Új hozzászólás Aktív témák
-
pyxystyx
tag
Facebook zárt szülői csoportban kaptuk az osztályfőnök üzenetét. Ilyet hivatalosan, az igazgató aláírásával nem adnak ki, annyira azért nem amatőrök.
Egyébként a gyerek már kb. egy héttel korábban jelezte, hogy szóltak nekik, hogy gond volt a Krétával.
Screenshotot természetesen csináltam, de azt nem szeretném ide kitenni. -
-
Mr.Csizmás
félisten
[A fejlesztőcég megpróbálta elhallgatni a KRÉTA feltörését]
DDDDD de azért hápogjunk, hogy nem történt semmi látnivaló, elvtársak
"Szólítson csak Cirminek." | B&B XI | 3D nyomtatás Bp és környéke |
-
dolon75
aktív tag
válasz Mr.Csizmás #103 üzenetére
eddig bíztam abban, hogy nem. pedig de.
elég csúnya dolgok jutottak eszembe, inkább nem írom le őketPa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
F.E.K..
senior tag
válasz Mr.Csizmás #103 üzenetére
"
Ez mindenképpen felvethet olyan hiányosságokat, mint például a kétfaktoros hitelesítés vagy a szofisztikált jogosultságkezelés hiánya” – mondta a szakértő, aki a téma érzékenysége miatt névtelenséget kért.
"Ebben szinte minden benne van, a záró megjegyzéssel egyetemben...
Legyen olyan szép és vidám napod amilyet csak szeretnél!
-
Mr.Csizmás
félisten
azért ottvan az is, hogy a hacker úgy igazolja magát, hogy az újságíró korábbi emailjét mutatja be. és ez csak egy állami rendszer, milyen lyukacsos szita lehet random más közigazgatási dolog?!
bezzeg a pegasus..."Szólítson csak Cirminek." | B&B XI | 3D nyomtatás Bp és környéke |
-
dolon75
aktív tag
válasz Mr.Csizmás #106 üzenetére
az is nagyon meredek nekem, hogy rajottek, baj van, és nem vették észre, hogy még mindig gond van.
Bár azok után, hogy valószínűleg nem is volt szeparalva az éles rendszer egy mezei géptől, sok mindent elmond.
na meg a sunnyogás...ehh...
Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
nagyúr
válasz Mr.Csizmás #106 üzenetére
Szerintem az a legszebb az egészben, hogy a hackertől kapjuk meg a nyugtatót - a gyerekeink teljes KRÉTÁban tartott profilja nem lesz közzétéve...
Pedro... amigo mio... ma is konzervvért iszunk! Kár lenne ezért a tehetséges gyerekért...
-
nagyúr
és #109 aprokaroka87:
a teljes megnyugtatástól olyan messzire vagyunk az ügyben, hogy még a kéményének a füstje sem látszik a horizonton... Jelen remek helyzetben már annak is tudok örülni, hogy nem kell arra számítsak, hogy két héten belül minden adat megy az online vásártérre...Pedro... amigo mio... ma is konzervvért iszunk! Kár lenne ezért a tehetséges gyerekért...
-
dolon75
aktív tag
válasz aprokaroka87 #111 üzenetére
nem tudom, hogy mennyire érdemes bízni abban, amit a hackerek állítanak.
en azt várom, hogy izibe adjon tájékoztatást a cég arról, pontosan milyen adatokat tartottak nyilván.
most. azonnal.Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
Silεncε
őstag
válasz Mr.Csizmás #103 üzenetére
Már várom, hogy jönnek a cikkek, hogy a soros által pénzelt, baloldali ELLENSÉG tönkre akarja tenni a szegény krétát.
-
Egon
nagyúr
válasz Aprósólyom #77 üzenetére
Ti nem veszitek észre azonnal, ha szar helyre kattintottatok? Ha igen, nem reagáltok rá azonnal? Mire a támadó használta volna az információkat, már csak lejárt, használhatatlan azonosítók lehettek a birtokában.
LOL. Egy célzott adathalász támadás (spear fishing) felismerése simán meghaladhatja nem csak random user, hanem képzett IT-s képességeit is - egészen egyszerűen azért, mert sok esetben szinte lehetetlen felismerni.
A #76-os háeszben van a lényeg: egyszerűen nem megengedhető, hogy egy szimpla adathalász támadással ekkora mértékben kompromittálni lehessen egy rendszert (csak egy példa: ha nincs kétfaktoros authentikáció a külső hozzáférésekhez, az már önmagában erősen problémás)."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Látom naon beégett neked ez a Soros-szál, már a második kommented csak ebben a topicban, ami erről szól.
