About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (18),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),OSINT (7),Google (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),FUD (2),neuropszichológia (2),csalás (2),kulturális evolúció (2),TOR (2),Whatsapp (2),deep web (2),nyílt forrású információszerzés (2),tweak (2),titkosítás (2),Pécs (2),facebook (2),DKIM (2),hitelesítés (2),SPF (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),bűnügy (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),génterápia (2),bulvár (2),beszélgetés rögzítése (2),pszeudo-poszt (2),gépház (2),jövő (2),nyelvtudomány (2),tartalomszolgáltatás (2),molekuláris genetika (2),bolyai-díj 2015 (2),HR (2),Tinder (2),öröklődő betegség (2),sudo (2),bug (2),könyv (2),Yandex (2),meetup (2),iOS (2),netkultúra (2),Twitter (2),tanulás (2),malware (2),social engineering (2),IDC (2),cas9 (2),biológia (2),szociálpszichológia (2),vírus (2),hírszerzés (2),farmakológia (2),epic fail (2),kutatás (2),pedofília (2),fiziológia (2)

Verba volant, scripta manent - vagy mégsem


Amikor arról van szó, hogy két fél közt mennyire bizalmas a kommunikáció, akkor rendszerint nem veszik számba azt a rémesen egyszerű tényezőt, hogy hiába alkalmaz a feladó valamilyen aktuális überszuper paranoid levelezőrendszert, ha a címzett gagyi jelszavakat használ és rendszeresen lezáratlanul hagyja gépét és a mobilját.

Nincs mese, ilyenkor tényleg célszerű önmegsemmisítő üzenetet küldeni, amiből ide is dobok egy csokorral. Ezek némelyike nem csak az üzenet elolvasása után vagy egy megadott időpontban semmisíti meg a küldött üzenetet, hanem email értesítést is küld a feladónak arról, hogy az üzenetet a címzett elolvasta, többnél pedig ezen kívül jelszó is megadható a levél megnyitásához. Sőt, találunk olyan noteszalkalmazást is, amihez nemhogy regisztráció vagy felhasználói név nem szükséges, egyetlen szép hosszú jelszó elegendő.

https://ghostbin.com/

http://www.selfdestructingtextmessages.com/

https://www.thismessagewillselfdestruct.com/

http://oneshar.es/

http://www.destructingmessage.com/

https://quickforget.com/

https://gizlinot.net/

https://1ty.me/

https://cloakmy.org/

A legparanoidabb jegyzetelő, amit valaha is kitaláltak.

https://passphrase.io/

0 Tovább

Csalókergetőként átvertek a neten


Pontosabban csak majdnem. Ma végigfutottam a feedem, megnéztem a szaklapok és a pszeudo-szaklapok címoldalát, az egyiknél pedig megtorpantam egy kicsit. Szakasztott amerikai stílusban úgy reklámoztak csomagajánlatban egy IT-s oktatóanyagot, hogy belegondolva tényleg a tökéletes mosóporreklám korunkbeli analógjának is nevezhetném.

A lényeg: IT-területen különböző szépnevű szervezetek által kiadott, ágazatspecifikus certiket lehet szerezni sikeres vizsga letétele után, ami kábé lehetetlen, ha a vizsgához szükséges ebookokat vagy videós anyagot nem közvetlenül a vizsgáztató szervezettől veszed, ami eleve kerül valamennyibe. Minden szinten így van, függetlenül, attól, hogy "Senior Notepad Expert" vagy éppen "Certified Kódernincsdzsa Professinal" szeretne lenni. Amiről írok, csomagajánlatban volt, kicsit utánanéztem és eléggé gyorsan világossá vált, hogy miért annyira olcsó a csomagajánlat. Lényeg, hogy miután indítanak egy kurzust, utána van egy kifutási ideje, ameddig vizsgát lehet tenni belőle, ezek pedig azért eléggé közeli időpontok több kurzus esetén is ebben az esetben. Mindegy, gondoltam, ha másra nem, akkor LinkedIN-oldal cicomázásra majd jó lesz, aztán kattintottam a vásárlásra. Azért írom, hogy nagyon amerikai az egész, mert a tananyagokon kívül magáért a vizsgáért szintén vizsgadíjat kell fizetni, ami olyan 8-10-szerese a tananyag árának, de ha eléggé tempósan tanul valaki, akkor nem fut ki az időből, még akkor sem, ha több vizsgát tenne. /*az mindegy, hogy lifetime ajánlanak egy tananyagot, azaz akár egy könyv, megmarad, ha vizsgázni már nem lehet belőle sokáig, akkor gyorsnak kell lenni*/ Trükkösen ki van ez találva, nem?

Az adott lap átirányított a stackcommerce.com fizetésszolgáltatóhoz. Nos, normális ember hasonló esetben összeveti, hogy milyen nívójú lapról kattintott át, meg mondjuk több technikai tényezőt a fizetéskiszolgálóval kapcsolatban, már ha nem valamilyen nagyon ismertről, azaz például Paypal-ről van szó van szó. Ha ez megvolt, akkor meg lehet adni a bankkártyaadatokat a fizetéshez. A fizetés után pedig emailen érkezik az a link, amivel hozzáférhetünk ahhoz, amit rendeltünk.

Jelen esetben viszont egy büdös szóval nem írták előtte, hogy a tananyagok nem a patinás tanusítványkibocsátó szervezet oldalán vannak, hanem egy roppant kedves, Dél-amerikai ország domainjével végződő szájton. Belépés után olyan lassú volt az egész, mint egy reumás csiga, de legalább tényleg működik. Akkor minden klappol is, ugye? Hát annyira nem.

A lassúság mellett pokolian gyanus, ha éppen egy ilyen oldal egészen elképesztően rosszul teljesít például a Google vagy a Pingdom sebességtesztjén, ami minőségteszt is egyben.

Ha egy webhely pokolian lassú, de mondjuk nincs éppen DDoS-támadás alatt, akkor annak az okai két csoportba sorolhatóak: vagy maga a webhely lett arcpirító bénasággal összegányolva vagy az alatta lévő infrastruktúra, azaz hoszting szolgáltatónál akarta megoldani jóárasítva' az üzemeltető a dolgot. Egyik sem valami bizalomgerjesztő, jelen esetben a kezdőlap értelmetlenül nagy, több, mint több MB-s mérete lassítja meg a nyitólapot.

Ez eddig még mindig nem lenne annyira paráztató, hiszen naivan gondolhatjuk, hogy hejj, majd helyreteszi a webmester. Ami viszont már roppant gyanus, ha egy vagy több domainbróker oldalon az oldal domainjét eladásra kínálják! Ha valakinek nincs meg, a domainbrókeri tevékenység aztán tényleg a netes kereskedés mocska. Alapesetben arról szól, hogy valaki lefoglal egy domain nevet, amiről feltételezi, az majd kelleni fog előbb-utóbb egy azonos nevű szervezetnek, ilyenkor pedig a józan ész szerint névhasználatra jogosult szervezetnek nem a regisztrátornál kell fizetnie, hanem a domain tulajdonosánál, kitaláltad - annyit, amennyit az kér érte. Ezen a Wikipedia-linken lehet rajta szörnyülködni, hogy mik voltak a net történetének a legdrágábban visszavásárolt domainnevei.

Lényeg, hogy ha kihúzzák egy webhely alól a nevét, akkor aztán nem lesz nagyon hova kattintgatni, ez eléggé világos. Meg az is, hogy nem szoktak viccből vagy véletlenül eladásra meghirdetni egy domain nevet, ahhoz általában az eladónak valamelyik tetű domainbróker szolgáltatónak kell fizetni, mint amilyen a SeDo.

Persze, vannak oldalak, amik a címoldalon hirdetik, hogy valójában eladó az alattuk lévő domain, ennek a típusú internetes csalásnak egy sokkal gyakoribb formája, hogy az oldalon tényleg van valamilyen tartalom vagy szolgáltatás, amíg nem jön valaki, aki olyan árat kínál az adott névért, amennyiért a domain tulajdonosa már a fél családját is eladná kilóra...

Azaz lényegi szempontból nem vertek át _még_ mivel tényleg tudom használni, amiért fizettem, igaz, igencsak fapados módon, de lényeg, hogy még elérhető tartalomról van szó. De éppenséggel megtörténhetett volna az is, hogy teljesen más vagy elévült tartalmakhoz kapok hozzáférést, a fizetést követően pedig istenigazából senki sem hibáztatható, ha valamelyik játékos mégis, akkor az az idióta IT biztonsági szakportál, amelyik anélkül ajánlotta az egészet külön cikkben, hogy egyáltalán egyvalaki kipróbálta volna.

Közhelyes, de az internetes csalások egyidősek az internettel, aztán van, aki veszélyeztetettebb és van, aki kevésbé, a fraud preventionre pedig ugyancsak teljes üzletág épült. Egy kicsit át lettem verve, de tényleg olyan bagó összeget fizettem netes vásárláshoz használt kártyával, amitől azért éhen halni nem fogok. Ja, ha már szóba hoztam az internetes csalásokat, azok felderítését, na, ezzel is fogok foglalkozni a legközelebbi, ebben a formában legelső, neten is követhető kurzusomon, ami persze nem csak a csalókergetők számára lehet érdekes, hanem mindenkinek, aki szeretne a neten és az offline térben sokkal gyorsabban információt kinyerni, összefüggéseket feltárni a versenytársaihoz képest. A kurzus egyébként utólag is visszanézhető videón, kérdezni pedig lehet minden mennyiségben közben és utána is. A terjedelme beugró szintű, de a nívója annál komolyabb, jelentkezni erre lehet. #gyertekjólesz

fotó innen: Techsherpas, ITnext, Hostingtalk

0 Tovább

Triviálisan lehallgatható a Gmail (is)


Igen, jól olvasod, ennyire ügyesen sikerült implementálni a kétlépcsős hitelesítést és valószínűtlen, hogy elsőként vettem észre.

Nem clickbait, azzal kapcsolatban meg mindenkit megnyugtatok, hogy nem arról fogok írni már megint, hogy miért necc az, hogy egy Google/Gmail-heroinista világban élünk.

Aki bekapcsolta a Google Accountján ennek a remek, überbiztonságos rendszernek a beállításai közt a kétlépcsős hitelesítést annak ugye ún. alkalmazásjelszavakat kell létrehoznia, ha például levelezőklienssel is használná a Gmail-t, mivel értelemszerűen a kliensprogram nem tudja pár percenként elvégezni a 2-FA-t magától.

Elvben az alkalmazásjelszavakban pont az a szép, hogy nem kell a felhasználónak fejben tartania, így egyszer kell kopipésztelni a megfelelő helyre és kész, kilopni legfeljebb egy hülyén programozott alkalmazásból lehet, amiben meg lett adva.

Na már most normális ésszel az ember azt gondolná, hogy abban az esetben, ha a felhasználó a 2-FA-t kikapcsolja, akkor az összes alkalmazásjelszó semmissé válik, így például a levelezőkliesen keresztül a levelek csak a fő jelszó beírásával lesznek elérhetőek. Van egy nagyon szar hírem a Google fanoknak: a korábban létrehozott alkalmazásjelszavak nemhogy érvényüket vesztenék, hanem továbbra biztosítják a hozzáférést a fiók adott szolgáltatásához, legalábbis az IMAP4 esetén biztos, Google Drive és a többi esetén valószínűleg, a hasonló  azonosítási séma miatt. Nem, nem ideig-óráig működik, egy érintett fiók több, mint egy hónapja elérhető az elvben már nem létező alkalmazásjelszó használatával úgy - most figyelj! - hogy a fiók fő jelszava is meg lett változtatva. Még az is full mindegy, hogy OAuth2-vel vagy sima, ugyan titkosított csatornán átküldött jelszóval jelentkezik fel a kukkoló alkalmazás!

Mit jelent ez a gyakorlatban? Tételezzük fel, hogy a támadó a célpont gépéhez ül, amíg nincs ott, majd generál egy alkalmazásjelszót olyan névvel, ami még akkor sem lesz feltűnő, ha a Google kényszeríti az érintett felhasználót a security checkup végigjátszására, az app password leírása lehet mondjuk "Gmail", "Mail", "iPhone" vagy hasonló, a megtámadott felhasználónak miért lenne gyanus? A támadó az alkalmazásjelszót feljegyzi. Az alkalmazásjelszóval a támadó belép egy levelezőklienssel, majd IMAP4-en keresztül tokkal-vonóval olvashatja a célpont postafiókjának tartalmát. A Google vagy küld figyelmeztetést az érintett felhasználónak, hogy bejelentkezett valaki mondjuk egy japán VPN-en keresztül, ami igencsak anomáliaszerű, ha a felhasználó sosem használ VPN-t és korábban még csak nem is járt Japánban. Viszont vegyük észre, hogy éppen azért, mert levelezésről van szó, a támadó ezt a levelet simán tudja törölni, mielőtt a felhasználó el tudná olvasni a biztonsági figyelmeztetést!

Tehát ha a felhasználó valamilyen okból kikapcsolja a 2-FA-t, de előtte nem vonja vissza az alkalmazásjelszavak érvényességét, teljesen logikusan arra gondolva, hogy azok ilyen módon érvényüket vesztik, valójában erről szó sincs. Egy korábban beállítva maradt fiókhoz a levelezőprogram úgy fér hozzá máig, hogy az érintett fiókon a 2-FA-t 2018. február elején ki lett kapcsolva, a fő jelszó pedig át lett írva!

A támadó vagy úgy felejtett alkalmazás csak akkor veszti el a hozzáférést az érintett postafiókjához, ha az érintett fiók tulajdonosa ismét bekapcsolja a 2-FA-t, egyébként meg gusztus szerint úgy tesztelheti a hibát, rosszabb esetben pedig kukkolhat, ahogy csak akar.

Az abnormális működést 2018. március 5-én, azaz ma 10:13-kor sikerült reprodukálni egy teszt fiókkal, ugyan nem csináltam sem TCPdumpot, sem HAR-t, mert jobb dolgom is van, aki ráér, annak szabad a pálya.

Hogy ez most bug vagy kényelmi feature,  na, azt nem tudom, ahogy azt sem teszteltem, hogy a Google mára kőkeményen fizetős, vállalati verziója, a G Suite is érintett-e benne, de valószínűleg igen.

Legegyszerűbb bugfix: ne használd azt a szart, legfeljebb spamszűrésre, azaz olyan beállítással, hogy a beérkező leveleket azonnal forwardolja is normális helyre és végleg törölje.

Áldásos lenne, ha ahelyett, hogy a felhasználók leginkább veszélyeztetett néhány ezrelékét nem riogatnák azzal, hogy kormányzati támadást észleltek, ezért változtassanak jelszót és költözzenek le a pincébe, bármiféle indoklás nélkül, hogy miből következtetett erre a rendszer.

Valamint a felhasználók ugyanezen veszélyeztetett csoportjára nem akarnák rátukmálni pusztán a biztonságérzetet növelő, de legalább jó drága baromságokat az Advanced Protection Program keretében, hanem a mezei Gmail-fiók úgy működne, ahogy az amúgy logikusan elvárható. Az én, eredetileg még googlemail.com végződéssel, 2004-2005. körül USA-ból kapott meghívóval létrehozott fiókom pedig csak azért is marad amolyan bóvli kis emlékként.

0 Tovább