• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    R_U_SIRIOUSCybersecurity. Kyberbezpečnost. (Ne)bezpečí v síti.
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Kyberbezpečnost: stát uvaluje břemeno, ale nepomáhá jej nést | Hospodářské noviny (HN.cz)
    https://nazory.hn.cz/c1-67349190-kyberbezpecnost-stat-uvaluje-bremeno-ale-nepomaha-jej-nest

    Stát přitom klade na soukromý sektor velké břímě, ale sám by měl aktivně zlepšovat podmínky pro firmy a podporovat jejich ochranu IT systémů. Například na úrovni EU jsou k dispozici značné finance ve fondech na podporu implementace kybernetické regulace, stát i firmy je ale využívají jen minimálně. Evergreenem pak je, že v tomto úzce specializovaném odvětví, stejně jako jinde v IT, chybí kvalifikovaní odborníci. Stát jako garant vzdělávacího systému v tom není dostatečně aktivní.

    V důsledku nového zákona se počet a okruh povinných organizací může zvýšit až o 10 tisíc nových subjektů a tomu bude muset odpovídat i vyšší počet specialistů. V soukromém sektoru vidíme snahy o řešení: vytváří vlastní školy a kurzy, organizuje soutěže jako třeba EY ESO o nejlepšího etického hackera. Popularizuje tak profesi, o níž se ve školních lavicích mladí lidé nedovědí téměř nic.
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Populární česká služba Herohero měla chyby ohrožující data a peníze všech uživatelů - Lupa.cz
    https://www.lupa.cz/aktuality/popularni-ceska-sluzba-herohero-mela-chyby-ohrozujici-data-a-penize-vsech-uzivatelu/?
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Organized Crime and Corruption Reporting Project - OCCRP
    https://www.occrp.org/en/37-ccblog/ccblog/18883-how-crypto-atms-in-the-u-s-became-a-favorite-tool-for-scammers

    While crypto ATM operators insist they take steps to protect the public, investigators say the machines are a gift to criminal networks.

    A small number of crypto ATMs allow users to sell bitcoin and take out cash, but the majority only convert cash to crypto. The machines have less stringent identification requirements than online crypto exchanges — and, as in Anne’s case, they allow large amounts of cash to be stolen long before law enforcement has even been notified about a scam. Inconsistent regulations across U.S. states and historically strained resources for fighting financial crimes exacerbate the issue...
    DED
    DED --- ---
    SAPwned: SAP AI vulnerabilities expose customers’ cloud environments and private AI artifacts | Wiz Blog
    https://www.wiz.io/blog/sapwned-sap-ai-vulnerabilities-ai-security

    ja vim, ze ted frci crowdstrike ale pojdme nezapominat na AI ;)
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    https://www.nytimes.com/2024/07/19/us/politics/crowdstrike-outage.html?unlocked_article_code=1.8k0._ZDj.e5unf_bqIJNo&;smid=url-share

    The CrowdStrike debacle may have accidentally provided cybercriminals and countries a road map to using security software to disrupt US critical infrastructure (David E. Sanger/New York Times)
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    R_U_SIRIOUS: One defective CrowdStrike update for Windows breaking global systems resurfaces concerns about Microsoft's monopoly in government and enterprise IT systems (Washington Post)
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Hm...

    Microsoft’s global sprawl under fire from regulators after Windows outage - The Washington Post
    https://www.washingtonpost.com/technology/2024/07/20/microsoft-outage-crowdstrike-regulatory-scrutiny/
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Stát chystá novou strategii kyberbezpečnosti. NÚKIB vyzval veřejnost k posílání podnětů a témat - Lupa.cz
    https://www.lupa.cz/aktuality/stat-chysta-novou-strategii-kyberbezpecnosti-nukib-vyzval-verejnost-k-posilani-podnetu-a-temat/?
    _KRYSTOF_
    _KRYSTOF_ --- ---
    Centralized system concept ouched loud out today.
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Vybavila se mi hláška z Návštěvníků, když na konci Brodský dá do vodováhy CML pomocí dřevěného klínku: "CML je idiot."

    #kecy
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Není to tak trochu problém monopolizace kyberprostoru Microsoftem? Počítačů s Mac a Linux se to netýká.
    Kvůli něčemu takovému byl internetový protokol koncipovaný jako distribuovaný systém. Až na to, že zařízením s MS Windows ta skutečnost, že centrální informační systém není bezpečný, možná tak trochu unikla.
    MUXX
    MUXX --- ---
    QWWERTY: Jo. Akorat tam nesmis mit bitlocker. To se pak do toho Safe mode tak jednoduse nedostanes.
    QWWERTY
    QWWERTY --- ---
    MUXX: udajne, no guarantees
    MUXX
    MUXX --- ---
    Cybersecurity platform Crowdstrike down worldwide, many users logged out of systems
    https://www.digit.in/news/general/cybersecurity-platform-crowdstrike-down-worldwide-many-users-logged-out-of-systems.html
    Reddit - Dive into anything
    https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/

    Volal mi kamos, ze ma vsechny sklady a pobocky v cesku a na slovensku nepouzitelny a zamestnanci posilaji fotky Windows BSOD...
    E2E4
    E2E4 --- ---
    VIXLE: zas kdo se ti bude srat s jednotlivým dekodovanim tvýho schématu aby se ti dostal do Spotify..

    u banky, emailu apod to je jiná, ale u běžných služeb mi to přijde ok, když nechceš nebo nemůžeš použít správce hesel..
    VIXLE
    VIXLE --- ---
    R_U_SIRIOUS: ten seznam je absolutni bullshit, slepenec predchozich leaku (pouze hesel nesparovanych s username, jak plaintext, tak necracknuty hashe ruznych formatu) a totalnich nesmyslu (email adresy, nazvy firem, random non-ascii stringy)
    viz treba: https://x.com/lkarlslund/status/1809573815887761459

    SYNTAX_TERROR: jakmile v tom budes mit nejakej takhle trivialni system, nekdo se dostane k vic nez jednomu heslu ktery si sparuje treba podle emailu, neni zas tak tezky ten system reverznout a voila, mas pristup vsude. imho stejna blbost jako inkrementy cisel nebo pouzivat vsude "SuprTruprDlouhyHesloRandomBramboraPentagram" a pridavat za to "-sluzba". realne vetsinou ty leaky budou slouzit stejne k nejakymu stuffingu, takze by si te musel nekdo cilene vybrat, ale to uz mas asi lepsi nepamatovat si zadny heslo a pri kazdym prihlaseni si vyzadat reset na email s poradnym zabezpecenim...

    QWWERTY: to mi pripomelo jak me kdysi SOC detekoval za pouziti Get-Aduser ... | findstr -i password kdyz jsem si chtel vyjet expiraci svyho vlasniho hesla z AD properties... tak od ty doby pouzivam Get-Aduser ... | findstr -i ssword a nic...
    E2E4
    E2E4 --- ---
    QWWERTY: jo, to byl příklad a ani jsem si nevšiml že tam nabízí řešení.

    a ano, najít řešení který bude natolik malej oser pro uživatele že ho skutečně začne používat místo triků jak to obejít je těžký..
    QWWERTY
    QWWERTY --- ---
    E2E4: kdyz nekomu posilam heslo k RADIUSu, aby se mohl pripojit na wifi, tak nedava uplne smysl do toho michat jeste Azure. nemluve o tom, ze treba nase business unit nema do Azure vubec prava tam cokoliv delat, takze se sice prihlasim, ale nemuzu nic.

    bezpecnou alternativu mas nabidnutou primo v tom pop-upu: pouzij mail + AIP Protected/Encrypted.
    jenze v tom je prave ten vtip - pro beznyho uzivatele uz jsi prave timhle prekrocil tu hranici "pouzitelnosti", takze nez aby sli hledat, jak vytvori zabezpeceny mail, tak udelaji screenshot a poslou ho znova tim stejnym kanalem
    E2E4
    E2E4 --- ---
    QWWERTY: ono bohužel nejde dělat test na secrets, aniž by měl false positives. tak se to prostě pohladí tak, aby měl málo false positives za cenu false negatives, lepší než nedělat nic.
    been there, done that.

    a druhá věc je, že by to mělo rovnou nabízet alternativu bezpečného a pohodlného sdílení hesel. (typu Azure keyvault)
    QWWERTY
    QWWERTY --- ---
    pripomeli jste mi vcerejsi situaci, kdy jsme zjistili, ze nam Teamsy delaji screening na secrets

    a) jim to funguje jenom nekdy


    b) to vyhodi tenhle vtipny popup



    prvni reakce bezneho uzivatele? "no tak si to budem pres Teamsy posilat misto plaintextu jako screenshoty" :D

    Kliknutím sem můžete změnit nastavení reklam