Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Mitévő legyek?

2011.06.23. 18:06 | buherator | 67 komment

A blog lassan négy éves történetében eddig nagyjából száz "gray-hat" hibajelentést juttatam el kisebb-nagyobb cégeknek. Meggyőződésem, hogy ezzel minden esetben sikerült hozzájárulnunk - többes szám, hiszen a hibajelzések általában tőletek érkeznek, kedves olvasóim! - ezen rendszerek biztonságosabbá tételéhez. 

Az utóbbi időben azonban felhívták a figyelmemet, hogy a háttérben mindez egyes esetekben olyan folyamatokat indít el, amely velem együtt a munkatársaimat, barátaimat és persze titeket is igen kellemetlen helyzetbe hozhat. Sajnos a pozícióféltés néha háttérbe szoríthatja a jó szándékot. Nincs mit tenni, emberből vagyunk. Ennek eredményeként el kellett gondolkoznom azon, hogy megéri-e mindez nekem, nekünk. 

Ti mit tennétek például, ha egyszer csak beesne a postaládátokba egy üzenet, mely szerint egy egészségügyi szoftverből a szomszéd néni is ki tudja olvasni az összes páciens teljes kórtörténetét, de ha szóvá teszitek a dolgot, könnyen eljárás indulhat ellenetek? 

A legegyszerűbb megoldás természetesen, hogy jó szokás szerint mélyen hallgatunk a dologról: nem szól szám, nem fáj fejem. Egyszer vagy eladja valaki az adatbázist a szervkereskedőknek, vagy nem, reméljük a legjobbakat. Vagy mi lesz akkor, ha valaki elkezd kis magyar LulzSec-et játszani, és egyszeri honfitársaink legnagyobb privacy aggodalma többé nem a Facebook lesz? 

Szeretném megadni legalább a lehetőséget arra, hogy ne így alakuljanak a dolgok, de jószándék ide vagy oda, úgy látszik a karmapisztoly visszafele is elsülhet sőt, az sem biztos, hogy csak "én kapok golyót". Így hát nem tudom mitévő legyek...

Címkék: gondolat buherablog

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

hobord 2011.06.23. 18:44:52

Add el te az adatbázist
Ha már "golyót kapsz" legyen miért.
;)

Szalonna · http://sza.lonna.hu 2011.06.23. 19:02:20

Én csak azt nem értem, hogy azért mért indulhat eljárás ellened, ha hibabejelentést teszel. Ha kihasználod a hibát, megszerzel belsős információkat és tegyük fel, elkezded árusítani azokat vagy a céget 'zsarolod' a kiszivárgott információkkal, akkor megérteném. De egy hibabejelentés téged, mint bejelentőt, miért vonnának felelősségre? Pláne, ha te is csak egy tájékoztatást kapsz a hibáról.
Máshol ezt jutalmazzák.

zota 2011.06.23. 19:08:33

@Szalonna: csak akkor kereshetsz hibát, ha megbíztak téged. Ne vedd rossz néven, de a blogon volt már pár article erről a témáról, amit ha elolvastál volna, képben lennél.

yitsushi · http://blog.code-infection.com/ 2011.06.23. 19:12:43

Mert felnek... Mert nem hiszik el, hogy nem csinltal semmit vagy nem csinalt az informator semmit... Anno engem legalabbis ilyenek miatt jelentettek fel, de szerencsemre megertettem veluk miert nincs igazuk es miert jo hogy en jeleztem a javitasi leetoseggel egyutt. Kesobb bar abbahagytam, de nem emiatt. Ezek utan is folytattam, csak egyszeruen lattam az emberek szemeben a gyuloletet es onmagat hogy mennyire embertelen ez a tarsadalom es egyszeruen olyan undorran neztem vissza mindenre, hogy ereztem abba kell hagyni, mert megsinylem... lelkileg. Foleg az tett be mikor egy ismerosom (akit mellesleg ertelmesnek tartottam) blogjan hiba volt. Felkerestem egy sor mellett mondtam neki, hogy hibas es javitsa, de ovatossagbol nem mondtam a teljes elmeleti hatteret hozza, majd kesobb egy szamomra fontos embernek pont o egy nagyon hasonlo hibat kihasznalva torolte a teljes "privat" naplojat. Es rajottem, hogy nyugodtan hagyhattam volna a biztonsag tudataban akkor ez nem biztos hogy lenne... Aztan volt meg par hasonlo eset es rajottem, hogy aki nem tud valamit az jobb ha nem is tudja meg.

Azt meg hogy folytasd-e:
En folytatnam ha lelkiekben birnam, mert ezzel segitenek masoknak. Aztan ha nagyon feltenem a dolgokat magam korul akkor letrehoznek egy fuggetlen weboldalt valahol masik orszagban ahol ezekkel kapcsolatban publikalnek teljesen mas nev alatt es ide maximum belinkelnem/ideznek rola.
(meg ha segito kezet is probalok nyujtani egy idegen kutyanak, ovatosan kozelitek es kesztuben)

domi007 2011.06.23. 19:23:11

Ha egy adott konkrét esetről van szó, akkor szerintem az eldobható, 3ezer forintos Tesco telefon használata elég lehet, ha azonban hosszú távú megoldást keresel, akkor nem tudom mi lenne a jó :S vagy létezik-e egyáltalán jó megoldás?

bboldii11-2011 2011.06.23. 19:28:49

Természetesen dobd fel a bejelentőket, hát nem ez a jó eljárás?! A hibával nem kell törődni, ha feldobsz mindenkit, nem lesz, aki visszaéljen vele.

Legtöbb helyen sajnos ez a hivatalos hozzáállás.

bboldii11-2011 2011.06.23. 19:29:30

@domi007: Ahhoz is kell személyi, ha meg akarod venni, nem?!

domi007 2011.06.23. 19:30:44

@boldii: jogos, akkor SkypeOut? Talán a Skype-ból nehezebb kiszedni, hogy ki vagyok, mint mondjuk a T-Mobileból.

bboldii11-2011 2011.06.23. 19:39:41

@domi007: A kérdés sokrétű. Elsőként az a nagy kérdés, hogy egyáltalán hogyan szabad üzemeltetni primitív hibákkal teli levő rendszert.
Itt a fő gond az, hogy pl. a személyes adatok védelméért az azokat kezelő a felelős. Hallottatok bárkit is megbüntetni, mert ilyen vagy hasonló törvényeket sért azzal, hogy gyenge szoftvereket rosszul konfigurálva üzemeltet, frissítésekre oda nem figyel? Én nem.

Én csak ezután jön a kérdés, hogy ha mégis feltárják ezeket a hibákat, akkor mit is kell tenni.

És a harmadik helyen jön az, hogy milyen alapon próbálta feltörni engedély nélkül az illető a rendszert.

A dolognak pedig picit fordítottan is működnie kellene. Mondjuk, bármely felhasználó, akinek érdeke fűződik egy rendszer biztonságához (legyen az magyarország.hu, vagy valami vásárlási oldal), jogosan futtathasson egy DoS-t nem okozó nessust vagy web hiba felderítőt, és ha az valamit jelez, akkor számon is kérhesse a másik felet, ha nem is nyilvánosan, legalább magánvonalon.

Nem 0-dayről és extrém távoli hibákról beszélek, hanem arról, hogy a legalapvetőbb ellenőrzésekre az embereknek is joguk lehetne.
Analógia: Ha hétvégén a zárt bankajtót valaki leellenőrzi, hogy tényleg zárva tartják-e, az talán nem gond, ha ugyanezt már fúrógéppel ellenőrzi, hogy fúrásbiztos-e, az már gond.

Ha értitek, mire gondolok.

domi007 2011.06.23. 19:41:48

@boldii: igen, csak az a kérdés, hogy hol húzódik a határvonal...tehát mi számít rángatásnak (az se mindegy, hogy én rángatom-e, vagy valaki erősebb), és mi fúrógépnek...ha lehetne egy éles határvonalat húzni, akkor nem lenne ezzel gond.
Na meg persze ha, ahogy mondtad is, az üzemeltetők legalább a legalapvetőbb biztonságra ügyelnének...

Slatya 2011.06.23. 19:43:20

Hát ha megoldható h "egy névtelen betelefonáló hívta fel a figyelmünket" módon tájékoztasd az illetékeseket, akkor sztem nem fogod megütni a bokádat...

csabika25 2011.06.23. 19:54:37

Sajnos törvényszerű volt, hogy ez egyszer bekövetkezik. Már elég sok éve csinálod a blogot, "lettél valaki" ebben a szakmában, van vesztenivalód, és veled együtt másoknak is. Szerintem két utad van: az egyik az, hogy hivatalosan is hivatásos leszel, azaz ebből a területből akarsz megélni, és pénzért, hivatalos felkérésre keresel hibát. A blog ettől még jó maradhat, és kell is csinálni, de a bejelentésekkel nem tudsz foglalkozni, ki kell, hogy nőjön egy új Buherátor, akit még senki sem ismer. A másik lehetőség, hogy beáldozod az egyébként elég ígéretesen alakuló karrieredet, és szabadságharcos maradsz. Ez is egy nagyon szép lehetőség, Assange-nak is jól áll. De ebből nem annyira könnyű eltartani egy családot, azaz ezt csak más szakma mellett érdemes csinálni (ahogy tudtommal B$H is így nyomja az Asva.info-t). De ez csak az én személyes véleményem.:)

Tyra3l 2011.06.23. 20:15:33

a bejelenteseket tovabb kell csinalni imho, maximum anonym modon (hushmail).
ettol fuggetlenul ez meg gaz, de szerintem ha csak 100 bejelentesbol 20nal sikerul elerni, hogy javitsak a hibat, azzal hogy megkeresed oket (netalantan kilatasba helyezed, hogy x ido utan publikalod a sebezhetoseget), akkor mar megerte.
az a baj, hogy nem veszik eszre az emberek, hogy az ilyen lyukas rendszerek sok esetben felelotlen tulajdonosa nem csak a sajat uzletet veszelyezteti, hanem a felhasznalok altal rabizott adatokat is.
kivancsi leszek, hogy mennyiben valtoztat a helyzetet a hamarosan ervenybe lepo bejelentesi kotelezetseg, valamint szivesen latnam, hogyha egy lepessel tovabb menve, ugyanugy perelheto lenne a vetkes gondatlansagot elkoveto tulaj a felhasznaloknak okozott karert, mint kulfoldon (class action perek a Sony ellen pl.)

btw: jovo heten megirom a php.net-es storyt.

Tyrael

dxt3r 2011.06.23. 20:19:28

Egyébként azt lehet tudni, hogy mi a büntetés ha valakit elkapnak azzal, hogy bármilyen megbízás nélkül pentestelt egy oldalt és bizonyos hibákat kihasználva hozzáfért admin felületekhez, stb.? Egyáltalán ki, vagy mi szabályozza ezt jogilag?

sensationx 2011.06.23. 20:46:42

300/C. § (1) Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő.

keriati · http://blog.fsck.hu 2011.06.23. 21:26:51

Remélem nem miattam van xD Ha én találok valami buherált oldalt általában röhögve küldöm levlistára.

Amúgy szerintem nem érdemes kockáztatni, ha úgy érzed, hogy ebből gáz lehet, hagyd a fenébe...

"Let's play the silent game!"

sensationx: ez amit írtál izgi, de ezek alapján egy xss nem sért senkit ugye? :]

sensationx 2011.06.23. 21:41:07

Hát egy xss nem hiszem, hogy beletartozna, de ha már belenézegetsz az adatbázisba, hogy nem kaptál hozzáférést, az gyanús, hogy igen:)
Egyébként itt remekül le van írva, ahogyan azt a jogalkotók megfogalmazták: ethicalhacking.hu/btk300.aspx

Ezek után szerintem mindenki eldöntheti, csinált-e valami törvénybeütközőt, bár részletesen nem taglalja, de a lényeg egyértelmű.

Aron bacsi 2011.06.23. 21:59:40

@sensationx: A §-t ismerem, de amikor a cégnél a felhasználóktól kapunk bugreport-ot vmelyik alkalmazásunkhoz kapcsolódóan (akár security jellegűt is), akkor azt elsődleges prioritással kell kezelnünk (reprodukálni + javítani) és nem a bíróságra rohangálunk feljelentésért. Ha az egészségügyi szoftvernél is egy legális felhasználó jelzi a hibát, akkor szerintem abból nem lehet baj. Hozzáteszem, hogy manapság, amikor olyan sérülékenységek vannak, amiket pl. Citigroup-nál még az egyszerű júzer Pistike is véletlenül ki tudna használni, akkor nem tudom, hogy az idézett §-t vajon kire vonatkozólag kell érvényre juttatni...

sensationx 2011.06.23. 22:10:41

@Aron bacsi: Igen, ez lenne végülis szerintem a helyes, csak az a baj, nem mindenki gondolkozik így. De azért lássuk be, az esetek túlnyomó részében nem egy "legális felhasználó" talál security jellegű hibát, az más kérdés, hogy esetleg visszaél-e vele, vagy sem, de törvényileg sajnos az is ugyanúgy felel, aki nem él vele vissza. A jogalkotók hanyagsága:)

yitsushi · http://blog.code-infection.com/ 2011.06.23. 22:22:20

"Vagy mi lesz akkor, ha valaki elkezd kis magyar LulzSec-et játszani, és egyszeri honfitársaink legnagyobb privacy aggodalma többé nem a Facebook lesz?"

Vagy fogj egy alnavet es legy te a LulzSec Hungary ^_^ es akkor mas nem lesz... persze nem igy brutalisan... Itt gondolok arra elmeleti uton (szemelyek nelkul), hogy mit tehetnek akkor valakik ha valaki letrehoz egy under csoportot akik moeraljak az ilyen iranyu publikalasokat ezzel terelve masokat (anonym modon)? Ha nem hulyek akkor semmit... Es itt most en nem bujtok senkit mert hat az is bun ^_^ csak eszembe jutott, hogy ha a lulz pl nem ilyen ****-bol allna akkor meg jok is lehetnenek, de hat ez nem szuletessel jon, meg nem orokletes, hogy ki mit csinalhat..

nah jo messzire kalandoztam el =)

kz71 2011.06.23. 22:50:37

hali,

volt már ilyen régebben is, és két út volt, amit ismerek:

1. ügyvéd is besegít...

2. naaagy cég mögé bújt az illető...akit nem mertek meghurcolni, hanem _tárgyaltak_ velük.

kz

buherator · http://buhera.blog.hu 2011.06.23. 23:28:22

Nagyon köszönöm a sok hozzászólást, jól esik, de tényleg!

Jó dolgokat mondtok, melyek nagy részén már túl vagyok, próbálom megválaszolni az általános kérdéseket. (A konkrétumokról annyit, hogy egyáltalán nem a levegőbe beszélek...)

- Nem az a probléma, hogy törvényt sértek, vagy hogy rám verik-e a dolgot. Nem sértek törvényt. Én általában egy-egy e-mailt továbbítok, nem vizsgálok, nem publikálok. De adott esetben, mire kiderül az igazam, már buktam mindent, és velem együtt mások is!

- Persze használhatok hushmailt meg eldobható telefont, vagy lehetnék én a kis magyar LulzSec. De szerintetek nem lenne tök egyértelmű hogy ki áll ezek mögött egy ilyen kis országban? (Már az is elszomorító egyébként, hogy a Nagyon Fontos Embereknek annyi nem jut el az agyáig, hogy ha rosszat akarnék, nem egy gond nélkül lenyomozható címről kommunikálnék...)

- Végül pedig ne felejtsétek el, hogy a hibajelentések azért lehettek sikeresek, mert egy helyre futottak össze. A felfedező tudta, hogy írhat nekem, és korrektül kezelem a dolgot. Az érintett cég pedig tudta, hogy érdemes odafigyelni arra, amit küldök nekik. És az esetek 90%-ában ez remekül működik, win-win szituáció. Az a baj, hogy 1%-ból már baj lehet, nekem, nekünk, nektek.

A fenti sorokban és a kommentjeitekben egyébként szerintem már ott van egy elméleti megoldási lehetőség ;) A megvalósíthatóság egy nehéz kérdés lesz, alszom rá egyet...

eax_ 2011.06.24. 00:08:38

@yitsushi: "Vagy fogj egy alnavet es legy te a LulzSec Hungary ^_^"

Ertem en a logikat, de errol onkentelenul is az a vicc jut eszembe, hogy vigyunk magunkkal egy bombat a repulore, mert annak a valoszinusege, hogy egy repulogepen ket bomba is legyen, elenyeszo. :)

buherator · http://buhera.blog.hu 2011.06.24. 00:26:50

Hogy feldobjam a hangulatot, az egész szituációról valahogy az első vers jut eszembe:

www.youtube.com/watch?v=GANrPCta7UY

:)

Depth 2011.06.24. 01:19:08

Úgy tudtam, hogy "flame" lesz, örülök neki. Most értem haza, holnap elolvasom a hozzászólásokat és tovább görgetem a problémát :)
A vicc,hogy nem lehet elárulni azokat a dolgokat ami miatt mindenki tisztán, tisztábban látná a konkrét helyzetet...

