Hackelés - meddig lehet elmenni szerintetek?

Sziasztok!

Nem tudom, hogy hányan követik a híreket, és hányan vannak képben. Ugye volt most egy hír, hogy a BKK elindított egy e-jegyrendszert, ami borzasztóan amatőr módon volt megírva és tele volt sérülékenységekkel. Olyan durva, amatőr hibák voltak a rendszerben, mint például:

  • egy URL paraméter átírásával akármennyiért lehetett venni bérletet
  • sima szövegként voltak eltárolva a jelszavak, és azt titkosítatlan csatornán keresztül ki is küldték a felhasználónak emailben, így bárki elkaphatta azt és kiolvashatta az adatokat, ha szerette volna
  • magasabb jogosultsági szintet lehetett szerezni egyszeri mezei felhasználóként
  • a felhasználói adatokat vissza lehetett adatni a rendszerrel.

Az ilyeneket a biztonságos webalkalmazás programozással foglalkozó könyvek általában elrettentő példaként szokták beállítani, úgy látszik azonban, hogy a fejlesztő azt hitte, ezek követendő és lefejlesztendő featurek. :confused:

A hibára egy 18 éves srác hívta fel a BKK figyelmét, akik ahelyett, hogy megköszönték volna a segítséget, most büntető eljárást indítanak a srác ellen. Ma olvastam, hogy el is vitték a rendőrök kihallgatásra.

Véleményem: egyfelől érthető a BKK és a T-Systems reakciója, hiszen egy etikus hacker sem nyúlhat hozzá felhatalmazás nélkül a rendszerhez. Ma, a jelenlegi szabályozás szerint a hackelés bűncselekménynek minősül.
Másfelől azonban, a törvénykezés megint nem teljesen követi le a valós életet. Miért? Háromfajta hacker van:

  • fehér kalapos vagy etikus hacker: megbízásból keres sérülékenységeket a megbízó rendszerében, a tapasztalt biztonsági hiányosságokat jelentik a megbízónak.
  • fekete kalapos hacker: ők a bűnözők, akik megbízásból vagy saját indokból mások rendszerét törik fel és az ott tapasztalt hiányosságokat erősen ki is használják
  • szürke kalapos hacker: szabadidejében, hobbiból tesztel rendszereket. Az észlelt hiányosságokat jelenti a feltört rendszer üzemeltetője felé.

A törvény csak fekete és fehér kalapos hackereket ismer el, a szürke kalaposokat is a fekete kalaposok közé sorolja, ami egyáltalán nem életszerű, szerintem. Nyugaton sokszor még a fekete kalapos hackereket is alkalmazni kezdik a cégek, egy-egy akció után, itthon azonban jó eséllyel a srác egész életét tönkreteszik egy példastatuáló bírósági eljárással. :frowning:

Szerintetek meddig mehet el egy hacker vagy wannabehacker (mint történetünk alanya)? Valóban bűnhődnie kell-e annak, aki észlel hibákat egy rendszerben és azt jelzi az üzemeltető felé, miközben azt nem használja ki és nem teszi közzé az Interneten? Nektek mi a véleményetek a hackelésről és a hackerekről? Valóban mindig csak rosszat akarnak, vagy van, amikor a jó szándék vezérli őket?

Mindenképpen jó téma. Azt nem tudom, hogy a srác a BKK/T-vel felvette-e előtte a kapcsolatot és megvárta-e a visszajelzést, majd utána publikálta a talált hibákat? Mert elvileg ez az eljárás szerintem az elfogadható.

Ettől függetlenül egy normális országban egy ilyen kaliberű cégcsoport ilyet még csak vázlat szinten, papíron sem adhatott volna ki a kezéből, nemhogy egy éles rendszer formájában. Épp ezért szinte a jutalom meg bugokra reakciók sem teljesen értékelhetők valódi értelemben. Ez olyan szinten amatőr volt, hogy borítékolható volt az első percben, hogy ízekre szedik az első nap.

Szóval mondhatjuk, hogy a történtek tökéletes harmóniában vannak az egész rendszer milyenségével, a BKK-val, a T-vel (pl amióta ismerem a céget, egy épkézláb, hibátlanul működő online ügyfél szolgálati rendszert képtelenek voltak összekalapálni, valami mindig volt vele). Szóval nincs itt semmi meglepő, csak egy kis balkáni valóság.

Remélem egyébként, hogy ez után igazi “hackerek” is neki állnak a rendszernek és szétkefélik az egészet, a regisztráltak adatait lenyúlják és kirakják (bocs minden érintettől), és olyan blamázs lesz az egész, hogy a történelem könyvekbe is bekerül… najó, biliből kiveszem a kezem, nem lesz itt semmi sem, marad minden ahogy volt.

8 Likes

Ez egy megrendelés volt, valószínűleg jó pénzért, és szállították azt, amit a megrendelő kért. Nagyon remélem, hogy ezek után nem kapnak több megbízást, mert kutya kötelességük lett volna szólni már az elején, hogy ez így szar, xy módon lehetne jobb. Ha megtették(erősen kétlem), akkor meg a BKK sara, hogy nem volt hajlandó figyelembe venni(mert van ilyen is).
Az szerintem sosem fog kiderülni, hogy a fejlesztő cég volt amatőr vagy a BKK vette semmibe a tanácsokat, esetleg mind2.

Elég érdekesen oldották meg, a szolgáltatás noreply címére küldték vissza a bejelentést, és utána 1-2 órával már ment is fel nyilvánosan a netre. Állítólag, azon húzták fel magukat, hogy a BKK az összes telefonos hibebejelentőt elküldte a fenébe, miután túl sokan voltak.

Először a BKK-nak küldött emailt, amikor onnan nem kapott választ, akkor fordult a sajtóhoz. Ők előbb maguk is letesztelték a módszert és csak utána írtak róla, de akkor se sok konkrétumot, csak hogy feltörhető. A mikéntjét pontosan nem írták le, bár aki picit jártas a webalkalmazásokban annak egyértelműen kiderült, hogyan lehet megoldani.

Még egy kisebb cég sem adhat ki ilyet a keze közül. :slight_smile:

Itt látszik meg szerintem, hogy a BKK nem piaci alapon működik. Ha ez a fejlesztés is piaci alapon kerül hozzájuk, akkor jobban letesztelték volna, talán kevesebb és kisebb hibákkal.

3 Likes

Ah, akkor ezért nem kapott választ a BKK-tól. :smiley:

1 Like

Most kapott választ, elvitték a rendőrök. Mondjuk várható volt ezek után.

2 Likes

BKK meg T-nek azóta füstöl a facebook oldala :smiley: kapják az ívet rendesen.

3 Likes

Én nem vagyok nagyon jártas a témában, de többször hallottam már, hogy nagyobb cégeknél (Google, Apple, stb.) magánszemély jelentkezett, hogy biztonsági réseket talált és nem az volt a válaszuk, hogy feljelentik, hanem megköszönik és pénzjutalmat juttatnak el az illetőnek. Sőt olyat is hallottam, hogy felkarolták az illetőt, állást ajánlottak neki, hogy keresse és oldja meg az ilyen eseteket.
Hogy a BKK nem ezt tette? 2018-ban Magyarországon? Nem vagyok meglepődve :smiley: Nem fogom kifejteni, hogy miért, mert erősen politikai tartalmú lenne a dolog, de nevetséges. Ráadásul éjszaka rontanak rá a rendőrök szerencsétlen srácra és úgy viszik el… Tiszta diktatúra feelingje van. Szegény gyerek jó szándékkal tett volna valamit egy alapjáraton nevetséges szolgáltatóért és ez a válasz. Kicsiny országunk sok lakosa inkább kihasználta volna az infót, terjesztette volna ismerősi körökben. Eszükbe nem jutott volna becsületesen szólni. De hát ha itt ez a hála érte, nem csodálom…
Kíváncsi vagyok, hogy mi lesz az eljárás vége. Ha emiatt elítélik és valami komolyabb büntetést kap, akkor újabb pont lesz az ország szégyen-eseteinek a listáján… :confused: Hiába, messze vagyunk még nyugattól.

4 Likes

Ettől félek én is, hogy valami komolyabb büntetést fog kapni, pedig ha jobban belegondolunk igazából nem is állja meg a helyét a vád, mert a BKK-T-Systems nem tett meg mindent annak érdekében, hogy ilyen ne fordulhasson elő. Ezek olyan alapvető biztonsági problémák voltak, amik egy rövidebb, zártkörű teszt során egyből kibuknak.

5 Likes

Ráadásul arra nem is gondol senki, hogy 18 évesen kezded igazán a nagybetűs életet. Hogyan álljon neki szegény srác, ha “bűnözői előélete” van? Azután mondhatja bárkinek, hogy jó szándékkal tette, senkit nem fog érdekelni…

3 Likes

Azért van különbség az-az ember között aki a google-nál vagy apple-nél talál hibát és a srác között. És az a rárontás is sántít nekem, inkább tartom “újságírói” sztori kiszinezésnek.
Remélem, hamar ejtik a vádat a srác ellen, főleg miután kiderül milyen sokan vettek így jegyet.

1 Like

Persze, van különbség, nem is várom el, hogy állást adjanak a srácnak, de szerintem egy a sajtón keresztül elküldött köszönöm szép gesztus lett volna és felhívta volna a figyelmet rá, hogy lehet jót tenni és ilyen is van.
A rárontás tényleg túlzásnak hangzik, de az időpont nincs eltúlozva. Még ha szépen és udvariasan is vitték el a srácot, valószínűleg arra ébredt, hogy a rendőrség az ajtóban és neki bizony velük kell mennie. Nem tudom, hogy te hogy vagy vele, de én jobban fogadnám a helyzetet, ha pl. délután 3-kor jönnek, mint sem éjszaka. :slight_smile:
De igen, reménykedjünk a legjobbakban.

Egyik volt osztálytársam programozónak tanul Pesten. Ő mesélte, hogy vele és az osztálytársaival íratták meg azt a bizonyos rendszert amiről most szó van. Én abszolút nem értek a témához, de gondoltam megosztom veletek. Elvégre elég érdekes dolog, hogy elsőéves diákok írnak meg egy ilyen kaliberű dolgot. Vajon ez is egy módszer a spórolásra ?

3 Likes

Ez sokszor bevett szokás, mivel olyankor álltalában az emberek otthon vannak.

Ezt csak így itthagyom midnekinek :smiley:

6 Likes

Ha velük is lett megíratva, akkor is egy tesztelésen át kellett volna mennie. Sőt aki ezt végig koordinálta és nem vette észre…

2 Likes

Hát igen ez a legfurább a dologban. Már ha tényleg azt használták fel amit ők készítettek.

Állítólag az infrastruktúra a szolgáltatás mögött nem a bkk tulajdona és havi 25M Ft-ért bérlik a T-től.

Megindultak a meme-ek is:

2 Likes

Elkezdődött a porhintés is… nem tudtuk, az nem is úgy volt, szabályzat szerint jártunk el, blabla…

A csatolt kép alapján viszont a srác nem noreply címre küldött levelet…

Előre is elnézést, de szerintem erre mondják, hogy “haters gonna hate”. Mellesleg kiváncsi leszek, mi lesz az eredménye ennek az esetnek, bár a bíróságon a srácnak 0 esélye lesz tisztára mosni a nevét.