Langyos sör hab nélkül

• Blog oldal
• Archívum
• 

Ignorant idiots, these are

Meló, unalmas, reggel kilenckor kezdődő telekonferencia az egyik régebbi melóról, amikor is kidolgoztunk egy támadást többezercsilliárd peták értékű kötvénycsomag megvásároltatására, egyetlen e-mailes linkre kattintással. (XSRF a kulcsszó.) Ez az a felfedezés, ami a tesztelt alkalmazás természetéből fakadóan kritikus hiba, összecsődítették hát a fél fejlesztői-üzemeltetői bagázst egy izgatott hangú telefonos konferenciára: David, a holland kolléga és én indultunk pentest team képviseletében.

Drámai hangon elmondtam, hogy mi a helyzet, mi a lehetséges következménye a támadásnak (például többmilliárd dollárnyi görög és portugál államkötvénybe fektetünk be, amire a pénzpiacok biztosan felvonják a szemöldöküket), és jött a szokásos döbbent csend a résztvevők részéről. A helyzetet az egyik riszkmenedzsment arc a következőképp próbálta hárítani:

"Our brokers have explicit instructions not to click on links in a mail. We are not afraid of such attacks."

David ekkor elővette a Yoda-hangját, és beleszólt a telefonba:

"You will be, young Skywalker. You... will... be."

Egy pillanat hatásszünet után visszakapcsolt normál módra, és kifejtette, hogy a pentest team szakértői álláspontja szerint a támadás egyszerűsége és hatása nem támasztja alá a kolléga által elmondottakat.

Davidnek egyébként az élre vasalt Pierre Cardin inge alatt tele van tetoválva a válla, és elhiszem róla, hogy élt, mielőtt megnősült és két fia lett. Ja, és stoppolt, sokat.

Letettük a telefont és odafordult hozzám a Yoda-hangján:

"Ignorant idiots, these are."