Új hozzászólás Aktív témák
-
bambano
titán
válasz
Rickazoid
#39
üzenetére
semmi ilyen probléma nem volt. az újságírók saját fontosságuk hangsúlyozására (merugye ők tájékoztatják a "közvéleményt") kitaláltak egy másik jelentést.
a hacker-cracker megkülönböztetés meg tök egyszerű: a szándék a lényeg. mert egyébként kb. ugyanazt csinálják. ha rossz szándékkal csinál valamit, akkor cracker, ha jó szándékkal, akkor hacker. kalapoknak semmi keresnivalója itt.
ragaszkodnék ahhoz, hogy a szakszlenget nem a blikk fogja meghatározni.
-
Rickazoid
addikt
A probléma az volt, hogy megváltozott a hacker szó köznyelvi jelentése, amivel semmi baj nem lett volna, viszont az IT világnak nem tetszett, mert a magukat hackernek tartó szakemberek ragaszkodtak a névhez és sértve érezték magukat. Igen, emiatt az újságírók okolhatók, akik azonban nem a cracker és a hacker közti különbséget nem értették, hanem hackernek kezdtek hívni mindenkit, aki visszaél vagy az IT tudásával vagy szimplán csak egy rendszerhez való hozzáférésével. Emiatt lett egy évtizednyi kavarodás után kvázi nemzetközileg elfogadott jó pár jelző, köztük a kalapok.
Mára kvázi nemzetközi standard a használatuk, csak sokan most meg ezt nem értik. De hogy a crackert hogy nem lehet értelmezni... Például "a cracker az, amit páran úgy hisznek, hogy fekete kalapos hackernek kell hívni." - úgy, ahogy van, marhaság. Effektíve bárki, aki kárt okoz vagy feltör valamit szoftveresen egy IT rendszerben, az egy cracker. Akkor is, ha white/grey/black hat hacker és akkor is, ha csak egy script kiddie. Szó szerint értelmezendő a szó, nem lehet félremagyarázni. A kalapok viszont nem ezt jelzik, egy hacker fekete kalapos lesz már akkor is, ha kiskapun vagy kulcsot kicsalva bemegy egy rendszerbe, ahonnan adatokat lop haszonszerzés céljából, de ettől még nem hívjuk crackernek. -
#36
BoB
veterán
Realradical
#35
BoB
veterán
válasz
Realradical
#35
üzenetére
Teljesen mindegy mi volt régen, észre kell venni hogy a világ változik.
-
-
Rickazoid
addikt
Technikailag nincs olyan kifejezésünk, hogy cracker, hanem különböző hackerek vannak, például white hat, black hat, grey hat, blue hat, no meg a lista végén kullog a script kiddie. A cracker egy informális, nem egyezményesen használandó kifejezés jellemzően olyan hackerekre, akik bármi módon, akár akaratlanul is, kárt okoznak egy rendszerben, illetve tágabb értelemben akik biztonsági megoldások nem megkerülésével, hanem feltörésével (crack) jutnak be egy rendszerbe.
-
#82729984
törölt tag
Ez azért linuxnál is csak inkább elvi lehetőség. Ott van pl. a híres hearbleed hiba az openssl-ben ami szintén nyilt forrású. 3 évig csücsült benne a hiba mire valaki észrevette. És ez nem az első és nem is az utolsó súlyos hiba az openssl-ben.
Pedig állítólag a nyilt forrás előnye hogy milyen sokan nézegetik a kódot... A valóság meg az hogy kód alapján hibát csak az vesz észre aki napi szinten fejleszti az adott kódot. Ilyenből meg adott esetben volt vagy 5 az egész világon.És akkor most képzeld el hogy hány kódsorból áll a linux kernel, és hány millió sorból áll egy linux ökoszisztémás rendszer, akármelyik disztró az összes feltelepülő cuccával.
Egy előnye azért van, ha egy hiba kiderül tényleg gyorsabban lehet alkalmazni a javítást. Az egy másik kérdés hogy éles production rendszert azért senki nem áll neki helyben patkolni, ott is meg kell várni amig a rendszer gyártója kiadja rá a hivatalos frissitést (bár ez jó eséllyel gyorsabban történik meg mint az ms-nél).
-
bambano
titán
azt mondja, hogy saját maga fordít linuxot, tehát attól tart, hogy backdoor van bennük.
képes ezt a backdoort megtalálni egyszeri átnézéssel?
és itt vakarja a tökét, ahelyett, hogy kernelt patkolna valamelyik linuxos cégnél?vagy mégiscsak az a valószínűbb, hogy nem találná meg azt a bugot, akkor meg tökmindegy, hogy gyári kernelt rak fel vagy sajátot...
-
dabadab
titán
-
#82729984
törölt tag
Ez oké, de a te ügyfeleid számára ez csak annyit jelent hogy nem a verisign titkolja el az esetleges lopást hanem te.
És ugyanigy ha elég "nagy" vagy akkor majd hozzád is odamennek a megfelelő állami hivatalok a megfelelő visszautasíthatatlan kérésükkel. Lehet nem az amerikai hanem majd a magyar az meg továbbadja az amcsinak.
Magyarországon az is elég ha párszor rádküldik a navot meg picit zárolják a céged számláját ha nem vagy együttmüködő.Szóval amig kis cég vagy és csak pár ügyfeled van addig kvázi azt csinálsz amit akarsz, ha meg nagy vagy több millió ügyféllel, akkor majd ugyanugy kopogtatnak az állami szervek meg a hackerek felváltva és tökmindegy ki és hol állítja elő a tanúsítványokat.
-
azbest
félisten
válasz
#82729984
#19
üzenetére
A konkrét ügyben persze, hogy nem old meg semmit, mert csak meghatározott tanúsítvány kiállítók certjét fogadja el a windows.
Ellenben, ha saját kliens-szerver alapú megoldást használsz, akkor tudsz saját kulcsokkal hitelesíteni, amelyiket nem lehet megszerezni egy harmadik féltől. Ha ellopják, azt tőlem kell ellopják, nem pedig egy külső cégtől, aki esetleg eltitkolja. Szerk: az egyértelműség kedvéért, teljesen saját kulcsról van szó, ami nem származik egyik cégtől vásárolható "megbízható" kulcsból sem.
A kíváncsi védelmi hivatalok sem kérhetnek nevemre szóló kamucertet tőlem, amit viszont a "megbízható" kiállító az ottani törvények szerint esetleg kiadhat nekik. (Volt az a titkosított levelezős cég, amelyik inkább bezárt, mert nem volt hajlandó átadni a kulcsokat.) Saját cert publikus kulcsát oda lehet tenni az alkalmazáshoz, hogy azt hitelesnek fogadja el. Lényegében ez történik a megbízható kiállítók publikus kulcs gyűjteményével is, csak alapból ott vannak az oprendszer vagy a környezet részeként
A fingerprintek kapcsán: a megbízhatóak kapcsán túl nagy a bizalom, de a böngészőbe felvett saját certnél régebben szólt, ha változott.
-
#82729984
törölt tag
A saját tanúsítvány nem igazán old meg semmit ez ügyben. Ha nem vagy elég nagy ahhoz hogy célponttá válj, akkor kvázi tökmindegy hogy hitelesíted magad, ha meg célpont vagy, akkor szélsőséges esetben akár ellopják a ca kulcsát lásd ezt az esetet.
Az én meglátásom szerint két fő probléma van:
az első egy univerzális probléma, miszerint az internetes vadnyugaton mára elértük azt az állapotot hogy senki nem képes magát megvédeni egy betöréssel szemben. Ennek megfelelően a biztonságtechnikai szoftvereknek is mára már kb. arra változott a szlogenjük hogy "nem az a kérdés hogy feltörtek-e a hálózatod, hanem hogy tudsz-e róla..." Mert az utóbbi pár évek tapasztalata az, hogy nem csak hogy nem képesek megvédeni a hálózatot, de az ügyfél még csak arról sem tud hogy már évek óta átjáróház a rendszere...A másik pedig maga az ssl implementációja, és különösképpen a hitelesítés. A mai napig nincs egységes, kidolgozott, automata rendszer a tanúsítványok globális visszavonására vagy épp terjesztésére vagy lecserélésére. Kb. ha biztosra akarsz menni akkor fejben kéne tartanod a tanúsítványokok fingerprintjét...
És akkor még nem is beszéltünk a konkrét implementációkról, mint pl. az openssl amin a fél világ biztonsága alapszik és amit kb. 4-5 fejlesztő csinál hobbyból... -
#18
DithenS
senior tag
bitblueduck
#9
DithenS
senior tag
válasz
bitblueduck
#9
üzenetére
igaz
Csak kicsit durva hogy a TV és a média mire képes. -
azbest
félisten
Nocsak, a VeriSign-nek volt már korábban is biztonsági problémája.
VeriSign Hacked: What We Don't Know Might Hurt Us [link]
Key Internet operator VeriSign hit by hackers [link]
Ahogy olvasom még 2010-ben volt az icidens és jól titkolták egy ideig, 2012-es cikkek vannak róla. Érdekes egybeesés, hogy 2010-es CA-val aláírt tanúsítvány van a képen, ami 2012-től érvényes. Elég kellemetlen, ha bármilyen tanúsítványt létre tudnak hozni az ő aláírásukkal. Lehet nem ártana visszavonni azokat és újat kiadni.
Ezzel is tovább erősödik bennem, hogy komoly esetben, ahol lehetséges, ott saját tanúsítványt kell használni. Az pedig hozzáadható a hitelesnek elfogadottak listájához. Szóval ha egy alkalmazás a saját szolgáltatásához saját szerverre kapcsolódik, akkor saját maga tudja kezelni, hogy saját kulccsal hitelesítsen, ne támaszkodjon harmadik fél láncára.
-
#16
Router
őstag
Realradical
#15
Router
őstag
válasz
Realradical
#15
üzenetére
Az ellen is véd?
![;]](//cdn.rios.hu/dl/s/v1.gif)
-
#15
Realradical
őstag
Realradical
őstag
Úgy érzem nőni fog mostanság az AppLocker népszerűsége.
-
#14
bambano
titán
bitblueduck
#13
bambano
titán
válasz
bitblueduck
#13
üzenetére
engem nem éget egy megoldatlan kérdés sem.
-
#11
bambano
titán
bitblueduck
#9
bambano
titán
válasz
bitblueduck
#9
üzenetére
köznyelvet a blikk online-on használnak.
-
#10
dajkopali
addikt
bitblueduck
#9
dajkopali
addikt
válasz
bitblueduck
#9
üzenetére
évekig következetesen igyekeztem elkülöníteni a kettőt - de a nyelvhasználat győzött: a "hacker" szó mindent visz, a szövegösszefüggés mutatja meg, miről is van szó - már csak nagyon speciális esetekben van értelme "crackert" vagy "hackert" használni
-
haxiboy
veterán
Sajnos ez pont olyan hogy míg valakinek egy ember hősnek számít addíg a másik oldalról terroristának. Minden nézőpont kérdése.
Ma már pont a TV miatt különítik el az etikus hackert és a blackhatokat...
És crackernek a főleg szoftverekkel foglalkozó "szakembereket" nevezik.
Akik viszont ezt a programot írták nagyon nagy elmék. Ilyen szinten elrejteni egy kártékony kódot biztosan nem kis feladat. De mint írtam nem tartom elképzelhetetlennek hogy a tanusítványokat egyszerűen megvásárolták, vagy kizsarolták a foxconntól, de ez csak az én nézőpontom. De általában egy ilyen volumenű, cégnél nagyon odafigyelnek az adatbiztonságra, némiképp ezért csalódtam is bennük ha valóban úgy fértek hozzá a tanusítványokhoz ahogy.
Általában én nem telepítek olyan programokat amik nem biztos forrásból származnak, de így már senki nem tudja hogy az a frissítés már tényleg a gyártótól jött vagy ártó szándékkal.
Bár teljesen mind1...lásd Amerikai állam bácsi kéri hogy legyenek kiskapuk, és feltörhető titkosítást szeretnének nehogy már valaki olyan dolgot csináljon amiről nem tudnak. -
DithenS
senior tag
Ez crackelés,hacker épít és fenntart tehát ők valójában jók,csak a hülye filmekben terjedt el hogy a hacker a rossz mert ennek jobb a hangzása.
De amúgy soha sem értettem mért jó egy embernek ha rosszat tud okozni másnak.
Persze aki írta annak ilyenektől nem kell félni mert valószínűleg zseni és írt a gépekhez.
És az átlaguser hozzá sem fér hogy na most akkor javítsunk ki párat 
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
it A Duqu 2.0 teljesen legális, megbízhatónak minősített tanúsítványokat használt, méghozzá nem is akárkiét.
- HiFi műszaki szemmel - sztereó hangrendszerek
- VPN topic
- Kerékpárosok, bringások ide!
- Milyen házat vegyek?
- Forrmell.enn
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- Samsung Galaxy A54 - türelemjáték
- Autós topik látogatók beszélgetős, offolós topikja
- CPU léghűtés kibeszélő
- Steam Deck
- További aktív témák...
- AKCIÓ! Dell Latitude 5440 14 FHD üzleti notebook - i5 1335U 8GB RAM 256GB SSD Intel Iris Xe
- ÚJ- Lenovo ThinkVision T24i-10 - 24" monitor - Számla, garancia
- LG 27GR95QL - 27" OLED / Limitált LoL Edition / QHD 2K / 240Hz & 0.03ms / NVIDIA G-Sync / FreeSync
- Asus TUF Gaming F16 (2024) FX607JV Grey - 16" / Intel Core i7-13650HX / 16GB / 1 TB SSD / NVIDIA
- ÚJ Dell Latitude 15 5550 - 15.6"FullHD IPS - Ultra 5 135U - 16GB - 512GB SSD - Win11 - 3 év garancia
Állásajánlatok
Cég: Laptopszaki Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest