Kaptam ma egy érdekes levelet, amelyben webalkalmazás-tűzfalat ajánlgat egy számomra ismertelen cég.

Ez nem szokatlan nyilván, és nem is a GDPR érintettséggel akarnék én foglalkozni, holott az is megérne egy misét, hogy szerintük én korábban elfogadtam az adatkezelési elveiket, holott egyébként nem volt még velük kapcsolatom (legalábbis nem emlékezem rá, és erre alapos okom van).

Engem érdekelnek a webalkalmazás-tűzfalak, szóval miért ne nézném meg az ajánlatot?

Viszont a küldő fél kifejezetten gyanús, nem állítom, hogy minden integrátor vagy disztri, pláne egyéb IT-s céget ismerek Magyarhonban, de eleve óvatosabban állok hozzá olyanokhoz, akikről még nem hallottam.

Ki a fene az a NILS ID Kft. aki webalkalmazás-tűzfalat ajánlgat nekem?

A szokásos köröket megfutva (MX, Header, IPVOID, URLVOID, VIRUSTOTAL, OTX, PassiveDNS, Sucuri, PartnerControl, stb.) egy virtuális gépből megnéztem az oldalt, ahova a levél irányít:

https://nilsay.hu/az-igazi-webes-vedelem

Innen már látszódott (?), hogy az Alef Distribution Kft. marketing akciójáról van szó, amit a NILS ID Kft. bonyolított le.

De hogyan?!

Az URL ugyanis a Nilsay társkereső oldala, szóval az "Alef" lead generátor hírlevelének landingja egy randioldal aloldala...

Az Alef-es kolléganő akivel beszéltem nem tudott az akcióról. Felhívtam tehát a NILS ID Kft.-t, akik megerősítették, hogy az Alef megbízásából jártak el és a lead generálást az Alef számára végzik.

Én kötve hiszem, hogy az Alef Distribution Kft. az F5 webalkalmazás-tűzfal (WAF) eszközeit egy randioldalon keresztül szerette volna reklámozni....

UPDATE:

És nem is. Még érdekesebb a helyzet.

Felhívott az Alef illetékes kollégája, aki elmondta, hogy nincs közük a NILS ID Kft.-hez.

Van ugyan marketing megbízásuk lead generáló akciókra, de semmiféle kapcsolatban nem állnak sem a NILS ID Kft.-vel, sem pedig a társkereső oldallal.

Innentől már másról szól a sztori, „brand abuse” incidenssé módosul az esemény  korábbi "OMG!" besorolása, amely ellen az Alef Distribution Kft. megteszi a szükséges intézkedéseket.

Az Alef Distribution Kft. reakciója korrekt és mintaszerű volt, és ha a végén tényleg jól fenékbe is rúgnak valakit, pozitívan változik a véleményem az IT marketinggel kapcsolatban.

UPDATE2:

Makay-Dévai Sarolta, a Woman in IT Security (WITSEC) angyala fogalmazta meg a jó kérdést: akkor hova is kerülnek az Alef és az F5 nevében begyűjtött adatok? 

UPDATE3 (14:15)

Most hívtak a NILS ID Kft.-től azzal, hogy beperelnek, mivel szerintük rontom a jó hírnevüket: Merthogy mégis kapcsolatban állnak az Alef Distribution Kft.-vel - állítják (??????). A dolog kezd szürreálissá válni. 

UPDATE4 (15.14)

A helyzet tisztázódott (asszem). Az esemény "OMG!" státuszba került vissza. Aggodalomra semmi ok, mindenki ura minden helyzetnek, az adatok nincsenek veszélyben, a kibertér ma is megmenekült. 

A blogon már régebben is szerepelt az Office régi verzióiból bent maradt DDE funkciók kihasználása, most egy kicsit visszatérünk erre a sérülékenységre, mert nem hogy nem kopott ki, de újra "hódít".

A régebbi Office alkalmazásokban a Dynamic Data Exchange (DDE) protokoll biztosította az Office alkalmazások közötti adatcserét, ezt ugyan már az új Office verziók nem használják, viszont kompatibilitási okokból a funkció megtalálható a modernebb Office kiszerelésekben.

A DDE „macro-less” malware tavaly kapott nagy publicitást, a Sense Post kutatói által bemutatott módszerre aztán a vírusvédelmi vendorok is reagáltak, szóval a „klasszikus” DDE hívásokat meglehetősen jól észlelik az Anti-Vírus megoldások (meg persze a Microsoft is).

Azonban a DDE bizniszben sem áll meg az élet, a mostani postban a DDE „macro-less” módszerek „új generációját” mutatjuk be, szóval a DDE kihasználási lehetőségek továbbra is működhetnek.

Kiberkatonákat vet be a Magyar Honvédség - írja a Portfolio.  

Nekem erről az jutott eszembe, milyen lehet a magyar kiberkatona? Hackerszöveg a fémvázon? És főleg, mit csinálhatnak a kiberkatonák?

A válasz a zenében rejlik. 

Előre is elnézést, ezt a címet már nagyon régen el akartam sütni, bár a tartalommal nem teljesen koherens.

Ha meg akarnám magyarázni, akkor azt mondanám, hogy a Super Micro baromi sok datacenterben jelen van, a VPS-ek és bérelhető szerverek (valamint AWS szerverek) jó része is Super Micro termékeiből épültek fel, szóval, ha így nézzük, még igaz is a cím.

Szóval megjelent egy hír, miszerint a Super Micro szerver alaplapjaiba a gyártás során a kínai munkások „véletlenül” beépítettek egy eredetileg nem az alaplap szerves részét képező apró chipet, amely finoman fogalmazva is többletfunkciókkal „támogatja” az alaplap működését.

A Tenable adott ki egy figyelmeztetést, amely szerint a TP-Link WR841N sorozatú router eszközei olyan összetett sérülékenységgel rendelkeznek, amelyen keresztül távolról is átvehető az irányítás a router, és azon keresztül a mögöttes hálózat felett.

A napokban kapott fényt a Facebook talán legsúlyosabb biztonsági incidense. Kb. 50 millió felhasználó profiljához fért hozzá a támadó egy 3 biztonsági résből összeálló összetett sérülékenységet kihasználva.

A Facebook reagálása példaértékű volt, nem csak a kommunikáció, de az észlelés (történik valami), az elemzés (pontosan mi történt) és a javítás (befoltozzuk a lukakat) terén is.

Egyes elemzők szerint (és magam is ezt a véleményt osztom) a Facebook reagálása annak ellenére is lenyűgöző és követendő, hogy maga az esemény természetesen nem vet jó fényt az amúgy is bizalmi válságot megélő platformra.

Az esemény hátterével nem akarok foglalkozni, aki szeretne egy jó műszaki összefoglalást olvasni, annak ajánlom ezt a cikket, amely valamennyire rávilágít arra, hogy pontosan mi történt, azonban egy dologra fel kell hívni a figyelmet:

Az esemény nem csak a Facebook profilokat érinti, sajnos nagyon sokan használják a Facebook profilt arra, hogy más rendszerekbe jelentkezzenek be. Nyilván ebben az esetben a profilhoz való illetéktelen hozzáférés a többi rendszerhez való illetéktelen hozzáférést is jelentheti.

A fistfull of dollars

Nézzük meg kicsit közelebbről, hogy mennyit érnek a közösségi médiákból és más alkalmazásokból megszerzett, ellopott, kiszivárgott adatok.

Ezek a hozzáférések igencsak kelendő áruk, viszont meglepetésre az értékük nemigazán jelentős, egy maréknyi dollárért már olcsón beszerezhetők a megfelelő darknet piactereken.

A Facebook esetében (és általában minden hozzáférés esetében) is két csoportról lehet beszélni.

Az első csoportba tartozó hozzáférések nem feltétlenül lopottak, hanem korábban regisztrált, a Facebook által validált (pl. telefonos ellenőrzés, email ellenőrzés, SMS kód ellenőrzés, stb.) hozzáférések, amelyeket jellemzően troll hálózatok, álhír hálózatok (és persze az azokat működtető ügynökségek) vásárolnak.

Ezt a profilt tehát 2016-ban vásárolták, email-en keresztül validáltatták és jelenleg teljesen üres, nem rendelkezik kapcsolatokkal és akltivitásokkal. Az ilyen profil meglehetősen olcsó, ez mondjuk nem a jobb árúak közé tartozik (bár validált, ezért magasabb is az ára kicsivel).

Az ilyen hozzáférések esetében minél régebben regisztrált, annál többet ér (illetve az is sokat tornázhat az értékén, ha sok kapcsolattal, baráttal, stb. rendelkezik).

Ez a profil már drágább, hiszen nem 2016-os, hanem 2007-ben regisztrált profil. Olyan ez mint a jó bor vagy a whiskey, minél régebbi, annál többet ér. 

A jó piactereken étlap szerűen választhatunk, milyen nyelvű, nevű profilt, milyen nemű identitást vásárolunk, a profil legyen üres (olcsóbb), vagy legyen már mögötte aktivitás és kapcsolatok.

A második csoportba tartoznak a hackeléssel megszerzett profilok, ezeknek az értéke jóval alacsonyabb az előző csoportba tartozó regisztrált és ellenőrzött profilokénál.

Ennek oka, hogy ezek jellemzően rövidebb ideig használhatók, általában valamilyen gyorsabb lefutású kampányhoz vagy aktivitáshoz használják őket, illetve természetesen itt sem csak a profil hozzáférése lesz a fontos, hanem, hogy a profilon keresztül milyen további alkalmazásokhoz lehet majd hozzáférni.

Látszik, hogy kb. félárban van a hackelt hozzáférés a regisztrált és validált Facebook accountokhoz képest. Nyilván itt magasabb is a vásárlás rizikója, sok esetben nem működik a megvásárolt profil. Azonban a vásárló elégedettsége fontos az eladók számára, így általában néhány órán belül hozzá lehet jutni egy másik (replace) és már működő hozzáféréshez. 

Mennyit érsz?

A Money Guru kiadott erről egy jól időzített riportot (pont a Facebook-breach után jött ki, micsoda véletlen!).

A riport abból a szempontból igen érdekes, hogy jól összefoglalják benne, hogy mennyit érnek az ellopott hozzáférések, és mennyit ér egy képzelt (UK lokációjú) személy közösségi médiás (Facebook, Reddit, Insta, Pinterest, Twitter), illetve közel teljes digitális identitása.

6855 Ft – ennyit ér egy „áldozat” közösségi médiás identitása, de persze ez csak a vonatkozó profilokra igaz. A feltört profilokon keresztül további alkalmazásokhoz, profilokhoz is hozzá lehet férni, tehát ez csak a jéghegy csúcsa. 

A riport kalkulációja szerint 774 fontba kerül (kb. 282 ezer Ft.) egy UK lokációjú személy összes elektronikus adata, tehát nem csak a közösségi média, hanem a levelezés, bankkártya, webshopok, utazási, stb. adatai.

Szóval ennyit érünk a digitális világban, illetve mivel magyarok vagyunk, talán kevesebbet - vagy talán többet.

Néhány további „díj”

A Netflix hozzáférések meglehetősen olcsók, nagyjából 560Ft/db, ennél már csak a Spotify tud olcsóbb lenni (bár azokhoz szép számmal ingyen is hozzá lehet jutni).

A Tmobile hozzáférések még ennél is olcsóbbak, néhány centért vásárolhatók (olcsóbban, mint ahogy a riportban számoltak, mondjuk szerintem ez számunkra irreleváns, viszont az USA-ban eléggé jól használhatók).

Húzósabb árban van az ellenőrzött és utalásra, fogadásra alkalmas (és még balance-al is rendelkező) PayPal hozzáférés, amely ára kb. 1,3M Ft.

Ellenőrzött, validált Amazon hozzáférés már akár 1100 Ft-tól is kapható (ez jóval olcsóbb, mint amivel a riportban számoltak, ott 3000Ft feletti árat jelöltek).

Szintén jó árban vásárolható a BA hozzáférés, még utazási pontokat is tartalmaz alig 300Ft-ért (a riportban szereplő kb. 1800 Ft-hoz képest még jobb árban).

Szerintem tehát akár jóval alacsonyabb árak is kijöhetnek, mint amelyeket a riportban feltűntettek, hiszen elképesztő mennyiségű lopott vagy kiszivárgott adat érhető el, és természetesen itt is él a nagybani vásárlás előnye: a nagytömegben vásárolt adatok sokkal olcsóbbak, 30-40%-os diszkonttal simán lehet kalkulálni.

Lehet, hogy mi, magyarok többet érünk?

Ezt nehéz lenne megállapítani, de annyi bizonyos, hogy a magyar dokumentumok meglehetősen drágák, pl. a hamis magyar jogosítvány messze az egyik legdrágább dokumentum mondjuk az amerikai vagy angol hasonló papírokéhoz képest. 

Szóval aki egyébként szeretne hamis jogsit, annak alig 190ezer Ft-ért küldenek Belgiumból.

A legjelentősebb független, IT biztonsági eszközök tesztelésével foglalkozó NSS Labs trösztellenes pert indított több vírusvédelmi gyártó ellen, mivel állításuk szerint a beadványban nevesített gyártók összefogtak és közös erővel akadályozzák a független termékteszteléseket.

Egy rövid postban szeretnék megemlékezni egy víruskereső és szignatúra nélküli fertőtlenítési módszerről, amely nem csak manuálisan játszható, de a jobb védelmi rendszerek részeként automatikusan is működik, legfeljebb nem tudjuk, hogy ott van és teszi a dolgát.

A Content Disarm and Reconstruction (azaz CDR) olyan malware védelmi vagy remediációs eljárás, amikor a fájlból (manuálisan vagy automatikusan) eltávolításra kerülnek az aktív és beágyazott (veszélyes) elemek.

A büntetést 19 993 magánszemély adatainak kiszivárgása miatt szabták ki, tehát ha egy egyszerű osztással élünk, akkor 8700 Ft/magánszemély átlag jön ki, ami meglehetősen olcsó, a hülyének is megéri. Nem?

Még június-júliusban volt egy nagyobb adathalászat hullám, amikor a Díjnet nevében küldözgettek számlafizetési értesítőket, de sajnos úgy tűnik, hogy megint elindult a móka.