Nem, neked az a bajod azzal, amit írok, hogy politikailag elfogult vagy
"Be szép dolog is ez". Legyen, a fogalmaid szerint az politikai elfogultság, hogy megjegyeztem, hogy a cég a jelenlegi hatalom kegyeltje (már az a belső levél is EPIC: "Ki beszélt az Ellenségnek"). Vagy arra, hogy előre ítélkezek az elmúlt pár év tapasztalatai alapján. Ha ezekre gondolsz, akkor az vagyok.
Tisztában vagy azzal, hogy igazam van, ugyanis én nem állítottam, hogy a cég nem hibás, mindössze azt, hogy ha egy soc. eng támadás történt (ezt harsogta a 444, ebből indultuk ki), akkor ne a rendszer feltöréséről beszéljünk,
Tisztában vagyok azzal, hogy jó szándékból baromságot írtál és azóta körömszakadtáig véded azt. Te a laikusok által laikusoknak írt cikkben megfogalmazott állításokat kritizálod, holott esetedben is előfordult már, hogy átvett vagy saját anyagban az ismertre vagy az időhiányra való tekintettel hasonló "hibát" követtél el.
A témában született és hivatkozott cikkek nem pontosak és nem szakmai teljesség igényével készültek, mivel azzal el is vesztenék az olvasótábor egy részét.
Amit te csinálsz (ahogy írtam) azért full gáz mert azt mondod a soc. eng által megvezetett személyen keresztül véghezvitt támadás nem a rendszer hibája hanem a _cég_ hibája. De ez mi???
- A rendszernek soha nem lett volna szabad úgy összeállni, hogy egyben lekérdezhető és elvihető legyen az adatbázis -> adatbázis kapcsolati réteg, azonosítás konfiguráció -> tervezési hibája a rendszernek
- A rendszernek külön kellene lenni választva fejlesztés/üzemeltetés szintjén -> nincs -> kockázat elemzéskor (kötelező elem, de szívesen megnézném!) illetve a belső/külső audit esetén rögtön pirosan világító probléma önmagában megakadályozhatta volna a kár egy részét
- A rendszernek meg kellene különböztetni a különösen bizalmas tartalmat és az ahhoz való hozzáférést -> nem volt ilyen -> még a cert kulcsát is beletették a kódba, ami egy külső elem.
Jó de kik is hibáztak (teljesség igénye nélkül, a jelenleg ismert adatokból) ?
1, hibázott a felső vezető
- arra szakmailag látszólag alkalmatlan szakmai vezetőt nevezett ki
- nem volt tisztában a jogi követelményekkel és erre látszólag nem tartott megfelelő jogi tanácsadót
2, hibázott a szakmai vezető
- olyan rendszer vezetését vállalta el ami koncepcionálisan rossz és látszólag tűzoltásra sem volt ideje.
- nem végeztette el az auditokat, vagy azok eredményét figyelmen kívül hagyta
- a kockázatelemzés szakmai része teljes mértékig kezeletlen vagy hiányzott
3, hibázott a rendszer architect-je
- az üzemeltetett rendszer és a fejlesztés nem lett szétválasztva
- az adatbázis védelme látszólag nem volt szempont a tervezésnél
4, hibázott a projektvezető
- olyan linkre kattintott amire nem lett volna szabad
Számomra a 4. az egyetlen elnézhető hiba, de szinte biztos vagyok benne, hogy ez az ember lesz keresztre feszítve. (mondjuk akkor nem kár ha a felette lévő x ember rolejából is megvalósítja valamelyiket)
A többiből látható, hogy hibás a rendszer, amit szarrá törtek az egyik támadási felületen keresztül és a hiányzó korlátok miatt hanyagul összerakott és üzemeltetett rendszer hibájából fakadóan minden adatot elloptak. Tökéletes rendszer nincs, ugyanezt megtehették volna XYZ másik technológiai (3rd party) komponensen keresztül *is* mivel azonban a rendszer maga szar, ezért _ekkora_ a kár.
Szóval de, a rendszer szar, azt törték szarrá, mégpedig úgy, hogy belső és korlátozatlan hozzáférést szereztek.