Keresés

Részletes keresés

Qqberci Creative Commons License 2018.08.22 0 0 19

nem a célokkal van a gond, hanem az alkalmazott technológia kiforratlanságával

A technológia kiforrott, csak épp nem erre találták ki, hanem arra, hogy tudományos munkatársak a kutatási eredményeiket elérhetővé tegyék egymás - egy zárt közösség - számára. Mivel kellemesen használhatónak tűnt, széles körben terjedni kezdett és ráépültek olyan technikák, amikhez nem volt és most sincs meg a kellő védelmi képessége, egyszerűen azért, mert nem tervezték bele és utólag szinte lehetetlen ilyesmit implementálni.

Vannak biztonságosra tervezett hálózati protokollok, de ezeket a piac csak végszükség esetén, a biztonsági szakma nagyon erős nyomására fogadja el...

Előzmény: lxt (18)
lxt Creative Commons License 2018.08.21 0 0 18

Amennyiben eltúlzottan megengedő az internetes technológiai biztonság szabadságfoka, úgy (el)túlzott elvárás annak az anonimitást, a privát szférát biztosító (megelőlegezően és folytonosan ígért) sérthetetlensége.

Számomra úgy tűnik, nem a célokkal van a gond, hanem az alkalmazott technológia kiforratlanságával – ami lényegében fikciós, ismerethiányos kijelentéseken/kinyilatkoztatásokon alapuló ígérvény; már ugye, a hálózatok összetetten bonyolult volta okán is. (Most lementem hídba?)

Engedj meg egy rém egyszerű hasonlatot.

Ha egy erődítménynek csak egy ellenőrzött bejárata van, és nincs benne számos, tervezetten titkosított backdoor, akkor miként volna másként lehetséges a behatolás az erődítménybe, mint az őrző(k) személyes felelősség okán?

Amely példával arra akartam utalni: amíg emberi közreműködést igényel e rendszerek üzemeltetése/felügyelete, addig nem elsődlegesen, pusztán technológiai problémával állunk szemben.

De most tényleg, én akarlak felvilágosítani Téged? Bocs.:-)

Előzmény: Qqberci (17)
Qqberci Creative Commons License 2018.08.21 0 0 17

Régi programozói mondás, hogy "hibátlan program nincs, csak olyan, amit még nem teszteltek kellőképp"...

 

Ugyanakkor van a konstrukciós szintű biztonság (a TCP/IP hálózatoknál ez nincs meg) és a technológiai szintű biztonság (ezt tudja az internet). Az utóbbit ki lehet játszani és utána a lyukakat be lehet foltozni. Az előbbit - ha jó volt a tervezés - nem lehet kijátszani. Nem véletlen az, hogy nincs vírus mainframe-re vagy Harvard-gépekre...

Előzmény: lxt (16)
lxt Creative Commons License 2018.08.21 0 0 16

A behatolás pillanatáig, annak konstatálásáig gondoltam hasznosnak a behatolás tényét - ami tanulságként, okulásként szolgálhat a továbbiakban.

Nem pártos a véleményem - annak közlésének szándéka.

Nem akarok káoszt.

Ugyanakkor nem bizonyíthatóan cáfolható (számomra) az a feltevés, hogy létezhat hibátlan program - így, feltörhetetlen hálózat is. Az odáig vezető utat pedig, a hálózatok esetében, e 16 évesek kövezik ki. Nem tartom tehát feleslegesnek, főbenjáró bűnnek feltörni, akárcsak az Apple szervereit is.

Nyilván sérül a presztizs, da van/lehet haszna.:-)

Előzmény: Qqberci (15)
Qqberci Creative Commons License 2018.08.21 0 0 15

Szerintem nincs azzal különösebb gond, ha időnként sikerül valakinek egy-egy, monjuk úgy, véletlen bahatolás.

 

De igen, nagy gond van, hacsak nem jelenti azonnal, hogy bejutott valahova (ha nem volt rá megbízása, akkor így is meg fogják kérdezni, mit keresett arrafelé... Ha megbízásból próbál bejutni, akkor előtte a megbízója ad neki egy "out of jail letter"-t, amiben egyértelműen leírja, mit tehet a tesztelő és mit nem). Képzeld el, hogy valaki betéved a villamosenergiahálózat vezérlő rendszerébe. Nem csinál semmit, csak hónapokig nézelődik, majd úgy gondolja, hogy ki kellene próbálni valamit és mondjuk kikapcsolja Ferihegy áramellátását...

Előzmény: lxt (13)
Qqberci Creative Commons License 2018.08.21 0 0 14

Ez esetben, miért kell/célszerű (hosszabb időn át) fenntartani a sikeres behatolás látszatát?

 

Fel kell térképezni a behatoló eszköztárát és hogy milyen sebezhetőségeket vélt kihasználni. Ez a rendszer későbbi megerősítése ("Hardening") szempontjából hasznos lehet...

Előzmény: lxt (13)
lxt Creative Commons License 2018.08.21 0 0 13

Tényleg nem vágom, csak próbálom megérteni.

Ez esetben, miért kell/célszerű (hosszabb időn át) fenntartani a sikeres behatolás látszatát? Már csak az erőforrások (szerveridő) értelmetlen, felesleges pazalása okán is.

Na mindegy.

Szerintem nincs azzal különösebb gond, ha időnként sikerül valakinek egy-egy, monjuk úgy, véletlen bahatolás. Ez mindig, mindenki javára válik.:-)

Előzmény: Qqberci (12)
Qqberci Creative Commons License 2018.08.21 0 0 12

fenntart számukra minimum 90 GB tök haszontalan adatot

Nem. Mutat valamit, ami úgy néz ki, mintha 90 GB adat lenne. A valóságban lehet, hogy csak pár 10 MB...

Előzmény: lxt (11)
lxt Creative Commons License 2018.08.21 0 0 11

Soha nem érdekeltek a hálózatok, de ilyen esetekről értesülve, azért van hiányérzetem.

Szóval az illetéktelen látogatókat (automatikusan, szoftveresen) tereli homokozóba a rendszer, ahol is fenntart számukra minimum 90 GB tök haszontalan adatot (nem forráskódok, nem felhasználói és/vagy céges, belső adatokat), amit az illetéktelenek kedvükre letölthetnek; mindezt akár egy/több éven át, gyakorlatilag bárki megteheti - ha már egy 16-1 éves is, aki legfeljebb 4-5 éve foglalkozhat komolyabban a számítógépes hálózatok rejtelmeivel.

Ekként, talán érzékelhetjük: valamelyik állítás hamis. Vagy a hír, vagy annak bagatellizáló cáfolata.

Qqberci Creative Commons License 2018.08.20 0 0 10

Még egy adalék az alapszituációhoz: minden tisztességesen felépített rendszerben van egy "honeypot" egy külön DMZ-ben és minden kicsit is gyanus requestet ide tessékel a tűzfal. Itt aztán játszadozhat kedvére, akár úgy is érzékelheti, hogy a belső hálón van, de már csapdában van és a riasztás elment...

Előzmény: Qqberci (9)
Qqberci Creative Commons License 2018.08.20 0 0 9

Amerikai szállító, magyar bankhoz telepített SW, 1996. Péntek este leálltunk az online szolgáltatással, SW upgrade, majd az új verzió passwordjének megadása - az új verzió kifeküdt. A régire nem lehetett visszaállni (PW lejárt), az új meg nem indult el. Hétfőre viszont mennie kellett az online üzemnek. Kitalálni a jelszót esélytelen volt, a módszer viszont - a fizikai hozzáféréssel, üres géppel indulással, a HW és az oprendszer megfelelő ismeretében - eléggé adta magát (itt nem fogom publikálni). Mindenesetre hosszú, de jó meccs volt :-)))

 

Zárójelben: A Budapest Bank egész hétvégén áll. Mit csinálhatnak? Anno az APEH három napra leállt: mit csinálhattak?...

Előzmény: Pomber Béla (8)
Pomber Béla Creative Commons License 2018.08.20 -1 0 8

Kicsit karcos történet, mert ha csak egy olyan barom van köztük mint nálunk a telekomos menedzsment, akkor még ülöd a 25 évedet...:-)))

Előzmény: Qqberci (7)
Qqberci Creative Commons License 2018.08.20 0 0 7

Majd a legközelebbi sörözésen elmondom a saját sztorimat. Knyszerből (rossz jelszót küldött le - 24 hexa karakter - a nemzetközileg elismert gyártó egy adatátvitel optimalizáló programhoz) meg kellett törnöm egy gépet. Minden helyben volt, fizikai hozzáférésem volt és HW konzolt valamint dinamikus stopot és töréspontot tudtam használni. A törést annak rendje-módja szerint jelentettük a gyártónaak, akinek megérte, hogy kivitt saját költségén az USA-ba és ott pár napig igen barátságosan (tényleg) elbeszélgettek velem a dolgoról. Mikor tisztázódott, hogy tényleg kényszerhelyzet volt és a helyben lévő gépeik egyikén meg tudtam mutatni, hogy hogy csináltam, megköszönték az információt és a fáradságomat és felajánlották, hogy a költségükön részt vehetek egy belsősöknek tartott két hetes technikai továbbképzésen. Természesesen éltem a lehetőséggel...

Előzmény: Pomber Béla (6)
Pomber Béla Creative Commons License 2018.08.20 -1 0 6

Ez nem kémfilm, hogy James Bond már az elején megszopatja a negatív főhőst... Utólag azt hazudnak amit akarnak, a M$-nál is csak annyit tudnak, hogy minimum 3 de legfeljebb 9 hónapig jártak ki-be a ruszkik.

Előzmény: Qqberci (5)
Qqberci Creative Commons License 2018.08.20 0 0 5

A "contained it" azt jelenti, hogy elterélték egy zárt helyre és hagyták játszani, hogy kiderüljön, mit akarhat...

Előzmény: Pomber Béla (4)
Pomber Béla Creative Commons License 2018.08.20 -1 0 4

Magyarán, kicsukták a gyereket idejében...

 

Az 1 éven át bent volt az nem erre utal...:-)))

Előzmény: Qqberci (2)
Pomber Béla Creative Commons License 2018.08.20 -1 0 3
Előzmény: Qqberci (0)
Qqberci Creative Commons License 2018.08.20 0 1 2

Nézem az Independent cikkét és nekem rögtön az uborka érése jut az eszembe...

 

Először azt írja: "broke into the Apple's mainframe", ami ugye elég érdekes, nert a RACF nem arról nevezetes, hogy meg szokják törni. mondhatni, eddig még senkinek sem sikerült.

 

Két sorral lejjebb már csak: "hacking into Apple's main computer network" és "accessing more than 90 gigabytes of data"... Értjűk? Nem "downloaded"...

 

Aztán: "Apple said information security personnel at the company “discovered the unauthorised access, contained it"... Magyarán, kicsukták a gyereket idejében...

 

Így azért már árnyaltabb a dolog.

 

És végül: "The serial numbers [of the laptops] matched the serial numbers of the devices which accessed the internal systems..."... A firkász itt valószínűleg a MAC address-re szeretett volna utalni...

Előzmény: Pomber Béla (-)
etomcat Creative Commons License 2018.08.20 -2 0 1

Az Apple az egy vallás, Steve Jobs nem is halt meg, hanem csak meglátogatta Elvis-t.

Qqberci Creative Commons License 2018.08.20 0 1 0

Valami f0rrás jó v0lna...

Előzmény: Pomber Béla (-)
Pomber Béla Creative Commons License 2018.08.20 -2 0 topiknyitó

Egy 16 éves ausztrál tini 1 éven át járkált ki-be az Apple szervereire, letöltött onnan 90 GB-nyi adatot, ügyféladatbázisokból satöbbi, majd az Apple kijelenti, hogy minden a legnagyobb rendben, nem loptak el semmi érzékeny adatot, és különben is ők teljesen biztonságosak, hiszen ők egy 1000 mrd dolláros cég.

 

Érzésem szerint ha az Apple azt üzeni az ügyfeleinek, hogy most az a trendi, hogy minden vagyonukat az Apple-re íratják és beleugranak a kútba, a fél világ kiürülne (legfőképp a debilekkel teli USA), viszont a kutak eldugulnának mindenfelé...

Ha kedveled azért, ha nem azért nyomj egy lájkot a Fórumért!