Sharky szakmai blogja IT biztonság, információvédelem, adatvédelem, GDPR témában

Kiberblog

A nagyon hamis fejvadászok – avagy az átverős fejvadászat anatómiája

igazi-fejvadasz.jpeg

Abban talán egyetérthetünk, hogy a fejvadászok és a LinkedIn HR-esek (különös tekintettel, ha a poziciójukban szerepel a „talent acquisition specialist” vagy „executive recruiter” és  hasonló bullshit) néha olyanok mint a döglegyek: zajosak, irritálók és az ember legszívesebben rájuk menne egy papuccsal vagy valami összetekert újsággal.

Ez alól csak az igazi fejvadászok, például Reno Raines és Bobby Sixkiller képeznek kivételt (hagyjatok már Boba Fettel!) - és persze a csodálatos Csudutov Csudinka :)

Tovább olvasom

Durva kibertámadás érte a Nemzet szívcsakráját, Felcsútot! A hackereknek már semmi sem szent???!!!!!

felcsut-csakra3.png

Korábban persze rosszul tudtuk, de most javítom: Amit a dalai lámához hasonlóan világszerte sokan tudnak, az a hazai látogatók többsége előtt máig ismeretlen: Pilis Felcsút a Kárpát-medence energetikai szempontból kitüntetett helye, spirituális központja, őseink szerint az a pont, ahol "az Ég és a Föld összeér".

Tovább olvasom
2021\07\02 snwx 2 komment

Ladyszomjas meg a többiek - LMBTQ propaganda a TikTok-on?

tiktok-cover.png

Jelen posztban egyáltalán nem akarok foglalkozni a kormány a másságot gyalázatosan diszkrimináló, vagy a gyermekeink tisztaságát megőrző „gyermekvédelmi” törvényével – döntse el mindenki a saját erkölcsi, etikai normái szerint, hogy hova sorolja ezen intézkedéseket.

Már régen szerettem volna azonban foglalkozni kicsit a TikTok OSINT lehetőségeivel, így a Magyar Nemzet cikke erre most jó kis alapot adott.

Én rendkívül naiv és hiszékeny ember vagyok, de azért szerettem volna kicsit jobban utána járni a Magyar Nemzet cikkcímének, miszerint „Erősödik az LMBTQ-propaganda a TikTokon”, nehogy a végén valami fake news áldozata legyek.

Tovább olvasom
2021\06\23 snwx 2 komment

A 2022-es választást emlegetve 1 millió magyar állampolgár adatait, köztük a személyigazolvány számukat árulják egy fórumban?

hun-ads_1.png

1 millió magyar állampolgár adatait árulják egy fórumban, célzatosan a 2022-es választást emlegetve. Az adatok között megtalálhatók a személyigazolvány számok, anyja neve, születési adatok, lakcímek.

 Mondom magamban: 

dasz iszt ein kubatov vagy mi a franc!

Az 1 millió rekord 50 ezer USD, a hüjének is megéri!

Szerencsére tett is ki samplet az illető, de asszem súlyos csalódás éri a privát kubatovvá lenni akarókat, mert szerintem ezek az adatok teljesen kamuk.

Legalábbis nagyon fura, hogy a néhány, mintának szánt adatban az érintett és az anyja neve is három névből áll, illetve egyik névvel kapcsolatban sem találtam még közösségi média profilt sem, ami elég meglepő mondjuk a születési dátumokat elnézve.

De perszer az is sokat elárul, hogy néhol az anyja neve teljesen zagyva, például kevéssé valószínű, hogy valakinek az édesanyját Borhala Elek Miklósnak, vagy Havasi Edina Albertnek hívnák, de a mai genderfluid világban bármi is elképzelhető.

De ilyen ez a POP3 szakma, ember embernek farkasa és a többi.

Azért csak birizgálja a kíváncsiságomat, hogy vajon teljesen random generált adatokról van-e szó, vagy pedig többféle breach dumpból kompilálták össze, mert akkor valahol valamilyen valós adatoknak kell lennie elfekvőben.

Itt főleg a személyigazolvány szám a legfontosabb kérdés, amelyet civilként ugye nemigen tudok ellenőrizni, bár létezik okmányellenőrző felület, azonban ott több adat megadása is szükséges, azaz a láthatóan kamu nevek és a bizonytalan azonosítók együttes megadása nemigen vezet sikerhez.

Ha a szigszámok esetleg validak és valami más forrásból lett a kamu adatokkal együtt összekompilálva, akkor érdekes felderítőmunka várhat a hivatásos kollégákra.

UPDATE

A szigszámok is kamuk, randomra generált cucc az egész - a sample legalábbis biztosan. 

Kritikus, 0-Day sérülékenységet találtak egy Wordpress pluginban, magyar érintettek is lehetnek

wordpress-vulnerability.jpeg

 A Wordfence riportolta, hogy a kutatói kritikus sérülékenységet találtak a Fancy Product Designer modulban, amelyen keresztül jogosulatlan fájl feltötést lehet kezdeményezni.

A sérülékenységet kihasználó támadónak lehetősége van PHP kódot tartalmazó állományt feltölteni a várt PDF fájl helyett, így ez lehetőséget biztosít kártékony kód (például reverse shell) feltöltésére, távoli kódfuttatás megvalósítására és a teljes site kompromitálására.

A sérülékenység a Fancy Product Designer 4.6.9 verzióját érinti és sajnos bizonyos esetekben akkor is kihasználható, ha maga a modul deaktiválásra került, ezért a Wordfence az azonnali frissítést javasolja megoldásként.

A Fancy Product Designer plugint legalább 17 ezer Wordpress-alapú oldal használja, köztük sajnos hazai weboldalak is.

fancy1.png 

Mindenképpen erősen javasolt, hogy aki használ ilyen modult, az ellenőrizze a verziót és ha az érintett verziót használja, akkor mielőbb végezze el a javítást. Alighanem elindult a sérülékenységet automata eszközökkel kihasználó támadási kampány, nem kellene megvárni, amíg hozzánk is elér a hullám.

Részletek itt.

2021\05\19 snwx 97 komment

Diploma nélkül nem vagy informatikus, csak „kékgalléros” asszisztens?

kekgalleros.png

Nemrég jelent meg az általam egyébként rendkívül sokra tartott Charaf Hassan, a BME VIK dékánjának interjúja, amelyben azt mondta a dékán úr, hogy:

“Diploma nélkül nem informatikus az informatikus, legfeljebb kékgalléros asszisztens.”

Elsőre ezen igen felhúztam magam, aztán eszembe jutott, hogy bmeg, nem is vagyok informatikus egyébként se, merhogy büszke bölcsész lennék, vagy mi a franc!

Tovább olvasom

Figyelmeztetés: furcsa levelek jöhetnek a UNIX Autótól, nem kellene ezeket megnyitni?

Március végén jelentette be az egyik legnagyobb autóalkatrész-forgalmazóként ismert UNIX Autó, hogy ransomware támadás érte a rendszereit, és „Sajnos rendszereink nagyon mélyen sérültek, a pusztítás gyakorlatilag totális volt, de mivel a mentéseink rendelkezésre álltak, így újra tudtuk építeni a rendszert”.  Most érdekes levél érkezett a UNIX Autó nevében, amelyet természetesen nem ők küldtek.

Nemrég továbbítottak nekem egy furcsa levelet.

A levél feladója a UNIX HR-nek mondta magát, a levél pedig egy válaszlevélnek tűnt, amelyhez egy ZIP fájlt csatoltak.

unix3_1.png

Ami miatt ez különösen érdekes, hogy a „Tisztelt” alatti szöveg egy olyan levél, amelyet korábban maga a címzett küldött a UNIX egyik közös használatú, nem nevesített postafiókjára - még 2019-ben.

Szóval az illető kapott egy választ s.mahmoud@aramandhagop.com alias UNIX HR-től a 2019-ben írt korábbi levelére (benne az eredeti levéllel), amelyhez egy kártékony kódot tartalmazó fájl volt csatolva.

unix5.png

Azt addig tudni lehetett, hogy durva ransomware támadásból kellett a UNIX-nak helyreállítania, de érdekes kérdések merülhetnek fel azzal kapcsolatban, hogy honnan került elő a korábban megírt levél, amely elvileg a UNIX egyik közös használatú postafiókjában volt, és hogyan válaszolhatott arra Mahmoud barátunk?

A malware egyébkén makrós Excel, a megnyitás után kéri a makrófuttatás engedélyezését.

Ha a makró elindul, akkor a cucc megpróbálja letölteni a payloadot, bár ez szerintem nem sikerül neki, mert elképzelhető, hogy a kért fájl már nem elérhető.

unix6.png

A 190.14.37.46 IP cím viszonylag jól ismert, láthatóan régebben is használták adathalászat és malware terítés céljára.

unix7.png

Sajnos a payloadot nemigen tudom letölteni, pedig jó lett volna látni, hogy mit is csinál pontosan.

unix4.png

Lehet, hogy irni kene s.mahmoud@aramandhagop.com-nak, hogy küldje meg a payloadot is?

A postafiók létező cím, mivel a levelező szolgáltatás rosszul van konfigurálva (Directory Harvest lehetőség), ezért a postafiók létezése ellenőrizhető.

 unix8.png

Látható, hogy a tutinincs@aramandhagop.com címre a szerver a No such user here-el válaszol, Mahmoud címére pedig OK üzenettel jelzi, hogy létező postafiók.

Szóval tessék odafigyelni, ha a UNIX nevében hasonló levél érkezik, mert nem feltétlenül ők küldték.

Az mindenképpen keltsen gyanút, hogy egy magyar cég mi a fenének kér megerősítést angolul – ha már esetleg a levelezőben nem tűnik fel a levél furcsa feladója.

Nehezíti a dolgot, hogy a levél tárgya egy „RE: xxx” válasz egy korábbi levélre, így első ránézésre tök valid is lehetne (ha nem lenne angol blokk benne) – szóval sanszos, hogy néhányan már csak kíváncsiságból is megnyitják a ZIP-ben érkező Excel fájlt.

A teljes riport elérhető itt.

Aki esetleg játszani akar vele, az a malware mintát le tudja innen tölteni, de jelszóvédetté tettem, hogy csak az kezdjen el játszani vele, aki tudja is, hogy mit csinál. A jelszót juszt se mondom meg, aki szokott ilyennel játszani, az tudja, hogy mi szokott a default jelszó lenni a sample fájloknál :) Legyen ez a beugró :)

UPDATE

Ja, értem! Pár napja írtam a posztot, csak nem publikáltam, akkor még ez nem jött elő - ezek szerint akkor nem csak ransomware eseményről beszélhetünk. 

Interjú a FluBot Malware Uninstall fejlesztőjével

flubot-sms.png

A FluBot az utóbbi idők egyik legnagyobb malware kampánya, amely az Androidos eszközöket célozza. A magát DHL vagy FedEx csomagküldő alkalmazásnak álcázó és SMS-ben terjedő malware alaposan megcsapta Magyarországot, rengetegen váltak a kártevő áldozatává.

A Nemzeti Kibervédelmi Intézet riasztásokat adott ki, illetve egy sajtótájékoztatón hívta fel a figyelmet a kártevőre, mivel a malware a banki hozzáférések megszerzését és a banki csalások elkövetését teszi lehetővé.

A kártékony alkalmazást nem lehetett egyszerűen eltávolítani, mert az alkalmazás igyekezett magát megvédeni és ellehetetlenítette az eltávolítást.

Amikor elkezdett berobbanni a kampány itthon, megjelent egy eltávolító eszköz, a FluBot Malware Uninstall, amelyet a Google Play Store-ból egyszerűen le lehetett tölteni, és amely sikeresen eltávolította a kártékony alkalmazást az eszközökről. Olyannyira életmentő volt az alkalmazás megjelenése, hogy a Nemzeti Kibervédelmi Intézet is ezt az alkalmazást javasolta a fertőzés eltávolítására.

A FluBot Malware Uninstall fejlesztőjével készített interjú egyik apropója az volt, hogy az alkalmazás hirtelen, egyik napról a másikra eltűnt a Play Store-ból, így most ezzel kapcsolatban faggatom kicsit @linuxct kollégát.

Tovább olvasom

A Facebook után Linkedin adatszivárgás? 500 millió rekordnyi Linkedin adatot kínálnak eladásra.

Sok szakoldalon megjelent (például Cybernews), hogy az egyik hacker fórumban eladásra kínáltak fel egy 500 millió felhasználó adatait tartalmazó adatbázist, amelyet állítólag a Linkedinről gyűjtöttek le. Az adatbázis a neveket, Linkedin azonosítókat, email címeket, munkahelyi adatokat, telefonszámokat tartalmazza.

A cuccot négy számjegyű összegért kínálják eladásra, ami annyiból szokatlan (de egyáltalán nem példanélküli), hogy jóval kisebb összegeket szoktak az ilyen scrapelt adatokért elkérni a fórumon.

linkedin-eredeti-poszt.png

Az eladó elérhetővé tett 2 millió rekordnyi adatot mintának, de ezeket időközben törölték. A spoilerként szereplő néhány rekordban 2020-as frissítési dátumok szerepelnek, így alighanem valóban egy frissebb gyűjtésről lehet szó. Az eladó négyszámjegyű összeget kér a teljes pakkért.

 A Linkedin szerint arról van szó, hogy a nyilvános profilokat meg a céges profilokat scrapelte le valaki és nem a privát profilok infói lettek valahogy legyűjtve.

Azt tudni kell, hogy naponta, hetente sok ilyen adatot kínálnak meg eladásra. Ez a mostani 500 milliós pakk egyáltalán nem kirívó vagy különleges (már ha igaza van a Linkedinnek), 

linkedin-raid-febr.png

Például itt látható, hogy egy februárban csatlakozott felhasználó pont 500 millió rekordnyi Linkedin adatot szeretne vásárolni, 3 ezer USD-ért februárban. 

De változnak az idők, mert ugyanez a felhasználó például a napokban már eladásra kínált fel 1 milliárd rekordnyi Linkedin adatot. Itt ugyan nem 4 számjegyű összeget kér egyben, hanem akár részekre bontva is megvásárolható a cucc, 1 millió rekord 80 USD, 10 milló rekord pedig 300 USD.

 linkedin-elado2.png

Ezzel nem lebecsülni akarom a jelenség súlyát, még véletlenül sem.

De a Linkedin profilok scrapelése és összegyűjtése egyáltalán nem ritka, sőt kvázi mindennapos esemény.

Rengeteg ilyen adat kering a neten, régi gyűjtések új, vagy valamilyen szempont szerinti kompilációi. Az eladók gyakran hízlalják a méretet, előfordul, hogy ugyanazok az adatok többféle csoportosításban is megtalálhatók.

A most felkapott hír esetében még nem tudhatjuk biztosan, hogy mi történt.

Az eladó állítja, hogy ezek friss adatok, és a spoiler alapján ez feltehetőleg igaz is. A spoilerben szereplő Linkedin profilok többsége valós, bár találtam olyat is, ami már nem működik (de tényleg nem csekkoltam mindet).

A Linkedin azt is mondja, hogy az adatok között máshonnan származó információk is szerepelnek, azaz a Linkedin profil adatok aggregálásra kerültek más weboldalakon található információkkal.

Egy profilt én is megnéztem, érdekes volt, hogy az illető contact adatában nem szerepelt az email címe, a spoiler állományban pedig mégis benne volt az email cím. Az email címet természetesen egy másik oldalon megtaláltam, szóval elképzelhetőnek tartom, hogy a Linkedinnek abban is igaza van, hogy itt valamiféle adatbróker adatbázisból származó adatokról van szó, ők előszeretettel scrapelik a közösségi média oldalakat és persze az egyéb információkat, és a végén össze aggregálják az egészet egy adatbázisba.

A Linkedinen a nyilvános profilok, és az azokon szereplő adatok bárki számára elérhetők, így ha igaz a Linkedin állítása, akkor itt nem beszélhetünk kifejezetten data breachről, arról meg pláne nem, hogy ezért a Linkedin lenne a felelős.

süti beállítások módosítása