Hirdetés
- Feháborodott az Apple, a Meta az iPhone-felhasználók üzeneteit akarja olvasgatni
- A luxusmárkáknak kell a bitcoin, az USA jegybankjának nem
- Letiltja az USA a politikusokat a telefonhívásokról és szöveges üzenetekről
- Nagy áttörés jön a napelemek piacán, nem kell annyi hely a paneleknek
- Belenyúlt az USA az Epic Games igazgatótanácsába, nyomoz az NVIDIA
- Windows 11
- Xiaomi AX3600 WiFi 6 AIoT Router
- Vodafone otthoni szolgáltatások (TV, internet, telefon)
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- DIGI kábel TV
- Amazon Prime Video
- Nem sietett az EU-s hatóság, 6 éve történt hiba miatt büntette meg a Metát
- Nagy áttörés jön a napelemek piacán, nem kell annyi hely a paneleknek
- Asustor NAS
- Letiltja az USA a politikusokat a telefonhívásokról és szöveges üzenetekről
Új hozzászólás Aktív témák
-
gregory91
senior tag
De aztán nagyon a ló rossz oldalán ülsz: Egy fekete kalaposnak esze ágában nincs szólni,hanem kérdés nélkül ellopja,a banki adatod és vásárol is velük.A többivel nem sokat tud kezdeni.Iskolai adatok közt elég erős lenne a "Netán ma divatos családi pornóképeihez, vagy éppen "másságát" erősen demonstráló képekhez." adatok tárolása.
Emellett búcsúul tönkreteszi a fájljaid titkosító vírusokkal.Én mondjuk nem bíznám olyanokra az ilyen adatokat akik nem képesek elegendő védelmet biztosítani ezek kiszivárogtatása ellen.[ Szerkesztve ]
Remélem itt elfér - https://sites.google.com/site/geriprojekt/ - https://github.com/kgregoryan - Az ember téved,a gép hibázik.
-
sztanozs
veterán
Ha mar szolt, akkor mar valamennyire biztos etikus. Egy sima orosz/kinai/eszakkoreai hacker nem fog szolni, csak lenyulja a bankszamladat, utana meg feltol egy ransomware-t a gepre, hatha azt is kifizeted.
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
#237
Gargouille
őstag
scansat
#231
Gargouille
őstag
A saját példádban valószínűleg igazad van, csak az a baj, hogy ez nem analóg a KRÉTA feltörésével. Jellegéből fakadóan egészen más a megítélés, mondom ezt úgy, hogy az én gyerekeim adatai is a KRÉTA-ban vannak. Azt gondolom, hogy itt senki nem "felmenteni" akarja a hackereket, nem arról van szó, hogy tapsolna hozzá bárki - én legalábbis biztosan nem -, hanem inkább arról, hogy az amúgy normál esetben elítélendő módszerükkel rávilágítottak egy sokkal komolyabb problémára (mely probléma viszont vastagon a közre tartozik) és ami más módon sohasem derült volna ki.
Mindezek fényében - szerintem - azért kicsit más megvilágításba kerül ez a cselekmény, mint egy "sima" hacker támadás. Ha úgy tetszik a társadalmi haszna meghaladja az okozott kárt, legalábbis abban az esetben ha valóban megállt ennyiben a dolog és például nem élnek vissza az adatokkal.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
#236
aprokaroka87
nagyúr
scansat
#231
-
fatal`
titán
Egyrészt a banki adatokat 2FA védi (vagy írhatnék 3FA-t is, sok esetben), másrészt nem tárolunk jelszavakat a böngészőben, jelszókezelőt használunk (ahol a db-t megfelelően erős jelszóval védünk és nem írjuk fel sehova), minden sitehoz másik jelszóval.
Azonkívül az itthoni hálózatomra senki nem költött el több milliárd ft közpénzt.
Egyébként, ha valóban etikus, akkor még meg is köszönöm neki, hogy szólt, hogy valami szar.
[ Szerkesztve ]
-
scansat
tag
Azért én kíváncsi lennék, hogy pár "megértő" embernek a számítógépét kérés/kérdés nélkül feltörné egy önmagát etikus hackernek nevező, majd közölné vele hogy itt és itt hibás a jelszava, WiFi beállítás, Win beállítás..stb akkor mennyire parázna be, hogy minden banki adatához hozzáfért az illető, minden adatához, jelszavaihoz, regisztrációihoz játékokban, kormányoldalon..stb. Netán ma divatos családi pornóképeihez, vagy éppen "másságát" erősen demonstráló képekhez.
És mennyire bízna meg egy vadidegenben, hogy ha ő nem is él vele vissza, de nem adja el a darkneten jó pénzért az infókat és lopja el az életét 1 héten belül egy Orosz vagy É-Koreai hacker? -
bigyo108
aktív tag
Sziasztok,
Ha itt bármi is megfelelne a GDPR-nak, akkor nem kellett volna már értesíteni minden usert?
Kiadni egy hivatalos tájékoztatást?
Minimum Új jelszavakat generálni?1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
(2) Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.A PC visszafelé MINDIG kompatibilis lesz,.... MINDENRE!! :)
-
Ok, én általánosságban írtam a szerződéses követelményekről, akkor viszont én értetem félre a beszélgetést.
Bocsánat.Igen, a konkrét esetben mivel a ők fejlesztették és üzemeltették a rendszert, így adatfeldolgozók, tehát adatfeldolgozói szerződéssel vagy legalábbis kiegészítéssel kellett volna rendelkezniük. A GDPR betartása magától értetődik aztviszont szerződésbe kellett volna foglalni, hogy melyik IBTV biztonsági osztályt kell teljesíteniük, és hogy ezzel kapcsolatban mik az elvárások az 41/2015 BM rendelet alapján. És ami szintén fontos, ezen előírásoknak az ellenőrzése ami szintén kimaradt az megrendelő részéről, vagy nagyon csúnyán megvezették.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
bambano
titán
Nem arról beszélünk, hogy (nem) KELLENE hozzáférnie.
Hanem arról, hogy ebben a konkrét esetben hozzáfért.Szerintem nem tértünk el a topic témájától, az, hogy ezek a fejlesztők milyen jogszabályi keretek között vonhatók felelősségre, az eléggé ontopic.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Miért is kellene a fejlesztőnek az éles adatokhoz hozzáférnie? Mi köze hozzá?
Ok, csak annyit írtam, hogy nem üzemelteti a rendszert, az többit nem írtam bele.Ha nem fér hozzá az adatokhoz akkor minek akarna adakezelői, vagy adatfeldolgozói felelősséget magára vállalni egy szerződésben?
(Nem kezdünk eltérni kicsit a topic témájától?)
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
bambano
titán
"Ez szerintem nem feltétlen igaz.": de, totálisan igaz.
a szerződésedben nem kell kitérni arra, hogy tartsa meg a törvényeket, mert egyébként is köteles megtartani.
másrészt meg ha a fejlesztő cég alkalmazottjának van jelszava az éles rendszerhez és nem csak anonimizált tesztadatokkal dolgozik, akkor módja van adatkezelési döntéseket hozni, tehát adatkezelő.
ha nem akarják, hogy adatkezelő legyen, akkor írásos utasítást kell kapjon az adatok kezeléséről és akkor adatfeldolgozó lesz.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
sztanozs
veterán
vagy inkabb, mert mindenki elvarja, hogy oda legyen irva, fuggetlenu attol, hogy van-e hozza koze.
Utobb meg majd hivatkoznak ra, hogy de az XYZ szoftver hasznalata mar biztositja a GDPR megfeleloseget
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
Attól, hogy az adatátadás secure, a programnak attól még nem kell jogszabályoknak megfelelnie.
De egy kérdés, ami szintén ide vág, szerinted miért emelik ki sok adatkezelő szoftvernél, a GDPR megfelelősséget? Mert egy részük bizony nem teljesíti az előírásokat, viszont olcsóbb.
Marika gépén fut a program ami jobb esetben jelszavazva van, a hivatalos adatátadáshoz exportálják az adatokat és feltöltik a megadott helyre, vagy online számlázóval kiszámlázzák.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
sh4d0w
félisten
Aligha hiszem, hogy ez igaz lenne egy személyes adatokat kezelő szoftverre, mert ha API-on keresztül is adja át az információt, képesnek kell lennie azt secure módon megtenni.
Mindazonáltal a tárgyalt bitszemétre ez nem igaz, semmilyen formában.
https://www.coreinfinity.tech
-
Ez szerintem nem feltétlen igaz.
A GDPR adatkezelőt és adatfeldolgozót említ, akiknek feladataik és felelősségük van.
A szoftver készítője egyik sem, mert nem üzemelteti és nem végez adatfeldolgozást sem.Lehet számlázó szoftvert is csinálni, de ha nem felel meg az előírásolnak akkor nem ér semmit a számlakép. Az ügyfélnek kell eldöntenie megköveteli-e a jogszabályi megfelelést, vagy elég neki ha elkészül a számlainfó és api-n átadja egy másik rendszernek.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
sh4d0w
félisten
Még mindig elbeszélünk egymás mellett.
Egy ilyen szoftvernek nem az általad, általam, vagy XYZ által felálított feltételeknek kell megfelelni, hanem elsőként és mindenek felett a törvényeknek - például a hatályos adatvédelmieknek, GDPR-nak ésatöbbinek. Mindezt anélkül, hogy a megrendelőt emlékeztetni kell rá. Ezek után jönnek a megrendelő által megfogalmazott keretek: ilyen inputra olyan output plusz ilyen-olyan-amolyan user interface.
https://www.coreinfinity.tech
-
"Ez így van, nem fontos. Ellenben az általad említett feltétel nem valósult meg."
Melyik feltétel nem valósul meg abból amit említettem? Ha a szerződésbe nincs beleírva, hogy csak legális szoftverekkel történhet a fejlesztés, akkor pont nem lehet felelőssége vonni a fejlesztőt emiatt.
A Kréta esetén is hasonló a helyzet, nem az gond, hogy nem vagy nem megfelelő keretrendszert használt, hanem hogy az átadott termék sérülékenységeket tartalmaz.
Ha rossz az átadott termék, akkor engem mint megrendelőt pont nem érdekel, hogy a legújabb keretrendszert használta-e. Ha rossz a termék nem veszem át.
Egy friss, naprakész keretrendszerben is lehet hulladék programot írni, meg egy elavult rendszerben is lehet jó programot írni. Egy friss keretrendszerben kevesebb idő ráfordítással lehet biztonságos és jó programot csinálni, egy elavultban meg hosszabb idő.
flexxx2: "Adathalász mailre se szabad vagyis nem ajánlatos kattintani, akkor se ha tudja, akkor se ha nem tudja."
Miért ez szerepel a munkaszerződésben? Nem, ott ideális esetben az van megkövetelve, hogy az IBSZ-t be kell tartani. Az IBSZ-ben pedig benne van, hogy email esetén mindig megnézzük a feladót és a linket, hogy szabad-e kattintani rá.[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
flexxx2
őstag
"Akkor ezek szerint ha valaki nem mondja nekem, hogy ne üssek el valakit autóval, akkor szabad?"
Ennek a példának nem sok köze van a témához.Pedig jó a példa. Adathalász mailre se szabad vagyis nem ajánlatos kattintani, akkor se ha tudja, akkor se ha nem tudja.
[ Szerkesztve ]
-
sh4d0w
félisten
"...A szoftver fejlesztés esetén kit érdekel, hogy milyen keretrendszert használ, ha az átadott termék megfelel az elvárt a jogszabályi és biztonsági követelményeknek..."
Ez így van, nem fontos. Ellenben az általad említett feltétel nem valósult meg.
https://www.coreinfinity.tech
-
joghurt, sh4d0w: Értem, amit írtok, hogy ez az elmélet. Ezzel egyet is tudok érteni, hogy így kellene csinálni. De a valóságnak sajnos köze sincs hozzá. Ha így lenne, akkor nem lenne ASP, KIRA és még sorolhatnám.
joghurt "Egy szállítási szerződésbe sem kell beleírni, hogy a sofőrnek be kell tartania a Kreszt."
Ez így van mert az magánügy, hogy hogy viszed el a cuccot, de szinte biztos, hogy a ti szerződéseitekben is szerepel, hogy késedelmes fizetés esetén a ptk szerint kamatot számoltok fel ami viszont a kettőtök közötti viszonyra vonatkozik."Akkor ezek szerint ha valaki nem mondja nekem, hogy ne üssek el valakit autóval, akkor szabad?"
Ennek a példának nem sok köze van a témához.A szoftver fejlesztés esetén kit érdekel, hogy milyen keretrendszert használ, ha az átadott termék megfelel az elvárt a jogszabályi és biztonsági követelményeknek.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
-
sztanozs
veterán
Miert kene ujrairni? Csak a frontendet kell rancbaszedni nagyon gyorsan - elso korben -, utana lehet majd csendben fixalgatni a tobbi low-risk cuccot, ha lesz akit erdekeljen...
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
joghurt
addikt
De. Nem kell külön beleírni, hogy a hatályos jogszabályokat be kell tartani, mert azokat amúgy is be kell tartanod. Egy szállítási szerződésbe sem kell beleírni, hogy a sofőrnek be kell tartania a Kreszt.
És igen, a webshopok jelentős részét be lehetne zárni. Néha van is kampányszerű bírságolási dömping, de a bezárás helyett az inkább pénzbeszedésre megy rá.
A tej élet, erő, egészség.
-
joghurt
addikt
válasz
sztanozs
#207
üzenetére
Ki beszélt itt ilyesmiről?
Én a személyes felelősség kérdését boncolgatom (egy következmények nélküli országban).
Egy boldogabb országban ráadásul a fejek hullásán túl az adott fővállalkozót évekre kizárnák az informatikai közbeszerzésekből.A Kréta a jelek szerint úgyis nulláról újraírandó. Azt pedig mindegy, hogy a mostani, vagy egy új (hozzáértő) társaság végzi el. Addig pedig körbe kell bástyázni legalább a hozzáférés szűrésével és naplózásával.
A tej élet, erő, egészség.
-
"Senkinek nem kell felhívni a figyelmét arra, hogy a törvényeket tartsa be, mert ez alap"
Sajnos nem az. Ami nem szerepel a szerződésben azt nem kell teljesíteni. Ha úgy lenne, ahogy te leírtad , az állami szoftver fejlesztések jelentős része, illetve nagyon sok piaci cég által fejlesztett szoftver, amik a közigazgatásnak készültek nem is létezhetnének, max gondolati szinten.
A webshopoknak szerintem szintén legalább 3/4 része nem létezhetne.Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
sztanozs
veterán
-
sh4d0w
félisten
Arra alapozom, hogy ez a bitszemét személyes adatokat kezel. A személyes adatok kezelésére vonatkoznak törvények. Senkinek nem kell felhívni a figyelmét arra, hogy a törvényeket tartsa be, mert ez alap (a törvény nem ismerete nem mentesít a törvénytelenségből eredő következmények alól).
Ergo mivel a személyes adatok kezelése az elvárható gondossággal nem történt meg, így a szállító nem teljesítette a szerződésben foglaltakat.
https://www.coreinfinity.tech
-
bambano
titán
felmerülhetne a gyanú, hogy a beszerzéshez kapcsolódó szerződést a teljesítő fél írta...
sőt, akár az is felmerülhetne, hogy a közbe-szerzést is az a cég írta, akit előre informálisan kiválasztottak.
mindkét történet előfordult már államigazgatásban.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
flexxx2
őstag
Pedig nem állami cégnél is hiányos az átvétel, minél nagyobb a megrendelő cég, és minél kevesebb a szakképzett IT-s a megrendelőnél.
Ezért van az, hogy a bizalom és referencia adja a fejlesztő cég értékét. Nem tudom a Kréta fejlesztő cége milyen referenciával rendelkezik, de nem is akarom megnézni, mert félek csak még dühösebb lennék. -
-
Egon
nagyúr
Mint mondottam, jópár hasonló szerződést láttam a saját szememmel, egy kivételével egyikben sem volt benne. Innentől kezdve max. találgatni lehet, hogy esetleg talán benne lehetett.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Én azt gondolom, hogy az egész fejlesztés eleve nem a törvényi keretek között történt, ergo a szállító nem teljesítette a szerződésben foglaltakat
Ezt mire alapozod? Még egyszer: a szerződésben általában annyi van leírva (praktikusan a műszaki tartalmat magában foglaló mellékletben), hogy pl. kell egy zöld hátterű progam, ami kiírja, hogy 2+2=4. Ha a programnak zöld a háttere, és ezerből ezerszer is a 2+2 műveletre 4-et dob vissza eredményként, akkor a feladat el van végezve, és pont. Az nem szokott a része lenni az írott műszaki elvárásoknak, hogy a program legyen biztonságos is (volt egy bizonyos sokat támadott kormányzati gigaberuházáshoz kapcsolódóan olyan projektünk, ahol a része volt a biztonság a fejlesztési szerződésnek, és a beszállítóból kiverték utólag a javítást, sőt a javítás javítását is, de ez a fehér holló kategória).
Plusz, a biztonsági rések, sebezhetőségek javítása nemigen lehet fizetős, mert még az olyan cégek, mint a Microsoft, vagy az Apple is tartózkodnak ettől.
Almát a körtével. Egész más az üzleti modell. A pályázati kiírások minimumon történő értelmezésével pályázik mindenki a hazai fejlesztési projektekben: ha nem így tenne, más elvinné a projektet. Ha nem része a kiírásnak, hogy X ideig ilyen módon is támogatni kell a rendszert, akkor maguktól nem fogják: nem lenne rentábilis.
[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
sh4d0w
félisten
Én azt gondolom, hogy az egész fejlesztés eleve nem a törvényi keretek között történt, ergo a szállító nem teljesítette a szerződésben foglaltakat - csak nem akadt a vevői oldalon senki, aki rendesen auditált volna, mert ugye haver/sógor/koma/jóbarát/szomszéd/unokatesó vonalon mozognak az állami beruházások nyertesei.
Plusz, a biztonsági rések, sebezhetőségek javítása nemigen lehet fizetős, mert még az olyan cégek, mint a Microsoft, vagy az Apple is tartózkodnak ettől.
UI és funkcionális fejlesztések fizetősek, azzal minden oké.
[ Szerkesztve ]
https://www.coreinfinity.tech
-
Egon
nagyúr
A szerződésben ha nincs konkrétan belefogalmazva, hogy egyfajta rendszer karbantartás, verziókövetés képében a biztonsági réseket is folyamatosan javítaniuk kell, akkor ezt csak plusz pénzért lehet érvényesíteni.
Csillió ilyen helyzettel találkoztam már. nagyon ritka, hogy nulla forintért ki lehet ezt javítani, főleg ha már évekkel ezelőtt átadták az adott rendszert. Csak a funkcionális tesztelés az, ami elvárásként szokott jelentkezni szerződés szinten."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Ringman
nagyúr
ez volt a telexes cikkben: [link]
„Nem volt kétlépcsős azonosítás, és egy rendszeren fut az egész, tehát ha van a owa.rufusz.hu-hoz hozzáférésed, akkor mindenhez is” – mondta a hekker.Eladó használt nyergek: SQLab 611 Ergowave CrMo 14 cm: 30e | Ergon SR comp men road S/M 22e | Pro Turnix Perf. AF 275x132 mm 25e || Használt Cane Creek eeSilk 27.2 x 350mm Road 20 mm 63e
-
#185
Ezekiell
veterán
aprokaroka87
#183
Ezekiell
veterán
válasz
aprokaroka87
#183
üzenetére
Sunyítás van: nem beismerni semmit, nem nyilatkozni, kussolni, hátha elül a vihar és megússzák. Meg ez akkora botrány, hogy mit mondhatnának? "Bocs, elkúrtuk"? "Szépen ígérjük, többet nem kattintunk trojan linkekre"? Ugyan
És amúgy egész jól megy is nekik a megúszás, kormánymédia eleve kussol az egészről, független/ellenzéki média pedig már bőven a "sokadik oldalon" beszél csak róla. Majd szépen csendben fizetnek valami büntit max (de azért nem túl sokat), és kész.
Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.
-
#181
Ezekiell
veterán
aprokaroka87
#179
Ezekiell
veterán
válasz
aprokaroka87
#179
üzenetére
Ki tudja.
Viszont garantálom, hogy nem fixáltak minden exploitot, hiszen a nagy részükről nem is tudnak - ahogy még mi se.Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.
-
Egon
nagyúr
Tegyük hozzá, hogy a kód újraírása nélkül, architekturális változtatásokkal (éljen a mélységi védelem) is kvázi biztonságossá lehet tenni adott esetben egy rendszert (persze a szakma elveivel szembe megy ez a megoldás, mert ha pl. a WAF mögött egy sérülékeny rendszer van, az nem túl megnyugtató, de akkor már nagyságrendekkel csökkenhet a kitettség).
[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Ezekiell
veterán
válasz
gregory91
#176
üzenetére
A kód feltöltése meg hozzáadott még két raklappal. Így bárki kereshet exploitokat, és direktben is megpróbálhatják feltörni a Krétát.
Ez a hekkelés egy egyszeri, mázlista dolog volt, mert hülye volt a projektvezető. A teljes kódbázis feltöltésével viszont lehetővé tették másoknak, hogy utánuk csinálják. És a következő csapat nem biztos hogy jó fej lesz...
Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.
-
-
ddekany
veterán
Értem mit mondasz, de persze a gyakorlatban meg rakás dolog ezen a rendszeren megy évek óta, nem lehet egy 2 éves üzemszünet újraírás miatt. Szóval kénytelenek ezerrel javítgatni. Gondolom mivel ki lett adva a forráskód tegnap, meg megjelent az ekreta-exploits repo Github-on (de még üres), gyorsan kiteszik amit az utóbbi hetekben reszeltek. Ez most ilyen sportrendezvény, hogy így hogy volt pár hét fórjuk, ki találta meg hamarabb a hibát...
![;]](//cdn.rios.hu/dl/s/v1.gif)
[ Szerkesztve ]
-
-
ddekany
veterán
válasz
gregory91
#156
üzenetére
A forráskód feltárása olyan problémákat is okoz, hogy most talán sokan elkezdenek sérülékenységeket keresni, és azokat kihasználni. Sőt, a Sawarim$ maga is csinált is egy Github repot, ahova majd állítólag feltöltenek exploit POC-okat. Persze legjobb módszer arra, hogy nekiáljanak javítgatni ezeket. Bár ha volt bármennyi sütnivalójuk, az ellopott verzióban lévő hibák jórészét már hetekkel ezelőtt javították... Bár miután ezt el akarták tusolni, nem tudom mennyi eszük van. Hogy a frászba ne derülne ez ki, mi értelme volt sunnyogni? (Gondolták megtalálják, és elteszik láb alól az elkövetőket? Ez is egy lehetőség, de nem hiszem hogy így meg mernék emelni a tétet. Azzal megbuknak, azér azért több jár, mint ezért fog.)
-
-
Egon
nagyúr
-
SaGaIn
senior tag
Na de várjál csak, jó lenne tudni milyen követelmények voltak megfogalmazva a programmal kapcsolatban, ezeket ki határozta meg, ezeknek a követelményeknek a teljesítését ki ellenőrizte? Ki engedte így működtetni? Mert ugye ilyenkor már az engedélyezőé a felelősség hogy mért engedte ilyen állapotban üzembe helyezni a rendszert. Mert ugye oké hogy baj pl hogy a kőműves szarul csinálja meg a falat/lépcsőt bármit de van ott egy felelős műszaki vezető aki a teljes felelősséget vállalja az épület biztonságárt, építés közben és átadáskor is hatóság adja át hogy lakható. Itt is valami hatóság (NKI vagy NAIH) rámondta az OK-t hogy ez így mehet használhatja közel fél millió gyerek és szülő. Vagy gondolod hogy egy ilyen rendszert anélkül üzembe lehet helyezni hogy bármilyen hatóság/minisztérium (megvizsgálja) engedélyezze? Szóval itt nem csak a fejlesztő a ludas legalábbis a fő felelős nem a fejlesztő abban hogy ez ilyen állapotban került beüzemelésre...
"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.
-
sh4d0w
félisten
De, megvan a szükséges tudás, csak ők eleve nem kapnak ilyen megbízásokat, mert nem a haveri/családi körbe tartoznak.
Egyébként meg az egész folyamatnak véres a torka.
Requirement 1: törvényi szabályzás betartása.
Requirement 2: statikus és dinamikus tesztelés.
Requirement 3: belső és külső pentest.
Requirement 4: külső és belső code audit.Ez a minimum csak így hasraütésszerűen, nyilván lehet még tovább finomítani.
https://www.coreinfinity.tech
-
BiP
nagyúr
-
SaGaIn
senior tag
Bip:
Olyan változás nem lesz ami megakadályozza azt hogy 2 év múlva ne lehessen egy hónap ráfordítással felnyomni egy ilyen rendszert. Magyaroszágon nincs rá erőforrás sem szaktudás hogy ezt komoly szinten meg lehess akadályozni... egy ilyen rendszer annyira összetett hogy mindíg marad egy nyitott sérülékenység. Ez egy szélmalom harc főleg közigazgatásban... Lesz előrelépés nem mondom, hogy nem, de nem lesz elegendő ahhoz hogy ne lehessen megcsinálni komoly erőforrással szaktudással ugyanezt 2-3 év múlva... Vér Istvánok ellen legalább lesz védekezés, talán az alap SQL injektek sem fognak majd menni, de ennyi... túl sokat nem lehet várni sajnos... persze lehet én vagyok pesszimista az országgal kapcsolatban... remélem rámcáfolnak..."DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.
-
gregory91
senior tag
A "kérdéses" támadóban talán felmerült hogy jelentés ellenére nem járnának sikerrel.Azért cselekszik úgy ahogy.
Nem véletlenül írtam hogy ez egy sakk-játsza,mindkettő fél hibás valamilyen szempontból, bár az egyik fél felől még nem feltételezhető a rosszindulatú szándéka(ha tényleg kiszivárognak az adatbázisban lévő adatok az már kétség nélkül rosszindulatúvá válik).Az ezzel kapcsolatos hatályos törvény nincs rendesen kidolgozva(elég a jegyvásáros esetre gondolni).
Érdekességként: Egyes cégek jutalmazzák azokat akik biztonsági rést találnak a szolgáltatásukban(azok is "illetéktelenül" lépnek be a szolgáltatásba).[ Szerkesztve ]
Remélem itt elfér - https://sites.google.com/site/geriprojekt/ - https://github.com/kgregoryan - Az ember téved,a gép hibázik.
-
BiP
nagyúr
Azonban ez egyáltalán nem menti fel a támadót. és nem igazolja a módszereit
És figyelembe véve a magyar rögvalóságot, ha a hacker nem megy el eddig, nem vet be ilyen módszereket, akkor szerinted történt volna bármilyen változás, javítás, belső ellenőrzés, javaslat a lyukak foltozására, az üzemeltetés biztonságosabbá tételére, a felhasználók/fejlesztők biztonságtechnikai edukációja?
Ugye, hogy semmi.
Sajnos ez legitimálja, hogy a változás elindítására radikális eszközök kellenek. De látod, még ilyen esetben is az eltussolás volt az első reakció. Ezért indult el a sakkjátszma. -
SaGaIn
senior tag
válasz
gregory91
#149
üzenetére
Nem, ha visszaolvasnád a hozzászólásaimat, korábban elmondtam hogy itt Magyar kormányközeli cégekhez híven, többen megszegték a hatályos törvényeket. Felelős itt mindenki Kezdve azzal aki ezt a rendszert így átvette, ellenőrizte, éles működésre bocsájtotta. Továbbá azok akik az ügy eltusolása mellett döntöttek, naívan abban bízva, hogy nem szivárog ki és nem okoz bizalom és renomé vesztést.
Nyilván az üzemeltetők tudták ha jelentik az esetet őket is elmarasztalják illetve valószínű feljebbről is szólhattak, szokás szerint, hogy hallgassanak róla... Most így az ő szándékos törvényszegésük "a nem jelentés" miatt is felelniük kell nem csak a hanyag biztonsági állapotok miatt. Tanulság inkább jelentsük az ilyen esetet mert akkor nem csinálunk még nagyobb bajt. Jelen esetben az NKI-nak is azonnal jelenteni kellet volna hogy segítsenek az elhárításban ami szintén a dolguk.Azonban ez egyáltalán nem menti fel a támadót. és nem igazolja a módszereit
[ Szerkesztve ]
"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.
-
gregory91
senior tag
A kommentelők nagy része -ahogy olvasgatom - elment egy bizonyos részről: "A lapnak átadott dokumentumokból teljesen világos, hogy a jelentési kötelezettség betartása helyett először tanácstalanság uralkodott el, majd leginkább elkenni akarták a biztonsági incidens".
Látom te sem vagy kivétel.[ Szerkesztve ]
Remélem itt elfér - https://sites.google.com/site/geriprojekt/ - https://github.com/kgregoryan - Az ember téved,a gép hibázik.
-
BiP
nagyúr
hol ejtett el ilyet?
Mondjuk azzal, hogy publikálták a kódot, nagyon nem értek egyet. Hiszen ezzel újabb támadásoknak teszi ki a rendszert.
De az, hogy nyomást gyakorolnak/-tak a Kréta üzemeltetőre, fejlesztőire, hogy nagyon szar ez így, illetve hogy nem kellett volna eltussolni, az szerintem üdvözlendő.Úgyhogy szerintem még mindig keverék, nem jelenteném ki, hogy egyértelműen fekete. (jogilag persze fekete, de szándékot tekintve szerintem vegyes)
-
SaGaIn
senior tag
válasz
gregory91
#145
üzenetére
"A jelenlegi eset meg egy keverék: Illetéktelenül hatol be,ugyanakkor dokumentálja az ezzel kapcsolatos dolgokat de csak tömören lényegi dolgokat alkalmazva kárt nem okozva(pillanatnyilag)."
Helyesen:
A jelenlegi eset egy tisztán fekete kalapos: Illetéktelenül hatol be,ugyanakkor dokumentálja az ezzel kapcsolatos dolgokat de csak tömören lényegi dolgokat alkalmazva, majd ellop 275 GB adatot és elejti egy félmondatban hogy elgondolkodtak azon hogy esetleg meglehetne zsarolni az ellopott adatokkal az államot/céget..."DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.
-
SaGaIn
senior tag
Elméletben igen de valahogy nem lesznek sikeresek azok a dolgozók aki feljelentgetik a főnökeiket... Nem tudjuk miért volt joga meg mennyire folyt bele olyan dolgokba amihez kellet olyan jog... egy csomó dolog amiről beszélünk feltételezésen alapszik. Én fenntartom a tévedés jogát...
"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.
-
gregory91
senior tag
A fehér kalapos és a fekete kalapos között annyi a különbség hogy a fehér kalapos,a cég felkérésére próbál behatolni és dokumentálja az ezzel kapcsolatos dolgokat,a fekete kalapos illetéktelenül,kárt okozva a rendszerben lép be.
A jelenlegi eset meg egy keverék: Illetéktelenül hatol be,ugyanakkor dokumentálja az ezzel kapcsolatos dolgokat de csak tömören lényegi dolgokat alkalmazva kárt nem okozva(pillanatnyilag).
A kommentelők nagy része -ahogy olvasgatom - elment egy bizonyos részről: "A lapnak átadott dokumentumokból teljesen világos, hogy a jelentési kötelezettség betartása helyett először tanácstalanság uralkodott el, majd leginkább elkenni akarták a biztonsági incidens".
Itt kérem-szépen egy sakk-játszma folyik...Remélem itt elfér - https://sites.google.com/site/geriprojekt/ - https://github.com/kgregoryan - Az ember téved,a gép hibázik.
-
Egon
nagyúr
válasz
#20238798
#99
üzenetére
Azt nem veszitek figyelembe, hogy ezzel a ténylegesen kárt okozni akarók lennének védve.
Hogy néz ki ez a gyakorlatban:
1. Kezdjük atámadást"etikus hekkelést" egy portscannel. Tegyük fel, hogy az intézmény felfedezi ezt , szól a rendőrségnek, kimegy a TEK stb., mire az elkövető: "óóó, én csak etikus hekker vagyok, nem csináltam semmi rosszat!"
2. Folytassuk egy automata sérülékenység vizsgáló eszköz lefuttatásával. Tegyük fel, hogy az intézmény felfedezi ezt , szól a rendőrségnek, kimegy a TEK stb., mire az elkövető: "óóó, én csak etikus hekker vagyok, nem csináltam semmi rosszat!"
3. Legyen a következő lépés pár ígéretesnek tűnő találat manuális validálásával. Tegyük fel, hogy az intézmény felfedezi ezt , szól a rendőrségnek, kimegy a TEK stb., mire az elkövető: "óóó, én csak etikus hekker vagyok, nem csináltam semmi rosszat!"
4. Jöjjön ezután a feltárt sérülékenység expolitálása, azaz a tényleges behatolás a rendszerbe. Tegyük fel, hogy az intézmény felfedezi ezt , szól a rendőrségnek, kimegy a TEK stb., mire az elkövető: "óóó, én csak etikus hekker vagyok, nem csináltam semmi rosszat!"
5. Végül következzen a tényleges károkozás: adatlopás, rombolás stb. Tegyük fel, hogy az intézmény felfedezi ezt , szól a rendőrségnek, kimegy a TEK stb., mire az elkövető: "bibibí, mégiscsak rosszfiú vagyok, rácsesztetek..."Analógia: egy ember császkál az utcán, feltűnően bámulja a házakat, nyitott ablakot keres. Lát egy ablakot, ami ugyan csukva van, de látszik, hogy az ablakkilincs csálén áll, lehet hogy csak be van hajtva az ablak (legyen ez emeleti ablak). A következő lépésben egy bottal megpróbálja lentről kinyitni az ablakot. Ha kinyílik, akkor felmászik a mellette levő fára, hogy bebizonyítsa: át lehet ugrani a nyitott ablakba, és be lehet mászni az épületbe.
Tegyük fel, hogy a te házadat "tesztelik" ily módon. A fenti folyamat tetszőleges pontjában hazaérkezel. Melyik ponttól felfelé fogod p*fán verni az illetőt? Még akkor se, ha bent áll a nappalidban, és éppen nincs a hóna alatt a tévéd? "Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
joghurt
addikt
Nagyon elrugaszkodott, hogy egy ilyen kérésre az üzemeltetőnek alapból kellene írnia a NAIH-nak, hiszen az x. fokozatú védelem feltételei nem teljesülnek?
Némi túlzással jelentős insider job is kellett a behatoláshoz, hiszen az üzemeltető tisztában volt az ott uralkodó állapotokkal, és nem tett ellene semmit.A tej élet, erő, egészség.
-
SaGaIn
senior tag
Azért itt az üzemeltető is igencsak sáros. Mert a jogosultságkezelés az ő feladata, nem?
És az nagyon nincs rendben, hogy egy user vagy fejlesztő vagy kicsoda olyan jogosultsággal rendelkezik, hogy kvázi bármihez hozzáfér.
Valószínűsítem hogy a projektmanager kérte hogy legyen olyan joga... nincs olyan öszemeltető aki önhatalmúlag minenkinak domainadmint ad...
