Weboldallal kapcsolatos biztonsági probléma jelzése a tulajodnos felé

Security-all

Sziasztok!

Adott egy cukrászda weboldala, ahonnan tegnap délután szerettem volna rendelni, viszont amikor elkezdtem böngészni a kínált termékeket, akkor a böngésző konkrétan, egy " elfogyott a szabad hely a szerveren" hibára hivatkozva , bárki által olvasható formában kiírta több információval együtt a weboldal admin hozzáféréseivel kapcsolatos adatokat is, ami nem túl biztató semmilyen biztonsági szempontból sem.

Gondoltam észreveszik, és orvosolni fogják a problémát, de még mindig jelen van a hiba.

Kérdés, hogy ezt Én jelezhetem-e a weboldal tulajdonosa felé, vagy inkább maradjak ki belőle, a BKK-s téma eseményeiből okulva?

Igazság szerint nem zavar, csak kiírja az adatbázis accountot is, konkrét phpmyadmin címmel, és accounttal, és az én adataim is bent vannak a rendszerben.

  • 797 megtekintés

( tigrincs | 2020. 11. 05., cs – 23:02 )

Oh, Yes. Little Bobby Tables we call him

( cherockee v | 2020. 11. 06., p – 00:24 )

Ha nem tervezed, hogy rendelsz magadnak pár ingyen krémest, majd elmeséled ezt az Index-eseknek, vagy a Telex-nek, akkor szerintem nem lehet gond, de érdemes utánaolvasni a BKK-s üggyel kapcsolatban milyen jogolvasatok, állásfoglalások vannak. Én jeleztem már pár ilyent, semmi nem lett belőle, beleértve azt is, hogy volt amit nem is javítottak, és sose kaptam választ.

Ha nem válaszolnék kommentben, hát küldj privátot!

( harlequin | 2020. 11. 06., p – 09:08 )

Irj nekik egy mailt, hogy rendelni szerettel volna, de nem megy az oldal, csak valami izeket ir ki, amihez nem ertesz, nezzek mar meg.

“Any book worth banning is a book worth reading.”

( Ar0n v | 2020. 11. 06., p – 09:12 )

Nekem van erre bejaratott protonmail cimem.

( zwei | 2020. 11. 06., p – 10:18 )

van különbség, aközött, hogy az ember kiskapukat keresve megpróbál bejutni egy rendszerbe, és aközött, hogy a pofájába tolja az admin jelszót az index.php....

( inf3rno | 2020. 11. 06., p – 12:25 )

Szerkesztve: 2020. 11. 06., p – 12:28

A hatóságoknak jelezd mindenképpen és ne a weboldal tulajának. Majd ők felveszik velük a kapcsolatot. Legalábbis ezt javasolják, ha bármi sérülékenységet találsz bármilyen oldalon. Mert ellenkező esetben simán beperelhetnek, hogy töröd az oldalukat, lásd BKV-s eset. Ennél igazából kegyelmet gyakorolsz, ha nem a hatóságnak jelzed, mert talán meg is bszhatják őket miatta, hogy adatvédelmi incidens történt.

Jó, itt ez egyszerűbb eset, mert nem kell semmi extra lépést tenned, hogy feltárd a hibát, mindenkinek feljön. Viszont ha kell bármi extra lépést tenned, akkor már mondhatják, hogy hekkeled az oldalt. Azt meg ha nem jelented a hatóságnak, akkor máris nem etikus hekkelésnek minősül, és simán meghurcolnak, mint a fazont a BKV-s oldalnál.

Viszont ha kell bármi extra lépést tenned, akkor már mondhatják, hogy hekkeled az oldalt.

Ha szolsz a hivatalnak elobb, attol sem legalis sem etikus nem lesz ez a dolog. Szabad-e bemenni valaki hazaba, ha nem akarok ellopni semmit, de elotte kuldok egy mailt a rendorsegnek? A hozzajarulas nelkuli pen-test az kb. ez.

Jelen esetben nyitva volt a haz ajtaja (kint voltak a hozzaferesi adatok), attol meg nem szabad turkalni a hazban.

Etikus az, ha elotte engedelyt kapsz es utana elmondod, hogy mit talaltal. Ha nem kapsz engedelyt, akkor azt tiszteletben kell tartani!

De nem is ez tortent.

Hát?

amikor elkezdtem böngészni a kínált termékeket, akkor a böngésző konkrétan, egy " elfogyott a szabad hely a szerveren" hibára hivatkozva , bárki által olvasható formában kiírta több információval együtt a weboldal admin hozzáféréseivel kapcsolatos adatokat is

Ah, sikerült megfogni a lényeget. :)

Akkor pontosítok: az nem pentest, hogy a hibás weboldal rád dumpolja az adatbázist admin jelszót. A ház analógiával az történt, hogy bekopogtál, ők meg kidobálták a bútorokat kulcsokat.

Ha elszorom a lakas elott a kulcsomat, akkor bejohetsz a lakasomba? :)

De nem ment be. Igazából nem értem, miről beszéltek most. :) Az OP nem járult hozzá tevékenyen sem a hiba megtalálásához, sem a kihasználásához. 

Az OP nem járult hozzá tevékenyen sem a hiba megtalálásához, sem a kihasználásához. De nem ment be.

Igen, nem is az OP-nak szol ez!

Igazából nem értem, miről beszéltek most. :)

Ha visszaolvasod a thread-et, inf3rno kollega elso korben a hatosag bevonasat szorgalmazta es azt irta, hogy az adatkezelonek ne szoljon, ami szerintem inkabb karos mint hasznos.

Viszont ha kell bármi extra lépést tenned, akkor már mondhatják, hogy hekkeled az oldalt. Azt meg ha nem jelented a hatóságnak, akkor máris nem etikus hekkelésnek minősül ...

Masodik korben velemenyem szerint ugy fogalmazott (lehet nem igy gondolta), hogy ha szolunk a hatosagnak utana mar etikus hackelesnek minosul a dolog, ami nem igaz. 

Azt szerettem volna kiemelni, hogy legalis csak akkor lesz a dolog ha ELOTTE engedely kap az ember a rendszer tulajdonosatol.

Első körben nem olvastam végig a konkrét esetet, csak általánosságban írtam. Ennél a konkrét esetnél lehet szólni. Továbbra is fenntartom, hogy etikus lesz attól, ha szólunk a hatóságnak a talált sebezhetőségről és ténylegesen nem okozunk kárt. Perelni perelhetnek így is, de el fogják veszteni a pert.

"The act of obtaining permission differentiates an ethical hacker from a cybercriminal." Azt, hogy ki mit gondol etikusnak az mas teszta.

Továbbra is fenntartom, hogy etikus lesz attól, ha szólunk a hatóságnak a talált sebezhetőségről és ténylegesen nem okozunk kárt. Perelni perelhetnek így is, de el fogják veszteni a pert.

Ki mondta, hogy nem etikus dolog szolni a hatosagoknak? Az a tapasztalat, hogy 1+ honap telik el mig a hatosagon keresztul eljut a hir a gazdahoz.

A hatóságoknak jelezd mindenképpen és ne a weboldal tulajának.

Aki talal egy hibat majd szol a hatosagnak (ok ok, nem okoz kart) es nem szol az oldal tulajdonosanak az azert nem jo, mert hagyja, hogy majd mas kart okozhasson. Ugyhogy nem erre kellene buzditani az emebreket ...

Ha be van szarva, hogy majd be fogjak perelni akkor szoljon anonim modon. 

A lényeg nem az, hogy hibát talált, hanem hogy hogyan találta azt a hibát. Ha aktívan elkezdte törni a rendszert, akkor büntethető, ha nem jelenti a hatóságnak. A következő lépése simán lehet az a cégnek a bejelentés után, hogy feljelentenek, hogy töröd az oldalukat, aztán 2 év börtön, vagy minimum jogi herce-hurca. Ha jelented a hatóságnak, akkor viszont nem csinálhatják ezt meg veled. Jelen példában nem kellett semmit tenni azért, hogy jelentkezzen a hiba, azért lehet közvetlenül is jelenteni a cégnek, viszont a fentit még akkor írtam, amikor nem olvastam el a konkrét esetet. Lehet anonim módon is, de azért érdemes utánajárni, hogy mennyire nyomozható vissza hozzád az az "anonim", vagy elgondolkodni, hogy mennyire lesznek ebben motiváltak, ha jelented.

 Ha aktívan elkezdte törni a rendszert, akkor büntethető, ha nem jelenti a hatóságnak.

A torveny szemeben ilyen nincs, hogy aktivan/nem aktivan. Ha atirsz egy ID-t egyel nagyobbra, es mas adatait kapod vissza akkor te mar bizony szant szandekkal kijatszottad a jogosultsagi kereteidet. Megkerdezik majd, hogy minek kellett atirni azt a szamot, ha nem ez volt a cel? 

Gyorsan bejelentem nekik, hogy en bizony most nekimegyek a titkosszolgalat rendszerenek, hetvege van eppen raerek, nehari :D

Ha jelented a hatóságnak, akkor viszont nem csinálhatják ezt meg veled.

Jelen esetben valoban mind1, hisz semmilyen cselekmeny nem volt. De amugy ez nem igaz.

Számomra az már aktív törés, amit írsz, hogy átírod a sorszámot eggyel nagyobbra. A passzív, ha csak betöltöd a kezdőlapot, vagy követsz egy linket, amit az oldal ad, aztán pl olyan hibára futsz, mint a fenti. Igazából nem is feltétlen kell aktívan törni ahhoz, hogy hibát fedezz fel, elég belenézni néha egy oldal forráskódjába. Pl látod, hogy kupont kérnek, és azt javascripttel ellenőrzik a böngészőben, mert nem túl átgondolt biztonság szempontból a stratégiájuk. Nyilván ezek az én fél másodperc alatt kitalált fogalmaim, biztos van rá jobb szakszó.

Ha szolsz a hivatalnak elobb, attol sem legalis sem etikus nem lesz ez a dolog. Szabad-e bemenni valaki hazaba, ha nem akarok ellopni semmit, de elotte kuldok egy mailt a rendorsegnek? A hozzajarulas nelkuli pen-test az kb. ez.

Én úgy tudom, hogy legális így, az etikán meg lehet vitatkozni. Az erre vonatkozó törvényeket érdemes megnézni. Nekem azt adták elő, hogy még ha segédkezel egy támadás előkészítésében, de bejelented a hatóságnak mielőtt ténylegesen megtörténne, még akkor is mentesülsz a következmények alól. Ilyenkor viszont nyilván nem te hajtod végre a támadást. De ha nagyon részletekbe akarsz menni, akkor megkeresem neked az ide vonatkozó törvényt. Azt is mondták, hogy a BKV-s srácot az ide vonatkozó törvények alapján nem lehetne elítélni, és hogy eljárási hibák voltak, és olyanok oktatnak, akik a törvényeket írták...

Információs rendszer vagy adat megsértése Btk. 423.

423. § (1) Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

(2) Aki
a) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy
b) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,
bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.

(3) A büntetés bűntett miatt egy évtől öt évig terjedő szabadságvesztés, ha a (2) bekezdésben meghatározott bűncselekmény jelentős számú információs rendszert érint.

(4) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el.

(5) E § alkalmazásában adat: információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az információs rendszer által való végrehajtását biztosítja.

Információs rendszer védelmét biztosító technikai intézkedés kijátszása Btk. 424.

424. § (1) Aki a 375. §-ban, a 422. § (1) bekezdés d) pontjában vagy a 423. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő
a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez, vagy forgalomba hoz, illetve
b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit más rendelkezésére bocsátja,
vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

(2) Nem büntethető az (1) bekezdés a) pontjában meghatározott bűncselekmény elkövetője, ha – mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy számítástechnikai program készítése a büntető ügyekben eljáró hatóság tudomására jutott volna – tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását.

(3) E § alkalmazásában jelszó: az információs rendszerbe vagy annak egy részébe való belépést lehetővé tevő, számokból, betűkből, jelekből, biometrikus adatokból vagy ezek kombinációjából álló bármely azonosító.

Na most nem vagyok jogász, szóval kérdés, hogy ezt hogyan értelmezzük. Aki oktatta Dr. Bodó Attila Pál szerint a BKV-s srác nem büntethető. Azért ott van az is, hogy példát akartak statuálni vele, meg erősen belefolyt a politika is, mert beállt mögé a bal oldal, hogy szegény gyereket a közbeszerzéses mutyis összetákolt rendszer kritizálása miatt hurcolják meg. Érdemes nézni más ítéleteket ezzel kapcsolatban, abból kiderül, hogy mi a gyakorlat.

Ahogy nézem ugyanez az elv van máshol is, pl terrorcselekményeknél:

314. § (1) Aki abból a célból, hogy

    • a) állami szervet, más államot vagy nemzetközi szervezetet arra kényszerítsen, hogy valamit tegyen, ne tegyen vagy eltűrjön,
    • b) a lakosságot megfélemlítse,
    • c) más állam alkotmányos, társadalmi vagy gazdasági rendjét megváltoztassa vagy megzavarja, illetve nemzetközi szervezet működését megzavarja,

a (4) bekezdésben meghatározott személy elleni erőszakos, közveszélyt okozó vagy fegyverrel kapcsolatos bűncselekményt követ el, bűntett miatt tíz évtől húsz évig terjedő vagy életfogytig tartó szabadságvesztéssel büntetendő.

  • (2) Az (1) bekezdés szerint büntetendő, aki az a) pontban meghatározott célból jelentős anyagi javakat kerít hatalmába, és azok sértetlenül hagyását vagy visszaadását állami szervhez vagy nemzetközi szervezethez intézett követelés teljesítésétől teszi függővé.
  • (3) Korlátlanul enyhíthető annak a büntetése, aki
    • a) az (1) vagy (2) bekezdésében meghatározott terrorcselekményt abbahagyja, mielőtt abból súlyos következmény származott volna, és
    • b) tevékenységét a hatóság előtt felfedi,

ha ezzel közreműködik a bűncselekmény következményeinek megakadályozásában vagy enyhítésében, további elkövetők felderítésében, illetve további bűncselekmények megakadályozásában.

Ettől függetlenül azért nem ajánlott ezek alapján nekiállni hekkelni, mert ha előbb figyel fel rá valaki és bejelenti a hatóságnak, akkor simán leültetnek... Ezek a jogszabályok inkább arra jók, hogy lehetőséget adnak, hogy kiszállj egy bűnszervezetből, ha valahogy belekeveredtél. Szerintem.

"Információs rendszer védelmét biztosító technikai intézkedés kijátszása "

vs

"Információs rendszer vagy adat megsértése"

A ket reszt erdemes kulon-kulon nezni es nem osszemosni!

Ha egyedul vagy tobben csinaltok valamit (pl. trojan, beepitett backdoor etc..) amivel megkerulheto lesz MAJD egy biztonsagi rendszer es te inkabb ezt abbahagyod es felnyomod a tarsaidat, akkor nem lesz bajod.

Ha behatolok egy rendszerbe, hozzaferek mas adataihoz, majd szetkurtolom a vilagnak, hogy milyen kiraly voltam akkor en a 0-2 evig tarto anusztagitast tippelnem magamnak :D

Az utóbbi esetben mérlegeli a bíró, hogy mekkora kárt okoztál, aztán az alapján kapod az ánusztágítást. Ha csak behatolsz, és jelented a hatóságnak, hogy ilyen hiba van, amin keresztül be lehet jutni, de nem szivárogtatsz adatot vagy töltesz le teljes adatbázist, stb. akkor nem tartom valószínűnek, hogy megbüntetnek, a törvény legalábbis szerintem ezt mondja. De ha te máshogy értelmezed, akkor fejtsd ki nyugodtan.

Ha csak behatolsz, és jelented a hatóságnak, hogy ilyen hiba van, amin keresztül be lehet jutni, de nem szivárogtatsz adatot vagy töltesz le teljes adatbázist, stb. akkor nem tartom valószínűnek, hogy megbüntetnek, a törvény legalábbis szerintem ezt mondja

De ha te máshogy értelmezed, akkor fejtsd ki nyugodtan.

Ahogy a fent a peldaban irtam, mindenkepp buncselekmenyt kovet el az aki engedely nelkul behatol.

Ha elokeszuleteket tesz, olyan eszkozt (a bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő) fejlesztesz amivel a jovoben majd egyszercsak be tud hatolni ("dolog", "jelszo" vagy "szamitastechnikai program" :D). Ha meg azt nem tette meg (amit te is irtal "lehetőséget adnak, hogy kiszállj egy bűnszervezetből"), akkor nem kap buntit, ha felnyomja a tarsait (ha vannak).

Ha csak behatolsz, és jelented a hatóságnak ... akkor nem tartom valószínűnek, hogy megbüntetnek.

Az a baj, hogy a te ertelmezesed teret enged annak, hogy feltorjem az otthoni NAS-odat, turkaljak a szemelyes dolgaidban es elsetaljak gond nelkul.

Ja lehet, hogy neked van igazad. Elolvastam újra, és úgy tűnik, hogy az előkészületet nem jutalmazzák büntetéssel, a tényleges támadást már igen. De ma már kellően lezsibbasztották az agyam, úgyhogy elolvasom holnap is, az a tuti. :D Viszont az nem világos, hogy akkor egy jogász szerint, aki ezzel foglalkozik a BKV-s eset miért nem büntethető, hiszen a csóka aktívan hekkelte a rendszert, hogy bizonyítsa, hogy hibás. Egyébként még ha őt el is ítélik, nem hiszem, hogy súlyos büntetése lesz, mert vizsgálják ilyenkor a célját is, és elvileg az volt a célja, hogy feltárja a sebezhetőséget, és javításra kerüljön, nem pedig a haszonszerzés.

A BKK-s ugyben az volt (ha jol emlekszem), hogy at lehetett irni a fizetendo osszeget a query stringben. Ez azert mas teszta, mert ez nem behatolas. Gyakorlatilag nem tudtak rabizonyitani semmit, karokozas nem tortent a berletet sem hasznalta + azonnal szolt. Masok szemeyes adataihoz (elmeletileg) nem fert hozza stb ...

Azokbol amit bemasoltal fent, semmit nem tudtak bizonyitani, igy felmentettek. A masik T-s ugy viszont erdekesebb :)

( ffpp v | 2020. 11. 06., p – 12:35 )

Lehet, hogy direkt van így, mint amikor a mások által is esetleg hozzáférhető gép böngészőjébe rossz user/passt mentünk el. Vagy háttérképnek beállítani egy hibaüzenetet, amit sose tüntet el....

jAzz

( gedg87 | 2020. 11. 06., p – 13:04 )

Ma reggelre megoldották a problémát, mert már nem jelenik meg a hibaüzenet, sem az admin adatok :D