Új hozzászólás Aktív témák
-
Egon
nagyúr
A rendszer összes sebezhetőségét nem lehet megtalálni az előre meghatározott tesztmetodikákkal.
Inkább úgy fogalmaznék: A rendszer összes sebezhetőségét nem lehet megtalálni.Egyébként szerintem egy kicsit elbeszéltek egymás mellett. Az nyilván probléma, ha felhígul az etikus hacker szakma. De mivel nálunk mindenki mindent "olcsóbban" akar megoldani, ez valahol várható is volt. Nem szerencsés, ha sematikusan történik egy sérülékenység-vizsgálat. Viszont nem látom a kapcsolódási pontot a történettel. Más szavakkal: jelen helyzetben nem biztos hogy az a kielégítő megoldás, ha zöld utat adunk bárkinek, ilyen tevékenység végzésére.
Csak egyetlen kérdés: ha egy amatőr próbálkozó, mondjuk véletlenül letöröl valami fontosat, vagy oly módon belebarmol az adott rendszerbe, ami csak X napi leállással, Y mérnökóra kicsengetésével lehet helyreállítani, azért ki vállalja a felelősséget?
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
bunfi
őstag
Igen, ez így pontosabb megfogalmazás.
Én úgy érzem, hogy nem feltétlenül kellene párhuzamot vonni néhány scriptkiddie és az etikus hacker szakma felhígulása között. Én úgy tudom, hogy itthon nincs is semmilyen szervezet ami ezt összefogná, szabályozná. Így nehéz bármilyen változásról beszélni, hogyha nincs szakmai szabályozása, csak az eseti szerződések, illetve a törvényi háttér, amely nem elégséges véleményem szerint. Zöld utat pedig senki nem ad senkinek, ha tetszik, ha nem folyamatosan érhetik jóindulatú, rosszindulatú, komoly vagy komolytalan támadások a különböző rendszereket. Viszont ha az adott rendszer képtelen ellenállni egy nagy valószínűségű-kis kockázatú támadásnak (már ha a megénekelt "hülyegyerekekről" beszélünk), akkor az már régen rossz.
A felelősséget megállapítani nem az én tisztem és az mindig az adott incidenshez/(büntető)jogi eljáráshoz kapcsolódóan kell. De ha egy admin/admin-nal be lehet jutni, nem feltétlenül csak az elkövetőt kéne a mostanihoz hasonló vehemenciával elővenni, sőt.
János először lőtt oszt már kérdeznie se kellett
-
BiP
nagyúr
A történet nem ennyire fekete-fehér. És blődlinek sem nevezném. Tartózkodjunk ettől a megfogalmazástól, mert akkor ugyanaz a stílus megy a részedről, mint amit kaptál a bajerista, stb. jelzőkkel. Ugorjunk.
Szóval nyilván több olvasata van, több nézőpont. A top-menedzser meg az IT vezető is teljesen más szemüvegen át nézi a dolgot, mint az egyszeri user. Mi mást gondolna az IT-s, hiszen belenyúltak az ő rendszerébe, persze, hogy elítéli a dolgot.
De ha az objektív hasznosságot nézed, mégiscsak felhívta a figyelmet egy ordító hibára, aminek nagyon nem kellett volna ott lennie.
Az, hogy pont az indexben jelent meg és hogy pont kormányközeli bkk rendelt meg kormányközeli cégtől sok-sok pénzért szar cuccot, nyilván más rétegei is vannak a történetnek.De szerintem a nem rossz szándékú, 15 perc hírnevet szimatoló, kivagyi átlag-tinédzser forgatókönyvnek sokkal nagyobb esély tulajdonítok, mint a soros által pénzelt, pattanásos tinédzsernek álcázott ellenzéki kormánybuktató gerilla ügynök verziónak.
(#151) Egon
Más szavakkal: jelen helyzetben nem biztos hogy az a kielégítő megoldás, ha zöld utat adunk bárkinek, ilyen tevékenység végzésére.: szerintem senki nem akarja. Csak ha már valamilyen úton-módon ráakadt egy hibára, azt meghurcolás helyett inkább kezelni kéne.Csak egyetlen kérdés: ha egy amatőr próbálkozó, mondjuk véletlenül letöröl valami fontosat, vagy oly módon belebarmol az adott rendszerbe, ami csak X napi leállással, Y mérnökóra kicsengetésével lehet helyreállítani, azért ki vállalja a felelősséget?
Ha egy amatőr erre képes, akkor nem kellett volna ezt a nagyrabecsült etikus hacker uraknak előre kiszűrni??
Ha meg valami véletlen folytán bennemaradt, és valaki valahogy rábukkant (előfordulhat), akkor így jártak, de egy szándékos rosszakaró is lehetetett volna (hiszen a rés ott van), örüljenek, hogy egy jószándékú talált rá. -
dabadab
titán
"Ja,"lelkes és naív amatőr" aki a hiba feltárása után egyből hanyatt homlok rohan az ellenzéki médiához,majd miután a megfelelő törvényeket alkalmazva elkezdik vele szemben az eljárást pont a TASZ veszi védelmébe."
Nem is értettem, hogy miért akarod olyan nagyon megmondani a frankót egy olyan témában, amit láthatóan nem nagyon értesz, de most már világos: neked a politika mondja meg, hogy mit gondolj.
DRM is theft
-
hobizoli
nagyúr
ha le tudta volna torolni is, akkor az a rendszer egy fos volt
ahogy az is volt valojaban
foleg ha nem volt rola biztonsagi mentes senormalis cégnél ilyen alap 1.0-s bakikkal kiadva a Nap koruli palyara kirugjak a komplett team-t vezetostul, de meg aki ellenorizte meg jovahagyta, azt is
nem meg nekiallnak arcolkodni, meg kemenykedos nyilatkozatokat lenyomatni, hanem fulet-farkat behuzva suru elnezeskeresekkel megcsinaljak ezeket a hibakat
[ Szerkesztve ]
több drón kell ;P
-
gusthy
veterán
Nem, a menedzsment bukott meg mindkét cégnél. Konkrétan nem volt tesztelés, illetve a T-nél a munkatársak nyomogatták fél napig.
És etikus hackelés se volt, ezt is tudjuk. Úgyhogy meglehetősen felesleges azon elmélkedni, hogy mit kellett volna a szakmabélieknek megtalálni meg mit nem, ha egyszer esélyük se volt rá.
[ Szerkesztve ]
-
KEndre
HÁZIGAZDA
Bauer Zsolt a kormányközeli Magyar Idők publicistája:
Ami tehát eddig nyilvánvaló: A „botrányt” kirobbantó Index egy saját bevallása szerint állami vállalatokat meglopó, bűnöző hekkerrel összejátszva előre megírt cikk alapján a BKK durva lejáratásába kezd, miközben a bűnöző hekkerből „jó szándékú” fiatalembert fabrikál, és esélyt sem ad arra, hogy az érintettek legalább megpróbáljanak válaszolni a „kérdésekre”.
kétszer is: "bűnőző hekker"
Nem kéne ezek után megkövetni a gimis srácot? Bocsánatkérés, helyreigazítás...
Nem fogja megtenni.
Szégyelje magát.Légy óvatos, sokan pályáznak a nehezen megszerzett pénzedre! Tudd, hogy csak te vagy képes megvédeni magad!
-
cog777
senior tag
"Már korábban leírta ezekre a választ, csak gyakorolnod kéne az olvasást egy kicsit."
Nem tudom melyik forumot koveted , de en a itcafe es #121-tol reagaltam a hozzaszolasaira.
Nagyon tehetseges lehetsz olvasasbol mert nem csak a sorok de a bitek kozott is tudsz olvasni mert a kerdeseimre nem valaszolt.HP ZBook Workstation A3000 - Linux Mint; Raspberry Pi4 - Raspbian
-
Egon
nagyúr
Ha egy amatőr erre képes, akkor nem kellett volna ezt a nagyrabecsült etikus hacker uraknak előre kiszűrni??
