Hirdetés
-
Analóg kapcsolós klaviatúrák triója a Razer fémjelzésével
ph A Huntsman széria harmadik nemzedékét háromféle formátumban vihetjük haza.
-
Sony Xperia bemutató lesz május 17-én
ma Különleges Xperia eseményt tart a Sony Tokióban, száz résztvevőt invitálnak.
-
The Witcher - Jön az 5. évad, ezzel együtt pedig elkaszálták a sorozatot
gp A negyedik szezon forgatása a napokban kezdődött el, kíváncsian várjuk mikor láthatjuk a végeredményt.
-
Mobilarena
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
-
-
-
inf3rno
Topikgazda
Az mDNS-ről van valami véleményetek biztonság terén?
Buliban hasznos! =]
-
-
Egon
nagyúr
Jövő hét utáni héten kezdem az ISO 27001 Lead Auditor képzést az SGS-nél.
Kíváncsi leszek, hogy milyen lesz..."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
Egon
nagyúr
Köszi, neked is...
Jövőre, ha minden jól megy, lehet nekifutok a CISA-nak is (vagy lehet inkább CISM), és ezzel a minősítés-halmozást jó eséllyel befejeztem. Öreg vagyok már ehhez..."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
Egon
nagyúr
-
inf3rno
Topikgazda
Én még csinálom az NKE-EIV-et. Júliusra végzek, ha minden összejön. Mellette most BHIS-en csinálok megint egy 16 órásat, de most nagyon nincs időm rá, majd később visszanézem és begyakorlom. Elvileg az NKE-n indult valami kibermester képzés, amire néhányan már jelentkeztek a csoportból. Talán jövőre megcsinálom azt is.
Buliban hasznos! =]
-
-
inf3rno
Topikgazda
Az EIV-et hogyan értékeled ennyi idő után? Volt haszna? El lehet vele helyezkedni, ha valaki frissen végzett, vagy kell még más papír is? Felmerült többeknél, hogy egy kicsit erős egyből a mély vízbe dobni vezetői beosztásba az embert nulla gyakorlattal...
Buliban hasznos! =]
-
Egon
nagyúr
Továbbra is csak azt tudom mondani, mint eddig: kizárólag arra jó, hogy ha állami szervnél akarsz elhelyezkedni (olyan szervezetnél, amire vonatkozik az Ibtv.), vagy némi előnyt jelenthet, ha olyan tanácsadó céghez mész, ahol szolgáltatnak kihelyezett informatikai biztonsági felelőst, állami cégeknek.
Pl. nekem jól jött, amikor az egyik ügyfelünknél, egy állami Zrt-nél kerestek ilyen embert (IBF-et), mert a cégünk engem tudott nevezni erre a feladatra, ergo volt kompetenciánk. Persze ennek hiányában ment volna a CISA-s kolléga - és az ő papírját más projektekben is tudtuk hasznosítani: olyan projektekben, ahol meg az volt a követelmény, és én semmit sem értem volna az EIV végzettségemmel...
Summa summarum: ha az ember komolyan gondolja ezt a szakmát, akkor jó eséllyel szüksége lesz legalább egy nemzetközi minősítésre. Hard security vonalon (azaz etikus hacking) szerintem az OSCP a legjobb papír (ami relatíve olcsón elérhető); a magyar CEH képzések (kivéve talán a Kürt Akadémiás képzést, ha még van olyan) jóval kevesebbet érnek. Soft security vonalon vagy az auditori képzésekre érdemes rágyúrni (egy ISO27K LA-t pl. jól kiegészíthet egy EIV képzés, főleg ha még mondjuk a Hptv. kapcsolódó követelményeivel és az MNB rendeletekkel is képben vagy), vagy az ISACA-s képzések azok, amit széles körben elismernek (CISA, CISM, CRISC). Aztán egy kicsit a kettő között (de még mindig soft security) ott van mondjuk a CISSP (bár azt első minősítésnek én nem vállalnám be).
És persze lehet feljebb is lépkedni, a már említett SANS-os képzésekkel.
Ha meg rengeteg időd van, akkor lehet valami ITSEC témájú MSC-t letenni (nincs túl sok, de azért akad 1-2): ez is jó ajánlólevél lehet 1-1 pozira.[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Egyébként a kapcsolódó feladat (a képzés megnevezése ellenére) igen ritkán jelent valós vezetői beosztást... A törvény is "elektronikus információs rendszerek biztonságáért felelős személy"-ről beszél...
A legtöbb szervezet, akire vonatkozik az Ibtv, az mind önkormányzat. Relatíve igen sz*rul fizetnek, max. csak arra jók hogy gyakorlatot szerezz velük. Más szervezeteknél szintén felvesznek erre egy főt, legjobb esetben a legfelsőbb vezető közvetlen alárendeltségébe, de simán előfordul olyan is, hogy a gazdasági részleg alatt elhelyezkedő informatikai vezető beosztottjaként dolgozik az illető... Elvárás és a célok megvalósításához szükséges keret konvergál a nullához: a legtöbb esetben csak papírok legyártását (és persze a felelősség vállalását...) várja el az adott szervezet vezetése: a legtöbb ilyen vezető nem érti meg az információbiztonság fontosságát, szerepét és jelentőségét.
1-1 helyen, ahol van némi személyzet is a biztonsági feladatok ellátására (nem ide keverendő az üzemeltetés azon része, akik ITSEC feladatokat látnak el, pl. a tűzfalasok stb.), ott esetleg jelenthez ez egy osztályvezetői állást (pl. az ORFK-n ez a helyzet, hogy mondjak egy konkrétumot is)."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
inf3rno
Topikgazda
SOC-ból csináltam ezt a John Strand féle képzést, de újra át kéne néznem az egészet. Nem hiszem, hogy itthon bárhova felvennének vele, de ki tudja. Igazából nem feltétlen akarok én ezzel főállásban foglalkozni, legalábbis az volt a terv, hogy mellékesnek jó, ha megcsinálom itt helyben néhány önkormányzatnak, a maradékot pedig szoftverfejlesztős, hálózatépítős projektekből finanszírozom. Persze a tervek változhatnak is, agyalok rajta, hogy visszamenjek e BP-re.
Buliban hasznos! =]
-
inf3rno
Topikgazda
Köszi! Ez hasznos info. OSCP vagy ilyesmi felé megyek el, ha esetleg elszakadok ettől az önkormányzati, programozói vonaltól. Most ami fontos, hogy biztonsági szempontból ki tudjak tesztelni egy webalkalmazást vagy webszolgáltatást, azt meg szerintem lehet papír nélkül is. Üzemeltetni nem akarok, ha nem muszáj. Apropó, esetleg van olyan itthoni hosting szolgáltató, akit tudtok ajánlani biztonsági szempontból?
[ Szerkesztve ]
Buliban hasznos! =]
-
OSCP-nek csak nagyon felkészülten fuss neki - mármint a vizsgának. 24 óra, 50 rendszer, mindet fel kell törnöd. Ha ezzel megvagy, akkor 48 órád van a reportingra.
Gyakorlásnak DVWA, Juice Shop ajánlott - tele vannak sebezhetőségekkel és nem túl nagy a memória igényük, még 8 GB RAM mellett is használhatók. Vannak egyéb letölthető CTF vm-ek is, ott a HackTheBox.
"Apropó, esetleg van olyan itthoni hosting szolgáltató, akit tudtok ajánlani biztonsági szempontból?"
Ez nekem nem egyértelmű, mi a cél?
https://www.coreinfinity.tech
-
inf3rno
Topikgazda
Csak annyi, hogy az OS és a HTTP szerver beállításával, hardeninggel, upgrade-el ne kelljen foglalkozni, csak az alkalmazás helyes megírásával. Szóval klasszikus hosting. Volt már olyan szolgáltató, akit megtörtek, és úgy fértek hozzá az oldalhoz, nem is az alkalmazás volt a rossz, talán cpanel-en vagy ilyesmin keresztül. Na az ilyen helyzeteket akarom elkerülni, és most nincs időm nekiesni annak, hogy hogyan állítsam be helyesen meg úgy egyébként nem akarok annyira szerver üzemeltetéssel foglalkozni, ha nem muszáj.
Az OSCP-t én sem most gondoltam. Az még évek mire készen leszek rá, de távlati célnak jó.
[ Szerkesztve ]
Buliban hasznos! =]
-
-
inf3rno
Topikgazda
Hát ja, azért voltam kíváncsi, hátha van valami bennfentes infotok. Üzemeltetés szempontból pl dotrollt ajánlotta nekem ezzel foglalkozó ismerős.
Pont ez az, hogy nem igazán van erre időm, teljesen saját magam meg nem fogok nekiállni. A maximum ameddig elmennék az a dedikált szerver, de infrastruktúrát garantáltan nem fogok kiépíteni. Ahhoz már nagyon jól menő weboldal kellene, hogy megérje.
[ Szerkesztve ]
Buliban hasznos! =]
-
-
Ti mivel szoktatok generálni biztonságosan hosszú véletlen karakteres jelszavakat?
Tudom van sok webes jelszógeneráló oldal. Azt ígérik hogy valójában offlineak és nem ők küldenek egy jelszót ami ott lesz az adatbázisukban. Szóval hinni kell bennük mint Jézusban..?
[ Szerkesztve ]
-
-
Nem az a lényeg hogy be legyen építve..
Nem az a lényeg hogy le lehessen tölteni egy megosztóoldal (github) Hackxxxx nevű csoportjától egy .exe -t ami állítólag opnsource és nem raktak az exe-be egy plusz utasítást...Hanem az hogy lássam mit csinál.
Tehát nem lehet bineáris (exe) file. Nem vagyok programozó se.Nincs egy egyszerű txt szöveg amit beilleszthetek notepadba, átnevezem txt-ről html-re rákattintok, lefut chrome-ban, minden php js stb nélkül..? A végén kiír egy véletlen jelszót..?
-
Igen, ehhez hasonló kellene.
De ebben sajnos a betűzésre meg a listanyomtatás felé mentek el. Feleslegesen..
Ebben nem lehet pontos hosszt megadni, kiválasztani hogy csak kicsi, kicsi+nagy, és spéci karaktereket is engedjen-e. Pedig úgy még rövidebb is lenne a kód gondolom.De eszerint még nem merült fel nálatok az igény ilyesmire. Akkor majd még keresgélek hátha akad a neten.
[ Szerkesztve ]
-
sztanozs
veterán
Évekkel ezelőtt írtam erre egy kis programot (vbscript vagy c# már nem emlékszem, majd megkeresem a forráskódot, ha nagyon nem találsz)
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
Hát valóban nem gondoltam hogy ennyire speciális az igényem és hogy mindenki vakon bízik a webes vagy exe-s jelszógenerátorokban..
Ennyire nehéz lenne egyetlen fileos html-t írni? vagy senki nem hajlandú megosztani a munkáját ezért vannak csak online elérhetős js php és hasonló oldalak?
Mondjuk ilyen tudású html: [kép] -
inf3rno
Topikgazda
A githubon forráskódok vannak, nem exe fájlok.
Nincs, a HTML az nem programnyelv, csak js-el tudsz véletlen számot generálni, ha böngészőben szeretnéd, viszont abból is az alap megvalósítás elég gyenge minőségű. Előfordulhat, hogyha valaki ismeri a készítés idejét és a módszert, akkor be tudja tippelni a jelszót, amit generál mondjuk 1000 próbálkozásra.
[ Szerkesztve ]
Buliban hasznos! =]
-
-
-
Pedig nem ártana egy kis bizalmatlanság..
Ne én váljak az unokázós csalók áldozatává..Te mindig átnézed a github forráskódot és abból fordítod le magadnak a futtatható fileokat? (nem az egyszerűbb utat választod és a kész keepass.exe-t töltöd le?)
Én nem tudnám észrevenni a forráskódba rejtett férgeket se ha bonyolultabb mint a #283 html filja.
-
inf3rno
Topikgazda
Parancsolj:
<script>
function getRandomPassword(symbols, length){
if (!(symbols instanceof Array))
throw new Error("Symbols must be an array.");
if (isNaN(length) || length<0 || length%1)
throw new Error("Length must be a positive integer.");
var cryptoModule = window.crypto || window.msCrypto;
if (!cryptoModule)
throw new Error("Crypto module is not supported in this environment.");
var randomIntegers = new Uint32Array(length);
cryptoModule.getRandomValues(randomIntegers);
var maxInteger = Math.pow(2, 32);
var maxSymbolIndex = symbols.length;
var randomSymbols = [];
for (randomInteger of randomIntegers) {
var symbolIndex = Math.floor(randomInteger/maxInteger*maxSymbolIndex);
randomSymbols.push(symbols[symbolIndex]);
}
return randomSymbols.join("");
}
window.addEventListener("load", function (){
var symbolsInput = document.getElementById("symbols");
var lengthInput = document.getElementById("length");
var startButton = document.getElementById("start");
var resultOutput = document.getElementById("result")
startButton.addEventListener("click", function (){
var symbols = symbolsInput.value.split("");
var length = parseInt(lengthInput.value);
try {
var password = getRandomPassword(symbols, length);
}
catch(e){
alert("Hiba van.\n" + e);
}
resultOutput.value = password;
});
});
</script>
<label for="symbols">szimbólumok</label><br/>
<textarea id="symbols">01</textarea>
<br/>
<label for="length">hossz</label><br/>
<input type="number" id="length" min="1" max="128" value="16" />
<hr />
<input type="button" id="start" value="új jelszó" />
<br/>
<textarea id="result"></textarea>Buliban hasznos! =]
-
Egon
nagyúr
Ácsi.
1. Nem ártana tudni a felhasználási célt. Egyébként (ahogy fentebb írták) a legtöbb algoritmus csak pszeudo-random lesz, ha már tutifixbiztos megoldást szeretnél, akkor lehet megfelelő hardverbe beruházni...
2. Ki mondta, hogy használok(unk) egyáltalán bármilyen jelszógenerátort?"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
inf3rno
Topikgazda
Erről a STARTTLS dologról tudtok valamit?
Buliban hasznos! =]
-
-
inf3rno
Topikgazda
-
inf3rno
Topikgazda
Buliban hasznos! =]
-
-
Bubee82
őstag
Sziasztok,
sh4d0w kollega iranyitott ide, mint leendo kiberbiztonsagi (eleg szarul hangzik magyarul ) szakmunkasembert Jelenleg munka mellett tanulom a szakmat, ahogy birom, ami egyebkent egy 10 eves karriert valt le. Never too late
sh4d0w utmutatasaval sikerult beazonositanunk, hogy mely irany az a szakman belul ahova erdemes lenne orientalodni es ez a SOC Analyst. Ezuton is koszonom neki a sok infot