Itt valami román, magyar, német, lengyel, ukrán, stb. címek váltakoztak viszonylag nagy sebességgel a naplókban, és egy jelentős részük a szolgáltatók szerint nem volt kiosztva senkinek. Úgy tűnt, hogy igaz, amit mond vagy elhiszi, mert külön kiemelte a magyar szolgáltatókat, hogy azoknál nem volt kiosztva az IP, ami a naplókban volt. Szóval vagy történt ilyen, vagy a naplók voltak hamisak. Mindenesetre fura egy eset, ha az Interpol tényleg arra jutott, hogy nem a naplók voltak hamisak. Akkor lehet egy zero day az IP szabványban vagy ilyesmi. Szerintem valami más volt a dologban, lehet titkosszolgálati ügy vagy hasonlók, vagy csak balfasz vezette a nyomozást, vagy valamit tényleg félreértett.

Azért egy szolgáltató rendszerén belül összehozni ezt sem egyszerű. Én is csak néznék, hogy hogyan sikerült. Ezért is jobb, ha van saját router szolgáltatói eszköz helyett.

[ Szerkesztve ]

Buliban hasznos! =]

Btw Nmap tolta ezt ki, vagy pontosan hogy csináltad?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Igen, és erre teljesen véletlenül derült fény. Elírtam a Nmap-ben az IP cím tartományt.Eredetileg csak 20 IP-t akartam megnézni, de helyette 20 tartományt futtattam meg.A scannelésnél beállítottam, hogy a MAC cím alapján kérdezze le a gyártót is. Mikor elkezdtek fura gyártók feltűnni a listában, akkor kaptam fel a fejem, hogy itt valami nem okés, és akkor láttam, hogy kicsit nagyobb a merítés, mint szükséges.
Ekkor ráküldtem egy traceroute-ot és akkor láttam, hogy itt bizony komoly gond van. Az ügyfelünknek annyi szerencséje volt, hogy a szolgáltató Mikrotikje után volt egy komoly saját tűzfaluk, így legalább hozzájuk nem lehetett kívülről bejutni.
Egyébként valószínűleg ott lehetett a gond, hogy a szolgáltató a Mikrotikek WAN lábának 10.x.x.x-es címeket osztott, a Miktorik LAN ész ügyfél tűzfalának WAN portaj között pedig 192.168.x.x volt. Így mivel ez full privát IP címes hálózat volt, gondolom az eszköz előzékenyen route-olt mindent hátha meg lesz a cél hálózat. (Úgy tudom még azon a héten kerestek másik net szolgáltatót, mert mikor jelezték a szolgáltatónak, hogy van egy kis gond, azok azt sem tudták miről van szó.)

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Tudtok valamit arról, hogy az önkormányzati honlapokat ASR felügyelete alá vonják? Most kaptunk levelet az NKI-től, hogy adategyeztessünk. Eddig úgy tudtam ilyen szolgáltatás csak kérésre indul, és nem írtak semmit az oldalukon, hogy kötelező lenne. Nem mintha tiltakoznék, csak furcsállom, hogy ők kerestek meg.

[ Szerkesztve ]

Buliban hasznos! =]

Mit értünk ASR alatt? Automata sérülékenységvizsgáló rendszert?
Lehet hogy a 41-esre hivatkozva teszik majd kötelezővé (meg a mási kormányrendeletre, ami szerint csak az NKI végezhet sérülékenység vizsgálatot ebben a körben).
Btw többet is tudok a témáról, de nem hinném hogy publikus lenne.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Igen. De ez nem mostani történet. 2020 végén mér egyszer kellett regisztrálni, most szerintem csak frissítik az adatokat.
Mellesleg az egésznek eddig semmi értelme nem volt. Az elmúlt 2 évben csak arról érkezett riasztás, hogy 1-5 perce nem volt elérhető a webodlal, vagy nem érkezett válasz a megadott IP címről.
Ez nem tudom változott-e, vagy fog-e változni.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Szerintetek a Kréta miatt fog az NKI vizsgálódni?

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Benne van a pakliban.
Más kérdés, hogy mit és mennyire fognak a szőnyeg alá söpörni...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Felmerült bennem, hogy vajon ennek hatására esetleg felmerül-e a gondolat, hogy kiterjesszék az IBTV-t a közszférába beszállító adatfeldolgozást végző cégekre is. Most csak azt kell a beszállítónak teljesítenie amit a szervezet előír számára. (ami kb 0 feltétel) Illetve felmerül-e, hogy esetleg a központi rendszereket kicsit vizsgálják meg. (Tudom, ezt hülye gondolat, inkább csak ki akart jönni.)

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ja erről nem tudok, akkor még nem voltam itt, de majd átnézem a régi levelezést. Csak érdekelt, hogy mennyire kötelező azonnal reagálni erre meg hogy mi az ügymenete.

Buliban hasznos! =]

Kitöltitek az Excel táblát és visszakülditek.

Mondjuk nekem ezzel a táblázattal elég sok kérdésem van, írtam is az NKI-nak, de válasz még nincs.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Nekem inkább technikai részletek nem világosak. Az egyik, hogy a honlapunkra, vagy a belső hálózatunkra vonatkozik e a tesztelés. A másik, hogyha a honlapra, akkor hogyan fogom elérni, hogy a hoszting szolgáltató átengedje a tűzfalán a megadott IP címeket, és ha mondjuk van védelmük, ami automatikusan reagál bizonyos próbálkozásokra, másokra meg nem, akkor ne tiltsák le zsigerből őket, hogy teljes legyen a teszt. Ilyen dolgok jutottak eszembe, de majd átolvasom az egészet, hogy mi ez, meg utána azt hiszem felhívom őket.

Buliban hasznos! =]

Belső hálót távolról nem vizsgálnak.
Weboldalt nem vizsgálhatnak, mert a szolgáltató csúnyán fog nézni.

Ezzel kb amit lehet vizsgálni az a publikus IP cím és az azon elérhető szolgáltatások, valamint a szervezet által üzemeltetett felhőben lévő szerverek.

De mondjuk a szervezet NTG végpontját be kell írni? Vagy mondjuk a NISZ-nél lévő virtuális szervert amit a szervezet rendszergazdája üzemeltet?

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Hát fogalmam sincs. Én a honlapot fogom beírni meg az itteni belső hálót, aztán kalap. Úgy vagyok vele, hogy úgyis szólnak, ha hiányérzetük van.

[ Szerkesztve ]

Buliban hasznos! =]

Weboldalt nem vizsgalnak? WUT?

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Hostingolt weboldalt nem nézhetnek, mert a Tré vagy bármely más cég elég csúnyán fog nézni, ha detektálja, hogy portscan meg egyebek irányulnak az infrájára.
Btw mesélték az NKI-sok, hogy volt olyan jóképességű üzemeltető, aki kitöltötte úgy az Excelt, hogy a WAN címhez 192.168-as IP-t adott meg...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Nalunk elkepzelhetetlen, hogy publikus weboldaknak ne legyen pentestje...
Raadasul red team tesztek eseteben akar "eles" malware-rel is dolgoznak a teszterek.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Ha ez segít, a német cloud szolgáltatónknál ez úgy van, hogy a publikus infrát automatikusan scannelik valamelyik fricc minisztériumból és ha valami problémás dolgot látnak, arról küldenek emailt a szolgáltatón keresztül. Kizárt dolog, hogy belsö infrát scanneljenek föleg valami agent nélkül. Annyira azért nem vagyunk kibernagyhatalom.

Meg mondjuk ha be van állítva egy fail2ban vagy hasonló akkor jó eséllyel már a portscan elbukik.

Mellesleg a 2020-as doksiban benne volt, hogy az NKI részéről megadott IP címet kivétel listára kell tenni minden védelmi szoftverben, hogy ne akadályozza a scannelést. MOndjuk egy ilyet keresztül vinni egy szolgáltatón az szép manőver. Én biztos dobnám vissza a levelet, hogy köszi de nem éri meg nekem a munkaidőt, hogy 1 weboldalhoz külön konfigot gyártsak.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ma találkoztam és másodmagammal egy órán át eszmecseréltem egy igazi, hús-vér kiberkoordinátorral; ilyen se volt még a praxisomban...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

A beszélgetés anyaga milyen minősítésű?

Buliban hasznos! =]

Define: Kiberkoordinátor.

