eppen haznal van ugy is mert esetleg csinalhatna mast is mint mondjuk logelemzest vagy egy kompromittalodott rendszer ujratelepiteset...

Nyilvan vannak hianyossagok a T -nel es szokas szerint eleg idiotan kezelik ezt az ugyet is. De ettol amit irtam azok letezo dolgok amikbe a jogaszok bele fognak kapaszkodni.

Én vagyok a lovag, aki azt mondja, hogy ni!
És amúgy az a lovag is vagyok, akinek nincs semmilyen "belsős" infója a történetről, csak bizonyos oldalak sajtó által tálalt véleményét ismerem. Szóval a tévedés jogát fenntartom. Node vissza...

"nem is kell tudnunk ,hogy mennyit kert mert irrelevans. A problema az ,hogy letezik egy level ,hogy koszonjuk nem kerjuk."

Kezdjük a végével, idézem az indexet: "András hazament, majd emailen folytatták a tárgyalást. András egy emailben megírta, mennyi pénzre gondolt ő azért, hogy biztonsági rések feltárásában segít a szolgáltatónak a rendszer tökéletesítéséhez. Erre már csak egy egysoros választ kapott, amiben azt írták neki: sokallják az általa kért napidíjat. Több emailt ezután már nem kapott. Janklovics Ádám, András ügyvédje azt mondja: ezen a ponton se azt nem mondta neki a Telekom, hogy vége az együttműködésüknek, se azt, hogy továbbra is várják a javaslatait.
Kérdésünkre a Magyar Telekom Nyrt. megerősítette, hogy valóban kapcsolatban álltak Andrással, és egy lehetséges konstruktív együttműködés lehetősége is felmerült: Voltak erről beszélgetések, azonban a közös munka kereteiben sajnos nem tudtunk megállapodni, és a párbeszéd megszakadt közöttünk."

Ez alapján maga a té se állítja azt, hogy egyértelműen megmondták a srácnak, hogy "koszonjuk nem kerjuk". A srác által adott összeget sokallták, de a srác simán hihette azt, hogy ez egy alkufolyamat. Először a té ajánlott egy nevetséges összeget, aztán a srác mondott egy nagyobb számot, simán hihette hogy majd megegyeznek valahol félúton egy reális számban. Szóval a pénz nem irreleváns.

A magyarisztáni bíróknál pedig nem tudjuk mi lesz. Nem hiszem hogy ilyesmire lenne precedens, és miután a tasz beállt a srác mögé, így már nem annyira egyértelmű a helyzet. Mert az alap ugye az, hogy van a nagy cég drága ügyvédekkel és jó hatósági kapcsolatokkal, aztán simán eltapossák a kisember a kirendelt ügyvédével. Most azért kiegyenlítettebbek az esélyek.

Felfüggesztett: azt max 2 évvel kaphat, és 2-8 éves bcs-vel vádolják. Ha az megáll, akkor nagyon össze kell jönnie minden enyhítő körülménynek, hogy az 5 éves középértékből kijöjjön a minimum. És ilyen esetben a bíróság akár megrovással is letudhatja az ügyet. De én felmentésre számítok, vagyis hát számítok a fenét, a magyar jogszolgáltatásnál semmire se lehet számítani. Inkább csak ezt remélem.

A saját IP pedig pont arra érv, hogy tiszták voltak a szándékai, nem akart ártani.

"Az az informacio sem helyes miszerint sokan azt velelmezik nem kovetkezett be kar. A plusz igenybevett orakat barmilyen specialista bevonasa eseten ha szamszerusitik akkor lehet meglepodnenek itt sokan."

Khömm, akkora lyukak voltak (?) a rendszerben, hogy a specialistákat azok befoltozásáért kellett igénybe venni. Az meg nem a srác hibája, hogy a té ekkora szarhalmot tákolt össze saját erőből, ő csak rámutatott erre. Nem a srác hibája, hogy ez sokba került.

Ezeket maskepp latjuk. Ezzel nincs semmi baj. Csak arra szerettem volna felhivni a figyelmet ,hogy nem annyira egyszeru ez a tortenet mint amilyennek sokan elkepzelik. En felfuggesztett iteletre szamitok amugy de akar a forditottja is elofordulhat.

"de a srác simán hihette azt, hogy ez egy alkufolyamat. Először a té ajánlott egy nevetséges összeget, aztán a srác mondott egy nagyobb számot, simán hihette hogy majd megegyeznek valahol félúton egy reális számban"
És az volt a csökkentett összegű ajánlat, hogy újból betör?

Nyilván nem az volt. De mégis mit csináljon, ha jelzi a hibát, aztán basznak javítani?

Hát, ha lehet, ne kövessen el bűncselekményt nagy bánatában.

Majd egyszer lesz egy jogerős ítélet, akkor majd kiderül hogy elkövette-e. Addig meg csak ugatjuk a holdat.

Elsőfokon az esetek nagy részében azt adják a birók amit az ügyészség kér.

A büntetési tétel nyolc évig terjedő szab.vesztés, gyakorlatilag nincs olyan, hogy az első körben, büntetlen előélettel nem a középmértékkből indulnak, hanem a maximumot szabják ki.

Sajnos mindkét esetben (az e-jegyes és ez) két olyan fiatalról van szó, akik már a Z-generációban nőttek fel és elhitték a tündérmeséket arról, hogy a tudatukat okostelefonokon és reklámokon keresztül megszállás alatt tartó nagyvállalatok lehetnek jóhiszeműek is, illetve feltételezte róluk, hogy nem kizárólag a profithajhászás a céljuk, hanem adnak valamit a rendszereik minőségére, biztonságára (és nem csak annak látszatára). Elhitték továbbá, hogy az a menő™, az elfogadott™ és a tisztességes™, ha valaki névvel, arccal, lakcímmel és telefonszámmal vállalja a tetteit. Mondanom sem kell, hiba volt bármelyiket is elhinni.

Amikor még főként józan előfizetői voltak az Internetnek, a tech-multik fokozatos hatalomátvétele előtt, szinte kinézték azokat, akik BBS-en, IRC-n, vagy internetes fórumokon saját arcképet, teljes nevet, netán telefonszámot osztottak meg. Volt, hogy figyelmeztették is egymást a felhasználók emiatt. A 90-es évek hacker szcénájában elképzelhetetlen lett volna, hogy valaki saját névvel jelentsen be egy hibát, vagy hogy egyáltalán bejelentse. Ment a szolgáltató oldalára a deface, aztán ország-világ megtudta, mennyit ad a biztonságra drága milliárdos nagyvállalatunk. Mára ezt kifordították önmagából. Azt nézik ki, aki védi a személyes adatait. Azt tartják menőnek, aki megoszt magáról mindent, teljesen kitárulkozik az Interneten.

A feltörekvő informatikus palántákat folyamatosan hülyítik az etikus hacker maszlaggal, miközben csak néhány olyan tech-nagyvállalat van, akik kevésbé arrogánsak a témában és megfelelően kezelik ezeket az ügyeket. Persze ők is titoktartási szerződéssel kussoltatnak el mindenkit, nehogy kiderüljön, hogy a drága milliárdos nagyvállalatnak valamit sikerült szarul csinálnia és nem ő maga a tökéletesség, ahogy a marketingkampányaiban hazudja.

Sajnos ezekbe a csapdákba is beleesett mindkét etikus hacker. Máskor az a minimum, hogy anonim módon kell az ilyesmit bejelenteni. Ha valakit tényleg a segítő szándék motivál, és hogy jobbá tegyen valamit, annak nem számít, hogy nem tudja meg senki, hogy ő csinálta. Akit meg csak az érdekel, hogy a LinkedIn profiljára felrakhassa, hogy ő tárta fel az X médiahypeot kapott hibát, az felőlem megrohadhat a börtönben is.

Kicsit helyettesítsük be a IT dolgokat kézzel foghatóbb tradicionális dolgokkal:

Sétálok az utcán a gyerekkel, és a házunk közelében észreveszek egy transzformátorházat amiről valaki leverte a lakatot. Megnézem, tényleg kinyílik az ajtaja. A gyereket erősen kézen fogva ("Nem mászol bele! Te nem nézed meg!") elhurcolom az oviba, majd felhívom az ELMŰ-t (Budapesten van a házam). Cirka 45 perc után fel is veszik. "Aha várjon majd mindjárt kiküldünk valakit..." és mondjuk két óra múlva meg is érkeznek. Persze engem zargatnak, hogy "Mi is vót? A központbó a csóka nem tudta elmondani...". Készségesen segítek nekik ők nekilátnak a munkának és hallom ahogy a bajszuk alatt a "hülyebarom buzgómócsing kuncsaftot szidják", és leszögezik, hogy nem szabad az ilyenhez hozzányúlni mer' veszélyes.

Hétvégén elmegyünk a nagymamához. A gyerekkel mondjuk játszótérre kell menni mert mindenki idegein ugrál és mit ad isten, a játszótár mellett is van egy nyitott trafóház. Megnézem, tényleg nyitva (püff neki akkor marad az idegeken táncolás). Fenti élményeim hatására nem hívom fel ELMŰ-t. Majd négy nap múlva csönget az NNI, rabosítanak, "közüzem működésének szándékos megzavarása miatt" mert észrevették ám hogy az ajtó nyitva van, és megtalálták rajta az ujjlenyomatomat, tehát én kinyitottam(és még meg is mondták, hogy ne piszkáljam...).

Ez kb. ugyanolyan abszurd mint amit a csávó ellen tettek. Ha találsz egy nyitott ajtót amin akár gyerek akár fogalmatlan felhasználó bejárkálhat akkor, ha jelented, legalább egy "Hálásan köszönöm"-öt megérne (igen, ha nem is vették fel legalább fizethettek volna valamit). Mert ha találsz még egy ajtót akkor esetleg már nem jelented. Azért letartóztatni és rabosítani valakit mert megnézte hogy be van-e zárva abszurd.

Persze, ha kinyitom a trafóházat és beöntök egy vödör kólát akkor tényleg bűncselekményt követek el. Így nem.

A sztoriból kimaradt az a rész, ahol pénzt ajánlanak neked. Ebben viszont igaza van zellernek.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Bocsánat, de nekem úgy tűnt, hogy csak hitegették. (Mert volt ugyan szó órabérről, de azt a Telekom sokallta. Ezután viszont valahogy eszükbe sem jutott egyszeri összeget felajánlani neki...)

Ja, meg kimaradt, hogy miután másodszor bement a trafóházba, ott ki-be csavargatott biztosítékokat (root-ként "tesztuser"-t hozott létre). Erre mi szükség volt?

"Megvizsgálta, hogy a Telekom belső rendszerében létre tud-e hozni egy rendszergazdai jogosultsággal rendelkező tesztfelhasználót. Ez sikerült, "

Hogy ezen kívül esetleg történt-e valami vagy sem, ha történt, akkor mi, azt egyelőre a TASZ/Index elmeséléséből tudjuk.

--
trey @ gépház

> Ja, meg kimaradt, hogy miután másodszor bement a trafóházba, ott ki-be csavargatott biztosítékokat (root-ként "tesztuser"-t hozott létre). Erre mi szükség volt?

Szerintem az, hogy ellenőrizze a jogosultságot, mivel az előző bejelentését nem vették komolyan (nyitva hagyták a biztonsági hibát). A biztosíték hasonlat nem állja meg a helyét, mivel (a jelenlegi infók alapján) nem történt szolgáltatást befolyásoló módosítás.

> Hogy ezen kívül esetleg történt-e valami vagy sem, ha történt, akkor mi, azt egyelőre a TASZ/Index elmeséléséből tudjuk.

Ez nem mese kérdése, a rendszer tulajdonosának ezt pontosan, bizonyíthatóan tudnia kell. Főleg, hogy a belépéskor egyértelműen nem volt cél a nyomok eltűntetése.

"Szerintem az, hogy ellenőrizze a jogosultságot,"

Haha. Egy whoami nem elég, mi?

"mivel az előző bejelentését nem vették komolyan (nyitva hagyták a biztonsági hibát).

Mennyi időt adott a felelős közlést végző etikus hacker a vendornak a fixálásra? Megvolt az iparági konszenzus alapján a szokásos 90 nap?

--
trey @ gépház

> Haha. Egy whoami nem elég, mi?

Az eddigi infók alapján nem feltétlen derült ki, hogy ssh elérésről van szó. Btw az én szememben az új user hozzáadása még nem számít a szolgáltatás megzavarása kategóriába.

> Megvolt az iparági konszenzus alapján a szokásos 90 nap?

Amire te gondolsz az a hibák nyilvánosságra hozatala. Itt nem nyilvánosságra hozatalról, hanem további tesztelésről.

A vád szerint:

"majd a saját részére illegálisan felhasználói profilokat hozott létre, és gyűjtötte a dolgozók adatait, jelszavait."

"mert "a bűncselekmény súlyosabb minősítéséhez nem szükséges, hogy a közérdekű üzem működésében zavar következzen be. A súlyosabb büntetéssel való fenyegetettséghez – mint az a korábban írtakból is egyértelmű – már a közérdekű üzem sérelmére történő elkövetés önmagában is elegendő."

--
trey @ gépház

"...A súlyosabb büntetéssel való fenyegetettséghez – mint az a korábban írtakból is egyértelmű – már a közérdekű üzem sérelmére történő elkövetés önmagában is elegendő."
- ez esetben ez mar a t. ceg későbbi, nemtorodom hozzallasaval megvalosult.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Prove it. :P

Btw. ha a jelszavakat gyűjtötte, akkor azokat a T titkosítatlanul tárolta? :O O-óó.

"beleértve az ügyfelek mobil és fix szolgáltatását blokkolhatta volna, illetve a teljes vezérlést átvehette volna" VS. "TEVEKÉNYSÉGÉNEK TÁRSADALOMRA VESZÉLYESSÉGE MIATT PEDIG A BÜNTETŐJOGI KÖVETKEZMÉNYEKET VISELNIE KELL"

Akkor most társadalomra veszélyes, vagy nem? Jajistenem... :D

Miből derül ki, hogy titkositatlanul tárolta?

A közüzem megzavarásának kísérlete is Btk. tényállás.

> A közüzem megzavarásának kísérlete is Btk. tényállás.

Egy bűncselekmény lehetősége is már kísérletnek számít? Tehát ha autóval elhajtok a telekom székház mellett, akkor az már a közüzem megzavarásának kísérlete? Hiszen egy egyszerű kormánymozdulattal akár bele is hajthatok a bejáratba.

"Kísérlet miatt büntetendő, aki a szándékos bűncselekmény elkövetését megkezdi, de nem fejezi be."

vs

"beleértve az ügyfelek mobil és fix szolgáltatását blokkolhatta volna, illetve a teljes vezérlést átvehette volna"

Ennyi erővel épp most volt egy (ön)gyilkossági kísérletem, amikor kimentem a konyhába, felemeltem a kést és... felszeleteltem az almát.

"majd a saját részére illegálisan felhasználói profilokat hozott létre, és gyűjtötte a dolgozók adatait, jelszavait"

Ha titkosítva lennének, akkor a jelszavak hashét gyűjthetné csak, a jelszavakat nem.

"A közüzem megzavarásának kísérlete is Btk. tényállás."

Megteszed, hogy rámutatsz arra a szakaszra, ami alapján ezt gondolod?

"Ha titkosítva lennének, akkor a jelszavak hashét gyűjthetné csak, a jelszavakat nem."

Lehet, hogy a TASZ-hoz hasonlóan az ügyészség is hangulatot akar kelteni és az igazság egy részét fedi fel.

(by the way, a hash már akár elég is lehet, hogy megszemélyesitsen valakit)

Vagy az is lehet, hogy mivel 'root' (legyen ez a neve, fogalmam sincs, hogy milyen rendszerről van szó) volt,
az authentikációs folyamatban plain text jelszavakhoz is hozzáfért.
Amik egyébként hash-ként voltak tárolva.

"A közüzem megzavarásának kísérlete is Btk. tényállás."

Megteszed, hogy rámutatsz arra a szakaszra, ami alapján ezt gondolod?"

"(4) Aki a közérdekű üzem működésének megzavarására irányuló előkészületet követ el, vétség miatt két évig terjedő szabadságvesztéssel büntetendő."

----

Engem az egész történetben az lepett meg, hogy mi, szakmabeliek sem értjük meg, hogy itt egy folyamatban lévő büntető ügyről van szó, ahol mindkét fél a saját érdekei szerint kommunikál, a TASZ oldalán egyértelműen azért, hogy befolyásolja a közvéleményt.

Mi pedig kritikai érzék nélkül egy kész történetet rittyentünk belőle, a saját prekoncepciónk alapján.

"(4) Aki a közérdekű üzem működésének megzavarására irányuló előkészületet követ el, vétség miatt két évig terjedő szabadságvesztéssel büntetendő."

Szuper, de az előkészület nem kísérlet. A kísérlet tartalmi eleme a szándékosság, tehát benne kellett lennie az elkövetőben a megvalósítás szándékának - ez pedig (ismerve a fenti tényeket, l. a sok "volnát"), ebben az esetben szerintem nem áll meg.

A helyzet az, hogy szép gondolat lenne az, hogy a jogszabályokból teljesen rekonstruálni lehessen a jogrendszer belső szabályait, de ez sajnos nem így van: ezért kell a papír/egyetemre járni a jog gyakorlásához, és ezért veszélyes a "zugjogászkodás". No offense, de a jog tényleg nem egyszerű.

Nézd, én azt gondolom, hogy az ügyészség legalábbis véllelmezi, hogy bizonyítani tudja a vádat.

Kettőnkkel ellentétben náluk van a nyomozati anyag, jogi ismeret és szakértők igénybe vételének lehetősége.

Az ügyészségnek nem "kerül" pénzébe a történet, így egy próbát megér. Láttuk már, hogy olyan esetekben is bepróbálkoznak, amikor teljesen egyértelműen nincs bűncselekmény (l. BKK-hacker ügy), így én abból nem vonnék le messzemenő következtetést az ügy kimenetelére.

> Btw. ha a jelszavakat gyűjtötte, akkor azokat a T titkosítatlanul tárolta? :O O-óó.

Ez ilyen céges policy lehet: T-Mobile Austria stores passwords in plain text

- Does T-Mobile Austria in fact store customers’ passwords in clear text @tmobileat?
- The customer service agents see the first four characters of your password. We store the whole password, because you need it for the login
- Well, what if your infrastructure gets breached and everyone’s password is published in plaintext to the whole wide world?
- What if this doesn't happen because our security is amazingly good?

"T titkosítatlanul tárolta?" - Nem feltétlenül szükséges. a világon, így szerintem a T-nél sem pusztult ki még az összes plain text-ben kommunikáló, authentikációt használó protokoll.

'le is lehet ssl-ve', attól még lehet olyan pont, ahol god módban hozzáfér a jelszóhoz.

Ez meg a másik.

Bocsánat, de mi a lófasz módban mi a lófaszhoz fér hozzá?

--
https://iotguru.live

Fogalmam sincs, hogy ténylegesen milyen csatornán mihez, mennyi ideig fért hozzá, a közleményben valamiféle Domain Admin szerepelt, ami mindenhez hozzáfér és mindenhol van módosítási joga.

Na ezzel annyi jelszót / tokent / védett privát kulcsot összeszedek, amennyit nem szégyelek.

Én arra gondoltam, hogy mi a lófasz az a "god mode" és hogy a lófaszban lehet egyáltalán plain text jelszóhoz hozzáférni.

--
https://iotguru.live

pl egy sslt bontó proxyn egy root.

Megoldható, hogy ilyenkor se legyen plain text, pláne nem letárolva és/vagy log fájlba mentve.

--
https://iotguru.live

persze.

>> így szerintem a T-nél sem pusztult ki még az összes plain text-ben kommunikáló, authentikációt használó protokoll.
> 'le is lehet ssl-ve', attól még lehet olyan pont, ahol god módban hozzáfér a jelszóhoz.

Szóval persze, lehet, de a felvetés az volt, nincs, csak bele van húzva egy sslbe. Illetve tudom, hogy ezt neked kár mondani, de van, amikor adott peremfeltételek mellett nincs más, mint hogy megy a jelszó a dróton, mert valakihez nem férsz hozzá olyan szinten, hogy meg tudd oldani.

Baszki, 2019 van, tavaly meg 2018 volt.

Értem én, hogy a T-* cégcsoport egy zsíros seggű mamut területtől függően nagyjából 10-30 éves lemaradással gondolkodásmódot és biztonságot tekintve és értem én, hogy évekig tart, amíg eljut az agyáig, hogy bajok vannak és újabb évekig, amíg el kezd tudni fordulni egy új irányra, de attól ez még nem egy felmentő dolog, hanem egy ordas nagy hiba, amit igen gyorsan javítani kell.

Ügyféladatokat tartunk olyan ajtó mögött, amire rá van írva egy cetlire, hogy a kulcs a lábtörlő alatt?

--
https://iotguru.live

Jók ezek a körülmények ismerete nélkül kitalált fikciók.

Kitalált fikció. Igen... a T-* arról híres, hogy pillanatok alatt reagál a kihívásokra; modern technológiákat használnak a belső rendszereiket tekintve, amelyeket naprakészen és frissen tartanak; mindig minden adatot migrálnak, nincsenek több tíz éves legacy rendszereik, amelyek nem tudnak egymás létezéséről... oh, wait, pont ennek az ellenkezője igaz. Dolgoztam már T-* projekten és soha többé nem akarok a cégnek még csak a közelébe se kerülni.

--
https://iotguru.live

Áruld már el, hogy miért van az, hogy a hírekben nem az van, hogy "megpróbáltak betörni a T rendszerébe, de annyira pöpec, hogy nem sikerült", hanem az van, hogy megint random jött-ment megint feltörte a rendszerét és jogászokkal próbálják magyarázni a bizonyítványt és takargatni a szart?

Nekem édes mindegy, hogy mi lesz a sráccal, viszont az már baromira érdekes kérdés, hogy egy "közérdekű üzem" (ami fontosságát tekintve szerintem nemzeti szempontból is kritikus) miért van ilyen hanyagul üzemeltetve. Tulajdonképp megérdemelné a T, hogy valamilyen jogcímen picsán basszák az ottani vezetéstől kezdve az IT sec részlegen át a kivitelezésben résztvevőkig mindenkit.

(És igazából ezzel is csak a jogászok járnának jól.)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Baszki, én egyszerűen csak próbáltam neked beazonosítani a godmódot __a felvetett mondatban__ tök mindegy, hogy ez a T vagy akárki más volt.

Teljes mértékben tisztában vagyok vele, hogy mi az a god mode és a plain text jelszó.

Egyszerűen ez a két dolgot már 10-15 évvel ezelőtt el kellett volna felejteni és mélységes szégyent érezni, ha mégis megmaradtak ilyen csökevények legacy rendszerben. Ha meg aktívan fejlesztett rendszerben vannak ilyenek, akkor egyszerűen nincs értelmes magyarázat rá, csak az, hogy balfaszok között is különösen balfaszok, akik így adnak ki a kezük közül rendszereket.

--
https://iotguru.live

Őszintén szólva a faszt sem érdekel a plain text-e a jelszó vagy sem, ha nem férsz hozzá kívülről.

Ez a jelszó lopás egy túlspilázott dolog tekintve, hogy milyen adatokhoz lehet hozzáférni egy ilyen szolgáltatónál.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Olyan szempontból nem mindegy, hogy ha valaki hozzáfér egy teszt rendszerhez és azon titkosítás nélkül van a jelszó, akkor azt használva átléphet másik rendszerre is vagy az egyén emailjébe, ha ott ugyanazt a jelszót használja. Titkosítás esetén ez nem tehető meg.

Továbbra is azt mondom, hogy túl van dramatizálva. Ha a jelszavakhoz hozzáfért, akkor hozzáfért már üzletileg kritikusabb adatokhoz is.

Örök klasszikus: https://xkcd.com/1200/

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Jó, a god mode nem volt jó szó rá, mert nem biztos, hogy 1 db account-ot jelent.
A lényeg, hogy a publikus internet felől sok _nagyon sok_ adathoz hozzáférhetett.

Felvázolnál egy lyukas DNS szolgáltatást, ahonnan biztosan nem tudok továbbmenni?

Te és tigrincs (például itt) olyanokat írtok, hogy az embernek az az érzése támad, mindketten belülről is nagyon jól ismeritek a rendszert. Mégis egymásnak ellentmondó következtetésre jutottatok. Érdekes.

Baszki, ez nem védhető hozzáállás, ez egyszerűen egy fos cég még hígabb fos rendszere, főleg, ha egy ismert hibát hetekig-hónapokig nem javítanak ki, amivel idézném "nagyon sok adathoz hozzáférhetett" bárki.

Ez a mondat egyszerűen a T-* megmagyarázhatatlan szégyene, mert egy ilyen súlyosságú _ismert_ hibát _nem_ javítottak _heteken_ át: "beleértve az ügyfelek mobil és fix szolgáltatását blokkolhatta volna, illetve a teljes vezérlést átvehette volna".

--
https://iotguru.live

Egyébként a "beleértve az ügyfelek mobil és fix szolgáltatását blokkolhatta volna, illetve a teljes vezérlést átvehette volna" című szöveg szerintem picit hangulatkeltő bullshitelés is, hogy próbálják a vádat minél komolyabbnak feltűntetni, mert az átlagembernek úgy sem az jön le ebből, hogy talán a T-t is picsán kellene rúgni, ha ez ennyire egyszerű.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

> Teljes mértékben tisztában vagyok vele, hogy mi az a god mode és a plain text jelszó.

Akkor tekintsd tárgytalannak a mondandóm, félreértettem a rantot.

engedd el a liberális lelkűeket. háborogjanak csak, meggyőzni úgysem tudod, töltsd hasznosabban az idődet, a vitába szállás helyett. etikus hekkeljük meg az indexet meg a taszt. meglátnánk akkor hogyan vélekednek.
------------------------
Jézus reset téged

Hagyd, kérlek a liberálisozást.

már ne is haragudjál, de ha lehet orbánozni meg a fideszt hibáztatni ezért, akkor nekem meg lehet liberálisozni. engedtessék már meg az egyenlőség.

------------------------
Jézus reset téged

A kettő tök más tengely: lehet valaki liberális, de nem szavazna mondjuk az X pártra.

Az Orbánozásnál sem "konzervatívoznak".

bármit lehet, ehhez meg nem kell túl sok ész. :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Elég kín lehet megemészteni, hogy a liberális internacionálé alelnöke volt.

Az sem baj ám, ha olvasni is tudsz. A trafóházon van egy életveszélyre figyelmeztető tábla. Ha meg a lakat is hiányzik, akkor nem tudhatod mi van benn. Ráadásul a gyerek kezét is jó szorosan fogod, ezzel is a lépésfeszültséget növelve. Igazi Darwin-díjas tevékenység!
De legalább a rabosítást megúszod. ;)

Nyilván nem fogom a gyerek kezét miközben benézek. Nyilván tisztában vagyok azzal, hogy a cipőm rendesen szigetelt, és csak egy(kesztyűs) kézzel próbálom meg nyitható-e az ajtó. A villanyszerelők sem űrruhában mennek be szerelni, csak rendesen vannak szigetelve. Kedves buckó én normális hangnemben kezdtem a társalgást te se kezelj idiótaként lesajnáló stílusban. Mielőtt ilyenek írsz, képzeld el légy szíves, hogy ott ülök veled szemben(nem mellesleg 195 cm vagyok és 100 kg). Ha ilyet nyögnél be, ilyen stílusban, behúztam volna egyet. Kérlek moderáld magad!

Ütős műszaki érveid meggyőztek. ;)
Az látszik, hogy laikus elképzeléseid vannak a villanyról. Minél jobban magyarázkodsz, annál rosszabb lesz. A stílusom akár tetszik, akár nem, életveszélyes dolgokat írkálsz. Bocsánatot kérek, amiért megpróbáltam felhívni a figyelmedet.
Azért a villanynak ne húzzál be! Hidd el, sokkal nagyobbat üt vissza.!

Mondd mester! A transzcendens villanyszerelők hogy nyúlnak hozzá a szent transzformátorház ajtóhoz ha valaki leverte a zárat? Taníts és megvilágosodom!

Én úgy gondolám szent kesztyűs kezükkel leemelék az zsanérról majd megjavítván vissza emelék ugyanoda bezárván azt. Eközben a transzformátor ház ajtónyílására sárga műanyag szalagot feszítevének ki jelezvén, hogy oda bemenni nem üdvös dolog. Mégis ama gonosz beste áram nem tör ki cellájából és nem emészti el az arra tévelyedőket. Sőt! Ama szent transzformátorházak sokszor még az utcán is megtalálhatót halandó ember is elmegy mellettük, sőt esetleg neki is dőlnek ama szent transzformátorház ajtajának és nem emészti el őket az áram.

Nincs itt semmiféle mester. Mindössze kettőnk közül egyik vizsgázott nagyfeszültségű berendezések szereléséből és olykor a MEEI megfelelőnek minősítette a kis- és nagyfeszültségű konstrukcióit, a másiknak meg csak a szája jár. ;)

A trafóház szerelése nem túl bonyi. Beszólnak a központba, hogy kapcsolják le a villanyt. ;) De semmiképpen sem fogják meg a néhányszor 10kV feszültséget megnyálazott kesztyűvel, amivel imént a szélsebességet mérték. :)

Azt, hogy egy megrongált trafóházban mi történt, kívülről nem látod. Akár egy fejszés ember hullája is lehet a földön, no meg egy vezeték. Az elfolyó néhány 100A esetleg fel sem tűnik a központban. Annak meg a kis töredéke is elég, ha rajtad folyik keresztül.

Persze ilyen soha nem fordul elő...mégis a legszebb az a legalább 12m magas szikracsóva volt, amit egy trafóház felett láttam jó néhány percig világítani. Azt is szakember kötötte. :-D

Közvetlenül egy zárlat után - amikor "elmegy a villany" - van még egy veszélyforrás. Ilyenkor a központban egy-kétszer megpróbálják visszakapcsolni a feszültséget. (Kissé rosszmájúan: kiégetni a zárlatot.) Ha ez nem sikerül, akkor általában 20 perc múlva elkezdik a hibaelhárítást. Ennek a végén is jöhet többszöri visszakapcsolás...

Mondjuk olyat nem is tennék(és nem is mondtam), hogy bemennék egy áram alatt lévő trafóházba. Hanem, esetleg megnézem hogy ki tudom-e nyitni az ajtót. Ami ugye egy földelt Faraday-kalitkán van rajta.

Bár a 100A tényleg elég combos. Szerinted ha Baltás Béla vezeték lopás közben odasül (és hozzáér a házhoz, de a központban még nem tűnik fel) akkor mennyi áram haladhat keresztül egy ajtón és mondjuk azt azt megnyaló kutyán(tegyük fel hogy a kutya betonon áll)?

Ha szikrák pattognak körülötte, vagy füst száll fel belőle, akkor meg a közelébe se mennék.

De igazad van, az áram veszélyes üzem, de akkor legyen a példában csatornafedél. (Az is közüzem ugye...)

Leegyszerűsítve: Én úgy érzem hogyha közüzemben hibát észlelek akkor állampolgári kötelességem bejelenteni. A mostani eset viszont mintha azt üzenné, hogy bár van hiba, de "Kuss maradj csendben, Ne avatkozz a nagyok dolgába".

Lámcsak, tudsz kommunikálni tisztességes hup offtopic módon is! :-D

A Faraday-kalicka statikus védelem, miszerint a töltés ne áramoljék befelé.
A földelés az teljesen más. Íme egy egyszerű példa, amely persze a példa miatt tartalmaz apróbb csúsztatásokat. Tegyük fel, hogy egy lakásban a feszültségforrás az elosztó tábla. Tehát "ott keletkezik" a 230V és ott van a védöföld 0 potenciálja is! Van két védőföldeléssel rendelkező konnektor 5 és 10 m távolságra. A távolabbiba dugjunk egy védőföldeléses vasalót, amely zárlatos. Ha ugyanakkor megméred a védőföld feszültségét a közelebbi konnektoron, akkor az 230/2V lesz.

