[update] "Feltörhették a KRÉTA-t, a diákok adatai is kiszivároghattak"

https://telex.hu/tech/2022/11/07/kreta-rendszer-e-naplo-kozoktatas-adat…

"...Hogy mást ne említsek, ilyen adatok: a diákok fogyatékosságai, magatartászavarai, amelyek minősített adatok; felmentések, igazolások, egészségügyi adatok; pedagógusok és más alkalmazottak HR-adatai; intézmények költségvetése, gazdálkodása; intézmények iktatott dokumentumai..."

"...„a KRÉTA rendszert érintő adatszivárgás miatt 2022. január 1-jét követően a rendőrség nyomozó hatóságainál nem indult büntetőeljárás.”

--update

"A fejlesztőcég megpróbálta elhallgatni a KRÉTA feltörését"

https://telex.hu/tech/2022/11/09/kreta-rendszer-ekreta-zrt-adathalasz-t…

--update

"KRÉTA-ügy: félrevezették a felhasználókat"

https://24.hu/tech/2022/11/10/kreta-rendszer-kozoktatas-hacker-tamadas-…

"...Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről."

-- update

"Több szülőnél nem megy a KRÉTA, de nem hekkertámadás miatt"

https://telex.hu/belfold/2022/11/10/kreta-nem-mukodik-belepes-hibauzene…

"...Egy nekünk nyilatkozó kiberbiztonsági szakértő szerint a nyilvánosságra került információk alapján a fejlesztőcégnél súlyos biztonsági mulasztások merülnek fel. Szerinte ez lehet a GDPR-éra legdurvább adatvédelmi incidense. Az adatvédelmi szakértő szerint súlyosbító körülmény lehet, hogy a cég senkinek nem szólt a történtekről."

--update

"KRÉTA-ügy: Aggasztó a kiszivárgott forráskód, de arra utal, hogy a hekkerek nem mindenhez fértek hozzá"

https://telex.hu/tech/2022/11/11/kreta-adatszivargas-forraskod-ekreta-z…

"...a fejlesztőcég kommunikációja meglehetősen kusza volt az ügyben: a nyilvánosságot nem tájékoztatták, ahogy a hatóságokat sem, de a kormányt igen, és a cég ügyfélszolgálata egy-egy érdeklődő szülővel is megosztotta az információt, majdnem két hónappal azelőtt, hogy a közvélemény értesülhetett volna róla."

--update

"Alapvető hiányosságok miatt sikerülhetett feltörni a KRÉTA rendszert"

https://444.hu/2022/11/14/alapveto-hianyossagok-miatt-sikerulhetett-fel…

Hozzászólások

Ez csak FAKE NEW, lehet, mert a itt az országban minden törvényesen megy, szóval ha lett volna hekkelés, a GDPR értelmében azt jelenteni kellett volna. Nem jelentették tehát nincsen.

Ismétlem FAKE NEWS ...

Fedora 37, Thinkpad x280

Hú de rohadtúl meg lettek kopasztva személyes adatilag a userek. Arról megint nem beszél senki, hogy az érintettek általános internetes lábnyomai 10x annyi információt mondanak el, mint a Kréta egésze.

Ugyan így nem értem a népszámlálás picsogókat. Ott mondhatsz bármit. Az internetes lábnyomodat meg nem tudod meghamisítani.

Pont ez jutott eszembe nekem is. Az, hogy MS szoftvereket használnak kommunikációra, az iskolák teljes levelezés fenn van egy felhőben, FB csoportokat szerveznek és azokba BE KELL jelentkeznie a tanárnak - a feleségemnek is ezért kellett regisztrálnia az FB, ahol természetesen meg kellett adnia a telefonszámától kezdve mindent - az nem zavar senkit, az rendben van.

A különbség a Krétás ügyhöz képest az, hogy, amíg a Kréta feltörése jogi következményekkel jár a feltörőre nézve, addig a multiknak tálcán átnyújtott érzékeny adatok tömege illetve azoknak bármilyen célú, akár Magyarországgal szembeni, nemzetbiztonsági körbe tartozó felhasználásával szemben semmiféle jogi út nincs.

Milyen érdekes, hogy így a tanárhergelés környékén történt mindez!

> Sol omnibus lucet.

"egy projektvezető kattintott egy fertőzött linkre egy átverős emailben, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül."

Nem is tudom, mit is mondjak...

Error: nmcli terminated by signal Félbeszakítás (2)

Ne kapaszkodjunk a PM-be, nem tudjuk, hogy milyen feladatai és hatásköre van.

Felvázolunk egy ideális világot, "esetileg antivált támogatói hozzáféréssel", a gyakorlatban a projektek túlnyomó többsége azt sem tudja megugorni, hogy a kilépő kolléga után biztosan ne maradjanak tokenek és a technikai userek jelszavai meg legyenek változtatva.

Legalábbis mindenhol ezt láttam, több nagyságrenddel nagyobb organizációkban, mint ami a kréta mögött áll.

gyakorlatilag mindent

En nagyon cuki ember vagyok, de ez a gyerekeimet erinti (ha jol tudom, Neked is van, es a KRETA -ban az adataik szerepelnek. Kb. minden, amivel az iskola rendelkezik.)
Esetleg -ha ez nem igaz- akkor tetelesen lehetne cafolni.

Error: nmcli terminated by signal Félbeszakítás (2)

Mondjuk azt a beszélgetést is meghallgatnám, amikor adott főnökurnak sikerül megmagyarázni, hogy neki miért nem jár hozzáférés mindenhez is - a jelenlegi munkahelyem légköréből kiindulva.

[insert line here]
B.C. 3500 - DIY Vehicle / A.D. 30 - DIY Religion / A.D. 1991 - DIY OS

Nekem ezt ugy sikerult elmagyarazni, hogy megemlitettem, hogy barmi tortenik beazonosithato formaban az o hozzafereseivel, az azt eredmenyezi, hogy o maga csinalta. Akkor is, ha nem, mert abban az esetben nemcsak, hogy hibazott, de meg az allomanyok eloirt vedelme sem valosult meg. Megosztott jelszo, kulcs, etc. meg nincs. Mukodik. :)

Error: nmcli terminated by signal Félbeszakítás (2)

Miért, a globális tech. óriásokat ki az anyám kínja látta el "isteni" küldetéssel, vagy legalább ilyen tudattal?

A gyerekeink, a jövő rabszolgái vagy a esetleges jövő rabszolgafelkelések vezetői lesznek. (A "háttérnek" ezt, - és minden mást is, - jó előre kell ismernie a szükséges semlegesítésekhez. - Már előre programozzák a társadalmakat.) - A kiemelkedők adatai pedig egyébként is kincset érnek már jó előre a "pénzpiacokon".

Á.., konteó,(!) - csupán csak egy óvodás korú "script kiddie" játszadozott a "könnyített" lehetőségekkel.

:)

Ha egy SQL injection stb. miatt bejutottak felhasználói közreműködés nélkül az a rendszer hibája. Ha felhasználói közreműködéssel jutottak be, az nem technikai hiba, hanem emberi. Egyrészt, azé, akit megvicceltek, másrészt meg a CISO/whatever-é, aki baszott kidolgozni a szabályokat. 

HTH

trey @ gépház

Én szállitottam olyan rendszert, amiben szines-szagos, utolsó bitet is szabályozni képes jogosultságrendszer volt, mégis az ügyvezető követelte magának a full admin jogot.

Fogalmam sincs, hogy a krétánál volt-e ilyen jogosultsági rendszer, de abból ami infonk van, nem következik, hogy ne lenne, vagy rosszul működne.

Ha pedig volt és jól működött, de az üzemeltetők/nagyfőnök hülye volt, az NEM a rendszer hibája.

mégis az ügyvezető követelte magának a full admin jogot

Oké, de utána az éves független auditon miért nem bukott meg a rendszeretek? Mondjuk mert nem volt ilyesmi?

Szerintem itt is az lesz a probléma, hogy vagy eleve nem volt kidolgozva a megfelelő szabályrendszer, vagy ha volt is, nem tartották be, és ebből azért nem lett botrány, mert független audit sem volt.

Próbálj meg egy minősített tanúsítvány szolgáltatót így üzemeltetni...

Miért ne? Sok rendszer létezik, amiben különféle adminisztrátori csoportok vannak, nem feltétlenül mindegyik teljhatalmú. Pl. egy fejlett CMS -ben sokféle szinten lehet állítani az adminok jogait. Megszabható, melyik admin tud cikkeket törölni, editálni, létrehozni, usereket, kommenteket törölni, editálni, stb... Attól még azok is mind adminnak számítanak, ami nem azonos a linux root -tal, más a kontextus.

Több okból is baromság. Az egyik oka a megnevezés, a másik az idejétmúlt jogosultsági rendszer. Hosszan nem mennék bele, lent van példa.

Pl. ha van egy olyan user aki tud felhasználókat létrehozni, módosítani, jogok biztosítását elfogadni, annak nem kellenek más jogok. A jogok nem mindenhol hierarchikusak és bővülnek, hanem kiegészítik egymást, és zajt kell csinálni hozzá, sőt legtöbb esetben nem is maga a rendszer mondja meg, hogy a valami harmadik fél által azonosított félnek van e joga az adott cselekedetre, hanem egy különálló, technológiai hozzáférést biztosító rendszer és a rendszer csak a szerepköröket kezeli (tevékenység->szerepköre) térkép. Ja, igen. Ez nem bonyolultabb, csak más. Lehetővé teszi a "godmode" elkerülését és a felelősség szétosztást.  

Szóval, azok a hibák amelyek a felhasználók emberi tulajdonságát használják ki azok külön kategóriába tartoznak, és ezen hibák kihasználásából keletkező jogosulatlan hozzáférések valójában nem hívhatóak "rendszerfeltörésnek" mert a felhasználó nem a "rendszer része"

Én kettéválasztanám (ahogy a szakma is) az emberi hibát a technikai hibától. Ugyanis más-más kezelést és kompetenciát igényel a kijavításuk. Ha PHP miatt törtek be, akkor üzemeltetőt terhel a felelősség, ha egy projekttagot, akkor meg a CISO-t. Ha a PHP-t törték meg, akkor egy szoftverfrissítés a megoldás, ha egy embert, akkor a képzés, folyamatok felülvizsgálata, kiigazítása stb.

trey @ gépház

Bocs, de ezt akármeddig csinálhatjuk. Rést találtak a pajzson. A rést épp egy felhasználó tette lehetővé, ha a lakásodba _betörés történik_ akkor teljesen mindegy, hogy a te kulcsod lemásolása történt vagy a zár hibáját használják ki. 

Csak a felelősség felvetése a kérdés, de te azon lovagolsz, hogy egy laikus portál ami laikusoknak ír ("újságírók"<- ejjj)  azt az általánosítást használja, ami általánosítás bármely más területen megállja a helyét "még ha nem is annyira szakmai".

mivel nincs tisztességes tájékoztatás... így csak találgatni lehet. Ha nincsenek logok, akkor sem lehet biztosan megmondani, mit néztek meg. A jogosultságból lehet tudni, mit érhettek el. De nem biztos, hogy meg is néztek mindent, amit elértek.

Plusz azért is használhatnak feltételes módot, mert hozzád hasonló mellébeszélést alkalmazva még akár be is perelhetik, ha tényként írják le a nyilvánvalót, de bizonyítékot csak a nyomozás hozhatna, ami nem történik meg ezek szerint. 

Kurva nagy különbség van.

Ha én, mint rendszerszállitó adok nekik egy olyan rendszert ahol tökéletesen szabályozni lehet a hozzáférések a csak szükségesre, majd ezután a főnök vagy micike kisirja magának az admin jogot, majd megtörik micikét és rajta keresztül a rendszerből ellopnak minden adatot, akkor rohadtul szétválik ez az eset attól, amikor egy hulladék rendszert szállitok amiben nincs jogosultságkezelés, hanem bárki bármit csinálhat.

Előbbi esetben nekem mint rendszerszállitónak az ég világon semmilyen felelősségem nincs az eset kapcsán, utóbbi esetben engem kell felelősségre vonni, lehülyézni, nyilvánosan megszégyeniteni.

Nekem ezt mondják akik használják, hogy nem épp ez a legjobb dolog a világon. Nekem nem kell használni, így nem tudom.

Ettől még az, hogy social engineering-el hozzá lehet férni egy ember hozzáférésével ezekhez az adatokhoz tömegesen, eléggé azt mutatják, hogy

- a fejlesztés és az üzemeltetés teljes szétválasztása, vagy 

- az éles rendszerhez történő fejlesztői hozzáférés korlátozása, vagy

- az, hogy a személyes adatokat külön tároljuk és azok hozzáféréséhez mindig kérünk indokot, vagy 

- az, hogy a tömeges hozzáférés korlátozott

ilyen "sosem látott/hallott" dolog lenne.

Ebből nekem valahogy nem igazán jön le az, hogy ez a cucc megérné az összeget amit fizetünk érte. Idézet a cikkből a fejlesztési vezetőtől:

"De vajon mi mindenhez férhetnek hozzá az illetéktelen behatolók, ha egy adathalász támadásban valóban megszereznek egy projektvezetői jelszót? „Sajnos nagyon sok mindenhez. A KRÉTA a diákok és a tanárok szinte minden adatát tartalmazza valamilyen moduljában, a taj-számok és más személyes adatok vagy a jegyek, intők a triviális kategória” – mondta Kovács Gábor,"

vagy másik idézet:

"Hogy mást ne említsek, ilyen adatok: a diákok fogyatékosságai, magatartászavarai, amelyek minősített adatok; felmentések, igazolások, egészségügyi adatok;"

Szóval ha már szakmai portál miért nem ezeket a kérdéseket hozzuk elő, és miért az újságíró írása a "probléma"?

Ha felhasználói közreműködéssel jutottak be, az nem technikai hiba, hanem emberi

Szóval ha sok csilliárdért építünk egy börtönt, ahova bevisszük a rabokat. Viszont egyszer Józsi elhagy egy kulcsot (ellopják tőle mind1), amivel mindenhova be lehet jutni, ki lehet nyitni stb, úgy gondolod az nem a börtön rendszer hibája lesz ?

Fedora 37, Thinkpad x280

Nem érted. Ebben az esetben sem a börtönajtó beszállítója, beépítője, karbantartója lesz a felelős, hanem a személy, aki elhagyta a kulcsot (itt, akit rászedtek), meg a börtön felelős biztonsági vezetője, aki nem dolgozott ki olyan protokollt, ami megelőzhette volna ezt a hibát. Pl. Józsi ne tudja elveszíteni a kulcsot.

trey @ gépház

Ha több zárrendszer volt, de Józsinál mindegyikhez ott volt az összesnek a kulcsa a kulcscsomón, amit elhagyott, az megint nem a biztonsági ajtó, annak szállítója és karbnatartója hibája. A hozzá gyártott kulccsal nyitották ki.

A tervezésnél volt hiba. Természetesen. Ötször írtam le, hogy a CISO hibázott.

De nem a számítógép + szoftver = RENDSZER volt hibás.

Mit nem lehet ezen érteni?

trey @ gépház

Leírtam, hogy miért választom külön. Ha valahol egy felsővezetői hiba történt, ott nem a gyalogokat kell felelősségre vonni, nem ott kell a hibás működést kiigazítani. Ha a vállalat egyik divíziójában hibázott valaki, attól még nem kell a másik divíziót felelősségre vonni. A kiigazítást is a hibásan működő divízióban kell megejteni.

trey @ gépház

A rendszer nem csak a számítógép+szoftver, hanem a konfiguráció is. Így egy szélesre tárt jogosultság is rendszerhiba. Az, hogy social engineeringgel hozzáféréshez jutottak, az egy adott ember hibája. Az, hogy ez a hozzáférés túl sok információhoz biztosított hozzáférést, már rendszerhiba.

Rengeteg olyan eset van, ahol az első lépcső adatlopás, tehát visszavezethető emberi hanyagságra, du utána a kevésbé védett belső hálón már egyéb módszerekkel tudnak szerezni további jogosultságokat. Ilyen esetben sem nagyon lehet kizárólagosan azt mondani, hogy emberi hiba vagy rendszerhiba.

"Az, hogy ez a hozzáférés túl sok információhoz biztosított hozzáférést, már rendszerhiba."

Már hogy lenne az? Ha a nagyfőnök a rendszer átvétele után azt AKARJA, hogy full jogosultsága legyen mindenhez és ezt a beállítást megkapja az nem a rendszer hibája. Ez emberi, hozzá nem értésből és/vagy ostobaságból létrejött hiba.

Mi az, hogy nem engedi a rendszer? Hát azt engedi meg a rendszer, amit be lehet rajta állítani. Márpedig a jogosultság-kezelés egy igen fontos és kötelező elem. Tehát be lehet állítani, hogy kinek milyen jogosultsága legyen. Az, hogy ezt ki, miért, milyen dokumentációval, jóváhagyási folyamatok után állította be az szerintem sem a rendszer hibája. Ez emberi hiba/mulasztás/butaság/állásféltés miatt eshet meg.

Tehát be lehet állítani, hogy kinek milyen jogosultsága legyen.

Vannak eszközeink, ahol van a root user, viszont ez az user csak helyi console ról érhető el sehogy máshogy. Vannak főbb biztonsági funkciók amiket csak a root userrel tudsz megoldani.

Így hiába szeretne a főnök mindenhez is jogosultságot, nem fog kapni, max ha fogja magát és soros konzolról adminol ...

Volt már rá példa, hogy emiatt nekem is a helyszínre kellett mennem, mert a remote userrel nem lehetett beállítani bizonyos fukciókat.

 

Hiába van szuper biztonságos páncélterm, amihez 2  kód kell, hogy nyitható legyen, ha csinálnak hozzá egy kis kulcsot, (mert a főnök nem akar kódokat megtanulni), nem ér többet egy lakásajtónál ... 

Fedora 37, Thinkpad x280

Az a gond, hogy az álláspontod szerint bízol az IT biztonsági vezetőben. így szerinted rendben van, az hogy egy nagy biztonságot igénylő rendszernél  az ember dönti el ki kap GOD módot és ki nem.

Erre mondtam, hogy ez ebben formában nem elfogadható, mert én nem bízok senkiben. Mindenki tudja, hogy az emberi mulasztások adják a hibák / törések nagy %-t. 

Ide eleve olyan rendszert tennék, ahol nem lehet GOD modot adni. 

Ahogy zárt osztályon / börtönben sincsen kés, csak műanyag szarok, ott se bízzák az emberre, hogy majd vigyázni fog ne kerüljön kés az elítéltekhez. Mert a rendszer eleve olyan.

Fedora 37, Thinkpad x280

Az a gond, hogy az álláspontod szerint bízol az IT biztonsági vezetőben.

Tévedsz. Nem én, hanem a cég vezetése, aki kinevezte. Majd ha hibázik, tartja a hátát. 

így szerinted rendben van, az hogy egy nagy biztonságot igénylő rendszernél  az ember dönti el ki kap GOD módot és ki nem.

Nem értelek. Ez nem annak kérdése, hogy szerintem rendben van-e, hanem cégműködési alapok. Hogy akarsz megkérdőjelezni egy adott területért felelős vezető által kiadott utasítást? 

Erre mondtam, hogy ez ebben formában nem elfogadható, mert én nem bízok senkiben.

Vagyis, ha egy vállalatnál dolgozol, akkor figyelmen kívül hagyod az utasításokat?

Ide eleve olyan rendszert tennék, ahol nem lehet GOD modot adni. 

Üzemeltetőként, olyan rendszert építesz, amit

  • az IT sec vezető jóváhagyott
  • az auditor jováhagyott

Nem mérlegelési jogkör. Javaslatot tudsz adni, aztán azt vagy megfogadják vagy nem. Mindenesetre, aki ilyen pozícióban dolgozik, annak javaslom, írásos dokumentum mindenről legyen. Akármit is olvas online fórumokon :D

trey @ gépház

Mert a rendszer eleve olyan.

Ez ^.

Az egész jelen szál alapja az, hogy trey egy informatikai rendszer egy kis almodulját véli a rendszer egészének, nem képes befogni a tudata, hogy egy informatikai rendszernek szerves része a biztonsága is, pláne GDPR kapcsán. Attól, hogy külön felelősségi kör, még a rendszer része.

Jaja, amit te csinálsz, az a tipikus CEO szemszög: leszarom (történtekre utalva: hallani sem akarok róla), minden IS a rendszer része, válogatás nélkül, mindenki hülye, mindenki felelős mert betörtek.

Én meg az a csóka vagyok itt, aki kiáll az embereiért és "Hátrébb az agarakkal CEO úr, nem a rendszert törték fel, hanem az egyik ügyefogyott emberét. Mennyi ideje is dolgozik az úr, az IT-ben, hogy ezt beszopta? Ki vette fel erre a pozícióra? :D".

🤷‍♂️

Értem, hogy neked - saját bevallásod szerint naaaaaagyon magasan ülő emberként - miért nem tetszik, akinek tök mindegy ki volt a hibás, a RENDSZER volt a rossz. Ilyenkor az szokott a balszerencséje lenni az ilyen magas lovon ülőknek, hogy mindig mindenről írásos utasítást kérek, szóval egy esetleges jogi hercehurca esetén a magasan levő urak rendszerint koppanni szoktak 😆

trey @ gépház

Jaja, amit te csinálsz, az a tipikus CEO szemszög: leszarom (történtekre utalva: hallani sem akarok róla), minden IS a rendszer része, válogatás nélkül, mindenki hülye, mindenki felelős mert betörtek.

Nem, ez a te szalmabábod. Te csak úgy tudsz vitázni, hogy szalmabábokat építesz fel és azokra reagálsz.

Én meg az a csóka vagyok itt, aki kiáll az embereiért és "Hátrébb az agarakkal CEO úr, nem a rendszert törték fel, hanem az egyik ügyefogyott emberét.

Te az vagy, aki nem tudja, hogy mi az informatikai rendszer, a tudata annyit fog át, hogy biztos a szerver lesz ez a rajta futó programokkal és mivel ezzel foglalkozol, ezért bekattant a trigger, hogy most biztos az üzemeltetést hibáztatják, holott senki nem hibáztatja az üzemeltetést. Rávetődtél egy árnyékra és most ezen pörögsz, mint egy hülyegyerek.

Értem, hogy neked - saját bevallásod szerint naaaaaagyon magasan ülő emberként - miért nem tetszik, akinek tök mindegy ki volt a hibás, a RENDSZER volt a rossz.

Igen, az az informatikai rendszer rossz, amelyik ilyen támadás lehetőségét ennyire egyszerűen lehetővé teszi. Ettől még vannak konkrét emberek, akik elkövettek a hibákat, de ennek az volt az oka, hogy az informatikai rendszer sebezhető, és lehetővé teszi, hogy elkövessék ezeket a hibákat. Figyeld meg: a cégnél olyan változtatásokat végeznek majd el az informatikai rendszerben, amelyek ezeket a hibákat már nem fogják lehetővé tenni. Nem a szabályzaton és az előírásokon módosítanak, nem a szabályzatok és az előírások betartását fogják jobban ellenőrizni, hanem magán az informatikai rendszer egészén változtatnak.

Mantrázd csak, én meg készülök dokumentálással, hogy amikor a hozzád hasonló "minden is a RENDSZER, még a munkaidején kívül otthon levő dolgozó, aki a poreszos gépén dolgozik be a rendszerbe is" emberrel találkozok, akkor legyen mivel bizonyítani a hülyeségét. Szerencsére az ilyen vitás kérdésekben bíróságok és nem _Franco_-k döntenek. Addig meg azt firkálsz ide, amit szeretnél. :D

trey @ gépház

Első körben a folyamatokon kellene változtatni. Ugyanis azt törték meg. Ha ezzel párhuzamosan szorosabbra fogják a rendszer biztonságát (a CISO és az auditor feladatköre), majd azt az üzemeltetés implementálja, az egy pozitív kimenet lesz. Miért kellene ezért bármit is csinálnom? Ezt ugatom az eleje óta :D :D

Nincs olyan rendszer, amin ne lehetne javítani. Meg olyan sincs, amit ne lehetne feltörni.

Tudod, örök mondás:

"A rendszert védőknek minden egyes nap résen kell lenniük, a támadónak meg elég, ha egyszer szerencséje van."

trey @ gépház

Első körben a folyamatokon kellene változtatni. Ugyanis azt törték meg.

Igen, a folyamatok az informatikai rendszer részei, és igen a folyamatokon keresztül törték meg az informatikai rendszert. Senki nem hibáztatja az üzemeltetést, ezt csak te hoztad fel eddig.

majd azt az üzemeltetés implementálja

Mit és miért kellene implementálnia az üzemeltetésnek, ha szerinted a rendszert nem törték meg, csak a folyamatokat? Ha nem a rendszer biztonsága gyenge, akkor elég lenne megfelelően betartani a szabályzatot. Ha hozzá kell nyúlni a rendszerhez olyan szinten, hogy az kód vagy infrastruktúra módosítással jár, akkor bizony az általad rendszernek nevezett rész is rossz volt ebből a szempontból, mert széles utat adott ahhoz, hogy a folyamatokon keresztül törhető legyen a védelme és ezen módosítani kell. Nocsak, kezd átmenni az üzenet a tűzfaladon, amit többen is mondunk az eleje óta?

Ezt ugatom az eleje óta

Nem, te össze-vissza ugatsz az eleje óta, mert hirtelen felindulásból magadra vetted, hogy az üzemeltetést hibáztatják és már sokadszorra finomítod és módosítod, hogy mit is ugatsz az eleje óta.

Szépen terelsz.

Semmi terelés nincs ebben, a terelés a te műfajod.

Egy soha meg nem tört rendszer biztonságán is lehet javítani.

Így van, ez teljesen egyértelmű. Ha felteszed azt a kérdést, hogy miért és hogyan kell a rendszer biztonságán javítani egy ilyen incidens után, és megpróbálod ezt megválaszolni, akkor rövid úton eljutsz oda, hogy mit jelent az rendszer egésze és mi minden tartozik bele. Én annak is örülök, hogy már elkezdtél gondolkodni a dolgon.

Valóban, ha felteszem a kérdést, akkor ott jön képbe a IT sec vezető meg az auditor, esetlegesen az idevágó ISO szabványok, amivel a _folyamatokat_ lehet javítani. 

Kérlek mellőzd az elmetrükköket, nálam ezek nem válnak be.

trey @ gépház

Valóban, ha felteszem a kérdést, akkor ott jön képbe a IT sec vezető meg az auditor, esetlegesen az idevágó ISO szabványok, amivel a _folyamatokat_ lehet javítani.

Alakul, ezeket a folyamatokat és a folyamatok javításait implementálni kell az üzemeltetés által üzemeltetett alrendszerben? Ezek a folyamatok az informatikai rendszer üzemszerű működésének a részei, vagy attól teljesen elválaszthatóak és az üzemeltetés által üzemeltetett alrendszer üzemszerűen működik az említett folyamatok nélkül is? Idővel eljutunk oda, hogy amit rendszernek gondolsz, az csak egy alrendszer vagy modul, már többször sikerült ilyesmit leírnod...

Kérlek mellőzd az elmetrükköket, nálam ezek nem válnak be.

Ó, azt tudom, nehezen tanulsz és sokáig ragaszkodsz a véleményedhez... :D

Ne terelj. Onnan indultunk, hogy azt állítottam, hogy nem a rendszert törték fel, hanem a folyamatot. A folyamaton kell javítani. Itt jön képbe a IT sec vezető meg az auditor, esetlegesen az idevágó ISO szabványok, amivel a _folyamatokat_ lehet javítani.

Hogy aztán a rendszeren is lehetne utána tovább javítani, azt senki sem vitatta. Az volt az állítás, amit már elfelejtettél, hogy NEM A RENDSZERT TÖRTÉK FEL.

trey @ gépház

Ne terelj.

Nem terelek, azt te szoktál. :D

Onnan indultunk, hogy azt állítottam, hogy nem a rendszert törték fel, hanem a folyamatot.

Ezek a folyamatok az informatikai rendszer szerves részei, amelyeket az üzemeltetők által is üzemeltetett alrendszer is implementál többek között, ahogy például a fizikai biztonság is implementál többek között. Az informatikai rendszer szerves része annak mindenféle védelme.

Hogy aztán a rendszeren is lehetne utána tovább javítani, azt senki sem vitatta.

Senki. Csak a szalmabábjaid. Ahogy azt is a szalmabábjaid mondták, hogy bárki is az üzemeltetést hibáztatja.

Az volt az állítás, amit már elfelejtettél, hogy NEM A RENDSZERT TÖRTÉK FEL.

Nem a szervert és a futó szoftvereket törték meg, hanem az informatikai rendszer egészét, mert nem implementáltak és kényszerítettek ki a védendő adatoknak megfelelő szintű biztonságos folyamatokat. Ha ez a fajta támadás a jövőben kivédhető azzal a kód és infrastruktúra változással, amit majd a fejlesztők lefejlesztenek és az üzemeltetők majd üzemeltetnek, akkor az informatikai rendszer ilyen fajta feltörését az üzemeltetők által üzemeltetett alrendszer akadályozza meg azzal, hogy véd az ilyen fajta támadások ellen. Nem a folyamatok, nem az emberek odafigyelése, nem a CISO, nem a házirend véd, hanem a rendszer eleve olyan, hogy megakadályozza ezt a fajta támadást. És ezzel körbeértünk.

Még mindig az emberben hiszel ...

 akkor ott jön képbe a IT sec vezető meg az auditor, esetlegesen az idevágó ISO szabványok, 

Ez 1x már megbukott, gondolod másodszor jobb lesz ? Folyamat javítás alatt mit értesz, megint leírják, hogy józsika nem adhat ki pistikének GOD módot ? Ez miben akadályoz meg valakit, hogy  pistikének adjon megint GOD módot ? 

Ellenben ha olyan a rendszer, hogy SENKI se tud pistikének GOD módot adni, akkor a fenti folyamat és ezáltal a  hibalehetőség fel se merül. 

Fedora 37, Thinkpad x280

Volt eddig aki megmondta, felvilágosította, hogy nem nyitunk meg minden szart, ami levélben érkezik azon a gépen, amivel a mindenséghez is hozzá lehet férni? Oktatás volt?

Ha nem volt, akkor segít.

Ellenben ha olyan a rendszer, hogy SENKI se tud pistikének GOD módot adni,

Mi az, hogy nem tud? 

trey @ gépház

Mi az, hogy nem tud? 

Nem tudom rémlenek-e olyan rendszerek amiknél bizonyos dolgok csak rendszergazdai terminálon keresztül történhetnek ? 

Nekünk is van ilyen hw-unk, hogy bizonyos funkciók csak a 0. számu userrel tudsz megoldani, viszont ez az user csak serial konzolon tud belépni sehogy máshogy, tehát a olyan dolog kell amit csak az az user tud akkor oda kell baktatni serial-t ratolni és hajrá. (sajna volt benne részem ...)

Fedora 37, Thinkpad x280

Ez nem okosítás, ez telibef0sása a fizikai védelemnek. Ugyanis amíg egy soros terminálról lépsz be, addig a soros madzag adta távolságon belül fogod a jelszót begépelni, illetve maximum addig a távolságig fogod a fizikai eszköztől elvinni az adatokat, a soros terminált emuláló gép esetén meg elég egyszer bejutni rá, ott lesz a konzol teljes adatforgalma plaintext-ben, amit aztán akárhova is át tudsz vinni, el tudsz menteni.

Persze lehet ezt is jól csinálni, mondjuk egy olyan ssh-hozzáféréssel, amin csak shell van, scp, sftp, portforward és hasonlók nincsenek, a sebessége limitált, és a teljes adatfolyam illetéktelen hozzáférés/módosítás ellen védett módon rögzítésre kerül. Na ez az, amit nem minden esetben tesznek meg...

Tehát, finomítani kell a folyamatokon, aminek az eredményeképpen lehet javítani a rendszeren. Ettől még mindig nem a rendszert törték meg.

Ha egy biztonsági hiányosságot kijavítasz a rendszeren és ennek eredményeképpen már nem lehet ezzel a támadási móddal bejutni és adatokat lopni, akkor korábban ezzel a támadási móddal miért nem a rendszert törték meg?

Kérlek ne mosolyogtass meg, itt a rendszerbe nem támadási móddal jutottak be, hanem valid hozzáférési adatokkal. Nem a rendszerbe jutottak be, hanem az embert szedték rá. Kérlek ne keverjük a sorrendet, mert fontos.

Ez ellen a támadási vektor ellen könnyedén lehet védekezni és ezt te is pontosan tudod. Szóval, ha ezt a biztonsági hiányosságot kijavítod a rendszeren, idézlek szó szerint "finomítani kell a folyamatokon, aminek az eredményeképpen lehet javítani a rendszeren" és ennek eredményeképpen már nem lehet ezzel a támadási móddal bejutni és adatokat lopni, akkor korábban ezzel a támadási móddal miért nem a rendszert törték meg? Teljesen mindegy, hogy valid hozzáférési adatokkal történt egy embert megtévesztve, ha ezt a támadási vektort befoltozzák a rendszer szintjén, ahogy a saját kezeddel írtad is, akkor miért nem a rendszert törték meg korábban?

Kérlek ne mosolyogtass meg

Amúgy én azon röhögök, hogy már többször is leírtad, hogy a biztonsági javítása miatt módosítani kell a rendszert, de csak nem tudod összekötni a pontokat egy vonallal... :D

Segitek az erto olvasasban, mert nyilvanvaloan nem olvastad a cikket amire reagalsz:

"A hekkert arról is kérdeztük, hogyan sikerült bejutniuk az eKRÉTA rendszereibe. Állítása szerint egy általuk írt kártevő programot, egy úgynevezett RAT-ot (remote access trojan, azaz távoli hozzáférést lehetővé tevő trójai program) sikerült bejuttatniuk, méghozzá úgy, hogy az a cég minden vírusirtóján és védelmi szoftverén észrevétlenül átjutott. Ez a kártevőtípus épp arra jó, amire a neve utal: települ a megfertőzött rendszeren, és ezzel bejuttatja a támadókat is: távoli hozzáférést tesz lehetővé, ami jelentheti a rendszer távoli megfigyelését, de akár parancsok futtatását vagy adatok kinyerését is."

Azaz SE támadás volt, aminek eredményeként yool betoltak egy, a cégnél alkalmazott kártékony szoftverek elleni megoldás által fel nem ismert távoli hozzáférést biztosító szoftvert. Az ilyen mocsadék kódok jellemzően kifelé kapcsolódnak, és azon a kapcsolaton keresztül kapják az utasításokat. Nomostan kérdés az, hogy miért kapcsolódhat a nagyvilág felé akárhova is egy random bináris az user gépéről?

Annyira olcsó taktika, hogy elkezdünk egy állapotról hosszasan beszélni, annak az állapotban az aspektusait vizsgálni, akkor elkezdesz azután mutogatni egy teljesen más helyzetre ( hint: [update] megjelent a címben közben) ...

Kérlek ne operálj ezzel. Az állításom ez volt:

Azokból az infókból indulok ki, amit az újságíró leírt*. Ha kiderült, hogy egy embert szedtek rá, akkor nem írom a cikk címébe, hogy a rendszert törték meg.

Ha közben új infók látnak napvilágot és azok változtatnak az eredeti helyzeten, akkor majd újratárgyaljuk.

Az általad idézett szövegből sem lehet egyértelműen megállapítani, hogy "[update] "Feltörhették a KRÉTA-t".

Hacsak a fejlesztő cég hálózata nem egyenlő a KRÉTA-val. Ezt kétlem. Erre mutató infód van?

(* az eredeti cikkben)

trey @ gépház

Mert miért is nem? Aki hozzáfért a rendszerhez miért is ne tehetné közzé névtelenül?

De abból, hogy egy személy adatait ellopva idáig jutottak elég könnyen levezethető. 

Semmi sem vezethető le ennyi infóból. A dolog jelenlegi állása szerint az sem kizárható, hogy belső vagy szándékos belső segítséggel  megvalósított meló volt.

trey @ gépház

Trey, a forráskódban certek, jelszavak vannak. A forráskód pedig most már a githubon is kint figyel. Szerintem felesleges azon vitázni, hogy az üzemeltetés vagy maga a szoftver volt megtörve, mert itt gyakorlatilag minden el volt rontva, amit el lehetett. 

Ha leég a családi házam, amelyben 200 liter gázolajat és ötven kiló dinamitot tároltam szabálytalanul egy házilag készült elektromos hősugárzó mellett, akkor kár azon vitatkozni, hogy belülről vagy kívülről gyújtották-e fel. 

Mi alapján zárod ki a szabotázs lehetőségét? Ne haragudj, de rettentő szakmaiatlan, ha feltételezésekkel élsz. Amikor külsős szakértőként felkérnek egy ilyen incidens után az elemzése, hogy zárhatsz ki alapból egy lehetőséget, ami ráadásul az informatikai rendszerek elleni támadások nagy részét teszi ki? Mi alapján?

Egy szakértő azután zár ki egy lehetőséget, miután minden kétséget kizáróan meggyőződött arról, hogy nem az történt. Találgattok itt ...

Ha leég a családi házam, amelyben 200 liter gázolajat és ötven kiló dinamitot tároltam szabálytalanul egy házilag készült elektromos hősugárzó mellett, akkor kár azon vitatkozni, hogy belülről vagy kívülről gyújtották-e fel. 

 Igen. Ezt hívják találgatásnak. A szakértőt meg az különbözteti meg a találgatóktól, hogy bizonyítékot keres és mutat fel 🤷‍♂️

trey @ gépház

Próbálj meg kicsit tájékozódni ebben az ügyben, mert látszólag fogalmad nincs a dolgokról. Mármint az IT rendszerek elleni támadások hány százalékát teszik ki belső melók. Ha megvan, kérlek biggyessz ide egy értéket és utána mondd, hogy a gyíkemberek.

trey @ gépház

Én a gyíkembereket se vitattam.

Csak mindkettőt hülye elméletnek tartom, minimális eséllyel, nulla bizonyítékkal.

Arra, hogy ostoba emberek készítették a rendszert, van bizonyíték, pl. a forráskód.

Arra, hogy ostoba emberek ülnek a vezetőségben, van bizonyíték, pl. a támadás eltitkolása.

A belső emberes elméleteddel akkor érdemes foglalkozni, ha kicsit több jel utal majd rá, mint a gyíkemberekre.

“Any book worth banning is a book worth reading.”

Nekem ezen semmit sem kell rágódnom, neked kell elgondolkoznod, mert egy újabb nézőponttal tágítottam a látóköröd.

Mondataid alapján te az a fajta gondolkodású ember vagy, aki egy tűzfalban nem mindent tilt és csak azt engedélyezi, amit szükséges, hanem minden szabad és nekiáll tiltogatni egyenként mindent :D

trey @ gépház

az egy átjáróház volt - sok elment és sokat vettek fel - volt aki 3 hónapot se várta meg és lépett..

így elég sok ember kapott betekintést, hogy a fejlesztés és az üzemeltetés _IS_ ottvan..

Aki kiszivárogtatta az infót/vagy maga végezte el -- annak érdeke erősíteni az adathalászattal kapcsolatos mesét.

De ez mind nem mentség, hogy f@szok voltak minden szinten és azok is maradtak..

Én jobban vártam, hogy mikor nyomják fel a "Szemetes rendszert" (kukaholding).

Jaj, ne zavard össze dolgokkal, mert ő még nem hallott a

  • sértett kolléga
  • meg nem fizetett kolléga
  • "igazságtalanul" kirúgott kolléga
  • tanár a feleségem, most jól odabaszok nekik kolléga
  • O1G kollága
  • NoÁr-mozgalom szimpatizáns kolléga

napestig sorolhatnám a lehetséges indítékokat ...

trey @ gépház

Igen. Ezt hívják találgatásnak. A szakértőt meg az különbözteti meg a találgatóktól, hogy bizonyítékot keres és mutat fel

Nem szoktál te ennyire válogatós lenni, amikor kijelentéseket teszel különféle dolgokban és találgatsz. A szakértőtől igen messze vagy. :D

Ez a komment nem hordoz semmi érdemi információt, csak egy személyeskedő állítást (szakértőtől igen messze vagy) tesz olyasmiről, amit én nem állítottam. Nem állítottam, hogy szakértő vagyok, de hogy abba az amatőr hibába nem esek, hogy kizárok egy eshetőséget bizonyítékok nélkül, az is biztos.

Tehát a kommented csak azt a célt szolgálja, hogy megint belekotyogj, mintha te szakértő lennél.

Te teljes mértékben ki tudod zárni a jelenlegi infók alapján, hogy nem belső munka volt vagy belülről valaki segített? Ha igen, mire alapozod ezt?

trey @ gépház

Hol található a szakmai post mortem jelentés, ami alapján te kinyilatkoztatásokat teszel?

Forrásban például benne van az éles EESZT cert, ami jelszóval van védve, de a plain text jelszó szerencsére ott van beleégetve a mellette lévő forrásban.

De fordítsuk meg, hol található a szakmai post mortem jelentés, ami alapján te kinyilatkoztatásokat teszel? Mert te kinyilatkoztatásokat teszel.

Vegigolvasva a szalat kezd ugy tunni nekem mindha valami erdekeltseged lenne a dologban, mindha vedened a munder becsuletet...

Az egesz tortenet napok ota eszmeletlen szorakoztato, popcorn fogyasztast jelentosen novelo szappanopera, egyre ujabb es ujabb fejlemenyekkel... 

Egy kollega meg is jegyezte, hogy igen pontosan igy kepzelte el a magyar allami IT szektort - es ezzel szerintem nem volt egyedul. Csilliardok kifizetve szervilis, gerinctelen, tehetsegtelen de annal nagyobb arcu, tulkompenzalo tarsasagnak, akik hazudnbak es sunyitanak, torvenyt sertenek es lapitanak ha szar kerul a palacsintaba. Latszott is tobbszor az eredmeny - nem igazan tudnank olyan kormanyzati oldalt mutatni ami ne terdelt volna meg legalabb egyszer, gyakran menetrendszeruen (termeszetesen az obligat DDoS miatt).

Aztan jott ez a sztori amit iskolaban kellene tanitani, ahol a kisebbik baj, hogy gyakorlatilag kisepertek a hazat - es amit nem vittek azt csak azert nem mert semmi ertelme nincs mar az egesz cuccnak, de abbol ami kikerult lathato, hogy gimnaziumi info orakon tobbet kellene elvarni mint ami azt a xarkupacot mukodteti... :) A kozrohely kifejezes ide mar keves...

Es akkor Trey napok ota vedi es vedi a vedhetetlent, tuzon vizen, minden ujabb es ujabb fordulat utan talal ujabb es ujabb mentsegeket, csusztatasokat amivel leirhatja: "nem a rendszer szar es minden rendben, a Sanyi volt a hibas mert rossz linkre kattintoitt, a projekt vezeto a felelos mindenert (aki - FIGYELEM! -nem junior IT !!!)...kulonben is minden oldalrol meg kell vizsgalni a dolgot stb, stb..." Hat vizsgald meg kerlek - most mar forras kodod is van hozza :)

Igazan ertekelendo a loyalitas amivel a munder becsuletet veded, de ezt mar el kellene engedned... kicsit kezdesz olyan lenni mint Rudy Gulianni aki a 4 Seasons Landscaping elott elfolyo hajfestekkel bizonygatta hogy Trump igazabol nyert es mindenki mas fake news...  

Engedd el trey - a kiraly meztelen...

Semmi közöm a témához. Az ügy egyetlen szereplőjét sem ismerem, egyikkel sem álltam soha, semmilyen kapcsolatban. Lyukra futottál.

Azt viszont látom, hogy itt kódoló zsenik, architekt zsenik, IT sec. zsenik vannak, hiszen teli pofával üvöltik, hogy mi szar. Egyszer azért ezeknek az embereknek a munkájáról olvasnék szívesen egy auditor által kiadott szakvéleményt :D

trey @ gépház

Érdekes Marika nénik vannak itt, akárcsak a HUP-on is. Nem tudnak elintézni egy hivatali ügyet, elbuknak egy népszámláláson, az élethez autisták, de azt bezzeg tudják, hogy mit hogyan kéne. Természetesen a másik munkájában. Mondom, én rendkívül kíváncsi lennék arra, hogy ezek a Marika nénik milyen munkát tesznek le az asztalra. Hogy őket utolérte-e már a végzet, vagy majd csak fogja.

Emlékezzenek majd arra, hogy milyen kajánul vigyorogtak máson :D Névtelenül mocskolódni az interneten az egyébként rendkívül egyenes és korrekt hozzáállás. Nemde?

trey @ gépház

Érdekes Marika nénik vannak itt, akárcsak a HUP-on is. Nem tudnak elintézni egy hivatali ügyet, elbuknak egy népszámláláson, az élethez autisták, de azt bezzeg tudják, hogy mit hogyan kéne. Természetesen a másik munkájában. Mondom, én rendkívül kíváncsi lennék arra, hogy ezek a Marika nénik milyen munkát tesznek le az asztalra. Hogy őket utolérte-e már a végzet, vagy majd csak fogja.

Sokszor nem értek veled egyet, de ez most rohadt nagy +1

Persze TE minden nap ezt csinálod, mikor pl az Apple-el kapcsolatban van valamilyen negatív hír (bár azok meg se közelítik ezt a szintet, hogy kiwipe-olták az egész rendszert és a bennfentesek nem tudnak mást lépni rá, mint pislogni mint pocok a pisiben :D) De öröm nézni, hogy próbálod visszalapátolni a lóba a szart, mintha ezért fizetnének neked :D

Azert ez egy szakmai portal - az ideologiai kolunbsegeken felulemelkedve ugy gondolom objektiv szakmai kerdesekben elegge jaratos tarsasag gyult itt ossze, vannak csodabogarak es amolyan "celebek" is de igazabol szeretnem hinni hogy alapjaiban - legalabbis szakmai oldalrol - a tarsasag nagyobb resze tudja mirol beszel es eleg sokan vagyunk mar eleg idosek erre fele hogy lassunk egyet-mast az IT vilagbol... Meg a csodabogarak is eleg jok valamiben (hardware, proramozas, security, architekturak...). 

Ez a dolog ordas nagy blama - a szakmailag vedhetetlen hibakkal, etikatlan csusztatasokkal, nevetseges kifogasokkal. A hivatali ugyek elintezese lehet megakaszta egyeseket de mondjuk lehet igen jo hardware mernokok, lehet egyesek szelsosegesen gondolkodnak de igen jo kodot kepesek irni...

Ami viszont vicces - rajtad kivul senki sem tolong itt mar vedeni a vedhetelent - lehet latjak vagy lattak elejetol mekkora cluster-fuck ez az egesz es ideologia ide, ideologia oda - kinosnak erzik beleallni es magyarazni a bizonyitvanyt... 

Te miert teszed? - komolyan kerdezem... Szakmailag nyilvan senior vagy, lattal te is sokmindent - tudsz a karrieredbol mondani hasonlo buktat, aminek ekkora hatasa lett volna? (illetve kellett volna legyen, hisz ez nyilvan el lesz kenve nemzethy sajatossag okan)

Ha tudsz ilyenrol akkor kerlek oszd meg velunk - ha masert nem szakmai okulas celjabol.

Egyebkent a nevtelenul mocskolodasrol - ami irtam nem nevtelen, sosem csinaltam titkot a szemelyembol, akit erdekel kb 10 perc alatt kideritheti ki vagyok es amit irtam nem mocskolodas hanem ismert tenyek alapjan megfogalmazott velemeny.

Architektkent es integratorkent dolgozom meglehetosen nagy projekteken, egyik jelenlegi munkamat 2 havonta ceg altal szerzodtetett kulsos pentesterek auditaljak, es ezen kivul mivel olyan cegeknek mint a Google, a Bank Of America, a Linkedin nyujtunk szolgaltatast es kezeljuk a HR adatbazisat, nev, cim stb infoval ugy ezek a cegek veletlenszeruen is vegeznek random auditokat es be nem jelentett security review-ket a rendszereinken.

Azt nem mondtam hogy nem hibazhat az ember de a hibak kovetkezmenyeibol szarmazo karaokat lehet csokkenteni - igaz ennek alapfeltetele az atlathatosag es a kovetkezetesseg. Nyilvan hogy a magyar allami szferaban ezek meg nem engedett kifejezesek, mindjart a 'hozzaertes', a 'gerincesseg' es az 'integritas' mellett szerepelnek a listan. 

pontos, de miért vagy ezen meglepve? csak a szokásos classic trey, aki körömszakadtáig véd egy védhetetlen álláspontot, mert hiába jön mindenki szembe az autópályán, azok mind hülyék, vagy az ellenség fizetett bérencei. lásd pl. "a bank definíciója, hogy én banknak hívom".

az a tipikus CEO szemszög: leszarom (történtekre utalva: hallani sem akarok róla), minden IS a rendszer része, válogatás nélkül, mindenki hülye, mindenki felelős mert betörtek.

Nem, a tipikus CEO szemszög a következő: jogilag mindenért a CEO a felelős egy szervezetnél. Ezen a CEO nem tud változtatni, ezt nála nagyobb erők döntik el. Ha a CEO szeretné megvédeni a seggét, akkor mindenről IS belső szabályozásnak kell születnie, és azt be is kell tartatni. A szabályozásért (a létezéséért és a tartalmáért) is a CEO a felelős, tehát ha jót akar, akkor megbíz egy külső, független szakértőt, hogy alkossa meg a szabályozást. A betartatásáért is a CEO a felelős, tehát ha jót akar, akkor megbíz egy külső, független szakértőt, hogy rendszeresen auditálja, hogy a szabályozás végrehajtása és betartatása hogyan működik, és adjon riportot a hiányosságokról (amiket utána a CEO parancsára a beosztottak kötelesek kijavítani).

Egy értelmes méretű, leginkább tőzsdei cégnél ezeket a köröket nem tudják/merik/akarják kihagyni a főnökök. A dolgozók meg ahol tudják/hagyják nekik, próbálják a szabályozásokat leszarni.

Szóval az eredeti problémára visszatérve: ha a rendszer rossz, akkor azért a CEO a felelős. Vagy azért, mert nem születtek meg a megfelelő szabályozások, vagy azért, mert fasságokat írtak bele, vagy azért, mert nem tartatták be. Mind a háromért a CEO a végső felelős. Az lehet, hogy egyes dolgozókat is seggbe lehet kúrni, mert hibáztak, de ez nem változtat a CEO felelősségén (nem tartott rendet).

Akár lehet tovább is menni. Mivel ebben a rendszerben benne van az összes diák/szülő/tanár adata, egy idő után ebben, vagy ennek az utódjában benne lesz mindenki, ezért el is kellene várni, hogy megfeleljen néhány meghatározott auditnak állami szinten. Az önkörmányzatoknál is elvárnak ilyesmit, szóval teljesen érthetetlen, hogy erre nem is vonatkoznak hasonlók.

Van ilyen elvárás. GDPR.

Nem tárolhatják a diákok/szülők/tanárok adatait a feladathoz szükséges időn túl (jó, hozzájárulással tárolhatnák, de ezeknek senki nem fog önkéntes hozzájárulást adni, illetve azt is bármikor vissza lehet vonni). A végzést követően a naplóselejtezési idő után (talán 5 év) pl. annyi adat tárolható a diákról, amennyi a papír alapú anyakönyvben is benne van (kb. az, amit a bizonyítványba beírnak).

Nem ennyire fekete - fehér a világ.

CEO alapszabály szerint nem felelős azért a kárért, ami ellenőrzési területén kívül esett, előre nem látható körülmény okozta és nem volt elvárható, hogy a körülményt elkerülje - továbbá, ezen felül a munkaszerződése csökkentheti a felelősségét.

Konkrét esetben az SQL injection prevention tökéletesen a CEO ellenőrzési területén kívül esik, tehát nem felelős érte.

Ha az IT biztonságot ledelegálja egy másik vezető beosztású személynek, kérdés, hogy megállapítható-e a felelőssége.

CEO alapszabály szerint nem felelős azért a kárért, ami ellenőrzési területén kívül esett, előre nem látható körülmény okozta és nem volt elvárható, hogy a körülményt elkerülje - továbbá, ezen felül a munkaszerződése csökkentheti a felelősségét.

Nincs olyan, hogy "ellenőrzési területén kívül". Minden, ami a cégnél történik, az az ő ellenőrzési területéhez tartozik. Outsource-olni meg delegálni is lehet, de ekkor is van felelőssége: szerződéses partner kiválasztása/delegált ember felvétele, szerződéses feltételek/delegálásnál instrukciók megválasztása, megfelelő ellenőrzés/szakértők/kontrolling üzemeltetése, szabályzatok, számonkérések, auditálás. Igen, abban igazad van, hogy a felelősség nem abszolút, természetesen be tudja valaki bizonyítani, hogy ő minden tőle elvárhatót megtett, csak ez a való életben nem szokott igaz lenni. Ahol szar van a palacsintában, ott szinte mindig minden vezetői rétegben kimutatható, hogy ki mit hibázott. Ahol ezek a dolgok működnek valamennyire, ott általában nem szokott szar lenni a palacsintában.

És persze nyilván teljesen más a felelősség szintje egy közvetlen beosztott esetében, mint egy ötszintű vállalati struktúrában a legalsó szinten bekövetkező emberi hiba esetén, de olyan nincs, hogy zéró a felelőssége a legfelső vezetőnek, és nyilván ennek megfelelően lehet, hogy csak egy igazgatótanácsi figyelmeztetés lesz belőle, de az is előfordulhat, hogy büntetőjogi következményekkel kell számolnia a CEO-nak (lásd Straub Elek esete az amerikai tőzsdei joggal).

Konkrét esetben az SQL injection prevention tökéletesen a CEO ellenőrzési területén kívül esik, tehát nem felelős érte.

Ha az IT biztonságot ledelegálja egy másik vezető beosztású személynek, kérdés, hogy megállapítható-e a felelőssége.

Bocsánat: a cégnél vagy nem voltak meg a megfelelő szabályzatok, vagy azokat nem kérte számon senki. Ez mind a kettő CEO-szintű felelősséget jelent, mind a két dolognak CEO szinten látszódnia kell. A szabályzatok kidolgozása delegálható, de akkor az audit felügyeletét vagy másnak kell delegálni (külön compliance officer), vagy azt a CEO szintjén kell megtartani. Az nem megy, hogy ugyanaz a felelős a szabályzatért is meg a szabályzat betartásának auditálásáért is (ez segregation of duties alapelvet sértene, tehát ezért meg a CEO lenne a felelős, hiszen rosszul delegálta a feladatokat).

Mindössze definíció kérdése, hogy mit tekintünk rendszernek. Van, aki szerint a rendszer az, amit a fejlesztő leszállít, az összes programmal és (jó esetben) a konfigurációs lehetőségekkel, mások szerint viszont a rendszernek tekintendő az üzemeltetési környezet is. Azt meg tudom érteni, hogy aki fejlesztéssel  foglalkozik, az az előbbit tekinti rendszernek, viszont aki üzemeltet, vagy netán üzemelő rendszerek biztonságával foglalkozik, az az utóbbit.

Azt meg tudom érteni, hogy aki fejlesztéssel  foglalkozik, az az előbbit tekinti rendszernek, viszont aki üzemeltet, vagy netán üzemelő rendszerek biztonságával foglalkozik, az az utóbbit.

Aki meg architect, mindezeket alrendszernek tekinti, amelyek részei a rendszernek.

Jelen esetben a fejlesztő és az üzemeltető egy és ugyanaz a cég, sőt, a kiszivárgó adatok alapján még a személyzetben is erős az átfedés - különben egy PM-nek hogyan lehetne hozzáférése az éles adatokhoz is, meg a forráskódhoz is?

Így viszont elég egyszerű a rendszer definíciója: az egész kupleráj, fejlesztéstől üzemeltetésig bezárólag.

Akkor is az lesz személy szerint a felelős, aki elveszítette a kulcsot, illetve az, aki a szabályozást készítette, hogy ez megeshetett.

De semmi esetre sem az acél, a tégla, a habarcs, amiből összeáll a börtön.

Nem azt mondtam, hogy a rendszer szállítója nem felelős Dehogynem. A saját embereiért - a fenti példában a CISO és a rászedett dolgozó - végső soron a cég felelős.

Jó lenne, ha nem kevernétek a technikai problémát a felelősségi körrel.

trey @ gépház

Tehát, ha téged átvernek, majd rávesznek bűnözők, hogy lépj be az bankodba, majd ezután hozzáfértek a pénzedhez, akkor feltörték a bankodat. 🤔

Érdekes elképzelés. Az, hogy mit firkál a Kaspersky a wikijébe, teljes mértékben lényegtelen.

trey @ gépház

Gondolom egyertelmu, hogy amit leirsz, abban az esetben nem tortek fel a bankot(mert nem fertek hozza mindenki szamlajahoz)

De ha a te adataiddal hozzafernek mindenki bankszamlajahoz, mert te vagy az Atjarohaz Bank Rt tulajdonosa, akkor viszont az Atjarohaz Bank Rt -t tortek meg. Az mar csak formalitas, hogy sw, hw, human bug/feature-on keresztul jutottak hozza.

Amíg egy rendszerhez a hozzá biztosított kredenciálisokkal férnek hozzá, nem beszélhetünk a rendszer megtöréséről. Az embert vették palira. Az, hogy az embernek miért volt olyan jogköre, hogy hozzáfért mindenhez, az megintcsak nem a rendszer hibája. Azé, aki nem követelte meg, hogy az illető ne admin joggal használja az éles rendszert.

trey @ gépház

Nem tudom, hogy te milyen kuplerájban dolgozol, de minden normális cégnél, ahol van személyes adatok kezelése, létezik adatvédelmi felelős, ami jó esetben nem úgy kerül ki a dolgozók közül, hogy "neked nincs elég dolgod, te vagy", hanem van valamilyen képzettsége, rálátása az adatbiztonságra. Jobb helyeken ez a CISO (vagy azzal egyenértékű ember), komplexebb IT Sec. ismeretekkel. Vagy a CISO alá beosztott ember.

És igen, ez egy senior-level vezetői állás. Magyarul, ha alatta dolgozol, a főnököd IT sec. / adatbiztonság kérdéskörben. És igen, az általa kidolgozott adatkezelési, adatbiztonsági és rendszerhozzáférési szabályokat be kell tartanod.

Ha valamiért nincsenek ilyen szabályok, vagy azok hibásak, azért a CISO mint felelős vezető a felelős, a betartásukért meg személy szerint te (a dolgozó).

Tehát, egy ilyen incidenskor, ha a rendszer meg volt patchelve és nem egy 0day hibán keresztül mentek be, akkor nem betörtek, hanem a fent említett két ember valamelyike, vagy mindegyike hibáját kihasználva beléptek a rendszerbe a valid hitelesítő adatokkal.

HTH

trey @ gépház

Tehát, egy ilyen incidenskor, ha a rendszer meg volt patchelve és nem egy 0day hibán keresztül mentek be, akkor nem betörtek, hanem a fent említett két ember valamelyike, vagy mindegyike hibáját kihasználva beléptek a rendszerbe a valid hitelesítő adatokkal.

És honnan szedték a hitelesítő adatokat (ott volt az asztalon a prod_jelszavak.txt)? Mert ha jól tippelek projekt managerünk sikeresen telepített a linkről egy RAT-ot a gépére és azért attól kezdve általában nem 5 perc szokott lenni a "Viszlát, és kösz a halakat!". :)

Ennyi infóból hadd ne mondjam meg, de ha én lennék a CISO (sehol sem vagyok az), akkor egy ilyen kritikus rendszert piszkáló "gépről" te biztos nem interneteznél, nem azzal járkálnál be a rendszerre, amivel a Pornhub-ot lesed ...

Tehát, látszik, hogy ez egy szabályozási és szabálybetartási kérdés elsősorban.

trey @ gépház

Én megfordítva kérdezem, milyen rendszer amelynek egyik gépéről tudom nézni a porhubot, és elérek minden más fontos rendszert is róla ?

Eleve a rendszer tervezésekor, ilyen lehetőség megvalósítására még csak gondolni se kéne. 

Régen is voltak olyan rendszerek amiket csak a rendszergazdai terminálról tudtál megvalósítani és kész. Pedig akkor még hol volt a mai integraltság, de akkor is tudták, hogy jobb az ha nem fér mindenki csak úgy mindenhez.

Így továbbra is tartom, hogy szar az a rendszer aminek egyik komponensén nézhetem a pornhubot levelezhetek, meg elérek minden mást is, mert eleve lehetőséget biztosít a fenti eseményekhez.

Fedora 37, Thinkpad x280

Nem a rendszer szar, hanem az elérésének szabályozása és be nem tartása. Ha root-ként vagy adminként internetezel a gépeden és amiatt megtörnek, akkor sem a rendszer a hibás, hanem te.

:D :D :D

ROTLF

:D :D :D

--

De, ilyenkor az informatikai rendszer szar, mert annak szerves része a jogosultságok megfelelő kezelése.

De, ilyenkor az informatikai rendszer szar, mert annak szerves része a jogosultságok megfelelő kezelése.

Nem, semmi köze a rendszerhez, ez valóban tervezési feladat, amit nem az user, hanem a felelős vezető csinál. Az user meg betart.

Ha nem végezték el, akkor a tervező szarul dolgozott, a munkavállaló pedig vétett/hanyag volt.

Az (operációs) rendszer, köszöni szépen, megfelelően működött.

trey @ gépház

Nem, semmi köze a rendszerhez, ez valóban tervezési feladat, amit nem az user, hanem a felelős vezető csinál. Az user meg betart.

:D :D :D

ROTFL

:D :D :D

Az (operációs) rendszer, köszöni szépen, megfelelően működött.

Á, kihátrálsz a faszságból, most már csak (operációs) rendszer? Tudod, az informatikai rendszer nem ott kezdődik, hogy van egy (operációs) rendszer, ami megfelelően működik... hogy te csak addig látod át, az teljesen más kérdés.

Ha root-ként vagy adminként internetezel a gépeden és amiatt megtörnek, akkor sem a rendszer a hibás, hanem te.

Te idézted be. Erre reagáltam.

hogy te csak addig látod át, az teljesen más kérdés.

Ameddig a felelősségi kör tart. További is lehet, lehet adni tanácsokat, de a felelősség az átadási pontokig tart.

trey @ gépház

Ameddig a felelősségi kör tart.

Én teljes mértékben értem, hogy szerinted az informatikai rendszer addig tart, amíg te átlátod.

További is lehet, lehet adni tanácsokat, de a felelősség az átadási pontokig tart.

Így van, az egy felelősségi kör, hogy ki, mikor és milyen adatokhoz férhet hozzá és ehhez milyen credential szükséges. Ez is egy informatikai rendszer része.

Én teljes mértékben értem, hogy szerinted az informatikai rendszer addig tart, amíg te átlátod.

Olcsó duma. 

Így van, az egy felelősségi kör, hogy ki, mikor és milyen adatokhoz férhet hozzá és ehhez milyen credential szükséges. Ez is egy informatikai rendszer része.

Tipikusan olyan szűk látókörű emberek szoktak így beszélni, akik csak egyszereplős projektekben vesznek részt. Egy cég szállít mindent. Majd ha olyan projektben veszel részt, ahol külön cég/divízió felel a tervezésért, külön az üzemeltetésért, külön a szoftverek szállításáért és támogatásáért, mindjárt nem mosnád össze a felelősségi köröket és ha a biztonságért felelős divízió/cég hibázott a tervezésénél, akkor nem mutogatnál mondjuk az üzemeltetésre és nem állítanál olyat, hogy a rendszert feltörték, amikor az történt, hogy egy embert social engineering módszerrel rávettek, hogy adjon hozzáférést az adatokhoz. Itt hiányzott az oktatás, hiányzott a szabályozás. Tök más hatáskör.

trey @ gépház

Tipikusan olyan szűk látókörű emberek szoktak így beszélni, akik csak egyszereplős projektekben vesznek részt.

Ez pont te vagy, aki csak egy kis részét látja egy informatikai rendszernek és azt hiszi, hogy az az egész.

ha a biztonságért felelős divízió/cég hibázott a tervezésénél, akkor nem mutogatnál mondjuk az üzemeltetésre

Figyelj, lassan írom, hogy megértsd: rajtad kívül senki nem mutogat az üzemeltetésre. Ez a te szalmabábod.

Nem a rendszer szar, hanem az elérésének szabályozása és be nem tartása.

Az a rendszer ami lehetőséget ad a szabályok be nem tartására/kijátszára  eleve szar.

Statisztikák szerint a legtöbb hiba emberi hibára/mulasztásra  vezethető vissza, tehát ha csökkenteni akarom a hibák számát egy rendszerben, akkor csökkentenem kell az emberi lehetőségeket.

Tegyük fel, hogy a cikkben írt állítás igaz, azaz egy adathalász linkel megszerezték az adatait amivel bejutottak mindenhová is.

Most azt tegyük félre, hogy van egy GOD móddal rendelkező emberke.

DE a rendszer lehetővé tette, hogy ott nézze a pornhubot, ahol az adatai is vannak. Szerintem egy ilyen szintű rendeszernél, ilyet nem lehet, ha porn hubot akar nézni fogja a másik gépet, ami akár külön dedikált neten lóg és nézi a porhubját vendégfiókkal oszt jónapot. Amennyiben meg dolgozni akar védett adatokkal átül a másik gépéhez amivel meg nem fér semmi máshoz.

Fedora 37, Thinkpad x280

Tehát, ha admin-ként használom a HUP-ot, rákattintok egy malicsusz linkre, amivel megszerzik a session cookie-t, azzal kidumpolják az adatbázist, akkor a Drupal szar, a Drupal fejlesztők rosszul végezték a munkájukat és nekik ezt a hibát javítaniuk kell. Meg a Rackforest, mert ők üzemeltetik a szervert és a szoftver stack-et. VAGYIS A RENDSZERT. Úgy, hogy egyébként a Drupal-ban, a Debian-ban, a PHP-ban, ... stb. nem volt kihasználható hiba.

Ezt mondod.

Tehát, nem én voltam nem körültekintő, nem én hibáztam. Ők a hibásak.

trey @ gépház

Tehát, ha admin-ként használom a HUP-ot, rákattintok egy malicsusz linkre, amivel megszerzik a session cookie-t, azzal kidumpolják az adatbázist, akkor a Drupal szar, a Drupal fejlesztők rosszul végezték a munkájukat és nekik ezt a hibát javítaniuk kell. Meg a Rackforest, mert ők üzemeltetik a szervert és a szoftver stack-et.

Nem, ebben az esetben, a "hup.hu", mint informatikai rendszer szar, mert nem került kialakításra megfelelő jogosultságkezelés, kikapcsolásra került minden session hijack elleni védelem, nem került bekapcsolásra 2FA, illetve részben a Drupal szar, mert lehetőséget ad arra, hogy tartósan admin jogokkal használd és nem csak arra az időre kéri az eszkalált jogú futtatást 2FA megerősítéssel, amikor arra feltétlen szükség van. Igen, ez mind az informatikai rendszer része.

Tehát, nem a rendszert törték fel egy ismert vagy ismeretlen hibával. Köszi szépen!

Se nem hardvert támadtak, se nem operációs rendszert, se nem szoftverstacket. Hanem egy tervezési hiba történt (vállalatnál a biztonságért felelős vezető hibázott) és felhasználói hiba történt.

Köszi szépen a megerősítést, ezt ugattam végig.

trey @ gépház

Tehát, nem a rendszert törték fel egy ismert vagy ismeretlen hibával. Köszi szépen!

De, az informatikai rendszert törték meg egy ismert vagy ismeretlen hibával. Az informatikai rendszer a példádban nem a Drupal és a hardver, hanem a hup.hu egésze, annak egyedi beállításaival, üzemeltetési szokásaival és azokkal a desktop gépekkel és azok védelmével együtt, amelyekről adminisztrálod.

Se nem hardvert támadtak, se nem operációs rendszert, se nem szoftverstacket.

Az értetlenkedésed egyszerűen abból ered, hogy nálad az informatikai rendszer a Drupal és a hardver.

Hanem egy tervezési hiba történt (vállalatnál a biztonságért felelős vezető hibázott) és felhasználói hiba történt.

Igen, pont ezért támadható az informatikai rendszer, mert terveztek vagy implementáltak rá egy biztonsági rést.

Köszi szépen a megerősítést, ezt ugattam végig.

Tudom, sőt tudjuk, hogy mit ugattál végig, de továbbra se érted, hogy mi a tévedésed. Szerintem nem is fogod megérteni.

De, az informatikai rendszert törték meg egy ismert vagy ismeretlen hibával.

LOL

Én - szerencsére - tudom mi a különbség a social engineering és mondjuk egy SQL injection közt. Bocs, hogy kicsit kifinomultabb vagyok a "megtörték a rendszert" balfaszkodásnál.

trey @ gépház

Nekem nincs, amikor te az egész rendszer megtöréséről beszélsz

Jó reggelt! Ezt hívjuk informatikai rendszernek, amit te "egész rendszer" alatt értesz.

Te nézel mindent A RENDSZERNEK, miközben lehet, hogy tök más felel egyes részeiért :D

Igen, tök más felel egy informatikai rendszer egyes részeiért, ez így szokott lenni.

Az informatikai rendszert modulárisan nézem, úgy ahogy felépül. Nem egy darab valaminek.

Ez akkora bullshit, hogy bekeretezem. :D

Nem egy darab valaminek.

Szóval lehet, hogy meglepő dolog számodra, de az informatikai rendszer az egy darab valami, ezért nincs többes számban. És igen, vannak részei, moduljai és alrendszerei.

Javaslom ezt a szemléletet elsajátítani mindenkinek, aki egy egy fős vállalkozáson kívül valami nagyobban vesz részt ;)

Szinte csak ilyenben vettem részt és most is ilyen projektekben veszek részt, mint enterprise és/vagy solution architect szakértő.

Amennyiben az ember része a rendszernek, akkor megtörték a rendszert, mivel része a rendszernek.

Ez kb olyan, mintha baranya megyét megtámadná valaki, akkor is azt mondanád, hogy nem magyarországot támadták, hanem csak Baranyát, Budapest vagy más megyéknel ezzel semmi dolga, oldja meg baranya megye ?

Fedora 37, Thinkpad x280

Majd vess egy pillantást azokra a projektekre, amikben részt veszek, aztán gyere vissza utána, hogy elbeszélgessünk, hogy ki min dolgozik :D

Aztán majd megérted, hogy miért ragaszkodom ahhoz, hogy a felelősségi körök tisztázva legyenek, az átadási pontok pontosan, vitathatatlanul le legyenek szúrva stb. :D

trey @ gépház

Kezdjük ott, hogy almát a körtével hasonlítasz össze.

A hup.hu egy weboldal, ingyenes portál motorral amiért senki nem vállal semmilyen felelősséget. Így leszarja, hogyha ellopják a session cookie-dat, az a te bajod lesz nem az övék.

Az eKreta rendszer pedig egy elvileg tervezett rendszer,  egy egesz orszag tanuloinak szuleinek stb minositett adatait kell tarolni kezelni. Itt fel se kéne merülnie a fenti lehetőségnek.

Fedora 37, Thinkpad x280

Csak hogy értsd:

Ha biztonsági incidens történt egy ekkora projeknél és

  • műszaki (üzemeltetési) hiba (nem patchelték az OS-t, lyukas volt a tűzfal, ezer éves volt a PHP) történt -> műszaki igazgató
  • biztonsági tervezési, szervezési -> biztonsági igazgató

Tök más hatáskör. Annak leszabályozása, hogy a projektvezető hozzáférhet-e és mihez, semmi köze a műszaki igazgatónak és osztályának. Ő azt valósítja (implementálja) meg, amit a biztonsági vezető meghatározott.

trey @ gépház

Csak hogy értsd,

Ilyen projekthez eleve nem használnék olyan rendszert ami a fenti esetet lehetővé teszi. Azaz ha létrehozható olyan scenárió amivel a fenti mód előidézhető, akkor az max hup.hu és hasonló weboldalakhoz jó lehet, de nem egy fenti méretű prjekthez.

Tehát a fenti projekthez az a rendszer ami most ott van (gépestől, oprendszerestől, emberestől mindennal ahogy van cakkon pakk) szar. 

Az meg, hogy ilyen "amatőr" módon hozzáférhettek mindenhez is, alátámasztja, hogy szar.

A rendszer simán megelőzhette volna a fenti esetet azzal, hogy a rendszerhez tartozó dolgokon nem lehet mást csinálni csakis a rendszerhez hozzáférni. A manager nem ugyanazon a gépen dolgozik ekrétán, és rejszol pornhubra lazításképpen stb.

Mint ahogy a te hupos példádban is, ha komolyan kéne védened a hup.hu adatait, akkor neked se azon gépen kéne adminolnod a hup.hu -t amin netezel, hanem csakis külön erre célra kijelölt gépen, és azon semmi mást, nem kéne tudnod csinálni.

Fedora 37, Thinkpad x280

Ha én rákattintok egy malicsusz linkre és kikerülnek az adatok, a Rackforest-nek van felelőssége? Nem ők szállították a szoftvert, nem ők rakták össze a rendszert, nem ők tervezték meg. Ők csak a vasat, a LAMP stacket üzemeltetik, a mentést végzik stb.

Az ő szempontjukból megtörték a rendszert?

Igen vagy nem?

trey @ gépház

Ha én rákattintok egy malicsusz linkre és kikerülnek az adatok, a Rackforest-nek van felelőssége?

Nem, senki nem állítja rajtad kívül, hogy ez a Rackforest felelőssége. Azt se állítja senki rajtad kívül, hogy ez a Drupal felelőssége. Ezek a te szalmabábjaid.

Az ő szempontjukból megtörték a rendszert?

A "hup.hu" informatikai rendszer attól még meg van törve, hogy a támadás nem a hardver, a hosting vagy szűken vett szoftver stack felől jött, hanem az informatikai rendszer egyéb kellően nem védett részei felől. Az a gép, amin a malicsusz linkre rá tudsz kattintani és ettől kikerülnek az informatikai rendszerből védett adatok illetéktelenekhez, az - különösen GDPR szempontból - része az informatikai rendszernek.

A "hup.hu" informatikai rendszer attól még meg van törve

Igen, így látja egy laikus, azonban amikor majd a felelőst keresik, akkor jönnek a szakértők, akik meg fogják állapítani a felelősségi körök alapján, hogy

  • valóban a rendszert törték-e meg, mert az üzemeltető nem végezte el a munkáját, nem patchelt (felelős: "A" cég)
  • social engineering módszerrel jutottak be (felelős: a személy, aki nem tartotta be a biztonsági előírásokat)
  • a rendszer tervezője, aki nem biztosított megfelelő oktatást/szabályozást a rendszer használatához (felelős: a CISO)
  • a szoftverstack-ben találtak egy 0day hibát és azt használták ki (felelős nem megállapítható a fenti körből, vis maior stb.)

Tudod, aki ért hozzá, az érti mi a különbség egy sérülékenység exploitálása meg egy rosszul szabályozott folyamat kijátszása közt. Kurva fontos ezeknek a részleteknek az ismerete, főleg, ha olyan projekteken dolgozol, amik nem egyszereplősek. 

trey @ gépház

Mindegyik felsorolt esetben az informatikai rendszert törték meg. A probléma abból ered, hogy számodra az az informatikai rendszer fogalma azt takarja, amit az üzemeltető üzemeltet. De ezt már többen és többször is leírták.

Tudod, aki ért hozzá, az érti mi a különbség egy sérülékenység exploitálása meg egy rosszul szabályozott folyamat kijátszása közt. Kurva fontos ezeknek a részleteknek az ismerete, főleg, ha olyan projekteken dolgozol, amik nem egyszereplősek. 

Igen, kurva fontos ezeknek a részeknek az ismerete. Igen, általában többszereplős projekteken dolgozom, pár szinttel feljebb, mint ahol te ülsz egy ilyen projekten. Én látom az elefántot, te meg csak a lábát tapogatod...

LOL

Volt szerencsém rálátni olyan bírósági ügyre, amiben azt firtatták, hogy ki a felelős egy biztonsági incidens kapcsán. Elhiszed, hogy a szereplők azért mentek a bíróságra, mert a "megtörték a RENDSZERT" baromságot akarták kibontatni és a végén egy ítéletet látni, hogy vajon mégis mit törtek meg? :D

Gy.k.: erről szólt a tárgyalás. Enélkül tárgyalás sem lett volna :D

trey @ gépház

Ezt mondod.

Nem, ezt te mondod, ez a te szalmabábod.

Tehát, nem én voltam nem körültekintő, nem én hibáztam.

A te hozzáférésed és annak biztonsága része a "hup.hu" informatikai rendszernek, ahogy a Drupal is része. Továbbra is az a tévedésed, hogy szerinted a Drupal és a hardver az informatikai rendszer, minden más azon kívüli dolog.

Szerintem a rendszer hibaja, ha egyszeru jottment projectmanager/leader hozzafer ilyen adatokhoz.

Rosszul terveztek meg a rendszert, ha ilyen megtortenhet vagy ido elott eles forgalmat kapott a rendszer mielott befejeztek volna az alap funkciok fejleszteset. :)

De nem azert irom ezt, mert kivetelesen szar lenne a Kreta. Csomo helyen balfasz devek/architectek/stb dolgoznak. Miert lenne maskepp pont ott? :D

Jaja, szépen eljutottál oda, amit az elejétől kezdve írtam, hogy nem a rendszert törték fel, mert az megfelelően volt patchelve, nem volt félrekonfigurálva, hanem a rendszert biztonságilag felügyelő vezető, a Chief Information Security Officer (már ha van/volt ilyenjük), amelyik ezt lehetővé tette.

👏‍

trey @ gépház

nem a rendszert törték fel, mert az megfelelően volt patchelve, nem volt félrekonfigurálva

Az, hogy social engineering-en keresztül értek el adatokat, nem jelenti, hogy a rendszer egyébként megfelelő.

Vagy van bármiféle publikus audit róla?

A rendelkezésre álló infók alapján beszélgetünk. Az ellenkezőjéről van publikus adat? Az az infó, hogy

A fejlesztésre rálátó forrás a lapnak megerősítette, hogy egy projektvezető kattintott egy fertőzött linkre egy átverős emailben, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül.

Magyarul elloptak egy session cookie-t vagy valamit. Gondolom, folyamat bejelentkezve volt adminként ...

Ez tényleg a rendszer hibája?

trey @ gépház

Hajlok rá, hogy nem normális, ha az üzemeltető ilyen széles adatokhoz hozzáfér ennyire nyitott környezetben.

Mi a lóf@sznak kell emailezni azon a gépen, ahol az éles adatbázist éred el?

Már eleve azt problémásnak tartom, hogy ilyen mértékű adatkezelés mellett nem követelmény publikált security audit - Microsoft ezt egyébként megteszi az Azure esetén.

En -szokasom ellenere- ezt a cikket most vegigolvastam. Nem arrol szolt a dolog, hogy pistike rakattintott egy linkre, majd lefekudt a gepe, pistike sirva fakadt es hazament. Az a feltetelezes, hogy a gyerekek/az oktatasi rendszer teljes adatallomanya hozzaferhetove valhatott. Mindez csak feltetelezes persze -plane a telekszet ismerve- de nem nagyon latom a sajtokozlemenyt, amely legalabb cafolni probalna.

Error: nmcli terminated by signal Félbeszakítás (2)

Nagyon sokszor osztom az allaspontodat, de egy ilyen esemeny szakmailag vedhetetlen. Marpedig ez szakmai tema, nem politikai.
Nem az az igazi problema, hogy hozzaferhetnek -e a rendszerhez, vagy sem - hibak mindenhol vannak; hanem hogy errol -mint adatvedelmi incidensrol- miert nincs sehol egy szo sem?

Error: nmcli terminated by signal Félbeszakítás (2)

Egy informatikai rendszer nem csak a front oldalról törhető. Ha hátsó ajtón jutottak be, mert a hátsó ajtó nem volt kellően védve, pláne különleges védett személyes adatokhoz férhet hozzá a belső hálózatból arra illetéktelen, mert nincs kidolgozva vagy használva megfelelő jogosultságkezelés, akkor ugyanúgy a rendszert törték meg, mert egy informatikai rendszer nem csak egy tűzfalból és front oldalból áll. Bízom benne, hogy érted a különbséget.

Csak, hogy legyen végre egy autós hasonlat is! :)

Akkor ennyi erővel ha a sávtartó automatika az úton tartaná a kocsit, de a sofőr elfodítja a kormányt és az autó nekimegy a fának, akkor a "rendszer" nem működött jól? A vezető is a mozgó gépjármű rendszerének a része...

Csak, hogy legyen végre egy autós hasonlat is! :)

Hiányzott, mint egy falat kenyér.

Akkor ennyi erővel ha a sávtartó automatika az úton tartaná a kocsit, de a sofőr elfodítja a kormányt és az autó nekimegy a fának, akkor a "rendszer" nem működött jól? A vezető is a mozgó gépjármű rendszerének a része...

Igen, akkor az úton közlekedő jármű, mint rendszer, nem működött jól. Nem az autó hibásodott meg, nem a sávtartó automata hibázott, de az úton közlekedő jármű, mint rendszer, nekiment a fának... és onnan tudod, hogy a vezető szerves és elengedhetetlen része az úton mozgó jármű rendszerének, hogy nélküle - jelenleg - nem működik ez a rendszer.

A rendszerdesign része az is, hogy lehet-e egy ember rászedésével kompromittálni. Itt lehetett. Persze nem derült volna ki a dolog, ha pont nem olyan ember lett volna a *.* jogosultságok birtokában, akit rá lehet szedni. Itt az volt a fő gond, hogy egy műszaki analfabéta kapott eltúlzott jogosultságokat. Bizonyos méret felett mondjuk nem igazán biztosítható, hogy ne legyenek ilyen kaliberű emberek is a csapatban, ha pedig a nagyfőnök csak a korrupcióhoz ért, meg ahhoz, hogy 2021-ben elég legyen 693 millió forint az éves bruttó bérre 93 dolgozónak (tessék utánaszámolni, hogy ez mekkora havi bruttót jelent per kopf, meg hogy ezért a pénzért milyen kaliberű "szakembereket" lehet kapni), hogy közben meg jusson 3.5 milliárd adózott eredményre, nos, akkor eleve erre kell készülni, úgy kellett volna a rendszer működését kialakítani, hogy fostaliga emberek mellett is működtethető legyen a rendszer incidensek nélkül.

Azt gondoltam ha már 3 éve leérettségiztem nem érint, de az adatvédelmi tájékoztató alapján még 27 évig fog :D

A magyarorszagponthu-n hány évig nem volt...? (És persze most sem kötelező...) :-P Mondjuk egy ilyen rendszernél, ahol pont nem csak a saját adatairól van szó, pláne kéne 2FA és/vagy alaposabban átgondolni, hogy kinek is kell valójában hozzáférés és az milyen szintű legyen - bár adatot lopni egy csak olvasási jog is elég...

Ha az az MFA valóban MFA, és a 2. faktor valóban csak és kizárólag egy példányban létező eszköz, akkor azért eléggé korlátozott az adott identitásnak az eltulajdonításával történő rosszindulatú tevékenység. Az más, ha kap egy trójait a tökike, és utána a fullos hozzáférésén keresztül tolnak sql-dumpot távolról úgy, hogy akár észre sem veszi, hogy valakik mászkálnak a gépén...

Felhasználók jelentős része az MFA-val védett szolgáltatást azon a telefonon nyitja meg, ahol a token elérhető.

Egyébként API is lehetett a támadási felületet vagy bármi, semmilyen releváns információt nem közöltek róla.

Ennek a cikknek elsosorban az a hirerteke, hogy tortent egy incidens a multban, de ahelyett, hogy tisztessegesen kivizsgalnak, lenne rendorsegi nyomozas (bezzeg a BKV ugyben a TEK torte ra a gyerekre az ajtot), lenne rendes kommunikacio/hivatalos jelentes az ugyben (GDPR ugye), inkabb megy a sunnyogas, lapulnak, mintha mi sem tortent volna. Ez a baj.

Az pedig biztos, hogy volt incidens, mivel a gyerekem osztalyfonoke is megirta a szuloknek, hogy a gyerekek ne hasznaljak a Discordot, mert azt gyanitjak, hogy azon keresztul tortek fel a Kretat (?). Mindenesetre latszik, hogy kikuldtek az iskolaknak vmi tajekoztatot az ugyben.

 a gyerekem osztalyfonoke is megirta a szuloknek, hogy a gyerekek ne hasznaljak a Discordot, mert azt gyanitjak, hogy azon keresztul tortek fel a Kretat (?).

Discord tiltás helyett azt kéne elmondani, hogy ne kattintsanak -jellemzően url rövidítő mögé rejtett- mindenféle linkekre: se emailben, se facebookon, se discordon se semmi más üzenettovábbításra alkalmas felületen: bónusz: QR kódok :)

Információinkat névtelenül az eKRÉTA Zrt.-n belülről is megerősítették, a fejlesztésre rálátó forrásunk szerint valóban történt adathalász támadás: egy projektvezető kattintott egy fertőzött linkre egy átverős emailben, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül.

Osztályfőnököt meg fel kell homályosítani, hogy discordon lehet pl a chat helyett van hang alapú kommunikáció is; bár ezzel és a videókkal meg azért érdemes vigyázni, mert sose tudhatod a másik oldalon ki rögzíti.

Iskolai keretek között a cyberbullying téma miatt már jó esetben ezek lefutott körök kéne legyenek.. (tudom, bilibe lóg a kezem..)

a gyerekem osztalyfonoke is megirta a szuloknek, hogy a gyerekek ne hasznaljak a Discordot, mert azt gyanitjak, hogy azon keresztul tortek fel a Kretat

Ja, mert az osztályfőnök aztán kvára ért a Krétához... meg a Discordhoz.. meg úgy általában az IT (security) hez is, mi? :D

Biztosan van néhány kivétel, de ahová a gyermekeim járnak, ott akkora az IT analfabétizmus, hogy sokszor sírhatnékom van. Nem kell itt semmit feltörni, ahhoz hoz illetéktelenül hozzáférjenek adatokhoz, amíg a legtöbb tanuló account default jelszóval van használva... És látva, hogy a tanárok, iskola igazgatók sincsenek a toppon én inkább azon csodálkozom, hogy csak most kezd kiborulni a bili.

Ne keverjük már a kis pénz, kis focit, a közpénzből kitömött "megoldásszállítókkal"...

Trey azt mondja, hogy nem az e-krétát törték meg csak volt egy kretén aki szeret kattintgatni és ennek a kreténnek mindenhez is joga volt és ezt úgy sem sikerült kivédeni , hogy ott van pénz. Na most a közszférában mégis hogyan kellene. (Pláne, a kiskirályi rendszerben ami jelenleg él és a kretén úgy baszhat ki mint macskát szarni :))

Trey azt mondja, hogy nem az e-krétát törték meg csak volt egy kretén aki szeret kattintgatni és ennek a kreténnek mindenhez is joga volt és ezt úgy sem sikerült kivédeni , hogy ott van pénz

Abban egyetértek, hogy a feltörték az krvára nem ugyan az, mint hogy illetéktelenül hozzáfértek.

Attól pedig, hogy van pénz lóvéra, okosabbak sajnos(?) nem lesznek. sehol. Én is láttam már nemy egy rendszert, ahol nagyfőnöknek god mod járt, mert hát 'ő a főnök'. Ez szimpla hülyeség.

Hülyeség ellen pedig egyetlen rendszer sem véd, mindegy mennyi pénzt költesz rá.

 

Szerintem.

Próbáltad már megmagyarázni a főnöknek, hogy ez hülyeség? Ha neadjisten politikus (vagy az által beültetett kivagyok/mivagyok) az illető akkor tutira nem lesz nagy sikered. :D 

És igen a pénz magában nem véd, csak ugye ahol effektív van pénz emberre vagy eszközre az azért valamelyest segít. :)

Arról nem beszélve, hogy azt még valahol nehezen megérti az ember, hogy gizike minden linket megnyit amit emailben kap, de egy It cég projektmanagere?

Próbáltad már megmagyarázni a főnöknek, hogy ez hülyeség? 

20+ éve ezt csinálom... úgy tűnik jól, mert még mindig van munkám ;)

 

hint:

az ilyen típusú (kis)főnöknek általában az a 'taktikája', hogy nem hivatalos csatornákon keresztül (pl szóban) veszi rá a birkáit, hogy az ő 'parancsára' csináljanak hülyeségeket. pl full root jogot kapjon oda, ahol neki semmi keresnivalója.

Ezt egy egyszerű - de írásos - felelősségvállalási nyilatkozattal ki lehet védeni. Innentől csak a saját f*sz*val veri a csalánt.

Hidd el, még a leghülyébbek is meghátrálnak ettől.

 

A népszerűség egy másik kérdés...

szerencsére én a szakmai tudásommal keresem a kenyeret, nem pedig bologatással és seggnyalással.

(Utóbbival persze sokkal többet lehet keresni a gyakorlatban, csak gyomor kell hozzá. Na meg a gerinc hiánya. Esetleg kifordítható köpönyeg)

 

szerintem.

Rossz megközelítés, ha politikussal (vagy a betolt haveri körrel, egy sem fog olyan papírt aláírni amin a felelőség szó szerepel) van dolgod, szépen megadod amit szeretne (általában mindent is) és szépen lassan elveszel tőle (mindent is). Az a tapasztalatom, hogy fel sem fog neki tűnni.  (értsd a jogosultság a kivagyok/mivagyok miatt kell nem azért mert valaha is használja :))

hát, szerintem ez már átmenet a  'bólogatós kutya' irányba... ami nálam no go. 

Ha nem írja alá, nem csinálom meg. pont. Ha emiatt kirúg, akkor az a munkahely amúgy sem nekem való. Van elég csicska, majd talál magának megfelelőt... Jó szakemberekről ez nem mondható el.

 

szerintem.

Ideális helyen úgy lenne ahogy írod. 

A közszféra kicsit más. Az itsecet (a hátrahagyott papirhalmon kívül) nem látod (az meg ugye baromira nem fogja megvédeni a rendszeredet semmitől) , az NKI ASR monitorozó rendszere közvetlen (és véletlen sem valami relayen) küldi a "lehalt a szerver" emailt (rájöttem, hogy a greylisting miatt nem jött eddig egy sem, de még reverse dns sincs a monitorozó vason beállítva az ilyen közvetlen kommunikációt jobb helyeken eleve eldobják a picsába). Lehetne még mesélni, de minek... 

Bár az is lehet, hogy csak a teszt része, hogy szarul van-e beállítva az smtp szerver ;)

Szerkesztve: 2022. 11. 07., h – 21:32

Ha tényleg kikerülhettek tömegesen személyes és ráadásul különleges adatok a KRÉTÁból, tehát súlyosnak látszik az incidens, akkor
   - NAIH értesítve lett az előírt időn belül az incidensről?
   - Érintettek (kiskorú miatt szülők) megfelelőképpen értesítve lettek az adatkezelő által, hogy a róluk tárolt személyes adat kikerülhetett?
Ha nem lettek ezek az intézkedések végrehajtva, miért nem?

Lásd: 2016/679 EU rendelet 33. cikk és 34. cikk
Ha esetleg az állami intézményre nincs a gyakorlatban ilyen kötelezvény, akkor a nem államiakra miért van? Az EU direktíva nem tesz különbséget állami és nem állami között.

Vagy nem volt semmi incidens, csak kitalálta valaki?

Ez tévedés. GDPR szerint az adatkezelőnek kell bizonyítani, hogy az adatkezelés körén kívül eső elháríthatatlan ok idézte elő a szivárgást (GDPR Art. 82).

Amennyiben ténylegesen egy ember hozzáférésének megszerzése vezetett ide (főleg ha az a fejlesztőnél dolgozik -> ezt sem tudjuk biztosan) akkor nincs aki ezt bizonyítani tudná. 

"Honnan tudjuk, hogy ezek nem történtek"

Megkérdezzük a krétás szülőktől, hogy kaptak-e ilyen értesítést.

"vagy nem fognak megtörténni?"

Hát, miután kiderült, már tényleg illene szólni hivatalosan is :)

“Any book worth banning is a book worth reading.”

Szerkesztve: 2022. 11. 08., k – 11:00

Már kiment az értesítés Kedves Szülő! Kérem változtassa meg a gyermeke nevét, jelszavát, nemét, születési dátumát?

De az 100%, hogy nem feltörték, hanem megszerezték egy kezelő személy bejelentkezési adatait (nagy különbség).

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek 

A szálak mennek tovább. A végeredmény azt hiszem tanulságokkal fog szolgálni, többek között a GDPR (2016/679 EU rendelet) és gyakorlatban való betartásának komolyan vételéről és kimagyarázhatóságáról egyaránt.

„Megkeresésével kapcsolatban tájékoztatom, hogy az ügyben a Nemzeti Adatvédelmi és Információszabadság Hatóság hivatalból eljárást indított. Az eljárás lezárásáig további információt nem ad a Hatóság”

egy projectvezetonek miert van adminjoga egy allami rendszerhez?

hogy tudtak egy fertozott linkel kileakelni a jelszavat? nincs erre megfelelo vedelem nalunk?

\o/

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

"Katasztrófák nem történnek csak úgy, döntő események láncolata vezet el hozzájuk"
Érdekes tanmese egy vegyiüzem katasztrófájáról: https://youtu.be/KtdDkLIroI8?t=45
38:05 "Egyetlen ember hibáztatása nem lehet megoldás. Könnyen ahhoz a következtetéshez vezethet, hogy ha az illetőtől megszabadulunk,  azzal a problémát is felszámoltuk."

Trey szerint két ember is hibás. :)

Az egy dolog, hogy a pancser csóka a linkre kattintott, tfh még a papirtologató "itsec" is hibázott, úgy gondolnám, hogy ezek a rendszerek csak valami tűzfal/IDS féleség mögül dumcsiznak,a NISZ-nél meg senkinek nem tűnik fel, hogy kicsit megnőtt a forgalom (gondolom nemzetközi irányba).

Igen, "szeretem" azt a hozzáállást, hogy ha a "kisember" hibázik, akkor a hibáját kenjük valami másra (kormány, állam, NISZ, faszomtuggya' mire), nehogy egyszer ki legyen mondva: igen, hibázott.

Értem ennek a pszichológiáját (ilyen velünk is bármikor megtörténhet, jó ha van arra precedens, hogy ilyenkor majd a személytelen izé elvitte a balhét), csak akkor lássuk azt is, hogy ezért tartunk itt. Mert itt soha, senki nem felelős semmiért, itt mindig más a hülye mindig. 🤷‍♂️

trey @ gépház

Láttad a preventSQLInjection függvényt? Ilyet még én se adnék ki a kezem közül (ennél még az internal use projektbe is igényesebb az ember) és ez csak közszféra és csak egy nyomi üzemeltető, helpdesk, itsec replacement, néha gépíró vagyok. Ja és mondtam már, pénz sincs :P

Természetesen a privát kulcs is ott van mind a EKRETA_prod.pfx-ben (Tulajdonos:eKreta, Kiállító: EESZT PROD CA, Érvényes:2030.12.08.), mind az userEles.pfx-ben , az importálástól szerencsére jelszó védi. Mely mint minden professzionális projekt esetében, így ez esetben megtalálható plain textben beégetve a forráskódba.

Láttad a preventSQLInjection függvényt?

beleégett a retinámba vazze...

 

Régebben csináltam egy kód auditot olyan kódon, ami többezres látogatottságú publikus oldal(ak) alatt volt...

A hivatalos végeredmény persze már előre meg volt írva, de azért privátban a megrendelő kíváncsi volt a valós eredményre is. Majdnem sírva fakadt, amikor azt javasoltam hogy várhatóan sokkal gyazdaságosabb kidobni az egészet a picsába, és 0-ról újra írni, mint javítgatni azt a tákolmányt.

Azt hittem az a leg szörnyűbb élesben üzemelő kód, amit valaha látok... de most überelték...

 

De hogy ne csak fikázzak: szintaktikailag szépen van formázva ;)

"”A Neptun örökségét lehet látni a hekkerek által megosztott forráskódban is, aminek egy része ma már szintén nincs használatban, ilyen az idejétmúlt SQL-injekció elleni védelem is” – mondta az egyik volt KRÉTA-s fejlesztő, hozzátéve, hogy úgy tudja, ezt a megoldást már maga a Neptun is évekkel ezelőtt ejtette."

Őszintén szólva nem lett bennem kevesebb kérdés. Szóval akkor tudják, hogy szar, de még egy Obsolete-ot sem dobnak rá, mert annyira nem mernek hozzányúlni? Vagy csak élnek tech debtekkel, mint hal a vízben?

 

"„Minden tiszteletem azoké, akik fejlesztői környezetben, a tesztadatbázisokban is titkosított megoldásokat használnak, de ez nem életszerű”"

What? Nincs prod ready környezetetek? Eddig akkor mindig életszerűtlen helyeken dolgoztam.

Én már láttam olyan projektet, ahol a verziókezelés kb. az volt, hogy a függvényekből volt v1, v2 ... vn. A legmagasabb, amit láttam az asszem doSomethingV14(...) volt.

Végülis ez majdnem olyan, mintha rendes VCS-t használnának, csak az egész kódelőzményt bent tartják a working copy-ban. :)

LOL.

Se MFA, se semmilyuk nem volt, a leirtak alapjan normalis hatarvedelem se. Egy login mind felett. 
Vezerig annyit reagalt, hogy “tudni se akar rola”.

Se MFA

Másodszor olvasom ezt a dolgot ... mondd, láttál már M365-öt MFA-val? Szerinted ha nem lépsz ki, mennyi időnként kéri a jelszót/második faktort? Elárulom, hónapokig nem. Vagyis, ha ellopják a beauth-olt session-öd, akkor bemennek. Mit segít ezen az MFA _____szabályozás és annak betartása, valamit betartatása nélkül______? Például: nem internetezünk a pornós gépről, le van írva, hogy minden munkavégzés után azonnal ki kell lépni / tilos a "belépve maradok" opciót használni? Vagy utasítani az adminisztrátort (megint csak IT sec. vezető feladata), hogy ezt enforce-olja?

Ezek szerint hibás a Microsoft teljes felhője, mert lehet szarul használni? Egy lófaszt.

trey @ gépház

ROFL.

Fura, nalunk mukodik.

Ahogy lejovok ceges halorol, VPN-rol stb a geppel meg MFA-val sem(!) ferek hozza a levelezeshez, teamshez, SCM-hez stb.

A szabalyozast meg betartja az erre hivatott tool a gepeken. Utalja mindenki, de ez van.

Rendszeres belso phishing teszt van, aki nem jelzi a phishinget annak ujra az osszes training. 

Én meg erre azt mondom, hogy úgy van megcsinálva az üzemeltetés részéről, ahogy kérik. Ha a felelős IT Sec. vezetőn át tud menni az a kérés, hogy

  • a fejlesztés szerint egy régi, sérült PHP verzión kell hagyni a foo rendszert, mert csak azzal működik, akkor az üzemeltetés azon hagyja
  • ha a vezérigazgató/whatever azt kéri, hogy neki ne legyen 2FA beállítva, mert egy lusta geci és nem fog ezzel szívni, akkor nem lesz neki beállítva

ugyanis, nem az üzemeltetés felelőssége ez, hanem az IT sec. vezetőé. Adja írásba, aztán úgy lesz beállítva, ahogy kéri. Ha meg bazmeg van, akkor tartja a hátát.

Szerinted mi még nem futottunk bele olyanba, hogy enforce-ova volt egy biztonsági funkció (természetesen előzetesen tájékoztatva az érintetteket, akik szokás szerint basztak elolvasni), majd utána, amikor a beállítás effektív életbe lépett, jött a lebaszás, hogy hogy képzeljük azt, hogy akadályozzuk a kollégáikat a munkavégzésben, azonnal állítsuk vissza? Majd, mondtuk, hogy oké, de ennek ez meg ez a biztonsági vonzata, konzultálja meg ezt a CISO-val, majd 10 perc múlva ott volt a "papír", hogy engedélyezve?

Innentől kezdve az üzemeltetést mennyire kell, hogy érdekelje, hogy valaki tökön akarja szúrni magát? Igenis, ragaszkodni kell ahhoz, hogy ha nem a rendszert törték meg, akkor kimondjuk, hogy kit/mit. Mert nem mindegy, hogy ki viszi a balhét.

trey @ gépház

Nem reagaltal arra, hogy szerinted M365 + MFA hulyeseg de nalunk meg mukodik. 

Komoly cegnel nincs olyan amit leirsz, hogy visitanak es akkor nincs bevezetve.

Az mindenkinek lejott a hozzaszolasaidbol, hogy teged addig erdekel, hogy legyen lepapirozva a roles & responsibilities es ezen rugozol tobb napja. 
Ezen reg tul vagyunk, az a nulladik lepcso egy rendszerben. 

Itt a technikai reszleteken rugozunk, mert az az erdekes. Abbol ami kiderult pedig visszavezetheto, hogy a te gumicsontod es a mienk sem letezett ennel a cegnel. 

Abban, hogy le kell irni ezeket? Igen, nem is vitattam.

Csak ezen nem tudsz tullepni.

Adok egy tippet: ha erre vagy rafeszulve, mert ehhez a reszehez ertesz akkor a publikalt tenyek alapjan fejtsd vissza kerlek a szabalyozasukat, engem erdekelnenek a megallapitasaid. Most egyhelyben topogsz. 

Csak ezen nem tudsz tullepni.

Túl tudnék, ha jött volna valamiféle visszaigazolás ezzel kapcsolatban. De nem jött, egészen idáig. 

Adok egy tippet: ha erre vagy rafeszulve, mert ehhez a reszehez ertesz akkor a publikalt tenyek alapjan fejtsd vissza kerlek a szabalyozasukat, engem erdekelnenek a megallapitasaid. Most egyhelyben topogsz. 

Nem az én feladatom elemezni. Az itteni hülyeséget viszont miért ne javíthatnám ki? 

trey @ gépház

Reagáltam rá. Hajadra kenheted, ha jön egy olyan utasítás, hogy ki kell kapcsolni, egyszerűbbé kell tenni. Olvasd el, hogy mit írok. Ezért is nem mindegy, hogy tisztázva vannak-e a felelősségi körök.

És igen, ezért is rugózok rajta. Mert számtalanszor hugyozták már ügyfelek keresztbe azt, amit javasoltunk nekik. Ilyenkor semmi gond, adja írásba, az ő felelőssége, a bíróság adott esetben majd köszöni szépen a doksit, vita nélkül zárja az ügyet.

trey @ gépház

Terelsz: tettel egy allitast egy MFA use-case-rol ami nem igaz es mindenkit elkuldtel aki MFA-val jott.

Senki nem allitja, hogy az a csodatevo saman, de azt igen, hogy a minimum szint a meglete.

Irrelevans, hogy mit “szoktak” az ugyfeleitek csinalni.

Most a Kreta behatolassal foglalkozunk.

tettel egy allitast egy MFA use-case-rol ami nem igaz

Mi az, hogy nem igaz? Hogy ne lenne igaz, amikor létezik ez az use case? Vagy a létezését tagadod?

Senki nem allitja, hogy az a csodatevo saman, de azt igen, hogy a minimum szint a meglete.

Mármint, hogy az lenne a minimum szint, hogy VPN-en keresztüli session-ön használod az M365-öt? Ha ne vicceskedj :D 

Irrelevans, hogy mit “szoktak” az ugyfeleitek csinalni.

Hát persze, mert kiderülhet, hogy ábrándokban élsz.

Most a Kreta behatolassal foglalkozunk.

Így van. Tehát, ha a te szisztémádat használták volna, VPN + MFA, de közben az otthoni gépéről, akkor azt állítod, hogy nem férhettek volna hozzá a rendszerhez? :D

trey @ gépház

Honapokig tarto session. Rossz beallitas mellett max.

Azt mindod az ugyfeleid mrgkefelik a torekvest, hogy buztonsagos legyen. Amit most reagaltal az alapjan teged sem nagyon erdekel, ha az serti a kenyelmet.

Nem csak VPN-el lehet megoldani, van mas, egyenerteku megoldas is de azt sajnos nem fejthetem ki. Pontosabban lusta vagyok megnezni, hogy mennyire publikus. 

De, garantál, ha megfelelően van implementálva és nem csak dísznek van.

Például a GitHub esetén végig be vagyok jelentkezve, egyes privilegizált műveletek előtt újra kéri a jelszót és egyes ennél privilegizáltabb műveletek esetén MFA megerősítést is kér. Tehát hiába telepítettek a gépemre backdoor-t, a GitHub nem teszi lehetővé, hogy az MFA megtörése nélkül olyan műveleteket hajtsanak végre, ami különösen védendő művelet. Tehát, ha nincs session hijack védelem és megszerzik a GitHub session adatait a támadók, akkor se tudnak semmi érdemlegeset művelni.

Nézd, olyan mélységekbe jutottál, ahova már nem akarlak követni. Annyira jól játszod a kisebbségi komplexusos hiányos tudású nagy öblöshangút, aki mindenről megmondja a tutit, hogy már-már elhiszem, hogy tényleg kisebbségi komplexusos hiányos tudású nagy öblöshangú vagy, aki mindenről megmondja a tutit.

Hát igen, én kérkedtem, hogy "vess egy pillantást azokra a projektekre, amikben részt veszek, aztán gyere vissza utána, hogy elbeszélgessünk, hogy ki min dolgozik", amikor olyanoknak írod ezt, akik nagyobb projekteken dolgoznak, mint annak a cégnek összes éves bevétele, ahol te dolgozol...

Ó, pont neked sosem voltak ilyen kijelentéseid :D Bagoly mondja ...

akik nagyobb projekteken dolgoznak, mint annak a cégnek összes éves bevétele, ahol te dolgozol...

Mondjuk lehet, hogy ha valakinek dolgozok a valaki projektjén, akkor nem az a fontos, hogy ami bevételünk mekkora, hanem azé, akinek a projektjén dolgozok :D Nem várom el, hogy ezt felfogd, mert ez már bonyolult lehet.

Igény esetén kifejtem! Ha magadtól nem menne ...

(FYI: azt tetted szóvá, amit ebben a kommentedben (is) elkövettél, a személyeskedés sem áll messze tőled, mégis gyakran hivatkozol rá ... próbálj ezen javítani, vagy hagyd a picsába az erre való hivatkozást)

trey @ gépház

Mondjuk lehet, hogy ha valakinek dolgozok a valaki projektjén, akkor nem az a fontos, hogy ami bevételünk mekkora, hanem azé, akinek a projektjén dolgozok :D Nem várom el, hogy ezt felfogd, mert ez már bonyolult lehet.

Semmi baj, csak tudod, az a különbség, hogy szerinted mi "a magasan levő urak" vagyunk. Ami bizonyos szempontból igaz, könnyen lehet, hogy valamelyikünk projektjén dolgozol és valamelyikünk van abban a döntési pozícióban, hogy melyik céget bízzák meg a munkával. Tudod, ez tipikusan egy architect feladat... 

(FYI: azt tetted szóvá, amit ebben a kommentedben (is) elkövettél, a személyeskedés sem áll messze tőled, mégis gyakran hivatkozol rá ... próbálj ezen javítani, vagy hagyd a picsába az erre való hivatkozást)

Tudod, ez már reakció szokott lenni nálam...

Természetesen, hiszen te vagy a világmindenség közepe, hogy is felejthettem ezt el!

Ó, én ilyet soha nem állítottam veled ellentétben, akinek minden problémára van egy egyszerű megoldása.

Igen, szoktam néha beleolvasni másokkal folyó flame-jeidbe is, akkor jövök rá, hogy ez az attitűd nálad általános .

Na, azok remek példák arra, hogy a személyeskedéseim már reakciók.

Az a baj, hogy valójában a Github MFA-ja is lófaszt ér. Ugyanis, egy fájl szerkesztése a repositoryban valójában nem privilegizált művelet, commit előtt nem kér MFA megerősítést, de a nap végén ezzel simán el lehet bármilyen kódban helyezni egy backdoort. A GitHub MFA-ja csak az ellen véd, hogy random új alkalmazásjelszavakat kiadjál vagy a feltört paraszt profilját átvésd. Az ő szempontjukból privilegizált műveleteket védik csak.

Namármost, egy Microsoft O365 esetén pl egy adathalász levél kiküldése sem lesz privilegizált művelet. Session hijackinggal ezek mind megtehetők anélkül, hogy az MFA egyáltalán képbe kerülne.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Az a baj, hogy valójában a Github MFA-ja is lófaszt ér. Ugyanis, egy fájl szerkesztése a repositoryban valójában nem privilegizált művelet, commit előtt nem kér MFA megerősítést, de a nap végén ezzel simán el lehet bármilyen kódban helyezni egy backdoort.

Review process, hello?! :D

A GitHub MFA-ja csak az ellen véd, hogy random új alkalmazásjelszavakat kiadjál vagy a feltört paraszt profilját átvésd.

Ezt írtam, hogy egyes privilegizált műveletekhez szükséges.

Az ő szempontjukból privilegizált műveleteket védik csak.

Azokat védik, amelyekkel komoly kárt lehet okozni. Egy commit nem komoly kár, felesleges lenne MFA mögé tenni minden egyes commit eseményt.

Namármost, egy Microsoft O365 esetén pl egy adathalász levél kiküldése sem lesz privilegizált művelet.

Miért kellene az legyen? A cél egy értelmes egyensúly a használhatóság és a megfelelő biztonság között.

Session hijackinggal ezek mind megtehetők anélkül, hogy az MFA egyáltalán képbe kerülne.

Nem olyan egyszerű a session hijacking, ha van ellene védelem. Önmagában az MFA csak akkor véd, ha privilegizált műveletet hajtana végre az user. És ez a cél, hogy jól és értelmesen keressük meg a privilegizált műveleteket.

Review process, hello?! :D

Hát igen, szted ennél a cégnél _valaha_ volt review process? "pisti majd megcsinálja"

Az alapján amit látok még rendes kód átnézés se volt, nemhogy a PR teljesít e feltételeket (tesztelés rendben van, a PR azt csinálja amit szeretnénk, stb).  Na itt van a kutya elásva, hogy sokan olyan környezetben dolgoznak ahol vagy a jellege, vagy a kódolók számossága szerint ilyen igényeket nem támaszt. Ezért is nehéz olyanokat találni, ahol értenék, hogy a védelem statikus a PR-nél, ezért ezt nem hozzák bele a gondolkodásba. Nehéz is ez <10 fős csapatoknál. Itt is a "legyen kész amit kérnek", "javítsatok a sebességen" volt a szempont. 

Persze gondolom én.

Ennél a cégnél a szakmai kompetencia nagyon alacsony szinten volt egyébként is, emellett ebből a pénzből nem igazán tarthattak fel népes csapatot ami legalább az igényeket kialakította volna, ha már a vezetés inkompetensen állt a kérdéshez. 

Az egészről az jut eszembe amikor a találkozón elhangzik az "organikusan alakult így" és akkor tolul fel a hányinger. 

Leírhatod ezerszer is, hogy a rendszert törték meg, én meg leírom, hogy definiáld a rendszer fogalmát. Erre definiálsz egy rébuszt, én meg konkretizálom, hogy a rébuszod melyik része volt az pontosan.

Bocs, hogy ezt teszem, szakmai ártalom, a "nagy emberek" nagy mondásait bontom atomjaira és keresem bennük a hibát. Ezzel (is) töltöm mindennapjaimat.

trey @ gépház

Ennek a "rendszer részének tekintjük-e" kérdésnek akkor volna jelentősége, ha ez a szoftver, dobozos, saját telepítésű kiszerelésben is elérhető lenne. Akkor valóban lényeges megkülönböztetni, hogy maga a szoftver sebezhető-e, vagy csak rosszul üzemeltették. Esetleg a default konfiguráció teszi-e sebezhetővé stb. stb.

Mivel itt egy "as a service" jelleggel üzemeltetett dologról van szó, a szoftvernek egy példánya van használatban, egy konfigurációval, egy környezettel, egy üzemeltetéssel. Ebben a kontextusban sokan - szerintem jogosan - tekintik úgy, hogy egyszerűen nem releváns kérdés, hogy ez a támadási vektor (social engineering + a defense in depth teljes hiánya) pontosan minek is számít. Önkényesen meghúzhatod a "rendszer" határvonalát úgy hogy ez kívül essen, meg úgy is, hogy belül legyen. Semmivel nem vagyunk se előrébb, se hátrébb tőle.

My 2cents...

Régóta vágyok én, az androidok mezonkincsére már!

Szigorúan szakmai alapon, akkor tudnánk nem önkényes módon meghúzni egy határt, ha pontosan ismernénk a "fejlesztési szakasz" és az "üzemeltetési szakasz" között a contract-ot (technikai és szervezési értelemben is). Pl az autentikációs provider mennyire konfigolható, mennyire választható le az admin felülethez hozzáférés stb.* Ha ezekhez az alapvető hardening lépésekhez fejlesztés kell (forráskódba bele kell nyúlni, új buildet kell csinálni) akkor bizony a legszűkebb értelmezésben is a "rendszer" része a sebezhetőség. Tapasztalatból mondom, a kifejezetten "as a service"-re fejlesztett szoftver esetén _nagyon gyakori_, hogy hardkódolva van egy csomó minden és csak akkor kerül konfigba kivezetésre, ha már nagyon muszáj.

Az eddig kiderült információk sajnos arra engednek következtetni, hogy semmiféle technikai szétválasztás nem volt a fejlesztés és az üzemeltetés között. Innentől kezdve, hogy mi tekintesz a "rendszer" határának, szubjektív vélemény. Az erről folytatott vitának maximum mellékhatásként lehet értelme, mivel pontosan ugyanaz a hanyagság (separation of duties hiánya) ami miatt nem tudjuk objektíven meghúzni a rendszer határát, egyben kulcsszerepet is játszott a rendszer feltörésében.

* Az a ritka eset van, hogy lehet, hogy pár órán belül a forráskód elérhető lesz, és akkor ez már nemcsak találgatás. Ugyanakkor én most kijelentem, hogy bármennyire is kíváncsi lennék, bűntetőjogi megfontolásból nem fogom letölteni.

Régóta vágyok én, az androidok mezonkincsére már!

Azt hiszem, érteni vélem, mire gondolt itt Trey. Valójában nem az e-Kréta rendszert törték meg, hanem az e-Kréta rendszert fejlesztő/üzemeltető infrastruktúrát. Még "as a service" -ként üzemeltetett rendszerek esetén is lehet vonalat húzni az infra és az alkalmazás  között. 

Amit itt védeni kellett volna, az a forráskódok, a hozzáférési adatok, és a dokumentáció (JIRA, Confluence, BitBucket, jelszótárolók), valamint az e-Kréta admin felületéhez való hozzáférés (pl csak MFA-val védett VPN-ről vagy csak bizonyos IP címekről lehessen elérni, ha már magát az admin felületet nem tudják valami miatt védeni, és csak 5 god-mode felhasználó létezik). Ezek nagy része nem képezi az e-Kréta rendszer részét, ez a fejlesztéshez és üzemeltetéshez használt infrastruktúra része. Szigorúan szakmai alapokon.

Az, hogy jelenleg is benn vannak a Slackjükben, szerintem bőségesen eleget elmond arról, mennyire van ott ez az egész komolyan véve. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Még "as a service" -ként üzemeltetett rendszerek esetén is lehet vonalat húzni az infra és az alkalmazás  között.

Csak kérdés van-e bármi értelme ennek a vonalhúzásnak. Van-e ott bármi technikai jellegű határ. A cikkben idézett támadó elmondása alapján az autentikációs rendszerben semmilyen határ nem volt a fejlesztés és a prod üzemeltetés között.

...ha már magát az admin felületet nem tudják valami miatt védeni, és csak 5 god-mode felhasználó létezik). Ezek nagy része nem képezi az e-Kréta rendszer részét, ez a fejlesztéshez és üzemeltetéshez használt infrastruktúra része

Kapcsold össze az első mondatodat a másodikkal. "Ha az admin felületet nem tudják védeni" -> Bingo! Ha valami technikai hiányosság miatt nem lehet az admin felületüket szeparáltan védeni, akkor máris találtunk valamit, ami konkrétan az eKréta rendszer (szűk értelemben véve a szoftver) hibája, nem pedig az infrastrukturáé. Az infrastruktúra hibája már egy kikényszerített hiba, egy következmény.

De egy ilyen összefolyó felelősségi körökkel működő környezetben ez egy full akadémikus kérdés. Valószínűleg ugyanaz a pár ember döntött arról, hogy a szoftvernek milyen security feature-jeit fejlesszék, mint aki az üzemeltetés mikéntjéről.

Régóta vágyok én, az androidok mezonkincsére már!

Jaaa, értem! Amikor jön a hír, hogy "megtörték a Microsoft-ot!", a Microsoft meg kiad egy nyilatkozatot, hogy "neeeem, egy külsős kontraktortól kiszivárgott hitelesítő adatokkal léptek be", akkor itt megy a kánonban óbégatás, hogy nem is a Microsoftot törték meg, hanem az embert. Ez természetesen itt most máshogy van :D :D :D

trey @ gépház

Van értelme vonalat húzni.
Hogy párhuzamot mondjak: megtörték _a wordpresst_ mint open source software-t, vagy megtörtek _egy_ wordpress alapú site-ot.
Egy konkrét wordpress üzemeltető számára egész más következményei/rizikója van a két dolognak.

Lehetne az eKréta opensource is, akkor is lehet(ett volna) úgy üzemeltetni hogy kívülről ne tudják ellopni az adatokat.
Van egy csomó opensource alapú portál ahonnan mégse lopnak el semmit.

De innen _mindent_ el tudtak lopni egyetlen incidens következményeképpen: ez az alapvető biztonsági infrastruktúra/architektúra teljes hiányára utal. 

Az egy további kérdés - itt a vitát elnézve - hogy trey szerint a "social engineering" módszerrel elkövetett betörés "nem igazi" betörés.
Szerintem ha az eredményt nézzük akkor egyértelműen igazi betörés mégpedig az alapos, mindent kisöprős fajta.

A határokról: határokat nemhogy _lehet_ hanem _kell_ húzni és a munka során ezeket a határokat körömszakadtáig védenie kell a rendszerek őreinek, egymástól is. 

Ha nincsenek határok akkor nem lehet egyszerű szabályokat felállítani. Ha nincsenek egyszerű szabályok akkor garantáltan lesz benne hiba.
Ha van benne hiba akkor azt valaki garantáltan megtalálja. 

Gábriel Ákos

Hogy párhuzamot mondjak: megtörték _a wordpresst_ mint open source software-t, vagy megtörtek _egy_ wordpress alapú site-ot.
Egy konkrét wordpress üzemeltető számára egész más következményei/rizikója van a két dolognak.

Ezzel olyan nagy mértékben egyetértek, hogy ugyanebben a threadben párral feljebb a hozzászólásom pont erről szól. :)

A határokról: határokat nemhogy _lehet_ hanem _kell_ húzni és a munka során ezeket a határokat körömszakadtáig védenie kell a rendszerek őreinek, egymástól is.

Szerintem ebben is egyetértünk, ez lett volna a helyes. Én nem a határok implementálásának szükségességét vonom kétségbe, hanem utólag, a nem létező határról folytatott vitát. Hogy a "social engineeringgel elkövetett betörés" a nemlétező határnak melyik oldalára esett volna. Teljesen felesleges kérdés. Eleve nem lett volna sikeres ez a típusú social engineering, ha van határ.

Régóta vágyok én, az androidok mezonkincsére már!

Így van, utólag tök felesleges visszafele nézegetni. A határolásokkal a social engineering hatását nem szünteted meg teljesen hanem csak lehatárolod. 
Mondjuk meg tudják szerezni a balfasz jira accountját. De már mondjuk a mailjét vagy a forrást nem. Éles rendszerből adatot pláne nem.

Gábriel Ákos

Szerintem olyan nincsen hogy egy webes rendszernek "nem lehet az admin felületét szeparáltan védeni". Legföljebb nem volt olyan emberük aki értett volna hozzá.
Szerintem bárki tud percek alatt legalább 3 olyan módszert mondani amivel bármilyen gané alkalmazás bármelyik részét maximum közepes efforttal meg tudja védeni rendesen.

Gábriel Ákos