[HWSW]

Vágjunk a közepébe, nem kell a sallang. Nem kell hosszasan ecsetelni, mi történt alig pár napja a JP Morgannel – errõl talán mindenki olvasott. A JP Morgant megcsapták, mint Gyuszi bácsit a hagymaszag a gangon. Sokmillió ügyféladatot vittek el, égés, magyarázkodás, fél százalékos csökkenés a tõzsdén.
https://www.hwsw.hu/hirek/52970/jp-morgan-biztonsag-kocsis-tamas-velemeny.html

[Mehenion]

hosszú évek óta dolgozom nagyvállalatoknál/vállalatoknak. sajnos egyet kell értsek. az a nagy gond, hogy lehet akármilyen felkészült is a csapat, ha a vezetés nem látja be, h mi miért fontos és nem akar/tud pénzt áldozni megvalósításokra, akkor egy idõ után a lelkesedés is kivész az üzemeltetõkbõl, "lapátolják a sz*rt" tovább.

[Emvy]

> fél százalékos csökkenés a tõzsdén

Jah, mikozben a Dow esett kettot. Konkretan a botrany alatt/ota a JPM jobban teljesit, mint az index, pedig utobbi esett, es a JPM betaja 1.55. Szoval az egvilagon semmi negativ hatas nem latszik a papiron.

> hogy egyre butábbak vagyunk
Marhasag. Egyre tobbet tudunk, csak epp a komplexitas no nagyobb utemben.

> Régen regiszterszintig ismerték az informatikai eszközöket.
Jaja, mert a regiszterszint folott volt meg +2 absztrakcios reteg, most meg van 30. Ha nem lenne, akkor meg mindig a karakteres kijelzonel tartanank.

> Minden összefügg mindennel
Koszonjuk, igazan melyen szanto gondolat, mara be is lehet zarni a HWSW-t

> végtelenségig elkeseredett
"vegletekig" a szo, amit keresel..

Elnezest, nem kivanok feleslegesen beszolni, de a cikk kb. a Harcosok klubja es Coelho kevereke informatikai temaban. Az altalam ismert biztonsagi szakemberek altalaban tisztaban voltak azzal, hogy nincs tuti biztonsag, nem dongette senki a mellet. Ez kockazatkezeles, nem elet-halal kerdese. Nem az a cel, hogy 0 esellyel vigyenek el ugyfeladatokat, sose volt az, es a felhasznalok sem akarnak kifizetni a mostaninal sokkal magasabb biztonsagot.

[Emvy]

@Mehenion: > a vezetés nem látja be

A vezetes altalaban belatja, csak a vezetesnek vannak mas celjai is, mint az IT-biztonsag, mert az o egyetlen feladatuk az az, hogy menjen az uzlet -- ami egyebkent altalaban egybeesik a felhasznalok preferenciaival, merthat errol szol a kapitalizmus/piacgazdasag. Mindig kompromisszumokat kell hozni, hiaba szuper a biztonsag, ha kozben becsodol a ceg.

[Atko]

Egyszer bent a cégnél vendégeskedõ windows szevert felnyomták, beszopott valami malware-t, vagy a fasz tudja... Már az ISP szólt, hogy valami hihetetlen mennyiségû spamet dobálunk, ezért elkezdték titltani a kimenõ forgalmunkat. Szóltunk a helyi rendszerünket üzemeltetõ cégnek, hogy mi a tájsz, õk kiderítették, hogy az a windows server a ludas, és letiltották kifele azt a forgalmat, amit generált, hogy legalább az ISP megnyugodjon. Namost... szóltunk azt a gépet üzemeltetõ cégnek (ez egy könyvelõcég SAP szervere volt), hogy kurva jó lenne, ha kezdenének vele valamit, mert ez így gáz, és le fogjuk kapcsolni a gépet. Erre mi volt a válasz? Hogy õk ilyennel nem foglalkoznak, higyjük el, hogy nincs gond a géppel, és amúgy akivel éppen beszéltem (a cégvezetõ) most jár etikus hekker tanfolyamra, bízzunk meg benne. AFAIK ez a cég több nagy könyvelõirodának üzemelteti a dynamics/sap szervereit. És mi az ultimate érv egy ilyen esetben? Éppen most járnak eitkus hekker tanfolyamra, és ne foglalkozzunk vele, hogy zombivá vált az a gép, amin több száz cégnek a könyvelése, azaz erõsen érzékeny adati voltak.

