-
Fototrend
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
inf3rno
Topikgazda
Az AD bevezetésével kapcsolatban nekem igazán az a kérdésem, hogy működnek e a munkaállomások, ha nem működik az AD szerver? Az a benyomásom, hogy erre a válasz nem, és nem tennék be egy ilyen single point of failure-t a rendszerbe, ha meg lehet csinálni máshogy is, amit szeretnék. Ezen kívül a syslog-ng-nek van egy további előnye, hogy mindent is bele lehet gyűjteni, tehát nem kell a szerver, munkaállomások, tűzfal, EDR, stb. logjait, riasztásait külön kikeresnem, ami megkönnyíti a munkát. Mondjuk ezek csak benyomások egyelőre, még nem volt időm foglalkozni a konkrétumokkal.
-
-
Egy jó AD-t nehéz megcsinálni, viszont utána kezes bárány. A rossz AD meg olyan, mintha nem is lenne.
Én egyébként nem mondtam, hogy sok munka az üzemeltetése, hanem azt, hogy baromi sokat kell tanulni hozzá és kell a tapasztalat is.Az AD-val többek között nem kell belépkedned minden gépre, hanem GPO-ból kitolod a silent installt - de ugyanezt meg lehet csinálni konfig managementtel is.
-
inf3rno
Topikgazda
Hát azért 15 gép nem a világ vége. Részben automatizálható a folyamat, ha írok egy shell scriptet rá, hogy ne kelljen végig kattintgatni a telepítőt, vagy ha olyan alkalmazás, akkor repoból is telepíthető, pl chocklatey. Beszórom a scriptet egy megoszott mappába, aztán rendszergazdaként belépek mindegyik gépre és elindítom. Mondjuk ez már üzemeltetés, egy kicsit off topic. Persze, azért értem, hogy jó az AD meg minden, de úgy adtátok elő, hogy baromi sok plusz munkával jár az üzemeltetése, és feleslegesen nem használnám, ha nem muszáj.
-
inf3rno
Topikgazda
Nekem a legfőbb bajom, hogy nincs jogköröm, hogy bármit csináljak, és a rendszergazdaság ki lett outsourceolva, és a szerződésben kikötötték, hogy senki más nem nyúlhat a gépekhez. Már körülbelül 10x megcsináltam volna, amit akarok, helyette meg cseszegetnem kell őket, és talán esetleg megcsinálják valamikor 5 éven belül. Baromi frusztráló.
-
Igen, az AD-t a könnyebb központi managementre találták ki. A példádon túl, mi van, ha egy szoftvert minden gépre fel kell rakni, majd még egyet, még egyet...
Szvsz 15 gép már az a mennyiség, ahol érdemes AD-t rakni. Vagy ha azt nem, akkor legalább vmi konfig managementet, mint Salt. Egyébként is, nem lokális lemezen illik dolgozni, hanem hálózati meghajtón, mert kliensről nem készül backup, a szerverről meg igen.
-
Egon
nagyúr
Hát igen, ilyen kevés gépnél valóban határeset, hogy kell-e AD.
Azonban azt gondold végig, hogy ha mondjuk egy év múlva szigorítanál pl. a jelszószabályokon (plusz egy karakter minimum jelszóhossz, satöbbi), akkor azt nem egy központi Domain Policy-ből tudod majd elvégezni, hanem szüttyöghetsz gépenként (még akkor is, ha biztosan lehet valahogy szkriptelni vagy valami). -
inf3rno
Topikgazda
Nagyjából annyi van most, hogy van kb. 15 gép, amin be kell állítani felhasználói fiókokat és jogosultságokat. Van néhány gép, amin 3-4 fiók lesz, a többségén csak 1-2. Nem tudom, hogy van e értelme ide AD-nek, mármint ugye fentebb írtátok, hogy ennek azért ára van üzemben tartói oldalról. Én simán csak beállítanám a fiókokat és feltennék egy klienst minden gépre, ami a központi naplózóval kommunikál. Nem tűnik valami nagy munkának, talán 2-3 óra alatt megvan az összes, ha felkészül rá az ember. A szoftver nem mindegyik gépen egyforma, van néhány gép, amin pénzügyes szoftverek vannak, máshol sima ügyintézés zajlik, a legtöbbön ASP rendszer van. A legtöbbön látni felhasználói csoport specifikusan fájlt megosztást, illetve gondolom megvannak a nyomtatók, hogy ki melyikhez tud nyomtatást küldeni. Úgy nagyjából ennyi, amit most látok, de még az SZMSZ-en sem rágtam át magam és van egy EIR leltár is, amin szintén át kéne.
-
inf3rno
Topikgazda
A loggolós vonalat továbbvíve, egy syslog-ng premium mibe kerül? (az oldalukon csak árajánlatot lehet kérni)
Itt írják, hogy a premiumban van csak WEC (igaz azóta már 2-3 év eltelt), és nagyjából arra van szükségem, ami a cikkben le van írva: [link] AD meg gyakorlatilag nem szükséges ezek alapján. Mondjuk megcsinálom agenttel is, csak több meló feltelepíteni a gépekre, mint ez a Windows protocollos pub-sub-os megoldás. Majd utánanézek mindjárt az agentes változatnak is, gondolom az sem egy atomreaktor.
-
Egon
nagyúr
Ez nem teljesen így van, de részben jogos. Ha pl. nincs jogosultságkezelés, mindenkinek erős jogai vannak, akkor pl. lehet hogy az üzemeltetőnek (akit te informatikusnak hívsz) kétnaponta kell helyreállítania mentésből a fájlszervert, mert Mancika véletlenül letöröl mindent. Ezért elemi érdeke a lehető legkisebb jogosultság elve mentén kialakítani pl. az AD jogosultságokat.
Egyébként ajánlom tanulmányozásra a PPT modell ITSEC értelmezését (ahol te vagy a process, a people a felhasználó, a technology pedig értelemszerűen az üzemeltetés): ha ezt előadod nekik, talán felfogják hogy közös hajóban eveztek. -
inf3rno
Topikgazda
Egyébként minél többet gondolkodok erről a tárgyalásról az informatikusokkal, annál inkább az jön ki, hogy ezekkel nehéz lesz az élet, mert nyilvánvaló érdekellentét közöttünk, hogy ők a lehető legkevesebbet akarnak dolgozni a lehető legtöbb pénzért, és minden ami security, az nekik plusz munka. Volt némi ellenkezés, de úgy nagyjából mindenre bólogattak, aztán semmi nem történt azóta, és amíg nem kezdem el cseszegetni őket, addig nem is fog. Közben meg engem cseszegetnek adatvédelmi ügyekben, amiben meg kevésbé vagyok képben, úgyhogy kezd beindulni a daráló.
-
inf3rno
Topikgazda
Ők inkább a rendszergazda vonalat képviselik. A szegmentálást én is így gondolom, ők viszont azt mondták, hogy nem érdemes szétszedni ennyire kis szervezetnél, amiből azt gondolom, hogy nem értenek hozzá vagy nagyon nem akarnak dolgozni. Mindenesetre most nincs hálózati eszköz, amivel meg lehetne csinálni, de későbbre akarok ilyet.
A VPN-el az a baj, hogy OpenVPN, és azzal úgy tudom elég magas gépigény jár. A Mikrotiknél esetleg már lehet WireGuard, ami jóval hatékonyabb. Mondjuk én alapból Mikrotik eszközre gondoltam, lehet, hogy tudat alatt emiatt is.
-
Nagy kérdés, hogy milyen informatikusokról beszélünk, de általában az a tapasztalatom, hogy a programozók szinte semmit nem értenek a biztonsághoz, a rendszergazdák között előfordulhat, hogy valaki konyít hozzá. Őket is meg lehet érteni egyébként, mert önmagában az AD managelése legalább 1 emberes feladat kis rendszer esetén, de gyakran a nyakukba kapják mellé az Exchange-et, meg a beszerzést, meg a fizikai kialakítást, ezek mellé még security-t is managelni nem fér be az idejükbe.
A hálózat szegmentálása mindenképpen javasolt, legalább úgy, ahogy említetted. Wifi külön, pénzesek külön - utóbbi nagy segítség pl. PCI compliance-ben is, plusz a hálózati forgalmak nem okozhatnak dugót.
MOD: a pénzes gépeket vezetékes eléréssel lásd el, semmi wifi.
A router kiválasztásánál mérd az igényekhez és a lehetőségekhez az eszközt. Small business-re még a drágább SOHO routereket ajánlják és ha nincs két internet vonalad, akkor felesleges olyat venni, ami tud failovert, mert nincs mire átállni. -
inf3rno
Topikgazda
Érdekes lesz átverekedni az informatikusokon, mert éreztem már az első tárgyaláson is némi ellenállást ilyen alapvető dolgokkal kapcsolatban, hogy minden felhasználónak legyen külön fiókja a gépeken, ahova belépnek ahelyett, hogy egymás jelszavait használják. Számomra érthetetlen, hogy miért állnak ekkora önbizalommal a kérdéshez, amikor láthatóan nem értenek hozzá.
Nekem a routerrel kapcsolatban a legnagyobb kérdés, hogy milyet érdemes venni egy ekkora méretű szervezethez. Lógna rajta mondjuk 20 gép egyszerre, és menne az AD forgalma. Nagyjából gigabitre kéne tervezni. Már feltettem a kérdést a routeres topikban, de nem igazán kaptam választ. Mondjuk annyira nem is reméltem, mert inkább consumer grade termékekkel foglalkoznak, és nem business grade termékekkel.
Más kérdés, hogy szerintetek a hálózat szegmentálás mennyire érné meg egy ilyen kis szervezetnél? Én arra gondoltam, hogy legalább a wifit leválasztom külön VLAN-ba hosszú távon, és talán még a maradékot is szétszedem 2-3 felé, legalább úgy, hogy aki pénzzel foglalkozik az ne legyen azonos VLAN-on a többivel.
-
inf3rno
Topikgazda
Köszi! Ez is nagyon hasznos. Igyekszem amit csak lehet minimál költségvetéssel megoldani, hogy az olyan dolgokra jusson pénz, amire tényleg muszáj költeni.
Az NKE-n azt oktatták, hogy a saját router az alap, hogy ne függjünk a szolgáltatói eszközöktől, azok frissítéseitől. Erről ti mit gondoltok?
-
EDR: ne gondolj semmi extrára, Microsoft Defender üzenetei pont jók. Az utóbbi években nagyon sokat fejlesztettek rajta, szerves része a Windows védelmének.
Persze a komolyabb cuccok tudnak olyat, hogy a management felületről izolálod az endpointot és csak a rajta futó agenttel lehet kommunikálni.
-
inf3rno
Topikgazda
Kösz a tippeket! Le fogjuk mérni, hogy mennyit generál egy munkanap alatt, aztán eldől, hogy járható út e. Szeretnék naplót valahol 3-6 hónap közötti mennyiségről, ha reális áron megoldható, nem csak védelmi célból, hanem forenzikus célból is, hogy lássam mi történt, mi az, amin javítani kell a védelmen, és hogy kit terhel felelősség. A SIEM rendszer bevezetését egy kicsit csillagrombolónak érzem ide, inkább utólag elemeznék, mint real time valahol havi 1-4 alkalom között, ha nincs olyasmi, amire azonnal reagálni kell. Fél-automata megoldás így is használható. Az EDR is jó ötlet, esetleg tudsz ajánlani konkrét terméket is?
-
Na, néhány dolog: az AD nem egyszerű témakör, a Microsoft több száz oldalas tankönyveket ad ki róla. A security oldalára szintén :) Hosszú évek tapasztalata kell ahhoz, hogy AD-ben valaki otthonosan mozogjon, megértse a GPO működését, hogyan lehet jól felépíteni, managelni, működtetni.
A scenario, amit leírtál, még az AI-támogatott ngSIEM-eknek is kihívás - Q1-ben több ilyet is teszteltem, régi, ismert gyártók, valamint startupok termékeit.
Ugyanazt elérni manuálisan még nagyobb kihívás: file accessre kellene audit policy-t beállítani és bekapcsolni az auditor, de ez brutális mennyiségű logot generál, aminek a 99.5%-a zaj. Vagy legalábbis amikor még foglalkoztam AD-val, ez volt a helyzet.Az eddigi kommunikációdból az jön le, hogy tán vmi önkormányzatnál, vagy vmi kisebb állami szervezetnél csinálod ezt, ebből arra következtetek, hogy zsé nem lesz egy értelmes security monitoringra, így azt mondanám, ne elsősorban Windows Eventlog felől közelíts, hanem próbáld meg az EDR irányából elkapni az eseményeket.
Fenntartom a jogot, hogy AD-ügyben tévedek, mert - szerencsére - nagyon régen kellett már foglalkoznom vele.
-
inf3rno
Topikgazda
Szerettem volna központi naplózást pl syslog-ng-vel a szervezetnél, hogy egy helyen meg tudjam nézni a naplókat, de végülis belementem abba, hogy legyen active directory inkább, mert amennyire tudom annak a naplóját is akkor egy helyre gyűjti a munkaállomásokról, viszont AD-vel kb. semmi tapasztalatom nincsen. Tudnátok mondani róla pár szót, hogy mire kell figyelni, egyáltalán rendben van e ez így naplózás szempontjából? Nagyjából az lenne a cél, hogyha mondjuk egy fertőzött office fájlt megnyit valaki, és az elindít egy shell scriptet, azt vissza tudjam követni a naplókból, és be tudjam azonosítani, hogy melyik gépen melyik felhasználói fiókból követték el mindezt.
-
inf3rno
Topikgazda
-
Apollyon
Korrektor
Elvileg passzív adatgyűjtés van, ergo ha csak egy átlagember vagy, akkor AI gyűjti az adatokat az általad használt alkalmazásokon keresztül (pl. gmail), de nem hinném, hogy ennél komolyabb lenne. Plusz állítólag az encrypted adatokat is gyűjtik, ha a jövőben valamilyen egyszerűbb módszer lenne a feltörésükre. De nyilván ezeket nem a te telefonodról szipkázzák le, hanem te magad járulsz hozzá az alkalmazások használatával.
Az, hogy ki gyártja a hw-t, nem sokat jelent, ha magán az eszközön lévő szoftver nem fog magától adatokat küldözgetni. Az lehet viszont, hogy ha célzottan támadnak, akkor majdnem ugyanúgy ki vagy téve a dolognak, mintha az eszköz gyári szoftverét használnád. De célzott megfigyelésnek szerintem nem épp mindenki esik áldozatul.
Másrészt az alap Android open source, tehát szabadon módosítható, a LOS és GOS így megbízhatónak tekinthető. -
inf3rno
Topikgazda
válasz
Apollyon
#570
üzenetére
Az lenne még itt az érdekes, hogy vajon csak kiskapuk vannak a hardverben, Androidban, titkosításban, és az NSA csak akkor figyel meg, ha tényleg kíváncsiak rád, vagy azon a szinten is 24/7 mass surveillance van, mint mobil alkalmazásoknál, és igazán semmit nem érnek az ilyen intézkedések, mert Android alapú az OS és a Google gyártja a hardvert...
-
Apollyon
Korrektor
Kb. 5 éve használom, amikor kezdtem akkor még CyanogenMOD volt. Már az is gapps (google apps) nélkül jött, de akkor még nehezebben lehetett megoldani, ma már könnyedén van mindenre sokkal jobb alternatíva, mint a gúgel-féle zárt megoldások.
A jelenlegi telefonomat meg már úgy vettem, hogy LOS kompatibilis legyen, még a 15.1-es verzió volt a legfrissebb rá, pár hete viszont megérkezett a 18.1, ami már Android 11. Hetente jön új build, én csak havi 1x frissítek hogy meglegyen a security update, azt ennyi. Egyébként nagyon jól működik, nekem nem fagy se semmi gond, viszont LOS-ben nincs VOLTE, ezzel számolni kell. Illetve a szenzorokat ott sem lehet tiltani. Idővel váltani akarok GrapheneOS-re, ott van szenzor tiltás, de ahhoz kell vennem egy gúgel telefont, és amit most érdemes, az több mint 300 font, a jelenlegi meg kiszolgál (4 éves modell), de akkor is húz az új, mert a GOS sokkal tinfoil hat kompatibilisebb.))) Szerintem érdemes áttérni, lehet kifizetődő lesz pár év múlva, hogy kicsit jobban védted a privacy-d. -
inf3rno
Topikgazda
válasz
Apollyon
#568
üzenetére
A LineageOS-el van tapasztalatod? Mire lehet feltenni, és mennyire használható? Gondolkodtam már egy időben, vagy veszek telót és rámókolom, de kicsit ilyen hobbi opensource projekt benyomását keltette, hogy az elődje megszűnt, aztán valaki úgy döntött, hogy forkolja és mégis tovább viszi.
-
Apollyon
Korrektor
GrapheneOS alatt le lehet tiltani a szenzorokat is. De elég szűk a telefon kompatibilitási lista, gyakorlatilag minél újabb gúgli pixel. Csakúgy mint ez, a LineageOS is play.services (meg áruház, meg app-pakk) nélkül érkezik, de fel lehet tenni utólag, aki nem tud nélküle élni. play.services nélkül meg gmail fiók sem kell természetesen.
-
inf3rno
Topikgazda
Nem az azonosítás a probléma, mert betolnak egy evercookiet a webes felületre, aztán azonosítva vagyok. A probléma, hogy hozzáférnek a mobilom szenzoraihoz az engedélyem nélkül. Ha a natív mobilalkalmazások helyett a webalkalmazásaikat használom böngészőből, akkor ezt nem tudják megtenni.
-
Egon
nagyúr
Az a kérdés, hogy mi a konkrét, pontos célod mindezzel.