Ennyit az "elmélet modellről". A gyakorlatban sokkal cifrább helyzetek is előfordulhatnak.
Volt olyan építkezés, ahol a melósok megtagadták a munkát, mert ha vizet engedtek egy vödörbe, akkor az ívet húzott. :-)
Úgy 20 éve egy lakótelepen laktam, ahol még működött a soros kábeltévé. A koaxot bedugva a kettős szigetelésű tévébe szikrázott, illetve rázott. A védőföld és az árnyékolás között kb. 160V, az árnyékolás és a nulla vezető között kb. 120V feszültséget lehetett mérni. A társasház elektromos rendszerének felülvizsgálata nemrégiben zajlott. :-)

Ezek a dolgok is a lehetetlen és elképzelhetetlen kategóriába tartoznak. Aztán mégis előfordulnak.

Közüzem az közüzem. Teljes mértékben egyetérek az állampolgári kötelezettséggel. Csak ugye van a jogi környezet, jogi hozzállás, ami a legöntudatosabb álampolgárt is elbizonytalaníthatja.

Mint a későbbi hozzászólásokból láthatod, valószínűleg nem fog kederülni az igazság. Ha a negyede kiderülne, akkor az egy nonprofit GDPR-alapú csoportos pert eredményezhetne, meg akár a T bukását. De erre semmi esély.

"Úgy 20 éve egy lakótelepen laktam, ahol még működött a soros kábeltévé. A koaxot bedugva a kettős szigetelésű tévébe szikrázott, illetve rázott. A védőföld és az árnyékolás között kb. 160V, az árnyékolás és a nulla vezető között kb. 120V feszültséget lehetett mérni. A társasház elektromos rendszerének felülvizsgálata nemrégiben zajlott. :-)"
- teljesen normalis jelenség, mivel a kabeltv fejallomas nem a te konnektorodrol uzemel. Izolator patron elhelyezese az antenna betapnal indokolt, enelkul pl Nemetorszagban mar vagy husz eve nem engednek kabelteve bekotest letesiteni.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Jogos. De elfelejtettem megemlíteni, hogy a "fejállomás" a tetőn elhelyezkedő antenna volt.
Szóval húzós az emeletenként 20-30V feszültség. ;)

(Pontosan az volt a közgyűlés tárgya, hogy az új kábelen érkező szolgáltató mellett a szövetkezet megtartja és saját használatba veszi a régi soros hálózatot.)

Ha a tetoantenna foldelese (villamharito-rendszer) es a hazban levo konnektor aljzat foldelese nincs nullpotencialon (pl nefh van kialakitva), akkor az bizony teljesen termeszetes modon feszultseg forraskent uzemel.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ha közérdekű üzemet nem véd megfelelően a Telekom, akkor nem a Telekom a hibás?
Vagy társadalmilag az hasznos, hogy a Telekom rendszerei lyukasak maradhatnak, hiszen inkább a bíróságon próbálják elintézni ezt? Vagy esetleg valakik által fizetett backdoorokat fedezett fel a srác. (egy egész departmentünk van it-securityre, de kint hagyunk egy gépet default jelszóval, aha)

Egyébként az is érdekes lehet, hogy a szervezet melyik tulajdonságai azok, amik miatt ilyen helyzetekbe kerül folyamatosan.

Persze értem, hogy jogilag jelenleg ezeket feltenni értelmetlen, viszont más szempontból szerintem elgondolkodtató.

Ez van, ha az ügyvédek olcsóbbak, mint a jó programozók és a jó rendszergazdák.

A szekuriti arrafele exceltablakbol all meg abbol hogy hataztataztan nemlehet mert atto nemlesz bittonysagos.

Te biztosan mélységében látsz bele az ország legnagyobb telekommunikációs szolgáltatásába.

+1

Miért hallom ki ebből a sértett érzésű lojális dolgozót? :)

--
https://iotguru.live

Mert öreg vagy és összeforrt benned az állami szarkupacot megtestesítő Matáv és a Telekom és szabadulni sem akarsz tőle. :)

Nem vagyok munkaviszonyban velük, madártávlatból a hasonló méretű multikhoz képest sokkal inkább innovatív és teljesítményorientált céget látok.
Ja, nincs magasan a mérce. :)

"Mert öreg vagy és összeforrt benned az állami szarkupacot megtestesítő Matáv és a Telekom és szabadulni sem akarsz tőle. :)"

Ha két éve még jellemző volt a cégre az állami szarkupacot megtestesítő Matáv és Telekom mentalitás, akkor igen, öreg vagyok és összeforrt bennem.

"Ja, nincs magasan a mérce. :)"

Ja, úgy könnyű. Lehet, hogy magasabbra tettem a lécet.

--
https://iotguru.live

Mivel én már elég öreg vagyok, elmesélhetem milyen ostobaságokat írogatsz. ;)

Kevered a Póstát a Matávval. Az utóbbi már marha régen többségi állami tulajdonú, majd effektíve német irányítású cég volt. Ennyit az állami szarkupacról, ami helyesen német szarkupac-alegység.

Ehhez az alegységhez két dolog társult. Egyrészt az alegység hazai elemei, akik a saját pecsenyéjüket sütögetve pontleszarják az innovációt, másrészt a német tulajdonosok pont a teljesítményorientáltság miatt teszik ugyanezt.

A következő lépés a T-sítés volt. Ennek végén a kutyaütő középvezetők kerültek az élvonalba, miközben a pecsenyesütögetés maradt.

Az, hogy madártávlatból látni vélsz még ennél is kevésbé hatékony céget, azt talán a madártávlat teszi. ;)
A teljesítményorientáltság viszont annyiban igaz, hogy ez a legnagyobb, leglomhább, de legdrágább szolgáltatást biztosító cég.

Ennek a Póstának van köze a Postához?

--
trey @ gépház

:-D
Van aki ékezet nélkül ír. Én meg ékezettel. Probléma? ;)

=)

Azt elég valószínűnek látom, hogy ezután etikus hacker nem nagyon fog a Telekom rendszereihez nyúlni. Etikátlan ettől függetlenül fog...
Ha egyszer valami pukkanás lesz az nem pici lesz, hanem baromi nagyot fog szólni.

Ezt a cég 100%-ban magának köszönheti. Ismerjük a Telekomot, felelős most sincs és soha nem is lesz.

--
Gábriel Ákos

https://index.hu/belfold/2019/01/28/visszalott_az_ugyeszseg_a_tasz-nal_az_etikus_hekker_ugyeben/

"A vádirat szerint a fiatalember, az internet felhasználásával jogosulatlanul lépett be..."
"a vádlott Szolnokon, a 2017. április 12. és május 2-a közötti időszakban lépett be"

Szerintem ezeknek lila fingjuk nincs arról, hogy ki, hogyan és mikor lépett be pontosan a rendszerükbe és erre építi a TASZ a védelmet.

A 2 év felfüggesztett pedig nekem vádalkunak tűnik, amit természetesen nem fogadott el, ezért fenyegetőznek 8 évvel.

Pedig mennyivel előrébb lettünk volna, ha a sajtóközleményben másodpercre pontosan az összes login-t feltüntetik.

ha tudnák az lenne bent a vádiratban is.

Te olvastad a vádiratot? :O

Feltetelezem, hogy a vedelem igen es ha percre pontosan fel lennenek tuntetve a loginok, IP cimekkel es ISP-tol lekert elofizetoi adatokkal egyutt, akkor nem hivatkozna arra, hogy hianyos a vadirat. Btw a cikk szerint a fenti idezetek a vadiratbol valok.

...jogosulatlanul lépett be egy olyan, a Magyar Telekom Nyrt. által üzemeltetett szerverre, amely a dolgozók belépési adatait tárolta,.....teljes körű hozzáférést biztosítottak az elkövető részére, melynek segítségével a Magyar Telekom Nyrt. teljes hálózati infrastruktúráját, beleértve az ügyfelek mobil és fix szolgáltatását blokkolhatta volna, illetve a teljes vezérlést átvehette volna

Mindezt pedig: Böngészgetett, és a Telekom weboldalán rábukkant egy olyan pdf-fájlban olvasható felhasználói útmutatóra, amiben szerepelt egy DNS-kiszolgáló IP-címe. Végzett egy rutinvizsgálatot erre az IP-címre, majd meglepve tapasztalta, hogy innen viszonylag könnyen hozzájutott egy rendszergazdai jelszóhoz. Ez a jelszó egy olyan fejlesztői szerverre szólt, ahonnan tovább lehetett lépni a Telekom teljes hálózatába.

Itt már a lábujjaim és maradék hajszálaim is elfogytak mellőzött alapvető biztonsági ökölszabályok számlálása közben. :-D

Igen, az egy nagyon érdekes kérdés, hogy vajon ha van lehetősége a Telekomnak és az ügyészségnek, így szopatni valakit, akkor a Telekomot miért nem húzzák faszra az ügyfeleinek az adatainak hanyag kezeléséért és közüzem hanyag üzemeltetéséért?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Hat igen, ez az erem masik oldala. Szerintem ez nagyobb problema, mint a srac ugye.

A srac kap amit kap, nem nagyon erint. De, mint a Telekom ugyfele, az inkabb erdekel, hogy mennyire
elovigyazatosan taroljak az adataimat, vedik a sajat infrastrukturajukat, ha egyaltalan.

Erre kellene rafekudni inkabb.

Olyat nem lehetne, hogy egy kozerdeku szolgaltatast nyilvanos pentester esemennyel tesztelik le?:)
Amolyan Pwn2Own esemenykent.

Es kovetkezmenye is lenne a T-re nezve, mondjuk extra ado formajaban.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Úgy hogy egy cégnek nincs lelkiismerete. Kellően nagy cégnél még konkrétan felelőst sem fogsz találni, el van kenve szépen, mindenki meg tudja magát védeni.

--
Gábriel Ákos

Ó dehogy nem, csak akarni kell. Felelős a vezető, aki alatt történt a dolog. Felelős a rendszer tervezője, aki azt jóváhagyta, aki azt kirakta, aki üzemeltette, ha volt jelzés, hogy ez így szar, akkor az, aki ignorálta. Meg az is felelős, aki ezt a processt kiépítette, ami ezt lehetővé tette. Gondolom vannak megfelelő ISO minősítések és dokumentált minden ( :) ).

Ilyen elbaszás esetén nem egy embert kellene valahonnan előrángatni.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Ilyen elbaszás esetén nem egy embert kellene valahonnan előrángatni.

Pedig így szokott lenni. Majd valami operations/security team leadert az alvégről kitesznek, mindenki más magasabban meg él tovább vígan mint hal a vízben.
--

A konkrét eset már elég régen, 2017 nyarán történt. Az ember azt gondolná, hogy amikor a srác bement beszélgetni, akkor minden logot lemásoltak, biztonságos helyre eltettek. Aztán amikor másodszor is behatolt a rendszerben, akkor szintén ugyanígy jártak el. Azt is gondolhatjuk, hogy amikor ismeretlen tettes ellen feljelentést tettek, akkor ezeket a logokat csatolták a feljelentéshez. Azt is gondolhatjuk, hogy amikor letartoztatták, akkor lefoglalták a számítógépét, vagy gépeit.

Ezek után az ügyészség kérte az előzetesbe helyezését, mondván megsemmisítheti a nyomokat. Ha visszakapja a számítógépét akkor talán az azon levő nyomokat meg tudja semmisíteni. Ha nem zárták be a biztonsági rést (ami önmagában is ordas nagy hiba), akkor tényleg be tud újra hatolni, de ha még van esélye nyomokat eltüntetni, akkor sokkal nagyobb a baj a Telekomnál, mint azt eddig gondoltuk.

Egyre inkább az a gyanúm, hogy ebben a látszólag egyszerű ügyben (minden bizonyíték rendelkezésre áll, újabbat 10 év kereséssel sem fognak találni) azért tartott a nyomozás és a vádirat elkészítése másfél évig, mert valamit a Telekomnál nagyon el akarnak hallgatni. És úgy kellett elkészíteni a vádiratot, hogy a Telekom szennyesét ne teregessék ki.

Összeesküvés-elmélet: Mondjuk, ha kiderülne, hogy hozzáfért az összes ügyfél összes adatához, akkor már tényleg szóba jöhetne a GDPR is. Egy 20 millió eurós büntitől biztosan nem lenne boldog a cég.

Lofaszhoz se fert hozza olyan geprol ami a neten log.

Meg a teszt rendszerekbe is elavult tobb honapos adatokat szoktak felvinni. Eles rendszert meg a teszt kornyezetbol el sem lehet erni a T-nel.

Eles rendszert meg a teszt kornyezetbol el sem lehet erni a T-nel.

Olyan biztos vagy te ebben? :)

100 % mert kulon infran van es amikor erre valamilyen okbol szukseguk volt (pl vegigkiserni egy szolgaltatas letesitest az eles rendszerben) minket kertek meg ,hogy inditsunk dummy letesitest ami semmiben nem kulonbozott egy igazitol csak annyira ,hogy a megrendelo Teszt Jakab volt es meg szamlazas illetve behajtas is indult mikor nem fizetett...

És ez minden rendszerre igaz? Mert én láttam olyat is, hogy nem is volt teszt rendszer... :)

--
https://iotguru.live

:-)

:-)

A tesztelok rendszere teljesen el van szeparalva a T-nel az elestol. Valamint egyetlen fejlesztonek sincs az eles rendszerhez hozzaferese.
Ez mar 10x eve is igy volt.

Szoval itt valaki valamit benezett mikor ez szerepel a vadban vagy szimpla hangulatkeltes.

És miközben ebben a topicban is megy a cicaharc, hogy a srác vagy a telekom volt a szemét, a lényegről egy szó nem eset:

A linkelt ügyészségi visszamutogatós szöveg alapján a telekom rendszerében bármelyik ügyfél telefonját lehallgatjatja bárki, bármelyik ügyféle internetforgalmát lehallgathatja bárki, bármelyik ügyfél pozícióadatait lekérheti bárki a tornyok adataiból. Mert a jelszót közzétették valamihez, amin keresztül szabad az átjárás (?).

Hát hogy a jó részfánfütyülő kiszabott örömlány édesanyjukban nem probléma ez?

Az hogy egy aspergeres (?) srác beletenyerelt, egy dolog. De az semmi, hogy megpróbáják ráverni, hogy vallja magát bűnösnek. Az miért nem probléma, hogy a fél országra effektíve poloskát tett a hozzá nem értő telekom. Az usa és kína kb bemondásra rabosítgat embereket, lecsukogatnak pár kémet oda-vissza, nálunk pedig nincsen semmi látnivaló, ha szabadon hozzáférhető pár millió ember adatforgalma, telefonbeszélgetései, pozíciója. Ki tudja ki más járt még keresztül a rendszerükön... vagy éppen az a baj, hogy kiderült és korlátozni kell az átjárást?

Amit a végén írtál, abban én nem hiszek, mert a „tudjuk melyik szolgálatok” most is betelepíthetik a saját berendezéseiket a távközlési szolgáltatokhoz. Így amihez akarnak, ahhoz hozzáférnek enélkül is. Ha esetleg külföldi szolgálatoknak nyújtanak így hozzáférést a rendszereikhez, akkor lenne értelme a dolognak. De ilyet fel sem merek tételezni, mert szeretnék magamnak békés és nyugodt öregkort.

Nekem úgy tűnik, hogy a Telekom el akarja venni a hibabejelentők kedvét a hibák jelentésétől. És ehhez az ügyészség asszisztál. Azt a részt, hogy az ügyészség kérte az előzetes letartoztatást, eddig senki nem cáfolta meg, így talán tényleg ez történt. Egy ilyen előzetes letartoztatás tökéletes eszköze a megfélemlítésnek. Kb. 25 éves koromban elmentem egy börtönlátogatásra. Már a belépés is szorongást keltett bennem, annak ellenére, hogy önszántamból mentem be, és tudtam, kb. 2 óra múlva kijövök. Így van sejtésem arról, milyen sz@r lehet az, hogy úgy visznek be, hogy fogalmad sincs mikor fogsz kijönni.

előzetes szarabb mint börtön. a 72 óráról nem is beszélve, az felér egy kinzással.

Hm... sóhaj... elvileg az állami lehallgatást még törvények szabályozzák és bírói engedély kell hozzá.

Az ügyészség állítása szerint viszont ennyi erővel bűnözők, más államok, konkurens cégek is simán lehallgathatták a fél ország kommunikációját.
Nem csak a buta prolikét, akiet semmi sem érdekel, csak a két fillérük, hanem

https://www.telekom.hu/rolunk/sajtoszoba/sajtokozlemenyek/2017/februar_6
"A szerződéskötést követő 39 hónapban a Magyar Telekom, illetve leányvállalata a T-Systems Magyarország fogja ellátni a teljes érintett kört, vagyis a kormányzati szervezeteket és a rendszerhez önként csatlakozó intézményeket (önkormányzatokat, intézményfenntartókat, bíróságokat) alapvetően mobil hang és hozzá kapcsolódó mobil internet szolgáltatással."

Egyébként igen, ez a magyar társadalom
"ilyet fel sem merek tételezni, mert szeretnék magamnak békés és nyugodt öregkort."
Azt hiszik, ha nem néznek oda, nem tiltakoznak, akkor őket békénhagyják és gondtalanul élhetnek. Ez a naivitás. A valódi problémákról tabu beszélni, ellenben értelmetlen és céltalan veszekedés, na abban érzi magát jól a magyar ember. Az összes topic csak erről szól a témában. Minden témában.

Jaj baz... Ne tegyünk már úgy, mintha egyébként nem lenne mindenhol bejárása legalább (jobb esetben legfeljebb) a releváns helyi állami szerveknek a telko cégekhez. (Jobb esetben megfelelő jogszabályi keretek közt.)

Uncsi már ez a (mű)naivitás.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Ne legyél már funkcionális analfabéta. Nem az állami szolgálatos lehallgatásról van szó, hanem arról, hogy bárki bármit lehallgathat, ha átjáróház a szolgáltató rendszere.
Ráadásul az állami szolgáltatást is a telekom nyerte el, szóval hivatalok, állami szervezetek...
Így belegondolva ez már nemzetbiztonsági ügy és nem az az ügy, hogy egy balfék srác megtalálta a jelszót, hanem az, hogy bárki megtalálhatta. És az, ha létezik olyan fiók, amivel ez megtehető. Ha az infrastuktúra ezt lehetővé teszi.

Persze, az is egy lehetőség, hogy az ügyészség hazudik. Ez sem túl jó lehetőség.

Ha úgy gondolod, akkor meg tegyél feljelentést ismeretlen tettes ellen.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

BREAKING! az index kikiáltotta etikus hekkernek a srácot!!!!


------------------------
Jézus reset téged

Disclaimer: sosem voltam telenyom alkalmazott, de lattam mar oket "belulrol":

Tisztelet a maroknyi mernoknek akik valami mazochizmusbol + egyeb erzelmi kotodesbol ott robotolnak es viszik a hatukon az egesz dilettans csillamponi foskupacot.

A jelenleg ott dolgozok 99,9%a semmihez se erto magat talan managernek becezgeto nyomoronc aki se wc pucolashoz, se tavkozleshez, se akarmi mas szolgaltatas fejlesztes\uzemeltetes\ertekesites stb, de meg penzugyekhez SE ert. Ott van tobb 1000 ember akinek 2019ben az openoffice meg az agilitas ujszeru varazsszo amitol azt hiszik majd kevesbe lesznek kirohognivalo nyomoroncok..

Ebben a kozegben szerintem a bkks fiasko ota letrehoztak egy uj szervezetet amiben van 200 marketinges, 100 jogasz, 50 manager hogy azonnal reagaljanak az altaluk felfoghatatlan esetelre amikor valaki meghaxxgrrrolja oket.

Aztan amikor megjelenik a kis diak es tulvannak a 30adik meetingen is ahol a gyerek meg mindig nem talalt senkit aki ertene hogy a Http post methodnak semmi koze a magyar postahoz.. .. :-P
Mert hat a 350fos szervezetbe mernokot nem lehet talalni mert dragaaa. Nincs hozzaerto 200 nettoer? Hja kerem es meg ki se termeli a 350semmittevo cegautojat?

Pl most:a frissen felvett gyakornok altal tesztrendszer helyett publikus netre kirakott jogosultsagkezelot valaki megtalalja :-).

Szerintem ott hozzaertonek lenni valami foben jaro bun...

A fentiek a fantazia szulemenyei, barmely velt vagy valos hasonlosag csak a veletlen egybeeses es kreativ alkoto tevekenysegbol adodik :-)

> 99,9%a semmihez se erto
Tuti ilyen drasztikus a helyzet? Most rantottak fel egy irodahazat. Csak csinalnak valami ertelmeset is amibol van bevetel... Kerdem, nem mondom ;)
____________________
echo crash > /dev/kmem

A százalékokat nem ismerem, de az új irodaházba nem csak informatikusok költöztek, így ebből nem lehet következtetést levonni.

Történelmi okokból van bevétel és leginkább abból, hogy a konkurencia is balfasz történelmi okokból, a feltörekvő konkurencia pedig különféle szürke és fekete zónás mesterkedésekkel el van nyomva, legtöbbször csírájában vagy meg se próbál belépni egy olyan piacra, ami nem tiszta a visszaosztások és az összefonódások miatt.

--
https://iotguru.live

Konkurencia globális multik, milyen történelmi ok van, ami miatt balfaszok ezek? :O

A másik része, hogy a többiekkel ellentétben a magyar B2B piacon is erőssek és sokkal több szolgáltatást nyújtanak itt, mint a versenytársak.

