-
Fototrend
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
spileraaa
senior tag
Sziasztok !
Nem teljesen off mert a jelszómat próbálják megszerezni
Nálam is hasonló a helyzet kb 1 hónapja volt ugyanígy hogy egymás után kétszer is Június 21 és 23 volt az első kettő próbálkozás!
most pedig újra július 21 és 22 jött ilyen email
ilyenkor azt jelenti rossz kezekbe került az e-mailem?
Ilyenkor csak egy megoldás van új email és azt sehol nem megadni? -
Tavozott a szakmank egyik elinditoja: viszlat, Mr. Mitnick, legyen konnyu a fold...
-
Ehhez azért kellene egy vhr. is, amivel lehetne ezt az egész betűhalmazt értelmezni. Ismerve 1-2 helyet akikre az ibtv eddig nem vonatkozott, de a 2023 évi XXIII-as igen, lesznek itt büntik rendesen.
Lassan kell egy másik gyűrűs mappát kérnem a kolléganőtől, kezd a "whitepaper" mappám megtelni. (IBTV, MNB ajánlások, NKI whitepaper, ISO27001, GDPR, stb.) -
#1792
ledgeri
nagyúr
aprokaroka87
#1790
ledgeri
nagyúr
válasz
aprokaroka87
#1790
üzenetére
Nem mint jelszókezelő a lényeg, hanem mint alias generátor! Senki sem állít meg abban, hogy a PP-szal létrehozott alias email-t kepass-ba mentsd, és a jelszavad a kepassal generáltasd. De ha a -te tudod mennyi accountod- külön emailcímmel (nem fiókkal) akarnád kezeltetni, megbízhatóbb-féle céggel, saját domain macera nélkül,, akkor nem igazán van jobb ajánlat.
-
ledgeri
nagyúr
Kijött a proton pass, ami most bevezető áron 1 EUR/USD/CHF áron 1 vagy 2 évre végtelen email alias-t biztosít. Ha nem is jelszókezelőnek, de unlimited-email-aliasozni most ez a legjobb ajánlat annak aki mostanában jutott el oda, hogy egy emaillel létezni nem a legjobb..., és a cég is a globálisabban megbízhatóbbak közé tartozik!
-
Egon
nagyúr
Jövő héten megyek nyaralni, a hét meg elég zsúfolt, így a közeljövőben biztos nem tudom megszervezni (jobban belegondolva, mivel jó eséllyel más is így tesz a nyár különböző időpontjaiban, talán szerencsésebb lenne szeptemberre szervezni).
Jah és remélem a múltkorinál azért többen leszünk: majd indítok egy felmérést, hogy egyáltalán ki tud/akar eljönni... -
#1776
fatpingvin
addikt
Egon
#1774
fatpingvin
addikt
-
#1773
sh4d0w
félisten
aprokaroka87
#1772
válasz
aprokaroka87
#1772
üzenetére
Koszi, pont ez volt az, amiert sok biztonsagi szakember ezt nem tartotta jo otletnek.
-
#1772
aprokaroka87
nagyúr
aprokaroka87
nagyúr
-
ledgeri
nagyúr
Érdekes kis stat a simplelogin redditjéről. Hány, milyen formátumú emailt találtak a gemini.com data breach-ben... (fél éves, de mégis érdekes..)
-
ledgeri
nagyúr
Szinte mindegyik support a zendesk-et használja, mint support management felület (köszi ublock origin), szóval ha ott valakit törnek, akkor "nem a discordot törik"... A másik, hogy ha a discord-support kéreget necceseb dolgokat support révén, akkor azok amik kikerülhettek.
-
Egon
nagyúr
Discord discloses data breach after support agent got hacked (bleepingcomputer.com)
Lehet találgatni, hogy kamuznak-e vagy senem: vajh' tényleg csak egy "third-party support agent" kompromittálódott?
-
-
inf3rno
Topikgazda
válasz
#79563158
#1759
üzenetére
Azért kérdeztem utána. :-)
Amúgy tudom mi a quoted printable, megnéztem én is SO-n régebben - nem mintha az érdemi tudást adna a témáról - viszont én nem láttam egy olyan normális levelet sem, amiben ezt használták volna, eddig csak spamben került elő saját levelezésben.Itt van róla biztonsági szempontból releváns info: [link] Még mindig gondolkodom, hogy tiltsam e, előbb elemzek pár ezer levelet, hogy van e bármi haszna normál leveleknél, vagy egyáltalán nem fordul-e elő bennük. Azt vágom, hogy szabvány meg minden, de ha a spamek 90%-a használja, és a normál levelek 0%-a, akkor érdemes szűrni rá.
-
inf3rno
Topikgazda
Már egy ideje látom spameknél, hogy <a href=3D"http..... Szerintetek érdemes szűrni ezekre a 3D-s linkekre? Alapból nem túl gyakori, vagy legalábbis nekem új, és sosem használnék ilyen linket. Eddig csak spamnél láttam, gondolom hogy elkerüljék vele a gyengébb szűrőket... Ha működne, akkor kiváltaná szerintem az összes spam szűrőt egyetlen regexel ideiglenesen...
-
Na, a multkori CISO megszolalas utan megint egy gyongyszem:
-
#79563158
törölt tag
válasz
ledgeri
#1754
üzenetére
Azért mert nincs end-to-end encryption, még nem jelenti azt, hogy boldog boldogtalan rálát a Google-ön belül. Google Cloudban több szintü titkosítás van in transit és at rest, plusz egy rakás egyéb fizikai, adminisztratív és technikai kontroll.
Ugyanígy láttam már olyan end-to-end encryptiont ami csak arra volt jó, hogy el lehessen vele adni terméket, mert ha tényleg rendesen lett volna implementálva, akkor a funkciók nagy részét lehetett volna kidobni a kukába.
-
#1755
aprokaroka87
nagyúr
aprokaroka87
nagyúr
Nincs itt semmi probléma.... :D
Mondjuk azt a weboldalt ahol elfogadják az 12345678-at szerintem van gond.
-
#1754
ledgeri
nagyúr
aprokaroka87
#1742
ledgeri
nagyúr
válasz
aprokaroka87
#1742
üzenetére
Ez esetben meg én inkább az órák csúsztak fél percet-et gondolnám problémának... Ha 2 eszközön 2 app, egy időben (eszközön futó óra szerint), egy sablon (6 karakter, és adott algoritmus) szerint futtatja ugyanazt a seed-rt, akkor ugyanannak a 6 számnak kéne kiírva lennie... Ez az alapja az egésznek!
#1743 section9 Elméletileg jelenlegi formájában "szeróról bele lehet látni" állapotú...
#1744 cigam Ha nem érted, akkor nem érted.
#1747 aprokaroka87
Ha a google fiók védelmére gondolsz: modernebb mobillal be van lépve valaki, akkor az már hardver-azonosítóként van bent az azonosítási listában, és nagy eséllyel kapja a push-t...
Ha TOTP app használatra gondolsz: túl sok helyen az alap szöveg része a "olvasd be a kódot a Google authentikátoroddal"...
Ha nagy globálra, akkor meg "a fene sem tudja mi az a 2fa".. -
#1753
sh4d0w
félisten
aprokaroka87
#1751
válasz
aprokaroka87
#1751
üzenetére
Eloszor is ez itt infobizt topic, tehat nem nezhetem mashonnan - meg egyebkent sem neznem, ha mar egyszer security-s vonek...
Masreszt: az automatizmus pont nem jo MFA-nak, pont az a lenyege, hogy a usernek tevolegesen tennie kell azert, hogy az authentication teljesuljon. Pont ez az ujitas a Microsoft number matching MFA-ben: ha altala vedett resource-ot akarsz elerni, nem csak egy approve/deny jelenik meg, ahol a) veletlenul is ranyomhatsz az approve-ra, es b) effektive be kell irnod a kodot, nem csak jovahagynod. Igy megelozheto az MFA fatigue is.
Nem mellesleg az sms-bol automatikusan kiolvasott kod is lehet attack vector - pl. egy olyan jopofa alkalmazasban, amit belinkeltel.
-
#1752
aprokaroka87
nagyúr
aprokaroka87
nagyúr
1.4 millió, az azért sok...
-
#1750
sh4d0w
félisten
aprokaroka87
#1749
válasz
aprokaroka87
#1749
üzenetére
Oszinten: mennyiben mas, hogy a Messages appot nyitod meg az Authenticator helyett? Plusz az sms tamadhato konnyen, az OTP/TOTP sokkal nehezebben...
-
#1749
aprokaroka87
nagyúr
sh4d0w
#1748
-
#1748
sh4d0w
félisten
aprokaroka87
#1747
válasz
aprokaroka87
#1747
üzenetére
Szerintem a nagy reszuknek fogalma sincs arrol, hogy letezik MFA, valoszinuleg a bankok altal kikenyszeritettet is azert hasznaljak, mert nincs valasztas.
A Microsofte sokat erosodott a number matching MFA bekapcsolasaval, amit eleg jo otletnek tartok ugy, ahogy megcsinaltak.
