- Yettel topik
- MIUI / HyperOS topik
- Poco X6 Pro - ötös alá
- Okosóra és okoskiegészítő topik
- Készülőben a Xiaomi 2021-es csúcsmodelljeinek HyperOS frissítése
- Apple AirPods Pro (2. generáció) - csiszolt almaságok
- Garmin Instinct – küldetés teljesítve
- Xiaomi 14 Ultra - Leica hercegnő
- Poco F3 - a mindenes, de nem mindenkinek
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
Hirdetés
-
Leépítésekbe kezd a Grand Theft Auto kiadója
it A munkaerő 5 százalékát bocsájtja el a Take-Two, valamint egyes projekteket is leállít.
-
Ghost of Tsushima: Director's Cut - Íme a gépigény
gp A PC-s kiadás crossplay és trófea támogatással érkezik hamarosan.
-
Inteles VGA-val jelentkezett a Biostar
ph Egy gyárilag húzott, 8 GB-os Arc A750 landolt a cég kínálatában.
Új hozzászólás Aktív témák
-
Dare2Live
nagyúr
"meg, hogy a kriptot leegyszerűsítjük a BTC-re."
Megfigyelésem szerint a crypto topikokhoz hozzászolók nagyja még csak nem is hallott másról a tudása a témával kapcsolatban is a témában ezen a szinten van de azért leírja a wtf véleményét.
don't look up, don't look up, don't look up, don't look up, don't look up, don't look up, don't look up...
-
HellGreg
őstag
-
Rodi 4.80
senior tag
Nyomul a bankszektor, félnek?
-
_cHAos_
aktív tag
Nem írok semmit, mert kicsi az ország és visszakövethető lenne hiába nem ütközne titoktartási szerződés kötelezettségbe nyilván ezt a vicces fórumot sem olvassák és régen is volt már. De nemhogy a frissen végzett diákokra de a vezető egyetemi oktatókra sem bíztunk komoly munkákat... Nyilván te sem azt a személyt bíznád meg egy hálózati munkával, aki hálózatokkettőt tanít az egyik egyetemen, hanem azt személyt aki mondjuk az NBH hálózati infrát tervezte.
[ Szerkesztve ]
-
Z10N
veterán
"Pénzmosásra is sokan használják ezeket a kriptomegoldásokat állítólag."
"Allitolag"# sshnuke 10.2.2.2 -rootpw="Z10N0101"
-
Gargouille
őstag
"Komoly cégeknél földrajzilag elhatárolt (földalatti páncél terem az egyik alap) több példányos biztonsági mentéseket készítenek, nem egyszerű az adatállományok szállítása sem. Emellett rendszeresen ütemezett katasztrófa szimulációkat hajtanak végre, tesztelik a kritikus infrastruktúra visszaállítását is nulláról, kb. 24 óra alatt kell megoldani, ha lebombáznak egy adatközpontot, akkor is, vagy bármilyen vis major esetén..."
Csak, hogy árnyaljam a képet, emlékszel a MAERSK esetére? Ők a világ egyik legnagyobb (ha nem a legnagyobb) szállítmányozó / hajózási vállalata. Igazi óriás, nehéz lenne azzal vádolni, hogy nem enterprise IT van náluk. És mégis áldozatul estek, nem is kis károkat szenvedtek. De számtalan más példát lehetne még felsorolni az elmúlt pár évből.
Jó hangzik, hogy itt a fórumon rendre mindenki "nagyot akar mondani", meg "ilyen komoly cuccok vannak ott, meg olyan komoly BCP BRP" de a valóság az, hogy a nagy cégeket rendszerint célzottan támadják, alaposan előkészítve az akciót és nem is szoktak kapkodni, rászánják a heteket, hónapokat. Akármennyire is "komoly" infrastruktúra van, minden megborítható csak rászánt erőforrás és idő kérdése az egész.
Önmagában semmit nem jelent a sok vonalas meg georedundáns mentés sem, a hightech tűzfalak és behatolásvédelmi megoldások, ezek jól hangzanak de leginkább a kirakatba valók, az ügyfélnek megmutatni, hogy itt mindenre gondoltunk. Közben azért szakmai oldalról tudja mindenki, hogy nincs 100%-os biztonság és mindenhol megvan a gyenge láncszem. Egy KKV esetében egyszerűen nem éri meg, hogy komolyabban felmérjék és tervezzék a támadást, de egy nagyvállalat esetén viszont igen. Nagyon sok példa mutatja ezt. Minél nagyobb a várható nyereség, annál jobban megéri energiát fektetni a támadásba.
Félre ne érts, ezzel nem azt akartam mondani, hogy nincs szükség védekezésre és jól átgondolt mentésre stb., sosem szabad hátradőlni. Csupán arra szerettem volna rávilágítani, hogy ezek a hangzatos dolgok, drága enterprise megoldások sem jelentenek garanciát, azért ettől sem kell ám hanyatt esni. Inkább érdemes átnézni néhány esettanulmányt és megnézni, hogy egy valódi incidens után meddig tartott (és mennyibe került) helyreállni teljesen.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
válasz Gargouille #111 üzenetére
én szeretnék leszámolni azzal a mítosszal, hogy folyton mindig minden rendszer megborítható.
tökre uncsi azt látni, hogy mindenki, de főleg az outsiderek, meg főleg a nagyon outsider médiaszakmunkások szerint az összes informatikai rendszer lyukas, mint a szita.szerintem ez nem igaz még akkor sem, ha a többség az.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
válasz tha_answer #113 üzenetére
nem tudom, mire vonatkozik a kérdés, de tudtommal nem kapunk kompenzációt.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Dare2Live
nagyúr
sztem a lényege amit mondani, akart, hogy nincs garancia.
És valóban nincs. Nem feltárt sérülékenységeke ellen pl nehéz védekezni. Vagy ott vannak az APT módszerek... Sok sikert védekezni ha lefizették nem is a rendszergazdát akár csak egy power usert.Ezért k* fontos az offline/trezor backup, meg....
don't look up, don't look up, don't look up, don't look up, don't look up, don't look up, don't look up...
-
válasz Dare2Live #116 üzenetére
továbbra is bántja a csőrömet, hogy azt terjesztik sokan, hogy az összes rendszer átjárható.
az alkalmazott lefizetése egy teljesen külön kategória, mert az alkalmazott nem programhibát használ ki vagy védelmi rendszert kerül meg, hanem a számára kiadott jogosultságokkal visszaél. Ez nem szoftverhiba.
Nekem pl. egy csomó szerverem van, amihez senki másnak nincs hozzáférése. Ezzel a social engineering ki is lőve. Nincs rajta szemét meg felesleges szoftver, ezzel egy másik nagy támadási felület kilőve.
szerk: a mentés fontosságát nem tagadtam. illetve semmilyen biztonság-fokozó cselekmény fontosságát se tagadtam.
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
válasz tha_answer #115 üzenetére
három problémát látok:
1. ez itt offtopic
2. súlyos politika, ha belemegyünk
3. nem kompenzációt írtak ki, hanem támogatási pályázatot. tehát *pályáznom* kell, hogy visszakapjam a zsetont. vagy nyerek, vagy nem. ennek a történetnek szerintem csak szélsőséges megítélése lehet, a kormány szemszögéből nézve ez egy zseniális tripla kommunikációs húzás, az én szemszögemből nézve meg.... hagyjuk, ne dolgozzanak a moderátorok.megfordult a fejemben, hogy írok róla blogbejegyzést a logoutra, de szerintem nem a ph!-t, az egész adatközpontot lelövik és szitává bombázzák, ha megjelenik
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Dare2Live
nagyúr
Az biztos hogy hülyeség hogy átjárható. Egy jól összerakott backendre direktbe pl kb lehettlen bemenni. Nem is szoktak. (Inkább vmi power user nem patchelt gépét hackelik meg vmi mailware, pishing.... akármivel vagy nem patchelt hálózati eszköz hibát kihasználva mennek be... vagy a backenden futó programokon keresztül próbálkoznak...)
De ha a human vonalat ki is huzod márpedig a legtöbb rendszeren nem csak egy korrumpálhatatlan rendszergazdának van bármire joga ott van a "Nem feltárt sérülékenységeke ellen pl nehéz védekezni." pl a mostani exchange eset ellen pl esélyed se volt mint secuitys / rendszergazda hiába nem volt senkinek semmi joga az adott rendszeren.
Rossz plda csak beugrott de pont az akármilyen egyetem direkt hibás kodot rakott a linux kerelbe és simán átment volna ha nem szólnak esete ugrott be. Ha nekik sikerült simán lehet vki meg nem szólt... ezellen kb képtelenség védekezni.
nah erősen elkanyarodtam a témától.
don't look up, don't look up, don't look up, don't look up, don't look up, don't look up, don't look up...
-
válasz Dare2Live #119 üzenetére
nekem esélyem se volt exchange sérülés ellen? rotfl
"Egy jól összerakott backendre direktbe pl kb lehettlen bemenni. Nem is szoktak.": tehát akkor te is azt mondod, hogy *MINDEN* gépre nem tudnak bemenni. Muszáj, hogy különbség legyen téve végre a lehetetlen, a nulla valószínűségű, a valamilyen valószínűségű, az 1 valószínűségű és a biztos esemény között.Azt jó, hogy emlegeted, hogy a kis kínaiak direkt szemetet szórtak a kernelbe, mert ez pont az a történet, ahol a linux kiválóra vizsgázott. A szemetjük zömét még azelőtt kitakarították, mielőtt szóltak volna. csak ez nem eléggé klikkvadász fordulat, így erről mély kuss van. Ettől függetlenül szerintem az meg teljesen normális, hogy a fejlesztés adott periódusaiban a program el van törve.
Tehát azt szeretném, hogy az a szemlélet, miszerint 100 tetszőleges gépből mind a 100-at simán felnyomnak, megszűnne. Ha 100 gépből csak egy megáll, akkor már az állítás matematikailag nem igaz. Az arány ennél szerintem sokkal jobb, és ennek tükröznie kellene azt is, hogy nem használunk hangulatkeltésre meg klikkvadászatra hamis adatot.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
_cHAos_
aktív tag
Abszolút nem, ez nem azt jelenti, hogy nincs számottevő sebezhetőséi pontja egy komoly vállalati infrának.
#111Gargouille
: egy 24 órnál hosszabb szolgáltatás leállás nem történhet meg bármilyen támadás vagy katasztrófa esetén sem.
A MAERSK nem profikra bízta az IT-t, lehet bármekkora logisztikai cég is.[ Szerkesztve ]
-
Gargouille
őstag
Hát lehet, hogy az outsiderek szerint minden rendszer lyukas mint a szita, de ezzel én sem értek egyet és olyat sem mondtam, hogy minden gép átjáróház. Ha te ezzel szeretnél vitázni (szalmabáb) akkor tegyed, csak ez a te állításod, ne add a számba.
Azt viszont felesleges vitatni, hogy megtámadható minden rendszer. Nem csak szoftverhiba lehet, hanem számtalan egyéb módon is történhet a behatolás, legális utakon vagy ezer más módon is. A stuxnet esete például tök jól megmutatta, hogy akár egy full elvágott és nagyon erősen védett rendszert is sikerrel lehet támadni (ugye ez volt iráni urándúsítók ügye). Vagy a Solarwinds esete, ahol a beszállítói láncon keresztül sikerült bejutni és onnan tovább a nagyobbakhoz... számtalan példa mutatja azt, hogy csak leleményesség, hozzáértés és ráfordított idő/energia kérdése, de végül minden rendszer kompromittálható így vagy úgy.
Ettől még nem válik "átjáróházzá" semmi, de az sem igaz, hogy létezik támadhatatlan rendszer.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
válasz Gargouille #122 üzenetére
válasszuk szét a támadható és a sikeresen megtámadható rendszerek fogalmát.
minden rendszer támadható, ami publikus neten van. ami nem mindegy, hogy be is lehet-e jutni.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Gargouille
őstag
Az a rendszer is támadható, ami nincs a publikus neten, lásd iráni atomlétesítmény. De persze itt most nyilván csak a bevehető erődökről beszélünk, nem a te általad üzemeltetett rendszerekről.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
anulu
félisten
válasz Dare2Live #119 üzenetére
többször leírtam már, és továbbra is tartom: az Exchange serverekre csak úgy maguktól nem jut be a kód. tudottak olyan hibák, amivel OWA-n keresztül be lehet vinni (preparált mailt kell küldeni a usernek, ő meg úgyis meg fogja nyitni. mindig valaki megnyitja). jópár ezek közül amúgy az elmúlt CU-kban patkolva lett.
az egész ott indul, hogy least privilige account és admin accountnak nincs mailboxa (vagy ha nagyon indokolt eset van, akkor sincs OWA hozzáférése csak mapi). ez az alap.és igen, továbbra is tartom, hogy azon cégek nagy része, amelyik benyelte ezt a zsaroló vírust, b@lf*sz volt. nem biztos, hogy ordító helyen, elég, ha egy pici rés van a pajzson.
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
Dare2Live
nagyúr
4db CVN jött ki rá... Innen a de nem nem nem bizonygatásodnak alapja sztem nincs.
Amúgy mindegyik CVNben ott a " Remote Code Execution Vulnerability"....Alaphangon 30.000+cég lett meghackelve köztük igazi nagyok is komoly IT staffal. De vszeg jóval több csak nem tudnak róla... vagy nem akarják kitudódjon.
A virus dolgot főleg a zsarolóvirus dolgot nem tudom honnan veszed. Ez tipikus APT akció volt.
don't look up, don't look up, don't look up, don't look up, don't look up, don't look up, don't look up...
-
"tudottak olyan hibák, amivel OWA-n keresztül be lehet vinni (preparált mailt kell küldeni a usernek, ő meg úgyis meg fogja nyitni. mindig valaki megnyitja)": én valahogy mindig abban a tudatban éltem, hogy az exchange szerver arra való, hogy valahol a világban feladnak egy emailt az usernek, azt ő megkapja, majd amikor neki tetszik, ráklikkel és elolvassa.
most akkor mégse ez az alapfeladata? ha pedig mégis ez az alapfeladata, hogy van az, hogy az alapfeladathoz tartozó történetekben nem ellenőrződik az user input megfelelően?
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
korcsi
veterán
A bányászatnál a blokkok hitelesítése történik, egy folyamat ami bizonyítja, hogy a blokk tartalma az ami, és nem lett megváltoztatva, ez történhet egy adott feltételnek megfelelő hash érték keresésével (Proof Of Work) vagy szavazás útján (Proof Of Stake).
A kriptovaluta értékét nem a bányászat adja, hanem a bizalom amit a befektetők előlegeznek meg. Hisznek benne, hogy holnap is legalább ennyit vagy többet fog érni.
Egy tőzsdei részvénynél ki vállal számodra garanciát, hogy az holnap is annyit fog érni amennyit szeretnénk.
referencia 5700(XT) plexi ARGB-s blokk eladó!
-
"A kriptovaluta értékét nem a bányászat adja, hanem a bizalom amit a befektetők előlegeznek meg. Hisznek benne, hogy holnap is legalább ennyit vagy többet fog érni.": vagyis a kriptovaluta értéke egy mákszemmel sem több a puszta spekulációnál.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
anulu
félisten
az, hogy egy levelet elküld és fogad, ill a user valamikor elolvassa kb már csak mellék feladata az Exchange servernek... mint az okostelefonok manapság. lehet velük telefonálni IS.
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
válasz Dare2Live #126 üzenetére
"30.000+cég lett meghackelve köztük igazi nagyok is komoly IT staffal"
igen, és ezen nagy cégek közül sokakat olyan Exchange-es, akinek nem ezen múlik, hogy tud-e venni egy kiló kenyeret, nagy ívben elkerül, mert vállalhatatlan dolgokat csinálnak."Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
indigen205
tag
Emberrablás esetén ha 20mFt váltásgdíjat kérnek a rablók akkor tiltsuk be a forintot. Logikus
Új hozzászólás Aktív témák
- Google Chromecast Audio - Új és használt darabok
- Motorola Edge 40 8/256gb - Újszerű, akár beszámítással
- Xiaomi Poco X5 Pro 8/256gb - Újszerű akár beszámítással
- Apple iPhone 12 Pro 128gb Gold - Karcos, kis hiba, akku 85%, Yettel függő, akár beszámítással
- Apple Watch 9 45mm Cellular Silver/Storm Blue M/L - Új, bontatlan, garanciális akár beszámítással