A lakossági piacon is teljeskörű szolgáltatást nyújtanak, nem tudok más ilyen konkurenciáról.

Te náluk dolgozol? Mert ekkora bullshit halmot régen láttam már egyben.

--
https://iotguru.live

+1

Nem kifogás az se, ha náluk dolgozik. Sőt az rosszabb, mert az azt jelenti, hogy pénzért megvásárolható a véleménye. Magyarul egy egyéniség nélküli, elvtelen, megélhetési mérnök úrral van dolgunk. Bár az is lehet, hogy szimplán csak egy sales-es marketingbohóc.

"Tuti ilyen drasztikus a helyzet"

rosszabb :)

"Most rantottak fel egy irodahazat"

eladták majdnem az összes még meglevő saját épületüket és beköltöztek egy parkolóba( XD ) épült bérleménybe..
/személyes teljességgel megalapozatlan véleményem szerint ez egy utolsó nagy összegű 1ben kivehető pénzszivattyú../

"bevetel"

Természetesen a most elköltött bevételt nem a most ott tevékenykedő döntéshozók termelték meg..

Gondolom nem vagy ügyfelük &/nem kellett ügyintézned náluk az elmúlt pár évben :D különben fel sem vetődne a kompetencia kérdése..

Evek ota nem tudjuk az optikat elintezni. Az irodahazban benn van az optika, le is fotoztam.
Es meg mindig adsl-lel szivunk 100KiB/s uploaddal.
Igaz ebbol vettunk 3-at, de igy is szivas.

Aszem most lett a 8. szemelyi tanacsadonk a telekomnal. De lehet, hogy a 9.
Olyan 4 eve nem sikerul veluk elintezni, mindezt a belvarosban.

Pedig mar fotot is kuldtem, hogy ott van. Meg Matav van rairva, szoval egy ideje ott van.
Ezen kivul van meg masik optika is, de az privat (banke). De a Matavos matricas szerintem az o hataskoruk,
de eloszor letagadjak, a foto hatasara "utananez", itt par honapos csend, majd az ugyunk egy uj kollegahoz kerul, mert
az elozo lelepett.

Szoval en azert fenntartasokkal fogadok minden T-s hirt.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

*dupla*

legyen. Lehet, hogy csak 99,5%

Aki ezt elhiszi, vagy akire ez érvényes azt baromi nagy meglepetések fogják érni a következő hónapokban.

Ami publikus: a T csoportban teljes, mindenkire kiterjedő reorganizáció történik, más munka- és projekt szervezési modellek jönnek be:

https://app.handelsblatt.com/unternehmen/it-medien/t-systems-chef-al-saleh-das-sind-die-naechsten-schritte-im-sparprogramm-der-telekom-tochter/23017582.html

Én már láttam néhány átszervezést, és azt kell mondjam, hogy aki korábban rossz döntéseket hozott, az általában maradt a cégnél az átszervezés után is, ha a főnökségnek valamiért szimpatikus volt. Az eddigi tapasztalataim szerint az átszervezések fő szempontja a költségcsökkentés volt. Bár a külvilág felé mást kommunikáltak, de ez minden más szempontot felülírt. Ha a hülye kevesebb bért kap, mint a jó munkaerő, akkor a hülyének nagyobb esélye van maradni.

nem költségcsökkentés, hanem költségoptimalizálás, és a hatékonyság növelése :)

megfogtátok a lényeget :D
„Wir haben einen guten Plan zur Reduktion von Kosten aufgelegt“

attól, hogy a trágyát átmozgatjuk és leponyvázzuk, még ugyanúgy trágya marad.

+1 bár amíg nem folyik ki a lé a ponyva alól van a sales-es aki eladja hogy az alatt finom torták vannak :D és olyan is akad aki bekajálja :D

1. én a magyar telekomról beszélek. a német se jobb semmivel
2. tudod hány átszervezés volt ott az elmúlt 15+ évben? :D

2.: Egy. De az 15+ évig tartott :-D

Ez különben nagyon igaz minden multira. Akik dolgoznak, akikböl élnek, azok vannak mindig a legszarabbul megfizetve. Az "okosok" meg felveszik a nagy zsetont a semmittevésük, fostologatásuk, okoskodásuk után.

--
robyboy

Az ilyen zajos ügyek nem fogják megkönnyíteni a T-nél a HR-esek munkáját: https://prog.hu/hirek/4761/oriasi-hiany-lesz-varhato-jo-fejlesztokbol-a-t-systems-nel
Vajon hogyan lehet oly módon eljárni a (bármely) cég részéről, hogy kisebb felzúdulást keltsen szakmai körökben egy hasonló incidens kezelése. Itt nehezítés, hogy a BKK botrány és elcseszett kezelése már eleve nagyon hátrányos a cég megitélésének.

Az sem, hogy a 2018-as pwnie awards-on 2 jelöléshez is köze van a Lamest Vendor Response kategóriában (BKK, Telekom Austria).
https://pwnies.com/nominations/

A szomorú az, hogy a BKK-s eset után nem vonták le azt a következtetést, hogy ilyen ügyeknél nem csak a jogászaikat, hanem a kommunikációs szakembereiket is meg kell hallgatni a végső döntés előtt. Ha a végén a bíróság megállapítja a srác felelősségét, a cég számára ez akkor is kommunikációs kudarc marad. Végső soron tovább rombolja a cég jó hírnevét. (Kéretik az olyan típusú vicceket mellőzni, hogy „olyan nekik soha nem volt”.)

Pósta, Matáv, OTP, nehezen engedik az előző rendszerből átmentett monopóliumukat.

Ha előző rendszer, akkor csak Posta, OTP. A Matáv már az új kor szüleménye.

Mondjuk ebből a háromból az OTP pont normális szolgáltatást ad, simán lekörözi a legtöbb nagy szereplőt a piacon. (Legalábbis manapság, pár éve azért volt egy-két WTF pillanat ott is)

Volt olyan bank, ahol eltűnt hatvanezer a számlámról, és (noha semmilyen tranzakciót nem tudtak mutatni ezzel kapcsolatban) nem akarták visszaadni. Meg olyan, ahol számla megszüntetéskor be kellett vigyem a papírfecnire ceruzával (!) felírt számlaszámot, mert az "hivatalos irat", és "kell" a megszüntetéshez.

Érdekes módon ilyen atrocitások nem érnek az OTP-nél, pedig kb. a teljes termékpaletta megvan.

"az OTP pont normális szolgáltatást ad"... Csak a GDPR ne lenne... 10+ évvel a számla megszüntetését követően újra számlát akartam nyitni, és csodák csodája, az ügyintézőnek az éles rendszer felhozta a régi adataimat, számlástól, címestől, okmányazonosítóstól, tokkal-vonóval.

És ezzel milyen tényállást valósítottak meg? Nem vagyok benne biztos, hogy egy bank nem tárolhatja a személyes adataidat a számlazárás után, különösen, hogy érzéseim szerint nem is kérted azok törlését.

Lovon fordítva: ilyen-olyan jogszabályi kötöttség okán 10 évig (pontosabban a számla zárását követő év dec.31. +10 év) tárolhatnák az adatokat, utána már a személyes adatok kezelésére a jogalap megszűnik, ergo törölni _kell_(ene) azokat.

Ezért kérdeztem a tényállást. Könnyen lehet, hogy igazad van, de kb zéró konkrétum volt a kommentben.

Ez elsősorban a folyton emlegetett ÁJTÍ kudarca. Aztán utána lehet sorra venni az egész szervezetre nézve, hogy rizsázhattak volna másképp meg fényezhették volna a foskupacot másképp, de a lényeg, hogy szolid megoldás helyett egy trágyadombot építettek. mindegy hogy mekkorát, mennyire szaglott stb.. mondjuk tény, hogy ha figyelembe vesszük a fejlesztőik és a szófosóik arányát valószínűleg tényleg a szófosók több pénzt égettek el semmittevéssel, míg a trágyadombépítők legalább építettek míg a "kommunikációs szakember"-ek csesztek bármit is moccanni..

What does the IT stand for? :)

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Kíváncsi vagyok mi lesz a sztori vége. Épp ma láttam a metró mozgólépcsőjén (Keleti) egy hirdetést az etikus hekkerről: a 8 év, mint reális járulék, ott valahogy kimaradt. :-)
A jelen állás szerint az ügy tanulsága, hogy Magyarországról nem szabad felfedezni - etikus módon, kárt nem okozva - olyan biztonsági rést, ami hazai céget érint. Jön ugyanis az állam vasökle, és sittre küldhetik az "etikust".
A pályát meg kell hagyni a kínai/orosz/brazil/nigériai versenyzőknek, akiket nem ér utol az NNI és az ügyészség (és a Telekom sem), cserébe jelentős, _valódi_ károkozást hajtanak végre. Gratula a nagyeszűeknek.

Az ilyet máshol is elítélik:

Facebook hacker jailed for eight months

"Explaining his actions, Mangham told the court: "It was to identify vulnerabilities in the system so I could compile a report that I could then bundle over to Facebook and show them what was wrong with their system."

Ugyanaz a sablon védekezés. Aki ilyen "szakmára" adja a fejét, az a minimum, hogy a tetteink következményeivel _előre_ tisztában van. Ha máshonnan nem, a külföldi, már megtörtént esetekből.

--
trey @ gépház

> Az ilyet máshol is elítélik:

Vagy nem:

"The expert confirmed to have had access to the following information:
Source Code of Instagram website
SSL Certificates and Private Keys for Instagram
Keys used to sign authentication cookies
Personal details of Instagram Users and Employees
Email server credentials
Keys for over a half-dozen critical other functions"

http://www.exfiltrated.com/research-Instagram-RCE.php

"Végül a Facebook nyilvánosan is elismerte a sebezhetőség létezését és annak súlyosságát, továbbá megígérte, hogy kifizeti a programban feltüntetett jutalmat."

https://androbit.net/news/5976/botranyba_fulladt_az_instagram_feltorese.html

Kérlek, ilyenkor tegyél mellé kronológiai eseménysorrendet, mert ez így önmagában kevés.

--
trey @ gépház

Szerintem elég jól le van írva az első oldalon, de ahogy óhajtod:
- A hacker kapott egy fülest lehetséges RCE-ről az instragram szervereinél (sensu.instagram.com)
- Ezzel belépett, letöltötte a bcrypt-el titkosított jelszavakat tartalmazó fájlokat, majd JtR-el visszafejtett párat (changeme, password, instagram)
- Ezekkel belépett, nem csinált semmi módosítást és jelentette a facebooknak (később megkapta a 2500USD-t)
- Az instagram meg is szüntette ezt a belépési lehetőséget

- A hacker folytatta útját a szerveren talált /etc/sensu/config.json fájlban lévő AWS kulcsok alapján
- Ezt használva több lépésen keresztül, távoli ip-ről, bármilyen adathoz hozzáférhetett (fenti lista)
- Ezt is jelentette a FB-nak
- Ez már nem tetszett a FB-nak és a cég CFO-ja felhívta a hacker munkáltatóját és jelezte a tevékenységét és kérte a privát adatok biztonságos kezelését

Szóval szerintem itt durvább dologról volt szó (bár a t ügynél még hiányosak az infók) és az AWS hozzáféréssel valóban túl ment a határon, de nem került börtönbe

Egyelőre ez az illető sem került börtönbe. Felfüggesztettel kínálták meg. Vagyis nem is kellett volna börtönbe mennie.

