Készül az új céges weboldal. Minden egyes pillanatát utálom.
Párás szemmel sírom vissza a Lynx-et meg a Minuet-et: a régi, szép időkben nem kellett ennyi baromsággal foglalkozni, ha információ kellett, akkor ott volt, stabilan, reszponzívan, meg ami kell :)
A legstabilabb browser, ever
Ehhez képest Noé küldött ma nekem egy levelet, amiben részletezte, miket kell javítani az új, céges weboldalon.
Legjobban azt hiányolta, hogy nincs kontakt form, a láblécben lévő generál email címre meg azt mondta, senki nem fogja megkeresni, és kell a kontakt form, de nagyon – ha valaki kommunikálni akar, ne kelljen már emailt írnia, klikk a formra, üzenet, és boldogság.
Zsigerileg utálom a kontakt formokat, bevallom. Rossz is a tapasztalatom velük, kitöltöm – oszt ennyi, nincs meg annak az érzése, hogy akkor én most felvettem a kapcsolatot.
Drága, boldogult emlékezetű főnököm egyszer azt mondta arra, hogy írtam egy cégnek a kontakt formjukon, hogy: „Jó, de írtál nekik emailt is?” – Tök igaza volt, a legtöbb form esetében nem küldenek vissza automatikus emailt arról, hogy „Tökikém, megkaptuk, láttuk, ezt és ezt írtad nekünk, majd válaszolunk, ha úri kedvünk tartja”.
Bevallom, nekem az email szent. Szeretem, na.
Próbálkoztam Noénak elmondani, de nem sikerült jó érvet találnom, amíg..hopp...megvan!
A GDPR!
Nézzük csak meg a kontakt formokat GDPR-szemüvegen keresztül.
Marha jól kinéző formok vannak különben, szolgáltatják cloudból, meg SaaS, meg egyéb 21. századi hívószóval, néhány dollárért, a hülyének is megéri! JavaScript, beilleszt, működik, floating, reszponzív, stb.
Nade, ha valaki kitölti és elküldi – az adatok a form-rendszer szolgáltatójához fognak kerülni. Oké, hogy megjön emailben is, de tárolódik a szolgáltatónál. Ami az esetek többségében amerikai. Mondom is Noénak:
- Figyi, kéne valaki, aki leprogramozza a formba bevitt adatok elküldését. Nem értek hozzá, időm sincs (a nem értek hozzá nem kizáró ok!), pénzbe kerülne, meg macerás valakit megkérni, hogy csinálja meg. Ráadásul mi van, ha hülye és mindenféle sérülékeny dolgokat kódol bele...
- Jó, de lehet ilyet bérelni, adják szolgáltatásként is!
(ohóóó, most jövök én a hátulról mellbe módszerrel!)
- Ne haragudj, de GDPR-okokból nem lesz SaaS kontakt form az oldalon. Adatfeldolgozás lenne, kellene szabályozni meg dokumentálni, az adatvédelmi nyilvántartásba is kéne rögzíteni kellene, plusz kiemelten kell kezelni mert EU-n kívülre továbbít adatot.
Inkább nem mondom meg mi volt a válasz.
Ugyanezen gondolatsorra építve aztán megszüntettem mindenféle hírlevélküldést, amit szintén utáltam.
Végre valami előnyt is lehet élvezni a GDPR miatt.
Már előre várom, mikor kapom meg, hogy nem csak a magyar DLP-piac hanem az éppen fejlődésnek induló EDR-piac tönkretétele is személyesen hozzám fűződik. Jó az, ha az ember ott hagyja keze nyomát a világban :)
Megjelent egy „cikk” a Sysadmin Fórum hasábján (Már a címe is tetszik: Fizetett belső ellenségek - mit vessünk be ellenük), amely oly mértékben baszta ki nálam a biztosítékot, hogy átütve lustaságom betonbunkerét, arra késztet, hogy kiírjam magamból a mérgemet.
UPDATE: nem az EDR-ről beszél a cikk elsősorban, inkább globálisan az Adaptive Defense-ről és annak egy moduljáról. Szóval inkább úgy olvassátok, hogy az Adaptive Defense és/vagy BÁRMELY más vírusvédelmi megoldás (csak mellé lesz egy kis EDR :)
EDR nagyon dióhélyban
Az EDR az Endpoint Detection and Response csodálatos rövidítése, amely gyakran a Next Generation AntiVirus (NextGenAV), vagy a szignatúra-mentes AV néven is említésre kerül.
Az EDR megoldások nem a malwarek és más, káros kódok, alkalmazások, tartalmak szignatúra-alapú felismerésére teszik a hangsúlyt, azaz nem azért ismernek fel egy káros tartalmat, mert a kód lenyomata (szignatúrája) megtalálható a szignatúra adatbázisukban.
Az EDR nem más, mint egy alacsony erőforrásokat felemésztő (lightweight) modul, amely a munkaállomásokon fut. A modul többféleképpen működik, de a jobb rendszerek esetében a munkaállomáson érdemi felismerő tevékenységet nem végez, hanem a munkaállomáson bekövetkező minden egyes változást elküld a központi menedzsment eszközének, ahol ezek az információk korrelálódnak és tárolódnak.
Endpoint Detect
Nézzünk egy triviális példát. A felhasználó megnéz egy weboldalt.
Változás áll be a munkaállomáson, hiszen beírta a böngészőjébe a weboldal címét, elindult az oldal letöltése, TCP 80/443 hálózati forgalom történik, fájlok töltődnek le a munkaállomásra, a fájlok betöltődnek a böngészőbe és végül megjelenik a weboldal. Ez a folyamat rengeteg változást indikál, a fájlletöltés, a fájlok létrejötte és tárolódása a cache-be, a megjelenő weboldal, az elinduló JS vagy más aktív kódok – mind-mind változást okoznak a munkaállomáson.
De ilyen változás lehet az is, hogy a felhasználó csatlakoztat egy pedrive eszközt, az eszközkezelőben megjelenik az eszköz, felcsatolódik meghajtóként, állományok másolódnak be róla vagy íródnak ki rá.
Az EDR ezeket az adatokat, a változásokat továbbítja a központi feldolgozó eszközének, ahol ezen a rengeteg adaton „big data” elemzések történnek. Az EDR menedzsment központja az agy, ott tárolódnak azok az ismert káros folyamatok tevékenységi listái, hashek, stb.
Szóval koncepcionálisan az EDR tök jó, a folyamatokat, változásokat, processzeket, írás-olvasási műveleteket, API hívásokat, hálózati kommunikációkat korrelálja – tehát sokkal több adatból „jósol”, mint egy hagyományos vrusvédelmi megoldás.
A pendrive-os példát folytatva, ha egy pendrive-ról bemásol egy fájlt valaki a munkaállomására, elindítja, majd a fájl elkezd valamit csinálni viselkedni, akkor azért fog riasztani meg beavatkozni a rendszer, mert látta:
Felcsatolásra került egy pendrive,
Egy adott fájlt olvasott a felhasználó Explorer processze,
Majd ezt a fájlt átírta a munkaállomásra az Explorer,
A fájl elindult, processzt hozott létre.
A fájl vagy a processz tallózgatja a hálózatot, elkezd más fájlokhoz hozzáférni,
Crypto API hívásokat használ,
Sok írási/módosítási műveletet végez,
ezért ez a fájl gyanús, nagy eséllyel ransomware, riasztás, beavatkozás.
Hogy honnan szedi a menedzsment/központ/brain a gyanús tevékenységek, viselkedések, folyamatok, stb-k jellemzőit?
