Meddig etikus az etikus hacker?

 ( pentike | 2019. február 8., péntek - 12:58 )
Rendszer tulajdonosának felkérésére végez behatolási vizsgálatot a szerződésben meghatározott módon és ideig.
35% (126 szavazat)
Felkérés nélkül (akár véletlenül hibára akadva) végez vizsgálatot, az első talált hibát jelenti, nem vizsgálódik tovább.
21% (73 szavazat)
Felkérés nélkül vizsgálódik, a lehető legtöbb hibát próbálja feltárni még ha közben akár véletlenül kárt is okoz_hat_.
1% (4 szavazat)
Felkérés nélkül vizsgálódik, az első talált hibát jelzi a cégnek, a javítást ellenőrzi a későbbiekben.
9% (33 szavazat)
Felkérés nélkül vizsgálódik, az első talált hibát jelzi a cégnek majd türelmi idő után nyilvánosságra hozza.
29% (104 szavazat)
A talált hibákat egyből nyilvánosságra hozza.
2% (7 szavazat)
Megegyezik a céggel, hogy adott pénzért kussol a hibáról, akkor is ha azt nem javítják ki.
2% (8 szavazat)
Összes szavazat: 355

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A legfelső opció szerintem kicsit idealista. Sok "fontosabb" döntéshozó azt se tudja, hogy ilyen egyáltalán létezik. Ha esetleg mégis, akkor vagy nem találja fontosnak, vagy pedig tudja, hogy a rendszer amúgy is sz*r, és úgy gondolja elég annyi hibát kijavítani, amennyire a szökőévente egyszer a céghez bekukkantó auditorok rámutatnak.
--
"Csak webfejlesztést ne..." -ismeretlen eredetű szállóige-

Egyre több helyen tudják és egyre több helyen a megbízók kérik, hogy a saját rendszerüket 3rd party általi auditnak vessék alá. Természetesen az eredményről jegyzőkönyvet kérnek, ugyanis egy esetleges, ellenük indított perben perdöntő lehet, ha a cégnek papírja van róla, hogy az adatok kezelése során a lehető legnagyobb gondossággal járt el. Főleg külföldi multiknál jellemző ez.

Jelenleg is folyik nálunk ilyen.

--
trey @ gépház

+1, a "nemtudtam", "neménvoltam", stb. sajnos elégtelen, ilyen cégnek nem szabad alkalmazottja/partnere/ügyfele lenni

+1

Bár szerintem a "Kovács Pista PaperSec kft."-től papírunk van, hogy itt minden kib*sz*tt fasza egy fokkal sem jobb. :D

Hát, azért nagyon sok minden múlik azon, hogy mi van arra a bizonyos papírra írva. :D

Én olyan varázslókat láttam eddig, akik Excel táblába interjúvoltattak és az alapján vonták le a konklúziót egy rendszerről. Azt mondjuk még nem láttam mi lett a bizonyos papírra írva. Gondolom majd egy teljes "vulnerability report"-ot kapok a nem vizsgált rendszerről (nem sértésből, de szerintem a csávót egy portscan megakasztott volna). :D

ez amit leírtál az auditor tevékenység. (papírgyáros)
amire gondolsz az meg a pentester

A kettő között elég gigantikus tudásbeli különbség tátong. a cégvezér úgyis papírt akar látni amin valami zöld paca jelzi hogy minden mehet ahogy eddig, minden tökéletes és nincs semmi felelősségük...

Az említett cégek nem sajnálják erre a pénzt, egy rendes, akár hónapokig is tartó audit költsége is töredéke egy esetleges vesztes per után fizetendő büntetésnek.

--
trey @ gépház

Viszont nem véletlen, hogy pont a nagy plecsnivadász cégek azok, akik próbálják elrettenteni a hibabelejelentőket is. Még csak publikálni sem kell a hibát, elég ha maga a cég tudomására jut a megtaláló által, akkor már csak úgy lehet legális folytatás, hogy új audittal újravalidáltatják magukat. Az meg nem olcsó. Tehát ők a hiba felismerését is komoly kárként élik meg.

Szóval a cég számára az az egyetlen olcsó és legális út, ha elijeszti a bejelentőket azonnal börtönnel fenyegetőzve. Mint ahogy pár éve sorban volt balhé itthon is, mikor böngésző címben a következő értékre átírt id más emberek / cégek adatait megmutatta és ezt már az érintett támadásként és behatolásként adta elő. Talán valami szabadalmi hivatal meg más eset is volt. Szóval, ha nem tud róla, akkor őszintén és legálisan állíthatja, hogy nincs sebezhetőség és ott a plecsni, amit esetleg kellőképpen vastagon meg kell fizetni, de túl sok valós háttere nincs, ellenben valami szabály miatt esetleg kötelező megszerezni.

ja. de kozben meg felveszik az elso hozzajuk beeso programozot, aki csak fossa a szarabbnal szarabb kodokat es lovese sincs, mit csinal.
de papirja van rola.

"A legfelső opció szerintem kicsit idealista. Sok "fontosabb" döntéshozó azt se tudja, hogy ilyen egyáltalán létezik"

Az első ilyen auditnál 2003 körül működtem közre.

Jött a szerződéses hackercsapat (csak a vezetés tudta, hogy dolgoznak), aztán egy hét múlva tartottak egy előadást a rendszergazdáknak, hogy melyik rendszert hogy törték...
Baromi tanulságos volt...

De volt rendszeres "black box" teszt is, új, publikus netes szolgáltatások indításakor.

Ez utóbbiak pl. pontosan rögzített feltétel rendszer mentén történtek. (Milyen Ip-ről jönnek, mikor, stb.)

Etikus hacker az, aki szerződéssel dolgozik. A többi max. jó szándékú amatőr, akik egy része olyan viccesen naív....

"Etikus hacker az, aki szerződéssel dolgozik"

Csak épp a köznyelv nem így értelmezi. Etikusnak lenni mást jelent, nem igazán van köze a jogilag rendezett háttérnek hozzá. Ezért is kelt ilyen hullámokat a hekker srác esete, hiszen hogy etikus-e amit csinált tök más kérdés, mint hogy jogilag tisztázott, és engedélyezett-e.

Lehet kellene egy jobb jelző. Vagy szimplán el kellene érni, hogy a hacker, jelzők nélkül jelentse a hivatásos szakmabelit.

A hacker szó sosem jelentett hivatásos szakembert, sőt!
Így szerintem az "ethichal hacker" sem jelenthet egyértelműen azt.

Ez az egész a "white hat"/"black hat" jelzőkből jött, de hackerek már sokkal azelőtt léteztek, mint ahogy ezt hivatásos modon lehetett volna csinálni. Aztán látták, hogy ezt pénzért is el lehet adni, és ebből is egy buzzword lett, amit dobálnak mindenfelé.

(olyan mint az a "rendszermérnök" akinek nincs is semmilyen diplomája)

A gyakorlatban meg az van, hogy az ügyfélnek plecsni kell, az auditor cég meg plecsnit árul.
kitöltenek 3 db excel táblát, meg egy csilivili tanúsítványt, és win-win.
Mert ugye ezt követeli meg a jogi szabályozás....

Csak ehhez nem kell semmilyen hacker.
De ez már off...

(És persze kivétel mindenhol van)

--
zrubi.hu

"....de hackerek már sokkal azelőtt léteztek, mint ahogy ezt hivatásos modon lehetett volna csináln"

Kezdjük ott, hogy eredetileg nem is azokra mondták, akik rendszerekbe törtek be, mert már azelőtt léteztek, hogy a számítógépes biztonság mint fogalom elterjedt volna.

Az auditot meg ne keverjük már a penetration testinggel. Ez utóbbi álltalában része az előbbinek, míg az előbbi nem feltétlen tartalmazza az utóbbit.

Mitől etikus egy hacker, ha nincs leírva, hogy de jure mi számít etikusnak?
Kinek az etikai kódexe szerint etikus egy ilyen?
Ha az enyém szerint nem, de a tied szerint igen, akkor ha hozzád tör be etikus volt, ha hozzám akkor nem?

Szerintem is túlzás így meghurcolni, de mivel amit csinált az fehéren-feketén büntetőjogi kategória, mi a faszt csodálkozik ha ráhúzzák a vizes lepedőt?

Erdekesebb kerdes lenne, hogy "mikortol kene BTK-ba utkoznie". Az etikus es a torvenyes mas teszta, es az utobbi okozta posztmodern dramainkat mostanaban a T foszereplesevel.

Hogy valaszoljak is: minden etikus ahol nincs szandekosan kibaszva egyik fellel se (fejtelenteni a hackert sem etikus, ha az nem okozott kart, de a hacker nem etikus, ha okoz kart)

Kulon fuszerezes, hogy vannak esetek, ahol a BTK tetel eletbe lephet, mikozben egy PTK-s kereset karokozas hianya miatt elbukna.

amig nem tortent karokozas, elvileg okes a dolog.
ha teszem azt, az utcan setalva tarva nyitva talalsz egy hazajtot, akkor is elobb bedugod a fejed, esetleg belepsz, hogy szolj, nemde? nem jelenti azt, hogy lopni indultal, bar valoban rad lehetne verni, ha abban a pillanatban vesz eszre valaki.
ez sajnos mindig is szurke terulet fog maradni.

marad az osi bolcsesseg: ne keveredj bele/keruld el messzirol. a jofiuk csak a filmekben gyoznek, a valosagban mindig a burokracia gyoz.

Nem csak ebben az értelemben szürke ez a terület. Az sem egyértelmű, melyik lépéssel fog valóban kárt okozni a hacker. Sokan végletekben gondolkodnak, kitörölni egy táblát, átírni egy jelszót (jó esetben csak hasht), pedig sokkal kisebb változások is okozhatnak kárt: pl fájlrendszerben létrehozol egy üres fájlt és az beborít valami rsyncet, vagy egy üzleti logikát sértő dokumentumot (rekordot, etc.) hozol létre egy DB-ben amitől elszáll az azt feldolgozó folyamat...
Mivel a hackernek csak felszínes tudása/ismerete van a rendszerről, ezért eldönteni se tudja, mivel okoz kárt és mivel nem.

Sajnos szükség van a nyilvánosság erejére. Ha tényleg prioritás lenne a biztonsági hibák javítása, akkor ritkán lenne gond a türelmi idő lejárásából. Azon kívül, az sem baj, ha rossz a sajtója annak, hogy a már eladott terméket lyukasan hagyják, hogy inkább vedd meg az újabb változatot.

