Rájöttem mit szúrtam el. Így már nem lesz akkora poén.
A ticketing rendszer felismeri a domaint amiről küldtem, így a kollégák nem kapják meg, ellenben hibajegy nyílik belőle.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Persze, úgy van értelme.
Bár nem minden területen van erre szükség.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Szerintem itt folytonos átmenet van attól függően, hogy mennyi energiát fektetnek a célpont tanulmányozására. Lehet ágazatra, cégre, munkavállalói csoportra, konkrét személyre is lebontva, illetve ezek valamilyen kombinációja. Az igazán durva eseteknél a vezérigazgatót próbálják megszemélyesíteni, amikor tudják, hogy közvetlenül nehezen elérhető, és a pénzügyet próbálják átverni vele, hogy utaljanak.

Buliban hasznos! =]

Értem, arra azért kíváncsi lennék hogy olyat meglehet-e jogilag tenni hogy megbízni X munkatársat, akinek jók a kapcsolat teremtő képességei, hogy kerüljön közelebb Y munkatárshoz, és " szedjen " ki belőle minél több információt a személyes dolgairól.
Vagy ezt már tiltja a jog?

Mert lássuk be, az igazán kritikus cégek esetében nem biztos hogy a támadás kívülről jön közvetlenül.

4-5 biztonsági osztályoknál esetleg lehet ilyen, de azért elég durva tesztnek.
3.1.7.4. Belső fenyegetés
A biztonságtudatossági képzés az érintett személyeket készítse fel a belső fenyegetések felismerésére, és tudatosítsa jelentési kötelezettségüket.
[link]

Ennél jóval kevesebbet csináltam az egyik oktatásnál, de már ott is jogi aggályaim voltak, mert profilozás történt, aztán a végén inkább anonimizáltam az adatokat, és inkább a csoport átlagra, esetleg profil klaszterekre koncentráltam az egyes személyek helyett. Biztosan lehet nagyon indokolt esetben ilyesmit. Szoktak social engineering auditot tartani, de ennyire nem szoktak beépülni. Inkább odamennek azzal a szöveggel, hogy pl. ISO auditot tartanak, aztán hirtelen minden ajtó megnyílik és senki nem kéri el a papírjaikat, stb. Nem jellemzőek ezek a kémfilmes hónapokig felépített auditok, bár biztos van az a pénz. Így is rohadt drágák amúgy. Talán katonai létesítményekben el tudom képzelni, de ott meg fennáll a veszélye, hogy túlreagálják, és lelövik a kém gyanús illetőt, stb. A munkamorálnak is szerintem kifejezetten árt egy ilyen fajta teszt. Megrendülhet tőle a bizalom a munkavállaló és a cég között.

[ Szerkesztve ]

Buliban hasznos! =]

Ez már azért morális kérdéseket is felvet, a jogi kérdéseken túl.
Nem gondolnám, hogy ez a jó irány. Egy ilyen tesztnek optimális esetben az a célja és a hatása, hogy hatására biztonságtudatosabbak lesznek a munkatársak. Nem az, hogy megverjenek valakit, vagy éppen elmeneküljenek a cégtől.
Bár anno a Wizzair-nél állítólag volt olyan fizikai biztonságot célzó/tesztelő vizsgálat, hogy egy dühös tömeg (ami egytől egyig beavatottakból állt) benyomta az ajtót és a földre vitte a biztonsági őrt - ha ezt meg lehet csinálni, akkor bármit is. Csak kell hozzá egy megfelelően biztonságtudatos és érett közeg is...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

"szedjen " ki belőle minél több információt a személyes dolgairól.

És ennek mi köze a szervezethez? Miért jó hogy megtudja a kollégáról, hogy imádja a rózsaszín unikornisos tangát?

#1555 inf3rno
"3.1.7.4. Belső fenyegetés
A biztonságtudatossági képzés az érintett személyeket készítse fel a belső fenyegetések
felismerésére, és tudatosítsa jelentési kötelezettségüket."

Ez inkább arra vonatkozik, hogy vegye észre és jelentse a kolléga az idegen laptopot a hálózati nyomtató mellett, vagy ha ismeretlen kószál a szerver szoba környékén, esetleg valaki turkált az asztalán.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Szerintem egy igazi támadás esetén a támadónak sem biztos hogy lesz majd " lelke "

Mert oké hogy egy ilyen teszten vannak szabályok amiket be kell tartani, de ezek amolyan tanító jellegű dolgok.
De vajon éles helyzetben, amikor igazából nincsenek szabályok, is jól tudnak működni a dolgok?
Mert ugye mondják hogy ez pszichológia is.
Ha rá kattint a teszten, miért teszi?
Kíváncsi tipus az illető?
Sikerült neki épp olyat küldeni amivel jobb lett a hangulata?
Mivan ha éles helyzetben meg a kíváncsi tipus pont nem kíváncsi, mert rossz a hangulata?
Így meg pont sikerül elkerülni a dolgot.
Vagy inkább az a gond hogy az embereknek nem alakul ki egy egészséges " paranoia " szint?

Ja, olyan éles teszt hogy próbaképp elraboljuk a dolgozó gyerekét és megzsaroljuk hogy ha nem beszél elküldjük a levágott fülét stb...
Kiderülne hogy ki a megbízható munkatárs.

Buliban hasznos! =]

Volt meetingem security consulting ceggel ahol a red teamet igy akarta eladni az egyik saleses. Hat, nem oket valasztottuk.

Deepfake...

Igazából elég lenne annyi hogy készíteni arról egy deepfake felvételt ahogy elrabolják a gyerekét, majd az egészet elküldeni céges e-mail-re, benne egy link-el, ahol ott van a fake videó, meg valami huncutság is.
Persze ebbe bele kell vonni a célszemély gyerekét, stb..
Lássuk be azért ezt is nagyon elő kell készíteni.
De ez már nagyon aljas dolog.
Viszont a múltkor találkoztam amolyan hétköznapi emberként az ilyen adathalászat szerüség újabb aljas " megoldásával"
A nézd meg ki halt meg, lehet valamelyik ismerősöd, alatta meg ott egy link...

[ Szerkesztve ]

Valszeg elég, ha fent van a közösségi médiában a gyerekről egy csomó kép, aztán abból lehet 3d modellt alkotni. Szerintem egyre nagyobb problémát fog jelenteni a deepfake a jövőben. Elég pl. a hangot hamisítani, aztán máris azt hiszik a főnök telefonál.

[ Szerkesztve ]

Buliban hasznos! =]

Halló itt a főnők.
Igen főnők?
Amúgy te nem is a főnök vagy, olyan mélyhamis a hangod, ha érted..
Viszlát.

Ezzel az indokkal igazából az igazi főnököt is le lehet rázni p*csába :D

Mondjuk nalunk negyedevente van legalabbb phishing teszt, szovel ez a felkeszultseg melletti arany...

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Jaja, itt legalabb van ilyenre penz (mondjuk nem minden bank egyforma).

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Látom nem világos, hogy deepfake-el hangot is lehet másolni. [link] A másik, hogy sokszor olyan alkalmazottat hívnak fel egy sok ezer fős cégnél, aki az életben nem látta a vezérigazgatót. Tényleg nem is tudom mire kommenteltél.

[ Szerkesztve ]

Buliban hasznos! =]

Igazából az igazi főnököt a policy-vel fogod lerázni, mert a policy olyan, hogy mindenkire vonatkozik - a CEO-ra is.