--
trey @ gépház

Erről Buherátor is megemlékezett

Szóval az elsőfokú ítélet volt 8 hónap, aztán ezt fellebbezett, így 4 hónapot kapott jogerősen. (A magyar srácra az ügyészség 5 év letöltendőt kért, és 2 év felfüggesztett volt a vádalku.)

Van viszont pár komolyabb eltérés:
1. Glenn Mangham jelentős mennyiségű adatot "lopott" el a fb-tól, erről itt nincs szó
2. Glenn Mangham megpróbálta eltünteni a nyomait, miután észlelte hogy lebukott, itt erről sincs szó.

És ugye ott precedensjog van, szóval ha van olyan korábbi, jogerős ítélet, ami alapján valakit már ilyen (vagy hasonló) dologért elítéltek, akkor elvileg ebben az esetben is el kell ítélni érte. Nem tudom, hogy ez számított-e ebben az esetben, nem kizárt.
És érdekes még a két ország hatóságainak sebessége. Ott 2011 júniusban kopogtattak a kékek, 12 februárban volt elsőfokú ítélet, 12 májusban másodfokú. Itthon 17 nyara óta nyammognak ezen a kékek és/vagy az ügyészség, és bőven reális, hogy nem lesz idén elsőfokú ítélet. És akármi is lesz, valaki úgyis fellebbezni fog...

"erről itt nincs szó"

Legalábbis, egyelőre nem tudjuk.

A lényeg az, hogy sehol sem diákcsínyként kezelik, ahogy itt egyesek be akarják állítani.

--
trey @ gépház

"Legalábbis, egyelőre nem tudjuk."

Legalábbis eddig nem hangzott el sehol ilyesmi. Se az, hogy a nyomait el akarta tüntetni, se az, hogy bármit is leszedett volna abból az adathalomból, amihez a té hozzáállása miatt hozzáfért. Az ügyészség "ellenközleménye" se említ ilyesmit.

"A lényeg az, hogy sehol sem diákcsínyként kezelik, ahogy itt egyesek be akarják állítani."

A lényeg az, hogy senki se kezeli ezt diákcsínyként, hiába akarják egyesek ezt egyesek itt úgy beállítani.

Index cikk: "majd a saját részére illegálisan felhasználói profilokat hozott létre, és gyűjtötte a dolgozók adatait, jelszavait."

- Milyen adatokat gyűjtött?
- Milyen mennyiségben?
- Hova gyűjtötte helyileg?
- Esetleg ezeket az adatokat a saját gépére gyűjtötte?

Tudsz ezekre válaszolni? Vagy találgatsz.

--
trey @ gépház

Trey, ezek nem tények, ezek állítások. A bíróságon ezeket nem árt bizonyítani, addig pedig csak üres fecsegés.

Ő: "erről itt nincs szó"
Én: Legalábbis, egyelőre nem tudjuk.

Tehát az "erről itt nincs szó"-t is pontosan ugyanúgy kell bizonyítani.

Mi lenne, ha a összeolvasnátok a szálakat, hogy kijöjjön az értelmes társalgás?

Én annyit állítottam, hogy "Legalábbis, egyelőre nem tudjuk.".

Talán ezzel vitatkozni szeretnél? Tudod az ellenkezőjét bizonyítani?

--
trey @ gépház

Az "erről itt nincs szó"-t akkor kell csak elkezdeni bizonygatni, amikor az eredeti állításokat már alátámasztotta a vád. Viszont te ezeket az állításokat tényként kezelted, és ennek folyományaként ilyen kérdéseket tettél fel (miket gyűjtött, hova, etc.), amik nem időszerűek.

Ami tény: nem ismerjük a tényeket. Addig pedig csak a fantáziálás megy, a fantáziálás alapján pedig aztán végképp nem érdemes ítéletet alkotni.

Olvasd már el, hogy mire írtam!

"Legalábbis eddig nem hangzott el sehol ilyesmi."

De. Elhangzott. Az Index cikkben.

Mi lenne, ha tényleg összefüggésében olvasnád a dolgokat?

"Viszont te ezeket az állításokat tényként kezelte"

Baromságokat beszélsz. Én ezt írtam:

Legalábbis, egyelőre nem tudjuk.

--
trey @ gépház

"De. Elhangzott. Az Index cikkben."

Nem, nem hangzott el. Ezt írtam: "nem hangzott el ... hogy bármit is leszedett volna abból az adathalomból, amihez a té hozzáállása miatt hozzáfért."

Amit írtál ("gyűjtötte a dolgozók adatait, jelszavait") az az ügyészség sajtóközleményéből származik. És ez az ügyészség korábban épp saját magát hülyézte le a bíróság előtt IT témában ("nem vagyunk informatikusok, de a médiából tudjuk, hogy ha valaki számítástechnikai eszköz és internetkapcsolat birtokában megfelelő szaktudással rendelkezik, akkor ezeket a digitális lábnyomokat, amiket hagy, azokat el is tudja tüntetni"), szóval valójában senki se tudja, hogy mire gondolt a költő.

És miután van ez a csinos kis szájkarate a TASZ és az Ügyészség között, szerintem ha a sráctól lefoglalt eszközökön bármit is találtak volna ami a té cuccai közül származik (ugye mindenét _is_ lefoglalták), akkor azért erről egy fél mondat felénél csak több szerepelne a közleményben. Mondjuk olyanok, hogy letöltötte és ellopta, sőt, ELLOPTA ezeket az adatokat a zártatlan és maximális gondossággal eljáró títől, alátámasztva azt, hogy mennyire gonosz kis fasz volt a csávó. De nincs semmi ilyesmi.
Márpedig 5 év börit kérnek a csávóra, ami épp csak kicsivel kevesebb, mint amit a halmazatban kapott az a ribanc, aki bekokózva ölt embert autóval. (Ha jól tudom nem jogerősen.)

"etikus módon, kárt nem okozva" - Az etikus módon (mondjuk inkább jóhiszeműnek) az a tárgyalásokig tartott. Utána már a saját jóhiszeműségét kérdőjelezte meg azzal, hogy a megállapodás hiánya (több körben kért valamit - nem kapott rá választ a Telekomtól) után tovább folytatta a betörést, kihasználva azt, amit korábban jelzett a Telekomnak.
Azt, hogy okozott-e kárt, azt nem tudhatod - egyébként meg igen, okozott, hiszen n+1 embernek sok órás munkájába került felderíteni, hogy mit csinált, eltakarítani, amit csinált, illetve a nyomozáshoz kapcsolódó információgyűjtés munkaidő igénye sem nulla.

Ezzel a "felszólítottuk, hogy ne csinálja ezért nem is etikus" baromsággal álljál már le! Pont azért mert a T közszolgáltató meg a GDPR-miatt nem mondhat ilyet. Pont erre mondtam a trafós példát (de bucko kedvéért átfogalmazom): Ha látsz egy billegő csatornafedelet az úton ami miatt kitörhet az autók kereke (gyengébbek kedvéért = talál egy PDF-et weben egy IP címmel ahonnan kap egy magas szintű jelszót könnyen) akkor azt jelented, és a csatornázási műveknek ki _kell_ jönni és meg kell csinálni, mert közveszélyes(= be kell foltoznia a T-nek a lukat mert a GDPR szerint ez is közveszélyes). Hiába mondja neked a csatornázási fószer hogy "Ne nézegesse mán állandóan a csatornafedeleket! Mer' mink tanútunk ám a Schrödinger macskájáról, és ha egyszer aztat látja hogy rossz a fedél akkor az marad!" attól még ha látsz még egy rossz csatornafedelet megint szólni kéne.

Nem tudom, hogy a srác bűnös-e. Mondjuk, ha belépett másodszor és észrevette, hogy figyelik, miért nem hívta rögtön a T-t? De annak amin rugózol semmi köze nincs a srác ártatlanságához/bűnösségéhez.

" és a csatornázási műveknek ki _kell_ jönni és meg kell csinálni, mert közveszélyes(= be kell foltoznia a T-nek a lukat mert a GDPR szerint ez is közveszélyes)."

Ilyenkor kellene jönnie részedről a megfelelő hivatkozások a törvényekből, ahol elő van írva a T-nek ez.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

GDPR?

GDPR melyik bekezdése definiálja, hogy az adott biztonsági hiba "közveszélyes"? Melyik bekezdése kötelezi a javítás elvégzésére? Milyen határidőkkel? Stb.

Ha már fogalmakkal dobálózunk, akkor csináljuk jól.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Egy példa, bár már írtam. A házad hátsó bejáratának rossz a zárja, ezt észreveszi egy hajléktalan, bemegy az előtérbe, körülnéz, majd jelzi neked, hogy rossz a zár. Te megköszönöd, egyezkedtek, mit szeretne a segítségéért kapni - ő mond egy olyat, amire részedről nincs válasz.
Ez után ez a pofa visszamegy, besétál az általa már ismert módon, előremegy a hálószobákig, és elkezdi nézegetni a bizalmas papírokat a komód fiókjában, illetve a fogason lógó kulcsokat is elkezdi másolgatni, meg a jó ég tudja, még mit csinálni.
Amikor te ezt a második behatolást észreveszed, mit teszel? Jóhiszeműnek tartod ez után is, vagy sem? Elhiszed, hogy az első behatolása is 100%-ban jóhiszeműen, "segítő szándékkal" történt, vagy sem?

És szar példa, mert ha hozzám törnek be az nem közveszélyes mert nem vagyok közüzem. És nem büntetnek meg a GDPR megszegéséért. Mivel az ügyészség közmű megzavarásának kísérlete miatt tett feljelentést a magyar állam ismette el hogy a T közüzem. Tehát jobban kell vigyáznia mint nekem "hátsó ajtóra". Ha bejön bárki a házamba az birtokháborítás (esetleg nem ítélik el miatta mert csak meg akarta nézni élünk-e). Ha T hátsó ajtóján jön be valaki az a T hibája hiszen mint közüzem arra is kell vigyáznia, hogy ne jöjjön be senki.

Tehát mit tennél a tökike második behatolását követően? Az, hogy a T-nek szigorúbban kell eljárnia, azt majd utána hozzáadjuk.

A társadalomra pedig az a cselekmény veszélyes, amely „mások személyét vagy jogait, illetve Magyarország Alaptörvény szerinti társadalmi, gazdasági, állami rendjét sérti vagy veszélyezteti”.
Ennek a definíciónak a té rendszere megfelel, méghozzá folyamatosan. Ha nem rúgták ki a biztoságért felelős személyt és nem javították a hibát, akkor meg kell keresni a további felelősöket!

Bár az igaz, hogy T-nek lenne teendője az ügyben, de feljelentési kötelezettsége nincs (a BTK szerint). Sem a cégen belüli elkövetővel szemben, sem a gonosz hackerrel szemben. Az alábbi paragrafusok szólnak a feljelentési kötelezettségről, és ezek közül egy sem vonatkozik a T esetére.

„191. § Aki hitelt érdemlő tudomást szerez arról, hogy emberrablás elkövetése készül, és erről az érintett személyt vagy a hatóságot, mihelyt teheti, nem tájékoztatja, ha az emberrablást megkísérlik vagy elkövetik, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.”

„263. § (1)77 Aki hitelt érdemlő tudomást szerez arról, hogy alkotmányos rend erőszakos megváltoztatása, alkotmányos rend elleni szervezkedés, lázadás, rombolás, hazaárulás, hűtlenség, az ellenség támogatása, kémkedés, szövetséges fegyveres erő ellen elkövetett kémkedés, kémkedés az Európai Unió intézményei ellen készül, vagy még le nem leplezett ilyen bűncselekményt követtek el, és erről a hatóságnak vagy az állam illetékes szervének, mihelyt teheti, nem tesz feljelentést, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.”

„300. §100 (1) Az a hivatalos személy, aki e minőségében hitelt érdemlő tudomást szerez arról, hogy még le nem leplezett vesztegetést, vesztegetés elfogadását, hivatali vesztegetést, hivatali vesztegetés elfogadását, vesztegetést bírósági vagy hatósági eljárásban, vesztegetés elfogadását bírósági vagy hatósági eljárásban, befolyás vásárlását vagy befolyással üzérkedést követtek el, és erről a hatóságnak, mihelyt teheti, nem tesz feljelentést, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.”

„317. § Aki hitelt érdemlő tudomást szerez arról, hogy terrorcselekmény elkövetése készül, és erről a hatóságnak, mihelyt teheti, nem tesz feljelentést, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.”

„328. § (1) Aki hitelt érdemlő tudomást szerez arról, hogy nemzetközi gazdasági tilalom megszegése készül, vagy még le nem leplezett ilyen bűncselekményt követtek el, és erről a hatóságnak, mihelyt teheti, feljelentést nem tesz, vétség miatt egy évig terjedő szabadságvesztéssel büntetendő.”

„404/A. §143 Az a felszámoló, aki a felszámolási eljárás során hitelt érdemlő tudomást szerez a számvitel rendjének megsértése (403. §) vagy csődbűncselekmény (404. §) elkövetéséről, és erről a hatóságnak, mihelyt teheti, nem tesz jelentést, vétség miatt egy évig terjedő szabadságvesztéssel büntetendő.”

Kicsit kevered a társadalmat veszélyeztető bűncselekményt a feljelentési kötelezettséggel. Vajon miért?

Itt hozzáférésről van szó, ha meg a másik oldalt vizsgálod akkor az adatok kikerülésének vélelméről.

1. Mint ügyfél az adataim
2. A dolgozók adatai (ha auth akkor is) (felmerült valamelyik cikkben)
3. Mint szolgáltató
- üzemi adatok
- (nagytömegű) ügyféladat
-- az ügyfelek érdekeit sértik
-- a szolgáltató üzleti érdekeit sértik
- forgalmi adatok
-- az ügyfelek érdekeit sértik
-- a szolgáltató üzleti érdekeit sértik

A té belső szabályozása miatt a fentiek okozóit szankcionálni kell, függetlenül az elkövetőtől. Az, hogy ez BTK kategóriába paszírozható vagy sem, a belső szabályzás kérdése. (És igen, ítam már alá ilyet, ami a rendszerváltás után még a régi formulát tartalmazta, mert volt benne KGST is ;), meg 6 év börtön is. Meg a fent felsorolt kategóriák is. Azóta már MATÁV sincs, meg nem annyira katonai szervezet. Viszont az adatvédelmi törvények és a GDPR előtt volt, tehát a té szempontjából csak nőtt a felelősség.)
Vegyük észre, hogy mindenki azért tud rendre inteni mindnkit: "nem olvastad a vádiratot" stb., mert nincsenek igazi konkrétumok. Ha lennének, akkor a srác nem is bűnös. Ha igen és/vagy kiderülnek a konkrétumok, akkor
- A té bűnös a hanyag adat és rendszer kezelésében.
- Már indulhat akár csoportos per is az ügyfelek részéről - attól függetlenül, hogy kikerültek az adataik vagy sem.
- A belső szabályzás miatt szankcionálni kell a felelősöket.

Tehát addig, amíg nem hallok ilyet:
"A szemét gyerek betört, adatot lop(ott/hatott volna), feljelentettük ÉS a felelősöket kirúgtuk/megbüntettük/felelősségre vontuk/feljelentettük."
- addig igazam van. :-D

„A társadalomra pedig az a cselekmény veszélyes, amely „mások személyét vagy jogait, illetve Magyarország Alaptörvény szerinti társadalmi, gazdasági, állami rendjét sérti vagy veszélyezteti”.”

vs.

„Kicsit kevered a társadalmat veszélyeztető bűncselekményt a feljelentési kötelezettséggel. Vajon miért?”

A jogi vélemény egyik állítása az, hogy nem volt feljelentési kötelezettsége a T-nek. Én ezzel kapcsolatban idéztem a BTK vonatkozó részeit. És azok szerint tényleg nincs feljelentési kötelezettség.

A T a feljelentési kötelezettséget a BKK-s ügyben, és a mostaniban is bedobta, amikor sejteni lehetett, hogy nem jól kezelték az ügyet. Ezzel akarva menteni a helyzetet. Akkor is hazugság volt, és most is az.

Ennyi. Az általad most felsoroltakkal kapcsolatban nem nyilvánítottam véleményt, így arról mással kell vitatkoznod.

„Az, hogy ez BTK kategóriába paszírozható vagy sem, a belső szabályzás kérdése.”

Azt, hogy a BTK szerint mit kell büntetni, nem a belső szabályzás kérdése. A belső szabályozás kérdése legfeljebb az lehet, hogy akkor is feljelentést tesznek, ha a BTK szerint nem kötelesek megtenni. Viszont ebben az esetben nem feljelentési kötelezettséggel, hanem a vállalati protokollal kell indokolni a feljelentést.

Amit én idéztem, az is a cikkből a jogász véleménye volt. Csak arra utaltam, hogy ezt a tényállást kimeríti a té is.
Ok, értem, de azért megmagyarázom. ;)

Viszont ebben az esetben nem feljelentési kötelezettséggel, hanem a vállalati protokollal kell indokolni a feljelentést.
Lássunk erre egy rossz példát. A táshasház közgyülése is megszavazhat bármit. Amit a többség elfogad, az kötelező érvényű a többi lakóra is. Tehát óvjuk a tisztaságot! Minden lakótárs havonta köteles megölni egy a ház előtt csikket eldobó embert. Megszavaztuk! Vagy mégsem? ;)

Nyilvánvalóan nem jogi kategória az sem, hogy a vállalati protokoll szerint fel kell jelenteni.
Az viszont előfordulhat, hogy olyan minősített és nagymennyiségű adattal kell dolgoznod, amelynek hibás kezelése esetén sok ügyfelet érintő, vagy a cég üzleti érdekeit sértő galibát okozhatsz. Ilyen munkakörbe kerülve előre alá kell írni bizonyos dolgokat. Pl. adatvédelmi nyilatkozatból most már hármat is. Ez nem más, mint a felelősség tudatása és áthárítása.
Ezeket az aláirandókat nem én, hanem jogászok szerkesztik. Így minden bizonnyal a nyilatkozatok megsértése esetén nem a vállalati protokollra, hanem a BTK-ra fognak hivatkozni.

Tehát itt nem feljelentési kötelezettségről van szó, hanem a té-s munkavállaló vagy alvállalkozó olyan szerződéskiegészítéséről, amely a BTK-val konform szankciókat is tartalmaz. Az ügy akkor lesz kerek, ha ezekről is hallunk valamit.

Megy itt a szájtépés a behatolás mikéntjéről (és motivációjáról), de igen nagy összegben fogadnék rá, hogy jelenleg is legalább fél tucat ponton lehetne besétálni T rendszereibe.
És itt most nem az a lényeg, hogy Andráska vagy Pistike akart keresni pár millió forintot együttműködve (mert mondott összeget, ami tuti alatta volt egy megbízott pentester cég 8 számjegyű összegének), hanem arról hogy leállnak harcolni Andráskával vagy Pistikével, miközben az USA, Kína, Oroszország, Törökország, stb hackerei ki-bejárnak a rendszerükbe. És senki nem kezdi vazelinezni a seggüket!!!!!

Na ez az. Ez nem volt egy komoly "hackelés". Az a komoly hackelés, amikor adott ország kialakít egy profi hackercsapatot, akik egész nap támadják a rendszert és fel is törik (kiberháború). Arra kéne inkább fókuszálni, nem ilyen pitiáner dolgokra. Merthogy ez valós veszély, újkori háborúkat már úgy kezdik, hogy ráeresztenek egy profi hackercsapatot az ellenséges országra.

Lehet az a baj, hogy kiderült, most csinálhatnak másik lyukat :D

Amúgy is szánalmas az egész alaphelyzet is, hogy ha beismeri, akkor felfüggesztettel futni hagyják, ha nem ismeri be, akkor viszont 5 vagy 8 év is lehet. Ez egy elég elvetemült dolognak tűnik, mintha direkt ki akarnák cseszni vele: például esélyes, hogy felfüggesztettel nem valószínű, hogy dolgozhatna ezen a területen legalább valahány évig, mert nem lesz tiszta az erkölcsi bizonyítványa, ami előfeltétel lehet bizonyos cégeknél, mert akár az ügyfelek szabályzata vagy törvényi feltételei nem engedik a priuszt.

Azt kúrta el a srác, hogy nem bedrogozva, jogsi nélkül hajtott a vadiúj merdzsójával egy buszmegállóba. Különben már nem lenne ügy.

--
openSUSE 42.2 x86_64

Örüljön annak, hogy igazi börtönt kaphat, nem pedig műbörtönt vagy műanyagtönt!
--
"Csak webfejlesztést ne..." -ismeretlen eredetű szállóige-

Bár maga a topic is régi kicsit, és a most következő idézett hír is pár hetes, de mindeközben Svájc épp a leendő e-szavazó rendszerét tesztelteti, csak úgy:

https://www.evoting-blog.ch/en/pages/2019/public-hacker-test-on-swiss-post-s-e-voting-system
https://twitter.com/KimZetter/status/1093919722632970240