-
Fototrend
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
#2845
sh4d0w
félisten
aprokaroka87
#2844
válasz
aprokaroka87
#2844
üzenetére
1-et kifejthetnéd, mert nem értelmezhető.
2: böngésző címsor - el kell olvasni, ami oda van írva és értelmezni.
-
#2844
aprokaroka87
nagyúr
sh4d0w
#2843
aprokaroka87
nagyúr
A technika azért van hogy Adott esetben segítsen abban hogy a felhasználó jobban tudjon figyelni a " sebezhető " pontokra.
1. Az valóban jó ötlet hogy legyen valamiféle hitelesítési folyamat a weboldalak kapcsán ( pipa vagy hasonló )
2. Szerintem érdemes lenne url mezőt ilyen esetben valahogy jobban kiemelni, hogy fókuszt kapjon.
Nagyobb betűméret, más jobban látható betűszin, stb.3. Kérdéses hogy egy agyon csicsázott mindenféle mozgó vackot tartalmazó weboldal mennyire fogja elvonni a figyelmet majd.
-
válasz
inf3rno
#2842
üzenetére
Igen, de technikai megoldás nem tudja helyettesíteni a figyelmesen olvasást.
Több más dolog mellett ezért is van, hogy a biztonság nem csak az IT dolga és totális nonszensz, hogy amit valaki alkalmaz a professzionális életében, azt azonnal elfelejti, mihelyst befejezi a munkát aznapra. -
inf3rno
Topikgazda
Ha úgy érted, hogy egy betű elírás van, akkor figyelmesen kell olvasni, nem csak átfutni. Max pár másodperccel több az életedből. Én nem fizetek annyira sűrűn, hogy ne férne bele. Egyébként a böngészőgyártók betehetnének plusz egy fizetési szolgáltató jelölést vagy védett oldal jelölést, stb. annak, aki fizet érte, aztán akkor nem lehetne összekeverni.
-
-
#2840
inf3rno
Topikgazda
aprokaroka87
#2839
inf3rno
Topikgazda
válasz
aprokaroka87
#2839
üzenetére
Lehetséges tudatossá válni ilyen téren, és szűrni az érzelmi manipulációt, csak sok gyakorlás kell.
-
#2839
aprokaroka87
nagyúr
inf3rno
#2838
aprokaroka87
nagyúr
válasz
inf3rno
#2838
üzenetére
Valaki úgyis lesz aki be fog sétálni a csapdába, viszont szerintem valaki minél többet találkozik ilyen dolgokkal, de nem megy tovább, az tanul belőle.
Az érzelmi dolog meg igazából talán az egyik legkönnyebb pszichológiai trükk.
Tegye fel a kezét aki fáradtan, kis idegességel keverve nem kezd el " nem látni " dolgokat.
-
#2838
inf3rno
Topikgazda
aprokaroka87
#2823
inf3rno
Topikgazda
válasz
aprokaroka87
#2823
üzenetére
Mármint ez komolyan kérdés? Nyelvezet, nincs lakat az URL mellett, más név van az URL-ben, érzelmi ráhatás pl. sürgetés, ijesztegetés, emailhez túl komoly, szokatlan téma, meg még lehetne ezer dolgot felsorolni. Én csináltam ilyen oktatást, mindent elmondtam, amit tudok, adtam több oldalas anyagot, hogy mit érdemes végignézni online vásárlásnál, aztán rá két hétre lehúztak az egyik hallgatótól 300k-t. Szóval sok értelme nála nem volt... Mondjuk más írta többször, hogy megúszott átveréseket nekem hála meg volt, hogy írtak, hogy ez vagy az átverés e, aztán persze, hogy az volt.
-
#2837
cigam
titán
aprokaroka87
#2836
válasz
aprokaroka87
#2836
üzenetére
Igen, mert akiknek ez lenne a dolguk, azok helyett végzik ezt a munkát több-kevesebb sikerrel.
Nem technikai akadálya van, inkább jogi. -
#2835
cigam
titán
aprokaroka87
#2834
válasz
aprokaroka87
#2834
üzenetére
Per pillanat nem. Csak hivatalból kivizsgálja a bejelentést.
Hja kérem aki külön utakon jár, az így járt. Nem valószínű, a külföldi, vagy a felsőbb szintű DNS szolgáltatók, átveszik a tiltást. Szerintem még EU-n belül sincs ilyen közös platform. Meglepő lenne, ha a magyar hatóság döntésének bármilyen hatása lenne más országokra.
De jól van ez így, az emberek többsége úgyis a szolgáltató DNS-ét használja. Sajna a böngésző készítők, és a DNS szolgáltatók előrébb járnak. -
#2834
aprokaroka87
nagyúr
cigam
#2833
-
#2833
cigam
titán
aprokaroka87
#2832
válasz
aprokaroka87
#2832
üzenetére
Tudod, de nem a szolgáltató felé.
-
Miét kell bírósági ítélet, vagy törvénymódosítás, hogy egy bankot megszemélyesítő kamu oldalt felvegyenek a KEHTA-ba?
Miért nem alkotnak egy jogászok, és pénzügyi szakemberek által megszövegezett csalás elleni törvényt? Ilyenkor a csaló oldalak akkor is tiltólistára kerülhetnének, ha a bejelentőt nem tudták lehúzni, csak értesíti a hatóságot a csalási kísérletről.Az meg nonszensz, hogy ez az adatbázis nem publikus.
-
#2830
aprokaroka87
nagyúr
Egon
#2829
-
#2829
Egon
nagyúr
aprokaroka87
#2828
Egon
nagyúr
válasz
aprokaroka87
#2828
üzenetére
de mi van azokkal akik igazából életük első adathalász oldalukat fogják látni?
Azok megszívják. Nem kicsit, nagyon. Szétk*rják őket, extra csípős, üvegszilánkos vazelinnal. Halál ellen nincs orvosság.
Mégis, mire akarsz kilyukadni? Tökéletes védelem nincs. Sosem volt, sosem lesz. -
Az emberi tényező kihagyhatatlan a security-ből, muszáj mindenkinek használnia a fejét, ha online bármilyen tranzakciót végrehajt, egyszerűen nincs mindenre technikai megoldás.
Igenis megnézed, milyen oldalon vagy, biztosít-e titkosított kommunikációt, utánajársz, milyen az adott oldal reputációja.
-
#2826
aprokaroka87
nagyúr
cigam
#2824
aprokaroka87
nagyúr
Igazából ha megnézzük a nu meg a hu esetén egy kis vonal híján szinte egyforma, ez bizony tény, illetve a billentyűzeten is közel vannak egymáshoz.
Valószínűleg ez tudatos volt, és sanszos hogy ebbe még egy tapasztalt illető is könnyebben bele futna, pláne ha épp siet, fáradt, stb...A typosquatting amúgy is egy elég " aljas " dolog ...
-
Ez a sérülékenység adta a kérdést: Hogyan tudom kideríteni, hogy a routeremben milyen chip dolgozik? Konkrétan egy AX20 V1-ről van szó.
-
#2824
cigam
titán
aprokaroka87
#2823
válasz
aprokaroka87
#2823
üzenetére
A használat előtti oktatás/vizsga magára a számítógép használatra, és külön emelt szinten az Internetre vonatkozva is jó lenne. Vannak próbálkozások, de van hova fejlődni. A pénz és az ész nem ok okozati összefüggés. Nem járnak párban.
Amúgy meg ha úgy néz ki, mint egy kacsa, úgy jár, mint egy kacsa, és úgy hápog, mint egy kacsa, akkor az valószínűleg kacsa.
Hány ember néz rá a címsorra, hogy pontosan mi nyílt meg? Még én se biztos hogy egyből kiszúrnám az erste.nu címet, még úgy sem ha a levél linkjét kézzel kimásolom a böngészőbe.
Az ember kap egy levelet a szolgáltatójától, nem az az első, hogy kielemzi a fejlécben található infókat, hogy kiderítse a valódi feladót. Természetesen gyanúra ad okod, ha nem vagyok kapcsolatban az adott szolgáltatóval.
De mondhatnám a WEBshopokat is. Ha találok egy boltot ahol 5 fillérrel olcsóbban árulnak valamit, vagy éppen "végkiárusítást" tartanak nem az az első, hogy megnézem hova van bejegyezve, milyen a cég háttere, a törvényeknek megfelelő-e az ÁSZF, garancia, hová kell visszaküldeni, ha meggondolom magam, milyen vélemények gyűltek össze a boltban vásárlóktól.Ne magadból indulj ki! Ami neked evidencia, az másnak varázslat.
Egon
Majd kapok róla értesítést? A levélben lesz egy engedélyező link? Amilyen buták(van rá jobb szó?) az emberek, a bűnözők meggyőzi őket, hogy látják, hogy elakadt az utalás, nyugtázzák, hogy valóban érvényes, szándékos pénzmozgás történik. -
#2823
aprokaroka87
nagyúr
aprokaroka87
nagyúr
Vajon az járható út lenne hogy netbank és applikáció használat csak akkor lenne engedve ha az adott user elvégez valami képzést?
Én pl kíváncsi lennék rá hogy amikor valaki rá kattint egy adathalász oldalra akkor mit nem vett észre. -
#2822
Egon
nagyúr
aprokaroka87
#2820
Egon
nagyúr
válasz
aprokaroka87
#2820
üzenetére
Anomáliadetekcióra jó lesz. Így jó pár csalást meg lehet majd előzni elvileg. Feltéve persze, ha nem lesz túl sok false positive.
-
#2821
Xpod
addikt
aprokaroka87
#2820
válasz
aprokaroka87
#2820
üzenetére
Kb semmire.
Pénzintézetnél a pénzmosás, meg terrorizmus akadályozása miatt (legalábbis erre hivatkoznak) valamilyen szinten vegzálják az embert. Ha ott nem tűnik fel, hogy valaki hamis személyivel akar számlát nyitni, vagy hogy a csövi miért akar egyszerre 5 számlát nyitni akkor mire is lesz jó az MI? Ez szerintem a "vakulj paraszt" kategória.
-
#2820
aprokaroka87
nagyúr
aprokaroka87
nagyúr
kérdés hogy mennyire lesz elég
-
Egon
nagyúr
Mivel az ENISA csinálja, és neki hosszú az URL-je, evvan.
Nyilván el lehet menteni könyvjelzőként, akinek ezt nézegetni kell, annak ez a legkisebb problémája.
Inkább örülni kell hogy van, ha már reális a veszélye, hogy a p*csfej USA kormányzat miatt az eddigi adatbázis léte is veszélyben van... -
Nem ismerem ennyire az otthoni termékeket, de szerintem nem nagyon van ilyen.
Kb 99%-ban webes felületről leveleznek a home userek, oda meg csak a szolgáltató tud adni védelmet és szerintem emiatt nem annyira vannak spam filterek otthonra.Céges környezetben egyébként sok vírusirtónak van jobb-rosszabb spam szűrő megoldása, csak az fizetős.
-
Ááá... otthonra. Tudom a hozzászólásokból, és témákból, hogy itt a (nagy)vállalati/kormányzati gazdák beszélgetnek, de hátha van tipp otthonra is. Thunderbird, Outlook, stb plugin féleségre gondoltam ,de annak sem vagyok ellensége, hogy önálló programként a háttérben futva imap-on keresztül átfésülje az inbox-ot, és amit elkap, azt tegye át a spam mappába. Pl. víruskergetők csak a vírusokat (csatolmányokat) nézik át?
Ahol dolgozom kis cégnél van saját domain levelezéssel, de a szolgáltató nem ad hozzá központ szűrési lehetőséget. A Roundcube szűrője eléggé limitált, és fiókonként kellene beállítgatni, frissíteni. -
Céges környezetbe elég jó spam szűrőket lehet vásárolni. (Nekünk Cisco volt amíg felhőbe nem költöztünk és havi szinten kb 2 jutott át rajta.)
M365-be költözés óta havi 4-5 jut át.Persze amíg mindenki ingyenes email szolgáltatást használ (sokan még céges környezetben is) és mosolyogva beregisztrál minden baromságra addig nem kell csodálkozni az adathalászat eredményességén.
-
Nyilván....
Most is tele a média az MBH-s csaló levelekkel meg weboldalakkal. Megszólaltatják a bankot, a biztonsági szakértőt, keresik a károsultakat, hogy interjúzzanak velük, de addig nem jutnak el, hogy miért nincsenek ezek a csaló oldalak letiltva? Hogy ez kinek a feladata lenne, és hogy miért nem tesznek ellene érdemben.Amúgy létezik valami jó kis betanított AI a levelezőhöz való spam filter?
-
2 hét, legalábbis nekem ennyi idő múlva jeleztek vissza tavaly, hogy már nem érhető el az általam bejelentett tartalom. (az más dolog, hogy a bejelentés után kb 2 órával már nem értem el a weboldalt, de elég valószínűtlennek tartom., hogy a hatóság ilyen gyors lett volna)
Visszatérve az NKI-hoz. Ha képesek akár napi szinten több alkalommal is riasztást küldeni, hogy az alábbi 20 IP címet, meg 40 URL-t, mert 15 mailbox-ot tegyük tiltólistára a tűzfalon, szerveren stb. akkor miért nem képesek inkább letiltatni őket az internet szolgáltatóknál? (Persze az küldik, hogy az NTG-n le van tiltva, de mi van a többi szolgáltatóval?)
aprokaroka87: nagyon sok vírusirtó és contetnt filtert készítő cég létezik. Ha ők meg tudják oldani, hogy legyen egy adatbázisuk a káros tartalmakról, akkor egy állami szervezet is legyen képes megoldani ugyanezt. (sőt sok esetben a böngésző is figyelmeztet, ha olyan oldalra lépsz, hogy "bejelentett támadó oldal, biztos akarod?") A tárhely szolgálató meg szerintem képes lefuttatni egy scriptet ami megnézi, hogy a saját szerverein ugyan milyen tartalom kezelő rendszerek vannak és amik már x időnél régebbiek, azokat értesítse ki, hogy 1 hetük van frissíteni vagy letiltják tartalmat. Szerintem ezekkel kb negyedére csökkenhetne az adathalász weboldalak száma.
-
#2811
aprokaroka87
nagyúr
Xpod
#2810
aprokaroka87
nagyúr
A felelősség áthárítása nyilván mindig könnyebb.
Viszont a végfelhasználói oldal tulajdonképpen 3 dologgal kerül kapcsolatba böngészés során.
A weboldal, az internet Szolgáltató, és a böngésző.A böngészőkben van olyan opció ahol tudom jelenti Adott net szolgáltató felé hogy valami nem oké az adott weboldalal?
nyilván ez infrastruktúra is.
De nyilván az lenne a legjobb ha már el sem tudna jutni adott felhasználóhoz a hamis weboldal. -
Erre azért én nem tennék fel egy csoki áránál nagyobb összeget.
aprokaroka87: csak amíg ennek a felelősségnek a betartása nincs kikényszerítve addig nem ér semmit. Én legalábbis erre vezetem vissza, hogy 5-8-10 éves CMS rendszereket használ nagyon sok weboldal, ami tele van lyukakkal, meg rosszul beállított jogok miatt közvetlenül elérhetők a mappák írásra is. És ezeken egyszer csak megjelenik az adathalász tartalom.
-
#2809
Egon
nagyúr
aprokaroka87
#2808
Egon
nagyúr
válasz
aprokaroka87
#2808
üzenetére
Jó kérdés, nem tudom.
-
Ez fél igazság.
Az NKI csak a kormányzati dolgokkal foglalkozik (már ha foglalkozik vele). Magánszemélyeknek, piaci cégeknek az NMHH felé kell jelezni az adathalászatot. https://nmhh.hu/cikk/190108/Adathalasz_tartalomAz, hogy az NMHH csinál-e ezekkel valamit már erősen kérdéses.
Szerintem a webtárhely szolgáltatóknak és a weboldal tulajdonosoknak is felelősségük van az adathalász weboldalak felderítésével kapcsolatban.
-
Egon
nagyúr
Nap mint nap gondolkodom azon, hogy miért nincs erre pár ember valamelyik állami szervnél, akik értik a problémát, és érdemben tudnak intézkedni. akár úgy, hogy blokkoltatják a neveket, de akár el is járhatnának nemzetközi szinten, hogy az adott domaint csalásra használják.
Röhögni fogsz, van ilyen: úgy hívják hogy NKI. Egyébként a problémát inkább a domain regisztrációnál kellene-lehetne szűrni, nyilván nemzetközi együttműködésben.
-
#2802
cigam
titán
aprokaroka87
#2801
válasz
aprokaroka87
#2801
üzenetére
Na és ki utasítaná az ISP-ket? A rendörség lepattint, az NMHH lepattint, a bank lepattint, ahogy a nic.hu is. Maradt a sóhivatal mint lehetőség.
Nap mint nap gondolkodom azon, hogy miért nincs erre pár ember valamelyik állami szervnél, akik értik a problémát, és érdemben tudnak intézkedni. akár úgy, hogy blokkoltatják a neveket, de akár el is járhatnának nemzetközi szinten, hogy az adott domaint csalásra használják.
Bezzeg NIS-es bohóckodásra vannak cégek, szabályok, büntetések ...
-
#2801
aprokaroka87
nagyúr
aprokaroka87
nagyúr
Azért szerintem 2025-ben már el kellene jutni oda hogy az isp-k legalább dns szinten ki szürjenek olyan dolgokat mint az mbhbank.nu meg hasonló dolgok
-
[Fizethet a Pegasus fejlesztője a Meta-nak]
Értem, hogy Amerikában minden megtörténhet, de ez (is) nagyon rossz irány. Nekem az jön le, hogy nyugodtan készíts lyukas programot. Amikor kihasználja valaki, majd jól bepereljük, és még pénzt is kapunk érte.
Nem mellesleg képmutatásnak tűnik, hiszen az állami szervek is használták, tudtak róla, hogy whatsappon keresztül is be tud menni. Az egyik kezemmel titokban kutakodok, majd a másik kezemmel megbüntetnem azt, aki ebben segített? -
Egon
nagyúr
[Haladékot kaphatnak a vállalkozások a kötelező kiberbizonsági audittal kapcsolatban]
Ami az egyiknek étek...
![;]](//cdn.rios.hu/dl/s/v1.gif)
-
Ez meglátásom szerint ott jön elő, ahol mindenki ellen érdekelt:
- vezetőség: nem akar költeni rá, mert sokba kerül és nem érdekli a biztonság, jó nekik a 20 éves technika,
- informatikus: vagy nincs tudása és csak barkácsolgatja a rendszert, vagy van valamennyi tudása és amit abból nem lehet megcsinálni az "hülyeség, minek az nekünk". -
Egon
nagyúr
A hírek szerint nemsokára jön az NKI-tól egy segédlet az OT rendszerek auditálásával kapcsolatban. Plusz ki tudja mikor, a hiányzó kettő darab SZTFH rendelet.
Btw LinkedIn-en páran olyan szinten sírnak, hogy az már nekem fáj. Nem mondom egy szóval sem, hogy nem lett túltolva a hazai szabályozás (mert de), de ettől függetlenül azért nem tartozik a megugorhatatlan kategóriába, és a hat hetes (!) auditokat vizionálók is el vannak tévedve, nem kicsit... -
Egon
nagyúr
Nem ismerem a részleteket, de az sem véletlen, hogy a bankok még mindig AS400-as cuccokkal bohóckodnak, meg Cobol fejlesztőket keresnek: egészen egyszerűen túl nagy tétel kiváltani 1-1 rendszert (és ennek szerintem semmi köze a hatékonysághoz).
A rendelkezésre állást úgy oldották meg, hogy vettek a Vaterán (!) még 2-3 db C64-et, és ott van lezsírozva a raktárban...
-
Ilyenkor azért több kérdés is felmerül bennem.
Mennyire lehet hatékony az a cég? Azért ez mégiscsak egy közel 50 éves technika.(Nem egy kalapács amivel ugyanolyan hatékonyan lehet dolgozni, a kalapács korától függetlenül). Lehet hogy sokba kerülne az új, de valszeg hatékonyabb, energiatakarékosabb is lenne.
Ha megpukkan mi lesz, beáll a földbe az egész cég? Azért egy C64-et nem olyan könnyű már leakasztani. (Jó nekünk is van egy ügyfelünk ahol inkább vettek 20 000Ft-ér 5 db használt routert tartalékba, csak ne kelljen 100 000Ft-os routert venni újonnan. Ha megpukkan elővesszük a fiókból a másikat, áttöltjük a konfigot és mennek tovább) -
"Az a baj a fejlesztőkkel, ha nem kötöm meg a kezüket, elkezdik játszani a hülyét. "
Ezen pont nem rég akadtam ki itt cégen belül. Van néhány diákunk akik épp a szakdolgozatról beszélgettek. Hogy mit kellene még beletenni tesznek bele (2FA, jogosultság kezelés, email értesítés új dolgokról, stb), meg hogy hamarosan beadási határidő. Én naiv rákérdeztem, hogy ha még csak most írjátok a fejlesztési doksit, akkor mikorra lesz ebből program. Válasz, a fejlesztési doki már rég le van adva, lassan kész van a program is, ezek csak az extra dolgok amik felmerültek, hogy esetleg beletesszük. Ez az agilis szoftver fejlesztés, van egy doksi ami nagyjából tartalmazza mit akarunk a többit menet közben találjuk ki és a fejlesztő találja ki milyen "extrák" legyenek a szoftverben.
Mondom, he? Én még azt tanultam, hogy megírod a fejlesztési doksit, ügyfél elfogadja. Addig egy betűt nem írsz a forráskódból. Ha az ügyfél áldását adta rá, akkor fogunk a kódoláshoz és csak azt csináljuk ami a doksiban szerepel. Minden ettől való eltérés plusz munka amit külön kell dokumentálni, elfogadtatni. (És persze külön számlázandó.) -
Az a baj a fejlesztőkkel, ha nem kötöm meg a kezüket, elkezdik játszani a hülyét. Példa: azt mondom, hogy a hálózati kommunikáció titkosított legyen, de ha nem mondom meg neki, hogy TLS 1.2-n belül milyen cipher suite használható, akkor belerakja az alkalmazásba a weakek támogatását is.
De ugyanezt elmondhatom MFA-ról is: ha nem tiltom le az e-mailről, neki az lesz a második faktor.Nem egyedi jelenség...
-
Ezért leszek kíváncsi rá, hogy fog-e bármi változni.
Egyrészt a jogszabályban is benne van, hogy ha legalább 5 a kiberbiztonsági törvénynek szolgáltatsz akkor rád is vonatkozik a jogszabály (persze ezen megint lehet vitatkozni kire vonatkozik). Másrészt meg ha elég sokan csesztetik a céget akkor hátha lépnek.Egyébként szerintem nem nagyon van olyan fejlesztő cég Magyarországon aki átmenne egy NIS2 auditon.
-
Egon
nagyúr
És emiatt leszek kíváncsi, hogy erre a fejlesztők hogy fognak reagálni.
Sok esetben már az kiveri a biztosítékot, amikor a szerződés megújításakor felhívom a figyelmet rá, hogy ha egy sérülékenység vizsgálat során felmerül, hogy a szoftver sérülékenységet tartalmaz, vagy egy audit során felmerül egy hiányosság, akkor azt hogyan tervezik javítani? Azt meg sem említem, hogy egy sérülékenység javítása számomra a garanciális javítás kategória, bele kell férnie a support szerződésbe.Csakhogy nem így működik a piac. Mivel nincs definiálva az "elvárt minőség" fogalma (azaz pl. hogy legalább OWASP Top10 sérülékenységeket ne tartalmazzon az a fejlesztett tákolmány), mindenki a kiírásból, a műszaki specifikációból indul ki, igyekezvén azt szűken (a lehető legszűkebben) értelmezni. Mivel az esetek 99%-ában az ár dönt az adott pályázatok elbírálásánál (papíron legalábbis - az egyéb "elhajlásokról" idő és kedv hiányában inkább nem beszélnék), sok esetben igenis erős árverseny alakul ki, amit pedig a minőség rovására igyekeznek sokan tartani. Triviális, hogy a funkcionalitásból nem engednek, a legkönnyebben a security rész húzható le. Sok fejlesztőnél egyáltalán nem triviális, hogy legyen biztonság a CI/CD pipeline-ban, max. a Sonarcube-basl bohóckodnak kicsit, esetleg statikus forráskód-elemzés történik, de hamar belefáradnak a sok false positive kiszűrésébe, így inkább ignorálják, stb.
A lényeg, hogy nincs beárazva, nincs benne az árban az ilyen jellegű support, egy kicsit sem. Főleg, ha eleve koncepciós, tervezési hibára (vagy mondjuk már nem frissülő beépülőre, aminek nincs alternatívája...) vezethető vissza 1-1 sérülékenység, és k. sokba fájna javítani. -
Ezzel teljesen egyet értek.
A problémám nekem ezzel az, hogy:
1. ugyanazt az 1000 éves szoftvert árulják tetszik nem tetszik nincs más,
2. mivel nincs más, tojnak rá, hogy az ügyfelet segítsék a jogszabályi megfelelőségben.És emiatt leszek kíváncsi, hogy erre a fejlesztők hogy fognak reagálni.
Sok esetben már az kiveri a biztosítékot, amikor a szerződés megújításakor felhívom a figyelmet rá, hogy ha egy sérülékenység vizsgálat során felmerül, hogy a szoftver sérülékenységet tartalmaz, vagy egy audit során felmerül egy hiányosság, akkor azt hogyan tervezik javítani? Azt meg sem említem, hogy egy sérülékenység javítása számomra a garanciális javítás kategória, bele kell férnie a support szerződésbe. -
Egon
nagyúr
Az EIR meg ahogy sh4d0w is írta, gumiszabály jelenleg. Hozzám az 1 EIR - 1 alkalmazás közelebb áll.
Nem gondolnám hogy ez lenne a jó irány. Tudtommal eleve félrefordítás eredménye az egész "EIR" fogalom is: a NIST 800-53 szervezetenként 1 EIR-ről beszél, általánosságban...
A valóságban el kellene felejteni az EIR fogalmát, inkább folyamatokban kellene gondolkodni, és nem megfelelőképességet, hanem - csúnya "magyar" szóval - rezilianciát kellene építeni a kötelezetteknél. Ahogy azt tőlünk nyugatabbra teszik, vagy legalábbis próbálják.
Mi azonban tipikus "magyar" módra nem a fejlődés lehetőségét, hanem a szívatás (az állami kishivatalnok "ösztönös" gyűlölete a "jól kereső, adócsaló" vállalkozóval szemben) és a könnyű, bankszektort érintő sarcolás mintájára bevezetett sarcolás (legalábbis jelentős és magas szinten) lehetőségét láttuk meg ebben.
Ahhoz, hogy ez másképp legyen, mind az államilag egy bizonyos réteg számára erősen támogatott vadkapitalizmust, mind a szocializmus kapcsolódó negatív gondolkodását (ti. hogy mindenkinek egyenlően jut a nagy közös kalapból, akinek kicsit több, arra irigykedünk) el kellene felejteni (ez meg nyilván illúzió, legalábbis rövid- és középtávon). -
Egon
nagyúr
Hadd oszlassak el pár (ezek szerint közkeletű) félreértést.
Ez a rész elég jó le van írva a kapcsolódó jogszabályokban.
1. Az auditor nem vizsgálja (nem is vizsgálhatja) az EIR-ek darabszámának, vagy kialakításuk logikájának megfelelőségét. Sőt: a teljességüket sem (azaz ha valaki úgymond nem "vallja be" a fél IT-ját, akkor az kimarad a szkópból).
2. Amit az auditor vizsgálhat (és kötelező vizsgálnia): az EIR-ek besorolásának megfelelősége (azaz valóban alacsony, jelentős illetve magas-e).
3. Ha az auditor eltérést talál ebben (ami elég nehéz, tekintettel arra, hogy sok tényező szintén gumiszabály, illetve szubjektív, lásd nagyszámú személyes adat, társadalmi-politikai hatás stb.), akkor egyrészt lefolytatja az auditot a szerződés szerint (tehát alacsony szinten), másrészt javaslattal él a hatóság felé a szerinte megfelelő besorolásra. Ezt követően a bizonyítékok és érvek megvizsgálásával a hatóság hoz döntést az adott EIR szintjére nézve. -
"...Vajon pl az 1000 éves Visual FoxPro-s garázscégek el fognak tűnni?..."
Na varj, ez csak az IT vilag, az OT meg problemasabb. Ott kvazi szabvany, hogy evtizedekig hasznalnak egy eszkozt, meg a hozza valo szoftvert es mondjuk a gyarto tamogatja 5 evig, jo esetben 8-ig...
-
"HA most tolnának egy évet a határidőn, nem lenne jobb. Egy csomóan 2026. szeptembere táján kapnának észbe."
