- A vártnál kevesebb iPad Pro fogyhat
- Galaxy S22 One UI 6.1 frissítés: volt, nincs
- iPhone topik
- Telekom mobilszolgáltatások
- Milyen okostelefont vegyek?
- Samsung Galaxy Z Fold3 5G - foldi evolúció
- Xiaomi 13 - felnőni nehéz
- Azonnali mobilos kérdések órája
- Motorola Edge 40 - jó bőr
- Samsung Galaxy A54 - türelemjáték
Hirdetés
-
Android és iOS rendszerekre érkezik a Sonic Rumble
gp A május végére tervezett zárt bétára már lehet jelentkezni a hivatalos oldalon.
-
AMD Radeon undervolt/overclock
lo Minden egy hideg, téli estén kezdődött, mikor rájöttem, hogy már kicsit kevés az RTX2060...
-
Bemutatta ZUFS 4.0-s memóriáját az SK Hynix
ph A Zoned UFS technológia fejlesztése még 2019-ben kezdődött, és pont kész lett az AI betörésére.
-
Mobilarena
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
Xpod
addikt
válasz inf3rno #2100 üzenetére
Ennyi erővel hívhatták volna a RedHat nevében is. Tényleg ez mekkora ötlet. RedHat-ot viszonylag kevesen használják, de akik mégis azok többnyire komoly "nagy" vállalati rendszereken. Oda bejuttatni így valami jó kis programot mekkora szívás lenne.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
inf3rno
Topikgazda
Jó, de szerintem ott is megvan a felkészültség annyira, hogy nem telepítenek minden hülyeséget bemondásra. De próbálkozni végülis lehet. Ha már szóba került, szerintetek mennyi értelme van biztonsági szempontból Linuxot tartani Windows helyett? Nekem megnyugtató, hogy egy átlag vírus sosem fog felmenni rá, mert nem célközönség, de lehet csak illúzióba ringatom magam. Változtatni is akartam a böngésző leíróján, hogy Windows/Chrome legyen Linux/Firefox helyett, de bemondja az unalmast mindig a Cloudflare, ha megpróbálok trükközni.
Buliban hasznos! =]
-
válasz inf3rno #2102 üzenetére
Egy kis adalek ennek eldontesehez:
Amikor az utobbi evekben Linuxon talaltak vmilyen kritikus sebezhetoseget, akkor altalaban a rossz hirekkel egyetemben jott az update is. Windows-on varnod kell, amig a vendor meltoztatik elkesziteni a javitast (ha egyaltalan ertik, mi a baj), addig bastyazd korul igy-ugy-amugy, ami funkcio es/vagy teljesitmenyveszteseggel jar - es imadkozz, hogy mielott beut a szar, azelott sikeruljon befejezned a workaround deploymentet tobb szaz szerverre, tobb tizezer kliensre. Majd csinald vissza a workaroundot, ha megjott a patch.
Meg egy kisebb bomba: ott volt a shellshock, a bash sebezhetoseg, amelynek nyoman meg tobbet tartak fel. Mivel a bash-t anno jol dokumentaltak es POSIX-szabvanyosan keszitettek el, nem okozott gondot javitani a felbukkant hibakat.
Ellenben Windows-fronton a mar idejetmult technologiakat (olyanokat is, amiknek a CVSS score-ja 10-es) nem tavolitjak el, hogy ne is lehessen bekapcsolni, bezzeg a telemetria visszaportolasara volt affinitas... Igy most pl. ismerek olyan ceget, amelyik - kenyelmi okok miatt - visszakapcsolja az SMB v1-et...
https://www.coreinfinity.tech
-
ledgeri
nagyúr
válasz inf3rno #2102 üzenetére
Ott van még a Linux/chrome és Win/firefox is... (Gondolok itt arra, hogy ami nem illegális, és nem árt neked, azon érdemes lehet átmenni, ha hobbi erődőző vagy Én is mennék linuxra, de VM-s kombóval, ahhoz meg gyenge a gépem most...)
// #ublockO-HardMode // anti-blockadblock-er // PH! új arculat: 1/ 500 // szeksziboj -nálam van egy pirospontod! // Találtam sárga fényű lézert! (kézit, ceruzaelemest) https://youtu.be/XQnmMjYHgcM //
-
Xpod
addikt
válasz inf3rno #2102 üzenetére
Erre azért ne vegyél mérget. Kb 7 éve egy social engieering teszt során egy pénzintézettől simán megszereztük az akkor bevezetés alatt álló kritikus rendszer teljes dokumentációját, valamint a fájl szerver IP címét és elérési útját is az IT vezetőtől.
Kicsit nagyobb jobb felkészültséggel még egy szakmabelit is meg lehet téveszteni.Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
section9
őstag
Ez nagyon durva leegyszerusites. Nyilvan ott a kernel amit valoszinuleg tenyleg azonnal javitanak, de mindenki disztribuciokat hasznal aminek integralnia kell a patcheket es amikben kismillio harmadik fel altal irt alkalmazas es service van. Mivel kulonbozo kontributorok csinaljak oket, ezert nem mindet patchelik azonnal, ugyanugy vannak workaroundok, forkok es mivel lehetetlen mindent vegigtesztelni ezert konnyen lehet, hogy egy updatelt fuggoseg tori az alkalmazasokat.
-
inf3rno
Topikgazda
Az szép! Ügyesek voltatok! Amúgy pont a vezetők esendőek, mert úgy gondolják nekik nincs szükségük social engineering elleni képzésre. Én is tartottam ilyen képzést. Próbáltam úgy csinálni, hogy a magánéletben is lehessen kamatoztatni, direkt felhívtam a figyelmet rá, hogy közösségi médián milyen csalások vannak, webshopoknál milyen csalások vannak. Rá két hétre elemeltek az egyiktől 300k-t valami Tisza cipős webshopos csalással. Baromi nagy csalódás ez nekem. Most vagy én oktatok szarul, vagy ő nem figyelt, nem tudom. Még több oldalas cheatsheetet is csináltam, hogy min menjenek végig, ha gyanús a cég, az is azonnal kihozta volna, hogy adathalászat. Nem is tudom, talán a napi rutinba kellene valahogy beépíteni. Ti hogyan oktattok erről? Van valami stratégia, visszatesztelés, stb.?
[ Szerkesztve ]
Buliban hasznos! =]
-
section9
őstag
válasz inf3rno #2112 üzenetére
Nem vagyok Linux adminisztrator, szoval nem fogok tudni enterprise temat hozni, de pl 2022-ben a glibc 2.36-ban olyan valtozasok voltak, ami utan az EasyAntiCheat nem mukodott Steam Decken. Raspberry Pi alatt a stock Debian rendszeren tobbszor futottam bele, hogy szerettem volna x es z alkalmazast is hasznalni, de ket kulonbozo verzio kellett volna ugyanabbol a utility librarybol, amik nem kompatibilisek egymassal. Persze van ezekre megoldas, de a Linux vilag sokkal bonyolultabb, mint ahogy azt a kollega illusztralta es nagyon sok mulik a hasznalt disztron, felhasznalasi teruleten, az alkalmazasokon es a hardeningen.
Volt dolgom incident response soran MacOS-el, Linux-al es Windows-al is kb ugyanolyan aranyban. Szerintem *nix (unix/linux) kornyezetben sokkal konnyebb labon lonie magat egy power usernek, ha nem veszi a faradtsagot, hogy elolvassa a dokumentaciot.
-
addikt
-
Rowon
veterán
Puszta kíváncsiságból érdekelne, hogy vállalati környezetben milyen disztrókkal találkoztál? Ilyeneken dolgoznak az emberek, vagy ezek inkább szerverek? Oraclet hallottam, hogy azt használnak workstationnek, vagy Red Hatet.
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
-
addikt
Ez nyilván csak szerver. Kliensen 1-2 rendszergazdát leszámítva nem láttam, és az ő gépükről is el lett takarítva (Gentoo volt talán, meg Fedora).
Oracle is volt nálunk, de azt is elüldözték, mindent át kellett állítani RHEL-re. Más bankoknál ugyanezzel találkoztam.
Én nagyon-nagyon régen Ubuntut használtam, azon fejlesztettem 5 évig. De az KKV.
-
Xpod
addikt
válasz inf3rno #2111 üzenetére
Ez a megbízástól függ. Van ahol tesztelünk oktatunk visszamérünk. Van ahol csak oktatunk és van ahol csak tesztelünk.
Ami a legjobb segítség talán az az életből vett minta, képernyőkép. Próbaként adj fel Marketplace-en egy hirdetést valami kisebb méretű eszközről. (pl régi telefon) Garantálom 15 percen belül lesz annyi adathalász / scam megkeresésed, hogy bőven lesz az oktató anyaghoz screenshot. (Lehet te is meg fogsz lepődni az adathalász oldalak kidolgozottságán, ezek sokkal komolyabbak már, mint az emailben érkező phising emailek és azok linkjei.)Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
inf3rno
Topikgazda
Adatvédelem, információszabadság terén most volt jogszabály változás. Kicsit más, amit január 31-ig el kell küldeni pl. az önkormányzatoknak. Ha esetleg valaki lemaradt volna róla, bár nem láttam itt sok adatvédelmiset rajtam kívül. [link]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Van rengeteg screenshotom, pontosan így adtam elő. Igazából ahogy én észrevettem, az ész nélküli kapkodás okozza a legtöbb problémát. Pl. az említettnél is a Tisza cipő csak most öt percig akciós, kattints és add meg a bankkártya adataidat. Egy pillanatig nem gondolkodott az illető, pedig elég lett volna virustotalra beírni az URL-t, ahogy javasoltam, vagy utánakeresni a dolog szövegének. Én pl. megtaláltam, hogy volt felhívás róla 2 hónappal előtte, hogy csalnak a Tiszta cipőkkel, és hogy azt egyedül a gyártó forgalmazza, nincsenek akciók... Tényleg egy minimális gyanakvás kell már manapság. Amúgy rafináltak a csalók, nem egyben emelték le a pénzt, hanem valami 48 ezrenként, hogy a napi limit miatt ne utasítsák el.
Buliban hasznos! =]
-
nagyúr
-
inf3rno
Topikgazda
válasz aprokaroka87 #2122 üzenetére
Nem derült ki, mindenesetre hullatott néhány könnycseppet a zs miatt. Évente van kötelező oktatás, úgyhogy az idei anyagban benne lesznek a Tisza cipők is. Tavaly direkt hoztam előrébb, mert megszaporodtak az ilyen jellegű webshopos meg facebookos csalások, de úgy látszik felesleges volt. Vagy legalábbis az ő szempontjából. Azért kaptam már vissza pozitív visszajelzést, meg volt olyan is, aki megkérdezte, hogy csaló e ez meg ez a bolt (nyilván az). Szóval vegyes a kép. Lehet, hogy mindenkinél van olyan tanítvány, aki megszívja. Igazából még nálam is volt már, hogy rányomtam egy excel táblára, mert olyan volt a bolygóállás. Bár nem hiszem, hogy feltelepült vele bármi (makrók letiltva), attól még a teljes gépet gyalultam aznap, biztos ami tuti alapon. Ott mondtam búcsút a Windows-nak. Már régóta érett, hogy Linuxot teszek fel, de sosem volt meg rá a kedv, kényszer, stb.
[ Szerkesztve ]
Buliban hasznos! =]
-
nagyúr
válasz inf3rno #2123 üzenetére
Szerintem életében egyszer minimum mindenki áldozata lesz majd online csalásnak.
Még a legprofibbak is.
Én eddig még megúsztam, próbálok figyelni, de bármikor lehet olyan hogy olyan profi dologgal fogok szembe kerülni aminek elég nagy eséllyel be fogok dőlni.
A Scam is egyre profibb, gondolom az AI sokat segít ezen mostmár. -
inf3rno
Topikgazda
válasz aprokaroka87 #2124 üzenetére
Nekem a saját levelezésemre válaszoltak, mert lenyúlták az illető levelező jelszavát, ráadásul pont azután, hogy levelet küldtem neki. Azt hiszem emotet bot csinálta. Nem mondom, hogy védhetetlen volt, inkább csak az újdonság erejével hatott. Amikor láttam a binárist az excel fájlban, akkor tudtam, hogy beszoptam. Előtte inkább csak kellett volna venni egy nagy levegőt, és átgondolni, hogy mi történt, meg minek válaszolnak egy évvel azelőtti threadre, de reggel volt, kapkodtam, és valahogy hihetőnek tűnt az egész. Amit viszont sikeresen védtek a kollégák legutóbb az valami NAV-os tört fiókból jött, hogy ellenőrizni akarnak minket, és nyomjunk a linkre meg adjuk át a levelezős jelszavainkat. Szóval vannak mélypontok meg magaslatok is.
Buliban hasznos! =]
-
válasz section9 #2113 üzenetére
De a dokumentacio pont arra van, hogy ne lodd labon Magad. Tudom, nem elvezetes, en sem orultem, amikor middleware-admin koromban kijott az uj management framework a maga 130 oldalnyi dokumentaciojaval, de egeszen konretan le volt irva benne, mi valtozott az engine-ben es emiatt az osszes szabalyt ujra kellett forditani.
Ilyen a box.
https://www.coreinfinity.tech
-
fatpingvin
őstag
válasz inf3rno #2111 üzenetére
a probléma forrása nem a gyenge képzés szerintem hanem egyszerűen a probléma (f)elismerésének illetve a komolyan vételének teljes hiánya.
amíg a rendszeres kötelező jelszócsere is egy olyan dolog amin az önjelölt jobbantudók folyamatosan nyekeregnek hogy az IT kizárólag azért csinálja hogy úgy tűnjön mintha csinálnának valamit, addig nem igazán értem miről beszélünk.
a júzer nem csak hogy nem ért hozzá, hanem általánosságban igen ostoba is, viszont meg van győződve róla hogy jobban tudja. ez a probléma forrása.A tipikus munkafolyamat legjobb tesztszimulációja a tipikus munkafolyamat. A "napi anti-corporate hsz"-ok felelőse :)
-
Rimuru
veterán
válasz fatpingvin #2129 üzenetére
Rendszeres jelszocsere pont hulyeseg szerintem is, altalaban ilyen rovid intervallumok mint pl 1-3 honap szokott lenni... ez csak gyengiti a vedelmet, miert veszodjon a user eros jelszoval ha ugyis "mindjart" valtoztatni kell? az onjelolt jobbantudok ezert sem fognak eros jelszot hasznalni, jonnek az indexelt jelszavak, stb
Ezzel kapcsolatban nagyjabol egyet tudok erteni a MS ajanlasaval.Vigyázat, csalok!
-
Egon
nagyúr
válasz fatpingvin #2129 üzenetére
A rendszeres kötelező jelszócsere az egyik legnagyobb fasság, amit félművelt "szakértők" tolnak már csak (beleértve sajnos a hazai jogszabályalkotókat is).
Úgy 2015 óta van szakmai konszenzus abban, hogy a túl gyakori kötelező jelszócsere kontraproduktív, maximum évente (vagy még ritkábban) célszerű kikényszeríteni a cserét (a legjobb pedig az, ha kizárólag a jelszó kompromittálódása esetén van lecserélve).
Nyilván nem árt, ha nem ugyanaz a jelszava az ürgének a céges környezetben, mint egy MD5 hash-t alkalmazó webshopban, de erre is vannak már eszközök, amik elvben kezelni tudják a problémát (pl. scirge)."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
nagyúr
-
-
Rowon
veterán
válasz aprokaroka87 #2133 üzenetére
Nem tudom, a rendszergazda nem áll velem szóba, mióta időszakosan megkérdezem tőle, hogy van-e már nála otthon Linux? Olyan érzésem van, mintha sértésnek venné.
Közműnél dolgozom, itt komolyabban veszik a biztonságot. Hogy megéri-e, azt laikusként nem tudom megítélni.
Szerk.: annyit azért hozzátennék, hogy engem idegesít. Megszokok egy jelszót, majd havonta cserélhetem a saját fiókjelszavamat, majd utána az SAP-t is, mert arra se enged be.[ Szerkesztve ]
Az emberiség két legnagyobb találmánya az írás és a mikrohullámú sütő.
-
Egon
nagyúr
Tudtommal az egyik M-betűs áramos cégnél vannak ilyen idióta szabályok (a hosszabb nevűnél... ).
Még a minősített adatkezelés (tudod: szigorúan titkos stb.) esetében is megelégszik a hatóság a 3 havi jelszócserével, szóval az nem indok, hogy "komolyabban veszik a biztonságot"."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
válasz sztanozs #2140 üzenetére
Nálunk éves csere van a "normál" rendszereknél, 12 karakteres felhasználói és 15 karakteres admin jelszóval. 2FA csak távoli hozzáférésnél van egyelőre, de folyamatban van a kiemelten kockázatos jogosultságok vonatkozásában a belső hozzáférések ilyen jellegű biztonságosabbá tétele.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
section9
őstag
Azt hittem mindenhol alap az SSO-n keresztul kikenyszeritett MFA.
-
sztanozs
veterán
válasz section9 #2142 üzenetére
MFA mindenhova? Es hol van akkor a risk-based approach? Nem lehet negyedmillio felhasznalot csak azert szivatni, mert valaki ballabbal kelt fel?
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
section9
őstag
Mikor en utoljara neztem, akkor az SSO es az MFA a legalapabb Google/Microsoft uzleti elofizetesekben is alapbol benne volt.
sztanozs: Ha SSO-n keresztul kenyszerited ki, akkor csak akkor kell megadnod amikor abba bejelentkezel es ujra bekerheto ha valami olyan funkciot akarsz elerni, ami kulonosen erzekeny. Ez nem szivatas, az evi negy jelszocsere a szivatas.
-
Kritikus infra vedelmere van framework - hazai es kulfoldi?
https://www.coreinfinity.tech
Új hozzászólás Aktív témák
- Samsung Galaxy A14 64GB, Kártyafüggetlen, 1 Év Garanciával
- Samsung Galaxy A14 64GB, Kártyafüggetlen, 1 Év Garanciával
- Bomba ár! Lenovo ThinkPad T470 - i5-G7 I 16GB I 256GB SSD I 14" HD I HDMI I Cam I W10 I Garancia!
- Samsung Galaxy A14 128GB, Kártyafüggetlen, 1 Év Garanciával
- Bomba ár! Fujitsu LifeBook E756 - i5-6GEN I 8GB I 256GB SSD I 15,6" HD I HDMI I W10 I Garancia!
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Promenade Publishing House Kft.
Város: Budapest