Kulisy ruskiego ataku hakerskiego na infrastrukturę elektroenergetyczną.
tl;dr
weszli przez Fortigate (cóż za zaskoczenie)
zastali domyślne hasła, sprzęt/soft bez updatów
napsuli, nakradli
ale przeszkodą której nie udało się przeskoczyć był EDR
do katastrofy nie doszło, ale akcja i tak bardzo gruba
Krótko i treściwie:
Pełen raport od CERT w pierwszym komentarzu.
#cyberbezpieczenstwo #cybersecurity #siecikomputerowe
Pełen oficjalny raport od CERT.
https://cert.pl/uploads/docs/CERT_Polska_Raport_Incydent_Sektor_Energii_2025.pdf
30 fotowoltaik? dobrze, ze ktokolwiek zauwazyl xD wjebali sie jakiejs firemce zajmujacej sie eksploatacja i monitoringiem instalacji wlascicieli i wielka afera xD
@100mph to nie jest śmieszne tylko tragiczne, skoro taki mały włam mógł spowodować blackout w całej Polsce
@Endrevoir jaki blackout? 30 fotowoltaik żadnego blackoutu nie spowoduje xD SEE nawet nie odczuje jak mu tyle mocy odpadnie
czyli nic nie zabezpieczone xD kura w kryczynej infra
@konrad1 Ma być tanio xD
Kto miał styczność ten się z tego cyrku nie śmieje.
Czasem są takie braki że głowa mała, ostatnio widziałem jak ktoś kupił firewalle za 1 mln zł aby później leżały na półce w magazynie...
@konrad1 zycie ;) farmy fotowoltaiczne budowane po kosztach i utrzymywane po kosztach do tego stopnia, ze nikt nie pamieta o koszeniu traw do momentu gdy na ktorejs potrzebna jest interwencja strazy pozarnej xD
Zaloguj się aby komentować
Implementacja NIS2 w postaci ustawy o krajowym systemie cyberbezpieczeństwa trafi do prezydenta.
SEJM oraz SENAT przegłosowali bardzo sprawnie.
Czy prezydent podpisze? Uważam że zdecydowanie tak. Niemal cały pis głosowało ZA.
ps. to nie tak polityka, ustawa zrobi (albo już robi) sporo zamieszania w szeregach wysokich stołków oraz u osób zarządzających sieciami komputerowymi.
Zacznie się żer dostawców/producentów/dystrybutorów na bezbronnych stołkach z zasobnym portfelem.
Dlaczego? Ponieważ pojawia się odpowiedzialność finansowa osób decyzyjnych, a handlowiec obieca wymianę worka pieniędzy na "bezpieczeństwo" i "spełnienie wymogów NIS2".
#cyberbezpieczenstwo #cybersecurity #IT #sysadmin #siecikomputerowe
Zaloguj się aby komentować
Nowa forma oszustwa i wyłudzeń.
tl/dr - dostajesz blika, ktoś się do Ciebie odzywa że to pomyłka i żąda zwrotu pieniędzy blikiem na numer telefonu XXX. Zwracasz pieniądze (błąd), za jakiś czas odzywa się numer z którego dostałeś wpłatę z żądaniem wyjaśnień dlaczego nie dostał jeszcze paczki i gdzie są jego pieniądze -> kwik...
Co robić:
Skontaktuj się z bankiem, zwrot przelewu może zostać przeprowadzony wyłącznie przez bank w ramach oficjalnej procedury wyjaśniającej.
O co chodzi? Twój numer telefonu może zostać podany w fikcyjnym ogłoszeniu jako numer do zapłaty za towar. Jeśli dostaniesz niespodziewany przelew BLIK od osoby, której nie znasz, nie odsyłaj samodzielnie pieniędzy! To nowy schemat oszustwa, w którym złodziej manipuluje dwiema ofiarami – kupującym i osobą, której numer był podany do przelewu. Na czym polega oszustwo?
