Vigyázat, pongyola! Csak laikusoknak.

A hackerfeleség naplója

Negyedik napja e-bérlettel

2017. július 19. - hackerfeleség

Írtam a BKK-nak arra ez e-mail címre, amit azért adtak meg, hogy az esetleges problémákat ott jelentsem. Majd írtam nekik három nap elteltével Facebookon is, hátha azt jobban olvassák. Pár órával később kaptam is egy automata üzenetet, hogy írtam nekik és majd 30 napon belól válaszolnak.

Aztán ma - ejj, de türelmetlen vagyok - megkérdeztem Facebookon a T-Systemsmet is, hogy hol jelenthetek nekik hibát. Egy cikkben olvastam, hogy szívesen fogadnak minden hibajelzést. Igaz, a következő mondat az volt, hogy az első hibajelzőt már föl is jelentették...
De nem kell aggódni, nem reagálnak a Facebookra sem, így nem jelentek hibát, csak várok.

Este azért csak megnéztem, hátha működik valami. A shop.bkk.hu/webpass felületre továbbra sem tudok belépni a jelszavammal, második körben megpróbáltam simán a shopot, ahova eddig be tudtam lépni. Történt valami, ugyanis kaptam egy pop upot! :)

bkk4.png

Megjött a jelzett e-mail is, ami már szépen formázott, nincs tele  -vel. Elvileg a küldött linkre csak 20 percem volt klikkelni, 20 perc után újat kellene kérni, de ezzel nem kísérleteztem. Kattintottam, újbabb csodás, random generált jelszót adtam meg, amivel sikerült is belépni a shop-ba.

Minő meglepetés: a webpass-ba viszont továbbra sem.

Ezek után jól el is mentem gyereket csutakolni, meg esti mesét mesélni. Aztán most, mikor újra ránéztem, hát látom, hogy időtúllépés miatt kiléptetett. Ejha! 

Most meg aktuálisan ez van, úgyhogy éjszaka ne is akarjatok hősködni, hogy vásároltok, mert szerelnek valamit:

bkk5.png

Remélem, reggelre megszerelik, mert tovább már nem tudom húzni, holnap reggel első ajtós busszal kezdek...

* * *

Ma egyébként a fél ismerősi köröm azon rugózott, hogy mennyire gáz, vagy mennyire jogos, hogy az Első Hibajelentőt feljelentették.

Tény, hogy - jelen tudásom szerint - ez a tett sérti a törvényt. Szívesen veszem egyébként, ha egy erre tévedő jogász ezt megerősíti, vagy megcáfolja. :)
Meg az is tény, hogy iparági szintenen teljesen más a szokás: szabad a pálya, keressétek a hibát és jelentsétek, mi meg fizetünk a jelzésekért, mert így tudjuk, hogy mit kell még javítanunk. (Ezt nevezik bug bounty-nak, erre gondolj, ha hallod valahol ezt a kifejezést.)

A usernek az az előnyös, ha minél előbb kiderülnek az általa használt appok, programok hibái, hiszen annál előbb lesz biztonságban, fogja tudni rendeltetésszerűen használni a dolgokat. Ha ezt úgy lehet a lehető legrövidebb időn belül elérni, hogy direkt kérem, hogy szedjék szét az új programomat, akkor - talán könnyen belátható, hogy - praktikus ezt így csinálni.

Azt viszont kifejezetten káros hozzáállásnak tartom, amikor egy programról hibák derülnek ki, akkor azokat letagadják, a hibát észelőt rosszándékú finnyogónak kiáltják ki, és följelentik.
Hibák adódhatnak munka során, ez tök normális. Ezért megsértődni, tagadni, tökéletesnek hazudni azt, ami nem az viszont nem normális.

A császár pucér, nincs itt mit szépíteni. 

 

Mit gondolsz, volna létjogosultsága itthon is haladó módon bíztatni a hibakeresést? Lehetne vajon jogilag különbséget tenni a rosszindulatú támadás és a segítő szándékú hibakeresés között? Vagy ez már bárhonnan nézve áthágná az etikusság határát?

A bejegyzés trackback címe:

http://hackerfeleseg.hu/api/trackback/id/tr9612675525

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

beebite 2017.07.20. 08:36:08

Egyetértek azzal a gondolatsorral, hogy nem normális, hogy ha valaki tesz egy észrevételt, akkor meghurcolják miatta, úgy általánosságban. Azzal is, hogy támogatni kéne, hogy ilyen rendszereket etikusan hekkeljenek, mielőtt élesbe áll.
És nem védeni akarom a BKK-t, de minden CEH könyv, tanfolyam, akármi azzal a vaskos fejezettel indul, hogy felhatalmazás nélkül hekkelni az _nem_ etikus, akkor sem, ha amúgy általában felhatalmazással hekkelsz, és ha felhatalmazás nélkül csinálod, mész a dutyiba. (Sőt, néha még azt is írják, hogy a szerződést nézesd át jogásszal, hogy biztosan ne legyél felelős azért, amit etikusan csinálsz.)
Szóval sztem az etikus hekkelést nem úgy kéne reklámozni, hogy feketekalaposan feltörünk ezt azt, majd becsületesen feljelentjük magunkat :-) Ez kicsit olyan, mintha bemászol a kerítésemen, majd a gyepemen állva mosolyogva közlöd, hogy csak megmutattad, hogy alacsony, de nem vittél el semmit :-) (Ha este csinálod, ezért még le is lőhetlek, és ha tarthatok fegyvert, ez még jogszerű is lesz.)

Persze tisztában vagyok vele, hogy ilyen szerencsétlen cégek, mint a BKK, sose fog etikus hekkert felkérni, és engem is elborzaszt ez a kényszeres hazudozás. De az ő kreténségüktől függetlenül se kéne engedély nélkül hekkelni :-)

énisfélek 2017.07.20. 17:50:38

Az régi trükk bizonyos körökben, hogy ha nem buksz le, akkor ügyi voltál, ha pedig lebuksz, akkor hangosan verd a tamtamot, hogy te csupán etikusan hackeltél.
Én is pofán vágok mindenkit, aki előzetes bejelentés nélkül próbálgatja pl az ajtózáramat és ha az illető ezen megsértődik, akkor nagyon hülye.
Szóval szerintem nagyon hasznos dolog etikusan hackelni, de csakis előzetesen megadott (tudomásomra hozott) IP címről és előzetesen megadott/körülírt módszerrel.

Szaktanár 2017.07.20. 18:11:31

csak ismételni tudom az előttem szólókat. h világos legyen, egy black hat és egy white hat hacker pontosan ugyanazt csinálja, ugyanazokkal az eszközökkel, és ugyanazon adatok birtokába jut. az egyetlen különbség kettejük között nem technikai, hanem jogi: az utóbbinak van engedélye. szóval mindenki, akinek nincs ilyen papírja, az black hat hackernek számít, még akkor is, ha felfedi a hibát az alkalmazás tulajdonosának. nem védeni próbálom a bkv-t, csak szeretném iparági oldalról megvilágítani kissé a kérdést.

CyberPunK 2017.07.20. 18:16:46

"Meg az is tény, hogy iparági szintenen teljesen más a szokás: szabad a pálya, keressétek a hibát és jelentsétek, mi meg fizetünk a jelzésekért, mert így tudjuk, hogy mit kell még javítanunk. (Ezt nevezik bug bounty-nak, erre gondolj, ha hallod valahol ezt a kifejezést.)"

Az, hogy pár cég csinál ilyet az nem szokás. Mivel nem vagy hacker csak egy feleség, ezért lefordítom magyarra: attól még, hogy pár családban a vacsora elmaradását ököllel jutalmazza a ház ura, még nem válik se törvényessé se szokásjoggá mindenkinél.

Azt meg mind szakmabeli mondom, hogy ezt a rendszert nem pár etikus hacker fogja rendbe rakni, ezt a szarkupacot felesleges simogatni. Biztos vagyok benne, hogy egy másik csapat már gőzerőn dolgozik a 2.0 változaton.