A copy/paste vált a vállalati adatszivárgás első számú csatornájává, megelőzve a fájlátvitelt

Titkosítás, biztonság, privát szféra

Mostanra gyakoribbá vált, hogy az adatok másolás és beillesztés útján hagyják el a vállalatokat, mint fájlátvitelek és feltöltések révén – derül ki a LayerX Browser Security Report 2025 jelentéséből.

Ez az eltolódás nagyrészt a generatív mesterséges intelligenciának (genAI) köszönhető: a dolgozók 77%-a illeszt be adatokat AI promptokba, és a vállalati fiókokból nem vállalati fiókokba irányuló összes másolás-beillesztés 32%-a genAI eszközökön belül történik.

„A hagyományos adatkezelési és biztonsági irányítási/szabályozási keretrendszer, amelyet e-mailre, fájlmegosztásra és jóváhagyott SaaS-re építettek, nem számolt azzal, hogy a böngésző promptba történő copy/paste lesz a meghatározó adatszivárgási vektor” – írta Or Eshed, a LayerX vezérigazgatója a jelentést összefoglaló blogbejegyzésben.

Részletek itt és itt.

( XMI | 2025. 11. 24., h – 18:50 )

Már várom, hogy erre válaszként a Cisco/Crowdstrike/Zscaler/Rapid7/RandomTrendyInvasiveEndpointSecurityLofasz majd full letiltja a clipboard használatot a kliensgépeken. Gondolom a kövi Soc-ban már kötelező követelmény lesz...

Régóta vágyok én, az androidok mezonkincsére már!

A DLP megfogná a TopSecret.docx levélben történő küldését, mert ilyen névvel nem csatolhatsz semmit, és ha átnevezed, akkor sem engedi, mert a benne lévő céges összefoglaló az első lapon tartalmazza, hogy "classified" vagy akármi, ami éppen a céges szabvány.

Ezért megnyitod a gmail -es levelezésedet, elkezdesz egy új levelet, copy-paste a titkos Word állomány az első lap kihagyásával, majd bezárod a böngészőt. Hazamész, megnyitod a levelezésedet és a draft -ok között ott figyel a szupertitkos információ. Miután kitörölted a draft -ot, semmi nyoma a levelezésben, hiszen sosem lett elküldve.

Ez csak egy a sok primitív módszer közül. Ha a DLP okos, és belenéz a doksiba, akkor előtte ROT13, és sok sikert a string egyezésekhez. Ha ennél okosabb AI, akkor cat TopSecret.docx | zip -p "jelszavacska" | Base91 | rot13 és mehet a szöveg a levélbe. Vagy csak cat TopSecret.docx | lzma --format=raw | rot13 > semmikulonos.semmise és max arra fog panaszkodni, hogy nem ismeri a semmise file formátumot amikor elküldöd levélben.

a világ összes email site-ja beleértve a self-hosted own cloud-okat? De tegyük fel igen (meglepne). Mi van a minden mással amibe lehet vágólapról másolni és elrakja? Kedvencem: Miro. Ugye van az enterprise előfizetés, mert az jó. Próbáld kiszűrni mellőle a magán hozzáféréseket.

Amúgy mitm szűrők elvileg mindent ki tudnak szúrni, de valójában csak akkor, ha elég nagy szeletet másolsz be a doksiból

Jo, de az egesz topic arrol szol, hogy regen az elsoszamu adatszivargas az volt, hogy emberek file-okat kuldozgettek, most meg mar a copy-paste az. Es hogy emiatt ez a random security ceg gondolom valami megoldast akar kinalni ezellen - meg a normalis munkakorulmenyek ellen is egyuttal.

Onnantol, hogy megy az ssh, meg otthonrol dolgozol, meg vpn-el elered azt, ami bent van, ez az egesz szar nem jatszik.

Erted, szeretnel dolgozni, a security team meg ezt probalja megakadalyozni. Erre te megprobalsz kiskapukat keresni, hogy megiscsak tudj dolgozni, most megint a secu jon, hogy ezt megakadalyozza - vagy legalabb hatraltassa amennyire lehet. Most ok kaptak egy uj eszkozt, amivel mar a copy-paste is letilthato, mert mennyire veszelyes dolog mar! (mar ha olyan helyen dolgoznal, ahol ennyire eros a secu csapat - nalad eszerint nem)

A strange game. The only winning move is not to play. How about a nice game of chess?

Ez sajnos nem így működik. Nem azért szopatnak a security teammel, mert nem bíznak benned, hanem mert máshogy a cég nem tud átmenni az auditon. Audit nélkül nincs plecsni, plecsni nélkül meg nincs ügyfél. Vagy ami marad, annál az "ingyenből mennyit engedsz" kategóriában kell versenyezned. Ez meg csak azoknak a bigtech cégeknek fekszik, akiknek kész bejáratott modelljük van arra, hogy az adataid ellopásából hogy csináljanak pénzt.

Régóta vágyok én, az androidok mezonkincsére már!

Valakiben bízni sok mindent jelenthet. Pl. ha egy cég annyira nem bízik egy dolgozójában, hogy feltételezi, hogy szándékosan kárt akar okozni, attól nyilván meg kell szabadulni.

Ha alapvetően bízik benne, de nem 100 százalékosan, akkor az ellenőrzést kell szigorúbbá tenni, illetve nem szabad túlságosan bizalmas munkát bízni rá.

Ha a cég tudja, hogy a dolgozója szándékosan nem akar neki ártani, de nem bízik abban, hogy az adott dolgozó aktívan és tudatosan képes elkerülni mindenféle hibát, akkor pedig olyan körülményeket kell teremtenie, hogy a véletlen hibaelkövetés ne vezessen komoly problémákhoz. A legtöbb esetben ez utóbbi a helyzet. Az általad leírt 'fizetett ellenség' inkább az első kategória.

Az a cég pedig, amely száz százalékosan bízik abban, hogy a dolgozója véletlenül sem fog neki kárt okozni - nos, ezek általában rövidebb életű cégek :)

( n.balazs v | 2025. 11. 24., h – 22:36 )

Ohh, micsoda felfedezés! (szarkazmus)

Már jó ideje tiltják enterprise környezetben a copy/paste funkciókat ilyen-olyan eszközökkel és módon. Ennek egyik módja, amikor a jump hoston végzik el a tiltást. "Mi" meg teperünk, hogy fájlokat ki-be juttassunk legális módon.

Ideje, hogy a többi számítógéppel dolgozó is megtapasztalja ezt az "élményt".

Ilyennel még nem találkoztam, de elhiszem nektek, hogy van ilyen. Jó nagy genyaságnak hangzik. Már eleve az átlagos alap céges tiltás is nagyon durva szokott lenni, se rendszergazdai jog, alap beállítások, alkalmazásokat is szűrve, még a portable, CLI alkalmazások is, ha erre még rájön, hogy tényleg vágólapja sincs az embernek, meg fájlokat se lehet eljuttatni sehova, akkor gyakorlatilag használhatatlan a gép, csak villanyírógépként működik.

“Linux isn't an OS, it's a troubleshooting sim game.” (a YouTube commenter)

és ugye mi lesz ennek a side effect-je? a passwordoket sem lehet copy-paste segítségével kitölteni, így szépen 'visszajönnek' a gagyi jelszavak, amit képes vagy begépelnia 'biztosnágos' helyeken is... 

Én ezen a ponton szoktam felhívni az ügyfél/projekt figyelmét arra, hogy ez a 'limitáció' sokkal nagyobb sebet vág az IT security törekvéseikbe, mint amit ezzel megoldani próbáltak. Mert persze 'beleső' password manager az nincsen... mert minek.

Ettől függetlenül: írásos dokumentációt kérek arról, hogy hogyan lehet file-okat biztosnágosan - és az érvényben lévő IT security policy-t betartva - oda juttatni. Mert amikor ezeket szekjúrizálják, akkor erre valamiért nem gondoltak, hogy hogyan varázsoljam oda a 2+GB-os patchekt...

 

Welcome to the security teather!

zrubi.hu

MSTSC-n keresztüli windows ISO >2GB másolás érdekes eredménnyel járt annó :) Asszem fel kellett darabolni biztonság kedvéért 1GB-os darabokra. De vágólapon keresztül (mert ugye a file copy itt is ki volt herélve jumphost-on keresztül) ez is jó fájdalmas (és rohadt lassúúúú) volt.

Darabolást megcsinálta a total commander simán, de az összeillesztéshez már segédprogram híjján maradt a copy /b cmd-lineból.

Jópár évig voltam security architect és ha valamit megtanultam, az az, hogy a Theater Security ellen nem lehet eredményesen harcolni. Ha egyszer valaki beleírta valami excel táblába a requirement-et, akkor az onnantól nem tárgyalási alap. Legyen az 

- ártalmatlan (de hatástalan), 
- kifejezetten kényelmetlen (és továbbra is hatástalan)
- vagy egyenesen destruktív, biztonságot valójában rontó intézkedés (*)

akkor is le kell implementálni. Különben nem megy át az auditon, nem veszi át az ügyfél, vagy ha átvette jön kötbért követelni, mert valami nem compliant. Kedvencem, mikor egymásnak nettó ellentmondó követelmények vannak (a hírhedt eset, hogy a jelszónak csak a hash-ét szabad tárolni - helyesen, de az is legyen "valahogy" megoldva, hogy az új jelszó legalább X karakterben különbözzön az előző Y jelszótól).

* itt szoktam felhívni a figyelmet, hogy abban a bizonyos CIA háromszögben ott van az "A", mint Availability is... ezt kényelmesen el szokták felejteni, mikor értékelni kell egy intézkedés előnyeit/hátrányait.

Régóta vágyok én, az androidok mezonkincsére már!

Segítek értelmezni:

Nem arról van szó, hogy eddig nem tudták és most fedezték fel, hogy a c&p evil, hanem arról, hogy most jutottunk el oda, hogy a c&p-n keresztül szivárog ki méret szerint a legnagyobb mennyiségű adat. Figyelembe véve a fájlátviteli protokollokat, ez azért mindenképpen egy mérföldkő.

trey @ gépház

véleményem szerint semmivel nem mérték... mert mégis hogy a t*k*mb* mérnék??

csak minden évben ki kell jönni valami új 'veszélyforrással', hogy a következő évben erre lehesen majd új buzzwordöket ráhúzni, amivel meg újabb világmegmentő 'megoldásokat' eladni - valahonnan ismerős lehet ez a forgatókönyv, nem?! ;)

 

de lehet csak túl régóta tolom már ezt a szekeret... körbe körbe.

zrubi.hu

mégis hogy a t*k*mb* mérnék

Gondolom egyszerűen darabra. Hány jelentett incidensben jelölték meg, önbevallásos alapon, hogy valamelyik alkalmazottjuk valamit copy-paste-elt oda, ahova nem kellett volna. Nyilván ez nem egy pontos és reprezentatív mérés, de végeredményben rávilágít, hogy ezt mostanság sokan cseszik el. (Az más kérdés, hogy teljesen rossz következtetés levonására alkalmas... és ha le lehet vonni a következtetést rosszul, akkor le is fogják.)

Régóta vágyok én, az androidok mezonkincsére már!

Nálunk 10+ éve tiltva van a copy+paste a termelési rendszer viszonylatában, szóval ez nem új dolog.

A másik meg, hogy az AI -nak átadni céges adatokat pont olyan PEBKAC mint gmail-be küldeni belsős titkos adatokat külön titkosítás nélkül. Nálunk ilyenért kirúgás jár. Lehet, hogy újabbnál újabb védelmi rendszerek helyett csak ki kéne rakni a bejárat elé egy szégyenkalodát, és aki céges adatot küld a chatGPT -nek, az másnap ott kezdi a napot.

Termelési rendszeren, meg ipari vezérlőn okés, ha letiltod a vágólapot, mert oda nem kell, ahhoz a fajta működéshez. Viszont munkaállomáson, irodai gépen, fejlesztői-admin gépen letiltani tarkón lövés.

“Linux isn't an OS, it's a troubleshooting sim game.” (a YouTube commenter)

( zrubi v | 2025. 11. 25., k – 09:07 )

a dolgozók 77%-a illeszt be adatokat AI promptokba,

És erről a copy-paste tehet. ugye?!

Még véletlenül sem az adatlopó AI?

Vagy a tudatlan (l)user?!

 

Ez pont olyan, mint az a (fiktív) 'tanulmány', amiben kimutatják, hogy az emberek akik rendszeresen vizet iszank, 100% ban elhaláloznak.

 

szerintem.

zrubi.hu

( gelei v | 2025. 11. 25., k – 12:02 )

Ha a cég nem veszi meg a céges AI-t, akkor a user majd bemásolja a cuccot az ingyenes ChatGPT-be, nincs ebben semmi meglepő.