Security-all

hup ssl welcome, CIB ssl good bye

 ( bb | 2017. március 17., péntek - 15:04 )

Sziasztok,

Más is úgy látja, hogy a CIB-ről eltűnt az ssl? :-)
ezt hogy lehet majd a szokásos DDOS-ra és az hekkerekre fogni?

üdv
BB

Penetration Testing Company

 ( GergA84 | 2017. március 16., csütörtök - 11:16 )

Sziasztok,

Hamarosan releaselendo termekunkhoz keresnek kulsos ceget agi foglalkozik penetration teszttel.
Szeretnenk ha megnezne a webes szolgaltatasunkat security szempontbol.

Meg kellene nezni a szerver es az applikacio sebezhetoseget is.

elektronikus aláírás egy órán belül

 ( connor | 2017. március 14., kedd - 18:14 )

Sziasztok!

Van-e arra mód, hogy "fokozott biztonságú elektronikus aláírást" szerezzek egy órán belül?
Mai napon fel kellene tölteni egy hitelesített dokumentumot, de emiatt a tetves firefox miatt sikerült a privát kulcsot elbsznom és most vakarom a fejem.
Sajnos a magyar hitelesítés szolgáltatók már nem elérhetőek és egyébként is postázgatni kell. :(

Világi monitorozás?

 ( pepo | 2017. március 6., hétfő - 9:39 )

Mi ez a humbug? Majd minden cég kiadja, hogy jaj, éppen támadnak?

Cloudflare's #Cloudbleed HTTPS Traffic Leak

 ( wpdaniel | 2017. február 25., szombat - 20:59 )

Egyetlen elgépelt karakter okozta a Cloudbleed nevű programhibát, amit szakértők máris az elmúlt évek egyik legsúlyosabb internetes adatbiztonsági katasztrófájának neveznek. Egy programozó "=="-t írt a kódba ">=" helyett, ami ahhoz vezetett, hogy a szoftvere időnként, ha adatokat akart menteni, és elfogyott a helye, olyan memóriacímekre írta ki azokat, amik egyáltalán nem biztonságosak.

http://index.hu/tech/2017/02/25/nyakunkon_a_legujabb_adatvedelmi_katasztrofa/

OpenVPN user engedélyezés forrás IP alapján

 ( Proci85 | 2017. február 22., szerda - 15:28 )

Sziasztok

Adott egy VPN szerver, ahol az userek közös kulcs mellett egyedi user-pass párossal lépnek be.

Az ezt biztosító sorok:

username-as-common-name

auth-user-pass-verify "/etc/openvpn/vpn_auth" via-file

A script csak user-pass párt kapja meg, mást nem. Rá lehet beszélni, hogy még engedélyezés előtt feladja a forrás IP-t is?

Cél: SQL-ben az user neve mellett ott legyen az engedélyezett forrás IP-k sora, mint plusz engedélyezési faktor.

Köszönöm!

iOS mobile device management és biztonság

 ( netn00b | 2017. február 2., csütörtök - 11:21 )

Üdv! A szitu a következő: elloptak egy iPhone 6-ost, iOS 10.2-essel, azaz alighanem nem tudják kinyitni csak úgy, hacsak nem találják ki az egyébként lenyűgözően béna billentyűzárat… Ha valaki az Apple által is ajánlott Revocery mode használatával próbál a mobilhoz hozzáférni, ugyan az összes adat eltűnik róla, viszont továbbra sem tud belépni a billentyűzár ismerete nélkül.

Letsencrypt bénázás

 ( pekob | 2017. január 10., kedd - 13:25 )

Sziasztok!

Szeretnék egy letsencrypt tanúsítványt létrehozni egy webmail-hez, de egyelőre bénázok.
Így próbáltam:

letsencrypt-auto certonly --standalone -d webmail.domain.hu

A kliens erre panaszkodik:

Domain: webmail.domain.hu
Type: unauthorized
Detail: Incorrect validation certificate for TLS-SNI-01 challenge. Requested 99fc721418f5c6b95539f64d192e6d65.fd978977e90e35617a51b6f7ac1d5ac0.acme.invalid from 1.2.3.4:443. Received certif
icate containing ''

Wordpress, Joomla brute force login védelem

 ( Proci85 | 2017. január 8., vasárnap - 21:28 )

Sziasztok

Adott egy szerver, rajta sok féle honlap, többek között Wordpress és Joomla. Ezekre nincs közvetlen ráhatásom. Olyanok amilyenek. A frissítés úgy-ahogy kikényszeríthető.
Magas CPU terhelést generálnak, ha megpróbálják feltörni az admint.
Random IP-ről jönnek és nagyon sokan.

A következő fail2ban filtert raktam össze netes ajánlásokból:

[code]
cat /etc/fail2ban/filter.d/framework-ddos.conf
[INCLUDES]
before = common.conf

[Definition]
_daemon = framework-ddos

failregex = .*:(80|443) .*POST .*/xmlrpc.php

Globális adatvédelem böngésző támogatással

 ( log69 | 2017. január 3., kedd - 15:55 )

Sziasztok,

Nem akar valaki nekiállni az alábbi ötletemnek? (böngészőbe implementált transzparens és automatikus szövegdoboz titkosítás, szimmetrikus és asszimetrikus módon):

https://hup.hu/cikkek/20161201/minden_amit_az_internetes_adatvedelemrol_tudni_erdemes?comments_per_page=9999#comment-2043150

Joomla RCE exploit

 ( sfeher | 2016. december 30., péntek - 10:10 )

Hello,

Üzemeltetek jópár joomla-s oldalt (nem az enyémek), amit rendszeresen rommá törnek.
Mindenhol a legfrissebb verzió van fent, de tegnapelőtt megint telerajzolták az összes érintett oldal mindenféle php fájlokkal.
iWatch, maldet , auditd megy ezerrel, de ezzel nem akadályozok meg semmit csak látom, hogy mi történik.
A kérdés az lenne, hogy mit tudok még tenni azon kívül hogy read-only-ba raktam az összes oldalt miután ki lett takarítva ?

Az other_vhost.logban ezt látom:

letsencrypt ingyenes tanusítvány megbízhatóság

 ( gedg87 | 2016. december 27., kedd - 19:42 )

Sziasztok!

Adott egy web szerver, amely szerveren minden weboldal https-en keresztül kell, hogy elérhető legyen.

Soha nem volt dolgom még tanúsítványokkal, ezért utánaolvastam a témának.

Tekintve, hogy nekünk 5 féle aldomain igényli a tanúsítványt, ezért úgy gondolom , hogy a Wildcard domain ellenőrző tanúsítványra (RapidSSL Wildcard vagy Comodo Positive SSL Wildcard) lesz szükségünk, mert az , ha jól olvastam, akkor az adott domain név összes aldomainjét hitelesíti.

iptables központi menedzsment

 ( kovma | 2016. december 22., csütörtök - 11:41 )

Sziasztok!

Felmerült az igény kb. 50db iptables központi menedzsmentjére. Eddig kézzel vagy kevésbé jól működő scriptekkel menedzselték őket. Legjobb valamilyen webes gui lenne, ahonnan mind az 50 node-ot lehetne központilag babrálni. Tudtok erre bevált jól működő megoldást? Rövid keresgélést követően az alábbiakat találtam:

Firelet, Elastic Firewall, FirewallBuilde

Esetleg ismeri, használja ezeket valaki? Vagy van jobb ötlet? Esetleg ansible? A gépek jellemzően egy hálózatban vannak, ha ez számít.

Segítségeteket előre is köszönöm! :)

Go Back With Backspace extension review

 ( atlantic | 2016. december 8., csütörtök - 15:18 )

Chrome-hoz van egy "Go Back With Backspace" nevű extension, ami visszaállítja, hogy backspace-szel vissza lehessen menni előző oldalra (kivétel, ha gépelünk). Az új verzió új jogosultságot kér, amiről ezt írja a Google:

Idézet:
"Read and modify all your data": In order to capture backspace on every page, the extension needs to install a little piece of code on each one. It does nothing else with the page, its information, or your typing.

PayPal nem kér azonosítást?

 ( dombi1976 | 2016. december 7., szerda - 18:15 )

Üdv!

Az imént rendeltem egy bizonyos oldalról, és a fizetést PayPal-on keresztül szerettem volna kiegyenlíteni.
Az oldalon fizetéskor jelezte, hogy át fog irányítani a PayPal oldlára.
A meglepetés itt ért.
Az eddigi hasonló (más boltok esetében) vásárlásaimnál ilyenkor mindig meg kellett adni az azonosítót + jelszavat.
De nem úgy most.

Hi (nevem). (Honnan tudja ki vagyok? Az oldalon regisztrációkor megadott e-mailből?)
...
...
Pay Now. (gomb)

Gombra kattintva, csipog a telefonom, hogy a fizetés megtörtént.
???

Firefox 46.0.1

BYOD

 ( Tassadar | 2016. december 6., kedd - 20:22 )

Sziasztok,

Azt hiszem a cím magáért beszél, vitaindítóul:

- Engedi a cégetek, hogy a saját tulajdonotokba levő eszközt használhassátok a céges infrastruktúrában?
- Szeparált hálózatba kerül, vagy a céges eszközökkel megegyező jogosultságú tagja lesz a hálózatnak?
- Milyen technikai, jogi, adminisztrációs és egyéb feltételekhez kötött?

Üdv,
Tassadar

Amazon not private

 ( jevgenyij | 2016. december 5., hétfő - 14:12 )

Ezt irja ki már tegnap óta az Amazon oldala helyett a Chromium:

Your connection is not private

Attackers might be trying to steal your information from www.amazon.com (for example, passwords, messages, or credit cards). NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED
Automatically report details of possible security incidents to Google. Privacy policy
ReloadHIDE ADVANCED

Biztonsági megoldások, vírusirtók etc.

 ( pehsa | 2016. november 18., péntek - 10:05 )

Sziasztok!

Otthoni felhasználásra eddig Eset Nod32/Smart Security + MalwareBytes Anti-Malware + MalwareBytes Anti-Ransomware + ClamAV (+ Defender) kombót használtam, míg céges környezetben Eset Endpoint Antivirus (Néhány helyen Panda Internet Security) + MalwareBytes Anti-Malware-t használunk, viszont az Eset nagyon kiesett az élmezőnyből az elmúlt évek során, így elhatároztam, hogy váltok.

Jelenleg a Kaspersky megoldása kezdi elnyerni a tetszésemet, viszont kíváncsi vagyok, hogy ti mit használtok otthon és céges környezetben?

ITBtv képzés

 ( gyrgyvrs | 2016. november 14., hétfő - 19:45 )

Sziasztok!
Nem tudtok, indul-e Észak-Alföldi régióban vagy hasonlóban a 2013. L törvényben foglalt információbiztonsági felelős képzés 2017-ben? Jó, persze el lehet menni a Nemzeti Közszolgálati Egyetemre, de az tőlem 350 km. Nyíregyháza, Debrecen, Miskolc jobb lenne itt az Észak-Alföldi régió legkeletibb részéről.

Log valódisága, hitelessége?

 ( KaTT | 2016. november 10., csütörtök - 9:59 )

Sziasztok!

Tudtok arról hivatalos állásfoglalást, ha bármilyen jogi ügyben log fájlokat használnak fel, és hogy ellenőrzik a hitelességét, valódiságát?

Mi a bizonyíték arra, hogy azt a log-ot nem módosították vagy utólag írtak hozzá?

Mert minden file jellemzőt lehet módosítani, ami fontos lehet, és nem lehet megállapítani a módosítást.

Ez elméleti kérdés.

Bitlocker alternatíva

 ( pekob | 2016. október 25., kedd - 21:16 )

Sziasztok!

Laptop hdd-ket szeretnénk titkosítani. Megnéztük a Bitlockert, de számunkra úgy néz ki nem lesz nyerő, ráadásul a legtöbb Win7-esünk Professional.
Tudnátok ajánlani alternatívákat?

Köszönöm!

Melyek a jó SSL tanúsítvány kibocsátók?

 ( gee | 2016. október 21., péntek - 11:34 )

Eddig csak ingyenes SSL tanúsítványokat használtam (StartSSL), olyan helyekre, ahol ez elég volt.
Most szükségünk lenne egy webshophoz egyre, ami jobb ezeknél. Zöld lakatot ad a böngészőben. Illetve látok néhol olyat, hogy nem csak zöld lakat van, hanem mellé a zöldbe oda van írva a név is, pl. a bankom ilyen. Ez más típus?
Ilyen tanúsítványt is lehet sok helyről venni.
A tapasztalatok / vélemények érdekelnek.
Melyik céget érdemes elkerülni (miért), melyik jó (miért).

Zero Days doku

 ( ang | 2016. október 19., szerda - 23:29 )

https://en.wikipedia.org/wiki/Zero_Days

ajánlom figyelmetekbe.

VPS file-rendszer-titkosítás?

 ( pepo | 2016. október 18., kedd - 22:02 )

Sziasztok!

Egy olyan VPS-re kell(ene) rendszert telepítenem, melyen sok olyan program fut(na), amit én fejlesztettem, de a VPS környezetet a megrendelő biztosítaná. Ezek a fejlesztések nemcsak a home, hanem globálisan értendők.
A fejlesztések nem részei a megállapodásnak, és kizárt, hogy azok is lehetnének.

Félek a lopástól.

Mit tehetnék annak érdekében, hogy a lopás ne következhessék be (fájlrendszer szinten sem)?

Előre is köszönöm a válaszokat.