-
#1745
aprokaroka87
nagyúr
cigam
#1744
aprokaroka87
nagyúr
-
válasz
ledgeri
#1741
üzenetére
Mi ebben az ellentmondás? Inkább töltök le egy olyan cégtől, aki rendelkezik megfelelő erőforrásokkal, hogy a boltjában megjelenő programokat átvizsgálja/minősítse (több kevesebb sikerrel), mint egy akármelyik másik gyűjteményből.
Vannak jó dolgok amik nem kerülnek fel. Ugyan már... Ez fordítva is pont ugyanúgy igaz.
-
#79563158
törölt tag
válasz
ledgeri
#1741
üzenetére
Akkor úgy legyen end-to-end encryption, hogy a Google fiókodhoz kapcsolod a kulcsot és azt is synceled több eszköz között?
![;]](//cdn.rios.hu/dl/s/v1.gif)
Amúgy persze, meg lehet oldani, ez nem kérdés. A kérdés az, hogy milyen áron és hogy a nagyhangú infosec Twitter/Mastodon usereken (akik amúgy sem ezt használták) meg a clickbait tech újságírókon kívül érdekel-e ez bárkit.
-
#1742
aprokaroka87
nagyúr
ledgeri
#1741
aprokaroka87
nagyúr
válasz
ledgeri
#1741
üzenetére
Tehát jól sejtettem hogy az eltérő kódok már eleve gond.
Úgy csináltam hogy egy eszközön kezdtem el mindent, amikor minden kész volt, csináltam egy AndOTP exportot, ami ugye csinált egy fájlt, majd az egészet be importáltam, a másik eszközön az AndOTP-be, látszólag minden oké volt, aztán jött a fekete leves, szerencsére nem lett nagy probléma, mondjuk a Google mentségére legyen mondva hogy ő több lehetőséget is kínál a multifaktor dolgokra.
Facebook pl csak 2-t. -
#1741
ledgeri
nagyúr
aprokaroka87
#1738
ledgeri
nagyúr
válasz
aprokaroka87
#1738
üzenetére
Egy seed 2 eszközön szabvány paraméterekkel, ugyanabban az időben ugyanazt kell, hogy megjelenítse. Tippemre te beregelted egyiket, egy seed-del egyszer, majd egy másikat, másik seed-del, máskor (olyan oldalra, ami egy kódot fogad el egyszerre)
Amiket én írtam be, azokról tudom, hogy ha regisztrációkor nem is volt melletted a másik eszköz, utólag csak a -belőlük biztosan- kiolvasható (alfanumerikus) seed alaján is tudod másolni azt más eszközre, vagy az általuk szabványosan generált qr kóddal fotózni másba, míg mondjuk az MS-éből -windows phone-on alapozva- nem. A google authentikátor sem szabványos QR kódot generál, az authy ki sem adja, supporttal kel mókolni meg hasonlók.#1732 cigam A saját álláspontod érvényteleníted lényegében ezzel: Ha a google bótban van rossz alma, akkor miért mennék máshova. Nem lesz attól valami jobb, hogy ott elérhető, vagy attól roszabb, hogy ott nem, és nem csak úgy érhető el az sem, hogy accounttal belépve töltögetnél belőle. +Vannak jó dolgok amik, oda biztos, hogy nem kerülnek fel (pl Youtube vanced, és hasonlók)
#1740 section9 akkor Gmail- check, Google-authy check , valami leak-ből gagyi jelszópakk, vagy pont a régi gmail cím melletti jelszó mezők check...
Általában ha már sync, akkor az két azonosított eszköz között megy, szóval a kulcseljuttatás nem kérdés. -
-
#1739
sh4d0w
félisten
aprokaroka87
#1736
válasz
aprokaroka87
#1736
üzenetére
Nem ajánlott a sync. Működik, de nem end-to-end a titkosítása, ha jól emlékszem.
-
#1737
cigam
titán
aprokaroka87
#1734
válasz
aprokaroka87
#1734
üzenetére
Egy kicsit bővebben is mesélsz róla? Pontosan mi volt a probléma?
-
#1733
Rimuru
veterán
aprokaroka87
#1731
Rimuru
veterán
válasz
aprokaroka87
#1731
üzenetére
Amik a specifikaciokat kovetik azok igen.
-
Sokminden nélkül lehet élni, csak minek? Huawei-nek is mennyire bejött a Google nélküli Android...
Plusz amikor nem múlik el úgy hónap hogy a(z elég jól ellenőrzött) playstore-ban található appokról ne derülne ki valami huncutság, majd pont egy harmadik fél áruházából fogok beszerezni biztonsági programot? Bár nyílt forráskódú, a 2fas sem érhető el f-droid-on.aprokaroka87
Az algoritmus ugyanaz. Melyik nappal jártál pórul? -
#1720
sh4d0w
félisten
fatpingvin
#1719
válasz
fatpingvin
#1719
üzenetére
Mondanam, hogy trollkodik, de a poszt azota torolve lett a LinkedInrol... Ha az en businessem kapcsolatban allna az Afnival, helyben azonnal mondanam fel a szerzodest.
-
-
inf3rno
Topikgazda
Ja azt nem ismerem. Telon keresték bátyámat nemrég, hogy ők az OTP, és hogy van többféle új ajánlatuk vagy ilyesmi. Mondta, hogy nem ér rá, aztán mondták majd visszahívják. Mondjuk innentől bekerült gondolom a listájukra névvel, telószámmal, de ez van, sokat telefonál meg sokat keresik idegenek, úgyhogy nem tudja kikerülni.
-
válasz
inf3rno
#1710
üzenetére
Valoban nem elsosorban a business terulethez tartozik a tema, de ha az emberek a sajat eletukben is tudjak hasznositani az elhangzottakat, szivesebben vesznek reszt a treningen, van szamukra value-add.
Egyebkent meg ha gyakrabban jarnal az apros topicba, lathatnad, hogy mostansag nagyon "divatos" ez ia, meg az is, hogy minden keszen all a rendelesed teljesitesere, csak az email-cimed hianyzik es legyel szives megadni. Engem mondjuk meg nem talaltak meg ilyennel, mert nem aprozok, de lenne ra valaszom...
-
inf3rno
Topikgazda
Én csak meglepődtem, hogy egy napon belül két ilyen jelentkezett, plusz ismerősöm is írt, hogy neki is valami hasonló szöveggel próbálkoztak, és hogy csalás e szerintem. Azt hittem ennél azért ritkább ez a fajta csalás, de ha ekkora divatja van, akkor gyorsan összeütök egy előadást, nehogy valaki beszopja az én embereim közül. Igaz, hogy nem szigorúan céges/önkormányzati melóhoz tartozik ez a fajta csalás, de úgyis gyakrabban akartam tréninget tartani.
-
válasz
inf3rno
#1708
üzenetére
Az Internet régóta vadnyugat, mi a meglepő? 2007-ben már kaptam az ssh portra brute force-ot, most meg az AI-ok megjelenésével sokkal jobb social engineering támadásokat lehet tervezni.
Viszont ha támadásra lehet ezeket használni, akkor védekezésre is - egyrészt a security awareness anyagokat/tréningeket lehet sokkal életszerűbbé tenni, másrészt a filteringre is rá lehet ültetni.
Meg még van legalább 2 terület security-n belül, ahol nagy hasznát lehet venni az AI-oknak, de ez csak a jéghegy csúcsa.
-
inf3rno
Topikgazda
válasz
#79563158
#1707
üzenetére
Az a durva, hogy milyen ütemben fejlődnek. Mármint az oké, hogy kiszűrjük, mert oktatóanyagokat gyártunk a témában, de az átlag userek jelentős része simán beszopja szerintem. A másik, hogy volt már, hogy külföldinek adtam el hardveraprón sikeresen hálókártyát, úgyhogy ha meg túl óvatos az ember, akkor üzletektől eshet el.
-
inf3rno
Topikgazda
Meghirdettem ma FB marketplace-en egy Tacx biciklis görgőt. Érdekes, hogy mennyire gyorsan rárepült két jómadár. "Jó napot, ez a hirdetés még aktuális, FoxPost futárral történő kézbesítés lehetséges? Természetesen minden költséget vállalok, köszönöm szépen a válaszát." és "Szia ! elérhető még az áru?". Az egyiknek full arab neve volt, a szövegét megtaláltam egy az egyben neten: [link]. A másik egy fokkal skillesebb, de az olasz név, és az, hogy pár órával a hirdetés után megkérdi, hogy megvan e még úgy, hogy egy kicsit túláraztam, meg ilyen szóhasználattal mindezt, azért árulkodó. Nem tudtam, hogy ennyire bedurvult a helyzet, hogy már itt is próbálkoznak ezerrel, ráadásul a második azért hihetőbb, ha az ember figyelmetlen. Jó, nyilván ha hagyom elvinni odáig, hogy előadja a fantasztikus ajánlatát, akkor annál is kiderült volna egyértelműen, hogy csaló, de nekem ezekre nincs most időm. Megy screenshottal oktatóanyagba.
-
ledgeri
nagyúr
válasz
sztanozs
#1703
üzenetére
&cigam
A cím, és fiók nem ugyanaz ebben a tekintetben:
Pl ha egy emailfiókom mellé van egy simplelogin accountom, nem vagyok nagyobb támadási felületű, ha 8 helyett 800 emailcímet használok azon keresztül... viszont nem mindegy, hogy a 800 hely összesen 8 emailcímet próbál összefésülni maguk közt, vagy 800-at. Persze nagy mix, hogy milyen egyéb azonosítók vannak csatolva, és mik futottak a háttérben (pl facebookpixel).
Ha meg már van 800 regem nem igazán érzem, hogy nagyobb függőségben lenék jelszókezelők irányában, ha a 800 (oldalakon maxolt bitű, így fejbentarthatatlan)jelszavam mellé 800 emailcímem is van....
Ha az van, hogy a simplelogin behalóban van, így is úgy is 800 accountom van veszélyben. -
inf3rno
Topikgazda
Lehet, vannak átfedések a két terület között. Ezen nem veszünk össze.
Rosszul teszed fel a kérdést. Van egy biztonsági problémád, amiből kiindulunk, és amit meg kell oldani. Keress egy ilyen problémát, amit meg akarsz oldani, aztán akkor tudunk tanácsot adni, hogy milyen irányba érdemes elindulni. Itt lehet probléma, hogy olyan e-mail fiókot akar, ahova nem kap spamet vagy webshopos hírlevelet, hanem ezeknél privátabb dolgokra használja. Ilyenkor érdemes regisztrálni egy külön címet neki, mert a réginél túl nagy erőfeszítés egyesével végigmenni az összes helyen, ahova regisztrálta, aztán onnan töröltetni, illetve néhány helyről már tutira kiszivárgott és bekerült a spam rendszerekbe, ahonnan meg nem tudja töröltetni. Szóval jobb tiszta lappal indulni, ha lehet, akkor nem ingyenes szolgáltatónál, hanem fizetősnél és domaint érdemes venni mellé. Így van némi esély arra, hogy kevesebb spamet kap a privát címére, mert nagyobb a kontrollja az e-mail címei felett. Plusz azt a problémát is megoldja, hogy az e-mail szolgáltató nem törölheti kérdés nélkül a fiókot vagy nem tudják csak úgy lenyúlni a jelszó ismeretével. Ha nincs konkrét fenyegetés, akkor nem lehet tanácsot adni arra, hogy mi a biztonságos, mert biztonsági környezet és kontextus függő.
Nem szerintem lapozzunk, ha nincs több kérdés, mert már legalább 3 helyről kapott használható választ.
-
válasz
inf3rno
#1699
üzenetére
Szerintem meg IB kérdés, mert nem arra kíváncsi, hogy egy WEBshop hogyan és mennyi ideig tárol(hat)ja az adatait(ímél címét), hanem hogy miért, és mennyivel biztonságosabb 1 helyett több, akár 4-5 féle ímél fiók használata, ahogy a linkelt cikkekben is taglalják.
Tehát egy fiók a privát levelezésre, egy a banki/hivatalos ügyintézéshez, egy harmadik a fórum regisztrációkhoz, egy negyedik a WEBshopokhoz,...
Plusz az én bónusz kérdésem:minden fiók egy szolgáltatón belül létrehozva, vagy legyen mindegyik más-más szolgáltatónál?
Máshonnan közelítem meg a kérdést
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- RTX 4080 SUPER,16GB. Ryzen 7 7800X3D, 32 RAM Fury RGB! Garancia!
- Asztali PC , i7 9700K , RX 5700 XT , 32GB DDR4 , 500GB NVME , 1TB HDD
- Dell Inspiron 5406 2-in-1i5-1135G7 16GB DDR4 3200 512GB NVME 14" FHD Érintőkijelző W11Pro
- Eladó MacBook Pro 14" M1 Pro (2021) 16/512 99% akku Makulátlan állapotban!
- Újszeru GIGABYTE G5 - 15.6" FullHD 144Hz - i7-13620H - 48GB - 1TB - RTX 4050 - Win11 - 1,5 év gari
- AKCIÓ! Gigabyte B650M R7 7700X 32GB DDR5 1TB SSD RTX 3080Ti 12GB Cooler Master H500P WHITE 750W
- Apple iPhone 14 256GB/ 86% Akkuval / 12 hónap jótállással!
- BESZÁMÍTÁS! Sony PlayStation4 PRO 1TB fekete konzol extra játékokkal garanciával hibátlan működéssel
- Xiaomi Redmi A3 64GB Kártyafüggetlen, 1Év Garanciával
- BESZÁMÍTÁS! ASRock FORMULA OC RX 6900XT 16GB videokártya garanciával hibátlan működéssel
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged