[update-20240221] "Feltörhették a KRÉTA-t, a diákok adatai is kiszivároghattak"

https://telex.hu/tech/2022/11/07/kreta-rendszer-e-naplo-kozoktatas-adat…

"...Hogy mást ne említsek, ilyen adatok: a diákok fogyatékosságai, magatartászavarai, amelyek minősített adatok; felmentések, igazolások, egészségügyi adatok; pedagógusok és más alkalmazottak HR-adatai; intézmények költségvetése, gazdálkodása; intézmények iktatott dokumentumai..."

"...„a KRÉTA rendszert érintő adatszivárgás miatt 2022. január 1-jét követően a rendőrség nyomozó hatóságainál nem indult büntetőeljárás.”

--update

"A fejlesztőcég megpróbálta elhallgatni a KRÉTA feltörését"

https://telex.hu/tech/2022/11/09/kreta-rendszer-ekreta-zrt-adathalasz-t…

--update

"KRÉTA-ügy: félrevezették a felhasználókat"

https://24.hu/tech/2022/11/10/kreta-rendszer-kozoktatas-hacker-tamadas-…

"...Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről."

-- update

"Több szülőnél nem megy a KRÉTA, de nem hekkertámadás miatt"

https://telex.hu/belfold/2022/11/10/kreta-nem-mukodik-belepes-hibauzene…

"...Egy nekünk nyilatkozó kiberbiztonsági szakértő szerint a nyilvánosságra került információk alapján a fejlesztőcégnél súlyos biztonsági mulasztások merülnek fel. Szerinte ez lehet a GDPR-éra legdurvább adatvédelmi incidense. Az adatvédelmi szakértő szerint súlyosbító körülmény lehet, hogy a cég senkinek nem szólt a történtekről."

--update

"KRÉTA-ügy: Aggasztó a kiszivárgott forráskód, de arra utal, hogy a hekkerek nem mindenhez fértek hozzá"

https://telex.hu/tech/2022/11/11/kreta-adatszivargas-forraskod-ekreta-z…

"...a fejlesztőcég kommunikációja meglehetősen kusza volt az ügyben: a nyilvánosságot nem tájékoztatták, ahogy a hatóságokat sem, de a kormányt igen, és a cég ügyfélszolgálata egy-egy érdeklődő szülővel is megosztotta az információt, majdnem két hónappal azelőtt, hogy a közvélemény értesülhetett volna róla."

--update

"Alapvető hiányosságok miatt sikerülhetett feltörni a KRÉTA rendszert"

https://444.hu/2022/11/14/alapveto-hianyossagok-miatt-sikerulhetett-fel…

--20240221

"110 milliós bírságot kapott a KRÉTA meghekkelt fejlesztője, súlyos hiányosságokra derült fény"

https://telex.hu/techtud/2024/02/21/kreta-hekkertamadas-feltores-szemel…

"...A hatóság szerint a cégnek „az általa fejlesztett rendszer ismertsége és a benne tárolt személyes adatok mennyisége miatt is számítania kellett külső támadásokra”, de az, hogy csak az incidens után vezette be az elvárható biztonsági intézkedéseket, arra utal, hogy -„könnyelműen bízott a támadások elmaradásában, és […] a jogosulatlan hozzáférések kiküszöbölésére és kimutatására alkalmatlan, a kockázatokkal aránytalan adatbiztonsági intézkedéseket alkalmazott”..."

Hozzászólások

Ez csak FAKE NEW, lehet, mert a itt az országban minden törvényesen megy, szóval ha lett volna hekkelés, a GDPR értelmében azt jelenteni kellett volna. Nem jelentették tehát nincsen.

Ismétlem FAKE NEWS ...

Fedora 38, Thinkpad x280

Hú de rohadtúl meg lettek kopasztva személyes adatilag a userek. Arról megint nem beszél senki, hogy az érintettek általános internetes lábnyomai 10x annyi információt mondanak el, mint a Kréta egésze.

Ugyan így nem értem a népszámlálás picsogókat. Ott mondhatsz bármit. Az internetes lábnyomodat meg nem tudod meghamisítani.

Pont ez jutott eszembe nekem is. Az, hogy MS szoftvereket használnak kommunikációra, az iskolák teljes levelezés fenn van egy felhőben, FB csoportokat szerveznek és azokba BE KELL jelentkeznie a tanárnak - a feleségemnek is ezért kellett regisztrálnia az FB, ahol természetesen meg kellett adnia a telefonszámától kezdve mindent - az nem zavar senkit, az rendben van.

A különbség a Krétás ügyhöz képest az, hogy, amíg a Kréta feltörése jogi következményekkel jár a feltörőre nézve, addig a multiknak tálcán átnyújtott érzékeny adatok tömege illetve azoknak bármilyen célú, akár Magyarországgal szembeni, nemzetbiztonsági körbe tartozó felhasználásával szemben semmiféle jogi út nincs.

Milyen érdekes, hogy így a tanárhergelés környékén történt mindez!

> Sol omnibus lucet.

"egy projektvezető kattintott egy fertőzött linkre egy átverős emailben, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül."

Nem is tudom, mit is mondjak...

Error: nmcli terminated by signal Félbeszakítás (2)

Ne kapaszkodjunk a PM-be, nem tudjuk, hogy milyen feladatai és hatásköre van.

Felvázolunk egy ideális világot, "esetileg antivált támogatói hozzáféréssel", a gyakorlatban a projektek túlnyomó többsége azt sem tudja megugorni, hogy a kilépő kolléga után biztosan ne maradjanak tokenek és a technikai userek jelszavai meg legyenek változtatva.

Legalábbis mindenhol ezt láttam, több nagyságrenddel nagyobb organizációkban, mint ami a kréta mögött áll.

gyakorlatilag mindent

En nagyon cuki ember vagyok, de ez a gyerekeimet erinti (ha jol tudom, Neked is van, es a KRETA -ban az adataik szerepelnek. Kb. minden, amivel az iskola rendelkezik.)
Esetleg -ha ez nem igaz- akkor tetelesen lehetne cafolni.

Error: nmcli terminated by signal Félbeszakítás (2)

Mondjuk azt a beszélgetést is meghallgatnám, amikor adott főnökurnak sikerül megmagyarázni, hogy neki miért nem jár hozzáférés mindenhez is - a jelenlegi munkahelyem légköréből kiindulva.

[insert line here]
B.C. 3500 - DIY Vehicle / A.D. 30 - DIY Religion / A.D. 1991 - DIY OS

Nekem ezt ugy sikerult elmagyarazni, hogy megemlitettem, hogy barmi tortenik beazonosithato formaban az o hozzafereseivel, az azt eredmenyezi, hogy o maga csinalta. Akkor is, ha nem, mert abban az esetben nemcsak, hogy hibazott, de meg az allomanyok eloirt vedelme sem valosult meg. Megosztott jelszo, kulcs, etc. meg nincs. Mukodik. :)

Error: nmcli terminated by signal Félbeszakítás (2)

Miért, a globális tech. óriásokat ki az anyám kínja látta el "isteni" küldetéssel, vagy legalább ilyen tudattal?

A gyerekeink, a jövő rabszolgái vagy a esetleges jövő rabszolgafelkelések vezetői lesznek. (A "háttérnek" ezt, - és minden mást is, - jó előre kell ismernie a szükséges semlegesítésekhez. - Már előre programozzák a társadalmakat.) - A kiemelkedők adatai pedig egyébként is kincset érnek már jó előre a "pénzpiacokon".

Á.., konteó,(!) - csupán csak egy óvodás korú "script kiddie" játszadozott a "könnyített" lehetőségekkel.

:)

Ha egy SQL injection stb. miatt bejutottak felhasználói közreműködés nélkül az a rendszer hibája. Ha felhasználói közreműködéssel jutottak be, az nem technikai hiba, hanem emberi. Egyrészt, azé, akit megvicceltek, másrészt meg a CISO/whatever-é, aki baszott kidolgozni a szabályokat. 

HTH

trey @ gépház

Én szállitottam olyan rendszert, amiben szines-szagos, utolsó bitet is szabályozni képes jogosultságrendszer volt, mégis az ügyvezető követelte magának a full admin jogot.

Fogalmam sincs, hogy a krétánál volt-e ilyen jogosultsági rendszer, de abból ami infonk van, nem következik, hogy ne lenne, vagy rosszul működne.

Ha pedig volt és jól működött, de az üzemeltetők/nagyfőnök hülye volt, az NEM a rendszer hibája.

mégis az ügyvezető követelte magának a full admin jogot

Oké, de utána az éves független auditon miért nem bukott meg a rendszeretek? Mondjuk mert nem volt ilyesmi?

Szerintem itt is az lesz a probléma, hogy vagy eleve nem volt kidolgozva a megfelelő szabályrendszer, vagy ha volt is, nem tartották be, és ebből azért nem lett botrány, mert független audit sem volt.

Próbálj meg egy minősített tanúsítvány szolgáltatót így üzemeltetni...

Miért ne? Sok rendszer létezik, amiben különféle adminisztrátori csoportok vannak, nem feltétlenül mindegyik teljhatalmú. Pl. egy fejlett CMS -ben sokféle szinten lehet állítani az adminok jogait. Megszabható, melyik admin tud cikkeket törölni, editálni, létrehozni, usereket, kommenteket törölni, editálni, stb... Attól még azok is mind adminnak számítanak, ami nem azonos a linux root -tal, más a kontextus.

Több okból is baromság. Az egyik oka a megnevezés, a másik az idejétmúlt jogosultsági rendszer. Hosszan nem mennék bele, lent van példa.

Pl. ha van egy olyan user aki tud felhasználókat létrehozni, módosítani, jogok biztosítását elfogadni, annak nem kellenek más jogok. A jogok nem mindenhol hierarchikusak és bővülnek, hanem kiegészítik egymást, és zajt kell csinálni hozzá, sőt legtöbb esetben nem is maga a rendszer mondja meg, hogy a valami harmadik fél által azonosított félnek van e joga az adott cselekedetre, hanem egy különálló, technológiai hozzáférést biztosító rendszer és a rendszer csak a szerepköröket kezeli (tevékenység->szerepköre) térkép. Ja, igen. Ez nem bonyolultabb, csak más. Lehetővé teszi a "godmode" elkerülését és a felelősség szétosztást.  

Szóval, azok a hibák amelyek a felhasználók emberi tulajdonságát használják ki azok külön kategóriába tartoznak, és ezen hibák kihasználásából keletkező jogosulatlan hozzáférések valójában nem hívhatóak "rendszerfeltörésnek" mert a felhasználó nem a "rendszer része"

Én kettéválasztanám (ahogy a szakma is) az emberi hibát a technikai hibától. Ugyanis más-más kezelést és kompetenciát igényel a kijavításuk. Ha PHP miatt törtek be, akkor üzemeltetőt terhel a felelősség, ha egy projekttagot, akkor meg a CISO-t. Ha a PHP-t törték meg, akkor egy szoftverfrissítés a megoldás, ha egy embert, akkor a képzés, folyamatok felülvizsgálata, kiigazítása stb.

trey @ gépház

Bocs, de ezt akármeddig csinálhatjuk. Rést találtak a pajzson. A rést épp egy felhasználó tette lehetővé, ha a lakásodba _betörés történik_ akkor teljesen mindegy, hogy a te kulcsod lemásolása történt vagy a zár hibáját használják ki. 

Csak a felelősség felvetése a kérdés, de te azon lovagolsz, hogy egy laikus portál ami laikusoknak ír ("újságírók"<- ejjj)  azt az általánosítást használja, ami általánosítás bármely más területen megállja a helyét "még ha nem is annyira szakmai".

mivel nincs tisztességes tájékoztatás... így csak találgatni lehet. Ha nincsenek logok, akkor sem lehet biztosan megmondani, mit néztek meg. A jogosultságból lehet tudni, mit érhettek el. De nem biztos, hogy meg is néztek mindent, amit elértek.

Plusz azért is használhatnak feltételes módot, mert hozzád hasonló mellébeszélést alkalmazva még akár be is perelhetik, ha tényként írják le a nyilvánvalót, de bizonyítékot csak a nyomozás hozhatna, ami nem történik meg ezek szerint. 

Kurva nagy különbség van.

Ha én, mint rendszerszállitó adok nekik egy olyan rendszert ahol tökéletesen szabályozni lehet a hozzáférések a csak szükségesre, majd ezután a főnök vagy micike kisirja magának az admin jogot, majd megtörik micikét és rajta keresztül a rendszerből ellopnak minden adatot, akkor rohadtul szétválik ez az eset attól, amikor egy hulladék rendszert szállitok amiben nincs jogosultságkezelés, hanem bárki bármit csinálhat.

Előbbi esetben nekem mint rendszerszállitónak az ég világon semmilyen felelősségem nincs az eset kapcsán, utóbbi esetben engem kell felelősségre vonni, lehülyézni, nyilvánosan megszégyeniteni.

Nekem ezt mondják akik használják, hogy nem épp ez a legjobb dolog a világon. Nekem nem kell használni, így nem tudom.

Ettől még az, hogy social engineering-el hozzá lehet férni egy ember hozzáférésével ezekhez az adatokhoz tömegesen, eléggé azt mutatják, hogy

- a fejlesztés és az üzemeltetés teljes szétválasztása, vagy 

- az éles rendszerhez történő fejlesztői hozzáférés korlátozása, vagy

- az, hogy a személyes adatokat külön tároljuk és azok hozzáféréséhez mindig kérünk indokot, vagy 

- az, hogy a tömeges hozzáférés korlátozott

ilyen "sosem látott/hallott" dolog lenne.

Ebből nekem valahogy nem igazán jön le az, hogy ez a cucc megérné az összeget amit fizetünk érte. Idézet a cikkből a fejlesztési vezetőtől:

"De vajon mi mindenhez férhetnek hozzá az illetéktelen behatolók, ha egy adathalász támadásban valóban megszereznek egy projektvezetői jelszót? „Sajnos nagyon sok mindenhez. A KRÉTA a diákok és a tanárok szinte minden adatát tartalmazza valamilyen moduljában, a taj-számok és más személyes adatok vagy a jegyek, intők a triviális kategória” – mondta Kovács Gábor,"

vagy másik idézet:

"Hogy mást ne említsek, ilyen adatok: a diákok fogyatékosságai, magatartászavarai, amelyek minősített adatok; felmentések, igazolások, egészségügyi adatok;"

Szóval ha már szakmai portál miért nem ezeket a kérdéseket hozzuk elő, és miért az újságíró írása a "probléma"?

Ha felhasználói közreműködéssel jutottak be, az nem technikai hiba, hanem emberi

Szóval ha sok csilliárdért építünk egy börtönt, ahova bevisszük a rabokat. Viszont egyszer Józsi elhagy egy kulcsot (ellopják tőle mind1), amivel mindenhova be lehet jutni, ki lehet nyitni stb, úgy gondolod az nem a börtön rendszer hibája lesz ?

Fedora 38, Thinkpad x280

Nem érted. Ebben az esetben sem a börtönajtó beszállítója, beépítője, karbantartója lesz a felelős, hanem a személy, aki elhagyta a kulcsot (itt, akit rászedtek), meg a börtön felelős biztonsági vezetője, aki nem dolgozott ki olyan protokollt, ami megelőzhette volna ezt a hibát. Pl. Józsi ne tudja elveszíteni a kulcsot.

trey @ gépház

Ha több zárrendszer volt, de Józsinál mindegyikhez ott volt az összesnek a kulcsa a kulcscsomón, amit elhagyott, az megint nem a biztonsági ajtó, annak szállítója és karbnatartója hibája. A hozzá gyártott kulccsal nyitották ki.

A tervezésnél volt hiba. Természetesen. Ötször írtam le, hogy a CISO hibázott.

De nem a számítógép + szoftver = RENDSZER volt hibás.

Mit nem lehet ezen érteni?

trey @ gépház

Leírtam, hogy miért választom külön. Ha valahol egy felsővezetői hiba történt, ott nem a gyalogokat kell felelősségre vonni, nem ott kell a hibás működést kiigazítani. Ha a vállalat egyik divíziójában hibázott valaki, attól még nem kell a másik divíziót felelősségre vonni. A kiigazítást is a hibásan működő divízióban kell megejteni.

trey @ gépház

A rendszer nem csak a számítógép+szoftver, hanem a konfiguráció is. Így egy szélesre tárt jogosultság is rendszerhiba. Az, hogy social engineeringgel hozzáféréshez jutottak, az egy adott ember hibája. Az, hogy ez a hozzáférés túl sok információhoz biztosított hozzáférést, már rendszerhiba.

Rengeteg olyan eset van, ahol az első lépcső adatlopás, tehát visszavezethető emberi hanyagságra, du utána a kevésbé védett belső hálón már egyéb módszerekkel tudnak szerezni további jogosultságokat. Ilyen esetben sem nagyon lehet kizárólagosan azt mondani, hogy emberi hiba vagy rendszerhiba.

"Az, hogy ez a hozzáférés túl sok információhoz biztosított hozzáférést, már rendszerhiba."

Már hogy lenne az? Ha a nagyfőnök a rendszer átvétele után azt AKARJA, hogy full jogosultsága legyen mindenhez és ezt a beállítást megkapja az nem a rendszer hibája. Ez emberi, hozzá nem értésből és/vagy ostobaságból létrejött hiba.

Mi az, hogy nem engedi a rendszer? Hát azt engedi meg a rendszer, amit be lehet rajta állítani. Márpedig a jogosultság-kezelés egy igen fontos és kötelező elem. Tehát be lehet állítani, hogy kinek milyen jogosultsága legyen. Az, hogy ezt ki, miért, milyen dokumentációval, jóváhagyási folyamatok után állította be az szerintem sem a rendszer hibája. Ez emberi hiba/mulasztás/butaság/állásféltés miatt eshet meg.

Tehát be lehet állítani, hogy kinek milyen jogosultsága legyen.

Vannak eszközeink, ahol van a root user, viszont ez az user csak helyi console ról érhető el sehogy máshogy. Vannak főbb biztonsági funkciók amiket csak a root userrel tudsz megoldani.

Így hiába szeretne a főnök mindenhez is jogosultságot, nem fog kapni, max ha fogja magát és soros konzolról adminol ...

Volt már rá példa, hogy emiatt nekem is a helyszínre kellett mennem, mert a remote userrel nem lehetett beállítani bizonyos fukciókat.

 

Hiába van szuper biztonságos páncélterm, amihez 2  kód kell, hogy nyitható legyen, ha csinálnak hozzá egy kis kulcsot, (mert a főnök nem akar kódokat megtanulni), nem ér többet egy lakásajtónál ... 

Fedora 38, Thinkpad x280

Az a gond, hogy az álláspontod szerint bízol az IT biztonsági vezetőben. így szerinted rendben van, az hogy egy nagy biztonságot igénylő rendszernél  az ember dönti el ki kap GOD módot és ki nem.

Erre mondtam, hogy ez ebben formában nem elfogadható, mert én nem bízok senkiben. Mindenki tudja, hogy az emberi mulasztások adják a hibák / törések nagy %-t. 

Ide eleve olyan rendszert tennék, ahol nem lehet GOD modot adni. 

Ahogy zárt osztályon / börtönben sincsen kés, csak műanyag szarok, ott se bízzák az emberre, hogy majd vigyázni fog ne kerüljön kés az elítéltekhez. Mert a rendszer eleve olyan.

Fedora 38, Thinkpad x280

Az a gond, hogy az álláspontod szerint bízol az IT biztonsági vezetőben.

Tévedsz. Nem én, hanem a cég vezetése, aki kinevezte. Majd ha hibázik, tartja a hátát. 

így szerinted rendben van, az hogy egy nagy biztonságot igénylő rendszernél  az ember dönti el ki kap GOD módot és ki nem.

Nem értelek. Ez nem annak kérdése, hogy szerintem rendben van-e, hanem cégműködési alapok. Hogy akarsz megkérdőjelezni egy adott területért felelős vezető által kiadott utasítást? 

Erre mondtam, hogy ez ebben formában nem elfogadható, mert én nem bízok senkiben.

Vagyis, ha egy vállalatnál dolgozol, akkor figyelmen kívül hagyod az utasításokat?

Ide eleve olyan rendszert tennék, ahol nem lehet GOD modot adni. 

Üzemeltetőként, olyan rendszert építesz, amit

  • az IT sec vezető jóváhagyott
  • az auditor jováhagyott

Nem mérlegelési jogkör. Javaslatot tudsz adni, aztán azt vagy megfogadják vagy nem. Mindenesetre, aki ilyen pozícióban dolgozik, annak javaslom, írásos dokumentum mindenről legyen. Akármit is olvas online fórumokon :D

trey @ gépház

Mert a rendszer eleve olyan.

Ez ^.

Az egész jelen szál alapja az, hogy trey egy informatikai rendszer egy kis almodulját véli a rendszer egészének, nem képes befogni a tudata, hogy egy informatikai rendszernek szerves része a biztonsága is, pláne GDPR kapcsán. Attól, hogy külön felelősségi kör, még a rendszer része.

Jaja, amit te csinálsz, az a tipikus CEO szemszög: leszarom (történtekre utalva: hallani sem akarok róla), minden IS a rendszer része, válogatás nélkül, mindenki hülye, mindenki felelős mert betörtek.

Én meg az a csóka vagyok itt, aki kiáll az embereiért és "Hátrébb az agarakkal CEO úr, nem a rendszert törték fel, hanem az egyik ügyefogyott emberét. Mennyi ideje is dolgozik az úr, az IT-ben, hogy ezt beszopta? Ki vette fel erre a pozícióra? :D".

🤷‍♂️

Értem, hogy neked - saját bevallásod szerint naaaaaagyon magasan ülő emberként - miért nem tetszik, akinek tök mindegy ki volt a hibás, a RENDSZER volt a rossz. Ilyenkor az szokott a balszerencséje lenni az ilyen magas lovon ülőknek, hogy mindig mindenről írásos utasítást kérek, szóval egy esetleges jogi hercehurca esetén a magasan levő urak rendszerint koppanni szoktak 😆

trey @ gépház

Jaja, amit te csinálsz, az a tipikus CEO szemszög: leszarom (történtekre utalva: hallani sem akarok róla), minden IS a rendszer része, válogatás nélkül, mindenki hülye, mindenki felelős mert betörtek.

Nem, ez a te szalmabábod. Te csak úgy tudsz vitázni, hogy szalmabábokat építesz fel és azokra reagálsz.

Én meg az a csóka vagyok itt, aki kiáll az embereiért és "Hátrébb az agarakkal CEO úr, nem a rendszert törték fel, hanem az egyik ügyefogyott emberét.

Te az vagy, aki nem tudja, hogy mi az informatikai rendszer, a tudata annyit fog át, hogy biztos a szerver lesz ez a rajta futó programokkal és mivel ezzel foglalkozol, ezért bekattant a trigger, hogy most biztos az üzemeltetést hibáztatják, holott senki nem hibáztatja az üzemeltetést. Rávetődtél egy árnyékra és most ezen pörögsz, mint egy hülyegyerek.

Értem, hogy neked - saját bevallásod szerint naaaaaagyon magasan ülő emberként - miért nem tetszik, akinek tök mindegy ki volt a hibás, a RENDSZER volt a rossz.

Igen, az az informatikai rendszer rossz, amelyik ilyen támadás lehetőségét ennyire egyszerűen lehetővé teszi. Ettől még vannak konkrét emberek, akik elkövettek a hibákat, de ennek az volt az oka, hogy az informatikai rendszer sebezhető, és lehetővé teszi, hogy elkövessék ezeket a hibákat. Figyeld meg: a cégnél olyan változtatásokat végeznek majd el az informatikai rendszerben, amelyek ezeket a hibákat már nem fogják lehetővé tenni. Nem a szabályzaton és az előírásokon módosítanak, nem a szabályzatok és az előírások betartását fogják jobban ellenőrizni, hanem magán az informatikai rendszer egészén változtatnak.

Mantrázd csak, én meg készülök dokumentálással, hogy amikor a hozzád hasonló "minden is a RENDSZER, még a munkaidején kívül otthon levő dolgozó, aki a poreszos gépén dolgozik be a rendszerbe is" emberrel találkozok, akkor legyen mivel bizonyítani a hülyeségét. Szerencsére az ilyen vitás kérdésekben bíróságok és nem _Franco_-k döntenek. Addig meg azt firkálsz ide, amit szeretnél. :D

trey @ gépház

Első körben a folyamatokon kellene változtatni. Ugyanis azt törték meg. Ha ezzel párhuzamosan szorosabbra fogják a rendszer biztonságát (a CISO és az auditor feladatköre), majd azt az üzemeltetés implementálja, az egy pozitív kimenet lesz. Miért kellene ezért bármit is csinálnom? Ezt ugatom az eleje óta :D :D

Nincs olyan rendszer, amin ne lehetne javítani. Meg olyan sincs, amit ne lehetne feltörni.

Tudod, örök mondás:

"A rendszert védőknek minden egyes nap résen kell lenniük, a támadónak meg elég, ha egyszer szerencséje van."

trey @ gépház

Első körben a folyamatokon kellene változtatni. Ugyanis azt törték meg.

Igen, a folyamatok az informatikai rendszer részei, és igen a folyamatokon keresztül törték meg az informatikai rendszert. Senki nem hibáztatja az üzemeltetést, ezt csak te hoztad fel eddig.

majd azt az üzemeltetés implementálja

Mit és miért kellene implementálnia az üzemeltetésnek, ha szerinted a rendszert nem törték meg, csak a folyamatokat? Ha nem a rendszer biztonsága gyenge, akkor elég lenne megfelelően betartani a szabályzatot. Ha hozzá kell nyúlni a rendszerhez olyan szinten, hogy az kód vagy infrastruktúra módosítással jár, akkor bizony az általad rendszernek nevezett rész is rossz volt ebből a szempontból, mert széles utat adott ahhoz, hogy a folyamatokon keresztül törhető legyen a védelme és ezen módosítani kell. Nocsak, kezd átmenni az üzenet a tűzfaladon, amit többen is mondunk az eleje óta?

Ezt ugatom az eleje óta

Nem, te össze-vissza ugatsz az eleje óta, mert hirtelen felindulásból magadra vetted, hogy az üzemeltetést hibáztatják és már sokadszorra finomítod és módosítod, hogy mit is ugatsz az eleje óta.

Szépen terelsz.

Semmi terelés nincs ebben, a terelés a te műfajod.

Egy soha meg nem tört rendszer biztonságán is lehet javítani.

Így van, ez teljesen egyértelmű. Ha felteszed azt a kérdést, hogy miért és hogyan kell a rendszer biztonságán javítani egy ilyen incidens után, és megpróbálod ezt megválaszolni, akkor rövid úton eljutsz oda, hogy mit jelent az rendszer egésze és mi minden tartozik bele. Én annak is örülök, hogy már elkezdtél gondolkodni a dolgon.

Valóban, ha felteszem a kérdést, akkor ott jön képbe a IT sec vezető meg az auditor, esetlegesen az idevágó ISO szabványok, amivel a _folyamatokat_ lehet javítani. 

Kérlek mellőzd az elmetrükköket, nálam ezek nem válnak be.

trey @ gépház

Valóban, ha felteszem a kérdést, akkor ott jön képbe a IT sec vezető meg az auditor, esetlegesen az idevágó ISO szabványok, amivel a _folyamatokat_ lehet javítani.

Alakul, ezeket a folyamatokat és a folyamatok javításait implementálni kell az üzemeltetés által üzemeltetett alrendszerben? Ezek a folyamatok az informatikai rendszer üzemszerű működésének a részei, vagy attól teljesen elválaszthatóak és az üzemeltetés által üzemeltetett alrendszer üzemszerűen működik az említett folyamatok nélkül is? Idővel eljutunk oda, hogy amit rendszernek gondolsz, az csak egy alrendszer vagy modul, már többször sikerült ilyesmit leírnod...

Kérlek mellőzd az elmetrükköket, nálam ezek nem válnak be.

Ó, azt tudom, nehezen tanulsz és sokáig ragaszkodsz a véleményedhez... :D

Ne terelj. Onnan indultunk, hogy azt állítottam, hogy nem a rendszert törték fel, hanem a folyamatot. A folyamaton kell javítani. Itt jön képbe a IT sec vezető meg az auditor, esetlegesen az idevágó ISO szabványok, amivel a _folyamatokat_ lehet javítani.

Hogy aztán a rendszeren is lehetne utána tovább javítani, azt senki sem vitatta. Az volt az állítás, amit már elfelejtettél, hogy NEM A RENDSZERT TÖRTÉK FEL.

trey @ gépház

Ne terelj.

Nem terelek, azt te szoktál. :D

Onnan indultunk, hogy azt állítottam, hogy nem a rendszert törték fel, hanem a folyamatot.

Ezek a folyamatok az informatikai rendszer szerves részei, amelyeket az üzemeltetők által is üzemeltetett alrendszer is implementál többek között, ahogy például a fizikai biztonság is implementál többek között. Az informatikai rendszer szerves része annak mindenféle védelme.

Hogy aztán a rendszeren is lehetne utána tovább javítani, azt senki sem vitatta.

Senki. Csak a szalmabábjaid. Ahogy azt is a szalmabábjaid mondták, hogy bárki is az üzemeltetést hibáztatja.

Az volt az állítás, amit már elfelejtettél, hogy NEM A RENDSZERT TÖRTÉK FEL.

