Véleményed szerint, weboldal felkérés nélküli biztonsági tesztelése (haszonszerzés nélkül), etikus és legális?

Legális és etikailag elfogadható.
29% (96 szavazat)
Legális, de etikailag nem elfogadható.
3% (10 szavazat)
Nem legális, de etikailag elfogadható.
48% (159 szavazat)
Nem legális, és etikailag sem elfogadható.
12% (41 szavazat)
Csak az eredmény érdekel. Nincsenek etikai és legális fenntartásaim. Blackhat vagyok.
8% (25 szavazat)
Összes szavazat: 331

Hozzászólások

Hülye kérdés, de a kettőt nem kéne külön választani?
Az, hogy etikailag elfogadható csak azon múlik, hogy az embernek milyen morális értékrendje van, az viszont hogy legális e már jogi kérdés (amit az éppen aktuális jogszabályok alapján kell értelmezni). Erre jön még rá, hogy hiába nem haszonszerzés a cél, ha ezzel valami komoly kárt okoz az ember (' DROP DATABASE --), akkor ott már megint más súlyosságú kérdésről beszélünk (mind jogilag, mind etikailag)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

A legalitás kérdése még ott is bonyolódik, hogy ha az adott országban nincs legális lehetőség ethical tesztelésre, még akkor is elvileg lehet "legalizálni", ha az adott cég erre ad valami hivatalos lehetőséget NEM szerződött felek számára is (pl bug bounty program)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Mit értünk 'adott' ország alatt?
Pl. BVI-n nyaralok, kettős állampolgár vagyok, mondjuk lengyel/ukrán(EU/nem-EU) és eljátszom a BKK oldalával. A BKK oldala meg legyen Izlandon hosztolva. Lehetne persze tovább cifrázni, általánosítva, ha mondjuk .com lenne és Burundiban reisztrálva.
Ki az adott ország?

+1 a haszonszerzési cél nélküli károkozás lehetőségére.

Mondjuk egy webes felületen kint levő valamit akár csak DDOS-ol valaki, az is termeléskiesést okozhat, pedig csak tesztelte, hogy milyen a védelmük (még el is hiszem).

Másik, hogy egy adatbázisba belépve mi van, ha ugyan ő nem haszonszerzési céllal jött be, de az ő gépéről kiszivárognak az adatok? Ugyan nem lepődnék meg, ha a "hacker" gépén is lenne bejárata másnak, miért ne lehetne?

Röviden: nem kérte senki, akkor ne hősködj. Ha már megtetted, akkor az aktuális törvények vonatkoznak mindenkire. Ha azok az aktuális törvények példastatuálóak és megfélemlítőek, akkor ez van, előbb a törvényt kell akkor megváltoztatni, vagy vállalni a mártír / hős / tüntető szerepét. Szerintem nem volt itt nagy kérdés, hogy mi fog történni. És az is igaz, hogy ennél jobban PR atombombát robbantani magára a BKK akkor tudna, ha konkrét üzemi leállás esetén a széljárást és a lakosság negatív kisugárzását tenné felelőssé.

Off de fontos: a fuldokló vízből való mentése a mentő személyére nézve is nagyon kockázatos. A fuldokló ha tudata helyett már életösztöne által (~pánik) vezérelt, akkor jó eséllyel le fogja taposni a mentő személyt a víz alá. Ezért is gyakori hír a 2 halottas vízbefúlás, miközben a mentő személy alapjában véve jó úszó volt.
Erre mindenképpen érdemes gondolni a vízből való mentés rögtönzött tervezésekor.

David Hasselhoffnál sem véletlenül van az a flakon a baywatchban, a valódi használatát képernyőn sose mutatták, de az konkrétan azért van, hogy leüssék a fuldoklót, hogy ne akadályozza a saját kimentését.
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods

A kérdés nyilvánvalóan a BKK-s botrányra utal.
Az, hogy legális vagy nem az a törvényi szabályozáson múlik. Magyarországon sajnos ez sem egyértelmű, a jogalkalmazó belátására van bízva az eldöntése, ami nem jó.
Ha valakinek az a hobbija, hogy biztonsági réseket keres, és ha talál akkor erről értesíti a tulajt, a legnagyobb ostobaság e miatt megbüntetni. Ezzel csak azt érik el, hogy aki jóhiszemű az nem fog keresni hibákat, de attól a hibák még ott vannak, és ha ott vannak, akkor a bűnözők ki is fogják használni, csak ők nem fognak szólni erről a tulajnak. De ezzel szerintem nem mondtam semmi újat.
Visszatérve a BKK-ra, nagyon úgy tűnik nem kimondott biztonsági, hanem inkább orbitális fejlesztői hibák voltak, vannak náluk (vagyis a fejlesztő cégnél). Ami szakmai és büntetőjogi felelősségi kérdéseket vet fel.

Nem a korszerűséggel van a gond. Az az eszköz amivel készítették a szolgáltatást korszerű és lehet vele biztonságos webes alkalmazásokat is készíteni. Itt valószínűleg a hozzáértés hiánya és határidő közelségből (politika!) adódó "kapkodás" lehet a felmerült problémák oka.
Mondjuk a hozzáértés hiányának valószínűségét erősíti az, hogy nem nulla tapasztalattal rendelkező webes fejlesztő ilyen alap (biztonsági) hibákat nem követ el.
A pikantéria az, hogy a fejlesztő eszköz mo-i disztribútora a T. :D

Az, hogy legalis, az tenyleg egy masik dolog.
Etikus-e? Szerintem ez itt a nagyobb kerdes. Marmint, hogy ha valaki talal egy hibat es rogton a sajtohoz fordul.
Tehat: Innen es innen kideritheto, hogy mikor kuldte el a bkk-nak es a ket cim is latszik. Innen meg kideritheto, hogy mikor kozolte az ujsag. Ez viszont nagyon nem etikus.
Az megint egy masik kerdes, hogy ezektol az email cimektol mit vart? A BKK nem fejleszto, nem hiszem, hogy elvarhato toluk, hogy rogton, de azonnal reagaljanak valamire, amit nem is ertenek. Amire elkuldik a T-nek. Majd valaki nyaron, Pentek delutan meg nekiall a T-nel javitgatni. Az ido, barki is barmit mond. Egy nagyvallalatnal lassabban reagalnak mindenre. X nap eltelte utan fordult volna a nyilvanossagra, na akkor lett volna etikus. Igy nem.

Szerintem az is egy erdekes kerdes lehet, hogy miert kene, hogy barki vakon megbizzon egy szolgaltatasban? Persze erre nem feltetlenul az a megoldas, hogy mindenki kenyere-kedvere haxorkodhasson, hogy eldonthesse, hogy a szolgaltatas, amit kinezett maganak hasznalatra megfelelo biztonsagi szinttel rendelkezik-e az adatainak vedelmere.
Nyugatabbra bevett szokas, hogy a cegek feltuntetik a security policy-t, ami ismerteti, hogy a ceg mit tesz meg a szolgaltatas bizontsagaert a belso folyamataik soran. Ez hasznos, mert pl. ha egy alkalmazast szeretnel hasznalni es a policy-ben csak azt latod, hogy van egy tuzfal es egy IPS az alkalmazas elott es ennyi a biztonsag, akkor jo esellyel alternativa utan nezel. (Ugyanis a tuzfal+IPS kombo ugyan nem haszontalan, de nem is ad megfelelo szintu biztonsagot)
A security policy arrol is emlitest tesz (egyebkent el is vart torvenyileg), hogy biztonsagi szempontbol rendszeresen teszteltesse a szolgaltatast kulso, szakerto ceg segitsegevel. Az mar majdhogynem alap, hogy a magukra valamit ado cegeknek folyamatosan futo bug-bounty programja van, ahol meghurcoltatas nelkul lehet jelenteni a feltart serulekenysegeket es ezert meg penzt is kap a bejelento. Masreszt, evi egyszer legalabb egy teljes pentest is meg kell, hogy legyen.
Masreszt, cegek egymas kozott meg komolyabb elvarasokkal rendelkeznek. Mielott egy ceg igenybe vesz egy szolgaltatast, egy halom biztonsagi folyamatokat es kontrollokat illeto kerdest meg kell valaszolni a szolgaltatonak. A valaszok fenyeben dontik el a cegek, hogy melyik szolgaltatoval hajlandoak szerzodest kotni. (Itt a BKK - T-System kozotti folyamatok, vagy nem letezo folyamatok probalematikajara celozgatok)

Ami tortent a BKK/TEK-Systems vs. kissrac eseten: figyelembe veve, hogy nem haszonszerzesbol, hanem kivancsisagbol kovette el, amit elkovetette es a feltart biztonsagi hianyossagot azonnal jelezte a szolgaltatonak teljesen etikus. Hogy legalis-e, vagy sem, az mas kerdes, nem vagyok jogasz. Viszont, meg akkor is, ha nem legalis, figyelembe veve, hogy teljesen jo szandekbol kovette azt el es nem okozott kart a szolgaltatonak, igy semmi keppen sem etikus a buntetes barmi formaja.

Morin
OSCE / SLAE / CEH / ECSA / ABC / NBC / FBI / KGB / NSA / STB

Érdemes lenne még különválasztani a két főbb hibát: az ár módosításának lehetőségét, és a felhasználói adatok hozzáférhetőségét. Előbbinek jelenleg nem látom a publikumra tartozását (nem ér közvetlen kár, ha más olcsón vesz jegyet, illetve de, mert állami cég...hmmm), utóbbinak egyértelmű (ne használd, mert lophatják az adataid).

Egyébként szerintem a legtöbben azt se tudják, hogy melyik szolgáltatónál mi van, lásd még telefon szolgáltatóhoz minden másnap beesik valaki, aki a facebook jelszavát kéri, mert hát azt biztos tudja a telefon szolgáltató. Na most szerintem ő azt, hogy szolgáltató -> készülékgyártó -> harmadik féltől származó böngésző -> negyedik féltől származó weboldal és a rajta használt jelszó, hát, ezt nem igen értené meg, de két percnél többje nincs erre, menjen a francba a szolgáltató, hogy még ezt se tudja. Ugyan itt, 2 perc múlva fel van háborodva a kedves ügyfél, hogy miért tudja a szolgáltató azt, hogy ő kit mikor hív.

>vélemény
>legalitás

Hajrá hupu reality distortion field!

Hadd kérdezzek valamit;

Van egy megrendelő és egy fejlesztőcég. A megrendelő nem technikai, nyilván ha az lenne, nem kéne a fejlesztőcég.

A szolgáltatás nagy volumenű, mondjuk egy forgalmas webshop.

Szól a megrendelőnek valaki az ügyfszolg e-makl címére, hogy baj van, egy dev flag bennmaradt és le lehet árazni a termékeket az url átirásával.

Miután néhány órán belül nem kap választ (az ügyfszolgra tömegesen ömlenek be épp a levelek, amúgyis 15 nap a vállalt határidő), ezért elküldi az újságnak, hogy kell feltörni a rendszert, aki címlapon lehozza, for the lulz.

A fejlesztőcég erről az újságból (és persze az azonnal telefonálgatni kezdő haveroktól) értesül.

Etikus hackelés történik-e?

Mivel nem az volt a kérdés, hogy törvényileg micsoda, ezért én a "legális, de nem elfogadható"-ra szavaztam.

Legálisnak gondolom, mert senki nem akadályozza meg a delikvenst abban, hogy nekiálljon tesztelni a weboldalamat és ez szerintem így is van jól. Ugyanakkor etikailag nem elfogadható, mert a fene sem akarja, hogy script kiddie-k elkezdjék önkényesen tesztelgetni az oldalamat. Például mi van akkor, ha egy olyan CMS-t futtatok, amire kijön egy zero-day exploit és Balázska úgy gondolja, hogy "hű micsoda poén lenne letesztelni, működik-e". Végül kárt nem okoz vele, töröl minden adatot, amit esetleg így megszerzett, de hogy etikus volt-e ezt önkényesen tesztelnie? Szerintem nem.

Teljesen egyetertek.

Kicsit materialisabb peldaval elve: nem igazan tapsolnek, ha valaki(k) rendszeresen odajonnenek a hazamhoz es felmernek betoresbiztonsagi szempontbol (ertsd: betornenek), majd kozolnek velem az eredmenyt. Kosz, lemondok rola.

Ha valaki ilyet erdeklodesbol tesz, akkor keszitsen teszt rendszereket, demokat, es dokumentalja ill. tegye kozze az eredmenyt.

> nem igazan tapsolnek, ha valaki(k) rendszeresen odajonnenek a hazamhoz es felmernek betoresbiztonsagi szempontbol (ertsd: betornenek), majd kozolnek velem az eredmenyt.
én egyébként igen
- ha nem okoz fennakadást a lakásom használatában, működik az ajtó, zár, minden, ahogy megszoktam
- ha nem okoz maradandó károsodást
- ha nem visz el semmit
, akkor tök jó, hogy pl.: szól valaki arról, hogy egy létrával be tudna mászni a nyitott ablakomon, meg az erkélyajtó felnyomható egy csavarhúzóval.

egyedül az lehet aggályos, ha tényleg szétkürtöli utána. De mondjuk egy ekkora csinadtrattával bejelentett csoda-palota megépítése után, lehet, jobban figyelnék az ilyenekre 1-2 napig.
--
blogom

"Legálisnak gondolom, mert senki nem akadályozza meg a delikvenst abban, hogy nekiálljon tesztelni" - Mondjuk ha nem láncolom ki a kerékpáromat amíg bemegyek a boltba, akkor legális elvinni? Persze csak az utca végéig, hiszen csak tesztelés. Esetleg le van láncolva, de azért megrángatják tesztelés céljából, hátha vihető.

"Mondjuk ha nem láncolom ki a kerékpáromat amíg bemegyek a boltba, akkor legális elvinni? Persze csak az utca végéig, hiszen csak tesztelés."

Ez egy kicsit sántít, mert itt nem arról van szó, hogy elviszi (elérhetetlenné teszi) a weboldalamat aztán később visszaadja, csak tesztel rajta valamit.

A másik példádból kiindulva:

"Esetleg le van láncolva, de azért megrángatják tesztelés céljából, hátha vihető."

Nyugodt szívvel megteheti (ki akadályozná meg?), sőt tesztelheti, hogy a nála lévő kulcs kinyitja-e a lakatot. De ha kinyitja a lakatot, akkor azt vissza is zárja utána. Végeredményben végül is nem történt semmi, csak hát nem igazán volt ez etikus dolog a részéről.

btw, a shop.bkk.hu -t lassan lehetne modositani a szop.bkk.hu -ra :)

A próbálkozás szintjétől is függ. Az, ha valaki lát az URL részeként egy felhasználói nevet és kíváncsiságból átírja, vagy a böngésző által visszaküldött inputmezőt megváltoztatja - netán törli a cookie-t, a mai biztonsági követelmények mellett belefér. Etikátlan az a szolgáltató, aki olyan oldalon, ahol pénzek, éles felhasználói adatok vannak, ilyen szintű szarvashibákkal hoz ki egy szolgáltatást. Ez nem más, mint a felhasználói bizalommal való visszaélés.

Legális. Pld. nen tiltja meg senki, hogy a böngésző address bar-ban átírjak pár dolgot az url-ben. Legegyszerűbb gagyi teszt. Vagy azt se, hogy a backendet megkeressem. Semmilyen eyikába nem ütközik. Mégis teszteled hogyan reagál az oldal erre.

Mi lenne, ha mindenki elolvasna legalabb azt a harom paragrafust a BTK-ban, ami kifejezetten a munkajara vonatkozik? (422-424). Abban benne van, hogy biza baromira nem legális, csak nem vagy buntetheto, ha a *hatosagok* részére azonnal tudomasra hozod. Nem, nem az NSA-bak, a hazaiaknak.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Én azt gondolom nem ez a morális kérdés, hanem hogy ha talál benne avval mit kezd. Én valahogy úgy képzelem ezt mint az autó bezárását a parkolóban, ha valaki nyitva hagy egy kabriót, akkor kérdés hogy Te belenyúlsz-e az otthagyott tárcáért, vagy sem. Nem tartom sem etikátlannak, sem illegálisnak a tesztelést, mert engem sem büntet meg a rendőr ha véletlenül egy másik fehér autó kilincsét fogom meg figyelmetlenségből. Viszont azért már megbüntet, ha betöröm az ablakot, és kiveszem a rádiósmagnót.

Aki szerint legális, az kezdje már el feltörni mondjuk Orbán Ráhel üzleti érdekeltségéhez kapcsolódó oldalakat, esetleg a mazsihisz.hu-t, meglátjuk milyen gyorsan ér oda a fekete autó. :) Gondolom akár terrorcselekménynek is tekinthető sok helyen, ha valaki belemászik a hadsereg vagy az erőmű vagy bizonyos kormányzati weboldalakba.
Etikailag is függ az érintettektől, hogy elfogadható-e.

Észreveszel teljesen véletlenül egy súlyos hibát egy rendszerben.
Más: megpróbálja felvenni az érintett céggel a kapcsolatot, amikor napok után sem kap reakciót sem emailen, sem telefonon, a nyilvánossághoz fordul.
Te: Kussolsz mélyen, és reménykedsz, hogy nem logolták az IP-det.

Ez egy erős különbség közted, és a meghurcolt srác között.
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods

"Teljesen veletlenul" rajossz, hogy a jelszoemlekeztetot ugy kapod egy weboldaltol, hogy szepen ott van benne cleartextben a jelszavad.
Jo, nem veletlen, hiszen te kerted az emlekeztetot, de nem az volt a celod, hogy a jelszotarolas modjara rajojj, aztan valahogy megis rajottel, hogy van itt egy komoly gubanc.
Ezt hova sorolod? :)

És arra hogyan jövök rá véletlenül, hogy POST requestben küldhetem a bérlet árat 50 Ft-ért és véletlenül meg is teszem? :) Sejteni lehetett, hogy lyukasabb a jegyrendszer mint az ementáli, viszi az embert a kíváncsiság, csak a Telekom ezt nem szokta értékeli: https://goo.gl/9iB7ap

Most én döntöm el, hogy legális-e? Nem is tudtam, hogy a magyar demokrácia már itt tart :D (persze, a normális az lenne, hogy a dolgok legalitását az határozza meg, hogy az emberek akarják-e szabályozni)
Én szerintem legyen legális (számomra az információ értéktelen, ha valakinek fontos, úgyis van róla mentése), de nem etikus, mert semmi köze hozzá.
Egy weboldalt nem azért hoznak létre, hogy széthákolják, játékból, stb.-ből. Ez az én szememben online graffiti, akkor is, ha nem hagy nyomot maga után, egyszerűen nincs ott semmi keresnivalója.

Itt elidőznék a biztonsági tesztelés meghatározásánál.

Az, ha van egy olyan bug, ami ránézésre bűzlik, pl. hogy hogy jelszó resetnél visszajön a plain text, vagy akár egy F&szfej_ID jellegű hibára való figyelemfelkeltés, szerintem még nem a biztonsági tesztelés kategóriája. A paraméter átírás lehetőségét sem sorolnám ide, de gondoljunk bele, akkor hova soroljuk az SQL injection kísérleteket? Hiszen ez is paraméter átírás. Pedig szerintem egyetértünk abban, hogy az SQL injection már erősen nem etikus.

A határ elég keskeny, én ha törvény alkotó lennék, gondot okozna a pontos megfogalmazás.