A blog lassan négy éves történetében eddig nagyjából száz "gray-hat" hibajelentést juttatam el kisebb-nagyobb cégeknek. Meggyőződésem, hogy ezzel minden esetben sikerült hozzájárulnunk - többes szám, hiszen a hibajelzések általában tőletek érkeznek, kedves olvasóim! - ezen rendszerek biztonságosabbá tételéhez.
Az utóbbi időben azonban felhívták a figyelmemet, hogy a háttérben mindez egyes esetekben olyan folyamatokat indít el, amely velem együtt a munkatársaimat, barátaimat és persze titeket is igen kellemetlen helyzetbe hozhat. Sajnos a pozícióféltés néha háttérbe szoríthatja a jó szándékot. Nincs mit tenni, emberből vagyunk. Ennek eredményeként el kellett gondolkoznom azon, hogy megéri-e mindez nekem, nekünk.
Ti mit tennétek például, ha egyszer csak beesne a postaládátokba egy üzenet, mely szerint egy egészségügyi szoftverből a szomszéd néni is ki tudja olvasni az összes páciens teljes kórtörténetét, de ha szóvá teszitek a dolgot, könnyen eljárás indulhat ellenetek?
A legegyszerűbb megoldás természetesen, hogy jó szokás szerint mélyen hallgatunk a dologról: nem szól szám, nem fáj fejem. Egyszer vagy eladja valaki az adatbázist a szervkereskedőknek, vagy nem, reméljük a legjobbakat. Vagy mi lesz akkor, ha valaki elkezd kis magyar LulzSec-et játszani, és egyszeri honfitársaink legnagyobb privacy aggodalma többé nem a Facebook lesz?
Szeretném megadni legalább a lehetőséget arra, hogy ne így alakuljanak a dolgok, de jószándék ide vagy oda, úgy látszik a karmapisztoly visszafele is elsülhet sőt, az sem biztos, hogy csak "én kapok golyót". Így hát nem tudom mitévő legyek...
hobord 2011.06.23. 18:44:52
Ha már "golyót kapsz" legyen miért.
;)
gphilip · http://search-download.com 2011.06.23. 18:46:07
Szalonna · http://sza.lonna.hu 2011.06.23. 19:02:20
Máshol ezt jutalmazzák.
DR.version · http://m-12.blog.hu 2011.06.23. 19:02:52
zota 2011.06.23. 19:08:33
yitsushi · http://blog.code-infection.com/ 2011.06.23. 19:12:43
Azt meg hogy folytasd-e:
En folytatnam ha lelkiekben birnam, mert ezzel segitenek masoknak. Aztan ha nagyon feltenem a dolgokat magam korul akkor letrehoznek egy fuggetlen weboldalt valahol masik orszagban ahol ezekkel kapcsolatban publikalnek teljesen mas nev alatt es ide maximum belinkelnem/ideznek rola.
(meg ha segito kezet is probalok nyujtani egy idegen kutyanak, ovatosan kozelitek es kesztuben)
domi007 2011.06.23. 19:23:11
bboldii11-2011 2011.06.23. 19:28:49
Legtöbb helyen sajnos ez a hivatalos hozzáállás.
bboldii11-2011 2011.06.23. 19:29:30
domi007 2011.06.23. 19:30:44
bboldii11-2011 2011.06.23. 19:39:41
Itt a fő gond az, hogy pl. a személyes adatok védelméért az azokat kezelő a felelős. Hallottatok bárkit is megbüntetni, mert ilyen vagy hasonló törvényeket sért azzal, hogy gyenge szoftvereket rosszul konfigurálva üzemeltet, frissítésekre oda nem figyel? Én nem.
Én csak ezután jön a kérdés, hogy ha mégis feltárják ezeket a hibákat, akkor mit is kell tenni.
És a harmadik helyen jön az, hogy milyen alapon próbálta feltörni engedély nélkül az illető a rendszert.
A dolognak pedig picit fordítottan is működnie kellene. Mondjuk, bármely felhasználó, akinek érdeke fűződik egy rendszer biztonságához (legyen az magyarország.hu, vagy valami vásárlási oldal), jogosan futtathasson egy DoS-t nem okozó nessust vagy web hiba felderítőt, és ha az valamit jelez, akkor számon is kérhesse a másik felet, ha nem is nyilvánosan, legalább magánvonalon.
Nem 0-dayről és extrém távoli hibákról beszélek, hanem arról, hogy a legalapvetőbb ellenőrzésekre az embereknek is joguk lehetne.
Analógia: Ha hétvégén a zárt bankajtót valaki leellenőrzi, hogy tényleg zárva tartják-e, az talán nem gond, ha ugyanezt már fúrógéppel ellenőrzi, hogy fúrásbiztos-e, az már gond.
Ha értitek, mire gondolok.
domi007 2011.06.23. 19:41:48
Na meg persze ha, ahogy mondtad is, az üzemeltetők legalább a legalapvetőbb biztonságra ügyelnének...
Slatya 2011.06.23. 19:43:20
csabika25 2011.06.23. 19:54:37
Tyra3l 2011.06.23. 20:15:33
ettol fuggetlenul ez meg gaz, de szerintem ha csak 100 bejelentesbol 20nal sikerul elerni, hogy javitsak a hibat, azzal hogy megkeresed oket (netalantan kilatasba helyezed, hogy x ido utan publikalod a sebezhetoseget), akkor mar megerte.
az a baj, hogy nem veszik eszre az emberek, hogy az ilyen lyukas rendszerek sok esetben felelotlen tulajdonosa nem csak a sajat uzletet veszelyezteti, hanem a felhasznalok altal rabizott adatokat is.
kivancsi leszek, hogy mennyiben valtoztat a helyzetet a hamarosan ervenybe lepo bejelentesi kotelezetseg, valamint szivesen latnam, hogyha egy lepessel tovabb menve, ugyanugy perelheto lenne a vetkes gondatlansagot elkoveto tulaj a felhasznaloknak okozott karert, mint kulfoldon (class action perek a Sony ellen pl.)
btw: jovo heten megirom a php.net-es storyt.
Tyrael
dxt3r 2011.06.23. 20:19:28
sensationx 2011.06.23. 20:46:42
keriati · http://blog.fsck.hu 2011.06.23. 21:26:51
Amúgy szerintem nem érdemes kockáztatni, ha úgy érzed, hogy ebből gáz lehet, hagyd a fenébe...
"Let's play the silent game!"
sensationx: ez amit írtál izgi, de ezek alapján egy xss nem sért senkit ugye? :]
sensationx 2011.06.23. 21:41:07
Egyébként itt remekül le van írva, ahogyan azt a jogalkotók megfogalmazták: ethicalhacking.hu/btk300.aspx
Ezek után szerintem mindenki eldöntheti, csinált-e valami törvénybeütközőt, bár részletesen nem taglalja, de a lényeg egyértelmű.
Aron bacsi 2011.06.23. 21:59:40
sensationx 2011.06.23. 22:10:41
yitsushi · http://blog.code-infection.com/ 2011.06.23. 22:22:20
Vagy fogj egy alnavet es legy te a LulzSec Hungary ^_^ es akkor mas nem lesz... persze nem igy brutalisan... Itt gondolok arra elmeleti uton (szemelyek nelkul), hogy mit tehetnek akkor valakik ha valaki letrehoz egy under csoportot akik moeraljak az ilyen iranyu publikalasokat ezzel terelve masokat (anonym modon)? Ha nem hulyek akkor semmit... Es itt most en nem bujtok senkit mert hat az is bun ^_^ csak eszembe jutott, hogy ha a lulz pl nem ilyen ****-bol allna akkor meg jok is lehetnenek, de hat ez nem szuletessel jon, meg nem orokletes, hogy ki mit csinalhat..
nah jo messzire kalandoztam el =)
kz71 2011.06.23. 22:50:37
volt már ilyen régebben is, és két út volt, amit ismerek:
1. ügyvéd is besegít...
