About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

Facebook-feltörés - közel négy éves módszerrel! 


Facebook feltörés ITsec jelszó brute force EPIC FAIL Anand PrakashNem tudom, hogy ki emlékszik még arra a 2012. őszén napvilágot látott sebezhetőségre, amikor valaki szimplán a felhasználó email-címének ismeretében felül tudta írni az áldozat jelszavát és az új jelszóval be tudott lépni. 

A régi sebezhetőség lényege az volt, hogy ha valaki az elfelejtett jelszóra klikkelt, majd kért egy jelszóhelyreállító tokent emailen, kapott egy 6 számjegyű számot, amit csak meg kellett adni a Facebook jelszóhelyreállító oldalán, majd ha helyes volt a számsor, máris az új jelszót lehetett megadni és azzal belépni. Az „apró” probléma csak az volt, hogy bárki kérhette bárki más nevében a jelszóhelyreállítást, a Facebook semmilyen módon nem korlátozta azt, hogy a helyes számsor ismerete nélkül mennyiszer lehet hibás számsort megadni, azaz valószínűségi alapon átlagosan félmillió, de maximálisan egymillió ismétléses permutáció végigpróbálgatásával [a 000000-999999 tartományban] véletlenül is meg lehetett találni az új jelszó beállításához szükséges számsort, miután valaki egy fiók jelszavának helyreállítását kérte. Márpedig egy fél-egymillió lehetőséget végigpróbálgatni automatizáltan nem olyan nagy manőver. A hibát, a bejelentést követően a Facebook nagyon gyorsan javította. 

Javította, a főoldalon. Viszont a Facebook felületének béta verziójában bennmaradt egészen mostanáig. Anand Prakash indiai kutató véletlenül vette észre, hogy a hiba a bétában és a mobil bétában továbbra is elérhető, a bejelentésért pedig a Facebook ki is csengette neki a bug bounty keretében a 15000 USD-t, ugyan nem lennék meglepve, ha kiderülne, hogy korábban más már a feketepiacon is árulta.  

A mai napon felkerült proof-of-concept videóban látható, ahogyan a Burp suite segítségével egyesével újraküldi a kéréseket a jelszóhelyreállító oldalnak, mire az egy idő után el nem fogadja a brute force, azaz nyers erővel megtalált számsort a béta felület és fel nem ajánlja új jelszó beállítását. Elég erős így majdnem négy év után újra látni ugyanazt a hibát. 

0 Tovább

Elképesztő egyszerűséggel bepoloskázható a Whatsapp?  


Whatsapp ITsec epic IM üzenetküldésLegalábbis, ha működik az a nagyon egyszerű módszer, ami kering a neten néhány napja

Persze, minden szoftver törhető valamilyen módon, csak az nem mindegy, hogy kőbaltával is megy vagy éppenséggel kifinomult műtéti beavatkozás kell hozzá. 

Úgy fest, hogy valaki visszafejtette annak a kémprogramnak a forráskódját, amivel a fertőzött mobilok Whatsappja hallgatható le gyakorlatilag úgy, hogy aki bepoloskázta az áldozat mobilját, elhiteti a Whatsappal, hogy a támadó mobilja [vagy a gépén futó mobilkörnyezetet emuláló fejlesztőkörnyezet] a legitim felhasználó mobilja, közben kihasználja azt, hogy a Whatsappal elvben egyszerre több helyről is be lehet jelentkezni, az üzenetek pedig ilyen módon több helyről is elérhetőek. Esetleg magát a Whatsappot fejtették vissza, azaz reverselték, de az sincs kizárva, hogy a sebezhetőségre ilyen bravúrok nélkül jött rá valaki. 

Ha igaz, amit a Quora néhány nappal ezelőtt létrehozott topikjában olvashatunk, gyakorlatilag egy egyszerű MAC-cím klónozással bárki viheti a másik Whatsapp fióját. 

