Megtámadott egy "etikus" hekker. Mit tegyek?
Egy magát etikusnak mondó hekker megtámadta honlapomat. (egyértelmű bizonyítékot adott arra, hogy olyan információt nyert ki belőle, amit én védve gondoltam.) Kárt nem tett, de hajlandó lenne a biztonsági rés megadására pénz ellenében.
Összeget sem jelölt meg. Tőlem vár ajánlatot.
Ha nem zárom be a rést, akkor etikátlan hekker akár kárt is tehet.
Mi ilyenkor a teendő? (A hivatalos utat ismerem, nem erre kérdezek rá.)
válasza: válasza: válasza:Ez a pernahajder minden, de nem etikus hacker.
Az etikus - más néven "fehér kalapos" - hackert te bízod meg és kéred meg a weblapod biztonságának ellenőrzésére.
Ez a fószer illetéktelenül jutott be a rendszeredbe (2012. évi C. törvény 423. §), onnan adatokat szerzett meg (2012. évi C. törvény 423. §) és ráadásul - mivel pénzt követel - még a zsarolás (2012. évi C. törvény 367. §) eshetősége is fennáll.
Ha kooperatív lenne és nem követelne pénzt, akkor még azt mondanám, hogy köszönd meg neki és foltozd be a biztonsági rést. De ebben az esetben irány feljelentést tenni (a teljes levelezést - fejlécestül, mindenestül, illetve a webszerver naplóállományait - ha elérhetőek - ne felejtsd el).
válasza:"onnan adatokat szerzett meg (2012. évi C. törvény 423. §) "
Bocs, 422. §
válasza:1. Biztos, hogy valós feltörésről van szó és nem csak kamu, hogy megijedj és pénzt küldj? Mint pl. mikor a jelszavadat küldik el emailben és azt mondják, hogy rögzítették a kamerád képét...
2. Nem etikus hacker, ha pénzt kér a sebezhetőség közléséért. Ha a befoltozásért kér pénzt, az oké, mert az munka.
3. Ha felfrissíted a keretrendszert a weboldalad alatt az nem elég? Mi fut alatta?
Malaysiainak adja ki magát. Még egy linkedin profilt is küldött magáról.
1. Sajnos biztos, hogy bejutott a rendszerbe. Olyan képernyőképeket és adatokat adott, amihez csak illegálisan férhetett hozzá. Képernyőképek konkrét adatbázis adatokkal.
2. Egy olyan egyedi rendszerről van szó, amit felhasználóknak adok "bérbe". PHP és MYSQL. (A programozáshoz nem értek.)
3. Egy csomó dolgot eddig is alkalmaztunk védelemre. Ezek szerint nem elég. (sosem elég) Állítólag injektált valamit a mysql-be.
A legrosszabb az egészben az, hogy ha nem teszem azt, amit mond, akkor elvileg bármikor nagyobb kárt tud tenni.
Az egész bevételem ebből nem olyan jelentős, hogy bármilyen komoly hazai szakembert meg tudjak bízni belőle.
Most megírta az árát is. Ha kifizetem, sem vagyok biztos benne, hogy mindent elmond és jövő héten nem fog dupla annyit kérni. Ha nem fizetem, akkor meg pillanatokon belül hanyattvághatja az egészet.
Ha szólnék neki, hogy rendőrséghez fordulok, akkor holnap lehúzhatom a redőnyt. Pontosabban nem holnap, hanem akkor, amikor akarja. Akár most is.
Patt!
válasza:Az SQL injection elég alapszintű támadás, sok óvodás is képes rá... Szóval elbeszélgetnék azzal, aki írta a rendszert!
Amúgy meg javítható sok munkával, minden bemenetet szűrni kell megfelelően
válasza:Örülj hogy felhívta a résre a figyelmed a pajzsodon..
Járj utána mi a hiba nálad, milyen frissítéseket felejtettél el feltelepíteni.. Vagy bízz meg egy komoly magyar céget ezzel (ne egy egyszemélyes Bt-t).
válasza:Az "etikus"-ság akkor él és érvényes, ha azt szerződött keretek között megfelelő jogosultsággal teszi.
Tehát, szerződésben kell szerepelnie:
- Ki
- Mikor (tól-ig)
- Honnan (IP)
ről teszi mindezt.
Legalitás szerződés nélkül csak minimális esetekben lehetséges:
- Google, Yahoo, DuckDuckGo, ... kereső motorok által indexelt tartalmakból való keresés
- Domain Name System által publikusan elérhető adatok.
Ami a fentiek esetétől eltér az kibertámadásnak minősül. Továbbiakban meg kell különböztetni "véletlenüli hiba felfedezés"-t és "szándékos hiba keresést". A másik fél motivációját kell keresni elsődlegesen.
- Keresett a weboldalon valamit, és egy másik fiók adatait jelenítette meg? (szoftver hiba, felhasználó véletlenül futott bele)
- Pénz szerzés (zsarolás) céllal, hibát keresek az adott szervezetnél? (szándékos hiba keresés)
Persze ha pénzt követel, már zsarolásnak tekinthető. Mivel nem kért engedélyt a vizsgálatra és nem adott át egy dokumentációt, ami leírja a hiba felderítés menetét és okait.
Magyarán: nem etikus.
Ofc. Az se etikus, aki csak javítási szándékkal teszi, dokumentálja, átadja, de mindezt szerződés nélkül. Mert, akkor jön a "és ki hiszi el, hogy nem tették-e olyat, amit nem mondasz el?".
Az egy másik dolog, ha "bug bounty" program részeként teszi ezt egy támadó. Mert annak az a lényege, hogy: "Tessék itt van a rendszer, mi adjuk. Törd meg, írj egy doksit, amit elküldesz és honoráljuk valamennyi $-al." De csak bug bounty programon belül, csak SZOLGÁLTATÁST szabad ellenőrizni, magát a céget átfogóan tilos.
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!