Fórumok
Több mint háromezer magyar páciens érzékeny személyes és egészségügyi adatait sikerült kibányászni egy számítógépről, amely korábban egy rendelőben működött, majd egy szeméttelepen végezte – derül ki a Kiberblog bejegyzéséből.
Forrás: Telex
Na szerintem ennél jobb reklámot nem is lehetne csinálni egy adatbiztonsággal, adatvédelemmel foglalkozó cégnek.
Hozzászólások
Ez a fajta tudas/okatatas kb teljesen hianyzik mindenkinel. Ha atlagembertol vesz az ember telefont/tabletet/notebookot, tobb, mint valoszinu, hogy minden rajta lesz, ami rajta volt, amikor az emberunk meg tenylegesen hasznalta ezt az eszkozt :(.
Mobiltelefon esetén az összes bejelentkezése is aktív.
Nem csak az elektronikus adathordozókkal bánnak így, hanem a sima hulladékukkal is. Számlák, levelek és rengeteg egyéb más papírhulladék kimegy, rajta olyan adattal, információval amit normál esetben nem osztanának meg mással. Van aki még össze se tépi.
Mivel az embereknek fogalmuk sincs, hogyan lehet(ne) ezzel az információval visszaélni, nem is tartják veszélyesnek. Ha mutatunk nekik példákat, elültetjük a bogarat a fülükbe, akkor már jobban odafognak az ilyenre figyelni.
Nem fognak oda semmit.
Figyelni fognak oda.
"Normális ember már nem kommentel sehol." (c) Poli
Jogos.
Nem tartalmilag reflektált.
Én úgy teszem: igazad van, tetszett a megállapításod, hogy fogalmuk sincs az embereknek nagy általánosságban arról, hogy mire lehet használni a személyes adataikat.
Nagyon tipikus mondat a "Miért pont az én adataim kellenének nekik?", meg hogy "Nincs semmi titkolni valóm."
T'om :) De elismerem azzal, hogy egybe írtam két szót megváltozott a jelentése. Apró szemantikai hiba, virtuális vállveregetés jár érte, hogy észrevette.
Azért viszont örüljünk, hogy nem egy olyan paranoid társadalomban élünk (még), ahol mindenki tart mindentől és mindenkitől. Bár egyre jobban sodródunk (részben) a felé, hogy az embernek oda kell rá figyelnie mikor, kinek és mit mond, mert a végén még egy nemtetszés kijelentése is visszaüt rá. És itt érintjük a "személyes adat" című részt, elemi érdeke lenne az embernek, hogy mit oszt meg magáról.
Vegyünk például engem. Sok személyes, magánjellegű infót megosztok néha, de azért vigyázva, ne derüljön ki belőle ki vagyok, mi vagyok, hol élek. Nem azért mert szégyellem és titkolni valóm van, de ezeket az írásokat bárki olvashatja. Ha leírom a véleményem valamiről sosem tudhatom mi üt belőle vissza rám egyszer, vagy a szeretteimre.
De elismerem, azzal, hogy egybe írtam két szót, megváltozott a jelentése.
:)
...és eggyel kevesebbszer olvastam vissza, amit írtam.
Dehogy fognak, nem hiszik el, hogy ilyennel foglalkozna bárki is.
...mondta Kevin Mitnick és bemászott a szemeteskonténerbe.
Ez igaz, de annak a szervezetnek, ami engedélyezi valaki számára, hogy valamilyen gépen ennyire érzékeny adatokat kezeljen, elő kellene írnia azt, hogy hogyan kell ezeket a gépeket kezelni, védeni, kidobni.
Nem szabad, hogy az asszisztens vagy az orvos, akik mondjuk az IT-hoz nem értenek, úgy kezeljék ezeket, mint a saját eszközeiket.
(Igazából az lenne a jó, szerintem, ha az orvosi rendelő a gépével fel tudna csatlakozni az SZTK védett hálózatához, el tudna érni mindent a kapcsolaton keresztül, aztán ha a kapcsolat megszűnik, akkor meg semmi érzékeny adat nem lenne a gépen fellelhető). Így nem kellene azon rettegni, hogy vajon tudják-e, hogy kell törölni / megsemmisíteni egy hdd-t, tudják-e mi az a hdd, emlékeznek-e egyáltalán arra, hogy évekkel ezelőtt aláírtak valami papírt, ami valami eljárást tartalmazott a gép selejtezésével kapcsolatban.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Elkövetőmentegetés.
trey @ gépház
Sajnos ha nem szabályozod a vállalati eszközök használatát, akkor bármilyen adatvédelmi incidens esetén jóval kisebb a játéktered. Nem csak a GDPR által szabályozott adatok lehetnek fontosak, értékesek, hanem akár egy olyan belső munkautasítás, felhasználói útmutató is, amelyből a konkurencia értékes infókat nyerhet.
Emellett a fizikai korlátozás is sajnos elengedhetetlen: nálunk például muszáj volt nemcsak az adathordozók kényszerített titkosítását bevezetni, hanem az usb mass storage típusú eszközök tiltását is, mert a felhasználó elolvassa és aláírja a szabályzatot, majd a következő percben pendrive-ra menti a szenzitív ügyféladatokat. Természetesen titkosítás nélkül, közvetlen a gyerek játékai és a nyaralási fotók mellé.
tenyleg olyat tudsz csinalni hogy ha bedug egy usb mass storage-t es nincs titkositva akkor feldob egy ablakot hogy ezt most vagy kihuzod vagy letitkositom?
es addig nem is lehet hasznalni persze.
neked aztan fura humorod van...
Windows-ban tudsz olyat, hogy USB eszköz "tipusra" tiltod a működést.
igen de nem olyat szeretnek hanem hogy titkositas nelkul ne lehessen hasznalni
neked aztan fura humorod van...
Vannak DLP/Endpoint security szoftverek, illetve kifejezetten titkosított adattárolást biztosítő pendrive-ok - egyik sem olcsó, sőt. Sokszor egyszerűbb/költséghatékonyabb a workflow-t úgy módosítani, hogy mobil adathordozókra ne legyen szükség...
Nekem eleg sok hardveresen titkositott adattarolom van, a legtobb sajat pinpad felulettel rendelkezik es meg csalakoztatas elott dekriptal - tenyleg kurva dragak, de van amikor csak ilyen megoldas alkalmazasa celszeru.
Alapvetoen egyetertek, amikor DLP bevezetest csinalok, sokkal egyszerubb tiltani az adathordozok hasznalatat es nem engedni a kiveteleket sem. Ennel olcsobb megoldas nincs ;)
Bankban láttam,hogy csak a nyakukban lógó pendrive bedugása után tudtak a dolgozók loginolni a saját gépükre is.
Mondjuk banknál az olcsóság fel se merül, a leglényegesebb hogy jó drága legyen.
"a nyakukban lógó pendrive bedugása után" - Az nem pendrive, hanem valamilyen 2FA-s token, de sebaj :-) és de, a költséghatékonyság _is_ fontos, és nagyon nem mindegy, hogy MNB büntit kell fizetni, vagy az elvárt szintű rendszereket, eszközöket kell bevezetni...
https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings?redirectedfrom=MSDN#bkmk-driveaccess2
mar majdnem jo, koszi!
neked aztan fura humorod van...
Persze, nekem volt ilyesmi.
Bedugva egy pendrive-ot feljött az ablak, hogy titkosítani kellene, vagy nem írhatok rá. Ha titkosítást választottam, akkor lehetett rá írni, cserébe a magán laptopomban nem lehetett feloldani a titkosítást.
Az ment, hogy a magán laptopban megírt titkosítatlan pendrive-ról a céges laptopra lemásolhattam dolgokat.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
És ennek mi értelme? Se füle se farka, amit mondasz. Azon kívül hogy elvileg, fektéve de meg nem engedve, hogy jogilag védve legyek, le is fertőzhetted a céges gépet a magán laptopról átmásolt akármikkel. Vagy bárki más. A céges géppel titkosított pendriveot a saját gépeddel nem tudtad olvasni, ennek mi értelme? A magán laptopban megírt titkosítatlan pendrive-ról meg a céges gépre bármit, "dolgokat" másolni a legmagasabb fokú biztonsági incidens.
Az az értelme, hogy a céges (védett) adatokat nem lehet elvinni.
Ha nem érted a hozzászólásomat, akkor olvasd el az előzményeket!
Ugye innen indultunk:
és én erre a konkrét kérdésre válaszoltam:
Erre volt a válaszom, hogy igen, lehet ezt csinálni.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
"mert a felhasználó elolvassa és aláírja a szabályzatot, majd a következő percben pendrive-ra menti a szenzitív ügyféladatokat"
Már elnézést, de az ilyen még ott dolgozik? Megengedve, hogy eltelt egy év az aláírás és a mentés között, de azért na... Persze sokat lehet tenni, oktatás, rendszeres felfrissítése az alap dolgoknak, de na...
Ki volt az elkövető?
Aki hanyag módon kezelte a személyes adatokat, vagy aki azokat a megtalálásuk után felhasználta?
Aztan ha eppen akkor mesz orvoshoz amikor nincs internetkapcsolat (vagy olyan helyen laksz, ahol nem tul jo a sebesseg/lefedettseg/stb.) es az orvos kozli, hogy bocsi, nem tudom kiirni a gyogyszert vagy nem tudom lekerni a korhazban felallitott diagnozist. Egyszerubb ha rabizzak a szamitogepeket hozzaertokre (aki letorli normalisan az adatokat) minthogy korlatozzak a hozzaferest emiatt.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Szerintem kb. eleg lenne, ha eloirnak valamilyen teljes lemez titkositas hasznalatat ertelmes jelszavakkal parositva, nem kell ezt ennyire tulbonyolitani.
Valószínűleg a cél is a reklám volt.
Szerintem inkább az számít kivételnek, ha a kidobás előtt gondolnak az adatok megsemmisítésére.
Nálunk én vagyok az adatmegsemmisítő - szétszedem a diszkeket - rengeteg erős mágnesem van emiatt.
Én össze szoktam gyűjteni őket, aztán mikor több van itthon akkor egyszerre semmisítem meg őket változatos módszerekkel.
A leggyorsabb a satu és flex. Elméletileg így vissza lehet állítani az adatok egy részét, de csak komoly laborban és ilyen kiddiek nem fogják tudni. Persze nem minősített adatokról van szó..
Ehhez hasonlóan, lásd: https://youtu.be/wDeTZEv6ZjQ
Barbár! :-)
Nem satu és flex, hanem csavarhúzó, mert a döglött HDD titkos neve: mágnesbánya!
A korong utána már tetszőleges módszerrel megnyuvasztható.
Ez igaz, ha lenne időm szétkapkodni őket, akkor én is kivenném belőlük..
Végy egy nyersvascsapolást, helyezd csapolás közben az üstbe az érzékeny adatokat. Ennél nincs tutibb megoldás. A 80 tonnás olvadék mellett részarányosan mit számít az a pár kg szennyező?
A szétvágott vagy akár átfúrt lemezzel a Kürt sem tud mit kezdeni, mivel a saját gépük feje is beleakad. Az egyik mérnökük mondta egy előadáson.
a humanusabb megoldas az alapbol titkositas lenne. amikor mar nemkell az adathordozo akkor eleg csak a kulcsot megsemmisiteni. a disk mehet ujrahasznositani.
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
Ha nem olvasható a gépben a disk, akkor sajnos fizikai megsemmisítés kell.
ha nem olvashato akkor hogy hasznaljak? :o
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
Ha a te gépedben nem olvasható, attól még van rá technológia, hogy leolvassák.
"Normális ember már nem kommentel sehol." (c) Poli
jah, es egy csomo nevetofejet latnak rajta. :) aztan szolhatnak az nsa-nak hogy torje mar fel...
ugye megvan hogy alapbol (sw) titkositott lemezrol beszelunk? :)
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
Nem a reklam volt a cel. En peldaul bele sem irtam, hogy hol dolgozom, a Kiberblog meg eleve nem profital semmibol mivel ugyan mit profitalna anyagilag?
User awareness a cel, de hat ezt az elejen le is irtuk.
Szerintem az újságírók dobták a kukába, hogy hatásvadász cikket írhassanak róla!
LOL
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Egy ujságíró bármire képes, csak dolgozni ne kelljen. Lásd uborkaszezon az 5 fejű kecske meg a mostani 6 lábú kutya.
Az indexnél 40-en mondtak fel és még sokan maradtak is. Ez a létszám már egy közepes TERMELŐ vállalatnak felel meg.
A Mercedes kecskeméti új üzemében 200-an fognak dolgozni, akik darabonként 15-30 milliós kocsikat állítanak elő.
ezt most elkepzeltem hogy egy ujsagiro bemegy egy orvosi rendelobe, kitepi a falbol a szamitogepet es elszalad vele :)
neked aztan fura humorod van...
A cikket egy számítógépről írják, aminek nem is kell ott lennie, elég egy fénykép egy bármilyen gépről. (A cikk azt hozta le, hogy a HDD-t vásárolta meg egy sörért. De előtte lefényképezte, mert tudta hogy lesz rajta valami? Nem életszerű).
ezt most elkepzeltem hogy fustologsz magadban :)
neked aztan fura humorod van...
Pont nem, de szoktam. Szmóking-nak hívom :)
Altalaban az igy talalt eszkozok (bolhapiac kivetelevel) le vannak fenykepezve, mert az oktatasi anyagokhoz (es persze proofnak) erre szukseg van.
Kb. 5 percbe telne akár csak egy filmet is forgatnom arról, hogy megyek, mendegélek, egyszer csak egy kuka tetején találok egy rossz számítógépet, amiben benne van a HDD ÉS érzékeny adatot tudok róla visszanyerni. Igény esetén csodálkozók csoportja (statiszták) is lennének, bár ez lehet, hogy feláras lenne.
trey @ gépház
szerintem csinald meg es kuldd el egy ujsagironak.
mar csak azert is jo lenne hogy lassuk mit vesznek be :)
neked aztan fura humorod van...
Es soros penzeli az egeszet ugye. karacsony meg mit tesz ellene?
Nem kell konteot keresni mindenben, egyszerubb a valosag: ha talalunk ilyen eszkozt akkor lefenykepezzuk. Oktatasi anyagokhoz eleve kell a rossz pelda, az awareness dumpster diving resze csak az into peldakkal er valamit ;(
Nem elképzelhetetlen hogy volt már ilyen, tehát így volt most is. Ja és liberális hátterű nemzetközi szervezetek pénzelték az akciót, ezt se felejtsük, mert hadban állunk.
Nem, ez tenyleg konteneres cucc. Mivel rendszeresen vizsgalja Akos kollega ezt a jelenseget, ezer jelentos rutin van abban, hogy hol es merre kell kukazni ;)
Nekem egyszer egy kukazo kiturta a lejart bankkartyam szamanak 6. es 7. es 8. karakteret. Szerintem azota is a puzzle tobbi darabjat keresi. :)
Na jo, egyszer megtalaltak egy generalt jelszo negyedet is egy papirfecnin.
Pont tegnap a metróban egy office csaj, kezében laptop a hátán meg ráragasztva egy fehér lehúzóson vpn host user pass és a rendszerükbe belépési adatok. Kezemben a telefon, akár le is fényképezhettem volna. Azt hiszem erre nincs tűzfal megoldás ...
The worst or stupidest ideas are always the most popular.
lehet akar social engineering is. igy gyujti az aldozatokat, kellenek a botnetbe :)
neked aztan fura humorod van...
Nekem a bankkartyamra van felirva egy PIN kod alkoholos filccel. Nem az igazi.
ezen most elgondolkoztam hogy lehet valakit bankkartyaval es rossz pin koddal meghekkelni :)
ugy erted hogy az automata/bank masik mappa gyujti azokat a kepeket/videokat amit az automata akkor csinal (csinal?) amikor valaki rossz pin kodot ad meg?
rajottem? :)
neked aztan fura humorod van...
Pszichologiai hadviseles :)
"Haha, ez mekkora hulye fasz, felirja a kodot a kartyara."
Innen szerinten a leginkabb logikus es legkevesbe kockazatos ut, hogy gyorsan KP-t kell belole csinalni egy ATM-nel.
Ott meg:
"Basszus, elutottem vagy felreolvastam, megprobalom ujra."
Innen ket ut van: ha emberunk erobol el, mint a tobbseg, megprobalja harmadszor is, ekkor az ATM beszippantja a kartyat. Ha rajon, hogy felultettek, akkor meg persze mindig vasarolhat vele paypassal vagy online, bar utobbi az online pin meg az sms kod koraban kevesbe valoszinu.
" vagy online, bar utobbi az online pin meg az sms kod koraban kevesbe valoszinu" - EU-n kívüli elfogadónál nincs kötelező 2FA, ergo az online vásárlás még akár mehetne is - viszont jellemzően vagy személyhez, vagy címhez kötött a vásárlás (akár szolgáltatás, akár termék), úgyhogy visszanyomozható, hogy a kompromittálódott kártyával történt tranzakciónak az eredményét ki fogja használni.
Sikertelen Paypass-os esetén meg vagy kp.-ben fizet a delikvens, vagy szintén visszanyomozható, hogy a sikertelen tranzakció után ugyanazon a terminálon, ugyanakkora összeggel milyen kártyával fizettek...
"EU-n kívüli elfogadónál nincs kötelező 2FA"
Bevallom, ezt nem tudtam, felteteleztem, hogy a sajat bankom kenyszeriti ki.
Nekem az a tapasztalatom, hogy kettőn áll a vásár.
Évekkel ezelőtt is volt EU-n kívüli weboldal, ahol a hitelkártyámmal vásárláskor jött a 3DSecure.
Volt olyan kártya, amivel nem jött sehol, volt olyan oldal, ahol semelyik kártyával nem jött, és voltak olyan oldalak, ahol bizonyos kártyákkal jött. Szóval _ha_ a weboldal beépítette ezt a funkciót ÉS a bank implementálta a saját részén, akkor jött és csinálta a dolgát.
Ismerősöm aki drága egyedi dolgokat árusít a weben, ezt körbejárta annak idején. Félt attól, hogy vagy valóban lopott kártyával vásárol nála valaki vagy egyszerűen valaki rendelés után úgy csinál, mintha nem is ő rendelt volna, és ilyenkor a bank tőle visszaveszi a pénzt, a drága csomagot viszont a posta már leszállította, szóval bukott egy halom zsetont.
A 3DSecure pont arra volt jó (neki), hogy onnantól nem a kereskedő felelőssége ellenőrizni, hogy nem visszaélés történik-e éppen, tehát ha valaki sikeresen vette a 3DSecure akadályt, akkor azt a pénzt a bank már nem veszi vissza a kereskedőtől, akkor sem, ha lopott / állítólag lopott volt a kártya.
Nem emlékszem, hogy beszéltünk-e erről, de azt hiszem, hogy voltak olyan bankok/kártyák, amikkel nem lehetett 3DSecure ellenőrzést csinálni, mert gondolom a bank nem implementálta a saját oldalán a szükséges dolgokat.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Amikor 2007/2008-ban Amerikában voltam, már akkor úgy selejtezték ott a diszkeket (egyetemi infrastruktúra, beleértve az egészségügyet is), hogy egy bazi nagy mágnessel tönkretették. Erre akkor jöttem rá, amikor kilátogattam a hardware kiárúsításra és egyik selejtezett szerverben sem volt merevlemez (akkor még). Azért néhány könnycseppet elmorzsoltam és némi dühöt is éreztem, amikor láttam ahogy az enterprise disk-eket mágnesezték - holott nálam még szolgálhattak volna.
A cikk egyébként nyilván reklám. Az újrahasznosítás szempontjából pedig az lenne a jó, ha úgy törölnék az adatokat, hogy ne a szemétdombra kerüljenek a HDD-k - bónuszként lehetőleg ne olyan árazással, mint ahogy a biohazzard-os szemetet szállítják, mert akkor senki nem fogja igénybe venni. Persze szabályozás kérdése és akkor mindenki fizet majd, mint a katonatiszt.
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
Nem mondod :D Itt úgy eszik, mint kacsa a nokedlit :D
Jelige: ugyanitt security szakértelem "eladó" :D :D
trey @ gépház
Nem ertem mi ebben a reklam?
A Kiberblog ingyenes es nem profital semmilyen tartalombol. En le sem irtam, hol dolgozom, Akos kolleganal lett emlitve a munkahelye - ez lenne a reklam?
Profitálni nem csak anyagilag lehet.
trey @ gépház
Ertem szoval mivel beledektettunk mondjuk masfel ket hetet egy szakmai anyag es esettanulmany megirasaba - amit vegul a media is felkapott, ezert mivel a posztot kb 6ezren olvastak, es a telex miatt megismertek hogy ki irta a tanulmanyt ezert ez reklam?
Ha profitalunk belole akkor remelem az az lesz, hogy az a 6000 olvaso - illetve nem turom a telexet mennyien olvastak - ha gepet selejtez talan torli a a gep tartalmat mielott kidobja. Ha ez bekovetkezik es ezt proditaljuk belole, akkor tudod kit, vallalom hogy profitalni akartunk ;)
Szerintem nem baj, ha profitáltok belőle, erre való egy szakmai blog. Nekem a legjobban egyébként pont az tetszett meg, hogy milyen kreatív módja ez a marketingnek. Ez sokkal hatásosabb, mint egy fizetett reklámcikk vagy egy banner.
Inkább pont hogy rosszul csináljátok azt, hogy nincsen jól láthatóan feltüntetve a cég és link a weboldalra, ahol meg lehet rendelni fizetős szolgáltatásokat. Én kitenném minden bejegyzés aljára jól láthatón a linket a cég weboldalára, meg az oldalsávba is. Ki lehetne írni, hogy X Y cég szakmai blogja.
Nagyon sok cégnek van szakmai blogja, hatásos módja az ismertség növelésének.
Én ezeket változtatnám a blogon:
1) regisztrálni egy saját domaint (valami.hu), a blog.hu helyett saját domain alatt WordPress alapon
2) ha a reklámok nem hoznak túl sokat, akkor a reklámokat teljesen levenném a blogról
3) Kiírni jól láthatóan minden bejegyzés alá és mellé, hogy X Y cég szakmai blogja, és linkelni a cég weboldalára
Ez az en szemelyes blogom, semmilyen ceghez nincsen koze ;) meg a munkahelyem sincsen feltuntetve ;) lehet az zavart meg, hogy a szerzotarsamat a kollegamnak neveztem, es nala kiirtam hol dolgozik. En nem annal a cegnel dolgozom, es azert irtam hogy kollegam mert mindketten it biztonsag es informaciovedelem teruleten dolgozunk es legalabb 12-15 eve ismerjuk egymast a szakmabol ;)
Szoval nem ceges blog, hanem a sajat maganblogom, ezert nincs is osszekotve a munkahelyemmel peldaul ;)
Ja értem. Azt hittem, hogy ez céges blog valójában.
Akkor ez inkább ilyen hobbi-blog? Akkor is hasznos ha pl. munkát keresel, LinkedIn profilból érdemes linkelni.
Kiberblog.hu még szabad :) Domain fenntartás tárhellyel együtt kijön évi bruttó 6500 Ft-ból.
:) koszi ;-)
A reklamokat a blog.hu teszi bele, szoval az nekik szamit. Azert hagyom meg a reklamokat (kikapcsolhato), kulonben az index blogketrece nem szemlezi - sajnos ez feltetel.
Vicces, hogy az értetlenkedik a reklám és a profit kifejezések jelentésén, aki azért küzd, hogy ne szivárogjanak ki adatok, esetlegesen kárt okozva az adatok tulajdonosainak, illetve kiszivárgott adatokból illetéktelenek ne húzzanak hasznot. :D
:)
?
egyik nagy cegnel mindig kivettuk a disket a gepbol, mielott ment a "kukaba" (= valami ceg elvitte, cserebe adott papirt rola).
letorolve nem voltak, mert neha honapokkal kesobb jutott eszukbe hogy valamit nem mentettek le rola, es jo hogy megvolt meg a regi hdd :)
a diskek csak gyultek az IT-n egy szekrenybne, volt vagy 100 db. aztan a ceg koltozesekor fogtak es kibaxtak az egeszet a szemetbe... :(
IT-ben ismert ennek a problémának a fordítottja is:
:D
trey @ gépház
Ha nem tükörből párban estek ki, illetve ha checksum alapú raidben maradt még elegendő diszk, akkor persze...
mentettunk mar olyan 12 diskes raid5-ot ahol 3 disk is kiesett, badsectorosak voltak, de meg mukodtek.
a controller kidobta, jogosan, igy viszont buktak az adatokat. de ossze lehetett legozni meg mindent, mert nem ugyanott voltak a hibak szerencsere.
persze tudom a raid nem backup, de megis sokan azt hiszik az mindentol is ved. meg van az a szitu amikor tobb 100 TB adatod van (pl. raw digitalizalt filmszalagok), es egyszeruen nincs koltsegvetes meg annak a backupjara is. nem potolhatatlan adat, de a potlasa nagyon sok idobe/energiaba kerul, igy ha mentheto olcson akkor megeri.
ismerosom vett az utcan egy "zsir uj, bontatlan" 2TB hdd-t 5000ft-ert, el akarta nekem adni mert nagyon kellett neki a penz...
mondtam hozza el, megnezem, ha smart minden OK, akkor atveszem. kiderult hogy a cimke tintasugaras nyomtatoval volt kinyomtatva es raragasztva, kamu. amugy egy regi hasznalt talan 120GB-os disk volt, tele valakinek az adataival. meg csak le se formaztak...
szoval nem eleg hogy kikukazzak a kidobott diskeket, meg atcimkezve el is adjak ujkent :)
Mint a srác, aki kamu 500-as Samukat árult, csomagolva. A bibi annyi volt csak, hogy fából volt a cucc.
Viszont 100%-os eredményt ért el a drop tesztben.
Hajbi biztos szeretne, mert egyreszt nem tul nagy - az igenyenek megfeleloen - masreszt magatol lebomlik.
A strange game. The only winning move is not to play. How about a nice game of chess?
Kerestem róla a anyagot, de nem találom. Már a forrását is csak sejtem. Viszont úgy emlékszem adva volt a látszatra rendesen. Tüzetesebb vizsgálatnál már lerítt róla, hogy nem az, aminek látszik, de első pillantásra, csomagoláson keresztül simán bedőlt volna neki bárki. (Valami statik-zacsiban árulta.)
tessék
https://444.hu/2015/01/26/hihetetlen-olcso-az-akcios-az-ssd-a-jozsefvar…
Ez az. Thx!
A másik oldalon pedig a 4 hete már covid osztályon fekvő anyám leleteit nem kérhetem ki, telefonon nem tudok beszélni vele, az osztályra éppen odatévedt orvost ha el tudom érni, akkor annyit mond, hogy "jól van" - adatvédelemre hivatkozva.
:(
Van sajat, hasonlo sztorim: Nekem is volt egy ilyen fogasom, csak nem ennyire sulyos, de technikailag ugyan ez. Egy bizonyos egyetemen selejtezeskor vettem egy gepet 2015 korul.
Par ezerert arultak, nekem meg pont kellett ideiglenesen egy PC tap, ugyhogy a gondolat az volt mogotte, hogy kb. a tapkabel is dragabb mint az egesz gep egyutt. Bekapcsolaskor bebootolt az XP es ott volt a user profil, a C meghajton pedig tobb szakdolgozat. Szerintem lett volna ott tobb mas info is, ha belekezdek a kutakodasba, de inkabb hagytam a picsaba.
Hozzam egy biztosito uzletkotojenek a HDD-je keveredett valahogyan. Regi PATA 80GB-os merevlemez, egy ismerosnel talaltam az elektronikai hulladekba keszulo cuccai kozott, elhoztam, hogy jo lesz PS2-be. Teli volt ugyfeladatokkal meg mindenfele tablazatokkal.
Szintén zenész vok (egészségügy), épp selejtezek, a legjobb barátom pedig az oszlopos fúró...! ;)
Ugyanitt kézműves, egyedileg lyukasztott, PATA-s Maxtor HDD-k olcsón eladóak papírnehezéknek, ajtókitámasztónak, stb.... :)
Fel nem bírom fogni, miért jó tönkretenni még működő felhasználható hdd-t, ha pár alkalmas felülírással gyak.lag tökéletes biztonsággal eltüntethető róla a korábbi adat.
Nalunk az az oka, hogy ezt kaptuk parancsba.
Hogy fent miert ragaszkodnak ehhez? Szerintem ket oka van.
Az egyik, hogy gondolom, valaki nehany evtizede olvasott valahol egy tanulmanyt arrol, hogyan lehet elektronmikroszkoppal adatokat visszaallitani felulirt merevlemezekrol. Hogy ezen tanulmany allitasai szuletesenek idopontjaban igazak voltak-e, vagy hogy azota a merevlemezek "surusodesevel" mennyivel valt valoszinutlenebbe a gyakorlati kivitelezese, az egy ilyen szervezetben nem szamit. A lenyeg az, hogy ha valaki valtoztat az ervenyben levo szabalyon, es ne adja az eg, megis leolvasnak valamit egy igy kiengedett merevlemezrol, azt keresztre feszitik. Egy ilyen hulyesegert nem erdemes kockaztatni.
A masik meg az, hogy ugyan ki fizeti meg az IT-s idejet, amig a lemezek torolgetesevel foglalkozik? Jobban megnezve, annak az aran akar uj SSD-t is vehetsz, a kornyezetvedelmi oldalaval meg kb. senki nem foglalkozik. Ertem en, hogy te otthon jofejsegbol megcsinalod es odaadod valakinek, de a szervezet szempontjabol te nem vagy megbizhato.
Hat ezert. Igy hat en is gyujtom a lemezeket, es alkalmas idoben dokumentalt modon atadom oket a megsemmisitesukkel megbizott szemelynek.
Mielőtt kikerül a szerverből, és megy a végzetes darálóba, milyen költséget generál az a pár plusz óra, amíg lefut rajta az a rettentő magas IT Phd-t igénylő wipe?
A visszaellenőrzést, hogy ténylegesen le lett pucolva a diszk, ki és hogyan végzi el? Mert az adatok elérhetetlenné tételét bizonyítottan kell elvégezni - nem, a "lefutott a wipe" nem bizonyít semmit, csak azt, hogy a program futása véget ért, célszerűen 0 exit kóddal.
Túlmisztifikálják ezt a wipe + visszaellenőrzés folyamatot.
Es ez meg nem minden. Az, hogy dd-vel teleirod a lemezt, vagy fogsz valami oss projektet, nem jo am. Valahonnan keritened kell egy olyan szoftvert, aminek a keszitoje pecsetes papirral igazolja neked, hogy az o termeke becsszo letorol minden erzekeny adatot, megpedig biztonsagosan, es ha ez megsem tortenik meg, vallalja a jogi es anyagi felelosseget.
Ha mar talaltal ilyet, akkor csak a kozvetlen vezetod tamogatasatkell megszerezned, aki talan felterjeszti egy szinttel feljebb. Itt vegig kell jarnia a rangletrat.
Ha ebben sikered volt, jon a kovetkezo kor, ahol mar a gazdasagi vonallal kell megkuzdened, hogy kapj ra penzt. Akik meg fogjak kerdezni, jol ertettek-e, hogy te most arra akarsz kolteni, hogy utana elajandekozd a cuccokat. Meg amugy mit is, mikor a selejtezesi szabalyzatban benne van, hogy mindent a beszerzesi ertek x szazalekaert lehet ertekesiteni, egyebkent kotelezoen kuka?
Nem ertitek ti jomodu civilek ezt :)
RAID vezérlő / storage nem tudja ezt by default?
Dell Perc-nek biztosan van secure erase funkciója.
Meg persze, titkosításva is lehet a diszk.
A titkosításva az, amikor senkivel sem közölt helyszínen a föld alá temetted a meghajtót?
:)
kerdes, hogy mivel :)
https://www.zdnet.com/article/flaws-in-self-encrypting-ssds-let-attacke…
A fúró/kalapács folyamatot ugyanúgy jegyzőkönyvezni kell.
Van, ahol az olvashatatlanságot is garantálni kell a folyamatnak. Nem, a "becsszóralefutott123szoradédé" az nem garantál semmit.
Miért a véső garantálja?
Az, hogy szét van-e szedve/fizikailag roncsolt-e az eszköz, az látszik. Az, hogy az _összes_ adatblokk felül van írva úgy, hogy a korábbi tartalom nem olvasható vissza, az meg nem.
Ti a diszkeket mutogatjátok az auditornak, vagy a jegyzőkönyveket? Ne bolondozzunk már: ha egy folyamat jól le van dokumentálva, abba senki nem fog belekötni, tök mindegy, hogy milyen eszközzel és hogyan történik a diszkek törlése.
Nem a papírtól lesz az adat elérhetetlen. A "jól dokumentált"-at meg b/6, ha kiderül, hogy dokumentálva ugyan 1024 oldalon jól volt, csak épp a végrehajtásba "csúszott némi hiba", és a kidobott, elvileg üres diszk mégsem volt üres... Oké, van a dolgozónak anyagi felelőssége, de egy GDPR-es bírsághoz képest khm. jóval kisebb összeghatárig.
Ugyanilyen erővel a szétszedésben is lehet emberi hiba, és a fentire válaszolva: a felülírt diszken is látszik, hogy felül van írva. De engedjük el, nem fogjuk egymás meggyőzni sajnos. :(
A szétszedésben emberi hiba... Nem tudom, de a 12-es fúróval oszlopos fúrógépben megagyusztált diszken nagyon látszana, ha nem lenne rendesen átfúrva 4-5 helyen a tányér (meg az egész merevlemez...). A felülírt diszken mi látszik? Az, hogy random adatblokkot visszaolvasva csupa azonos bájtot kapok? Ezt ellenőrizni hogyan tudod? Végigolvasással. A fizikailag roncsolt állapotot meg szemrevételezéssel.
Mert az a kultúra, hogy ha bármi baj van, akkor védened kell magadat.
Ezért sokszor nem az egyszerű / olcsó / logikus megoldást választja az akármilyen szervezetnél az akármilyen döntéshozó, hanem azt, ami után ha valami balul sűlt el, akkor is tudja mutatni a papírt, hogy ő megtett mindent.
A legjobb az, hogy ha át tudjuk a felelősséget passzolni valaki másnak. Pl. felfogadunk egy másik céget, aki szerződésben vállalja, hogy megsemmisíti a kritikus adatokat. Mindegy, számunkra, hogy hogyan. A lényeg, hogy ha az újság megírja, hogy tőlünk kikerült hdd-ről titkos dolgokat tudtak kiolvasni, akkor lehet a másik cégre mutogatni, hogy ők a hunyók.
Nem ennyire jó, de ha cégen belül valami olyan megoldást találunk, amibe senki nem tud (nem gondoljuk, hogy tud) belekötni, akkor az is mehet. Ilyen lehet az, hogy az IT saját hatáskörében semmisítse meg a hdd-ket. Így ha az újság megírja, akkor az IT-re lehet mutogatni.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Ezt úgy szoktam megfogalmazni, hogy VSP van - védd a segged papírral, illetve MVP van - más valaki problémája. Ha ezeket ügyesen betartod, akkor évekig el lehet lenni a cégnél anélkül, hogy bármi hasznosat tennél, és bármi probléma esetén mindig lesz róla írásod, hogy nem te voltál az, aki tehet róla...
https://iotguru.cloud
"bármi probléma esetén mindig lesz róla írásod, hogy nem te voltál az, aki tehet róla"
Erre egyebkent szukseg is van, mert mindig lesz olyan gerinctelen kollega, aki barmit letagad es lelkiismeretfurdalas nelkul tolja rad a szart, csak hogy o megussza. Foleg a kozigben.
Na, ezeket kellene kirúgni a picsába. Van egy olyan elméletem, hogy nagy cégnél el kellene küldeni mindenkit vetésforgóban 2 hónap szabadságra és akinek a hiánya nem tűnik fel és/vagy hirtelen kevésbé lesz mérgező a légkör, azt vissza se kell engedni... 30-50 százalékos leépítés simán bele tudna férni úgy, hogy a maradék végül gyorsabban halad, mert nincs annyi kolonc a nyakán...
https://iotguru.cloud
https://youtu.be/hNuu9CpdjIo
:-D
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
Elon egy interjuban mondta, hogy amikor a titkarnoje fizetesemelest kert, akkor elkuldte 2 het szabadsagra, es megnezte, hogy jogos-e a kerese, mennyi munkat is sporol meg neki.
Aztan elkuldte amikor visszajott es felvett egy ujat.
Mondjuk arrafele az elbocsatas is eleg kemeny: penteken kozlik, aki a hetvegen emailt kap, az johet hetfon dolgozni. Igy penteken nincs lincseleshangulat, mondjuk hetvegejuk se nagyon van a dolgozoknak...
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
Amerika, a lehetőségek országa, hiszik sokan naívan mikor megindulnak odafelé...
AmerikaEurópa, a lehetőségekországaterepe, hiszik sokan naívan mikor megindulnak odafelé... :)****
Lehetőség majdnem mindenhol van. csak dolgozni kell érte.
Akinek büdös a munka annak csak rövid távon rövid ideig felel meg bármilyen környezet, ha egyáltalán..
Egy német vagy méginkább francia multinál dolgozó, szakszervezettel védett munkavállaló jogait hasonlítsd össze az átlag amerikai multinál dolgozó munkavállalóéval.
Az USA-ban már elérték az ideális állapotot, hiszen tudjuk, hogy az önszabályozó piac mindent megold :).
A franciáknál "szakszervezettel védett munkavállaló"-k jogainak jelentős mértékű felszámolása vezetett meglehetősen népes és időnként erőszakos hónapokon át tartó tüntetésekhez aminek kb a covid vetett véget (lehetővé téve a még nagyobb arányú rendőri fellépést).
cserébe az usa-ban sokkal könnyebben szerez valaki alkalmazotti viszonyt mint a franciáknál. .. és könnyebben is válhatnak meg tőle..
lehet még fokozni:
https://www.theregister.com/2021/02/26/something_for_the_weekend/
A probléma több ága közük egy egyik nagy ág alapvetően az, hogy a közszférában nincsenek megfizetve az IT állások és amíg banánnal fizetnek, addig nyilván majmok fognak dolgozni.
A másik nagy ága az, hogy nincs erre felkészítve se a közoktatás, pláne azok, akik felnőttként tanulták meg a számítógép használatát, egyszerűen nincsenek ismereteik se a biztonsági mentés, se az adatbiztonság kapcsán.
A harmadik nagy ága az, hogy a használt programok sincsenek felkészítve arra, hogy az érzékeny adatokat akármilyen egyszerű módszerrel is, de titkosítva tárolják, mert ezzel is nehezítenék az ilyen szivárgásokat.
https://iotguru.cloud
Ennel kicsit arnyaltabb a problema. A kozszferaban is dolgoznak jo es rossz szakemberek, alapvetoen a szakmai igenyessegnek nem kellene a fizetestol fuggenie - a problema inkabb az, hogy pontosan ahogy irod, a vezetok ugy gondoljak ha banannal fizetnek akkor ne varjanak el minosegi szakmai munkat, kulonben az a keves ember is lelep.
Szerintem nem igy ertette, hanem arra gondolt, hogy ha banannal fizetnek, akkor aki ert is hozza annyira, hogy esetleg penzt kapjon helyette, az bizony lelep. Hiaba vannak egy vezetonek elvarasai, ha nem kap hozza embert, aki megfelelne nekik.
Szakmai igényesség eléggé korrelál a fizetéssel, egy jó szakember nem fog nettó 200-300 ezerért a közszférában szopni azzal, ami és ahogy ott megy, ha hetente kapja a 600-900 ezres ajánlatokat a fejvadászoktól, előbb-utóbb elgondolkodik azon, hogy jó helyen dolgozik-e. És ha elmegy, akkor a helyére nem fognak túljelentkezni a jó szakemberek, hogy harmad annyi pénzért aztán szenvedjenek. És a vezetők hiába is várnák el ugyanazt a munkát, ha nincs olyan minőségű emberi erőforrás... és igen, aki képes lenne olyan minőségű munkára, az le fog lépni, ha még nem tette volna.
https://iotguru.cloud
Ezt a banán-majmot inkább fordítva láttam használni:
"akinek van pénze majomra, legyen pénze banánra is" (gy.k. etetni). Azaz nem elég csak megvenni vmi drága dolgot (legyen az 1 tárgy, v. akár 1 új üzletág megalapítása), a fenntartásának költségeire is gondolni kell.
https://www.quora.com/What-does-the-phrase-if-you-pay-bananas-you-get-m…
https://iotguru.cloud
Ilyet én is tudok linkelni :)
https://premiumautoszerviz.hu/premium-autoszerviz-budapest/miert-dragul…
Akinek van pénze majomra, legyen pénze banánra is – tartja a mondás.
Nem azt mondtam, hogy nincs olyan mondás, amit írtál, hanem azt, hogy létezik olyan is, amit írtam, csak nem ismerted.
https://iotguru.cloud
láttam használni
Attól még ismertem a másik irányút is.
Értem, de ez két teljesen külön mondás, majmokkal és banánnal.
https://iotguru.cloud
Vicces amúgy, ha majom --> banán akkor a majom értékes állat, de ha banán --> majom irányú a dolog, akkor a majom már 1 buta értéktelen munkavállaló.
Szerintem ülj le és gondolkodj egy kicsit a két mondáson, lehet, hogy sikerülni fog a megértésük.
https://iotguru.cloud
nem állítom, hogy így van, de simán lehet kulturális különbség a kétféle mondás között.
Ázsiában a majom bölcs. Nyugaton meg idióta.
T
A XIII. kerületben, a Vágány utca és a Dózsa György út sarkán volt egy hulladékudvar. Oda néha bejártam böngészni, ezt-azt vásárolni. Egyszer HDD-ket találtam, amelyek egy részét meg is vásároltam. A diszkek egy része még életképes volt. Találtam rajtuk adatokat, pl fotókat közlekedési balesetekről (by katasztrófavédelem?). A legtöbb fotón a járműben, vagy annak közelében elhunyt személyek is láthatóak voltak. A maguk kendőzetlen valóságában.
A HDD-k között volt olyan is, ami egy híres, magyar, adatmentéssel foglalkozó cégtől került oda.
Ha ki mered írni h. Kürt Kft, beperelnek?
Ha nem tudja bizonyítani, akkor rápacsálhat - nem is kicsit.
Miért, a cégnév kiírása egy 20adrangú portál fórumában minden instance-a automatikusan 1 új ügyvédi felszólítást generál Kürtéknél?
Nem kizárt az amit írsz. Ha egy cég jogásza úgy találja, hogy árt a cég presztizsének a bejegyzés, akkor lépni fog.
engem talalt mar meg nagy ceg egy hup-os comment miatt... kiderult figyelnek mindent is.
Ha nem titok, honnan tudod, hogy attól a cégtől került oda a HDD? Úgy értem, mi alapján zártad ki, hogy a cég visszaadta az ügyfélnek, és aztán került a hulladékudvarba?
:)
valszeg az ügyféltől - mert a Kürtnek erre megfelelő darálója van.
Pontosabban fogalmaznál, ha azt írod Kürt Kft.-t is megjárt - mert bevizsgálásra átvett matrica volt rajta..
baleseti fotók - egy TV-s riporteré is lehetett. Nekem is van egy haverom, autópályás baleseteket szokott rögzíteni és a helyszínen megvágja és tolja fel RTLKLUB, TV2, HírTV ftp szervereire - neki is tele van ilyen tartalommal a SSD-je.
For Whites Only meeting room!
"Úgy értem, mi alapján zártad ki, hogy a cég visszaadta az ügyfélnek, és aztán került a hulladékudvarba?"
Részben onnan, hogy kevéssé elképzelhető, hogy több ügyfelük is ugyanabba a hulladékudvarba szállíttatta volna a merevlemezeket, ráadásul egy időben.
De volt más, konkrétabb dolog is, csak azt itt nem írom le. Egyébként nem célom lejáratni egy céget sem, az viszont igen, hogy a valóságot írjam le, kivált ha azzal javíthatok is az állapotokon.
elromlott a daráló - vicc nélkül, ha az így van csalódtam..
For Whites Only meeting room!
Ez nem csak elektronikánál és informatikailag van így. Pár éve egy nagyobb megyei kórházban dolgoztam, ahol nagy iratselejtezés meg épületkarbantartás okán szabadulni próbáltak pár pincényi iratarchívumtól, és ki volt hányva szabad térre, stóc és tonnaszám, egy csomó régi páciens aktája, mindenestről, benne csomó érzékeny eü-adat, eredmény, felvétel, név, lakcím, mindenféle beazonosítható adat. Se óvintézkedés, se adatkezelési stratégia, se semmi. Semmi meglepő nincs ebben, a legtöbb ember még mindig nem adattudatos, a legalapvetőbb mértékben sem. Megy a sírás, hogy jajj a kínaiak meg a NSA/CIA megfigyel mindenkit, de ugye a Facebookra az emberek kiírnak, megosztanak minden szart, megsemmisítés nélkül dobálják ki a személyes irataikat, dolgaikat, gépeiket, adatárolóstól, rajta az összes adat, mindenféle titkosítás és védelem nélkül. És ez nem is csak mai jelenség, retrós amerikai és nyugat-európai YouTube csatornákon látni, hogy előkerülnek 20-30 éves retró gépek, benne a HDD-ken, benne lévő floppykon ott van minden adat, alkalmazások, játék, warez, személyes levelezés, céges nyilvántartás, low res porn pixxx, stb.. Természetesen ala natúr, DOS, Win9x, FAT12/FAT16, mindenféle titkosítás vagy jelszavas védelem nélkül, csak úgy minden elérhető.
“A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)