Új hozzászólás Aktív témák
-
#41
fordfairlane
veterán
fordfairlane
veterán
Elég lightos lehetett a policy ennél az állítólagos kiberbiztonsági osztálynál.
Nem lehet, hogy itt nem valami NSA szintű kormányirodáról van szó, hanem kb. egy vidéki munkaügyi központ szintjén kell elképzelni azt a szervet, ahol meghekkelték az IT infrastruktúrát?
-
Egyrészt a mondás valahol jogos, még mi, programozók is szoktuk mondani (csak úgy, hogy oda be nem költöznék).
Másrészt: nem azt mondom, hogy szarjunk telibe mindent, mert úgyse lehet kivédeni. Azt mondom, hogy ha bejön a képbe a punci, meg egy kiéhezett/szociálisan zokni vezető fejlesztő (amiből sok van), akkor teljesen mindegy, milyen rendszered van. Lehet nem egy hét alatt, de hogy egy-két hónap alatt kiszedik belőle azt is, hogy hány seggszőre van a biztonsági őrnek, az biztos. Pláne egy ügyes, erre a célra kitanított nő segítségével.
Az, hogy ebben az esetben ez ennyire egyszerű volt, az a no comment, valszeg teljesen hülyék voltak az emberkék, dehát ez ilyen.
Illetve sajnos tényleg van olyan munkahely, ahol vagy nincs is, vagy nincs betartva a szabály, az viszont valóban a vezetés/security inkompetenciája, de ott szinte kérik az áldást.
Sec. hole: sajnos igen. Sőt, minden cég. Egy szép/intelligens/képzett nővel a megfelelő helyen és időben bármit meg lehet oldani kb.
-
Snoop-y
veterán
Tudom, hogy nem ilyen egyszeru. De sok helyen meg csak meg sem probaljak betartatni a szabalyokat mert hat ugysem lehet kivedeni semmit. Sok mindent azert ki lehet ha esszeruen meg van tervezve a rendszer.
A cikkben szereplo "ceg" -nel ez nyomokban sem megtalalhato a leiras alapjan. Vagy nem az igazat irtak es mashogy tortek fel.
Akkor az altalad leirtak alapjan az osszes IT related ceg egy potencialis security hole?
Ott minden meg van engedve mindenkinek? Csoda hogy nem omlik ossze naponta a rendszer hiszen minden programozo kocka( sic ) es alig varja hogy egy no raugorjon nem? Minden linket megnyitnak/megnyithatnak mert kellhet a melohoz es nincs letiltva semmi? Es csak azon mulik hogy valaki ertelmes e?
Ez meg nekem tunik baromsagnak nem kicsit.Bar van az a mondas ugye, hogy ha az epiteszek ugy dolgoznanak ahogy a programozok akkor egy jottment harkaly egesz civilizaciokat donthetne romba...
-
Nem, hanem azért, mert nem látod be, hogy nem ilyen egyszerű a dolog.
De akkor tételesen:- community oldalak: pl. blog site-ok? Amiken nem ritkán hihetetlen gyöngyszemekre lehet bukkanni? (fb, g+ stb tiltása természetesen ok)
- link levélben: mert mondjuk sokszor van olyan, hogy nem tudsz valamit, megkérdezed egyik kollegád, vagy régi mentorod vagy valami, és egy linket küld vissza, hogy itt megtalálod a megoldást? Magas absztrakciós szintű specifikációval ez veszély nélkül megtehető.
- "egyes programozo cegeknel egesz kodreszleteket toltenek le guglizas utan az elelmes programozok es epitik be azt rendszerekbe" Ekkora baromságot régen hallottam, sorry. Remélem, nem tapasztalat. A gugli jó arra, hogy egy problémádra találj egy megoldást, amit természetesen testreszabva, a cég coding guide-ját betartva beépítsd a saját akármidbe
- "Aztan meg megy a csodalkozas, hogy ezt is felnyomtak meg amazt is az eles rendszerben?" Ennek meg aztán végképp semmi köze az előző témához. Egyrészt ~lehetetlen átvenni 100%ban egy google-ön talált kódrészt, másrészt semmi köze ahhoz, hogy maga a cég rendszere mennyire törhető, vagy nem. (A végső termékben el tudok ilyet képzelni, hogy azért lett feltörhető, mert az egyik developer beleírta, amit a guglin talált, de még annak is nagyobb a valószínűsége, hogy spontán kialakul mellettem egy bőrönd, tele pénzzel, én meg csak elhúzom a számat, és ott hagyom, hogy kell a francnak) -
Snoop-y
veterán
Nocsak mindjart en leszek a hulye, hogy miert dolgozom olyan helyen ahol nem hulyek gyulekezete ul a biztonsagi osztalyon
Miert szuksegesek a community oldalak valamint a linkek benne hagyasa a levelekben egy IT/sec cegnel?
Miert szuksegesek a community oldalak a programozashoz?
Hjam hogy egyes programozo cegeknel egesz kodreszleteket toltenek le guglizas utan az elelmes programozok es epitik be azt rendszerekbe? Aztan meg megy a csodalkozas, hogy ezt is felnyomtak meg amazt is az eles rendszerben?Nem azt mondtam mindenhol legyen tiltva minden de azert lehet esszeru hatarokat is huzni.
Nalunk ahol kell nagyon szorosra van huzva. Sokan nem szeretik de belattak, hogy szukseges. -
Nagyon nem a UAT-ról beszéltem, de mindegy.
Egyébként meg nem a bizonyítványt magyarázom, csak azt jegyeztem meg, hogy a rendszer, amit ilyen nagy mellénnyel reklámozol, teljes mértékben működésképtelen egy ilyen profilú cégnél. Az meg, hogy az amúgy szakmailag akár nagyon is jó ember egyébként egy marha egyrészt megesik, másrészt nem nagyon ellenőrizhető. Arról nem is szólva, hogy jogalapja sincs.De mostmár kíváncsi vagyok, mondj egy olyan rendszert, ami az elmített profilú cégnél (tehát programozás/IT-security) szerintem megoldja/megelőzi ezeket a fajta problémákat.
Légyszi ne kezdd megint azzal, hogy letiltod a net 90%-át, mert mint az előbb mondtam, az nem megoldás, gyakorlatilag ellehetetleníti a munkát ilyen környezetben.
-
Meglepődnél, de van olyan is, csak nem épp ebben a formában. Előfordul, hogy - ugyan úgy, mint a reklámszakmában - egy új termék esetén leültetik elé a user-eket, és megnézik a reakciót, még bőven az alpha-teszt előtt.
szerk.: egyébként meg ami tény, az tény, és az, hogy a kanos férfi hülye, az egy tény. Ha nagyon kanos, akkor nagyon hülye, ennyi.
-
A probléma az érveléseddel az, hogy vannak olyan munkahelyek, ahol kell a szűrés nélküli net. Ilyen pl. minden értelmesebb szoftverfejlesztéssel foglalkozó cég. Ahol programozó van, ott vagy szinte teljesen nyitott net lesz, vagy programozó nem. (Egyszerűen kell a szakmához).
Kiberbiztonsággal foglalkozó cégnél pl. pont nagy szükség van a majdhogynem szűrés nélküli internetre.
-
sh4d0w
félisten
Én nem csak böngészőről beszélek, hanem mindenről, amivel kommunikálsz az interneten. A security legnagyobb baja pont az, hogy vannak néhányan, akik azt hiszik, hogy lehet törhetetlen rendszert felállítani. A tapasztalatok azt mutatják: nem lehet, pláne most, hogy a Snowden-aktákból kiderült: szándékos backdoorok vannak a kereskedelmi szoftverekben, az ellen meg semmilyen policy nem véd.
A social engineering a támadók egyik legnagyobb fegyvere: Iránban a centrifugákat vezérlő rendszerek teljesen izoláltak az internettől, mégis bejutott a Stuxnet - social engineeringgel.
-
Snoop-y
veterán
Nyilvan de itt alapveto dolgok nem voltak/nincsenek beallitva. Hogyan jon be a rosszindulatu link a rendszerbe mikor le van tiltva?
Igen de amit mondasz annak elofeltetele a keylogger/backdoor telepulese. A cikkben az van, hogy atiranyitottak egy hamis link-el.
Mondom nalunk bizonyos sec szint felett nem is tudsz meg bongeszni sem nemhogy letolteni vmit.
Pl fonokom mar ez a szint. Csak https oldalt tud nezni ( a sajat alairt tanusitvanyos oldalakat is tiltja )
kb az internet 99%-ra ezt a szep kepet kapod:
egyes embereknek meg kell erteni, hogy vannak olyan munkakorok ahol nem guglizunk meg gemelezunk es a tobbi. Mivel a userek hulyek tiltani kell. Van ahol ezt komolyan veszik. Egy kicsit a te hozzaallasod is olyan, hogy hat ez van mit lehet tenni? Azt amit nalunk. Betartatjak ami a policyben van.
-
sh4d0w
félisten
Pont nem.
Ha internet-elérés kell, akkor minden hiba, amely a böngészőben és bővítményeiben, az e-mailszoftverben , tfp-kliensben stb. van, potenciális veszélyforrás. Ha egy ilyenen keresztül települ a gépre backdoor, keylogger ésatöbbi, nem kell, hogy kiadd a hozzáférésedet, megszerzik anélkül, hogy tudnál róla - és ez ellen a géphez rendelt vpn sem véd. A hírben is szerepel: sokkal tovább csinálták észrevétlenül a tevékenységet, minthogy megjöttek volna a komoly eredmények.
Teljesen biztonságos rendszert nem tudsz építeni, akárhány gátat is húzol fel - legfeljebb nagyon drágává teheted a támadást. Ha azonban célzottan ellened irányul, azellenemvéd.
-
Snoop-y
veterán
Hat a felsoroltak ellen pont lehet vedekezni ( es valamirevalo helyen vedekeznek is )
Az meg hogy valaki szemelyes belepoit meg a jelszavakat kiadja.
Egy ilyen embernek semmi keresnivaloja egy ilyen cegnel barmennyire "jo" vezeto... De tovabbmegyek pl ha en megadom neked az osszes jelszavamat akkor sem mesz vele semmire mert nincs dedikalt vasad amirol belepsz vele a halozatba...
A vpn login az adott gephez van rendelve tehat nalunk az sem jatszik, hogy egy elkallodott gepet hasznalsz mas loginnal.
plusz a policy-n nem azt ertem, hogy le vannak irva valahol hogy hat igy kene. Hanem ki van eroszakolva minden ami benne van es nem lehet megkerulni.
-
sh4d0w
félisten
A policy nem minden, nem tudsz vele védekezni az emberi hülyeség ellen.
Bici: ha az internetezésre használt programjaidban van egy code execution meg egy privilege escalation hiba, akkor nincs az az UAC, ami megvéd. Ezenkívül a csoportvezetők és föntebb nem feltétlenül azért vezetők, mert szakmailag a legjobbak, hanem mert értenek a csoportok vezetéséhez.
-
Snoop-y
veterán
Inkabb azt mondanam, hogy vannak olyan hulyek akik a farkuk utan mennek... ( es megfelelo IT kornyezetben ezt is lehet iranyitani )
De ebbol en nem vonnam le az altalanos kovetkeztetest, hogy mindenhol igy mukodik.Maradjunk annyiban, hogy ha van normalis IT policy akkor ezek a dolgok nem tortennek meg.
-
Snoop-y
veterán
Rendkivul jo beallitasok lehettek a rendszerben.
Ez van ahol meg mukodik? ( udvozlolap linkre kattintva benyalni barmit is? )
Nalunk semmilyen link nem el levelezesben es be sem lehet kapcsolni, hogy mukodjon ami kivul esik a sajat domainen...
Bizonyos sec szint felett nem tudod hasznalni a laptopod magan celokra ( nem tudsz csatlakozni nyilvanos halozatokra ) proxyn keresztul meg a facebook gmail kozossegi oldalak felejtosek. Sajat vpn-re tudsz csatlakozni es a proxy majd eldonti megnezheted e az adott oldalt... ( legtobbszor nem )
Es hol vagyunk mi meg az NSA-tol? Mi ez valami balfaszok gyulekezete?
