Feda /dev/

B

Yo después de escuchar repetidas veces "me mandan este script para ejecutar, no sé que hace pero bueno" no daría permisos ni a mi madre xD

1 respuesta
Dry-Prime

#41399 "y durante todo ese tiempo se murió del asco haciendo pair programming con el resto del team"

Le pagaban por no hacer nada?

1 respuesta
Lecherito

#41399 Yo estoy en un proyecto que maneja 1 trillon de observaciones diarias y tengo acceso a produccion y todas las bases de datos.

Si tienes un 0day te lo vas a comer igual

1 1 respuesta
B

Yo tengo acceso de escritura a un repo del que dependen bastantes empresas...

Disco cifrado, comunicaciones cifradas (cuando toca), llaves GPG, sentido común y un sistema operativo que no sea un chusta en cuanto a permisos suele ser suficiente... Yo me puedo dejar el portatil en medio de la plaza del pueblo que estoy tranquilo por como cuido los datos que almaceno.

_Rpv

Yo también puedo dejar tranquilamente el portátil en mitad de la plaza del pueblo.
Una de dos: O se jode cuando se pelean por el o no tienen ni idea de ver los datos del disco duro

1 respuesta
B

#41405 jejeje no sabes tu el de la boina como le controla... pentesting de pueblo!

Mucha seguridad, muchos datos sensibles.... luego abres el winrar y lo usas a modo de explorer.exe por que el sysadmin lo instalo con permisos de administrador. (True Windows Story)

afhn

#41400 mola más cuando me empiezo a inventar cosas y a shitpostear que cuando hablan serio de cosas que deberían abrir su respectivo hilo para debatir sobre ello. A qué sí?

Wei-Yu

jokes on them I was only pretending to be retarded

1
Merkury

#41401 yo me los leo porque estas que corro algo son saber que hace.

1 respuesta
B

#41409 Así les va a algunos.

Wei-Yu

para qué me voy a leer nada si a quien le afecta es a la empresa y no a mí

mira que os gusta cargaros responsabilidades

Troyer

Si yo no reviento el server para que queremos sysadmins que lo arreglen? Creando puestos de trabajo desde 2012 jajaja salu2

1
_Rpv

Como se nota que es festivo, no oigo ni un deploy

Wei-Yu

porque los deploys fueron ayer, hoy día de todos los santos para honrar los fuegos que hubo y mañana día de todos los postmortems

Kaledros

#41402 Exacto. Mira si a ese banco le salía el dinero por las orejas que compraron un Exadata de Oracle para el proyecto y lo tenían parado porque aún no habían migrado ni la BD.

#41403 Y allá tu empresa con cómo reparta los permisos, lo que digo es que no es tan raro ver grandes empresas ultraparanoicas con estas cosas.

2 respuestas
cabron

#41397

Un 0 day es un exploit de una vulnerabilidad que todavía no ha sido publicada y para la que no existe parche, no tiene absolutamente nada que ver con instalar software nuevo, tu maravillosa lista de software elegido por el sysadmin puede tener un 0 day perfectamente, de hecho para un atacante es mucho más interesante encontrar un 0 day en una versión estable de un programa conocido que no en la última versión de programa nicho, ya que le da una superficie de ataque mucho mayor.

Luego otra cosa que me hace mucha gracia es la fe que tienes en el control férreo que los sysadmin tienen de todo, como ya te he dicho, los programadores no son usuarios normales, saben como funcionan las redes, los permisos, y cualquier otra restricción que se te ocurra. He visto con mis propios ojos como en el departamento de desarrollo se acaban pasando por el forro cualquier limitación que se les ponga y acaban usando usbs, ejecutando binarios sin instalación, etc, y usar proxys para acabar teniendo libertad total para navegar, por que sí, los sysadmins son muy responsables con la seguridad de la empresa, pero que casualidad que ellos siempre se crean un puto proxy para poder entrar en a wow-esp o a donde les apetezca saltándose cualquier restricción en la red, y los programadores los acaban encontrando.

Como te he dicho, a pesar de que vengas a darme lecciones, llevo tela de años trabajando, y he visto los modelos, así que no necesito que me expliques las ventajas e inconvenientes de cada uno.

#41397neil90:

E insisto, ¿para qué necesita privilegios administrativos un programador típico de hoy en día? Prácticamente todas las aplicaciones de hoy en día se basan en tecnologías web, y eso no requiere ningún tipo de privilegio, incluso aunque interactúen con hardware (userland).

Ese es tu problema, que te crees que el trabajo del programador se limita a una serie de tareas predeterminadas, como si fuese un usuario normal que solo tiene que abrir su herramienta de trabajo y hacer lo que tenga que hacer, así que le puedes dar una lista de programas elegidos por ti y pista.

A mi me pueden llegar un día y decirme "mira a ver como se podría hacer esto" y acabo instalando mil mierdas en mi puesto local que van desde software nuevo a otras versiones para hacer pruebas o prototipos, que se siente el sysadmin a mi lado para ir instalando todo lo que yo le diga a ver que le parece, o puedo preferir una herramienta para hacer X tarea mientras que otro compañero puede preferir otra, y al final intentar hacer una lista de software que complazca a todos es imposible, así que o les dejas instalar lo que quieran, o encontrar la forma de hacerlo.

En cualquier caso no sé a donde va a esta discusión, igual que tú eres libre de intentar poner las restricciones de seguridad que te den la gana en la empresa donde trabajes, yo soy libre de no aceptar el trabajo en una empresa donde para peerme tengo que poner un ticket a sistemas y que me den permisos, y es lo que hago actualmente, a lo mejor te piensas que me vas a hacer cambiar de idea o algo y que voy a dejar mi trabajo actual para irme a uno donde no pueda hacerlo.

#41415

Trabaja en Amazon, creo que pocas empresas más grandes te vas a encontrar, a lo mejor el truco esta en que Amazon tiene un proceso de selección muy serio para contratar gente competente, y por eso no les da miedo que tengan permisos, a lo mejor eso resulta más productivo que intentar contratar pajeets y que solo puedan escribir en mis documentos.

3 1 respuesta
B

Me acabo de enterar de la existencia de Echelon (Esta tiene más años que mi abuela) y Carnivore... a raíz de la noticia de el estudio que quiere hacer el INE con los movimientos de los móviles. Ya vivimos como en China, pero al estilo Europeo... con bastantes capas de vaselina para que no duela :d
Además del mítico SElinux que supongo este si es conocido por todos... y las tropecientas mierdas más que desconozco.

Somos ratas de laboratorio.... say hi to the CCTV!

1 respuesta
Lecherito

#41415 no es tan raro pero que no te quita de los 0day xdd

Zerokkk

#41417 Teniendo hoy en día casi todas las webs y apps con cifrado SSL/TLS, no creo que tengamos que preocuparnos mucho xD. Mismo este post que te estoy enviando, estaría cifrado si es esnifado, así que ya ves tú qué absurdez. Me imagino que también tendrá algún scraper, que ya sí podría leer esto una vez posteado en la web, pero para casos donde quieres privacidad (whatsapp, telegram) no hay de qué preocuparse.

A menos que, claro, tengan tecnología extraterrestre capaz de tener un ordenador cuántico como una puta casa, pero déjame dudarlo xD.

3 respuestas
Merkury

#41419 hombre fiarse y whatsapp en la misma frase, no se yo eh.

1 respuesta
Grise

#41419 Puedes fiarte cero del cifrando end to end de WhatsApp. En sus propias FAQ dan a entender que si el organismo competente les pide datos se los van a dar, así que tendrán algún backdoor bien chulo.

1 respuesta
Zerokkk

#41420 #41421 No si Whatsapp sé que pueden dar las claves de cifrado (supongo que las guardarán en una DB), pero me imagino que necesitarán una orden judicial para darlas. Más que nada, porque sería rematadamente ilegal hacer lo contrario (violaría la LOPD). Por lo que si no estás siendo investigado, probablemente ya habiendo sido interrogado por la policía o whatever, no debería haber preocupación alguna sobre usar Whatsapp.

Para todo lo demás, Telegram. Pero WA debería ser seguro para el 99.99% de nosotros.

1 respuesta
Markitos_182

Yo uso Signal que lo he visto en Mr. Robot

1 1 respuesta
B

#41419 Los que suele usar la gente son los que ofrecen servicios como Let's Encrypt... que son una pasada! pero ofrecen el nivel de certificación más bajo... y coño, es el tipo de certificado que usa nsa.gov :D Aunque de momento confío en la EFF.

¿Conocéis lo que es un IMSI-catcher?

HeXaN

#41423 Mentira, cabrón, que no te veo en la lista. ¿O es que me has borrado?

1 respuesta
Kaledros
#41416cabron:

a lo mejor el truco esta en que Amazon tiene un proceso de selección muy serio para contratar gente competente

Ahí hay muchísima tela que cortar y no hay proceso de selección que te libre de falsos positivos, pero sí, como mínimo te aseguras de que saben lo que hacen.

Markitos_182

#41425 Me confundes con otro pato

B

3x1 inside

Merkury

#41422 https://www.reuters.com/article/us-facebook-cyber-whatsapp-nsogroup/exclusive-whatsapp-hacked-to-spy-on-top-government-officials-at-u-s-allies-sources-idUSKBN1XA27H

Estas tu que a FB y Whatsapp les importa mucho la LOPD, pero Whatsapp debe tener mas agujeros que el copon. Aparte de que FB no va a dejar pasar la oportunidad de sacar informacion de ti.

1 respuesta
B

#41429 La gente tendría que usar Mastodon y/o Riot.im

Tema cerrado