About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (37),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (11),social web (9),biztonság (8),mobil (8),OSINT (6),jog (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),Google (5),email (5),molbiol (5),felzárkóztató (5),szájbarágó (5),webcserkészet (5),plágium (4),Nobel-díj (4),kriminalisztika (4),terrorizmus (4),big data (4),kultúra (4),genetika (3),pszichológia (3),molekuláris biológia (3),biztonságpolitika (3),CRISPR (3),Android (3),online marketing (3),sajtó (3),élettudomány (3),gépi tanulás (3),Onedrive (3),üzenetküldés (3),jelszó (3),2015 (3),orvosi-fiziológiai (3),Apple (3),Gmail (3),reklám (3),konferencia (3),webkettő (3),biztonságtudatosság (3),kriptográfia (3),levelezés (3),magatartástudomány (3),azelsosprint (3),popszakma (3),hype (3),open source intelligence (3),torrent (3),nyelvtechnológia (3),bejutas (2),tweak (2),villámokosság (2),cas9 (2),Yoshinori Ohsumi (2),Hacktivity (2),génterápia (2),fiziológia (2),természetes nyelvfeldolgozás (2),Reblog Sprint (2),bűnügy (2),Pécs (2),nyílt forrású információszerzés (2),webkamera (2),deep web (2),P2P (2),Netacademia (2),arcfelismerés (2),DDoS (2),Balabit (2),bűnüldözés (2),TOR (2),kulturális evolúció (2),ransomware (2),hitelesítés (2),SPF (2),Whatsapp (2),neuropszichológia (2),szabad információáramlás (2),FUD (2),DKIM (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),szociálpszichológia (2),tanulás (2),biológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Hekkerek, testközelben


ITsec Hacktivity webes biztonság alkalmazásbiztonság etikus hekkelés ajánlóSzándékosan nem azt az elcsépelt kérdést adtam címként a posztnak, hogy "Hogyan legyél hekker?" vagy hasonló, több szempontból is, például azért, mert nem kevésbé jól sikerült írás született korábban a témában. Mivel én is rendszeresen megkapom ezt a kérdés, pontosabban azt, hogy hogyan érdemes elkezdeni foglalkozni informatikai biztonsággal, ezért itt vázlatosan összefoglalom az álláspontom.

Az első és legfontosabb, hogy ha van kifejezés, ami eléggé utálok, az maga a "hekker". Emlékszem, még sok-sok évvel ezelőtt a Hacktivity-n volt egy sehova sem vezető kerekasztal-beszélgetés azzal kapcsolatban, hogy valójában ki hekker, ki nem hekker, a kívülállók számára hogyan lehetne megváltoztatni a hekkerekről kialakított negatív képet, ami szerint a hekker a tudásával visszaélő, törvényeket megszegő szararc.

Véleményem szerint teljesen értelmetlen azon dolgozni, hogy a hekker kifejezést a magyar nyelvben megpróbáljuk újraértelmezni ugyanis – itt jön a lényeg – etimológiai szempontból az amerikai angol hacker kifejezésből származik ugyan, de szerinte semmi köze ahhoz, a magyar nyelvben mióta létezik, mindig is pejoratív volt. Jól jegyezzük meg: a magyar nyelvben soha az életben nem volt semmiféle pozitív jelentéstartalma a hekker kifejezésnek, egyszerűen kulturális okokból, például amiatt, ahogyan a számítógépes bűnözéssel kapcsolatos híreket interpretálta a sajtó még a 90-es években. Ez nem jó vagy rossz, egyszerűen ez van, kész. Ezzel szembemenni körülbelül olyan értelmetlen, mint kitalálni, hogy holnaptól a feketére használjuk a fehér kifejezést és fordítva. Ami már teljesen más kérdés, hogy az ebből származtatott kifejezések már természetesen nem mind pejoratívak, például az etikus hekker, amelyik fedi az eredeti angolban ethical hacker kifejezés jelentését és olyan IT biztonsági jómunkásembert jelöl, aki egy megbízásnak megfelelően, de alapvetően ugyanazokat az eszközöket használva, mint egy támadó, felméri egy-egy IT rendszer sérülékenységét.

A fogalomról tehát ennyit. De mégis, mit lehet mondani annak, aki érdeklődne az IT biztonsági témák iránt, foglalkozna vele, de nem tudja, hogy hogyan vágjon neki? Több vélemény szerint nincs igazán jó válasz, mert ha valaki eléggé involvált, kíváncsi, akkor már magától úgyis elkezdett bütykölni valamit, legyen az akár szoftver, akár hardver, akár maga az emberi magatartás, én rokon területnek tekintem a haladó keresési és információkinyerési technikák művészetét is, de lehetne még folytatni a sort.

Én ezzel a véleménnyel nem értek egyet. Lehet valaki kitűnő szoftverfejlesztő, akit érdekelne a biztonság, de nem igazán tudja, hogy hogyan fusson neki. Erre azt tudom mondani, hogy az IT security olyan, mint a programozás: nem lehet könyvből megtanulni, normálisan viszont könyv, mégpedig jó sok könyv nélkül szintén nem.

Vannak olyan etikus hekker képzést kínáló helyek Magyarországon is, amik hajmeresztő összegekért kínálnak oktatást úgy, hogy állításuk szerint az ő képzésükhöz nem szükséges előzetes programozási tudás. Mese habbal, ilyen a világon nincs! Ha nem is kell vérprofi programozónak lenni, de mindenképp legalább alapszintű, de bombabiztos programozási ismeretek szükségesek ahhoz, hogy valaki hozzá tudjon szagolni a témához, ami plusz jó, ha már adott egy bizonyos hacker mentality ez viszont kialakulhat menet közben is.

ITsec Hacktivity webes biztonság alkalmazásbiztonság etikus hekkelés ajánlóNéhány évvel ezelőtt a "hogyan kezdjem?" kérdésre még Erickson Hacking – The Art of Exploitation művét ajánlottam, ami nagyon penge módon, a szoftverek elemi működéséből kiindulva veszi sorra azokat a témákat, amiknek a megértése és megismerése után már bőven tud mit kezdeni a megszerzett tudással az érdeklődő, majd továbbhaladni.

Úgy fogalmaztam, hogy néhány évvel ezelőtt. Az előbb említett könyv az alacsony, gépi szintű műveletek ismeretére koncetrál, legalábbis abból indul ki, ezért mindenképp gyorsabban tud látványos eredményeket elérni az, aki a már sokkal inkább emberközelibb, a szkript-nyelvek világában létező biztonsági problémákkal kezd foglalkozni. Ezek pedig szorosan kapcsolódnak a webalkalmazások biztonságához. Szinte mindegy, hogy valaki a Hacking Exposed sorozat Web Applications [Scambray, Liu, Sima] egy újabb kiadását használja vagy a Stuttard-Pinto szerzőpáros The Web Application Hacker’s Handbook könyvét, mindkettő alapos áttekintést ad a webalkalmazások tipikus sebezhetőségeivel kapcsolatban.

ITsec Hacktivity webes biztonság alkalmazásbiztonság etikus hekkelés ajánlóHogy kiből lehet hekker vagy inkább nevezzük úgy: rokon területen szakértő? Bármilyen misztikusnak tűnik is, ez is ugyanúgy megtanulható, mint bármi más, csak éppenséggel érdeklődés, idő és tehetség kérdése.

Ha pedig valaki szeretne kívülállóként szeretne betekintést nyerni abba, hogy hogyan gondolkoznak, dolgoznak az etikus hekkerek, kutatók, érdemes ellátogatnia olyan szakmai rendezvényekre, mint amilyen a Hacktivity, ahol idén is két szekcióban párhuzamosan mennek majd az előadások,  szóba kerül majd többek közt a kártékony programok analízisének mikéntje, IP-kamerák hekkelése vagy éppen, hogy hogyan segíthetik az evolúciós algoritmusok a jelszavak kitalálására irányuló támadásokat. Ezen kívül két workshopban, kisebb csoportokban van lehetőség ismerkedni olyan témákkal, mint amilyen az andoridos eszközök sebezhetőségének tesztelése vagy éppenséggel a vezeték nélküli hálózatok hekkelése. Az előadásokra és a workshopokra egyaránt igaz, hogy akkor is lehet tanulni belőlük, ha a vendég nem érti minden részletében azt, amiről szó van.

0 Tovább

A kukkoló webkamera mítosza


webkamera megfigyelés privacy magánszféra firmware hacking ITsecTöbb helyen is lehetett olvasni, nemrég egy eléggé komoly Motherboard-cikkben, hogy érdemes letakarni a laptop webkameráját, ha úgysem használjuk, ezzel kivédve annak az esélyét, hogy valaki egy kémprogramon keresztül a saját laptopunk kameráján keresztül kukkoljon a tudtunk nélkül. Jogos-e a félelem és ha igen, mennyire? A rövid válasz az, hogy nem, inkább csak mítosz a dolog, de azért megér a téma egy hosszabb fejtegetést. Én nem tudok olyan komolyabb, nyilvánosságra került támadásról, amikor a webkamerán keresztül kémkedett volna bárki is, persze nem zárható ki, hogy ilyen nem is volt soha.

Kezdeném azzal, hogy én sosem értettem ezt a webkamerával kapcsolatos parát. Egyszerűen azért, mert mióta egyáltalán webkamera létezik, amikor az ténylegesen használatban van, kigyullad egy jól látható, aktuális működést jelző led. Márpedig a ledet és a kamera bekapcsolt állapotát vezérlő mikrokontroller egyrészt szorosan össze van integrálva egymással, ráadásul gyártófüggő is. Ez a gyakorlatban annyit jelent, hogy még ha egy gépre kémprogram települ is, ami bekapcsolja a támadott felhasználó webkameráját az operációs rendszeren keresztül, hacsak a felhasználó nem teljesen hülye, a led világításából egyértelmű lesz számára, hogy a webkamerát valami használja. Ha pedig a bekapcsolt ledet nem veszi észre az illető, esélyes, hogy a sokkal hatékonyabb, rázósabb támadást sem venne észre, azaz alighanem nem ez a legnagyobb biztonsággal kapcsolatos rá néző kockázat, hiszen sokkal könnyebb - és értelmesebb - ha a támadó sokkal konvencionálisabb módszerekkel próbálkozik.

Felmerülhet a kérdés, hogy be lehet-e kapcsolni a felhasználó tudta nélkül egy webkamerát úgy, hogy a led ne gyulladjon ki. Közhelyes, hogy éppenséggel mindent lehet, csak az esemény valószínűsége változó. Ezzel kapcsolatban épp a napokban kérdeztem egy, többek közt webkamerák hekkelhetőségével foglalkozó ismerőst, akinek a válasza végülis abban erősített meg, ahogyan korábban is gondoltam, na meg pontosította az ezzel kapcsolatos tudásom. Azaz: egy dolog malware-t telepíteni egy elterjedt, ritkán frissített, elhanyagolt operációs rendszerre, egy teljesen más dolog az, amikor a webkamera firmware frissítésével kerül fel egy olyan, támadó által "patkolt" firmware változat, ami finoman szólva nem csak azt csinálja, amit kellene. Ez még nem is olyan nagyn-nagyon életszerűtlen, hiszen kamerák tömegében ugyanolyan beágyazott linux-like rendszer fut, ami eléggé jól dokumentált, ennek megfelelően hekkelhető is, ha az áldozatot valahogy ráveszik, hogy a támadó által kipreparált firmware frissítést telepítse a gyári helyett, kifinomultabb támadás esetén esetleg teljesen más programként van belógatva a telepítő és nem úgy, mint egy webkamera szoftverfrissítője, hiszen a kamera szoftverét frissíteni egyébként sem egy mindennapos dolog.

És itt jön a lényeg: azért, hogy a led ne gyulladjon ki működés közben, elméletileg a mikrokontroller is exploitálható, viszont egyrészt ekkor pontosan tudnia kell a támadónak, hogy milyen típusú kameráról van szó és az milyen mikrokontrollert használ, a mikrokontroller vagy sérülékeny vagy sem, de még ha sikerül is rábírni, hogy a ledet ne gyújtsa ki a kamera bekapcsolódásakor, ezt az egészet nagyságrendekkel nehezebb kivitelezni egy egyszerű kémprogram telepítésénél vagy éppen megbolondítani a kamera eszközmeghajtóját, vagy olyan alkalmazást csempészni az oprendszerre, ami egyszerűen bekapcsolja a kamerát, majd a streamet továbbítja a támadó felé.

Azaz egy tökéletes kamerás támadásnál még annak is nagyobb az esélye, hogy az áldozat irodájába például elhelyeznek egy miniatűr eszközt, ami kameraként, poloskaként is működik, mindezt GSM-hálózaton keresztül továbbítja a támadónak és mindez valamilyen irodai eszköz elektromos adapterének van álcázva a folyamatos áramellátás érdekében.

Jópofa dolog az informatikai biztonsági megoldásszállító cégektől olyan promóciós műanyag ablakot osztogatni szakmai rendezvényeken, amivel egyszerűen kitakarható a kamera, ha nincs használatban, csak értelme nincs. Nagyban gondolkodva pedig nem lennék meglepve, ha kimatekozva kiderülne, hogy világviszonylatban, összesen a felhasználók többet költöttek ragtapaszra, sebtapaszra, szigszalagra, a kamerák letakarására tervezett bizbaszokról nem is beszélve, mint amekkora kár eddig összesen keletkezett webkamerán keresztül történő kukkolásról.

Fontos megjegyeznem, hogy itt most a laptopokba hagyományosan beépített, videóhívásoknál használt webkamerákról van szó, teljesen más a helyzet például az olyan IP-hálózatra kötött kamerák esetén, amit kimondottan azért telepítettek, hogy folyamatosan figyeljenek.

webkamera megfigyelés privacy magánszféra firmware hacking ITsecAkit behatóbban érdekelnek az informatikai biztonság legizgalmasabb kérdései, érdemes lehet elnézni a Közép-Kelet-európai régió egyik legkomolyabb IT biztonsági konferenciájára, az idei Hacktivtyre, aminek a programja ide kattintva már elérhető.

8 Tovább

Wifi-routerek milliói kerülhetnek veszélybe


TP-link router ITsec olcsóság van!Amikor valaki azt kérdezi tőlem, hogy milyen routert érdemes venni otthonra, mindig azt mondom, hogy szinte mindegy, csak ne valamilyen néhány ezer forintos fröccsöntött kínait. Igazából legfeljebb annyit tudok óvatosan mondani, hogy mennyi lehet az az összeg, amennyi fölött szabad otthonra vagy irodába routert venni.

A manapság használt routereket szokásosan már next-next-finish-tematika alapján gyakorlatilag egy perc alatt be lehet üzemelni, bármiféle szaktudás nélkül, hiszen érthető módon a hálózati eszközök gyártóinak egyik elemi érdeke, hogy a vásárlónak csak ki kelljen vennie az eszközt a dobozból, majd kapásból működjön is.

Ha a routerben valamit be kell állítani, általában a böngésző címsorába beütve a 192.168.0.1-es címet máris egy pofás kis webes kezelőfelületre jutunk a belépést követően, de erre az átlag felhasználónak csak a beüzemeléskor van szüksége. Hát persze, hogy voltak gyártók, akik jó ötletnek gondolták, hogy a felhasználónak még csak ne is IP-címet, hanem egy hosztnevet kelljen nyájasan begépelni, mert az hülyebiztosabb. Így tett a TP-Link is, amelyik de facto standarddá tette a saját routerei esetén, hogy a beállítópanel a tplinklogin.net címen legyen elérhető. Fél fokkal növelt user experience, hol itt a probléma?

A tplinklogin.net hosztnév persze nem csak egy belső, routernek szóló név, hanem egy, a weben is létező szabályos domain név, amire ha valaki ellátogatott, TP-Link felhasználóként átirányította a böngésző a saját routere beállítópaneljének bejelentkező oldalára. Még egyszer: routerek milliói működnek így!

Erre olyan történt, amit olvasva néhány másodpercig csak néztem ki a fejemből: egyenlőre nem világos, hogy hogyan, de a nagy és okos TP-Link elfelejtette meghosszabbítani a tplinklogin.net domain nevet! Amire persze rögtön le is csapott egy domainbróker cég, de arról kicsit később.

Mit is jelent ez a gyakorlatban? A domain-lopás vagy domain-eltérítés az elképzelhető incidensek közül az egyik legpusztítóbb, hiszen ha valaki tudja módosítani például az example.org domain név DNS-rekordjait, a mögötte lévő webszerverhez, levelezéshez, minden szolgáltatáshoz hozzáférhet és módosíthat, ami az adott domain alá van bekötve. Ezért is nagyon fontos, hogy például magáncélra megbízható domain regisztrátort és névszerver szolgáltatót válasszunk. Míg egy olyan incidens esetén, amikor a domainnév egy adott nemzeti legfelső szintű domainnév alá tartozik, az adott országban könnyebb lépéseket tenni az elhappolt domain visszaszerzésére, ún. generic TLD-k esetén ez gyakorlatilag esélytelen nemzetközi vizeken.

Az Arstechnica néhány nappal ezelőtt számolt be arról a lehetséges forgatókönyvről, hogy a tplinklogin.net domaint ha olyan vásárolja meg, aki egy adathalász oldalt tákol mögé, a mit sem sejtő TP-Link felhasználók millióinak bejelentkezési adatait és beállításait lophatja el, ezt követően pedig ha átirányítja őket a router valódi bejelentkező felületére, hogy mindez ne legyen feltűnő. Ha első olvasásra annyira nem tűnne problémásnak, hogy valaki hozzáfér más nethozzáférési adataihoz, nos, írom, hogy innentől kezdve bármit megtehet az ügyfél nevében egy kis trükkel.

Viszont nem valószínű, hogy egy adathalász venné meg az elévülését követően azonnal felvásárolhatóvá vált domaint, mivel arra már lecsapott a SEDO domainbróker cég, amelyik a hírek szerint nem kevesebb, mint 2-3 millió dollárért árulja a nevet. A dolog pikantériája, hogy a SEDO-nál nem sok nagyobb féreg van a netes cégek világában, mivel kimondottan arra szakosodott, hogy olyan domainek tulajdonjogát szerzik meg, amik van éppen lejártak és várhatóan a valódi tulajdonosuk jelentkezni fog érte, ezen kívül olyan domainneveket is tulajdonolnak, amik esetleg nem is voltak használatban, viszont valószínűsíthető, hogy egy cég nemzetközi piacra lépése esetén levédené a saját nevét, amit ugyancsak a SEDO-n keresztül tudna majd megvásárolni. Persze annyiért, amennyit a SEDO kér érte.  

Hogy a domain brókerek világánál nem igazán van aljasabb a neten, ami még nem ütközik törvénybe, jól mutatja, hogy a domain brókerekhez általában eleve regisztrációs díj befizetése után lehet bejelentkezni, az ajánlattételhez plusz összeget kell fizetni, amit ugyancsak nem térítenek vissza, majd ezt követően mondják meg a tényleges árat, ráadásul gyáva módon, fedett identitással.

Visszatérve a TP-Linkre, nem világos, hogy egy ekkora cég hogyan lehetett annyira ostoba, hogy hagyta a nevet elévülni, mivel a regisztrátor a nevek lejárta előtt több figyelmeztetést is küld a domain név tulajdonosának. A TP-Link alighanem kénytelen lesz fizetni, de nem 10 USD-t, amennyibe kerülne egy éves hosszabbítás, hanem annyit, amennyit a SEDO kér tőlük.

Abban az esetben, ha egy adathalász szerezné meg a nevet, olyan esetben, ha valaki egy TP-Link routert beállításakor a tplinklogin.net címen lépne be, az történne, amit fentebb már ismertettem, csak akkor irányítódna át a normál bejelentkező felületre, ha a router még nincs csatlakoztatva a nethez, ilyen módon a tplinklogin.net adathalász oldal nem érhető el, mivel a router netkapcsolat nélkül nem tudná feloldani a címet.

Csak érzékeltetésképpen: mivel az ún. generic legfelsőbb szintű domainvégződésekre nem vonatkoznak olyan korlátozások, mint több nemzeti, adott ország domain-felügyelete alatt álló domainvégződésre, így számos nevet még a net hőskorában lefoglalták, majd egészen elképesztő összegekért adták tovább a tulajdonosoknak.

Ami a TP-Linket illeti, belegondolni is rossz, hogy az eszközök firmware-jeik mennyire lehetnek biztonságosak, ha ilyen előfordulhat. „Megbízható választás”, mit ne mondjak.

0 Tovább

Androidot használsz? Egy Google Play-appal garanciavesztéssel kinyírhatod a mobilod


mobil Android rootolás ITsec Google Play mindig van lejjebbAmikor kezdem azt hinni, hogy én már semmin sem lepődök meg, tényleg nincs lejjebb, ha Android platformról van szó, jön valami olyan elképesztően durva hír, ami kapcsán már nem is az informatikai-biztonsági vonatkozás az, ami elgondolkoztat, hanem sokkal inkább az a mikroökonómiai vonatkozás, hogy tényleg nem lehet eléggé silány minőségű egy termék vagy szolgáltatás az IT-piacon sem, hogy ne legyen rá kereslet, aminek az okait korábban fejtegettem már.

Közismert, hogy az androidos mobilokon számos funkció érhető el, a mobil gyakorlatilag a végtelenségig testre szabható, ha rootolva van, azaz a felhasználó az összes, biztonsági és stabilitási szempont miatt beállított korlátozást kiiktatja. Az Androidot futtató mobil rootolás nélkül is egy ön- és közveszélyes, ahogy azt az összes független kutatás alátámasztja, ezt gyakorlatilag csak a teljesen bigott Android-fanatikusok cáfolják az elmúlt évek androidos botrányai után. [Azokkal a fanatikusokkal meg konkrétan nem tudok mit kezdeni, akik azzal jönnek, hogy az Android mennyivel van előbb, mint az iOS, ami lehet, hogy jól hangzik, csak egy-két keresés után azonnal kiderül, hogy egyszerűen nem igaz. ] Lényeg, hogy a rootolást követően a felhasználó az eszköz teljhatalmú ura lesz, tehát a rootolás csak egészen kivételes esetekben lehet indokolt, például ha egy Android-fejlesztő alaposan vizsgálni szeretné a rendszer valamilyen részét, amihez addig nem fért hozzá. Vagy esetleg egy hardeningelt Android-klón operációs rendszert fejlesztene, egyékbént még a témában legjártasabb felhasználók is azt javasolják,  hogy ha már Androidot használ valaki, ne rootoljon, ha nem tudja pontosan, hogy mit csinál, márpedig a többség nem harceddzett mobiloprendszer-fejlesztő.

Erre mi történtik? A Google Playben, ami a legbiztonságosabbnak mondott alkalmazásbolt az Androidhoz, ahova az alkalmazások elvben többlépéses ellenőrzést követően kerülnek fel, felkerült több olyan alkalmazás is, ami képes a jelenleg futtatott androidos mobilok 90%-át rootolni néhány kattintással!

Azaz nem, az androidos felhasználó még akkor sincs biztonságban, ha kizárólag a Google Playből telepít alkalmazást, rendeltetésszerű használat mellett folyamatosan frissíti az eszközön lévő rendszert és alkalmazásokat, ha egyrészt a részben Google által felügyelt alkalmazásbolt, másrészt maga az operációs rendszer ilyet lehetővé tesz. Androidos sebezhetőséggel kapcsolatos hír, a legtöbb esetben már az ingerküszöböt sem éri el, mondjuk azok után, hogy az alkalmazásboltban feltöltött alkalmazásokat utólag lehetett módosítani tetszőlegesen éveken keresztül vagy éppen, hogy az iOS-en potom 8 éve natív és kikapcsolhatatlan fájlrendszeri szintű titkosítás az Androidon kevesebb, mint 3-4 éve érhető el, opcionálisan. Ráadásul az egész azzal lett önmaga paródiája, hogy miután bejelentették, hogy az összes felhasználói adat titkosítását lehetővé tevő lehetőséget továbbfejlesztették a 4.1-es verzióban, néhány héttel később már nyilvánosságra is került, hogy az elvben teljesen titkosított andoridos mobil teljes adattartalma dekódolható a titkosítási kulcs ismerete nélkül. A titkosítást azért emelem ki, mert évről évre számtalan mobilt hagynak vagy lopnak el szerte a világon, így elvárható lenne, hogy a rajta lévő adatok ne legyenek háztáji módszerrel kinyerhetők, amire ráadásul a felhasználó összes adata rá van drótozva a Google Accountnek "hála", csak csatlakoztatni kell az eszközt egy géphez fejlesztői módban vagy simán kivenni a memóriakártyát.

A mostani esetről részletek az Arstechnica-n.

kép: Techshift

1 Tovább

Gigantikus adatszivárgás a Google jóvoltából...


Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksAlighanem 10-ből 9-en most először gondolkoznak el majd rajta komolyabban, hogy valóban annyira tuti dolog-e Google Drive-on – meg úgy egyáltalán Google-szolgáltatásban - tárolni bármit is. Másrészt a mostani, az első olyan esetek egyike, amikor bebizonyosodott, hogy a Google nagyvállalati környezetre szánt, kimondottan drága megoldása miatt bizalmas adatatok felmérhetetlen tömege szivárgott ki.

Eléggé erős sztorit hozott az Arstechnica a minap: Google Drive-ban tárolt, elvben védett dokumentumok tízmilliói voltak kereshetőek egyszerűen a Google keresője segítségével abszolút bárki számára, úgy fest, hosszú hónapokon keresztül. Ezek közt nem kis mennyiségben kórházak által kezelt olyan dokumentumok is, amiket a HIPAA szerinti törvényi megfelelőség szerint, azaz igencsak szigorú biztonsági követelményeknek megfelelően kellene tárolni, ilyen például a betegekre vonatkozó közvetlen adatok.

Az eset kiválóan rámutat arra, hogy a hülyeségig bízni a Google Drive-ban és az ahhoz kapcsolódó, megbízhatónak hitt szolgáltatásokban mekkora felelőtlenség. Hogyan fordulhatott elő konkrétan a mostani eset?

Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksAz ún. Google dorkok és az erre épülő Google hacking azóta létezik, mióta maga a Google keresés is. Google hacking lényege, hogy a Googlebot indexel és gyorsítótáraz alapvetően mindent, amit csak lát és az adott webszerveren a dokumentum nincs megjelölve kimondottan úgy, hogy azt ne gyorsítótárazza semmilyen keresőszolgáltatás. Ez alól nem jelentenek kivételt természetesen azok a dokumentumok sem, amiket a felhasználó annak tudatában töltött fel valahova, hogy azt úgysem találja meg senki, ami pedig még gyakoribb eset, hogy a Googlebot az előbb emlegetett indexelést tiltó korlátozás hiánya miatt megeszi a webszerver egyik mappában felejtett, kényes információkat tartalmazó dokumentumot, így az kereshetővé válik.

Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksHogy egy csapásra világossá tegyem azt, amiről szó van, lehet például olyan fájlok után keresni a Google-lel, amik valószínűsíthetően felhasználói név-jelszó párosokat tartalmaznak egy Excel-formátumban. Első blikkre a laikus olvasó azt hinné, hogy annyira azért senki sem hülye, hogy egy megosztott webmappába ilyet csak úgy ottfelejtsen, holott általában egy-egy ilyen ordító dorkkal dokumetumok tízezreit lehet megtalálni a neten, ami természetesen nem illegális, az ilyen dokumentumokból kinyert adatokat felhasználni viszont természetesen már az. Hiszen a legtöbb állam törvényei szerint egy, a web dzsumbujában talált felhasználói név-jelszó párossal belépni egy olyan helyre, amihez a felhasználónak semmi köze nincs, törvénysértő. A tankönyvi példaként is emlegethető lekérdezés egyszerű, mint a faék:

password filetype:xls

Az Offensive Securitynek pedig egy mindenki számára elérhető pedáns gyűjteménye van az olyan trükkökről, amikkel hasonló érzékeny adatok nyerhetők ki.  

Megjegyzem, a Google Drive-on tárolt dokumentumokban ezzel a módszerrel csak úgy nem lehet keresni, kivéve, amikor igen.

Mint ismert, a Google Drive, pontosabban a Google-szolgáltatásai számos más szolgáltatással összekapcsolhatóak, ehhez pedig mindig a felhasználó beleegyezése szükséges. A leggyakoribb eset, amikor olyan oldalon regisztrálsz, ahol az email címed és egy kiagyalt jelszó megadása mellett úgy is működik a regisztráció, hogy a Google-fiókoddal való regisztrációt választod. Ekkor az adott külső szolgáltatásba be tudsz lépni anélkül, hogy plusz egy jelszót meg kellene jegyezned, egyszerűen beenged a szolgáltatás, ha be vagy lépve valamelyik általad használt Google-szolgáltatásba, azaz a saját gépedről gyakorlatilag mindig. Amellett, hogy a dolog kétségkívül kényelmes, elvben biztonságos is, mert a külső szolgáltatásnak nincs szüksége a Google-jelszavadra, az ún. OAuth-on keresztül történik meg a fiókod azonosítása.

A Google egyik, nagyvállalatok számára kínált terméke az ún. Google Search Appliace, ami lényegében egy olyan megoldás, ami lehetővé teszi, hogy egy nagyvállalati ügyfél akár több tízmillió dokumentumát pillanatok alatt kereshetővé tegyék, persze szigorúan a szervezeten belül. Mindez pedig kombinálható-összekapcsolható olyan szolgáltatásokkal, mint a nagyvállalati Google Drive vagy éppenséggel ilyen-olyan csoportmunkát segítő rendszerek.

Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksA mostani hajmeresztő adatszivárgás technikai oka leegyszerűsítve az volt, hogy a Google Search Appliance a Slack nevű, csoportmunkát támogató szolgáltatással az OAuth-on kereszül olyan hülyén volt összedrótozva, hogy ezek az egyébként szigorúan belső használatra szánt dokumentumok millióit láthatóvá tették a teljes web felé. Ami elgondolkoztató az egészben, hogy külön-külön sem a Google Drive, sem az ezzel összekapcsolt Google Search Appliance, sem pedig a Slack nem valamilyen kimondott szoftverhiba miatt csorgatta ki az adatokat sejthetően százterabájtos dózisban a web szabad ege alá, hanem ezek egyikének figyelmetlen beállítása miatt.

Hangsúlyoznám, ezek a szolgáltatások éppenséggel szinte mindenre fel voltak készítve, csak éppen arra nem, hogy a felhasználók egy része annyira kényelmes lesz, hogy majd egyszerűen tudatlanságból vagy lustaságból túlságosan lazára veszi a figurát, még akkor is, amikor teljes kórházak adatvagyonát kezeli.

Ahogy szoktam mondani, remek filozófiai kérdés, hogy egy-egy biztonságosnak kikiáltott szolgáltatás fejlesztőit mennyire terheli a felelősség olyan esetben, amikor magának az emberi természetből – tipikusan kényelemből – adódó biztonsági kockázat túl nagy marad a túl felhasználóbarát tervezés miatt. [Egy analógia: a legegyszerűbb esete ennek, amivel alighanem mindenki találkozott, hogy normálisabb helyeken a felhasználó által beállítandó jelszónak eléggé bonyolultnak kell lennie. ]

Itt egy idióta GSA-Googe Drive-Slack-összekapcsolásnak akkora a következménye, hogy az értelemszerűen bejósolhatatlan, hiszen egyenlő a lehetetlennel megállapítani, hogy Google-kereséseken keresztül talált kényes dokumentumokat mennyien töltöttek le és adták el a feketepiacon.

A vállalati Google-szolgáltatások egy jókora részének, de a Google Drive-nak is már-már az információs társadalom elleni bűne, hogy azt az érzetet keltik a felhasználókban, hogy pusztán a szoftveres megvalósítás szintjén megvalósított biztonság egyet jelent az effektív biztonsággal. Megjegyzem, nagyon sokak szerint a Google vállalati megoldásai egyszerűen megbuktak ilyen szempontból, mert többek közt a túl sok kényelmi szolgáltatás megteremti annak a lehetőségét, hogy a felhasználó figyelmetlensége miatt súlyos, észrevétlen adatlopások történhessenek.

Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksTételezzük fel, hogy van egy újságíró, aki a Google Drive-on tárolja az adatait, mi több, ezek keresztül fér hozzá azokhoz az adatokhoz is, amit vele más Google Drive felhasználók megosztottak. Az is járhat helyreállíthatatlan bizalomvesztéssel, ha egy egyszerű kézirat, netán olvasótól kapott, bizalmas adatokat is tartalmazó dokumentum az olvasó kilétét felvedve szivárog ki. Annak pedig a gondolatával is eljátszani is rémes, hogy az újságíróból idővel rovatvezető, főszerkesztő, majd a kiadó menedzsmentjének tagja lesz és – lévén, hogy a felhasználói szokások szinte sosem változnak – akkor is ilyen szarokat használ, amikor már egy óriási kiadó stratégiai lépéseit leíró dokumentumokat kell kezelnie.

Röviden: a Google Drive, na meg úgy egyáltalán a Google rossz, kéremkapcsoljaki.

A teljesség kedvéért megjegyzem, régebben voltak helyek, ahol én is Google Apps-t javasoltam bevezetésre vagy állítottam be, de ez a Google Apps beállítópaneljén történő finomhangolás mellett történt egyrészt, ami úgy-amennyire meg tudja védeni a felhasználót önmagától [például 16+ karakteres jelszóhossz kikényszerítésével, de ezek nem alapértelmezés szerinti beállítások]. Másrészt  nem javasolnám olyan helyen, ahol kimondottan minősített adatokat kezelnek. Ezen kívül én magam is használok Google szolgáltatást, de vagy tartalékrendszerként vagy a Google Apps olyan sajátossága miatt, amiben Google Apps vélhető a legerősebbnek, például egy esetleges levélbombás támadás elleni védelemben.

/*hogy még egy utolsót rúgjak a Google-be, azt a technikát, amivel a levélbombákat illetve spameket hatékonyan meg tudják fékezni nem is ők fejlesztették ki eredetileg, hanem az általuk felvásárolt Postini*/

Képek: information-age.com, teachprivacy.com, a1goodidea.com

0 Tovább