Én annak látnám értelmét, hogy le kell szerződni IBF-re és az IBF készítsen valami "szabvány" GAP elemzést, amit a hatóságnak beküld. (Lásd OVI tábla.) A Hatóság meg válaszol, hogy ok, vettük, van 1 éved a hiányok teljesítésére, de negyedévente küld a változást, jövőre meg audit.
Az EIR meg ahogy sh4d0w is írta, gumiszabály jelenleg. Hozzám az 1 EIR - 1 alkalmazás közelebb áll.
Az audit munkák meg kicsit szerintem túl vannak aggódva, egy bizonyos mértékig lehet őket szabványosítani. Sok helyen ugyanazokat a dobozos (könyvelő alkalmazás, bérszámfejtő alkalmazás ERP-CRM rendszer, számlázó alkalmazás, ügyfél kezelő szoftver) szoftvereket használják. A szoftver tudását így csak egyszer kell alaposan átnézni, utána azt fel lehet használni sok helyen.Hasonló volt az ASP előtti időkben az állami cégeknél. Volt kb 3 cég iktató szoftvere, 4 cég pénzügyi alkalmazása, 2 cég szoftver csomagja amivel többféle nyilvántartást vezettek. Ezekkel kb 50%-át le is fedtük a szervezeteknek, ezen felül voltak a webes cuccok amivel nem kellett foglalkozni, meg az az 1-2 egyedi szoftver amit külön kellett vizsgálni.
Itt a NIS2-nél is hasonló lesz szerintem, sok esetben működni fog a korábbi audit infók ismételt felhasználása. Több lehet persze az "egyedi" szoftver (idézőjeles mert ezek többsége az ágazatra jellemző dobozos szoftverek lesznek) de szerintem itt is ki fog alakulni, hogy minden audit cégnél lesz olyan aki bizonyos ágazatra specializálódik, vagy akár az auditor cég fog specializálódni bizonyos ágazatra.Egyébként nekem furcsa csak, hogy a könyvelő cégek nem NIS2 kötelezettek? (Sem DORA, sem NIS2 alá nem tartoznak.) Pedig ott is lenne szerintem bőven teendő.
Arra leszek viszont kíváncsi, hogy a hazai szoftver fejlesztő cégeknél milyen változások lesznek. Mert tavaly még elég nagy volt az arca jó pár fejlesztónek, mikor jeleztük, hogy a szoftver enyhén szólva is problémás. Vajon pl az 1000 éves Visual FoxPro-s garázscégek el fognak tűnni?
-
Ezt szerintem senki sem tudja, de szvsz kb. az varhato, hogy ha most a regi 41/2015-nek megfelelsz, akkor az most elfogadott es 2 ev mulva kell teljesitened a NIS2 elvarasokat minden EIR-nel. Ez mondjuk akkor rohejes, ha kozbesz kotelezett vagy es a DKU-s kor legalabb fel ev (mert most eppen annyi, de javulast nem varok).
-
Egon
nagyúr
Mint NIS2 auditor cégnél dolgozó az alábbiakat mondhatom.
Nincs egzakt elfogadott elmélet az EIR-re, így ebbe belekötni nehéz. Btw a legtöbb cég azért megáll 4-5 EIR-nél szerintem, bár nyilván vannak másfajta besorolási elvek, ami szerint ugyanannál a szervezetnél lehetne 15-20 EIR-t is képezni.
Az, hogy több EIR-nél drágább az audit, valahol logikus: egy csomó kontrollt EIR-enként kell nézni, kiértékelni stb. Nem lehet független ettől az audit díja.
Btw nagyjából 2.5-3M alatt szerintem csak kb. egyszemélyes BT-nek lenne rentábilis egy ilyen audit (természetesen alap szinten, a jelentős és magas jóval többe fájna).
HA most tolnának egy évet a határidőn, nem lenne jobb. Egy csomóan 2026. szeptembere táján kapnának észbe. Inkább úgy kellene csinálni, hogy valamilyen elv alapján ketté osztani a kötelezetteket, pl. páratlan összegű cégjegyzékszámosok páratlan, a párosok a páros években lennének auditkötelezettek. -
Salex1
őstag
Szerintem irgalmatlan nagy baromság, hogy ha több EIR-ed van, sokkal drágább az audit. Így mindenki 5 alá sorolja magát, pedig lehet jóval több lenne, ha csak az elméletet nézzük.
Nem kellene hogy az árát befolyásolja.
Az meg a másik jó, hogy Audit cég, alacsony besorolás mellett is 1 hónap után válaszolt annyit, hogy nem tud már fogadni minket...
Minimum lenne +1 évet tolni a határidőn. -
Tegye fel a kezét aki ezen meglepődött.
"Az érintett cégek többsége azonban alacsony osztályba tartozik."
Legalábbis ide próbálja magát mindenki besorolni, meg hogy ne legyen 5-nél több EIR-je.A határidő megint csak problémás.
Miért nem tudtak ugyanúgy 2 évet adni mint korábban az IBTV-nél. -
Egon
nagyúr
válasz
VágniValó
#2758
üzenetére
Nem, ez inkább szabadkozás volt, ennél jobb preziket szoktam tartani.
Nem akartam mélyebben semmibe belemenni, inkább egyfajta áttekintést akartam adni az incidens-megelőzés lehetőségeiről. Nehéz úgy prezit összerakni, hogy csak annyit tudsz a többi előadóról, hogy ők is ezt a témát feszegetik majd, és azért szeretnéd elkerülni, hogy esetleg egy a másikra kísértetiesen hasonlító előadást prezentálj...
Majd legközelebb...
Btw Gyebnár Gergő és Kovács Zoli előadása elég tekire sikeredett (voltak azért olyanok a teremben, akiknek szerintem az egész kínai volt), de mindenképp hasznos dolgokat mondtak (főleg Gergő). Marsi Tamás meg nagyon jó előadó, az ő prezijét leginkább ezért érdemes megnézni. Kucsera Erika előadása is tetszett.
-
-
inf3rno
Topikgazda
válasz
sztanozs
#2744
üzenetére
Én egy kicsit más értettem browser fingerprint alatt, kb. azt, amit a javascript begyűjt, de ezen felül még a szerver is gyűjt be request headereket, IP-t, amit szintén be lehet dobni az egyvelegbe. Igazából az érdekel, hogy ennek van bármi értelme ebben a kontextusban? Mármint hogy 2FA, megjegyezteti a gépet, generálódik cookie, amit védünk ilyen megoldással...
Amúgy olvasgattam a témában, és az állt össze, hogy az utolsó belépés idejétől is függ, hogy mennyi változást engedélyezünk, illetve súlyozás helyett, mellett érdemes úgy megoldani, hogy mondjuk veszünk egy tucat paramétert, és ha 1-5 napja lépett be, akkor 1 dolog változhat az előző állapothoz képest, ha 5-15 napja lépett be, akkor 2 dolog, ha 15-30 napja, akkor 3 dolog mondjuk. Ezt csak így hasra ütésre írtam. A lényeg, hogy időtől is függ a dolog, azt írja a szakirodalom. Illetve a saját ötletem, hogy mindig az előző állapotot nézni, és menteni kell sikeres belépésnél, nem pedig a legelső állapotot, amitől akár néhány nap alatt is komolyan eltávolodhatunk ha bejön egy böngésző frissítés meg felteszünk valami új betűtípust a gépre. Még függhet a környezettől is, pl. mobiloknál elég állandó tud lenni, asztali gépeknél elég változékony, de ezt már nem raknám bele a paraméterekbe.
Állítólag találtunk erre fizetős megoldást közben, úgyhogy nem foglalkozok vele tovább.
-
Egon
nagyúr
Az Egyesült Államok kormányzata megszüntette a MITRE által működtetett Common Vulnerabilities and Exposures (CVE) program finanszírozását. A CVE Records-t a MITRE 1999 óta kezeli az amerikai kormány szerződéses partnereként, és a program kulcsfontosságú eleme volt a nyilvánosan ismert szoftversebezhetőségek nyilvántartásának. A finanszírozási szerződés 2025. április 16-án lejár, és a jövőbeni támogatás sorsa jelenleg nem ismert. A MITRE bejelentette, hogy továbbra is folytatni kívánja a program működtetését, és együttműködik a kormányzattal annak érdekében, hogy a CVE továbbra is fenntartható maradjon.
Trump most már leállhatna, de tényleg...
-
sztanozs
veterán
válasz
inf3rno
#2743
üzenetére
Fingerprinting csak annyi, hogy tobb fele letarolhato/olvashato adat van, es azok osszesseget figyeli fingerprinting es ebbol szamol egy valoszinusegi egyezest.
kiolvashato:
- window size, bongeszo agent string, os, canvas (betutipus, touch support), WebGL (videokartya, felbontas), keyboard layout, ip, mac address
letarolhato:
- Cache, LocalStore, IndexedDB, OPFS, Cookie -
inf3rno
Topikgazda
Érdekel a véleményetek egy témában. Van egy fapados 2FA email-el, és szeretném megjegyeztetni a gépet, hogy ne kelljen állandóan emailre várniuk a felhasználóknak. Kérdés, hogy ilyenkor a sütit, amiben a gépet azonosító tokent tároljuk le kell e védeni hijacking ellen pl. IP ellenőrzéssel és/vagy browser fingerprint ellenőrzéssel vagy elég ha csak elég hosszú a token, és ne foglalkozzunk a hijacking eshetőségével?
Én az utóbbi mellett vagyok, mert szerintem erősen user error, ha kikerül valaki jelszava és sütije egyszerre, mások szerint erre kimondottan szükség van, viszont nem találtam rá életképes megoldást, mert az IP változik, a browser fingerprint változik, stb. Úgy tűnik, hogy valamekkora változékonyságot tolerálni kell, és csak ha átlép egy thresholdot, akkor eldobni a tokent. Viszont erre nem találtam konkrét algoritmust, csak legendákat, hogy a PayPal is így csinálja. Gondolom itt úgy van, hogy sokféle értéket veszünk alapul, és mindegyiknek adunk egy súlyt, aztán végigellenőrizzük, de a használható súlyok olyasmik, amiket ki kell mérni. A másik ötletem, hogy nézzük meg a süti történetében az előző ellenőrzés állapotát, és ahhoz mérjük a változást, ne a létrehozás állapotához, különben bizonyos helyzetekben viszonylag hamar távol kerülhetünk a kiindulási állapottól. Pl. egyik alkalommal az IP változik, másik alkalommal a böngésző pluginek változnak, harmadik alkalommal frissül a böngésző, aztán máris túl távol vagyunk a kiindulási állapottól úgy, hogy önmagukban ezek a változások tolerálhatóak lennének. Szóval végülis megvalósítható, csak szerintem nem indokolt meg sok munka kimérni a helyes súlyokat, tűréshatárt. Tudtok ezzel kapcsolatban bármit, hogy hogyan érdemes megoldani, súlyozni? Ha van rá open source vagy fizetős projekt, az is érdekel.
-
-
-
Egon
nagyúr
Volt tegnap egy meghívásos alapon összehozott szakmai dzsembori az Íváj szervezésében, ahova az összes auditort meghívták (persze egy bizonyos kör az nem jött el, úgyhogy összesen 7 cég volt jelen, bár egy igazoltan hiányzott, szóval az egyik "nagy" is leereszkedett a plebshez...
), meg ott volt pár gittegylet mint az IVSZ is, no meg azon egyetemek képviselői, ahol kiberbiztonsági képzés folyik (túl sok hozzáadott értéket nem adtak).
Sokat elmond, hogy ezen körben sem sikerült úgy definiálni az EIR fogalmát, hogy azzal mindenki egyetértsen... (Bár bíztató volt némileg, hogy azért a nagy többség egyetértett egy definícióval).
