Hubert Csaba kiberbiztonsági szakértő portálunkhoz eljutatott közleménye szerint a 24.hu egy meg nem nevezett forrástól újabb adatbázis kapott, amiben 5604 állampolgár adatai továbbá a közbringarendszer aktív szerződéseinek egy része is megtalálható, ami súlyos bűncselekmény gyanúját veti fel, amiért a kiberszakértő feljelentést tett a Készenléti Rendőrség Nemzeti Nyomozó Irodánál. Az általunk megkérdezett biztonságtechnikus viszont árnyalta a képet, elmondása szerint az elsőként közzétett, illetve hivatkozott adatbázis mind közönségesen dumpolás, azaz nem valódi adatbázis, hanem a rendszer tesztelése során létrehozott teszt-adatbázis, aminek a nyilvánosságra hozatala semmilyen törvényt nem sért – igaz értelme sincs sok. A második adatbázis kapcsán csak annyit jelentett ki látatlanban, hogy akár valid is lehet, mivel a fejlesztők az OWASP top tizes hibája közül hetet sikeresen abszolváltak, és ez olyan szintű biztonsági rés, ami mögött tudatosságot kell feltételezni.
A közlemény innentől regényesen folytatódik, változtatás nélkül közöljük, mintegy jelezve, hogy szerkesztőségünk mennyi fantáziát lát az újságíróként dolgozó bölcsészek és önjelölt szakértők által fújt – jórészt – médiahekkben:
Pár, magát hackernek kikiáltó személy, kezdve a BKK e-jegy rendszerében módosítást elvégző fiatal fiútól megpróbálja rossz színben feltüntetni az etikus hacker közösséget és tovább rontani azt a képet, amit az emberek az etikus hackerekről gondolnak. Az etikus hacker szakma mint olyan rég óta létezik és megvan az a szigorú, kötött szabályrendszere, ami mentén ilyen jellegű tevékenységet lehet végezni.Ez onnantól kezdődik, hogy az adott cég írásban, szerződés keretében felkéri a biztonsági szakembert vagy céget arra, hogy vizsgálja meg a rendszereiben található sérülékenységeket és adott esetben javítsa is ki azokat. Az etikus hackerek többsége rendelkezik olyan tudással és nemzetközileg elismert végzettségekkel, mint pl. a CEH (Minősített Etikus Hacker) vizsga, ahol a szakma minden fontosabb elemét el tudta sajátítani a technikai részletektől egészen a jogi ismeretekig bezárólag. Mindez garancia arra, hogy aki rendelkezik a megfelelő végzettséggel és a törvények szerint jár el, az kizárólag felkérésre végzi el a rendszerek sérülékenység vizsgálatát, amiről megfelelő dokumentációkat készít és sose lépi túl a jogosultsági kereteket, csak olyan mértékben amennyire a megrendelő a beleegyezését adja. Mindenki más, aki végzettségek nélkül a törvényben leírtakat figyelmen kívül hagyva, önhatalmúlag vagy kíváncsiságtól vezérelve cselekszik, az nem nevezhető etikus hackernek és a cselekménye ellen a törvény legnagyobb szigorával kell fellépni.”
Fotó: Magyar Idők
vanti
2017-08-04 at 23:05
Ez a srác etikus volt, de nem etikus hacker.
Az etikus hacker felkérésre dolgozik.
A megbízó felkéri az etikus hacker csapatot informatikai rendszere gyenge pontjainak felderítésére, s a megrendelés részeként megadja, hogy az etikus hacker meddig mehet el a kívülről indított behatolásban, mikbe “piszkálhat bele”.
Az etikus hacker és a megbízó megállapodnak egy pár órás, esetleg félnapos konkrét időintervallumban, amelynek folyamán (de kizárólag csak akkor!) behatolási kísérleteket hajtanak végre.
Ha sikerül bejutniuk az informatikai rendszerbe, erre egyértelmű bizonyítékot kell hagyniuk, amely nem lehet hátrányos a megrendelőre nézve.
Tevékenységükkel nem tehetnek tönkre semmit, a felderítő feladatot “kíméletesen” és jól dokumentáltan kell végrehajtaniuk.
Az akiósorozat után az etikus hacker csapat egy listát nyújt át a megrendelőnek, amely a felderített gyenge pontokat tartalmazza, s egyben megoldási javaslatokkal is szolgál.
A srác próbálkozott, s ha jól emlékszem a hírekre, a honlapon a megrendelés valamelyik fázisában át tudta írni a bérletszelvény árát, aminek következtében a rendszer ezt az összeget kérte tőle bekerülési összegként.
Ha csak a saját megrendelését tudta ezzel befolyásolni (nem pedig egyszer s mindenkorra írta át a “bérlet árát”), hozzávéve hogy az egészet jelezte a BKK-nak, jóhiszeműnek, jóindulatúnak, építő szándékúnak kell tekinteni, s köszönetet érdemel.
Nem tudom, hogy informatikai végzettsége van-e a srácnak, de ha igen, én a BKK helyében fontolóra venném a fiú alkalmazását informatikai biztonság témájában. Ha nem informatikai témában mozog, akkor pedig tesztelő minőségben alkalmaznám, mert fantáziája az van, ha ilyet magától kivitelezett.
Vannak esetek, amikor a jóhiszeművé történő minősítésnek felül kell írnia a törvény betű szerinti betartását.
Véleményem szerint ez egy ilyen eset.
khm
2017-08-04 at 14:51
Az etikus hacker szakma mint olyan rég óta létezik…
Én sehol nem találtam ilyent. Hol lehet ilyeneket felbérelni? 🙂
Ferenc
2017-08-04 at 13:21
Ezeknek már rég “hűsölniük” kéne – 24.hustul!
Trambulin
2017-08-03 at 20:19
Hekker csak az lehet, aki tud egy fakockát abszolválni! A BKK pedig fizetni fog milliókat, mert jogellenesen nyilvánosságra hozta a személyes adatokat, és még le is tagadta!
Kéfa
2017-08-04 at 13:37
Legyen neked igazad.
Kéfa
2017-08-03 at 20:15
Én ezt úgy értelmezem, hogy a szakemberek szerint az a 18 éves fiú aki felkérés nélkül azaz kéretlenül vizsgálta a BKK rendszerében a hibákat törvénysértést követett el. Ezek szerint mégsem etikus amit csinált. Az Akácfa utcában tüntetők elgondolkoznának a szakemberek álláspontján?
Kéfa
2017-08-04 at 13:36
Elütés javítása: Ezek szerint mégsem etikus amit csinált? Elnézést.
bölcsuhu
2017-08-04 at 15:12
S miért fordult a “felfedezésével” rögtön az ellenzéki médiához, tiszta etikusságtól vezéreltetve?