a jogbiztonság alapfeltétele, hogy a törvényeket mindenkinek be kell tartania
hogy az adott cselekmény az adott törvénykezésen már túlmutat - netán az adott pillanatban érvényes törvényeket, és főleg azok alkalmazását kérdőjelezi meg, az már tök más kérdés

"fácánjava calvadosban/teljesítünk, egyre jobban " - Konok Péter

Nem az adat kell hogy érdekelje az embereket, hanem az hogy ez hogyan tud megtörténni.
Másfelől aki 2022-ben abban a hitben él, hogy a személyes adatai nem kerülhetnek ki, az túl naív.

Pénz és eszköz nélkül, megfelelő tudással és vétó jogkörrel rendelkező biztonsági szakember nélkül nem lehet biztonságos szoftvert fejleszteni. Az meg hogy mi a biztonságos... relatív
Ez a rendszer véleményem szernint 3-as biztonsági osztályba kellene hogy tartozzon, aminek törvényileg szabályozottak a keretei... de élek a gyanúperrel, hogy itt is mint más esetekben csak papíron leírták hogy 3-as biztonsági osztály kell de pénzt eszközt és meglfelelő tudással rendelkező fejlesztőt, üzemeltetőt a kockázatokat átlátó felső vezetőt nem biztosítottak vagy mert nem volt erléhető az adott fizetési keretek között mert olyan szakemberhiány vagy csak másnak kellett a lóvé.

"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.

Naplóbejegyzés biztos van egy részéről. Ugye kérdés itt a
- egyáltalán milyen események naplózása volt beállítva,
- ezek a naplók mennyire hitelesek,
- mi áll a bejegyzésekben.

De tekintettel arra, hogy mekkora szarvashibákat követtek el, kicsi esélyt látok rá, hogy a naplók érdemben használhatók lennének.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

"Magyarázza el valaki miért hasznos a társadalomnak ha ellopnak 250GB többségében személyes adatot... "

Nem az benne a hasznos, hogy elloptak lemásoltak 250GB adatot hanem az, hogy ezzel rávilágítottak arra a tényre, hogy mennyire hanyagul és felelőtlenül kezelték az illetékesek a rájuk bízott kényes információkat. Az én gyerekeimét, a tiedét, a tanárokét....

Azzal, hogy ezt megtették kvázi kikényszerít(het)ik, hogy ebben változás történjen. Ez lenne a haszon mindannyiunk számára, ez lenne az a bizonyos közjó. Tehát ugyanazon elv mentén hasznos, mint amikor mondjuk állami korrupciót, vagy bírói részrehajlást vagy mondjuk eltusolt molesztálást stb. hoznak nyilvánosságra, lepleznek le.

Az már egy filozófiai vita, hogy mi a fontosabb, a törvény betűje (amelyet végső soron nem csak a hacker, hanem az adatkezelők és adatfeldolgozók sem tartottak be), vagy pedig a magasabb rendű erkölcsi cél, hogy felelősségteljesebben kezeljék az adatainkat. Lehet felsorolni valid érveket mind a kettő mellett, de a magam részéről például ez utóbbit tartom lényegesebbnek.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

Te vagy a harmadik versenyző, aki leír egyfajta fogalmi meghatározást a... Khm! Etikus hekkerre. Hidd el, tisztában vagyok ezekkel én is, csak a biteket pazarlod. Én filozófiai oldalról nézem, hogy van-e ilyen. Boncolgatom a megnevezést, a tevékenységet, a mögöttes tudást. Pld. neveznél-e hekkernek egy informatikus mérnököt harminc év munkatapasztalattal, ha még soha nem csinált ilyesmit, de a szükséges szakmai tudás ott van benne? Valószínűleg simán menne is neki - ha próbálná. Vagy egy fejlesztőt, aki tisztában van egy rendszer hiányosságaival és már letelt a munkaszerződésében előírt távozás utáni hallgatási idő. Vagy a 14 éves Vér Pistikét, aki mindennel próbálkozik és valami véletlenül sikerül neki?

Neveznél-e védettnek egy olyan rendszert, ami alapfeladata szerint érzékeny infót kéne tartalmazzon, de az adatai jelszó nélkül elérhetők? Ad absurdum még a google is kilistázza? Betörés-e az ilyen nyílt rendszerbe történő belépés?

Több hasonlat is eszembe jutott a fizikai világbóll: felhozhatnám példának az USA-t, ahol pár tagállamban nem kell kerítés, hanem elég kiírni a Tilosazá-t, No tresspass, na és a tulaj törvényben felhatalmazva simán agyonlőhet. Vagy a biztosítót, aki nem fizet betörés után, ha nem tettél meg mindent a védekezesért, pld. nem volt Wertheim-zár az ajtón.

Mélyebbre vezet a kérdésem, hogy van-e egyáltalán etikus hekker, vagy csak simán hekker van annál, hogy beírjátok nekem sokadszorra, hogy szerződéssel biztos az...

QNX is cool!

felesleges filozofálni az etikusságon, a cikkben egy fontos tényező van:
Mellesleg köszönjük a nagyon fontos, informatív Slack-beszélgetéseket, az újságíróknak biztos tetszeni fog, hogy a rendőröknek hamisítotok, stb” – idézi a telex.hu.
Reméljük, hogy ennek következményei lesznek

Mi is azt hangsúlyozzuk, ami a hozzászólásod második bekezdése - ez alapján ugyanazt mondjuk, ugyanazon az oldalon állunk.

QNX is cool!

Arról beszéltem több hozzászólásban is hogy az adatkezelők sem tartották be a törvényt... Hogy miért nem az jó kérdés? Nem volt pénz, nem volt szaktudás vagy akarat? Nem kell ahhoz lemásolni== ellopni== eltulajdonítani az adatot hogy bizonyítható legyen annak lemásolhatósága... elég elkezdeni a másolást majd megszakítani és logolni hogy az adatfolyam megindult... innentől bizonyítod hogy ellopható de mégsem kell ellopni 250GB-ot. Ez utóbbira semmi szükség nem volt. Lehett volna cikket írni proof of concept szerint is ha egy igazi etikus szakember lenne és nem a betörés és az adatlopás lett volna a cél és a végeredmény.

Nem kell ahhoz hatalmas biztonság hogy valamit ne lopjak el... különben nem működne a több helyen működő becsületkassza...

Sajnos Magyarországon nagyon messze vagyunk attól hogy tényleg jó biztonságos rendszereket fejlesszen mindenki az államnak. Persze azt sem lehet mondani hogy nincsenek jó és biztonságos rendszerek de egyenlőre sajnos nem elég sok. Legtöbbször már a probléma ott van, hogy bizonyos feladatra olyanok nyerik a pályázatokat, akik nem képesek megfelelő biztonságú rendszert fejleszteni, vagy nem akarnak azért a pénzért amit fizetnek nekik.

"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.

Pld. neveznél-e hekkernek egy informatikus mérnököt harminc év munkatapasztalattal, ha még soha nem csinált ilyesmit, de a szükséges szakmai tudás ott van benne?

Te félre vagy vezetve. Attól hogy nem tört be titokban nevesebb helyekre, az nem jelenti azt, hogy nem csinált ilyesmit. Mint mondtam az etikus hackereknek ez nem hobbi, hanem FOGLALKOZÁS, ez a munkája, tehát szerződéssel, írásos megállapodással végrehajtanak betöréseket, tehát igen, csinál ilyet, csak ennek írásos nyoma van előtte és utána is.

És számomra az is etikus hacker, akit nem bíznak meg, de tudja hogy az a cég mit és hogyan művel, és azt is hogy beleszarnak a biztonságba, és így akarja felhívni a figyelmet. Kvázi mint egy zöld aktivista, aki kikötözi magát egy fához, hogy ne vágják ki, mert másképp nem figyelnek fel rá.

Vagy a 14 éves Vér Pistikét, aki mindennel próbálkozik és valami véletlenül sikerül neki?

Jaj istenem...Akkor most tisztázzunk valamit. Véletlenül nem lehet sehova betörni. Ilyen nincsen, max a filmekben, tehát ne keverjünk ide 14 éves Pistikét, aki csak a start gombot akarta megnyomni, de közben a TEK rendszerébe lépett be...
Mint ahogy az a tizenéves srác, aki a BKK-tól ingyen tudott jegyet venni a rendszer hiányosságai miatt, az sem véletlen volt, hanem tudatos próbálkozás.

[ Szerkesztve ]

A hazai jogrendben az etikus hekker mint fogalom annyira létezik mint a KRESZben a védett útvonal. Köznyelvben van, minden más esetben nincs.

"És itt a probléma azzal a meghatározással, hogy az etikus hacker csak és kizárólag szerződés utján dolgozik, mert mi van akkor, ha az adott cég baromira nem akar törődni a biztonsággal, tehát esély sincs arra, hogy ott biztonságba legyenek több millió ember adatai? Akkor ez örökre maradjon így, hiszen csak szerződés útján lehet betörni?"

Nem, az állami rendszereknek van felügyeleti szerve aki állami megbízásra kellene hogy ellenőrizze ezeket a rendszereket, néhányakat ellenőriz/ellenőrzött is. Csak ezek nem publikusak nem jelenik meg róluk újságcikk... Ilyenkor kapnak egy leírást elvárást hogy adott határidőre mit kell módosítani és hogyan... De ne szakadjunk el a valóságtól ha egy rendszer ezer sebből vérzik akkor az újra kell írni... Másodsorban egy 5 éves rendszer valószínűleg egy 10 éves rendszer szinte biztosan tartalmaz foltozhatatlan réseket és újra kell írni az alapoktól ami szintén évek mire egy ilyen projekt végigmegy. Az hogy ezt a rendszert kik adták át/ vették át ilyen állapotba azt kéne először megvizsgálni. Miért nincs (ha nincs csak általános példa) Kötelezően alkalmazandó kétlépcsős azonosítás, session bontás pl 15 perc nem használat után stb stb stb... De ezt van szerv akinek vizsgálnia kellene... kell lennie belső külső biztonsági auditnak...

Illetve a nem állami szervek esetében a személyes adatok biztonságának tekintetében a NAIH az illetékes neki lehet névtelen feljelentést tenni nem biztonságos kezelés miatt

[ Szerkesztve ]

"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.

Magyarázza el valaki miért hasznos a társadalomnak ha ellopnak 250GB többségében személyes adatot...

Erre nagyon sokrétű válasz van.
Ha nincs ellenőrzés, akkor sosem derül ki, hogy a rendszer hibás. Ha nem próbálják meg ellopni, akkor sosem derül ki, hogy ellopható. Márpedig ha ellopható, és mint kiderült az adatgazda egyetlen szándéka a nyomok eltüntetése, akkor könnyen lehet, hogy már ezer éve ki-be járkálnak mások, csak épp nem hagynak róla üzenetet. És ennek a társadalmi kára, illetve ennek a lehetőségnek a megakadályozásának társadalmi haszna nagyságrendekkel nagyobb, mint az adat letöltésének társadalmi kára.

Az adat nem egy fizikai eszköz. Ha egy autót ellopnak, akkor azt a gazdája észreveszi. Az adat milliószor ellopható, és mégis megmarad az eredeti tulajdonosánál is.

[ Szerkesztve ]

evDirect villanyautós töltőhálózat

Én a harminc év tapasztalattal bíró informatikus mérnököt példának hoztam fel, te meg kész tényként mondod a példámra, hogy nem biztos, hogy nem csinált ilyet titokban...

- o -

Kár, hogy nem tudjuk meggyőzni egymást (még sör mellett is folytatnám), de attól még nem kell ilyen látványosan lesajnálnod a vitapartnereidet, mintha éttermi fogyatékos lenne. Kissé zavaró stílus. Mindössze fogalmi különbség van köztünk.

[ Szerkesztve ]

QNX is cool!

"És számomra az is etikus hacker, akit nem bíznak meg, de tudja hogy az a cég mit és hogyan művel, és azt is hogy beleszarnak a biztonságba, és így akarja felhívni a figyelmet. Kvázi mint egy zöld aktivista, aki kikötözi magát egy fához, hogy ne vágják ki, mert másképp nem figyelnek fel rá."

Ezzel van egy kis gond. A hacker ha leszedte az adatot akkor azzal bármikor vissza tud élni súlyos erkölcsi és gazdasági károkat tud okozni. Etikus hackert köti a szerződés, és a titoktartási megállapodás, ha ezt megszegi annak büntetőjogi következményei vannak.

Ez ugyanaz, mintha kapnál a faceook hírfolyamodra egy üzenetet, hogy figyu betörtem a házadba, vegyél komolyabb riasztó rendszert. Megbízhatsz bennen, eskü nem vittem el a családi aranyat és rejtett kamerákat sem szereltem fel, a bankkártyád titkos PIN kódját sem néztem meg a fiókban.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

A biroi dontes - gyakorlatban az itelethozatal - alapveto merlegelesi alapkerdese az, amit a kollega felhozott. Tehat a jog ertelmezese es a esemeny megitelesenek alapja a "tarsadalomra valo veszelyesseg" megitelese. Ebben jelentosen elter a hazai gyakolat a nyugati "precedens alapu" jogtol. Tehat attol meg hogy buncselekmeny, meg nem szuksegszeruen buntetendo - amennyiben a tarsadalomra valo veszelyesseg nem all meg.
Ez vedene az etikus hackereket, meg a tenyfeltaro ujsagirast - es erre jelenti a legnagyobb veszelyt idehaza az igazsagszolgaltatas (biroi hatalom) osszevonasa a regnalo kormanyzattal (kozigazgatas).

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

"a tarsadalomra valo veszelyesseg nem all meg."

Ebben az esetben megáll ugyanis eltulajdonított olyan adat tömeget amihez semmi köze... és nagy értéke révén nagy a visszaélés esélye. Illetve gondolom ő sem tudja megfelelő biztonsággal tárolni. Ergo nyilvánosságra kerülhetnek olyan adatok amiknek nem szabadna nyilvánosságra kerülnie. Ez amit elkövetett minmum 2-5 év ha szerencséje van 2 év felfüggesztett.

"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.

tételezzük fel - az szerepelt, hogy írjon egy BIZTONSÁGOS rendszert.

Első kérdés: létezik-e 100% -ban biztonságos rendszer.

rávilágítottak arra a tényre

ehhez nem kell ellopni letölteni 250GB adatot

Nem. Ahogy itt se a rendszerrel volt baj, hanem a felhasználókkal.

Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.

"Ez vedene az etikus hackereket, meg a tenyfeltaro ujsagirast - es erre jelenti a legnagyobb veszelyt idehaza az igazsagszolgaltatas (biroi hatalom) osszevonasa a regnalo kormanyzattal (kozigazgatas)."

Ez így nem teljesen igaz. Az etikus hackereket a megkötött szerződés védi. A tényfeltáró újságírást valószínűleg a média törvény amit nem ismerek.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

erre akartam utalni

Nem, az állami rendszereknek van felügyeleti szerve aki állami megbízásra kellene hogy ellenőrizze ezeket a rendszereket, néhányakat ellenőriz/ellenőrzött is...Ilyenkor kapnak egy leírást elvárást hogy adott határidőre mit kell módosítani és hogyan...

Ez még egy jól működő demokráciában sem működik jól (lásd USA), nálunk autokráciában ez meg végképp nem működik, úgyhogy amit te mondasz az a szép előírt álom, max a tankönyvekben van így, a valóság viszont nagyon nem ez. Egy 5 éves rendszer nem szükségszerűen tartalmaz biztonsági réseket. Egy linuxos rendszer is lehet ilyen régi, mégis támogatott biztonsági patchek miatt, úgyhogy nem attól függ alapesetben, hogy milyen régi.

Ó, bocs, akkor elrontottam a játékot

Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.

Azért az egész ügy leglényegtelenebb technikai részletkérdését csak sikerült megfogni.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

"Mit érdemel az a bűnös ..."

Egyik oldalról a betörés nem védhető. Már azzal, hogy megfigyelte a rendszert olyan adatokat látott amihez semmi köze. A letöltéssel pedig lopást követett el. Személyes, érzékeny adatokat lopott amikhez semmi köze.

Viszont maga az ügy rávilágít arra, hogy mennyire korrupt, elmaradott, kontraszelektált, és még ezernyi jelző az egész közbeszerzési, és közigazgatási rendszerünk.
Azért tudták ellopni az adatokat mert a megbízott PM lusta volt. A megbízott IT lusta volt. A megbízott cég a legalapvetőbb előírásokat sem tartotta be. És ez a cég tavaly 12 milliárdos bevételt ért el ... valószínű nagyrészt közpénzek közpénz jellegének eltüntetésével. És valószínű jelenleg is vannak futó project-jeik amikből nem rúgják ki őket páros lábbal ezután sem. Azaz kormányzati szinten sem érdekel senkit az IT biztonság ... ezt mondjuk tudjuk, mert a külügy is átjáróház, pedig ott ennél is fontosabb adatok vannak.

Ezek után van aki szerint ennek az egésznek lesz következménye a hacker-en kívül bárkire nézve?

A koznyelv nem ezt a listat koveti, ahogy ezt kibeszeltuk az osszes vonatkozo forumtemaban.

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Azóta kitették a Telegram csatornájukra forráskódot is leltöltésre. Szóval most már mindenki kereshet további sebezhetőségeket, és ki tudja miféle céllal kihasználhatja őket.

Persze a fejlesztő cégnél már 1-2 hónapja tudják a fejesek, hogy kikerült a forráskód. Remélem ott is ezerrel keresték azóta a sérülékenységeket. Ha nem, akkor elképesztően ostobák. (A mutatott barkács XSS védelem pl. nem semmi... és persze lyukas is. Szóval van mit átnézni.)

Amúgy, ezen a ponton már mindenféle definíciója megdőlt az "etikus hackernek". Ettől még lehet egyet érteni a tettükkel, de, szóval ez erősen, hogy is mondjam, gerilla lépés.

"A szakszolgálatnál azt vizsgálod meg, amire parancsot kapsz.": a szakszolgálatnál (pontosabban egyik csatolt cégénél) konkrétan van meghirdetve ilyen állás.

Egy jogállamban úgy jutsz el odáig, hogy vannak hatóságok, amelyeknek van ellenőrzési jogköre, és ha azt normálisan végrehajtják (amíg nálunk az illetékes főnök parkolni se tud, addig erre nyilván nincs valós esély), akkor kiderülhetnek dolgok.

Például más területeken az illetékes hatóság meghatároz éves ellenőrzési célt, és vagy minden, vagy jó sok, a témához tartozó céget végigellenőriznek. A naih teljesen jogszerűen mondhatná, hogy 2023-ban az éves ellenőrzési cél a nagy állami adatbázisok kezelése, és végignézik az összeset.

De itt a fő baj, hogy az okleveles kettősklikkelő klikkelt, a kontraszelektált idiótákra pedig nehéz felkészülni. Az nem derült volna ki egy ellenőrzésnél, hogy pebkac, de az kiderülhetett volna, hogy a vonatkozó előírásoknak nem felelnek meg például a kétfaktoros azonosítás hiánya miatt.De számon lehetne kérni azt is, hogy volt-e a cégnél és az alvállalkozóknál adatvédelmi oktatás.

A gpdr nem csak azt várja el, hogy lehetőleg ne törjenek meg, hanem azt is, hogy mindent megtegyél annak érdekében, hogy ne törjenek meg, és ezt bizonyítani is tudd. És ezen nagyon nagy hangsúly van, hogy tudd bizonyítani, mert ezen keresztül lehetne nyomást gyakorolni a cégek vezetőire, aminek elvileg lehetne pozitív hozadéka. És ezen a vonalon felmerül az adatvédelmi hatóság felelőssége is, hogy miért nem néztek rá erre a dologra (és jó eséllyel az összes többire se).

Azt gondolom, hogy a jelenlegi szabályozás alkalmas lett volna arra, hogy tegyenek valamit az ilyen betörések ellen, ha bárkit érdekelt volna, hogy az előírásokat végrehajtsa. De ahol emailben lehet certificate-t kapni, ott ez lesz, ami itt. Elég tipikusan fejétől bűzlik a hal...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

nem osztom az álláspontodat.
Magyarországon minden cégnek kötelessége volt biztonsági osztályba sorolást elvégezni, erről van törvény.
ha a biztonsági osztályba sorolás eredménye alapján vannak kockázatok, akkor nem csak a gdpr, hanem az "ötvenes" törvényt is magadra kell húznod. Ennek vannak végrehajtási rendeletei, amelyekben már egészen konkrét elvárások vannak. Jó eséllyel ezeknek a rendeleteknek egy jelentős részét megsértették, ez jogalap a büntetésre.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

bennem az a kérdés merült fel, hogy a rendszer silányságát feltétlenül azzal kellett bizonyítani, hogy lehúztak 238 giga adatot, vagy elég lett volna az is, hogy három random gyerek adatait, két random forrásfájlt meg a belső levelezést letöltik...

annak bizonyítására, hogy bejutottak, tökéletes megoldás az, hogy visszaküldik az újságírónak a levelet, amit a témában a minisztériumnak írtak. szerintem 238 giga adat letöltése túlzás.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Az továbbra is kérdés hogy a kb 238gb tényleg náluk van-e.

Ha nem csak az ottdolgozóknak/szakembereknek akarnak bizonyítani, hanem közvéleményre akarnak hatni, akkor a ténylegesen lemásolás sokkal hatásosabb. Persze ennek bizonyítása nem történt meg nyilvánosan, de gondolom a fejlesztő cégnél már tudják, hogy tényleg lemásolták az adatokat, szóval nem fogják ezt megkérdőjelezni a publikum előtt.

[ Szerkesztve ]

Olvastad azt amire válaszoltam?

nem kérdőjelezem meg, hogy hatásosabb, azt kérdőjeleztem meg, hogy szükséges-e, vagy elegendő-e kisebb mennyiség ellopása.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Persze, hogy olvastam. Arra gondoltam, hogy az már egy részletkérdés, hogy pontosan mennyi adatot töltöttek le, legyen az 8MB vagy 23GB vagy 268GB. Igazából magán a tényálláson nem a mennyiség változtat, hanem az, hogy mi fog történni ezekkel az adatokkal.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

Ennek fényében revideálom az eddigi kommentjeimet: mostmár tudjuk, az eKréta kódja egy foshalom.

De még mekkora, te jó ég... Esküszöm első éves bscsek írták, és most keményen megsértettem az első éves proginfósokat ezzel.

Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.

Magyarországon minden cégnek kötelessége volt biztonsági osztályba sorolást elvégezni, erről van törvény.

Ez így nem teljesen igaz. Ha egyszerűsítjük a megfogalmazást, akkor közigazgatás, állami szervek, szervezetek, kritikus és létfontosságúnak kijelölt cégek és szervezetek,valamint állami cégek akiknek osztályba sorolást kell végezniük. Részeltesen az ibtv 2§ 1-5 bekezdés határozza meg.
Azok a piaci cégek, akik csak adatfeldolgozóként vannak kapcsolatban az előbb felsoroltakkal csak kötelesek betartani a szerződésben előírt biztonsági követelményeket. (Amik az esetek 90%-ban nincsenek megfogalmazva.) A biztonsági követelmények meghatározása az adott szervezet feladata, az általa elvégzett, az adott rendszerre vonatkozó biztonsági osztályba sorolás alapján.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Kifutottam az szerkesztési időből.

ha a biztonsági osztályba sorolás eredménye alapján vannak kockázatok, akkor nem csak a gdpr, hanem az "ötvenes" törvényt is magadra kell húznod.

Ez mondjuk nem igaz. Attól, hogy a GDPR vonatkozik valakire, még nem kell az IBTV-nek megfelelnie. Egy könyvelőcégre vonatkozik a GDPR, de nincs olyan ügyfele, aki az IBTV alá tartozik akkor nem kell az IBTV-nek megfelelnie. De mondhattam volna a Facebobokot is, a GDPR vonatkozik rájuk, de közük nincs az IBTV-hez.

Ennek vannak végrehajtási rendeletei, amelyekben már egészen konkrét elvárások vannak. Jó eséllyel ezeknek a rendeleteknek egy jelentős részét megsértették, ez jogalap a büntetésre.

Ezzel egyet értek.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Sajnos nem részletkérdés.
Ha csak 8megát töltenek le, akkor eltussolják azzal, hogy csak pár adat szivárgott ki, az sem kritikus.
Elkenik az egészet.
Így, hogy letöltötték az egészet, nyilvanvaló jelzés , hogy bármihez hozzáfértek, nem csak pár korlátozott adathoz, illetve meg is tudták úgy szerezni, hogy a rendszer nem állította le a folyamatot, ne dobta ki őket,stb.
Szóval több sebből vérzik a dolog, és így a nyomásgyakorlás is nagyobb.

Ok, de miért az adatbázist szedték le? Miért nem elég a teljes forráskód. Kb tized annyi idő alatt lejött volna, és a kár valamint a hatás kb ugyanaz.
Ennyi erővel leszedhették volna a belső hálózaton a bérszámfejtés adatit is.

Mellesleg a cikkek alapján továbbra sem a Krétát törték fel, hanem a cég hálózatát, egy balfék miatt. Ennyi erővel az is lehetne a cikk címe, hogy feltörték az Exchange szervert, holott csak egy trójaival megszereztek minden szükséges jelszót a belépéshez.

Ez nagyon hasonló kategória mint a Unix autó, meg a Progen támadás. Ott is, itt is volt egy balfék, aki csak kattintani tud. A belső it biztonsági szabályozás, jogosultság kezelés, megfelő hálózat és vírusvédelem mindegyik érintett helyen a béka hátsója alatt van.

Nem véletlen, hogy jobb helyeken a fejlesztő még a közelébe se mehet az éles vagy az éles teszt rendszernek. Mert kb minden programozó úgy úgy dolgozik, hogy ide nekem az admin jogot mindenhez is.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

"Ok, de miért az adatbázist szedték le? Miért nem elég a teljes forráskód. Kb tized annyi idő alatt lejött volna, és a kár valamint a hatás kb ugyanaz.
Ennyi erővel leszedhették volna a belső hálózaton a bérszámfejtés adatit is."

Közzéteszik, a Kréta látja, hogy hehe, nem vitték el az adatbázist aztán verhetik a mellüket, hogy igen igen, volt itt egy pár bibi, de az adatokat természetesen a legkiválóbb szakembereink sikeresen megvédték a galád inkompetens hackerektől. Őszintén a belső leveleik alapján ezt a forgatókönyvet én tökéletesen el tudom képzelni. A vége pedig az lenne, hogy pár a névtelenség mögé rejtőző ember vs a kormány propagandagépezete.

Na ezért volt értelme ellopni az adatbázist, szerintem. Azt egy szóval sem mondom, hogy jól tették és hajrá, lopják el mindenünket mielőtt valaki beleköt

Szerintem az is elég lett volna ha belépnek az SQL konzolba és ott csinálnak egy adattábla listázást amiről képernyőképet csinálnak.

Vagy magának az adatbázist tartalmazó fájloknak listázzák a jogosultságait és nyomnak a screenshotot.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Igen, na, de erre nem tudnának ugyanúgy reagálni a Krétások és a kormánymédia, hogy haha, jól megvédtük az adatokat, csak a forráskódot vihették el?

Igen, valóban lesz egy képernyőképük és azzal mire mennek? Média: Nana, az hamis. Mégha ott is lesz pár fájlnév esetleg pár eKréta alkalmazottjának neve akik módosították a fájlokat, ugyanúgy mondhatják, hogy "Nana, az hamis", miután befoltozták a lyukakat a rendszerükben.

a 2012. évi CLXVI. törvény szerint meg kell nézni a létfontosságú rendszerelemmé történő kijelölést, ami egyenértékű egy biztonsági osztályba sorolással. Ez nagyjából minden cégre kötelező, amelyik adatot kezel (pontos definíció van a törvényben az ágazati kritériumoknál).
Amennyiben ezen törvény szerint kritikus dolgok történnek az adott rendszerben (a krétában miért is ne történne), akkor olyan szabályokat kell megtartani a cégnek, ami gyakorlatilag megegyezik az ötvenes előírásaival.

nekem is meg kellett csinálnom az lrtv szerinti kockázatelemzést, pedig ránk nem vonatkozik az ibtv. a kockázatelemzés vége gyakorlatilag a biztonsági osztályba való besorolás elvégzése lett.

másik hsz-ben: "Attól, hogy a GDPR vonatkozik valakire, még nem kell az IBTV-nek megfelelnie.": nem volt ilyen állítás. olyan állítást tettem, hogy aki az lrtv szerint kockázatos, annak a gdpr mellett az ibtv-nek is meg kell felelnie.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis