- Felháborodott az Apple, a Meta az iPhone-felhasználók üzeneteit akarja olvasni
- A luxusmárkáknak kell a bitcoin, az USA jegybankjának nem
- Letiltja az USA a politikusokat a telefonhívásokról és szöveges üzenetekről
- Nagy áttörés jön a napelemek piacán, nem kell annyi hely a paneleknek
- Belenyúlt az USA az Epic Games igazgatótanácsába, nyomoz az NVIDIA
Új hozzászólás Aktív témák
-
Egon
nagyúr
Ebben tökéletesen igazad van, az adott kontextusban. Én általánosságban beszéltem.
Jó pár olyan fejlesztő van, aki a lehető legkevesebb energiával, kizárólag a működésre koncentrálva fejleszt, még csak nem is hallott biztonságos programozásról.
Egyetlen példa. Azóta már megszűnt egészségpénztár, ahol tag volta;: kértem jelszóemlékeztetőt, erre egy alkalmazott saját e-mail címéről (!) elküldték a régi jelszavam (!!!). Ergo nem hashelve tárolták a jelszót, és még arra is lusták voltak, hogy automatizmust építsenek: az ürge manuálisan kikereste az adatbázisból a jelszavam, majd megküldte...
Pedig ezeket a cégeket elvileg ellenőrzik, auditálják (a Hpt elég szigorúan szabályozza a kérdést). Szerinted mi lehet egy olyan cégnél, ahol nincs felügyelet, stb?"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Elolvastam az eredeti publikációt is, és továbbra is félkamunak tűnik a sztori, mert:
(1) Említi az egymillió céges alkalmazást: a két nagy app store-ban van összesen 5 millió alkalmazás, ebből a hivatalosan 8% "üzleti" alkalmazás, de ennek természetesen csak töredéke lehet céges alkalmazás.
(2) A támadhatóság és az adatmennyiség mértéke teljesen hasraütésszerű (erre ők is utalnak). Igazából találtak 21 alkalmazást, amivel tényleg probléma lehet, és ebből extrapolálták a mértéket. Egyet jól ki is elemeztek, és ebből látható, hogy egy traktorgyártó cég alkalmazása elér egy nem titkosított adatbázist, ahová telemetriai adatokat tud feltölteni: merre jár a traktor, mennyit permetezett, stb. Talán nem kéne minősíteni, hogy ez milyen mértékű fenyegetettség - kb. semmilyen.
Ettől függetlenül abban igazuk van, hogy erre felhívták a figyelmet, de mégis úgy érzem, mindenki csak nagyobbat akar mondani, teljesen mindegy milyen áron...
-
#18
#82729984
törölt tag
Mooka-Miki
#6
#82729984
törölt tag
válasz
Mooka-Miki
#6
üzenetére
Csak az a baj, hogy ez a fajta a megtérülés kevéssé számszerűsíthető az éves tervben, míg a kivédésére szánt extra IT költség azonnal megjelenik kiadás oldalon, ami csökkenti a profitot.
A többit már elmondták a többiek.
Annyit azért még hozzátennék, csak hogy árnyaljam a képet, hogy sajnos gyakorlatilag a teljes informatikai ökoszisztémában csapnivaló a biztonság. Gyakorlatilag már a legalapabb protokollok (pl. dns) is támadhatóak, feljebb meg aztán jönnek a bugoktól hemzsegő operációs rendszerek és egyéb szoftverek, azaz a helyzet olyasmi mintha lenne egy zsákunk 1000 lyukkal és ha krözus összes pénzét ráköltenénk akkor is csak a fele lenne betömve.
-
#15
Slack
tag
Mooka-Miki
#11
Slack
tag
válasz
Mooka-Miki
#11
üzenetére
Szerintem eléggé le vagy maradva. Még a '80 -as és 90' -es években fontosak voltak a megalapozott döntések. Ma már a vállalatok rövid távon gondolkodnak, mert a management célja, hogy minél több jutalékot kapjon. Ezt úgy tudják elérni ha növelik a profitot. A profit növelésének egyik módja a költség csökkentés. Az IT biztonságon meg marha jól lehet spórolni. (Még egyszer szeretném hangsúlyozni a rövid távot. A managementet úgyis váltják pár évente. Nem érdekük hosszútávra tervezni.)
Egyébként, hogy a példádra reagáljak volt olyan ügyfelem aki fékbetéteket gyártott. A rendszerek rendelkezésre állása fontos volt számára, mert kellett a termeléshez. Az IT biztonság kicsit sem érdekelte őket.
-
sztanozs
veterán
Nagy ("rendesen" auditált) cégeknél biztosan (nagyon valószínűen) így is van, de minimálbüdzséből gazdálkodó cégeknél (vagy államilag túlárazott projektekben) biztosan nem foglalkoznak ilyen részletkérdésekkel.
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
"A feljesztő kirakatta az adatbázist a netre, ment nem volt kedve 3-tier architektúrára tervezni, vagy egyszeráűen csinált egy authentikáció nélküli pass-through db-query webservice-t..."
Biztosan én dolgoztam hiperbiztonságos helyeken (nem), de nem tudom elképzelni egyiket sem, szerintem ezt mindenhol egyből elutasítják.
-
sztanozs
veterán
Úgy, hogy nem védett a hálózat. A feljesztő kirakatta az adatbázist a netre, ment nem volt kedve 3-tier architektúrára tervezni, vagy egyszeráűen csinált egy authentikáció nélküli pass-through db-query webservice-t...
Elég megnézni itt mennyi igény merült eddig fel úgy, hogy a PH ez nem is egy kifejezetten feljesztői fórum - és ezek (ennek megfelelő) a megoldások előbb-utóbb a Google Play Storeban kötnek ki...
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
#11
Mooka-Miki
senior tag
Slack
#10
Mooka-Miki
senior tag
Ok de egy jól menő/fejlődő cég valahonnan eljutott valahova mert megalapozott üzleti döntéseket hozott. Nem értem miért nem tartozik a megalapozottság körébe kikérni IT témában az illetékesek véleményét.
Nem vagyok ilyen együgyű csak próbálom eszmefuttatásokkal igazolni miért fontos autógyártásnál a fékek ellenőrzése de a távoli felügyeleti és beavatkozó rendszerek vizsgálata már nem. (Most hoztam egy példát ami kicsit távolabb áll a cikktől de kb ez a kategória..)
Szerk.: OFF.
[ Szerkesztve ]
-
#10
Slack
tag
Mooka-Miki
#6
Slack
tag
válasz
Mooka-Miki
#6
üzenetére
Sajnos a döntéseket nem IT szakemberek hozzák. Sőt eddigi tapasztalataim szerint legtöbbször ki sem kérik a hozzáértők véleményét.
Megtérülni pedig az Ő szemszögüktől sosem fog, mert számukra nem az a megtérülés, hogy többé nem sebezhetőek a rendszerek. A management szempontjából a megtérülés dollárban értendő. -
dajkopali
addikt
igen, nekem is ez jutott elsőre eszembe
de gondolkodjunk a támadók fejével: van 43 terányi adatuk innen-onnan
eszük van, számítógépes kapacitásuk van, megfelelő szűrőkkel kihoznak ebből egy megányi olyan adatot, ami a megtámadott rendszerekből kifelé vezet, és a harmadik fél ilyesmire nem számít
bejutottak a következő helyre, aztán ott megint megszerzik az adatokat, elemzik, lépnek tovább
vagyis ebben a hálóban egyetlen gyenge pont is elég lehet, hogy eljussanak oda, ahová akarnak"fácánjava calvadosban/teljesítünk, egyre jobban " - Konok Péter
-
"Az Appthority szakemberei több mint egymillió vállalati iOS-es és androidos alkalmazás hálózati forgalmát elemezték..."
Lehet, hogy csak a fordítás volt béna, de ha tényleg ezt írták, akkor ez már önmagában hiteltelenné teszi az egészet.
Másodszor pedig nem értem, ha védett volna a hálózat / bejelentkezés / stb. akkor hogyan férnének hozzá a backend szerverekhez.
-
Egon
nagyúr
Na ja. Nekem úgy tűnik, az Appthority feltalálta a langyos vizet.,
De legalább megtudtuk, hogy a mobilos vállalati alkalmazások cca. 2%-a sz*rul tervezett és/vagy implementált kód...![;]](//cdn.rios.hu/dl/s/v1.gif)
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
#5
Slack
tag
Mooka-Miki
#1
Slack
tag
válasz
Mooka-Miki
#1
üzenetére
Igen, az IT biztonság baromira rossz. Ennek az egyik oka, hogy ha jól akarják csinálni, akkor baromira sokba kerül, viszont bármennyit is költenek rá semmi extra profitot nem hoz. A cégek többségénél nem hajlandóak megfizetni egy jó IT csapatot. (Lásd British Airways.) Ahol esetleg valahol megfizetnek pár embert, ott is túl vannak terhelve. De ha még van is egy megfelelő létszámú jó szakember gárda, akkor is sokszor elavult környezetet kell üzemeltetniük.
Egy másik probléma a szándékos backdoor -ok, gyengített titkosítások alkalmazása. Sajnos mihelyst ezekre fény derül lesznek akik vissza fognak vele élni.
Harmadrészt megemlíteném a nem megfelelően képzett, illetve nem megfelelő hozzáállású felhasználókat is.
Negyedrészt ahogy már itt a fórumon is felmerült nincs semmilyen elfogadott minőségbiztosítási rendszer a szoftverekre. Nem akarok flame -et kelteni, de például a Windows évtizedek óta hemzseg a biztonsági hibáktól -amiket az MS egyébként javítgat is-, de valahogy még senkinek nem jutott eszébe, hogy kicsit számonkérje rajtuk a dolgot. -
#3
gabor7th
addikt
Mooka-Miki
#1
gabor7th
addikt
válasz
Mooka-Miki
#1
üzenetére
Persze, hogy az. Eddig lehetett hinni abba, hogy a bizotnsági programok megoldják. Mostmár évek óta, már a gyártók sem hiszik.
"Az antivírus halott, a hackerek pedig úgyis bejutnak a gépeinkre"
"Egy meglepő bejelentést tett a napokban a vírusirtó szoftverek egyik legnagyobb szállítójaként ismert Symantec. A Brian Dye, a cég egyik elnök-helyettese ugyanis kerek perec kijelentette, hogy az antivírus technológia gyakorlatilag "halott", és bármit teszünk, a hackerek úgyis be tudnak jutni a gépeinkre."
"Így Dye szerint a cégeknek egyre inkább arra kell összpontosítaniuk, hogy olyan megoldásokat nyújtsanak, amik képesek a bejutás esetén keletkezett károk minimalizálására - mert magát a bejutást megakadályozni úgysem tudják az esetek legnagyobb részében."
Ha nem raksz netre mindent maradi vagy, ha megteszed ellopják a céged dolgait. Épp ezért a legújabb helyes gondolkozás az, hogy átgondolod mi mehet netre és mi nem, ugyanis a rendszerek sérülékenyek és azok is maradnak örökre. Tehát nagyon fontos dolog nem mehet netre. Épp ezért is hülyeség pl. okosautókat gyártani, ha a hackerek kinyirhatják vele a családod nem lesz piaca. És még egyéb dologok amik nem úgy lesznek ahogy a techcégek szeretnék.
Már korábban megkértünk, hogy ne linkeld a blogod!
[ Módosította: #65675776 ]
A számítástechnika új negatív trendjei: ujtechkor.blog.hu
-
gabor7th
addikt
Ha netre kötöd vállalatod fontos dolgait, azt el fogják lopni, ha fontos szereplő vagy. Ha nem tartod magad fontos szereplőnek, de felhőbe rakod akkor pedig viszik az összes többivel együtt egybe. És szóval ez a hír nem döbbenetes hanem ez a természetes állandó állapot.
A számítástechnika új negatív trendjei: ujtechkor.blog.hu
-
#1
Mooka-Miki
senior tag
Mooka-Miki
senior tag
Annyi ilyen hírt látok, kérdezném az ebben nálam jártasabb kollégákat: Tényleg ennyire sz*r az IT biztonság úgy "en bloc"?
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
it Kutatók a lehetséges kockázatok egy eddig különösebb figyelmet nem kapó változatát vizsgálták, és döbbenetes eredményeket kaptak.
- SteelSeries Arctis Nova 1 Gamer Fejhallgató /// Újszerű // Számla + Garancia
- Logitech G335 vezetékes fejhallgató /// Újszerű // Számla + Garancia
- AKG Harman K72 Dj fejhallgató // Újszerű // Számla + Garancia
- Logitech G935 Vezeték Nélküli Fejhallgató /// Újszerű // Számla + Garancia
- Sennheiser Epos GSP 370 Gaming fejhallgató // Számla+Garancia //
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest