- Warhammer 40.000
- Witcher topik
- Konzolokról KULTURÁLT módon
- Nintendo Switch
- PlayStation 5
- Már több mint 40 millióan próbálták ki eddig a Sea of Thieves-t
- Elhalasztották a World of Goo 2 megjelenését
- No Rest for the Wicked - Megkaptuk a korai kiadás gépigényét
- Ghost of Tsushima: Director's Cut - Íme a gépigény
- Star Wars: The Old Republic - MMORPG
Új hozzászólás Aktív témák
-
BiP
nagyúr
Azonban ez egyáltalán nem menti fel a támadót. és nem igazolja a módszereit
És figyelembe véve a magyar rögvalóságot, ha a hacker nem megy el eddig, nem vet be ilyen módszereket, akkor szerinted történt volna bármilyen változás, javítás, belső ellenőrzés, javaslat a lyukak foltozására, az üzemeltetés biztonságosabbá tételére, a felhasználók/fejlesztők biztonságtechnikai edukációja?
Ugye, hogy semmi.
Sajnos ez legitimálja, hogy a változás elindítására radikális eszközök kellenek. De látod, még ilyen esetben is az eltussolás volt az első reakció. Ezért indult el a sakkjátszma. -
gregory91
senior tag
A "kérdéses" támadóban talán felmerült hogy jelentés ellenére nem járnának sikerrel.Azért cselekszik úgy ahogy.
Nem véletlenül írtam hogy ez egy sakk-játsza,mindkettő fél hibás valamilyen szempontból, bár az egyik fél felől még nem feltételezhető a rosszindulatú szándéka(ha tényleg kiszivárognak az adatbázisban lévő adatok az már kétség nélkül rosszindulatúvá válik).Az ezzel kapcsolatos hatályos törvény nincs rendesen kidolgozva(elég a jegyvásáros esetre gondolni).
Érdekességként: Egyes cégek jutalmazzák azokat akik biztonsági rést találnak a szolgáltatásukban(azok is "illetéktelenül" lépnek be a szolgáltatásba).[ Szerkesztve ]
Remélem itt elfér - https://sites.google.com/site/geriprojekt/ - https://github.com/kgregoryan - Az ember téved,a gép hibázik.
-
SaGaIn
senior tag
Bip:
Olyan változás nem lesz ami megakadályozza azt hogy 2 év múlva ne lehessen egy hónap ráfordítással felnyomni egy ilyen rendszert. Magyaroszágon nincs rá erőforrás sem szaktudás hogy ezt komoly szinten meg lehess akadályozni... egy ilyen rendszer annyira összetett hogy mindíg marad egy nyitott sérülékenység. Ez egy szélmalom harc főleg közigazgatásban... Lesz előrelépés nem mondom, hogy nem, de nem lesz elegendő ahhoz hogy ne lehessen megcsinálni komoly erőforrással szaktudással ugyanezt 2-3 év múlva... Vér Istvánok ellen legalább lesz védekezés, talán az alap SQL injektek sem fognak majd menni, de ennyi... túl sokat nem lehet várni sajnos... persze lehet én vagyok pesszimista az országgal kapcsolatban... remélem rámcáfolnak..."DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.
-
BiP
nagyúr
-
-
De, megvan a szükséges tudás, csak ők eleve nem kapnak ilyen megbízásokat, mert nem a haveri/családi körbe tartoznak.
Egyébként meg az egész folyamatnak véres a torka.
Requirement 1: törvényi szabályzás betartása.
Requirement 2: statikus és dinamikus tesztelés.
Requirement 3: belső és külső pentest.
Requirement 4: külső és belső code audit.Ez a minimum csak így hasraütésszerűen, nyilván lehet még tovább finomítani.
https://www.coreinfinity.tech
-
SaGaIn
senior tag
Na de várjál csak, jó lenne tudni milyen követelmények voltak megfogalmazva a programmal kapcsolatban, ezeket ki határozta meg, ezeknek a követelményeknek a teljesítését ki ellenőrizte? Ki engedte így működtetni? Mert ugye ilyenkor már az engedélyezőé a felelősség hogy mért engedte ilyen állapotban üzembe helyezni a rendszert. Mert ugye oké hogy baj pl hogy a kőműves szarul csinálja meg a falat/lépcsőt bármit de van ott egy felelős műszaki vezető aki a teljes felelősséget vállalja az épület biztonságárt, építés közben és átadáskor is hatóság adja át hogy lakható. Itt is valami hatóság (NKI vagy NAIH) rámondta az OK-t hogy ez így mehet használhatja közel fél millió gyerek és szülő. Vagy gondolod hogy egy ilyen rendszert anélkül üzembe lehet helyezni hogy bármilyen hatóság/minisztérium (megvizsgálja) engedélyezze? Szóval itt nem csak a fejlesztő a ludas legalábbis a fő felelős nem a fejlesztő abban hogy ez ilyen állapotban került beüzemelésre...
"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.
-
Egon
nagyúr
-
-
-
ddekany
veterán
válasz gregory91 #156 üzenetére
A forráskód feltárása olyan problémákat is okoz, hogy most talán sokan elkezdenek sérülékenységeket keresni, és azokat kihasználni. Sőt, a Sawarim$ maga is csinált is egy Github repot, ahova majd állítólag feltöltenek exploit POC-okat. Persze legjobb módszer arra, hogy nekiáljanak javítgatni ezeket. Bár ha volt bármennyi sütnivalójuk, az ellopott verzióban lévő hibák jórészét már hetekkel ezelőtt javították... Bár miután ezt el akarták tusolni, nem tudom mennyi eszük van. Hogy a frászba ne derülne ez ki, mi értelme volt sunnyogni? (Gondolták megtalálják, és elteszik láb alól az elkövetőket? Ez is egy lehetőség, de nem hiszem hogy így meg mernék emelni a tétet. Azzal megbuknak, azér azért több jár, mint ezért fog.)
-
BiP
nagyúr
Most épp nem is megy a Kréta, karbantartás miatt. (remélem épp fixálnak)
-
ddekany
veterán
Értem mit mondasz, de persze a gyakorlatban meg rakás dolog ezen a rendszeren megy évek óta, nem lehet egy 2 éves üzemszünet újraírás miatt. Szóval kénytelenek ezerrel javítgatni. Gondolom mivel ki lett adva a forráskód tegnap, meg megjelent az ekreta-exploits repo Github-on (de még üres), gyorsan kiteszik amit az utóbbi hetekben reszeltek. Ez most ilyen sportrendezvény, hogy így hogy volt pár hét fórjuk, ki találta meg hamarabb a hibát...
[ Szerkesztve ]
-
Ezekiell
veterán
válasz gregory91 #176 üzenetére
A kód feltöltése meg hozzáadott még két raklappal. Így bárki kereshet exploitokat, és direktben is megpróbálhatják feltörni a Krétát.
Ez a hekkelés egy egyszeri, mázlista dolog volt, mert hülye volt a projektvezető. A teljes kódbázis feltöltésével viszont lehetővé tették másoknak, hogy utánuk csinálják. És a következő csapat nem biztos hogy jó fej lesz...
Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.
-
Egon
nagyúr
Tegyük hozzá, hogy a kód újraírása nélkül, architekturális változtatásokkal (éljen a mélységi védelem) is kvázi biztonságossá lehet tenni adott esetben egy rendszert (persze a szakma elveivel szembe megy ez a megoldás, mert ha pl. a WAF mögött egy sérülékeny rendszer van, az nem túl megnyugtató, de akkor már nagyságrendekkel csökkenhet a kitettség).
[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
nagyúr
-
-
Ezekiell
veterán
válasz aprokaroka87 #179 üzenetére
Ki tudja. Viszont garantálom, hogy nem fixáltak minden exploitot, hiszen a nagy részükről nem is tudnak - ahogy még mi se.
Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.
-
-
nagyúr
-
Ezekiell
veterán
válasz aprokaroka87 #183 üzenetére
Sunyítás van: nem beismerni semmit, nem nyilatkozni, kussolni, hátha elül a vihar és megússzák. Meg ez akkora botrány, hogy mit mondhatnának? "Bocs, elkúrtuk"? "Szépen ígérjük, többet nem kattintunk trojan linkekre"? Ugyan
És amúgy egész jól megy is nekik a megúszás, kormánymédia eleve kussol az egészről, független/ellenzéki média pedig már bőven a "sokadik oldalon" beszél csak róla. Majd szépen csendben fizetnek valami büntit max (de azért nem túl sokat), és kész.
Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.
-
-
-
Egon
nagyúr
A szerződésben ha nincs konkrétan belefogalmazva, hogy egyfajta rendszer karbantartás, verziókövetés képében a biztonsági réseket is folyamatosan javítaniuk kell, akkor ezt csak plusz pénzért lehet érvényesíteni.
Csillió ilyen helyzettel találkoztam már. nagyon ritka, hogy nulla forintért ki lehet ezt javítani, főleg ha már évekkel ezelőtt átadták az adott rendszert. Csak a funkcionális tesztelés az, ami elvárásként szokott jelentkezni szerződés szinten."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Én azt gondolom, hogy az egész fejlesztés eleve nem a törvényi keretek között történt, ergo a szállító nem teljesítette a szerződésben foglaltakat - csak nem akadt a vevői oldalon senki, aki rendesen auditált volna, mert ugye haver/sógor/koma/jóbarát/szomszéd/unokatesó vonalon mozognak az állami beruházások nyertesei.
Plusz, a biztonsági rések, sebezhetőségek javítása nemigen lehet fizetős, mert még az olyan cégek, mint a Microsoft, vagy az Apple is tartózkodnak ettől.
UI és funkcionális fejlesztések fizetősek, azzal minden oké.
[ Szerkesztve ]
https://www.coreinfinity.tech
-
Egon
nagyúr
Én azt gondolom, hogy az egész fejlesztés eleve nem a törvényi keretek között történt, ergo a szállító nem teljesítette a szerződésben foglaltakat
Ezt mire alapozod? Még egyszer: a szerződésben általában annyi van leírva (praktikusan a műszaki tartalmat magában foglaló mellékletben), hogy pl. kell egy zöld hátterű progam, ami kiírja, hogy 2+2=4. Ha a programnak zöld a háttere, és ezerből ezerszer is a 2+2 műveletre 4-et dob vissza eredményként, akkor a feladat el van végezve, és pont. Az nem szokott a része lenni az írott műszaki elvárásoknak, hogy a program legyen biztonságos is (volt egy bizonyos sokat támadott kormányzati gigaberuházáshoz kapcsolódóan olyan projektünk, ahol a része volt a biztonság a fejlesztési szerződésnek, és a beszállítóból kiverték utólag a javítást, sőt a javítás javítását is, de ez a fehér holló kategória).
Plusz, a biztonsági rések, sebezhetőségek javítása nemigen lehet fizetős, mert még az olyan cégek, mint a Microsoft, vagy az Apple is tartózkodnak ettől.
Almát a körtével. Egész más az üzleti modell. A pályázati kiírások minimumon történő értelmezésével pályázik mindenki a hazai fejlesztési projektekben: ha nem így tenne, más elvinné a projektet. Ha nem része a kiírásnak, hogy X ideig ilyen módon is támogatni kell a rendszert, akkor maguktól nem fogják: nem lenne rentábilis.
[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Mint mondottam, jópár hasonló szerződést láttam a saját szememmel, egy kivételével egyikben sem volt benne. Innentől kezdve max. találgatni lehet, hogy esetleg talán benne lehetett.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
flexxx2
őstag
Pedig nem állami cégnél is hiányos az átvétel, minél nagyobb a megrendelő cég, és minél kevesebb a szakképzett IT-s a megrendelőnél.
Ezért van az, hogy a bizalom és referencia adja a fejlesztő cég értékét. Nem tudom a Kréta fejlesztő cége milyen referenciával rendelkezik, de nem is akarom megnézni, mert félek csak még dühösebb lennék.
Új hozzászólás Aktív témák
- Lakáshitel, lakásvásárlás
- CURVE - "All your cards in one." Minden bankkártyád egyben.
- Volkswagen ID.7 menetpróba
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Samsung Galaxy A54 - türelemjáték
- Számtech boltosok memoárjai, azaz amikor kiborulunk...
- Motorolaj és szűrő topik
- Komoly GPU a processzorban: AMD Phoenix APU-k tesztje
- Parfüm topik
- Xiaomi 11 Lite 5G NE (lisa)
- További aktív témák...