Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Gyorskeresés
Legfrissebb anyagok
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
Általános témák
LOGOUT.hu témák
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [ubyegon2:] Airfryer XL XXL forrólevegős sütő gyakorlati tanácsok, ötletek, receptek
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] [Luck Dragon:] MárkaLánc
- [Re:] [bitpork:] Fogyasztásra ítélve
- [Re:] [bobalazs:] RTX 4070 Super Undervolting and Overclocking Alulfeszelés és túlhajtás
- [Re:] [sh4d0w:] Rebel Moon - Ne nézd meg!
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [CPT.Pirk:] "Fényhűtés" ciksorozat (tuningnet.hu)
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
GAMEPOD.hu témák
Téma összefoglaló
Hozzászólások
Köszönöm. A másodikkal az a baj, hogy restart kell neki, akkor meg már felesleges...
https://www.coreinfinity.tech
inf3rno
Topikgazda
Hát ennyire futotta, sosem voltak Apple termékeim. Most is csak azért van egy iphone, hogy alkalmazásokat tudjak tesztelni rajta. Telefonálásra nem használom, az ujjlenyomat érzékelőjét meg leragasztottam.
[ Szerkesztve ]
Buliban hasznos! =]
Én is pont azért vettem egy régebbi Mac-et, hogy megtanuljam a működését, mert nálunk hivatalos platform.
https://www.coreinfinity.tech
inf3rno
Topikgazda
Hát ha valamivel nagyon nem boldogulsz, akkor érdemes az Apple supportot kérdezni, elvégre ők gyártották le a rendszert, és fizetős az egész.
Buliban hasznos! =]
inf3rno
Topikgazda
Az mDNS-ről van valami véleményetek biztonság terén?
Buliban hasznos! =]
Ha nem muszáj, ne használd, kapcsold ki. Ahogy elnézem, nagyon melós a beállítás/karbantartás security szempontból.
https://www.coreinfinity.tech
inf3rno
Topikgazda
Köszi! Nekem is ez volt a benyomásom róla.
Buliban hasznos! =]
Egon
nagyúr
Jövő hét utáni héten kezdem az ISO 27001 Lead Auditor képzést az SGS-nél.
Kíváncsi leszek, hogy milyen lesz...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Na, faja, nagy kalappal. Én augusztusban szaladok neki egy forensics-nek EDX-en.
https://www.coreinfinity.tech
Egon
nagyúr
Köszi, neked is...
Jövőre, ha minden jól megy, lehet nekifutok a CISA-nak is (vagy lehet inkább CISM), és ezzel a minősítés-halmozást jó eséllyel befejeztem. Öreg vagyok már ehhez...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Én a CISSP-n gondolkodom.
https://www.coreinfinity.tech
Egon
nagyúr
Az egy jó cucc, de egyrészt piszkos drága a képzés (azt már nem biztos hogy kifizeti nekem a cég), másrészt elég húzósnak tűnik, nem érzem magamban az Erőt hozzá.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
inf3rno
Topikgazda
Én még csinálom az NKE-EIV-et. Júliusra végzek, ha minden összejön. Mellette most BHIS-en csinálok megint egy 16 órásat, de most nagyon nincs időm rá, majd később visszanézem és begyakorlom. Elvileg az NKE-n indult valami kibermester képzés, amire néhányan már jelentkeztek a csoportból. Talán jövőre megcsinálom azt is.
Buliban hasznos! =]
sztanozs
veterán
CISSP nem drága. A SANS-tréningek... na azok drágák.
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
Egon
nagyúr
Minden relatív ugyebár... A CISSP alsó hangon háromszor annyiba kerül, mint az ISO27KLA. Igaz, nem nagyon hasonlíthatók össze egyébként.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
A SANS-árak eszementek...
https://www.coreinfinity.tech
inf3rno
Topikgazda
Az EIV-et hogyan értékeled ennyi idő után? Volt haszna? El lehet vele helyezkedni, ha valaki frissen végzett, vagy kell még más papír is? Felmerült többeknél, hogy egy kicsit erős egyből a mély vízbe dobni vezetői beosztásba az embert nulla gyakorlattal...
Buliban hasznos! =]
Egon
nagyúr
Továbbra is csak azt tudom mondani, mint eddig: kizárólag arra jó, hogy ha állami szervnél akarsz elhelyezkedni (olyan szervezetnél, amire vonatkozik az Ibtv.), vagy némi előnyt jelenthet, ha olyan tanácsadó céghez mész, ahol szolgáltatnak kihelyezett informatikai biztonsági felelőst, állami cégeknek.
Pl. nekem jól jött, amikor az egyik ügyfelünknél, egy állami Zrt-nél kerestek ilyen embert (IBF-et), mert a cégünk engem tudott nevezni erre a feladatra, ergo volt kompetenciánk. Persze ennek hiányában ment volna a CISA-s kolléga - és az ő papírját más projektekben is tudtuk hasznosítani: olyan projektekben, ahol meg az volt a követelmény, és én semmit sem értem volna az EIV végzettségemmel...
Summa summarum: ha az ember komolyan gondolja ezt a szakmát, akkor jó eséllyel szüksége lesz legalább egy nemzetközi minősítésre. Hard security vonalon (azaz etikus hacking) szerintem az OSCP a legjobb papír (ami relatíve olcsón elérhető); a magyar CEH képzések (kivéve talán a Kürt Akadémiás képzést, ha még van olyan) jóval kevesebbet érnek. Soft security vonalon vagy az auditori képzésekre érdemes rágyúrni (egy ISO27K LA-t pl. jól kiegészíthet egy EIV képzés, főleg ha még mondjuk a Hptv. kapcsolódó követelményeivel és az MNB rendeletekkel is képben vagy), vagy az ISACA-s képzések azok, amit széles körben elismernek (CISA, CISM, CRISC). Aztán egy kicsit a kettő között (de még mindig soft security) ott van mondjuk a CISSP (bár azt első minősítésnek én nem vállalnám be).
És persze lehet feljebb is lépkedni, a már említett SANS-os képzésekkel.
Ha meg rengeteg időd van, akkor lehet valami ITSEC témájú MSC-t letenni (nincs túl sok, de azért akad 1-2): ez is jó ajánlólevél lehet 1-1 pozira.
[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Egon
nagyúr
Egyébként a kapcsolódó feladat (a képzés megnevezése ellenére) igen ritkán jelent valós vezetői beosztást... A törvény is "elektronikus információs rendszerek biztonságáért felelős személy"-ről beszél...
A legtöbb szervezet, akire vonatkozik az Ibtv, az mind önkormányzat. Relatíve igen sz*rul fizetnek, max. csak arra jók hogy gyakorlatot szerezz velük. Más szervezeteknél szintén felvesznek erre egy főt, legjobb esetben a legfelsőbb vezető közvetlen alárendeltségébe, de simán előfordul olyan is, hogy a gazdasági részleg alatt elhelyezkedő informatikai vezető beosztottjaként dolgozik az illető... Elvárás és a célok megvalósításához szükséges keret konvergál a nullához: a legtöbb esetben csak papírok legyártását (és persze a felelősség vállalását...) várja el az adott szervezet vezetése: a legtöbb ilyen vezető nem érti meg az információbiztonság fontosságát, szerepét és jelentőségét.
1-1 helyen, ahol van némi személyzet is a biztonsági feladatok ellátására (nem ide keverendő az üzemeltetés azon része, akik ITSEC feladatokat látnak el, pl. a tűzfalasok stb.), ott esetleg jelenthez ez egy osztályvezetői állást (pl. az ORFK-n ez a helyzet, hogy mondjak egy konkrétumot is).
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Ha munkát keresel, inkább SOC akár entry level is, jobban fizet.
https://www.coreinfinity.tech
Egon
nagyúr
Az egy harmadik irány, én egyáltalán nem javaslom itt, kis hazánkban.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
inf3rno
Topikgazda
SOC-ból csináltam ezt a John Strand féle képzést, de újra át kéne néznem az egészet. Nem hiszem, hogy itthon bárhova felvennének vele, de ki tudja. Igazából nem feltétlen akarok én ezzel főállásban foglalkozni, legalábbis az volt a terv, hogy mellékesnek jó, ha megcsinálom itt helyben néhány önkormányzatnak, a maradékot pedig szoftverfejlesztős, hálózatépítős projektekből finanszírozom. Persze a tervek változhatnak is, agyalok rajta, hogy visszamenjek e BP-re.
Buliban hasznos! =]
inf3rno
Topikgazda
Köszi! Ez hasznos info. OSCP vagy ilyesmi felé megyek el, ha esetleg elszakadok ettől az önkormányzati, programozói vonaltól. Most ami fontos, hogy biztonsági szempontból ki tudjak tesztelni egy webalkalmazást vagy webszolgáltatást, azt meg szerintem lehet papír nélkül is. Üzemeltetni nem akarok, ha nem muszáj. Apropó, esetleg van olyan itthoni hosting szolgáltató, akit tudtok ajánlani biztonsági szempontból?
[ Szerkesztve ]
Buliban hasznos! =]
OSCP-nek csak nagyon felkészülten fuss neki - mármint a vizsgának. 24 óra, 50 rendszer, mindet fel kell törnöd. Ha ezzel megvagy, akkor 48 órád van a reportingra.
Gyakorlásnak DVWA, Juice Shop ajánlott - tele vannak sebezhetőségekkel és nem túl nagy a memória igényük, még 8 GB RAM mellett is használhatók. Vannak egyéb letölthető CTF vm-ek is, ott a HackTheBox.
"Apropó, esetleg van olyan itthoni hosting szolgáltató, akit tudtok ajánlani biztonsági szempontból?"
Ez nekem nem egyértelmű, mi a cél?
https://www.coreinfinity.tech
inf3rno
Topikgazda
Csak annyi, hogy az OS és a HTTP szerver beállításával, hardeninggel, upgrade-el ne kelljen foglalkozni, csak az alkalmazás helyes megírásával. Szóval klasszikus hosting. Volt már olyan szolgáltató, akit megtörtek, és úgy fértek hozzá az oldalhoz, nem is az alkalmazás volt a rossz, talán cpanel-en vagy ilyesmin keresztül. Na az ilyen helyzeteket akarom elkerülni, és most nincs időm nekiesni annak, hogy hogyan állítsam be helyesen meg úgy egyébként nem akarok annyira szerver üzemeltetéssel foglalkozni, ha nem muszáj.
Az OSCP-t én sem most gondoltam. Az még évek mire készen leszek rá, de távlati célnak jó.
[ Szerkesztve ]
Buliban hasznos! =]
Ez a melyik ujjamat harapjam-eset. Ha hostingot használsz, a szolgáltatón múlik, mikor frissít, nincs kontrollod. Ha saját magadnak csinálod, teljesen a saját kezedben van, de törődni kell vele.
https://www.coreinfinity.tech
inf3rno
Topikgazda
Hát ja, azért voltam kíváncsi, hátha van valami bennfentes infotok. Üzemeltetés szempontból pl dotrollt ajánlotta nekem ezzel foglalkozó ismerős.
Pont ez az, hogy nem igazán van erre időm, teljesen saját magam meg nem fogok nekiállni. A maximum ameddig elmennék az a dedikált szerver, de infrastruktúrát garantáltan nem fogok kiépíteni. Ahhoz már nagyon jól menő weboldal kellene, hogy megérje.
[ Szerkesztve ]
Buliban hasznos! =]
Igazából a kérdés az, hogy mit kell hostolni? E-commerce website-ot, dinamikus weboldalt, vagy statikus html-t?
https://www.coreinfinity.tech
inf3rno
Topikgazda
A többsége ecommerce, de igazából ügyfél függő a dolog.
[ Szerkesztve ]
Buliban hasznos! =]
Ti mivel szoktatok generálni biztonságosan hosszú véletlen karakteres jelszavakat?
