Hirdetés
Új hozzászólás Aktív témák
-
#35
Realradical
őstag
HummeRC
#33
Realradical
őstag
A felsővezető azért nem foglalkozik az IT biztonsággal, mert gecerájos munka egy nagyméretű környezetben és tisztában van vele, hogy ha találnak is valamit azért nem dícsérik meg hanem lerohanja őket 112 auditor a dokumentációval és a kellemetlen kérdésekkel.
Ültem már le felfedezett biztonsági problémáról beszélgetni felső vezetővel, akitől a leghatározottabb nyilatkozat szóban az volt, hogy igen ezzel is foglalkozni kell majd. Tudom, jól, hogy ha esetleg anno felfedezték volna mások a gázt akkor engem b@sztak volna meg, mert, hogy én vagyok a nagybetűs rendszergazda. Pedig hivatalos felkérés nélkül senki nem fog éles rendszeren új biztonsági sémával próbálkozgatni.
Amire kilyukadni szerettem volna: rúgják csak ki azt a felső vezetőt is
-
rt06
veterán
az, hogy valaki nem adott penzt biztonsagi audit-re, kozelrol sem jelenti, hogy anyagi okok miatt nem volt audit - sokkal inkabb azt, hogy lenne ra ugyan penz, viszont amig nem ut be a menyku, addig senki nem veli ugy, hogy vedekezni kellene
a rendszergazdakat pedig leirhatnad reszletesen, hogy szerinted miert tartjak, de erosen ketlem, hogy pl a levelezorendszer fejlesztese is a munkakori leirasukba tartozna - marpedig itt valoszinuleg a levelezorendszer hianyossagai miatt voltak ily konnyeden visszafejthetoek a jelszavak (ha egyaltalan volt szukseg visszafejtesre)
annak pedig epp itt latod remek peldajat, hogy mi tortenik, ha a vezetoseg nem foglalkozik (tobbek kozt) it biztonsagi kerdesekkel, ez nem erv amellett, hogy nem is kell nekik, sokkal inkabb egy ujabb sajnalatos peldaja a nemtorodomsegnek (aztan meg lehet, hogy kesobb a durva pofaraesesnek)"Erre azért nem vennék mérget."
ahogy erzed
viszont tarsd eszben, hogy hetente legalabb egy-ket hasonlo, "vilagraszolo" botranyrol van hiradas, s mire kijon a legujabb, senki nem emlekszik ra, ki nevehez fuzheto a legutobbi
es ezek csak azok, akik nyilvanossagra hozzak az adatokat, sokkal kevesebb szo esik azokrol, akiknek nem az e-peniszuk novelese az elsodleges, es az erintetteket tajekoztatjak elsokent a hibarol (a nyilvanossaghoz legfeljebb az erintett reszerol mutatott teljes erdektelenseg eseteben fordulnak), hogy azokrol ne is beszeljunk, akik hivatasszeruen foglalkoznak hasonlokkal -
"hol irtam, hogy anyagi problemak miatt?"
itt:
"aki baszott biztonsagi audit-ra penzt kiadni"Erre:
"akar te is ugy vagy vele, hogy kiadsz egy7 munkat es vakon bizol az eredmenyben"
ez a válaszom:
Pedig ez így működik. Ezért kapja a fizetését. Viszont teljes felelősséggel tartozik az elvégzett munka iránt.Ez meg külön demagóg:
"de legalabb annyira hibas a felsovezetes is"
Több mint másfél évtized alatt, egy felsővezetőt sem láttam, aki IT biztonsági problémákkal foglalkozott. Ezért tartják a rendszergazdákat. Ha hiba van a rendszerben, az ő hátsójukat rugját szét először. (Szerintem nagyon helyesen.)"az it tarsadalom mar kinotte magat ebbol a korszakabol"
Erre azért nem vennék mérget.
-
rt06
veterán
"Őszintén, mit vártál?"
azt, hogy legalabb megnezed, honnan jutott el eddig a gondolatmenetig, mibol indult ki (hint: nem a tenyleges esemenyekbol, hanem egy forumtars jolmegmondasabol)"A felvennéd-e dolgon vitázóknak: megvan a Kapj el, ha tudsz? c. film? Ha nincs, nézzétek meg, tanulságos. Ja, és "Rablóból lesz a legjobb pandúr.""
az megvan, hogy az egy film, egy mese? (megha igaz torteneten is alapul, mert mintha remlene ilyesmi)illetve, mint #23-ban irtam, az it tarsadalom mar kinotte magat ebbol a korszakabol
-
rainmen
aktív tag
Őszintén, mit vártál? Mindig a legkisebb emberen, a sor legvégén található kisemberen verik el a port, rúgják ki, fenyegetik perrel, stb. A manager meg behúz egy újabb strigulát és megint biztosítva látja a nyugalmát kb. fél évre.
A felvennéd-e dolgon vitázóknak: megvan a Kapj el, ha tudsz? c. film? Ha nincs, nézzétek meg, tanulságos. Ja, és "Rablóból lesz a legjobb pandúr."
-
_Scythe_
aktív tag
Na ezt vártam végre. Mindenki a rendszergazdára ugrik, de aki dolgozott már nagyvállalati környezetben, az tudja, hogy ez kurvára nem úgy megy. Majd ha az IT vezető meggyőzi a marketing vezetőt (aki szent és sérthetetlen, mindenhez ért), aki ha sikerül felfognia, miről van szó, esetleg a vezetés fele gyönyörű prezentációkon keresztül bemutatja, hogy mennyit is nyerhet a cége, ha ennek a pár száz millás beruházásnak zöld utat ad, akkor esetleg megtendereztetve, fél év múlva a felét esetleg meg is lehet valósítani. 10-ből 1x.
Ez persze nem vonatkozik a password policy-re, amit nem is értek, én dolgozok windows-on, unix-on (solaris) és os/400-ban is, de _sehol_ nincs pucéran elküldve a jelszó. A min. 6 karakter, nagybetű/szám/jelek trióból pedig kettő kötelező. Ez standard '87 nyara óta. ..
És persze nem lehet ugyanaz, mint a felhasználó név + egy futó sorszám. -
-
-
nvyktor
aktív tag
Hát ez jó...
Mondjuk tényleg az e-mailbe is beletörölhetett volna.
Egyébként ez is kiváló példa arra, hogy a mai felhasználói társadalom mennyire elringatja magát téves biztonságérzetében...
1. könyörgöm plain text jelszó? intranetes környezetbe is md5+sha1-et használunk...
2. miért nem kötelező az alap generált jelszót megváltoztatni? És nem úgy, hogy megkapja a user a pass4username@gpod jelszót és lemódosítja ugyanarra... kb. 3 sorban meg lehet írni, hogy ne fogadja el...
3. jelszószabályok? (hossz, bonyolultság, stb)Jó azért látni, hogy van néhány ember a listán, aki komolyan veszi a jelszavát:sfrye, agrop, mkl3reproc, stb. Bár némelyik kicsit már túlzás, de akkor is.
-
-
Dany007
veterán
Őszintén?
Ha egy ilyen nagy horderejű szervezetnél felelnék a biztonságért - mint mondjuk Nasa, Pentagon, vagy a Brit tengerészet - akkor igenis alkalmaznám.
A pénz nagyúr és mindenki megvehető. Meg mondjuk kormányzati szinten fel lehet neki ajánlani, hogy vagy a börtön élete végéig vagy a meló jópénzért.
Meghát egy ilyen után nyilvánvaló, hogy jóval többet ért a dologhoz, mint a jelenleg alkalmazott biztonsági szakemberek. -
Az ilyeneket általában nem bebörtönzik, hanem az értelmesebb "sértett" jó pénzért alkalmazza.
Itt nemcsak a hírnév a lényeg, hanem az hogy meg tudta csinálni. Az elv. (Meg persze némi jogos arrogancia, hogy az ott dolgozó rendszergazdák miért is kapják a fizetésüket.
![;]](//cdn.rios.hu/dl/s/v1.gif)
)
A cikkben felsorolt hivataloknál és cégeknél pedig joggal várja el az ember szerintem, hogy teljes profizmussal dolgozzanak. Neki sikerült bebizonyítani, hogy nem teszik. Ügyes.
-
Plaintext jelszó? MD5, SHA1? Nem csoda hogy feltörte.
[ Módosította: dajkopali ]
-
Hiftu
senior tag
Kiváncsi vagyok mikor fogják bedugni a dutyiba.
Mert ez ugye büntetendő kategória.
A hírnév lehet fontos, de csak mértékkel.
Ha már kihirdette, hogy sikerült betörni, akkor teljes password és e-mail cim törlés.
Ez így lenne etikus(abb). Igy most van egy csomó új email a spammereknek.
A legetikusabb persze csak az EISA-nak egy levél, hogy nézessék át a rendszerüket
egy biztonsági ellenőrző csoporttal. -
azbest
félisten
a komolyabb kár is viszonylagos.. lehet hogy nem is kevés összegre rúg... más kérdés, hogy a "kárt" az okozza ilyen esetben, hogy kiderülnek a hibák, így semmivé válnak a plecsnik és biztonsági tanúsítványok, amelyre a managerek gerjednek. Szóval azért hogy átvizsgálják a gépeket, majd "szakértők" adnak róla új papírt hogy minden rendben, na azért jó vastagon fog a ceruzájuk. Ezért nem szeretik szerintem a kéretlen segítséget.
-
#6
WonderCSabo
félisten
WonderCSabo
félisten
Hmm, úgy látom soknak a proxy passw-ból ki lehet találni a passw-t is...
FRENK1988: Hírnév.
-
Flame_
tag
"igaz a jelszavakba beletörölt, hogy ne legyenek felhasználhatóak." - hát, mondjuk fmartinelli-nek erősen látszik így is, hogy mammamia kétszer. A pass4gpod-ot látva is viszket az ember keze, hogy kipróbálja mit lehet kisakkozni ezzel a formulával még a jó Fabio-nak
Alatta mlavalle-nek jelszava is mlavalle, közvetlenül alatta meg egymás után négy felhasználónévhez a felhasználónév+2007 formula a jelszó.És akkor csak random belenéztem
Ennyi erővel miért nem tette közzé rendesen?edit: "ő volt az aki SQL-injenction támadást hajtott végre a MySQL.com ellen" - Jajjdeflegma
![;]](http://cdn.rios.hu/dl/s/v1.gif)
)
de igazad van, jobb ha nem tudsz róla 
Új hozzászólás Aktív témák
it A támadó az akció megtörténtét és a megszerzett adatokat is nyilvánosságra hozta, de a jelszavakba beletörölt, hogy használhatatlanok legyenek.
- Bomba ár! Lenovo ThinkPad E14 Gen2 - Ryzen 7 4700U I 16GB I 256SSD I 14" FHD I Cam I W11 I Garancia!
- Bomba ár! Lenovo L13 Yoga Gen4 - AMD Ryzen 7 7730U I 16GB I 256SSD I 13,3" Touch I W11 I Gari!
- Bomba ár! Lenovo ThinkPad X395 - AMD Ryzen PRO 5 I 8GB I 512GB SSD I 13,3" FHD I Cam I W11 I Gari!
- Bomba ár! Lenovo ThinkPad X280 - i5-G8 I 8GB I 512GB SSD I 12,5" FHD I HDMI I Cam I W10 I Gari!
- Bomba ár! Lenovo ThinkPad T495 - AMD Ryzen PRO 5 I 16GB I 256GB SSD I 14" FHD I Cam I W11 I Gari!
- Bomba ár! Lenovo ThinkPad L13 Gen2 - i7-1165G7 I 16GB I 256SSD I 13,3" FHD I HDMI I W11 I Cam I Gar
- BESZÁMÍTÁS! GIGABYTE X570 AORUS MASTER alaplap garanciával hibátlan működéssel
- Bomba ár! Lenovo ThinkPad T490s - i5-8GEN I 16GB I 512SSD I 14" FHD I Cam I W11 I Gari!
- Bomba ár! HP EliteBook 840 G3 - i5-6GEN I 8GB I 256GB SSD I 14" FHD I Cam I W10 I Garancia!
- Samsung A04S 32GB / Újszerű állapotban / 12 hónap állapotban
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest