Gå til innhold

Rapporterte sikkerhetshull, men fikk ingen takk. I stedet ble tenåringen arrestert

Gjest Marius B. Jørgenrud

Av Gjest Marius B. Jørgenrud
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Gjest Slettet+987123849734

Gjest Slettet+987123849734

Skrevet
Skrevet

Jeg kan på en måte forstå bkk (selv om feilen er helt tragisk) for skal selskaper tillate alle former for hacking/manipulering av systemene deres uten å gjøre noe? Så hvis noen prøver å hacke deres systemer og blir tatt, så holder det å si at det var ikke vondt ment? Skal man oversette en sånn hendelse til noe, så kan man sammenligne det litt med en som går og forsøker å åpne dører og blir han tatt, så sier han "jeg skulle bare sjekke at ikke noen hadde glemt å låse noen dører". Bra hvis selskapet har en avtale med et sikkerhetsselskap som gjør dette, men ikke særlig bra hvis tilfeldige gjør dette uten å avtale det på forhånd.

Lenke til kommentar
  • Populært innlegg
Drogin

Drogin

Skrevet
  • Populært innlegg
Skrevet (endret)

Jeg kan på en måte forstå bkk (selv om feilen er helt tragisk) for skal selskaper tillate alle former for hacking/manipulering av systemene deres uten å gjøre noe? Så hvis noen prøver å hacke deres systemer og blir tatt, så holder det å si at det var ikke vondt ment? Skal man oversette en sånn hendelse til noe, så kan man sammenligne det litt med en som går og forsøker å åpne dører og blir han tatt, så sier han "jeg skulle bare sjekke at ikke noen hadde glemt å låse noen dører". Bra hvis selskapet har en avtale med et sikkerhetsselskap som gjør dette, men ikke særlig bra hvis tilfeldige gjør dette uten å avtale det på forhånd.

Ikke helt det samme.

Source-koden til siden, er public information. Alle har tilgang til den, og alle får den, i det de laster inn siden. Det "hackeren" gjorde her, var mer slik:

"Man går på gaten, og ser en bileier som går ut av bilen, og forlater den, og har kommet et godt stykke unna. Du føler deg ganske sikker på at han glemte å låse døra. Men du er ikke helt sikker. Du kjenner lett på døra, merker den er oppe, og roper etter han "Hei, du glemte å låse døra!"

Endret av Drogin
  • Liker 16
Lenke til kommentar
Hårek

Hårek

Skrevet
Skrevet

Dette kan knapt kalles "hacking/manipulering". Her har de presentert en butikk med åpne dører og ingen tilstede. 

Det er heller direktøren som burde få en smekk for å ha brukt penger på et så sørgelig dårlig produkt. Tror ikke han fortsetter lenge i den jobben.

  • Liker 6
Lenke til kommentar
Nobunaga

Nobunaga

Skrevet
Skrevet

Når de har slike blundere virker det ganske klart at dette ikke er den eneste svakheten i dette systemet. Dette lukter sveitserost lang vei.

 

Men nå har i hvert fall direktøren sikra at ingen andre vil melde fra, og heller legge ut nye svakheter på 4chan i stedet.

Neppe den smarteste strategien.

  • Liker 7
Lenke til kommentar
Gjest Slettet+987123849734

Gjest Slettet+987123849734

Skrevet
Skrevet

 

Jeg kan på en måte forstå bkk (selv om feilen er helt tragisk) for skal selskaper tillate alle former for hacking/manipulering av systemene deres uten å gjøre noe? Så hvis noen prøver å hacke deres systemer og blir tatt, så holder det å si at det var ikke vondt ment? Skal man oversette en sånn hendelse til noe, så kan man sammenligne det litt med en som går og forsøker å åpne dører og blir han tatt, så sier han "jeg skulle bare sjekke at ikke noen hadde glemt å låse noen dører". Bra hvis selskapet har en avtale med et sikkerhetsselskap som gjør dette, men ikke særlig bra hvis tilfeldige gjør dette uten å avtale det på forhånd.

Ikke helt det samme.

Source-koden til siden, er public information. Alle har tilgang til den, og alle får den, i det de laster inn siden. Det "hackeren" gjorde her, var mer slik:

"Man går på gaten, og ser en bileier som går ut av bilen, og forlater den, og har kommet et godt stykke unna. Du føler deg ganske sikker på at han glemte å låse døra. Men du er ikke helt sikker. Du kjenner lett på døra, merker den er oppe, og roper etter han "Hei, du glemte å låse døra!"

Det at koden til guiet er tilgjengelig betyr ikke at man kan gjøre hva man vil med systemene som mottar data fra det. Igjen det med dører. Selv om alle dører og vinduer er synlig for alle fra utsiden, så gir det deg ingen rett til å gå rundt å sjekke om de er låst eller ikke.

 

Eller mener du at hvis en butikk har kun gamle prislapper med kun beløp, så er det greit å gå inn i butikken og bytte om på prislappene sånn at du får varen billigere, bare fordi det er et dårlig prissettingssystem. Skulle du bli tatt, så kan du jo bare si at du gjorde det bare for å teste sikkerheten på deres prissystem.

 

Dere burde være mulig å se hvorfor dette er et problem utifra et forretningsperspektiv og ikke bare fra en utviklers side.

Lenke til kommentar
Kikert

Kikert

Skrevet
Skrevet

*snip*

 

Det at koden til guiet er tilgjengelig betyr ikke at man kan gjøre hva man vil med systemene som mottar data fra det. Igjen det med dører. Selv om alle dører og vinduer er synlig for alle fra utsiden, så gir det deg ingen rett til å gå rundt å sjekke om de er låst eller ikke.

 

Eller mener du at hvis en butikk har kun gamle prislapper med kun beløp, så er det greit å gå inn i butikken og bytte om på prislappene sånn at du får varen billigere, bare fordi det er et dårlig prissettingssystem. Skulle du bli tatt, så kan du jo bare si at du gjorde det bare for å teste sikkerheten på deres prissystem.

 

Dere burde være mulig å se hvorfor dette er et problem utifra et forretningsperspektiv og ikke bare fra en utviklers side.

 

Det er en dårlig sammenlikning. For å kunne sjekke sikkerheten her så må man forandre prislappen da butikken bruker lasere og har droppet dører. Man sjekker om laseren zapper fingrene hvis man tukler med prislappen, eventuellt sjekker om prislappen er fastlåst.

 

Bruk hvilketsomhelst teit eksempel som innebærer at man må tukle med en eller annen vare da det er varene som er sikret, ikke lokalet.

 

Joa, du kan si at systemet er døra, men det er ikke helt riktig. Dørene i et datasystem fungerer ikke likt som fysiske dører.

Lenke til kommentar
Frobe

Frobe

Skrevet
Skrevet

Jeg håper vi ikke skremmer vekk de som bryr seg nok til å sjekke om naboen har fulle postkasser og dører eller vinduer som ikke ser ut til å være låst eller lukket. 

Vi har alle muligheter til å straffe dem som begår innbrudd for å stjele noe, men bruker vi de samme lovene mot dem som sjekker og varsler så får vi et dårligere samfunn.

  • Liker 1
Lenke til kommentar
Gjest Slettet+987123849734

Gjest Slettet+987123849734

Skrevet
Skrevet

 

*snip*

 Det at koden til guiet er tilgjengelig betyr ikke at man kan gjøre hva man vil med systemene som mottar data fra det. Igjen det med dører. Selv om alle dører og vinduer er synlig for alle fra utsiden, så gir det deg ingen rett til å gå rundt å sjekke om de er låst eller ikke.

 

Eller mener du at hvis en butikk har kun gamle prislapper med kun beløp, så er det greit å gå inn i butikken og bytte om på prislappene sånn at du får varen billigere, bare fordi det er et dårlig prissettingssystem. Skulle du bli tatt, så kan du jo bare si at du gjorde det bare for å teste sikkerheten på deres prissystem.

 

Dere burde være mulig å se hvorfor dette er et problem utifra et forretningsperspektiv og ikke bare fra en utviklers side.

 

Det er en dårlig sammenlikning. For å kunne sjekke sikkerheten her så må man forandre prislappen da butikken bruker lasere og har droppet dører. Man sjekker om laseren zapper fingrene hvis man tukler med prislappen, eventuellt sjekker om prislappen er fastlåst.

 

Bruk hvilketsomhelst teit eksempel som innebærer at man må tukle med en eller annen vare da det er varene som er sikret, ikke lokalet.

 

Joa, du kan si at systemet er døra, men det er ikke helt riktig. Dørene i et datasystem fungerer ikke likt som fysiske dører.

Vedkommende har endret prisen i en digital nettbutikk, på samme måten som kan være mulig i en fysisk butikk. En strekkode i en fysisk butikk inneholder som regel kun et varenummer (som også burde være tilfelle for bkk sin side) også leses prisen fra en database utifra varenummeret.

 

Men det er fullt mulig at en strekkode er bygget opp på en annen måte, en måte som gjør at prisen blir lest utifra strekkoden, uten at kassasystemet trenger å ha kontakt med noen database for å vite prisen. Dermed kan man endre strekkoden også få en annen pris.

 

Dette er nøyaktig det samme som å endre prisen i en input tag eller javascript objekt på en nettside, men da er det liksom greit fordi de som har laget systemet har laget en elendig løsning?

Lenke til kommentar
Kikert

Kikert

Skrevet
Skrevet (endret)

Dette handler om sikkerhetssystemer. Det er ikke gitt at han kunne fikse med prisen selv om det så ut som at han kunne det.

 

Jeg har ikke sagt at det er greit, men å tillate utenforstående å teste systemet gjør at man får flere testere. Det er rimelig vrient å ha hundrevis av ansatte til å teste sikkerheten.

 

Jeg mener heller ikke at man skal få lov til å teste sikkerheten uten forhåndstillatelse. Det burde gå an å registrere seg eller noe så bedriften har kontroll på utenforstående testere. Så må man ha et insentiv for å teste som ikke trenger å være mange hundre kronene pr. oppdaget feil.

Endret av Soseks
Lenke til kommentar
NeonNero

NeonNero

Skrevet
Skrevet

 

Jeg kan på en måte forstå bkk (selv om feilen er helt tragisk) for skal selskaper tillate alle former for hacking/manipulering av systemene deres uten å gjøre noe? Så hvis noen prøver å hacke deres systemer og blir tatt, så holder det å si at det var ikke vondt ment? Skal man oversette en sånn hendelse til noe, så kan man sammenligne det litt med en som går og forsøker å åpne dører og blir han tatt, så sier han "jeg skulle bare sjekke at ikke noen hadde glemt å låse noen dører". Bra hvis selskapet har en avtale med et sikkerhetsselskap som gjør dette, men ikke særlig bra hvis tilfeldige gjør dette uten å avtale det på forhånd.

Ikke helt det samme.

Source-koden til siden, er public information. Alle har tilgang til den, og alle får den, i det de laster inn siden. Det "hackeren" gjorde her, var mer slik:

"Man går på gaten, og ser en bileier som går ut av bilen, og forlater den, og har kommet et godt stykke unna. Du føler deg ganske sikker på at han glemte å låse døra. Men du er ikke helt sikker. Du kjenner lett på døra, merker den er oppe, og roper etter han "Hei, du glemte å låse døra!"

Og måten BKK har respondert i denne saken tilsvarer at bileieren deretter anmelder deg for biltyveri, bare fordi du har meldt fra om at døren var ulåst.

  • Liker 3
Lenke til kommentar
Gjest Slettet+987123849734

Gjest Slettet+987123849734

Skrevet
Skrevet

Dette handler om sikkerhetssystemer. Det er ikke gitt at han kunne fikse med prisen selv om det så ut som at han kunne det.

 

Jeg har ikke sagt at det er greit, men å tillate utenforstående å teste systemet gjør at man får flere testere. Det er rimelig vrient å ha hundrevis av ansatte til å teste sikkerheten.

 

Jeg mener heller ikke at man skal få lov til å teste sikkerheten uten forhåndstillatelse. Det burde gå an å registrere seg eller noe så bedriften har kontroll på utenforstående testere. Så må man ha et insentiv for å teste som ikke trenger å være mange hundre kronene pr. oppdaget feil.

 

Ja, og det er jeg enig i. Så lenge det er avtalt på forhånd er det greit, men man kan ikke bare ta seg til rette og gjøre hva man vil for å si at det et for å avdekke sikkerhetshull

Lenke til kommentar
Gjest Slettet+987123849734

Gjest Slettet+987123849734

Skrevet
Skrevet

Stemmer, det er greit, man lager en annen strekkode, ser at prisen blir feil og varsler butikken. Det er helt greit.

 

AtW

 

Man sier jo bare at man varsler om man blir tatt, for ingenting er jo avgjort før man faktisk har gjennomført svindelen.

Lenke til kommentar
Øystein Jakobsen

Øystein Jakobsen

Skrevet
Skrevet

Jeg har laget en presentasjon som omhandler hva hacking er, og hvorfor det er viktig å skille mellom forskjellige formål:

https://www.slideshare.net/Gnurkel/hva-er-en-hacker

 

(sånn passe selvforklarende. Merk at den er Creative Commons lisensiert)

 

Her er en annen presentasjon om samme tema:

https://www.slideshare.net/SuryanshSrivastava/ethical-hacking-25963766

Lenke til kommentar
Frobe

Frobe

Skrevet
Skrevet

 

Stemmer, det er greit, man lager en annen strekkode, ser at prisen blir feil og varsler butikken. Det er helt greit.

 

AtW

Man sier jo bare at man varsler om man blir tatt, for ingenting er jo avgjort før man faktisk har gjennomført svindelen.

 

 

Hvordan synes du at man skal straffes hvis man ikke blir tatt/oppdaget, men varsler om muligheten for svindel`?

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...