Hvað er ólöglegt og hvað ætti að vera ólöglegt.

[rapport]

https://thehackernews.com/2019/02/vulne ... acker.html

Mér finnst að það ætti að vera réttur allra að prófa öryggi á Internetinu.

Þá finnst mér það vera 100% á ábyrgð fyrirtækja og einstaklinga hvernig þau nálgast internetið og ef þau gera það ekki á öruggan hátt, þá sé það alfarið þeirra sök.

Þá finnst mér fólk sem greinir ógnir á internetinu eða öryggisgalla o.þ.h. eigi að fá "björgunarlaun" í samræmi við verðmæti eða veltu fyrirtækjanna sem eiga heimasíðuna, rétt eins og þeir sem koma að björgun skips fá % af heildarverðmæti skipsins og farmsins sem það bar.

Að kæra einhvern fyrir að benda á eða finna veikleika er fáránlegt.

Þetta er að sjálfsögðu ekki algild skoðun, það eru undantekningar sbr. að taka frit af gögnum eða leka upplýsingum um almenna notendur, lykilorð o.þ.h. slíkt er að sjálfsögðu ekki í lagi.

Hvaða skoðun hafið þið á svona?

[urban]

Skiptu út heimasíðu fyrir staðsetningu.

Er eðlilegt að einhver fái að reyna að brjótast inní fyrirtækið þitt ?
Sé að athuga hversu vel þú lokaðir gluggum eða læstir hurðum.

Á t.d. ekki að kæra mig fyrir húsbrot ef að ég kemst inn í fyrirtækið þitt, þrátt fyrir að ég hafi engu stolið ?
Á virkilega að verðlauna mig fyrir að benda þér á það að það sé hægt að brjóta glugga og komast inn um hann.

Fyrir mér er það ekkert eðlilegt og auðvitað ætti að kæra mig fyrir húsbrot fyrir að brjóta glugga til þess að komast inn.
Það nákvæmlega ætti að eiga við um heimasíðuna fyrir fyrirtækið þitt.

[kjartanbj]

Vill nú frekar líkja því saman með að benda fyrirtækinu að einhver ákveðin hurð sé alltaf skilin eftir ólæst og hver sem er geti farið þar um og stolið viðkvæmum hlutum , það er ekki verið að skemma neitt eða valda tjóni í flestum tilvikum þegar menn finna veikleika í heimasíðum

[rapport]

Skiptu út heimasíðu fyrir staðsetningu.

Er eðlilegt að einhver fái að reyna að brjótast inní fyrirtækið þitt ?
Sé að athuga hversu vel þú lokaðir gluggum eða læstir hurðum.

Á t.d. ekki að kæra mig fyrir húsbrot ef að ég kemst inn í fyrirtækið þitt, þrátt fyrir að ég hafi engu stolið ?
Á virkilega að verðlauna mig fyrir að benda þér á það að það sé hægt að brjóta glugga og komast inn um hann.

Fyrir mér er það ekkert eðlilegt og auðvitað ætti að kæra mig fyrir húsbrot fyrir að brjóta glugga til þess að komast inn.
Það nákvæmlega ætti að eiga við um heimasíðuna fyrir fyrirtækið þitt.

Þitt dæmi er persónulegt heimili, að setja þetta upp sem fyrirtæki breytir sýninni töluvert.


Ef einhver gengur inn í höfuðstöðvar fyrirtækis og sér opna hurð, gengur inn um þá hurð og sér þar ýmsar skjalageymslur og tæki ...

Viðkomandi lætur stjórnendur fyrirtækisins vita en þeir fara bara í einhverja fýlu.

Seinna heimsækir viðkomandi aftur sama fyrirtæki, gengur inn um sömu hurð og sér að fyrirtækið hefur ekki gripið til neinna ráðstafana til að tryggja öryggi betur.

En fyrirtækið náði honum á mynd og kærir hann.

Hvað var það sem einstaklingurinn gerði rangt?

Og hver er ábyrgð fyrirtækisins?

Ef þetta væri á Íslandi þá mundi hið opinbera líklega ganga milli bols og höfuðs á þessu fjarskiptafyrirtæki sem ætti sér líklega ekki mikla framtíð eftir að hafa verið tekið með buxurnar á hælunum hvað varðar þessi mál.

Internetið er "almenningur" og það er ekki sjálfgefið að einstaklingur úti í bæ viti hvenær hann er kominn inn á lokað svæði og hvenær ekki.


Hiklaust finnst mér að fyrirtæki eigi ekki að komast upp með það á ódýran hátt að vera með lélegt öryggi.

Stífar kröfur/lög þurfa að vera á þeim sem vista persónuupplýusingar og fara með fjarskipti fólks.

Háar sektir og viðurlög eiga að vera við því að viðhalda ekki upplýsingaöryggi, a.m.k. að geta ekki sýnt fram á að þegar ábending berst frá almenningi að ekki sé gripið strax til aðgerða til að bæta úr málum.

[DJOli]

Ég myndi telja þetta rétt:
Hakkaðu vefsíðu. Ekki gera neitt óafturkræfanlegt, en hafðu samband, og láttu eigendur/stjórnendur vita.
Ef ekkert gerist eftir tvær vikur, reyndu að breyta útliti vefsíðunnar, og ítrekaðu bréf á eigendur/stjórnendur.
Láttu vita að þú ætlir að senda frétt á fjölmiðla eftir tvær vikur, verði ekkert gert til að bæta úr öryggisgallanum.
Tveim vikum seinna, ef ekkert hefur breyst, hafðu samband við fjölmiðla til að upplýsa almenning um að fyrirtækið sé kærulaust í öryggismálum.
Ég myndi telja þetta rangt:
Hakkaðu vefsíðu og safnaðu eins miklu og þú getur.
Kúgaðu eigendur/stjórnendur fyrirtækisins til að gefa þér peninga, annars leki gögnin til almennings.
Eða láttu vita af öryggisgallanum á "deep web" og leyfðu eigendum/stjórnendum síðunnar að díla við afleiðingarnar.

[urban]

Skiptu út heimasíðu fyrir staðsetningu.

Er eðlilegt að einhver fái að reyna að brjótast inní fyrirtækið þitt ?
Sé að athuga hversu vel þú lokaðir gluggum eða læstir hurðum.

Á t.d. ekki að kæra mig fyrir húsbrot ef að ég kemst inn í fyrirtækið þitt, þrátt fyrir að ég hafi engu stolið ?
Á virkilega að verðlauna mig fyrir að benda þér á það að það sé hægt að brjóta glugga og komast inn um hann.

Fyrir mér er það ekkert eðlilegt og auðvitað ætti að kæra mig fyrir húsbrot fyrir að brjóta glugga til þess að komast inn.
Það nákvæmlega ætti að eiga við um heimasíðuna fyrir fyrirtækið þitt.

Þitt dæmi er persónulegt heimili, að setja þetta upp sem fyrirtæki breytir sýninni töluvert.

Hvernig geturu sagt að dæmið mitt sé fyrir persónulegt heimili ?
Ég tók sérstaklega fram nokkrum sinnum fyrirtækið þitt.

Ef einhver gengur inn í höfuðstöðvar fyrirtækis og sér opna hurð, gengur inn um þá hurð og sér þar ýmsar skjalageymslur og tæki ...

Þetta er engan vegin samanburðarhæft.
Þú ert að lýsa því að villast óvart inn um opna hurð, það er ekki það sama og að leita af ólæstri hurð, svona einsog að leita af öryggisgöllum.

Viðkomandi lætur stjórnendur fyrirtækisins vita en þeir fara bara í einhverja fýlu.

Eðlilega, maðurinn var að þvælast einhver staðar þar sem að hann átti ekki að vera, hakkarinn sérstaklega að brjóta sér leið þangað, sérstaklega að leita af opnu/ólæstu hurðinni, en ekkert mál, það varð ekkert veður úr þessu, en viðkomandi veit þá að hann er ekki velkominn þarna.

Seinna heimsækir viðkomandi aftur sama fyrirtæki, gengur inn um sömu hurð og sér að fyrirtækið hefur ekki gripið til neinna ráðstafana til að tryggja öryggi betur.

En fyrirtækið náði honum á mynd og kærir hann.

Hvað var það sem einstaklingurinn gerði rangt?

Tjahh hvað gerði hann rangt, hann leitaði aftur af ólæstri hurð til þess að "villast inn um" hann var aftur að þvælast á stöðum þar sem að hann sérstaklega vissi að hann átti ekki að vera, miðað við fyrr samskipti við manninn.

Og hver er ábyrgð fyrirtækisins,

Ábyrgðin hjá þeim er að vera ekki með hlutina í lagi.
Ábyrgðin hjá innbrotsþjófinum er samt alfarið á innbrotinu, alveg einsog hakkarinn ber alfarið ábyrgð á því að hafa hakkað sig þar inn.
Svona einsog ábyrgðin á nauðgun er hjá nauðgara, ekki þeim sem að er nauðgað fyrir að hafa verið í pilsi.
ábyrgðin á þjófnaði er hjá þjófi, ekki þeim sem að var rændur fyrir að hafa verið með veski eða pening í veskinu.

Internetið er "almenningur" og það er ekki sjálfgefið að einstaklingur úti í bæ viti hvenær hann er kominn inn á lokað svæði og hvenær ekki.

Vissulega er internetið almenningur og ekki sjálfgefið að einstaklingur útí bæ viti þetta ekki, en þú ert að tala um ekki bara sérstaklega að leita af öryggisgöllum, heldur að gera það aftur.

Það er ekki eitthvað sem að gerist óvart, það er gert með sérstökum vilja.

Hiklaust finnst mér að fyrirtæki eigi ekki að komast upp með það á ódýran hátt að vera með lélegt öryggi.

Nei ekkert mál, en hakkarar eiga heldur ekki að komast upp með innbrot bara vegna þess að einhver er ekki með allt í 100% lagi.

[rapport]

Hiklaust finnst mér að fyrirtæki eigi ekki að komast upp með það á ódýran hátt að vera með lélegt öryggi.

Nei ekkert mál, en hakkarar eiga heldur ekki að komast upp með innbrot bara vegna þess að einhver er ekki með allt í 100% lagi.

Gleymdi að taka það fram, að viðkomandi gekk inn í fyrirtækið á opnunartíma...

Í þessu tilviki þegar fjarskiptafyrirtæki er með allt niðrum sig þá getur maður ímyndað sér að hakkaranum líði eins og hann sé að keyra framhjá slysi.

Það er bara siðferðislega rétt að stoppa, tékka á stöðunni og hingja eftr hjálp.

Það vantar kannski bara fleiri úrræði fyrir "hakkara" sem til að tilkynna til yfirvalda fyrirtæki sem eru úti að aka í öryggismálum.

[urban]

-Já ekkert mál,, siðferðisleg skylda að stoppa, tékka á stöðunni og hringja eftir hjálp.

Hann gerði það.

Reportedly, the hacker then traveled to Budapest for the meeting, which didn't go well as he expected, and apparently, the company did not permit him to test its systems further.

Hann gerði þetta líka

However, the man continued probing Magyar Telekom networks and

Hvað er það annað en innbrot ?
Afhverju er innbrot á att.is heimasíðuna/serverinn eitthvað annað en innbrot á att.is verslunina ?
Afhverju á að taka eitthvað vægara á innbrotum á netinu ??

Sjáðu til, hann nefnilega viltist ekkert inn um einhverja opna hurð á opnunartíma
hann leitaði sérstaklega af ólæstri hurð utan opnunartíma, það er alveg rosalegum megin munur á þessu.

Hann gerði síðan það sama eftir að hafa verið sérstaklega bannað það.

Þetta er ekkert annað en innbrot og auðvitað á að dæma manninn fyrir innbrot ef að það sannast á hann.

Það að það sé síðan allt í tómu tjóni hjá fyrirtækinu er síðan aukaatriði í þessu máli hjá hakkaranum, það er bara allt annað mál, vissulega mjög alvarlegt mál, en það breytir samt ekki því að innbrot er innbrot, alveg sama hvort að heimilisfangið sé gata eða ip tala.

[rapport]

-Já ekkert mál,, siðferðisleg skylda að stoppa, tékka á stöðunni og hringja eftir hjálp.

Hann gerði það.

Reportedly, the hacker then traveled to Budapest for the meeting, which didn't go well as he expected, and apparently, the company did not permit him to test its systems further.

Hann gerði þetta líka

However, the man continued probing Magyar Telekom networks and

Hvað er það annað en innbrot ?
Afhverju er innbrot á att.is heimasíðuna/serverinn eitthvað annað en innbrot á att.is verslunina ?
Afhverju á að taka eitthvað vægara á innbrotum á netinu ??

Sjáðu til, hann nefnilega viltist ekkert inn um einhverja opna hurð á opnunartíma
hann leitaði sérstaklega af ólæstri hurð utan opnunartíma, það er alveg rosalegum megin munur á þessu.

Hann gerði síðan það sama eftir að hafa verið sérstaklega bannað það.

Þetta er ekkert annað en innbrot og auðvitað á að dæma manninn fyrir innbrot ef að það sannast á hann.

Það að það sé síðan allt í tómu tjóni hjá fyrirtækinu er síðan aukaatriði í þessu máli hjá hakkaranum, það er bara allt annað mál, vissulega mjög alvarlegt mál, en það breytir samt ekki því að innbrot er innbrot, alveg sama hvort að heimilisfangið sé gata eða ip tala.

Væri það glæpur að skoða source á lélegri heimasíðu og kanna hvað stendur henni að baki og jafnvel kanna betur hvað viðkomandi heimasíða er að veita internetinu aðgang að?

Væri það glæpur að prófa að nota notendanafn og lykilorð "admin/admin" ef slíkur gluggi mundi poppa upp?

Væri það glæpur að afrita öll gögn sem maður kæmist í, hvað þá að deila þeim seinna meir?

Hver er skaðinn af því að finna galla í kerfum fyrirtækja og láta þau svo vita af þeim?

Og í stað þess að líkja þessu við innbrot, hvaða lög ná yfir þetta hér á Íslandi?

Hefði þetta verið glæpur hér á landi skv. okkar lögum?

[urban]

Ég er ekki lögfræðingur, get þar að leiðandi ekki sagt til um hvort að þetta sé glæpur.

En innbrot er innbrot.
Einsog ég sagði, þá skiptir það mig engu máli hvort að það sé á heimilisfangi eða iptölu.

Ef að ég ætti fyrirtæki þá myndi ég láta taka alveg eins á innbroti á iptöluna mína og innbroti á heimilisfangið hjá því.

Þú spyrð væri það glæpur að prufa admin/admin (semsagt prufa að opna eitthvað læst)
Væri það glæpur að afrita göngin sem að þú kemst í.

tjahh ég ætla leyfa þér að svara þessu með því að spurja þig annarra spurninga.

Er það glæpur að fara í bæjarlindin 1-3 (att.is) og athuga hvort að lykilarnir mínir passi þar ?
Er það glæpur ef að ég fer þar inn og afrita bókhaldið hjá þeim ?

að mínu mati, hvort tveggja er innbrot, ég veit það alveg klárlega ef að ég er kominn inní verslunina hjá att.is utan opnunartíma að ég á ekki að vera þar.
Ég veit alveg klárlega að ég er að gera eitthvað sem að ég á ekki að vera að gera ef að ég fer og ljósrita bókhaldið hjá þeim.

Afhverju í ósköpunum á það að vera öðruvísi ef að ég fer á 79.171.99.29 (att.is) hjá þeim ?

Ef að mér er svona rosalega annt um öryggið hjá att.is þá hef ég samband við þá af fyrrabragði og athuga hvort að ég megi tékka hjá þeim öryggið.
Nú eða ef að lykillinn minn virkaði, alveg sama hvort að það sé iptalan eða bæjarlindin, þá læt ég þá vita að því þá, fer ekki þar inn að gramsa og afrita eitthvað.

[Nariur]

Það er ekkert ólöglegt við að opna ólæstar dyr að stað sem þú mátt ekki vera á.
Það er ekki fyrr en þú gengur inn sem þú ert að gera eitthvað af þér.

[Viktor]

Alvöru fyrirtæki eins og Google greiða fólki stórar summur fyrir að benda á svona galla og hvetja fólk til að reyna að finna öryggisgalla.

Þetta eru sjúklega barnaleg viðbrögð af þessu fjarskiptafyrirtæki og munu skaða það til lengri tíma. Fyrirtækið er í raun að hvetja hakkara til að finna holur og selja gögnin/aðferðina í stað þess að láta fyrirtækið vita.

Lögreglan er sam líklega bara að gera þetta samkvæmt bókinni, ef fjarskiptafyrirtækið lítur á þetta sem innbrot.

[urban]

Alvöru fyrirtæki eins og Google greiða fólki stórar summur fyrir að benda á svona galla og hvetja fólk til að reyna að finna öryggisgalla.

Það er nefnilega allt annað dæmi.

Hey, komdu og reyndu að brjótast inn hjá mér, ég skal borga þér fyrir það ef þér tekst það.
Eða
Hey, láttu búnaðinn minn í friði, þú mátt ekki fikta í honum aftur. (einsog í þessu ákveðna tilviki)

[Viktor]

Nei, nákvæmlega sama dæmi.

Önnur leiðin er gáfuleg, hin er heimskuleg.

[urban]

Það er ekkert ólöglegt við að opna ólæstar dyr að stað sem þú mátt ekki vera á.
Það er ekki fyrr en þú gengur inn sem þú ert að gera eitthvað af þér.

Vissulega, hvað gerist eftir að þú ýtir á enter eftir að hafa slegið inn admin/admin í user og pass.
Þá ertu einmitt kominn inn á svæðið sem að þú átt ekki að vera inná.

Nei, nákvæmlega sama dæmi.

Önnur leiðin er gáfuleg, hin er heimskuleg.

Auðvitað er óhemju munur á því hvort að ég bjóði þér að gera eitthvað eða þú gerir það þegar að ég segi þér sérstaklega að gera það ekki.
Ef að menn átta sig ekki á því þá er náttúrulega eitthvað að.

Það að þú persónulega sem hacker sért að gera sama hlutinn í bæði skipti, þá hlýtur þú að geta séð muninn á því hvort að þú gerir það eftir að ég býð þér að gera það eða banni þér það.

MMA er rosa flott íþróttagrein.
Munurinn á því hvort að Gunni taki og buffi mig í hringnum, eftir að ég bjóðist til að keppa við hann, eða að hann buffi mig út á götu eftir að ég segi honum að gera það ekki er munurinn á íþrótt og líkamsárás.

Ef að þú hackar þig inná serverinn minn eftir að ég býð þér að gera það, þá ertu að gera eitthvað sem að ég vill.
Ef að þú gerir það eftir að ég banna þér sérstaklega að gera það, þá ertu að brjótast inn.

Sjáiði í alvörunni engan mun á því að gera eitthvað umbeðinn eða gera eitthvað eftir að vera sérstaklega bannað það ?
Eru allir sem að tjá sig hérna alveg gersamlega siðlausir ?

[depill]

Það er ekkert ólöglegt við að opna ólæstar dyr að stað sem þú mátt ekki vera á.
Það er ekki fyrr en þú gengur inn sem þú ert að gera eitthvað af þér.

Vissulega, hvað gerist eftir að þú ýtir á enter eftir að hafa slegið inn admin/admin í user og pass.
Þá ertu einmitt kominn inn á svæðið sem að þú átt ekki að vera inná.

fyrir mér hvort sem þú settir inn admin/admin eða ekki er irrelevant, hurðin er opin um leið og netþjóninn er mættur á netið.

Ef að þú hackar þig inná serverinn minn eftir að ég býð þér að gera það, þá ertu að gera eitthvað sem að ég vill.
Ef að þú gerir það eftir að ég banna þér sérstaklega að gera það, þá ertu að brjótast inn.

Sjáiði í alvörunni engan mun á því að gera eitthvað umbeðinn eða gera eitthvað eftir að vera sérstaklega bannað það ?
Eru allir sem að tjá sig hérna alveg gersamlega siðlausir ?

Ef þú hackar serverinn þinn og gerir skaða held ég að allir séu á að sé klárlega eithvað sem ætti að vera lögbrot. Enn ef ég geri það og bendi þér á það að þá finnst mér það í góðu lagi.

Ef við tökum eins og fjarskiptafyrirtæki þar sem fjarskiptafyrirtæki búa yfir helling af persónulegum gögnum af þér að þá er þetta meira eins og einhver kemur inní fyrirtækið og opnar nokkrar hurðar og sér bara persónuupplýsingar á glámbekk. Fjarskiptafyrirtækið gæti auðvita hafa verið í ISO 27001 enn kannski er það bara ekki búið að því, eða er á þessum dögum ekki að fylgja því eftir. Ef einhver kemur opnar rangar hurðar ( og gerir það meiri segja frítt ) að þá finnst mér það bara í góðu lagi þar sem fyrirtækið er líklegast að framkvæma lögbrot í vörlsu persónuupplýsinga.

Því miður er hver sá einasti netþjónn sem er exposed út á netið eins og opin hurð inní fyrirtækið og fyrirtæki sem gera það ættu að fagna whitehatters í stað þess að bíða eftir því að blackhatters taki þá í rassgatið.

Ég er viss um að uppáhálds bátasölumaðurinn okkar úr Vodafone lekanum hefði vilja að einhver whitehatter hefði verið að benda Vodafone á gallana á vodafone.is áður en að blackhatterinn kom og nýtti sér holunar til að gera skaða.

[urban]

Það er ekkert ólöglegt við að opna ólæstar dyr að stað sem þú mátt ekki vera á.
Það er ekki fyrr en þú gengur inn sem þú ert að gera eitthvað af þér.

Vissulega, hvað gerist eftir að þú ýtir á enter eftir að hafa slegið inn admin/admin í user og pass.
Þá ertu einmitt kominn inn á svæðið sem að þú átt ekki að vera inná.

fyrir mér hvort sem þú settir inn admin/admin eða ekki er irrelevant, hurðin er opin um leið og netþjóninn er mættur á netið.

Þarna verðum við að vera alveg einstaklega ósammála.
Vegna þess að serverinn er einmitt læst hurð þangað til þú setur inn user/pass eða brýtur hana upp eftir öðrum leiðum.

heimasíðan sem að er opin öllum er opin hurð, það sem að þarf að hakka sig inná eða stimpla inn user/pass er einmitt læst hurð.

Það að ég sé sá eini sem að sé þetta hræðir mig í alvörunni.
Það að mönnum þyki innbrot bara allt í góðu lagi til þess að tékka á öryggi finnst mér gersamlega út í hött.

Þið hljótið að geta séð muninn á því að vera boðið til þess að gera eitthvað og gera eitthvað í leyfisleysi, svona einsog að vilja að menn hacki sig einhver staðar inn til þess að finna öryggisgalla eða að það sé gert þegar að sérstaklega var sagt að það ætti ekki að gera það.

Þetta ætti að vera jafn augljóst og munurinn á milli kynlífs og nauðgunar, milli mma bardaga og líkamsárásar, milli þessa að vera gefið eitthvað og að stela því.

[Graven]

Þessi þráður lyktar rosalega af góðu trolli, það getur enginn verið það greindarskertur að halda að innbrot sé í lagi. Minnir mig á dæmið um seðlabúntið, ef ég legg seðlabúnt frá mér, einhver tekur það, þá er það þjófnaður, alveg sama hvað ég er vitlaus að leggja það frá mér.

[Nariur]

Það er ekkert ólöglegt við að opna ólæstar dyr að stað sem þú mátt ekki vera á.
Það er ekki fyrr en þú gengur inn sem þú ert að gera eitthvað af þér.

Vissulega, hvað gerist eftir að þú ýtir á enter eftir að hafa slegið inn admin/admin í user og pass.
Þá ertu einmitt kominn inn á svæðið sem að þú átt ekki að vera inná.

Ég myndi halda því fram að það sé jafngilt því að líta inn um dyrnar, þ.e. enn löglegt. Að mínu mati er það ekki orðið brot fyrr en maður fer að skoða sig um.

[depill]

Þessi þráður lyktar rosalega af góðu trolli, það getur enginn verið það greindarskertur að halda að innbrot sé í lagi. Minnir mig á dæmið um seðlabúntið, ef ég legg seðlabúnt frá mér, einhver tekur það, þá er það þjófnaður, alveg sama hvað ég er vitlaus að leggja það frá mér.

hey ég hef bara lent í þessu. Aðili lagði frá sér veski, labbaði frá því, ég tók það upp áður en aðrir gátu tekið það, fór það með til einstaklings og lét hann fá það. Hann gat þess vegna sett veskið aftur í vasann þar sem veskið var aðeins öruggara heldur en á glámbekk.

Svo ég haldi áfram með þessa samlíkingum, ef þú leggur frá þér seðlabunkt, hvort viltu að blackhatter sem skilar ekki veskinu tekur það og verður mögulega eða ekki mögulega náður af yfirvöldum taki það eða whitehatter nái í það, láti þig fá það svo þú getur bætt úr vandamálinu áður en að blackhatter geri það.

Þetta er ekki innbrot, whitehatter er ekki að stela neinu, hann er eingöngu að nýta sér exploit til að benda þér á hvað þú getir bætt áður en að blackhatterinn geri það. Whitehatters eru meiri segja celebrated af mörgum fyrirtækjum eins og t.d. Google.

[urban]

Þetta er ekki innbrot, whitehatter er ekki að stela neinu, hann er eingöngu að nýta sér exploit til að benda þér á hvað þú getir bætt áður en að blackhatterinn geri það. Whitehatters eru meiri segja celebrated af mörgum fyrirtækjum eins og t.d. Google.

Já, þeir eru celebrated af mörgum fyrirtækjum.
Semsagt, þeim er boðið til þess að gera þetta.
Það er megin málið, þá er hann ekki að gera eitthvað sem að hann á ekki að gera, þá er hann ekki að þvælast um á svæði sem að hann á ekki að vera að þvælast inná.

Í fyrra skiptið í þessu dæmi var maðurinn vissulega whitehatter, hann hafði samband við fyrirtækið og lenti ekki í neinum vandræðum fyrir vikið og hefði hann farið eftir því sem að hann var beðin um, þá gæti hann haldið áfram að vera whitehatter fyrir einhverja aðra.

Það var sérstaklega tekið fram við gæjann að láta búnaðinn í friði eftir það.
Þá er hann einmitt ekki celebrated í seinna skiptið.
Þá er hann bara að brjótast inn.

Það að fyrirtækið sé með allt niðrum sig er síðan allt annað mál.
Það breytir engu um það að hackerinn var sérstaklega að þvælast á svæði sem að var sérstaklega búið að banna honum að vera á.

Ef að menn vilja nota þessa veskis myndlíkingu.
Þá lá veskið ekkert fram í búð við hliðina á einhverju
Það lá inná starfsmannaðstðunni þar sem að engin utan aðkomandi á að vera í.

[depill]

Það að fyrirtækið sé með allt niðrum sig er síðan allt annað mál.
Það breytir engu um það að hackerinn var sérstaklega að þvælast á svæði sem að var sérstaklega búið að banna honum að vera á.

Ef að menn vilja nota þessa veskis myndlíkingu.
Þá lá veskið ekkert fram í búð við hliðina á einhverju
Það lá inná starfsmannaðstðunni þar sem að engin utan aðkomandi á að vera í.

Again í starfsmannaaðstöðu er oft annað fólk boðið inn af ýmsu fólki ( jafnvel í ISO 27001 umhverfi ) þá vona ég að whitehatters komi og bjargi okkur frá fyrirtækjum sem eru með allt niður um sig ( sem eru öll fyrirtæki sem hægt er að brjótast inní, sem eru flest ). Ég vona alltaf að whitehatterinn fatti þetta fyrst áður en að blackhatterinn geri það.

Held það sé bara tímaspursmál hvenær það verður brotist inní t.d. heilbrigðisrecord ( og hefur gerst erlendis ) og þá vona ég að það séu whitehatters sem grípa það. Ekki bara af því að einhver gæi frá Deliotte fékk borgað fyrir að prófa algengustu aðferðinar af Landsspítalanum, enn vissi ekki af öllum hinum aðferðarfræðunum.

...
Nú skal ég bara játa að ég hef verið á hinum endanum á þessu, whitehatter kom í fyrirtæki sem ég var að vinna hjá og benti okkur á öryggisgalla. Ég man ennþá hvað ég er þakkláttur fyrir það að hann hafi fattað þetta áður en enn einhver blackhatter komst í þetta og hefði líklegast lekið persónulegum gögnum eða ollið skaða fyrir þetta fyrirtækið.

Á hinum endanum hef ég líka verið whitehatter í nokkur skipti, eitt skiptið þar sem ég uppgötvaði galla í kerfi sem er notað af ja svona 30-40% af Íslendingum þar sem var mjög alvarlegur öryggisgalli í kerfinu, komst að honum hreinlega þar sem ég var nota kerfið. Ég lét hugbúnaðarhúsið og fyrirtækið sem bar ábyrgð á kerfinu vita og þeir löguðu kerfið á endanum áður enn einhver blackhatter eða einhver með verri intentions gat gert eithvað í því. Í báðum tilvikum erum við að tala um fyrirtæki þar sem viðskiptavinir þess hefðu borið fjárhagslegan og persónuupplýsinga skaða.

Ég bara næ ekki afhverju fólk er á móti whitehatters. Þeir gera frítt og af áhugamennsku ( er að þjálfa sig ) að prófa og reyna á öryggi kerfa sem í eðli sínu er næstum ómögulegt að gera alveg örugg ( sérstaklega út af endanotendum, getum við ekki losað okkur öll við þá ), þeir valda engum skaða og meiri segja koma í veg fyrir skaða og geta oft bjargað rassgatinu á okkur.

Shit ég væri bara til í whitehatters dag til sjá fleiri whitehatters.

---
Edit: Bara til að bæta við, það á að lögsækja alla blackhatters. Þeir geta verið tvenns konar þeir sem valda beinum skaða og þeir sem valda óbeinum skaða. Óbeinn skaði er í raun og veru fólkið sem finnur galla og fer að segja fólki frá því, án þess að gera responsible disclosure, þetta eru til dæmis flottar reglur frá zerocopter ( https://www.zerocopter.com/en/responsible-disclosure )

Do's

Report the vulnerability as quickly as is reasonably possible, to minimise the risk of hostile actors finding it and taking advantage of it.
Report in a manner that safeguards the confidentiality of the report so that others do not gain access to the information.
Do not use attacks on physical security, social engineering, distributed denial of service, spam or applications of third parties.
Provide sufficient information to reproduce the problem, so we will be able to resolve it. Usually, the IP address or the URL of the affected system and a description of the vulnerability will be sufficient. But complex vulnerabilities may require further explanation.

Don'ts
Reveal the vulnerability or problem to others until it is resolved.
Build your own backdoor in an information system with the intention of then using it to demonstrate the vulnerability, because doing so can cause additional damage and create unnecessary security risks.
Utilise a vulnerability further than necessary to establish its existence.
Copy, modify or delete data on the system. An alternative for doing so is making a directory listing of the system.
Make changes to the system.
Repeatedly gain access to the system or sharing access with others.
Use brute force attacks, attacks on physical security, social engineering, distributed denial of service, spam or applications of third parties to gain access to the system.

What we promise:
We will respond to your report within 5 business days with our evaluation of the report and an expected resolution date.
If you have followed the instructions above, we will not take any legal action against you concerning the report.
We will not pass on your personal details to third parties without your permission, unless it is necessary to comply with a legal obligation. Reporting under a pseudonym or anonymous is possible.
We will keep you informed of the progress towards resolving the problem.
In the public information concerning the reported problem, we will give your name as the discoverer of the problem (unless you desire otherwise).
We strive to resolve all problems as quickly as possible, and we would like to play an active role in the ultimate publication on the problem after it is resolved.

[rapport]

Þessi þráður lyktar rosalega af góðu trolli, það getur enginn verið það greindarskertur að halda að innbrot sé í lagi. Minnir mig á dæmið um seðlabúntið, ef ég legg seðlabúnt frá mér, einhver tekur það, þá er það þjófnaður, alveg sama hvað ég er vitlaus að leggja það frá mér.

Ég var bara upptekinn og gat ekki haldið áfram að svara, þetta er ekki troll.

Mér finnst orðið "Innbrot" ekki eiga við þetta, rétt eins og það er ekki "þjófnaður" að deila höfundavörðu efni.

Þá er enn ósvarað hvort og þá hvaða lög ná yfir þetta hér á Íslandi, s.s. hvort að fyrirtæki geti kært svona atburð til lögreglu hér á landi ef ské kynni að þetta kæmi uppá.

[Viktor]

Þessi þráður lyktar rosalega af góðu trolli, það getur enginn verið það greindarskertur að halda að innbrot sé í lagi. Minnir mig á dæmið um seðlabúntið, ef ég legg seðlabúnt frá mér, einhver tekur það, þá er það þjófnaður, alveg sama hvað ég er vitlaus að leggja það frá mér.

Barnaleg samlíking.

Þetta er meira eins og “hey seðlabúntið þitt er hérna og hver sem er getur stolið því”, og þú kærir mig fyrir að láta þig vita.

Hélt að meðlimir hérna væru upplýstari um það hvernig tölvuöryggi virkar en kemur í ljós á þessum barnalegu svörum hérna.

https://en.wikipedia.org/wiki/Security_ ... _obscurity

[pepsico]

Er það ekki bara partur af því að búa í samfélagi að við berum öll ákveðna ábyrgð. Ef þið væruð t.d. að skrá ykkur inn á Facebook einn daginn og ýttuð of snemma á enter en síðan skráði ykkur samt inn þó að lykilorðið hefði ekki verið til staðar, og svo færuð þið beint í það að gá hvort það sama gangi upp hjá börnunum ykkar, mökum eða foreldrum, og það gengi upp, og þið létuð Facebook vita af því til að verja ykkur sjálfa og kærkomna, hvernig mynduð þið vilja að það færi? Að ykkur væri refsað? Ha?

Í sumum tilfellum er hægt að athuga hvort vandamál sé til staðar án þess að "brjótast inn" hjá aðilum, sbr. þegar galli er til staðar í Wordpress, eða OpenSSL, þar sem allir geta búið til sinn eigin aðgang eða bara skoðað málið fræðilega séð, en í sumum tilfellum er það bara alls ekki hægt. Er betra eða verra fyrir samfélagið að refsa þeim sem kanna það og láta viðeigandi aðila vita á ábyrgan máta?

Ekki það að ég hef engan áhuga á einhverjum ákveðnum ungverskum einstakling né hvað hann gerði nákvæmlega.