Új hozzászólás Aktív témák
-
net84
őstag
Nana! Be lehet nezni egy-ket dolgot. Mondjuk at IT oldalnak egy mail-t nem kellene. De gyakorlott felhasznalo is gond nelkul megoldja. Amivel addig nincs gond, mig nem sumakol. Az meg egy jo rendszernel ugyis kiugrik az IT-nal . Aztan max egy ethernet kabel banja (a leggyorsabb elszigeteles kitepni az aljzatbol).
Read only...
-
Egon
nagyúr
Nos, írtam már adathalász levelet, nem is egyet, cirka tízet. Apró, de nem elhanyagolható különbség, hogy azt egy cég (nagy magyar energetikai cég) megrendelte, a saját szervezetére, egy biztonságtudatosító projekt részeként.
Mindenki, ismétlem mindenki, kortól, nemtől, beosztástól függetlenül benyalta a levelet, és megnyitotta a csatolt preparált pdf-et. Ehhez elég volt előtte némi OSINT az illetőről, a neten fellelhető infók alapján.
Egyszerű példa: küldesz random HR-esnek egy levelet, egy adott pozícióra jelentkezvén (amit akár tényleg hirdet is a cég), és megírod, hogy csatoltad a CV-det (ami mondjuk egy preparált pdf). Szerinted nem fogja megnyitni?"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
net84
őstag
Az IBSZ es a gyakorlati protokollok megismertetese, elsajatitasa utan, mint egy vizsga gyanant gondolkodom valami ilyenen en is.
Legalabb az lathato lenne, hogy egy tamadas kiserletet vagy fertozesi veszely figyelmeztetest hanyan jelentenek azonnal - a jelenelegi arany siralmas, pedig mindig kiemeljuk, hogy inkabb az IT legyen turaztatva feleslegesen 2 percig, mint az egesz ceg szivjon napokig egy kenyszerleallassal.Read only...
-
nagyúr
-
-
nagyúr
-
-
dolon75
aktív tag
tudták, hogy valami van, es hogy valaki piszkálta a rendszert.
azt nem biztos hogy tudták, hogy mindenhez hoztafertek, hozzafernek.
én igy értettem, de lehet, hogy rosszul.Ami érdekes, hogy a telexes cikk végén mondja egy szakértő:
"A jogszabály szerint tehát az eKRÉTA Zrt.-nek a NAIH felé közvetlen bejelentési kötelezettsége a KRÉTA-rendszerrel kapcsolatban nincs, de az adatkezelő intézmények felé értesítési kötelezettsége igen."ez azt jelenti, hogy jogszerűen járhattak el, ha akkor írtak az iskoláknak? és az iskoláknak kellett volna bejelentést tenni a hatosagi felé?
Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
-
Egon
nagyúr
A szervezet érettségétől és a dolgozók hozzáállásától, valamint nem utolsósorban a vezetői elkötelezettségtől a biztonság iránt érdemes vagy nem érdemes ilyet csinálni (kellemetlen pl. ha megverik az egyszeri IBF-et.. ).
Arra mindenképp ügyelni kell, hogy az oktatott anyag alapján azért fel lehessen ismerni, hogy egy adathalász levél volt, nem érdemes (és nem is korrekt) tökéletes levélre törekedni (ha célzott, emberre szabott levélről van szó)."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Ami érdekes, hogy a telexes cikk végén mondja egy szakértő:
"A jogszabály szerint tehát az eKRÉTA Zrt.-nek a NAIH felé közvetlen bejelentési kötelezettsége a KRÉTA-rendszerrel kapcsolatban nincs, de az adatkezelő intézmények felé értesítési kötelezettsége igen."
ez azt jelenti, hogy jogszerűen járhattak el, ha akkor írtak az iskoláknak? és az iskoláknak kellett volna bejelentést tenni a hatosagi felé?Az adatvédelmi jogszabályok megkülönböztetik az adatkezelőt (nem szeretem ezt a megnevezést, a definíciója szerint inkább adatgazdának kellene hívni), és az adatfeldolgozót (ebben a sztoriban értelemszerűen az e-KRÉTA Zrt adatfeldolgozó a szakértő szerint). Az adatkezelő felel az adatfeldolgozó tevékenységéért is (adatvédelmi szempontból). Ugyanakkor nekem az a véleményem, hogy jelen esetben inkább közös adatkezelésről lehet beszélni. Majd a NAIH megmondja a tutit.
[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
dolon75
aktív tag
Legalábbis gyanúsnak kellett volna lennie...
Egyáltalán ki az állam részéről a "kapcsolattartó" szerv?
Gyanítom, hogy őket is kellett volna tájékoztatni a bajról.Jogilag is fura az egész (legalábbis laikus szemmel). Nem a Krétát törték el (most), hanem csak használták fishing-re. Ami sikeres lett, és így törték fel a manager gépét.
Amin keresztül meg mindent vittek.
Az adatfeldolgozó (fejlesztők) tájékoztatta az adatkezelőket (az iskolákat), hogy valami van. Azoknak gőzük sem volt arról, miről beszél a fejlesztő, aki kapisgálta, az meg jól megijedt.
Az iskoláknak nem kellett volna bejelentést tenni hivatal felé?
Persze, ha olyan levelet kaptak, hogy "volt egy kis hiba, ellenőrizzétek le, talán némi adathiány, blablaba, de minden rendben, de azért ha gondoljátok, jelezzétek hivatalnak", akkor nem csináltak semmit.Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
Mr.Csizmás
félisten
50 hsz óta véded a védhetetlent, a kréta-hack egy tipikus magyar sikersztori cinikus felütéssel. bennevan minden, az inkompetens root joggal felruházott admin user, a szovjet módra történő elhallgatás, következmének nélküliség, ....
"Szólítson csak Cirminek." | B&B XI | 3D nyomtatás Bp és környéke |
-
Egon
nagyúr
Egyébként itt az adatkezelői tájékoztató (elég gagyi, van benne mondatismétlődés is, ahogy gyorsan átfutottam, egyből feltűnt): [link]
A kulcsmondatok (kiemelés tőlem):
Az Adatkezelő a nemzeti köznevelésről szóló 2011. évi CXC. törvény (a továbbiakban: Nkt.), valamint a közalkalmazottak jogállásáról szóló 1992. évi XXXIII. törvény értelmében minden esetben az intézmény.
Az Adatkezelő a KRÉTA rendszer üzemeltetésére és az ezzel együtt járó adatfeldolgozási feladatok ellátására magasabb jogszabályi előírások alapján vagy szerződéses úton más szolgáltatót bíz meg.
Az állami fenntartásban lévő intézmények esetében a 134/2016. (VI. 10.) Korm. rendelet az állami köznevelési közfeladat ellátásában fenntartóként részt vevő szervekről, valamint a Klebelsberg Központról 5. § (2) bekezdés 20. pontja a Klebelsberg Központot jelöli meg erre a feladatra. A Klebelsberg Intézményfenntartó Központ fenntartásában működő egyes szakképző intézmények átadásáról, valamint egyes kormányrendeleteknek a szakképzés intézményrendszerének átalakításával összefüggő módosításáról szóló 146/2015 (VI.12) Korm. rendelet 3. § alapján a kiválással érintett köznevelési intézmény fenntartói jogai és kötelezettségei tekintetében a szakképzésért és felnőttképzésért felelős miniszter, a munkavégzésre irányuló, 4. § (1) bekezdés b) pont ba) alpontja szerinti jogviszonyok tekintetében a szakképzésért és felnőttképzésért felelős miniszter által vezetett minisztérium, illetve az Nemzeti Szakképzési és Felnőttképzési Hivatal (továbbiakban NSZFH) a KLIK jogutódja. A Herman Ottó Intézet Nonprofit Kft., illetve a nem állami fenntartásban lévő oktatási intézmények esetében (pl. egyházi, alapítványi oktatási intézmények) az eKRÉTA Informatikai Zrt-vel kötött terméktámogatási szerződés alapján történik az adatfeldolgozás.Az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt, illetve az általa vagy az általa igénybe vett adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is megtéríti.
Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Nem a Krétát törték el (most), hanem csak használták fishing-re.
Ke? Értem, tehát az adatok amit elloptak, nyilván egy Excel táblából származnak, és nem az e-Krétából...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Jogilag semmi különbség nincs.
Elektronikus információs rendszerről van szó, annak része az infra (ezen belül a hardver, a VM, és az oprendszer is, no meg a hálózat, határvédelem stb.) és az alkalmazás is."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Z_A_P
addikt
"küldesz random HR-esnek egy levelet, egy adott pozícióra jelentkezvén (amit akár tényleg hirdet is a cég), és megírod, hogy csatoltad a CV-det (ami mondjuk egy preparált pdf). "
Na ez realis, ok.
Ha idegeketől várok levelet+csatolmanyt, akkor evidens.
Kérdés, mi az a preparalt PDF?OK
-
Egon
nagyúr
Nyilván egy olyan pdf, ami valami extrát művel a háttérben láthatatlanul, mondjuk egy zero day sérülékenységen keresztül tud valami csúnyaságot csinálni.
Amit mi használtunk, az mindössze annyit csinált, hogy egy külső webhelyre kiküldött egy jelzést, hogy megnyitották a pdf-et, így egy kis adatbázisban letárolódott, hogy ki (mivel minden pdf egyedi volt) és hányszor próbálta megnyitni (egyébként üres lap nyílt meg, ennek ellenére volt olyan user, aki tizenpárszor próbálta megnyitni - nem tudom az mire számított... ).
Egyébként nem csak várt levelet nyitnak meg. A cég akinél ez a kampány volt, működtetett egy sportegyesületet is, és emlékeim szerint a céges e-mailek voltak megadva kapcsolattartásra. Az egyik szakosztályi elnöknek ment levél, hogy a csatolt képen látható kárt okozta az egyik (nem közúti) járművük egy másik járműben (az egyszerűség kedvéért mi csak pdf-et használtunk csatolmányként, de nyilván sokféle fáljt lehet preparálni), és ha X időn belül nem térítik meg, akkor megy a feljelentés blabla. Nyilván megnyitotta az ürge.[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
net84
őstag
Nem személyre, maximum munkakörre szabottan küldenék levelet. Ellenségem van elég, nekem sem kell több (és csuklani sem szeretek). A szabályok, protokollok betartását mérném meg (ezt fel is dobom a következő megbeszélésen ). Adtál néhány ötletet...
#158 hcl - az a levél vagy nem ért oda minden iskolába (megakadhatott a tankerületi szinten is az információ) vagy nem gondolta minden intézményvezető, intézményi adminisztrátor, hogy lenne további teendője... Mivel amúgy is gyengém az adatvédelem - a gyerek iskolája pedig páros lábbal tiporta a szabályokat - és még rendkívüli szülői értekezletet is összehívtak (a szóbeszéd szerint más miatt), így lesz módom meginterjúvolni és irányba állítani az intézmény vezetését.
#167 Egon - mondtam én, hogy bárki/mindenki más fogja elvinni a balhét, csak nem ők...
A legideálisabb esetben az infra is a KK tulajdona és a manager is nála volt megbízásban abban az óra-perc-másodpercben, amikor kattintott .
Mindentől függetlenül én úgy gondolom, ott hibáztak, hogy nem ment egyértelmű jelzés, utasítás az intézmények (vizsgálandó a tankerültei központok felelőssége) felé az incidensről. Az intézmények, tankerületek nem jelezték a NAIH felé, illetve ha a HW oldal a eKRÉTA Zrt. tulajdona, a támadás után szerintem bejelentést kellett volna tennie (adat ment ki tőle, csak nem az övé, így a az adatkezelőnek is kellett volna jelentenie). De a jelek szerint mindenki határozott kussban töltött több mint 1 hónapot.Már csak az a kérdés, hogy ebben a bő egy hónapban mi volt a minisztériumi álláspont az ügyben?
Szerintem el jött az idő, hogy a KIFÜ (tudom, ők sem egy mintapéldányok, de legalább náluk szigorúbb a rendszer) alá legyen beforgatva a Kréta rendszere és az a temérdek pénz, ami erre az egész sz@rra kifolyik és elöntik papírral és szabályozással az összes érintettet.
Read only...
-
Új hozzászólás Aktív témák
- Melyik tápegységet vegyem?
- Poco X6 Pro - ötös alá
- Politika
- Átjutottak a Ciscón, betörtek a kormányok hálózataiba
- Redmi Note 13 Pro+ - a fejlődés íve
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Projektor topic
- PlayStation 5
- Új Noctua CPU-hűtő érkezett a helyszűkében szenvedő gépházakba
- 3D nyomtatás
- További aktív témák...