Tudom van sok webes jelszógeneráló oldal. Azt ígérik hogy valójában offlineak és nem ők küldenek egy jelszót ami ott lesz az adatbázisukban. Szóval hinni kell bennük mint Jézusban..?
[ Szerkesztve ]
inf3rno
Topikgazda
Firefoxban van ilyen beépítve. Ha máshova kell, akkor kb. 5 perc írni rá programot. [link] Javítani ezeken igazán a random szám generátor lecserélésével lehet. Komoly helyeken erre a célra hardvert használnak.
[ Szerkesztve ]
Buliban hasznos! =]
Nem az a lényeg hogy be legyen építve..
Nem az a lényeg hogy le lehessen tölteni egy megosztóoldal (github) Hackxxxx nevű csoportjától egy .exe -t ami állítólag opnsource és nem raktak az exe-be egy plusz utasítást...
Hanem az hogy lássam mit csinál.
Tehát nem lehet bineáris (exe) file. Nem vagyok programozó se.
Nincs egy egyszerű txt szöveg amit beilleszthetek notepadba, átnevezem txt-ről html-re rákattintok, lefut chrome-ban, minden php js stb nélkül..? A végén kiír egy véletlen jelszót..?
Egon
nagyúr
Beírtam a keresőbe, hogy "password generator htlm" és voila: [link]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Igen, ehhez hasonló kellene.
De ebben sajnos a betűzésre meg a listanyomtatás felé mentek el. Feleslegesen..
Ebben nem lehet pontos hosszt megadni, kiválasztani hogy csak kicsi, kicsi+nagy, és spéci karaktereket is engedjen-e. Pedig úgy még rövidebb is lenne a kód gondolom.
De eszerint még nem merült fel nálatok az igény ilyesmire. Akkor majd még keresgélek hátha akad a neten.
[ Szerkesztve ]
sztanozs
veterán
Évekkel ezelőtt írtam erre egy kis programot (vbscript vagy c# már nem emlékszem, majd megkeresem a forráskódot, ha nagyon nem találsz)
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
Hát valóban nem gondoltam hogy ennyire speciális az igényem és hogy mindenki vakon bízik a webes vagy exe-s jelszógenerátorokban..
Ennyire nehéz lenne egyetlen fileos html-t írni? vagy senki nem hajlandú megosztani a munkáját ezért vannak csak online elérhetős js php és hasonló oldalak?
Mondjuk ilyen tudású html: [kép]
inf3rno
Topikgazda
A githubon forráskódok vannak, nem exe fájlok.
Nincs, a HTML az nem programnyelv, csak js-el tudsz véletlen számot generálni, ha böngészőben szeretnéd, viszont abból is az alap megvalósítás elég gyenge minőségű. Előfordulhat, hogyha valaki ismeri a készítés idejét és a módszert, akkor be tudja tippelni a jelszót, amit generál mondjuk 1000 próbálkozásra.
[ Szerkesztve ]
Buliban hasznos! =]
Bitwarden, Keepass - hány egyéb kell még?
https://www.coreinfinity.tech
∂яσнυη
senior tag
Én is KeepassXC-t vagy droid-on KeepassDX-et használom. A bizalmatlanság, amit kiérzek a hozzászólásaidból nem visznek előre, semmilyen szempontból.
Ilyen alapon a cpu-t is saját magadnak kellene gyártanod, amihez sok szerencsét.
[ Szerkesztve ]
Pedig nem ártana egy kis bizalmatlanság..
Ne én váljak az unokázós csalók áldozatává..
Te mindig átnézed a github forráskódot és abból fordítod le magadnak a futtatható fileokat? (nem az egyszerűbb utat választod és a kész keepass.exe-t töltöd le?)
Én nem tudnám észrevenni a forráskódba rejtett férgeket se ha bonyolultabb mint a #283 html filja.
inf3rno
Topikgazda
Parancsolj:
<script>
function getRandomPassword(symbols, length){
if (!(symbols instanceof Array))
throw new Error("Symbols must be an array.");
if (isNaN(length) || length<0 || length%1)
throw new Error("Length must be a positive integer.");
var cryptoModule = window.crypto || window.msCrypto;
if (!cryptoModule)
throw new Error("Crypto module is not supported in this environment.");
var randomIntegers = new Uint32Array(length);
cryptoModule.getRandomValues(randomIntegers);
var maxInteger = Math.pow(2, 32);
var maxSymbolIndex = symbols.length;
var randomSymbols = [];
for (randomInteger of randomIntegers) {
var symbolIndex = Math.floor(randomInteger/maxInteger*maxSymbolIndex);
randomSymbols.push(symbols[symbolIndex]);
}
return randomSymbols.join("");
}
window.addEventListener("load", function (){
var symbolsInput = document.getElementById("symbols");
var lengthInput = document.getElementById("length");
var startButton = document.getElementById("start");
var resultOutput = document.getElementById("result")
startButton.addEventListener("click", function (){
var symbols = symbolsInput.value.split("");
var length = parseInt(lengthInput.value);
try {
var password = getRandomPassword(symbols, length);
}
catch(e){
alert("Hiba van.\n" + e);
}
resultOutput.value = password;
});
});
</script>
<label for="symbols">szimbólumok</label><br/>
<textarea id="symbols">01</textarea>
<br/>
<label for="length">hossz</label><br/>
<input type="number" id="length" min="1" max="128" value="16" />
<hr />
<input type="button" id="start" value="új jelszó" />
<br/>
<textarea id="result"></textarea>
Buliban hasznos! =]
Egon
nagyúr
Ácsi.
1. Nem ártana tudni a felhasználási célt. Egyébként (ahogy fentebb írták) a legtöbb algoritmus csak pszeudo-random lesz, ha már tutifixbiztos megoldást szeretnél, akkor lehet megfelelő hardverbe beruházni...
2. Ki mondta, hogy használok(unk) egyáltalán bármilyen jelszógenerátort?
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
inf3rno
Topikgazda
Én használok. Általában úgy zajlik, hogy ráütök egyet a billentyűzetre, aztán amit kiad az lesz a jelszó. Esetleg firefox beépített dolgát is használom, ha meg akarom jegyeztetni.
Buliban hasznos! =]
inf3rno
Topikgazda
Erről a STARTTLS dologról tudtok valamit?
Buliban hasznos! =]
Ez nagyon jónak tűnik! Köszönöm.
inf3rno
Topikgazda
Szívesen!
Ezen a részén nem biztos, hogy tökéletes:var symbolIndex = Math.floor(randomInteger/maxInteger*maxSymbolIndex)
Elképzelhető, hogy az utolsó szimbólum egy kicsit ritkábban jön, mint a többi, de nincs nagy jelentősége.
[ Szerkesztve ]
Buliban hasznos! =]
Nincs azzal baj, ha állami szervek végre használják a fejüket. Fontosabb kérdés, hány bűneset jutott tudomásukra és ebből mennyi letartóztatást eszközöltek.
https://www.coreinfinity.tech
Bubee82
őstag
Sziasztok,
sh4d0w kollega iranyitott ide, mint leendo kiberbiztonsagi (eleg szarul hangzik magyarul ) szakmunkasembert Jelenleg munka mellett tanulom a szakmat, ahogy birom, ami egyebkent egy 10 eves karriert valt le. Never too late
sh4d0w utmutatasaval sikerult beazonositanunk, hogy mely irany az a szakman belul ahova erdemes lenne orientalodni es ez a SOC Analyst. Ezuton is koszonom neki a sok infot
Mai Hardverapró hirdetések
prémium kategóriában
- ZOTAC GeForce GTX 1080 AMP Edition 8GB GDDR5X 256bit
- Filmes gép gyűjtemény
- Nikon D5000 + AF-S DX NIKKOR 18-105 mm
- Bontatlan Seagate & Western Digital HDD-k 3TB - 12TB -ig - Számla + Garancia, Ár alatt! BeszámítOK!
- DJI Mini 4 pro FMC drón - 3 akku, RC2 táv, 2 táska, Filterek, 2025. decemberig garancia, DJI Care