-
És ha neki épp nem jön havonta bankszámla kivonat? Vagy a támadó nem találja el az illető bankját?
A cikkhez: Számomra az a kérdés, hogy egy linkre kattintva milyen technikai eszközzel lehet megszerezni bármit?
Az UAC/root jelszó bekérés ki volt kapcsolva?
Egy IT szaki csak nem kattint az UAC-ra OK-t, ha egy weboldalra akar menni.
Biztos én vagyok buta, de nem értem, hogy ez technikailag hogy működhet.
-
#10
gghrtz
őstag
VaniliásRönk
#9
gghrtz
őstag
válasz
VaniliásRönk
#9
üzenetére
Ez igy van. A no elerheti amit akar HA szep , de csak azert mert olyan hulyek vagyunk, hogy hagyjuk nekik. Torekedni kell ra, hogy szelektaljuk az ilyen noket. A problema az, hogy 10/8 ferfi balek.
-
#9
VaniliásRönk
nagyúr
#51736960
#8
-
#8
#51736960
törölt tag
VaniliásRönk
#6
#51736960
törölt tag
válasz
VaniliásRönk
#6
üzenetére
egy jóképű férfi, pláne ha van egy kis esze is, ugyanúgy elérhet szinte mindent.
úgyhogy nemtől független a dolog szvsz -
azoknak akik nem esnek bele a csinos pofival biztonsági kockázattá tehető férfiak csoportjába készülnek a biztonsági incidensekről szóló cikkek, amelyeknek a linkjeiben ugyanúgy malware van.
ferfival nőket átejteni nem sikerült. miért mennyi nő biztonsági szakember dolgozott annál a szervezetnél? meg egyébként nem hamis facebook profilt kellet comna létrehozni nekik, hanem csak egy "véletlenül" továbbított hamis bankszámlakivonatot...
-
#6
VaniliásRönk
nagyúr
VaniliásRönk
nagyúr
Ilyenkor kérdem én azt, honnan az a marhaság, hogy: "It's a men's world."?
A mellékelt példa kíválóan igazolja, hogy ha egy nő nem ronda, buta és kövér, a világ a lábai előtt hever. Bár abban sem vagyok biztos, hogy a buta teljesen kizáró ok lenne... -
#1
zöld drazi
csendes tag
zöld drazi
csendes tag
Aki valaha megfordult a VIK-en vagy a Schönherz koliban, az nem ellenkezik a fenti állítás igazságtartalmával.
![;]](//cdn.rios.hu/dl/s/v1.gif)
Mondjuk az viszont már elég gáz, hogy egy komoly biztonsági csapat főnöke is benyalta a trükköt.
Úgy látszik, ha a vér elhagyja az agyat, vége mindennek
Egy ilyen embernek semmi keresnivaloja egy ilyen cegnel barmennyire "jo" vezeto... 
), akkor jó eséllyel ezt a saját bőrödön fogod megtapasztalni ![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Hobby elektronika
- Elektromos autók - motorok
- Milyen program, ami...?
- Azonnali informatikai kérdések órája
- Intel Core Ultra 3, Core Ultra 5, Ultra 7, Ultra 9 "Arrow Lake" LGA 1851
- Kerékpárosok, bringások ide!
- Warhammer 40.000
- AMD Ryzen 9 / 7 / 5 9***(X) "Zen 5" (AM5)
- Milyen billentyűzetet vegyek?
- OLED TV topic
- További aktív témák...
- Huawei Nova Y90 128GB, Kártyafüggetlen, 1 Év Garanciával
- Referencia Weboldallal Világítós bill+laptop bill magyarítás. Rania 3M -is! Touchpadok is.Posta ok
- Apple iPhone 13 / 128GB / Gyárifüggetlen / 12Hó Garancia / 89% akku
- BESZÁMÍTÁS! ASUS C246M i5 9400F 16GB DDR4 250GB SSD 1TB HDD GTX 1660 Super 6GB Zalman N4 Zalman 600W
- Új MSI Katana 15 Gamer FHD IPS 144Hz i7-13620H 10mag 16GB 512GB Nvidia RTX 4060 8GB Win11 Garancia
Állásajánlatok
Cég: FOTC
Város: Budapest