Hirdetés

üzenetek

hozzászólások


milangfx
(őstag)

:C


Silenc3Hun
(őstag)
Blog

Így is kell. Minél nagyobb visszhangot a BKK-T-Systems bénázásának, hátha megtanulják, hogy kell rendesen programozni/ilyen helyzetet normálisan kezelni...


Dezsike
(tag)

És hol a beígért új rendszer? Úgy tudom a T-Systems azt mondta, hogy saját költségén csinál egy újat pár hónap alatt.


Acélfarkas
(fanatikus tag)

Addig nem kerül látótérbe, míg be nem üt abba is valami gebasz. Aztán kiderül, hogy nem tanultak az esetből.


DesertDog
(tag)

😢 Sebaj! A részvétel a fontos.


tomazin
(PH! kedvence)
Blog

Szerintem a BKK/Tsystemnek is kezdjünk el gyűjteni pénzt. Bár az idei versenyt nem sikerült megnyerni, jövőre további adóforintokat égetve még sikerülhet :DDD


BE4GLE
(tag)

Már rég kész van csak titokban tartják. Így védik a hacker támadásoktól.


sh4d0w
(PH! nagyúr)
Blog

"... már a részvétel is dicséretes..."

Óriási trollkodás, made my day, Pali! :DDD


jacint78
(PH! kedvence)
Blog

Ha több idő alatt, fizetve olyan lett amilyen, akkor képzeld milyen lehetett az, amit összedobtak pár hónap alatt saját költségen... :))


vicze1
(PH! nagyúr)

Amúgy hogy áll az új online jegyrendszer? ;]
Amit nagyon frontos volt NEM a vizes VB miatt műkőképessé tenni.


bambano
(Jómunkásember)
Blog

találgass(atok), mi történt:
1. a betli hatására megtanultak rendesen programozni
2. ugyanazt a balfékséget nem sokkal utána még legalább egyszer elkövették, és tojtak a hibabejelentésre?

szerk: a poszthoz: nem a bkk nyert. vajon milyen volt a nyertes? :P

[ Szerkesztve ]


Ringman
(PH! addikt)
Blog

az azerbajdzsáni cég üzemeltette wifihotspotok működnek még?


Silenc3Hun
(őstag)
Blog

Nagyon szeretném azt hinni, hogy az első, de nyilván a második. Abból volt botrány (lemaradtam valamiről?)? Ha nem, az nagyon kár :W


hunyadymarci
(újonc)

https://www.bankinfosecurity.com/blogs/bitfi-gets-pwnies-award-for-lamest-vendor-response-p-2648


Gdi
(senior tag)
Blog

"Még"?.. Miért, akkor működtek?


PR0JECTNR56
(PH! addikt)
Blog

Maximálisan a megérdemelt helyen vannak, ténylegesen az egyik leghitványabb reakció volt egy amúgy is csorvasz himpellér attitűddel elővezetett rendszer szerecsenmosdatására.


dqdb
(PH! addikt)

A nyertest nem ismerem, de a T-Mobile Austria is eléggé erős versenyző volt a security by faith megközelítéssel :D

[ Szerkesztve ]


Shodan
(PH! addikt)
Blog

Erre én is kíváncsi lennék , elég nagy a csönd,


hemaka
(PH! nagyúr)

Sajnos nem nyertunk, de legalabb reszt vehettunk egy ilyen nivos esemenyen. :D


macilaci78
(Korrektor)

nem a bkk nyert. vajon milyen volt a nyertes? - kevésbé csókos! ;]

Minden esetre ez a teljesítmény a saját mezőnyében sokkal nagyobb, mint a focié. :))


tonyrulez
(őstag)

Ez is egy minőségi Award lehet, ha a pár mondatos leírásokba ennyi hiba került. Csak abban a 2. képen lévő 2 bekezdésben van: oftware, taht, bvulnerabilities, vulns (ok, rövidítés, de írjuk már ki könyörgöm)


Seirei
(tag)

Vajon most mi véleménnyel lehetnek azok az egy-néhány személyek akik az esetet követő totyikban t-systems shill mód szintén a gyereket hibáztatták amiért "kihasználta" a sérthetőséget.

Valaki?


milangfx
(őstag)

A gyerek se volt teljesen artatlan. :U


hallador
(PH! addikt)

Nem nyertünk, lőrinc barát és a orbanisztán zsebtábornok nem épített stadiont apu bányájából ,meg a lenyúlt eu-s zsetonból a hackereknek.... Ja bocs ez nem az a topik, őket nehezebb hülyének, nézni meg lefizetni... ;]


torzsmokus
(újonc)

Persze, ma is használtam. Jó kérdés, hogy mivel indokolják egy évvel később a FINA 2017 SSID-jű hotspotok üzemeltetését, de valszeg valaki fizet érte (mármint a végén persze én, az adófizető állampolgár...)


Gyurka6
(senior tag)

Ezt viccnek szántad ugye...


Narxis
(PH! nagyúr)
Blog

Remélem csak poénkodsz. Nagyon remélem.


hallador
(PH! addikt)

Már ha a magyar igen pofátlan és undorító Európában egyedülálló képmutatást, irigységet, és rosszindulatot nézem, akkor igen igazad van, ha pedig azt nézem, hogy a való világ és azok az erkölcsi normák hogyan működnek, amik a világot előrevitték, akkor meg nézz magadba egy picit...


haxiboy
(PH! kedvence)
Blog

Lehet hogy már új a rendszer csak a frontend maradt...


milangfx
(őstag)

+ a tobbiek semmitmondo, szemelyeskedo hozzaszolasaira reagalva.

1 napot nem hagyni az erintettnek, hogy javitsa a hibat es egybol leakelni a sajto fele enyhen szolva nem responsible disclosure.
Ezt egyaltalan nem igy szokas csinalni. Mondom ezt ugy, hogy voltam hivatasos "etikus hacker" / kiberbiztonsagi tanacsado, stb. es most is security teruleten dolgozok, bar nem offensive vonalon. Nem hasrautesszeruen nyogtem be a velemenyem.

szerk. A prohardveren talaltam anno olyan hibat, amivel az egesz fiokodat eleg konnyen ellophatnam, es ennek a javitasara honapokat kellett varni, nem 3 napot. Valoszinuleg nem orultel volna, ha masnap irok rola egy logout posztot es a verpistikek meg jol kihasznaljak.
Errol terveztem irni valamit - ha lezso is engedi - es benne lesz egy timeline, hogy mennyi ido telt el a report es tenyleges fix kozott. Meglepodnel.

[ Szerkesztve ]


PR0JECTNR56
(PH! addikt)
Blog

Ilyen jellegű hibáért, a jelenlegi munkahelyemen, már testrail fázisban is megfontolnák az illetők azonnali kirúgását, éles release-t követően pedig habozás nélkül feláldoznák őket idegen isteneknek rituális keretek között.

Ez a minőségbiztosítás legalja volt, gyakorlatilag zendülés kategória, ami IT biztonság szempontjából elkövethető. A fiatalember reakciója pedig inkább volt egy tapasztalatlan, de segítő szándék, semmint előre megfontolt gonoszságból kitervelt lejáratás.


bambano
(Jómunkásember)
Blog

egyrészt nekem nem hiányzik, hogy a topicrégészek kiássanak egy ezer éve 500x megcsócsált topicot.
másrészt te kevered az azonnali vészhelyzet-elhárítást a megoldással.
egy ilyen jellegű hibánál nem az az első lépés, hogy megjavítsák, hanem az, hogy leállítsák az összes veszélyeztetett rendszert. arra pedig egy jól felkészült rendszergazdának 1-2 perc is elég.


dabadab
(Jómunkásember)
Blog

"1 napot nem hagyni az erintettnek, hogy javitsa a hibat es egybol leakelni a sajto fele enyhen szolva nem responsible disclosure."

Ehhez azért illik hozzátenni két dolgot:
1. gimnazista srác volt elég minimális IT szaktudással és ő is észrevette a hibát, tehát nyugodtan mondhajtuk, hogy nagyon szem előtt lévő lyuk volt, olyan, amit nem szabad hagyni napokig tátongani
2. gimnazista srác volt elég minimális IT szaktudással ezek után mindenféle szakmai protokollokat számonkérni rajta elég hülyén veszi ki magát - azt tette, amit a sima józan ész diktált


milangfx
(őstag)

A fiatalember reakciója pedig inkább volt egy tapasztalatlan, de segítő szándék, semmint előre megfontolt gonoszságból kitervelt lejáratás.

Nem mondtam, hogy megfontolt gonoszsag vezerelte. Ugyanakkor ha jol remlik, meg egy valaszt se vart mielott "publikalta" a hibat, tehat nem kifejezetten a ceg erdekei voltak szem elott. Nagyon megorult, hogy talalt valamit es nem tudta magaban tartani.

(#33) bambano
egy ilyen jellegű hibánál nem az az első lépés, hogy megjavítsák, hanem az, hogy leállítsák az összes veszélyeztetett rendszert.

Az emlitett ph-s bug eseteben sem az volt a megoldas, hogy leallitjuk az egesz lapcsaladot. Ez nem mindig megoldas.
Ettol fuggetlenul nem vitatom, hogy elerte a celjat, de egy valaszt minimum megvartam volna, hogy 'kosz, egybol javitjuk vagy leallitjuk'. Nem ~2 ora a timeout, mielott boritjuk a bilit.

(#34) dabadab
Ez szerintem nem kifejezetten szakmai protokoll, hanem jozan esz, ahogy mondod.
A jozan esz nekem azt diktalna, hogy a hibat nem adom ki harmadik felnek, amig azt ki lehet hasznalni - illetve amig nem kaptam valaszt az egyetlen erintettol, aki erdemben barmit tud kezdeni a hibaval.

[ Szerkesztve ]


dabadab
(Jómunkásember)
Blog

"A jozan esz nekem azt diktalna, hogy a hibat nem adom ki harmadik felnek, amig azt ki lehet hasznalni - illetve amig nem kaptam valaszt az egyetlen erintettol, aki erdemben barmit tud kezdeni a hibaval."

Az egyetlen érintett egészen egyszerűen nem volt hajlandó reagálni, így aztán a srác azt az - egyébként teljesen okos és védhető - döntést hozta, hogy akkor rábízza az ügyet az ország legnagyobb lapjának az újságírójára, mert ők csak tudják vagy ki tudják találni, hogy mit kellene ilyenkor tenni.


milangfx
(őstag)

define 'nem hajlando reagalni'.
1 oran belul? 12 oran belul? 2 napon belul?
Vagy honnantol szamitjuk, mert szerintem ez itt a kulcs kerdes.
Nem emlekszem pontosan, azert kerdezem. Mennyi ido telt el a bkk-s noreply cimre kuldott email meg az index megkeresese kozott?

Amugy a zindex ujsagiroja ugyanugy lehet retardalt, mint barki mas. Foleg ilyen szakmai kerdesekben.
Raadasul az ujsagironak a celja, hogy minel elobb generaljon egy clickbait cikket es altalaban nem erdeke varni es kideriteni, hogy pontosan mi a szitu.


dabadab
(Jómunkásember)
Blog

"Nem emlekszem pontosan, azert kerdezem. Mennyi ido telt el a bkk-s noreply cimre kuldott email meg az index megkeresese kozott?"

Nagyságrendileg egy-két óra, most hirtelen én se találtam sehol a konkrét időpontokat - mindenesetre bőven elég ahhoz, hogy valaki reagáljon rá legalább egy "olvastuk, nézzük" választ.

"Amugy a zindex ujsagiroja ugyanugy lehet retardalt, mint barki mas. Foleg ilyen szakmai kerdesekben."

De nem volt az, meg ismét feldobom a kérdést: ki mást kellett volna megkeresnie?

[ Szerkesztve ]


milangfx
(őstag)

ismét feldobom a kérdést: ki mást kellett volna megkeresnie?

(most dobod fel eloszor)
En spec. az indexnel egy fokkal hivatalosabb szervet valasztottam volna, pl. cert-hungary.hu. Sikerult mar rajtuk keresztul javittatnom SQLi-t, amire addig nem volt hajlando a ceg, amig csak en piszkaltam oket. Hozzafertem szemelyes adatokhoz, tehat nem valami ostoba "404 content injection" szeru hiba es tuleltem cirkusz csinalas nelkul, sot, tobb mint 90 napot vartam mielott megkerestem a govcert-et.

De ez mar reszletkerdes.
Felolem megkereshet barkit, HA kiderult, hogy semmi hajlandosagot nem mutatnak a hiba javitasara. Ennek az eldontesere "nagyságrendileg egy-két óra" egyszeruen nem eleg. Pont. Ez kb. annyi ido, hogy elment mindenki ebedelni meg utana engribordzozni egyet a wc-re. Nem tudod, hogy azert nem valaszolnak, mert nem lattak, vagy azert, mert nem akarnak vele foglalkozni. Ez a fo problemam az egesz storyban.


hallador
(PH! addikt)

Ezt elhiszem neked, és tiszteletre méltó, az viszont nem, hogy megcsinálnak egy rendszert a 90'-es évek neo kádár rendszer felfogásával 201x-ben, amikor a kiber biztonság alapvető követelmény, majd ha ezt egy gimnazista, aki mondhatni próbálkozott és 0 szaktudással is képes lett volna lehúzni az állam bácsit, akkor erre mit lehet mondani? Nem nem volt hibás olyan értelemben, hogy magyarosan szart adtak ki a kezükből, majd utána tátogtak, hogy ez hackelés volt. Volt a francot nem volt hackelés. Csak a segghülye magyar, szocializmus szabadult virág elvtársak nem a valósággal próbálják értelmezni a jelent, hanem tekintélyelvűséggel, ezzel csak az a baj, hogy a gimnazista srácnak nagyobb a tekintélye mint BKK, meg a T sz@rt@m állailag támogatott pénznyelő cég bástya elvtársainak.
Erről mondjuk senki nem beszélt még, hogy 201x-ben ilyen munkát nem adunk ki a kezünkből.

+ a tobbiek semmitmondo, szemelyeskedo hozzaszolasaira reagalva.

Melyik része volt személyeskedés?

Az, hogy egy ország minden szempontból úgy működik, mint hogy sikkasztásra, kéz kezet fog haveri pénzosztásra van berendezkedve, (ugye nem véletlen, hogy az ITSH letagadja a magyar T-t, mert monjuk igaza is van, aki ismeri a hátterét tudja is.)

Na Ha szerinted, teljesen mindegy legyen biztonság technikai szempontok szerint ez így rendben van, akkor szerintem teljesen mindegy milyen kiváló szakember vagy, máshol keresendő a hiba....

Azért azt úgy Te is beláthatod, hogy mint szakember, hogy a nagy cégeknél ez bizony így működik, a magyaroknál meg jönnek a f@... lógató idióták és megmondják a frankót, mert ugye, a félelemre épített rendszer azért jó, mert akkor nem kell fizetni, nem kell halaldni és semmit nem kell csinálni ami előre vinné Magyarországot... Ja hogy ez nem cél, na látod, akkor most tulajdonképpen hibás a srác, hát milyen szempontból nézzük... Az még jobb ha az emberek nem önállóak, mert akkor még irányíthatóak is...

Ha ilyen szempontól ja semmitmondó... Kérdés mi a cél végül is igazad van,,,


sh4d0w
(PH! nagyúr)
Blog

Szakmai szempontból nézve teljesen igazad van, sajnos a dolognak volt egy másik vetülete is: a tini ellen indított feljelentés. Ha nincs a közfelháborodás, lesittelik.


KAMI911
(fanatikus tag)

Sajnos nem nyert :/ Pedig drukkoltam :)


Chaser
(Jómunkásember)
Blog

egy értelmes világban kapott volna egy szép egyszeri prémiumot, a "programozókat"/céget pedig azonnal kirúgják, természetesen a kifizetett pénzt vissza kell adniuk, kamatostól, és legalább ennyit kártérítésnek a bohóckodásért
nehogy már egy gimnazista legyen a hunyó ilyen b@lfaszok miatt, már elnézést
az megint gyönyörű, h te is találtál itt ahogy szavaidból kivettem kritikus hibát, és hónapok múlva javították...bazzzz, álljon rá mindenki azonnal a javításra aki kompetens benne, vagy állítsák le a fenébe a servert ha nagyobb a gond


Gyurka6
(senior tag)

Kinek a szakmájáról volna szó?
Úgy olvastam, hogy újságírónak/szerkesztőséghez lett küldve.


bambano
(Jómunkásember)
Blog

"tobb mint 90 napot vartam mielott megkerestem a govcert-et.": ha 90 napig hagytad, hogy hozzáférjenek személyes adatokhoz, akkor te sokkal inkább bűnös vagy, mint a tini, akit fikázol. a govcertet azonnal megkereshetted volna, amikor kiderül a hiba, akár még a webhelyet üzemeltetők előtt.

remélem azóta olvastad a gdpr-t, amiben vannak erre határidők.


sh4d0w
(PH! nagyúr)
Blog

Hacker szempontból teljesen megáll milangfx véleménye.


Vesa
(PH! addikt)

+1
Az eljárás egy tisztán poszt kádári primitívség volt...Itt tartunk ma...és ez szégyen!


borg25
(fanatikus tag)

Te hol olvastad milangfx írásában, hogy az eset a GDPR életbe lépését követően, 2018.05.25 után történt?
Feltételezem, hogy nem önként törpként kereste a hibát a rendszeren, mert az hazánkban bűncselekmény. Ha meg valami keretében, akkor gondolom arra vagy kiírás volt, ahol leírták a szabályokat, vagy volt egy szerződés, aminek talán volt egy titoktartási nyilatkozat része is, ami leszabályozta, hogy mennyire ugrálhatott. Nem túl jó példa, de ha könyvelő vagy, s mondod az ügyfélnek, hogy adót csalt, és illene javítani az adóbevalláson, akkor ha 1 hónap múlva nem csinált semmit, akkor se nyomod fel a NAV-nak.

A BKK-s botrányban pedig a srác tényleg nem volt egy szent. Amit vele tettek, az tényleg bicskanyitogató, nem kellett volna feljelenteni, a rendőrségnek így eljárni. Elhiszem, hogy a jó szándék vezérelte, s nagy tehetsége van hozzá, de érdemes lett volna, ha nem csak a hogyan hackeljük weblapot faq olvassa el, hanem, a hogyan jelezzük a bugokat faq is. Elvégre ha jó szándékú az ember, akkor azért próbálja meg hackelni a weblapot, hogy a hibát jelezhesse, szóval, ezért illene előbb azt elolvasni...

Viszont jó, hogy mondod, hogy ilyen esetben mielőtt az ember aláírná az etikus hackelésről szóló szerződést jelezze, hogy ácsi, gondok vannak, mert a GDPR is szabályozza, hogyha valamit találok, és az személyes adatot is érint, akkor azt nekem x napon belül az állam felé is jeleznem kell.


bambano
(Jómunkásember)
Blog

"Te hol olvastad milangfx írásában, hogy az eset a GDPR életbe lépését követően, 2018.05.25 után történt?": te hol olvastál olyat, hogy a gdpr 2018. 05. 25. után lépett életbe?
te hol olvastál olyat, ami kizárja, hogy a gdpr előtt más törvény rendelkezése alapján is kötelező lett volna bejelentenie?
te hol olvastál olyat, ami kizárja, hogy a józan ész alapján tegyen bejelentést?

"Feltételezem, hogy nem önként törpként kereste a hibát a rendszeren, mert az hazánkban bűncselekmény. Ha meg valami keretében, akkor gondolom arra vagy kiírás volt, ahol leírták a szabályokat, vagy volt egy szerződés, aminek talán volt egy titoktartási nyilatkozat része is, ami leszabályozta, hogy mennyire ugrálhatott.": én meg nem feltételezem, hogy szerződés alapján végzett éles rendszeren biztonsági teszteket, majd az eredményt felnyomta a govcertnél.


borg25
(fanatikus tag)

Írta, hogy 90 napot várt. Ez szerintem megfelel a "józan ész alapján tegyen bejelentést" elvnek. Általában ennyi idő után szokás a feltárt sérülékenységet nyilvánosságra hozni. Ő jelezte a hatóságoknak.

Én olyat olvastam, hogy az engedély nélküli hackelést az infotörvény bünteti. Ezért nem is csinálnám hobbi célból, csak, hogy megkereshessem a céget, hogy bénák vagytok, én meg ügyes. Ha nem vagyok kellően körültekintő és anonim, akkor egy ilyen bejelentés után teljesen törvényesen ugrálhatnak át a rendőrök hajnali 4kor a kerítésemen.

Igazad van, ne legyünk jóhiszeműek, hogy szerződés/felhívás alapján járt el, viszont írta, hogy szólt a govcertnek.

Viszont a Govcertes bejelentés is szó-szó. Most így elolvasva, ők
a magyarországi kommunikációs hálózat
állami/önkormányzati intézmények
állami/önkormányzati (rész)tulajdonú vállalatok
stratégiai fontosságú vállalatok
esetén illetékesek

Illetve (önként) vállalták, hogy ezen a körön kívüli intézményekre vonatkozó biztonsági incidens bejelentéseket is fogadnak, és azt továbbítják az érintett szervezet felé. Az mondjuk érdekelne, hogy ki ez a szervezet?
pl. Nagymami Bt weblapja esetén a Nagymami Bt-nek szólnak ők is, vagy szólnak a rendőrségnek is, naih? Vagy NSA-hoz hasonlóan építik a tudásbázist, hogy kell betörni a Nagymami Bt weblapjára?

Ha személyes adathoz nem lehet hozzáférni, akkor nem tudom, hogy egy ilyen bejelentés mit ér?

üzenetek