Mondjuk azért belegondolva abba, amit írtál, az MS ugyanúgy sáros, ha megvesz egy ilyen startupot, mert tisztában van vele, hogy adott adatokat illegálisan gyűjtötték be.

Azért ez nekem még mindég sántít egy kicsit.

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.

A probléma ezzel a gondolatmenettel, hogy csak simán futott az OS ezeken a gépeken, semmi nem crashelt, de így is lejelentett valamit ráadásul olyan cégeknek, amik adatgazdasághoz tartoznak. Ez azért messze nem telemetria, tájékoztatást meg senki nem kapott, hogy ezeknek a cégeknek kiszolgáltatják az adatait és hogy milyen célból. Szóval ha szigorúan vesszük a GDPR-t, akkor ez minimum gyanús, hogy jogsértő.

Buliban hasznos! =]

Azt mondanám, hogy van korreláció a cégméret és a biztonsági/adatvédelmi folyamatok érettsége között, de ez nem jelenti azt, hogy a nagy cég egyértelmüen jó. Foglalkoztam ezzel az egyik szakdolgozatomban más aspektusból és kis minta alapján az jött ki, hogy a nagy cégek biztonságosabbak, de leginkább azért mert mindenféle iparági szabványnak/szabályozásnak megfelelnek. A FAANG cégek szerintem azért biztonságosabbak mint a kis versenyzök, mert 1. nagy célpontok ezért rá vannak kényszerítve, hogy ezekre a folyamatokra költsenek 2. a nagy beszállítók/partnerek elvárnak iparági megfelelöséget és nem restek auditálni öket, 3. több pénz jut mindenre, többek között erre is, 4. ekkora méretnél már muszáj automatizációba fektetni.

Nem sáros, mert a startup nem fogja megmondani, hogy jogsértö módon gyüjtött adatot, a felvásárló cég vagy annak megbízottja meg pont annyira fog belekérdezni, hogy ismerjék a kockázatot, de le tudják tagadni késöbb a bíróságon. Ráadásul felvásárlás esetén szoktak is várni, hogy a két jogi entitás összeolvadjon, hogy egy esetleges per a lehetö legkevesebb kárt okozza.

inf3rno: Telemetria nem kizárólag crashelésre van, ez csak egy példa volt, hogy miért hasznos. Gondolom mikor felrakták az OS-t elfogadták a privacy policyt, abban meg le van írva, hogy mit és miért gyüjt a Microsoft. Másrészt DNS kéréseket vizsgálták a fenti videóban, ami önmagában semmit sem jelent.

Nekem ezzel az a bajom, hogy a böngésző előzmények is utaznak, ami nem biztos, hogy nem azonosítja a usert.

https://www.coreinfinity.tech

Létezik szabadon felhasználható, a magyar törvényekhez igazodó adavédelmi szabályzat?
Amikor egy jogász a Beépülő közösségi modulok (social plugins) fejezetben azt írja, hogy
"A naplófájlok (az IP-címmel együtt) ebben az esetben közvetlenül továbbításra kerülnek az Ön internetes böngészőjéről az adott szolgáltató szerverére, ahol azokat el is tárolhatják."
Akkor megrendült a bizalmam.

[ Szerkesztve ]

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Hát egy kicsit zagyvaság.

Buliban hasznos! =]

Tudomásom szerit nincs ilyen.
Mindenki saját maga készíti el a "sablonjait" amit utána az adott szervezetre szab. Azok a "szabályzatok" amiket csomagba meg lehet venni pár ezer fornintért szerintem semmit nem érnek. Több a baj velük, mint a haszon, mert nincsenek személyre szabva és akor baromságok vannak benne, hogy csak pislog az ember.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Mit mondjak, nem lepődtem meg:
[Hackers steal Activision games and employee data]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Költségvetési szerveknél van most egy új kötelező adatszolgáltatás 5 millió feletti szerződésekről, támogatásokról: [link] Feb 28 a határidő, ha valaki lemaradt volna. Infotv 37/C módosult, és 499/2022. (XII. 8.) Korm. rendeletet hoztak, az utóbbiban van részletesen leírva. Úgy tűnik, hogy nekiállt szívózni a NAIH az információszabadsággal kapcsolatban is, most már átláthatósági vizsgálattal fenyegetőznek, ha valaki nem tesz eleget ennek, és 2 havonta frissíteni kell. Eddig nem nagyon érdekelte őket, talán a tavalyi EUs kutatás, ami miatt beindult a gépezetük. Viszont ott mondták, hogy közzététellel kapcsolatban majd csinálnak ajánlásokat, amivel már legalább fél évet csúsztak. Szóval egy kicsit kaotikusnak érzem őket, de mindegy. Gondoltam szólok, hogy ne maradjon le senki a fenti határidőről, ha olyan helyen dolgozik.

