banka mě uzamčela účet
Tohle ale ne. Na základě jakých smluvních podmínek by mohla banka něco takového udělat? Až do pravomocného odsouzení nebo exekučního rozsudku nemá přece banka žádné právo blokovat přístup k majetku.
To asi neznáš aktuální banky
. Jsou schopné ti vypovědět smlouvu jen proto, že zjistí, že jsi kupoval BTC nebo se jim jinak nelíbíš. Převedou ti peníze na shadow účet jen proto, že jejich systém odhalí, že se chováš nestandardně (což může být cokoliv nového), pak musíš podstoupit kolečko spousty otázek po telefonu nebo návštěvu pobočky. Ty banky mají svoje podmínky hodně gumové, často mají termíny jako bezpečnostní incidenti nebo porušení smluvních podmínek jako důvod k blokaci.
V mém případě byl problém v tom, že nejmenovaná banka si mě najala na testy Servis24 (dnes to už není pod NDA) a vzhledem k tomu, že jsem to dělal ze stejné IP adresy (sítě) jako jsem používal svůj osobní/firemní účet, tak zablokovala i je pro porušení podmínek. Samozřejmě se to vysvětlilo, ale...
aha, ja bych cekal, ze mas testovany software na jedne masine v kanclu/laborce a z druhe masiny provadis utoky na ten software na prvni masine, pripadne, ze by vsecko mohlo bezet na localhostu jenom.
ty to musis testovat s realnym internetem jo?
Ono to je různé, samozřejmě hlavně mluvím o minulosti, kdy se to opravdu dělalo tak nějak na koleni.
Pod penetračními testy je schovaná široká rodina postupů. Izolovat aplikaci a pěkně jí potrápit je samozřejmě velmi časté a známé, ale tím neodhalíš řadu zranitelností, některé jsou schované jen v produkci. Různé voloviny v DNS, BGP, zapomenutých přístupných serverů, divergence chování produkce proti testovací verzi, různé enumerace údajů nebo útoky přes sociální inženýrství, různé uniky tokenů z mobilních aplikací atd. atd. To jsou vše také legitimní postupy a potřebuješ k nim veřejný internet, skenování, sledování, často z různých míst.
Dneska asi jen bůh umí udělat totožné testovací prostředí jako produkční (to mimochodem platí i o cloudech). Před dekádou to bylo opravdu vše dost na vodě. Dnes už je běžné, že přesný postup se dopředu zasmluvní, vyjasní, jasně se deklaruje co vše se použije, jaká jsou rizika. Ta příprava zabere daleko víc než samotná práce.
Stejně tak je různé, co se testuje. Není to binární aktivita typu průník/neprůnik, ale kontroluje se, jestli se aktivovaly správné bezpečnostní události, jestli správně dohled zareagoval, jestli reakace byla adekvátní. Jednou jsme i šli s usb flaskhou tajně do kanceláří, chytla nás ochranka při pokusu zase nepozorovaně zmizet a pak je klasické kolečko policie, vysvětlování, kontaktní osoba atd., protože prostě nemůžeš dát dopředu vědět ochrance, když právě ta je součástí bezpečnostního řetězce, že.
Ochrana IT systémů už není o tom, jestli máš zabezpečeno/otevřeno, ale jestli ti správně funguje dohled a adaptivní ochrana, jestli komunikace probíhá podle pravidel, pokud máš neomezený čas, nejspíš neodolá žádný systém. Prolíná se ním fyzický ochrana s tou digitální.
27 Odpovědí
7573 Zhlédnutí