Amennyire gáz volt már az első pillanatban az erre épülő kormánypropaganda, annyira fárasztóak már az ezzel kapcsolatos "poénok"."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
strogov
senior tag
"az is nagyon meredek nekem, hogy rajottek, baj van, és nem vették észre, hogy még mindig gond van."
A beszélgetésükből nekem egyértelműnek tűnik, hogy nem jöttek rá a valós problémára. "Fori" jelszó váltását gondolták problémának, azaz azt hitték az az account kompromitálódott. Ezt kezelték, és úgy gondolták így minden rendben. De valójáb a PM gépét használták. Valószínű azóta kiterjedt backdoor rendszert építettek ki, különben a gmail-es beszólás nem hangzott volna el.
Megjegyzem egy egyedi szoftvert amit a vírusírtók nem vesznek észre, elég nehéz (szinte lehetetlen) megtalálni. A linkre kattintás után nullázni kellett volna a gépet egy hálózattól elzárt helyen, de még így sem biztos, hogy ennyi idő alatt nem jutnak ki a gépből.Mivel a gépen voltak, így a 2 faktoros azonosítás sem biztos, hogy megoldás. A user munkaidőben biztosan állandó kapcsolatban van a rendszerrel. Ezért hoppnak használva nem kell semmilyen azonosítás.
-
-
Alogonomus
őstag
Na de mennyire lehetett az a támadás célzott? Azért itt valószínűleg nem a billiárd dolláros nyugati titkosszolgálati érdekszövetség vetette be az eszközparkját a KRÉTA feltörése érdekében. Aki ilyen szintű hozzáféréssel rendelkezik, az legyen a hozzáférési szintjével arányos mértékben gyanakvó, és szükség esetén ellenőrizze le a helyzetet több oldalról is, mielőtt elhiszi a levél tartalmát.
Maximum abban az esetben lehet az érintett projektgazda felelősségét némileg enyhíteni, ha nem volt tudatában a jogosultságainak, mert az IT lustaságból inkább minden jogosultságot eleve hozzáadott a fiókhoz, hogy a későbbiekben ne kelljen a fiók jogosultságkérelmeivel foglalkozniuk. -
dabadab
titán
válasz Alogonomus #119 üzenetére
Na de mennyire lehetett az a támadás célzott?
A mai telexes cikk alapján teljes mértékben.
DRM is theft
-
dolon75
aktív tag
válasz Alogonomus #119 üzenetére
az egész az IT biztonságért felelős személy felelőssége.
neki kell olyan szabályozókat létrehoznia, hogy betörés esetén ez az egész ne fordulhasson elő.
ha nincs ilyen dedikált személy, akkor a cég vezetője a felelős ezért.
aki úgy tűnik, a csendben megbujunk taktikát választotta.Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
"neki kell olyan szabályozókat létrehoznia, hogy betörés esetén ez az egész ne fordulhasson elő."
Meg mindig vannak akkora főnökök, akikre azok a szabályok nem vonatkoznak.@Alogonomus : Nem volt tudatában, az mindenhogyan gáz lenne, de jelen esetben még tudatában is volt, hogy ő mindenen is admin
" az IT lustaságból inkább minden jogosultságot eleve hozzáadott a fiókhoz, hogy a későbbiekben ne kelljen a fiók jogosultságkérelmeivel foglalkozniuk."
Vagy, mint fentebb említettem, mindig van akkora b@szdszájba a cégben, aki mindenek felett áll.. amíg nem történik baj.[ Szerkesztve ]
Mutogatni való hater díszpinty
-
Alogonomus
őstag
Egy autóbaleset esetén sem a jogosítványt kiállító hatóság a felelős, hanem a jogosultsággal balesetet okozó.
Amíg nem tudjuk - valószínűleg nem is tudjuk meg - a megadott jogosultságok körét, addig nem lehet kijelenteni, hogy milyen szabályozók értek volna egyáltalán valamit az adott jogosultsági szint mellett.
Az biztos, hogy az IT biztonságért felelős személy cselekedeteiben mindig lehet utólag hibát találni.
Egyébként szerintem az történt, hogy a projektgazda folyamatosan csesztette az IT osztályt, hogy éppen mihez kér hozzáférést, de azonnal. Az IT-s részleg pedig megunta óránként átállítani a jogosultsági szintjeit a különböző alrendszerekben, ezért csendben inkább megadtak neki minden valaha megkért jogosultságot, csak nyugtuk legyen végre tőle. -
dolon75
aktív tag
válasz Alogonomus #123 üzenetére
jó, igaz, sarkítottam.
ha az IT megtette, lustaság miatt, hogy a szabályzás ellenére jogot adott neki akkor nagyot hibázott. ez a példáddal élve a KRESZ tudatos megszegése.ha a szabályzás ezt megengedte, akkor aki azt kiadta, az hibázott. Ez meg maga a KRESZ.
csak hát ha nincs szabályozás, akkor nincs is mit megszegni,nincs mit betartani.
Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
aktív tag
És a forráskódot publikálták is (Most töltik fel pontosabban) a Telegram csatornájukon.
[ Szerkesztve ]
-
dolon75
aktív tag
nem.
csalódott vagyok.
És dühös.
sok minden miatthogy ilyenek kezelnek ilyen adatokat, akik alapvető biztonsági dolgokat sem tartanak be
ugyanezek nem képesek felismerni hogy mekkora a baj
ugyanezek nem járnak el megfelelően, nem kérnek segítségeta másik oldalnak meg van képe azt állítani, hogy segíteni akar ezzel. hát a fenét, ezt megtehette volna más módon is
ráadásul azzal, hogy a forrást publikálják, mindenki ravetheti magát, hibákat keresve, ezzel tovább kockáztatjak az adatokategy megoldás van csak, az egészet azonnal leallitani
de ez hatalmas károkat okoz, mind politikai, mind tanítói, mind tanulói szinten, és ezt tudják jól.
ezzel nem segítenek senkinek
Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
dolon75
aktív tag
-
aktív tag
Pedig teljesen igaza van arról, hogy a kormány tehet róla.
"ezzel nem segítenek senkinek"
Nézzük másképp. Ez egy figyelmeztetés számukra, hogy kezdjenek magukkal valamit. Egyrészt magának a cégnek, hogy kapják össze magukat, másrészt a NER bandának, hogy ha már a haverok kapják a melót legalább ne az inkompetenseket válasszák.Másrészt, persze, kihasználhatnák mások is a kódjukban lévő temérdek hibát, viszont az incidens még szeptemberben volt, bőven volt idejük egy auditra kompetens fejlesztőkkel.
(Bár most raktak ki egy képet a csatornájukba, azt nem írják, hogy mikori, de ha mostani akkor még mindig hozzáférnek a rendszerhez ami egy újabb rossz pont a fejlesztőinek az eddigi 99 mellett). Ha tegyük fel mások találták volna be őket, lehet már rég kint lennének a sokszázezer tanuló adatai vagy már megzsarolták volna a Krétát és az ügy sosem kerül nyilvánosságra.Szerintem ez még a kisebb rossz volt.
[ Szerkesztve ]
-
Mr.Csizmás
félisten
elmúlt 12 év --- (nagyon hosszú kétoldalú nyíl) ---- szakmaiság
DDD
n+1 fokú rokon külügyes volt, megvoltak a bejáratott kontaktjai csomó országban, meg kit kivel kell összekötni, jött a kakadu, mindenki kapott egy keresztapa szintű ajánlatot, hogy felállhat és kikíséri a portás, vagy csendben maradhat, megpróbált csendben maradni, de inkább 3 hó után elköszönt, utána a belső infók alapján züllés és arrogancia jellemzi a helyet, just sayin', ez is csak egy terület mint az oktatás.
[ Szerkesztve ]
"Szólítson csak Cirminek." | B&B XI | 3D nyomtatás Bp és környéke |
-
dolon75
aktív tag
maradjunk abban, hogy én másképp képzelem el, ha segíteni akarok.
azzal nagyon nem értek egyet veled, hogy ez a kisebbik rossz volt.
náluk az adat, az egész rendszer mehet a levesbe, amivel rengeteg embert, tanárt, szülőt, gyereket szivatnak meg.
biztos lett volna más út, de ezt választották. nyilván nem véletlenül.Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
"nem tud izgatni az a véleményed, hogy ez is az egyik politikai oldal hibája."
Pedig de. Itt minden az egyik politikai oldal érdekköre lassan. Az ő embereik specifikálják, veszik át,és üzemeltetik. Az ő embereik vezetik a nyomozást is."maradjunk abban, hogy én másképp képzelem el, ha segíteni akarok."
Másképpen eltussolódott volna a dolog, az adat ugyanúgy kikerül.
És honnan tudod, hogy koreai hackerek már nem jártak ott előttük? Vagy jöttek volna 1 hét után? Akik nem akarnak segíteni, csak eladják az adatokat.Mutogatni való hater díszpinty
-
dolon75
aktív tag
bocs, srácok, semmi kedvem politikai hitvitákba belemenni.
Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
aktív tag
Nyilván, nem ez volt a legsegítőkészebb megoldás amit ki tudtak ötletni De szerinted mi mást tudtak volna tenni?
A belső levelek alapján erősen kétlem, hogyha egyszerűen küldtek volna nekik egy üzenetet, hogy figyi, amúgy megvan a forráskódotok és a 62, 73 és a 142es sorban ez meg ez a hiba, túl jól fogadták volna. De akár mégha nem is lopják le a forráskódot és például felhívák a figyelmüket rá, hogy valamiért nincs az oldaluk védve SQL Injection ellen akkor is mi lett volna? A BKKs srácot is feljelentették pedig semmi rosszat nem tett és egyből szólt a cégnek. Ezek is ugyanolyan arrogáns (Tekintve, hogy a kréta főnök hallani se akar az ügyről a nyilvánosságra hozott levelek szerint) inkompetens gyökerek sajnos, mint a legtöbb állam által fizetettt uram bátyám kategóriájú fejlesztőcég.
Okoztak kárt? Igen. Okozhattak volna ennél 20szor nagyobb kárt is? Egyértelműen igen. Szerintem ez azért egy pozitív dolog a történetben.
-
dolon75
aktív tag
az jó kérdés, hogy mit lehetett volna mást tenni.
nem tudom.az jutott most eszembe, hogy amikor egy-egy súlyos hibát kozzetesznek, pl. bongeszben, akkor sokszor olvasni, hogy szóltunk X ideje, hogy gond van, de nem tettek semmit, ezért léptünk.
Itt ilyesmit nem olvasok sehol.
Legalább ennyit tehettek volna, nem?Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
dolon75
aktív tag
jórészt egyetértek azzal, amit írtál, csak annyiban nem, hogy nem sok pozitív dolgot látok a történetben.
nem örülnék, ha a hazamba betornenek, majd miután kipakoltak, közölnék, hogy náluk minden, de nem akarják eladni, és csak segíteni jöttek,hogy legközelebb jobb riasztót vegyek.
valahogy nem tudnék megbizni bennük.maga a. betörés is rossz. hogy ennyire könnyen ment, az is. hogy a cég sumakolt, az is.
meg minden más is.Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
Tehettek volna, csak akkor meg van ideje a propagandagépezetnek felkészülni, és eltussolni. Lelkiismeret-furdalás nélkül megtették volna.
Illetve, hát a cikkből is kiderül, hogy a cég tudott a dologról, és valószínű az iskolák is, de nem tettek semmit. Szóval pipa.Mutogatni való hater díszpinty
-
aktív tag
Igen, álhattak volna másképp a történethez, de árthattak volna nekik ennél sokkal jobban is az adatok publikásával. Igen igen, értem az álláspontodat a házas példával kapcsolatban, de te nem az adófizetők 100 millióiból vetted a szar minőségű bútorokat A pozitív oldalát ebben én ott látom, hogy remélhetőleg vagy a kormány / a NERes haver akivel jóban vannak tesz rendet köztük, vagy maguktól is rájönnek, hogy így bizony hamar repülnek és egy életképesebb rendszert alkotnak. (Őszintén, kétlem)
Másfelől a népnek is egyfajta figyelemfelhívás, hogy nesztek, erre költi a drága kormányotok a 100 millióitokat (Vagy többet, így hirtelen nem tudom mennyit tapsoltak el a Krétára, de szerintem eléri a milliárdos szintet is)
-
dolon75
aktív tag
nem tudom, melyik rosszabb.
ha tudták, csak sumakolas volt, vagy hogy ha nem is tudták. mármint a baj nagyságát, azaz hogy mindent vittek.Holnap reggel valószínűleg lesz új cikk, részletekkel, meglatjuk, mi derül még ki.
[ Szerkesztve ]
Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
aktív tag
És ki ellen hadakozna a kréta és az állam propagandagépezete? Jaj, a csúnya hackerek ellopták a tanulók adatait? Csak majd véletlen kifelejtik, hogy ja hát a milliárdos rendszerünk amúgy egy kalap szar, de az senkit ne érdekeljen, mostmár 5 csillagos.
Sajnos vagy nem sajnos, így lehetett az egészre a legjobban felhívni a nyilvánosság figyelmét és szerintem az sikerült nekik.
-
nagyúr
Az iskolák így általánosságban nem tudtak róla, korrekt általános tájékoztatás nem volt. Hogy suttyomban, fű alatt szóltak-e pl. az igazgatóknak (vagy a párttitkárnak ), esetleg csak "bizonyos" iskoláknak ment az info, azt nem tudom.
#146 Remov: igen, abból a hsz-ből annyi kiderül, hogy volt olyan iskola, akinek szóltak. Vagy akár az is lehet, hogy a sasszemű iskolatitkár kiszúrta, hogy valamilyen adattal gond van, rákérdeztek, aztán arra kaptak valami half-assed választ, amiből azért kiderült, hogy nem kerek minden.
[ Szerkesztve ]
Pedro... amigo mio... ma is konzervvért iszunk! Kár lenne ezért a tehetséges gyerekért...
-
net84
őstag
Csinalhattak volna maskepp. Mi is tortent korabban azokkal, akik johiszemuen szoltak egy-egy felfedezett hiba miatt (nem csak a BKK-s eset volt)? Meghurcolas, lejaratas, eljaras… errol a reszerol ennyit.
Politika! Ez az egesz politika, nem lehet elvonatkoztatni tole. Ha megtehetnenk, akkor nem beszelgetnenk most a Kretarol, mert nem is letezne. Nem lehet kikerulni, hiszen a kormanyunk tette azza. Mikor meglattak egy piaci szereplo rendszereben a potencialt, elkezdtek osszekalapalni egy sajatot, majd gyorsan kizarolagossa tettek “magukat”. A piacon akkor fellelheto masik rendszer egybol el is lett lehetetlenitve (versenyhelyzet OFF).
A Kreta rendszert emlegeti mindenki, de mi van a tobbi, kapcsolodo rendszerrel? Pl. a Poseidonnal? Ott is vannak nem kicsit kenyes adatok. A diakok adatait emlegetik, de messze tobb minden volt/van a rendszerben (pl. dolgozoi adatok a szuletesi adatoktol kezdodoen a munkaugyi adatokon at az igazolvanyszamokig).
Komoly kerdeseket vet fel, hogy a mai napig nem tortent semmi biztonsagi lepes a ceg reszerol. Ha mar a valoszinusege is fennall egy adatszivargasnak, az elso, hogy levagom az ellenorzesig a rendszert a halorol, majd mindenkivel jelszot csereltetek (az utolso utani takaritoval is, ha volt felhasznaloi fiokja a rendszerben).
A biztonsagi oldalt biztosan meg kell reformalniuk, de nem csak maguknal, hanem a legalsobb szintekig. Emellett pedig el kellene gondolkodni nehany oktatason, tovabbkepzesen is, hogy azok, akik a rendszeren belul admin joggal birnak, ne csak droidkent tudjak azt hasznalni…A betoros tortenet annyiban santit, hogy a lehetoseg elotted all, hogy kivalaszd a piacon a neked legjobban megfelelot. Emellett ha betornek hozzad, nem pislogsz boci szemekkel a feltort ajto elott hetekig-honapokig, hanem intezkedsz es cselekszel, hogy ne fordulhasson ilyen elo ujra. Emellett a hasonlat butorok elvitelenek reszere is akkor lenne jo, ha ransomware tamadassal neztek volna szembe.
Elitelem-e a “tolvajt”? Igen.
Elitelem-e a rendszer uzemeltetojet? Igen.
Azonban, ha az egyiket mosdatjuk es artatlannak allitjuk be, akkor ez megjar a masiknak is…Valahogy most szerencsesnek erzem magam, hogy mar csak mezei szulokent szerepelek (es csak a Kretaban) a rendszerukben . Itt mindenki is szorulni fog (csak az nem, akinek igazan kellene).
Biztos vagyok abban, hogy az utolso utani Marika neni, a vilagvegi kisiskola takaritojakent is szivni fog emiatt.
Abban pedig csak bizni tudok, hogy anno kitoroltek minden munkaugyi adatot a rendszerbol utanam es a gyerek iskolaja sem lihegte tul az adatok rogzitgeteset.Az ekezetek hianya reszben BUG, reszben lustasag - a mai nap utan magyar billentyuzetet es gepet keresni volt a legkevesebb kedvem…
Read only...
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Alpha Laptopszerviz Kft.
Város: Pécs