- Windows 11
- A franciáknak elege van abból, hogy minden gyerek mobilozik
- CentOS Linux
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Hálózati / IP kamera
- Sokat fogyaszt az AI, egyre több az adatközpont, kell az atomenergia
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Milyen routert?
- Az iPadOS-re írt appokra is díjat vet ki az Apple
- Milyen NAS-t vegyek?
- bb0t: Gyilkos szénhidrátok, avagy hogyan fogytam önsanyargatás nélkül 16 kg-ot
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- GoodSpeed: ASUS ROG STRIX B650E-F GAMING WIFI - Memory Context Restory (MCR)
- Sub-ZeRo: Euro Truck Simulator 2 & American Truck Simulator 1 (esetleg 2 majd, ha lesz) :)
- sziku69: Fűzzük össze a szavakat :)
Új hozzászólás Aktív témák
-
Korrektor
A TalkTalk közel sem a legnagyobb szolgáltató, még az első háromban sincs benne.
-
greenlizard
csendes tag
"eddig úgy hitték, hogy a világ vezető biztonsági szakemberei által kialakított védelmi rendszerük elegendő" -> "az adatok egy részét titkosítás nélkül tárolták". Hat jo...
Biztos vagyok benne, hogy a rengeteg cegnel, egy kicsit is hozzaerto szemely langolo hajjal jonne ki az adatbiztonsagot es adatvedelmet latva. Ami jobban zavar, az viszont az, hogy a cegek ezt elintezik egy jo adag marketing bullshittel. Ha te hibazol, akkor veged, ha ok, akkor semmi baj. Nem tudom, hogy regen is ennyire durva volt-e a mellebeszeles (persze az vilagos, hogy sok volt akkor is), de az elmult evekben jobban erzekelem, hogy egy "mi figyelunk ugyfeleinkre/valositsd meg onmagad/a te segitsegeddel sikerult" facebook posttal elintezheto minden problema a cegek reszerol. -
bambano
titán
válasz greenlizard #2 üzenetére
"egy kicsit is hozzaerto szemely langolo hajjal jonne ki az adatbiztonsagot es adatvedelmet latva": valójában sok hozzáértőnek gondolt személynek nincs reális fogalma arról, hogy ezt hogyan is kellene csinálni.
a mai világban, amikor bűnözők többszázezres botnetekhez férnek hozzá, a titkosítások egyre kevesebbet érnek.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Kékes525
félisten
"A TalkTalk azt is bejelentette, hogy egy évig minden ügyfelük hiteltörténetét ingyenesen fogják monitorozni, és már kapcsolatba léptek a nagyobb bankokkal, hogy ehhez kérjék együttműködésüket." Ennek is örülhetnek, hogy legalább ez meg van.
Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.
-
gyurkikrisz
őstag
A szervereken is Win10 lehetett...???
A tuning a kisfiúk alap órajele. | i5 6500
-
#14595328
törölt tag
Azért egy rendesen felépített AES256-ot, PGP-t is megnéznék több százezres botnet ellen.
Ebben az esetben nekem az az érthetetlen, hogy lehetett titkosítatlanul tárolni érzékeny adatokat, és ezt miért nem vették észre egy auditon (már, ha volt egyáltalán).
[ Szerkesztve ]
-
bambano
titán
minden algoritmust fel lehet törni, utána csak az a kérdés, mekkora lóerő kell a kulcsok kitalálásához.
a személyes adatok közül a bankszámla számmal lehet a legnagyobb kárt okozni, ott van 3x8 számjegyed, aminek az eleje kötött. ez eleve sokat gyengít minden titkosításon.ráadásul az adatot időnként muszáj eredeti állapotában használni, tehát ha felnyomták a szervert és egy kicsit tudtak benne kotorászni, nem csak lehúzták az adatbázist és futás, akkor nagyon sok segítséget szerezhettek ahhoz, hogy magát az adatbázist, a titkosított adatokat megfejtsék.
például ha nálunk megtörnék egy távközlési szolgáltató gépét, azon hiába lenne titkosítva az adat, amikor megcsinálja a csoportos beszedéshez az állományt, abban cleartext minden. ha egy olyat is megszerez valahogy (akár más helyről is), akkor lesz egy halom titkos-clear szövegpárja, ami sok titkosításnak a halála.
továbbra is azt gondolom, hogy ezen a szinten nulla értelme van a titkosításnak, még akkor is, ha ezért minden esetben megkapom a magamét az okosoktól szerintem az, hogy bejutottak a gépbe és elvitték az adatokat, az baj. az, hogy ezek az adatok nem voltak titkosítva, nem jelentenek valós problémát, mivel az, hogy titkosítva lettek volna, nem jelentenek valós akadályt a betörőknek.
szerk: ott van még az a probléma, hogyha webbankhoz vagy egyéb dologhoz ügyfél által választott jelszót használsz, azt nagyon hamar megtörik. utána bemennek vele a webes felületre, megnézik az adatokat, összepároztatják azt, amit látnak azzal, ami az adatbázisban van, és rögtön lőttek egy pukkantósat a titkosításnak.
nekem egyszer szükségem volt az előfizetői jelszavakra. egy jól összeállított szótárral a jelszavak 80%-át pár percen belül megtörte Johnny.
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
például mit kezdesz pgp-vel 12 bájtnyi értékes adat titkosításánál? rádobod a nagyjából 100 bitnyi értékes adatra a 4096 bites kulcsot?? mert ha elrejted egy 256 bites pgp-vel, azt a mai technológiával órák alatt megfejtik.
ráadásul az adatok között folyamatosan keresni kell, mert ügyfélszolgálati panasz vagy számlareklamáció mindig van, mint ahogy a normál ügymenet része az is, hogy mozognak az adatok. tehát ott kell legyen az adat cleartextben is.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
félisten
válasz BlackPriest #10 üzenetére
Például úgy, hogy (Magyarországon) minimálbérrel vagy még kevesebbel számlát nyitottál és még a bank is folyamatosan fogyasztgat a nyomorúságból.
-
#06658560
törölt tag
válasz BlackPriest #10 üzenetére
Kamu vásárlást eszközölni, aminél meglesz a pénzmozgás, pl.
-
anulu
félisten
válasz gyurkikrisz #5 üzenetére
a trollkodáson kívül ez a kérdés arra volt jó, hogy:
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
#14595328
törölt tag
Ha annyira érzékeny adat, akkor akár rá is lehet dobni a 4096 bites kulcsot. Esetleg rekordonként egyedi kulcsot. Az már más kérdés, hogy mekkora lesz ez miatt az erőforrás igény, kérdéses, hogy megéri-e.
"Órák alatt megfejtik": Meglehet! Viszont itt 4 millió ügyfél adatáról van szó, aminek jó része akár használhatatlan is lehet. Nem hinném, hogy pár ügyfél teljeskörű feltérképezése elég lenne annak, aki ilyen támadást kivitelez. Ha titkosítva vannak a lényegesebb adatok, akkor ez mind idő, ami szerintem ilyen esetben nem nagyon van. (Nekem is lopták el bankkártya adataimat egyszer, a kiderülését követő fél órán belül nem élt a kártya) Persze, ha nem egy kulcs van az egész adatbázishoz, hanem pl. felhasználónként egyedi.
A cikkből az nem derült ki, hogy egy DB leak volt, vagy el is időztek a szerveren. Teljesen igazat adok abban, hogy az a fő probléma, hogy a gépbe bejutottak, de abban nem, hogy felesleges titkosítani az adatokat. Egy második "védelmi vonalnak" mindenképpen fontosnak tartom!
Ha volt beazonosítható plain-cipher páros, az jelentősen gyengítheti a titkosítást, de szerintem még mindig lényegesen lecsökkenti az esélyét, hogy több felhasználó adata legyen visszanyerhető.A jelszavas példád érdekes, sajnos a tipikus user error. Azt szabad megtudni, hogy milyen hasht-t használtatok a jelszavakhoz?
-
#06658560
törölt tag
válasz BlackPriest #16 üzenetére
Igen. Lásd német bankrendszer. ( A bankkártyámnak nincs egyedi száma, a bankfiók és a számlaszám azonosítja. Ha neten vásárolok, azt kérik.)
-
#14595328
törölt tag
"továbbra is azt gondolom, hogy ezen a szinten nulla értelme van a titkosításnak ... szerintem az, hogy bejutottak a gépbe és elvitték az adatokat, az baj. ..."
Előbb elfelejtettem: És mi van akkor, ha pl social engineering segítségével jutnak be a gépbe, vagy kapnak hozzá fizikai hozzáférést? Ettől még lehet egy jól felépített védelme, amin "kívülről" nem tudnának átjutni. Ilyen esetben is feleslegesnek tartanád a titkosítást?
[ Szerkesztve ]
-
BlackPriest
őstag
válasz #06658560 #17 üzenetére
és akkor hogy utalnak valakinek? kiadom a számlaszámom, mert eladtam valamit és várom a lóvét, aztán én bukok? nincs egyedi száma a bankkártyának? hogy kötik bankszámlához? ez nekem elég furán, mármár hihetetlenül hangzik...
Bogár nélkül lehet élni, de minek?!_______________________________________________ Elnézést, hogy nem illik bele a véleményem a világképedbe.
-
#06658560
törölt tag
válasz BlackPriest #19 üzenetére
Bankfiók és számlaszám.
Megnéztem, van kártyaszám is, viszont soha, sehol nem kérték még. A másik kettő szám azonosítja egyértelműen a terhelendő számlaszámot. És a nemzetköz számlaszám is azokból adódik ki." kiadom a számlaszámom, mert eladtam valamit és várom a lóvét, aztán én bukok? "
Interneten vásárolsz, pl. cipőt. A fenti két adatodat megadod, az beazonosítja a számlaszámot, amit megterhelnek és kész.
[ Szerkesztve ]
-
Pug
veterán
válasz #06658560 #20 üzenetére
És ez melyik kártyatársaság támogatásával működik. Mert az általam ismert bankkártyás tranzakciók nagyon nem így működnek .
Online, értsd elektronikus, bankkártya tranzakció sikerességéhez az alábbi három adata a minimum
- Bankkártya szám
- Lejárat
- CVV/CVC kódKibocsájtó banki oldalról pedig az alábbi kártya és számla adatok ellenőrzése:
- Aktív érvényes kártya
- Elő számla a kártya mögött
- Limit ok?
- FedezetÉs ezek a worldwide alapszabályok a standard credit/debit card elektronikus tranzakciókhoz.
A dombornyomott offline tranzakciók "kicsit" mások.
[ Szerkesztve ]
-
BlackPriest
őstag
válasz #06658560 #20 üzenetére
hogy? anélkül, hogy bizonyítanám, hogy én vagyok? nézz körül a neten, minden harmadik weboldalon (karittívon kb mindenhol) kint van az illetékes számlaszáma. a bankot beazonosítani kb 2mp. ha ennyi elég lenne a visszaéléshez, senkinek nem lenne pénze...
Bogár nélkül lehet élni, de minek?!_______________________________________________ Elnézést, hogy nem illik bele a véleményem a világképedbe.
-
haxiboy
veterán
A mai világban bármit titkosítás nélkül tárolni f@sság....
Premium Mining Rigek és Gamer/Workstation gépek: tőlem, nektek :)
-
bambano
titán
rendben, akkor meséld el, hogyha te lettél volna a rendszerszervező ebben a rendszerben, akkor milyen titkosítást csináltál volna és az milyen érdemi hátrányokkal járt volna ugyanezen betörő banda számára! azt is tedd hozzá, hogy ezek a hátrányok (értsd: mennyire akadályozta volna a csúnya bácsikat) arányosak lennének-e a jogosult felhasználásban elszenvedett hátrányokkal.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
#14595328
törölt tag
válasz Blindmouse #24 üzenetére
Na igen, értem mit akarsz mondani, sajnos eléggé jellemző. Itt mondjuk nem értem, hogy miért nem lehetett minden fontosabb adatot titkosítani, ha már valami eleve úgy volt tárolva, szóval a szándék megvolt erre.
Külföldi oldalak szerint SQL injection (és DDOS) segítségével szereztek adatokat, úgyhogy itt a programozás minősége is eléggé kérdéses.
-
haxiboy
veterán
Bármilyen titkosítás + salt és máris nehezebb megtörni az adatokat, egyesével meg sokáig tartana.
Egy okot mondj hogy miért jobb az esetlegesen gyorsabb rendszer annál hogy biztonságban vannak a banki adatok?
Ráadásul ha plain textben tárolsz ilyen adatokat, és ha nem is törik meg a rendszert de felvesznek egy alkalmazottat aki úgy gondolja hogy neki szüksége van xy pénzére mert jó buli?[ Szerkesztve ]
Premium Mining Rigek és Gamer/Workstation gépek: tőlem, nektek :)
-
bambano
titán
bármilyen titkosítás nem jó, kétirányú titkosítás kell.
"Egy okot mondj hogy miért jobb az esetlegesen gyorsabb rendszer annál hogy biztonságban vannak a banki adatok?": rendben: mert az a véleményem, hogy nincs olyan titkosítási algoritmus, amivel érdemben védeni lehetett volna ezeket az adatokat.
szerk2: nem ismerek olyan módszert, amivel bármit meg lehet védeni egy kellően felkészült belső emberrel szemben.
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
haxiboy
veterán
-
válasz #06658560 #22 üzenetére
Továbbra is érthetetlen a problémád.
A német bankrendszerben biztosítékot építettek be, a csalások ellen.
Az aláírással történő vásárlás összegét, egyetlen mozdulattal online visszavonhatod. Persze ennek megalapozottnak kell lennie. Az összes többit az ügyfélszolgálaton keresztül lehet visszavonni.
Nyilván az Amazonban vagy nagyobb cégekben meg lehet bízni. Nem fognak megalapozatlanul pénzt levenni a számládról.
A számlaszámod teljesen nyilvános, a tranzakciók során megkapja a másik fél, ha másként nem, hát utólag. Önmagában ezzel a számmal nem lehet visszaélni.
Egy megrendelt termék vagy szolgáltatás ellenértékét nem kell a teljesítés előtt leszedni a számládról. Általában nem is szokták előre beterhelni a számlád.Legyen béke! Menjenek az orosz katonák haza, azonnal!
-
lako05
tag
"továbbra is azt gondolom, hogy ezen a szinten nulla értelme van a titkosításnak, még akkor is, ha ezért minden esetben megkapom a magamét az okosoktól"
Ezt így ebben a formában nem mondanám, ha nem lenne titkosítva, akkor Script Pistike Kiddie is abban kutakodna.
Egyébként +1.Az én bankomnál a jelszó maximális hossza 8 karakter lehet. Még az olyan oldalakon se használok csak 8 karaktert, ahova életemben egyszer lépek be... Ráférne a bank szférára egy kis gatyába rázás.
-
lako05
tag
A lényeg, hogy nincs törhetetlen rendszer, nem is lesz. De azért amennyire lehet, nehezítsék már meg a fekete kalaposok dolgát, ne csak úgy odab@sszák az adatbázist plain textben, "úgyis mindent feltörnek" felkiáltással. A hülye user ellen meg semmi úgy sem véd semmi és általában ők szokták az asztalt borogatni.
[ Szerkesztve ]
-
bambano
titán
"nehezítsék már meg a fekete kalaposok dolgát": a határvédelem (=tűzfal, hozzáférés szabályozás, stb.) szerintem lényegesen többet ér ebben a problémában, mint a titkosított adatbázis.
(#37) efs "ha rendesen meg van oldva a titkosítás, akkor azért nem egyszerű visszanyerni az adatokat.": olyan állítás, hogy egyszerű visszanyerni az adatokat, nem hangzott el. az hangzott el, hogy aki ezen a szinten van, hogy csak úgy berongyol egy ilyen rendszerbe, azt nem lassítja érdemben a titkosítás. tehát azt sem állítom, hogy nem lassítja, azt állítom, hogy amennyit akadályozza, az már nem oszt-nem szoroz.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
#14595328
törölt tag
Azért SQL Injection (márha igaz, amit írnak külföldi oldalak) segítségével bejutni valahova nem a legbonyolultabb feladat. És ezt a jól konfigurált tűzfal sem fogja meg. Itt maga a kód volt hibásan / figyelmetlenül megírva, esetleg az SQL jogosultságok nem megfelelően beállítva.
És igen, ezt egyáltalán nem befolyásolja az adatok titkosítása, csak az nem mindegy, hogy mit szereztek meg, ha már a dump megvan.
Az oldalt az elmúlt 1 évben háromszor támadták meg, illett volna kicsit átnézni a kódokat szerintem. A megszerzett adatokért cserébe pénzt akartak a cégtől, ez nekem nem profi hozzáállást jelzi.
-
zseko
veterán
válasz Hieronymus #32 üzenetére
Egy megrendelt termék vagy szolgáltatás ellenértékét nem kell a teljesítés előtt leszedni a számládról. Általában nem is szokták előre beterhelni a számlád
HR24.hu
-
bambano
titán
válasz #14595328 #39 üzenetére
ahhoz, hogy hitelt érdemlően kijelenthessem, hogy meg lehet-e védeni sql injection ellen egy rendszert egy rendes tűzfallal, el kellene olvasnom megint a http szabványt (de ezt most nem fogom megtenni ). de kis összeggel arra fogadnék, hogy igen.
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
#06658560
törölt tag
válasz Hieronymus #32 üzenetére
Online vásárlás: kérik a BLZ nevű fiókkódot és a Számlaszámot. Pont. A teljesítés mi? Megkapom a repjegy kódját, vagy becsekkolok? Amazon ugyan ez. Megrendelem, megadom, kész. Na, ha megszerzik ezt a két adatot, akkor a napi/heti vásárlási keretig tudják meríteni a számlát.
-
-
bambano
titán
válasz #14595328 #44 üzenetére
szerintem (nehézsúlyú találgatás következik ) ha az applikációd elé elévarrsz egy apacs terheléselosztót, és ha igaz a hiedelmem, hogy a post requestben a változókat soronként ascii szövegként adja át, akkor lehet csinálni olyan reguláris kifejezést, hogy az sql injectionra utaló jeleket tartalmazó sorokat szűrje.
és akkor nem tudod ezzel a módszerrel támadni a szervert. de mivel továbbra sincs a todo listám tetején, hogy ma este http szabványt olvasgassak, ez találgatás kategória maradt
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
#14595328
törölt tag
Ez is egy megoldás lehet, amit írtál, de egy prepared statement sem okozhat gondot annak, aki adatbázissal dolgozik. Nem beszélve a tárolt eljárásokról, szóval ezt az oldalnak mindenképp kezelnie kellett volna, mégha a tűzfalon, egyéb "határvédelmi" megoldáson lyuk is van.
A DDOS-t is illett volna kezelni egy általad is említett terheléselosztóval.
-
Hintalow
senior tag
válasz #06658560 #42 üzenetére
Ez valóban így működik - németországban. Kb mint nálunk a csoportos beszedés, csak ezzel arra magányszemélyek tudnak fizetni.
Mondjuk nem tudom miért lett ez az elején idekeverve, amikor egy angol szolgáltatóról van szó, ahol semmit nem tudnak kezdeni szlaszámokkal.Másik felvetésre: sok helyen simán lehet fizetni csak kártyaszámmal és lejárattal (hirtelen amazon és abebooks jut eszembe, a cvv kód használata opcionális, anélkül is lehet kártyát elfogadni, ha megfelel a szabályozásnak az elfogadó.
Ha a multiverzum teória igaz, akkor van egy univerzum, ahol nem az.
