Re: A Flash sebezhetõségét használták ki az RSA támadói

(3 Oldal)
1
2
3
→

Nem indíthatsz témát.
Nem szólhatsz hozzá ehhez a témához.

Re: A Flash sebezhetõségét használták ki az RSA támadói

#1 HWSW

HWSW

Csoport: Stábtag
Hozzászólások: 4.677
Csatlakozott: 2009. márc. 17.

Elküldve: 2011. 04. 06. 10:16

Az EMC biztonsággal foglalkozó leányvállalathoz az Adobe Flash javítatlan sebezhetõségét kihasználva jutottak be támadók. A támadás történetét taglaló leírás számos kérdést felvet.
http://www.hwsw.hu/hirek/46444/rsa-securid-biztonsag-adobe-flash.html

${lang:go_to_top}$
Tetejére of the page up there ^

#2 kockulat

Senior tag

Csoport: Fórumtag
Hozzászólások: 2.220
Csatlakozott: 2009. okt. 16.

Elküldve: 2011. 04. 06. 10:16

Hm... és mindez ténnyé szilárdítja a feltevést, hogy a közösségi oldalak közvetett biztonsági kockázatot jelentenek. Elég egy nyilvánosságra hozott céges e-mailcím pl...

${lang:go_to_top}$
Tetejére of the page up there ^

#3 Ytse

Őstag

Csoport: Stábtag
Hozzászólások: 5.006
Csatlakozott: 2000. okt. 26.

Elküldve: 2011. 04. 06. 10:41

@kockulat: nem is kell nyilvánosságra hozni, egy névbõl jó eséllyel kikövetkeztethetõ egy céges e-mail cím, neveket meg dögivel találsz például a LinkedIn-en....

${lang:go_to_top}$
Tetejére of the page up there ^

#4 P1ella

Újonc

Csoport: Alkalmi fórumtag
Hozzászólások: 69
Csatlakozott: 2007. febr. 10.

Elküldve: 2011. 04. 06. 11:00

Létezik-e abszolút védelem?

${lang:go_to_top}$
Tetejére of the page up there ^

#5 Poetro

Újonc

Csoport: Alkalmi fórumtag
Hozzászólások: 57
Csatlakozott: 2004. ápr. 16.

Elküldve: 2011. 04. 06. 11:23

@P1ella: Ne nyiss meg levelekben levõ csatolmányt, aminek a feladóját nem ismered. És természetesen nézd text/plain-ben a leveleidet, mondjuk http://en.wikipedia.org/wiki/Pine_(e-mail_client)">pine-ban :P

---------
Poetro

${lang:go_to_top}$
Tetejére of the page up there ^

#6 kockulat

Senior tag

Csoport: Fórumtag
Hozzászólások: 2.220
Csatlakozott: 2009. okt. 16.

Elküldve: 2011. 04. 06. 12:45

@P1ella: sajnos amíg az egyik faktor a felhasználó, addig nem. A gép azokat a szabályokat használja amit beprogramoznak neki, de az embernek hiába mondod, hogy "zmeg, NE tölts be olyan csatolmányt amirõl nem tudod ki küldte", ha nem képes felfogni.

${lang:go_to_top}$
Tetejére of the page up there ^

#7 FEC77

Újonc

Csoport: Alkalmi fórumtag
Hozzászólások: 8
Csatlakozott: 2009. okt. 16.

Elküldve: 2011. 04. 06. 13:00

A leggyengébb láncszem a hiszékeny felhasználó... Csak tudnám mit keresnek ilyen helyeken? Azon kívül, hogy pénzben többszörösét mint én (pedig én még semmi ilyent nem nyaltam be).

${lang:go_to_top}$
Tetejére of the page up there ^

#8 bakagaijin

Csoport: Alkalmi fórumtag
Hozzászólások: 365
Csatlakozott: 2009. júl. 06.

Elküldve: 2011. 04. 06. 13:18

@kockulat:

Még jó, hogy nincsenek ügyfeleid és senki nem kér tõled ajánlatot sem. De mondok egyszerûbbet: 24x7 IT support általában ki van outsource-olva, kétszer ugyanazzal az emailcímmel nem levelezel. Idõt és energiát pedig senki nem fog abba feccölni, hogy email header-bõl visszaböngéssze ez a levél most tényleg olyan csatornán jött-e ami hihetõ... ráadásul mai outsourceing gyakorlatnál mi az ami hihetõ

.

Outlook egyébként általában céges policy, a levelek általában html levelek, még ha valaki pl. gmail-ról is ír neked, akkor is HTML-ben fogod megkapni... tehát a pine annyire nem túl jó ötlet, ráadásul az unicode támogatása is eléggé korlátos.

${lang:go_to_top}$
Tetejére of the page up there ^

#9 Balaimali

Csoport: Alkalmi fórumtag
Hozzászólások: 122
Csatlakozott: 2009. márc. 23.

Elküldve: 2011. 04. 06. 15:29

@bakagaijin: outsourceing helyett használhatnánk a remek "kiszervezett" magyar szót. Egyébként egy nagyon jó vígjáték sorozat címe, érdemes rákeresni: Outsourced

${lang:go_to_top}$
Tetejére of the page up there ^

#10 pocak

Újonc

Csoport: Alkalmi fórumtag
Hozzászólások: 25
Csatlakozott: 2001. okt. 19.

Elküldve: 2011. 04. 06. 18:57

Nem hiszem el!!! IT biztonsági cégnél dolgozik, ráadásul az RSA-nál? Kapott egy levelet, amit spam-ként detektált a levelezõje? Ismeretlentõl kapta a levelet? Erreföl kikukázta, és megnyitotta a benne lévõ excel fájlt? Hát barom az ilyen???

Én ha bizti cég lennék, tesztelném ilyenekkel az alkalmazottaimat. Aki lebukik, az másnap lapát. Ne vicceljünk már!

Pocak

${lang:go_to_top}$
Tetejére of the page up there ^

#11 Ytse

Őstag

Csoport: Stábtag
Hozzászólások: 5.006
Csatlakozott: 2000. okt. 26.

Elküldve: 2011. 04. 06. 19:01

@pocak: egy IT-biztonsági cégnél is dolgoznak olyanok, akik nem IT-biztonsági szakértõk, csak sima HR-esek vagy pénzügyesek például és ugyanannyi fogalmuk van az IT-biztonságról mint egy téglagyári vagy egy varrodai vagy egy banki HR-esnek...

${lang:go_to_top}$
Tetejére of the page up there ^

#12 Jahno

vérképkeretezés occsón

Csoport: Fórumtag
Hozzászólások: 47.190
Csatlakozott: 2001. jan. 15.

Elküldve: 2011. 04. 06. 19:58

Idézet: Ytse - Dátum: 2011. 04. 06. 20:01

Azért elvileg a HR és a pénzügy nem egy buta terület (izééé, elvileg, mert HResekről különösen, de pénzügyről is van véleményem), ellenben egyszerű szabályokat tudjunk már megtanulni, nem? ÁFA törvény, meg egyszerű logika az megy, visszük a komplett RSA könyvelését a hátunkon, oszt egy ilyennek bedőlünk? Legközelebb meg kocsmában fogja kipofázni a vezérigazgató prémiumát?

Különben meg Jahno ne szórakozz, ez nem az a topic.

${lang:go_to_top}$
Tetejére of the page up there ^

#13 Jahno

vérképkeretezés occsón

Csoport: Fórumtag
Hozzászólások: 47.190
Csatlakozott: 2001. jan. 15.

Elküldve: 2011. 04. 06. 20:20

Idézet: Ytse - Dátum: 2011. 04. 06. 11:41

@kockulat: nem is kell nyilvánosságra hozni, egy névbõl jó eséllyel kikövetkeztethetõ egy céges e-mail cím, neveket meg dögivel találsz például a LinkedIn-en....

Naja. Nálam azért már fele HWSW tudja merre melózok, de egy ideig egész jól meg bírtam őrizni az inkognitómat. Miközben a marketing/HR/cégvezetés pont ezt sulykolja, hogy legyünk benne a köztudatban, kommenteljük a youtube csatornát, toljuk a szeressük gombot a Fácsebúkon, iratkozzunk twitterre, hogy más is lássa, így jól bekerülünk a pórnép agyába, satöbbisatöbbi.

Arról nem is beszélve, hogy RSAnak nem régen volt egy sokkal érdekesebb nyűgje is :-)

Különben meg Jahno ne szórakozz, ez nem az a topic.

${lang:go_to_top}$
Tetejére of the page up there ^

#14 vanabble

Csoport: Alkalmi fórumtag
Hozzászólások: 105
Csatlakozott: 2010. okt. 20.

Elküldve: 2011. 04. 06. 20:29

furcsa ,hogy ezt a normálistól teljesen eltérõ adatforgalmat nem szúrta ki a logelemzõ, furcsa hogy a kliensen futó vírusvédelmi megoldás nem vesz észre egy ilyen cuccot, furcsa, hogy az identitás menedzsment nem sikoltozott.
Ez kellemetlen, fõleg annak a fényében hogy mekkora arcuk van minden konferencián ahol megjelennek

${lang:go_to_top}$
Tetejére of the page up there ^

#15 Jahno

vérképkeretezés occsón

Csoport: Fórumtag
Hozzászólások: 47.190
Csatlakozott: 2001. jan. 15.

Elküldve: 2011. 04. 06. 20:46

Idézet: vanabble - Dátum: 2011. 04. 06. 21:29

Heurisztikussal ki kellett volna, csak ez egyben érdekes dolog. Amúgy mi az a "normális" adatforgalom? Meg az egész egy érdekes történet, főleg akkora cégnél. Ellenőrzést a végletekig lehet hangolni, legfeljebb hátráltatja a munkát, több erőforrás és pénz kell, meg satöbbi.

Ezek után szerintem most csomó kis és nagy cég ráugrik a témára, aztán megoldást szeretne keresni.

Egyik cégemnél pld. helyben futtattam ütemezett .bat-ot, ami frissítéseket szedett le, és adatokat küldött el. Úgy lecsapták a komplett munkaállomást, hogy csak lestem. Én meg hiába írtam odafentre, "majd foglalkoznak vele", a munkaállomás gazdája meg nyüszögött, hogy jajjjdesürgősjajjdesürgős.

Van pár cégem, ahol teljesen jól meg vannak oldva a dolgok, user laptopja titkosítva, otthonról is csak a céges proxyn/VPN-en át netezhet, aztán kész. Ott szűrik is rendesen. Aztán ilyenkor jön Pistike kérdése a HWSW-n, hogy lehet megkerülni, meg USB vinyóra Wint telepíteni, meg a többi. Mi viszont szopolunk.

Különben meg Jahno ne szórakozz, ez nem az a topic.

${lang:go_to_top}$
Tetejére of the page up there ^

#16 vanabble

Csoport: Alkalmi fórumtag
Hozzászólások: 105
Csatlakozott: 2010. okt. 20.

Elküldve: 2011. 04. 06. 21:22

@Jahno:

Egyszer nézz meg egy jó naplóelemzõ alkalmazást

Egy munkaállomás felé történõ folyamatos adatforgalom a nem normális kategória.A jól belakott naplóelemzõ arról szól, hogy a szokatlan forgalmakat jelzi
Ezek nagy cégeknek való alkalmazások, amik mögött apparátus áll nincs automatikus védelem.
A folyamat kb így kellett volna,hogy kinézzen: A naplóelemzõ szól, hogy hello ez itt szokatlan, Gazsi meg megnézni, hogy mi is ez pontosan és kideríti hogy itt biza folyamatosan befelé forgalmaztak egy idegen helyrõl ami rossz.

Ha ezen az akadályon átjut akkor jön az identitás menedzsment : ha valaki a szerveren adatokat böngész majd nagy mennyiségben tölt le esetleg olyan felhasználó aki nem szokott vagy olyan kiindulóponttal ami szokatlan az identitás menedzsment küldi a riasztást és Gazsi utánanéz.

Persze egy nyomorult vírusirtó rendesen frissítve az elsõ percben megoldotta volna a dolgot

${lang:go_to_top}$
Tetejére of the page up there ^

#17 UnA

Csoport: Fórumtag
Hozzászólások: 315
Csatlakozott: 2010. ápr. 07.

Elküldve: 2011. 04. 06. 23:16

@Bodnár Ádám: " Ugyanígy érthetetlen, hogy az Excel miért volt úgy konfigurálva, hogy Adobe Flash-t hajthasson végre..."

Erre válaszolok neked: vannak olyan szoftverek, amik Office-ba ágyazott Flash animációval dolgoznak, pl. ilyen a BusinessObjects Dashboard Design (korábban Xcelsius). Ezt pedig nem otthoni felhasználók indítgatják, hanem kifejezetten "enterprise" alkalmazás. Ettõl függetlenül lehetséges lett volna ezt letiltani az Office-ban, és csak néhány felhasználónak engedélyezni, akinek tényleg szüksége van rá.

${lang:go_to_top}$
Tetejére of the page up there ^

#18 Jahno

vérképkeretezés occsón

Csoport: Fórumtag
Hozzászólások: 47.190
Csatlakozott: 2001. jan. 15.

Elküldve: 2011. 04. 07. 00:26

Idézet: vanabble - Dátum: 2011. 04. 06. 22:22

Egy munkaállomás felé történõ folyamatos adatforgalom a nem normális kategória.

Első 4-5 cég amerre előfordulok, ez teljesen normális szint. Ne légy szűk látókörű, de beszélgethetünk róla részletesebben is, engem is érdekelne, amit nem tudok.

Különben meg Jahno ne szórakozz, ez nem az a topic.

${lang:go_to_top}$
Tetejére of the page up there ^

#19 Jahno

vérképkeretezés occsón

Csoport: Fórumtag
Hozzászólások: 47.190
Csatlakozott: 2001. jan. 15.

Elküldve: 2011. 04. 07. 00:27

Idézet: UnA - Dátum: 2011. 04. 07. 00:16

lehetséges lett volna ezt letiltani az Office-ban, és csak néhány felhasználónak engedélyezni, akinek tényleg szüksége van rá.

Na, oszt ebbe szokott beledögleni a support, ugye? Vagypár héten belül az egész cégnek szép sorban egyesével engedélyezzük. Gondolom ismerős a sztori.

Különben meg Jahno ne szórakozz, ez nem az a topic.

${lang:go_to_top}$
Tetejére of the page up there ^

#20 Jahno

vérképkeretezés occsón

Csoport: Fórumtag
Hozzászólások: 47.190
Csatlakozott: 2001. jan. 15.

Elküldve: 2011. 04. 07. 00:28

Idézet: vanabble - Dátum: 2011. 04. 06. 22:22

A naplóelemzõ szól, hogy hello ez itt szokatlan, Gazsi meg megnézni, hogy mi is ez pontosan és kideríti hogy itt biza folyamatosan befelé forgalmaztak egy idegen helyrõl ami rossz.

Szóval mi is az a naplóelemző? Minden a proxyn át, külön enterprise alkalmazással? És kell 10 Sanyika? Mert ugye az ilyen cucc folyamatosan ordibálni fog, az biztos. Külön erőforrás csak ezzel. De a munkát akkor is hátráltatja.

Különben meg Jahno ne szórakozz, ez nem az a topic.