Elfogadható-e számodra az IT rendszeredbe való betörés, ha annak célja a sebezhetőség kijavítása zéró károkozás mellett?

 ( trey | 2018. október 14., vasárnap - 10:16 )
Igen.
56% (205 szavazat)
Nem.
44% (163 szavazat)
Összes szavazat: 368

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Az oldal nem található.

"Mert értek a kutyákhoz."

Javítva.

--
trey @ gépház

Honnan lehetsz biztos benne, hogy csupán a sebezhetőség kijavítása zéró károkozás mellett történt, ha egyszer nem felügyelted a dolgot?

Üdv,
Marci

Ha az addig zár nélküli ajtódra zárat rakok, és te is kapsz egy kulcsot hozzá, de nekem is van, az jobb-e, mint ha nincs is rajta zár? Persze arról nem mindenki tud, hogy a te ajtódon nincs zár, de könnyen kipróbálhatja.

(Természetesen nem lehetsz benne mindenképp biztos, hogy csak azt és csak a hibát javította/módosította, csak ha még azt is monitorozod, amit nem is kell.)

Csak az nem látszik, hogy azelőtt még mi mindent csináltál. Esetleg fogtad a konyhakésemet és meggyilkoltál vele valakit.

Üdv,
Marci

Ez egy elméleti kérdés, aminél feltételezzük, hogy adott, hogy nem okoz az illető kárt.

--
trey @ gépház

Akkor meg a hintet nem értem.
Amúgy pedig mi okom lenne ezt feltételezni?

Üdv,
Marci

Az, hogy ez egy elméleti kérdés? :)

Hogyan lehetsz biztos benne, hogy egy cég által kiadott és automatikusan feltelepült frissítés zéró károkozás mellett történt, ha egyszer nem felügyelted a dolgot?

Miért kellene jobban megbíznod egy cég több alkalmazottja által készített bármilyen javításban? Gondolok itt OS vagy egyéb szoftverek új verzióira.

Betörésnek számít-e ha bemész egy olyan ajtón, ami két hónapja tárva nyitva van és már a bulvárújságok is erről cikkeznek?

Biztos nem lehetsz benne, de bízhatsz benne, hiszen a cég a nevét adja hozzá. Megbíztál a cégben, akinek az eszközét választottad és megbízol benne a frissítéseknél is. Ezt a bizalmat jópár dolog építette fel. Ha a bizalmad meginog, alighanem el fogsz fordulni tőlük a későbbiekben és nagyon nehéz lesz visszanyerni.

A rendszeredbe a tudomásod, engedélyed nélkül behatoló emberről/szervezetről semmit sem tudsz. Így nem tudod, hogy az illető kockáztat-e valamit a tevékenységével. Számomra ezért a kettő nem ugyanaz.

"Betörésnek számít-e...?" IANAL, lehet, hogy nem pont betörésnek, de valamilyen büntetendő cselekedetnek alighanem.

Üdv,
Marci

Igazából a kérdés ennél érdekesebb, ha egy kicsit sarkítva tesszük fel:

HA valaki nyitva hagyja az ajtót a saját eszközén és ezzel az egész internet biztonságát veszélyezteti, akkor etikus e ezt az ajtót helyette becsukni a tudta / megkérdezése nélkül?

IMHO ha valaki ennyire lesz**ja akkor a válasz: igen. talán még úgy is ha az alapértelmezett jelszóval futó eszközök jelszavát elkezdené valaki megváltoztatni. ez már nagyon határeset, de ha valaki csak ebből érti meg hogy mi a baj azzal ha admin+enterrel lép be a routerébe... ez kicsit olyan mint hogy nem adunk óvodások kezébe géppuskát ;)

Ez egy bevett módja nagyobb cégeknél,hadseregnél a biztonsági auditnak.
Egy elkülönített , megbízott team feladata a betörés...

Teljesen már dolog, ha te megbízol (szerződés van mögötte) egy manapság divatszóval élve "etikus hackert", hogy az pentest feladatokat hajtson végre a megbízásodból.

És más, hogy valaki tudtod nélkül bemegy a rendszeredre. Egyik a tudtoddal és engedelmeddel, a te kérésedre történik és keményen szabályzott keretek közt, a másik pedig nem.

Nem véletlen a grey szó.

White hat = kb. etikus hacker
Black hat = a másik véglet
Grey hat = a kettő közti szürke zóna

--
trey @ gépház

True.
En erre reagáltam:
"Elfogadható-e számodra az IT rendszeredbe való betörés, ha annak célja a sebezhetőség kijavítása zéró károkozás mellett?"

Kérdés, hogy amikor a sajátodat hackeled, az betörés-e? :)

A szavazás kérdése alapján én is úgy értettem, ahogy a kolléga. (A többi komment alapján igencsak nem voltunk egyedül.) De akkor javítom a szavazatomat.
--
Csaba

+1

Mondjuk ha már választani kell, akkor százszor inkabb a grey, mint a black.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Szerintem nincs olyan grey. Az én olvasatomban, ha engedély nélkül hozzáférést szerzett, akkor jogot sértett.
A szándéktól függetlenül.

- "hé haver, nyitva hagytad a kocsid ajtaját!"
- "na ne szórakozz, biztos ki akarsz rabolni, és azért szóltál, hogy eltereld a figyelmem!!!"...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Egyszer majdhogynem le lettem baszva, amikor egyik este a társasház parkolójában találtam egy slusszkulcsot, és gondoltam inkább legyen nálam, mint az utcán... végül nagynehezen elfogadták az "1) a kulcsot csak márkához tudtam kötni és nem akartam végigpróbálni, hogy az öt közül melyiket nyitja [és hogy az ötből hányban van riasztó...] 2) a tényleges kocsit (még ha tudtam is volna, hogy melyik) archoz tudom kötni, de rohadtul nem vágom, hogy melyik lépcsőházban laksz és 3) még ha tudnám is, hogy melyik lépcsőházban laksz, nem tudom, hogy hívnak, vagyis legrosszabb esetben kb. 80 családot kellett volna felébresztenem éjjel kettőkor" érvelésemet, és hogy ennél talán egy fokkal kulturáltabb megoldás, hogy az öt autó szélvédőjére kitettem a nevem/telefonszámom; de nehezen tudtam csak meggyőzni őket, hogy nem az én hibám, hogy ők mennyit keresték a kulcsot...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Es akkor te ott jót akartál, tele jószándékkal, önzetlenül segíteni azon, aki rászorul, nehogy kár érje - vagy nem minden hátsó szándék nélkül tetted, hátha csurran cseppen valami kis haszon is belőle?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Jószándék... sajnos vannak ilyen hülye szokásaim, hogy ha nem aránytalanul nagy erőfeszítés, akkor segítek (jelen esetben: hagytam már el kocsi kulcsot, úgyhogy tudom, mekkora szopás lehet pótolni, még ha a kocsi meg is marad)... (aztán gyakran meglepődöm a reakciókon, akár pozitívak, akár nem)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Tehát akkor te az saját magad cselekedetét etikusnak, vagy "illegális tevékenységnek" tartod?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

A kettő nem zárja ki egymást. Etikus volt, amit csináltam, de technikailag minden joguk meg lett volna, hogy azonnal rám hívják a yardot és ők kopogtassanak be, hogy miért is van nálam az ő tulajdonuk (az más kérdés, hogy egy bíróság kiröhögte volna őket, de a jog már csak ennyire kretén dolog :) ).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Vagyis ha a masik oldalon lettel volna, akkor kihivtad volna a rendort, vagy megkoszonted volna a segitseget (esetleg mindketto)?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Fordított helyzetben megköszöntem volna és vettem volna neki egy jó sört/csokit/... (valahol a topicban már írtam, hogy a router esetében is a jövök neki egy sörrel kategória [azzal együtt, hogy factory reset :) ], nem a feljelentem)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Akkor egyetertunk abban, hogy a szurke hacker, az bizony feher.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ez számomra egy pillanatig sem volt kétséges :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Akkor már csak arra kell ügyelni, hogy aki segít, az lehetőleg fehér (vagy legfeljebb szürke), de semmiképpen ne fekete legyen, mert ha utóbbi segít, az gyanús! :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Szerintem nem jó analógia.

Az autó esetében valaki talált egy kulcsot, ezt eltette, és igyekezett felhívni a tulajdonos figyelmét arra, hogy elveszett a kulcs, és hol találja. Magát a kulcsot viszont nem használta.

A greyhat hacker talált egy kulcsot (bejáratot), és ezt használva aktívan beleavatkozott abba az eszközbe, amelyet a kulcs nyit, a tulajdonost pedig jellemzően nem értesítette a beavatkozás tényéről.

A grayhat rájött, hogy egy jó alakúra csavart dróttal el tudja kötni a kocsit bárki, ezért végigment egy csavart dróttal és beszerelt minden autóba egy immobilizert, ami az eredeti kulccsal engedi elindítania az autót. Hogy közben átállította a visszapillantót, azt nem tudni, de a hacker azt állítja, hogy nem.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Számomra ez nem elfogadható viselkedés. Még jófejségből sem. És pl. ha valaki épp rajtakapja, hogy nyitogatni próbálja az autóját, és ráhívja a rendőrséget, majd bevarrják, akkor ne csodálkozzon, bármennyire jó szándékú volt.

Ismerős magyar mentalitás. :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Szerintem se megengedhető, mert onnantól nem tudhatod, hogy a beszerelt immobilizer nem aktiválja e menet közben a kormány lockot ezzel balesetet okozva. És ezt a grayhat sem tudja garantálni.

Szerintem mindenki látott már olyan path-et, ami a célproblémát ugyan helyrehozta, de huszonhárom másikat meg előhozott. Szerintem az észrevett kiskaput reportolni oké, de onnan nem a third party dolga gondoskodni a biztonságról. (Arról nem is beszélve, hogy létezik olyan eset, amikor a hiba szándékos az üzemeltető részéről. Ilyen esetben mit szólsz, hogy jön egy lelkes third party és szépen megpeccseli?)
--
Csaba

Szerintem megengedhető, különösen, ha hagy egy cetlit a műszerfalon, hogy "itt jártunk kecske húst ettünk". Onnantól kezdve ugyanis, hogy mindenki számára elérhető információ, hogy hogyan kell hajtogatni a drótot, az autódat _mindenképp_ át kell nézned/nézetned (függően attól, hogy mennyire értesz az autókhoz), mert nem tudhatod, hogy tett-e bele _bárki_ kormány lockot. A greyhat csak abban segített, hogy legalább ne lopják el és felhívja a figyelmed, hogy valamire ügyelned kell.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Szerintem megengedhető, ..., ha hagy egy cetlit a műszerfalon, hogy "itt jártunk kecske húst ettünk".

A "ha" kitétellel kiegészítve akár egyet is érthetünk.

--
Csaba

A szavazás apropóját adó greyhat pedig pont ezt tette ("In the comments, I wrote information about the vulnerability and left the address of the @router_os Telegram channel, where it was possible for them to ask questions." [trey első hozzászólásában linkelt Hup cikkben linkelt ZDNet hír]), így "találta meg" az a 0.05%, aki utána megköszönte/perrel fenyegetőzött (nagyobb részt utóbbi)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

OK, megértve.
--
Csaba

Semmi sem garantálható, mint ahogy az ellenkezője esetében sem, csak utóbbinál pluszban bárki szabad prédája lehet az eszközöd... Tehát jobb, ha valaki kéretlenül is, de foltoz, mintha boldog boldogtalan ki be járkál a routeren keresztül és te még csak nem is tudsz róla!... :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Semmi sem garantálható, mint ahogy az ellenkezője esetében sem, csak utóbbinál pluszban bárki szabad prédája lehet az eszközöd... Tehát jobb, ha valaki kéretlenül is, de foltoz, mintha boldog boldogtalan ki be járkál a routeren keresztül és te még csak nem is tudsz róla!... :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Hát ha velem történt volna ez biztos örültem volna, hogy megvan a kulcs, és megköszöntem volna!

Ha én rendeltem meg, igen, ha nem, akkor nem.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Nem-et ikszeltem, de szürke zóna: ha már bejött, ígyis-úgyis kompromittáltnak kell tekintenem az eszközt és mindent, amihez hozzáférhetett és nulláznom (még ha minden arra is utal, hogy nem élt vissza a megszerzett jogosultságával), viszont ha megírta, hogy jött be és mit javítsak, akkor kb. a jövök neki egy sörrel kategória és nem a "kiperelem belőled a szart is".

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ezt majd magyarázd el a Matávnak is :-)
--

Kinek?

+1

Pont így gondolom én is.

Ha be tudott jönni, akkor én valahol hibáztam, ami nyilván frusztráló érzés.

Viszont pótcselekvésképpen, a jó szándékú, kéretlenül segítő embert piszkálni emiatt szerintem nem korrekt, szégyellje magát aki a saját hibáját másokon torolja meg!

A másik nézőpont: Lehet, hogy nem ez a legjobb dolog ami történhet, de az biztos, hogy ez a legkevésbé rossz.

Az igazság mindig a részletektől függ: nem tudhatod előre, hogy okozol-e kárt, vagy hogy egyáltalán mi fog történni. Rálépsz például egy Canary-ra és önvédelemből leáll a rendszer, 5ezer ember és 100ezer ügyfél meg nem fér hozzá az adatbázishoz mert azt automatikusan lekapcsolták? Kárt nem akartál okozni, mégis sok millióba kerül a banknak a fiaskó. Szóval technikailag fogalmad sincs, mi fog történni, főleg ha a betörést úgy érted hog nem tud róla a másik, tehát mindenképp kell felderítened, nem tudod például a fenti példában hogy mi egy éles szerver és mi egy csapda, milyen védelmek vannak kihelyezve, vagy az ügyfél úgy döntött-e hogy támadás esetén inkább leállnak mint adatot veszítsenek.

Jogilag szintén, ha van szerződésed róla hogy csinálhatod akkor ez benne van a pakliban, ha nincs, akkor biztos hogy leverik rajtad a kárt. Még ha nagyon jóban is vagy a biztonsági főnökkel, egy nagyon félresikerült pentesztelésre már a CEO vagy a média is kiváncsi lesz... akkor pedig te viszed el a balhét.

Szóval, szerintem épeszű ember nem csinál ilyet. Vagy amit csinál, végigszkenneli a sebezhetőségeket, heartbleeddel összegyűjti amit tud és utána szól az ügyfélnek, de azt meg ne nevezzük betörésnek akkor.

Ez jogilag igaz, ugyanakkor az a komolyabb vállalat, aki olyan eszközt üzemeltet a hálózatán, amire április óta javítás is van egy ismert sebezhetőség miatt, és mégsem tett semmit az elmúlt 5 hónapban ellene, ott azért inkább az üzemeltetés a hibás egy ilyen betőrés esetében is.

Mellesleg aki ilyen rendszeren ismert sebezhetőséget nem javít, és emiatt be tudnak törni rá, az a GDPR óta már szabályt is szeg (ha személyes adatokhoz férhet valaki hozzá az ő gondatlanságból), ha bíróságra kerülne az ügye, ő is kaphatna büntetést.

Tavaly a brit tarsadalombiztosito/korhazi rendszer egy ugyanilyen honapok ota patcheletlen dolog miatt halt le.

Ott is jól jött volna egy ilyen "önkéntes rendszergazda". :-D

Az én rendszeremben az matasson, akiről én tudok. Persze ha egy sebezhetőség miatt a világ minden eszköze egy botnet része lesz… Akkor is csak a többiekébe törjön be. :-)

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

Kérdés, hogy az károkozásnak számít-e, ha mondjuk két VLAN közötti adatforgalomba belehallgat és ezáltal bizalmas információhoz jut hozzá.

A kérdés az, ha tényleg csak felvesz egy tűzfalszabályt, hogy járt-e ott valaki előtte. :D Aki mondjuk bekapcsolta a socks/http proxyt, az API szolgáltatást és személyre szabta a tűzfalszabályokat. :D

A felmerülő kérdés, hogy a javítással milyen, eddig ismeretlen sebezhetőségek járnak, mint tudjuk?

Ha megbízással és a tulajdonos hozzájárulásával történik akkor igen, különben nem.
pl én kifejezetten szomorú lennék, ha a kirakott honeypot-omat valami lelkes fiatalember kijavítaná nekem! :D

:-D

Biztonságos honeypotot kell építeni, amit nem lehet csak úgy kijavítani ;-)

Csak jeleznem a "nem"-mel szavazoknak, hogy nincs az a polgari birosag a vilagon, ami karteritest itelne meg a gyarto iranyaba, ha az okozott kar nulla (mint a kiirt tenyallas eseten). Buntetotorvenykonyvi vonzata lehet (orszaga valogatja), de hogy USA-ban es UK-ban felmentene az elkovetot az eskudtszek, ha csak a szavazas kiirasaban lathato tenyallas bizonyitott, az is hetszentseg.

És a huncert majd jól kinyomozza ki van az IP mögött. (Nem :P)

Elsőre nemet mondtam volna, de miután olyan routereket patchelt meg, amit a gazdájuk nem, így inkább jó, amit tett.

+1
===============================================================================
// Hocus Pocus, grab the focus
winSetFocus(...)

http://c2.com/cgi/wiki?FunnyThingsSeenInSourceCodeAndDocumentation

Ha már úgy is ki be járkál bárki, akkor jobb ha csak én meg mégvalaki tudunk bemenni. Én egyszerű halandóként megköszönném ha valaki segítene biztonságosabbá tenni a hálózatom, önzetlenül, ha tényleg nem okoz kárt.
===============================================================================
// Hocus Pocus, grab the focus
winSetFocus(...)

http://c2.com/cgi/wiki?FunnyThingsSeenInSourceCodeAndDocumentation

Egyszer kaptam egy levelet egy domainem valamelyik standard emailjére, ami egy szerveremen levő Wordpress sebezhetőségére figyelmeztetett. Ez úgy gondolom, hogy teljesen korrekt. Az, hogy valaki belép a megkérdezésem nélkül, és megpatcheli, ahogy ő gondolja, egyrészt bűncselekmény (hacsak nem bizonyítani tudja, hogy pl. emberi élet(eket) mentett ezzel a tettével), másrészt szakmailag sem korrekt, mert könnyen lehet, hogy az általa kérés nélkül patchelt (és esetleg hibás) kód fog akár emberéletben kárt okozni.

Hát ha valamire, akkor talán erre jó a kötelező kontakt a domainekhez, de hogy kontaktolsz valakit aki betekert egy baromi okos égőt tátongó lyukkal az oldalán? :)

... már persze úgy értem azon kívül hogy megnyomod az égőt majd azon keresztül a telefont is amivel kékről zöldre állítja a hangulatfényt és feldobsz neki egy üzit hogy haversrác baj van :))

És az a legnagyobb baj hogy sokszor a felhasználótól reálisan nem is elvárható hogy egyáltalán felfogja hogy mi a helyzet, a szabályozás évtizedekkel van lemaradva, a gyártók pedig semmilyen önkorlátozást nem gyakorolnak... és nem csak a KRHM kínai sz**ról van szó hanem az úgymond márkák termékei se javítják az átlagot :/

Úgyhogy az egyetlen amit tehetünk hogy lemondunk az internetről ahogy ma ismerjük és átadjuk a botneteknek ;(

Egyértelműen elfogadható.