- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Tipikus forgatókönyv: utalós Jolánka kapott egy levelet, hogy a főni kéri utaljon át azonnal 15M EUR-t egy ismeretlen bankszámlaszámra. Az meg meg is tudta csinálni. Ez több kérdést is felvet:
- hogy tud Jolánka egy személyben ekkora összeget mozgatni (ekkora tranzakciót legalább kettő vagy több embernek kell engedélyezni egymástól függetlenül)
- miért nincs az utalandó tételek felett kontrolling
- miért nincs napi limit
- miért elég egy ember az utaláshoz
- miért nincs képzés Jolánkák részére
- ha Jolánka malicsusz volt, miért nincs rendes szűrés a felvételkor
Bármelyik a fentiek közül van, kb. az eset nem történik meg.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
hogy tud Jolánka egy személyben ekkora összeget mozgatni (ekkora tranzakciót legalább kettő vagy több embernek kell engedélyezni egymástól függetlenül)
Ez bmeg, a tarsashazi szamlankrol nem tudok otezer forintot egyedul elutalni a csavonak, aki kimossa a kukakat, de bezzeg a 15M siman kiporog, hogyne.
PEBKAC.
- A hozzászóláshoz be kell jelentkezni
Amúgy tudjuk, hogy valami ilyesmi történt itt? Eddig én egyik cikkben sem olvastam semmi konkrétumot.
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
Feltételezések közül az egyik. Ez egy létező scam fajta, már a '90-es években is történt ilyen lehúzás.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Feltehetően a fentiek kizárása többe került volna az elmúlt 10 évben mint a lenyúlt és egyszer talán előkerülő 6 milliárd szerintem.
Ez viszont érdekes " Pepco Group has 248 stores in Hungary and had first-quarter revenue of 1.9 billion euros."
Ez csak Magyarország lenne? Mondjuk nem lepődnék meg rajta, mert hatalmasa forgalmuk, az összes boltban folyamatosan sorok vannak. Ez alapján az éves nyereségük legalább 200-800 millió (2,5-10%) között lehet így a kár farzsebes történet, de az biztos, hogy a kárnál sokkal többet fognak most infosec fejlesztésekre költeni.
- A hozzászóláshoz be kell jelentkezni
Feltehetően a fentiek kizárása többe került volna az elmúlt 10 évben mint a lenyúlt és egyszer talán előkerülő 6 milliárd szerintem.
LOL, a fenti lista 90%-a kipipálható 100 ezer forint alatt.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Azért annál többre gondoltam, normális megerősítési eljárás és folyamatok kialakítása, valami egyéb eszköz bevezetése, emberek felvétele ... vagyis ezeket eddig nem kellett megtenniük.
- A hozzászóláshoz be kell jelentkezni
Tudtommal a legtöbb vállalkozói átutalási rendszer helyből tudja a két aláírós átutalást, csak az ügyfélen múlik, hogy ki is használja. Tehát ingyen meg lehet csinálni.
- A hozzászóláshoz be kell jelentkezni
Talán a tokenekért kérnek valamit, de bankja válogatja.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Eddig azt se tudtam, hogy kik ezek, csak azt, hogy a Pepco az nem a Pepsi Cola rövidítése.
- A hozzászóláshoz be kell jelentkezni
Néha érdemes kijönni a barlangból ;)
- A hozzászóláshoz be kell jelentkezni
Nem biztos, hogy ehhez a barlangban kell élni. Én sem tudtam, mi ez, mert még sosem találkoztam ilyen üzlettel. Attól, hogy kétszázvalahány üzletük van, még nem biztos, hogy szembejön bármelyik. Azt sem tudtam, hogy például a Billa egy csomó üzletet nyitott anno Magyarországon, mert ezek mind az országnak abban a felében voltak, ahova szökőévente (se) keveredek.
- A hozzászóláshoz be kell jelentkezni
Sarabanes-Oxley előírások miatt ekkora cégnél már muszáj legalább formálisan megvalósítaniuk olyan rendszert, ahol egynél több ember kell az utalások jóváhagyásához. Az is meglepne, ha különféle ISO auditokat nem kéne évről-évre csinálniuk. Gondolom bankkártya elfogadás miatt PCI-DSS is rendszeresen befigyel.
Nyilván nem zárható teljesen ki, hogy következetesen csalással mentek át az auditokon, de nem hiszem. A cég vezetőségének is érdeke, hogy Jolánka egyedül ne tudja elvinni a cég pénzét, ha legkésőbb a compliance miatt muszáj egyszer kiépíteni a rendszert, akkor érdekük használni is.
Én inkább arra tippelek hogy valami szofisztikáltabb támadás volt. Egyszerre több embert becélozva.
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
Ennél azért lehet kifinomultabb is a támadás. Mondjuk a főnök e-mail fiókjához hozzáférést szereztek, megnézték, hogy mikor jön a következő beszállítótól a számla.
Az eredeti számlát törölték, meghamisítottak egy másikat, másik számlaszámmal, és továbbították a fizetendő számlák utalásáért felelős részleg felé. Simán lehet, hogy hárman is aláírták, és a számlán szereplő árut is átvették, csak éppen nem oda fizettek, mint ahová kellett volna.
Nyilván ezt is ki lehet védeni (több különböző ponton is), csak arra akarok rámutatni, hogy nem feltétlenül egy ilyen nagyon egyszerű átverés áldozatai lettek, simán át lehet verni 3 aláírót is, ha meg tudod figyelni, hogyan működik a cég és a beszállítók kapcsolata.
Nagy Péter
- A hozzászóláshoz be kell jelentkezni
Egy normális rendszerben rögzítve vannak a számlaszámok. Nem vesznek fel csak úgy újat. És nem utalnak 15M eurót egy sosem látott szla. számra.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ez igaz, de hogyan kezelik le, ha az egyik beszállítónak mondjuk megváltozik a számlaszáma?
Egy ekkora forgalmú cégnél, ennyi beszállító mellett nem ismerheti az összes beszállítót személyesen, és nem is feltétlenül tudja felhívni mindet minden e-mail után.
Nyilván ha mindenki ellenőrizne minden digitális aláírást, minden domaint, és megkövetelné minden e-mailen az érvényes PGP aláírást, akkor nehezebb lenne átverni a rendszert.
Félreértés ne essék, nem akarom mentegetni őket, és nem is tudom, hogy pontosan hogyan sikerült az átverésük, csak arra akartam rámutatni, hogy a fent felsorolt nagyon egyszerű átveréseken kívül is vannak még lehetőségek. És nyilvánvaló, hogy van náluk valamin nagyon súlyos hiányosság valamelyik munkafolyamatban, hiszen másképp nem lenne róluk ez a cikk. Csak arra akartam rámutatni, hogy nem feltétlenül annyira egyszerű a helyzet, hogy van egy Mancika, aki egymaga utalhat korlátlan összegben bárhová.
Nagy Péter
- A hozzászóláshoz be kell jelentkezni
Ez igaz, de hogyan kezelik le, ha az egyik beszállítónak mondjuk megváltozik a számlaszáma?
Hidd el, 15M euros forgalomnal szolni fognak! :)
- A hozzászóláshoz be kell jelentkezni
Az nem kérdés. Valószínűleg itt is szóltak. A kérdés az, hogy:
- Kinek szólnak?
- Milyen formában szólnak?
- Milyen csatornán jut el attól a személytől az új számlaszám, akinek szóltak; ahhoz a személyhez, aki utalni fog?
- Az, ahogyan eljut az információ a külső partnertől addig a személyig, aki utalni fog, végig védve van a külső fél által történő módosítások elől?
- Mindenki ismer mindenkit személyesen, fel fogja hívni az e-mail kapcsán, és összeolvassák a számlaszámot, hogy valóban azt kapta-e, amit a másik küldeni akart?
