A Secure Networx szakmai blogja IT biztonság, információvédelem, adatvédelem, GDPR témában

Kiberblog

2018\10\06 snwx Szólj hozzá!

Kiberkatonákat vet be a Magyar Honvédség

cyberkatona.jpg

Kiberkatonákat vet be a Magyar Honvédség - írja a Portfolio.  

Nekem erről az jutott eszembe, milyen lehet a magyar kiberkatona? Hackerszöveg a fémvázon? És főleg, mit csinálhatnak a kiberkatonák?

A válasz a zenében rejlik. 

Tovább olvasom
Címkék: jff kiberkatona
2018\10\05 snwx 1 komment

Kémek a SaaS-fészekben

Operation Super Micro

kemek.png

Előre is elnézést, ezt a címet már nagyon régen el akartam sütni, bár a tartalommal nem teljesen koherens.

Ha meg akarnám magyarázni, akkor azt mondanám, hogy a Super Micro baromi sok datacenterben jelen van, a VPS-ek és bérelhető szerverek (valamint AWS szerverek) jó része is Super Micro termékeiből épültek fel, szóval, ha így nézzük, még igaz is a cím.

Szóval megjelent egy hír, miszerint a Super Micro szerver alaplapjaiba a gyártás során a kínai munkások „véletlenül” beépítettek egy eredetileg nem az alaplap szerves részét képező apró chipet, amely finoman fogalmazva is többletfunkciókkal „támogatja” az alaplap működését.

Tovább olvasom
2018\10\02 snwx Szólj hozzá!

Egy maréknyi dollárért – közösségi média hozzáférések eladók

mareknyidollarert.png

A napokban kapott fényt a Facebook talán legsúlyosabb biztonsági incidense. Kb. 50 millió felhasználó profiljához fért hozzá a támadó egy 3 biztonsági résből összeálló összetett sérülékenységet kihasználva.

A Facebook reagálása példaértékű volt, nem csak a kommunikáció, de az észlelés (történik valami), az elemzés (pontosan mi történt) és a javítás (befoltozzuk a lukakat) terén is.

Egyes elemzők szerint (és magam is ezt a véleményt osztom) a Facebook reagálása annak ellenére is lenyűgöző és követendő, hogy maga az esemény természetesen nem vet jó fényt az amúgy is bizalmi válságot megélő platformra.

Az esemény hátterével nem akarok foglalkozni, aki szeretne egy jó műszaki összefoglalást olvasni, annak ajánlom ezt a cikket, amely valamennyire rávilágít arra, hogy pontosan mi történt, azonban egy dologra fel kell hívni a figyelmet:

Az esemény nem csak a Facebook profilokat érinti, sajnos nagyon sokan használják a Facebook profilt arra, hogy más rendszerekbe jelentkezzenek be. Nyilván ebben az esetben a profilhoz való illetéktelen hozzáférés a többi rendszerhez való illetéktelen hozzáférést is jelentheti.

Ismét el kell mondani, hogy ne használjuk a kényelmi funkciókat! A belejentkezés Google, Facebook, stb. profilokkal lehet, hogy kényelmes, de az eset rávilágít arra, hogy koránt sem biztonságos. Lehetőleg minden alkalmazáshoz hozzunk létre egyedi hozzáféréseket, megfelelő jelszavakat és természetesen használjunk kétfaktoros hozzáférést.

A fistfull of dollars

Nézzük meg kicsit közelebbről, hogy mennyit érnek a közösségi médiákból és más alkalmazásokból megszerzett, ellopott, kiszivárgott adatok.

Ezek a hozzáférések igencsak kelendő áruk, viszont meglepetésre az értékük nemigazán jelentős, egy maréknyi dollárért már olcsón beszerezhetők a megfelelő darknet piactereken.

A Facebook esetében (és általában minden hozzáférés esetében) is két csoportról lehet beszélni.

Az első csoportba tartozó hozzáférések nem feltétlenül lopottak, hanem korábban regisztrált, a Facebook által validált (pl. telefonos ellenőrzés, email ellenőrzés, SMS kód ellenőrzés, stb.) hozzáférések, amelyeket jellemzően troll hálózatok, álhír hálózatok (és persze az azokat működtető ügynökségek) vásárolnak.

fb1.png

Ezt a profilt tehát 2016-ban vásárolták, email-en keresztül validáltatták és jelenleg teljesen üres, nem rendelkezik kapcsolatokkal és akltivitásokkal. Az ilyen profil meglehetősen olcsó, ez mondjuk nem a jobb árúak közé tartozik (bár validált, ezért magasabb is az ára kicsivel).

Az ilyen hozzáférések esetében minél régebben regisztrált, annál többet ér (illetve az is sokat tornázhat az értékén, ha sok kapcsolattal, baráttal, stb. rendelkezik).

fb2.png

Ez a profil már drágább, hiszen nem 2016-os, hanem 2007-ben regisztrált profil. Olyan ez mint a jó bor vagy a whiskey, minél régebbi, annál többet ér. 

A jó piactereken étlap szerűen választhatunk, milyen nyelvű, nevű profilt, milyen nemű identitást vásárolunk, a profil legyen üres (olcsóbb), vagy legyen már mögötte aktivitás és kapcsolatok.

fb3.png

A második csoportba tartoznak a hackeléssel megszerzett profilok, ezeknek az értéke jóval alacsonyabb az előző csoportba tartozó regisztrált és ellenőrzött profilokénál.

Ennek oka, hogy ezek jellemzően rövidebb ideig használhatók, általában valamilyen gyorsabb lefutású kampányhoz vagy aktivitáshoz használják őket, illetve természetesen itt sem csak a profil hozzáférése lesz a fontos, hanem, hogy a profilon keresztül milyen további alkalmazásokhoz lehet majd hozzáférni.

fb4.png

Látszik, hogy kb. félárban van a hackelt hozzáférés a regisztrált és validált Facebook accountokhoz képest. Nyilván itt magasabb is a vásárlás rizikója, sok esetben nem működik a megvásárolt profil. Azonban a vásárló elégedettsége fontos az eladók számára, így általában néhány órán belül hozzá lehet jutni egy másik (replace) és már működő hozzáféréshez. 

Mennyit érsz?

A Money Guru kiadott erről egy jól időzített riportot (pont a Facebook-breach után jött ki, micsoda véletlen!).

A riport abból a szempontból igen érdekes, hogy jól összefoglalják benne, hogy mennyit érnek az ellopott hozzáférések, és mennyit ér egy képzelt (UK lokációjú) személy közösségi médiás (Facebook, Reddit, Insta, Pinterest, Twitter), illetve közel teljes digitális identitása.

mg-soc1.png

6855 Ft ennyit ér egy „áldozat” közösségi médiás identitása, de persze ez csak a vonatkozó profilokra igaz. A feltört profilokon keresztül további alkalmazásokhoz, profilokhoz is hozzá lehet férni, tehát ez csak a jéghegy csúcsa. 

A riport kalkulációja szerint 774 fontba kerül (kb. 282 ezer Ft.) egy UK lokációjú személy összes elektronikus adata, tehát nem csak a közösségi média, hanem a levelezés, bankkártya, webshopok, utazási, stb. adatai.

Szóval ennyit érünk a digitális világban, illetve mivel magyarok vagyunk, talán kevesebbet - vagy talán többet.

Néhány további „díj”

netflix.png

A Netflix hozzáférések meglehetősen olcsók, nagyjából 560Ft/db, ennél már csak a Spotify tud olcsóbb lenni (bár azokhoz szép számmal ingyen is hozzá lehet jutni).

tmobil.pngA Tmobile hozzáférések még ennél is olcsóbbak, néhány centért vásárolhatók (olcsóbban, mint ahogy a riportban számoltak, mondjuk szerintem ez számunkra irreleváns, viszont az USA-ban eléggé jól használhatók).

paypal.pngHúzósabb árban van az ellenőrzött és utalásra, fogadásra alkalmas (és még balance-al is rendelkező) PayPal hozzáférés, amely ára kb. 1,3M Ft.

amazon.pngEllenőrzött, validált Amazon hozzáférés már akár 1100 Ft-tól is kapható (ez jóval olcsóbb, mint amivel a riportban számoltak, ott 3000Ft feletti árat jelöltek).

ba.pngSzintén jó árban vásárolható a BA hozzáférés, még utazási pontokat is tartalmaz alig 300Ft-ért (a riportban szereplő kb. 1800 Ft-hoz képest még jobb árban).

Szerintem tehát akár jóval alacsonyabb árak is kijöhetnek, mint amelyeket a riportban feltűntettek, hiszen elképesztő mennyiségű lopott vagy kiszivárgott adat érhető el, és természetesen itt is él a nagybani vásárlás előnye: a nagytömegben vásárolt adatok sokkal olcsóbbak, 30-40%-os diszkonttal simán lehet kalkulálni.

Lehet, hogy mi, magyarok többet érünk?

Ezt nehéz lenne megállapítani, de annyi bizonyos, hogy a magyar dokumentumok meglehetősen drágák, pl. a hamis magyar jogosítvány messze az egyik legdrágább dokumentum mondjuk az amerikai vagy angol hasonló papírokéhoz képest. 

driver.pngSzóval aki egyébként szeretne hamis jogsit, annak alig 190ezer Ft-ért küldenek Belgiumból.

2018\09\25 snwx 2 komment

Gyanús fájlok fertőtlenítése - víruskergető nélkül

Egy rövid postban szeretnék megemlékezni egy víruskereső és szignatúra nélküli fertőtlenítési módszerről, amely nem csak manuálisan játszható, de a jobb védelmi rendszerek részeként automatikusan is működik, legfeljebb nem tudjuk, hogy ott van és teszi a dolgát.

A Content Disarm and Reconstruction (azaz CDR) olyan malware védelmi vagy remediációs eljárás, amikor a fájlból (manuálisan vagy automatikusan) eltávolításra kerülnek az aktív és beágyazott (veszélyes) elemek.

Tovább olvasom
2018\09\22 snwx Szólj hozzá!

Többezer WordPress weboldal fertőződött meg egy sérülékeny plugin miatt

A Sucuri és a Malwarebytes kutatói észlelték a tömeges fertőzést, amely egy korábban már sérülékenynek jelentett Wordpress Duplicator plugin miatt következett be. 

A pontos érintettek száma nem ismert, egy egyszerű Google keresés azonban több, mint 2600 találatot mutat, de az indexelés miatt ennél jóval magasabb is lehet a fertőzöttek száma.

m1.png

A Google alapján magyar érintettet nem találtunk (pontosabban csak egy olyan oldalt, ahol a Google szerint még szerepel a kód, de egyébként már nem).

Tovább olvasom