- TV antenna és jelerősítés
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Hobby elektronika
- Épített vízhűtés (nem kompakt) topic
- Milyen belső merevlemezt vegyek?
- Milyen házat vegyek?
- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
- Azonnali notebookos kérdések órája
- IGP nélküli processzorokkal készül az Intel és az AMD
- Házimozi belépő szinten
Új hozzászólás Aktív témák
-
sztanozs
veterán
Ezt hívják etikus hackelésnek (amely kifejezés ellen bambano kikelt korábban) és nagyon sok cég csinálja. Néhol kötelező, néhol csak ajánlott és vannak akik maguk megnyugtatására végeztetik el magukon. Ahol én eddig dolgoztam (a legelső melhelyem kivételével), ott mindenhol bevett gyakorlat: a hálózat külső támadásának szimulálása, belső/külső alkalmazások sebezhetőségeinek vizsgálata, fizikai penetrációs tesztek (bejutni a telephelyre engedély nélkül) és social engineering.
-
Snoop-y
veterán
Igen tudom. Epp ezert kerdeztem miert nem tesztelik hasonloan? Marmint megbizast adnak egy cegnek aki nekiall kb feltorni a rendszert viszont a sec igazgaton kivul nem tudna semelyik alkalmazott, hogy mi ujsag ( nyilvan megfeleloen dokumentalva es szabalyozva. Az alkalmazottak ha tudjak hogy jon az ellenorzes mindig nagy a keszulodes. En ezt sosem ertettem auditoknal sem mikor a fonokom mondta, hogy hu vigyazz audit lesz jovo heten. Es? Most vagy jol csinalok valamit vagy nem. Vagy csak auditkor kell megfelelni a szabalyoknak? ( legtobb helyen sajnos igy van )
Jelenleg en belso ellenorzeseket vegzek illetve sensitive adatok vedelmevel foglalkozom a cegen belul ( 26 regio kb 80 orszag ) iszonyu kupleraj van es egy rohadt pup vagyok mindenki hatan viszont ha a mi auditunk elhasal valami miatt akkor lehuzhatjak a redonyt...
Ezert en sosem bizom masok altal elkeszitett adatokban. ( mindenrol kerunk be bizonyitekot mikor mit miert es hogyan csinalt es azokat folyamatosan ellenorizzuk is ) -
Snoop-y
veterán
Totalisan egyetertek. Ha idealis vilagban elnenk nem lenne szukseg ilyesmire. Mivel viszont ettol fenyevnyi tavolsagra vagyunk van letjogosultsaga. Azt nem ertem , hogy a kereskedelemben siman elfogadott a mistery shopping es az eleg jol ra tud vilagitani hianyossagokra . Miert nem tesztelik igy a cegek a biztonsagot is?
-
MageRG
addikt
miért kell normálisnak elfogadni azt, hogy valaki scripttel meg egyébbel teszteli, hogy be lehet-e menni a szerveredbe?
Huhaha.
A különbség ott van, ha csak a saját kis személyes adataid kezeled, vagy esetleg többezer user cuccait is.
Arról nem is beszélve, hogy simán a feltört szervered is használhatják rossz célokra (pl. proxynak) a feketekalaposok. Hja kérem, a szerverüzemeltetés felelősséggel jár.Egyébként a problémafelvetők szankcionálása a biztos módja, hogy a problémák még sokáig, jó egészségben fennmaradjanak.
-
Snoop-y
veterán
Az nem is. De ha azt latod, hogy a szemelyes vagy neked fontos adataidat egy olyan helyen tartjak ami egy zar nelkuli forgoajto mogott van nem ereznel kesztetest bemenni es kitenni egy cetlit a pultra? Illetve ha te nem de mas ugyanezt megteszi anelkul, hogy belenezne barmibe az miert elitelendo?
Ha bemesz a kozpontba panaszkodni az sokszor nem celravezeto sajnos. -
Atyus
tag
Igazad van, hogy a cégek illetékesei nem tesznek meg alap dolgokat sem a saját cégük biztonságával kapcsolatban - főleg ha pénzt kéne kiadni érte.
A figyelem felhívásnak több módja és mértéke van.
Szerintem nem "kóser" dolog egy elzet zárral rendelkező lakásnak a zártát kinyitni, csak mert nem biztonságos. -
Snoop-y
veterán
Ezzel egyetertek. De sokszor nagy cegek rendkivul pimasz modon sajat kenyuk kedvuk szerint inteznek dolgokat elhanyagolva a biztonsagot. A karokozassal nem ertek egyet en sem. Neha nem art felnyitni emberek szemet, hogy nem minden olyan szep es jo korulottuk mint ahogyan azt elkepzelik.
Vegyuk az en cegemet ahol most dolgozom. Mivel borzaszto jo neve van nem tudom elkepzelni, hogy valaki besetal a kapun es azt mondja figyeljetek kicsit jobban oda mert nagyon rosszak a biztonsagi intezkedesek. Meg ekkor is arra koncentralnanak, hogy az illeto kicsoda es hat ilyen nincs is nem arra elsosorban amit mond.
Es attol hogy nem a Symantectol vagy barmely mas neves cegtol jott meg lehet, hogy igaza van es tud olyat amit esetleg mas nem. Mert lehet egy jol felepitett rendszered ha a root jelszot meg a takaritono is tudja.
Egyszeruen elkepzelhetetlennek tartjak sok helyen, hogy valaki kepes legyen ilyesmikre mert hogy olyan csak a filmekben van. Hat nem, sajnos nem csak ott... -
Atyus
tag
A lényegen nem változtat, ha valaki otthon a saját wi-fi-s routerét nem konfigurálja át, attól még mindig etikátlan lopni a hálózatát, s ez csak egy egyszerű példa.
Persze jó móka, és kihívás nagyobb rendszerekbe betörni, de sajna attól még a legtöbb estben sokminden nem fog változni, ha egy rendszerbe betörnek. Eleve az oprendszer, a routerek, az egyéb szoftverek tele vannak kiskapukkal/bugokkal, de a legnagyobb veszélyforrás az emberi tényező. Feltörhetetlen rendszer nincs..
-
Snoop-y
veterán
Ez olyan dolog, hogy van harom biciklim ( itt elek angolhonban )
Az egyik egy Peugeot versenybringa. Kint van a public parkoloban lanc nelkul csak a falnak tamasztva.
Epp tesztelem mikor fogjak ellopni ( kb honapok ota igy van )
A masik ket bringa kicsit nagyobb erteku azok cryptonit lancal le vannak lakatolva a taroloban. Azokat megis megprobaltak ellopni ( hala a lancnak azt nem tudtak elfureszelni )
Ki erti ezt? Nyilvan a mi kornyekunkon magas az eletszinvonal es kulonbozoek az ingerkuszobok. Otthon lelancolva tartanam a Peugeot bringat egy szefben. Itt az nem ertek csak egy kacat. A masik ket bringa egy kocsi ara azzal mar erdemes lehet foglalkozni ezt nyilvan lattak es piszkalta valaki fantaziajat. -
Snoop-y
veterán
Anno cegen belul jeleztem komoly biztonsagi hibakat ( Internetszolgaltato elegge lanyos szinu )
a valasz az volt ra hogy azt senki mas nem nezegeti meg most megint munka van vele. Kb konyorogni kellett erte, hogy javitsak mert nem akartak vele foglalkozni. Na most egy ilyen cegnel miert nem etikus akar egy olyan figyelemfelhivo esemeny elkovetese amivel az ugyfelek tudtara hozod hogy az adataik nincsenek biztonsagban egy olyan cegnel akik elvileg erre szakosodtak es komoly penzeket nyulnak le?Nyilvan en sem kart okoztam csak logokkal megmutattam meddig lehet ellatni csak siman a jozan eszt hasznalva es nem feltorve semmit. Nem is akarom tudni, hogy a helyemben egy rosszindulatu felhasznalo miket tudott volna elkovetni.
Es ez sok nagy cegnel igy megy sajnos...
Jelenlegi helyemen is egyreszrol vannak olyan paranoid megoldasok mint amit csak a CIA hasznal masik reszrol meg neha olyan bakik vannak egyes telephelyeken hogy a kolleganak azert van admin hozzaferese egy gephez ( pedig sima 1.0 -as juzer ) mert hogy o mar 18 eve a cegnel van...Rengeteg jo rendszer van kisebb nagyobb hibakkal de a legalapvetobb hiba az emberi lustasag es/vagy a hozzanemertes. Ha valaki ezekre hivja fel a figyelmet azt en nem tudom elitelni.
-
janos666
nagyúr
Ezt feszegettem én is korábban: Nem fegyverkezési versenybe kéne menekülni, hogy egyre több, és vastagabb falat emelünk, ahogy a crackerek egyre kifinomultabb módszereket dolgoznak ki, hogy áttörjék őket. Valahol máshol kéne keresni a megoldást, mert talán van is.
A megelőzés szükségszerűen többe kerül, amit a becsületes embereknek kell megfizetni. (Sőt, gyakorlatilag még az előtt perkálnak, hogy bármiféle bűncselekmény történne, és attól függetlenül, hogy enélkül megtörténne-e.) Hiába, hogy a nagy cégeknek kell perkálniuk a biztonságtechnikai cégeknek (akik joggal kérnek horribilis árakat egy paranoid védelmi rendszerért, amihez komoly szaktudással rendelkező programozók hosszas munkájára volt szükség), a cég ezt nem a profitjából vonja le, hanem beépíti a termékei/szolgáltatásai árába, és így gyakorlatilag ők tartják el azokat, akik a biztonságtechnikai cégeknél robotolnak. (És ha úgy nézzük hasznos munkát végeznek, de a zárómérleg nem feltétlen optimális.) Sőt, vegyük bele a számításba azt is, hogy tökéletes védelem sem lesz soha, a méregdrága védelmen is találhatnak véletlenül hibát a szerencsés crackerek. Szóval mindenképp szükség van ezen felül valami más visszatartó erőre is.És gondolom könnyű volt kitalálni, hogy szerintem a törvény és rendfenntartás lenne ez a rejtélyes visszatartó erő. Kellően elrettentő büntetéseket (nem, nem gázkamra...) kéne kilátásba helyezni a bűncselekményekkel szemben, és kellően hatékonnyá kéne tenni bűnüldözés munkáját.
Ne azért gondolja meg a cracker kétszer is, hogy megpróbál-e betörni valahova. mert az YXC védelmi rendszert még senki sem törte fel. Ez inkább kifejezett motiváció a számukra. Inkább arra kéne gondolniuk, hogy "oké, kaszálhatnék egy kicsit, ha eladnám a kilopott információt, de sinte tuti, hogy megtalál a rendőrség, és 6x több bajom lesz az egészből, mint amit keresek, vagy amit a dicsőség ér, hogy én a világon elsőként feltörtem az YXA védelmi rendszert."Illetve én kiterjeszteném ugyan ezt a csirkelopástól kezdve mindenre. De persze nagyon alaposan és jól szabályzott módon, mert nem egy (erőszakos) rendőrállamot viziónálok én. Sőt, az ideális világban a becsületes embernek sohasem kéne egyenruhás emberekbe botlania. (És ez is olyan eszköz lehetne, hogy "Á, én élőben sohasem láttam még rendőrt, de igyekszem, hogy ne is kelljen..." - még akkor is, ha valójában nem kéne tőlük félni, mert nem bántalmaznak, ön-bíráskodnak, vagy ilyesmi...)
De ha érdekelt lennék a védelmi megoldásokban, bizonyára én is ellenkező véleményen lennék. És tulajdonképp a hackerek, az "etikus, de önjelölt ellenőrök" is érdekeltek, mert legtöbben még is csak elfogadnak pénzt a segítségükért cserébe. (Jó, hülyék is lennének, ha nem, hisz ténylegesen dolgoznak is érte, és mindenkinek élnie kell valamiből, kevesen tehetik meg, hogy jótékonykodnak. Illetve bizonyos szemszögből kevesebbet kérnek, mint egy ESETLEGES kár LEHETNE. - Csak nem véletlenül írom feltételes módban...)
Na jó, mondjuk ezt végigolvasva én is érzem, hogy ez csak egy légből kapott rózsaszín maszlag, de remélem kivehető belőle az alapgondolat, amit meg akartam fogalmazni.
-
harry
veterán
"egy idealizált világban nem lenne gond, hogy biztonsági hibák vannak egy szoftverben, mert nem próbálná meg kihasználni senki."
És, ilyenben élünk? Nem.
Ha azok, akik tényleg csak tesztelésből/kíváncsiságból csinálják ezt, és abbahagyják, ilyen világ lesz? Nem - megmaradnak azok, akik haszonszerzésből / károkozásból csinálják.Akkor most mi a jobb? Ha néha szól valaki, hogy gyenge a biztonság, te meg erősítesz rajta, vagy soha sem szól senki, csak majd valaki idővel megpiszkálja?
-
-
harry
veterán
Megint attól függ, mi van az ajtón túl. Ha valami nagy érték, és könnyen megszerezhető, akkor nem jó. Ha a telken a szerszámtároló ajtaja van így zárva, az kb. senkit sem érdekel. A köztes állapotok a kérdésesek. Pl. lenne egy szerintem jól védett* kis szerverem otthon, és valaki bejön, hogy ez-meg-az hibás, akkor nem elküldeném máshova, hanem örülnék, hogy ő találta meg, és szólt. Feltéve, hogy nem másolgatott le privát infókat, igen - ez meg már az etikusság kérdése.
*: megint olyan, hogy ha scripttel törhető, az én hibám. Ha értek a témához, és a lehető legjobban védem, valaki mégis betör, az azért zavaró.
Mindegy, úgysem lehet határokat húzni.
--> erre biztos lenne, aki azt mondaná: "de lehet, senki ne törjön be sehova". Nyilván, kérjünk meg mindenkit, hogy ugyan, ne törjetek már be, köszi. Ha ez így menne, nem lenne semmilyen bűnözés. De hát nem így van. -
ArchElf
addikt
Nem arról beszélek, hogy kint van a kulcs.
Arról beszélek, hogy mondjuk a hagyományos ELZETT hengerzárak nagy része fésüléssel kb 30 mp alatt nyitható. Az hogy a hacker egy bárki számára hozzáférhető szkripttel bejut a rendszerbe és utána figyelmezteti a tulajt/admint nagyjából ennek felel meg. Kihasználja a rendszer gyengeségét, bemegy, körbenéz, és utána hagy egy üzenetet.A zárfésülés legalább olyan súlyos sebezhetőség, mint az utolsó patch fel nem rakása (kb ugyanakkora kárt is lehet okozni vele), és kb ugyanannyira hozzáférhető a neten (~300k találat), mint a metasploit leírások (~500k találat).
El tudod képzelni, hogy zárfésűfel járod a házat, jószándékból megpróbálod kinyitni az összes sebezhetőnek tűnő zárat, bemenni és stb. stb. stb.?
AE
-
harry
veterán
Ha te kint felejted az ajtódban a kulcsot, nem örülnél, ha valaki, bejönne odaadni? Vagy becsenget, mindegy - mintsem valaki elviszi, hogy utána bármikor be tudjon jönni?
A példádban a tulaj tudatába van annak, hogy bárki bejöhet - ami már eleve problémás, mi van, ha valaki rossz szándékkal jön be? Erre miért nem készül? Úgysem jön be senki? Erre sajnos nem lehet alapozni, úgyis lesz mindig valaki, aki bejön _és_ elvisz ezt-azt. Sajnos. Ezt jelezni meg úgy is lehet, hagy benyitsz, és otthagysz egy lapot, hogy ez így nem jó, bárki bejöhet. Nyilván nem örülök neki, hogy ott más mászkál, ezt senki sem mondta - de inkább egy ilyen személy, mint valaki, aki nem szól, csak elvisz / tönkretesz dolgokat.
-
ArchElf
addikt
- bemész, és ott szólsz, hogy ez így nem jó. Jó nekik is, neked is.
El tudod ezt képzelni egy házra/lakásra is?
Este van, járod a lépcsőházat, lenyomod az összes kilincset, és ahol kinyílik az ajtó, ott bemész, körülnézel, feljegyzeteled, mit találtál. Ha a tulaj otthon van, akkor sem kelted fel, hogy fel ne ismerjen, csak felragasztod a bejárati ajtóra (jó esetben belülről), vagy bedobod a postaládájába. Ugye milyen jó cselekedet?Persze ha tetten érnek (míg bent vagy, vagy épp bemenni próbálsz), akkor ugye arra hivatkozol, hogy téged csak a jó szándék vezérelt
AE
-
harry
veterán
És hogy bizonyosodsz meg róla, hogy tényleg jó a kód, ami ki van írva, ha ki sem próbálod? Fölöslegesen meg ne irkáljunk már nekik, hogy az szerinted nem jó.
Nyilván olyan helyzetekről van szó, ahol nem megengedett a bejárás, tehát az sem alternatíva, hogy csak "régen volt fontos".
Ha te be tudsz menni, akkor más is -> nem jó, sem neked, sem nekik, akkor miért ne szólnál? Kárt nem okozol vele.
Ennyi erővel ne védjük a banki rendszereket, hisz amúgy sem illik bemenni - de ha találsz rajta egy durva hibát, akkor inkább te jelezd, mintsem megvárd, míg más kipróbálja, és esetleg megpiszkál valamit. És itt igenis az üzemeltető a hibás, mert ő felel az adatvédelemért/-biztonságért. Ha meg lusták ezzel foglalkozni, és csak annyit vágnak vissza, hogy "nem kell betörni", az a legnagyobb gond, mert lehet más nem fog szólni, egyszerűen csak bemegy matatni.
Vagy akkor hol a határ? Védeni kell, de mennyire? Erről volt szó a cikkben is. Annyira, hogy ne érje meg feltörni. Ha te minimális munkával (pl. script) be tudsz lépni valahova, az igenis az ő hibájuk. Ha egy csapat egy hétig dolgozik ezen, és sikerül bejutni, az megint más tészta, az ilyen teszteseteket a cég rendeli, és bírálja, itt azért összetettebb dolgokról van szó, mint, hogy hé, ott egy nyitott port/default jelszó, az úgy nem jó.
Mondjuk ez a megrendelt törésteszt is némileg gyér, lévén egy hackernek több hónapja (vagy még több ideje) van egy rendszert piszkálni, egy ilyen felületes tesztet meg lezavarnak pár nap alatt... -
dabadab
titán
"mit jelent a végtelenített telefonkártya ?"
Ezek a mai fiatalok
A telefonfülkékben vannak pénzbedobós meg kártyás telefonok is, ez utóbbiak kártyáját úgy tíz-tizenöt éve nagy divat volt hekkelni (eleinte teljesen primitív módszerek is működtek, aztán persze a Matáv ellenlépéseket tett, amire bonyolultabb megoldások születtek), hogy gyakorlatilag ingyen lehessen telefonálni. -
janos666
nagyúr
Hát, nekem az nyilvánvaló volt a cikkből, hogy itt múltbéli eseményeket taglalnak. Gondolom a legközismertebb példákat akarták felhozni, illetve talán direkt olyasmiket, amik már elévültek.
(#57) harry
Szerintem az első a helyes döntés.
Vagy 4. alternatíva: Odaragasztasz alá egy cetlit, hogy "inkább szereljétek le a zárat, és tegyetek be egy tolóajtót". De nem tudjuk, mi okból volt ez így. Lehet, hogy régen fontos volt zárni azt az ajtót, ma viszont nyugodtan lehetne ott egy tolóajtó is, csak átmenetileg így oldották meg a dolgot, míg zárat cserélnek. Az ő dolguk, azt csinálnak az ajtóikkal, amit akarnak, nekünk pedig nem kell beleütni az orrunk, hogy "háde én oda be olyan egyszerűen be tudnék törni, hogy..." -
harry
veterán
Na jó, de ilyenkor a lehetőségek (számzáras ajtó publikus kóddal):
- nem mész be, mert jófiú vagy - ám más simán bemehet, te ebben nem akadályoztad meg sehogy, ami neked is rossz, mert lehet odabent a te adataid is vannak
- bemész, és ott szólsz, hogy ez így nem jó. Jó nekik is, neked is.
- bemész, és te rosszalkodsz. Legfeljebb neked jó.Szerintem a második elfogadható bizonyos keretek között. Nem is beszélve a különböző adatvédelmi rendelkezésekről: pl. nagyon gáz, ha valahol jelszavakat tárolnak olvasható szövegként - ha egy ilyen rendszerbe valaki be tud nézni, az már rég rossz, de még el is tudja ezeket olvasni, az meg végképp rossz -> a hacker csak benéz, és szól, hogy így nem jó, a rossz fiúk meg beleolvasnak az adatokba, vagy piszkálják azt. Nyilván elég egyszerű példa.
A lényeg, hogy olyan úgysem lesz, hogy senki sem tör be a másikhoz (mármint direkt rossz céllal), akkor meg inkább olyan jöjjön be, aki nem nyúl semmihez, csak jelzi a hibát. Nem? Nyilván nem örülsz, de az meg a te bajod, miért adtál rá lehetőséget: és itt a lényeg, hogy nem csak neki adtál rá lehetőséget, hanem károkozóknak is, így inkább örülnöd kéne, hogy segítettek.
Más kérdés, hogy ha valaki héten keresztül tör egy amúgy aránylag jó rendszert, és utána elküld neked némi belső adatot, hogy ő ezt látta, az nem egészen ez a kategória... de talán még mindig jobb, mint ha valaki visszaélt volna vele. -
yas
csendes tag
Természetesen ha észreveszi, hogy nyitva az "ajtó" (vagy hogy a "kulcsot" talán nem az ajtó mellett kellene tartanom), de nem "néz" be, és szól figyelmeztet stb. az elfogadható. Ha már körbenéz, hogy mi is van ott az már nem!
Láttam én is olyat, hogy egy cégnél a számzáras ajtó mellett kiírták papíron a belépő kodot
, de akkor sem mentem be rajta, mert nem kaptam rá felhatalmazást.mod:
Itt elvekről van szó, ezt kellene megérteni. Nincs különbség, hogy a számítógépemre vagy a lakásomba törnek be.
-
yas
csendes tag
A betörés attól még betörés marad! Csak a nehézségben van különbség. Engem mint károsultat nem vigasztal, hogy esetleg nehezebben tört be a rendszerembe, lakásomba, autómba... Alapesetben semmi keresni valója nincs ott!
Szvsz nincs különbség a rendszerem, az autóm, lakásom között még ha tárva nyitva hagyom is az "ajtót".
Ezzel nem azt akarom mondani, hogy semmit sem kell védeni. A betörési technikák minden területen fejlődnek finomodnak, ezért kell a védelem, de ha belegondolsz ennek így sosem lesz vége.
Aki a gépemre betör az ugyan úgy büncselekményt hajt végre mintha a lakásomba tenné ugyan ezt, a nehézszégi fokozattól függetlenül.
-
Pedig a csávónak igaza van. A sysadmin azért sysadmin, hogy elássa a gondjaira bízott rendszer felügyeletét, saját kútfőből is lehetséges behatolási pontokat keressen, illetve olyan preventív ellenakciókat kezdeményezzen, amelyekkel megakadályozhatja, vagy nagyon lelassíthatja a lehetséges behatolást. Olvasható volt a cikkben is: annyira drágává kell tenni a törést (legy az idő és/vagy pénz), hogy ne érje meg a rendszert támadni.
-
yas
csendes tag
"H4 is azon a véleményen van, hogy nem érinti meg igazán, hogy valamely akciójának eredményeképpen sokat kell dolgoznia az adott cég munkatársainak: „Nem érdekel, hogy egy hacking nyomán kinek mennyit kell dolgozni. Törődtek volna többet a biztonsággal, akkor nem lenne erre szükség.” "
"Ezt a hackerek kívülről is jól látják és ezzel csak nő a késztetésük, hogy bebizonyítsák az adott rendszer gyengeségeit."
Ilyen arrogáns dumával már régen találkoztam! Remélem ezekre a mondatokra akkor is gondolnak amikor betörnek a lakásukba, elviszik az autójukat biciklijüket, kizsebilik ....
Nem teljesen ugyan az, de hasonló, hiszen a védelemről szól, és ezzel a mentalitással szerintem ide tartozik, hiszen az autótolvaj is csak bebizonyítja "a rendszer gyengeségét".
Nekem próbálták elvinni a kocsim, elsőre csak belenézte. Ezek után nem kevés pénzt fordítottam a védelemre. Megpróbálták mégegyszer, de nem sikerült, igaz a fél ajtót újra kellett fényeztetni. Gondolom Őt sem érdekelte, hogy nekem mennyibe kerül a javítás.
Végülis a biztonsággal többet is törődhetnék. pl. lebetonozom a kerekeket, belemezelem az ablakokat, stb. A védelem tökéletes, csak a járművem veszti el a funkcionalítást. -
#06658560
törölt tag
Bocs, te funkcionális analfabéta vagy? A cikk pont nem a titkárnö gizikéröl szólt, hanem a rendszergizdákról, meg az ö fönökeikröl, felettük ülö managementröl, akik nem tesznek semmit, vagy röhelyesen keveset a biztonságért.
A linuxos megjegyzésed a hülye vagy hozzá, nem hazsnáltad kategória. telepitéseknél sem kell állandóan beírogatni, ha ubuntuzol, kijelölöd a halom programot ami kell, s akkor egyszer kéri. n percen belül ha mást is telepítesz, akkor nem piszkál jelszóért. miután miden fenn van, csakis frissítések letöltésekor zaklat adminjelszóért,anélkül röhögve el lehet lenni évekig rajta.
-
-
deusrache
csendes tag
Hát, az hogy nem lehet azzal belépni a szerverre még nem feltétlen jelenti azt hogy egy belépett user nem su-zhat át. Ugyanis bizonyos igen komoly szoftverek - pl. Oracle Real Applications Cluster - rootként futnak, és csak így is tudnak parancsokat végrehajtani. Ha le van tiltva a root bejelentkezés akkor másik usernak van ALL=(ALL) ALL tehát kb ugyanott vagyunk. Ezt nem is lehet kikerülni, már amennyire én tudom.
-
ArchElf
addikt
Kicsit nézz a dolgok mögé és rögtön rájössz, hogy nem is hoztál fel rossz példát.
Hogy messzebbre (pl. politika) ne menjek:
Lehet, hogy itt a ti véleményetek van többségben, és az én véleményem a hülyeség, de bizony a sajtóban ez a vélemény van kisebbségben, és ez van a sarokba küldve.AE
-
harry
veterán
válasz
deusrache
#39
üzenetére
Most mondta, hogy roottal nem is lehet belépni. Sokszor még jelszava sincs. De teszem azt sudo joggal bíró user átválthat root userré, ehhez meg ugye a saját jelszava kell.
Esetleg backup-nak lehet user, akinek sok mindenhez van joga, nagy jelszava, ám sem a usert sem a jelszót használják (csak vészesetben), jelszó meg a széfben tárolva (vagy privát kulcs, mindegy). -
deusrache
csendes tag
Aha, a root jelszavát is két hetente váltod, sosem sem lesz senki aki esetleg az előzővel próbálkozik (sysadminból is kell lennie egy jópárnak, már hogyha nem egy emberes a cég), nincsen script amit senki sem felejt el átírni... és gondolom a root zárolásra kerül 5 sikertelen login után (vagy tíz ha piszok leniens vagy).
-
-
domi007
őstag
Es mennyire igazat mondanak.....most is ittvan elottem egy tobb eve hasznalatban levo 2 millio forintos (nem viccelek, 10-11 ezer dollaros) dedikalt Internet Filter szerver, es minden port nyitva van rajta, alap jelszavakkal egy mozdulat belepni a fo admin reszlegbe....mar szoltam a rendszergazdanak, remelhetoleg megoldja, de komolyan ezzel az erovel egy 5 ezer forintos P3-as geppel is jobban le lehetne vedeni a halozatot....
es ez engem is felboszit. -
Hiftu
senior tag
Én meg olyat hallottam, hogy a hacker az a meglévő dolgokból hozza ki a legjobbat.
Számítástechnikában pl: tcp stack hackelés: jobb TCP kapcsolat garantálása.
Szóval a hackelésnek nem kell együtt járnia valamilyen betöréssel számítástechnikai rendszerekbe.De az élet többi területén is létezik, csak ott McGyver becenévvel illetjük az ilyen egyéneket.
-
ArchElf
addikt
Szerintem meg ideje elfogadni, hogy azok a kifejezések, melyek egykor néhány kóla/sör/pizza/fű elfogyasztása után definiálódtak, legalább annyira önkényesek, mint a "bulvármédia" hasonló tartalmú de eltérő alanyú definíciói.
Ráadásul, mivel demokráciában élünk azoknak van igaza, akik többen vannak - és annál jobban igazuk van, minnél többen vannak.
Ennyi erővel mondhatnánk magunkra, hogy foo meg bar vagyunk a hacker-cracker szinonímájaként, de akkor is csak etikus- meg etikus nélküli hackerként fognak hivatkozni ránk. Amúgy meg white-hat meg black-hat (hacker)... Ezt is a szubkultúra terjeszti magáról. Így igazodjon ki az egyszeri bulvárújságíró.
AE
-
-
#29
WonderCSabo
félisten
WonderCSabo
félisten
"hackerek úgy gondolják, hogy ők benézhetnek azon az ajtón, sőt talán be is mehetnek"
Nagyon rosszul gondolják.
-
bambano
titán
Azt, hogy hacker-cracker, az újságíróknak kellett volna elterjeszteni időben, de néhány ostoba tabloidban egyszerűbbnek látták összemosni a kettőt. Most meg próbálnak kimászni belőle, de nem megy.
A szaknyelvet nem a bulvárújságírás fogja meghatározni. Etikus hacker nincs, a legoptimálisabb helyen sem.
-
-
Az interjúkban megszólítottak gyaníthatóan ennél sokkal nagyobb dolgokban utaznak. Ha személyeskedéssé fajul a dolog, azzal bárki megjárhatja, lásd még Kevin Mitnick.
#23: ezért kell olyan jelszó-házirendeket (pfuj) kialakítani, miszerint X naponta cserélned kell a jelszavadat, tartalmazzon kötelezően kis- és nagybetűt, valamint számokat is. Tudom, hogy kényelmetlen, nekem is az, de azt is tudom, hogy ezzel védem magamat, védem a cégemet és védem a munkahelyemet. Az az IT-vezető, aki ezekkel nincs tisztában, potenciális célpont a crackerek számára. Ezenkívül sokkal kevesebb erőfeszítés bizonyos követelményeket támasztani, mint utólag rendet rakni és kielemezni, hogyan, miként volt lehetséges a rendszer feltörése.
-
janos666
nagyúr
Az a kis ember, akire itt célzol, nálam a cég dolgozója az irodaházban, aki ül a kis boxában, és nap mint nap folyton rákattint az engedélykérésekre, "és igen, valóban ezt akarom" sablonos ablakocskákra (ala UAC...), fél óránként begépeli a jelszavát, stb.
Egyébként erről jut eszembe: Marha biztonságosnak tartom, mikor a Linux-okon naponta 10x be kell ütni az admin jelszót, hogy létezni tudj. (Az rendben, hogy jelszóval véd, de a jelszógépelés egy túl gyakran ismétlődő műveletté válik, és a környezetedben már mindenki tudja a jelszavad, még az is, aki nem direkt figyelte ki.
) -
bullseye
addikt
érdekes, jóanyám meg tudta jegyezni, hogy mely 3-4 program az amit engedhet, mert az ő érdekében frissül. annyi kellett, hogy valaki elmondja. Ha idehaza emberek hajlandóak lennének picivel többet fizetni egy összerakott telepített gépért, ahhoz már járhatna olyan kézikönyv, hogy aki csak minimálisan használ gépet (net, levelezés, kapott fotók nézegetése, fórumok), annak ne legyen gondja vele.
-
bullseye
addikt
tök jó, hogy véded a kisembert a szörnyű vadkan hackerektől, de a cikkben cégekről, és azokból is inkább közepesekről, nagyobbacskákról volt szó (kivéve, ha mostság mindenki 100 milliót fizet az izémátrixokra, a lopott Win 7 mellett).
a kisembert attól védd, hogy az "etikálatlan" hacker jól megzombizza.
ami bennem felveti a kérdést, hogy ha az etikus hacker nem zombifikál - és nem, mert etikus hacker - akkor teljes biztonsági felmérést tud-é-e nyújtani? -
dajkopali
addikt
én is úgy vélem, hogy a Keletinek nyilatkozók inkább ilyesmikre gondoltak, és nem olyan elvetemült, csakis önmaguknak tetszelgő léha semmittevők, mint ahogy janos666 erős érzelmi töltetű hsz-eiből látszik (persze, vannak ilyenek is, de hát ez egy ilyen történet
)
És közben ne feledjük Mitnicket meg legendás könyvét sem
Nem egyszerű történet ez, de az azért tanulságos - és egyben mutatja a tengerentúli és az európai felfogás különbségét is -, hogy az USA-ban a hackelés lehet egyetemi tananyag [link] -
janos666
nagyúr
Ez esetben inkább olyasmikre gondoltam, mint az otthoni software-es tűzfalak esetén az interaktív mód, hogy mindenre rákérdez:
- Tűzfal: Engedélyezni szeretné a kimenő kapcsolatot az opera.exe alkalmazás számára? Igen/Nem
- Átlagos Ildike a gép előtt némi gondolkodá után: Igen.
- Tűzfal: Engedélyezni szeretné a bejövő kapcsolatot az xorgs.exe alkalmazás számára? Igen/Nem
- És a helyes válasz Ildike részéről "Nem tudom." lenne, de inkább: "Miért ne?"
Ez esetben jól járt el a rendszergazda, hogy a default automata mód helyett az elméletileg biztonságosabb interaktív módra állította a tűzfalat? Szegény Ildike nap mint nap nyomogatta az Igen gombokat, hogy működjön a böngésző, s hogy végül rést nyisson vele a pajzson. (Mert azt megtanulta már korábban önnön hibáján, hogy ha a Nem-re kattint, akkor nem jön be az iwiw.)
-
bullseye
addikt
már bocs, de ez a propaganda anyaguk: Hacker az aki, nagyon okos és hasznos...
mintha pl. Török invázió nem azért jött volna, mert ők a jó emberek, akik segítenek a hitetleneknek megérteni az igaz hitet, hogy a paradicsomba kerülhessenek.+ a nyelv változik. Játszottuk, hogy a hacker a jó a cracker a gonosz, az emberek nem értették. játszottuk, hogy milyen kalapot hordanak, az emberek összekeverték. Most van hacker, meg etikus hacker - de még ez is sok nekik. lesz majd hacker, és biztonsági tesztelő. Ennyi. Akinek nem tetszik, hackolja széjjel a magyar köznyelvet nyugodtan, de amúgy állandóan emiatt sírni kissé sznob dolog.
-
janos666
nagyúr
sok rendszert inkompetens üzemeltetők felügyelnek, és ha egy ilyen rendszerbe törnek be a hackerek, egyúttal a szakmaiatlanság iránt érzett frusztrációjukat is kiélik.
Mindig lesznek jobbak és rosszabbak (szakterületen belül azonos rangú végzettséggel bírók közt is lesz szórás), ahogy az is kiszámíthatatlan, mikor ki mellé pártol a véletlenek szülte szerencse.
Ha ő ügyesebb, okosabb, örüljön neki, kezdjen valami értelmeset a tehetségével, ne a kisebbeket baszogassa. Az az ember is el tudta adni a maga tudását azon az áron, amit fizettek érte, és nem ülhet mindenhol a legjobb ember, ahogy nem is telik mindenkinek a legjobbra.
És persze megint visszautalnék oda, hogy már önmagában az a probléma, hogy egyáltalán ott kell ülnie egy embernek, aki (képességei szerint) próbálja betartatni a rendet...a behatolásvédőn alapértelmezett beállítások vannak
ez pedig általában felbőszíti a hackert, és piszkálja az igazságérzetét.Megint egy olyan dolog, hogy csak a vak látja... Miért ne lehetne természetes az, hogy egy termék az alapértelmezett paramétereivel működik a legoptimálisabban?
És itt optimálist mondtam, nem azt, hogy az erőforrásokra fittyet hányva, ultrabősz-paranoia-csudahacker-álló-papírmasiniszta, és homokba temetett atombunker a sivatag közepén... Ha nem így van, az a gyártó hibája, nem a felhasználó mérhetetlen hülyesége, aki lusta volt minden beállítást megbabrálni maximális védelmi fokozatra, me' az úgy jó, nem baj az se, ha a védelem, aminek észrevétlenül a háttérben kéne maradni, így már megkeseríti a végfelhasználó mindennapjait...(#13) devast
Azt csodálkozol ha elviszik az autót meg kirabolják a lakást...
Igen, nyilván az a jó, hogy 6 lakat kell mindenre, hogy ne vigyék el, és az a hülye, aki akkor érezné jól magát, ha nyitva hagyhatja a ház ajtaját, mert senkinek nem jutna eszébe kirabolni másokat.A világ nyilván nem rózsaszín, és sohasem lesz az. Azt én magam sem tudnám elviselni. De ha a hozzáállások gyökereit akarjuk megragadni, azoknak mégis inkább úgy kéne felépülni, hogy nem az egészséges paranoiára, hanem a harmóniára törekszünk.
Azt próbáljuk meg elérni, hogy ne kelljen félni, ne azt, hogy mindenki tudja hogy pontosan mitől és mennyire kell félnie...
-
devast
addikt
Na ez a rossz hozzáállás. Mindent aminek van értéke a megfelelő módon védeni kell. Ez nem azt jelenti, hogy a lopást/feltörést lehetetlenné kell tenni, azt ugyanis nem lehet kivitelezni. A cél az, hogy sokba kerüljön az eltulajdonítást kivitelezni, lehetőleg többe mint amennyi a védett dolog értéke. Így gazdaságilag nem kifizetődő ellopni. Ilyen dolog az autóknál az indításgátló, riasztó, kormányzár etc, lakásoknál is hasonló. Egy informatikai rendszert megfelelő védelem nélkül üzemeltetni olyan, mint egy autót vagy lakást nyitva hagyni. Azt csodálkozol ha elviszik az autót meg kirabolják a lakást...
-
Penge_4
veterán
"Ha nekem van egy telkem, amit csupán egy 10 cm magas kiemelt szegély határol a gyalogjárdától, akkor én vagyok a bűnös"
Nem. De ha szolgáltatsz és emberek adatainak biztonságáért felelsz akkor igen, Te vagy a bűnös! És ez így van jól! A multi jól él abból, hogy szolgáltat, nehogy már neki álljon feljebb és ő spóroljon a biztonságon!
-
janos666
nagyúr
A cégek is pontosan ugyanígy szarnak a biztonságra.
Törődtek volna többet a biztonsággal, akkor nem lenne erre szükség.Uram Isten! Még egy ennyire sötét, 0-án és 1-esen létező faszfejet.
Na, ezek miatt tart ott a világ, ahol... És még ők prédikálnak a hülyéknek.Mi az, hogy mindenki gondoskodjon tökéletes védelemről? Mégis mi ellen?
Az abberrált faszok ellen, mert nekik áll a világ? Én vagyok a hülye, amiért nincs tökéletes védelmem minden elképzelhető bűntény ellen?
Nem lehet, hogy inkább a bűnözést kéne kordában tartani?Ha nekem van egy telkem, amit csupán egy 10 cm magas kiemelt szegély határol a gyalogjárdától, akkor én vagyok a bűnös, amiért kiraboltak, hisz nem volt egy legalább 6 méter magas, járda felé hajló lejtéssel épített, a tetején feszültség alá helyezett szögesdróttal biztosított vasbeton kerítésem? Ja, de hoppá, ez sem tökéletes, felülre is kéne valami jó kis acélháló, nehogy daruval, vagy helikopterrel jöjjenek. De várjunk... Mi van, ha hoznak lángvágót és gyémántkorongot is? Én hülye fasz, hogy nem egy 100m mélyen fekvő bunkert építettem családi ház helyett, vessek magamra, ha kirabolnak, nemde?
Ez nyilván egy követendő hozzáállás, és minden cég költsön egy rakás pénzt a biztonságra. Dolgozzon a nép fele biztonsátechnikai cégeknél, vagy a rendőrségnél, esetleg magánnyomozóként, akiket mind a paranoiás, érdemi munkát végző dolgozók keresetéből kell eltartani. Igazán frappáns kis utópia. Gratulálok...
Na, majd olvasom tovább...
-
bambano
titán
Hackerek, a szó eredeti értelmében, lassan 50 éve vannak, velük párban crackerek is.
Csak a bugyuta média nem volt hajlandó ezt elfogadni, kreáltak helyette más elnevezést, amit a fiatal informatikusok végül átvettek.Ettől a tény tény marad, nincsenek etikus etikus programozók, a magyar nyelv nem ismer ilyen szófordulatot. Mint ahogy a többi téves kifejezést is csak a pongyolán beszélők használják.
A világban nagyon sok fal van.
-
-
-
gergelya
csendes tag
Hát igen tudnék erről mesélni, de nem tehetem....
Talán annyit még hozzá tennék, hogy a legrosszabb mikor a vezetés elé tárod a dolgokat, és ők meg nem adnak anyagi háteret neki, vagy igen de kevesebbet, amivel nem tudod ugyanazt a szintet hozni.
Persze elkönyvelik, hogy költöttek rá és ezzel le van tudva.
Ma már IT-s infrastruktúrán alapszik minden, ha nem látják be hogy komolyan védeni kell akkor bukjanak !
Nem csak úgy lehet kárt okozni, hogy ellopják az adataimat, hanem úgy is hogy egy másik komolyabb támadást már az én hálózatomról indítanak. Aztán jön a Yard és lefoglal....
Azért én például szívesen cserélnék tapasztalatot pár ilyen sráccal...... -
bambano
titán
-
Penge_4
veterán
"mikor tanulja meg az újságírótársadalom a hacker és a cracker közti különbséget?"
Megtanulta, azért nevezi őket etikus hackernek. Ugyanis a hacker hálózatokat, a cracker pedig programokat tör fel. Mindkettő teheti bármilyen céllal.
A sima hacker már annyira átlényegült, hogy szükség volt egy újabb kifejezésre.
Tehát így a hacker azért töri fel a banki rendszereket, mert villát akar Dubai-ban, az etikus hacker pedig azért, mert segíteni akar a bankároknak (pfúj!), hogy legyen nekik pénzük villára Dubai-ban.Az etikus cracker kifejezés pedig az erős jogvédői lobbi miatt nem terjedt el a köztudatban.
![;]](//cdn.rios.hu/dl/s/v1.gif)
-
Köszönjük minden közreműködőnek ezen írás megjelenítését, tanulságos és néhány helyen az én véleményemet is visszhangozza - tehát nem mindig beszélek hülyeséget.
OFF: mikor tanulja meg az újságírótársadalom a hacker és a cracker közti különbséget?
A telefonfülkékben vannak pénzbedobós meg kártyás telefonok is, ez utóbbiak kártyáját úgy tíz-tizenöt éve nagy divat volt hekkelni (eleinte teljesen primitív módszerek is működtek, aztán persze a Matáv ellenlépéseket tett, amire bonyolultabb megoldások születtek), hogy gyakorlatilag ingyen lehessen telefonálni.
, de akkor sem mentem be rajta, mert nem kaptam rá felhatalmazást.
.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
Hirdetés
- TV antenna és jelerősítés
- gban: Ingyen kellene, de tegnapra
- Kerékpárosok, bringások ide!
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Audi, Cupra, Seat, Skoda, Volkswagen topik
- Spórolós topik
- World of Tanks - MMO
- Xiaomi 14T - nem baj, hogy nem Pro
- Hobby elektronika
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- További aktív témák...
- Konzol felvásárlás!! Xbox Series S, Xbox Serries X
- CarPlay / Android Auto adapter meglévő Android alapú fejegységhez
- Új Apple iPhone 16e 128GB, Kártyafüggetlen, 3 Év Garanciával
- Apple iPhone 13Pro 128GB Kártyafüggetlen 1Év Garanciával
- Telefon felvásárlás!! iPhone 14/iPhone 14 Plus/iPhone 14 Pro/iPhone 14 Pro Max
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest