- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Synology NAS
- 3,6 billió dollárt ér az NVIDIA, idáig még egy cég sem jutott el soha
- Vodafone otthoni szolgáltatások (TV, internet, telefon)
- Hálózati / IP kamera
- Windows 7
- QNAP hálózati adattárolók (NAS)
- Windows 10
- AliExpress tapasztalatok
- Windows 11
Új hozzászólás Aktív témák
-
#2
Victoryus94
őstag
bambano
#1
Victoryus94
őstag
Nem erről van szó, nem esett szét semmilyen rendszer emiatt. De ha egy admin usernek 1234 a jelszava, esetleg a cég neve, stb. akkor illetéktelenek elég sok mindent láthatnak/csinlhatnak, amit nem kéne (akár egy hagyományos jogú felhasználó is hozzáférhet bizalmas céges adatokhoz, mivel ezeket használja a munkája során.
Ha pedig több rendszer valamilyen protokollon keresztül össze van kötve (pl update csatorna), szépen tovább lehet lőni az ártalmas kódokat.
[ Szerkesztve ]
-
#3
bambano
titán
Victoryus94
#2
bambano
titán
válasz
Victoryus94
#2
üzenetére
"nem esett szét semmilyen rendszer emiatt.": vagyis a cikkben szereplő "egyik, ha nem a legnagyobb botrány" kifejezés csak bulváros clickbait? hint: nem.
de, emiatt fél amerika kilyukadt, mint a szita.az, hogy egy darab kiszivárgott triviális jelszóval össze lehetett borítani az egész miskulanciát, mutatja, hogy vagy nem voltak biztonsági folyamataik, vagy azok elégtelenek voltak. biztosan nem volt rétegzett védelmük, nem volt többszintű forráskód ellenőrzés, stb. vagy ha volt, nullát ért. anno, amikor vms rendszergazda voltam, 1991 körül, már volt jelszó-erősség ellenőrzés a vms-ben. nem volt ilyen egy ennyire magas biztonsági igényű szervezetben? ne vicceljünk már.
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
#7
Alteran-IT
őstag
Alteran-IT
őstag
Én vagy 5 évvel ezelőtt megmondtam az akkori hülye IT cégünknek aki erőltette ezt a programot, hogy ez a program úgy ahogy van egy kalap szar, főleg hogy még az erőforrásokat is eszi rendesen, mit ad isten, igazam volt mindkét esetben, bár azért hozzáteszem, ennek a hibának és botránynak még közel sincs vége így, addig meg főleg nem lesz, amíg lesz vevő az ilyen szar programokra, de hát hülye az mindig van és lesz is.
Ja ami a gyakornokos béna kifogást illeti: a gyakornok egy gyakornok, felügyelet alatt kellene hogy dolgozhasson, a munkáját meg valami baromnak ellenőrizni kellene, ha már ilyen sok barommal van tele ez a cég, de amúgy tényleg az is milyen, hogy egy mester jelszót egy gyakornok ad meg egy ilyen szarban, úgy hogy külsős veszi észre, szóval az egész cég egy vicc, bár ezt már anno megmondtam.
[ Szerkesztve ]
-
bambano
titán
de nem csak az a problémám, hogy gyenge volt a jelszó.
nincs code-review? bele lehet rakni úgy kódot egy ilyen rendszerbe, hogy évek alatt se derül ki?
nem volt blackbox tesztelés?
értem én, hogyha én, csajágaröcsögei mucsajpuszta ev. csinálok egy tűzfalat a számlázó rendszerem elé, akkor ott több dolog se történik meg, amit lehetne, csak nem éri meg. de ez pont nem ez a szint, hanem a másik véglet. legyen már egy cég, amelyik ilyen helyekre beszállító, egy fokkal komolyabb, mint én...Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
clon
aktív tag
Az hagyján, hogy egy "gyakornok" a hibás DE egy gyakornok nem önálló felelősséggel van a cégnél mert mindig van(nak) akik felügyelik őket (+pénzt is kapnak ezért) és őróluk nincsen még említés sem. Ebből látszik itt csak felelősségtologatás van és a legutolsó emberre lett tolva a felelősség aki után már csak a "kis vakond" van.
Gondolom azóta már jómunkásember lett a "gyakornokból" DE most csak azzal, hogy vélelmezhetően rákerült a hiba felelőssége szakmailag és erkölcsileg is el lesz lehetetlenítve és könnyen előfordulhat, hogy nem fogja senki alkalmazni a szakmájában. Persze ha esze van akkor gyorsan ír 1-2 könyvet és belesz@rik a ventilátorba és ha ügyes még a filmjogokat is értékesíti
-
#10
aprokaroka87
nagyúr
aprokaroka87
nagyúr
Tehát akkor a gyakornok talált ki egy " nehéz " jelszót?
Vagy azt adták meg a gyakornoknak eleve? :)
[ Szerkesztve ]
-
ddekany
veterán
"2019-ben fedezte fel a nyilvános weben egy független biztonsági szakember"
A gyenge jelszó tán legkevesebb itt. Az a ciki, hogy csak jelszóval (+ felhasználó névvel... azt hogy találta el külsős?) lehetett bármit kezdeni. Nyilvános web felöli belépéshez azért illene kétfaktoros azonosítás. Mert a jelszót sokszor lejegyzik valahogyan a dolgozók, és ezt megakadájozni gyakorlatilag nem lehet.
Persze aki volt nagy cégnél, az tudja, hogy van ez... Fejetlenség, dolgozók jönnek mennek, senki nem látja át, mi hol van és miért, ki a gazdája. Ez is biztos valami "úgyfelejtett" cucc...
[ Szerkesztve ]
-
Hi!King
őstag
Egyébként mit gondolsz arról, hogy van egy biztonságos céges VPN, nyilván amit korlátozott számú ember ér el, azon belül viszont nem csak dev meg qa, hanem production szervereknek is holtprimitív jelszavai vannak. Azért kérdezem, mert nem egy munkahelyemen tapasztaltam ilyet.
[ Szerkesztve ]
-
bambano
titán
az emberek zömében a helyes jelszóval kapcsolatos szabályok tévesek.
egy szerveren olyan erősségű jelszót kell használni, hogy a feltörésének statisztikailag várható ideje több legyen, mint a rajta levő infó hasznossága. szóval ennyiből nem lehet megmondani, hogy egy jelszó jó vagy sem.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Így van.
Új hozzászólás Aktív témák
it A SolarWinds vezetői egy gyakornokot hibáztatnak egy súlyos jelszóbiztonsági hiba miatt, ami évekig észrevétlen maradt.
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest