Az október vége a felhő-alapú biztonsági cégek akvizícióját hozta.

A Fortinet nyitotta a sort, akik felvásárolták a ZeroFox nevű céget, akiknek a megoldása threat hunting, EDR és sok más képességgel ruházzák majd fel a Fortinet végpont- és határvédelmi megoldásait.

A CheckPoint viszont a Dome9-et vásárolta fel, akik az AWS-hez, Azure-hoz es a Google Cloud-hoz fejlesztettek biztonsági megoldásokat, amely a tervek szerint integrálásra kerül a CheckPoint architektúrájába.

A legérdekesebb szereplő azonban a Facebook, akik a jelenlegi meglehetősen bizalomszegény helyzetből akar kitörni a biztonság erősítésével.

Nem légből kapott: az ősz nagy vesztese a légiközlekedés.

Nem lennék légitársaság mostanában. Jó, máskor se, de idén ősszel még annál is kevésbé lennék légitársaság, mint máskor. Sőt, repülőtér se.

Valami átok sújthatja a légiközlekedést, mert az ősz igen szép termést hozott incidensekkel kapcsolatban, amelynek talán legnagyobb publicitást kapó esetei a légiközlekedéshez köthetők.

A publicitás oka nem a kiszivárgott adatok mennyiségében keresendő, annál sokkal nyilvánvalóbb: a légiközlekedés bizalmi szakma, a „kiberlégtérben” bekövetkező eseményekre jobban felkapják a fejüket az emberek.

Nézzük, kik is voltak az áldozatok (meg persze lássuk, mi történt a British Airways-el megint).

A Veeam 400 millió rekordos adatszivárgása megint rámutatott arra, hogy néha olyan helyről jön az „áldás”, amelyre nem is gondolunk, pontosabban: nem tudjuk, hogy esetleg hosszabb ideje, időzített bombaként ott „ketyeg” a rendszereinkben valami, amiből ömlik kifelé az adat, amelyet annyira meg akarunk védeni.

A Veeam esetében egy technikai probléma elhárítása okozta a problémát, a hibakereséshez véletlenül kinyitották a Mongo adatbázis szervert, amely így autentikáció nélkül hozzáférhető lett, majd a hibakeresés végén elfelejtették bezárni a szervert és úgy is maradt egészen addig, amíg egy kutató meg nem találta. 445 millió rekord volt a szerverben, igaz, a Veeam később 4.5 millióra becsülte a kiszivárgott, egyedi rekordok számát.

Pár hete a hasonszőrű Elasticsearch adatbázisok (hazai) elérhetőségét nézegettem meg.

Tévedés ne essék nem vagyok jogász.

Minden tiszteletem a jog napszámosaié, hiszen a jog a jó és a méltányos művészete, egyféle kötéltánc a törvény és az igazságosság vagy méltányosság oszlopai között.

Azonban a GDPR kapcsán, a rendelet betűit szentírásnak, vallási dogmának tekintő jogászok és rosszabb esetben jogászkodások mellett nem mehetünk el szótlanul.

Nem szakállas vicc, tényleg az impozáns szőrzet lett a veszte a Dream Market egyik nagyformátumú kereskedőjének.

Több hírben is felbukkant, hogy a legutóbbi nagy Facebook adatszivárgásból származó hozzáférések és jelszavak jelentek meg és tölthetők le. PÁNIK INDUL!

 A hírek 1210 (600+610) kiszivárgott adatrekordról beszélnek, amelyek egy nyilvánosan is elérhető letöltő helyről szedhetők le.

Kaptam ma egy érdekes levelet, amelyben webalkalmazás-tűzfalat ajánlgat egy számomra ismertelen cég.

Ez nem szokatlan nyilván, és nem is a GDPR érintettséggel akarnék én foglalkozni, holott az is megérne egy misét, hogy szerintük én korábban elfogadtam az adatkezelési elveiket, holott egyébként nem volt még velük kapcsolatom (legalábbis nem emlékezem rá, és erre alapos okom van).

Engem érdekelnek a webalkalmazás-tűzfalak, szóval miért ne nézném meg az ajánlatot?

Viszont a küldő fél kifejezetten gyanús, nem állítom, hogy minden integrátor vagy disztri, pláne egyéb IT-s céget ismerek Magyarhonban, de eleve óvatosabban állok hozzá olyanokhoz, akikről még nem hallottam.

Ki a fene az a NILS ID Kft. aki webalkalmazás-tűzfalat ajánlgat nekem?