Nem a szervert és a futó szoftvereket törték meg, hanem az informatikai rendszer egészét, mert nem implementáltak és kényszerítettek ki a védendő adatoknak megfelelő szintű biztonságos folyamatokat. Ha ez a fajta támadás a jövőben kivédhető azzal a kód és infrastruktúra változással, amit majd a fejlesztők lefejlesztenek és az üzemeltetők majd üzemeltetnek, akkor az informatikai rendszer ilyen fajta feltörését az üzemeltetők által üzemeltetett alrendszer akadályozza meg azzal, hogy véd az ilyen fajta támadások ellen. Nem a folyamatok, nem az emberek odafigyelése, nem a CISO, nem a házirend véd, hanem a rendszer eleve olyan, hogy megakadályozza ezt a fajta támadást. És ezzel körbeértünk.

Még mindig az emberben hiszel ...

 akkor ott jön képbe a IT sec vezető meg az auditor, esetlegesen az idevágó ISO szabványok, 

Ez 1x már megbukott, gondolod másodszor jobb lesz ? Folyamat javítás alatt mit értesz, megint leírják, hogy józsika nem adhat ki pistikének GOD módot ? Ez miben akadályoz meg valakit, hogy  pistikének adjon megint GOD módot ? 

Ellenben ha olyan a rendszer, hogy SENKI se tud pistikének GOD módot adni, akkor a fenti folyamat és ezáltal a  hibalehetőség fel se merül. 

Fedora 38, Thinkpad x280

Volt eddig aki megmondta, felvilágosította, hogy nem nyitunk meg minden szart, ami levélben érkezik azon a gépen, amivel a mindenséghez is hozzá lehet férni? Oktatás volt?

Ha nem volt, akkor segít.

Ellenben ha olyan a rendszer, hogy SENKI se tud pistikének GOD módot adni,

Mi az, hogy nem tud? 

trey @ gépház

Mi az, hogy nem tud? 

Nem tudom rémlenek-e olyan rendszerek amiknél bizonyos dolgok csak rendszergazdai terminálon keresztül történhetnek ? 

Nekünk is van ilyen hw-unk, hogy bizonyos funkciók csak a 0. számu userrel tudsz megoldani, viszont ez az user csak serial konzolon tud belépni sehogy máshogy, tehát a olyan dolog kell amit csak az az user tud akkor oda kell baktatni serial-t ratolni és hajrá. (sajna volt benne részem ...)

Fedora 38, Thinkpad x280

Ez nem okosítás, ez telibef0sása a fizikai védelemnek. Ugyanis amíg egy soros terminálról lépsz be, addig a soros madzag adta távolságon belül fogod a jelszót begépelni, illetve maximum addig a távolságig fogod a fizikai eszköztől elvinni az adatokat, a soros terminált emuláló gép esetén meg elég egyszer bejutni rá, ott lesz a konzol teljes adatforgalma plaintext-ben, amit aztán akárhova is át tudsz vinni, el tudsz menteni.

Persze lehet ezt is jól csinálni, mondjuk egy olyan ssh-hozzáféréssel, amin csak shell van, scp, sftp, portforward és hasonlók nincsenek, a sebessége limitált, és a teljes adatfolyam illetéktelen hozzáférés/módosítás ellen védett módon rögzítésre kerül. Na ez az, amit nem minden esetben tesznek meg...

Tehát, finomítani kell a folyamatokon, aminek az eredményeképpen lehet javítani a rendszeren. Ettől még mindig nem a rendszert törték meg.

Ha egy biztonsági hiányosságot kijavítasz a rendszeren és ennek eredményeképpen már nem lehet ezzel a támadási móddal bejutni és adatokat lopni, akkor korábban ezzel a támadási móddal miért nem a rendszert törték meg?

Kérlek ne mosolyogtass meg, itt a rendszerbe nem támadási móddal jutottak be, hanem valid hozzáférési adatokkal. Nem a rendszerbe jutottak be, hanem az embert szedték rá. Kérlek ne keverjük a sorrendet, mert fontos.

Ez ellen a támadási vektor ellen könnyedén lehet védekezni és ezt te is pontosan tudod. Szóval, ha ezt a biztonsági hiányosságot kijavítod a rendszeren, idézlek szó szerint "finomítani kell a folyamatokon, aminek az eredményeképpen lehet javítani a rendszeren" és ennek eredményeképpen már nem lehet ezzel a támadási móddal bejutni és adatokat lopni, akkor korábban ezzel a támadási móddal miért nem a rendszert törték meg? Teljesen mindegy, hogy valid hozzáférési adatokkal történt egy embert megtévesztve, ha ezt a támadási vektort befoltozzák a rendszer szintjén, ahogy a saját kezeddel írtad is, akkor miért nem a rendszert törték meg korábban?

Kérlek ne mosolyogtass meg

Amúgy én azon röhögök, hogy már többször is leírtad, hogy a biztonsági javítása miatt módosítani kell a rendszert, de csak nem tudod összekötni a pontokat egy vonallal... :D

Segitek az erto olvasasban, mert nyilvanvaloan nem olvastad a cikket amire reagalsz:

"A hekkert arról is kérdeztük, hogyan sikerült bejutniuk az eKRÉTA rendszereibe. Állítása szerint egy általuk írt kártevő programot, egy úgynevezett RAT-ot (remote access trojan, azaz távoli hozzáférést lehetővé tevő trójai program) sikerült bejuttatniuk, méghozzá úgy, hogy az a cég minden vírusirtóján és védelmi szoftverén észrevétlenül átjutott. Ez a kártevőtípus épp arra jó, amire a neve utal: települ a megfertőzött rendszeren, és ezzel bejuttatja a támadókat is: távoli hozzáférést tesz lehetővé, ami jelentheti a rendszer távoli megfigyelését, de akár parancsok futtatását vagy adatok kinyerését is."

Azaz SE támadás volt, aminek eredményeként yool betoltak egy, a cégnél alkalmazott kártékony szoftverek elleni megoldás által fel nem ismert távoli hozzáférést biztosító szoftvert. Az ilyen mocsadék kódok jellemzően kifelé kapcsolódnak, és azon a kapcsolaton keresztül kapják az utasításokat. Nomostan kérdés az, hogy miért kapcsolódhat a nagyvilág felé akárhova is egy random bináris az user gépéről?

Annyira olcsó taktika, hogy elkezdünk egy állapotról hosszasan beszélni, annak az állapotban az aspektusait vizsgálni, akkor elkezdesz azután mutogatni egy teljesen más helyzetre ( hint: [update] megjelent a címben közben) ...

Kérlek ne operálj ezzel. Az állításom ez volt:

Azokból az infókból indulok ki, amit az újságíró leírt*. Ha kiderült, hogy egy embert szedtek rá, akkor nem írom a cikk címébe, hogy a rendszert törték meg.

Ha közben új infók látnak napvilágot és azok változtatnak az eredeti helyzeten, akkor majd újratárgyaljuk.

Az általad idézett szövegből sem lehet egyértelműen megállapítani, hogy "[update] "Feltörhették a KRÉTA-t".

Hacsak a fejlesztő cég hálózata nem egyenlő a KRÉTA-val. Ezt kétlem. Erre mutató infód van?

(* az eredeti cikkben)

trey @ gépház

Mert miért is nem? Aki hozzáfért a rendszerhez miért is ne tehetné közzé névtelenül?

De abból, hogy egy személy adatait ellopva idáig jutottak elég könnyen levezethető. 

Semmi sem vezethető le ennyi infóból. A dolog jelenlegi állása szerint az sem kizárható, hogy belső vagy szándékos belső segítséggel  megvalósított meló volt.

trey @ gépház

Trey, a forráskódban certek, jelszavak vannak. A forráskód pedig most már a githubon is kint figyel. Szerintem felesleges azon vitázni, hogy az üzemeltetés vagy maga a szoftver volt megtörve, mert itt gyakorlatilag minden el volt rontva, amit el lehetett. 

Ha leég a családi házam, amelyben 200 liter gázolajat és ötven kiló dinamitot tároltam szabálytalanul egy házilag készült elektromos hősugárzó mellett, akkor kár azon vitatkozni, hogy belülről vagy kívülről gyújtották-e fel. 

Mi alapján zárod ki a szabotázs lehetőségét? Ne haragudj, de rettentő szakmaiatlan, ha feltételezésekkel élsz. Amikor külsős szakértőként felkérnek egy ilyen incidens után az elemzése, hogy zárhatsz ki alapból egy lehetőséget, ami ráadásul az informatikai rendszerek elleni támadások nagy részét teszi ki? Mi alapján?

Egy szakértő azután zár ki egy lehetőséget, miután minden kétséget kizáróan meggyőződött arról, hogy nem az történt. Találgattok itt ...

Ha leég a családi házam, amelyben 200 liter gázolajat és ötven kiló dinamitot tároltam szabálytalanul egy házilag készült elektromos hősugárzó mellett, akkor kár azon vitatkozni, hogy belülről vagy kívülről gyújtották-e fel. 

 Igen. Ezt hívják találgatásnak. A szakértőt meg az különbözteti meg a találgatóktól, hogy bizonyítékot keres és mutat fel 🤷‍♂️

trey @ gépház

Próbálj meg kicsit tájékozódni ebben az ügyben, mert látszólag fogalmad nincs a dolgokról. Mármint az IT rendszerek elleni támadások hány százalékát teszik ki belső melók. Ha megvan, kérlek biggyessz ide egy értéket és utána mondd, hogy a gyíkemberek.

trey @ gépház

Én a gyíkembereket se vitattam.

Csak mindkettőt hülye elméletnek tartom, minimális eséllyel, nulla bizonyítékkal.

Arra, hogy ostoba emberek készítették a rendszert, van bizonyíték, pl. a forráskód.

Arra, hogy ostoba emberek ülnek a vezetőségben, van bizonyíték, pl. a támadás eltitkolása.

A belső emberes elméleteddel akkor érdemes foglalkozni, ha kicsit több jel utal majd rá, mint a gyíkemberekre.

“Any book worth banning is a book worth reading.”

Nekem ezen semmit sem kell rágódnom, neked kell elgondolkoznod, mert egy újabb nézőponttal tágítottam a látóköröd.

Mondataid alapján te az a fajta gondolkodású ember vagy, aki egy tűzfalban nem mindent tilt és csak azt engedélyezi, amit szükséges, hanem minden szabad és nekiáll tiltogatni egyenként mindent :D

trey @ gépház

az egy átjáróház volt - sok elment és sokat vettek fel - volt aki 3 hónapot se várta meg és lépett..

így elég sok ember kapott betekintést, hogy a fejlesztés és az üzemeltetés _IS_ ottvan..

Aki kiszivárogtatta az infót/vagy maga végezte el -- annak érdeke erősíteni az adathalászattal kapcsolatos mesét.

De ez mind nem mentség, hogy f@szok voltak minden szinten és azok is maradtak..

Én jobban vártam, hogy mikor nyomják fel a "Szemetes rendszert" (kukaholding).

For Whites Only meeting room!

Jaj, ne zavard össze dolgokkal, mert ő még nem hallott a

  • sértett kolléga
  • meg nem fizetett kolléga
  • "igazságtalanul" kirúgott kolléga
  • tanár a feleségem, most jól odabaszok nekik kolléga
  • O1G kollága
  • NoÁr-mozgalom szimpatizáns kolléga

napestig sorolhatnám a lehetséges indítékokat ...

trey @ gépház

Igen. Ezt hívják találgatásnak. A szakértőt meg az különbözteti meg a találgatóktól, hogy bizonyítékot keres és mutat fel

Nem szoktál te ennyire válogatós lenni, amikor kijelentéseket teszel különféle dolgokban és találgatsz. A szakértőtől igen messze vagy. :D

Ez a komment nem hordoz semmi érdemi információt, csak egy személyeskedő állítást (szakértőtől igen messze vagy) tesz olyasmiről, amit én nem állítottam. Nem állítottam, hogy szakértő vagyok, de hogy abba az amatőr hibába nem esek, hogy kizárok egy eshetőséget bizonyítékok nélkül, az is biztos.

Tehát a kommented csak azt a célt szolgálja, hogy megint belekotyogj, mintha te szakértő lennél.

Te teljes mértékben ki tudod zárni a jelenlegi infók alapján, hogy nem belső munka volt vagy belülről valaki segített? Ha igen, mire alapozod ezt?

trey @ gépház

Hol található a szakmai post mortem jelentés, ami alapján te kinyilatkoztatásokat teszel?

Forrásban például benne van az éles EESZT cert, ami jelszóval van védve, de a plain text jelszó szerencsére ott van beleégetve a mellette lévő forrásban.

De fordítsuk meg, hol található a szakmai post mortem jelentés, ami alapján te kinyilatkoztatásokat teszel? Mert te kinyilatkoztatásokat teszel.

Vegigolvasva a szalat kezd ugy tunni nekem mindha valami erdekeltseged lenne a dologban, mindha vedened a munder becsuletet...

Az egesz tortenet napok ota eszmeletlen szorakoztato, popcorn fogyasztast jelentosen novelo szappanopera, egyre ujabb es ujabb fejlemenyekkel... 

Egy kollega meg is jegyezte, hogy igen pontosan igy kepzelte el a magyar allami IT szektort - es ezzel szerintem nem volt egyedul. Csilliardok kifizetve szervilis, gerinctelen, tehetsegtelen de annal nagyobb arcu, tulkompenzalo tarsasagnak, akik hazudnbak es sunyitanak, torvenyt sertenek es lapitanak ha szar kerul a palacsintaba. Latszott is tobbszor az eredmeny - nem igazan tudnank olyan kormanyzati oldalt mutatni ami ne terdelt volna meg legalabb egyszer, gyakran menetrendszeruen (termeszetesen az obligat DDoS miatt).

Aztan jott ez a sztori amit iskolaban kellene tanitani, ahol a kisebbik baj, hogy gyakorlatilag kisepertek a hazat - es amit nem vittek azt csak azert nem mert semmi ertelme nincs mar az egesz cuccnak, de abbol ami kikerult lathato, hogy gimnaziumi info orakon tobbet kellene elvarni mint ami azt a xarkupacot mukodteti... :) A kozrohely kifejezes ide mar keves...

Es akkor Trey napok ota vedi es vedi a vedhetetlent, tuzon vizen, minden ujabb es ujabb fordulat utan talal ujabb es ujabb mentsegeket, csusztatasokat amivel leirhatja: "nem a rendszer szar es minden rendben, a Sanyi volt a hibas mert rossz linkre kattintoitt, a projekt vezeto a felelos mindenert (aki - FIGYELEM! -nem junior IT !!!)...kulonben is minden oldalrol meg kell vizsgalni a dolgot stb, stb..." Hat vizsgald meg kerlek - most mar forras kodod is van hozza :)

Igazan ertekelendo a loyalitas amivel a munder becsuletet veded, de ezt mar el kellene engedned... kicsit kezdesz olyan lenni mint Rudy Gulianni aki a 4 Seasons Landscaping elott elfolyo hajfestekkel bizonygatta hogy Trump igazabol nyert es mindenki mas fake news...  

Engedd el trey - a kiraly meztelen...

Semmi közöm a témához. Az ügy egyetlen szereplőjét sem ismerem, egyikkel sem álltam soha, semmilyen kapcsolatban. Lyukra futottál.

Azt viszont látom, hogy itt kódoló zsenik, architekt zsenik, IT sec. zsenik vannak, hiszen teli pofával üvöltik, hogy mi szar. Egyszer azért ezeknek az embereknek a munkájáról olvasnék szívesen egy auditor által kiadott szakvéleményt :D

trey @ gépház

Érdekes Marika nénik vannak itt, akárcsak a HUP-on is. Nem tudnak elintézni egy hivatali ügyet, elbuknak egy népszámláláson, az élethez autisták, de azt bezzeg tudják, hogy mit hogyan kéne. Természetesen a másik munkájában. Mondom, én rendkívül kíváncsi lennék arra, hogy ezek a Marika nénik milyen munkát tesznek le az asztalra. Hogy őket utolérte-e már a végzet, vagy majd csak fogja.

Emlékezzenek majd arra, hogy milyen kajánul vigyorogtak máson :D Névtelenül mocskolódni az interneten az egyébként rendkívül egyenes és korrekt hozzáállás. Nemde?

trey @ gépház

Érdekes Marika nénik vannak itt, akárcsak a HUP-on is. Nem tudnak elintézni egy hivatali ügyet, elbuknak egy népszámláláson, az élethez autisták, de azt bezzeg tudják, hogy mit hogyan kéne. Természetesen a másik munkájában. Mondom, én rendkívül kíváncsi lennék arra, hogy ezek a Marika nénik milyen munkát tesznek le az asztalra. Hogy őket utolérte-e már a végzet, vagy majd csak fogja.

Sokszor nem értek veled egyet, de ez most rohadt nagy +1

Persze TE minden nap ezt csinálod, mikor pl az Apple-el kapcsolatban van valamilyen negatív hír (bár azok meg se közelítik ezt a szintet, hogy kiwipe-olták az egész rendszert és a bennfentesek nem tudnak mást lépni rá, mint pislogni mint pocok a pisiben :D) De öröm nézni, hogy próbálod visszalapátolni a lóba a szart, mintha ezért fizetnének neked :D

Azert ez egy szakmai portal - az ideologiai kolunbsegeken felulemelkedve ugy gondolom objektiv szakmai kerdesekben elegge jaratos tarsasag gyult itt ossze, vannak csodabogarak es amolyan "celebek" is de igazabol szeretnem hinni hogy alapjaiban - legalabbis szakmai oldalrol - a tarsasag nagyobb resze tudja mirol beszel es eleg sokan vagyunk mar eleg idosek erre fele hogy lassunk egyet-mast az IT vilagbol... Meg a csodabogarak is eleg jok valamiben (hardware, proramozas, security, architekturak...). 

Ez a dolog ordas nagy blama - a szakmailag vedhetetlen hibakkal, etikatlan csusztatasokkal, nevetseges kifogasokkal. A hivatali ugyek elintezese lehet megakaszta egyeseket de mondjuk lehet igen jo hardware mernokok, lehet egyesek szelsosegesen gondolkodnak de igen jo kodot kepesek irni...

Ami viszont vicces - rajtad kivul senki sem tolong itt mar vedeni a vedhetelent - lehet latjak vagy lattak elejetol mekkora cluster-fuck ez az egesz es ideologia ide, ideologia oda - kinosnak erzik beleallni es magyarazni a bizonyitvanyt... 

Te miert teszed? - komolyan kerdezem... Szakmailag nyilvan senior vagy, lattal te is sokmindent - tudsz a karrieredbol mondani hasonlo buktat, aminek ekkora hatasa lett volna? (illetve kellett volna legyen, hisz ez nyilvan el lesz kenve nemzethy sajatossag okan)

Ha tudsz ilyenrol akkor kerlek oszd meg velunk - ha masert nem szakmai okulas celjabol.

Egyebkent a nevtelenul mocskolodasrol - ami irtam nem nevtelen, sosem csinaltam titkot a szemelyembol, akit erdekel kb 10 perc alatt kideritheti ki vagyok es amit irtam nem mocskolodas hanem ismert tenyek alapjan megfogalmazott velemeny.

Architektkent es integratorkent dolgozom meglehetosen nagy projekteken, egyik jelenlegi munkamat 2 havonta ceg altal szerzodtetett kulsos pentesterek auditaljak, es ezen kivul mivel olyan cegeknek mint a Google, a Bank Of America, a Linkedin nyujtunk szolgaltatast es kezeljuk a HR adatbazisat, nev, cim stb infoval ugy ezek a cegek veletlenszeruen is vegeznek random auditokat es be nem jelentett security review-ket a rendszereinken.

Azt nem mondtam hogy nem hibazhat az ember de a hibak kovetkezmenyeibol szarmazo karaokat lehet csokkenteni - igaz ennek alapfeltetele az atlathatosag es a kovetkezetesseg. Nyilvan hogy a magyar allami szferaban ezek meg nem engedett kifejezesek, mindjart a 'hozzaertes', a 'gerincesseg' es az 'integritas' mellett szerepelnek a listan. 

pontos, de miért vagy ezen meglepve? csak a szokásos classic trey, aki körömszakadtáig véd egy védhetetlen álláspontot, mert hiába jön mindenki szembe az autópályán, azok mind hülyék, vagy az ellenség fizetett bérencei. lásd pl. "a bank definíciója, hogy én banknak hívom".

az a tipikus CEO szemszög: leszarom (történtekre utalva: hallani sem akarok róla), minden IS a rendszer része, válogatás nélkül, mindenki hülye, mindenki felelős mert betörtek.

Nem, a tipikus CEO szemszög a következő: jogilag mindenért a CEO a felelős egy szervezetnél. Ezen a CEO nem tud változtatni, ezt nála nagyobb erők döntik el. Ha a CEO szeretné megvédeni a seggét, akkor mindenről IS belső szabályozásnak kell születnie, és azt be is kell tartatni. A szabályozásért (a létezéséért és a tartalmáért) is a CEO a felelős, tehát ha jót akar, akkor megbíz egy külső, független szakértőt, hogy alkossa meg a szabályozást. A betartatásáért is a CEO a felelős, tehát ha jót akar, akkor megbíz egy külső, független szakértőt, hogy rendszeresen auditálja, hogy a szabályozás végrehajtása és betartatása hogyan működik, és adjon riportot a hiányosságokról (amiket utána a CEO parancsára a beosztottak kötelesek kijavítani).

Egy értelmes méretű, leginkább tőzsdei cégnél ezeket a köröket nem tudják/merik/akarják kihagyni a főnökök. A dolgozók meg ahol tudják/hagyják nekik, próbálják a szabályozásokat leszarni.

Szóval az eredeti problémára visszatérve: ha a rendszer rossz, akkor azért a CEO a felelős. Vagy azért, mert nem születtek meg a megfelelő szabályozások, vagy azért, mert fasságokat írtak bele, vagy azért, mert nem tartatták be. Mind a háromért a CEO a végső felelős. Az lehet, hogy egyes dolgozókat is seggbe lehet kúrni, mert hibáztak, de ez nem változtat a CEO felelősségén (nem tartott rendet).

Akár lehet tovább is menni. Mivel ebben a rendszerben benne van az összes diák/szülő/tanár adata, egy idő után ebben, vagy ennek az utódjában benne lesz mindenki, ezért el is kellene várni, hogy megfeleljen néhány meghatározott auditnak állami szinten. Az önkörmányzatoknál is elvárnak ilyesmit, szóval teljesen érthetetlen, hogy erre nem is vonatkoznak hasonlók.

Van ilyen elvárás. GDPR.

Nem tárolhatják a diákok/szülők/tanárok adatait a feladathoz szükséges időn túl (jó, hozzájárulással tárolhatnák, de ezeknek senki nem fog önkéntes hozzájárulást adni, illetve azt is bármikor vissza lehet vonni). A végzést követően a naplóselejtezési idő után (talán 5 év) pl. annyi adat tárolható a diákról, amennyi a papír alapú anyakönyvben is benne van (kb. az, amit a bizonyítványba beírnak).

Nem ennyire fekete - fehér a világ.

CEO alapszabály szerint nem felelős azért a kárért, ami ellenőrzési területén kívül esett, előre nem látható körülmény okozta és nem volt elvárható, hogy a körülményt elkerülje - továbbá, ezen felül a munkaszerződése csökkentheti a felelősségét.

Konkrét esetben az SQL injection prevention tökéletesen a CEO ellenőrzési területén kívül esik, tehát nem felelős érte.

Ha az IT biztonságot ledelegálja egy másik vezető beosztású személynek, kérdés, hogy megállapítható-e a felelőssége.

CEO alapszabály szerint nem felelős azért a kárért, ami ellenőrzési területén kívül esett, előre nem látható körülmény okozta és nem volt elvárható, hogy a körülményt elkerülje - továbbá, ezen felül a munkaszerződése csökkentheti a felelősségét.

Nincs olyan, hogy "ellenőrzési területén kívül". Minden, ami a cégnél történik, az az ő ellenőrzési területéhez tartozik. Outsource-olni meg delegálni is lehet, de ekkor is van felelőssége: szerződéses partner kiválasztása/delegált ember felvétele, szerződéses feltételek/delegálásnál instrukciók megválasztása, megfelelő ellenőrzés/szakértők/kontrolling üzemeltetése, szabályzatok, számonkérések, auditálás. Igen, abban igazad van, hogy a felelősség nem abszolút, természetesen be tudja valaki bizonyítani, hogy ő minden tőle elvárhatót megtett, csak ez a való életben nem szokott igaz lenni. Ahol szar van a palacsintában, ott szinte mindig minden vezetői rétegben kimutatható, hogy ki mit hibázott. Ahol ezek a dolgok működnek valamennyire, ott általában nem szokott szar lenni a palacsintában.

És persze nyilván teljesen más a felelősség szintje egy közvetlen beosztott esetében, mint egy ötszintű vállalati struktúrában a legalsó szinten bekövetkező emberi hiba esetén, de olyan nincs, hogy zéró a felelőssége a legfelső vezetőnek, és nyilván ennek megfelelően lehet, hogy csak egy igazgatótanácsi figyelmeztetés lesz belőle, de az is előfordulhat, hogy büntetőjogi következményekkel kell számolnia a CEO-nak (lásd Straub Elek esete az amerikai tőzsdei joggal).

Konkrét esetben az SQL injection prevention tökéletesen a CEO ellenőrzési területén kívül esik, tehát nem felelős érte.

Ha az IT biztonságot ledelegálja egy másik vezető beosztású személynek, kérdés, hogy megállapítható-e a felelőssége.

Bocsánat: a cégnél vagy nem voltak meg a megfelelő szabályzatok, vagy azokat nem kérte számon senki. Ez mind a kettő CEO-szintű felelősséget jelent, mind a két dolognak CEO szinten látszódnia kell. A szabályzatok kidolgozása delegálható, de akkor az audit felügyeletét vagy másnak kell delegálni (külön compliance officer), vagy azt a CEO szintjén kell megtartani. Az nem megy, hogy ugyanaz a felelős a szabályzatért is meg a szabályzat betartásának auditálásáért is (ez segregation of duties alapelvet sértene, tehát ezért meg a CEO lenne a felelős, hiszen rosszul delegálta a feladatokat).

Mindössze definíció kérdése, hogy mit tekintünk rendszernek. Van, aki szerint a rendszer az, amit a fejlesztő leszállít, az összes programmal és (jó esetben) a konfigurációs lehetőségekkel, mások szerint viszont a rendszernek tekintendő az üzemeltetési környezet is. Azt meg tudom érteni, hogy aki fejlesztéssel  foglalkozik, az az előbbit tekinti rendszernek, viszont aki üzemeltet, vagy netán üzemelő rendszerek biztonságával foglalkozik, az az utóbbit.

Azt meg tudom érteni, hogy aki fejlesztéssel  foglalkozik, az az előbbit tekinti rendszernek, viszont aki üzemeltet, vagy netán üzemelő rendszerek biztonságával foglalkozik, az az utóbbit.

Aki meg architect, mindezeket alrendszernek tekinti, amelyek részei a rendszernek.

Jelen esetben a fejlesztő és az üzemeltető egy és ugyanaz a cég, sőt, a kiszivárgó adatok alapján még a személyzetben is erős az átfedés - különben egy PM-nek hogyan lehetne hozzáférése az éles adatokhoz is, meg a forráskódhoz is?

Így viszont elég egyszerű a rendszer definíciója: az egész kupleráj, fejlesztéstől üzemeltetésig bezárólag.

Akkor is az lesz személy szerint a felelős, aki elveszítette a kulcsot, illetve az, aki a szabályozást készítette, hogy ez megeshetett.

De semmi esetre sem az acél, a tégla, a habarcs, amiből összeáll a börtön.

Nem azt mondtam, hogy a rendszer szállítója nem felelős Dehogynem. A saját embereiért - a fenti példában a CISO és a rászedett dolgozó - végső soron a cég felelős.

Jó lenne, ha nem kevernétek a technikai problémát a felelősségi körrel.

trey @ gépház

Tehát, ha téged átvernek, majd rávesznek bűnözők, hogy lépj be az bankodba, majd ezután hozzáfértek a pénzedhez, akkor feltörték a bankodat. 🤔

Érdekes elképzelés. Az, hogy mit firkál a Kaspersky a wikijébe, teljes mértékben lényegtelen.

trey @ gépház

Gondolom egyertelmu, hogy amit leirsz, abban az esetben nem tortek fel a bankot(mert nem fertek hozza mindenki szamlajahoz)

De ha a te adataiddal hozzafernek mindenki bankszamlajahoz, mert te vagy az Atjarohaz Bank Rt tulajdonosa, akkor viszont az Atjarohaz Bank Rt -t tortek meg. Az mar csak formalitas, hogy sw, hw, human bug/feature-on keresztul jutottak hozza.

Amíg egy rendszerhez a hozzá biztosított kredenciálisokkal férnek hozzá, nem beszélhetünk a rendszer megtöréséről. Az embert vették palira. Az, hogy az embernek miért volt olyan jogköre, hogy hozzáfért mindenhez, az megintcsak nem a rendszer hibája. Azé, aki nem követelte meg, hogy az illető ne admin joggal használja az éles rendszert.

trey @ gépház

Nem tudom, hogy te milyen kuplerájban dolgozol, de minden normális cégnél, ahol van személyes adatok kezelése, létezik adatvédelmi felelős, ami jó esetben nem úgy kerül ki a dolgozók közül, hogy "neked nincs elég dolgod, te vagy", hanem van valamilyen képzettsége, rálátása az adatbiztonságra. Jobb helyeken ez a CISO (vagy azzal egyenértékű ember), komplexebb IT Sec. ismeretekkel. Vagy a CISO alá beosztott ember.

És igen, ez egy senior-level vezetői állás. Magyarul, ha alatta dolgozol, a főnököd IT sec. / adatbiztonság kérdéskörben. És igen, az általa kidolgozott adatkezelési, adatbiztonsági és rendszerhozzáférési szabályokat be kell tartanod.

Ha valamiért nincsenek ilyen szabályok, vagy azok hibásak, azért a CISO mint felelős vezető a felelős, a betartásukért meg személy szerint te (a dolgozó).

Tehát, egy ilyen incidenskor, ha a rendszer meg volt patchelve és nem egy 0day hibán keresztül mentek be, akkor nem betörtek, hanem a fent említett két ember valamelyike, vagy mindegyike hibáját kihasználva beléptek a rendszerbe a valid hitelesítő adatokkal.

HTH

trey @ gépház

Tehát, egy ilyen incidenskor, ha a rendszer meg volt patchelve és nem egy 0day hibán keresztül mentek be, akkor nem betörtek, hanem a fent említett két ember valamelyike, vagy mindegyike hibáját kihasználva beléptek a rendszerbe a valid hitelesítő adatokkal.

És honnan szedték a hitelesítő adatokat (ott volt az asztalon a prod_jelszavak.txt)? Mert ha jól tippelek projekt managerünk sikeresen telepített a linkről egy RAT-ot a gépére és azért attól kezdve általában nem 5 perc szokott lenni a "Viszlát, és kösz a halakat!". :)

Ennyi infóból hadd ne mondjam meg, de ha én lennék a CISO (sehol sem vagyok az), akkor egy ilyen kritikus rendszert piszkáló "gépről" te biztos nem interneteznél, nem azzal járkálnál be a rendszerre, amivel a Pornhub-ot lesed ...

Tehát, látszik, hogy ez egy szabályozási és szabálybetartási kérdés elsősorban.

trey @ gépház

Én megfordítva kérdezem, milyen rendszer amelynek egyik gépéről tudom nézni a porhubot, és elérek minden más fontos rendszert is róla ?

Eleve a rendszer tervezésekor, ilyen lehetőség megvalósítására még csak gondolni se kéne. 

Régen is voltak olyan rendszerek amiket csak a rendszergazdai terminálról tudtál megvalósítani és kész. Pedig akkor még hol volt a mai integraltság, de akkor is tudták, hogy jobb az ha nem fér mindenki csak úgy mindenhez.

Így továbbra is tartom, hogy szar az a rendszer aminek egyik komponensén nézhetem a pornhubot levelezhetek, meg elérek minden mást is, mert eleve lehetőséget biztosít a fenti eseményekhez.

Fedora 38, Thinkpad x280

Nem a rendszer szar, hanem az elérésének szabályozása és be nem tartása. Ha root-ként vagy adminként internetezel a gépeden és amiatt megtörnek, akkor sem a rendszer a hibás, hanem te.

:D :D :D

ROTLF

:D :D :D

--

De, ilyenkor az informatikai rendszer szar, mert annak szerves része a jogosultságok megfelelő kezelése.

De, ilyenkor az informatikai rendszer szar, mert annak szerves része a jogosultságok megfelelő kezelése.

Nem, semmi köze a rendszerhez, ez valóban tervezési feladat, amit nem az user, hanem a felelős vezető csinál. Az user meg betart.

Ha nem végezték el, akkor a tervező szarul dolgozott, a munkavállaló pedig vétett/hanyag volt.

Az (operációs) rendszer, köszöni szépen, megfelelően működött.

trey @ gépház

Nem, semmi köze a rendszerhez, ez valóban tervezési feladat, amit nem az user, hanem a felelős vezető csinál. Az user meg betart.

:D :D :D

ROTFL

:D :D :D

Az (operációs) rendszer, köszöni szépen, megfelelően működött.

Á, kihátrálsz a faszságból, most már csak (operációs) rendszer? Tudod, az informatikai rendszer nem ott kezdődik, hogy van egy (operációs) rendszer, ami megfelelően működik... hogy te csak addig látod át, az teljesen más kérdés.

Ha root-ként vagy adminként internetezel a gépeden és amiatt megtörnek, akkor sem a rendszer a hibás, hanem te.

Te idézted be. Erre reagáltam.

hogy te csak addig látod át, az teljesen más kérdés.

Ameddig a felelősségi kör tart. További is lehet, lehet adni tanácsokat, de a felelősség az átadási pontokig tart.

trey @ gépház

Ameddig a felelősségi kör tart.

Én teljes mértékben értem, hogy szerinted az informatikai rendszer addig tart, amíg te átlátod.

További is lehet, lehet adni tanácsokat, de a felelősség az átadási pontokig tart.

Így van, az egy felelősségi kör, hogy ki, mikor és milyen adatokhoz férhet hozzá és ehhez milyen credential szükséges. Ez is egy informatikai rendszer része.

Én teljes mértékben értem, hogy szerinted az informatikai rendszer addig tart, amíg te átlátod.

Olcsó duma. 

Így van, az egy felelősségi kör, hogy ki, mikor és milyen adatokhoz férhet hozzá és ehhez milyen credential szükséges. Ez is egy informatikai rendszer része.

Tipikusan olyan szűk látókörű emberek szoktak így beszélni, akik csak egyszereplős projektekben vesznek részt. Egy cég szállít mindent. Majd ha olyan projektben veszel részt, ahol külön cég/divízió felel a tervezésért, külön az üzemeltetésért, külön a szoftverek szállításáért és támogatásáért, mindjárt nem mosnád össze a felelősségi köröket és ha a biztonságért felelős divízió/cég hibázott a tervezésénél, akkor nem mutogatnál mondjuk az üzemeltetésre és nem állítanál olyat, hogy a rendszert feltörték, amikor az történt, hogy egy embert social engineering módszerrel rávettek, hogy adjon hozzáférést az adatokhoz. Itt hiányzott az oktatás, hiányzott a szabályozás. Tök más hatáskör.

trey @ gépház

Tipikusan olyan szűk látókörű emberek szoktak így beszélni, akik csak egyszereplős projektekben vesznek részt.

Ez pont te vagy, aki csak egy kis részét látja egy informatikai rendszernek és azt hiszi, hogy az az egész.

ha a biztonságért felelős divízió/cég hibázott a tervezésénél, akkor nem mutogatnál mondjuk az üzemeltetésre

Figyelj, lassan írom, hogy megértsd: rajtad kívül senki nem mutogat az üzemeltetésre. Ez a te szalmabábod.

Nem a rendszer szar, hanem az elérésének szabályozása és be nem tartása.

Az a rendszer ami lehetőséget ad a szabályok be nem tartására/kijátszára  eleve szar.

Statisztikák szerint a legtöbb hiba emberi hibára/mulasztásra  vezethető vissza, tehát ha csökkenteni akarom a hibák számát egy rendszerben, akkor csökkentenem kell az emberi lehetőségeket.

Tegyük fel, hogy a cikkben írt állítás igaz, azaz egy adathalász linkel megszerezték az adatait amivel bejutottak mindenhová is.

Most azt tegyük félre, hogy van egy GOD móddal rendelkező emberke.

DE a rendszer lehetővé tette, hogy ott nézze a pornhubot, ahol az adatai is vannak. Szerintem egy ilyen szintű rendeszernél, ilyet nem lehet, ha porn hubot akar nézni fogja a másik gépet, ami akár külön dedikált neten lóg és nézi a porhubját vendégfiókkal oszt jónapot. Amennyiben meg dolgozni akar védett adatokkal átül a másik gépéhez amivel meg nem fér semmi máshoz.

Fedora 38, Thinkpad x280

Tehát, ha admin-ként használom a HUP-ot, rákattintok egy malicsusz linkre, amivel megszerzik a session cookie-t, azzal kidumpolják az adatbázist, akkor a Drupal szar, a Drupal fejlesztők rosszul végezték a munkájukat és nekik ezt a hibát javítaniuk kell. Meg a Rackforest, mert ők üzemeltetik a szervert és a szoftver stack-et. VAGYIS A RENDSZERT. Úgy, hogy egyébként a Drupal-ban, a Debian-ban, a PHP-ban, ... stb. nem volt kihasználható hiba.

Ezt mondod.

Tehát, nem én voltam nem körültekintő, nem én hibáztam. Ők a hibásak.

trey @ gépház

Tehát, ha admin-ként használom a HUP-ot, rákattintok egy malicsusz linkre, amivel megszerzik a session cookie-t, azzal kidumpolják az adatbázist, akkor a Drupal szar, a Drupal fejlesztők rosszul végezték a munkájukat és nekik ezt a hibát javítaniuk kell. Meg a Rackforest, mert ők üzemeltetik a szervert és a szoftver stack-et.

Nem, ebben az esetben, a "hup.hu", mint informatikai rendszer szar, mert nem került kialakításra megfelelő jogosultságkezelés, kikapcsolásra került minden session hijack elleni védelem, nem került bekapcsolásra 2FA, illetve részben a Drupal szar, mert lehetőséget ad arra, hogy tartósan admin jogokkal használd és nem csak arra az időre kéri az eszkalált jogú futtatást 2FA megerősítéssel, amikor arra feltétlen szükség van. Igen, ez mind az informatikai rendszer része.

Tehát, nem a rendszert törték fel egy ismert vagy ismeretlen hibával. Köszi szépen!

Se nem hardvert támadtak, se nem operációs rendszert, se nem szoftverstacket. Hanem egy tervezési hiba történt (vállalatnál a biztonságért felelős vezető hibázott) és felhasználói hiba történt.

Köszi szépen a megerősítést, ezt ugattam végig.

trey @ gépház

Tehát, nem a rendszert törték fel egy ismert vagy ismeretlen hibával. Köszi szépen!

De, az informatikai rendszert törték meg egy ismert vagy ismeretlen hibával. Az informatikai rendszer a példádban nem a Drupal és a hardver, hanem a hup.hu egésze, annak egyedi beállításaival, üzemeltetési szokásaival és azokkal a desktop gépekkel és azok védelmével együtt, amelyekről adminisztrálod.

Se nem hardvert támadtak, se nem operációs rendszert, se nem szoftverstacket.

Az értetlenkedésed egyszerűen abból ered, hogy nálad az informatikai rendszer a Drupal és a hardver.

Hanem egy tervezési hiba történt (vállalatnál a biztonságért felelős vezető hibázott) és felhasználói hiba történt.

Igen, pont ezért támadható az informatikai rendszer, mert terveztek vagy implementáltak rá egy biztonsági rést.

Köszi szépen a megerősítést, ezt ugattam végig.

Tudom, sőt tudjuk, hogy mit ugattál végig, de továbbra se érted, hogy mi a tévedésed. Szerintem nem is fogod megérteni.

De, az informatikai rendszert törték meg egy ismert vagy ismeretlen hibával.

LOL

Én - szerencsére - tudom mi a különbség a social engineering és mondjuk egy SQL injection közt. Bocs, hogy kicsit kifinomultabb vagyok a "megtörték a rendszert" balfaszkodásnál.

trey @ gépház

Nekem nincs, amikor te az egész rendszer megtöréséről beszélsz

Jó reggelt! Ezt hívjuk informatikai rendszernek, amit te "egész rendszer" alatt értesz.

Te nézel mindent A RENDSZERNEK, miközben lehet, hogy tök más felel egyes részeiért :D

Igen, tök más felel egy informatikai rendszer egyes részeiért, ez így szokott lenni.

Az informatikai rendszert modulárisan nézem, úgy ahogy felépül. Nem egy darab valaminek.

Ez akkora bullshit, hogy bekeretezem. :D

Nem egy darab valaminek.

Szóval lehet, hogy meglepő dolog számodra, de az informatikai rendszer az egy darab valami, ezért nincs többes számban. És igen, vannak részei, moduljai és alrendszerei.

Javaslom ezt a szemléletet elsajátítani mindenkinek, aki egy egy fős vállalkozáson kívül valami nagyobban vesz részt ;)

Szinte csak ilyenben vettem részt és most is ilyen projektekben veszek részt, mint enterprise és/vagy solution architect szakértő.

Amennyiben az ember része a rendszernek, akkor megtörték a rendszert, mivel része a rendszernek.

Ez kb olyan, mintha baranya megyét megtámadná valaki, akkor is azt mondanád, hogy nem magyarországot támadták, hanem csak Baranyát, Budapest vagy más megyéknel ezzel semmi dolga, oldja meg baranya megye ?

Fedora 38, Thinkpad x280

Majd vess egy pillantást azokra a projektekre, amikben részt veszek, aztán gyere vissza utána, hogy elbeszélgessünk, hogy ki min dolgozik :D

Aztán majd megérted, hogy miért ragaszkodom ahhoz, hogy a felelősségi körök tisztázva legyenek, az átadási pontok pontosan, vitathatatlanul le legyenek szúrva stb. :D

trey @ gépház

Kezdjük ott, hogy almát a körtével hasonlítasz össze.

A hup.hu egy weboldal, ingyenes portál motorral amiért senki nem vállal semmilyen felelősséget. Így leszarja, hogyha ellopják a session cookie-dat, az a te bajod lesz nem az övék.

Az eKreta rendszer pedig egy elvileg tervezett rendszer,  egy egesz orszag tanuloinak szuleinek stb minositett adatait kell tarolni kezelni. Itt fel se kéne merülnie a fenti lehetőségnek.

Fedora 38, Thinkpad x280

Csak hogy értsd:

Ha biztonsági incidens történt egy ekkora projeknél és

  • műszaki (üzemeltetési) hiba (nem patchelték az OS-t, lyukas volt a tűzfal, ezer éves volt a PHP) történt -> műszaki igazgató
  • biztonsági tervezési, szervezési -> biztonsági igazgató

Tök más hatáskör. Annak leszabályozása, hogy a projektvezető hozzáférhet-e és mihez, semmi köze a műszaki igazgatónak és osztályának. Ő azt valósítja (implementálja) meg, amit a biztonsági vezető meghatározott.

trey @ gépház

Csak hogy értsd,

Ilyen projekthez eleve nem használnék olyan rendszert ami a fenti esetet lehetővé teszi. Azaz ha létrehozható olyan scenárió amivel a fenti mód előidézhető, akkor az max hup.hu és hasonló weboldalakhoz jó lehet, de nem egy fenti méretű prjekthez.

Tehát a fenti projekthez az a rendszer ami most ott van (gépestől, oprendszerestől, emberestől mindennal ahogy van cakkon pakk) szar. 

Az meg, hogy ilyen "amatőr" módon hozzáférhettek mindenhez is, alátámasztja, hogy szar.

A rendszer simán megelőzhette volna a fenti esetet azzal, hogy a rendszerhez tartozó dolgokon nem lehet mást csinálni csakis a rendszerhez hozzáférni. A manager nem ugyanazon a gépen dolgozik ekrétán, és rejszol pornhubra lazításképpen stb.

Mint ahogy a te hupos példádban is, ha komolyan kéne védened a hup.hu adatait, akkor neked se azon gépen kéne adminolnod a hup.hu -t amin netezel, hanem csakis külön erre célra kijelölt gépen, és azon semmi mást, nem kéne tudnod csinálni.

Fedora 38, Thinkpad x280

Ha én rákattintok egy malicsusz linkre és kikerülnek az adatok, a Rackforest-nek van felelőssége? Nem ők szállították a szoftvert, nem ők rakták össze a rendszert, nem ők tervezték meg. Ők csak a vasat, a LAMP stacket üzemeltetik, a mentést végzik stb.

Az ő szempontjukból megtörték a rendszert?

Igen vagy nem?

trey @ gépház

Ha én rákattintok egy malicsusz linkre és kikerülnek az adatok, a Rackforest-nek van felelőssége?

Nem, senki nem állítja rajtad kívül, hogy ez a Rackforest felelőssége. Azt se állítja senki rajtad kívül, hogy ez a Drupal felelőssége. Ezek a te szalmabábjaid.

Az ő szempontjukból megtörték a rendszert?

A "hup.hu" informatikai rendszer attól még meg van törve, hogy a támadás nem a hardver, a hosting vagy szűken vett szoftver stack felől jött, hanem az informatikai rendszer egyéb kellően nem védett részei felől. Az a gép, amin a malicsusz linkre rá tudsz kattintani és ettől kikerülnek az informatikai rendszerből védett adatok illetéktelenekhez, az - különösen GDPR szempontból - része az informatikai rendszernek.

A "hup.hu" informatikai rendszer attól még meg van törve

Igen, így látja egy laikus, azonban amikor majd a felelőst keresik, akkor jönnek a szakértők, akik meg fogják állapítani a felelősségi körök alapján, hogy

  • valóban a rendszert törték-e meg, mert az üzemeltető nem végezte el a munkáját, nem patchelt (felelős: "A" cég)
  • social engineering módszerrel jutottak be (felelős: a személy, aki nem tartotta be a biztonsági előírásokat)
  • a rendszer tervezője, aki nem biztosított megfelelő oktatást/szabályozást a rendszer használatához (felelős: a CISO)
  • a szoftverstack-ben találtak egy 0day hibát és azt használták ki (felelős nem megállapítható a fenti körből, vis maior stb.)

Tudod, aki ért hozzá, az érti mi a különbség egy sérülékenység exploitálása meg egy rosszul szabályozott folyamat kijátszása közt. Kurva fontos ezeknek a részleteknek az ismerete, főleg, ha olyan projekteken dolgozol, amik nem egyszereplősek. 

trey @ gépház

Mindegyik felsorolt esetben az informatikai rendszert törték meg. A probléma abból ered, hogy számodra az az informatikai rendszer fogalma azt takarja, amit az üzemeltető üzemeltet. De ezt már többen és többször is leírták.

Tudod, aki ért hozzá, az érti mi a különbség egy sérülékenység exploitálása meg egy rosszul szabályozott folyamat kijátszása közt. Kurva fontos ezeknek a részleteknek az ismerete, főleg, ha olyan projekteken dolgozol, amik nem egyszereplősek. 

Igen, kurva fontos ezeknek a részeknek az ismerete. Igen, általában többszereplős projekteken dolgozom, pár szinttel feljebb, mint ahol te ülsz egy ilyen projekten. Én látom az elefántot, te meg csak a lábát tapogatod...

LOL

Volt szerencsém rálátni olyan bírósági ügyre, amiben azt firtatták, hogy ki a felelős egy biztonsági incidens kapcsán. Elhiszed, hogy a szereplők azért mentek a bíróságra, mert a "megtörték a RENDSZERT" baromságot akarták kibontatni és a végén egy ítéletet látni, hogy vajon mégis mit törtek meg? :D

Gy.k.: erről szólt a tárgyalás. Enélkül tárgyalás sem lett volna :D

trey @ gépház

Ezt mondod.

Nem, ezt te mondod, ez a te szalmabábod.

Tehát, nem én voltam nem körültekintő, nem én hibáztam.

A te hozzáférésed és annak biztonsága része a "hup.hu" informatikai rendszernek, ahogy a Drupal is része. Továbbra is az a tévedésed, hogy szerinted a Drupal és a hardver az informatikai rendszer, minden más azon kívüli dolog.

Szerintem a rendszer hibaja, ha egyszeru jottment projectmanager/leader hozzafer ilyen adatokhoz.

Rosszul terveztek meg a rendszert, ha ilyen megtortenhet vagy ido elott eles forgalmat kapott a rendszer mielott befejeztek volna az alap funkciok fejleszteset. :)

De nem azert irom ezt, mert kivetelesen szar lenne a Kreta. Csomo helyen balfasz devek/architectek/stb dolgoznak. Miert lenne maskepp pont ott? :D

Jaja, szépen eljutottál oda, amit az elejétől kezdve írtam, hogy nem a rendszert törték fel, mert az megfelelően volt patchelve, nem volt félrekonfigurálva, hanem a rendszert biztonságilag felügyelő vezető, a Chief Information Security Officer (már ha van/volt ilyenjük), amelyik ezt lehetővé tette.

👏‍

trey @ gépház

nem a rendszert törték fel, mert az megfelelően volt patchelve, nem volt félrekonfigurálva

Az, hogy social engineering-en keresztül értek el adatokat, nem jelenti, hogy a rendszer egyébként megfelelő.

Vagy van bármiféle publikus audit róla?

A rendelkezésre álló infók alapján beszélgetünk. Az ellenkezőjéről van publikus adat? Az az infó, hogy

A fejlesztésre rálátó forrás a lapnak megerősítette, hogy egy projektvezető kattintott egy fertőzött linkre egy átverős emailben, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül.

Magyarul elloptak egy session cookie-t vagy valamit. Gondolom, folyamat bejelentkezve volt adminként ...

Ez tényleg a rendszer hibája?

trey @ gépház

Hajlok rá, hogy nem normális, ha az üzemeltető ilyen széles adatokhoz hozzáfér ennyire nyitott környezetben.

Mi a lóf@sznak kell emailezni azon a gépen, ahol az éles adatbázist éred el?

Már eleve azt problémásnak tartom, hogy ilyen mértékű adatkezelés mellett nem követelmény publikált security audit - Microsoft ezt egyébként megteszi az Azure esetén.

En -szokasom ellenere- ezt a cikket most vegigolvastam. Nem arrol szolt a dolog, hogy pistike rakattintott egy linkre, majd lefekudt a gepe, pistike sirva fakadt es hazament. Az a feltetelezes, hogy a gyerekek/az oktatasi rendszer teljes adatallomanya hozzaferhetove valhatott. Mindez csak feltetelezes persze -plane a telekszet ismerve- de nem nagyon latom a sajtokozlemenyt, amely legalabb cafolni probalna.

Error: nmcli terminated by signal Félbeszakítás (2)

Nagyon sokszor osztom az allaspontodat, de egy ilyen esemeny szakmailag vedhetetlen. Marpedig ez szakmai tema, nem politikai.
Nem az az igazi problema, hogy hozzaferhetnek -e a rendszerhez, vagy sem - hibak mindenhol vannak; hanem hogy errol -mint adatvedelmi incidensrol- miert nincs sehol egy szo sem?

Error: nmcli terminated by signal Félbeszakítás (2)

Egy informatikai rendszer nem csak a front oldalról törhető. Ha hátsó ajtón jutottak be, mert a hátsó ajtó nem volt kellően védve, pláne különleges védett személyes adatokhoz férhet hozzá a belső hálózatból arra illetéktelen, mert nincs kidolgozva vagy használva megfelelő jogosultságkezelés, akkor ugyanúgy a rendszert törték meg, mert egy informatikai rendszer nem csak egy tűzfalból és front oldalból áll. Bízom benne, hogy érted a különbséget.

Csak, hogy legyen végre egy autós hasonlat is! :)

Akkor ennyi erővel ha a sávtartó automatika az úton tartaná a kocsit, de a sofőr elfodítja a kormányt és az autó nekimegy a fának, akkor a "rendszer" nem működött jól? A vezető is a mozgó gépjármű rendszerének a része...

Csak, hogy legyen végre egy autós hasonlat is! :)

Hiányzott, mint egy falat kenyér.

Akkor ennyi erővel ha a sávtartó automatika az úton tartaná a kocsit, de a sofőr elfodítja a kormányt és az autó nekimegy a fának, akkor a "rendszer" nem működött jól? A vezető is a mozgó gépjármű rendszerének a része...

Igen, akkor az úton közlekedő jármű, mint rendszer, nem működött jól. Nem az autó hibásodott meg, nem a sávtartó automata hibázott, de az úton közlekedő jármű, mint rendszer, nekiment a fának... és onnan tudod, hogy a vezető szerves és elengedhetetlen része az úton mozgó jármű rendszerének, hogy nélküle - jelenleg - nem működik ez a rendszer.

A rendszerdesign része az is, hogy lehet-e egy ember rászedésével kompromittálni. Itt lehetett. Persze nem derült volna ki a dolog, ha pont nem olyan ember lett volna a *.* jogosultságok birtokában, akit rá lehet szedni. Itt az volt a fő gond, hogy egy műszaki analfabéta kapott eltúlzott jogosultságokat. Bizonyos méret felett mondjuk nem igazán biztosítható, hogy ne legyenek ilyen kaliberű emberek is a csapatban, ha pedig a nagyfőnök csak a korrupcióhoz ért, meg ahhoz, hogy 2021-ben elég legyen 693 millió forint az éves bruttó bérre 93 dolgozónak (tessék utánaszámolni, hogy ez mekkora havi bruttót jelent per kopf, meg hogy ezért a pénzért milyen kaliberű "szakembereket" lehet kapni), hogy közben meg jusson 3.5 milliárd adózott eredményre, nos, akkor eleve erre kell készülni, úgy kellett volna a rendszer működését kialakítani, hogy fostaliga emberek mellett is működtethető legyen a rendszer incidensek nélkül.

Azt gondoltam ha már 3 éve leérettségiztem nem érint, de az adatvédelmi tájékoztató alapján még 27 évig fog :D

A magyarorszagponthu-n hány évig nem volt...? (És persze most sem kötelező...) :-P Mondjuk egy ilyen rendszernél, ahol pont nem csak a saját adatairól van szó, pláne kéne 2FA és/vagy alaposabban átgondolni, hogy kinek is kell valójában hozzáférés és az milyen szintű legyen - bár adatot lopni egy csak olvasási jog is elég...

Ha az az MFA valóban MFA, és a 2. faktor valóban csak és kizárólag egy példányban létező eszköz, akkor azért eléggé korlátozott az adott identitásnak az eltulajdonításával történő rosszindulatú tevékenység. Az más, ha kap egy trójait a tökike, és utána a fullos hozzáférésén keresztül tolnak sql-dumpot távolról úgy, hogy akár észre sem veszi, hogy valakik mászkálnak a gépén...

Felhasználók jelentős része az MFA-val védett szolgáltatást azon a telefonon nyitja meg, ahol a token elérhető.

Egyébként API is lehetett a támadási felületet vagy bármi, semmilyen releváns információt nem közöltek róla.

Ennek a cikknek elsosorban az a hirerteke, hogy tortent egy incidens a multban, de ahelyett, hogy tisztessegesen kivizsgalnak, lenne rendorsegi nyomozas (bezzeg a BKV ugyben a TEK torte ra a gyerekre az ajtot), lenne rendes kommunikacio/hivatalos jelentes az ugyben (GDPR ugye), inkabb megy a sunnyogas, lapulnak, mintha mi sem tortent volna. Ez a baj.

Az pedig biztos, hogy volt incidens, mivel a gyerekem osztalyfonoke is megirta a szuloknek, hogy a gyerekek ne hasznaljak a Discordot, mert azt gyanitjak, hogy azon keresztul tortek fel a Kretat (?). Mindenesetre latszik, hogy kikuldtek az iskolaknak vmi tajekoztatot az ugyben.

 a gyerekem osztalyfonoke is megirta a szuloknek, hogy a gyerekek ne hasznaljak a Discordot, mert azt gyanitjak, hogy azon keresztul tortek fel a Kretat (?).

Discord tiltás helyett azt kéne elmondani, hogy ne kattintsanak -jellemzően url rövidítő mögé rejtett- mindenféle linkekre: se emailben, se facebookon, se discordon se semmi más üzenettovábbításra alkalmas felületen: bónusz: QR kódok :)

Információinkat névtelenül az eKRÉTA Zrt.-n belülről is megerősítették, a fejlesztésre rálátó forrásunk szerint valóban történt adathalász támadás: egy projektvezető kattintott egy fertőzött linkre egy átverős emailben, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül.

Osztályfőnököt meg fel kell homályosítani, hogy discordon lehet pl a chat helyett van hang alapú kommunikáció is; bár ezzel és a videókkal meg azért érdemes vigyázni, mert sose tudhatod a másik oldalon ki rögzíti.

Iskolai keretek között a cyberbullying téma miatt már jó esetben ezek lefutott körök kéne legyenek.. (tudom, bilibe lóg a kezem..)

a gyerekem osztalyfonoke is megirta a szuloknek, hogy a gyerekek ne hasznaljak a Discordot, mert azt gyanitjak, hogy azon keresztul tortek fel a Kretat

Ja, mert az osztályfőnök aztán kvára ért a Krétához... meg a Discordhoz.. meg úgy általában az IT (security) hez is, mi? :D

Biztosan van néhány kivétel, de ahová a gyermekeim járnak, ott akkora az IT analfabétizmus, hogy sokszor sírhatnékom van. Nem kell itt semmit feltörni, ahhoz hoz illetéktelenül hozzáférjenek adatokhoz, amíg a legtöbb tanuló account default jelszóval van használva... És látva, hogy a tanárok, iskola igazgatók sincsenek a toppon én inkább azon csodálkozom, hogy csak most kezd kiborulni a bili.

Ne keverjük már a kis pénz, kis focit, a közpénzből kitömött "megoldásszállítókkal"...

Trey azt mondja, hogy nem az e-krétát törték meg csak volt egy kretén aki szeret kattintgatni és ennek a kreténnek mindenhez is joga volt és ezt úgy sem sikerült kivédeni , hogy ott van pénz. Na most a közszférában mégis hogyan kellene. (Pláne, a kiskirályi rendszerben ami jelenleg él és a kretén úgy baszhat ki mint macskát szarni :))

Trey azt mondja, hogy nem az e-krétát törték meg csak volt egy kretén aki szeret kattintgatni és ennek a kreténnek mindenhez is joga volt és ezt úgy sem sikerült kivédeni , hogy ott van pénz

Abban egyetértek, hogy a feltörték az krvára nem ugyan az, mint hogy illetéktelenül hozzáfértek.

Attól pedig, hogy van pénz lóvéra, okosabbak sajnos(?) nem lesznek. sehol. Én is láttam már nemy egy rendszert, ahol nagyfőnöknek god mod járt, mert hát 'ő a főnök'. Ez szimpla hülyeség.

Hülyeség ellen pedig egyetlen rendszer sem véd, mindegy mennyi pénzt költesz rá.

 

Szerintem.

Próbáltad már megmagyarázni a főnöknek, hogy ez hülyeség? Ha neadjisten politikus (vagy az által beültetett kivagyok/mivagyok) az illető akkor tutira nem lesz nagy sikered. :D 

És igen a pénz magában nem véd, csak ugye ahol effektív van pénz emberre vagy eszközre az azért valamelyest segít. :)

Arról nem beszélve, hogy azt még valahol nehezen megérti az ember, hogy gizike minden linket megnyit amit emailben kap, de egy It cég projektmanagere?

Próbáltad már megmagyarázni a főnöknek, hogy ez hülyeség? 

20+ éve ezt csinálom... úgy tűnik jól, mert még mindig van munkám ;)

 

hint:

az ilyen típusú (kis)főnöknek általában az a 'taktikája', hogy nem hivatalos csatornákon keresztül (pl szóban) veszi rá a birkáit, hogy az ő 'parancsára' csináljanak hülyeségeket. pl full root jogot kapjon oda, ahol neki semmi keresnivalója.

Ezt egy egyszerű - de írásos - felelősségvállalási nyilatkozattal ki lehet védeni. Innentől csak a saját f*sz*val veri a csalánt.

Hidd el, még a leghülyébbek is meghátrálnak ettől.

 

A népszerűség egy másik kérdés...

szerencsére én a szakmai tudásommal keresem a kenyeret, nem pedig bologatással és seggnyalással.

(Utóbbival persze sokkal többet lehet keresni a gyakorlatban, csak gyomor kell hozzá. Na meg a gerinc hiánya. Esetleg kifordítható köpönyeg)

 

szerintem.

Rossz megközelítés, ha politikussal (vagy a betolt haveri körrel, egy sem fog olyan papírt aláírni amin a felelőség szó szerepel) van dolgod, szépen megadod amit szeretne (általában mindent is) és szépen lassan elveszel tőle (mindent is). Az a tapasztalatom, hogy fel sem fog neki tűnni.  (értsd a jogosultság a kivagyok/mivagyok miatt kell nem azért mert valaha is használja :))

hát, szerintem ez már átmenet a  'bólogatós kutya' irányba... ami nálam no go. 

Ha nem írja alá, nem csinálom meg. pont. Ha emiatt kirúg, akkor az a munkahely amúgy sem nekem való. Van elég csicska, majd talál magának megfelelőt... Jó szakemberekről ez nem mondható el.

 

szerintem.

Ideális helyen úgy lenne ahogy írod. 

A közszféra kicsit más. Az itsecet (a hátrahagyott papirhalmon kívül) nem látod (az meg ugye baromira nem fogja megvédeni a rendszeredet semmitől) , az NKI ASR monitorozó rendszere közvetlen (és véletlen sem valami relayen) küldi a "lehalt a szerver" emailt (rájöttem, hogy a greylisting miatt nem jött eddig egy sem, de még reverse dns sincs a monitorozó vason beállítva az ilyen közvetlen kommunikációt jobb helyeken eleve eldobják a picsába). Lehetne még mesélni, de minek... 

Bár az is lehet, hogy csak a teszt része, hogy szarul van-e beállítva az smtp szerver ;)

Szerkesztve: 2022. 11. 07., h – 21:32

Ha tényleg kikerülhettek tömegesen személyes és ráadásul különleges adatok a KRÉTÁból, tehát súlyosnak látszik az incidens, akkor
   - NAIH értesítve lett az előírt időn belül az incidensről?
   - Érintettek (kiskorú miatt szülők) megfelelőképpen értesítve lettek az adatkezelő által, hogy a róluk tárolt személyes adat kikerülhetett?
Ha nem lettek ezek az intézkedések végrehajtva, miért nem?

Lásd: 2016/679 EU rendelet 33. cikk és 34. cikk
Ha esetleg az állami intézményre nincs a gyakorlatban ilyen kötelezvény, akkor a nem államiakra miért van? Az EU direktíva nem tesz különbséget állami és nem állami között.

Vagy nem volt semmi incidens, csak kitalálta valaki?

Ez tévedés. GDPR szerint az adatkezelőnek kell bizonyítani, hogy az adatkezelés körén kívül eső elháríthatatlan ok idézte elő a szivárgást (GDPR Art. 82).

Amennyiben ténylegesen egy ember hozzáférésének megszerzése vezetett ide (főleg ha az a fejlesztőnél dolgozik -> ezt sem tudjuk biztosan) akkor nincs aki ezt bizonyítani tudná. 

"Honnan tudjuk, hogy ezek nem történtek"

Megkérdezzük a krétás szülőktől, hogy kaptak-e ilyen értesítést.

"vagy nem fognak megtörténni?"

Hát, miután kiderült, már tényleg illene szólni hivatalosan is :)

“Any book worth banning is a book worth reading.”

Szerkesztve: 2022. 11. 08., k – 11:00

Már kiment az értesítés Kedves Szülő! Kérem változtassa meg a gyermeke nevét, jelszavát, nemét, születési dátumát?

De az 100%, hogy nem feltörték, hanem megszerezték egy kezelő személy bejelentkezési adatait (nagy különbség).

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek 

A szálak mennek tovább. A végeredmény azt hiszem tanulságokkal fog szolgálni, többek között a GDPR (2016/679 EU rendelet) és gyakorlatban való betartásának komolyan vételéről és kimagyarázhatóságáról egyaránt.

„Megkeresésével kapcsolatban tájékoztatom, hogy az ügyben a Nemzeti Adatvédelmi és Információszabadság Hatóság hivatalból eljárást indított. Az eljárás lezárásáig további információt nem ad a Hatóság”

egy projectvezetonek miert van adminjoga egy allami rendszerhez?

hogy tudtak egy fertozott linkel kileakelni a jelszavat? nincs erre megfelelo vedelem nalunk?

\o/

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

"Katasztrófák nem történnek csak úgy, döntő események láncolata vezet el hozzájuk"
Érdekes tanmese egy vegyiüzem katasztrófájáról: https://youtu.be/KtdDkLIroI8?t=45
38:05 "Egyetlen ember hibáztatása nem lehet megoldás. Könnyen ahhoz a következtetéshez vezethet, hogy ha az illetőtől megszabadulunk,  azzal a problémát is felszámoltuk."

Trey szerint két ember is hibás. :)

Az egy dolog, hogy a pancser csóka a linkre kattintott, tfh még a papirtologató "itsec" is hibázott, úgy gondolnám, hogy ezek a rendszerek csak valami tűzfal/IDS féleség mögül dumcsiznak,a NISZ-nél meg senkinek nem tűnik fel, hogy kicsit megnőtt a forgalom (gondolom nemzetközi irányba).

Igen, "szeretem" azt a hozzáállást, hogy ha a "kisember" hibázik, akkor a hibáját kenjük valami másra (kormány, állam, NISZ, faszomtuggya' mire), nehogy egyszer ki legyen mondva: igen, hibázott.

Értem ennek a pszichológiáját (ilyen velünk is bármikor megtörténhet, jó ha van arra precedens, hogy ilyenkor majd a személytelen izé elvitte a balhét), csak akkor lássuk azt is, hogy ezért tartunk itt. Mert itt soha, senki nem felelős semmiért, itt mindig más a hülye mindig. 🤷‍♂️

trey @ gépház

Láttad a preventSQLInjection függvényt? Ilyet még én se adnék ki a kezem közül (ennél még az internal use projektbe is igényesebb az ember) és ez csak közszféra és csak egy nyomi üzemeltető, helpdesk, itsec replacement, néha gépíró vagyok. Ja és mondtam már, pénz sincs :P

Természetesen a privát kulcs is ott van mind a EKRETA_prod.pfx-ben (Tulajdonos:eKreta, Kiállító: EESZT PROD CA, Érvényes:2030.12.08.), mind az userEles.pfx-ben , az importálástól szerencsére jelszó védi. Mely mint minden professzionális projekt esetében, így ez esetben megtalálható plain textben beégetve a forráskódba.

Láttad a preventSQLInjection függvényt?

beleégett a retinámba vazze...

 

Régebben csináltam egy kód auditot olyan kódon, ami többezres látogatottságú publikus oldal(ak) alatt volt...

A hivatalos végeredmény persze már előre meg volt írva, de azért privátban a megrendelő kíváncsi volt a valós eredményre is. Majdnem sírva fakadt, amikor azt javasoltam hogy várhatóan sokkal gyazdaságosabb kidobni az egészet a picsába, és 0-ról újra írni, mint javítgatni azt a tákolmányt.

Azt hittem az a leg szörnyűbb élesben üzemelő kód, amit valaha látok... de most überelték...

 

De hogy ne csak fikázzak: szintaktikailag szépen van formázva ;)

"”A Neptun örökségét lehet látni a hekkerek által megosztott forráskódban is, aminek egy része ma már szintén nincs használatban, ilyen az idejétmúlt SQL-injekció elleni védelem is” – mondta az egyik volt KRÉTA-s fejlesztő, hozzátéve, hogy úgy tudja, ezt a megoldást már maga a Neptun is évekkel ezelőtt ejtette."

Őszintén szólva nem lett bennem kevesebb kérdés. Szóval akkor tudják, hogy szar, de még egy Obsolete-ot sem dobnak rá, mert annyira nem mernek hozzányúlni? Vagy csak élnek tech debtekkel, mint hal a vízben?

 

"„Minden tiszteletem azoké, akik fejlesztői környezetben, a tesztadatbázisokban is titkosított megoldásokat használnak, de ez nem életszerű”"

What? Nincs prod ready környezetetek? Eddig akkor mindig életszerűtlen helyeken dolgoztam.

Én már láttam olyan projektet, ahol a verziókezelés kb. az volt, hogy a függvényekből volt v1, v2 ... vn. A legmagasabb, amit láttam az asszem doSomethingV14(...) volt.

Végülis ez majdnem olyan, mintha rendes VCS-t használnának, csak az egész kódelőzményt bent tartják a working copy-ban. :)

LOL.

Se MFA, se semmilyuk nem volt, a leirtak alapjan normalis hatarvedelem se. Egy login mind felett. 
Vezerig annyit reagalt, hogy “tudni se akar rola”.

Se MFA

Másodszor olvasom ezt a dolgot ... mondd, láttál már M365-öt MFA-val? Szerinted ha nem lépsz ki, mennyi időnként kéri a jelszót/második faktort? Elárulom, hónapokig nem. Vagyis, ha ellopják a beauth-olt session-öd, akkor bemennek. Mit segít ezen az MFA _____szabályozás és annak betartása, valamit betartatása nélkül______? Például: nem internetezünk a pornós gépről, le van írva, hogy minden munkavégzés után azonnal ki kell lépni / tilos a "belépve maradok" opciót használni? Vagy utasítani az adminisztrátort (megint csak IT sec. vezető feladata), hogy ezt enforce-olja?

Ezek szerint hibás a Microsoft teljes felhője, mert lehet szarul használni? Egy lófaszt.

trey @ gépház

ROFL.

Fura, nalunk mukodik.

Ahogy lejovok ceges halorol, VPN-rol stb a geppel meg MFA-val sem(!) ferek hozza a levelezeshez, teamshez, SCM-hez stb.

A szabalyozast meg betartja az erre hivatott tool a gepeken. Utalja mindenki, de ez van.

Rendszeres belso phishing teszt van, aki nem jelzi a phishinget annak ujra az osszes training. 

Én meg erre azt mondom, hogy úgy van megcsinálva az üzemeltetés részéről, ahogy kérik. Ha a felelős IT Sec. vezetőn át tud menni az a kérés, hogy

  • a fejlesztés szerint egy régi, sérült PHP verzión kell hagyni a foo rendszert, mert csak azzal működik, akkor az üzemeltetés azon hagyja
  • ha a vezérigazgató/whatever azt kéri, hogy neki ne legyen 2FA beállítva, mert egy lusta geci és nem fog ezzel szívni, akkor nem lesz neki beállítva

ugyanis, nem az üzemeltetés felelőssége ez, hanem az IT sec. vezetőé. Adja írásba, aztán úgy lesz beállítva, ahogy kéri. Ha meg bazmeg van, akkor tartja a hátát.

Szerinted mi még nem futottunk bele olyanba, hogy enforce-ova volt egy biztonsági funkció (természetesen előzetesen tájékoztatva az érintetteket, akik szokás szerint basztak elolvasni), majd utána, amikor a beállítás effektív életbe lépett, jött a lebaszás, hogy hogy képzeljük azt, hogy akadályozzuk a kollégáikat a munkavégzésben, azonnal állítsuk vissza? Majd, mondtuk, hogy oké, de ennek ez meg ez a biztonsági vonzata, konzultálja meg ezt a CISO-val, majd 10 perc múlva ott volt a "papír", hogy engedélyezve?

Innentől kezdve az üzemeltetést mennyire kell, hogy érdekelje, hogy valaki tökön akarja szúrni magát? Igenis, ragaszkodni kell ahhoz, hogy ha nem a rendszert törték meg, akkor kimondjuk, hogy kit/mit. Mert nem mindegy, hogy ki viszi a balhét.

trey @ gépház

Nem reagaltal arra, hogy szerinted M365 + MFA hulyeseg de nalunk meg mukodik. 

Komoly cegnel nincs olyan amit leirsz, hogy visitanak es akkor nincs bevezetve.

Az mindenkinek lejott a hozzaszolasaidbol, hogy teged addig erdekel, hogy legyen lepapirozva a roles & responsibilities es ezen rugozol tobb napja. 
Ezen reg tul vagyunk, az a nulladik lepcso egy rendszerben. 

Itt a technikai reszleteken rugozunk, mert az az erdekes. Abbol ami kiderult pedig visszavezetheto, hogy a te gumicsontod es a mienk sem letezett ennel a cegnel. 

Abban, hogy le kell irni ezeket? Igen, nem is vitattam.

Csak ezen nem tudsz tullepni.

Adok egy tippet: ha erre vagy rafeszulve, mert ehhez a reszehez ertesz akkor a publikalt tenyek alapjan fejtsd vissza kerlek a szabalyozasukat, engem erdekelnenek a megallapitasaid. Most egyhelyben topogsz. 

Csak ezen nem tudsz tullepni.

Túl tudnék, ha jött volna valamiféle visszaigazolás ezzel kapcsolatban. De nem jött, egészen idáig. 

Adok egy tippet: ha erre vagy rafeszulve, mert ehhez a reszehez ertesz akkor a publikalt tenyek alapjan fejtsd vissza kerlek a szabalyozasukat, engem erdekelnenek a megallapitasaid. Most egyhelyben topogsz. 

Nem az én feladatom elemezni. Az itteni hülyeséget viszont miért ne javíthatnám ki? 

trey @ gépház

Reagáltam rá. Hajadra kenheted, ha jön egy olyan utasítás, hogy ki kell kapcsolni, egyszerűbbé kell tenni. Olvasd el, hogy mit írok. Ezért is nem mindegy, hogy tisztázva vannak-e a felelősségi körök.

És igen, ezért is rugózok rajta. Mert számtalanszor hugyozták már ügyfelek keresztbe azt, amit javasoltunk nekik. Ilyenkor semmi gond, adja írásba, az ő felelőssége, a bíróság adott esetben majd köszöni szépen a doksit, vita nélkül zárja az ügyet.

trey @ gépház

Terelsz: tettel egy allitast egy MFA use-case-rol ami nem igaz es mindenkit elkuldtel aki MFA-val jott.

Senki nem allitja, hogy az a csodatevo saman, de azt igen, hogy a minimum szint a meglete.

Irrelevans, hogy mit “szoktak” az ugyfeleitek csinalni.

Most a Kreta behatolassal foglalkozunk.

tettel egy allitast egy MFA use-case-rol ami nem igaz

Mi az, hogy nem igaz? Hogy ne lenne igaz, amikor létezik ez az use case? Vagy a létezését tagadod?

Senki nem allitja, hogy az a csodatevo saman, de azt igen, hogy a minimum szint a meglete.

Mármint, hogy az lenne a minimum szint, hogy VPN-en keresztüli session-ön használod az M365-öt? Ha ne vicceskedj :D 

Irrelevans, hogy mit “szoktak” az ugyfeleitek csinalni.

Hát persze, mert kiderülhet, hogy ábrándokban élsz.

Most a Kreta behatolassal foglalkozunk.

Így van. Tehát, ha a te szisztémádat használták volna, VPN + MFA, de közben az otthoni gépéről, akkor azt állítod, hogy nem férhettek volna hozzá a rendszerhez? :D

trey @ gépház

Honapokig tarto session. Rossz beallitas mellett max.

Azt mindod az ugyfeleid mrgkefelik a torekvest, hogy buztonsagos legyen. Amit most reagaltal az alapjan teged sem nagyon erdekel, ha az serti a kenyelmet.

Nem csak VPN-el lehet megoldani, van mas, egyenerteku megoldas is de azt sajnos nem fejthetem ki. Pontosabban lusta vagyok megnezni, hogy mennyire publikus. 

De, garantál, ha megfelelően van implementálva és nem csak dísznek van.

Például a GitHub esetén végig be vagyok jelentkezve, egyes privilegizált műveletek előtt újra kéri a jelszót és egyes ennél privilegizáltabb műveletek esetén MFA megerősítést is kér. Tehát hiába telepítettek a gépemre backdoor-t, a GitHub nem teszi lehetővé, hogy az MFA megtörése nélkül olyan műveleteket hajtsanak végre, ami különösen védendő művelet. Tehát, ha nincs session hijack védelem és megszerzik a GitHub session adatait a támadók, akkor se tudnak semmi érdemlegeset művelni.

Nézd, olyan mélységekbe jutottál, ahova már nem akarlak követni. Annyira jól játszod a kisebbségi komplexusos hiányos tudású nagy öblöshangút, aki mindenről megmondja a tutit, hogy már-már elhiszem, hogy tényleg kisebbségi komplexusos hiányos tudású nagy öblöshangú vagy, aki mindenről megmondja a tutit.

Hát igen, én kérkedtem, hogy "vess egy pillantást azokra a projektekre, amikben részt veszek, aztán gyere vissza utána, hogy elbeszélgessünk, hogy ki min dolgozik", amikor olyanoknak írod ezt, akik nagyobb projekteken dolgoznak, mint annak a cégnek összes éves bevétele, ahol te dolgozol...

Ó, pont neked sosem voltak ilyen kijelentéseid :D Bagoly mondja ...

akik nagyobb projekteken dolgoznak, mint annak a cégnek összes éves bevétele, ahol te dolgozol...

Mondjuk lehet, hogy ha valakinek dolgozok a valaki projektjén, akkor nem az a fontos, hogy ami bevételünk mekkora, hanem azé, akinek a projektjén dolgozok :D Nem várom el, hogy ezt felfogd, mert ez már bonyolult lehet.

Igény esetén kifejtem! Ha magadtól nem menne ...

(FYI: azt tetted szóvá, amit ebben a kommentedben (is) elkövettél, a személyeskedés sem áll messze tőled, mégis gyakran hivatkozol rá ... próbálj ezen javítani, vagy hagyd a picsába az erre való hivatkozást)

trey @ gépház

Mondjuk lehet, hogy ha valakinek dolgozok a valaki projektjén, akkor nem az a fontos, hogy ami bevételünk mekkora, hanem azé, akinek a projektjén dolgozok :D Nem várom el, hogy ezt felfogd, mert ez már bonyolult lehet.

Semmi baj, csak tudod, az a különbség, hogy szerinted mi "a magasan levő urak" vagyunk. Ami bizonyos szempontból igaz, könnyen lehet, hogy valamelyikünk projektjén dolgozol és valamelyikünk van abban a döntési pozícióban, hogy melyik céget bízzák meg a munkával. Tudod, ez tipikusan egy architect feladat... 

(FYI: azt tetted szóvá, amit ebben a kommentedben (is) elkövettél, a személyeskedés sem áll messze tőled, mégis gyakran hivatkozol rá ... próbálj ezen javítani, vagy hagyd a picsába az erre való hivatkozást)

Tudod, ez már reakció szokott lenni nálam...

Természetesen, hiszen te vagy a világmindenség közepe, hogy is felejthettem ezt el!

Ó, én ilyet soha nem állítottam veled ellentétben, akinek minden problémára van egy egyszerű megoldása.

Igen, szoktam néha beleolvasni másokkal folyó flame-jeidbe is, akkor jövök rá, hogy ez az attitűd nálad általános .

Na, azok remek példák arra, hogy a személyeskedéseim már reakciók.

Az a baj, hogy valójában a Github MFA-ja is lófaszt ér. Ugyanis, egy fájl szerkesztése a repositoryban valójában nem privilegizált művelet, commit előtt nem kér MFA megerősítést, de a nap végén ezzel simán el lehet bármilyen kódban helyezni egy backdoort. A GitHub MFA-ja csak az ellen véd, hogy random új alkalmazásjelszavakat kiadjál vagy a feltört paraszt profilját átvésd. Az ő szempontjukból privilegizált műveleteket védik csak.

Namármost, egy Microsoft O365 esetén pl egy adathalász levél kiküldése sem lesz privilegizált művelet. Session hijackinggal ezek mind megtehetők anélkül, hogy az MFA egyáltalán képbe kerülne.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Az a baj, hogy valójában a Github MFA-ja is lófaszt ér. Ugyanis, egy fájl szerkesztése a repositoryban valójában nem privilegizált művelet, commit előtt nem kér MFA megerősítést, de a nap végén ezzel simán el lehet bármilyen kódban helyezni egy backdoort.

Review process, hello?! :D

A GitHub MFA-ja csak az ellen véd, hogy random új alkalmazásjelszavakat kiadjál vagy a feltört paraszt profilját átvésd.

Ezt írtam, hogy egyes privilegizált műveletekhez szükséges.

Az ő szempontjukból privilegizált műveleteket védik csak.

Azokat védik, amelyekkel komoly kárt lehet okozni. Egy commit nem komoly kár, felesleges lenne MFA mögé tenni minden egyes commit eseményt.

Namármost, egy Microsoft O365 esetén pl egy adathalász levél kiküldése sem lesz privilegizált művelet.

Miért kellene az legyen? A cél egy értelmes egyensúly a használhatóság és a megfelelő biztonság között.

Session hijackinggal ezek mind megtehetők anélkül, hogy az MFA egyáltalán képbe kerülne.

Nem olyan egyszerű a session hijacking, ha van ellene védelem. Önmagában az MFA csak akkor véd, ha privilegizált műveletet hajtana végre az user. És ez a cél, hogy jól és értelmesen keressük meg a privilegizált műveleteket.

Review process, hello?! :D

Hát igen, szted ennél a cégnél _valaha_ volt review process? "pisti majd megcsinálja"

Az alapján amit látok még rendes kód átnézés se volt, nemhogy a PR teljesít e feltételeket (tesztelés rendben van, a PR azt csinálja amit szeretnénk, stb).  Na itt van a kutya elásva, hogy sokan olyan környezetben dolgoznak ahol vagy a jellege, vagy a kódolók számossága szerint ilyen igényeket nem támaszt. Ezért is nehéz olyanokat találni, ahol értenék, hogy a védelem statikus a PR-nél, ezért ezt nem hozzák bele a gondolkodásba. Nehéz is ez <10 fős csapatoknál. Itt is a "legyen kész amit kérnek", "javítsatok a sebességen" volt a szempont. 

Persze gondolom én.

Ennél a cégnél a szakmai kompetencia nagyon alacsony szinten volt egyébként is, emellett ebből a pénzből nem igazán tarthattak fel népes csapatot ami legalább az igényeket kialakította volna, ha már a vezetés inkompetensen állt a kérdéshez. 

Az egészről az jut eszembe amikor a találkozón elhangzik az "organikusan alakult így" és akkor tolul fel a hányinger. 

Leírhatod ezerszer is, hogy a rendszert törték meg, én meg leírom, hogy definiáld a rendszer fogalmát. Erre definiálsz egy rébuszt, én meg konkretizálom, hogy a rébuszod melyik része volt az pontosan.

Bocs, hogy ezt teszem, szakmai ártalom, a "nagy emberek" nagy mondásait bontom atomjaira és keresem bennük a hibát. Ezzel (is) töltöm mindennapjaimat.

trey @ gépház

Ennek a "rendszer részének tekintjük-e" kérdésnek akkor volna jelentősége, ha ez a szoftver, dobozos, saját telepítésű kiszerelésben is elérhető lenne. Akkor valóban lényeges megkülönböztetni, hogy maga a szoftver sebezhető-e, vagy csak rosszul üzemeltették. Esetleg a default konfiguráció teszi-e sebezhetővé stb. stb.

Mivel itt egy "as a service" jelleggel üzemeltetett dologról van szó, a szoftvernek egy példánya van használatban, egy konfigurációval, egy környezettel, egy üzemeltetéssel. Ebben a kontextusban sokan - szerintem jogosan - tekintik úgy, hogy egyszerűen nem releváns kérdés, hogy ez a támadási vektor (social engineering + a defense in depth teljes hiánya) pontosan minek is számít. Önkényesen meghúzhatod a "rendszer" határvonalát úgy hogy ez kívül essen, meg úgy is, hogy belül legyen. Semmivel nem vagyunk se előrébb, se hátrébb tőle.

My 2cents...

Régóta vágyok én, az androidok mezonkincsére már!

Szigorúan szakmai alapon, akkor tudnánk nem önkényes módon meghúzni egy határt, ha pontosan ismernénk a "fejlesztési szakasz" és az "üzemeltetési szakasz" között a contract-ot (technikai és szervezési értelemben is). Pl az autentikációs provider mennyire konfigolható, mennyire választható le az admin felülethez hozzáférés stb.* Ha ezekhez az alapvető hardening lépésekhez fejlesztés kell (forráskódba bele kell nyúlni, új buildet kell csinálni) akkor bizony a legszűkebb értelmezésben is a "rendszer" része a sebezhetőség. Tapasztalatból mondom, a kifejezetten "as a service"-re fejlesztett szoftver esetén _nagyon gyakori_, hogy hardkódolva van egy csomó minden és csak akkor kerül konfigba kivezetésre, ha már nagyon muszáj.

Az eddig kiderült információk sajnos arra engednek következtetni, hogy semmiféle technikai szétválasztás nem volt a fejlesztés és az üzemeltetés között. Innentől kezdve, hogy mi tekintesz a "rendszer" határának, szubjektív vélemény. Az erről folytatott vitának maximum mellékhatásként lehet értelme, mivel pontosan ugyanaz a hanyagság (separation of duties hiánya) ami miatt nem tudjuk objektíven meghúzni a rendszer határát, egyben kulcsszerepet is játszott a rendszer feltörésében.

* Az a ritka eset van, hogy lehet, hogy pár órán belül a forráskód elérhető lesz, és akkor ez már nemcsak találgatás. Ugyanakkor én most kijelentem, hogy bármennyire is kíváncsi lennék, bűntetőjogi megfontolásból nem fogom letölteni.

Régóta vágyok én, az androidok mezonkincsére már!

Azt hiszem, érteni vélem, mire gondolt itt Trey. Valójában nem az e-Kréta rendszert törték meg, hanem az e-Kréta rendszert fejlesztő/üzemeltető infrastruktúrát. Még "as a service" -ként üzemeltetett rendszerek esetén is lehet vonalat húzni az infra és az alkalmazás  között. 

Amit itt védeni kellett volna, az a forráskódok, a hozzáférési adatok, és a dokumentáció (JIRA, Confluence, BitBucket, jelszótárolók), valamint az e-Kréta admin felületéhez való hozzáférés (pl csak MFA-val védett VPN-ről vagy csak bizonyos IP címekről lehessen elérni, ha már magát az admin felületet nem tudják valami miatt védeni, és csak 5 god-mode felhasználó létezik). Ezek nagy része nem képezi az e-Kréta rendszer részét, ez a fejlesztéshez és üzemeltetéshez használt infrastruktúra része. Szigorúan szakmai alapokon.

Az, hogy jelenleg is benn vannak a Slackjükben, szerintem bőségesen eleget elmond arról, mennyire van ott ez az egész komolyan véve. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Még "as a service" -ként üzemeltetett rendszerek esetén is lehet vonalat húzni az infra és az alkalmazás  között.

Csak kérdés van-e bármi értelme ennek a vonalhúzásnak. Van-e ott bármi technikai jellegű határ. A cikkben idézett támadó elmondása alapján az autentikációs rendszerben semmilyen határ nem volt a fejlesztés és a prod üzemeltetés között.

...ha már magát az admin felületet nem tudják valami miatt védeni, és csak 5 god-mode felhasználó létezik). Ezek nagy része nem képezi az e-Kréta rendszer részét, ez a fejlesztéshez és üzemeltetéshez használt infrastruktúra része

Kapcsold össze az első mondatodat a másodikkal. "Ha az admin felületet nem tudják védeni" -> Bingo! Ha valami technikai hiányosság miatt nem lehet az admin felületüket szeparáltan védeni, akkor máris találtunk valamit, ami konkrétan az eKréta rendszer (szűk értelemben véve a szoftver) hibája, nem pedig az infrastrukturáé. Az infrastruktúra hibája már egy kikényszerített hiba, egy következmény.

De egy ilyen összefolyó felelősségi körökkel működő környezetben ez egy full akadémikus kérdés. Valószínűleg ugyanaz a pár ember döntött arról, hogy a szoftvernek milyen security feature-jeit fejlesszék, mint aki az üzemeltetés mikéntjéről.

Régóta vágyok én, az androidok mezonkincsére már!

Jaaa, értem! Amikor jön a hír, hogy "megtörték a Microsoft-ot!", a Microsoft meg kiad egy nyilatkozatot, hogy "neeeem, egy külsős kontraktortól kiszivárgott hitelesítő adatokkal léptek be", akkor itt megy a kánonban óbégatás, hogy nem is a Microsoftot törték meg, hanem az embert. Ez természetesen itt most máshogy van :D :D :D

trey @ gépház

Van értelme vonalat húzni.
Hogy párhuzamot mondjak: megtörték _a wordpresst_ mint open source software-t, vagy megtörtek _egy_ wordpress alapú site-ot.
Egy konkrét wordpress üzemeltető számára egész más következményei/rizikója van a két dolognak.

Lehetne az eKréta opensource is, akkor is lehet(ett volna) úgy üzemeltetni hogy kívülről ne tudják ellopni az adatokat.
Van egy csomó opensource alapú portál ahonnan mégse lopnak el semmit.

De innen _mindent_ el tudtak lopni egyetlen incidens következményeképpen: ez az alapvető biztonsági infrastruktúra/architektúra teljes hiányára utal. 

Az egy további kérdés - itt a vitát elnézve - hogy trey szerint a "social engineering" módszerrel elkövetett betörés "nem igazi" betörés.
Szerintem ha az eredményt nézzük akkor egyértelműen igazi betörés mégpedig az alapos, mindent kisöprős fajta.

A határokról: határokat nemhogy _lehet_ hanem _kell_ húzni és a munka során ezeket a határokat körömszakadtáig védenie kell a rendszerek őreinek, egymástól is. 

Ha nincsenek határok akkor nem lehet egyszerű szabályokat felállítani. Ha nincsenek egyszerű szabályok akkor garantáltan lesz benne hiba.
Ha van benne hiba akkor azt valaki garantáltan megtalálja. 

Gábriel Ákos

Hogy párhuzamot mondjak: megtörték _a wordpresst_ mint open source software-t, vagy megtörtek _egy_ wordpress alapú site-ot.
Egy konkrét wordpress üzemeltető számára egész más következményei/rizikója van a két dolognak.

Ezzel olyan nagy mértékben egyetértek, hogy ugyanebben a threadben párral feljebb a hozzászólásom pont erről szól. :)

A határokról: határokat nemhogy _lehet_ hanem _kell_ húzni és a munka során ezeket a határokat körömszakadtáig védenie kell a rendszerek őreinek, egymástól is.

Szerintem ebben is egyetértünk, ez lett volna a helyes. Én nem a határok implementálásának szükségességét vonom kétségbe, hanem utólag, a nem létező határról folytatott vitát. Hogy a "social engineeringgel elkövetett betörés" a nemlétező határnak melyik oldalára esett volna. Teljesen felesleges kérdés. Eleve nem lett volna sikeres ez a típusú social engineering, ha van határ.

Régóta vágyok én, az androidok mezonkincsére már!

Így van, utólag tök felesleges visszafele nézegetni. A határolásokkal a social engineering hatását nem szünteted meg teljesen hanem csak lehatárolod. 
Mondjuk meg tudják szerezni a balfasz jira accountját. De már mondjuk a mailjét vagy a forrást nem. Éles rendszerből adatot pláne nem.

Gábriel Ákos

Szerintem olyan nincsen hogy egy webes rendszernek "nem lehet az admin felületét szeparáltan védeni". Legföljebb nem volt olyan emberük aki értett volna hozzá.
Szerintem bárki tud percek alatt legalább 3 olyan módszert mondani amivel bármilyen gané alkalmazás bármelyik részét maximum közepes efforttal meg tudja védeni rendesen.

Gábriel Ákos

Ezzel (is) töltöm mindennapjaimat.

Te alapvetően azzal töltöd a mindennapjaidat, hogy felépítesz szalmabábokat, majd azokkal vitázol és közben úgy teszel, mintha a "nagy emberek" nagy mondásaival vitáznál. Ebben a kicsike szálban is egy csomó olyan állítást írtál le és vitáztál ezekkel az általad leírt állításokkal, amelyeket a vitapartnerek nem állítottak...

Semmi baj a véleményeddel, a helyén kezelem (/dev/null). Végigjátszom veled ezt a játékot mert szórakoztat. Hiszen magad is tudod, hogy igazam van, hiszen már az első kommentemnél definiáltam, hogy mi a rendszer, amire a megjegyzésem vonatkozott, de te szándékosan nem akarod megérteni, hogy vitatkozhass.
 

trey @ gépház

definiáltam, hogy mi a rendszer

A probléma az, hogy a világ szarik arra, hogy te miképpen definiálod _a_ rendszert. És már te is tudod, hogy rosszul definiálod, különben nem mondanál olyanokat, finomítani kell a folyamatokon, aminek az eredményeképpen lehet javítani a rendszeren, de ennek ellenére nyilván nem a rendszert törték meg, de a rendszert kell javítani, hogy leközelebb ilyen ne forduljon elő...

Hát... nagy kérdés, hogy mit tekintünk komoly cégnek. Amit Trey leírt, az egy közepes-nagyvállalati enterprise környezet esetén egyébként mindennapos tud lenni. Annál kisebb cégeknél meg nincs dedikált CISO/secops, hanem a security összes vonzatát az üzemeltetésnek/devopsnak kell viselni, beleérttten (akár kimondatlanul is), és ez vezethet érdekes helyzetekhez. És igen, minden féle-fajta-méretű cégben elő tud fordulni a kézivezérlés, ez nem a cég komolyságán, hanem a vezetők önhatalmúságán múlik. Munkavállalóként ilyen helyzetben nagyon kevés opciód marad, ha azt mondják, hogy szarral kell bekenni az ólomrudakat, hogy aranyrúd lehessen belőlük, akkor egy ponton túl muszáj megcsinálnod, akármekkora hülyeségnek is tűnik. Érvelhetsz, hozhatsz jogi és technical concerneket, de a nap végén nem te döntesz.

Az, hogy legyen lepapírozva, az nem hanyagság, hanem bizonyíték gyártás annak esetére, hogy ha ebből rendőrségi, bírósági ügy lesz, akkor egyértelmű helyzet teremtődjön, hogy ki is valójában a felelős azért, mert egy security vector nyitva lett hagyva. Ez nem ignorancia vagy leszaromság, egyszerűen arról van szó, hogy ha egy vezető egy szakvélemény ellenében cselekszik, annak nyomának kell lennie valahol.

Abban viszont igazad van, hogy ez egyszerűen nem volt elég nagy cég ahhoz, hogy dedikált információbiztonsági szakértőjük legyen, ráadásul nem voltak elég képzettek ahhoz sem, hogy az igény megfogalmazódjon. Valójában ennek állami szabályozásnak kellene lennie, hogy minősített adat feldolgozójának is meg kelljen felelni adott security standardoknak/auditnak, csak hát akkor nem lehetne ugyanannyi pénzt elsikítani.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Szerintem itt a kérdés az, hogy meg akartak e felelni a jogszabályoknak, volt e valamilyen minősítésük kezelni ezeket a tartalmakat, volt e audit, mit mondott az az audit. stb. Van elképzelésem ezen kérdések megválaszolására. De ugye a hatalom barátairól van szó, a cél nem az lesz, hogy valódi megoldás legyen, hanem hogy hogyan tudják csökkenteni a "kárt" és elsikálni a balhét.

Engem az zavar abban amit Trey írt, hogy embereket próbál megtalálni a problémával, holott már az elején látszott, hogy a kialakított rendszer szar (nem ismételném meg magam, fent olvasható mire gondolok). Ez nem egyes emberek hibája, hanem sok ember hibája és a többié aki ezt ott mellette nézte. 

A véleményem szerint a vonatkozó törvények alapján már büntetésrendészeti intézkedéseket kellett volna foganatosítani a cég bizonyos személyeivel kapcsolatban. De jelenleg csak és kizárólag a NAIH "vizsgálódik". Ha jól értem jó régen.

Meg érdemes lenne azon is elgondolkodni, hogy erre a projektre létrehozott cég, hogy lehet nem non-profit. Nem versenyez a piacon, sőt kötelező használnia az iskoláknak, kvázi egy megrendelője van, az állam. Havi 1 milliárdos bevétel 30-40%-os profit. Elhiszem, hogy nincs pénz a tanárok fizetésére, ha van még pár ilyen pénzpumpa az oktatási rendszerben. Persze gondolom minden a jogszabályoknak megfelelő, de morálisan szerintem ez így nem oké.

A kód meg lehetett volna akár a kezdetektől kezdve open-source.

Nem, neked az a bajod azzal, amit írok, hogy politikailag elfogult vagy. Tisztában vagy azzal, hogy igazam van, ugyanis én nem állítottam, hogy a cég nem hibás, mindössze azt, hogy ha egy soc. eng támadás történt (ezt harsogta a 444, ebből indultuk ki), akkor ne a rendszer feltöréséről beszéljünk, mert az szakmaiatlan: Csak, hogy emlékezzünk, honnan indultuk és én mire reagáltam:

A fejlesztésre rálátó forrás a lapnak megerősítette, hogy egy projektvezető kattintott egy fertőzött linkre egy átverős emailben, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül.

Ez az, amit nem tudsz elfogadni. Ennek van pszichológiai magyarázata. Így megértem.

trey @ gépház

Szakmaiatlan azt hinni, hogy a rendszernél, ahol egy ellopott jelszóval bármit és bármi mást is el lehet érni, sőt hosszabb ideig, úgy, hogy senkinek fel sem tűnik, csak a social engineering volt probléma.

Ezt a rendszert azért tudták megtörni, mert fos, nem azért, mert sikerült megszerezniük 1 ember belépési adatait valamilyen formában.

“Any book worth banning is a book worth reading.”

Ezt a rendszert azért tudták megtörni, mert fos, nem azért, mert sikerült megszerezniük 1 ember belépési adatait valamilyen formában.

Vagy mert szándékos, jól időzített károkozás történt és még annyi lehetséges forgatókönyv van ...  Szakmaiatlan kihagyni ezt a lehetőségek közül ...

trey @ gépház

És miért csináltátok ezt az eKRÉTA elleni támadást, mi a célotok vele?

Mondhatnám, hogy a magyar rendszerek bemutatása, hogy mennyire hanyag és hogy mennyire „fejlett” ez az egész. Meg persze olyat is szerettünk volna, hogy például nem rakjuk ki az adatokat, ha a pedagógusok bérét megnövelik, stb. De ebből semmi sem lett, láthatod. Csak szivárogtatás, és helló.

És miért nem lett?

Zsarolást nem szerettünk volna, mivel a mi részünkről jöhetett volna ki rosszul.

https://telex.hu/tech/2022/11/09/kreta-rendszer-ekreta-zrt-adathalasz-t…

 

Szóval igen, jól időzített károkozás történt, de mivel már a screenshootok szerint hetek óta bent vannak a céges rendszerükben, volt idejük átgondolni a dolgot.

egy 14-15 éves tinédzsernek pont hogy rengeteg motivációja van... a hormonos is tombolnak, még az igázságérzetet sem ölte ki belőle a rendszer, ideje is van hülyeségekre, csupa jó dolog, azért itt nagyon könnyen ki tud valami kombinálódni :)

“Any book worth banning is a book worth reading.”

Nem, neked az a bajod azzal, amit írok, hogy politikailag elfogult vagy

"Be szép dolog is ez". Legyen, a fogalmaid szerint az politikai elfogultság, hogy megjegyeztem, hogy a cég a jelenlegi hatalom kegyeltje (már az a belső levél is EPIC: "Ki beszélt az Ellenségnek"). Vagy arra, hogy előre ítélkezek az elmúlt pár év tapasztalatai alapján.  Ha ezekre gondolsz, akkor az vagyok.

Tisztában vagy azzal, hogy igazam van, ugyanis én nem állítottam, hogy a cég nem hibás, mindössze azt, hogy ha egy soc. eng támadás történt (ezt harsogta a 444, ebből indultuk ki), akkor ne a rendszer feltöréséről beszéljünk,

Tisztában vagyok azzal, hogy jó szándékból baromságot írtál és azóta körömszakadtáig véded azt. Te a laikusok által laikusoknak írt cikkben megfogalmazott állításokat kritizálod, holott esetedben is előfordult már, hogy átvett vagy saját anyagban az ismertre vagy az időhiányra való tekintettel hasonló "hibát" követtél el.

A témában született és hivatkozott cikkek nem pontosak és nem szakmai teljesség igényével készültek, mivel azzal el is vesztenék az olvasótábor egy részét. 

Amit te csinálsz (ahogy írtam) azért full gáz mert azt mondod a soc. eng által megvezetett személyen keresztül véghezvitt támadás nem a rendszer hibája hanem a _cég_ hibája. De ez mi???

- A rendszernek soha nem lett volna szabad úgy összeállni, hogy egyben lekérdezhető és elvihető legyen az adatbázis -> adatbázis kapcsolati réteg, azonosítás konfiguráció -> tervezési hibája a rendszernek

- A rendszernek külön kellene lenni választva fejlesztés/üzemeltetés szintjén  -> nincs -> kockázat elemzéskor (kötelező elem, de szívesen megnézném!) illetve a belső/külső audit esetén rögtön pirosan világító probléma  önmagában megakadályozhatta volna a kár egy részét

- A rendszernek meg kellene különböztetni a különösen bizalmas tartalmat és az ahhoz való hozzáférést -> nem volt ilyen -> még a cert kulcsát is beletették a kódba, ami egy külső elem. 

 

Jó de kik is hibáztak (teljesség igénye nélkül, a jelenleg ismert adatokból) ?

 

1, hibázott a felső vezető

- arra szakmailag látszólag alkalmatlan szakmai vezetőt nevezett ki

- nem volt tisztában a jogi követelményekkel és erre látszólag nem tartott megfelelő jogi tanácsadót

2, hibázott a szakmai vezető

- olyan rendszer vezetését vállalta el ami koncepcionálisan rossz és látszólag tűzoltásra sem volt ideje.

- nem végeztette el az auditokat, vagy azok eredményét figyelmen kívül hagyta

- a kockázatelemzés szakmai része teljes mértékig kezeletlen vagy hiányzott

3, hibázott a rendszer architect-je

- az üzemeltetett rendszer és a fejlesztés nem lett szétválasztva

- az adatbázis védelme látszólag nem volt szempont a tervezésnél

4, hibázott a projektvezető 

- olyan linkre kattintott amire nem lett volna szabad

 

Számomra a 4. az egyetlen elnézhető hiba, de szinte biztos vagyok benne, hogy ez az ember lesz keresztre feszítve. (mondjuk akkor nem kár ha a felette lévő x ember rolejából is megvalósítja valamelyiket) 

A többiből látható, hogy hibás a rendszer, amit szarrá törtek az egyik támadási felületen keresztül és a hiányzó korlátok miatt hanyagul összerakott és üzemeltetett rendszer hibájából fakadóan minden adatot elloptak. Tökéletes rendszer nincs, ugyanezt megtehették volna XYZ másik technológiai (3rd party) komponensen keresztül *is* mivel azonban a rendszer maga szar, ezért _ekkora_ a kár. 

Szóval de, a rendszer szar, azt törték szarrá, mégpedig úgy, hogy belső és korlátozatlan hozzáférést szereztek.

Hmm, én a helyedben elgondolkodnék azon amit írsz. Te dolgod persze,de

A fenti írás nem arról szólt, hogy felmenteném a támadási faktorban lévő személyt -> benne van a listában, ha felmenteném, nem listáznám, de egyedül ő az a képletben aki nem a szerepköréből közvetlenül következő hibát követett el. Sima felhasználó volt ebből a szempontból a rendszer gyengesége miatt szuperjogosultságokkal a rendszer tekintetében. "kiscsibe kalasnyikovval"

Hanem arról szólt, hogy a cucc nem egy sebből vérzik, hanem 1000-ből és csak idő kérdése volt, hogy ez történjen. Ez volt a legegyszerűbb/legolcsóbb/épp ezt találták ki.

Sima felhasználó volt ebből a szempontból a rendszer gyengesége miatt szuperjogosultságokkal a rendszer tekintetében. "kiscsibe kalasnyikovval"

És ez a sima felhasználó, aki egyébként IT projektvezető volt (tehát képzett embernek kellett volna lennie) hányszor jeleztem, hogy kérem, nem kellenek nekem superjogosultságok, mert ez veszélyes? Hol volt az általam végig emlegetett IT sec. vezető, amikor jóváhagyta a jogosultsági mátrixot? Jaaaa, hogy megint ugyanoda jutunk vissza?

Egyébként bírom, ahogy a projektvezetőből hirtelen IT juniort faragtál, mert a narratívád megkívánta :D

trey @ gépház

Egyébként bírom, ahogy a projektvezetőből hirtelen IT juniort faragtál, mert a narratívád megkívánta :D

Nem faragtam semmit, a projektvezető nem feltétlenül egy technikai személy főleg nem ilyen helyeken. Emellett egy technikailag képzett személy is be tud szívni ilyet. Láttam mindkettőt. Minden esetre nem a narratíva mondatja velem, hogy a projektvezetőnek nem az a feladata, hogy áttervezze a rendszert, vagy hogy biztonságilag megvédje a céget, vagy hogy a megfelelő ember kerüljön a megfelelő helyre, hanem az, hogy operatív módon az adott feladat el legyen végezve, akkor is ha ő technikai zseni, akkor is ha IT junior. Erre mondtam, hogy legalább nem abban hibázott amivel meg volt bízva. Feltételezve, hogy ez volt a valódi szerepköre, és nem volt mellette mondjuk "IT igazgató" is.

Tőlem ettől azt képzelsz bele amit akarsz. 

Nekem azt tetszik, hogy próbáljátok eladni, hogy hülyebiztos rendszert kell építeni, mert itt aztán Mari nénik dolgoztak, akik azt sem tudják, hogy eszik-e vagy isszák az IT-t, nem olyan szakemberek, akik IT rendszerek építésével, fejlesztésével vagy ezen folyamatok felügyeletével foglalkoznak.

Azt próbálod nekem bizonyítani, hogy a Linux root prompt, a Windows admin konzol az veszélyes, mert azzal bármit meg lehet csinálni. Nem azt feszegeted, hogy

  1. felelős IT sec. vezető miért nem írt megfelelő folyamatot
  2. miért kapott egy Mari néni szinten álló projektvezető korlátlan, ellenőrizetlen admin szintű jogosultságokat
  3. mindez hogyan ment át egy belső és külső auditokon, ha egyáltalán voltak, ha meg nem, akkor miért nem
  4. miért internetezett Mari néni szintű projektvezető egy olyan gépen, amivel az egész rendszert el lehetett érni admin jogokkal
  5. miért nem volt Mari néni szintű projektvezető oktatva, hogy nem nyitunk meg mindenféle balfasz e-maileket, főleg nem a munkahelyi gépen
  6. miért került egy Mari néni szintű valaki projektvezetői székbe, ki tette oda
  7. stb.

A rendszer a szar, mert így jön ki jól a narratíva. Lehet, hogy a rendszer sem tökéletes, de ha vitatod azt, hogy a leggyengébb láncszem itt az ember volt, akkor valamit tagadsz. És ha az volt, elsősorban ezt a problémát kell kezelni.

trey @ gépház

  1. felelős IT sec. vezető miért nem írt megfelelő folyamatot
  2. miért kapott egy Mari néni szinten álló projektvezető korlátlan, ellenőrizetlen admin szintű jogosultságokat
  3. mindez hogyan ment át egy belső és külső auditokon, ha egyáltalán voltak, ha meg nem, akkor miért nem
  4. miért internetezett Mari néni szintű projektvezető egy olyan gépen, amivel az egész rendszert el lehetett érni admin jogokkal
  5. miért nem volt Mari néni szintű projektvezető oktatva, hogy nem nyitunk meg mindenféle balfasz e-maileket, főleg nem a munkahelyi gépen
  6. miért került egy Mari néni szintű valaki projektvezetői székbe, ki tette oda
  7. stb.

Tehat a rendszer a szar. Jol osszefoglaltad. Kimaradt a kodminoseg a listabol, de miota kod is public, azota hozzacsaphatod a listahoz azt is, hogy miert ilyen balfasz fejlesztok irjak ezt a szart es miert nincs legalabb 1-2 ember akit odaraknak reviewzni ezt a fostengert. Penz lenne ra.

Nálatok egyébként ez hogy van? Az admin jogú felhasználó neve és jelszava fel van szúrva a céges faliújságra, mellette a CISO összevont szemöldökű fotója, és a belépésnél mindenkit oktattak arról, hogy csak indokolt esetben használja, vagy a rendszer ennél komolyabb védelemmel van ellátva?

LOL, persze... :D

--

Két opció van:

a, nálatok az admin jogú felhasználó neve és jelszava fel van szúrva a céges faliújságra, mellette a CISO összevont szemöldökű fotója, és a belépésnél mindenkit oktattak arról, hogy csak indokolt esetben használja,

b, megfelelő és komoly védelme van a rendszereknek ennél nálatok is, csak kurva ciki lenne ez beismerni, miután mindent feltettél ruletten a feketére, hogy ez a CISO és az adott alkalmazott balhéja.

Nálunk úgy kezdődik, hogy a projektvezetőnek nincs mindenhez hozzáférő jelszava. Hogy ez azért van-e mert a CISO elvégezte a munkáját, vagy sem, azt a képzeletedre bízom. De, hogy nekem se legyen kellemetlen, fogalmazzunk úgy, hogy azért.

Most komolyan védeni akarod, hogy valakinek aki nem admin team tag, mindent vivő jelszava van? :D

Mert tulajdonképpen ezt csinálod. Építsenek olyan biztonságos rendszert, hogy ha a CISO meg mindenki balfasz volt és a PM-nek mindent vivő jelszót adott ki, akkor se legyen baj. Nem, az alapvető tervezés - architect úr - onnan indul, hogy nem is kap az ilyen admin jelszót 🤷‍♂️

trey @ gépház

Nálunk úgy kezdődik, hogy a projektvezetőnek nincs mindenhez hozzáférő jelszava.

Miért nem elég a projektvezető oktatása? Miért kell rendszerszinten korlátozni a hozzáférését? Eddig azon voltál, hogy ez kivédhető lett volna szimpla oktatással, most meg arra tendálsz, hogy rendszerszintű védelmek kellenek...

Most komolyan védeni akarod, hogy valakinek aki nem admin team tag, mindent vivő jelszava van? :D

Nem, ez a te szalmabábod. Te nagyon szeretsz szalmabábokat építeni és azokkal vitázni.

Építsenek olyan biztonságos rendszert, hogy ha a CISO meg mindenki balfasz volt és a PM-nek mindent vivő jelszót adott ki, akkor se legyen baj.

Aha, így van, olyan rendszert kell tervezni és építeni, hogy ha a PM valamilyen oknál fogva mindent vivő jelszót kapott, akkor se legyen belőle baj, ha ezt a mindent vivő jelszót lenyúlják. Ahol a CISO érti a munkáját, ott ilyen van, kérlek alássan.

Nem, az alapvető tervezés - architect úr - onnan indul, hogy nem is kap az ilyen admin jelszót 🤷‍♂️

Szerintem maradj meg a kaptafádnál a kis műhelyedben, ahol te vagy a legnagyobb farkú kakas, mert egyre nagyobb faszságokat tudsz mondani a lendület hevében... :D

Jaj de szép! Megmaradok a szintemen architect úr, készséggel! Legyenek szívesek az önök szintjén legközelebb elvégezni a munkájukat, vagyis ne adjanak egy töltött .45-öst egy majom kezébe. Hisz' megegyeztünk abban, hogy nem az üzemeltetés hibázott, ugye?

Ahol a CISO érti a munkáját, ott ilyen van, kérlek alássan.

Jéé, a végén bevallod, hogy mégis a CISO mulasztott? 🤣🤣🤣🤣

trey @ gépház

Legyenek szívesek az önök szintjén legközelebb elvégezni a munkájukat, vagyis ne adjanak egy töltött .45-öst egy majom kezébe.

Így van, az architect egyik feladatköre az, hogy majmok kezébe ne kerüljön olyan eszköz, amellyel kárt tud okozni, beleértve az üzemeltető majmokat is.

Hisz' megegyeztünk abban, hogy nem az üzemeltetés hibázott, ugye?

Sehol nem írtam, hogy ebben az ügyben az üzemeltetés (vagyis a gombokat nyomogató majmok) bármiben is hibáztak volna.

Jéé, a végén bevallod, hogy mégis a CISO mulasztott? 🤣🤣🤣🤣

Hogyne, igen, a CISO is mulasztott, azzal, hogy élesbe engedett egy olyan rendszert, amelyikben nincs semmi védelem egy szimpla jelszólopás ellen és olyan credential került kiosztásra, amellyel mindent is el lehet érni.

Ebben nincs közöttünk vita, a vita abban van, hogy mit tekintesz informatikai rendszernek.

Trey nem akarja megérteni, hogy megrendelői (felhasználói) oldalról nézve irreleváns, hogy ki hibázott.

Ez nem igaz. Azzal kezdtem, hogy nem vitás, hogy hibásak.

Oldják meg házon belül.

Pontosan. Ezért a "feltörték a rendszert" vezetői bullshitet el kellene felejteni és kimondani, hogy ki hibázott: a töltött .45-öst lóbáló PM, meg a senior-level urak: CISO és társai 

Erre kell, hogy jusson a belső és akár a külső vizsgálat. És akkor meg is jöttünk oda, amit az első perctől állítok. De, látom, puhul már az álláspontotok :D

trey @ gépház

Pontosan. Ezért a "feltörték a rendszert" vezetői bullshitet el kellene felejteni és kimondani, hogy ki hibázott: a töltött .45-öst lóbáló PM, meg a senior-level urak: CISO és társai 

Ez a cég hónapokkal az incidens után kiadott nyilatkozatán alapul, nem külső auditon - finoman szólva fenntartásokkal kell kezelni.

Pontosan. Ezért a "feltörték a rendszert" vezetői bullshitet el kellene felejteni és kimondani, hogy ki hibázott: a töltött .45-öst lóbáló PM, meg a senior-level urak: CISO és társai

Igen, nagyrészt az ő hibájukból törték fel a rendszert. Ilyen különösen védett személyes adatokkal dolgozó rendszernek egy ilyen támadástól bizony védenie kellene magát, akkor is, ha minden projektmenedzser vagy akár üzemeltető naponta telepít malware-t a gépére. Nem oktatáson múlik ez, hanem a rendszer megtervezésén, fejlesztésén és üzemeltetésén, és az a helyzet, hogy kontraszelektált balfaszok tervezték, aztán kontraszelektált balfaszok fejlesztették és végül kontraszelektált balfaszok üzemeltették. Nem hinném, hogy az Kréta üzemeltetése kivétel lenne a szakmai hozzáállásban, egyszerűen most nem rajtuk múlt.

De, látom, puhul már az álláspontotok :D

Nem puhul, továbbra is tartom, hogy amit te a rendszer egészének tartasz, az csak egy alrendszer, mert a látóköröd addig terjed és azt is tartom, hogy ebben az esetben nem az üzemeltetés hibázott. Te viszont már többször módosítottad azt, amit "az első perctől állítasz", behozva egy csomó legendát, anekdotát, ötletet és szcenáriót, beleértve egészen vad összeesküvés elméleteket, hogy mi is történhetett.

Pontosan ugyanazt állítom az első perctől kezdve: a CISO és a soc. engineering-gel rászedett a fő ludas.

Hogy mellette az új infók fényében mennyi lehetséges forgatókönyvet vázolok fel, amit a hatóságoknak érdemes kivizsgálni, az teljesen lényegtelen. Egy alapos vizsgálat - ezt is elpofáztam 100x - élből nem zár ki semmit, csak azt, amit kétséget kizáróan bizonyítani tud.

Folytathatjuk napestig tőlem :D

trey @ gépház

Pontosan ugyanazt állítom az első perctől kezdve: a CISO és a soc. engineering-gel rászedett a fő ludas.

Lófaszt állítod ugyanazt. :D

Onnan indultál, hogy a Krétát, legyen az akármi is, nem törték fel, csak egy embert szedtek rá és ez egy felhasználói hiba, nem rendszerhiba. Pár óra alatt kiderült, hogy csak bekattant a trigger, hogy az üzemeltetésen akarják leverni a balhét, amikor az irányított kérdéseiden kívül senki nem akarta hibáztatni az üzemeltetést, akkor átnyergeltél oda, hogy nem volt megfelelő oktatás és a CISO a hibás, ez volt a gumicsont. Másnap ott tartottunk, hogy szerinted a rendszer ugyan nem hibás, de "finomítani kell a folyamatokon, aminek az eredményeképpen lehet javítani a rendszeren". Amikor rákérdeztünk, hogy ezek szerint a rendszer mégis tudna védeni ilyen esetben, sőt, te is használsz olyan rendszereket, amelyek igen nagy hatékonysággal védenek ilyen jellegű támadások ellen, akkor arra szokás szerint nem válaszoltál vagy tereltél.

Folytathatjuk napestig tőlem :D

Időnk, mint a tenger.

Hogy mellette az új infók fényében mennyi lehetséges forgatókönyvet vázolok fel, amit a hatóságoknak érdemes kivizsgálni, az teljesen lényegtelen. Egy alapos vizsgálat - ezt is elpofáztam 100x - élből nem zár ki semmit, csak azt, amit kétséget kizáróan bizonyítani tud.

Ez akkora bullshit, hogy ezt is be kell kereteznem és kitennem a "Az informatikai rendszert modulárisan nézem, úgy ahogy felépül. Nem egy darab valaminek." mondásod mellé.

Hát persze. Már az első kommentem is eleve arra irányult, hogy a soc. engineering-et nem keverjük a feltört rendszerrel. A PM meg, hogy képes volt ezt véghez vinni (pontosabb rászedték, hogy véghez vigye) az a CISO hibája. Maszatolhatsz, ezek továbbra sem változtak, bármi is derült ki még közben. 🤷‍♂️

Azt keretezel, amit akarsz. Ha a hozzád hasonló okoskodók elvégezték volna a munkájuk itt, akkor most nem lenne miről beszélgetnünk. 

trey @ gépház

Már az első kommentem is eleve arra irányult, hogy a soc. engineering-et nem keverjük a feltört rendszerrel.

A social engineering az egy módja az informatikai rendszerek feltörésének. De ezt is már írták többen.

Ha a hozzád hasonló okoskodók elvégezték volna a munkájuk itt, akkor most nem lenne miről beszélgetnünk. 

Ezzel most aztán nagyot mondtál! Mintha az informatikai rendszereket soha nem sikerült volna még a hozzád hasonló okoskodó üzemeltetők hibájából feltörni... :D

Amúgy egy évtizede nem jártam állami és kormányzati projekt környékén, pedig próbáltak hívni többen és többször. Nem hiányzik az a kontraszelektált balfaszkodás és az ahhoz való asszisztálás, amit például itt is látunk. Amúgy, ha a hozzám hasonló okoskodók lettek volna a Kréta közelében, akkor ez nem történik meg. De kontraszelektált balfaszok voltak.

A social engineering az egy módja az informatikai rendszerek feltörésének. De ezt is már írták többen.

#define rendszer

Ezzel most aztán nagyot mondtál!

Tudok nagyobbat is. Az architect nagymenősködésnek ott szokott vége lenni, amikor jön egy nagyobb hal. Könyvet tudnék teleírni, amikor valóban a rendszert törték meg, de nem azért, mert az "üzemeltető majmok" hibáztak, dehogy! Az üzemeltető majmok elmondták előre, hogy baj lesz: jelezték a CISO-nak, jelezték az architektnek, az összes releváns C-senk, az összes atyaúristennek, hogy ezt bizony át kellene tervezni, át kellene alakítani, a jelen kor követelményeihez kellene igazítani, csak tudod mi volt az eredménye? Lófasz. A magad fajta is csak addig nagy legény, amíg a CFO azt nem mondja, hogy "Jól van Gábor, nagyon szép rajzok, én meg majd rajzolok rá pénzt, mert hogy az nincs, az ziher."

Na, ilyenkor jön képbe az, amit mondtam. Az üzemeltető majmoknak papírja van róla, hogy szóltak, csak basztak vele foglalkozni. Ezért mondom az embereimnek mindig: mindennek legyen írásos nyoma. Azt nem lehet letagadni. Mondjuk, volt, aki azt is megpróbálta (törölte a levelezést az Outlookból, majdnem mindenhonnan, csak elfelejtette, hogy az üzemeltető majmok üzemeltetnek egy levélarchiváló rendszert is :D :D :D), de bebukta ...

:D

trey @ gépház

#define rendszer

/me ásít

Az a rendszer, amiről itt beszélsz: "finomítani kell a folyamatokon, aminek az eredményeképpen lehet javítani a rendszeren"

:D

Az architect nagymenősködésnek ott szokott vége lenni, amikor jön egy nagyobb hal. Könyvet tudnék teleírni, amikor valóban a rendszert törték meg, de nem azért, mert az "üzemeltető majmok" hibáztak, dehogy! Az üzemeltető majmok lemondták, hogy baj lesz: jelezték a CISO-nak, jelezték az architektnek, az összes releváns C-senk, az összes atyaúristennek, hogy ezt bizony át kellene tervezni, át kellene alakítani, a jelen kor követelményeihez kellene igazítani, csak tudod mi volt az eredménye? Lófasz.

Aha, tudok ilyen helyekről is, ahol keresztülnyomtak tervezési hiányosságokkal éles üzemig változásokat, amelyek ellen többen is szóltak, inkluzíve üzemeltetés. És? Komolyan bedobtad a sértődöttet attól, hogy ettől még az üzemeltetés hibájából is van feltörés? :D

A magad fajta is csak addig nagy legény, amíg a CFO azt nem mondja, hogy "Jól van Gábor, nagyon szép rajzok, én meg majd rajzolok rá pénzt, mert hogy az nincs, az ziher."

Ezek a dolgok a legtöbb esetben nem a pénzen múlnak, sőt, sokszor az a baj, főleg a témában boncolthoz hasonló állami projekteken, hogy túl sok pénz van és könnyen megszaladnak a ceruzák, olyan beszerzésekre is, amelyek teljesen feleslegesek, csak üzemeltetési kockázatot növelnek.

Ha pedig mégis az a baj, hogy nincs pénz, akkor bizony odakerül a dokumentumban, hogy "én szóltam". Tudod, sok hallottam azt, hogy a rendszer nem állhat egy percet se, mert ennyi és ennyi milliós lenne a veszteség, meg nem férhet hozzá az adatokhoz senki, mert ennyi és ennyi milliós lenne a veszteség, de amikor mellé teszem, hogy megoldható, ennyi és ennyi millió lenne az, hogy a több órás állás kockázatát csökkentsük pár perces állásra és szofisztikált authentikáció és authorizáció meg rendszeres biztonsági audit legyen a rendszer minden szintjén, akkor jön az, hogy, ja, ennyi és ennyi milliónk nincs rá. Nem tudsz olyan sztorit mondani, amit ne hallottam volna valahol... én se ma jöttem le a falvédőről... :D

"Komolyan bedobtad a sértődöttet attól, hogy ettől még az üzemeltetés hibájából is van feltörés? :D"

- kb mintha a chernobyli eromu robbanast magyarazna, hogy a konstrukcio jo volt, csak a szemelyzet hibazott.. :D

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Komolyan bedobtad a sértődöttet attól, hogy ettől még az üzemeltetés hibájából is van feltörés? :D

Ha már megint megszólítottad az üzemeltetést ...

Az a vicc - és a szinteden ez nem ritka -, hogy te tényleg el akarod sütni és lehet, hogy meggyőződésed is, hogy az üzemeltetők komplett hülyék, mert

  • szándékosan dolgoznak elavult vasakkal
  • szándékosan dolgoznak elavult szoftverekkel
  • szándékosan nem végzik el a proaktív feladatokat

hiszen, ha az ezer éves vasakkal dolgoznak és azok beszarnak, akkor örömmel túlóráznak, ha a nem támogatott ezer éves szoftverekkel dolgoznak, akkor szeretnek szopni az inkompatibilitással stb.

Mintha maguknak kérnék ezeket a problémákat szándékosan, mert nincs jobb dolguk. Vedd észre: az üzemeltetés azt valósítja meg, amit elterveznek és abból, amit rá szánnak.

Ha pedig mégis az a baj, hogy nincs pénz, akkor bizony odakerül a dokumentumban, hogy "én szóltam". Tudod, sok hallottam azt, hogy a rendszer nem állhat egy percet se, mert ennyi és ennyi milliós lenne a veszteség, meg nem férhet hozzá az adatokhoz senki, mert ennyi és ennyi milliós lenne a veszteség, de amikor mellé teszem, hogy megoldható, ennyi és ennyi millió lenne az, hogy a több órás állás kockázatát csökkentsük pár perces állásra és szofisztikált authentikáció és authorizáció meg rendszeres biztonsági audit legyen a rendszer minden szintjén, akkor jön az, hogy, ja, ennyi és ennyi milliónk nincs rá. Nem tudsz olyan sztorit mondani, amit ne hallottam volna valahol... én se ma jöttem le a falvédőről... :D

Na látod. Végig erről pofáztam. A szakma teljes ranglétráját bejártam, technikustól indulva. Nincs olyan, amit ne láttam volna és nincs olyan, amit ne láttam volna minden perspektívából.  Soha nem tudtak megfogni azzal, hogy "ez a te hibád volt". Korán kellene ahhoz kelni.

Röhögés megy itt sokszor, hogy minek töltöm le a levelezésem a mai napig és archiválom magamnak? Okkal teszem. Sok emberrel dolgoztam az IT-ban eltöltött ~ 25 év alatt, bőven találkoztam kóklerekkel, olyanok, akik rá akartak próbálni arra, hogy rám tolják a szarukat. Egytől egyik belebuktak. Sokuk már az IT közelében sincs, ott vannak, ahova valók voltak eredetileg is. Önjelölt architekteket beleértve :D

Próbálkozni lehet, innen kívánok sok sikert hozzá :D

trey @ gépház

Ha már megint megszólítottad az üzemeltetést ...

Ha már a tények nálad megszólásnak vannak beállítva, és ebből következően picsogsz két bekezdésen át, akkor te egy sértődékeny vénember lettél öreg korodra.

A szakma teljes ranglétráját bejártam, technikustól indulva.

Az üzemeltetői szakma ranglétráját jártad be, azt is egyetlen cégnél. :D

Sok emberrel dolgoztam az IT-ban eltöltött ~ 25 év alatt, bőven találkoztam kóklerekkel, olyanok, akik rá akartak próbálni arra, hogy rám tolják a szarukat. Egytől egyik belebuktak. Sokuk már az IT közelében sincs, ott vannak, ahova valók voltak eredetileg is. Önjelölt architekteket beleértve :D

Szerinted én hány ilyennel találkoztam? Önjelölt üzemeltetőket beleérve? Olyan kijelentések teszel a melledet verve, amit amúgy mindenki más is átélt. :D

Nem tudom, miből gondolod, hogy az "üzemeltetők", mint csoport, egységesen magas szakmai színvonalú. Azt se tudom, hogy miből gondolod, hogy az "architectek", mint csoport, egységesen alacsony szakmai színvonalú. Az viszont látszik, hogy szépen megnőtt a kisebbségi komplexusod.

Ha már a tények nálad megszólásnak vannak beállítva, és ebből következően picsogsz két bekezdésen át, akkor te egy sértődékeny vénember lettél öreg korodra.

Ó, ne keverd a dörzsöltet a picsogóval. Öreg hiba. 

Az üzemeltetői szakma ranglétráját jártad be, azt is egyetlen cégnél. :D

Persze, egy olyan cégnél, aminek a profilja az outsourcing. Gyakorlatilag az az egy cég a 25 év alatt inkább 50-100 cég, szervezet. 

Szerinted én hány ilyennel találkoztam? Önjelölt üzemeltetőket beleérve? Olyan kijelentések teszel a melledet verve, amit amúgy mindenki más is átélt. :D

Fogalmam sincs. Olyat mondj, amikor olyan üzemeltetővel találkoztál, aki sírva könyörgött neked, hogy ne új vassal, friss szoftverrel és a projekthez megfelelő büdzsével dolgozhasson. 

Nem tudom, miből gondolod, hogy az "üzemeltetők", mint csoport, egységesen magas szakmai színvonalú.

Azt gondolom, hogy a színvonalát tekintve kurvára függ a felsővezetéstől.

Az viszont látszik, hogy szépen megnőtt a kisebbségi komplexusod.

Sosem volt kisebbségi komplexusom. Mitől lenne? Azt viszont nem szeretem, ha palimadárnak akarnak nézni. Ritkán próbálkoznak nálam ilyesmivel, de aki próbálkozott, az eddig még rajtavesztett.

trey @ gépház

Ó, ne keverd a dörzsöltet a picsogóval.

Nem kevertem, te itt picsogsz már napok óta. Azért picsogsz, mert beütött a trigger, hogy bántják az üzemeltetést, holott senki nem bántotta az üzemeltetést.

Sosem volt kisebbségi komplexusom. Mitől lenne?

Mindig is volt és egyre nagyobb... hogy mitől lenne, azt neked kellene egy pszichológussal kibogozni. :D

Akkor te áruld már el mi köze van a projekt manager M365-ös accountjának egy fejlesztési rendszerhez?

De legyen, a fejlesztési rendszerhez hozzáfér a normál accountjával.  Miért nem kell neki privileged account ahhoz hogy bármilyen változtatást elérjen?

Oké még ahhoz sem kell, de miért fér hozzá az éles rendszerhez amivel élő személyes adatokat tud lekérdezni?

Oké, neki ez a feladata. Akkor MI A FRANCÉRT NEM KELL privileged account?

Tényleg nem a RENDSZER a probléma, hanem a felhasználó?

Áruld már miért próbálod megindokolni, hogy bármelyik része helyes volt informatikailag ennek? Értem, hogy megmagyarázod azokat a nyilvánvaló dolgokat hogy jutsz hozzá egy felhasználó normál accountjához és felhívod a figyelmet ezekre a tulajdonságaira. De attól a probléma maga, hogy egy bármilyen előképzettséggel rendelkező informatikai vezetőnek egy ekkora bevételű cégnél ilyen felállást egy percig nem szabadna hogy megtűrjön.

De a legnagyobb kérdés, most mi van? Kussolás. Még a bizalmat sem akarják helyreállítani. Vagy a fals híreszteléseknek elejét venni. Miért nincs ott már a valami három beöltözött TEK csoport? Miért nem erről harsog a kormánymédia? Nincs esetleg semmilyen jelentősége a rendszernek?

Akkor te áruld már el mi köze van a projekt manager M365-ös accountjának egy fejlesztési rendszerhez?

Miről beszélsz? Egy általános példa volt. 

Tényleg nem a RENDSZER a probléma, hanem a felhasználó?

Igen, egyrészt a felhasználó, másrészt az IT sec. vezető:

https://hup.hu/comment/2848579#comment-2848579

De attól a probléma maga, hogy egy bármilyen előképzettséggel rendelkező informatikai vezetőnek egy ekkora bevételű cégnél ilyen felállást egy percig nem szabadna hogy megtűrjön.

Egy ideális világba, willy:

https://hup.hu/comment/2848579#comment-2848579

De a legnagyobb kérdés, most mi van? Kussolás.

 Én ebbe a részébe nem folytam itt bele. Ne csapongjunk. Maradjunk a témánál.

trey @ gépház

Ezt a véleményed ebben a topikban többen is vitatták, vagy legalábbis, ezt a távoli nézőpontodat jobban kifejtették. Ugyanis, ha egy rendszeren nem egy cég dolgozik, akkor kurvára nem mindegy, hogy az a rendszer hogy épül fel, hol vannak az átadási pontok. Százszor írtam le, de nem fogom többször.

trey @ gépház

Ez mekkora rizsa már? Szóval, ha van egy POP3 szerver, de bárkinek a levelét lekérdezheti Józsi távolról (aki nem mellesleg a fejlesztői és/vagy üzemeltetői csapat része), az nem a POP3 szerverhez tartozó kérdés, hanem valami ismeretlen és megfoghatatlan biztosan emberi tökéletlenségre visszavezethető kérdés.

Aha.

Az a baj, hogy mindkettőtöknek kicsit igaza van.

  • Nem technikai dolgon csúszott el a dolog (pontosabban nem csak, kellett hozzá több helyen is PEBKAC)
  • Az ügyfél szempontjából tökmindegy, hogy ki a konkrét felelős, mert az ügyfél a vendorral szerződik, nem egyesével a vendor alkalmazottaival. Hogy ki a felelős cégen belül, azt majd egymás között megbeszélik.

Egyszerűsítsük le.

Van egy T támadási vektor.

Van egy A informatikai rendszer, ami védtelen a T támadási vektor ellen.

Van egy B informatikai rendszer, ami védett a T támadási vektor ellen.

Van egy A' informatikai rendszer, ami az A informatikai rendszer javított változata, ami már véd a T támadási vektor ellen.

--

Az informatikai rendszer hibája-e vagy sem, ha támadható a T támadási vektorral? Az informatikai rendszer egyik jellemzője-e a T támadási vektor elleni hatékony védelem?

Ha oktatással megelőzhető, hogy legközelebb ne nyisson meg a céges gépén ismeretlen forrásból jövő levelet és ne kattintson le mindenféle linket vakon akkor javítottak a rendszeren? Nem, mert az ember, ebben az esetben a gyenge láncszem, akit átvertek, nem része a rendszernek.

Kérdeztem korábban, csak elegánsan elsiklottatok felette. Ha munkaidőn túl szopta be a gépén a malware-t, akkor minek számított?

trey @ gépház

Ha oktatással megelőzhető, hogy legközelebb ne nyisson meg a céges gépén ismeretlen forrásból jövő levelet és ne kattintson le mindenféle linket vakon akkor javítottak a rendszeren? Nem, mert az ember, ebben az esetben a gyenge láncszem, akit átvertek, nem része a rendszernek.

Különleges személyes adatok esetén nincs olyan, hogy oktatással megelőzhető az adatszivárgás... ez már messze nem az a kategória, hogy szimpla oktatással legyen megelőzhető, az ilyen támadások ellen magának a rendszernek kell védenie a különleges személyes adatokat, több szintű védelemmel. És figyeld meg: az lesz az auditból kieső utasítás, hogy a rendszer igenis védjen az ilyen támadások ellen, mert ebben az esetben ez az elvárható védelmi szint.

Kérdeztem korábban, csak elegánsan elsiklottatok felette. Ha munkaidőn túl szopta be a gépén a malware-t, akkor minek számított?

Ha a rendszer védett az ilyen támadások ellen, akkor teljesen mindegy, hogy mikor szopja be és volt-e oktatás vagy sem. Ha a rendszer nem védett az ilyen támadások ellen, akkor meg szintén mindegy, hogy mikor szopja be.

Te is pontosan tudod, hogy lehet olyan rendszert kialakítani, amelyik védett az ilyen támadások ellen, le is írtad többször.

Nincs teljesen védett rendszer. Aki abban a hitben ringatja magát, hogy ilyen rendszer van, vagy ilyen rendszert tud építeni, ki tudja szűrni az emberi oldalt (soc. eng., szándékos szabotázs) az magának és a megbízójának is hazudik.

Egyébként, itt sem lehet kizárni, hogy a támadóknak belsős segítségük volt.

trey @ gépház

Nincs teljesen védett rendszer.

Senki nem is vitatja, teljesen védett rendszer nincs.

Aki abban a hitben ringatja magát, hogy ilyen rendszer van, vagy ilyen rendszert tud építeni, ki tudja szűrni az emberi oldalt (soc. eng., szándékos szabotázs) az magának és a megbízójának is hazudik. [...] Egyébként, itt sem lehet kizárni, hogy a támadóknak belsős segítségük volt.

Ez is a szokásos szalmabáb.

--

Az olyan támadások ellen viszont van hatásos védelem, ahol jelszót szereznek meg, amit távolról használnak. Vagy szeretnéd ezt cáfolni?

Persze, persze. Szalmabáb neve Stuxnet vs. iráni atomcentrifugák, ahova egy pendrive-val juttatták be a malware-t.

Az olyan támadások ellen viszont van hatásos védelem, ahol jelszót szereznek meg, amit távolról használnak. Vagy szeretnéd ezt cáfolni?

Azt szeretném állítani, hogy az sem 100%-os védelem. 

trey @ gépház

Persze, persze. Szalmabáb neve Stuxnet vs. iráni atomcentrifugák, ahova egy pendrive-val juttatták be a malware-t.

Ez terelés a téma kapcsán, ahol egy minden is olvasó jelszót szereztek meg.

Azt szeretném állítani, hogy az sem 100%-os védelem. 

Hatásos védelemről volt szó, kiteszek egy szervert, beállítok kettő egymástól független MFA-t, megmondom username+password és kérlek juss be. Meg tudnád mondani, hogy mennyivel csökkentettem a bejutás kockázatát ahhoz képest, hogy nincs MFA és tudod a username+password kombinációt?

--

Nyugtass meg, hogy például a netbankod esetén azért használsz MFA-t, tehát nem ment el teljesen az eszed öregkorodra, csak szokás szerint mondtál valami faszságot és egyre mélyebbre mész a mocsárban a faszságod védelmében...

Ember, leírtam, hogy ha a felépített session-t hijackelik, akkor megsütheted a MFA-t, ne kezdjük már elölről ugyanazokat a köröket ...

Nyugtass meg, hogy például a netbankod esetén azért használsz MFA-t,

Olyannyira, hogy hardveres tokent használok ahol tudok, mégsem gondolom golyóállónak.

Annyira vicces, hogy komplett hülyének próbálsz nézni. Ez be szokott neked válni egyébként?

trey @ gépház

Ember, leírtam, hogy ha a felépített session-t hijackelik, akkor megsütheted a MFA-t, ne kezdjük már elölről ugyanazokat a köröket ...

Ember, leírtam már korábban is, hogy:

1, nem session hijack történt, hanem jelszólopás, térjünk vissza a realitás talajára.

2, session hijack ellen is van védelem

3, MFA véd session hijack esetén is pluszban, ha privilegizált műveletre a rendszer plusz MFA azonosítást kér

Erre újrakezded a köröket.

Olyannyira, hogy hardveres tokent használok ahol tudok, mégsem gondolom golyóállónak.

Faszé' használod, ha nem véd minden ellen? Na? Ilyen érveid vannak. Melyik bankban érzed biztonságosabb helyen a pénzed: ahol csak jelszó védi vagy ahol van MFA? Az informatikai rendszer védi a pénzed és jelszólopás esetén se férnek hozzá, vagy csak oktatást kaptál a banktól, hogy ne add meg senkinek a jelszót?

Annyira vicces, hogy komplett hülyének próbálsz nézni. Ez be szokott neked válni egyébként?

Ha egyszer játszod a hülyét... :D

Istenem, hát feljebb leírták neked, hogy nem véd az MFA minden ellen, erre erőlteted? Nem állította senki, hogy nem lehet egy plusz rétege a biztonságnak, de nyugtass meg, MFA ide, MFA oda, van számlalimit/számlakontroll a számládon.

Ha van, miért van, nagyokos? Te bízol 100%-ig benne? :D

trey @ gépház

Az ügyfél szempontjából tökmindegy, hogy ki a konkrét felelős, mert az ügyfél a vendorral szerződik

Ezt a részét nem is vitatta senki. 

Hogy ki a felelős cégen belül, azt majd egymás között megbeszélik.

Így van, ezért fontos tisztázni, hogy a rendszert törték-e meg vagy egy embert vettek rá :D

trey @ gépház

Nem mindegy a sorrendiség. Én tisztáznám, hogy remote hole volt (valószínűleg nem, mert akkor minek kellett volna energiát pazarolni a soc. eng.-re), ha pedig előtte bejutottak és mindenhez is volt utána hozzáférésük, akkor meg nem értem, hogy milyen eset állt fent? A mindenhez hozzáférő hozzáféréssel megtörték a rendszert?

trey @ gépház

De hogy jutottak be?

A hekkert arról is kérdeztük, hogyan sikerült bejutniuk az eKRÉTA rendszereibe. Állítása szerint egy általuk írt kártevő programot, egy úgynevezett RAT-ot (remote access trojan, azaz távoli hozzáférést lehetővé tevő trójai program) sikerült bejuttatniuk, méghozzá úgy, hogy az a cég minden vírusirtóján és védelmi szoftverén észrevétlenül átjutott.

aztán:

A trójait a KRÉTA üzenetküldő rendszerén keresztül terjesztették: kiválasztottak minden adminisztrátort, és egy megtévesztő adathalász (phishing) emailben, magukat másnak kiadva átküldték a kártevő letöltéséhez szükséges linket, olyasminek álcázva, ami felkeltheti a célba vett adminisztrátorok érdeklődését

aztán:

és ezzel sikerült megszerezniük a jelszavát, amellyel már mindenhez hozzá tudtak férni

és egy megtévesztő adathalász (phishing) emailben, magukat másnak kiadva átküldték a kártevő letöltéséhez szükséges linket, olyasminek álcázva, ami felkeltheti a célba vett adminisztrátorok érdeklődését

social engineering

és ezzel sikerült megszerezniük a jelszavát, amellyel már mindenhez hozzá tudtak férni

semmiféle feltörés nem történt, mindenhez hozzáférő jelszavuk volt

trey @ gépház

Az az infó már utólag képződött oda, tegnap még a 444 főoldalán is a soc. engineering volt a bejutás fő módja.

Ha elsőként a rendszert törték meg, akkor azt kellett volna kommunikálni a 0. perctől kezdve.

Innen indultuk tegnap:

Azokból az infókból indulok ki, amit az újságíró leírt. Ha kiderült, hogy egy embert szedtek rá, akkor nem írom a cikk címébe, hogy a rendszert törték meg.

trey @ gépház

Az üzemeltető/fejlesztő cégtől _is_ vittek el adatokat, valid, de jogosulatlanul használt belépési azonosítók használatával. A "feltörték" általános jelentését tekintve nem áll meg, mert az elérhető információk alapján semmilyen erőszakos beavatkozás/módosítás/támadás nem történt a szoftverkomponensek ellen. Ahogy a besurranó tolvaj sem betörő (mert nem dolog elleni erőszakkal jut be) - pedig mindkettő értékeket tulajdonít el, ergo a sértett szempontjából az eredmény gyakorlatilag azonos (a betörésnél még van rongálásból eredő kár is, igen, de az a legtöbb esetben a teljes kárértéknek csak nagyon kis hányadát teszi ki).

 

szerintem egy trojai bejuttatása - ha tényleg ez történt - már bőven kimeríti a 'feltorték' fogalmat.

Annak ugynis be kellett jutni, aztán települni és/vagy futnia kell valahol, ahol mindezt gondolom nem nagyon akarják hogy megtörténhessen. ideális esetben tettek is érte valamit. pl víruskergető, vagy hasonló bullshit.

persze, lehet ezt is reszletezni, hogy pontosan hogy jutott be? ki teleptette fel? hiszen legtöbbször ez is úgy történik, hogy a (l)user a csöcsös képek mellett kapja 'ajándékba', és tulajdonképpen ő maga a kis kezecskéivel csinálja mindezt - de ez ugye ezesetben (még) nem tudhatjuk

 

De úgy általában a tények ismerete nélkül ezen elmélkedni a fingreszelés kategória. :)

szerintem.

A "feltörték" általános jelentését tekintve nem áll meg, mert az elérhető információk alapján semmilyen erőszakos beavatkozás/módosítás/támadás nem történt a szoftverkomponensek ellen.

Ezen azért gondolkodj még egy kicsit.

Ahogy a besurranó tolvaj sem betörő (mert nem dolog elleni erőszakkal jut be) - pedig mindkettő értékeket tulajdonít el, ergo a sértett szempontjából az eredmény gyakorlatilag azonos (a betörésnél még van rongálásból eredő kár is, igen, de az a legtöbb esetben a teljes kárértéknek csak nagyon kis hányadát teszi ki).

Bocsánat, de a védelmi rendszerek több lépcsős szofisztikált kikerülése nem besurranás. Besurranás az, amikor nincs védelem: nyitott ablak vagy nyitott ajtó. Ha megszerzik a kulcsot és azzal bemennek, az már nem besurranás, hanem betörés, idézem "a lezárt helyiség ajtaját bizonyítottan hamis vagy jogellenesen birtokba vett kulccsal, illetve más eszközzel felnyitotta".

Ahhoz elég megszerezni egy valid credential. Ami amúgy nem biztos, hogy nehéz, az info@enaplo.hu és a support@enaplo.hu címekre rendszeresen kaptam levelet, hogy nem tudnak belépni és leírta jelszavát is. Egy ideig válaszoltam, hogy lófaszt, mama, tessék próbálni a jó email címet, de aztán feladtam és ment kukába ez a két cím.

Eddig ket melohelyen volt jogosultsagom prod infrahoz. Mindket helyen _tobb kulonbozo MFA provider_ volt egyideju hasznalatban. Sehol sem volt eleg onmagaban a Microsoft-os office365-os MFA (btw be tudtak allitani, hogy 8 oranal ne eljen tovabb a session a bongeszoben). Raadasul azt is csak a vpn-hez hasznaltuk, ami nem a bongeszo sessionjevel ment, hanem a cisco-s kliensen minden egyes csatlakozaskor ujra kellett approvolni. Az irodabol is kellett a vpn a prod infrahoz. Es a konkret gepre belepeshez kellett a masodik MFA, ami jellegebol adodoan, megintcsak nem tudott perzisztens sessiont hasznalni. (Es akkor meg nem emlitettem az idegesito secops-osokat akik idonkent ramchateltek, hogy "latjak am, a logban hogy a userem csinal valamit, biztos, hogy en vagyok en?" - ennek mondjuk szerintem tenyleg semmi ertelme nem volt. Ha az MFA-s device-ok  a tamado kezeben vannak akkor a ceges chat kliens is... de ezt nem kezdtem el magyarazni a kis indiaiaknak.)

Régóta vágyok én, az androidok mezonkincsére már!

Mellesleg: A forráskódot délután fogjuk kirakni ide. Valószínű, hogy 16:30-kor. Csináljatok helyet a gépeteken mert 1 GB 😁

A letöltők között ingyenes TEK látogatást sorsolnak ki.

Mint ahogy fentebb erveltek huptarsak, az altalanos internetes labnyom ugyis tobb adatot tartalmaz es naiv, aki azt hiszi, hogy nem. Szoval ez a kis 1GB szivargas semmi. Vihar a biliben.

De akar az is lehet, hogy direkt osztottak meg forraskodot trey keresere, hogy bizonyitsak a rendszer nem szar.

A történet valahol 1998 nyarán kezdődik, amikor az első sulinetes rendszergazda tábor került megrendezésre. Ott még az iskoláknak eléggé csenevész volt a sávszélességük és rendszergazdaként is rengeteg olyan feladathoz kérték a megoldást az iskolán belül, amit egy célszoftver pillanatok alatt előállított volna. Ekkor fogant meg bennem az ötlet, hogy ezt valahogy digitalizálni kellene. A projekt ekkor elindult C++ Qt alapon: az adatbázis lokális az iskola szempontjából, de lehetőség van központi statiszikai adatok lekérésére, stb. Már itt megjelent az, hogy a szülőket és a tanárokat is bevonjuk az iskola életébe: a szülő kapjon emailt, ha hiányzik a gyerek, illetve az akkor népszerű érettségi tételsorokból kiindulva lett volna benne egy óravázlat, hogy a gyerek akkor is tudja, hogy mi volt az óra anyaga és házi feladata, ha éppen hiányzott. Erre még épült volna pár szociológiai modul, amivel az egyes problémás gyerekeket lehetett volna meghatározni (itt minden gyerek 10 gyereket jelölhetett volna mint jó fej meg 10-et mint rosszfej és ebből az adatbázisból a klikkesedések és problémás egyedek kiemelkedtek volna) (Ja meg órarend generálás)

1999-es rendszergazda táborra már kész tervvel érkeztem. Az esti tábortűz mellett előadtam, hogy tuti jó rendszer lesz, GPL-es, Windowson és Linuxon is fog futni. S előadtam, hogy hogyan kell elképzelni ezt a működés közben (minimális POC már volt ekkor) . Mondtam 3 példát: A (szülő ott ül a fürdőkádban és láthatja, hogy progresszál a gyerek) B és C. Az elképzelések nagy sikert arattak, a többiek mondták, hogy go. Pénz nincs az iskolájuknál, de egy ilyen dolog segítene.

2000-ben ismét rendszergazda tábor, de egy nagy cég megjelenik. Azt mondja, hogy kitalálták, hogyan lehetne a mi életünket könnyebbé tenni. S akkor mond is rá három példát: A (szülő ott ül a fürdőkádban és láthatja, hogy progresszál a gyerek) B és C. Gyakorlatilag szó szerint visszahallottam azt, amit egy évvel korábban mondtam. 

A projekttel küzdöttem tovább, de a következő rendszergazda táboroknál egyértelmű lett, hogy itt szabályozással és jogalkotással lesz az én projektem ellehetetlenítve, nem is érdemes küzdeni. A projektet átformáltam, lett belőle szakdolgozat amit eredményesen megvédtem.

Ami igazán zavar, hogy ha odajöttek volna hozzám, hogy öcsipók, érdekel ez a projekt, kilóra megveszünk és nekünk lefejlesztheted, akkor nagy eséllyel azonnal igent mondtam volna. Az ötlet jó volt és sokkal jobban illeszkedett az iskolai infrába és logikába, mint ami végül is jött helyette, ráadásul a decentralizáltsága miatt a rendelkezésre állása jobb is lett volna, mint ami helyette jött. Ez utóbbi emlékeim szerint nagyon sok éven keresztül problémás volt a sávszélesség miatt (lassú volt vagy nem elérhető).

A projektről maradt néhány screenshot: https://nebulon.hu/ss/
(S mielőtt szétszedtek: ez egy közel 20 éves projekt. Akkor még SQL támogatás sem volt a Qt-ban :D. Szóval easy, please ...)
 

<kicsit off>

Szóval easy, please ...)

Úh igen, azok a színek! ;) Ugyanakkor meg is értem, az ilyen "Marikanéni is használja" szoftvereknél komoly usability szerepe van az intenzív színkódolásnak.

Félre ne értsd, nem fikázásból mondom, inkábbcsak az időutazás-feelingje erős. Elgondolkodtam, hogy manapság ugyanerre a feladatra mennyire másképp nézne ki egy frontend, nemcsak stílusban hanem szervezésben is (és kérdéses, hogy jobb lenne-e bármivel).

</kicsit off>

Régóta vágyok én, az androidok mezonkincsére már!

Nem a mai cukidizájn, ellenben nekem nagyon tetszik a funkcionalitásnak alárendelt következetes színhasználat.
Ez hiányzik nekem a mai munkaszoftvereknél. Cukiság első találkozáskor jópofa, ellenben a használatot segítő színválasztás a maradék sok-sok évére lenne nagyon hálás dolog.

Édesanyám városüzemeltetésen dolgozott, ott is lett volna rengeteg lehetőség modernizálni. Pl. még akkor is nagy lemezen kellett egy embernek elvinnie személyesen azokat az excel file-okat a polgármesteri hivatalba amiket ők gyártottak a városüzemeltetésen, amikor már a kis lemez is kezdett ciki lenni. A történetedet olvasva, örülök, hogy annak idején édesanyám munkájának megkönnyítése kimerült abban, hogy segítettem neki a bonyolultabb táblázatoknál néhány scripttel és nem vágtam bele valami komolyabb projektbe nekik. Mondjuk pénz már akkor se volt ilyesmire, hacsak nem valakinek a valakije volt az ember. A főnöke pl játszani járt be, semmit sem csinált egész nap és még anyámékat se hagyta legtöbbször dolgozni, pedig ők végezték a főnök munkáját is akinek kb fogalma sem volt, hogy mit kellene csinálni. Na, de ez már egy másik dolog.

Egyetemen már nem ellopják az ötletet, hanem valakinek a valakije akar pénzt keresni és lecserélik a működő, gyors és hatékony, fillérekből megcsinált rendszert egy katasztrófahalomra. Mind teljesítmény, használhatóság, mind biztonság szemponjából :)

Ott megtanultam, hogy Magyarországon soha, semmit sem szabad fejleszteni.

Nekem 2007-ig volt egy elektronikus napló nevű projektem, az enaplo.hu máig az enyém... lett volna rá bőven érdeklődés, akkor hagytam abba a dolgot, amikor elkezdték lebegtetni, hogy lesz majd egy közös nagy állami elektronikus napló és én nem akartam olyan projektbe sok erőforrást tenni, amit aztán egy tollvonással kihúznak alólam, mert például kötelezik az iskolákat arra, hogy egy darab központi rendszert használjanak.

Nekem is hasonló időben volt egy intranetes e-naplóm használatban Pannonhalmán, a papyrus. Az elsők közt voltunk, akik az érettségi anyakönyvet is ezzel nyomtattuk, illetve félévkor grafikonokkal és szöveggel ("dicsértek" is a kollégák) ellátott bizit küldtünk ki. :-) De a tanári fogadónap szervezésekor vagy a buszos hazautazás szervezésekor, illetve osztálykép-rendeléskor is hasznos volt.

(Lesson learned: a session kezelésre figyelni kell erősen. Egy lelkiismeretes kollégám 60 percnél tovább töltött ki egy osztályhoz szöveges értékeléseket, majd pedig elszállt a session.)

Megér ez a rendszer 1 milliárdot havonta?

A rendszer igen. Csak az az 1 lipsiberenc projectvezeto az nem kellene oda. Az nem rendszerkompatibilis.

A rendszer amugy mukodik jol, fasza minden. Van progress. Lassan nyilt forrasu lesz a dolog. Kozossegi fejlesztes es kozossegi adatkezelessel lehet jon becsuletkassza is, ahol a gyerekek onszorgalombol beirhatjak a jol mukodo rendszerbe a sajat jegyeiket is, igy leveve a terhet a tanarok vallarol, akik amugyis csak tuntetnek ossze-vissza, masra nem jok.

[OFF] A médiában manapság már szokásos és elfogadott lett ez a megengedő mód: "feltörhették", "kiszivároghatott" ...  bahhh, nekem ez annyira dühítő, ugyanis nekem mindig az jut eszembe; Ki / kik engedték meg nekik? [ON]

Szerintem úgy kell érteni, hogy "lehetőségük volt rá". Mint az autósok használatba vehették az új utat, stb. Azt sem úgy értjük, hogy talán használatba vették, talán nem.

Korábban nem törhették fel, de most kedvezőek lettek a körülmények, adódott rá lehetőség, meg szándék is.

..Azért látszik mennyire komoly ez a rendszer. 

Mivel feltörték, gondoltam megváltoztatom a jelszavam a Kréta webes felületén. (Tekintsünk el tőle, hogy jelen esetben ennek nem sok értelme van ) Ez meg is történt.

Aztán Androidon vártam, hogy a Kréta app majd újra authentikál. DE SEMMI  :) Megy mindenféle kérdezősködés nélkül :D Szóval érdekes a session kezelés :)

(Az app azóta se kér jelszót, webre pedig az új jelszóval tudok belépni)

Uhh bazzz. És az ember ne legyen mérges amikor ilyen kiba sok adót kell fizetnie, mert hát a KATA-t elbaszták, aztán egy valamire való rendszert nem bírnak ennyi pénzből fejleszteni...

Persze jól látható módon a fityesz szavazók hárítanak foggal-körömmel, mert hát ez a rendszer nem lehet szar, ááá nem! Ebben az országban minden szép és jó!

Azt nem tudjuk a pénz hány százaléka ment effektív fejlesztésre ;)

Emlékszem , amikor Juhász Pici (Treynek: csak egy hülye tanár) anno azt mondta, hogy aki olyat tesz le az asztalra mint a Neptun az itt nem kap diplomát :) És ez volt vagy húsz éve, úgy tűnik a haversenyszféra azóta is előre megy, nem hátra.  

Kurvára nem hasonlít.

Az egyik esetben egy publikusan elérhető szolgáltatás hibájáról szólt privátban az ember, átadta az adatokat, majd később ránézett újra, hogy javították-e, de nem javították és itt már balfasz volt, tovább nézelődött, de kárt nem okozott, végül pénzbüntetéssel megúszta. A Telekom is szimplán balfasz volt, rosszul kezelték az ügyet.

A másik esetben meg gyakorlatilag célzott támadással betörtek és hetekig vittek minden mozdítható bitet, személyes adatokat, forráskódot, adatbázisokat, levelezést, belső kommunikációt, közben egyrészt fel se merült, hogy szólnak a dologról a cégnek és ez már kurvára bűncselekmény kategória. A fejlesztő és üzemeltető cég pedig egyszerűen le akarta tagadni a tényt, hogy megtörték őket, ami szintén bűncselekmény kategória.

Most hogy kárt okoztak is el akarják titkolni, mi lett volna, ha szólnak nekik, hogy szar az egész ... gondolkodom...

Nem kell szerintem sokat várnunk és áldozatként lesz feltüntetve a cég akire rá kellett bízniuk a szülőknek az adataikat de szakértelem hiányában jogsértő módon hozzásegítették a bűnözőket a károkozáshoz. De számodra a szakmai portálon még is az fontos, vajon ki nyitotta beljebb a tágra nyitott ajtót és sz*rt a padló közepére.

valami köd van a szemed előtt..

én az összehasonlításra írtam, hogy más a KRÉTA és Telekom esete.

"Nem kell szerintem sokat várnunk és áldozatként lesz feltüntetve a cég akire rá kellett bízniuk a szülőknek az adataikat de szakértelem hiányában jogsértő módon hozzásegítették a bűnözőket a károkozáshoz. De számodra a szakmai portálon még is az fontos, vajon ki nyitotta beljebb a tágra nyitott ajtót és sz*rt a padló közepére."

ez teljesen téves gondolat menet - mondhatnék rosszabbat is rá..

Büntető jog szerint - ha rosszul szereled fel a zárat és betörnek, akkor is a betörő a bűnös.

A véleményemet meg olvashatod feljebb:

12:10 itt egymásra talált az emberi szemét és a szakmai ~

Ilyet nem lehet, akkor sem csinálni, nincs rá mentség -- megérdemli, hogy börtönbe kerüljön és azok is akik festményeket öntenek le...

For Whites Only meeting room!

Baromságokat hordasz össze, ez a cég nem tulajdonosa volt a háznak hanem az őrzője és kezelője, aki hanyag módon hazament és annak ellenére, hogy a szerződésben ezt vállalta, hogy a legjobb tudása szerint őrzi azt. Majd mikor megtörtént a probléma, nem a szerződés szerint értesítették az adatok tulajdonosait, hanem megpróbálták az ügyet berugdalni a szőnyeg alá.

Ez történt. 

Szerintem a szakmai korrektség jegyében érdemes a két dolgot különválasztani. A betörés és az adatlopás akkor is btk ha egy vérprofi rendszerrel teszik meg és akkor is ha egy tárva-nyitva hagyott szemétteleppel.

Az a fajta hanyagság és nemtörődömség amit ez a cég elkövetett szintén nem kéne hogy büntetlenül maradjon. A milliószám elkövetett adatvédelmi szabálysértéstől kezdve egy csomó szabálytalanságot rá lehet (és rá kell) húzni a cégre, és a megrendelőre (melyik minisztérium?) aki átvette, kifizette, sőt a karbantartást fizeti rendszeresen.

Nem a programozó, nem a projektvezető itt a fő hibás.
Hanem az aki nem rendelt meg erre a kupacra soha egy értelmes auditot.

Ha ez egy bank vagy biztosító lenne már sóval szórták volna be a helyét.

Gábriel Ákos

nem a projektvezető itt a fő hibás.
Hanem az aki nem rendelt meg erre a kupacra soha egy értelmes auditot.

 De ez a kettő: a balfasz képzetlen, meg a CISO. Ezt állítottam az eleje óta. Esetleg még a HR is, amelyik projektvezető feladatra felvett egy olyan embert, aki az ECDL vizsgán is megbukott volna.

trey @ gépház

Ez így. Teljesen egyetértek, de fent én arra hivatkoztam, hogy egy rendőrség által folytatott (nem a betöréshez kapcsolódó) nyomozásban miket követtek el. Ilyen cégnek nem igazán lenne szabadna lenni. Nem csak a szakmai defekt a jelentős, meg az általad is megfogalmazott vezetői, de látszólag emberi minőségi problémák is vannak.

Szerintetek kérhetem az iskolától a gyermekeim és saját adataim törlését a KRÉTÁ-ból? Nincs már esetleg ilyen csoportos kezdeményezés? Minek után kint van GitHub-on a teljes forráskód, beégetett jelszavakkal, certekkel, lehet hogy más szándékkal más brigád is megtöri... 

hogy egyeltalán tovább tudják vinni a bizniszt - kell egy független audit..

bizniszt továbbvinni? Igaz bármi megtörténhet ebben az országban, de aki ennyire alkalmatlan legalább egy szakmai portálon ne vessük fel, hogy bármit is továbbvigyen. Már rég korlátozva kellene hogy legyen a szabad mozgás és valami külső független irányítás alá helyezni a céget a nagyobb károk megelőzése végett. 

Ha a gyermeked illetve a saját adataid azért kellenek a KRÉTÁ-nak, hogy bizonyos, jogos feladataikat ellássák, akkor kérheted, de erre hivatkozva nem fogják törölni. Nem tudok olyan kitételről a GDPR-ben, hogy kérheted az adataid törlését, ha arra nem megfelelően vigyáztak.

Ezzel nekem az a problémám így laikusként, hogy van egy kötelezően használt rendszer, aminek kötelezően adatot kell megadnod akkor is ha nem tudják garantálni a gdpr megfelelőséget. De még ha lenne olyan lehetőségem, hogy erre hivatkozva kérjem a törlését nem vagyok beljebb, mint beletörődni, mert kb. onnantól nem járhat iskolába a gyerkpc, mivel minden a krétában van.

 

Offtopic: Engem az meglep azért, hogy kitakarították teljesen a komplett DB -t is vitték, majd az egész oldal forrását kirakták github-ra és az oldal még mindig működik, és nincsen leállítva egy ilyen incidens közepette.

-42-

Mondjuk nem adnának meg több adatot amit aztán el lehetne lopni megint? :D Ha rommá van törve egy weboldal te sem örülnél ha kötelezőből be kéne írnod személyes adatot mikor tudod, hogy lehet fél óra múlva már adják veszik a darkneten :D De lehet én vagyok rosszul bekötve 

-42-

Ami igazán érzékeny volt, az már bukta, az meg valószínűleg annyira nem érdekel senkit, hogy még egy két osztályzatot ki tudnak olvasni pluszban. Vesd ezt össze azzal, hogy az ország összes iskolájának a teljes adminisztrációját elérhetetlenné teszed bizonytalan időre.

Lekapcsolni akkor lett volna értelme amikor még nem vitték ki az adatokat, de az a hajó már elúszott.

Miért, ez tök jó. Rögtön ki lehet majd szűrni az állásinterjúkon az iskolából túl sokat hiányzókat, vagy a rossz magatartásúakat, vagy a strébereket vagy a vicces beírásokkal rendelkezőket. Hitelt sem kapnak majd, akik matekból és fizikából túl rosszak voltak. Lesz majd ilyen randi app, ami a jegyek alapján párosít össze, stb. Csomó lehetőség.

Végülis lehet tényleg belső szivárogtatás volt és treynek van igaza, haladunk a kínai modell felé, ez az első lépcső :D

Én csak egyet nem értek. Hogy kerülhet felelős beosztásba egy akkora kretén, akit egy sima email linkkel meg lehet szivatni?

Ebből vond le, hogy a vezetőség vélhetően évente több tíz milliót kap, szóval vonj el 100-150 milliót és a maradékon oszlik el az utolsó senkik fizetése.

A lényegi probléma nem is ez, hanem az, hogy mi a lófaszra megy el évente a további ~11,5 milliárd forint a cégnél...

UPDATE: karbantartas miatt nem elerheto a Kreta.

Anyjuk picsáját, komolyan. Szóval megtörték őket, tudtak róla, letagadták, egy hónapon keresztül vitték kifelé az adatokat, tegnap publikálták a forrást és egy csomó belső kommunikációt. Mit közöl ebből a cég, amellyel ez megtörtént? Igen, így van: semmit. Frissítés miatt nem elérhető.

A helyzet az, ha a korrektség lenne a legnagyobb baj ezzel a céggel az még kávéval elmenne. Találgatás a mostani esetre vonatkozóan az, hogy egy sebezhetőséget foltoznak amit a betörő csapat kért tőlük, hogy aztán azt csinálták e, vagy hatósági beavatkozás miatt állt úgyse tudod meg. 


Popcornt valaki? A műsorhoz? 🍿

trey @ gépház

Ugyanazt? Korántsem biztos. Az eKrétába behatolók elloptak olyan adatokat, amelyekhez nem volt joguk. A fenti post írója pedig azt monda, hogy közzéteszi a profiljukat. Amit nem tudunk, hogy honnan van neki meg az elkövetők profilja, jogosan jutott-e hozzá, vagy sem. Ha jogosan, akkor ő nem követett el adatsértést.

Ez több sebből is vérzik. Ha tudja kik az elkövetők miért nem privátban írt nekik? Az elég bizonyíték lenne az elkövetők számára is, hogy ténylegesen tudja a kilétüket. Honnan fogja tudni hogy tényleg törölték és nem maradt egy másolat valahol róla? 

Valamint ez nem sokat segít az adatok biztonságán, a kód már kint van, aki esetleg további károkat akar okozni, rég talált több sebezhetőséget is, valamint az sem kizárható, hogy a múltban is hoztak el ezeken a réseken keresztül adatokat ismeretlen támadók. 

Nehogy kiderüljön, hogy miután állítólag "hónapokig nyitott volt a rendszer", az csak azért volt, mert az első piszkálás észlelése után a hatóságok telerakták honeypotokkal, amibe tátott szájjal sétált be a script kiddie :D

Alig várom a folytatást! 🍿

trey @ gépház

Ha a hatóságok telerakták honeypotokkal Trey akkor miért diskuráltak benn arról, hogy hogyan kellene félrevezetni a rendőrséget?  :D 

A ha nem szeditek le azonnal, kiteszem az adataitokat már a hatósági eljárás része lenne?  (Amúgy kishazánkban már ez sem igazán lepne meg :))

Láttam. Olyat még nem láttam, hogy egy szenzitív adatokat tároló országos rendszerbe hónapokig továbbra is ki be hagynak járkálni a hatóságok.

Értelmét sem igazán látom, de te majd mindjárt elmagyarázod nekünk. 

Ja és a NAIH-t senki sem értesítette hivatalból. 

Ezt szerintem még te sem hiszed el (országos éles rendszer compromised , de jóvanazúgy menjen csak, majd a script kiddie a frissen beállított honeypotjainkra is ráugrik és elkapjuk :)).

Szerintem ilyen esetben jobb helyeken eleve lelövik az egészet amig nem elemzik ki a logokat.

Kicsi esélye van, de ki nem zárhatjuk. Bűnüldözés területen meg nincs olyan, hogy ciki vagy sem. Olyan van, hogy megvan az elkövető vagy nincs.

Amerikából ezer esetet hozok neked, amikor óriáscégek, állami vállalatok hálózatán hónapokig bent voltak az elkövetők. Tudom, ott az más volt :D

trey @ gépház

Döntsd el lécci, hogy akkor most script-kiddie-k hatoltak be krétáékhoz (akkor nem nagyon  kéne ennyi ideig keresgélni őket), vagy olyan profik, hogy még most is a honeypotokat kell miattuk elemezgetni. Egyszerre a kettő nem reális. Amúgy valóban mind a kettőre van esély - én személy szerint úgy *képzelem*, hogy ezekre nagyon csekély, arra viszont jóval több, hogy tényleg nem tűntek fel egy jó ideig senkinek, és ennyire balfácán módon kezelték az adatokat / hozzáféréseket ennél a cégnél.

(Amúgy ki ez a Franc Feri, aki így rájuk dörrentett, mint apuka a hangoskodó óvodásgyerekekre? És ő mitől lett ilyen gyorsan ilyen jólinformált?)

Döntsd el lécci, hogy akkor most script-kiddie-k hatoltak be krétáékhoz (akkor nem nagyon  kéne ennyi ideig keresgélni őket)

Telegramon menőzőket te minek nevezed? Amíg ki nem derül(t), hogy kik is, addig is mivel kellett volna utánuk menni? 

trey @ gépház

Mivel a rendorseg csak azt nem latja meg, amit nem akar (mert erre kap utasitast), innentol kezdve barmi (is) elkepzelheto, korrupcioban pedig mi magyarok amugy is verhetetlenek vagyunk. Olyan ez kb, mint a microsoft lopas, vagy a parkolasi uzletag esete.

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Akkor most gondolkozz el azon, hogy egy honeypot rendszerből hogy szedhettek ki valós személyes adatokat... :)

Vagy azon, hogy ha ennyire kézben tartják a dolgokat, miért kellett most lelőni a krétát, mikor ez kiderült...

Ha ez megvan, akkor aztán azon, hogy kinél is működik itt a kognitív disszonancia :D :D :D 

“Any book worth banning is a book worth reading.”

Istenem, már megint a hülyének nézés ... Miután elvitték az adatokat, visszajártak még, hiszen az utólagos kommunikációt is rögzítették ... :D

Ez egy teória. Ami szemmel láthatóan nagyon kényelmetlen itt egyeseknek, mert ha mégis igaz, az nagy ROTFL

Mivel én kívülálló vagyok és rá is érek, annyi teóriát rakok össze a végleges post mortem-ig, amennyit szeretnék. :D

trey @ gépház

" az utólagos kommunikációt is rögzítették"

Amit a hackerek kedvéért szinészkedtek oda a krétások :D :D :D ezzel fedve el, hogy valójában egy kompetens társaság, és csak eljátszották, hogy nem :D :D :D 

Még a végén kiderül, hogy a kikerült ultrafos kód is kamu, és nem is az futott a krétán :D

Van még valami hasonlóan zseniális ötleted?

“Any book worth banning is a book worth reading.”

Hát, nagy is volt a törés miatt a titkolózás a hírek szerint, és nyilvánosságra kerülés után is kellett nekik 3 nap.

Titkolózásról jut eszembe, origon/mandineren még mindig nincsen ez meg sem említve egy nyúlfarknyi cikkben sem, de azt megtudtam, hogy "Az új orosz törvény örökre megváltoztat mindent" - bármi is legyen az.

Szórakoztató ez a thread is, ahol az IT sec. szakértők az exploit fogalmáról diskurálnak.

es mi masra jo egy exploit? A vegen igyis az van.

az exploit más, mint 1 adatletöltés.

 én csak arra reagaltam hogy az exploit mas.mint az adatletoltes. De a vegen az exploittal is adator fog valaki letolteni.

Hát, igen. Az exploit az valóban más  🤣

trey @ gépház

Én csak azt nem ÉRTEM, hogy egy ilyen nagy tudású képzett ember, miért "hekkerekkel" kemény most, ahelyett, hogy eddíg mindent megtett volna tudása és kapcsolati hálója segítségével azért, hogy a KRÉTA biztonságos legyen, s a gyerekei, gyerekek adatai biztonságban legyenek.

Nagyon érdekes a hozzászólásokban, hogy valaki jelzi neki, hogy a gyermekei oktatási intézménye nem KRÉTÁ-t használ.

Szóval azt gondolom, ez attól aki a magyar kiberbiztonság ikonjának tartja magát igen "korpás" megszólalás.

Szerkesztve: 2022. 11. 11., p – 09:09

Valaki tudja, hogy ki volt, üzent nekik:

"Az eKréta hekkereinek. Ha nem akartok megsülni. Akkor a személyes adatokat törlitek a leszedett adatokból. Nyilvánossá tettem a kérésem. 12 órátok van. Utána elkezdem kirakni egyenként a profilokat."

 

kieg:

még nem láttam a fenti posztot, éppen egyszerre raktuk ki ezt a tartalmat.

For Whites Only meeting room!

Eddig az volt a mondás, hogy nehogy úgy járjunk, mint a BKK jegyportál - most már eKRETA visz mindent...

For Whites Only meeting room!

Szerkesztve: 2022. 11. 14., h – 10:40

Vajon mennyi kártérítésre számíthatnak a szülők, tanulok, tanárok ezután a Fityesztől?
Ennyi ellopott adat értéke azért elég sok! Minimum kétszeresét kellene megfizetni minden érintettnek. 
Annak pedig alapnak kellene lennie ezután, hogy mindenki döntése alapjén használja tovább ez a szarkupacot. Én még a bevásárló listámat sem tárolnám ott az biztos! 

Térjünk inkább vissza jó öreg napló, ellenőrző használatához. Mivel kb. azon a szinten van megrekedve ez az ország informatikai infrastruktúra terén. Az enaplózást és a hasonló jóságokat bízzuk a fejlettebb országokra és térjünk vissza erre mi egy jó 30 év múlva (mindig is enynivel voltunk elmaradva)! 

Azért van ez, tudod, mert az ország világszinten az ötödik a high-tech export százalékos arányában. Vélhetően minden high-tech tudást exportálunk külföldre és nekünk saját használatra már csak ilyen low-tech szarok maradnak, az is drágán.

Számomra az a rejtély, hogy az ilyen rendszereknél miért idegenkednek annyira az adatok titkosításától. Szerencsésebb esetekben a jelszó legalább nem plaintext formában van eltárolva, de ezt leszámítva minden más adatot betöltenek simán a DB-be, ha kell keresni benne, ha nem.
Ha csak az orvosi / egészségügyi / GDPR által különleges adatnak minősített adatokat titkosítanák valami asszimetrikus kulccsal, és ehhez a kulcsot nem adnák ki minden futóbolondnak (akinek kiadják, annak is csak hardverkulcson), akkor az ilyen adatszivárgások érzékenyebb részei máris elkerülhetőek lennének.

Én (ehhez képest) egészen kicsi webshopoknál megcsináltam már, hogy amikor valaki lead egy rendelést, és erről e-mail megy a bolt e-mail címére, akkor a webshop pgp-vel titkosítja a levelet (csak a bolt publikus kulcsa van fent a szerveren), és a bolt számítógépén (ahol a rendelést feldolgozzák) benne van a levelezőkliensben a kulcs privát része, amivel dekódolja a levelet. Működésre 0.2 másodperccel lassabban nyilik meg a levél, cserébe aki feltöri az e-mail postafiókot, nem kapja meg több ezer ember nevét / email címét / telefonszámát / otthoni címét és a futárnak írt megjegyzést, amiből kiderül, hogy mikor van otthon, és mikor nincsen. Persze ez sem megkerülhetetlen, elég a boltban lévő PC-t feltörni, de legalább egy random botnak kevesebb esélye van rá, hogy ellopja a vásárlók adatait.

Ilyen jellegű erőfeszítéseket viszont itt nem látok, aki bejut egy sql injectionnel, vagy ellopja egy random üzemeltető jelszavát, az vihet mindent.

Nagy Péter

Elég bátran interpolálsz egy webshop és egy Kréta bonyolultságú rendszer között.

Hát, végülis mindkettő adatot tárol.

De komolyra fordítva a szót, nem gondolom, hogy ugyanaz a kaliber lenne a kettő, viszont a benne tárolt személyes adatok értéke sem összemérhető. A webshopban néhányszáz vásárló adatai vannak, akik önként adták meg, és bármikor szabadon törölhetik a profiljukat. Ezzel szemben a Kréta rendszerben az összes általános és középiskolás diák adatai, mellette szülők adatai, és tanárok adatai is szerepelnek. És nem csak a név / cím /telefonszám, hanem egészségügyi adatok is. Ez már inkább milliós nagyságrendű személyes adat, és a bekerülés sem önkéntes alapon történik. Az üzemeltetési és fejlesztési erőforrások és költségvetés sem összevethető.

Nyilván nem arra akartam utalni, hogy a krétánál is 2 óra plusz munkát kívánna a titkosítás, hanem azt, hogy gyakorlati tapasztalatból tudom, hogy megoldható, ha van rá akarat. És egy ilyen kaliberű rendszernél talán fontosabb is lenne, hogy legyen rá akarat, mint random Pistike webshopjánál.

Nagy Péter

"A webshopban néhányszáz vásárló adatai vannak, akik önként adták meg, és bármikor szabadon törölhetik a profiljukat." _- És a profil törlésével az elküldött levelek is törlésre kerülnek? mert ugyebár a profil törlésével az adott személy megvonja a korábban a személyes adatainak a tárolásához adott hozzájárulását, és ugyebár a webshop->postafiók útvonalon nem a jogszabályi köztelezettség miatt tárolandó dokumentumok6adatok mászkálnak...

Lehet meglepő lesz a válasz, mert ez nekem is annó fejlesztés végén esett le, de minden héten egy Thunderbird filter törli a 30 napnál régebbi, a webshopból kapott leveleket (IMAP-on). Ezt eredetileg a tárhely miatt találtam ki, de később az adatkezelésinél is előjött, és ott már úgy került be, hogy "a megrendelés adatait legfeljebb 45 napig kezeljük, ha törli a profilját". Ezt a regisztrációkor elfogadják, azzal a plusz lehetőséggel, hogy ha ennél hamarabb töröltetnék az adatukat, azt külön levélben kell jelezniük, így az ügyvéd szerint rendben vagyunk. (hozzáteszem, hogy még senki nem törölte a profilját az elmúlt 3 évben, viszonylag fix ügyfélkör rendelget, többségben cégek, szóval nem tudom mi lenne, ha ezzel valaki bíróságra menne)

Hogy tisztázzuk, a webshopnak van admin felülete, és nem csak e-mailben tárolja a megrendeléseket, ez utóbbihoz az megrendelő ragaszkodott. Méghozzá egy "freemailes" e-mail címre.
Erre találtam ki azt, hogy akkor legyen így, de a benti gépen az a thunderbird, ami "dekódolja" az üzeneteket, hetente rendszeresen törli is a 30 napnál régebbi rendeléseket tartalmazó leveleit. A PGP miatt azon is kevésbé aggódom, hogy átmenetileg a freemail szervereinek biztonságára van utalva a felhasználó. A mobiltelefonján pedig egy emlékeim szerint "FairMail" nevű kliens van beállítva IMAP-on, így az üzenetek onnan is törlődnek, amikor a Thunderbird törli. Az egész levelezés elvileg azért van, mert van ott egy beosztott, aki ezt tudja legfeljebb használni, mert "ez olyan, mint a faxon kapott" rendelés.

Ha rajtam múlt volna a fejlesztés, én nyilván kihagytam volna belőle az egész freemailes történetet, de nem én voltam a megrendelő (hanem egy távolabbi rokonom), így inkább igazodtam az igényekhez.

Nagy Péter

Apró különbség, hogy a webshop-ban, ahol e-mailben érkezik a rendelés a tényleges kereskedőhöz, ott a szerveren van az információ egyik fele (titkosított adat és a publikus kulcs), a kliensen pedig a másik fele (privát kulcs). Nomostan ha az alkalmazásnak képesnek kell lennie select/insert/update kiadására a DB-ben, akkor ehhez a DB-oldali titkosításnak számára transzparensen kell működnie - vagy neki úgy kell be/ki titkosítania az adatokat, hogy ott van az app-ban a megfelelő információ - mindkét esetben az alkalmazás felől/azon keresztül az adott, alkalmazásba bejelentkezett user jogosultsági szintjéhez tartozó adatokat el lehet érni. Titkosítatlan formában.
Ja, és mégegy megjegyzés: ha nálad kompromittálódik a kereskedő gog kulcsa, mit csináltok a meglévő levelekkel? Mert onnantól hogy a kulcs harmadik félhez elkerülhetett, az azzal kicsomagolható adatok védettsége megszűnik... Azaz yool át kellene csomagolni mindent _is_. Persze egy akkora webshopban, amekkorát e-mailben küldözgetés kiszolgál a maximális tárolási időre visszamenőlegesen elrakott levelek mennyisége azért nem lehet olyan hűderettenetesen sok - hiszen ezen leveleket nem köll az idők végezetéig/évekig/hónapokig tárolni...

Több dolog is eszembe jut, de talán az első az, hogy mitől véd a titkosítás, ha egy olyan fiókkal töltik le az adatokat, akit explicit feljogosítottak rá (= a te példád szerint nála lenne a privát kulcs).

Már egy at-rest titkosítást sem triviális _jól_ megcsinálni egy komplexebb rendszernél, nemhogy e2e.

Szerintem alapvetően két dologtól tudna megvédeni:

  • Ha a szerveren van meg csak a kulcs, akkor a DB dump önmagában nem lenne érdekes a kulcs nélkül. Ilyenkor persze ki lehet játszani, hogy keresünk valami SQL injection sebezhetőséget egy olyan mezőnél, ahol a szerver oldal dekódolja is a választ, de ha mondjuk csak az egészségügyi adatok vannak így titkosítva, akkor nem elég egy SQL injectiont találni, hanem olyat kell keresni, ahol a választ dekódolná is a rendszer. Egy más módon ellopott DB dump pedig legalább nem tartalmazná ezeket az adatokat.
  • Ha a felhasználónál van a kulcs, de hardverkulcson tárolva, az megakadályozhatja a kulcs ellopását. A gépén (ha megszerzik a hardverkulcs PIN-jét is) ugyan dekódolható az adat, de csak abban az időben, amikor a hardverkulcs be van dugva a gépbe.

Az utóbbival azonos elven működő hardverkulcsom nekem is van, (YubiKey), és használok olyan rendszert, ami bizonyos adatokat a kulccsal titkosítva tárol, és a csak a kliens oldalon dekódolja, amit éppen látok. Ha nincs bedugva a kulcs, akkor ezek az adatok nem olvashatóak, és a Yubikeyből (elméletben) nem lehet sehogyan sem kinyerni a privát kulcsot. Bedugom a kulcsot, feloldom a jelszóval és onnantól a kulcs kihúzásáig elérem az adatokat, amik elméletben magán a kulcson kerülnek dekódolásra. Egy ilyen megoldás legalább annyit védene, hogy csak akkor tudnák olvasni a kényesebb adatokat, ha közben a gépbe be van dugva, és fel is van oldva a kulcs. Ezzel nyilván nem a szülők e-mail címét kell védeni, hanem azokat az adatokat, amiket normál esetben az iskolában is legfeljebb az igazgató / iskolaorvos kérdezhet csak le, vagy még ők sem.

Az emberi hülyeség ellen persze ez sem véd (mondjuk ha 0-24 bedugva, feloldva hagyja valaki a kulcsát a gépben), de legalább eléggé megnehezíti a támadó dolgát.

Ha pedig a fenti két módszert kombinálnák (szülők e-mail címe a szerveren tárolt kulccsal titkosítva, gyerek egészségügyi adatai meg a hardverkulcson lévé kulccsal titkosítva), akkor a DB dump önmagában értéktelen lenne, míg a védett adatokhoz pedig még ezen felül is ki kellene várniuk, amíg hozzáférnek egy hardverkulcshoz is, miközben a sokak által elérhető adatok ugyanúgy elérhetőek a felhasználóknak, és csak egy szűkebb rétegnek kell plusz hardverkulcsot beszerezni. Ha azt veszem alapul, hogy egy magánvállalatnak gyakran 100 milliós összegű GDPR bírásg jár egy hasonló adatszivárgásért, akkor néhány ezer hardverkulcs ára mondhatni eltörpül ezek mellett.

Nagy Péter

Ezek a zseniális ötletek azokra az adatokra működnek, amit kb. egy embernek kell elérnie. Ott tökéletes.

A topikban szereplő rendszer jellemzően olyan adatok tárolására van kitalálva, amiben az adatokat több (sok) embernek is el kell tudnia érni, ráadásul nem személyhez kötött a hozzáférés, hanem leginkább szerepkörhöz. Erre a felállásra nagyon nehéz ráhúzni ezt a perszonálisan tulajdonolt adat koncepciót.

Amit én ismerek rendszert, azt kb. 170 dolgozója a cégnek, és jó néhány külső partner is használja.
Nagyságrendileg ugyan nem egy kréta, de azért az egy emberes rendszernél jóval nagyobb.
A teljes működését nem ismerem, és ha ismerném is kötne a titoktartás; de az biztos, hogy bizonyos mezőket csak hardverkulcsal elehet elérni benne, és ezeket a mezőket több tucat ember eléri.

Persze egy ilyen rendszert nehéz lefejleszteni, valószínűleg költséges is; de a kréta mostani megoldása meg érezhetően nem tartalmaz elég védelmet az adatlopás / adatszivárgás ellen.
Utólag meg pláne nehéz valamire titkosítást rakni, amihez a kezdetekben nem tervezték, és nincs kétségem affelől, hogy a mostaniba már soha nem is fog ilyen megoldás kerülni.

Inkább csak az zavar, hogy ha most kezdenének a nulláról egy új rendszert fejleszteni, ott sem merülne fel, hogy talán lehetne titkosítani. Mint ahogyan az sem, hogy nem kellene ultimate admin jogokat kiosztani, vagy ha mégis szükség van ilyen jogkörre, azt csak dedikált gépen lehessen elérni. (ahol nem leveleznek, nincs internet, stb...)

Nagy Péter

200 db yubikey, hogy legyen tartalék is a 170 user mellé, nettó 90k euró.

Magyarországon van 1.2 milka iskoláskorú gyerek, 30 gyerekenként egy tanárral, 300 gyerekenként egy staffal, és 1 gyerekenként 1 szülővel számolva az 1244000 db kulcs, darabja nettó 45 euró (bár erre gondolom elég komoly kedvezményeket lehet kapni, szóval számoljunk 30 euróval csak), az 15.4 milliárd forint.

Szerintem ez a hardverkulcsos dolgot engedjük el. :)

Mint ahogyan az sem, hogy nem kellene ultimate admin jogokat kiosztani

Ezen sem érdemes rugózni, általában az ilyen adatlopások nem "ultimate admin" accountokkal történnek. 

Jól érted, nem mindenki admin, és csak bizonyos adatok vannak így védve, amikhez talán 30 ember férhet hozzá.
Akinek nincs szüksége ezekre az adatokra, azoknak yubikey sem kell.
Ugyanakkor van olyan személy, akinek nincs hardverkulcsa, de tud olyan adatot rögzíteni, amit később csak a kulccsal lehet olvasni. (Az insert után maga sem látja az adatot)

Nagy Péter

nem értem, hogy miért nem használtak adatbázis rekord szintű titkosítást...

MSSQL AG - kellőképpen robosztus, skálázható és minden szükséges dolgot támogat, ami kell egy ilyen szintű projekthez.

For Whites Only meeting room!

bővebben ?

nem vagyok expert a témában, de üzemeltettünk (>5év) már ilyen rendszereket MSSQL és EDB (postgreSQL) - ahol volt némi terhelés napi 1-2millió új rekord sok giga DB közel 100 tábla. Adatbázis titkosítva stb..

Oracle -t most nem venném ide - sztem egyre kevesebben hajlandók kifizetni az árát..

For Whites Only meeting room!

itt az eKreta -ról volt szó - és _sok_ hiba mellett az is kiderült, hogy nem volt titkosítva az adatbázis. Erre hoztam fel MSSQL -t, hogy az alapból támogatja.

Nagyfokú felelőtlenség volt az egész projekt - vagy dilettánsok voltak..

írtad, hogy ismeret nélkül ne ajánljak -

- eléggé standard feladat eKreta - nagyon valószínű valamilyen SQL lesz a DB backend

 

De nem kértek fel, hogy legyek az architect :-) eKreta 2.0 -ra

For Whites Only meeting room!

Nem a DB-t tartalmazó diszket klónozták le, nem a DB-dumpot vitték el, hanem a "select..." kiementeként megkapható adatokat - ez ellen a rekord szintű titkosítás nem véd, hsizen ha az adott kérdés (select ... from...) jogosultság alapján teljesíthető, akkor annak a kimenetében ott van a nem titkosított adat - mert a row level titkosítás ilyen szempontból transzparens. Az más, hogy bizonyos oszlopokat nem láthat bizonyos hozzáférési jogosultság esetén - de ez nem titkosítást, hanem megfelelő jogosultságokkal elérhető nézeteket, illetve korrekt, átgondolt, séma szintű szeparációt igényel.

 Az más, hogy bizonyos oszlopokat nem láthat bizonyos hozzáférési jogosultság esetén - de ez nem titkosítást, hanem megfelelő jogosultságokkal elérhető nézeteket, illetve korrekt, átgondolt, séma szintű szeparációt igényel.

Kedvenc tankönyvi példám erre a Bonus tábla, hogy csak az összeg hozzáférését korlátozták.

Végső soron valakik valahol úgy ítélték meg a (biztonsági) tervezés során, hogy nem nagyon valószínű és nem lesz nagy gond (erkölcsi, anyagi kár), ha feltörik a rendszert és viszinek mindent (adatbázist, forráskódot).

És szerintem igazuk van, mert ez a szakmán meg néhány izén kívül kit is érdekel komolyan? Kimaradás alig volt, szóval akinek kellett használhatta és egy gyerek se bukik meg miatta a suliban. :)

Majd biztos javítanak rajta, de kit érdekel!

:D

Igazából még a szakmában is inkább többségben van az, aki azt mondja, hogy a titkosítás túl nagy munka lenne, nem éri meg vesződni vele.
Én arra számítottam, hogy a szülők majd kicsit jobban kiakadnak, de onnan sem hallok nagyobb zúgolódást. (meg lehet mostanában inkább az érdekli őket, hogy van-e egyáltalán tanár aznapp az iskolában)

Nagy Péter

Ebből a cikkből az utolsó paragrafus a hasznos. A többi nagyrészt "nem tudom hogy mi van pontosan, de biztos nem jó" téma variációi, megfűszerezve egy kis "riogatással" (gyerek- és szervkereskedelem).

Iskolás gyerekek apjaként megértem, informatikusként nem igazán.

Ha tippelni kellene, akkor ebből az adatbázisból a narancsos és nem narancsos Valakik gyerekei adatai lehetnek értékesek első körben.

Nem a DB-t tartalmazó diszket klónozták le, nem a DB-dumpot vitték el, hanem a "select..." kiementeként megkapható adatokat - ez ellen a rekord szintű titkosítás nem véd

Ezt miből tudjuk?
Továbbra sem publikáltak vizsgálatot az esettel kapcsolatban, az érintettek körét és a kiszivárogtatott adatokat sem ismerjük pontosan.

„Egy 13 éves és egy 15 éves gyerek törte föl. Tehát van azért jó képzés, van jó példa” - viccelődött.

Érdekes... Van hacker képzése ennek a korosztálynak? Mert ha nincs, akkor túl sok köze nincs az oktatásügynek hozzá. Ekkor viszont mire gondolhatott a főméltóságú főpandúr? Aki egyébként - saját bevallása szerint - nem is ért az oktatásügyhöz.

Az iskolának nem csak az a feladata, hogy bemagoltasson tantárgyakat.

A diák tanuljon meg tanulni !

Sok múlik a pedagóguson, hogy mennyire kelti fel a diák érdeklődését különböző témakörökben. A nevelésnek ( részben az iskolának, részben a szülőknek / családnak ) arra is kell terjednie, hogy a nyers tudáson kívül etikai / morális ismereteket is adjon .

Ennél a két gyereknél mintha a morális rész kimaradt volna...

Saját csemetémnél látom, mennyire nehéz belőni a határt (15 éves kocka, zseniális probléma megoldó, de közben egy troll). Ha tiltom, kialszik a tűz, pedig szülőként pont a lehetőségek biztosítása, az erősségeinek erősítése és a gyengeségei leküzdésének/kezelésének/elfogadásának tanítása lenne a dolgom. Ha nem tiltom, akkor meg nagyon nyílt kapcsolatot kell építeni és rengeteg időt rászánni, mert egyáltalán nem triviális felfogni, hogy amit csinál, az még belefért e egy gyerek csíny kategóriába, vagy már nem.

Egy példa: a szokásos módon internetes sok szereplős játékban jó nehéz előre jutni, játékon belüli vásárlás könnyít a dolgon, vagy jó sok unalmas időt kell beletenni (a szokásos fájdalmas rész hogy vedd észre inkább fizetned kéne). Az unalmas feladatot leautomatizálta egy szintén általa talált bug-ra építve. Ez most akkor ingyen használata egy pénzes szolgáltatásnak = lopás/hekkerkedés? Az alap játékért fizetett, de mindig arra tanítottam, hogy a pay to win módszert kerülje, így játékon belül nem fizet, de nem is akart kiszeretni a kedvenc játékából az unalmas karakter fejlesztési rész miatt. Őszintén ennek az értékelésében eléggé elbizonytalanodtam

viccelődött.

Biztos, hogy viccelődött? Simán el tudom képzelni, hogy komolyan gondolta. Nem tudtam, hogy van hacker-képzés is már az iskolákban. Annyit tudok, hogy harmadikban, heti egy óra informatika van, a windows háttérkép átállítását tanulják, a számítógép részeiból írnak dolgozatot. A többségnek még ez is magas.

Szerkesztve: 2022. 12. 17., szo – 13:50

Bombafenyegetésekkel is gyanúsítják őket

A rendőrök december 13-án egy 15 éves és egy 13 éves fiatalember – egymástól légvonalban 82 kilométer távolságban található – otthonában tartottak kutatást. Számítástechnikai eszközöket és adathordozókat, malware-eket foglaltak le. Az idősebb diákot gyanúsítottként hallgatták ki, az életkora miatt felelősségre nem vonható 13 éves tanuló tanúkihallgatására később kerül sor. A gyanúsított elismerte a bűncselekmény elkövetését, de elkövetésére nem szolgált magyarázattal. A továbbiakban szabadlábon védekezik.

Az iskolások összefüggésbe hozhatóak számos iskolát érintő bombafenyegetéssel is. A 15 éves fiatalkorúval szemben zsarolás kísérletének megalapozott gyanúja miatt is eljárás van folyamatban – a rendelkezésre álló bizonyítékok szerint egy kártékony szoftver segítségével hozzáfért egy vele egyidős diáktársa levelezőrendszeréhez, majd kilátásba helyezte a kirúgatását, amennyiben nem fizet neki.

Link:  https://index.hu/belfold/2022/12/17/rendorseg-magyar-kozoktatas-online-…

Na, ilyen az, amikor gyerekkorban hiányzott két kibaszott nagy pofon a fiatalembereknek apukától ...

trey @ gépház

A 15 éves fiatalkorúval szemben zsarolás kísérletének megalapozott gyanúja miatt is eljárás van folyamatban – a rendelkezésre álló bizonyítékok szerint egy kártékony szoftver segítségével hozzáfért egy vele egyidős diáktársa levelezőrendszeréhez, majd kilátásba helyezte a kirúgatását, amennyiben nem fizet neki.

Hogyan szokott ez nálatok lenni? 🤔

- Mi lenne, ha a te gyerekedet zsarolná egy ilyen?

Ja, Megvan! így! ^ Nem?

trey @ gépház

Hogyan szokott ez nálatok lenni? 🤔

Rólunk nem tudok beszélni, mert ilyen nem fordult még elő. Amúgy leginkább el szokták tusolni az ilyet a picsába (lást még eKréta, az IBTV rendelkezéseinek értelmében :P). De kétlem , hogy azok közül amivel én idén találkoztam (3 kórház, az álomkincstár és a 2 polgárjenő hivatal)  bármelyik is eljutott volna az NKI-hoz incidens bejelentés formájában.

Most nem sikerült, seggfájás van, példát kell statuálni. :)

#magyarorszagenigyszeretlek

Most azt akarod fejtegetni, hogy azért törték fel a Krétát mert 13 és 15 éves korukra gengszter terroristák, vagy belátod, hogy egyéb bűncselekményeknek ehhez az esethez semmi közük nincs (ha igazak ezek a vádak, ha nem)? Persze, így jobban hangzik és jobban lehet utálni őket a médiában, ugye.

(hint, te terelsz együttműködve Pintérrel mivel nem az eredeti sztoriról van szó) 

a rendelkezésre álló bizonyítékok szerint

Ó, dehogy! Ez nem egy folyamatban levő, ismeretlen tettes ellen folytatott, általában sehova sem vezető nyomozás, amivel kevered. Itt már bizonyítékokat foglaltak le, amik a konkrét gyanúsítottra mutatnak. 🤷‍♂️

trey @ gépház

Igen, az ilyen "szegény" "kis" tini szkriptkiddiek addig szimpatikusak, amíg nem neked okoznak kárt. Onnantól mocskos kis szemetek.

A zsarolók és bombaveszéllyel fenyegetők sosem "kis" szkriptkiddie-k. Azok már kifejlett bűnözők.

trey @ gépház

Maszatolsz.

Te maszatolsz a kettős mércéddel... :D

Vagy minden ügyben várjuk meg a bírósági ítéletet vagy minden ügyben lehessen bűnözőnek mondani bárkit, akit még csak gyanúsítanak. Vagy-vagy. Minden más kettős mérce, amit előszeretettel alkalmazol.

Ha egy 13 évesnél pedig egyáltalán nem lesz elmarasztaló ítélet, mert gyerekkorú, akkor az nem is bűnös, ugye? 🤔

Nem Frankó, nem maszatolok, csak az általános kijelentést pontosítom olyan esetekre, amik nem túl gyakoriak.

trey @ gépház

Ha egy 13 évesnél pedig egyáltalán nem lesz tárgyalás, mert gyerekkorú, akkor az nem is bűnös, ugye? 🤔

Ez a te szalmabábod.

Nem Frankó, nem maszatolok, csak az általános kijelentést pontosítom olyan esetekre, amik nem túl gyakoriak.

De, trey, kurvára maszatolsz, mert te is tudod, hogy kettős mércéd van.

Vagy minden ügyben várjuk meg a bírósági ítéletet vagy minden ügyben lehessen bűnözőnek mondani bárkit, akit még csak gyanúsítanak. Vagy-vagy. Melyiket választod, hogy a későbbiekben konzekvensen ahhoz tartsuk magunkat?

Minek kapcsolod össze a kettőt? Az egyik egy köztörvényes bűncselekmény, a legkeményebb fajtából, a másik meg gondatlanság, butaság, szakmaiatlanság, nemtörődömség, hazugság. Ha utóbbiakért elítélnék az embereket, az társadalom 95% börtönben ülne.

De nem ül, mert a törvény szigora máshogy ítéli meg a zsarolót és terrorfenyegetőt, mint a lusta, buta, képzetlen hazudozót.

trey @ gépház

Az egyik állításodra az elkövetőkre mutató meggyőző bizonyítékok állnak rendelkezésre a hatóságok szerint, a másik állításod meg afféle "nép szája" izé. Feljelentést tettél már legalább ismeretlen tettes ellen, mert gyanítod, hogy közpénzt lopott ebben az esetben? Ugye érted azt is, hogy mi a különbség a (bizonyítékokkal) megalapozott gyanú egy bizonyos személlye(kke)l szemben vs. szóbeszéd ismeretlen tettes ellen közt?

trey @ gépház

Állították, hogy az összes elkövetőt elkapták?

BTW: ha én lennék egy elkövetői banda tagja lennék, én is azzal vitetném el a balhét, aki a legkisebb büntetésre (13 éves -> semmi, 15 éves -> nem túl sok) számíthat ;)

trey @ gépház

Csak megmutatták, hogy hozzáfértek a kréta egyik adatbázisszerveréhez. Mert a NNI szerint nem kerültek ki adatok.

Más, nem vagyok nagy MS SQL Server guru, de ezeket nem illik néha (vagy legalább évente egyszer) frissíteni?

 

SQL Server 2016 CU12 13.0.5698.0

Release date: February 25, 2020

 

Ennek egy 22-es betöréskor tényleg ezt kellene mutatni? 

Az egotrip nem most kezdődött a Telegram-on, hanem az eset kipattanásakor.

Más, nem vagyok nagy MS SQL Server guru, de ezeket nem illik néha (vagy legalább évente egyszer) frissíteni?

Mivel én ismerem a programozó urak munkáit, az kell mondjam, a mai napig látok MS SQL 2005 telepítéseket élesben. A Microsoft már nem támogatja, de nem lehet migrálni újabb release-re, mert nem működik. Én mindent el tudok képzelni ezek ismeretében. 

trey @ gépház

A Nemzeti Nyomozó Iroda megáldott minket egy csodálatos cikkel, amelyben elmondásuk szerint "több munkaállomást kártékony szoftverekkel (malware) fertőztek meg", és ">>korlátozottan<< hozzáfértek a fejlesztőcég munkatársának irodai levelező rendszeréhez, használt adatbázisához, forráskódhoz".

 

Sajnálattal kell közölnöm, hogy nem történt olyan, hogy "kártékony szoftverekkel fertőztünk" meg több munkaállomást, hozzáférésünk pedig nem korlátozott volt.

 

A 15 éves fiatalember nem a csapatunk tagja, külsős ember volt. Tudomásunk szerint csak a breach(eket) terjesztette.

Csapatunkban pedig nincs 13 éves tag, nem értjük a megemlítést.

Az egyik tengeralattjárós játékban egy rémült hang kiabálta: "Captain ! The hull has breached, we're all gonna die ! " Kapitány ! Megrepedt a hajótest, mindannyian meghalunk !

Számomra olybá tűnik, hogy ők (a "külsősök") törtek be (vsz saját gépükről) a Kréta szerverére, de az összeköttetés már a "belsősök" hálózata felé jött létre.

Tehát a külsősök viszik el a balhét, ők voltak az effektív végrehajtók; Az izgalmas informatikai nyomozás, hogy a Kréta szerveréről milyen IP-címre kapcsolódtak, mert lehet, hogy több ugrásos / tunneles volt a kifelé irányuló adatfolyam.

többet törték a KRÉTA -t..  :-D

- egyik nap: 13 és 15 éves tanulók

- másik nap: az a csoport akik írtak.

és szerintem még török - kínai - ukrán - koreai hackerek is járta karra - csak törölték a nyomokat

PS:

Ez mind a fantáziám szüleménye..

For Whites Only meeting room!

Én nem állítom hogy van eszük :) Viszont találtak két gyerkőcöt, akiknek bőven van a rovásán, és Pintér úr már tudja az eredmény, hogy ők voltak.

Persze a részemről az egész csak megérzés, de ha fogadni kellene, én arra fogadnék, hogy ez így, ebben a formában nem igaz.

"110 milliós bírságot kapott a KRÉTA meghekkelt fejlesztője, súlyos hiányosságokra derült fény"

https://telex.hu/techtud/2024/02/21/kreta-hekkertamadas-feltores-szemel…

"...A hatóság szerint a cégnek „az általa fejlesztett rendszer ismertsége és a benne tárolt személyes adatok mennyisége miatt is számítania kellett külső támadásokra”, de az, hogy csak az incidens után vezette be az elvárható biztonsági intézkedéseket, arra utal, hogy -„könnyelműen bízott a támadások elmaradásában, és […] a jogosulatlan hozzáférések kiküszöbölésére és kimutatására alkalmatlan, a kockázatokkal aránytalan adatbiztonsági intézkedéseket alkalmazott”..."

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

"A Kréta meghekkelt fejlesztője."

Nyami.

(Amúgy nem arról volt szó, hogy krétáék csókosok, és még egy rohadt gdpr-sértés esetén se fognak egy petákot se fizetni? Mert amúgy üdvözlendő a lépés.)

Visszakapja? Ez már megvolt. 2022es cikk:

https://szeged.hu/cikk/feltortek-a-7-milliardbol-kifejlesztett-kreta-re…

Azóta ment még bele, ez tuti. Ehhez az összeghez képest a 110 millió a kerekítési hibán belüli összeg.

De ő is jól illeszkedik a kormány keresztény vonalába, úgy kúrogatta más feleségét hogy ihaj, mondjuk aztán az ő felesége lett. De biztos már akkor is jó vastag volt a pénztárcája.

"Az élet tele van kérdésekkel. Az idióták tele vannak válaszokkal."

"Its easier to fool a man than it is to convince they have been fooled"

Rettentő módon elvesztem a sok thread-ben, ahol mindenki minden területnek szakértője a cikkhalmaz kapcsán. Annyit engedjetek meg (lehet voltmár, csak átsiklottam felette), hogy itt CISO, CEO, DPO, stb. kérdéskör jelen állás szerint _még_ teljesen lényegtelen. Az újságcikk teljesen félrevezető. A probléma nem az h. feltörték-e vagy emberi mulasztás történt vagy netán szándékosan szivárgott ki. A probléma az, hogy adatvédelmi incidens történt. Eddig tudjuk a tényeket. A többi találgatás, fantázia, stb. Mindezt teszik olyan emberek (bocsi), akik emlegetnek itt szabályzatot, meg CISO-t, meg auditot, holott ahol dolgoznak még messziről sem láttak ilyesmit. Személyes tapasztalat, a legkönnyebb a másik portájára dobálni a szart, a sajátunkat meg meg sem nézni. Engem pl. ez elgondolkodtatott, hogy oké h. pl. a DEV csak MFA tokennel fér hozzá az éles DB-hez egy rendszerben amit üzemeltetek, de egyébként ez tényleg szükséges és nem lehetne ezt másként csinálni? Hogy ez szabályozói tevékenység, vagy üzemeltetési, az most szinte másodlagos. Egy rendszer eleme a felhasználó is, a rendszergazda is, meg minden aminek köze/kapcsolata van hozzá. Teljesen felesleges azon rágódni, hogy ki a hülye, ettől még a tény amit ismerünk az az, hogy a rendszerből kijutott személyes adat. És ez baj. 1 ember felmentéséért százak/ezrek tüntetnek, bezzeg maga az adatvédelmi incidens ekkora embertömegre senkit sem érdekel. A tudatossággal van a baj, egészen társadalmi szinten.