About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (36),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (10),social web (9),mobil (8),biztonság (8),OSINT (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),jog (6),Google (5),webcserkészet (5),molbiol (5),szájbarágó (5),felzárkóztató (4),Nobel-díj (4),terrorizmus (4),kriminalisztika (4),big data (4),kultúra (4),email (4),plágium (4),Apple (3),jelszó (3),nyelvtechnológia (3),genetika (3),Android (3),biztonságpolitika (3),pszichológia (3),webkettő (3),reklám (3),élettudomány (3),gépi tanulás (3),CRISPR (3),Onedrive (3),üzenetküldés (3),2015 (3),orvosi-fiziológiai (3),online marketing (3),kriptográfia (3),molekuláris biológia (3),azelsosprint (3),torrent (3),konferencia (3),magatartástudomány (3),hype (3),biztonságtudatosság (3),open source intelligence (3),popszakma (3),levelezés (3),Gmail (3),szabad információáramlás (2),Yoshinori Ohsumi (2),bejutas (2),Hacktivity (2),Reblog Sprint (2),tweak (2),Pécs (2),génterápia (2),DKIM (2),cas9 (2),bűnügy (2),fiziológia (2),hitelesítés (2),TOR (2),kulturális evolúció (2),villámokosság (2),deep web (2),ransomware (2),bűnüldözés (2),DDoS (2),természetes nyelvfeldolgozás (2),arcfelismerés (2),FUD (2),nyílt forrású információszerzés (2),Balabit (2),P2P (2),webkamera (2),Netacademia (2),neuropszichológia (2),Whatsapp (2),SPF (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),sajtó (2),tanulás (2),biológia (2),szociálpszichológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Megfúrták a tudományos világ torrentjét - majdnem


Sci-Hub kutatás P2P netcenzúra szabad információáramlás tilcsákbe tudomány torrentTudományos rövidhír reggelre, kávé - esetleg Adri, Moda vagy Rita – mellé.

Ugyan aki nem foglalkozik kutatással, aligha tűnt fel, a tegnapi napon elérhetetlenné tették a tudományos világ fő torrentoldalát jelentő Sci-Hubot az eredeti netcímén, amire válaszként - ahogyan hasonló helyzetben lenni szokott – a működtetők kapásból közöltek két másik domaint, amin keresztül elérhető a szolgáltatás. A sci-hub.bz és a sci-hub.cc címenek túl, a világ legelborultabb tájain hozzáférhető TOR fölött is a scihub22266oqcxt.onion címen.

A tudományos szaklapokra és adatbázisokra való előfizetés általában minden formában eszelősen drága, ami durva esélyegyenlőtlenségeket szül a nagyobb, valamint a kisebb költségvetéssel dolgozó kutatóintézetek és egyetemek közt szerte a világon, ráadásul a jelenség az elmúlt néhány évben félelmetes mértékben eszkalálódott, ahogy arról nemrég magyar nyelven írt a Budapest Science Meetup blogja is.  

A Sci-Hubot peer-to-peer elven működő dokumentummegosztó hálózatként még 2011-ben hozta létre egy kazasztáni neurobiológus, az elterjedésének hatását pedig talán az összes többi, nem tudományos szakirodalomra specializálódott torrentoldalak együttes hatásával lehetne összemérni, a Wikipedia szócikkében 48 milliónyira becsülik a rajta keresztül elérhető tudományos publikációk számát, amiknek a letöltése persze elsöprő részben előfizetéshez kötött lenne eredetileg.

Értem én, hogy a nagy kiadók seperc alatt elérik jogi úton, hogy ideig-óráig elérhetetlenné váljon valamilyen tartalom, aminek ingyenes letölthetősége az érdekeiket sérti, aminek ősi és prosztó módja az adott domain-név regisztrátorát támadni a bíróságon, így vált elérhetetlenné annak idején a Wikileaks. De a DMCA-re hivatkozva nagy zenei kiadóknak még azt is sikerült elérniük a kaliforniai bíróságon, hogy a sokak szerint mindent látó Google az egész világon tüntesse el a találatai közül például a KickAssTorrentre mutató találatokat, amik a kat.cr alatt érhetők el. A domain-név megfúrása nem csak azért nem túl bölcs ötlet a tilcsákbe-szellemiségében, mert az oldal úgyis elérhető lesz más címen, hanem azért sem, mert az adott szolgáltatás ettől lesz még ismertebb, amivel a Wikileaks-eset kapcsán találkozott a szélesebb közvélemény először.

Alighanem véletlen, de éppen a tegnapi napon jelent meg egy kitűnő cikk azzal kapcsolatban, hogy mégis kik használják intenzíven a Sci-Hubot, amiből az olvasható ki, hogy a Sci-Hub penetrációjának alig van köze ahhoz, hogy egy állam mennyire tehetős. Az interaktív ábrákat az eredeti cikkből  vettem át. A cikkben különösen finom, hogy az pont a Science online elérhető anyagai közt jelent meg, ami az American Association for the Advancement of Science kiadó tulajdona, amelyik igencsak komolyan vehető játékos a pályán.

Sci-Hub használat az Egyesült Államokban:

A Sci-Hubon keresztül elérhető, eredetileg fizetős publikációk megoszlása eredetük szerint:

0 Tovább

Frissítést követően kémkedő webkamera, minden látó Tinder és egyéb rémálmaid


Nem csak az az érdekes, hogy az információ koncentrálódásának és áramlásának felgyorsulásával és növekedésével hogyan vált az informatikai biztonság egyre érdekesebb kérdéssé a kutatók számára, hanem az is, hogy ennek hogyan lett hasonlóan exponenciális mértékben növekvő hatása az életünkre.

Gondoltad volna, hogy abban az esetben, ha frissíted a webkamerádat működtető illesztőprogramot, esetleg pont azzal teszed lehetővé, hogy távolról szinte bárki által megfigyelhetővé váljon a kamera által aktuálisan mutatott kép? Vagy éppen a firmware távolról módosítható úgy, hogy ezt tegye.

És azt, hogy a világ egyik legnagyobb mobilos, helymeghatározáson alapuló csajozós-pasizós alkalmazása a Tinder olyan sebezhetőséget tartalmazott, amin keresztül az összes fotót le lehetett volna tölteni a Tinder szervereiről bármiféle bejelentkezés nélkül, olyan adatokat kért le a Facebook-fiókodból, amire nyilvánvalóan semmi szüksége nem volt vagy éppenséggel módosítani kellett a másik távolságát mutató funkciót, mert olyan pontossággal mutatta a felhasználók pozícióját, hogy az potenciálisan veszélyes volt rájuk nézve?

Azt hinnénk, hogy az olyan titkosítási módszerek a leghatékonyabbak, amiket abszolút az alapoktól, a nulláról fejlesztettek ki valamilyen meglévő felszteroidozása helyett, hiszen így kívülállónak nem lehetett lehetősége rá, hogy kiismerje a kriptográfiai megoldás gyengeségeit, ha egyedi fejlesztés. Valójában viszont az a helyzet, hogy éppen az egyedi fejlesztésű kriptográfiai megoldások jelentik a legnagyobb kockázatot ezen a téren. Egyrészt éppen azért, mert nincs egy egyedi, zárt forráskódú fejlesztés mögött egy hatalmas közösség, amelyik rá tudna mutatni a tervezésben vagy esetlegesen az implementációban – azaz konkrét szoftveres megvalósításban – rejlő gyengeségekre. Másrészt azért, mert körülbelül olyan rossz, mint a biztonság hiánya: hamis biztonságérzetet ad.

Többek közt ezeket a témákat filézték ki a tavalyi Ethical Hackingen egy-egy előadás keretében az előadók, amikről a videó nemrég már elérhető a neten is.

Az idei Ethical Hacking konferencia programja nemrég vált elérhetővé itt

A három emlegetett témáról szóló felkerült tavalyi videót pedig itt nézhetitek meg.

--

--

0 Tovább

Big data, pornóipar és a trollok


FindFace pattern recognition mintázatfelismerés big data gépi tanulás arcfelismerés neurális hálózat privacy cyberbullying Yegor TsvetkovMindig is azon a véleményen voltam, hogy többek közt azért rémesen szánalmas dolog siratni a magánszférát a kifogásolható adatkezelési gyakorlatot követő kormányzati szervek, na meg webes óriások miatt, mert nagyságrendekkel nagyobb annak a valószínűsége, hogy a felhasználót a saját hülyesége és az ezzel rendszerint együtt járó exhibicionizmusa kever majd bajba.

Alighanem emlékszünk még azokra a kémfilmekre, amikben a képernyőn pörögnek a pofák, majd egyszer csak hopp, megmondja a gép, hogy melyik terrorista van rajta. Ugyanis a hatékony arcfelismerés egy óriási fotóadatbázisban egyetlen átlagos fotó alapján 15 évvel ezelőtt is megoldhatatlan feladatnak tűnt a számításigénye miatt, holott már évtizedekkel korábban is rendelkezésre álltak azok az algoritmusok, amivel ez megoldható. Nem csak az egyre izmosabb és izmosabb szerverek, hanem a cloud computing, magyarosabb nevén felhő alapú számítástechnika  aztán elhozta azt, ami korábban csak a filmekben létezett. Az első olyan szolgáltatás, ami kép alapján hatékonyan tud keresni és széles körben alkalmazták is, a Google Képkereső volt, az utópia hirtelen valósággá vált.

FindFace pattern recognition mintázatfelismerés big data gépi tanulás arcfelismerés neurális hálózat privacy cyberbullying Yegor Tsvetkov

A Google persze nem hozta nyilvánosságra, hogy milyen gépi tanuláson alapuló mintázatillesztő módszereket gyúrtak az algoritmusukba, azóta számos más mintázatfelismerő szolgáltatás vált elérhetővé kimondottan képek keresésére. Megjegyzem, mindegy, hogy például DNS-szekvenciákat, plágiumgyanus szövegeket, egy hatalmas hangadatbázisból beszédhangot vagy éppen képeket kell gépileg összehasonlítani azaz illeszteni, sokszor ugyanaz az algoritmus használható teljesen eltérő területeken, ami mégis befolyásolja, hogy melyik megoldás terjedt el a képek, azon belül is a képeken lévő arcok felismerésére alapvetően két tényezőtől függött
-    nyilván az alapján, hogy melyik a leghatékonyabb, nem csak pontosság, hanem elfogadható számításigény szempontjából
-    a nyílt forráskódú megoldások közt melyiknek a konkrét, leprogramozott megvalósítása terjedt el – hiszen ezzel kapcsolatban gyűlhetett össze a legtöbb tapasztalat, ez volt a legjobban dokumentálva és így tovább

Képfelismerésről korábban már a combinós posztban, azt megelőzően pedig a legelőnyösebb és legelőnytelenebb szelfiket osztályozni képes posztban már írtam.

FindFace pattern recognition mintázatfelismerés big data gépi tanulás arcfelismerés neurális hálózat privacy cyberbullying Yegor Tsvetkov

Még márciusban Maxim Perlin létrehozta a saját arcfelismerő szolgáltatását, a FindFacet ami egy teljesen átlagos, mobillal készült fotón lévő arc alapján dermesztő pontossággal képes megtalálni az archoz tartozó személyt a neten. Nos, azért nem a teljes neten, hanem az orosz facebook-ként is emlegetett VKontakte szolgáltatásban, ott viszont önmagában a profilképek alapján!

Néhány héttel ezelőtt Yegor Tsvetkov orosz fotós elindította a saját projektjét Your Face Is Big Data néven aminek a lényege az volt, hogy a metrón véletlenszerűen lefotózott személyeket azonosított a VK segítségével. A cikk angol magyarázata itt érhető el.