A szokásos köröket megfutva (MX, Header, IPVOID, URLVOID, VIRUSTOTAL, OTX, PassiveDNS, Sucuri, PartnerControl, stb.) egy virtuális gépből megnéztem az oldalt, ahova a levél irányít:

https://nilsay.hu/az-igazi-webes-vedelem

Innen már látszódott (?), hogy az Alef Distribution Kft. marketing akciójáról van szó, amit a NILS ID Kft. bonyolított le.

De hogyan?!

Az URL ugyanis a Nilsay társkereső oldala, szóval az "Alef" lead generátor hírlevelének landingja egy randioldal aloldala...

Az Alef-es kolléganő akivel beszéltem nem tudott az akcióról. Felhívtam tehát a NILS ID Kft.-t, akik megerősítették, hogy az Alef megbízásából jártak el és a lead generálást az Alef számára végzik.

Én kötve hiszem, hogy az Alef Distribution Kft. az F5 webalkalmazás-tűzfal (WAF) eszközeit egy randioldalon keresztül szerette volna reklámozni....

UPDATE:

És nem is. Még érdekesebb a helyzet.

Felhívott az Alef illetékes kollégája, aki elmondta, hogy nincs közük a NILS ID Kft.-hez.

Van ugyan marketing megbízásuk lead generáló akciókra, de semmiféle kapcsolatban nem állnak sem a NILS ID Kft.-vel, sem pedig a társkereső oldallal.

Innentől már másról szól a sztori, „brand abuse” incidenssé módosul az esemény  korábbi "OMG!" besorolása, amely ellen az Alef Distribution Kft. megteszi a szükséges intézkedéseket.

Az Alef Distribution Kft. reakciója korrekt és mintaszerű volt, és ha a végén tényleg jól fenékbe is rúgnak valakit, pozitívan változik a véleményem az IT marketinggel kapcsolatban.

UPDATE2:

Makay-Dévai Sarolta, a Woman in IT Security (WITSEC) angyala fogalmazta meg a jó kérdést: akkor hova is kerülnek az Alef és az F5 nevében begyűjtött adatok? 

UPDATE3 (14:15)

Most hívtak a NILS ID Kft.-től azzal, hogy beperelnek, mivel szerintük rontom a jó hírnevüket: Merthogy mégis kapcsolatban állnak az Alef Distribution Kft.-vel - állítják (??????). A dolog kezd szürreálissá válni. 

UPDATE4 (15.14)

A helyzet tisztázódott (asszem). Az esemény "OMG!" státuszba került vissza. Aggodalomra semmi ok, mindenki ura minden helyzetnek, az adatok nincsenek veszélyben, a kibertér ma is megmenekült. 

A blogon már régebben is szerepelt az Office régi verzióiból bent maradt DDE funkciók kihasználása, most egy kicsit visszatérünk erre a sérülékenységre, mert nem hogy nem kopott ki, de újra "hódít".

A régebbi Office alkalmazásokban a Dynamic Data Exchange (DDE) protokoll biztosította az Office alkalmazások közötti adatcserét, ezt ugyan már az új Office verziók nem használják, viszont kompatibilitási okokból a funkció megtalálható a modernebb Office kiszerelésekben.

A DDE „macro-less” malware tavaly kapott nagy publicitást, a Sense Post kutatói által bemutatott módszerre aztán a vírusvédelmi vendorok is reagáltak, szóval a „klasszikus” DDE hívásokat meglehetősen jól észlelik az Anti-Vírus megoldások (meg persze a Microsoft is).

Azonban a DDE bizniszben sem áll meg az élet, a mostani postban a DDE „macro-less” módszerek „új generációját” mutatjuk be, szóval a DDE kihasználási lehetőségek továbbra is működhetnek.

Kiberkatonákat vet be a Magyar Honvédség - írja a Portfolio.  

Nekem erről az jutott eszembe, milyen lehet a magyar kiberkatona? Hackerszöveg a fémvázon? És főleg, mit csinálhatnak a kiberkatonák?

A válasz a zenében rejlik. 

Előre is elnézést, ezt a címet már nagyon régen el akartam sütni, bár a tartalommal nem teljesen koherens.

Ha meg akarnám magyarázni, akkor azt mondanám, hogy a Super Micro baromi sok datacenterben jelen van, a VPS-ek és bérelhető szerverek (valamint AWS szerverek) jó része is Super Micro termékeiből épültek fel, szóval, ha így nézzük, még igaz is a cím.

Szóval megjelent egy hír, miszerint a Super Micro szerver alaplapjaiba a gyártás során a kínai munkások „véletlenül” beépítettek egy eredetileg nem az alaplap szerves részét képező apró chipet, amely finoman fogalmazva is többletfunkciókkal „támogatja” az alaplap működését.