Hirdetés

  2. Fórumok
  3. Infotech
  4. Hackersiralmak
Keresés

Új hozzászólás Aktív témák

  • #15 vicze félisten Fred23 #6
    Új Válasz #15
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    vicze

    félisten

    válasz Fred23 #6 üzenetére

    (Nem feltételen neked válasz.)
    A viccet félretéve, a GDPR egyik hatása az is kellene legyen, hogy a cégek törődnek és kötelezően saját érdekükben töltenek a biztosságra. És ajánlom minden rendszergazdának, hogy ezzel fenyegetőzzön a főnökénél, hogy ha kell kierőszakolja a biztonságra való törekvést, ha egy külső vizsgálatot nem is fizetnek ki, de legalább minimális dolgokra ügyeljenek, és bejelentésekre reagáljanak.

    Az pedig hogy az etikus hacker(vagy pusztán bejelentő, akárminek is hiszi magát) elsősorban ellenségnek van tekintve nem pedig segítőnek, egy olyan felfogásbeli dolog amit részben a tudatlanság, a pop kultúra, és a média is táplál sajnos. Ezt a felfogást kellene megváltoztatni elsősorban felsőbb szinten.

    Amúgy az itt általánosan emlegetett hozzá nem értés nem mindig helytálló, ha felhozhatom a Hack Team esetét, akiket kizárólagosan saját hanyagságuk miatt sikerült feltörni, és itt nem áll fenn a hozzánemértés esete, puszta nemtörődömség miatt történt.

  • #9 mikej95 aktív tag Fred23 #6
    Új Válasz #9
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    mikej95

    aktív tag

    válasz Fred23 #6 üzenetére

    Hát persze, az illegális tevékenységek be vannak tiltva, így senki sem csinál olyat. Csak néhanapján olyanok akik nem értik meg a törvény szövegét, mint ezek az etikus hekkelek.

    Szerződéses melóra is láthattunk nemrég igazi magyar példát. Kürt Zrt. a tesztek során megállapította, hogy a választási rendszer le fog halni. Kivitelező semmit sem csinált. Összeomlás bekövetkezett betűre pontosan. NVI konklúziója: Kürt a hibás, nem a kivitelező cég. Ezután hatalmas néma csönd következett, mert rájöttek mit sikerült nyilatkozniuk...
    Ezen a ponton már a füstszűrős sapka sem segít.

    @borg25 Nem tudom eldönteni, hogy Fred23 poénja nem jött át vagy csak simán rákontrázol.

  • #8 borg25 senior tag Fred23 #6
    Új Válasz #8
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    borg25

    senior tag

    válasz Fred23 #6 üzenetére

    Vagyis ha nem kérnek fel senkit, akkor nem is lesz látható biztonsági rés, tehát "mindenki" jól jár
    Hibás a következtetés.

    Feltörhetetlen rendszer nincs. Az, hogy egy etikus hacker tegnap azt mondta, hogy nem tudja feltörni a rendszert nem jelenti azt, hogy ma már nem tudná, vagy nála jobban hozzáértő tegnap se tudta volna. Azt se jelenti, hogyha több embernap vizsgálatot fizettek volna, akkor nem-e talált volna végül fogást a rendszeren.

    Ha nem csak egy 3 napos gyorstalpalón szerezte a képzést két hete, hanem évek óta nyomja, és gyűjtötte a tapasztalatokat az etikus hackerünk, akkor elég nagy valószínűséggel megtalálja a kiskapukat, vagy igen jó részét. Az ismert sebezhetőségeket nyilván végigpróbálta, tehát aki fel akarja törni a rendszert annak jobb ötlettel kell próbálkoznia, mint a routeren a default jelszó használata...

    Nem vagyok etikus hacker, csak érdekel a téma, tudtommal elég szép sebezhetőségi listát össze tudnak állítani. Ha meg biztosra akar menni a cég, ő is megteheti, hogy átmenetileg elrejt egy sebezhetőséget a rendszeren, hogy vajon hackerünk megtalálja: pl Biztonsági frissítés felrakásával várnak, jelszót primitívre állítják.

    Igazság szerint nem is cél az összes hiba megtalálása. Valójában a cég semmire se megy azzal, ha tudja, hogy mik a sebezhetőségei, neki azt kell tudnia, hogy az elkövetkezendőkben mire kell költenie, hogy a biztonságot a lehető leghatékonyabban tudja növelni. Vagy kiválaszt egy rendszert pl gyártósor vezérlés és azt teszi biztonságossá.

Új hozzászólás Aktív témák