- gerner1
- Meggyi001: Nyilvános wc-k.....még mindig hiánypótló...
- btz: Internet fejlesztés országosan!
- bitpork: Phautós tali a Balcsinál 2025 Augusztus 2 napján (szombat)
- gban: Ingyen kellene, de tegnapra
- Luck Dragon: Asszociációs játék. :)
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Gurulunk, WAZE?!
- KRTLPC: Ki és hogyan élt túl? Volt ám fennakadás
- sziku69: Szólánc.
Új hozzászólás Aktív témák
-
Khan13
senior tag
Gondolom te sem használsz telefont, hanem levelet küldesz a postán. Ennyit arról, hogy túlzott elkényelmesedés. Én sem támogatom a felesleges túlzásbavitt mindent helyettem dolgokat, sem azt a szintet, ahova eljutott a fogyasztói társadalom, de adott eszközön adott frontend használata nem ez a kategória. Egy sebész is dolgozhatna egy kínai alu késsel, és te is vajazhatsz szikével, csak épp nem az a rendeltetési formája. Egy mobil app egy frontend a pl. banki hozzáféréshez, ahogy a weboldal is a böngészőben. Csak szeretném, hogy lásd azért a különbséget.
-
dabadab
titán
-
ksanc
őstag
Extraoff
Vagyis tulajdonképpen a kényelemről és a lustaságról van szó. Kedvenc témám, a fogyasztói társadalom két legnagyobb hajtóerője, ezekre alapozva bármit "létfontosságú" szintre lehet emelni. Nehogy már le kelljen ülni egy számítógép vagy notebook elé (bár ezeken meg általában szintén a fentiek miatt el van mentve minden jelszó, vagy a feleségem/gyerekem/szeretőm születésnapja vagy valami hasonlóan jajfeltörtékajelszavamat szintű a pass, szóval megint ott vagyunk, ahol a part szakad...)
Nekem azzal senki se jöjjön, hogy dehátnagyonfontosleveletvárokblabla, nekem online kell lennem minden percben...
Ahogy mondani szokták, az igazán sikeres ember megengedheti magának, hogy NEM a telefonján és a gépe előtt előtt lóg egész nap. A többiek csak droid![;]](//cdn.rios.hu/dl/s/v1.gif)
Persze aki a sikert kizárólag csak a sok dellában/zsetonban/lóvéban látja... de az jó is, az már igazi, jól kinevelt fogyasztó.
Hogy jön ez az IT biztonsághoz? Ahogy már írtam, amig ez a felfogás, addig nincs biztonság. Csak az ebből fakasztható hatalmas profit. A kihasználási oldalról és a "biztonságtechnikai" (veddmegveddmegveddmeg a legtutibbvírus/spam/mindenvédelem 1451562523-az-1-ben..., jaa, hát PONT az ellen és PONT ígymegúgy nem véd, dehát ez levanírvamegtudniköll -> tudatos felhasználó!, de ugye nem az...) oldalról is. -
#102
ddekany
veterán
Stauffenberg
#100
ddekany
veterán
válasz
Stauffenberg
#100
üzenetére
Vagy ha nem is lenne így integrált, akkor is hogyan ellenőrizné a leveleket periodikusan, ha nem tudja a jelszót... A demók közt nem volt amúgy Gmail, szóval franc tudja ez honnan jött a sajtónak, vagy mit nyúltak le Gmail esetén.
-
#101
Keeperv85
nagyúr
Stauffenberg
#100
Keeperv85
nagyúr
válasz
Stauffenberg
#100
üzenetére
Ezért nem értettem én, hogy hol van a G-Mail alatt jelszó bekérő ablak... Azt hittem én nem vettem észre vagy bekerült az utóbbi ~1hónapban, mióta nincs a telómon a kliens...
-
-
ddekany
veterán
De pont az a lényege az egésznek, hogy 90 vagy hány százalék eséllyel el tudják trafálni, hogy mikor jelenik meg a GMail appban a jelszó bekérő... Mindezt olyan alkalmazással, ami semmilyen jogot nem kér. És akkor ő előtérbe nyomja a saját ugyan olyanra megcsinált beléptetőjét.
Amúgy mókás szociális jelenség ez, hogy kb. senki nem érti mi ez az egész (főleg, a cikkíró sem), de ez senkit nem zavar, mindenki bőszen vitázik. És ez még egy technikai téma, ahol kis befektetéssel meg lehet nézni mit írtak a publikálók, akkor el lehet képzelni közéleti meg politikai dolgokkal mi van...
-
#94
scarabaeus
őstag
eventus
#90
scarabaeus
őstag
Nem tudom, van-e lehetősége BB-n egy háttérben futó alkalmazásnak adott pillanatban az aktuális program képernyője elé rakni a saját képernyőjét. Mert hát itt mindig a címet olvasva jöttek a vélemények, hogy így a gmail alkalmazást, úgy az androidot, miközben a gmail alkalmazásnak magának köze sincs ahhoz az utánzat jelszóbekérő képernyőhöz, amit a trójai "háttérképváltó", "zseblámpa", "tükör" * alkalmazás mutat hirtelen a felhasználónak.
*A képernyő kikapcsolásával működő "tükör" alkalmazásokat a PDA-korszakban láttam programgyűjteményekben felsorolva, azóta is emlegetem őket, ha szóba kerül, hogy "mikre van kereslet"
-
Khan13
senior tag
Az alkalmazások általában adott kijelző méretre vannak optimalizálva, úgy vannak lapokra tagolva, hogy kényelmesen tudj benne tevékenykedni. Na ez nem minden weboldalról mondható el, még ha van is mobilra oprimalizált verziója. Illetve egy banki alkalmazásban lehet(ne) offline információt tárolni, költségvetést tervezni, stb.
-
eventus
veterán
válasz
Keeperv85
#84
üzenetére
Azert egy BlackBerry maskepp mukodik. BIS/ BES halozatot nem tornek fel, de meg a BB10ben sem ugy mukodik az email, ahogy egy droidban.
(#89) Stauffenberg: azert a droidrol tudjuk, nem biztonsagos. Nagy dirr-durral bejelentett blackphone is feltoresre kerult, nem beszelve egyeb lehetosegekrol.
-
Keeperv85
nagyúr
A legnagyobb kockázati tényező a humán felelősségtudat hiányában van jelen és teljesen rendszerfüggetlen. Tehát ha te felelőtlenül telepítesz és az internet sötét oldalán szörfölsz, nem véd meg semmi rendszer. Minden IT rendszer leggyengébb láncszeme a legkiszámíthatóbb komponens: a felhasználó...
-
#82
Stauffenberg
nagyúr
zseko
#81
Stauffenberg
nagyúr
Akkor mesélj, nekem analfabéta értelmi fogyatékosnak, hogy egy cég hibás üzleti döntésének mi köze van azoknak a közlekedésfejlesztési mérnököknek a munkájához, akik kifejlesztették évtizedekkel ezelőtt a biztonsági övet, gyűrődési zónákat, kipörgésgátlót, sávtartót és egyebeket. Mesélj, mert tényleg kíváncsi vagyok rá, hogy miért lesz ezeknek a mérnököknek a munkája egyetlen csapásra, azaz a General Motors féregsége miatt semmis.
A cikket elolvastam, sőt nem csak ezt az egyetlen forrást, de továbbra is mondom, hogy ennek semmi köze ahhoz amiről itt szó van. Te egyetlen cégről karattyolsz meg az ő ostobaságukról, én meg egy egész iparágról.
De hajrá, folytasd. Most nagyon keményen megcáfoltad azt a kijelentésem, hogy a közlekedésbiztonsági szakma jelenlegi legfőbb R&D területe az emberi tényező kiküszöbölése és a balesetek elkerülése.
-
#81
zseko
veterán
Stauffenberg
#79
zseko
veterán
válasz
Stauffenberg
#79
üzenetére
Ez bennem is felmerült mert láthatóan még most sem olvastad el a cikket.
-
#80
jonnyjoker01
veterán
jonnyjoker01
veterán
Még jó hogy nem az alkalmazást használom hanem a webeset mobilon is
-
#79
Stauffenberg
nagyúr
zseko
#78
Stauffenberg
nagyúr
Mond, miért beszélgetünk ha semmi másra nem vagy képes, csak elbeszélni amellett amiről szó van?
Nem azt mondtam, hogy az 1 dolláros többlet költséget jelentő alkatrész beépítésére való átállás elmulasztása volt olcsóbb a GM számára, hanem a botrány kirobbanásának elején gondolták azt, hogy olcsóbb elkerülni a tömeges visszahívást és inkább fizetni a kártérítéseket. A GM ezt fatálisan elkúrta, mert ez egy hibás helyzetelemzés volt, később nagyon rá is csesztek.
De újra kérdezem: ENNEK MI A BÁNATOS KÖZE VAN A KÖZLEKEDÉSBIZTONSÁG ÁLTALÁNOS FEJLŐDÉSÉHEZ ÉS AZ ÚJABB BIZTONSÁGI TECHNOLÓGIÁK KIFEJLESZTÉSÉHEZ?
Ez egy elszúrt, helytelen és gerinctelen üzleti döntés volt.
IT biztonság párhuzamra visszatérve, amit a GM művelt, az olyan, mint amikor egy cég rendszerében biztonsági hibát találnak, de ezt hanyagságból nem javítják, majd a rést kihasználva támadók jutnak be és érzékeny adatokhoz jutnak hozzá. Ebben az esetben ez nem az egész IT biztonsági szektor kudarca, hanem a cégé, mely cseszett kijavítani az ismert sérülékenységet.
-
#78
zseko
veterán
Stauffenberg
#69
zseko
veterán
válasz
Stauffenberg
#69
üzenetére
Valószínűleg akkor nem olvastad el elég figyelmesen a cikket:
2001 óta ismert hiba, akkor regisztrálták először a hibát.
Az újratervezett indítókulcs többletköltsége egy dollár lett volna darabonként.
Vallomása során Altman arra a kérdésre, hogy a GM üzleti döntést hozott-e, csak annyit válaszolt: igen.- Alig pár nappal az után, hogy mindez nyilvánosságra került (2014 februárjának elején), a General Motors 780 000 Chevrolet Cobalt és Pontiac G5 típusú autót hívott vissza a gyújtáskapcsoló problémája miatt.
- 2014. február 26: a General Motors visszahívási akciója már 1,4 millió autót érintett.
- 2014. június 13: 511 528 Chevrolet Camarót hív vissza.
- 2014. június 16: újabb 3,16 millió autót hív vissza gyújtáskapcsoló-probléma miatt.
Mindez ...... 2 milliárd dollárjába kerül eddig. + a korábban kiszabott 35 millió dollár büntetés.
- 2014. július 1: még több, 1997 és 2014 között gyártott autót hív vissza a gyújtáskapcsoló problémája miatt. Összesen 8,4 milliót.
-2014. június 30: Kenneth R. Feinberg, a GM által felbérelt kárpótlási szakember ekkor jelentette be, hogy a cég minden egyes áldozat után minimum egymillió dolláros kártérítést fizet. Ugyanakkor plusz 300 ezer dollárt minden hozzátartozó után és az elhunyt éves keresete utáni életjáradékot is... Feinberg bejelentésének kulcsmondata azonban az volt, hogy nincs kompenzációs plafon... A valós áldozatok száma mára 100-300 közé tehető.Ha neked a fentiek, a több milliárdos kártérítés, + a hiba miatti többmilliós nagyságrendű visszahívás (ami az 1997-ben készült modelleket is érintette mellesleg...) így utólag olcsóbb, mint 1$-al kevesebbet keresni egy autón, legyen... persze elismerem, hogy sokat fejlődött a biztonság az évek alatt, és értem mit akarsz írni. Csak itt már a haszonlesés fontosabb volt mint hogy beledöglesz-e a kocsidba. +1 dollárért.
IT párhuzamot annyiból tudnék vonni (bár valószínűsítem sántítani fog), megy a sírás-rívás szegény usereknek mennyi adatát ellop(hat)ják, ám ahelyett, hogy szabályozhatóvá (vagy minimum bekapcsolhatóvá, akiknek igényük van erre - lásd cm, miui, ios, érdekes módon azokban benne van) tennék a hozzáférések kezelését (én adjam meg mihez férhet hozzá, ha valamihez nem adom meg akkor ne kapja meg), inkább bevezették ezt a piktogramos parasztvakításos szarságot, amit ugyanúgy nem fognak figyelembe venni azok akik eddig sem vették figyelembe mert túl hülyék voltak hozzá, de ezzel az összevonásokkal így legalább mégannyira sem lehet megtudni belőle hogy valójában mihez is kér hozzáférést. És ez nem csak nekem basztatja a csőröm.
Fotók/Médiaelemek/Fájlok
Legalább egyet használ a következőkből ...Kössz google, marhára ki vagyok segítve...
-
#77
Stauffenberg
nagyúr
Depression
#71
Stauffenberg
nagyúr
válasz
Depression
#71
üzenetére
Ja értem, tehát el van véve tőled a tudatos fogyasztás lehetősége? Amikor végignézel a megvásárolt ételek összetevőin és találsz benne valamit amire allergiás vagy, akkor is unottan bedobod a kosárba, hogy aztán egy fórumon okoskodj, hogy nem engedik kivenni az ételből, ezért inkább megveszed így?
Ha nekem nem tetszik, hogy egy app olyan dolgokhoz kér hozzáférést amihez nincs köze, akkor egyszerűen nem telepítem, hanem nettó 2 perc fáradozással keresek egy másikat. Eddig nekem bevált. Semmit sem kötelező telepíteni és gyakorlatilag mindennek van józanabb alternatívája.
-
#74
Psych0
őstag
Depression
#71
Psych0
őstag
válasz
Depression
#71
üzenetére
this
-
#71
Depression
veterán
Stauffenberg
#31
Depression
veterán
válasz
Stauffenberg
#31
üzenetére
Szeretnék egy alkalmazást... Letöltöm, kiírja , hogy milyen jogosultságokat akar. És itt már csak 2 lehetőségem maradt: megadom az összeset, vagy elfelejtem a progit.
Majd ha én kipipálhatom, hogy mit engedek, és mit nem, akkor lehet tudatos használatról szó. De amíg valójában semmit sem használhatnék, csak azt, amit én írtam, meg esetleg egy számológépet, addig senki ne prédikáljon arról, hogy minek telepítek mindenféle jogokat kérő progikat...
-
#69
Stauffenberg
nagyúr
zseko
#68
Stauffenberg
nagyúr
Ismerem a General Motors sztorit, de ennek mi köze ahhoz amiről én beszélek?
A GM történetben arról van szó, hogy ha visszahívják gyakorlatilag több évre visszamenően az összes legyártott autót, akkor abba belerokkan a cég és így olcsóbb volt kártérítéseket fizetni néhány tucat áldozat családtagjainak.
De ennek semmi köze ahhoz, hogy a gyártók iszonyatos pénzeket fektetnek biztonsági rendszerek fejlesztésébe. A General Motors-nak sem célja, hogy az autói ne legyenek biztonságosak (na meg ugye vannak egyre szigorodó előírások, amiket ha nem teljesítenek, akkor nem kap a jármű típusengedélyt). Egy eltussolt gyújtáskapcsoló hibából ilyen következtetést levonni butaság.
Az ötvenes évek előtt a legtöbb országban még csak KRESZ sem volt. De ismeretlen volt a biztonsági öv, légzsák, gyűrődési zónák. Ezek persze még csak a balesetek hatásait igyekeztek csillapítani, azok elkerülése a userre volt bízva (tartsa be a KRESZ-t meg szerezzen vezetési rutint). De ezek sem redukálták nulla közelébe a baleseteket, de már egyre kevesebben haltak meg bennük. Később a technológiák fejlődésével jöttek azok a rendszerek, melyek a user errort küszöbölik ki (pl: sávtartó, holttér figyelő, ütközés elkerülő). Nem kérdés, hogy a jövőt az jelenti, hogy az autód azonnal beavatkozik ha baromságot csinálsz és rögtön elkerüli helyetted is a balesetet.
Na most ha van kedved, csinálj ebből egy IT biztonság párhuzamot.
-
#68
zseko
veterán
Stauffenberg
#31
zseko
veterán
válasz
Stauffenberg
#31
üzenetére
Ennyit az autógyártók biztonságra törekvéséről.
+ már a 70-es években akadt hasonló eset, amikor kiderült, hogy életveszélyes konstrukciókat gyártottak Detroitban az után is, hogy kiderült ezek veszélyessége. A pénzügyi osztály ugyanis kimutatta, hogy jobban jár a vállalat, ha a várható áldozatok családjait kártalanítják, mint ha kifejlesztenek egy új, biztonságosabb megoldást, azt gyártásba küldik, és lecserélnek minden hibás alkatrészt.
-
ddekany
veterán
Azoknak mondom akik minden áron teszik itt a szakembert a témában... Meg lehetett ám nézni a PDF-et ahol első kézből megtudhatjátok hogyan működik a cucc. Nem a cikkek szövegét kell nézni, soha.
Amúgy a megoldás pl. az lenne, ha nem nyúlhatna le fókuszt, azaz ugorhatna előtérbe alkalmazás olyan módon, hogy az nem egyértelmű, hogy ez történt. Ez az előtérbe ugrálás nem-biztonsági szempontból is szánalom kategória, a Windows-ban heti párszor megszívat vele. (Azaz, épp gépeltek mikor felugrik vmi, aztán ha nem volt hozzá légy reflekszem, hogy megálljon a kezem, akkor néha értelmezi amit leütök...)
-
#66
.tnm
addikt
aprokaroka87
#63
válasz
aprokaroka87
#63
üzenetére
nem, nem igazán.
folyamatosan lekérdezi, hogy mennyi a szabad memória, és amikor azt látja, hogy hirtelen leesik 6742 KB-tal (hasraütésszerűen mondtam egy számot), akkor megnézi a saját adatbázisában a károkozó program, hogy melyik ismert activity szokott 6742 KB-ot foglalni, megtalálja a Gmail-hez tartozó Inbox Activity-t az adatbáziásban és gyorsan feldobja a saját olyan activity-jét, amely pont ugyanúgy néz ki, mint a Gmail inbox-a. a felhasználó pedig csak annyit lát az egészből, hogy rányomott a Gmail-re és bejött a Gmail (de nem tudatosul, hogy igazából nem a Gmail, hanem a Gmail-re hasonlító valamit lát).
az már más kérdés, hogy ezzel pont a Gmail-t nem nagyon lehet "megtörni", mert oda nem szoktál bejelentkezni, és gondolom egyből gyanússá válik, ha nincsenek is ott az e-mailjeid (hiszen ezekhez nem is nagyon férhet hozzá), de adott esetben feldobhat, egy Google-ösnek látszó bejelentkező képernyőt, hogy kérjük jelentkezzen be a Gmail használatához, és akkor valóban mindenki el fogja hinni, hogy tényleg a Gmail-nek kell és szépen meg is adja a bejelentkezési adatokat.
-
Keeperv85
nagyúr
Bonyolítsuk még kicsit és gondoljuk végig a KSM mit csinál tulajdonképpen: a megegyező memória tartalmakat összevonja. Oké-oké... hogy jön ez ide ugye? Nos, csak úgy, hogy ahhoz, hogy tudjuk melyik a megegyező memóriatartalom, ahhoz a kernelnek pontosan tudnia kell mikor mi van a memóriában.
Csakhogy a Linux kernel nem a sebezhetőségéről híres, szóval a támadást nem ide kell irányítani, hanem az erre épülő rendszerek ellen. -
#62
Pikkolo^^
addikt
aprokaroka87
#61
Pikkolo^^
addikt
válasz
aprokaroka87
#61
üzenetére
Biztosan van, de - hivatalosan - még nem sikerült feltörni.
.tnm: jó hír.
-
nah, utána olvastam:
a lényeg, hogy minden app hozzáférhet a szabad memória mennyiségéhez, ehhez nem kell jogosultság, ha az app futtat a háttérben egy service-t és folyamatosan monitorozza a szabad memória mennyiségét, akkor abból statisztikai alapon* meg tudja tippelni, hogy épp melyik activity kerül(t) fókuszba, ilyenkor gyorsan elindítja a service a rossz indulatú app-ot, amiből már sokszor ismert módon ugyanolyan képernyőt dob fel, mint a felismert alkalmazás és ahelyett, hogy a rendes app-ba írnád be az adataidat, a kamunak adod meg.*= ez pedig úgy működik, hogy mikor egy app fókuszba kerül, akkor elég egyedi memória lábnyomot hagy.
más megoldások lehetnek (következő Android-okban ez is), hogy:
- hogy a következő android verziótól kezdve csak fix konstans egységekben foglal memóriát, hogy ne legyen activity-nként egyedi (ez elég pazarló lenne)
- engedély kell a service háttérben futtatáshoz is (elég hülyeség lenne)
- háttérben futó service-ből nem lehet elérni a memoryInfo-t
- a memoryInfo nem ad vissza ezentúl precíz adatokat, csak körülbelüli, esetleg határértékeket (ehhez elég csak egy hibajavító frissítés, nem is kell Android verziót lépni, bár az ilyenek "terítése" a gyártókon keresztül eddig is elég nehézkes volt)
- memoryInfo teljesen megszűnik, helyette event-ek jönnek, pl. "low memory" "memory freed" (előzők ennél jobbak optimalizációs szempontból, viszont kevésbé rejtik el a memórialábnyomot)
- engedély kell service-ből activity indításhoz (ez is hülyeség lenne)iOS, WP sebezhetőség:
- ha van rá mód, hogy háttérben futó szál alkalmazást előtérbe hozzon (előzetes felhasználó engedélyezés nélkül, pl. egy ébresztő óra alkalmazás)
- ha háttérben futó szálból lehet pollozni a szabad memória mennyiségét, és a memória foglalás mindig annyit foglal, amennyire az induló alkalmazásnak szüksége is vanakkor valóban működhet mindkét rendszeren ez a fajta sebezhetőség.
azzal kérdéssel most nem foglalkoztam, hogy mennyi energiabefektetés a statisztikai háttérinfókat összeszedni, illetve, hogy a rosszindulatú alkalmazásnak mindenképp kell "internet", vagy sms jog, hogy a gyűjtött adatokat el is küldje valahova.
ez talán a legnagyobb hibája az android-nak, hogy nagyon szabadon bánik az "internet" joggal, ha lenne "ads" jog, amelyek kizárólag csak a google által jóváhagyott reklámszerverekre csatlakozhatnak, akkor az alkalmazások 60%-áról le lehetne szedni az internet jogot és egyből gyanússá válna az a háttérkép, amely ezt még használja. (hiszen nem hivatkozhat arra, hogy csak a reklámok miatt kell)
-
#56
.tnm
addikt
aprokaroka87
#54
válasz
aprokaroka87
#54
üzenetére
"Egyébként akkor miért kell pl külön app ahozz hogy alkalmazás engedélyeket módosits?"
mert az alapból nem android funkció, legalábbis a privacy mód bevezetése előtt egyáltalán nem volt az, de az erőforrások többségére most se funkció. ellenben mikor telepítesz egy programot, akkor vagy a play store, vagy az OS app telepítője maga rákérdez hogy akarod-e telepíteni ezt a "háttérképet, ami a contact-okhoz, e-mail-ekhez, kamerához, internethez, naptárhoz, sms küldés-hez és háttérben történő telefonhívások kezdeményezéséhez ad engedélyt."
a gyártók ugyan módosítják/ módosíthatják az Android-ot, de ez leginkább pont a driver-eket, és a UI-t érinti nem a core android alkalmazásokat. de még ha azokba is belenyúlnak, ha egy gyártó NSA backdoor-t akar hagyni az Android-ban, akkor azt nem Dalvik/Art fölé fogja tenni, azaz egy egyszeri rossz indulatú android app nem fogja azt használni tudni. mellesleg fölösleges is memória használatot naplózni*, amikor tényleg minden hülyeségnek beugranak még az emberek.
* amiről még mindig nem tudni, hogy pontosan hogyan is működik, bár a videót csak most fogom megnézni.
-
#54
aprokaroka87
nagyúr
.tnm
#52
aprokaroka87
nagyúr
-
-
#52
.tnm
addikt
aprokaroka87
#45
válasz
aprokaroka87
#45
üzenetére
fogalmad nincs, hogyan működik az android. persze lehetnek bug-ok az OS-ben, de ezen az alapon minden szoftverben vannak. az Android forrását meg azért nem kevesen nézik és nézhetik át. (mellesleg, ha egy ilyen súlyos sebezhetőség jelentkezne -- mint gyári telefonon engedély kérése nélkül hozzáférnek app-ok engedélyköteles erőforrásokhoz --, akkor abból címlapos hír lenne mindenhol, és kb. napokon belül lépne rá a google, a samsung stb. stb.)
-
bambano
titán
tévedésben vagy. az a kérdés, hogy amikor kiadod az oprendszer felé az allokált memória felszabadítását, akkor a benne tárolt adattal mi lesz. ha free előtt kinullázod, akkor nem lehet ilyen disznóságot csinálni, ha nem nullázod ki, akkor lehet.
ennek a lehetőségét kismértékben segíti, hogyha hozzáférsz a memória allokációs infókhoz, akkor tudod, mikor kell memóriát kérni a rendszertől, hogy megkaphasd a másik processz által használt, de felszabadított fizikai memóriát, amiben levő adatokat átturkálhatod.
(#29) Stauffenberg: de a hülyének meg kell mondani, hogy hülye, mert az a gyógyulás felé vezető út első lépése.
(#30) dajkopali: persze, ólommal. ahogy Ganxta is megmondta.
(#31) Stauffenberg: "Az IT biztonsági szakmának arra kell megoldást találnia, hogy az embereket megvédjék saját maguktól": az it biztonsági szakma pontosan ugyanannyi ideje tudja, hogy ezt hogyan kell megoldani, mint ahány éves vagyok én (45). csak az it szakma (az egészé, nem csak a biztonsági része) úgy döntött, hogy pénzt akar keresni, akár a fogyasztók megkárosítása árán is. sok pénzt. többek között 600 milliárdos céget akar gründolni. teljesen agyament baromság, ami ma az it-ben zajlik.
-
#49
aprokaroka87
nagyúr
Khan13
#46
aprokaroka87
nagyúr
-
Lenry
félisten
Két fontos feltétele van a sikeres támadásnak: pontosan akkor kell megindítani, amikor a felhasználó végrehajt valamit az adott alkalmazással, illetve a felhasználó nem sejtheti, hogy támadják – így nagyon fontos a pontos időzítés.
tehát a való életben ennek egész pontosan nulla a használhatósága
-
#46
Khan13
senior tag
aprokaroka87
#45
Khan13
senior tag
válasz
aprokaroka87
#45
üzenetére
Ezt nem kell nekem bemutatnod, de alapvetően egy gyári telepítésű rendszerről beszéltünk, ahol azért ez nem áll fenn. (Derültek már ki érdekes dolgok, de most feltételezzük, hogy egy gyárilag nem elcs..ett rendszert telepítettek) Egy nem megbízható forrásból származó rendszer már valóban más kérdés, hogy mit csinál azon kívül, amit mutat.
-
#45
aprokaroka87
nagyúr
Khan13
#43
aprokaroka87
nagyúr
Az a baj hogy sok esetben magát az Operációs rendszert kernel szinten lehet manipulálni
Másfelől meg a képernyőre bármit kiírathasz.
Mondok egy egyszerű példát:Gipszjakab alkalmazás engedélyt kér pl a kamerához,két választásod van "igen" vagy "nem"...ha "igen"-t nyomsz megadod az engedélyt....na de mivan ha a "nem" gombot nyomod,ugye ilyenkor normális esetben megtagadjuk a hozzáférést.
Viszont a hackerek/rosszfiúk gondolhatnak arra is hogy te a "Nem"-re nyomsz,mit is tudnak tenni,elöször is egyszerűen megprobálják úgy megbuherálni az egész oprendszert hogy legközelebb már ne kérdezze meg az adott appot használva hogy mikhez szeretne hozzáférni.
Aztán már csak az engedélyeket kell úgy megadni hogy mindenre engedélyt adjon,de úgy erről a felhasználót ne értesitse.
Eggyet tanuljunk meg,minden képernyőre kiírt tartalom csak egy információ ami vagy igaz vagy hamis.
Az igazán okos hackerek sok esetben nagyon jó emberismerők,ezért tudják hogy akik valamennyire értenek az informatikához azok nem fognak az"igen"-re nyomni,ezért nekik a "nem"-re probálják meg ráprogramozni,mert azt látja hogy "nem" tehát azt hiszi nem történik/történt semmi. -
#44
gyuszaa
őstag
Stauffenberg
#37
gyuszaa
őstag
válasz
Stauffenberg
#37
üzenetére
Sajnos ez így van, elég ha közeli ismerősöd/rokonod a gyenge láncszem.
-
#43
Khan13
senior tag
aprokaroka87
#42
Khan13
senior tag
válasz
aprokaroka87
#42
üzenetére
Az oprendszertől kér engedélyt és az oprendszer értesít, nem az alkalmazás saját kedve szerint.
-
#42
aprokaroka87
nagyúr
aprokaroka87
nagyúr
Szerintem maga az engedélykérés is simán sebezhető,pl egy App mondjuk a leírtak szerint engedélyt kér a kamerához,viszont pl arról meg nem értesít hogy engedélyt adott közben a telefonhívás funkcióhoz.
-
Gregorius
őstag
szerintem ez minden olyan oprendszeren működik, aminél nem nullázzák ki a felszabadított memóriát.
Ha jól vettem ki a tanulmányból, ennek semmi köze nincs a nem nullázott memóriához. Egy előzőleg ismert alkalmazás ismert képernyőinek megtekintését "korrelálják" az alkalmazás memóriahasználatával hogy detektálják, hogy a júzer épp melyik lapon jár, aztán egy "alkalmas" pillanatban elétolnak egy login képernyőt a tolvaj alkalmazásból (már csak az is súlyos, hogy ez utóbbi egyáltalán lehetséges).Egyébként ma már nem nagyon van olyan oprendszer, ami nem nullázza ki a memóriát, mielőtt odaadná egy processznek.
-
#38
br.rak
őstag
Stauffenberg
#37
br.rak
őstag
válasz
Stauffenberg
#37
üzenetére
"Hány ismerősöd tárol rólad személyes adatokat?" kb nulla, jó mondjuk nekem több telefonszámom és sok e-mail címem van. FB-on nincs fent képem, stb stb. Amúgy ezek jó dolgok, de ésszel kell használni, aki sok hülyeséget posztol ki a falárra azt simán "nem követem" státuszba teszem, ami a FB nekem fontos azok a zárt/rejtett csoportok, a resztli meg nem idegel fel annyira.
-
#37
Stauffenberg
nagyúr
br.rak
#32
Stauffenberg
nagyúr
"ha valakinek ellopják a saját adatait az téged nem érint hátrányosan"
Szerintem ez az IT biztonsághoz laikusok legeslegnagyobb téveszméje. Hány ismerősöd tárol rólad személyes adatokat? Olyanokra gondolok, mint telefonszám, email címek, lakcím, munkahelyed, munkahelyi elérhetőségek. És ezeket hányan tárolják okostelefonban? És ezeket hányan kapcsolják össze különféle közösségi szolgáltatásokkal? Olyanokkal, mint a Facebook vagy a Google+, Gmail.
Én már fel vagyok regisztrálva a Badoo meg Twoo meg egyéb ilyen szar közösségi oldalakra, mert néhány buta ismerősöm a teljes címtárat felszinkronizálta oda, hogy meghívókat küldözgessen. Ezekről a helyekről már kaptam olyan levelet (mely a teljes polgári nevemen szólított meg és egy fotó is volt fent rólam), hogy kész van a profilom, csak lépjek be aktiválni.
De említhetném a gyökér ismerőseimet, akikkel nem lehet úgy elmenni kocsmázni, hogy ne csekkoljanak be minden utcasarkon és persze engem is tagelnek rajta, had lássa mindenki, hogy én is hol járok. De volt olyan barátom akiről nem is tudtam, hogy a saját lakásomban minden alkalommal becsekkolt Foursquare-en amikor átjött egy sörre, csak egy másik ismerősöm hívta fel rá a figyelmem, hogy fent van a lakásom a rendszerben... míg le nem basztam a haveromat összesen 12 alkalommal csekkolt be nálunk.
És akkor ezzel csak a felszínt kapargattuk, még vannak ennél sokkal súlyosabb dolgok amikkel mások sodorják veszélybe a Te érzékeny személyes adataidat. Akár azzal, hogy önként, akár azzal, hogy lopás útján szolgáltatják ki.
-
floatr
veterán
válasz
dajkopali
#30
üzenetére
Ehhez az egészhez csak annyi tudok hozzáfűzni, hogy 10-ből 9 ember (de lehet h több) még csak meg sem nézi, hogy egy telepítendő alkalmazás milyen jogosultságokat kér. Épp tegnap futottam bele abba, hogy az ikea konyhatervezős chrome kiegészítője is teljes hozzáférést kért a géphez -- agyhalál.
-
#35
Romvr
őstag
Stauffenberg
#29
Romvr
őstag
válasz
Stauffenberg
#29
üzenetére
"Az emberi hülyeség határtalan. De a hülyét nem tudod azzal oktatni, hogy lépten-nyomon lehülyézed."
Sajnos a hülyék 90%-ban hülyék maradnak, tehetsz bármit. Ha szájukba rágod hogy ne csinálják "A" dolgot, mert nekik lesz rossz legközelebb visszajön "B" dologgal, ami lényegében csak annyival különbözik "A" dologtól hogy más színű a felirat a "KATTINTS IDE HOGY LÁSD A CSÖCSÖKET" gombon. Aztán döbbenten néz hogy megint 600 vírus van a gépen, pedig ő most nem kattintott rá "arra" a linkre... istenuccse!
"Kedvencem az amikor egy kamu alkalmazás előbb kér egy ötcsillagos értékelést, hogy hozzáférhess a tartalomhoz"
A legjobb az a program ami lényegében a mosógépem programozásához is kér jogot, pedig egy egyszerű "fapados fingós" applikáció. Az ilyeneknél nyomok a Mégse gombra miközben mély barázdák keletkeznek a homlokomon a gondolat hatására: "Mi a f*sznak akar ez hozzáférni a telefon+sms+kontaktokhoz, tárhelyhez, GPS és Pozícióhoz, kamerához, mikrofonhoz...stb. Holott csak egy gomb amit ha megnyomok fingik a telefon." De persze 20 ezer értékelésnél jár aminek a 80%-a 5 csillag és a kommentek is felmagasztalják.
-
#34
dajkopali
addikt
Stauffenberg
#31
dajkopali
addikt
válasz
Stauffenberg
#31
üzenetére
egyetértek
nyilván a két törekvés kombinációja hozhat eredményt, de azt is egyértelműnek látom, hogy az automatizmusoknak és a felhasználóktól független beavatkozásoknak valószínűleg egyre nagyobb szerepe lesz
ezt a kockák nagyon nem fogják szeretni, de be kell látni, hogy a számítástechnika ma már nem kevesek játszótere, hanem milliárdok által használt technológia
(hogy maradjak a példádnál - egy autóversenyző (pláne egy Forma-1-es) szégyellne beülni egy automata váltós, teljesen elektronizált kocsiba, de százmilliók számára az a kézenfekvő megoldás - persze, ahogy a kocsiknál, úgy a szoftvereknél is megmaradnak a szakik számára a szabadon konfigurálható módok, ahol kiélhetik magukat, de úgy látom, a tömegtermelésben egyre inkább szűkülni fog az ilyenfajta felhasználói szabadság) -
ksanc
őstag
válasz
dajkopali
#30
üzenetére
Teljesen járható út lenne, csak a fogyasztói társadalom működéséhez elengedhetetlen a minél ostobább és lustább Fogyasztó, vagyis a jónép. Ha ki lenne művelne tudatosra, hogy ésszel használja az eszközöket, akkor arra is képes lenne, hogy ne vásároljon össze mindenféle baromságot, ne vegyen meg mindent tripla áron, ne dobjon ki mindent és vegyen újat ákciósan, szóval hülyének lehessen nézni.
Amig ez a gazdasági rendszer működik, addig nem létezik olyan, hogy biztonság. Se környezetvédelem, se fenntartható fejlődés, se semmi ilyesmi.A cikk címét olvasva arra gondoltam, hogy VALÓDI sebezhetőség, de aztán először a felhasználónak le kell töltenie egy ártatlannak látszó alkalmazást (pl. egy egyszerű háttérképet),
Ja...Teljesen egyetértek Romvr és Stauffenberg hozzászólásaival.
-
#32
br.rak
őstag
Stauffenberg
#31
br.rak
őstag
válasz
Stauffenberg
#31
üzenetére
Pedig az "aki hülye haljon meg" elv eléggé érvényesül manapság a közlekedésben is. Ez emberek döntő többsége buta, biztonsághoz szinte funkcionális analfabéta, akár IT akár vezetés terén. csak ha valakinek ellopják a saját adatait az téged nem érint hátrányosan, de ha valaki HMCS módjára vezet, abból akár neked is bajod lehet, hiába tartod be a szabályokat.
-
#31
Stauffenberg
nagyúr
dajkopali
#30
Stauffenberg
nagyúr
válasz
dajkopali
#30
üzenetére
Én sem vagyok híve az "aki hülye haljon meg" elvének és ezt szerintem épp elég sokszor kifejtettem a fórumon. Sokan elintézik a user errorból adódó biztonsági hibákat azzal, hogy "aki hülye meg is érdemli". De lehet párhuzamot vonni az autóipar és az IT között. Az autóvezetők csak nagyon kis százaléka hajlandó saját magát vezetéstechnikai tréningeken képezni, ezért a közlekedésbiztonsági mérnököknek ki kellett valamit találniuk arra, hogy az autóvezetőket és utasaikat ne csak a balesetek esetén védjék meg, hanem olyan rendszereket fejlesszenek, melyek a balesetek elkerülésében segítenek (ESP, ABS, ASR, sávtartó, holttér figyelő, becsapódás elkerülő vészrendszerek, stb). Az IT biztonsági szakmának arra kell megoldást találnia, hogy az embereket megvédjék saját maguktól, ehhez meg már a klasszikus "feltelepítem a vírusirtót és bekapcsolom a tűzfalat" védelem kevés. De azt sem gondolom, hogy az edukációt el is hagyhatjuk, hiszen a rossz szokásokat (pl: elolvasás nélkül elfogadja az app hozzáférési kérelmeit) nem lehet máshogy levetkőzni. Hiába dobná fel többször, hogy tényleg el kellene olvasni azt a 4-5 szót (!) ami oda van írva (vagy csak ránézni 4-5 ábrára amik a hozzáféréseket szimbolizálják), akkor sem olvasná el ha emiatt kétszáz popup buborékon kellene átjutnia.
-
#30
dajkopali
addikt
Stauffenberg
#29
dajkopali
addikt
válasz
Stauffenberg
#29
üzenetére
(tényleg zárójelben: Buherator, amikor még ment a blogja, már pár évvel ezelőtt megírta azt, hogy a biztonsági szakmának le kell számolnia azzal a mítosszal és törekvéssel, hogy a felhasználói tudatosságot neveléssel és oktatással segítve lehet csökkenteni a kockázatokat, mert az elmúlt évtized bebizonyította, hogy ez nem járható út. Nem ment tovább a gondolatmenetben, de nyilván arra gondolt, hogy ha a felhasználók önmagukat nem védik meg, akkor másképp kell biztonságosabbá tenni az online tevékenységet.)
-
#29
Stauffenberg
nagyúr
Romvr
#19
Stauffenberg
nagyúr
Semmi új nincs abban, hogy a legfőbb sebezhetőséget az ember jelenti. Elég csak megnézni, hogy a népszerűbb alkalmazásoknak hány utánzata érhető el (vagy csak third party kiegészítője). A tájékozott user horkant egyet, majd tovább görget, a maradék 98% meg ész nélkül, a jogosultságokat gondolkodás nélkül leokézva azonnal telepít. Kedvencem az amikor egy kamu alkalmazás előbb kér egy ötcsillagos értékelést, hogy hozzáférhess a tartalomhoz (ami vagy létezik vagy nem) és pillanatok alatt felszavazzák az ostobák a toplistákba az appot olyan ötcsillagos kommentekkel, hogy "lássuk mi ez" vagy "még nem próbáltam, de biztosan jó". Az emberi hülyeség határtalan. De a hülyét nem tudod azzal oktatni, hogy lépten-nyomon lehülyézed.
-
Romvr
őstag
Az adatok ellopásának feltételei a cikk szerint:
- Letöltöd azt az alkalmazást amiben van a kártékony kód
- Futtatod/telepíted (azt nehezen hiszem hogy egy képfájlt megnyitva feltelepít valamit a telefonra kérdés nélkül)
- A kártékony kódot használó személy(ek) pontosan akkor nézi a telefon memóriát mikor éppen bepötyögöd a jelszavakat.Az én verzióm ami Kb hasonló eséllyel működik:
- Odaállok a User mögé, amikor látom hogy az utcán a telefonnal pötyög és megnézem milyen jelszót ír be a billentyűzetén, vagy a saját telómmal felveszem a válla fölött a leütött gombokat és a sorrendet.Vagy akár a bankkártyáját is tudom használni fizetésre, ha látom mind a két oldalát. Nem kell más csak jó memória, vagy egy nagy-felbontású és FPS értékű kamera, meg egy kártyás vevő a Tesco pénztárnál.
Csak azt akarom mondani, hogy túl sok múlik itt a useren és az ideális körülményeken. Persze kivitelezhető a való életben is, de csak akkor ha
a.) Play Store-ba bejut egy olyan alkalmazás helyére, aminek nagy a felhasználótábora (DropBox, Facebook...stb) és kutya se veszi észre.
b.) Warez Pisti letölti az "I-am-a-trusty-russian-porno-site-download-our-safe-program.co.ru" programját a telefonra és telepíti (amiben van ez a kártékony kód), mert "dinnyeárus" lányokat akar nézni utazás közben, akik ütemre vonaglanak.
c.) Gonosz Hackerek rátelepítik a programot a telefonomra mikor véletlen otthagyom a cégnél az asztalon, ebédidőben. Persze úgy hogy nincs rajta Screen Lock, mert azt csak a Hipszterek használják, meg a Geek-ek és n00b-ok...stb., nekem a részleg igazgatójának semmi szükségem rá.
d.) Mindeközben a túlsó felén a Földnek ott ül a szódásüveg szemüvegével, amit középen sebtapasz tart egyben, a zsíros hajú, borostás hacker (sztereotípiák, én így szeretlek) és lesi a több-ezer megfertőzött telefon memória-tartalmát és ha látja hogy az éppen a banki alkalmazáshoz tartozik akkor felkiált "Megvagy" és kilesi a kódot. Vagy elolvassa a Gmail leveleimet amiből tudja hogy Zöld kártyát akarok Amerikába, Indiai hercegekkel levelezek, Pénisz nagyobbító tablettákat szedek, Bill Gates vagyonának szétosztására várok, vagy éppen szexi angol nevű lányok küldik nekem a "Ismerkedni akarok" kezdetű Google Fordítós üzeneteiket.
-
#11
macilaci78
nagyúr
macilaci78
nagyúr
A szakemberek az Androidon demonstrálták a sérülékenység kihasználását, de úgy vélik, a Microsoft és az Apple rendszerén is működik...
Vajon BlackBerry-n mit ad elő? Céges környezetben használjuk és a gmail szerves részét adja a cég működésének. Régebbi Bold-ok vannak főleg, BB OS 6.Privát telefonom egy Nokia 102 Dual SIM, azt nem féltem.
-
Gregorius
őstag
Ez szerintem WP-n nem nagyon tud működni. Háttérben futó folyamat olyan van, ami vagy 15 percenként fut (max. fél percig), vagy csak akkor, ha lock screen van, és ekkor is durva korlátozásokkal. Vagyis még ha van is API a másik app memóriájához (ebben sem vagyok biztos), akkor is csak nagyon gyér mintavételezésre van lehetőség.
Asztali Windowson jó eséllyel megy, ott viszont ennél egyszerűbben is el lehet intézni. -
Khan13
senior tag
Lehet feltételezgetni, hogy mennyire működik ez a többi mobil rendszeren, de ez semmit nem jelent. Én meg azt feltételezem, hogy ha sokat olvasok képregényt, ugyanolyan okos leszek, mint aki lexikonokat olvas, mert ugye aki sokat olvas, az műveltebb és inteligensebb. Tessék bemutatni, hogy működik azokon a platformokon, és nem laboratóriumi körülmények között, hanem rendesen alkalmazás megír, storeba publikál, mobilra letölt, használ.
Szerk.: mielőtt nekem esnek az Android felhasználók, az a pont akkor kell pont elindítani amikor pont akkor a pont az az alkalmazás fut és pont akkor a felhasználó pont nem veszi észre pont akkor sem reális annyira, mint sok másik lehetőség. -
Az ilyet megfogják a mobilos security app-ok?
Pl. AVAST Mobile Security & Antivirus, AVG AntiVirus FREE, Comodo Security & Antivirus, stb. Elvileg ezek átvizsgálják a letöltött cuccokat, alkalmazásokat.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Persze aki a sikert kizárólag csak a sok dellában/zsetonban/lóvéban látja... de az jó is, az már igazi, jól kinevelt fogyasztó.
Csakhogy a Linux kernel nem a sebezhetőségéről híres, szóval a támadást nem ide kell irányítani, hanem az erre épülő rendszerek ellen.
vagy hogy a Photoshop kiszól, hogy vegyek még ram-ot 
Új hozzászólás Aktív témák
- Xiaomi Smart Band 10 - a hetedik napon megpihen
- Építő/felújító topik
- RETRO beárazás (mobil, PC, konzol)
- AliExpress tapasztalatok
- Xiaomi Mi 11 Ultra - Circus Maximus
- Kuponkunyeráló
- OLED TV topic
- Huawei Watch GT 4 - kerek karék
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Samsung Galaxy S24 - nos, Exynos
- További aktív témák...
- HP ZBOOK Firefly 16 G10 /i7-1355U/16GB/1 TB SSD/FHD+/IPS/NVIDIA 4 GB/Gari
- HP ZBOOK Firefly 16 G10 /i7-1355U/16GB/1 TB SSD/FHD+/IPS/NVIDIA 4 GB/Gari
- KIVÉTELES áron eladó HP ZBOOK STUDIO 15 G7 WORKSTATION! 7-10850H/32GB/256 SSD/NVIDIA T2000 4GB/GARI
- Dell Precision 7560 15.6 FHD Touch / I7-11800H / 32GB / 1TB G4 új / Quadro A4000 8GB WS tervező
- Honor Magic V5 (512GB/16GB RAM)(Magyar)
- Game Pass Ultimate előfizetés azonnal, élettartam garanciával, problémamentesen! Immáron 8 éve!
- ÚJ Lenovo ThinkPad X13 Gen 5 - 13.3" WUXGA IPS - Ultra 5 135U - 16GB - 512GB - Win11 - 2,5 év gari
- Xbox Ultimate előfizetések
- Bomba ár! Fujitsu LifeBook U758 - i5-8GEN I 8GB I 256GB SSD I HDMI I 15,6" FHD I W11 I Garancia!
- HATALMAS AKCIÓK / MICROSOFT WINDOWS 10,11 / OFFICE 16,19,21,24 / VÍRUS,VPN VÉDELEM / SZÁMLA / 0-24