Kókler informatikai cég - mi vele a teendő?

Fórumok

Van egy nyomuló cég (meg nem nevezem), amely úgy ajda el magát mint ami informatikai- és hálózatbiztonsággal, beléptető rendszerekkel foglalkoznak (kiépíés, üzemeltetés). Azonban semmilyen feltételnek nem felel meg: pl. már a weboldaluk is csak http (semmi SSL/TLS), semmi minőségbiztosítási megfelelőség, nmap esetén minden alap port elérhető, ftp szerverükre anonímousként be lehet lépni és még a jelszó fájlok is ott vannak. Először arra gondoltam, hogy honeypot, de aztán kiderült, hogy nem (nem részletezem).

Egy olyan cégnél nyomul nagyon ahol egy kedves öreg ismerősöm melózik mint rendszergazda, aki megemlítette ezt a csapatot, és hogy nagyon nem tiszta valami körülöttük.

Mi a teendő ebben az esetben, hogy a megkörnyékezett cég vezetése észbe kapjon? Hogy lehet egy ilyen "hamis zászló" alatt tevékenykedő csapatnak bevinni egy nagy ütést? (Sajnos egyre több az ilyen informatikai cég, amik/akik valódi érdem és minőség nélkül kínálnak biztonságot.)

Hozzászólások

Aztán majd gugliban megtalálják ezt az oldalt, és mennek trey-hez levetetni a topikot, meg rágalmazásért feljelentik OP-ot. Ez tipikusan az a szitu, amikor nem érdemes megnevezni a céget úgy, h. azok bármi fogást is találjanak ezen a topikon egy ügyvéd segítségével.

Ha nagyon diplomatikusan megírod a cég nevét, meg cégjegyzékszám, vezető képviselő neve, székhelye (mind publikus adatok az e-cégjegyzék alapján), meg azt h. SZERINTED mi vele a gond (csakis tényszerű dolgok), akkor azért nem fognak tudni effektív tenni ellene.

Valójában egy szintig ez nézőpont kérdése, s ha az érintett cég azt mondja rágalmazás, akkor “kevés” időt bizony el fog venni az életedből a jogi okoskodás.

Én leszarnám jó híggal az egészet: ha tényleg annyira szar valami, az úgy is összedől magától. Vennék pár doboz sört, és végignézném két szisszentés közt.

Vortex Rikers NC114-85EKLS

Pont itt a gond: a rendszergazdával együtt raktuk össze és finomítottuk a rendszert. Nem vagyok egy ász, egyéni vállalkozásban nyomom, nincs security témájú cégem sem, nem is agyaltam rajta (pont a hiaányosságaim ismerete miatt). De ha ilyen hibákat én kiszűrök, amaz meg flegmán nyomul, akkor kicsit aggódom, hogy az én munkámba belepiszkít majd egy ilyen cirkuszi mutatványos. És igen, én és a rensszergazda fogunk szívni.

Frész Ferenc egy interjúja azzal végződött, hogy ebben az országban nem az a lényeg, hoyg milyen módon és milyen minőségben működnek a dolgok, hanem csak üzemeljenek. Ez tipikus példaeset.

Ezért írtam h. sok múlik a megosztás módján.

Ha az ügyvezető anyját szidod személy szerint, h. mekkora fasz és milyen szar munkát csinál a cége, akkor a személye elleni támadás alapján rágalmazásért feljelent. És talán meg is nyerheti.

Ha viszont azt írod az XY Kft ilyen olyan kontár dolgokat művel, mert ez meg az -technikai részletek- és h. "SENKINEK NEM AJÁNLOM h. szerződjenek velük", az egyértelműség kedvéért bekopizod az e-cégyjegyzékből a cég azonosításához szükséges adatokat (a képviselő/ügyvezető neve is az), akkor az viszont egy teljesen védhető dolog lesz a bíróságon is. Már ha nincs annyi eszük h. belássák ezt felesleges megtámadniuk a bíróságon. Illetve ha perre kerül a sor úgyis elvesztik és 1 csomó pénzt buknak a perköltségen meg ügyvédi munkadíjon.

Ja, csak közben egy csomó elvesztegetett idő és idegeskedés. Az ügyvéd meg tömi a zsebét. Jobb kerülni a jogi hercehurcát, mert mifelénk nem az számít, kinek van igaza, hanem hogy ki tudja sikerrel átvinni az ügyét az igazságszolgáltatásnak nevezett útvesztőn.

Ha nem te vagy az egyik fel, eleg erdekes tud lenni. Nem tudom pontosan, kb. 15-20 targyalason lehettem eddig osszesen a hallgatosag tagjakent (kb. nezo), ennek egy reszeben volt ismeros az egyik fel, a tobbin csak jegyzetelnem kellett (exemnek volt hasonlo ugye, kivancsi volt, hogy mi tortenik rajta). Covid ota nem voltam viszont.

Persze ha teged perelnek, ugy elhiszem, hogy nem jo buli.

A strange game. The only winning move is not to play. How about a nice game of chess?

tanukent megjelenni allampolgari kotelesseg, ha szabadsagot kell kivenni, az egyeni problema.

A tanukbol lesznek a gyanusitottak, igy celszeru ugyveddel menni.

 

Egy ilyen ugyed van, barmi. Akkor az 5 evig tart, meg ha neked nincs is semmi kozod hozza.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

ha szabadsagot kell kivenni, az egyeni problema.

Ha tanúként beidéznek bírósági tárgyalásra, arra a napra a munkahelyednek fel kell mentenie a munkavégzés alól. Mtk. A megjelenésről ad igazolást a bíróság (nem tudom mindem esetben automatikusan adnak-e, ha nem akkor szólni/kérni kell), ezt kell leadni a munkahelyeden.

De persze ha nem tudod, és a főnököd sem, a semmirekellő HR nem elárulja el, akkor nyilván vehetsz ki rá fizetett szabadságot is.

Na ja, van is fent a YouTube-on egy ügyvéd, akinek volt közlekedési balesetes sorozata. Ott mesélte, hogy egy baleset esetén, amiben azért az áldozat szerepe se volt elhanyagolható a helyzet alakulásában, ő képviselte az áldozat családját és elsőre meg x.-re is felmentették a másik felet, de addig tudtak menni, míg csak rá tudták húzni a vizes lepedőt. Mondta ezt úgy, mintha ez lenne a legtermészetesebb..

Dr. Herpy, egyik legjobb kozlekedesi szakjogasz. Ilyenkor amugy nem arra megy ki a jatek, hogy a masik felre rahuzzak a vizes lepedot, hanem arra, hogy az aldozatnak - meg ha reszben hibas is volt - valami karteritest megszerezzenek a masik biztositojatol. (polgari, nem BTK-s)

A strange game. The only winning move is not to play. How about a nice game of chess?

Így van, jelen esetben a tényeken alapul, az nem rágalmazás. Ha az lenne, hogy lopnak, meg ilyenek, amit nem lehet bizonyítani, az rágalmazás lenne vagy szubjektív vélemény.

Ki kell írni az ilyenek nevét, hogy más ne fusson bele.

Szerk.: még a végén kiderül, hogy kikepzo indított saját céget :D

The world runs on Excel spreadsheets. (Dylan Beattie)

Az informatika duguláselhárítói! ;)

A nagy kérdés: Miért nyomulnak annyira? Azt hiszik, hogy "zsíros a hal"?

Amúgy meg 5 szakmai kérdést kell nekik küldeni. Egyszerűen ellenőrizhetőt - pl: miért jobb a https a http-nél. Majd a válaszokat megkapva lehet értékelni őket.

A konkrét esetben azt érdemes kérdezni, hogy fejtsék ki a http és a https közti különbségeket információbiztonsági szempontból. Ha a kérdésben már benne van a válasz, annak nincs különösebb sportértéke.

Sajnos ezt is ki lehet játszani, mert valakinek adnak egy deákot, hogy segítsen megválaszolni, aztán nem tudhatod, hogy tényleg értenek-e hozzá. Inkább érdemes a cég vezető "szakembereit" behívni egy interjúra, és ott megkérdezni tőlük egyet s mást.

Te komolyan vizsgáztatnál egy olyan kókler céget, amelyik arra építi az üzleti modelljét, h. átverjen laikus kuncsaftokat? Ez olyan, mint h. hülyékkel nem szabad vitatkozni. Mert ha lesüllyedsz a szintjükre, eltipornak a rutinjukkal.

Szerintem te még nem vitatkoztál soha sötéthülye emberekkel olyan témában, amiben tudtad h. orbitális baromságokat mondanak. De a rámenőségükkel, arroganciájukkal, visszatámadási rutinjukkal sokakat innen lesöpörnének az asztalról. Ezért nem érdemes beleállni egy ilyen vizsgáztatásba, mert ha 1 igazi dörzsölt csalóval van dolgod, simán beledöngöl a földbe. Csak mondom.

Pl. vallásos apple hívőkkel se fogsz tudni vitatkozni apple hibálról, mert személyét ért támadásnak fogja majd fel, és ha igazi vadbarom, te meg nem vagy gyakorlott feketeöves vitapartner, simán legyaláz, akármilyen hülyeségeket is mond. Akinek meg a megélhetése van benne ilyen átverésekben, méginkább gyakorlott mint te.

"Szerintem te még nem vitatkoztál soha sötéthülye emberekkel olyan témában, amiben tudtad h. orbitális baromságokat mondanak"

 

Sajnos minden nap vitatkozom ilyenekkel :-(

Azért írtam, hogy a "szakikat" kell interjúztatni, és nem a cégvezetőt meg a marketingest. Lehet, hogy kiderül, nincs is náluk senki szakember, csak egy bullshit az egész, és ha valahol megnyernek egy melót, tanulókkal rakatják össze a rendszert. Ismertem olyan tanárt, aki másodállásban szoftverfejlesztő céget vezetett, de nem voltak alkalmazottai, hanem a diákokkal lapátoltatta össze házi feladatban vagy szakdolgozatban a melót.

Ez nem jó szűrő, a kókler céges matyi simán kikeresőzi valami netes tananyagból, vagy tudásbázisból a https-http felállás előnyeit, és bevágja azt, nem fog kiderülni, hogy köze sincs a témához.

The world runs on Excel spreadsheets. (Dylan Beattie)

Írd ki a nevét. Máskülönben kamuzol.

nmap esetén minden alap port elérhető, ftp szerverükre anonímousként be lehet lépni és még a jelszó fájlok is ott vannak. Először arra gondoltam, hogy honeypot, de aztán kiderült, hogy nem (nem részletezem).

 

Fel kell tölteni olyan tartalmat (persze okosan) ami bokamegütős kategória, utána feljelented őket mondván rátaláltál erre az általuk üzemeltetett FTPre, ahol XY csúnyaság van.

Aláírás _Franko_ miatt törölve. 
RIP Jákub.
neut @

Érdekes kérdés, de szerintem ha ilyenek vannak ott akkor lehet, hogy már a hatóságokra tartozik. Ha nevek vannak elérhetően a neten meg hasonlók az minimum gdpr sértés, de szerintem még több is. Ha van időd akkor nézz körbe, talán valamelyik hatóságnak van jogköre és akarata.

Szerkesztve: 2024. 06. 19., sze – 15:27

mi vele a teendő?

Nem kell velük szerződést kötni.

Mi a teendő ebben az esetben, hogy a megkörnyékezett cég vezetése észbe kapjon?

Remélhetőleg a cég vezetésével meg lehet beszélni a fenntartásokat.

Szerkesztve: 2024. 06. 19., sze – 16:12

Keserű tapasztalatom, hogy ha a nyomuló cég elég jól el tudja adni magát, vagy pláne érdekeltté teszik a vezetőket, hogy rájuk essen a választás, akkor jó sok milliót el lehet égetni, mire kiderül, hogy valójában alkalmatlanok.

Jött hozzánk is marketinges garázscég, akik valamelyikük szakdolgozatában lefejlesztett megoldását akarták ránk melegíteni. Hónapokig tartó kínlódás után derült ki, hogy nem értenek hozzá, és az egyetem tíz évvel azelőtti verziójú szoftverére tákolták össze a programjukat, amihez képest öt főverzió váltás volt, és rég kivezették azt a protokollt is, amivel ők próbálkoztak. Csak hát addigra kiszámláztak egy csomó pénzt, amit valaki jóváhagyott, és valaki bizonyára így is jól járt, hogy egyébként a projekt bebukott.

Rendszerint az ilyen cégek kapcsolatban állnak valamelyik felsővezetővel és puszira megy a meló. Ez persze multinál működik ahol a fővezér nem tulaj, tehát nem a saját pénzével játszik.

Ilyen esetben nincs értelme küzdenie a szakinak, úgyis megnyerik a melót. A pénzeső után jellemzően eltűnnek és a dolgozó megnyeri a szarpucolást pár évre.

Szerintem éppenhogy nem multira jellemző, legalábbis az nem, amit a topicnyitó leírt.

A multiknál ritka, hogy ne kelljen legalább 1-2 ISO meg hasonló auditált megfelelőséget villantani. Ez a lehetséges beszállítók és alvállalkozók körét erősen megszűri. Természetesen valamennyire lehet az auditot "irányítani", de ez inkább a "majdnem megfelelünk, csak 1-2 dologra ne kérdezzen rá az auditor" esetben működik, ha a cég totálisan kutyaütő, akkor nem fog tudni átcsúszni.

Ettől még persze lehet, hogy a cég és a szolgáltatása/terméke szar, de professzionális látszattal kell szarnak lenniük, hogy egy multinál esélye legyen. A topcinyitó példája pont nem ez.

Régóta vágyok én, az androidok mezonkincsére már!

Tudtad, hogy a portscan már btk?

Link?

Honnantól portscan? Nem nyitott port megszólítása? Egynél több kérés egységnyi idő alatt különböző portra? Vagy szumma? A rendőrség tényleg foglalkozna mind a napi sok esettel minden egyes internetre kötött gép esetében? Vagy csak a szerverként funkcionálóak esetén? 

Lássuk be, ez elég ingoványos mindkét oldalról

Honnantól betörés? Ha csak egyszer lenyomod a kilincset, hogy ellenőrizd, nyitva van-e az ajtó, az már betörés, vagy még csak beköszönési szándék? Ha nincs ott keresnivalója, akkor ne szólogassa a portokat. Szvsz ha egységnyi idő alatt több porton is végigszalad, látszik a logban, hogy próbálkozik, az már egyértelműsíti a szándékot.

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

"Ha nincs ott keresnivalója, akkor ne szólogassa a portokat." - ha van egy rendszer, ahol van portknocking, de elírom az IP-t vagy a DNS még nem frissült, akkor mi van? Mindenképp tudni kéne az egységnyi idő és a több port definícióját. Szóval nem ennyire fekete vagy fehér ez a dolog.

Ha én odamegyek egy házhoz és mgnézem magamnak, az nem bűncselekmény. Ha megnézem, hogy vannak rajta ablakok és ajtó, az sem bűncselekmény. Sőt, ha azt is megnézem és meg is jegyzem, hogy az egyik ablak résnyire nyitva van, az sem bűncselekmény.

Az nmap sem csinál mást: megmutatja a felépítmény (host) nyílásainak (portjainak) állapotát.

Cizelláljunk, ha már ezt a teljesen értelmetlen vitát ilyen hosszúra nyújtjuk:

ha az nmap-al stealth scan-t csinálsz, akkor az nem büntetendő, mert nem mentél be az ajtón, csak látod h. nyitva az ajtó.

Ha meg syn scan-t csinálsz, akkor konkrétan benyitottál az ajtón, és ezért már lelőhet a ház tulaja.

Szerintem.

Megnéztem a törvényben, de szerintem ez nem fér bele, így első értelmezésre sem. Egyrészt a nyitott portok nem titok kategória, pont azért, mert nyitva van hagyva, se üzleti, se magántitkos, se semmilyen kategóriába nem férne bele. Ha meg a szken azt hozza, hogy zárt, az sem kifürkészés, meg nem behatolás, nem rögzítés. Ha az lenne, akkor az IP cím rögzítése/naplózása, geoip használata, pingelés, reverse DNS lookup, traceroute, böngésző user-agent lekérdezés/feldolgozás is illegális lenne. Egy nmap portszken is ugyanez a kategória. Csak azzal, hogy megnézed melyik port van nyitva, de ha nyitva is van, akkor nem kezdesz vele semmit, akkor nem kéne ebből jogi problémának lenni.

Botok millió szkennelik a netet, hostok, portok után kutatva, tartalmat SEO-zva, cache-elve, webcrawl-t végrehajtva, ilyen alapon mindenki bűnöző lenne mostanra.

The world runs on Excel spreadsheets. (Dylan Beattie)

Biztos az oldalukat elrettentő példának használják, hogy "mit, hogyan, biztosan ne".

Szerkesztve: 2024. 06. 19., sze – 18:17

Tele van a világ ezzel a trenddel... Vagy nem?

Szerkesztve: 2024. 06. 19., sze – 21:04

Ha NER közeli cég, vagy egy olyannak n-edik alvállalkozója, aķkor nem sok esélyt adok a harcra. A tipikus felállás az, hogy megszerzik a zsíros üzletet kapcsolati tőke révén, de kb. annyi a szaktudás, mint a bevezetőben le van írva, magyarán az egész cég project managerekből áll. Az érdemi munkát pedig kiadják "négereknek", azaz hozzáértő alvállalkozóknak, aprópénzért. Végső soron a munka sokkal többe kerül, mintha közvetlenül az alvállalkozó lenne vele megbízva. A többlet a megfelelő helyre megy.

Érdekes, hogy senki sem foglalkzik a reakciójában az eredeti "megrendelővel", hogyan alakult ki ez a helyzet.

Én azt mondom, hogy el kell engedni ezt az ügyfelet. Neked lesz könnyebb az életed, mert ha maradsz, akkor lehúzzák a melód, szorulsz. Ha elküld miatta az ügyfél (lecserél), akkor azt rosszul éled meg. Ha összekavarnak mindent és helyre kell tenned, megszívtad (plusz pénz nem lesz érte, mert elvitte a nyomuló). Ha helyre kell tenni, de nem sikerül (mert nagy a baj vagy a tudásodon kívül esik), akkor megint Te szorulsz. Szóval ha maradsz, abból csak rosszul jössz ki minden variációban.

Ha befürdik a nyomakodóval, akkor majd vagy visszajön, vagy nem. És akkor eldöntheted, hogy vállalod újra, vagy sem (nem kellene, és nem sértődésből, hanem racionális alapon - újra megtörténik majd ez később).

Az indokaim:

  • Ha felmerül az alkalmazásuk, akkor Veled nem elégedettek. Vagy szakmailag, vagy anyagilag, vagy emberileg. Ez az elégedetlenség az ügyfél oldali tájékozatlanség miatt is lehet, de azon Te nem tudsz segíteni, nem hiteles magadat dícsérni (pláne ilyen helyzetben). Azért nyílik kapu egy nyomulónak, mert van már egy rés. És itt ezzel kell foglalkozni, nem azzal, hogy a nyomuló mennyire jó vagy rossz. Ha nem erre a nyomulóra váltanak (mert pl. bebizonyítod a hiányosságokat), akkor majd másra. A vezetőség fejében ez már megfogalmazódott a nyomulás előtt...
  • Ha elkezded bemutatni, mennyire alkalmatlanok, akkor az 100%-ban úgy fog tűnni, hogy csak le akarod járatni a meló megtartása végett. Egyszerűen ezt nem lehet hitelesen csinálni belülről. Ezt csak külső fél tudja bizonyítani, abból is olyan, akiben az ügyfél döntéshozója megbízik. Tehát ha elkezdesz ellene dolgozni, akkor rosszul jössz ki belőle.
  • Nem kell az ügyfelet saját magától megvédeni. Ez az ő dolguk (a saját érdeküket nézni), nem a Tiéd. Neked magaddal (az üzleteddel/munkáddal) kell foglalkozni.

Régebben én is menteni próbáltam volna, sőt lehet most is egy darabig a helyzetet. De rájössz, hogy nem a te céged. Nem látod át, hogy ők mit akarnak. Ezek az ő részükről döntések, amikhez te tudsz alkalmazkodni. Meg lehet kérdezni finoman, hogy az új banda minden feladatokat fog ellátni és milyen határai lesznek. Ha még a kérdést sem értik is lehet még elmagyarázni óvodás szinten akár, hogy kb. hogyan működnek a dolgok most. Jóslásba ne menj bele, hogy mi lesz akkor, ha ők lesznek és hasonlók. A miérteket is érdemes megkérdezni a megrendelőtől.
Ha úgy érzed rossz irányba megy a helyzet, te is begyújthatod a rakétádat. Előkészülsz arra, hogy ott hagyd őket. Ha valaki belekavar a munkádba, az mint külsős vállalkozóként, akár belsős dolgozóként (itt talán jobban) zavaró tud lenni. Esetleg rád hárulnak a hibák kijavítása mert a másik nem csak bele..art a ventillátorba, hanem be is kapcsolta azt. Neked meg nem kötelességed azt szagolni. Helyzettől függően még fordíthatsz rajta egy kicsit hogy az irányukba menjen, de ez nem biztos, hogy jó fényt vet rád. A szag oda fog érni, csak idő kell neki.

n.balazs javaslatát is meggondolnám a helyedben / helyetekben, ha eddig nem jutott eszedbe.

Ez mind igaz, nem kell vele foglalkozni. Ha elszigetelt eset lenne, akkor nem.

Az én problémám inkább az, hogy egyre több az ilyen: felszínes (iskolai tankönyv szintű) ismeretekkel rendelkező ál-informatikusok, ál-szakemberek lepik el a piacot, és a klasszikus mondást idézve: lukat beszélnek az ügyfelek hasába. Aztán azon kapom majd magam, hogy nincs hova hátrálni. De nem csak az én problémám lesz ez, hanem nagyon sokaké.

Csak hogy levezessem kicsit mérgemet, írok néhány példát:

1)

Önmagát hálózati rendszermérnöknek kiadó fazon megjelenik az egyik kis cégnél, ahol "B" osztályú IP kiosztás van (172.16.0.0/16). Ment lecserélni a meghibásodott bérelt központi printert/másolót. Mivel a munkaállomások egy fix IP-vel rendelkező printerre küldik a nyomtatást, így ezen is be kellett állítani a címet. A lecserélt printer befoglalt címet kapott DHCP-n, de nem voltam ott, hogy átírjam a MAC-címet a routerben. Szóval a fazon csak nézett, hogy ez milyen cím (172.16.10.1)? Fel is hívott és sipítozott, mert hogy ilyen címzést nem lehet használni, csak 192.168.x.0/24 címkiosztások létez(het)nek privát belső hálózatokon. Annyira felbőszült, hogy szerinte a rossz printer emiatt halt meg -- amúgy nem, a merevlemeze adta be a kulcsot. Aztán fenyegetőzött, hogy kártérítést kell majd fizetnem, és ne magyarázzak, mert őneki három egyetemi diplomája van, ő egy hálózati guru.

 

2)

könyvelő iroda:

  • 5db munkaállomás: core2 PC, 4GB RAM, Debian >> RDP csatlakozás a virtuális win.term. szerverre
  • szerver: DELL Precision T7810, Xeon CPU, 32GB ECC RAM, 3x1TB HDD. >> rendszer: XigmaNAS (FreeBSD) >> SMB szerver + VBox (WinSrv2016)

Megjelenik az egyik ügyfél akinek könyvelnek: hát persze, hogy informatikai cége van, nagyon komoly szinten nyomja a csapatával, elmondása szerint nagy cégek partnerei, nemzetközi kapcsolatokkal, már csak a vodka-martini (felrázva, nem keverve) hiányzott a kezéből. Nézett, hogy ez már milyen szar, miért nem win11 van minden gépen mert a linukszar, miért nem űrhajó kategóriás erőmű gépek és egyéb dolgok. Az iroda vezetője mondta neki: Oké, adj árajánlatot. Az meg is küldte, a tulaj pedig közölte vele, hogy a jelenlegi rendszer amióta be lett üzemelve (bő 4 éve megy már) és semmi gond nem volt, ment/megy az adatok bezúdítása és feldolgozása folyamatosan. Az árajánlatban egy gép (+win11+office liensz) került 370ezerbe, a szerver milla felett. A tulaj pedig mondta: a gépek monitorostól kerültek 5x20e forintba, a szerver 85eFt-ba, depóból, és köszöni, de marad a jelenlegi felállás.

Az informatikus fazon pedig akárhányszor megjelent ott, nyomta a sódert, hogy linuxot/BSD-t csak a kretének használnak, olyanok, akik nem értenek semmihez.

Elképzelhető. Nem NIS2 ugyan, de magyar auditorcégtől kaptam olyan komoly audit kéréseket, hogy a tűzfal típusát, verzióját adjam meg, valamint mutassam meg, hogy a tűzfal szabályrendszerének elején mindent tiltunk, és később csak azt a forgalmat engedélyezzük, ami ténylegesen jöhet.

Megírtam, hogy a tűzfal sorban dolgozza fel a szabályokat, tehát a globális tiltás a szabályrendszer végén van. Arról küldtem nekik screenshotot, hogy nyugodjanak meg. A következő szokásos éves auditon megint ugyanazt kérdezték, tehát még az is lehet, hogy a választ el se olvasták, vagy ha mégis, arra nem vették a fáradságot, hogy a teljesen rutin kérdéssorukat aktualizálják legalább.

Ha nem az ügyfélhez (ügyfélszámhoz, bevételhez) ragaszkodsz, hanem a saját céljaidhoz, és emiatt el tudsz engedni ügyfelet könnyebben, akkor kialakul az az ügyfélkör, aki benned bízik, és lepattan róla minden ilyen megkeresés, hiszen neki meg van oldva ez a terület megbízható emberrel/céggel.

Tapasztalatból mondom, nem emlélet.

Az a lényeg, hogy ne olcsó melókat/megbízásokat keress, ha valahová ajánlatot adsz, akkor ne az ár legyen ami melletted szól. Ezzel (az árazással) ki tudod az összes olyan ügyfelet szűrni, akinél csak a fizetendő összeg számít a szakmai tartalom helyett. Az ilyen cégeknél fordul elő legnagyobb arányban az, hogy ilyen megkeresésre nyitottak (hátha olcsóbb, tartalom ugye mindegy).

Ahol nem a pénz az elsődleges (és sokszor egyetlen) szempont, ott tényleg szarul kell dolgozni (az ügyfél által érezhetően szarul), hogy le akarjanak cserélni. Ugyanis a csere macera, amit senki sem akar, ha nem muszáj.

A második példa (könyvelő) esetében csak azért engedte, hogy árajánlatot adjon az ügyfél, mert mint könyvelő érdekelte mit mennyiért kínálnak. Frászt akart váltani :)

A hülye ügyfeleket lepattintom, mert többet ártanak mint hasznot hoznak. Az olcsóságot sem viszem szélsőséges irányba, van egy határ. Azonban pont ezzel találtam sok (és jó) ügyfelet, mert elegük lett abból, hogy mindig (3 évente) ment az új gépek cseréje, a windows időnként öszerottyantotta magát és ezért is fizetni a karbantartást, stb... Ha látnak egy stabil, kedvező árban lévő konfigurációt, az nekik öröm. Ahogy az egyik cég tulaja mondta: nem az új eszközök ára zavarja, mert akár a dupláját is kifizetné, ha azt látná, hogy nem kell azon aggódni, mikor fullad be a rendszer (momentán a windowsra gondolt).

A linuxszal egyre inkább kezdenek megbarátkozni az emberek. Érdekesség, hogy nem otthoni magáncélú használattal válik elfogadottá, hanem a linuxszal dolgozó irodisták révén. Nem panaszkodnak, hanem kifejezetten örülnek, hogy stabilan megy minden.

Hidd el jobb elenegedni aki menni akar. Ne akard minden áron megtartani az ilyen ügyfelet.

Aki ilyen irányba okosabbnak gondolja magát, esetleg alád akar ásni, azokat általában a megrendelő bevonásával kezelem, mivel a döntést ő hozza meg.
Ha pedig nem jön be amit okoskodott, akkor ott lesz a nyoma, hogy miért kell a következő utalást csinálni.

Nekem voltak ügyfeleim akikel nem tartom már a kapcsolatot semmilyen szinten. Néha aranyhal memóriájuk van és megkeresnek valami nagyon jó munkával. Csak akkor fagy le a mosoly a képükről amikor mondom hogy eléggé tele vagyunk, olyan több hónap a sorbanállás. ... és amúgy sem fogunk nekik dolgozni többet.
A hálózati dolgok nagyon kacifántosak tudnak lenni. Sokmindent lehet sokféle képen megoldani, szóval hamar aknára tud lépni, aki csak úgy módosítani akar valamit.

Vannak megrendelők akiknél pedig úgy gondolják nem is végzel munkát, mert évek óta semmi gond nincsen és minden működik. 
Ezek is felejtősek idővel. Majd jönnek amikor gond van és általában a legjobban ők vannak felháborodva, hogy hát 3 éve csináltad és most nem megy és mi az, hogy nem tudsz jönni szombaton megcsinálni azonnal, persze garanciában.

Te megcsinálsz valamit. Azzal a munkával legyél elégedett, olyat adj ki a kezedből. A megrendelő örüljön, elégedett legyen, olyat adj ki a kezedből. Ha pedig a megrendelő holnaptól nem akar veled dolgozni, akkor engedd el a kezét.

Szerkesztve: 2024. 06. 20., cs – 16:25

@Tron lehet hogy tudom, kik ők.

Ha cég neve második része (utolsó 4 karakter) beírod a wikipédiába. Az Embereknél a középső egy fehér hajú, fehér szakállas bácsi képe jön be ?

 

kieg:

@Tron nem áruled el így rejtve, hogy jó-e a tippem ? Olvastad ezt ?

Van érdekes tapasztalatom velük, ha ők azok akikre gondolok.

Nalunk erre van egy mondás: "Az ügyfélnek jogában áll hülyének lenni!"

Közvetlenül a “kókler cég” ellen jó eséllyel nem tudsz semmit tenni.

A menedzsmentet szándéka ellenére nem fogod tudni megjavítani, meg se próbáld.

A menedzsmentnek (konkrét számok mentén) tudhatsz alternatívákat adni, amiből ők választanak.

Ha “nem jól” választanak akkor utólag esetleg tudhatsz “reportálni” arról hogy ez a kis kaland plusz mennyibe is fájt (majd, a végén)

A saját szempontjaidat kell nézd: a rendszereket, a felelősségeket pontosan határold le. Ha hibát kell javítanod utánuk azt fizettesd ki rendesen, sőt. Dokumentálj mindent, az erre fordított időt is fizettesd ki. Gondolkozz el azon hogy az egész megéri-e neked és ha nem akkor keress mást.

Ha valamit nagyon megtanultam az életben: soha senkit nem szabad segíteni az akarata ellenére.

Gábriel Ákos

Ha “nem jól” választanak akkor utólag esetleg tudhatsz “reportálni” arról hogy ez a kis kaland plusz mennyibe is fájt (majd, a végén)

Esetleg annyival egészíteném ki: Már közben. Ne tarts magandál infót, folyamatosan legyél transzparens. Tudjanak róla, hogy mi történik, és miért. Ha valami kóklerség van, akkor "új email" + összefoglaló írása... szerintem. Sőt, ha jól értem, már van egy adag, amit így meg lehet írni, hogy nyoma legyen. - Fontos a döntések meghozásához egy menedzsernek kell az infó, és a szakemberek véleménye (akiknek felelősége átadni).

(már, ha jól értem a kérdést, és a szereped itt)

A transzparencia is akkor érték csak, ha értékelik. Láttam már olyan helyet ahol ezt sem értékelték. Ha ezt így realizálod ezzel sincs probléma, a megfelelő helyen és időben alkalmazva lehet ebből is jól kijönni, kritikus persze az, hogy a dokumentáció meglegyen.

Én alapvetően szeretek transzparens lenni, tőlem nagy önfegyelmet és odafigyelést igényel ha nem ennek kell lennie a default működésmódnak. 

Gábriel Ákos

Én alapvetően szeretek transzparens lenni, tőlem nagy önfegyelmet és odafigyelést igényel ha nem ennek kell lennie a default működésmódnak. 

 +1 Tőlem is. A dokumentáció tényleg kritikus, és legyen elérhető bármikor, ezért napra késznek is kell lennie. De érthető, ha nem akarja pl egy nagyfőnök, hogy minden adhoc dologgal megkeressék, az nem biztos, hogy hatékony, kell a rend.

+1
Ha kétségeid vannak, különösen fontos, hogy mindennek legyen nyoma, ne próbálkozhassanak olyanokkal, hogy 'Hát most épp megakadtunk,  mert nem találtuk az OpenSSL-t a gépen, megkérdeztük a rendszergazdát, de még nem válaszolt', hanem legyen meg a nyoma, hogy 'tíz perccel később válaszoltam, hogy a titkos hely, amit keresnek, a /usr/bin/'

Na ilyen segítség biztosan nincsen, mert előbb-utóbb ott találod magad hogy "a kurva anyádért nem csináltad már meg..."
Olyan segítség van, hogy: a csomagot a standard módon tettem fel ekkor és ekkor, ilyen és ilyen verzióban, ennek megfelelően kell keresni bármit.

Gábriel Ákos

Az ilyen típusú mondatok felszínre hozzák a szakértelem tényleges szintjét mindkét oldalon.
Azt a kommunikációs helyzetet kell megteremteni hogy a nem-hozzáértő kívülálló is tudjon dönteni.

Eszembe jut még hogy a “kérdés alapú kommunikáció” is tud működni. 

Ebben a szituban felteheted például ezt a kérdést:

- kerested már a standard helyén? 

Nem jelentettél ki senkiről semmit, irányba állítottad a kérdezőt. Ez az a típusú kérdés amire nehéz úgy visszakérdezni hogy ne legyen ciki.

Gábriel Ákos

Megtörtént velem is több ehhez hasonló. Mondjuk többnyire konfigokat kerestek, amik meglepő módon az /etc-ben voltak. :)

De tudod van az a szint is, amikor ha csak ránézel arra hogy mit és hogyan csinál.... Vagy csak visszanézed a bash historyját... Már abból látod, hogy halvány lila fingja nincs az egészhez.

Legjobb a legutóbb eset volt ~1 éve. Nyilván (vagy hát, nekem nyilván, másnak nem..) mivel ténylegesen üzemtettem a rendszert, sok pont volt integrálva és be volt kapcsolva hozzánk. Userek, belépés, monitoring, management tool, értesítő emailek és emailcímek, stb, stb... Küldtek mailt vagy 3 héttel a szerződés vége előtt, hogy kér az új üzemeltető usert minden szerverre, hogy körbe tudjanak nézni a gépeken. (Előzetesen tájékoztattam az ügyfelet, hogy ha kiadok teljes jogú usert, onnantől nem tudom vállalni a felelősséget a szerverekért). Aznap nem csináltam meg valamiért... Másnap már jött az ügyféltől a telefon, hogy mikor csinálom meg, mert nem tudnak haladni, így nem tudja az új üzemeltető átvenni a rendszert. Megcsináltam gyorsan (management-tel kb. 2 perc alatt az összes gépen), írtam hogy kész. Ezt követően napokig semmi. Baromi sürgős volt.

Aztán beléptek 2-3 gépre körbenézni. Majd utána megint semmi.

Pár nappal a szerződés vége előtt kérték, hogy akkor takarítsak le a gépekről mindent, ami bármilyen módon hozzánk vagy a mi szolgáltatásunkhoz köthető. Írtam, hogy egyrészt innentől én sem fogok tudni belépni a gépekre (se user, se management), másrészt több olyan gépet látok, ahova még be sem léptek a kapott userrel, harmadrészt alapvető dolgok fognak hiányozni a gépekről (pl. repók nem lesznek, email küldés nem fog menni, mert az smtp ki lett pucolva, stb). Mellesleg azt is odaszúrtam, hogy ezt nekik kéne megcsinálni, "meggyőződni" arról, hogy mi van a gépeken, amit átvesznek.

Csak erősködtek, hogy márpedig takarítsak le mindent, ők addig nem csinálnak semmit. Hát jó... Management-tel lepucoltam mindent, kitöröltem a usereinket, kitöröltem a konfigokat, leszedtem a szolgáltatásokhoz kapcsolódó csomagokat, majd utolsó lépésként a management leszedte saját magát. Írtam hogy kész.

Másnap jött az email, hogy nem tudnak belépni erre meg arra a gépre, meg nem megy ez meg az, azonnal csináljam vissza. :DDDD

Én meg jól az orruk alá toltam, hogy pontosan ezért írtam, hogy legalább a belépést meg a sudot nézzék már meg. Kivágtam magam alatt a fát, mint írtam én se tudok visszamenni, szóval ha ők sem, akkor jöhet valami rescue system meg password recovery. Good luck, ez már nem az én bajom!

"Sose a gép a hülye."

A legszarosabb történetek mindig a lelépések környékén születnek.

A munkáltatómnak dolgozik be 2 alvállalkozó, én ezzel a 2  alvállalkozóval vagyok kénytelen sok-sok melón együtt dolgozni. (A 2 alvállalkozó valójában egy nemzetközi, közepesen nagy méretű szolgáltató multicég, meg egy kisebb méretű de szintén nemzetközi társaság). Az én mulkáltatómnak az ügyfeleit tutulgatja ez a 2 cég, mert inkább hagyja ezeknek a munkaadóm kitalicskázni a mi ügyfeleink pénzét, mintsem h. én és a kollégáim ugyanazt a munkát sokkal kevesebb költségen, és legalább ugyanolyan jól ha nem jobban házon belül megcsinálhatnánk.

Na az egyik ügyfelünket a munkáltatóm át akarta a házon belülre venni az egyik fentebbi bedolgozós cégtől. Routerek, voice gateway-ek voltak az éles rendszerben. De valószínűleg olyan faszán írták meg a szerződést egymás között, h. az alvállalkozónk nem volt hajlandó átadni a logineket a munkáltatómnak, mert a routerek és voice gateway-ek konfigja az ő intellectual property-je. Ezért az eszközöket csak teljes konfiggyalulás után használhatjuk mi. Amit meg is csináltak demonstráció gyanánt a mi ügyfelünket kiszolgáló éles rendszer egyik telephelyén. Utána gyorsan (pár hét pszchilógiai hadviselés, zsarolás és zárt ajtók mögött a 2 cég nagyembereinek egymás kurvaanyázása után) megszületett a megállapodás, h. valami horror pénzért adták át eszközönként a logineket a mi mérnökeinknek.

Ugye nekem és az összes kollégámnak ez a tetves cég (a sajátomról beszélek, nem az alvállalkozóról) a belemet kitapossa, h. évente x millió EUR-t hozzak be bárhogyan az ügyfelektől, pedig a munkaköröm nagyon távol áll a sales-től. A másik oldalon meg aki elbaszta ezt a szerződést ill. aki aláírta ezeket a feltételeket, az ezzel nagyobb kárt okozott, mint amit mondjuk az egész budapesti bagázs behozott euroban az elmúlt üzleti évben. De azoknak nem vágták le a faszát a felsővezetés, minket meg alsószintű rabszolgákat meg minden évben egyre magasabbra rakott léccel stresszelnek, amit meg kell ugrani.

a megszokott történet: egyre több melót raknak rád, a haszon pedig ott csapódik le, akik a plusz terheket generálják. Szerintem Te is az a naív és lelkiismeretes szaki vagy aki inkább büszkeségből és megszállottságból csinálod (mert tikkelési rohamot kapsz ha valami szarul méködik) mintsem pénzért és karrierért.

Én nem lepődnék meg, ha valakinek a ti cégetektől komoly pénz ütötte volna a markát okosba ezen meállapodás nyélbe ütése után...

Alapból nem értem, hogy ha van egy ügyfél, és van neki egy eszköze, azt az eszközt valaki pénzért beállítja (konfigurálja), az milyen törvénnyel védhető módon lesz intellectual property külső (a konfiguráló) félnél? Egy egyedi szoftvernél értem. De egy eszköz konfigurációjánál... Az meg pláne nem világos, hogy hogyan lehet olyan szerződést megkötni, amibe ezt lefektetik, és ez a tétel az aláírás előtt senkinek nem szúr szemet.

Valamint az is érdekes kérdés innentől, hogy az adott ügyfelet miért kellett ilyen költség árán is visszahozni házon belülre, miért nem visszakoztak, hogy maradjon az alvállalkozónál, mert túl drága.

<off>Rosszul vagyok, mikor túltolják ezt a HTTPS témát, nyomorék böngészőkkel együtt: mikor egy statikus és/vagy semmi adatot be nem kérő weboldal is nem biztonságos... gáz</off>

ha ugy erted, hogy elegendo eroforras rendelkezesre allas eseten, ip szinten mindket tipusu protokolon elerheto weboldal elteritheto, abban igazad van.

a kerdes csak az, hogy mekkora ez az eroforras igeny http es mekkora https eseten, es hogy a bongeszoben levo CA-k melyikenel mennyibe kerul megkenni valakit, hogy a tanusitvanyt kiallitsa.

neked aztan fura humorod van...

Ezzel az a baj, hogy ha kiderül, akkor a teljes céget az összes tanúsítványával együtt kizárják, a céget meg kb. beszántják. Nem véletlenül nem akar mindenki bizalmi szolgáltatót csinálni, iszonyat szívás mindennek megfelelni, cserébe korántsem akkor nagy üzlet.

Egy DV-certet "csak úgy" nem fogsz megkapni a kispiricsbetepontakarmi domainre, hacsak nem tudod a DNS-t és/vagy a webszervert írni, és ott a CA által a validáláshoz kért adatokat elhelyezni. A domain validated cert pont az, aminek nevezik: azt bizonyítja, hogy aki azt igényelte, az az adott domain-t kiszolgáló DNS-hez vagy magához a certben szereplő webszerverhez írási joggal rendelkezik, azaz ezeket kontrollálja.

Példa:

mi a megbízhatóbb információ, miután írtál egy kérdést XYZ-nek:
-kapsz egy képeslapot "XYZ" feladóval, és rajta azzal a szöveggel, hogy "XYZ köszöni a megkeresést, és válaszolnak hamarosan. XYZ-től nyertél egy nyaralást",
-kapsz egy ajánlott/tértivevényes levelet XYZ feladóval, amibe megköszönik a megkerersést, és jelzik, hogy hamarosan részletes választ kapsz."

Az első esetben az a biztos, hogy kaptál egy üzenetet, és ennyit tudunk biztosan (megviccelhet a postás, akár a teljes képeslappal, akár azzal az nyaralásos megjegyzéssel, a második esetben meg könyvelt, zárt küldemény érkezett,a  tértivevény alapján lehet tudni, hogy hova megy vissza a kézbesítési értesítés (azaz kvázi biztosra vehető a feladó), illetve az üzenet tartalma is az, amit a küldő útnak indított.
 

Az, hogy 2 perc alatt megtévesztő domain-t regisztrálsz, valid DV certtel, meg az, hogy egy létező domain felett a kontrollt megszerzed (hogy a tartalmat átírd, a certet ellopd, vagy neked állítsa kia certet valaki a te webszerveredre), az nem teljesen ugyan az...

Míg http forgalom esetén könnyebb közbeékelődni és kicserélni a tartalmat, addig https esetén nem igazán tudod megoldani a domain-re szóló cert megszerzése (és a DNS "átirányítása"), vagy a domain/webszerver feletti irányítás megszerzése nélkül.

A DV cert semennyivel sem véd kevésbé műszakilag egy weboldalt, mint egy EV cert. Az EV cert a felhasználó felé mutat több információt, amitől a felhasználó az adott oldalban jobban megbízik, hogy az, akinek mondja magát. De műszkilag a DV cert is ugyan úgy megakadályozza a legtöbb visszaélést.

Így nézve, még a lejárt vagy ön-aláírt tanúsítvány is ellátja a funkcióját. Valószínűleg elbeszélünk egymás mellett.
Az admin felült és mindenféle input nélküli, HTML-ből és JPG-ből álló weboldalra ott a baxott nagy figyelmeztető jel, hogy nem biztonságos, miközben a 10perccel ezelőtt beregisztrált otpbankportal.com mostanra szó nélkül megkapta a Let'sencryptes certet, httrack-el lemásoltam a bank weblapját és biztonságos keretek között, névtelenül adathalászok. Tök jó... de bocs most mennem kell, hív az anyósom, biztos neki is kiírta az AcdSee-ből exportált unokásképes galériára a böngésző, hogy meg ne nyissa, mert világvége lesz...

Igen, gyakorlatilag bármilyen tanúsítvány esetén megvalósul a titkosított adatcsere, ergo az adatokhoz út közben nehéz hozzáférni/meghamisítani.

Az ilyen scam ellen nem az EV cert véd, hanem a felhasználók (úgy általában: emberek) biztonságtudatos képzése. Mert ha ez hiányos, akkor hiába az EV cert, ha sem tudja, hogy azt meg kellene nézni... Vagy felületes, és a profi scammer is EV certet használ a kamu oldalán és a user csak azt nézi, hogy EV cert van-e, mert ha EV, akkor már tök megbízható ugye az oldal (bármi is legyen rajta).

De nem vitázni akarok, csak azt szemléltetni, hogy az ilyen problémákat egyáltalán nem műszaki oldalról lehet és kell megoldani, meg (talán/szerintem) nem is lehet.

Abszolút így gondolom, hogy a felhasználók oktatásával lehetne ma a legnagyobb eredményeket elérni. Az egyszeri user nem fogja tudni (minek is érdekelné, meg honnan is tudná?), hogy mit tud az a tanúsítvány? És nekem azzal van bajom, hogy a böngészők simán biztonságosnak jelzik azt, ami ordas nagy átverés/adathalászat, miközben a nullához konvergáló kockázatot rejtő oldalra meg kiírják, hogy nem biztonságos. Mert az egyszeri user azt sem tudja, hogy az oldal használata biztonságos, vagy az adatkommunikáció a végpontok között. Ő csak azt látja, hogy biztonságos és bátran ad meg mindenféle adatot. Akkor inkább ne írjon semmit a böngésző, nekem ez a bajom az egésszel...

NEM a  _tartalom_ valódiságát, hanem a domain/webszerver feletti kontroll-t bizonyítja a DV-cert. Vannak magasabb szinten validált igénylések, amikor a domain hazsnálati jogot, illetve az adott névhez kapcsolódó felügyeleti jogot vizsgálják. (De a kirakott tartalom valódiságát _nem_. )

" a 10perccel ezelőtt beregisztrált otpbankportal.com mostanra szó nélkül megkapta a Let'sencryptes certet,"

No akkor repetitio est master studiorum: A domain validated cert azt jelenti - ahogy a neve is mutatja - hogy az igénylője a cert kibocsátásakor képes volt kontrollálni az adott domain DNS-ét és/vagy a certben szereplő webszerveren lévő tartalmakat. Ennyit állít, semmi többet. Az, hogy te a fekewebsitepontvalami domaint be tudod regisztrálni, és oda le tudsz másolni tartalmat, az _nem_ a certen múlik, _nem_ a titkosított csatorna létén vagy nemlétén múlik. A cert, illetve a titkosítás arra szolgál, hogy a két végpont között közlekedő tartalmat harmadik fél (gyakorlatilag) ne tudja módosítani, illetve megismerni. (Igen, ha sikerül egy CA-certet valahogy a klienssel megetetni hiteles ca-ként, vagy ha sikerül egy CA-t kompromittálni, és kiadatni vele egy certet adott CN+SAN kombóval, és azzal közbeékelődni a kliens és az eredeti szerver közé, akkor az ezt elkövető harmadik fél át tudja csomagolni a TLS-t, és viheti/módosíthatja az adatfolyamot mindkét irányban...)
 

Szerintem a kollégának az a problémája, hogy ma nem nagyon látszódik a címsorban, hogy milyen típusú a cert. Régebben még pörgött a zöld vagy a kék szín, de ma erőlködni kell, ha meg akarod nézni a cert típusát: tipikusan nem is nézi meg senki. Nincs már az, hogy az OTP zöld és akkor minden jó (nagyimnak pl. átment).

A cert _nem_ a tartalom valóságtartalmát, hanem a szerver oldalon a certet igénylőnek a szerveren lévő tartalom fölötti kontrollját bizonyítja, erről van szó, illetve arról, hogy a titkosítást azt biztosítja, hogy a szerverrlől elindított tartalomfog megérkezni a kliensedre és viszont, valamint hogy ahhoz harmadik fél nem fér hozzá.

Ez sem feltétlen igaz, mióta pl. a cloudflare és hasonló szarság létezik, ami egyrészt röptében állít ki certet bármire, másrészt simán megy úgy, hogy te mint kliens a cloudflare-ig HTTPS-en mész, onnan meg sima HTTP a kapcsolat a valódi kiszolgáló felé.

Baromi sok oldalt láttam így működni már.

"Sose a gép a hülye."

A "bármire" nem igaz - mivel a CF a külvilág felé teljes(!) kontrollal rendelkezi a mögé rakott tartalmak fölött, így arra jogosan kér/kap/állít(tat) ki certet. Az, hogy a CF - "backend" között a backend-es webszerver fillér...ó, vagy épp trehány gazdája miatt nincs TLS, az más kérdés, az a CF - "backend" kapcsolat biztonságáról szól(na), nem pedig a CF és a böngésző (kliens) kapcsolatról.

Ha a ficemfacomcegpontTLD -re mész TLS-sel, ott sem tudod, hogy end2end tls van-e, vagy csak egy TLS-es frontenddel beszélgetsz, ami mögött x darab http-n elérhető tényleges webszerver van.

A "semmi ellen nem véd" baromságra meg sokadszor: a kliensed és a TLS-csatorna másik vége közötti forgalommódosítása és harmadik fél általi megismerése ellen véd. Példa: x cég küld neked egy postai levelet. Ez ugye elkészül valamilyen formában, kinyomtatja valaki, odaadja a postázást intéző kollégának, aki fog egy borítékot, belerakja (eddig belül, http, mert aki hozzáfér, megismerheti, sőt át is firkálhatja), leragasztja, majd portára adja (postás már nem lát bele - https a postaládádig), kiveszed, kibontod, örülsz. vagy sem.

A leragasztott boríték mitől is védett ennek a folyamatnak a során? A benne lévő levél tartalmának valótlanságától, vagy attól, hogy a postás (meg aki út közben hozzáfér...) megismerje vagy épp átfirkálja a leveledet?

 

Ha a ficemfacomcegpontTLD -re mész TLS-sel, ott sem tudod, hogy end2end tls van-e, vagy csak egy TLS-es frontenddel beszélgetsz, ami mögött x darab http-n elérhető tényleges webszerver van.

Igy van, kezdunk kozeledni a valodi problemahoz.

Példa: x cég küld neked egy postai levelet. ... (eddig belül, http, mert aki hozzáfér, megismerheti, sőt át is firkálhatja)

De ugye a flexible certnel nem ez tortnik, igaz? Hanem valami olyasmi, hogy megirom a levelet, bedobom a postaladaba, valaki onnan kigyujti, elviszi az eloszotba, es ott valaki beboritekolja helyettem, hogy a last mile kezbesito mar ne tudja elolvasni. Hogy elotte mi tortenik, azt meg nem tudja senki. 

Szerkesztve: 2024. 06. 21., p – 23:24

--'

Sziasztok! Hasonló helyzet van nálunk is. Bő egy hete megkeresett egy civil szervezet, ransomware támadás megzabálta az adataikat egy NAS-on. Bevizsgáltuk az eszközeiket, és olyan kritikán aluli "megoldásokat" találtunk, aminél előkerült a családi káromkodásgyűjteményem. Van ugye olyan hogy hibázunk, elrontunk valamit, vagy adott helyzetben kicsit eltérve a "best practice" megoldásoktól, szokatlanul alakítunk ki valamit. De ez itt egészen más, és egy " IT cég" követte el. Vázolom hogy mi az az öt pont amiből szerintem egy is elég ahhoz hogy "belekössek" a kivitelezőbe:

  • A NAS admin felülete alapértelmezett porton, titkosítás nélkül (80-as port) kint volt publikus IP címen.
  • A NAS alapértelmezett "admin" fiókját (is) használták. A jelszó a szervezet neve, pár kis-nagybetű variálással és egy számmal.
  • Az SMB szolgáltatás ki volt nyitva az Internet felé! Úgy ahogyan van, csupaszon, minden nélkül! 445-ös, stb. portok. Magában. Az eszközök egy dinamikus DNS címre csatlakoztak, simán "map network drive"-al... A hozzáférés külsős partnerekkel is meg volt osztva.
  • Semmilyen biztonsági mentés nem készült. A NAS sem snapshot képes, se fájlelőzmények, semmi. Amit felülírtak, az felül lett írva.
  • Tavaly év közepe fele kiadott a NAS gyártója egy közleményt hogy sebezhetőek az eszközeik, azonnal frissíteni kell a firmware-t. Ugye mondanom sem kell hogy nem volt frissítve, a sebezhetőségen át is simán törhető volt az eszköz amúgy is.

Szerintetek van jogorvoslati lehetőség ilyen esetben? Közel három évtized munkája ment a levesbe.

(Zárójel: ha valakinek van tapasztalata a C3rb3r nevű zsarolóvírussal (.L0CK3D kiterjesztés), kérem keressen meg!)

Érdemes megpróbálni, de semmiképp nem lesz könnyű, ugye valaki aláírta azt a teljesítésit. Ha folyamatos szerződés volt támogatás/üzemeltetés feladatokra, akkor simább a helyzet, de ha kvázi projektként leszállította, majd a megrendelő maga vállalta a spórolás kockázatát azzal, hogy nem fizetett üzemeltetésért úgy, hogy maga sem ért hozzá, hát az az orosz rulett és a tanulópénz esete 

én voip központ esetén szoktam mondani a tisztelt usernek, hogyha neki könnyű belépni távolról (értsd: nincs vpn, port-knock, etc) - akkor másnak is.
Ennek fényében NEM javaslom, de kérheti ennek ellenkezőjét...

(azon már túl vagyok, hogy ezen feleslegesen vitatkozzak az Ügyféllel - feleslegesen és ingyen...)

avagy nézd meg a kamerás rendszereket... 5-10 évvel (és a cloud rendszerek) ezelőtt mennyi kameraszerelő foglalkozott azzal, hogy VPN-re kényszerítse a usert? voltak olyanok is, akik értettek ezen részéhez is (vagy legalább nem cigiztek az oktatáson amikor ezt a részt mutatták) csak ők drágábban dolgoztak (volna)...

Nekem volt most egy esetem, hogy ügyfél 50e forintos kínai fostalicska kameráját allitsam be a telefonjára. Miután elmondtam neki, hogy jó eséllyel ezzel az eszközzel csak azt oldja meg, hogy nyilvános legyen a kamera által adott kép a világ összes érdeklődője számára, ekkor megsértődött, hogy őt ez paranoia nem érdekli, csak használni szeretné végre és majd csináltatja mással, aki nem ilyen problémás. :)

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ezeknél egyetlen esélyük (esèlyed) h. azt a konkrét vírustípust valaki a szekus iparban felboncolta és megfejtette a titkosító módszert ÉS (!!!!!!) publikálta a megfejtő programot. Amíg ez nem történik meg, addig elrakni az összes érintett gépet izolált helyre, és várni a csodát. Ha lesz.

Vagy b verzió, fizetni. Könyörögni rimánkodni nekik h. csóró ügyfél, semmi pénzük, nézzenek utána a fájlok között. Ha sikerül hatni rájuk, akkor nem lesz sokmilliós a váltságdíj.

Pont ezt csináljuk. Fizettünk X összeget némi alkudozás után. Aztán azt kaptuk hogy megnézte a "developer team", és többet ér, kérnek még pénzt. Napok óta megy az oda vissza levelezés. Valószínű fizetni fognak, de félek akkor sem kapunk semmit. Azon túl vagyunk hogy küldtünk pár fájlt és visszakaptuk olvashatóan.

Van egy olyan érzésem, hogy
- Nem volt karbantartási szerződés.
- Nem volt specifikálva sehogyan se, hogy hogy nézzen ki az IT rendszer - beleértve a NAS-t is.
- A megrendelőnek nem ez a szakterülete.
- Senki nem volt, aki a megrendelőnél értett volna hozzá.

És hány ilyen van még a világon.... Ha az ilyen cégektől csak 100e Ft-t elkérnék és rendbe tenném a rendszerüket legalább alap szinten (és ki is fizetnék), akkor már milliomos lennék. Ja és felvehetnek még legalább 10-15 kollégát is.

0. lépés a próbálkozás előtt: csinálj disk-to-image backupot.
A https://id-ransomware.malwarehunterteam.com/ oldalon (forrás: https://www.pcrisk.com/removal-guides/28248-c3rb3r-ransomware) nézted már, hogy létezik-e esetleg kerülőút a visszafejtéshez? Cerber V1 visszafejtő már létezik (Trend Micro). Esetleg még ez segíthet: https://sensorstechforum.com/c3rb3r-decryptor/

Jövőbeli érdeklődőknek még egy további link: https://www.nomoreransom.org/en/index.html

Az érzéseid helyesek. Én arra gondoltam a kérdésekben hogy ha valaki ennyire nem ért hozzá és ezzel igazolhatóan kárt okozott, azzal szemben nincs felelősségre vonási lehetőség?

A hozzászólásod második felével kezdtem, ez "alap". Ez a V3, egyedi kulcs, ChaCha titkosítás. :(

És akkor még kérdés, hogy a műszaki ellenőr ért-e hozzá eléggé, és van-e annyira becsületes, hogy nem fogad el "látásjavító" összeget a kivitelezőtől...

Egyszerűen nem biztosítható, hogy minden területen találj egy megbízható, objektív szakértőt/tanácsadót, pláne annyi pénzért, ami az adott projekt szintjéhez igazodik...

Mindenhol valami módon a szakmának kellene "kiventie" magából a kóklereket. A hogyant sajnos nem tudom, de ha lenne ilyen kezdeményezés, mi csatlakoznánk...

Nyilván vannak jó nagy (és még nagyobb) disznóságok, itt-ott beleszalad az ember, de azért lehet boldogulni.

Ha nincs pénz műszaki ellenőrre, szakértőre (például mert a projekt szintje nem bírja el), privátban is tájékozódik az ember nagyobb beruházás esetén, több szakembert is megkérdez és elgondolkodik a hallottakon.

Ha valaki az első jött-mentre rábízza mindenét, az ne csodálkozzon. Az se csodálkozzon, aki csak és kizárólag a legolcsóbbat választja minden esetben.

Egyébként a NIS2 pont hasonlók elkerüléséről szól, most tekintsünk el attól, hogy milyen a törvény, de maga a szándék jó. Kicsikre vonatkozóan is kellene valami, nem feltétlenül kell túlbonyolítani, egy néhány órás ellenőrzéssel sok probléma kiszűrhető lenne. Vagy akár az iparkamara is a dolgok élére állhatna, akár csak annyival, hogy proaktívan felhívja a veszélyekre a figyelmet, szétküldi, ki mit ellenőrizzen saját magánál, mire kérdezzen rá az informatikusánál (vagy a havernál, aki informatikus stb), milyen válasz esetén kezdjen el gyanakodni. Mindezt meg lehetne spékelni 1-2 valós esettel, hogy hihetőbb legyen a kérdés súlya.

Vagy akár az iparkamara is a dolgok élére állhatna

Te álomvilágban élsz. Az a szervezet csak azért létezik, h. legalizáltan lophasson pénzt (tagdíj beszedés), ilyen megfoghatatlan világjobbátevő szándékról ők maguk sem tudnak h. valaha is akartak volna olyasmit.

Ha valahogy be lehetne szedni +1 adó formájában azt a tagdíjat, meg lehetne másnap szüntetni az egész iparkamara intézmènyét.

Nincs illúzióm az iparkamara felől, én csak egy szakmai problémára írtam egy potenciális megoldási lehetőséget. Vagy melyik lenne szerinted az a szervezet, amelyik ezt meg tudná csinálni? Vagy milyen egyéb megoldást látsz, ami közelebb van (pontosabban nincs messzebb) a megvalósíthatósághoz?

A hanyatló nyugathoz tartozó Ausztriában a WKO-nak (osztrák iparkamara) rendszeresen vannak kiadványai (papír alapon), melyekben az információ biztonság téma, sőt "Cyber-Security-Hotline" telefonszámuk is van (https://www.wko.at/it-sicherheit/cyber-security-hotline). Még egy kicsit erősíthetnék a témát, de egész jó. Nagyon fájdalmas látni, hogy milyen messze vagyunk ettől, ráadásul a főfejes kelet felé lőtte be az irányt.

Mibol gondolod, hogy nem az volt a folyamat, hogy a VPN tul bonyolult volt szedjetek le, a self-signed cert is csak hatraltatta az eszkoz elereset ezert azt is ki kellett kapcsolni, vegul pedig az "ez a jelszavatok, valtoztassatok majd meg!" kerest sem teljesitettek? 

Jó szakembernek hiába mondja ezt az ügyfél, egyszerűen nem csinálja meg.

A cél az lenne, hogy ne találjon olyant, aki a végén mégis megcsinálja.

De ennek az a titka, hogy az ügyfélnek szerencsésnek kell lennie (jelenleg), hogy elsőre olyan szakival akadjon össze, aki el is magyarázza neki, az miért nem jó úgy, és mikor megértette, már sem vele, sem mással nem akarja olyanra csináltatni, mert érti, hogy az nem jó. De a legtöbb esetben a szaki nem szaki, hanem csak egy valaki, aki pontosan végrehajtja amit az ügyfél mond (aki nem is ért hozzá, úgy mondja)...

A jo szakember hosszas veszekedes utan megcsinalja azt, amit az ugyfel akar, csakhogy az ugyfel vegre fizessen (hiszen addig nem mukodott, nehez hasznalni, bonyolult, nemjo, nincskesz, stb), aztan bont minden folyamatban levo szerzodest (ha van ilyen) es menekul ettol az ugyfeltol. 

Sajna, nem mindig latszik az elore, hogy a cucc kesz van, lement az oktatas, hasznljak is akik hasznaljak, majd elokerul a fonok, aki szeretne latni a fileokat, szeretne irni a fileokat, neki bonyolult az egesz, es azutan ba...dik el es valik valami hasonlo higf.ssa, mint amirol itt szo van.

Szerkesztve: 2024. 08. 22., cs – 09:57

Szerk: RE: https://hup.hu/comment/3100987#comment-3100987 Sorry.

Szerintem egy ügyvédi konzultációt, majd az alapján bírósági per indítását megéri az eredeti kivitelezővel szemben. Az, hogy nem kértek üzemeltetést, itt szerintem nem jelet semmit. Ha megbízzák őket a folyamatos üzemeltetéssel, akkor is ez a szar lenne, csak havi díjat is fizettek volna. Egész biztos vagyok benne, hogy a fertőzés tényét sem vették volna hamarabb észre, ha üzemeltetik is...

Az ügyfél azért bíz meg szakembert bármivel, mert nem ért hozzá. A szakember dolga érteni hozzá és rendesen megcsinálni. Az ügyfél kér valamit, a szaki megoldja. Ha az ügyfél olyant kér, ami szakmailag nem megfelelő módon oldható csak meg, akkor a szaki mást javasol és/vagy megtagadja. Nem lehet utólag azt mondani, hogy de az úgyfél kérte a Samba port internetre nyitását, mert pontosan, hogy az ügyfél nem ért hozzá, nem az ő felelőssége olyant kérni ami szakmailag megfelelő. Az ügyfél problémát szeretne megoldani, a szaki dolga tudni, hogyan lehet az jó, biztonságosan.

Én javaslok egy pert, mert az okozott anyagi és elkölcsi kár eléggé jelentős ahhoz, hogy ez ne maradjon szó nélkül. Akár a most kifizetett pénz egy része vagy egésze megtérülhet (független attól, hogy az adatok helyreállnak-e), legalább további bukó nem gyűlik.

Az a fő gond, hogy egy ilyen céghez, szervezethez odamegy egy igazán hozzáértő, leírja az abszolut minimumot, és nem azt, hanem a hozzá nem értőt fogják választani mert olcsóbb. Ez egy oldalról menedzsment probléma (értelmes magyarázat esetén fel kellene fognia, miért kell a drágább, milyen konckázatokat csökkent a plusz kiadás), más oldalról az ilyen hozzá nem értőknek valami módon el kellene tűnnie a piacról végleg. Ez meg szerintem csak úgy lehet, ha nyilvánosságot kap a hozzá nem értésük, és nem kapnak megrendelést, nem éri meg tovább működni.

Sajnos mi is rengeteg ilyen esettel találkozunk ("átvert" ügyfél), aminek egy része ehhez hasonló szélsőségesen szomorú véget ér.

uitt megkérdezném, hogy az X évvel ezelőtt telepített NAS esetén ki fogja bizonyítani (ill. kit terhel a bizonyítási kényszer), 
-a telepítő jelezte Ügyfél felé az aggályait aki ennek ellenére kérte 
-az ügyfélnél időközben valaki hozzányúlt a routerhez

a telepítő miért lenne "kötelezett" szólni, hogy az általa 3 évvel ezelőtt értékesített eszközhöz megjelent biztonsági frissités?

Azért merőben más ez az eset (nem a telepítő okozta a káreseményt), mint amikor a szervíz leformázza a bevitt gépet és szó nélkül újratelepíti rá az OS-t,
viszont a munkalapon rajta volt, hogy az átvett eszközökön lévő adatokért felelősséget nem vállalunk...

A bizonyítás sohasem egyszerű.

A kivitelező, ha volt aggálya, simán előveszi a papírt, amiben írásban tudatta az ügyféllel ezt, meg azt a papírt, hogy az ügyfél írásban közölte, hogy ennek ellenére legyen így.
Persze, ezek a dokumentálások mindig elmaradnak, de mindenki magára vethet és vállalhatja a következményeit, hogy nem védte a saját seggét.

Ugyan így lehetne papírt írni arról, mi mindenre figyeljen az ügyfél, ha üzemeltetést nem kér, és papírt írni arról, hogy a master password átadásának pillanatától a kivitelező semmilyen felelősséget nem vállal a rendszerért.
De gondolom ilyen papírok sem születtek.

Persze ha eladok egy NAS-t dobozban, akkor ez mind nem kell. De ha én üzemelem be (bárhonnan is van), akkor muszáj ezzel a (jogi) kérdéskörrel is foglalkozni. Szerintem.

Olcsó eszközöknél meg még csak nem-hiteles napló sincs általában, hogy bárki abba benézve meg tudja mondani, pl. mikor volt utolsó konfig módosítás. De ez a probléma legyen az ügyvédeké.

Szolgáltatóként mi arra törekszünk, hogy csak a szakmai ismereteinken belül jó megoldásokat adjuk (és folyamatosan fejlődni kell, mert senki sem tud mindet, jól). Ami nem ilyen, azt el sem vállaljuk. Ha meg nem kérken felügyeletet, akkor írásban hárítjuk a további felelősséget, pont ezért amit írsz. Muszáj körültekintőnek lenni ügyfélként is, szakemberként (szolgáltatóként) is.

Az a fő gond, hogy egy ilyen céghez, szervezethez odamegy egy igazán hozzáértő, leírja az abszolut minimumot, és nem azt, hanem a hozzá nem értőt fogják választani mert olcsóbb. Ez egy oldalról menedzsment probléma (értelmes magyarázat esetén fel kellene fognia, miért kell a drágább, milyen konckázatokat csökkent a plusz kiadás), más oldalról az ilyen hozzá nem értőknek valami módon el kellene tűnnie a piacról végleg. Ez meg szerintem csak úgy lehet, ha nyilvánosságot kap a hozzá nem értésük, és nem kapnak megrendelést, nem éri meg tovább működni.

Ez mind szép, bárcsak így lenne. Az a baj, hogy azért kapnak egyre nagyobb teret az ilyenek, mert:

  • beágyazottság, urambátyám-rendszer
  • a szarfaszú ügyfelek szarfaszú informatikusokat fognak felkérni - olcsón
  • aztán amikor beüt a baj, hívják a valódi szakembert és a végén még azon kezdik el elverni a port, mert 1) nem tudja maradéktalanul visszaállítani az állapotokat és adatokat, 2) ráadásul még pénzt is kér a munkájáért.

A helyzet az, hogy eddig még én éreztem magamat balfasznak, mert nem sikerült az ilyeneket kész érvekkel meggyózni a biztonságos megoldások használatáról. Mostanában kezdem elérni azt, hogy egyrészt röhögök rajtuk, másrészt lepattintom az ilyeneket.

Így van, ahogy írod. Sajnos.

Az első beszélgetés alatt kiderül, hogy lesz-e második, és ne érezd magad rosszul, ha nem lesz. A legtöbb ügyfél az IT-t csak szükségtelen költségnek látja, nem akar rá semennyit sem költeni. Innen elég nehéz nyerni, és ha nem sikerül, nem a Te hibád az esetek túlnyomó többségben. Hanem azért, mert a beszélgetés csak azért jött létre, hogy a vezető meggyőzze magát (önigazolás), hogy ez tényleg drága, annyit nem ér, így nincs rá szükségük.

Viszont mindenkinek be kellene tartania, hogy nem kellhet annyira a meló/pénz, hogy szakszerűtlenül is elvégzi ha úgy adja ki. Olyan lehet, hogy nagyon kell a pénz, és jóval áron alul profin megcsinálja. Persze ezzel olyan ördögi körbe kerül az ember, hogy profi munkát vár majd mindenki fillérekért (az olcsó jó munka híre fénysebességgel terjed a nem-olcsó jó munkáéval ellentétben), mert precedenst teremtett rá, így én ennek kerülését javaslom. De van helyzet, mikor így kell valami miatt. De akkor se a minőség szenvedje kárát, inkább a bevétel. Persze szélsőséges esetben az ügyfél a szükséges eszközökat sem akarja mind megfinanszírozni (nem csak a munkadíjon spórolna), akkor mindenképp lépni kell onnan, bármennyire kell a lóvé. Mert ott már tisztán latható, hogy az ilyen ügyféllel csak a baj lesz.

Mi jó ideje bevezettük, hogy meghallgatjuk mit szeretne az ügyfél (nem az általa kitalált megoldásokat, hanem a feladatokat, problémákat), és ajánlunk valamit a tudásunkon, képességeinken belül. Aztán abból választhat, hogy kéri, vagy nem kéri. Nincs olyan, hogy ezt vagy azt vegyünk ki, mert majd később/nem kell/olcsóbbat keres/stb. Egy megoldásnak ritkán lehet részeit következmények nélkül kihagyni, és onnantól ugyan hogy vállalunk felelősséget az eredeti probléma/feladat megoldására?

Ezen felül minden rendszerről tudni az elején, hogy működni fog jól, amíg villanyt kap (ez a ritkább), vagy folyamatosan figyelni, tutujgatni, kezelni kell majd (az 5e Ft-os wifi router-en felül ez kb. mindenre igaz céges ügyfeleknél). Ez alapján az eredeti munkát is csak úgy vállaljuk el a második esetben, ha aztán üzemeltetést is kér, szerződik. Ha nem velünk akar szerződni, akkor a kivitelezés is legyen a másiké, mert senki sem szeret a más által csinált rendszerrel kínlódni (általában olcsón szarul megcsinált rendszert kellene jól üzemeltetni... fordítva igen ritka, hogy drága jó rendszer olcsó üzemeltetőnek adnák), üzemeltetés nélkül meg el fog halálozni, és nem kell a balhé, hogydehát te csináltad három éve, és azt hittük sose romlik el, de ha mégis, akkor örökgaris-azonnalmegjavítós a rendszer.

Nekem a legjobb ügyfelem a könyvelőm. Hallgat arra amit mondok, rám bízza a rendszert, az eredménnyel elégedett. Ha kell, akkor rákattint a vpn csatlakozásra, nem ódzkodik az ilyentől. Példa: egy 4-dik alkalmazottat vett fel az irodára. A rendszerről annyit mondok csak, hogy depós gépek, linux, távoli asztal >> winsrv2019, a felület fapadosra visszaszabva, kinézet állítgatása letiltva. Az új kolléga egész délelőtt nem dolgozott semmit, mert sehogy sem tudta átállítani a fakókék hátteret a kislánya fotójára. Azonnal ki lett rúgva. Na, ez a jó hozzáállás, amikor nem azzal baszogat az ügyfél, hogy "jajj de nem tudom beállítani a háttérképet". Ha a könyvelési szoftvert használja, úgysem látszik a háttérkép, de ha a képet bambulja, akkor az azt jelenti, hogy nem dolgozik.

az infos cége nagyrésze kokler. Annyira gyorsan fejlődik ez a szakma, hogy mindenki levan maradva.