- Telekom otthoni szolgáltatások (TV, internet, telefon)
- 3,6 billió dollárt ér az NVIDIA, idáig még egy cég sem jutott el soha
- Vodafone otthoni szolgáltatások (TV, internet, telefon)
- Hálózati / IP kamera
- Windows 7
- QNAP hálózati adattárolók (NAS)
- Synology NAS
- Windows 10
- AliExpress tapasztalatok
- Windows 11
-
IT café
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
-
#1552
Egon
nagyúr
aprokaroka87
#1550
Egon
nagyúr
válasz
aprokaroka87
#1550
üzenetére
Persze, úgy van értelme.
Bár nem minden területen van erre szükség."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
#1553
inf3rno
Topikgazda
aprokaroka87
#1550
inf3rno
Topikgazda
válasz
aprokaroka87
#1550
üzenetére
Szerintem itt folytonos átmenet van attól függően, hogy mennyi energiát fektetnek a célpont tanulmányozására. Lehet ágazatra, cégre, munkavállalói csoportra, konkrét személyre is lebontva, illetve ezek valamilyen kombinációja. Az igazán durva eseteknél a vezérigazgatót próbálják megszemélyesíteni, amikor tudják, hogy közvetlenül nehezen elérhető, és a pénzügyet próbálják átverni vele, hogy utaljanak.
Buliban hasznos! =]
-
#1554
aprokaroka87
nagyúr
aprokaroka87
nagyúr
Értem, arra azért kíváncsi lennék hogy olyat meglehet-e jogilag tenni hogy megbízni X munkatársat, akinek jók a kapcsolat teremtő képességei, hogy kerüljön közelebb Y munkatárshoz, és " szedjen " ki belőle minél több információt a személyes dolgairól.
Vagy ezt már tiltja a jog?Mert lássuk be, az igazán kritikus cégek esetében nem biztos hogy a támadás kívülről jön közvetlenül.
-
#1555
inf3rno
Topikgazda
aprokaroka87
#1554
inf3rno
Topikgazda
válasz
aprokaroka87
#1554
üzenetére
4-5 biztonsági osztályoknál esetleg lehet ilyen, de azért elég durva tesztnek.
3.1.7.4. Belső fenyegetés
A biztonságtudatossági képzés az érintett személyeket készítse fel a belső fenyegetések felismerésére, és tudatosítsa jelentési kötelezettségüket.
[link]Ennél jóval kevesebbet csináltam az egyik oktatásnál, de már ott is jogi aggályaim voltak, mert profilozás történt, aztán a végén inkább anonimizáltam az adatokat, és inkább a csoport átlagra, esetleg profil klaszterekre koncentráltam az egyes személyek helyett. Biztosan lehet nagyon indokolt esetben ilyesmit. Szoktak social engineering auditot tartani, de ennyire nem szoktak beépülni. Inkább odamennek azzal a szöveggel, hogy pl. ISO auditot tartanak, aztán hirtelen minden ajtó megnyílik és senki nem kéri el a papírjaikat, stb. Nem jellemzőek ezek a kémfilmes hónapokig felépített auditok, bár biztos van az a pénz. Így is rohadt drágák amúgy. Talán katonai létesítményekben el tudom képzelni, de ott meg fennáll a veszélye, hogy túlreagálják, és lelövik a kém gyanús illetőt, stb. A munkamorálnak is szerintem kifejezetten árt egy ilyen fajta teszt. Megrendülhet tőle a bizalom a munkavállaló és a cég között.
[ Szerkesztve ]
Buliban hasznos! =]
-
#1556
Egon
nagyúr
aprokaroka87
#1554
Egon
nagyúr
válasz
aprokaroka87
#1554
üzenetére
Ez már azért morális kérdéseket is felvet, a jogi kérdéseken túl.
Nem gondolnám, hogy ez a jó irány. Egy ilyen tesztnek optimális esetben az a célja és a hatása, hogy hatására biztonságtudatosabbak lesznek a munkatársak. Nem az, hogy megverjenek valakit, vagy éppen elmeneküljenek a cégtől.
Bár anno a Wizzair-nél állítólag volt olyan fizikai biztonságot célzó/tesztelő vizsgálat, hogy egy dühös tömeg (ami egytől egyig beavatottakból állt) benyomta az ajtót és a földre vitte a biztonsági őrt - ha ezt meg lehet csinálni, akkor bármit is. Csak kell hozzá egy megfelelően biztonságtudatos és érett közeg is..."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
#1557
Xpod
addikt
aprokaroka87
#1554
válasz
aprokaroka87
#1554
üzenetére
"szedjen " ki belőle minél több információt a személyes dolgairól.
És ennek mi köze a szervezethez? Miért jó hogy megtudja a kollégáról, hogy imádja a rózsaszín unikornisos tangát?
#1555 inf3rno
"3.1.7.4. Belső fenyegetés
A biztonságtudatossági képzés az érintett személyeket készítse fel a belső fenyegetések
felismerésére, és tudatosítsa jelentési kötelezettségüket."Ez inkább arra vonatkozik, hogy vegye észre és jelentse a kolléga az idegen laptopot a hálózati nyomtató mellett, vagy ha ismeretlen kószál a szerver szoba környékén, esetleg valaki turkált az asztalán.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
#1558
aprokaroka87
nagyúr
Egon
#1556
aprokaroka87
nagyúr
Szerintem egy igazi támadás esetén a támadónak sem biztos hogy lesz majd " lelke "
Mert oké hogy egy ilyen teszten vannak szabályok amiket be kell tartani, de ezek amolyan tanító jellegű dolgok.
De vajon éles helyzetben, amikor igazából nincsenek szabályok, is jól tudnak működni a dolgok?
Mert ugye mondják hogy ez pszichológia is.
Ha rá kattint a teszten, miért teszi?
Kíváncsi tipus az illető?
Sikerült neki épp olyat küldeni amivel jobb lett a hangulata?
Mivan ha éles helyzetben meg a kíváncsi tipus pont nem kíváncsi, mert rossz a hangulata?
Így meg pont sikerül elkerülni a dolgot.
Vagy inkább az a gond hogy az embereknek nem alakul ki egy egészséges " paranoia " szint? -
#1562
aprokaroka87
nagyúr
Doky586
#1559
aprokaroka87
nagyúr
válasz
Doky586
#1559
üzenetére
Deepfake...
Igazából elég lenne annyi hogy készíteni arról egy deepfake felvételt ahogy elrabolják a gyerekét, majd az egészet elküldeni céges e-mail-re, benne egy link-el, ahol ott van a fake videó, meg valami huncutság is.
Persze ebbe bele kell vonni a célszemély gyerekét, stb..
Lássuk be azért ezt is nagyon elő kell készíteni.
De ez már nagyon aljas dolog.
Viszont a múltkor találkoztam amolyan hétköznapi emberként az ilyen adathalászat szerüség újabb aljas " megoldásával"
A nézd meg ki halt meg, lehet valamelyik ismerősöd, alatta meg ott egy link...[ Szerkesztve ]
-
#1563
inf3rno
Topikgazda
aprokaroka87
#1562
inf3rno
Topikgazda
válasz
aprokaroka87
#1562
üzenetére
Valszeg elég, ha fent van a közösségi médiában a gyerekről egy csomó kép, aztán abból lehet 3d modellt alkotni. Szerintem egyre nagyobb problémát fog jelenteni a deepfake a jövőben. Elég pl. a hangot hamisítani, aztán máris azt hiszik a főnök telefonál.
[ Szerkesztve ]
Buliban hasznos! =]
-
sztanozs
veterán
-
-
#1568
inf3rno
Topikgazda
aprokaroka87
#1564
inf3rno
Topikgazda
válasz
aprokaroka87
#1564
üzenetére
Látom nem világos, hogy deepfake-el hangot is lehet másolni. [link] A másik, hogy sokszor olyan alkalmazottat hívnak fel egy sok ezer fős cégnél, aki az életben nem látta a vezérigazgatót. Tényleg nem is tudom mire kommenteltél.
[ Szerkesztve ]
Buliban hasznos! =]
-
#1569
sh4d0w
félisten
aprokaroka87
#1564
sh4d0w
félisten
válasz
aprokaroka87
#1564
üzenetére
Igazából az igazi főnököt a policy-vel fogod lerázni, mert a policy olyan, hogy mindenkire vonatkozik - a CEO-ra is.
Arra nagyon oda kell figyelni a tesztelésnél, hogy ne menekülést váltson ki a célszemélyekből, hanem gondolkodást. Ha túltolod, a teszt eredménye hamis lesz és semmilyen security awareness-t nem építesz vele, de legalább túlterheled az IT-t és a security-t false positive-okkal, plusz az alkalmazottak félni fognak minden emailtől és egyéb kommunikációs formától, ami szintén a produktivitás kárára megy
https://www.coreinfinity.tech
-
inf3rno
Topikgazda
Írtam erről a szakdolgozatomban. Nagyjából az a lényeg, hogy pont olyan helyeken nem akarnak részt venni a főnökök a képzésben, ahol sebezhető a rendszer, mert a főnökök szarnak a policyre, pedig ha jó a szabályzat, akkor a betartatásával megelőzhetőek ezek a csalások. Ha van olyan kategória, pozíció, amire nem vonatkoznak a szabályok, akkor onnantól sebezhető a szervezet. Érdemes mérni, hogy mennyire tartják be a saját szabályzatukat, miérteket keresni, és korrigálni vagy a viselkedésüket vagy a szabályzatot. Nyilván minden védelmi intézkedésnek költsége van, és az egy szabályzatnál legtöbbször az alkalmazott ideje lesz ahhoz képest, ha a szabályzat megkerülésével csinálná a munkáját hatékonyabban, csak kevésbé biztonságosan. Pl. egy e-mailnél a feladó ellenőrzése időbe kerül.
[ Szerkesztve ]
Buliban hasznos! =]
-
#79563158
törölt tag
válasz
inf3rno
#1570
üzenetére
Ahol a C level szarik a policy-re, ott nincs normálisan kommunikálva az egyéni kockázat. Meg kell velük értetni, hogy ha feltörik a céget és visznek mindent akkor Gipsz Jakab random alkalmazott feláll, talál magának másik munkát és éli tovább az életét, viszont C szinten az úr/hölgy konkrétan a saját pénzét/részvényeit kockáztatja a hanyagsággal.
-
Egon
nagyúr
Böki a szemem ez a kevert nyelv...
Azt is írhattad volna, hogy ha a vezető példát mutat, viszont az adott munkatárs nem követi a jó példát, más szavakkal: [Nájsz szó nem working again] , akkor jön a s*ggberúgás...![;]](//cdn.rios.hu/dl/s/v1.gif)
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
inf3rno
Topikgazda
-
Egon
nagyúr
-
Sziasztok,
Szakmai szemmel valaki meg tudná erősíteni, hogy ez a videó hiteles, avagy sem? [link]Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
-
inf3rno
Topikgazda
Valószínűleg az, de bármikor indíthatsz te is egy Wiresharkot, aztán megfigyelheted a Windows adatforgalmát. Részben valóban megy a kémkedés, részben lehetnek elfogadható magyarázatai is ennek az adatforgalomnak. Valószínűleg mobilon még durvább a helyzet.
Buliban hasznos! =]
-
válasz
inf3rno
#1586
üzenetére
Köszönöm!
"részben lehetnek elfogadható magyarázatai is ennek az adatforgalomnak"
Melyek lehetnek ezek a magyarázatok? Ennyi cég felé küldenek adatot, amiknek legalább egy része profitorientált. Elég durva, legalábbis amit itt a videóban lehet látni az a kikapcsolt telemetria állapota.
[ Szerkesztve ]
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
-
inf3rno
Topikgazda
Pl. a Bing-nél a keresőnek van egy olyan funkciója emlékeim szerint, ami interneten is keres, nem csak helyi gépen. Aztán elképzelhető még, hogy valamilyen adatbázis frissítést csinálnak bizonyos szoftvereik, pl. vírusirtók esetében gyakori a vírusdefiníciós adatbázis frissítése. Elképzelhető az is, hogy XP-nél még mindez az update webhelyen keresztül zajlott, aztán azóta szétosztották több domainre. Ami nem köthető az MS-hez külső cég viszont nehezen indokolható, főleg hogy bevallottan adatból élnek és profit orientáltak.
Buliban hasznos! =]
-
-
-
sh4d0w
félisten
válasz
inf3rno
#1588
üzenetére
Nem csak a Bing keresonek, a Windows 10-11 beepitett keresoje is online service, tan 2 eve volt is belole nagy balhe, mert vmit redmondiek elkaffantottak es a Start gomb megnyomasa csak egy fekete ablakot hozott be.
Rowon: gyakorlatilag a Windows 10 elso megjelenese ota tudhato, hogy a Windows spyware, nincs ebben semmi meglepo.
Az Ubuntu a keresest kuldte ki az Amazonra, anelkul, hogy errol barkit is tajekoztatott volna, vagy hogy opt-in lett volna a szolgaltatas.https://www.coreinfinity.tech
-
#79563158
törölt tag
Nem fogtok találni olyan modern enterprise szoftvert, ami nem használ ilyen mértékű telemetriát. Mielőtt még ez ennyire elterjedt volt, azelőtt ha elrontottak valamit akkor meg kellett várni a user reportokat, hogy mi, miért, mikor, milyen hardwaren szállt el, ami rendkívül hosszú és eröforrásigényes feladat volt. Ma ha kitolsz egy frissítést ami mondjuk kizárólag a RandomVendor Xyz 3000 C típusú laptopokon crashel amikor calc.exe-t indítasz, akkor erről azonnal értesül a fejlesztő és elkezdhet rajta dolgozni vagy blokkolhatja a frissítést, mielőtt még szeléskőrűvé válna a hiba. Kb kizárólag az identity és a payment modulokba nem szoktak telemetriát rakni érthető okokból.
-
Egon
nagyúr
válasz
#79563158
#1594
üzenetére
Így van.
Tegyünk hozzá két dolgot:
1. Nincs ezzel semmi gond addig, amíg az adatkezelést a GDPR előírásait betartva folytatják: anonimizáltan vagy aggregáltan, felhasználóhoz nem kötve, adott (tolerálható) célok mentén, a tisztességes adatkezelés elveit nem szem elől tévesztve, megfelelő tájékoztatással (!!!).
2. Az MS (és a Google meg a többiek) eddigi gyakorlata alapján, joggal köpködnek a felhasználók, még a jogos(nak tűnő) telemetria miatt is: nem elég tisztességesnek lenni...[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
válasz
#79563158
#1594
üzenetére
Logikusnak találom azt, amit írsz, de kétlem, hogy az én adataimat csak arra használják, hogy az oprendszer fejlődjön. Ennyiből számomra mind az MS, mind a Google hiteltelenek, bármennyire jó szoftvereket is gyártsanak.
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
-
#79563158
törölt tag
Gondolj arra, hogy több milliárd ember használja a szolgáltatásaikat. Elemi szükséglet, hogy ekkora léptékben kizárólag a szükséges adatokat gyüjtsék be, mivel nekik sincs ingyen se az adatok tárolása, se azok feldolgozása vagy kezelése. Nagyon népszerű az a gondolat, hogy a gyártók szeretnek kémkedni, de amikor ilyen cégeknél dolgoztam akkor pont az volt a szempont, hogy a lehetö legkevesebb de még használható adatot gyűjtsünk be, mert undorítóan drága volt a logging, monitoring, telemetry, főleg ha kereshetönek is kellett lennie.
A Microsoft, Google és az amerikai big tech ráadásul kimondottan nagy célpont és az EU előszeretettel baszogatja öket nyomásgyakorlás céljából, úgyhogy kifejezetten sokat foglalkoznak azzal, hogy megfelelően kezeljék ezeket az adatokat. Google kontakt mesélte, hogy pl. ha egy alkalmazott elkezd keresgélni az adataidban jogos érdek nélkül akkor kb azonnal páros lábbal rúgják ki.
-
válasz
#79563158
#1597
üzenetére
" Elemi szükséglet, hogy ekkora léptékben kizárólag a szükséges adatokat gyüjtsék be"
Miért vagy ennyire biztos ebben? Főleg az AI korában. A Big Datát (ha ez, amiről beszélek beleesik ebbe a fogalomkörbe) már nem csak emberek kezelik, hanem mesterséges intelligencia.
Nem újdonság ez a felhasználói adatokkal való bizniszelés, annak idején a klasszikus mobiltelefonok hőskorában is megcsinálta azt a szolgáltató, hogy pénzért kiadta, hogy egy népesebb település melyik pontján telefonálnak legtöbbet az emberek. Az adott cég ott nyitott magának nagy forgalmú éttermet. Ennyi.
Majd pont az MS, a Gugli, meg a többi gyomorforgató cég nem fogja meglépni ezeket a lehetőségeket.
"Google kontakt mesélte, hogy pl. ha egy alkalmazott elkezd keresgélni az adataidban jogos érdek nélkül akkor kb azonnal páros lábbal rúgják ki."
Őszintén, bízok benne, hogy ez így van. Egyenlőre telefonon az Androidot nem tudom megkerülni, még ha olyan alap dolgokat le is cserélek, mint pl. keresőmotor, meg kigyomlálom az alap Google alkalmazásokat a rendszerből ADB-vel.[ Szerkesztve ]
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
-
#79563158
törölt tag
Azért gondolom ezt, mert majdnem tíz éve big tech product részén dolgozom, volt ahol én adtam az áment arra, hogy milyen adatokat gyüjthetnek be a userektöl. Láttam elrontott adatgyüjtés miatti üvöltözéseket, amikor egy megnövelt log level miatt hirtelen egy nagyságrenddel nagyobb bejövö adat után számlázott a beszállító, borítva az éves budgetet. Az amúgy is tárolt információkból aggregált insight eladása összehasonlíthatatlan azzal, hogy megkérdöjelezhetö hasznosságú párszáz kilobyte-os crash dumpokat gyüjtögetsz folyamatosan céltalanul több millió embertöl, hogy majd jó lesz valamire.
Ha a Googlenek vagy a Microsoftnak valamilyen ML modellre van szüksége és újfajta adatok kellenek amit nem tudnak házon belül összedrótozni, akkor inkább megvesznek egy startupot, akik ezeket már (illegálisan) begyüjtötték, hogy ne az övék legyen a felelösség.
Persze elöfordul egy ekkora cégnél, hogy egy túlbuzgó product manager elront valamit és olyan adatokat kezdenek gyüjteni amit nem szabadna, de nagy cégeknél az ilyesmik megelözésére vannak emberek és folyamatok, míg a kedves emberarcú startupoknál kb vadnyugat van security és privacy szempontból is.
-
válasz
#79563158
#1599
üzenetére
Értem. Nagyon letömörítve a lényeget, hogy megértsem. Minél nagyobb valami annál jobban bízhatok benne, mert neki is érdeke, hogy bízzanak benne? Ezt kijelenthető általánossagban, vagy árnyaltabb a történet?
Linuxokkal kapcsolatban vannak tapasztalataid adatvédelem terén?
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- LED világítás a lakásban
- Realme GT Neo2 - ők már nem zöldfülűek
- Intel Core Ultra 3, Core Ultra 5, Ultra 7, Ultra 9 "Arrow Lake" LGA 1851
- Xiaomi 13T és 13T Pro - nincs tétlenkedés
- Melyik tápegységet vegyem?
- Elektromos autók - motorok
- Apple notebookok
- Viccrovat
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Kormányok / autós szimulátorok topikja
- További aktív témák...
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest