Amikor a szakértő és a marketinges nem ért egyet...abból igen vicces dolgok kerekedhetnek ki.
Így járt ezzel a Cookiebot nevű szolgáltató, akinek a megoldása lehetővé teszi a website-okon belüli cookie és tracking kódok vizsgálatát, nyilvántartását (és jópár egyéb igen hasznos funkciót).
A Cookiebot ingyenesen lehetővé teszi „kipróbálási célzattal” a saját weboldalunk vizsgálatát „Free GDPR/ePR test” néven, amelyhez meg kell adnunk a website címét – valamint az email címünket, ahova a riport eredményt továbbítja.
A vicc ebben csak az, hogy nem próbálhatjuk ki a vizsgálatot (scan-t), amíg nem kattintjuk be a hírlevélre történő feliratkozást! Hatalmas megalol!!!!!!!!!
A GDPR ugyanis kerek-perec kimondja, hogy az adatkezelés hozzájáruláson alapul, a hozzájárulásnak nemcsak önkéntesnek kell lennie, de a hozzájárulás megtagadása nem válhat az érintett kárára – azaz a hozzájárulás megtagadása nem lehet indoka a szolgáltatás megtagadásának.
“42 - A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.”
„(7/4) Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.”
Szóval az a gyakorlat, hogy a Cookiebot nem engedi a kipróbálás célú scannelést – erősen ütközik a GDPR 42-es pontjával és a 7-es cikk 4-es pontjával (mindamellett, hogy egyébként semmiféle tájékoztatást nem ad ilyenkor a cég az adatkezelésről, amelyet a GDPR szintén elvárna ugye).
Szóval ez kimondottan vicces. Itt egy szolgáltatás, amely szándéka szerint segíti a GDPR felkészülést/betartást – de igazából GDPR-sértő módon követeli ki magának a hírlevelekre való feliratkozást – különben ki sem tudod próbálni.
Megérkezett az „Egy hacker élete” websorozat új epizódja!
A sorozatot fiatalok számára a NUPS CyberSec – azaz a Nemzeti Közszolgálati Egyetemen működő kiberbiztonsággal foglalkozó Kutatóműhely készíti abból a célból, hogy a fiatalok megismerhessék a kibertámadások és kiberaktivitások hátterét, módszereit – és következményeit.
Aki esetleg lemaradt volna a korábbi epizódokról, az a Hogyvoltban elolvashatja illetve természetesen meg is nézheti az epizódokat.
Az előző epizódnak ott lett vége egy ütős kliffbarnszal, hogy Samu a Nemzeti Kiberbiztonsági Hivatal főtisztjeként egyre többet lát a titkos háborúból.
Lelki válságot él át, hiszen a Hivatal már mindent és mindenkit megfigyel. Samunak ugyan nagyon tetszik a technológia, és hisz abban, hogy ez segíti a Hivatal munkáját, de azt is látja, hogy a főnökei – az Ezredessel az élen – nemigazán próbálnak határt szabni a megfigyeléseknek.
Samuban az évek alatt egyre gyűlnek a kétségek. Vajon minden állampolgár minden adatát be kell gyűjteni?! Bármilyen megfigyelést el lehet rendelni?
Nos nem akarom elspoilerezni az epizódot, de semmi váratlan nem fog történni. Sajnos az epizód nem nő fel a korábbiakhoz :(
Az előző rész lezárása brutálisan ütősre sikerült, tényleg ott a körömrágós kérdés, vajon Samu a lelkiismeretére hallgat, vagy pedig jó tisztként tovább szolgál. A jelen epizódban viszont semmi extra nincs: monoton dramaturgia mellett Samu akcióba lép.
Az akció meglehetősen klisés, a szivárogtatás módszere igen amatőrre sikerül, majd az egész menekülési akció is fáradt és letargikus. A végjátékban Samut utoléri az elkerülhetetlen – én pedig végig azon gondolkodtam, hogy ez az ötlettelen lezárás mennyire írható a dramaturg és mennyire az „elvárás – jogos bűnhődés számlájára.
Megmondom őszintén, kissé csalódott vagyok, ennél sokkal de sokkal többet kellett volna beletenni a részbe. Szomorú is vagyok, mert amilyen poénos és dinamikus volt a korábbi pár epizód, olyan halovány lett a végjáték. Kár.
De azért...
Nem szabad leírni a sorozatot, mert váratlanul méltóan újszerűt húzott az alkotógárda!!!! Megjelent egy alternatív epizód, azaz egy „mi lett volna ha” rész! Igen, ez frankó!
Emlékszünk, Samu barátunk merészet kockáztatott, amikor nem csak a szerelmét vallotta be Bettynek, de azt is elmondta, hogy ő törte fel az iskolai e-naplót, ezzel megmentve Bettyt a bukástól.
Betty az eredeti idővonalon természetesen értékelte Samu önfeláldozó tettét, ebben az alternatív részben azonban nem hogy nem értékeli, de egyenesen feljelenti Samut az osztályfőnöknél!
Innentől kezdve Samu korábbi világa megsemmisül, az alternatív idővonalon a kicsapást a gyorséttermi munka és az éjszakai hackelések követik. Samu nappal éttermezik, éjszaka azonban az Anonymous hacktivista csoport ászaként korrupt politikust üldöz és vadászik le.
Természetesen a sorozat alkotói itt is odafigyeltek a következményekre – Samu az alternatív történetben is elnyeri méltó büntetését.
A börtöncellába lépve, a 150 kilós, agyonvarrt, pokolangyala-kinézetű (félmigráns) cellatárs rádörren Samura:
- Itten én vagyok a főtökös, csíra, a te neved meg ezentúl Betty!
Én eddig is hatalmas rajongója voltam Krasznany Csaba doktorúrnak (Büszke viselője vagyok a Krasznay Inside pólómnak), de most ismét leborulok a Doktorúr lába elé, és megcsókolom a földet is, melyen tapodott.
Csaba egy csodálatos sorozatra hívta fel a figyelmemet, amelyet a NUPS CyberSec – azaz a Nemzeti Közszolgálati Egyetemen működő kiberbiztonsággal foglalkozó Kutatóműhely – készített, és amely agyonveri a Mr. Robot, sőt, ki merem mondani, hogy a méltán népszerű és legendás Hacktion sorozatokat is.
A sorozat „Egy hacker élete” címmel forog, és minden van benne, aminek egy jó sorozatban lennie kell: hacker, szerelem, lelki válság, humor. Egyedül kisgyereket és kutyát nem vonultattak még fel, amelyek természetesen elemi részei egy jó filmnek vagy sorozatnak, de a mű ezek nélkül is tökéletes.
Eddig négy epizód jelent meg, és olyan erővel szögezett a jutubhoz, és annyiszor néztem meg a részeket, hogy a Telekom értesítése szerint 80%-át elhasználtam a 2GB-os adatkeretemnek. De megérte.
(UPDATE: a hogyvolt NEM baszogatás, vagy lehúzás, TÉNYLEG rohadtul teccik a sorozat!!!!)
*** SPOILER ALERT *** - Az epizódok ismeretője alatt van belinkelve az adott rész, szóval aki nem szereti a spoilereket, előbb nézze meg a részeket! ****
1. Epizód - Start
Az első epizód egy iskolai jelnettel indul, ahol megismerjük a matekórán unatkozó főhőst, aki első pillanatra igencsak emlékeztet egy hobbitra.
Erre rá is játszanak, hiszen felvillantanak pár hobbitos poént is. Az első epizódot így foglalja össze az alkotógárda:
A Nemzeti Közszolgálati Egyetem kiberbiztonsági filmjének első fejezete, melyben megismerheti a hackerek típusait és a különböző hackerek motivációit, áttekintést kap a cyberbullying jelenségéről és a védekezés módjairól, megtudhatja, hogy a kiszivárogtatások miért veszélyesek Önre és a számítógépén tárolt adatokra.
Ifjú leendő hekkerünk a matekórán unatkozik, hiszen már 11.-ig megvolt a matek ötöse úgy, hogy egyáltalán nem kellett tanulnia. A figyelmét inkább Betty köti le, aki megint nem írt vissza Facebookon! De Betty üzenget az órán, látványosan chatel valakivel! De kivel?!! Biztosan Pettel vagy Tommal, a két surmó „menőcsávóval”!
Pet és Tom ránézésre archetípusa minden kockagyötrő, suttyó köcsögnek, itt már érezni lehet azt a feszültséget és a kisebbségi komplexust elsöprő motivációt, amely egyenesen elvezet addig a pillanatig, amikor hősünk úgy dönt, hogy meghekkeli Betty Facebook profilját, hogy kiderítse, vajon kivel chatel távolról csodált szerelme.
Frész Ferenc mesterem mindig is azt állította, hogy a legjobb motiváció a p*na, és úgy látszik, a NUPS CyberSec is hasonló véleményen lehet, hiszen a bizonytalanság végül odáig kergeti hősünket, hogy beleveti magát a Googliba, és saját magát képezve létrehoz egy weaponized dokumentumot, amelyet phishing támadással szór szét az osztálytársak között.
A tiszta és ártatlan fiatalember az epizód végén már hekker.
Az erkölcsi kételyeket elsöpöri a bizonyítási vágy: a nyomi hobbit előnyére fordítja introvertált személyisége minden negatív értékét, és megfordul a szél. Már nem hobbit többé, hanem hekker. Csak várnia kell, és hatalmat nyer az osztálytársai felett. Ha nem is elbűvölő egyéniségével, de talán kinyitja Betty magánéletének titkos ablakát, és hamarosan beférkőzhet a leány életébe.
Az elfogyasztott tucatnyi energiaital ellenére elnyomja az álom, és álmában igazán hőssé válik: megmenti a leány életét, amikor az egy kigyulladt házban reked a liftben. De nem akármilyen szupererővel, hanem a frissen szerzett csodálatos hekker képességével szabadítja ki a leányt a liftből, aki másodfokú füstmérgezéstől és szerelemtől reszketve hullik a karjába.
2. Epizód - Feel the power
A második részben az ifjú Samu Anakin a Sötét Kalap Oldal bűvkörébe kerül. A visszahúzódó, csendes kívülállóból olyan támadóvá válik, aki ellen nem lehet izomerővel védekezni. Samu Anakin további bűncselekményeket követ el, leszámol ellenségeivel és bérletet vesz 50-ből.
A Nemzeti Közszolgálati Egyetem kiberbiztonsági filmjének újabb fejezete, melyben megtudhatja, hogyan történnek az adatszivárogtatások, valamint milyen problémákat jelenthet az informatikai eszközeinken tárolt információ egy ilyen esetben.
Felébredve a liftes álomból hősünk konstatálja, hogy megérkezett az első reverse shell. Estére irányítása alá kerül az osztály minden gépe.
„32 gépet törtél fel!”
A bosszú pillanata elérkezett. Pet gépén erősen kompromittáló böngészési előzményeket talál, amelyeket lelkifurdalás nélkül megoszt ellenlábasa Facebook oldalán. Pet erkölcsileg megsemmisül, kihúzható a Betty szerelméért küzdők névsorából.
Samu Anakin már korántsem áldozat, a széles arcán elömlő vigyor több, mint gúnyos: inkább kéjes. Lehet, hogy úgy gondolja, nem csak magáért, de minden elnyomott és megkínzott kockáért bosszút állt, de a valóság azonban az, hogy Betty iránt érzett szenvedélye minden erkölcsi gátat lerombolt lelkében. Kegyetlenné vált, aki titkos és misztikus erők bírtokában már felette áll a halandóknak, korlátáanul rendelkezik életükkel és digitális lábnyomukkal.
Ezt erősíti fel a következő leszámolás, amely nem mentes a politikai aktualitásoktól sem. Tom gépén (vagy Tom apja gépén?) olyan kompromittáló anyagokat talál, amelyek kartelezésre és mutyikra utalnak. Samu Anakin cseppet sem habozva elküldi a dokumentumokat a sajtónak, Kele Tom pedig végül két évet kap.
És ismét az a mosoly.
Sok minden elárul a főhős lelkében végbemenő változásról. Az epizód címe és az átalakulás áldozatból kínzóvá nem mentes a Star Wars áthallásoktól, hasonló pillanat ez, mint amikor Anakin Skywalker lemészárolja az ifjú Jedi lovagokat. A bukás pillanatának vagyunk tanúi.
Van-e még visszaút? Visszakaphatja-e még a főhős ártatlan és tiszta lelkét?!
Szerencsére nincs még minden veszve.
Betty gépén nem talál terhelő adatokat. Az epizód drámai ívének tetőpontjához közeledve Samu Anakin bekapcsolja a leány gépének kameráját és mikrofonját!
Most dől el minden!
Főhősünk izgatottan figyeli, amint Betty mit sem sejtve vetkőzik, alighanem aludni készül.
Samut elfogja a kétség, bár látni és hallani akarja a leányt, remegő kezével összecsukja laptopját! Nem most, és nem így akarja meztelenül először látni a szerelmét!
Kész, megmenekült a lelke!
Bár Petet kivetette a társadalom és az osztályközösség, Tom vagy Tom apja (ez pontosan nem derül ki) börtönben rohad, a hős mégis ellent tudott állni a kísértésnek, megmentve ezzel halhatatlan lelkét és Betty erényét a legfélelmetesebb ellenségtől: saját sötét énjétől és mindenható hekker-hatalmától.
Bár Anakin Skywalkerben lett volna ennyi tartás és visszatalált volna az Erő világos oldalára...
De mégis csinálni kellene valamit, Betty a kamera nélkül elérhetetlen messzeségben van! De hopp, a levelezését átnézve (amely minden őszinte és tiszta kapcsolatnak feltétele) kiderül, Betty bukásra áll matekból.
Itt van hát a nagy lehetőség, bebizonyítani Bettynek, hogy méltó a szerelmére: csak fel kell törnie az e-naplót, és Betty jegyeit átjavítva megmenteni a leányt – na nem az égő házból, - de a rossz eredmények miatt kirótt szobafogságból!
3. Epizód - Feltöröm az e-naplót
Hősünk tehát szent küldetésben jár, igazi lovagi erény megmenteni a leányt a toronyszoba fogságából, nemigaz? Ehhez ugyan ismét bűncselekményt kell elkövetnie, de valójában bűn, ha az igaz szerelemért száll harcba a lovag?
Nem, persze hogy nem.
A Nemzeti Közszolgálati Egyetem kiberbiztonsági filmjének újabb fejezete, melyben megtudhatja, hogyan történik a social engineering és mi a célja az adathalász, más néven phishing támadásoknak.
Főhősünk a korábban már sikeresen alkalmazott módszert követve phishing támadást indít a tantestület ellen, és képzett social engineerként sikeresen ráveszi őket („frissítettük a rendszert, kérjük, hogy újra jelentkezzenek be”), hogy bejelentkezzenek az „e-napló” rendszerbe.
Kicsit zavaros a kép, ugyanis nem e-naplót fogunk látni, hanem egy sima osztálynaplót, de aki nem érti a finom utalást arra, hogy az elmaradott oktatási struktúrában hazánkban az e-napló is papírból van, az nézzen inkább Híradót.
Betty tényleg pocsékul áll, egy igen humoros pillanat következik, a papír e-naplóban Betty jegyei csupa 1-esek!!! Hősünk minden jegyet 2-esre javít, ezzel elkerülve a felesleges kockázatot, hogy lebukjon a feltűnő javítás miatt.
Ismét egy csúcspont következik, a hősnek ki kell lépnie az árnyékból, fel kell fednie magát, a tettét, és szerelmét a leány előtt. Az introvertált Samu bedob 6-7 felest, elolvassa a Velvet „Hogyan legyél férfi” cikkét, majd összeszedve minden bátorságát, találkozóra hívja a leányt.
Samu rágózik, várja Bettyt egy plázában. Eszébe jut, amit a Velvet-cikkben olvasott, és eltünteti a rágót, arca így már kevésbé emlékeztet egy hörcsögbe oltott hobbitra.
Megérkezik Betty. Hősünk tátott szájjal bámulja a könnyű léptekkel érkező leányt, soha nem látott még hozzá foghatót. A fiúból elemi szexuális energia árad, Betty észreveszi, és abbahagyja a telefonálást. Megtörténik a nagy pillanat.
Samu egy börleszk-szerű esés után bevallja Bettynek a történteket, a leány pedig álmodozó arccal felteszi a kérdést: - Miért tetted?
4. Epizód – Szerelem
A beteljesülés epizódja következik. Hőseink szerelme kibomlik és boldog pillanatokat élnek át. Samu baszik többet hekkelni, minek, amikor már megvan a legértékesebb finding?! De jajj, a sors elszakítja egymástól a szerelmeseket...Van kiút a reménytelenségből?
A Nemzeti Közszolgálati Egyetem kiberbiztonsági filmjének újabb epizódjában azt láthatjuk, hogyan áll egyenesbe hősünk élete, milyen "soft-skillek" segítik a kiberbiztonsági pályák közötti választásban.
A vallomás után Betty boldogan megcsókolja a fiút, de Samu közben úgy néz, mintha a leány szájában pálpusztai sajtot rejtegetne.
Mindegy, végre összejöttek és boldogság minden napjuk. Minden idejüket együtt töltik, és kölcsönösen kielégítik kiegészítik egymást.
Betty matekot tanul Samutól (bár teljesen hülye hozzá), Samu meg „humán vonalon” kap rengeteg segítséget Bettytől (végre megfürdik, és nem zabál tovább csipszet meg nem szlapál energiaitalt).
Az epizód itt éppen átfordulna egy szerelmes komédiává, amikor váratlanul ismét dráma következik. Esküszöm, mintha érzelmi hullámvasúton ülne a néző!!!!
Betty tanárképzőbe jelentkezne tovább, és rá akarja venni Samut, hogy az szintén a tanári pályát válassza. Samut természetesen a számítógépek érdeklik, de ha nem akar elszakadni a leánytól és ismét magányos, önfertőző éjszakákat eltölteni, kénytelen lesz maga is a tanári pályán kiteljesedni.
Nyomasztó fellegek gyűlnek Samu feje fölé, de szerencse mellé szegődik: akármennyire is korrepetálta Bettyt, a leányt nem veszik fel a tanárképzőbe. Átérezhetjük az Y-generáció életfájdalmát: a célját vesztett Betty létalapja már csak az üres létezés.
Minden terv romba dőlve, Betty jövője a kallódás és tengődés, esetleg romkocsmában búslakodás. De tudjuk, a kallódó fiatalokat szervezik be a terroristák öngyilkos meréynlőnek!
Ezen a ponton koherencia-törés tapasztalható. Túl sok lesz a valóság a fikcióban, a politikai élet és a magyar rögvalóság durván betör a sorozatba.
Betty már nem jó semmire, nem lehet hasznára a Hazának (ez később még fontos motívum lesz!), így a Haza és a szülők megszabadulnak a leánytól: a szülők külföldre küldik.
Nem, nem mondják ki, hogy tanulni – hiszen azzal a sorozat készítői azt sugallanák, hogy egy magyar tanárképzőbe nem felvett fiatalt minden további nélkül, tárt karokkal várnak a külföldi felsőoktatási intézmények, ahol fel is veszik őket, nem!
Nem mondják ki, hogy a magyar felsőoktatás tehát magasabb színvonalú, mint a külföldi – de ez el van rejtve a gondolatok és érzések kavalkádja mögé, pontosan tudjuk, hogy erre utalnak az alkotók. Esetleg meghagynak bennünket abban a hitben, hogy Betty szállodai takarítóként hatszor többet keres majd, mind a saját szülei együttesen.
Mindegy, tisztult a kép, Samunak már nem kell tanárnak állnia, a leány repülővel elhagyja az országot (háttérben felcsendül a „Gyere haza Fiatal” lágy és édesbús melódiája). Viszont látjuk még Bettyt? Hazatér még Samuhoz?
Tudjuk, hogy nem. Egy távkapcsolatot „a világ másik végéről” nem lehet fenntartani. Néhány hónapnyi Skype- és chat-sex után a pár a szakítás mellett dönt.
Hiába volt hát minden? Ezért a románcért kellett Petnek kiközösítve elbújdokolnia? Tomot időközben begyűrte valami főtökös a sitten, ezért a kapcsolatért kell naponta kétszer kiszolgálnia a májerjét?
Alighanem az epizód végével érkeztünk el a sorozat egyik legdrámaibb pontjára.
Mihez kezd most Samu? Mit tehet egy férfi, akitől erőszakkal elszakítják a szerelmét és romlásba döntik azt a kapcsolatot, amiért mindent (erkölcsöt, etikát, lelkiismeretet, becsületet) de főleg mindenkit feláldozott??
Természetesen belép a Nemzeti Kibervédelmi Hivatal állományába!!!
5. Epizód – Hivatásos leszel
Samu elvégzi a műszaki egyetemet, de magányos. Elvesztette a szerelmét, azóta legfeljebb az Sch Qpa-ra odatévedt, leittasodott ELTE-s leányok jutnak neki. De végül megtalálja élete hivatását, amelyben kiteljesedhet és boldogan élhet, amíg...
A Nemzeti Közszolgálati Egyetem kiberbiztonsági filmjének újabb fejezete, melyben megtudhatja, milyen szerepük van a nemzetbiztonsági szolgálatoknak a kiberbiztonság megteremtésében.
Samut frissen diplomázott mérnökként állás után néz. Sok fejvadásszal találkozik, jobbnál-jobb álláslehetőségeket kap.
„Aztán az egyik fejvadász kimondja a varázsszót: NEMZETI KIBERBIZTONSÁGI HIVATAL”
Samu megtudja, hogy van egy szervezet, amely éjt-nappallá téve küzd a nemzetet érintő kiberfenyegetések és kibertámadások ellen.
„Ráadásul az öltönyös úr elmondja, ha őket választod, a kiképzés után bármi lehet belőled: Rendőr, Kém, Katona!”
Igazi Neo-s pillanat ez.
Ott ül Samu, vele szemben az öltönyös Morpheus, kezében a kék és piros pirulákkal. Samu-Neo egy pillanatot sem habozik: egész életében a kiber vonzotta, így belép a Nemzeti Kibervédelmi Hivatal állományába!!
Visszaugranék arra a pillanatra, amikor kiderül, Betty semmire nem jó, nem vették fel tanárnak, és el kell a Hazát hagynia.
Ha Samu motivációját vizsgáljuk, akkor nyilvánvalóvá válik, hogy úgy érzi, az elbukott és elűzött Betty helyett is a Hazát kell szolgálnia, mintha a szolgálattal Betty alkalmatlanságát is eltüntethetné. Igazi nagy pillanat ez, Samu az önfeláldozásával Betty megváltását keresi.
Az NKH azonban nem szabja olcsón az árat: Samu testi-lelki gyötrelmeken megy keresztül a kiképzés alatt.
Neonak egyszerűbb volt: fizikai valójában nem kellett Coopert futnia, szögesdrót alatt másznia, vagy átrepülni egy akadálypálya fala felett. Samu nehezen viseli a megpróbáltatásokat, a fizikai gyakorlatokon úgy teljesít, ahogy Betty korábban matekból.
Igazán humorosan mutatja be a sorozat a civilből hivatásos harcossá válás rögös útját.
A kemény kiképzés kohója végül minden salakot kiéget Samuból, aki tíz kiló izmot építve, hivatásos szolgálatra alkalmas állapotban kerül ki a megpróbáltatásokból. Bár tudja, a fizetése jóval kevesebb lesz, mint a privát szektorban, de többé soha nem lesz egyedül: a Hivatal átöleli, és meleg kebelére szorítva tartja, táplálja és óvja, mint fecskemama a fiókját.
A kiképzés után végre beléphet a Hivatal irodaépületébe!
Ami innentől következik, méltán lesz hivatott a fejből idézésekre! Torrente? Indul a bakterház? Bud Spencer? A sorozat itt emelkedik a klasszikusok közé és nyeri el az örökkévaló glóriáját.
Samut új főnöke fogadja, akiről legendák keringenek. Mezitláb ül az irodában, arca kitakarva: az Ezredes inkognitója nemzetbiztonsági érdek!
Az Ezredes arcának kitakarása olyan szimbólum, amelyről beszélnünk kell. Az Ezredes és a Hivatal munkatársai értünk, a Hazáért dolgoznak és szolgálnak.
Arctalan hősök, akikről nem is tudjuk, hogy léteznek, nem is sejtjük, hogy minden pillanatban értünk harcolnak a kiberfrontok nyákfüstös lövészárkaiban.
Samu megtalálta a helyét, hiszen nem szeret kitárulkozni, introvertált személyiségével tökéletes összhangban van az arctalan nemesi lét.
Kiderül, az Ezredes mindent tud Samuról, hiszen tizenéves kora óta rajta tartja mindent látó szemét.
Tudja, hogy Samu mit követett el, hiszen a Hivatal szinte isteni hatalommal rendelkezik. Tudja, hogy Samu szolgálni akar, helyre akarja hozni az elkövetett hibákat, és olyanok ellen akar küzdeni, akikhez hasonlatossá vált egy leány szerelme miatt a múltban.
Új élet kezdődik, Samu tiszta lappal indulhat.
De milyen élet ez?
Samu egyre többet lát a titkos háborúból.
Látja, hogy más országok titkosszolgálatai kémprogramokat telepítenek fontos állami rendszerekbe.
Látja, hogy idegen ügynökök (civil és Soros) környékeznek meg állami vezetőket, és arra próbálják meg rávenni őket, hogy dugjanak be egy pendriveot a hivatali gépbe, ezzel trójai programokat telepítve a szupertitkos iratokat kezelő számítógépekre.
Az emberen nem tanulnak saját hibáikból, Samu azt is látja, ahogy a terrorszervezetek internetes propagandával majd személyes kapcsolatfelvétellel próbálnak öngyilkos merénylőket csinálni elkallódott fiatalokból (Hú de jó, hogy Betty Ausztráliában van, és poligám kapcsolatban él egy aboriginál törzzsel!).
Samu a Hivatalnál eltöltött évek alatt túl sok ember életébe tekintett bele és ezeknek csak elenyésző része igazán veszélyes az államra nézve.
A távközlési és internet szolgáltató cégek hatalmas mennyiségű adatot gyűjtenek össze az emberekről a törvényi előírások miatt. Samut bevonják egy szigorúan titkos fejlesztésbe, amelynek az a célja, hogy a szolgáltatói adatokat egy helyre gyűjtsék, és azokon olyan BIG DATA elemzéseket végezzenek el, amelyek segítik a gyanús viselkedést kiszűrni.
Samunak nagyon tetszik a technológia, és hisz abban, hogy ez segíti a Hivatal munkáját, de azt is látja, hogy a főnökei – az Ezredessel az élen – nemigazán próbálnak határt szabni a megfigyeléseknek.
Samuban az évek alatt egyre gyűlnek a kétségek. Vajon minden állampolgár minden adatát be kell gyűjteni?! Bármilyen megfigyelést el lehet rendelni?
Hol van már a kisebbségi komplexusos nyomi hobbit? Samu magasrangú tisztként hozzáférést kap a titkos projekt minden részletéhez. Samuban elemi erejű kérdés tolul fel:
"Mi a fontosabb, az Ország biztonsága, vagy az, hogy az emberek tudjanak róla, hogy tömegesen figyelik meg őket?"
Samu érzi, ha így megy tovább, hamarosan beköszönt az orwelli 1984...
Elképesztő záróképek és hangulat!
A Hazát szolgáló Samu lelke kettéhasadt, a Haza szolgálata iránt elkötelezett tiszt egy lelki MMA meccsen viaskodik a Betty erényét saját magától megvédő gyermeki-énnel. A Jó és a Rossz ősi párharca ez, egyetlen emberben integráltan.
Az a régi pillanat, amikor lecsukta a laptopját és nem leste ki a gyanútlanul vetkőző Bettyt, most visszaköszön a nagy kérdésben: Van-e joga meztelenül látni a szerelmét annak tudta és beleegyezése nélkül?
Itt ér véget az epizód, kétségek közt hagyva a nézőt. Kit érdekel már Betty sorsa, amikor kedves főhőse snowdeni pillanatokat él át? Mit választ hát Samu? A Hazát vagy a lelkiismeretét?
Jól megcsapta a BKK-t a NAIH, alaposan odalépett egyet nekik.
A NAIH állásfoglalása szerint a BKK az e-jegy tragikomédia (emlékszünk, 50Ft-ért bérlet, „hekker” előállítva, tüntetés, maszatolás, nem úgy volt, „súlyos kibertámadás” – végül T-Systems vezetők távozása) felvonásaiban megsértette a tájékoztatási kötelezettséget, a felhasználóknak nem nyújtott megfelelő információt az adatkezelésről, ráadásul a felhasználók adataira sem vigyázott az elvárható módon.
A NAIH a vizsgálat után kicsapott egy 10 millás adatvédelmi bírságot, úgyhogy most lehet gondolkodni azon, hogy egyrészt miből lesz ez kifizetve (ki állja valójában a cehet), másrészt meg a szcientológusok 40 millás bírságával összehasonlítva (ahol aztán olyan gusztustalan dolgok derültek ki, amelyekért börtön járna) látszik, hogy nagyon komolyan kezelte az ügyet a NAIH.
Én azt tippeltem, kitolnak egy max 2-3millás bírságot, ehhez képest a 10 milla azért igen csak „értékelő” vélemény. Ja, a T-Systems ellen megszüntették az eljárást.
Összegyűltek a bölcs kútfők, Ott, a konferencián, Nyitott füllel tanultak, Sokat is talán-talán. Hazatérve megjegyezték: Sok a dolgunk nagyon még! Közbevágott a Priszélsz Úr: „A” termék az majd megvéd.
Nem szegmentált a hálózat, Gyűjti be a lagokat, S a hekker az adatokkal, Már tudj’ isten hogy hol szalad; Javítsuk ki, mert maholnap, Az auditor is benéz... Közbevágott a Priszélsz Úr: „B” termék az majd megvéd.
Szűk a büdzsé, a Priszélsz Úr, Csak akkor nyer, ha jól vetít, Szórja is Ő a hájpoknak Három betűs neveit. Mért nem rendel már az Ügyfél? Mit henyél a beszerzés! Megmondta Ő a CISO-nak, “C” termék az majd megvéd.
Hát a tűzfal, hát a proxy, Kiluggatva, olyan ó, A szabályrendszer hajhálónak Se igazán mondható; Hívni kéne egy pentesztert, A becsült napszám ezer év, Közbevágott a Priszélsz Úr: „D” termék az majd megvéd.
Kriptálódik a fájlrendszer, Minden adat odavész? Nincs BCP, tesztelt mentés… Az IBSZ csak félig kész. De ez nem az Ő hibája, Ő priszélszesnek születék, S a szakmában ősi jelszó: A termék az majd megvéd.
Az jutott eszembe, hogy mindenki azon lovagol, hogy „a szerencsétlenek, cleartext-ben tárolták a jelszavakat” – holott ez nem biztos, lehet, hogy csak gyenge, visszaállítható kódolással (ne lovagoljunk azon, hogy az ugyanolyan, mintha cleartext lenne).
Úgyhogy vettem a kedvenc 29 rekordos blokkomat, és MD5 után betoltam a kódokat a hashkiller online-ba.
Nem igazán számítottam eredményre, de:
BAZINGAAAA, hát ezek vissza lettek állítva!
Milyen következtetést lehet ebből levonni?
Ezeknél a usereknél az adott forrásrendszer MD5-ben tárolta a jelszavakat, és a csúnyabácsi/csúnyanéni megszerezve az adatbázist, visszaállította a jelszavakat pl. a hashkiller online-on, vagy offline, és aztán feltöltötte.
Jó, mi?
Nem, annyira nem.
Eszembe jutott, hogy ha már MD5-tel megnéztem, akkor meg kellene nézni unalmas SHA1-el is (ezt egy konferencián hallottam, amikor rákérdeztem, kiderült, hogy sótlanra gondolt). Nosza, ugyanezekből a jelszavakból unalmas SHA1, majd be vele a hashkillerbe!
Bmeg, ez is BAZINGAAA*
Na jó, de akkor mit jelent ez?
Szerintem a legvalószínűbb, hogy legalább KÉT olyan rendszerből is történt szivárgás korábban, illetve azok a kedves felhasználók, akiknél az MD5 és az SHA1 is megtalálható a haskiller-en (ergó a jelszavukat az egyik forrásrendszerben MD5-ben, a másikban pedig SHA1-ben is tárolták) – a két rendszerben ugyanazt a jelszót használták.
Igazából ez borítékolható volt, de legalább a feltételezés mellé lett gyártva valami konkrét alap is.
*: (az évszámot hagyjuk ki ebből, az ugye eleve alap, hogy megvan mindkét kódolásban)
“Komoly biztonsági incidens egy magyar kormányzati informatikai rendszerben” – azaz 2018.01.14.-én publikálódott egy jóféle hazai breach – legalábbis így adta le a hírt az ITCafe - https://itcafe.hu/hir/hack_magyar_kormanyzat.html).
A PasteBin megosztóra került fel egy lista, amelyben magyar magánszemélyek, szervezetek és kormányzati intézmények „kiszivárgott” hozzáférései találhatók - több, mint 6000 rekord.
Account Takeover (ATO) – megjegyzendő hárombetűs
Az account takeover a szervezethez kapcsolódó, a szervezet felhasználói által igénybe vett belső és külső szolgáltatások hozzáféréseinek kompromittálódását jelenti.
Az incidens során egy vagy több, külső vagy belső rendszerhez hozzáférő felhasználó bejelentkezési azonosítója és jelszava illetéktelen kézbe jut, bizalmassága súlyosan sérül.
Account takeover esetén a kiszivárgott hozzáférés segítségével illetéktelen személyek is hozzáférhetnek az adott szolgáltatáshoz vagy rendszerhez. Az eseményből más incidensek is következhetnek, mivel a felhasználók jellemzően azonos vagy csak nagyon kismértékben eltérő jelszavakat használnak az egyes szolgáltatásokhoz, tehát ha egy hozzáférés kompromittálódik, lehetséges, hogy más szolgáltatásokba is be tud jelentkezni az illetéktelen személy.
Még súlyosabbá válhat a probléma, ha a szervezeten belül, a belső rendszerekhez történő hozzáférésekhez használja a felhasználó a kiszivárgott jelszót, és a belső jelszócsere folyamatok hosszú átfutásúak (90-180 nap) – vagy egyáltalán nincsenek.
Kell-e most félnünk és aggódnunk?
Esemény után már minek aggódni? Akkor már csak az eseménykezel... eseményelnyelő... NA! ...eseményutáni tabletta segít.
A listában található jelszavakkal nem is igen szeretnék foglalkozni, várom „Kripto” Norbi kolléga statisztikázását, viszont azért érdemes megnézni kicsit közelebbről ezt a listát.
A lista szerintem a „Public Combo List” kategóriába tartozik, mert bőségesen tartalmaz már korábban is megjelent/publikálódott hozzáférési adatokat.
*] gabriella.papp@mfa.gov.hu => Breach found! Seen in the LinkedIn breach that occurred on 2012-05-05.
*] marton.hajdu@mfa.gov.hu => Breach found! Seen in the Stratfor breach that occurred on 2011-12-24.
*] berki.erzsebet@szmm.gov.hu => Breach found! Seen in the Onliner Spambot breach that occurred on 2017-08-28.
*] lado.maria@szmm.gov.hu => Breach found! Seen in the LinkedIn breach that occurred on 2012-05-05.
*] portoro.peter@szmm.gov.hu => Breach found! Seen in the LinkedIn breach that occurred on 2012-05-05.
*] probald.anna@szmm.gov.hu => Breach found! Seen in the LinkedIn breach that occurred on 2012-05-05.
Megnehezíti az ellenőrzést, hogy sajnos (na jó, nem sajnos) az ingyenesen használható „Have I been Pwned -https://haveibeenpwned.com/” oldalra már betöltésre került a több, mint 6000 rekordot tartalmazó lista, szóval a tömeges ellenőrzésre kiválóan használható recon-ng modul elvileg mindenre „Breach found” üzenettel tér vissza – illetőleg nálam valamiért mégse (mintha csak a korábbi breacheket látná, és a mostani adatokat nem kapná meg API-n keresztül).
https://haveibeenpwned.com
TOP 20 domain
Azért gyanús nekem a Public Combo List dolog, mert nagyon változatos a domainek eloszlása, és sok olyan domain címet tartalmaz, amely igazából ma már nem használt – főleg ha a kormányzati domaineket nézzük.
A kormányzati domainek zöme már nem aktuális, a szervezetek kb. ötször átalakultak, stb.
gov.hu domainek
Nyilván az is nagyon gyanús, hogy sok cím (főleg a gmail, hotmail, freemail címek közül) már sok publikus breach listában megjelent – ez tipikusan a Combo List sajátossága, azaz a korábban megjelent listákból állítják össze az „új” lista gerincét.
A 119 hotmail.com-os címből 53 már korábbi breachekben is szerepelt, akár többen is. A 138db yahoo.com-os címből 63 szerepelt már korábbi breachekben (összesen valami 180db yahoo-s cím van a listában. Az 1700db gmail-es címből 519 szerepelt korábbi listákban.
63 yahoo.com végű cím már korábbi listákban is szerepelt
Nade mért teszik ezt? Miért kerültek ebbe bele már korábbi szivárgások adatai?
Mert nincs betyárbecsület, azért. :)
A feketepiacon a Combo Listák értéke a legkisebb, a vásárlók úgy is vannak vele, hogy a 80% 20%-nak 20%-a lehet új, eddig még nem megjelent account, a többi meg szemét, vagy korábban már ezerszer megjelent rekord.
Százezres, milliós Combo Listákat vásárolnak a csúnyabácsik és nénik, szóval a 6000-res Combo lista szerintem nemigen érhet túl sokat, kivéve, ha valid és új adatokat is tartalmaz (márpedig újat tartalmaz, a validságát meg ugye nemigen akarnám ellenőrizni, ha egy berletért ekkora hercehurca volt, akkor ezért alighanem kerékbetörnének.
Ami még érdekes a Combo Listák esetében, hogy többször láttam már, hogy teljesen valótlan jelszavak szerepelnek az ilyen listákban. Szintén a betyárbecsület rovására kell írni: egyszerűbb egy korábban már meglévő email címhez (vagy LinkedIn-ről legyűjtött címekhez) random jelszót generálni és ezekkel felhízlalni a listát (ezért érnek a kombó listák keveset a kiberdarkpiacokon).
Viszonylag egyszerűen kiszúrhatók az ilyen jelszavak, egy átlagos magyar felhasználó ritkán használ olyan jelszót, hogy „RX4%6!3.vs+!aQD” :) Sajnos. Aki végig pörgeti ezt a listát, látni fogja, hogy jelen listában gyanúsan „szép” jelszavak találhatók (mármint tényleg jómagyarjelszavak).
Dr. WHO
PP barátom (professzionális Incident Responder) kiszúrta, hogy a listában meglehetősen sok a doktor – „dr”, „dr.” kezdetű cím, szóval, ha nem valami kamarai oldalról származnak az adatok, akkor lehetséges, hogy a Complex Jogtár online adatbázisából valamikor kiszivárgott hozzáférések lehetnek ezek a „doktorok” (380 db).
Egy ismerős ismerőse - aki szerepel a listán megerősítette,- hogy azt a jelszót, amellyel a listában szerepel, a Jogtárban használta, kb. 5 évvel ezelőtt.
Annyival még kiegészítenem a doktorokat, hogy a 380 „dr.”-ból azért 57 doktor egyéb, már régebbi breachben is szerepelt
A jelszavakon végigszaladva 85 olyan hozzáférést lehet találni, amely feltehetőleg de nem megerősítve a BruxInfo-ból származhat. Érdekes, hogy sok esetben azonos, vagy nagyon mintakövető jelszavak vannak ezeknél a hozzáféréseknél, pl. brux0707 - brux0909 - esetleg valami default jelszavak lennének, amiket a rendszer létrehoz?
Szintén sok hozzáférés köthető egy kamatkalkulátor alkalmazáshoz, lehet, hogy a kamatkalkulator.hu? - Szerintem a következő napokban egyre több forrás lesz majd meghatározható.
De mire jók ezek a kombó listák?
Úgy néz ki a dolog, hogy a csúnyabácsik és csúnyanénik összevásárolnak/letöltenek/megszereznek mindenféle accountokat tartalmazó listákat, azokat aztán betöltik jóféle szoftverekbe (pl. Sentry MBA) – és elkezdik tolni az összes közösségi oldal bejelentkezésére, webmail loginokra, stb.
Aztán ha 2M rekordból összejön 2000-4000 sikeres bejelentkezés (tehát a 2M rekordos listából van 2000-4000 valid), akkor nagyon örülnek, és onnan már jóféle adatokhoz férnek hozzá, megszemélyesítést csinálhatnak, „személyiségtolvajlást” és hasonló kiberbűn-dolgokat.
Sentry MBA - próbálkozom, tehát vagyok
Ami vicces, hogy a Sentry MBA-hoz megírt Facebook, Linkedin, GMail, stb. próbálgató komponensek mellé a piacokon mindenféle egyéb szolgáltatás próbálgatását is lehetővé tevő kiegészítőket lehet vásárolni (Amazon, Netflix, PayPal, stb.), néha a 2M accountos lista árának sokszorosáért.
Szóval összefoglalva éppen ideje volt már egy hazai érintettségű breachnek, és azért a januári Sajnálatos Kiber Események– SKE alapján jó évnek nézünk elébe.
Kíváncsian várom, idén érkezik-e még valami hasonló, kifejezetten ultraszodómikus sérülékenység, vagy ezzel a csodával kifújt a 2017-es esztendő?
Sabri Haddouche mutatott be egy elegánsnak éppen nem nevezhető, de a maga nemében zseniális bypass történetet, amellyel "átverhető" a levelezőszerver vagy az email védelmi megoldás email spoofing védelme.
Email spoofing: az adott Szervezet (Kispista Kft.) saját domain címét (kispista.hu) feladóként megadva (gyula@kispista.hu) beküldeni a levelet, ezzel jól megtévesztve a címzettet, aki azt hiszi, hogy házon belülről jövő „megbízható feladótól” levél, és jól megnyitja a levelet (és megfertőződik, adatokat ad meg, stb.).
A jól beállított email védelmi megoldások blokkolják az olyan leveleket, ahol a levél feladója ugyanaz a domaint használja, mint amelyet a rendszernek meg kell védenie (protected/internal domain).
Azonban a trükk jelen esetben az, hogy a támadó meg sem kíséreli a feladó email címét meghamisítani.
Egyszerűen úgy formázza meg a címet, hogy ha az email kliens megjeleníti a levelet, úgy tűnjön, mintha a szervezeten belülről érkezett volna.
Példa:
A <kovacs.gusztav@securenetworx.hu; @hackerdomain.com> cím a levelezőkliensben kovacs.gusztav@securenetworx.hufeladónak fog látszani.
Durvább példa, Base-64 alapon:
A <=?utf-8?b?dWx0cmFzem9kb21pa3VzLmhpYmFAc2VjdXJlbmV0d29yeC5odQ==?==?utf-8?Q?=0A=00?=@hackerdomain.com> cím a levelező kliensben ultraszodomikus.hiba@securenetworx.hu feladónak fog látszani.
Egészen elképesztő, hogy a karakterkódolások és a vezérlőkarakterek 2017-ben még mindig ilyen galibát tudnak okozni.
Még jobb hír, hogy bizonyos levelező kliensek esetén az email header From mezőjének manipulálása XSS és kódfuttatásra is lehetőséget ad, csak hogy jó legyen.
Elvileg az értesített gyártók javítást ígértek, szóval érdemes figyelemmel kísérni a levelezőkliensünk gyártóját, és telepíteni a javításokat. És persze a jóféle phishing-hullámra is érdemes lesz felkészülni.
Itt az ideje, hogy az IT és a biztonsági szakmán belül elterjedt és gyakori tetoválásokat összegyűjtsük és közelebbről megvizsgálva a képi világukat, leírjuk, milyen jelentéssel bírnak, mit is jelképeznek, kik és hogyan, hol viselik őket.
1-89-19-68
A hackerek kedvelt tetoválása.
A számok a periódusos rendszer elemein keresztül a HACKER feliratot adják ki (H-1 Hidrogén, AC-89 Aktínium, K-19 Kálium, ER-68 Erbium).
Az öt pont jelentheti a feketekalapos hacker börtönviseltségét (bérletvásárlás után), etikus hacker esetében azonban az éles projekteken edződést és a field tapasztalatot szimbolizálja.
Más értelmezésben az éles projekt során az etikus hackert (középső pont) bekeríti saját projektvezetője és salese, az ügyfél projektvezetője és az ügyfél biztonsági vezetője.
Vörös háromszög a bal mellbimbó körül, „People, Process, Technology” felirattal az éleken
ITIL- és IT governance menedzserek viselik. Ha a háromszög szabályos, a menedzser eljutott a Zen állapotba, és megvilágosult.
Stilizált 7-es számjegy
A hét különösen fontos, mágikus szám a magyar szakrális világképben - hét gyermek, hét király, hétfejű sárkány- de azon jóval túl is mutat.
A hét nem más, mint a dinamikus három és a statikus négy összege, Isten számaként pedig a szakrális hármas és a földi négyes együttes értéke. A hetessel jelképezik a világmindenség struktúráját, az idő ciklikus törvényét, a hét napjait, az ünnepek időtartamát, a hangsor hét hangját és az ultit.
A „Hetes” vagy számmal kiírva a „7” a hálózati mérnökök jele, amely egyértelműen a világmindenség teljességére és egészére: az OSI modellre utal.
Egyes körökben a szimbólum kissé morfolódott, szerepelhet a 7/2 (7/3) vagy 7/7 jelképként, ilyen esetben a második tag mindig a viselője OSI-modellben betöltött helyét mutatja: switch és router üzemeltetők esetében pl. 7/2 vagy 7/3, míg alkalmazás-üzemeltetők esetében a 7/7 jelzés is elfogadott.
A 2016-os Sysadmin Day Kongregációs Gyűlése kategorikusan elhatárolódott a felhasználói desktop support munkatársak 7/8 jelölése elől, ők továbbra is az alkalmazásréteg jelét varrathatják magukra.
Árbocos, kibontott vitorlázatú hajó
Frissen kinevezett, kezdő CISO vagy IBF.
Árbocos, süllyedő hajó levont vitorlázattal
CISO vagy IBF, legalább öt év gyakorlattal.
Árbocos, süllyedő hajó, levont vitorlázattal és lebocsátott mentőcsónakkal
Jellemzően olyan személy viseli, aki CISO posztról menekült át belső ellenőrnek.
</BODY><HEAD>
Junior webfejlesztő
</HEAD><BODY>
Szenior webfejlesztő, legalább fél éves gyakorlattal
802.11
A 802.11 a Wi-Fi kommunikáció protokoll szabványának száma. A tetoválást csak olyan Wi-Fi mérnökök viselhetik, akik építettek már 20 Wi-Fi AP-nál nagyobb hálózatot, amely legalább a projekt átadásakor egyszer működött.
A tetoválás elhelyezkedése szigorúan kötött, minél magasabban van a tetoválás, a személy annál nagyobb kompetenciával rendelkezik a Wi-Fi területén. (FortiWiFi mérnökök egyébként legfeljebb vádliig tetoválhatják)
Joker
Általában vádlin vagy lábszáron viselt tetoválás, a tanúsító auditorok jelképe.
A HA-HA felirat rovásokból áll össze, minden egyes rovás egy-egy sikertelen tanúsítást jelképez.
Majom
Kína keleti határvidékén tudnak egy szikláról, ami a világ kezdete óta a nap- és holdsugarak találkozási helye.
Egy nap aztán ez a szikla megduzzadt, kettévált, és egy kőtojást hozott a világra. Nagy vihar támadt, megremegett a Világmindenség. A kőtojás ekkor megrepedt, és belsejéből egy kőmajom lépett ki, aki mind az öt érzékszervvel bírt és a halhatatlanságot kereste.
Hosszas kutatása során járt a föld mélyén, a levegőben, tengerek és óceánok fenekén, míg végül teste megváltozott: emberivé lett
– a majom tehát a belső ellenőr szimbóluma.
Guy Fawkes / Anonymous maszk
Script kiddie-k között elterjedt tetoválás, másik megjelenési formája junior hackerek esetében a pálcikasárkány.
INSERT COIN
A kőművesdekoltázs fölé varrt INSERT COIN tetoválást kizárólag a tanácsadók és interim projektmenedzserek viselik.
A SensePost kutatói (majd a Talos is) felfedeztek egy triviális lehetőséget, amely segítségével a Word alkalmazásban megnyíló dokumentumból makrók nélkül lehet kódot futtatni.
*** UPDATE ****
És megjelent az első, a DDE macro-less technikára épülő malware a FancyBear/APT28 "jóvoltából"!
A sérülékenység a Microsoft alkalmazások közötti adatcserét megvalósító Dynamic Data Exchange (DDE) protokolból ered. Normál működés során az alkalmazás a DDE-n keresztül tesz elérhetővé adatokat más Microsoft alkalmazások számára, de a SensePost kutatói egyéb „nem kívánt” felhasználási lehetőséget is találtak, mégpedig, hogy a DDE utasítás beilleszthető a Word dokumentumba, mint dokumentum mező.
A mezőként beillesztett DDE utasítás a dokumentum megnyitásakor automatikusan (frissül) lefut, tehát ha a DDE utasításban egy külső alkalmazást hívunk meg, akkor az a dokumentum megnyitásával meghívásra és futtatásra kerül.
DDEAUTO beillesztése mint dinamikus mező
Nincs makró riasztás, makró engedélyeztetés.
Szerencsére a Word kéri a felhasználó jóváhagyását a mező frissítésére – tehát ebben az esetben is szükség van a felhasználó interakciójára a sikeres támadáshoz.
Vagy
Ismerős üzenet, frissítsük a dinamikus mezőt!
Azonban a makró engedélyeztetés és a dinamikus mező frissítési engedélye között jelentős különbség van: a makró sok esetben megszólaltatja a felhasználó fejében a vészcsengőt (jó esetben), viszont a mező frissítése még nem feltétlen ébreszt gyanút a felhasználóban.
A dinamikus mezők frissítése szerintem sokkal gyakoribb (tartalomjegyzék, lábléc adatok, template doksik esetén a Document Property adatok beolvasása és megjelenítése, stb.). A felhasználók hozzászoktak, hogy megnyitáskor a Word frissíti a dinamikus adatokat az adott dokumentumban – jelen esetben viszont a DDE elindítja a rosszindulatú kódot vagy PowerShell scriptet.
Szintén a sérülékenység kihasználását teszi egyszerűbbé a nagyvállalati környezetekben megszokott email szűrő szabály, ami a levelezéssel beérkező dokumentumokat - makró kódok észlelésekor - elblokkolja vagy karanténozza.
Ez a védelmi funkció a DDE-alapú, „macro-less” dokumentumok esetén nem működik, a levélszűrő át fogja engedni a levelet és a levéllel együtt a csatolmányként érkező dokumentumot.
Onnantól megint minden a felhasználón múlik.
Malware védelem és sandboxing
A vírusvédelmi rendszerek esetében érdekes eredmény tapasztalható, az általam összerakott doksi (amely egy számológépet indít el) 7/61-el végzett a VirusTotal-on.
A vizsgát fájl nem malware, a találatot jelző motorok a DDE-alapú CMD.EXE hívás miatt jeleznek (meg nyilván amiatt, hogy a bejelző motorok Bitdefender 3td party-k :))
A sandbox-hívők most persze döngethetik a mellüket, mennyire fontos a tényleges viselkedés-vizsgálat, hiszen, ha tényleg megvizsgálná valami a fájlt, akkor láthatná, hogy nem káros tartalmú, csak egy számológépet indít el – felesleges ezért jeleznie.
Őket kicsit lehűteném, hogy néhány sandbox malware-nek (néhány pedig gyanúsnak) ismeri fel a mintaállományt, holott káros tevékenységet igazából nem végez.
FireEye AX
VxStream Sandbox
Na jó, nincs igazam egyébként, az ilyen hívásokra szerintem is jeleznie kell egy sandboxnak, mert az ilyen kódfuttatás semmiképpen nem számít normálisnak és kívánatosnak.
Hogyan lehet védekezni?
User awareness
A legfontosabb a user awareness, a felhasználói biztonságtudatosság mindnek előtt!
Ha a felhasználó kritikusan áll hozzá az ismeretlen, kapott dokumentumok dinamikus mezőfrissítési kéréséhez, és nem kattint, hanem értesíti a megfelelő személyt, akkor nem történik baj.
Yara
Akinek esetleg olyan jóféle email vagy webszűrő eszköze van, amely tud Yara szabályokkal állományokat feldolgozni, a Yara elég jó hatékonysággal fogja felismerni a dokumentumban a DDE hívást, és ilyen találat esetén el lehet blokkolni a letöltést vagy az email továbbítást.
Fájl alapú DLP megoldás
Meglepő, de ahogy Godó Jani felhívta a figyelmemet, a fájl alapú adatszivárgás védelmi megoldások is képesek védelemt biztosítani. Nem erre vannak kitalálva, de simán beállítható ilyen szabály is. Ez olyan, hogy a kenyérpirítóval is lehet szöget beverni - néha a teljesen más területen alkalmazott megoldások is működőképesek lehetnek :)
McAfee DLP - mivel beleolvas a fájlokba, így lehet szabályt is konfigurálni az ilyen tartalom blokkolására
CDR
Jó lehetőségnek tűnt a CDR, azaz a Content Disarm and Reconstruction eljárás, amikor is a védelmi komponens szétszedi a fájlt, kiszedi belőle az aktív kódokat, majd újra összerakja az aktív kódok nélkül.
Sajnos az általam tesztelt három CDR benne hagyta a DDE hívást a fájlban, az elvileg megtisztított dokumentum továbbra is működőképes maradt (remélem ez nem általános, de kezdek aggódni).
Egy nagy túrót szanitizáltad a fájlt :(
Fájlkonverzió
A fájlkonverzió jó megoldás lehetne, vannak olyan védelmi eszközök, amelyek a csatolmányokat átkonvertálva továbbítják a felhasználónak, egy .docx->PDF konverzió során természetesen a makrók mellett a DDE h0vások is eltűnnek. Sajnos ez a módszer a legtöbb vállalat esetében értelemszerűen nem alkalmazható a felhasználók ellenállása miatt.
Használj Mac-et! A Mac-en nincs malware!
Hát, az hagyján, hogy van, de a DDE is ugyanúgy alkalmas a kódfuttatásra Mac OS X esetében, akár csak ha makró lenne :)
Jó, a calc.exe nemigen fog Mac-en elindulni, de látható, hogy a DDE működik
Patch
A Microsoft nem ítéli kritikusnak a sérülékenységet, és a következő Word verzióra ígéri a javítást.