A 2-3 között matekoztam. A mélyebb vizsgálódás még beleférne, de a károkozás lehetősége nem. (mondjuk, pl. 1db 1Ft-ért vett, de fel nem használt bérlet szerintem nem károkozás kategória)

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Az nem, de a premature nyilvánosságra hozatal már lehet az.

Igen, persze, csak az a kérdés, hogy mi a "premature". Szerintem 2-3 hónap azért elég kellene legyen (ne az legyen a premature definíciója, hogy amennyi idő alatt megtaláljuk a hiba okát szabadidőben, a csilivili új funkciók bepakolásától egy embert sem elvonva).

Az egyforintos bérletnél ez mennyi volt? Egy éjszaka? :D

Szerintem csak miután feljelentették.

Szerinted. Mi van, ha egy alultervezett API-t kell átalakítani, ami azzal jár, hogy többszáz partnerrel kell egyeztetni, bevárni, mire mindenki leköveti a potenciális breaking changet, stb., potencálisan olyan cégekkel, akiknél még csak nincs is szoftverfejlesztő, hogy ráugorjanak a problémára egyből?

Volt már szerencsém, mikor egy funkcionálisan szarul megtervezett API változtatást akartak rajtunk végigverni ÉS még velünk (meg a többi userrel) akarták kifizettetni annak költségét is. Nagyjából másfél év után belátta a cég, hogy ez így nem fog menni, mikor utoljára közöm volt a szoftverhez, még mindig benne volt a régi funkció, bár szerintem mostanra már mindenki lekövette az API változásukat. A téma úgy 4-5 éve volt érdekes.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

tehát egy hackernek szerinted figyelembe kellene venni, hogy egy szarul megtervezett, de milliárdokból épített, gigavállalat által készített/üzemeltett produktív, profit orientált szolgáltatást nehéz - esetleg nem is lehet - rentábilisan kijavítani?

LOL

Tegyük fel, hogy a hibával sok ezer ember privát adatait adják ki.

Melyik a etikusabb/fontosabb?
- a profit orientált cég
- vagy a vétlen áldozatok
érdekeit szem előtt tartani?

A "károkozás" vélt vagy valós tényét és mértéket persze mindig a jogászok bizonyítják.
Tehát a valóságban az nyer akinek több pénze van jogászokra.

Ez etikus?

--
zrubi.hu

Senki nem beszélt, hogy azzal az API adatokat leakelt volna. Arról volt szó, hogy funkcionálisan elbasztak rajta valamit, amit az elején úgy gondolták, hogy jó lesz, aztán kiderült, hogy az az use-case nem mindenkinek lesz jó. Probléma abból eredt, hogy egyrészt ennek a módosításának költségét le akarták verni az összes vevőn, másrészt, hogy ez a rendszer fut talán 200 helyen, amihez integrálódnak mások talán ezres nagyságrendben. És ez magyar piac.

De gondolom szerinted az is az userek érdeke, hogy kirúgd alóluk az API-t, csak mert egyik nap meggondoltad magad. Próbálj meg 200 partnerrel egyeztetni, ahol olyan rendszergazdákkal találkozol, aki azon picsog neked chaten 3/4 órát, hogy miért nem a 80-as porton megy valami és leszakadna a keze, ha át kellene írnia egy tetves URL-t.

És ki beszélt arról, hogy nem lehet rentábilisen javítani? Arról van szó, hogy nem feltétlen csak két szereplős a sztori.

--

Más: ha már etikusság. Találsz mondjuk egy DoS hibát, aminek nincs security vonzata, cserébe ki tudsz baszni az userekkel, ha megakasztod nekik a servicet. (És az usereket most légyszi ne a neked tetsző "százcsillió random ártatlan kis bárányka" módon értelmezd, lehet belsőleg és/vagy csak partnerek részére szánt felület is!)

Ugyan alapvetően senkinek nem árt a hiba, ameddig nem kezdi el valaki szándékosan abuzálni (ki kérte meg rá, pl?), cserébe elkezdi publikálni, hogy háhá, mekkora hős vagyok, találtam egy DoS hibát, amivel máris megnyitja a lehetőséget azok előtt, akik viszont brahiból élvezik a szándékos károkozást. Ez vajon etikus?

Illetve ugyanígy, ha van mondjuk egy ismert, security vonzatú hiba, ahol ténylegesen lehet adatokat lopni, de idő kell a foltozáshoz (más rendszert is érint, mással is kell egyeztetni, stb.) - ld. előző scenario, hogy azt meddig tarthatott keresztülverni mindenkin. Szerinted mi az érdeke az usereknek? Hogy kikerüljön a hiba, hogy az az adathalász is tudjon róla, aki eddig a közelébe se nézett az oldalnak vagy az, hogy minél kevesebb ember tudja, hogy ott lehet adatot lopni? Mert áldozatok akkor lesznek az userek, ha valaki el is lopja az adatokat.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

"a premature nyilvánosságra hozatal"
Ott premature deployment volt. kib*szott felelőtlenség egy ilyen foshalmot élesbe tenni. Pont hogy a responsible disclosure része az, hogy az ilyen cselekvésre képtelen böszme nyomorékokra nem lehet várni mert az alatt mások aktívan kihasználják a rést. (pl személyes&/fizetési adatok megszerzésére)

Felkérés nélkül vizsgálódik, ..... ... de előtte az eredménytől függetlenül beazonosítható módon jelzi a cég felé a vizsgálódást.
Kb innentől etikus.
Különben ha elkapják azt fogja mondani, hogy épp szólni akart... aztán vagy elhiszem, hogy etikus volt vagy nem. Vagy ellopta már az összes jelszót vagy nem.

És a hibát nem hozhatja nyilvánosságra. Ha ez utóbbit betartja az abszolút etikus, ha nem akkor megint kérdéses.

"És a hibát nem hozhatja nyilvánosságra."

Akkor sem, ha a hallgatásával okoz nagyobb kárt?

Kár, hogy ezt a lehetőséget kihagytam, mert ezt tényleg egy jó változat.

Bár jobban belegondolva ez azt is eredményezheti, hogy boldog-boldogtalan bejelenti, hogy én biztonsági vizsgálatot végzek aztán meg ezzel takarózik, hogy bocs, én szóltam. Persze nyilván ebben az esetben lehetne rögzíteni, hogy mennyi ideig, milyen keretek között teheti ezt meg, de azért a visszaélés lehetősége szerintem benne van a rendszerben.

Azzal, hogy nem hozhatja nyilvánosságra a hibát még türelmi idő lejárta után sem, megfosztanád az egyetlen hatékony eszköztől, amivel elérheti, hogy a hibát javítsák. Nem csak a cég érdekeit kell nézni, hanem azokét is, akiknek az adatait kezeli, márpedig nekik az az érdeke, hogy ha biztonsági hiba van, azt javítani prioritás legyen.

Ez etikus hacker az szerintem egy személy.

az 1. pont pedig felkérésről, meg szerződésről beszél. Ilyen szerződést a legritkább esetben kötnek egy személlyel. Főleg nem előre felkéréssel... Így ez totálisan kilóg a sorból, mivel tök más kategória.

Az "etikus" pedig egy nem ekzaktul meghatározott fogalom, így lehet is rajta csámcsogni a végtelenségig. :)

mert ugye az etikus az valmilyen nézet/hit/szabály szerint elfogadható, vagy épen megvetendő.
Ezt pedig erősen különböző lehet különféle vallási/politikai/etnikai/jogi környezetben.

Úgy egyébként szerintem több pont is belefér:

- Felkérés nélkül (akár véletlenül hibára akadva) végez vizsgálatot, az első talált hibát jelenti, nem vizsgálódik tovább.

- Felkérés nélkül vizsgálódik, az első talált hibát jelzi a cégnek majd türelmi idő után nyilvánosságra hozza.

- A talált hibákat egyből nyilvánosságra hozza.

Ugye, ez az utolsó pont már heves vitákra adhat okot, hogy "mennyire etikus", az ha egyből nyilvánosságra hozza. "Valamennyire" azért ez is etikus, hiszen nem használja ki és, nem titkolja el és/vagy adja el valakinek haszonszerzés célból, hanem megosztja a világgal, a "jó cél érdekében" így egyben az érintettel is :)

De az is kérdéses hogy mit hoz nyilvánosságra?
- a hibát? de mennyire részletesen?
- a javítási javaslatot/patchet?
- kész, működő exploitot?

És hogy tovább bonyolítsuk, a "jogállam" még ezekbe is beleszól - természetesen minden országban máshogy - és zavaros jogi humbukk szabályokkal tiltja meg a "hekker tevékenységét".
Innentől meg ugye az etikát magasról leszarva, bűnözőnek bélyegzik a szerencsétlent.
(van ahol egy portscan-t is börtönbüntetéssel jutalmaznak)

szerintem.

--
zrubi.hu

"Felkérés nélkül vizsgálódik, az első talált hibát jelzi a cégnek majd türelmi idő után nyilvánosságra hozza." - pontosan így működik a Google Project Zero, 90 napot várnak, aztán megosztják a sebezhetőséget a nagyvilággal. Szerintem ez teljesen korrekt, kár hogy itt illlegális.

Nyilvánosan elérhető, publikus termékekben, szolgáltatásokban. Olyanról mondjuk nem hallottam, hogy betörtek volna XY céghez és az ott kapirgáltak volna.

--
trey @ gépház

Inkább úgy, hogy betört és jelezte a cégnek, amiért mondjuk némi zsozsó is járna szerintem, mint betört és az ellopott adatokért, biztonsági résért kért pénzt. Amivel a cégnek további beláthatatlan károkat okoz.

Mondjuk elég gáz, hogy ezt az összefüggést nem értik a Trékomnál. De idővel majd a magyar vezetők is meg fogják érteni, a buta a saját kárán tanul alapon.

"Inkább úgy, hogy betört és jelezte a cégnek, amiért mondjuk némi zsozsó is járna szerintem, mint betört és az ellopott adatokért, biztonsági résért kért pénzt. Amivel a cégnek további beláthatatlan károkat okoz."

Ilyenről sem tudok a P0 csapat működésével kapcsolatban. Esetleg te tudsz?

--
trey @ gépház

Nem egyértelmű a kérdés, most egy "etikus hacker"-ről, vagy egy etikusan viselkedő hackerről van szó? Előbbi definiciójának része szerintem eleve, hogy felkérésre dolgozik.

Kérés/felhatalmazás nélkül nem etikus a szomszéd nőjén lukat keresni.

Konyorgom, ne kezdjuk el itt is a

"Random hazak ajtajat se nyitogatod" meg "Boltos se orul, ha szolsz, hogy a betort ablakon ki lehet maszni egy talca sorrel"

es a

"Mashol ezert fizet a Google/Firefox, meg kene koszonniuk hogy nem buknak milliokat egy rosszindulato kihasznalon" meg "ha en nem szolok a nyugdijas neninek, hogy nyitva maradt az ablaka, a kovetkezo lehet egy rosszabbindulato betoro lesz"

jellegu hasonlatok es ervek utkzoteteset, mert mar g*ci unalmas, az egyik topikot mar full tonkrebasztatok vele, es amugy is vegtelenul fogalmatlan, manipulativan csavart hasonlatok ezek.

:D
Ignoráljál légyszi!

És kitől kellene jönnie a felhatalmazásnak? :)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Aki jogosult olyat adni. :)

A publikus sebezhetőség kb ezzel ekvivalens:
Találsz egy bejárati ajtóban hagyott kulccsomót. Mit csinálsz?

:)
Nem. Meglátsz más házán egy zárat, amit a szakmában köztudomásúan könnyű kinyitni kulcs nélkül.
Megpróbálod kinyitni?

[x] A talált hibákat soha nem hozza nyilvánosságra.

Egyelőre ez az álláspontom. Nem látom a motivációt ennek az ellenkezőjére, később meg bármi is lehet.

És a ha hibát talál és eladja az orosz és észak-koreai és kínai testvéreknek, hogy nyomorba döntsék a kapitalista világot és eljöhessen a békésnek tűnő diktatúra?

Nincs jó megoldás. Bármit csinálsz a legnagyobb jó szándék és segítségből meg önkéntesen... Lazán kibabrálnak bárkivel.

Szerintem az egyetlen járható út: Titokban, rejtőzködve vizsgálódni. Talált hiba esetélen névtelelevél a tulaj v szolgáltató irányába. Ha 1 hét után is meg van még a hiba, szét B* amennyire csak lehet a szolgáltatást v eszközt. ÉS nincs probléma.

Sokan-sokan nem hallgattunk a szülői intelmekre. Megfogtuk a forró kályhát, felpofoztuk a kaktuszt, meghúztuk a macska farkát és értékes, egész életen át tartó tapasztalatot szereztünk.
Vagyis a következő alkotása sokkal jobb lesz, ha egyszer megégeti magát.

Értem, tehát tök oké, hogy vizsgálgatom, hogy könnyen be lehet-e törni hozzád és ha igen és nem szerelsz egy hét alatt minimum vizesárkot 34/7-es őrzéssel, aknamezővel, méteres acélfallal, akkor fel lehet gyújtani az egészet.

Etikus ám kurvára.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Semmiféle etikusságról nem írtam.
Az IT-t ne hasonlítsd a valóvilághoz, nem lehet. Minden analógia sántít.

Engem az bosszant rohadtul, hogy a legtöbb szolgáltató büszkeségből, a segítő szándékot is bűncselekménynek veszi. Majd feljelentget és ezzel takargatja a tróger munkát.

Indulatból írtam és nem fejtettem ki eléggé. Kösz a hozzám szólást.

Mar megint egy nagyon hulye es sarkitott pelda. El kene mar felejteni ezt a szerverek == lakas/haz analogiat, nagyon bena.

Egy IT rendszer nem valakinek az otthona, nem a maganszferaja, nincs tele a szemelyes targyaival es nem ott eli az eletet. Legfeljebb a munkahelye, a munkaja termeke, valami, amiert felelosseget vallal. Ha valaki szetkurja, akkor nem az eletet teszi tonkre, hanem a munkajarol derult ki, hogy hibazott vagy nem vegezte el rendesen.

Amugy egyetertek az elottem szoloval. "Etikusan" hackerkedni csakis anonim modon, megfelelo vedelemmel, a leheto legjobban megnehezitve a nyomozast. Se itthon, sem mashol nem szeretik a megbizas nelkuli rendszer feltorogetest, meg kevesbe dijazzak. 2019-ben meg mindig ott tartunk, hogy fontosabb azzal foglalkozni aki a hibat torvenyes vagy nem torvenyes modon megtalalta, mint azzal, hogy ki es mekkora rest hagyott mennyire kritikus rendszerben. Meg a rendszer "kritikussaga" is a megtalalas "bunet" sulyosbitja ahelyett, hogy azt minositene, aki a rendszert epitette. Nevetseges. Akkor legalabb nehezitsuk meg a dolgukat kicsit.

A szandekos karokozasnak nem vagyok a hive. De a mindenkit ugyesen kicselezo, anonim, Kevin Mitnick-fele "you cant catch me" szurkalodasnak annal inkabb.

Értem, tehát szerinted ha valaki szétbassza más rendszerét, mert megteheti és ezzel teszem azt lenulláz egy komplett céget - vagy csak akkora veszteséget okoz, amit már nem köhög ki - amivel opcionálisan tönkre teheti emberek életét.

De semmi gond, egy szerver végül is nem egy kézzel fogható dolog. Épp csak mondjuk egy kereskedő céget ki lehet nyírni azzal, hogy eldobod az adatbázisát. Vagy mégjobb, konkrétan emberéleteket veszélyeztethetsz mondjuk egy kórház, magánegészségügy, stb. rendszerének szétkúrásával. Nem véletlen van kő keményen büntetve ez.

Ki kellene már húzni a homokból a fejeket és észre kellene már venni, hogy az IT nagyon sok esetben egy támogató szakma és nem önmagáért van.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

"A szandekos karokozasnak nem vagyok a hive."

Tehát értsük ezt úgy, hogy ha most céged vagy otthoni tűzfalad IP címét nekiállnám portszkennelni, vagy fognám a Metasploit framework-öt ez az összes benne található modult rád ereszteném, akkor te még köszönetet is mondanál nekem? Mert csak jobbá akartam tenni a biztonságod?

Mondjuk ezt úgy, hogy bérelnék egy szervert a darkneten, hogy fogalmad se legyen róla, ki vagyok. Ez rendben van szerinted?

--
trey @ gépház

Telekomos vagyok, úgyhogy lehet elvinne a TEK. ;)
Amúgy fel se tűnne, egy lennél a sok próbálkozó közül. És mégse járkálok a Suricata által kiköpött IP címekkel a rendőrségre jelentgetni (körbe is röhögnének). :P

Szerintem a shodan.io-t is tiltani kellene a picsába, mert ilyeneket dobál ki:
https://www.shodan.io/host/84.206.64.100

Tudom. Tiszteletet a bátraknak! :D (Szerintem ha rajtuk kipróbálod a metasploitot már csak az évek száma lesz a kérdés. :))

Nem erdekel, hogy ki vagy, ha
1. nem okozol kart szandekosan,
2. szolsz, hogy figyu ezt meg ezt kene hegeszteni a routereden, hogy ne lehessen feltorni.

Igen, megkoszonnem es rohadtul nem erdekelne, hogy ki vagy es sertettel-e kozben torvenyt.

" szolsz, hogy figyu ezt meg ezt kene hegeszteni a routereden, hogy ne lehessen feltorni"

Pénzért. Majd, ha keveslem, amit kínálsz, akkor azért még visszajárogatnék. Mert nem tudnék aludni a biztonságod miatt.

"nem okozol kart szandekosan"

Ha csak gyűjtöm a jelszavaidat, meg bele-beleolvasgatok ebbe-abba, az számodra károkozás?

--
trey @ gépház

"Pénzért."

Abban a pillanatban az a router már nem lenne a hálózaton, az újhoz amit odarakok, pedig majd sok szerencsét.

De pontosan hogyan kerültünk a lakásomba, amikor pont azt mondtam, hogy nem jó analógia?

Mindjárt gondoltam, hogy amint téged is érint az analógia, onnantól már nem jó... Amíg más faszához vered a csalányt, addig fun, ahogy a tiédnek is köze van hozzá, már nem.

--
trey @ gépház

Pont arrol beszeltem, hogy az otthoni rendszer analogiaja rossz erre az esetre, de latom, nehezen megy a leszakadas rola.
Ezen kivul ugyes csusztatas egyenloseg jelet huzni a hiba jelentese es valakinek az ezzel valo megzsarolasa koze.
Miert nem irtal mindjart egy gyilkossagos analogiat, hogy meg kozelebb legyel a sajat igazadhoz?

Amugy meg is fordithatjuk a kerdest: pontosan mi lenne a celja ezeknek a pereknek? Hogy peldat statualjanak?
Komolyan azt hiszi barki, hogy igy majd az igazi feketekalaposok, akik tenyleg kart akarnak okozni, majd ketszer is meggondoljak, hogy probalkozzanak? Vagy megis mire jo ez?

Még érdekesebb kérdés, hogy az önjelölt pentersterkedésnek mi a célja. Az egy dolog, hogy valaki véletlen felfedez egy hibát. Amikor valaki szándékosan kezdi el keresni a hibát ott már nagyon vékony a jég a black és a white hat között.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

"Amikor valaki szándékosan kezdi el keresni a hibát"

22 éves sebezhetőséget foltoztak be az X Window Systemben

https://www.hwsw.hu/hirek/51577/x-windows-system-x-org-biztonsag-sebezhetoseg-nyilt-forras-unix-linux.html

Komment
Tiszta szerencse, hogy jelenleg egy jóindulatú biztonsági tanácsadó tárta fel a dolgot, és ezen kívül vagy 120 egyéb hibát az utóbbi pár hónapban csak az X.org Serverben. Csak ez volt az elsõ biztonsági szempontból igazán kritikus, de Van Sprundel jellemzése szerint az egész X Window rendszer katasztrófális módon van megírva, a GLX-nek - az X Windows OpenGL kiterjesztésének- a forráskódja pl nem más , "80.000 sor tiszta horror ".

És ez milyen relációban áll azzal, hogy találsz egy random rendszert, aminek se a kódját nem látod, de nem open projekt, és elkezded feltörni azzal, hogy ott egy open source projekt, hogy tessék, csináljuk közösen?

(Amúgy meg AFAIK az eddig is köztudomású volt, hogy az X kódja egy trágya, egyrészt ezért (is) született egy-két projekt, hogy leváltsa idővel.)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

[]"Aki nem bassza szét a rendszered, bár megtehetné, de ő jóindulatból szól"

Nagyon jó lenne, ha az ITs jogászok megalkotnának egy eljárásrendet, ami minden fél érdekeire és felelősségére tekintettel van! Az auditálás mellett is találhat egy gimnazista valami hibát és akkor nem az ő etikai/jogi érzékére kéne bízni, h ilyenkor mit kell tennie! És jó az az elgondolás (http://www.cert-hungary.hu/anonim-bejelentes), h a helyzet kezelését egy harmadik félre (mediátor) kell bízni, aki felett hatósági kontroll van. Szóval kell egy bejelentő hely, ami átveszi a folyamat menedzselését. Akceptálandó érdeke a bejelentőnek, h a lehető legteljesebb mértékben tájékoztatást kapjon az ügy menetéről, időpontokról milyen magatartástól kell tartózkodnia stb miközben a kiléte fedve maradjon az érintett előtt. (Általánosságban ha találok az élet területén egy olyan hibát ami veszély forrása lehet, és miután jelzem az illetékesnek és továbbra is azt tapasztalom, h nem történik változás akkor természetes és jogos igényem h magyarázatot kapjak a miértre.) Problematikus eleme az eljárásnak, hogy a költségek az érintettre való terhelése akkor lehetséges, ha maga az érintett is elismeri a hiba valóságát. Továbbá a közérdek megkívánhatja a hiba kerüljön publikálásra -abból a célból és mértékben, h legyen elérhető nyilvántartás arról, hogy mely cégek/entitások informatikai rendszerével vannak ilyen jellegű problémák (szégyenfal). Végül a bejlentőt pedig jutalmazni kellene valahogy, olyan rendszert kell kialakítani h megérje bejelentőnek lenni.

Jó vicc. Ha cégvezető lennék, eléggé idegesítene, hogy más sokkal előbb szerez tudomást a cég biztonsági réseiről.

Különben, nagyon egyszerű lenne a dolog. Ha valaki ilyet talál bárkinél, jelzi 2 napon belül, amiért a cégtől akár megfelelő díjazásra is igényt tarthatna. Innentől a cégen és a hiba megtalálóján múlik a továbbiak sorsa. Ha a cég nem partner és ki sem javítja a hibát, úgy be kellene jelenteni egy megfelelő állami szervnek, aztán a cégtől és a hiba jelentőségétől (másoknak is kárt okoz-e) függően kiszabnának egy elrettentő büntetést a cég részére.

Egyszerűen nevetséges amit az ügyészség művelt a kérdésben. Egy felelős állam a saját állampolgárai érdekét védi a cégekkel szemben és nem fordítva.

Szerintem addig, amíg nem okoz kárt (szolgáltatáskiesés, adatvesztés, stb.). Akár beszél róla, akár nem.

Számomra ha etikus heckerről van szó, akkor csak az első opció jöhet szóba.
A többi a bug vadász kategóriába tartozik szabadúszó minőségben.

A Project Zero csapatot hova tennétek? Mert alapvetően a "Felkérés nélkül vizsgálódik, az első talált hibát jelzi a cégnek majd türelmi idő után nyilvánosságra hozza." mondat szellemében működnek.

--
https://iotguru.live

Oda, hogy a jog rájuk is vonatkozik. Másrészt továbbra is vallom, a türelmi idő felkérés nélkül nem más, mint nettó zsarolás.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Eddig nem láttam, hogy bilincsben vitték volna el a projekt tagjait, szóval eléggé esélyes, hogy ez a fajta tevékenység jogszerű.

--
https://iotguru.live

Gyanítom országja, jogrendszere vállogatja. Meg a végrehajtás módja.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Szerinted mi az etikus lépés, ha valaki Némethné és társa 2000 Bt. egyik weboldalán észreveszi, hogy pl. a jelszavakat kliens oldalon validálja belépéskor? Megvárja, amíg egyszercsak úgy döntenek, hogy valakit felérnek arra, hogy auditálja a rendszerüket?

Szólnak nekik. Onnan kezdve nem az ő dolguk.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Válasz: A mi rendszerünkkel soha nem volt semmi baj, így biztosan tökéletesen biztonságos. A rendőrséghez fogunk fordulni, ha a továbbiakban is hekkerkedik! Fejezze be az illegális tevékenységet!

És akkor ennyi?

Innentől kezdve nincs értelme az IT biztonságra költeni. Sokkal egyszerűbb, ha nem csinálunk semmit, mert aki talál valami hibát azt majd jól bepereljük, mert mi nem kértük fel, hogy kutatgasson mindenfelé!

Akkor fussunk neki még egyszer: az, hogy egy bizonyos idő után önhatalmúlag elkezded publikálni a nem ismert lyukakat, az sehogyan sem segít az usereken. Az, hogy itt néhány hupu úgy gondolja, hogy mindent pikk-pakk el lehet intézni két hónap alatt az csak annyit jelent, hogy nem volt még ügyfelekkel dolga. Fentebb hoztam példát, hogy mibe fájt egy - nem security jellegű - API módosítás egy bizonyos piacon és meddig tartott végigverni.