[ Szerkesztve ]

Buliban hasznos! =]

Én úgy tudom, legalábbis januárban azt az infót kaptam, hogy csak azokat az infókat kell feltölteni amit valamilyen eu-s pályázati pénzből valósítottak meg, vagy fognak megvalósítani.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Nem csak azokat, gyakorlatilag mindent, ami évi 5 millió feletti, még ha egy céggel több kisebb szerződést kötsz, és összeadva kijön az annyi, akkor is. Itt érdemes végigolvasni: [link] Csak azért írom, mert nekünk nem szólt senki, ha nem nézem a NAIH oldalát, akkor simán átsiklottunk volna felette, nem jött róla tájékoztató, semmi, és úgy néz ki, hogy szívóznak miatta. Úgyhogy érdemes szólni a cégnél a DPO-nak, hogy vonatkozik e rátok is, és hogy teljesítve van e.

Buliban hasznos! =]

Más. Ismerősnek heti 2-3x jönnek átverős SMS-ek mindig más számról. Van erre bármi megoldás a szám cserén kívül? Lehet ezzel fordulni rendőrséghez, kibervédelmi intézethez, ilyesmi vagy az túlzás lenne? Mármint maga az eset elég extrémnek hangzik, már-már zaklatás szintű, és nem igazán tud semmit ellene tenni. Én max annyit tudnék csinálni, ha lehetséges ilyen valami appal, hogy SMS whitelist, és aki nincs a telefonkönyvében, annak az SMS-ét nem fogadja a mobil, csak a munkájából adódóan (családvédelmis) nem biztos, hogy ez elfogadható opció.

Buliban hasznos! =]

Számcsere nem oldja meg, generálják a számokat. Amit tehetsz: blokkolod és reportolod spamnek.

https://www.coreinfinity.tech

Ez nem pont erre való?

Amíg egy számot nem reportolnak spamként, addig ez nem segít.

https://www.coreinfinity.tech

Ezt nem ajanlom. Siman kuldhetik olyan SMS szolgaltaton keresztul akit mas is hasznal, aztan meg kamillazhat az ember, hogy nem jon meg valami fontosabb SMS.

Én szerintem fertőzött telefonok hálózatáról küldik ki a spamjeiket, és a telefonok tulajdonosai fizetik a költségeket. A kattintásokkal egyúttal telefonokat is szereznek valószínűleg, ha sikerül rávenni a felhasználót, hogy telepítse a malware-t. Aztán 2-3 naponta elhasználnak egy ilyen telot azzal, hogy kiküldenek pár ezer SMS-t. Mondjuk ha 10k kiment, és a szolgáltatók meg is csinálják mielőtt észbe kapnának és letiltanák, akkor 30Ft/SMS áron az 300k Ft. Gondolom a SIM kártya tulaj nem lájkolja, amikor be kell fizetni a számlát.

Feljebb volt szó valamilyen SMS védelemről. Tulképp a bennük lévő domain neveket lehetne nézni, hogy whitelistesek e.

[ Szerkesztve ]

Buliban hasznos! =]

Szerintem az NKI az max felhivást tud közzétenni, de ezek ellen nagyon nehéz védekezni.

Pláne ha lehet olyat csinálni technikailag hogy átverni a szolgáltatót is.
Vagyis létrehozni olyan telefonszámokat, amit a szolgáltató sem lát.

Sokkal több lehetősége van az NKI-nak, mint gondolod. Ha sok embert érint, akkor valszeg foglalkoznának vele, a gond, hogy elszigetelt eset, vagy hát nem tudok többről.

Buliban hasznos! =]

Az publikus hogy miről szól az sms?

Nem mondta, elég vegyes átverős linkre kattintós SMS-ek. Viszont akkor külön foglalkozok majd ezzel az idei képzésen, ha ebből divat lesz. A gondom a mobilos linkes dolgokkal, hogy még fölé sem lehet húzni az egeret, mint asztali gépen, hogy megnézd, hogy hova mutat a link. Azt hiszem long tap-re felhozza talán a menüt, amin meg lehet nézni. Nem vagyok képzett mobilozó.

Buliban hasznos! =]

"linkre kattintós SMS-ek"
SMS-ben (tudtommal) nincsenek linkek.
Azt a telefon (android) látja csak annak. Mint minden számot telefonszámnak hisz.

Nem feltétlenül kell onnan jönnie, simán érkezhet mondjuk Twillio vagy valamelyik cloud szolgáltató felől (pl. AWS SNS), ha leakelödött egy API kulcs.

Utánanéztem közben én is, nekem is úgy tűnik, hogy csak az URL van SMS-ben, nem lehet elfedni jelenleg szöveggel, ami jó. Azt kell a fejekben helyre tenni, hogy az SMS, messenger, stb. és a weboldalak, HTML alapú e-mail eltérő dolgok, és az egyiknél lehet olyat, hogy kiteszek szövegként egy full más URL-t, mint amire ténylegesen mutat, hogy átverjem az olvasóját. https://www.mkb.hu/ Legalább az SMS-nél ez nem probléma. Megnézem majd a telefonos e-mail klienseket, GMailt, stb. hogy azoknál mi a helyzet ilyen téren. Valahogy touch screen-en is meg kell tudni oldani, hogy meg lehessen ismerni a tényleges domaint. Általában URL shortener van, de azt sok szolgáltató szűri, legalábbis olvastam SMS mass delivery service-eknél, hogy bit.ly-s linket ne adjanak meg, mert csökkenti a kézbesíthetőségét (deliverability) az SMS-nek. Jók ezek, azt hiszem ráállok egy kicsit a technikai dolgokra az idei előadásomnál.

Buliban hasznos! =]

Mit szóltok ehhez a sorrendhez?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Szerintem pontos. Nyilván nem fed le minden scenariot, plusz ugye ebben a modellben nincs figyelembe véve a szolgáltatás oldali védelem, ami sokszor akkor is megfog dolgokat, ha amúgy nincs semmilyen 2FA. (device fingerprinting, behaviour detection, stb.)

De amúgy szerintem a token vs app 2FA nem feltétlenül ilyen egyszerű. Az RSA SecurID token gyakorlatban csak egy fizikai OTP, míg a Yubikey támogatja az OTP-t, a FIDO2-t és WebAuthn-t is. Ezt a kettőt kár összehasonlítani, mert nagyon más a threat model.

Hiányzik a 8. pont:
Megkérdi: Te vagy az Zsolt?
Ha igen-el felelsz beléptet, ha nem nem.

Ez trükkös kérdés, mert ha azt válaszolod, hogy "nem, én Béla" vagyok, lehet az a helyes válasz. :-) Tudás alapú azonosítás.

Buliban hasznos! =]

Elvileg úgy van, hogy 3 faktor ("know", "have", "be") lehet, és ha valamelyikből több van, az nem számít, vagy nem számít annyit. Hivatalosan nem számít, de azért ha belegondolunk ha mondjuk tulajdonról van szó, akkor elég nehéz egyszerre több cuccot ellopni vagy lemásolni tőlem. Ha meg már én is jelen vagyok, mert mondjuk megfenyegetnek, akkor meg a legtöbb esetben már mindegy. A device fingerprinting az ugyanúgy "have", mint a mobil vagy a token megléte. A behaviour detection az már "be" alapú, biometrikus, szóval az jó harmadik faktornak.

[ Szerkesztve ]

Buliban hasznos! =]

Még lehet másik 2 is: where, doing. Utóbbi ritka, de az MS már próbálkozott vele - gondolom nem sok sikerrel.

https://www.coreinfinity.tech

Ja, ezt én is így tanultam, de ez a megközelítés szerintem nem húzható rá a gyakorlatra mert túl absztrakt és teljesen öncélúak a kategóriák. Pl. volt olyan identity rendszer amibe olyan logika volt építve ami extra megerősítést kért ha gyanús browserböl, virtuális gépröl vagy geolokációról lépsz be. Valamikor olvastam olyan megoldasról is, hogy a biometrika a normál stressz szintedet is figyeli és nem enged be, hogyha az a normálisnál sokkal nagyobb. Ezeket szerintem nem lehet normálisan ezekbe a kategóriákba begyömöszölni.

Szerintem sem a legjobb felosztás, de azért bele lehet magyarázni szinte mindent. A birtoklás alá bemehet a geolokáció és böngésző adatok, mert birtoklod a gépet, ahonnan ezek az adatok jönnek. A stressz szint biometria, hogy mi vagy. Ott fel lehet osztani szerintem még képességekre és jellemzőkre, mint perifériák kezelése a rád jellemző módon vagy ujjlenyomat. Azt nem mondta senki, hogy csak egyféleképpen lehet azonosítani felhasználókat, lehet egészen bonyolult logika alapján többféleképpen.

[ Szerkesztve ]

Buliban hasznos! =]

LastPass says employee’s home computer was hacked and corporate vault taken

LastPass customereknek kiment a héten egy bővebb leírás az incidensről, illetve kijött ez a cikk is. Nem áll rendelkezésemre más infó mint ami ezekben le van írva, de a támadás komplexitása alapján én arra hajlok, hogy valamelyik nation state volt az elkövető.

Kiment a hivatalos blog poszt is

A blogom is irt rola: [link]

https://www.coreinfinity.tech

Ha ez szerinted nem volt szofisztikalt tamadas, akkor mondd hol dolgozol, mert nincs az a penz, hogy odamenjek.

Abban egyetertunk, hogy maga az exploit nem tul szofisztikalt, itt az az erdekes, hogy hogyan lapatoltak ossze azt az infot, ami vegul a kill chainhez vezetett.
Pl. nem hiszem, hogy veletlenul volt egymashoz ennyire kozel a Plex es a LastPass breach, honnan tudtak, hogy ki az a negy ember akinek hozzaferese van a decryption kulcsokhoz, hogyan sutottek el az XXE exploitot amikor ahhoz local network access kell, plusz megannyi apro kerdes a reszletekkel kapcsolatban amit sose tudunk meg. Ezek azert olyan lepesek amiket nem ugrik meg a legtobb threat actor.

Nohat, akkor kiderult, hogy technikailag tenyleg nem volt szofisztikalt.

Az egyeb informaciok forrasa nagyreszt (vagy akar teljes egeszeben) lehet social media - amennyire az emberek raszoktak ezekre, vadaszni kell azokat, akik nem ott elik az eletuket. Keszseggel revidealom az allaspontomat, ha kiderul valamilyen kapcsolat a Plex es a LastPass breach kozott (pl. az elkoveto egy state actor, de akkor meg egesz mas a leanyzo fekvese, mert meg akkor nincs meg az igazi celpont), de amig ez nincs meg, meg szamomra az is kerdeses, ki volt a valodi celpont: csak a fejleszto, valamilyen szemelyes bosszu miatt, vagy tenyleg a LastPass? Ha csak a fejleszto, akkor a LastPass csak kollateralis aldozat? Netan "menet kozben" jott ra a tamado, mi van a kezeben es elment a falig?

Ezek mind olyan kerdesek, amikre a valaszok minket erdekelnek es tanulhatunk beloluk, azonban - ne legyen igazam - nagy esellyel nem lesz valasz rajuk.

https://www.coreinfinity.tech

Hivatalos ...

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Tessék 24 óra. Most már megerősítheted.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Már elérhetetlen. Gondolom nem az NMHH miatt, de az sem valószínű, hogy a Google ilyen gyorsan reagálna. Akkor mitől?

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Lehet valaki értesítette a szolgáltatót. Vagy valamelyik cert jelzett nekik.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Kali Purple

https://www.coreinfinity.tech

Mondani akartam, hogy biztos ok is bele akarnak majd vagni a blue/purple team businessbe, de latom, hogy mar kint van az ehhez kapcsolodo training/cert.

Kérdés: mennyire problémás szerintetek Enterprise környezetben, ha a kettős tűzfalrendszer mindkét eleme ugyanannak a gyártónak a két (egyébként eltérő típusú) terméke? Nyilván nagyobb kockázatot jelent, mint ha két különböző gyártó termékei lennének, ugyanakkor leegyszerűsíti az üzemeltetést. Nagy általánosságban azt gondolom, ez felvállalható kockázat. Várnám a véleményeket...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Szerintem nem vallalhato kockazat, barmilyen network audit azonnal CRITICAL-ra dobna ki, mint findingot.

Kepzeld el, hogy vki talal egy 0day-t, nyilvanossagra kerul, a gyartonak meg mondjuk 2 hetebe telik befoltozni - addig meg a rendszereid tarva-nyitva allnak.

Persze ha a business oldalnak az uzemeltetes egyszerusege fontosabb, mint a rendszerek tamadhatatlansaga, akkor jo igy - viszont a dontest nem Neked kell meghoznod, hanem a businessnek.

https://www.coreinfinity.tech

Szerintem konkrétumok nélkül nehéz eldönteni. Ha ugyanaz a kódbázis, elektronika az alapja, akkor olyan, mintha csak egy tűzfal lenne. Ha teljesen eltérő a kettő minden szempontból, akkor nem számít. Szerintem biztosabb eltérő gyártóktól választani.

[ Szerkesztve ]

Buliban hasznos! =]

Kérdés az, hogy miért van kettő (loadbalance, HA, vagy csak hideg tartalék az egyik), mi az ami még redundáns (router, internet bekötés)? Van-e értelme egyáltalán a 2 tűzfalnak? Mennyire kritikus az internet kapcsolat?

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ja én úgy értelmeztem, hogy a belső hálóhoz van egy, illetve a kritikusabb rendszerek / belső-belső háló előtt van még egy.

Buliban hasznos! =]