A SECTOR 16 eseményekkel kapcsolatban is felmerült bennem, hogy vajon milyen körülmények vezetnek el oda, hogy ipari berendezés távelérését, pláne VNC elérését publikálja ki valaki az internetre?

Különösen szomorúvá tett, amikor az egyik mostani ITBN előadásomra készülve „sikerült” ezt a gyöngyszemet találnom a Shodan-ban:

Ennek az eszköznek a VNC távelérése lett publikálva az internet felé, mégpedig úgy, hogy még csak jelszavas védelem sem volt rajta.

Én a vasutat sajnos inkább utas oldalról ismerem, a MÁV-kalandjaimból pár évados sorozatot lehet indítani, de bevallom, ezt konkrétan szívesen kihagynám belőle. Megállt bennem a minden is keresztben.  

Utas-szakértőként vagy szakértő utasként nemigen tudtam, hogy pontosan mi is az, amit látok, de az elég valószínű, hogy egy THALES vasúti biztosító és forgalomirányító berendezés kezelőfelületének képernyőjéről van szó, amely Hajdúszoboszló és Debrecen közötti valamilyen pályaszakasz látszik, váltóállás jelzésekkel, elágazó mellékszálakkal vagy ipari vágányszakaszokkal.

Az első szívroham után lejelentettem az NKI felé, és hát mivel nem tudtam, ez most a nagyon ultra gázos dolog, vagy csak simán gázos, telefonáltam is egyet az ügyben, mivel a VNC-n a cucc válaszolt, tehát a megtaláláskor (szeptember 23) még működött.

Szóval itt is az volt a lényeg, hogy én 16:58-kor elküldtem a jelzést az NKI-nek, aztán másnap ITBN volt, nem volt időm megnézni, csak este 10 óra után, és a VNC már nem volt aktív. És persze, én sem tudom, hogy az NKI intézkedett-e, vagy esetleg az illetők vették észre, hogy valamit kipublikáltak, amit nem kellett volna, de bárhogy is történt, az a lényeg, hogy már nem elérhető. (Ha az NKI volt, akkor Kollégák, köszi a gyors intézkedést!) A Shodan szeptember 19-én indexelte, én 23-án jelentettem le és 24-én este már nem volt elérhető. Szerintem ez jó.

Mivel nem értek a vasúti rendszerekhez, megkerestem azokat a srácokat, akik igen, a TerVez2 Vasútforgalmi Szimulátor fejlesztőit. Tényleg ajánlom az oldalukat mindenkinek, akit kicsit is érdekelnek a vasutak, és szeretnék kipróbálni magukat, mint irányítók.

Szóval valóban, ez egy vasúti biztosítóberendezés kezelőképernyője. Az, hogy ez most konkrétan vezérel-e vagy sem, az nem derül ki, ha ez lenne az aktív (fő, első számú) vezérlő, akkor ennek a nyomogatásával lehetne kalózkodni. Azonban az is lehet, hogy a vezérlés ki van adva a helyi állomásra, ebben az esetben viszont ez (mint „központi” felület) alapból csak a felügyeletre, megtekintésre jó, a vezérlés a helyi állomásnál van. Az itt ülő kezelő át tudja kérni a vezérlést, azonban abba a helyi oldalon is bele kell egyezni és átadni a kérelmezőnek.

Ami viszont megnyugtató, hogy a srácok szerint viszont ez nem lehet „éles” berendezés, merthogy egy fia vonat se látható rajta – és ez a felül szereplő 00:00:00 időpont szerint elég furcsa lenne, és hát maga az időpont is furcsa, valamint a sok OBB tracker is elég idegen ebben a környezetben.

Valamilyen oktató vagy teszt rendszer lehet – ezt végül és is meg tudtam erősíteni, mert a VNC protokoll metaadataiban megtalálható volt a „Server Name: VE05-prj00-bhf06-ve2:0 (el_test)” string. Az viszont biztos, hogy hogy ennek akkor sem lett volna szabad kint lennie, pláne autentikáció nélküli VNC-vel, hogyha teszt rendszer.

Néha olyan érzésem van, mintha teljesen fölöslegesen próbálkozna az OT és az OT kiberbiztonsági szakma megértetni azt az alapvetést, miszerint az IT és az OT nem ugyanolyan, nem ugyanaz, nem azonos, más a rendeltetése, küldetése, célja, motivációja és működése – tehát szükség van a két terület megkülönböztetésére és a kiberbiztonsági elvek és módszerek „OT-sítására” - már ha szeretnénk az OT-ban is létrehozni és fenntartani a kiberbiztonságot.

