https://telex.hu/tech/2022/11/07/kreta-rendszer-e-naplo-kozoktatas-adat…
"...Hogy mást ne említsek, ilyen adatok: a diákok fogyatékosságai, magatartászavarai, amelyek minősített adatok; felmentések, igazolások, egészségügyi adatok; pedagógusok és más alkalmazottak HR-adatai; intézmények költségvetése, gazdálkodása; intézmények iktatott dokumentumai..."
"...„a KRÉTA rendszert érintő adatszivárgás miatt 2022. január 1-jét követően a rendőrség nyomozó hatóságainál nem indult büntetőeljárás.”
--update
"A fejlesztőcég megpróbálta elhallgatni a KRÉTA feltörését"
https://telex.hu/tech/2022/11/09/kreta-rendszer-ekreta-zrt-adathalasz-t…
--update
"KRÉTA-ügy: félrevezették a felhasználókat"
https://24.hu/tech/2022/11/10/kreta-rendszer-kozoktatas-hacker-tamadas-…
"...Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről."
-- update
"Több szülőnél nem megy a KRÉTA, de nem hekkertámadás miatt"
https://telex.hu/belfold/2022/11/10/kreta-nem-mukodik-belepes-hibauzene…
"...Egy nekünk nyilatkozó kiberbiztonsági szakértő szerint a nyilvánosságra került információk alapján a fejlesztőcégnél súlyos biztonsági mulasztások merülnek fel. Szerinte ez lehet a GDPR-éra legdurvább adatvédelmi incidense. Az adatvédelmi szakértő szerint súlyosbító körülmény lehet, hogy a cég senkinek nem szólt a történtekről."
--update
"KRÉTA-ügy: Aggasztó a kiszivárgott forráskód, de arra utal, hogy a hekkerek nem mindenhez fértek hozzá"
https://telex.hu/tech/2022/11/11/kreta-adatszivargas-forraskod-ekreta-z…
"...a fejlesztőcég kommunikációja meglehetősen kusza volt az ügyben: a nyilvánosságot nem tájékoztatták, ahogy a hatóságokat sem, de a kormányt igen, és a cég ügyfélszolgálata egy-egy érdeklődő szülővel is megosztotta az információt, majdnem két hónappal azelőtt, hogy a közvélemény értesülhetett volna róla."
--update
"Alapvető hiányosságok miatt sikerülhetett feltörni a KRÉTA rendszert"
https://444.hu/2022/11/14/alapveto-hianyossagok-miatt-sikerulhetett-fel…
--20240221
"110 milliós bírságot kapott a KRÉTA meghekkelt fejlesztője, súlyos hiányosságokra derült fény"
https://telex.hu/techtud/2024/02/21/kreta-hekkertamadas-feltores-szemel…
"...A hatóság szerint a cégnek „az általa fejlesztett rendszer ismertsége és a benne tárolt személyes adatok mennyisége miatt is számítania kellett külső támadásokra”, de az, hogy csak az incidens után vezette be az elvárható biztonsági intézkedéseket, arra utal, hogy -„könnyelműen bízott a támadások elmaradásában, és […] a jogosulatlan hozzáférések kiküszöbölésére és kimutatására alkalmatlan, a kockázatokkal aránytalan adatbiztonsági intézkedéseket alkalmazott”..."
Hozzászólások
Ez csak FAKE NEW, lehet, mert a itt az országban minden törvényesen megy, szóval ha lett volna hekkelés, a GDPR értelmében azt jelenteni kellett volna. Nem jelentették tehát nincsen.
Ismétlem FAKE NEWS ...
Fedora 38, Thinkpad x280
Nincsenek koztunk bunozok, mert a bunozok mind bortonben vannak.
Az igazság elhallgatása hazugság?
Cinkosság.
Hú de rohadtúl meg lettek kopasztva személyes adatilag a userek. Arról megint nem beszél senki, hogy az érintettek általános internetes lábnyomai 10x annyi információt mondanak el, mint a Kréta egésze.
Ugyan így nem értem a népszámlálás picsogókat. Ott mondhatsz bármit. Az internetes lábnyomodat meg nem tudod meghamisítani.
Hogyan lehet strukturáltan, validálva megszerezni ezeket az adatokat egy ország ~összes iskolására az internetes lábnyomból? :)
ez egyebkent miert fontos kerdes? Az internetes labnyombol ennel tobbet is meg tudsz szerezni, nem csak iskolasokrol.
Azért kíváncsi lennék, hogy az általános internetes lábnyomból hogyan derülnek ki mondjuk az egészségügyi adataim, fogyatékosságaim, stb. Kissé bagatellizálod a dolgokat szerintem.
Te meg kurvara naiv vagy.
Vagy csak nincs előre installálva az alusapka, és okosabban használja a szociális médiát?
Akkor várom azokat a tényeket, amelyek segítenek naivságom megszütetésében.
Még szerencse, hogy az egyik választható, ugye?
Pont ez jutott eszembe nekem is. Az, hogy MS szoftvereket használnak kommunikációra, az iskolák teljes levelezés fenn van egy felhőben, FB csoportokat szerveznek és azokba BE KELL jelentkeznie a tanárnak - a feleségemnek is ezért kellett regisztrálnia az FB, ahol természetesen meg kellett adnia a telefonszámától kezdve mindent - az nem zavar senkit, az rendben van.
A különbség a Krétás ügyhöz képest az, hogy, amíg a Kréta feltörése jogi következményekkel jár a feltörőre nézve, addig a multiknak tálcán átnyújtott érzékeny adatok tömege illetve azoknak bármilyen célú, akár Magyarországgal szembeni, nemzetbiztonsági körbe tartozó felhasználásával szemben semmiféle jogi út nincs.
Milyen érdekes, hogy így a tanárhergelés környékén történt mindez!
> Sol omnibus lucet.
Nem, ez alapvetoen szeptemberi ugy, csak most irtak rola cikket, miutan azota se nyilatkozik senki az ugyrol.
Aha, aha.. Véletlenül most került terítékre.
> Sol omnibus lucet.
azt a leborult szivarvéget..
"egy projektvezető kattintott egy fertőzött linkre egy átverős emailben, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül."
Nem is tudom, mit is mondjak...
Error: nmcli terminated by signal Félbeszakítás (2)
Pöcsé' van a teamleadnek effektív rendszergazdai joga a prod környezeten...?
Nincs kőbe vésve, hogy a PM nem dolgozhat technikai feladatokon, vagy nem lehet a projekt gazdája.
Akkor másképp tegyük fel a kérdést: Miért van a PM-nek kiemelt, nem esetileg aktivált teljes támogatói hozzáférése az éles rendszerhez?
Ne kapaszkodjunk a PM-be, nem tudjuk, hogy milyen feladatai és hatásköre van.
Felvázolunk egy ideális világot, "esetileg antivált támogatói hozzáféréssel", a gyakorlatban a projektek túlnyomó többsége azt sem tudja megugorni, hogy a kilépő kolléga után biztosan ne maradjanak tokenek és a technikai userek jelszavai meg legyenek változtatva.
Legalábbis mindenhol ezt láttam, több nagyságrenddel nagyobb organizációkban, mint ami a kréta mögött áll.
Tehát, NEM a KRÉTA-t (legyen az akármi is) tör(het)ték fel ...
Jó, mondjuk sem a Telextől, sem a 444-től nem várom, hogy értse mi a különbség ...
trey @ gépház
En nagyon cuki ember vagyok, de ez a gyerekeimet erinti (ha jol tudom, Neked is van, es a KRETA -ban az adataik szerepelnek. Kb. minden, amivel az iskola rendelkezik.)
Esetleg -ha ez nem igaz- akkor tetelesen lehetne cafolni.
Error: nmcli terminated by signal Félbeszakítás (2)
Social engineering, attól hogy az üzemeltetők / folyamataik voltak a hibásak, még a rendszer átjáróház lett.
Mar ott hibazik az egesz, hogy egy - egy embert god mode -val ruhazunk fel.
Error: nmcli terminated by signal Félbeszakítás (2)
Mondjuk azt a beszélgetést is meghallgatnám, amikor adott főnökurnak sikerül megmagyarázni, hogy neki miért nem jár hozzáférés mindenhez is - a jelenlegi munkahelyem légköréből kiindulva.
[insert line here]
B.C. 3500 - DIY Vehicle / A.D. 30 - DIY Religion / A.D. 1991 - DIY OS
A cég DPO-jával együtt kell ilyen esetben leülni, és elmagyarázni, hogy a cégvezetői szék adatvédelmi/adatkezelési szempontból nem jár atyaúristen móddal.
Nekem ezt ugy sikerult elmagyarazni, hogy megemlitettem, hogy barmi tortenik beazonosithato formaban az o hozzafereseivel, az azt eredmenyezi, hogy o maga csinalta. Akkor is, ha nem, mert abban az esetben nemcsak, hogy hibazott, de meg az allomanyok eloirt vedelme sem valosult meg. Megosztott jelszo, kulcs, etc. meg nincs. Mukodik. :)
Error: nmcli terminated by signal Félbeszakítás (2)
"Itt a jelszó ebben a lezárt borítékban, most elvisszük a közös főnökünk irodájába eltenni páncélszekrénybe, hogy váratlan halálom esetén is megoldott legyen a folyamatos működés."
Miért, a globális tech. óriásokat ki az anyám kínja látta el "isteni" küldetéssel, vagy legalább ilyen tudattal?
A gyerekeink, a jövő rabszolgái vagy a esetleges jövő rabszolgafelkelések vezetői lesznek. (A "háttérnek" ezt, - és minden mást is, - jó előre kell ismernie a szükséges semlegesítésekhez. - Már előre programozzák a társadalmakat.) - A kiemelkedők adatai pedig egyébként is kincset érnek már jó előre a "pénzpiacokon".
Á.., konteó,(!) - csupán csak egy óvodás korú "script kiddie" játszadozott a "könnyített" lehetőségekkel.
:)
Azokból az infókból indulok ki, amit az újságíró leírt. Ha kiderült, hogy egy embert szedtek rá, akkor nem írom a cikk címébe, hogy a rendszert törték meg.
Bízom benne, hogy érted a különbséget.
trey @ gépház
nemtom miért véded ezeket a szerencsétlen krétásokat, rajtad kívül úgy látszik, mindenki érti, hogy mi történt
Védi a faszom, de minimális szakmaiságot azért el lehetne várni, nem? Ha az embert törték meg és annak hanyagsága miatt jutottak be, akkor azt ne a rendszeren verjék le.
trey @ gépház
A rendszert es a rendszerben tarolt adatokat erinti, nem azt a usert, akinek a pozicioja alapjan max egy MUA es egy browser juthatott volna.
Error: nmcli terminated by signal Félbeszakítás (2)
Ha egy SQL injection stb. miatt bejutottak felhasználói közreműködés nélkül az a rendszer hibája. Ha felhasználói közreműködéssel jutottak be, az nem technikai hiba, hanem emberi. Egyrészt, azé, akit megvicceltek, másrészt meg a CISO/whatever-é, aki baszott kidolgozni a szabályokat.
HTH
trey @ gépház
Ezt nem vitatta senki, sajnos itt mar a vegeredmenyrol beszelunk. Magam reszerol annak orulnek, ha kiderulne, hogy ez is egy ordas nagy kamu...
Error: nmcli terminated by signal Félbeszakítás (2)
Na, hál' istennek akkor eljutottunk oda, hogy érted, hogy mi a problémám a cikkel.
trey @ gépház
Ha nincs megfelelő jogosultságkezelés, az a rendszer hibája vagy sem? (a technikai vs. emberi hibát software esetében nehéz elválasztani, tekintettel arra, hogy a programot jelenleg még emberek írják)
Én szállitottam olyan rendszert, amiben szines-szagos, utolsó bitet is szabályozni képes jogosultságrendszer volt, mégis az ügyvezető követelte magának a full admin jogot.
Fogalmam sincs, hogy a krétánál volt-e ilyen jogosultsági rendszer, de abból ami infonk van, nem következik, hogy ne lenne, vagy rosszul működne.
Ha pedig volt és jól működött, de az üzemeltetők/nagyfőnök hülye volt, az NEM a rendszer hibája.
Még mindig jobb mint az RDP-t csak úgy kitenni a netre. :D
mégis az ügyvezető követelte magának a full admin jogot
Oké, de utána az éves független auditon miért nem bukott meg a rendszeretek? Mondjuk mert nem volt ilyesmi?
Szerintem itt is az lesz a probléma, hogy vagy eleve nem volt kidolgozva a megfelelő szabályrendszer, vagy ha volt is, nem tartották be, és ebből azért nem lett botrány, mert független audit sem volt.
Próbálj meg egy minősített tanúsítvány szolgáltatót így üzemeltetni...
Ez mi a fene?
kétszer akkora, mint a half admin :-D
For Whites Only meeting room!
Miért ne? Sok rendszer létezik, amiben különféle adminisztrátori csoportok vannak, nem feltétlenül mindegyik teljhatalmú. Pl. egy fejlett CMS -ben sokféle szinten lehet állítani az adminok jogait. Megszabható, melyik admin tud cikkeket törölni, editálni, létrehozni, usereket, kommenteket törölni, editálni, stb... Attól még azok is mind adminnak számítanak, ami nem azonos a linux root -tal, más a kontextus.
Több okból is baromság. Az egyik oka a megnevezés, a másik az idejétmúlt jogosultsági rendszer. Hosszan nem mennék bele, lent van példa.
Pl. ha van egy olyan user aki tud felhasználókat létrehozni, módosítani, jogok biztosítását elfogadni, annak nem kellenek más jogok. A jogok nem mindenhol hierarchikusak és bővülnek, hanem kiegészítik egymást, és zajt kell csinálni hozzá, sőt legtöbb esetben nem is maga a rendszer mondja meg, hogy a valami harmadik fél által azonosított félnek van e joga az adott cselekedetre, hanem egy különálló, technológiai hozzáférést biztosító rendszer és a rendszer csak a szerepköröket kezeli (tevékenység->szerepköre) térkép. Ja, igen. Ez nem bonyolultabb, csak más. Lehetővé teszi a "godmode" elkerülését és a felelősség szétosztást.
Szóval, azok a hibák amelyek a felhasználók emberi tulajdonságát használják ki azok külön kategóriába tartoznak, és ezen hibák kihasználásából keletkező jogosulatlan hozzáférések valójában nem hívhatóak "rendszerfeltörésnek" mert a felhasználó nem a "rendszer része"
Én kettéválasztanám (ahogy a szakma is) az emberi hibát a technikai hibától. Ugyanis más-más kezelést és kompetenciát igényel a kijavításuk. Ha PHP miatt törtek be, akkor üzemeltetőt terhel a felelősség, ha egy projekttagot, akkor meg a CISO-t. Ha a PHP-t törték meg, akkor egy szoftverfrissítés a megoldás, ha egy embert, akkor a képzés, folyamatok felülvizsgálata, kiigazítása stb.
trey @ gépház
De most akkor a PHP megtörésekor az eredetileg nem emberi hibára vezethető vissza? (hibás programkód)
Ez esetben, ha PHP-t törtek volna meg, helyesen írták volna, hogy a rendszert (annak egyik alkotóelemét) törték meg.
Itt nem erről van szó, hanem a leírás szerint egy social engineering cselekedetről.
trey @ gépház
Bocs, de ezt akármeddig csinálhatjuk. Rést találtak a pajzson. A rést épp egy felhasználó tette lehetővé, ha a lakásodba _betörés történik_ akkor teljesen mindegy, hogy a te kulcsod lemásolása történt vagy a zár hibáját használják ki.
Csak a felelősség felvetése a kérdés, de te azon lovagolsz, hogy egy laikus portál ami laikusoknak ír ("újságírók"<- ejjj) azt az általánosítást használja, ami általánosítás bármely más területen megállja a helyét "még ha nem is annyira szakmai".
azt hiszem források és rendszer felépítésről szóló információk elérését is írja a hír. Szóval ezután már lehet jelszó sem kell nekik, ha abban találtak sebezhetőségeket.
Az meg egy másik nóta, hogy a sejtető újságírás - feltörHETték - megér egy misét. Ezek után szerintem ne kezdj arra hivatkozni, hogy mi LEHETETT.
trey @ gépház
mivel nincs tisztességes tájékoztatás... így csak találgatni lehet. Ha nincsenek logok, akkor sem lehet biztosan megmondani, mit néztek meg. A jogosultságból lehet tudni, mit érhettek el. De nem biztos, hogy meg is néztek mindent, amit elértek.
Plusz azért is használhatnak feltételes módot, mert hozzád hasonló mellébeszélést alkalmazva még akár be is perelhetik, ha tényként írják le a nyilvánvalót, de bizonyítékot csak a nyomozás hozhatna, ami nem történik meg ezek szerint.
Mellébeszélést? Az a mellébeszélés, hogy a szakmai hibákat kijavítom? A cikk élesítése előtt talán érdemes lett volna egy kontrollt kérni hozzáértő szakembertől.
trey @ gépház
Bocs, de itt most nem a Telex fórumban írogatunk Kati néniknek, hadd javítsam már ki, ami bántja a szemem ...
trey @ gépház
Kurva nagy különbség van.
Ha én, mint rendszerszállitó adok nekik egy olyan rendszert ahol tökéletesen szabályozni lehet a hozzáférések a csak szükségesre, majd ezután a főnök vagy micike kisirja magának az admin jogot, majd megtörik micikét és rajta keresztül a rendszerből ellopnak minden adatot, akkor rohadtul szétválik ez az eset attól, amikor egy hulladék rendszert szállitok amiben nincs jogosultságkezelés, hanem bárki bármit csinálhat.
Előbbi esetben nekem mint rendszerszállitónak az ég világon semmilyen felelősségem nincs az eset kapcsán, utóbbi esetben engem kell felelősségre vonni, lehülyézni, nyilvánosan megszégyeniteni.
Összetéveszted a felelősséget és a végeredményt.
Nem tévesztek össze semmit, arra reagáltam, hogy már - nulla információ mellett - be is indult a szokásos "szar rendszert vettek csillárdért" mantra.
Nekem ezt mondják akik használják, hogy nem épp ez a legjobb dolog a világon. Nekem nem kell használni, így nem tudom.
Ettől még az, hogy social engineering-el hozzá lehet férni egy ember hozzáférésével ezekhez az adatokhoz tömegesen, eléggé azt mutatják, hogy
- a fejlesztés és az üzemeltetés teljes szétválasztása, vagy
- az éles rendszerhez történő fejlesztői hozzáférés korlátozása, vagy
- az, hogy a személyes adatokat külön tároljuk és azok hozzáféréséhez mindig kérünk indokot, vagy
- az, hogy a tömeges hozzáférés korlátozott
ilyen "sosem látott/hallott" dolog lenne.
Ebből nekem valahogy nem igazán jön le az, hogy ez a cucc megérné az összeget amit fizetünk érte. Idézet a cikkből a fejlesztési vezetőtől:
vagy másik idézet:
Szóval ha már szakmai portál miért nem ezeket a kérdéseket hozzuk elő, és miért az újságíró írása a "probléma"?
Szóval ha sok csilliárdért építünk egy börtönt, ahova bevisszük a rabokat. Viszont egyszer Józsi elhagy egy kulcsot (ellopják tőle mind1), amivel mindenhova be lehet jutni, ki lehet nyitni stb, úgy gondolod az nem a börtön rendszer hibája lesz ?
Fedora 38, Thinkpad x280
Nem érted. Ebben az esetben sem a börtönajtó beszállítója, beépítője, karbantartója lesz a felelős, hanem a személy, aki elhagyta a kulcsot (itt, akit rászedtek), meg a börtön felelős biztonsági vezetője, aki nem dolgozott ki olyan protokollt, ami megelőzhette volna ezt a hibát. Pl. Józsi ne tudja elveszíteni a kulcsot.
trey @ gépház
Tehát nem az a gond, hogy tervezésnél nem volt szempont mondjuk egy több szintű védélem, több zárrendszer stb, hanem az, hogy Józsi elhagyta/elloptáj a mindent is nyitó kulcsot.
Fedora 38, Thinkpad x280
Ha több zárrendszer volt, de Józsinál mindegyikhez ott volt az összesnek a kulcsa a kulcscsomón, amit elhagyott, az megint nem a biztonsági ajtó, annak szállítója és karbnatartója hibája. A hozzá gyártott kulccsal nyitották ki.
A tervezésnél volt hiba. Természetesen. Ötször írtam le, hogy a CISO hibázott.
De nem a számítógép + szoftver = RENDSZER volt hibás.
Mit nem lehet ezen érteni?
trey @ gépház
Eleg egyszeru a rendszerdefiniciod. Jo neked.
Leírtam, hogy miért választom külön. Ha valahol egy felsővezetői hiba történt, ott nem a gyalogokat kell felelősségre vonni, nem ott kell a hibás működést kiigazítani. Ha a vállalat egyik divíziójában hibázott valaki, attól még nem kell a másik divíziót felelősségre vonni. A kiigazítást is a hibásan működő divízióban kell megejteni.
trey @ gépház
A rendszer nem csak a számítógép+szoftver, hanem a konfiguráció is. Így egy szélesre tárt jogosultság is rendszerhiba. Az, hogy social engineeringgel hozzáféréshez jutottak, az egy adott ember hibája. Az, hogy ez a hozzáférés túl sok információhoz biztosított hozzáférést, már rendszerhiba.
Rengeteg olyan eset van, ahol az első lépcső adatlopás, tehát visszavezethető emberi hanyagságra, du utána a kevésbé védett belső hálón már egyéb módszerekkel tudnak szerezni további jogosultságokat. Ilyen esetben sem nagyon lehet kizárólagosan azt mondani, hogy emberi hiba vagy rendszerhiba.
Sok a maszatolás már. Térjünk vissza az elejére. Ha Kóder Pisti gépéhez hozzáfértek (soc. eng vagy akármilyen módszerrel), majd onnan a bejáraton keresztül besétáltak a rendszerbe, akkor feltörték a rendszert?
trey @ gépház
Vagyis neked sincs erre válaszod, emiatt le akarod szűkíteni a kérdést. Tedd. Nélkülem.
"Az, hogy ez a hozzáférés túl sok információhoz biztosított hozzáférést, már rendszerhiba."
Már hogy lenne az? Ha a nagyfőnök a rendszer átvétele után azt AKARJA, hogy full jogosultsága legyen mindenhez és ezt a beállítást megkapja az nem a rendszer hibája. Ez emberi, hozzá nem értésből és/vagy ostobaságból létrejött hiba.
Talán azért, mert ott ahol fontosak az adatok, ilyet nem lehet csinálni (rendszer eleve nem engedi), akár akarja a főnök akár nem.
Fedora 38, Thinkpad x280
Mi az, hogy nem engedi a rendszer? Hát azt engedi meg a rendszer, amit be lehet rajta állítani. Márpedig a jogosultság-kezelés egy igen fontos és kötelező elem. Tehát be lehet állítani, hogy kinek milyen jogosultsága legyen. Az, hogy ezt ki, miért, milyen dokumentációval, jóváhagyási folyamatok után állította be az szerintem sem a rendszer hibája. Ez emberi hiba/mulasztás/butaság/állásféltés miatt eshet meg.
Vannak eszközeink, ahol van a root user, viszont ez az user csak helyi console ról érhető el sehogy máshogy. Vannak főbb biztonsági funkciók amiket csak a root userrel tudsz megoldani.
Így hiába szeretne a főnök mindenhez is jogosultságot, nem fog kapni, max ha fogja magát és soros konzolról adminol ...
Volt már rá példa, hogy emiatt nekem is a helyszínre kellett mennem, mert a remote userrel nem lehetett beállítani bizonyos fukciókat.
Hiába van szuper biztonságos páncélterm, amihez 2 kód kell, hogy nyitható legyen, ha csinálnak hozzá egy kis kulcsot, (mert a főnök nem akar kódokat megtanulni), nem ér többet egy lakásajtónál ...
Fedora 38, Thinkpad x280
"Hiába van szuper biztonságos páncélterm, amihez 2 kód kell, hogy nyitható legyen, ha csinálnak hozzá egy kis kulcsot, (mert a főnök nem akar kódokat megtanulni), nem ér többet egy lakásajtónál ... "
Igen, egyről beszélünk.
https://xkcd.com/1200/
Jó, hogy a root usert véditek, de egy DB dumpolásához bőven elég egy mezei readonly user
Igen. Itt jön képbe az IT biztonsági vezető, amiről pofáztam. Nem a rendszer hibája, mint ahogy a konyhakésé sem, ha nem rendeltetésszerűen használják. Gyerek esetén az biztonsági főnök a szülő.
Jó reggelt!
trey @ gépház
Az a gond, hogy az álláspontod szerint bízol az IT biztonsági vezetőben. így szerinted rendben van, az hogy egy nagy biztonságot igénylő rendszernél az ember dönti el ki kap GOD módot és ki nem.
Erre mondtam, hogy ez ebben formában nem elfogadható, mert én nem bízok senkiben. Mindenki tudja, hogy az emberi mulasztások adják a hibák / törések nagy %-t.
Ide eleve olyan rendszert tennék, ahol nem lehet GOD modot adni.
Ahogy zárt osztályon / börtönben sincsen kés, csak műanyag szarok, ott se bízzák az emberre, hogy majd vigyázni fog ne kerüljön kés az elítéltekhez. Mert a rendszer eleve olyan.
Fedora 38, Thinkpad x280
Tévedsz. Nem én, hanem a cég vezetése, aki kinevezte. Majd ha hibázik, tartja a hátát.
Nem értelek. Ez nem annak kérdése, hogy szerintem rendben van-e, hanem cégműködési alapok. Hogy akarsz megkérdőjelezni egy adott területért felelős vezető által kiadott utasítást?
Vagyis, ha egy vállalatnál dolgozol, akkor figyelmen kívül hagyod az utasításokat?
Üzemeltetőként, olyan rendszert építesz, amit
Nem mérlegelési jogkör. Javaslatot tudsz adni, aztán azt vagy megfogadják vagy nem. Mindenesetre, aki ilyen pozícióban dolgozik, annak javaslom, írásos dokumentum mindenről legyen. Akármit is olvas online fórumokon :D
trey @ gépház
Ez ^.
Az egész jelen szál alapja az, hogy trey egy informatikai rendszer egy kis almodulját véli a rendszer egészének, nem képes befogni a tudata, hogy egy informatikai rendszernek szerves része a biztonsága is, pláne GDPR kapcsán. Attól, hogy külön felelősségi kör, még a rendszer része.
https://iotguru.cloud
Jaja, amit te csinálsz, az a tipikus CEO szemszög: leszarom (történtekre utalva: hallani sem akarok róla), minden IS a rendszer része, válogatás nélkül, mindenki hülye, mindenki felelős mert betörtek.
Én meg az a csóka vagyok itt, aki kiáll az embereiért és "Hátrébb az agarakkal CEO úr, nem a rendszert törték fel, hanem az egyik ügyefogyott emberét. Mennyi ideje is dolgozik az úr, az IT-ben, hogy ezt beszopta? Ki vette fel erre a pozícióra? :D".
🤷♂️
Értem, hogy neked - saját bevallásod szerint naaaaaagyon magasan ülő emberként - miért nem tetszik, akinek tök mindegy ki volt a hibás, a RENDSZER volt a rossz. Ilyenkor az szokott a balszerencséje lenni az ilyen magas lovon ülőknek, hogy mindig mindenről írásos utasítást kérek, szóval egy esetleges jogi hercehurca esetén a magasan levő urak rendszerint koppanni szoktak 😆
trey @ gépház
Nem, ez a te szalmabábod. Te csak úgy tudsz vitázni, hogy szalmabábokat építesz fel és azokra reagálsz.
Te az vagy, aki nem tudja, hogy mi az informatikai rendszer, a tudata annyit fog át, hogy biztos a szerver lesz ez a rajta futó programokkal és mivel ezzel foglalkozol, ezért bekattant a trigger, hogy most biztos az üzemeltetést hibáztatják, holott senki nem hibáztatja az üzemeltetést. Rávetődtél egy árnyékra és most ezen pörögsz, mint egy hülyegyerek.
Igen, az az informatikai rendszer rossz, amelyik ilyen támadás lehetőségét ennyire egyszerűen lehetővé teszi. Ettől még vannak konkrét emberek, akik elkövettek a hibákat, de ennek az volt az oka, hogy az informatikai rendszer sebezhető, és lehetővé teszi, hogy elkövessék ezeket a hibákat. Figyeld meg: a cégnél olyan változtatásokat végeznek majd el az informatikai rendszerben, amelyek ezeket a hibákat már nem fogják lehetővé tenni. Nem a szabályzaton és az előírásokon módosítanak, nem a szabályzatok és az előírások betartását fogják jobban ellenőrizni, hanem magán az informatikai rendszer egészén változtatnak.
https://iotguru.cloud
Mantrázd csak, én meg készülök dokumentálással, hogy amikor a hozzád hasonló "minden is a RENDSZER, még a munkaidején kívül otthon levő dolgozó, aki a poreszos gépén dolgozik be a rendszerbe is" emberrel találkozok, akkor legyen mivel bizonyítani a hülyeségét. Szerencsére az ilyen vitás kérdésekben bíróságok és nem _Franco_-k döntenek. Addig meg azt firkálsz ide, amit szeretnél. :D
trey @ gépház
Na, elfogytak az érvek, jön a személyeskedés? :D
https://iotguru.cloud
Igazából, elfogyott minden a részemről. Amit akartam, leírtam tegnap és ma. Nincs egyéb hozzáfűznivalóm. A véleményem nem változott.
🤷♂️
trey @ gépház
Tudjuk, ilyenkor jön a személyeskedés.
Ha a cég a NAIH audit eredményeképpen változtat a KRÉTA informatikai rendszeren, hogy ilyen eset ne fordulhasson elő többé, akkor gondolom felköpsz majd és aláállsz.
https://iotguru.cloud
Első körben a folyamatokon kellene változtatni. Ugyanis azt törték meg. Ha ezzel párhuzamosan szorosabbra fogják a rendszer biztonságát (a CISO és az auditor feladatköre), majd azt az üzemeltetés implementálja, az egy pozitív kimenet lesz. Miért kellene ezért bármit is csinálnom? Ezt ugatom az eleje óta :D :D
Nincs olyan rendszer, amin ne lehetne javítani. Meg olyan sincs, amit ne lehetne feltörni.
Tudod, örök mondás:
"A rendszert védőknek minden egyes nap résen kell lenniük, a támadónak meg elég, ha egyszer szerencséje van."
trey @ gépház
Igen, a folyamatok az informatikai rendszer részei, és igen a folyamatokon keresztül törték meg az informatikai rendszert. Senki nem hibáztatja az üzemeltetést, ezt csak te hoztad fel eddig.
Mit és miért kellene implementálnia az üzemeltetésnek, ha szerinted a rendszert nem törték meg, csak a folyamatokat? Ha nem a rendszer biztonsága gyenge, akkor elég lenne megfelelően betartani a szabályzatot. Ha hozzá kell nyúlni a rendszerhez olyan szinten, hogy az kód vagy infrastruktúra módosítással jár, akkor bizony az általad rendszernek nevezett rész is rossz volt ebből a szempontból, mert széles utat adott ahhoz, hogy a folyamatokon keresztül törhető legyen a védelme és ezen módosítani kell. Nocsak, kezd átmenni az üzenet a tűzfaladon, amit többen is mondunk az eleje óta?
Nem, te össze-vissza ugatsz az eleje óta, mert hirtelen felindulásból magadra vetted, hogy az üzemeltetést hibáztatják és már sokadszorra finomítod és módosítod, hogy mit is ugatsz az eleje óta.
https://iotguru.cloud
Hogy feldobjam a hangulatot idézek egy klasszikust:
Fedora 38, Thinkpad x280
Szépen terelsz. Egy soha meg nem tört rendszer biztonságán is lehet javítani. Ha te ezt nem tudod, akkor képezd tovább magad.
trey @ gépház
Semmi terelés nincs ebben, a terelés a te műfajod.
Így van, ez teljesen egyértelmű. Ha felteszed azt a kérdést, hogy miért és hogyan kell a rendszer biztonságán javítani egy ilyen incidens után, és megpróbálod ezt megválaszolni, akkor rövid úton eljutsz oda, hogy mit jelent az rendszer egésze és mi minden tartozik bele. Én annak is örülök, hogy már elkezdtél gondolkodni a dolgon.
https://iotguru.cloud
Valóban, ha felteszem a kérdést, akkor ott jön képbe a IT sec vezető meg az auditor, esetlegesen az idevágó ISO szabványok, amivel a _folyamatokat_ lehet javítani.
Kérlek mellőzd az elmetrükköket, nálam ezek nem válnak be.
trey @ gépház
Alakul, ezeket a folyamatokat és a folyamatok javításait implementálni kell az üzemeltetés által üzemeltetett alrendszerben? Ezek a folyamatok az informatikai rendszer üzemszerű működésének a részei, vagy attól teljesen elválaszthatóak és az üzemeltetés által üzemeltetett alrendszer üzemszerűen működik az említett folyamatok nélkül is? Idővel eljutunk oda, hogy amit rendszernek gondolsz, az csak egy alrendszer vagy modul, már többször sikerült ilyesmit leírnod...
Ó, azt tudom, nehezen tanulsz és sokáig ragaszkodsz a véleményedhez... :D
https://iotguru.cloud
Ne terelj. Onnan indultunk, hogy azt állítottam, hogy nem a rendszert törték fel, hanem a folyamatot. A folyamaton kell javítani. Itt jön képbe a IT sec vezető meg az auditor, esetlegesen az idevágó ISO szabványok, amivel a _folyamatokat_ lehet javítani.
Hogy aztán a rendszeren is lehetne utána tovább javítani, azt senki sem vitatta. Az volt az állítás, amit már elfelejtettél, hogy NEM A RENDSZERT TÖRTÉK FEL.
trey @ gépház
Nem terelek, azt te szoktál. :D
Ezek a folyamatok az informatikai rendszer szerves részei, amelyeket az üzemeltetők által is üzemeltetett alrendszer is implementál többek között, ahogy például a fizikai biztonság is implementál többek között. Az informatikai rendszer szerves része annak mindenféle védelme.
Senki. Csak a szalmabábjaid. Ahogy azt is a szalmabábjaid mondták, hogy bárki is az üzemeltetést hibáztatja.