-
jerry311
nagyúr
Elég szépen lehet adatokat védeni manapság, csak hát egyrészt ára van az eszköznek, másrészt meg kell fizetni a szakértelmet.
Egy "hagyományos" tűzfal ilyenekre alkalmatlan, de vannak helyette okosabb cuccok. Egy jól konfigurált web application firewall megfoghatta volna az SQL injectiont. Egy jól konfigurált anomaly detector megfoghatta volna a 4M-es lekérdezést. Egy jól konfigurált data loss prevention eszköz megfoghatta volna az adatok feltöltését. Még lehetnének további eszközök a listán.
Ezek egy része akkor is segíthetett volna ha belső ember akar adatot lopni.
Csak hát ezt meg kell venni, be kell állítani, üzemeltetni kell és még ha ez mind meg is van, akkor is lehetett volna adatot lopni. Jobb esetben összeült az IT, a jogászok, meg a pénzügyesek és a lehetséges adatlopások súlyossága, jogi és pénzügyi következményei alapján született egy adatvédelmi stratégia és költségvetés. A TalkTalk-nál erre futotta tudásból és pénzből.Ha meg hozzáveszem mennyire voltak komolyak a PCI DSS auditok, amikben volt "szerencsém" részt venni, akkor azt kell mondjam, csak a szerencsén múlt, hogy eddig egyetlen bankkártyám adatai sem kerültek ki a netre...
-
dabadab
titán
"amikor egy angol szolgáltatóról van szó, ahol semmit nem tudnak kezdeni szlaszámokkal."
Jeremy Clarkson is ezen a vélemenyen volt, de aztán elég gyorsan rájött, hogy tévedett (a sort code technikailag a számlaszám része, ez az egyes bankok kódja, mint Magyarországon a számlaszám első három számjegye)
[ Szerkesztve ]
DRM is theft
-
dabadab
titán
"minden algoritmust fel lehet törni, utána csak az a kérdés, mekkora lóerő kell a kulcsok kitalálásához."
Nem, nem lehet minden algoritmust feltörni.
Brute force-olni (ami teljesen más, mint az algoritmus feltörése) sem működik mindenre, pl. one time pad ellen nem jó."ráadásul az adatot időnként muszáj eredeti állapotában használni, tehát ha felnyomták a szervert és egy kicsit tudtak benne kotorászni, nem csak lehúzták az adatbázist és futás"
Ez egyrészt jogos felvetés, másrészt azért az is látszik, hogy jelen esetben, amikor csak egy SQL injectionnel harcoskodtak, pont elég lett volna. A titkosítás nem ezüstgolyó, de kétségtelenül megnehezíti a támadó dolgát.
"ha egy olyat is megszerez valahogy (akár más helyről is), akkor lesz egy halom titkos-clear szövegpárja, ami sok titkosításnak a halála."
Mondjuk modern titkosításoknál azért ez nem így van.
DRM is theft
Új hozzászólás Aktív témák
- Windows 11
- Politika
- OLED TV topic
- Alapértelmezett konfiguráción sok Core CPU-nak lehet stabilitási gondja
- Helldivers 2 (PC, PS5)
- A franciáknak elege van abból, hogy minden gyerek mobilozik
- VR topik (Oculus Rift, stb.)
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- Motorola Edge 40 - jó bőr
- Fejhallgató erősítő és DAC topik
- További aktív témák...
- Commlite CM-EF-NEX Auto-Focus Adapter (Canon EF - Sony E)
- Üzletből, garanciával, legújabb Asus Vivobook 17" i7-1355U 10 mag 5GHz/16RAM/1TBSSD/17,3"FULLHD
- Üzletből, garanciával DeLL XPS 15 9500 i7-10750H 32GBRAM 1TBSSD/GTX1650Ti 15,6"4KTOUCH
- i5 12400f 3070 gamer pc
- DeLL Precision 7740 workstation, üzletből, I7-9850H/32RAM/512GBSSD/NVIDIA QuadroRTX3000/17,3"FULLHD
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen