Épp kint ülök az irodaház előtt az árnyékban és csodálkozom...
Először is, hogy milyen egy hüje (sic!) voltam, mert nem írtam fel, ma tűzriadót tartanak és nem maradtam otthon (home office). Másodszor meg azon, hogy milyen értelmetlen egy dolog ez a szimulált tűzriadó. Micsoda mennyiségű idő a semmiért.
Egyszerűen imádom az IT biztonsági bulvárt, mert minden héten van valami, ami felborzolja az idegeimet. Ha nem éppen egy aktuális Facebook „féreg”, vagy „vírus”, akkor valami más.
Úgy esett, hogy nemrég dolgozhattam egy általunk évekkel ezelőtt elkészített informatikai biztonsági irányítási rendszer (röviden nevén IBIR) felülvizsgálatán. A tanácsadó úgy van a projektekkel, mint méhecske a virágokkal, száll egyikről a másikra. Ritkán adatik meg, hogy visszatérhet egy korábbi munkához, velem is a 8 év alatt egy kezemen meg tudom számolni hányszor volt lehetőség ilyen utókövetésre... Most mégis ez történt velem, igaz az IBIR elkészítésében nem vettem részt, de a kollégák itt ülnek mellettem.
Lezajlott az idei Ethical Hacking konferencia. Voltak színvonalas előadások, profi környezet és szervezés, pogácsa, üdítő, kávé, süti, CPE pontok, hoszteszlányok – szóval minden, ami kell a sikerhez. Az összes előadáson demó is volt (az egyik előadó, Dávid Zoltán szavaival: nem csak slideware), aminek fényében értékelendő igazán, hogy nem volt csúszás. Külön dicséretet érdemel a profi szervezés: minden időben kezdődött, volt elég enni- és innivaló, a technika megfelelően működött.
Májusi megjelenéseink:
Találkozunk holnap!
Kései virágzásnak látott esmét a Hétpecsét!
Pontosabban ismét szeretnék egy rövid futamot publikálni az "Információvédelem menedzselése XLV. Szakmai fórum" történéseiről. Mint az óbor, aminek kell az idő, hogy egyedi tartalmas zamata beérjen úgy ez a kis megemlékezés is igyekezni fog egy leülepedett sommázatát adni a látottaknak, hallottakat.
Jövő héten ismét hackerkonferencia és ennek apropóján gondoltam megosztom veletek, hogy szerintem mire is jó a hacker. Előre tisztázandó nem vagyok hacker. Nemcsak munkakörömet tekintve, de képességeimet, tudásomat tekintve sem. Friss olvasmányélményeim alapján azt mondanám, hogy I have no natural aptitude...
Na most érkezett el a délután, mert nagy ravaszul, azt ugye nem írtam, hogy melyik déluán...
Már régóta foglalkoztatott, hogy a live chat a rackspace honlapján az most tényleg élő vagy csak egy intelligens bot van mögött. Az érdeklődésem nem teljesen öncélú, de erről majd délután mesélek...
A mai kor modern fehérgalléros munkaköreihez van két fontos készség, amit szerintem mindenkinek tudnia kell területtől függetlenül. Az egyik a tíz ujjas gépelés a másik a word használata. Ez utóbbit mindenki látszólag tudja használni, de én azt tapasztaltam, hogy meglepően sokan tényleg nem jutottak túl még a word 6.0 képességein sem, és sok alapvető funkciót nem ismernek.
Legalábbis szemtelenség, ha valaki egy 24 órás programozói verseny feladatait 15-16 óra alatt megcsinálja, és még meg is nyeri a viadalt. Bucsay Balázs és Kasza Péter pontosan ezt tette a tavaly decemberi IT Security Coding Contesten.
A cikk első része itt olvasható.
Legalábbis szemtelenség, ha valaki egy 24 órás programozói verseny feladatait 15-16 óra alatt megcsinálja, és még meg is nyeri a viadalt. Bucsay Balázs és Kasza Péter pontosan ezt tette a tavaly decemberi IT Security Coding Contesten.
[Eredetileg megjelent az IT-Business-ben.]
Az idei év eddigi legnagyobb visszhangot kiváltó biztonsági incidense, hogy az anonymous nevű internetes csoport a HBGary Federalt és a rootkit.com-ot feltörte.
Az elmúlt pár hétben kétszer is struktúraközeli élményem volt. Mindkétszer egy fejlesztő, megoldásszállító, integrátor vagy hívd aminek akarod valami ilyesmit mondott: „Akkor itt egy struktúrát alakítunk ki, amit egy másik struktúrába csak egyszerűen át lehet konvertálni, igazán nem nagy munka”, vagy „A rendszerben tetszőleges struktúra felépíthető, tényleg”.
[A sorozat korábbi részei itt és itt meg itt]
Kivételesen most nem olyasmivel készültem, amivel megszívattam magam :-). A minap auditáltunk Oracle 11gR2-t - ez volt az első, úgyhogy gondoltam leírom a tapasztalatokat - persze az érdekesebbeket :-). Először is a jelszókezelésről néhány szó.
Nemrég fejeztem be John Viega könyvét a The myths of security-t. A könyv már jó régen vetettem meg a céggel, de valahogy mostanáig nem jutott rá időm. Most is csak azért, mert olyan barátságosan vékony és nagyon hangzatos alcímet választott: "Amit a számítógép biztonsági ipar nem akar hogy tudjad". Gondoltam, kevés dolog van, amit jobban szeretnék tudni, mint amit eltitkolnak előlem.
Sokat beszélünk a cloud computingról, de a Gmail-en kívül használjuk-e valamire? Az alábbiakból kiderül, hogy már jelen állapotában is szolgáltatást lehet rá alapozni.
A cloud szolgáltatókkal kapcsolatban a sok kifogás mellett az egyik visszatérő elem a kieséstől való félelem. A Japán krízis bár még nem ért véget, lehetnek csavarok a történetben, de azért egy szerverszoba rendelkezésre állásának kevés jobb tesztje van, mint ami ott történt és már pici kis visszatekintésre van lehetőség.
A múlt pénteki TEDxDanubián Papp Péter előadásában szó volt egy bizonyos Zoliról, aki hacker. Utána a szünetekben viszont egy majdnem Zoli, de egészen hacker, wall of sheepet csinált. Ez aki nem tudná annyit tesz, hogy egy wifi antennával a hálózati forgalmat leszedtem és egy monitorra (az adatbiztonsági szempontokat szigorúan betartva), kirakta, amit talált.
Nos lássuk mik is voltak a fogások:
Saját bevallása szerint sem túl divatos dolog manapság rootkitekkel foglalkozni, mégis ez hozta meg a jól megérdemelt szakmai elismerést Barta Csabának. Egy általa kedvtelésből írt rootkit a nemzetközi konferenciák sztárja lett, és bekerült a világ 60 országában oktatott információbiztonsági tananyagba is.
A cikk első része itt olvasható.
Saját bevallása szerint sem túl divatos dolog manapság rootkitekkel foglalkozni, mégis ez hozta meg a jól megérdemelt szakmai elismerést Barta Csabának. Egy általa kedvtelésből írt rootkit a nemzetközi konferenciák sztárja lett, és bekerült a világ 60 országában oktatott információbiztonsági tananyagba is.
Az alábbi párbeszéd nemrég játszódott le kollégám és egy taxis között útban Gazdagrétről vissza a céghez a Népfürdő utcába.
Van egy visszatérő helyzet, amit sehogyan sem értek, de szinte mindig belefutok. A történet az alábbiak szerint fejlődik ki. Adott a feladat, hogy valamilyen írásos anyagot kell elkészíteni. Ez igazából lehet bármi: SLA jelentés, specifikáció, biztonsági szabályzat, projektmódszertan stb. A lényeg, hogy írni kell valamit.
Az IT biztonság azért is egy érdekes terület, mert olyan témák felé sodorja az érdeklődésemet, amikre programozóként szinte biztos, hogy soha nem figyeltem volna fel. Az IT biztonságnak köszönhetem ezt a könyvet is. A történeti lánc valami ilyesmi volt: Security Engineering (Ross Andersontól) -> Psychology and Security Resource Page -> pszichológia és szociálpszichológia könyvek -> How Risky Is It, Really?
A "Személyes adatok védelmét" és a Facebookot egy mondatban említeni mindig hálás feladat. Én úgy közelítem meg a kérdést, hogy csak olyan információkat közlök magamról, melyeket kiírnék bármilyen nyilvános weboldalra is. Könnyen vissza lehetne élni velük, de tudatosan vállalok egy ilyen szintű kockázatot.
Fura dolog, de bármennyire nem lenne nehéz ehhez a bejegyzéshez egy arcot találni, ha valaki a kommentben megtenné, azt moderálnám. Nem azért mert bármi kárt okozna nekem vele, hanem egyszerűen bunkóságnak tartanám. Ebben a kérdésben eléggé konzervatív nézeteket vallok.
Nálam ez egy döntés, az átlag felhasználó azonban nem nagyon gondolkodik ennyire mélyen utána a dolognak. Ontja magáról a képeket, Taggel, kommentel, lájkol. Hogy milyen kára származik/származhat ebből, az megtölthetne egy kisebb könyvtárat, és több tanácsadó is bőven megélhetne belőle az élete végéig. (Van aki meg is él belőle) Eszembe se jut elvenni a kenyerüket, ezért továbbiakban csak a lájkolásról gondolkodnék.
