Biztos Publikus adatok Integritási követelmény nélkül

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Mármint ezt hogy érted? Nekiállnak okoskodni vagymi?

Buliban hasznos! =]

A Lajos törvény, mint EU direktíva?

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Szerinted melyik hallott róla? A köznép csak a GDPR-t ismeri...

Buliban hasznos! =]

A köznépet nem is érinti a kérdéses törvény - sem az ellenőrzések...

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Ja.

Buliban hasznos! =]

És ilyenkor büntettek, vagy hogy megy ez?

Buliban hasznos! =]

Hát a döntő érv úgyis az, hogy azért kell, mert különben megbassza őket a hatóság. Ha ezt sem fogadják el, akkor nincs mit tenni. Amúgy léteznek annyira súlyos dolgok, amiket már kötelező nektek jelenteni a hatóság felé?

Buliban hasznos! =]

Én a helyi önkormányzatnál leszek IBF, ha minden jól megy. Csak az érdekelt volna, hogy hogyan zajlik az egész audit, ellenőrzés, stb. téma. Persze, az Ibtv-t ismerem, mondjuk nem ártana még 5-10x elolvasni. mert a jogi szövegek hajlamosak átfolyni az agyamon.

Buliban hasznos! =]

https://logout.hu/bejegyzes/sh4d0w/solarwinds_iii.html

https://www.coreinfinity.tech

Állítólag az emberek most ilyen SMS-eket kapnak:

A cég valami indiai mobil alkalmazás fejlesztő. Kíváncsi lennék, hogy egyből települ a vírus, vagy csak megpróbálják rábeszélni az embert, hogy telepítse. :-)

Buliban hasznos! =]

urlscan.io-n meg akartam nézni, de nincs kiválasztható mobil User Agent, és desktopról nem jön be az oldal...

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Azt mondták, hogy fedex apk-t akar telepíteni. A többit el tudod képzelni. :-)

Buliban hasznos! =]

Így van, egy apk-t akar telepíteni, ehhez kér hozzájárulást, szóval elég béna a cucc.
Egyébként nálunk a cégnél 2 ember is jelezte, hogy tegnap kapott ilyet (miután kiküldtem egy figyelemfelhívó körlevelet).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Az egyik telefonomra nekem is jött ma.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Így is simán telepíti, aki csomagot vár, és nincs észnél... Azt mondják utána az ő mobiljukat használja, hogy továbbküldje magát. Gondolom lehet kémszoftver része is.

Buliban hasznos! =]

Van egy olyan érdekesség még a mai napra, hogy a kínaiak hamisítanak. Igazából ez alap, de most már pár éve szerver parkba való nagy sebességű hálózati kártyákat is. Teljesen elárasztották vele a használt piacot, és nem tudni, hogy van e benne backdoor. Működni működnek, mert van nálam kettő, és hozzák szépen a 10 Gbps-t, de a kinéztük alapján olyan mintha tegnap gyártották volna. Én inkább eladom, és veszek majd valami tényleg használt kártyát, bár manapság már nem lehet tudni, hogy mi micsoda... Na most ha minden szerver parkba bekerül egy ilyen kártya, akkor annak komoly következményei lehetnek...

Buliban hasznos! =]

Úgy néz ki a PHP-be is megpróbáltak támadó kódot juttatni: [link]

Buliban hasznos! =]

Inkább 'félig etikus' hackelés történt szerintem. Vsz patcheletlen volt a git szerverük.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Hát annyira nem etikus, ha megnézed a kódot, amit beletettek. Ha ez átcsúszik, akkor elég lett volna HTTP headerben elküldeniük a PHP kódot, amit futtatni akarnak a szerveren, és simán végrehajtotta volna.

Buliban hasznos! =]

Jó visszavonom, tényleg félig etikus, mert nem próbálták meg annyira elrejteni.

[ Szerkesztve ]

Buliban hasznos! =]

Tanulságos történet: [link]

https://www.coreinfinity.tech

Vajh' itt is csak bénáznak, mint a NISZ-nél? [link]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Mondjuk az EU-t megéri támadni...

https://www.coreinfinity.tech

Passz. Mindenesetre a kommunikáció itt sincs a toppon, kb. semmit nem tudni meg belőle, csak hogy valami történt.

Buliban hasznos! =]

Mégiscsak létezik a tökéletes védelem: [link]

Buliban hasznos! =]

Szerintetek kritikus infrastruktúráknál számít az biztonsági szempontból, hogy magyar cég csinálja vagy külföldi multi?

Buliban hasznos! =]

Na valakik lenyomták a facebook.com-ot, ami külön vicces, hogy az isitdownrightnow.com-ot is. Lehet, hogy net split?

Buliban hasznos! =]

TELCOMban digitális központokkal kezdtem és bizony már a 2000 évek előtt kötelező volt a szakszolgálatok felé beépített garanciákkal rendelkezni és egy-egy nagyobb adatközpontnál volt egy delegált ember is. Majd picit később minden szolgáltatónak kellett teljes felügyeleti struktúrát kulcsra készen tartani (pl a démász-dégáz kettősnél akkor már IT-sként szállítottam picivel több mint 600 munkaállomást hogy ennek eleget tudjanak tenni).

