Tak si tak říkám , zrovna já co mám doma spoustů starých počítačů a i těch 32bitových takže. Budu muset nejspíše vyp nout a upgradovat někam jinam. Stando díky za super podcast. :D
Ak som to pochopil správne, z pohladu útočníka je to : Dobre, viem že tento systém je zranitelný, a viem že sa tam za týždeň pravdepodobne dostanem -ak ma neodstrihnú. Bolo by to divné neoznačiť za problém - keď securitáci označujú za problém slabé heslo ktoré stačí brutforcovať týždeň - tam dopredu netušíš či majú alebo nemajú slabé heslo, naopak v tomto prípade je to možné zistiť že tam tá zranitelnosť je - a to môže niekoho motivovať.. útočník si môže vytipovat 10 organizácii ktoré majú túto zranitelnosť, spustit si na vzdialenom serveri automatizovaný script a za týždeň sa vrátiť - a zistí že 8 organizácii to odstrihlo ale získal 2 footholdy do dvoch organizáci. není to síce pohodlné a nebezpečné ako priame rce, ale aj tak je to potenciálne dosť závažné. Aj keď je teda otázka či je to dostatočne lukratívne aby to niekto chcel v praxi robiť, keď takýto útočník vie získať ovela viac prístupov napríklad spearphisingom či inou konvenčnou metodou.
Samozřejmě souhlasíme - proto jsme i v podcastu říkali, že je to určitě problém, který je třeba řešit. Výhrada, kterou jsme zmínili k postupu NÚKIBu směřovala spíše k tomu, že tohle není zranitelnost, kterou útočník zneužije zasláním jediného paketu, ale případný útoku mu bude trvat dlouho a obránce je schopen ho v mezičase detekovat. Přesto na tuto zranitelnost NÚKIB upozorňoval, zatímco na řadu zranitelností, které lze zneužít citelně jednodušším způsobem, mohou mít stejný dopad a jejich detekce je podstatně problematičtější (tedy zranitelnosti, které by si varování zasloužily spíš) často neupozorní.
skvělý podcast, nechápu škoda že nemá větší dosahy... ale to určitě přijde
Děkuji za informace 😎
Díky za video, zajímavý díl
Ako vždy, skvelý rozhovor, ďakujem.
Tak si tak říkám , zrovna já co mám doma spoustů starých počítačů a i těch 32bitových takže. Budu muset nejspíše vyp nout a upgradovat někam jinam.
Stando díky za super podcast. :D
Část byla jen povídání o nevím ani čím 😅 a od půlky už jsem rozuměl 😊
Dik za video
Ak som to pochopil správne, z pohladu útočníka je to : Dobre, viem že tento systém je zranitelný, a viem že sa tam za týždeň pravdepodobne dostanem -ak ma neodstrihnú. Bolo by to divné neoznačiť za problém - keď securitáci označujú za problém slabé heslo ktoré stačí brutforcovať týždeň - tam dopredu netušíš či majú alebo nemajú slabé heslo, naopak v tomto prípade je to možné zistiť že tam tá zranitelnosť je - a to môže niekoho motivovať.. útočník si môže vytipovat 10 organizácii ktoré majú túto zranitelnosť, spustit si na vzdialenom serveri automatizovaný script a za týždeň sa vrátiť - a zistí že 8 organizácii to odstrihlo ale získal 2 footholdy do dvoch organizáci. není to síce pohodlné a nebezpečné ako priame rce, ale aj tak je to potenciálne dosť závažné. Aj keď je teda otázka či je to dostatočne lukratívne aby to niekto chcel v praxi robiť, keď takýto útočník vie získať ovela viac prístupov napríklad spearphisingom či inou konvenčnou metodou.
Samozřejmě souhlasíme - proto jsme i v podcastu říkali, že je to určitě problém, který je třeba řešit. Výhrada, kterou jsme zmínili k postupu NÚKIBu směřovala spíše k tomu, že tohle není zranitelnost, kterou útočník zneužije zasláním jediného paketu, ale případný útoku mu bude trvat dlouho a obránce je schopen ho v mezičase detekovat.
Přesto na tuto zranitelnost NÚKIB upozorňoval, zatímco na řadu zranitelností, které lze zneužít citelně jednodušším způsobem, mohou mít stejný dopad a jejich detekce je podstatně problematičtější (tedy zranitelnosti, které by si varování zasloužily spíš) často neupozorní.
první koment