Nagy Péter
- A hozzászóláshoz be kell jelentkezni
Nem ekkora, hanem 100 fős cégeknél is tanúsított és rendszeresen auditált folyamatok vannak ezekre. Nem random kéne ezt Jolánkának kitalálnia. Ilyenekre van az ISO meg a többi
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Kérdés, hogy a tanúsított folyamat vajon deep-fake-elés ellen is védett-e? Nem olyan rég volt már cikk róla, ahol a scammerek komplett videokonferencia hívást raktak össze deepfake-elt kameraképekkel, hangokkal. Csak a megcélzott Jolánka (és Mancika, akinek jogosultsága volt ellenjegyezni Jolánka műveleteit) voltak igaziak a hívásban.
Érzésem szerint a szabályok itt eléggé csak rohannak az események után.
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
Figyelj, ha kiderul, hogy itt a usert deepfake videoval tevesztettek meg, majd amikor felhivta a partnert, hogy megis mizu, akkor AI generalta hang valaszolt neki a telefonon, akkor en nyilvanosan bocsanatot kerek a threadben elhangzott osszes hozzaszolasomert.
- A hozzászóláshoz be kell jelentkezni
10 évet se adok neki, és ez teljesen hétköznapi valóság lesz
- A hozzászóláshoz be kell jelentkezni
Az a baj, hogy kb ilyen Index-es szintű cikk volt róla. (Edit: ez volt az https://index.hu/kulfold/2024/02/13/hongkong-deepfake-atveres-csalas-adathalaszat-mesterseges-intelligencia-taylor-swift/) Szóval alig volt benne konkrét részlet. Annyira emlékszem, hogy állítólag a hívásban levő fake főnökök eléggé parancsolgató stílusban utasították a megtévesztett ügyintézőket, ami furcsa is volt nekik, de nem merték megkérdőjelezni az elhangzottakat. Én úgy gondolom ez jelentős részlet, mert a támadók valószínűleg nem tudták realtime generálni a deep-fake videót és hangot. Előre elkészített felvételt játszhattak be, de direkt úgy írták meg a scriptet, hogy ne adjanak lehetőséget a célszemélyeknek interakcióra, ami lebuktathatná őket. (Edit: a megtalált cikkben ez utóbbi nem szerepel, valahol máshol olvastam, de ugyanerről az esetről)
Nyilván ez idővel sajnos fejlődni fog.
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
- Kinek szólnak?
Akivel az adott cegnel kapcsolatban vannak, jo esellyel ez a beszerzes vagy az AP.
- Milyen formában szólnak?
Utoljara amihez kozom volt, ott a havi 80k (forintot!) beszamlazo partner majdnem fel evig irta ra minden honapban a szamlara az uj szamot, es parhuzamosan futtatta a kettot. Megvan ennek a modja.
- Milyen csatornán jut el attól a személytől az új számlaszám, akinek szóltak; ahhoz a személyhez, aki utalni fog?
Na, hat az a hatmilliardos kerdes! :)
- Az, ahogyan eljut az információ a külső partnertől addig a személyig, aki utalni fog, végig védve van a külső fél által történő módosítások elől?
Idealis esetben igen, a partner vettinget nem ugyanaz a szemely csinalja, mint az utalas engedelyezeset.
- Mindenki ismer mindenkit személyesen, fel fogja hívni az e-mail kapcsán, és összeolvassák a számlaszámot, hogy valóban azt kapta-e, amit a másik küldeni akart?
Nem muszaj, de 15 millio euronal mar csak megemeled a telefont, ha egyik honaprol a masikra hirtelen mashova kerik az utalast.
- A hozzászóláshoz be kell jelentkezni
Nem muszaj, de 15 millio euronal mar csak megemeled a telefont, ha egyik honaprol a masikra hirtelen mashova kerik az utalast.
Azt például magam is sok helyen tapasztaltam, hogy ha valakinek változik az adata, azt 3 körös ellenőrzés előzi meg, de ha egy új beszállító adatait rögzítik frissen, akkor azt már nem ellenőrzik olyan alaposan, simán berögzítik egy e-mail alapján.
Nagy Péter
- A hozzászóláshoz be kell jelentkezni
de ha egy új beszállító adatait rögzítik frissen, akkor azt már nem ellenőrzik olyan alaposan, simán berögzítik egy e-mail alapján.
Cegfuggo. Nalunk tobb honapos volt a vetting folyamat, mire a partner egyaltalan bekerulhetett a rendszerbe, es lehetett neki PO-t kuldeni.
- A hozzászóláshoz be kell jelentkezni
A beosztott (Jolánka) lehet hogy hibázott, lehet hogy nem. Talán inkább igen.
Az viszont egészen biztos, hogy Jolánka főnöke hibázott. Mert olyan embert tett oda, aki nem tudta jól ellátni a munkáját. Jolánka főnökének a főnöke is hibázott, mert nem tudott olyan beosztottat választani, aki jól tudott volna pénzügyes Jolánkát választani. És így tovább. Remélem mindegyik (up to a vezérigazgatóig, beleértve őt is, a group ceot és a felügyelőbizottság összes tagját is mondjuk) kap egy fejmosást. Mert ők mind hibáztak az előbb levezetett gondolatmenet miatt. Egy főnök felelős minden alatta történt dologért. Azért is ami 10 szinttel alatta történik. Az összes sikerért is, az összes hibáért is.
Mondjuk a sikerért be is jelentkeznek, szóval félig már minden jól működik. :)
- A hozzászóláshoz be kell jelentkezni
Ez így nagyon szépen hangzik és egy ideális világban így is lenne.
Gyakorlatilag Jolánka ha mezei alkalmazott volt akkor repül, talán még valami pert is kap a nyakába, főnöke kap egy ejnye-bejnyét és itt meg is áll a dolog.
Ha Jolánka a vezetőségből valakinek lánya/nője/unokahúga akkor megússza egy fegyelmivel és minden megy tovább, esetleg átrakják másik részlegbe ahol lehet még jobban is keres majd.
Remélhetőleg mindkét esetben felülvizsgálják a folyamatot ami lehetővé tett egy ekkora bakit és javítják.
Én is szeretném ha nem így lenne, de sajnos inkább ez a realitás, de én lennék a legboldogabb ha nem lenne igazam.
- A hozzászóláshoz be kell jelentkezni
Azért a józan paraszti ész hiányát nehéz ám kimagyarázni! Jolánka esetén is ... Ha nekem el kéne utalni 15M (de akárcsak 15E) EUR-t egy nem ismert, sehol nem rögzített bankszámlaszámra, minimum 3x ellenőriztetném 3 különböző emberrel ...
Ne kenjük már a felelősséget! Aki pénzzel dolgozik, annak kutya kötelessége ez.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ez sose volt kérdés, nyilvánvaló hogy Jolánka rútul elcseszte.
De az hogy a folyamat védőhálója nem létezik arról nem Jolán tehet, ekkora cégnél már számolni kell az emberi hibával. A józan paraszti ész meg igencsak elszomorítóan kipusztuló trendet mutat.
- A hozzászóláshoz be kell jelentkezni
De az hogy a folyamat védőhálója nem létezik arról nem Jolán tehet
De, sajnos tehet róla. Ha én ekkora összegekkel dolgoznék, látnám, hogy a folyamat szar, magam vinném a főnökömhöz a listát, hogy ezzel kezdjenek valamit, de kurva gyorsan. Majd ha arra jön a terelés írásban, azt kinyomtatnám és biztos helyre eltenném. Gond esetén meg elővenném.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A józan paraszti ész meg igencsak elszomorítóan kipusztuló trendet mutat.
Valószínűleg nem Jolán volt a legélesebb kés a fiókban és ezt tudta a főnöke is. Ha nem, az még nagyobb baj.
1. HR+Főni odafigyel hogy ne NPC-t vegyen fel ilyen felelősséggel járó melóra
2. Cég odafigyel hogy az olcsón dolgozó NPC ha elcsesz valamit akkor ne legyen belőle qrva nagy balhé
- A hozzászóláshoz be kell jelentkezni
Ez a szál azt hiszem kevéssé firtatja Jolánka elk*rását. Mert elk*rta: nem kicsit. De itt van azért még néhány felelős... demondjuk a szarnak-bajnak nincs gazdája, a lepedőt ráhúzzuk a leggyengébbre és megyünk tovább.
- A hozzászóláshoz be kell jelentkezni
Főnökére is rá lehet húzni, ha bizonyítottan tudott erről. Sajnos olyat is láttam már, hogy volt folyamat, két aláíró kellett függetlenül, de Jolánkának sürgős dolga akadt, ezért a fizikai tokenjét odaadta Gizikének, így neki kettő volt. Ugye pont az lett volna a lényeg, hogy ne legyen egy embernél a kettő.
Ha erről senki sem tudott, akkor nehéz valakit elővenni. Ha a folyamat szar, akkor szar volt az audit is ...
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
akkor azért mondhatom azt, hogy Jolánka összes főnöke fel a csillagokig legalább annyira felelős a storyban mint Jolánka? Mert ők tették lehetővé, hogy Jolánka ennyire elbaszhassa...
- A hozzászóláshoz be kell jelentkezni
Hát, ha ettől jobban érzed magad ... persze, írtam kivételt: malicsusz Jolánka esetén nem feltétlen.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
akkor meg miért nem világították át őt rendesen? az se feladata senkinek egy ilyen pozíció esetén? melyik főmanager feladata lett volna az általad jelzett védelmek/ellenőrzési pontok bevezetése? egyiké sem? :) nincs felelős, max Jolánka. ugye (?)
- A hozzászóláshoz be kell jelentkezni
Szerintem mindent leírtam (a főnök felelősségét is), olvass vissza, mert vagy az ideg beszél belőled, vagy a szövegértéseddel van baj.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Egyszer szóbakerült hogy esetleg mi van ha team lead lennék... elmeséltem hogy mik az elképzeléseim: dönthessek hogy kikkel dolgozok együtt, cserébe mindenért amit a csapat csinál vállalom a felelősséget. Arról is biztosítom a felettem lévőket, hogy minden rendben fog menni, de ha mégsem nem, akkor bármiért számonkérhetnek. Volt értetlenkedés, az utolsó kérdésemre választ sem kaptam: "Hogy vállalhatnák felelősséget olyanokért, amiknek a kiválasztásába nincs beleszólásom?" Nem is kértek fel végül ('meglepő') és nem is vállaltam volna. Ez nem a kivétel, hanem a a szabály.
Hát ez van... Akkor leszek jólfizetett 'szakértő', aki csak arra ügyel, hogy a saját 'optikája' jó legyen.
- A hozzászóláshoz be kell jelentkezni
neztem a Reuter cikket, de nem talaltam benne reszleteket.
Annyi a plusz info, hogy az euro mar egy dollarnyit se er.
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
- A hozzászóláshoz be kell jelentkezni
oh b+ forditva neztem. Ezt igazabol nincs hogy kimagyaraznom, a reuter cikkeben is jol van. Mea culpa.
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
- A hozzászóláshoz be kell jelentkezni
Nekem az is fura, hogy nagy cegeknel tenyleg vannak olyan folyoszamlak, amin egyben sok-sok millio EUR (milliard forint) csucsul arra varva hogy Jolankak utalgassanak rola?
- A hozzászóláshoz be kell jelentkezni
Nem biztos, hogy az történt, amit a sajtó írt. Lehetett ez egy ransomware támadás is, aminek részeként kifizették a váltságdíjat.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A Reuters cikk amúgy sem ír le semmit, csak hogy phishing attack. De hogy a klasszikus social engineering volt (fenti, Jolánkás scenario), vagy valami higher up gépére telepítettek keyloggert, aztán a hivatalos úton küldték a gazdaságisnak szépen lassan az utalásokra az utasítást, azt nem kötik az orrunkra (és valószínűleg a Reutersére sem).
- A hozzászóláshoz be kell jelentkezni
The Beekeeper (2024)
alapján kaphattak ötletet.
For Whites Only meeting room!
- A hozzászóláshoz be kell jelentkezni
Nalam a számlalikvidációs folyamat része, hogy NAV-tól letöltött számlát összevetjük/párosítjuk a beérkezettel. Amikor ez nem megy valamiért, akkor is egy háromlépcsős folyamat aminek a végén én vagyok. Utolsó 20 évben egyszer ment végig false adat, de ismerős cégnek ment, így hamar visszakaptuk.
- A hozzászóláshoz be kell jelentkezni
Minimalista cég ez, nem sokat áldoznak bármire is mert maximum hasznot kell kihúzni mindenből. Szerencsétlen dolgozóikat szarrá szivatják éhbérért. Ezt azok mesélték akik ott melóznak, melóztak. Úgyhogy kb. 800 különböző ponton szét lehet szivatni a rendszereiket feltételezem. És nemsokára kiderül majd hogy mindent vittek nem csak a zsét.
- A hozzászóláshoz be kell jelentkezni
Ahol:
- Let's encrypt a weboldal tanúsítványa
- a meghirdetett rengeteg állásnál képtelenek feltüntetni, hogy melyik boltjukba is keresik
ott semmin sem csodálkozom.
- A hozzászóláshoz be kell jelentkezni
A lets encrypt helyett mit javasolsz, ami automatan megy?
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
- A hozzászóláshoz be kell jelentkezni
éppen nem automata:
Kiállítva 2023. december 3., vasárnap 8:10:52
Lejár: 2024. március 2., szombat 8:10:51
jelenleg lejárt, érvénytelen.
Egyébként nem sok köze kellene hogy legyen back office IT-hoz a weboldaluknak.
For Whites Only meeting room!
- A hozzászóláshoz be kell jelentkezni
Ha tényleg automata lenne, akkor hogy járhatott le?
Ráadásul belenéztem a tanúsítványba. Gyakorlatilag az összes Pepco DNS tartományhoz (~30+) ugyanaz az 1 db DV tanúsítvány tartozik. Igazi red flag.
- A hozzászóláshoz be kell jelentkezni
Nem értem miért lenne red flag, én az üzemeltetési oldalon vagyok, örülnék ha csak 1 cert-el kellene foglalkozni, főleg úgy, hogy most már 2 év helyett csak 1 évig érvényesek (köszi Apple)... Ha lehet Wildcard certünk van, azaz ha van több subdomain (pld. kutya.allat.hu és macska.allat.hu domainjeink vannak, akk elég 1 a *.allatt.hu-ra, de a sziami.macska.allat.hu miatt kellene mégegy, akár mégegy wildcard.)
- A hozzászóláshoz be kell jelentkezni
A nem DV tanúsítványok megújítását is szépen lehet automatizálni. Részletezzem is?
- A hozzászóláshoz be kell jelentkezni
Részletezd kérlek. a fizetési folyamattal együtt. Mert ha tudsz olyan CA-t, aminél n+1 valamiponthu-s nem DV-s certet automatice lehet frissíteni mindennel együtt, az másnak is jól jönne.
- A hozzászóláshoz be kell jelentkezni
Előfeltételek:
- Fizetsz egy cégnek a tanúsítványért évente / 2 évente / whatever.
- A tanúsítvány OV vagy EV validált legyen, ne DV-s.
- A régi és az új tanúsítvány érvényességében legyen átfedés (praktikusan napokban / hetekben mérhető legyen).
- A titkos kulcs csak az ügyfélnél van, biztonságos formában (védve, jelszóval etc.).
Megújítási folyamat:
1. A TSP a tanúsítvány lejárata előtt x nappal értesít (praktikusan 30 vagy 60 nap). Ez az első értesítés.
2. A TSP küld második értesítést is (pl: 1 héttel a tanúsítvány lejárata előtt és/vagy akkor is, ha még nem töltötték le az új tansit).
3. Az ügyfél rendszergazdája belép a TSP weboldalára, ahonnan letöltheti a megújított tanúsítványt.
4. A rendszergazda ezután ezt a tanúsítványt feltölti a cég saját tanúsítvány / konfiguráció deployment rendszerébe.
5. A rendszer automatikusan teríti a tanúsítványt a cél rendszerekre (akár újra is indítja a service-eket vagy reloadolja, ha kell) - akár a CI/CD mintája alapján. Ha terítési hiba van, akkor még időben riaszt (pl: 1-2 héttel korábban).
6. A monitoring rendszert is átparaméterezi, ha szükséges. Ideális esetben nem kell, mivel a cfg mgmt rendszer bedolgozik a monitoring rendszerbe is vagy a monitoringban lévő szabályok észszerűen lettek összerakva.
Ha ez rendesen össze van rakva, akkor kb. évente / 2 évente max. fél órás munka ez a megújítási folyamat.
Ami általában hibádzani szokott:
- Nincs normális monitoring.
- A monitoring nincs felkészítve a PKI-val kapcsolatos paraméterek figyelésére (cert. lejárat, issuer, CRL, OCSP stb.).
- A monitoring nem tudja figyelni alkalmazás szinten, hogy minden rendben van-e (pl: a webalkalmazás előtt lévő HTTPS-t termináló LB állapotát nem figyeli vagy nem riaszt, ha az alkalmazással gond van).
- A cégeknél nincs PKI-hoz értő ember. Még mindig szürke folt sok helyen. Igen, a multiknál is hibádzik ez.
- Nincs cfg mgmt rendszer.
- Nincs certificate deployment rendszer. Ez lehet akár Ansible+Git alapú is vagy akár Zookeeper is. Persze van erre 100e USD+ -os rendszer is, csak össze lehet ezt legózni olcsóbban is.
- Félnek, amikor kiderül, hogy 1 cert hiba 100+ szervert / rendszert tud megborítani. Ezért is kell tanúsítvány alapú szeparáció (+IT security miatt) - a wildcard nem csodaszer.
- Nincs CI/CD rendszer. Így nem is értik, hogy hogyan kellene automatizálni.
- A hozzászóláshoz be kell jelentkezni
"automatizálni" - kontra "Az ügyfél rendszergazdája belép a TSP weboldalára, ahonnan letöltheti a megújított tanúsítványt"
Ami a felsoroltakon kívül még hibádzani szokott: van 234 cert 123 alkalmazásban, természetesen pem, der, jks és egyéb extrém formátumban - random lejárati időkkel...
- A hozzászóláshoz be kell jelentkezni
Az automatizálás nem azt jelenti, hogy nem lehetnek benne manuális lépések. Nem csak a 2 véglet létezik.
Ráadásul a "túlautomatizáció" veszélyeket is rejt magában.
És mi a gond ennyi certtel, alkalmazással, formátummal? A JKS is szépen kezelhető parancssorból. Ezek mind jól kezelhetőek. Ekkora méretekben (234 cert 123 alkalmazásban) már úgyis van valaki, aki a PKI + IAM + IDM infrát kezeli (jó esetben).
Ahol meg extrém igények vannak, oda enterprise megoldások kellenek. Ja, hogy az keményen fizetős... Pl: Sectigo CLM, Servicenow, Netscaler ADM.
- A hozzászóláshoz be kell jelentkezni
Ez is egy módszer a hiány eltüntetésére..
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "
- A hozzászóláshoz be kell jelentkezni
Keresik a következő Jolánkát :D
- A hozzászóláshoz be kell jelentkezni
"Csöppet" régóta keresik: 2023.11.13. Link: https://pepco.hu/job_offer/junior-konyvelo/
- A hozzászóláshoz be kell jelentkezni
Lehet már novemberben ellopták tőlük azt a lóvét, csak mostanra vették észre v. mostanra került ki egy belsőstől az infó.
- A hozzászóláshoz be kell jelentkezni
Én a céget sajnálom - mert elég karitatív cég:
- a lányom alapítványa kapott a Pepcotól támogatást, abból béreltek buszt és nézték meg gyerekkel a Csodák Palotáját, szerveztek programokat, béreltek buszt stb.
Ugyan idén lesz-e támogatás ??
Az IT-t megérdemelné, hogy a hajó alatt áthúznák őket..
For Whites Only meeting room!
- A hozzászóláshoz be kell jelentkezni
Aki nem tudná miről szólt a hajó alatt áthúzás:
Keelhauling Pirate Torture - Worst Punishments in the History of Mankind - YouTube
- A hozzászóláshoz be kell jelentkezni