„Az online kereskedelemben rejlő potenciál valószínűleg annál is sokkal nagyobb, mint amit gondolunk róla, de jól látszik, hogy szükséges a felhasználók biztonságtudatát fejleszteni” – mondja erről Lakatos Zoltán, a KPMG Security Labor vezetője.

Úgy érti, a biztonságát, nem a tudatát. Mert promózni hogy milyen állat biztonságos minden, max a forgalmat pörgeti, a biztonságot nem befolyásolja.

Egy illegális behatoláskor a megkérdezettek közül közel kétszer annyi fogyasztó várna el bizonyítékot arra vonatkozóan, hogy javították a problémát (42%), mint amennyien azt igénylik, hogy a vállalat bocsánatot kérjen (24%). Eközben a vállalati kiberbiztonsági vezetők körülbelül fele szerint a legfontosabb a bocsánatkérés, és csak 8 százalékuk szerint szükséges a behatolás és javítás részleteit megosztani.

Te jó ég, megdöbbentő, hogy micsoda "kiberbiztonsági vezetők" vannak... Hogy lett egy ilyen vezető? Ő már annyira vezető, hogy már nem is ember. Szerintem egy átlag ember bele udná képzelni magát az user helyébe, de ezek már nem...

Egyre nagyobb a probléma a fejekben, csak erre világít rá a cikk.

Kéne már pár elrettentő GDPR bírság, ami bedönti mondjuk a cukorsüveget, aztán egyből lenne tisztulás a piacon, mert onnantól a cégek nem bazíroznának arra, hogy a bírság kisebb, mint az adatvédelem fejlesztése.

Hello IT! Have you tried turning it off and on again?

a jelenlegi szabályozás szerint azt, hogy javították a problémát, közölni kell. bocsánatkérés is erősen javasolt.
viszont amelyik biztonsági vezető szerint közölni kell, hogy pontosan mi volt a lyuk és azt hogyan javították, azt rúgják ki.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Az üzleti transzformáció és digitalizáció sebessége jelentősen meghaladja a vállalatok kibervédelmi fejlesztéseinek tempóját – állapítják meg.
Ez eddig is így volt, ebben semmi újdonság nincs hacsaknem az, hogy most már elismerik.

A felmérés legnagyobb tanulsága, hogy a vállalati IT vezetők és a fogyasztók prioritásai között komoly ellentétek vannak egy adatlopás vagy hasonló incidens esetén
Ebben sincs semmi újdonság.

Az viszont érdekes, abból a szempontból, hogy hiába vált az előfizető szolgáltatót, nincs semmi garancia arra, hogy ott nem történik valami incidens.
Az időben történő tájékozgatás, sokat segít az előfizetőknek. Az hogy feltörnek, szervereket, személyes adatokhoz férnek hozzá, szinte mindennapos. Tehát ebben semmi szenzáció nincs. Ami a legfontosabb szerintem napjainkban hogy időben tájékoztassák az előfizetőket.
Vannak cégek amik ezt felismerik, és vannak cégek amik akkor is tagadnak, amikor az nyilvánvaló.

[ Szerkesztve ]

Ez egy egészen vicces konstelláció.
Én mondjuk inkább attól félek, hogy a szolgáltatóknál lévő adatok hackerek kezébe jutnak.

Állítólag az egyetemen töltött évek a legszebbek. Ezért a képzési időt próbálom a lehető leghosszabbra nyújtani.

"Egy illegális behatoláskor a megkérdezettek közül közel kétszer annyi fogyasztó várna el bizonyítékot arra vonatkozóan, hogy javították a problémát (42%), mint amennyien azt igénylik, hogy a vállalat bocsánatot kérjen (24%). Eközben a vállalati kiberbiztonsági vezetők körülbelül fele szerint a legfontosabb a bocsánatkérés, és csak 8 százalékuk szerint szükséges a behatolás és javítás részleteit megosztani."

Erzed a problemat ugye ? Egyetlen fogyaszto sem varja el, hogy reszletesen leirjak a hibat meg a javitast. A cikk sem ezt mondja. A cikk azt mondja (ami amugy teljesen jogos), hogy ilyen problema eseten legyen valami kezzelfoghato arra, hogy nem szartak a hibara es megy minden tovabb kussban, hanem mondjuk dolgoztak is egy kicsit. Bemondani barmit be lehet...

[ Szerkesztve ]

"Those who would shave the beard for pussy deserve neither the beard or the pussy." - Ben Franklin, probably

Ez így van. A bizalom - úgy általánosságban is - egy kényes dolog amit nehezen és hosszan épül fel, de lerombolni elég egy pillanat is. A bizalom az őszinteségen alapul, mert miután többszörösen meggyőződtem róla, hogy a másik fél igazat mond, utána kezdek el hinni benne, hogy legközelebb is így tesz.

Azzal, hogy egy szolgáltató azt mondja - általában csak azután, hogy lebukik -, hogy javított egy hibát, még nem tudok meggyőződni róla, hogy nem hazudik e, hisz azt se árulja el mi volt a hiba és miként javította. Csak higgyem el bemondásra. Ez nemhogy nem építi a bizalmat, hanem rombolja, mert csak azt látom, hogy elhallgat előlem valamit.

A gyakorlat eddig azt mutatta, hogy mindegyik szolgáltató hazudozik össze-vissza, az igazságot csak fogcsikorgatva vallja be és akkor is félremagyarázza, és mindezt általában akkor amikor már nincs más választása.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

"Erzed a problemat ugye": hogyne érezném, megint fotelrendszergazdák vetítik ki az óhajaikat a valóságra.

Meséld már el, mi lehet a "bemondásra" ellentéte? Minek kellene történnie ahhoz, hogy te elfogadd kézzelfogható bizonyítéknak? Részt veszel egy gyorstalpalón, ahol elmagyarázzák neked részletesen a szolgáltatás technológiai részleteit, majd odaállsz a rendszergazda háta mögé a szupertitkos objektumban és megnézed, hogy amit beírt a konzolba, az valóban hatásos a hiba elhárításához?

És ugyanezt megteszi az összes többi felhasználó is? benyomul kétmillió ember a dataplexbe és majd állnak ott, mint a 4-6-oson csúcsidőben?

A behatolás részleteit pedig nem teszi közzé normális ember, mert azzal célponttá teszi a többi helyszínt, ahol hasonló az infrastruktúra.

Következmény: MINDIG bemondásra fogod elhinni, hogy mi a helyzet, amit később az idő vagy igazol, vagy nem.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

haha... a megkérdezett felhasználók csak okoskodnak, amikor az adatikat féltik. A többség viszont önként kiteszi mindenét publikusan a netre. S egy fordítógéppel készült átverős levélre megadja az adatait, utal, s trójait telepít a gépére... vagy akár a céges gépre is, ha van rá lehetősége.

Üzemeltetői oldalról nyilván ez a legkényelmesebb hozzáállás. Ami miatt szerintem helytelen (túl azon, hogy a valóság is ezt bizonyítja, lásd a cikket), hogy az ügyfélnek nincs kontroll vagy átláthatóság a szolgáltató felett. Mit értek ez alatt?

Van mondjuk egy ügyfeled, legyen ez egy cég. A cég szerződést köt veled, hogy nálad fogja tartani az adatait. Te egy havidíj ellenében vállalod ezeknek az adatoknak a biztonságos tárolását és védelmét. A rendszeredet viszont feltörik mert van benne egy biztonsági rés és ellopják az ügyfeled adatait. Az ügyfél tudomást szerez erről és számon kér, válaszokat akar, hogy miképp történhetett az, hogy a rád bízott adatai illetéktelen kezekbe kerültek és mit tettél annak érdekében, hogy ez többet ne fordulhasson elő. Ezek bármennyire nem tetszenek jogos kérdések a részéről - akkor is ha laikus a témához - mivel fizetett neked (az elvileg szakértőnek) érte, hogy ez ne történhessen meg és te pedig nem tudtad teljesíteni amit vállaltál.

Ilyenkor ugye bizalomvesztés történt, mert vagy nem értesz hozzá és ennek ellenére vállaltad, hogy vigyázol az adataira (ez esetben becsaptad az ügyfelet), vagy nem üzemeltettél elég körültekintően (ez esetben nem végezted el azt amiért fizetett). Bármelyik lehetőség áll fent, az ügyfél bizalmát csak úgy fogod tudni visszaszerezni (már ha egyáltalán...) ha képes vagy meggyőzni őt arról, hogy a továbbiakban a szakértelem és a felügyelet is megfelelő lesz. Ahhoz viszont, hogy erről meggyőzd az ügyfelet kénytelen vagy neki is valamilyen szintig rálátást biztosítani a helyzetre, ellenkező esetben nem fog tudni meggyőződni róla, hogy most már bízhat benned, és az előzmények alapján nem is fog, hiszen már egyszer eljátszottad a bizalmát (bebizonyítottad, hogy vállalásoddal szemben mégsem tudtál vigyázni az adataira), most ugyan miért higgyen neked?

Publikus (bárki által igénybe vehető) szolgáltatás esetén a fenti példában be kell helyettesíteni a "cég"-et azzal, hogy "mindenki". És máris itt a válasz, hogy a bizalom építésére miért nem jó megoldás a sunnyogás.

Másfelől pedig ha egy hibát kijavítottál a rendszerben akkor az onnantól értelemszerűen már nem kihasználható, tehát ha az mégis "célponttá teszi a többi helyszínt" akkor az azt jelenti, hogy mégsem javítottad ki mindenhol.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

Ebben benne van minden.
megint fotelrendszergazdák vetítik ki az óhajaikat a valóságra.
A szolgáltatók is hozott anyagból dolgoznak, csak úgy mint más szolgáltatók.
Ez alól kivétel az egyedi fejlesztések.
Minden a kommunikáción van.
Ha időben, észreveszik, és jelzik a ügyfelek felé. Az korrekt hozzáláss. Van rá pro-kontra példa.
Mi az ami a előfizetőre tartozik, már más kérdés, és nincs is rá sablon szöveg.
Addig a pontig hogy történt egy incidens, aminek ez, és ez volt a hatása, a hiba elhárítása megtörtént/folyamatban stb.., jelzi feléd hogy jelszó csere indokolt.
Ennyi ami az előfizetőre tartozik. Semmi más.
Ha valakinek ez kevés, akkor adott a lehetőség saját rendszer üzemletétesésre.

Ez aztán a profi rendszergazdai hozzáállás! Tehát az user véleménye nem számít, mert az user csak "fotel rendszergazda", akinél az igazi rendszergazdák sokkal jobban tudják mi kell az usernek.

[ Szerkesztve ]

ez aztán a profi szövegértés, még azt sem sikerült megértened, hogy ki a fotelrendszergazda!

akkor megfejtem számodra: ti, akik itt hülyeséget toltok a fórumba.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

szerintem lehet személyes vélemények alapján álvitákat generálni, de nagy valószínűséggel incidens esetén nem a te személyes véleményedre alapozva fogok eljárni, hanem a vonatkozó jogszabályok szerint.

eu tanács 2016/679-es rendelet, 34. cikk. 3. bekezdés (copy paste):
"Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:"
"b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsít­hetően nem valósul meg;"

tehát az érvényes vonatkozó jogszabály szerint nem kell az érintettet tájékoztatni. úgy emlékszem, emellett arra is van szabály, most nem fogom előkeresni, hogy az a fajta tájékoztatás, amiről álmodozol, az titkos. közlése biztonsági problémát okoz.

ez van srácok.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Szerintem még a névelőket sem értetted meg abból amit írtam. De azért szórakoztató ez a foteljogász hozzáállás.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

Így értettem én is, amit írtál. Szerinted mi, akik az userek álláspontját képviseljük itt a topicban, a szemedben fotel-rendszergazdák vagyunk. Egy akármilyen szolgáltatásnál az userek álláspontját figyelmen kívül hagyni, sőt még okoskodónak (bocsánat, mielőtt belekötsz ebbe is szó szerint fogalmazok "akik itt hülyeséget toltok a fórumba") tituálni őket, legalábbis nem profi hozzáállás, ebben biztos vagyok.

Pont erről szól a témaadó cikk. Hogy ti rendszergazdák, és mi userek mennyire másként látjuk az adott kérdést.

Teljesen értelmetlen amúgy it-sokkal vitatkoznotok, a többsége droid. A gépekhez értenek jól (már ha).
És ezzel semmi gond nincs, én is dolgoztam már egy csomóval, mellettük is, együttműködve is.
A gond akkor jön, mikor egy ex it-s robi kerül vezetői pozícióba, netán olyanba, ami pr-marketing akármi kommunikációjára vagy stratégiájára a cégnek is hatással van.

Kell föléjük egy jó menedzsment, és akkor a legtöbb antipatikus it corporate policy kommunikálható a userek felé megfelelő minőségben.

[ Szerkesztve ]

te biztos telekomos manager vagy

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

hát nem úgy tűnik, hogy lesz:

Last May, Europe imposed new data privacy guidelines that carry the hopes of hundreds of millions of people around the world — including in the United States — to rein in abuses by big tech companies.

Almost a year later, it’s apparent that the new rules have a significant loophole: The designated lead regulator — the tiny nation of Ireland — has yet to bring an enforcement action against a big tech firm.

pl:

[ Szerkesztve ]

Egy példaértékű, és maximálisan korrekt levél, egy Magyarországi szolgáltatótól.

Tisztelt Xxxx Xxxxxx!

A pénteki nap folyamán feltörték ügyfélportál rendszerünket, melyről még aznap küldtünk tájékoztatást.
Jelen levelünkkel ezúton szeretnénk részletesebb tájékoztatást nyújtani a történtekről:

Az incidens pontos leírása:
- Pénteken reggel egy ismeretlen támadó feltörte a portal.rackforest.com kiszolgáló rendszert és elvitte annak adatbázisát.
- Az általunk tárolt jelszavak egy részének csak a hashelt lenyomatát tároltuk, ezek a jelszavak nem visszafejthetőek.
- Részben viszont ugyan titkosítva voltak a jelszavak, de visszafejthető titkosítással.
- A támadó ismerte a HostBill portál rendszer működését, így megszerezte a jelszavak kikódolására használt függvényt is.
- Feltörést a támadó jelezte e-mailben. A logok, a szervernek és a hálózati eszközök forgalmának elemzésével meg is bizonyosodtunk az adatlopás tényéről. Kb 300 MB adat szivárgott ki.
- A támadó TOR hálózat segítségével ért el minket egy németországi kijáraton keresztül. Illetve még egy oroszországi IP címet tudtunk beazonosítani.
- A támadó egy régebbi Hostbill sérülékenységét használt ki a támadáshoz. (Feltételezzük, hogy 2018 Q4-est.)

A megtett intézkedések:
- Bérszerverek és Hoszting szerverek IPMI IP KVM hálózatát elérhetetlenné tettük.
- A péntek délelőtt a támadás felderítésével telt el, délelőtt 11 órakor meghoztuk a döntést, hogy a portál rendszerünket ebben a formában lekapcsoljuk, és előre vettük a májusra tervezett rendszer frissítést, és elvégeztük azt.
- Az eredetileg tervezett rendszer frissítésen felül szétbontottuk az ügyfélportált kiszolgáló rendszert: Proxy / Frontend / Adatbázis szerverekre, melyek között plusz tűzfalakat vezettünk be.
- Pénteki nap délután 16 óra körül végeztünk a frissítésekkel, ettől a ponttól nyílt meg a lehetőség, hogy megkérjük az ügyfeleinket a jelszavak megváltoztatására.
- Töröltük minden felhasználónk ügyfélportál belépési jelszavát, és Management VPN jelszavát, így már a portál belépés védve volt.
- 18 óra után kiküldtük az első tájékoztatást ügyfeleinknek az esetről.
- Péntek este töröltük a Backup FTP szolgáltatások jelszavait, és az érintett ügyfeleket külön értesítettük.
- Szombaton ellenőriztük az összes kiszivárgott Linux VPS control panel jelszót, és mindenkinek megváltoztattuk akinek egyezett az éles jelszava a kiszivárgottal. Az érintett ügyfeleket külön tájékoztattuk.
- A cPanel tárhely szervereinken pedig Force-oltuk a jelszó cserét.
- A domain nevek kiszivárgott EPP kódjait ellenőriztük és megváltoztattuk. (Nem minden domain esetén volt rá szükség.)
- Megtettük a bejelentést a NAIH felé.

Mit vitt el a támadó:
- Az adatbázis tartalmazta az ügyfélportálon tárolt személyes, hozzáférési és ticketing adatokat.
- Ügyfélportál belépési jelszavak: hash-elve voltak és töröltük mindet.
- Linux VPS kontrol panel jelszavak: visszafejthető, minden érintett jelszavat megváltoztattunk.
- Linux VPS kezdeti belépés ROOT jelszavak: visszafejthető, nem tudjuk megváltoztatni (a szerverek újraindítása nélkül).
- cPanel kontrol panel jelszavak: visszafejthető, sajnos mivel ezek a jelszavak több tárhelynél is a levelezés jelszavak is egyben, force-oltuk a jelszó váltásokat. (További intézkedések folyamatban vannak.)

Mit tettünk a sérülékenység javítása érdekében:
- HostBill verziót frissítettünk, így biztosítva a feltételezett 2018 Q4-es sérülékenységet.
- Nagyobb védelmet helyeztünk az ügyfélportál kiszolgálására (Plusz tűzfalak, Proxy / Frontend / Adatbázis szerverek)
- Web Application Firewall-lal is megerősítettük az ügyfélportál elérését.

Amit a továbbiakban még tervezünk:
- Két faktoros autentikáció bevezetése.

Önnek mi a teendője, ha:
- Linux VPS ügyfelünk, kérjük, hogy változtassa meg a szerverén a ROOT jelszót, ha még nem tette volna meg a VPS kiadása óta.
- Windows VPS ügyfelünk, kérjük, hogy változtassa meg a szerverén az Adminisztrátor jelszót, ha még nem tette volna meg a VPS kiadása óta.
- cPanel tárhely ügyfelünk, kérjük, hogy változtassa meg a belépési jelszavát a tárhelyén.
- Az ügyfélszolgálatunkkal bármilyen levelezést folytatott, melyben hozzáférési adatok vagy jelszavak vannak, kérjük, hogy az érintett jelszavakat változtassa meg.

Amennyiben további kérdése merülne fel (akár a hétvégén is), kérjük hogy nyisson egy jegyet az
ügyfélportálunkon, vagy keressen minket a info@rackforest.hu címen.

Az okozott kellemetlenségért elnézésüket kérjük!

Én magamat érdeklődő user kategóriába sorolom. Tökre örülnék neki, ha lehetőség lenne valami kézzelfogható bizonyítékot mutatni arra, hogy a hiba ki lett javítva. De egyszerűen nem jut eszembe semmi, amire azt mondanám, hogy ha ezt mutatják, akkor az azt jelenti, hogy tényleg megcsinálták. A legközelebbi az talán az, hogy lenne valami külsős auditor cég, aki megmondja, hogy tényleg megcsinálták, teszteltük. De ez csak annyit jelent, hogy innentől másnak hiszek bemondásra, nem az eredeti cégnek. Szóval ott vagyunk ahol a part szakad. Nem véletlen, hogy senki nem írt példát, hogy mégis mi lehetne ez a kézzelfogható bizonyíték.

Az pedig, hogy valaki őszinte és nem érdekli, hogy a másik megsértődik-e az igazságon vagy sem azzal nincs komoly gond, csak valahogy ahhoz vagyunk hozzászokva, hogy mindenki finomkodik. Ráadásul általános dolgokról van szó egy független fórumon és nem konkrét ügybe/konkrét céget képviselve történik a beszélgetés.

"A legközelebbi az talán az, hogy lenne valami külsős auditor cég, aki megmondja, hogy tényleg megcsinálták, teszteltük.": ezzel meg az a gond, hogy az auditor az igazolást egy adott időpillanatra adja ki. tehát nem mond semmi olyat, hogy 2019. május 1-i határnappal auditáltuk a rendszert és az akkor x évig hibamentes. azt mondja, hogy május 1-én az általuk ismert hibáktól mentes a rendszer. hogy más hiba van-e benne, derül-e ki később újabb sebezhetőség, történik-e bármiféle változás a rendszerben, amitől kerül bele hiba, arról nem mond semmit az auditor.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Az eredeti felvetés az volt, hogy "fogyasztó várna el bizonyítékot arra vonatkozóan, hogy javították a problémát". Ha az auditori jelentést elfogadjuk, mint bizonyíték, akkor megfelel a kritériumoknak. A támadást kielemezték, megállapítják, hogy x okozta. Szupergyorsan kijavítják, rá 2 napra jön az auditor, megnézni, hogy tényleg kijavította és kiállítja a papírt, hogy támadás után y-dik napon ez a hiba már nem áll fenn.
Nyilván másik hiba még fennállhat és audit után is azonnal törölhetik a hibajavító patch-et, erre aztán végkép senki sem tud garanciát nyújtani.

[ Szerkesztve ]

Ez melyik cég?

Ha elolvastad akkor látod.
de ha nem akarod még 1x elolvasni akkor itt a link. rackforest.com
Az incidens valós, és még nincs lezárva.

[ Szerkesztve ]

Elsiklottam felette. Tényleg korrekt. De ez egy más természetű cég, ezt egy telekom vagy banki területen működő multi sosem küldené ki üf részére, inkább belső levélként a kollégáknak :\

Való igaz, egy Bank ilyet sose tenne. Vagy valami nagyon nagy botránynak kell lennie ahhoz. Mármint ennyire részletesen. A IT-belül megy ott is kommunikáció, de a többi osztályt, fő osztály tájékoztatása már ott is lemarad.
De ez nem is tartozik rájuk. Pl, Mit kezdjen egy olyan levelezéssel amiben le van írva, ma este 00:00 Kapiti update, ez ez a felelős. Ez és ez a külső cég emberei, vesznek részt.
De a Bank szektor, kicsit más téma. Sokkal érzékenyebb ilyen tekintetben.
Az Internet szolgáltatók ismét más téma, Mondjuk időnként illene, ha nem is ennyire részletesen, de időnként valami tájékoztatót küldeniük. Akár modem update-ről, amiben leírják milyen változás történt, esetleges meglévő hibák kijavítása, stb...

[ Szerkesztve ]

Hoho vegre egy jo cikk! Hozom a popcornt ;-)

http://pouet.net/prod.php?which=5633