Chirurgia spinală minim invazivă
Chirurgia spinală minim invazivă oferă pacienților oportunitatea unui tratament eficient, permițându-le o recuperare ultra rapidă și nu în ultimul rând minimizând leziunile induse chirurgical. Echipa noastră utilizează un spectru larg de tehnici minim invazive, din care enumerăm câteva: endoscopia cu variantele ei (transnazală, transtoracică, transmusculară, etc), microscopul operator, abordurile trans tubulare și nu în ultimul rând infiltrațiile la toate nivelurile coloanei vertebrale. www.neurohope.ro |
Atacul asupra Equifax
Last Updated: Sep 23 2017 12:50, Started by
aaaa4567
, Sep 09 2017 06:56
·
0
#1
Posted 09 September 2017 - 06:56
Pentru cei care nu sunt la curent cu stirea:
https://www.cnet.com...-us-population/ Iata dar ca incepe sa devina o istorie care se repeta: un detinator mare de date (companie mare de asigurari etc) este atacat. N-ar fi chiar primii, mai ales in ultima vreme: https://en.wikipedia...f_data_breaches Se stiu unele problemele: existenta SPOF, security as an afterthought etc. Trebuie ca ceva nu merge aici, din moment ce se tot intampla; in cazul asta, se pare ca tineau ditamai depozitul de date in spatele unei interfete web... Care credeti ca va fi trendul de acum, ca abordare de software engineering? Voi ce consiliati clientii in cazul unor asemena aplicatii? De obicei in ingineria clasica, accidentele rasunatoare duc la o revizuire a regulilor de buna practica, dar se pare ca ITul nu este tocmai inginerie clasica. |
#2
Posted 09 September 2017 - 07:13
Trendul va fi intotdeauna la fel.Imbunatatirea securitatii si imbunatatirea metodelor de a trece de aceasta.Nu creste neaparat numarul de atacuri, mai degraba creste numarul de tinte posibile, deoarece exista tot mai multe astfel de baze de date.
Ca si in ingineria clasica, oricat ai ascunde un secret de fabricatie, examinand produsul, pana la urma vei afla si cum se produce. |
#3
Posted 09 September 2017 - 09:24
aaaa4567, on 09 septembrie 2017 - 06:56, said:
Care credeti ca va fi trendul de acum, ca abordare de software engineering? Fara niste amenzi si alte masuri dure nu se va schimba nimic. In plus, chiar si cu amenzi, datele deja sunt "in cloud" (ca sa folosesc termeni iubiti de unii) si "acolo" vor ramane. Un fel de "sa externalizam copiilor/freelancerilor de 13 ani de pe upwork&co" diverse chestiuni: https:// www . bleepingcomputer . com/news/security/malware-author-uses-same-skype-id-to-run-iot-botnet-and-apply-for-jobs/ Edited by dexterash, 09 September 2017 - 09:25. |
#4
Posted 09 September 2017 - 09:29
Frectie. N-ai ce face cu "datele" alea. Cel mai mare hot si potential criminal e statul, nu firmele sau haxorii.
|
#5
Posted 09 September 2017 - 09:32
Asa e... phishingul / ingineria sociala, recuperarea de parole si altele nu se pot face cu acele date.
'Ai dreacu' experti... |
#6
Posted 09 September 2017 - 10:01
Se pot face o multime de chestii cu datele alea.
1. Ca orice furt de identitate, aplicat pentru credite in locul altuia. In valori mari. 2. ACH, transferul direct din cont. Dar mai trebuie si numarul de cont. O multime de probleme pentru o multime de oameni. Furtul de identitate e deja loc comun, acum o sa devina banal. |
#7
Posted 09 September 2017 - 10:08
1. Credit freeze? Parca asta era recomandarea.
2. Pot fi legate cu alte date din alte "scurgeri" - nu trebuie decat un numitor comun (SSN, nume, alias etc)... E comun/banal pentru ca nu se iau masuri, lumea fiind [mult prea] "relaxata". Mai vedem pe viitor ce si cum... |
#8
Posted 09 September 2017 - 10:21
Credit freeze e o complicatie care e neplacuta pentru multi. Dar da, cam asta e...
|
#9
Posted 09 September 2017 - 15:21
Quote
Frectie. N-ai ce face cu "datele" alea. Cel mai mare hot si potential criminal e statul, nu firmele sau haxorii. always encrypt your data Edited by MarianG, 09 September 2017 - 15:22. |
#10
Posted 09 September 2017 - 15:45
Se pare ca numerele de identificare sociala vor deveni din ce in ce mai usor de compromis.
Ce ziceti de introducerea unor numere /credentiale alocabile (lifecycle) (bineineteles de autoritati ale statului, la fel cum se face cu buletinele, sau pasapoartele astazi, sau cu cardul bancar? Ce parere aveti si de autentificarea/identificarea folosind dispozitive implantabile (pot fi rescrise si alea, la o adica)? Unii deja au testat cate ceva: https://www.washingt...m=.32d81df9379c Sigur, nu vorbim de imediat, vorbim de tendinte (10-20 de ani). Peste o perioada, majoritatea vor fi alfabetizati digital, am inteles ca unii iau deja pensia pe card, inclusiv in Romania. Nu stiu daca nu se va intampla chiar nimic, exista moda class action si s-ar putea, totusi, sa coste - daca nu la proces, macar in viitor, atunci cand iti asiguri un asemenea business. Edited by aaaa4567, 09 September 2017 - 15:53. |
|
#11
Posted 21 September 2017 - 02:39
Si pentru ca prostia umana nu are limite (cu scuzele de rigoare) + tot felul de trepadusi indieni ieftini, ieftini, ieftini (pai nu ne place noua ieftin? ) angajati, se intampla de din astea:
Stire: https://gizmodo.com/...ng-s-1818588764 "Dovada": https://webcache.goo...o&ct=clnk&gl=ro Pentru ca echipa de "marketing social" e antrenata si supravegheata de Grigore, mester-mare'n CS:GO, GitHub Copy&Paste si "cheap solutions". |
#12
Posted 21 September 2017 - 06:42
Nu exista nici o dovada ca au folosit "trepadusi ieftini". Problema a fost folosirea Apache Struts versiunea 2, pentru ca am primit acum citeva luni o notificare de vulnerabilitate pentru Struts 2, pe care au primit-o si ei. Stiau de vulnerabilitate cu mult inainte de a se intimpla, dar n-au facut nimic. Decizia nu a fost luata de trepadusi indieni, ci de dracu stie ce upper management dude, cu functie pompoasa de genu "Chief Technical Officer" sau "Chief Security Officer", care e platit cit toti userii Softpedia de pe aria asta la un loc
Proiectul la care lucrez acum a fost inceput in 2002 si foloseste fix Apache Struts. Versiunea 1 Toata lumea stie de vulnerabilitati, insa efortul de a schimba interfata, este nu mare, ci foarte mare, pentru ca a fost facuta ca curu, de oameni sint sigur ca foarte bine platiti, nu "trepadusi indieni". In plus, interfata web este folosita de relativ putine persoane, nu este o componenta critica Sigur ca acuma o sa le dau sa citeasca si despre povestea asta, desi nu cred ca o sa-i miste foarte mult, avind in vedere ca aplicatia nu e accesibila in lumea larga |
#13
Posted 21 September 2017 - 07:38
pai de ai schimba interfata ? struts 1 e open source, iei sursele si rezolvi problemele, nu cred ca efortul e asa mare.
oricum, nu stiu daca e vre-o problema pe struts 1 problema aia stiu ca era pe struts 2 oricum, la firmele mari, daca se gaeste o vulnerabilitate de obicei nu e chiar asa urgent de reparat , urgent e sa ai un plan de reparare, sa ai ce sa zici in sedinte . repararea propriu zisa de obicei poate sa astepte. |
#14
Posted 21 September 2017 - 09:13
Ca fost o vulnerabilitate ok, aia se rezolva intr-o zi de marti (patch Tuesday).
This vulnerability was patched on 7 March 2017*, the same day it was announced. https://blogs.apache...apache-software Ce facem cu bunele practici ? despre default username & password -- admin/admin sau despre pastrarea parolelor in clar ? |
#15
Posted 21 September 2017 - 13:48
Mosotti, on 21 septembrie 2017 - 06:42, said:
Nu exista nici o dovada ca au folosit "trepadusi ieftini". Problema a fost folosirea Apache Struts versiunea 2, pentru ca am primit acum citeva luni o notificare de vulnerabilitate pentru Struts 2, pe care au primit-o si ei. 1. Equifax (sa zicem ca ei, desi cica au subcontractat) inregistreaza domeniul equifaxsecurity2017.com 2. Planteaza acolo un Wordpress, pune niste blablauri, etc 3. Face publica problema, blabla, indreapta lumea spre equifaxsecurity2017.com 4. Un junior are o idee nastrusnica si inregitreaza domeniul securityequifax2017.com 5. Face o copie dupa equifaxsecurity2017.com si o planteaza pe domeniu + diverse modificari 6. Prin ceva tweeturi / retweeturi, echipa de săușăl media de la equifax ajunge sa twittereasca siteul-clona securityequifax2017.com [phishing, anyone?] 7. Povestea de la 6 tine cel putin vreo 2 saptamani No, ce upper management crezi ca a twitterit si invitat lumea sa se inscrie / verifice pe siteul cu bube? Edited by dexterash, 21 September 2017 - 13:48. |
|
#16
Posted 21 September 2017 - 22:51
Ca-s calici si n-au cumparat 2 domenii. Le facea gaura-n buget.
|
#17
Posted 22 September 2017 - 09:19
Io nu prevad sa se schimbe ceva in modul in care se face programare. Securitatea e ultimul lucru verificat, la marea majoritate a proiectelor. Dar daca atacurile asupra firmelor producatoare de software se intețesc .....
L.E: Update-ul sistemului e intotdeauna riscant pt. aplicatiile care ruleaza pe el. Am pațit-o cu Crystal Reports - fiecare update de .NET (în speță System.Web.dll) facea sa nu se mai randeze rapoartele web (in final au fixat cei de la CR prostia facuta). Sunt cazuri de aplicatii vechi, folosite intern - nimeni nu mai stie nimic ca să le actualizeze - am pățit si asta... Edited by shiva, 22 September 2017 - 09:22. |
#18
Posted 22 September 2017 - 09:27
In cazul asta n-ar trebui sa se numeasca "software".
|
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users