... mert választani kell

Amikor az ember azt hinné nincs lejjebb...

2017/07/22. - írta: Válasszunk

... a Telekom és a BKK képes bizonyítani, hogy van lejjebb. Nem T-Systems nevet említettem, hanem a Telekomot. És igazság szerint nem csak a magyar cégre gondolok, hanem a multira. Mert a feljelentés ügyben sok mindenre lehetett volna mutogatni, csak éppen kötelező protokollra nem. Mert ez egy olyan helyzet volt, amihez normális esetben a protokollnak nem volt köze. Pont azért, mert az érintett hackelés is kívül esett azon a körön aminél lehet vizsgálni, hogy etikus hackelés vagy sem. 

Viszont a normális protokoll egy normális cégnél nem az, hogy a biztonsági igazgató a tények javának a mérlegelése nélkül személyesen megy el feljelentést tenni, a kritikus biztonsági hibák jelentős része marad, a felhasználók képébe hazudnak és ezzel végighaknizzák az egyik oldal politikai médiáját. Ha a Telekom családban bárhol ez a protokoll akkor a Telekom család minden része hiteltelenné válik, hiszen az ilyen szintű becstelenségre felsőbb szinteken is rá kell bólintani.

Ez esetben sok ember és cég nem csak magát a Telekom csoportot fogja kerülni, hanem a T-Systems minden ismert ügyfelét is, hiszen azok ilyen eljárásnak teszik ki őket, olyan cégre bízzák az adataikat ami súlyosan rosszhiszemű, tisztességtelen és megbízhatatlan. Ha viszont mégsem ez a protokoll és a mulasztás kiderül, és az is, hogy ez a kommunikációs stratégia, a rendszer nem leállítása rontott a helyzeten, akkor a felelősök mindegyikét ki kell rúgni, és mindegyik ellen feljelentést kell tenni a cég részéről. 

Félreértés ne essék, az "etikus hacker" bérletvásárlása önmagában belefért. A hiba nyilvánosságra hozatala azonnal, méghozzá úgy, hogy azzal bárki visszaélhetett és nem tudhatta, hogy ezt képes-e utólag kiszűrni a BKK általában már nem az etikus hackelés kategóriája. A "nekem hírnév, nektek kár" helyzet ugyanis nem az. Sem azonnal nyilvánosságra hozott exploitnál, sem defacenél, sem más hasonlónál. 

Vannak olyan hiányosságok amiket azonnal nyilvánosságra szabad hozni. Sőt kell is. Mondjak kapásból példákat? Mert volt itt ilyenből is pár. A plaintext jelszó, a DROWN sebezhetőség az SSL kapcsán vagy éppen a profil szerkesztésnél előre kitöltött jelszó miután tudtunk róla, hogy más profiljába bele lehet nézni hiba esetén.

Három kritikus biztonsági hiba. És ebből kettővel viszonylag korán foglalkozott ez a blog is. Miért mentem publikálni ezeket a hibákat azonnal? Mert a felhasználók számára ezek kulcsfontosságú információk. Arra inti ez az információ csomag az összes felhasználót, hogy változtassa meg a jelszavát. Ugyanakkor a gyorsaság a publikálás kapcsán nem jelentett plusz veszélyt, mert bármely hacker ezzel próbálkozna.

Az viszont, hogy lehet kvázi "ingyen" bérletet venni másokat arra is ösztönözhet, hogy ezt elkövessék. 10000 esetből 9999-ben amikor valaki egy friss exploitot azonnal a potenciális támadók rendelkezésére bocsájt, és csak nevet a károkon azt várnám el, hogy az illető börtönbe kerüljön. Ez az eset viszont az a bizonyos 10000. eset volt. A 10000. eset azért különleges mert olyan weboldalt érint amit széles szakmai konszenzus szerint azonnal le kell állítani mind a felhasználók, mind a közvagyon védelmében. 

A T-Systems viszont elég sok mindent tudott ekkorra. A saját adatbázisukban lévő adatok, a logok, az IPk, a fizetési rendszer felől kapott információk, az általuk is megkapott levélben szereplő adatok, a nyilvános jelzések a hibáról. Azaz, ha az incidenst érdemben elemezték tudniuk kellett kivel állnak szemben és mivel. A sajnálkozást tartalmazó tűzoltó közlemény nem más, mint a teljes magyar lakosságot hülyének néző hazudozás. Mondjuk az is hülye aki mást várt az ügyben résztvevőktől. 

De a politika kapcsán már Sztálin is rég tudta: Egy millió ember halála (vagy sérelme) statisztika. Egyetlen ember sorsa viszont olyan tragédia lehet ami sokakat mozgat meg. Ez a 18 éves srác olyan helyzetben cselekszik amikor ő valószínűleg jogszerűen cselekedett. Ha másért nem, mert a másik oldal súlyos jogsértéseit segített fékezni. 

A T-Systems protokollról, belső szabályokról beszél. Tudjuk, egy nemzetközi cégnél vannak ilyenek. Ezeket pedig többnyire minőségbiztosítás során rögzítik és bizony a teljes vezetés jóvá hagyja. Úgy látszik a T-Systems szabályaihoz nem tartozik hozzá a következő lépések egyike sem: 

  • Az SSL kapcsán meglévő kritikus sebezhetőség javítása
  • Az ismétlődő jelszavakra tekintettel (fokozott veszély) azonnal elismerni a hibát
  • Megfelelő tesztelés
  • Biztonságos jelszókezelés
  • Bemeneti adatok ellenőrzése
  • Az eset körülményeinek mérlegelése

De a felsővezetői szintű bosszú és hakni igen. Telekom ügyfeleknek nem árt ezen elgondolkodni. De azon sem, ha mondjuk egy bank ott van a T-Systems referenciái között és a T-systems esetében ilyenek a protokollok akkor akarunk-e az adott bankban pénzt tartani. De áruházak és más esetében is "akarjuk-e hogy bármi adatunk olyan helyen legyen amihez a T- csoportnak köze van?" Ha az érintettek durván eltértek a cég elvárásairól és ennyire szégyent hoztak a cégre számukra akkor sem lehet sok jövő ebben a szakmában...

komment

A bejegyzés trackback címe:

https://valasszunk.blog.hu/api/trackback/id/tr612679083

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

JGDus 2017.07.22. 16:44:20

A BKK csilliárdokért fejleszt(et) oldalakat. Vezetői prémiumaikból egy megye lakossága jól lakna. Itt rendszerszintű gondok vannak. TI-nek minden vezetőt el kellene bocsájtani (saját rokonait is). A budapestieknek (ha vér van a pucájukban) kerek egy hónapig nem szabadna semmilyen BKK jegyet megvásárolni, jelezve a szolidarításukat.
Lesz a fentiekből bármi is? Sajnos nem. Öncenzúrázó diktatúra lettünk, utódaink ebben szocializálódnak. Kifilézik a magyarok gerincét. Filézett Magyarország - OV álma lassan valósággá válik.

na4 2017.07.22. 16:44:29

Blabla. Senkit nem érdekel. Nyár van, nyaralunk. Relax, mert megüt a guta.

Visceroid 2017.07.22. 17:08:23

@na4: +1 Egyébként meg az ország már régen halott, szóval olyan mindegy.

Measurer 2017.07.22. 17:24:33

@na4: Kėtlem, hogy költsėg-haszon elemzės igazolná az e-bėrlet vásárlást. Elvėgre a jegy-bėrletirodákat, a benne lėvő szemėlyzettel erre egyszer már kialakitották.
Eredmėny: tökėletlen szoftver, költsėges üzemeltetės, új bėrletellenőrzėsi feladat ("az ön bėrlete hamisított - vagy sem").
Ettől kezdve aztán már mindenki csak fut a pėnze után ės dühöng.
Örülhetnek a politikusok, hiszen a nyári uborkaszezonra is jutott tėma.

énisfélek 2017.07.22. 17:44:17

A T-systems programozókat keres azonnali felvételre. Szaktudás, gyakorlat, inteligencija nem szükséges.

2017.07.22. 19:33:11

még mindig ezen pörögtök?

CoolKoon 2017.07.22. 19:51:51

Ó igen. Ez a bejegyzés szépen és szalonképesen fogalmazza meg azt, amit máshol már leírtam (és amit mindenki tud, aki valaha is dolgozott multinál):
1) Amikor megláttam a sajnálkozó közleményt, rögtön az első gondolatom az volt, hogy rohadjon meg a BKK de főleg a T-Systems ott, ahol van. A második pedig, hogy francokat sajnálják ők a feljelentést. Az óriási médiavisszhangot, a PR-katasztrófát, meg hogy lehúzhatják magukat a klotyón, azt sajnálják, semmi mást.
2) A multikban általában vannak ilyen belső szabályok, igen. A legtöbbjuk pont ugyanolyan idióta, mint ez a szabály, amire hivatkoztak. Ezeket a szabályokat viszont általában csak és kizárólag akkor alkalmazzák a multik (pláne ilyen könyörtelenül), ha valakivel nagyon ki akarnak baszni. Itt is pontosan ez történt, a sajnálkozó "nem tehettünk semmit, nálunk ez a szabály" pedig pontosan abszolút hülyének nézés (és nem mellesleg tipikus multis sunnyogás is, ezek mindig a belső szabályzat mögé bújnak, ha valami oltári nagy gáz van).

CoolKoon 2017.07.22. 19:53:42

@JGDus: Hát azért nem hiszem, hogy a pestiek annyiban hagyják ezt az ügyet. Egyelőre nagyon nem úgy fest.

CoolKoon 2017.07.22. 19:55:23

@Gaspen: Személy szerint én nagyon remélem, hogy még fognak is. Sokan.

CoolKoon 2017.07.22. 20:04:34

@Measurer: A dolog sajnos nem ilyen egyszerű. Az elektronikus bérletrendszer más városokban (pl. Pozsonyban!) már jól bevált rendszer, amit (az árusítóhelyeket leszámítva) ugyanaz a személyzet kezel, mint a hagyományos bérleteket (ellenőrök, az ezeket kiadó és nyilvántartó részleg stb.). Mivel az egész politikailag is jó ötletnek tűnt, így (gondolom, Tarlósék jóváhagyásával) megbízott a BKK egy megbízható(nak tűnő), komoly referenciákkal rendelkező céget (ez volt a T-Systems). Na most maga a tény, hogy szar került a palacsintába, igazából nem a BKK sara, hiszen ők lényegében csak a megrendelők (most hogy kommunikációs szempontból olajat öntöttek a tűzre, az egy másik dolog). A dolog műszaki/szakmai részét a T-Systems baltázta el, de nagyon. Viszont önmagában azért, hogy őket választotta a BKK, még nem hibáztathatnám őket, hiszen előre nem lehetett tudni, hogy dilettánsok (mint ahogy pl. annak idején Lothar Matthäus-ról se lehetett előre tudni, hogy egy köcsög).

2017.07.22. 20:34:55

@CoolKoon: és az neked jó lesz?

CoolKoon 2017.07.22. 20:49:56

@Gaspen: Igen. Ugyanis megfelelő üzenetet közvetítene az ilyen multis rohadékok meg hasonló idióták felé. Ja meg azért is, mert aki egy kicsit is ért az informatikához (meg a kiberbiztonsághoz), annak már most világos, hogy az egész egy hatalmas lebőgés (még mindig alig hiszem el, hogy ezt a szart a T-Systems adta ki a kezei közül, ez gyakorlatilag a legócskább sufnituning kategória), ami nem maradhat súlyos következmények nélkül (ez kb. olyan, mintha egy zenészről a MÜPÁ-ba szervezett koncerten derülne ki, hogy nem tud zongorázni, vagy egy focistáról a VB-n derülne ki, hogy egyáltalán nem tud focizni).

dr. mesterséges színezék 2017.07.22. 20:56:34

@énisfélek: Kapaszkodj meg: majdnem ez a helyzet. Évek óta lasszózzák a nullkilométeres bölcsészeket, arra alapozva, hogy azt is be tudják biflázni záros határidőn belül, amit nem értenek - és ebben teljesen igazuk van.
Az a baj, hogy sem a fejlesztés, sem az üzemeltetés nem egy vizsga, amelynek a másfél óráján ha túlvagy, akkor túlvagy, és akár el is lehet felejteni.

2017.07.22. 20:57:47

@CoolKoon: Nos barátom, veled sem cserélnék életet.

dr. mesterséges színezék 2017.07.22. 21:06:55

@CoolKoon: " A multikban általában vannak ilyen belső szabályok, igen. A legtöbbjuk pont ugyanolyan idióta, mint ez a szabály, amire hivatkoztak. Ezeket a szabályokat viszont általában csak és kizárólag akkor alkalmazzák a multik... "

Nem a multik ellen, hanem a magyar mentalitás ellen beszélve: nincs a munkáltatómnak olyan, 2-3 szinttel magasabban létrehozott szabálya, amit lokálisan meg ne sértettünk volna az elmúltsokévben - szándékosan és következetesen, a helyi menedzsment szóbeli utasítására.

Tulajdonképpen - a lélek minden háborgása ellenére - érthető, mert közvetlenül vagy közvetetten egymásnak ellentmondó direkciók között az eredő legalább egyhez, de inkább mindhez képest el fog térni.

Mindazonáltal: ha bárki olyan kéréssel/javaslattal fordul a saját góréjához, amit annak az ő góréjával kéne egyeztetnie (felfelé nem pofázunk, de még csak nem is sóhajtunk), akkor ha távolról, félig behunyt szemmel, sötétben nézve citálható egy összcéges passzus, amellyel a kérés/javaslat ütköztethető, akkor az a kérés/javaslat ezzel el lesz ütve. Akkor is, ha 5 perccel korábban egy másik összcéges passzus durva megsértése volt a napi feladat.

dr. mesterséges színezék 2017.07.22. 21:08:25

@Gaspen: Te született bárány vagy, vagy személyiségi tréningen nőtt rajtad gyapjú?

CoolKoon 2017.07.22. 21:12:51

@Gaspen: Ne is. Ahhoz ugyanis meg kéne tanulnod programoznod, meg legalább egy kicsit Linuxozni is :P

CoolKoon 2017.07.22. 21:16:42

@dr. mesterséges színezék: Hát igen. A multi ugyanez, plusz még hozzájön a főnök idióta, multis dumája, amely lényegében üres, multis frázisok puffogtatásában nyilvánul meg. De látom, te is tökéletesen tisztában vagy azzal, hogy az ilyen hivatkozott szabályok gyakorlatilag gumiszabályok.

dr. mesterséges színezék 2017.07.22. 21:17:59

@Gaspen: Akkor ne akarj birka lenni, mert még a végén sikerül, és úgy maradsz.

Fodor Balázs 2017.07.22. 22:35:47

Nincs szánalmasabb és alávalóbb a belső szabályokra mutogatásnál. Mintha természeti törvények lennének. De azt is csak emberek találták ki, úgyhogy egy fél pillanat alatt lehet őket figyelmen kívül hagyni, ha akarja valaki.

tireless treehugger 2017.07.22. 22:54:12

kicsi ország itt nem lehet váltani. ha valahová bekerülsz akkor húzni kell az igát és remélni hogy nem buksz orra. Ezeknek a vezetőknek az egész életük múlik azon hogy ne bukjanak, évtizedek seggnyalása és taposás (karrier) van mögöttük ennyi észzel és tudással sehol máshol nem kerülnének hasonló pozícióba.

Ha most ők elbuknak a következők mégjobban igyekeznek hogy ne kerüljenek hasonló helyzetbe, és itt nem a hibák megelőzésére gondolok.

John Doe3 2017.07.23. 00:55:53

@Measurer: nem ellened szól, hanem kiegészítés: az állításod már akkor is igaz volt, és a hozzákapcsolódó kérdéseket akkor is fel kellett volna tenni, amikor az most futó elektronikus jegyeladási pontokat (kioszkok) kialakították. Ez azonban nem történt meg, úgyhogy az illetékesek nyilván azt hitték, jó úton járnak. Ez az út azonban a szakadékba vezet.

John Doe3 2017.07.23. 01:00:54

@CoolKoon: lehet, hogy én naiv vagyok, de megrendelőként körülnéznék, nincs-e a piacon már bevált, működő, esetleg kis többletráfordítással adaptálható megoldás. Tudomásom szerint ugyanis jelen esetre van. Utána csinálnék egy meghívásos közbeszerzést az adott cégek részvételével. Apropo: volt közbeszerzési eljárás egyáltalán?

John Doe3 2017.07.23. 01:04:07

Nem ártott volna a feljelentés előtt megkérdezni egy büntetőügyekben jártas (vagy legalább egy végzős) jogászt, ha már a T-Systemnek nincs ilyenje, amit különben kétlek.

CoolKoon 2017.07.23. 01:10:23

@John Doe3: Attól tartok, hogy ilyen rendszerekből kulcsrakész megoldás nincs, mert mindegyik tömegközlekedési rendszer más (és a más alatt azt kell érteni, hogy nem csak néhány sornyi kódot kell átírni).

"Apropo: volt közbeszerzési eljárás egyáltalán?" - Erre egyáltalán nem vennék mérget...

Zola_ 2017.07.23. 02:28:14

@John Doe3: nem kell kérdezősködni, feljelenteni, bejelenteni mindig lehet, akár ismeretlen tettes ellen is
a rendőrség és az ügyészség dolga, hogy indul-e nyomozás a rendelkezésre álló információk és hatályos jogszabályok alapján

Bikkfanfutyulo 2017.07.23. 02:29:41

Elmondom itt is, mi történt:
Bivalyalsólöködön egy 18 éves srác új telót kapott, és számítástechnikai ismeretek nélkül rendelni akart a barátnőjének egy 50 Ft-os csokit. Addig-addig nyomkodta a telót, mígnem a BKK honlapjára tévedt, és az 50 Ft-jáért vett, vagy nyert (ő sem tudja) egy BKK bérletet. Volt annyi lélekjelenléte, hogy kért egy visszaigazolást róla.

A BKK központjában egy magas rangú úr megkapta az esetről a jelentést, és azon nyomban diktált egy nyájas hangvételű levelet a titkárnőjének a fiatalember számára, melyben azt is közölte, mit kezdjen a fiatalember az ő 50 Ft-jával. Ezután a levelet a kézbesítő lánykával leküldték az iktatóba.

A kézbesítő lányka az ominózus levelet, meg a szalámis zsömle papírját összefogva, a lépcsőház korlátján túl csak egy pillanatra engedte el. Amikor észrevette, hogy működik a gravitáció, arra gondolt: a franc se ugrik utána, majd indult további dolgait intézni.

A levél, meg a szalámis zsömle papírja, ahogyan kell, egészen az alagsorig hullott, pont a foglár orra elé. A foglárnak a félhomályban csak az 50 Ft meg egy csomó csúnya szó jött le, és éles logikával kihámozta, hogy ez bizony egy zsaroló levél lehet, valaki 50 Ft-ot követel, különben kiszabadítja az ott őrzött, bliccelés miatt lecsukott foglyokat!

A foglár rögvest házi nyomozásba kezdett, és elő is került a kézbesítő lányka (a szalámis zsömle papírja árulkodott), aki a kihallgatása során beismerte, hogy a nagymamája a komenista időkben szintén kézbesítő volt. Ez már elegendő alap volt, hogy a TEk-et érteítsék.

A TEK-esek rövid időn belül kiderítették a feltételezett bűnöző kilétét és hogy a tartózkodási helye kb 300 km-re található, és a politikai szálra tekintettel, pénzt-paripát-fegyvert nem kímélve a feltételezett bűnöző nyomába eredtek.

Út közben sajnos az egyik nyolckerekű PSZH egyik kereke kipukkadt, ekkor a különítmény parancsnoka megállapította, hogy egy nyolckerekű 7 kerékkel lassabban tud haladni, így valószínűleg sötétedés előtt már nem érnek oda, de senki ne követeljen túlóradíjat, mert a pukkanás ellenére ez még ugyanaz az akció.

Éjjel 2-kor meg is érkeztek Bivalyalsólöködre, ahol kézre kerítették, majd azonosították a feltételezett bűnözőt, ezután indítványozták és rögtön el is fogadták az előállítására vonatkozó eljárási cselekményt. A kihallgatásra mostanáig nem kerülhetett sor, mert ugye egy nyolckerekű 7 kerékkel... De a gyanúsított útközben szabadlábon védekezik, hiszen a lábai nincsenek összebilincselve.

A kézbesítő lánykát felfüggesztették állásából, a lábainál fogva, testi épségének megőrzésére a foglár vállalt garanciát.

Zola_ 2017.07.23. 02:31:24

@CoolKoon: úgy tudom, a jegyárúsító automatákat a t-systems üzemelteti, csak kiegészítették a meglévő szerződést az on-line verzióval

$pi$ 2017.07.23. 06:18:06

"Pont azért, mert az érintett hackelés is kívül esett azon a körön aminél lehet vizsgálni, hogy etikus hackelés vagy sem"

Akkor mondjuk, hogy "etikus hacker" ha a tulaj rendeli me a saját rendszere ellen a támadást. Nincs mit "vizsgálni", ninde olyan, hogy "nem lehet vizsgálni", a válasz nyilvánvaló az, hogy szó sincs etikus hackelésről.