2. naaagy cég mögé bújt az illető...akit nem mertek meghurcolni, hanem _tárgyaltak_ velük.
kz
buherator · http://buhera.blog.hu 2011.06.23. 23:28:22
Jó dolgokat mondtok, melyek nagy részén már túl vagyok, próbálom megválaszolni az általános kérdéseket. (A konkrétumokról annyit, hogy egyáltalán nem a levegőbe beszélek...)
- Nem az a probléma, hogy törvényt sértek, vagy hogy rám verik-e a dolgot. Nem sértek törvényt. Én általában egy-egy e-mailt továbbítok, nem vizsgálok, nem publikálok. De adott esetben, mire kiderül az igazam, már buktam mindent, és velem együtt mások is!
- Persze használhatok hushmailt meg eldobható telefont, vagy lehetnék én a kis magyar LulzSec. De szerintetek nem lenne tök egyértelmű hogy ki áll ezek mögött egy ilyen kis országban? (Már az is elszomorító egyébként, hogy a Nagyon Fontos Embereknek annyi nem jut el az agyáig, hogy ha rosszat akarnék, nem egy gond nélkül lenyomozható címről kommunikálnék...)
- Végül pedig ne felejtsétek el, hogy a hibajelentések azért lehettek sikeresek, mert egy helyre futottak össze. A felfedező tudta, hogy írhat nekem, és korrektül kezelem a dolgot. Az érintett cég pedig tudta, hogy érdemes odafigyelni arra, amit küldök nekik. És az esetek 90%-ában ez remekül működik, win-win szituáció. Az a baj, hogy 1%-ból már baj lehet, nekem, nekünk, nektek.
A fenti sorokban és a kommentjeitekben egyébként szerintem már ott van egy elméleti megoldási lehetőség ;) A megvalósíthatóság egy nehéz kérdés lesz, alszom rá egyet...
eax_ 2011.06.24. 00:08:38
Ertem en a logikat, de errol onkentelenul is az a vicc jut eszembe, hogy vigyunk magunkkal egy bombat a repulore, mert annak a valoszinusege, hogy egy repulogepen ket bomba is legyen, elenyeszo. :)
yitsushi · http://blog.code-infection.com/ 2011.06.24. 00:09:48
buherator · http://buhera.blog.hu 2011.06.24. 00:26:50
www.youtube.com/watch?v=GANrPCta7UY
:)
Depth 2011.06.24. 01:19:08
A vicc,hogy nem lehet elárulni azokat a dolgokat ami miatt mindenki tisztán, tisztábban látná a konkrét helyzetet...
Csillaggyermek 2011.06.24. 08:55:47
Postai levél.
Banyek, nem kell rá feladó, bedobhatod bárhol postaládába és ami talán még fontos: ahol megérkezik ott iktatják, foglalkozni fognak vele első körben. Ha ezután az illetékes kezébe kerül, akkor még a kecske is jól lakhat és a káposzta is megmaradhat.
sghctoma · http://sghctoma.extra.hu 2011.06.24. 10:08:44
Spala Ferenc 2011.06.24. 10:20:26
A probléma az, hogy név nélkül is mindeki tudni fogja / megtudhatja ki áll mögötte, ahogy Buhera is írta. Nem sokan mozgolódnak itthon ilyen világos szürke kalapban :)
Inkább abba az irányba kellene menni, hogy Hungarisztán apró lakóival megértetni, hogy az aki talál egy hibát, majd ahelyett hogy rommá törné a cuccot és felrakná torrentre az adatbázist, ír egy levelet, amiben ne adj' isten még azt is leírja, hogy mit kellene máshogy csinálni, na ő is "jófiú", nem csak azok, akik ITSec cégnél dolgoznak és szerződéssel, megrendelelésre csinálják a dolgot.
Én magamból indulok ki, van egy autóm, ha egyik reggel egy levél fogadna a szélvédőn, hogy "hello, így és így ellophattam volna az autódat, mert ezek a cuccok, amiket beleraktál, semmit nem érnek, csináld helyette ezt meg azt". Tuti nem az lenne az első gondolatom, hogy feljelentem, hanem elgondolkodnék rajta, hogy mi lenne ha megcsinálnám amit javasol.
Nyílván ha csak a levél lenne ott reggel, mert az autót viszont ellopta, akkor teljesen más lenne az első gondolatom :)
_2501 2011.06.24. 11:16:36
kinek kéne megvédeni a felhasználók adatait ha nem az egyes szolgáltatóknak?
fakeferenc 2011.06.24. 15:09:32
sadcop
buherator · http://buhera.blog.hu 2011.06.24. 15:35:40
_2501 2011.06.24. 15:52:30
fakeferenc 2011.06.24. 16:01:48
bye.
_2501 2011.06.24. 16:05:09
Mkat 2011.06.24. 16:39:57
Mkat 2011.06.24. 17:10:44
_2501 2011.06.24. 17:13:16
misnyo 2011.06.24. 17:15:37
Mkat 2011.06.24. 17:49:49
lockpickfan · http://www.lockpick.blog.hu 2011.06.24. 18:31:51
Egyszer történt egy barátom barátjának az ismerősének a rokonával, hogy felhívta egy biztonságtechnikától távol álló, de ilyen termékeket forgalmazó cég képviselője, persze név nélkül, rejtett számon, miszerint a termékét azon nyomban vegye le a blogjáról, különben per, feljelentés, apokalipszis.
Persze nem lett belőle semmi, de attól függetlenül nagyon szépen kijött a piaci pozícióféltés, illetve az emberi surmóság is de az más történet.
pffejj 2011.06.24. 22:21:23
Ha tényleg azt akarod, hogy kijavítsák a hibákat, akkor csinálj egy olyan oldalt, amin publikálni fogod a hibát ha nem javítják 10 napon belül és ezt közlöd is velük. Bár ezek után annál is téged vennének elő.
domi007 2011.06.24. 23:01:37
|Z| 2011.06.25. 12:10:37
Állampolgári kötelességed a bűncselekmény gyanús eseményt bejelentened (a rendőrségnek). Nem tudhatod, történt-e bűncselekmény ezzel kapcsolatban, vagy sem. Ez azonban magával hozza azt is, hogy ha ügy lesz belőle akkor a kooperálni kell a rendőrséggel és átadni a levelezést, miképp jutott tudomásodra a hiba....
Nincs jobb tanácsom az alábbi kódnál:
[ $[ $RANDOM % 2 ] == 0 ] && echo "grey hat" || echo “white hat”
Laca@blog 2011.06.27. 10:48:22
Valaki Valahonnan 2011.06.27. 13:45:10
Bambano 2011.06.27. 19:37:05
_2501 2011.06.27. 21:39:12
Ahol hiba van azt előbb utóbb megtalálja valaki és lenyúlja az adatokat, akár tetszik akár nem. Ő viszont nem fog szólni semmit, és arról sem fogsz tudni hogy valaki olvasgatja a levelesedet mert mindenhova ugyanazt a jelszót használod, mindegy milyen erős.
lacyc3 · http://www.lacyc3.eu 2011.06.28. 15:23:40
buherator · http://buhera.blog.hu 2011.06.28. 15:31:32
lacyc3 · http://www.lacyc3.eu 2011.06.28. 15:50:52
Ha ez nem esik le a célpontnak, hogy te csak egy összekötő vagy köztük és a hiba felfedezője közt, akkor nem nagyon lehet mit tenni. Örülnék, ha maradnál, de nem mindenáron.
Bambano 2011.06.29. 07:30:00
ez az általatok geryhat hackernek nevezett valaki esetében nem áll fent. kapok egy bejelentést, hogy biztonsági rést talált, sosem fogom elhinni, hogy mielőtt szólt volna, nem borította ki magának a teljes adatbázist.
_2501 2011.06.29. 10:08:07
Joe80 2011.06.29. 13:27:46
Aztán te mint jóakaró védekezhetsz, biróságra járhatsz esetleg megtapasztalhatod milyen egy házkutatás, tárgyalás, elkobzás.
Láttam már ilyet, persze lehet új szakértőt kérni meg fellebezni, csak az a gond ezzel, hogy az eljárás költségei ezzel igencsak megnőnek és ha csak egy pontban is megáll a vád, elitélnek és fizetned kell.
Tanács: a blogolást folytasd a bejelentgetést hagyd a fenébe.
_2501 2011.06.29. 13:42:56
|Z| 2011.06.30. 11:20:37
Azt kell hibaztatni aki ezen sporol...
|Z| 2011.07.03. 16:12:25
az hogy ki bízik egy ilyen oldalban, már más kérdés :)
synapse · http://www.synsecblog.com 2011.07.04. 15:48:33
buherator: jogilag nem kell neked a macera, jogon kivul sem kell a macera. En ezzel az egesszel rohadtul nem torodnek, kuldozgesse ha akarja. Forwardolni, ahogy mondod oriasi tokonszuras. Gyakorlatilag a fogado oldalon az fog latszani hogy vki torrol vegigveri a gepeit ellop amit tud/akar aztan neked forwardolja hogy epenisz (mert bizonyara neki kicsi). Ezt ha te tovabbkuldod akkor miutan utananeznek az admin (jogosan) kuldi rad a rendort mert a masik arc valoszinuleg nyakig allt a db-ben meg a backupban. Ne forwardolj ilyeneket, rohadjanak meg az ilyenek ott ahol vannak, ezt nem eri meg.
synapse
Tyra3l 2011.07.09. 00:39:08
ok, viszont ha eljut a report a megfelelő emberig, akkor legalább esély van hogy utánanéznek, és mondjuk értesítik a usereket, mielőtt az ott használt jelszavaikkal végignyomják az email fiókjaikat, etc.
szóval ha mindent elvittek is jobb scenáriónak tartom, ha legalább értesülnek a felhasználók, amihez értesíteni kell az oldal üzemeltetőit.
szóval szar dolog, hogyha a bejelentés után a tulaj nem a hiba elhárításával, meg a károk minimalizálásával foglalkozik, hanem a bejelentőt kezdi el cseszegetni, sőt ez még érthető is, amennyiben a bejelentő tényleg túlment a hiba felderítésének minimális keretein, de én jobbab örülnék neki, ha reportolva lenne minden olyan betörés, amiről bárki tudomást szerez.
más kérdés, hogy az ezzel járó konfliktusokat akarja-e buherátor vállalni, illetve biztos, hogy szükség van-e egy ilyen proxy szerepre:
aki buherátornak jelenti, az miért nem meri megírni a tulajnak?
ha büncselekményt követett el, akkor buherátornak kutya kötelessége segíteni a nyomozóhatóság munkáját, ha pedig olyan módon jelentette az illető, hogy nem lehet visszakövetni hozzá a bejelentést, akkor megintcsak nem értem, hogy mitől fél ugyanígy bejelenteni az adott rendszer gazdájának.
Tyrael
buherator · http://buhera.blog.hu 2011.07.09. 09:37:42
Idő közben elindult a háttérben néhány örömre okot adó folyamat, jövő héten már remélem be tudok számolni a fejleményekről.
synapse · http://www.synsecblog.com 2011.07.11. 09:53:33
_2501 2011.07.11. 10:02:10
Illes 2011.07.15. 17:01:08
atlatszo.hu/2011/07/11/a-brfk-szbo-kihallgatta-az-atlatszo-hu-foszerkesztojet-es-lefoglaltak-egy-adathordozot/#comment-207
SzZ 2011.07.20. 13:14:12
Persze meghurcolás lehet, de most tényleg komolyan jogászkodva: a BTK 300-at valaki lehivatkozta, de a 27. § (2) is releváns: "Nem büntethető, aki a cselekményt abban a téves feltevésben követi el, hogy az a társadalomra nem veszélyes, és erre a feltevésre alapos oka van."
Márpedig, elég alapos ok a társadalmi veszélytelenségre, hogy felhívom a mit sem sejtő sértett figyelmét a törés lehetőségére, ill. megtörténtére. Nincs az az ügyész, aki ezek után vádat emelne, még itt Abszurdisztánban sem...
buherator · http://buhera.blog.hu 2011.07.20. 13:22:03