Hirdetés

2021. április 17., szombat

Gyorskeresés

Hozzászólások

(#1) bambano


bambano
titán

az egy ritka ótvarosan összerakott rendszer lehet, ahol egy darab gyenge jelszótól felborul minden.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#2) Victoryus94 válasza bambano (#1) üzenetére


Victoryus94
őstag

Nem erről van szó, nem esett szét semmilyen rendszer emiatt. De ha egy admin usernek 1234 a jelszava, esetleg a cég neve, stb. akkor illetéktelenek elég sok mindent láthatnak/csinlhatnak, amit nem kéne (akár egy hagyományos jogú felhasználó is hozzáférhet bizalmas céges adatokhoz, mivel ezeket használja a munkája során.

Ha pedig több rendszer valamilyen protokollon keresztül össze van kötve (pl update csatorna), szépen tovább lehet lőni az ártalmas kódokat.

[ Szerkesztve ]

(#3) bambano válasza Victoryus94 (#2) üzenetére


bambano
titán

"nem esett szét semmilyen rendszer emiatt.": vagyis a cikkben szereplő "egyik, ha nem a legnagyobb botrány" kifejezés csak bulváros clickbait? hint: nem.
de, emiatt fél amerika kilyukadt, mint a szita.

az, hogy egy darab kiszivárgott triviális jelszóval össze lehetett borítani az egész miskulanciát, mutatja, hogy vagy nem voltak biztonsági folyamataik, vagy azok elégtelenek voltak. biztosan nem volt rétegzett védelmük, nem volt többszintű forráskód ellenőrzés, stb. vagy ha volt, nullát ért. anno, amikor vms rendszergazda voltam, 1991 körül, már volt jelszó-erősség ellenőrzés a vms-ben. nem volt ilyen egy ennyire magas biztonsági igényű szervezetben? ne vicceljünk már.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#4) sunavlys


sunavlys
aktív tag

nem gyakornok volt: a takarítónő okozta :)

ZTE v967s, XIAOMI Redmi 4A (huawei_p9_lite_2017)

(#5) Fecogame válasza bambano (#3) üzenetére


Fecogame
veterán

Na igen, nagyon sok ponton meg lehet még fogni azt, ha egy jelszó kikerül/gyenge. Itt nem csak ezen bukott el a dolog.

Lassú a mobilinterneted? 4G/LTE antennák, közvetlenül raktárról ---> http://bit.ly/LTE_Antennak

(#6) UnA válasza bambano (#3) üzenetére


UnA
Korrektor

:K Így van.

Az meg milyen béna duma már, hogy egy gyakornok tehet róla, esetleg utólag meg is kellene őt szégyeníteni...

De biztosan nem a folyamatokban van a hiba, mert ilyesmit nem vallunk be.

(#7) Alteran-IT


Alteran-IT
senior tag

Én vagy 5 évvel ezelőtt megmondtam az akkori hülye IT cégünknek aki erőltette ezt a programot, hogy ez a program úgy ahogy van egy kalap szar, főleg hogy még az erőforrásokat is eszi rendesen, mit ad isten, igazam volt mindkét esetben, bár azért hozzáteszem, ennek a hibának és botránynak még közel sincs vége így, addig meg főleg nem lesz, amíg lesz vevő az ilyen szar programokra, de hát hülye az mindig van és lesz is.

Ja ami a gyakornokos béna kifogást illeti: a gyakornok egy gyakornok, felügyelet alatt kellene hogy dolgozhasson, a munkáját meg valami baromnak ellenőrizni kellene, ha már ilyen sok barommal van tele ez a cég, de amúgy tényleg az is milyen, hogy egy mester jelszót egy gyakornok ad meg egy ilyen szarban, úgy hogy külsős veszi észre, szóval az egész cég egy vicc, bár ezt már anno megmondtam.

[ Szerkesztve ]

(#8) bambano válasza Fecogame (#5) üzenetére


bambano
titán

de nem csak az a problémám, hogy gyenge volt a jelszó.
nincs code-review? bele lehet rakni úgy kódot egy ilyen rendszerbe, hogy évek alatt se derül ki?
nem volt blackbox tesztelés?
értem én, hogyha én, csajágaröcsögei mucsajpuszta ev. csinálok egy tűzfalat a számlázó rendszerem elé, akkor ott több dolog se történik meg, amit lehetne, csak nem éri meg. de ez pont nem ez a szint, hanem a másik véglet. legyen már egy cég, amelyik ilyen helyekre beszállító, egy fokkal komolyabb, mint én...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#9) clon válasza UnA (#6) üzenetére


clon
aktív tag

Az hagyján, hogy egy "gyakornok" a hibás DE egy gyakornok nem önálló felelősséggel van a cégnél mert mindig van(nak) akik felügyelik őket (+pénzt is kapnak ezért) és őróluk nincsen még említés sem. Ebből látszik itt csak felelősségtologatás van és a legutolsó emberre lett tolva a felelősség aki után már csak a "kis vakond" van.

Gondolom azóta már jómunkásember lett a "gyakornokból" DE most csak azzal, hogy vélelmezhetően rákerült a hiba felelőssége szakmailag és erkölcsileg is el lesz lehetetlenítve és könnyen előfordulhat, hogy nem fogja senki alkalmazni a szakmájában. Persze ha esze van akkor gyorsan ír 1-2 könyvet és belesz@rik a ventilátorba és ha ügyes még a filmjogokat is értékesíti :D

(#10) aprokaroka87


aprokaroka87
nagyúr

Tehát akkor a gyakornok talált ki egy " nehéz " jelszót?

Vagy azt adták meg a gyakornoknak eleve? :)

[ Szerkesztve ]

(#11) ttt


ttt
aktív tag

Már eleve az egy nagy kérdőjel egy komolynak mondott cégnél, ahol évekig ugyanazzal a jelszóval szambázhatsz.
Az meg hogy a vezetés egy gyakornokot állít ki céltáblának pont a saját inkompetenciájukról bizonyság és még csak észre sem veszik. :U

(#12) ddekany


ddekany
veterán

"2019-ben fedezte fel a nyilvános weben egy független biztonsági szakember"

A gyenge jelszó tán legkevesebb itt. Az a ciki, hogy csak jelszóval (+ felhasználó névvel... azt hogy találta el külsős?) lehetett bármit kezdeni. Nyilvános web felöli belépéshez azért illene kétfaktoros azonosítás. Mert a jelszót sokszor lejegyzik valahogyan a dolgozók, és ezt megakadájozni gyakorlatilag nem lehet.

Persze aki volt nagy cégnél, az tudja, hogy van ez... Fejetlenség, dolgozók jönnek mennek, senki nem látja át, mi hol van és miért, ki a gazdája. Ez is biztos valami "úgyfelejtett" cucc...

[ Szerkesztve ]

(#13) Reggie0 válasza clon (#9) üzenetére


Reggie0
nagyúr

Meg kiderulhet, hogy a kaveautomatasok a hibasak, mert nem volt feltoltve a kavegep, amikor a gyakornok hibazott :)

(#14) Hi!King válasza bambano (#3) üzenetére


Hi!King
aktív tag

Egyébként mit gondolsz arról, hogy van egy biztonságos céges VPN, nyilván amit korlátozott számú ember ér el, azon belül viszont nem csak dev meg qa, hanem production szervereknek is holtprimitív jelszavai vannak. Azért kérdezem, mert nem egy munkahelyemen tapasztaltam ilyet.

[ Szerkesztve ]

(#15) bambano válasza Hi!King (#14) üzenetére


bambano
titán

az emberek zömében a helyes jelszóval kapcsolatos szabályok tévesek.
egy szerveren olyan erősségű jelszót kell használni, hogy a feltörésének statisztikailag várható ideje több legyen, mint a rajta levő infó hasznossága. szóval ennyiből nem lehet megmondani, hogy egy jelszó jó vagy sem.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Copyright © 2000-2021 PROHARDVER Informatikai Kft.