Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Gyorskeresés
Legfrissebb anyagok
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
Általános témák
LOGOUT.hu témák
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] [Lalikiraly:] Gigabyte G5 MF notebook bemutató
- [Re:] [Luck Dragon:] MárkaLánc
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [ubyegon2:] Airfryer XL XXL forrólevegős sütő gyakorlati tanácsok, ötletek, receptek
- [Re:] Gurulunk, WAZE?!
- [Re:] [sh4d0w:] Rebel Moon - Ne nézd meg!
- [Re:] [attilasd:] A laposföld elmebaj: Vissza a jövőbe!
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Téma összefoglaló
Hozzászólások
Rowon
veterán
Az NKI is megírta: [link]
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
inf3rno
Topikgazda
Volt. Mondjuk nem ennyire széleskörű.
[ Szerkesztve ]
Buliban hasznos! =]
inf3rno
Topikgazda
Szerintem a legtöbb zsarolóvírus azért nem találja be őket, mert nincsenek felkészülve Windows 7 előtti rendszerekre...
Buliban hasznos! =]
Rowon
veterán
Windows 7 előtti??? XP lenne még a legtöbb kórházban?
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
Simán lehet realitása. Persze nem valószínű, inkább célgépeknél jellemző még az XP (vagy a Windows 3.1).
Rowon
veterán
Pár hete láttam egy cikket arról, hogy a német vasúthoz valami ősrégi Windows verzió ismeretével rendelkező szakit kerestek. Állítólag még mindig olyan régi szoftvereket használnak ők is az irányításhoz.
[ Szerkesztve ]
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
inf3rno
Topikgazda
Hát nem tudom a legtöbb kórházban mi van, én csak arról beszélek, amit személyesen láttam... Ott mondjuk be is talált a zsarolóvírus, úgyhogy megdőlt az elméletem.
[ Szerkesztve ]
Buliban hasznos! =]
Cs1csó
félisten
Sajnos, simán lehet, hogy egy "kvázi" zárt rendszer pl. CT, MRI gép stb. egy hozzá tartozó programmal és egy Windows xp-t futtató géppel.
Elvileg nem gond, hiszen stabil és ha nem megy ki a netre az elkészült felvételeket pedig valami zárt rendszeren küldi akkor nagy gond nem lehet. Persze attól még ez nem egészséges.
Nyilván oda nem kell eljutni, hogy feküdne be a gépbe a beteg amikor megszólal a technikus " várjon még Pista bácsi, patch kedd van és valami gubanc van a frissítéssel!"
inf3rno
Topikgazda
Valahogy így megy.
Buliban hasznos! =]
Cs1csó
félisten
Valahogy elvárnám, hogy egy ilyen bazi drága diagnosztikai gép mint pl. egy CT, egy MR stb. (még az USA-ban sem "ömlesztik" ) ami akár több év működést is lehetővé tesz mondjuk 6-8 vagy akár 10 évet a gyártó ezen ciklus alatt vagy 1-2 esetleg 3 ráncfelvarrást megtegyen.
inf3rno
Topikgazda
Nem csak a gépekkel van így. Komplett hálózatok is állnak ilyen gépekből mondván, hogy zárt rendszer, bár az egyik gép feltöltötte az adatokat az orvosi rendszerbe, szóval mégsem volt annyira zárt, illetve úgy emlékszem azon lehetett netezni is. Ami kimondottan jó volt, hogy a célszoftver, ami ezeken futott meg DOS-os volt, szóval full retro volt az egész. Ez volt olyan 5-10 éve, de szerintem azóta semmit nem változtattak, mert a működésre sem volt elég pénz, nem hogy erre. Bár ezek is olyan helyek, hogyha közbeszerzés van, akkor megnyílnak a pénztárcák, szóval ki tudja...
[ Szerkesztve ]
Buliban hasznos! =]
section9
őstag
Technikai korlatja amugy nem lenne, de uzletileg nem eri meg. 1 szazalek alatti a Windows XP market share es ha ezt szeretnek targetelni, akkor nem hasznalhatnak modern C++-t, mert nincs hozza visszafele kompatibilis compiler, modern kripto algoritmusokat sem mert nem tamogatja az operacios rendszer, ugyhogy eleg gatya a developer experience.
Persze, ha a cyberwarfare a cel illetve a kritikus infrastruktura megbenitasa, akkor megoldhato a dolog, de ott meg szerencsere nem tartunk.
https://www.coreinfinity.tech
ledgeri
nagyúr
Láttál már használt légypapírt?... kb..
// #ublockO-HardMode // anti-blockadblock-er // PH! új arculat: 1/ 500 // szeksziboj -nálam van egy pirospontod! // Találtam sárga fényű lézert! (kézit, ceruzaelemest) https://youtu.be/XQnmMjYHgcM //
Xpod
addikt
Mondjuk ezzel pont nem értek egyet.
Sajnos ismerek olyan helyet ahol 200+ az XP gépek száma és azon dolgoznak.
A patch kedd meg nem kifogás, erre találták ki a patch management rendszert ahol ütemezetten lehet frissíteni. Frissíteni meg ugye csak tesztelés után frissít a rendszer.
Az a baj, hogy sok esetben a lustaság győz a rendszergazdáknál mert egyszerűbb nem csinálni semmi vagy szidni a Microsoft-ot, mint letesztelni a kijött frissítést, hogy az mit fog okozni az adott környezetben. (Igen van szakember hiány is elismerem, de sokszor a lustaság inkább ami a problémát okozza.)
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Xpod
addikt
Átolvastam, úgy nagyjából.
Nem csak a 41/2015 utódja, hanem a NIS2 bevezetése is.
Első olvasatra jobbnak tűnik mint a 41/2015. Nekem érthetőbbnek tűnik, kevesebb benne a "vajon mire gondolt a szerző" rész, de azért így is akad még.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
110 millás adatvédelmi bírságot kapott az E-Kréta fejlesztője: [link]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Egon
nagyúr
Pár ilyen nem egyértelmű pontot citálhatnál, aztán elelmélkedünk rajta...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
Ok.
Mit jelent a nagy mennyiségű adat sérülés. (2.2. Biztonsági osztályok fejezet)
A 2. melléklet, 1. Program menedzsment "fejezet", 7 pontja: 1.6 Biztonsági teljesítmény mérése. Ezt mi alapján gondolta? Mit kellene "mérni"? (Az más tészta, hogy a "mérés" kifejezéstől egy ilyen elvont dolog esetén a falra mászok.)
Illetve sok helyen van a tervezetbe olyan előírás ami nem kötelező (kiegészítő védelmi intézkedés), de általában ezek úgy kezdődnek, hogy van egy kötelező előírás amit teljesíteni kell. És ha azt teljesíteni akarod akkor viszont már az összes kiegészítő védelmi intézkedést is figyelembe kell venned, meg kell felelni neki. Tehát mi értelme van kiegészítőnek venni bizonyos előírást ha az alapvető megfeleléshez a kiegészítőnek is meg kell felelni.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
A "nagy mennyiségű (személyes) adat)" kifejezést szvsz a GDPR hozta be, de természesen ott sem definiálták, hogy mennyi az annyi... Általában legalább 50 db személyes adatot értenek alatta,pl. :
https://centraleuropeanacademy.hu/wp-content/uploads/2023/06/Adatvedelmi-szabalyzat.pdf
Persze ha 5 embernek van fejenként 10 db személyes adata tárolva, már az is eléri az 50 db-ot, és ennyi szinte mindenhol van, így inkább a minimum 50 db adatrekord lehet irányadó. Ez mondjuk a jogászkodás rész, nem szakmai kérdés.
Biztonsági teljesítmény mérésén KPI-okat szoktak érteni, ami kábé bármi lehet. Hány százalékban vettek részt a dolgozók a biztonsági oktatáson, az incidensek hány százaléka nem lett elhárítva X napon belül stb.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
A nagy mennyiség a 41/2015-ben is benne van. Az eddig Hatóság részére beküldött anyagok alapján a 10 000 db bejegyzés / év felett jelezte a hatóság, hogy azt már inkább nagy mennyiségnek minősül.
"Biztonsági teljesítmény mérésén KPI-okat szoktak érteni, ami kábé bármi lehet."
És a "bármire" írj szabályzatot.
Biztonsági teljesítmény mérése szabályzat valószínűleg a Biztonság elemzési szabályzathoz hasonlít. (Hogy Biztonság elemzési szabályzat is mekkora egy baromság.)
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
És a "bármire" írj szabályzatot.
Az ISO 27001 sem írja elő konkrétan, hogy milyen kontrollokat alkalmazz. Jön az auditor, megkérdi hogy mondjuk hogyan akadályozod meg az illetéktelen belépést a szerverterembe, és mondhatod azt is, hogy két szuronyos katona áll az ajtó előtt 7/24-ben, kártyás beléptetés van, vagy akár hogy kulccsal zárod az ajtót, ami le van adva a portaszolgálaton, és nyilvántartják hogy ki mikor veszi fel.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
inf3rno
Topikgazda
Ha idézem, akkor ez nem teljesen azt jelenti, amit írtál:
"Nagy mennyiségű személyes adat: az érintettek nagy száma, a kezelt adatok mennyisége vagy adatfajták köre, az adatkezelés időtartama, földrajzi kiterjedése alapján meghatározott adatmennyiség, de legalább 50 db személyes adat."
Attól, hogy van 50 személyes adatod szerintem még nem lesz nagy mennyiségű. Valahol egyébként definiálták, de lövésem sincs hol, csak emlékszem, hogy láttam az ilyen adatmennyiségekről egyszer táblázatot. Azóta is azt keresem. :S
Buliban hasznos! =]
inf3rno
Topikgazda
Ezt a 10.000db már inkább tűnik reálisnak.
Buliban hasznos! =]
sztanozs
veterán
Osszehasonlitaskeppen, nalunk 5000+ szemelyes adat rekord minosul "nagy menyisegu"-nek.
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
A fo problema, hogy arra is KPI-okat hasznalnak, amire KRI-okat kellene.
https://www.coreinfinity.tech
Egon
nagyúr
Ne zavarj meg mindenféle trükkös betűszóval...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
Konkrétan nincs leírva hogyan védd fizikailag az eszközöket, de az igen, milyen előírásokat vegyél figyelembe a védelem során.
(Fizikai határokat kell kijelölni, csak megfelelő jogosultsággal lehet belépni, környezeti fenyegetések elleni védelmet kell alkalmazni stb.)
Maradva a példánál, ha csak ennyi lenne az ISO-ban, hogy "gondoskodni kell az eszközök fizikai védelméről" akkor ez a "nesze semmi fogd meg jól" kategória, ugyanúgy mint a "bármire" írj szabályzatot fentebb.
#2227 sh4d0w: nekem inkább az a bajom, hogy ugyanazt a rendszert 5 módon kell elemezni, aminek nagyon hasonló az eredménye. (OVI tábla, kockázatelemzés, biztonsági elemzés, biztonság mérés, GAP elemzés) Az egyetlen jó dolog benne, hogy egy jól befüggvényezett Excel táblával 1 audittal 3 elemzés is elkészül automatikusan. A másik kettőbe meg csak át kell másolni az infókat.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Vannak Magyarorszagon MSSP-k?
https://www.coreinfinity.tech
Egon
nagyúr
Hogyne lennének, sőt: HKSZ-CSPSZV és VPCSP is akad...
Amúgy kérdés, hogy miképp definiálod a fogalmat. Négyig-től kezdve, több kisebb cégen át hirdetik magukat ilyesmivel.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
És akkor a gyártói MDR-t kínáló cégekről nem is beszéltünk, akik szintén sok esetben MSSP-nek vannak definiálva.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
Most olvasom alaposabban a cikket.
A határozatból kiderül, hogy a fejlesztőcég megbízott egy meg nem nevezett „külső állami tulajdonú vállalkozót”, hogy derítse fel a lopott adatok terjesztésére, árulására gyakran használt dark webet, hogy felkerültek-e oda a KRÉTA felhasználóinak adatai.
Vajh' ki lehetett ez a cég, és mit találhattak?
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
Miért erőlködik valaki proxy szerverrel, ha nem tudja rendesen beüzemelni?
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Részletekre kíváncsi leszek, ez még sajna nem sok infó.
Egon
nagyúr
Ennél sokkal több nem biztos hogy ki fog derülni.
Adathalász támadásról írtak, erre látatlanban fogadni mertem volna (a hasonló incidensek kábé 101%-a vezethető vissza valamilyen social engineering, esetleg supply chain támadásra, a harmadik lehetőség a patchelési hiányosságból eredő sérülékenység kihasználása, esetleg még zsaroló vírus játszhat).
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
inf3rno
Topikgazda
Ez oké, de hogyan rántanak le több milliárdot egy adathalász támadással? Itt azért a bank is hibázott valószínűleg.
Buliban hasznos! =]
Biztos, hogy egyszerre emeltek le? En nem hiszem, mert ekkora lovenal biztosan van 1-2 lepcso beepitve, ami magasabb szintrol is megerositest kivan.
https://www.coreinfinity.tech
inf3rno
Topikgazda
Gondolom sosem tudjuk meg, mert nem akarnak ötleteket adni másoknak is. Vagy hát ez is kétélű dolog, mert mások jobban fel tudnak készülni ilyen jellegű támadásokra, de a támadók is tanulhatnak belőle.
[ Szerkesztve ]
Buliban hasznos! =]
sztanozs
veterán
Social engineering (vagy spearphishing) +1
#2239 sh4d0w
kb 15-20 parallel utalassal mar siman le lehet emelni ekkora osszeget egy nagyobb ceg szamlajarol...
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
inf3rno
Topikgazda
Mindenesetre most be lehet vásárolni Pepco részvényekből, amíg padlón van az árfolyam.
Buliban hasznos! =]
sztanozs
veterán
kiveve ha a hackerek meg hazon belul vannak
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
Akkor a sok parallel utasítás nem generál alertet?
https://www.coreinfinity.tech
Cs1csó
félisten
Nemhogy a Pepco részvényekből de a Pepcoban sem vásárolok.
inf3rno
Topikgazda
Buliban hasznos! =]
section9
őstag
Szerintem ekkora penzmennyisegnel nem nagyon lehet annyi utalast csinalni, ami nem general alertet. Szerintem itt is volt AML alert a penzintezet oldalan.
sztanozs
veterán
Altalaban kisebb, valtozo osszegek mennek (50-500 e EUR kozott) kulonbozo szamlaszamokra, BEC eseten tipikusan kezzel inditva.
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
section9
őstag
Viszont itt ugye akkora penzmennyisegrol van szo, amihez 31 kulon utalas kell, meg akkor is ha minden utalas 500 ezer EUR. Nagyon fura, hogy nem fogtak meg par tranzakcio utan. Brutalis sztori.
Rowon
veterán
Ma néztem, hogy 1,x milliárd eurós (!) árbevétele volt tavaly a magyar Pepconak. Szegények... éppen sajnálgatni akartam őket.
[ Szerkesztve ]
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.