[Unstable]

Hozza ez a lehetõséget és a hibát gyöngyen.
Mi az a "gyöngyen"? Nem értem az újmagyart, no... :o

[Root_Kiskacsa]

Bár lényegében igaza van a cikkírónak, azért ez így erősen elfogult, gyakorlatilag nem lát ki a dobozból. A cégeknél az IT biztonság csak egy a biztonsági kérdések közül. Elvégre ott van a fizikai biztonság is, mindennap hallani olyan hírt, hogy kiraboltak irodákat, boltokat. Nem feltételnül fegyveres rablók, lehetnek besurranó tolvajok is. És nem feltétlenül a sarki kisboltról beszélek, lehet multik irodaházai is, netán klasszikusan bankok.
Ez jóval nyilvánvalóbb, mint az IT biztonság. Mégis, jómagam is ismerek cégeket, amelyek annak ellenére nem költenek pl. biztonsági kamerák vagy riasztó kiépítésére, hogy már átélt több lopást is. Ugyanígy, korábban már fény derült arra is, hogy sok bank (!) ATM-jében levő kamera olyan gyatra minőségű, hogy a lencsétől fél méterre álló személyről felismerhetetlen képet készít.
A biztonságra - függetlenül attól, hogy IT vagy egyéb - a cégek egy adott keretből költenek. Mert tudják, hogy nincs teljesen tökéletes biztonság, így mérlegelik, hogy mi az költség, amitől még nem esnek hasra, de a támadásokból származó kárt még kompenzálni tudják. Aztán persze ebben benne van, hogy a biztonságot tökéletesen megkerüli egy vérprofi hacker/betörő, aki így visz mindent. Ennek valószínűsége viszont lottó ötös, esetleg négyes - ha a cég jól gondolkozott a biztonsági stratégiájában és költségében. Csak hát sajnos a lottót is néha megnyeri valaki.
Nem minden a biztonságon múlik egy cégnél, de erre a cikk is utalt. A legfontosabb a termelés, utána jön a többi. Kár, hogy a kettőt nem sikerült összekapcsolni, de a cikkíró láthatóan biztonsági szakember, nem pénzügyi. Amivel egyébként nincs semmi baj, de szerencsés, ha megérti mások asztalát is.

[Modeller]

"Régen regiszterszintig ismerték az informatikai eszközöket."

De azért remélem senki nem gondolja, hogy régebben nagyobb volt a biztonság. Régen nem is lehetett biztonságról beszélni, elég megnézni néhány õsrégi hacking/phreaking txt-t, mik mûködtek, telefon, bbs, késõbb internet szintjén, hihetetlen dolgok. Egyszerûen fel sem merült, hogy a valaki esetleg megkerüli a triviálist, ezért nem is volt semmilyen biztonság, sem a hardverekben, se a szoftverekben. Ma már nagyon kifinomult védelmek vannak mind hardverben, mind szoftverben, viszont legalább ilyen kifinomult eszközök vannak a hibák keresésére-kihasználására is.

"egyre butábbak vagyunk"

Ez meg marhaság, fõleg nem igaz egy JPM szintû cég üzemeltetõinél. KKV-nál elõfordul, hogy az a kolléga "üzemelteti" a hálózatot aki sokszor telepitett már otthon windows-t, de azért nem ez a jellemzõ és fõleg nem ez az oka egy-egy ilyen betörésnek.

[xShark]

Emvy: hat pont az a baj, hogy nem megfelelo a kompromisszum. A koltsegcsokkentesek pl sokkal durvabban vagnak bele a security budzsejebe pl. Es akkor odaig mar tenyleg ne is menjunk bele, hogy ahol normal esetben mondjuk legalabb 1 fooallasu CISO-nak kellene valamifele osszhangot es kompromisszunot teremteni, ott most mar csak heti 4 oraban, kiszervezve, egy seggel 5 ceget meglovagolo CISO-k dolgoznak, de csak egy pelda.

[xShark]

@Modeller: " Ma már nagyon kifinomult védelmek vannak mind hardverben, mind szoftverben, viszont legalább ilyen kifinomult eszközök vannak a hibák keresésére-kihasználására is." - igen, valoban, egy ott hagyott sqldump megtalalasahoz, mezovalidaciok kihagyasanak kihasznalasahoz tenyleg kifinomult modszerek kellenek.

[Emvy]

@xShark: hat pont az a baj, hogy nem megfelelo a kompromisszum.

Kerdes, hogy ki szerint nem megfelelo. A biztonsagi szakemberek szerint nem Szerintem meg ezen felesleges varialni, mert ha tenyleg nem megfelelo (a fogyasztok/kliensek szamara), akkor elobb-utobb olyan cegeket fognak elonyben reszesiteni, akik ugyan dragabbak/kevesebb szolgaltatas adnak, de biztonsagosabban, es majd ezek a cegek lesznek a dominansak.
Ha nem igy tortenik, az azt jelenti, hogy a fogyasztok nem akarnak tobbet fizetni a nagyobb biztonsagert, szamukra az nem megfelelo kompromisszum.

[Modeller]

@xShark: "igen, valoban, egy ott hagyott sqldump megtalalasahoz, mezovalidaciok kihagyasanak kihasznalasahoz tenyleg kifinomult modszerek kellenek. "

Neked ilyen infoid vannak a JPM elleni támadásról? Honnan? Vagy most pistike bt termékeirõl ill. mendemondákról beszélünk? És attól, hogy pistike otthagyja az sqldumpját a userek felé publikált megosztásban, attól a szoftverekben nem lettek nagyon kifinomult védelmi mechanizmusok a régi idõkhöz képest, amikor regisztereket nézegettek az informatikusok?

[Atko]

@xShark: mert aztán sqldumpokat google-lel lehet keresni, mi? Azért normális esetben egy sql dump nem könnyen hozzáférhetõ.
Megjegyzem lehet akár úgy is keresni, hiszen pár éve a Pannon Egyetemen volt bebõle kibaszott balhé, hogy valamelyik hökös fasz kinthagyott egy sql dumpot, amiben a neptun azonosítók, jelszavak, és egyéb személyes adatok voltak. Publikusan, egy webkönyvtárban, amit a google is beindexelt.

[xShark]

Atko: nyilvan igazad van, ezert sincs biztosan a google dorks-ban kereso string erre. Nyilvan.

A Pannon Egyetemest testkozelbol lattam. Ketszer. Es nem hokos fasz volt, hanem az egyik uzemelteto aki mondjuk ugy, hogy nem megfelelo helyen tarolta a backupot.

[Ytse]

@xShark: Az egyik Silent Signal biztonsági délutánon volt róla szó, hogy magyar nagy cégeknél (akik elég biztonságtudatosak ahhoz, hogy etikus hackelést is rendeljenek saját maguk felmérésére) is klasszikus hiba, hogy az adminok olyan helyen tartanak backupokat, ahol (majdnem) bárki hozzáfér. Sõt, még a tavaszi konferenciánkon is beszélt errõl Buherátor. http://silentsignal.hu/docs/S2_AppSystem_2014/#/0/2

[xShark]

Adam: en tudom (szarkazmussal mondtam, hogy nyilvan ezert nincs a google dorksban erre string, es a cikkben is szerepel), ne nekem cimezd

[CQrity]

http://cqritytestr.blogspot.hu/2014/10/how-to-be-penetration-tester-and-why.html

Tanulj!

[Egon]

@Emvy: Pedig sokmindenben igaza van a cikknek, ezt mint IT-biztonság területén dolgozó mondom. Nem mellesleg azon az IT-Security képzésen, amire járok, pont ez hangzott el néhány napja, egy igencsak elismert szakértõ szájából...
1. Vitathatatlan, hogy az IT biztonság költségvetésének legnagyobb része a rendelkezésre állásra megy el, a bizalmasság elvesztésének megelõzésére jóval kevesebbet költenek.
2. Nyilván nem szó szerint kell érteni, hogy "egyre butábbak vagyunk": viszont a technológiához képest mindenképp (errõl szól a technológiai olló).
3. Az információbiztonság szinte mindenhol mostohagyerek, hiányzik a valódi vezetõi támogatás, cél csak papíron megfelelni az elõírások/auditok/tanúsítások követelméyneinek - egészen az elsõ komolyabb buktáig...

[xShark]

Egon: es meg azon is tul. Mennyire b@sznak meg minket? 10 millara? mennyibe kerulne megcsinalni? 13milla? Akkor b@sszanak meg, majd jovore megcsinaljuk. Idenre meg sporolunk vele 3 millat. 1 millat kerek jutalomba hogy megsporoltam 3mat.

[Asker]

@xShark: pénz beszél, kutya ugat.