-
Fototrend
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
sztanozs
veterán
válasz
inf3rno
#2743
üzenetére
Fingerprinting csak annyi, hogy tobb fele letarolhato/olvashato adat van, es azok osszesseget figyeli fingerprinting es ebbol szamol egy valoszinusegi egyezest.
kiolvashato:
- window size, bongeszo agent string, os, canvas (betutipus, touch support), WebGL (videokartya, felbontas), keyboard layout, ip, mac address
letarolhato:
- Cache, LocalStore, IndexedDB, OPFS, Cookie -
sztanozs
veterán
Nem megtortek a SHA1-et, csak kockazatos. Viszont vannak olyan korulmenyek, ahol ezek a kockazatok elhanyagolhatok (pl adatcsomagok alairasa)... Bar ~2^63 komplexitassal generalhatok choosen-prefix tamadassal azonos SHA1 hash-t, ez a gyakorlatban nem kivitelezheto egy folyamatos adatcsomagokat generalo (es azokra alairast gyarto) algoritmus eseten.
On 5 January 2020 the authors published an improved attack called "shambles". In this paper they demonstrate a chosen-prefix collision attack with a complexity of 263.4, that at the time of publication would cost US$45K per generated collision.Itt ugye nem csak a koltsegrol, hanem a szamitasi igeny idotenyezoerol is szo van. Gyakorlati iranybol:
To complete 2^63 simple calculations in under 1 second on an Amazon cloud instance (assuming each calculation takes 1 nanosecond), you would need approximately 9.22 billion vCPUs. In practice, such a task would require significant parallelization and specialized resources, likely involving a large-scale distributed computing system. -
#2090
sztanozs
veterán
fatpingvin
#2089
sztanozs
veterán
válasz
fatpingvin
#2089
üzenetére
remelem nem nalunk vezetsz szamlat
![;]](//cdn.rios.hu/dl/s/v1.gif)
-
#1332
sztanozs
veterán
aprokaroka87
#1331
sztanozs
veterán
válasz
aprokaroka87
#1331
üzenetére
Nem
-
-
sztanozs
veterán
válasz
inf3rno
#1267
üzenetére
Szabvanyok jogi ertelemben (ha jol tudom) nincsenek, de vannak kvazi szabvanyok/protokolok (LDAP, Kerberos,
OAUTH, SAML, stb), amiket meg lehet valositani, illetve vannak kesz modulok amik ezeket megvalositjak egy az egyben (persze akkor a fuggoseget kell pluszban kezelni). -
sztanozs
veterán
válasz
inf3rno
#1099
üzenetére
Nekunk egy egesz infrastrukturank van ra, ami megfogja a malspam/phishing levelek kilencvensok szazalekat de igy is tobb ezer spam/phishing csuszik at naponta...
Gondolod, ha a Google/Microsoft nem tudja megoldani a sajat infrastrukturajan, akkor egy regex listaval csodat lehet tenni? -
sztanozs
veterán
válasz
inf3rno
#1019
üzenetére
Szerintem a SE, kifejezetten egy alfaja a csalásnak.
A BTK alapján a csalás az alábbi:
Btk. 373. § Csalás
373. § (1) Aki jogtalan haszonszerzés végett mást tévedésbe ejt, vagy tévedésben tart, és ezzel kárt okoz, csalást követ el.Ennek egy jóval szűkebb formája a SE ami (MITNICK definíciója szerint):
A social engineering a befolyásolás és rábeszélés eszközével megtéveszti az embereket, manipulálja, vagy meggyőzi őket, hogy a social engineer tényleg az, akinek mondja magát. Ennek eredményeként a social engineer – technológia használatával vagy anélkül – képes az embereket információszerzés érdekében kihasználni. -
sztanozs
veterán
Idehaza még nem annyira elterjedt a SIM-swap (főként az igazolványok miatt), de a hanyatló nyugaton, ahol a személyi igazolvány a diktatúra réme, ott ezt sokkal könnyebb némi social engineering (vagy phishing) segítségével megszerzett adatokkal kivitelezni.
-
sztanozs
veterán
-
sztanozs
veterán
Általában ezeket a támadásokat nem a pw bruteforce-olásával oldják meg, hanem pl side-channel attack-kel. Vagy sebezhető FW-rel futó eszközök ellen a hardvert (vagy a wifi-implementációt) támadva. Vezetékes net esetén a még mindig hozzá kell férni a vezetékhez - vagy annak közvetlen környezetéhez.
-
sztanozs
veterán
Remélem 1 dia a jogszabályi részletek és 30 dia a jó- és rossz gyakorlatok bemutatása
Szvsz a gyakorlati - interaktív - oktatás a legcélravezetőbb. Gyakorlati oldalról pedig érdemes ráfeküdni szerintem az malware/adathalászat felismerésre (illetve a tudatosságra): a felhasználók ezzel fognak a legtöbbet találkozni a mindennapi életben.
Vezetők felé pedig szerintem érdemes rendszeresen (legalább évente) szervezni egy jó kis tabletop gyakorlatot valami időszerű incidens témájában:
- Phishing -> BEC vagy BPC
- Beszállító kompromittálódása -> folyamatok leállása (kritikus beszállító kiesése/helyettesítése) vagy fertőzött szoftver települése (Non-Petya)
- Sebezhetőség kihasználása -> BPC vagy Ransomware vagy kémkedés (Solarwinds) -
sztanozs
veterán
Szerintem igazából egyik sem megvalósítható (RBAC/ABAC/PBAC) a gyakorlatban.
Sokkal fontosabb, hogy az összes hozzáférés regisztrálva (és jóváhagyva legyen) mind az Access Ownerrel (ha high risk access), mind az adott személy funkcionális főnökével.
Ezek után a hozzáféréseket mind az Access Ownerek, mind a Managerek rendszeresen átnézzék és a szükségtelen hozzáféréseket visszavonják (és a visszavonások gyakorlatban is megtörténjenek). -
sztanozs
veterán
Régesrég szerettünk volna PBAC-t bevezetni (előző előtti munkahelyen). Hát nem írom le hosszan mekkora szívás volt; röviden:
Borzasztóan, elnyúlósan hosszan nagy.Ha jól tudom (akkorra már nem voltam ott), 2-3 év után kidobták a kb ennyi idő alatt bevezetett rendszert, ami fullban megvalósította a PBAC-t.
-
sztanozs
veterán
Kockázattól függ, mit érdemes (nem teljes lista, csak példák a logolási szintekre):
Mindenhol:
- sikeres/sikertelen belépés
- távoli elérés (fájl vagy terminal server)
Közepes kockázatú rendszerek:
- powershell futtatás, vagy
- minden process indítás logolása
- registry módosítások logolása
Magas kockázatú rendszerek:
- fájl elérések logolásaAmúgy ezt a kockázatelemzésnek kell egyedileg kiderítenie, hogy az azott folyamathoz, az adott rendszerben mit érdemes:
- felmérni a folymatokat (Processes)
- felmérni a kulcs kockázatokat (Key Risks)
- meghatározni "kockázati étvágyat" (Risk Appetite)
- felmérni és kiegészíteni a már működő kontrollokat (megelőző, detektáló, mitigtáló - nem tudom hogy van szépen magyarul)Pl egy kis kockázatú szerveren, ahova nincs felhasználói belépés, más a logolási igény, mint pl a központi AD szerverein, amit ha megtörnek, akkor komoly a gond.
Érdemes számításba venni azt is, hogy a logoknak két szerepe is van:
- azonnali reakció
- nyomozásnál bizonyíték
Tehát érdemes nem csak generálni, de feldolgozni, és úgy tárolni, hogy szükség esetén hozzá is lehessen férni. -
-
sztanozs
veterán
Ha vezetéknélküli, és állandóan megy, akkor egy vezetéknélküli szkennerrel (RF detektor) lehetne megtalálni (ha nagyjából ismert az eszköz/frekvencia), esetleg valami érzékenyebb fémdetektorral (ha olyan helyen van elrejtve, ahol amúgy nem volnának fém eszközök), lencsetükröződést érzékelő detektor, vagy hőkamera.
-
sztanozs
veterán
Inkább arról kell nyilatkoznod, hogy milyen adatot kérhet el az adott szervezet tevékenységhez (illetve megtiltani bizonyos adatok tárolását/feldolgozását, ha az nem tartozik/szükséges az adott folyamathoz). Persze jó politikusnak kell lenni, hiszen az üzleti területekkel nem akasz rosszban lenni (hiszen ők termelik ki a fizetésedet).
-
sztanozs
veterán
Ami szimpatikus. Ha bírod a bitbuherálást, akkor valami VA vagy SOC irányt (attól függően, hogy az offensive vagy defensive irány jön be jobban), ha nyomozósabb vagy, akkor digital forensics. Ha egyáltalán nem bírod (vagy amúgy bírod, csak nem szeretnéd csinálni) a technikai dolgokat, akkor valami IS Assessment, Risk Management (IS Officer) vagy Application Security irányba érdemes menni. Illetve határterület még a SIEM irány is, ahol (ha akarsz) lehet szkriptelgetni, meg regex parsereket hegeszteni, de nem muszáj.
-
sztanozs
veterán
Nálunk a forensics teljesen különválik az IS funkcióktól, egy teljesen független Investigative Services osztály végezhet csak (fizikai- vagy digital-) forsensics munkát (mivel ennek során hozzáférhetnek személyes és minősített személyes adatokhoz).
#313 inf3rno - pentest azt biztos nem ilyen. A megbízó időre fizet, kifejezetten stresszes és időben beszorított tevékenység. Forensics talán nem, de ott meg a nyomozás előrehaladása függ attól, hogy milyen gyorsan találsz meg valamit.
-
-
sztanozs
veterán
A szervernek is tudnia kell melyik userhez melyik só tartozik, tehát, ha az adatbázist megszerzi a támadó, akkor nagy valószínűséggel a hash-só korreláció is megfejthető - még ha nem is egy táblában vannak tárolva. Persze általában egy táblában azonos rekordon vannak, vagy hash mellett, vagy külön mezőben.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- NVIDIA GeForce RTX 3080 / 3090 / Ti (GA102)
- PlayStation 5
- BMW topik
- Counter-Strike: Global Offensive (CS:GO) / Counter-Strike 2 (CS2)
- Everest / AIDA64 topik
- Netflix
- Kerékpárosok, bringások ide!
- AMD Ryzen 9 / 7 / 5 9***(X) "Zen 5" (AM5)
- gban: Ingyen kellene, de tegnapra
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- További aktív témák...
- RTX 4080 SUPER,16GB. Ryzen 7 7800X3D, 32 RAM Fury RGB! Garancia!
- Asztali PC , i7 9700K , RX 5700 XT , 32GB DDR4 , 500GB NVME , 1TB HDD
- Dell Inspiron 5406 2-in-1i5-1135G7 16GB DDR4 3200 512GB NVME 14" FHD Érintőkijelző W11Pro
- Eladó MacBook Pro 14" M1 Pro (2021) 16/512 99% akku Makulátlan állapotban!
- Újszeru GIGABYTE G5 - 15.6" FullHD 144Hz - i7-13620H - 48GB - 1TB - RTX 4050 - Win11 - 1,5 év gari
- Készpénzes számítógép PC félkonfig alkatrész hardver felvásárlás személyesen / postával korrekt áron
- Telefon felvásárlás!! iPhone 13 Mini/iPhone 13/iPhone 13 Pro/iPhone 13 Pro Max
- BESZÁMÍTÁS! GIGABYTE B450 R7 5700X 32GB DDR4 512GB SSD RX 6700XT 8GB COOLER MASTER CMP 510 CM 750W
- ÁRGARANCIA!Épített KomPhone Ryzen 7 5700X 16/32 RAM RTX 5060Ti 16GB GAMER PC termékbeszámítással
- Telefon felvásárlás!! iPhone 15/iPhone 15 Plus/iPhone 15 Pro/iPhone 15 Pro Max
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: CAMERA-PRO Hungary Kft
Város: Budapest