Ha felső vezető kérte hogy neki legyen ilyen hozzáférése és te üzemeltetőként elmondod hogy ez miért aggályos de ő ragaszkodik hozzá akkor kénytelen vagy megcsinálni ha nem szeretnél új munkahely után nézni. Itt a döntési pozícióban levők és az ellenőrök is felelősek.Az NKI aminek át kellett volna vizsgálni a rendszert biztonsági szempontból beüzemelés előtt, merre járt? vagy átvették ilyen állapotban mert akkor ott is van baj.... Ez az a kérdés amit senki nem tett még fel...
"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.
-
sh4d0w
félisten
-
BiP
nagyúr
De sajnos mindig az üzemeltetőket veszik elő akik általában kész tények elé vannak állítva hogy ezt vettük ezt kell üzemeltetni...
Azért itt az üzemeltető is igencsak sáros. Mert a jogosultságkezelés az ő feladata, nem?
És az nagyon nincs rendben, hogy egy user vagy fejlesztő vagy kicsoda olyan jogosultsággal rendelkezik, hogy kvázi bármihez hozzáfér.
Az meg szintén nincs rendben, hogy felelős beosztásban beszopjon egy kamu levelet, ezáltal egy vírust, amivel meg tudták szerezni a jogait, amivel mindenhez hozzáfértek. Kívülről.
Majd az, hogy kívülről le tudtak szedni 250giga adatot úgy, hogy az üzemeltetésnek ez még csak fel sem tűnt.Szóval itt az üzemeltetést is el lehetne kaszálni, mert nem csak a kódban lévő tátongó lyukak itt a probléma.
-
SaGaIn
senior tag
Ebben egyetértünk... Ezért mondom hogy ott kéne keresni a felelősöket aki ezt a céget megbízta aki ezt a szoftvert így ebben a formában átvette... De sajnos mindig az üzemeltetőket veszik elő akik általában kész tények elé vannak állítva hogy ezt vettük ezt kell üzemeltetni... A fejlesztő cseszik verzió követni biztonsági frissítést csinálni mert nem tették bele a szerződésbe stb... Az államkincstár által fejlesztett KIRA is elbukna valószínűleg egy komolyabb támadás ellen csak hogy egy példát mondjak... a kormányzatban használ speciális programok 80-90%-a biztonság szempontból egy vicc a fejlesztők hozzáállása a biztonság témájához szintén hagy kívánni valót maga után, de nincs más... Nincs pénzügyi emberi kapacitás normális szoftvereket íratni. Sajnos ez a magyar valóság.... Akkor lettem volna meglepve ha nem az derül ki hogy a szoftver egy hulladék biztonsági szempontból... Csak azok lepődnek meg ilyenen akik nem látnak bele a magyar rögvalóságba.
"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.
-
BiP
nagyúr
akkor egy ehhez képest gyengébb képességű programozókkal rendelkező magyar cégtől mért várunk el hibátlan rendszert.
Mert egy olyan rendszerről van szó, aminek a használatára rá volt kényszerítve többszázezer ember, és rengeteg érzékeny adatot tartalmaz.
Ráadásul nem egy garázscéget kértek fel 2 tábla csokiért, hanem itt egy sokmilliárdos megbízásról van szó, az adófizetők pénzéből (tiédből, enyémből, stb), tehát elvárható egy szakmai minimum, amit nem sikerült teljesíteni. -
SaGaIn
senior tag
Teljesen értem mit írtál de nem értek azzal egyet hogy arra utalsz hogy a sérülékenység bizonyításához bizony el kellett lopni 270GB adatot és akkor ez így rendben is van hiszen a sérülékeny rendszer kiált a behatolásért nem igaz?
Lehet az én moralitásom rossz de azért mert valaki nem zárt üzletben lopásgátlóval kamrákkal felszerelkezve árulja a termékét az még nem ad felhatalmazást ara hogy bármit elvihetek.
Valahogy úgy érzem mivel ez a csoport bevallottan politikai céllal dolgozik akkor is feltörték volna a rendszert ha nem ennyire könnyű... Rombolni betörni mindíg könyebb, mint egy élhető, életszerű és kockázatokkal arányos biztonságos rendszert üzemeltetni. Ez persze feltűnően szar rendszer.
Sajnos 20000 jó szakember hiányzik a magyar piacról ennyit kb 10 év alatt képez az ország, akiknek nagyrésze külföldre megy ki 5-10szeres bérekért... továbbá komoly múlttal rendelkező óriás vállalatok cégek mint pl a MS vagy a T-systems is ad ki programozási hulladékot a kezéből akkor egy ehhez képest gyengébb képességű programozókkal rendelkező magyar cégtől mért várunk el hibátlan rendszert. Nem az egyszeri programozókon középvezetőkön kell elverni a port az miatt mert valakik betörtek hozzájuk. Ráadásul szándékosan megfertőzték a gépet egy speciálisan támadásra fejleszett programmal. Ne hogy már az legyen a normalitás hogy ahova be lehet oda be szabad törni, mert miért nem védték jobban...Ez tipikus "Minek ment oda mért öltözött úgy" mentalitás nem tetszik ami a fórumban tapasztalható...
"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.
-
SaGaIn
senior tag
"Egyes red teamerek odaig mennek, hogy felterkepezik, hol vannak a celpont korul kamerak, vannak-e vakfoltok, azokat ki lehet-e hasznalni, hogy bejussanak az epuletbe, ha bent vannak, van-e mondjuk almennyezet, amint atmaszva be lehet jutni bezart irodakba - es a lista vegtelen."
Ez mérföldekre van attól amiről itt szó van... Az adatlopások és hackelések 95% távolról történik emberi hiba és nemtöródömség kihasználásval... Hogy jön most ide az álmennyezet alá mászás... azért ez nem egy fort nox... kockázatokkal arányos védelem kell.... verébre nem lövünk tankkal... amúgy ha valaki be akar menni az épületbe az be fog... Olvastam olyat hogy felvetette magát a hacker ahhoz a céghez aki a bizonsági szolgálatot ellátta... Na ez ellen védekezz.... nincs 100%-os biztonság... ha valaki nagyon keresi mindíg talál rést... ha egy ilyen nagy 100+ főből álló profi szervezet rááll valakikre azt úgyis feltöri... kérdés persze hogy mennyire nehezen
"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.
-
Ezekiell
veterán
A vezető fejlesztőknek a PR-okat meg kell nézni, és az ilyet visszadobni, anyatigrisként védelmezve a kódot.
hahaha, lol persze. LGTM oszt csókolom Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.
-
-
ddekany
veterán
Áh, nagyobb cégnél dolgozok, akik egyéb olcsóbb országokban is dolgoztatnak, és bizony, keletkeznek ilyenek. Biztos Magyarországon is fellehetők hasonló fazonok. Ugyan fel nem fogom, hogyan képes valaki hasonlókra (akár ennél is abszurdabbra), miközben orvosi értelemben nem őrült, de hát a tapasztalatom, hogy ez ilyen. A vezető fejlesztőknek a PR-okat meg kell nézni, és az ilyet visszadobni, anyatigrisként védelmezve a kódot. Hát ez ebben az esetben nem történt meg.
Amúgy ez, és ennél kicsivel több is, ott van a Telegrammon is... az az elsődleges forrás, nem a reddit. Nem linkelem, mert féltem a családot a TEK-től.
De gondolom a jövőben is kikerülnek majd oda érdekes dolgok.[ Szerkesztve ]
-
Én nem vagyok otthon a redditen, mondjátok légyszi hogy ez valami belső poén, amit nem értek, és holnap reggel rajtunk röhög majd a reddit népe, hogy elhittük.
Ilyen nincs. Első félévben prog 1-en ennél szofisztikáltabb megoldásokkal vágott ki a gyakvezem (p0cs, egy évvel járt felettem
), hogy "tudok én ennél jobbat is".Ilyet ember se pénzért, se ingyen, se direkt, de még begombázva se csinál, amiket kitettek. Mondjátok pls hogy vicc.
"Bocs, főnök, de én csak két emberben bízom. Az egyik én vagyok. Nem maga a másik." || "Hóhahó, mégis van graffaló!"
-
bambano
titán
tegyük már tisztába, mert nem először olvasok (itt se) ilyet:
a magyar törvényhozás nem adoptálta a gdpr-t. A gdpr-on nincs mit adoptálni, mivel eu RENDELET, ami a tagállami jogban további jogi aktusok nélkül HATÁLYOS. Amit a magyar törvényhozás csinált az két dolog volt:
1. kitakarította az info törvényből azokat a paragrafusokat, amelyek a gdpr hatálybalépés miatt duplikátumok lettek.
2. berakta a magyar törvényekbe a GDPR++-t. (miután a GDPR++ az irányelv, azt valóban adoptálni kell a hazai jogrendszerbe).Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
sh4d0w
félisten
Megint a zoldsegek.
Attol, hogy behatoltal egy rendszerbe es ralatsz bizonyos adatokra/informaciokra, nem biztos, hogy azok tenylegesen is elerhetok. Pelda: a Bloodhound nagyon szepen kikopi Neked, hogy ilyen-olyan-amolyan AD group tagsagokkal eljuthatsz domain admin szintre egy halozatban - de ezt nem teszteli, csak annyit lat, hogy az account itt ebben a csoportban van, az a csoport annak a masiknak a tagja, ami egy harmadiknak es igy tovabb, mig eljut egy olyanhoz, ami elvileg domain admin jogosultsagokat biztosit. Azt viszont nem tudja, ha valahol van valamilyen mitigacios lepes, ami viszont meggatolja a sima domain usert, hogy megszerezhesse az emelt szintu jogosultsagokat - ezt maga a Bloodhound fejlesztoje mondta.
A Red Teaming is azert van, hogy effektive bizonyitani lehessen, hogy akar komplex, tobb szintu vedelemmel is ellatott rendszerek sebezhetoek-e. Minden nagyon szep, amig papiron van, de amikor a gyakorlatban bizonyitani kell, az egeszen mas teszta.
Egyes red teamerek odaig mennek, hogy felterkepezik, hol vannak a celpont korul kamerak, vannak-e vakfoltok, azokat ki lehet-e hasznalni, hogy bejussanak az epuletbe, ha bent vannak, van-e mondjuk almennyezet, amint atmaszva be lehet jutni bezart irodakba - es a lista vegtelen.https://www.coreinfinity.tech
-
sh4d0w
félisten
Nyugodj meg, szarul van kivitelezve, a fejleszto eloszor is nem hasznalt semmilyen keretrendszert, hogy a felhasznaloi inputokat szanitizalja, escape-elje szukseg eseten, az inputokra blacklistet akart felallitani, SQL injectionre is sebezheto a cucc. Mivel ez a legalapabb webes tamadasi forma, feltetelezheto, hogy az OWASP Top 10 tobbi pontjara, vagy azok tobbsegere is az.
Plusz a fejlesztonel a security awareness oktatasa vagy a banyaszbeka segge alatt van, vagy idiotakat alkalmaznak.
https://www.coreinfinity.tech
-
sh4d0w
félisten
"...A fejlesztő is akkor csinálhat valamit ha arra megbízást kap... illetve valaki azt kifizeti
Nem fog neked senki megbízás nélkül újraírni egy rendszert szerelemből, mellesleg nem is teheti meg..."Bocs, itt azert alljunk meg egy pillanatra, mert nagyon forditva ulsz a lovon. A fejleszto megbizast kapott, hogy fejlessze le a KRETAt. Mivel szemelyes adatokat tartalmaz, ezert azt ugy kell lefejlesztenie, hogy a torvenyi szabalyozasnak megfeleljen, beleertve a GDPR-t is, mivel ezt a magyar torvenyhozas adoptalta a magyar jogrendbe.
Ebbol kovetkezoen a torvenyi eloirasoknak megfelelo alkalmazas elkeszitese, vagy a meglevo modositasa ("patcheles") nem tartozik a kulon megbizasok koze, hanem eleve errol szolt a megbizas. Hogy a fejleszto erre magasrol futyult es kiadta a rendszer fejleszteset egy altalanos iskolasnak, az az o baja, nem mase. Kifizettek neki, a tavalyi eves netto arbevetele 12 milliard HUB volt - aligha hiszem, hogy a legyek hordtak ossze.
https://www.coreinfinity.tech
-
LRTV alapján még nem kellett kockázat elemzést csinálnom.
A Krétásoknak azért nem tartom valószínűnek, hogy csinálniuk kellet LRTV kockázatelemzést, mert a klik miatt amúgy is vonatkozott rájuk.
Az hogy az IBTV előírásait elbukták egyértelmű. Tippre legalább a 3. biztonsági osztályt kellett volna megugraniuk, de még az elsőt is bukták, a nem megfelelő jogosultság kezelés, a fejlesztői-teszt-éles környezet nem megfelelő szétválasztása, a virus védelem hatékonysága, és az url szűrés hiánya miatt. Legalábbis ami a technikai részét érinti elsőre ezt láttam problémának, a szabályozási oldalról az incidenskezelés, az ibsz és az adatvédelmi szabályzatok vagy nincsenek, vagy csak simán nem tartották be. Az it biztonsági tudatosság, amit oktatással lehet kezelni vélhetőleg ismeretlen fogalom.
A felelősségre vonás oké hogy kell, (szerintem ez nem is volt kérdés részemről, de mindjárt visszaolvasok), inkább arra leszek kíváncsi, hogy ki fogja megtenni. Mindkét hatóság (elvileg igen) vagy csak az egyik.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
bambano
titán
"Rád azért vonatkozik az IBTV": rám nem vonatkozik az ibtv.
rám az lrtv vonatkozik, amely alapján kockázatelemzést kellett csinálnom, ami alapján kiderült, hogy nem vagyok létfontosságú rendszerelem, ezért nem vonatkozik rám az ibtv."Nem értem a GDPR részt.": látom. az eredeti hsz-ben nem volt semmi olyasmi, amit te itt kerülgetsz. az eredeti hsz arról szólt, hogy a gdpr vonatkozik mindenkire, és emellett jó eséllyel a krétára az ibtv IS vonatkozik, mivel az lrtv-ben leírtak ezt mondják.
még egy ok, ami félreértésre adhat lehetőséget: hivatalosan nem kell kockázatelemzést csinálnod az lrtv-hez. gyakorlatilag ahhoz, hogy meghozd az lrtv-ben elvárt döntést, mégiscsak kell egy rendes kockázatelemzést végezni.
tehát a történet úgy zajlott, hogy egy rakás cégnek el kellett végeznie a saját elemzését arról, hogy ő létfontosságú rendszerelem-e. ehhez hivatalosan nem kellett kockázatelemzést végeznie, de az elemzés gyakorlatilag pont úgy nézett ki, mint egy rendes kockázatelemzés. Ezek után a cég írt egy jelentést arról, hogy szerinte milyen eredményt hozott a "kockázatelemzése". azt beküldte az illetékes hatóságnak, és a hatóság elfogadta vagy felülbírálta azt. én beküldtem, hogy nem vagyok lr, nem kaptam kifogást, tehát rám nem vonatkozik az ibtv. Mivel nekem meg kellett csinálnom ezt az egész hercehurcát, ebből én azt extrapolálom (nevezheted találgatásnak, de szerintem megalapozott találgatás), hogy a krétásoknak is meg kellett csinálniuk a saját elemzésüket. Biztos vagyok benne, hogyha korrekten csinálták, akkor náluk az derült ki, hogy ők létfontosságú rendszerelemek, ezzel magukra húzták az ibtv-t (amiben igazad van, hogy valószínűleg már egyébként is rajtuk volt, mert maga a kréta az közintézmény).
Ez alapján már számon lehet kérni rajtuk az ibtv végrehajtási rendeleteit is, amiről én megint csak feltételezem (de szerintem nem alaptalanul), hogy megbuktak.
mindez a thread azért alakult ki, mert kérdés volt, hogy hogyan lehet őket ezért felelősségre vonni. hát így.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
gyugyo79
addikt
Nem értem, vagyis igen.
Nem feltörték mert:
Trójait küldtek be amit egy "tudós" futtatott. = Nem feltörték. Végül is ez a lényeg
A Krétát nem törték fel mert oda már a "tudósnak" joga volt belépni így azt nem is kellet. Ami amúgy rendben van hisz ők csinálták/ csinálják miért ne férnének hozzá mindenhez is. = Nem feltörték. Végül is ez a lényeg
Nemsokára már igazából egy beépített ember engedte be a Soros/Gyurcsány/Szabadon választható bárkit. A kiszivárgott belső kommunikáció dezinformáció és meg sem történ az áruló műve az egész, a jók amint megtudták, hogy mi történt mindent úgy csináltak ahogy kellet nincs itt semmi látnivaló lehet tovább ballagni ....
-
ddekany
veterán
Ez afféle politikai indíttatású akicónak tűnik, tehát fontos, hogy minél inkább üssön a laikus közönség szemében. Ehhez nyilván az is kell, hogy közérthető legyen, mit csináltak.
Persze ilyen okból lehettek volna sokkal brutálisabbak is, csak akkor gerilla harcos helyett közellenségek lennének kb. mindenki szemében. Szóval valószínűleg ez az optimális szint, hogy tényleg elvisznek mindent, de aztán nem adják ki, meg nem vandálkodnak.
Amúgy, még a kikerülő belső beszélgetések lesznek tán mókásak...
[ Szerkesztve ]
-
A mostani az csak egy trójai volt, amit beküldtek a jóképességűnek a Krétán keresztül, amiből lett egy keylogger majd mindenféle adat másolás és publikálás.
A céghez betörtek a trójaival, de nem a Krétát törték meg."A hekkert arról is kérdeztük, hogyan sikerült bejutniuk az eKRÉTA rendszereibe. Állítása szerint egy általuk írt kártevő programot, egy úgynevezett RAT-ot (remote access trojan, azaz távoli hozzáférést lehetővé tevő trójai program) sikerült bejuttatniuk, méghozzá úgy, hogy az a cég minden vírusirtóján és védelmi szoftverén észrevétlenül átjutott. Ez a kártevőtípus épp arra jó, amire a neve utal: települ a megfertőzött rendszeren, és ezzel bejuttatja a támadókat is: távoli hozzáférést tesz lehetővé, ami jelentheti a rendszer távoli megfigyelését, de akár parancsok futtatását vagy adatok kinyerését is.
A trójait a KRÉTA üzenetküldő rendszerén keresztül terjesztették: kiválasztottak minden adminisztrátort, és egy megtévesztő adathalász (phishing) emailben, magukat másnak kiadva átküldték a kártevő letöltéséhez szükséges linket, olyasminek álcázva, ami felkeltheti a célba vett adminisztrátorok érdeklődését – mint azóta látjuk, egyikőjükét valóban fel is keltette. "[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
#109
aprokaroka87
nagyúr
#20238798
#107
aprokaroka87
nagyúr
-
A 2012. évi CLXVI. 1§ j pontja:
"az 1. mellékletben meghatározott ágazatok valamelyikébe tartozó szolgáltatás, eszköz, létesítmény vagy rendszer olyan rendszereleme, továbbá azok által nyújtott szolgáltatások, amelyek elengedhetetlenek a létfontosságú társadalmi feladatok ellátásához - így különösen az egészségügyhöz, a lakosság személy- és vagyonbiztonságához, a gazdasági és szociális közszolgáltatások biztosításához, az ország honvédelméhez, - és amelynek kiesése e feladatok folyamatos ellátásának hiánya miatt jelentős következményekkel járna,"Rád azért vonatkozik az IBTV, mert internet szolgáltató vagy. Ami a 2012. évi CLXVI. törvény 1 mellékletének 23. sora.
A Krétára azért vonatkozik elvileg az IBTV, mert azt hiszem a KLIK-nek, mint állami szervezetnek az adatfeldolgozói. Elvileg a KLIK-nek kellett volna meghatároznia és megkövetelnie, hogy az Kréta melyik biztonsági osztály előírásainak kellene, hogy megfeleljen.
Nem értem a GDPR részt. Nem a kockázat elemzéstől függ hogy a GDPR-nak és az IBTV-nek is meg kell-e felelned. IBTV szerinti kockázat elemzést csak akkor kell elvégezned ha a jogszabály vonatkozik rád.
A GDPR ha vonatkozik rád, az még nem jelenti azt, hogy az IBTV is.
De abban igazad van, hogy aki az IBTV alá tartozik, annak a GDPR-nak is meg kell felelnie.[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
bambano
titán
ha normálisan csinálták volna a krétát, akkor bizonyos szintű támadásnak képes lett volna ellenállni. de mivel a krétával is bajok vannak, így ez az ellenálló képessége a kívánatosnál és a jelenleg műszakilag lehetséges szintnél alacsonyabb volt, ezért tudták kis erőfeszítéssel felnyomni.
ez elég egyértelműen gdpr sértés, mert azt le lehet vonni belőle, hogy a cég nem tett meg mindent annak érdekében, hogy a rendszernek legyen megfelelő önvédelmi képessége.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Elveszíti közpénz jellegét: kösz, pénz!
És mennyire bízna meg egy vadidegenben, hogy ha ő nem is él vele vissza, de nem adja el a darkneten jó pénzért az infókat és lopja el az életét 1 héten belül egy Orosz vagy É-Koreai hacker?
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
it Nagyon fontos információkat osztott meg az esetről beszámoló újságíróval az egyik támadó – sok minden világosabb lett.
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Axon Labs Kft.
Város: Budapest