Vitatható a feltörés etikussága, de ugyanakkor tényleg fontos dolgokra világít rá....amit az illetékesek sajnos nem fognak fel. Majd ezekhez is megy ki a TEK géppisztollyal. (Ld. BKV és Telekom)

az etikus hackerkedésnek megvan a maga kódexe.
Én úgy vagyok vele, hogy amíg a szándék nemes, és nem a károkozás, hanem a figyelemfelkeltés, jobbító szándék - ahogy itt is - az nálam kimeríti az etikus fogalmát.
Még szerencse amúgy, hogy ez van a háttérben, nem valami zsaroló.
De félő, hogy a helyzet kezelése az általad is említett, korábbról ismert módszer lesz. A hacker után fognak nyomozni a valós probléma kezelése helyett.

Szerintem egy hacker csak akkor nevezhető a szó szoros értelmében etikusnak ha kérés nélkül nem hackel... Azaz én úgy gondolom az etikussághoz kell egy felső vezetői felkérés és titoktartási szerződés (nyilván az IT nek nem kell tudnia róla)

[ Szerkesztve ]

Nem volt kétlépcsős azonosítás, és egy rendszeren fut az egész, tehát ha van a owa.rufusz.hu-hoz hozzáférésed, akkor mindenhez is” – mondta a hekker.

Oké, de mi van akkor, ha úgymond véletlenül jön rá, majd a kíváncsiság viszi tovább és megint megpróbálja, hogy tényleg az van, amit lát.
Én úgy látom, hogy itt nagyon vékony a mezsgye (ugye a szép magyar nyelvünk is tud csavarni a dolgokon), ráadásul sok magyar cég egyből rinyagépként viselkedik és hárítanak, majd beindul a kenés.
Ahogy olvastam, ennél az esetnél is elkezdődött a sumákolás, a lapítás a papír alatt.
Kíváncsi leszek, mert ultra szenzibilis adatok kerültek ki (gyerekekre vonatkozó egészségügyi adat, stb.), 1 hónapja tudnak az esetről. Remélem nem csak egy ejnye-bejnye lesz a "büntetés" a fejlesztőknek.

Így van, dolgoztam ilyen szakmájú emberek mellett, mesélték, hogy nagyon komoly feltételei vannak. Ezzel együtt egyetértek veled és velük is, kár, hogy valódi következményei szerintem nem lesznek a támadásuknak.

[ Szerkesztve ]

Ez kétségkívül így lenne egy "normális" világban, de mint a jelen eset is rámutat, itt pont az történt, hogy a "vezetők" hanyagul és felelőtlenül (ha úgy tetszik etikátlanul) bántak a rájuk bízott állampolgári adatokkal (eszük ágában sem volt megtenni az alapvető biztonsági intézkedéseket, sőt...). Ha hinni lehet az információknak, akkor még a kompromittálódást követően sem azon fáradoztak, hogy etikusan és felelősen járjanak el, hanem inkább megpróbálták az egészet eltitkolni.

Hozzá teszem amúgy nem meglepő, mert ez az általános hozzáállás az üzleti világban is, ritka a kivétel.

Bár erősen szubjektív, de úgy gondolom, hogy itt jelen esetben megáll az etikus jelző a hekkereket illetően. Persze nem jogi, hanem erkölcsi értelemben.

Egy közérdekű, kritikus infrastruktúrának minősített rendszer működésének bárminemű kéretlen megzavarása, túlterhelése vagy abba történő jogosulatlan behatolás, bűncselekmény... sajnos ez így BTK lesz... enyhébb esetben súlyos pénzbírság és felfüggesztett büntetés... amúgy ez nem csak nálunk van így... Pl USA-ban is vagy bármilyen nyugati országban ha feltörsz egy állami rendszert akkor megy a rendőrség... Ez tipikus szürkekalapos megoldás... ha meg közzétesznek adatot akkor meg fekete...

Szerintem a szó klasszikus értelmében etikus hekker nem is létezik. Csak hekker van.
Pedig de, a szó klasszikus értelmében létezik etikus hekker. Ez egy szakma. Viszont elég szigorúak ennek a szabályai. Gyakorlatilag challenge-eli a rendszert, felkérésre teszteli.
Jelen esetre vonatkoztatva jogi értelemben nem áll meg a kifejezés, (hiszen nem a rendszer üzemeltetője volt a megbízó), erkölcsi értelemben viszont érezzük/úgy sejtjük, hogy jó szándék vezérelte, így köznyelvi értelemben ráhúzhatjuk az etikus jelzőt.

Másik analógiával élve, Batman és Superman esete. Mindkettő a rossz ellen harcol, csak az eszköztáruk és a morális gátjaik mások

[ Szerkesztve ]

az etikus hekker nem kódex, hanem törvény és szerződéses felhatalmazás alapján dolgozik.
aki úgy megy be egy rendszerbe, hogy nincs részletes érvényes szerződése, az nem etikus hekker, az betörő.

Na és tudsz két eltérő kategórianevet mondani Batmanre és Supermanre?

Mert én még az életben nem láttam olyat leírva egy képregényben sem, hogy "a bűn ellen etikusan harcoló szuperhős" vagy "a bűn ellen vitatható etikussággal harcoló szuperhős", pedig van itthon pár évfolyam DC Comics.

Pontosan.

Lehet valamit morális értelemben etikátlannak tartani ami attól még törvényes és lehet valami törvénytelen de morális értelemben közelebb áll az etikushoz mint az etikátlanhoz.
De az országunkat és az eljárásainkat a civilizált világgal egyetemben választott vezetés által meghatározott és kihirdetett törvényekre alapozzuk nem egyéni etikai kódexekre... Szerencsére. (azon lehet vitatkozni hogy a választott vezetés mennyire viszi jó vagy rossz irányba a országot de mégis csak ez volt a többség által behúzott X eredménye)

[ Szerkesztve ]

És olyankor mit teszel, ha egy ekkora méretű, ilyen mennyiségű és érzékenységű személyes adatot kezelő rendszernél a tulajdonos/üzemeltető
1. magától nem érzi szükségesnek az adatok megfelelő védelmét,
2. ennek folyományaként soha nem is fog (a jogi értelemben vett) etikus hackert felbérelni,
3. és az incidenst szintén btk-s (ráadásul EU-s szintű!) módon eltitkolja, majd a rendőrségnek is hazudik?

jelentkezek a szakszolgálathoz hatósági ellenőrnek.

itt egyébként azt lehetne csinálni egy normális országban, vagyis külföldön, hogy gdpr betű szerint megbüntetni a vétkeseket és nagy hírverést csapni hozzá. de én nem hiszek benne, hogy ez meg fog történni.

A szakszolgálatnál azt vizsgálod meg, amire parancsot kapsz. És nem azt, ami bűzlik neked - különösen ha egy elvtárs az ottani főnök.

De az első két kérdésem arra vonatkozott, hogy (akár egy "normális" országban is) hogyan jutsz el odáig jogszerűen, hogy egyáltalán kiderüljön a sebezhetőség, az érintett cég által kitűzött megbízás (vagy bounty) nélkül.

Etikus hacker - hacker leírás : [link]
A többi oldal is hasonlót ír. Lényeg: kell szerződés hogy etikus legyen.
Én úgy tudom a hacker nem ártó szándékkal teszi, aki árt az a cracker.
Viszont a hacker ettől még tud ártani, pl ha nyitva hagyja bejutáshoz szükséges kaput, vagy megosztja másokkal a tudást.

[ Szerkesztve ]

Egyátalán nem vitatható: ez bűncselekmény, nem etikus hackelés.

Ettől eltekintve, lópikulát az eKreta popójába az egészért, pláne hogy megpróbálták elkenni.

A szokásjog szerint - ha találsz egy sebezhetőséget - először az érintettnek illik szólni. Aztán ha baszik kijavítani, utána X idővel nyilvánosságra hozhatod.

gdpr betű szerint megbüntetni a vétkeseket és nagy hírverést csapni hozzá

Konkrétan akkora büntetést kellene kapniuk, hogy belerokkannak.

de én nem hiszek benne, hogy ez meg fog történni.

én se..

Ennek kiszabása NAIH hatáskör vajon, vagy ez már el fog menni EU szintig?

Ebben benne van az hogy feljelentést tesz az adott cég / szerv.

Hát nem azt teszed hogy önhatalmúlag betörsz és ellopsz egy csomó adatot... Esetleg feljelentheted a céget, szakmai érvekkel alátámasztva hogy könnyen feltörhető a rendszer leírod a bíróságra benyújtott keresetben hogy milyen egyszerű lépések vezethetnek a rendszer kompromittálódásához és leírod milyen károkat okozna ez az országnak esetleg egy újságcikk a könnyű feltörhetőségről de ehhez ne kell végrehajtani magát a betörést és főleg nem kell végrehajtani az adatlopást legyen az egy email vagy bármi. Itt jelezném hogy a legtöbb biztonsági rés felfedezése "proof of concept" alapon történik magyarul nem kell betörni sehova elég ha leírod a bíróságnak vagy felettes szervnek hogyan csinálnád... Esetleg felhívod a figyelmet hogy törvény kötelezi őket a kockázatokkal arányos védelem megteremtésére. Tehát törvényt sért az adatkezelő is ha szar a rendszer, aki nem az IT szakember, hanem a legtöbb eseteben a cég aki az adatokat kezeli és a személyes felelős pedig a cég Igazgatója aki felel az adatok biztonságáért.

Ez szokás, de nem jog. A törvény betűje szerint már meg sem próbálhatsz sebezhetőséget találni szerződés nélkül. Tehát azért is téged büntethetnek meg, ha megpróbálod beírni, hogy "; drop table osztalyzatok;".

Másfelől ez a rendszer olyan állapotban van biztonsági szempontból, hogy nem egy konkrét bugot kell befoltozni, hanem alapjaiban újratervezni és átírni az egészet.

Olvasgatom itt a hozzászólásokat és van itt egy kis képzavar szerintem.

Nem a Krétát törték fel, hanem a céget, pontosabban egy konkrét személyt szívattak meg egy trójaival. Ez mindenképp bűncselekmény, sőt lopás, mert leszedtek ~230GB adatot. Ezt még a szó legtágabb értelmében sem lehet etikusnak nevezni.

Ha a Krétával lenne gond, akkor azt lehet jelezni az NKI incidensbejelentésen, nagy a NAIH incidens bejelentésen, full legálisan, de itt nem erről van szó.

[ Szerkesztve ]

"Én úgy tudom a hacker nem ártó szándékkal teszi, aki árt az a cracker."

Nem. Cracker esetén inkább olyanokra gondolj (végtelenül leegyszerűsítve), akik például megtörik egy szoftver másolásvédelmét stb.

Amúgy pedig ez az "etikus hacker" alapvetően a marketing és az üzleti világ terméke. A hacker-kedésnek nincs semmilyen előjele. Valaki írta találó analógiaként a kézifegyvert, nincs olyan, hogy "jó" pisztoly meg "rossz" pisztoly. Pisztoly van.

Joghurt, Persze mert ehhez már benn kell lenned a rendszerben olyan joggal hogy ez lefusson illetve ha már beírsz egy ilyet ott már megvan a szándék és a tudás a károkozásra...

"Másfelől ez a rendszer olyan állapotban van biztonsági szempontból, hogy nem egy konkrét bugot kell befoltozni, hanem alapjaiban újratervezni és átírni az egészet." És ez nem 5 perc és nem 2 forint...

Esetleg feljelentheted a céget

HAHAHHAHAHAHAHAHAHHA

mielőtt nagyon mélyen belemerülnétek a "mi etikus, mi nem" kérdéskörbe, vegyétek kicsit figyelembe a valóságot is.
ebben az országban - pláne állami körben - kizárólag akkor történik bármi, ha azt kikényszeríted.
mindannyian tisztában vagyunk, azzal, hogy mi történt volna egy "Tisztelt BRFK, találtam egy sebezhetőséget a krétában, így, és így és így. Aláírás, dátum"
semmi. kurvára semmi.

látjátok, hogy közvetlenül a fejlesztőknek szólt 2 hónappal(!) ezelőtt, és jó kommunista módjára az összesnek az volt a reakciója, hogy hogyan kell eltussolni az ügyet.

most olyan törte fel, akinek nem az volt az első reakciója, hogy titkosítja az egészet és a Slack csatornára már csak a BTC tárcáját linkeli be, de a következő viszont majd ilyen lesz.
így most megvan az esélye, hogy esetleg, véletlenül, talán érdemi biztonsági intézkedések is történnek

[ Szerkesztve ]

Hááát, védekezhet az esetleges feljelentés ellen a hekker, ha a feltárt hiányosságot leírja és ügyvédi letétbe helyezi. De először a cégnek szól, semmiféleképp nem hozza nyilvànosságra. Azzal, hogy ő is titokban tartja, azzal bizonyítja a jóindulatát. Ha viszont az érintett cég mégis feljelenti, holott egyértelmű, hogy az ő rendszerük volt szar, akkor elő lehet szedni a korábbi dátumos borítékot, az abban leírtakat független informatikai szakértők megvizsgálhatják egy esetleges bírósági szakban - és ők is kimondhatják, hogy az érintett rendszer védelme valóban szar volt.

Nézz utána, itt a logouton is van cikk: [link]
Az is egy része a crackernek, hogy szoftvert tör fel, ami egyértelműen ártó szándék a szoftver írójának.

nem akarom megfutni az évtizedek óta megfutott köröket megint, de időnként talán szükséges
- a hackelés ab ovo törvénytelen - többek között épp ez izgatja benne azokat, akik csinálják
- hogy ki miért csinálja, az egy végtelen univerzum, van, aki a világot akarja megváltani, van, aki sok pénzt akar, van, aki gonosz - és van, aki segíteni akar
- az "etikus" lehet a szándék jelzője, vagyis hogy mi volt a célja, illetve ma már lehet terminus, mivel a biztonsági szakma kiizzadta magából az etikus hacker (hekker) szakmát (nagyon helyesen), és ennek szigorú leírása van, ez egy minden elemében törvényes tevékenység
- a konkrét esetben a behatolás törvénytelen, így természetesen vizsgálat fog indulni - ezt tudták maguk a hackerek is
- a betörés eredménye viszont lehet közérdek, meglehet, hogy nagyobb bajra mutatnak rá, mint amit ők elkövettek
- ezt a paradoxont Nyugaton - ahol már sokkal régebben szembesültek ezzel a morális kérdéssel - úgy oldják meg, ahogy nagyon gyakran a tényfeltáró újságírásnál is, és szerintem sincs jobb, hogy a hatóságok és a bíróság mérlegel:
ha a konkrét esetben a közérdek fontosabb volt, mint maga a hackelés, vagyis a hackelés komoly visszásságokra derített fényt, akkor a hackert formálisan elítélik, mondjuk kap két év felfüggesztettet - a törvényt be kell tartani -, de az eljárás középpontja a feltárt hiányosság vagy bűncselekmény, és oda koncentrálnak

Ez azért nem áll meg, mert így nem lehet különbséget tenni egy szándékos behatolási kísérlet és egy tévedésből rossz címre indított belépés közt. A bitfolyamból nem derül ki a mögöttes szándék, az Entert leütő személy akarata.

Amúgy mi van ha a kb 250gb adat amiről beszélnek az kamu?

Mert ugye ők azt mondják hogy nem teszik ki.

Ha meg megtörtént akkor annak elvileg lennie kellene valami napló bejegyzésnek a cégnél, már ha volt / van ilyen.
Meg elmondásuk szerint még most is bent vannak.

"ebben az országban - pláne állami körben - kizárólag akkor történik bármi, ha azt kikényszeríted."

Ebben az esetben vállald a BTK következményeket...

"látjátok, hogy közvetlenül a fejlesztőknek szólt 2 hónappal(!) ezelőtt, és jó kommunista módjára az összesnek az volt a reakciója, hogy hogyan kell eltussolni az ügyet."

A fejlesztő is akkor csinálhat valamit ha arra megbízást kap... illetve valaki azt kifizeti
Nem fog neked senki megbízás nélkül újraírni egy rendszert szerelemből, mellesleg nem is teheti meg.

"most olyan törte fel, akinek nem az volt az első reakciója, hogy titkosítja az egészet és a Slack csatornára már csak a BTC tárcáját linkeli be"

Á szóval dícsérjük meg az emberrablót mert nem követelt váltságdíjat, csak "kissé" bántalmazta az áldozatot...

Na ez a baj ezzel az országgal, hogy ilyen az átlag emberek erkölcsi mércéje... ezért van az hogy "ebben az országban - pláne állami körben - kizárólag akkor történik bármi, ha azt kikényszeríted."
Ezért van egy ilyen bagázs még hatalmon és ezért szavazná meg még ma is újra a többség mert szeretik ezt a megoldjuk okosba, urambátyám módszert...

A bűncselekmény elkövetésének szükséges feltétele annak társadalomra veszélyes mivolta. Márpedig (nincs itt semmi paradoxon) a visszásságok feltárása a társadalom számára egyenesen hasznos. A bíróság tipikusan ezért szokta felmenteni a kárt nem okozó behatolót, vagy a minősített/személyes adatokat jogszerűtlenül kezelő újságírót.

De történt bűncselekmény: Egy közérdekű, kritikus infrastruktúrának minősített rendszer működésének bárminemű kéretlen megzavarása, túlterhelése vagy abba történő jogosulatlan behatolás, bűncselekmény...
Az adatlopást ugye nem kell magyarázni miért bűncselekmény, főleg hogy egy ilyen rendszerben az érzékeny személyes adatok tömkelege van...

Magyarországon eddig mindig megbüntették aki hackelt nem akart a hivatal enye bejnyét alkalmazni olyan mint társadalomra hasznos na ezt a fogalmat nem ismerik mint etikai fogalmat, hanem csak az erőből befogod a pofád effektust ismeri az ügyészség!

ezt a paradoxont Nyugaton - ahol már sokkal régebben szembesültek ezzel a morális kérdéssel - úgy oldják meg

Ez nagyszerű, minket itt kishazánkban az érdekel, keleten hogy csinálják, az a minta

Magyarázza el valaki miért hasznos a társadalomnak ha ellopnak 250GB többségében személyes adatot...

Ez olyan mint ha valaki AK47-el lövöldözve akarná bizonyítani egy bank nem megfelelő biztoságát

Vagy dícsérjük meg mindjárt a Viszkist mert hozzájárult a pénzintézetek biztonságának javításához?

(Bár közpénz milliárdok magánkézbe csurgatását sem tartja problémának 50+% nem is tudom min csodálkozom )

[ Szerkesztve ]

Kérlek azt is fejtsd ki, hogy az minek nevezhető: egy alapvetően hibásan megtervezett, majd kivitelezett rendszer, ami érzékeny adatokat tárol, majd az utána történő sumákolás.

Gondolom akkor is ez lenne a véleményed, ha olyan rendszert törnek fel "etikus" hackerek, amiknek a tesztelésére nem kérték fel őket, mert vagy szarnak rá az üzemeltetők, vagy zsugorik, és amiben olyan személyes adataid, fotóid vannak, amit nem szeretnél ország-világ elé tárni, de a felkérés hiánya miatt soha nem lehetett biztonságban...

Aszondod: "A fejlesztő is akkor csinálhat valamit ha arra megbízást kap... illetve valaki azt kifizeti
Nem fog neked senki megbízás nélkül újraírni egy rendszert szerelemből, mellesleg nem is teheti meg."

Azon morfondírozok, hogy mi van akkor, ha az eredeti megbízásban - tételezzük fel - az szerepelt, hogy írjon egy BIZTONSÁGOS rendszert. Az átadott rendszer biztonsági szintjét egy sikeres betörés kiválóan szemlélteti. Na, ilyenkor elvárható-e, hogy a programozó lesz szíves nullàról újraírni, INGYEN, hiszen az első verzió nyilvánvalóan nem teljesítette az előírt biztonsági elvárásokat...

Már ne haragudj, de hülyeséget beszélsz. Etikus hekker létezik, méghozzá olyan, aki idegen helyre az életében nem tört be, viszont kérésre, ami nem úgy kérés, hogy lécci törjél be, hanem rendes szerződés, fizetés, majd az elvégzett munka után egy alsó hangon 50 oldalas dokumentumot készít, hogy mit hogyan végzett el, ilyenek vannak. Ez egy külön munka, foglalkozás, és nem a kocsmában egy sötét sarokban bérelhetők fel...

Igen, pontosan ezt írtam le... Nyilván.

Amúgy nem biztos, hogy szarul van tervezve/kivitelezve - az a biztos, hogy szarul volt használva. Itt emberi sebezhetőséget használtak ki elsősorban, ami nem a program hibája - az viszont már baromi nagy hiba, hogy bárkinek ekkora hozzáférése volt (keverték a felelősségköröket, ebből lett a superuser, aki még hülye is volt és egy phising mailnek bedőlt)

Na most ettől még lehet szar a Kréta kódja - de arról nem tudunk.

Fentebb leírtam hogy az is törvénysértő... azt is leírtam ki a felelős érte törvény szerint, és igen felelősségre kell vonni. (igaz nem névszerint mert a neveket nem ismerem)

Jogos!

Szerintem te nem fejlesztő vagy Nincs olyan rendszer, hogy biztonságos. Mindenben van hiba, lyuk, probléma. A kérdés, hogy ezzel hajlandóak-e foglalkozni vagy sem.

És itt a probléma azzal a meghatározással, hogy az etikus hacker csak és kizárólag szerződés utján dolgozik, mert mi van akkor, ha az adott cég baromira nem akar törődni a biztonsággal, tehát esély sincs arra, hogy ott biztonságba legyenek több millió ember adatai? Akkor ez örökre maradjon így, hiszen csak szerződáés útján lehet betörni? Vagy valakinek mégis fel kellene hívnia a figyelmet erre a súlyos problémára, hogy szerződés nélkül hackerkedik, de amúgy egyik adattal sem él vissza?
Mert lássuk be, azért ebben az országban a kormányközeli cégek, és azok által épített rendszerek hozzáérthetősége vetekszik a közszolgáltatás minőségével, vagyis közelítőleg 0.