Az etikus bankrabló

2017. augusztus 04. - csakegykisember

e574f76af545fa750a640a68b70d222e--sharpie-markers-funny-faces.jpg Az elmúlt napokban az igazságérzetemet lúdbőr borítja, a tollaimat meg szálanként tépem ki körömcsipesszel, hogy végre ne nézzen minden újságíró és politikus madárnak.

Azért vagyok mérges, mert az etikusság nem filozófiai, vagy erkölcsi fogalom lett, hanem egy kis biléta a kommunikációs kalapban, amit teljesen véletlenszerűen kisorsolnak valakinek.

Nem vagyok sem IT fejlesztő, sem programozó, sem hekker, de a jóindulatomat is kezdem elveszíteni.

Miért elfogadott az, hogy ha valaki feltör egy informatikai rendszert és utólag szól róla, akkor ez rendben van, míg senki nem támogatja az etikus bankrablót, aki csak azért tör be egy pénzintézetbe, hogy megnézze biztonságban van-e az emberek pénze? Állítólag mindkettő közérdek, nem? A banknak nem azért van biztonsági rendszere, hogy azt mindenki megpróbálhassa kijátszani, hanem, hogy a bűnözőknek megnehezítse a dolgát és aki ezzel próbálkozik, az szándéktól függetlenül bűncselekményt követ el! Miért kellene köszönetet mondanom annak, aki berúgja a házam kerítését azt bizonyítandó, hogy az nem áthatolhatatlan? Nem azért tettem oda, hogy minden arra járó megpróbálja, hanem, hogy megmutassam hol a határ, amin tessenek kívül maradni. Nekem ez akárhogy is nézzük nem etikus.

Mindig lesznek rossz szándékú bűnözők, akik be akarnak jönni a kerítésemen akkor is, ha az tíz emelet magas, de a megoldás nem a tizenegyedik emelet felhúzása és még csak az sem segít, hogy néhány alpinista jószándékkal megmássza azt megmutatva, hogy lám-lám nem lehetetlen a bejutás. A megoldás az, hogy ha valaki hozzányúl a kerítésemhez és megpróbál bejutni, azt nyilvánosan, súlyos büntetéssel meg kell torolni, hogy mindenkinek elmenjen a kedve hasonló tenni. Ha valaki nem csak bejön, hanem el is lop valamit, vagy megerőszakolja a vakondot a kertben, akkor azt még durvábban meg kell büntetni, hogy a hozzá hasonló állatok lássák, hogy mit kockáztatnak. Hiszek a megelőzésben is, de mindennek van határa és még jobban hiszek az igazságszolgáltatásban, azonban a hányinger kerülget, ha a sajtó hőst csinál az elkövetőből.

Tegyük fel, hogy túl teszem magam azon, hogy ha egy informatikus megtudja, hogy valaki készített egy szoftvert, akkor pavlovi reflexszel próbálja becsorgatni a nyálát valami apró kis résen a rendszerbe. Ha éppen nincs hozzá maszkjuk, akkor rajzolnak egyet, mint a két agysebész a képen, csak még melléírják, hogy etikus vagyok. Virtuális fetisiszták. Azt azonban már nem értem, hogy ha a média pajzsra emeli őket pusztán azért, mert szerintük jószándékkal jártak el, majd a delikvensről kiderül, hogy még a pajzsot is el akarta csórni, akkor miért nem képesek továbbra is foglalkozni az üggyel, csak immáron lerántva a leplet az addig általuk istenített emberkéről. Azt hiszem itt jön képbe a kognitív disszonancia, azaz a sajtó pont úgy működik, mint azok a politikusok akiken ezt a viselkedést rendre számon kérik. Korábban feltételeznek valamit, sőt nagyon határozottan kiállnak mellette, majd kiderül, hogy az egész egy nagy ostobaság, de ők még mindig ragaszkodnak az eredeti nézetükhöz, mert milyen ciki már, ha mást mondanak mint korábban. Az meg, hogy "bocsánat" csak akkor hördül föl a billentyűzetükből, ha vádlóan megkérdeznek valakit, hogy miért nem képes ezt az egy szót kimondani!

Eszembe jutott egy történet a Telekom rendszerét meghekkelő, ártatlan, jóhiszemű fickóról, aki nem akart mást, mint felhívni egy gyenge pontra a figyelmet. Igaz, hogy jó sok pénzért és amikor ezt nem kapta meg, akkor újra lecsapott.

Amikor szociológiát hallgató egyetemistaként esszét írtam a kognitív disszonanciáról akkor olyan esetek után kutattam, ahol a közvéleményt (akarva, vagy akaratlanul) eltorzították, majd az igazság kiderülte után az emberek makacsul ragaszkodtak korábbi álláspontjukhoz.

Egyszer egy amerikai kisvárosban Collinsvilleben Illinois államban egy anyuka megállt az egyik benzinkútnál, tankolt, majd amíg fizetett, egy kedves ismeretlen elkötötte a kocsiját. A nő kétségbeesetten kért segítséget, majd miután megtudta, hogy csak két saroknyira van a rendőrkapitányság, fogta magát és odarohant bejelenteni az esetet. Legnagyobb döbbenetére a kocsija ott állt a rendőrautók között. Berohant, ahol letartóztatták. Egy fickó elmesélte, hogy ő egyszerűen meglátta a kocsit a benzinkútnál és hogy egy kisgyerek ül hátul. Mivel nem volt ott felnőtt és aggódott a gyermek biztonságáért, ezért betörte a szélvédőt, beült és elhajtott vele a rendőrségre. A nő előzetesbe került (óvadékért kiengedték), a fickó pedig a kapitány Steve Evans külön gratulációját bezsebelve szépen elment haza. Másnap arra ébredt, hogy televíziócsatornák és újságírók akarnak vele interjúkat készíteni, gyakorlatilag egy hét alatt sztár lett, ő volt a gyerekmentő hős. Arra az egy kérdésre nem tudott magyarázatot adni, hogy miért nem ment be a benzinkutasnál érdeklődni, hogy kié lehet a kocsi, de a lényeg az volt, hogy a gyereknek semmi baja nem lett és hogy ha mindenki ilyen segítőkész lenne, akkor szebbé tehetnénk a világot. A hír gyakorlatilag néhány nap alatt bejárta az országot, mire hárman is jelentkeztek, hogy a képről felismerik azt a fickót, aki korábban ellopta a kocsijukat.

A fickót végül letartóztatták, vádat emeltek ellene és bíróság elé állították. A média alig csillapodott, elkezdték mártírként kezelni és az anyát hibáztatták, aki szerintük köszönet helyett meg akarja hurcolni a gyermeke megmentőjét. A bíróság épülete elé tüntetést szerveztek, a stábok élőben közvetítették az eseményeket, a gyermek szülei (az apa lelkész volt) minősíthetetlen szitkozódások közepette tudtak csak bemenni az épületbe.

A tárgyalás során kiderült és a vádlott végül be is ismerte, hogy semmi más szándéka nem volt, mint ellopni a kocsit. Alig ment pár száz métert, amikor hátul felsírt a gyerek, akit addig észre sem vett. Tudta jól, hogy ez már emberrablás, ezért gyorsan kitalálta ezt a történetet, majd leparkolt a rendőrség előtt, a többit pedig már tudjuk.

Az ítélethirdetés után a sajtót szembevillantotta a Men In Blackből K ügynök, így a sztorival együtt mindent elfelejtettek, mindenki hallgatott, sőt a következő nap címlapjain már az jelent meg, hogy a rögbicsapat segédedzőjének nincs is képesítése, mégis húsz évig gyúrta a fiúkat.

Az apukától, az anyukától és a gyerektől soha nem kért bocsánatot senki! Már nem is lesz könnyű, mert elköltöztek jó messzire, mivel az apának szétszéledt a hitközössége amit vezetett, az anya meg nem kapott munkát sehol. Remélem a sok etikus szereplőnek az újságírótól kezdve a rendőrfőnökön át az elkövetőig a karmáját meghekkelte a sors és egy életen át pislognak, ha valami hasonló történik velük, de nem bosszúsan, hanem csak úgy jószándékúan.

140 komment

Bobby Newmark 2017.07.27. 14:41:39

@hümhüm: Két probléma van ezzel.
Ha nem viszi végig az 50Ft-os vásárlást, akkor nem derül ki, hogy lehet-e olyat. Lehet úgy is fos a rendszer, hogy engedi átírni, aztán később ellenőriz.

A másik probléma ezzel a hozzáállásoddal, hogy az emberek döntő többsége leszarja a moralizálásodat. Te lehet, hogy annyira tiszteled a törvényeket, hogy még gondolatban sem mered átlépni őket. De egy rakás ember meg nem így gondolkodik. És ha az ilyen jószándékú arcokat te a törvény teljes szigorával agyonbasznád legszívesebben, akkor annak az lesz a következménye, hogy nem lesznek ilyen jószándékú arcok, akik az illetékesnek szóljanak. Helyette majd a kitapogatott sebezhetőséget ki fogják használni inkább, megkárosítva a céget. Vagy csak eladják az információt valami bűnözőnek, akit meg már nem csak az fog érdekelni, hogy 50 forintért vegyen bérletet, hanem hogy a te adataidat is ellopja és visszaéljen velük.

Az ilyen keményvonalas gondolkodás szinte minden esetben kontraproduktív, és csak visszakanyarodva téged harap seggbe, azokat az ideálokat erodálja el, amiket ilyen nagyra tartasz.
Az ilyen ideológia alapú gondolkodás általában a gyakorlatban kibaszottul durva hibákra vezet, lehet érdemes lenne hanyagolnod.

Válasz erre

Duplaxiii 2017.07.27. 14:54:00

@Péter 2:
Komám TE NEM érted a lényeget!
Van a jog és van a tett!
A gyereket kérte valaki, hogy ezt tegye? Nem! De ő tette és átlépett a jogon, onnantól meg már neki kell védekezni.
A második eset az egyszerűbb, a srác elment egy határig, de nem tudott megegyezni a T-vel. De ő folytatta és akkor már a IP alapján csaptak le rá és onnantól nem számít, hogy korábban még úgy volt, dolgozik a T-nek.
Az első, a kissrác végigvitte a dolgot, nem jelzett, hanem már az eredményt mutatta meg és még balek is volt.
A szoftverjog erősebb ám egy hibás funkciónál.
Ha találsz egy komoly hibát a Excelben, nem annak a hibának a következményei vagy annak megakadályozása a kérdés, hanem hogy visszafejtettd a szigorúan védett kódot.
A posztoló példája is érthető, hiszen ha látsz egy hasonló esetet, akkor miért nem a segítség az első, miért a kibaszás a másikkal? (ami megy ugye nem is volt igaz...) Az autó mellől nem hívhatott volna rendőrt:
Az "erikus" hacker nem erikus, hanem abban a fázisban a magamutogatás, a kivagyiság a fontps számára. Kiszámíthatatlan, mert soha nem fog betartani semmi szabályt. Ezért ilyen és soha nem alkalmaznék, mert egy plusszal szemben a nem várt dolog a cég bedőlését is eredményezheti!
Mondom, lopj el valamit a teszkóból, hogy teszteld az őrséget. Aztán add le a kapuban...
Te attól még egy büdös tolvaj vagy.

ZX 2017.07.27. 14:58:06

@Duplaxiii: Nyugaton a cégvezetők nem így gondolkodnak. Ezért tartanak ott ahol. Mi meg ezzel a mentalitással félázsiai balkáni nép maradunk.

"A gyereket kérte valaki, hogy ezt tegye? Nem! De ő tette és átlépett a jogon,"
Majd legközelebb megteszi ugyanezt más, csak ő majd nem szól, hanem ellop mindent amit lehet és még csak észre sem veszik akkora lúzerek.

hümhüm 2017.07.27. 15:15:06

@Bobby Newmark: "A másik probléma ezzel a hozzáállásoddal, hogy az emberek döntő többsége leszarja a moralizálásodat. Te lehet, hogy annyira tiszteled a törvényeket, hogy még gondolatban sem mered átlépni őket. De egy rakás ember meg nem így gondolkodik."
Attól még nem helyes a magatartásuk.
Félreértettél. Én a T-Systems illetékesei helyében megjutalmaztam volna a kölköt, a rendszer tesztelésével megbízott embereket pedig azonnal kirúgtam volna, mert ilyen szemét munkát végeztek (ha egyáltalán végeztek...).
De azt nem tudom elképzelni, hogy az ilyen hiba csak úgy derülhet ki, ha ki is fizetjük a vásárolt árut. Én még nem találkoztam olyan online szolgáltatás- vagy áruértékesítő rendszerrel, amely fizetés nélkül rendelkezésedre bocsátotta volna a vásárolt cuccot. Felteszem, hogy a szóban forgó ominózus rendszer sem ilyen. Viszont még fizetés előtt láthatónak kellett volna lenni a hibának, azaz, hogy az átírt összeget kell fizetni, és nem a valódi árát. Innen nem szabad továbblépni.
Miért, te nem szólsz a piacon az eladónak, ha 5000 ft-os cehet veszel és tévedésből 500 Ft-ot kér?
Ennyit a moralizálásról.

Faszerkezet 2017.07.27. 15:21:16

@hümhüm:

Értsd már meg, hogy átírni bármelyiket átlehet.... POST requestet olyat küldök amit akarok....

De hogy a szájonlökött szerver elfogadja-e avagy nem, azt csak úgy tudod meg, hogyha elküldöd.

De tudod mit. Menj ki az ajtód elé és teszteld le, hogy működik-e a csengőd, de nem nyomhatod meg.....

Szaktanár 2017.07.27. 15:22:09

"Miért elfogadott az, hogy ha valaki feltör egy informatikai rendszert és utólag szól róla"

ez sehol sem elfogadott, csupán az index próbál úgy tenni, mintha az lenne. őket az örök ellenzékiségük vezérli a véleményük kialakításában, a tényekkel elég keveset törődnek.
a valóság ezzel ellentétben kissé más.
az ethical hacking (penetration testing, "pentest", szakmai berkekben) előre megkötött megbízási szerződéssel történik, ahol pontosan meg van határozva a target és a scope, valamint a tesztelők köre (honnan várható a támadás, amely engedélyezettnek minősül). azon behatolások, amik ezeken kívülről érkeznek, rosszhiszeműnek minősülnek. nem vagyok teljesen tisztában a magyar piac jogi szabályozásával, mert külföldön, külföldre dolgozok, de erős a gyanúm, h otthon is hasonló lehet a törvényi meghatározása a kérdésnek: ha nincs előre kötött megbízásod, akkor illegálisan törtél be. ez ugye azért problémás, mert az információszerzés pillanatában nem lehet tudni, h vissza fogsz-e élni az adatokkal vagy beszolgáltatod őket, úgyhogy egyértelműen nem fognak veled kesztyűs kézzel bánni.
a mostanában a médiában napvilágot látott eset(ek)ben lehet feltételezni a jóhiszeműséget, de az biztos, h aki engedély nélkül áll neki törögetni, az soha, sehol nem fog jól járni, még akkor sem, ha egy 18 éves gyerek, és a rendszer készítői ordas hibákat ejtettek.
ennyi a lényeg, a többi az index széllel szemben hugyozó propagandája, amiben a jó és a rossz örök harcát éneklik meg, amiben persze a fasiszta állam eltiporja az ártatlan gyereket, aki csak....na jó, tudjuk.

Dzsontra Volta 2017.07.27. 15:30:04

"Etikus Hekker" Ettől a falnak megyek, egyrészt a sztori alapvetően olyan cselekménysorozatról szól, ami eléggé messze esik a hackeléstől, másrészt egy szolgáltatásért magasabb árat kérni, mint amennyi a piaci ellenértéke, az sok minden csak nem etikus.

Péter 2 2017.07.27. 15:34:53

@Szaktanár: nem tudjuk meg, hogy minek a szaktanára vagy, de nagyon remélem, hogy nem informatikus, ha egy böngészőből felküldött adathalmaz átírását rendszerfeltörésnek hívod.

Ebben az esetben a jóhiszeműség egészen nyilvánvaló, ráadásul a BKK-t a szó szoros értelmében semmiféle kár nem érte, még 50 forint sem (sőt, igazából nekik kellene ennyit visszadniuk, nem mintha valójában ez most már akkora nagy probléma lenne az illetőnek, nyilván).

Igen, sokszor határeset, de a jog pontosan ezért találta ki régesrég a társadalomra való veszélyesség fogalmát. Ezek pont azok az esetek, amelyek még akkor is, ha formálisan adott esetben kimerítenek egy konkrét tényállást, társadalomra való veszélyességük nulla. Ez a lényeg.

A politikai hozzáállásodra inkább nem térek ki, nyilvánvalóan látszik, hogy ezen a szűrőn keresztül nézed az eseményeket, és azért írod, amit írsz.

ZX 2017.07.27. 15:35:53

@Szaktanár: Kedves szakbarbár. Ezt nagyon rosszul tudod. Külföldön sem csak az az etikus hacker aki szerződésben áll a céggel. Sőt! Döntő többségük semmilyen céggel nincs semmilyen viszonyban, és sok cég nyíltan hirdeti is, hogy BÁRKI aki hibát talál X USD jutalmat kap.

hmikey 2017.07.27. 15:37:59

@Duplaxiii: "Ha találsz egy komoly hibát a Excelben, nem annak a hibának a következményei vagy annak megakadályozása a kérdés, hanem hogy visszafejtettd a szigorúan védett kódot."

Nagyon nagy a különbség aközött, hogy illegálisan visszafejtesz egy kódot, és abban turkálsz, vagy csak simán, teljesen legális felületen keresztül adatokat tolsz egy szarul megírt rendszernek, ami benyeli azt ész nélkül.

Úgy tűnhet, hogy itt valami űbermágia történik, pedig nem, mindenki, aki webfejlesztéssel foglalkozik, használja ezeket az eszközöket, mert ezekkel tudja a saját rendszerét tesztelni (törhetőség szempontjából is). Vázlatosan, itt arról van szó, hogy van egy szerver, amit különböző végpontokon keresztül el lehet érni (ha megnézel egy sima youtube linket, abba is paraméterek vannak belekódolva), adatot adsz át neki ill. kapsz vissza tőle a kliens oldalon (ami a te böngésződ alapból). A szervernek kutya kötelessége kitalálni, hogy az az adat, amit kapott, helyes e. Ehhez egy értelmes fejlesztő már eleve úgy áll neki (főleg egy ilyen, sokfelhasználós rendszernél), hogy ún. unit teszteket ír hozzá, amivel minden lehetséges szar adattal megbombázza a saját felületét, hogy azt MÁS NE TEHESSE MEG.

Ha ennyire óvodás szinten van kezelve a dolog a T-n belül, akkor kezdhet rettegni az összes T ügyfél, mert BÁRKI, aki annyit ért a rendszerhez, hogy elküld egy hibás adatot, az lophat tőlük. Szerintem ha ilyenkor valaki inkább szól a BKK-nak, hogy "bocsbaze, de titeket meg fognak szopatni", az kb. ugyanolyan, mintha szólnál valami balféknek, hogy ott hagyta a pénztárcáját/telefonját/esernyőjét valahol. A másik csávó, aki kétszer ment be a T-be, ott sem egészen egyszerűen zsarolásról volt szó, hiszen ő alapból nem kért pénzt azért, amit tett, hanem szó volt erről, amikor behívták beszélgetni. Attól hogy nem jött össze, még nem lesz belőle zsaroló, hiszen nem lopott el, nem törölt semmit, és nem is zsarolta ezzel a T-t. Ő már kevésbé jókisfiú, de azért bűnözőnek nagyon nem mondanám.

Péter 2 2017.07.27. 15:41:37

@hmikey: majdnem, de itt nemcsak a tesztek elmaradása volt, és nemcsak az, hogy validáljuk-e a felküldött értékeket. Itt ennél nagyobb hülyeség történt. Egyszerűen, az árat nem a kliensről töltjük fel a szerverre, ilyen a világon nincsen. A kliens felküldi a termék azonosítóját és a mennyiséget, de az árat mi a fészkes fenének küldené fel? Ilyet épeszű ember nem követ el, még egy kezdő is alig, ha gondolkodik.

Szaktanár 2017.07.27. 15:44:50

@Péter 2: csak h tiszta legyen, csupán azért hívom rendszerfeltörésnek a frontend validáció kikerülése, mert így vezette be a média. természetesen nem vagyok hülye, ez semmilyen szinten nem lenne elfogadható betörés, de ha a backend validáció hiányzik/rossz, és nem fogja meg a POST-ot, hanem hagyja végigmenni, akkor az a rendszerbe való betörésnek számít. csakhogy: ez nem a "hacker" (nevetnem kell, jelen esetben a 18 éves kölök semmilyen hacker nem volt, ismét csupán a média szóhasználatával élek) érdeme, hanem a rendszer készítőinek a szégyene.
"
A politikai hozzáállásodra inkább nem térek ki, nyilvánvalóan látszik, hogy ezen a szűrőn keresztül nézed az eseményeket, és azért írod, amit írsz."
nem térsz ki, de azért mégis kitérsz, jó :)

@ZX: first of all, hagyjuk a személyeskedő megszólításokat, nálam nem nyerő az ostobaság. ami pedig a lényeg, nem tudom, h honnan szerzed a tapasztalatidat, de nem bátorítanálak h anélkül kezdj el egy rendszert reszelni, h erre volna engedélyed/megbízásod. az általad említett bug bounty-kra pedig szokott regisztráció kelleni. érdemes lenne máshonnan is tájékozódni, ha már nem értesz vmihez, nem csak az indexről.

hmikey 2017.07.27. 15:45:29

@Péter 2: Persze az már a fos programozás netovábbja, de az előzőt most próbáltam úgy megfogalmazni, hogy egy nem fejlesztő is értse :)

Péter 2 2017.07.27. 15:45:56

@Duplaxiii: Ha találsz egy komoly hibát a Excelben, nem annak a hibának a következményei vagy annak megakadályozása a kérdés, hanem hogy visszafejtettd a szigorúan védett kódot.

Egy fenét. Egyfelől, a jog nagyon is megengedi a reverse engineeringet sok esetben, másfelől a komoly hibák felfedezéséhez sincs rá szükség sok esetben. És már elég sok ilyesmit jelentettem be itt és ott, és légy erős, még nem küldtek rám soha rendőrt, hanem megköszönték.

Péter 2 2017.07.27. 15:48:01

@Szaktanár: Pedig nem tértem ki, csak konstatáltam, hogy érezhetően annak a fényében kezeled az ügyet. Ha kitérnék, akkor véleményt is mondanék róla. Akarod? :-)

Szaktanár 2017.07.27. 15:50:05

@Péter 2: figyelj, ha van időd, nyugodtan írd le, de nem mondhatnám, h érdekelni fog, szóval spórolnék neked pár percet :) egyébként meg a mondandóm lényege tökre nem az a bekezdés volt, mindegy.

ZX 2017.07.27. 15:50:34

@Szaktanár: Legutóbb pont a google írt ki pályázatot, nem nagyon emlékszem, hogy regisztrációhoz kötötte volna a dolgot.
Egy tanulsága viszont van a dolognak. ezek után aki ért egy kicsit is hogy lehet megkerülni egy rendszert szarik majd szólni bárkinek is, inkább jól a maga hasznára fordítja a dolgot. Legalábbis kis hazánkban.

hmikey 2017.07.27. 15:51:28

@Szaktanár: Van olyan is, azok a Certified Ethical Hacker-ek, amiről te beszélsz. De azért a cégek (cégvezetők, v. funkcionáriusok) nem annyira pökhendi f@szkalapok, mint idehaza, és általában beismerik, hogy elszúrtak valamit (legalábbis lenyakazzák, aki ilyen szinten szart gyártott), és olyankor nem kezdik el meghurcolni a rossz hír hozóját ész nélkül (természetesen ha bebizonyosodik, hogy kárt okozott, akkor igen, de az más tészta). Itt az egészben az a gusztustalan, hogy egyáltalán nem mutatnak megbánást, hanem azonnal azt verik pofán, aki alapvetően nem akart rosszat.

Péter 2 2017.07.27. 15:56:12

@Szaktanár: Nem fogom, mert minek. Inkább ezt írom le, mert ez a lényeg:

Van itt egy a kormányzathoz ezer szállal kötődő cég (lásd például kormányzati telefonkommunikáció), akik mindenféle versenyhelyzet nélkül, kijelöléssel megkaptak egy feladatot. Egy dolog szól csak a javukra, hogy szokásosan ostoba politikai döntéssel elképesztően rövid határidőre lőcsölték rájuk, mert odafenn valaki hülyének eszébe jutott, hogy legyen meg a vb-re, akkor is, ha csak három hónap van rá. És letettek az asztalra egy olyan szemetet, mert erre más szó nincsen, amiben mostanra négy vagy öt *ordas* biztonsági hibát fedeztek fel, közte többezres nagyságrendű adatlopást, szintén röhejes adatkezelésnek köszönhetően.

Ebben az egészben a 18 éves csak egy apró színfolt. Az egész együtt számít, és ez egészen elkeserítő. Egyébként, a T-nek nem ez az első botránya, emlékszünk még a Bubira is.

Szaktanár 2017.07.27. 15:56:58

@ZX: én nem állítom, h mindig, minden esetben regisztrálni kell, de azért az a trend, h vmilyen módon jelezned kell, h versenyben vagy. ez az én tapasztalatom, és nem az indexről szedtem össze.

@hmikey: nem csak a certified-ok csinálják így, hanem úgy általában az iparágban dolgozók. nekem pl computer science diplomám van, de nincs certifikációm (mi a magyar szó erre? biztos nem ez:) ).
amúgy meg félreértés ne essék, én itt az ördög ügyvédje vagyok. nem azt mondom,h a bkk/t-systems JÓL járt volna el, mert hát nagyon nem. arra próbálok rávilágítani, h azzal ellentétben, amit az index sulykol, a srác sem járt el helyesen (egyik sem). a szóhasználatukban mind az "etikus", mind a "hacker" téves.

Szaktanár 2017.07.27. 15:58:13

@Péter 2: ennek a kommentnek a teljes részével egyet tudok érteni, nem is kérdőjeleztem meg a korábbiakban sem, h ez így lenne, egyik hsz-omban sem.

marczy 2017.07.27. 16:00:43

Mivel informatikusként végeztem, nagyon rövid és velős véleményem van erről a cikkről.
Az informatikai rendszer nem olyan, mint egy kerítés vagy egy autó ajtaja, sokkal-sokkal bonyolultabb, összetettebb, és mindig komoly tesztelést igényel, hogy biztonságos-e.

A szoftverfejlesztésben alapkövetelmény, hogy a tesztelést a fejlesztőktől független csoport végezze, mert kideríthetnek olyan kritikus hibát, amire a fejlesztők esetleg nem gondoltak.

Létezik például olyan, hogy stressz-tesztelés, ami nagy mennyiségű adat egyszerre, akár több helyről történő lekérését foglalja magában, így tesztelik a rendszer teherbíró-képességét. Összeköthető mérésekkel, miegyébbel, kideríthető, hogy a rendszer mely része terhelődik túl, és hogy az üzemszerű működés ezáltal mikor kerülhet veszélybe.
Egy adatbiztonsági tesztelésnél gyakran szimulálnak támadást, behatolást, a túlterheléses (ún. DOS [Denial of Service], DDOS) támadásokat pl. az említett stressz-teszteléssel lehet szimulálni. A behatolás elleni védelemnél pedig ha valaki jogosulatlanul bejut, nem mindegy, mennyi ideig tud rendszergazdai jogokkal garázdálkodni a rendszerben, ill. a valódi rendszergazdának milyen eszközök állnak rendelkezésére a behatoló kidobására, az esetleg megváltoztatott adatok helyreállítására.

Az ilyen és hasonló támadások elleni védelem az emberi mulasztások miatt szinte soha nem teljes, az információs rendszerek egyszerűen túl bonyolultak ahhoz, hogy egy vagy néhány fejlesztő teljesen átlássa a rendszer és az adatok biztonságával kapcsolatos összes sebezhetőséget. Ekkor jön be az (adott esetben adatbiztonságra szakosodott) tesztelő. De még ezek után is van egy fázis, amikor a teljes rendszer tesztüzemben működik, és már éles adatok kerülnek bele. Ezt szokták bétatesztnek hívni. Ekkor gyakran csinálják azt, hogy a tesztet jogilag megfelelően körülbástyázva nyilvánossá teszik, a teszt idejére külön adatkezelési szabályzattal, ami a tesztben résztvevők adatai szempontjából többet enged meg. Ekkor a rendszer esetleges hibás működését a felhasználók jelzik, de ha probléma van, azt még büntető- és egyéb jogi ejnye-bejnyék nélkül javítják a fejlesztők.

Vélhetően ezeken a tesztelési fázisokon spóroltak, ami egy a BKK-éval összemérhető bonyolultságú rendszer esetén FŐBENJÁRÓ BŰN. A magyar közbeszerzési törvény csak az olcsójánosoknak és a kóklereknek kedvez sajnos, nincs ebben semmi csoda, ha mindig csak a legolcsóbb ajánlat nyerhet. Az állam bácsinál nem ülnek ott a szakmában kellően jártas emberkék, akik tisztában lennének azzal, hogy mivel jár egy BKK-szerű rendszer kifejlesztése és szakavatott tesztelése.

Amikor élesedik a rendszer, akkor már elvben durva adatbiztonsági rések nem lehetnének benne. A másik alapszabály viszont: EGY SZOFTVER SOSINCS KÉSZEN. Lehetnek benne továbbra is kisebb-nagyobb hibák, felmerülhetnek új felhasználói igények. Ezért a hibajelző csatornát továbbra is nyitva kell tartani.

A másik része a dolognak az, hogy ha ez a hiba egy ilyen bonyolult rendszernél nem derülhet ki, akkor legközelebb a valódi, rossz szándékú hacker fogja ellopni az adatokat. Tehát itt nem egy egyszerű kerítésről van szó, amin idegen jó szándékkal ritkán jut át, hanem egy hosszas és alapos tesztelést kívánó "berlini fal"-ról, ami az érzékeny adatokat hivatott védeni. A külső "hacker" fényt deríthet a bonyolult rendszernek a fejlesztők és a belső tesztelők rostáján átcsúszott hibáira is, ezért mindaddig, amíg a hacker minden információt megoszt arról, hogyan jutott be, és ha adatokat módosított (ami a hiba teljes feltárásához szükséges lehet!), akkor azok teljes visszaállításában közreműködik, nem etikus őt megbüntetni. Büntetni csak akkor kell, ha az adatokhoz való jogosulatlan hozzáférés ideje vagy volumene a hiba feltárásához elengedhetetlenül szükséges mértéket jelentősen túllépte, vagy ha az adatok a beavatkozást követően ésszerű idő alatt nem állíthatók helyre, azaz adatvesztés következik be.

Péter 2 2017.07.27. 16:01:59

@Szaktanár: A későbbi fiatal, az másik eset. A 18 évesben tévedsz. Ő teljesen korrektül járt el, pont, ahogy kell (oké, a levélben, amit írt, kicsit túlhencegte magát, de gyerek még), abban semmi hiba nem volt.

A sajtó meg sosem tudja, mi az a hacker, ez nem újdonság, és a legkevésbé sem Index- (vagy ellenzék-)specifikus, tehát kár ezzel egyoldalúan érvelned (egyébként nekem is csak ez volt a szándékom azzal a megjegyzéssel, az általános politikai véleményed nem érdekes, ha nem értünk egyet, hát nem értünk egyet, nyilván lényegtelen).

incognito ergo sum 2017.07.27. 16:03:21

Érdekes a poszt, de szerintem a szerző is tudja, hogy hol és miért sántít a párhuzam. Hadd ne magyarázzam.

Viiszont a porbléma, amit felvet, az teljesen valid. Amerikában pl addig koptatták a kijáróemberek a kormányhivatalnokok és szenátorok előszobáját, természetesen mindenki jó ügyet akart előmozdítani, hogy végül szabályozták: az érdekkijárónak hangosan ki kelll mondania, hogy kinek az érdekeit képviseli. és akkor győzködhet. ha kiderül, hogy nem mond igazat, az már bűncselekmény..

szóval szerintem a fehér hackerek ügyét is szabályozni kell. akinek lesz fehér hekker igazolványa, az tesztelhet és a hibákért pénzt kap. nem keveset, mondjuk a potenciális kár százalékában kifejezve.

Bobby Newmark 2017.07.27. 16:04:06

@Szaktanár: "de ha a backend validáció hiányzik/rossz, és nem fogja meg a POST-ot, hanem hagyja végigmenni, akkor az a rendszerbe való betörésnek számít."

Már miért is? Miért is nem rendeltetésszerű használat?

wega 2017.07.27. 16:05:05

@hümhüm:

Szerintem meg ön nem sokat ért sem az informatikához, sem a joghoz (és talán máshoz sem, de ez most nem ide tartozik)

"de jogilag mégiscsak lopott. Ugyanis 50 forintot fizetett egy több, mint 10000 Ft-os értékű áruért, a bérletért. "

A fiatal ember sem jogilag, sem morálisan NEM LOPOTT sem 10000 ft-ot, sem bérletet. Mert, amit kapott 50 HUF ellenében, azt NEM HASZNÁLTA fel, meg sem próbálta, sőt "visszaadta" hiszen azonnal jelezte a kibocsátónak, hogy hogyan jutott hozzá.
Ha már jogászkodunk-moralizálunk ész nélkül.

Vannak itt még "gyöngyszemek":
" Nyilván zöldfülű kora akadályozta abban, hogy felismerje, hogy ezt nem szabad."
Pontosan tudta, hogy mit csinál, ugyanakkor ez egyáltalán nem mondható el a másik félről (BKK, T-...), ám ez egy megfelelően szervilis nézőpontból nyilván nem látszik.

A következő:
", így a srác pénzügyileg hiányt okozott azzal, hogy csak 50 Ft-ot fizetett. "
Még egyszer, "visszaadta", amit kapott 50 forintért. A BKK visszaadta az 50 forintot?
Ki tartozik kinek?

És jöjjön az a "korona". (az ostobaságé)
" Ha akkor abbahagyta volna a vásárlás folyamatát, amikor rájött, hogy a vásárlási összeget át lehet írni, és nem viszi végig a folyamatot, akkor nem követ el semmiféle károsítást, és nyugodtan szólhatott volna a BKK-nak, hogy szar az egész."

Ugye? Így, szövegkörnyezetből kiemelve jobban látszik mekkora baromság is ez. De szívesen segítek, megmagyarázom:
Az, hogy egy érték átírható egy adatbeviteli form-on, önmagában még nem jelent hibát, nem "szar".
Az a hiba, ha ezt adatot a rendszer a tranzakció befejezéséig sehol nem ellenőrzi és a hibás adattal lezárja a tranzakciót.

Tudom, ez az egész nagyon bonyolult, de a nagyívű okoskodások előtt érdemes lenne gondolkodni. Csak egy kicsit.

Szaktanár 2017.07.27. 16:06:49

@Péter 2: nem azt mondom, h a 18 éves nem járt el korrekten, hanem azt, h jogilag (gyanítom) támadható, amit tett, és ezért (ismét csak jogilag) nem nevezhető etikus hacker-nek (hackernek semmi esetre sem).
látom nagyon izgat téged ez a politikai dolog :) öntsünk tiszta vizet a pohárba, hátha így érhetőbb vagyok: 6 éve nem élek mo-n, és már legalább dupla ennyi ideje leszarom az ott folyó politikát, jobbról, balról. pont azért nem élek ott (többek közt), mert nem tetszett, amit mutatni tudtak, egyik sem. hát ennyi.

Szaktanár 2017.07.27. 16:10:21

@Bobby Newmark: azért nem rendeltetésszerű, mert a rendszernek nem az a rendeltetése, h lehessen alkudozni az árban. az, h a fejlesztők olyan egyszerűek, h ezt nem implementálták le a php-ben (vagy amit használtak), nem azt jelenti, h ettől a rendszer rendeltetésszerű használata az lesz, h bármennyit beírhatsz, hanem azt, h a devek nem értenek ahhoz, amit csinálnak.

hmikey 2017.07.27. 16:21:30

@marczy: Ez mind korrekt, csak hogy a T-Systems-től azért kicsit többet várna az ember, mint az egyik ismert (és vezető) piaci szereplő, közbeszerzés ide vagy oda :)

Bobby Newmark 2017.07.27. 16:22:37

@Szaktanár: Azt értem, hogy szándék szerint nem rendeltetésszerű, de technikailag az. Hogyan számíthat egy rosszul összerakott rendszer mezítlábas használata a "rendszerbe való betörésnek"?

Netuddki. 2017.07.27. 16:24:59

@marczy: "A magyar közbeszerzési törvény csak az olcsójánosoknak és a kóklereknek kedvez sajnos, nincs ebben semmi csoda, ha mindig csak a legolcsóbb ajánlat nyerhet."

Tévedés! Általában a legdrágább ajánlat nyer. Csak valóban, a kókler csókosok elrakják a pénz nagy részét, és nem a feladatra fordítják.

Szaktanár 2017.07.27. 16:29:19

@Bobby Newmark: "Azt értem, hogy szándék szerint nem rendeltetésszerű, de technikailag az."

értem, tehát ha én megszerzem az e-mail jelszavadat, és belépek vele a postafiókodba, akkor az rendeltetésszerű lesz, hiszen technikailag nem akadályoz meg benne semmi, nem?
érted, a "rendeltetésszerű" használat az nem csupán azt jelenti, h amire technikailag van lehetőség, azt tegyük meg.
a rendszer pedig szar, ezt egy pillanatig sem kérdőjeleztem meg egyik hsz-omban sem, ha megnézed. ettől függetlenül az illetéktelen adatokhoz való hozzájutás betörésnek számít, aztán majd utána lehet vitatkozni azon, h ez azért történt-e, mert Pistike kipróbálta, vajon van-e backend validáció (és döbbenet, de nem volt), vagy azért mert az Anonymus kitartó próbálkozás után áttört a szerveren.

Péter 2 2017.07.27. 16:30:58

@Szaktanár: a T és a BKK érvelése sántít a 18 éves ügyében. A T-nek az a szövege, hogy de hát nem nekik szólt, az nyilvánvaló blődli: nekem, mint vevőnek, aki a BKK felületén a BKK rendszerét használom, nem kötelességem tudni, hogy kivel csináltatták. A BKK nem adta tovább az infót, az az ő saruk.

Még azt sem mondom egyébként, hogy baj van azzal, ha az első jelre azonnal intézkednek hatóságilag (ámbár ez azért technikailag nem túl fontos lépés, a rendszergazda kezében van a lehetőség, hogy a betörés minden körülményét dokumentálja, megőrizze az erre vonatkozó információkat, naplókat, bizonyítékokat, ebben egy rendőrségi feljelentés semmit nem tud segíteni). De az, hogy amikor az egésznek a körülményei kiderültek, akkor nem az volt a *legelső*, hogy feljelentést visszavonni, látványosan meghátrálni, hanem sajtóban, cégen belül, mindenhol vinni azt az azonnal hazugságként megbukott vonalat, hogy nem is szólt, nem is jó helyre szólt, satöbbi, ez a megbocsáthatatlan része az egésznek.

ben2 2017.07.27. 16:36:18

@marczy:

Tudtommal egyik ügyben sem született még csak vádemelés sem, a hisztikampány a nyomozás miatt indult be, ami nevetséges, mert pont a nyomozás folyamán lehet megnyugtatóan feltárni, hogy a hackelés jószándékú volt-e.
Az, hogy az elkövető maga jelentkezett a cégnél még nem mentesíti az _eljárás_ alól, ezt elmondták a BKV-nál is, hogy ilyen esetekben az alvállalkozónak nincs mérlegelési lehetősége, meg kell tennie a feljelentést, a rendőrségnek meg le kell folytatnia az eljárást.
Akkortól lehetne hirigelni, ha a srácot annak ellenére elmarasztalnák, hogy az eljárás során egyértelműen bizonyítást nyerne a jószándék, de jelenleg magát az ejárás lefolytatását kritizálják, ami - bár kétségtelenül kellemetlen - nem egyenlő a büntetéssel.
Egyébként pont az ilyen kellemetlenségek elkerülésére kérnek a cégek előzetes regisztrációt a hackerektől, mert úgy egyszerűbb bizonyítani a jószándékot és a hacker is jobban védve van a jogi következményektől.

Netuddki. 2017.07.27. 16:36:53

@Szaktanár: Amiket itt összehordasz, a szerint fölösleges lenne mindenféle validálásokat berakni a programokba, mert a usereknek úgyis tilos fasságokat csinálni, ezért nem is csinálnak.

Másrészt amiket itt előadsz, mintha a T-Akony mundér becsületét akarnád védeni és erősködsz, hogy a srác csinált valami húderossz dolgot. Ha követed a fejleményeket, akkor sajna az élet azokat igazolta akik nem értenek az álláspontoddal egyet. Miért erősködsz mégis a fasságod mellett?

Péter 2 2017.07.27. 16:39:18

@ben2: Dehogy nincs mérlegelési lehetősége, ne beszéljünk már hülyeségeket, már hogyne lenne. A T is arra hivatkozott, hogy jajj, van egy belső szabályzatuk, ami szerint muszáj volt. A belső szabályzat nem törvény, ha rossz, meg kell változtatni, de *van* mérlegelési lehetőség.

Szaktanár 2017.07.27. 16:40:23

@Péter 2: kicsit úgy érzem, h körbe-körbe futunk, egy ehhez hasonló véleményedre már jeleztem, h egyetértek vele, most sincs ez másként - de újra, hol kérdőjeleztem én ezt meg? nekem az elejétől fogva azzal van problémám, ahogy ez az ügy tálalva van a "hacker"-ek szemszögéből; mintegy felmagasztalva, az erkölcs bajnokainak beállítva őket, akik küzdenek a gonosz/rendszer multik ellen, miközben hát, a "hacker"-ségük igencsak kérdőjelesen állítható (legalábbis a 18 éves srácé, a másik történetet csak felületesen futottam át), az etikusságuk pedig vitatható (a 18 éves srácé talán kevésbé a szó mindennapi értelmében, de a jog szerint semmiképp nem számít etikusnak ő sem).

Szaktanár 2017.07.27. 16:41:50

@Netuddki.: úgy rémlik, neked már volt egy válaszom a napokban a témában, ugye? ha jól emlékszem, ott is említettem, h amíg nem sikerül a stílusodon változtatni addig ne nagyon csodálkozz, ha nem foglalkozok veled, ugye? na, hát ha jól látom, még nem sikerült, szóval bocsi, de hello.

Péter 2 2017.07.27. 16:44:09

@Szaktanár: Hát, csak éppen ennyiben. Hogy szerintem a 18 éves megérdemli. Az sajtótévedés, hogy hackernek nevezik, ez kétségtelen, de ő bizony itt valóban a pozitív szereplő, a T/BKK a negatív, és megérdemli a nyilvánosságot. Meg az állásajánlatokat is előre, amit nyilván meg fog kapni, ha elvégzi az egyetemet... :-)

Netuddki. 2017.07.27. 16:44:20

@Szaktanár: Attól, hogy nem válaszolsz, még a nagy semmit hajtod, és növeled az értelmetlen hozzászólások számát.

Netuddki. 2017.07.27. 16:48:07

@Péter 2: Nagyon messze van a magyarországi helyzet a nyugaton kialakulttól. Itt a T-Akony azt hiszi, hogy mindent megtehet az ügyfelekkel. Csak azért mert agyba-főbe kartellezhetnek, és hülyének nézhetik az amúgy elmaradott érdekérvényesítő képességgel rendelkező magyarokat.
Régebben nekem is volt velük egy vitás ügyem, ott is játszották a felsőbbrendűt. Aztán mégis megbaszta a felögyelet őket félmillára, mert nem válaszoltak időben.

Semper Fidelis 2017.07.27. 16:51:13

A 10 millió vörösiszap és a 10 millió atomerőmű szakértő után a 10 millió IT szakember országa lettünk. Éljen!

Szaktanár 2017.07.27. 16:51:27

@Péter 2: nézd, ahogy én látom, ez az ügy már kellőképpen fel van fújva ahhoz, h a 18 éves srácot nemzeti hőssé koronázzák a duna jegén és rögtön bejelentkezzen érte vmelyik egyetem infokara (ami azért mégiscsak elég nevetséges honorárium egy url átírásáért), de hát mo-n így mennek a dolgok, szóval az ő sorsáért nagyon nem kell aggódni. what's the moral of the story? több is van:
1. mo-n még mindig az a tender fog nyerni, ahol a legtöbbet lehet lopni. hozzáértés mellékes.
2. a média ereje még mindig elég nagy ahhoz, h karaktergyilkoljon/hőssé emeljen vkit.
3. ennyi idő alatt, amíg ezt itt fejtegettük, már régen betörhettünk volna vmi értelmesebb adatbázisba és eladhattuk volna az infot a ruszkiknak :)

fancy27 2017.07.27. 16:52:21

Miért mondjátok, hogy a srác nem hacker? Van erre egy egzakt definíció, aminek nem felel meg?

Bobby Newmark 2017.07.27. 16:53:05

@Szaktanár: Igen, ha megszerzed az email jelszavam, és belépsz vele a fiókomba, akkor az nem "feltörés" szerintem. De egyébként nem sok köze van a tárgyalt témához, mert ott nem illetéktelen hozzáférés van, hanem egy program, ami szarul működik. Semmiféle rendszerhez hozzáférés nem történt, a program volt szarul megírva.

Mondok árnyalatnyival különböző, fiktív példát. Szerintem jellegében ez közelebb van a témához:
Ott a webshop, klikkelheted + - gombokkal, hogy hány jegyet szeretnél. Aztán a program elfelejti felszorozni az egységárat a darabszámmal. Rányomsz, hogy kérsz 10000 jegyet, egy áráért, és megkapod.
Ez is a rendszer "feltörése" lenne szerinted?

Péter 2 2017.07.27. 16:55:38

@Szaktanár: "a média ereje még mindig elég nagy ahhoz, h karaktergyilkoljon/hőssé emeljen vkit."

Akkor már csak azt mondd meg nekem, hogy 1. miért úgy írod, hogy Magyarországon? Hol nem? 2. miért úgy írod, hogy még? Egyre inkább.

Szaktanár 2017.07.27. 16:56:32

@Bobby Newmark: nem tudom, h a "jogosulatlan előnyszerzés" (vagy vmi ehhez hasonló) jogi definíció megáll-e erre (nem vagyok jogász), de ha van, akkor ez az eset sztem inkább az lenne. mondjuk ebben az esetben nem írogattál át semmit konzolban/urlben, csak volt egy szar kódod, nem kellett próbálgatnod, h mi lesz, csak egy grafikus felületet használtál, szóval sztem egy picit sántít a példa.

Tele_Maus Nonprofit Consulting · www.tele-maus.hu 2017.07.27. 16:58:00

Kedves "csakegykisember" nevű poszt-toló Kolléga!

Érdekes volt az esetismertetés és köszönöm. Ezt. Azonban én nem látom, mi az ok-okozati összefüggés a taglalt eset és a jelenlegi szituáció között.

Sem a Telekomos, de a BKK-s ügyben nem az történt, hogy valaki lopni szeretett volna, aztán ezt eltussolandó hazudott egy hatalmasat, de életszerűt, majd kiderült róla mindez és a köznek az ő véleménye nem kívánta megemészteni a "tényeket".

A Telekomos ügy egyébként sem jó ide, mert szerintem egyikhez sem?: sem BKK-s, sem az Általad felhozott esetismertetésedhez sem feleltethető meg. (Hadd jegyezzem meg: a jóhiszemű embert egyébként jól láthatóan lépre csalta a Telekom meglehetősen dörzsölt biztonsági szolgálata, ezért inkább ő is el kellett volna menjen a NAIH-hoz és az ORFK-ra előbb, aztán, esetleg, leülni tárgyalni a Telekommal...)

Ugyanígy nem áll fenn szerintem a bankos hasonlat sem (ezt alább idézem).

Egyfelől a bankba ha téged a biztonsági őr agyonverne, ha üvöltve olvasná fel a neved, az összes személyes adataid az alkalmazott (sőt, a biztonság kedvvért még az utcán egy gangszórón is lehetne mindezt hallani), ha a pénzedért a számládról hamis pénzt adnának, akkor ott nem banki üzletmenetről volna szó, hanem maffiáról.

Másrészt megint más egy újonnan nyílt bank és annak biztonsági rendszere.

Harmadrészt épp az a lényeg, hogy az anyagi, dologi eszköz elleni támadásokat és a "virtuális rendszerek" elleni vélt (!) támadásokat nem lehet azonos jogelveken felcímkézni és így büntetni rendelni sem.

A BKK-s ügyben példának szoktam felhozni - hiba is volt, hogy nem így tett a srác! -, hogy az 50 Ft helyett 49.999 forintot, az általános kártyás vásárlási limit alatti, de a bérlet cca. 10.000 forint ára feletti összegre kellett volna átírnia a "címsort" és abban a pillanatban elvileg dől meg a csalás és annak minden jogi következményének a pillére, mert nemhogy nem történik meg még a vélelem szintjén sem a jogosulatlan haszon megszerzése, de egyenesen bizonyította volna, hogy a BKK - nem feltétlenül a Fogyasztó beavatkozása miatt! - akár a rendes jegy- vagy bérletárnál többet is fizethetett (volna) és akár ez ki sem derült volna a BKK-nál (ezért is tettem meg közérdekű bejelentésem pl. a fogyasztó megtévesztése témakörre is utalva).

Összefoglalva: a nem támadást jelentő (nem annak szánt, és ez utólag bizonyosodik be!) szakmai vagy félszakmai próbálkozások az elektronikus adatkezelésbe és pénzkezelésbe vetett fogyasztói bizalom egyik sarokköve kellene legyen, hiszen nagyon jól l ehet tudni, hogy nem indulhatunk ki a banki példából más vállalkozások esetében, mert pl. amíg a bankokat (pénzügyi tevékenységet végző vállalkozásokat) rendkívül szigorú ágazati, szakmai (jogi) szabályok kötik, addig általában a kereskedő vállalkozásokat pedig elég szegényes (lényegében az Fgytv. és Infotv., telekomos cégekre az Eht. és az NMHH rendeletek, amik ebben a tekintetben mára siralmasak!) jogi kötelezettség tereli a Fogyasztó(k) adatainak és biztonságának tényleges védelme felé.

A Telekomos példához még egy szakmai adalék: jelenleg az ország vezetékes-telefonnal ellátott háztartásában legalább 25%-nyi előfizető estében a hálózat fizikai zártsága nem valósul meg (a telefonvonal megfigyelhető, azon hívások az előfizető lakásán/ingatlanán kívül is idegenek által és különösebb erőfeszítések nélkül intézhetőek), s noha ezt a Telekom is nagyon jól tudja, mégsem tesz ellene semmit, így ha valakinek egy ilyen csöngő vezetéken "megy be a lakásába a telefonvonal" és hív' 1000 db emelt díjas (EDSZ) SMS-t, majd megreklamálja és elviszi az NMHH-ig az ügyet, cca. milliós kárt tud okozni a Telekomnak (jóváírás) és még csak fel sem jelenthető ezért (és etikailag sem nagyon tudom támadni).

Szeretettel:
Maus Robi
tele-maus dot hu

"Nem vagyok szakember, de egy valamit tényleg nem értek. Miért elfogadott az, hogy ha valaki feltör egy informatikai rendszert és utólag szól róla, akkor ez rendben van, míg senki nem támogatja az etikus bankrablót, aki csak azért tör be egy pénzintézetbe, hogy megnézze biztonságban van-e az emberek pénze? A banknak nem azért van biztonsági rendszere, hogy azt mindenki megpróbálhassa kijátszani, hanem, hogy a bűnözőknek megnehezítse a dolgát és aki ezzel próbálkozik, az szándéktól függetlenül bűncselekményt követ el. Miért kellene köszönetet mondanom annak, aki berúgja a házam kerítését azt bizonyítandó, hogy az nem áthatolhatatlan? Nem azért tettem oda, hanem, hogy megmutassam hol a határ. Nekem ez akárhogy is nézzük nem etikus."

Péter 2 2017.07.27. 16:58:04

@fancy27: nagyjából igen, van, bár a sajtó még soha nem használta megfelelően. Ott kezdődik, hogy a hacker szó a számítástechnikában egyáltalán nem automatikusan negatív fogalom, és egyáltalán nem csak a biztonsági kérdésekre korlátozódik.

Szaktanár 2017.07.27. 16:59:51

@Péter 2: azért írtam mo-ont, mert ott történt meg, nem azért, h szűkítsem azon ország számát, ahol (teoretikusan) megtörténhet. sztem amúgy, követve a hazai híreket, a(z ellenzéki) média egyre gyengül.

fancy27 2017.07.27. 17:00:27

Ez a példa nagyon sántít. Én inkább úgy mondanám, hogy rossz. Egyik esetben a program rendeltetésszerűen van használva, a másik esetben "belenyúltak" a működésébe. Egy POST requestbe belebabrálás az azért nem rendeltetésszerű használat, lássuk be.

fancy27 2017.07.27. 17:03:24

@Péter 2: A kérdésem az volt, hogy miért mondjátok, hogy nem hackelés, amit csinált.

Péter 2 2017.07.27. 17:05:21

@fancy27: Ja. Nagyjából azért, mert a szokásos mai köznyelvi használat szerint ahhoz valami feltörés, behatolás, illetéktelen bejutás kell, itt meg semmi ilyesmi nem történt. Írtam a legelső hsz-ben, a bérletrendszer gyakorlatilag a felhasználó (avagy annak böngészője, technikailag ez mindegy, ugyanaz) kezébe tette, hogy megmondja, mennyiért óhajt bérletet vásárolni. A srác csak ezzel élt. Semmit nem tört fel, semmibe nem hatolt be.

Péter 2 2017.07.27. 17:06:18

@fancy27: Vagy ha akarod, másképpen is lehet fogalmazni: annyira bárgyú volt a rendszer, hogy még meg sem kellett hackelni.

hmikey 2017.07.27. 17:12:03

@Bobby Newmark: Attól függ, hackelésnek számít az is, amikor telefonon kicsalsz egy user/pass kombinációt. Ez a social hacking. Ha így szerzel meg egy email fiókhoz való hozzáférést, akkor igencsak nem vagy etikus, hanem bűnöző, főleg, ha visszaélsz a tartalmával, vagy neadjisten az az account máshoz is hozzáférést ad a domainen belül.

bgp 2017.07.27. 17:13:25

@roooger: pontosabban, beszólt az ablakon, hogy lehet-e 50 forintért is jegyet venni. Lehetett. Ezután szólt a tulajnak, hogy az eladó biztos napszúrást kapott, ha ennyire agyhalott. A tulaj, meg ahelyett, hogy az eladója körmére nézett volna, szólt a rendőröknek, hogy ez a huligán rárúgta az ajtót az eladóra és késsel rávette az olcsóbb jegy eladására. Akik itt vétkeztek azok
1. eladó
2. tulaj

fancy27 2017.07.27. 17:16:09

@Péter 2: Többféle definíciója létezik a hackelésnek, ami alapján amit a srác csinált, bizony hackelés. Akkor nem lenne az, ha csak a UI-t nyomogatná, és az input mezőkbe is csak odavaló dolgokat írna.

nem várt fordulat 2017.07.27. 17:16:32

@fancy27: Egy POST requestet átírni még nem hackerség.

Más kérdés, hogy el tudom képzelni azt a kódot ami ott lehet, gondolom full spagetti kód globálokkal.

A T óriásit hibázott, ha ilyen szemét kódjuk van, hogy nincs szerver oldali validáció, de a srác tette semmiképp sem volt etikus. Akkor lett volna az, ha ír egy levelet a BKK-nak, hogy én most ezt ki fogom próbálni, szeretnék engedélyt kérni erre.

De még ha így is történt, ahogyan történt, akkor sem rakom fel a facebookra.

Nem az történt, hogy az alkalmazáson belül kattintgatott párat, és így jött rá a hibára. Ez esetben semmit nem követett volna el.

Bobby Newmark 2017.07.27. 17:18:44

@Szaktanár: Nem látom a lényegi különbséget az UIn keresztül meg a szervernek elküldött adatot módosítva történő rendszerhasználat közt. Az UI csak segít a júzernek adatot küldeni a szerverre, de nem szükséges eleme a folyamatnak.

bgp 2017.07.27. 17:19:44

Egyébként, amig egy "hacker" csak a tulajdonost figyelmezteti egy hibára és nem befolyásolja a rendszer működését (és persze nem szerez előnyt), addig etikusnak tekinteném. Ha nem igy lenne, senkinek nem állna érdekében "etikusan" viselkedni, és az eredmény az lenne, hogy az agyhalott tulajok sose jönnének rá, hogy rossz a rendszerük. Viszont, a felhasználóiknak tetemes kárt tudnak okozni ezzel (rosszul kezelt személyes adatok). Tehát, még ha a saját érdekeiket nem is nézik, ilyen esetekben nagyon durva büntetést kellene kiszabni rájuk. Ezután már talán meggondolnák, hogy mi az etikus.

Szaktanár 2017.07.27. 17:24:20

@Bobby Newmark: pedig azért igencsak van különbség a kettő között, mindketten nagyon jól tudjuk (én legalábbis :D), h a címsor használata milliószor több dologra képes, mint az általad felvázolt gui-é, ahol a +/- gombok nyomkodásával lehet beállítani a kért jegyek számát.

fancy27 2017.07.27. 17:24:49

@bgp: Nagyon rossz példa. Nem alkudozásról volt itt szó. Hanem a pultnál kért egy portékát 10e Ft-ért, kapott egy cetlit az árral, hogy ezzel fáradjon a pénztárhoz. Ő pedig útban a pénztárhoz átírta a cetlin a számot 50 Ft-ra, a pénztáros meg a hamis cetlire kiadta neki a portékát. Amit ő aztán visszaadott.

fancy27 2017.07.27. 17:26:36

@Bobby Newmark: Pedig pont itt van a lényegi különbség. Egyik esetben beleavatkozol a program normál működésébe, a másik esetben nem.

Szaktanár 2017.07.27. 17:30:03

@bgp: ez tökjó, csak sajnos nem megvalósítható a következő forgatókönyv miatt:

- hello, Etikus János vagyok és találtam egy rést az app-ban.
- hello János, mit találtál?
- van admin pass-om as SQL-etekhez. látom az összes táblát.
- hú, az nagy baj, mennyiért mondanád meg, h jutottál be?
- tízmillióért.
- annyiért inkább megpróbálunk mi rájönni, János.
- ahogy érzitek. akkor megy a ruszkiknak. pá!

remélem így már világos, miért előre kell előre egyeztetni az alkalmazás tulajdonosával...

Bobby Newmark 2017.07.27. 17:35:40

@nem várt fordulat: "én most ezt ki fogom próbálni, szeretnék engedélyt kérni erre"

Mehehe. Roppant életszerű, valóban. Erre a T közli, hogy na tűnj a gennybe buzikám, nem próbálgatsz te semmit se. Ahogy azt szokta. Aztán baszik rá, hogy van egy ilyen hiba.
Legközelebb meg akkor van szó az egészről, amikor valakinél megjelennek a zugsebészek, mert egy hekker a BKKtól ellopott személyes adataival eladta a veséjét a neten.

Szaktanár 2017.07.27. 17:37:14

@Bobby Newmark: lehet, h így lenne, de a t-systems rossz hozzáállása nem azt jelenti, h akkor neki lehet esni a cuccnak engedély nélkül. semmi esetre sem jelenti ezt.

fancy27 2017.07.27. 17:38:08

@bgp: Jah, és a példámnál maradva, hogy miért adta vissza a portékát? Lehet, mert tényleg csak kíváncsi volt, hogy elfogadja-e a pénztáros az átírt cetlit, de lehet, hogy csak a lelkiismerete támadt fel, vagy esetleg észrevette a kamerát a bejárat fölött és rájött, hogy úgyis elkapják, és inkább nem kockáztat :-)

ben2 2017.07.27. 17:39:20

@Péter 2:

Ha a T és a BKV közötti szerződésben benne van, hogy támadás esetén a T-nek feljelentést kell tennie, akkor a T-nek nincs mérlegelési lehetősége, hogy a támadás jószándékú volt-e. Nagyon helyesen, teszem hozzá.
Az eljárás során már lehet mérlegelni, hogy a BKV vagy a T milyen követelésekkel lép fel a támadóval szemben, akár meg is jutalmazhatja, ahogy a rendőrség is ejtheti az ügyet a jószándékot látva és károkozás híján, de attól még az eljárást a rendőrségnek le kell folytatnia pont azért, hogy kiderüljön, hogy történt-e károkozás és rosszindulatú volt-e a támadás.

Ezt megérthetné az index is, ha nem akarnák görcsösen mindenre ráhúzni, hogy rendőrállam van, de hát eleve arra megy ki az egész politikai újságírás (mindkét oldalon), hogy csak akkor van valaminek hírértéke, ha tartalmaz "terhelőt".

Szaktanár 2017.07.27. 17:40:51

@ben2: pontosan így van.

Bobby Newmark 2017.07.27. 17:50:48

@Szaktanár: Na de pont ez az, hogy ott a címsor is. Nem avatkoztam bele a program működésébe, mert az szerver oldalon fut. Hát vagy ennyi erővel a program rendeltetésszerű használata is beavatkozás a működésébe, mert hát adatot kért, én meg adok neki, az beavatkozás.

Na mindegy, ez tényleg parttalan így, hagyjuk.

hmikey 2017.07.27. 17:51:21

@Szaktanár: Szerintem ez inkább a következőképpen zajlott:

- Hello, Etikus János vagyok, és találtam egy rést a pajzson.
- Hello János, mit találtál?
- Szereztem admin passt, be tudok kukucskálni mindenhová.
- Hú, gyere be, beszélgessünk.
...
- Itt vagyok, beszélgessünk.
- Ha ilyen ügyes vagy, mi lenne, ha nekünk dolgoznál? Persze nem adhatunk többet, mint egy juniornak, sajnos az életkorod és a végzettséged erre elég, tudod, céges protokoll, meg minden, de hidd el, hamar előre juthatnál.
- Hááát, azért az elég sovány, de mi lenne, ha otthonról segítenék nektek?
- Jó, alszunk rá egyet, találj ki egy összeget, és beszélünk.
...
- Helló, János vagyok, legyen X, ahogy elnézem, a szerződéses IT szakik ennél többet is keresnek.
- Hát János, az túl sok, meg egyébként is, ráállítottunk egy csapatot itt benn, és a managerek azt mondták nekem, hogy elintézik.
...
Ezután kíváncsiságból megnézte, hogy ugyan mennyire sikerült a rést befoltozni. Nem nagyon. Azon lehet vitatkozni, hogy mi a francért ment be mégegyszer, hiszen tuti, hogy onnantól jobban figyeltek, de azért sem a ruszkiknak nem adta el, sem zsarolni nem akart vele senkit.

5perc 2017.07.27. 17:57:26

Őszintén szólva én nem hiszem, hogy a T készítete a programot, mert azt tippelem, hogy van egy jól bejáratott kódkészletük, ami a biztonsági kérdések túlnyomó többségét már zárja. És most nagy gondban lehetnek, hogy el kell dönteniük, hogy inkább azt vállalják be, hogy ők egyébként mindig ócska vackot csinálnak, ezzel nullázva a hitelüket, vagy megmondják az őszintét, hogy az egész szerződésesdi hamis, amiben minden hozzájáruló közpénzt sikkasztott, a melót meg kiadták kispistának, aki most először csinál ilyet. a neki jutó, számára elképzelhetetlenül nagy összegnek tűnő másfél millióért és egyébként büszke, hogy egyedül 3 hónap alatt elkészült.
A német T meg ezt megtudva vakarja a fejét, hogy bezárja-e ezt az egész kirendelt kuplerájt.

Szaktanár 2017.07.27. 17:57:34

@hmikey: ez is egy verzió, de azt persze nem tudhatjuk, h egy átlagos "nincsszerződésemdeetikusvagyokamígmegfizetik" hacker valóban nem adná-e el a ruszkiknak, vagy nem állna-e bele zsarolásba. a jog kiindulópontja az, h de.

hmikey 2017.07.27. 17:59:01

@Szaktanár: Azt én értem, de ha így lett volna, akkor csórikám már rég a dutyiban ülne, ehelyett meg vacakolnak a pendrive-jaival.

Szaktanár 2017.07.27. 17:59:16

@5perc: na jó, de ha a T össze tudta volna ollózni különböző projectekből, mert meg van már a kód nagy rész az elméleted szerint, akkor miért nem tette ezt?

nem várt fordulat 2017.07.27. 17:59:34

@hmikey: Az etikus hacker nem azt jelenti, hogy saját szakállra csak úgy nekiállok hackelgetni mindenfelé, hátha találok egy hibát.

Ennyi erővel mondhatta volna azt is, hogy beírja a userName fieldbe, hogy:

'; DROP TABLE `users`;

Hopp,hát elszállt a user tábla.

- Tisztelt T, találtam egy hibát a rendszerükben, sebezhető sql injection-nel, igaz, hogy a táblájuk elszállt, de biztosan van backup.

hümhüm 2017.07.27. 18:00:37

@wega:" a nagyívű okoskodások előtt érdemes lenne gondolkodni. Csak egy kicsit. "

Egyetértek.
Adok egy telefonszámot:
+36 1 316 7953
Itt biztosan meg tudják igazítani az inged és a zakód közé felvehető ruhadarabot , hogy ne lötyögjön rajtad..

Szaktanár 2017.07.27. 18:01:11

@hmikey: hát, ilyen ez a mo. annak örülj, h csak egy vaskos csekket kapsz, ha bliccelsz a buszon, és nem lőnek agyon a helyszínen inkább. szóval ez a kiindulópont, és mivel ez a kiindulópont, mindenki bűnöző, amíg az ártatlansága be nem bizonyosodik. ejjj, de hiányzik a hely.
ja, mégsem.

Szaktanár 2017.07.27. 18:05:28

@nem várt fordulat: igen :D
elszállt, de hát mondom, csak van már egy foreign key, úgyse engedi dobni...de engedte :D

Bobby Newmark 2017.07.27. 18:08:18

@Szaktanár: De azt érted, hogy lesznek (és nem egy meg kettő) akik neki FOGNAK esni, rossz szándékkal, szándékosan illegálisan?
És hogy ezen a helyzeten végtelenül ront, ha a jószándékúakat akarod megbüntetn ai vaskalapos idióta "a szabály az szabály" hozzáállással?

Bobby Newmark 2017.07.27. 18:10:16

@Szaktanár: A jog kiindulópontja az ártatlanság vélelme. Csaxólok.

Szaktanár 2017.07.27. 18:11:01

@Bobby Newmark: már mennyiben ront? egy black hat-et tökre nem állít meg a trv-i szabályozás. én egyébként épp fordítva látom a helyzetet (és a jogalkotó is): mindenki black hat, akinek nincs engedélye. és nem, nem utólag kell beszerezni, h hello, találtam egy hibát. ez a 18 éves gyerek sara.
az pedig a T sara, h egy ilyen szutyok, utolsó szart kiengedett production-be, amit egy 18 éves gyerek, akinek annyi lehet a tudása, h átír egy paramétert az url-ben, meg tudott reccsenteni.

Szaktanár 2017.07.27. 18:11:40

@Bobby Newmark: az lenne a normális állapot, igen. ezt tapasztalod magad körül? mondjuk ezen eset kapcsán pl?

nem várt fordulat 2017.07.27. 18:17:39

@Bobby Newmark: etikus hackereket pedig felkérni szoktak, csaxólok.

@Szaktanár: nem hiszem, hogy az URL -ben írta át, ha POST request volt.

Bobby Newmark 2017.07.27. 18:18:26

@Szaktanár: Annyiban, hogy ha a white hat nem szól, mert black hatnek nézed, és agyonbaszod törvényi szigorral, akkor azok a hibák, amiket az önjelölt white hatek jelentenének, azok ott maradnak, és a black hatek kihasználhatják.

Bobby Newmark 2017.07.27. 18:29:08

@Szaktanár: Szerencsére sem nekem, sem a közvetlen családi és ismerősi körömnek nincs közvetlen tapasztalata a büntetőjogról.

De a jog és a joggyakorlat kurvára nem ugyanaz, és te a jogról magáról beszéltél, nem annak alkalmazásáról.

2017.07.27. 18:41:32

Valaki keveri a szezont a faszommal...

Pink Pancser 2017.07.27. 18:54:44

Kedves posztoló, kire gondoltál a cikkben? Arra aki vett egy bérletet 50 Ft-ért amit lehetősége sem lett volna használni és erről a lehetőségről azonnal értesítette a BKK-t, vagy a másikra aki nyilvánosan elérhető helyen talált rendszergazda jelszót, amiről értesítette a tré-t, aztán saját költségen odautazott és részletesen elmondta mi volt a baj? Gondolom ha valaki majd szól az utcán, hogy kilóg a zsebedből a pénztárcád, akkor azonnal rohansz a rendőrségre, hogy az az álnok ki akart rabolni...

Péter 2 2017.07.27. 19:15:27

@Szaktanár: De tényleg már, miért csinálod ezt? :-) Nem, nem így meg. Pontosabban, igen, így is mennek bizonyos, nagy, komoly, kritikus rendszerek. De egy szimpla webbolt esetén (és ez az, pont ugyanaz,mint a sarki pizzéria weboldala) ne vessük már el ennyire a sulykot.

Ha én találok egy hibát bármiben (és sokat találtam már, elhiheted), akkor simán felveszem a kapcsolatot a tulajjal. Utólag. Teljesen bevett dolog, senkinek semmi baja nincs vele és semmi baja nem származik belőle.

Péter 2 2017.07.27. 19:19:22

@Bobby Newmark: Ne keverjük ide, ez egy gyakran felbukkanó félreértés. Az ártatlanság vélelme egy konkrét, államot kötő, eljárásjogi kérdés, és nem az, aminek a közbeszédben emlegetni szokták.

nem várt fordulat 2017.07.27. 19:35:18

@Péter 2: te szándékosan csak úgy just for fun szoktál átírogatni post requesteket?

ki kért meg rá? mert ha megkértek rá, akkor nyilván teszt rendszerben kértek meg rá, ez az etikus hacker, akit felkérnek, hogy csináljon MiM, spoof vagy egyéb támadásokat tesztelve a rendszert.

Ha viszont nem kértek fel rá, akkor jogilag semmiben nem különbözik attól, aki mondjuk valóban fel akarja törni a rendszert.

Ezt kéne megérteni.

De mondom, válaszolj erre: sql injection dobok egy táblát, majd felhívom a hibára a cég figyelmét. Etikus?

Nem, nem etikus, ha felkértek rá, akkor számítottak rá, és a dev / stage rendszeren csinálom, nem a productionon.

Péter 2 2017.07.27. 19:49:27

@nem várt fordulat: Amikor egy rendszer tesztelési fázisban van, akkor természetesen ismert módszer, hogy (főleg, amikor a belső tesztelésnek vége) felkérhetnek külsős, behatolásra szakosodott embereket, hogy próbálják meg. De ez a tesztelési fázis. Amikor már éles, és a felhasználók ellepik, akkor teljesen megváltozik a tájkép. Onnantól bármikor előfordulhat valódi támadás, jóindulatú és rosszindulatú egyaránt. Jóindulatú támadás ekkortól pont ugyanúgy lehetséges, és kintről fog érkezni a nagyvilágból, olyanoktól, akikkel előre nem állapodtunk meg. Ez teljesen természetes. A jóindulatú szándéknak nem előfeltétele, hogy előre megbeszéljük vele. Ilyen soha, sehol nem feltétel, nálam sem az, de én csak egy cég vagyok, nyilván statisztikailag nem jellemző, de ugyanúgy nem feltétel azoknál a cégeknél a világban milliószámra, akik örömmel veszik a jóindulatú segítséget, és adott esetben még honorálni is hajlandók.

Ami a konkrét kérdésedet illeti, nem helyénvaló a kérdés, pontosabban, helyénvaló, csak nem arra vonatkozik, amiről beszélünk. Természetesen a sebezhetőséget úgy kell kimutatni, hogy ezzel a legkevesebb kárt okozzál (tehát adott esetben nem DROP TABLE-t adsz ki, hanem injektálsz valami mást, amivel a sebezhetőséget bizonyítani tudod, de nem okoztál kárt). De nem a DROP TABLE vagy a nem DROP TABLE fog dönteni az etikusság és a nem etikusság között, ezért mondom, hogy a kérdésed mellékvágány, nem a terítéken fekvő dolog lényegére vonatkozik.

Péter 2 2017.07.27. 19:51:47

@nem várt fordulat: Fene ezt az ablakot, semmit nem látni, amire az ember válaszol :-) Ezt kihagytam: nem, ÁLTALÁBAN nem állnék neki vaktában POST-okat átírni, DE HA azt látnám, hogy az ár is benne van, akkor előbb összeszedném a padlóig esett államat, és utána valószínűleg megpróbálnám, igen, hiszen azonnal tudnám, hogy valami egészen nagy disznóság nyomában vagyok.

Bobby Newmark 2017.07.27. 19:54:04

@Péter 2: Ez annyit jelent, hogy az ügyészségnek kell bizonyítani azt, hogy az illető bűncselekményt követett el.

Amire válaszoltam, abban ezt:
"hacker valóban nem adná-e el a ruszkiknak, vagy nem állna-e bele zsarolásba. a jog kiindulópontja az, h de."

A szándékot egyébként a legnehezebb bizonyítani egyébként is, itt meg kb lehetetlen is lenne a tények ismeretében. Azért ennyire nem vagyunk még Rákosi korszak, szerencsére. Mondjuk errefelé haladunk, de még nem tartunk ott.

Bobby Newmark 2017.07.27. 19:56:32

@nem várt fordulat: Oké, fordítsuk meg a kérdést. Ki szabta meg azt meg, hogy nem írogathatok just-for-fun BÁRMIT a böngészőm címsorába? Mi tiltja ezt?

Péter 2 2017.07.27. 19:58:25

@nem várt fordulat: Jaj, még egy. Nem akarnám eluralni a kommenteket, de sok kérdést tettél fel, ami válasz érdemel.

A "jogilag semmiben nem különbözik" kérdéséhez: de, különbözik. Éppen erről volt szó korábban. A társadalomra veszélyesség fogalmában. A jog pontosan ismeri ezt a helyzetet, amikor egy cselekmény formálisan kimerít egy büntetőjogi tényállást, ennek ellenére nincs társadalmi veszélyessége, és ez utóbbi esetben a büntetés korlátlanul mérsékelhető (vagyis, köznapi szóval, nem büntetnek meg érte). Mondok példát: ég egy ház, te betöröd az ajtót és kimented a benn levőket. Pontosan ugyanúgy elköveted formálisan a tényállást, mint a valódi betörő, de a körülmények alapján a bíróság úgy fog dönteni, hogy a tetted nem volt veszélyes a társadalomra, tehát nem fognak megbüntetni.

Így különözik tehát a kettő egymástól. Elkövethetik technikailag *pontosan ugyanazt*, a két tett megítélése mégis eltérő lesz jogilag.

Bobby Newmark 2017.07.27. 20:23:38

@Péter 2: Továbbá, BTK:

"A tévedés
20. § (2) Nem büntethető, aki a büntetendő cselekményt abban a téves feltevésben követi el, hogy az a társadalomra nem veszélyes, és erre a feltevésre alapos oka van."

Bobby Newmark 2017.07.27. 21:24:27

Egyébként, most, hogy leállították az egészet, mi van azokkal, akik vettek bérletet? Augusztus 20ig mondhatom, hogy hát nekem van ugye egy neten vett bérletem, de felmutatni nem tudom, mert balfaszok voltatok, és azt akkor elfogadja az ellenőr?

András Horkay 2017.07.28. 13:54:49

A tévedések vígjátéka van itt.
1. Nem is kellet volna semmilyen rendszert létrehozni , mert vannak olyan már régebb óta működő magas biztonságú komplex rendszerek amelyek ezt a feladatot simán megoldják, telepítve akárhová (BKK, vagy Telekom, mindegy). nyilván azért kell faragni egy újat hogy ne legyen ingyen. De lehetne minimális díjért vagy azért is akár ingyen hogy a felhasználóknak lehessen marketing anyagot küldeni akár. Ez van. legaláb pár embernek volt munkája.
2. Ha már a problémás rendszereket nézzük, nyilvánvaló hogy alkalmatlan állapotban voltak, ezer okból, ezt már kivesézték sokan. Etikus nem etikus jópofa dolog, de sokszor az alkalmazó sem etikus, mondok egy példát (szerencsére nem új, közel 30 éves).
A példa: felvett a polgár egy hitelt, de mivel szeretett játszani a számítógéppel, szépen kidolgozta a hitel visszafizetésének a rendszerét is, hogy tudja mivel fog tartozni. Változó kamat volt, az árfolyamok is mozogtak, ugrált össze vissza a kötelezettség mint a szinusz görbe. Persze nem jelentősen , de mégis. Aztán kapott egy kedvezőbb hiteltörlesztési lehetőséget és lejárat előtt felszámolta a jelenlegit, és kérte az elszámolást. Meg is kapta, csak csodálkozva látta hogy nem egyezik az ő számításaival, pedig mindent átvezetett (ismerte a módszert). A vége az volt hogy kiderült a bank rendszere hibásan számolt valamit. Enézést kértek tőle és igérték hogy mindent újraszámolnak, neki is láttak ellenőrizni az ő számításait és látták hogy az a jó. Természetesen visszafizették neki a különbözetet, a hiba következménye megszünt. Csak volt egy kérdése a fickónak: Tessék mondani, annak a pár százezer embernek is visszafizetik a különbözetet aki e miatt a szoftver miatt többet fizetett mint kellett volna sok évre visszamenően? Ki lehet találni a választ és a megoldást :)

Csb 2017.07.29. 03:43:30

Szerintem ez az eset inkabb arra hasonlit, amikor apuka elviszi a gyereket az uj jatszoterre, es mielott a csimotat elso gyerekkent felengedi a maszokara, kicsit megrangatja a takolmanyt. Az oszedol, erre apukat meghurcoljak rongalasert, ahelyett, hogy belatnak, hogy ez a szar nem birt volna el egyszerre 10 gyereket.

Apuka rongalt? Igen.
Bebizonyitotta egy biztonsagosnak velt rendszer problemait? Igen.
Sokaknak segitett ezzel? Igen.
Buntetest erdemel? Nyilvan nem.

Nem arrol van szo, hogy tankkal lerombolta, hanem egy realis merteku stressz-tesztet alkalmazott rajta, amin a rendszer elverzett.

Ezt a keszitonek kellett volna elvegezni, ezert halasak lehetnek neki.

Ajánlott bejegyzések:

A bejegyzés trackback címe:

Kommentek:

Tele_Maus Nonprofit Consulting · www.tele-maus.hu 2017.07.27. 16:58:00