Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Gyorskeresés
Legfrissebb anyagok
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
Általános témák
LOGOUT.hu témák
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [Luck Dragon:] MárkaLánc
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] Gurulunk, WAZE?!
- [Re:] [sh4d0w:] Rebel Moon - Ne nézd meg!
- [Re:] [attilasd:] A laposföld elmebaj: Vissza a jövőbe!
- [Re:] [ubyegon2:] Airfryer XL XXL forrólevegős sütő gyakorlati tanácsok, ötletek, receptek
- [Re:] Elektromos rásegítésű kerékpárok
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Téma összefoglaló
Hozzászólások
section9
őstag
Hat mindenki ugy neheziti az eletet ahogy akarja. Nyilvan lehet lokalba felhuzni ADFS-t, de ha a random KKV rendszergazdai nekiallnak “megoldani” akkor elobb lesz belole breach mint barmilyen felhos szarbol.
sztanozs
veterán
ha az SSO PW helyett OTP, akkor tamogatom, de ha password + OTP, akkor szerintem tovabbra is overkill...
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
Egon
nagyúr
Továbbra is vannak cégek, ahol a felhő tabunak számít. Ez nem nehezítés, mazochizmus vagy öntökönlövés, hanem különböző szintű elvárások következtében van így.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
section9
őstag
Ha csak egy faktor van (csak OTP), akkor az alapbol nem lehet MFA. Viszont ugye nem csak az OTP lehet n-faktor, lehet hasznalni hardware tokent, pusht, biometrikus azonositast, lokaciot, device attestationt vagy barmit ami kenyelmes. Es ezt nem ugy kell elkepzelni, hogy mindenhol ujra meg kell adni a jelszot meg az MFA-t, hanem amig az SSO sessionje el, addig nem autentikalunk ujra, csak ha erzekeny adatokhoz fer hozza vagy ha admin funkcionalitast szeretne elerni.
Egon: Lehet en vagyok naiv, de nagyon meglepodnek ha az amerikai szovetsegi kormany ugynoksegeinek alacsonyabbak lennenek az elvarasai, mint egy random eszak-balkani KKV-nak.
Egon
nagyúr
Adatvédelmi okokból nem igazán lehet munkahelyen fixen biometrikus azonosítást használni (ha a munkavállaló magától úgy dönt, hogy kényelmi okokból használ biometrikus azonosítást pl. a dedikáltan neki adott mobil eszközökön, az más tészta, de kikényszeríteni nem lehet), ugyanis különleges személyes adatnak számít, kezelésének jogalapja max. az érintett hozzájárulása lehetne, de az meg nem értelmezhető munkaviszonyban, az alá-főlérendeltségi viszony miatt (lásd még a kapcsolódó NAIH állásfoglalásokat).
A felhős témát továbbra sem érted a jelek szerint, én pedig ennél jobban nem foglak rávezetni a megoldásra (csak egyetlen szempont: a nemzeti adatvagyonról szóló jogszabály előírásai). A közszférához valamilyen módon kapcsolódó KKV-k pl. igen hamar le fognak szokni a Jira-ról...
[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
fatpingvin
őstag
ezt mondjuk magam részéről nagyon üdvözlendőnek tartom... ez a biometrikus azonosítás elég iffy nekem, funkcionálisan nem tud sokkal többet mint mondjuk egy RFID kártya vagy egy hosszú jelszó, csak ezt legalább lecserélni nem nagyon lehet... nyilván ez is erősen implementációfüggő, de still.
A tipikus munkafolyamat legjobb tesztszimulációja a tipikus munkafolyamat. A "napi anti-corporate hsz"-ok felelőse :)
section9
őstag
Szerencsere ahogy irtam van meg egy rakas masik dolog amit lehet hasznalni, nem kell pont biometrikus azonositas miatt lemondani az MFA-rol.
Azert ezek nem megoldhatatlan feladatok, erre valo a data classification. A Jira-ban jellemzoen nem tarol olyan adatot az ember, amire vonatkozna a nemzeti adatvagyonrol szolo jogszabaly. De elengedem, nem veletlenul tartom magam amilyen tavol csak lehet a narancs-vogonok altal kozpenzszivattyuzasra kitalalt Patyomkin securityjetol.
sztanozs
veterán
Nalunk peldaul lokalis JIRA (es Confluence) van, nem kell mindent a felhoben tarolni... Persze kis cegnek nem feltetlen eri megvenni a Datacenter Edition-t.
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
Egon
nagyúr
A nem felhős Jira 2 éven belül egy nagyságrenddel lesz drágább, mint a felhős változat, nem fogják megvenni.
Mondjuk ez tendencia, egy csomó más alkalmazásnál is ugyanezt érzékeljük, pedig nem feltétlenül szeretnénk mondjuk egy OSINT toolt-t felhős verzióban megszerezni.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Egon
nagyúr
Még véletlenül se gondolj bele az adatvédelmi szempontokba, maradj tisztán az IT security-nél. Most lepődjek meg, hogy amerikai szervek, nem látnak kockázatot amerikai felhőbe költözni? LOL. Hagyjukmár.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
section9
őstag
Egyrészt kicsit viccesnek gondolom itthon komoly adatvédelmi aggályokkal jönni, amíg a tisztelt állambiztonsági szervek évekig hagyták, hogy a békepárti orosz barátaink ki-be járjanak a külügynél. Másrészt ha tényleg az adatvédelem a fontos, akkor léteznek olyan technikai megoldások a legtöbb szolgáltatónál (CSEK, CMEK, confidential computing, client side encryption) amikkel a felhöszolgáltató biztos nem látna rá a szupertitkos nemzethy adatvagyonra.
Egon
nagyúr
Chinese hackers exploit VMware bug as zero-day for two years (bleepingcomputer.com)
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
inf3rno
Topikgazda
"11. § * (1) A munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely
a) a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy
b) törvényben védett jelentős érdek
súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.
(2) Az (1) bekezdés b) pontja alkalmazásában jelentős védett érdek különösen
a) a legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez,
b) a lőfegyver, lőszer, robbanóanyag őrzéséhez,
c) a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez,
d) a nukleáris anyagok őrzéséhez,
e) a Btk. szerint legalább különösen nagy vagyoni érték védelméhez
fűződő érdek."
Az érték, a kár, valamint a vagyoni hátrány
a) ötvenezer-egy és ötszázezer forint között kisebb,
b) ötszázezer-egy és ötmillió forint között nagyobb,
c) ötmillió-egy és ötvenmillió forint között jelentős,
d) ötvenmillió-egy és ötszázmillió forint között különösen nagy,
e) ötszázmillió forint felett különösen jelentős.
Szal elég beszórni egy tíz kilós arany szobrot a szobába, aztán megoldható a biometrikus azonosítás legalábbis szoba szinten.
[ Szerkesztve ]
Buliban hasznos! =]
Egon
nagyúr
Ennél egy kicsit bonyolultabb a helyzet. Mivel nem kötelezően írja elő a törvény ezen adatkezelést, hanem ún. megengedő adatkezelésről van szó, így a jogalap tekintetében nem áll fenn a GDPR vonatkozó paragrafusának c) pontja (az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges), így a jogalap vélhetőleg csak jogos érdek lehet, amihez érdekmérlegelési tesztben kell bizonyítani a jogalap kellően megalapozott voltát.
Minősített adatok őrzéséhez, illetve pl. 50 milla értéket meghaladó raktár őrzéséhez pl. el tudnám képzelni a jogszabály alapján, hogy megállna a jogos érdek az adatkezelés jogalapját illetően, csak éppen a gyakorlatban, ha van egy beléptető rendszered, amihez kapcsolódóan az éritettek 90%-a nem tartozik a fenti kategóriába (azaz nem férnek hozzá olyan adatokhoz vagy értékekhez, ami a fenti Mt.-s idézeted alapján kellő indok lehetne biometrikus zonosítás használatára), nem életszerű, hogy pár ember miatt külön beléptető rendszert vezetne be bárki is.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
section9
őstag
The global average cost of a data breach in 2023 was USD 4.45 million, a 15% increase over 3 years.
4 450 000 United States Dollar equals 1 559 324 500.00 Hungarian Forint
Ez nagyobb mint a különösen nagy vagyoni érték.
Rowon
veterán
Erről hallottatok-e? [link] Vélemények? Nem politikai jellegű, hanem szakmai jellegű érdekelne. Hogyan lehetséges ez?
Szerk.: egyébként korábban erről az esetről már olvastam és ott konkrétan azt írták, hogy egy hónapon keresztül fértek hozzá a felsővezetők anyagaihoz... a T3l3x máshogy hozta le a hírt.
[ Szerkesztve ]
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
Egon
nagyúr
Mi a kérdés? Egy ilyen támadás nem úgy működik, mint a filmekben, ahol egy perc alatt fel tudják törni a NASA-t, miközben lesz*pják a hackert: általában több lépésből álló művelettel tudnak hozzáférni az adatokhoz:
Egyébként elég sok módon lehetséges megvalósítani egy illetéktelen hozzáférést. Ha tippelnem kellene, akkor valamilyen adathalász módszerrel megszerzett jogosultság lehetett a kiindulópont (esetleg egy másik supply chain attack).
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Mindent fel lehet torni, 100%-os biztonsagu rendszer nincsen. A leggyengebb lancszem a user... vagy ha nem o, akkor a beosztottja... vagy a csaladtagjai... vagy...
https://www.coreinfinity.tech
Rowon
veterán
Na ja, de mégis milyen forgatókönyvek voltak lehetségesek ehhez a támadáshoz? Amit Egon írt, az alapján valószínűsítem valahogy meg kellett adni az engedélyt az eszköznek, hogy támadni tudja a rendszert. Kíváncsi vagyok, hogy mit használhattak.
[ Szerkesztve ]
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
Apollyon
Korrektor
Ahogy írták, simán lehet, hogy valaki ott dolgozó benézett valamit, és rossz helyre kattintott. Esetleg még az is előfordulhat, hogy van ott egy beépített személy, ami azért elég nagy arcvesztés volna. De nem szokás nyilvánossá tenni a gyenge pontokat...
#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.
Rowon
veterán
Esetleg még az is előfordulhat, hogy van ott egy beépített személy, ami azért elég nagy arcvesztés volna.
Az viszont szerintem egyből kiderülne. Vagy nem? Gondolom ilyen környezetben a dolgozók minden tevékenysége naplózva van.
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
section9
őstag
Ott van leirva a hivatalos writeupban, hogy egy tesztkornyezetben szereztek hozzaferest password spray tamadassal es onnan tudtak eszkalalni. Ez nyilvan nem mondja meg, hogy pontosan mi tortent, de szerintem felesleges is talalgatni.
ledgeri
nagyúr
... és én meg ismerem is a jelenetet...
// #ublockO-HardMode // anti-blockadblock-er // PH! új arculat: 1/ 500 // szeksziboj -nálam van egy pirospontod! // Találtam sárga fényű lézert! (kézit, ceruzaelemest) https://youtu.be/XQnmMjYHgcM //
Xpod
addikt
Biometrikus adat alatt mit értünk?
Nem vagyok otthon biometria témában, de én úgy tudom egy digitális hash-t tárolnak a készülékek, azt kezelik. Nem a konkrét írisz képet, ujjnyomot, vénatérképet, stb.
Arra is megáll ez a jogszabály így?
Egyébként szerintem ez ugyanúgy jogos érdek, mint a vagyonvédelmi kamerák, vagy a beléptetőkártya.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Cs1csó
félisten
Gondolom minden ami a testeddel kapcsolatos: arc, kéz, szem, ujjlenyomat, plazma adásnál "véna" szkennelés van az is az.
Xpod
addikt
Nem egészen.
Pl ha készül fényképes igazolvány az lehet jogszabályi előírás (közalkalmazotti igazolvány) vagy szerződés teljesítése (pl ami a közműves szerelőknek van úgy tudom ilyen)
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
section9
őstag
Ahogy én olvastam blogposztokat a biometrikus adatból készített hash is ugyanúgy biometrikus adatnak számít. Ami tovább füszerezi a téma bonyolultságát, hogy a munkáltató a hétköznapi értelemben véve egyáltalán nem kezeli ezt az adatot, az általában az eszközön van a TPM-en amiböl nem is lehet visszanyerni. Ettöl függetlenül persze a munkáltató tulajdonában van az eszköz és hiába nem fér hozzá, attól még jogi definíció szerint kezeli az adatot, mivel törölni/megsemmisíteni tudja.
inf3rno
Topikgazda
Meg.
Buliban hasznos! =]
Egon
nagyúr
Egyébként szerintem ez ugyanúgy jogos érdek, mint a vagyonvédelmi kamerák, vagy a beléptetőkártya.
Rohadtul nem. A GDPR 9. cikkelye így kezdődik:
(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
A 2. bekezdés felsorol néhány kivételt, de egyik sem húzható rá arra az adatkezelési célra, ami itt felmerült. A kamerakép nem tartozik ide, csak abban azt esetben, ha olyan megfigyelő rendszerről van szó, ami egyben azonosítani is képes a delikvenst.
Sok sikert ahhoz, hogy ha te ezt sima jogos érdek alapján akarod kezelni, főleg a kapcsolódó NAIH állásfoglalások tükrében... Btw ezekhez hatásvizsgálat is szükséges lenne, de azt hiába pakolod hozzá, attól még nem lesz jogszerű az adatkezelés.
[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
Tényleg, ezt benéztem. (szerencsére erre van jogász kollégánk)
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
Mother of All Breaches: a Historic Data Leak Reveals 26 Billion Records | Cybernews
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Rowon
veterán
Tegnap olvastam én is. Egészen addig nem is tudtam, hogy létezik ez a Trello valami.
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
inf3rno
Topikgazda
Lehet Atlassianék sem tudtak róla. Amúgy én a JIRA-t használom tőlük, de lehet ezek után jobb mindent helyi szerverre tenni.
Buliban hasznos! =]
ledgeri
nagyúr
[ Szerkesztve ]
// #ublockO-HardMode // anti-blockadblock-er // PH! új arculat: 1/ 500 // szeksziboj -nálam van egy pirospontod! // Találtam sárga fényű lézert! (kézit, ceruzaelemest) https://youtu.be/XQnmMjYHgcM //
kraftxld
nagyúr
| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'
Rowon
veterán
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
Egon
nagyúr
A kételkedő Xpod-nak szeretettel ( ): társadalmi egyeztetésen van a 41/2015-ös BM rendelet utódja:
Magyarország Kormánya - Biztonsági osztályba sorolás és alkalmazandó védelmi intézkedések min. rendelet (kormany.hu)
Rögtön írtam is egy javaslatot: kíváncsi vagyok belekerül-e a végleges szövegbe (bár szerintem ezek a "társadalmi egyeztetés" címek a dev/null-ra vannak irányítva... ).
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
Köszi. Láttam, de még nem tudtam elolvasni.
Hurrá, lehet elölről kezdeni az osztályba sorolást.
Ehhez viszont kelleni fog az "L" törvény módosítása is.
Hétvégén átnyálazom.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
inf3rno
Topikgazda
Köszi!
Buliban hasznos! =]
Rowon
veterán
Sziasztok,
Kíváncsiságból megkérdeztem a Skynetet, hogy szerinte hogyan fertőződhet meg a gépem, ha rákattintok egy hirdetésre? A lehetséges utak mellett azt is leírta, hogy mit tehetek ez ellen. Kifejezetten az utolsón akadt meg a szemem, a reklámblokkolón. Nem úgy volt, hogy ezeket be akarták tiltani?
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
Apollyon
Korrektor
Mert a kommersz internetes oldalakon, mint pl. a google kereső, meg a fb., tele vannak olyan szponzorált reklámtalálatokkal és hirdetésekkel, amikre kattintva ártalmas oldalra visz, és potenciálisan valamilyen csalás és átverés áldozata lehetsz, akár a tudtod nélkül. De mivel ők a big tech, ezért ezt megtehetik. Többek között épp ezért se interneteznék már valamilyen szűrő nélkül. És nem csak a reklámok miatt, a fél net már tele van mindenféle követő szkriptekkel.
#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.
Manapság a komolyabb reklám szűrők nem csak a reklámok ellen védenek.
Én Next dns-t használok.
section9
őstag
Cloudflare Hacked by Suspected State-Sponsored Threat Actor
Customer impact nem volt, de erdekes latni, hogy egy ilyen kis breachnek is milyen nagy koltsegvonzata van.
According to Cloudflare, more than 5,000 individual production credentials were rotated following the incident, close to 5,000 systems were triaged, test and staging systems were physically segmented, and every machine within the Cloudflare global network was reimaged and rebooted.
Rowon
veterán
Ez mindenkire vonatkozik? Nekem a Firefox védelmében a Cloudflare be volt állítva alapértelmezett szolgáltatónak.
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
section9
őstag
Mindenkire. Nem fertek hozza customer adathoz.
Rowon
veterán
Egyébként a Cloudflare a jobb, vagy a NextDNS, vagy valami más?
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
Tamarel
senior tag
Attól függ, mire.
Pl ha szeretnél reklámblokkolást, akkor csak elég kevés szolgáltató közül tudsz választani.
Egon
nagyúr
Kész csoda, hogy nálunk még nem volt ilyen.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Rowon
veterán
az informatikai infrastruktúra elavult, több mint 15 éves.
Az infrastruktúrában kompletten minden benne van hardverestül, szoftverestül? Mert egy jobb esetben Windows 7-ről működő rendszer se lehet életbiztosítás manapság.
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.