Security Incident coordinator? Tényleg érdekel

"Fuck the Kingsguard, fuck the city....Fuck the king!"

Az olyan mint a kibervédelmi szemlélő?

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

inf3rno: nyílt nem nyilvános... Egyébként semmi komoly, ismerkedés, networking.

VágniValó: ő a külügyes srác volt (a két keresztnevű), nem a BM-es ürge. Ennek megfelelően inkább a külkapcsolatokra irányul a tevékenysége (normális, szimpatikus ürge volt egyébként, már amennyire a jelenlegi politikai közegben annak lehet lenni).

Xpod: hehe... Szakmai mélységekbe nem nagyon mentünk bele, ezt a részét nehéz megítélni.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Mit gondoltok a jelszómenedzser alkalmazások használatáról, céges környezetben? Ajánlott, nem ajánlott? Mire célszerű odafigyelni, ha valamely cég a bevezetése mellett döntene?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Nem találkoztam még olyan szervezettel, ahol ne javított volna a biztonságon a használata. Nyilván ha mindenhol van SSO, nincsenek shared credentialek és mondjuk csak secreteket kell tárolni valahogy, akkor kikerülhető, de többször jött már szembe questionnaireben, mint követelmény.

Itt a vonatkozó NIST ajánlás

Igen! Kell, egy db amit hivatalosan megvesz a cég és software catalouge-ban szerepel.

"Fuck the Kingsguard, fuck the city....Fuck the king!"

Nekem a felhőben szinkronizált megoldások nagyon nem szimpik. Egy hiba a cégnél és megvan az összes jelszavad. Maximum úgy tudom elképzelni, hogy végpont titkosítás van, és a cég sem tudja feloldani, mert csak helyben lehet helyi kulccsal, de gyanítom nem így működnek. Egyelőre ez a benyomásom. Be akarom vezetni itt is helyben, mert valahol gond a sok jelszó kezelése, beírogatása, de még nem jutottam addig, hogy utánanézzek mi lenne nekünk a megfelelő, pláne hogy nulla közeli összeg, amit elköltenének rá.

[ Szerkesztve ]

Buliban hasznos! =]

Javasolt.
Az elvárások különbözőek, de sok jelszó esetén segítség lehet a monitor alján, naptár hátulján, felső fiókban található kockásfüzetben szereplő szereplő jelszavak eltüntetésének.
Sokféle megoldás van ezek tudása és a nyújtott szolgáltatások eltérőek lehetnek.
Viszont könnyű belecsúszni abba a hibába, hogy a userek megosszák a jelszavaikat egymással.

Mekkora cég? MIlyen feature kell? Mennyi a központi rendszer? Mennyit szántok rá?
A skála elég széles a Keepass, Syspass, Thycotic között.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Létezik valami ajánlott opensource megoldás is?

Buliban hasznos! =]

Olvasd el a security whitepapereket, az osszes nagyobb password manager zero-knowledge alapon mukodik es csak a titkositott vaultot tarolja.

Syspass. Saját linuxos szervereden futtatod. Hivatalosan nincsenek beépülő moduljai, de pl a belépéshez tud 2FA-t. (github-on van Firefox és Chrome plugin a jelszavak kitöltéséhez)

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Köszi mindenkinek.
Nem nálunk merült fel, hanem az egyik ügyfélnél.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Na ez legalább megnyugtató.

Buliban hasznos! =]

Köszi!

Buliban hasznos! =]

Ha nem kell a központosítás, akkor a KeePass is megfelelő lehet.
Mondjuk itt van egy kockázata, hogy a kliens eszköznek azért gyengébb lehet a védelme mint egy szerverek, és ha lemásolják az adatbázis BrureForce előbb utóbb kinyitja.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Nem fontos, összesen 2o gép, mindenki szinte csak egy munkaállomáson dolgozik, és mindenkinek külön jelszava van mindenhez, kivéve ahol elcseszett a központi szerver, és ezt nem engedi.

Azt akarom elkerülni, hogyha esetleg megtörik valamelyik gépet, akkor kilapátolják a jelszavakat a böngészőből, vagy txt fájlból vagy ilyesmi. Most kockás füzet van zárható fiókban ideiglenesen az egyik helyen. Eddig monitorra ragasztott jelszavak voltak, úgyhogy már ez is haladás. Tényleg nulláról kell felhozni őket. Plusz az informatikusok keményen betartanak ahol csak tudnak. Nem tudom, hogy kell e nekem ez a meló jövőre is. Érdekes módon a honlapot vivő informatikus full más cég, azzal meg remekül tudunk kooperálni. Tényleg cége válogatja.

[ Szerkesztve ]

Buliban hasznos! =]

Imádom én is az ilyen partnert.

Vezetőség milyen? Ott azért alá lehet kicsit pörkölni az üzemeltetőknek.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Egy kis zavart érzek az Erőben.
A monitorra ragasztott post-it-en tárolt jelszavak ellen nem jelszómenedzserrel (azzal max. annyi változás lesz, hogy a központi jelszó lesz kiplakátolva), hanem oktatással és ellenőrzéssel (szükség esetén számon kéréssel) kell küzdeni.
Btw a rutinosabbak azt a "ravasz" trükköt tolják, hogy a klaviatúra aljára ragasztják a jelszavakat, az expertek meg a monitor márkáját adják meg jelszónak, mert azt ki se kell post-it-ezni, rajta van gyárilag...
Jah, és a jelszavakat nyugodtan fel lehet (sőt: van amit fel is kell..) írni. Csak az nem mindegy, hogy hol tárolod (páncélban, lezárt borítékban nyugodtan).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Nehéz nekik alápörkölni, mert vannak kapcsolataik. Amúgy már rég elintéztem volna, hogy a másik informatikus vigye az egészet. Ez van. Addig nincs baj, amíg nem üt be egy incidens, onnantól meg szopóág mindkettőnknek. Én nem tudom végezni a munkámat miattuk, ők meg ha elbasszák majd gondolom rám mutogatnak.

Buliban hasznos! =]

Én már láttam az asztal sarkán virágcserépbe elhelyezett laminált jelszó listát. Bónusz pont, hogy kulcskarika volt belefűzve, amin több kulcs is lógott (irattár, a user szekrénye, meg még egy zárható lemez szekrény amire nem mertem rákérdezni)

Az alápörkölést úgy értettem, hogy a vezetőséget ha sikerül meggyőzni, akkor ők tudnak esetleg hatni az IT-ra. Az ilyen beszélgetést általában a büntetés, gazdasági károldalról érdemes kezdeni és a 0 Ft-ból megoldható dolgokkal kell szembe állítani.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Az a gond, hogy nagyon sok jelszó van, és nem tudják fejben tartani, azért jó lenne a gépen tárolni őket, csak amíg ott nincs levédve, addig inkább nem. Egy mesterjelszót meg csak fejben tud tartani mindegyik. Itt most kisebb az esély arra, hogy fizikailag betörnek, és elviszik a jelszavakat, mint hogy valaki rányom egy ransomware-re, aztán az viszi el, azért most egyelőre ez a megoldás van. Persze, páncélszekrényben lehet tárolni az olyanokat, ezt nem vonom kétségbe. Majd ha ez megvan, akkor lesz terv arra, hogy mi történik, ha kiszivárognak a jelszók, hogyan kell resetelést kérni a szolgáltatóktól, jelenteni, stb. Ezt össze akarom szedni, hogy ne akkor kelljen agyalni rajta. Aztán akkor legalább a jelszavas része rendben van. Oktatást már tartottam idén, hogy hogyan lehet adathalász leveleket felismerni. Ott látok némi javulást, valaki már írt facebookon, hogy hála az oktatásnak nem nyomott rá.

[ Szerkesztve ]

Buliban hasznos! =]

Köszi! Ez jó tipp.

Buliban hasznos! =]

Erre nem a jelszómenedzser a megoldás hanem a single-sign on.

Ez nagyon kontextus függő szerintem. Ennél az intézménynél még szerver sincsen, csak egy minimál NAS, és nulla összeget tudnak félrerakni erre az egészre. Ha találok egy ingyenes opensource asztali alkalmazást vagy böngésző plugint, ami mesterjelszó beütésére kitölti a beléptetős űrlapot, akkor már elégedett vagyok.

[ Szerkesztve ]

Buliban hasznos! =]

A Synology tud tartományvezérlő funkciókat, érdemes megnézni mit lehet belőle kihozni.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.