Szolgáltató adatai Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

Triviálisan lehallgatható a Gmail (is)


Igen, jól olvasod, ennyire ügyesen sikerült implementálni a kétlépcsős hitelesítést és valószínűtlen, hogy elsőként vettem észre.

Nem clickbait, azzal kapcsolatban meg mindenkit megnyugtatok, hogy nem arról fogok írni már megint, hogy miért necc az, hogy egy Google/Gmail-heroinista világban élünk.

Aki bekapcsolta a Google Accountján ennek a remek, überbiztonságos rendszernek a beállításai közt a kétlépcsős hitelesítést annak ugye ún. alkalmazásjelszavakat kell létrehoznia, ha például levelezőklienssel is használná a Gmail-t, mivel értelemszerűen a kliensprogram nem tudja pár percenként elvégezni a 2-FA-t magától.

Elvben az alkalmazásjelszavakban pont az a szép, hogy nem kell a felhasználónak fejben tartania, így egyszer kell kopipésztelni a megfelelő helyre és kész, kilopni legfeljebb egy hülyén programozott alkalmazásból lehet, amiben meg lett adva.

Na már most normális ésszel az ember azt gondolná, hogy abban az esetben, ha a felhasználó a 2-FA-t kikapcsolja, akkor az összes alkalmazásjelszó semmissé válik, így például a levelezőkliesen keresztül a levelek csak a fő jelszó beírásával lesznek elérhetőek. Van egy nagyon szar hírem a Google fanoknak: a korábban létrehozott alkalmazásjelszavak nemhogy érvényüket vesztenék, hanem továbbra biztosítják a hozzáférést a fiók adott szolgáltatásához, legalábbis az IMAP4 esetén biztos, Google Drive és a többi esetén valószínűleg, a hasonló  azonosítási séma miatt. Nem, nem ideig-óráig működik, egy érintett fiók több, mint egy hónapja elérhető az elvben már nem létező alkalmazásjelszó használatával úgy - most figyelj! - hogy a fiók fő jelszava is meg lett változtatva. Még az is full mindegy, hogy OAuth2-vel vagy sima, ugyan titkosított csatornán átküldött jelszóval jelentkezik fel a kukkoló alkalmazás!

Mit jelent ez a gyakorlatban? Tételezzük fel, hogy a támadó a célpont gépéhez ül, amíg nincs ott, majd generál egy alkalmazásjelszót olyan névvel, ami még akkor sem lesz feltűnő, ha a Google kényszeríti az érintett felhasználót a security checkup végigjátszására, az app password leírása lehet mondjuk "Gmail", "Mail", "iPhone" vagy hasonló, a megtámadott felhasználónak miért lenne gyanus? A támadó az alkalmazásjelszót feljegyzi. Az alkalmazásjelszóval a támadó belép egy levelezőklienssel, majd IMAP4-en keresztül tokkal-vonóval olvashatja a célpont postafiókjának tartalmát. A Google vagy küld figyelmeztetést az érintett felhasználónak, hogy bejelentkezett valaki mondjuk egy japán VPN-en keresztül, ami igencsak anomáliaszerű, ha a felhasználó sosem használ VPN-t és korábban még csak nem is járt Japánban. Viszont vegyük észre, hogy éppen azért, mert levelezésről van szó, a támadó ezt a levelet simán tudja törölni, mielőtt a felhasználó el tudná olvasni a biztonsági figyelmeztetést!

Tehát ha a felhasználó valamilyen okból kikapcsolja a 2-FA-t, de előtte nem vonja vissza az alkalmazásjelszavak érvényességét, teljesen logikusan arra gondolva, hogy azok ilyen módon érvényüket vesztik, valójában erről szó sincs. Egy korábban beállítva maradt fiókhoz a levelezőprogram úgy fér hozzá máig, hogy az érintett fiókon a 2-FA-t 2018. február elején ki lett kapcsolva, a fő jelszó pedig át lett írva!

A támadó vagy úgy felejtett alkalmazás csak akkor veszti el a hozzáférést az érintett postafiókjához, ha az érintett fiók tulajdonosa ismét bekapcsolja a 2-FA-t, egyébként meg gusztus szerint úgy tesztelheti a hibát, rosszabb esetben pedig kukkolhat, ahogy csak akar.

Az abnormális működést 2018. március 5-én, azaz ma 10:13-kor sikerült reprodukálni egy teszt fiókkal, ugyan nem csináltam sem TCPdumpot, sem HAR-t, mert jobb dolgom is van, aki ráér, annak szabad a pálya.

Hogy ez most bug vagy kényelmi feature,  na, azt nem tudom, ahogy azt sem teszteltem, hogy a Google mára kőkeményen fizetős, vállalati verziója, a G Suite is érintett-e benne, de valószínűleg igen.

Legegyszerűbb bugfix: ne használd azt a szart, legfeljebb spamszűrésre, azaz olyan beállítással, hogy a beérkező leveleket azonnal forwardolja is normális helyre és végleg törölje.

Áldásos lenne, ha ahelyett, hogy a felhasználók leginkább veszélyeztetett néhány ezrelékét nem riogatnák azzal, hogy kormányzati támadást észleltek, ezért változtassanak jelszót és költözzenek le a pincébe, bármiféle indoklás nélkül, hogy miből következtetett erre a rendszer.

Valamint a felhasználók ugyanezen veszélyeztetett csoportjára nem akarnák rátukmálni pusztán a biztonságérzetet növelő, de legalább jó drága baromságokat az Advanced Protection Program keretében, hanem a mezei Gmail-fiók úgy működne, ahogy az amúgy logikusan elvárható. Az én, eredetileg még googlemail.com végződéssel, 2004-2005. körül USA-ból kapott meghívóval létrehozott fiókom pedig csak azért is marad amolyan bóvli kis emlékként.

0 Tovább

A webkettővel mindenki ráfarag egyszer, csak máshogy


social media webkettő Facebook Google bugAmikor valamilyen témában írok, igyekszek úgy bemutatni egy jelenséget, témát, problémát, ahogy más korábban még nem tette vagy nem megfelelő mélységben – na, ezt hívják értékteremtésnek, aminek manapság annyira nincs megbecsülése, hogy az már-már fáj.

Ha egy webes szolgáltatásban egy ritkán jelentkező problémáról van szó, rendszerint persze a Magyarországon valamilyen perverzió folytán social media szakértőnek nevezett arcok, fél fokkal jobb esetben meg olyanok írnak, akik mondjuk advanced userként valamivel jobban értenek hozzá, persze behatóan sosem vizsgáltak egy-egy szolgáltatást sem, nemhogy fejlesztettek volna rá. A privacy-szakikat, akik rájönnek, hogy jééé, a közösségi web tényleg közösségi, inkább most hagyjuk, mert azzal tényleg ki lehet kergetni a világból.

Azt mondom, hogy a webkettővel mindenki tökön szúrja magát egyszer, jobban vagy kevésbé, a kérdés csak az, hogy előbb vagy később. Nos, velem most éppen ez történt.

Az ős-facebook-fiókom meglehetősen egyedi módon volt beállítva, például egyáltalán nem lehetett ismerősnek jelölni. Mindezt sok-sok évvel ezelőtt úgy oldottam meg, hogy a Who can contact me?/Who can send you friend requests? beállítást nem webes felületen vagy appon keresztül állítottam be, hanem olyan módon, hogy létrehoztam egy eleve ismerősökből képzett listát, majd a kliensoldali kódot olyan módon módosítottam valamint a beállítást végző paramétert úgy küldtem újra a szerver felé, hogy az alapértelmezés szerint választható lehetőségek mellett választható legyen az is, azaz ami nem jelenik meg a legördülő menüben. Vegyük észre, hogy logikailag értelmetlen az, hogy csak olyan jelölhet ismerősnek, aki már eleve ismerősöm – mivel nem tud – ezzel együtt viszont senki más, ami egy roppant komfortos megoldás, akit érdekelnek a tartalmaim, arra ott a Follow gomb, szinte dettó ugyanazt láthatják a követők, amit az ismerősök.

social media webkettő Facebook Google bug

Egy rossz mozdulattal múltkor mobilon lenyitottam a szóban forgó beállítást, egy félrekattintásnak hála, már tényleg csak az Everyone és a Friends of friends lehetőség választható. Gondoltam, semmi gond, megmókolom ismét. Igen ám, csakhogy az elmúlt néhány évben már jópárszor újraírták az egészet, anélkül, hogy belemennék a részletekbe, a Facebook – alapvetően helyesen – szerveroldalon is ellenőrzi, hogy olyan paramétert kapott-e, amit alapvetően választhat a felhasználó. /*Erről a műértők általánosságban erre tudhatnak meg többet. */ Az eredmény: nem sikerült visszaállítani az eredeti állapotot, ahhoz pedig nagyon keményen, az egész accountot kockáztatva kellene nekimenni a Facebooknak, hogy ismét beállítható legyen a már nem engedélyezett beállítás megadása, ami ráadásul amellett, hogy sejthetően több nap meló lenne, sanszos, hogy végül nem is sikerülne.

social media webkettő Facebook Google bug

Ami ez után következett, ha nem is tűnik elsőre annak, egy kisebb rémálom! A profilom sok-sok felhasználónál jelent meg mint friend suggest, azaz ismerősajánló, olyan felhasználóknál, akik nem ismerősök, de ezer évvel korábban üzenetet váltottam velük, a saját accountomon keresztül rájuk kerestem valamilyen módon vagy idióta módon a saját accountomon keresztül végeztem lekérdezést velük, gyakrabban valamilyen tartalmukkal kapcsolatban. Ezen kívül többminden full máshogy kezdett működni.

Mindezt a nagy kapkodásban sikerült megfejelni egy még komolyabb hibával, ami miatt a Facebook most a születési évemet 2003-nak látja. Mindez könnyen kiküszöbölhetőnek tűnik, hiszen elvben "csak" át kell állítani a születési évet, nem? Elvileg igen, gyakorlatilag pedig a hivatalos súgó szerint vagy megváltoztatható vagy sem, ha pedig igen, akkor várni kell néhány napot, de azt nem tisztázza a súgó, hogy mennyit is.

A felhasználási feltételek szerint 13 vagy 15 éves kortól használható a FB, gyakorlatilag pedig nagyon nem mindegy, hogy a felhasználó elmúlt-e 18, megint más államokban 21 éves. Hogy mennyire nem mindegy, arra íme néhány példa:
- 18 éves kor alatt konkrétan nem engedélyezhető a keresőmotoroknak, hogy indexeljék az adatlapot, mi több, ha valaki facebookos azonosításra alapuló szolgáltatással posztolt valahol a neten - ilyen például a mindenki számára ismert kommentbox - az könnyen lehet, hogy egyszerűen el fog tűnni vagy hibásan jelenik meg
- konkrétan hiába van az beállítva, hogy milyen kontakt adatok látszódjanak az adatlapon, az gyakorlatilag a "kiskorú védelme érdekében" totál üres lesz!
- a Follow gomb konkrétan eltűnik, azaz nem lehet követésre jelölni és a meglévő követőket sem mutatja a Kéktakony
- egyszerűen nem lehet Publicba posztolni egy cizellált beállítás megadása nélkül

social media webkettő Facebook Google bug

És még van néhány hasonló totál idióta korlátozás, amit mondjuk alig érinti azt, aki teljesen magán célra használja a Facebookot, viszont aki éppenhogy azt használná ki, hogy követni tudják azok, akiket érdekelnek a tartalmai, túlzás nélkül maga a rémálom, de nem csak ezért! Ha kapcsolódott hozzá fejlesztői account, amihez tartoznak éles alkalmazások, azok is okozhat izgalmas pillanatokat.

Korábban már írtam, hogy számos más szolgáltatásba lehet regisztrálni egyszerűen Google-, Facebook- vagy Microsoft-fiókkal történő belépéssel azért, hogy a felhasználónak ne kelljen plusz egy felhasználói nevet és jelszót megjegyeznie. Soha, na még egyszer: SOHA ne használjuk elsődlegesen ezt a lehetőséget, mindig email címmel és jelszóval regisztráljunk! Ugyanis ha valaki például az Instagram vagy Flipboard-fiókját a FB-fiókjával hozta létre, majd bármilyen okból a FB-fiók elérhetetlen lesz, esetleg a felhasználó megfeledkezik róla, hogy mennyi helyen regisztrált más szolgáltatásfiókkal, majd törli a Google/Facebook/Microsoft accountját, az a szolgáltatás, amibe ezeken keresztül lépett be, végérvényesen elérhetetlen lesz, a hozzáférést visszaszerezni pedig körülbelül egyenlő a lehetetlennel!

Ehhez még adjuk hozzá azt is, hogy az összes webes óriás fenntartja magának a jogot, hogy gyakorlatilag érdemi indoklás nélkül végleg kizárjon egy felhasználót a szolgáltatásból, jegelje vagy teljesen törölje a fiókot. Ez a gyakorlatban annyit jelent, hogy ha valakire rászáll mondjuk 100-200 troll, akiket akár bagóért fel is lehet bérelni a feketepiacon, majd azok az áldozat profilját jelentik például azzal, hogy pedó tartalmakat terít, spammel vagy nem valódi felhasználó, a Facebook "Level 1" supportja - ahogyan ez a kerek perec benne van a hivatalos súgóban is - nem köteles és nem is fogja vizsgálni a bejelentések valóságtartalmát, hanem ahogy az nekik idiotizmusig rigid forgatókönyv szerint elő van írva, már töröl is. Ennyire könnyen kicsinálható egy webkettes account vagy oldal, hangsúlyozom, bármiféle technikai hozzáértés nélkül! Egy szó, mint száz, amellett, hogy készítsünk rendszeresen biztonsági másolatot a fiókunkról, ne támaszkodjunk nagyon egy közösségi webes szolgáltatásra sem! Praktikusan én még a bankkártyáim egyikét is berögzítettem a Facebook fizetési rendszerében, évekkel korábban költöttem is, ugyan nem túl sokat, de még ez is mellékes. Tudok olyan felhasználóról, akinek szintén berögzítettük a bankkártyája adatait, azaz a visszaigazoltan valódi bankkártyára írt név azonos volt azzal a névvel, amilyen névvel regisztrált a felhasználó a szolgáltatásba, a fiókot mégis sikerült valakiknek jegeltetniük.

Visszatérve az életkorra: használok néhány szolgáltatást, ahol nem kimondottan felnőtt tartalmak jelennek meg, viszont nem zárható ki, hogy felnőtt tartalmak is megjelenjenek valamilyen módon vagy törvényi korlátozás miatta a szolgáltatásnak 18 éves korhoz kell kötnie a használatát, ráadásul nemhogy támaszkodik a Facebook-fiókra, hanem kizárólag azzal használható! Ilyen például mindenki kedvenc kurvázós/romantikázós/ismerkedős - kinek mi - alkalmazása, a Tinder. A Tinder pedig szépen ellenőrzi a FB-account alapján minden új munkamenetnél [tipikusan amikor elindítja a felhasználó], hogy az valóban elmúlt-e a 18 és igen, kitaláltad, a FB-account alapján... Ha azt látja, hogy nem, már ki is zártad magad az alkalmazásból, sok-sok száz match és levél pedig nemes egyszerűen hozzáférhetetlenné válik.

Ami pedig az oldalakat illeti, ne gondoljuk, hogy a nagy, jelentős támogatást, na meg felhasználói aktivitást élvező oldalak biztonságban vannak! Ezzel kapcsolatban két emlékezetes eset jut eszembe.

Az egyik, amikor a Csonti car szórakoztató oldalt ismeretlenek elérhetetlenné tették, majd egy tanácsadással foglalkozó cég felajánlotta, hogy segít az oldal tulajdonosának visszaállítani az eredeti oldalt, a közben megjelenő kamu oldalakat pedig eltüntetni, nem mellékesen milliós nagyságrendű munkadíj mellett. Szemben azzal, amit a Pestisrácok kapcsolódó cikke sugall, alighanem sosem tudjuk meg, hogy valójában az történt, hogy hozzáértő szakik elérhetetlenné tették az oldalt, majd ugyanők jelentkeztek a tulajdonosnál, hogy visszaállítják nem kevés pénzért vagy arról van szó, hogy valaki megfúrta az oldalt, majd egy tanácsadó cég valóban felajánlotta helyreállítást, csak annyira idióta módon és olyan egybeesésekkel, ami miatt rájuk terelődött annak a gyanuja, hogy ők maguk tették elérhetetlenné azt.

A másik, sokak által ismert történet, amiben a Tomcat-féle Tolvajkergetők oldala vált elérhetetlenné. Magánvéleményem persze van róla, de abba most tényleg ne folyjunk bele, hogy a Tolvajkergetők szellemisége, módszerei és egyáltalán úgy az egész, káros vagy éppen kimondottan ígéretes kezdeményezés volt, mert nem ez a lényeg. Ami viszont tény, hogy a Tolvajkergetők támogatottsága hatalmas volt. Mégis rendszeresen jegelték, ismét feltámasztották néhányszor, végül teljesen elérhetetlen lett és támogatottság ide vagy oda, semmilyen módon nem tudták elérni, hogy ismét elérhető legyen, pedig Tomcat meg sem állt Dublinig anno az ügy érdekében. 

Korábban már írtam róla, hogy bárki bármit is mond, senki sem tudja pontosan, hogy egy-egy webes óriás egy bejelentést milyen protokollt követve vizsgál ki, aki azt mondja, hogy biztosan meg tud oldani ezt vagy azt, az szimplán hazudik vagy hülye. Ugyanakkor én magam is ismerek rejtett módszereket, ahogy olyan cégeket is, akik, ha akarnak, alaposan bele tudnak nyúlni abba, hogy hogyan a Facebookon mi jelenjen meg, terjedjen el vagy gyakorlatilag ne jelenjen meg senkinél, ahogy azt is, hogy hogyan érdemes eljárni, olyan esetben, amikor valakinek akár a fiókját, akár az oldalát akár valamilyen ellenérdekelt fél, akár trollok megfúrták és helyre kellene állítani. Az ilyen viszont tényleg nem olcsó dolog és ami nagyon fontos, hogy a siker sosem garantálható száz százalékosan.

Ebben látom az egyik fő problémát, akármilyen óriásszolgáltatásról van szó. Hogy nem következetesek és még a harceddzettebb felhasználók sem lehetnek benne biztosak, hogy a beállításoknak megfelelően működik minden. Például a Gmail 7 GB-os tárhelyet ígér, valójában viszont egy tesztben kiderült, hogy átlagos levélmérettel számolva alig több 1-2 GB-nál, mivel durván összesen 30.000 levél normális felindexelésére képes a Google levelezőszolgáltatása, azaz bizonyos levelek nem kerülnek a belső indexbe, nem kereshetőek, legalábbis a webes felületen, ennek megfelelően, mintha nem is léteznének. Gmailt mondjuk nem használok, a többire meg mondhatja a laikus azt, hogy nem kötelező használni, anélkül, hogy még egyszer levezetném, egy szolgáltatás igenis nőhet akkorára, hogy a mindennapi életben, információszerzésben, emberi kapcsolatok fenntartásában megkerülhetetlen lesz. Arról pedig ugyancsak írtak sokan, sokféle nívójú cikket, hogy többször is gondoljuk meg, hogy kiket veszünk fel ismerősnek, miket lájkolgatunk, ugyanis a hétpecsétes titokként védett algó, ami eldönti, hogy mi kerüljön a falunkra, mit lássunk, kihat az önképünkre, mivel akaratlanul másokhoz hasonlítgatjuk magunkat, arra, hogy hogyan gondolkozzunk, sejthetően egyéni különbségekkel ugyan, de még a normáinkra is. Mindegy, hogy Facebook vagy LinkedIN, mindkettőn jóideje elburjánzott a szar, de az már más téma.

0 Tovább

Paráztat a Google, de nem mondja meg, hogy miért


Google G Suite megmagyarázhatatlan megmagyarazhatatlan ITsecVolt itt már szó arról, hogy nem a legbölcsebb dolog egy olyan cég infrastruktúrájára támaszkodni és ott tárolni minden felhasználói adatot, ami egyrészt elad kilóra, másrészt a közvélemény úgy tudja róla, hogy bizony a Google azért nem ad ki adatot csak úgy holmi hatósági megkeresésre sem, ahhoz Kaliforniáig vagy ha addig nem is, írországig kell menni jogsegélyért, ott meg úgyis beintenek az adatigénylőnek. Múltkor valamelyik magyar lap, amelyiknek a DNS-adatai alapján gondolom nem csak a teljes levelezését, hanem a többi – pl. Drive – szolgáltatását is a Google vállalati verziója, a G Suite, leánykori nevén Google Apps viszi, arról cikkezett, hogy muhaha, mennyi magyar adatigénylést utasított el a Google, ami amúgy itt tekinthető meg.

A hamis biztonságérzetnél pedig nem sok rosszabb van. Merthogy ha valaki nagyon akar, semmi szüksége rá, hogy a Google-höz intézzen adatkérést egy magyar Google felhasználóval kapcsolatban.

Egy kis ismétlés: arról már írtam, hogy ahhoz, hogy a Google Magyarországon elfogadható sebességgel tudjon szolgáltatni – pláne nagy adatforgalmat generáló tartalmakat [Drive, Youtube] – nincs mese, hazai ún. peering vonalakra van szüksége az adatok előtöltéséhez, ami – most figyeld! – nagyobb sávszélességű, mint a Magyar Telekom és a UPC együttvéve a maga laza 60 gbps-es sávszélességével. Az előtöltéshez persze nem csak külföldi irányból fogadni kell az ésszel felfoghatatlan mennyiségű adatot, hanem nyilván Magyarország területén tárolni is.  Ezt ún. CDN-szolgáltatókkal megállapodva teszi, aminek a lényege, hogy olyan, mintha a Google belföldről szolgáltatna, ugyan már nem vagyok annyira biztos benne, hogy ezek a CDN-kiszolgálói adatparkok hol vannak helyileg, a lényeg viszont, hogy ha magyar felhasználó adatát lopná valaki, nyilván csak a megfelelő szerverhotelt kellene megkörnyékeznie.

Ha még mindig nem világos, hogy ez miért elengedhetetlen, plusz egy kis magyarázat. A netes piacon ha valami brutálisan drága, többet közt az adatátvitel, így ha valaki feltölt egy videóklipet Kanadában a Youtube-ra és azt Magyarországon valaki megnézi, Magyarországra elő is töltődik a tartalom és a többi magyar nézőt már eleve helyből szolgálják ki, nem rohadt drágán transzatlanti kapcsolaton keresztül. Ez nem tűnik annyira parának, viszont az már sokkal inkább az, hogy ha a rendszer azt látja, hogy a leveleid és a Drive-ra töltött fájljaid rendszerint Magyarország területén nézed meg, azoknak is minimum egy példánya itt fog tanyázni. Na most innentől kezdve, hangsúlyozom, technikai szempontból nem sokkal bonyolultabb hozzáférni az elvben Google-által kezelt adathoz, mint egy Magyarországon hosztolt szerver tartalmához, az más kérdés, hogy mit mond a törvény bötűje.

Ahogy korábban már szintén írtam, annyira azért hardeningelt a rendszer, hogy az átlag felhasználót megvédjék a saját hülyeségétől, jelszólopásoktól, primitívebb támadásoktól. Azaz ha például valaki rendszerint Budapestről nézi meg a leveleit, majd fél órával az utolsó belépést követően mondjuk Párizsból lépne be, helyes felhasználói név-jelszó párossal, a rendszer joggal gyanakodhat jelszólopásra a szokatlan aktivitás miatt. A rendszer sikongat, SMS-t küld a felhasználónak plusz tokennel, amit meg kell adnia a jelszó mellett, megkérdezi a másodlagos email-címet vagy hasonló olyan adattal próbálja azonosítani a felhasználót, amit elvileg csak az account tulajdonosa tudhat, ha pedig már nagyon nagy gáz van, lezárja az egészet bekér egy személyi igazolvány scant és 1-3 USD-t, amit olyan bankkártyával kell kifizetni, aminél a bankkártyatulajdonos neve az a név, ami a Google-nél meg van adva, de ez eltarthat pár napig.

Ez az egység sugarú felhasználót megvédi mondjuk a közönséges jelszólopásos támadásoktól.

Na de mi a helyzet kifinomultabb támadás esetén? Elvben már 2012 óta a rendszer azonosítja a kormányzati eredetű támadásokat a tragikus csak az az egészben, hogy egy figyelmeztetésen kívül a felhasználó semmilyen további információt nem kap!

2005-ben, amikor gyakorlatilag csak USA-ban élő ismerőstől érkező meghívóval lehetett regisztrálni a Gmail-re, ilyen módon übermenőnek számított, regisztráltam én is, nem olyan rohadt nehéz kitalálni, hogy milyen azonosítóval. Aztán ugye a többi Google-szolgáltatást is ehhez kapcsolták hozzá, gyakorlatilag innentől van értelme arról beszélni, hogy Google Account.

 Google-szolgáltatásokat már évek óta nem használnék, ha nem lenne nagyon muszáj:
-    webanalitikára ingyenes eszközök közül a Google Analytics megfelel
-    a zene a Youtuberól megy
-    keresőbarátabbá válik az a tartalom, amit a Google Plus-ban megosztok a nevemmel
-    rám lehet írni Hangouts-on, rendszerint annyit válaszolok, hogy írjon bárhol máshol : )
-    Translate
-    spam-előszűrés G Suite-tel

Hirtelen ennyi jut eszembe. Erre ma mi jön szembe Translate használat közben? Inkább mutatom:

Google G Suite megmagyarázhatatlan megmagyarazhatatlan ITsec

Nem, nem adathalász oldal volt, kattintottam is a Secure my account gombra, mire kijön ez:

Google G Suite megmagyarázhatatlan megmagyarazhatatlan ITsec

Szóval minden fasza, oszoljanak, nincs itt semmi látnivaló. Mondjuk még meg lehet nézni egy semmitmondó support oldalt, de belépve a Google Security dashboardjára, már ha lehet annak nevezni ezt a szart, ami az átlag felhasználók számára biztos igen hasznos, semmi, de semmi nem derül ki! Azaz például hogy miből következtetett a Google arra, hogy engem biza’ valamelyik kormány próbál meghakkolni, milyen típusú volt a szokatlan aktivitás. Összehasonlításként abban a levelezőrendszerben, amiért fizetek, minden típusú sikeres és sikertelen hozzáférés naplózott olyan ezer évre visszamenőleg.

Röviden: ha advanced userként még mindig ragaszkodsz ehhez a szarhoz, azon se lepődj meg, ha a legszigorúbb biztonsági beállítások mellett megpróbálnak hozzáférni az információidhoz, de semmilyen adatot nem találsz azzal kapcsolatban, hogy mi történhetett.

Az ITsec-szcénában közhelyes, hogy nem az a kérdés, hogy valamit valakik feltörnek-e, hanem az, hogy mikor. Ha nem vállalati környezetről van szó, valami miatt érdekes felhasználó esetén nem az a kérdés, hogy hozzáférnek-e az ingyenes szarokban tárolt információihoz egyszer, hanem az, hogy az mennyire fog fájni. Az meg konkrétan felfoghatatlan, hogy ma egy cég miért választja a Google vállalati suite-ját, aminek az előnye abban merül ki, hogy a webes felület nagyon hasonló, aztán a nyelvújítás táján született felhasználóknak sem kell újat megszokni. A céges környezetben alkalmazott Google suite tehát nem megmagyarázhatatlan: tájékozatlan IT döntéshozó + kényelmes felhasználók.
Ez van.

Kép: Techworm

0 Tovább

Androidot használsz? Egy Google Play-appal garanciavesztéssel kinyírhatod a mobilod


mobil Android rootolás ITsec Google Play mindig van lejjebbAmikor kezdem azt hinni, hogy én már semmin sem lepődök meg, tényleg nincs lejjebb, ha Android platformról van szó, jön valami olyan elképesztően durva hír, ami kapcsán már nem is az informatikai-biztonsági vonatkozás az, ami elgondolkoztat, hanem sokkal inkább az a mikroökonómiai vonatkozás, hogy tényleg nem lehet eléggé silány minőségű egy termék vagy szolgáltatás az IT-piacon sem, hogy ne legyen rá kereslet, aminek az okait korábban fejtegettem már.

Közismert, hogy az androidos mobilokon számos funkció érhető el, a mobil gyakorlatilag a végtelenségig testre szabható, ha rootolva van, azaz a felhasználó az összes, biztonsági és stabilitási szempont miatt beállított korlátozást kiiktatja. Az Androidot futtató mobil rootolás nélkül is egy ön- és közveszélyes, ahogy azt az összes független kutatás alátámasztja, ezt gyakorlatilag csak a teljesen bigott Android-fanatikusok cáfolják az elmúlt évek androidos botrányai után. [Azokkal a fanatikusokkal meg konkrétan nem tudok mit kezdeni, akik azzal jönnek, hogy az Android mennyivel van előbb, mint az iOS, ami lehet, hogy jól hangzik, csak egy-két keresés után azonnal kiderül, hogy egyszerűen nem igaz. ] Lényeg, hogy a rootolást követően a felhasználó az eszköz teljhatalmú ura lesz, tehát a rootolás csak egészen kivételes esetekben lehet indokolt, például ha egy Android-fejlesztő alaposan vizsgálni szeretné a rendszer valamilyen részét, amihez addig nem fért hozzá. Vagy esetleg egy hardeningelt Android-klón operációs rendszert fejlesztene, egyékbént még a témában legjártasabb felhasználók is azt javasolják,  hogy ha már Androidot használ valaki, ne rootoljon, ha nem tudja pontosan, hogy mit csinál, márpedig a többség nem harceddzett mobiloprendszer-fejlesztő.

Erre mi történtik? A Google Playben, ami a legbiztonságosabbnak mondott alkalmazásbolt az Androidhoz, ahova az alkalmazások elvben többlépéses ellenőrzést követően kerülnek fel, felkerült több olyan alkalmazás is, ami képes a jelenleg futtatott androidos mobilok 90%-át rootolni néhány kattintással!

Azaz nem, az androidos felhasználó még akkor sincs biztonságban, ha kizárólag a Google Playből telepít alkalmazást, rendeltetésszerű használat mellett folyamatosan frissíti az eszközön lévő rendszert és alkalmazásokat, ha egyrészt a részben Google által felügyelt alkalmazásbolt, másrészt maga az operációs rendszer ilyet lehetővé tesz. Androidos sebezhetőséggel kapcsolatos hír, a legtöbb esetben már az ingerküszöböt sem éri el, mondjuk azok után, hogy az alkalmazásboltban feltöltött alkalmazásokat utólag lehetett módosítani tetszőlegesen éveken keresztül vagy éppen, hogy az iOS-en potom 8 éve natív és kikapcsolhatatlan fájlrendszeri szintű titkosítás az Androidon kevesebb, mint 3-4 éve érhető el, opcionálisan. Ráadásul az egész azzal lett önmaga paródiája, hogy miután bejelentették, hogy az összes felhasználói adat titkosítását lehetővé tevő lehetőséget továbbfejlesztették a 4.1-es verzióban, néhány héttel később már nyilvánosságra is került, hogy az elvben teljesen titkosított andoridos mobil teljes adattartalma dekódolható a titkosítási kulcs ismerete nélkül. A titkosítást azért emelem ki, mert évről évre számtalan mobilt hagynak vagy lopnak el szerte a világon, így elvárható lenne, hogy a rajta lévő adatok ne legyenek háztáji módszerrel kinyerhetők, amire ráadásul a felhasználó összes adata rá van drótozva a Google Accountnek "hála", csak csatlakoztatni kell az eszközt egy géphez fejlesztői módban vagy simán kivenni a memóriakártyát.

A mostani esetről részletek az Arstechnica-n.

kép: Techshift

1 Tovább

Gigantikus adatszivárgás a Google jóvoltából...


Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksAlighanem 10-ből 9-en most először gondolkoznak el majd rajta komolyabban, hogy valóban annyira tuti dolog-e Google Drive-on – meg úgy egyáltalán Google-szolgáltatásban - tárolni bármit is. Másrészt a mostani, az első olyan esetek egyike, amikor bebizonyosodott, hogy a Google nagyvállalati környezetre szánt, kimondottan drága megoldása miatt bizalmas adatatok felmérhetetlen tömege szivárgott ki.

Eléggé erős sztorit hozott az Arstechnica a minap: Google Drive-ban tárolt, elvben védett dokumentumok tízmilliói voltak kereshetőek egyszerűen a Google keresője segítségével abszolút bárki számára, úgy fest, hosszú hónapokon keresztül. Ezek közt nem kis mennyiségben kórházak által kezelt olyan dokumentumok is, amiket a HIPAA szerinti törvényi megfelelőség szerint, azaz igencsak szigorú biztonsági követelményeknek megfelelően kellene tárolni, ilyen például a betegekre vonatkozó közvetlen adatok.

Az eset kiválóan rámutat arra, hogy a hülyeségig bízni a Google Drive-ban és az ahhoz kapcsolódó, megbízhatónak hitt szolgáltatásokban mekkora felelőtlenség. Hogyan fordulhatott elő konkrétan a mostani eset?

Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksAz ún. Google dorkok és az erre épülő Google hacking azóta létezik, mióta maga a Google keresés is. Google hacking lényege, hogy a Googlebot indexel és gyorsítótáraz alapvetően mindent, amit csak lát és az adott webszerveren a dokumentum nincs megjelölve kimondottan úgy, hogy azt ne gyorsítótárazza semmilyen keresőszolgáltatás. Ez alól nem jelentenek kivételt természetesen azok a dokumentumok sem, amiket a felhasználó annak tudatában töltött fel valahova, hogy azt úgysem találja meg senki, ami pedig még gyakoribb eset, hogy a Googlebot az előbb emlegetett indexelést tiltó korlátozás hiánya miatt megeszi a webszerver egyik mappában felejtett, kényes információkat tartalmazó dokumentumot, így az kereshetővé válik.

Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksHogy egy csapásra világossá tegyem azt, amiről szó van, lehet például olyan fájlok után keresni a Google-lel, amik valószínűsíthetően felhasználói név-jelszó párosokat tartalmaznak egy Excel-formátumban. Első blikkre a laikus olvasó azt hinné, hogy annyira azért senki sem hülye, hogy egy megosztott webmappába ilyet csak úgy ottfelejtsen, holott általában egy-egy ilyen ordító dorkkal dokumetumok tízezreit lehet megtalálni a neten, ami természetesen nem illegális, az ilyen dokumentumokból kinyert adatokat felhasználni viszont természetesen már az. Hiszen a legtöbb állam törvényei szerint egy, a web dzsumbujában talált felhasználói név-jelszó párossal belépni egy olyan helyre, amihez a felhasználónak semmi köze nincs, törvénysértő. A tankönyvi példaként is emlegethető lekérdezés egyszerű, mint a faék:

password filetype:xls

Az Offensive Securitynek pedig egy mindenki számára elérhető pedáns gyűjteménye van az olyan trükkökről, amikkel hasonló érzékeny adatok nyerhetők ki.  

Megjegyzem, a Google Drive-on tárolt dokumentumokban ezzel a módszerrel csak úgy nem lehet keresni, kivéve, amikor igen.

Mint ismert, a Google Drive, pontosabban a Google-szolgáltatásai számos más szolgáltatással összekapcsolhatóak, ehhez pedig mindig a felhasználó beleegyezése szükséges. A leggyakoribb eset, amikor olyan oldalon regisztrálsz, ahol az email címed és egy kiagyalt jelszó megadása mellett úgy is működik a regisztráció, hogy a Google-fiókoddal való regisztrációt választod. Ekkor az adott külső szolgáltatásba be tudsz lépni anélkül, hogy plusz egy jelszót meg kellene jegyezned, egyszerűen beenged a szolgáltatás, ha be vagy lépve valamelyik általad használt Google-szolgáltatásba, azaz a saját gépedről gyakorlatilag mindig. Amellett, hogy a dolog kétségkívül kényelmes, elvben biztonságos is, mert a külső szolgáltatásnak nincs szüksége a Google-jelszavadra, az ún. OAuth-on keresztül történik meg a fiókod azonosítása.

A Google egyik, nagyvállalatok számára kínált terméke az ún. Google Search Appliace, ami lényegében egy olyan megoldás, ami lehetővé teszi, hogy egy nagyvállalati ügyfél akár több tízmillió dokumentumát pillanatok alatt kereshetővé tegyék, persze szigorúan a szervezeten belül. Mindez pedig kombinálható-összekapcsolható olyan szolgáltatásokkal, mint a nagyvállalati Google Drive vagy éppenséggel ilyen-olyan csoportmunkát segítő rendszerek.

Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksA mostani hajmeresztő adatszivárgás technikai oka leegyszerűsítve az volt, hogy a Google Search Appliance a Slack nevű, csoportmunkát támogató szolgáltatással az OAuth-on kereszül olyan hülyén volt összedrótozva, hogy ezek az egyébként szigorúan belső használatra szánt dokumentumok millióit láthatóvá tették a teljes web felé. Ami elgondolkoztató az egészben, hogy külön-külön sem a Google Drive, sem az ezzel összekapcsolt Google Search Appliance, sem pedig a Slack nem valamilyen kimondott szoftverhiba miatt csorgatta ki az adatokat sejthetően százterabájtos dózisban a web szabad ege alá, hanem ezek egyikének figyelmetlen beállítása miatt.

Hangsúlyoznám, ezek a szolgáltatások éppenséggel szinte mindenre fel voltak készítve, csak éppen arra nem, hogy a felhasználók egy része annyira kényelmes lesz, hogy majd egyszerűen tudatlanságból vagy lustaságból túlságosan lazára veszi a figurát, még akkor is, amikor teljes kórházak adatvagyonát kezeli.

Ahogy szoktam mondani, remek filozófiai kérdés, hogy egy-egy biztonságosnak kikiáltott szolgáltatás fejlesztőit mennyire terheli a felelősség olyan esetben, amikor magának az emberi természetből – tipikusan kényelemből – adódó biztonsági kockázat túl nagy marad a túl felhasználóbarát tervezés miatt. [Egy analógia: a legegyszerűbb esete ennek, amivel alighanem mindenki találkozott, hogy normálisabb helyeken a felhasználó által beállítandó jelszónak eléggé bonyolultnak kell lennie. ]

Itt egy idióta GSA-Googe Drive-Slack-összekapcsolásnak akkora a következménye, hogy az értelemszerűen bejósolhatatlan, hiszen egyenlő a lehetetlennel megállapítani, hogy Google-kereséseken keresztül talált kényes dokumentumokat mennyien töltöttek le és adták el a feketepiacon.

A vállalati Google-szolgáltatások egy jókora részének, de a Google Drive-nak is már-már az információs társadalom elleni bűne, hogy azt az érzetet keltik a felhasználókban, hogy pusztán a szoftveres megvalósítás szintjén megvalósított biztonság egyet jelent az effektív biztonsággal. Megjegyzem, nagyon sokak szerint a Google vállalati megoldásai egyszerűen megbuktak ilyen szempontból, mert többek közt a túl sok kényelmi szolgáltatás megteremti annak a lehetőségét, hogy a felhasználó figyelmetlensége miatt súlyos, észrevétlen adatlopások történhessenek.

Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksTételezzük fel, hogy van egy újságíró, aki a Google Drive-on tárolja az adatait, mi több, ezek keresztül fér hozzá azokhoz az adatokhoz is, amit vele más Google Drive felhasználók megosztottak. Az is járhat helyreállíthatatlan bizalomvesztéssel, ha egy egyszerű kézirat, netán olvasótól kapott, bizalmas adatokat is tartalmazó dokumentum az olvasó kilétét felvedve szivárog ki. Annak pedig a gondolatával is eljátszani is rémes, hogy az újságíróból idővel rovatvezető, főszerkesztő, majd a kiadó menedzsmentjének tagja lesz és – lévén, hogy a felhasználói szokások szinte sosem változnak – akkor is ilyen szarokat használ, amikor már egy óriási kiadó stratégiai lépéseit leíró dokumentumokat kell kezelnie.

Röviden: a Google Drive, na meg úgy egyáltalán a Google rossz, kéremkapcsoljaki.

A teljesség kedvéért megjegyzem, régebben voltak helyek, ahol én is Google Apps-t javasoltam bevezetésre vagy állítottam be, de ez a Google Apps beállítópaneljén történő finomhangolás mellett történt egyrészt, ami úgy-amennyire meg tudja védeni a felhasználót önmagától [például 16+ karakteres jelszóhossz kikényszerítésével, de ezek nem alapértelmezés szerinti beállítások]. Másrészt  nem javasolnám olyan helyen, ahol kimondottan minősített adatokat kezelnek. Ezen kívül én magam is használok Google szolgáltatást, de vagy tartalékrendszerként vagy a Google Apps olyan sajátossága miatt, amiben Google Apps vélhető a legerősebbnek, például egy esetleges levélbombás támadás elleni védelemben.

/*hogy még egy utolsót rúgjak a Google-be, azt a technikát, amivel a levélbombákat illetve spameket hatékonyan meg tudják fékezni nem is ők fejlesztették ki eredetileg, hanem az általuk felvásárolt Postini*/

Képek: information-age.com, teachprivacy.com, a1goodidea.com

0 Tovább
«
12