Mióta már az egér mozgásából (sic!) is azonosítani tudnak, szvsz az egyetlen módozat az anonimitáshoz az, amit shadow kolléga ajánlott: vissza a digitális középkorba. Más út nincs. Ha ez kényelmetlen, vagy a határhaszon negatív, akkor értelemszerűen marad az elfogadás. -
inf3rno
Topikgazda
Szerintem nem éri meg, vagy max érzelmi értéke van a dolognak, hogy az ember vissza tudja szerezni a magánélete felett az irányítást legalább részben. Elképzelhető, hogy mindenhol megváltoztatom az email címemet az újra, és teljesen eltüntetem ezt a gmail-es fiókot. Kevésbé a bizalmasság erre az indokom, inkább a rendelkezésre állás, ami érdekes, mert volt, hogy nem fértem hozzá a leveleimhez pont egy olyan napon, amikor nagyon kellett volna. Ilyenkor nincs semmilyen jogi alapom, hogy felelősségre vonjam a céget szemben egy magyar céggel, aminél fizetek a szolgáltatásért és a rendelkezésre állásért. A magán levelek kevésbé fontosak ebből a szempontból, inkább a céges levelek, képzésekkel kapcsolatos levelek, amikre reagálni kell záros határidőn belül.
-
Ha Androidos telefonod van, nem tudod elkerülni a Gmail használatát és nem mellesleg meglehetősen biztonságos is a Google-ön kívülről érkező támadásokkal szemben. Persze, biztonságot tekintve nem egy Protonmail vagy Tutanota, ahol még a szolgáltató, ha akarna sem tudna belenézni az emailekbe.
A többi részhez: nem tudom, megéri-e a saját szerver használata - gondolok itt arra, hogy a befektetés értéke nem haladja-e meg lényegesen a védendő információ értékét? Ötletnek mindenesetre jó.
-
inf3rno
Topikgazda
Nem láttam még. Próbáltam rákeresni, hátha valaki moddolt így mobilt, de semmit nem találtam, szóval valszeg tényleg nagyon nehéz feladat lehet.
A gmailt egyáltalán nem muszáj használni, mármint én céges dolgokhoz vettem domaint és email szolgáltatást magyar cégtől. Bármikor tudok írni mobil alkalmazást, ami 10 percenként megnézni, hogy jött e új email, igaz ez többet fogyaszt, mint az android vagy ios beépített dolgai, mert azok nem keltik fel a telefont miatta. Elvileg tudok csinálni olyan szervert is itthonra, gyakorlatilag majd kiderül. Nagyjából ilyesmi a cél, hogy minden, amire natív alkalmazást van menjen ki webes felületre, és saját szerverről tudjam meg, hogy van e új email, facebook, whatsapp, stb. üzenet, mert akkor nem férnek hozzá az egész mobilhoz, csak ahhoz, amit a böngésző nyújt és csak ideiglenesen. Maga a mobil oprendszer innentől meg nem annyira fontos, mert nem kellenek natív mobil alkalmazások.
-
Nem tudom, láttál-e már szétszedett, modern mobilt, de nem egyszerű feladat. Vékonyak, unibody ház, az alaplapon mindenhol van vmi bizbasz, amit könnyedén ki lehet nyírni.
Nem állítom, hogy lehetetlen, de szvsz ennél vannak jobb módszerek - a már említett Faraday-kalitka, előfizetsz Gmailre (ekkor nem scannelik sem az emaileket, sem a dokumentumaidat), odafigyelni arra, mit like-olsz, mit írsz le, mit osztasz meg, az alkalmazások engedélyeit minimálisra szorítani. Teljes privacy védelem már soha nem lesz, hacsak nem teszed, amit korábban leírtam.
-
inf3rno
Topikgazda
Nekem annyi a véleményem az egész VPN témában, hogy bizalom kérdése, mert a szolgáltató látja a teljes forgalmadat. A legtöbb VPN egyébként nem is titkosít a szolgáltató és a géped között, csak annyit adnak, hogy használhatod az ő internet kapcsolatukat, szinte mint egy proxy. A konkrét Nord vs Express témában nyilván jobbnak tűnik a Nord.
-
milu
aktív tag
Kinek mi a (szak)véleménye az összehasonlításról?
-
Nehezen hiszem. Szinte minden részegységnek van firmware-e, amibe még akkor is elrejthető kémkedő kód, ha egyébként AOSP-t használsz.
A butatelefonokkal sem jársz sokkal jobban, már az okostelefonok ideje előtti utolsó, GPS-es szériáknál is nyomon lehetett követni a felhasználó mozgását, csak míg akkoriban még nem volt mobil internet, ma az a meglepő, ha nincs.
Még ha a butatelefonodban nincs is GPS, meg Internet, távolról akkor is bekapcsolható a mikrofon és a kamera, ha van. Cellainformációk alapján is bemérhetik a helyedet, egy háromszögelés pofon egyszerű.Ha el akarsz tűnni, akkor nem használsz telefont, számítógépet, bármilyen okos eszközt, bankkártyát, Google-t, Apple-t, Microsoftot, Amazont, Facebookot, a kínai szirszarokat and so on.
-
Egon
nagyúr
válasz
Citroware
#553
üzenetére
Minősített adatot kezelő helyiségekbe (I. és II. osztályú biztonsági területre) tilos mobiltelefont (illetve kép- vagy hangrögzítésre alkalmas eszközt) bevinni. Ez csak adminisztratív kontroll, nyilván nincs kikényszerítve, de működik. Jártam olyan egyeztetésen, ahol mindenkitől elkérték a mobilokat, mielőtt beléptünk az adott helyiségbe.
Ahol komoly üzleti titkokról csevegnek, gondolom hasonlóan járnak el. -
És mi van olyankor, ha fontos cégen belüli értekezlet van, amin olyan dolgokról van szó, amik szigorúan titkos információk, és az ott lévő emberek felének a telefonja a zsebben, bekapcsolt internettel? Itt lehet szó bizonyos megállapodásokról, árakról, egy olyan titkos fejlesztésről amivel jövőre akarják meglepni a világot, vagy eddigi megvalósításoknak a receptje aminek a konkurencia nagyon örülne....
Vajon csak hirdetésre vannak felhasználva a beszédfelismeréssel lejegyzett adatok?
-
inf3rno
Topikgazda
válasz
Citroware
#549
üzenetére
Én úgy gondolom, hogy nincs ilyen rejtett csatorna, és a te internet csomagodat használják erre. Szóval ha le van kapcsolva, akkor nincs adat forgalom. Utána gondolom csak egy darabig tudja gyűjteni, mert mégis véges a készülék tárhelye, memóriája. Hogy ez mennyi idő azt nehéz megmondani, mert teljesen attól függ, hogy milyen adatokat gyűjtenek.
-
inf3rno
Topikgazda
Okostelefonban egyáltalán van olyan, aminél van privát szféra? Gondolkodok egy buta telefonban, de kéne a GPS is, és néha rákeresnék a tömegközlekedés menetrendekre, ránéznék a fórumokra, közösségi médiára webes felületen. Szóval elég kényelmetlen lenne teljesen butával járni. Nekem már eleve az nem jön be, hogy gyakorlatilag mindegyiken előre telepített oprendszer van, és a gyártónak van root joga. Nehezen hihető, hogy ezt nem lehet utólagos telepítéssel megoldani, és hogy nincsenek szabvány protokollok szenzorokra, kamerára, GSM-re, stb.
Mostanában a kedvencem az volt, hogy a whatsapp webes felületéhez be kellett fényképezni egy QR kódot, és persze a whatsapp ehhez kamera használati jogot kért, ami úgy szépen ott is marad rajta.
-
Még az a kérdés merül fel bennem, mivel előszeretettel kapcsolom le az internetet és minden mást is a telefonomon, hogy úgy is kikerülnek-e az adatok. Tehát ha például az elmúlt 5 órában le volt kapcsolva az internet, akkor ezalatt nem hallgat a telefon, vagypedig gyűjti-gyűjti az adatot, és amint bekapcsolom az internetet, az egész adatot felviszi visszamenőleg?
-
válasz
Citroware
#545
üzenetére
Nem létezik privát szféra. A telefonod minden létező módon figyel - kamera, mikrofon (OK, Google) GPS, cellainformációk -, a laptopod ugyanez - hacsak nem Linuxot használsz -, a beszéddel irányított összes eszközöd (Google, Amazon, Windows, konzolok). Amíg ingyenes szolgáltatásokat használsz, Te magad vagy a termék - az adataid, az emailjeid, a böngészési szokásaid, a dokumentumaid, a vásárlásaid, merre jársz, mit csinálsz, Facebookos aktivitáaod.
A Primarkos dolog szerintem önmagában a GPS adatokból simán kivitelezhető.
-
Sziasztok. Egy erős téma ez, több hozzászólásnak kéne itt lenni.
Pár nappal ezelőtt jártam egy Primark nevű ruhaüzletben Grazban. Bementem, körülbelül 10 percig mászkáltam, nem tetszett egyik ruha sem, nem vettem semmit. Előtte életemben nem hallottam még erről a boltról, azóta sem. Nem is kerestem rá neten, semmi.
Majd pedig ma érkezett meg a heti jelentésem LinkedInen, hogy az elmúlt egy hétben milyen cégnél dolgozó emberek kerestek rám, és milyen pozícióban. És megemlítette a Primarkot. Semmi köze nem lenne hozzám, mert mérnök vagyok.
Ez nem lehet ekkora véletlen, hogy életemben nem hallottam még a cégről, aztán egyszer ott járok, és máris rámkeresnek. Csak az a kérdés, hogy milyen alapon talál meg? Még csak venni sem vettem semmit, hogy a nevem szerepeljen bárhol. Nem tudok a LinkedInen olyan funkcióról, hogy helymeghatározás alapján (ami a mobilomon be volt kapcsolva) keressen rá az éppen közel álló emberekre (akiknek szintén van LinkedIn profiljuk).
Ilyet lehet csinálni? Lehetne azt mondani, hogy véletlen egybeesés, de nem hiszem. Már korábban is fordultak elő hasonló dolgok, hogy jártam valahol, vagy rákerestem valamire, vagy csak beszéltem valamiről, aztán azzal kapcsolatos hirdetéseket dobott fel nekem a böngésző, azzal kapcsolatos ember keresett rám, stb...
Mások is tesztelték már, valóban csupán beszédfelismerésből kapunk hirdetéseket is, magyarán a telefon lehallgat. Azt amit egyes munkahelyeken csinálnak az alkalmazottakkal (még nagynevű multik is), inkább nem is kezdem el ecsetelni.Ezek a dolgok hogy férnek bele a személyes jogok védelmébe? Létezik még olyan nekünk, hogy privátszféra, vagy már tálcán van mindenünk, figyelnek mindenhol, nulla magánélet?
Szép világ... és amilyen irányba halad, egyre rosszabb lesz. -
_NCT
addikt
-
inf3rno
Topikgazda
Közben utána kérdeztem, az indoklás nélküli elutasítás Btk, az indokkal történő esetében vagy bírósághoz fordulhatnak, vagy a NAIH-hoz, a hallgatás az kérdéses, hogy minek minősül, bár egyesek szerint az is hasonló az indokkal történő elutasításhoz. [link] Arra gondoltam, hogyha nagyon kérdőjeles az eset, akkor esetleg el lehet küldeni az illetőt, hogy fusson még egy kört a NAIH-al, hogy elkerüljünk egy incidenst. A fenti szerint, érdemes indokolni, különben komoly gond lehet belőle. Mondjuk egy per se ingyen van, de talán olcsóbb, mint egy NAIH bírság, és azért a legtöbb esetben gondolom a NAIH-nál kezdenek az adat igénylők, nem a bíróságon.
-
Egon
nagyúr
Elvileg nem.
De miért nem adnád ki? A közérdekű adatok alapból nyilvánosak, kivéve az a pár kategória, amit törvény (Infotv. vagy más törvény) nem nyilvános kategóriába helyez (pl. a döntés előkészítő anyag, vagy mondjuk amit honvédelmi adatkezelésről szóló törvény két paragrafusa meghatároz, és ami miatt már csillió adatigénylést elutasítottak). -
-
_NCT
addikt
Ha már képzés: Offsec-es OSEP - PEN300-at gyűri valaki? Úgy érzem csúnyán beleszaladtam saját magam által leküldött pofonba, nagyobb C# és programozói tudás nélkül indultam el a tanfolyamon és habár próbálom tanulni munka mellett, elég nehezen áll rá az agyam. Van része ami nem vészes, de az AV Evasion nekem most még elég hardcore.... No meg persze kár volt nyáron indítani, nem volt túl bölcs döntés, ilyenkor valahogy mindig a craftbeer felé nyúlt a kezem a gép helyett.
