Vigyázat, pongyola! Csak laikusoknak.

A hackerfeleség naplója

Tényleg szenteltvízzel védekeznek az oroszok a WannaCry ellen?

2017. május 18. - hackerfeleség
Na, csak mutatom, hogy nem kell ám mindent elhinni, amit a zinternet megír.
Most épp többek között a The Sun. (Bár sejtésem szerint ez a Blikkel lehet egy kategóriában, tehát eleve nem gondolnám túlságosan hiteles forrásnak azért, de majd meséljen, aki jobban ismeri nálam a The Sunt, hogy jól gondolom-e.)
 
Szóval a nagy fene WannaCry mizéria közepén nyilván vicces egy ilyen képpel előállni:
holywater.jpg
Azt írja még a kép mellett a Sun, hogy az oroszok drága vírusirtók és szakemberek helyett alternatív megoldást találtak a WannaCry elleni védekezésre. Vladimir Putyin kérésére Kirill pátriárka szentelvízzel szórja be az Orosz Belügyminisztérium számítógépeit, hogy megvédje a zsarolóvírusoktól.
Na, hát ebből egy szó sem igaz, de legalábbis nem ez látható a képen.
Ha valamit gyanúsnak találsz, kicsit nézz utána, mielőtt tényként fogadod el. Sok energiát nem fektettem a dologba, de rákerestem  a képre. És a kereső dobott is egy 2015-ös találatot.
screenshot_at_may_18_20-04-54.png
Szóval maradjunk annyiban, hogy semmiképp nem a WannaCry ellen vetették be a szenteltvizet az oroszok.
Ha hasonló esetben szívesen leellenőriznél egy képet, akkor:
  1. Jobb klikk a képre a gyanús weboldalon.
  2. Copy image adress / Kép címének másolása. (= A kép URL-jét.)
  3. Nyisd meg a https://www.tineye.com/ weboldalt.
  4. A keresőmezőbe illeszd be az imént kimásolt címet és usgyi!

Hogyan NE használd a géped vírusveszélyes időkben

250px-from_loser_to_user.pngIlyen extrán vírusveszélyes időkben nem csoda, ha mindenről a WannaCry jut eszedbe: elég valami romantikus esti film, oszt az asszony máris a válladba sírja, hogy WannaCry.

No, de nézzünk inkább egy megtörtént esetet. Azért mesélem el, hogy segítsek tudatosabban használni a gépedet.

A Felhasználó természetesen hallgatja a híreket. Aztán hétfőn bekapcsolja a gépét és azzal szembesül, hogy van ott valami furcsa. Pontosabban a konkrét esetben épp hogy nincs.
Riadtan kér segítséget. Miután elmesélte a problémát, rémülten azt rebegi: "Talán WannaCry..?"

Megnyugtattam, hogy ez biztosan nem az, ez csak valami apróság lesz, viszont legyen türelmes, sajnos nem tudok azonnal segíteni. Kedd délutáni javításban egyeztünk meg. Addig éppen úgy használja a gépét, mint előtte bármikor: levelez, chatel, mindenféle hálózatokhoz kapcsolódik, köztük a céges szerverhez is.

Kedden délután újfent mutatja a problémát. És ismét a rémült rebegés: "Talán WannaCry? Ugye az? Jajj, biztos az!" Újra megnyugtattam, hogy ennek szerencsére semmi köze nincs az aktuális Nr.1 kórsághoz. Ripsz-ropsz megorvosoltam a problémát, kész is, hello.

 

Azt a részt figyeltétek, hogy a Felhasználó ugyan meg van győződve róla, hogy bizony őt is utólérte a WannaCry, de minden szívfájdalom nélkül használja tovább a gépét, ahogy mindig is szokta! Érted? Csatlakozik a céges hálózatra, levelezget, bármimás.
Vajon eszébe jutott közben, hogy mi történt volna, ha történetesen tényleg összeszedett egy zsarolóvírust a gépére?

 

Nagyon fontos, hogy ha úgy érzed, hogy baj van, akkor

  • ne használd a géped!
  • semmiképp ne kapcsolódj vele a céges hálózatra!
  • kérj segítséget, ha nem érzel magadban elég tudást ahhoz, hogy biztosan elhárítsd a bajt!
  • ha külső vinyóra mentesz, addig semmiképp ne dugd be a gépedbe, amíg egy szakember azt men mondta, hogy nincs baj.

 

Szóval csak ésszel! ;)

 

(Kép innen.)

Frissíts most azonnal!

A Microsoft - a tegnapi világméretű zsarolóvírus támadás miatt - a nem támogatott operációs rendszereihez is kiadott javítást. Töltsd le, és telepítsd, ha Window XP-t, Vistat, 8-at vagy Windows Server 2003-at vagy 2008-t használsz!

Itt töltheted le: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

wannacry-university_lab.jpgWannaCry zsarolóvírus támadás egy egyetemi laborban.

Szóval ha a fenti oprendszereket használod, akkor a linkről frissíts.
Ha nem, akkor - windows verziónak megfelelően - telepítsd a gépedre érkező update-et most!

Ha a windows update automatikusan lefut nálad, akkor nincs teendőd. Ezzel legalábbis.


wannacry-deutsche_bahn.jpgA Deutsche Bahn is az áldozatok között.

Az áldozatok között Angliában a kórházak mellett például a Nissan, Amerikában a FedEx, világszerte több egyetem, bank, vasúttársaság, stb. Eddig több, mint 140.000-en.

Az érintett fájltípusok pedig:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
(forrás: https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168)

 

WannaCry - Hogyan védekezz?

UPDATE: A már nem támogatott operációs rendszereire is készített javítást a Windos, frissíts most!

Meglehetősen durva kibertámadás söpör végig a világon éppen: eddig közel 60.000 gép érintett és ki tudja, hol van még a vége.
Angliában kórházak működése került veszélybe, de telekommunikációs cégek, bankok, és rengeteg más cég érintett még. Elért már hozzánk is: a legfrissebb hírek szerint a magyar Telenorhoz is eljutott a WannaCry zsarolóvírus.

Mit neki Kínai Nagy Fal, óceánok, közlekedési dugók, meg ilyenek...

A WannaCry zsarolóvírus titkosítja a gépen található összes fájlt, és SMB-n kersztül a távoli parancsfuttatás sérülékenységét kihasználva a hálózatra kapcsolódó többi Windowsos gépet is megfertőzi.

Ne vedd félvállról a veszélyt! Pláne ne céges szinten!
Gondold végig, hogy milyen kárt okozhatna, ha egyszer csak nem férhetnél hozzá a dolgaidhoz. Angliában műtéteket halasztanak el, betegeket irányítanak még nem érintett kórházak sürgősségi osztályaira. Szóval ér ezt komolyan venni.

wannacry-real-time.pngA MalwareTech térképén követheted élőben a WannaCry támadásokat.

 

Hogyan védekezz?

  • Először is, ha még nem telepítetted a Windosos gépeken és szervereken az EternalBlue exploit (MS17-010) elleni javítást, akkor telepítsd most!
  • Az ilyen zsarolóvírusok elleni védelem során mindig gyanakodj az e-mailben kéretlenül érkezett dokuentumokra, és soha ne klikkelj a bennük lévő linkekre, míg nem tisztáztad biztosan a dokumentum eredetét.
  • Ahhoz, hogy mindig biztosan hozzáférj a fontos fájljaidhoz és dokumentumaidhoz, kell egy jó mentési eljárás. A másolatokat olyan külső tárolóeszközre mentsd, amelyhez nem kapcsolódik folyamatosan a mentett számítógép.
  • Ezen kívül győződj meg róla, hogy aktív a vírusvédelem a gépeden / szerveren.
  • És ami a legfontosabb, mindig biztonságosan böngéssz az interneten. (https, biztonságos internetkapcsolat, stb.)

 

Ellenőrizd ezeket, állítsd be, és légy most különösen tudatos az e-mailben érkező dokumentumok megnyitásával, kezelésével!

 

UPDATE: Fél óra telt el a poszt írása óta, azóta már közel 100.000 gép fertőzött.

A konkurencia küldte a hackert?

Régóta foglalkozom informatikával, régóta találkozom hackerek munkáival. Sok olyan dolog történt az évek alattt, melyek előremozdították bennem az érdeklődést és egyre több tanulásra késztettek. Most elmesélem az egyik első ilyen esetet, ami régesrégen történt egy ismerős céggel.

 

Akkoriban még nem folyt a csapból minden nap hackerekről szóló történet, pedig hackerek voltak és dolgoztak már akkor is.

Tehát ezzel az esettel nem a munkám során találkoztam, hanem egy ismerős céggel történt meg. Ez a cég egy könnyűipari cég volt rengeteg technológiai információval, nagy adatvagyonnal. A céges kultúra szerves része volt (már több, mint 20 éve), hogy év végén, kb. december közepétől már nem dolgoztak. December közepén nagy céges buli, vacsora, aztán két hét szünet. 

Ebben a szünetben tényleg senki nem ment be a céghez, a vezetők, tulajdonosok elmentek síelni, a dolgozók meg nyilván örültek, hogy elfelejthetik addig a munkát. Persze ez nagyon jól van így, de ilyenkor ki vigyáz az adatokra?

Januárban, mikor indították volna a gyártást, azt vették észre, hogy semmi sem működik, semmi nem megy, semmi nincs meg. Semmi. Az összes gépet feltörték, az összes adatot megsemmisítették - az összes mentést is beleértve. Persze, tudom, lehetne offline mentés, földrajzilag máshol stb., de a páncélszekrényes szalagos mentés egy KKV-nál nem gyakori még ma sem. Technológia, tervrajzok, CNC beállítások - minden ugrott, ami nem volt meg papíron.

Hetekig tartott, mire nagyjából elkezdtek dolgozni, de ez egy ilyen cégnél több hónapos lemaradást, túlórázást és beláthatatlan mértékű többletköltségeket okoz. Nem az a gond, hogy milliókat fizettek az adatok - részbeni - helyreállításáért, hanem az, hogy kötbéres munkákkal csúsztak el, a késés végiggyűrűzött az egész gyártási láncon, elképesztő káoszt okozva. Őszintén szólva csodálkozom, hogy talpra tudtak állni ezután, de tény, hogy a teljes folyamat iszonyú sokáig tartott. flint_sit-down_strike_window.jpg

Azóta is kérdés, hogy mi történt pontosan, de a mai fejemmel azt mondanám, hogy ez nem egy magánakció volt. Ez profi munka, amit profi csinált, márpedig egy profi nem lődöz vaktában és főleg nem dolgozik ingyen.

 

Szóval van ilyesmire példa hazai KKV szektorban is, csak erről nem feltétlenül ír az index.

Vigyázzatok a céges adatokra is!

Azért a legyek is tévedhetnek...

Ez a bejegyzés egy politikai cikk olvasása után íródik. De nem a politika a lényeg, attól most tekintsünk is el. Ok, tudom, nem lesz könnyű, ha egyszer az elsőtől az utolsó betűig arról szól. Azért mégis próbáljuk meg.

Ez az a cikk. A lényeg pedig - amennyire csak lehet, lecsupaszítva - ez:

... azzal érvelt az online ív biztonságos mivolta mellett, hogy eddig - szerinte - egymillióan töltötték ki a kérdőíveket, és éppen ez bizonyítja, hogy az akció az emberek szerint biztonságos.

(A félkövér kiemelést én eszközöltem a félmondaton. Az a legcsupaszabb lényeg.)

 

Nos.

eatshit.jpgForrás: 9gag.com

 

Attól, hogy valamit sok - akár egymillió - ember biztonságosnak tart, az még nem feltétlenül biztonságos.

Attól, hogy valamit online sok - akár egymillió - ember kitölt, az még nem jelenti feltétlenül, hogy biztonságosnak is tartja.

Bármilyen online kitöltendő (legyen akár játék, online kérdőív, hírlevél feliratkozás, letöltéshez szükséges mini-kérdőív, stb.) kitöltőinek általában eszébe sem jut végiggondolni, hogy vajon biztonságos helyen adják-e meg a válaszaikat. A fenti kérdőív mellett is elolvashatta mindenki az adatvédelmi nyilatkozatot, ami arról szólt, hogy a megadott adatok nem kerülnek harmadik félhez. Pedig...

Hogy honnan tudhatod meg, hogy valami biztonságos-e?
Kb. sehonnan. Nyilván megnézheted mondjuk az oldal forráskódját és rákereshetsz arra, amit nem szeretnél a kódban látni. De lássuk be, azért relatíve kevesen képesek erre.

Akkor most soha többet ne tölts ki semmit?
Erről természetesen szó sincs. A lényeg - mint midig - a tudatosság! Tudd, hogy milyen adatokat kérnek tőled és döntsd el, hogy meg akarod-e adni. Ha úgy érzed, hogy nem szeretnél bizonyos kérdésekre válaszolni, nem szeretnél bizonyos adatokat megadni magadról másnak, akkor egyszerűen ne töltsd ki, amit épp akartál. Akkor se, ha így le kell esetleg mondanod egy ingyen letölthető valamiről, vagy egy jópofa játékról.
Használhatsz külön e-mail címet, amit kérdőíveknél, feliartkozásoknál adsz meg és amit ezen kívül másra nem használsz. A lényeg, hogy legyen a tiéd a döntés!

Nőnap

We Can Do IT!

A sztereotípia azt diktálja, hogy ha szóba kerül úgy általában az informatika, meg a nők, akkor ez biztosan kompatibilitási problémát jelent. Pedig...

women-in-tech-splash.pngKép innen: https://crowdsource.storymaps.esri.com/stories/women-in-tech

 

Ha valaki nem ért valamihez, az nem az ő biológiai nemén múlik. Rengeteg férfi van, aki éppen úgy képtelen felfogni az IT Sec fontosságát, aki nem tudja, miért lehet veszélyes, ha nem védi megfelelően az adatait, aki éppen úgy kiposztolja gondolkodás nélkül Facebookra a görbe hétvége fotóit (persze nyilvánosan, hogy mondjuk a következő álláskeresésnél a HR-es is tudjon csemegézni), akinek lövése sincs, hogy hogyan kéne beállítani otthon a wifi-routert, hogy az tényleg jó legyen, aki - bár Igazán Fontos Személyként irányít egy céget, de - nem tudja fölfogni, hogy a cége feltört szerveréről ellopták az adatait, még akkor is, ha a feltört szerveren ott vannak azok az adatok - és sorolhatnám még hosszan.
És természetesen rengeteg nő is így van ezzel.

A Nőnap jelentőssége számora az, hogy ez a nap alkalmat ad arra, hogy többet beszéljünk arról, amiről ez a nap amúgy eredetileg is szól.

Fontosnak tartom, hogy a kislányok, meg a kicsit nagyobb lányok, és aztán a nők, asszonyok, anyák, öreglányok és nénik is tudják, hogy az informatika sem egy olyan része a világnak, ahol nincs keresnivalójuk. Hogy nyugodtan tanulhat egy kislány is programozónak, hogy álmodozhat arról egy tinilány, hogy pentester lesz, hogy jogod van anyaként is akarni mérnöki karriert és, hogy öreglányként is rajonghatsz a kütyükért és egy néniként is tisztában lehetsz egy phishing e-mailben rejlő veszéllyel.

Ne gondold, hogy a különböző nőmozgalmaknak manapság már nincs létjogosultsága. Egyáltalán nincs azzal baj, ha csajok fognak össze, hogy tegyenek magukért. Egy normális nőjogi szerveződés nem gyűlöli a férfiakat, nem a kirekesztésről, nem a pozitív diszkriminációról szól!
Én mondjuk azt szeretem, ha inkább együtt gondoljuk úgy, hogy fontos tenni az egyenlőtlenségek ellen.

Ne csak ma beszélgess a lányoddal az informatikáról! Mesélj érdekes dolgokat róla, mert attól, hogy lány és hercegnőnek öltözik, még igenis van agya, és nem csak óvónéninek, vagy fodrásznak, vagy egyéb alapértelmezetten lányos foglalkozásra lesz jó. Belegondoltál már, hogy miért nem visz haza az asszony annyit, mint az ugyanolyan beosztású férfi kollégája a cégnél? (Vagy hogy te miért keresel többet, mint a csaj, aki ugyanazt a munkág végzi, mint te?) Szereted a Nőt, és mégsem háborít fel, mégsem tűnik fel, hogy nem bánik vele, még mindig nem bánik vele éppen úgy a Világ, ahogy veled?

Nos, ezért van még mindig létjogosultsága  a Nőnapnak.

Én azt (is) szeretem a Hackerben, hogy általában nem old meg helyettem semmit. Megmutatja, hogy hogyan kell, hogy hogyan tudom egyedül. Igen, ez sokszor kényelmetlen és fárasztó. De tudja, hogy simán meg tudom csinálni, ha megtanulom - nem számít, hogy nő vagyok, azon ezek a dolgok nem múlnak. És tudom, hogy nem lehetek puhány én sem, csak azért, mert nő vagyok.

 

Ez a blog alapvetően nem csak nőknek szól, sőt!
De nagyon örülnék, ha ma megismertetnéd ezt legalább egy nőismerősöddel. Nagyon klassz dolog ma virággal kedveskedni a csajoknak - nekem legalábbis egyáltalán nincs ellenemre. �  (Igaz, más napokon sem, mert a szobanövények érthetetlen okból nem mindig bírják ki negyed évig víz nélkül... :) ) De adj ma tudást (is)! Lehetőséget, hogy önálló(bb), tájékozottabb lehessen az a nő, akit kedvelsz! Ne gondold, hogy azért, mert nő, ő úgysem értheti!

Legyen biztonságos weboldalad!

Mik a lehetőségeid, ha te nem értesz hozzá?

Pár napja a pizzériás eset kapcsán (is) elkezdett érdekelni, hogy mégis mit csinálhatnak egy hasonló történet szereplői, milyen lehetőségeik (esetleg kötelességeik vannak).

14438581410_170cb186b3_b.jpgBiztonságos weboldalakat, webáruházakat fejleszteni lehet, de nem minden webfejlesztőnek van meg hozzá a tudása, és azt is tudni kell, hogy ez nem olcsó. Tehát összerakja a szomszéd Pistike a weboldalad harmincezerért, de az egészen biztosan nem lesz biztonságos.
A weboldalak, webáruházak tulajdonosainak jelentős részének nincs 0,5-1,5 millió forintja arra, hogy egy valóban biztonságos weboldalat csináltasson magának egyedi fejlesztésben.

De akkor mi a megoldás? Ne legyen weboldala, ne nyisson webáruházat senki, aki nem tud kezdetnek ennyit befektetni? Vagy vegye tudomásul minden felhasználó, hogy az adatait az esetek nagy részében nem biztonságos helyeken kénytelen megadni?

 

Mit tehetek, ha új weboldalt, webáruházt szeretnék?

Jó eséllyel nem tudod eldönteni, hogy a webfejlesztő cég, akit megbíznál az oldal fejlesztésével, képes-e azt biztonságosan elkészíteni neked. Nem is kell mindenhez értened, de azért van, amit tehetsz.

Úgy köss szerződést a fejlesztőkkel, hogy abban legyen benne, hogy ha az oldalt megvizsgáltatod egy etikus hackerrel, akkor az általa talált hibákat ingyen kijavítják neked. Ha ilyen szerződést nem írna alá a fejlesztő cég, akkor keress másikat!

A fejlesztőknek és az üzemeltetőknek elemi érdekük, hogy olcsón tudják adni a szolgáltatásukat. Azon nem tudnak spórolni, amit látsz, de azon igen, amit nem. A megrendelő nem csúnya, de biztonságos weboldalra vágyik általában, így aztán a fejlesztők a biztonságon fognak spórolni, hogy örülj a szép weboldaladnak.
Ne dőlj be! Neked nem szép, de nem biztonságos oldal kell, hanem szép ÉS biztonságos!

És hogy mi olcsó és mi drága? A fenti 500.000 Ft jó kiindulás egyedi fejlesztés esetén. Próbáld a dolgot úgy nézni, hogy nem a pénztárcádból pislogsz ki. Lehet, hogy neked 100.000Ft-os befektetés is sok (=drága), de objektíven az nem számít drágának, sőt! Vedd tudomásul, hogy 500.000Ft alatt nem igazán van esélyed szép ÉS biztonságos egyedi fejlesztésű webáruházat kapni a fejlesztőtől.

Ha megelégszel nem egyedi fejlesztéssel, akkor egy opensource rendszer telepítése, és biztonságos beállítása már meglehet 150.000Ft-ból, de annál olcsóbban nem igen.

Vedd tudomásul, hogy a jó munka pénzbe kerül. Vedd tudomásul, hogy fillérekért nem fogsz biztonságos, minőségi weboldalt kapni, olcsón egyszerűen nem lehet jól megcsinálni ezt sem, mint ahogy annyi minden mást sem.
Ha nincs rá elég pénzed, akkor vedd tudomásul, hogy nagyobb eséllye van annak, hogy feltörhetik az oldaladat, és ebből problémád lesz a későbbiekben. Szóval tudod: csak tudatosan!

Etikus hackerrel megvizsgáltatni egy weboldalt az az oldal bonyolultságától függően 100.000 Ft-tól kezdődő összeget jelent. Jó, ha ezt rá tudod szánni az oldal vizsgálatára. És még jobb, ha a talált hibákat ki is javíttatod a fejlesztővel, különben csak kidobott pénz az egész vizsgálat.

 

Ha már van weboldalad, webáruházad

Etikus hackerrel egy régi oldalt is érdemes lehet átnézetni, ezzel gyakorlatilag ugyanannyi a teendő, mint ahogy azt fönt írtam. A talált hibákat javíttasd ki a fejlesztőkkel!

Ha megtörtént a baj, feltörték az oldalad, akkor azonnal fordulj a fejlesztőhöz, és javíttasd meg vele a hibát. Ha hozzáértés hiányában nem tudja elvégezni a javításokat, keress mást. (Hogy aztán a rossz fejlesztést hogyan rendezed a dolgot, azt már rád bízom.)

Baj esetén értesítsd a felhasználóidat is, mert így tisztességes, meg mert igenis joguk van tudni arról, ha valaki hozzájutott a nálad használt jelszavukhoz. Például azért, hogy meg tudják változtatni minden olyan más helyen, ahol esetleg ugyanezt a jelszót használták.
Igen, nem kellene máshol is ugyanazt a jelszót használniuk, mint nálad, de ettől még nem büntetheted őket azzal, hogy nem közlöd velük a tényt, hogy feltörték az oldalad, tegyenek belátásuk szerint. Már csak azért sem, mert neked pedig kötelességed volna biztonságos weboldalt üzemeltetni, ahol a felhasználóid biztonságban tudhatják az adataikat.

Jelentsd be a rendőrségen is, ha feltörték az oldaladat.

 

wmf_sdtpa_servers_2009-01-20_36.jpgNem csak a webalkalmazás fontos!

A dolog ott semmiképp sem állhat meg, hogy biztonságos weboldalt fejlesztettél magadnak. Ha ugyanis mindez egy nem biztonságos szerveren (webhosting a varázsszó, ami ismerős lehet) fut, akkor megette a fene az egészet!

Biztonságos hostingot is úgy találhatsz magadnak, ahogy webfejlesztőt: ha szerződésben vállalják, hogy egy esetleges vizsgálat során feltárt hibákat javítják, akkor jó. Ha nem, keress mást!

 

A következő posztban leírom, mit tehetsz felhasználóként.

Exkluzív interjú a hackerrel

Pár napja volt hír, hogy feltörték egy pizzéria weboldalát.

Ma megkeresett az oldalt feltörő hacker, H4x0r.
Természetesen ennél többet nem árult el magáról, tehát az álnéven és a sztorira vonatkozó alább közölt részleteken kívül én sem tudok róla többet.

A levélben leírta, hogy a hírekkel ellentétben nem árulja az adatokat. Nem a ✿✿✿✿✿ Pizzéria volt a célpont, hanem az oldalt üzemeltető szerver. Nem a Pizzéria oldalán keresztül jutott be a szerverre, hanem egy másikon (a sok közül). Az, hogy pont ezeket az adatokat hozta nyilvánosságra, csupán a véletlen műve, választhatott volna más oldalt is a szerverről, például egy majd 25.000 regisztrált felhasználóval rendelkező ingatlanos oldalt.

Fontosnak tartotta kiemleni, hogy a ✿ Pizzéria nem tehet az egészről, ők ebben nem hibásak, viszont a szerver üzemeltetője annál inkább.

Elmesélte, hogy maga a szerver katasztrofális állapotban van, nem foglalkoznak vele. Jól mutatja ezt, hogy 2016. november 13-án, ismeretlen, vélhetően török hackerek bejutottak szintén erre a szerverre, deface-elték az itt hostolt weblapokat és szinte biztos, hogy lementették a teljes mysql adatbázist is.

Ennek ellenére a szerver üzemeltetője nem tette meg a megfelelő intézkedéseket, még csak a jelszavakat sem változtatták meg, illetve nem tettek az ügyben rendőrségi feljelentést sem. Mindezt abból tudja, hogy legalább 1 éve hozzáférése van a szerver teljes tartalmához.
Beszélt a szervert üzemeltető cég ügyvezetőjével, elmesélte, hogy megtudta tőle, hogy a tavaly novemberi támadás után nem ők, hanem az egyik ügyfelük, egy önkormányzat tette meg a feljelentést a rendőrségen. Az ügyvezető azt is elmesélte H4x0r-nek, hogy a mostani támadást is a pizzéria jelentette be a rendőrségen és megjegyezte, hogy ő (HF: az ügyvezető) megint csak szív vele, mert járhat tanúskodni.

A hosting cég ügyvezetője levélben elmesélte neki a sztorit, miszerint állítólag jó tíz évvel ezelőtt a még létező MALÉV úgy vett fel egy IT szakembert, hogy az az előtérből bejelentkezett az igazgató gépére. Megjegyezte, hogy sajnos annyit nem tudna fizetni, mint egy légitársaság, de munkát kínált a hackernek

 

Természetesen ezek után akartunk beszélni H4x0r-rel. :)

 exclusive.png

Miért lettel hacker?

Sok mindent nem tudok, és nem is akarok megosztani magamról. Egy átlagos userként kezdtem, mint mindenki. Elkezdett érdekelni a számítástechnika. Amíg a többi diák azzal szenvedett számtech órán, hogy visszategyék a java-t a gépre, amit a tanár mindig leszedett, hogy fel tudjanak menni a chat.hu-ra, addig én az irc-n lógtam, beszélgettem a többi emberkével. Aztán eljött az az idő is amikor már nem csak a technikai része érdekelt, hanem a software, a háttér, mi, hogyan, miért működik. Ahogy egyre jobban belemerültem, óhatatlanul is felmerült bennem, mi lenne, ha…. Ekkor kezdtem el kicsit komolyabban a hackeléssel foglalkozni. Nem tudom ki mivel kezdte anno, de én a wifi-vel. Viszonylag könnyű dolgom volt, nem volt annyira elterjedt a wpa, inkább mindenki wep-et használt, vagy semmit. De ez csak a jéghegy csúcsa volt. Amint sikerült wifi téren arra a szintre fejlődnöm, hogy szinte csukott szemmel is felnyomtam egy hálózatot, elkezdtem gondolkozni azon, hogy mit is lehetne még csinálni. Olvasgattam, videókat néztem, tanultam mit hogyan lehet csinálni, majd elkezdtem a feltört wifiken gépeket keresni, és megpróbáltam bejutni azokra, illetve lehallgattam a hálózati forgalmat. Ekkor még szintén nem volt elterjedt a https, így itt sem volt nehéz dolgom.  Aztán jöttek a webes tartalmak és szolgáltatások. Hajtott a kíváncsiság. Jelenleg webes dolgokkal foglalkozok.

Hogyan lehetséges, hogy nem találnak meg a hatóságok?

Az, hogy a hatóságok nem tudnak megfogni, több dolognak is köszönhető. Tor-t és vpn-t használok, ami eléggé megnehezíti a dolgukat. Persze ezek használata nem jelenti azt, hogy ne tudnának elkapni, ésszel kell csinálni, odafigyelni, mikor mit és hogyan csinálsz. De ha meg is találnának, valószínűleg csak közvetett bizonyítékuk lenne, a gépembe pedig nem tudnak belenézni, minden titkosítva van 100+ karakteres jelszóval.

Te is kapucniban dolgozol 13 monitor előtt, és neked is mátrixos a háttered? Tudod, TV-ben láttam, hogy a profik igy csinálják. ;)

Nem, nem kapucniban dolgozom, és nem is mátrixos a háttérképem. :) Nincs előttem 13 monitor sem, általában csak a notim van, de van egy külső monitorom is. Nincs többre szükségem, a macos gui-ja teljesen megfelel, bár ezt szerintem nem kell magyaráznom, mivel te is azt használsz.

Egyedül, vagy csapatban dolgozol/dolgoztok?

Egyedül dolgozom :) így minimalizálom a lebukás kockázatát.

Nem érzed etikátlannak, amit csinalsz?

Az, hogy mi etikátlan, csupán nézőpont kérdése. Lehet etikátlan egy rosszul megírt oldalt, vagy egy rossz szolgáltatást eladni jó pénzért, de persze az is lehet etikátlan, amit csinálok, hiszen az "ártatlan" user adatait tettem ki a netre. Azért idézőjelben, mert a felhasználó is tehet valamilyen szinten arról, hogy könnyen hackelhető. Gyenge jelszavakat használ, könnyen kitalálható jelszavakat használ, ugyanazt a jelszót használja máshol is, ha nem mindenhol. Nem elég körültekintő, hiányzik a biztonságtudatosság ezen a téren.

Miért nem állítják be biztonságosan ezeket a rendszereket?

Miért nem állítják be ezeket a rendszereket biztonságosan? Itt is több variáció lehetséges véleményem szerint.

1, Ide úgyse akar majd betörni senki

2, Szerintem ez így biztonságos lesz, jelszavak hashelve (MD5 :D)

3, Nem ért hozzá

4, Nem akar vele foglalkozni/nincs keret a nagyobb munkára, a későbbi tesztelésre

Sok szervert feltörtel már?

Elég sok oldalhoz, serverhez van hozzáférésem, ezeknek a 99% észre sem veszi, hogy más is van ott rajtuk kívül.

"Érdekelne a barátnőm levelezése. Ha fizetek neked, feltöröd?" - Ha kapsz ilyen jellegű megkeresést, mi a válasz?

Kaptam már nem egy ilyen megkeresést, de el szoktam küldeni őket, hiszen, ha nem bízik a csajban akkor minek van vele. Nem a pénz motivál, ha így lenne, akkor a pénzügyi szektort vettem/venném célba.

Nézzük akkor, hogy mi a helyzet a pizzériával. Mi motivalt abban, hogy feltörd az oldalt/szervert?

A ✿✿✿✿  servere (HF: amin a feltört pizzéria weboldala is fut) már nagyon régóta megvan, legalább 1 éve, ha nem több. Az egyik oldalukon jutottam be, de a db dump-on (HF: = a szerveren lévő adatbázis lementése) kívül nem csináltam semmit. Aztán jött a novemberi deface a törökök részéről, és kíváncsiságból ránéztem, azt hittem, ha nem is mindent de javítanak, és legalább a jelszavakat lecserélik, de nem így történt. Ezek után fölöslegesnek ítéltem meg a megkeresésüket, mert úgysem csinálnának semmi érdemlegeset. Előtte pedig szándékosan nem jeleztem a hibát. Az információ sokat érhet, például, ha keresek valakit és mondjuk valamelyik oldalon regisztrálva van, könnyen hozzáférek az adataihoz. Ez a többi oldalnál/servernél is így van, tudom, ez sem etikus mások szerint.

Csináltam egy utolsó mentés a db-ről (HF: =adatbázis), majd úgy döntöttem ideje rendet rakni, ha máshogy nem megy, akkor majd így. Ezért hoztam nyilvánosságra az adatok egy részét, és értesítettem erről a médiát is (több-kevesebb sikerrel). Egyedül az  csapott le rá az omegától, se az index, se az origó, se a 24.hu. Szándékosan csak a users táblát tettem ki a netre, amiben név, usernév, email, jelszó van, illetve a feltört hash-eket. Nem plain jelszavak vannak a táblában, hanem joomla hash (Joomla < 2.5.18), 6700-6800 user, és 3230 hash:jelszó párost.

Akkor te most valójában egy Köpenyes Igazságosztó vagy? Lesznek még ilyen akciók?

Nem nevezném magam igazságosztónak, egyszerűen csak betelt a pohár.

Lehet, hogy lesznek még ilyen akcióim, nem tartom kizártnak, de nem is mondom biztosra.

Magát a hibát nem tudom, hogy kijavították-e, ezt nem ellenőriztem azóta, viszont a serverre azóta is szabad bejárásom van, mind a phpmyadmin-ba, mind pedig az ftp-re.

Hogyan lehetne elkerülni a jövőben az ilyen támadásokat?

Az, hogy hogyan lehetne ezeket elkerülni....... az elég sok mindentől függ. Oda kell figyelni, rendesen megírni az adott oldalt, időt kell szánni a server konfigurációjára, biztonságtudatosságra nevelni ill. oktatni a usereket.

Mit tanácsolnál az ügyfeleknek? Azoknak, akik hosting szolgáltatást vesznek igénybe?

Tanácsolni sok mindent lehet, de az emberek 99% úgysem fog vele törődni. Mindenképpen nézzenek utána a hosting cégeknek, olyat válasszanak, aki régóta a piacon van, aki ténylegesen odafigyel a biztonságra, nem csak a csilivili oldalán feszít, hogy secure, tehát megbízható. Keressenek véleményeket az adott cégről. Az oldalaikat auditálják, szánják rá az időt és pénzt, mert egy ilyen betörés során sokkal nagyobb kár is érheti őket. Válasszanak erős, nehezen, vagy nem kitalálható jelszavakat, jelmondatokat. Minden oldalon más jelszó használata lenne az ideális, de ezt nagyon kevesen teszik csak meg.

 

Olyan mintha, de mégsem. Mi az?

Apple phishing, vigyázz!

Az e-mail:

apple_phishing_letter_2.png

Tisztára, mintha az Apple küldte volna. De nézd csak, hova mutat a link!

apple_phishing_letter_link.png

A scottsdale-i kyokushin karate egyik oldalára. Ha a főoldalt megnézed, nem látszik amúgy semmi, nem veszed észre, hogy feltörték a weboldalt. Lehet, hogy a weboldal gazdája sem tudja.
Mert - a pár nappal ezelőtti pizzás sztorival ellentétben - itt a hacker nem jelezte, hogy "Helló, sérülékeny a weboldalad, amit én könnyedén ki is használtam, talán kellene vele valamit kezdeni, nem?"
Itt csendesen ugródeszkának használják phishinghez a feltört weboldalt.

kyokushin.png

A linkre kattintva ugyanis átirányít egy másik oldalra. Ide:

apple_phishing_site.png

Hogy mit kezd az itt megadott adataiddal a hacker, azt most a fantáziádra bízom. De ugye nem szeretnéd megadni az Apple ID-dat valakinek?
Valakinek, akit mondjuk csabaikispalyas-nak hívnak.

A végső phishing oldal egy magyar oldal.
Nem, ennek tényleg nincs különösebb jelentőssége, csak azért mondom, hogy érezd a közelséget. Hackerek nem feltétlenül tőled valahol nagyon messze élnek. És végképp nem olyan messze, hogy téged sose érjenek el. Meg ugye az interneten gyakorlatilag szinte távolságok sincsenek...

Figyeld meg, hogy kezdődik az URL!
www.member.icloud-confirm... Ha nem olvasod tovább az URL-t, észre sem veszed, hogy ez valójában egy magyar oldal, és semmi köze az Apple-hez.

A támadó egyébként (nyilván) nem a saját oldaláról támad, hanem egy másik, szintén feltört oldalról. Ezen az oldalon (ami ugye a csabaikispalyas.hu) létre tudta hozni a fenti aldomaint, ami azt jelenti, hogy 99%, hogy ezen a feltört oldalon bármit megcsinálhat. Olvasgathatja a leveleket, küldhet is az oldal bármely felhasználója nevében bárkinek bármilyen levelet, kiszedhetik az adatbázist (amiben ugye ki tudja, milyen adatok lehetnek), láthatja a jelszavakat, tudja módosítani őket, lehelyezhetnek kártékony kódokat a weboldalon, amivel aztán megfertőzhetik a géped...
Ezt a weboldalt használják phishinghez, de spamelhetnek is innen, terjeszthetnek pedofil tartalmakat - gyakorlatilag bármit, amit csak akarnak.

Mindezt szinte biztosan azért tehették meg, mert a fenti oldalak gyenge, vagy máshol is használt (és máshol megszerzett) jelszóval voltak "védve", vagy más sérülékenysége volt a weboldalnak.

Légy tudatos, szemfüles, figyelj, és vigyázz az adataidra!

 

u.i.: A fentieket természetesen jelezni fogjuk a csabaikispalyas.hu-nak és a kyokushinkaratescottsdale.com-nak. Tegyék meg tétjeiket! Fognak vele valamit kezdeni érdemben vajon?