Kedves Buherátor,

Ne konspiráljunk ne konspiráljunk :-))) jót nevettem, köszönöm a lehetőséget.

Az avatárom nem ma éjjel került fel, hanem amikor a profilt létrehoztam.

A tanúként való kihallgatás az nem fenyegetőzés. Nem vádoltunk meg semmivel, csak megkértünk hogy szüntesd meg a YourBnk.hu becsmérlésére alkalmas oldalak támogatását /ebben a formában bűnsegédlet mert büntetőjogi eljárás indult az ügyben/

Nos ezt tudván már gondolom segítségnek veszed hogy arra kérlek mellőzd a becsmérlést segítő tevékenységben való részvételedet.

Ha szeretnéd, akkor erről a YourBank.hu hivatalos (cégjegyzékben szereplő) email címéről is kapsz kérést.

Wish you a nice day!

@RockWood1911: az se baj ha en irtam? Szal nem Buherator hanem valaki mas. Te vagy RockWood1911. Buherator az Buherator. En _2501.

cak azert mondom mert nnnnnemugyanaz. odafigyeljel.

@RockWood1911: "gazdasági bűncselekmény" LOL! Az egyetlen, akit itt jól picsán kéne rúgni, az a yourbank.hu.

1) Buherator:

én kívánok elnézést, 2501hez akartam szóllani... de hát ilyen ha az ember email linkből kattint, és nem kávézik eleget :-D

2)

Kövinnyó: miért kéne? Egyáltalán nem a YB.HU fejlesztette azt a szoftvert amibe betörtek! Csak őket hozták rossz hírbe. Ez itten a bűncselekmény. És miután a link kiment, hackerek özönlötték el a szervert - ez is bűncselekmény és többtízmillós kárt okoztak aznap több banki partnerhez csatlakozó Kereskedő cégnek is. Ez a bűncselekmény! De ennek megállapítása és az ítélethozatal nem jelen blog usereinek feladata :-D

@RockWood1911: Esetleg írd ki neved elérhetőséged, de még jobb lenne, ha Te magad vennéd fel a kapcsolatot Buherátorral és nem kommentben osztanád az észt.

Minden elérhetősége publikus, sőt azt is tudni hol dolgozik és ott is lehet keresni.....

Ne kommentben legyél kemény, hanem valós kommunikációs vonalakon.

Srácok, én nem keménykedek, Ellenben jeleztem segítségül a blog szerzője számára pár dolgot, hogy mi micsoda. Cserébe én csak támadásokat meg oltást kapok és nem is őtőle hanem az olvasóktól :-D

így segítsen az ember a másiknak, hajrá emberek hajrá :)

és mikre értek rá munkaidőben... erre van idő ugye? termelni a GDP-t arra nincs? látom lenne itt pár ember akinek szabad ideje van és nem a GDP-hez járul hozzá hanem csak idejét tölti hátam lapogatásával

@RockWood1911:
Te beszélsz? Még a járulékokat sem tudjátok időben befizetni....

Jasmine IT & Consulting Hungary Korlátolt Felelősségű Társaság

A végrehajtás elrendelésének időpontja: 2010. április 2.
A végrehajtás ügyszáma: 5868666438
A végrehajtást elrendelő megnevezése: APEH Észak-budapesti Adóigazgatósága Hátralékkezelési Osztály 2.
Az értesítés (indítás) kiállításának időpontja: 2011. október 27.
Bejegyzés kelte: 2011/10/27 Közzétéve: 2011/11/10
Hatályos: 2011/10/27 ...

@RockWood1911: Adott egy hiba ami nem magatol keletkezett, kell legyen felelose, most lenyegtelen hogy a fejleszto vagy az uzemelteto, ezt dontse el az illetekes. Ami viszont a YB felelossege az a felhasznaloi adatok vedelme, ami jelen esetben nem igazan jott ossze. Jogilag neki lehet menni a korhadt fatuskonak is, de ezzel a felhasznaloi adatok nem lesznek megvedve.

Az viszont erdekelne hogy hogyan jott ki, mibol tevodik ossze a tobb tizmillios osszeg. Ha tenyleg valos szam ez akkor lehet erdemes lenne elgondolkozni rajta hogy par millioert megerte volna egy biztonsagi tesztet csinalni. Es akkor most nem beszelnenk tobb 10 milliorol.

Sztojka mondott egy jo analogiat: Az IT Biztonsagi cegek olyanok mint a fogorvos. Senki nem keresi fel csak ha mar baj van.

@kispaci_S80: nem igazan ertek veled egyet.

@kispaci_S80: Allitsd le magad pls. Tudom hogy piszkalja az igazsagerzeted, de tul messzire mesz. Nyugi van.

@RockWood1911: Persze lehet jogilag csűrni-csavarni a dolgot, de itt mégis arról van szó, hogy egy cég hanyagul kezelte az adatokat, és ezzel támadásnak tette ki a felhasználóit. Szerintem itt egyedül a juzereknek van joguk hőbörögni, mert végeredményben velük basztak ki. Az illetékesnek meg inkább fülét-farkát behúzva szélsebesen javítania kéne a hibát (amit remélhetőleg már megtettek) sűrű bocsánatkérések közepette, mint hogy gazdasági bűncselekménnyel fenyegetőzik.

@kövinnyó: Az eset kapcsán olyan jellegű vásárlói panasz hogy az email címeikkel valaki visszaélt, jelenleg nem ismeretes.

A jelszavas védelem az érintett oldalon még akkor pótolva lett (lásd origo is megírta), ennyi volt. Azóta azonban mennek a hátbaszurkálások olyan emberektől akik amúgy nem ismerik a hátteret.

Mint ahogy kispaci sem tudja mi volt az az APEHes macera hátterében de kardélre hányja a céget :)

na remélem lezárhatjuk.

Szép napot!

@RockWood1911: en nem kovetem elegge az allando BTK modositasokat, de te biztos vagy benne, hogy a "rossz hirbe hozas" is mar torvenyszabta modon buntettetik? Ugy tudom, csak a ragalmazas es hasonszoru tarsait buntetik, teljes joggal. Ellenben ha valaki elkefel valamit, es errol masok beszelnek, az meg bele kene ferjen a szolas szabadsagaba... Amugy a technikai reszehez annyira nem ertek, de ha jol sejtem, semmilyen szoftverbe nem tortek be, egyszeruen konfiguracios hiba okozta, hogy vedendo adatok mindenki altal elerhetok voltak - igy te pont ugyanazt a 'rossz hirbe hozas' buncselekmenyt koveted el a szoftver irojaval szemben, amitol ova inted a cikk szerzojet.

Na de latom teged csak a jo szandek vezerel, igy en is megosztok veled egy jo tanacsot: ha ilyen ciki hibat kovet el valaki, akkor csinaljon ugy, mintha minden a legnagyobb rendben mukodne ezentul, ne fenyegetozzon, hanem hagyja elulni az ugyet minel rovidebb ido alatt. Akik nem ezt az utat kovetik eleg sokszor nepszeru memek temai lesznek amik nem segitenek...

/mar ez a kommentsorozat is ennek a hatasnak a resze/

@PACy: a sunyimódon bekussolás a sunyik dolga, akik így próbálják elsimítani a dolgokat és várják hogy majd feledésbe merül. ez milyen üzleti magatartás?

aki nem sunyi, az meg cselekszik. sunnyogás helyett az első dolog volt a jelszavas védelem pótlása és a futó szoftver további védelmének kialakítása ASAP. ha csak sunyiság és eltussolás történik, azzal a probléma nem oldódik meg. a problémát munkálkodással kell megoldani.

a kaki szőnyeg alá söprésével a kaki csak nem látszik - de attól még szaglik.

tudjátok manapság sok támadás éri a SZÉP Kártya programot, ami elég kellemetlen dolog mert a SZÉP Kártya mint ügy, szintúgy jószándékból lett bevezetve - lényegesen kényelmesebb vele a vásárlás mint az üdcsi csekkel, és le tudja állítani azt a 36 milliárdos (!) hamisítás/csalássorozat ami az üdcsicsekk fennállása óta keletkezett. szintúgy a 6%+ ÁFA jutalék helyett amit az Elfogadóknak eddig be kellett fizetni az állambácsinak, most már csak 1.5%+ÁFÁt kell befizetni,. megannyi előnye és jó oldala van a Széchenyi Pihi kártyának. emberek százai dolgoznak a dolgok jobbá tételén, a szolgáltatás minőség javításán és jó lenne ha fikázás helyett bátorítva lennének. jelenleg ugyanis nagyon sok SZÉP szolgáltatás támogató cég fikázva van - sokszor már olyan szinten hogy méltatlanul.

na ezt a tényt szőnyeg alá söpörni hadd ne...

@RockWood1911:

Nem teljesen jol ertetted amit irtam, termeszetes, hogy a hibat kijavitjatok amint lehet. Viszont utana nem kell hoborogni azokon akik felhaborodnak az adatok ilyen slendrian kezelese miatt, hisz ha egy random internetezo megtalal ilyet, akkor fejlettebb bunozoi csoportoknak is van ra lehetoseguk, igy lehet lesz par ember aki visszasirja majd a papiralapu rendszert.

Azt meg ne probald eladni, hogy ti csak az orszag jobbatetelet tartjatok szem elott - ez akkor lenne hiteles, ha nonprofit lenne a vallalkozas, de valami azt sugja, hogy nem ez a helyzet.

@PACy: a SZÉP programnak ez a célja.

Úgy gondolod egy országot csak NONPROFIT lehet jobbbá tenni? Úgy hogy azok az emberek - itt nem egykét kisrácról hanem számos cégről és össze alkalmazottjáról van szó - akik éppen jobbá kívánják tenni, azok rokkanjanak bele anyagilag?

Na ez a baj: mindent ingyen várni el hogy ingyen váljon jobbra. mégis hogyan???

Hogyan lehetne ingyenesen valamit építeni? azért ezt még az ősember is belátta hogy legalább bartell szükséges => vagy pénz. az ecélból dolgozók bérét és járulékait ki kell fizetni.

másik: fejlettebb bűnözői csoportoknak sok mindenre van lehetőségük. egyelőre 100%osan védett rendszer a világon nincsen, sajnos. sem olyan üzleti terület sem olyan bolygó ahol 0% a bűnöző. bár lenne! Ilyen csak a Mennyországban van. Haljak meg hogy boldog legyen? Hű :)

@PACy:
"nonprofit lenne a vallalkozas, de valami azt sugja, hogy nem ez a helyzet."

néhány pénzügyi évük elég minuszos volt és ez persze miért ne lenne igaz, hiszen követnek minden jogszabályt. Szóval kell a reklám és a felhajtás.

Ha van üzleti érzékük, akkor szépen csendben írnak a háttérben Buherának, hogy "lécci szedd le, mert ez nem jó nekünk". Ehelyett jött a hozzászólás "szeddle vagy megdöglesz "egy nicktől + honlap cím mellette és egész nap mindenki azt kattintgatja.

@PACy: +1
@RockWood1911: A probléma ott van hogy jogi útra akarják terelni a dolgot. PACy éppen azt mondja hogy ezzel csak nagyobb visszhangja lesz a balhénak és teljesen igaza van.

Kinek a hibája az hogy szenzitív adatok voltak elérhetőek _PUBLIKUSAN_? Azt találjátok meg, és azt vonjátok felelősségre.

@RockWood1911:

En teljes mertekben elhiszem, hogy a politikusainkat a joszandek vezerelte a SZEP program bevezetesevel - de ettol fuggetlenul az ebben resztvevo profitorientalt entitasok ne hasznaljak ezt fel, hogy a jotevo szerepeben tuntessek fel magukat, mert igenis megvan a megfelelo ellentetelezes, ugyanugy, mint barmilyen mas uzleti vallalkozas eseten.

Amugy ez komoly, hogy egy pisztolytipusrol neveztetek el behajtoceget?

@RockWood1911: Hmm, ez a post most arra jó, hogy lássuk mi volt a lényege a SZÉP kártyára való áttérésnek! A számokat és indokokat látva erre adok én is egy +1-et! De... Pont a számok és a rendszer fontossága miatt valóban oda kellett volna figyelni a tervezésre és a kialakításra is! Szoktak olyanokat mondogatni a szakmában, hogy "a védelemre költött összeg mindig arányban kell, hogy álljon a védendő információ értékével"... És erre nem lehet mentség az sem, hogy sietni kellett! Manapság minden kutyafuttában történik, de mi sem adhatunk át pl. olyan e-köziges rendszert, ahol nincs jól megcsinálva az IT biztonság! Az egymásnak esés helyett inkább pont az itteni srácokkal együtt kellene megoldani a problémát!

@Aron bacsi: +1

@2501: nem volt ám az publikus sose. egészen míg bra kollega ki nem hackelte hogy hol van és utána ki nem publikálta hogy na ide kell kattintani. __nem volt publikus!__

nem a YB.HU publikálta hogy tessék jónépek itt van az egyik ügyfelünk összes vendégének mail címe. Hanem bra.

@PACy: áh a dolog képlékeny :) M1911 évtizedek nagyon hosszú során át rendőrségi fegyver volt - és még 100 év múltán van, ahol ma is az! de mivel többen is meghökkentek a fegyveren, majd szét fogjuk választani a fegyvertípust a tanácsadó irodától. nem fenyegetés az iroda célja ugyanis, hanem kezdő cégek és működő, de bajba jutott vállalatok védelme.

@Aron bacsi: Aranyban van az, csak milyenben?
1 000 000 000 000 000:1? :D

@Aron bacsi: +1

sajna erre (utólag, hogy hát nem gyorsan kellett volna hanem alaposan egyeztetni a kormánynak az összes támogató céggel) már nem lehet hatni - az viszont igaz hogy egymás fennkölt szapulása helyett összefogni sokkal előrevivőbb magatartás lenne...

@RockWood1911: Magyarorszagon, magyarok osszefogjanak?
Nezzunk mar ra az elmult 20 politikajara, hogy mit tanitottak a nepnek vezereink!
Akkor lesz itt osszefogas, ha mar nem lesznek magyarok az orszagban.

@j311: basszus - erről tépem a szám hogy ez évtizedek óta így van ahogy írod :( siralom ez az egész

@RockWood1911: "nem volt ám az publikus sose"

Azert nyugtass meg, neked semmi kozod a rendszer uzemeltetesehez, igaz?

Mit nevezünk publikusnak?

Attól hogy egy php programnak URL-je van attól az még nem publikus :-D
Attól hogy még egy szerveren van, attól még nem publikus

Attól hogy kitolják az URL címét mindenféle blogokra - na attól válik publikussá.

Ha egymás között mondjuk a haveroddal valakiről valamilyen véleményed van, az nem publikus hanem az egy zárt beszélgetés. ha viszont milliók számára kirakod a véleményedet - vagy pl egy linked amit nincs jogod kirakni mert sem nem engedélyezte senki, sem nem olyan dolgokat tartalmaz, ami miatt mást sérelem ér.

többedrészt pedig azt senki nem tagadja hogy YBHU részéről hogy NAIVITÁS volt a jelszót nem beállítani még átmenetileg is.

harmadrészt pedig baráti és lelki kapcsolatban állok a YBHU minden munkatársával van akivel ~20 éve

@RockWood1911:
Sajnalom, ami az YB-vel tortent. Talan legkozelebb szakmai szempontok alapjan valasszatok ki az IT biztonsagert felelos embereket (tehat nem egyet!!) ne barati es lelki alapon.
Bar a megfelelo szakemberek helyett, a csalad es baratok alkalmazasa is igencsak kovetett pelda orszagunkban.

Nos ez a "barát" dolog ezt azért tegyük hozzá hogy a baráti körből azok lettek ám kiválasztva akiknek van felsőfokú végzettsége is - tehát nem hóhányó szakmunkások programoznak ...

az IT biztonságos csávó (aki a szervereket telepítette - mint alvállalkozó) az meg megpattant és elment egy ISP-hez dolgozni és bemutatta a brét hogy ő most már "alkalmazott" máshol, neki komoly állása van, mi ne zaklassuk. az a helyzet hogy az ilyen IT biztonságos csávókkal eddig csak rossz tapasztalatok szűrődtek le. a hiányuk miatt is. külföldi IT cégre meg ki bízna rá magyar cég szerverét? egy a lényeg: most azért ez akkora pofon volt hogy full minden át lesz telepítve a BIX2-be, a TSYSTEMS felügyelete alá, mert fenemód unalmas dolog hajnalban a gép előtt buzerálni a szerver logokat hogy éppen ki akar betörni

Ja egy fáin sztori a 2010-es inkasszónkkal kapcs.

kispacy: nem egyedi eset: részletfizetést kértünk és befizettük a részleteket MINDIG IDŐRE! Egyszer azonban a franc tudja miért APEH (akkor még az volt) fogta magát és ránkverte a hátralévő tartozást + még >500eFt-ot. Felhívta a könyvelő hogy "NÓÓÓÓRMÁLIS vagy????"

a válasz az hogy hogy hubazze, elnéztek valamit, végtelenül sajnálják, látják hogy megjött a pénz, de a végrehajtás már kiment pár napja, és az inkasszót csak 35 nap múlva veszik le, a félmillás adótartozást meg nem kapjuk vissza, de annyival csökkenthetjük a jövőben befizetendő adót. azalatt a 35 nap alatt meg az összes bevételünk amit ügyfelek átutaltak, ment be az APEH-ba.

na hát ilyen dolog ez az Apeh végrehajtósdi.

a NAV informatikai rendszere más, amióta NAV van, a pénzünk időben beérkezik és időben le is könyvelik és az nem mindegy...

1) bra nem hackelt, a böngésző az arcába baszta az urlt
2) a directory listingért nem az otp szoftvere, nem az apache, hanem a felsőfokú végzettségű szakemberetek felelős

Azért két dolgot szögezzünk le, mielőtt hatalmas mesét költünk a gonosz hekkerekről:

ad 1: A Csodálatos Rencert nem kellett feltörni, sem URL-t keresgélni, a Csodálatos Backend a böngésző címsorában az ember arcába tolta azt az URL-t ahol az adatok voltak, ugyanis by design hibás a koncepció.

ad 2: NEM a szoftver volt a hibás, a nyílvánvaló tervezési hiba ellenére NEM az OTP hibázott, NEM az Apache Foundation követett el hanyagságot (amely a licensz szerződésben ráadásul ki is köti, hogy semmilyen felelősséget nem vállal), hanem kizárólag a yourbank.hu munkálatokat tervező, kivitelező és QA részlege a felelős.

Innen egyenes út vezetett addig, hogy az egész szakma az említett cégen röhögött, ugyanis a pingvin iskola első szemesztere is úgy kezdődik, hogy mi az az ACL.

A dolog különösen humoros pikantériája, hogy azzal, hogy a Tisztelt cég most igen humoros formában elkezdett pattogni, ahelyett hogy kikopott volna a köztudatból ez a fiaskó, most válik internetes mémé.

@RockWood1911: Igazából a kérdésemre és reakciómra nem várok választ, csak pár gondolatot ami remélhetőleg megjelenik a fejedben miután elolvasod.
Ez azt jelenti, hogy úgy üzemeltettétek a rendszert, hogy nem volt rendszergazdátok? Gondolom, mivel ő telepítette, feltételezem az üzememeltetés is az övék/övé volt, majd lepattant. Elég felelőtlen húzás egy olyan cégtől akik az állampolgároknak nyújtanak szolgáltatást lényegében a pénzükért cserébe.
Másrészt tucatnyi magyar IT-Security-s embert ismerek aki másodállásként, részmunkaidőben és távmunkában ellátta volna/ellátná a feladatot illetve ellátta volna, megbízhatóan. Természetesen ennek megvannak a vonzatai, de az már nem kellene, hogy probléma legyen.
Harmadrészt köszönjük a bennfentes információkat :)

@RockWood1911: bra nem hackelt semmit, mint látható volt a blog posztjában is, hanem leírta, hogy egy egyszerű étel rendeléssel és annak kifizetésével is gondok vannak nálatok, mert félúton hibával megáll a folyamat.

Nem mellesleg még mindig dobja a hibaüzenetet a szarotok:

yb172011801.yourbank.hu//pay/fiz3.php?func=fiz3&fizetesValasz=true&posId=1234567&tranzakcioAzonosito=12345678

Segítek: legalább a php.ini-ben kapcsoljátok ki a display_errors-t, hogy ne szivárogtassa a könyvtár útvonalakat és egyebeket. Ez nem OTP szoftver kérdése, hanem PHP konfigurációé.

Ennek ellenére az OTP szoftvere is szar, de azt ha jól sejtem bemutatónak - példakódnak - szánták, nem pedig éles használatra, úgyhogy sűrgősen kezdjétek el átnézetni olyannal, aki ért is hozzá.

Buheratort és cégét a fenyegetés helyett esetleg pont meg is lehetett volna ilyennel bízni.

@RockWood1911:
Ha egy BNP Paribas megbizik egy vilagmeretu nemzetkozi cegben, akkor a kicsik reszerol nem erzem a bizalmatlansagot indokoltnak.

@Hunger:

1/
Ember :) fenyegette B-t a hóhér, de nem mi. együttműködését kértük. a "kérem" szó amelyet mondatban is írtam, az nem fenyegetőzés

2/
tévedsz AZ a dolog nem példakód amit az OTP ad! AZ az éles. amit Te a "szarotok" szóval nevezel

ez tök jó pl. Józsibácsi üzemeltet a Manyi néni webserverén valamit akkor a Manyi néni a rokkantelméjű hogy ha Józsi bácsi szoftverében hiba van?

SZERINTED?

4/
posId=1234567&tranzakcioAzonosito=12345678

Ilyen kamu adatokkal ne csodálkozz hogy behal... mondom mégegyszer: nem a YBHU írta a sourcet...

@RockWood1911: "Nos ez a "barát" dolog ezt azért tegyük hozzá hogy a baráti körből azok lettek ám kiválasztva akiknek van felsőfokú végzettsége is - tehát nem hóhányó szakmunkások programoznak ..."

Latom, igazi profik egytol egyig.

