-
Fototrend
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
#2844
aprokaroka87
nagyúr
sh4d0w
#2843
aprokaroka87
nagyúr
A technika azért van hogy Adott esetben segítsen abban hogy a felhasználó jobban tudjon figyelni a " sebezhető " pontokra.
1. Az valóban jó ötlet hogy legyen valamiféle hitelesítési folyamat a weboldalak kapcsán ( pipa vagy hasonló )
2. Szerintem érdemes lenne url mezőt ilyen esetben valahogy jobban kiemelni, hogy fókuszt kapjon.
Nagyobb betűméret, más jobban látható betűszin, stb.3. Kérdéses hogy egy agyon csicsázott mindenféle mozgó vackot tartalmazó weboldal mennyire fogja elvonni a figyelmet majd.
-
inf3rno
Topikgazda
Ha úgy érted, hogy egy betű elírás van, akkor figyelmesen kell olvasni, nem csak átfutni. Max pár másodperccel több az életedből. Én nem fizetek annyira sűrűn, hogy ne férne bele. Egyébként a böngészőgyártók betehetnének plusz egy fizetési szolgáltató jelölést vagy védett oldal jelölést, stb. annak, aki fizet érte, aztán akkor nem lehetne összekeverni.
-
"Az a baj a fejlesztőkkel, ha nem kötöm meg a kezüket, elkezdik játszani a hülyét. "
Ezen pont nem rég akadtam ki itt cégen belül. Van néhány diákunk akik épp a szakdolgozatról beszélgettek. Hogy mit kellene még beletenni tesznek bele (2FA, jogosultság kezelés, email értesítés új dolgokról, stb), meg hogy hamarosan beadási határidő. Én naiv rákérdeztem, hogy ha még csak most írjátok a fejlesztési doksit, akkor mikorra lesz ebből program. Válasz, a fejlesztési doki már rég le van adva, lassan kész van a program is, ezek csak az extra dolgok amik felmerültek, hogy esetleg beletesszük. Ez az agilis szoftver fejlesztés, van egy doksi ami nagyjából tartalmazza mit akarunk a többit menet közben találjuk ki és a fejlesztő találja ki milyen "extrák" legyenek a szoftverben.
Mondom, he? Én még azt tanultam, hogy megírod a fejlesztési doksit, ügyfél elfogadja. Addig egy betűt nem írsz a forráskódból. Ha az ügyfél áldását adta rá, akkor fogunk a kódoláshoz és csak azt csináljuk ami a doksiban szerepel. Minden ettől való eltérés plusz munka amit külön kell dokumentálni, elfogadtatni. (És persze külön számlázandó.) -
Ezzel teljesen egyet értek.
A problémám nekem ezzel az, hogy:
1. ugyanazt az 1000 éves szoftvert árulják tetszik nem tetszik nincs más,
2. mivel nincs más, tojnak rá, hogy az ügyfelet segítsék a jogszabályi megfelelőségben.És emiatt leszek kíváncsi, hogy erre a fejlesztők hogy fognak reagálni.
Sok esetben már az kiveri a biztosítékot, amikor a szerződés megújításakor felhívom a figyelmet rá, hogy ha egy sérülékenység vizsgálat során felmerül, hogy a szoftver sérülékenységet tartalmaz, vagy egy audit során felmerül egy hiányosság, akkor azt hogyan tervezik javítani? Azt meg sem említem, hogy egy sérülékenység javítása számomra a garanciális javítás kategória, bele kell férnie a support szerződésbe. -
Egon
nagyúr
Hadd oszlassak el pár (ezek szerint közkeletű) félreértést.
Ez a rész elég jó le van írva a kapcsolódó jogszabályokban.
1. Az auditor nem vizsgálja (nem is vizsgálhatja) az EIR-ek darabszámának, vagy kialakításuk logikájának megfelelőségét. Sőt: a teljességüket sem (azaz ha valaki úgymond nem "vallja be" a fél IT-ját, akkor az kimarad a szkópból).
2. Amit az auditor vizsgálhat (és kötelező vizsgálnia): az EIR-ek besorolásának megfelelősége (azaz valóban alacsony, jelentős illetve magas-e).
3. Ha az auditor eltérést talál ebben (ami elég nehéz, tekintettel arra, hogy sok tényező szintén gumiszabály, illetve szubjektív, lásd nagyszámú személyes adat, társadalmi-politikai hatás stb.), akkor egyrészt lefolytatja az auditot a szerződés szerint (tehát alacsony szinten), másrészt javaslattal él a hatóság felé a szerinte megfelelő besorolásra. Ezt követően a bizonyítékok és érvek megvizsgálásával a hatóság hoz döntést az adott EIR szintjére nézve. -
Igen, de már az IBTV-ben is szerepel, hogy nem csak a szervezetet, hanem a szervezet vezetőjét közvetlenül is lehet büntetni. Ha pedig a szervezet vezetőjének a zsebére megy a játék, lehet mégiscsak találna rá módot, hogy legyen zseton az IT-ra, vagy legalábbis értelmes dolgokra költsék el.
De tudomásom szerint az nki eddig nem büntizett, viszont a nis2 miatt már fog.
-
-
hehe, Solarwinds balhé idején még nagyba vuln managementet csináltam, szép napok voltak.
Más: Tudom a Crowdstrike issue nem patch hanem sima (...) update miatt van. De ugye a szerencsésebbek lehet azt se autoupdate-elik hanem csak hetente/havonta, vagy akár még azelőtt is teszt környezetben megnézik. Jó persze tudom, cégek meg a maturity...
-
Nekem nem konkrét nemzet jutott eszembe, hanem, hogy valaki alátett a cégnek és tudta is jól, hogy mit csinál. Félreértés ne essék, én abszolút nem értek ehhez a témához, csak azt tartom különösnek, hogy egy ilyen bonyolult rendszer, amitől függ a világon nagyon sok dolog, mint a légi közlekedés, az egészségügy, stb. CSAK ÚGY lehasal egy frissítés után. Ez annyira hülyén hangzik, semmi logikát nem vélek benne felfedezni. Senki se vette észre? Nincsenek ezek a frissítések több szűrőn és ellenőrzésen keresztül átnézve, hogy kimehetnek-e élesbe?
-
Egon
nagyúr
Btw megjelent a NIS2 auditorokra vonatkozó követelményeket tartalmazó rendelet is, ami némileg ironikus módon szintén a 7/2024-es számot viseli, csak éppen nem MK, hanem SZTFH rendeletről van szó.
Ehhez kapcsolódik a cikk:
Telex: „Mint a védelmi pénz” – Egy Rogán-közeli céget évek óta tartanak a csúcson a pont jókor változó jogszabályok
A cikk megjelenése óta a Certop vezetői kaptak egy visszautasíthatatlan vételi ajánlatot, és gazdát cserélt a cég...
-
#79563158
törölt tag
Gondolatkiserletkent teljesen jo, de miert tennel ilyet? Szerintem az SSH root login es az MFA bypass egy hardenelt gepen serulekenyseg, nem feature. Egyedul akkor hasznos ez, ha backdoort szeretnel hagyni valahol, akkor viszont nagyon, mert a parancsok direkt system functionbe mennek szoval meg logolas sincs.
-
-
-
#79563158
törölt tag
Ez nagyon durva leegyszerusites. Nyilvan ott a kernel amit valoszinuleg tenyleg azonnal javitanak, de mindenki disztribuciokat hasznal aminek integralnia kell a patcheket es amikben kismillio harmadik fel altal irt alkalmazas es service van. Mivel kulonbozo kontributorok csinaljak oket, ezert nem mindet patchelik azonnal, ugyanugy vannak workaroundok, forkok es mivel lehetetlen mindent vegigtesztelni ezert konnyen lehet, hogy egy updatelt fuggoseg tori az alkalmazasokat.
-
Ugyanakkor nem véd a programon belüli profilozástól. A W11 VPN-en keresztül is küldi az MS-nek a telemetriát, a megnézett oldalak keresések alapján a böngésző is elég sokat megtud, a fb-is tud profilozni, cserébe egy 3.fél szerverein keresztül járatod az összes adatodat, ami egyrészt bizalmi kérdés, másrészt sebességben sem feltétlen acélos. Van olyan oldal, ami nem enged be VPN-ről. A PH! is ilyen:
-
Ez kicsit Orwelli lett... Plusz nem is ez volt a kérdés.
Ha lehet hinni az MS-nek itt részletesen bemutatja pl. hogy milyen adatokat küld telemetria néven. Viszont egy földi halandó nem tud mit kezdeni azzal, hogy pl. DatasourceApplicationFile_CO21H2Setup Az eszközön található, ilyen típusú objektumok teljes száma.
-
Egon
nagyúr
Btw az MNB által gründolt banki csalásellenes kampány egész ötletes, arról is volt 2 előadás (más kérdés, hogy kicsit klisés az egész).
No meg a NIS2 kapcsán hozzányúlnak az Ibtv-hez, egész komolyan (pár fasság is lesz ebben, azon ki is akadtam rendesen).
A jó ötletek: eltörlik a szervezetekre vonatkozó biztonsági szintbe sorolás követelményét (ahogy fogalmaztak: "érdeklődés hiányában"); illetve az eddigi felosztás (adminisztratív, fizikai, logikai) is megszűnik, helyette a NIST 800-53-ban szereplő csoportosítás lesz érvényes a kontrollok vonatkozásában.
Még nem tudom, hogy jó ötlet-e: a jelenlegi 3 szint helyett (a NIS2-vel összhangban) csak 3 szint lesz.
Ami tutira fasság: megszűnik a BSR felosztás a logikai kontrolloknál (szóval nyertek a hülyék, akik képtelenek értelmezni, hogy lehet akár gyökeresen eltérő egy adott rendszer B, S és R értéke). -
Szerintem egyforma. Ne legyen internet elérése és nincs ilyen gond.
Egyik kutya, másik eb. Itt inkább a kinek hiszel faktor számít, hogy "eskű nem gyűjtjük csak azt az infót amit leírtuk a policyban".
Szerintem azért nincs értelme a kérdésnek, mert a telefonodon található applikációk valószínűleg sokkal több infót gyűjtenek, mint amit te a gépeden bepötyögtél. És javaraészt ugyanazok a nagy szolgáltatók gyűjtik az infót amik a gépeden is futnak. (MS, Apple, Google, Meta, stb.)
-
#79563158
törölt tag
Ezt nem igazan tudom ertelmezni. Mit jelent az, hogy privacy szempontbol biztonsagosabb?
A FISA Amendments Act of 2008 keretein belul barmelyik amerikai ceg koteles rolad adatot szolgaltatni mint amerikan kivuli kulfoldi szemely, ha ezt kerik. A PRISM jellegu lehallgatas nem altalanos es bizonyos szurok menten tortenik. Ha nem vagy drogkartell, valamilyen terrorszervezet vagy egyeb szervezet bunozoi csoport tagja, akkor nem fogsz beleesni abba a szurobe, amelyik reven a hozzad kapcsolodo adatforgalom atadasra kerulne.
Nyilvan ez az egesz nagyreszt spekulacio, mert keves az elerheto nyilvanos informacio, de kb 98.6 millio exabyte adatforgalmat bonyolit le az USA minden honapban. Meg az amerikai szovetsegi kormanynak sincs annyi eroforrasa, hogy random joskapistak utan kemkedjen.
-
#79563158
törölt tag
Szerintem ez egy nagyon erdekes tema lenne szakdolgozatnak, en egyaltalan nem talaltam errol osszehasonlitast.
Amugy mindig nagyokat mosolygok amikor az emberek felnek, hogy az OS kemked utanuk es ezert mindenfele random vendor zart forraskodu 3rd party tooljait telepitgetik.
-
_NCT
addikt
Én úgy tudom az Apple is bőszen gyűjti a telemetriai adatokat, csak ők nem nagyon adják el 3rd party vállalatoknak, inkább arra használják, hogy fejlesszék és tökéletesítsék a termékeket. De igazából mind1, hogy macOS, Linux, vagy Windows OS-t használsz, pl egy Ubuntu is kellőképp tele van k*rva bloatware-el, viszont linuxnál tudsz disztrók között ugrálni.
Ha félsz a "kémkedéstől" és a felesleges adatok továbbításától Windows-on, én pl. WPD-t használok telemetria blokkolására, illetve a felesleges alkalmazások eltávolítására. De őszintén szerintem már teljesen mind1, mert pl ha fent van a gépeden egy Steam kliens, az is mindent tudni fog a gépedről, illetve a felhasználói szokásaidról. Régen a Win10/11-re csak úgy hivatkoztak, hogy privacy nightmare.
Ezen kívül az Enterprise/Business kiadásoknál azt hiszem ki tudod kapcsolni ezeknek az adatoknak a megosztását, illetve Group Policy-ben is lehet ezeket tiltani.
Szubjektív véleményem, hogy az igazság odaát van, és talán sosem tudjuk meg, hogy konkrétan milyen profilozást végeznek.
-
Független véleményt nem fogsz kapni, mindenki sokat elnéz a kedvencének, de felnagyítja a másik hibáit.
Pl. nem aközött választhatok, hogy teljesen tágra tárt kapukkal, vagy visszafogottan küldjön "telemetriát", hanem hogy küldjön, vagy nem. Plusz könnyen meg is nézheted, hogy miket küld(ene) No és hogy kinek. [link]
Ugyanakkor alapból nincs bekapcsolva a tűzfal.
-
-
inf3rno
Topikgazda
-
Ráadásul a böngészők ismert, fix helyre teszik, a fixen elnevezett a jelszavakat tartalmazó fájlt, tehát sokkal könnyebb rá expolitot írni. Plugin-ek is hozzáférhetnek a jelszavakhoz.
(Tavaly kellett volna telepíteni Zoom plugint Firefoxhoz, konkrétan telepítéskor a Zoom kiírta, hogy ő hozzá fog férni a jelszavakhoz. Ekkor csaptam le a telepítőt, és üzemeltem be arra a 2 előídásra egy ezer éves laptopot. A Zoom azóta nálam tiltó listás, ha azon van az előadás inkább nem is regisztrálok rá.)
A jelszókezelők sok esetben megkérdezik, hogy hova akarod tenni az adatbázist, mi legyen a neve. Ez már egy kicsit nehezíti egy általános exploit készítését.
-
Ebben semmi törés/szivárgás nincs. Csak annyi, hogy a fejlett helyesírás ellenőrző feltöltheti a felhőbe a form-ba beírt user/pass párost.
És? Az, hogy a formot a böngésző maga, vagy egy külső jelszókezelő tölti ki teljesen mindegy. Így is úgyis elküld(het)i a felhőbe. Plusz ha jól értem a jelszót csak akkor, ha be van kapcsolva jelszó mutatása funkció. -
#1820
aprokaroka87
nagyúr
sh4d0w
#1819
-
spileraaa
senior tag
pedig olyan mintha automatizált lenne
emberi kéz nem hiszem hogy ilyen gyors és pontos lenne
mind2 fb esetében a dátum is ugyanaz és az időpont is Szo 15:43 es P 16:28 ezek az időpontok teljesen egyformákés ugyanígy 1 honnappal ezelőtt is teljesen egyforma a dátum és idő is
jún. 21., K 19:37
jún. 23., Cs 8:42a másik honnan tudja az email cimem mind2-hoz? vagy nem is kell email cím csak név?
most rá néztem email és telefonszám amivel lehet kerni ilyen emailt
telefonszám kilőve mert csak egyiknél adtam meg -
spileraaa
senior tag
Másik hogy van két fb egyiket hirdetésekre használom.
június 21 mind2 fb esetében jött ilyen e-mail!
Akkor lehet valami vírus van a háttérben?Akkor mindenhol most aktiválóm azt is!
Ott az emailhez kapcsolódik vagy a telefonhoz?
Ezt azért kérdeztem ha telefont cserélek olyankor automatikusan az email címel megjelnik az új telefonon is vagy beállításokban kell át másolni vagyis a telefonhoz kötődik inkább? -
spileraaa
senior tag
Igen úgy értettem az e-mail címem nem fogalmaztam pontosan!
Be van kapcsolva a két lépcsős igazolás éspedig sms.
Viszont ép a múlt héten lopták el az egyik ismerősöm fb-át úgy hogy neki is be volt kapcsolva de ki törölték a számát anélkül hogy ő tudod volna róla ezek szerint ez sem ér semmit vagy nála hogy sikerülhetett ez hogy el tudták lopni hiába aktiválva volt az SMS?!Másik hogy van két fb egyiket hirdetésekre használom.
június 21 mind2 fb esetében jött ilyen e-mail!
Akkor lehet valami vírus van a háttérben? -
#1749
aprokaroka87
nagyúr
sh4d0w
#1748
-
-
inf3rno
Topikgazda
Ja azt nem ismerem. Telon keresték bátyámat nemrég, hogy ők az OTP, és hogy van többféle új ajánlatuk vagy ilyesmi. Mondta, hogy nem ér rá, aztán mondták majd visszahívják. Mondjuk innentől bekerült gondolom a listájukra névvel, telószámmal, de ez van, sokat telefonál meg sokat keresik idegenek, úgyhogy nem tudja kikerülni.
-
inf3rno
Topikgazda
Én csak meglepődtem, hogy egy napon belül két ilyen jelentkezett, plusz ismerősöm is írt, hogy neki is valami hasonló szöveggel próbálkoztak, és hogy csalás e szerintem. Azt hittem ennél azért ritkább ez a fajta csalás, de ha ekkora divatja van, akkor gyorsan összeütök egy előadást, nehogy valaki beszopja az én embereim közül. Igaz, hogy nem szigorúan céges/önkormányzati melóhoz tartozik ez a fajta csalás, de úgyis gyakrabban akartam tréninget tartani.
-
Ez nem tunik annyira kiberbiztonsagi kerdesnek,
Hanem minek? Értem én hogy a legtöbben üzleti rendszerek üzemeltetésével kapcsolatban értelmezitek, mert ez a munkátok/ezt tanultátok, de az egyszeri felhasználó kérdései, problémái ugyanúgy témába vágóak.
Vagy tegyétek bele a topik címébe, hogy "üzlet/nagyvállalati rendszerek", és majd készítünk magunknak egy otthoni felhasználóknak szóló topikot. -
Egon
nagyúr
Erre szoktam mondani, hogy "kvázi személyes adat", mert beazonosítható lehetsz általa.
És mivel az adatkezelőnek egyrészt általában nem áll módjában egyesével vizsgálni az egyes adatmezőket, másrészt néhány esetben eldönthetetlen, hogy "azonosított vagy azonosítható"-e az érintett az adott adatból, ezért praktikusan kénytelen személyes adatként kezelni, ergo törölni fogja, ha kéred (vagy legalábbis kellene neki). -
Llew
senior tag
-
-
#79563158
törölt tag
Ha ez szerinted nem volt szofisztikalt tamadas, akkor mondd hol dolgozol, mert nincs az a penz, hogy odamenjek.
Abban egyetertunk, hogy maga az exploit nem tul szofisztikalt, itt az az erdekes, hogy hogyan lapatoltak ossze azt az infot, ami vegul a kill chainhez vezetett.
Pl. nem hiszem, hogy veletlenul volt egymashoz ennyire kozel a Plex es a LastPass breach, honnan tudtak, hogy ki az a negy ember akinek hozzaferese van a decryption kulcsokhoz, hogyan sutottek el az XXE exploitot amikor ahhoz local network access kell, plusz megannyi apro kerdes a reszletekkel kapcsolatban amit sose tudunk meg. Ezek azert olyan lepesek amiket nem ugrik meg a legtobb threat actor. -
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
inf3rno- Házimozi belépő szinten
- BMW topik
- Diablo IV
- Formula-1
- Milyen billentyűzetet vegyek?
- Székesfehérvár és környéke adok-veszek-beszélgetek
- TCL LCD és LED TV-k
- WoW avagy World of Warcraft -=MMORPG=-
- Milyen asztali (teljes vagy fél-) gépet vegyek?
- NVIDIA GeForce RTX 4080 /4080S / 4090 (AD103 / 102)
- További aktív témák...
- Asztali PC , i7 9700K , RX 5700 XT , 32GB DDR4 , 500GB NVME , 1TB HDD
- Dell Inspiron 5406 2-in-1i5-1135G7 16GB DDR4 3200 512GB NVME 14" FHD Érintőkijelző W11Pro
- Eladó MacBook Pro 14" M1 Pro (2021) 16/512 99% akku Makulátlan állapotban!
- Újszeru GIGABYTE G5 - 15.6" FullHD 144Hz - i7-13620H - 48GB - 1TB - RTX 4050 - Win11 - 1,5 év gari
- Eladó garanciás,új állapotu projektorom kihasználatlanság miatt!
- Eredeti, új Lenovo 330W töltők - ADL330SDC3A
- Felújított szerverek, storage-ok, hálózati eszközök Enterprise szinten, minden gyártótól
- ÁRGARANCIA!Épített KomPhone Ryzen 7 7800X3D 32/64GB RAM RX 9070 XT GAMER PC termékbeszámítással
- Bomba ár! Lenovo ThinkPad X260 - i5-6G I 8GB I 256GB SSD I 12,5" HD I HDMI I CAM I W10 I Gari!
- ALIENWARE Area-51 R6 Threadripper Edition 1920X
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: CAMERA-PRO Hungary Kft
Város: Budapest