Csillaggyermek 2011.06.24. 08:55:47

Komolyan, annyira jó olvasni itt a technika miatt már módosult aggyal rendelkezőket, de a legegyszerűbb megoldás szerintem a legjobb is egyben:
Postai levél.

Banyek, nem kell rá feladó, bedobhatod bárhol postaládába és ami talán még fontos: ahol megérkezik ott iktatják, foglalkozni fognak vele első körben. Ha ezután az illetékes kezébe kerül, akkor még a kecske is jól lakhat és a káposzta is megmaradhat.

sghctoma · http://sghctoma.extra.hu 2011.06.24. 10:08:44

@Csillaggyermek: egyreszt a problema nem az, hogy hogyan lehet megoldani az anonimitast.. masreszt a postai level kenyelmetlen, lassu, fizetni kell erte, raadasul nem hiszem, hogy egy felado nelkuli levelet akarki komolyan venne..

Spala Ferenc 2011.06.24. 10:20:26

Srácok, nem azzal van a baj, hogy Buhera vagy bárki nem tud anonim módon levelet küldeni, azért ezt technikai miatt módosult aggyal is meg tudjuk ugrani :)
A probléma az, hogy név nélkül is mindeki tudni fogja / megtudhatja ki áll mögötte, ahogy Buhera is írta. Nem sokan mozgolódnak itthon ilyen világos szürke kalapban :)
Inkább abba az irányba kellene menni, hogy Hungarisztán apró lakóival megértetni, hogy az aki talál egy hibát, majd ahelyett hogy rommá törné a cuccot és felrakná torrentre az adatbázist, ír egy levelet, amiben ne adj' isten még azt is leírja, hogy mit kellene máshogy csinálni, na ő is "jófiú", nem csak azok, akik ITSec cégnél dolgoznak és szerződéssel, megrendelelésre csinálják a dolgot.

Én magamból indulok ki, van egy autóm, ha egyik reggel egy levél fogadna a szélvédőn, hogy "hello, így és így ellophattam volna az autódat, mert ezek a cuccok, amiket beleraktál, semmit nem érnek, csináld helyette ezt meg azt". Tuti nem az lenne az első gondolatom, hogy feljelentem, hanem elgondolkodnék rajta, hogy mi lenne ha megcsinálnám amit javasol.
Nyílván ha csak a levél lenne ott reggel, mert az autót viszont ellopta, akkor teljesen más lenne az első gondolatom :)

_2501 2011.06.24. 11:16:36

para. hiányzik egy törvényi szabályozás ami a felhasználókat védi és kényszeríti a szolgáltatókat arra hogy tegyenek lépéseket a felhasználóik érdekében. másrészről nem csak a 300 létezik, nem csak azt lehet ráhúzni valakire aki behaxol. az is para hogy ha most bárki csinál egy ilyen oldalt ahol publikálni lehet a breacheket akkor egyből nálad fognak kikötni hogy mit tudsz róla.

kinek kéne megvédeni a felhasználók adatait ha nem az egyes szolgáltatóknak?

fakeferenc 2011.06.24. 15:09:32

erdekes h most mindenki mien feher, amikor hacked _userekrol_ van szo, vhogy szep csondben mind elsotetultok... forth3lulz ugye? B<

sadcop

buherator · http://buhera.blog.hu 2011.06.24. 15:35:40

@fakeferenc: Látom nem megy az értő olvasás. A "milyen"-t pedig ly-nal írjuk.

_2501 2011.06.24. 15:52:30

@fakeferenc: mit is akartál mondani ezzel?

fakeferenc 2011.06.24. 16:01:48

semmit.elnezest h beleszoltam.

bye.

Mkat 2011.06.24. 16:39:57

Hacker-eszközök használata csak saját gépen, vagy hálózaton engedélyezett, idegen terepen csak engedéllyel. Szerintem ez nem lehet probléma, mert már "fehér eszközökkel" is komoly felfedezéseket lehet tenni egy rosszul konfigurált szerveren, vagy hálózaton. Ez pedig nem törvénytelen, és nyugodtan megírható az érintetteknek. És ilyenkor fel lehet ajánlani a címzettnek a tesztelést "szürke eszközzel" is. Ha nem kérnek a tesztelésből, akkor is van rá remény, hogy legalább maguk elvégzik.

Mkat 2011.06.24. 17:10:44

@Mkat: Kiegészítés: fehér eszközökkel sem szabad belépni egy idegen eszközre, csak azt szabad megnézni, ami kívülről is látszik. A legtöbbször ez is bőségesen elég arra, hogy tudjuk, a rendszer védelme gyenge lábakon áll.

misnyo 2011.06.24. 17:15:37

@Mkat: mit ertesz "feher" illetve "szurke" eszkoz alatt? szerintem a hasznalati mod lehet max

Mkat 2011.06.24. 17:49:49

@misnyo: Lényegében igazad van. Egyébként fehér eszköz alatt pl. a Google-ra gondoltam, szürkénél pedig pl. egy jelszó-feltörőre. A feketéket pedig szóba sem hozom.:)

lockpickfan · http://www.lockpick.blog.hu 2011.06.24. 18:31:51

Ez egy egészen átérezhető probléma, bár én még csak a gyerekcipőben járó változatával jártam.

Egyszer történt egy barátom barátjának az ismerősének a rokonával, hogy felhívta egy biztonságtechnikától távol álló, de ilyen termékeket forgalmazó cég képviselője, persze név nélkül, rejtett számon, miszerint a termékét azon nyomban vegye le a blogjáról, különben per, feljelentés, apokalipszis.

Persze nem lett belőle semmi, de attól függetlenül nagyon szépen kijött a piaci pozícióféltés, illetve az emberi surmóság is de az más történet.

pffejj 2011.06.24. 22:21:23

Ez a nem anonim módon való bejelentősdi, azért is para, mert ha te nem is csináltál semmit, de előtte valaki más igen, és ez kiderül akkor is téged fognak elővenni először.

Ha tényleg azt akarod, hogy kijavítsák a hibákat, akkor csinálj egy olyan oldalt, amin publikálni fogod a hibát ha nem javítják 10 napon belül és ezt közlöd is velük. Bár ezek után annál is téged vennének elő.

domi007 2011.06.24. 23:01:37

@Spala Ferenc: Ez teljes mértékben így van, csak nálunk ezt soha nem fogják megenni az emberek, mert ugye az a hozzáállás, hogy "mé nyú hozzá, hö?". Szerintem még külföldről sem tudunk/tudnánk olyan példát mondani, ahol valami ilyesmi rendszer működőképes...persze vannak kiemelkedő kivételek, ahol ugye a megtámadott cég elismerte a betörő tevékenységét, ne adj Isten még pénzt/munkát is ajánlott neki ezért, de ezek szerintem nagyon nagyon ritkák...sajnos, teszem hozzá. Ha mindez manapság elfogadott lenne, akkor sokkal kevesebb rossz rendszer lenne.

|Z| 2011.06.25. 12:10:37

Van egy másik vetülete is a dolgoknak, csak sajnos az sem vezet sehová.
Állampolgári kötelességed a bűncselekmény gyanús eseményt bejelentened (a rendőrségnek). Nem tudhatod, történt-e bűncselekmény ezzel kapcsolatban, vagy sem. Ez azonban magával hozza azt is, hogy ha ügy lesz belőle akkor a kooperálni kell a rendőrséggel és átadni a levelezést, miképp jutott tudomásodra a hiba....

Nincs jobb tanácsom az alábbi kódnál:
[ $[ $RANDOM % 2 ] == 0 ] && echo "grey hat" || echo “white hat”

Laca@blog 2011.06.27. 10:48:22

a lulzsec bejelentette h abbahagyják, Buherátor is gondolkodik, párhuzam? ;)

Valaki Valahonnan 2011.06.27. 13:45:10

Végül is nem rossz a törvény: felesleges időt, pénzt, biteket pocsékolni a jogosultsági rendszerre meg a biztonságra. Sokkal hatékonyabb, ha kiírják az ajtóra, hogy "Admin bejárat. Idegeneknek tilos a belépés!" A jól felkészült, erős rendőrség úgyis megvéd minket a rosszhiszemű behatolóktól...

Bambano 2011.06.27. 19:37:05

Szerintem meg jobb, ha nem szórakoztok mások webszervereivel. Ha valaki átlagos felhasználás során talált bugot, az jelentse be, de az ilyen greyhat hacker (lol, nem is létezik ez a kifejezés) penteszt szerintem helytelen. Sosem tudhatod, mekkora kárt okozol és sosem tudhatod, hogy az üzemeltetője mit tud a helyzetről.

_2501 2011.06.27. 21:39:12

@Bambano: kösz a tanácsot, ignoráltam. :)

Ahol hiba van azt előbb utóbb megtalálja valaki és lenyúlja az adatokat, akár tetszik akár nem. Ő viszont nem fog szólni semmit, és arról sem fogsz tudni hogy valaki olvasgatja a levelesedet mert mindenhova ugyanazt a jelszót használod, mindegy milyen erős.

lacyc3 · http://www.lacyc3.eu 2011.06.28. 15:23:40

Nem tudom milyen fenyegetést kaptál, de ha nem vagy már független, szerintem inkább csak akkor dolgozz, ha megbízást kapsz valakitől.

buherator · http://buhera.blog.hu 2011.06.28. 15:31:32

@lacyc3: Akkor leírom hatodszor is... nem nyúltam a rendszerekhez, leveleket továbbítok.

lacyc3 · http://www.lacyc3.eu 2011.06.28. 15:50:52

@buherator: Akkor ez read fail (bocs)...

Ha ez nem esik le a célpontnak, hogy te csak egy összekötő vagy köztük és a hiba felfedezője közt, akkor nem nagyon lehet mit tenni. Örülnék, ha maradnál, de nem mindenáron.

Bambano 2011.06.29. 07:30:00

@_2501: a penteszt bizalmon alapszik. először kell a bizalom, utána lehet tesztelni.

ez az általatok geryhat hackernek nevezett valaki esetében nem áll fent. kapok egy bejelentést, hogy biztonsági rést talált, sosem fogom elhinni, hogy mielőtt szólt volna, nem borította ki magának a teljes adatbázist.

_2501 2011.06.29. 10:08:07

@Bambano: 1.) szerződésen alapszik ha már itt járunk de 2.) nem mindenki tud megfizetni egy pentesztet, és 3.) egy blackhat nem fog engedélyt kérni és arról sem fogsz tudni hogy hányan zúzták már le a rendszeredet vagy a db-idet úgyhogy 4.) lehet hogy érdemes lenne félretenni a kis hülye elveidet, 5.) neadjisten megköszönni a segítséget.

Joe80 2011.06.29. 13:27:46

Szerintem az a baj hogy komoly poziciókban az uid 0 -hoz iq 0 társul. És ha kap egy bejelentést a rendszergazda jobb esetben csendben befoltozza a rést és kussol nehogy kiderüljön a főnöke számára is hogy egy dilettáns barom vagy ha a főnökének szólsz először akkor elkezd támadni, hogy betörtek a hulligánok jelentsük fel őket.

Aztán te mint jóakaró védekezhetsz, biróságra járhatsz esetleg megtapasztalhatod milyen egy házkutatás, tárgyalás, elkobzás.

Láttam már ilyet, persze lehet új szakértőt kérni meg fellebezni, csak az a gond ezzel, hogy az eljárás költségei ezzel igencsak megnőnek és ha csak egy pontban is megáll a vád, elitélnek és fizetned kell.

Tanács: a blogolást folytasd a bejelentgetést hagyd a fenébe.

_2501 2011.06.29. 13:42:56

@Joe80: nice. igen. necces. beletörődni vagy kockáztatni? nem fogadom el hogy nincs arany középút.

|Z| 2011.06.30. 11:20:37

@Joe80: szerintem ne a rendszergazdat hibaztasd. A problema ott kezdodott, amikor a ceg vezetese ugy dontott (vagy eszebe se jut, hogy donteni kellene), hogy nem erdekes a biztonsag, eleg lesz az 1bites Jozsi a feladatra. Jozsi meg megszakad, mert a webszerver uzemeltetes mellett a felhasznalok nyomtato-problemajat is kezelnie kell, es se tudasa, se ideje, se motivacioja. Ezek utan egy php/linux/apache/mysql hardening nem tul realis ....

Azt kell hibaztatni aki ezen sporol...

|Z| 2011.07.03. 16:12:25

hackerleaks.tk/ :-)

az hogy ki bízik egy ilyen oldalban, már más kérdés :)

synapse · http://www.synsecblog.com 2011.07.04. 15:48:33

Ahahah na ide talaltam igy a VOLT utan. Szoval amennyi baromsagot osszehordanak itt neha az emberek az elkepeszto szamomra, kulon udvozlom azt a bolcseszt aki ezt a gyongyszemet osszerakta: "technika miatt már módosult aggyal".

buherator: jogilag nem kell neked a macera, jogon kivul sem kell a macera. En ezzel az egesszel rohadtul nem torodnek, kuldozgesse ha akarja. Forwardolni, ahogy mondod oriasi tokonszuras. Gyakorlatilag a fogado oldalon az fog latszani hogy vki torrol vegigveri a gepeit ellop amit tud/akar aztan neked forwardolja hogy epenisz (mert bizonyara neki kicsi). Ezt ha te tovabbkuldod akkor miutan utananeznek az admin (jogosan) kuldi rad a rendort mert a masik arc valoszinuleg nyakig allt a db-ben meg a backupban. Ne forwardolj ilyeneket, rohadjanak meg az ilyenek ott ahol vannak, ezt nem eri meg.

synapse

Tyra3l 2011.07.09. 00:39:08

synapse:
ok, viszont ha eljut a report a megfelelő emberig, akkor legalább esély van hogy utánanéznek, és mondjuk értesítik a usereket, mielőtt az ott használt jelszavaikkal végignyomják az email fiókjaikat, etc.
szóval ha mindent elvittek is jobb scenáriónak tartom, ha legalább értesülnek a felhasználók, amihez értesíteni kell az oldal üzemeltetőit.
szóval szar dolog, hogyha a bejelentés után a tulaj nem a hiba elhárításával, meg a károk minimalizálásával foglalkozik, hanem a bejelentőt kezdi el cseszegetni, sőt ez még érthető is, amennyiben a bejelentő tényleg túlment a hiba felderítésének minimális keretein, de én jobbab örülnék neki, ha reportolva lenne minden olyan betörés, amiről bárki tudomást szerez.
más kérdés, hogy az ezzel járó konfliktusokat akarja-e buherátor vállalni, illetve biztos, hogy szükség van-e egy ilyen proxy szerepre:
aki buherátornak jelenti, az miért nem meri megírni a tulajnak?
ha büncselekményt követett el, akkor buherátornak kutya kötelessége segíteni a nyomozóhatóság munkáját, ha pedig olyan módon jelentette az illető, hogy nem lehet visszakövetni hozzá a bejelentést, akkor megintcsak nem értem, hogy mitől fél ugyanígy bejelenteni az adott rendszer gazdájának.

Tyrael

buherator · http://buhera.blog.hu 2011.07.09. 09:37:42

@Tyra3l: Nem egy olyan eset volt, mikor az akármilyen e-mail címről érkező mailt ignorálták, az enyémmel pedig foglalkoztak.

Idő közben elindult a háttérben néhány örömre okot adó folyamat, jövő héten már remélem be tudok számolni a fejleményekről.

synapse · http://www.synsecblog.com 2011.07.11. 09:53:33

Hat ha nem foglalkozik vele, akkor magara vessen, nehogy mar te szivd meg hogy jelented. Nyilvan a userekkel nem kell kicseszni de aki ilyen mertekben leszarja a dolgot azt igenis 0-ra kell ownolni. Ettol nem feltetlen serul az adat bizalmassaga (lehuzod a db-t a /dev/null-ba), de a teny hogy elvesztettek mindent mar eleg hozza hogy a userek ne bizzanak benne (es biztonsagban legyenek).

_2501 2011.07.11. 10:02:10

@Tyra3l: Az oldalak tulajdonosai szempontjából nem feltétlen nyerő üzleti szempontból ha jelentik az usereknek hogy lenyúlták az adataikat, és az üzlet mindennél előbbre való. Más kérdés hogy nem értek egyet ezzel a hozzáállással. Megértem a miértjét, de ez nem elfogadható hozzáállás.

SzZ 2011.07.20. 13:14:12

Nem egészen értem, mi alapján is indulna eljárás: egy forward miatt? Vagy a törés miatt, aminek elkövetését nem lehet Buherátorra bizonyítani, mivel ténylegesen nem is ő követte el?

Persze meghurcolás lehet, de most tényleg komolyan jogászkodva: a BTK 300-at valaki lehivatkozta, de a 27. § (2) is releváns: "Nem büntethető, aki a cselekményt abban a téves feltevésben követi el, hogy az a társadalomra nem veszélyes, és erre a feltevésre alapos oka van."

Márpedig, elég alapos ok a társadalmi veszélytelenségre, hogy felhívom a mit sem sejtő sértett figyelmét a törés lehetőségére, ill. megtörténtére. Nincs az az ügyész, aki ezek után vádat emelne, még itt Abszurdisztánban sem...