Természetesen a Cyber Threat Intelligence a megoldás, azaz a CTI! :)
A jobb EDR rendszerekben a gyártó beletette amit tudott, viszont hogy a rendszer minnél több információval rendelkezzen a kibertér veszélyeiről, ezért más gyártók intelligenciája is becsatornázható az EDR rendszerbe, szóval a tudást nem csak a gyártó, hanem sok gyártó képes átadni az EDR rendszernek.
Az EDR másik nagy területe az R-betű, a Response.
A beavatkozás rengeteg mindent jelenthet az adott EDR megoldás képességeitől függően, gyanús tevékenységek blokkolása, riasztások, a munkaállomás izolációja a hálózattól, a teljes gyanús folyamat root-cause megjelenítése, miből mi következett vagy történt, milyen folyamatok milyen műveleteket csináltak, amelyekből az adott gyanús esemény következett be.
EDR "root cause"
EDR "root cause"
Szintén kiváló képesség, hogy az EDR rendszerek nagyon sok funkcióval támogatják a gyanús események kivizsgálását, akvizitálhatják a munkaállomás memóriaképét, a teljes merevlemez képet (online vagy offline), azokon is vizsgálatokat tudnak végezni.
Szóval összefoglalva, az EDR baromi jó dolog. Nem új hanem 4-5-6 éve létező terület (idekívánkozik, hogy a Carbon Black volt az első, tényleg jó használható és sokáig egyeduralkodó EDR megoldás), de önállóan valahogy soha nem tudott megkapaszkodni és elterjedni, talán mert az ezer éve berögzült „Legyen helyi AV/AM a munkaállomáson” elvvel szembe megy, és nem tudta megtörni a hagyományos vírusvédelem dominanciáját.
Most az látszik, hogy a hagyományos vírusvédelem eszi meg a területet, ennek jele, hogy mind a Panda, mind a Bitdefender végponti AV/AM termékek elkezdtek EDR funkciókat beintegrálni a szolgáltatásaikba. Nincs is ezzel semmi baj, sőt, örülök neki.
GDPR és Panda Adaptive Defense
Ami kibaszta nálam a biztosítékot (és ez nem a Panda és nem a Sysadmin Forum hibája, hanem túl sok hasonló, GDPR-t meglovagoló marketing cikk jelenik meg mostanában), hogy a cikk önmagával is ellentmondásos.
„Természetesen minden adatkezelőnek arányosan meg kell tennie mindent az adatok védelméért, de a legkeményebb büntetéseket várhatóan nem is azokra szabják ki, akiknél betörés vagy adatszivárgás történik, hanem akik ezt nem időben vagy nem megfelelően dokumentált módon jelentik be. A szabály szerint a vállalatnak a biztonsági esemény megtörténte vagy a tudomására jutása után 72 órája van, hogy a hatóságokhoz forduljon. Minden olyan történést jelenteni kell, amely európai uniós állampolgárok személyes adatait érintheti, és a jelentésnek tartalmaznia kell azt is, hány polgár milyen adatai kerültek illetéktelen kezekbe vagy veszélybe.„
Mit mond a cikk ebben a tételblokkban?
Arányosan kell védekezni (kockázatarányosan)
Nem azt fogják nagyon megbüntetni, akinél betörés vagy szivárgás történik, hanem aki nem dokumentálja és jelenti le megfelelően az incidenst.
Ebben még igaza is van a cikknek, és tűpontosan rámutat, hogy a GDPR nem technológiai-jellegű elvárásokat fogalmaz megelsősorban, hanem adminisztratív és jogi folyamatokat.
Nézzük tovább a cikket.
Blablabla-blablabla-blablabla, mindent IS tud, és „Így nemcsak rögzíti a történéseket, így segítséget nyújt a végponti incidensek utólagos felderítésében, de támadás esetén riaszt is. Így nemcsak megelőzni segít a bajt, de akkor is elkerülhetjük a GDPR által kilátásba helyezett szigorú büntetéseket, ha megtörténik a legrosszabb és a bűnözők sikeresen ellopják tőlünk az adatokat.”
Majd megint blablabla-blablabla-blablabla, nindent IS tud, és „Így segít, hogy a vállalat sikerrel meg tudjon felelni a májustól kötelező érvényű GDPR szabályozásnak, és ne kelljen szigorú büntetésektől tartani.”
Na most akkor ezzel, hogy?
A cikk saját magával szembe menve, a tökéletes antinómiát megvalósítva jelenti ki, hogy nem csak minden ellen IS jó a Panda, de a Panda-t használva a vállalat sikerrel meg tud felelni a GDPR-nak és nem kell büntetéstől tartani.
Kanttal élve, jelen esetben a tiszta és nem gyakorlati-ész, a transzcendentális analitika és annak a vágya, hogy eladjunk Panda megoldásokat, nemigazán kapcsolódik a szemlélet (személyes adatok védelme) és a fogalom (GDPR) kettőséhez. A cikk szerzője jobban tette volna, ha saját köldökébe tekintve mélyen elgondolkodik és a GDPR – valóság viszonyában dependenciát, inherenciát és kauzalitást keres.
A Panda Adaptive Defense (Akár az EDR, akár a Panda Advanced Reporting Tool) semmiképpen és semmiképpen nem egyedi módon nem járul hozzá ahhoz, hogy egy szervezet megfeleljen a GDPR adminisztratív, jogi és adatkezelési elvárásainak, mivel ezek nem technológiai igényeket vagy védelmeket fogalmaznak meg, tehát nem tapasztalatból és érzékelésből származó, hanem az EU (Isten) létezéséből fakadó priori, szükségszerű és kellően általános ideák.
A Panda Adaptive Defense (EDR vagy Panda Advanced Reporting Tool funkcióval) tehát pontosan annyira illik a GDPR világképébe, mint bármely más Anti-Vírus megoldás.
De hogy a kis eszmefuttatás ne csak a levegőben lógjon, nézzük meg, mi az, amit a vállalatnak vírusvédelem esetén (amellyel amúgy is rendelkezik) GDRP-szempontból „megfelelően” kell tartania.
A "GDPR-ellen védő" vírusvédelmi megoldás, szolgáltatás:
Rendszeres és automatikus szignatúra-frissítés a végponti AV/AM eszközben,
Legyen hetenként legalább egyszer full/deep scan a munkaállomásokon végig tolva (Hogy az esetleg bejött, de akkor még nem felismert káros cuccokat is megtalálja, valamint nem minden AV/AM szoftver használja a teljes szignatúra adatbázisát a real-time védelemhez),
Az üzemeltetők értesüljenek a vírus/malware/egyéb és gyanús tevékenységekről – tehát legyen riasztás, értesítés beállítva!
Az üzemeltetők legalább hetente egyszer tekintsék át a héten bekövetkező eseményeket (heti riport), és ha kell, akkor további felderítő tevékenységet végezzenek az áttekintés alapján (gyanús esetek vizsgálata, logok összenézése, felhasználó letolása, stb.),
Vezetés felé készítsenek legalább havonta összefoglaló jelentéseket a vírus- és malware eseményekről, beavatkozásokról, arról, hogy pontosan mit csináltak, stb.
Lehetőleg a vírusvédelmi eszköz a keletkező logokat és naplóállományokat továbbítsa központi loggyűjtésbe vagy SIEM-be, korrelációra (hopp, nicsak!),
Legyen mentés J - ez különösen fontos, és lehessen visszaállni belőle,
Legyen valamilyen terv, eljárásrend, playbook arra az esetre, ha fertőzés, adatvesztés, vagy más, malware-indikált incidens történik, hogy az üzemeltetők tervszerűen, gyakorlatiasan, hatékonyan be tudjanak avatkozni és csökkenteni tudják a keletkezett kárt, majd eltakarítva a romokat, helyre kellő időn belül tudják állítani a kieső szolgáltatásokat, és vissza tudják állítani az adatokat (személyest és nem személyest is).
Szóval, ha termékcsere, bevezetés és plusz költségek NÉLKÜL, egyszerűen csak nem hagyják magára a vírusvédelmet, karbantartják, frissítik, monitorozzák és ellenőrzik – az AntiVírus/AntiMalware oldal tökéletesen meg fog felelni a GDPR technológiákkal kapcsolatosan megfogalmazott minimális elvárásainak.
Nyilván ennél lehet többet is tenni – de ha már ezt biztosítják, túl nagy baj ezzel nem lesz a Hatóság oldaláról, hiszen bizonyíthatóan megfelelő gondossággal jártak el.
Természetesen, ahogy a kockázat arányos védelem szellemében csak abban az esetben kell bármilyen extra védelem (sandbox, APT-védelem, EDR, vagy más „csillagháborús” megoldás), ha azt a kockázat mértéke igazolja, és a kockázat csillapítására bevezetett intézkedések vagy megoldások költsége arányos a kockázattal és annak lehetséges kárértékével.
Amikor a szakértő és a marketinges nem ért egyet...abból igen vicces dolgok kerekedhetnek ki.
Így járt ezzel a Cookiebot nevű szolgáltató, akinek a megoldása lehetővé teszi a website-okon belüli cookie és tracking kódok vizsgálatát, nyilvántartását (és jópár egyéb igen hasznos funkciót).
A Cookiebot ingyenesen lehetővé teszi „kipróbálási célzattal” a saját weboldalunk vizsgálatát „Free GDPR/ePR test” néven, amelyhez meg kell adnunk a website címét – valamint az email címünket, ahova a riport eredményt továbbítja.
A vicc ebben csak az, hogy nem próbálhatjuk ki a vizsgálatot (scan-t), amíg nem kattintjuk be a hírlevélre történő feliratkozást! Hatalmas megalol!!!!!!!!!
A GDPR ugyanis kerek-perec kimondja, hogy az adatkezelés hozzájáruláson alapul, a hozzájárulásnak nemcsak önkéntesnek kell lennie, de a hozzájárulás megtagadása nem válhat az érintett kárára – azaz a hozzájárulás megtagadása nem lehet indoka a szolgáltatás megtagadásának.
“42 - A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.”
„(7/4) Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.”
Szóval az a gyakorlat, hogy a Cookiebot nem engedi a kipróbálás célú scannelést – erősen ütközik a GDPR 42-es pontjával és a 7-es cikk 4-es pontjával (mindamellett, hogy egyébként semmiféle tájékoztatást nem ad ilyenkor a cég az adatkezelésről, amelyet a GDPR szintén elvárna ugye).
Szóval ez kimondottan vicces. Itt egy szolgáltatás, amely szándéka szerint segíti a GDPR felkészülést/betartást – de igazából GDPR-sértő módon követeli ki magának a hírlevelekre való feliratkozást – különben ki sem tudod próbálni.
Megérkezett az „Egy hacker élete” websorozat új epizódja!
A sorozatot fiatalok számára a NUPS CyberSec – azaz a Nemzeti Közszolgálati Egyetemen működő kiberbiztonsággal foglalkozó Kutatóműhely készíti abból a célból, hogy a fiatalok megismerhessék a kibertámadások és kiberaktivitások hátterét, módszereit – és következményeit.
Aki esetleg lemaradt volna a korábbi epizódokról, az a Hogyvoltban elolvashatja illetve természetesen meg is nézheti az epizódokat.
Az előző epizódnak ott lett vége egy ütős kliffbarnszal, hogy Samu a Nemzeti Kiberbiztonsági Hivatal főtisztjeként egyre többet lát a titkos háborúból.
Lelki válságot él át, hiszen a Hivatal már mindent és mindenkit megfigyel. Samunak ugyan nagyon tetszik a technológia, és hisz abban, hogy ez segíti a Hivatal munkáját, de azt is látja, hogy a főnökei – az Ezredessel az élen – nemigazán próbálnak határt szabni a megfigyeléseknek.
Samuban az évek alatt egyre gyűlnek a kétségek. Vajon minden állampolgár minden adatát be kell gyűjteni?! Bármilyen megfigyelést el lehet rendelni?
Nos nem akarom elspoilerezni az epizódot, de semmi váratlan nem fog történni. Sajnos az epizód nem nő fel a korábbiakhoz :(
Az előző rész lezárása brutálisan ütősre sikerült, tényleg ott a körömrágós kérdés, vajon Samu a lelkiismeretére hallgat, vagy pedig jó tisztként tovább szolgál. A jelen epizódban viszont semmi extra nincs: monoton dramaturgia mellett Samu akcióba lép.
Az akció meglehetősen klisés, a szivárogtatás módszere igen amatőrre sikerül, majd az egész menekülési akció is fáradt és letargikus. A végjátékban Samut utoléri az elkerülhetetlen – én pedig végig azon gondolkodtam, hogy ez az ötlettelen lezárás mennyire írható a dramaturg és mennyire az „elvárás – jogos bűnhődés számlájára.
Megmondom őszintén, kissé csalódott vagyok, ennél sokkal de sokkal többet kellett volna beletenni a részbe. Szomorú is vagyok, mert amilyen poénos és dinamikus volt a korábbi pár epizód, olyan halovány lett a végjáték. Kár.
De azért...
Nem szabad leírni a sorozatot, mert váratlanul méltóan újszerűt húzott az alkotógárda!!!! Megjelent egy alternatív epizód, azaz egy „mi lett volna ha” rész! Igen, ez frankó!
Emlékszünk, Samu barátunk merészet kockáztatott, amikor nem csak a szerelmét vallotta be Bettynek, de azt is elmondta, hogy ő törte fel az iskolai e-naplót, ezzel megmentve Bettyt a bukástól.
Betty az eredeti idővonalon természetesen értékelte Samu önfeláldozó tettét, ebben az alternatív részben azonban nem hogy nem értékeli, de egyenesen feljelenti Samut az osztályfőnöknél!
Innentől kezdve Samu korábbi világa megsemmisül, az alternatív idővonalon a kicsapást a gyorséttermi munka és az éjszakai hackelések követik. Samu nappal éttermezik, éjszaka azonban az Anonymous hacktivista csoport ászaként korrupt politikust üldöz és vadászik le.
Természetesen a sorozat alkotói itt is odafigyeltek a következményekre – Samu az alternatív történetben is elnyeri méltó büntetését.
A börtöncellába lépve, a 150 kilós, agyonvarrt, pokolangyala-kinézetű (félmigráns) cellatárs rádörren Samura:
- Itten én vagyok a főtökös, csíra, a te neved meg ezentúl Betty!
Én eddig is hatalmas rajongója voltam Krasznany Csaba doktorúrnak (Büszke viselője vagyok a Krasznay Inside pólómnak), de most ismét leborulok a Doktorúr lába elé, és megcsókolom a földet is, melyen tapodott.
Csaba egy csodálatos sorozatra hívta fel a figyelmemet, amelyet a NUPS CyberSec – azaz a Nemzeti Közszolgálati Egyetemen működő kiberbiztonsággal foglalkozó Kutatóműhely – készített, és amely agyonveri a Mr. Robot, sőt, ki merem mondani, hogy a méltán népszerű és legendás Hacktion sorozatokat is.
A sorozat „Egy hacker élete” címmel forog, és minden van benne, aminek egy jó sorozatban lennie kell: hacker, szerelem, lelki válság, humor. Egyedül kisgyereket és kutyát nem vonultattak még fel, amelyek természetesen elemi részei egy jó filmnek vagy sorozatnak, de a mű ezek nélkül is tökéletes.
Eddig négy epizód jelent meg, és olyan erővel szögezett a jutubhoz, és annyiszor néztem meg a részeket, hogy a Telekom értesítése szerint 80%-át elhasználtam a 2GB-os adatkeretemnek. De megérte.
(UPDATE: a hogyvolt NEM baszogatás, vagy lehúzás, TÉNYLEG rohadtul teccik a sorozat!!!!)
*** SPOILER ALERT *** - Az epizódok ismeretője alatt van belinkelve az adott rész, szóval aki nem szereti a spoilereket, előbb nézze meg a részeket! ****
1. Epizód - Start
Az első epizód egy iskolai jelnettel indul, ahol megismerjük a matekórán unatkozó főhőst, aki első pillanatra igencsak emlékeztet egy hobbitra.
Erre rá is játszanak, hiszen felvillantanak pár hobbitos poént is. Az első epizódot így foglalja össze az alkotógárda:
A Nemzeti Közszolgálati Egyetem kiberbiztonsági filmjének első fejezete, melyben megismerheti a hackerek típusait és a különböző hackerek motivációit, áttekintést kap a cyberbullying jelenségéről és a védekezés módjairól, megtudhatja, hogy a kiszivárogtatások miért veszélyesek Önre és a számítógépén tárolt adatokra.
Ifjú leendő hekkerünk a matekórán unatkozik, hiszen már 11.-ig megvolt a matek ötöse úgy, hogy egyáltalán nem kellett tanulnia. A figyelmét inkább Betty köti le, aki megint nem írt vissza Facebookon! De Betty üzenget az órán, látványosan chatel valakivel! De kivel?!! Biztosan Pettel vagy Tommal, a két surmó „menőcsávóval”!
Pet és Tom ránézésre archetípusa minden kockagyötrő, suttyó köcsögnek, itt már érezni lehet azt a feszültséget és a kisebbségi komplexust elsöprő motivációt, amely egyenesen elvezet addig a pillanatig, amikor hősünk úgy dönt, hogy meghekkeli Betty Facebook profilját, hogy kiderítse, vajon kivel chatel távolról csodált szerelme.
Frész Ferenc mesterem mindig is azt állította, hogy a legjobb motiváció a p*na, és úgy látszik, a NUPS CyberSec is hasonló véleményen lehet, hiszen a bizonytalanság végül odáig kergeti hősünket, hogy beleveti magát a Googliba, és saját magát képezve létrehoz egy weaponized dokumentumot, amelyet phishing támadással szór szét az osztálytársak között.
A tiszta és ártatlan fiatalember az epizód végén már hekker.
Az erkölcsi kételyeket elsöpöri a bizonyítási vágy: a nyomi hobbit előnyére fordítja introvertált személyisége minden negatív értékét, és megfordul a szél. Már nem hobbit többé, hanem hekker. Csak várnia kell, és hatalmat nyer az osztálytársai felett. Ha nem is elbűvölő egyéniségével, de talán kinyitja Betty magánéletének titkos ablakát, és hamarosan beférkőzhet a leány életébe.
Az elfogyasztott tucatnyi energiaital ellenére elnyomja az álom, és álmában igazán hőssé válik: megmenti a leány életét, amikor az egy kigyulladt házban reked a liftben. De nem akármilyen szupererővel, hanem a frissen szerzett csodálatos hekker képességével szabadítja ki a leányt a liftből, aki másodfokú füstmérgezéstől és szerelemtől reszketve hullik a karjába.
2. Epizód - Feel the power
A második részben az ifjú Samu Anakin a Sötét Kalap Oldal bűvkörébe kerül. A visszahúzódó, csendes kívülállóból olyan támadóvá válik, aki ellen nem lehet izomerővel védekezni. Samu Anakin további bűncselekményeket követ el, leszámol ellenségeivel és bérletet vesz 50-ből.
A Nemzeti Közszolgálati Egyetem kiberbiztonsági filmjének újabb fejezete, melyben megtudhatja, hogyan történnek az adatszivárogtatások, valamint milyen problémákat jelenthet az informatikai eszközeinken tárolt információ egy ilyen esetben.
Felébredve a liftes álomból hősünk konstatálja, hogy megérkezett az első reverse shell. Estére irányítása alá kerül az osztály minden gépe.
„32 gépet törtél fel!”
A bosszú pillanata elérkezett. Pet gépén erősen kompromittáló böngészési előzményeket talál, amelyeket lelkifurdalás nélkül megoszt ellenlábasa Facebook oldalán. Pet erkölcsileg megsemmisül, kihúzható a Betty szerelméért küzdők névsorából.
Samu Anakin már korántsem áldozat, a széles arcán elömlő vigyor több, mint gúnyos: inkább kéjes. Lehet, hogy úgy gondolja, nem csak magáért, de minden elnyomott és megkínzott kockáért bosszút állt, de a valóság azonban az, hogy Betty iránt érzett szenvedélye minden erkölcsi gátat lerombolt lelkében. Kegyetlenné vált, aki titkos és misztikus erők bírtokában már felette áll a halandóknak, korlátáanul rendelkezik életükkel és digitális lábnyomukkal.
Ezt erősíti fel a következő leszámolás, amely nem mentes a politikai aktualitásoktól sem. Tom gépén (vagy Tom apja gépén?) olyan kompromittáló anyagokat talál, amelyek kartelezésre és mutyikra utalnak. Samu Anakin cseppet sem habozva elküldi a dokumentumokat a sajtónak, Kele Tom pedig végül két évet kap.
És ismét az a mosoly.
Sok minden elárul a főhős lelkében végbemenő változásról. Az epizód címe és az átalakulás áldozatból kínzóvá nem mentes a Star Wars áthallásoktól, hasonló pillanat ez, mint amikor Anakin Skywalker lemészárolja az ifjú Jedi lovagokat. A bukás pillanatának vagyunk tanúi.
Van-e még visszaút? Visszakaphatja-e még a főhős ártatlan és tiszta lelkét?!
Szerencsére nincs még minden veszve.
Betty gépén nem talál terhelő adatokat. Az epizód drámai ívének tetőpontjához közeledve Samu Anakin bekapcsolja a leány gépének kameráját és mikrofonját!
Most dől el minden!
Főhősünk izgatottan figyeli, amint Betty mit sem sejtve vetkőzik, alighanem aludni készül.
Samut elfogja a kétség, bár látni és hallani akarja a leányt, remegő kezével összecsukja laptopját! Nem most, és nem így akarja meztelenül először látni a szerelmét!
Kész, megmenekült a lelke!
Bár Petet kivetette a társadalom és az osztályközösség, Tom vagy Tom apja (ez pontosan nem derül ki) börtönben rohad, a hős mégis ellent tudott állni a kísértésnek, megmentve ezzel halhatatlan lelkét és Betty erényét a legfélelmetesebb ellenségtől: saját sötét énjétől és mindenható hekker-hatalmától.
Bár Anakin Skywalkerben lett volna ennyi tartás és visszatalált volna az Erő világos oldalára...
De mégis csinálni kellene valamit, Betty a kamera nélkül elérhetetlen messzeségben van! De hopp, a levelezését átnézve (amely minden őszinte és tiszta kapcsolatnak feltétele) kiderül, Betty bukásra áll matekból.
Itt van hát a nagy lehetőség, bebizonyítani Bettynek, hogy méltó a szerelmére: csak fel kell törnie az e-naplót, és Betty jegyeit átjavítva megmenteni a leányt – na nem az égő házból, - de a rossz eredmények miatt kirótt szobafogságból!
3. Epizód - Feltöröm az e-naplót
Hősünk tehát szent küldetésben jár, igazi lovagi erény megmenteni a leányt a toronyszoba fogságából, nemigaz? Ehhez ugyan ismét bűncselekményt kell elkövetnie, de valójában bűn, ha az igaz szerelemért száll harcba a lovag?
Nem, persze hogy nem.
A Nemzeti Közszolgálati Egyetem kiberbiztonsági filmjének újabb fejezete, melyben megtudhatja, hogyan történik a social engineering és mi a célja az adathalász, más néven phishing támadásoknak.
Főhősünk a korábban már sikeresen alkalmazott módszert követve phishing támadást indít a tantestület ellen, és képzett social engineerként sikeresen ráveszi őket („frissítettük a rendszert, kérjük, hogy újra jelentkezzenek be”), hogy bejelentkezzenek az „e-napló” rendszerbe.
Kicsit zavaros a kép, ugyanis nem e-naplót fogunk látni, hanem egy sima osztálynaplót, de aki nem érti a finom utalást arra, hogy az elmaradott oktatási struktúrában hazánkban az e-napló is papírból van, az nézzen inkább Híradót.
Betty tényleg pocsékul áll, egy igen humoros pillanat következik, a papír e-naplóban Betty jegyei csupa 1-esek!!! Hősünk minden jegyet 2-esre javít, ezzel elkerülve a felesleges kockázatot, hogy lebukjon a feltűnő javítás miatt.
Ismét egy csúcspont következik, a hősnek ki kell lépnie az árnyékból, fel kell fednie magát, a tettét, és szerelmét a leány előtt. Az introvertált Samu bedob 6-7 felest, elolvassa a Velvet „Hogyan legyél férfi” cikkét, majd összeszedve minden bátorságát, találkozóra hívja a leányt.
Samu rágózik, várja Bettyt egy plázában. Eszébe jut, amit a Velvet-cikkben olvasott, és eltünteti a rágót, arca így már kevésbé emlékeztet egy hörcsögbe oltott hobbitra.
Megérkezik Betty. Hősünk tátott szájjal bámulja a könnyű léptekkel érkező leányt, soha nem látott még hozzá foghatót. A fiúból elemi szexuális energia árad, Betty észreveszi, és abbahagyja a telefonálást. Megtörténik a nagy pillanat.
Samu egy börleszk-szerű esés után bevallja Bettynek a történteket, a leány pedig álmodozó arccal felteszi a kérdést: - Miért tetted?
4. Epizód – Szerelem
A beteljesülés epizódja következik. Hőseink szerelme kibomlik és boldog pillanatokat élnek át. Samu baszik többet hekkelni, minek, amikor már megvan a legértékesebb finding?! De jajj, a sors elszakítja egymástól a szerelmeseket...Van kiút a reménytelenségből?
A Nemzeti Közszolgálati Egyetem kiberbiztonsági filmjének újabb epizódjában azt láthatjuk, hogyan áll egyenesbe hősünk élete, milyen "soft-skillek" segítik a kiberbiztonsági pályák közötti választásban.
A vallomás után Betty boldogan megcsókolja a fiút, de Samu közben úgy néz, mintha a leány szájában pálpusztai sajtot rejtegetne.
Mindegy, végre összejöttek és boldogság minden napjuk. Minden idejüket együtt töltik, és kölcsönösen kielégítik kiegészítik egymást.
Betty matekot tanul Samutól (bár teljesen hülye hozzá), Samu meg „humán vonalon” kap rengeteg segítséget Bettytől (végre megfürdik, és nem zabál tovább csipszet meg nem szlapál energiaitalt).
Az epizód itt éppen átfordulna egy szerelmes komédiává, amikor váratlanul ismét dráma következik. Esküszöm, mintha érzelmi hullámvasúton ülne a néző!!!!
Betty tanárképzőbe jelentkezne tovább, és rá akarja venni Samut, hogy az szintén a tanári pályát válassza. Samut természetesen a számítógépek érdeklik, de ha nem akar elszakadni a leánytól és ismét magányos, önfertőző éjszakákat eltölteni, kénytelen lesz maga is a tanári pályán kiteljesedni.
Nyomasztó fellegek gyűlnek Samu feje fölé, de szerencse mellé szegődik: akármennyire is korrepetálta Bettyt, a leányt nem veszik fel a tanárképzőbe. Átérezhetjük az Y-generáció életfájdalmát: a célját vesztett Betty létalapja már csak az üres létezés.
Minden terv romba dőlve, Betty jövője a kallódás és tengődés, esetleg romkocsmában búslakodás. De tudjuk, a kallódó fiatalokat szervezik be a terroristák öngyilkos meréynlőnek!
Ezen a ponton koherencia-törés tapasztalható. Túl sok lesz a valóság a fikcióban, a politikai élet és a magyar rögvalóság durván betör a sorozatba.
Betty már nem jó semmire, nem lehet hasznára a Hazának (ez később még fontos motívum lesz!), így a Haza és a szülők megszabadulnak a leánytól: a szülők külföldre küldik.
Nem, nem mondják ki, hogy tanulni – hiszen azzal a sorozat készítői azt sugallanák, hogy egy magyar tanárképzőbe nem felvett fiatalt minden további nélkül, tárt karokkal várnak a külföldi felsőoktatási intézmények, ahol fel is veszik őket, nem!
Nem mondják ki, hogy a magyar felsőoktatás tehát magasabb színvonalú, mint a külföldi – de ez el van rejtve a gondolatok és érzések kavalkádja mögé, pontosan tudjuk, hogy erre utalnak az alkotók. Esetleg meghagynak bennünket abban a hitben, hogy Betty szállodai takarítóként hatszor többet keres majd, mind a saját szülei együttesen.
Mindegy, tisztult a kép, Samunak már nem kell tanárnak állnia, a leány repülővel elhagyja az országot (háttérben felcsendül a „Gyere haza Fiatal” lágy és édesbús melódiája). Viszont látjuk még Bettyt? Hazatér még Samuhoz?
Tudjuk, hogy nem. Egy távkapcsolatot „a világ másik végéről” nem lehet fenntartani. Néhány hónapnyi Skype- és chat-sex után a pár a szakítás mellett dönt.
Hiába volt hát minden? Ezért a románcért kellett Petnek kiközösítve elbújdokolnia? Tomot időközben begyűrte valami főtökös a sitten, ezért a kapcsolatért kell naponta kétszer kiszolgálnia a májerjét?
Alighanem az epizód végével érkeztünk el a sorozat egyik legdrámaibb pontjára.
Mihez kezd most Samu? Mit tehet egy férfi, akitől erőszakkal elszakítják a szerelmét és romlásba döntik azt a kapcsolatot, amiért mindent (erkölcsöt, etikát, lelkiismeretet, becsületet) de főleg mindenkit feláldozott??
Természetesen belép a Nemzeti Kibervédelmi Hivatal állományába!!!
5. Epizód – Hivatásos leszel
Samu elvégzi a műszaki egyetemet, de magányos. Elvesztette a szerelmét, azóta legfeljebb az Sch Qpa-ra odatévedt, leittasodott ELTE-s leányok jutnak neki. De végül megtalálja élete hivatását, amelyben kiteljesedhet és boldogan élhet, amíg...
A Nemzeti Közszolgálati Egyetem kiberbiztonsági filmjének újabb fejezete, melyben megtudhatja, milyen szerepük van a nemzetbiztonsági szolgálatoknak a kiberbiztonság megteremtésében.
Samut frissen diplomázott mérnökként állás után néz. Sok fejvadásszal találkozik, jobbnál-jobb álláslehetőségeket kap.
„Aztán az egyik fejvadász kimondja a varázsszót: NEMZETI KIBERBIZTONSÁGI HIVATAL”
Samu megtudja, hogy van egy szervezet, amely éjt-nappallá téve küzd a nemzetet érintő kiberfenyegetések és kibertámadások ellen.
„Ráadásul az öltönyös úr elmondja, ha őket választod, a kiképzés után bármi lehet belőled: Rendőr, Kém, Katona!”
Igazi Neo-s pillanat ez.
Ott ül Samu, vele szemben az öltönyös Morpheus, kezében a kék és piros pirulákkal. Samu-Neo egy pillanatot sem habozik: egész életében a kiber vonzotta, így belép a Nemzeti Kibervédelmi Hivatal állományába!!
Visszaugranék arra a pillanatra, amikor kiderül, Betty semmire nem jó, nem vették fel tanárnak, és el kell a Hazát hagynia.
Ha Samu motivációját vizsgáljuk, akkor nyilvánvalóvá válik, hogy úgy érzi, az elbukott és elűzött Betty helyett is a Hazát kell szolgálnia, mintha a szolgálattal Betty alkalmatlanságát is eltüntethetné. Igazi nagy pillanat ez, Samu az önfeláldozásával Betty megváltását keresi.
Az NKH azonban nem szabja olcsón az árat: Samu testi-lelki gyötrelmeken megy keresztül a kiképzés alatt.
Neonak egyszerűbb volt: fizikai valójában nem kellett Coopert futnia, szögesdrót alatt másznia, vagy átrepülni egy akadálypálya fala felett. Samu nehezen viseli a megpróbáltatásokat, a fizikai gyakorlatokon úgy teljesít, ahogy Betty korábban matekból.
Igazán humorosan mutatja be a sorozat a civilből hivatásos harcossá válás rögös útját.
A kemény kiképzés kohója végül minden salakot kiéget Samuból, aki tíz kiló izmot építve, hivatásos szolgálatra alkalmas állapotban kerül ki a megpróbáltatásokból. Bár tudja, a fizetése jóval kevesebb lesz, mint a privát szektorban, de többé soha nem lesz egyedül: a Hivatal átöleli, és meleg kebelére szorítva tartja, táplálja és óvja, mint fecskemama a fiókját.
A kiképzés után végre beléphet a Hivatal irodaépületébe!
Ami innentől következik, méltán lesz hivatott a fejből idézésekre! Torrente? Indul a bakterház? Bud Spencer? A sorozat itt emelkedik a klasszikusok közé és nyeri el az örökkévaló glóriáját.
Samut új főnöke fogadja, akiről legendák keringenek. Mezitláb ül az irodában, arca kitakarva: az Ezredes inkognitója nemzetbiztonsági érdek!
Az Ezredes arcának kitakarása olyan szimbólum, amelyről beszélnünk kell. Az Ezredes és a Hivatal munkatársai értünk, a Hazáért dolgoznak és szolgálnak.
Arctalan hősök, akikről nem is tudjuk, hogy léteznek, nem is sejtjük, hogy minden pillanatban értünk harcolnak a kiberfrontok nyákfüstös lövészárkaiban.
Samu megtalálta a helyét, hiszen nem szeret kitárulkozni, introvertált személyiségével tökéletes összhangban van az arctalan nemesi lét.
Kiderül, az Ezredes mindent tud Samuról, hiszen tizenéves kora óta rajta tartja mindent látó szemét.
Tudja, hogy Samu mit követett el, hiszen a Hivatal szinte isteni hatalommal rendelkezik. Tudja, hogy Samu szolgálni akar, helyre akarja hozni az elkövetett hibákat, és olyanok ellen akar küzdeni, akikhez hasonlatossá vált egy leány szerelme miatt a múltban.
Új élet kezdődik, Samu tiszta lappal indulhat.
De milyen élet ez?
Samu egyre többet lát a titkos háborúból.
Látja, hogy más országok titkosszolgálatai kémprogramokat telepítenek fontos állami rendszerekbe.
Látja, hogy idegen ügynökök (civil és Soros) környékeznek meg állami vezetőket, és arra próbálják meg rávenni őket, hogy dugjanak be egy pendriveot a hivatali gépbe, ezzel trójai programokat telepítve a szupertitkos iratokat kezelő számítógépekre.
Az emberen nem tanulnak saját hibáikból, Samu azt is látja, ahogy a terrorszervezetek internetes propagandával majd személyes kapcsolatfelvétellel próbálnak öngyilkos merénylőket csinálni elkallódott fiatalokból (Hú de jó, hogy Betty Ausztráliában van, és poligám kapcsolatban él egy aboriginál törzzsel!).
Samu a Hivatalnál eltöltött évek alatt túl sok ember életébe tekintett bele és ezeknek csak elenyésző része igazán veszélyes az államra nézve.
A távközlési és internet szolgáltató cégek hatalmas mennyiségű adatot gyűjtenek össze az emberekről a törvényi előírások miatt. Samut bevonják egy szigorúan titkos fejlesztésbe, amelynek az a célja, hogy a szolgáltatói adatokat egy helyre gyűjtsék, és azokon olyan BIG DATA elemzéseket végezzenek el, amelyek segítik a gyanús viselkedést kiszűrni.
Samunak nagyon tetszik a technológia, és hisz abban, hogy ez segíti a Hivatal munkáját, de azt is látja, hogy a főnökei – az Ezredessel az élen – nemigazán próbálnak határt szabni a megfigyeléseknek.
Samuban az évek alatt egyre gyűlnek a kétségek. Vajon minden állampolgár minden adatát be kell gyűjteni?! Bármilyen megfigyelést el lehet rendelni?
Hol van már a kisebbségi komplexusos nyomi hobbit? Samu magasrangú tisztként hozzáférést kap a titkos projekt minden részletéhez. Samuban elemi erejű kérdés tolul fel:
"Mi a fontosabb, az Ország biztonsága, vagy az, hogy az emberek tudjanak róla, hogy tömegesen figyelik meg őket?"
Samu érzi, ha így megy tovább, hamarosan beköszönt az orwelli 1984...
Elképesztő záróképek és hangulat!
A Hazát szolgáló Samu lelke kettéhasadt, a Haza szolgálata iránt elkötelezett tiszt egy lelki MMA meccsen viaskodik a Betty erényét saját magától megvédő gyermeki-énnel. A Jó és a Rossz ősi párharca ez, egyetlen emberben integráltan.
Az a régi pillanat, amikor lecsukta a laptopját és nem leste ki a gyanútlanul vetkőző Bettyt, most visszaköszön a nagy kérdésben: Van-e joga meztelenül látni a szerelmét annak tudta és beleegyezése nélkül?
Itt ér véget az epizód, kétségek közt hagyva a nézőt. Kit érdekel már Betty sorsa, amikor kedves főhőse snowdeni pillanatokat él át? Mit választ hát Samu? A Hazát vagy a lelkiismeretét?
Jól megcsapta a BKK-t a NAIH, alaposan odalépett egyet nekik.
A NAIH állásfoglalása szerint a BKK az e-jegy tragikomédia (emlékszünk, 50Ft-ért bérlet, „hekker” előállítva, tüntetés, maszatolás, nem úgy volt, „súlyos kibertámadás” – végül T-Systems vezetők távozása) felvonásaiban megsértette a tájékoztatási kötelezettséget, a felhasználóknak nem nyújtott megfelelő információt az adatkezelésről, ráadásul a felhasználók adataira sem vigyázott az elvárható módon.
A NAIH a vizsgálat után kicsapott egy 10 millás adatvédelmi bírságot, úgyhogy most lehet gondolkodni azon, hogy egyrészt miből lesz ez kifizetve (ki állja valójában a cehet), másrészt meg a szcientológusok 40 millás bírságával összehasonlítva (ahol aztán olyan gusztustalan dolgok derültek ki, amelyekért börtön járna) látszik, hogy nagyon komolyan kezelte az ügyet a NAIH.
Én azt tippeltem, kitolnak egy max 2-3millás bírságot, ehhez képest a 10 milla azért igen csak „értékelő” vélemény. Ja, a T-Systems ellen megszüntették az eljárást.
Összegyűltek a bölcs kútfők, Ott, a konferencián, Nyitott füllel tanultak, Sokat is talán-talán. Hazatérve megjegyezték: Sok a dolgunk nagyon még! Közbevágott a Priszélsz Úr: „A” termék az majd megvéd.
Nem szegmentált a hálózat, Gyűjti be a lagokat, S a hekker az adatokkal, Már tudj’ isten hogy hol szalad; Javítsuk ki, mert maholnap, Az auditor is benéz... Közbevágott a Priszélsz Úr: „B” termék az majd megvéd.
Szűk a büdzsé, a Priszélsz Úr, Csak akkor nyer, ha jól vetít, Szórja is Ő a hájpoknak Három betűs neveit. Mért nem rendel már az Ügyfél? Mit henyél a beszerzés! Megmondta Ő a CISO-nak, “C” termék az majd megvéd.
Hát a tűzfal, hát a proxy, Kiluggatva, olyan ó, A szabályrendszer hajhálónak Se igazán mondható; Hívni kéne egy pentesztert, A becsült napszám ezer év, Közbevágott a Priszélsz Úr: „D” termék az majd megvéd.
Kriptálódik a fájlrendszer, Minden adat odavész? Nincs BCP, tesztelt mentés… Az IBSZ csak félig kész. De ez nem az Ő hibája, Ő priszélszesnek születék, S a szakmában ősi jelszó: A termék az majd megvéd.
Az jutott eszembe, hogy mindenki azon lovagol, hogy „a szerencsétlenek, cleartext-ben tárolták a jelszavakat” – holott ez nem biztos, lehet, hogy csak gyenge, visszaállítható kódolással (ne lovagoljunk azon, hogy az ugyanolyan, mintha cleartext lenne).
Úgyhogy vettem a kedvenc 29 rekordos blokkomat, és MD5 után betoltam a kódokat a hashkiller online-ba.
Nem igazán számítottam eredményre, de:
BAZINGAAAA, hát ezek vissza lettek állítva!
Milyen következtetést lehet ebből levonni?
Ezeknél a usereknél az adott forrásrendszer MD5-ben tárolta a jelszavakat, és a csúnyabácsi/csúnyanéni megszerezve az adatbázist, visszaállította a jelszavakat pl. a hashkiller online-on, vagy offline, és aztán feltöltötte.
Jó, mi?
Nem, annyira nem.
Eszembe jutott, hogy ha már MD5-tel megnéztem, akkor meg kellene nézni unalmas SHA1-el is (ezt egy konferencián hallottam, amikor rákérdeztem, kiderült, hogy sótlanra gondolt). Nosza, ugyanezekből a jelszavakból unalmas SHA1, majd be vele a hashkillerbe!
Bmeg, ez is BAZINGAAA*
Na jó, de akkor mit jelent ez?
Szerintem a legvalószínűbb, hogy legalább KÉT olyan rendszerből is történt szivárgás korábban, illetve azok a kedves felhasználók, akiknél az MD5 és az SHA1 is megtalálható a haskiller-en (ergó a jelszavukat az egyik forrásrendszerben MD5-ben, a másikban pedig SHA1-ben is tárolták) – a két rendszerben ugyanazt a jelszót használták.
Igazából ez borítékolható volt, de legalább a feltételezés mellé lett gyártva valami konkrét alap is.
*: (az évszámot hagyjuk ki ebből, az ugye eleve alap, hogy megvan mindkét kódolásban)
“Komoly biztonsági incidens egy magyar kormányzati informatikai rendszerben” – azaz 2018.01.14.-én publikálódott egy jóféle hazai breach – legalábbis így adta le a hírt az ITCafe - https://itcafe.hu/hir/hack_magyar_kormanyzat.html).
A PasteBin megosztóra került fel egy lista, amelyben magyar magánszemélyek, szervezetek és kormányzati intézmények „kiszivárgott” hozzáférései találhatók - több, mint 6000 rekord.
Account Takeover (ATO) – megjegyzendő hárombetűs
Az account takeover a szervezethez kapcsolódó, a szervezet felhasználói által igénybe vett belső és külső szolgáltatások hozzáféréseinek kompromittálódását jelenti.
Az incidens során egy vagy több, külső vagy belső rendszerhez hozzáférő felhasználó bejelentkezési azonosítója és jelszava illetéktelen kézbe jut, bizalmassága súlyosan sérül.
Account takeover esetén a kiszivárgott hozzáférés segítségével illetéktelen személyek is hozzáférhetnek az adott szolgáltatáshoz vagy rendszerhez. Az eseményből más incidensek is következhetnek, mivel a felhasználók jellemzően azonos vagy csak nagyon kismértékben eltérő jelszavakat használnak az egyes szolgáltatásokhoz, tehát ha egy hozzáférés kompromittálódik, lehetséges, hogy más szolgáltatásokba is be tud jelentkezni az illetéktelen személy.
Még súlyosabbá válhat a probléma, ha a szervezeten belül, a belső rendszerekhez történő hozzáférésekhez használja a felhasználó a kiszivárgott jelszót, és a belső jelszócsere folyamatok hosszú átfutásúak (90-180 nap) – vagy egyáltalán nincsenek.
Kell-e most félnünk és aggódnunk?
Esemény után már minek aggódni? Akkor már csak az eseménykezel... eseményelnyelő... NA! ...eseményutáni tabletta segít.
A listában található jelszavakkal nem is igen szeretnék foglalkozni, várom „Kripto” Norbi kolléga statisztikázását, viszont azért érdemes megnézni kicsit közelebbről ezt a listát.
A lista szerintem a „Public Combo List” kategóriába tartozik, mert bőségesen tartalmaz már korábban is megjelent/publikálódott hozzáférési adatokat.
*] gabriella.papp@mfa.gov.hu => Breach found! Seen in the LinkedIn breach that occurred on 2012-05-05.
*] marton.hajdu@mfa.gov.hu => Breach found! Seen in the Stratfor breach that occurred on 2011-12-24.
*] berki.erzsebet@szmm.gov.hu => Breach found! Seen in the Onliner Spambot breach that occurred on 2017-08-28.
*] lado.maria@szmm.gov.hu => Breach found! Seen in the LinkedIn breach that occurred on 2012-05-05.
*] portoro.peter@szmm.gov.hu => Breach found! Seen in the LinkedIn breach that occurred on 2012-05-05.
*] probald.anna@szmm.gov.hu => Breach found! Seen in the LinkedIn breach that occurred on 2012-05-05.
Megnehezíti az ellenőrzést, hogy sajnos (na jó, nem sajnos) az ingyenesen használható „Have I been Pwned -https://haveibeenpwned.com/” oldalra már betöltésre került a több, mint 6000 rekordot tartalmazó lista, szóval a tömeges ellenőrzésre kiválóan használható recon-ng modul elvileg mindenre „Breach found” üzenettel tér vissza – illetőleg nálam valamiért mégse (mintha csak a korábbi breacheket látná, és a mostani adatokat nem kapná meg API-n keresztül).
https://haveibeenpwned.com
TOP 20 domain
Azért gyanús nekem a Public Combo List dolog, mert nagyon változatos a domainek eloszlása, és sok olyan domain címet tartalmaz, amely igazából ma már nem használt – főleg ha a kormányzati domaineket nézzük.
A kormányzati domainek zöme már nem aktuális, a szervezetek kb. ötször átalakultak, stb.
gov.hu domainek
Nyilván az is nagyon gyanús, hogy sok cím (főleg a gmail, hotmail, freemail címek közül) már sok publikus breach listában megjelent – ez tipikusan a Combo List sajátossága, azaz a korábban megjelent listákból állítják össze az „új” lista gerincét.
A 119 hotmail.com-os címből 53 már korábbi breachekben is szerepelt, akár többen is. A 138db yahoo.com-os címből 63 szerepelt már korábbi breachekben (összesen valami 180db yahoo-s cím van a listában. Az 1700db gmail-es címből 519 szerepelt korábbi listákban.
63 yahoo.com végű cím már korábbi listákban is szerepelt
Nade mért teszik ezt? Miért kerültek ebbe bele már korábbi szivárgások adatai?
Mert nincs betyárbecsület, azért. :)
A feketepiacon a Combo Listák értéke a legkisebb, a vásárlók úgy is vannak vele, hogy a 80% 20%-nak 20%-a lehet új, eddig még nem megjelent account, a többi meg szemét, vagy korábban már ezerszer megjelent rekord.
Százezres, milliós Combo Listákat vásárolnak a csúnyabácsik és nénik, szóval a 6000-res Combo lista szerintem nemigen érhet túl sokat, kivéve, ha valid és új adatokat is tartalmaz (márpedig újat tartalmaz, a validságát meg ugye nemigen akarnám ellenőrizni, ha egy berletért ekkora hercehurca volt, akkor ezért alighanem kerékbetörnének.
Ami még érdekes a Combo Listák esetében, hogy többször láttam már, hogy teljesen valótlan jelszavak szerepelnek az ilyen listákban. Szintén a betyárbecsület rovására kell írni: egyszerűbb egy korábban már meglévő email címhez (vagy LinkedIn-ről legyűjtött címekhez) random jelszót generálni és ezekkel felhízlalni a listát (ezért érnek a kombó listák keveset a kiberdarkpiacokon).
Viszonylag egyszerűen kiszúrhatók az ilyen jelszavak, egy átlagos magyar felhasználó ritkán használ olyan jelszót, hogy „RX4%6!3.vs+!aQD” :) Sajnos. Aki végig pörgeti ezt a listát, látni fogja, hogy jelen listában gyanúsan „szép” jelszavak találhatók (mármint tényleg jómagyarjelszavak).
Dr. WHO
PP barátom (professzionális Incident Responder) kiszúrta, hogy a listában meglehetősen sok a doktor – „dr”, „dr.” kezdetű cím, szóval, ha nem valami kamarai oldalról származnak az adatok, akkor lehetséges, hogy a Complex Jogtár online adatbázisából valamikor kiszivárgott hozzáférések lehetnek ezek a „doktorok” (380 db).
Egy ismerős ismerőse - aki szerepel a listán megerősítette,- hogy azt a jelszót, amellyel a listában szerepel, a Jogtárban használta, kb. 5 évvel ezelőtt.
Annyival még kiegészítenem a doktorokat, hogy a 380 „dr.”-ból azért 57 doktor egyéb, már régebbi breachben is szerepelt
A jelszavakon végigszaladva 85 olyan hozzáférést lehet találni, amely feltehetőleg de nem megerősítve a BruxInfo-ból származhat. Érdekes, hogy sok esetben azonos, vagy nagyon mintakövető jelszavak vannak ezeknél a hozzáféréseknél, pl. brux0707 - brux0909 - esetleg valami default jelszavak lennének, amiket a rendszer létrehoz?
Szintén sok hozzáférés köthető egy kamatkalkulátor alkalmazáshoz, lehet, hogy a kamatkalkulator.hu? - Szerintem a következő napokban egyre több forrás lesz majd meghatározható.
De mire jók ezek a kombó listák?
Úgy néz ki a dolog, hogy a csúnyabácsik és csúnyanénik összevásárolnak/letöltenek/megszereznek mindenféle accountokat tartalmazó listákat, azokat aztán betöltik jóféle szoftverekbe (pl. Sentry MBA) – és elkezdik tolni az összes közösségi oldal bejelentkezésére, webmail loginokra, stb.
Aztán ha 2M rekordból összejön 2000-4000 sikeres bejelentkezés (tehát a 2M rekordos listából van 2000-4000 valid), akkor nagyon örülnek, és onnan már jóféle adatokhoz férnek hozzá, megszemélyesítést csinálhatnak, „személyiségtolvajlást” és hasonló kiberbűn-dolgokat.
Sentry MBA - próbálkozom, tehát vagyok
Ami vicces, hogy a Sentry MBA-hoz megírt Facebook, Linkedin, GMail, stb. próbálgató komponensek mellé a piacokon mindenféle egyéb szolgáltatás próbálgatását is lehetővé tevő kiegészítőket lehet vásárolni (Amazon, Netflix, PayPal, stb.), néha a 2M accountos lista árának sokszorosáért.
Szóval összefoglalva éppen ideje volt már egy hazai érintettségű breachnek, és azért a januári Sajnálatos Kiber Események– SKE alapján jó évnek nézünk elébe.
Kíváncsian várom, idén érkezik-e még valami hasonló, kifejezetten ultraszodómikus sérülékenység, vagy ezzel a csodával kifújt a 2017-es esztendő?
Sabri Haddouche mutatott be egy elegánsnak éppen nem nevezhető, de a maga nemében zseniális bypass történetet, amellyel "átverhető" a levelezőszerver vagy az email védelmi megoldás email spoofing védelme.
Email spoofing: az adott Szervezet (Kispista Kft.) saját domain címét (kispista.hu) feladóként megadva (gyula@kispista.hu) beküldeni a levelet, ezzel jól megtévesztve a címzettet, aki azt hiszi, hogy házon belülről jövő „megbízható feladótól” levél, és jól megnyitja a levelet (és megfertőződik, adatokat ad meg, stb.).
A jól beállított email védelmi megoldások blokkolják az olyan leveleket, ahol a levél feladója ugyanaz a domaint használja, mint amelyet a rendszernek meg kell védenie (protected/internal domain).
Azonban a trükk jelen esetben az, hogy a támadó meg sem kíséreli a feladó email címét meghamisítani.
Egyszerűen úgy formázza meg a címet, hogy ha az email kliens megjeleníti a levelet, úgy tűnjön, mintha a szervezeten belülről érkezett volna.
Példa:
A <kovacs.gusztav@securenetworx.hu; @hackerdomain.com> cím a levelezőkliensben kovacs.gusztav@securenetworx.hufeladónak fog látszani.
Durvább példa, Base-64 alapon:
A <=?utf-8?b?dWx0cmFzem9kb21pa3VzLmhpYmFAc2VjdXJlbmV0d29yeC5odQ==?==?utf-8?Q?=0A=00?=@hackerdomain.com> cím a levelező kliensben ultraszodomikus.hiba@securenetworx.hu feladónak fog látszani.
Egészen elképesztő, hogy a karakterkódolások és a vezérlőkarakterek 2017-ben még mindig ilyen galibát tudnak okozni.
Még jobb hír, hogy bizonyos levelező kliensek esetén az email header From mezőjének manipulálása XSS és kódfuttatásra is lehetőséget ad, csak hogy jó legyen.
Elvileg az értesített gyártók javítást ígértek, szóval érdemes figyelemmel kísérni a levelezőkliensünk gyártóját, és telepíteni a javításokat. És persze a jóféle phishing-hullámra is érdemes lesz felkészülni.