Persze a fő kérdés az (lesz), hogy a hatóság(ok) mit ért(enek) az EIR alatt... 
-
Egon
nagyúr
Vicces képek - PROHARDVER! Hozzászólások
Ezt lopom is az oktatáshoz...
-
Nagyszabású hekkertámadás érhette az Oracle-t, sok magyar cég is érintett lehet
https://telex.hu/techtud/2025/03/26/oracle-hekkertamadas-adat-szivargas-kiberbiztonsagA Forbes szerint összesen 140 ezer Oracle-ügyfél kerülhetett veszélybe, köztük a Mol, a Telekom, a 4iG, az OTP, a Budapest Bank (ami már a Magyar Bankholding része), a MÁV Informatika, az Index, az Opten, valamint a Digitális Állampolgársághoz tartozó alkalmazást fejlesztő Idomsoft is.
-
Egon
nagyúr
-
#2721
Egon
nagyúr
aprokaroka87
#2720
Egon
nagyúr
válasz
aprokaroka87
#2720
üzenetére
Ez így van...
-
#2719
sh4d0w
félisten
aprokaroka87
#2717
válasz
aprokaroka87
#2717
üzenetére
Nem küldetésünk, hogy amerikai idiótákat tanítsunk, bőven megvan nekünk a saját dolgunk máshol.
-
#2718
Egon
nagyúr
aprokaroka87
#2717
Egon
nagyúr
válasz
aprokaroka87
#2717
üzenetére
A Signal alapból egy elég biztonságos cucc, még az EU (poontosabban EB) is ajánlgatta:
Az Európai Bizottság is a Signalt javasolja üzenetküldésre - Raketa.huMás kérdés, hogy minősített információt (jó eséllyel ilyen volt az ominózus "hadititok")nem igazán elegáns ilyen módon megtárgyalni. Vannak appok (magyar fejlesztésű is akad), amelyekkel a hatóság által is engedélyezett egy mezei okostelefonon is minősített információt továbbítani, de egyrészt ezek jellemzően csak a legalacsonyabb minősítési szintű (ún. "Korlátozott terjesztésű!") minősített adat továbbítására akkreditáltak, másrészt nyilván egyéb környezeti tényezőket is figyelembe kell venni a használatuk során (pl. praktikusan nem a tömött 72-es trolin, ordítva kommunikálni ilyen érzékeny információkat).
Summa summarum: Signal-on (vagy más hasonló appon) keresztül ilyen infókat továbbítani hiba, de még mindig sokkal kisebb hiba, mint szimpla e-mailben vagy telefonon beszélni hasonlókról...
-
#2717
aprokaroka87
nagyúr
aprokaroka87
nagyúr
Miközben itt sokan kb az életük részének tekintik a IT biztonságot, addig valahol Signal appon keresztül beszélnek meg hadi titkokat...
😁
De legalább jó kis reklám nekik -
válasz
inf3rno
#2704
üzenetére
Apache-on a fail2ban konfg már tud egy kis segítséget nyújtani.
A tűzfalon a GeoIP beállításnál általában van térkép is, ahol grafikusan látszik, honnan jön sok lekérdezés.
De a tűzfalon érdemes konfigurálni az egyidejű félig nyitott tcp kapcsolatok számát automatikus lezárását.
IPS ha van szintén tud segíteni, mert általában fel tudja ismerni s DDoS-t. (Elvileg internet szolgáltatói oldalon is lehet kérni forgalom szűrést.) -
Egon
nagyúr
válasz
inf3rno
#2706
üzenetére
Volt egy jó írás valahol a neten (talán a hup-on vagy esetleg a redditen) a témában, de most nem találom.
A lényeg: alkalmazás oldalon, ha a fejlesztő hajlandó belenyúlni a kódba, ezt lehet kezelni. Pl. ha 1000 db lekérdezés van folyamatban, akkor addig nem enged új lekérdezést az adatbázis szerver irányába, amíg valamelyik be nem fejeződik. Közben várakoztat, ha valaki F5-öt nyom, a várakozás újraindul (számlálón látszik). X perc tétlenség után bontja a sessiont.
Viszont ha már a weblap lekérdezés borít mindent is, akkor szerintem webszerver oldalon kell konfigurálni valamit. -
-
Egon
nagyúr
válasz
inf3rno
#2704
üzenetére
Dinamikus vagy statikus weboldal? Apache webszerver vagy mondjuk nginx?
Ha jól rémlik, akkor lehet konfigurálni az egyidejű kapcsolatok számát, de annyira nem értek hozzá.
Mindenesetre ezt a típusú támadást tudtommal pont lehet kezelni saját eszközökkel (ha a sávszéledet eszik meg, ott leginkább csak a szolgáltató segíthet). Illetve ott a Cloudfare ingyenes, vagy legkisebb fizetős csomagja. -
inf3rno
Topikgazda
Az elv érdekelne, hogyha mondjuk van egy kezdőlap, amit 100k címről lekérnek egyszerre validnak tűnő fejlécekkel, akkor melyik címeket tiltsuk le, vagy mit lehet tenni? Most van, hogy ideiglenesen komplett országokat kitiltunk, amíg kinyomozzuk, hogy milyen konkrét címeket érdemes tiltani. Azért ez nem járható út, főleg az lenne gáz, ha itthonról jönne egy ilyen botnetes támadás.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Állítólag százmilliós tétel lenne a kiváltása.
Új hozzászólás Aktív témák
- Jogtiszta Microsoft Windows / Office / Stb.
- QNAP TS-870U-RP 8 lemezes Rack NAS
- Telefon felvásárlás!! iPhone 13 Mini/iPhone 13/iPhone 13 Pro/iPhone 13 Pro Max/
- Beszámítás! HP Victus 16-R1002NF Gamer notebook - i7 14700HX 16GB RAM 1TB SSD RTX 4070 8GB WIN11
- Országosan a legjobb BANKMENTES részletfizetési konstrukció! Vásárolj okosan, fizess kényelmesen!
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged