Azt jó lenne tudni melyik ez a hanyag szerver/tárhely szolgáltató!

[ Szerkesztve ]

sáríála

Intronet Kft

Live-Die-Respawn

De jó hogy a hatóság és a média sosem a lényeget szűri le az ilyen ügyekből. Túl régen takaróznak és bújnak ki a felelősség alól a cégek amikor IT területről van szó. Nekik elég ha beírják a szerződésbe apró betűvel, hogy semmiért sem vállalnak felelősséget, amikor eladnak egy szolgáltatást, vagy szoftvert. Ráadásul mindenki életébe egyre jobban beeszi magát az Internet, a felhős dolgok, a digitális tartalomszolgáltatás. Pl. az Adobe már csak online előfizetős módon teszi elérhetővé a legtöbb szoftverét, de ha betörnek nála és megszerzik az adataidat, amivel vissza tudnak élni, akkor mossa kezeit. (persze ez csak egy kiragadott példa, csepp a tengerben) Mivel a hatóságoknak az IT továbbra is "kínai", így nem tudják szabályozni.

Alapból milyen már az, hogy olyan szerződést iratnak alá az ügyfelekkel, hogy az gyakorlatilag lemond előre mindenféle garanciális és egyéb kártérítési igényéről, amit a termék vagy a szolgáltatás rendeltetésszerű használata okoz? (miközben lassan mindent szoftverek és számítógépek irányítanak, vagyis óriási kárt okozhatnak)

Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.

Nem nevezném Hackernek azt aki egy pizzéria oldalát hackelte meg majd lebukott.I

Válassz a termékeim közül kedved szerint AKG, JBL , Sennheiser termékek akár harmad áron.

Valahol mindenkinek el kell kezdeni.

"Mert az éj sötét és tele van iszonyattal."

szerk: (#2) oriic -nak ment volna a válasz, nem saját magamnak!

Köszönöm!

A honlapjuk gagyi, az áraik magasak, főleg, ahhoz képest hogy mit nyújtanak.
Én alapból el is kerülném őket, ha tárhely és domain vásárlás előtt állnék!

Persze ennyiből nem derül ki, hogy mennyire hanyag az adott cég, de engem biztos nem kompromitálnának, mert már a fentiek miatt sem lennék az ügyfelük!

Nekem alapvető elvárásom, hogy egy tárhely szolgáltatónak modern honlapja és szolgáltatásai legyenek mert ez is mutatja, hogy nem igénytelenek és haladnak a korral.

A copyright-nál a dátum 2013, ez is elmond valamit (nem voltak képesek 4 év alatt a saját honlapjukon ennyi módosítást elvégezni, hogy azt az egy számot átírják).

[ Szerkesztve ]

sáríála

Olvasni... olvasni!

"Nemrég mi is beszámoltunk arról, hogy a helyi sajtó tudósítása szerint egy veszprémi pizzéria oldalát egy támadó feltörte, és innen megszerzett személyes adatokat, melyek egy részét a sikeres támadás bizonyítékaként publikálta is" --> A "Hacker" szólt a hibáról, ezért (is) folyik eljárás ellene. Elég szomorú azért, ez kb. olyan, mintha az autópályán jelezném egy másik vezetőnek, hogy nagyon füstöl a kipufogó, valami baj lehet, erre az lecsavarna egy pofont, hogy mit nézegetem az Ő kocsiját.

Mellesleg 1 éve én is feltörtem egy nagyobb webhosting cég adatbázisát. El is küldtem a cégnek egy levelet a sebezhetőségről, csatolva mellé pár ügyfelük bankszámla számát, adószámát, címét, tel számát... hátha kijavítják a hibát. 1 év elteltével még mindig ott a hiba... ennyit az ügyfelek adatainak biztonságáról

[ Szerkesztve ]

Nem értek egyet, azért mert egy Hacker feltöri a rendszered te nem válalhatsz felelőséget.
Egy szolgáltató annyit tudd válalni, ha megtörténik a baj akkor 24/72 órán belül ha kell lehuzza a gépet a netről.

Minap volt ilyen esetem egy ügyfélnek az SFTP jelszava valahogy illetéktelen kézbe jutott, fel is tültöttek neki vagy 300 mappába pishing site-okat, teljesen szabályosan SFTP-n keresztül, itt akkor most kit terhelne a felelőség? (Nyilván a Hackert akit elkapni több idő mint tisztogatni utána...)

+1 Egyébként tökéletes minta példánya a "Hackereknek" saját maga küld levelet, hogy megmutasa, ő mekkora király. Ez 99%-ban igaz a hackerekre, mindig jelentkeznek mind1, hogy White vagy Black hat hackerrel van dolgod, éppen ezért az bevett és igazoltan legjobb megoldás ha leszarod őket. Mivel ez a Black hat hackerekkel szemben mindig bejönn ezért van, hogy néha 1-2 White hat-nek elgurul a gyógyszere és elkezd a médiának síránkozni, hogy a nagy szemét cég nem fizet neki.

Furcsa világ ez, de inkább orvosi értelemben kell keresni a megoldást, szinte minden Hackerre igaz, hogy hiába kiemelkedő programozók mind, munkahelyen nem tudják kamatoztatni mert nem képesek csapatban dolgozni, nem képesek a hierarchiát elfogadni, kibirhatatlan emberek társaságban. Illetve legtöbbször már az oktatásból is kiszorulnak az elöbb felsorolt okok miatt.
(Több magát Hackerként prezentáló embert is ismerek/ismertem mindre igazzak az elöbb felsorolt dolgok).

[ Szerkesztve ]

Sajnos mar nincs magyar billentyuzetem :(

"Kit terhel a felelősség?" -- Helyzettől függ. Ha a felhasználó nem vigyázott eléggé a jelszavára, RGO az Ő hibájából tudták meg, akkor Őt. Ha viszont sebezhető a szerver, és ezt kihasználva szerezték meg, akkor a céget...

"Sebezthető" az azért iszonyatosan tág fogalom, root /qwerty a fehlasználónév vagy a Linux Kernel 3.42.4-es Hotfix nincs betéve ami valami 20 éve létező hiábat javít a rendszerben.
Ezt így nem lehet kijelenteni, minden 120-as Skodát el lehet lopni a saját ablak díszlécével, ettől még az autó tolvaj lenne a hibás ha ellopja.

Sajnos mar nincs magyar billentyuzetem :(

A bibi az, hogy ha valaki segítő szándékkal "tör be" valahová és jelzi az hibát az üzemeltetőnek, akkor őt jelenthetik fel és meg is van a törvényi alapja annak, hogy megbüntessék. A betörést azért tettem idézőjelbe, mert kb már az url átírása is annak számít, pl ha belépett usernek nem ellenőrzik tovább a jogosultságát, hanem simán az url-ben lévő szám átírásával megmutatják a másik ügyfél dolgait*.

Ráadásul, már egy ilyen hiba kéretlen bejelentése is anyagi kárt okoz a cégnek, mivel ha nem sumákolják el, akkor a hiba meglétének ismeretével el is vesztik a plecsnit, amit drága pénzen vettek az oldal biztonságosságáról. Szóval a bejelentő a hibás jogilag, azért mert az auditálás és az üzemeltetés csak a látszatra ad, nem a biztonságra. Hogy ne történjen gyakran ilyen lebukás, inkább elrettentik az embereket a hiba jelentésétől. Maga a bejutás ténye már önmagában a rendszer kompromitálódását jelenti, szóval ezt máris kárnak veszik és ráverhetik a bejelentőre.

2013: Botrány: vagy feltörték a szabadalmi hivatal szerverét, vagy nem [link] [link]
Nem tudom, ennek például mi lett a vége.

Az már a ló túlsó oldala, ha valaki kéretlen auditorként nem triviális hibák sorozatának segítségével néz be valahová, hogy megmutassa. Azt már jogosan vehetik valódi támadásnak. Főleg, ha még módosít is a rendszeren.

*: Már legalább három esetben nekem is sikerült belefutnom banális hibákba, amelyet jeleztem is az üzemeltetőnek. Enyhítő körülmény, hogy vagy ügyfelük voltam vagy éppen velük, a rendszerükkel dolgoztam valamin, így gondoltam csak nem jelentenek fel azért, mert hibát találtam. Bár a legkeményebb talán az volt, amikor a kollégák mesélték az egyik szita rendszerről, hogy évekig aktív volt rajta egy teszt felhasználó, kb minden jogosultsággal és nagyon könnyen kitalálható azonosító-jelszó párral. Szóval vannak problémák.

[ Szerkesztve ]

Szóval akkor: ha egyszer jobban megnézem a szomszéd autóját, és szólok, hogy nagyon kopott és repedt az egyik gumi, vigyázzon, mert veszélyes... akkor bűnt követel el?

- Mert kb. erről beszélünk. Ha meg merem nézni, hogy egy 10.000+ kuncsaftal "büszkélkedő" webhosting cég adatbázisa, benne az ügyfelek minden adatával törhető, én leszek feljelentve, mert anyagi meg egyéb károkat okozok... Az persze nem baj, hogy az összes ügyfél személyes adatát bárki meg tudja nézni a hiba miatt (vagy akár módosíthatja is)

Amúgy meg tudtommal minden cégnek, aki mások adatait kezeli kötelessége azokra vigyázni. Erre elég szigorú szabályzatok vannak. Szóval inkább örüljenek, hogy valaki szól nekik, mert elég ciki lenne, ha valaki a figyelmeztetés helyett mondjuk az indexnek küldené el az adatbázis teljes tartalmát.. na abból lenne ám nagy "móka", ha nyilvánosságra kerülne... magyarázkodhatna a cég...

[ Szerkesztve ]

Hagyjuk az autós hasonlatokat, mert köze sincs hozzá.

Arra viszont törvényt hoztak, hogy bűn még egy weboldal címébe is beleírni kézzel, ha azzal hozzáférsz a tróger rendszerben tárolt nem neked szánt dolgokhoz.

Nem mondtam, hogy ennek értelme van. Vagy, hogy helyes a törvény. Arra emlékeztettelek, hogy bármilyen buta dolognak is hangzik, mégis büntethető, mert kellően gazdag emberek kilobbizták. Valójában a látszat megvédése a cél, nem a valódi védelem. Bizonyos mértékig ez még érthető is, nem játszótér ez, viszont még a legtriviálisabb hibák kipróbálásáért is megbüntethetnek.

Nem hibáztatlak, nem is azt várom, hogy kimagyarázd. Azt sem tudom mennyire triviális vagy csak szándékos támadással megszerezhető adatokról van szó az esetedben. A lényeg, hogy büntethetnek érte. Ha pedig másnak átadod, akkor pláne. Az, hogy kinek mi a kötelessége vagy mi a felelőssége, nem hiszem hogy sokat számít akkor, ha az egyik félnek korlátlan kerete van ügyvédekre, a másiknak pedig valószínűleg esélyes sincs.

(szerk, lehet hogy míg válaszoltál, közben bővítettem az előző kommentem, ott a régi itcafe cikk, ami triviális hiba kiderülése utáni izmozásról szólt.)

szerk2: ott a szintén veszprémi egyetemi eset 2008-ból, de az még a szigorítás előtt volt [link], [link]. A 2013-as linkelt esetnél a jog már jobban bevédi a felelőtlen üzemeltetőt.

[ Szerkesztve ]

Szerintem fölösleges folytatni, főleg, hogy szerintem elbeszélünk egymás mellett. Azt elismerem, hogy nem jó, ha valaki nézegeti más rendszerét, de, ha már megtette, és hibát talált, inkább jelezze a tulajnak, hogy az kijavíthassa azt, mint maradjon kussban, és más a hibát kihasználva kárt okozzon. Nyilván nem az a jó, ha valaki világgá kürtöli, hogy milyen sebezhető az a cég, mert ez lejáratás, meg imázs rontás lenne, de én biztos szolnék...

Amúgy meg, ha egy tor browsert használva csinálok egy gmail accountot, és arról jelentem be a dolgot a céghez, akkor tehetik a feljelentéseket, a rendőrség a büdös életben nem fog visszanyomozni.
Max kikérik a googletól, hogy honnan léptek be arra az E-mail címre, ahonnan küldték a levelet, azok meg megmondják, hogy mondjuk Kínából, meg Albániából...

Szerintem sincs értelme erről vitatkozni, mert nem mondunk egymásnak ellent. Én csak arra hívom fel a figyelmedet, hogy az élet nem fair. Hozattak olyan törvényt, ami a jószándékot is büntetheti, mert a cégekbe vetett hamis bizalom elillanását rá akarják verni a bejelentőre, ha az üzleti érdek úgy kívája.

Nagyon igaz!

Én ebből azt szűröm le hogy aki ezt tette, az gondolom tájékoztatta az üzemeltetőt a hibáról, de az üzemeltető ezt figyelmen kívül hagyta, a hacker meg várta a csodát hogy az üzemeltető lépjen...de érdembeni változás ennek ellenére sem történt...lehet keresni bűnbakot... De ebből látszik hogy sok múlik az üzemeltetőn is, nem csak használókon...bár ahogy írta,"nem árulta az adatokat", akkor miért írta ki a weboldalra hogy akinek kell az adatbázis az keresse meg emailben... érdekes ez számomra... Egy "etikus hacker" ilyet nem ír ki publikusan...

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

Nemhogy a magyar rendőrség, de az amerikai titkosszolgálat sem lát be nemhogy mindenhova, hanem jóformán már sehova.. főleg az olyan technológiák tényszerű létezése mellett, mint pl. az AES, SSL és a TOR..

Gyermeki naivitás

AES, SSL :
Gyengített titkosítás és backdoor NSA-nyomásra? [link]
“Ha le kéne hallgassalak, semmit nem vennél belőle észre” – nagyinterjú [link]

TOR: ugye megvan, hogy a DARPA és az usa titkosszolgálata hozta létre?

[ Szerkesztve ]

Ezt különben úgy lehetne normálisan megcsinálni, hogy ha bizonyítani lehet, hogy a tárhely/egyéb szolgáltatást nyújtó cég hibájából történt akkor igenis bíróság kötelezze kártérítésre. Mert azt be lehet magyarázni, hogy valami 0day-en keresztül az nsa bejutott. De azt nem, amikor minden második hacker jóska átjáróháznak használja az egész rendszert.
Csúnya ez az egész, és addig így is fog maradni, amíg minden cég elhiszi azt, amit az ilyen kókány szolgáltatók bemesélnek nekik.

Az utolsó mondaton nagyon hangosan felnevettem! Üdv a valóságban, ahol bármit megtehetsz!

plus ça change, plus c'est la même chose

Most nezem az uzemelteto honlapjat, ilyen troger szar szolgaltatasokkal es arakkal meg lehet elni idehaza? Ocsem, ilyet csinalok en is.

A piacnak kene kiszurnie ezeket. Szoval allam bacsi vedje meg a szerencsetlen cegeket akik harom fillerert mennek inkabb a shitbox hostinghoz. Ertem en, hogy villanymotor...

Everybody lies.

A kávézó tulajdonosa a hackert jelentette fel? Akkor elég hülye. Nem tanult semmiből.

2024: nem lesz kegyelem a HMD-féle hulladékgyáraknak.

A nagy része ilyen am. Szarnak bele kb.

Az autós hasonlat tényleg sántít, mert ez egy tárhely szolgáltató. Kb. mintha valakitől raktárhelyiséget bérelnél.
Abból is van többféle, ha kevés pénzed van, olyat bérelsz, ahol átfúj a szél az ablakon. Ha a nagymama pótolhatatlan hímzését raknád valahova, akkor kifizeted a fegyveres őröket. Ha feltörik a pincéd és bepereled a főbérlőt, mondván a tetőlécből készült elfalazás nem nyújt elég védelmet, magadat is kinevetnéd, ugye?
Főleg nyugati társadalmakban még odáig is eljutnak az emberek, hogy egy boltban akkor is kifizetik a portékát, ha az a pénztár másik oldalán kelleti magát. Sőt senki nem érzi felhatalmazva magát, hogy hazavigyen két raklap téglát, mert a tüzép udvarának kapujára csak rá van dobva a lánc. Ha mégis, akkor... Ugyanígy nem tűnik életszerűnek, hogy a főutra fluoreszkáló betűkkel kiírod a tényt a láncról, mert csak ezzel tudod az üzemeltetőt jobb belátásra bírni.
Egy szóval sem mondom, hogy ez jó, de jelenleg még ez a normális. Bár a megosztásra alapuló gazdaság talán változtat ezen, ahogy egy bennszülött sem mindig érti, mi a túró az a lopás és miért baj, hogy használt valamit, ami éppen senki másnak nem kellett akkor.

Azért ez nem teljesen így van. A Skoda 120 gyártása 1990-ben, 27 éve befejeződött. Az már nem fog haladni a korral, míg Te egy tárhely + web hosting szolgáltatóval alapból "jóhiszeműen" kötsz szerződést, azt remélve, hogy Ő a saját rendszereit up to date fogja tartani. Ha ez nem így van, jóformán észre sem lehet venni, csak akkor, ha kifejezetten a réseket keresed. Plusz pont a tróger weblapjuk miatt, amik a boldog korai 2000-res éveket idézik De ha régóta ügyfelük valaki, szerintem észre sem vették, hogy pont úgy van minden, mint mikor elindították kb. 2003-ban.

[ Szerkesztve ]

1. Nem a pizzéria oldala volt a cél, hanem az üzemeltetői a szervernek ahol a pizzérián kívül 1000 másik oldal van.
2. Nem bukott le

Premium Mining Rigek és Gamer/Workstation gépek: tőlem, nektek :)

A hasonlat annyiból sánított leginkább, hogy autót nézni még szabad, főleg ha az utcáról látszik vagy az autcán áll. Legfeljebb elzavarnak onnan. Esetleg, ha közveszéles az autó, akkor a hatóságnak bejelentve esetleg kivonják a forgalomból.

Viszont ha jól látom a Btk 423. § Információs rendszer vagy adat megsértése részt ráverhetik arra, aki jobban "megnéz" egy huzatos rendszert és hibát talál.
Nem erkölcsi, hanem jogi oldalról nézve problémás. Lehet azóta már csiszoltak a törvényen, de amikor bevezették, akkor az IT biztonsági szakértők (akik hivatalos felkérésre törögetnek rendszereket, tehát engedéllyel) is panaszkodtak, hogy az eredeti törvény az ő általuk készített és használt toolokat is illegálisnak minősítette.

És megeshet, hogy cég saját felelősségét hárítva inkább a bejelentőre próbálják ráhúzni a betörést. Emlékszem anno egyetemen is hányszor olvastam az rendszergazdás levlistán, hogy ilyen meg olyan támadás miatt állt le valamilyen szolgáltatás. Persze, aki jobban benne volt, látta korábbi esetnél, hogy mi történt, az tudta, hogy valójában egy idióta szabályt vettek fel a tűzfalon, ami a saját szolgáltatásokat is letiltogatta nagyobb terhelés alatt. Csupán a hozzá nem értésükből fakadó több napos leállásokat próbálták másra hárítani. De az is megesett, hogy a munkáját el nem végző operátor hurcoltatott meg oktatót, amiért panaszt mert tenni ellene. Vagy amikor fegyelmit kapott az oktató, mert támadásként tálalták a vezetőségnek, hogy a levelezőkliensben törölt egy nagyobb mappát és attól összeomlott a rosszul beállított levelző kiszolgáló. Vagy amikor az a munkatárs jelent fel a rektornál, aki leginkább akadályozta a munkát, de mivel mégis sikerült elvégezni időre a feladatot, be kell feketítenie a többieket, különben nem az ő haverjának a cégét bízzák meg legközelebb. A hozzá nem értő vezetést pedig könnyű megvezetnie és ez az ember lesz később az egész IT részleg vezetője több más területen szerzett vezető beosztása megtartása mellett.

Szóval, nagyon szélsőséges esetben, ha egy emailből copy pastezett címnél véletlen lehagyod az utolsó számjegyet és tök más ember fiókjában találod magadat egy hiba miatt, ezt bejelented a cégnek, megeshet, hogy ő jelent fel. És akkor még nem is az önjelölt segítőkről beszélünk, akik direkt keresnek hibát és azt kihasználva és bejutva lementenek adatokat, majd elküldik a sajtónak.

Valamelyik kommentben én is írtam, hogy az már a ló túloldala, amikor direkt keresi a bajt valaki. Viszont olyan alacsony a btk kerítése, hogy a jószándékú, nem szándékos esetnél is megütheti a bokáját a bejelentő.

gonosz off: amúgy mindenütt előfordunak lopások, mi magyarok mindenhová kivándoroltunk már

[ Szerkesztve ]

elég piti a gyerek... olyan magyaros ez a story.
link

Légy óvatos, sokan pályáznak a nehezen megszerzett pénzedre! Tudd, hogy csak te vagy képes megvédeni magad!

A magyar hacker párt első megmozdulása.

Maga a TOR nem is törhető, csak a böngésző (főleg a windowsos firefox változatban volt hiba, meg az onnan letöltött fileok-ban lehet elrejteni kódot).
Ha nem futtatsz javascriptet és egyéb scripteket amik a TE böngésződben futnak és megkerülhetik a TOR-t, nem töltesz le futtatható fileokat, meg képeket csak a böngésző sandboxában futtatod (egy olyan böngészőben ami "biztonságos", és valami normális motor van alatta), akkor biztonságban vagy és azt csinálsz amit akarsz.

Erről az egész esetről nekem az jut eszembe, hogy egy autót jogilag el sem lehet lopni, mert a tulajdonjog nem száll át rád, csak jogtalan használatbavétel létezik (tudtommal).

Ha én lescannelem a netet nyitott 5900-as portra vadászni, és találok többezer nyitott VNC szervert ahol nincs jelszó és épp be vannak lépve, és letöltök mindent amit ott találok, akkor ezzel bűncselekményt követek el? Nemhiszem...jelen esetben is körülbelül ez lehetett.

[ Szerkesztve ]

Premium Mining Rigek és Gamer/Workstation gépek: tőlem, nektek :)

Az nsa kuncsorgás tényleg valós,de az apple beintett az nsa-nak is, meg az fbi-nak is...mondjuk az fbi csúnyán leszerepelt az 1 millás exploittal amivel feltörték a terrorista ifónját "állították hogy tele van bizonyítékkal...azt kopp lett belőle"

A tor hálózatnak nincs forráskódja, max az azt üzemeltetö bridge szoftvereknek

De amúgy igen, tor hálózaton keresztül intézett támadást szinte lehetetlen megcsípni...E.S. is nagy hanggal ajánlgatja a használatát, mivel kb.99%os anonimitást biztosít(Tor browser,van winre,linuxra,androidra,iosra)

Most már mind1 lényegében. Nem fogják elkapni, bár én a helyében inkább a hosting servert fektettem volna ki... Felesleges volt egy a porkavarás...

[ Szerkesztve ]

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

Feltéve ha a yard talál-e tettest... Jelenleg max az üzemeltető ellen indulhat eljárás...

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...