Visceroid 2017.07.23. 07:21:34

Mondjuk jó buli lesz, ha a következő "etikus hacker" Mari néni lesz Bivalybasznádról, mert félrenyomott valamit, és személyesen Pintér Sándor fog kimenni hozzá, hogy bevigye.

Behajtó70 2017.07.23. 08:22:16

Az etikus hacking-et be szokás jelenten a megtámadott oldal tulajdonosának, és engedélyt kell kérni rá! A többi normál betörés kategória. Ti meg csak a csámcsogtok a lószaron.

Singerkém 2017.07.23. 08:59:26

@$pi$: Lehet, hogy az etikus hecker definíciója az, amit te írtál - éb nem értek hozzá.

Viszont azt tudom, hogy ha valaki nyitva találná a bejárati ajtómat és ahelyett, hogy kirámolná a lakást, felhívna engem, hogy figyelmeztessem.... hát én nem basznám pofán, hanem inkább megköszönném neki.

Szaktanár 2017.07.23. 09:56:22

@Singerkém: az elved jó, de sajnos az etichal hacking ennél összetettebb, jogilag szabályozott forma, nem csak mo-n, de az egész világon. azért van ez így, mert abban a pillanatban, amikor megindítod a tesztelést (támadást) és információkhoz jutsz hozzá, még nem tudhatja az adott cég, h a rendszeréből kinyert adatokat nekik szolgáltatod-e be, vagy eladod a ruszkiknak. na hát ezért kell előzetesen szerződést kötni, mert ez garantálja, h nem fogsz visszaélni a megszerzett infóval.
egyébként én tök furcsának találom, h ezt a viszonylag egyszerű dolgot a kommentelők többsége nem látja át. eszem ágában sincs mosdatni a fejlesztői gárdát, nyilvánvaló, h egy ennyi sebből vérzi rendszer nem h production-be, de még tesztelésre sem mehetett volna; ettől függetlenül a srác hibát követett el, amikor nekiugrott a dolognak (ha már mindenképp tesztelni akart volna, akkor ahhoz lehetett volna engedélyt kérni. az egy másik kérdés, h megkapta volna-e, nem szeretnék feltételezésekbe bocsátkozni, informatikus vagyok, nem jogász).

gtri 2017.07.23. 10:21:09

Gratulálok A T-Systems vezetőinek. Gondolom a HR osztály "employee branding" meg hasonló címszavak alatt már évek óta próbál jó képet festeni a cégről a leendő munkavállalók felé. Na, azt most lehúzhatják a klotyón. Minden fiatal megtudta, hogy egy "bárkit kicsinálunk ha úgy tartja kedvünk, de közben még gyáván nem is merjük ezért felvállalni a felelősséget" munkakultúra van a cégen belül. Azt is gondolom, hogy ezek után ezerszer meggondolja bárki, hog ilyen "remek" munkahelyen dolgozzon. Még egyszer "gratula tisztelt felső vezetés" ügyben nyújtott "teljesítményért"! Majd izzadhat a HR a következő állásbörzén. :)

énisfélek 2017.07.23. 11:26:15

@dr. mesterséges színezék: "Évek óta lasszózzák a nullkilométeres bölcsészeket,"

Könnyesre röhögtem magam. Melyik csökött agyúnak támadt az a gondolata, hogy az a szerencsétlen, aki Petőfi Sándorból doktorált, az valószínűleg jó programozó lesz? A szoftverfejlesztéshez nem magolási képesség kell, hanem intelligencia, logika és józan paraszti ész. Egy jó villanyszerelőből vagy autószerelő szakmunkásból tízezerszer nagyobb eséllyel lesz jó programozó, mint egy bölcsészből.

$pi$ 2017.07.23. 12:07:17

@Singerkém: "Viszont azt tudom, hogy ha valaki nyitva találná a bejárati ajtómat és ahelyett, hogy kirámolná a lakást, felhívna engem, hogy figyelmeztessem.... hát én nem basznám pofán, hanem inkább megköszönném neki. "

És aztán ha nem érsz haza időben kirakná a címedet a netre, hogy némá, ez a lüke nyitva hagyta az ajtót? Akkor is megköszönnéd?

És ha nem látszana az ajtón, hogy nyitva van, csak a csávó próbaképpen lenyomta a kilincset? Nem gondolnád, hogy fura miért próbálgatta?

Azért így már nem annyira gáncstalan lovag ám a csávó, nem?

Bölömbika 2017.07.23. 12:08:35

@Behajtó70: A böngésző címsorát írta át, ez olyannyira távol áll hackelés fogalmától, mint a bkk és t systems vezérei által bemutatott kompetencia az elvárt minimumtól. Ez a fránya kontraszelekció...

Bölömbika 2017.07.23. 12:14:06

@$pi$: a hasonlat ott sántít, hogy itt még ajtó sem volt, sőt, falak is hiányoztak abból a bizonyos házból... amibe még be sem lett volna szabad költözni..

SziZo 2017.07.23. 12:15:47

@Szaktanár: Nem az a kérdés, hogy az etichal hacking kategória-e, hanem az, hogy a hacking kategóriába befér-e. Nekem triviális tevékenységnek tűnik.

Szaktanár 2017.07.23. 12:22:23

@SziZo: mármint mi tűnik triviális tevékenységnek, átírni a URL paraméterezett részét? ezt gyakran csinálod? :)

dr. mesterséges színezék 2017.07.23. 13:55:19

@Singerkém: "Viszont azt tudom, hogy ha valaki nyitva találná a bejárati ajtómat és ahelyett, hogy kirámolná a lakást, ..."

... amely lakásban egyébként az üzleti partnereid személyes iratai hevernek szanaszéjjel...

dr. mesterséges színezék 2017.07.23. 14:02:58

@gtri: 'Gratulálok A T-Systems vezetőinek. Gondolom a HR osztály "employee branding" meg hasonló címszavak alatt már évek óta próbál jó képet festeni a cégről a leendő munkavállalók felé. '

Egy átjáróház, hosszú évek óta - HR-től, kampányoktól, bratyizós hangnemtől függetlenül. Valószínűleg az intenzív fluktuáció (ami nem a legpozitívabb indikátora semmiféle munkahelynek, hát még egy szellemi termékeket előállítónak) érett be.

dr. mesterséges színezék 2017.07.23. 14:09:15

@Szaktanár: Én igen, gyakran. Minden alkalommal, amikor valamiért ismételten kell formokat kitöltenem, és szikrányi esélyét látom annak, hogy különösebb fejlesztés nélkül, automatizálhatom.
Ezzel a legrosszabb forgatókönyv az, hogy a szerver beint nekem - ahogy minden érzékeny adatot érintő programrésznek tenni kell - , hogy ezt így nem támogatja. Legalábbis ez volt eddig a legrosszabb forgatókönyv.
Mostantól az, hogy BÁRMI megtörténhet, és jön a jard.

Szaktanár 2017.07.23. 14:47:21

@dr. mesterséges színezék: nem tudom, számomra kissé hihetetlennek tűnik, h gyorsabb lenne a címsorban kurzorozni - törölni - beírni - kurzorozni 4-5 paramétert, mint simán a TAB-ot nyomogatva végigszaladni a formon, de tudod mit, elhiszem, h szted így ésszerűbb/gyorsabb. ettől függetlenül én azért nem nagyon javaslom a címsor átírogatását, bármit elgépelsz, és átmegy, mert szar a validáció a szerveren, máris csönget a rendőrség betörési kísérletért, mint látod :D kis magyar abszurd, de persze azért azt is marha nehéz lenne beadni a bíróságon, h az aranyhörcsögöd lépkedett úgy a billentyűzeten, h a price tag a tizedére lett átírva. ráadásul ötször egymás után...

dr. mesterséges színezék 2017.07.23. 15:06:00

@Szaktanár: "nem tudom, számomra kissé hihetetlennek tűnik, h gyorsabb lenne a címsorban kurzorozni - törölni - beírni - kurzorozni 4-5 paramétert, mint simán a TAB-ot nyomogatva végigszaladni a formon, de tudod mit, elhiszem, h szted így ésszerűbb/gyorsabb."

Irgalomattyanehaggyel! Hol írtam én ilyet?
wget, curl, selenium - összetettségtől és hangulattól függően.
És ha egyszer egy összekonkatenált URL-lel ezekkel betörök valahova, az nem azt fogja jelenteni, hogy én milyen ravasz vagy hozzáértő vagyok, hanem hogy annyira elcseszték az áldozatomat.

Szaktanár 2017.07.23. 15:19:59

@dr. mesterséges színezék: ja így érted, h testingelsz, oké, így van értelme. és persze, egyértelműen, ha sikerül csupán kliens oldali módosítással bejutnod vhova (akarva vagy akaratlanul), akkor értelemszerűen nincs/rossz a validálás hátul, ami a fejlesztők sara.
mindettől függetlenül, mint azt látjuk a fenti ékes példában, nem érdemes ilyesmivel szórakozni (legalábbis mo-n biztos nem), mert ha véletlenül sikerül bejutnod, mivel teljesen inkompetens volt a fejlesztői gárda, már rád is rúgják az ajtót, még akkor is, ha segítő szándék vezérelt :) és ugye itt jön be a képbe a dokumentáció, white hat akkor vagy, ha papírod van róla a cégtől, h támadhatod őket. ezt érdemes minden ifjú titánnak megjegyeznie, mielőtt bármit is átírogat, mert mint látjuk, nem mindig hozzáértők írják az appot...

Singerkém 2017.07.23. 19:40:05

@$pi$: "És aztán ha nem érsz haza időben kirakná a címedet a netre, hogy némá, ez a lüke nyitva hagyta az ajtót? Akkor is megköszönnéd?

És ha nem látszana az ajtón, hogy nyitva van, csak a csávó próbaképpen lenyomta a kilincset? Nem gondolnád, hogy fura miért próbálgatta?"

Minthogy jelen esetben a srác nem ezt tette, nem kell nekiesni a TEK-kel.

Azt megérteném, hogyha törés közben rajtakapták volna, akkor letartóztatják, de azt kurvára nem értem, hogy ha kiderül, hogy tényleg etikus magatartást tanúsított (márpedig ez azzal kiderült, hogy szólt a BKK-nak) akkor minek ráküldeni a zsarukat?

Szaktanár 2017.07.23. 19:59:38

@Singerkém: a kérdésed megválaszolására az alábbi kommentet ajánlom figyelmedbe:

@Szaktanár:

ebből kiderül, miért nem elég szólni a bkk-nak. a zsarukat meg azért kellett ráküldeni, mert a tevékenység, amit végzett, engedély nélküli volt, és ilyenkor hivatalból feljelentést kell tenniük. egyébként, h mennyire nem az ő döntésük volt, azt jól mutatja, h már visszavonulót fújtak, de amikor feljelentették, nem volt mérlegelési lehetőségük.

dr. mesterséges színezék 2017.07.23. 21:22:41

@Szaktanár: Nem, a saját rendszereinket sem (én) tesztelem, nem hogy másét: csak használom a webre kitett szolgáltatásokat, és ha ismétlődve kell ugyanazt, és ha tehetem, elszakadok a billentyűzettől. Ha ezzel kárt okozok, ha kárt tudok okozni, azt egyenértékűnek tekintem azzal, amikor úgy hajtok kátyúba az M3-ason, hogy nincs kinn (még) kerülőtábal, hogy érvényes magyar fizetőeszközzel rendezett éves "matricám" van, betartom a sebességkorlátozást, a kocsim forgalomképes és zéró az alkoholszintem - okkal feltételezem, hogy mehetek az általam megszokott százhússzal.

Szaktanár 2017.07.23. 21:44:32

@dr. mesterséges színezék: amit persze megtehetsz, de ha mo-n élsz, akkor nem ajánlott. ha én ott élnék, biztos nem lennék ilyen bátor, mint te.

SziZo 2017.07.24. 10:35:41

@SziZo: Böngészőben gyakran nem, de vannak weboldalak, ahol néha igen.

Az url a szerver szempontjából a felhasználó által küldött adat, tehát szigorúan ellenőrizni kell. Lásd dotdot bug. (ha jól tudom azt többször javították is, mire korrekt megoldás született)

Véleményem szerint url-ben a felhasználó azt küld amit akar. Ha nem korrekt, akkor a szerver dolga hibaüzenetet küldeni. Az, hogy a böngésző kényelmessé tesz és az url-t kezeli, még nem jelenti azt, hogy néha ne kéne kézzel hebregálni. Ott van mindjárt a wget és társai. Céges környezetben nem ritka, hogy ezekkel kell "kilométeres url-ekkel" adatokat letölteni partner cégektől. Durva lenne, ha egy elütés után megváltoznának az árak...

GABOR2 2017.07.25. 15:53:49

Lehet, hogy Orbánékat a digitális állam imádat buktathatja meg: ujtechkor.blog.hu/2016/08/15/kormanydontes_a_digitalis_allam_segitsegevel
süti beállítások módosítása