Köszönöm. A másodikkal az a baj, hogy restart kell neki, akkor meg már felesleges...

https://www.coreinfinity.tech

Hát ennyire futotta, sosem voltak Apple termékeim. Most is csak azért van egy iphone, hogy alkalmazásokat tudjak tesztelni rajta. Telefonálásra nem használom, az ujjlenyomat érzékelőjét meg leragasztottam.

[ Szerkesztve ]

Buliban hasznos! =]

Én is pont azért vettem egy régebbi Mac-et, hogy megtanuljam a működését, mert nálunk hivatalos platform.

https://www.coreinfinity.tech

Hát ha valamivel nagyon nem boldogulsz, akkor érdemes az Apple supportot kérdezni, elvégre ők gyártották le a rendszert, és fizetős az egész.

Buliban hasznos! =]

Az mDNS-ről van valami véleményetek biztonság terén?

Buliban hasznos! =]

Ha nem muszáj, ne használd, kapcsold ki. Ahogy elnézem, nagyon melós a beállítás/karbantartás security szempontból.

https://www.coreinfinity.tech

Köszi! Nekem is ez volt a benyomásom róla.

Buliban hasznos! =]

Jövő hét utáni héten kezdem az ISO 27001 Lead Auditor képzést az SGS-nél.
Kíváncsi leszek, hogy milyen lesz...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Na, faja, nagy kalappal. Én augusztusban szaladok neki egy forensics-nek EDX-en.

https://www.coreinfinity.tech

Köszi, neked is...
Jövőre, ha minden jól megy, lehet nekifutok a CISA-nak is (vagy lehet inkább CISM), és ezzel a minősítés-halmozást jó eséllyel befejeztem. Öreg vagyok már ehhez...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Én a CISSP-n gondolkodom.

https://www.coreinfinity.tech

Én még csinálom az NKE-EIV-et. Júliusra végzek, ha minden összejön. Mellette most BHIS-en csinálok megint egy 16 órásat, de most nagyon nincs időm rá, majd később visszanézem és begyakorlom. Elvileg az NKE-n indult valami kibermester képzés, amire néhányan már jelentkeztek a csoportból. Talán jövőre megcsinálom azt is.

Buliban hasznos! =]

A SANS-árak eszementek...

https://www.coreinfinity.tech

Az EIV-et hogyan értékeled ennyi idő után? Volt haszna? El lehet vele helyezkedni, ha valaki frissen végzett, vagy kell még más papír is? Felmerült többeknél, hogy egy kicsit erős egyből a mély vízbe dobni vezetői beosztásba az embert nulla gyakorlattal...

Buliban hasznos! =]

Továbbra is csak azt tudom mondani, mint eddig: kizárólag arra jó, hogy ha állami szervnél akarsz elhelyezkedni (olyan szervezetnél, amire vonatkozik az Ibtv.), vagy némi előnyt jelenthet, ha olyan tanácsadó céghez mész, ahol szolgáltatnak kihelyezett informatikai biztonsági felelőst, állami cégeknek.
Pl. nekem jól jött, amikor az egyik ügyfelünknél, egy állami Zrt-nél kerestek ilyen embert (IBF-et), mert a cégünk engem tudott nevezni erre a feladatra, ergo volt kompetenciánk. Persze ennek hiányában ment volna a CISA-s kolléga - és az ő papírját más projektekben is tudtuk hasznosítani: olyan projektekben, ahol meg az volt a követelmény, és én semmit sem értem volna az EIV végzettségemmel...
Summa summarum: ha az ember komolyan gondolja ezt a szakmát, akkor jó eséllyel szüksége lesz legalább egy nemzetközi minősítésre. Hard security vonalon (azaz etikus hacking) szerintem az OSCP a legjobb papír (ami relatíve olcsón elérhető); a magyar CEH képzések (kivéve talán a Kürt Akadémiás képzést, ha még van olyan) jóval kevesebbet érnek. Soft security vonalon vagy az auditori képzésekre érdemes rágyúrni (egy ISO27K LA-t pl. jól kiegészíthet egy EIV képzés, főleg ha még mondjuk a Hptv. kapcsolódó követelményeivel és az MNB rendeletekkel is képben vagy), vagy az ISACA-s képzések azok, amit széles körben elismernek (CISA, CISM, CRISC). Aztán egy kicsit a kettő között (de még mindig soft security) ott van mondjuk a CISSP (bár azt első minősítésnek én nem vállalnám be).
És persze lehet feljebb is lépkedni, a már említett SANS-os képzésekkel.
Ha meg rengeteg időd van, akkor lehet valami ITSEC témájú MSC-t letenni (nincs túl sok, de azért akad 1-2): ez is jó ajánlólevél lehet 1-1 pozira.

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Egyébként a kapcsolódó feladat (a képzés megnevezése ellenére) igen ritkán jelent valós vezetői beosztást... A törvény is "elektronikus információs rendszerek biztonságáért felelős személy"-ről beszél...
A legtöbb szervezet, akire vonatkozik az Ibtv, az mind önkormányzat. Relatíve igen sz*rul fizetnek, max. csak arra jók hogy gyakorlatot szerezz velük. Más szervezeteknél szintén felvesznek erre egy főt, legjobb esetben a legfelsőbb vezető közvetlen alárendeltségébe, de simán előfordul olyan is, hogy a gazdasági részleg alatt elhelyezkedő informatikai vezető beosztottjaként dolgozik az illető... Elvárás és a célok megvalósításához szükséges keret konvergál a nullához: a legtöbb esetben csak papírok legyártását (és persze a felelősség vállalását...) várja el az adott szervezet vezetése: a legtöbb ilyen vezető nem érti meg az információbiztonság fontosságát, szerepét és jelentőségét.
1-1 helyen, ahol van némi személyzet is a biztonsági feladatok ellátására (nem ide keverendő az üzemeltetés azon része, akik ITSEC feladatokat látnak el, pl. a tűzfalasok stb.), ott esetleg jelenthez ez egy osztályvezetői állást (pl. az ORFK-n ez a helyzet, hogy mondjak egy konkrétumot is).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Ha munkát keresel, inkább SOC akár entry level is, jobban fizet.

https://www.coreinfinity.tech

Az egy harmadik irány, én egyáltalán nem javaslom itt, kis hazánkban.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

SOC-ból csináltam ezt a John Strand féle képzést, de újra át kéne néznem az egészet. Nem hiszem, hogy itthon bárhova felvennének vele, de ki tudja. Igazából nem feltétlen akarok én ezzel főállásban foglalkozni, legalábbis az volt a terv, hogy mellékesnek jó, ha megcsinálom itt helyben néhány önkormányzatnak, a maradékot pedig szoftverfejlesztős, hálózatépítős projektekből finanszírozom. Persze a tervek változhatnak is, agyalok rajta, hogy visszamenjek e BP-re.

Buliban hasznos! =]

Köszi! Ez hasznos info. OSCP vagy ilyesmi felé megyek el, ha esetleg elszakadok ettől az önkormányzati, programozói vonaltól. Most ami fontos, hogy biztonsági szempontból ki tudjak tesztelni egy webalkalmazást vagy webszolgáltatást, azt meg szerintem lehet papír nélkül is. Üzemeltetni nem akarok, ha nem muszáj. Apropó, esetleg van olyan itthoni hosting szolgáltató, akit tudtok ajánlani biztonsági szempontból?

[ Szerkesztve ]

Buliban hasznos! =]

OSCP-nek csak nagyon felkészülten fuss neki - mármint a vizsgának. 24 óra, 50 rendszer, mindet fel kell törnöd. Ha ezzel megvagy, akkor 48 órád van a reportingra.

Gyakorlásnak DVWA, Juice Shop ajánlott - tele vannak sebezhetőségekkel és nem túl nagy a memória igényük, még 8 GB RAM mellett is használhatók. Vannak egyéb letölthető CTF vm-ek is, ott a HackTheBox.

"Apropó, esetleg van olyan itthoni hosting szolgáltató, akit tudtok ajánlani biztonsági szempontból?"

Ez nekem nem egyértelmű, mi a cél?

https://www.coreinfinity.tech

Csak annyi, hogy az OS és a HTTP szerver beállításával, hardeninggel, upgrade-el ne kelljen foglalkozni, csak az alkalmazás helyes megírásával. Szóval klasszikus hosting. Volt már olyan szolgáltató, akit megtörtek, és úgy fértek hozzá az oldalhoz, nem is az alkalmazás volt a rossz, talán cpanel-en vagy ilyesmin keresztül. Na az ilyen helyzeteket akarom elkerülni, és most nincs időm nekiesni annak, hogy hogyan állítsam be helyesen meg úgy egyébként nem akarok annyira szerver üzemeltetéssel foglalkozni, ha nem muszáj.

Az OSCP-t én sem most gondoltam. Az még évek mire készen leszek rá, de távlati célnak jó.

[ Szerkesztve ]

Buliban hasznos! =]

Ez a melyik ujjamat harapjam-eset. Ha hostingot használsz, a szolgáltatón múlik, mikor frissít, nincs kontrollod. Ha saját magadnak csinálod, teljesen a saját kezedben van, de törődni kell vele.

https://www.coreinfinity.tech

Hát ja, azért voltam kíváncsi, hátha van valami bennfentes infotok. Üzemeltetés szempontból pl dotrollt ajánlotta nekem ezzel foglalkozó ismerős.

Pont ez az, hogy nem igazán van erre időm, teljesen saját magam meg nem fogok nekiállni. A maximum ameddig elmennék az a dedikált szerver, de infrastruktúrát garantáltan nem fogok kiépíteni. Ahhoz már nagyon jól menő weboldal kellene, hogy megérje.

[ Szerkesztve ]

Buliban hasznos! =]

Igazából a kérdés az, hogy mit kell hostolni? E-commerce website-ot, dinamikus weboldalt, vagy statikus html-t?

https://www.coreinfinity.tech

A többsége ecommerce, de igazából ügyfél függő a dolog.

[ Szerkesztve ]

Buliban hasznos! =]

Ti mivel szoktatok generálni biztonságosan hosszú véletlen karakteres jelszavakat?

Tudom van sok webes jelszógeneráló oldal. Azt ígérik hogy valójában offlineak és nem ők küldenek egy jelszót ami ott lesz az adatbázisukban. Szóval hinni kell bennük mint Jézusban..?

[ Szerkesztve ]

Firefoxban van ilyen beépítve. Ha máshova kell, akkor kb. 5 perc írni rá programot. [link] Javítani ezeken igazán a random szám generátor lecserélésével lehet. Komoly helyeken erre a célra hardvert használnak.

[ Szerkesztve ]

Buliban hasznos! =]

Nem az a lényeg hogy be legyen építve..
Nem az a lényeg hogy le lehessen tölteni egy megosztóoldal (github) Hackxxxx nevű csoportjától egy .exe -t ami állítólag opnsource és nem raktak az exe-be egy plusz utasítást...

Hanem az hogy lássam mit csinál.
Tehát nem lehet bineáris (exe) file. Nem vagyok programozó se.

Nincs egy egyszerű txt szöveg amit beilleszthetek notepadba, átnevezem txt-ről html-re rákattintok, lefut chrome-ban, minden php js stb nélkül..? A végén kiír egy véletlen jelszót..?

Beírtam a keresőbe, hogy "password generator htlm" és voila: [link]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Igen, ehhez hasonló kellene.

De ebben sajnos a betűzésre meg a listanyomtatás felé mentek el. Feleslegesen..
Ebben nem lehet pontos hosszt megadni, kiválasztani hogy csak kicsi, kicsi+nagy, és spéci karaktereket is engedjen-e. Pedig úgy még rövidebb is lenne a kód gondolom.

De eszerint még nem merült fel nálatok az igény ilyesmire. Akkor majd még keresgélek hátha akad a neten.

[ Szerkesztve ]

Évekkel ezelőtt írtam erre egy kis programot (vbscript vagy c# már nem emlékszem, majd megkeresem a forráskódot, ha nagyon nem találsz)

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Hát valóban nem gondoltam hogy ennyire speciális az igényem és hogy mindenki vakon bízik a webes vagy exe-s jelszógenerátorokban..

Ennyire nehéz lenne egyetlen fileos html-t írni? vagy senki nem hajlandú megosztani a munkáját ezért vannak csak online elérhetős js php és hasonló oldalak?
Mondjuk ilyen tudású html: [kép]

A githubon forráskódok vannak, nem exe fájlok.

Nincs, a HTML az nem programnyelv, csak js-el tudsz véletlen számot generálni, ha böngészőben szeretnéd, viszont abból is az alap megvalósítás elég gyenge minőségű. Előfordulhat, hogyha valaki ismeri a készítés idejét és a módszert, akkor be tudja tippelni a jelszót, amit generál mondjuk 1000 próbálkozásra.

[ Szerkesztve ]

Buliban hasznos! =]

Bitwarden, Keepass - hány egyéb kell még?

https://www.coreinfinity.tech

Én is KeepassXC-t vagy droid-on KeepassDX-et használom. A bizalmatlanság, amit kiérzek a hozzászólásaidból nem visznek előre, semmilyen szempontból.

Ilyen alapon a cpu-t is saját magadnak kellene gyártanod, amihez sok szerencsét.

[ Szerkesztve ]

Pedig nem ártana egy kis bizalmatlanság..
Ne én váljak az unokázós csalók áldozatává..

Te mindig átnézed a github forráskódot és abból fordítod le magadnak a futtatható fileokat? (nem az egyszerűbb utat választod és a kész keepass.exe-t töltöd le?)

Én nem tudnám észrevenni a forráskódba rejtett férgeket se ha bonyolultabb mint a #283 html filja.

Parancsolj:

<script>
function getRandomPassword(symbols, length){
if (!(symbols instanceof Array))
throw new Error("Symbols must be an array.");
if (isNaN(length) || length<0 || length%1)
throw new Error("Length must be a positive integer.");
var cryptoModule = window.crypto || window.msCrypto;
if (!cryptoModule)
throw new Error("Crypto module is not supported in this environment.");
var randomIntegers = new Uint32Array(length);
cryptoModule.getRandomValues(randomIntegers);
var maxInteger = Math.pow(2, 32);
var maxSymbolIndex = symbols.length;
var randomSymbols = [];
for (randomInteger of randomIntegers) {
var symbolIndex = Math.floor(randomInteger/maxInteger*maxSymbolIndex);
randomSymbols.push(symbols[symbolIndex]);
}
return randomSymbols.join("");
}

window.addEventListener("load", function (){
var symbolsInput = document.getElementById("symbols");
var lengthInput = document.getElementById("length");
var startButton = document.getElementById("start");
var resultOutput = document.getElementById("result")

startButton.addEventListener("click", function (){
var symbols = symbolsInput.value.split("");
var length = parseInt(lengthInput.value);
try {
var password = getRandomPassword(symbols, length);
}
catch(e){
alert("Hiba van.\n" + e);
}
resultOutput.value = password;
});

});

</script>
<label for="symbols">szimbólumok</label><br/>
<textarea id="symbols">01</textarea>
<br/>
<label for="length">hossz</label><br/>
<input type="number" id="length" min="1" max="128" value="16" />
<hr />
<input type="button" id="start" value="új jelszó" />
<br/>
<textarea id="result"></textarea>

Buliban hasznos! =]

Ácsi.
1. Nem ártana tudni a felhasználási célt. Egyébként (ahogy fentebb írták) a legtöbb algoritmus csak pszeudo-random lesz, ha már tutifixbiztos megoldást szeretnél, akkor lehet megfelelő hardverbe beruházni...
2. Ki mondta, hogy használok(unk) egyáltalán bármilyen jelszógenerátort?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Én használok. Általában úgy zajlik, hogy ráütök egyet a billentyűzetre, aztán amit kiad az lesz a jelszó. Esetleg firefox beépített dolgát is használom, ha meg akarom jegyeztetni.

Buliban hasznos! =]

Erről a STARTTLS dologról tudtok valamit?

Buliban hasznos! =]

Ez nagyon jónak tűnik! Köszönöm.

Szívesen!

Ezen a részén nem biztos, hogy tökéletes:
var symbolIndex = Math.floor(randomInteger/maxInteger*maxSymbolIndex)
Elképzelhető, hogy az utolsó szimbólum egy kicsit ritkábban jön, mint a többi, de nincs nagy jelentősége.

[ Szerkesztve ]

Buliban hasznos! =]

[link]

Buliban hasznos! =]

Nincs azzal baj, ha állami szervek végre használják a fejüket. Fontosabb kérdés, hány bűneset jutott tudomásukra és ebből mennyi letartóztatást eszközöltek.

https://www.coreinfinity.tech

Sziasztok,

sh4d0w kollega iranyitott ide, mint leendo kiberbiztonsagi (eleg szarul hangzik magyarul ) szakmunkasembert Jelenleg munka mellett tanulom a szakmat, ahogy birom, ami egyebkent egy 10 eves karriert valt le. Never too late

sh4d0w utmutatasaval sikerult beazonositanunk, hogy mely irany az a szakman belul ahova erdemes lenne orientalodni es ez a SOC Analyst. Ezuton is koszonom neki a sok infot

Ezt érdemes végigtolni. [link]

Buliban hasznos! =]