A MAC-cím nem más, mint egy, a hálózati hardverhez tartozó azonosító, ami ideális esetben egyedi, gyakorlati szempontból viszont semmi sem garantálja, hogy egyedinek kell lennie. Abban az esetben, ha valaki a Whatsappot telepíti a mobiljára, a telefonszám hitelesítése után az alkalmazás a telefonszám és a MAC-cím alapján látja, hogy ténylegesen milyen eszközön is fut. Ha valóban csak ennyi biztosítja a kliens identitását, az nagy probléma, márpedig nagyon úgy fest, hogy ez a helyzet. Elvben, ha valaki lenyúlná illetve lehallgatná más Whatsapp-üzeneteit, nincs más dolga, mint megszerezni az áldozat mobiljának MAC-címét, amihez viszont nem kell feltétlenül a telefonhoz fizikailag hozzáférnie, aztán ott megnéznie a beállítások közt,  hiszen például több könyvtár, munkahely is van, ahol a MAC-címet kell megadni ahhoz, hogy a wifi-hálózatra csatlakozni lehessen, a szolgáltató is tárolja ezt az adatot, és a mobil számos más módon is kifecsegi a MAC-címét, ahonnan megszerezhető. Ha ez megvan, akkor a MAC-címet csak le kell másolni, azaz klónozni kell, ami nem nagy bravúr egy root-olt Androidos mobilon, magyarul átírni a támadáshoz használt mobil MAC-címét az áldozat MAC-címére. Miután a MAC-klónozással a támadó megvan, már csak meg kell adni a frissen telepített Whatsappban a hitelesítéshez az áldozat telefonszámát, aminek hatására persze a támadott kap egy SMS-t, mivel formálisan olyan, mintha bejelentkezett volna még egy eszközről vagy újratelepítette volna az alkalmazást a saját mobilján. Nem is tudja az érintett, hogy miért kér tőle extra hitelesítést a Whatsapp, de megadja az SMS-ben kapott azonosítót és ezzel lehetőséget is adott a támadónak, hogy az üzenetfolyamhoz teljes egészében rálásson, hiszen a Whatsapp két különböző irányba fogja továbbítgatni az üzeneteket, amik közül az egyik a támadó mobilja, amivel megszemélyesítette az áldozat mobilját. 

Az üzeneteken kívül egyébként elérhetővé válik az áldozat földrajzi helye mellett több más adat is, szándékosan nem linkelem azt a bolondbiztos alkalmazást, amit erre találtak ki. 

Megjegyzem, a módszer egyáltalán nem technikai szempontból nagyon necces. A már-már bugris, ötletességet, leleményességet nem igénylő módszerek akkora, ha nem nagyobb kárt okoznak minden környezetben, mint a kifinomult, felkészültséget igénylő támadási módszerek, pont azért, mert a bugris módszereket többen meg tudják valósítani, ami pedig még kínosabb, ha mindez egy 200 millió aktív felhasználóval rendelkező üzenetküldő appnál játszható meg. 

0 Tovább

Mobil biztonságtudatosság, USA-Európa, 1:0


Balabit ITsec mobil biztonság biztonságtudatosságIgencsak tanulságos mini prankkel haknizott a Balabit IT Security a minap: Stockholmban és San Franciscoban szólítottak meg mobilozókat azzal, hogy kipróbálnának-e egy hordozható akkut, amit csak csatlakoztatni kell a mobilhoz és az akkut képes 5 perc alatt feltölteni. Vegyük észre, hogy eleve már csak azokat érdekelhette a dolog, akik nem voltak képben azzal kapcsolatban, hogy nem lehet feltölteni egy okosmobil akkuját 5 perc alatt, pláne olyan univerzális töltő nagyon valószínűtlen, ami erre képes lenne megbízható módon, hiszen eleve különböző mobilok akkumlátorai közt eléggé emberes eltérések vannak.

Később a srác megkérdezte az érintetteket, hogy nincs-e biztonsági szempontból aggályuk azzal kapcsolatban, hogy ismeretlen eszközt csatlakoztatnak kábellel a saját mobiljukhoz. Európában - legalábbis Stockholmban biztosan – láthatósan sokkal kevésbé illetve lassabban esett le, hogy mi ezzel az esetleges para.

0 Tovább

így vigyáz az adataidra a Google


Google privacy ITsec titkosítás adatbiztonság bűnüldözésMakacsul tartja magát a hiedelem, ami szerint Svájc azoknak az országoknak az egyike, amelyik a leginkább kényes, ha a felhasználói adatok védelméről van szó, a nemzetközi jogi helyzete miatt. Féligazság, írom is, hogy miért. 

Ha mással kapcsolatban nem is nagyon került szóba a személyes adatokra olyan érzékeny Svájc a Snowden-bohózat óta, többen olvashattak arról, hogy a PRISM-parát meglovagoló viccesebbnél viccesebb cégek közül a világ egyik legbiztonságosabb email szolgáltatását ígérő Protonmail többek közt azzal az eszelős hülyeséggel bizonygatja a Svájcban tárolt információk sérthetetlenségét, hogy a szervertermük gyakorlatilag be van vájva egy hegy gyomrába, ami egyébként akár még igaz is lehet, de egy levelezőrendszer nem ettől lesz biztonságos. A Protonmail egyébként ugyanaz a vicces szolgáltató, amelyik ugyanakkor teljesen védtelen volt egy tankönyvi bonyolultságú ún. cross-site scripting támadás ellen, azaz sokáig szinte tetszőleges szkriptet, így rosszindulatú kódot is be lehetett illeszteni a levelek törzsébe, amik szépen le is futottak amikor a Protonmail-felhasználó megnyitotta a levelet. 

Mindez semmi ahhoz képest, hogy az ugyancsak ultrabiztonságosnak tartott Google-től a hatóságok az esetek felében-kéthamadában megkapták azokat a felhasználói adatokat, sejthetően svájci felhasználókról, amiket különböző hatóságok kértek, ami azért minimum elgondolkoztató arány. Swiss Federal Data Protection Ordinance ide, Swiss Federal Data Protection Act oda, az USA-tól és az EU-tól való viszonylagos függetlenség ide vagy oda, ha a svájci hatóságok valamit kikérnek, nagyon sokszor meg is kapják, azt pedig egy pillanatig se felejtsük el, hogy mindehhez az érintett felhasználónak nem kell rablógyilkosnak, terroristának vagy tonnás mennyiségekben seftelő drogdílernek lennie. Mivel egy kellően jól összerakott jogi indoklást követően az alapos gyanú is elég lehet ahhoz, hogy a Google már küldje is az adatokat, díszdobozban. Ugyan a transparency report nem tér ki rá, de eléggé világos, hogy döntően Gmail-fiókokról és adott Google-felhasználókhoz kapcsolódó, azonosításra alkalmas információkról lehet szó, ráadásul a kaliforninai bíróságon, amelyik szerintem illetékes lehet, általában meg sem próbálja a Google megfúrni az adatigényléseket, de nem is köteles a Google vizsgálni azoknak az indokoltságát. 

Google privacy ITsec titkosítás adatbiztonság bűnüldözés


Mindeközben Magyarországon... Ha megnézzzük, hogy mi a helyzet a magyar felhasználókat érintő, magyar hatóságok által kezdeményezett adatigénylésekkel kapcsolatban hízhat a májunk, mert az látszik, hogy az egyébként kis számú adatigénylésből egészen pontosan nulla százaléknak tett eleget a Google. 

Google privacy ITsec titkosítás adatbiztonság bűnüldözés

Innentől már csak lehet tippelgetni, hogy miért. Valószerűtlennek tartom, hogy a magyar nyomozó hatóságok annyira tompák lennének, hogy ne tudják, hogy hogyan állítsanak össze olyan adatigénylést, amire majd érdemben kapnak is választ, ezen kívül vannak azért kemény kötésű és tájékozott telco jogászok Magyarországon is bőven. Az egyik optimista feltételezett ok az lehet, hogy magát a nyomozást kellően bravúrosan végzik ahhoz, hogy ne kelljen a Google-hez rohangálni felhasználói adatokért, az átlagosan hülye bűnöző – vagy annak vélt bűnöző felhasználó – úgyis millió meg egy ponton elcsúszik máshol, ha valamit el akar titkolni, ami viszont tény. Azaz nem is kellenek olyan adatok a bizonyítási eljárásban, amit csak a Google-től közvetlenül lehetne beszerezni. 

A legpesszimistább, már-már a jó hírnév megsértését karcolászó feltételezés pedig az, hogy valóban előfordul Magyarországon is, ami elterjedt szerte a világon, csak államonként eltérő mértékben: azaz hogy a szükséges adatokat a nyomozók nem törvényes úton szerzik be, majd ha megvan, az eljárás későbbi szakaszában, közben találják ki, hogy a gyanusítottal kapcsolatban honnan tudják azt, amit tudnak. Arról már volt szó, hogy a magyar felhasználókat kiszolgáló Google-adatközpontokhoz hozzáférni nem olyan eszelősen bravúros dolog, mint ahogy arról is vannak legendák, hogy milyen mértékű rálátásuk van a hatóságoknak a magyar hálózatokra a netszolgáltatókon keresztül, amiken még ha titkosítva is szaladgál az adat, függetlenül a titkosítás erősségétől, a gyakorlatban sokszor kijátszató

És azt az ortó nagy blamát még nem is emlegettem, amikor kiderült, hogy a legnagyobb levelezőrendszerek, azaz az AOL, Google, Yahoo adatközpontjai közt az USA-ban teljesen titkosítatlan volt a forgalom, persze nem azért, hogy könnyebb dolga legyen az NSA-nek, hanem azért, mert a titkosítás és visszafejtés nagyon komoly számításigénnyel jár, ilyen módon drágább is, ha olyan gigantikus mértékű adatforgalomról van szó, mint amilyet ezek a rendszerek lebonyolítanak. Ne legyenek illúzióink: egyáltalán nem biztos, hogy Európán belül dedikált vonalakon a Google titkosítva tolja az adatforgalmat Magyarországra a maga "kis" 60 gigabit/másodperces peeringjén keresztül, az már egy teljesen más kérdés, hogy a budapesti vagy annak közelében lévő adatközpontok és a felhasználók gépei közt már valóban titkosított a kapcsolat, legyen szó szinte bármelyik Google szolgáltatásról. 