Przestępcy zamieszczają fikcyjne ogłoszenia dotyczące sprzedaży jakiegoś towaru z opcją płatności BLIKiem. Numer telefonu podany w ogłoszeniu należy do przypadkowej osoby.
Kupujący płaci za nieistniejący towar, a pieniądze trafiają na konto osoby, której numer telefonu został bez jej wiedzy wskazany w ogłoszeniu.
Po chwili oszuści kontaktują się z właścicielem numeru telefonu, na którego konto trafiły pieniądze i nalegają na ich pilny zwrot. Proszą o przelew na inny numer telefonu lub konta niż ten, z którego zostały przelane pieniądze.
Oszuści wywołują presję czasu, by skłonić ofiarę do szybkiego odesłania pieniędzy. Tymczasem samodzielne wykonanie przelewu zwrotnego pozbawia ofiarę ochrony banku i może narazić na podejrzenie udziału w oszustwie.
Oszustwo wychodzi na jaw, gdy kupujący nie otrzymuje towaru i kontaktuje się z osobą, na której numer telefonu wpłacił pieniądze. Często sprawa jest od razu zgłaszana na policję lub do platformy sprzedażowej.
Pamiętaj!
Nie odsyłaj pieniędzy samodzielnie. Zwrot przelewu - jeśli to faktycznie pomyłka - może zostać przeprowadzony wyłącznie przez bank w ramach oficjalnej procedury wyjaśniającej.
Nie generuj nowych kodów BLIK i nie potwierdzaj żadnych dyspozycji zewnętrznych.
Jeżeli ktoś naciska, grozi lub nalega na "grzecznościowy zwrot" - zachowaj spokój i nie ulegaj presji.
Jak najszybciej skontaktuj się ze swoim bankiem przez oficjalną infolinię lub aplikację i zgłoś sprawę.
Jeśli otrzymane środki nie są Twoje - nie możesz ich używać ani zatrzymać. Może to zostać uznane za przywłaszczenie.
Ostrzeż bliskich i znajomych. Szczególnie tych, którzy mogą być bardziej podatni na manipulację, w tym osoby starsze.
#scam #cyberbezpieczenstwo #cybersecurity
Jeśli otrzymane środki nie są Twoje - nie możesz ich używać ani zatrzymać. Może to zostać uznane za przywłaszczenie.
@Marchew no dobra- głupie pytanie bo serio się nie znam- a co jakbyś miał wyjebane? W sensie- ktoś przelał ci kasę. Powiedzmy że ten oszust. Na twój numer telefonu, wpisując go raczej świadomie i tak samo świadomie klikając "wyślij". Tego raczej się nie zrobi przez przypadek jak ci się telefon w kieszeni odblokuje, albo przez sen, więc czy to serio się łapie pod przywłaszczenie? Nie może on pójść do banku i zgłosić takiej sytuacji ze swojej strony prosząc o wycofanie przelewu? Bo jeśli nie, bo usłyszy, że sam rozmyślnie przelał te pieniądze i tyle w temacie... no to w sumie czemu ty nagle masz być tym złym, jak nie będziesz pilnował jego własnego interesu?
@NiebieskiSzpadelNihilizmu to nie oszust ci przelewa kasę
@Marchew jak ja bym dostał takiego bliczka, to bym w życiu nic nie odesłał przez telefon . Zaprosiłbym po odbiór gotówki
przerażająco sprytne.
@maly_ludek_lego Przerażająco sprytne, ale tylko wobec niepełnosprytnych.
Wystarczy kierować się zasadą, że nienależne pieniądze odsyłamy wyłącznie do nadawcy.
@dziedzicpruski ale CI scamerzy podają sie za nadawcę wlaśnie
Zaloguj się aby komentować
#cybersecurity #monitoring #zabbix #cybersecurity
Często widzę, że w małych i średnich firmach monitoring sieci to wciąż zestaw kilku skryptów i alertów e-mail, które nikt nie analizuje na bieżąco.
W praktyce podczas pracy z SIEM i Zabbix napotykam kilka wyzwań:
Alerty zalewają operatorów, a nie wszystkie są faktycznie istotne – ważna jest korelacja zdarzeń i priorytetyzacja.
Wykrywanie incydentów w czasie rzeczywistym wymaga nie tylko narzędzi, ale też dobrze przygotowanych playbooków reagowania.
Integracja danych z różnych źródeł (serwery, sieć, aplikacje) pozwala szybciej identyfikować problemy i potencjalne zagrożenia.
Ciekawi mnie, jak w Waszych środowiskach radzicie sobie z filtrowaniem alertów i reakcją na nie w czasie rzeczywistym – macie jakieś sprawdzone metody lub obserwacje?
I tak zglosozne choć blokujesz
Zaloguj się aby komentować
Cyberprzestępcy znaleźli sposób na obejście zabezpieczeń jednego z największych serwisów rezerwacyjnych świata. Wykorzystując phishing wymierzony nie w samą platformę, ale w systemy hoteli i pensjonatów, przejmują kontrolę nad kontaktami z gośćmi wewnątrz oficjalnej aplikacji Booking.com....
#cybersecurity #cyberbezpieczenstwo #polska2050 #polityka
Co za mózg XD
Ja pi⁎⁎⁎⁎le, ale winne są oczywiście internetowe głosowanie XD
@ZohanTSW moze to lepiej,ze w tym kraju nie ma glosowania online...
@Deykun polityki w tym kraju to nie są najostrzejsze kredki w piórniku a to jeden z przykładów
Zaloguj się aby komentować
Zaloguj się aby komentować
Na polskim i europejskim rynku pojawia się coraz więcej inteligentnych samochodów (智能网联汽车; Intelligent & Connected Vehicles; ICV), czyli aut wyposażonych w technologie łączności, które umożliwiają skanowanie otoczenia, geolokalizację, komunikację z infrastrukturą i zdalne usługi w czasie...
"Zidentyfikowany został atak hakerski na Urząd Zamówień Publicznych" - poinformował w poniedziałek Krzysztof Gawkowski, wicepremier i minister cyfryzacji. "Cyberprzestępcy uzyskali dostęp do skrzynek poczty elektronicznej pracowników UZP oraz KIO" - dodał polityk. Sprawa została...
Atak hackerski na Dom Development. Wyciekły dane pracowników / klientów / potencjalnych klientów.
Najprawdopodobniej DD nie ma pojęcia co wyleciało, więc wypisał wszystko.
Atak dotknął nie tylko spółkę-matkę, ale cały ekosystem grupy kapitałowej. Na liście poszkodowanych podmiotów znajdują się oddziały we Wrocławiu i Krakowie, spółka kredytowa, Dom Construction, a także trójmiejski Euro Styl S.A. oraz Fundacja Nasz Dom.
Co wyciekło?
Zakres wykradzionych klientów / potencjalnych klientów:
imię i nazwisko,
adres zamieszkania,
adres zameldowania,
numer i rodzaj dokumentu tożsamości,
data ważności i organ wydający dokument tożsamości,
PESEL,
numer rachunku bankowego,
adres mailowy,
numer telefonu,
stan cywilny,
numer księgi wieczystej,
informacja o prowadzonej działalności gospodarczej,
wysokość zadłużenia,
dane dotyczące roszczeń,
dane dotyczące transakcji i zakupionych produktów.
Dla pracowników / współpracowników / członków ich rodzin:
imię i nazwisko,
PESEL,
NIP lub nr i seria dowodu osobistego, w tym wizerunek,
adres zameldowania,
adres zamieszkania,
adres korespondencyjny,
numer telefonu lub adres e-mail, wynagrodzenie,
numer rachunku bankowego, dane dotyczące badań trzeźwości
Dodatkowo: informacje nt. członków rodziny – dzieci pracownika:
imiona i nazwiska,
daty urodzenia dzieci,
numer PESEL,
adres zamieszkania
Pozostali członkowie rodziny oraz partnerzy życiowi:
imię i nazwisko,
data urodzenia,
PESEL,
stopień pokrewieństwa.
#cyberbezpieczenstwo #cybersecurity
@Marchew Ała.
Przeczytałem "atak harcerski na dom development" xd
Ciekawe czy kiedyś nauczę się czytać, chyba już nie.
Zaloguj się aby komentować
Notepad++
Hackers intercepted auto-updater traffic to download malicious files.
The developers of Notepad++ recently discovered an actively exploited vulnerability that enabled hackers to hijack the popular editor's automatic updater. Version 8.8.9 addresses the issue, but users should avoid relying on the updater in earlier releases and instead download the latest installer directly from the Notepad++ website.
Although Notepad++ developers are still investigating the issue.
#cyberbezpieczenstwo #cybersecurity
Zaloguj się aby komentować
#cyberbezpieczenstwo #cybersecurity #ai & źródło
AMOS Stealer wykorzystuje zaufanie do AI: Malware dostarczany przez ChatGPT i Grok
5 grudnia 2025 r. Huntress przeanalizował alert dotyczący Atomic macOS Stealer (AMOS), który początkowo wyglądał rutynowo: eksfiltracja danych, standardowa persystencja AMOS i brak nietypowych wskaźników łańcucha infekcji w telemetrii. Spodziewaliśmy się standardowych wektorów dostarczenia: linku phishingowego, spreparowanego instalatora albo przynęty typu ClickFix. Niczego takiego jednak nie było — żadnego maila phishingowego, żadnego złośliwego instalatora i żadnej znanej przynęty w stylu ClickFix.
https://www.huntress.com/blog/amos-stealer-chatgpt-grok-ai-trust
@Deykun Zobaczyłem AMOS i się zacząłem zastanawiać co Amiga ma wspólnego z AI
Zaloguj się aby komentować
Siedzę na audycie IT z asseorem...luźna refluksja nt temat tego jak wygląda UX/UI jakiejś tam apki pisanej na starą Windę (okolice 2006-2008). Rzucam tekstem, że "to jest tak siermiężne i fchuj nieużywalne jakbyśmy korzystali z "Nestacape Navigator" w 2025!""
2 minuty pauzy i odzywa sie młody koleżka z mojego zespolu:
"- Karwa, aż musiałem wyguglać co to za technologia i o czym gadacie bo nigdy o tym nie słyszałem xD"
Dobrze, ze nie wspomniałem, że administrowałem onegdaj sieciami Novel Network na topologii BMC a IMO audytor też mógł kminić to co za tech I ugułem by sie spotkanie moglo przeciągnąć niepotrzebnie bo #stareludzia lubią sie nostalgować.. Lucky me ¯\_(ツ)_/¯
Trochę poczułem się staro 🙃.
EDIT: ciekawostka - współczesne zarabiarki do kabli ethernetowych nadal mają (chyba) zaciski do BMC. Przynajmniej ta która kupiłem 5 lat temu!
"- Anrzeju, zastanów sie czy pół dekady to nadal "spółczesne?" 😀
#cybersecurity #stareludzia #konkutery #bezsennosc
@AndrzejZupa Dopiero teraz doczytałem o zaciskarce. To jest BNC, nie BMC. (Bayonet Neill-Concelman). Borze, też ciągałem takie sieci po akademiku. Raz nawet musiałem użyć swoich umiejętności wspinaczkowych, żeby wywiercić dziury i przeciągnąć kabel pomiędzy 7 i 4 piętrem (czego się nie robi dla koleżanek). Wisiałem wówczas na linie za oknem z wiertarką, a cała żeńska część akademika wstrzymywała oddech ze stresu xD.
@zed123 - a opłaciło się ryzykować życie i zdrowie?
@koszotorobur Jeszcze jak! ( ͡~ ͜ʖ ͡°)
@AndrzejZupa jestem audytorem bezpieczeństwa informacji i jakby ktoś przy mnie ku⁎⁎⁎mi rzucał na audycie to szybko by atmosfera audytu siadła xD
@Budo xD?
Jakie masz "papierki" na te "audyty" kolego? 😀. Z ciekawości ...
To nie jest rzucanie kurwami, bo wypada...audtor IT to też człowiek i jeśli jest "ogarniety" to filtruje takie sygnaly i "sobie poradzi".
Też jestem, jak Ty to nazywasz "audytorem bezpieczeństwa informacji", ale mam wincyj plakietek z obszaru IT Sec też ¯\_(ツ)_/¯
(jestem audytowany, ale wiem jak audytor powinien się zachowywać).
Jeśli sposób przekazu wpływa na Twoją ocenę jednostki audytowanej to jesteś na prostej drodze do utraty uprawnień. #codeofethics
W mojej skromnej opinii challenge'owanie mnie nie ma sensu, ale fajnie byłoby nawiązać "współpracę". O ile jesteś intrested in.
@AndrzejZupa audytor wiodący iso 27001:2022 (BSI), oprócz tego audytor wewnętrzny iso 13485:2016 (BSI, SGS).
Nie, nie jestem na prostej drodze do utraty uprawnień, profesjonalizm to jest podstawa każdego audytu, zarówno po stronie audytora, jak i audytowanego. Jednym z elementów profesjonalizmu jest odpowiedni język. Zajmuję się audytami od ponad dekady, audytowałem w różnych krajach i nikt nigdy nie przeklął mocniej niż cholera, czy odpowiednik i to też się zdarzyło może raz, czy dwa.
Pytanie - czy Twój audyt to był audyt zewnętrzny, skutkujący uzyskaniem, lub przedłużeniem certyfikatu?
Jeśli chodzi o bezpieczeństwo informacji, to nie "ja to nazywam", tylko to jest oficjalna nazwa systemów zarządzania jakością iso 27001:2022.
Znowu terminator się poluzował
Zaloguj się aby komentować
jako, że mam stronę-wizytówkę, w logach od dawna obserwuję zainteresowanie podatnościami wordpressa.
Tyle, że nie mam wordpressa, statyczna strona składa się z 1 pliku html i 1 pliku graficznego.
Chcąc jednak zniechęcić poszukujących dziur wordpressowych odwiedzajacych, wyedytowałem sobie plik .htaccess - bazując na logach odwiedzin.
RewriteOptions inherit
Options -Indexes
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/wp-admin* [OR]
RewriteCond %{REQUEST_URI} ^/wp-content* [OR]
RewriteCond %{REQUEST_URI} ^/wp-includes/* [OR]
RewriteCond %{REQUEST_URI} ^/wp-mail.php [OR]
RewriteCond %{REQUEST_URI} ^/wp-signin.php [OR]
RewriteCond %{REQUEST_URI} ^/wp-update.php [OR]
RewriteCond %{REQUEST_URI} ^/wp.php [OR]
RewriteCond %{REQUEST_URI} ^/xmrlpc.php [OR]
RewriteCond %{REQUEST_URI} ^/admin.php [OR]
RewriteCond %{REQUEST_URI} ^/admin/* [OR]
RewriteCond %{REQUEST_URI} ^.*/xmrlpc\.php
RewriteRule ^.*$ http://goatseXXXXX.ru/ [R=301,L]
(tylko oczywiście bez tych 'XXXXX' ... nie chcę by ktoś tutaj nie-celowo trafił na gore-site). Póki co nie było skarg
#hosting #selfhosted #cybersecurity #webdev a trochę też #gore
A to jest standard. Na każdą moją stronę dostaje dziennie setki requestów do popularnych paneli cms, głównie Wordpress. Możesz sobie też wyśledzić po ip skąd to będzie głównie Rosja i Chiny. Mogą sobie uderzać do Wordpressa jak ja nawet nie znam PHP i każda moja strona czy jej API są w Node.js, Go lub to są proste statyczne xD.
@Catharsis od lat robię tak, że wycinam wszystko co nie jest zachodnim światem. Redukuje to ilość syfu o jakieś 99%, a potem dorzeźbienie pozostałego syfu. Do tej pory tylko jeden z Indii się trafił z pretensjami.
@Catharsis no to robiłem od lat, Chiny, Rosja, Kazachstan, trochę Ukrainy, różne Azje. Ponieważ nie mam tam klientów i nie planuję, to wycinałem w htaccessie całe bloki adresowe z których przychodziły ataki, czasem /32, a czasem nawet /12. Ale potem mi się odechciało, wywalilałem potem tylko takich najbardziej notorycznych.
# Chinese (CN) IP addresses follow:
deny from 1.68.0.0/14
deny from 1.80.0.0/13
deny from 1.92.0.0/14
deny from 1.192.0.0/13
deny from 1.202.0.0/15
deny from 1.204.0.0/14
deny from 14.144.0.0/12
deny from 14.208.0.0/12
deny from 23.80.54.0/24
deny from 23.104.141.0/24
deny from 23.105.14.0/24
deny from 23.226.208.0/24
deny from 27.8.0.0/13
deny from 27.16.0.0/12
deny from 27.36.0.0/14
deny from 27.40.0.0/13
Zaloguj się aby komentować
Rzadko mi się to zdarza (na szczęśliwości), ale czasami wpada spotkanie świąteczne w społeczności CSO/CISO. I wtem zwykły czarnuch z IT przepoczwarza sie w korpoludka "żeby tym na górze żyło się ze świadomością "it's fine!"" Żartuję - społeczność CSO/CISO to mega support w ramach wymiany doświadczeń, edukacji nt sec i szeroko rozumianego networking. ᕦ( ͡° ͜ʖ ͡°)ᕤ
Taaak, to pierwszy Andzej w garniaku tutej. 🙃 #cybersecurity #security #it #brandzlowaniesieitsec #spolecznosc #jebacbiede
Zaloguj się aby komentować
Scam na fałszywą legitymację bankową (° ͜ʖ °)
Przeraża mnie że są ludzie którzy się na to nabiorą ( ͡° ʖ̯ ͡°)
CSIRT KNF informuje o nowej fali vishingu. Przestępcy wykorzystują generowane przez AI fałszywe legitymacje bankowe, aby wzbudzić zaufanie ofiary i nakłonić ją do działania.
#cyberbezpieczenstwo #cybersecurity #scam
Proszę mnie przepuścić. Ja mam paszport santandera
@kodyak ja ma upoważnienie od dra Oetkera
Zaloguj się aby komentować
Meta w formie, 3,5 mld zestawów: numer telefonu, nazwa, zdjęcie profilowe za free dla każdego.
Wiedzieli od 2017 roku i nic nie zrobili (° ͜ʖ °)
Odkryli to austriaccy naukowcy, którym udało się uzyskać numery telefonów wszystkich 3,5 miliarda użytkowników WhatsApp. W przypadku około 57% z tych 3,5 miliarda użytkowników naukowcy uzyskali również dostęp do ich zdjęć profilowych, a w przypadku kolejnych 29% – do treści ich profili.
Jeśli zastanawiasz się, jakiej magicznej sztuczki hakerskiej musieli użyć, to odpowiedź brzmi: żadnej. W zasadzie po prostu próbowali dodać miliardy numerów – tak samo, jak zrobiłbyś to ty. Dodajesz numer, a WhatsApp informuje cię, czy osoba korzystająca z tego numeru ma konto, i pokazuje jej zdjęcie profilowe oraz treść konta.
Właśnie to zrobili naukowcy, tyle że na ogromną skalę, korzystając z WhatsApp Web, interfejsu przeglądarkowego tej usługi. Na początku tego roku byli w stanie sprawdzić około 100 milionów numerów telefonów na godzinę, ponieważ pomimo tego, że firma Meta, właściciel WhatsApp, została ostrzeżona o tym problemie w 2017 roku przez innego badacza, nie podjęła żadnych działań w tej sprawie.
Na szczęście austriaccy naukowcy poinformowali firmę o tym problemie w kwietniu, a do października firma wdrożyła ograniczenia szybkości, aby zapobiec tak masowemu wykrywaniu kontaktów. Oczywiście nie było to wdrażane przez wiele, wiele lat, podczas których każdy rodzaj nieuczciwego podmiotu mógł wykorzystać ten system.
Ze swojej strony Meta podkreśliła, że wszystkie te dane są „podstawowymi informacjami dostępnymi publicznie” i że zdjęcia profilowe i teksty nie były ujawniane użytkownikom, którzy zdecydowali się je ustawić jako prywatne. Firma zapewnia również wszystkich, że „nie znalazła żadnych dowodów na to, że złośliwi aktorzy nadużywali tego wektora” i „żadne dane niepubliczne nie były dostępne dla badaczy”.
Źródło:
https://www.gsmarena.com/whatsapp_easily_exposed_35_billion_peoples_phone_numbers-news-70350.php
#cyberbezpieczenstwo #cybersecurity
Najgorzej że wyciekły numery PIN do kart sim! Tutaj lista:
https://pastebin.com/raw/ajDKBXuA
Sprawdź swój - jeżeli znajduje się na liście koniecznie go zmień!
Zaloguj się aby komentować
" - Co ty masz z tego łażenia na te konferunsje? - No szpej do łażenia po konferunsjach!" ¯\_(ツ)_/¯ #kolosiezamyka #cybersecurity
"Gdy z przyzwyczajenia rubież zakupy w smyku"
@PanNiepoprawny
@AndrzejZupa
Nie dorosłem do swych lat
Masz mnie za nic dobrześ zgadł
Jak tak można pytam was
Tyle lat marnować czas
Nauczyłem w życiu się
Paru rzeczy wszystkich źle
Ale moją dróżką idź
Gdy się już nie daje żyć
( ͡° ͜ʖ ͡°)
Zaloguj się aby komentować
Pierwszy raz w życiu potrzebuję CodeSigning certificate i próbuję w wolnych chwilach doczytać jak to działa. Z tego co widzę, to po zakupie OV nie dostaję po prostu pliku tylko on od razu musi być na jednej ze "wspieranych" platform?
Mam trochę dziwną sytuację bo infra wróciła z poziomu dużego korpo do czegoś pomiędzy SOHO, a korpo. 2-3 osoby będą podpisywać regularnie, kilka od święta i teraz pytanie jak to ugryźć?
Z tego co widzę to mam opcje. :
Płacę miesięcznie za chmurę w ssl.com, jako że wielu użytkowników to muszę użyć droższego tier 2, ale przynajmniej rozsyłam credentiale i zapominam o temacie z mojej strony?
Kupuję Yubikeya z FIPS od ww. i mam go na stałe i za darmo (a przynajmniej do wygaśnięcia i przedłużania certa). Potem mogę (czy nie mogę?) go sobie skopiować na kolejny Yubikey z FIPS, którego kupię sam w normalnej cenie? Czy może jest jakiś proces gdzie zdalnie wrzucę klucz na mojego Yubikey'a (-keye)?
Po zakupie wskazuję AWS/Azure jako przechowalnię klucza i potem klucz jest już przechowywany i udostępniany w ich HSM. Zakładam, że obie opcje są dodatkowo płatne? W Azure nie widzę oczywistego cennika, po prostu próbuje mi dać triala na jakieś usługi, ale w AWS widzę koszt 1,45$ za godzinę gdy jest po prostu aktywny. Czyli samo włączenie HSM od razu daje mi kosmiczny koszt Oo? Azure ma podobnie?
PS: Etap "zrób self-signed i po prostu roześlij przez Intune'a" mam już za sobą, nie wystarczy
#cyberbezpieczenstwo #cybersecurity #devops #nis2
No elo.
A jaki jest właściwie sens przerzucania klucza z jednego miejsca w inne? Wszystkie te yubikeye i inne HSMy są po to żeby klucz ich nigdy nie opuszczał.
Nie wiem jak działa code signing ale czy jest możliwe uzyskanie od jakiegoś CA certyfikatu intermediate CA do podpisywania innych certyfikatów? Wtedy każdy podpisujący mógłby używać własnego Yubi a lista CRL załatwiałby sprawę wygaszonych certyfikatów.
Yubikey czy tam inny smartCard to taki bieda hsm. Ma tylko jeden slot i jeden pin - może przechowywać wiele kluczy/certyfikatów. Producent dostarcza oprogramowanie za pomocą którego wgrywasz na niego klucze i certyfikaty. Do samego podpisu, który będzie rozpoznawany przez wszystkie urządzenia musisz wybrać zaufanego dostawcę który zweryfikuje i podpisze Twój certificate sign request. Wtedy tworzy się łańcuch kluczy który będzie używany do walidacji Twoich podpisów. Teraz wszystko zależy od tego jaki poziom bezpieczeństwa musisz osiągnąć. Jeżeli nie chcesz bezpieczeństwa, tylko po prostu coś podpisać, to rozdajesz klucz i certyfikat pracownikom i zwalniasz się z pracy zanim wszystko wybuchnie. Nastepnym poziomem jest zapakowanie tego klucza do smartCard, czyli tego yubikey lub wygenerowanie klucza prywatnego bezpośrednio na yubikey, później certyfikatu i csr. Nastepnym poziomem jest to co wspomniał kolega wyżej, czyli stworzenie i podpisanie certyfikatu intermediate który ma w polu KeyUsage cRLSign/keyCertSign (rfc5280) co pozwala na stworzenie dowolnej liczy certyfikatów dla pracowników. Oczywiście każdy z nich na osobnym yubikey lub osobnym slocie hsm. Ogolnie u mnie wygląda to tak że produkcyjnymi kluczami podpisujemy tylko produkcyjny software/firmware. Pracownicy wrzucają kod do gita walidując się po ldap. Każdy projekt ma osobny slot hsm i średnio 3 osoby na projekt mają pin do podpisu o który bezpiecznie pyta jenkins signing job. Infra przeszła audyt BSI a klienci to światowa topka, urzędy i wojsko. Wszystkie certyfikaty są self signed 🥰
@raczej_dobrze
Dzięki, rozjaśniłeś mi to w głowie.
A więc plan ogólny w postaci wydzielenia 2 czy 3 "dzierżycieli" klucza jest ok. Nie potrzebuję dodatkowych chmur, etc. a tylko odpowiedniego "pena" (bo firma już kupiła, ale bez certa FIPS :)). A lepiej, mogę też zrobić sobie intermediate-CA co już w ogóle jest spoko bo pozwoli identyfikować devów w razie problemów. Czyli de facto nie ma tutaj magii, standardowe PKI. Tylko, że opisali to tak, że z moim ograniczonym zrozumieniem (zawsze miałem "kogoś od PKI" ;)) się już pogubiłem.
@Aramil A czy potrzebujesz certyfikacji FIPS? Jeśli w cały biznes nie są gdzieś wplątane instytucje rządu federalnego USA albo schematy płatności związane z PCI czy inne dokumenty regulacyjne powołujące się na FIPS to sama certyfikacja jest trochę kwiatkiem do kożucha.
Zaloguj się aby komentować
24 711 880 - 120 = 247 118 680 Pomimo konfy coś tam dopchnąłem. Gifty z konfy załączam. ¯\_(ツ)_/¯
#pompujwpoprzekziemi #cybersecurity #koty
Liczby w kosmos wysłałeś
Zaloguj się aby komentować
