Hat mindenki ugy neheziti az eletet ahogy akarja. Nyilvan lehet lokalba felhuzni ADFS-t, de ha a random KKV rendszergazdai nekiallnak “megoldani” akkor elobb lesz belole breach mint barmilyen felhos szarbol.

Ha csak egy faktor van (csak OTP), akkor az alapbol nem lehet MFA. Viszont ugye nem csak az OTP lehet n-faktor, lehet hasznalni hardware tokent, pusht, biometrikus azonositast, lokaciot, device attestationt vagy barmit ami kenyelmes. Es ezt nem ugy kell elkepzelni, hogy mindenhol ujra meg kell adni a jelszot meg az MFA-t, hanem amig az SSO sessionje el, addig nem autentikalunk ujra, csak ha erzekeny adatokhoz fer hozza vagy ha admin funkcionalitast szeretne elerni.

Egon: Lehet en vagyok naiv, de nagyon meglepodnek ha az amerikai szovetsegi kormany ugynoksegeinek alacsonyabbak lennenek az elvarasai, mint egy random eszak-balkani KKV-nak.

Adatvédelmi okokból nem igazán lehet munkahelyen fixen biometrikus azonosítást használni (ha a munkavállaló magától úgy dönt, hogy kényelmi okokból használ biometrikus azonosítást pl. a dedikáltan neki adott mobil eszközökön, az más tészta, de kikényszeríteni nem lehet), ugyanis különleges személyes adatnak számít, kezelésének jogalapja max. az érintett hozzájárulása lehetne, de az meg nem értelmezhető munkaviszonyban, az alá-főlérendeltségi viszony miatt (lásd még a kapcsolódó NAIH állásfoglalásokat).

A felhős témát továbbra sem érted a jelek szerint, én pedig ennél jobban nem foglak rávezetni a megoldásra (csak egyetlen szempont: a nemzeti adatvagyonról szóló jogszabály előírásai). A közszférához valamilyen módon kapcsolódó KKV-k pl. igen hamar le fognak szokni a Jira-ról...

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

ezt mondjuk magam részéről nagyon üdvözlendőnek tartom... ez a biometrikus azonosítás elég iffy nekem, funkcionálisan nem tud sokkal többet mint mondjuk egy RFID kártya vagy egy hosszú jelszó, csak ezt legalább lecserélni nem nagyon lehet... nyilván ez is erősen implementációfüggő, de still.

A tipikus munkafolyamat legjobb tesztszimulációja a tipikus munkafolyamat. A "napi anti-corporate hsz"-ok felelőse :)

Szerencsere ahogy irtam van meg egy rakas masik dolog amit lehet hasznalni, nem kell pont biometrikus azonositas miatt lemondani az MFA-rol.

Azert ezek nem megoldhatatlan feladatok, erre valo a data classification. A Jira-ban jellemzoen nem tarol olyan adatot az ember, amire vonatkozna a nemzeti adatvagyonrol szolo jogszabaly. De elengedem, nem veletlenul tartom magam amilyen tavol csak lehet a narancs-vogonok altal kozpenzszivattyuzasra kitalalt Patyomkin securityjetol.

Nalunk peldaul lokalis JIRA (es Confluence) van, nem kell mindent a felhoben tarolni... Persze kis cegnek nem feltetlen eri megvenni a Datacenter Edition-t.

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Egyrészt kicsit viccesnek gondolom itthon komoly adatvédelmi aggályokkal jönni, amíg a tisztelt állambiztonsági szervek évekig hagyták, hogy a békepárti orosz barátaink ki-be járjanak a külügynél. Másrészt ha tényleg az adatvédelem a fontos, akkor léteznek olyan technikai megoldások a legtöbb szolgáltatónál (CSEK, CMEK, confidential computing, client side encryption) amikkel a felhöszolgáltató biztos nem látna rá a szupertitkos nemzethy adatvagyonra.

Chinese hackers exploit VMware bug as zero-day for two years (bleepingcomputer.com)

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

"11. § * (1) A munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely
a) a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy
b) törvényben védett jelentős érdek
súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.
(2) Az (1) bekezdés b) pontja alkalmazásában jelentős védett érdek különösen
a) a legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez,
b) a lőfegyver, lőszer, robbanóanyag őrzéséhez,
c) a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez,
d) a nukleáris anyagok őrzéséhez,
e) a Btk. szerint legalább különösen nagy vagyoni érték védelméhez
fűződő érdek."

Az érték, a kár, valamint a vagyoni hátrány
a) ötvenezer-egy és ötszázezer forint között kisebb,
b) ötszázezer-egy és ötmillió forint között nagyobb,
c) ötmillió-egy és ötvenmillió forint között jelentős,
d) ötvenmillió-egy és ötszázmillió forint között különösen nagy,
e) ötszázmillió forint felett különösen jelentős.

Szal elég beszórni egy tíz kilós arany szobrot a szobába, aztán megoldható a biometrikus azonosítás legalábbis szoba szinten.

[ Szerkesztve ]

Buliban hasznos! =]

Ennél egy kicsit bonyolultabb a helyzet. Mivel nem kötelezően írja elő a törvény ezen adatkezelést, hanem ún. megengedő adatkezelésről van szó, így a jogalap tekintetében nem áll fenn a GDPR vonatkozó paragrafusának c) pontja (az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges), így a jogalap vélhetőleg csak jogos érdek lehet, amihez érdekmérlegelési tesztben kell bizonyítani a jogalap kellően megalapozott voltát.
Minősített adatok őrzéséhez, illetve pl. 50 milla értéket meghaladó raktár őrzéséhez pl. el tudnám képzelni a jogszabály alapján, hogy megállna a jogos érdek az adatkezelés jogalapját illetően, csak éppen a gyakorlatban, ha van egy beléptető rendszered, amihez kapcsolódóan az éritettek 90%-a nem tartozik a fenti kategóriába (azaz nem férnek hozzá olyan adatokhoz vagy értékekhez, ami a fenti Mt.-s idézeted alapján kellő indok lehetne biometrikus zonosítás használatára), nem életszerű, hogy pár ember miatt külön beléptető rendszert vezetne be bárki is.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

The global average cost of a data breach in 2023 was USD 4.45 million, a 15% increase over 3 years.

4 450 000 United States Dollar equals 1 559 324 500.00 Hungarian Forint

Ez nagyobb mint a különösen nagy vagyoni érték.

Mi a kérdés? Egy ilyen támadás nem úgy működik, mint a filmekben, ahol egy perc alatt fel tudják törni a NASA-t, miközben lesz*pják a hackert: általában több lépésből álló művelettel tudnak hozzáférni az adatokhoz:

Egyébként elég sok módon lehetséges megvalósítani egy illetéktelen hozzáférést. Ha tippelnem kellene, akkor valamilyen adathalász módszerrel megszerzett jogosultság lehetett a kiindulópont (esetleg egy másik supply chain attack).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Mindent fel lehet torni, 100%-os biztonsagu rendszer nincsen. A leggyengebb lancszem a user... vagy ha nem o, akkor a beosztottja... vagy a csaladtagjai... vagy...

https://www.coreinfinity.tech

Na ja, de mégis milyen forgatókönyvek voltak lehetségesek ehhez a támadáshoz? Amit Egon írt, az alapján valószínűsítem valahogy meg kellett adni az engedélyt az eszköznek, hogy támadni tudja a rendszert. Kíváncsi vagyok, hogy mit használhattak.

[ Szerkesztve ]

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.

Ahogy írták, simán lehet, hogy valaki ott dolgozó benézett valamit, és rossz helyre kattintott. Esetleg még az is előfordulhat, hogy van ott egy beépített személy, ami azért elég nagy arcvesztés volna. De nem szokás nyilvánossá tenni a gyenge pontokat...

#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.

Esetleg még az is előfordulhat, hogy van ott egy beépített személy, ami azért elég nagy arcvesztés volna.

Az viszont szerintem egyből kiderülne. Vagy nem? Gondolom ilyen környezetben a dolgozók minden tevékenysége naplózva van.

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.

Ott van leirva a hivatalos writeupban, hogy egy tesztkornyezetben szereztek hozzaferest password spray tamadassal es onnan tudtak eszkalalni. Ez nyilvan nem mondja meg, hogy pontosan mi tortent, de szerintem felesleges is talalgatni.

Biometrikus adat alatt mit értünk?
Nem vagyok otthon biometria témában, de én úgy tudom egy digitális hash-t tárolnak a készülékek, azt kezelik. Nem a konkrét írisz képet, ujjnyomot, vénatérképet, stb.
Arra is megáll ez a jogszabály így?

Egyébként szerintem ez ugyanúgy jogos érdek, mint a vagyonvédelmi kamerák, vagy a beléptetőkártya.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Gondolom minden ami a testeddel kapcsolatos: arc, kéz, szem, ujjlenyomat, plazma adásnál "véna" szkennelés van az is az.

Nem egészen.
Pl ha készül fényképes igazolvány az lehet jogszabályi előírás (közalkalmazotti igazolvány) vagy szerződés teljesítése (pl ami a közműves szerelőknek van úgy tudom ilyen)

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ahogy én olvastam blogposztokat a biometrikus adatból készített hash is ugyanúgy biometrikus adatnak számít. Ami tovább füszerezi a téma bonyolultságát, hogy a munkáltató a hétköznapi értelemben véve egyáltalán nem kezeli ezt az adatot, az általában az eszközön van a TPM-en amiböl nem is lehet visszanyerni. Ettöl függetlenül persze a munkáltató tulajdonában van az eszköz és hiába nem fér hozzá, attól még jogi definíció szerint kezeli az adatot, mivel törölni/megsemmisíteni tudja.

Meg.

Buliban hasznos! =]

Egyébként szerintem ez ugyanúgy jogos érdek, mint a vagyonvédelmi kamerák, vagy a beléptetőkártya.

Rohadtul nem. A GDPR 9. cikkelye így kezdődik:
(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

A 2. bekezdés felsorol néhány kivételt, de egyik sem húzható rá arra az adatkezelési célra, ami itt felmerült. A kamerakép nem tartozik ide, csak abban azt esetben, ha olyan megfigyelő rendszerről van szó, ami egyben azonosítani is képes a delikvenst.
Sok sikert ahhoz, hogy ha te ezt sima jogos érdek alapján akarod kezelni, főleg a kapcsolódó NAIH állásfoglalások tükrében... Btw ezekhez hatásvizsgálat is szükséges lenne, de azt hiába pakolod hozzá, attól még nem lesz jogszerű az adatkezelés.

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Tényleg, ezt benéztem. (szerencsére erre van jogász kollégánk)

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Mother of All Breaches: ​a Historic Data Leak Reveals 26 Billion Records | Cybernews

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Így jártak...

Lehet Atlassianék sem tudtak róla. Amúgy én a JIRA-t használom tőlük, de lehet ezek után jobb mindent helyi szerverre tenni.

Buliban hasznos! =]

[link]

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

A kételkedő Xpod-nak szeretettel ( ): társadalmi egyeztetésen van a 41/2015-ös BM rendelet utódja:
Magyarország Kormánya - Biztonsági osztályba sorolás és alkalmazandó védelmi intézkedések min. rendelet (kormany.hu)

Rögtön írtam is egy javaslatot: kíváncsi vagyok belekerül-e a végleges szövegbe (bár szerintem ezek a "társadalmi egyeztetés" címek a dev/null-ra vannak irányítva... ).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Köszi. Láttam, de még nem tudtam elolvasni.
Hurrá, lehet elölről kezdeni az osztályba sorolást.
Ehhez viszont kelleni fog az "L" törvény módosítása is.

Hétvégén átnyálazom.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Köszi!

Buliban hasznos! =]

Mert a kommersz internetes oldalakon, mint pl. a google kereső, meg a fb., tele vannak olyan szponzorált reklámtalálatokkal és hirdetésekkel, amikre kattintva ártalmas oldalra visz, és potenciálisan valamilyen csalás és átverés áldozata lehetsz, akár a tudtod nélkül. De mivel ők a big tech, ezért ezt megtehetik. Többek között épp ezért se interneteznék már valamilyen szűrő nélkül. És nem csak a reklámok miatt, a fél net már tele van mindenféle követő szkriptekkel.

#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.

Cloudflare Hacked by Suspected State-Sponsored Threat Actor

Customer impact nem volt, de erdekes latni, hogy egy ilyen kis breachnek is milyen nagy koltsegvonzata van.

According to Cloudflare, more than 5,000 individual production credentials were rotated following the incident, close to 5,000 systems were triaged, test and staging systems were physically segmented, and every machine within the Cloudflare global network was reimaged and rebooted.

Ez mindenkire vonatkozik? Nekem a Firefox védelmében a Cloudflare be volt állítva alapértelmezett szolgáltatónak.

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.

Mindenkire. Nem fertek hozza customer adathoz.

Egyébként a Cloudflare a jobb, vagy a NextDNS, vagy valami más?

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.

Attól függ, mire.
Pl ha szeretnél reklámblokkolást, akkor csak elég kevés szolgáltató közül tudsz választani.

A zsarolóvírussal megtámadott kórházak egy részében sikerült helyreállítani az informatikai rendszert (maszol.ro)

Kész csoda, hogy nálunk még nem volt ilyen.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

az informatikai infrastruktúra elavult, több mint 15 éves.

Az infrastruktúrában kompletten minden benne van hardverestül, szoftverestül? Mert egy jobb esetben Windows 7-ről működő rendszer se lehet életbiztosítás manapság.

Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.