-
Egon
nagyúr
Dehogyis, az egy statikus Excel, amiben annyit csináltam, hogy az OVI táblát másoltam át úgy, hogy az ottani jelölés helyett (ami több mezőt használva adja meg, hogy milyen BSR értékre nézve kötelező az adott kontroll megléte) 3 db sima számot képeztem ezekből a jelölésekből - így már lehet rá szűrni, és csak a konkrét osztályhoz tartozó (és persze értelemszerűen az alacsonyabb osztályokhoz tartozó) kérdéseket megjeleníteni.
Ez mellett persze próbáltam "lefordítani", feltehető állapotba hozni a kérdéseket, mert - ahogy fentebb írtam - pár kérdés nagyon nem egyértelmű, le kell fordítani az interjúalanyok számára. Egyszerűbb ha ez megvan, és nem az audit során kell real-time "fordítani": így is sok energia elmegy a válasz értelmezésével és rögzítésével (emiatt az egyszerűség kedvéért, ha belefér erőforrásilag, akkor ketten szoktunk menni interjúzni).
Az interjú után persze át kell másolni az eredményeket az OVI táblába, de így legalább azt is rögzíteni lehet, hogy konkrétan mi az adott kontroll megvalósítása (a későbbiekben ez még jól jöhet).
Mi így csináljuk (nem biztos hogy ez követendő, meg egyébként is szerencsére elég kevés 41-es projektünk van). -
inf3rno
Topikgazda
Köszi! A hardver leltárat már elkezdtem, illetve nagyjából összeírtam, hogy minek milyen MAC és IP címe van, hogy be tudjam azonosítani később, hogy milyen gép próbál pl C&C kommunikációt folytatni. Nem tudom, hogy van e értelme ilyen szempontból a fix helyi IP-nek, de hajlok afelé legalább az asztali gépeknél. Az informatika remélhetőleg tud adni nekem valami részletesebb hardver, szoftver leltárat, hálózat leírást, azért nem akartam még annyira részletekbe menni ezzel kapcsolatban. Még amit megszereztem az a szervezet működéséről szóló doksik, azt majd tanulmányozni fogom, aztán ennyi talán elég, hogy felkészüljek az interjúztatásra és döntsek a naplózás mikéntjéről is. Na legalábbis ebben bízom, hogy nem kell mindent nekem teljesen nulláról megcsinálni.
-
Az audit jelentős részét meg tudod külső segítség nélkül is csinálni.
IBSz van? Jó?
DRP van? Jó?
Jogosultság nyilvántartás van? Naprakész?
stb.
HW-SW leltár van?
Adatkezelő akalmazások, szolgáltatások listája van?
Az alap dolgokkal kezd gyűjtést, a tényleges vizsgálat csak után jön.Pl: hiába kezdenéd a naplózás bevezetésével a feladatot, ha azt sem tudod, milyen rendszereket kell naplózni.
-
inf3rno
Topikgazda
Ja hát én is így gondoltam, de egyelőre nem vagyok képben sem azzal, hogy hogyan működik a szervezet, sem azzal, hogy milyen rendszereik vannak. A vezető szerint nekem tudnom kéne arról, hogy hogyan működnek, és szerinte égő a dolgozóktól kérdezni, mert hát ők beosztottak, a vezetőnek mindent is jobban kell tudnia. Ez komoly akadály. A másik komoly akadály, hogy az informatikával sem tudok kommunikálni egyelőre. Szerdára hívták be a vezetőjüket, talán azzal meg tudom értetni magam. Nagyjából itt tartok. A következő hónapokban megpróbálom átküzdeni magam ezen az egészen, aztán ha nem sikerül, akkor januárban lejár a szerződés, és nem fogom újra kötni, mert bár jó pénz, de én dolgozni szeretnék ahelyett, hogy a rendszerrel küzdök.
-
-
inf3rno
Topikgazda
Szerintem ő leginkább a bírságoktól fél, egyelőre úgy tűnik, hogy elég elkötelezett az üggyel kapcsolatban, de figyelnem kell rá, hogy ne essek túlzásokba a kiadásokkal kapcsolatban, és ne hozzak olyan intézkedéseket, amik akadályozzák a munkát. Ha ezt tudom tartani, akkor rendben leszünk. Az informatika nem fog szeretni, mert hozok nekik egy csomó munkát, a havi díj meg ugyanaz lesz, amit felvesznek érte. A legnagyobb bajom velük, hogy outsource-olva van, és külön cseszegetni kell őket, hogy szálljanak ki, ha valamit nem tudnak elintézni teamviewerrel. Teljesen viszont nem venném át tőlük az informatikát, mert nincs akkora rutinom üzemeltetésben, és nem is szeretnék azzal foglalkozni. Nem fizetnének eleget érte, és annyira nem is szeretem.
-
-
inf3rno
Topikgazda
Hát az könnyen előfordulhat, pl a kockázatelemzésnél azt tanultuk, hogy nagyon a céghez kell igazítani és hogy mi a cél. Pl egy banknál teljesen máshogy megy, mint egy önkormányzatnál. Amúgy vissza fogom nézni ezeket az előadásokat, mert már egy éve voltak, és sokat felejtettem, de ott is úgy éreztem, hogy túl kevés a konkrétum az osztályba és szintbe sorolással kapcsolatban.
-
inf3rno
Topikgazda
Ja hát az alap, hogy szívni fogunk, de én úgy vagyok vele, hogyha egy szervezetnél kialakul a helyes gyakorlat, akkor utána már sokkal könnyebben csinálom meg a következőnél, és piaci előnyt jelent, ha foglalkozok vele, ahelyett, hogy csak a pénzt venném fel, mint más cégek.
-
-
Tapasztalataim szerint nincs két cég, aki bármelyik részét is egyformán csinálná. Az eddig leírtak alapján inf3rno-ék szívni fognak, mert rájuk tényleg vonatkozik.
inf3rno #516 A igazi "best practice" nincs, mindenki saját módszer szerint dolgozik. A lényeg a végeredmény, hogy a rendszer működjön, megfelelően védett legyen, az informatikus tudja üzemeltetni valamint megfeleljen az előírásoknak és a Hatóságnak.
-
Egon
nagyúr
De pontosan mit hogy csinálunk? Az OVI tábla kitöltését? Az osztályba sorolást? Úgy általában az IBF tevékenységet? Utóbbira az egzakt válasz: cége válogatja...
Egyébként a köhiedelemmel ellentétben az Ibtv az állami cégek jelentős részére nem is vonatkozik (az önkormányzatok persze szívnak, de egy csomó más szervezet meg nem). -
Egon
nagyúr
Az OVI űrlap már a második kör, legalábbis szerintem. Ha egy adott rendszert mondjuk hármas osztályba sorolnak, a 4.-5. szinthez tartozó kérdéseket fel sem tesszük, mert minek (csináltam egy külön Excelt amit szűrni lehet).
Egyébként van pár kérdés, aminél igen nehéz eldönteni hogy mire gondolt a szerző (még úgy is, hogy elővesszük az eredeti NIST szabványt hozzá). -
Munkatársakat. Mert nem mindenki tudja még szakterületen belül sem, hogy ki mit csinál. Egy 15-20 fős szervezetnél legalább 8-10 emberrel kell beszélni és még így is maradhatnak ki rendszerek, folyamatok. A vezetők kb arra jók, hogy segítenek meghatározni az adott rendszer kiesése esetén mi a várható erkölcsi, politikai, pénzügyi következmény, ergo melyik rendszer mennyire kritikus.
-
inf3rno
Topikgazda
Én amúgy inkább tapasztalt munkatársat, mint vezetőt kérdeznék, pont ezért. Szoftverfejlesztésnél is pont ez szokott a problémám lenni, hogy a vezetőnek halvány lila fingja sincs arról, hogy mit csinál egy alkalmazott a szoftverrel, és hogy mire van ténylegesen szükség ahhoz, hogy hatékonyabban végezze a munkáját, az alkalmazott meg azonnal vágja, és hónapok agyalását tudja megspórolni nekem.
-
Teljes mértékben egyet értek. Ez több napos interjú szokott lenni a szervezettel minden esetben, mert a szakterület vezetőknek sokszor lövése sincs mit csinálnak a munkatársai. Az OVI űrlapot meg nem tudják értelmezni a szerverezteknél. Ezért kell az IBF aki fordít, és értelmezhető kérdést tud feltenni az interjúalanyoknak, így célszerűen ő tölti ki a doksit.
inf3rno #507: az a ház, hogy amiket leírtál nagyon ismerős és sokszor kellett ilyeneket korrigálnom. Ha rám hallgatsz kidobtok mindent és elölről kezditek az egészet. Mindenképp javaslom IBF bevonását, mert eleve kell ilyet kinevezni, és szakmai segítség nélkül csak egy hosszú szenvedés lesz.
-
Egon
nagyúr
Nyilván a gyakorlatban csak így működhet normálisan, de a lényeg a felelősség kérdése. Az IBF a biztonsági osztályba soroláskor kapott információkból dolgozik; ha azok nem korrektek (vagy nem jól kérdez), akkor az osztályba sorolás is inkorrekt lesz.
Ez fontos a felelősség szempontjából.
A másik amit bírok, amikor nem sorolnák külön BSR szerint biztonsági osztályba az adott rendszert, hanem kap egy értéket (mondjuk 3), és kész. Márpedig az esetek 90%-ában ez van. -
Egon
nagyúr
Mellesleg a szintbe sorolást, osztályba sorolást, IBSZ-t az informatikai biztonsági felelősnek kell csinálnia.
A háromból kettőt biztosan. Biztonsági osztályba sorolást csinálja az adott szakterület (vagy legalábbis adjon erős inputot hozzá), aki az adott rendszerrel dolgozik... Honnan tudja eldönteni (főleg egy külsős) IBF, hogy mondjuk "a lehetséges társadalmi-politikai hatás: bizalomvesztés állhat elő az érintett szervezeten belül"?
Mindig azt szoktam kommunikálni, hogy baromira nem az IBF felelőssége ennek eldöntése. Ugyanúgy annak sem, hogy rendelkezésre állási paramétereket meghatározzon. Ki más tudná eldönteni, hogy mennyi időre rohadhat le max. a rendszere, ha nem az aki használja?
Persze tisztában vagyok a nagy büdös magyar valósággal: ezeket az infókat a lehető legritkább esetben lehet kiverni az érintett szakterületekből...
-
inf3rno
Topikgazda
A 4-4-4 az egy olyan rendszer, amitől függünk mi és még sokan mások, de azt nem mi üzemeltetjük. Nem is tudom mit keres a mi IBSZ-ünkben a besorolása.
Igen, én is így tudom, hogy az informatikusoknak lövése sincs az osztályba és szintbe sorolásról, nekem kell dönteni róla, azért fogom felülvizsgálni. Na mindenesetre nem sokra megyek vele, ha az előző cég munkáját szidom, nekem kéne valami előrelépést elérnem. A központi naplózás az maradni fog, igaz, hogy túlteljesítés, de én úgy érzem, hogy szükségem van rá a munkámhoz, és nem akkora hatalmas kiadás megoldani.
-
4-4-4? Az elég magas és kicsi a valószínűsége valóban oda tartoztok és ha annak kell megfelelnetek rendesen lehet pénzt önteni az informatikába. Az IBTV alá tartozó szervezetek kb 60-70%-a az 2. max 3. szintbe tartozik és ennek megfelelően 2. max 3. biztonsági osztályba sorolt rendszereket használ.
Az osztályba sorolás szinte biztos, hogy nem jó. Mellesleg a szintbe sorolást, osztályba sorolást, IBSZ-t az informatikai biztonsági felelősnek kell csinálnia. Ezekhez az informatikusnak semmi köze.Egon #505: abban igazad van, hogy a kettő nem ugyanaz, de ha a hatékonyságot nézed akkor együtt van a legtöbb értelme a kettőnek, főleg ha meg is kell őrizni a naplókat rövidebb-hosszabb ideig és garantálni kell a sértetlenségüket.
-
inf3rno
Topikgazda
Azért gondoltam szükségesnek, mert logikusan következik a felhasználói fiókok rendbetételéből. Ugye ott a felhasználók számonkérhetősége a cél, hogy ne tudjanak egymásra mutogatni, ahhoz meg szükség van naplóra, hogy ki lehessen deríteni, hogy ki volt a hunyó. Ha nem csinálok központi naplót, akkor nem tudom, hogy mi megy a szervezet gépein, és egyesével nem szívesen megyek oda minden géphez, mert jóval több idő. Az osztályba sorolást is felül fogom vizsgálni, most amit láttam, az mindenhol 2-2-2, illetve van egy darab 4-4-4, amit nem is mi üzemeltetünk, de pl ezek a szerverek, amiken a megosztott mappák vannak, amiken a munkavégzés nagyja történik, úgy tűnik benne sincsenek. Ránézésre ez valszeg egy sablon IBSZ, ami nagyrészt jogi szövegekből áll túl sok konkrétum nélkül, és állítólag az osztályba sorolást az informatikusokkal csináltatták. A vírusirtó a Windows Defender a munkaállomásokon, amennyire én tudom nem olyan rossz Windows 10 óta. 30 napnál többre gondoltam, valahol 3 és 6 hónap között, az valszeg a legtöbb incidenst teljes egészében lefedné, bár állítólag vannak olyanok, amiknek évekkel előbb is van már nyoma, de azok valszeg nem a mi szintünk.
-
Ez is egy olyan előírás, ami nyíltan csak az 5 osztálynál szerepel, de pl már a 4-nél is kell naplóelemző rendszer:
3.3.12.6.2 Folyamatba illesztés Az érintett szervezet automatikus mechanizmusokat használ a naplóbejegyzések vizsgálatának, elemzésének és jelentésének átfogó folyamattá integrálására, amely a veszélyes, vagy tiltott tevékenységekre és történésekre reagál.
3.3.12.6.4 Összegzés Az érintett szervezet megvizsgálja és összefüggésbe hozza a különböző adattárakban található naplóbejegyzéseket, a teljes érintett szervezetre kiterjedő helyzetfelmérés érdekében.Ezeket naplókezelő/elemző nélkül nem lehet megcsinálni értelmes határidőn belül.
Egyébként mindenre meg lehet találni az arányos, költséghatékony megoldást.
Tudom mennyire melós az IBTV felkészítés, 7 éve ezt csinálom nagytételben.
-
Egon
nagyúr
Szerintem csak 5-ös osztály esetén szükséges külön naplószerver.
3.3.12.3.3. Központi kezelés
Az elektronikus információs rendszer biztosítja a meghatározott rendszerelemek által generált naplóbejegyzések tartalmának központi kezelését és konfigurálását.
Minél többet foglalkozok ezzel a rendelettel, annál inkább kitűnik, hogy mekkora baromságok és aránytévesztések vannak benne. -
Melyik biztonsági osztály? 1-2 osztály esetén nem szükséges külön napló szerver, de egy felügyeleti rendszer ami ellenőrzi a naplóbejegyzéseket és riaszt ha warning, error vagy critical üzenet van (Zabbix/Nagios vagy ha komolyabb akkor N-Able, Manageengine) nagy segítség. Ez esetben arra kell figyelni, hogy legalább 30 napig meg legyenek a logok. Ha nincs felügyeleti rendszer, akkor a rendszergazdának kell naponta megnéznie legalább a kritikus eszközök ás a távoli elérések (pl Teamviewer) naplóit és erről aláírt feljegyzést (jegyzőkönyv, munkalap, stb.) kell csinálni.
Egyébként 0 lépésként nézd meg, hogy mi nem teljesül jelenleg és abból készíts egy ütemtervet. Amíg az IBSZ nem megfelelő addig nem tudod mit kellene csinálni. A naplózás hiánya sokkal kisebb probléma, mint az, hogy a userek egymás nevében lépkednek be. Rendszer független adatmentés (NAS vagy mentő szerverre tőrténőadatmentés), vírusirtó van egyáltalán ezek hiánya is sokal fontosabbak mint a naplóelemzés?
Szép világ... és amilyen irányba halad, egyre rosszabb lesz.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Két új Ryzen közül választhatnak a kézikonzolok
- Autós topik
- SörcsaPH!
- TCL LCD és LED TV-k
- Azonnali alaplapos kérdések órája
- Vezetékes FEJhallgatók
- Counter-Strike: Global Offensive (CS:GO) / Counter-Strike 2 (CS2)
- AMD Ryzen 9 / 7 / 5 9***(X) "Zen 5" (AM5)
- Milyen TV-t vegyek?
- Formula-1
- További aktív témák...
- Asztali PC , i7 9700K , RX 5700 XT , 32GB DDR4 , 500GB NVME , 1TB HDD
- Dell Inspiron 5406 2-in-1i5-1135G7 16GB DDR4 3200 512GB NVME 14" FHD Érintőkijelző W11Pro
- Eladó MacBook Pro 14" M1 Pro (2021) 16/512 99% akku Makulátlan állapotban!
- Újszeru GIGABYTE G5 - 15.6" FullHD 144Hz - i7-13620H - 48GB - 1TB - RTX 4050 - Win11 - 1,5 év gari
- Eladó garanciás,új állapotu projektorom kihasználatlanság miatt!
- Lenovo ThinkPad X270 (16) - i5-7300U, 16GB, 512GB SSD, 12" FULL HD
- BESZÁMÍTÁS! ASROCK H310CM i5 8400 16GB DDR4 240GB SSD 1TB HDD GTX 980 4GB Aio Corp Croma CM 600W
- ÁRGARANCIA!Épített KomPhone i5 13400F 32/64GB RAM RX 7800 XT 16GB GAMER PC termékbeszámítással
- Eladó ÚJ BONTATLAN Honor Magic6 Lite 8/256GB fekete / 12 hónap jótállással!
- AKCIÓ! GIGABYTE B360 i5 9600K 16GB DDR4 512GB SSD RX 7600 8GB Rampage SHIVA Zalman 600W
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest