Valami büdös ezzel a Buddha–dologgal, de tényleg. 

Bodoky kolléga írt egy remek cikkket az Átlátszóra, Budha viselt dolgaival kapcsolatban, amelyben feltűnik egy bírósági dokumentum is.

A 24.hu–n megjelent, a Bellingcat portált szemléző cikkre szeretnék reagálni. Tudom, már csak néhány nap van hátra, nade akkor sem mennék el mellette, mert a Bellingcat cikke igaz ugyan, de mégse.

Egyes szakmédiumok – mint például a Hack és Lángos hőn tisztelt és mélyen szeretett mélyen tisztelt és hőn szeretett – legénysége viccesen megvádolt, hogy akkor írok csak blogot, ha jóféle katasztrófaturistaként csámcsoghatok valamilyen incidensen. Ezt a „vádat” határozottan, kategorikusan – de jobbára egyetértve visszautasítom! Az ilyen aljas rágalmakra ne is vesztegessünk szót, amikor itt van a TISZA adatszivárgási ügye!

Már az első indexált fecskével egyidőben nagyjából becsült barátaim és ismerőseim kérdésekkel kezdtek bombázni, hogy mi a véleményem a kb. 20ezer kiszivárgott adattal kapcsolatban. Akkor azt mondtam, hogy nem fogok írni róla, mivel a sas nem vadászik legyekre, várjuk meg, amíg meglesz az igazi, amivel már érdemes foglalkozni. Ez nem katasztrófa turistáskodás volt a részemről, a kb. 20 ezer rekordot tartalmazó csomagot az elkövető, mint sample – bemutató – publikálta, azaz nyilvánvaló volt, hogy előbb vagy utóbb ki fog jönni a teljes (?) adathalmaz.  

Jelen poszt nem tartalmaz politikai komponenseket, megpróbálok teljesen szakmailag közelíteni az eseményhez és igyekszem majd megválaszolni néhány kérdést, illetve megkérdőjelezni néhány választ.

A SECTOR 16 eseményekkel kapcsolatban is felmerült bennem, hogy vajon milyen körülmények vezetnek el oda, hogy ipari berendezés távelérését, pláne VNC elérését publikálja ki valaki az internetre?

Különösen szomorúvá tett, amikor az egyik mostani ITBN előadásomra készülve „sikerült” ezt a gyöngyszemet találnom a Shodan-ban:

Ennek az eszköznek a VNC távelérése lett publikálva az internet felé, mégpedig úgy, hogy még csak jelszavas védelem sem volt rajta.

Én a vasutat sajnos inkább utas oldalról ismerem, a MÁV-kalandjaimból pár évados sorozatot lehet indítani, de bevallom, ezt konkrétan szívesen kihagynám belőle. Megállt bennem a minden is keresztben.  

Utas-szakértőként vagy szakértő utasként nemigen tudtam, hogy pontosan mi is az, amit látok, de az elég valószínű, hogy egy THALES vasúti biztosító és forgalomirányító berendezés kezelőfelületének képernyőjéről van szó, amely Hajdúszoboszló és Debrecen közötti valamilyen pályaszakasz látszik, váltóállás jelzésekkel, elágazó mellékszálakkal vagy ipari vágányszakaszokkal.

Az első szívroham után lejelentettem az NKI felé, és hát mivel nem tudtam, ez most a nagyon ultra gázos dolog, vagy csak simán gázos, telefonáltam is egyet az ügyben, mivel a VNC-n a cucc válaszolt, tehát a megtaláláskor (szeptember 23) még működött.

Szóval itt is az volt a lényeg, hogy én 16:58-kor elküldtem a jelzést az NKI-nek, aztán másnap ITBN volt, nem volt időm megnézni, csak este 10 óra után, és a VNC már nem volt aktív. És persze, én sem tudom, hogy az NKI intézkedett-e, vagy esetleg az illetők vették észre, hogy valamit kipublikáltak, amit nem kellett volna, de bárhogy is történt, az a lényeg, hogy már nem elérhető. (Ha az NKI volt, akkor Kollégák, köszi a gyors intézkedést!) A Shodan szeptember 19-én indexelte, én 23-án jelentettem le és 24-én este már nem volt elérhető. Szerintem ez jó.

Mivel nem értek a vasúti rendszerekhez, megkerestem azokat a srácokat, akik igen, a TerVez2 Vasútforgalmi Szimulátor fejlesztőit. Tényleg ajánlom az oldalukat mindenkinek, akit kicsit is érdekelnek a vasutak, és szeretnék kipróbálni magukat, mint irányítók.

Szóval valóban, ez egy vasúti biztosítóberendezés kezelőképernyője. Az, hogy ez most konkrétan vezérel-e vagy sem, az nem derül ki, ha ez lenne az aktív (fő, első számú) vezérlő, akkor ennek a nyomogatásával lehetne kalózkodni. Azonban az is lehet, hogy a vezérlés ki van adva a helyi állomásra, ebben az esetben viszont ez (mint „központi” felület) alapból csak a felügyeletre, megtekintésre jó, a vezérlés a helyi állomásnál van. Az itt ülő kezelő át tudja kérni a vezérlést, azonban abba a helyi oldalon is bele kell egyezni és átadni a kérelmezőnek.

Ami viszont megnyugtató, hogy a srácok szerint viszont ez nem lehet „éles” berendezés, merthogy egy fia vonat se látható rajta – és ez a felül szereplő 00:00:00 időpont szerint elég furcsa lenne, és hát maga az időpont is furcsa, valamint a sok OBB tracker is elég idegen ebben a környezetben.

Valamilyen oktató vagy teszt rendszer lehet – ezt végül és is meg tudtam erősíteni, mert a VNC protokoll metaadataiban megtalálható volt a „Server Name: VE05-prj00-bhf06-ve2:0 (el_test)” string. Az viszont biztos, hogy hogy ennek akkor sem lett volna szabad kint lennie, pláne autentikáció nélküli VNC-vel, hogyha teszt rendszer.

Néha olyan érzésem van, mintha teljesen fölöslegesen próbálkozna az OT és az OT kiberbiztonsági szakma megértetni azt az alapvetést, miszerint az IT és az OT nem ugyanolyan, nem ugyanaz, nem azonos, más a rendeltetése, küldetése, célja, motivációja és működése – tehát szükség van a két terület megkülönböztetésére és a kiberbiztonsági elvek és módszerek „OT-sítására” - már ha szeretnénk az OT-ban is létrehozni és fenntartani a kiberbiztonságot.

Valószínűleg a mi hibánk abból a szempontból, hogy még nem sikerült valami olyan analógiát találni, amely kellően közeli – de ugyanakkor független és távoli ahhoz, hogy érzékletesen ábrázolja a két terület közötti hasonlóságokat – amelyek egyben különbséget is jelentenek.

Lássuk hát, 2025-ben végre eljutunk-e hazai viszonylatban oda, ahova szükség szerint a szakma nemzetközi szinten vagy 10-15 éve már eljutott (és emiatt természetesen jóval kisebb lemaradásban van hozzánk képest).

Az IT és az OT nem ugyanaz, nem ugyanolyan és nem azonos – ahogyan a balettcipő és a hegymászóbakancs sem ugyanaz, nem ugyanolyan és nem azonos.

Bár július 17-én arról értekezett a (feltehetőleg) orosz SECTOR16 aktor csoport, hogy befejezik „áldásos” tevékenységüket, az a hír olyannyira nem volt igaz, hogy már másnap egy hazai fűtésvezérlési környezetet kompromittáltak, illetve most egy másik ipari vezérlőrendszer esett áldozatul a kampányuknak.

Úgy néz ki, hogy valami baj lehet az Eteleplaza.hu-val. Kering a neten egy 2GB-os SQL dump, amelyben az állítás szerint több millió rekord található, amelyben a felhasználók - vásárlók - személyes adatai (név, email, telefon) és előző rendelésekkel kapcsolatos adatok találhatóak. 

Mindenképpen jó hír, hogy ma a csoport kiadott egy közleményt, ami szerint beszüntetik „áldásos tevékenységüket”.(UPDATE: nem tették)

Egyre több részlet derül ki az előválasztási rendszer leállásával kapcsolatban. A sok találgatás után végre megszólalt az aHang is, akik a rendszer építéséért és üzemeltetésért felelnek.

A Nemzeti Nyomozó Iroda Kiberbűnözés Elleni Főosztályára tett feljelentésük után egy kiberbiztonsági céget is megbíztak a támadás elemzésével. Ennek a vizsgálatnak jelenleg még nincs eredménye, így az eddig kiszivárgott, szakértők által publikus adatokból elemzett, illetve a nyilatkozatok alapján vonhatunk le következtetéseket.

Mit vonhatunk? Mi csak ugatjuk a témát.

Szerencsére itt van nekünk is a neve elhallgatását nyomatékosan kérő Szöllősi Gábor - alias Szögi,- a szakértők szakértője, infrastruktúra expert, a Hundub réme, a tiszteletes két pej csikajának jókedvű abrakolója.

Kijött egy sérülékenységi riasztás amely eléggé csúnyának tűnik. A Hikvision csaknem összes kameráját érinti, nagyjából a 2016 óta megjelentektől egészen 2021 júniusáig bezárólag. Néhány NVR megoldás is érintett lehet.