Nem a szervert és a futó szoftvereket törték meg, hanem az informatikai rendszer egészét, mert nem implementáltak és kényszerítettek ki a védendő adatoknak megfelelő szintű biztonságos folyamatokat. Ha ez a fajta támadás a jövőben kivédhető azzal a kód és infrastruktúra változással, amit majd a fejlesztők lefejlesztenek és az üzemeltetők majd üzemeltetnek, akkor az informatikai rendszer ilyen fajta feltörését az üzemeltetők által üzemeltetett alrendszer akadályozza meg azzal, hogy véd az ilyen fajta támadások ellen. Nem a folyamatok, nem az emberek odafigyelése, nem a CISO, nem a házirend véd, hanem a rendszer eleve olyan, hogy megakadályozza ezt a fajta támadást. És ezzel körbeértünk.
https://iotguru.cloud
LOL 😆
trey @ gépház
ROTFL! :D
https://iotguru.cloud
Még mindig az emberben hiszel ...
Ez 1x már megbukott, gondolod másodszor jobb lesz ? Folyamat javítás alatt mit értesz, megint leírják, hogy józsika nem adhat ki pistikének GOD módot ? Ez miben akadályoz meg valakit, hogy pistikének adjon megint GOD módot ?
Ellenben ha olyan a rendszer, hogy SENKI se tud pistikének GOD módot adni, akkor a fenti folyamat és ezáltal a hibalehetőség fel se merül.
Fedora 38, Thinkpad x280
Volt eddig aki megmondta, felvilágosította, hogy nem nyitunk meg minden szart, ami levélben érkezik azon a gépen, amivel a mindenséghez is hozzá lehet férni? Oktatás volt?
Ha nem volt, akkor segít.
Mi az, hogy nem tud?
trey @ gépház
Nem tudom rémlenek-e olyan rendszerek amiknél bizonyos dolgok csak rendszergazdai terminálon keresztül történhetnek ?
Nekünk is van ilyen hw-unk, hogy bizonyos funkciók csak a 0. számu userrel tudsz megoldani, viszont ez az user csak serial konzolon tud belépni sehogy máshogy, tehát a olyan dolog kell amit csak az az user tud akkor oda kell baktatni serial-t ratolni és hajrá. (sajna volt benne részem ...)
Fedora 38, Thinkpad x280
ooh, ezt is meg lehet ám okosítani:
a serial mindig be van dugva egy erre kinevezett gépbe, amire viszont meg be lehet SSH-zni ;)
zrubi.hu
Ez nem okosítás, ez telibef0sása a fizikai védelemnek. Ugyanis amíg egy soros terminálról lépsz be, addig a soros madzag adta távolságon belül fogod a jelszót begépelni, illetve maximum addig a távolságig fogod a fizikai eszköztől elvinni az adatokat, a soros terminált emuláló gép esetén meg elég egyszer bejutni rá, ott lesz a konzol teljes adatforgalma plaintext-ben, amit aztán akárhova is át tudsz vinni, el tudsz menteni.
Persze lehet ezt is jól csinálni, mondjuk egy olyan ssh-hozzáféréssel, amin csak shell van, scp, sftp, portforward és hasonlók nincsenek, a sebessége limitált, és a teljes adatfolyam illetéktelen hozzáférés/módosítás ellen védett módon rögzítésre kerül. Na ez az, amit nem minden esetben tesznek meg...
Ez is egy koncepció, viszont ahol a gép fizikai elhelyezése sok (több tíz) kilométerrel odébb van, ott bizony nem fizikai soros konzol van, hanem konzolszerver.
Tehát, finomítani kell a folyamatokon, aminek az eredményeképpen lehet javítani a rendszeren. Ettől még mindig nem a rendszert törték meg.
trey @ gépház
Ha egy biztonsági hiányosságot kijavítasz a rendszeren és ennek eredményeképpen már nem lehet ezzel a támadási móddal bejutni és adatokat lopni, akkor korábban ezzel a támadási móddal miért nem a rendszert törték meg?
https://iotguru.cloud
Kérlek ne mosolyogtass meg, itt a rendszerbe nem támadási móddal jutottak be, hanem valid hozzáférési adatokkal. Nem a rendszerbe jutottak be, hanem az embert szedték rá. Kérlek ne keverjük a sorrendet, mert fontos.
trey @ gépház
Ez ellen a támadási vektor ellen könnyedén lehet védekezni és ezt te is pontosan tudod. Szóval, ha ezt a biztonsági hiányosságot kijavítod a rendszeren, idézlek szó szerint "finomítani kell a folyamatokon, aminek az eredményeképpen lehet javítani a rendszeren" és ennek eredményeképpen már nem lehet ezzel a támadási móddal bejutni és adatokat lopni, akkor korábban ezzel a támadási móddal miért nem a rendszert törték meg? Teljesen mindegy, hogy valid hozzáférési adatokkal történt egy embert megtévesztve, ha ezt a támadási vektort befoltozzák a rendszer szintjén, ahogy a saját kezeddel írtad is, akkor miért nem a rendszert törték meg korábban?
Amúgy én azon röhögök, hogy már többször is leírtad, hogy a biztonsági javítása miatt módosítani kell a rendszert, de csak nem tudod összekötni a pontokat egy vonallal... :D
https://iotguru.cloud
Segitek az erto olvasasban, mert nyilvanvaloan nem olvastad a cikket amire reagalsz:
"A hekkert arról is kérdeztük, hogyan sikerült bejutniuk az eKRÉTA rendszereibe. Állítása szerint egy általuk írt kártevő programot, egy úgynevezett RAT-ot (remote access trojan, azaz távoli hozzáférést lehetővé tevő trójai program) sikerült bejuttatniuk, méghozzá úgy, hogy az a cég minden vírusirtóján és védelmi szoftverén észrevétlenül átjutott. Ez a kártevőtípus épp arra jó, amire a neve utal: települ a megfertőzött rendszeren, és ezzel bejuttatja a támadókat is: távoli hozzáférést tesz lehetővé, ami jelentheti a rendszer távoli megfigyelését, de akár parancsok futtatását vagy adatok kinyerését is."
Azaz SE támadás volt, aminek eredményeként yool betoltak egy, a cégnél alkalmazott kártékony szoftverek elleni megoldás által fel nem ismert távoli hozzáférést biztosító szoftvert. Az ilyen mocsadék kódok jellemzően kifelé kapcsolódnak, és azon a kapcsolaton keresztül kapják az utasításokat. Nomostan kérdés az, hogy miért kapcsolódhat a nagyvilág felé akárhova is egy random bináris az user gépéről?
Annyira olcsó taktika, hogy elkezdünk egy állapotról hosszasan beszélni, annak az állapotban az aspektusait vizsgálni, akkor elkezdesz azután mutogatni egy teljesen más helyzetre ( hint: [update] megjelent a címben közben) ...
Kérlek ne operálj ezzel. Az állításom ez volt:
Ha közben új infók látnak napvilágot és azok változtatnak az eredeti helyzeten, akkor majd újratárgyaljuk.
Az általad idézett szövegből sem lehet egyértelműen megállapítani, hogy "[update] "Feltörhették a KRÉTA-t".
Hacsak a fejlesztő cég hálózata nem egyenlő a KRÉTA-val. Ezt kétlem. Erre mutató infód van?
(* az eredeti cikkben)
trey @ gépház
Hát Trey, csodálkozom azon amit írsz. Már az elején kiderült, hogy semmiféle határt nem állítottak fel az üzemeltetés és a fejlesztés között. Maximum számlaforgalom volt.
Hol található a szakmai post mortem jelentés, ami alapján te kinyilatkoztatásokat teszel?
Most hagyjuk ezeket a zavaros újságírói firkálmányokat a plebejusok részre ...
trey @ gépház
Soha nem fogsz látni post mortem jelentést. De abból, hogy egy személy adatait ellopva idáig jutottak elég könnyen levezethető.
Mert miért is nem? Aki hozzáfért a rendszerhez miért is ne tehetné közzé névtelenül?
Semmi sem vezethető le ennyi infóból. A dolog jelenlegi állása szerint az sem kizárható, hogy belső vagy szándékos belső segítséggel megvalósított meló volt.
trey @ gépház
Trey, a forráskódban certek, jelszavak vannak. A forráskód pedig most már a githubon is kint figyel. Szerintem felesleges azon vitázni, hogy az üzemeltetés vagy maga a szoftver volt megtörve, mert itt gyakorlatilag minden el volt rontva, amit el lehetett.
Ha leég a családi házam, amelyben 200 liter gázolajat és ötven kiló dinamitot tároltam szabálytalanul egy házilag készült elektromos hősugárzó mellett, akkor kár azon vitatkozni, hogy belülről vagy kívülről gyújtották-e fel.
Mi alapján zárod ki a szabotázs lehetőségét? Ne haragudj, de rettentő szakmaiatlan, ha feltételezésekkel élsz. Amikor külsős szakértőként felkérnek egy ilyen incidens után az elemzése, hogy zárhatsz ki alapból egy lehetőséget, ami ráadásul az informatikai rendszerek elleni támadások nagy részét teszi ki? Mi alapján?
Egy szakértő azután zár ki egy lehetőséget, miután minden kétséget kizáróan meggyőződött arról, hogy nem az történt. Találgattok itt ...
Igen. Ezt hívják találgatásnak. A szakértőt meg az különbözteti meg a találgatóktól, hogy bizonyítékot keres és mutat fel 🤷♂️
trey @ gépház
Persze, meg az is lehet, hogy a gyíkemberek törték föl, hiszen nincs bizonyíték arra, hogy nem, szóval nem zárhatjuk ki :D :D :D
“Any book worth banning is a book worth reading.”
Próbálj meg kicsit tájékozódni ebben az ügyben, mert látszólag fogalmad nincs a dolgokról. Mármint az IT rendszerek elleni támadások hány százalékát teszik ki belső melók. Ha megvan, kérlek biggyessz ide egy értéket és utána mondd, hogy a gyíkemberek.
trey @ gépház
Feltörtek egy segghülye emberek által működtetett, szarul összerakott rendszert.
Csak belsős meló lehetett.
“Any book worth banning is a book worth reading.”
Ezt senki sem állította, de feljebb mástól is elhangzott, hogy elég érdekes az időzítés. Nem lehet kizárni. Vitatod?
trey @ gépház
Én a gyíkembereket se vitattam.
Csak mindkettőt hülye elméletnek tartom, minimális eséllyel, nulla bizonyítékkal.
Arra, hogy ostoba emberek készítették a rendszert, van bizonyíték, pl. a forráskód.
Arra, hogy ostoba emberek ülnek a vezetőségben, van bizonyíték, pl. a támadás eltitkolása.
A belső emberes elméleteddel akkor érdemes foglalkozni, ha kicsit több jel utal majd rá, mint a gyíkemberekre.
“Any book worth banning is a book worth reading.”
Te se menj nyomozó/forensic pályára öcsém :D
Hogy te (ki is?) személy szerint egy vitában az igazad bizonyítandó mit tartasz hülyeségnek, annyi köze van a témához, mint az, hogy mi lesz ma az ebéd a vendéglőben, ahol enni fogok.
trey @ gépház
Na mesélj, mi szól a belső embres elméleted mellett? :D :D :D
“Any book worth banning is a book worth reading.”
Nem, az ilyesmi nem úgy működik, hogy mi szól mellette, hanem úgy, hogy megvizsgálnak minden felmerült eshetőséget és kétségkívül kizárják őket. Amikor ez megtörtént (kétségkívül), akkor lehet azt a szálat félretenni.
trey @ gépház
Akkor ne tedd félre, rágódj még rajta :)
Aztán még a végén kiderül, hogy nem csak szakmailag voltak nullák a készítők, hanem még emberileg is akadtak problémák, nagy siker lenne :)
“Any book worth banning is a book worth reading.”
Nekem ezen semmit sem kell rágódnom, neked kell elgondolkoznod, mert egy újabb nézőponttal tágítottam a látóköröd.
Mondataid alapján te az a fajta gondolkodású ember vagy, aki egy tűzfalban nem mindent tilt és csak azt engedélyezi, amit szükséges, hanem minden szabad és nekiáll tiltogatni egyenként mindent :D
trey @ gépház
az egy átjáróház volt - sok elment és sokat vettek fel - volt aki 3 hónapot se várta meg és lépett..
így elég sok ember kapott betekintést, hogy a fejlesztés és az üzemeltetés _IS_ ottvan..
Aki kiszivárogtatta az infót/vagy maga végezte el -- annak érdeke erősíteni az adathalászattal kapcsolatos mesét.
De ez mind nem mentség, hogy f@szok voltak minden szinten és azok is maradtak..
Én jobban vártam, hogy mikor nyomják fel a "Szemetes rendszert" (kukaholding).
For Whites Only meeting room!
Jaj, ne zavard össze dolgokkal, mert ő még nem hallott a
napestig sorolhatnám a lehetséges indítékokat ...
trey @ gépház
Igen. Ezt hívják találgatásnak. A szakértőt meg az különbözteti meg a találgatóktól, hogy bizonyítékot keres és mutat fel :D
https://iotguru.cloud
Mivel, hogy _Franko_-certifikált nemszakértő vagyok, nyugodtan találgathatok.
Látom, hogy betalálnak ezek a találgatások. Az a problémád, hogy én meg nem most jöttem a falvédőről. :D
trey @ gépház
Ezt mifelénk kettős mércének hívják. A falvédőről meg attól függően jöttél már le, hogy mi az éppen aktuális prekoncepciód, amihez a végletekig ragaszkodsz.
https://iotguru.cloud
Lesz is valami a témához, vagy maradsz a folyamatos személyeskedés résznél?
trey @ gépház
Ismét egy kettős mérce! :D
https://iotguru.cloud
Es Sorost, meg a hatterben meghuzodo Gyurcsany-szalat meg nagyvonaluan ki is hagyta... :D
"Mindegy hogy mi vagyunk a faszok, de akkor is mas a hibas"-szindroma.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
itt egymásra talált az emberi szemét és a szakmai ~
Ez lett belőle.
For Whites Only meeting room!
Én ezt nem állítom, de ki sem zárhatom (és senki sem) akinek van egy kis sütnivalója. Tehát ez is egy megvizsgálandó szála a történetnek.
trey @ gépház
És ha van a sztoriban sértett kolléga?
Attól nem lesz ez egy jól összerakott rendszer. Ugyanaz a fos marad, amit azért tudtak feltörni, mert alapvető dolgokkal vannak benne problémák.
“Any book worth banning is a book worth reading.”
Akkor SEM áll meg a "feltörték a rendszert". Csak ennyi.
trey @ gépház
Nem szoktál te ennyire válogatós lenni, amikor kijelentéseket teszel különféle dolgokban és találgatsz. A szakértőtől igen messze vagy. :D
https://iotguru.cloud
Ez a komment nem hordoz semmi érdemi információt, csak egy személyeskedő állítást (szakértőtől igen messze vagy) tesz olyasmiről, amit én nem állítottam. Nem állítottam, hogy szakértő vagyok, de hogy abba az amatőr hibába nem esek, hogy kizárok egy eshetőséget bizonyítékok nélkül, az is biztos.
Tehát a kommented csak azt a célt szolgálja, hogy megint belekotyogj, mintha te szakértő lennél.
Te teljes mértékben ki tudod zárni a jelenlegi infók alapján, hogy nem belső munka volt vagy belülről valaki segített? Ha igen, mire alapozod ezt?
trey @ gépház
Forrásban például benne van az éles EESZT cert, ami jelszóval van védve, de a plain text jelszó szerencsére ott van beleégetve a mellette lévő forrásban.
De fordítsuk meg, hol található a szakmai post mortem jelentés, ami alapján te kinyilatkoztatásokat teszel? Mert te kinyilatkoztatásokat teszel.
https://iotguru.cloud
Én nem kinyilatkoztatásokat teszek, hanem az összes lehetőséggel számolok, ami ilyen esetben a megfelelő hozzáállás. A vizsgálatnak minden bizonnyal része lesz ez is. Már, ha alapos vizsgálat lesz.
trey @ gépház
De, kinyilatkoztatásokat teszel. :D
https://iotguru.cloud
Vegigolvasva a szalat kezd ugy tunni nekem mindha valami erdekeltseged lenne a dologban, mindha vedened a munder becsuletet...
Az egesz tortenet napok ota eszmeletlen szorakoztato, popcorn fogyasztast jelentosen novelo szappanopera, egyre ujabb es ujabb fejlemenyekkel...
Egy kollega meg is jegyezte, hogy igen pontosan igy kepzelte el a magyar allami IT szektort - es ezzel szerintem nem volt egyedul. Csilliardok kifizetve szervilis, gerinctelen, tehetsegtelen de annal nagyobb arcu, tulkompenzalo tarsasagnak, akik hazudnbak es sunyitanak, torvenyt sertenek es lapitanak ha szar kerul a palacsintaba. Latszott is tobbszor az eredmeny - nem igazan tudnank olyan kormanyzati oldalt mutatni ami ne terdelt volna meg legalabb egyszer, gyakran menetrendszeruen (termeszetesen az obligat DDoS miatt).
Aztan jott ez a sztori amit iskolaban kellene tanitani, ahol a kisebbik baj, hogy gyakorlatilag kisepertek a hazat - es amit nem vittek azt csak azert nem mert semmi ertelme nincs mar az egesz cuccnak, de abbol ami kikerult lathato, hogy gimnaziumi info orakon tobbet kellene elvarni mint ami azt a xarkupacot mukodteti... :) A kozrohely kifejezes ide mar keves...
Es akkor Trey napok ota vedi es vedi a vedhetetlent, tuzon vizen, minden ujabb es ujabb fordulat utan talal ujabb es ujabb mentsegeket, csusztatasokat amivel leirhatja: "nem a rendszer szar es minden rendben, a Sanyi volt a hibas mert rossz linkre kattintoitt, a projekt vezeto a felelos mindenert (aki - FIGYELEM! -nem junior IT !!!)...kulonben is minden oldalrol meg kell vizsgalni a dolgot stb, stb..." Hat vizsgald meg kerlek - most mar forras kodod is van hozza :)
Igazan ertekelendo a loyalitas amivel a munder becsuletet veded, de ezt mar el kellene engedned... kicsit kezdesz olyan lenni mint Rudy Gulianni aki a 4 Seasons Landscaping elott elfolyo hajfestekkel bizonygatta hogy Trump igazabol nyert es mindenki mas fake news...
Engedd el trey - a kiraly meztelen...
Semmi közöm a témához. Az ügy egyetlen szereplőjét sem ismerem, egyikkel sem álltam soha, semmilyen kapcsolatban. Lyukra futottál.
Azt viszont látom, hogy itt kódoló zsenik, architekt zsenik, IT sec. zsenik vannak, hiszen teli pofával üvöltik, hogy mi szar. Egyszer azért ezeknek az embereknek a munkájáról olvasnék szívesen egy auditor által kiadott szakvéleményt :D
trey @ gépház
Tudom hogy nincs, azt irtam "ugy nez ki".
Annyira hevesen veded a kiralyi rendszert hogy olyan erzese van az embernek mindha lenne... Tudjuk hogy nincs...
Engedd el - ez a csak a szokasos NER kozpenzcsap (??? milliard) xarkupac
Úgy néz ki? Mert nem mindenki áll be a rossz bégető kompániádba? :D
trey @ gépház
Amiből a munkaadójának is csurran cseppen ...
Fedora 38, Thinkpad x280
dupal lett
Fedora 38, Thinkpad x280
völdplessz !!4
:DDDD - Minden is baszki ... Ezt nem csak zsenik latjak - Ebben a konkret esetben ez mar latszik a holdrol is Marika neninek...
Érdekes Marika nénik vannak itt, akárcsak a HUP-on is. Nem tudnak elintézni egy hivatali ügyet, elbuknak egy népszámláláson, az élethez autisták, de azt bezzeg tudják, hogy mit hogyan kéne. Természetesen a másik munkájában. Mondom, én rendkívül kíváncsi lennék arra, hogy ezek a Marika nénik milyen munkát tesznek le az asztalra. Hogy őket utolérte-e már a végzet, vagy majd csak fogja.
Emlékezzenek majd arra, hogy milyen kajánul vigyorogtak máson :D Névtelenül mocskolódni az interneten az egyébként rendkívül egyenes és korrekt hozzáállás. Nemde?
trey @ gépház
Sokszor nem értek veled egyet, de ez most rohadt nagy +1
Persze TE minden nap ezt csinálod, mikor pl az Apple-el kapcsolatban van valamilyen negatív hír (bár azok meg se közelítik ezt a szintet, hogy kiwipe-olták az egész rendszert és a bennfentesek nem tudnak mást lépni rá, mint pislogni mint pocok a pisiben :D) De öröm nézni, hogy próbálod visszalapátolni a lóba a szart, mintha ezért fizetnének neked :D
gazsiazazazazanál a seggfájás befigyelt ...🤣
Semmit sem lapátolok vissza, de ha én pont olyan vagyok mint ti, akkor a faszér' hőbörögtök nekem folyamat? 🤔
trey @ gépház
Azert ez egy szakmai portal - az ideologiai kolunbsegeken felulemelkedve ugy gondolom objektiv szakmai kerdesekben elegge jaratos tarsasag gyult itt ossze, vannak csodabogarak es amolyan "celebek" is de igazabol szeretnem hinni hogy alapjaiban - legalabbis szakmai oldalrol - a tarsasag nagyobb resze tudja mirol beszel es eleg sokan vagyunk mar eleg idosek erre fele hogy lassunk egyet-mast az IT vilagbol... Meg a csodabogarak is eleg jok valamiben (hardware, proramozas, security, architekturak...).
Ez a dolog ordas nagy blama - a szakmailag vedhetetlen hibakkal, etikatlan csusztatasokkal, nevetseges kifogasokkal. A hivatali ugyek elintezese lehet megakaszta egyeseket de mondjuk lehet igen jo hardware mernokok, lehet egyesek szelsosegesen gondolkodnak de igen jo kodot kepesek irni...
Ami viszont vicces - rajtad kivul senki sem tolong itt mar vedeni a vedhetelent - lehet latjak vagy lattak elejetol mekkora cluster-fuck ez az egesz es ideologia ide, ideologia oda - kinosnak erzik beleallni es magyarazni a bizonyitvanyt...
Te miert teszed? - komolyan kerdezem... Szakmailag nyilvan senior vagy, lattal te is sokmindent - tudsz a karrieredbol mondani hasonlo buktat, aminek ekkora hatasa lett volna? (illetve kellett volna legyen, hisz ez nyilvan el lesz kenve nemzethy sajatossag okan)
Ha tudsz ilyenrol akkor kerlek oszd meg velunk - ha masert nem szakmai okulas celjabol.
Egyebkent a nevtelenul mocskolodasrol - ami irtam nem nevtelen, sosem csinaltam titkot a szemelyembol, akit erdekel kb 10 perc alatt kideritheti ki vagyok es amit irtam nem mocskolodas hanem ismert tenyek alapjan megfogalmazott velemeny.
Architektkent es integratorkent dolgozom meglehetosen nagy projekteken, egyik jelenlegi munkamat 2 havonta ceg altal szerzodtetett kulsos pentesterek auditaljak, es ezen kivul mivel olyan cegeknek mint a Google, a Bank Of America, a Linkedin nyujtunk szolgaltatast es kezeljuk a HR adatbazisat, nev, cim stb infoval ugy ezek a cegek veletlenszeruen is vegeznek random auditokat es be nem jelentett security review-ket a rendszereinken.
Azt nem mondtam hogy nem hibazhat az ember de a hibak kovetkezmenyeibol szarmazo karaokat lehet csokkenteni - igaz ennek alapfeltetele az atlathatosag es a kovetkezetesseg. Nyilvan hogy a magyar allami szferaban ezek meg nem engedett kifejezesek, mindjart a 'hozzaertes', a 'gerincesseg' es az 'integritas' mellett szerepelnek a listan.
/me ásít
trey @ gépház
A motivaciora mindig van valamilyen magyarazat, de ezek nem mindegyike magyarazhato logikai es erkolcsi alapon.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
pontos, de miért vagy ezen meglepve? csak a szokásos classic trey, aki körömszakadtáig véd egy védhetetlen álláspontot, mert hiába jön mindenki szembe az autópályán, azok mind hülyék, vagy az ellenség fizetett bérencei. lásd pl. "a bank definíciója, hogy én banknak hívom".
A kréta egyébként mi a fenét csinál az EESZT-vel? Beküldi, ha beteg a gyerek?
közös bödönből csemegéznek ;)
zrubi.hu
Ha jól veszem ki leszedi az eesztből a covidosok TAJ számait.
Remélem csak ennyihez van jogosultsága is. :)
az a tipikus CEO szemszög: leszarom (történtekre utalva: hallani sem akarok róla), minden IS a rendszer része, válogatás nélkül, mindenki hülye, mindenki felelős mert betörtek.
Nem, a tipikus CEO szemszög a következő: jogilag mindenért a CEO a felelős egy szervezetnél. Ezen a CEO nem tud változtatni, ezt nála nagyobb erők döntik el. Ha a CEO szeretné megvédeni a seggét, akkor mindenről IS belső szabályozásnak kell születnie, és azt be is kell tartatni. A szabályozásért (a létezéséért és a tartalmáért) is a CEO a felelős, tehát ha jót akar, akkor megbíz egy külső, független szakértőt, hogy alkossa meg a szabályozást. A betartatásáért is a CEO a felelős, tehát ha jót akar, akkor megbíz egy külső, független szakértőt, hogy rendszeresen auditálja, hogy a szabályozás végrehajtása és betartatása hogyan működik, és adjon riportot a hiányosságokról (amiket utána a CEO parancsára a beosztottak kötelesek kijavítani).
Egy értelmes méretű, leginkább tőzsdei cégnél ezeket a köröket nem tudják/merik/akarják kihagyni a főnökök. A dolgozók meg ahol tudják/hagyják nekik, próbálják a szabályozásokat leszarni.
Szóval az eredeti problémára visszatérve: ha a rendszer rossz, akkor azért a CEO a felelős. Vagy azért, mert nem születtek meg a megfelelő szabályozások, vagy azért, mert fasságokat írtak bele, vagy azért, mert nem tartatták be. Mind a háromért a CEO a végső felelős. Az lehet, hogy egyes dolgozókat is seggbe lehet kúrni, mert hibáztak, de ez nem változtat a CEO felelősségén (nem tartott rendet).
Akár lehet tovább is menni. Mivel ebben a rendszerben benne van az összes diák/szülő/tanár adata, egy idő után ebben, vagy ennek az utódjában benne lesz mindenki, ezért el is kellene várni, hogy megfeleljen néhány meghatározott auditnak állami szinten. Az önkörmányzatoknál is elvárnak ilyesmit, szóval teljesen érthetetlen, hogy erre nem is vonatkoznak hasonlók.
tanulmányi rendszerben tanulmányaid végeztével +x év nyugodtan mehet legalább részleges anonimizálás...
Van ilyen elvárás. GDPR.
Nem tárolhatják a diákok/szülők/tanárok adatait a feladathoz szükséges időn túl (jó, hozzájárulással tárolhatnák, de ezeknek senki nem fog önkéntes hozzájárulást adni, illetve azt is bármikor vissza lehet vonni). A végzést követően a naplóselejtezési idő után (talán 5 év) pl. annyi adat tárolható a diákról, amennyi a papír alapú anyakönyvben is benne van (kb. az, amit a bizonyítványba beírnak).
Ez nem a tipikus CEO szemszög, ez a törvény szövege. Sajnos, a CEO-k nem itt tartanak. Bár itt tartanának.
trey @ gépház
Nem ennyire fekete - fehér a világ.
CEO alapszabály szerint nem felelős azért a kárért, ami ellenőrzési területén kívül esett, előre nem látható körülmény okozta és nem volt elvárható, hogy a körülményt elkerülje - továbbá, ezen felül a munkaszerződése csökkentheti a felelősségét.
Konkrét esetben az SQL injection prevention tökéletesen a CEO ellenőrzési területén kívül esik, tehát nem felelős érte.
Ha az IT biztonságot ledelegálja egy másik vezető beosztású személynek, kérdés, hogy megállapítható-e a felelőssége.
CEO alapszabály szerint nem felelős azért a kárért, ami ellenőrzési területén kívül esett, előre nem látható körülmény okozta és nem volt elvárható, hogy a körülményt elkerülje - továbbá, ezen felül a munkaszerződése csökkentheti a felelősségét.
Nincs olyan, hogy "ellenőrzési területén kívül". Minden, ami a cégnél történik, az az ő ellenőrzési területéhez tartozik. Outsource-olni meg delegálni is lehet, de ekkor is van felelőssége: szerződéses partner kiválasztása/delegált ember felvétele, szerződéses feltételek/delegálásnál instrukciók megválasztása, megfelelő ellenőrzés/szakértők/kontrolling üzemeltetése, szabályzatok, számonkérések, auditálás. Igen, abban igazad van, hogy a felelősség nem abszolút, természetesen be tudja valaki bizonyítani, hogy ő minden tőle elvárhatót megtett, csak ez a való életben nem szokott igaz lenni. Ahol szar van a palacsintában, ott szinte mindig minden vezetői rétegben kimutatható, hogy ki mit hibázott. Ahol ezek a dolgok működnek valamennyire, ott általában nem szokott szar lenni a palacsintában.
És persze nyilván teljesen más a felelősség szintje egy közvetlen beosztott esetében, mint egy ötszintű vállalati struktúrában a legalsó szinten bekövetkező emberi hiba esetén, de olyan nincs, hogy zéró a felelőssége a legfelső vezetőnek, és nyilván ennek megfelelően lehet, hogy csak egy igazgatótanácsi figyelmeztetés lesz belőle, de az is előfordulhat, hogy büntetőjogi következményekkel kell számolnia a CEO-nak (lásd Straub Elek esete az amerikai tőzsdei joggal).
Konkrét esetben az SQL injection prevention tökéletesen a CEO ellenőrzési területén kívül esik, tehát nem felelős érte.
Ha az IT biztonságot ledelegálja egy másik vezető beosztású személynek, kérdés, hogy megállapítható-e a felelőssége.
Bocsánat: a cégnél vagy nem voltak meg a megfelelő szabályzatok, vagy azokat nem kérte számon senki. Ez mind a kettő CEO-szintű felelősséget jelent, mind a két dolognak CEO szinten látszódnia kell. A szabályzatok kidolgozása delegálható, de akkor az audit felügyeletét vagy másnak kell delegálni (külön compliance officer), vagy azt a CEO szintjén kell megtartani. Az nem megy, hogy ugyanaz a felelős a szabályzatért is meg a szabályzat betartásának auditálásáért is (ez segregation of duties alapelvet sértene, tehát ezért meg a CEO lenne a felelős, hiszen rosszul delegálta a feladatokat).
Mindössze definíció kérdése, hogy mit tekintünk rendszernek. Van, aki szerint a rendszer az, amit a fejlesztő leszállít, az összes programmal és (jó esetben) a konfigurációs lehetőségekkel, mások szerint viszont a rendszernek tekintendő az üzemeltetési környezet is. Azt meg tudom érteni, hogy aki fejlesztéssel foglalkozik, az az előbbit tekinti rendszernek, viszont aki üzemeltet, vagy netán üzemelő rendszerek biztonságával foglalkozik, az az utóbbit.
Aki meg architect, mindezeket alrendszernek tekinti, amelyek részei a rendszernek.
https://iotguru.cloud
Jelen esetben a fejlesztő és az üzemeltető egy és ugyanaz a cég, sőt, a kiszivárgó adatok alapján még a személyzetben is erős az átfedés - különben egy PM-nek hogyan lehetne hozzáférése az éles adatokhoz is, meg a forráskódhoz is?
Így viszont elég egyszerű a rendszer definíciója: az egész kupleráj, fejlesztéstől üzemeltetésig bezárólag.
Akkor sem ha a börtönajtó gyártó egyik alkalmazottja veszíti el a mesterkulcsot?
Akkor is az lesz személy szerint a felelős, aki elveszítette a kulcsot, illetve az, aki a szabályozást készítette, hogy ez megeshetett.
De semmi esetre sem az acél, a tégla, a habarcs, amiből összeáll a börtön.
Nem azt mondtam, hogy a rendszer szállítója nem felelős Dehogynem. A saját embereiért - a fenti példában a CISO és a rászedett dolgozó - végső soron a cég felelős.
Jó lenne, ha nem kevernétek a technikai problémát a felelősségi körrel.
trey @ gépház
Nyilván attól függ a "Megtörték a krétát?" kérdésre a válasz, hogy csak a futó kódot tekintjük krétának, vagy a teljes projektet, fejlesztőstül, üzemeltetőstül, projektvezetőstül, mindenestül.
https://hup.hu/comment/2847846#comment-2847846
https://hup.hu/comment/2847839#comment-2847839
trey @ gépház
Egy normális rendszerbe akkor sem fogok tudni otthonról belépni, ha történetesen ismerem a főnök jelszavát, miert sikerült valahogy ellopnom.
“Any book worth banning is a book worth reading.”
Ha beléptél egy érvényes azonosítóval, akkor nem feltörted a rendszert.
A rendszer feltörése az, amikor egy ismert vagy ismeretlen (0day) sérülékenységet kihasználva (exploitálva) hozzáfértél a rendszerhez.
trey @ gépház
Ha valamit social engineeringgel törsz meg, az is törés.
"A rendszer feltörése az..."
https://www.kaspersky.com/resource-center/definitions/what-is-hacking
“Any book worth banning is a book worth reading.”
Tehát, ha téged átvernek, majd rávesznek bűnözők, hogy lépj be az bankodba, majd ezután hozzáfértek a pénzedhez, akkor feltörték a bankodat. 🤔
Érdekes elképzelés. Az, hogy mit firkál a Kaspersky a wikijébe, teljes mértékben lényegtelen.
trey @ gépház
Olvass utána.
Keresőszavak: hacking, social engineering.
“Any book worth banning is a book worth reading.”
Nem válaszoltál a kérdésemre.
Tehát, ha téged átvernek, majd rávesznek bűnözők, hogy lépj be az bankodba, majd ezután hozzáfértek a pénzedhez, akkor feltörték a bankodat?
trey @ gépház
Gondolom egyertelmu, hogy amit leirsz, abban az esetben nem tortek fel a bankot(mert nem fertek hozza mindenki szamlajahoz)
De ha a te adataiddal hozzafernek mindenki bankszamlajahoz, mert te vagy az Atjarohaz Bank Rt tulajdonosa, akkor viszont az Atjarohaz Bank Rt -t tortek meg. Az mar csak formalitas, hogy sw, hw, human bug/feature-on keresztul jutottak hozza.
