[Re:] Olimpia, IoT, biztonság, állami hack

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Új hozzászólás Aktív témák

#10 E.Kaufmann veterán Vesa #9

Új Válasz 2019-01-31 07:55:48 #10
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

E.Kaufmann

veterán

LOGOUT blog

válasz Vesa #9 üzenetére

Lehetne folyamatos is a tesztelés, ahogy jön egy új sebezhetőség, arra is egy kampányt indítani.
#9 Vesa veterán E.Kaufmann #8

Új Válasz 2019-01-30 19:00:23 #9
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Vesa

veterán

válasz E.Kaufmann #8 üzenetére

Elvben igen, de a gyakorlatban más-más módszerrel törhetőek fel az eszközök. Mondjuk egy adott gyártó, adott típusú router-ének FW-jében van egy bug, amivel speciális módon támadható, azt nem fedezi fel egy szimpla, "általános" attack script. Márpedig a veszélyes támadások zöme egyedi hibát használ ki. Szerintem ezt így letesztelni kvázi lehetetlen. Bár ezt nyilván nem mondhatják így ki.
Maximum a triviális hibákat lehet így kideríteni, vagy az 12345 típusú jelszavakat.
#8 E.Kaufmann veterán Vesa #5

Új Válasz 2019-01-30 09:11:57 #8
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

E.Kaufmann

veterán

LOGOUT blog

válasz Vesa #5 üzenetére

Igazából egy jól megírt scriptnek hót mindegy hogy 2 darab vagy 200 millió, gondolom, egyeztetnek azért a szolgáltatókkal is, hogy ne DoS-olják le őket, vagy a szolgáltatók védelmi rendszerei ne csapják agyon a tesztet. A leggyakoribb támadási módokat össze kell fogni és indulhat a móka.
#7 E.Kaufmann veterán nihill #3

Új Válasz 2019-01-30 09:03:30 #7
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

E.Kaufmann

veterán

LOGOUT blog

válasz nihill #3 üzenetére

1. küldjék
2. mari néni használja a szolgáltató Wifi képes eszközét, amit a szolgáltató állítson be rendesen, vagy rugdossa picsán az unokát, aki telepítette neki a tip-linket (DS-link, LS-link és más jóárú rúterek).
3. uniós szinten kötelezővé kellene tenni a német BSI ajánlásokat és csak az annak megfelelő eszközök forgalmazását engedélyezni (idővel, ahogy a gyártók ráállnak).
#6 dajkopali addikt Vesa #5

Új Válasz 2019-01-30 06:43:58 #6
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

dajkopali

addikt

válasz Vesa #5 üzenetére

erről - és még sok más részletről - nem szól a híradás
gondolom, van egy regisztrációs adatbázis az eszközökről, írnak egy szoftvert - akárcsak a hackerek -, ami végigpróbálgatja őket, pl. a jelszavakat
de ez csak feltételezés
#5 Vesa veterán

Új Válasz 2019-01-29 23:50:17 #5
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Vesa

veterán

A gyakorlatban hogyan lehet 200 millió eszközt teszteni? Mármint úgy, hogy annak értelme is legyen?
#4 atike nagyúr

Új Válasz 2019-01-29 12:19:03 #4
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

atike

nagyúr
#3 nihill őstag E.Kaufmann #2

Új Válasz 2019-01-29 11:28:51 #3
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

nihill

őstag

válasz E.Kaufmann #2 üzenetére

1. kb. mindenkinek ki lehetne küldeni.
2. r=1 Marinéni mit tud kezdeni a rúterével?
#2 E.Kaufmann veterán gabor7th #1

Új Válasz 2019-01-29 11:12:56 #2
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

E.Kaufmann

veterán

LOGOUT blog

válasz gabor7th #1 üzenetére

Miért ne lenne haszna, ha pl az internetszolgáltatón keresztül értesítenék az előfizetőt, hogy sebezhető eszközök vannak a hálózatán? Persze az igazi az lenne, ha valami szankciót is kilátásba helyeznének, ha nem számolják fel a hibákat. Pl csak a kifele kezdeményezett forgalom engedélyezése (pl CG-NAT és IPv6 tűzfal), ezáltal elvágva a távelérés lehetőségét (még ha user error ellen ez se véd, mint ahogy tudjuk már a NAT-ról is.)
Én pl örülnék egy ilyen visszajelzésnek, ha találnának valamit, persze tudom, lehet olyan helyzet, hogy valami elavult eszközt kell életben tartani.
#1 gabor7th addikt

Új Válasz 2019-01-29 10:30:03 #1
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

gabor7th

addikt

"Az IoT eszközök biztonsága egyszerűen képtelen lépést tartani ezen eszközök terjedésével."
Nemcsak az IoT eszközök hackelhetők, hanem minden. Talán a Windows biztonsága lépést tart kiterjedtségével?
" Már csak másfél év van hátra a 2020-as tokiói olimpiai játékok kezdetéig, és a japán szervezők igyekeznek nagyon alaposan eljárni biztonsági kérdésekben is. "
Egy eleve bukásra itétélt erőfeszítés.
"Ezt bizonyítja, hogy pénteken elfogadtak egy új törvényt, "
Ráolvasással nem lesz semmi se biztonságosabb.
"A felmérés készítői érthető okokból igen szigorú bizalmassággal végzik a kutatást, illetve tartják védelem alatt a részletes eredményeket "
Nekem van ismerősöm akinek ilyen biztonsági tesztelés a munkája... Nemhogy IoT-ban hanem banki cuccokban is rengeteg a sebezhetőség. Igazából az egész csak egy pecsét megkapásáról szól, hogy igen, megvizsgálták. Elmegy aztán csinálja valamennyi ideig, de aztán letellik az idő és még mindig ott van rengeteg minden ami nincs átnézve, meg az átnézés is azt jelenti, hogy nézi és percenként rengeteg potenciálisan kihasználható dolgot talál, de ennek nem lehet normálisan utánnajárni, nincs rá idő és rengeteg, rengeteg olyan dolog van amit talán ki lehet használni támadásra, talán nem.
Az IoT esetében meg talán ezt még 100-zal be kell szorozni.
"nem akarnak ötleteket és megoldásokat adni a hackerek kezébe."
Nem szorulnak rá.