FindFace pattern recognition mintázatfelismerés big data gépi tanulás arcfelismerés neurális hálózat privacy cyberbullying Yegor Tsvetkov

Amire sem a FindFace szolgáltatás fejlesztője, sem pedig a fotós nem gondolt, hogy nem sokkal ezt követően egy 2chan kezdeményezésre trollok hada szállt rá a szolgáltatásra, majd halomra kezdte posztolni a különböző azonosított pornószínésznők személyes adatait. Ugyan próbálták a dolgot egyfajta morális mázzal leönteni, a net pszichológiáját kicsit is ismerők számára könnyen belátható, hogy a valós indíték a nettó nőgyűlölet volt.

FindFace pattern recognition mintázatfelismerés big data gépi tanulás arcfelismerés neurális hálózat privacy cyberbullying Yegor Tsvetkov

A tanulságot letudhatnánk röviden annyival, hogy ezt a kockázatot be kell vállalni, ha a pornóiparban helyezkedik el valaki, hiba lenne elbagatellizálni azt a kockázatot, ami annak köszönhető, hogy mindenki számára elérhetővé vált egy ennyire hatékony technológia.

A laikus felhasználók számára a Kaspersky Lab állított össze egy posztot a szolgáltatás pontos működésével kapcsolatban, ami azért nagyon fontos, mert a news outlet oldalakon megjelent cikkekkel ellentétben a Kaspersky blogja tisztázza, hogy mi jelent védelmet és mi nem, mikor kell egy felhasználónak tartania tőle és mikor nem, míg a Globalvoices inkább magát a jelenséget járja körül.

FindFace pattern recognition mintázatfelismerés big data gépi tanulás arcfelismerés neurális hálózat privacy cyberbullying Yegor Tsvetkov

1-2 évvel ezelőtt már jelent meg cikk azzal kapcsolatban, hogy a Facebook egyre nagyobb hatékonysággal képes felismeri egy felhasználót akár olyan fotón is, amin nem látszódik a felhasználó arca, csak más testrésze. Ez persze nem jelenti azt, hogy a Facebook a nagyközönség számára elérhetővé is tenne egy olyan funkciót, ami ilyenre lehetőséget ad, jól mutatja, hogy a nagyon-nagyon sok adat alapján úgymond nagyon okossá tud válni egy gép.

Nem titok, hogy a FindFace szolgáltatás lelkét egy hatékony neurális hálózaton keresztül tanuló algoritmus adja, nem világos, hogy mindezt hogyan turbósították, ahogyan az sem, hogy a VKontakte hogyan engedélyezhetett egyetlen külső szolgáltatásnak annyi API lekérdezést, ami a FindFacet ki tudja szolgálni.

FindFace pattern recognition mintázatfelismerés big data gépi tanulás arcfelismerés neurális hálózat privacy cyberbullying Yegor TsvetkovAkit behatóbban érdekel, hogy a big data módszereket hogyan valósítják meg és alkalmazzák, legyen szó akár üzleti folyamatok optimalizálásáról, akár okoskütyükről, annak jó hír, hogy végre lesz Budapesten egy olyan konferencia, ahol olyanok adnak elő, akik nem csak beszélnek róla, hanem ténylegesen értenek is hozzá.

Senkit ne ijesszen el az, ha olyan fogalmakkal találkozik, amikről nincs pontos képe, az előadásokat figyelmesen hallgatva - rémes szóviccel élve - a kevésbé hozzáértők számára össze fog állni a kép. Akik már foglalkoztak big datával, ötletet meríthetnek és bővíthetik az szakmai tájékozottságukat.

Az idei program a Big Data Universe Conference oldalán tekinthető meg.  

Képek: Yegor Tsvetkov, Kaspersky Lab

3 Tovább

A böngésződ az ujjlenyomatod - kriminalisztikai kitekintéssel


kriminalisztika ITsec webrtc user-agent böngésző ujjlenyomat felhasználó azonosítás OSINTEgyre többször merül fel a kérdés, hogy vajon a webhelyek mennyi információt tudhatnak rólunk, ezt hogyan oszthatják meg egymást közt, arról viszont nem nagyon esik szó, hogy bizonyos adatok és módszerek hogyan tesznek nem csak egyedileg gép szerint, hanem akár a gépet használó felhasználó, mi több, akár név szerint is azonosíthatóvá egy-egy személyt. Jól olvasod, tényleg lehetséges. Előre jelzem, kicsit távolról, az alapoktól indítok. 

Aki az elmúlt másfél évtizedet nem egy kavics alatt töltötte, annak legalább valamiféle elképzelése van arról, hogy ha tetszik, ha nem, egyes webhelyek annyi információt igyekszenek begyűjteni rólunk, amennyit csak tudnak, elsősorban azért, hogy minél inkább számunkra releváns, esetlegesen érdekes hirdetéseket tudjanak megjeleníteni a reklámfelületükön. Ez az ún. kontextusérzékeny hirdetés, ami egyrészt érvényesül például egy szolgáltatáson belül, amire példa, hogy ha könyveket böngészünk az Amazonon, akkor is, ha nem léptünk be és inkognitó módban böngészünk, a webhely hasonló tematikájú könyveket fog ajánlani a böngészés ideje alatt. Sőt, mivel a trendek elemzésén keresztül hatalmas mennyiségű adatot spajzoltak be, ezért azt is jól tudják, hogy ha valaki mondjuk az anonimizálással kapcsolatos könyveket böngészte, akkor sanszos, hogy érdekelni fogja mondjuk valamilyen más geek kütyü, mondjuk kémtoll is, így azt is ajánlgatni fogja a webshop. 

A modell természetesen működik webhelyek közt is, gyakorlatilag behálózva a világot, a legismertebb ilyen technológia a Google Adsense, amivel kapcsolatban a legfinomabb, hogy a teljes Google-nek évről évre ez hozza a legnagyobb bevételt. A webhelyek közti működést úgy kell elképzelni, hogy ha egy Adsense-t használó oldalt meglátogatott a felhasználó ami alapján az Adsense sejti, hogy a felhasználónak milyen hirdetést lehet érdemes megjeleníteni, ezt követően ha egy olyan oldalra megy át, ahol még soha korábban nem járt, de szintén Adsense hirdetéseket használnak, akkor ott is eleve olyan termékek illetve szolgáltatások fognak felvillanni hirdetésben, amik feltehetően érdeklik az olvasót, de a korábban meglátogatott oldalak alapján. 

A kontextusérzékeny hirdetéseket a Facebook járatta csúcsra, persze kicsit más műfaj, hiszen itt már be kell lépni, ahogy arról már korábban írtam, gyakorlatilag jobban tudja a Facebook azt, hogy mire költenénk szivesen, mint mi magunk, ráadásul a Google-lel ellentétben a hirdetésperszonalizációt még csak ki sem lehet iktatni a szolgáltatáson belül. 

Webanalitikai szolgáltatásokról szintén írtam korábban, ezek lényege ugyancsak az, hogy tudjuk, a látogatóinkat milyen tartalmak érdekelték, milyen platformot használnak, általában milyen képernyőfelbontással, honnan kattintanak át az oldalunkra és így tovább, minden ilyen megoldás erősen támaszkodik a JavaScriptre és a sütik kezelésére. 

Tehát azok a főbb, régi módszerek, amiket már sok-sok ideje alkalmaznak arra, hogy a felhasználóról valamilyen adatot nyerjenek, a következők: 

1.    magának a webszervernek a nyers logja, amit valahogy így kell elképzelni 

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36

[IP-cím]
[URI,  azaz, abszolút minden fájl, ami http/https protokollon keresztül folyik át]
4/25/16 5:02 AM
[a tartalom, ami az előbbit meghívta, itt konkrét példával]
http://bardoczi.reblog.hu/telefonbeszelgetes-rogzitese 

Megjegyzem, elvben lehetséges, hogy semmilyen információt nem ad át a szervernek a kliens az oprendszer típusáról, a böngészőmotorról, böngészőcsaládról, csak ebben az esetben vagy megtagadja a kiszolgálást a webszerver vagy kiszolgálja ugyan a látogatót, de a tartalom hibásan fog megjelenni. Az okos webanalitikai oldalak az IP-címeket már nagy-nagy adatbázisok alapján földrajzi hellyé „fordítják le”, a legnagyobb adatbázisok pedig dermesztő pontossággal mutatják egy-egy eszköz helyét csupán az IP-cím alapján: http://iplocation.net/ 

2.    sütik a böngészőben – az első olyan technológia volt, amit többek közt azért hoztak létre, hogy a felhasználókat jobban meg lehessen egymástól különböztetni 

3.    minden más, hibrid módszer – gyakorlatilag a többi csak ezeknek a cizelláltabb változata, például amikor a Google Analytics megoldja, hogy egy süti elhelyezése után egy JavaScript kód folyamatosan értesítse a webanalitikát végző szervert a felhasználó kattintgatásairól 

Természetesen minden letiltható, csak éppenséggel ennek az az ára, hogy az elmúlt 10 évben készült webhelyek szinte egyike sem fog működni normálisan. 

Feltétlenül szót kell ejteni azokról a technikákról, amik viszonylag újabbak és még ennél is pontosabb azonosítást tesznek lehetővé. 

kriminalisztika ITsec webrtc user-agent böngésző ujjlenyomat felhasználó azonosítás OSINTAz abszolút láma felhasználó esetleg gondolhatja úgy, hogy az IP-cím az azonosítás szent grálja, ezért nagyon gyorsan elmagyarázom az egyik okát, hogy ez miért nincs így, majd azt, hogy ez hogyan változott meg mégis. 

Az otthoni routerünknek vagy a munkahelyi routernek a netszolgáltató leoszt egy IP-címet, erre az IP-címre fogja majd megcímezni az adatcsomagokat az a szerver, amelyikről letöltünk. De ha egy munkahely vagy otthoni hálózat egy IP-címet használ, akkor honnan tudja az adatcsomag, hogy merre kell haladnia, azaz anyuka, apuka vagy a gyerek gépére kell küldeni az adatokat? Úgy, hogy a router, ahogy a nevében is benne van, útválasztást végez, így hálózati címfordítást is. Ez annyit jelent, hogy a router leoszt a lakásban található eszközöknek is külön-külön egy belső, kívülről nem látható címet, majd pontosan annak továbbítja, amit a net felől kapott, amelyiknek kell, kifelé viszont nem látszik, hogy melyik eszköz küldött adatot, mert a router elfedi azt. A belső hálózatra leosztott címek viszont alapesetben nem láthatóak az internet felé és egy, konvenció szerint csak belső hálózatok címzésére használható tartományból kerülnek ki, ami kisebb hálózatok esetén 192.168.1.1-től 192.168.255.255-ig tart. /*ez elvben több, mint 65 ezer gépet jelentene, a gyakorlatban az otthoni routerek 253 eszközt tudnak kezelni, azaz nem osztják le mindet*/ 

Tehát amikor valamilyen adatcsomagom érkezik a netről, azt a szerver megcímzi a kívülről látható, a világon abban az időben egyedülálló IP-címre, mondjuk a 178.48.105.abc-re, a routerem pedig tudni fogja, hogy lakáson vagy irodán belül már a 192.168.1.15 irányba kell továbbítani, ami jött, mert konkrétan az én gépemet ez fogja azonosítani, az adatot pedig én kértem. 

kriminalisztika ITsec webrtc user-agent böngésző ujjlenyomat felhasználó azonosítás OSINT


Tételezzük fel, hogy van egy troll, akit egy webhelyről vagy kommentmotorból ki szeretnénk tiltani IP-cím alapján és tudjuk, hogy a címe mondjuk 178.48.105.abc. Éppenséggel meg lehet tenni, viszont ha ezt a címet a netszolgáltató egy kisebb kollégiumnak vagy munkahelynek osztotta le, akkor az IP-alapú tiltással nem csak a problémás látogatót zárom ki, hanem mindenki mást is, hiszen ugyanazon az IP-címen keresztül látnak ki a netre a többiek is és a szerver is csak egy címet lát. 

Előbb írtam, hogy a belülre leosztott, azaz ún. LAN IP soha nem látszik az internet felé. Kivéve, amikor mégis. A böngészőben futtatható videócsetes szolgáltatások miatt szükségesség vált kifejleszteni egy olyan megoldást, amivel részlegesen tehermentesíthető a router, kifelé is mutatja a belső IP-címet is, viszont cserébe nem töredezik a kép és a hang videóhívás közben. 

kriminalisztika ITsec webrtc user-agent böngésző ujjlenyomat felhasználó azonosítás OSINT

Ezt az ún. WebRTC fölött valósítják meg és gyakorlatilag mára már minden böngésző támogatja. És ahogy mostanra kitalálható a leírásból, a belső IP-címet természetesen nem csak videócsetes szolgáltatások tudják lekérdezni, hanem gyakorlatilag bármi és bárki, aki a webhelyét felkészíti ennek a lekérdezésére. Ez viszont már hatalmas különbség a WebRTC előtti időhöz képest, hiszen megoldható, hogy például egy kommentmotor a trollnak ne csak a publikus IP-címét vegye figyelembe, hanem a LAN IP-jét is, azaz beállítható a tiltás olyan módon, hogy tiltsuk ki azt a gépet, amelyik a 178.48.105.abc IP-vel látható és a 192.168.1.35 LAN IP-cím tartozik hozzá. 

Az azonosítás ezen módszerét egyébként a komolyabb szolgáltatások ugyancsak használják, többek közt ez alapján fogja látni a Facebook, ha valaki a saját gépéről lépked be 5 kamu accountjába még abban az esetben is, ha elővigyázatosságból privát böngészőablakot nyit mindhez. 

Több ponton persze most egyszerűsítéssel éltem, a LAN IP-k kisebb hálózatok esetén rendszerint változnak, tipikusan egy napig azonosak, de ez lehet egy hét is, esetleg fix. 

Mi több, ha eléggé szépen kérdezik a böngészőtől, még azt is kifecsegi, hogy névfeloldó szerverként, azaz DNS1 és DNS2 szerverként mely szervereket használ [ezek azok a szerverek, amikről durva egyszerűsítéssel azt szokták mondani, hogy számokról betűkre fordítják le a szolgáltatások elérhetőségét, azaz a wikileaks.org cím begépelése mellett elérhetjük a Wikileaks oldalát a  95.211.113.154 beütésével is].  

Hogy mit láthat aktuális IP-ként, belső IP-ként és használt névszerverként bármelyik weboldal rólunk könnyen ellenőrizhető mondjuk itt: 

https://ipleak.net/

A másik, ami idővel szükségessé vált, hogy a webhelyek le tudják kérdezni a látogatójuktól, hogy a böngészőjükben milyen betűtípusok érhetőek el, milyen böngésző kiegészítők vannak telepítve, ezen kívül a reszponzív, okos weboldalaknak tudniuk kell, hogy a tartalmak milyen képernyőfelbontás mellett, milyen színmélységgel jelenítsék meg, mi több, ha átméretezzük az ablakot még azt is látni fogja, hogy mekkorára méreteztük át. Mindezeket vagy önmagában a webhelyen megjelenítéséért felelős HTML5 nyelvvel vagy ún. AJAX-technológiával oldhatujnk meg, de a lényeg, hogy nem csak a megfelelő megjelenítés érdekében használhatjuk, hanem pusztán naplózás céljából is. 

Márpedig ha figyelembe vesszük, hogy egy átlagos gép böngészőjében van mondjuk 10 telepített addon, elérhető 50 különböző betűtípus, a böngésző megmondja, hogy milyen felbontású a kijelző, könnyen belátható, hogy gyakorlatilag nincs két egyforma böngésző a világon! És olyan finom részletekbe bele se mentem, mint például az, hogy böngészőbővítmények a verziószámukkal együtt kérdezhetőek le. Az eredmény valami ilyesmi: 

kriminalisztika ITsec webrtc user-agent böngésző ujjlenyomat felhasználó azonosítás OSINT

Szemléletesebb, ha mutatom: az egyik legismertebb, browser fingerprinting oldal a https://panopticlick.eff.org/  ahol, miután elvégeztük az alaptesztet, kattintsunk a „Show full results for fingerprinting” feliratra és láss csodát, a webhely jobban ismeri a böngészőnket, mint mi magunk. 

Erre felvetődhet a kérdés, hogy mi van akkor, ha valaki hordozható TOR böngészőt használ? A hordozható TOR böngészőben ugye tiltva van számos HTML5, JavaScript funkció, nem futtat fecsegő bővítményeket, de például a NoScriptet mindig, ezen kívül mindegyik ugyanazt a betűkészletet és user-agentet [oprendszer és böngésző típusát mutató változó] kamuzza be a szerver felé, ami annyit jelent, hogy a látogatóról félreérthetetlenül sütni fog, hogy TOR-on keresztül érkezett. A TOR-on keresztül érkező látogatókat pedig egyre több szolgáltatás egyszerűen szögre akasztja és tovább sem engedi. 

kriminalisztika ITsec webrtc user-agent böngésző ujjlenyomat felhasználó azonosítás OSINT

A részletező táblázatban a „bits of identifying information” és a „one in x browsers have this value” sor értelmezése egyszerűsítve annyi, hogy az összes addig tesztelt böngésző közül az adott látogató böngészője mennyire egyedi. Annak az információértéke például, hogy a böngésző angol nyelvű, nem nagy, hiszen alighanem a világon a legtöbben angol nyelven telepítik a böngészőjüket. Annak viszont már eléggé nagy az információértéke egy külföldi oldal számára, ha például a böngésző nyelve magyar, mivel a világ összes böngészője közt relatív keveset telepítenek magyar nyelven. Azaz az egyediség megállapítása az információelméletben alkalmazott egyik alapmodellt alkalmazza, ami szerint az információ nem más, mint a bizonytalanság hiánya, minél kisebb bizonytalanságú valami, annál informatívabb. Másként szólva, minél többet tudunk valamiről, annál jobban alkalmazható azonosításra. 

Senkit sem büntetnék a Shannon-Weaver-modellel, de ha valakit érdekel, a szócikk magyarul is egészen jól össze van rakva.  

A Panopticlick-tesztben saját magunk jogosítottuk fel a webhelyet, hogy tudjon meg a böngészőnkről mindent, viszont tartsuk észben, hogy a LAN IP és DNS1, DNS2 megszerzését és más böngészősajátosságok lekérdezését és naplózását elvégezheti bármelyik webhely a tudtunk nélkül is! 

Jó, jó, de a webszolgáltatások használhatóbbá tételén túl milyen további haszna van annak, hogy a böngészőnk gyakorlatilag a puszta létével ennyit elárul rólunk? Ennek tényleg csak a fantázia szabhat határt, de azért képzeljük el az alábbi eseteket. 

Tételezzük fel, hogy szállodaszobát szeretnénk foglalni és a hotelfoglaló oldal látja, hogy egy Apple gépről netezünk, ráadásul céges bérelt vonalon keresztül, ebből egy hozzá kapcsolt algoritmus azt a következtetést vonhatja le, hogy sokkal magasabb árajánlatot dobjon fel, mintha egy öreg windowsos gépen próbálnánk foglalni szobát valamilyen olcsó netkapcsolaton keresztül. A dolog persze messzemenően etikátlan, de a törvény mindenesetre nem tiltja. Túlságosan paranoidnak tűnik? Abból már három évvel ezelőtt botrány volt, hogy egy webshop annak figyelembevételével eltérő árat mutatott más-más felhasználóknak ugyanannak a terméknek az adatlapjánál, hogy a felhasználó helyéhez közel mennyi hasonló profilú üzlet van, pedig egy egyszerű IP-alapú helymeghatározásról volt szó. 

Második forgatókönyv: tételezzük fel, hogy valaki kamu Facebook-accountokat hoz létre azért, hogy valakit zaklasson. A Facebook naplózza a legfinomabb részleteket is és simán adódhat úgy, hogy az adott gépről már nem enged új regisztrációt, a meglévőeket pedig egyszerűen jegeli a zaklató valódi fiójával együtt. Ugyanezen az elven, mivel a browser fingerprint naplózva van, többféle webes felületen keresztül történő támadási kísérlet azonosítható, az első esetben a zaklató, a második esetben pedig a szkriptelős hülyegyerek nem gondolhat mindenre, biztos, hogy lebuktatja valamilyen árulkodó nyom, amit hagy maga után. Egy kellően nagy kapacitással rendelkező szervezet akár adatbázist is építhet az ilyen böngésző-ujjlenyomatokból. 

A harmadik példa talán a legizgalmasabb. Amikor azonosítani kell egy spammert vagy scammert, elég, ha létrehozunk egy olyan kamu, fingerprintelő webhelyet, majd a címét elküldjük a nigériai főhercegnek mondjuk azzal a szöveggel, hogy oda írtuk fel a számára szükséges adatokat. Emberünk megnézi az oldalt, már meg is van a böngészője ujjlenyomata. A beépített szkriptünkön keresztül az illető nem csak, hogy a teljes böngésző ujjlenyomatát hagyja ott, hanem még az is látható lesz, hogy milyen böngészőbővítményeket és annak milyen verzióit használja. Ez a bűnüldözésben aranybánya – már amennyire a törvény engedi. Például ha ismert, hogy milyen bővítmények milyen verzióval futnak, egy böngésző motor vagy böngészőkiegészítő sérülékenységet kihasználva akár kémprogram is telepíthető az illető gépére, ahogy tette ezt minap az FBI is és nosza, fogtak is párezer pedofilt, na meg gyermekpornográfiában utazó jómadarat példásan rövid idő alatt. 

A harmadik technika, amiről nem ejtettem szót eddig, hogy egy kellően ügyes szkript segítségével egy webhely azt is meg tudja állapítani, hogy ilyen-olyan közösségi szolgáltatásokba be vagyunk-e jelentkezve. Ehhez már hozzászokhattunk a social pluginek világában, amikor például nem igényel plusz belépést a kommentelés egy poszt alatt, mivel a plugin felismerte, hogy már bejelentkeztünk a Facebook/Disqus/Twitter-fiókunkkal. A még ügyesebb szkript viszont még annak a megállapítására is képes, hogy egy-egy webhely tud-e lájkoltatni oldalakat a nevünkben, a tudunk nélkül. A lájkvadász mechanizmusok működése végülis a clickjacking, azaz click hijacking, magyarosabban szólva klikk-eltérítés egy speciális esete. 

Linus Robbins oldala is sokat el tud árulni rólunk és azt is jelzi, ha például a lájk-eltérítésre érzékeny a böngészőnk. 

Ezt egyébként a 

http://webkay.robinlinus.com/clickjacking/facebook.html 

oldalon lehet ellenőrizni: kijön egy teljesen köznapinak tűnő oldal, amiben ha az ártalmatlannak tűnő folytatás gombra kattintasz, a tudtod nélkül lájkoltad is Linus Robbins oldalát, amit a Facebookon az Activity logban vonhatsz vissza. 

A clickjacking ellen ugyan próbál védekezni a Facebook, a lényeg még mindig abban áll, hogy a lájk gombot el lehet rejteni egy, a webhelyen megjelenő átlátszatlan elem, például a „tovább” gomb alá. 

Még néhány évvel ezelőtt egy Bestofallworlds-meghívóért egy netes csaló 500 dollárt csalt volna ki egy pénzes német nyugdíjastól és a pénzt persze, hogy Paypal-re kérte, mint később kiderült, nem is volt BOAW-meghívója. A burzsuj szenilis német nyugdíjas csak annyit kért, hogy már küldi is a pénzt, csak az illető kattintson egy linkre, azzal az indokkal, hogy megmutathassa a képeket a nemrég született unokákról. A hülye scammer kattintott, amivel a tudta nélkül lájkolt is egy előre erre a célra létrehozott csali FB-oldalt a saját, valódi Facebook-fiókjával [azt pedig egy FB-oldal adminja azonnal látja, hogy konkrétan ki lájkolta az oldalát és mikor], ami alapján kiderült, hogy nem holland üzletember, hanem egy csóró harmadikvilágbeli pöcs, aki ilyen lehúzásokból él. Ami pedig a történetben nem mellékes, hogy a burzsuj német nyugdíjas valójában én voltam xD 

Azaz a netezők pontos azonosításához vagy netes csalások feltárásához nagyon sokszor semmi szükség rá, hogy valamilyen szépnevű hárombetűs szervezet tagjai legyünk, csak egy kis ész, na meg kriminalisztika. 

Több szempontból nem javallt, hogy az emlegetett oldalak által ajánlott anonimizáló bővítményeket feltegyük ész nélkül, de abban már nem megyek bele, hogy miért. 

Persze, tényfeltáró újságírók, ilyen-olyan aktivisták részéről gyakran felmerülő igény, hogy ne lehessenek azonosíthatók, észben kell tartani, hogy az anonimizálás – amellett, hogy 100%-os sosem lehet – külön tudomány. Ennek megfelelően ha kényes kutatómunkát végez valaki, az általános OPSEC gyakorlat mellett érdemes konzultálni olyannal, akinek az anonimizálási módszerek több éve a kutatási területéhez tartoznak. 

2 Tovább

Védelem abszolút kezdőknek a legveszélyesebb vírusok ellen


ITsec biztonság vírus vírusirtó ransomware felzárkóztatóMíg az előző posztomban inkább elméleti síkon foglalkoztam azzal, hogy hogyan előzhetőek meg a gép vagy akár a teljes céges hálózat adattartalmát letaroló vírusok okozta károk, ebben a posztban lépésről lépésre leírom, hogy az otthoni felhasználó mit tehet annak érdekében, hogy a legújabb keletű, ún. ransomware kártevőktől megvédje magát. A leírás persze nem lehet mindenre kiterjedő, másrészt ahogy az elcsépelt mondás is tartja „100%-os védelem nincs”. Valóban nincs száz százalékos védelem, viszont hiszem, hogy közel 100%-os viszont van. A cikk megírásakor feltételezem, hogy a felhasználó windowsos vagy OSX-es rendszert használ és nem kattint rá mindenre, amiről ordít, hogy valamilyen kártevőt tartalmaz.

Az első, hogy legyen a gépen valamilyen, kellően független szervezet által hatékonynak talált védelmi program, ami rendszereint magába foglalja magát az antivírus motort, egy kezdetleges szoftveres tűzfalat és egyébként funkciókat. Ezek többsége már jóideje nem csak a külső támadásoktól védik meg a felhasználókat, hanem önmaguktól is: azaz például sokszor esetben meg tudják fékezni a fertőzést akkor is, ha a felhasználó tudatlanságból kattintott egy emailen érkező, malware-t tartalmazó csatolt fájlra. Sokszor, de nem mindig! Nem szabad csupán a szoftveres védelmi megoldásra hagyatkozni.

Arról, hogy aktuálisan mik a világ legjobb végponti védelmi termékei, az http://www.av-comparatives.org/comparatives-reviews/ oldalról tájékozódhatunk, amik különböző szempontok szerint rendszeresen értékelik az AV termékeket. Több helyen lehetett olvasni, hogy a világ legjobb vírusirtóinak körülbelül a fele otthoni használatra ingyenes.

ITsec biztonság vírus vírusirtó ransomware felzárkóztató

A megállapítás igaz is és nem is. Mivel több terméknek csak a freemium verziója ingyenesen használható, azaz csak a legelemibb védelmi funkciókat látja el, abban az esetben, ha már komolyabb védelemre van szükség, licenszt kell vásárolni a termék teljes verziójához. Persze van, ahol a termék lényegében tényleg ingyenes otthoni felhasználásra, csupán a telefonos terméktámogatás igénybevételéhez van szükség licenszre.

Attól, hogy egy termék ingyenes, még lehet jó. Az AV-comparatives által ugyan nem jegyzett, Comodo Internet Security egy szokatlanul finomhangolható és kifinomult védelmi megoldás, a szolgáltatást pedig alighanem azért tudják ingyenesen biztosítani, mert a Comodo főprofilja nem a végfelhasználóknak szánt védelmi megoldások fejlesztése, viszont egy ilyen termék nagyban erősíti a cég brandjét. Hasonló üzleti modellel működő termékek vannak még bőven, az pedig már-már hitkérdés, hogy egy ingyenes termék lehet-e annyira hatékony, mint egy fizetős. A válasz egyszerűen az, hogy abban az esetben, hogy ha a cégnek van miből ingyen kínálható terméket fejleszteni, akkor lehetséges, az üzleti modell viszont rendszerint messze nem olyan világos, mint például a Comodo esetén.

Néhány évvel ezelőtt nem kis cirkusz volt belőle, amikor a fizetős Kaspersky a saját vírusdefiníciós adatbázisába [ami alapján a motor felismeri az új kártevőket] elhelyezett 10-15 kamu szignatúrát. Azaz olyan vírust jelző szignatúrát, ami alapján a termék vírusként ismert fel egyébként ártalmatlan fájlokat. Nem telt bele néhány hét, több ingyenes konkurens termék vírusdefiníciós adatbázisában ugyanezek a szignatúrák megjelentek, ami bizonyító erővel igazolta, hogy bizony az ingyenes gyártók némelyike energiatakarékosra fogta a figurát a fejlesztés során és egyszerűen kilopta a Kaspersky adatbázisából a szignatúrákat, ráadásul anélkül, hogy ellenőrizték volna, hogy azok tényleg malware-aktivitás jelei-e.

Amit még nagyon érdemes észben tartani, hogy teljesen mindegy, hogy mit mond a zöldséges, szomszéd, kolléga, haver azzal kapcsolatban, hogy mi a legbiztosabb AV-termék, sose higgyünk neki! Még azok, akik hivatásszerűen foglalkoznak számítógépes vírusok kutatásával, ők sem tudnak választ adni arra a kérdésre, hogy melyik a legjobb. Már csak azért sem, mert az antivírus motorok működése érthető módon titkos [hiszen ha nem lenne az, akkor a vírusok készítőinek sokkal könnyebb dolga lenne a víruskergetők kicselezésében], ami ráadásul rendszeresen változik, ahogy az AV-comparitives összehasonlításai is mutatják.

Másrészt erősen platformfüggő lehet, hogy egy AV-termék mennyire hatékony, általános tapasztalat, hogy az a víruskergető, ami windowsos környezetben kitűnően működik, OSX-en egyrészt csak vaktalálatokat ad, de azt nem képes kiszúrni, ha a felhasználó a Mac-jét a két ősellenségen, a Java alkalmazások futtatását lehetővé tevő Java futtatókörnyezet vagy Flash lejátszó egy elévült változatán keresztül jön pusztítani.

ITsec biztonság vírus vírusirtó ransomware felzárkóztató

a leghatékonyabbnak talált termékek ún. Real-World-tesztben


Amit érdemes figyelembe venni, a védelmi termék erőforrásigénye. Tudok olyanról, ami normálisan beállítva hatékony, de egy gyengébb gépen iszonyúan lassít mindent, lazább beállítás mellett pedig egyszerűen nem hatékony.

ITsec biztonság vírus vírusirtó ransomware felzárkóztató

különböző termékek erőforrásigénye

Érdemes figyelembe venni azt is, hogy a fejlettebb kártevők többsége nem a fertőzést követően azonnal pusztít, hanem lappang egy ideig, de bizonyos antivírus termékek simán beengedi a vírust, majd csak akkor kezdenek el vele foglalkozni, amikor az a memóriába töltődne, aztán akkor fékezik meg – ha tudják. Az, hogy egy bejutott kártevő jelenléte nem válik, azonnal nyilvánvalóvá azért veszélyes, mert pendrive-on és hálózati megosztásokon véletlenül szanaszét lehet fertőzni mindenkit, mielőtt a vírus bármilyen tényleges kárt is okozna.

A biztonsági mentés fontosságát nem lehet elégszer hangsúlyozni. Manapság minden további nélkül megtehetjük, hogy a fontos fájlokat feltöltjük egy olyan felhő alapú tárhelyre, aminek a kliensprogramját utólagosan leválasztjuk róla. Magyarul: például az Onedrive-on tárolt dokumentumokat feltöltjük a MEGA-ra, majd szépen kilépünk a MEGA-ból, aztán csak aztán nyúlunk hozzá legközelebb, amikor ténylegesen kell, míg a Onedrive továbbra is napi rendszerességgel fut – aminek adatait természetesen szintén gallyra vág egy ransomware, hiszen ha a fájlokat titkosítja a vírus, az elérhetetlenné tett fájlok fognak az Onedrive tárhelyen is megjelenni.

A másik megoldás, hogy veszünk egy hardveres titkosítást alkalmazó pendrive-ot, amire feltolunk minden dokumentumot, persze megjelölve, hogy a mentés mikor készült, aztán alaposan eltesszük és bízunk benne, hogy a következő mentésig nem lesz rá szükség. Több helyen lehet olvasni, hogy alternatív air-gapped, azaz hálózathoz kapcsolódó gépektől teljesen leválasztott adathordozóra, azaz például DVD-re is kiírhatjuk legfontosabb fájljainkat. Igen ám, ez viszont komolyan feladja a leckét, hogy a DVD-re írt adatot előzetesen mivel lenne érdemes titkosítani – már ha nem tesszük be egy méregdrága páncélszekrénybe - hiszen egy DVD-hez elvben mindenki hozzáfér.

Hacsak nincs bekapcsolva az oprendszeren és egyéb alkalmazásokon az automatikus frissítés – mert mondjuk az mindig akkor indulna el, amikor a legkevésbé érünk rá – rendszeresen ellenőrizzük a frissítéseket. A Windows verziók legális vagy nem crackelt, de nem legális, például nem aktivált változata közt sokszor annyi a különbség, hogy nem történik automatikus frissítés, viszont a frissítő elindításával a frissítés kézileg végrehajtható.

Itt megjegyzem, hogy míg sok-sok évvel ezelőtt relatív ritkább frissítés is elegendő volt, mára a szofisztikált kártevők olyan sebességgel terjednek, hogy több termék már néhány óránként vagy gyakrabban ellenőrzi, hogy jelent-e meg frissítés hozzá.

Vegyük figyelembe, hogy sajnos bárki lehet célzott támadás áldozata, hiszen már évek óta aki egy játékprogrammal elboldogul, ilyen-olyan készletekkel tud új, polimorf vírusokat vagy kémprogramokat írni, jó hír viszont, hogy az AV termékek ennek megfelelően nem csak szignatúra alapú felismerést, felhő alapú heurisztikát és hasonlókat használnak a valós idejű védelemnél, hanem a szokatlan alkalmazásokat is kiszúrják. Azaz egy kipaterolt ex, kirúgott alkalmazott vagy egyszerűen egy hülyegyerek könnyűszerrel tud ugyan személyre szólóan nekünk vírust vagy kémprogramot írni, szerencsére ezeket normális AV-termék fel is ismeri még akkor is, ha pontosan olyannal vírussal még nem találkozott.

Ne mások kárából tanuljunk, hanem ezeket az intézkedéseket tegyük rutinszerűvé, különben megeshet, hogy nem lesz az az IT-s szaki, aki helyre tudná állítani a bekövetkezett kárt egy adatvesztés után, ha pedig még mindig a világ egyik legveszélyesebb téveszméjében hinne, ami szerint az ő adataira senki sem kíváncsi, gondolja át a dolgot még egyszer. Nem csak arról van szó, hogy rossz esetben egy rosszakaró viheti az egész boltot, ami egy áltagos felhasználó gépén van, arra is gondolnunk kell, hogy például azok a levelet, amiket nekünk küldtek és kikerültek, a feladó részéről annak szellemében íródtak, hogy azt csak mi olvashatjuk el – vagy legalábbis nem a fél világ. Márpedig nem csak egy cég, hanem bárki, de tényleg bárki elszenvedhet olyan arcvesztést, ami miatt többen majd úgy gondolják, hogy nem küldenek emailt neki, ha ennyire képtelen vigyázni a saját adataira sem.

Behatóbban a vírusok világáról, legújabb fenyegetésekről az Antivirus Blogon.

0 Tovább

Műhiba, ami egy kórházban bármikor megtörténhet, egy normális cégnél soha


Milyen mulasztás történhet egy megyei kórházban következmények nélkül, amiért egy pénzintézetben fejek hullanának? Ransomware támadás áldozatául esett a veszprémi kórház a hétvége folyamán, ahogy arról többek közt az ATV is beszámolt.

A ransomware-ek a kártékony programok azon típusa, amelyik tipikusan email csatolmányaként érkezik, majd ha a felhasználó kellően ostoba hozzá, hogy az ismeretlen feladótól érkező, ordítóan gyanus csatolmányt megnyissa, a zsaroló program települ a gépre és a helyben tárolt felhasználói adatok elérhetetlenné tételén túl nem ritkán elérhetetlenné tesz minden mást is, amit csak lát: hálózati meghajtókon, megosztásokon keresztül szinte mindent. Teszi mindezt úgy, hogy egy valóban erős titkosítással titkosítja a felhasználó fájljait. Ha a felhasználónak nem voltak biztonsági mentései, lehetőleg air-gapped, azaz hálózatról leválasztott adathordozón az adatairól, így járt. A kártevő kedvesen felajánlja, hogy a fájlokat ismét elérhetővé teszi, akkor, ha a felhasználó váltságdíjat fizet értük. Az ATV-s riportban elhangzottal ellentétben a váltságdíjat sosem bankszámlaszámra kell utalni, hiszen az azonnal visszakövethető lenne, hanem a deep web jó öreg, jelen tudásunk szerint gyakorlatilag visszakövethetetlen keményvalutájában, bitcoinban kell fizetni.

Vannak olyan ransomware-variánsok, amik annyira kifinomultak, hogy figyelmeztetik a felhasználót rá, hogy idővel a váltságdíj folyamatosan duplázódik, ami fokozza a pszichikai hatást, a felhasználó pedig fizet, jó esetben pedig valóban visszakapja az elérhetetlenné tett adatait, amit azonban semmi sem garantál.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonságAhogy egy-egy gépen egyre nagyobb mennyiségű és egyre nagyobb értékkel bíró információ koncentrálódik, jól mutatja, hogy bizonyos zsaroló vírusok akár 2000 USD-nak megfelelő váltságdíjat is kérhetnek bitcoinban, nyilván teszik mindezt azért, mert bizony a felhasználók egy jókora részének már megér annyit az, hogy ne vesszen el végérvényesen az összes dokumentumuk, fotójuk, videójuk és egyéb fájljaik, amit valaha is készítettek, ha nincs róla biztonsági másolat.

A ransomware-ek terjedése olyannyira nem új jelenség, hogy az egyik kezdetleges változata már 2-3 évvel ezelőtt szabályosan letarolta a SOTE hálózatához tartozó több kutatócsoport gépparkját is, nem kímélve semmit, márpedig ha eleve költséges kísérleteket kell megismételni a biztonsági másolatok hiánya okán bekövetkező adatvesztés miatt, igencsak fájdalmas tud lenni.

A Debreceni Egyetemen nem túl rózsás a helyzet, ha külön körlevélben hívták fel a felhasználók figyelmét a múlt héten arra, amire korábban már számtalanszor, azaz hogy ne kattintsanak ész nélkül mindenre – persze ettől még fognak, egészen addig, amíg a saját bőrükön nem tapasztalják meg a kárt.

A helyzet már csak azért is igencsak súlyos, mert a vírusoknak olyan polimorfjai jelennek meg, amiket könnyen lehet, hogy az antivírus-termék nem fog kiszúrni azonnal, ráadásul ilyen vírus variánsok létrehozására még kitek is rendelkezésre állnak, azaz egy pusztító kártevő egy új változatának létrehozásához már már érteni sem kell a programozáshoz.

Visszatérve az eredeti hírre, túl sok konkrétum nem derül ki, nagyjából csak annyi, hogy valaki, feltehetően még csak nem is privilegizált, magasabb jogosultságokkal rendelkező felhasználó a veszprémi kórházban nem túl bölcsen megnyitotta mondjuk a nigériai főhercegtől érkező Viagrás árajánlatot, ami elég is volt hozzá, hogy földhöz vágja a teljes hálózatot, ezért a kórházi adminisztráció lényegi részét papír alapon kelljen végezni.

Kérdem én, miféle IT biztonsági házirend van érvényben egy olyan helyen, ahol egy mezei felhasználó hülyesége ekkora kárt tud okozni, de mégis? Ezek szerint vagy még nem hallottak a minimálisan szükséges jogosultságok elvéről, ami kimondja, hogy minden felhasználó egy adott rendszerben pontosan annyi jogosultságot kapjon, amennyi a tevékenysége elvégzéséhez szükséges, de egy grammnyival se többet vagy éppen hallottak az elvről, csak éppen betartani nem tudták. Mert feltehetően nem a rendszergazdák valamelyike vágta gallyra a hálózatot egy duplaklikkel, abban pedig szinte biztos vagyok, hogy azt, akinek a fertőzést köszönhetik, nemhogy felelősségre vonni nem tudják, de még azt sem tudják utólag megállapítani, hogy ki volt.

Ilyenkor körlevélben megy egy kis ejnye-bejnye, na meg figyelmeztetés azzal kapcsolatban, hogy tessék jobban vigyázni, az egység sugarú felhasználó pedig még mindig ott tart, hogy ő csak a munkáját végezné, erre jönnek ezek a csúnya számítógépes bűnözők, aztán izgalmasabbá teszik az életet. Hát nem! Amiatt, hogy ennyire tragikusan rossz a helyzet globálisan, a felhasználó is tehet. A felhasználók pedig nem veszik észre, hogy biztonságtudatosság nélkül használni a gépet olyan, mintha sosem zárnák a házuk, na meg kocsijuk ajtaját, mert csak az hibáztatható, aki betör a házba vagy elköti a verdát.

Kicsit előreszaladok – még néhány hónappal ezelőtt beszéltem egy, a hazai bankok informatikai biztonságával foglalkozókat tömörítő szervezet egyik vezetőjével, akit arról kérdeztem, hogy világos, hogy a felhasználók ennyire tompák voltak 10, 15 vagy 20 évvel ezelőtt, de hogy lehet, hogy ez gyakorlatilag semmit sem változott, csak éppenséggel ma már nem MSN-üzenetben jön az áldás, hanem Facebook-linkek formájában vagy email csatolmányként. Mire jött a válasz, amihez túl sokat nem is tudnék hozzátenni: miért feltételeznénk, hogy az emberek változnak?

És valóban: magatartástudományi ismereteim fényében röviden én is csak annyit tudok mondani, hogy a biztonságtudatos magatartást csak akkor lehet elvárni a felhasználóktól, ha tartanak a felelőtlenségük következményétől.

Általános összefüggés, hogy egy szervezetben minél inkább közvetlenül kifejezhető pénzben és minél látványosabb egy breachből adódó kár, a szervezetre annál szigorúbb standardok vonatkoznak, nem csak technikai szempontból, hanem emberi oldalról szintén. Gondoljunk csak a légi irányításban használatos szoftverrendszerekre vagy az ipari vezérlőrendszerekre, ahol egy-egy IT-politikával egybefüggő mulasztás, szoftverhiba vagy sikeres informatikai támadás emberéletekbe kerülhet, míg egy pénzintézet esetében is a szervezet saját bőrén érzi, ha az informatikai rendszerben meghibásodás történik.

Nem véletlen, hogy minden, úgymond rázósabb területen saját iparági standardokat alakítottak ki és tartatnak be annak érdekében, hogy az informatikai eredetű kockázatokat és károkat minimalizálják. Ezek a standardok annál inkább belemennek a részletekbe, minél inkább kritikus infrastruktúrát kell védeni. Hogy az Olvasó is képbe legyen: külön forgatókönyvek és szabályzatok deklarálják, hogy a biztonsági mentéseket hogyan kell kezelni, milyen szabályok vonatkoznak a biztonságos felhasználói azonosítására, a felhasználók magatartására, a szervezeten belüli információcsere részleteire és így tovább.

Ami viszont a lényeg: még a leginkább penge módon kidolgozott, sokezer oldalas szabályzatok sem érnének semmit abban az esetben, ha a szabályok megszegése nem lenne szankcionálva. Rémes leírni, de a felhasználók közt még azok is, akik egyébként a kockázatokkal tisztában vannak, nem értenek a szép szóból, a szabályok betartatása pedig a cég IT biztonságáért felelős CISO-k számára állandó, lassacskán már az egyik legfajsúlyosabb kihívást jelenti. Nem csoda, hiszen ha egy relatív alacsonyabb beosztásban lévő alkalmazott hibájából történik meg a baj, belső vizsgálatot, fegyelmit lehet indítani ellene, el lehet bocsátani, esetleg a törvény előtt is felelnie kell, viszont sokkal bonyolultabb a helyzet akkor, ha az, aki a hibát elköveti, középvezető vagy éppen felsővezető, akit érthetően nehezebb felelősségre vonni.

Ezen a területen a néhány évvel ezelőttihez képest jelentős fejlődés, hogy a CISO-k egyre több helyen már közvetlenül a menedzsmentnek számolnak be, ezen kívül a cégek felsővezetői is egyre nagyobb jelentőséget tulajdonítanak az informatikai biztonságnak.

Nemrég hallgattam egy kitűnő előadást azzal kapcsolatban, hogy egy nagy-nagy banknál hogyan is történik az informatikai incidensek kezelése és általában mik a tipikusan elkövetett hibák. Bizarr vagy sem, de megkísérlem összehasonlítani tényleg csak néhány ponton, hogy mik a legmarkánsabb eltérések a példánál maradva pénzintézeti környezetben működő IT infrastruktúrák üzemeletetése és használata, valamint sokkal köznapibb helyeken, azaz például kisvállalkozásoknál, közoktatási vagy felsőoktatási intézmények háza táján.

Felhasználói azonosítás

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonság

Ha van valami, amivel napi rendszerességgel ki lehet kergetni a világból a rendszergazdát vagy a IT biztonsági főnökök, az egyik ez. Hiába a megfelelően erős jelszavakkal kapcsolatos ajánlások valamint konkrét előírások, nap, mint nap előfordul, hogy az egyik felhasználó a másiknak kényelemből odaadja a felhasználói nevét és jelszavát. Fájóan hosszú lenne boncolgatni, hogy elvi szempontból is miért hatalmas hiba illetve kockázat, még abban az esetben is, ha egy magáncélra használt, súlytalanabb webes szolgáltatásról lenne szó, nem még hogy valamilyen munkahelyi belépésről. Ha egy alkalmazott a másik nevében végez nem kívánt műveleteket vagy éppenséggel akaratlanul pont akkor fertőzi le a gépet valamilyen kémprogrammal, utólag nyilván megállapíthatatlan, hogy az egyik vagy  a másik alkalmazott hibázott, azaz kinek kellene elvinni a balhét. Pénzintézeti környezetben az ilyet szigorúan szankcionálják, ezen kívül további lépéseket építenek az azonosítási folyamatba a jelszó mellett, de én még olyanról nem nagyon hallottam, hogy valakit felelősségre vontak volna azért, mert a hozzáférési adatait kölcsönadta valakinek. Egyébként van pozitív példa is: az egyik nagy hazai egyetemen az ilyenért a felhasználó felkerült az informatikai szolgáltató központhoz, géptermekhez vezető hülyetáblára, ezen kívül be sem léphet egy ideig.

Ismertté vált szoftverhibák javítása, rendszeres frissítések

Ideális esetben az IT team amellett, hogy technikai szinten meghatározta a biztonsági házirendet [jogosultságok kiosztása szerepkörök szerint, tűzfalkonfiguráció, APT-védelem, stb.] néha rá is néz a tűzfal naplófájljaira és kiszúrja a gyanus műveleteket, amiket ma már fejlett naplóelemző alkalmazások segítenek. Ha pedig megtörtént a baj, például egy szoftverhibát kihasználva feltörték a céges aloldalt, nem csak visszaállítja azt az eredeti állapotába, hanem megszünteti azt a sebezhetőséget jelentő beállítást vagy szoftverhibát, ami azt lehetővé tette. Ehhez képest például a feltört weboldalak esetén a helyreállítás megtörténik ugyan, viszont a tartalomkezelő rendszerben benne marad ugyanaz a hiba, ami lehetővé tette a sikeres támadást egy kisebb szervezet esetén.

A néhány héttel ezelőtti előadásban viszont az is szóba került, hogy esetleg az IT-staff nagyon nem szivesen nyúl egy megtorpedózott alrendszerhez a helyreállítást követően, mivel tartanak a hibajavítás idejére eső kiesés következményeitől. Mivel egy komolyabb rendszerben egy hibát nem elég pusztán javítani, hanem a módosított rendszert teszteken, közelebbről, unitteszteken, rendszerteszteken, állapotátmenet-teszteken, keresztül kell ellenőrizni, ami sokszor akár több időt is igénybe vehet, mint maga a fejlesztés vagy a bugfix.

Azt pedig egy pillanatig se felejtsük el, hogy bizonyos rendszerek időleges kiesése az üzletfolytonosságot veszélyeztetnék, még néhány perces kiesés sem fogadható el. Márpedig hiába van tartalék rendszer arra az esetre, ha egy ilyen kritikus fontosságú rendszer leállna. A hibajavítás sokszor nem oldható meg leállítás és újraindítás nélkül, ha pedig a leállítás idejére a tartalék rendszert indítják el, az értelemszerűen ugyanazt a sebezhetőséget tartalmazza és azzal fog futni, a karbantartás ideje alatt így arra az időre a sebezhetőség is kihasználható. Akár a 22-es csapdája, nem? Nem csoda, hogy igen kackiás általános, de magas szintű vagy kimondottan iparági jellegzetességekre szabott protokollok vannak előírva az ilyen esetekre.  

A magas szintű informatikai biztonságot igénylő iparágakkal párhuzamosan persze kialakult azoknak a minősítéseknek a rendszere, ami sokszor beugró ahhoz, hogy valaki ilyen típusú feladatot lásson el. Ezek közül a legismertebbek az ISACA, az EC-Council, az Offensive Security certijei, vagy éppen a GIAC minsőítései, amiket megszerezni nem könnyű persze, viszont jóval nagyobb értékkel bírnak, mint a hagyományos tudományos fokozatok.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonság

Másik gyakori hiba, a megfelelő biztonsági mentés hiánya

A biztonsági mentés, akár kézzel kell végezni, akár automatizálva van, amilyen lélekölő, annyira hasznos, ha egy megsérült rendszer adatait mentésből kell helyreállítani. A leggyakoribb probléma természetesen az, hogy nincs használható biztonsági mentés vagy éppenséggel van, de az annyira régi, hogy látta az élő Lenint, ilyen módon nem sokat ér. A legtöbb helyen nincs is policy azzal kapcsolatban, hogy a biztonsági mentést milyen gyakran, hogyan, kell elkészíteni, ahogy persze szankcionálva sincs, ha egy súlyos adatvesztés után az egyszeri rendszergazda nem tudja elvégezni a megfelelő helyreállítást. Banki környezetben természetesen ez is máshogy működik.

Ha mentésről van szó, mondanom sem kell, itt is egy nagyon szerteágazó, kérdések áradatát felvető témáról van szó. Például nem elegendő rendszeresen biztonsági mentéseket végezni, azok sértetlenségét, működőképességét is ellenőrizni kell.

Nincs vagy hiányosan van előírva, hogy a felhasználók hogyan kezelhetik az IT-eszközöket és magukat az információkat

Nem, most tényleg nem csak arra gondoltam, hogy a legócskább social engineering támadásokkal szemben is védtelen a cégek és közintézmények többsége.
Kicsit is normális helyen háztáji szerveren vagy megbízható privát felhőben történik a céges információk tárolása és kezelése, ahogy maga a céges kommunikáció is, ahogy a cloud technológiák évről évre egyre olcsóbbak váltak.

Annak ellenére, hogy a cégek az igényeknek megfelelően saját levelezéssel, tárhellyel, vagy akár komplett ERP-vel rendelkeznek, nagyon gyakori, hogy céges adatokat küldözgetnek át az alkalmazottak egymásnak kommersz, ingyenes levelezőrendszerekben, de olyat is hallottam már, hogy egy közösségi szolgáltatást használtak ilyenre. A rendszergazda, ha tud is róla, jó esetben legalább valamiféle képe van azzal kapcsolatban, hogy ez mekkora kockázattal jár, mégsem nagyon tud mit tenni ellene.

Mielőtt úgy gondolnánk, hogy csak a közvetlenül pénzzé tehető adatvagyon egy részét használó felhasználók jelentenek kockázatot a fegyelmezetlenségükkel, képzeljük el, hogy egy nagy szerkesztőség újságírója kényelemből valamilyen ingyenes kommersz levelezőrendszert használ, amikből meg sok esetben végképp nem nehéz észrevétlenül szivárogtatni az információt jelszólopással, kémprogrammal, akármivel, viszont mivel a postafiók nem a céges rendszerhez tartozik, a rendszergazdának esélye sincs észlelni ezt. Ebben az egyszerű példában képzeletbeli újságíró barátunk veszélybe sodorhatja az informátorait, lenyúlhatják a postafiókjából a mástól hozzá érkező kéziratokat és így tovább. Csak a fantázia szab határt annak, hogy mekkora kavar lehet abból, ha házon kívülre viszik a céges adatokat, mivel a felhasználók egyszerűen nem veszik figyelembe, hogy az nem az ő tulajdonuk, hanem a cégé!

Viszont nem egy esetet hallottam, amikor a céges eszközöket egyáltalán nem használták, ráadásul az egyik legnagyobb magyar, tartalomszolgáltatással foglalkozó cégénél. Ezt ismétcsak úgy lehetne kivédeni, ha következetesen szankcionálnák a cégen belül, ha valaki céges adatokat nem az arra fenntartott infrastruktúrán kezel. Ezen kívül persze, nagy szerepe van annak, hogy az alkalmazottak kapjanak biztonságtudatossági tréninget, már ahol egyáltalán tudják is, hogy mi az, még ha bizonyos szempontból egyre nehezebb is. Kevin Mitnick nem mondott nagy újdonságot azzal, amikor azt mondta, hogy a felhasználók a biztonsági előírásokat akkor fogják betartani, ha látják annak az értelmét. Viszont manapság már a támadások olyannyira szofisztikálttá váltak, hogy az az átlagos felhasználónak túl bonyolultak, amit csak úgy lehet kompenzálni, ha technikai módszerrel korlátozzák, hogy a felhasználó mit tehet meg és mit nem, ahogy írtam, a jogosultságok kiosztását meg kell, hogy előzze a szerepkörök pontos meghatározása.

Fontos megjegyezni, hogy ha a belső használatra szánt eszközök nem eléggé rugalmasak, stabilak és felhasználóbarátak, ahol ezt szankciómentesen megtehetik, az alkalmazottak Gmailt, Google Docst, Dropboxot és hasonló kommersz eszközöket fognak használni a céges adatok kezeléséhez is. Ezzel értelemszerűen menedzselhetetlenné válik a cég információáramlása, megnehezíti az incidensek vagy éppen az adatszivárgások, azaz DLP-k megelőzését kivizsgálását. Ráadásul ezek a közkeletű ingyenes szolgáltatások formálisan semmiféle felelősséget nem vállalnak a náluk tárolt felhasználói adatokért, az azok elvesztéséből adódó károkért, gyakorlatilag pedig egész egyszerűen nem elég biztonságosak. Nem, még akkor sem, ha a fél világ arról cikkezik, hogy azok.

Mit tehet mégis egy közepes méretű vállalat, amelyik nem foglalkoztathat CISO-t főállásban, a céges rendszergazda tehet szert csak úgy olyan szintű tudásra, mint egy CISO, ugyanakkor szeretné biztonságban tudni az általa kezelt információkat? Külső szakértőt megbízni mindenképp ajánlott, akivel együtt a házirendet ki tudják dolgozni és időnként felül is tudják vizsgálni.

Ez persze szubjektív, de szerintem a dolog legérdekesebb része, hogy hogyan építsenek a házirendbe olyan részt, ami kimondottan azzal foglalkozik, hogy az emberi tévedésből, mulasztásból, figyelmetlenségből vagy social engineering támadások kiküszöbölhetőek legyenek és azt tényleg mindenki tartsa be.

Ahogy írtam, annál hatékonyabb a megelőzés, minél inkább ismert a támadások kivitelezésének módja.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonságAmit rendkívül hasznosnak találtam a Social Engineering Penetration Testing – Executing Social Engineering Pen Test, Assessments and Defense kötet végén található cheat sheetet, ami kellő részletességgel, ugyanakkor áttekinthetően mutatja a social engineering támadások általános sémáját.

Idén jelent meg ebook formájában ingyenesen letölthető kiadványként a Navigating the Digital Age – The Definitive Cybersecurity Guide for Directors and Officers kötet, kimondottan cégvezetőknek, ami a legfrissebb tények tükrében foglalja össze az informatikai biztonság fontosságát.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonság

Igen ám, csakhogy a cégek felsővezetői könnyen lehet, hogy nem szivesen futnak neki egy közel 400 oldalas könyvnek, így gyakorlati szempontból talán még jobbak azok a Dummies-füzetkék, amit különböző gyártók támogatásával jelentetnek meg rendszeresen és ugyancsak ingyenesen letölthetőek. Ha pedig a cégvezetők a szükséges mértékben értik a cég vérkeringését jelentő IT-rendszerek működését, jobban megértik egymást az informatikai csoporttal. Ilyen ingyenes kiadvány például a Cybersecurity for Dummies, a Network Security in Virtualized Data Centers for Dummies, a Mobile Security for Dummies, az Advanced Endpoint Protection for Dummies vagy éppen a Paloalto mellett a Fortinet által támogatott Dummies-könyvek, mint a Unified Threat Management for Dummies,
csak hogy a legfrissebb információkat tartalmazó kiadványokat említsem, amiket egy-egy elfoglalt cégvezető szivesebben vesz kézbe nyomtatva, mint egy jóval vaskosabb kiadványt.

Az IT-seknek szükséges könyvek ára sokszor be van építve egy-egy képesítés anyagába.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonságA magyar nyelvű, frissen megjelent könyvek közül átfogó műként a Vállalati információs rendszerek műszaki alapjait találtam a legjobbnak, ugyan annak tartalma már túlmutat a menedzsment tagjai számára szükséges ismereteken.

3 Tovább

DDoS szájbarágó – annyira azért nem bonyolult


Lényeg, hogy bárki, de tényleg bárki indíthatja, csak pénz kérdése. Csak a feketepiacon be kell boltolni egy ún. botnet hálózatot, amiről volt szó korábban. Azaz olyan fertőzött gépek tömegét, ami egy Command and Control szerver irányításával, tipikusan a fertőzött gépek tulajdonosainak tudta nélkül képes támadást indítani egy adott célpont felé.

0 Tovább

Kozma Réka pécsi ügyvéd még mindig akciózik


Hatósági eljárásokkal kapcsolatos információkat közölni ugyebár bőven törvénysértő lehet, de jelen esetben rólam van szó, azaz úgy írok róla, mint magánügyről.

Ha valakinek nincs meg: Kozma Réka az a büntetőjogász, aki a Pécsi Tudományegyetem jogi karán szerezte a diplomáját, már komolyan nem is tudom, hogy mikor, de feljelentettek rágalmazásért, amikor az nem jött be, - mondjuk tényleg nem is rágalmaztam senkit - akkor feljelentett még egyszer zsarolásért, amit szintén instant elvérzett, mivel hogy gyorsan túlessünk a dolgon, én, mint nemhivatalos vádlott-jelölt bizonyítottam, hogy nem zsaroltam meg. Mármint nem én őt. Legújabban Kozma Réka a zsarolási feljelentéshez használt keresetlevelet újrahasznosítva feljelentést tett ellenem becsületsértés miatt. A harmadik feljelentés egyébként kicsit büdösnek érződhet, mert a Pécsi Járásbíróság átpasszolta a Pécsi Törvényszéknek, amelyik másodfokon megnézte és úgy döntöttek, hogy átpasszolják a Szigetvári Járásbíróságnak. A Szigetvári Járásbíróság szintén nem vállalta be az eljárás lefolytatását, ezért visszapasszolta a Pécsi Törvényszéknek, amelyik ha jól értem, visszaküldte a Pécsi Járásbíróságnak, amelyik megküldte a Komlói Járásbíróság felé, így az eljárást a Komlói Járásbíróság indította meg Kozma Réka magánvádja alapján. Ha nem tudtad követni, nem baj, mert én sem nagyon.

Minő manír, hogy a bíróság ugyanazokat a doksikat kapta meg a bizonyításhoz, amit anno a szigetvári rendőrségen ismertettem, ahol megállapították, hogy nem történt bűncselekmény, meg semmilyen törvénysértés. Legalábbis én nem követtem el ellene.

Ha esetleg többet szeretnél tudni Kozma Rékáról, egyszerűen keress rá a nevére a neten.

Ja, ha Nyuszimuszi esetleg majd negyedszer is nekifutna a pernek Tökfejjel vagy nélküle, előtte érdemes átolvasni ezt a karácsonyi posztom, ha pedig postán küldtök valami szart már megint jó távol, a bejelentett lakcímemre, a borítékra legalább írjátok rá jeligeként, hogy "jehova", köszi!

Ja, jut is eszembe, nem kell bombázni a blogszolgáltatót ügyvédi fenyegetésekkel, ha esetleg eltűnne a poszt, elérhető még a Tumblr-ben, a Blogspoton, na meg a Wordpressen is.

Jehova, Jehova, Jehovaaa! xDDD

0 Tovább

Amit a kormányzati háló támadásáról eddig nem olvashattál


ITsec kormányzat hálózati támadás DDoS elosztott túlterheléses támadás SYN-ACK SYN-floodA Belügyminisztérium közlése szerint a hétvégén szervezett támadás érte a kormányzati és akadémiai hálózatok bizonyos részeit, aminek következtében több kormányzati portál elérhetetlenné vált. Túl sok konkrétum még nem derül ki az esettel kapcsolatban, van pár érdekes aspektusa a dolognak, amit alighanem máshol nem olvashattál még, viszont fontos vagy egyszerűen csak érdekes. Ezeket gyűjtöttem most össze egy csokorba.

Ugyan hivatalosan nem írták le sehol, valószínűleg elosztott túlterheléses támadásról van szó. Ennek tipikus esete, amikor egy nagyteljesítményű, nagy sávszélességhez hozzáférő kliens gép, sokkal gyakrabban viszont teljesen átlagos teljesítményű, otthoni, fertőzött gépek tömegesen megszólítják a szervert egy ún. SYN_SENT adatcsomaggal, ami jelzi a szerver felé, hogy egy kliens szeretné felvenni vele a kapcsolatot. A szerver erre küld egy fogadást jelző választ, viszont a kliens ebben az esetben ezt a választ meg sem várja, hanem további SYN-csomagokat küld a szerver felé, aminek következtében a szerveren – vagy más hálózati eszközön – annyi félig nyitott kapcsolat lesz, hogy a kiszolgáló a legitim kéréseket sem fogja tudni kiszolgálni. Ha egy webes frontendet, röviden webhelyet ér egy ilyen támadás, csak annyi látszik, hogy a webhely egyszerűen nem érhető el. Természetesen a SYN-flood attack ellen többféle védelem is rendelkezésre áll, mint amilyen a SYN-sütik alkalmazása vagy egyszerűen nagy teljesítményű terheléselosztó hálózatok használata, egyik módszer sem tökéletes, másrészt nem olcsó. A szabályos kapcsolatfelvétel és a SYN-flook közti különbség ezen az ábrán látszik.

ITsec kormányzat hálózati támadás DDoS elosztott túlterheléses támadás SYN-ACK SYN-flood

normál esetben

ITsec kormányzat hálózati támadás DDoS elosztott túlterheléses támadás SYN-ACK SYN-flood

SYN-flood támadáskor

Tegnap rászántam olyan 10 percet, hogy a támadás előkészületére utaló nyomokat keressek, és nem találtam semmi használhatót. Szinte biztos, hogy a támadást nem valamilyen, a sajtóból jól ismert maszkos hülyegyerekek csoportja követte el egy botnet hálózat segítségével, azaz valóban szervezett támadásra lehet gyanakodni, amikor a támadók többek közt nem teszik ki a kirakatba, hogy milyen kemény gyerekek.

Amit ilyen támadásoknál nem lehet elég alkalommal kiemelni, hogy a támadás konkrétan webes frontendeket érintett – legalábbis egyenlőre úgy tűnik – azaz webhelyek váltak elérhetetlenné, ami kétségkívül látványos, de legfeljebb kellemetlen, komolyabb kockázatot nem jelent, hiszen csak webes felületek álltak le, nem pedig nagyon fontos vagy kritikus infrastruktúrát érintő rendszerek. Az utóbbit egyébként alighanem nem közölnék, hogy ne keltsenek pánikot.

ITsec kormányzat hálózati támadás DDoS elosztott túlterheléses támadás SYN-ACK SYN-flood

Azt szoktam mondani, hogy nem hiszek a konteókban: leszámítva azokat a konteókat, amik tetszenek. Hogy-hogynem, a Magyar Telekom részvényeinek árfolyama a BÉT-en keddtől a pénteki tőzsdezárásig körülbelül 440 HUF-ról 460 HUF-ra emelkedett. Ez legalább durva, hogy ennyire nagyot és ennyire gyorsan nem emlékszem, hogy valaha is változott volna a MT-részvények árfolyama, arról nem is beszélve, hogy a pénteki tőzsdezáráskor az árfolyam 3 éves csúcsot ért el! Oké, de hogy jön ez ide? Úgy, hogy pongyolán fogalmazva a kormányzati rendszerek, függetlenül attól, hogy frontendről van szó vagy sem, néhány kivétellel szegről-végről a Telekom hálózatán lógnak. Nem zárom ki, hogy olyan környezetet teremtettek, ami miatt az árfolyam szép magasra nőtt, majd ehhez igazítottak egy hétvégi támadást, ne legyen igazam, de alighanem hétfőn az árfolyam hatalmasat fog bukni, amin igencsak jól keres majd az, aki mondjuk alaposan bespajzolt CFD-ből.

Természetesen az is lehet, hogy az árfolyam egyébként is felment volna a héten, majd valakik pont ezért most indítottak támadást a jórészt Telekom-gerinchálózaton lógó infrastruktúra ellen. Több helyen lehetett olvasni, hogy pont a Telekom hálózatából volt elérhető pár oldal, amikor a többi hálózat felől nem, ennek megfelelően az érvelésem sántít. Igen ám, viszont itt nyilván nem csak a lakossági Telekom-elérésről van szó, hanem például a T-Systemsről és egyéb, Telekom tulajdonában lévő rendszerekről, amiket javarészt használ a kormány.

Az előzőhöz kapcsolódik, hogy alighanem többen gondolják úgy, hogy az elosztott túlterheléses támadások bonyolultak és drágák. Persze, minél bonyolultabbak, annál drágábbak, viszont alapvetően a feketepiacon relatív olcsón lehet bérelni olyan botnet hálózatot, amivel szinte bármilyen izmos rendszer megingatható. Ha valaki a várható árfolyamkülönbségből komoly összeget kaszál majd, annak ezt kifizetni tényleg aprópénz.

Lehetett olvasni olyat is, hogy a kormany.hu No-go zónákkal kapcsolatos aloldalát annyian hivatkozták a világsajtóban és több más helyen, hogy végülis legitim hálózati forgalom miatt feküdt meg a rendszer. Ha a frontendet érte a támadás, ez eléggé valószínűtlennek tűnik, mivel a kvota.kormany.hu perpillanat a 87.97.76.245 címre mutat, míg a kormany.hu a 84.206.102.195 címre azaz teljesen eltérő alhálózaton vannak a webszerverek és – legalább formálisan - eltérő szolgáltatónál van a két webes frontend. A Hungarneten ilyen mértékű megugrott forgalmat 
szerintem ez nem magyarázza

ITsec kormányzat hálózati támadás DDoS elosztott túlterheléses támadás SYN-ACK SYN-flood

Természetesen az is lehet, hogy valamilyen spéci útválasztási sajátosságot vagy éppen az azt kiszolgáló névszervereket érte a támadás /*amiknek a TTL-jét szerintem nem túl bölcs 5 percre beállítani*/. Ha ez történt, akkor a kormany.hu-hoz tartozó névszerverek elérhetetlenné válásakor a kvota.kormany.hu is elérhetetlenné vált, mivel az nem rendelkezett saját névszerverekkel, hanem a kormany.hu-hoz tartozó névszerver alá van betéve.

A névszerverek megfúrása nem is olyan valószínűtlen, mivel ha azoknak a kiszolgált DNS-értékeit valóban csak 5 percig gyorsítótárazták – ez az a mechanizmus, amikor a névszerver több köztes lépésben megmondja a látogatónak, hogy egy-egy oldalt melyik IP-címmé kell feloldani - akkor érthető, hogy hogyan szállt el több oldal egyszerre. Megjegyzem, attól, hogy a sok-sok kormányzati oldalt kiszolgáló elsődleges névszerverhez egy IP-cím tartozik, még nem jelenti azt, hogy amögött egyetlen vas zakatolna, alighanem egy load balancer, azaz terheléselosztó, a valódi névfeloldásokat nyilván több gép végzi, legalábbis jó esetben. Arról nem is beszélve, hogy eleve névszerverből három szolgálja ki például a kormany.hu-t. Ugyan nem kizárt, hogy valóban nem terheléselosztó, hanem egy, ámde nagy teljesítményű szerver, ha így van, az több, mint kínos, mivel a komoly névszerverek hosztnevéhez ritkábban több IP-cím tartozik vagy csak egy tartozik ugyan, de az csak továbbpasszolja a tényleges feladatot a háttérben lévő gépeknek, amik már nem látszanak.

Képek: Wikipedia

0 Tovább

Bíróság védené a pedofilokat az FBI-tól?


pedofília gyermekpornográfia FBI DOJ bűnüldözés deep web TOR igazságügy jogÍzetlen áprilisi tréfának tűnik, de úgy fest, hogy sajnos nem az. Az elmúlt néhány hónapban az FBI saját fejlesztésű eszközkészlettel megoldotta, hogy azoknak a felhasználóknak a tevékenysége is követhető legyen, akik a világ legnagyobb deep web hálózatán, a TOR-on keresztül neteznek, döntő részben a TOR hordozható böngészőjében lévő sebezhetőségek kihasználását lehetővé tevő exploitok segítségével. Pontosabban nem néhány hónapja vált lehetővé, hanem most kapott ismét nagyobb visszhangot. Több ezer bűnözőt kapcsoltak le, többek közt több, mint ezer, pedofil tartalmakban nagytételben utazó jómadarat. Érdemes megtorpanni egy pillanatra és észrevenni, hogy ennek kapcsán még a legbigottabb picsogók sem problémáztak azon, hogy szegény pedofiloknak az FBI titkos információszerzésen keresztül megsértette a magántitok integritásához való jogát.

Sebezhetőségek minden szoftverrendszerben vannak, természetesen nagyon sok esetben nem ismertek, így nincsenek is kijavítva, ha pedig nincsenek kijavítva, akkor értelemszerűen azon keresztül a szoftver működése befolyásolható a már említett exploitok segítségével, ahogy tette ezt az FBI is többek közt pedó tartalmakat terítő és letöltő felhasználók azonosítására. A sebezhetőségeket az FBI nyilván nem hozza nyilvánosságra, hiszen ha befoltoznák ezeket a biztonsági réseket a TOR fejlesztői, értelemszerűen a későbbiekben nem lehetne nyomozati eszközként felhasználni.

Hogy-hogynem, egy bíró gondolt egyet, majd olyan határozatot hozott, amiben kvázi kötelezte az FBI-t arra, hogy adja ki az exploitokat – most figyeld! – azzal az indoklással, hogy jobban megérthessék ezeknek a működését. Vágod! Egy bíró! Amelyiknek egy-egy szakértő sokszor a tengeren túl is órákon keresztül magyarázza a legelemibb fogalmakat is, aztán ha a bíró nem érti, egyszerűen kiszedi a bizonyítékok közül, mert megteheti. Egyébként Magyarországon is élet-halál kérdés lehet, hogy az igazságügyi szakértő vagy akként eljáró szakértő tanú úgy adja elő a következtetéseit, hogy azt a bíró azonnal megértse, különben gyakorlatilag nem ér semmit az egész, ez pedig messze nem egyszerű feladat.

Szóval nekiment egy bíró az FBI-nak. Az USA viszont nem Magyarország, szerencsére: nem az van, amit a bíró mond és kész.

Az FBI megtámadta a bírósági határozatot a DOJ-nél ami kábé az ottani igazságügyi minisztériumnak felel meg, azzal az indoklással, hogy az FBI kötelességszegést követne el azzal, ha felfedné, hogy pontosan hogyan is fülelt le több ezer bűnözőt.

Akár az általános etika, akár a szakmai etikai, akár a normális ész azt diktálja, hogy az FBI csak nyertesen jöhet ki a történetből, hiszen ahogy írtam, a titkos adatszerzés eszközei többek közt attól titkosak – na meg hatékonyak – mert a bűnözők úgymond nem tudnak számolni vele. Viszont érdemes eljátszani azzal a hajmeresztő gondolattal, hogy az FBI mégis elbukja az esetet, ekkor viszont később esetlegesen minden hasonló bírósági eljárás során precedensként lehetne hivatkozni arra, hogy a nyomozó hatóság a titkos adatszerzés pontos módját köteles felfedni, ami aztán tényleg a nettó őrület lenne. Márpedig az USA-beli jogban jártas jogászok szerint még ez is simán előfordulhat egy olyan államban, ahol minden veszélyes baromsággal pert lehet nyerni, ami alól nem jelentenek kivételt a legkomolyabb kormányhivatalok sem. Néhány nevezetes eset:

  1. Charles Katz vs FBI,  
  2. Riley vs Kalifornia

IMHO ezért sem ítélhető el, hogy a Snowden-cirkusz előtt a legfőbb rendvédelmi szervek illetékesei, inkább a csillagokat is lehazudták az égről a titkos információgyűjtéssel kapcsolatos kérdésekben.

pedofília gyermekpornográfia FBI DOJ bűnüldözés deep web TOR igazságügy jog

Mire összeszedtem volna sztorit, beelőzött a thehackernews.com, de azért írom a lényeget.

Az USA Today egyik keménykötésű tényfeltáró újságírója még februárban twittelte, hogy Robert J. Bryan bíró nekiment az FBI-nak, a T. Bíróúr érvelése viszont finoman fogalmazva gyenge lábakon áll. Az üggyel összefügg, hogy az FBI lekapcsolt egy Jay Michaud nevű gyermekpornográfiában utazó pofát, viszont ahelyett, hogy a szervereket azonnal lekapcsolták volna, felkészült nyomozó hatósághoz illendő módon inkább hagyták még 1-2 hétig futni, hogy FBI megfigyelhesse azt, ami mondanom sem kell, valóságos aranybánya volt a nyomozóknak, hiszen továbbra is odajártak a pedofilok.

Az FBI egyébként a semmitmondó nevű NIT, azaz Network Investigative Technique eszközkészlet egy részét átadta Vlad Tsyrklevich malware-elemzőnek, aki nem tudta sem megerősíteni, sem cáfolni, hogy az eszközöket csak ebben az esetben használták – meglepően amatőr dolog lett volna az FBI részéről, ha ezzel kapcsolatban lehet rá következtetni, hiszen egy kifinomult eszközkészletről van szó. Kicsit olyan volt ez, mintha egy adott ügyben az ujjlenyomat felvételéhez használt titán-dioxid-kaolin-mixet adták volna oda valakinek, hogy állapítsa meg róla, hogy azzal kiktől vettek ujjlenyomatot.

pedofília gyermekpornográfia FBI DOJ bűnüldözés deep web TOR igazságügy jogAzt, hogy egy ilyen zavaros jogi hercehurcában még az FBI sem inthet be akárkinek, jól mutatja, hogy egyrészt még nekik kellett érvelniük azzal, hogy az exploitáláshoz szükséges kódok átadása nem elengedhetetlen a TOR-felhasználók kilétének felfedéséhez, másrészt hétfőn az FBI gyermekbántalmazásokkal foglalkozó részlegének egyik ügynöke a bíróhoz megküldött levélben magyarázta, hogy ezt talán azért mégsem kellene, a dokumentum egyébként itt érhető el aztán lesz, ami lesz.

Eközben Magyarországon. Az amerikai filmek nem túloznak sokat, amikor az amerikai bírót úgy mutatják be, mint olyan figurát, akinek van is szerepe az ítélkezésben, meg nincs is, aztán képesek agyamentebbnél agyamentebb ítéleteket hozni. Ami Magyarországot illeti, még mindig kicsit zavaros a helyzet, főleg az azzal kapcsolatos garanciák terén, hogy a bíró mit engedhet meg magának. Az, hogy a nyomozati módszereken, főleg a titkos adatszerzésen alapuló módszereken kevésbé pörögnek, sokkal inkább annak köszönhető, hogy a bíróságok egyébként is túlterheltek, a bírák meg sem értenék, hogy miről van szó, nem is érdekli őket, a legfontosabb pedig, hogy a magyar jogi berendezkedés miatt sem lenne érdekük ez. Megjegyzem, bizony előfordul, hogy valakit titkos információszerzésen keresztül fülel le a nyomozóhatóság, amit időben akkor kezdtek például egy füles alapján, amikor még jogilag nem lehetett volna, majd menet közben fundálják ki a nyomozók, hogy milyen bizonyítékokat mutatnak be a bírónak, aminek a beszerzése viszont már törvényes volt. Nem ritkán szembemenve a józan ésszel, Magyarországon csak törvényes úton beszerzett bizonyíték használható fel. Ebben a remek országban a bírósági szakaszban a vádhatóság, a vádlott vagy a védője ugyan hivatkozhat ugyan korábbi hasonló esetekre, mivel nincs precedensjog, értelme nincs túl sok.

Azaz hiába élünk elvben civilizált társadalomban, többé-kevésbé érett jogrendszerben, hiába lenne a jognak az egyik lényegi eleme a megszületése óta, hogy egy ügyet csak egyféleképp vagy legalábbis ne túl sokféleképpen lehessen megítélni, esetenként már-már bohózatba fordul, hogy az elsőfokon eljáró bíróság, a másodfokon eljáró bíróság és a Kúria milyen mértékben mond ellent egymásnak. Ennek értelmezése még a laikus számára sem lehet nagyon más, mint az, hogy a bírók máshogy értelmezik a törvényt – hacsak nem kerülnek elő időközben újabb bizonyítékok vagy nem derül ki valamilyen hiba a bizonyítási eljárásban.

Az erősségek és a gyengeségek például az emlegetett USA-beli jogrendszerben, Európában és Magyarországon mások és mások, ember legyen a talpán, aki objektív meg tudná ítélni, hogy jobb vagy rosszabb az egyik  a másiknál, ami viszont biztos, hogy sokszor az igazságszolgáltatás szimplán alkalmatlan a tényleges igazságtételre, és jó esetben meg nem élnek vissza vele.

Magyarországon tényleg az megy bírónak, aki a jogászok közt minden másra alkalmatlan volt? Eléggé elterjedt így gondolni, de nekem határozott álláspontom, hogy nem így van, veszélyes általánosítások egyike. Bírák közt is vannak, akik a jogbiztonság-törvényesség-normális ész hármas mentén járnak el, na meg olyanok is, akiknek gyakorlatilag mindez ismeretlen.

Megjegyzem, korábban sosem volt még olyan könnyű előcibálni, ha egy magyar bíró vagy ügyész esetleg szektatag, otthon sakálrészegen veri az asszonyt hétvégenként, rendszeresen kurvázik mindkét nem tagjaival vagy egyéb dologgal zsarolható, így nyomást lehet gyakorolni rá egy-egy esetben az ítélkezésben. Ahhoz képest, hogy mennyire könnyű felfedni az ilyeneket – akár egy OSINT téren eléggé jártas civilnek is, bármiféle törvény megsértése nélkül! – az ilyen igen ritkán kerül napvilágra. Ami pedig az FBI gyermekvédelmi osztályát baszogatni próbáló bírát illeti, ki tudja, hogy esetlegesen kitől mennyi pénzt kapott azért, hogy belecsapjon ebbe vagy éppenséggel mivel és kik zsarolták meg.

Most pedig egy kis szubjektív gondolatindító - én már korábban írtam róla, most az olvasón a sor, hogy eldöntse, a rendvédelmi feladatokat ellátó szervek hivatásos állományába tartozó rendőrökben, terrorelhárítókban, na meg hivatásos igazságügyi szakértőkben, szakértő tanukban bíznak jobban, akik ténylegesen képesen megvédeni a bűnözőktől és fenntartani a biztonságot vagy az igazságszolgáltatásban dolgozó jogászokban. Na ugye.

Képek: Wikipedia, infoamor.com

0 Tovább