2022. augusztus 19., péntek

Gyorskeresés

Etikátlan hackelés

Írta: | Kulcsszavak: biztonság . etikus hackelés . Kanada

[ ÚJ BEJEGYZÉS ]

Egy főiskolai hallgatót kicsaptak, miután le próbálta ellenőrizni, hogy egy általa felfedezett (250 ezer tanulót érintő) biztonsági sebezhetőséget a cég tényleg kijavította-e.
Forrás: nationalpost.com

Az engedély nélkül végzett etikus hackelés mindenhol kényes téma. Bár vannak egyes országok, melyek részben, vagy egészében engedélyezik az ilyen jellegű tevékenységet (pl USA-ban a DMCA DMCA PUBLIC LAW 105–304 1205§ f) és i) pontok: Reverese Engineering, és Security Testing & Evaluation), ám a jogosulatlan tesztelés általában a számítógépes bűncselekmények, illetve a hackertevékenység körébe esik.

A címadó bekezdésben is bemutatott ügyben a főiskolai diák egy mobil fejlesztési projekt során bukkant a diákokat nyilvántartó rendszerben (regionálisan használt rendszer, gyakorlatilag a kanadai "Neptun") arra a sebezhetőségre, mely kihasználásával jogosulatlanul hozzá lehetett férni bármely nyilvántartott diák személyes adataihoz (név, lakcím, SSN, gyakorlatilag minden nyilvántartott adathoz). A diák jelentette a hibát az iskola és a rendszert fejlesztő cég felé, mely a hibát rövid időn belül javította. A tanuló azonban a hiba javítása után egy tesztprogram segítségével le kívánta ellenőrizni, hogy a sebezhetőséget javították-e. A tesztelést viszont észlelte az üzemeletető is, aki értesítette az iskolát, valamint jogi lépéseket helyezett kilátásba a diák ellen, amennyiben nem működik vele együtt a továbbiakban - titoktartási vállalás keretei között. A diák együttműködési nyilatkozatot tett.

A cég feltehetően elégedett volt az eredménnyel, ám az iskola másként vélekedett. Az ügyet az iskola vezetése elé vitték és 14:1 arányban a diák eltávolítása mellett szavaztak, a diák meghallgatása nélkül. Mivel a diák személyi lapjára felkerült, hogy fegyelmi okból távolították el, így a kiváló eredményei ellenére is valószínű, hogy sehol sem fogja tudni befejezni a tanulámányait.

Mi a tanulság?
Ne találjunk semmit? Ne jelentsük? Ne ellenőrizzük?
Mindenesetre bármit is teszünk, érdemes engedélyt szerezni, bármilyen - a másik fél által - rosszindulatúnak minősíthető lépés megtétele előtt; még akkor is, ha csak a jószándék is vezérel.


Az etikus hackelés első szabálya:
Csak azt teszteljük, amihez jogunk van.

Hozzászólások

(#1) sztanozs


sztanozs
veterán
LOGOUT blog

Sebezhetőség, XKCD módra:

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

(#2) bambano


bambano
titán

Nem tudom, mi a gond, amerika a hülyék és a jogászok paradicsoma, perelje be az iskolát meg az iskola vezetését, hogy egy életre elmenjen a kedvük attól, hogy olyan témában hozzanak döntést, amiben nem szakértők.

Ez, szerintem, tipikusan egy olyan eset, amire normális jogrendben adnak a bírónak egyéni mérlegelési jogkört, és bár szó szerint véve sértette a törvényt, az eszméjét nem, és nem kellett volna büntetni.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

További hozzászólások megtekintése...
Copyright © 2000-2022 PROHARDVER Informatikai Kft.