A Secure Networx szakmai blogja IT biztonság, információvédelem, adatvédelem, GDPR témában

Kiberblog

2018\09\25 snwx Szólj hozzá!

174 millió Ft adatvédelmi bírság került kiszabásra

privacy-shield-01.jpgA büntetést 19 993 magánszemély adatainak kiszivárgása miatt szabták ki, tehát ha egy egyszerű osztással élünk, akkor 8700 Ft/magánszemély átlag jön ki, ami meglehetősen olcsó, a hülyének is megéri. Nem?

Tovább olvasom
2018\09\22 snwx Szólj hozzá!

Többezer WordPress weboldal fertőződött meg egy sérülékeny plugin miatt

A Sucuri és a Malwarebytes kutatói észlelték a tömeges fertőzést, amely egy korábban már sérülékenynek jelentett Wordpress Duplicator plugin miatt következett be. 

A pontos érintettek száma nem ismert, egy egyszerű Google keresés azonban több, mint 2600 találatot mutat, de az indexelés miatt ennél jóval magasabb is lehet a fertőzöttek száma.

m1.png

A Google alapján magyar érintettet nem találtunk (pontosabban csak egy olyan oldalt, ahol a Google szerint még szerepel a kód, de egyébként már nem).

Tovább olvasom
2018\09\21 snwx 1 komment

Olcsók a feltört magyar weboldalak - UPDATE

Igen népszerű lett az előző „Olcsók a feltört magyar weboldalak című poszt, amelyben arról írtunk, hogy egy orosz fórum piacterén több, mint 3000 feltört weboldalhoz kínálnak hozzáférést, amelyek között magyar oldalak is akadnak.

Sok megkeresés érkezett a témában, sok kérdést kaptunk, illetve egy érdekes és figyelemfelkeltő fejleményről is be tudunk számolni.

Tovább olvasom
2018\09\20 snwx 18 komment

Olcsók a feltört magyar weboldalak

Egy orosz forum piacterén több, mint 3000 feltört weboldalhoz kínálnak hozzáférést. Igen széles a választék, a megszerzett adminisztációs jelszó mellett lehet (backdoor) shell, vagy akár SSH hozzáférést is vásárolni a meghekkelt oldalakhoz.

Igazán professzionális és funkciógazdag marketplace, lehet országra, nyelvre, CMS rendszerre, programozási nyelvre, hozzáférés módjára (admin access, shell, SSH, FTP stb) is szűrni, kiválasztva ezzel, hogy milyen hozzáférést akarunk vásárolni.

olcsodoman-1.png

Tovább olvasom
2018\09\15 snwx Szólj hozzá!

Brutálisan ég a Veeam – 445 millió ügyfélrekord szivárgott ki

Fülig Jimmy mondása, miszerint „Mindnyájunkak érhet baleset” a Veeam esetében is igaz: a magát „global leader in Intelligent Data Management”-nek aposztrofáló adatmentésre és mentőrendszerekre specializálódott cég igen masszív adatszivárgási incidensbe keveredett.

A korai analízisek 445 millió rekordról beszélnek, noha két adatbázis szivárgott ki, az egyik 199 millió, a másik pedig 244 millió rekordot tartalmaz.

A vizsgálatok szerint jelentős átfedés van a két adatbázis között, ez ugyan a rekordszámot nem csökkenti, viszont az egyedi adatokkal kapcsolatban csökkenhet a szivárgás mérete, erre később a Veeam is rámutat. (A 4.5 millió egyedi adatokat tartalmazó rekord meg már majdnem semmi).

Tovább olvasom
2018\08\21 snwx Szólj hozzá!

A macska Schrödingere

A „Schrödinger macskája” gondolatkísérlet elég régóta foglalkoztatja az embereket és főleg a tudós elméket, akiknek egyébként nincs jobb dolguk, mint ilyesmiken gondolkodni.

cat.jpg

A kísérlet nagyon egyszerűen arról szól, hogy egy képzeletbeli dobozba zárt macska atombomlás-indikálta cianidmérgezés következtében élő vagy hol állapotban létezik, avagy a macska egyszerre élő és holt mindaddig, amíg valaki ki nem nyitja a dobozt és ezzel eldől, mely állapotában létezik a macska a dobozban.

Évek óta szórakoztató mémek tucatjai jelentek meg már az elméletről és a híres macskáról, de én nem tudok arról, hogy az esetet a macska szempontjából bárki is vizsgálta volna. Pedig kellene, hiszen a macska szempontjából áttekintve a dolgot a helyzet összetettebb és sokkal több teljesen felesleges gondolkozásra tudja sarkallni az unatkozó tudós elmét.

A macska szempontjából ugyanis Schrödinger létbeli állapota négy dologtól függ:

  • Ha a macska saját maga mászott a dobozba (a macskák valamiért nagyon vonzódnak a zacskókba és dobozokba bújáshoz), Schrödinger bár a macska számára a következő etetésig teljes mértékben érdektelen, így Schrödinger a macska számára egyszerre lehet élő és halott.
  • Amennyiben Schrödinger saját kezűleg erőltette a macskát a dobozba, akkor Schrödinger a macska számára HALOTT.
  • Ha a dobozba cián helyett szaftos macskatáp kerül, a macska számára Schrödinger ismét érdektelen, és a doboz kinyitása után a macska számára a következő etetésig egyszerre lehet élő vagy halott.
  • (és természetesen, ha a macska halott, akkor a macska számára Schrödinger teljesen érdektelen, egyszerre lehet élő vagy halott, mert halott macska leszarja.)

Szóval lehet, hogy nem árt egy problémát vagy gondolatkísérletet más szempontok alapján is értelmezni.

A tanulság ebből az, hogy ha macskát zársz egy dobozba, a végén a hullámfüggvényed egyszerre fogja élő és halott valód hullámfüggvényét tartalmazni.

 

 

 

 

 

Címkék: jff
2018\08\14 snwx Szólj hozzá!

Vége a Kaspersky-nek Magyarországon

rip-kaspersky.jpg

Hát megtörtént.

Alig 2 hónapja az EU parlament határozatban mondta ki, hogy a Kaspersky vírusvédelmi és végpontbiztonsági megoldása(i) szerinte potenciálisan veszélyesnek – pontosabban arról hozott határozatot, hogy az EU intézmények nézzék át az infrastruktúrájukat és távolítsák el a rosszindulatú, veszélyes alkalmazásokat, mint pl. a Kaspersy Lab („such as Kaspersky Lab”).

Tegnap (08.13) csendben megjelent egy magyar kormányhatározat, amely a Kormány irányítása és felügyelete alá tartozó szervek és vállalkozások esetében már a Kaspersy megoldások kiszűrését és elhárítását írja elő.

kaspi-eos.png

 

Nem akarok belemenni abba, hogy mi állhat az Amerikából elindult, és a Kaspersky-t bedaráló döntések hátterében (egyesek tényleg orosz kémeket és az FSZB-t látják a termékben, mások a Kaspersy piaci részesedésének megszerzését említik), de annyi bizonyos, hogy ezzel Magyarországon (is) vége a Kaspersky-nek. Lehet, hogy otthoni vagy kisvállalati verziókban még egy ideig meg-megjelenik, de vállalati és kormányzati szinten innentől kezdve a Kaspersky használata tilos.

Ami valakinek keserű, az másnak bizony édes: alig várom, hogy elinduljanak a pl. „Cseréld a Kaspersky-t Minden Ellen Védő Sárga Vírusgyilkosra” reklámkampányok.

Nyugodj békében Kaspersky!

 

2018\08\09 snwx Szólj hozzá!

A lokális adminisztrátort megölni...

 

reverse.jpgLocal Admin occidere nolite timere bonum est si omnes consentiunt ego non contradico, azaz “a lokáladmint megölni nem kell félnetek jó lesz ha mindenki egyetért én nem ellenzem” - mondhatta volna a kétértelműség hazai apostola Merániai János érsek, ha II. András idejében királynő helyett a lokális adminisztrátor keserítette volna meg a magyarok életét.

A felhasználókhoz delegált lokális adminisztrátori jogosultság ugyanúgy kihozza a sodrából az egyszeri szekuritist, ahogy II. András idejében Bánk Bánt bőszítette fel a neje megbecstelenítése: a lokális adminisztrátori privilégium a szépen kidolgozott jogosultsági rendszer inzultálása, amire egy vérbeli szekuritis minimum megszurkálná azt, aki kitalálta, hogy a felhasználónak legyen ilyen privilégiuma.

A lokális adminisztrátori jogosultság egy saját magára fogott töltött fegyver a felhasználó kezében, kibiztosítva. Az első, akit a felhasználó el fog találni, az saját maga lesz, aztán meg lehet a utána takarítani.

A lokális adminisztrátori jogosultság ugyanis tökéletesen képes bármilyen műszaki intézkedés védelmi értékét a nullára degradálni: a privilégium bírtokában bármely (a legtöbb) műszaki védelmi intézkedés megkerülhető, kikapcsolható, vagy működésében korlátozható.

Egy másik, és nem elhanyagolható probléma, hogy a (lokális) adminisztrátori jogosultsággal futtatott alkalmazások eleve veszélyesek: a malware és exploit szeretettcsomagok tipikusan örülnek az ilyesminek, hiszen az alkalmazásból kitörve már nem is kell privilégiumot emelniük, a legtöbb esetben eleve admin joggal tudnak futni.

Nyilván, ha valaki a felhasználói tevékenységét eleve admin jogkörrel végzi, a nevében és jogosultságával elinduló alkalmazások (akár malware kódok) is eleve adminisztrátori jogosultsággal fognak futni. Az admin joggal futó malwarek aztán nagyon csúnya munkát tudnak végezni, gyakorlatilag nem csak az adott munkaállomást kompromittálják, de a teljes hálózatra is potenciális veszélyt jelentenek.

Ezért alap, hogy egy normálisan menedzselt hálózatban a lokális adminisztrátori jogosultság coki!

Illetve...

Hát igen. Sajnos mindig vannak kivételek.

Nem csak az ügyvezető, manager, kisfőnök, nagyfőnök – ezeket még egy rátermettebb biztonságis csak-csak el tudja tántorítani a jogosultságtól, nade...a fejlesztők...a devopsok...a rendszergazdák...a tudj isten kicsodák nagy hanggal és sajnos jogos igénnyel!

Pl. egy fejlesztő esetében roppant nehéz megoldani, hogy el tudja a munkáját végezni admin jog nélkül. Sajnos sok esetben naponta 58 komponenst telepítenek, törölnek, állítanak, fordítanak, stb. – szóval ha nincs lokál admin joguk, a munkavégzésük fog meghiúsulni.

Persze vannak alternatív lehetőségek, hogy a fejlesztőket mondjuk nem engedjük fel az éles hálózatra, karanténozzuk őket, akár két munkaállomásuk van, stb. – de ezt egyre nehezebb megtenni, és sok esetben ez sem fog megoldást jelenteni.

Aztán ott vannak a kisebb szervezetek, ahol az sem működőképes, hogy a 20-30 felhasználó alkalmazás-telepítési igényeit azonnal kiszolgálja az outsource rendszergazda, a felhasználók meg sok mindent nem szeretnek, de várni aztán biztosan nem.

Auditorként nagyon sok esetben találkozom ezzel a problémával, tele van a cég permanens lokális (rosszabb esetben domain) adminokkal, és a rendszergazda meg a biztonságis legfeljebb a vállukat tudják megvonni: - Tudjuk, de nem vonhatjuk meg a jogosultságot, mert akkor nem tudnak dolgozni.

A felhasználó adminisztrátori jogosultságának problémákra jelent jó megoldást az AdminByRequest.

AdminByRequest

A cucc röviden arra alkalmas, hogy egy felhasználó meg tudja igényelni a kiemelt privilégiumot, amely egy időablakban ítélődik oda neki, majd automatikusan, az időablak végén visszavonásra kerül.

Tehát ha Gyula szeretne egy alkalmazást telepíteni, amelynek elvégzéséhez admin privilégiumra van szüksége, Gyula meg tudja igényelni a jogosultságot 30 percre, el tudja végezni a tevékenységét, majd a jogosultsága automatikusan visszavonásra kerül. A felhasználónak nem kell permanens adminisztrátori jogosultsággal rendelkeznie, hiszen csak a telepítés (vagy más tevékenység) idejére van szükség a jogosultságra, azt és arra az időre pedig megkapja, ha megigényli.

3.png

Gyula megigényli a jogosultságot

4.png

Az adminisztrátor email értesítést kap az igénylésről, majd a menedzsment felületen jóváhagyja az igénylést

6.png

Gyula megkapta a jogosultságot, most már bármilyen kiemelt privilégiumú tevékenységet el tud végezni, ha a Windows bekéri az admin felhasználót és jelszót, a saját felhasználó nevével és jelszavával el tudja végezni a tevékenységet. 30 perc után a jogosultság visszavonásra kerül. 

Arra is van lehetőség, hogy egyes alkalmazásokhoz meg se kelljen igényelnie a jogosultságot, az alkalmazás elindításakor az már adminisztrátori jogosultsággal fog elindulni.

A rendszer működéséhez egy agent programot kell a munkaállomásokra telepíteni, a szabályrendszerek és logok a megoldás cloud-alapú menedzsment felületében találhatóak, és állíthatók be.

(Aki nem szereti a cloud megoldásokat, van olyan termék, amely onprem működésű és közel ugyanezt tudja).

A rendszer lehetőséget biztosít scoped policy kialakítására, azaz mindenkire érvényes egy alapértelmezett szabályrendszer, de felhasználói csoportonként akár eltérő szabályrendszerek is kialakíthatóak. Pl. a felhasználók jelentős részénél egy humán személynek (már amennyire egy rendszergazda ma még humánnak minősöl) jóvá kell hagyni az igénylést, de pl. egy kiemelt felhasználó esetében a jogosultságigényléshez nem kell a rendszergazdai jóváhagyás, ha megigényli, automatikusan meg is kapja az admin jogot.

A rendszer minden jogosultság-igénylést lenaplóz, és még azt is megmutatja, hogy mit csinált és mit telepített fel vagy indított el a felhasználó, amíg birtokolta a kiemelt privilégiumot.

7.png

A felhasználó ezeket a programokat indította el kiemelt privilégiummal

Ha a felhasználó éppen nem rendelkezik Internet kapcsolattal, és nem tudja megigényelni a jogosultságot (mert pl. az agent nem éri el a cloud menedzsment felületet), akkor is van lehetőség kiemelt jogot biztosítani a szerencsétlen usernek, ehhez minden felhasználóhoz egy napig érvényes PIN-kódot biztosít a rendszer. Azaz, ha a user legalább a rendszergazdát fel tudja hívni, az meg tudja nézni az adott user napi PIN-kódját, amelyet lediktálhat a felhasználónak, így az egy napig offline is megigényelheti a kiemelt privilégiumot.

Összefoglalás

Az AdminByRequest igen jól és egyszerűen használható megoldás, amely megszüntetheti a felhasználói permanens adminisztrátori jogosultságokból adódó kockázatokat. Nem kell állandóan admin jogosultság a felhasználóknak, csak akkor kapják meg a privilégiumot ha szükségük van rá, megígénylik és ha valaki jóvá is hagyja (vagy akár automatikusan jóváhagyódik).

Még arra is gondoltak, hogy egyes rafinált userek az ideiglenes jogosultságból megpróbálhatnak állandó jogosultságot csinálni, azaz az admin joggal hozzáadnák magukat a lokális adminisztrátori csoporthoz. Nyilván ezt megtiltani nem lehet, de az agent a munkaállomás következő újraindításakor kitakarítja az adminisztrátori csoportot, azaz ha a trükkös felhasználó újra indítja a gépét, az általa felvett felhasználó már nem lesz lokális adminisztrátor.

Az AdminByRequest egészen megfizethető árú cucc, érdemes kipróbálni és eljátszogatni vele. Akit a cloud menedzsment riasztana, annak a Basic Byte Access Director Enterprise lehet, hogy jobban fog tetszeni, talán  drágább megoldás, de teljesen onprem.