Szerinted minden rendszert alávetnek sérülékenység-vizsgálatnak? Hint: nem.
Ha meg valami véletlen folytán bennemaradt, és valaki valahogy rábukkant (előfordulhat), akkor így jártak, de egy szándékos rosszakaró is lehetetett volna (hiszen a rés ott van), örüljenek, hogy egy jószándékú talált rá.
Ez azért messze nem egyértelmű. Ha egy "jószándékú" illető töröl valamit véletlenségből, az egyrészt ugyanazt a leállást eredményezi, mintha egy rosszindulatú törölné. Másrészt ha egy "jóindulatú" emberke talál valamit (majd véletlenül töröl), attól még messze nem triviális, hogy azt egy rosszindulatú is megtalálja. Ergo egy ilyen, általam felvázolt esetben egyébként (azaz a "jóindulatú") közreműködése nélkül) nem fordulna elő incidens.
A komoly sérülékenység-vizsgáló cégeknek felelősségbiztosítása van, elvileg értenek hozzá, csináltak már ilyet, ergo minimalizálva van a kockázat, hogy a tevékenység keretében történik valami probléma.
Ezen túlmenően, ha egy - amúgy rosszindulatú - hacker, már könyékig benne van egy rendszerben (esetleg kitalicskázott már egy vagonnyi adatot, és már el is tüntette maga után a nyomokat), ezek után szimplán mondhatja azt, hogy "bocs, csak sérülékenységeket kerestem" - ebben senki nem lát problémát?[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
KEndre
HÁZIGAZDA
[ Szerkesztve ]
Légy óvatos, sokan pályáznak a nehezen megszerzett pénzedre! Tudd, hogy csak te vagy képes megvédeni magad!
-
nemlehet
őstag
Szerinted ezt a rendszert nem kellett volna megvizsgálni rendesen? Ha esetleg törvényileg nem kötelező, akkor is rendben van egy ilyen értékű és nyílvánvalóan veszélynek kitett rendszernél, hogy ezt nem tették meg?
Nokia 3310->3410->3100->6500 Slide(RiP Nokia)->Acer Liquid Metal ->Xiaomi Hongmi-> Xiaomi Redmi Note 3
-
BiP
nagyúr
Nyilván nem tesztelnek mindent, és ha tesztelik is, mindenre nem tudják tesztelni. Ez tiszta sor. De azért egy minimum szintet meg kéne ütni már a programozás során is, hogy külön teszt nélkül is ellenálló legyen alap sérülékenységek ellen.
Értem a felvetésed, és nyilván ezek miatt a véletlen ill. amatőr bejutások miatti esetleges adatvesztések miatt nem szabad ösztönözni a népet, hogy mindenki ugorjon neki.
De ha ott a rés, és azon (akár jóhiszeműen) bejut, és ott (szándéka ellenére) kárt okoz, töröl, stb. az a rendszer szempontjából mindegy, akár egy rosszhiszemű is lehetett volna.Merek élni a feltételezéssel, hogy egy normálisan megírt rendszerbe ha egy jóhiszemű amatőr már be tud jutni, akkor van olyan szinten, hogy nem okoz kárt. Ha olyan is be tud jutni, aki annyira béna, hogy véletlenül töröl valamit, akkor annak a rendszernek amúgyis mindegy lett volna, mert kb. a Mari néni is bejuthatna.
Ill. szintén tartom azt a feltételezést, hogy a rosszhiszeműek képzettebbek, mint a lelkes amatőrök. (mert a profi, de jószándékúak azok az etikus hackerek, akik felbérelés nélkül úgysem mennek neki a rendszernek).
Tehát aki be tud jutni, az vétlenül nem okoz kárt, hanem csak szándékosan.[ Szerkesztve ]
-
Korrektor
Azt te is tudod, hogy Bayer Zsolt nem arról híres, hogy elnézést kérjen. Talán volt már rá példa, amikor szembesítették valamivel, de ez nem jellemző rá. De a szekértábor politizálás nem is azért van, hogy óvatoskodjunk, hanem hogy megmutassuk a mieinknek, hogy megmondtuk a tutit.
-
Egon
nagyúr
válasz nemlehet #162 üzenetére
Dehogynem, ezt a rendszert, ebben a formában nem szabadott volna élesíteni, ez triviális. Ahogy az is, hogy ha fognak is hullani fejek, nem a megfelelők...
Én általánosságban próbáltam megmagyarázni, hogy (szerintem) miért olyan a tevékenység jogi szabályozása, amilyen.[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
félisten
"Szerinted minden rendszert alávetnek sérülékenység-vizsgálatnak?  Hint: nem."
Pedig egy ilyen rendszert mindenképpen alá kéne vetni nagyon alapos biztonsági és adatvédelmi tesztnek.
Hogy jó-e ha a nép nekiáll sérülékenységet keresni vaktában? Igen, jó. Mert ha ez gyakorlattá válik, akkor rá van kényszerítve minden nagyobb beszállító, hogy normálisan tervezze meg a rendszert.
Itt szó sincs arról, hogy egy hiba maradt bent. Ha a kliens oldalon beküldött árat át lehet írni és a rendszer megeszi, az egy ordas nagy tervezési hiba. Itt az alapoknál gond van, nem egy véletlen bug.
Azt a céget kellene felelősségre vonni aki egy ilyet kiad a kezéből.
Eladó régi hardverek: https://hardverapro.hu/apro/sok_regi_kutyu/friss.html
-
Egon
nagyúr
Hogy jó-e ha a nép nekiáll sérülékenységet keresni vaktában? Igen, jó.
Nem, nem jó. Mivel - ahogy fentebb kifejtettem - nem kívánt "mellékhatások" is lehetnek.
Nem ez a megoldás. A törvényi szabályozás mellé oda kell(ene) tenni a megfelelő ellenőrzéseket is.
Egész más, hogy ha az adott rendszer már elért egy bizonyos "érettségi fokot", akkor önként bevállalhat ilyet (lásd Google). Itt még nem tartunk."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
bunfi
őstag
Ahogy a leszarom magatartásnak is meglettek a mellékhatásai, 3000 felhasználó adatait tartalmazó adatbázist vizsgálja jelenleg NAIH. De ha már ennyire tartunk a kártól, véleményed szerint a Sony nem cserélte volna el egy hasonlós srácra vagy akár rosszabbra, ahelyett, ami történt? Vagy az Apple? Vagy a Twitter?
Ahol pedig törölni tudnak, ott megint nem a behatolás a probléma, hanem az, hogy a backup policy és backup rendszer nem lett normálisan megtervezve.
János először lőtt oszt már kérdeznie se kellett
-
félisten
Szerintem pedig jó, mert itthon soha semmi mással nem fogod rávenni az ilyen TréSystemsz szintű sóhivatalokat arra, hogy kellő energiát fektessenek egy ilyen projectbe. A BKK-nál is talán elpattan a húr, és megbíznak valami auditor céget a jövőben.
Nem hiszek abban, hogy bármi mással rá lehetne kényszeríteni ezt a társaságot a kultúrált munkavégzésre."oda kell(ene) tenni" - pont ez az, ami soha nem fog megtörténni kényszerítés nélkül.
"Egész más, hogy ha az adott rendszer már elért egy bizonyos "érettségi fokot", akkor önként bevállalhat ilyet (lásd Google). Itt még nem tartunk."
Nem, itt nem arról van szó, hogy nem elég érett még a rendszer, hanem arról, hogy tök rosszul fogtak neki (lásd alőző hsz-em harmadik bekezdését.).
(#167) UnA: Jelenleg lehet hogy így van. Viszont kellő nyomásra talán hoznak olyan törvényt, jogszabélyt, ami kimondja, hogy akkor kezelheti egy cég X-nél több felhasználó adatait, ha aláveti magát egy meghatározott security, privacy tesztelésnek a rendszer.
[ Szerkesztve ]
Eladó régi hardverek: https://hardverapro.hu/apro/sok_regi_kutyu/friss.html
-
-
Tikakukac
titán
-
Egon
nagyúr
válasz hobizoli #174 üzenetére
2012 óta nincs adatvédelmi biztos (ombudsman). Helyette van NAIH.
A többi nem csak neked.
Amúgy az ombudsman-nak amúgy is csak ajánlási jogköre volt/van (annak az egyszemnek, aki megmaradt), míg a NAIH - hatóság révén - hatósági eljárás keretében akár bírságolhat is. Ha jól rémlik, 20 milla a kiszabható bírság felső határa, és szerintem sanszos, hogy ha nem is ennyire, de komolyan megvágják a BKK-t (annyira mindenesetre komolyan, hogy a jövőben nagyobb odafigyelés legyen ezen a területen).[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
TomMusic
őstag
Na, végre egy jó hír!
Állítólag az egyetemen töltött évek a legszebbek. Ezért a képzési időt próbálom a lehető leghosszabbra nyújtani.
-
batai15
félisten
Helyes ! győzőtt az igazság
Van még remény[ Szerkesztve ]
-
Zeki
nagyúr
Na akkor a sok rosszindulatú gyíkarc mehet a tükör elé, és köphet egy nagyot arra, amit ott lát.
Legyen az politikus, politikailag elfogult, vagy csak simán elfogult.
Helyes döntés volt!
A szarvashibáért meg a t-systemet kéne széjjelperelnie a BKK-nak. Konkrétan hibás terméket adtak ki a kezükből. -
TheSaint
aktív tag
Elég helytelen precedenst teremtett ezzel az ítélettel a bíróság, ezek szerint minden ilyen feltárt hiányossággal lehet futni a médiához és ezt még beállítjuk "társadalmilag hasznosnak" is!?? Érdekes elképzelés...
-
PandaMonium
őstag
> "sőt tette társadalmilag hasznosnak minősíthető" - ez mi? Felhívás keringőre?
Megóvta őket attól, hogy a későbbiekben ebből a hibából anyagi kár érje őket. Nagy kár. Eddig is sok volt amit műveltek, de nálam elérték, hogy csak akkor fogok BKK-val utazni, ha muszáj leszek, akkor is ha lehet nem lyukasztok (úgyis az esetek felében nincs ellenőr a kapunál, vagy ha van azt is leszarja ha tavalyi bérletet mutatsz fel). Amikor lehet pedig bringával közlekedem. És nem azért mert nem engedhetem meg magamnak a bérletet, hanem azért mert egy ilyen sz*r vállalatot én semmilyen formában nem vagyok hajlandó támogatni.
What I cannot create, I do not understand
-
dabadab
titán
válasz TheSaint #186 üzenetére
"és azt kell megmagyarázni, hogy ezzel milyen kárt okozhatott volna"
Igen, ezt meg kellene magyarázni és eddig még senkinek sem sikerült - jelzem, eddig még neked sem. Nem lenne egyszerűbb két mondatban leírni, hogy mire gondolsz, ahelyett, hogy ilyen homályos válaszokat lengetsz?
DRM is theft
-
bunfi
őstag
válasz TheSaint #186 üzenetére
Milyen kárt? Ami amúgy is megtörtént, mert a NAIH-nál van már az ellopott adatbázis 3000 regisztráló adataival, amelyek között okmányazonosítók is vannak?
Ha ennyire frankón működik a rendszer, akkor miért kell pl. a Microsoftot zsarolni a sajtóval, mert a rendelkezésükre bocsátott 6 hónap alatt nem javították ki a sebezhetőséget? Persze az alatt a 6 hónap alatt senki nem bukkanhat rá véletlenül, senki nem fogja kihasználni és az NSA is csak a mi érdekünkben tartott vissza több tucat zdv-t, hogy olyan frankó dolgok szülessenek belőle, mint a wannacry...
János először lőtt oszt már kérdeznie se kellett
-
#06658560
törölt tag
válasz PandaMonium #187 üzenetére
Adót fizetsz?
-
kispx
addikt
válasz TheSaint #192 üzenetére
Tényleg kifejthetnéd, hogy mire gondolsz. A BKK már a legelső sajtótájékoztatóján kizárta, hogy kárt okoztak volna. Sőt, „a rendszer már bevezetési időszak kezdetén olyan automatikus visszaélés figyelő funkcióval kezdte meg működését, amely az ilyen jellegű próbálkozásokat detektálja és azonnali intézkedésre ad lehetőséget.”
-
TheSaint
aktív tag
Nyilván ezért tudott egy diák 50ft-ért bérletet venni...? Ez a fórum is átment óvoda színvonalra? A software részét hagyjuk, nyilvánvalóan férc munka, de az ilyen súlyos hibák jelzesenek akkor is meg van a maga útja és átfutási ideje, nem pedig a másnapi Blikk címlapjára való, hogy aztán minden óvodás a BKK honlapján élje ki informatikai "tudását"...
-
BiP
nagyúr
válasz PandaMonium #187 üzenetére
én semmilyen formában nem vagyok hajlandó támogatni.
Akkor viszont ne is használd, légy szíves.Megértem a frusztrációdat, viszont a bliccelőket rühellem. Attól mert nem szimpatikus egy cég, attól nem fogok lopni tőle.
Vagy ha már igénybe veszem a szolgáltatását (kényszerből vagy mert csak álfelháborodtam), akkor azt viszont tessék kifizetni. Mert ezzel a többi utast szivatod meg, nem a céget.[ Szerkesztve ]
-
kispx
addikt
válasz TheSaint #196 üzenetére
Milyen garanciát tudsz arra mondani, ha nem került volna nyilvánosság elé a ügy, akkor megoldódott volna?
Annyi eszük nem volt, hogy egy bárki által letesztelhető hibánál ne hazudjanak 10 millió magyar ember pofájába. Hibás terméket akartak ránk sózni, nyilvánosságra kerültek a hibái, és még akkor is "sikeres bevetésről" és "biztonságban lévő adatokról" beszéltek. Mutyiországban nem vagyok megbizonyosodva, hogy kijavították volna hibát, ha nem került volna nyilvánosság elé.
Természetesen megint nem a valós problémákról megy a diskurzus, hanem egy 18 éves gyerekről.
> "hogy aztán minden óvodás a BKK honlapján élje ki informatikai "tudását"..."
Kár, hogy óvodásokról és informatikai "tudás"-ról beszéltél. Ezzel szoftverrel olyan "óvodásokkal" ismertették meg Magyarország nevét és hívták ide, akiknek jóval több informatika "tudásuk" van, mint neked vagy nekem. -
PandaMonium
őstag
Nem szoktam bliccelni, el sem tudom mondani milyen régóta bérletem van. Ha megoldják, hogy lehessen jegyet venni a megállóban/sofőrnél szájhúzás nélkül akkor fogok venni. Ha nem akkor viszont simán megrántom a vállamat, nem fog lelkiismeret furdalást okozni.
What I cannot create, I do not understand
Új hozzászólás Aktív témák
- EDIFIER R1700BTS hangfal pár makulátlan, új állapotban, 2 év hivatalos garanciával, alkalmi áron
- LG OLED55B23LA 2 Év GYÁRI GARANCIA
- Apple iPhone XR 128GB, Kártyafüggetlen, 1 Év Garanciával
- Gamer PC , i7 12700KF , RTX 3080 Ti , 64GB DDR5 , 960GB NVME , 1TB HDD
- Intel PC , i5 8500 , 1660 6GB , 32GB DDR4 , 512GB NVME , 500GB HDD
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen