Azt jó lenne tudni, hogy azért megy ilyen könnyen (ha igaz), mert a cégek nem teszik meg a minimumot, vagyis update tartani mindent és persze minőségi tűzfalat, víruskeresőt, malware keresőt használnak és erős jelszavakat, vagy azon is át tudnak menni, aki mindent megtesz, ami elvárható?

Tudom, hogy gyakran a social engineering a kulcs, de ha azt nem használnák, pusztán a frissen tartott rendszer annyira lyukas, hogy át tudnak menni rajta?

Én azért kétlem a dolgot, mert legalább ilyen tudás birtokában van a "sötét oldal" is és ők ha megtehetik be is törnek mindenhová, de mégsem hallani ennyi ügyről, vagy pl. azt hogy ugyanoda megint betörtek.

A legrosszabb szerintem az, amikor már a hálózat tervezésekor olyan hibát követnek el, amit szinte lehetetlen védeni. Pl. az hogy olyan kritikus rendszerek csatlakoznak az Internetre, amiknek a működéséhez nem kell az Internet, vagyis csak hanyagságból, vagy kényelmességből kötik rá. Sok ilyen rendszert én még belül is védenék fizikailag. Van aminek még az Intraneten sincs keresnivalója, sőt távoli elérés sem kellene rá, mégis van. Az ember a gyenge láncszem minden szempontból.

Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.

Ez ilyen bemondásos alapon megy?
Akkor én is feltörök bármilyen rendszert 12 óra alatt.

Rengeteg olyan próbálkozás volt nálunk is, amikor az ember csak scannel, de még normálisan lefuttatni se tudja a scripteket amit valahonnan összeszedett. A kedvenc az volt, amikor még az "insert IP here" sor is benne volt, mert arra se volt képes, hogy azt beleírja.

Ja, szerintem is kamu. Egy ilyen általános betörési sémához léteznie kellene egy csak a beavatottak által ismert kód, ami mindig bevethető. Ennek a valószínűsége kb. 0%.

Verpistike szaga van a dolognak.

Ok, akkor szerezzék meg nagyanyám titkos receptjeit.

Am meg hacker találkozó? Egy igazán profi garantáltan kihagyná.

kamu.
egyébként is hacker nem töröget.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

egyébként is hacker nem töröget.

(Megtanulhatná a suttyó média, hogy cracker<>hacker)

[ Szerkesztve ]

Selenia 5w-40 motorolaj eladó! Na meg 4db Ford Kuga TPMS szenzor, 12k-ért

A jó hackernek 1 másodperc is elég

pár éve volt balhé, hogy kiszivárgott valami levelezés a magyar titkosszolgálat emberei és az egyik kémprogram csomag készítő cég helpdeskje közötti párbeszédről.

Nem valószínű, hogy csak a "jó" fióknak és lányoknak van ilyen készletük: [link]

Másrészt a Snowden féle kitálalás is kb arról szó, hogy átjáróház a legtöbb rendszer a sebezhetőségeknek hála. Aztán sorban voltak cikkek arról, hogy szándékosan gyengíthettek titkosításokat, hátsóajtókat tettek telekommunikációs eszközök szoftvereibe. Még az sem lenne meglepő, hogy minden angol-amerikai processzorlicenszen alapuló gépben lennének olyan sebezhetőségek szándékosan, mint a nemrég kitálalt ASLR.

Szóval inkább 99%, hogy sok év munkájával, sok hiba és szándékos sérülékenység kihasználásával szinte bárhová be tudnak menni.

"Még az sem lenne meglepő, hogy minden angol-amerikai processzorlicenszen alapuló gépben lennének olyan sebezhetőségek szándékosan": miért lenne most neked meglepetés az, amiről már volt hír?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

En hajlando vagyok elhinni hogy sok eves rutinnal es tapasztalattal rendelkezo emberek a rendszerek nagyreszebe par ora alatt be tud jutni. Anno kivancsisagbol kiprobaktam par open source toolt abszolut laikuskent nem keves sikerelmennyel. Ezekhez aztan meg hozzajonnek a dark neten vasarolhato softok/tudasanyagok, 0day cuccok is.

Nyilvan nem igaz h barmely rendszerbe betudnanak jutni ilyen rovid hataridovel, de ha valahova nagyon be akarnak es nem atombiztos, oda elobbutobb bejutnak.

It's gotta feel so good to moo as a cow. Probably feels really good to moo

Az nem volt kérdés, hogy kitartó munkával be lehet törni a rendszerekbe. De ez a néhány óra... inkább nem minősíteném.

A hackerek krémje nemigen menne el fesztiválozni, talán egy valóban profi hackert kellene erről megkérdezni a bunkerében kamerák nélkül. Ezek csak hangoskodnak,arcoskodnak!

És ezt komolyan el is hiszik nekik?
Bár attól is függ, hogy csavarják. Biztos találnak olyan vállalatot aminél ez a kijelentésük be is jön, de esetek nagy részében nem és ez csak arcoskodás.

www.kamerapro.hu | FOTÓS TERMÉKEK SZÉLES VÁLASZTÉKA

annyit kellett volna csinálni, hogy letenni eléjük egy microservert, hogy akkor tessenek produkálni...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"Nem otthon vagyok, nem a kedvenc plüss rózsaszín egerem van itt, nem pwm-mentesamonitoréspirosaszemem..." stb-stb.

Minél Több Embert Ismerek, Annál Jobban Szeretem A Cicáimat!

[link]

Ha válaszolok / írok az üzenetedre, elvárom a választ. Egy minimális kommunikációs etikettet tartsunk be, még akkor is, ha nem érdekel az ajánlat.

Internet nélküli géptörés.[link]

ཨོཾ་ཨཱཿཧཱུྃ་བཛྲ་གུ་རུ་པདྨ་སིདྡྷི་ཧཱུྃ

Aha. Hány éves vagy te királyfi? Szerinted az csak úgy megy ahogy a videón láttad?

Valahogy esetleg el is kell juttatni az internet nélküli gépre a kódot ami ezt a ledes adatküldést csinálja. Ehhez meg azért kell fizikai hozzáférés az adott géphez. És mi van ha nem az ablak felé van fordítva a gép ledes fele? Esetleg nincs is ablak? Fontos adatokat tartalmazó offline szervereket nem az iroda közepén az asztal alá belökve szoktak tartani. Ez is egy koncepció aminek gyakorlati haszna jószerével nincs, dacára annak hogy lehet szituáció amikor akár még működhet is.
Hülyeségeket én is ki tudok találni, mondjuk a merevlemez leállításával-felpörgetésével is lehet biteket kódolni (mondjuk lassúnak lassú, de ugye hülye ötletről volt szó), amit lézeres mikrofonnal az ablak rezgései által akár kilóméterekről is le lehet hallgatni (a drónt azért észre lehet venni). Ilyen mikrofonozással le lehet hallgatni hogy valaki mit gépel a billentyűzeten, minden billentyűnek más a hangja gépeléskor, megfelelő időtartamú lehallgatással nagyon jól profilozható, kitűnő találati arányt ad, jobb a felismerési hatékonysága mint a szóbeli diktálásnak. Aztán még nyilván van ezer dolog amire nem is gondolunk.
Jut eszembe, jobb módszer a leállításos hülyeségemnél ha fejparkolásokat csinálunk a gépen, azzal jelentősen magasabb adatátviteli sebességet lehet elérni és az is mikrofonozható.

Blogom: https://logout.hu/blog/upo/index.html | "Az átlagember alvásigénye még 5 perc"

De az biztos nem 'jo' hacker volt. Ha pl. az a 'jo' hacker definicioja, hogy aki barmilyen rendszert megtor 12 ora alatt, akkor gyanus, hogy egy 'jo' hacker tenyleg megtor barmit 12 ora alatt .

én is megtörök bármilyen rendszert, hamarabb, mint 12 óra.
*MINDIG* van kéznél egy nagyobb kalapács...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Lottó számokat kérem, ha bármit!

Hiába szúr, itt Ryzen a úr!

Akinek csak kalapácsa van...

Azért ebben a történetben bőven bennevan a Layer 8 is. Amúgy meg abban a világban, ahol mindenhol háromszáz éves, Java alapú appokat és tízenéves webappokat használnak, emellett meg a patchek legyártása és kiküldése hónapokban mérhető, egy kéthetes sérülékenység még 0day.

Van egy olyan erős tippem, hogy általában a multis techbüdzsé alacsonysága, illetve az IT alacsony prioritása okán nem olyan nehéz bejutni ezen cégek hálózatába, főleg a mostani BYOD világban.

wunderbike.postr.hu

én nem hiszek abban, hogy minden cégnél a határvédelem egy átjáróház.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Kívàncsi vagyok hogy pl egy nagyobb bank, pl Bank of america vagy Wells Fargo rendszere is ilyen könnyű lenne-e?

Év poénja: Azért vettem ezt a monitort mert az Indexen azt írtàk jó

A céges alkalmazások egy része nem az erős védelemről híres, de ezért van a határvédelem. A biztonságra ezért kétféle módon szoktak törekedni:
- megadnak egy biztonsági minimum követelményrendszert, amit teljesíteni kell
- olyan környezetben használják az alkalmazást, ahol a biztonsági hiányosságok egy másfajta védelem mögé elrejthetők

Önbevallás alapon biztosan az.

Things that try to look like things often do look more like things than things

Kb. 2-3 éve hallottam egy biztonsági konferencián, hogy "már 5 éve elavult az a nézet, hogy ha van egy jó erős határvédelmed, akkor biztonságban vagy".
Tavaly év végen mondta egy ismert etikus hacker egy másik konferencián, hogy tűzfalad nem azért van, hogy megvédd magad a külső fenyegetésektől (ha ez lenne a cél, akkor elvágnád a netkábelt...), hanem azért, mert muszáj kapcsolatot tartanod a külvilággal (net, e-mail, akármi).
Nyilván van ezekben az állításokban némi csúsztatás, de azt gondolom, mindenképp elgondolkodtató kérdéseket vetnek fel.

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Legjobb tudomásom szerint az éppen aktuális filozófia nem a perimeter security-re összpontosít, hanem a belső védelem, illetve arra, hogy rendes autentikáció nélkül nem folyik adat, illetve minden logolva van.

A perimeter security központú világszemlélettel az a gond, hogy ha valami átjut, akkor onnantól fogva már többé-kevésbé szabadon garázdálkodik bent.

Egyébként meg zárójelben hozzátenném, hogy általában, ha valaki egy ilyen konferencián előad, az általában valamelyik infosec-kel foglalkozó cégnél dolgozik és amellett, hogy fontos információt oszt meg, reklámoz is. Ha valaki azt mondja, hogy tíz perc alatt bejut a hálózatodba, akkor lehet, hogy gyorsabban alkalmazod, mintha azt mondja, hogy két hét alatt talán..

wunderbike.postr.hu

Tökéletesen igazad van, de én is pont ezt mondtam (legalábbis a mondandód eleje vonatkozásában).
Mélységi védelem, illetve végpont védelem elengedhetetlen manapság, és nagy jövőt jósolok a viselkedés alapú technikáknak is.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Attol fugg, mit tor: diot, mandulat vagy mogyorot?

Viccet felreteve, az ilyen konferenciakra altalaban a kulonbozo biztonsagi tesztelok jarnak, nem a valodi hackerek. Nekik meg jolfelfogott anyagi erdekuk fuzodik a FUD keltesehez... Azert van nemi kulonbseg, ha valaki megrendelesre toroget kockazat nelkul, es a kozott, hogy az akcio jo resze arra iranyul, hogy ne hozza jojjon a partybusz.

A "jó hackerek" oda törnek be ahová érdemes. Aligha hozzám fognak.

Az ilyen konferenciák inkább a vállalati rendszergazdáknak lehetnek érdekesek.

Remélhetőleg odáig már eljutottak, hogy vállalati szerver tűzfalát nem olyan beállítással kezdik, ami midnen bejövő forgalmat átenged, mert utána már hiába írkálnak ezer soros beállításokat, ha igazából nem tudják mit csinálnak....

De minket otthoni kisfelhasználókat aligha ez érint. Sokkal inkább a gyökér, kicsinyes hackerpalánták, akik feles tudásukat tini lányok telefonjainak feltörésével és azokról félmeztelen képek küldözgetésével ütik el az unlamas óráikat. Na ellenük kéne kitalálni valamit!

A Pied Piper szerverét például tuti sohasem törnék fel, mivel Martin Starr a rendszergazdájuk és ő Pókember tanára, vagyis mindent tud.

Mindent tudok a rákászszakmáról...