Ne mémezz, inkább gyere el december 2-án...
Többiek: akkor leüthetjük a dátumot? Időpont és helyszín javaslatokat várok...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

KEG, Kelet, Rizmajer

Szerk.: Ja és igen December 2. nálam bevésve.

[ Szerkesztve ]

"Fuck the Kingsguard, fuck the city....Fuck the king!"

Már a KEG-nél leragadtam az Oktoberfestbier-nél, tovább nem is néztem..

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Közérdekű: Udemy-n Jason Dion szinte összes videó tréningje és practice test-je, 80% körüli droppon. Érdemes benézni ma és holnap még él az akció.

Most húztam be 12 euróért a CASP+ tréninget és szintén 12 euróért 6 practice testet.

"Fuck the Kingsguard, fuck the city....Fuck the king!"

What is KEG?

https://www.coreinfinity.tech

Necsinádd'má'...
Beírtam a gugliba hogy KEG, és első találat: [link]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Cheers, buddy

https://www.coreinfinity.tech

Igen, dec.2. sör, nálam is ez szerepel a naptárban.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Beírtam én is, de erősen függ majd a szakdogám állapotától.

Ha valakivel még nem jött volna szembe: új OpenSSL critical

Ez a vuln is remek iskolapélda arra, hogy nem kell minden szoftvert ész nélkül a legújabbra frissíteni.

"Fuck the Kingsguard, fuck the city....Fuck the king!"

Valaki próbált már állami hátterű cég szeződésén keresztül tolni IBTV előírásokat? Ügyfelünk szerződni kényszerül egy állami céggel, csak mondjuk a szerződésben nem szerepel semmi IBTV-s vonatkozás, csak a GDPR van kb 1 mondattal elintézve.
Én írtam egy A4-es oldalnyi észrevételt, hogy mit kellene még beletenni az IBTV szerint. Kíváncsi leszek mi lesz a vége.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Na erre én is. A GDPR-t úgy tűnik komolyan veszik az önkormányzatok, de az IBTV-t messze nem annyira.

Buliban hasznos! =]

Hogyne.
Az egyik ügyfelünk, egy állami Zrt, nem is vonatkozik rá az Ibtv, ennek ellenére az összes IT-s szerződésébe (fejlesztenek és üzemeltetnek nekik pl. számlázó rendszert) belevette hogy az adott UT beszállító köteles a megrendelő rendszereivel kapcsolatba hozható rendszereit (értelemszerűen pl. amin fejlesztik az adott rendszert) az Ibtv 3-as biztonsági osztályának megfelelő szinten tartani.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

inf3rno, Egon: itt kicsit más a helyzet. Ügyfelünkre vonatozik az IBTV, ráadásul a beszerezni kívánt rendszer 3. bizt. osztályos. A szoftver szállító szintén állami, gyakorlatilag ki van jelölve, hogy ezt a szoftvert és a hozzá kapcsolódó szolgáltatást tőlük kell kötelezően megvenni. A szállító írt egy olyan szerződést ahol pl az 1.és a 3. oldal ellent mond egymásnak, a GDPR 1. mondattal el van intézve, az IBTV még említve sincs. A szoftver szállítójának állítólag olyan a hozzáállása, hogy "kuss, akkor is így lesz mert mi így akarjuk, nektek meg nincs választásotok".

Én nem sok esélyt látok rá ez a szerződés valaha is meg fog felelni a jogszabályoknak.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Egy ilyen ügyet maximum valamelyik hatóság tudna megoldani. Gondolom az a hatóság, amelyik ahhoz a jogszabályhoz kapcsolódik, ami előírja ezt a szolgáltatót. Már ha mindenképpen beléjük akartok állni.

Buliban hasznos! =]

Mi csak véleményeztük a szerződést, mert a rendszergazdák írtá, hogy segítsünk. (Ők nagyon nem akarják ezt a rendszert és ezeket a feltételeket. Mondjuk én sem akarnék egy Oracle 11g-n alapuló rendszert üzemeltetni, úgy, hogy kb minden felelősség az enyém és nagy mennyiségük különleges adat tárolódik benne.)

Csak érdekelt, hogy kinek van ilyen tapasztalata.

Az, hogy a hatóság mit ír elő az ilyen szolgáltatókra ... Ha lenne nekik bármilyen ráhatásuk az ASP is csak teszt szervereken futna a fejlesztők homokozójában, az összes többi állami weboldallal együtt.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Úgy nézem, hogy most Oracle 21 van, akkor jól sejtem, hogy ez az évszám, amikor kiadták ezt a verziót? Ha már nincs rá support, akkor érdeklődnék az NKI-nél, hátha ismernek alternatív szolgáltatót.

Buliban hasznos! =]

A tipp 50%-ban bejött,, de nincs köze a bérszámfejtéshez. (Lehet hogy az oracle rész a bérszámfejtős. Sajnos eléggé újak vagyunk , még nem látjuk át a rendszert és az infók is csak csöpögnek több szálon és a kibogozás még 100%-os. Ráadásul a beszerzés végén, a szerződés környékén csöppentük bele.)

inf3rno: Az ügyfél elmondása alapján állambácsi jelölte ki a szolgáltatót és nincs alternatíva. (Ezért ilyen nagy a szájuk.) Az Oracele 11g az 2007-ben jelent meg.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Azt értem, de attól még a törvények rájuk is vonatkoznak. Ha megvizsgálnák őket, szerintem csúnyán odabaszna nekik a NAIH és az NKI is. Pont amiatt, mert nincs rájuk alternatíva. Gondolom akkor valószínűleg kritikus infrastruktúráról van szó és a CIP irányelv is vonatkozik rájuk, nem csak a NIS. Hidd el fájna nekik a dolog. Én ha lehet elkerülném valahogy ezt a fantasztikus szolgáltatást.

Buliban hasznos! =]

Az ASP-t és KIRA-t sem tudod megkerülni, és még azzal is súlyos problémák vannak.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Az oké, de legalább nem 15 éves adatbázis van support nélkül. Bárki bejut a hálózatba simán megtöri.

Buliban hasznos! =]

Az említett 2 program esetén azért ezt sem merném kijelenteni ennyire határozottan.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ja én is elgondolkodtam egy pillanatra mielőtt leírtam. Van az a helyzet, amikor nem nagyon van választási lehetőséged. Kicsit olyan ez, mint amikor Antonio Antolini visszautasíthatatlan ajánlatot ad.

[ Szerkesztve ]

Buliban hasznos! =]

Öröm nézni, hogy néha a túloldalon is feszülten dolgoznak. Nem csak mi stresszelünk.

Buliban hasznos! =]

Ha jogszabály jelöli ki nektek a szolgáltatót, mint adatfeldolgozót, akkor a GDPR 28. cikke érvényes rájuk. Szóval nem az van, hogy az lesz, amit ők mondanak, mert ti határozzátok meg az adatkezelés célját és eszközeit, ők csak adatfeldolgozók. Már ha szempont a GDPR-nak való megfelelés. Ha meg közös adatkezelők vagytok, és úgy végzik a szolgáltatást, akkor nem háríthatnak át minden felelősséget rátok. Mondjuk azt továbbra sem tudom megmondani, hogy milyen jogorvoslati lehetőség van itt azon felül, hogy felnyomjátok őket mindkét hatóságnál, hogy jogsértő a magatartásuk vagy esetleg meglengetitek ezt nekik, hogy vegyenek egy kicsit vissza.

Előadásban, amikor erről volt szó, akkor azt monták ilyen esetben, hogyha a jogszabály kijelöli az adatfeldolgozót, és nem hajlandó olyan eszközöket használni, amit mint adatkezelő mondasz neki, akkor nem tudsz mit csinálni. NAIH állásfoglalást vagy ilyesmit lehet talán kérni ezügyben, mert ez egy nagyon régóta húzódó dolog, és ezt hatósági szinten kellene szabályozni vagy törvényi szinten, nem a ti szinteteken szerződésben. Nincs meg hozzá a hatalmatok. Szerintem.

GDPR 28. cikk
(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött
olyan - az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek
kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó -szerződésnek vagy más
jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés
vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:
a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli - beleértve a
személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való
továbbítását is -, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy
tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az
adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos
közérdekből tiltja;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási
kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) meghozza a 32. cikkben előírt intézkedéseket;
d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (4) bekezdésben
említett feltételeket;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel
a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett
III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) segíti az adatkezelőt a 32-36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az
adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján
minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat,
kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben
meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi
és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve
a helyszíni vizsgálatokat is.
Az első albekezdés h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az
adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy
uniós adatvédelmi rendelkezéseket.

[ Szerkesztve ]

Buliban hasznos! =]

Nem csak Kali...

https://www.coreinfinity.tech

Köszi, ez tiszta. De egy MÁK, vagy NISZ (meg még van néhány ilyen) szerződésbe ezt elég nehéz lenne bedolgozni.
Azért, mikor az NKI azt mondja, hogy csak azokkal a szerződésekkel foglalkozzunk, meg soroljuk osztályba amik nem központi rendszerek, banki alkalmazás, vagy kijelölt szolgáltató, az szerintem elmond ezt-azt ennek a hatóságnak a jogairól, működéséről. És kb 99% hogy a NAIH is kb ennyit tenne.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Érdekes szakdolgozat téma lenne interjúztatni arról, hogy a többszáz szervezet, akik ezekkel állnak szerződésben hogyan oldották meg a problémát, illetve mi lesz, ha bedől az egész. Bár lehet, hogyha valaki ilyen irányba nyomozna, akkor elvinné a fekete Volga egy körre. Digitális Mohács 2.0 gondolom. Ja olyan már van, most nézem: [link]

Na mindenesetre a lényegen nem változtat, úgy tűnik ezt jobb elengedni. Én inkább az olcsósítás felé mennék el, talán ott még van mozgásteretek, aztán a különbözetből talán tudtok valami védelmet hákolni a szemétdombjuk köré. De van egy olyan gyanúm, hogy az árból sem engednek, mert monopol helyzetben vannak. Mondjuk a jogalkotók valami nagyon elcsesztek, ha ez így működik ebben az országban, hogy monopol helyzetbe raknak cégeket, aztán senki sem kéri számon rajtuk, hogy normálisan csinálják e a szolgáltatást. Az ilyen ellenőrzéseknek rendszeresen hivatalból kellene menniük, nem is bejelentésre, ha olyan fontos tevékenységet végeznek, hogy csak egy cég csinálhatja.

[ Szerkesztve ]

Buliban hasznos! =]

"Mondjuk a jogalkotók valami nagyon elcsesztek, ha ez így működik ebben az országban, hogy monopol helyzetbe raknak cégeket, aztán senki sem kéri számon rajtuk, hogy normálisan csinálják e a szolgáltatást."

Ha te vagy a monopolhelyzetben lévő cég vagy neked osztanak vissza, akkor ez feature, nem bug.

Nem teljesen értem a problémát.
A 41-es rendeletből szerintem világosan kiolvasható, hogy ha az adott rendszert több szervezet használja, akkor a rendszer üzemeltetőjének feladata a rendszer biztonsági követelményeinek érvényesítése, amiből szerintem a is következik, hogy a biztonsági osztályba sorolás is az ő feladatuk (szép is lenne, ha mondjuk 3 igénybe vevő szervezet, négyféle besorolást csinálna...).
Ergo ha egy MÁK vagy NISZ által üzemeltetett rendszert vesz igénybe az adott intézmény akivel szerződésetek van, én különösebben nem aggódnék a 41-es miatt. A GDPR már más kérdés, mivel ebben az esetben tisztázni kell, hogy közös adatkezelésről beszélünk, vagy adatfeldolgozóként működik közre mondjuk a NISZ vagy a MÁK.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Így van, mindig az a korrupció, amiből engem kihagynak...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Az igaz. Nem irigykedni kell a felső tízezerre, hanem közéjük kerülni.

Buliban hasznos! =]

Nekem úgy tűnik, hogy az a probléma, hogy gondolom be van sorolva, de látványosan nem teljesülnek az adott osztályra a követelmények, a felelősséget ezzel kapcsolatban meg próbálják a felhasználókra hárítani. Mondjuk ha kiborul a bili, akkor valszeg ők mennek le a süllyesztőn, mert az összes ügyfelüknél elgurul majd a gyógyszer, és általában rendőrségek, meg hasonló szervezetek szoktak ügyfelek lenni. Csak ezt a csekély értelmi képességükkel nem képesek felfogni, vagy majd az ottani rendszergazda lesz a bűnbak, vagy megvan már erre előre a forgatókönyv.

[ Szerkesztve ]

Buliban hasznos! =]

Kréta gondok.

Ennek se lesz az ég egy adta világon egyetlen valódi felelőse sem...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Dehogynem, a projektmanager aki rákattintott a vírusos levélre
Az más kérdés, hogy pm-ként mi a gyíkomért látott rá ennyi adatra.

"Fuck the Kingsguard, fuck the city....Fuck the king!"

Lehet ő volt a mindent tudni akaró vezető...

Ti hallottatok már olyanról, hogy valaki meghákolja a routerét, és kamu IP címeket ad? Szóval nem botnet vagy ilyesmi, mert az IP címek nem voltak kiosztva a szolgáltató által, és 5 percenként országot váltottak a log szerint. Elvileg volt ilyen, és az Interpol erre jutott a nyomozás során, nem pedig arra, hogy a logokat is meghamisították. Ez nekem elég fura, mert a válaszok a szervertől elvileg így nem mennének el a támadóig. Sajnos nem tudom, hogy melyik ügyről van szó, elvileg európai, egy online szerepjátékos céget érintett, és 3ook euro volt a káruk és azzal zsarolta őket, hogy nem áll le a támadásokkal, amíg nem fizetnek 5k eurot bitcoinban.

[ Szerkesztve ]

Buliban hasznos! =]

Van egy linked?

https://www.coreinfinity.tech

Nincsen sajnos. Eszteri Dániel egy előadásában hangzott el. Most nézegetem a jegyzeteimet, két hét és államvizsga.

[ Szerkesztve ]

Buliban hasznos! =]

Az is lehet, hogy az ürge értett félre valamit, amit olvasott valahol.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

UDP tamadasban, vagy reflection alapuakban siman lehet hamisitani a cimet, de TCP eseten nem epul fel a kapcsolat, ha nem valos a cim, igy sokmindenre nem hasznalhato.
DDOS tamadasokhoz hasznalhato ez a technika.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Szerintem nem kell ahhoz semmit tákolni.
A LAN portba bekötöd az internet lábat, a DHCP-ben publik IP-t állítasz be és kész.
Vannak olyan gagyi internet szolgáltatók ahol ez simán működhet.

(Hasonlóval találkoztam már. Belső hálózatot sérülékenység vizsgáltam, és olyan alhálózatok jelentek meg, ami nem is a céghez tartozott. Tracerouttal kiderült, hogy a cég belső hálózatából kiment a csomag, és egy tök másig cég/magánszemély hálózatába pedig bemegy és küldi szépen az infókat. A tisztelt szolgáltató nagyon elmakkantott valamit a Mikrotik cuccaiban. Először én sem értettem, hogy mi ez a sok hálózat, de gyanús lett a tonnányi TP-Link, meg Owislink cucc. Nosza elő a szerződést, ott pontosan benne volt az IP tartomány. Telefon az IT-nak, hogy akkor ez most mi, és ők is csak pislogtak.)

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Bocsi. Nem emlékeztem, kb 8 éve volt a vizsgálat, csak mély nyomokat hagyott bennem.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Passz. Az ürge valami NAIH-os, és úgy tűnt olyan ügyekről beszél, amiket ők is vizsgáltak.

Buliban hasznos! =]

Igen, ezért nem értettem, mert elviekben nem lehetséges, mert úgy nem jön meg a válasz, ha másik szolgáltatóhoz küldi a szerver. Az meg elég izgalmas törés, ami úgy zajlik, hogy nem is kap választ, csak vaktában csinálja. Szerintem inkább átírta a log fájlokat random IP címekkel, bár akkor nem tudom az Interpol állítólag miért jutott erre a következtetésre. Kicsit olyan varázslat számba megy. Simán lehet az is, hogy belsős ember csinálta, aki hozzáfért a naplókhoz, aztán átírt mindent, közben meg előadta, hogy kintről támadták a rendszert, vagy akár az is, hogy a naplók nem voltak megfelelően védve.

Buliban hasznos! =]

Wattafak.

Buliban hasznos! =]

Ja és ez Pesten történt, nem Bivalyröcsögén a Garázs internet Kft hálózatán.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.