Arra nagyon oda kell figyelni a tesztelésnél, hogy ne menekülést váltson ki a célszemélyekből, hanem gondolkodást. Ha túltolod, a teszt eredménye hamis lesz és semmilyen security awareness-t nem építesz vele, de legalább túlterheled az IT-t és a security-t false positive-okkal, plusz az alkalmazottak félni fognak minden emailtől és egyéb kommunikációs formától, ami szintén a produktivitás kárára megy

https://www.coreinfinity.tech

Írtam erről a szakdolgozatomban. Nagyjából az a lényeg, hogy pont olyan helyeken nem akarnak részt venni a főnökök a képzésben, ahol sebezhető a rendszer, mert a főnökök szarnak a policyre, pedig ha jó a szabályzat, akkor a betartatásával megelőzhetőek ezek a csalások. Ha van olyan kategória, pozíció, amire nem vonatkoznak a szabályok, akkor onnantól sebezhető a szervezet. Érdemes mérni, hogy mennyire tartják be a saját szabályzatukat, miérteket keresni, és korrigálni vagy a viselkedésüket vagy a szabályzatot. Nyilván minden védelmi intézkedésnek költsége van, és az egy szabályzatnál legtöbbször az alkalmazott ideje lesz ahhoz képest, ha a szabályzat megkerülésével csinálná a munkáját hatékonyabban, csak kevésbé biztonságosan. Pl. egy e-mailnél a feladó ellenőrzése időbe kerül.

[ Szerkesztve ]

Buliban hasznos! =]

Erre találták ki a C-level traininget.

https://www.coreinfinity.tech

Szerintem ha olyan a helyzet akkor egy normális főnök az nem kap attól idegbajt, ha egy beosztott kétségbe vonja azt hogy ő-e főnök, pláne ha nem látta és a hangját meg nem hallotta soha.

Ahol a C level szarik a policy-re, ott nincs normálisan kommunikálva az egyéni kockázat. Meg kell velük értetni, hogy ha feltörik a céget és visznek mindent akkor Gipsz Jakab random alkalmazott feláll, talál magának másik munkát és éli tovább az életét, viszont C szinten az úr/hölgy konkrétan a saját pénzét/részvényeit kockáztatja a hanyagsággal.

Az NKI megválogathatná a munkatársait.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ez is a "céges kultúra" része. Nem szeretnék ilyen cégnél dolgozni, vezetői támogatás nélkül nem is lehet ezt a munkát ellátni.

Buliban hasznos! =]

Valójában annyira nem, hogy nekik kell lenni a leading examples-nak. Ha az átlagrozi azt látja, hogy a nagyfőnök tesz a policy-re, akkor ő is falrahányt borsónak tekinti.

https://www.coreinfinity.tech

Pont erről beszélek én is. A céges kultúra a vezetéstől függ, ha rossz a céges kultúra szabálykövetés terén vagy követhetetlenek a szabályok, esetleg nincsenek is, akkor biztonsági szempontból esélytelen bármit elérni a cégnél, és jobb ott hagyni.

Buliban hasznos! =]

Ja végülis beszélhetnénk magyarul is egy magyar fórumban. Fejétől bűzlik a hal, aztán kész.

Buliban hasznos! =]

Ezen meg sem lepődök.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Sziasztok,

Szakmai szemmel valaki meg tudná erősíteni, hogy ez a videó hiteles, avagy sem? [link]

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.

Valószínűleg az, de bármikor indíthatsz te is egy Wiresharkot, aztán megfigyelheted a Windows adatforgalmát. Részben valóban megy a kémkedés, részben lehetnek elfogadható magyarázatai is ennek az adatforgalomnak. Valószínűleg mobilon még durvább a helyzet.

Buliban hasznos! =]

Köszönöm!

"részben lehetnek elfogadható magyarázatai is ennek az adatforgalomnak"

Melyek lehetnek ezek a magyarázatok? Ennyi cég felé küldenek adatot, amiknek legalább egy része profitorientált. Elég durva, legalábbis amit itt a videóban lehet látni az a kikapcsolt telemetria állapota.

[ Szerkesztve ]

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.

Pl. a Bing-nél a keresőnek van egy olyan funkciója emlékeim szerint, ami interneten is keres, nem csak helyi gépen. Aztán elképzelhető még, hogy valamilyen adatbázis frissítést csinálnak bizonyos szoftvereik, pl. vírusirtók esetében gyakori a vírusdefiníciós adatbázis frissítése. Elképzelhető az is, hogy XP-nél még mindez az update webhelyen keresztül zajlott, aztán azóta szétosztották több domainre. Ami nem köthető az MS-hez külső cég viszont nehezen indokolható, főleg hogy bevallottan adatból élnek és profit orientáltak.

Buliban hasznos! =]

Durva. Linuxoknál hallottál-e arról, hogy léteznek-e hasonló jellegű adatforgalmak?

Személy szerint Ubuntuval kapcsolatban olvastam valamit, ami miatt páran elfordultak ettől a disztrótól.

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.

Ja systemd-re mondják, hogy kémked meg backdoorokat tesz a rendszerbe meg ilyesmi, de szinte minden Linux disztró azt használja. Nem tudom van e bármi valóság alapja, nincs időm ezeknek utána nézni.

Buliban hasznos! =]

Nem csak a Bing keresonek, a Windows 10-11 beepitett keresoje is online service, tan 2 eve volt is belole nagy balhe, mert vmit redmondiek elkaffantottak es a Start gomb megnyomasa csak egy fekete ablakot hozott be.

Rowon: gyakorlatilag a Windows 10 elso megjelenese ota tudhato, hogy a Windows spyware, nincs ebben semmi meglepo.
Az Ubuntu a keresest kuldte ki az Amazonra, anelkul, hogy errol barkit is tajekoztatott volna, vagy hogy opt-in lett volna a szolgaltatas.

https://www.coreinfinity.tech

Fasza... Remélem Debiannál nincsenek és nem is lesznek ilyen gondok.

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.

Nem fogtok találni olyan modern enterprise szoftvert, ami nem használ ilyen mértékű telemetriát. Mielőtt még ez ennyire elterjedt volt, azelőtt ha elrontottak valamit akkor meg kellett várni a user reportokat, hogy mi, miért, mikor, milyen hardwaren szállt el, ami rendkívül hosszú és eröforrásigényes feladat volt. Ma ha kitolsz egy frissítést ami mondjuk kizárólag a RandomVendor Xyz 3000 C típusú laptopokon crashel amikor calc.exe-t indítasz, akkor erről azonnal értesül a fejlesztő és elkezdhet rajta dolgozni vagy blokkolhatja a frissítést, mielőtt még szeléskőrűvé válna a hiba. Kb kizárólag az identity és a payment modulokba nem szoktak telemetriát rakni érthető okokból.

Így van.
Tegyünk hozzá két dolgot:
1. Nincs ezzel semmi gond addig, amíg az adatkezelést a GDPR előírásait betartva folytatják: anonimizáltan vagy aggregáltan, felhasználóhoz nem kötve, adott (tolerálható) célok mentén, a tisztességes adatkezelés elveit nem szem elől tévesztve, megfelelő tájékoztatással (!!!).
2. Az MS (és a Google meg a többiek) eddigi gyakorlata alapján, joggal köpködnek a felhasználók, még a jogos(nak tűnő) telemetria miatt is: nem elég tisztességesnek lenni...

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Logikusnak találom azt, amit írsz, de kétlem, hogy az én adataimat csak arra használják, hogy az oprendszer fejlődjön. Ennyiből számomra mind az MS, mind a Google hiteltelenek, bármennyire jó szoftvereket is gyártsanak.

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.

Gondolj arra, hogy több milliárd ember használja a szolgáltatásaikat. Elemi szükséglet, hogy ekkora léptékben kizárólag a szükséges adatokat gyüjtsék be, mivel nekik sincs ingyen se az adatok tárolása, se azok feldolgozása vagy kezelése. Nagyon népszerű az a gondolat, hogy a gyártók szeretnek kémkedni, de amikor ilyen cégeknél dolgoztam akkor pont az volt a szempont, hogy a lehetö legkevesebb de még használható adatot gyűjtsünk be, mert undorítóan drága volt a logging, monitoring, telemetry, főleg ha kereshetönek is kellett lennie.

A Microsoft, Google és az amerikai big tech ráadásul kimondottan nagy célpont és az EU előszeretettel baszogatja öket nyomásgyakorlás céljából, úgyhogy kifejezetten sokat foglalkoznak azzal, hogy megfelelően kezeljék ezeket az adatokat. Google kontakt mesélte, hogy pl. ha egy alkalmazott elkezd keresgélni az adataidban jogos érdek nélkül akkor kb azonnal páros lábbal rúgják ki.

" Elemi szükséglet, hogy ekkora léptékben kizárólag a szükséges adatokat gyüjtsék be"

Miért vagy ennyire biztos ebben? Főleg az AI korában. A Big Datát (ha ez, amiről beszélek beleesik ebbe a fogalomkörbe) már nem csak emberek kezelik, hanem mesterséges intelligencia.

Nem újdonság ez a felhasználói adatokkal való bizniszelés, annak idején a klasszikus mobiltelefonok hőskorában is megcsinálta azt a szolgáltató, hogy pénzért kiadta, hogy egy népesebb település melyik pontján telefonálnak legtöbbet az emberek. Az adott cég ott nyitott magának nagy forgalmú éttermet. Ennyi.

Majd pont az MS, a Gugli, meg a többi gyomorforgató cég nem fogja meglépni ezeket a lehetőségeket.

"Google kontakt mesélte, hogy pl. ha egy alkalmazott elkezd keresgélni az adataidban jogos érdek nélkül akkor kb azonnal páros lábbal rúgják ki."

Őszintén, bízok benne, hogy ez így van. Egyenlőre telefonon az Androidot nem tudom megkerülni, még ha olyan alap dolgokat le is cserélek, mint pl. keresőmotor, meg kigyomlálom az alap Google alkalmazásokat a rendszerből ADB-vel.

[ Szerkesztve ]

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.

Azért gondolom ezt, mert majdnem tíz éve big tech product részén dolgozom, volt ahol én adtam az áment arra, hogy milyen adatokat gyüjthetnek be a userektöl. Láttam elrontott adatgyüjtés miatti üvöltözéseket, amikor egy megnövelt log level miatt hirtelen egy nagyságrenddel nagyobb bejövö adat után számlázott a beszállító, borítva az éves budgetet. Az amúgy is tárolt információkból aggregált insight eladása összehasonlíthatatlan azzal, hogy megkérdöjelezhetö hasznosságú párszáz kilobyte-os crash dumpokat gyüjtögetsz folyamatosan céltalanul több millió embertöl, hogy majd jó lesz valamire.

Ha a Googlenek vagy a Microsoftnak valamilyen ML modellre van szüksége és újfajta adatok kellenek amit nem tudnak házon belül összedrótozni, akkor inkább megvesznek egy startupot, akik ezeket már (illegálisan) begyüjtötték, hogy ne az övék legyen a felelösség.

Persze elöfordul egy ekkora cégnél, hogy egy túlbuzgó product manager elront valamit és olyan adatokat kezdenek gyüjteni amit nem szabadna, de nagy cégeknél az ilyesmik megelözésére vannak emberek és folyamatok, míg a kedves emberarcú startupoknál kb vadnyugat van security és privacy szempontból is.

Értem. Nagyon letömörítve a lényeget, hogy megértsem. Minél nagyobb valami annál jobban bízhatok benne, mert neki is érdeke, hogy bízzanak benne? Ezt kijelenthető általánossagban, vagy árnyaltabb a történet?

Linuxokkal kapcsolatban vannak tapasztalataid adatvédelem terén?

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.