"Attól hogy egy php programnak URL-je van attól az még nem publikus :-D"

Sulyos tevedesben vagy. Ami authentikacio nelkul ki van rakva az internetre, az publikus. Pont. Ezt meg talan a felsofoku vegzettsegu felistenek is tudjak. Kerdezd meg toluk.

@RockWood1911:
Azt kellene megertened, hogy az OTP kodjaban ugyan lehet hiba, de ha rendesen be lenne allitva a webszerver, akkor:
- nem kurtolne vilagga a hibat annak minden resszletevel egyutt,
- ki lenne kapcsolva a konyvtarak listazasa.
- csak onnan fogadna a szerver kapcsolatokat ahonnan muszaj.

Es ezek az olyan alap dolgok, amiket meg en is tudok, aki csak egy lelkes amator.

@Hunger: az OTP-s szoftver nem arra van koncepció szerint kitalálva hogy bizdergálják a vásárlók kívülről. sem arra hogy bloggerek bizdergálják kívülről. de mivel látható hogy oly sokaknak okoz ez kéjes örömet, el kell rajta gondolkodni...

@RockWood1911:

1. Persze persze, kedves kis kérésnek tűnt ez mindenki szemében.

2. Ember, benne van még a könyvtárútvonalban is, hogy "web_demo", kit akarsz hülyének nézni? :))

3. A Manyi néni azért balfasz, mert kitolja élesbe a Józsibácsi szoftverét úgy, hogy se a PHP és úgy egyébként webszerver hardening nem történt meg, se a szoftver auditálása, se az egész rendszernek a biztonsági ellenőrzése.

4. _Semmilyen_ adatra nem szabad, hogy behaljon. A megfelelő bemenet validáció fontosságával kezdi minden egyes ezzel foglalkozó könyv a témát.

@RockWood1911: "Ember :) fenyegette B-t a hóhér, de nem mi. "

Lenyegtelen. Annal keves undritobb magatartas letezik, amikor valamit elbaszol, es amikor kiderul, ahelyett hogy elismerned, elkezded megmagyarazni, hogy deazugy tokeletes, mindenki mas a hibas, meg egyebkent is. Es mindekozben persze a johiszemu ugyfeleid p.cset tartod a daraloban.

[i]@Hunger: az OTP-s szoftver nem arra van koncepció szerint kitalálva hogy bizdergálják a vásárlók kívülről. sem arra hogy bloggerek bizdergálják kívülről. de mivel látható hogy oly sokaknak okoz ez kéjes örömet, el kell rajta gondolkodni...[/i]

Szólok a QA-nak, megvan az új csodafegyver az userek és a hibák ellen! Nincs több hibás release, mert ha valamitől elborul a kóceráj, akkor megkérjük a TEK-et, hogy üssön a gonosz felhasználó kezére, hogy azokat a gombokat többet ne nyomja meg. Isten vagy!

@RockWood1911: "az OTP-s szoftver nem arra van koncepció szerint kitalálva hogy bizdergálják a vásárlók kívülről. sem arra hogy bloggerek bizdergálják kívülről."

OMFG

*facepalm*

@eax_: a publikus az egy JOGI fogalom abban az értelmezésben ahogy mi használtuk! nem műszaki.

nézd ha lány vagyok és nincs rajtam bugyi akkor attól még senkinek nincs joga engem gerincrevágni (csak mert nincs védelem vagy nincs "authentikáció" :-))

@RockWood1911: Na, valami ilyesmi lehet elmagyarazni egy vaknak a kek szint.

@EQ: nem :-D rendszergazda az van csak épp nem az aki telepítette a szervereket... => már elkezdődtek az előkészületek másik szerverhosting céghez való átballagáshoz, ahol a rendszergazdának szabad email írni, és nem koptat le azzal hogy "nem ér rá"...

Ha segíteni már nincs mód a bajon,
Adj túl minden keserves sóhajon.
Ki azon jajgat, ami megesett,
A régi bajhoz újat keresett.

valamiért ez visszhangzik a fejemben reggel óta.

No offense.

Béke ^__^

Ezek utan ketsegaim vannak afelol is, hogy egy felkeszult tamadot egyaltalan megtalalnanak-e...

Ketfele rendszergazda van: akinek mar tortek be a rendszerebe es aki meg eszre sem vette.

@eax_: pár sorral fentebb lett említve valami a naivitásról. szóval nem mondta senki hogy nem lett az a jelszavas dolog elszurva.

@RockWood1911: "a publikus az egy JOGI fogalom abban az értelmezésben ahogy mi használtuk! nem műszaki."

tehát a rendszereiteket használó összes user potenciális bűnöző, ugyanis van a technikailag publikus urlek halmaza, amin belül ti utólag, bemondásra "jogilag nem publikusakat" jelöltök ki

@RockWood1911: "@EQ: nem :-D rendszergazda az van csak épp nem az aki telepítette a szervereket... => már elkezdődtek az előkészületek másik szerverhosting céghez való átballagáshoz, ahol a rendszergazdának szabad email írni, és nem koptat le azzal hogy "nem ér rá"..."

Komolyan világgá kell kürtölni azt, hogy ott álltok letolt gatyával, bocsánat bugyival és az egész, a szolgáltatást nyújtó kóceráj védtelen ? :)

@Hunger: örülök hogy meg tudtalak nevettetni.

attól hogy az eredeti gyári pack szerint megmaradt egy könyvtár elnevezése, még nem demo.

attól hogy a forintot elnevezem eurónak, még nem lesz euró (sajnos) :-(

egy szoftver nem attól nem demo hogy nem a web_demo könyvtárban vannak egyes részei, hanem attól hogy képes valódi tranzakciókat egyébként normálisan kezelni. a hülyeségre kiakad. DE nem mi írtuk!

Gondolod hogy nekünk kellene auditálni az OTP szoftverét? meg megtiltani hogy nálunk fusson amíg stb pattognánk nekik agybafőbe? meg megparancsolni nekik ezt-azt? próbáltál Te már banknak valamit megparancsolni? vagy leminősíteni amit az ottani kollegák készítettek?

nem, hallod tényleg nem kívülről vlaó bizdergálásra készítették.

Na mondok vmi okosat. tanulságos oltásaitok kapcsán szócsata helyett munkálkodás fog következni. annak bizonyára mindenki örülni fog :)

@snq: nem mi. erre van a Btk-nak egy bizonyos része hogy mi a Szoftver eredendő FUNKCIÓJA és üzemszerű használata és mi az ami NEM ÜZEMSZERŰ használat.

@RockWood1911: +1

@_2501: jó vers! písz :)

@RockWood1911: sok a szöveg, dolgozzál. :)

@RockWood1911: "egy szoftver nem attól nem demo hogy nem a web_demo könyvtárban vannak egyes részei, hanem attól hogy képes valódi tranzakciókat egyébként normálisan kezelni. a hülyeségre kiakad. DE nem mi írtuk!"

Ez még úgy oké is, de... php-ban átadott kód gyakorlatilag a forráskód átadását is jelenti, amit át lehet nézni, le lehet auditálni, ha másnem házon belül. És lehet írni elé egy frontend modult ami a fenti hibákat még azelőtt kiszűri, hogy az OTP-től kapott kód lefutna. Senki sem akadályoz meg ebben titeket.

@RockWood1911: ilyen a "kamu adatokkal ne csodálkozz hogy behal", "nincs rajta bugyi", "nem bizdergálásra találták ki" rendszernél már azt sem egyszerű eldönteni, vajon mi lehet az üzemszerű működés

@RockWood1911:
szevasz veréb! :D
először is ajánlom a figyelmedbe (ami nyilván enyhén messze áll az erőstől), hogy te most egy szakértői blogon osztod az észt a szakértőknek, olyan témákban, amihez neked nagyjából akkora fogalmad van, mint a seggemnek...
ajánlom, olvasgass a törvényekről, mielőtt bárkit fenyegetni mersz,mert a közelébe nem vagy a valóságnak.a veréb bank viszont a személyes adatokra vonatkozó trvényeket eég erősen sérti, mivel az adatok védetlen tárolása és közzététele picikét az adatvédelmi törvényekbe ütközik :D másrészről pedig nem ártana elgondolkoznod azon, hogy ha a szakértőknek pofázol, akkor vajon egy tárgyaláson kit hallgatnak majd erről meg! téged a lófaszt nem tudó szakmailag senkit, vagy egy szakértőt esetleg? nem vagy te itt senki, csak bele pofázol valamibe, amirl se neked, se a veréb banknak, se az ott dolgozóknak halvány fasz fogalma sincs és te próbálsz itt zsarolással egy bűnelkövető bank érdekeiben eljárni. megegyzem, hogy az avatarod eleve törvényt szeg. ez az erőszakos kényszerítés pszichikai alkalmazása,amiért simán kaphatsz 6 évet buta barom! nyugi tudom iről beszélek! van pár barátom, aki elmesélte mi van odabenn! és ha fegyvert akarsz nekem pofázz! helyre raklak én 5 perc alatt kis buzeráns!

@j311: megtaláltuk :-D van ugye egy csomó log fájl átjárónként és szerverenként aminek az a dolga hogy minden ilyen agyirokkantat loggoljon. megtelt vele egy kiskönyv aznap, amit bizonyítékként legyűjtöttünk.

igen, szoktak próbálkozni nálunk de hát azért ezek egyrészt tiltva vannak másrészt ,meg loggolva, tehát betörés nem marad nyomtalanul.

@Dezsoke nem állunk letolt bugyival ember mert napi szinten nézzük a szervereket meg 5 percenként a szervermonitort... (munin)

másrészt igen erre mondtam hogy bővítjük az gyári cucct

@_2501: jaja fiúk a bányában dolgoznak, megyek én is

@RockWood1911: "Gondolod hogy nekünk kellene auditálni az OTP szoftverét?"

Amig az ugyfeleiteket azzal szedititek, hogy "100% adatbiztonsag", addig IGEN.

Mancs!

Legalább neked lenne több eszed, komolyan!

@RockWood1911: "@Dezsoke nem állunk letolt bugyival ember mert napi szinten nézzük a szervereket meg 5 percenként a szervermonitort... (munin) "

Munin csak egy szimpla resource monitoring szotfver, abból is a szarabbak közül való és nem IDS. :)

@Hoszt.net: ettől azért a pofám leszakadt ha nem baj...

@Hoszt.net:
és fogadok van ott még néhány érdekes dolog, ahol a személyes adatokat csak úgy hipp hop közzé tették.. ha már a jogi következményeknél tartunk, nem árt ha tudod kit fenyegetsz :D
dobj egy cavintont és nézd a kibaszott TV-det, ahelyett, hogy ész nélkül járatod a szád.
elnézést a hibákért, írni tudok, csak a billzetem adta fel :D

@Depth: rég láttalak szevasz :-D találtak egy lyukat rajtunk és most mindenki azt dugja :) szeláví

@RockWood1911:

"Gondolod hogy nekünk kellene auditálni az OTP szoftverét?"

Ha ti használjátok és nektek származhat belőle üzleti károtok, akkor igen, célszerű lenne... De hogy ne csak az OTP-t emlegessük, a K&H Payment Gateway példakódjai is ugyanolyan szarok. Egy az egyben felhasználni őket ész nélkül egy éles rendszerhez hatalmas felelőtlenség.

"próbáltál Te már banknak valamit megparancsolni? vagy leminősíteni amit az ottani kollegák készítettek?"

Igen. Ez a munkám. :)

ez a szál kifulladt

@RockWood1911: jó szemed van, kár hogy szakmát tévesztettél... loggggggggggggggolhatsz barom. hova mész vele? attól még nem fogsz érteni hozzá... inkább azt kéne itt feszegetni, hogy ennyi ésszel mit keresel ott. kövess vissza egy jó vpn-t, vagy egy tort ,ennyi ésszel biztos menni fog xD

@RockWood1911: ettől még nem :D de látom, igyexel :D

@RockWood1911:
Felkeszultet irtam, nem script kiddiet.
Olyat aki nemcsak bemegy es elveszi amit akar, hanem takarit is maga utan...

kezd elfajulni...

@Hoszt.net: kézifék, ne legyél ennyire offenzív, már kapott eleget a csórikám .

UI: Eleg sok informaciot szivarogtatsz egesz nap a cegrol, annak IT biztonsagarol, kulonbozo megoldasairol, mukodeserol. Social engineering mond valamit?

Ha nekem dolgoznal, holnap tovabb aludhatnal. ;)

@j311: mond valamit - útközben be is ugrott... írj nekem 1 mailt pls mert érdekel mivel foglalkozol

majd@_2501: nehogy már ezek mondják meg merre hány méter. :) keresnek rajta is egy lyukat ha nem kapja össze magát :D

@Hunger: ez a munkád. értem. vettem az adást
Gratula!
<mármint tényleg gratula>

bocs de rajongok a bankokért

@Hoszt.net: túl vagyunk azon a ponton hogy osszuk, mostmár arra kéne fókuszálni hogy segítsünk nekik...

wood

* a2dismod autoindex
* rakjatok egy modsecet
* erősen javaslom hogy penteszteltessétek le a siteot, addig is futtassatok magatokon pár tesztet, van sok jó free tool amivel sokat bugot le tudtok vadászni
* logokat tailezzétek hogy ki mivel próbálkozik
* erős jelszavak, nem plaintext tárolva

a bankok simán kivágnak egy többgyerekes terhes anyát az utcára, mert nem tudja megfizetni a törlesztőrészletnek nevezett adócsaló "devizarablást".. segítsetek nekik

@_2501: Sir, köszönjük, ezért kerestünk fel másik céget akik képesek lesznek majd így beállítani a leendő szervert - és már nagyon várjuk hogy átvehessük és a Nem-Eléggé-hacker-kompatibilis beállításokra lehetőséget adó szerverteremtől s ottani kollegáktól el tudjunk búcsúzni lehetőleg minél előbb...

csak egy hacker fogja neked értelmesen belőni. azért biztonsági szakember. reméljük nem felejt el logggggggolni se ;) xD

* apacheconfig: ServerTokens Prod
* php.ini expose_php = Off
* wordpresseteket nézzétek meg hogy van e rá ismert sérülékenység, illetve a többi cms-t/3rd party szoftvert is
* ha lehet akkor az admin felületeket ne publikus szerveren/vhoston tartsátok
* mégegyszer: erős jelszavak
* google cachet browsoljátok végig hogy mi az ami kilátszik és nem tudtok róla. (dork site:yourbank.hu)

Ennyit tudok mondani anélkül hogy megnyitottam volna a weboldalatokat. Nem tudom mekkora a háló mert nem néztem, de egy nessust lehet megérné ráereszteni, a weboldalakra minimum egy nikto, illetve sqlmap, wordpressekre wpscan. Mindez nem helyettesíti a pentesztet, arra viszont jó hogy esetleg kiszűrjetek néhány parát.

@RockWood1911: nem egeszen vagom, mi koze a szerveretek beallitasainak a hoszting ceg kiletehez???

@A'rpi: valszeg lepasszoljak az uzemeltetest

@_2501: "mostmár arra kéne fókuszálni hogy segítsünk nekik..."

A legjobb tanacs az, hogy keressenek egy hozzaertot. Enelkul csak a nagy altalanossagokkal lehet dobalozni, ami vagy segit, vagy nem, vagy meg art is.

"valszeg lepasszoljak az uzemeltetest "

Az mondjuk max. arra lesz jo, hogy akkor az uzemelteto mar teljes joggal szarja le, hogy milyen bugos php-alkalmazas van a szerveren.

@Hoszt.net: Ezt a demagog baromsagot ne ide plz.

külön cég, külön felelősség, teljes egyedi rendszerek és weblapok. amíg wpzik valaki egy winről, addig semmi értelme biztonságról beszélni.
ez egy rossz vicc.

@_2501: Köszönjük!

@eax_: nem tudom mire gondoltál. én tényekről beszéltem.

@RockWood1911: én köszönöm.

Mindenkinek köszönöm a részvételt! :)

RockWood1911:

Na most amit én látok:
- Egyrészt normális esetben jobb helyeken a sajtószóvivő vagy egy kéviselő nyilatkozik, arccal, névvel, ezért tartják.
- Abban az egyben igazad van, hogy az OTP nyilvános dokumentációját ide keverni nem túl szerencsés. Csak azt nem értem, hogy nálatok mit keresett publikusan.
- Ilyenek, hogy tanlogs könyvtár a webroot alatt erős nokomment kategória.
- Különösen pikáns a web_demo nevű könyvtár. Miafasz?
- Miért, nonprofit szervezetnek nincs bevétele? Még egy társasháznak is van bevétele, költségvetése, kiadása és egy nonprofit cég is tud termelni. Annyi a különbség, hogy nem a profitszerzés a cél.

"Attól hogy egy php programnak URL-je van attól az még nem publikus :-D
Attól hogy még egy szerveren van, attól még nem publikus"

Lófaszt nem az. Egy ügyvéd megpróbálhat ilyen nonszensz dologgal védekezni, amelyet egy hozzánemértő bíró még el is hihet, csak egy szakember körberöhögi. Az, hogy nekem gyakorlatilag semmilyen védelmet nem kell kikerülnöm, a rendszer önmagától listázta, az nemhogy nem BTK §300/C-t nem sért, hanem egyenesen felveti a hanyag kezelés gyanúját. Nem "hackolással" meg fenyegetéssel kell itt pörögni, hanem fület-farkat behúzni elkussolni mélyen, hogy ekkora trehány, hanyagul összehányt szarra bízzátok az emberek adatait. Az ilyen üzemeltetőket és fejlesztőket kellene gyökerestül kiírtani az IT szakmából és akkor talán még a (valódi, hozzáértő) PHP-s fejlesztőket (figyelem, nem phpistukák!) sem nézné le automatikusan mindenki. Na meg lehetne normális rendszergazdákat is találni.

"attól hogy az eredeti gyári pack szerint megmaradt egy könyvtár elnevezése, még nem demo. "

Végül is... Aztán majd jön a következő rendszergazda, mert a mostanitok is megunja az amatőrködést és letúrja a francba, "az csak demó volt, nem?" felkiáltással. Van oka, hogy miért nem demo-nak, test-nek, vagy hasonlónak szokták nevezni az éles rendszereket. És annak is, hogy miért az amatőr balfaszok csinálnak csak ilyeneket.

"Gondolod hogy nekünk kellene auditálni az OTP szoftverét? "

Miután ti üzemeltetitek, nektek a production rendszeretek, IGEN. Házi feladat. Szerinted, ha gáz van az IT rendszerrel, még ha egy külső komponens, nem engem, mint IT-ért felelős embert vesznek elő először melóhelyen?

"baráti körből azok lettek ám kiválasztva akiknek van felsőfokú végzettsége is - tehát nem hóhányó szakmunkások programoznak ..."

"Ilyen kamu adatokkal ne csodálkozz hogy behal... mondom mégegyszer: nem a YBHU írta a sourcet...

Ezen kijelentésekkel csak és kizárólag annyit árult el, hogy lófaszt nem értesz az egész szakmához. Talán nem kellene itt okoskodni, mert csak a YB hitelét rontod.

Ui.: Egyáltalán tudod mire jó a munin?

Hat sracok, en most talaltam a szalra. Jo hogy csak most, mert boldogitottam volna a fenyegetozo uriembert par szoval. Kosz, hogy korrekten reagaltatok le, ettol lehet en is tanulok kicsit viselkedni, meg akkor is ha verlazito modon nyilvanul meg nemelyik okoska.

Ugyanakkor lenne egy proposal-om: Miert nem alapitunk egy hohh-os kis klubot ahol hasonlo elesett kis cegeket akik nem allami penzbol elnek (haha) ellatunk nemi jotanaccsal, persze felelosseg nelkul. Az elmult ido azt sugallja, hogy lenne ra kereslet boven.

@synapse: +1

és nem hiszem hogy a klub segítő tanácsainak - főleg ha az egy cégnek kimagaslóan fontos -, akkor ingyenesnek kell lennie.

én nem gondolom úgy - ahogy itt valaki feljebb - hogy az aki a szakmáját kitanulta és másoknál jobban műveli, az ne érdemelne a munkájáért a köszönömnél több anyagi ellentételezést. hiszen azért tanult hogy ebből éljen. nem értem mi a baj ezzel.

@kamu: >> Aztán majd jön a következő rendszergazda, mert a mostanitok is megunja az amatőrködést és letúrja a francba, "az csak demó volt, nem?" felkiáltással

meglévő ügyfél cuccába csak fejvesztés terhe mellett szabad nyúlni

azért egy rendszergazdát úgy odaengedni egy szerverhez hogy teljhatalommal bír és előtte a fejlesztők nem rágják át vele alaposan hogy melyik komponens mire való... másrészt az üzemeltető nem arra van hogy kussolva de vigyorogva letöröljön dolgokat, hanem azért hogy vigyázzon a gépekre és jelezze a hibákat. a fejlesztő dolga hogy az auditori javaslatokat komolyan fontolóra vegye és a javaslatok alapján emelje a szolgáltatásminőséget.

a KH, CIB, MKB, BB, ERSTE esetében nem gyári csomagot használunk, hanem egyedileg lett befektetésképpen lefejlesztve - tény: azokat senki nem szokta se bántani, se firtatni.

itt a hosszú hétvége: kitűnő alkalom lesz gondolkozni az élet dolgain - és átírni a gyári csomagot - az elnevezési konvencióival együtt :-D

@RockWood1911: Nézd, lehet ezt maszatolni a végtelenségig, attól még pontosan tudom jól, hogy kik és kik nem követnek el ilyeneket, mint ahogy az itt megszólalók nagyja.

kié lesz a századik komment?

nyiha

Az enyem. Ha kell valakinek, arhivaltam az egeszet mielott Mr. Revolver ugy gondolja hogy oriasi hibat kovetett el a barati cegek belso infoinak szelloztetesevel es torli. Mondjuk mindegy, mert orok eletre beindexelte mar a gugli. De azert biztos ami biztos.

Szep napot.

@synapse: mar megelozott kispaci, de megnyerted a 101-est. ^___^

ha valaki szeretne mosolyogni, akkor erdemes az itteni yourbankos commenteket osszevetni ezzel a weblaboros diskurzussal:
weblabor.hu/forumok/temak/107594

karma is a bitch.

Tyrael