Hirdetés

  2. Fórumok
  3. Infotech
  4. Hackersiralmak
Keresés

Új hozzászólás Aktív témák

  • #112 MageRG addikt #19482368 #103
    Új Válasz #112
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    MageRG

    addikt

    válasz #19482368 #103 üzenetére

    "És mi lenne ha önjelölt emberkék nem azzal szórakoznának, hogy illetéktelenül, önkényesen neki essenek különböző rendszereknek?"

    Föl nem foghatom ezt a fafejű hozzáállást.
    Mi lenne ha a fejlesztők nem hagynának biztonsági réseket? Mi lenne, ha a cégek naprakészen tartanák a rendszert? Mi lenne ha a nagyapámnam áramszedője lenne?
    Sajnos együtt kell élni a realitással.

    A biztonsági tesztelés piszok költséges, óriási benne az asszimetria, és nagyon gyorsan avul.
    Ha bejön az utcáról egy csöves és lejelent egy sechole-t, akkor is a minimum, hogy megköszönik.
    Mert ingyen, szakmai kíváncsiságból végezte el azt a munkát, amiért pénzt kellene fizetni, az elmaradása meg még több pénzbe kerülhet a cégnek.
    Egy bűnöző nem fog szólni. Óriási hiba az önkéntes bejelentőket jogilag felelősségre vonni.

    Csak összehasonlítás képpen:
    Az USA-ban egy bírói balfogás miatt perelhetőek voltak azok, akik életmentés közben (vélt vagy valós) kárt tettek. Az eredményt el lehet képzelni: a segítségnyújtás elmaradása miatt többen haltak meg, mert az emberek így még kevésbé voltak érdekeltek beavatkozni.
    Azóta törvény van rá, hogy ne perelhessenek, ha újraélesztés közben eltöröd valaki bordáját.
    Talán nem ártana valami hasonló informatikai biztonság terén is...

  • #108 0xmilan addikt #19482368 #103
    Új Válasz #108
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    0xmilan

    addikt

    válasz #19482368 #103 üzenetére

    Amennyire eddig láttuk, a valóság kicsit különbözik. Nem csak az lehet etikus hacker, aki vizsgás, hanem anélkül is.
    Pontosan ez a probléma, hogy azok is annak vallják magukat, akik erre nem jogosultak.

    Adnek egy talalos kerdest. Szerinted etikus hacker az, aki a bug bounty platform toplistajan legalisan - de cert, vizsga es elozetes szerzodes nelkul - sok ezer dollart keres?

    "Nincs semmire garancia."Mire legyen?
    Látod, pont ez a különbség a valós etikus hacker, és az önjelölt között. És ezt nem akarja pár ember megérteni.

    Pontosan mi a kulonbseg?

  • #105 cog777 őstag #19482368 #103
    Új Válasz #105
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    cog777

    őstag

    válasz #19482368 #103 üzenetére

    Es egy kicsit a masik oldalrol is.. jelezven hogy egy parbeszedet (altalanosan nezve) mindenkeppen meger a dolog.

    Pontosan ez a probléma, hogy azok is annak vallják magukat, akik erre nem jogosultak.
    Botnet nem kerdez, nem ker jogosultsagot. Jon, ut, gyoz. Menedzsment vallat von. IT biztonsagra PONT nem volt eleg forras...

    Sok cég biztosít erre felületet, sőt lehetőséget add arra hogy regisztráld magad. És az általad feltárt hibákat jelezni tudjad. Ahol nincs erre lehetőség, értelemszerűen adja magát. Másfelől gondolod hogy egy webshop biztosítani fog neked ilyen felületet? Ugye érted ...

    már korántsem biztos hogy a rendszer hatékonyan tudd védekezni. Legfőképpen alacsony költségvetésű IT infrastruktúrák esetében.

    Pont ezert kellene udvozolni a segitseget, nem? Mert elobb-utobb _biztos_ hogy tamadas eri a rendszert. Azt a webshopot amelyik lyukas mint az ementali es nem hajlando befoltozni a biztonsagi reseit azt egybol be kell zarni, helyet soval behinteni, tulajt megbuntetni es bitcoin-banyaban dolgoztatni :)
    Egyetertek hcl-lel hogy kellene egy torvenyes lehetoseg, bejelenteni a problemakat mert nem elhallgatni kell oket hanem megszunteni. Surgosen.

    És mi lenne ha önjelölt emberkék nem azzal szórakoznának, hogy illetéktelenül, önkényesen neki essenek különböző rendszereknek?

    Ha joszandekkal teszik akkor hajra. Kulonben majd a botnetek megteszik ugyanezt es kozben a ceg vezetes probalja elsumakolni a dolgot, mikozben a kartyaadataim esetleg Kinaban vagy E-Koreaban kotnek ki.
    Az en -mint kulonbozo szolgaltatasok ugyfele- jol felfogott erdekem, hogy minel hamarabb foltozzak be a lyukakat. Nem vigasztal hogy esetleg kesobb kapott buntit a ceg, ellenben futhatok az adataim es a penzem utan.

    Tegnap huszmillional tobb tamadast eszleltek kulonbozo infrastrukturakban: [link]

    Az a világ ami szabályokban él, ez csak természetes. Ezen az alapon a betörőknek, gyilkosoknak is buksi simogatás jár. Mert ők csak felhívták a figyelmet egy rendszer sérülékenységére.
    Ez az egyik oldal. A masik hogy akkor csak a backdoor-os DES titkositast hasznalhatnad most is :) ja nem.. mert sikerult kijatszani az USA export tilalmanak szabalyait. Szoval most tulajdonkeppen te is nyertel a szabalyok athagasaval tehat nem fekete es feher.

    Az a helyzet hogy az atlathatosag mindig biztositja hogy nincs semmi hatsoszandek. Tiszta lap (-pal valo jatszas), jo kozerzet :)

    Naivitas azt gondolni, hogy minden rendben van, ha nem engedjuk kiderulni hogy a menedzsment esetleg inkompetens IT-ben :) Valahogy van az az erzesem hogy az szerinted ha nem kerul bejelentesre / nyilvanossagra egy biztonsagi res (persze a protokollt betartva, turelmi idot adva stb.), akkor az jobb biztonsag szempontjabol. Pedig nem...nagyobb cegek is beismertek mar ezt, pl az Intel is el akarta sumakolni a dolgot eloszor...

    Szoval +1 hcl-nek.

Új hozzászólás Aktív témák