A hackerfeleség naplója

Vigyázat, pongyola! Csak laikusoknak.

Játék! - Szúrd ki, mitől kamu!

2017. január 06. - hackerfeleség

Nagyon egyszerű játék lesz.
A képen látható kamuoldal üzenete nyilván már a szövegezés miatt is gyanus, de ettől most tekintsünk el. Van viszont egy másodperced, hogy észrevedd, hogy kamu az egész, és hogy nem szabad kattintani a linkre.
Hajrá! :)

 

fake-fb.jpg

Csak a CVV-t ne add meg soha! - Anélkül is lehet a kártyáddal vásárolni!

security-codes-cc.jpgAz előző post kapcsán is sok olyan reakcióba futottam bele, hogy nincs semmi probléma a bankkártyaadatok megadásával, csak a hátulján lévő három számjegyű kódot ne add meg.

Nos...
Biztosan tudod, hogy anélkül a szám nélkül semmit nem érnek a kártyád egyéb adataival? Egészen biztosan tudod?

Álljunk itt meg egy pillanatra. A fenti hozzáállás ugyanis nem csak az előző postra és nem csak a bankkártyaadatokra igaz. Sajnos általában igaz, hogy biztos tudás nélkül jelentünk ki dolgokat.
Hogy nem lehet mit kezdeni a bankkártyaadatokkal a hátulján lévő szám nélkül. Hogy nem lehet ellopni az adataimat, ha nem vagyok Facebookon és különben is csak néha nézek föl a netre. Hogy nem lehet open wifin át hozzáférni semmihez. Hogy én annyira érdektelen kis hal vagyok, hogy tőlem úgysem érdemes ellopni semmit. Hogy én is megadtam bizonyos adatokat, mégsem nyúlta le senki a pénzem (ebből természetesen egyenesek következik, hogy mással sem fog előfordulni, és a későbbiekben velem sem.) Hogy én tuti észrevenném, ha valami adathalász weboldalba futnék. És a többi, és a többi..

De térjünk most vissza a bankkártya hátulján lévő három jegyű számhoz. És ennek példáján át gondolkodjon el mindenki, hogy tényleg biztos tudással legyint-e a figyelmeztetésekre.

A bankkártya hátoldalán lévő kód a CSC (CVV-ként is találkozhatsz vele elég sokszor és igen, van más elnevezés is, de talán ez a kettő a leggyakoribb). És akár hiszed, akár nem, ahhoz, hogy tudj vásárolni, nem mindenhol kérik a CSC-t, sőt van, ahol a kártya lejárati dátumát sem. Tudtad ezt?

2012-ben az Amazonon még egészen biztosan lehetett CSC nélkül vásárolni, mert az Amazon úgy volt vele, hogy az ilyen jellegű csalások miatti visszatérítés számára (nem a te számodra!) annyira elhanyagoható mértékű, hogy megéri nekik ez a kockázat, azért, hogy te gyorsabban vásárolhass és így őket válaszd. Nem biztos, hogy ez változott azóta.

És persze hozhatnék adathalászatra is példákat. Ha valami módon (akár a te levelezésedből, akár a szálloda levelezéséből, számítógépeiről) egy adathalász kezébe kerülnek a kártyaadataid (és mondjuk a neved, címed, születési időd, telefonszámod - hiszen a szállodában ezeket az adatokat is megadtad), máris kaphatsz olyan hitelesnek tűnő telefonhívást a "bankodtól" (természetesen a csalótól, akinél a kártyaadataid landoltak), amivel olyan bizalmat képesek építeni benned, hogy a beszélgetés végére gondolkodás nélkül megadod a CSC-t is. Így meg aztán már végképp szabad az út... 

Na, csak hogy érthetőbb legyen a fenti bekezdés:
Ugyanabban a szállodában száll meg egy rosszindulatú hacker is, ahol te. A szálloda wifijén keresztül feltöri a rendszert és megszerzi az összes vendég minden adatát. Aztán pár hét múlva a következő hívást kapod tőle:

  • Jó napot kívánok, Kovács Béla vagyok az XY bank biztonsagi osztályáról. Tájékoztatom, hogy a beszélgetés biztonsági okokból rögzítésre kerül. Az Ön kártyájával valószínűleg visszaélés történt. Ezt szeretném ellenőrizni, de az ügyintézéshez azonosításra lesz szükség. Kérem válaszoljon: Mi az ön neve?
  • Kiss Pista.
  • Az édesanyja neve?
  • Nagy Juli.
  • Születési ideje?
  • 1920.01.01.
  • Köszönöm, az azonosítás sikerült. Az Ön kártyájára XY hotelből 123.456Ft terhelesi kérelem érkezett, de gyanús a tranzakció, ezért kérem Önt, nyilatkozzon! Ön fizetett XY hotelnek 123.456Ft-ot?
  • Dehogyis! Mi a f*sz ez? Miért vonták le? @*#%!!!
  • Semmi gond, természetsen letiltjuk a tranzakciót és a kártyát is, nem törtenik majd kifizetés.
  • Huh, óriási! Nagyon hálás vagyok! Jajj, de jó!
  • Ehhez csak egyeztetnünk kell az adatokat. Az Ön kártyájánk száma: 1234556789, lejárati dátuma xx/yy. Így van?
  • Megnézem, pillanat... Igen, ez az.
  • A letiltáshoz már csak 2 dologra van szükség. A kártya hátoldalán lévő 3 jegyű azonosító számra és egy érthető, hangos válaszra a hangfelvétel miatt. Kérem valaszoljon: Le kívánja tiltani az 123456789 számú kártyát?
  • IGEN
  • A kártya hátoldalán található 3 számjegyű kód?
  • 123.
  • Köszönöm, az Ön kártyáját azonnal letiltottuk, és terítésmentesen elindítjuk az új kártya igénylését. Köszönjük az együttműködést.

Na, hogy tetszik?
Aki erre azt mondja, hogy az emberek 90%-a nem ugrik bele, az nem ismeri az embereket. Annyi adatot zúdít a támadó az áldozatra, hogy az áldozatban föl sem merül, hogy nem a bankkal beszél és azonnal válaszolni fog minden kérdésre.

 

Nagyon fontos tudatában lenni annak, hogy attól, hogy valami létezéséről nem tudsz, az nem azt jelenti, hogy nincs is. Ahogy nem úgy ellenőrzöd, hogy be van-e kapcsolva a rezsó, hogy rátenyerelsz, úgy az adataid biztonságát sem úgy teszteled, hogy hagyod őket ellopni. Nem félni kell, nem kell elbújni a világ elől, és nem, paranoidnak sem kell lenni, egyszerűen csak tudatosnak.

"Legyen kedves a bankkártya számát és lejáratát megadni!"

Ne legyél kedves! Soha!

Újabb friss-ropogós gyönyörűség:

hotel-bankka_rtya.png

Te mit csinálnál?

Remélem, hogy a válaszlevélben felhívnád a szálloda figyelmét arra, hogy adatvédelmi szempontból ez a kérés több, mint aggályos, és hogy eszed ágában sincs még a bankkártyád színeit sem megírni nekik, nemhogy a számát és lejáratát.

És most gondolj bele, vajon hányan küldik gondolkodás nélkül a kért adatokat?

Van értelme egy ilyen kérésnek?

Semmi! Tételezzük föl, hogy megadod a szükséges adatokat a limitet pedig beállítod mondjuk 1.000Ft-ra. Na? Ha bármi van, akkor 1.000Ft-ot tudnak levonni a számládról és nem azt az összeget, amit valójában fizetned kellene.

Miért probléma ez?

Ha elküldöd a kért információkat, akkor az a te levelezésedben a Sendben megtalálható. A fogadó fél Inboxában is meglesz. Meglesz a küldő és a fogadó szerveren is és mindazokon az eszközökön, ahol a levelezések be vannak állítva. Tehát ha a levelezésed laptopon, telefonon és tableten is be van állítva, akkor ugye mindegy, hogy melyik eszközről küldöd a levelet, az minden eszközön a Send mappában megtalálható lesz. Tehát bármelyik eszközödet - és a fogadó fél eszközei közül is bármelyiket - feltörik, akkor máris megszerezték a bankkártyaadataidat.

És akkor ugye ki tudja, hogy a szálloda mit kezd a bejövő levéllel. Kimásolja az e-mailben megkapott adatokat egy Excel táblába? Azt hol, hogyan, milyen titkosítással tárolja? Továbbküldi a penzugy@-ra, hogy a gazdaságisnak is meglegyen a szükséges információ? Továbbküldik esetleg a könyvelőnek? Titkosítva leveleznek vajon?

Elég jól látszik, hogy ezzel az erővel akár a homlokodra is írhatnád a bankkártyaszámod, hogy biztosan jól lássa mindenki...

 

Megoldás

  • Feltétlenül jelezd a szállodának, hogy aggályosnak találod ezt a kérést, és nem vagy hajlandó nekik elküldeni a kért adatokat.
  • Kérd meg őket, hogy találjanak más módot a foglalás véglegesítésére - például fizess átutalással, küldjék el az ehhez szükséges adatokat.

 

És aztán...

Jeleztük a szállodának az aggályainkat, amit mintha meg sem hallottak volna. Természetesen az utaláshoz szükséges adatokat azért elküldték, és még egy kis - nem kevésbé gáz - tájékoztatást:

hotel-bankka_rtya-folytata_s.png

Na ezt ne csináld soha bankkártyával!

Az idei első hajmeresztő felelőtlenség

happy-new-year.jpg

Boldog új évet nektek!

Remélem, az újévi fogadalmaitok között szerepel, hogy igyekeztek biztonságtudatosan élni, és nem csináltok olyan ordas nagy baromságokat őrültséget, mint amit épp ma követett el valaki:

X.Y. céges bankkártyáját letiltották. Erről a bankártyáról fizettek automatikusan több, havonta megújuló informatikai szolgáltatást. Természetesen előbb tiltották le a kártyát, és csak utána gondolták át, mivel is járhat ez. Például azzal, hogy akár már holnap nem fog tudni dolgozni senki, ha ugyanis nem tudják a havidíjakat levonni, kikapcsolhatják a szolgáltatásokat.

És most jön a rémtett: a bankkártyát egyszerűen lefotózták és egyből e-mailben elküldték a fényképet.

Ez már eleve a telefonról, a fényképek közül lopható, de vihetik a levelezésből is, meg persze bármelyik csatornát megfúrva, ahol az információ közlekedik.

 

Ha érted, hogy ez miért volt gáz, de neked sem lenne más ötleted eljuttatni a kártyaadatokat A-ból B-be, ha épp szükség lenne rá, akkor most lássunk rá megoldást.

  • Nyisd meg a Word-öt, írd bele egy dokumentumba a kártyaadatokat, és mentsd el úgy, hogy jelszóval védett legyen! (Így ha a számítógépedre bejut egy támadó, akkor is titkosítva lesz. Nem feltörhetetlen, de mindenképp biztonságosabb, mintha titkosítás nélkül van a gépeden.)
    • B-verzió: Elmentheted akár jegyzettömbbe is, amiből aztán jelszóval védett zip-et / rar-t / 7zip-et állíthatsz elő, de ha kész a titkosított fájl, ne felejtsd el a gépedről véglegesen (tehát a kukából is!) törölni a .txt-t!
  • A fájlnév ne legyen árulkodó, szóval ne bankkartyamadatai.doc legyen a neve. :)
  • A jelszó legyen erős (tehát ne 1234), random generált mondjuk. Az így titkosított doksit elküldheted e-mailben, a jelszót pedig küld mellé sms-ben.
  • A legjobb megoldás pedig, ha a levelezésedet GPG/PGP-vel intézed. (Erről egy későbbi postban írok bővebben.)

Természetesen a fenti módszer sem jelent 100%-os védelmet, de ha ezt a pár egyszerű lépést megteszed, akkor azért sokat teszel a kártyád biztonságáért, és ez a lényeg.

Mostmár tudod, hogy hogy kell, szóval soha ne küldj fényképet a bankkártyádról senkinek! :)

IT biztonság - Az első lecke

Ti kérdeztétek

Ismét kaptunk egy olvasói levelet.

Szervusz!
Olvasom a blogod, nekem tetszik!
Felvetetted a lehetőséget, hogy ‎lehet mindenféle blogmotor regiszter nélkül kérdezni, igy nagy tisztelettel szeretnék élni ezzel, mint újonc. 
Előzményem: a kilencvenes évek eleje óta Mac felhasználó vagyok, van egy régi gépem, de anyagilag sem bírom kedvem szerint folytatni, és jövőbeni terveimhez sem szolgál ki a Mac. 14-éves a kicsike, lassan tényleg netre sem lehet használni. Webbank nincs, levelező elavult, csak képet lehet vele szer
Sosem volt még windows, bármi más PC-m, de szeretnék egyet most‎.
Vettem tárhelyet, vettem domain-t, lesz levelezőm. (...)
Amint látod : kell levelező szoftver, kép és videó (...) szerkesztő, dokumentum kezelő is.
De hogy fogom megvédeni a gépemet? Mitől maradok biztonságban böngészés közben? Hogy fogok magamnak biz-ton-ság-os weboldalt létrehozni? Párom laptopján zombiszerver üzemelt. Mondtam is neki, hogy a lemez forog, a gép dolgozik magától, ha nem vagy otthon! Szaki több 10 giga rejtett adatot, és több 100ezer foldert talált rajta.
Ez foglalkoztat nagyon. Ma megyek a laptopért.. (...). Terveim szerint egy linux és egy win lesz rajta.
Mit javasolsz rá telepíteni és milyen programokat, biztonsági komponenseket rakjak rá?
‎Nem szeretnék szívni vele.
Köszönöm előre is valaszodat, foglak továbbra is szorgalmasan olvasni.


A kérdést több oldalról is szeretném megközelíteni, mert erre nincs egyszerű válasz.

Sokakkal ellentétben én nem vagyok arról meggyőződve, hogy a Linux biztonságosabb, mint a Windows. Igaz, hogy Windowsra több a vírus, meg mindenféle csúnyaság, de ez nem a mai Windowsok hibája. Lassan nincs olyan hét, amikor ne látnánk újabb és újabb Linux sérülékenységeket, a Microsoft meg tényleg dolgozik azon hogy a Windows jobb legyen.

Nem akarok ebből semmilyen hivők közti háborút, úgyhogy megpróbálom hétköznapi szinten összefoglalni mik azok amik javítanak a biztonságon. Akik alaposabban érdeklődnek a téma iránt, olvassanak a post végén, ez a post alapvetően magánembereknek, otthoni viszonyokra szól és nyilvnvalóan nem elég ahhoz, hogy mondjuk sokezer ügyfél adatait védjük meg.

Megpróbálom témakörönként csoportosítani, bár a témakörök között elég nagy az átfedés.

safety_first.jpg Kép: brd_

Windows

Window 10 telepítésnél az összes opciót kapcsold ki szerintem. Nem ezzel fogod elkerülni a cryptolockert, de szerintem jobb kikapcsolni minden adatküldős, adatmegosztós funkciót.

Windowson a sokszor emlegetett alapszabályok fontosak.

  • Mindig legyen frisstve,
  • legyen bekapcsolva a tűzfal és
  • legyen rajta egy friss vírusírtó.

Ezek egyike sem képes csodákra, de a tömeges, általános dolgoktól jó hatékonysággal tudnak védekezni.

NE használd rendszergazdaként a géped. Tudom, hogy nagyon kényelmes, de legyen egy rendszergazda és egy sima felhasználód a gépen. Használd sima userrel, és ha kell, csak akkor add meg a rendszergazda jelszavát egy telepítéshez, vagy beállításhoz. Még jobb, ha tényleg van egy biztonságtudatos rendszergazdád, aki kézben tartja ezeket a dolgokat.

Használj bitlockert - azaz titkosítsd a meghajtód!

Legyen egy nem túl hosszú screen lock beállítva, és kérjen jelszót a feloldáshoz. És ha otthagyod a géped, mindig lockold.

Ne legyen bekapcsolva semmilyen automatikus lejátszás, mindig te egyedileg döntsd el mit akarsz kezdeni a fájlokkal 

Linux

Linuxnál a legfontosabb, hogy ne rootként használd a gépet (tehát pl. ne használj Kalit alapbeállításokkal csak azért, mert az vagány dolog). Ezen kívül olyan haladó beállításokra lenne szükség, amik már túlmutatnak a laikus szinten, de akit érdekel, olvassa el a cikk végét.

Legyen külön tmp könyvtárad, külön boot, külön home, és mindegyiket megfelelő módon csatold fel. Pl. a tempen mindenképp legyen nodev, noexec, nosuid beállítva. De ez már tényleg nem felhasználói szint.

Ne legyenek olyan fájlok a gépeden, amik mindenki által írhatóak.

Itt is legyen tűzfal bekapcsolva, és akár vírusírtót is tehetnél rá, mert ártani nem árt.

Használj LUKS-ot a homeodra vagy a teljes /-ra.

Ember

A helyzet az, hogy a biztonságban TE vagy a legfontosabb. Lehet bármilyen eszközöd, biztonsági szoftvered, ha fegyelmezetlen vagy, semmit sem fog érni. A legfontosabb ökölszabály, hogy ami kényelmes, az tutira nem biztonságos. Ezt mindig tartsd szem előtt. Vannak persze kivételek, dehát az ökölszabályok már csak ilyenek.

Olyan weboldalakat, amikről feltételezhető, hogy megengedőbbek a szabályszegésekkel kapcsolatban (warez oldalak, pornó, cukiságoldalak, kifejezetten kattintásvadász oldalak stb.) kezelj nagy körültekintéssel. Szerintem pl. azon a gépeden, amin érzékeny adatokat tárolsz, ne is látogasd ezeket az oldalakat. Legyen erre egy külön virtuális gép, amit bárki ingyenesen csinálhat magának pl.virtualbox-szal. Nem 100%, de sokkal jobb, mint saját gépen warezolni.

NE használd a számítógépen megadott useredet semmi máshoz. Tehát ne ezt állítsd be a szkennerbe, mikor e-mailbe vagy hálózatra szkennelsz, és ne ezt használd a munkahelyeden, vagy bárhol máshol. Legyen egyedi.

Ha teheted, minimalizáld a támadási felületet azzal, hogy a lehető legkevesebb kiegészítőt, szoftvert telepíted. Nem arra gondolok, hogy ne tegyél fel Wordot, vagy Firefoxot, hanem arra, hogy ne tegyél fel cuki képernyővédőt, mindenféle Firefox kiegészítőt, és teljesen értelmetlen feladatokat elvégző szoftvereket feleslegesen. Én például nem használok flasht évek óta, mert nem biztonságos és a java pluginek futása is manuális engedélyhez kötött. És ami nagyon fontos, ne torrentről leszedett szoftvereket tegyél föl. Senki sem olyan jótét lélek, hogy ingyen dolgozzon programok feltörésén, hogy aztán te ingyen használhasd. Mi értelme lenne ennek? Viszont ha van a feltört Windows/Office/Game stb. programban egy kis beépített ajándék a jótékony hackerek (mert ugye kik is törik fel ezeket a szoftvereket?) részéről, akkor már meg is érte megcsinálni a törést, mert szereztek vele egy csomó gépet a botnetbe. Szóval vedd meg szépen a szoftvereket.

Ha valmit telepíteni akarsz és a vírusírtó sikít, hogy ez bizony vírusos, akkor nem az a megoldás, hogy felfüggeszted a védelmet amíg telepíted, mondván ez tutira nem virusos, mer' a Feri küldte. Nem. Az bizony virusos, te pedig nem telepíted, ha nem akarsz vírust.

Ne telepits feleslegesen olyan böngésző plugineket, amik egyből böngészőbe ágyazva megnyitnak tartalmakat (média, pdf, videó, akármi).

Szóval összességében tartsd kézben az irányítást, ne hagyd, hogy a géped mindent megcsináljon helyetted.
NE, hangsúlyozom, NE jegyeztess meg jelszavkat Firefoxban (általában böngészőben), TotalCommanderben stb. Használj password safe-et.

Legyél bizalmatlan. Ha kapsz egy levelet, gondold át kitől jött. A többségünknek nem küld levelet Bill Gates, hogy megossza vele a vagyonát, vagy Mihalik Enikő, hogy megmutassa a meztelen képeit (.exe formátumban természetesen). Szóval ne kattints, csak ha biztos vagy a dolgodban.

Hálózat

Állíts be fixen névszervert, például opendns-t.

Tűzfalon kifelé és befelé is minden legyen alapból blokkkolva, csak azokat engedd ki, vagy be egyesével, amiket használni akarsz.

Az otthoni wifid jelszava legyen nagyon erős és ne add oda barátoknak sem. Vendégeknek legyen külön vendég wifi (nem tőlük félünk, hanem a teleonfjuktól, laptopjuktól...)

Ne használd a szolgáltató által adott modemet/wifi routert fő eszkozként. Tegyél mögé egy saját routert, és ahhoz csatlakoztasd a gépeidet, telefonjaidat stb.

Ne legyen egyetlen olyan openwifi sem beállítva a gépeden/telefonodon, amihez automatikusan csatlakozol.
Ne használj publikus wifiket, ha lehet, de ha mégis (én is szoktam azért), legyél körültekintő. Használj saját DNS-t és használj mindent titkosítva és különösen figyelj oda a https certekre. Ha nem jó a cert, ne lépj tovább!

Adatvédelem

  • Legyen snapshot, shadow copy bekapcsolva, hogy visszaállíthasd a fájljaidat.
  • Legyen mentésed, amit nem ér el folyamatosan a géped (tehát ne olyan hálózati meghajtón legyen, amit folyamatosan lát a géped).
  • Legyen mentésed.
  • Legyen mentésed (ezt még le kéne írni 100-szor).
  • Legyen titkositva minden, ami fontos. Teljes merevlemez, jelszavak stb.
  • Ne küldj e-mailben titkosítatlanul fontos információkat (pl jelszavak...).

 Biztonságos weboldal

Nem telik úgy el hét, hogy ne kellene valamilyen webalkalmazást tesztelnem, mégis ez a kérdés legnehezebb része. Egy cégnek persze tudnám, mit válaszljak, de egy magánembernek nem mondhatom, hogy a megfelelő céggel csináltassa meg, aztán leteszteljük neki X százezer forintért. Szóval ez nehéz, de itt is mondok ökölszabályokat.

Használj olyan CMS-t vagy webáruház motort, amit aktívan fejlesztenek és nagy a közösségi támogatása. Magento, Wordpress, Drupal, ilyesmi. Ezt mindig tartsd frissen (bár ennek nem is olyan régen volt hátránya is, mert feltörték a Wordpress-t és a frissítésen keresztül tudtak fertőzni...).

NE a legolcsóbb hosting szolgáltatónál üzemeltesd.
Kérdezd meg a szolgáltatót, hogy használ-e ModSecurityt vagy valamilyen web application firewall-t. Kérdezd meg hogyan garantálják, hogy ha feltörnek egy másik weboldalt, akkor a tied nem kerül bajba. Kérdezd meg, hogy van-e tűzfal, és az milyen szolgáltatásokat nyújt (pl. szólnak-e neked, ha gyanús forgalom zajlik a usereddel).

Ne használj SEMMIT titkosítatlanul a tárhelyeden (ftp, imap, smtp, https minden legyen titkosítva rendes certtel), te magad is tegyél WAF-t alkalmazáson belül (ez Wordpressben egy modul, amit pár kattintással bekapcsolhatsz).
Egy laikusnak iszonyú nehéz megfelelő szolgáltatást, és megfelelő szakembert választani sajnos.

A jó hosting kérdése annyira nehéz egyébként, hogy én anno (több mint 10 éve) inkább csináltam saját webszervert, mert nem volt normális szolgáltató. Azóta is csak saját szerveren hostolok, és ügyfeleknek is ezt javaslom. Persze ez szakértelmet ÉS elhivatottságot igényel sajnos.

 

Post vége: azok, akik mélyebben érdeklődnek a téma iránt, szeretnék saját szerverük, asztali gépük, laptopjuk biztonsági szintjét drasztikusan emelni, töltsék le a rendszerspecifikus hardening PDF-et a CIS-től, és menjenek rajta tételesen végig. https://learn.cisecurity.org/benchmarks

Jelent-e bármilyen veszélyt a bankkártyás vásárlási bizonylatok egyszerű kukába dobása?

Ti kérdeztétek

bizonylat.jpgHa nagyon egyszerűen akarnék válaszolni, akkor csak ennyit mondanék: mint ahogy az életben bármi, igen, ez is lehet veszélyes.

Csakhogy ettől még senki nincs beljebb, szóval inkább nézzük kicsit részletesebben. (De előtte azért mégis szögezzük le gyorsan: azért nagy para nincs, nyugi! :) )


Tegyünk különbséget a bankkártyás vásárlás után a pénztárban kapott bizonylat és az ATM-es készpénzfelvétel után kapott bizonylat között. Ez utóbbi egy csöppet veszélyesebb, hiszen szerepel(het) rajta, hogy még mennyi pénzünk maradt a bankszámlánkon.
Más tekintetben viszont kezelhetjük őket egyformán.


A bizonylaton szerepel többek között a bankkártyád utolsó négy számjegye, hogy hol, mikor és mennyiért vásároltál. Ezek önmagukban nem olyan adatok, amikkel egyből vissza lehet élni. Szóval pont úgy kidobhatod, mint a cuki cicás képeslapot, amit a barátaidtól kaptál szülinapodra. Alá is írták, mindenki a becenevét. 

Pont annyira veszélyes kidobni a bizonylatot, mint a szülinapi képeslapot. A barátaidtól. A cuki cicásat.

Ha ugyanis téged, vagy rajtad keresztül akar bárki támadni, akkor a képeslap rengeteg fontos információt tartalmaz. Hogy (kb.) mikor van a szülinapod. Ha a haverok nem diszkrétek, azt is meg lehet tudni, hogy hányadik volt épp. Azt, hogy szereted a cuki cicákat. És a haverok becenevét is. Mert jófejek és aláírták. Így aztán ha megszereznék még mondjuk az e-mail címed, és kapnál oda egy nagyon hasonló e-mailt, amit látszólag a haverokt írtak alá, akkor már kattintanál is. Ugye? És már be is nyaltál valami vírust.
No, de ez egyrészt egy másik út, másrészt pedig - bár reális, mégis - kicsi az esély ilyesmire.

Na, pont ilyesmi fordulhat elő a bankkártyás bizonylatokkal is. Ha pl. egy kupacnyit dobsz ki egyszerre, akkor abból a vásárlási szokásaidat remekül lehet rekonstruálni. Ha valaki konkrétan téged akar támadni, akkor már tudja a neved, megszerezte a bizonylatod, ahonnan tudja a bankártyád utolsó négy számjegyét, és azt is, hogy múlt pénteken hol fizettél 6.437Ft-ot. Ha még azt is kideríti, hogy melyik banknál vagy, és hogy mi a címed /e-mail címed, akkor már kapod is a hivatalos banki levélhez megszólalásig hasonló levelet, amely néven szólít, közli, hogy a bankkártyáddal, melynek utolsó négy számjegye 1234, és amivel múlt pénteken 6.437Ft-ot fizettél a sarki közértben, na, szóval azzal van valami baj, de azonnal kivizsgálják, csak add meg a valamilyen adatod. Az emberek jelentős többsége ennek biztosan bedől.

Igen, jól érzed, ez már szinte határos azért a paranoiával. Valószínűleg ennyi energiát és nyomozást és szemétben turkálást senki nem feccöl egy átlagos bankszámla lenyúlásába - ráadásul biztosan könnyebben is hozzájuthat bankkártyaadatokhoz. Azért meséltem ezt el, mert ennyi veszély van a dologban, nem több. Viszont ennyi van. Nem mondhatom, hogy tökéletesen biztonságos csak úgy kidobni a bizonylatokat.


Pénzfelvételnél azért ha nem muszáj, ne kérj bizonylatot.
Ha kicsit jobban parázol az átlagnál, akkor tépd össze, mielőtt kidobod.
Ha sokkal jobban parázol az átlagnál, akkor égesd el. :)

 

3d Secure - Biztosíték a bank számára?

3d-secure.pngNemég bankot váltottam, és az ügyintéző lelkesen mesélte, hogy nagyon bizotnságos a vásárlás az ő kártyájukkal, mert van 3d Secure.

Itt olvashatod, miről is szól ez:

http://www.mastercard.com/hu/consumer/securecode-gyik.html



Magyarul, ha online vásárolsz, akkor - opcionálisan - jön egy kód, amivel igazolod, hogy te akarod használni a kártyát. De ez hogyan véd meg téged, ha egyszer opcionális? Mitől véd meg?

  1. Valaki ellopja a tárcád, vagy a kártyád, vagy a kártyaadataidat és interneten használja. Ettől megvéd, feltéve ha a támadó olyan hülye, hogy 3d Secure helyen vásárol a megszerzett adatokkal.
  2. ? - Mitől még?

Persze választhatsz tudatosan olyan kereskedőt, aki támogatja a 3D Secure-t, de ez esetben ki véd meg kit? Mitől véd meg a kód?

Szerintem semmitől. Ha én ellopom az adataidat és vásárolok hát tutira nem 3D Secure helyen fogok vásárolni, úgyhogy ennek semmi értelme. Az a biztonsági intézkledés, ami nem kötelező, az bizony nem ér semmit.

Vagyis mégis véd azért valamit:

Megvédi a KERESKEDŐT hiszen ha a kereskedő 3D Secure kereskedő, akkor tudja bizonyítani, hogy te vásároltál, így az ő felelőssége megszűnik. Még akkor is, ha valaki megtalálja a módját a visszeélésnek, akkor is bizonyítva lesz, hogy te voltál. Jó ez neked? 

Cserébe viszont kényelmetlen. Nem is értem, ki találta ezt ki.

A 3D Secure jó lenne, ha kötelező lenne mindenhol. Akkor igen, tuti. De így csak púp a hátamon. Örömmel fogadok minden ellenvéleményt, komolyan szeretném magam biztonságban érezni a 3D Secure miatt, de egyelőre úgy látom, hogy az emberek többségének hamis a biztonságérzete, ami iszonyú nagy probléma. 

Kérdezz!

ke_rde_s-ffi-kicsi.jpgAzt szeretném, ha minél többen megtalálnák itt  a választ a kérdéseikre.

Mivel a blog tényleg laikusoknak szól, és különben is úgy vagyok vele, hogy hülye kérdés nincs, kérdezz bármit, ami nem világos, amiről nincs infod, amiről jó volna többet és / vagy érthetőbben olvasni.
Kifejezetten nem szeretem, amikor a többé-kevésbé szakik magas lóról odavetik a pórnépnek, hogy hát ezt meg azt kéne csinálni, be kéne állítani, nem kellene klikkelni, észre kellene venni, stb., stb., csak épp soha senki nem mondja meg, hogy hogyan állíts be mit, mire figyelj, miért ne klikkelj (amikor olyan cuki / érdekes / bármimás), mi történik, ha klikkelsz, stb., stb.

Szóval legyen tudásod, legyen alap, hogy tudj gondolkozni, hogy ne félj, hanem valóban tudatos lehess! És ha ehhez az kell, hogy kérdezz, akkor kérdezz bátran!

Azt nem ígérem, hogy minden e-mailre válaszolni fogok, de a blogot mindenképpen formálhatod a kérdéseiddel, és itt választ fogsz kapni - remélhetőleg - mindenre, amit szeretnél megérteni, jobban megismerni.

Tudom, trollok ellen nincs védelem, de ha lehet, fogd vissza magad és ne trollkodj. Had maradjon idő, energia a valódi kérdésekre.
Ha kérdezel, próbálj olyan egyértelműen fogalmazni, amennyire csak tudsz. Nyugi, tisztában vagyok vele, hogy egy esetleg tök ismeretlen területtel kapcsolatban nehéz még kérdezni is.

Szóval kérdezz bátran!

kerdezek [kukac] hackerfeleseg [pont] hu

Autólopás okostelefonnal

Belefutottam ebbe a cikkbe: http://androgeek.hu/hir/android-aplikacion-keresztul-hackelheto-a-tesla és szeretném kicsit megmagyarázni, árnyalni a dolgot, ugyanis ez így csak féligazság.

393px-ifa_2010_internationale_funkausstellung_berlin_92.JPGkép: Wikipedia

Tök jól hangzik, hogy egy Teslát el lehet kötni ilyen támadással, de ez tipikusan az a támadás, aminek egyrészt nagyon sok feltétele van, másrészt ha ezek a feltételek teljesülnek, akkor nem csak egy Teslát lehet elkötni, hanem bármit meg lehet csinálni a telefonon. Azért ez egy elég lényegi információ. Mobilbank, bármilyen online fiók, levelezés, jelszavak, akármi. Tényleg akármi. A mobilbankos kommunikációt is pontosan ugyanígy lehet támadni, ha a user volt olyan hülye, hogy:

  • Rootolt telefont használ*, vagy mindent ész nélkül engedélyez az alkalmazásnak (tegnap hitelesnek tűnő forrásból hallottam, hogy az androidok 25%-a, az IOS-ek 8%-a rootolt/jailbroken). Biztonsági szempontból ez az első lépés a legnagyobb hülyeség, amit mobilt hasznaló ember tehet (tudom, ezzel most sok embernek a lelkébe tiportam, bocs).
  • Csatlakozik ismeretlen open wifihez. Ez mondjuk néha előfordul, de ha lehet, kerülendő.
  • Letölt és telepít egy ismeretlen gyártótól származó alkalmazást egy hamburgerért (vagy barmi más motiváció miatt).
  • Mindezt ott, akkor, azonnal, amikor a támdó épp ül a free wifi mögött. Ennek mi az eselye?

De ha mindezeket megtette, akkor a támadó a telefonját törte fel, nem a tesláját. A cikkben leírt módon többek között mobilbanki kommunikaciót is támadhat a hacker, mert nagyon hasonlóan működik, de valójában az újraregisztrálás vagy új kulcs generálás sem fontos, mert ha már rootkent futok az eszközön, azt csinálok vele amit akarok. Bár ez realtime működik, a Tesla lopáshoz tényleg kellhetnek azonositók. Mindezek mellett persze meg lehetne jobban is csinálni azt az alkalmazást.

Úgyhogy a cikk érdekes, de pongyola és szenzációhajhász. Igazabol olyan mintha azt mondanank, hogy egy autot el lehet lopni a kulcsaval.. oriasi szenzacio. De ami még fontosabb, ami miatt megszületett ez a post, hogy a cikk nem foglalkozik a megoldással, amit én nagyon utálok. Állandóan leirják, mi a baj, de sosem irják le, mi a megoldás.

Mi leírjuk:

  • ne rootold a telefonod,
  • ne rootold a telefonod,
  • ne rootold a telefonod,
  • ne telepíts semmilyen ismeretlen, torrentezett stb. alkalmazást,
  • óvatosan bánj az ismeretlen wifikkel, openhez inkabb ne csatlakozz, de ha mégis, akkor használj mindent titkosítva (levelezés, mindenféle webes belépések stb.)

És akkor nem fogják (így) ellopni a Tesládat. :)
És ha van egy Teslád, hívj meg egy tesztvezetésre, köszi.

Egyébként azt nagyon fontos lenne mindenkinek megértenie, hogy egyre kevésbé van olyan, hogy adatlopás nem egyenlő fizikai lopással. Gondoljatok bele! Az ingatlan-, autó-, vagy bármilyen tulajdonjogotok, az adózási informaciótok, a pénzetek - minden csak egy adat. Egy rekord egy adatbázisban. Mi van ha módositják az adatbázist? Hogyan bizonyitod az igazad. És 10 év múlva?


* rootolt/jailbroken telefon: lényegében egy a user által eleve feltört telefon, amin a user rendszergazda jogokkal rendelkezik. Tehát ha telepít egy malware-t az képes lesz rendszergazda jogokkal barmit csinalni a telefonon. Tehát a telefont előzetesen a user maga törte fel, csak utana jött a hekker :)

6 tipp a biztonságos karácsonyi vásárláshoz

Igazán remek dolog az online vásárlás. Nagyban megkönnyíti az ember életét, de hogy biztonságos is legyen, íme hat tipp:

1. Keresd a https-t!

A böngésződ felső részén van egy sáv, ott találod az URL-t, más néven webcímet, ami azt mutatja, hogy milyen oldalon jársz.

Kizárólag olyan oldalon vásárolj, amit https protokollon át érsz el. A http nem elég, nem biztonságos, erre vásárláskor különösen figyelj oda.

https-screenshot.png

A https előtt még egy zöld lakat is jelzi, hogy igen, biztonságos oldalon jársz. Tehát csak ott vásárolj, ahol van zöld lakat, ahol az oldal URL-je így kezdődik: https://...


2. Mindig figyelj az URL-re!

Az URL másik nagyon fontos része a domian: (aldomain.)valami.hu A zárójelben lévő résszel nem feltétlenül találkozol, de figyelj csak!

[Az alábbiakban példákat mutatok, nem biztos, hogy ilyen formában tényleg léteznek is ezek az oldalak, de demonstrálni remek lesz. Ha valami mégsem világos, kérdezz bátran!]

  • Az otp.hu egyértelmű: ez az OTP weboldala.
  • A belepes.otp.hu is rendben van: ez az OTP egy aloldala, ahol mondjuk beléphetsz valahová.
  • Ehhez mit szólsz? belepes.opt.hu
    Olyan, mintha, de nem!
    Ez már nagyon nincs rendben! Lehet, hogy a weboldal amúgy pont úgy néz ki, mint az OTP weboldala, de ez mégsem az! Ezen az oldalon jó eséllyel már lopják is a banki adataidat.

Szóval ezért nagyon fontos, hogy mindig figyelj a weboldal címére is, ne csak a kinézetére!


3. Figyelj az e-mailben érkező ajánlatokra!

Különösen a számodra ismeretlen (nem regisztráltál ilyen oldalra, nem is jártál ilyen oldalon, stb.) feladótól érkező levelekkel légy bizalmatlan.
Ami túl szép, hogy igaz legyen, az általában nem is igaz - ne kattints, ne akarj ilyen e-mailek alapján vásárolni semmit!

Egyébként az ismerős(nek tűnő) feladótól érkező e-mailekkel is légy körültekintő. Nézd meg a feladó e-mail címében szereplő domaint (a @ utáni rész), mert itt is járhatsz úgy, mint a fenti példában szereplő OTP-s domainnél.


4. Ne vásárolj nyilvános / open wifi-t használva!

Remek dolog a nyilvános wifi, csak éppen nem biztonságos. (Hogy a szuperszexi képeid biztonságban legyenek című postban már említettem a nyilvános wifi árnyoldalát, tudod, olyan, mint a mekiben hallgatózás.)

Biztonságos hálózaton (mondjuk otthon - remélhetőleg az otthoni hálózatod biztonságos, de beszélünk majd még erről is) keresztül vásárolj csak.


5. Használj jelszómenedzsert!

Muszáj bonyolult jelszavakat használni, ahhoz, hogy biztonságban légy. Persze ezeket is simán el lehet lopni. Soha, de soha, de soha ne ments el jelszavakat például böngészőbe! Persze, tök egyszerű, hogy két kattintással belépsz bármilyen oldalra, de az kb. annyira biztonságos, mintha a homlokodra tetováltatnád a bankkártyád minden adatát.

Egyébként a jelszómenedzsereket használva is két kattintással jutsz be bármilyen oldalra, ráadásul így használhatsz bárhova brutálisan hosszú, random generált jelszavakat. Ezek titkosítva tárolnak mindent, tehát ha fel is törik a géped, vagy összeszedsz egy vírust, a jelszavaid akkor is biztonságban lesznek. (Amúgy meg a brutálisan hosszú, random generált jelszavakat jóóó sok idő feltörni.)


6. Használj vírusirtót, a vírusirtód legyen mindig naprakész!

Te is utálod, hogy folyton jönnek a kis ablakok, hogy valami újabb frissítés érkezett a gépedre? Nem baj. Utáld bátran, de telepítsd a frissítéseket, mert ezek tartalmazhatják a korábbi biztonsági rések javítását. A vírusirtóból pedig egyenesen kötelező mindig a legfrissebb!