Valószínűleg a mi hibánk abból a szempontból, hogy még nem sikerült valami olyan analógiát találni, amely kellően közeli – de ugyanakkor független és távoli ahhoz, hogy érzékletesen ábrázolja a két terület közötti hasonlóságokat – amelyek egyben különbséget is jelentenek.

Lássuk hát, 2025-ben végre eljutunk-e hazai viszonylatban oda, ahova szükség szerint a szakma nemzetközi szinten vagy 10-15 éve már eljutott (és emiatt természetesen jóval kisebb lemaradásban van hozzánk képest).

Az IT és az OT nem ugyanaz, nem ugyanolyan és nem azonos – ahogyan a balettcipő és a hegymászóbakancs sem ugyanaz, nem ugyanolyan és nem azonos.

Bár július 17-én arról értekezett a (feltehetőleg) orosz SECTOR16 aktor csoport, hogy befejezik „áldásos” tevékenységüket, az a hír olyannyira nem volt igaz, hogy már másnap egy hazai fűtésvezérlési környezetet kompromittáltak, illetve most egy másik ipari vezérlőrendszer esett áldozatul a kampányuknak.

Úgy néz ki, hogy valami baj lehet az Eteleplaza.hu-val. Kering a neten egy 2GB-os SQL dump, amelyben az állítás szerint több millió rekord található, amelyben a felhasználók - vásárlók - személyes adatai (név, email, telefon) és előző rendelésekkel kapcsolatos adatok találhatóak. 

Mindenképpen jó hír, hogy ma a csoport kiadott egy közleményt, ami szerint beszüntetik „áldásos tevékenységüket”.(UPDATE: nem tették)

Egyre több részlet derül ki az előválasztási rendszer leállásával kapcsolatban. A sok találgatás után végre megszólalt az aHang is, akik a rendszer építéséért és üzemeltetésért felelnek.

A Nemzeti Nyomozó Iroda Kiberbűnözés Elleni Főosztályára tett feljelentésük után egy kiberbiztonsági céget is megbíztak a támadás elemzésével. Ennek a vizsgálatnak jelenleg még nincs eredménye, így az eddig kiszivárgott, szakértők által publikus adatokból elemzett, illetve a nyilatkozatok alapján vonhatunk le következtetéseket.

Mit vonhatunk? Mi csak ugatjuk a témát.

Szerencsére itt van nekünk is a neve elhallgatását nyomatékosan kérő Szöllősi Gábor - alias Szögi,- a szakértők szakértője, infrastruktúra expert, a Hundub réme, a tiszteletes két pej csikajának jókedvű abrakolója.

Kijött egy sérülékenységi riasztás amely eléggé csúnyának tűnik. A Hikvision csaknem összes kameráját érinti, nagyjából a 2016 óta megjelentektől egészen 2021 júniusáig bezárólag. Néhány NVR megoldás is érintett lehet.

Nehéz erre a kérdésre válaszolni anélkül, hogy pontosan tudnánk, mi a fene történt valójában. Egy igen kedves kollégám fejtegette, hogy ha kiadnák a logokat akkor a szakmai közösség elég gyorsan tudna konkrét válaszokat mondani – a naplófájl semleges, egyik oldal felé sem elkötelezett. Legfeljebb azzal lehet ellene érvelni, hogy nem hiteles – dehát nem véletlenül van a forensic eljárásokban a hiteles bizonyítékok begyűjtése és dokumentálása keményen kiemelve.

Vannak azok a klasszikus marketing sztorik, amelyek a szerencsétlen névválasztásokról szólnak.

Majdnem minden területen előfordul ilyesmi, talán a legismertebbek a gépjárművek névválasztásával kapcsolatos történetek. Sokan azt gondolják, hogy a marketingesek vicces cigarettákat, esetleg valami fehér porokat szippantgatnak munka közben, de lássuk be, az ő melójuk sem egyszerű!

Abban talán egyetérthetünk, hogy a fejvadászok és a LinkedIn HR-esek (különös tekintettel, ha a poziciójukban szerepel a „talent acquisition specialist” vagy „executive recruiter” és  hasonló bullshit) néha olyanok mint a döglegyek: zajosak, irritálók és az ember legszívesebben rájuk menne egy papuccsal vagy valami összetekert újsággal.

Ez alól csak az igazi fejvadászok, például Reno Raines és Bobby Sixkiller képeznek kivételt (hagyjatok már Boba Fettel!) - és persze a csodálatos Csudutov Csudinka :)