- A hozzászóláshoz be kell jelentkezni
- 30515 megtekintés
Hozzászólások
A legfelső opció szerintem kicsit idealista. Sok "fontosabb" döntéshozó azt se tudja, hogy ilyen egyáltalán létezik. Ha esetleg mégis, akkor vagy nem találja fontosnak, vagy pedig tudja, hogy a rendszer amúgy is sz*r, és úgy gondolja elég annyi hibát kijavítani, amennyire a szökőévente egyszer a céghez bekukkantó auditorok rámutatnak.
--
"Csak webfejlesztést ne..." -ismeretlen eredetű szállóige-
- A hozzászóláshoz be kell jelentkezni
Egyre több helyen tudják és egyre több helyen a megbízók kérik, hogy a saját rendszerüket 3rd party általi auditnak vessék alá. Természetesen az eredményről jegyzőkönyvet kérnek, ugyanis egy esetleges, ellenük indított perben perdöntő lehet, ha a cégnek papírja van róla, hogy az adatok kezelése során a lehető legnagyobb gondossággal járt el. Főleg külföldi multiknál jellemző ez.
Jelenleg is folyik nálunk ilyen.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
+1, a "nemtudtam", "neménvoltam", stb. sajnos elégtelen, ilyen cégnek nem szabad alkalmazottja/partnere/ügyfele lenni
- A hozzászóláshoz be kell jelentkezni
+1
Bár szerintem a "Kovács Pista PaperSec kft."-től papírunk van, hogy itt minden kib*sz*tt fasza egy fokkal sem jobb. :D
- A hozzászóláshoz be kell jelentkezni
Hát, azért nagyon sok minden múlik azon, hogy mi van arra a bizonyos papírra írva. :D
- A hozzászóláshoz be kell jelentkezni
Én olyan varázslókat láttam eddig, akik Excel táblába interjúvoltattak és az alapján vonták le a konklúziót egy rendszerről. Azt mondjuk még nem láttam mi lett a bizonyos papírra írva. Gondolom majd egy teljes "vulnerability report"-ot kapok a nem vizsgált rendszerről (nem sértésből, de szerintem a csávót egy portscan megakasztott volna). :D
- A hozzászóláshoz be kell jelentkezni
ez amit leírtál az auditor tevékenység. (papírgyáros)
amire gondolsz az meg a pentester
A kettő között elég gigantikus tudásbeli különbség tátong. a cégvezér úgyis papírt akar látni amin valami zöld paca jelzi hogy minden mehet ahogy eddig, minden tökéletes és nincs semmi felelősségük...
- A hozzászóláshoz be kell jelentkezni
Az említett cégek nem sajnálják erre a pénzt, egy rendes, akár hónapokig is tartó audit költsége is töredéke egy esetleges vesztes per után fizetendő büntetésnek.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Viszont nem véletlen, hogy pont a nagy plecsnivadász cégek azok, akik próbálják elrettenteni a hibabelejelentőket is. Még csak publikálni sem kell a hibát, elég ha maga a cég tudomására jut a megtaláló által, akkor már csak úgy lehet legális folytatás, hogy új audittal újravalidáltatják magukat. Az meg nem olcsó. Tehát ők a hiba felismerését is komoly kárként élik meg.
Szóval a cég számára az az egyetlen olcsó és legális út, ha elijeszti a bejelentőket azonnal börtönnel fenyegetőzve. Mint ahogy pár éve sorban volt balhé itthon is, mikor böngésző címben a következő értékre átírt id más emberek / cégek adatait megmutatta és ezt már az érintett támadásként és behatolásként adta elő. Talán valami szabadalmi hivatal meg más eset is volt. Szóval, ha nem tud róla, akkor őszintén és legálisan állíthatja, hogy nincs sebezhetőség és ott a plecsni, amit esetleg kellőképpen vastagon meg kell fizetni, de túl sok valós háttere nincs, ellenben valami szabály miatt esetleg kötelező megszerezni.
- A hozzászóláshoz be kell jelentkezni
ja. de kozben meg felveszik az elso hozzajuk beeso programozot, aki csak fossa a szarabbnal szarabb kodokat es lovese sincs, mit csinal.
de papirja van rola.
- A hozzászóláshoz be kell jelentkezni
"A legfelső opció szerintem kicsit idealista. Sok "fontosabb" döntéshozó azt se tudja, hogy ilyen egyáltalán létezik"
Az első ilyen auditnál 2003 körül működtem közre.
Jött a szerződéses hackercsapat (csak a vezetés tudta, hogy dolgoznak), aztán egy hét múlva tartottak egy előadást a rendszergazdáknak, hogy melyik rendszert hogy törték...
Baromi tanulságos volt...
De volt rendszeres "black box" teszt is, új, publikus netes szolgáltatások indításakor.
Ez utóbbiak pl. pontosan rögzített feltétel rendszer mentén történtek. (Milyen Ip-ről jönnek, mikor, stb.)
Etikus hacker az, aki szerződéssel dolgozik. A többi max. jó szándékú amatőr, akik egy része olyan viccesen naív....
- A hozzászóláshoz be kell jelentkezni
"Etikus hacker az, aki szerződéssel dolgozik"
Csak épp a köznyelv nem így értelmezi. Etikusnak lenni mást jelent, nem igazán van köze a jogilag rendezett háttérnek hozzá. Ezért is kelt ilyen hullámokat a hekker srác esete, hiszen hogy etikus-e amit csinált tök más kérdés, mint hogy jogilag tisztázott, és engedélyezett-e.
Lehet kellene egy jobb jelző. Vagy szimplán el kellene érni, hogy a hacker, jelzők nélkül jelentse a hivatásos szakmabelit.
- A hozzászóláshoz be kell jelentkezni
A hacker szó sosem jelentett hivatásos szakembert, sőt!
Így szerintem az "ethichal hacker" sem jelenthet egyértelműen azt.
Ez az egész a "white hat"/"black hat" jelzőkből jött, de hackerek már sokkal azelőtt léteztek, mint ahogy ezt hivatásos modon lehetett volna csinálni. Aztán látták, hogy ezt pénzért is el lehet adni, és ebből is egy buzzword lett, amit dobálnak mindenfelé.
(olyan mint az a "rendszermérnök" akinek nincs is semmilyen diplomája)
A gyakorlatban meg az van, hogy az ügyfélnek plecsni kell, az auditor cég meg plecsnit árul.
kitöltenek 3 db excel táblát, meg egy csilivili tanúsítványt, és win-win.
Mert ugye ezt követeli meg a jogi szabályozás....
Csak ehhez nem kell semmilyen hacker.
De ez már off...
(És persze kivétel mindenhol van)
--
zrubi.hu
- A hozzászóláshoz be kell jelentkezni
"....de hackerek már sokkal azelőtt léteztek, mint ahogy ezt hivatásos modon lehetett volna csináln"
Kezdjük ott, hogy eredetileg nem is azokra mondták, akik rendszerekbe törtek be, mert már azelőtt léteztek, hogy a számítógépes biztonság mint fogalom elterjedt volna.
Az auditot meg ne keverjük már a penetration testinggel. Ez utóbbi álltalában része az előbbinek, míg az előbbi nem feltétlen tartalmazza az utóbbit.
- A hozzászóláshoz be kell jelentkezni
Mitől etikus egy hacker, ha nincs leírva, hogy de jure mi számít etikusnak?
Kinek az etikai kódexe szerint etikus egy ilyen?
Ha az enyém szerint nem, de a tied szerint igen, akkor ha hozzád tör be etikus volt, ha hozzám akkor nem?
Szerintem is túlzás így meghurcolni, de mivel amit csinált az fehéren-feketén büntetőjogi kategória, mi a faszt csodálkozik ha ráhúzzák a vizes lepedőt?
- A hozzászóláshoz be kell jelentkezni
Erdekesebb kerdes lenne, hogy "mikortol kene BTK-ba utkoznie". Az etikus es a torvenyes mas teszta, es az utobbi okozta posztmodern dramainkat mostanaban a T foszereplesevel.
Hogy valaszoljak is: minden etikus ahol nincs szandekosan kibaszva egyik fellel se (fejtelenteni a hackert sem etikus, ha az nem okozott kart, de a hacker nem etikus, ha okoz kart)
Kulon fuszerezes, hogy vannak esetek, ahol a BTK tetel eletbe lephet, mikozben egy PTK-s kereset karokozas hianya miatt elbukna.
- A hozzászóláshoz be kell jelentkezni
amig nem tortent karokozas, elvileg okes a dolog.
ha teszem azt, az utcan setalva tarva nyitva talalsz egy hazajtot, akkor is elobb bedugod a fejed, esetleg belepsz, hogy szolj, nemde? nem jelenti azt, hogy lopni indultal, bar valoban rad lehetne verni, ha abban a pillanatban vesz eszre valaki.
ez sajnos mindig is szurke terulet fog maradni.
marad az osi bolcsesseg: ne keveredj bele/keruld el messzirol. a jofiuk csak a filmekben gyoznek, a valosagban mindig a burokracia gyoz.
- A hozzászóláshoz be kell jelentkezni
Nem csak ebben az értelemben szürke ez a terület. Az sem egyértelmű, melyik lépéssel fog valóban kárt okozni a hacker. Sokan végletekben gondolkodnak, kitörölni egy táblát, átírni egy jelszót (jó esetben csak hasht), pedig sokkal kisebb változások is okozhatnak kárt: pl fájlrendszerben létrehozol egy üres fájlt és az beborít valami rsyncet, vagy egy üzleti logikát sértő dokumentumot (rekordot, etc.) hozol létre egy DB-ben amitől elszáll az azt feldolgozó folyamat...
Mivel a hackernek csak felszínes tudása/ismerete van a rendszerről, ezért eldönteni se tudja, mivel okoz kárt és mivel nem.
- A hozzászóláshoz be kell jelentkezni
Sajnos szükség van a nyilvánosság erejére. Ha tényleg prioritás lenne a biztonsági hibák javítása, akkor ritkán lenne gond a türelmi idő lejárásából. Azon kívül, az sem baj, ha rossz a sajtója annak, hogy a már eladott terméket lyukasan hagyják, hogy inkább vedd meg az újabb változatot.
- A hozzászóláshoz be kell jelentkezni
A 2-3 között matekoztam. A mélyebb vizsgálódás még beleférne, de a károkozás lehetősége nem. (mondjuk, pl. 1db 1Ft-ért vett, de fel nem használt bérlet szerintem nem károkozás kategória)
----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"
- A hozzászóláshoz be kell jelentkezni
Az nem, de a premature nyilvánosságra hozatal már lehet az.
- A hozzászóláshoz be kell jelentkezni
Igen, persze, csak az a kérdés, hogy mi a "premature". Szerintem 2-3 hónap azért elég kellene legyen (ne az legyen a premature definíciója, hogy amennyi idő alatt megtaláljuk a hiba okát szabadidőben, a csilivili új funkciók bepakolásától egy embert sem elvonva).
- A hozzászóláshoz be kell jelentkezni
Az egyforintos bérletnél ez mennyi volt? Egy éjszaka? :D
- A hozzászóláshoz be kell jelentkezni
Szerintem csak miután feljelentették.
- A hozzászóláshoz be kell jelentkezni
Szerinted. Mi van, ha egy alultervezett API-t kell átalakítani, ami azzal jár, hogy többszáz partnerrel kell egyeztetni, bevárni, mire mindenki leköveti a potenciális breaking changet, stb., potencálisan olyan cégekkel, akiknél még csak nincs is szoftverfejlesztő, hogy ráugorjanak a problémára egyből?
Volt már szerencsém, mikor egy funkcionálisan szarul megtervezett API változtatást akartak rajtunk végigverni ÉS még velünk (meg a többi userrel) akarták kifizettetni annak költségét is. Nagyjából másfél év után belátta a cég, hogy ez így nem fog menni, mikor utoljára közöm volt a szoftverhez, még mindig benne volt a régi funkció, bár szerintem mostanra már mindenki lekövette az API változásukat. A téma úgy 4-5 éve volt érdekes.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
tehát egy hackernek szerinted figyelembe kellene venni, hogy egy szarul megtervezett, de milliárdokból épített, gigavállalat által készített/üzemeltett produktív, profit orientált szolgáltatást nehéz - esetleg nem is lehet - rentábilisan kijavítani?
LOL
Tegyük fel, hogy a hibával sok ezer ember privát adatait adják ki.
Melyik a etikusabb/fontosabb?
- a profit orientált cég
- vagy a vétlen áldozatok
érdekeit szem előtt tartani?
A "károkozás" vélt vagy valós tényét és mértéket persze mindig a jogászok bizonyítják.
Tehát a valóságban az nyer akinek több pénze van jogászokra.
Ez etikus?
--
zrubi.hu
- A hozzászóláshoz be kell jelentkezni
Senki nem beszélt, hogy azzal az API adatokat leakelt volna. Arról volt szó, hogy funkcionálisan elbasztak rajta valamit, amit az elején úgy gondolták, hogy jó lesz, aztán kiderült, hogy az az use-case nem mindenkinek lesz jó. Probléma abból eredt, hogy egyrészt ennek a módosításának költségét le akarták verni az összes vevőn, másrészt, hogy ez a rendszer fut talán 200 helyen, amihez integrálódnak mások talán ezres nagyságrendben. És ez magyar piac.
De gondolom szerinted az is az userek érdeke, hogy kirúgd alóluk az API-t, csak mert egyik nap meggondoltad magad. Próbálj meg 200 partnerrel egyeztetni, ahol olyan rendszergazdákkal találkozol, aki azon picsog neked chaten 3/4 órát, hogy miért nem a 80-as porton megy valami és leszakadna a keze, ha át kellene írnia egy tetves URL-t.
És ki beszélt arról, hogy nem lehet rentábilisen javítani? Arról van szó, hogy nem feltétlen csak két szereplős a sztori.
--
Más: ha már etikusság. Találsz mondjuk egy DoS hibát, aminek nincs security vonzata, cserébe ki tudsz baszni az userekkel, ha megakasztod nekik a servicet. (És az usereket most légyszi ne a neked tetsző "százcsillió random ártatlan kis bárányka" módon értelmezd, lehet belsőleg és/vagy csak partnerek részére szánt felület is!)
Ugyan alapvetően senkinek nem árt a hiba, ameddig nem kezdi el valaki szándékosan abuzálni (ki kérte meg rá, pl?), cserébe elkezdi publikálni, hogy háhá, mekkora hős vagyok, találtam egy DoS hibát, amivel máris megnyitja a lehetőséget azok előtt, akik viszont brahiból élvezik a szándékos károkozást. Ez vajon etikus?
Illetve ugyanígy, ha van mondjuk egy ismert, security vonzatú hiba, ahol ténylegesen lehet adatokat lopni, de idő kell a foltozáshoz (más rendszert is érint, mással is kell egyeztetni, stb.) - ld. előző scenario, hogy azt meddig tarthatott keresztülverni mindenkin. Szerinted mi az érdeke az usereknek? Hogy kikerüljön a hiba, hogy az az adathalász is tudjon róla, aki eddig a közelébe se nézett az oldalnak vagy az, hogy minél kevesebb ember tudja, hogy ott lehet adatot lopni? Mert áldozatok akkor lesznek az userek, ha valaki el is lopja az adatokat.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
"a premature nyilvánosságra hozatal"
Ott premature deployment volt. kib*szott felelőtlenség egy ilyen foshalmot élesbe tenni. Pont hogy a responsible disclosure része az, hogy az ilyen cselekvésre képtelen böszme nyomorékokra nem lehet várni mert az alatt mások aktívan kihasználják a rést. (pl személyes&/fizetési adatok megszerzésére)
- A hozzászóláshoz be kell jelentkezni
Felkérés nélkül vizsgálódik, ..... ... de előtte az eredménytől függetlenül beazonosítható módon jelzi a cég felé a vizsgálódást.
Kb innentől etikus.
Különben ha elkapják azt fogja mondani, hogy épp szólni akart... aztán vagy elhiszem, hogy etikus volt vagy nem. Vagy ellopta már az összes jelszót vagy nem.
És a hibát nem hozhatja nyilvánosságra. Ha ez utóbbit betartja az abszolút etikus, ha nem akkor megint kérdéses.
- A hozzászóláshoz be kell jelentkezni
"És a hibát nem hozhatja nyilvánosságra."
Akkor sem, ha a hallgatásával okoz nagyobb kárt?
- A hozzászóláshoz be kell jelentkezni
Kár, hogy ezt a lehetőséget kihagytam, mert ezt tényleg egy jó változat.
- A hozzászóláshoz be kell jelentkezni
Bár jobban belegondolva ez azt is eredményezheti, hogy boldog-boldogtalan bejelenti, hogy én biztonsági vizsgálatot végzek aztán meg ezzel takarózik, hogy bocs, én szóltam. Persze nyilván ebben az esetben lehetne rögzíteni, hogy mennyi ideig, milyen keretek között teheti ezt meg, de azért a visszaélés lehetősége szerintem benne van a rendszerben.
- A hozzászóláshoz be kell jelentkezni
Azzal, hogy nem hozhatja nyilvánosságra a hibát még türelmi idő lejárta után sem, megfosztanád az egyetlen hatékony eszköztől, amivel elérheti, hogy a hibát javítsák. Nem csak a cég érdekeit kell nézni, hanem azokét is, akiknek az adatait kezeli, márpedig nekik az az érdeke, hogy ha biztonsági hiba van, azt javítani prioritás legyen.
- A hozzászóláshoz be kell jelentkezni
Ez etikus hacker az szerintem egy személy.
az 1. pont pedig felkérésről, meg szerződésről beszél. Ilyen szerződést a legritkább esetben kötnek egy személlyel. Főleg nem előre felkéréssel... Így ez totálisan kilóg a sorból, mivel tök más kategória.
Az "etikus" pedig egy nem ekzaktul meghatározott fogalom, így lehet is rajta csámcsogni a végtelenségig. :)
mert ugye az etikus az valmilyen nézet/hit/szabály szerint elfogadható, vagy épen megvetendő.
Ezt pedig erősen különböző lehet különféle vallási/politikai/etnikai/jogi környezetben.
Úgy egyébként szerintem több pont is belefér:
- Felkérés nélkül (akár véletlenül hibára akadva) végez vizsgálatot, az első talált hibát jelenti, nem vizsgálódik tovább.
- Felkérés nélkül vizsgálódik, az első talált hibát jelzi a cégnek majd türelmi idő után nyilvánosságra hozza.
- A talált hibákat egyből nyilvánosságra hozza.
Ugye, ez az utolsó pont már heves vitákra adhat okot, hogy "mennyire etikus", az ha egyből nyilvánosságra hozza. "Valamennyire" azért ez is etikus, hiszen nem használja ki és, nem titkolja el és/vagy adja el valakinek haszonszerzés célból, hanem megosztja a világgal, a "jó cél érdekében" így egyben az érintettel is :)
De az is kérdéses hogy mit hoz nyilvánosságra?
- a hibát? de mennyire részletesen?
- a javítási javaslatot/patchet?
- kész, működő exploitot?
És hogy tovább bonyolítsuk, a "jogállam" még ezekbe is beleszól - természetesen minden országban máshogy - és zavaros jogi humbukk szabályokkal tiltja meg a "hekker tevékenységét".
Innentől meg ugye az etikát magasról leszarva, bűnözőnek bélyegzik a szerencsétlent.
(van ahol egy portscan-t is börtönbüntetéssel jutalmaznak)
szerintem.
--
zrubi.hu
- A hozzászóláshoz be kell jelentkezni
"Felkérés nélkül vizsgálódik, az első talált hibát jelzi a cégnek majd türelmi idő után nyilvánosságra hozza." - pontosan így működik a Google Project Zero, 90 napot várnak, aztán megosztják a sebezhetőséget a nagyvilággal. Szerintem ez teljesen korrekt, kár hogy itt illlegális.
- A hozzászóláshoz be kell jelentkezni
Nyilvánosan elérhető, publikus termékekben, szolgáltatásokban. Olyanról mondjuk nem hallottam, hogy betörtek volna XY céghez és az ott kapirgáltak volna.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Inkább úgy, hogy betört és jelezte a cégnek, amiért mondjuk némi zsozsó is járna szerintem, mint betört és az ellopott adatokért, biztonsági résért kért pénzt. Amivel a cégnek további beláthatatlan károkat okoz.
Mondjuk elég gáz, hogy ezt az összefüggést nem értik a Trékomnál. De idővel majd a magyar vezetők is meg fogják érteni, a buta a saját kárán tanul alapon.
- A hozzászóláshoz be kell jelentkezni
"Inkább úgy, hogy betört és jelezte a cégnek, amiért mondjuk némi zsozsó is járna szerintem, mint betört és az ellopott adatokért, biztonsági résért kért pénzt. Amivel a cégnek további beláthatatlan károkat okoz."
Ilyenről sem tudok a P0 csapat működésével kapcsolatban. Esetleg te tudsz?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nem egyértelmű a kérdés, most egy "etikus hacker"-ről, vagy egy etikusan viselkedő hackerről van szó? Előbbi definiciójának része szerintem eleve, hogy felkérésre dolgozik.
- A hozzászóláshoz be kell jelentkezni
Kérés/felhatalmazás nélkül nem etikus a szomszéd nőjén lukat keresni.
- A hozzászóláshoz be kell jelentkezni
Konyorgom, ne kezdjuk el itt is a
"Random hazak ajtajat se nyitogatod" meg "Boltos se orul, ha szolsz, hogy a betort ablakon ki lehet maszni egy talca sorrel"
es a
"Mashol ezert fizet a Google/Firefox, meg kene koszonniuk hogy nem buknak milliokat egy rosszindulato kihasznalon" meg "ha en nem szolok a nyugdijas neninek, hogy nyitva maradt az ablaka, a kovetkezo lehet egy rosszabbindulato betoro lesz"
jellegu hasonlatok es ervek utkzoteteset, mert mar g*ci unalmas, az egyik topikot mar full tonkrebasztatok vele, es amugy is vegtelenul fogalmatlan, manipulativan csavart hasonlatok ezek.
- A hozzászóláshoz be kell jelentkezni
:D
Ignoráljál légyszi!
- A hozzászóláshoz be kell jelentkezni
És kitől kellene jönnie a felhatalmazásnak? :)
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Aki jogosult olyat adni. :)
- A hozzászóláshoz be kell jelentkezni
A publikus sebezhetőség kb ezzel ekvivalens:
Találsz egy bejárati ajtóban hagyott kulccsomót. Mit csinálsz?
- A hozzászóláshoz be kell jelentkezni
:)
Nem. Meglátsz más házán egy zárat, amit a szakmában köztudomásúan könnyű kinyitni kulcs nélkül.
Megpróbálod kinyitni?
- A hozzászóláshoz be kell jelentkezni
[x] A talált hibákat soha nem hozza nyilvánosságra.
Egyelőre ez az álláspontom. Nem látom a motivációt ennek az ellenkezőjére, később meg bármi is lehet.
- A hozzászóláshoz be kell jelentkezni
És a ha hibát talál és eladja az orosz és észak-koreai és kínai testvéreknek, hogy nyomorba döntsék a kapitalista világot és eljöhessen a békésnek tűnő diktatúra?
- A hozzászóláshoz be kell jelentkezni
Nincs jó megoldás. Bármit csinálsz a legnagyobb jó szándék és segítségből meg önkéntesen... Lazán kibabrálnak bárkivel.
Szerintem az egyetlen járható út: Titokban, rejtőzködve vizsgálódni. Talált hiba esetélen névtelelevél a tulaj v szolgáltató irányába. Ha 1 hét után is meg van még a hiba, szét B* amennyire csak lehet a szolgáltatást v eszközt. ÉS nincs probléma.
Sokan-sokan nem hallgattunk a szülői intelmekre. Megfogtuk a forró kályhát, felpofoztuk a kaktuszt, meghúztuk a macska farkát és értékes, egész életen át tartó tapasztalatot szereztünk.
Vagyis a következő alkotása sokkal jobb lesz, ha egyszer megégeti magát.
- A hozzászóláshoz be kell jelentkezni
Értem, tehát tök oké, hogy vizsgálgatom, hogy könnyen be lehet-e törni hozzád és ha igen és nem szerelsz egy hét alatt minimum vizesárkot 34/7-es őrzéssel, aknamezővel, méteres acélfallal, akkor fel lehet gyújtani az egészet.
Etikus ám kurvára.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Semmiféle etikusságról nem írtam.
Az IT-t ne hasonlítsd a valóvilághoz, nem lehet. Minden analógia sántít.
Engem az bosszant rohadtul, hogy a legtöbb szolgáltató büszkeségből, a segítő szándékot is bűncselekménynek veszi. Majd feljelentget és ezzel takargatja a tróger munkát.
Indulatból írtam és nem fejtettem ki eléggé. Kösz a hozzám szólást.
- A hozzászóláshoz be kell jelentkezni
Mar megint egy nagyon hulye es sarkitott pelda. El kene mar felejteni ezt a szerverek == lakas/haz analogiat, nagyon bena.
Egy IT rendszer nem valakinek az otthona, nem a maganszferaja, nincs tele a szemelyes targyaival es nem ott eli az eletet. Legfeljebb a munkahelye, a munkaja termeke, valami, amiert felelosseget vallal. Ha valaki szetkurja, akkor nem az eletet teszi tonkre, hanem a munkajarol derult ki, hogy hibazott vagy nem vegezte el rendesen.
Amugy egyetertek az elottem szoloval. "Etikusan" hackerkedni csakis anonim modon, megfelelo vedelemmel, a leheto legjobban megnehezitve a nyomozast. Se itthon, sem mashol nem szeretik a megbizas nelkuli rendszer feltorogetest, meg kevesbe dijazzak. 2019-ben meg mindig ott tartunk, hogy fontosabb azzal foglalkozni aki a hibat torvenyes vagy nem torvenyes modon megtalalta, mint azzal, hogy ki es mekkora rest hagyott mennyire kritikus rendszerben. Meg a rendszer "kritikussaga" is a megtalalas "bunet" sulyosbitja ahelyett, hogy azt minositene, aki a rendszert epitette. Nevetseges. Akkor legalabb nehezitsuk meg a dolgukat kicsit.
A szandekos karokozasnak nem vagyok a hive. De a mindenkit ugyesen kicselezo, anonim, Kevin Mitnick-fele "you cant catch me" szurkalodasnak annal inkabb.
- A hozzászóláshoz be kell jelentkezni
Értem, tehát szerinted ha valaki szétbassza más rendszerét, mert megteheti és ezzel teszem azt lenulláz egy komplett céget - vagy csak akkora veszteséget okoz, amit már nem köhög ki - amivel opcionálisan tönkre teheti emberek életét.
De semmi gond, egy szerver végül is nem egy kézzel fogható dolog. Épp csak mondjuk egy kereskedő céget ki lehet nyírni azzal, hogy eldobod az adatbázisát. Vagy mégjobb, konkrétan emberéleteket veszélyeztethetsz mondjuk egy kórház, magánegészségügy, stb. rendszerének szétkúrásával. Nem véletlen van kő keményen büntetve ez.
Ki kellene már húzni a homokból a fejeket és észre kellene már venni, hogy az IT nagyon sok esetben egy támogató szakma és nem önmagáért van.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
"A szandekos karokozasnak nem vagyok a hive."
- A hozzászóláshoz be kell jelentkezni
Tehát értsük ezt úgy, hogy ha most céged vagy otthoni tűzfalad IP címét nekiállnám portszkennelni, vagy fognám a Metasploit framework-öt ez az összes benne található modult rád ereszteném, akkor te még köszönetet is mondanál nekem? Mert csak jobbá akartam tenni a biztonságod?
Mondjuk ezt úgy, hogy bérelnék egy szervert a darkneten, hogy fogalmad se legyen róla, ki vagyok. Ez rendben van szerinted?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Telekomos vagyok, úgyhogy lehet elvinne a TEK. ;)
Amúgy fel se tűnne, egy lennél a sok próbálkozó közül. És mégse járkálok a Suricata által kiköpött IP címekkel a rendőrségre jelentgetni (körbe is röhögnének). :P
Szerintem a shodan.io-t is tiltani kellene a picsába, mert ilyeneket dobál ki:
https://www.shodan.io/host/84.206.64.100
Tudom. Tiszteletet a bátraknak! :D (Szerintem ha rajtuk kipróbálod a metasploitot már csak az évek száma lesz a kérdés. :))
- A hozzászóláshoz be kell jelentkezni
Nem erdekel, hogy ki vagy, ha
1. nem okozol kart szandekosan,
2. szolsz, hogy figyu ezt meg ezt kene hegeszteni a routereden, hogy ne lehessen feltorni.
Igen, megkoszonnem es rohadtul nem erdekelne, hogy ki vagy es sertettel-e kozben torvenyt.
- A hozzászóláshoz be kell jelentkezni
" szolsz, hogy figyu ezt meg ezt kene hegeszteni a routereden, hogy ne lehessen feltorni"
Pénzért. Majd, ha keveslem, amit kínálsz, akkor azért még visszajárogatnék. Mert nem tudnék aludni a biztonságod miatt.
"nem okozol kart szandekosan"
Ha csak gyűjtöm a jelszavaidat, meg bele-beleolvasgatok ebbe-abba, az számodra károkozás?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
"Pénzért."
Abban a pillanatban az a router már nem lenne a hálózaton, az újhoz amit odarakok, pedig majd sok szerencsét.
De pontosan hogyan kerültünk a lakásomba, amikor pont azt mondtam, hogy nem jó analógia?
- A hozzászóláshoz be kell jelentkezni
Mindjárt gondoltam, hogy amint téged is érint az analógia, onnantól már nem jó... Amíg más faszához vered a csalányt, addig fun, ahogy a tiédnek is köze van hozzá, már nem.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Pont arrol beszeltem, hogy az otthoni rendszer analogiaja rossz erre az esetre, de latom, nehezen megy a leszakadas rola.
Ezen kivul ugyes csusztatas egyenloseg jelet huzni a hiba jelentese es valakinek az ezzel valo megzsarolasa koze.
Miert nem irtal mindjart egy gyilkossagos analogiat, hogy meg kozelebb legyel a sajat igazadhoz?
- A hozzászóláshoz be kell jelentkezni
Amugy meg is fordithatjuk a kerdest: pontosan mi lenne a celja ezeknek a pereknek? Hogy peldat statualjanak?
Komolyan azt hiszi barki, hogy igy majd az igazi feketekalaposok, akik tenyleg kart akarnak okozni, majd ketszer is meggondoljak, hogy probalkozzanak? Vagy megis mire jo ez?
- A hozzászóláshoz be kell jelentkezni
Még érdekesebb kérdés, hogy az önjelölt pentersterkedésnek mi a célja. Az egy dolog, hogy valaki véletlen felfedez egy hibát. Amikor valaki szándékosan kezdi el keresni a hibát ott már nagyon vékony a jég a black és a white hat között.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
"Amikor valaki szándékosan kezdi el keresni a hibát"
22 éves sebezhetőséget foltoztak be az X Window Systemben
https://www.hwsw.hu/hirek/51577/x-windows-system-x-org-biztonsag-sebezh…
Komment
Tiszta szerencse, hogy jelenleg egy jóindulatú biztonsági tanácsadó tárta fel a dolgot, és ezen kívül vagy 120 egyéb hibát az utóbbi pár hónapban csak az X.org Serverben. Csak ez volt az elsõ biztonsági szempontból igazán kritikus, de Van Sprundel jellemzése szerint az egész X Window rendszer katasztrófális módon van megírva, a GLX-nek - az X Windows OpenGL kiterjesztésének- a forráskódja pl nem más , "80.000 sor tiszta horror ".
- A hozzászóláshoz be kell jelentkezni
És ez milyen relációban áll azzal, hogy találsz egy random rendszert, aminek se a kódját nem látod, de nem open projekt, és elkezded feltörni azzal, hogy ott egy open source projekt, hogy tessék, csináljuk közösen?
(Amúgy meg AFAIK az eddig is köztudomású volt, hogy az X kódja egy trágya, egyrészt ezért (is) született egy-két projekt, hogy leváltsa idővel.)
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
[]"Aki nem bassza szét a rendszered, bár megtehetné, de ő jóindulatból szól"
- A hozzászóláshoz be kell jelentkezni
Nagyon jó lenne, ha az ITs jogászok megalkotnának egy eljárásrendet, ami minden fél érdekeire és felelősségére tekintettel van! Az auditálás mellett is találhat egy gimnazista valami hibát és akkor nem az ő etikai/jogi érzékére kéne bízni, h ilyenkor mit kell tennie! És jó az az elgondolás (http://www.cert-hungary.hu/anonim-bejelentes), h a helyzet kezelését egy harmadik félre (mediátor) kell bízni, aki felett hatósági kontroll van. Szóval kell egy bejelentő hely, ami átveszi a folyamat menedzselését. Akceptálandó érdeke a bejelentőnek, h a lehető legteljesebb mértékben tájékoztatást kapjon az ügy menetéről, időpontokról milyen magatartástól kell tartózkodnia stb miközben a kiléte fedve maradjon az érintett előtt. (Általánosságban ha találok az élet területén egy olyan hibát ami veszély forrása lehet, és miután jelzem az illetékesnek és továbbra is azt tapasztalom, h nem történik változás akkor természetes és jogos igényem h magyarázatot kapjak a miértre.) Problematikus eleme az eljárásnak, hogy a költségek az érintettre való terhelése akkor lehetséges, ha maga az érintett is elismeri a hiba valóságát. Továbbá a közérdek megkívánhatja a hiba kerüljön publikálásra -abból a célból és mértékben, h legyen elérhető nyilvántartás arról, hogy mely cégek/entitások informatikai rendszerével vannak ilyen jellegű problémák (szégyenfal). Végül a bejlentőt pedig jutalmazni kellene valahogy, olyan rendszert kell kialakítani h megérje bejelentőnek lenni.
- A hozzászóláshoz be kell jelentkezni
Jó vicc. Ha cégvezető lennék, eléggé idegesítene, hogy más sokkal előbb szerez tudomást a cég biztonsági réseiről.
Különben, nagyon egyszerű lenne a dolog. Ha valaki ilyet talál bárkinél, jelzi 2 napon belül, amiért a cégtől akár megfelelő díjazásra is igényt tarthatna. Innentől a cégen és a hiba megtalálóján múlik a továbbiak sorsa. Ha a cég nem partner és ki sem javítja a hibát, úgy be kellene jelenteni egy megfelelő állami szervnek, aztán a cégtől és a hiba jelentőségétől (másoknak is kárt okoz-e) függően kiszabnának egy elrettentő büntetést a cég részére.
Egyszerűen nevetséges amit az ügyészség művelt a kérdésben. Egy felelős állam a saját állampolgárai érdekét védi a cégekkel szemben és nem fordítva.
- A hozzászóláshoz be kell jelentkezni
Szerintem addig, amíg nem okoz kárt (szolgáltatáskiesés, adatvesztés, stb.). Akár beszél róla, akár nem.
- A hozzászóláshoz be kell jelentkezni
Számomra ha etikus heckerről van szó, akkor csak az első opció jöhet szóba.
A többi a bug vadász kategóriába tartozik szabadúszó minőségben.
- A hozzászóláshoz be kell jelentkezni
A Project Zero csapatot hova tennétek? Mert alapvetően a "Felkérés nélkül vizsgálódik, az első talált hibát jelzi a cégnek majd türelmi idő után nyilvánosságra hozza." mondat szellemében működnek.
- A hozzászóláshoz be kell jelentkezni
Oda, hogy a jog rájuk is vonatkozik. Másrészt továbbra is vallom, a türelmi idő felkérés nélkül nem más, mint nettó zsarolás.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Eddig nem láttam, hogy bilincsben vitték volna el a projekt tagjait, szóval eléggé esélyes, hogy ez a fajta tevékenység jogszerű.
- A hozzászóláshoz be kell jelentkezni
Gyanítom országja, jogrendszere vállogatja. Meg a végrehajtás módja.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Szerinted mi az etikus lépés, ha valaki Némethné és társa 2000 Bt. egyik weboldalán észreveszi, hogy pl. a jelszavakat kliens oldalon validálja belépéskor? Megvárja, amíg egyszercsak úgy döntenek, hogy valakit felérnek arra, hogy auditálja a rendszerüket?
- A hozzászóláshoz be kell jelentkezni
Szólnak nekik. Onnan kezdve nem az ő dolguk.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Válasz: A mi rendszerünkkel soha nem volt semmi baj, így biztosan tökéletesen biztonságos. A rendőrséghez fogunk fordulni, ha a továbbiakban is hekkerkedik! Fejezze be az illegális tevékenységet!
És akkor ennyi?
Innentől kezdve nincs értelme az IT biztonságra költeni. Sokkal egyszerűbb, ha nem csinálunk semmit, mert aki talál valami hibát azt majd jól bepereljük, mert mi nem kértük fel, hogy kutatgasson mindenfelé!
- A hozzászóláshoz be kell jelentkezni
Akkor fussunk neki még egyszer: az, hogy egy bizonyos idő után önhatalmúlag elkezded publikálni a nem ismert lyukakat, az sehogyan sem segít az usereken. Az, hogy itt néhány hupu úgy gondolja, hogy mindent pikk-pakk el lehet intézni két hónap alatt az csak annyit jelent, hogy nem volt még ügyfelekkel dolga. Fentebb hoztam példát, hogy mibe fájt egy - nem security jellegű - API módosítás egy bizonyos piacon és meddig tartott végigverni.
Az ilyen "akkor fosok bele és publikálom" dolgok két dologra jók:
- zsarolásra
- önjelölt bughunter egójának növelésére.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
És talán még arra is jó, hogy a vendor felemelje a seggét. :)
Mert ugye attól, hogy egy lyuk nem közismert még lyuk marad (amit bármikor megtalálhat akár egy kevésbé etikus hacker is amitől aztán baromi boldogok lesznek ám a userek :))
- A hozzászóláshoz be kell jelentkezni
Nem mindig a vendor a probléma. Említett esetnél pont a vendor volt az, aki változtatni akarta az API-t, csak mindenki más nem.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
De azt írtad nem biztonsági okból kellett változtatni rajta. :) Arra nem térnék ki, hogy szerintem milyen API az amit biztonsági okokból kell olyan szinten újratervezni, hogy megérzik azok akik használnák. :D
- A hozzászóláshoz be kell jelentkezni
Elég, ha csak változtatsz az autentikáció módján. Máris egy breaking change.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
De ha az zsarolásnak számít, hogy 2 hónap múlva publikálod, akkor mi fogja arra rávenni a céget, hogy javítson egy hibát pl. egy 10 éves legacy rendszerben?
- A hozzászóláshoz be kell jelentkezni
Édesmindegy. Jobb esetben önerőből megteszi. Rosszabb esetekre meg vannak/kellene, hogy legyen megfelelő szervek (Pl. ilyen itthon a GovCERT, adatvédelmi törvények, stb.).
De nem egy önjelölt bugvadász feladata önbíráskodni és zsarolgatni egy céget. (Vagy tőlem lehet, csak akkor meg ne is akarjunk olyat, hogy jogállam, mert minek, ha mindenki telibe foshatja a törvényeket.)
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Én megkülönböztetném a követendő eljárást a termék használója szerint.
- Olyan céges alkalmazások esetében (pl. ebank rendszer), ahol feltételezhető, és elvárható egy hozzáértő üzemeltető csapat megléte, ott a publikálás, kérés nélküli tesztelgetés* erősen megkérdőjelezhető. Viszont az ilyen üzemeltetőktől elvárható a vizsgálatok megrendelése, elvégzése.
- Ahol viszont a laikus felhasználó is tipikus ( pc oprendszer, böngésző) ott a kéretlen tesztelésnek is van helye, illetve még talán egy határidőhöz kötött publikálás is belefér ( de ez elég vékony jég)
A hibával fenyegetőzés, zsarolás szerintem egyértelműen a bűnözés kategória. Ne feledkezzünk meg a firkászok felelősségéről sem.
* én eléggé életszerütlennek érzem a "véletlen" hibára bukkanást
- A hozzászóláshoz be kell jelentkezni
Felkérés nélkül nem nyúlunk más holmijához, az nem fér bele az etikusság kereteibe.
-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
- A hozzászóláshoz be kell jelentkezni
Az az etikus hekker akit a liberalisok kikialtanak annak es/vagy a zorban rendszer uldoz amellett hogy profi szamitogepes.
------------------------
uint8_t *data; // tipussal megszorozzuk az adatot. wtf?
- A hozzászóláshoz be kell jelentkezni
:DD
- A hozzászóláshoz be kell jelentkezni
Security by NER ? XD
- A hozzászóláshoz be kell jelentkezni
Akarsz beszélni róla? :D
- A hozzászóláshoz be kell jelentkezni
'Az érintett autók számát, az "a" változót összeszorozzuk a hiba százalékos előfordulási esélyével, "b"-vel, és az átlagos kártérítési összeggel, "c"-vel. a*b*c. Egyenlő x. Ha x kisebb, mint a visszahívással járó költség, nem intézkedünk.' (Harcosok Klubja)
Cég oldalról valahogy így gondolkodhatnak :)
Az etikus hacker szerintem tudja, hogy mi áll jogában és mi számít rendeltetésszerű használatnak. A vizsgálódás már nem az, hisz azzal a céllal csinálod, hogy lásd, vajon összeomlik-e a rendszer... ugyanakkor, ha gyanakszol rá, hogy egy cég akár emberéleteket veszélyeztető szoftverhibát nem hajlandó javítani, nyílvánvaló, hogy etikai szempontból kötelességed vizsgálódni - persze kizárva azt, hogy Te magad is emberéletet veszélyeztess. Optimális esetben persze a hatóságok a gyanakvástól kezdve átvennék és kivizsgálnák az ügyet... egy ideális világban :)
Bizonyíték nélkül persze nehéz feljelentést tenni. Nem tudom, hogy a jogban igazából hol vannak a határok és mi számít megfelelő eljárásnak bizonyítékgyűjtés céljából. Remek oktatási rendszerünk nyilván kihagyta ezeket a kis apróságokat az alaptantervből annak idején mikor én tanultam... manapság hittan helyett lehet választani erkölcstant. Jó lenne azt hinni, hogy némileg jogi kérdésekre is kitérnek ennek keretében.
- A hozzászóláshoz be kell jelentkezni
Szerintem az, hogy csak érvényes szerződéssel rendelkező pentestert tekintünk etikusnak olyan korlát, ami mindenkinek káros.
Sokkal hasznosabb lenne, ha egyébként a gyártó által megrendelt pen testingen kívül, minden komoly gyártó üzemeltetne bug bounty és / vagy vulnerability disclosure (ez a bounty nélküli változat) programot, ahol a programban lefektetett szabályokat betartó etikus biztonsági szakember (csakazértsem fogom hackernek hívni, én még a hacker howton nőttem fel...:) ) jogi védettséget kap. Ez egyáltalán nem egyértelmű a jelenlegi gyakorlatban, szakirodalom: https://www.usenix.org/node/208178
Ilyen szavazati opció nem volt, ezért nem szavaztam.
- A hozzászóláshoz be kell jelentkezni
(x) Az etikus hacker szóösszetétel egy oximoron
:)
- A hozzászóláshoz be kell jelentkezni
Az az etikus cracker ;)
- A hozzászóláshoz be kell jelentkezni