Amíg egy rendszerhez a hozzá biztosított kredenciálisokkal férnek hozzá, nem beszélhetünk a rendszer megtöréséről. Az embert vették palira. Az, hogy az embernek miért volt olyan jogköre, hogy hozzáfért mindenhez, az megintcsak nem a rendszer hibája. Azé, aki nem követelte meg, hogy az illető ne admin joggal használja az éles rendszert.
trey @ gépház
Azaz ha "feltörnek" minket mert hülye a főnököm az én hibám lesz. Ezt jó tudni, köszi. :D
Nem tudom, hogy te milyen kuplerájban dolgozol, de minden normális cégnél, ahol van személyes adatok kezelése, létezik adatvédelmi felelős, ami jó esetben nem úgy kerül ki a dolgozók közül, hogy "neked nincs elég dolgod, te vagy", hanem van valamilyen képzettsége, rálátása az adatbiztonságra. Jobb helyeken ez a CISO (vagy azzal egyenértékű ember), komplexebb IT Sec. ismeretekkel. Vagy a CISO alá beosztott ember.
És igen, ez egy senior-level vezetői állás. Magyarul, ha alatta dolgozol, a főnököd IT sec. / adatbiztonság kérdéskörben. És igen, az általa kidolgozott adatkezelési, adatbiztonsági és rendszerhozzáférési szabályokat be kell tartanod.
Ha valamiért nincsenek ilyen szabályok, vagy azok hibásak, azért a CISO mint felelős vezető a felelős, a betartásukért meg személy szerint te (a dolgozó).
Tehát, egy ilyen incidenskor, ha a rendszer meg volt patchelve és nem egy 0day hibán keresztül mentek be, akkor nem betörtek, hanem a fent említett két ember valamelyike, vagy mindegyike hibáját kihasználva beléptek a rendszerbe a valid hitelesítő adatokkal.
HTH
trey @ gépház
És honnan szedték a hitelesítő adatokat (ott volt az asztalon a prod_jelszavak.txt)? Mert ha jól tippelek projekt managerünk sikeresen telepített a linkről egy RAT-ot a gépére és azért attól kezdve általában nem 5 perc szokott lenni a "Viszlát, és kösz a halakat!". :)
Ennyi infóból hadd ne mondjam meg, de ha én lennék a CISO (sehol sem vagyok az), akkor egy ilyen kritikus rendszert piszkáló "gépről" te biztos nem interneteznél, nem azzal járkálnál be a rendszerre, amivel a Pornhub-ot lesed ...
Tehát, látszik, hogy ez egy szabályozási és szabálybetartási kérdés elsősorban.
trey @ gépház
Ez szép, de mihez kezdenének a "megoldásszállítók" stackoverflow nélkül?
Akkor ez azt jelenti, hogy elfogytak az érveid?
trey @ gépház
Én megfordítva kérdezem, milyen rendszer amelynek egyik gépéről tudom nézni a porhubot, és elérek minden más fontos rendszert is róla ?
Eleve a rendszer tervezésekor, ilyen lehetőség megvalósítására még csak gondolni se kéne.
Régen is voltak olyan rendszerek amiket csak a rendszergazdai terminálról tudtál megvalósítani és kész. Pedig akkor még hol volt a mai integraltság, de akkor is tudták, hogy jobb az ha nem fér mindenki csak úgy mindenhez.
Így továbbra is tartom, hogy szar az a rendszer aminek egyik komponensén nézhetem a pornhubot levelezhetek, meg elérek minden mást is, mert eleve lehetőséget biztosít a fenti eseményekhez.
Fedora 38, Thinkpad x280
Nem a rendszer szar, hanem az elérésének szabályozása és be nem tartása.
Ha root-ként vagy adminként internetezel a gépeden és amiatt megtörnek, akkor sem a rendszer a hibás, hanem te.
trey @ gépház
:D :D :D
ROTLF
:D :D :D
--
De, ilyenkor az informatikai rendszer szar, mert annak szerves része a jogosultságok megfelelő kezelése.
https://iotguru.cloud
Nem, semmi köze a rendszerhez, ez valóban tervezési feladat, amit nem az user, hanem a felelős vezető csinál. Az user meg betart.
Ha nem végezték el, akkor a tervező szarul dolgozott, a munkavállaló pedig vétett/hanyag volt.
Az (operációs) rendszer, köszöni szépen, megfelelően működött.
trey @ gépház
:D :D :D
ROTFL
:D :D :D
Á, kihátrálsz a faszságból, most már csak (operációs) rendszer? Tudod, az informatikai rendszer nem ott kezdődik, hogy van egy (operációs) rendszer, ami megfelelően működik... hogy te csak addig látod át, az teljesen más kérdés.
https://iotguru.cloud
Te idézted be. Erre reagáltam.
Ameddig a felelősségi kör tart. További is lehet, lehet adni tanácsokat, de a felelősség az átadási pontokig tart.
trey @ gépház
Én teljes mértékben értem, hogy szerinted az informatikai rendszer addig tart, amíg te átlátod.
Így van, az egy felelősségi kör, hogy ki, mikor és milyen adatokhoz férhet hozzá és ehhez milyen credential szükséges. Ez is egy informatikai rendszer része.
https://iotguru.cloud
Olcsó duma.
Tipikusan olyan szűk látókörű emberek szoktak így beszélni, akik csak egyszereplős projektekben vesznek részt. Egy cég szállít mindent. Majd ha olyan projektben veszel részt, ahol külön cég/divízió felel a tervezésért, külön az üzemeltetésért, külön a szoftverek szállításáért és támogatásáért, mindjárt nem mosnád össze a felelősségi köröket és ha a biztonságért felelős divízió/cég hibázott a tervezésénél, akkor nem mutogatnál mondjuk az üzemeltetésre és nem állítanál olyat, hogy a rendszert feltörték, amikor az történt, hogy egy embert social engineering módszerrel rávettek, hogy adjon hozzáférést az adatokhoz. Itt hiányzott az oktatás, hiányzott a szabályozás. Tök más hatáskör.
trey @ gépház
Ez pont te vagy, aki csak egy kis részét látja egy informatikai rendszernek és azt hiszi, hogy az az egész.
Figyelj, lassan írom, hogy megértsd: rajtad kívül senki nem mutogat az üzemeltetésre. Ez a te szalmabábod.
https://iotguru.cloud
Az a rendszer ami lehetőséget ad a szabályok be nem tartására/kijátszára eleve szar.
Statisztikák szerint a legtöbb hiba emberi hibára/mulasztásra vezethető vissza, tehát ha csökkenteni akarom a hibák számát egy rendszerben, akkor csökkentenem kell az emberi lehetőségeket.
Tegyük fel, hogy a cikkben írt állítás igaz, azaz egy adathalász linkel megszerezték az adatait amivel bejutottak mindenhová is.
Most azt tegyük félre, hogy van egy GOD móddal rendelkező emberke.
DE a rendszer lehetővé tette, hogy ott nézze a pornhubot, ahol az adatai is vannak. Szerintem egy ilyen szintű rendeszernél, ilyet nem lehet, ha porn hubot akar nézni fogja a másik gépet, ami akár külön dedikált neten lóg és nézi a porhubját vendégfiókkal oszt jónapot. Amennyiben meg dolgozni akar védett adatokkal átül a másik gépéhez amivel meg nem fér semmi máshoz.
Fedora 38, Thinkpad x280
Tehát, ha admin-ként használom a HUP-ot, rákattintok egy malicsusz linkre, amivel megszerzik a session cookie-t, azzal kidumpolják az adatbázist, akkor a Drupal szar, a Drupal fejlesztők rosszul végezték a munkájukat és nekik ezt a hibát javítaniuk kell. Meg a Rackforest, mert ők üzemeltetik a szervert és a szoftver stack-et. VAGYIS A RENDSZERT. Úgy, hogy egyébként a Drupal-ban, a Debian-ban, a PHP-ban, ... stb. nem volt kihasználható hiba.
Ezt mondod.
Tehát, nem én voltam nem körültekintő, nem én hibáztam. Ők a hibásak.
trey @ gépház
Nem, ebben az esetben, a "hup.hu", mint informatikai rendszer szar, mert nem került kialakításra megfelelő jogosultságkezelés, kikapcsolásra került minden session hijack elleni védelem, nem került bekapcsolásra 2FA, illetve részben a Drupal szar, mert lehetőséget ad arra, hogy tartósan admin jogokkal használd és nem csak arra az időre kéri az eszkalált jogú futtatást 2FA megerősítéssel, amikor arra feltétlen szükség van. Igen, ez mind az informatikai rendszer része.
https://iotguru.cloud
Tehát, nem a rendszert törték fel egy ismert vagy ismeretlen hibával. Köszi szépen!
Se nem hardvert támadtak, se nem operációs rendszert, se nem szoftverstacket. Hanem egy tervezési hiba történt (vállalatnál a biztonságért felelős vezető hibázott) és felhasználói hiba történt.
Köszi szépen a megerősítést, ezt ugattam végig.
trey @ gépház
De, az informatikai rendszert törték meg egy ismert vagy ismeretlen hibával. Az informatikai rendszer a példádban nem a Drupal és a hardver, hanem a hup.hu egésze, annak egyedi beállításaival, üzemeltetési szokásaival és azokkal a desktop gépekkel és azok védelmével együtt, amelyekről adminisztrálod.
Az értetlenkedésed egyszerűen abból ered, hogy nálad az informatikai rendszer a Drupal és a hardver.
Igen, pont ezért támadható az informatikai rendszer, mert terveztek vagy implementáltak rá egy biztonsági rést.
Tudom, sőt tudjuk, hogy mit ugattál végig, de továbbra se érted, hogy mi a tévedésed. Szerintem nem is fogod megérteni.
https://iotguru.cloud
LOL
Én - szerencsére - tudom mi a különbség a social engineering és mondjuk egy SQL injection közt. Bocs, hogy kicsit kifinomultabb vagyok a "megtörték a rendszert" balfaszkodásnál.
trey @ gépház
Te egyszerűen nem tudod, hogy mit jelent az informatikai rendszer fogalma. Erről szól az egész szál.
https://iotguru.cloud
ROTFL
(Pont, hogy én tudom, hogyan épül fel egy rendszer, ezért nem beszélek baromságokat :D)
trey @ gépház
Nem, te az informatikai rendszer egy kisebb részéről beszélsz, mert fogalmad nincs arról, hogy mit jelent az informatikai rendszer. Kalapácsod van, mindent szögnek nézel.
https://iotguru.cloud
Nekem nincs, amikor te az egész rendszer megtöréséről beszélsz, miközben és atomi szintre bontva elemzem a felelősségi köröket? NA NE röhögtess :D :D :D
Te nézel mindent A RENDSZERNEK, miközben lehet, hogy tök más felel egyes részeiért :D
trey @ gépház
Jó reggelt! Ezt hívjuk informatikai rendszernek, amit te "egész rendszer" alatt értesz.
Igen, tök más felel egy informatikai rendszer egyes részeiért, ez így szokott lenni.
https://iotguru.cloud
Éppen ezért hanyagolni kellene az olyan pongyola megfogalmazásokat, hogy "megtörték a rendszert". :D Jó reggelt!
trey @ gépház
Tényleg annyi a baj mindössze, hogy te informatikai rendszer szigorúan csak alatt azt érted, amit üzemeltető üzemeltet.
https://iotguru.cloud
Az informatikai rendszert modulárisan nézem, úgy ahogy felépül. Nem egy darab valaminek. Javaslom ezt a szemléletet elsajátítani mindenkinek, aki egy egy fős vállalkozáson kívül valami nagyobban vesz részt ;)
trey @ gépház
Ez akkora bullshit, hogy bekeretezem. :D
Szóval lehet, hogy meglepő dolog számodra, de az informatikai rendszer az egy darab valami, ezért nincs többes számban. És igen, vannak részei, moduljai és alrendszerei.
Szinte csak ilyenben vettem részt és most is ilyen projektekben veszek részt, mint enterprise és/vagy solution architect szakértő.
https://iotguru.cloud
Akkor pontosan értened kéne, hogy mi a különbség abban, amikor a rendszert törik meg, meg amikor egy embert rászednek soc. engineering módszerrel.
:D
trey @ gépház
Én pontosan értem.
https://iotguru.cloud
Amennyiben az ember része a rendszernek, akkor megtörték a rendszert, mivel része a rendszernek.
Ez kb olyan, mintha baranya megyét megtámadná valaki, akkor is azt mondanád, hogy nem magyarországot támadták, hanem csak Baranyát, Budapest vagy más megyéknel ezzel semmi dolga, oldja meg baranya megye ?
Fedora 38, Thinkpad x280
Persze, persze!
Ha munkaidőben törték meg az embert, akkor része a rendszernek, ha munkaidőn kívül, akkor meg nem, mi? :D
Na ne kábíts :D
trey @ gépház
Mondod ezt egy olyan cégből amiben ~100-an dolgoztok.
Vannak itt azért olyanok akik egy vagy két nagyságrenddel nagyobb helyeken szereztek tapasztalatot a témában.
Mi köze van a cég létszámának ahhoz, hogy én milyen nagyságú projektekben veszek részt?
LOL :D
trey @ gépház
Ezen rugozol, hogy szerinted itt mindenki egyfos projekteken dolgozik es emiatt kapaszkodsz a szalmababokba.
Majd vess egy pillantást azokra a projektekre, amikben részt veszek, aztán gyere vissza utána, hogy elbeszélgessünk, hogy ki min dolgozik :D
Aztán majd megérted, hogy miért ragaszkodom ahhoz, hogy a felelősségi körök tisztázva legyenek, az átadási pontok pontosan, vitathatatlanul le legyenek szúrva stb. :D
trey @ gépház
Kezdjük ott, hogy almát a körtével hasonlítasz össze.
A hup.hu egy weboldal, ingyenes portál motorral amiért senki nem vállal semmilyen felelősséget. Így leszarja, hogyha ellopják a session cookie-dat, az a te bajod lesz nem az övék.
Az eKreta rendszer pedig egy elvileg tervezett rendszer, egy egesz orszag tanuloinak szuleinek stb minositett adatait kell tarolni kezelni. Itt fel se kéne merülnie a fenti lehetőségnek.
Fedora 38, Thinkpad x280
Csak hogy értsd:
Ha biztonsági incidens történt egy ekkora projeknél és
Tök más hatáskör. Annak leszabályozása, hogy a projektvezető hozzáférhet-e és mihez, semmi köze a műszaki igazgatónak és osztályának. Ő azt valósítja (implementálja) meg, amit a biztonsági vezető meghatározott.
trey @ gépház
Csak hogy értsd,
Ilyen projekthez eleve nem használnék olyan rendszert ami a fenti esetet lehetővé teszi. Azaz ha létrehozható olyan scenárió amivel a fenti mód előidézhető, akkor az max hup.hu és hasonló weboldalakhoz jó lehet, de nem egy fenti méretű prjekthez.
Tehát a fenti projekthez az a rendszer ami most ott van (gépestől, oprendszerestől, emberestől mindennal ahogy van cakkon pakk) szar.
Az meg, hogy ilyen "amatőr" módon hozzáférhettek mindenhez is, alátámasztja, hogy szar.
A rendszer simán megelőzhette volna a fenti esetet azzal, hogy a rendszerhez tartozó dolgokon nem lehet mást csinálni csakis a rendszerhez hozzáférni. A manager nem ugyanazon a gépen dolgozik ekrétán, és rejszol pornhubra lazításképpen stb.
Mint ahogy a te hupos példádban is, ha komolyan kéne védened a hup.hu adatait, akkor neked se azon gépen kéne adminolnod a hup.hu -t amin netezel, hanem csakis külön erre célra kijelölt gépen, és azon semmi mást, nem kéne tudnod csinálni.
Fedora 38, Thinkpad x280
Ha én rákattintok egy malicsusz linkre és kikerülnek az adatok, a Rackforest-nek van felelőssége? Nem ők szállították a szoftvert, nem ők rakták össze a rendszert, nem ők tervezték meg. Ők csak a vasat, a LAMP stacket üzemeltetik, a mentést végzik stb.
Az ő szempontjukból megtörték a rendszert?
Igen vagy nem?
trey @ gépház
Nem, senki nem állítja rajtad kívül, hogy ez a Rackforest felelőssége. Azt se állítja senki rajtad kívül, hogy ez a Drupal felelőssége. Ezek a te szalmabábjaid.
A "hup.hu" informatikai rendszer attól még meg van törve, hogy a támadás nem a hardver, a hosting vagy szűken vett szoftver stack felől jött, hanem az informatikai rendszer egyéb kellően nem védett részei felől. Az a gép, amin a malicsusz linkre rá tudsz kattintani és ettől kikerülnek az informatikai rendszerből védett adatok illetéktelenekhez, az - különösen GDPR szempontból - része az informatikai rendszernek.
https://iotguru.cloud
Igen, így látja egy laikus, azonban amikor majd a felelőst keresik, akkor jönnek a szakértők, akik meg fogják állapítani a felelősségi körök alapján, hogy
Tudod, aki ért hozzá, az érti mi a különbség egy sérülékenység exploitálása meg egy rosszul szabályozott folyamat kijátszása közt. Kurva fontos ezeknek a részleteknek az ismerete, főleg, ha olyan projekteken dolgozol, amik nem egyszereplősek.
trey @ gépház
Mindegyik felsorolt esetben az informatikai rendszert törték meg. A probléma abból ered, hogy számodra az az informatikai rendszer fogalma azt takarja, amit az üzemeltető üzemeltet. De ezt már többen és többször is leírták.
Igen, kurva fontos ezeknek a részeknek az ismerete. Igen, általában többszereplős projekteken dolgozom, pár szinttel feljebb, mint ahol te ülsz egy ilyen projekten. Én látom az elefántot, te meg csak a lábát tapogatod...
https://iotguru.cloud
LOL
Volt szerencsém rálátni olyan bírósági ügyre, amiben azt firtatták, hogy ki a felelős egy biztonsági incidens kapcsán. Elhiszed, hogy a szereplők azért mentek a bíróságra, mert a "megtörték a RENDSZERT" baromságot akarták kibontatni és a végén egy ítéletet látni, hogy vajon mégis mit törtek meg? :D
Gy.k.: erről szólt a tárgyalás. Enélkül tárgyalás sem lett volna :D
trey @ gépház
És? Anekdotázni és is tudok.
https://iotguru.cloud
Az, hogy "megtörték az informatikai rendszert" lózung nem elégítette ki a szereplőket. Szakértőket hívtak, akik a végén felvilágosították a laikusokat. :D
trey @ gépház
Oszt? Mutass kérlek ügyiratokat.
https://iotguru.cloud
Hogy adhatnék ki ilyen bizalmas infókat? Ne komolytalankodj.
trey @ gépház
Ó, nahát, akkor jelenleg ez egy anekdota.
https://iotguru.cloud
Anekdota, amit legalább - hmm - 10 HUP olvasó biztosan ismer. 🤷♂️
trey @ gépház
Nem, ezt te mondod, ez a te szalmabábod.
A te hozzáférésed és annak biztonsága része a "hup.hu" informatikai rendszernek, ahogy a Drupal is része. Továbbra is az a tévedésed, hogy szerinted a Drupal és a hardver az informatikai rendszer, minden más azon kívüli dolog.
https://iotguru.cloud
https://hup.hu/comment/2848128#comment-2848128
Válaszolhatsz te is.
trey @ gépház
Szerintem a rendszer hibaja, ha egyszeru jottment projectmanager/leader hozzafer ilyen adatokhoz.
Rosszul terveztek meg a rendszert, ha ilyen megtortenhet vagy ido elott eles forgalmat kapott a rendszer mielott befejeztek volna az alap funkciok fejleszteset. :)
De nem azert irom ezt, mert kivetelesen szar lenne a Kreta. Csomo helyen balfasz devek/architectek/stb dolgoznak. Miert lenne maskepp pont ott? :D
Jaja, szépen eljutottál oda, amit az elejétől kezdve írtam, hogy nem a rendszert törték fel, mert az megfelelően volt patchelve, nem volt félrekonfigurálva, hanem a rendszert biztonságilag felügyelő vezető, a Chief Information Security Officer (már ha van/volt ilyenjük), amelyik ezt lehetővé tette.
👏
trey @ gépház
Az, hogy social engineering-en keresztül értek el adatokat, nem jelenti, hogy a rendszer egyébként megfelelő.
Vagy van bármiféle publikus audit róla?
A rendelkezésre álló infók alapján beszélgetünk. Az ellenkezőjéről van publikus adat? Az az infó, hogy
Magyarul elloptak egy session cookie-t vagy valamit. Gondolom, folyamat bejelentkezve volt adminként ...
Ez tényleg a rendszer hibája?
trey @ gépház
Hajlok rá, hogy nem normális, ha az üzemeltető ilyen széles adatokhoz hozzáfér ennyire nyitott környezetben.
Mi a lóf@sznak kell emailezni azon a gépen, ahol az éles adatbázist éred el?
Már eleve azt problémásnak tartom, hogy ilyen mértékű adatkezelés mellett nem követelmény publikált security audit - Microsoft ezt egyébként megteszi az Azure esetén.
Amikor lecsuknak érte pont ugyanannyit kapsz.
A támadó felelősségét nem vitatta senki. Itt most a másik oldal felelősségét keressük.
trey @ gépház
En -szokasom ellenere- ezt a cikket most vegigolvastam. Nem arrol szolt a dolog, hogy pistike rakattintott egy linkre, majd lefekudt a gepe, pistike sirva fakadt es hazament. Az a feltetelezes, hogy a gyerekek/az oktatasi rendszer teljes adatallomanya hozzaferhetove valhatott. Mindez csak feltetelezes persze -plane a telekszet ismerve- de nem nagyon latom a sajtokozlemenyt, amely legalabb cafolni probalna.
Error: nmcli terminated by signal Félbeszakítás (2)
A "hogyan jutottak be" szempontjából teljesen lényegtelen, hogy mi válhatott hozzáférhetővé. Próbáljatok már egy kis komolyságot magatokra erőltetni.
trey @ gépház
Nagyon sokszor osztom az allaspontodat, de egy ilyen esemeny szakmailag vedhetetlen. Marpedig ez szakmai tema, nem politikai.
Nem az az igazi problema, hogy hozzaferhetnek -e a rendszerhez, vagy sem - hibak mindenhol vannak; hanem hogy errol -mint adatvedelmi incidensrol- miert nincs sehol egy szo sem?
Error: nmcli terminated by signal Félbeszakítás (2)
Nem is értem miről beszélsz. Fasznak kevered ide a politikát? Én szakmai dolgokról beszéltem.
trey @ gépház
Allami uzemeltetesrol beszelunk, benne van a politikai szal. A teleksz nem is cikkezett volna rola, ha ez nem igy lenne...:)
Error: nmcli terminated by signal Félbeszakítás (2)
Engem ez a része itt nem érdekel.
trey @ gépház
Legközelebb vigyáznunk kell itt a HUP-on megjelenő hírnél mikor a processzt szedik rá gonosz támadók előkészített adattal, nehogy arról beszéljünk, hogy a rendszert törték fel. Hisz csak a processzt tévesztették meg.
Egy informatikai rendszer nem csak a front oldalról törhető. Ha hátsó ajtón jutottak be, mert a hátsó ajtó nem volt kellően védve, pláne különleges védett személyes adatokhoz férhet hozzá a belső hálózatból arra illetéktelen, mert nincs kidolgozva vagy használva megfelelő jogosultságkezelés, akkor ugyanúgy a rendszert törték meg, mert egy informatikai rendszer nem csak egy tűzfalból és front oldalból áll. Bízom benne, hogy érted a különbséget.
https://iotguru.cloud
Bízom benne, hogy végigolvastad a szálat, nem csak szokás szerint ráugrottál az első kommentre.
trey @ gépház
Hogyne. És bízom benne, hogy ettől még képes vagy megérteni, hogy mit jelent az informatikai rendszer fogalma.
https://iotguru.cloud
Csak, hogy legyen végre egy autós hasonlat is! :)
Akkor ennyi erővel ha a sávtartó automatika az úton tartaná a kocsit, de a sofőr elfodítja a kormányt és az autó nekimegy a fának, akkor a "rendszer" nem működött jól? A vezető is a mozgó gépjármű rendszerének a része...
Hiányzott, mint egy falat kenyér.
Igen, akkor az úton közlekedő jármű, mint rendszer, nem működött jól. Nem az autó hibásodott meg, nem a sávtartó automata hibázott, de az úton közlekedő jármű, mint rendszer, nekiment a fának... és onnan tudod, hogy a vezető szerves és elengedhetetlen része az úton mozgó jármű rendszerének, hogy nélküle - jelenleg - nem működik ez a rendszer.
https://iotguru.cloud
Utolsó vérig, mi? :D
trey @ gépház
Tudod, van a rendszernek definíciója. Amit valaki vagy ismer vagy nem. Oszt ennyi.
https://iotguru.cloud
Információbiztonsági szemszögből? Lásd:
Információbiztonsági Irányítási Rendszer - nézd meg mi tartozik bele.
Autóipar: lásd TISAX - nézd meg mi tartozik a látókörébe.
A rendszerdesign része az is, hogy lehet-e egy ember rászedésével kompromittálni. Itt lehetett. Persze nem derült volna ki a dolog, ha pont nem olyan ember lett volna a *.* jogosultságok birtokában, akit rá lehet szedni. Itt az volt a fő gond, hogy egy műszaki analfabéta kapott eltúlzott jogosultságokat. Bizonyos méret felett mondjuk nem igazán biztosítható, hogy ne legyenek ilyen kaliberű emberek is a csapatban, ha pedig a nagyfőnök csak a korrupcióhoz ért, meg ahhoz, hogy 2021-ben elég legyen 693 millió forint az éves bruttó bérre 93 dolgozónak (tessék utánaszámolni, hogy ez mekkora havi bruttót jelent per kopf, meg hogy ezért a pénzért milyen kaliberű "szakembereket" lehet kapni), hogy közben meg jusson 3.5 milliárd adózott eredményre, nos, akkor eleve erre kell készülni, úgy kellett volna a rendszer működését kialakítani, hogy fostaliga emberek mellett is működtethető legyen a rendszer incidensek nélkül.
A különbségtétel valóban fontos, de ez [__] nagyon tré. Egy fejlesztői cég "projekt vezető"-jének miért kell egyáltalán hozzáférés egy éles rendszerhez?
Nem vágod Trey, a fele sem tréfa. Egy névtelen belső informátor szerint. Mi ez, ha nem bizonyíték? Mi kell még, hogy elhidd, hogy itt történt valami?
Igazából csak te látod. A külvilág a másik halmaz. :-)
Hat szerintem arra sem kell mar sokat varni, mert ilyen high-tech modokon vedekeznek: https://www.reddit.com/r/hungary/comments/yqkw5q/a_kr%C3%A9ta_k%C3%B3dj…
Nyilvan a 444 ujsagiroinak az informatikai felkeszultsege a legnagyobb problema ebben a sztoriban….
Szerintem Trey simán megvédi ezt is.
Bot úgysem próbálkozik "And"-al se " and and " -al, se " a and nd"-al ennyire nem komplex lények.
Azt gondoltam ha már 3 éve leérettségiztem nem érint, de az adatvédelmi tájékoztató alapján még 27 évig fog :D
2FA meg minek.
A magyarorszagponthu-n hány évig nem volt...? (És persze most sem kötelező...) :-P Mondjuk egy ilyen rendszernél, ahol pont nem csak a saját adatairól van szó, pláne kéne 2FA és/vagy alaposabban átgondolni, hogy kinek is kell valójában hozzáférés és az milyen szintű legyen - bár adatot lopni egy csak olvasási jog is elég...
A semminél jobb, de balfaszok ellen az véd (MFA fatigue attack).
trey @ gépház
Ha az az MFA valóban MFA, és a 2. faktor valóban csak és kizárólag egy példányban létező eszköz, akkor azért eléggé korlátozott az adott identitásnak az eltulajdonításával történő rosszindulatú tevékenység. Az más, ha kap egy trójait a tökike, és utána a fullos hozzáférésén keresztül tolnak sql-dumpot távolról úgy, hogy akár észre sem veszi, hogy valakik mászkálnak a gépén...
Felhasználók jelentős része az MFA-val védett szolgáltatást azon a telefonon nyitja meg, ahol a token elérhető.
Egyébként API is lehetett a támadási felületet vagy bármi, semmilyen releváns információt nem közöltek róla.
Ennek a cikknek elsosorban az a hirerteke, hogy tortent egy incidens a multban, de ahelyett, hogy tisztessegesen kivizsgalnak, lenne rendorsegi nyomozas (bezzeg a BKV ugyben a TEK torte ra a gyerekre az ajtot), lenne rendes kommunikacio/hivatalos jelentes az ugyben (GDPR ugye), inkabb megy a sunnyogas, lapulnak, mintha mi sem tortent volna. Ez a baj.
Az pedig biztos, hogy volt incidens, mivel a gyerekem osztalyfonoke is megirta a szuloknek, hogy a gyerekek ne hasznaljak a Discordot, mert azt gyanitjak, hogy azon keresztul tortek fel a Kretat (?). Mindenesetre latszik, hogy kikuldtek az iskolaknak vmi tajekoztatot az ugyben.
Discord tiltás helyett azt kéne elmondani, hogy ne kattintsanak -jellemzően url rövidítő mögé rejtett- mindenféle linkekre: se emailben, se facebookon, se discordon se semmi más üzenettovábbításra alkalmas felületen: bónusz: QR kódok :)
Osztályfőnököt meg fel kell homályosítani, hogy discordon lehet pl a chat helyett van hang alapú kommunikáció is; bár ezzel és a videókkal meg azért érdemes vigyázni, mert sose tudhatod a másik oldalon ki rögzíti.
Iskolai keretek között a cyberbullying téma miatt már jó esetben ezek lefutott körök kéne legyenek.. (tudom, bilibe lóg a kezem..)
Ja, mert az osztályfőnök aztán kvára ért a Krétához... meg a Discordhoz.. meg úgy általában az IT (security) hez is, mi? :D
Biztosan van néhány kivétel, de ahová a gyermekeim járnak, ott akkora az IT analfabétizmus, hogy sokszor sírhatnékom van. Nem kell itt semmit feltörni, ahhoz hoz illetéktelenül hozzáférjenek adatokhoz, amíg a legtöbb tanuló account default jelszóval van használva... És látva, hogy a tanárok, iskola igazgatók sincsenek a toppon én inkább azon csodálkozom, hogy csak most kezd kiborulni a bili.
zrubi.hu
Ne keverjük már a kis pénz, kis focit, a közpénzből kitömött "megoldásszállítókkal"...
Trey azt mondja, hogy nem az e-krétát törték meg csak volt egy kretén aki szeret kattintgatni és ennek a kreténnek mindenhez is joga volt és ezt úgy sem sikerült kivédeni , hogy ott van pénz. Na most a közszférában mégis hogyan kellene. (Pláne, a kiskirályi rendszerben ami jelenleg él és a kretén úgy baszhat ki mint macskát szarni :))
Abban egyetértek, hogy a feltörték az krvára nem ugyan az, mint hogy illetéktelenül hozzáfértek.
Attól pedig, hogy van pénz lóvéra, okosabbak sajnos(?) nem lesznek. sehol. Én is láttam már nemy egy rendszert, ahol nagyfőnöknek god mod járt, mert hát 'ő a főnök'. Ez szimpla hülyeség.
Hülyeség ellen pedig egyetlen rendszer sem véd, mindegy mennyi pénzt költesz rá.
Szerintem.
zrubi.hu
Próbáltad már megmagyarázni a főnöknek, hogy ez hülyeség? Ha neadjisten politikus (vagy az által beültetett kivagyok/mivagyok) az illető akkor tutira nem lesz nagy sikered. :D
És igen a pénz magában nem véd, csak ugye ahol effektív van pénz emberre vagy eszközre az azért valamelyest segít. :)
Arról nem beszélve, hogy azt még valahol nehezen megérti az ember, hogy gizike minden linket megnyit amit emailben kap, de egy It cég projektmanagere?
20+ éve ezt csinálom... úgy tűnik jól, mert még mindig van munkám ;)
hint:
az ilyen típusú (kis)főnöknek általában az a 'taktikája', hogy nem hivatalos csatornákon keresztül (pl szóban) veszi rá a birkáit, hogy az ő 'parancsára' csináljanak hülyeségeket. pl full root jogot kapjon oda, ahol neki semmi keresnivalója.
Ezt egy egyszerű - de írásos - felelősségvállalási nyilatkozattal ki lehet védeni. Innentől csak a saját f*sz*val veri a csalánt.
Hidd el, még a leghülyébbek is meghátrálnak ettől.
A népszerűség egy másik kérdés...
szerencsére én a szakmai tudásommal keresem a kenyeret, nem pedig bologatással és seggnyalással.
(Utóbbival persze sokkal többet lehet keresni a gyakorlatban, csak gyomor kell hozzá. Na meg a gerinc hiánya. Esetleg kifordítható köpönyeg)
szerintem.
zrubi.hu
Rossz megközelítés, ha politikussal (vagy a betolt haveri körrel, egy sem fog olyan papírt aláírni amin a felelőség szó szerepel) van dolgod, szépen megadod amit szeretne (általában mindent is) és szépen lassan elveszel tőle (mindent is). Az a tapasztalatom, hogy fel sem fog neki tűnni. (értsd a jogosultság a kivagyok/mivagyok miatt kell nem azért mert valaha is használja :))
hát, szerintem ez már átmenet a 'bólogatós kutya' irányba... ami nálam no go.
Ha nem írja alá, nem csinálom meg. pont. Ha emiatt kirúg, akkor az a munkahely amúgy sem nekem való. Van elég csicska, majd talál magának megfelelőt... Jó szakemberekről ez nem mondható el.
szerintem.
zrubi.hu
Ideális helyen úgy lenne ahogy írod.
A közszféra kicsit más. Az itsecet (a hátrahagyott papirhalmon kívül) nem látod (az meg ugye baromira nem fogja megvédeni a rendszeredet semmitől) , az NKI ASR monitorozó rendszere közvetlen (és véletlen sem valami relayen) küldi a "lehalt a szerver" emailt (rájöttem, hogy a greylisting miatt nem jött eddig egy sem, de még reverse dns sincs a monitorozó vason beállítva az ilyen közvetlen kommunikációt jobb helyeken eleve eldobják a picsába). Lehetne még mesélni, de minek...
Bár az is lehet, hogy csak a teszt része, hogy szarul van-e beállítva az smtp szerver ;)
Jol felreertetted. Nem az a lenyeg, hogy mit irt az osztalyfonok. Viszont az latszik belole, hogy kozpontilag megkertek oket, hogy cselekedjenek vmit, feltehetoen az incidens kapcsan.
Ja, ilyen specifikus baromságot egy tanár magától nem talál ki, főleg nem küld ki a szülőknek. Legalábbis remélem.
Ha tényleg kikerülhettek tömegesen személyes és ráadásul különleges adatok a KRÉTÁból, tehát súlyosnak látszik az incidens, akkor
- NAIH értesítve lett az előírt időn belül az incidensről?
- Érintettek (kiskorú miatt szülők) megfelelőképpen értesítve lettek az adatkezelő által, hogy a róluk tárolt személyes adat kikerülhetett?
Ha nem lettek ezek az intézkedések végrehajtva, miért nem?
Lásd: 2016/679 EU rendelet 33. cikk és 34. cikk
Ha esetleg az állami intézményre nincs a gyakorlatban ilyen kötelezvény, akkor a nem államiakra miért van? Az EU direktíva nem tesz különbséget állami és nem állami között.
Vagy nem volt semmi incidens, csak kitalálta valaki?
A NAIH fideszes dolgokkal nem foglalkozik. :)
Ha kikerült, és erről szólnak valakinek, az mit tud csinálni?
Az attól függ, ki az a valaki, akinek szólnak.
Ha a te adataidat lopják el, pl. perelheted az adatkezelőt.
“Any book worth banning is a book worth reading.”
Ahhoz neked kell bizonyitanod, hogy hanyagul kezelték.
Ebben segíthetnek pl. a bírósági szakértők.
“Any book worth banning is a book worth reading.”
Nem gondolom, hogy ez büntetőper lenne.
Ez tévedés. GDPR szerint az adatkezelőnek kell bizonyítani, hogy az adatkezelés körén kívül eső elháríthatatlan ok idézte elő a szivárgást (GDPR Art. 82).
Amennyiben ténylegesen egy ember hozzáférésének megszerzése vezetett ide (főleg ha az a fejlesztőnél dolgozik -> ezt sem tudjuk biztosan) akkor nincs aki ezt bizonyítani tudná.
Konkrétan melyik pont írja elő az adatkezelő bizonyítási kötelezettségét?
https://gdpr.algolia.com/hu/gdpr-article-82
A megfogalmazott felelősség mentesülés feltételeit a 3 pont írja le.
"Ha nem lettek ezek az intézkedések végrehajtva, miért nem?"
Én arra tippelnék, hogy leginkább azért, mert nem számítottak rá, hogy kiderül...
“Any book worth banning is a book worth reading.”
Honnan tudjuk, hogy ezek nem történtek, vagy nem fognak megtörténni?
"Honnan tudjuk, hogy ezek nem történtek"
Megkérdezzük a krétás szülőktől, hogy kaptak-e ilyen értesítést.
"vagy nem fognak megtörténni?"
Hát, miután kiderült, már tényleg illene szólni hivatalosan is :)
“Any book worth banning is a book worth reading.”
Azok a szülők, akik érintve voltak.
A leírtak alapján elvileg ~minden szülő érintett.
Error: nmcli terminated by signal Félbeszakítás (2)
Innentől pedig zárult a kör, 2016/679 EU rendelet előírja kivétel nélkül. Betartatója pedig a NAIH.
Feltéve hogy nem csak kitalálták az incidenst.
"Úgy tudjuk.."
Pont ezert kellene tisztazni.
Error: nmcli terminated by signal Félbeszakítás (2)
Hát, másik oldalról meg lehet nézni a krétások összes nyilatkozatát az ügyben.
“Any book worth banning is a book worth reading.”
Már kiment az értesítés Kedves Szülő! Kérem változtassa meg a gyermeke nevét, jelszavát, nemét, születési dátumát?
De az 100%, hogy nem feltörték, hanem megszerezték egy kezelő személy bejelentkezési adatait (nagy különbség).
"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett"
és 100 éve még boszorkányt is égettek
... és így vette rá az Orbán-kormány a gyerekeket a nemátalakító műtétekre...
A szálak mennek tovább. A végeredmény azt hiszem tanulságokkal fog szolgálni, többek között a GDPR (2016/679 EU rendelet) és gyakorlatban való betartásának komolyan vételéről és kimagyarázhatóságáról egyaránt.
„Megkeresésével kapcsolatban tájékoztatom, hogy az ügyben a Nemzeti Adatvédelmi és Információszabadság Hatóság hivatalból eljárást indított. Az eljárás lezárásáig további információt nem ad a Hatóság”
egy projectvezetonek miert van adminjoga egy allami rendszerhez?
hogy tudtak egy fertozott linkel kileakelni a jelszavat? nincs erre megfelelo vedelem nalunk?
\o/
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
Le merem fogadni , hogy papíron ultrasec. Csak erősebb kutya, b*szik többek közt a papírra is (azt meg, hogy olyan papírt aláírjon amin felelősségvállalás szó szerepel tiltja a vallása ;))
Még jó, hogy nem a poszeidont vitték az viccesebb lenne.
Mert mondjuk papíron PM, gyakorlatban viszont szakmai feladatokkal is foglalkozik.
Vagy mert ő vezeti a projektet és felelős a jogosultságok delegálásáért.
"Katasztrófák nem történnek csak úgy, döntő események láncolata vezet el hozzájuk"
Érdekes tanmese egy vegyiüzem katasztrófájáról: https://youtu.be/KtdDkLIroI8?t=45
38:05 "Egyetlen ember hibáztatása nem lehet megoldás. Könnyen ahhoz a következtetéshez vezethet, hogy ha az illetőtől megszabadulunk, azzal a problémát is felszámoltuk."
Trey szerint két ember is hibás. :)
Az egy dolog, hogy a pancser csóka a linkre kattintott, tfh még a papirtologató "itsec" is hibázott, úgy gondolnám, hogy ezek a rendszerek csak valami tűzfal/IDS féleség mögül dumcsiznak,a NISZ-nél meg senkinek nem tűnik fel, hogy kicsit megnőtt a forgalom (gondolom nemzetközi irányba).
Igen, "szeretem" azt a hozzáállást, hogy ha a "kisember" hibázik, akkor a hibáját kenjük valami másra (kormány, állam, NISZ, faszomtuggya' mire), nehogy egyszer ki legyen mondva: igen, hibázott.
Értem ennek a pszichológiáját (ilyen velünk is bármikor megtörténhet, jó ha van arra precedens, hogy ilyenkor majd a személytelen izé elvitte a balhét), csak akkor lássuk azt is, hogy ezért tartunk itt. Mert itt soha, senki nem felelős semmiért, itt mindig más a hülye mindig. 🤷♂️
trey @ gépház
Honnan szedted ezt? Link?
trey @ gépház
Fent van a link az update-elt nyitoban.
plusz: https://t.me/s/sawarim
Nekem a "Ki beszélt az Ellenségnek?" tetszik nagyon, le sem tagadhatnák, hogy ők is a közbeszversenyszféra része. :)
uhh... hát ezek rendesen besétáltak a f*szerdőbe.
zrubi.hu
Sétáltak...? Száguldoztak benne, nagyra tátott szájjal...
Feltették a forráskódot. Múltkor páran szétakadtak a másik állami cucc indulásánál a stacktracen (a sokadik kibertámadás volt éppen) amiben félig magyar elnevezések voltak... Nekik javaslom a xanaxot ennek a megnyitása előtt... :-D
Még nem néztem meg de tippre az a kontent veszélyes a kiskorúakra.
akkor... most már open source lett a project? :D
Vajon mit szólnak, ha esetleg valaki patch-et is küld nekik? :D:D
zrubi.hu
Láttad a preventSQLInjection függvényt? Ilyet még én se adnék ki a kezem közül (ennél még az internal use projektbe is igényesebb az ember) és ez csak közszféra és csak egy nyomi üzemeltető, helpdesk, itsec replacement, néha gépíró vagyok. Ja és mondtam már, pénz sincs :P
Asztakurva. Jól látom, hogy egy 'oR' vagy 'aNd' simán átmenne az SQL injection preventor függvényen? :D
Most fogják csak igazán szarrá törni ezt a fost.
https://iotguru.cloud
Gondolom, nincsen elég SQL injection kezelésére szolgáló lib, írni kellett sajátot. Megnézném a kódot, hátha írta kripto algoritmust is.
Ja, amúgy van a pakkban éles cert is... :D
https://iotguru.cloud
Ja, vajon szóltak az EESZT-seknek, hogy vonják vissza? Vagy ők is szopóágra mennek a NAIH-nál.
(A CRL szerint nincs visszavonva még, erre csak annyit tudok mondani, hogy "Tiszteletet a bátraknak")
Ha a kulcs is ott van, az a gáz...
Természetesen a privát kulcs is ott van mind a EKRETA_prod.pfx-ben (Tulajdonos:eKreta, Kiállító: EESZT PROD CA, Érvényes:2030.12.08.), mind az userEles.pfx-ben , az importálástól szerencsére jelszó védi. Mely mint minden professzionális projekt esetében, így ez esetben megtalálható plain textben beégetve a forráskódba.
Wow. Just wow.
.
Itt azért úgy látom, nem igazán vált el egymástól a fejlesztés, és az üzemeltetés, és főleg ezek után hogy fel fogják törni a krétát.
De az is érdekes, hogy hogyan tudta kikerülni, hogy ne olvassa el, hogy a php.net mit ír, hogyan kellene egy SQL queryt paraméterekkel meghívni. És ez senkinek nem tűnt fel a fejlesztés során sosem. Nehéz elhinni, hogy ez a hiba véletlenül került bele.
C#, nem PHP. De amúgy igen, senkinek nem tűnt fel, valószínűleg nem az utolsó senkik fizetésére ment el a sok pénz...
https://iotguru.cloud
Vagy épp az a baj, hogy a php.net-et nézték, miközben C#-ban
fejlesztettekprogramoztakkódoltak.Legnagyobb kedvencem mikor a xy fejlesztők majd jobban tudják és írnak frameworköt.
Gábriel Ákos
beleégett a retinámba vazze...
Régebben csináltam egy kód auditot olyan kódon, ami többezres látogatottságú publikus oldal(ak) alatt volt...
A hivatalos végeredmény persze már előre meg volt írva, de azért privátban a megrendelő kíváncsi volt a valós eredményre is. Majdnem sírva fakadt, amikor azt javasoltam hogy várhatóan sokkal gyazdaságosabb kidobni az egészet a picsába, és 0-ról újra írni, mint javítgatni azt a tákolmányt.
Azt hittem az a leg szörnyűbb élesben üzemelő kód, amit valaha látok... de most überelték...
De hogy ne csak fikázzak: szintaktikailag szépen van formázva ;)
zrubi.hu
"”A Neptun örökségét lehet látni a hekkerek által megosztott forráskódban is, aminek egy része ma már szintén nincs használatban, ilyen az idejétmúlt SQL-injekció elleni védelem is” – mondta az egyik volt KRÉTA-s fejlesztő, hozzátéve, hogy úgy tudja, ezt a megoldást már maga a Neptun is évekkel ezelőtt ejtette."
Őszintén szólva nem lett bennem kevesebb kérdés. Szóval akkor tudják, hogy szar, de még egy Obsolete-ot sem dobnak rá, mert annyira nem mernek hozzányúlni? Vagy csak élnek tech debtekkel, mint hal a vízben?
"„Minden tiszteletem azoké, akik fejlesztői környezetben, a tesztadatbázisokban is titkosított megoldásokat használnak, de ez nem életszerű”"
What? Nincs prod ready környezetetek? Eddig akkor mindig életszerűtlen helyeken dolgoztam.
Én már láttam olyan projektet, ahol a verziókezelés kb. az volt, hogy a függvényekből volt v1, v2 ... vn. A legmagasabb, amit láttam az asszem doSomethingV14(...) volt.
Végülis ez majdnem olyan, mintha rendes VCS-t használnának, csak az egész kódelőzményt bent tartják a working copy-ban. :)
Hát, legalább nem final.2.karesz a vége, mint doksiknál, hiába, látszik hogy szakemberek voltak, nem csak béná irodisták.
Hát jó, akkor szerencsés vagyok.
LOL.
Se MFA, se semmilyuk nem volt, a leirtak alapjan normalis hatarvedelem se. Egy login mind felett.
Vezerig annyit reagalt, hogy “tudni se akar rola”.
Másodszor olvasom ezt a dolgot ... mondd, láttál már M365-öt MFA-val? Szerinted ha nem lépsz ki, mennyi időnként kéri a jelszót/második faktort? Elárulom, hónapokig nem. Vagyis, ha ellopják a beauth-olt session-öd, akkor bemennek. Mit segít ezen az MFA _____szabályozás és annak betartása, valamit betartatása nélkül______? Például: nem internetezünk a pornós gépről, le van írva, hogy minden munkavégzés után azonnal ki kell lépni / tilos a "belépve maradok" opciót használni? Vagy utasítani az adminisztrátort (megint csak IT sec. vezető feladata), hogy ezt enforce-olja?
Ezek szerint hibás a Microsoft teljes felhője, mert lehet szarul használni? Egy lófaszt.
trey @ gépház
De csak négyen ismerték a jelszót a megtört fiókhoz. :) Gondolom a szabályozásban öt ember volt a limit.
ROFL.
Fura, nalunk mukodik.
Ahogy lejovok ceges halorol, VPN-rol stb a geppel meg MFA-val sem(!) ferek hozza a levelezeshez, teamshez, SCM-hez stb.
A szabalyozast meg betartja az erre hivatott tool a gepeken. Utalja mindenki, de ez van.
Rendszeres belso phishing teszt van, aki nem jelzi a phishinget annak ujra az osszes training.
Én meg erre azt mondom, hogy úgy van megcsinálva az üzemeltetés részéről, ahogy kérik. Ha a felelős IT Sec. vezetőn át tud menni az a kérés, hogy
ugyanis, nem az üzemeltetés felelőssége ez, hanem az IT sec. vezetőé. Adja írásba, aztán úgy lesz beállítva, ahogy kéri. Ha meg bazmeg van, akkor tartja a hátát.
Szerinted mi még nem futottunk bele olyanba, hogy enforce-ova volt egy biztonsági funkció (természetesen előzetesen tájékoztatva az érintetteket, akik szokás szerint basztak elolvasni), majd utána, amikor a beállítás effektív életbe lépett, jött a lebaszás, hogy hogy képzeljük azt, hogy akadályozzuk a kollégáikat a munkavégzésben, azonnal állítsuk vissza? Majd, mondtuk, hogy oké, de ennek ez meg ez a biztonsági vonzata, konzultálja meg ezt a CISO-val, majd 10 perc múlva ott volt a "papír", hogy engedélyezve?
Innentől kezdve az üzemeltetést mennyire kell, hogy érdekelje, hogy valaki tökön akarja szúrni magát? Igenis, ragaszkodni kell ahhoz, hogy ha nem a rendszert törték meg, akkor kimondjuk, hogy kit/mit. Mert nem mindegy, hogy ki viszi a balhét.
trey @ gépház
Nem reagaltal arra, hogy szerinted M365 + MFA hulyeseg de nalunk meg mukodik.
Komoly cegnel nincs olyan amit leirsz, hogy visitanak es akkor nincs bevezetve.
Az mindenkinek lejott a hozzaszolasaidbol, hogy teged addig erdekel, hogy legyen lepapirozva a roles & responsibilities es ezen rugozol tobb napja.
Ezen reg tul vagyunk, az a nulladik lepcso egy rendszerben.
Itt a technikai reszleteken rugozunk, mert az az erdekes. Abbol ami kiderult pedig visszavezetheto, hogy a te gumicsontod es a mienk sem letezett ennel a cegnel.
Ja, hogy túl vagyunk rajta? Ezek szerint igazam van?
trey @ gépház
Abban, hogy le kell irni ezeket? Igen, nem is vitattam.
Csak ezen nem tudsz tullepni.
Adok egy tippet: ha erre vagy rafeszulve, mert ehhez a reszehez ertesz akkor a publikalt tenyek alapjan fejtsd vissza kerlek a szabalyozasukat, engem erdekelnenek a megallapitasaid. Most egyhelyben topogsz.
Túl tudnék, ha jött volna valamiféle visszaigazolás ezzel kapcsolatban. De nem jött, egészen idáig.
Nem az én feladatom elemezni. Az itteni hülyeséget viszont miért ne javíthatnám ki?
trey @ gépház
MFA-ra semmi? Hat jo. /sohajt
Reagáltam rá. Hajadra kenheted, ha jön egy olyan utasítás, hogy ki kell kapcsolni, egyszerűbbé kell tenni. Olvasd el, hogy mit írok. Ezért is nem mindegy, hogy tisztázva vannak-e a felelősségi körök.
És igen, ezért is rugózok rajta. Mert számtalanszor hugyozták már ügyfelek keresztbe azt, amit javasoltunk nekik. Ilyenkor semmi gond, adja írásba, az ő felelőssége, a bíróság adott esetben majd köszöni szépen a doksit, vita nélkül zárja az ügyet.
trey @ gépház
Terelsz: tettel egy allitast egy MFA use-case-rol ami nem igaz es mindenkit elkuldtel aki MFA-val jott.
Senki nem allitja, hogy az a csodatevo saman, de azt igen, hogy a minimum szint a meglete.
Irrelevans, hogy mit “szoktak” az ugyfeleitek csinalni.
Most a Kreta behatolassal foglalkozunk.
Mi az, hogy nem igaz? Hogy ne lenne igaz, amikor létezik ez az use case? Vagy a létezését tagadod?
Mármint, hogy az lenne a minimum szint, hogy VPN-en keresztüli session-ön használod az M365-öt? Ha ne vicceskedj :D
Hát persze, mert kiderülhet, hogy ábrándokban élsz.
Így van. Tehát, ha a te szisztémádat használták volna, VPN + MFA, de közben az otthoni gépéről, akkor azt állítod, hogy nem férhettek volna hozzá a rendszerhez? :D
trey @ gépház
Honapokig tarto session. Rossz beallitas mellett max.
Azt mindod az ugyfeleid mrgkefelik a torekvest, hogy buztonsagos legyen. Amit most reagaltal az alapjan teged sem nagyon erdekel, ha az serti a kenyelmet.
Nem csak VPN-el lehet megoldani, van mas, egyenerteku megoldas is de azt sajnos nem fejthetem ki. Pontosabban lusta vagyok megnezni, hogy mennyire publikus.
Kiforgatod a szavaim, nem első alkalommal. Utána meg rébuszokkal jössz. Lásd be, ennek itt vége van.
trey @ gépház
En is igy erzem. Egyszeru kerdesekre is terelsz, de megszoktuk.
MFA a bare minimum, az ezer mas dolog mellett. Fact.
Ami önmagában semmit sem garantál. Főleg, ha a fószer be van jelentkezve a rendszerre a backdoor meg már előtte telepítésre került a gépére :D
Fact.
trey @ gépház
De, garantál, ha megfelelően van implementálva és nem csak dísznek van.
Például a GitHub esetén végig be vagyok jelentkezve, egyes privilegizált műveletek előtt újra kéri a jelszót és egyes ennél privilegizáltabb műveletek esetén MFA megerősítést is kér. Tehát hiába telepítettek a gépemre backdoor-t, a GitHub nem teszi lehetővé, hogy az MFA megtörése nélkül olyan műveleteket hajtsanak végre, ami különösen védendő művelet. Tehát, ha nincs session hijack védelem és megszerzik a GitHub session adatait a támadók, akkor se tudnak semmi érdemlegeset művelni.
https://iotguru.cloud
Legalábbis jó ebben bízni, nem? Mint amikor az user megadja az adatot, hirtelen "lefagy" a rendszer, a támadó meg szépen intézi a dolgát :D :D
trey @ gépház
Nézd, olyan mélységekbe jutottál, ahova már nem akarlak követni. Annyira jól játszod a kisebbségi komplexusos hiányos tudású nagy öblöshangút, aki mindenről megmondja a tutit, hogy már-már elhiszem, hogy tényleg kisebbségi komplexusos hiányos tudású nagy öblöshangú vagy, aki mindenről megmondja a tutit.
https://iotguru.cloud
Mindig is ezt hitted, a benned levő felsőbbrendűségi komplexus miatt.
trey @ gépház
Hát igen, én kérkedtem, hogy "vess egy pillantást azokra a projektekre, amikben részt veszek, aztán gyere vissza utána, hogy elbeszélgessünk, hogy ki min dolgozik", amikor olyanoknak írod ezt, akik nagyobb projekteken dolgoznak, mint annak a cégnek összes éves bevétele, ahol te dolgozol...
https://iotguru.cloud
Ó, pont neked sosem voltak ilyen kijelentéseid :D Bagoly mondja ...
Mondjuk lehet, hogy ha valakinek dolgozok a valaki projektjén, akkor nem az a fontos, hogy ami bevételünk mekkora, hanem azé, akinek a projektjén dolgozok :D Nem várom el, hogy ezt felfogd, mert ez már bonyolult lehet.
Igény esetén kifejtem! Ha magadtól nem menne ...
(FYI: azt tetted szóvá, amit ebben a kommentedben (is) elkövettél, a személyeskedés sem áll messze tőled, mégis gyakran hivatkozol rá ... próbálj ezen javítani, vagy hagyd a picsába az erre való hivatkozást)
trey @ gépház
Semmi baj, csak tudod, az a különbség, hogy szerinted mi "a magasan levő urak" vagyunk. Ami bizonyos szempontból igaz, könnyen lehet, hogy valamelyikünk projektjén dolgozol és valamelyikünk van abban a döntési pozícióban, hogy melyik céget bízzák meg a munkával. Tudod, ez tipikusan egy architect feladat...
Tudod, ez már reakció szokott lenni nálam...
https://iotguru.cloud
Természetesen, hiszen te vagy a világmindenség közepe, hogy is felejthettem ezt el!
Igen, szoktam néha beleolvasni másokkal folyó flame-jeidbe is, akkor jövök rá, hogy ez az attitűd nálad általános .
trey @ gépház
Ó, én ilyet soha nem állítottam veled ellentétben, akinek minden problémára van egy egyszerű megoldása.
Na, azok remek példák arra, hogy a személyeskedéseim már reakciók.
https://iotguru.cloud
Ó, ne túlozz, mindenre nincs. Arra neked van!
Ahogy nekem is. 🤷♂️
trey @ gépház
Vagy akar tobb ilyen projekten is ;)
A nagyotmondó verseny onnan kezd izgi lenni, amikor valóban utána lehet járni az állításaidnak. Az enyémek nagyrészt publikus adatok. 🤷♂️
trey @ gépház
Az a baj, hogy valójában a Github MFA-ja is lófaszt ér. Ugyanis, egy fájl szerkesztése a repositoryban valójában nem privilegizált művelet, commit előtt nem kér MFA megerősítést, de a nap végén ezzel simán el lehet bármilyen kódban helyezni egy backdoort. A GitHub MFA-ja csak az ellen véd, hogy random új alkalmazásjelszavakat kiadjál vagy a feltört paraszt profilját átvésd. Az ő szempontjukból privilegizált műveleteket védik csak.
Namármost, egy Microsoft O365 esetén pl egy adathalász levél kiküldése sem lesz privilegizált művelet. Session hijackinggal ezek mind megtehetők anélkül, hogy az MFA egyáltalán képbe kerülne.
Blog | @hron84
via @snq-
Review process, hello?! :D
Ezt írtam, hogy egyes privilegizált műveletekhez szükséges.
Azokat védik, amelyekkel komoly kárt lehet okozni. Egy commit nem komoly kár, felesleges lenne MFA mögé tenni minden egyes commit eseményt.
Miért kellene az legyen? A cél egy értelmes egyensúly a használhatóság és a megfelelő biztonság között.
Nem olyan egyszerű a session hijacking, ha van ellene védelem. Önmagában az MFA csak akkor véd, ha privilegizált műveletet hajtana végre az user. És ez a cél, hogy jól és értelmesen keressük meg a privilegizált műveleteket.
https://iotguru.cloud
Hát igen, szted ennél a cégnél _valaha_ volt review process? "pisti majd megcsinálja"
Az alapján amit látok még rendes kód átnézés se volt, nemhogy a PR teljesít e feltételeket (tesztelés rendben van, a PR azt csinálja amit szeretnénk, stb). Na itt van a kutya elásva, hogy sokan olyan környezetben dolgoznak ahol vagy a jellege, vagy a kódolók számossága szerint ilyen igényeket nem támaszt. Ezért is nehéz olyanokat találni, ahol értenék, hogy a védelem statikus a PR-nél, ezért ezt nem hozzák bele a gondolkodásba. Nehéz is ez <10 fős csapatoknál. Itt is a "legyen kész amit kérnek", "javítsatok a sebességen" volt a szempont.
Persze gondolom én.
Ennél a cégnél a szakmai kompetencia nagyon alacsony szinten volt egyébként is, emellett ebből a pénzből nem igazán tarthattak fel népes csapatot ami legalább az igényeket kialakította volna, ha már a vezetés inkompetensen állt a kérdéshez.
Az egészről az jut eszembe amikor a találkozón elhangzik az "organikusan alakult így" és akkor tolul fel a hányinger.
"organikusan alakult így" - Én az ilyet úgy nevezem, hogy nem az evolúció, hanem az entrópia győzött...
Baszki, hogy a faszomba irjuk meg le itt szazan, szazszor, hogy egy a sok lepes kozul amit kihagyott a ceg?
Nem ez a megoldas egyedul, de minimum elvaras 2022-ben. Ha neked nem es integrator vagy, akkor az baj.
Nem integrátor, infrastruktúra üzemeltető. :)
https://iotguru.cloud
Leírhatod ezerszer is, hogy a rendszert törték meg, én meg leírom, hogy definiáld a rendszer fogalmát. Erre definiálsz egy rébuszt, én meg konkretizálom, hogy a rébuszod melyik része volt az pontosan.
Bocs, hogy ezt teszem, szakmai ártalom, a "nagy emberek" nagy mondásait bontom atomjaira és keresem bennük a hibát. Ezzel (is) töltöm mindennapjaimat.
trey @ gépház
Ennek a "rendszer részének tekintjük-e" kérdésnek akkor volna jelentősége, ha ez a szoftver, dobozos, saját telepítésű kiszerelésben is elérhető lenne. Akkor valóban lényeges megkülönböztetni, hogy maga a szoftver sebezhető-e, vagy csak rosszul üzemeltették. Esetleg a default konfiguráció teszi-e sebezhetővé stb. stb.
Mivel itt egy "as a service" jelleggel üzemeltetett dologról van szó, a szoftvernek egy példánya van használatban, egy konfigurációval, egy környezettel, egy üzemeltetéssel. Ebben a kontextusban sokan - szerintem jogosan - tekintik úgy, hogy egyszerűen nem releváns kérdés, hogy ez a támadási vektor (social engineering + a defense in depth teljes hiánya) pontosan minek is számít. Önkényesen meghúzhatod a "rendszer" határvonalát úgy hogy ez kívül essen, meg úgy is, hogy belül legyen. Semmivel nem vagyunk se előrébb, se hátrébb tőle.
My 2cents...
Régóta vágyok én, az androidok mezonkincsére már!
Nem önkényesen húztam meg, hanem pontosítottam a "megtörték a rendszert" bullshitet azzal, hogy nevén neveztem a gyereket. Ezt zokon venni egy szakmai blogban trollkodás.
trey @ gépház
ROTLF... :D
https://iotguru.cloud
Szigorúan szakmai alapon, akkor tudnánk nem önkényes módon meghúzni egy határt, ha pontosan ismernénk a "fejlesztési szakasz" és az "üzemeltetési szakasz" között a contract-ot (technikai és szervezési értelemben is). Pl az autentikációs provider mennyire konfigolható, mennyire választható le az admin felülethez hozzáférés stb.* Ha ezekhez az alapvető hardening lépésekhez fejlesztés kell (forráskódba bele kell nyúlni, új buildet kell csinálni) akkor bizony a legszűkebb értelmezésben is a "rendszer" része a sebezhetőség. Tapasztalatból mondom, a kifejezetten "as a service"-re fejlesztett szoftver esetén _nagyon gyakori_, hogy hardkódolva van egy csomó minden és csak akkor kerül konfigba kivezetésre, ha már nagyon muszáj.
Az eddig kiderült információk sajnos arra engednek következtetni, hogy semmiféle technikai szétválasztás nem volt a fejlesztés és az üzemeltetés között. Innentől kezdve, hogy mi tekintesz a "rendszer" határának, szubjektív vélemény. Az erről folytatott vitának maximum mellékhatásként lehet értelme, mivel pontosan ugyanaz a hanyagság (separation of duties hiánya) ami miatt nem tudjuk objektíven meghúzni a rendszer határát, egyben kulcsszerepet is játszott a rendszer feltörésében.
* Az a ritka eset van, hogy lehet, hogy pár órán belül a forráskód elérhető lesz, és akkor ez már nemcsak találgatás. Ugyanakkor én most kijelentem, hogy bármennyire is kíváncsi lennék, bűntetőjogi megfontolásból nem fogom letölteni.
Régóta vágyok én, az androidok mezonkincsére már!
Azt hiszem, érteni vélem, mire gondolt itt Trey. Valójában nem az e-Kréta rendszert törték meg, hanem az e-Kréta rendszert fejlesztő/üzemeltető infrastruktúrát. Még "as a service" -ként üzemeltetett rendszerek esetén is lehet vonalat húzni az infra és az alkalmazás között.
Amit itt védeni kellett volna, az a forráskódok, a hozzáférési adatok, és a dokumentáció (JIRA, Confluence, BitBucket, jelszótárolók), valamint az e-Kréta admin felületéhez való hozzáférés (pl csak MFA-val védett VPN-ről vagy csak bizonyos IP címekről lehessen elérni, ha már magát az admin felületet nem tudják valami miatt védeni, és csak 5 god-mode felhasználó létezik). Ezek nagy része nem képezi az e-Kréta rendszer részét, ez a fejlesztéshez és üzemeltetéshez használt infrastruktúra része. Szigorúan szakmai alapokon.
Az, hogy jelenleg is benn vannak a Slackjükben, szerintem bőségesen eleget elmond arról, mennyire van ott ez az egész komolyan véve.
Blog | @hron84
via @snq-
Csak kérdés van-e bármi értelme ennek a vonalhúzásnak. Van-e ott bármi technikai jellegű határ. A cikkben idézett támadó elmondása alapján az autentikációs rendszerben semmilyen határ nem volt a fejlesztés és a prod üzemeltetés között.
Kapcsold össze az első mondatodat a másodikkal. "Ha az admin felületet nem tudják védeni" -> Bingo! Ha valami technikai hiányosság miatt nem lehet az admin felületüket szeparáltan védeni, akkor máris találtunk valamit, ami konkrétan az eKréta rendszer (szűk értelemben véve a szoftver) hibája, nem pedig az infrastrukturáé. Az infrastruktúra hibája már egy kikényszerített hiba, egy következmény.
De egy ilyen összefolyó felelősségi körökkel működő környezetben ez egy full akadémikus kérdés. Valószínűleg ugyanaz a pár ember döntött arról, hogy a szoftvernek milyen security feature-jeit fejlesszék, mint aki az üzemeltetés mikéntjéről.
Régóta vágyok én, az androidok mezonkincsére már!
Jaaa, értem! Amikor jön a hír, hogy "megtörték a Microsoft-ot!", a Microsoft meg kiad egy nyilatkozatot, hogy "neeeem, egy külsős kontraktortól kiszivárgott hitelesítő adatokkal léptek be", akkor itt megy a kánonban óbégatás, hogy nem is a Microsoftot törték meg, hanem az embert. Ez természetesen itt most máshogy van :D :D :D
trey @ gépház
Egy linket kérnék szépen erre a konkrét esetre amiről beszélsz. Nem nagyon látom hol szerepel külsős kontraktor az eKrétás történetben, se Microsoft. Így azért elég nehéz párhuzamot találni.
Régóta vágyok én, az androidok mezonkincsére már!
Van értelme vonalat húzni.
Hogy párhuzamot mondjak: megtörték _a wordpresst_ mint open source software-t, vagy megtörtek _egy_ wordpress alapú site-ot.
Egy konkrét wordpress üzemeltető számára egész más következményei/rizikója van a két dolognak.
Lehetne az eKréta opensource is, akkor is lehet(ett volna) úgy üzemeltetni hogy kívülről ne tudják ellopni az adatokat.
Van egy csomó opensource alapú portál ahonnan mégse lopnak el semmit.
De innen _mindent_ el tudtak lopni egyetlen incidens következményeképpen: ez az alapvető biztonsági infrastruktúra/architektúra teljes hiányára utal.
Az egy további kérdés - itt a vitát elnézve - hogy trey szerint a "social engineering" módszerrel elkövetett betörés "nem igazi" betörés.
Szerintem ha az eredményt nézzük akkor egyértelműen igazi betörés mégpedig az alapos, mindent kisöprős fajta.
A határokról: határokat nemhogy _lehet_ hanem _kell_ húzni és a munka során ezeket a határokat körömszakadtáig védenie kell a rendszerek őreinek, egymástól is.
Ha nincsenek határok akkor nem lehet egyszerű szabályokat felállítani. Ha nincsenek egyszerű szabályok akkor garantáltan lesz benne hiba.
Ha van benne hiba akkor azt valaki garantáltan megtalálja.
Gábriel Ákos
Ezzel olyan nagy mértékben egyetértek, hogy ugyanebben a threadben párral feljebb a hozzászólásom pont erről szól. :)
Szerintem ebben is egyetértünk, ez lett volna a helyes. Én nem a határok implementálásának szükségességét vonom kétségbe, hanem utólag, a nem létező határról folytatott vitát. Hogy a "social engineeringgel elkövetett betörés" a nemlétező határnak melyik oldalára esett volna. Teljesen felesleges kérdés. Eleve nem lett volna sikeres ez a típusú social engineering, ha van határ.
Régóta vágyok én, az androidok mezonkincsére már!
Így van, utólag tök felesleges visszafele nézegetni. A határolásokkal a social engineering hatását nem szünteted meg teljesen hanem csak lehatárolod.
Mondjuk meg tudják szerezni a balfasz jira accountját. De már mondjuk a mailjét vagy a forrást nem. Éles rendszerből adatot pláne nem.
Gábriel Ákos
Szerintem olyan nincsen hogy egy webes rendszernek "nem lehet az admin felületét szeparáltan védeni". Legföljebb nem volt olyan emberük aki értett volna hozzá.
Szerintem bárki tud percek alatt legalább 3 olyan módszert mondani amivel bármilyen gané alkalmazás bármelyik részét maximum közepes efforttal meg tudja védeni rendesen.
Gábriel Ákos
Nem az a challenge, hogy le tudjad védeni. Az, hogy közben működőképes is maradjon, ne veszíts funkciót vele. :)
Régóta vágyok én, az androidok mezonkincsére már!
Van az a szitu amikor szarok a funkcionalitásra.
Gábriel Ákos
Miután kikerült a preventSQLInjection függvény, szerintem már a krétát "is" feltörték, és már nyakig vannak a DB-ben szoftver oldalról.
Szerintem naiv feltételezés hogy ezt a preventSQLInjection függvényt nem törték meg már 100 éve "black box" módon.
Ha ez eddig nem történt meg az kb. azért volt mert senkit sem érdekelt.
Gábriel Ákos
Te alapvetően azzal töltöd a mindennapjaidat, hogy felépítesz szalmabábokat, majd azokkal vitázol és közben úgy teszel, mintha a "nagy emberek" nagy mondásaival vitáznál. Ebben a kicsike szálban is egy csomó olyan állítást írtál le és vitáztál ezekkel az általad leírt állításokkal, amelyeket a vitapartnerek nem állítottak...
https://iotguru.cloud
Semmi baj a véleményeddel, a helyén kezelem (/dev/null). Végigjátszom veled ezt a játékot mert szórakoztat. Hiszen magad is tudod, hogy igazam van, hiszen már az első kommentemnél definiáltam, hogy mi a rendszer, amire a megjegyzésem vonatkozott, de te szándékosan nem akarod megérteni, hogy vitatkozhass.
trey @ gépház
A probléma az, hogy a világ szarik arra, hogy te miképpen definiálod _a_ rendszert. És már te is tudod, hogy rosszul definiálod, különben nem mondanál olyanokat, finomítani kell a folyamatokon, aminek az eredményeképpen lehet javítani a rendszeren, de ennek ellenére nyilván nem a rendszert törték meg, de a rendszert kell javítani, hogy leközelebb ilyen ne forduljon elő...
https://iotguru.cloud
Dehogy szarik, max. azok, akik nem kíváncsiak a részletekre.
trey @ gépház
Hát... nagy kérdés, hogy mit tekintünk komoly cégnek. Amit Trey leírt, az egy közepes-nagyvállalati enterprise környezet esetén egyébként mindennapos tud lenni. Annál kisebb cégeknél meg nincs dedikált CISO/secops, hanem a security összes vonzatát az üzemeltetésnek/devopsnak kell viselni, beleérttten (akár kimondatlanul is), és ez vezethet érdekes helyzetekhez. És igen, minden féle-fajta-méretű cégben elő tud fordulni a kézivezérlés, ez nem a cég komolyságán, hanem a vezetők önhatalmúságán múlik. Munkavállalóként ilyen helyzetben nagyon kevés opciód marad, ha azt mondják, hogy szarral kell bekenni az ólomrudakat, hogy aranyrúd lehessen belőlük, akkor egy ponton túl muszáj megcsinálnod, akármekkora hülyeségnek is tűnik. Érvelhetsz, hozhatsz jogi és technical concerneket, de a nap végén nem te döntesz.
Az, hogy legyen lepapírozva, az nem hanyagság, hanem bizonyíték gyártás annak esetére, hogy ha ebből rendőrségi, bírósági ügy lesz, akkor egyértelmű helyzet teremtődjön, hogy ki is valójában a felelős azért, mert egy security vector nyitva lett hagyva. Ez nem ignorancia vagy leszaromság, egyszerűen arról van szó, hogy ha egy vezető egy szakvélemény ellenében cselekszik, annak nyomának kell lennie valahol.
Abban viszont igazad van, hogy ez egyszerűen nem volt elég nagy cég ahhoz, hogy dedikált információbiztonsági szakértőjük legyen, ráadásul nem voltak elég képzettek ahhoz sem, hogy az igény megfogalmazódjon. Valójában ennek állami szabályozásnak kellene lennie, hogy minősített adat feldolgozójának is meg kelljen felelni adott security standardoknak/auditnak, csak hát akkor nem lehetne ugyanannyi pénzt elsikítani.
Blog | @hron84
via @snq-
Szerintem itt a kérdés az, hogy meg akartak e felelni a jogszabályoknak, volt e valamilyen minősítésük kezelni ezeket a tartalmakat, volt e audit, mit mondott az az audit. stb. Van elképzelésem ezen kérdések megválaszolására. De ugye a hatalom barátairól van szó, a cél nem az lesz, hogy valódi megoldás legyen, hanem hogy hogyan tudják csökkenteni a "kárt" és elsikálni a balhét.
Engem az zavar abban amit Trey írt, hogy embereket próbál megtalálni a problémával, holott már az elején látszott, hogy a kialakított rendszer szar (nem ismételném meg magam, fent olvasható mire gondolok). Ez nem egyes emberek hibája, hanem sok ember hibája és a többié aki ezt ott mellette nézte.
A véleményem szerint a vonatkozó törvények alapján már büntetésrendészeti intézkedéseket kellett volna foganatosítani a cég bizonyos személyeivel kapcsolatban. De jelenleg csak és kizárólag a NAIH "vizsgálódik". Ha jól értem jó régen.
Meg érdemes lenne azon is elgondolkodni, hogy erre a projektre létrehozott cég, hogy lehet nem non-profit. Nem versenyez a piacon, sőt kötelező használnia az iskoláknak, kvázi egy megrendelője van, az állam. Havi 1 milliárdos bevétel 30-40%-os profit. Elhiszem, hogy nincs pénz a tanárok fizetésére, ha van még pár ilyen pénzpumpa az oktatási rendszerben. Persze gondolom minden a jogszabályoknak megfelelő, de morálisan szerintem ez így nem oké.
A kód meg lehetett volna akár a kezdetektől kezdve open-source.
:)
Nem, neked az a bajod azzal, amit írok, hogy politikailag elfogult vagy. Tisztában vagy azzal, hogy igazam van, ugyanis én nem állítottam, hogy a cég nem hibás, mindössze azt, hogy ha egy soc. eng támadás történt (ezt harsogta a 444, ebből indultuk ki), akkor ne a rendszer feltöréséről beszéljünk, mert az szakmaiatlan: Csak, hogy emlékezzünk, honnan indultuk és én mire reagáltam:
Ez az, amit nem tudsz elfogadni. Ennek van pszichológiai magyarázata. Így megértem.
trey @ gépház
Szakmaiatlan azt hinni, hogy a rendszernél, ahol egy ellopott jelszóval bármit és bármi mást is el lehet érni, sőt hosszabb ideig, úgy, hogy senkinek fel sem tűnik, csak a social engineering volt probléma.
Ezt a rendszert azért tudták megtörni, mert fos, nem azért, mert sikerült megszerezniük 1 ember belépési adatait valamilyen formában.
“Any book worth banning is a book worth reading.”
Vagy mert szándékos, jól időzített károkozás történt és még annyi lehetséges forgatókönyv van ... Szakmaiatlan kihagyni ezt a lehetőségek közül ...
trey @ gépház
És miért csináltátok ezt az eKRÉTA elleni támadást, mi a célotok vele?
Mondhatnám, hogy a magyar rendszerek bemutatása, hogy mennyire hanyag és hogy mennyire „fejlett” ez az egész. Meg persze olyat is szerettünk volna, hogy például nem rakjuk ki az adatokat, ha a pedagógusok bérét megnövelik, stb. De ebből semmi sem lett, láthatod. Csak szivárogtatás, és helló.
És miért nem lett?
Zsarolást nem szerettünk volna, mivel a mi részünkről jöhetett volna ki rosszul.
https://telex.hu/tech/2022/11/09/kreta-rendszer-ekreta-zrt-adathalasz-t…
Szóval igen, jól időzített károkozás történt, de mivel már a screenshootok szerint hetek óta bent vannak a céges rendszerükben, volt idejük átgondolni a dolgot.
Mihez időzített? Mikor időzítették hozzá? Eddig kinek okoztak kárt?
Kérlek kímélj az álnaiv kérdéseiddel. Már napokkal ezelőtt, válaszoltál feljebb egy hasonló felvetett kommentre. Sakkozd ki abból a válaszokat.
trey @ gépház
Nem álnaiv, hanem biztos akartam lenni benne, hogy mekkora baromság. Szóval, hogy is van köze ennek a tanárokhoz? Mármint, hogy szeptemberben történt eset után mégsem álltak elő semmiféle követeléssel? Megneveznéd kinek okoztak eddig kárt?
A kozepsulis "hacker"-t biztos motivalta a tanartuntetes. Politikai baberokra akar torni zsenge kora ellenere. Vagy penzt kapott brusszeltol es sorostol es gyurcsanytol. Nem hiszem el, hogy nem latod az osszefuggest :D Tul keves pestitv-t fogyasztasz, azert nem latod mi tortenik :D
LOL, ezek a tanártüntetések egyik fő szereplői. Svájci lapok nem írták meg? :D
trey @ gépház
Nem engem kérdeztél, de most néztem a 20min-t és igazából tényleg nem írtak róla. A korrupcióról, és a meteorológiai szolgálatok vezetőinek menesztéséről írtak az elmúlt két hónapban.
Szerintem Svájc áll a háttérben, gyanús a hallgatás. Ez a jó kód kellett nekik. Jön a nyugat tanulni tőlünk!
$ grep -c egy$ word.list
100
Amennyi fejlesztőt elvittek az utóbbi években... Mindnek ott van a kód a fejében, az összes.
Szimplán az, hogy lebuktassák, hogy hogy dobnak ki milliárdokat a haveri cégeknek ótvar fos munkáért, már nem is elég motiváció? :)
“Any book worth banning is a book worth reading.”
Az elkoveto az egy 14-15 eves kisgyerek, aki figyelemre vagyik. Sztem nincs semmi mogottes motivacio.
"Az elkoveto az egy 14-15 eves kisgyerek"
Amit honnan is tudunk?
Csak tipp a szohasznalat alapjan, amit a telegram csatornan es a telex interjuban tolt.
egy 14-15 éves tinédzsernek pont hogy rengeteg motivációja van... a hormonos is tombolnak, még az igázságérzetet sem ölte ki belőle a rendszer, ideje is van hülyeségekre, csupa jó dolog, azért itt nagyon könnyen ki tud valami kombinálódni :)
“Any book worth banning is a book worth reading.”
Az is jo sakat elmondana a "rendszer"-rol ha 14 evesek kepesek lennenek kirugni a naprendszerbol es honapokig bent satorozni :)
Még a végén igazad lesz a gyerekekben, egyelőre még nem tudjuk a motivációjukat.
"Be szép dolog is ez". Legyen, a fogalmaid szerint az politikai elfogultság, hogy megjegyeztem, hogy a cég a jelenlegi hatalom kegyeltje (már az a belső levél is EPIC: "Ki beszélt az Ellenségnek"). Vagy arra, hogy előre ítélkezek az elmúlt pár év tapasztalatai alapján. Ha ezekre gondolsz, akkor az vagyok.
Tisztában vagyok azzal, hogy jó szándékból baromságot írtál és azóta körömszakadtáig véded azt. Te a laikusok által laikusoknak írt cikkben megfogalmazott állításokat kritizálod, holott esetedben is előfordult már, hogy átvett vagy saját anyagban az ismertre vagy az időhiányra való tekintettel hasonló "hibát" követtél el.
A témában született és hivatkozott cikkek nem pontosak és nem szakmai teljesség igényével készültek, mivel azzal el is vesztenék az olvasótábor egy részét.
Amit te csinálsz (ahogy írtam) azért full gáz mert azt mondod a soc. eng által megvezetett személyen keresztül véghezvitt támadás nem a rendszer hibája hanem a _cég_ hibája. De ez mi???
- A rendszernek soha nem lett volna szabad úgy összeállni, hogy egyben lekérdezhető és elvihető legyen az adatbázis -> adatbázis kapcsolati réteg, azonosítás konfiguráció -> tervezési hibája a rendszernek
- A rendszernek külön kellene lenni választva fejlesztés/üzemeltetés szintjén -> nincs -> kockázat elemzéskor (kötelező elem, de szívesen megnézném!) illetve a belső/külső audit esetén rögtön pirosan világító probléma önmagában megakadályozhatta volna a kár egy részét
- A rendszernek meg kellene különböztetni a különösen bizalmas tartalmat és az ahhoz való hozzáférést -> nem volt ilyen -> még a cert kulcsát is beletették a kódba, ami egy külső elem.
Jó de kik is hibáztak (teljesség igénye nélkül, a jelenleg ismert adatokból) ?
1, hibázott a felső vezető
- arra szakmailag látszólag alkalmatlan szakmai vezetőt nevezett ki
- nem volt tisztában a jogi követelményekkel és erre látszólag nem tartott megfelelő jogi tanácsadót
2, hibázott a szakmai vezető
- olyan rendszer vezetését vállalta el ami koncepcionálisan rossz és látszólag tűzoltásra sem volt ideje.
- nem végeztette el az auditokat, vagy azok eredményét figyelmen kívül hagyta
- a kockázatelemzés szakmai része teljes mértékig kezeletlen vagy hiányzott
3, hibázott a rendszer architect-je
- az üzemeltetett rendszer és a fejlesztés nem lett szétválasztva
- az adatbázis védelme látszólag nem volt szempont a tervezésnél
4, hibázott a projektvezető
- olyan linkre kattintott amire nem lett volna szabad
Számomra a 4. az egyetlen elnézhető hiba, de szinte biztos vagyok benne, hogy ez az ember lesz keresztre feszítve. (mondjuk akkor nem kár ha a felette lévő x ember rolejából is megvalósítja valamelyiket)
A többiből látható, hogy hibás a rendszer, amit szarrá törtek az egyik támadási felületen keresztül és a hiányzó korlátok miatt hanyagul összerakott és üzemeltetett rendszer hibájából fakadóan minden adatot elloptak. Tökéletes rendszer nincs, ugyanezt megtehették volna XYZ másik technológiai (3rd party) komponensen keresztül *is* mivel azonban a rendszer maga szar, ezért _ekkora_ a kár.
Szóval de, a rendszer szar, azt törték szarrá, mégpedig úgy, hogy belső és korlátozatlan hozzáférést szereztek.
LOL, sejtettem, hogy a végére felmented az egyik legfőbb felelőst. Ennek is van pszichológiája, ezt is értem :D
trey @ gépház
Hmm, én a helyedben elgondolkodnék azon amit írsz. Te dolgod persze,de
A fenti írás nem arról szólt, hogy felmenteném a támadási faktorban lévő személyt -> benne van a listában, ha felmenteném, nem listáznám, de egyedül ő az a képletben aki nem a szerepköréből közvetlenül következő hibát követett el. Sima felhasználó volt ebből a szempontból a rendszer gyengesége miatt szuperjogosultságokkal a rendszer tekintetében. "kiscsibe kalasnyikovval"
Hanem arról szólt, hogy a cucc nem egy sebből vérzik, hanem 1000-ből és csak idő kérdése volt, hogy ez történjen. Ez volt a legegyszerűbb/legolcsóbb/épp ezt találták ki.
És ez a sima felhasználó, aki egyébként IT projektvezető volt (tehát képzett embernek kellett volna lennie) hányszor jeleztem, hogy kérem, nem kellenek nekem superjogosultságok, mert ez veszélyes? Hol volt az általam végig emlegetett IT sec. vezető, amikor jóváhagyta a jogosultsági mátrixot? Jaaaa, hogy megint ugyanoda jutunk vissza?
Egyébként bírom, ahogy a projektvezetőből hirtelen IT juniort faragtál, mert a narratívád megkívánta :D
trey @ gépház
Nem faragtam semmit, a projektvezető nem feltétlenül egy technikai személy főleg nem ilyen helyeken. Emellett egy technikailag képzett személy is be tud szívni ilyet. Láttam mindkettőt. Minden esetre nem a narratíva mondatja velem, hogy a projektvezetőnek nem az a feladata, hogy áttervezze a rendszert, vagy hogy biztonságilag megvédje a céget, vagy hogy a megfelelő ember kerüljön a megfelelő helyre, hanem az, hogy operatív módon az adott feladat el legyen végezve, akkor is ha ő technikai zseni, akkor is ha IT junior. Erre mondtam, hogy legalább nem abban hibázott amivel meg volt bízva. Feltételezve, hogy ez volt a valódi szerepköre, és nem volt mellette mondjuk "IT igazgató" is.
Tőlem ettől azt képzelsz bele amit akarsz.
Nekem azt tetszik, hogy próbáljátok eladni, hogy hülyebiztos rendszert kell építeni, mert itt aztán Mari nénik dolgoztak, akik azt sem tudják, hogy eszik-e vagy isszák az IT-t, nem olyan szakemberek, akik IT rendszerek építésével, fejlesztésével vagy ezen folyamatok felügyeletével foglalkoznak.
Azt próbálod nekem bizonyítani, hogy a Linux root prompt, a Windows admin konzol az veszélyes, mert azzal bármit meg lehet csinálni. Nem azt feszegeted, hogy
A rendszer a szar, mert így jön ki jól a narratíva. Lehet, hogy a rendszer sem tökéletes, de ha vitatod azt, hogy a leggyengébb láncszem itt az ember volt, akkor valamit tagadsz. És ha az volt, elsősorban ezt a problémát kell kezelni.
trey @ gépház
Tehat a rendszer a szar. Jol osszefoglaltad. Kimaradt a kodminoseg a listabol, de miota kod is public, azota hozzacsaphatod a listahoz azt is, hogy miert ilyen balfasz fejlesztok irjak ezt a szart es miert nincs legalabb 1-2 ember akit odaraknak reviewzni ezt a fostengert. Penz lenne ra.
Ha neked ez a rendszer, akkor már az első pillanattól kezdve értenetek kellett volna, hogy miről beszélek akkor, amikor azt mondtam, hogy a CISO meg az ember volt a ludas.
trey @ gépház
Nálatok egyébként ez hogy van? Az admin jogú felhasználó neve és jelszava fel van szúrva a céges faliújságra, mellette a CISO összevont szemöldökű fotója, és a belépésnél mindenkit oktattak arról, hogy csak indokolt esetben használja, vagy a rendszer ennél komolyabb védelemmel van ellátva?
https://iotguru.cloud
Megint olyasmit kérdezel, amire pontosan tudod, hogy az lesz a válasz, hogy nem vagyok jogosult rá válaszolni, de ha az lennék, akkor sem válaszolnék rá. Akkor meg minek teszel fel ilyen kérdéseket?
trey @ gépház
LOL, persze... :D
--
Két opció van:
a, nálatok az admin jogú felhasználó neve és jelszava fel van szúrva a céges faliújságra, mellette a CISO összevont szemöldökű fotója, és a belépésnél mindenkit oktattak arról, hogy csak indokolt esetben használja,
b, megfelelő és komoly védelme van a rendszereknek ennél nálatok is, csak kurva ciki lenne ez beismerni, miután mindent feltettél ruletten a feketére, hogy ez a CISO és az adott alkalmazott balhéja.
https://iotguru.cloud
Nálunk úgy kezdődik, hogy a projektvezetőnek nincs mindenhez hozzáférő jelszava. Hogy ez azért van-e mert a CISO elvégezte a munkáját, vagy sem, azt a képzeletedre bízom. De, hogy nekem se legyen kellemetlen, fogalmazzunk úgy, hogy azért.
Most komolyan védeni akarod, hogy valakinek aki nem admin team tag, mindent vivő jelszava van? :D
Mert tulajdonképpen ezt csinálod. Építsenek olyan biztonságos rendszert, hogy ha a CISO meg mindenki balfasz volt és a PM-nek mindent vivő jelszót adott ki, akkor se legyen baj. Nem, az alapvető tervezés - architect úr - onnan indul, hogy nem is kap az ilyen admin jelszót 🤷♂️
trey @ gépház
Miért nem elég a projektvezető oktatása? Miért kell rendszerszinten korlátozni a hozzáférését? Eddig azon voltál, hogy ez kivédhető lett volna szimpla oktatással, most meg arra tendálsz, hogy rendszerszintű védelmek kellenek...
Nem, ez a te szalmabábod. Te nagyon szeretsz szalmabábokat építeni és azokkal vitázni.
Aha, így van, olyan rendszert kell tervezni és építeni, hogy ha a PM valamilyen oknál fogva mindent vivő jelszót kapott, akkor se legyen belőle baj, ha ezt a mindent vivő jelszót lenyúlják. Ahol a CISO érti a munkáját, ott ilyen van, kérlek alássan.
Szerintem maradj meg a kaptafádnál a kis műhelyedben, ahol te vagy a legnagyobb farkú kakas, mert egyre nagyobb faszságokat tudsz mondani a lendület hevében... :D
https://iotguru.cloud
Jaj de szép! Megmaradok a szintemen architect úr, készséggel! Legyenek szívesek az önök szintjén legközelebb elvégezni a munkájukat, vagyis ne adjanak egy töltött .45-öst egy majom kezébe. Hisz' megegyeztünk abban, hogy nem az üzemeltetés hibázott, ugye?
Jéé, a végén bevallod, hogy mégis a CISO mulasztott? 🤣🤣🤣🤣
trey @ gépház
Így van, az architect egyik feladatköre az, hogy majmok kezébe ne kerüljön olyan eszköz, amellyel kárt tud okozni, beleértve az üzemeltető majmokat is.
Sehol nem írtam, hogy ebben az ügyben az üzemeltetés (vagyis a gombokat nyomogató majmok) bármiben is hibáztak volna.
Hogyne, igen, a CISO is mulasztott, azzal, hogy élesbe engedett egy olyan rendszert, amelyikben nincs semmi védelem egy szimpla jelszólopás ellen és olyan credential került kiosztásra, amellyel mindent is el lehet érni.
Ebben nincs közöttünk vita, a vita abban van, hogy mit tekintesz informatikai rendszernek.
https://iotguru.cloud
Trey nem akarja megérteni, hogy megrendelői (felhasználói) oldalról nézve irreleváns, hogy ki hibázott. Oldják meg házon belül.
Ez nem igaz. Azzal kezdtem, hogy nem vitás, hogy hibásak.
Pontosan. Ezért a "feltörték a rendszert" vezetői bullshitet el kellene felejteni és kimondani, hogy ki hibázott: a töltött .45-öst lóbáló PM, meg a senior-level urak: CISO és társai
Erre kell, hogy jusson a belső és akár a külső vizsgálat. És akkor meg is jöttünk oda, amit az első perctől állítok. De, látom, puhul már az álláspontotok :D
trey @ gépház
Ez a cég hónapokkal az incidens után kiadott nyilatkozatán alapul, nem külső auditon - finoman szólva fenntartásokkal kell kezelni.
Ezért tettem hozzá, hogy a jelenleg rendelkezésre álló adatok alapján. Itt analfabéták vannak egyébként?
trey @ gépház
Igen, nagyrészt az ő hibájukból törték fel a rendszert. Ilyen különösen védett személyes adatokkal dolgozó rendszernek egy ilyen támadástól bizony védenie kellene magát, akkor is, ha minden projektmenedzser vagy akár üzemeltető naponta telepít malware-t a gépére. Nem oktatáson múlik ez, hanem a rendszer megtervezésén, fejlesztésén és üzemeltetésén, és az a helyzet, hogy kontraszelektált balfaszok tervezték, aztán kontraszelektált balfaszok fejlesztették és végül kontraszelektált balfaszok üzemeltették. Nem hinném, hogy az Kréta üzemeltetése kivétel lenne a szakmai hozzáállásban, egyszerűen most nem rajtuk múlt.
Nem puhul, továbbra is tartom, hogy amit te a rendszer egészének tartasz, az csak egy alrendszer, mert a látóköröd addig terjed és azt is tartom, hogy ebben az esetben nem az üzemeltetés hibázott. Te viszont már többször módosítottad azt, amit "az első perctől állítasz", behozva egy csomó legendát, anekdotát, ötletet és szcenáriót, beleértve egészen vad összeesküvés elméleteket, hogy mi is történhetett.
https://iotguru.cloud
Pontosan ugyanazt állítom az első perctől kezdve: a CISO és a soc. engineering-gel rászedett a fő ludas.
Hogy mellette az új infók fényében mennyi lehetséges forgatókönyvet vázolok fel, amit a hatóságoknak érdemes kivizsgálni, az teljesen lényegtelen. Egy alapos vizsgálat - ezt is elpofáztam 100x - élből nem zár ki semmit, csak azt, amit kétséget kizáróan bizonyítani tud.
Folytathatjuk napestig tőlem :D
trey @ gépház
Lófaszt állítod ugyanazt. :D
Onnan indultál, hogy a Krétát, legyen az akármi is, nem törték fel, csak egy embert szedtek rá és ez egy felhasználói hiba, nem rendszerhiba. Pár óra alatt kiderült, hogy csak bekattant a trigger, hogy az üzemeltetésen akarják leverni a balhét, amikor az irányított kérdéseiden kívül senki nem akarta hibáztatni az üzemeltetést, akkor átnyergeltél oda, hogy nem volt megfelelő oktatás és a CISO a hibás, ez volt a gumicsont. Másnap ott tartottunk, hogy szerinted a rendszer ugyan nem hibás, de "finomítani kell a folyamatokon, aminek az eredményeképpen lehet javítani a rendszeren". Amikor rákérdeztünk, hogy ezek szerint a rendszer mégis tudna védeni ilyen esetben, sőt, te is használsz olyan rendszereket, amelyek igen nagy hatékonysággal védenek ilyen jellegű támadások ellen, akkor arra szokás szerint nem válaszoltál vagy tereltél.
Időnk, mint a tenger.
Ez akkora bullshit, hogy ezt is be kell kereteznem és kitennem a "Az informatikai rendszert modulárisan nézem, úgy ahogy felépül. Nem egy darab valaminek." mondásod mellé.
https://iotguru.cloud
Hát persze. Már az első kommentem is eleve arra irányult, hogy a soc. engineering-et nem keverjük a feltört rendszerrel. A PM meg, hogy képes volt ezt véghez vinni (pontosabb rászedték, hogy véghez vigye) az a CISO hibája. Maszatolhatsz, ezek továbbra sem változtak, bármi is derült ki még közben. 🤷♂️
Azt keretezel, amit akarsz. Ha a hozzád hasonló okoskodók elvégezték volna a munkájuk itt, akkor most nem lenne miről beszélgetnünk.
trey @ gépház
A social engineering az egy módja az informatikai rendszerek feltörésének. De ezt is már írták többen.
Ezzel most aztán nagyot mondtál! Mintha az informatikai rendszereket soha nem sikerült volna még a hozzád hasonló okoskodó üzemeltetők hibájából feltörni... :D
Amúgy egy évtizede nem jártam állami és kormányzati projekt környékén, pedig próbáltak hívni többen és többször. Nem hiányzik az a kontraszelektált balfaszkodás és az ahhoz való asszisztálás, amit például itt is látunk. Amúgy, ha a hozzám hasonló okoskodók lettek volna a Kréta közelében, akkor ez nem történik meg. De kontraszelektált balfaszok voltak.
https://iotguru.cloud
#define rendszer
Tudok nagyobbat is. Az architect nagymenősködésnek ott szokott vége lenni, amikor jön egy nagyobb hal. Könyvet tudnék teleírni, amikor valóban a rendszert törték meg, de nem azért, mert az "üzemeltető majmok" hibáztak, dehogy! Az üzemeltető majmok elmondták előre, hogy baj lesz: jelezték a CISO-nak, jelezték az architektnek, az összes releváns C-senk, az összes atyaúristennek, hogy ezt bizony át kellene tervezni, át kellene alakítani, a jelen kor követelményeihez kellene igazítani, csak tudod mi volt az eredménye? Lófasz. A magad fajta is csak addig nagy legény, amíg a CFO azt nem mondja, hogy "Jól van Gábor, nagyon szép rajzok, én meg majd rajzolok rá pénzt, mert hogy az nincs, az ziher."
Na, ilyenkor jön képbe az, amit mondtam. Az üzemeltető majmoknak papírja van róla, hogy szóltak, csak basztak vele foglalkozni. Ezért mondom az embereimnek mindig: mindennek legyen írásos nyoma. Azt nem lehet letagadni. Mondjuk, volt, aki azt is megpróbálta (törölte a levelezést az Outlookból, majdnem mindenhonnan, csak elfelejtette, hogy az üzemeltető majmok üzemeltetnek egy levélarchiváló rendszert is :D :D :D), de bebukta ...
:D
trey @ gépház
/me ásít
Az a rendszer, amiről itt beszélsz: "finomítani kell a folyamatokon, aminek az eredményeképpen lehet javítani a rendszeren"
:D
Aha, tudok ilyen helyekről is, ahol keresztülnyomtak tervezési hiányosságokkal éles üzemig változásokat, amelyek ellen többen is szóltak, inkluzíve üzemeltetés. És? Komolyan bedobtad a sértődöttet attól, hogy ettől még az üzemeltetés hibájából is van feltörés? :D
Ezek a dolgok a legtöbb esetben nem a pénzen múlnak, sőt, sokszor az a baj, főleg a témában boncolthoz hasonló állami projekteken, hogy túl sok pénz van és könnyen megszaladnak a ceruzák, olyan beszerzésekre is, amelyek teljesen feleslegesek, csak üzemeltetési kockázatot növelnek.
Ha pedig mégis az a baj, hogy nincs pénz, akkor bizony odakerül a dokumentumban, hogy "én szóltam". Tudod, sok hallottam azt, hogy a rendszer nem állhat egy percet se, mert ennyi és ennyi milliós lenne a veszteség, meg nem férhet hozzá az adatokhoz senki, mert ennyi és ennyi milliós lenne a veszteség, de amikor mellé teszem, hogy megoldható, ennyi és ennyi millió lenne az, hogy a több órás állás kockázatát csökkentsük pár perces állásra és szofisztikált authentikáció és authorizáció meg rendszeres biztonsági audit legyen a rendszer minden szintjén, akkor jön az, hogy, ja, ennyi és ennyi milliónk nincs rá. Nem tudsz olyan sztorit mondani, amit ne hallottam volna valahol... én se ma jöttem le a falvédőről... :D
https://iotguru.cloud
"Komolyan bedobtad a sértődöttet attól, hogy ettől még az üzemeltetés hibájából is van feltörés? :D"
- kb mintha a chernobyli eromu robbanast magyarazna, hogy a konstrukcio jo volt, csak a szemelyzet hibazott.. :D
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Ha már megint megszólítottad az üzemeltetést ...
Az a vicc - és a szinteden ez nem ritka -, hogy te tényleg el akarod sütni és lehet, hogy meggyőződésed is, hogy az üzemeltetők komplett hülyék, mert
hiszen, ha az ezer éves vasakkal dolgoznak és azok beszarnak, akkor örömmel túlóráznak, ha a nem támogatott ezer éves szoftverekkel dolgoznak, akkor szeretnek szopni az inkompatibilitással stb.
Mintha maguknak kérnék ezeket a problémákat szándékosan, mert nincs jobb dolguk. Vedd észre: az üzemeltetés azt valósítja meg, amit elterveznek és abból, amit rá szánnak.
Na látod. Végig erről pofáztam. A szakma teljes ranglétráját bejártam, technikustól indulva. Nincs olyan, amit ne láttam volna és nincs olyan, amit ne láttam volna minden perspektívából. Soha nem tudtak megfogni azzal, hogy "ez a te hibád volt". Korán kellene ahhoz kelni.
Röhögés megy itt sokszor, hogy minek töltöm le a levelezésem a mai napig és archiválom magamnak? Okkal teszem. Sok emberrel dolgoztam az IT-ban eltöltött ~ 25 év alatt, bőven találkoztam kóklerekkel, olyanok, akik rá akartak próbálni arra, hogy rám tolják a szarukat. Egytől egyik belebuktak. Sokuk már az IT közelében sincs, ott vannak, ahova valók voltak eredetileg is. Önjelölt architekteket beleértve :D
Próbálkozni lehet, innen kívánok sok sikert hozzá :D
trey @ gépház
Ha már a tények nálad megszólásnak vannak beállítva, és ebből következően picsogsz két bekezdésen át, akkor te egy sértődékeny vénember lettél öreg korodra.
Az üzemeltetői szakma ranglétráját jártad be, azt is egyetlen cégnél. :D
Szerinted én hány ilyennel találkoztam? Önjelölt üzemeltetőket beleérve? Olyan kijelentések teszel a melledet verve, amit amúgy mindenki más is átélt. :D
Nem tudom, miből gondolod, hogy az "üzemeltetők", mint csoport, egységesen magas szakmai színvonalú. Azt se tudom, hogy miből gondolod, hogy az "architectek", mint csoport, egységesen alacsony szakmai színvonalú. Az viszont látszik, hogy szépen megnőtt a kisebbségi komplexusod.
https://iotguru.cloud
Ó, ne keverd a dörzsöltet a picsogóval. Öreg hiba.
Persze, egy olyan cégnél, aminek a profilja az outsourcing. Gyakorlatilag az az egy cég a 25 év alatt inkább 50-100 cég, szervezet.
Fogalmam sincs. Olyat mondj, amikor olyan üzemeltetővel találkoztál, aki sírva könyörgött neked, hogy ne új vassal, friss szoftverrel és a projekthez megfelelő büdzsével dolgozhasson.
Azt gondolom, hogy a színvonalát tekintve kurvára függ a felsővezetéstől.
Sosem volt kisebbségi komplexusom. Mitől lenne? Azt viszont nem szeretem, ha palimadárnak akarnak nézni. Ritkán próbálkoznak nálam ilyesmivel, de aki próbálkozott, az eddig még rajtavesztett.
trey @ gépház
Nem kevertem, te itt picsogsz már napok óta. Azért picsogsz, mert beütött a trigger, hogy bántják az üzemeltetést, holott senki nem bántotta az üzemeltetést.
Mindig is volt és egyre nagyobb... hogy mitől lenne, azt neked kellene egy pszichológussal kibogozni. :D
https://iotguru.cloud
Végülis... a faliújságot nehezebb megtörni mint a verziókezelőt :))
Akkor te áruld már el mi köze van a projekt manager M365-ös accountjának egy fejlesztési rendszerhez?
De legyen, a fejlesztési rendszerhez hozzáfér a normál accountjával. Miért nem kell neki privileged account ahhoz hogy bármilyen változtatást elérjen?
Oké még ahhoz sem kell, de miért fér hozzá az éles rendszerhez amivel élő személyes adatokat tud lekérdezni?
Oké, neki ez a feladata. Akkor MI A FRANCÉRT NEM KELL privileged account?
Tényleg nem a RENDSZER a probléma, hanem a felhasználó?
Áruld már miért próbálod megindokolni, hogy bármelyik része helyes volt informatikailag ennek? Értem, hogy megmagyarázod azokat a nyilvánvaló dolgokat hogy jutsz hozzá egy felhasználó normál accountjához és felhívod a figyelmet ezekre a tulajdonságaira. De attól a probléma maga, hogy egy bármilyen előképzettséggel rendelkező informatikai vezetőnek egy ekkora bevételű cégnél ilyen felállást egy percig nem szabadna hogy megtűrjön.
De a legnagyobb kérdés, most mi van? Kussolás. Még a bizalmat sem akarják helyreállítani. Vagy a fals híreszteléseknek elejét venni. Miért nincs ott már a valami három beöltözött TEK csoport? Miért nem erről harsog a kormánymédia? Nincs esetleg semmilyen jelentősége a rendszernek?
Miről beszélsz? Egy általános példa volt.
Igen, egyrészt a felhasználó, másrészt az IT sec. vezető:
https://hup.hu/comment/2848579#comment-2848579
Egy ideális világba, willy:
https://hup.hu/comment/2848579#comment-2848579
Én ebbe a részébe nem folytam itt bele. Ne csapongjunk. Maradjunk a témánál.
trey @ gépház
Bocs, nálam a biztonsági beállítása a production rendszernek és az ehhez való hozzáférés szabályozása a RENDSZER _része_. De nem hinném, hogy ezzel a véleményemmel egyedül lennék.
Ezt a véleményed ebben a topikban többen is vitatták, vagy legalábbis, ezt a távoli nézőpontodat jobban kifejtették. Ugyanis, ha egy rendszeren nem egy cég dolgozik, akkor kurvára nem mindegy, hogy az a rendszer hogy épül fel, hol vannak az átadási pontok. Százszor írtam le, de nem fogom többször.
trey @ gépház
Ez mekkora rizsa már? Szóval, ha van egy POP3 szerver, de bárkinek a levelét lekérdezheti Józsi távolról (aki nem mellesleg a fejlesztői és/vagy üzemeltetői csapat része), az nem a POP3 szerverhez tartozó kérdés, hanem valami ismeretlen és megfoghatatlan biztosan emberi tökéletlenségre visszavezethető kérdés.
Aha.
Az a baj, hogy mindkettőtöknek kicsit igaza van.
Egyszerűsítsük le.
Van egy T támadási vektor.
Van egy A informatikai rendszer, ami védtelen a T támadási vektor ellen.
Van egy B informatikai rendszer, ami védett a T támadási vektor ellen.
Van egy A' informatikai rendszer, ami az A informatikai rendszer javított változata, ami már véd a T támadási vektor ellen.
--
Az informatikai rendszer hibája-e vagy sem, ha támadható a T támadási vektorral? Az informatikai rendszer egyik jellemzője-e a T támadási vektor elleni hatékony védelem?
https://iotguru.cloud
Ha oktatással megelőzhető, hogy legközelebb ne nyisson meg a céges gépén ismeretlen forrásból jövő levelet és ne kattintson le mindenféle linket vakon akkor javítottak a rendszeren? Nem, mert az ember, ebben az esetben a gyenge láncszem, akit átvertek, nem része a rendszernek.
Kérdeztem korábban, csak elegánsan elsiklottatok felette. Ha munkaidőn túl szopta be a gépén a malware-t, akkor minek számított?
trey @ gépház
Különleges személyes adatok esetén nincs olyan, hogy oktatással megelőzhető az adatszivárgás... ez már messze nem az a kategória, hogy szimpla oktatással legyen megelőzhető, az ilyen támadások ellen magának a rendszernek kell védenie a különleges személyes adatokat, több szintű védelemmel. És figyeld meg: az lesz az auditból kieső utasítás, hogy a rendszer igenis védjen az ilyen támadások ellen, mert ebben az esetben ez az elvárható védelmi szint.
Ha a rendszer védett az ilyen támadások ellen, akkor teljesen mindegy, hogy mikor szopja be és volt-e oktatás vagy sem. Ha a rendszer nem védett az ilyen támadások ellen, akkor meg szintén mindegy, hogy mikor szopja be.
Te is pontosan tudod, hogy lehet olyan rendszert kialakítani, amelyik védett az ilyen támadások ellen, le is írtad többször.
https://iotguru.cloud
Nincs teljesen védett rendszer. Aki abban a hitben ringatja magát, hogy ilyen rendszer van, vagy ilyen rendszert tud építeni, ki tudja szűrni az emberi oldalt (soc. eng., szándékos szabotázs) az magának és a megbízójának is hazudik.
Egyébként, itt sem lehet kizárni, hogy a támadóknak belsős segítségük volt.
trey @ gépház
Senki nem is vitatja, teljesen védett rendszer nincs.
Ez is a szokásos szalmabáb.
--
Az olyan támadások ellen viszont van hatásos védelem, ahol jelszót szereznek meg, amit távolról használnak. Vagy szeretnéd ezt cáfolni?
https://iotguru.cloud
Persze, persze. Szalmabáb neve Stuxnet vs. iráni atomcentrifugák, ahova egy pendrive-val juttatták be a malware-t.
Azt szeretném állítani, hogy az sem 100%-os védelem.
trey @ gépház
Ez terelés a téma kapcsán, ahol egy minden is olvasó jelszót szereztek meg.
Hatásos védelemről volt szó, kiteszek egy szervert, beállítok kettő egymástól független MFA-t, megmondom username+password és kérlek juss be. Meg tudnád mondani, hogy mennyivel csökkentettem a bejutás kockázatát ahhoz képest, hogy nincs MFA és tudod a username+password kombinációt?
--
Nyugtass meg, hogy például a netbankod esetén azért használsz MFA-t, tehát nem ment el teljesen az eszed öregkorodra, csak szokás szerint mondtál valami faszságot és egyre mélyebbre mész a mocsárban a faszságod védelmében...
https://iotguru.cloud
Ember, leírtam, hogy ha a felépített session-t hijackelik, akkor megsütheted a MFA-t, ne kezdjük már elölről ugyanazokat a köröket ...
Olyannyira, hogy hardveres tokent használok ahol tudok, mégsem gondolom golyóállónak.
Annyira vicces, hogy komplett hülyének próbálsz nézni. Ez be szokott neked válni egyébként?
trey @ gépház
Ember, leírtam már korábban is, hogy:
1, nem session hijack történt, hanem jelszólopás, térjünk vissza a realitás talajára.
2, session hijack ellen is van védelem
3, MFA véd session hijack esetén is pluszban, ha privilegizált műveletre a rendszer plusz MFA azonosítást kér
Erre újrakezded a köröket.
Faszé' használod, ha nem véd minden ellen? Na? Ilyen érveid vannak. Melyik bankban érzed biztonságosabb helyen a pénzed: ahol csak jelszó védi vagy ahol van MFA? Az informatikai rendszer védi a pénzed és jelszólopás esetén se férnek hozzá, vagy csak oktatást kaptál a banktól, hogy ne add meg senkinek a jelszót?
Ha egyszer játszod a hülyét... :D
https://iotguru.cloud
Istenem, hát feljebb leírták neked, hogy nem véd az MFA minden ellen, erre erőlteted? Nem állította senki, hogy nem lehet egy plusz rétege a biztonságnak, de nyugtass meg, MFA ide, MFA oda, van számlalimit/számlakontroll a számládon.
Ha van, miért van, nagyokos? Te bízol 100%-ig benne? :D
trey @ gépház
Ezt a részét nem is vitatta senki.
Így van, ezért fontos tisztázni, hogy a rendszert törték-e meg vagy egy embert vettek rá :D
trey @ gépház
Ezen nem kell tovább töprengeni... úgy tűnik mindekettő eset fennált - ahogy ezt már a hackerek is lenyilatkozták.
ugorjunk.
zrubi.hu
Nem mindegy a sorrendiség. Én tisztáznám, hogy remote hole volt (valószínűleg nem, mert akkor minek kellett volna energiát pazarolni a soc. eng.-re), ha pedig előtte bejutottak és mindenhez is volt utána hozzáférésük, akkor meg nem értem, hogy milyen eset állt fent? A mindenhez hozzáférő hozzáféréssel megtörték a rendszert?
trey @ gépház
aztán:
aztán:
zrubi.hu
social engineering
semmiféle feltörés nem történt, mindenhez hozzáférő jelszavuk volt
trey @ gépház
Tudnál olyan informatikai rendszert kialakítani, ami nem támadható pusztán azzal, hogy megtudom egy felhasználó jelszavát?
https://iotguru.cloud
Bármelyik két faktoros?
Ez az, amire trey nem fog válaszolni... :D
https://iotguru.cloud
ügyesen ignoráltad a bejutás módját... :)
Ami valóban nem a krétát törte meg, csak az özemeltető cég teljes rendszerét...
zrubi.hu
Az az infó már utólag képződött oda, tegnap még a 444 főoldalán is a soc. engineering volt a bejutás fő módja.
Ha elsőként a rendszert törték meg, akkor azt kellett volna kommunikálni a 0. perctől kezdve.
Innen indultuk tegnap:
trey @ gépház
Az üzemeltető/fejlesztő cégtől _is_ vittek el adatokat, valid, de jogosulatlanul használt belépési azonosítók használatával. A "feltörték" általános jelentését tekintve nem áll meg, mert az elérhető információk alapján semmilyen erőszakos beavatkozás/módosítás/támadás nem történt a szoftverkomponensek ellen. Ahogy a besurranó tolvaj sem betörő (mert nem dolog elleni erőszakkal jut be) - pedig mindkettő értékeket tulajdonít el, ergo a sértett szempontjából az eredmény gyakorlatilag azonos (a betörésnél még van rongálásból eredő kár is, igen, de az a legtöbb esetben a teljes kárértéknek csak nagyon kis hányadát teszi ki).
szerintem egy trojai bejuttatása - ha tényleg ez történt - már bőven kimeríti a 'feltorték' fogalmat.
Annak ugynis be kellett jutni, aztán települni és/vagy futnia kell valahol, ahol mindezt gondolom nem nagyon akarják hogy megtörténhessen. ideális esetben tettek is érte valamit. pl víruskergető, vagy hasonló bullshit.
persze, lehet ezt is reszletezni, hogy pontosan hogy jutott be? ki teleptette fel? hiszen legtöbbször ez is úgy történik, hogy a (l)user a csöcsös képek mellett kapja 'ajándékba', és tulajdonképpen ő maga a kis kezecskéivel csinálja mindezt - de ez ugye ezesetben (még) nem tudhatjuk
De úgy általában a tények ismerete nélkül ezen elmélkedni a fingreszelés kategória. :)
szerintem.
zrubi.hu
A user saját kacsójával bejuttatott, a virnyakergék által (fel) nem ismert motyó a védelem megkerülése/kijátszása; az, hogy valójában mi is történt, azt szerintem 1024 évig biztosan nem fogjuk megtudni...
De ebben az esetben a felhasználó által használt operációs rendszert törték meg, nem a szóban forgó rendszert. Nem?
Ezen azért gondolkodj még egy kicsit.
Bocsánat, de a védelmi rendszerek több lépcsős szofisztikált kikerülése nem besurranás. Besurranás az, amikor nincs védelem: nyitott ablak vagy nyitott ajtó. Ha megszerzik a kulcsot és azzal bemennek, az már nem besurranás, hanem betörés, idézem "a lezárt helyiség ajtaját bizonyítottan hamis vagy jogellenesen birtokba vett kulccsal, illetve más eszközzel felnyitotta".
https://iotguru.cloud
Akkor finomítom a besurranó tolvaj fogalmát: Szépen mosolyog a portásra, aki beengedi. Nem betörés, hiszen dolog elleni erőszak nélkül ment be, és hozott ki dolgokat...
Finomíthatod, de ez itt egzaktul credential lopás volt.
https://iotguru.cloud
ROTFL
trey @ gépház
Ez nálad nem credential lopás? Abból a hozzászólásból idéztem, amit megdicsértél és amire végül azt írtam, hogy lehet finomítani, de mégiscsak egy credential lopás volt.
https://iotguru.cloud
Mesélheted ezt ezeknek napestig.
trey @ gépház
Az nekem nem világos, hogy a Kréta üzenetküldő rendszeréhez hogyan fértek hozzá? Ott bárki küldözgethet bármit?
bejuttattak egy trojait az üzemeltető cég rendszerébe.
lásd:
https://hup.hu/comment/2848776#comment-2848776
zrubi.hu
Az oké, de azt írja, a Krétás üzenetküldő rendszeren keresztül. De ahhoz is hozzá kellett férni valahogy. Ezért kérdeztem, hogy publikus-e?
Vhol irtak, hogy kb 40e user oldali belepesi adat mar eddig is kinf volt a neten (user oldali szivargasokbol, nem uzemeltotol).
Domain, tárhely és webes megoldások: aWh
Ahhoz elég megszerezni egy valid credential. Ami amúgy nem biztos, hogy nehéz, az info@enaplo.hu és a support@enaplo.hu címekre rendszeresen kaptam levelet, hogy nem tudnak belépni és leírta jelszavát is. Egy ideig válaszoltam, hogy lófaszt, mama, tessék próbálni a jó email címet, de aztán feladtam és ment kukába ez a két cím.
https://iotguru.cloud
Eddig ket melohelyen volt jogosultsagom prod infrahoz. Mindket helyen _tobb kulonbozo MFA provider_ volt egyideju hasznalatban. Sehol sem volt eleg onmagaban a Microsoft-os office365-os MFA (btw be tudtak allitani, hogy 8 oranal ne eljen tovabb a session a bongeszoben). Raadasul azt is csak a vpn-hez hasznaltuk, ami nem a bongeszo sessionjevel ment, hanem a cisco-s kliensen minden egyes csatlakozaskor ujra kellett approvolni. Az irodabol is kellett a vpn a prod infrahoz. Es a konkret gepre belepeshez kellett a masodik MFA, ami jellegebol adodoan, megintcsak nem tudott perzisztens sessiont hasznalni. (Es akkor meg nem emlitettem az idegesito secops-osokat akik idonkent ramchateltek, hogy "latjak am, a logban hogy a userem csinal valamit, biztos, hogy en vagyok en?" - ennek mondjuk szerintem tenyleg semmi ertelme nem volt. Ha az MFA-s device-ok a tamado kezeben vannak akkor a ceges chat kliens is... de ezt nem kezdtem el magyarazni a kis indiaiaknak.)
Régóta vágyok én, az androidok mezonkincsére már!
https://telex.hu/tech/2022/11/09/kreta-rendszer-ekreta-zrt-adathalasz-t…
“Any book worth banning is a book worth reading.”
"Ki beszélt az Ellenségnek" <- Magyarország állati lova. Bezár kulcsot eldob.
A letöltők között ingyenes TEK látogatást sorsolnak ki.
Mint ahogy fentebb erveltek huptarsak, az altalanos internetes labnyom ugyis tobb adatot tartalmaz es naiv, aki azt hiszi, hogy nem. Szoval ez a kis 1GB szivargas semmi. Vihar a biliben.
De akar az is lehet, hogy direkt osztottak meg forraskodot trey keresere, hogy bizonyitsak a rendszer nem szar.
Adnál hozzáférést az adataidhoz? Ha már úgyis több adatot tartalmaz az internetes lábnyomod, nem mindegy? Dobhatod ide a közösbe.
https://iotguru.cloud
Szerintem ironia volt, amire valaszoltal...
Régóta vágyok én, az androidok mezonkincsére már!
Persze. Teljesen publikusan elerheto. Tartalmazza a kreta forraskodjat is. Csak megfelelo sorrendben kell egymas utan irni.
Lazán kapcsolódik (nem a töréshez, hanem az ekrétához, meg a hozzáállásukhoz), ha már nem emlékeznétek: https://github.com/boapps/Szivacs-Naplo/blob/master/README.md
“Any book worth banning is a book worth reading.”
Eredetileg e kréta őse az én projektemen alapult, amit ..khm ... "kölcsönvettek" ... anno.
Ott megtanultam, hogy Magyarországon soha, semmit sem szabad fejleszteni.
Erről nincs kedved többet írni?
“Any book worth banning is a book worth reading.”
A mai napig fáj, bár már 22 éves a projekt.
Tényleg érdekelne még valakit?
A történet valahol 1998 nyarán kezdődik, amikor az első sulinetes rendszergazda tábor került megrendezésre. Ott még az iskoláknak eléggé csenevész volt a sávszélességük és rendszergazdaként is rengeteg olyan feladathoz kérték a megoldást az iskolán belül, amit egy célszoftver pillanatok alatt előállított volna. Ekkor fogant meg bennem az ötlet, hogy ezt valahogy digitalizálni kellene. A projekt ekkor elindult C++ Qt alapon: az adatbázis lokális az iskola szempontjából, de lehetőség van központi statiszikai adatok lekérésére, stb. Már itt megjelent az, hogy a szülőket és a tanárokat is bevonjuk az iskola életébe: a szülő kapjon emailt, ha hiányzik a gyerek, illetve az akkor népszerű érettségi tételsorokból kiindulva lett volna benne egy óravázlat, hogy a gyerek akkor is tudja, hogy mi volt az óra anyaga és házi feladata, ha éppen hiányzott. Erre még épült volna pár szociológiai modul, amivel az egyes problémás gyerekeket lehetett volna meghatározni (itt minden gyerek 10 gyereket jelölhetett volna mint jó fej meg 10-et mint rosszfej és ebből az adatbázisból a klikkesedések és problémás egyedek kiemelkedtek volna) (Ja meg órarend generálás)
1999-es rendszergazda táborra már kész tervvel érkeztem. Az esti tábortűz mellett előadtam, hogy tuti jó rendszer lesz, GPL-es, Windowson és Linuxon is fog futni. S előadtam, hogy hogyan kell elképzelni ezt a működés közben (minimális POC már volt ekkor) . Mondtam 3 példát: A (szülő ott ül a fürdőkádban és láthatja, hogy progresszál a gyerek) B és C. Az elképzelések nagy sikert arattak, a többiek mondták, hogy go. Pénz nincs az iskolájuknál, de egy ilyen dolog segítene.
2000-ben ismét rendszergazda tábor, de egy nagy cég megjelenik. Azt mondja, hogy kitalálták, hogyan lehetne a mi életünket könnyebbé tenni. S akkor mond is rá három példát: A (szülő ott ül a fürdőkádban és láthatja, hogy progresszál a gyerek) B és C. Gyakorlatilag szó szerint visszahallottam azt, amit egy évvel korábban mondtam.
A projekttel küzdöttem tovább, de a következő rendszergazda táboroknál egyértelmű lett, hogy itt szabályozással és jogalkotással lesz az én projektem ellehetetlenítve, nem is érdemes küzdeni. A projektet átformáltam, lett belőle szakdolgozat amit eredményesen megvédtem.
Ami igazán zavar, hogy ha odajöttek volna hozzám, hogy öcsipók, érdekel ez a projekt, kilóra megveszünk és nekünk lefejlesztheted, akkor nagy eséllyel azonnal igent mondtam volna. Az ötlet jó volt és sokkal jobban illeszkedett az iskolai infrába és logikába, mint ami végül is jött helyette, ráadásul a decentralizáltsága miatt a rendelkezésre állása jobb is lett volna, mint ami helyette jött. Ez utóbbi emlékeim szerint nagyon sok éven keresztül problémás volt a sávszélesség miatt (lassú volt vagy nem elérhető).
A projektről maradt néhány screenshot: https://nebulon.hu/ss/
(S mielőtt szétszedtek: ez egy közel 20 éves projekt. Akkor még SQL támogatás sem volt a Qt-ban :D. Szóval easy, please ...)
<kicsit off>
Úh igen, azok a színek! ;) Ugyanakkor meg is értem, az ilyen "Marikanéni is használja" szoftvereknél komoly usability szerepe van az intenzív színkódolásnak.
Félre ne értsd, nem fikázásból mondom, inkábbcsak az időutazás-feelingje erős. Elgondolkodtam, hogy manapság ugyanerre a feladatra mennyire másképp nézne ki egy frontend, nemcsak stílusban hanem szervezésben is (és kérdéses, hogy jobb lenne-e bármivel).
</kicsit off>
Régóta vágyok én, az androidok mezonkincsére már!
Oh, ez tényleg nem fikázás. Ma már más felülettel és más színekkel csinálnám.
De akkor ezek a színek tényleg fontosak voltak. Ebben a projektben nagyon sok útkeresés volt. Az iskolák is éppen csak ismerkedtek a számítástechnikával.
Nem a mai cukidizájn, ellenben nekem nagyon tetszik a funkcionalitásnak alárendelt következetes színhasználat.
Ez hiányzik nekem a mai munkaszoftvereknél. Cukiság első találkozáskor jópofa, ellenben a használatot segítő színválasztás a maradék sok-sok évére lenne nagyon hálás dolog.
Lehet annyit kellett volna akkoriban is csinálni, hogy kicsit pasztelebb színeket rak be az ember.
Majd a mostani GPL-es projektemnél ügyesebb leszek! :D
Amugy az elso UI-os projektjeim nekem is kb ilyenek voltak. Kaptam is a fejemre, hogy "CGA szineket hasznalok", "a 90-es evek mar elmultak", "attol, hogy van color attributuma a widgetnek, nem muszaj am be is allitani" stb. :)
Régóta vágyok én, az androidok mezonkincsére már!
Édesanyám városüzemeltetésen dolgozott, ott is lett volna rengeteg lehetőség modernizálni. Pl. még akkor is nagy lemezen kellett egy embernek elvinnie személyesen azokat az excel file-okat a polgármesteri hivatalba amiket ők gyártottak a városüzemeltetésen, amikor már a kis lemez is kezdett ciki lenni. A történetedet olvasva, örülök, hogy annak idején édesanyám munkájának megkönnyítése kimerült abban, hogy segítettem neki a bonyolultabb táblázatoknál néhány scripttel és nem vágtam bele valami komolyabb projektbe nekik. Mondjuk pénz már akkor se volt ilyesmire, hacsak nem valakinek a valakije volt az ember. A főnöke pl játszani járt be, semmit sem csinált egész nap és még anyámékat se hagyta legtöbbször dolgozni, pedig ők végezték a főnök munkáját is akinek kb fogalma sem volt, hogy mit kellene csinálni. Na, de ez már egy másik dolog.
A szakdolgozatod elérhető?
Ha felállok a székből, akkor a polcon igen. Meg van egy példány belőle az egyetemen ...
Nem plagizált, ha erre gondolsz :D
Egyetemen már nem ellopják az ötletet, hanem valakinek a valakije akar pénzt keresni és lecserélik a működő, gyors és hatékony, fillérekből megcsinált rendszert egy katasztrófahalomra. Mind teljesítmény, használhatóság, mind biztonság szemponjából :)
Nekem 2007-ig volt egy elektronikus napló nevű projektem, az enaplo.hu máig az enyém... lett volna rá bőven érdeklődés, akkor hagytam abba a dolgot, amikor elkezdték lebegtetni, hogy lesz majd egy közös nagy állami elektronikus napló és én nem akartam olyan projektbe sok erőforrást tenni, amit aztán egy tollvonással kihúznak alólam, mert például kötelezik az iskolákat arra, hogy egy darab központi rendszert használjanak.
https://iotguru.cloud
Detto. Csak 2000-ben.
Nekem is hasonló időben volt egy intranetes e-naplóm használatban Pannonhalmán, a papyrus. Az elsők közt voltunk, akik az érettségi anyakönyvet is ezzel nyomtattuk, illetve félévkor grafikonokkal és szöveggel ("dicsértek" is a kollégák) ellátott bizit küldtünk ki. :-) De a tanári fogadónap szervezésekor vagy a buszos hazautazás szervezésekor, illetve osztálykép-rendeléskor is hasznos volt.
(Lesson learned: a session kezelésre figyelni kell erősen. Egy lelkiismeretes kollégám 60 percnél tovább töltött ki egy osztályhoz szöveges értékeléseket, majd pedig elszállt a session.)
Tanulhattál volna Trey-ék polgármesterétől.
Jah, csak nehogy olyan legyen, mint hogy Ed Sheerant minden héten bepereli valami kis zenészecske, hogy az ő zenéjét lopta el, Sheeran meg sorra nyeri ellenük a pereket. :D
trey @ gépház
Még egy kis történelem: https://index.hu/tech/2016/09/16/e-naplo_kreta_kozoktatas_klik_sda_nept…
“Any book worth banning is a book worth reading.”
Megér ez a rendszer 1 milliárdot havonta?
ha trey lenne ott a főnök, 2t is adna érte, nem csak 1et
A rendszer igen. Csak az az 1 lipsiberenc projectvezeto az nem kellene oda. Az nem rendszerkompatibilis.
A rendszer amugy mukodik jol, fasza minden. Van progress. Lassan nyilt forrasu lesz a dolog. Kozossegi fejlesztes es kozossegi adatkezelessel lehet jon becsuletkassza is, ahol a gyerekek onszorgalombol beirhatjak a jol mukodo rendszerbe a sajat jegyeiket is, igy leveve a terhet a tanarok vallarol, akik amugyis csak tuntetnek ossze-vissza, masra nem jok.
Keveset is adtunk, látod. Jó szakemberre se telt, meg auditra se.
Az ötszörösét is:) mint az útépítések díja
"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett"
és 100 éve még boszorkányt is égettek
[OFF] A médiában manapság már szokásos és elfogadott lett ez a megengedő mód: "feltörhették", "kiszivároghatott" ... bahhh, nekem ez annyira dühítő, ugyanis nekem mindig az jut eszembe; Ki / kik engedték meg nekik? [ON]
Azért ezt használják, mert nem akarják seggbe rúgatni magukat. Nem kijelentik, hogy feltörték, hanem csak sugalmazzák, hogy feltörhették, de az is lehet, hogy nem.
Hát azok után, ami kiderült, már nem nagyon lehet :D
“Any book worth banning is a book worth reading.”
ó de jó lenne ha átszoknának a feltételezhetően feltörték, vagy valószínűleg feltörték, vagy úgy néz ki feltörték, úgy gondolják valaki veltörte, stb formákra is :-)
Szerintem úgy kell érteni, hogy "lehetőségük volt rá". Mint az autósok használatba vehették az új utat, stb. Azt sem úgy értjük, hogy talán használatba vették, talán nem.
Korábban nem törhették fel, de most kedvezőek lettek a körülmények, adódott rá lehetőség, meg szándék is.
Szeretném jelezni, hogy a sugalmazás, sőt a kérdésként feltevés esetén is megállhat a rágalmazás ... Ez ellen nem véd ...
trey @ gépház
ELSŐ!
https://www.reddit.com/r/programmingHungary/comments/yqjosf/sawarim_kozette_tette_az_enaplo_kod_reszleteit/
... akkor lesz FOSS KRÉTA ???
mert az eddigi FOS volt ...
www.pingvinpasztor.hu
..Azért látszik mennyire komoly ez a rendszer.
Mivel feltörték, gondoltam megváltoztatom a jelszavam a Kréta webes felületén. (Tekintsünk el tőle, hogy jelen esetben ennek nem sok értelme van ) Ez meg is történt.
Aztán Androidon vártam, hogy a Kréta app majd újra authentikál. DE SEMMI :) Megy mindenféle kérdezősködés nélkül :D Szóval érdekes a session kezelés :)
(Az app azóta se kér jelszót, webre pedig az új jelszóval tudok belépni)
Uhh bazzz. És az ember ne legyen mérges amikor ilyen kiba sok adót kell fizetnie, mert hát a KATA-t elbaszták, aztán egy valamire való rendszert nem bírnak ennyi pénzből fejleszteni...
Persze jól látható módon a fityesz szavazók hárítanak foggal-körömmel, mert hát ez a rendszer nem lehet szar, ááá nem! Ebben az országban minden szép és jó!
Azt nem tudjuk a pénz hány százaléka ment effektív fejlesztésre ;)
Emlékszem , amikor Juhász Pici (Treynek: csak egy hülye tanár) anno azt mondta, hogy aki olyat tesz le az asztalra mint a Neptun az itt nem kap diplomát :) És ez volt vagy húsz éve, úgy tűnik a haversenyszféra azóta is előre megy, nem hátra.
saccra 3%. 2% ment infrára.
Gábriel Ákos
Juhász pici :D
Hatalmas :D
Fedora 38, Thinkpad x280
Nagyot mondó tanároknak szokták mondani:
😂
trey @ gépház
Nyilván azért is nevelte ki a mostani egyetemi tanár generációt, rakta össze a komplett egyetemi kart, kb az összes képzést és vezetett pár céget Debrecenben, mert nem ért hozzá. /s
Most, hogy megvan a forrás, ki tudjuk javítani az ilyen hibákat és beküldünk pull request... :D
https://iotguru.cloud
Köszi,de inkább nem. Nincs annál gusztustalanabb amikor kevernek két nyelvet.
... majd a következő sprintben lesz benne a session.invalidate() :)
Gábriel Ákos
Kicsit hasonlít ez a történet a Telekomos esethez:
https://index.hu/techtud/2019/01/27/telekom_tasz_biztonsagi_hiba_etikus_hekker_per/
Ott sem a károkozás volt a motiváció, hanem a rámutatás a rendszer hibáira.
Kurvára nem hasonlít.
Az egyik esetben egy publikusan elérhető szolgáltatás hibájáról szólt privátban az ember, átadta az adatokat, majd később ránézett újra, hogy javították-e, de nem javították és itt már balfasz volt, tovább nézelődött, de kárt nem okozott, végül pénzbüntetéssel megúszta. A Telekom is szimplán balfasz volt, rosszul kezelték az ügyet.
A másik esetben meg gyakorlatilag célzott támadással betörtek és hetekig vittek minden mozdítható bitet, személyes adatokat, forráskódot, adatbázisokat, levelezést, belső kommunikációt, közben egyrészt fel se merült, hogy szólnak a dologról a cégnek és ez már kurvára bűncselekmény kategória. A fejlesztő és üzemeltető cég pedig egyszerűen le akarta tagadni a tényt, hogy megtörték őket, ami szintén bűncselekmény kategória.
https://iotguru.cloud
igen, itt egyértelműen tetten érhető a kár okozási szándék - nem véletlen sétáltak arra...
For Whites Only meeting room!
Most hogy kárt okoztak is el akarják titkolni, mi lett volna, ha szólnak nekik, hogy szar az egész ... gondolkodom...
Nem kell szerintem sokat várnunk és áldozatként lesz feltüntetve a cég akire rá kellett bízniuk a szülőknek az adataikat de szakértelem hiányában jogsértő módon hozzásegítették a bűnözőket a károkozáshoz. De számodra a szakmai portálon még is az fontos, vajon ki nyitotta beljebb a tágra nyitott ajtót és sz*rt a padló közepére.
valami köd van a szemed előtt..
én az összehasonlításra írtam, hogy más a KRÉTA és Telekom esete.
"Nem kell szerintem sokat várnunk és áldozatként lesz feltüntetve a cég akire rá kellett bízniuk a szülőknek az adataikat de szakértelem hiányában jogsértő módon hozzásegítették a bűnözőket a károkozáshoz. De számodra a szakmai portálon még is az fontos, vajon ki nyitotta beljebb a tágra nyitott ajtót és sz*rt a padló közepére."
ez teljesen téves gondolat menet - mondhatnék rosszabbat is rá..
Büntető jog szerint - ha rosszul szereled fel a zárat és betörnek, akkor is a betörő a bűnös.
A véleményemet meg olvashatod feljebb:
12:10 itt egymásra talált az emberi szemét és a szakmai ~
Ilyet nem lehet, akkor sem csinálni, nincs rá mentség -- megérdemli, hogy börtönbe kerüljön és azok is akik festményeket öntenek le...
For Whites Only meeting room!
Baromságokat hordasz össze, ez a cég nem tulajdonosa volt a háznak hanem az őrzője és kezelője, aki hanyag módon hazament és annak ellenére, hogy a szerződésben ezt vállalta, hogy a legjobb tudása szerint őrzi azt. Majd mikor megtörtént a probléma, nem a szerződés szerint értesítették az adatok tulajdonosait, hanem megpróbálták az ügyet berugdalni a szőnyeg alá.
Ez történt.
kevered a fogalmakat:
rosszul csinálsz valamit, mint vállalkozó - szerződésben kikötött kötbér vagy polgári per.
betörsz valahová - BTK
de itt be is fejeztem, ennél több fényt már nem tudok neked adni..
For Whites Only meeting room!
Már megint csak személyeskedésre futotta.
Szerintem a szakmai korrektség jegyében érdemes a két dolgot különválasztani. A betörés és az adatlopás akkor is btk ha egy vérprofi rendszerrel teszik meg és akkor is ha egy tárva-nyitva hagyott szemétteleppel.
Az a fajta hanyagság és nemtörődömség amit ez a cég elkövetett szintén nem kéne hogy büntetlenül maradjon. A milliószám elkövetett adatvédelmi szabálysértéstől kezdve egy csomó szabálytalanságot rá lehet (és rá kell) húzni a cégre, és a megrendelőre (melyik minisztérium?) aki átvette, kifizette, sőt a karbantartást fizeti rendszeresen.
Nem a programozó, nem a projektvezető itt a fő hibás.
Hanem az aki nem rendelt meg erre a kupacra soha egy értelmes auditot.
Ha ez egy bank vagy biztosító lenne már sóval szórták volna be a helyét.
Gábriel Ákos
De ez a kettő: a balfasz képzetlen, meg a CISO. Ezt állítottam az eleje óta. Esetleg még a HR is, amelyik projektvezető feladatra felvett egy olyan embert, aki az ECDL vizsgán is megbukott volna.
trey @ gépház
Hát... nem. Kis pénz = kis foci. Azok a hibásak, akik ellpoták a 12 milliárd nagy részét, illetve azok, akik átvették a terméket és kifizették a mi pénzünkből. Ide vezet a korrupció.
😆
trey @ gépház
Ez így. Teljesen egyetértek, de fent én arra hivatkoztam, hogy egy rendőrség által folytatott (nem a betöréshez kapcsolódó) nyomozásban miket követtek el. Ilyen cégnek nem igazán lenne szabadna lenni. Nem csak a szakmai defekt a jelentős, meg az általad is megfogalmazott vezetői, de látszólag emberi minőségi problémák is vannak.
Aha. Tehát nem arról volt szó, hogy figyelmeztessék a fejlesztőket a problémára, hanem hogy az ellopott adatokból anyagi hasznot húzzanak. Nekem az interjúból máshogy jött le.
Ha az személyi adatokat lenyúlták, illetve a cert-et kitették innentől büntető jogi kategória a szándéktól függetlenül.
Melyik interjúból jött le mi?
https://iotguru.cloud
https://telex.hu/tech/2022/11/09/kreta-rendszer-ekreta-zrt-adathalasz-tamadas-adatszivargas-elhallgatas-naih-vizsgalat-eljaras
Ebből neked hol jött le, hogy belebotlottak egy hibába és szólni akartak róla a fejlesztőknek?
https://iotguru.cloud
Szerintetek kérhetem az iskolától a gyermekeim és saját adataim törlését a KRÉTÁ-ból? Nincs már esetleg ilyen csoportos kezdeményezés? Minek után kint van GitHub-on a teljes forráskód, beégetett jelszavakkal, certekkel, lehet hogy más szándékkal más brigád is megtöri...
Tokmindegy, ha mar dumpoltak az adatbazist, akkor mar keso.
Viszont kesobb lehet ugy ervelni, hogy az az 1-es az nem valos, hanem vki gonoszsagbol beinjektalta a rendszerbe :)
Beszélj az UCC-vel, biztos lesznek tippjeik, hogy hogyan tudnád töröltetni mindenhonnan IS, hiszen Magyarország csak egy bejegyzett cég :D
trey @ gépház
Az a baj hogy ezt az ország vezetői is így gondolják. Ahol persze ők nem csak ügyvezetők hanem tulajdonosok is.
Gábriel Ákos
hogy egyeltalán tovább tudják vinni a bizniszt - kell egy független audit..
Sztem indítványozzák, hogy külső cég legyen az üzemeltető, mert megrendült a bizalom.
For Whites Only meeting room!
bizniszt továbbvinni? Igaz bármi megtörténhet ebben az országban, de aki ennyire alkalmatlan legalább egy szakmai portálon ne vessük fel, hogy bármit is továbbvigyen. Már rég korlátozva kellene hogy legyen a szabad mozgás és valami külső független irányítás alá helyezni a céget a nagyobb károk megelőzése végett.
Én azt nem értem , hogy legalább az eesztnél miért nem revokeolták még a certjük... Azt nem nehéz megállapítani , hogy a private key ici picit compromised. Gondolom nem jelezték, de ennyi idő alatt fel kellett volna, hogy tűnjön.
A legjobb embereik dolgoznak az ügyön... :D
https://iotguru.cloud
Ettől félünk mi is :D :D :D :D
-42-
Ha a gyermeked illetve a saját adataid azért kellenek a KRÉTÁ-nak, hogy bizonyos, jogos feladataikat ellássák, akkor kérheted, de erre hivatkozva nem fogják törölni. Nem tudok olyan kitételről a GDPR-ben, hogy kérheted az adataid törlését, ha arra nem megfelelően vigyáztak.
Ezzel nekem az a problémám így laikusként, hogy van egy kötelezően használt rendszer, aminek kötelezően adatot kell megadnod akkor is ha nem tudják garantálni a gdpr megfelelőséget. De még ha lenne olyan lehetőségem, hogy erre hivatkozva kérjem a törlését nem vagyok beljebb, mint beletörődni, mert kb. onnantól nem járhat iskolába a gyerkpc, mivel minden a krétában van.
Offtopic: Engem az meglep azért, hogy kitakarították teljesen a komplett DB -t is vitték, majd az egész oldal forrását kirakták github-ra és az oldal még mindig működik, és nincsen leállítva egy ilyen incidens közepette.
-42-
Költség/haszon alapon valószínűleg nem éri meg. Ha leállítanák, az igen jelentős operatív problémákat okozna. Az adatbiztonságot meg már amúgy is fújhatják.
Mondjuk nem adnának meg több adatot amit aztán el lehetne lopni megint? :D Ha rommá van törve egy weboldal te sem örülnél ha kötelezőből be kéne írnod személyes adatot mikor tudod, hogy lehet fél óra múlva már adják veszik a darkneten :D De lehet én vagyok rosszul bekötve
-42-
Ami igazán érzékeny volt, az már bukta, az meg valószínűleg annyira nem érdekel senkit, hogy még egy két osztályzatot ki tudnak olvasni pluszban. Vesd ezt össze azzal, hogy az ország összes iskolájának a teljes adminisztrációját elérhetetlenné teszed bizonytalan időre.
Lekapcsolni akkor lett volna értelme amikor még nem vitték ki az adatokat, de az a hajó már elúszott.
Miért, ez tök jó. Rögtön ki lehet majd szűrni az állásinterjúkon az iskolából túl sokat hiányzókat, vagy a rossz magatartásúakat, vagy a strébereket vagy a vicces beírásokkal rendelkezőket. Hitelt sem kapnak majd, akik matekból és fizikából túl rosszak voltak. Lesz majd ilyen randi app, ami a jegyek alapján párosít össze, stb. Csomó lehetőség.
Végülis lehet tényleg belső szivárogtatás volt és treynek van igaza, haladunk a kínai modell felé, ez az első lépcső :D
Óóódehogynem :) Pont nekik lehet majd a "legjobb" hiteleket elsózni. :D
Régóta vágyok én, az androidok mezonkincsére már!
gonosz vagy visszaélsz azzal, hogy az ügyfél nem tudja kiszámolni a kamatos kamatot :-D
vagy mennyit fog fizetni, ha ha csak a kamatot fizeti, de a tőke törlesztést nem..
For Whites Only meeting room!
" nincsen leállítva egy ilyen incidens közepette."
Mert akkor azokhoz a szülőkhöz is eljutna a hír, akit eddig a fideszmédia pajzsa megvédett tőle :)
“Any book worth banning is a book worth reading.”
Igen, ez valóban jogos probléma, de sajnos megoldást nem tudok rá.
Hááát nem tudom, esetleg fogni egy naplót, és golyóstollat, aztán utólag felvinni a felírt adatokat amikor már befoltozva újraindul a rendszer? :D tudom, ne tegyek fel sorosista kérdéseket :D
-42-
Amilyen drága a toll és a papír manapság :)))
-dupla
Mondjuk a githubos cuccbol leginkabb a DirtyWords.xml primary use case-t nem ertem teljesen. Marmint oke, tok jo secondary byproduct-okat lehet belole csinalni, de akkoris.
Na, a Bayer elbújhat a lebaszirgált, aszaltfaszú balfészekbe. :D
https://iotguru.cloud
Motvaaa - csak nem kovettem a linket
Én csak egyet nem értek. Hogy kerülhet felelős beosztásba egy akkora kretén, akit egy sima email linkkel meg lehet szivatni?
Mutatom a siker receptjét (2021-es mérleg):
Nettó árbevétel: 12 milliárd
Alkalmazottak száma: 93 fő
Bérköltség: 693 millió
https://iotguru.cloud
Ez most komoly?
Szar melo szar penzert?
lol, nincs is több kérdésem
Jól számolom, az átlag 620.000 Ft-os szuperbruttó bér?
Ebből vond le, hogy a vezetőség vélhetően évente több tíz milliót kap, szóval vonj el 100-150 milliót és a maradékon oszlik el az utolsó senkik fizetése.
A lényegi probléma nem is ez, hanem az, hogy mi a lófaszra megy el évente a további ~11,5 milliárd forint a cégnél...
https://iotguru.cloud
KATAs kifizetésre.
Ebből a szempontból érdekes lesz az idei kimutatás.
Nem, siman brutto, a ceg altal fizetett jarulek alatta van par sorral.
Domain, tárhely és webes megoldások: aWh
UPDATE: karbantartas miatt nem elerheto a Kreta.
Anyjuk picsáját, komolyan. Szóval megtörték őket, tudtak róla, letagadták, egy hónapon keresztül vitték kifelé az adatokat, tegnap publikálták a forrást és egy csomó belső kommunikációt. Mit közöl ebből a cég, amellyel ez megtörtént? Igen, így van: semmit. Frissítés miatt nem elérhető.
https://iotguru.cloud
Ahogy egy másik Franko mondta: "Tudtam, csak nem sejtettem!" :)
A helyzet az, ha a korrektség lenne a legnagyobb baj ezzel a céggel az még kávéval elmenne. Találgatás a mostani esetre vonatkozóan az, hogy egy sebezhetőséget foltoznak amit a betörő csapat kért tőlük, hogy aztán azt csinálták e, vagy hatósági beavatkozás miatt állt úgyse tudod meg.
Popcornt valaki? A műsorhoz? 🍿
trey @ gépház
Tehat ez az "emblematikus arc" eppen ugyanazt tervezi elkovetni masokkal, amit eppen serelmez, raadasul hatosagi eljaras nelkul siman csak vadaskodas. Nice :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Popcorn mellé nem tök mindegy?
trey @ gépház
Kicsit uncsi mar, hogy a fogeci mindig megussza.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Ugyanazt? Korántsem biztos. Az eKrétába behatolók elloptak olyan adatokat, amelyekhez nem volt joguk. A fenti post írója pedig azt monda, hogy közzéteszi a profiljukat. Amit nem tudunk, hogy honnan van neki meg az elkövetők profilja, jogosan jutott-e hozzá, vagy sem. Ha jogosan, akkor ő nem követett el adatsértést.
Én inkább arra lennék kíváncsi, hogy az illető honnan fogja tudni, hogy a személyes adatokat tényleg törölték? 'Becsszó, le van törölve'?
A statuálás a lényeg. :)
Ez több sebből is vérzik. Ha tudja kik az elkövetők miért nem privátban írt nekik? Az elég bizonyíték lenne az elkövetők számára is, hogy ténylegesen tudja a kilétüket. Honnan fogja tudni hogy tényleg törölték és nem maradt egy másolat valahol róla?
Valamint ez nem sokat segít az adatok biztonságán, a kód már kint van, aki esetleg további károkat akar okozni, rég talált több sebezhetőséget is, valamint az sem kizárható, hogy a múltban is hoztak el ezeken a réseken keresztül adatokat ismeretlen támadók.
Masfel oraja van, aztan meglatjuk mennyire arc az az arc. :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Nehogy a végén kiderüljön, hogy nem csak az volt lamer, akit rászedtek, hanem az is, aki rászedte :D Tudod, mint a betörő, aki a bűntett helyszínén elhagyja a személyi igazolványát :D :D :D
trey @ gépház
Persze ha a "raszedett" elotte meg masokat szedett ra, akkor minden pofon jo helyre megy. :D
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Nehogy kiderüljön, hogy miután állítólag "hónapokig nyitott volt a rendszer", az csak azért volt, mert az első piszkálás észlelése után a hatóságok telerakták honeypotokkal, amibe tátott szájjal sétált be a script kiddie :D
Alig várom a folytatást! 🍿
trey @ gépház
Ha a hatóságok telerakták honeypotokkal Trey akkor miért diskuráltak benn arról, hogy hogyan kellene félrevezetni a rendőrséget? :D
A ha nem szeditek le azonnal, kiteszem az adataitokat már a hatósági eljárás része lenne? (Amúgy kishazánkban már ez sem igazán lepne meg :))
Ugye láttál már olyanokat, amikor a rendőrök adják ki magukat valakinek a neten? Komplett sorozatok vannak róla a Netfixen az ilyen átverésekről bazmeg :D
Nem állítom, hogy ez történt, de ha ez történt be fogok szarni a röhögéstől :D
trey @ gépház
Láttam. Olyat még nem láttam, hogy egy szenzitív adatokat tároló országos rendszerbe hónapokig továbbra is ki be hagynak járkálni a hatóságok.
Értelmét sem igazán látom, de te majd mindjárt elmagyarázod nekünk.
Ja és a NAIH-t senki sem értesítette hivatalból.
hát mert titkos akció volt... mint a filmekben. :D
zrubi.hu
Ilyen esetben a hatóságok addig hagyják ki-bejárkálni az illetőket, amíg a személyazonosságukra fény nem derül. Ha az adatokat már elvitték, csont mindegy, hogy ki-be járkálnak-e még vagy sem.
trey @ gépház
Te már tényleg szánalmas mélységekben jársz... :D
https://iotguru.cloud
Na, megjött a másik is ... A végén ki ne derüljön, hogy a profilképeddel tapétázzák ki a netet mert magam alá csinálok :D
trey @ gépház
Nyilván... :D
https://iotguru.cloud
Ezt szerintem még te sem hiszed el (országos éles rendszer compromised , de jóvanazúgy menjen csak, majd a script kiddie a frissen beállított honeypotjainkra is ráugrik és elkapjuk :)).
Szerintem ilyen esetben jobb helyeken eleve lelövik az egészet amig nem elemzik ki a logokat.
Igazából nem tudom eldönteni, hogy melyik a rosszabb: játssza a hülyét vagy öreg korára tényleg ennyire meghülyült.
https://iotguru.cloud
Én meg arra szavazok, hogy nem ez történt. Ez nem az FBI, CIA, X-akták vagy valami netflixes sorozat, hanem a kis magyar valóság. De még ha igaz is lenne, komolyan hónapokig kell futnia a mézesbödönnek 4 támadó beazonosításához? Az is elég ciki lenne.
Kicsi esélye van, de ki nem zárhatjuk. Bűnüldözés területen meg nincs olyan, hogy ciki vagy sem. Olyan van, hogy megvan az elkövető vagy nincs.
Amerikából ezer esetet hozok neked, amikor óriáscégek, állami vállalatok hálózatán hónapokig bent voltak az elkövetők. Tudom, ott az más volt :D
trey @ gépház
Döntsd el lécci, hogy akkor most script-kiddie-k hatoltak be krétáékhoz (akkor nem nagyon kéne ennyi ideig keresgélni őket), vagy olyan profik, hogy még most is a honeypotokat kell miattuk elemezgetni. Egyszerre a kettő nem reális. Amúgy valóban mind a kettőre van esély - én személy szerint úgy *képzelem*, hogy ezekre nagyon csekély, arra viszont jóval több, hogy tényleg nem tűntek fel egy jó ideig senkinek, és ennyire balfácán módon kezelték az adatokat / hozzáféréseket ennél a cégnél.
(Amúgy ki ez a Franc Feri, aki így rájuk dörrentett, mint apuka a hangoskodó óvodásgyerekekre? És ő mitől lett ilyen gyorsan ilyen jólinformált?)
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
Telegramon menőzőket te minek nevezed? Amíg ki nem derül(t), hogy kik is, addig is mivel kellett volna utánuk menni?
trey @ gépház
Mivel a rendorseg csak azt nem latja meg, amit nem akar (mert erre kap utasitast), innentol kezdve barmi (is) elkepzelheto, korrupcioban pedig mi magyarok amugy is verhetetlenek vagyunk. Olyan ez kb, mint a microsoft lopas, vagy a parkolasi uzletag esete.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
"a hatóságok"?! visszahekkelnek?! huhaha.
Mégis milyen hatóságok?! :D
LOL
zrubi.hu
Mondjuk az NKI. :) Kezdhetnék az NKA-val (keresd a hibát) mert az csak pár betűvel van előrébb. :D
Ja, és újra itt az Emotet be kellene időzíteni a riasztást két hét múlvára amikor már lecseng.
"Nehogy kiderüljön, hogy miután állítólag "hónapokig nyitott volt a rendszer""
Ha ez igaz lenne, a fideszmédia már ezt harsogná.
Nem fog kiderülni.
“Any book worth banning is a book worth reading.”
Értem, értem. Hogy miért nem tetszik ez a lehetséges forgatókönyv _nektek_. Felfogtam. :D
trey @ gépház
Nekem tetszik, szerintem kurva vicces, a vicces dolgokat meg szeretem :)
“Any book worth banning is a book worth reading.”
Szintúgy, ahogy azon is röhögök, hogy a kognitív disszonancia hogyan teszi a dolgát itt :D
trey @ gépház
Akkor most gondolkozz el azon, hogy egy honeypot rendszerből hogy szedhettek ki valós személyes adatokat... :)
Vagy azon, hogy ha ennyire kézben tartják a dolgokat, miért kellett most lelőni a krétát, mikor ez kiderült...
Ha ez megvan, akkor aztán azon, hogy kinél is működik itt a kognitív disszonancia :D :D :D
“Any book worth banning is a book worth reading.”
Istenem, már megint a hülyének nézés ... Miután elvitték az adatokat, visszajártak még, hiszen az utólagos kommunikációt is rögzítették ... :D
Ez egy teória. Ami szemmel láthatóan nagyon kényelmetlen itt egyeseknek, mert ha mégis igaz, az nagy ROTFL
Mivel én kívülálló vagyok és rá is érek, annyi teóriát rakok össze a végleges post mortem-ig, amennyit szeretnék. :D
trey @ gépház
" az utólagos kommunikációt is rögzítették"
Amit a hackerek kedvéért szinészkedtek oda a krétások :D :D :D ezzel fedve el, hogy valójában egy kompetens társaság, és csak eljátszották, hogy nem :D :D :D
Még a végén kiderül, hogy a kikerült ultrafos kód is kamu, és nem is az futott a krétán :D
Van még valami hasonlóan zseniális ötleted?
“Any book worth banning is a book worth reading.”
Ha igaz lenne?? Ez mikor volt feltétel?
Milyen honey pot? :D :D :D
Te nem lattad a kodot, az egesz az!
Nem. Az úgy volt, hogy amikor először riasztott a Munin, hogy be akarnak törni, akkor a rendes forráskódot kicserélték, és csapdát állítva a támadóknak direkt egy olyan gagyit tettek a helyére, hogy megismerjék, ha kiszivárgott a netre.
Ez lesz az, eddig ez a leghihetőbb verziója annak, ami történhetett.
“Any book worth banning is a book worth reading.”
De akkor gondolom, a céges Slack-et is lecserélték honey potra.
Hamar eljutottál a szabotázstól a honeypotig. Kalandos életed lehet.
$ grep -c egy$ word.list
100
-
Mint tudjuk a twitter profilok annyira hitelesek az utóbbi 2 hétben mint még soha.
Gábriel Ákos
Nem is tudtam, hog már ebben a szakmában is vannak celebek :D
zrubi.hu
Mindig is voltak. Az IT sec szakma mindig is eléggé ego-túlfűtött volt.
trey @ gépház
De hova posztolta? És ki?
https://www.facebook.com/ferenc.fresz/posts/pfbid02fLZgQvExh9zWAkbKVvaQ…
És azóta mi van? A határidő lejárt.
trey @ gépház
Kiderült, hogy nincs a srácoknak facebookjuk. De legalább az EESZT-s certet visszavonták végre. :D
Tehát a nagy jaszkari után becsicskultak?
Nem az volt egyébként a mondás, hogy adatokat nem tesznek közzé?
trey @ gépház
Az EESZT-sek vonták vissza Trey, ezt a leak után 5 perccel meg kellett volna tenni, ha a Te honeypotos scenariódat nézzük akkor pedig még szeptemberben.
A faszt nem érdekel ez a része. Az a része érdekel, amelyik szórakoztató. Az érdekel, hogy a lejárt határidő után mi lett? Publikálta az illető a támadók adatait?
trey @ gépház
Elméletileg odaadta a hatóságoknak. Legalábbis kommentben ezt írta.
Szerintem a publikálás és az odaadtam a hatóságoknak nem ugyanaz.
🙄 😂
trey @ gépház
Kérdezték tőle FB-on, azt válaszolta a hatóságoknak publikálta.
Kicsit furcsa arc az is a beirasai alapjan.
Domain, tárhely és webes megoldások: aWh
Fokent hogy a publikalas fogalmilag tok mast jelent. :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
De nálam ez úgy látszik, dinamikus jelentéssel bír.
De nálam ez úgy látszik, dinamikus jelentéssel bír.
te vagy itt a legszórakoztatóbb :D
Hát, nagy is volt a törés miatt a titkolózás a hírek szerint, és nyilvánosságra kerülés után is kellett nekik 3 nap.
Titkolózásról jut eszembe, origon/mandineren még mindig nincsen ez meg sem említve egy nyúlfarknyi cikkben sem, de azt megtudtam, hogy "Az új orosz törvény örökre megváltoztat mindent" - bármi is legyen az.
Nem tudom, de igy kihul a popcorn. :(
Lofaszt, Trey elvitte a show-t, fogy az a popcorn.
Jaj, ne kisebbítsd az érdemeiteket, a showhoz ti is kellettetek, itt is szépen fogy. 🍿
trey @ gépház
Szórakoztató ez a thread is, ahol az IT sec. szakértők az exploit fogalmáról diskurálnak.
Hát, igen. Az exploit az valóban más 🤣
trey @ gépház
hát, ez egy meglepetés
Gábriel Ákos
Én csak azt nem ÉRTEM, hogy egy ilyen nagy tudású képzett ember, miért "hekkerekkel" kemény most, ahelyett, hogy eddíg mindent megtett volna tudása és kapcsolati hálója segítségével azért, hogy a KRÉTA biztonságos legyen, s a gyerekei, gyerekek adatai biztonságban legyenek.
Nagyon érdekes a hozzászólásokban, hogy valaki jelzi neki, hogy a gyermekei oktatási intézménye nem KRÉTÁ-t használ.
Szóval azt gondolom, ez attól aki a magyar kiberbiztonság ikonjának tartja magát igen "korpás" megszólalás.
Én meg azon agyalok, hogy esetében nem áll-e fennt a bűnpártolás. Elvégre saját állítása szerint tudta, kikről van szó, de ahelyett, hogy ezt jelezte volna a hatóságoknak, még leállt alkudozni a "hekkerekkel". #kizártdologmernemtudom #nemvagyokjogász
Csak akkor állna meg, ha kérdezik hivatalosan, akkor mem mondja meg
Ezt a meglátást miből deriváltad?
Jogásztól
Jobb ha másikat választasz.
Ez bevált, nem tenném
Valaki tudja, hogy ki volt, üzent nekik:
"Az eKréta hekkereinek. Ha nem akartok megsülni. Akkor a személyes adatokat törlitek a leszedett adatokból. Nyilvánossá tettem a kérésem. 12 órátok van. Utána elkezdem kirakni egyenként a profilokat."
kieg:
még nem láttam a fenti posztot, éppen egyszerre raktuk ki ezt a tartalmat.
For Whites Only meeting room!
Kiváncsi vagyok , hogy ez a "prominens"
ITpaper seces felelt-e az eKrétáért is. :DAddig röhögsz, amíg egyszer te is sorra nem kerülsz :D
trey @ gépház
Mármint , hol sorra? Se IT seces sem vagyok, rendszereket se igazán szoktam támadni.
Kódot írsz?
trey @ gépház
Max magamnak scripteket amik segítik a munkám.
Ez hol jelent meg eredetileg?
Domain, tárhely és webes megoldások: aWh
Elég vicces mennyire a krétáékon kívül történnek a dolgok ebben a történetben :D
Ők meg közben kiraktak egy táblát, hogy karbantartás miatt zárva :)
“Any book worth banning is a book worth reading.”
Ez hol jelent meg?
http://www.youtube.com/watch?v=xnJwT_30p6k
https://hup.hu/comment/2849450#comment-2849450
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Kosz, elvesztem ebben a szalban :)
http://www.youtube.com/watch?v=xnJwT_30p6k
Eddig az volt a mondás, hogy nehogy úgy járjunk, mint a BKK jegyportál - most már eKRETA visz mindent...
For Whites Only meeting room!
Ez se rossz:
https://telex.hu/tech/2022/11/11/kreta-adatszivargas-forraskod-ekreta-z…
Ha ez így van, akkor a NAIH miért nem tudott róla?
Titkosították 500 évre miközben felszerelték a honeypotokat. :)
kell költeni securra 1-2 milliárdot - vagy tegyék be a KAK-ba osztjónapot.
For Whites Only meeting room!
A KAK csak azért biztonságos, mert az üzemeltetők se tudják, hogy két tűzfal között még hány tűzfal van és azok hogyan modulálják a biteket. :D
https://iotguru.cloud
aki a VM-eket csinálja ,nem kell tudni csak a "szekur" teamnek.
For Whites Only meeting room!
Jobb helyen aki az xyz hálózatba berak egy vm-et, annak a vm-nek kiosztott a.b.c.d/32 cím mellett a default gw címét kell ismernie, ami mindent is ad neki, ami az alapvető működéshez szükséges (dns, ntp, smtp, logszerver...)
Jobb helyeken a VM-et automation hozza létre, a megrendelőnek semmilyen hálózati konfigurációval nem kell foglalkoznia.
Annak az automatizmusnak _sem_ kell másról tudnia, csak arról, hogy adott VM milyen címet és milyen default gw címet kapjon - a lényeg, hogy a saját VLAN-on kívüli infrastruktúráról semmilyen infó nem kell.
Megvárjuk míg az EU ad pénzt rá. Azt hiszem ez a forgatókönyv következő eleme. Ez is "brüsszel miatt" szar.
DB dump kint van már?
Csak egy screenshot. Azt mondják, nem rakják ki, mert a hátrányos helyzetű, hányadtatott sorsú, lelki sérült gyerekek lakóhelyi adatait kirakni nem feltétlen etikus.
source leakelésnél ez nem jutott eszükbe?
Hátrányos helyzetű, hányadtatott sorsú, lelki sérült gyerekek írták? (mondjuk sok mindent megmagyarázna :))
A forráskód mintha nem tartalmazna nagy számú különösen védett személyes adatot...
https://iotguru.cloud
Benne van két iskolának a címe és az iskolaigazgatók gmail címe mint tesztadat.
Még anonimizálás.sql is van kretateszt kukac gmail címre. (Kis pénz, kis foci :))
Ezért írtam, hogy "nagy számú"... :D
https://iotguru.cloud
Tehát akkor mégis minden rendben van az SQL injection protection-el?
Azt nyilatkozták, hogy elő fognak állni exploittal, ez megtörtént?
Csütörtök este volt egy több órás állás, gondolom javították a publikusan elérhető hibákat... :D
https://iotguru.cloud
Beirták a tömbbe az "and" és az "AND" mellé a többi kisbetű-nagybetű kombót is?
“Any book worth banning is a book worth reading.”
Valószínűleg minden hibát megtaláltak és javítottak.
Amiről szóltak nekik... :D
Ha eddig nem volt code review és audit, akkor az most két nap alatt se volt. Legfeljebb megkeresték az összes TODO kommentet, hogy veszélyes-e. :D
https://iotguru.cloud
Elég nehéz volt röhögés nélkül leírnom. :D
A leállás azért volt, mert akkor szerelték le a honeypotokat, most hogy trey lebuktatta őket, és így már mindenki tud róluk, már nincs értelme, hogy ott legyenek.
“Any book worth banning is a book worth reading.”
Azt mondod Gyurcsány törte föl?
Jaj.
Vajon mennyi kártérítésre számíthatnak a szülők, tanulok, tanárok ezután a Fityesztől?
Ennyi ellopott adat értéke azért elég sok! Minimum kétszeresét kellene megfizetni minden érintettnek.
Annak pedig alapnak kellene lennie ezután, hogy mindenki döntése alapjén használja tovább ez a szarkupacot. Én még a bevásárló listámat sem tárolnám ott az biztos!
Térjünk inkább vissza jó öreg napló, ellenőrző használatához. Mivel kb. azon a szinten van megrekedve ez az ország informatikai infrastruktúra terén. Az enaplózást és a hasonló jóságokat bízzuk a fejlettebb országokra és térjünk vissza erre mi egy jó 30 év múlva (mindig is enynivel voltunk elmaradva)!
Azért van ez, tudod, mert az ország világszinten az ötödik a high-tech export százalékos arányában. Vélhetően minden high-tech tudást exportálunk külföldre és nekünk saját használatra már csak ilyen low-tech szarok maradnak, az is drágán.
https://iotguru.cloud
High-tech gyártás arányában, hogy pontosak legyünk!
Modern gépek dolgoznak az itthon működő német tulajdonú autógyárakban.
Az opt-out kerdeskore engem jobban erdekel.
Ezek utan nem szeretnem, ha kotelezo lenne a hasznalata, hanem mint elotte, az iskola hasznalhat sajat megoldast. Hozzateszem jobb is volt a sajatjuk.
Mire oda eljutnának, addigra az unokád fog suliba járni.
Az IT-biztonság emblematikus arca által megsütött hekkerek lesznek felkockázva, és egy kis lilahagymával katonák formájában széosztva a károsultak között.
.
Számomra az a rejtély, hogy az ilyen rendszereknél miért idegenkednek annyira az adatok titkosításától. Szerencsésebb esetekben a jelszó legalább nem plaintext formában van eltárolva, de ezt leszámítva minden más adatot betöltenek simán a DB-be, ha kell keresni benne, ha nem.
Ha csak az orvosi / egészségügyi / GDPR által különleges adatnak minősített adatokat titkosítanák valami asszimetrikus kulccsal, és ehhez a kulcsot nem adnák ki minden futóbolondnak (akinek kiadják, annak is csak hardverkulcson), akkor az ilyen adatszivárgások érzékenyebb részei máris elkerülhetőek lennének.
Én (ehhez képest) egészen kicsi webshopoknál megcsináltam már, hogy amikor valaki lead egy rendelést, és erről e-mail megy a bolt e-mail címére, akkor a webshop pgp-vel titkosítja a levelet (csak a bolt publikus kulcsa van fent a szerveren), és a bolt számítógépén (ahol a rendelést feldolgozzák) benne van a levelezőkliensben a kulcs privát része, amivel dekódolja a levelet. Működésre 0.2 másodperccel lassabban nyilik meg a levél, cserébe aki feltöri az e-mail postafiókot, nem kapja meg több ezer ember nevét / email címét / telefonszámát / otthoni címét és a futárnak írt megjegyzést, amiből kiderül, hogy mikor van otthon, és mikor nincsen. Persze ez sem megkerülhetetlen, elég a boltban lévő PC-t feltörni, de legalább egy random botnak kevesebb esélye van rá, hogy ellopja a vásárlók adatait.
Ilyen jellegű erőfeszítéseket viszont itt nem látok, aki bejut egy sql injectionnel, vagy ellopja egy random üzemeltető jelszavát, az vihet mindent.
Nagy Péter
Elég bátran interpolálsz egy webshop és egy Kréta bonyolultságú rendszer között.
:D
Hát, végülis mindkettő adatot tárol.
De komolyra fordítva a szót, nem gondolom, hogy ugyanaz a kaliber lenne a kettő, viszont a benne tárolt személyes adatok értéke sem összemérhető. A webshopban néhányszáz vásárló adatai vannak, akik önként adták meg, és bármikor szabadon törölhetik a profiljukat. Ezzel szemben a Kréta rendszerben az összes általános és középiskolás diák adatai, mellette szülők adatai, és tanárok adatai is szerepelnek. És nem csak a név / cím /telefonszám, hanem egészségügyi adatok is. Ez már inkább milliós nagyságrendű személyes adat, és a bekerülés sem önkéntes alapon történik. Az üzemeltetési és fejlesztési erőforrások és költségvetés sem összevethető.
Nyilván nem arra akartam utalni, hogy a krétánál is 2 óra plusz munkát kívánna a titkosítás, hanem azt, hogy gyakorlati tapasztalatból tudom, hogy megoldható, ha van rá akarat. És egy ilyen kaliberű rendszernél talán fontosabb is lenne, hogy legyen rá akarat, mint random Pistike webshopjánál.
Nagy Péter
"A webshopban néhányszáz vásárló adatai vannak, akik önként adták meg, és bármikor szabadon törölhetik a profiljukat." _- És a profil törlésével az elküldött levelek is törlésre kerülnek? mert ugyebár a profil törlésével az adott személy megvonja a korábban a személyes adatainak a tárolásához adott hozzájárulását, és ugyebár a webshop->postafiók útvonalon nem a jogszabályi köztelezettség miatt tárolandó dokumentumok6adatok mászkálnak...
Lehet meglepő lesz a válasz, mert ez nekem is annó fejlesztés végén esett le, de minden héten egy Thunderbird filter törli a 30 napnál régebbi, a webshopból kapott leveleket (IMAP-on). Ezt eredetileg a tárhely miatt találtam ki, de később az adatkezelésinél is előjött, és ott már úgy került be, hogy "a megrendelés adatait legfeljebb 45 napig kezeljük, ha törli a profilját". Ezt a regisztrációkor elfogadják, azzal a plusz lehetőséggel, hogy ha ennél hamarabb töröltetnék az adatukat, azt külön levélben kell jelezniük, így az ügyvéd szerint rendben vagyunk. (hozzáteszem, hogy még senki nem törölte a profilját az elmúlt 3 évben, viszonylag fix ügyfélkör rendelget, többségben cégek, szóval nem tudom mi lenne, ha ezzel valaki bíróságra menne)
Hogy tisztázzuk, a webshopnak van admin felülete, és nem csak e-mailben tárolja a megrendeléseket, ez utóbbihoz az megrendelő ragaszkodott. Méghozzá egy "freemailes" e-mail címre.
Erre találtam ki azt, hogy akkor legyen így, de a benti gépen az a thunderbird, ami "dekódolja" az üzeneteket, hetente rendszeresen törli is a 30 napnál régebbi rendeléseket tartalmazó leveleit. A PGP miatt azon is kevésbé aggódom, hogy átmenetileg a freemail szervereinek biztonságára van utalva a felhasználó. A mobiltelefonján pedig egy emlékeim szerint "FairMail" nevű kliens van beállítva IMAP-on, így az üzenetek onnan is törlődnek, amikor a Thunderbird törli. Az egész levelezés elvileg azért van, mert van ott egy beosztott, aki ezt tudja legfeljebb használni, mert "ez olyan, mint a faxon kapott" rendelés.
Ha rajtam múlt volna a fejlesztés, én nyilván kihagytam volna belőle az egész freemailes történetet, de nem én voltam a megrendelő (hanem egy távolabbi rokonom), így inkább igazodtam az igényekhez.
Nagy Péter
Pedig a fentiek alapján a Kréta egy webshop.
Apró különbség, hogy a webshop-ban, ahol e-mailben érkezik a rendelés a tényleges kereskedőhöz, ott a szerveren van az információ egyik fele (titkosított adat és a publikus kulcs), a kliensen pedig a másik fele (privát kulcs). Nomostan ha az alkalmazásnak képesnek kell lennie select/insert/update kiadására a DB-ben, akkor ehhez a DB-oldali titkosításnak számára transzparensen kell működnie - vagy neki úgy kell be/ki titkosítania az adatokat, hogy ott van az app-ban a megfelelő információ - mindkét esetben az alkalmazás felől/azon keresztül az adott, alkalmazásba bejelentkezett user jogosultsági szintjéhez tartozó adatokat el lehet érni. Titkosítatlan formában.
Ja, és mégegy megjegyzés: ha nálad kompromittálódik a kereskedő gog kulcsa, mit csináltok a meglévő levelekkel? Mert onnantól hogy a kulcs harmadik félhez elkerülhetett, az azzal kicsomagolható adatok védettsége megszűnik... Azaz yool át kellene csomagolni mindent _is_. Persze egy akkora webshopban, amekkorát e-mailben küldözgetés kiszolgál a maximális tárolási időre visszamenőlegesen elrakott levelek mennyisége azért nem lehet olyan hűderettenetesen sok - hiszen ezen leveleket nem köll az idők végezetéig/évekig/hónapokig tárolni...
Több dolog is eszembe jut, de talán az első az, hogy mitől véd a titkosítás, ha egy olyan fiókkal töltik le az adatokat, akit explicit feljogosítottak rá (= a te példád szerint nála lenne a privát kulcs).
Már egy at-rest titkosítást sem triviális _jól_ megcsinálni egy komplexebb rendszernél, nemhogy e2e.
Szerintem alapvetően két dologtól tudna megvédeni:
Az utóbbival azonos elven működő hardverkulcsom nekem is van, (YubiKey), és használok olyan rendszert, ami bizonyos adatokat a kulccsal titkosítva tárol, és a csak a kliens oldalon dekódolja, amit éppen látok. Ha nincs bedugva a kulcs, akkor ezek az adatok nem olvashatóak, és a Yubikeyből (elméletben) nem lehet sehogyan sem kinyerni a privát kulcsot. Bedugom a kulcsot, feloldom a jelszóval és onnantól a kulcs kihúzásáig elérem az adatokat, amik elméletben magán a kulcson kerülnek dekódolásra. Egy ilyen megoldás legalább annyit védene, hogy csak akkor tudnák olvasni a kényesebb adatokat, ha közben a gépbe be van dugva, és fel is van oldva a kulcs. Ezzel nyilván nem a szülők e-mail címét kell védeni, hanem azokat az adatokat, amiket normál esetben az iskolában is legfeljebb az igazgató / iskolaorvos kérdezhet csak le, vagy még ők sem.
Az emberi hülyeség ellen persze ez sem véd (mondjuk ha 0-24 bedugva, feloldva hagyja valaki a kulcsát a gépben), de legalább eléggé megnehezíti a támadó dolgát.
Ha pedig a fenti két módszert kombinálnák (szülők e-mail címe a szerveren tárolt kulccsal titkosítva, gyerek egészségügyi adatai meg a hardverkulcson lévé kulccsal titkosítva), akkor a DB dump önmagában értéktelen lenne, míg a védett adatokhoz pedig még ezen felül is ki kellene várniuk, amíg hozzáférnek egy hardverkulcshoz is, miközben a sokak által elérhető adatok ugyanúgy elérhetőek a felhasználóknak, és csak egy szűkebb rétegnek kell plusz hardverkulcsot beszerezni. Ha azt veszem alapul, hogy egy magánvállalatnak gyakran 100 milliós összegű GDPR bírásg jár egy hasonló adatszivárgásért, akkor néhány ezer hardverkulcs ára mondhatni eltörpül ezek mellett.
Nagy Péter
Haversenyszférában ilyenért nincs bünti, ha van akkor majd visszaosztják. :)
Az EESZT interfész implementációjából ez tisztán látszik, hogy a 10k-s kártyaolvasó a kártyával is drága volt.
Ezek a zseniális ötletek azokra az adatokra működnek, amit kb. egy embernek kell elérnie. Ott tökéletes.
A topikban szereplő rendszer jellemzően olyan adatok tárolására van kitalálva, amiben az adatokat több (sok) embernek is el kell tudnia érni, ráadásul nem személyhez kötött a hozzáférés, hanem leginkább szerepkörhöz. Erre a felállásra nagyon nehéz ráhúzni ezt a perszonálisan tulajdonolt adat koncepciót.
Amit én ismerek rendszert, azt kb. 170 dolgozója a cégnek, és jó néhány külső partner is használja.
Nagyságrendileg ugyan nem egy kréta, de azért az egy emberes rendszernél jóval nagyobb.
A teljes működését nem ismerem, és ha ismerném is kötne a titoktartás; de az biztos, hogy bizonyos mezőket csak hardverkulcsal elehet elérni benne, és ezeket a mezőket több tucat ember eléri.
Persze egy ilyen rendszert nehéz lefejleszteni, valószínűleg költséges is; de a kréta mostani megoldása meg érezhetően nem tartalmaz elég védelmet az adatlopás / adatszivárgás ellen.
Utólag meg pláne nehéz valamire titkosítást rakni, amihez a kezdetekben nem tervezték, és nincs kétségem affelől, hogy a mostaniba már soha nem is fog ilyen megoldás kerülni.
Inkább csak az zavar, hogy ha most kezdenének a nulláról egy új rendszert fejleszteni, ott sem merülne fel, hogy talán lehetne titkosítani. Mint ahogyan az sem, hogy nem kellene ultimate admin jogokat kiosztani, vagy ha mégis szükség van ilyen jogkörre, azt csak dedikált gépen lehessen elérni. (ahol nem leveleznek, nincs internet, stb...)
Nagy Péter
200 db yubikey, hogy legyen tartalék is a 170 user mellé, nettó 90k euró.
Magyarországon van 1.2 milka iskoláskorú gyerek, 30 gyerekenként egy tanárral, 300 gyerekenként egy staffal, és 1 gyerekenként 1 szülővel számolva az 1244000 db kulcs, darabja nettó 45 euró (bár erre gondolom elég komoly kedvezményeket lehet kapni, szóval számoljunk 30 euróval csak), az 15.4 milliárd forint.
Szerintem ez a hardverkulcsos dolgot engedjük el. :)
Ezen sem érdemes rugózni, általában az ilyen adatlopások nem "ultimate admin" accountokkal történnek.
Bónuszként mobilon is használható eszközre van szüksége, mert a mobil app sem csinál mást, mint a webes API-t hívogatja...
A yubiból van nfc. (Mondjuk azon szerintem nem megy a smartcard funkcionalitás)
Nem érthető a mondatod, de ha azt akartad mondani hogy az NFC az fido/u2f -re elérésre tudja használni akkor ez így van.
Vmi ilyesmit.
Miért is kellene gyerekenként és szülőnként hardverkulcs? Ök felhasználók, nem rendszeradminisztrátorok.
Ha jól értelmezem, akkor a fenti példában a 170 fő sem mind sysadmin.
Jól érted, nem mindenki admin, és csak bizonyos adatok vannak így védve, amikhez talán 30 ember férhet hozzá.
Akinek nincs szüksége ezekre az adatokra, azoknak yubikey sem kell.
Ugyanakkor van olyan személy, akinek nincs hardverkulcsa, de tud olyan adatot rögzíteni, amit később csak a kulccsal lehet olvasni. (Az insert után maga sem látja az adatot)
Nagy Péter
Az end-to-end titkosításhoz, illetve a biztonságos(abb) azonosításhoz. Ahogy ez utóbbi az ügyfélkapunál is megvan. (E-személyi és/vagy üfkapu+)
Ebben az esetben nagyjából mégis.
nem értem, hogy miért nem használtak adatbázis rekord szintű titkosítást...
MSSQL AG - kellőképpen robosztus, skálázható és minden szükséges dolgot támogat, ami kell egy ilyen szintű projekthez.
For Whites Only meeting room!
yay
bővebben ?
nem vagyok expert a témában, de üzemeltettünk (>5év) már ilyen rendszereket MSSQL és EDB (postgreSQL) - ahol volt némi terhelés napi 1-2millió új rekord sok giga DB közel 100 tábla. Adatbázis titkosítva stb..
Oracle -t most nem venném ide - sztem egyre kevesebben hajlandók kifizetni az árát..
For Whites Only meeting room!
Soha ne ajánlj megvalósítást adatbázisra, ha nem ismered a feladatot és mögötte az infrastruktúrát (erre ment a yay)
itt az eKreta -ról volt szó - és _sok_ hiba mellett az is kiderült, hogy nem volt titkosítva az adatbázis. Erre hoztam fel MSSQL -t, hogy az alapból támogatja.
Nagyfokú felelőtlenség volt az egész projekt - vagy dilettánsok voltak..
írtad, hogy ismeret nélkül ne ajánljak -
- eléggé standard feladat eKreta - nagyon valószínű valamilyen SQL lesz a DB backend
De nem kértek fel, hogy legyek az architect :-) eKreta 2.0 -ra
For Whites Only meeting room!
Nem a DB-t tartalmazó diszket klónozták le, nem a DB-dumpot vitték el, hanem a "select..." kiementeként megkapható adatokat - ez ellen a rekord szintű titkosítás nem véd, hsizen ha az adott kérdés (select ... from...) jogosultság alapján teljesíthető, akkor annak a kimenetében ott van a nem titkosított adat - mert a row level titkosítás ilyen szempontból transzparens. Az más, hogy bizonyos oszlopokat nem láthat bizonyos hozzáférési jogosultság esetén - de ez nem titkosítást, hanem megfelelő jogosultságokkal elérhető nézeteket, illetve korrekt, átgondolt, séma szintű szeparációt igényel.
Kedvenc tankönyvi példám erre a Bonus tábla, hogy csak az összeg hozzáférését korlátozták.
Végső soron valakik valahol úgy ítélték meg a (biztonsági) tervezés során, hogy nem nagyon valószínű és nem lesz nagy gond (erkölcsi, anyagi kár), ha feltörik a rendszert és viszinek mindent (adatbázist, forráskódot).
És szerintem igazuk van, mert ez a szakmán meg néhány izén kívül kit is érdekel komolyan? Kimaradás alig volt, szóval akinek kellett használhatta és egy gyerek se bukik meg miatta a suliban. :)
Majd biztos javítanak rajta, de kit érdekel!
:D
Az a meglátásom, hogy igazad van!
Senkit sem érdekel.
Igazából még a szakmában is inkább többségben van az, aki azt mondja, hogy a titkosítás túl nagy munka lenne, nem éri meg vesződni vele.
Én arra számítottam, hogy a szülők majd kicsit jobban kiakadnak, de onnan sem hallok nagyobb zúgolódást. (meg lehet mostanában inkább az érdekli őket, hogy van-e egyáltalán tanár aznapp az iskolában)
Nagy Péter
Igazából üdvözítő dolog lenne, ha végre valakit érdekelne a gyerek iskolai teljesítménye.
„Megírtam, hogy vegyék ki!” - töröltetni akarja egy szülő a gyerekei személyes adatait a Krétából"
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Ebből a cikkből az utolsó paragrafus a hasznos. A többi nagyrészt "nem tudom hogy mi van pontosan, de biztos nem jó" téma variációi, megfűszerezve egy kis "riogatással" (gyerek- és szervkereskedelem).
Iskolás gyerekek apjaként megértem, informatikusként nem igazán.
Ha tippelni kellene, akkor ebből az adatbázisból a narancsos és nem narancsos Valakik gyerekei adatai lehetnek értékesek első körben.
Ezt miből tudjuk?
Továbbra sem publikáltak vizsgálatot az esettel kapcsolatban, az érintettek körét és a kiszivárogtatott adatokat sem ismerjük pontosan.
A diszket leklónozva a DB konzisztens állapotát megtartva picivel nagyobb meló (és több hely kell hozzá lokálisan), mint dumpot kihúzni a DB-ből "valahova".
Nem gondolom, hogy a diszket klónozták le, de a dump-ot simán elvihették, hiszen úgy tűnik, hogy mindenhez hozzáfértek.
Rengeteg a hozzászólás, nem olvastam végig, szóval lehet hogy volt már:
https://thedailywtf.com/articles/hungry-for-an-education
Debian - The "What?!" starts not!
http://nyizsa.blogspot.com
Ez is valami, nem olyan gyakran figyel fel a világ a magyar IT-teljesítményekre.
Elméletileg egy 13 és 15 éves törte fel a Krétát:
https://444.hu/2022/12/16/pinter-egy-13-es-egy-15-eves-gyerek-torte-fel…
Érdekes... Van hacker képzése ennek a korosztálynak? Mert ha nincs, akkor túl sok köze nincs az oktatásügynek hozzá. Ekkor viszont mire gondolhatott a főméltóságú főpandúr? Aki egyébként - saját bevallása szerint - nem is ért az oktatásügyhöz.
Az iskolának nem csak az a feladata, hogy bemagoltasson tantárgyakat.
A diák tanuljon meg tanulni !
Sok múlik a pedagóguson, hogy mennyire kelti fel a diák érdeklődését különböző témakörökben. A nevelésnek ( részben az iskolának, részben a szülőknek / családnak ) arra is kell terjednie, hogy a nyers tudáson kívül etikai / morális ismereteket is adjon .
Ennél a két gyereknél mintha a morális rész kimaradt volna...
Saját csemetémnél látom, mennyire nehéz belőni a határt (15 éves kocka, zseniális probléma megoldó, de közben egy troll). Ha tiltom, kialszik a tűz, pedig szülőként pont a lehetőségek biztosítása, az erősségeinek erősítése és a gyengeségei leküzdésének/kezelésének/elfogadásának tanítása lenne a dolgom. Ha nem tiltom, akkor meg nagyon nyílt kapcsolatot kell építeni és rengeteg időt rászánni, mert egyáltalán nem triviális felfogni, hogy amit csinál, az még belefért e egy gyerek csíny kategóriába, vagy már nem.
Egy példa: a szokásos módon internetes sok szereplős játékban jó nehéz előre jutni, játékon belüli vásárlás könnyít a dolgon, vagy jó sok unalmas időt kell beletenni (a szokásos fájdalmas rész hogy vedd észre inkább fizetned kéne). Az unalmas feladatot leautomatizálta egy szintén általa talált bug-ra építve. Ez most akkor ingyen használata egy pénzes szolgáltatásnak = lopás/hekkerkedés? Az alap játékért fizetett, de mindig arra tanítottam, hogy a pay to win módszert kerülje, így játékon belül nem fizet, de nem is akart kiszeretni a kedvenc játékából az unalmas karakter fejlesztési rész miatt. Őszintén ennek az értékelésében eléggé elbizonytalanodtam
Dupla
bennem az a kérdés merült fel hogy akkor hány évesek írhatták a krétát? óvodások? vagy ez pont egy rossz példa a képzésekre?
Esetleg olcsó gyorstalpalósok.
https://hup.hu/cikkek/20221213/a_cegek_kevesebb_juniort_vesznek_fel_a_k…
Ők minden bizonnyal senior, architect és management nélkül dolgoznak.
Biztos, hogy viccelődött? Simán el tudom képzelni, hogy komolyan gondolta. Nem tudtam, hogy van hacker-képzés is már az iskolákban. Annyit tudok, hogy harmadikban, heti egy óra informatika van, a windows háttérkép átállítását tanulják, a számítógép részeiból írnak dolgozatot. A többségnek még ez is magas.
Link: https://index.hu/belfold/2022/12/17/rendorseg-magyar-kozoktatas-online-…
Na, ilyen az, amikor gyerekkorban hiányzott két kibaszott nagy pofon a fiatalembereknek apukától ...
trey @ gépház
Most mondjuk el közösen egy Imát a haversenyszféra "megoldásszállítóiért". :)
Fiatalság bolondság, lehet nem kellene az egész IT papersecet a BTK elrettentő erejére bízni. :P
A fejlesztők nem készültek fel gyerekkorukban nem hülyére vert támadókkal szemben.
$ grep -c egy$ word.list
100
"Na, ilyen az, amikor gyerekkorban hiányzott két kibaszott nagy pofon a fiatalembereknek apukától ..."
- mert orbannak hasznalt? :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Feltörte a Krétát Orbán? Nem. :)
Nem, o csak az egesz orszagot torte fel. :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Vegulis, jogos valahol.
Ez is social hacking valahol. Szepen megkeresik a tarsadalomban a gyenge lancszemeket aztan kimossak az agyat
http://www.youtube.com/watch?v=xnJwT_30p6k
az ekreta zrt osszes resztvevojenek hianyzik egy ordas nagy pofon, nem ezt akartad irni?
Bombafenyegetés, zsarolás. Ezt akarod mosdatni? BTK kategória mind.
trey @ gépház
BTK 290-291. § a cég takarítónője is ülni fog. (ha egyáltalán el kell vinni valakinek a balhét) ;)
Hogyan szokott ez nálatok lenni? 🤔
Ja, Megvan! így! ^ Nem?
trey @ gépház
Rólunk nem tudok beszélni, mert ilyen nem fordult még elő. Amúgy leginkább el szokták tusolni az ilyet a picsába (lást még eKréta, az IBTV rendelkezéseinek értelmében :P). De kétlem , hogy azok közül amivel én idén találkoztam (3 kórház, az álomkincstár és a 2 polgárjenő hivatal) bármelyik is eljutott volna az NKI-hoz incidens bejelentés formájában.
Most nem sikerült, seggfájás van, példát kell statuálni. :)
#magyarorszagenigyszeretlek
Maradt a mellébeszélés.
trey @ gépház
Trey, szerinted a seggfájás után lett gyanús az emailes zsarolási kísérlet vagy már azelőtt is az volt? :)
trey már annyira mélyen van a ner seggében hogy hátra se tud nézni ahol látná a fényt. Csak előre megy.
Gábriel Ákos
Jó káder még lehet belőle, nem?
epp te mosdatsz.
szoval ha zsebtolvaj viszi el a lovet a bankbol mert tarva nyitva hagytak ejszakara az osszes ajtot akkor a bank dolgozoi mar nem is hibaztak.
Nem, én egy közveszéllyel és zsarolással gyanúsítottról beszéltem.
trey @ gépház
ja hat annak nyiss uj topicot
Egyetértek.
Most azt akarod fejtegetni, hogy azért törték fel a Krétát mert 13 és 15 éves korukra gengszter terroristák, vagy belátod, hogy egyéb bűncselekményeknek ehhez az esethez semmi közük nincs (ha igazak ezek a vádak, ha nem)? Persze, így jobban hangzik és jobban lehet utálni őket a médiában, ugye.
(hint, te terelsz együttműködve Pintérrel mivel nem az eredeti sztoriról van szó)
A Kréta feltöréséről már mindent elmondtam. Amint látod, ez egy új szál a trógerekről.
trey @ gépház
Sőt, még Pintér is kevésbé volt házmester, legalább annyit odafűzött hogy "azért vannak itt tehetségek".
Hogy is szoktad kérdezni? Megvan: van már bírósági ítélet? Mert addig ez semmi... csak a szokásos trey féle kettős mérce.
https://iotguru.cloud
Nem, ez a szokásos trey-féle popcorn-ozás, ahogy kiderül a Robin Hood-okról, hogy szimpla köztörvényes bűnözők, abból is a legócskább, leggyávább fajta, a zsaroló. 🤣
trey @ gépház
Miért, van már bírósági ítélet? Ha nincs, akkor ez a szokásos trey-féle kettős mérce. :D
https://iotguru.cloud
Ó, dehogy! Ez nem egy folyamatban levő, ismeretlen tettes ellen folytatott, általában sehova sem vezető nyomozás, amivel kevered. Itt már bizonyítékokat foglaltak le, amik a konkrét gyanúsítottra mutatnak. 🤷♂️
trey @ gépház
jolvan trey, en inkabb foglalkozom az igazi koztorvenyes bunozokkel mint ket tini scriptkiddievel
Igen, az ilyen "szegény" "kis" tini szkriptkiddiek addig szimpatikusak, amíg nem neked okoznak kárt. Onnantól mocskos kis szemetek.
A zsarolók és bombaveszéllyel fenyegetők sosem "kis" szkriptkiddie-k. Azok már kifejlett bűnözők.
trey @ gépház
mar megint felvetted a kistersegi bohocsipkat :D
Már megint elfogyott az év, focis úr?
trey @ gépház
bar tudnam mirol beszelsz!
Próbáld meg ezt értelmezni:
https://hup.hu/comment/2865381#comment-2865381
Bár, ha emlékeim nem csalnak a múltról, valahol értem a szimpátiádat a script kiddie-kkel. :D
trey @ gépház
valahol el kell kezdeni...
jaj leesett. kar hogy a respect pontok nem oda, hanem ide jarnak: https://www.imdb.com/name/nm0001682/
ideznem a kedvenc kozmondasom: a tudatlansagnak egyetlen takaroja van: a nyelv. minek azt mozgatni?
Látod, le tudod te írni... a többi meg a szokásos trey-féle kettős mérce, ami a Holdról is látszik. :D
https://iotguru.cloud
Maszatolsz. Majd, ha meg életkorukra tekintettel nem ítélik el őket, akkor meg majd tapsikolsz, hogy szerinted igazad volt :D
Nem, nem volt.
trey @ gépház
Te maszatolsz a kettős mércéddel... :D
Vagy minden ügyben várjuk meg a bírósági ítéletet vagy minden ügyben lehessen bűnözőnek mondani bárkit, akit még csak gyanúsítanak. Vagy-vagy. Minden más kettős mérce, amit előszeretettel alkalmazol.
https://iotguru.cloud
Ha egy 13 évesnél pedig egyáltalán nem lesz elmarasztaló ítélet, mert gyerekkorú, akkor az nem is bűnös, ugye? 🤔
Nem Frankó, nem maszatolok, csak az általános kijelentést pontosítom olyan esetekre, amik nem túl gyakoriak.
trey @ gépház
Ez a te szalmabábod.
De, trey, kurvára maszatolsz, mert te is tudod, hogy kettős mércéd van.
Vagy minden ügyben várjuk meg a bírósági ítéletet vagy minden ügyben lehessen bűnözőnek mondani bárkit, akit még csak gyanúsítanak. Vagy-vagy. Melyiket választod, hogy a későbbiekben konzekvensen ahhoz tartsuk magunkat?
https://iotguru.cloud
trey @ gépház
^---- maszatolás és terelés.
https://iotguru.cloud
Nem hiszem hogy a pofon segített volna de valami valahol félre mehetett a nevelésnél az tuti. De ez nem menti fel azokat akik ezért a rendszerért kifizették a sok milliárdot, illetve amikor kiderült a behatolás megpróbálták eltusolni.
Minek kapcsolod össze a kettőt? Az egyik egy köztörvényes bűncselekmény, a legkeményebb fajtából, a másik meg gondatlanság, butaság, szakmaiatlanság, nemtörődömség, hazugság. Ha utóbbiakért elítélnék az embereket, az társadalom 95% börtönben ülne.
De nem ül, mert a törvény szigora máshogy ítéli meg a zsarolót és terrorfenyegetőt, mint a lusta, buta, képzetlen hazudozót.
trey @ gépház
jogos nem összeköthető a kettő.
De arról nem vagyok meggyőzve, hogy a butaság vagy szándékos közpénz lopás eredménye a kréta. Minden esetre fejeknek kellene hullani magas pozíciókban is hisz szemmel láthatóan rosz gazdájuk a rájuk bízott közpénznek.
Az egyik állításodra az elkövetőkre mutató meggyőző bizonyítékok állnak rendelkezésre a hatóságok szerint, a másik állításod meg afféle "nép szája" izé. Feljelentést tettél már legalább ismeretlen tettes ellen, mert gyanítod, hogy közpénzt lopott ebben az esetben? Ugye érted azt is, hogy mi a különbség a (bizonyítékokkal) megalapozott gyanú egy bizonyos személlye(kke)l szemben vs. szóbeszéd ismeretlen tettes ellen közt?
trey @ gépház
Trey ha tényleg elkapták az elkövetőket ki posztolja még mindig a "nem kerültek ki adatok" MS Sql Server Management Studios képeket a telegramra? :)
Állították, hogy az összes elkövetőt elkapták?
BTW: ha én lennék egy elkövetői banda tagja lennék, én is azzal vitetném el a balhét, aki a legkisebb büntetésre (13 éves -> semmi, 15 éves -> nem túl sok) számíthat ;)
trey @ gépház
A telegramon meg letagadnád, hogy bármi közük volt a bandához. Ebben nem sok logika van, már ha velük akarod elvitetni a balhét.
Nem sok logikája van, aki egotrip céllal Telegramon henceg az ilyen tetteivel 🤷♂️
trey @ gépház
Csak megmutatták, hogy hozzáfértek a kréta egyik adatbázisszerveréhez. Mert a NNI szerint nem kerültek ki adatok.
Más, nem vagyok nagy MS SQL Server guru, de ezeket nem illik néha (vagy legalább évente egyszer) frissíteni?
SQL Server 2016 CU12 13.0.5698.0
Release date: February 25, 2020
Ennek egy 22-es betöréskor tényleg ezt kellene mutatni?
Az egotrip nem most kezdődött a Telegram-on, hanem az eset kipattanásakor.
Mivel én ismerem a programozó urak munkáit, az kell mondjam, a mai napig látok MS SQL 2005 telepítéseket élesben. A Microsoft már nem támogatja, de nem lehet migrálni újabb release-re, mert nem működik. Én mindent el tudok képzelni ezek ismeretében.
trey @ gépház
Besurranás vs. betörés
Valakinek el kell vinni a balhét! (A takarítót nem találták :))
A 13 eves kenyelmes ebbol a szempontbol, van is bunos, de megsem lesz meghurcolva (targyalasok, stb)
Domain, tárhely és webes megoldások: aWh
Hogy lehet a "breach(eket)" terjeszteni? Mi a ..szt jelent az? :D
Én úgy értelmezem, hogy a kiszivárgott adatokat publikálta.
https://iotguru.cloud
Az egyik tengeralattjárós játékban egy rémült hang kiabálta: "Captain ! The hull has breached, we're all gonna die ! " Kapitány ! Megrepedt a hajótest, mindannyian meghalunk !
Számomra olybá tűnik, hogy ők (a "külsősök") törtek be (vsz saját gépükről) a Kréta szerverére, de az összeköttetés már a "belsősök" hálózata felé jött létre.
Tehát a külsősök viszik el a balhét, ők voltak az effektív végrehajtók; Az izgalmas informatikai nyomozás, hogy a Kréta szerveréről milyen IP-címre kapcsolódtak, mert lehet, hogy több ugrásos / tunneles volt a kifelé irányuló adatfolyam.
"A KRÉTA fejlesztőjét feltörő hekkerek nem értik a rendőröket"
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
lol, hat ez egyre kellemetlenebb 😂
többet törték a KRÉTA -t.. :-D
- egyik nap: 13 és 15 éves tanulók
- másik nap: az a csoport akik írtak.
és szerintem még török - kínai - ukrán - koreai hackerek is járta karra - csak törölték a nyomokat
PS:
Ez mind a fantáziám szüleménye..
For Whites Only meeting room!
Ne felejtsük az oroszokat és az izraelieket - ezeknek biztosan van itthon gyakorlati tapasztalata. :D
Hát, volt már olyan a magyar kriminalisztika történetében, hogy gyorsan meg kellett találni az elkövetőket, és gyorsan találtak is. A parancs az parancs.
Minek tettek volna ilyet? A kutya nem emlékezett már erre az esetre. Az előásása semmi másra nem jó, mint a Streisand effect beindítására. Ha eszük lett volna, nem vették volna elő újra.
trey @ gépház
Én nem állítom hogy van eszük :) Viszont találtak két gyerkőcöt, akiknek bőven van a rovásán, és Pintér úr már tudja az eredmény, hogy ők voltak.
Persze a részemről az egész csak megérzés, de ha fogadni kellene, én arra fogadnék, hogy ez így, ebben a formában nem igaz.
"110 milliós bírságot kapott a KRÉTA meghekkelt fejlesztője, súlyos hiányosságokra derült fény"
https://telex.hu/techtud/2024/02/21/kreta-hekkertamadas-feltores-szemel…
"...A hatóság szerint a cégnek „az általa fejlesztett rendszer ismertsége és a benne tárolt személyes adatok mennyisége miatt is számítania kellett külső támadásokra”, de az, hogy csak az incidens után vezette be az elvárható biztonsági intézkedéseket, arra utal, hogy -„könnyelműen bízott a támadások elmaradásában, és […] a jogosulatlan hozzáférések kiküszöbölésére és kimutatására alkalmatlan, a kockázatokkal aránytalan adatbiztonsági intézkedéseket alkalmazott”..."
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Hogy ezen miért nem lepődtem meg, pedig az átláthatóság fontosh.
átláthatóság fo
ntoshhttps://iotguru.cloud
Még csak 51 nappal vagyunk 2023 után, hova ez a rohanás???
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
Maga a közzététel lett per tárgya(!), így amíg az le nem zárul, nem tehető közzé. (El kell olvasni a cikket...) Mondjuk azt nem értem, hogy egy ilyen határozat publikálása miért és hogyan lehet egyáltalán per tárgya?
"A Kréta meghekkelt fejlesztője."
Nyami.
(Amúgy nem arról volt szó, hogy krétáék csókosok, és még egy rohadt gdpr-sértés esetén se fognak egy petákot se fizetni? Mert amúgy üdvözlendő a lépés.)
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
A "csokossagnak" is vannak szintjei.
Jah Tiborczot is elovettek, pedig o azert elegge csokos. Az, hogy ki fizette a birsagot az mellekes.
Ne tévedjünk ez úgy szokik működni hogy megnyernek még x közbeszerzést aminek az árazása véletlenül legalább olyan jól sikerül h erre a büntire is fussa.
Gábriel Ákos
Azért Fauszt Zoltán elég nagy Fidesz csókos. Majd egy következő projekten visszakapja a pénzt. Kamatostul. Sajnos.
Havi 1+ milliárdba került ennek az üzemeltetése már két éve is. Ahhoz képest aprópénz a bírság.
Miközben igazi krétára nincs pénz az iskolákban.
Poszeidon követési díját megemelni aztán majd visszafizetik a tisztelt hivatalok. :P
Éljen a "verseny" szféra.
A Poszeidonnál kevés nagyobb IT ipari hulladék létezik szerény véleményem és személyes tapasztalatom alapján. Üzemeltetési rémálom. Senkinek nem kívánom.
Visszakapja? Ez már megvolt. 2022es cikk:
https://szeged.hu/cikk/feltortek-a-7-milliardbol-kifejlesztett-kreta-re…
Azóta ment még bele, ez tuti. Ehhez az összeghez képest a 110 millió a kerekítési hibán belüli összeg.
De ő is jól illeszkedik a kormány keresztény vonalába, úgy kúrogatta más feleségét hogy ihaj, mondjuk aztán az ő felesége lett. De biztos már akkor is jó vastag volt a pénztárcája.
"Az élet tele van kérdésekkel. Az idióták tele vannak válaszokkal."
"Its easier to fool a man than it is to convince they have been fooled"
Jó, de házi szakértőink megmondták a rendszer nem hibás, csak az emberek. De csodálkozok rajta, hogy az üzemeltetőt még véletlenül sem vegzálják, hogy kerülhettek éles adatok a fejlesztőhöz.
gondolom ők üzemeltetik _is_
For Whites Only meeting room!
Technikailag igen, ez köztudott, de az adatgazda mindenhol más. (gondolom tudod hogy működik az eKréta)
Vagy arra akarsz utalni, hogy a fejlesztőcég tudatosan lemásolta még egy példányba az adatokat illetéktelenül?
Szokott erre bólintani az adatgazda, nem nehéz meggyőzni ha nincs "erős" it és/vagy van erős hátszél. :)
(Anonimizálás után ez ok.)
No igen.
Rettentő módon elvesztem a sok thread-ben, ahol mindenki minden területnek szakértője a cikkhalmaz kapcsán. Annyit engedjetek meg (lehet voltmár, csak átsiklottam felette), hogy itt CISO, CEO, DPO, stb. kérdéskör jelen állás szerint _még_ teljesen lényegtelen. Az újságcikk teljesen félrevezető. A probléma nem az h. feltörték-e vagy emberi mulasztás történt vagy netán szándékosan szivárgott ki. A probléma az, hogy adatvédelmi incidens történt. Eddig tudjuk a tényeket. A többi találgatás, fantázia, stb. Mindezt teszik olyan emberek (bocsi), akik emlegetnek itt szabályzatot, meg CISO-t, meg auditot, holott ahol dolgoznak még messziről sem láttak ilyesmit. Személyes tapasztalat, a legkönnyebb a másik portájára dobálni a szart, a sajátunkat meg meg sem nézni. Engem pl. ez elgondolkodtatott, hogy oké h. pl. a DEV csak MFA tokennel fér hozzá az éles DB-hez egy rendszerben amit üzemeltetek, de egyébként ez tényleg szükséges és nem lehetne ezt másként csinálni? Hogy ez szabályozói tevékenység, vagy üzemeltetési, az most szinte másodlagos. Egy rendszer eleme a felhasználó is, a rendszergazda is, meg minden aminek köze/kapcsolata van hozzá. Teljesen felesleges azon rágódni, hogy ki a hülye, ettől még a tény amit ismerünk az az, hogy a rendszerből kijutott személyes adat. És ez baj. 1 ember felmentéséért százak/ezrek tüntetnek, bezzeg maga az adatvédelmi incidens ekkora embertömegre senkit sem érdekel. A tudatossággal van a baj, egészen társadalmi szinten.