Én ezeket implementálva azt mondom hogy nem lehet jelentős kockázat benne ha nem helyi az üzemeltető - a nagyon maximum az hogy kell egy back-up-ot visszaállítani.

https://hardverapro.hu/apro/audi_q7_hibrid_2016/hsz_1-50.html

Backdoort, ilyesmit nem tehetnek be a rendszerbe, vagy olyan a szabályozás, hogy erre is fel van készülve?

Buliban hasznos! =]

Ez azért komolyabb, mint gondoltam, a teljes facebook birodalmat megszták. Kíváncsi vagyok meddig tart. Nem lehetett olcsó.

Buliban hasznos! =]

A szakszolgálati hozzáférés nem csak fizikai hanem konkrétan backdoor. Néha elég csökött és személyesen kell bemenni és egy kábelt átdugni de remélem ez fejlődött azóta csak.

https://hardverapro.hu/apro/audi_q7_hibrid_2016/hsz_1-50.html

Nem arra gondoltam, hanem esetleg az anyacég országának a hadseregének vagy titkosszolgálatának tesznek be egy backdoort. Ha megromlik a politikai viszony és esetleg háború lesz azzal az országgal, akkor nem lenne egyszerű dolgunk a szolgáltatás visszaállításában, és ez könnyen emberéleteket követelhet. Persze ez extrém példa. Békeidőben valószínűleg nem jelent problémát egy ilyen függőségi viszony biztonsági szempontból.

[ Szerkesztve ]

Buliban hasznos! =]

Maga az üzemeltető ország ezt szerintem nehezen tudja megtenni. A felszerelést szállító már más kérdés. Lásd a Huaweii példáját.

https://hardverapro.hu/apro/audi_q7_hibrid_2016/hsz_1-50.html

Ja hát ott is az volt a fő probléma, hogy egy európai kritikus infrastruktúrába nem biztos hogy a kínaiakat be kellene engedni, hiába jobb a technológia és olcsóbban adnák, mint az európai beszállítók.

Buliban hasznos! =]

Főleg az új inteles találat fényében kérdéses, hogy milyen biossal szerelt gépet használ az ember: [link]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Olvasom, hogy havonta cserélsz jelszót. Technikailag hogyan oldod meg? Mármint a tárolása világos, de hogy az oldalakon is frissüljenek a jelszók, ahhoz végig kell menni egy jelszó cserés folyamaton, ami sokszor emailben link küldéssel, néha captcha-val, ilyesmivel jár. Van lehetőség rá, hogy ezt hozzátegyük a jelszó kezelőhöz pluginben vagy hogyan? Gondolom nem egyesével csinálod kézzel...

Buliban hasznos! =]

Szerintem ez félrement.
Kevés dolgot tartok nagyobb b*romságnak, mint havonta jelszót cserélni. Úgy 2015 óta elég nagy szakmai egyetértés van IT biztonsági vonalon abban, hogy hót fölösleges a felhasználókat is cseszegetni 1-3 havonta történő jelszócserével: inkább 6-12 havonta (vagy ha a kompromittálódásnak a legcsekélyebb jele is van) legyen cserélve, de cserében legyen jó (és persze elég hosszú...) az a jelszó...
Sajnos a kapcsolódó szabályozásokat a DOS-korszakban élő vén h*lyék írják, akik képtelenek fejlődni. Pl. a minősített adatkezelés vonatkozásában elő van írva a kilométer hosszú jelszó, de arról hogy milyen jelszóhasht alkalmazz, természetesen egy szó sincs. Tehát elvben szabályos mondjuk KT minősítési szint esetén egy 12 karakter hosszú, LM hash-el hashelt jelszó... Ezt egy mai gépen max. ókát alatt lehetne feltörni (de lehet hogy percek).

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Csak egy kapcsolódó cikk a sok közül: [link]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

HWSW-n láttam egy kommentben. Az Egon névből gondoltam, mert azért nem annyira gyakoriak az Egon nevű biztonsági szakértők.

Buliban hasznos! =]

Linkeld be pls.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Azért itt amit linkeltek, hogy a jelmondatok biztonságosabbak, abban vannak kétségeim. Szerintem egy átlag jelmondat olyan 64*1024 = 2^16 szavas néhány írásjeles szótárral 4-5 szó és 1-2 írásjel lehet, szóval olyan 2^(16*5+2*2) = 2^84. Mondjuk egy ajánlott jelszó olyan 12 karakter angol kis és nagybetű, szám (2*26+10)^12 ~= 2^(6*12) = 2^72. Jó, ez alapján, ha valaki nagy szókincsből választ jelmondatot, akkor lehet jobb, mint egy elfogadhatónak mondott random jelszó, ha az alap 2000 szavas szókincset használja, akkor viszont kuka a módszer. Az egyedüli hátránya, hogy tudni kell gépelni, ha fejben tartja, és könnyebb elütni. Egyébként én használom mindkét módszert.

[ Szerkesztve ]

Buliban hasznos! =]

Jó ez a BHIS class.

Új írás a blogomon: https://logout.hu/bejegyzes/sh4d0w/supply_chain_attack_vedekezes.html

[ Szerkesztve ]

https://www.coreinfinity.tech

Melyiket csinálod?

Buliban hasznos! =]