- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Mobil flották
- Csak semmi szimmetria: flegma dizájnnal készül a Nothing Phone (3)
- A sógorokhoz érkezik a kompakt Vivo X200 FE
- Honor 400 - és mégis mozog a kép
- Vivo V50 5G - új is, nem is
- Samsung Galaxy S25 - végre van kicsi!
- Honor Magic6 Pro - kör közepén számok
- Milyen okostelefont vegyek?
- Bemutatkozott a Poco X7 és X7 Pro
Új hozzászólás Aktív témák
-
bambano
titán
te még mindig nem akarod érteni a tényt, hogyha lett volna szerződése, az kizárja, hogy a govcerthez forduljon.
"mert valszeg szerződése volt, ami kizárta, hogy másnap feljelentést tegyen a govcertnél.": nemcsak a másnapi, a bármikori feljelentést is kizárta volna. ezt kellene megérteni.
vagyis abból, hogy a govcerthez fordult, következik, hogy nem volt szerződése. mint ahogy ezt egyébként azóta el is mondta, te is elolvashattad volna. szerintem ne kapálózz tovább, csak mélyebbre ásod magad.
-
borg25
senior tag
Boccs, de te reflektáltál így a 45-ös hozzászólásodban:
"tobb mint 90 napot vartam mielott megkerestem a govcert-et.": ha 90 napig hagytad, hogy hozzáférjenek személyes adatokhoz, akkor te sokkal inkább bűnös vagy, mint a tini, akit fikázol. a govcertet azonnal megkereshetted volna, amikor kiderül a hiba, akár még a webhelyet üzemeltetők előtt.
remélem azóta olvastad a gdpr-t, amiben vannak erre határidők.
Én erre írtam, hogy nem valószínű, hogy másként is eljárhatott volna, mert valszeg szerződése volt, ami kizárta, hogy másnap feljelentést tegyen a govcertnél. Vagy ha megtette volna, és elterjed a híre, akkor nem nagyon kapott volna új megrendelést, mert talán amit a cégek jobban utálnak annál, ha hackerek vájkálnak az üzleti rendszerekben, az ha ezt egy hivatal teszi úgy, hogy még egy zaftos bírságot is hagy maga után.
-
0xmilan
addikt
én meg nem feltételezem, hogy szerződés alapján végzett éles rendszeren biztonsági teszteket, majd az eredményt felnyomta a govcertnél.
Duh. Ha van szerzodes, akkor a reportot oda kuldod, akivel a szerzodest kototted.
Kb. olyan szitut kell elkepzelni, hogy rakeresel egy webshopban a " Levi's "-re, mert farmert szeretnel venni es az aposztrof kiakasztja az oldalt es dob egy sql error uzit. Sokszor nem kell kulon keresni; van, hogy teged talal meg a bug. -
borg25
senior tag
Megértem amit mondasz. De nekünk akkor sajnos volt egy infótörvényünk, ami céljától függetlenül bármilyen hacker tevékenységet, bűncselekménynek minősített. Ez alól egyetlen kivétel az volt, ha téged írásos szerződéssel megbíztak egy etikus hackelésre.
Hogy mért így volt leszabályozva, arra tavaly mondtak egy példát:
Tegyük fel, hogy te pénz szerzés céljából meg akarod hackelni a helyi bank informatikai rendszerét. Sajnos nem vagy elég körültekintő, és rájössz, hogy lebuktál, vagy legalábbis hagytál magad után egy nyomot ami alapján le fogsz bukni. A pénzt még nem utaltad át a Kuala Lumpuri számládra. Ha az előre nem egyeztetett etikus hackelést a törvény nem büntetné, akkor megtehetnéd, hogy kalapot váltasz, és írsz egy levelet, hogy Hóhó bank, vigyázzatok, sérülékenyek vagytok, karitatív munkában kiszúrtam nálatok egy hibát, s x év letöltendő helyett x jutalmat kapsz. -
#52
Bluesummers
őstag
BKK - Nem tesztelték le előtte rendesen, így az alapvető hiba, hogy az embereknek odatolnak valami nesze neked semmi, fogd meg jól dolgot.
Az itteni HA sokkal profibb mint az a felület volt. A bug-report hozzállás is.
1 óra igenis sok.
Én bug-jelentésre sem méltatnám a céget, tudván milyen a lehetséges hozzáállás.
Inkább ne csináltak volna semmit, vagy tovább, de azt rendesen. -
Chaser
legenda
a sajtóhoz ment, innentől kezdve bárminemű rossz szándékot feltételezni alaptalan
hovatovább ha rossz szándékkal tette volna, akkor is csak azért ment volna neki mert balf@szok "munkájával" játszott, nem programozókéval, az egész banda egy minősíthetetlen pffffffffffffff kategória, őket kellene bíróság elé állítani, nem egy gyereket -
borg25
senior tag
Írta, hogy 90 napot várt. Ez szerintem megfelel a "józan ész alapján tegyen bejelentést" elvnek. Általában ennyi idő után szokás a feltárt sérülékenységet nyilvánosságra hozni. Ő jelezte a hatóságoknak.
Én olyat olvastam, hogy az engedély nélküli hackelést az infotörvény bünteti. Ezért nem is csinálnám hobbi célból, csak, hogy megkereshessem a céget, hogy bénák vagytok, én meg ügyes. Ha nem vagyok kellően körültekintő és anonim, akkor egy ilyen bejelentés után teljesen törvényesen ugrálhatnak át a rendőrök hajnali 4kor a kerítésemen.
Igazad van, ne legyünk jóhiszeműek, hogy szerződés/felhívás alapján járt el, viszont írta, hogy szólt a govcertnek.
Viszont a Govcertes bejelentés is szó-szó. Most így elolvasva, ők
a magyarországi kommunikációs hálózat
állami/önkormányzati intézmények
állami/önkormányzati (rész)tulajdonú vállalatok
stratégiai fontosságú vállalatok
esetén illetékesekIlletve (önként) vállalták, hogy ezen a körön kívüli intézményekre vonatkozó biztonsági incidens bejelentéseket is fogadnak, és azt továbbítják az érintett szervezet felé. Az mondjuk érdekelne, hogy ki ez a szervezet?
pl. Nagymami Bt weblapja esetén a Nagymami Bt-nek szólnak ők is, vagy szólnak a rendőrségnek is, naih? Vagy NSA-hoz hasonlóan építik a tudásbázist, hogy kell betörni a Nagymami Bt weblapjára?Ha személyes adathoz nem lehet hozzáférni, akkor nem tudom, hogy egy ilyen bejelentés mit ér?
-
bambano
titán
"Te hol olvastad milangfx írásában, hogy az eset a GDPR életbe lépését követően, 2018.05.25 után történt?": te hol olvastál olyat, hogy a gdpr 2018. 05. 25. után lépett életbe?
te hol olvastál olyat, ami kizárja, hogy a gdpr előtt más törvény rendelkezése alapján is kötelező lett volna bejelentenie?
te hol olvastál olyat, ami kizárja, hogy a józan ész alapján tegyen bejelentést?"Feltételezem, hogy nem önként törpként kereste a hibát a rendszeren, mert az hazánkban bűncselekmény. Ha meg valami keretében, akkor gondolom arra vagy kiírás volt, ahol leírták a szabályokat, vagy volt egy szerződés, aminek talán volt egy titoktartási nyilatkozat része is, ami leszabályozta, hogy mennyire ugrálhatott.": én meg nem feltételezem, hogy szerződés alapján végzett éles rendszeren biztonsági teszteket, majd az eredményt felnyomta a govcertnél.
-
borg25
senior tag
Te hol olvastad milangfx írásában, hogy az eset a GDPR életbe lépését követően, 2018.05.25 után történt?
Feltételezem, hogy nem önként törpként kereste a hibát a rendszeren, mert az hazánkban bűncselekmény. Ha meg valami keretében, akkor gondolom arra vagy kiírás volt, ahol leírták a szabályokat, vagy volt egy szerződés, aminek talán volt egy titoktartási nyilatkozat része is, ami leszabályozta, hogy mennyire ugrálhatott. Nem túl jó példa, de ha könyvelő vagy, s mondod az ügyfélnek, hogy adót csalt, és illene javítani az adóbevalláson, akkor ha 1 hónap múlva nem csinált semmit, akkor se nyomod fel a NAV-nak.A BKK-s botrányban pedig a srác tényleg nem volt egy szent. Amit vele tettek, az tényleg bicskanyitogató, nem kellett volna feljelenteni, a rendőrségnek így eljárni. Elhiszem, hogy a jó szándék vezérelte, s nagy tehetsége van hozzá, de érdemes lett volna, ha nem csak a hogyan hackeljük weblapot faq olvassa el, hanem, a hogyan jelezzük a bugokat faq is. Elvégre ha jó szándékú az ember, akkor azért próbálja meg hackelni a weblapot, hogy a hibát jelezhesse, szóval, ezért illene előbb azt elolvasni...
Viszont jó, hogy mondod, hogy ilyen esetben mielőtt az ember aláírná az etikus hackelésről szóló szerződést jelezze, hogy ácsi, gondok vannak, mert a GDPR is szabályozza, hogyha valamit találok, és az személyes adatot is érint, akkor azt nekem x napon belül az állam felé is jeleznem kell.
-
bambano
titán
"tobb mint 90 napot vartam mielott megkerestem a govcert-et.": ha 90 napig hagytad, hogy hozzáférjenek személyes adatokhoz, akkor te sokkal inkább bűnös vagy, mint a tini, akit fikázol. a govcertet azonnal megkereshetted volna, amikor kiderül a hiba, akár még a webhelyet üzemeltetők előtt.
remélem azóta olvastad a gdpr-t, amiben vannak erre határidők.
-
Chaser
legenda
egy értelmes világban kapott volna egy szép egyszeri prémiumot, a "programozókat"/céget pedig azonnal kirúgják, természetesen a kifizetett pénzt vissza kell adniuk, kamatostól, és legalább ennyit kártérítésnek a bohóckodásért
nehogy már egy gimnazista legyen a hunyó ilyen b@lfaszok miatt, már elnézést
az megint gyönyörű, h te is találtál itt ahogy szavaidból kivettem kritikus hibát, és hónapok múlva javították...bazzzz, álljon rá mindenki azonnal a javításra aki kompetens benne, vagy állítsák le a fenébe a servert ha nagyobb a gond -
hallador
addikt
Ezt elhiszem neked, és tiszteletre méltó, az viszont nem, hogy megcsinálnak egy rendszert a 90'-es évek neo kádár rendszer felfogásával 201x-ben, amikor a kiber biztonság alapvető követelmény, majd ha ezt egy gimnazista, aki mondhatni próbálkozott és 0 szaktudással is képes lett volna lehúzni az állam bácsit, akkor erre mit lehet mondani? Nem nem volt hibás olyan értelemben, hogy magyarosan szart adtak ki a kezükből, majd utána tátogtak, hogy ez hackelés volt. Volt a francot nem volt hackelés. Csak a segghülye magyar, szocializmus szabadult virág elvtársak nem a valósággal próbálják értelmezni a jelent, hanem tekintélyelvűséggel, ezzel csak az a baj, hogy a gimnazista srácnak nagyobb a tekintélye mint BKK, meg a T sz@rt@m állailag támogatott pénznyelő cég bástya elvtársainak.
Erről mondjuk senki nem beszélt még, hogy 201x-ben ilyen munkát nem adunk ki a kezünkből.+ a tobbiek semmitmondo, szemelyeskedo hozzaszolasaira reagalva.
Melyik része volt személyeskedés?
Az, hogy egy ország minden szempontból úgy működik, mint hogy sikkasztásra, kéz kezet fog haveri pénzosztásra van berendezkedve, (ugye nem véletlen, hogy az ITSH letagadja a magyar T-t, mert monjuk igaza is van, aki ismeri a hátterét tudja is.)
Na Ha szerinted, teljesen mindegy legyen biztonság technikai szempontok szerint ez így rendben van, akkor szerintem teljesen mindegy milyen kiváló szakember vagy, máshol keresendő a hiba....
Azért azt úgy Te is beláthatod, hogy mint szakember, hogy a nagy cégeknél ez bizony így működik, a magyaroknál meg jönnek a f@... lógató idióták és megmondják a frankót, mert ugye, a félelemre épített rendszer azért jó, mert akkor nem kell fizetni, nem kell halaldni és semmit nem kell csinálni ami előre vinné Magyarországot... Ja hogy ez nem cél, na látod, akkor most tulajdonképpen hibás a srác, hát milyen szempontból nézzük... Az még jobb ha az emberek nem önállóak, mert akkor még irányíthatóak is...
Ha ilyen szempontól ja semmitmondó... Kérdés mi a cél végül is igazad van,,,
-
0xmilan
addikt
ismét feldobom a kérdést: ki mást kellett volna megkeresnie?
(most dobod fel eloszor)
En spec. az indexnel egy fokkal hivatalosabb szervet valasztottam volna, pl. cert-hungary.hu. Sikerult mar rajtuk keresztul javittatnom SQLi-t, amire addig nem volt hajlando a ceg, amig csak en piszkaltam oket. Hozzafertem szemelyes adatokhoz, tehat nem valami ostoba "404 content injection" szeru hiba es tuleltem cirkusz csinalas nelkul, sot, tobb mint 90 napot vartam mielott megkerestem a govcert-et.De ez mar reszletkerdes.
Felolem megkereshet barkit, HA kiderult, hogy semmi hajlandosagot nem mutatnak a hiba javitasara. Ennek az eldontesere "nagyságrendileg egy-két óra" egyszeruen nem eleg. Pont. Ez kb. annyi ido, hogy elment mindenki ebedelni meg utana engribordzozni egyet a wc-re. Nem tudod, hogy azert nem valaszolnak, mert nem lattak, vagy azert, mert nem akarnak vele foglalkozni. Ez a fo problemam az egesz storyban. -
dabadab
titán
"Nem emlekszem pontosan, azert kerdezem. Mennyi ido telt el a bkk-s noreply cimre kuldott email meg az index megkeresese kozott?"
Nagyságrendileg egy-két óra, most hirtelen én se találtam sehol a konkrét időpontokat - mindenesetre bőven elég ahhoz, hogy valaki reagáljon rá legalább egy "olvastuk, nézzük" választ.
"Amugy a zindex ujsagiroja ugyanugy lehet retardalt, mint barki mas. Foleg ilyen szakmai kerdesekben."
De nem volt az, meg ismét feldobom a kérdést: ki mást kellett volna megkeresnie?
-
0xmilan
addikt
define 'nem hajlando reagalni'.
1 oran belul? 12 oran belul? 2 napon belul?
Vagy honnantol szamitjuk, mert szerintem ez itt a kulcs kerdes.
Nem emlekszem pontosan, azert kerdezem. Mennyi ido telt el a bkk-s noreply cimre kuldott email meg az index megkeresese kozott?Amugy a zindex ujsagiroja ugyanugy lehet retardalt, mint barki mas. Foleg ilyen szakmai kerdesekben.
Raadasul az ujsagironak a celja, hogy minel elobb generaljon egy clickbait cikket es altalaban nem erdeke varni es kideriteni, hogy pontosan mi a szitu. -
dabadab
titán
"A jozan esz nekem azt diktalna, hogy a hibat nem adom ki harmadik felnek, amig azt ki lehet hasznalni - illetve amig nem kaptam valaszt az egyetlen erintettol, aki erdemben barmit tud kezdeni a hibaval."
Az egyetlen érintett egészen egyszerűen nem volt hajlandó reagálni, így aztán a srác azt az - egyébként teljesen okos és védhető - döntést hozta, hogy akkor rábízza az ügyet az ország legnagyobb lapjának az újságírójára, mert ők csak tudják vagy ki tudják találni, hogy mit kellene ilyenkor tenni.
-
#35
0xmilan
addikt
PR0JECTNR56
#32
0xmilan
addikt
válasz
PR0JECTNR56
#32
üzenetére
A fiatalember reakciója pedig inkább volt egy tapasztalatlan, de segítő szándék, semmint előre megfontolt gonoszságból kitervelt lejáratás.
Nem mondtam, hogy megfontolt gonoszsag vezerelte. Ugyanakkor ha jol remlik, meg egy valaszt se vart mielott "publikalta" a hibat, tehat nem kifejezetten a ceg erdekei voltak szem elott. Nagyon megorult, hogy talalt valamit es nem tudta magaban tartani.
(#33) bambano
egy ilyen jellegű hibánál nem az az első lépés, hogy megjavítsák, hanem az, hogy leállítsák az összes veszélyeztetett rendszert.Az emlitett ph-s bug eseteben sem az volt a megoldas, hogy leallitjuk az egesz lapcsaladot. Ez nem mindig megoldas.
Ettol fuggetlenul nem vitatom, hogy elerte a celjat, de egy valaszt minimum megvartam volna, hogy 'kosz, egybol javitjuk vagy leallitjuk'. Nem ~2 ora a timeout, mielott boritjuk a bilit.(#34) dabadab
Ez szerintem nem kifejezetten szakmai protokoll, hanem jozan esz, ahogy mondod.
A jozan esz nekem azt diktalna, hogy a hibat nem adom ki harmadik felnek, amig azt ki lehet hasznalni - illetve amig nem kaptam valaszt az egyetlen erintettol, aki erdemben barmit tud kezdeni a hibaval. -
dabadab
titán
"1 napot nem hagyni az erintettnek, hogy javitsa a hibat es egybol leakelni a sajto fele enyhen szolva nem responsible disclosure."
Ehhez azért illik hozzátenni két dolgot:
1. gimnazista srác volt elég minimális IT szaktudással és ő is észrevette a hibát, tehát nyugodtan mondhajtuk, hogy nagyon szem előtt lévő lyuk volt, olyan, amit nem szabad hagyni napokig tátongani
2. gimnazista srác volt elég minimális IT szaktudással ezek után mindenféle szakmai protokollokat számonkérni rajta elég hülyén veszi ki magát - azt tette, amit a sima józan ész diktált -
bambano
titán
egyrészt nekem nem hiányzik, hogy a topicrégészek kiássanak egy ezer éve 500x megcsócsált topicot.
másrészt te kevered az azonnali vészhelyzet-elhárítást a megoldással.
egy ilyen jellegű hibánál nem az az első lépés, hogy megjavítsák, hanem az, hogy leállítsák az összes veszélyeztetett rendszert. arra pedig egy jól felkészült rendszergazdának 1-2 perc is elég. -
#32
PR0JECTNR56
addikt
0xmilan
#31
PR0JECTNR56
addikt
Ilyen jellegű hibáért, a jelenlegi munkahelyemen, már testrail fázisban is megfontolnák az illetők azonnali kirúgását, éles release-t követően pedig habozás nélkül feláldoznák őket idegen isteneknek rituális keretek között.
Ez a minőségbiztosítás legalja volt, gyakorlatilag zendülés kategória, ami IT biztonság szempontjából elkövethető. A fiatalember reakciója pedig inkább volt egy tapasztalatlan, de segítő szándék, semmint előre megfontolt gonoszságból kitervelt lejáratás.
-
0xmilan
addikt
+ a tobbiek semmitmondo, szemelyeskedo hozzaszolasaira reagalva.
1 napot nem hagyni az erintettnek, hogy javitsa a hibat es egybol leakelni a sajto fele enyhen szolva nem responsible disclosure.
Ezt egyaltalan nem igy szokas csinalni. Mondom ezt ugy, hogy voltam hivatasos "etikus hacker" / kiberbiztonsagi tanacsado, stb. es most is security teruleten dolgozok, bar nem offensive vonalon. Nem hasrautesszeruen nyogtem be a velemenyem.szerk. A prohardveren talaltam anno olyan hibat, amivel az egesz fiokodat eleg konnyen ellophatnam, es ennek a javitasara honapokat kellett varni, nem 3 napot. Valoszinuleg nem orultel volna, ha masnap irok rola egy logout posztot es a verpistikek meg jol kihasznaljak.
Errol terveztem irni valamit - ha lezso is engedi - es benne lesz egy timeline, hogy mennyi ido telt el a report es tenyleges fix kozott. Meglepodnel. -
hallador
addikt
Már ha a magyar igen pofátlan és undorító Európában egyedülálló képmutatást, irigységet, és rosszindulatot nézem, akkor igen igazad van, ha pedig azt nézem, hogy a való világ és azok az erkölcsi normák hogyan működnek, amik a világot előrevitték, akkor meg nézz magadba egy picit...
-
#24
Sweet Lou 6
addikt
Shodan
#18
Sweet Lou 6
addikt
-
#16
PR0JECTNR56
addikt
PR0JECTNR56
addikt
Maximálisan a megérdemelt helyen vannak, ténylegesen az egyik leghitványabb reakció volt egy amúgy is csorvasz himpellér attitűddel elővezetett rendszer szerecsenmosdatására.
-
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
Hirdetés
- Formula-1
- Kerékpárosok, bringások ide!
- Nyomtató topik
- EA Sports WRC '23
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Milyen asztali (teljes vagy fél-) gépet vegyek?
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- BestBuy topik
- Mobil flották
- Teljes verziós játékok letöltése ingyen
- További aktív témák...
- Dell Latitude 7390, 13,3" FHD IPS , I5-7300U CPU, 16GB DDR4, 512GB SSD, WIN 11, ( olvasd végig )
- Acer PREDATOR HELIOS NEO 16 / i9-14900HX / RTX 4070 (140W) / 1 TB SSD / 240HZ
- Topping A70 Pro fejhallgató erősítő
- Topping D70 Pro Octo DAC
- Egyedi PC összeszerelés Tökéletes színséma, prémium kábelmenedzsment, alkatrészfestés!
- Lenovo Thunderbolt 3 kábel (4X90U90617)
- Eladó ÚJ, BONTATLAN Samsung Galaxy A05s 4/64GB ezüst / 12 hónap jótállással!
- MacBook felvásárlás!! MacBook, MacBook Air, MacBook Pro
- AKCIÓ! HP Elitedesk 800 G1 USDT mini asztali számítógép - i7 4770S 16GB RAM 128GB SSD Intel HD
- HPE Apollo 4200 Gen9 2U rack szerver, 1x E5-2620v4, 64GB RAM, 24x3.5" 2U-ban! ÁFA-s számla, garancia
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest