- Biztonsági aggályok miatt késik a Microsoft hatalmas AI-újítása
- Kíváncsi az EU, milyen online védelmet adnak a pornóplatformok a kiskorúaknak
- Panaszt tettek a Google ellen, mert követi a felhasználókat a böngészője
- Rengeteg áram kell az adatközpontoknak, erre válasz a geotermikus energia
- Az AI megmondja, hogy van-e fájdalma a macskának
- SkyShowtime
- Windows Insider Program
- Router gondok
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Mesterséges intelligencia topik
- Betelik a pohár: nagy igény lenne a gyorshajtás-ellenes technológiára
- Márkaértékben az Apple a legjobb a világon
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Proxmox VE
- Aliexpress tapasztalatok
Új hozzászólás Aktív témák
-
Tigerclaw
nagyúr
Sok helyen az is problema hogy nincs olyan senior kollega, akinek az idejebe beleferjen a projektmunka es a juniorok iranyitasa is, igy hiaba kellene nekik valamelyik teruletre meg tobb ember is, megsem vesznek fel senki. Marad a csodavaras a reszukrol, hogy talalnak egy szabad seniort es meg is tudjak adni amit ker, de ennek meg konnyen lehet olyan kifutasa, hogy a folyamatosan tulterhelt aktualis emberanyag kieg es otthagyja a ceget egy olyanert cserebe, ahol kisebb a munkaterheles.
Szoval hiaba van jelentkezo junior biztonsagi vagy ahhoz kozelallo szakteruletre, ha nem tudnanak vele foglalkozni, ami pedig elkerulhetetlen ebben a szakmaban.
Raadasul biztonsagi teruletre nem is nagyon kepeznek juniorokat. Az inkabb egy kovetkezo karrierpath mondjuk egy rendszergazda, vagy devops teruletes szakembernek.
Az Amazon modszeret meg nem tudjak utanozni a kozepes es kisebb cegek, mert 1-2 nagysagrendel kisebb az emberanyaguk.
Arrol meg ne is beszeljunk, hogy nalunk tovabbra is a felig ures szemlelet alapjan dolgoznak es arra kivancsiak fokepp, hogy mit nem tud a jelentkezo, ahelyett hogy az erdekelne oket, hogy mit tud. Lassan egyszerubb lesz eleve kulfoldi ceghez jelentkezni, mint atverekedni a magyar cegek toborzoin, akik argus szemmel lesik, hogy melyik jelolt miben botlik meg.
Jelenleg nem latni, hogy a kisebb es kozepes magyar cegek hogy tudjak atvagni ezt a gordiuszi csomot, de az biztos, hogy naluk pattog a labda, nekik kell valamin valtoztatni.
Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.
-
nemlehet
őstag
Ezt én is észrevettem. Itthon árgus szemekkel nézik hogy mit nem tud egy programozó, mert akkor lehet erre hivatkozni hogy hát akkor sajnos csak ennyit tudunk fizetni... Amíg a legtöbb cég arra játszik hogy minél jobban lenyomja a fizetéseket addig nem is lesz jó emberanyag.
Nokia 3310->3410->3100->6500 Slide(RiP Nokia)->Acer Liquid Metal ->Xiaomi Hongmi-> Xiaomi Redmi Note 3
-
gabor7th
addikt
Nem mintha olyan helyeken is ahol nincs szakember hiány, sőt a legjobbakat vehetik fel, ugyanúgy nem törtek volna be a hackerek. Nincs olyan hely, hogy "itt jó szakemberek vannak tehát ide nincs betörés és károkozás."
[ Szerkesztve ]
A számítástechnika új negatív trendjei: ujtechkor.blog.hu
-
-
Tigerclaw
nagyúr
Ha fel tud keszulni es mukodik a helyreallitasi terve, mar megszolgalta a penzet.
Amugy mar ebbol a szempontbolis erdemesebb a felhos szolgaltatok es naluk is a magasabb szintu szolgaltatasok fel mozdulni, ahol a szolgaltato az uzemeltetes es az infrastruktura nagyobb reszeert felel. Persze tobbe kerul, de egyszerubb fejleszteni, uzemeltetni vagy epp biztonsagosabba tenni. Egyre tobben elhagyjak az IaaS szeru elemeket is felho eseten, mert nagyobb a kockazat, tobb szakembert es munkaidot igenyel egy klasszikus alkalmazas kifejlesztese, uzemeltetese, a disaster recoveryrol nem is beszelve.A biztonsagi szakemberek mellett egyre tobb devops es cloud engineer is kell, illetve lassan nem csak ismerni kell a gyorsan fejlodo felhos szolgaltatasokat, de azt is at kell latni, hogy anyagilag melyik irany gazdasagosabb, ja es persze hasznos, ha legalabb a harom nagyobb felhos szolgaltato megoldasait ismeri.
Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.
-
Dißnäëß
veterán
Amit leírtál, önmagában másfél nettó minimum, szaktudást illetôen. Ha nem még több.
Ez itt a baj.
Kicsit többször kellene betörnie valakiknek ide-oda, hogy ne gondolkodjon a pénzen senki, meg ne is vegzálják a jelölteket, hanem akiben van potenciál, beállítsák a csatasorba, felismerve annak értékét.
De amíg nem égeti meg egyre több cég a kezét, erre tenni fognak magasról. Na meg a vezetôk hozzáállása: talán nyugdíjáig még eldöcög lélegeztetô gépen a rendszer, infra, akármi, aztán onnantól beletojhat, majd recskázzon a sajtreszelôvel az ôutána érkezô bakfis, de ô akkorsem fogja a büdzsét és a költségeket meglökni egy-két 3x annyit kérô szakértôvel, mert kevesebb lesz az év végi bónusza.
[ Szerkesztve ]
POKE 16017,44 ..... SYS 2077
-
Medocsabi
addikt
A kibervédelem problémája nem a szakember hiány. Hanem az, hogy azok a cégek, akiknek van mit félteni, rohadtul nem veszik komolyan, és csak századlagos szempont a kibervédelem, vagy a ténylegesen szakember megfizetése . Szerintem.
-
bambano
titán
"A biztonsagi szakemberek mellett egyre tobb devops es cloud engineer is kell": jaja, mert a mai agilis módszertanok arra az egy dologra jók, hogy hogyan kövessünk el minél gyorsabban minél több hibát.
az összes ilyen agilis szutyok a lényeget dobta ki a fürdővízzel: a szakszerű tervezést.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
btprg
senior tag
Szóval egyre több olyan szakember van, akik után nincs elég szakember aki el tudná takarítani a szart
"Tepid! Tepid is no good for a star, but it'll do for stardust." (nmlorg/naim)
-
akaido
addikt
"Sok helyen az is problema hogy nincs olyan senior kollega, akinek az idejebe beleferjen a projektmunka es a juniorok iranyitasa is, igy hiaba kellene nekik valamelyik teruletre meg tobb ember is, megsem vesznek fel senki."
Ez nemcsak IT vonalon van így sajnos.Szabad országban, szabad ember, szabad akaratából azt mond és azt tesz...amit szabad. UDS Ignition.
-
Tigerclaw
nagyúr
A fo problema az, hogy nem vesznek fel juniorokat, annak ellenere hogy kellene ember. Ebben az esetben az egyetlen logikus lepes, hogy ne vallaljanak uj projekteket addig, amig nem rendezodik ez a helyzet, mert ilyen keresleti piacon nagyot bukhatnak tulterhelt emberekkel.
Az egyik felall, mert elege lett, nem birja, es a tobbiek elso dolga az lesz, hogy atnezik a fejvadasz leveleiket, meg az allashirdeteseket, hiszen latja, hogy az elmult fel evben se vettek fel senkit es most kap majd a nyakaba meg tobb munkat. Ekozben meg seniorkent, mediorkent valogathat a cegek kozott, de ugy hogy nem ot vizsgaztatja majd a HR az interjun, hanem forditva. A ceg meg ottmarad majd a legtapasztalanatlanabb emberekkel es ha talal is valakit, lehet egy honapon belul lelep, latva hogy mit orokolt.
Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.
-
sztanozs
veterán
Úúúú, majdnem írtam erre egy kommentet, de inkább nem...
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
-
Egon
nagyúr
-
Inkább a minőségi programozásnál és tesztelésnél kellene kezdeni a dolgot szerintem...
"Sum ergo cogito; cogito ergo dubito" - Jonathan Hepburn
-
-
bolvar
senior tag
“Fiatalon” próbálkoztam manual tesztelőként elindulni de a haverok már ott is előrébbvalók voltak…
Sajna ameddig senki se karol fel juniorokat nincs miről beszélni.
Mondjuk a junior alapanyag is igen vicces manapság, mérnöknek próbálunk felvenni egyedi av területre és dupla 00 tapasztalattal fél misit szeretne rögtön keresni…Szóval azért vicces az egész helyzet ami kialakult.
Nálunk is 2 oldunk meg mindent a kollégával, mentünk mint a veszedelem ha gáz lenne ne álljon meg az élet, de ezt mind saját kútfőből mert hát képzés az nuku persze….A jó lányok azt mondják: NEM! A rosszak azt, hogy: HOL? :)
-
section9
őstag
Source code reviewhoz szukseges valamennyi fejlesztoi vena, komolyabb architekturak meg identity protokollok atlatasahoz meg architect latasmod, de ugy altalaban eleg ha valakit erdekel a szoftverfejlesztes es a security. Konkretan toolok futtatasaval meg JIRA ticket ping-ponggal is fel lehet markolni tisztesseges fizetest akar.
#28 Tigerclaw: Ahol most vagyok ott van minden.
#29 bolvar: Pedig a Deloitte pl. rendszeresen vesz fel juniorokat pentesternek, illetve juniorkent medior pozikra jelentkezes is siman mukodhet, ha az ember elotte egy fel evig konkretan szabadidejeben ezzel foglalkozik. Annyi, hogy a security jellemzoen nem egy entry level terulet, szoval IT, dev vagy QA tapasztalat nelkul nulla kilometeres jelolt rosszabb eselyekkel indul.
#30 bambano: Az appsec a meglevo fejlesztesi folyamatokba integralodik bele, nem irja ujra a szabalyokat. Az engineering tudja, hogy hogyan kell szoftvert fejleszteni, a security meg tudja, hogy mit kellene tenni ahhoz, hogy az eroforrasokhoz merten tudja garantalni, hogy a vegtermek biztonsagos lesz. De nyilvan mint minden munkat ezt is lehet koklerul csinalni.
-
Tigerclaw
nagyúr
Ott is van ra lehetoseg, hogy titkositsd az adataidat, akar a felhoben, akar meg feltoltes elott titkositva, de persze az ultratitkos informaciokat jellemzoen nem a felhoben taroljak, vagy legalabb nem a hivatalos accounton. Jellemzoen a titkosszolgalat nem kivancsi az Altag kft. adataira, illetve eleg hamar feltunne az atlag be nem avatott felhos rendszergazdanak is, hogy van nem fizetett nagyobb merteku adatforgalom is a halozaton. Sot ezt meg a user is tudja monitorozni. Nem hiszem hogy ezt egy AWS szintu ceg be merne vallalni. 1-1 magas szintu keres lehet hogy atmegy a rostan, de big data szeru adatgyujtest biztos nem engedelyeznek. Ha vedeni akarod az adataidat nem bizol a szolgaltatodban sem es annak megfeleloen hasznalod a szolgaltatasaikat, vagy nem is hasznalod.
Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.
-
section9
őstag
Cloudnal shared responsibility modell van. Ok gondoskodnak a sajat teruletuk biztonsagarol, a customer meg arrol, hogy helyesen hasznalja a biztositott szolgaltatasokat. En nem tudok olyanrol, hogy nagy felhoszolgaltato hibajabol kovetkezett volna be breach, ellenben a customerek rendszeresen osztjak meg a vilaggal pl. a privatnak szant S3 bucketjaikat vagy nyitnak meg management portot VM-en a publikus internet fele. Ha egy ceg keptelen helyesen hasznalni egy tobbe-kevesbe secure-by-default szolgaltatast, az nem fog tudni biztonsagosan on-premise tarolni fontos adatokat. Szerencsere ezt a cloud fobiat mar par eve meghaladta az ipar.
-
gabor7th
addikt
Az elmúlt években sok-sok milliárdnyi adatrekord "szivárgot" már ki felhőktől, meg derült ki, hogy vannak benne katasztorofális sérülékenységek, olyanok, amik engedik, hogy vigyél mindent...
https://blog.storagecraft.com/7-infamous-cloud-security-breaches/
"Szerencsere ezt a cloud fobiat mar par eve meghaladta az ipar."
Ezt az elmúlt több mint 5 évben mindig elmondták, hogy igen, eddig féltek tőle, de már nem.
A kovid előtt volt egy ilyen cikk:
""az informatikai vezetők 73%-a dolgozik azon, hogy a nyilvános felhőből egyes szolgáltatásokat visszavigyenek egy privát felhőalapú megoldásba vagy hagyományos adattárolókba (de csak 22% mondta azt, hogy több mint ötféle szolgáltatást mozgatnak vissza),""
Vagyis még azok is akik korábban használták vissza akartak térni, de ugye a vírus miatt most van egy abnormális év.A cloud arra jó, hogy összegyűjtsenek benne egy csomó fontos válllalati adatot és egy hackerakcióval mind el lehessen lopni. Ettől teljesen jogos, hogy távol akarnak maradni.
"Tigerclaw":
"Ott is van ra lehetoseg, hogy titkositsd az adataidat, akar a felhoben, akar meg feltoltes elott titkositva"
A szoltáltató által nyújtott titkosításban nem bíznék, nemrég volt róla cikk, hogy a mobilok esetében is szándékosan gyengítették a titkosításokat, hogy le lehessen hallgatni a telefonokat.A számítástechnika új negatív trendjei: ujtechkor.blog.hu
-
sztanozs
veterán
"hogy vannak benne katasztorofális sérülékenységek, olyanok, amik engedik, hogy vigyél mindent..."
Konkrétan a konfigurációkban (tipikusan ElasticSearch-be feltöltött cuccok, illetve stz@rul konfigurált - public network, private helyett) vannak hibák, nem magukban a szolgáltásokban. Kb ugyanaz a helyzet, mint 20 évvel ezelőtt az Internet boom idejében."az informatikai vezetők 73%-a dolgozik azon, hogy a nyilvános felhőből egyes szolgáltatásokat visszavigyenek egy privát felhőalapú megoldásba vagy hagyományos adattárolókba (de csak 22% mondta azt, hogy több mint ötféle szolgáltatást mozgatnak vissza)"
Mondjuk én ennek pont az ellenkezőjét látom. Az üzleti vezetők és tulajdonosok nyomására manapság azok az IT vezetők is a Cloud felé mozdulnak el, akik korábban az ismert kockázatok miatt vonakodtak a felhőbe mozgatni az infrastruktúrát. Az ellenkező irányú mozgás pedig szinte elhanyagolható.
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
A szoltáltató által nyújtott titkosításban nem bíznék, nemrég volt róla cikk, hogy a mobilok esetében is szándékosan gyengítették a titkosításokat, hogy le lehessen hallgatni a telefonokat.
Mert laikus vagy, ami a kommentjeidbol is latszik.A cloud arra jó, hogy összegyűjtsenek benne egy csomó fontos válllalati adatot és egy hackerakcióval mind el lehessen lopni. Ettől teljesen jogos, hogy távol akarnak maradni.
Fejezd be a trollkodast pls. Attol, hogy te nem erted hogy mukodik a biztonsag, attol meg mukodhet.Don't dream it, be it. // Lagom amount.
-
Gargouille
őstag
"Vagyis még azok is akik korábban használták vissza akartak térni, de ugye a vírus miatt most van egy abnormális év."
Üzemeltetőként a saját tapasztalatunk pont ennek az ellenkezője. Inkább mindenki felhőbe költözne mert sokkal kevesebb probléma vele, mint saját infrát üzemeltetni és a rendelkezésre állás, skálázhatóság meg össze sem hasonlítható.
"A szoltáltató által nyújtott titkosításban nem bíznék, nemrég volt róla cikk, hogy a mobilok esetében is szándékosan gyengítették a titkosításokat, hogy le lehessen hallgatni a telefonokat."
Egyrészt nem kell a szolgáltató titkosítására támaszkodnod, hiszen saját megoldást is tudsz használni, ez nem függ a felhőtől. Másfelől meg a szándékos gyengítésre sok példa volt már, még az intel cpu-kban is volt ilyesmi korábban, de ez egyben azt is jelenti, hogy ezen az alapon az a titkosítás is védtelen amit házon belül használsz, tehát nem vagy védettebb.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
gabor7th
addikt
" Attol, hogy te nem erted hogy mukodik a biztonsag, attol meg mukodhet."
Látom, hogy még a legjobb szakértők se tudják, hisz állandóan hír volt róla, hogy micsoda nagy törések voltak.
Na mindegy, moderátor ellen nem megyek; kár, hogy trollkodásnak van véve egy abszolút legális vélemény.
De ennyi volt...
A számítástechnika új negatív trendjei: ujtechkor.blog.hu
-
Látom, hogy még a legjobb szakértők se tudják, hisz állandóan hír volt róla, hogy micsoda nagy törések voltak.
Persze, hogy voltak hirek, meg eleve a nyilvanos kulcsu titkositasnak is vannak matematikai hatarai. Ld a korabbi kommentart, hogy mindent fel lehet torni, csak valamit nem eri meg. Tobbek kozott emiatt kell a szakiranyu diploma a teruleten, ami magaban meg mindig nem eleg, mert tobb mindenhez is erteni kell.trollkodásnak van véve egy abszolút legális vélemény.
Ez egy IT szakmai forum es olyan temahoz szolsz hozza, aminel azt se latod be, hogy mennyire nem ertesz hozza. Ha megnezed a tobbiek hozzaszolasait, jellemzoen szakmabeliek diskurzusa megy, ami realis, mert maga a cikk is inkabb management problemakat feszeget, i.e. nincs eleg ember. Bar vannak mas erdekes kerdesek is, mint a szabvanyok es szabalyozasok.Ha ertenel hozza pl reagalnal arra, hogy a wagile leirasa utan nekem konkretan ra kellett keresnem, hogy a munkatarsak kepzese (ez a sved IT branchen belul kb alap) az hogy fugg ossze a fejlesztesi modellel.
[ Szerkesztve ]
Don't dream it, be it. // Lagom amount.
-
Gargouille
őstag
"Látom, hogy még a legjobb szakértők se tudják, hisz állandóan hír volt róla, hogy micsoda nagy törések voltak."
Oké, de arról is van teljes és átfogó képed, hogy a saját üzemeltetésű rendszerek közt mekkora törések vannak? Mert csak ennek ismeretében lehetne összevetni a felhős biztonságot a saját üzemeltetésűvel.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
philoxenia
MODERÁTOR
Már korán észlelték, hogy nem lehetséges olyan ütemben kibervédelmi szakembereket toborozni, amilyen dinamikusan az üzlet gyarapszik
Hát ez nem is informatikai kérdés. Olyan, mintha folyamatosan venném föl a megrendeléseket egy olyan termékhez, amit majd ezután szándékozok legyártani úgy, hogy még az üzem sem épült meg... Sőt a nyersanyagot is csak ezután akarom majd megvenni hozzá, azt vélvén, hogy majdcsak lesz a piacon...
Később általában nem értek egyet azzal, amit korábban leírtam. Ehhez néha évek kellenek, néha percek csak...
-
válasz philoxenia #45 üzenetére
ja, csak itt nagyon elment a vita a "cloud biztonsagos-e" iranyba, mikozben a cikk ahogy irod tenyleg inkabb a management szintrol beszel.
Don't dream it, be it. // Lagom amount.
-
philoxenia
MODERÁTOR
Nem igazán a felhőben tárolt egyéni adatokat kellene félteni, azonban a kiberbiztonság laikus szemmel azt jelenti nekem, hogy a vállalati hálózatokat sokkal erősebben el kell választani a nyilvános hálózatoktól, ha egy mód van rá fizikailag is, legalábbis a kulcsfontosságúakat. Lásd az USA-béli szolgáltató esetét például.[link]
Később általában nem értek egyet azzal, amit korábban leírtam. Ehhez néha évek kellenek, néha percek csak...
-
Tigerclaw
nagyúr
válasz philoxenia #47 üzenetére
Igen, az agyrem amikor a termelesiranyito, telemechanikas es hasonlo gepeket is Internetre kotik. Remelem az IoT-t kukazni fogjak. Mar csak az kellene hogy WLAN-on meg 5G-n logjon az osszes gep a gyarakban. Ahhoz aztan kellene egy hadseregnyi IT biztonsagi szakember... vagy csak egy amelyik a meetingen elkuldi a jo edes .... azt aki szerint jo otlet az IoT, meg amugy is trendi.
Nem is csoda, hogy lassan 10 eve varjuk az IoT forradalmat es azota se jutott sehova. Ne is jusson. Pont arrol van szo, hogy le kell szedni a teljes termelesi intranetet az Internetrol fizikailag, nem pedig arrol hogy hajra kossunk ra mindent, mert abbol csak jo sulhet ki.
Addig ok, ha zart Intranet az egesz es csak vezetekes kapcsolatok vannak, de meg ott se dolnek hatra.
Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.
-
bolvar
senior tag
Hírből se volt még deloitte mikor én melót vadásztam sajna :D
Most azért rengeteg a gyakornoki pozi, ez sokkal jobb lett.
#48 Tigerclaw
Nem nevezem meg a céget de az új székházát pl tele akarják verni iot-val... Olyan elborult dologra keresünk megoldást csak sírni tudok a röhögéstől :DA jó lányok azt mondják: NEM! A rosszak azt, hogy: HOL? :)
-
Tigerclaw
nagyúr
Azt el tudom kepzelni, hogy mondjuk egy telekom szolgaltato mar csak azert is megtenne ezt, hogy mutassa, mennyire cool dolog, hiszen neki penzt jelentene ha minden biszbasz az 5G-n logna. Persze cool helyett valoszinuleg izzadtsagszagu lenne a legtobb ilyen dolog.
Van fantazia az IoT-ben, de nem agyatlanul mindenbe beleeroltetve.
Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.
-
"untestable systems" kifejezest mar hallottam a teruleten. az a baj, hogy olyantol, aki teszteles teruleten vilagszinten topban van.
ezt egyebkent meg lehet fokozni, intelligens varosoknal pl forgalomiranyitashoz gyakorlatilag IoT + deep learning kombo tunik a megoldasnak, csak a minosegbiztositas megoldando feladat.
[ Szerkesztve ]
Don't dream it, be it. // Lagom amount.
-
nemlehet
őstag
válasz Tigerclaw #48 üzenetére
Az IoT nagyon jól megvan. Pl a Vodának és a T-nek az egyik legjobban fejlődő üzletága, de mostanában az AT&T is nagyon belehúzott amerikában. A 4G adtam meg az igazi lökést, de az 5G-vel még inkább alkalmas lesz arra amire szánják.
NB-IoT, LPWA megoldások rengeteg logisztikai problémát meg tudnak oldani, meglepődnél de államok is szerződnek IoT service-re kifejezetten kritikus stratégiai rendszerek kiszolgálásához (pl Italgas az olasz gázhálózat mérőberendezéseiben használja).Nyilván annak nem sok értelme van hogy a CNC esztergát netre kötöd, de pl város szintű smart világítási rendszereknél millió eurókat lehet megspórolni IoT-vel.
[ Szerkesztve ]
Nokia 3310->3410->3100->6500 Slide(RiP Nokia)->Acer Liquid Metal ->Xiaomi Hongmi-> Xiaomi Redmi Note 3
-
Gargouille
őstag
Tekintve a cikkben is vázolt helyzetet, a kiberbiztonság helyzetét úgy általánosan és a trendeket, annyival egészíteném ki Bambano kommentjét, hogy nem szimplán "rossz döntés" hanem "kifejezetten nagyon rossz döntés".
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
sztanozs
veterán
Nem a "hálózatra" kötéssel van probléma, hanem sokkal inkább a "publikus hálózatra" való kötéssel.
Modern hadseregek is működnek hálózatra kötve, mégsem hallotunk olyat, hogy hackerek átvették az irányítást egy drónraj felett és halomra lőtték az eredeti gazdájukat velük.
A probléma a szükséges/eléégséges kontrollok hiányából adódik.
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
Rive
veterán
Olyan elborult dologra keresünk megoldást csak sírni tudok a röhögéstől :D
Volt valami eset, ha jól emlékszem, amikor egy IoT akváriumon keresztül ugrottak be házat robbantani a kaszinóba?
Van, aki sose tanul./// Nekünk nem Mohács, de Hofi kell! /// Szíriusziak menjetek haza!!!
-
Gargouille
őstag
"Modern hadseregek is működnek hálózatra kötve, mégsem hallotunk olyat, hogy hackerek átvették az irányítást egy drónraj felett és halomra lőtték az eredeti gazdájukat velük."
Eddig még valóban nem hallottunk ilyet. Ami egyáltalán nem garancia arra, hogy ezután sem fogunk.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
sztanozs
veterán
Ez egy GPS hack volt, semmi köze nem volt hálózati töréshez.
#61 Gargouille - egyáltalán nem garancia, de azért a potenciális támadóknak volt erre már ~20 éve (és ha történt volna ilyen, biztosan a címplaokon láttuk volna már)... Az viszont látszik, hogy ha valamit meg akarnak rendesen védeni, azt meg is lehet.
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
-
Gargouille
őstag
A civil életben történő IT biztonsági incidensek jelentős többsége is láthatatlan, ami a sajtóba kikerül az jóformán csak a jéghegy csúcsa. És ezeket sem önként, becsületességből hozzák nyilvánosságra a legtöbb esetben, hanem kényszerből, mert nem tudják eltussolni.
Gondolom katonai területen még nagyobb lehet a titkolózás tehát az, hogy nem olvashattunk eddig még ilyesmiről, lehet annak is betudható, hogy nem hozták nyilvánosságra. Ugyan miért is tennék?
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
Hi!King
őstag
A kérdésem az, hogy fejlesztőként milyen lehetőség van cybercec területre átképezni magam? Úgy fél éve megcsináltam ezt az online kurzussorozatot:
https://www.coursera.org/professional-certificates/ibm-cybersecurity-analyst
De nem érzem, hogy sokkal okosabb lennék, úgy értem volt benne pár hasznos dolog, de az elmélet 2/3-a inkább bullshit volt. De nem is ez a fő gondom, hanem hogy nem látom, hogyan tovább, képezhetem magam online, csak nem tudom mi az, amit meg kellene tanulnom, mert ebben sem igazán volt jó ez a kurzus sorozat. Meg hogy egyáltalán hogy tudnék a jövőben megcsípni egy junior állást más IT területen, úgy hogy a jelenlegin valahol medior-senior szint között lehetek. Egyébként a saját területemhez viszonyítva nem is látom, hogy belföldön hemzsegnének a cybersec állások, ami elbizonytalanít. -
btprg
senior tag
válasz Gargouille #41 üzenetére
Mi az ipari kapcsolataink révén pont azt tapasztaljuk, hogy nem felhős változatban szeretnék inkább használni az általunk kínált szolgáltatást. De ennek lehet hogy nem biztonsági okai vannak, hanem anyagi.
"Tepid! Tepid is no good for a star, but it'll do for stardust." (nmlorg/naim)
-
Tigerclaw
nagyúr
Ipari kornyezetben termeszetes es joval biztonsagosabb lehet egy sajat rendszer, de akkor annak zartnak is kell lennie teljesen. A felho nem arra valo, hogy a paksi atomeromuvet vagy egy olajfinomitot, autogyarat rakossenek, vagy azzal helyettesitsek. Az irodai rendszeruket talan, ha van nyilvanos nem statikus jellegu honlapjuk, az szinten erdekes lehet, de a kritikus termelesi rendszeruket semmikepp sem.
A felho foleg azoknak valo, akik valamit szolgaltatnak Interneten keresztul, de persze ez csak kisarkitasa a valosagnak. Ha meg nincs sajat vas, akkor is idealis lehet ,foleg startupoknak, akiknel lehet hogy nem jon ossze a dolog, illetve nem akarnak rogton milliokbol szervert meg szoftvereket venni, ami a nyakukon marad csak ha befuccsol a dolog.
Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.
-
nevemfel
senior tag
Én az egész szájbersec szakmát elhibázott koncepciónak tartom. Akár fejlesztő-, akár üzemeltető vagy, tisztában kell lenned a biztonsági témákban ahhoz, hogy biztonságos szoftvert, biztonságos rendszert tudj létrehozni. Ez az adott szakma részterülete, azaz nincs általános, egyetemes megoldás.
[ Szerkesztve ]
Rally against apathy draws small crowd
-
bambano
titán
"Ez egy GPS hack volt, semmi köze nem volt hálózati töréshez.": valakik megterveztek egy rendszert, nyilván trógerül, mint mindent, mások megtalálták a hibát, minek következtében egyben földet ért a drón.
ugyanez analóg meg fog történni az iotban. ja nem, már megtörtént.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
section9
őstag
Jelenleg LinkedIn-en legalabb hat-het olyan application security pozirol tudok ami mar honapok ota nyitva van, mert nem talalnak embert. Nem lesz soha tobb szaz nyitott pozi, de nem problema, mert egymastol happoljak el a munkavallalokat a cegek. Nalunk is van jelenleg ket pozi nyitva, az egyik junior alacsonyabb elvarasokkal, ha erdekel dobj PM-et.
Nem irtal tech stacket, ugyhogy atfogo alapozonak szinten Coursera-n van egy Software Security kurzus, az neked relevansabb lesz, mint a Security Analyst. Van benne boven elmelet, egy kis fuzzing, egy kis buffer overflow meg asszem valamennyi web is. Ezek utan (vagy helyett) en a helyedben az Agile Application Security-t olvasnam el, kb ez a legjobb atfogo konyv, amit a temaban olvashatsz. Ha vegeztel akkor lesz ralatasod, hogy milyen teruletek vannak es erdekelhetnek. B tervnek, ha megcsinalsz egy OSCP-t fejlesztokent az se rossz megoldas, viszont az par hetnyi/honapnyi aktiv napi tobb oras gyakorlati elfoglaltsagot jelent plusz a vegen legalabb egy, de inkabb tobb 24 oras proctored online vizsgat. -
philoxenia
MODERÁTOR
Nem vagyok szakember, de lehetséges úgy rendszert építeni, hogy minden cégnek külön fusson egy adott szoftver az 5G-n, úgy, hogy ahhoz az alatta futó oprendszerből és a többi ugyanott futó rendszerből se lehessen hozzáférni? Megoldható úgy a rendszerenkénti belépés, hogy csak adott fizikai eszköz(ök)ről lehessen admin jogokkal belépni?
Később általában nem értek egyet azzal, amit korábban leírtam. Ehhez néha évek kellenek, néha percek csak...
-
sztanozs
veterán
Nálunk globálisan 322 infosec pozíció van nyitva (csak az CISO osztályon - IT/Üzleti területeken legalább ennyi, ha nem több IS és/vagy IT Control pozi) - elég változatos felhozatalban:
Globálisan
- 34 Beginner
- 103 Experienced
- 173 Senior/Manager
- 12 Director
Magyarországra
- 15 Beginner
- 18 Experienced
- 12 Senior/Manager[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
Gargouille
őstag
Igen, az ipar valóban egy külön világ. Nálunk többségében olyan ügyfelek vannak akik "irodai jellegű" tevékenységet végeznek, tehát mondjuk könyveléssel vagy reklámiparral, filmiparral stb. foglalkoznak, nekik például nagyon jól kiaknázhatók a felhős megoldások. Van olyan ügyfél is aki meg ipari berendezéseket gyárt, náluk például pont az van, amit mondasz, hogy egy saját üzemeltetésű rendszerrel felügyelik az ügyfeleik üzemeiben a gépeket.
De általánosságban azt azért látni, hogy sok olyan szerepkört felhőbe visznek, amiket mondjuk 5 vagy 10 éve még mindenki saját üzemeltetésű szerverrel szolgált ki.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
Gargouille
őstag
Szerintem van létjogosultsága. Egy fejlesztő vagy egy rendszergazda is rendelkezik sok résztudással biztonsági kérdésekben, de nincs egy általános széles képe az egészről.
Csak egy példa a való életből, van egy ügyfelünk, akik játékokat fejlesztenek (nem zugcég), remek programozókkal dolgoznak, akik profin értenek ahhoz, hogy hogyan optimalizálják a játékmotort stb. viszont hálózati ismereteik konvergálnak a nullához, egyszerűen nem kell a munkájukhoz. Mikor azt mondom nekik, hogy syn flood attack, vagy miért miért fontos az érvényes tanúsítvány vagy miért nem NAT-olunk ki egy SMB-t csak úgy a külvilág felé, akkor pislognak és nem értik. Egyszerűen nem dolguk ezt tudni és mára már annyira specializált lett minden tudás, hogy nincs rá agyi kapacitás, hogy az egyéb kapcsolódó területeken is megfelelő mélységű ismeretek legyenek.
Egy kifejezetten biztonsággal foglalkozó szakembernek lehet nincs olyan elmélyült konkrét tudása az egyes részterületeken, viszont van olyan átfogó képe, amivel fel tud vetni olyan kérdéseket, rámutatni olyan gyengeségekre, támadási vektorokra, amikre amúgy nem is gondolna az ember.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
nevemfel
senior tag
válasz Gargouille #77 üzenetére
Mikor azt mondom nekik, hogy syn flood attack, vagy miért miért fontos az érvényes tanúsítvány vagy miért nem NAT-olunk ki egy SMB-t csak úgy a külvilág felé, akkor pislognak és nem értik.
Mert ez rendszerüzemeltetéssel kapcsolatos biztonsági probléma. Ha fejlesztőkről van szó, akkor, C++ esetén pl. a buffer overflow, webes platform esetén paraméter validálás, SQL injection, XSS, CSRF az, amire figyelni kell. A fejlesztő dolga, hogy értse ezeket a problémákat, odafigyeljen ezekre. Adatbázisok adminisztrációjánál megint másfajta lehetséges biztonsági problémákra kell ügyelni, pl. jogosultságok kezelésére.
Olyan security expert nincs a világon, vagy legalábbis nagyon kevés lehet, aki minden részterület biztonsági problémáit ismeri, olyan mélységben, hogy kiszúrja a másik kódjában a hibákat.
[ Szerkesztve ]
Rally against apathy draws small crowd
-
bambano
titán
válasz philoxenia #74 üzenetére
az egész it nevű miskulanciával az a baj, hogy megpróbálnak valamit, csak sose jön össze. nem az a probléma, hogy mi lenne az iot-ből, ha hibátlan iot eszközeink lennének, hanem az, hogy soha nem lesz minden iot eszköz hibátlan. illetve a megalapozott félelem az, hogy egy se lesz hibátlan.
ráadásul minél több réteget raksz egy rendszerbe, annál több hiba lehet a rétegek egymásra hatásából is. lehet, hogy egyesével minden frankó, csak együtt nem adja ki. mint Woz okosotthona. Vagy ez: [link]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Rive
veterán
válasz philoxenia #74 üzenetére
Hiába 'megoldható', ha az elterjedt gyakorlat az átlag-IT által összepakolt heterogén, minimális ideig támogatott és sosem frissített, rendesen egyszer sem konfigurált kütyühalmaz.
A PC-k (és hasonló/környéki rendszerek, pl. routerek, telefonok, tabletek) biztonságos üzemeltetése is 'megoldható', de ugye nem kell részletezni, mi a gyakorlat.../// Nekünk nem Mohács, de Hofi kell! /// Szíriusziak menjetek haza!!!
-
Gargouille
őstag
Igen, jól mondod. Mindenki a maga kis "szeletkéjéhez" ért, de kell valaki melléjük, aki össze is tudja fogni és átfogó képe is van az egészről. Sokszor a részek önmagukban biztonságosak, együtt viszont már egy rendszert alkotnak és nem várt "keresztreakciók" is történnek. Nem kell, hogy a security expert profin értsen a kódoláshoz, viszont el kell tudnia mondani a fejlesztőnek, hogy mi és honnan várható.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
Tigerclaw
nagyúr
válasz Gargouille #81 üzenetére
Sot jobb, olcsobb, hatekonyabb, biztonsagosabb alkalmazast is lehet fejleszteni, ha a felhore nem csak ugy tekintenek mint egy felhos VM, hanem kihasznaljak a szinergiakat, a szolgaltatasokat, de meg egy egyszeru AWS EC2 eseten is elhagyhato a klasszikus bastion hostos felepites es lezarhato teljesen az SSH port is es maris olcsobb es biztonsagosabb az egesz. Az ujabb appok mar kihasznaljak az SNS, SQS, Lambda es hasonlo szoglaltatasokat is, vagy felteszik az egesz CI/CD pipeline-t a felhobe, hogy ne kelljen kulso toolokat hasznalni.
Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.
-
Gargouille
őstag
válasz Tigerclaw #82 üzenetére
Igen, felhős szolgáltatások esetén ezekre érdemes is támaszkodni. De a saját üzemeltetésű alkalmazásoknál, infrastruktúránál, fejlesztéseknél viszont jó ha van valaki, aki átlátja összességében is biztonsági szempontból mint rendszert. Ilyesformán van létjogosultsága ennek a "szakmának" is.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
Tigerclaw
nagyúr
Ezek nem vedelmi szolgaltatasok, csak peldanak irtam fel, hogy a felhot nem erdemes csak infrastrukturakent kezelni, hanem kihasznalni minel jobban. A biztonsagot is erdemes ugy elerni, hogy megismerik a valasztott szolgaltato mit kinal es mivel tobbszaz szolgaltatasrol van szo, amiatt kellenek uj szakemberek. Secrets Manager, Parameter Store, Session Manager amik jobban illenek a security temakorbe, de ezek sem xss ellen valok.
Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.
-
Tigerclaw
nagyúr
válasz Gargouille #87 üzenetére
es meg csak a felszint kapargatja az az iras is. Mar az oriasi problema, hogy oriasi mertekben szegmentalodott az iparag programozasi nyelvek, library-k, frameworkok, toolok tekinteteben. Nem is csoda hogy nem hatekonyak a szoftverek, hiszen az ido nagy reszeben folyamatosan csak tanulnak. Minden cegnel mas stacket hasznalnak, mas felhot, mas toolokat, nem beszelve arrol ha sajat kreaciot hasznalnak, aminel eselytelen hogy legyen sajat tudas, tapasztalat. A szoftverfejlesztesi iparag evtizedek ota epiti a sajat Babel tornyat es csak annyit valtozott, hogy egyre gyorsabban epitik az ujabb szinteket.
Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.
-
k-adi
nagyúr
Alapvetően még mindig él a 1+3 elv
1. támogatni kellene a képzést / átképzést
2. rendesen megfizetni a szakembert
3. a kibervédelmet nem a sor végére söpörni, mint megoldandó gond
4. a manager ne higgye már okosabbnak magát a szakembernélEhhez persze alapvető gondolkodásbeli változás és pénz kell, abból is jó sok.
A kis cégek esetén ez még jó ideig gond lesz, legtöbb helyen még nem létező fogalom a kibervédelem. A nagyok közül meg amelyik hamarabb kapcsol (fizetésben, mentalitásban, feladatok kiosztásában, stb.), az marad talpon.