Azonban ez egyáltalán nem menti fel a támadót. és nem igazolja a módszereit
És figyelembe véve a magyar rögvalóságot, ha a hacker nem megy el eddig, nem vet be ilyen módszereket, akkor szerinted történt volna bármilyen változás, javítás, belső ellenőrzés, javaslat a lyukak foltozására, az üzemeltetés biztonságosabbá tételére, a felhasználók/fejlesztők biztonságtechnikai edukációja?
Ugye, hogy semmi.
Sajnos ez legitimálja, hogy a változás elindítására radikális eszközök kellenek. De látod, még ilyen esetben is az eltussolás volt az első reakció. Ezért indult el a sakkjátszma.

A "kérdéses" támadóban talán felmerült hogy jelentés ellenére nem járnának sikerrel.Azért cselekszik úgy ahogy.
Nem véletlenül írtam hogy ez egy sakk-játsza,mindkettő fél hibás valamilyen szempontból, bár az egyik fél felől még nem feltételezhető a rosszindulatú szándéka(ha tényleg kiszivárognak az adatbázisban lévő adatok az már kétség nélkül rosszindulatúvá válik).Az ezzel kapcsolatos hatályos törvény nincs rendesen kidolgozva(elég a jegyvásáros esetre gondolni).
Érdekességként: Egyes cégek jutalmazzák azokat akik biztonsági rést találnak a szolgáltatásukban(azok is "illetéktelenül" lépnek be a szolgáltatásba).

[ Szerkesztve ]

Remélem itt elfér - https://sites.google.com/site/geriprojekt/ - https://github.com/kgregoryan - Az ember téved,a gép hibázik.

Bip:
Olyan változás nem lesz ami megakadályozza azt hogy 2 év múlva ne lehessen egy hónap ráfordítással felnyomni egy ilyen rendszert. Magyaroszágon nincs rá erőforrás sem szaktudás hogy ezt komoly szinten meg lehess akadályozni... egy ilyen rendszer annyira összetett hogy mindíg marad egy nyitott sérülékenység. Ez egy szélmalom harc főleg közigazgatásban... Lesz előrelépés nem mondom, hogy nem, de nem lesz elegendő ahhoz hogy ne lehessen megcsinálni komoly erőforrással szaktudással ugyanezt 2-3 év múlva... Vér Istvánok ellen legalább lesz védekezés, talán az alap SQL injektek sem fognak majd menni, de ennyi... túl sokat nem lehet várni sajnos... persze lehet én vagyok pesszimista az országgal kapcsolatban... remélem rámcáfolnak...

"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.

Itt nem az a gond, hogy alapvetően egy biztonságos rendszert kellő ráfordítással és idővel valamennyire felnyomnak. Ezt lehetetlen/nagyon nehéz kivédeni.
Itt az a gond, hogy amatőr hibák vannak a rendszerben, ráadásul kritikus adatok esetében, mindezt nagyon sok pénzért.

kárt nem okozva(pillanatnyilag).

A forráskód feltöltésével ez igencsak megkérdőjelezhető.

Ez mondjuk szerzői jogi problémákat jelent.

Remélem itt elfér - https://sites.google.com/site/geriprojekt/ - https://github.com/kgregoryan - Az ember téved,a gép hibázik.

Még mindig nem jó helyen keresgélsz: eleve a fejlesztőnél kezdődik a hibák sorozata, ahol szemmel láthatóan tudás nélküli fejlesztőket alkalmaztak, nem pedig az üzemeltetőnél.

https://www.coreinfinity.tech

De, megvan a szükséges tudás, csak ők eleve nem kapnak ilyen megbízásokat, mert nem a haveri/családi körbe tartoznak.

Egyébként meg az egész folyamatnak véres a torka.
Requirement 1: törvényi szabályzás betartása.
Requirement 2: statikus és dinamikus tesztelés.
Requirement 3: belső és külső pentest.
Requirement 4: külső és belső code audit.

Ez a minimum csak így hasraütésszerűen, nyilván lehet még tovább finomítani.

https://www.coreinfinity.tech

Na de várjál csak, jó lenne tudni milyen követelmények voltak megfogalmazva a programmal kapcsolatban, ezeket ki határozta meg, ezeknek a követelményeknek a teljesítését ki ellenőrizte? Ki engedte így működtetni? Mert ugye ilyenkor már az engedélyezőé a felelősség hogy mért engedte ilyen állapotban üzembe helyezni a rendszert. Mert ugye oké hogy baj pl hogy a kőműves szarul csinálja meg a falat/lépcsőt bármit de van ott egy felelős műszaki vezető aki a teljes felelősséget vállalja az épület biztonságárt, építés közben és átadáskor is hatóság adja át hogy lakható. Itt is valami hatóság (NKI vagy NAIH) rámondta az OK-t hogy ez így mehet használhatja közel fél millió gyerek és szülő. Vagy gondolod hogy egy ilyen rendszert anélkül üzembe lehet helyezni hogy bármilyen hatóság/minisztérium (megvizsgálja) engedélyezze? Szóval itt nem csak a fejlesztő a ludas legalábbis a fő felelős nem a fejlesztő abban hogy ez ilyen állapotban került beüzemelésre...

"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.

minősített adatokról lévén szó, egészen pontos követelménymeghatározás van rögzítve.

"The time you enjoy wasting is not wasted time."

Nulla minősített adat van a rendszerben. Különleges személyes adat viszont lehet.
A kettő közti különbség tipikusan a geológia és a teológia esete: ég és föld...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Ezt mi sosem fogjuk megtudni, sőt, valsz csak a bűnüldöző szervek fogják.

https://www.coreinfinity.tech

EÜ adat van benne, hogy melyik gyerek milyen fogyatékossággal, vagy allergiával rendelkezik.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Tudom. Ezek különleges személyes adatok, még véletlenül se minősített adatok.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

hm, itt lehet, hogy elnéztem és tényleg "csak" különleges személyi adat lesz. ettől függetlenül a követelményrendszer meghatározás ugyanúgy rendelkezésre áll hozzá.

"The time you enjoy wasting is not wasted time."

Meg egy raklap egyéb problémát, lásd IT security.

Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.

A forráskód feltárása olyan problémákat is okoz, hogy most talán sokan elkezdenek sérülékenységeket keresni, és azokat kihasználni. Sőt, a Sawarim$ maga is csinált is egy Github repot, ahova majd állítólag feltöltenek exploit POC-okat. Persze legjobb módszer arra, hogy nekiáljanak javítgatni ezeket. Bár ha volt bármennyi sütnivalójuk, az ellopott verzióban lévő hibák jórészét már hetekkel ezelőtt javították... Bár miután ezt el akarták tusolni, nem tudom mennyi eszük van. Hogy a frászba ne derülne ez ki, mi értelme volt sunnyogni? (Gondolták megtalálják, és elteszik láb alól az elkövetőket? Ez is egy lehetőség, de nem hiszem hogy így meg mernék emelni a tétet. Azzal megbuknak, azér azért több jár, mint ezért fog.)

Pedig de, anyatigris LVL99.

Elmélet: teljesen igazad van
Gyakorlat: a legritkább esetben valósul is ez meg

Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.

Most épp nem is megy a Kréta, karbantartás miatt. (remélem épp fixálnak)

Ezt nem fixálni kéne, hanem újraírni a nulláról.

Értem mit mondasz, de persze a gyakorlatban meg rakás dolog ezen a rendszeren megy évek óta, nem lehet egy 2 éves üzemszünet újraírás miatt. Szóval kénytelenek ezerrel javítgatni. Gondolom mivel ki lett adva a forráskód tegnap, meg megjelent az ekreta-exploits repo Github-on (de még üres), gyorsan kiteszik amit az utóbbi hetekben reszeltek. Ez most ilyen sportrendezvény, hogy így hogy volt pár hét fórjuk, ki találta meg hamarabb a hibát...

[ Szerkesztve ]

Persze, tisztában vagyok vele, hogy ez nem így megy. Meg az se lenne jó, ha most elköltenének újabb tízmilliárdot egy másik rendszerre...

[ Szerkesztve ]

Maga a "raklap egyéb probléma" már attól a pillanattól létezett mikor megtörtént az incidens.

Remélem itt elfér - https://sites.google.com/site/geriprojekt/ - https://github.com/kgregoryan - Az ember téved,a gép hibázik.

A kód feltöltése meg hozzáadott még két raklappal. Így bárki kereshet exploitokat, és direktben is megpróbálhatják feltörni a Krétát.

Ez a hekkelés egy egyszeri, mázlista dolog volt, mert hülye volt a projektvezető. A teljes kódbázis feltöltésével viszont lehetővé tették másoknak, hogy utánuk csinálják. És a következő csapat nem biztos hogy jó fej lesz...

Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.

Tegyük hozzá, hogy a kód újraírása nélkül, architekturális változtatásokkal (éljen a mélységi védelem) is kvázi biztonságossá lehet tenni adott esetben egy rendszert (persze a szakma elveivel szembe megy ez a megoldás, mert ha pl. a WAF mögött egy sérülékeny rendszer van, az nem túl megnyugtató, de akkor már nagyságrendekkel csökkenhet a kitettség).

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Kérdés hogy a ki került forráskód mennyire friss.

Nem kell elkölteni másik 10 milliárdot, a rendszer már ki van fizetve.

https://www.coreinfinity.tech

Ki tudja. Viszont garantálom, hogy nem fixáltak minden exploitot, hiszen a nagy részükről nem is tudnak - ahogy még mi se.

Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.

Nem tudom, abból hogy az érintettek még hallgatnak, gyanús a dolog.
Vagy teljes a káosz, hogy ezt hogyan is kellene kommunikálni.

Sunyítás van: nem beismerni semmit, nem nyilatkozni, kussolni, hátha elül a vihar és megússzák. Meg ez akkora botrány, hogy mit mondhatnának? "Bocs, elkúrtuk"? "Szépen ígérjük, többet nem kattintunk trojan linkekre"? Ugyan

És amúgy egész jól megy is nekik a megúszás, kormánymédia eleve kussol az egészről, független/ellenzéki média pedig már bőven a "sokadik oldalon" beszél csak róla. Majd szépen csendben fizetnek valami büntit max (de azért nem túl sokat), és kész.

Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.

tehát akkor egy feltört gépen keresztül egy jelszóval 238 rendszert nyitottak fel egyszerre?
ugye nem ezt akarod sugallni?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

ez volt a telexes cikkben: [link]

„Nem volt kétlépcsős azonosítás, és egy rendszeren fut az egész, tehát ha van a owa.rufusz.hu-hoz hozzáférésed, akkor mindenhez is” – mondta a hekker.

Majd szépen csendben fizetnek valami büntit max (de azért nem túl sokat), és kész.
Közpénzből persze

Hát miből másból?

Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.

Nem adott semmi extrát.Ez is vele járt.

Remélem itt elfér - https://sites.google.com/site/geriprojekt/ - https://github.com/kgregoryan - Az ember téved,a gép hibázik.

Igen, csak nem vagyok benne biztos, hogy ez a csapat meg tudná csinálni rendesen...

A szerződésben ha nincs konkrétan belefogalmazva, hogy egyfajta rendszer karbantartás, verziókövetés képében a biztonsági réseket is folyamatosan javítaniuk kell, akkor ezt csak plusz pénzért lehet érvényesíteni.
Csillió ilyen helyzettel találkoztam már. nagyon ritka, hogy nulla forintért ki lehet ezt javítani, főleg ha már évekkel ezelőtt átadták az adott rendszert. Csak a funkcionális tesztelés az, ami elvárásként szokott jelentkezni szerződés szinten.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Sajnos ez lesz. Az is lehet, hogy már csak itt a PH-n foglalkozunk vele.
Pl a bitport-on is 1 db fél oldalas cikk van erről 7-ikén, és a fejleményekről semmi.
Katasztrófális.

Én azt gondolom, hogy az egész fejlesztés eleve nem a törvényi keretek között történt, ergo a szállító nem teljesítette a szerződésben foglaltakat - csak nem akadt a vevői oldalon senki, aki rendesen auditált volna, mert ugye haver/sógor/koma/jóbarát/szomszéd/unokatesó vonalon mozognak az állami beruházások nyertesei.

Plusz, a biztonsági rések, sebezhetőségek javítása nemigen lehet fizetős, mert még az olyan cégek, mint a Microsoft, vagy az Apple is tartózkodnak ettől.

UI és funkcionális fejlesztések fizetősek, azzal minden oké.

[ Szerkesztve ]

https://www.coreinfinity.tech

Én azt gondolom, hogy az egész fejlesztés eleve nem a törvényi keretek között történt, ergo a szállító nem teljesítette a szerződésben foglaltakat

Ezt mire alapozod? Még egyszer: a szerződésben általában annyi van leírva (praktikusan a műszaki tartalmat magában foglaló mellékletben), hogy pl. kell egy zöld hátterű progam, ami kiírja, hogy 2+2=4. Ha a programnak zöld a háttere, és ezerből ezerszer is a 2+2 műveletre 4-et dob vissza eredményként, akkor a feladat el van végezve, és pont. Az nem szokott a része lenni az írott műszaki elvárásoknak, hogy a program legyen biztonságos is (volt egy bizonyos sokat támadott kormányzati gigaberuházáshoz kapcsolódóan olyan projektünk, ahol a része volt a biztonság a fejlesztési szerződésnek, és a beszállítóból kiverték utólag a javítást, sőt a javítás javítását is, de ez a fehér holló kategória).

Plusz, a biztonsági rések, sebezhetőségek javítása nemigen lehet fizetős, mert még az olyan cégek, mint a Microsoft, vagy az Apple is tartózkodnak ettől.

Almát a körtével. Egész más az üzleti modell. A pályázati kiírások minimumon történő értelmezésével pályázik mindenki a hazai fejlesztési projektekben: ha nem így tenne, más elvinné a projektet. Ha nem része a kiírásnak, hogy X ideig ilyen módon is támogatni kell a rendszert, akkor maguktól nem fogják: nem lenne rentábilis.

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Ilyen rendszereknél a szerződésben tipikusan benne van az is, hogy milyen szintű biztonsági szintnek kell megfelelni, ami jelen esetben egyértelműen nem teljesül, így ez hibás teljesítés.

Mint mondottam, jópár hasonló szerződést láttam a saját szememmel, egy kivételével egyikben sem volt benne. Innentől kezdve max. találgatni lehet, hogy esetleg talán benne lehetett.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Ha nem volt benne, akkor a szerződést az állam(i vízfej) részéről aláíró részéről alapos az indok az azonnali felmondásra. (Hasonlóképp azokéhoz, akik útépítést/-felújítást 5-10 év garancia kikötése nélkül írnak alá.)

A tej élet, erő, egészség.

Pedig nem állami cégnél is hiányos az átvétel, minél nagyobb a megrendelő cég, és minél kevesebb a szakképzett IT-s a megrendelőnél.
Ezért van az, hogy a bizalom és referencia adja a fejlesztő cég értékét. Nem tudom a Kréta fejlesztő cége milyen referenciával rendelkezik, de nem is akarom megnézni, mert félek csak még dühösebb lennék.