Egy etikus hacker, tud, ért az illegális hackeléshez is? mennyire szokványos ez általánosságban? vagy egyik vonza a másikat olyan természetes nekik ez a világ is, hogy elkerülhetetlen mindkét végletből való tapasztalás?

@12:51 Köszi a pontosítást.

Ez jogi kérdés, hogy szürke vagy etikus.

"Az egy publikus, közösségi fejlesztésű, nyílt forráskódú szoftver"[...]

Nem állítottam hogy ne az lenne, etikus hackelés szempontjából írtam.

"Ott meg nem szimpla laikusok végzik a hibák feltárását"

A szimpla laikus aligha fog találni sérülékenységet, már ő is valamilyen szinten szakember, bár a Google IT szakemberihez képest lehetséges hogy szimpla laikusnak számít.

Így ha ugyanazt professzionálisan csinálom (Google) a nélkül, hogy felkért volna a cég (ez esetbe Microsot), akkor az már etikus, ha nincs mögöttem egy giga cég akkor már szürke, ha nincs szerencsém fekete kalapos besorolást kapok? Ez így büdösen hangzik, hogy a Google-nek is van egy csomó ügyvédje akik fehérre mossák ha kell, persze a hibafeltárók is professzionálisan csinálják.

Meg eleve attól is függ, hogy az adott cég hogy áll hozzá és az hogy mi a konkrét eset, lásd a magyar viszonlatban is volt olyan eset (Telekom) amikor pozitívan álltak hozzá, a több körös felvételin egy kört kihagyhatott, felajánlották hogy felveszik ha átmegy a többi körön. Viszont az illető túltolta, amikor mondták hogy álljon le a tevékenységgel akkor is hackelte tovább a rendszert, ha nem tolja túl még sikertörténet is lehetett volna.

#11:

"Ez jogi kérdés, hogy szürke vagy etikus."

Nem csak jogi, hanem szakmai etikai:

[link]

"Nem állítottam hogy ne az lenne, etikus hackelés szempontjából írtam."

Viszont egy publikus, nyílt forrású, közösség által fejlesztett szoftver esetében "meg van engedve" hogy te belenyúlj a forráskódba és a fejlesztői gárdának javaslatokat tegyél a továbbfejlesztésre - mert azzal nem sérted meg a rendszer integritását - viszont egy publikus, de zárt és működő, élő szolgáltatásnál van rá esély arra, hogy laikusként - még ha nem szándékosan is - potenciális kárt okozhatsz. Tehát különbség van a két eset között.

"A szimpla laikus aligha fog találni sérülékenységet, már ő is valamilyen szinten szakember"

A szakemberekhez mérten - akik tisztában vannak a tetteik következményeivel - szimpla laikus.

"Így ha ugyanazt professzionálisan csinálom (Google) a nélkül, hogy felkért volna a cég (ez esetbe Microsot), akkor az már etikus"

Nem. A Google Project Zero esetében van egy eljárásrend, van mögötte egy elszámoltatható vállalat, és egy adag szakember, akik tudják hogy mit csinálnak. A szürkekalapos laikusok esetében mindezek nincsenek meg.

"Viszont az illető túltolta, amikor mondták hogy álljon le a tevékenységgel akkor is hackelte"

Na látod ez a probléma a laikusokkal: nincsenek tisztában a konzekvenciákkal.

"Na látod ez a probléma a laikusokkal: nincsenek tisztában a konzekvenciákkal."

Ezt így általánosságban nem mondanám, mivel még egy ilyen esetről nem tudok, de olyanról meg többről is ahol ért a szóból. Egyébként ugyanezt mondhatnám a Krétára is, 24 órán belül jelenteniük kellett volna a fejből meg nem mondom melyik hatóságnak amit elmulaszottak a fejlesztők. Az egész biztonsági protokoll nulla, egy projetvezető gépéről elérni mindent teljesen indokolatlan. A forráskódot nem tudom láttad e, mintha általános iskolás írta volna ....

"Ezt így általánosságban nem mondanám, mivel még egy ilyen esetről nem tudok"

Pedig mind a Telekomos, mind a BKK-s, mind a Krétás eset ilyen (és ezek a publikus, hazai esetek).

Fiatal, tapasztalatlan, konzekvenciákat nem ismerő laikusok, ha nem is egyből de eléggé hamar rohannak a sajtóhoz árulkodni.

"A forráskódot nem tudom láttad e, mintha általános iskolás írta volna ...."

Azért "általános iskolásnak" titulálni túlzás.

De egyébként multinacionális cégeknél láttam már hasonlóakat.

"Fiatal, tapasztalatlan, konzekvenciákat nem ismerő laikusok, ha nem is egyből de eléggé hamar rohannak a sajtóhoz árulkodni."

Mint írtam 24 órán belül kellett volna jelenteni, hónapokkal később sem jelentették. Hosszú hónapok teltek el, egyből rohannak árulkodni a sajtóhoz nem mondanám. Nem is strapálom magam összegyűteni hogy mennyi mulasztásuk volt még ezen felül.

"De egyébként multinacionális cégeknél láttam már hasonlóakat."

Első kézből tudom, hogy ez nem igaz még ha nem is láttam minden multinacionális céget. Legalábbis annyira hihető, mintha egy analóg zsebórát szétszedve és véletlenszerűen kevergetve pont összerakódik tiszta véletlenül.

"Azért "általános iskolásnak" titulálni túlzás."

Akit gyerek koromtól ismerek és több multinacionális IT cégnél is dolgozott ő azt mondta, hogy általános iskolás korában sem csinált volna ilyet.

Egyébként a Google-t se kell isteníteni hogy ilyen olyan elszámoltató cég van mögötte. Sok aljas dolgot csinált az is, egyes belső emberek szivárogtattak is ki infókat. Pl a google car a begyűtött wifi adatokból azok feltörését is számolta, amit révén hogy rádióhullámok és passzív módon próbálta kívülről megállapíthatatlan ha valaki a meglevő monitorozott wifi rádióhullámokból milyen huncútságokat számol nagyteljesítményű számítógépeken. A google térkép térnyerése is etikátlan módon történt, ahogy lenyomta a többi konkurens térképet,vagy megvette a térképet a licensz nem feltétlen engedte az ilyen módú felhasználását, de volt ahol tejlesen jogtalanul felhasználta a térkép adatokat, amit azóta már tisztára mosott, meg önmaga is feltérképezte a google car-al. Ez egyébként rekonstriálható is volt. Viszont van annyi ügyvédje stb. meg akkora multi cég, hogy az amerikai elnök sem nyerne pert ellene.

"Hosszú hónapok teltek el, egyből rohannak árulkodni a sajtóhoz nem mondanám. "

Nem is állítottam, hogy "azonnal", hanem "eléggé hamar" (a Kréta esetében pár hét volt a sajtó értesítése).

"Első kézből tudom, hogy ez nem igaz még ha nem is láttam minden multinacionális céget. "

Hát pedig eléggé zagyva kódok fordulhatnak elő multinacionális cégeknél - nem kell tőlük hasra esni, csak azért, mert "multi".

"Egyébként a Google-t se kell isteníteni "

Látod, ez is egy multi.

"Akit gyerek koromtól ismerek"

Tehát a személyes ismeretséged eltorzítja az ítélőképességed.

"a Kréta esetében pár hét volt a sajtó értesítése"

Ez nem igaz, több hónap telt el.

"Hát pedig eléggé zagyva kódok fordulhatnak elő multinacionális cégeknél - nem kell tőlük hasra esni, csak azért, mert "multi"."

Az kizárt hogy átmenjen ilyen gagyi sql injection elleni védelem amit jóháhagyna egy multi (én egy személybe nem engedném át, pedig nem vagyok egyedül egy fejlesztőcsapat), hogy csak egy példát mondjak. Az azt fejlesztő látszik hogy nem ismeri a keretrendszer által biztonsított beépített sql injection elleni védelmet. Én élesbe sose próbáltam feltalálni a melegvizet, mindig a nálam okosabbak által implenetált, tesztelt, validált sql injection elleni védelmet használtam.

Azért mondom mivel én magam is láttam a forrását.

"Tehát a személyes ismeretséged eltorzítja az ítélőképességed."

Ha középiskolás írna ilyet, és ha egyetemista attól jobb? Ugyanúgy amatőr kódról van szó.(És azt feltételezi hogy ki kinek a csókosa, nem szaktudás alapján beválogatott fejlesztők fejleszették és hagyták jóvá.) Azon kívül, hogy felrakták a github-ra e kréta forráskódját, másik ettől független forráskódot mutass egyet légyszives ami ennyire gagyi! Jó mindjárt írsz egyet, ez nem ér, legyen régebbi ennél mint ez amit itt megfogalmaztam! Gyakorlatilag ott is jobb forráskódokkal találkozik az ember. Amit tuti nem tudsz mutatni, nyílt forráskódú populáris szoftverek forráskódjai és ilyen gagyik lennének. Már csak azért mondom a nyílt forráskódot mert ott nincs vita ki mit látott ami nem publikus.

#9:

Nem tudom mi igaz és mi nem arról a BKK történetről és a srácról, de valahol olvastam, hogy azért jelentették fel, mert oké jelentette a hibát, de utána még többször visszaélt vele. Mondhatni megkárosította a BKK-t.

Tehát nem a hibafeltárásért, hanem a többszörös kihasználásért jelentették fel és nem csak amolyan teszt jelleg volt, hanem még utána is többször visszaélt vele.