Hogy szemléletes példával éljek: teljesen mindegy, hogy hindi nyelven mond nekem valamit az, aki mellettem ül és nem szeretné, ha rajtam kívül más is megértse abban az esetben, ha magába az épületbe az üzenet egy egyszerű képeslapon érkezett, amit majd hindi nyelven suttognak el, hiszen így csak az nem látja az üzenetet még titkosítatlan formában a képeslapon a postázástól kezdve a recepcióson keresztül a titkárnőkig mindenki, aki nem is akarja. 

Ez a titkosítás nem keverendő azzal a viszonylag friss, ámde annál ködösebb Google bejelentéssel, ami szerint lakattal jelzi a Gmail a webes felületen, hogy az, aki a levelet küldte, titkosítva küldte-e, de azt a bejelentés egyáltalán nem teszi konkréttá, hogy ez mit is jelentene. Ha valaki levelet küld például egy Gmail-es címre, nem a Gmail rendszeréből, olyan módon, hogy a további kézbesítésre szánt levelet az első szerver titkosítva kapja meg, egyáltalán nem biztos, hogy a levél út közben nem halad át olyan csomóponton, amelyik viszont már titkosítatlanul passzolja tovább azt. Az pedig nem világos, hogy a Google a fejléc alapján az összes hosztnévhez tartozó sort megnézi-e, hogy azok egymás közt „hindi nyelven” beszéltek-e vagy éppenséggel csak küldő gépe azzal a szerverrel, amelyiknek a levelet elsőként megkapta további kézbesítésre. Ami biztos, hogy a bejelentést követően nem kevesen joggal írhattak róla, hogy mekkora parasztvakítás ez már megint. 

Az adatigénylésektől indultam, megint a titkosításnál kötöttem ki. A lényeg viszont, hogy az információk továbbításának sérthetetlensége sosem egy vagy kevés számú mechanizmusra támaszkodik: ha azt szeretnénk, hogy ne nagyon legyen látható, hogy merre kóválygunk a neten, kinek milyen rendszeren keresztül küldünk üzenetet, használjunk VPN-t, ha pedig még biztosabbra akarunk menni, használjunk PGP-t, ami tényleg egyik végponttól, azaz felhasználótól a másikig titkosít és így tovább. 

0 Tovább

Kétlépcsős hitelesítést vezet be az Instagram  


Instagram social media 2-FA ITsec azonosításIgazából nem világos, hogy miért csak most, de a Techcrunch értesülése szerint az Instagram bevezeti a kétlépcsős hitelesítést, ami a felhasználókat megvédi a közönséges jelszólopáson alapuló támadásoktól azzal, hogy ha szokatlan helyről próbál valaki belépni az Insta-fiókjába, pluszban egy, a mobilszámára érkező, számjegyekből álló tokent is meg kell adnia a felhasználói név és a jelszó megadásán túl a sikeres belépéshez.  
 
Egy 400 milliós felhasználói bázissal rendelkező közösségi szolgáltatás esetén ez már erősen időszerű volt, akinek pedig nincs beállítva mobilszám az Instagram-fiókjához, érdemes megadni azt a későbbi fennakadás megelőzése érdekében.  
 
Ami miatt még nem biztos, hogy mindenki találkozik a jelenséggel, ha kilép az Insta-accountjából, majd megpróbál ismét belépni, az egyik oka lehet az, hogy az Instagram az új featuret folyamatosan vezeti be, azaz nem feltétlenül érhető el még mind a sokszázmillió felhasználó számára már holnaptól, a másik, sokkal valószínűbb ok pedig az, hogy az Insta-fiók tipikusan össze van drótoza a Facebook-fiókkal, márpedig ha él egy legitim Facebook-munkamenet, azaz asztali gépen be vagyunk jelentkezve, mobilon pedig a Facebook-alkalmazás szabályosan fut, az is képes azonosítani a felhasználó kilétét, így nem érkezik pluszban SMS-token, amit meg kellene adni.  
 
A 2-FA egyébként a Facebook esetén hasonlóan a többi webes óriáshoz, 4-5 éve érhető el világszerte és érdemes is bekapcsolni.  
 
Kép: techcrunch.com 

0 Tovább