Új hozzászólás Aktív témák
-
mikoljan
tag
Oké, de mi van akkor, ha úgymond véletlenül jön rá, majd a kíváncsiság viszi tovább és megint megpróbálja, hogy tényleg az van, amit lát.
Én úgy látom, hogy itt nagyon vékony a mezsgye (ugye a szép magyar nyelvünk is tud csavarni a dolgokon), ráadásul sok magyar cég egyből rinyagépként viselkedik és hárítanak, majd beindul a kenés.
Ahogy olvastam, ennél az esetnél is elkezdődött a sumákolás, a lapítás a papír alatt.
Kíváncsi leszek, mert ultra szenzibilis adatok kerültek ki (gyerekekre vonatkozó egészségügyi adat, stb.), 1 hónapja tudnak az esetről. Remélem nem csak egy ejnye-bejnye lesz a "büntetés" a fejlesztőknek.- - - We Enter Into The Future - - -
-
Gargouille
őstag
Ez kétségkívül így lenne egy "normális" világban, de mint a jelen eset is rámutat, itt pont az történt, hogy a "vezetők" hanyagul és felelőtlenül (ha úgy tetszik etikátlanul) bántak a rájuk bízott állampolgári adatokkal (eszük ágában sem volt megtenni az alapvető biztonsági intézkedéseket, sőt...). Ha hinni lehet az információknak, akkor még a kompromittálódást követően sem azon fáradoztak, hogy etikusan és felelősen járjanak el, hanem inkább megpróbálták az egészet eltitkolni.
Hozzá teszem amúgy nem meglepő, mert ez az általános hozzáállás az üzleti világban is, ritka a kivétel.
Bár erősen szubjektív, de úgy gondolom, hogy itt jelen esetben megáll az etikus jelző a hekkereket illetően. Persze nem jogi, hanem erkölcsi értelemben.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
Pötyi
őstag
Ez így könnyen átmehet szóértelmező, jelentésvitató filozófiai vitába. Szerintem a szó klasszikus értelmében etikus hekker nem is létezik. Csak hekker van. Valami olyasmi ez, mint pld. a békéért harcolni. Tudom, hogy mit akarnak kifejezni vele, de ennyi erővel a terroristák által használt fegyver az rossz fegyver, a rendőrök fegyvere meg jó fegyver. Pedig ugyanaz a fegyvergyár csinálta mind a kettőt. Ééérted. Informatikai tudásból is csak egy van. Lehet variálni ezzel, hogy mire használja, jóra, vagy rosszra, de a tudás az abszolút érték. Nem lesz negatív, vagy pozitív, mint az Erő jó, illetve sötét oldala. Én így gondolom.
QNX is cool!
-
Lenry
félisten
Esetleg feljelentheted a céget
HAHAHHAHAHAHAHAHAHHA
mielőtt nagyon mélyen belemerülnétek a "mi etikus, mi nem" kérdéskörbe, vegyétek kicsit figyelembe a valóságot is.
ebben az országban - pláne állami körben - kizárólag akkor történik bármi, ha azt kikényszeríted.
mindannyian tisztában vagyunk, azzal, hogy mi történt volna egy "Tisztelt BRFK, találtam egy sebezhetőséget a krétában, így, és így és így. Aláírás, dátum"
semmi. kurvára semmi.látjátok, hogy közvetlenül a fejlesztőknek szólt 2 hónappal(!) ezelőtt, és jó kommunista módjára az összesnek az volt a reakciója, hogy hogyan kell eltussolni az ügyet.
most olyan törte fel, akinek nem az volt az első reakciója, hogy titkosítja az egészet és a Slack csatornára már csak a BTC tárcáját linkeli be, de a következő viszont majd ilyen lesz.
így most megvan az esélye, hogy esetleg, véletlenül, talán érdemi biztonsági intézkedések is történnek[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Shyciii
veterán
Gondolom akkor is ez lenne a véleményed, ha olyan rendszert törnek fel "etikus" hackerek, amiknek a tesztelésére nem kérték fel őket, mert vagy szarnak rá az üzemeltetők, vagy zsugorik, és amiben olyan személyes adataid, fotóid vannak, amit nem szeretnél ország-világ elé tárni, de a felkérés hiánya miatt soha nem lehetett biztonságban...
-
Pötyi
őstag
Aszondod: "A fejlesztő is akkor csinálhat valamit ha arra megbízást kap... illetve valaki azt kifizeti
Nem fog neked senki megbízás nélkül újraírni egy rendszert szerelemből, mellesleg nem is teheti meg."Azon morfondírozok, hogy mi van akkor, ha az eredeti megbízásban - tételezzük fel - az szerepelt, hogy írjon egy BIZTONSÁGOS rendszert. Az átadott rendszer biztonsági szintjét egy sikeres betörés kiválóan szemlélteti. Na, ilyenkor elvárható-e, hogy a programozó lesz szíves nullàról újraírni, INGYEN, hiszen az első verzió nyilvánvalóan nem teljesítette az előírt biztonsági elvárásokat...
QNX is cool!
-
nagyúr
-
Gargouille
őstag
"Magyarázza el valaki miért hasznos a társadalomnak ha ellopnak 250GB többségében személyes adatot... "
Nem az benne a hasznos, hogy
elloptaklemásoltak 250GB adatot hanem az, hogy ezzel rávilágítottak arra a tényre, hogy mennyire hanyagul és felelőtlenül kezelték az illetékesek a rájuk bízott kényes információkat. Az én gyerekeimét, a tiedét, a tanárokét....Azzal, hogy ezt megtették kvázi kikényszerít(het)ik, hogy ebben változás történjen. Ez lenne a haszon mindannyiunk számára, ez lenne az a bizonyos közjó. Tehát ugyanazon elv mentén hasznos, mint amikor mondjuk állami korrupciót, vagy bírói részrehajlást vagy mondjuk eltusolt molesztálást stb. hoznak nyilvánosságra, lepleznek le.
Az már egy filozófiai vita, hogy mi a fontosabb, a törvény betűje (amelyet végső soron nem csak a hacker, hanem az adatkezelők és adatfeldolgozók sem tartottak be), vagy pedig a magasabb rendű erkölcsi cél, hogy felelősségteljesebben kezeljék az adatainkat. Lehet felsorolni valid érveket mind a kettő mellett, de a magam részéről például ez utóbbit tartom lényegesebbnek.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
titán
Magyarázza el valaki miért hasznos a társadalomnak ha ellopnak 250GB többségében személyes adatot...
Erre nagyon sokrétű válasz van.
Ha nincs ellenőrzés, akkor sosem derül ki, hogy a rendszer hibás. Ha nem próbálják meg ellopni, akkor sosem derül ki, hogy ellopható. Márpedig ha ellopható, és mint kiderült az adatgazda egyetlen szándéka a nyomok eltüntetése, akkor könnyen lehet, hogy már ezer éve ki-be járkálnak mások, csak épp nem hagynak róla üzenetet. És ennek a társadalmi kára, illetve ennek a lehetőségnek a megakadályozásának társadalmi haszna nagyságrendekkel nagyobb, mint az adat letöltésének társadalmi kára.Az adat nem egy fizikai eszköz. Ha egy autót ellopnak, akkor azt a gazdája észreveszi. Az adat milliószor ellopható, és mégis megmarad az eredeti tulajdonosánál is.
[ Szerkesztve ]
evDirect villanyautós töltőhálózat
-
Shyciii
veterán
Nem, az állami rendszereknek van felügyeleti szerve aki állami megbízásra kellene hogy ellenőrizze ezeket a rendszereket, néhányakat ellenőriz/ellenőrzött is...Ilyenkor kapnak egy leírást elvárást hogy adott határidőre mit kell módosítani és hogyan...
Ez még egy jól működő demokráciában sem működik jól (lásd USA), nálunk autokráciában ez meg végképp nem működik, úgyhogy amit te mondasz az a szép előírt álom, max a tankönyvekben van így, a valóság viszont nagyon nem ez. Egy 5 éves rendszer nem szükségszerűen tartalmaz biztonsági réseket. Egy linuxos rendszer is lehet ilyen régi, mégis támogatott biztonsági patchek miatt, úgyhogy nem attól függ alapesetben, hogy milyen régi. -
"...A fejlesztő is akkor csinálhat valamit ha arra megbízást kap... illetve valaki azt kifizeti
Nem fog neked senki megbízás nélkül újraírni egy rendszert szerelemből, mellesleg nem is teheti meg..."Bocs, itt azert alljunk meg egy pillanatra, mert nagyon forditva ulsz a lovon. A fejleszto megbizast kapott, hogy fejlessze le a KRETAt. Mivel szemelyes adatokat tartalmaz, ezert azt ugy kell lefejlesztenie, hogy a torvenyi szabalyozasnak megfeleljen, beleertve a GDPR-t is, mivel ezt a magyar torvenyhozas adoptalta a magyar jogrendbe.
