A Secure Networx szakmai blogja IT biztonság, információvédelem, adatvédelem, GDPR témában

Kiberblog

2018\10\17 snwx 4 komment

A GDPR és a teljes jogtalanság

gdprhammer.pngTévedés ne essék nem vagyok jogász.

Minden tiszteletem a jog napszámosaié, hiszen a jog a jó és a méltányos művészete, egyféle kötéltánc a törvény és az igazságosság vagy méltányosság oszlopai között.

Azonban a GDPR kapcsán, a rendelet betűit szentírásnak, vallási dogmának tekintő jogászok és rosszabb esetben jogászkodások mellett nem mehetünk el szótlanul.

Tovább olvasom
2018\10\15 snwx Szólj hozzá!

Megjelent az első 1200 lopott Facebook hozzáférés és jelszó?

Több hírben is felbukkant, hogy a legutóbbi nagy Facebook adatszivárgásból származó hozzáférések és jelszavak jelentek meg és tölthetők le. PÁNIK INDUL!

facebook1.png A hírek 1210 (600+610) kiszivárgott adatrekordról beszélnek, amelyek egy nyilvánosan is elérhető letöltő helyről szedhetők le.

Tovább olvasom
2018\10\09 snwx Szólj hozzá!

A marketingesek túltolják a dizájner cuccokat - vagy brand abuse incidens?

Kaptam ma egy érdekes levelet, amelyben webalkalmazás-tűzfalat ajánlgat egy számomra ismertelen cég.

Ez nem szokatlan nyilván, és nem is a GDPR érintettséggel akarnék én foglalkozni, holott az is megérne egy misét, hogy szerintük én korábban elfogadtam az adatkezelési elveiket, holott egyébként nem volt még velük kapcsolatom (legalábbis nem emlékezem rá, és erre alapos okom van).

nilsay4.png

Engem érdekelnek a webalkalmazás-tűzfalak, szóval miért ne nézném meg az ajánlatot?

Viszont a küldő fél kifejezetten gyanús, nem állítom, hogy minden integrátor vagy disztri, pláne egyéb IT-s céget ismerek Magyarhonban, de eleve óvatosabban állok hozzá olyanokhoz, akikről még nem hallottam.

Ki a fene az a NILS ID Kft. aki webalkalmazás-tűzfalat ajánlgat nekem?

A szokásos köröket megfutva (MX, Header, IPVOID, URLVOID, VIRUSTOTAL, OTX, PassiveDNS, Sucuri, PartnerControl, stb.) egy virtuális gépből megnéztem az oldalt, ahova a levél irányít:

https://nilsay.hu/az-igazi-webes-vedelem

nilsay1.png

nilsay3.png

Innen már látszódott (?), hogy az Alef Distribution Kft. marketing akciójáról van szó, amit a NILS ID Kft. bonyolított le.

De hogyan?!

Az URL ugyanis a Nilsay társkereső oldala, szóval az "Alef" lead generátor hírlevelének landingja egy randioldal aloldala...

nilsay5.png

Az Alef-es kolléganő akivel beszéltem nem tudott az akcióról. Felhívtam tehát a NILS ID Kft.-t, akik megerősítették, hogy az Alef megbízásából jártak el és a lead generálást az Alef számára végzik.

Én kötve hiszem, hogy az Alef Distribution Kft. az F5 webalkalmazás-tűzfal (WAF) eszközeit egy randioldalon keresztül szerette volna reklámozni....

UPDATE:

És nem is. Még érdekesebb a helyzet.

Felhívott az Alef illetékes kollégája, aki elmondta, hogy nincs közük a NILS ID Kft.-hez.

Van ugyan marketing megbízásuk lead generáló akciókra, de semmiféle kapcsolatban nem állnak sem a NILS ID Kft.-vel, sem pedig a társkereső oldallal.

Innentől már másról szól a sztori, „brand abuse” incidenssé módosul az esemény  korábbi "OMG!" besorolása, amely ellen az Alef Distribution Kft. megteszi a szükséges intézkedéseket.

Az Alef Distribution Kft. reakciója korrekt és mintaszerű volt, és ha a végén tényleg jól fenékbe is rúgnak valakit, pozitívan változik a véleményem az IT marketinggel kapcsolatban.

UPDATE2:

Makay-Dévai Sarolta, a Woman in IT Security (WITSEC) angyala fogalmazta meg a jó kérdést: akkor hova is kerülnek az Alef és az F5 nevében begyűjtött adatok? 

UPDATE3 (14:15)

Most hívtak a NILS ID Kft.-től azzal, hogy beperelnek, mivel szerintük rontom a jó hírnevüket: Merthogy mégis kapcsolatban állnak az Alef Distribution Kft.-vel - állítják (??????). A dolog kezd szürreálissá válni. 

UPDATE4 (15.14)

A helyzet tisztázódott (asszem). Az esemény "OMG!" státuszba került vissza. Aggodalomra semmi ok, mindenki ura minden helyzetnek, az adatok nincsenek veszélyben, a kibertér ma is megmenekült. 

2018\10\05 snwx 1 komment

Kémek a SaaS-fészekben

Operation Super Micro

kemek.png

Előre is elnézést, ezt a címet már nagyon régen el akartam sütni, bár a tartalommal nem teljesen koherens.

Ha meg akarnám magyarázni, akkor azt mondanám, hogy a Super Micro baromi sok datacenterben jelen van, a VPS-ek és bérelhető szerverek (valamint AWS szerverek) jó része is Super Micro termékeiből épültek fel, szóval, ha így nézzük, még igaz is a cím.

Szóval megjelent egy hír, miszerint a Super Micro szerver alaplapjaiba a gyártás során a kínai munkások „véletlenül” beépítettek egy eredetileg nem az alaplap szerves részét képező apró chipet, amely finoman fogalmazva is többletfunkciókkal „támogatja” az alaplap működését.

Tovább olvasom
2018\10\02 snwx Szólj hozzá!

Egy maréknyi dollárért – közösségi média hozzáférések eladók

mareknyidollarert.png

A napokban kapott fényt a Facebook talán legsúlyosabb biztonsági incidense. Kb. 50 millió felhasználó profiljához fért hozzá a támadó egy 3 biztonsági résből összeálló összetett sérülékenységet kihasználva.

A Facebook reagálása példaértékű volt, nem csak a kommunikáció, de az észlelés (történik valami), az elemzés (pontosan mi történt) és a javítás (befoltozzuk a lukakat) terén is.

Egyes elemzők szerint (és magam is ezt a véleményt osztom) a Facebook reagálása annak ellenére is lenyűgöző és követendő, hogy maga az esemény természetesen nem vet jó fényt az amúgy is bizalmi válságot megélő platformra.

Az esemény hátterével nem akarok foglalkozni, aki szeretne egy jó műszaki összefoglalást olvasni, annak ajánlom ezt a cikket, amely valamennyire rávilágít arra, hogy pontosan mi történt, azonban egy dologra fel kell hívni a figyelmet:

Az esemény nem csak a Facebook profilokat érinti, sajnos nagyon sokan használják a Facebook profilt arra, hogy más rendszerekbe jelentkezzenek be. Nyilván ebben az esetben a profilhoz való illetéktelen hozzáférés a többi rendszerhez való illetéktelen hozzáférést is jelentheti.

Ismét el kell mondani, hogy ne használjuk a kényelmi funkciókat! A belejentkezés Google, Facebook, stb. profilokkal lehet, hogy kényelmes, de az eset rávilágít arra, hogy koránt sem biztonságos. Lehetőleg minden alkalmazáshoz hozzunk létre egyedi hozzáféréseket, megfelelő jelszavakat és természetesen használjunk kétfaktoros hozzáférést.

A fistfull of dollars

Nézzük meg kicsit közelebbről, hogy mennyit érnek a közösségi médiákból és más alkalmazásokból megszerzett, ellopott, kiszivárgott adatok.

Ezek a hozzáférések igencsak kelendő áruk, viszont meglepetésre az értékük nemigazán jelentős, egy maréknyi dollárért már olcsón beszerezhetők a megfelelő darknet piactereken.

A Facebook esetében (és általában minden hozzáférés esetében) is két csoportról lehet beszélni.

Az első csoportba tartozó hozzáférések nem feltétlenül lopottak, hanem korábban regisztrált, a Facebook által validált (pl. telefonos ellenőrzés, email ellenőrzés, SMS kód ellenőrzés, stb.) hozzáférések, amelyeket jellemzően troll hálózatok, álhír hálózatok (és persze az azokat működtető ügynökségek) vásárolnak.

fb1.png

Ezt a profilt tehát 2016-ban vásárolták, email-en keresztül validáltatták és jelenleg teljesen üres, nem rendelkezik kapcsolatokkal és akltivitásokkal. Az ilyen profil meglehetősen olcsó, ez mondjuk nem a jobb árúak közé tartozik (bár validált, ezért magasabb is az ára kicsivel).

Az ilyen hozzáférések esetében minél régebben regisztrált, annál többet ér (illetve az is sokat tornázhat az értékén, ha sok kapcsolattal, baráttal, stb. rendelkezik).

fb2.png

Ez a profil már drágább, hiszen nem 2016-os, hanem 2007-ben regisztrált profil. Olyan ez mint a jó bor vagy a whiskey, minél régebbi, annál többet ér. 

A jó piactereken étlap szerűen választhatunk, milyen nyelvű, nevű profilt, milyen nemű identitást vásárolunk, a profil legyen üres (olcsóbb), vagy legyen már mögötte aktivitás és kapcsolatok.

fb3.png

A második csoportba tartoznak a hackeléssel megszerzett profilok, ezeknek az értéke jóval alacsonyabb az előző csoportba tartozó regisztrált és ellenőrzött profilokénál.

Ennek oka, hogy ezek jellemzően rövidebb ideig használhatók, általában valamilyen gyorsabb lefutású kampányhoz vagy aktivitáshoz használják őket, illetve természetesen itt sem csak a profil hozzáférése lesz a fontos, hanem, hogy a profilon keresztül milyen további alkalmazásokhoz lehet majd hozzáférni.

fb4.png

Látszik, hogy kb. félárban van a hackelt hozzáférés a regisztrált és validált Facebook accountokhoz képest. Nyilván itt magasabb is a vásárlás rizikója, sok esetben nem működik a megvásárolt profil. Azonban a vásárló elégedettsége fontos az eladók számára, így általában néhány órán belül hozzá lehet jutni egy másik (replace) és már működő hozzáféréshez. 

Mennyit érsz?

A Money Guru kiadott erről egy jól időzített riportot (pont a Facebook-breach után jött ki, micsoda véletlen!).

A riport abból a szempontból igen érdekes, hogy jól összefoglalják benne, hogy mennyit érnek az ellopott hozzáférések, és mennyit ér egy képzelt (UK lokációjú) személy közösségi médiás (Facebook, Reddit, Insta, Pinterest, Twitter), illetve közel teljes digitális identitása.

mg-soc1.png

6855 Ft ennyit ér egy „áldozat” közösségi médiás identitása, de persze ez csak a vonatkozó profilokra igaz. A feltört profilokon keresztül további alkalmazásokhoz, profilokhoz is hozzá lehet férni, tehát ez csak a jéghegy csúcsa. 

A riport kalkulációja szerint 774 fontba kerül (kb. 282 ezer Ft.) egy UK lokációjú személy összes elektronikus adata, tehát nem csak a közösségi média, hanem a levelezés, bankkártya, webshopok, utazási, stb. adatai.

Szóval ennyit érünk a digitális világban, illetve mivel magyarok vagyunk, talán kevesebbet - vagy talán többet.

Néhány további „díj”

netflix.png

A Netflix hozzáférések meglehetősen olcsók, nagyjából 560Ft/db, ennél már csak a Spotify tud olcsóbb lenni (bár azokhoz szép számmal ingyen is hozzá lehet jutni).

tmobil.pngA Tmobile hozzáférések még ennél is olcsóbbak, néhány centért vásárolhatók (olcsóbban, mint ahogy a riportban számoltak, mondjuk szerintem ez számunkra irreleváns, viszont az USA-ban eléggé jól használhatók).

paypal.pngHúzósabb árban van az ellenőrzött és utalásra, fogadásra alkalmas (és még balance-al is rendelkező) PayPal hozzáférés, amely ára kb. 1,3M Ft.

amazon.pngEllenőrzött, validált Amazon hozzáférés már akár 1100 Ft-tól is kapható (ez jóval olcsóbb, mint amivel a riportban számoltak, ott 3000Ft feletti árat jelöltek).

ba.pngSzintén jó árban vásárolható a BA hozzáférés, még utazási pontokat is tartalmaz alig 300Ft-ért (a riportban szereplő kb. 1800 Ft-hoz képest még jobb árban).

Szerintem tehát akár jóval alacsonyabb árak is kijöhetnek, mint amelyeket a riportban feltűntettek, hiszen elképesztő mennyiségű lopott vagy kiszivárgott adat érhető el, és természetesen itt is él a nagybani vásárlás előnye: a nagytömegben vásárolt adatok sokkal olcsóbbak, 30-40%-os diszkonttal simán lehet kalkulálni.

Lehet, hogy mi, magyarok többet érünk?

Ezt nehéz lenne megállapítani, de annyi bizonyos, hogy a magyar dokumentumok meglehetősen drágák, pl. a hamis magyar jogosítvány messze az egyik legdrágább dokumentum mondjuk az amerikai vagy angol hasonló papírokéhoz képest. 

driver.pngSzóval aki egyébként szeretne hamis jogsit, annak alig 190ezer Ft-ért küldenek Belgiumból.

2018\09\25 snwx 2 komment

Gyanús fájlok fertőtlenítése - víruskergető nélkül

Egy rövid postban szeretnék megemlékezni egy víruskereső és szignatúra nélküli fertőtlenítési módszerről, amely nem csak manuálisan játszható, de a jobb védelmi rendszerek részeként automatikusan is működik, legfeljebb nem tudjuk, hogy ott van és teszi a dolgát.

A Content Disarm and Reconstruction (azaz CDR) olyan malware védelmi vagy remediációs eljárás, amikor a fájlból (manuálisan vagy automatikusan) eltávolításra kerülnek az aktív és beágyazott (veszélyes) elemek.

Tovább olvasom