Az ilyen "akkor fosok bele és publikálom" dolgok két dologra jók:
- zsarolásra
- önjelölt bughunter egójának növelésére.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

És talán még arra is jó, hogy a vendor felemelje a seggét. :)
Mert ugye attól, hogy egy lyuk nem közismert még lyuk marad (amit bármikor megtalálhat akár egy kevésbé etikus hacker is amitől aztán baromi boldogok lesznek ám a userek :))

Nem mindig a vendor a probléma. Említett esetnél pont a vendor volt az, aki változtatni akarta az API-t, csak mindenki más nem.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

De azt írtad nem biztonsági okból kellett változtatni rajta. :) Arra nem térnék ki, hogy szerintem milyen API az amit biztonsági okokból kell olyan szinten újratervezni, hogy megérzik azok akik használnák. :D

Elég, ha csak változtatsz az autentikáció módján. Máris egy breaking change.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

De ha az zsarolásnak számít, hogy 2 hónap múlva publikálod, akkor mi fogja arra rávenni a céget, hogy javítson egy hibát pl. egy 10 éves legacy rendszerben?

Édesmindegy. Jobb esetben önerőből megteszi. Rosszabb esetekre meg vannak/kellene, hogy legyen megfelelő szervek (Pl. ilyen itthon a GovCERT, adatvédelmi törvények, stb.).

De nem egy önjelölt bugvadász feladata önbíráskodni és zsarolgatni egy céget. (Vagy tőlem lehet, csak akkor meg ne is akarjunk olyat, hogy jogállam, mert minek, ha mindenki telibe foshatja a törvényeket.)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Én megkülönböztetném a követendő eljárást a termék használója szerint.
- Olyan céges alkalmazások esetében (pl. ebank rendszer), ahol feltételezhető, és elvárható egy hozzáértő üzemeltető csapat megléte, ott a publikálás, kérés nélküli tesztelgetés* erősen megkérdőjelezhető. Viszont az ilyen üzemeltetőktől elvárható a vizsgálatok megrendelése, elvégzése.
- Ahol viszont a laikus felhasználó is tipikus ( pc oprendszer, böngésző) ott a kéretlen tesztelésnek is van helye, illetve még talán egy határidőhöz kötött publikálás is belefér ( de ez elég vékony jég)

A hibával fenyegetőzés, zsarolás szerintem egyértelműen a bűnözés kategória. Ne feledkezzünk meg a firkászok felelősségéről sem.

* én eléggé életszerütlennek érzem a "véletlen" hibára bukkanást

Felkérés nélkül nem nyúlunk más holmijához, az nem fér bele az etikusság kereteibe.

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.

Az az etikus hekker akit a liberalisok kikialtanak annak es/vagy a zorban rendszer uldoz amellett hogy profi szamitogepes.
------------------------
uint8_t *data; // tipussal megszorozzuk az adatot. wtf?

:DD

Security by NER ? XD

'Az érintett autók számát, az "a" változót összeszorozzuk a hiba százalékos előfordulási esélyével, "b"-vel, és az átlagos kártérítési összeggel, "c"-vel. a*b*c. Egyenlő x. Ha x kisebb, mint a visszahívással járó költség, nem intézkedünk.' (Harcosok Klubja)
Cég oldalról valahogy így gondolkodhatnak :)

Az etikus hacker szerintem tudja, hogy mi áll jogában és mi számít rendeltetésszerű használatnak. A vizsgálódás már nem az, hisz azzal a céllal csinálod, hogy lásd, vajon összeomlik-e a rendszer... ugyanakkor, ha gyanakszol rá, hogy egy cég akár emberéleteket veszélyeztető szoftverhibát nem hajlandó javítani, nyílvánvaló, hogy etikai szempontból kötelességed vizsgálódni - persze kizárva azt, hogy Te magad is emberéletet veszélyeztess. Optimális esetben persze a hatóságok a gyanakvástól kezdve átvennék és kivizsgálnák az ügyet... egy ideális világban :)

Bizonyíték nélkül persze nehéz feljelentést tenni. Nem tudom, hogy a jogban igazából hol vannak a határok és mi számít megfelelő eljárásnak bizonyítékgyűjtés céljából. Remek oktatási rendszerünk nyilván kihagyta ezeket a kis apróságokat az alaptantervből annak idején mikor én tanultam... manapság hittan helyett lehet választani erkölcstant. Jó lenne azt hinni, hogy némileg jogi kérdésekre is kitérnek ennek keretében.

Szerintem az, hogy csak érvényes szerződéssel rendelkező pentestert tekintünk etikusnak olyan korlát, ami mindenkinek káros.

Sokkal hasznosabb lenne, ha egyébként a gyártó által megrendelt pen testingen kívül, minden komoly gyártó üzemeltetne bug bounty és / vagy vulnerability disclosure (ez a bounty nélküli változat) programot, ahol a programban lefektetett szabályokat betartó etikus biztonsági szakember (csakazértsem fogom hackernek hívni, én még a hacker howton nőttem fel...:) ) jogi védettséget kap. Ez egyáltalán nem egyértelmű a jelenlegi gyakorlatban, szakirodalom: https://www.usenix.org/node/208178

Ilyen szavazati opció nem volt, ezért nem szavaztam.

(x) Az etikus hacker szóösszetétel egy oximoron

:)

Az az etikus cracker ;)