Ebbol kovetkezoen a torvenyi eloirasoknak megfelelo alkalmazas elkeszitese, vagy a meglevo modositasa ("patcheles") nem tartozik a kulon megbizasok koze, hanem eleve errol szolt a megbizas. Hogy a fejleszto erre magasrol futyult es kiadta a rendszer fejleszteset egy altalanos iskolasnak, az az o baja, nem mase. Kifizettek neki, a tavalyi eves netto arbevetele 12 milliard HUB volt - aligha hiszem, hogy a legyek hordtak ossze.
https://www.coreinfinity.tech
-
Megint a zoldsegek.
Attol, hogy behatoltal egy rendszerbe es ralatsz bizonyos adatokra/informaciokra, nem biztos, hogy azok tenylegesen is elerhetok. Pelda: a Bloodhound nagyon szepen kikopi Neked, hogy ilyen-olyan-amolyan AD group tagsagokkal eljuthatsz domain admin szintre egy halozatban - de ezt nem teszteli, csak annyit lat, hogy az account itt ebben a csoportban van, az a csoport annak a masiknak a tagja, ami egy harmadiknak es igy tovabb, mig eljut egy olyanhoz, ami elvileg domain admin jogosultsagokat biztosit. Azt viszont nem tudja, ha valahol van valamilyen mitigacios lepes, ami viszont meggatolja a sima domain usert, hogy megszerezhesse az emelt szintu jogosultsagokat - ezt maga a Bloodhound fejlesztoje mondta.
A Red Teaming is azert van, hogy effektive bizonyitani lehessen, hogy akar komplex, tobb szintu vedelemmel is ellatott rendszerek sebezhetoek-e. Minden nagyon szep, amig papiron van, de amikor a gyakorlatban bizonyitani kell, az egeszen mas teszta.
Egyes red teamerek odaig mennek, hogy felterkepezik, hol vannak a celpont korul kamerak, vannak-e vakfoltok, azokat ki lehet-e hasznalni, hogy bejussanak az epuletbe, ha bent vannak, van-e mondjuk almennyezet, amint atmaszva be lehet jutni bezart irodakba - es a lista vegtelen.https://www.coreinfinity.tech
-
-
BiP
nagyúr
akkor egy ehhez képest gyengébb képességű programozókkal rendelkező magyar cégtől mért várunk el hibátlan rendszert.
Mert egy olyan rendszerről van szó, aminek a használatára rá volt kényszerítve többszázezer ember, és rengeteg érzékeny adatot tartalmaz.
Ráadásul nem egy garázscéget kértek fel 2 tábla csokiért, hanem itt egy sokmilliárdos megbízásról van szó, az adófizetők pénzéből (tiédből, enyémből, stb), tehát elvárható egy szakmai minimum, amit nem sikerült teljesíteni. -
BiP
nagyúr
De sajnos mindig az üzemeltetőket veszik elő akik általában kész tények elé vannak állítva hogy ezt vettük ezt kell üzemeltetni...
Azért itt az üzemeltető is igencsak sáros. Mert a jogosultságkezelés az ő feladata, nem?
És az nagyon nincs rendben, hogy egy user vagy fejlesztő vagy kicsoda olyan jogosultsággal rendelkezik, hogy kvázi bármihez hozzáfér.
Az meg szintén nincs rendben, hogy felelős beosztásban beszopjon egy kamu levelet, ezáltal egy vírust, amivel meg tudták szerezni a jogait, amivel mindenhez hozzáfértek. Kívülről.
Majd az, hogy kívülről le tudtak szedni 250giga adatot úgy, hogy az üzemeltetésnek ez még csak fel sem tűnt.Szóval itt az üzemeltetést is el lehetne kaszálni, mert nem csak a kódban lévő tátongó lyukak itt a probléma.
-
-
joghurt
addikt
Nagyon elrugaszkodott, hogy egy ilyen kérésre az üzemeltetőnek alapból kellene írnia a NAIH-nak, hiszen az x. fokozatú védelem feltételei nem teljesülnek?
Némi túlzással jelentős insider job is kellett a behatoláshoz, hiszen az üzemeltető tisztában volt az ott uralkodó állapotokkal, és nem tett ellene semmit.A tej élet, erő, egészség.
-
BiP
nagyúr
hol ejtett el ilyet?
Mondjuk azzal, hogy publikálták a kódot, nagyon nem értek egyet. Hiszen ezzel újabb támadásoknak teszi ki a rendszert.
De az, hogy nyomást gyakorolnak/-tak a Kréta üzemeltetőre, fejlesztőire, hogy nagyon szar ez így, illetve hogy nem kellett volna eltussolni, az szerintem üdvözlendő.Úgyhogy szerintem még mindig keverék, nem jelenteném ki, hogy egyértelműen fekete. (jogilag persze fekete, de szándékot tekintve szerintem vegyes)
-
gregory91
senior tag
A kommentelők nagy része -ahogy olvasgatom - elment egy bizonyos részről: "A lapnak átadott dokumentumokból teljesen világos, hogy a jelentési kötelezettség betartása helyett először tanácstalanság uralkodott el, majd leginkább elkenni akarták a biztonsági incidens".
Látom te sem vagy kivétel.[ Szerkesztve ]
Remélem itt elfér - https://sites.google.com/site/geriprojekt/ - https://github.com/kgregoryan - Az ember téved,a gép hibázik.
-
BiP
nagyúr
Azonban ez egyáltalán nem menti fel a támadót. és nem igazolja a módszereit
És figyelembe véve a magyar rögvalóságot, ha a hacker nem megy el eddig, nem vet be ilyen módszereket, akkor szerinted történt volna bármilyen változás, javítás, belső ellenőrzés, javaslat a lyukak foltozására, az üzemeltetés biztonságosabbá tételére, a felhasználók/fejlesztők biztonságtechnikai edukációja?
Ugye, hogy semmi.
Sajnos ez legitimálja, hogy a változás elindítására radikális eszközök kellenek. De látod, még ilyen esetben is az eltussolás volt az első reakció. Ezért indult el a sakkjátszma. -
gregory91
senior tag
A "kérdéses" támadóban talán felmerült hogy jelentés ellenére nem járnának sikerrel.Azért cselekszik úgy ahogy.
Nem véletlenül írtam hogy ez egy sakk-játsza,mindkettő fél hibás valamilyen szempontból, bár az egyik fél felől még nem feltételezhető a rosszindulatú szándéka(ha tényleg kiszivárognak az adatbázisban lévő adatok az már kétség nélkül rosszindulatúvá válik).Az ezzel kapcsolatos hatályos törvény nincs rendesen kidolgozva(elég a jegyvásáros esetre gondolni).
Érdekességként: Egyes cégek jutalmazzák azokat akik biztonsági rést találnak a szolgáltatásukban(azok is "illetéktelenül" lépnek be a szolgáltatásba).[ Szerkesztve ]
Remélem itt elfér - https://sites.google.com/site/geriprojekt/ - https://github.com/kgregoryan - Az ember téved,a gép hibázik.
-
BiP
nagyúr
-
-
De, megvan a szükséges tudás, csak ők eleve nem kapnak ilyen megbízásokat, mert nem a haveri/családi körbe tartoznak.
Egyébként meg az egész folyamatnak véres a torka.
Requirement 1: törvényi szabályzás betartása.
Requirement 2: statikus és dinamikus tesztelés.
Requirement 3: belső és külső pentest.
Requirement 4: külső és belső code audit.Ez a minimum csak így hasraütésszerűen, nyilván lehet még tovább finomítani.
https://www.coreinfinity.tech
-
Új hozzászólás Aktív témák
- Horgász topik
- Gyúrósok ide!
- PlayStation 5
- A fociról könnyedén, egy baráti társaságban
- Projektor topic
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- Xiaomi 13T és 13T Pro - nincs tétlenkedés
- Nintendo Switch 2 vagy amit akartok (találgatós topik most még)
- Politika
- iPhone topik
- További aktív témák...
- Dell Precision 5680 i7 13850HX/64/2 RTX A1000 W11 magyar gyári , csak igényeseknek!
- Bontatlan HP EliteBook 845 G10 7L7U0ET 14,0 IPS, AMD Ryzen 5 7540U, 16GB RAM512GB SSD, Win 11pro
- HP EliteBook 840 G2 Core i5-5300U 8GB RAM 240 SSD Notebook
- HexGaming Custom PS5 Kontroller programozható gombokkal
- 3db kishibás irodai (multifunkciós) lézer egyben!