- Nagyon zavarja a brit hatóságot az Apple Safari böngészője
- Gazdasági parazitizmus: a franciák is perelik a Metát az AI-tréningezés miatt
- Triplázás jöhet: az Amazon és a Google szerint az atomenergia a jövő
- Beindultak a kínai startupok, a fejlesztőkért versenyez az OpenAI
- Indiaiak százait mentették ki a scamközpontokból
Új hozzászólás Aktív témák
-
JoshaJosh
csendes tag
A "jó hackerek" oda törnek be ahová érdemes. Aligha hozzám fognak.
Az ilyen konferenciák inkább a vállalati rendszergazdáknak lehetnek érdekesek.
Remélhetőleg odáig már eljutottak, hogy vállalati szerver tűzfalát nem olyan beállítással kezdik, ami midnen bejövő forgalmat átenged, mert utána már hiába írkálnak ezer soros beállításokat, ha igazából nem tudják mit csinálnak....
De minket otthoni kisfelhasználókat aligha ez érint. Sokkal inkább a gyökér, kicsinyes hackerpalánták, akik feles tudásukat tini lányok telefonjainak feltörésével és azokról félmeztelen képek küldözgetésével ütik el az unlamas óráikat. Na ellenük kéne kitalálni valamit! -
derive
senior tag
Attol fugg, mit tor: diot, mandulat vagy mogyorot?
Viccet felreteve, az ilyen konferenciakra altalaban a kulonbozo biztonsagi tesztelok jarnak, nem a valodi hackerek. Nekik meg jolfelfogott anyagi erdekuk fuzodik a FUD keltesehez... Azert van nemi kulonbseg, ha valaki megrendelesre toroget kockazat nelkul, es a kozott, hogy az akcio jo resze arra iranyul, hogy ne hozza jojjon a partybusz.
-
Legjobb tudomásom szerint az éppen aktuális filozófia nem a perimeter security-re összpontosít, hanem a belső védelem, illetve arra, hogy rendes autentikáció nélkül nem folyik adat, illetve minden logolva van.
A perimeter security központú világszemlélettel az a gond, hogy ha valami átjut, akkor onnantól fogva már többé-kevésbé szabadon garázdálkodik bent.
Egyébként meg zárójelben hozzátenném, hogy általában, ha valaki egy ilyen konferencián előad, az általában valamelyik infosec-kel foglalkozó cégnél dolgozik és amellett, hogy fontos információt oszt meg, reklámoz is. Ha valaki azt mondja, hogy tíz perc alatt bejut a hálózatodba, akkor lehet, hogy gyorsabban alkalmazod, mintha azt mondja, hogy két hét alatt talán..
-
Egon
nagyúr
Kb. 2-3 éve hallottam egy biztonsági konferencián, hogy "már 5 éve elavult az a nézet, hogy ha van egy jó erős határvédelmed, akkor biztonságban vagy".
Tavaly év végen mondta egy ismert etikus hacker egy másik konferencián, hogy tűzfalad nem azért van, hogy megvédd magad a külső fenyegetésektől (ha ez lenne a cél, akkor elvágnád a netkábelt...), hanem azért, mert muszáj kapcsolatot tartanod a külvilággal (net, e-mail, akármi).
Nyilván van ezekben az állításokban némi csúsztatás, de azt gondolom, mindenképp elgondolkodtató kérdéseket vetnek fel. -
A céges alkalmazások egy része nem az erős védelemről híres, de ezért van a határvédelem. A biztonságra ezért kétféle módon szoktak törekedni:
- megadnak egy biztonsági minimum követelményrendszert, amit teljesíteni kell
- olyan környezetben használják az alkalmazást, ahol a biztonsági hiányosságok egy másfajta védelem mögé elrejthetők -
Azért ebben a történetben bőven bennevan a Layer 8 is. Amúgy meg abban a világban, ahol mindenhol háromszáz éves, Java alapú appokat és tízenéves webappokat használnak, emellett meg a patchek legyártása és kiküldése hónapokban mérhető, egy kéthetes sérülékenység még 0day.
Van egy olyan erős tippem, hogy általában a multis techbüdzsé alacsonysága, illetve az IT alacsony prioritása okán nem olyan nehéz bejutni ezen cégek hálózatába, főleg a mostani BYOD világban.
-
#21
lenox
veterán
juliabrilke
#2
lenox
veterán
válasz
juliabrilke
#2
üzenetére
De az biztos nem 'jo' hacker volt. Ha pl. az a 'jo' hacker definicioja, hogy aki barmilyen rendszert megtor 12 ora alatt, akkor gyanus, hogy egy 'jo' hacker tenyleg megtor barmit 12 ora alatt
. -
Upo
addikt
Aha. Hány éves vagy te királyfi? Szerinted az csak úgy megy ahogy a videón láttad?
Valahogy esetleg el is kell juttatni az internet nélküli gépre a kódot ami ezt a ledes adatküldést csinálja. Ehhez meg azért kell fizikai hozzáférés az adott géphez. És mi van ha nem az ablak felé van fordítva a gép ledes fele? Esetleg nincs is ablak? Fontos adatokat tartalmazó offline szervereket nem az iroda közepén az asztal alá belökve szoktak tartani. Ez is egy koncepció aminek gyakorlati haszna jószerével nincs, dacára annak hogy lehet szituáció amikor akár még működhet is.
Hülyeségeket én is ki tudok találni, mondjuk a merevlemez leállításával-felpörgetésével is lehet biteket kódolni (mondjuk lassúnak lassú, de ugye hülye ötletről volt szó), amit lézeres mikrofonnal az ablak rezgései által akár kilóméterekről is le lehet hallgatni (a drónt azért észre lehet venni). Ilyen mikrofonozással le lehet hallgatni hogy valaki mit gépel a billentyűzeten, minden billentyűnek más a hangja gépeléskor, megfelelő időtartamú lehallgatással nagyon jól profilozható, kitűnő találati arányt ad, jobb a felismerési hatékonysága mint a szóbeli diktálásnak. Aztán még nyilván van ezer dolog amire nem is gondolunk.
Jut eszembe, jobb módszer a leállításos hülyeségemnél ha fejparkolásokat csinálunk a gépen, azzal jelentősen magasabb adatátviteli sebességet lehet elérni és az is mikrofonozható. -
#18
Bluesummers
őstag
-
Picco
addikt
En hajlando vagyok elhinni hogy sok eves rutinnal es tapasztalattal rendelkezo emberek a rendszerek nagyreszebe par ora alatt be tud jutni. Anno kivancsisagbol kiprobaktam par open source toolt abszolut laikuskent nem keves sikerelmennyel. Ezekhez aztan meg hozzajonnek a dark neten vasarolhato softok/tudasanyagok, 0day cuccok is.
Nyilvan nem igaz h barmely rendszerbe betudnanak jutni ilyen rovid hataridovel, de ha valahova nagyon be akarnak es nem atombiztos, oda elobbutobb bejutnak.
-
azbest
félisten
pár éve volt balhé, hogy kiszivárgott valami levelezés a magyar titkosszolgálat emberei és az egyik kémprogram csomag készítő cég helpdeskje közötti párbeszédről.
Nem valószínű, hogy csak a "jó" fióknak és lányoknak van ilyen készletük: [link]
Másrészt a Snowden féle kitálalás is kb arról szó, hogy átjáróház a legtöbb rendszer a sebezhetőségeknek hála. Aztán sorban voltak cikkek arról, hogy szándékosan gyengíthettek titkosításokat, hátsóajtókat tettek telekommunikációs eszközök szoftvereibe. Még az sem lenne meglepő, hogy minden angol-amerikai processzorlicenszen alapuló gépben lennének olyan sebezhetőségek szándékosan, mint a nemrég kitálalt ASLR.
Szóval inkább 99%, hogy sok év munkájával, sok hiba és szándékos sérülékenység kihasználásával szinte bárhová be tudnak menni.
-
cami][us
senior tag
-
#3
UnA
Korrektor
juliabrilke
#2
válasz
juliabrilke
#2
üzenetére
Ja, szerintem is kamu. Egy ilyen általános betörési sémához léteznie kellene egy csak a beavatottak által ismert kód, ami mindig bevethető. Ennek a valószínűsége kb. 0%.
-
#2
juliabrilke
veterán
juliabrilke
veterán
Ez ilyen bemondásos alapon megy?
Akkor én is feltörök bármilyen rendszert 12 óra alatt.Rengeteg olyan próbálkozás volt nálunk is, amikor az ember csak scannel, de még normálisan lefuttatni se tudja a scripteket amit valahonnan összeszedett. A kedvenc az volt, amikor még az "insert IP here" sor is benne volt, mert arra se volt képes, hogy azt beleírja.
-
Tigerclaw
nagyúr
Azt jó lenne tudni, hogy azért megy ilyen könnyen (ha igaz), mert a cégek nem teszik meg a minimumot, vagyis update tartani mindent és persze minőségi tűzfalat, víruskeresőt, malware keresőt használnak és erős jelszavakat, vagy azon is át tudnak menni, aki mindent megtesz, ami elvárható?
Tudom, hogy gyakran a social engineering a kulcs, de ha azt nem használnák, pusztán a frissen tartott rendszer annyira lyukas, hogy át tudnak menni rajta?
Én azért kétlem a dolgot, mert legalább ilyen tudás birtokában van a "sötét oldal" is és ők ha megtehetik be is törnek mindenhová, de mégsem hallani ennyi ügyről, vagy pl. azt hogy ugyanoda megint betörtek.
A legrosszabb szerintem az, amikor már a hálózat tervezésekor olyan hibát követnek el, amit szinte lehetetlen védeni. Pl. az hogy olyan kritikus rendszerek csatlakoznak az Internetre, amiknek a működéséhez nem kell az Internet, vagyis csak hanyagságból, vagy kényelmességből kötik rá. Sok ilyen rendszert én még belül is védenék fizikailag. Van aminek még az Intraneten sincs keresnivalója, sőt távoli elérés sem kellene rá, mégis van. Az ember a gyenge láncszem minden szempontból.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
it A Nuix Black felmérése ugyan önbevallásra alapul, és a hackerek sosem tartoztak a szerénykedő emberek közé, kijelentéseik akkor is megdöbbentőek, ha túloztak egy kicsit.
- Bevásárolná magát az Intel Foundry-ba a TSMC
- PlayStation 5
- ASZTALI GÉP / ALKATRÉSZ beárazás
- The First Berserker: Khazan
- Politika
- Ukrajnai háború
- Monster Hunter (gyűjtő topik) - PC/PS/XBOX/SWITCH
- Autós topik
- Beats Powerbeats Pro 2 - az Apple termék, ami jobb Androiddal
- Mesterséges intelligencia topik
- További aktív témák...
- ZSÍR Lenovo ThinkPad P15 G2 Tervező Vágó Laptop -75% 15,6" i9-11950H 64/1TB RTX A3000 6GB /2 Millió/
- Eladó használt M2 Mac Mini - 8gb ram, 256 Gb ssd
- ZSÍR Lenovo ThinkPad P15 G2 Tervező Vágó Laptop -75% 15,6" i9-11950H 32/1TB RTX A3000 6GB /2 Millió/
- Turtle Beach Recon 70 /// Új // Számla+Garancia
- Eladó Apple Mini 6
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest