A hackerfeleség naplója

Vigyázat, pongyola! Csak laikusoknak.

Nőnap

We Can Do IT!

2017. március 08. - hackerfeleség

A sztereotípia azt diktálja, hogy ha szóba kerül úgy általában az informatika, meg a nők, akkor ez biztosan kompatibilitási problémát jelent. Pedig...

women-in-tech-splash.pngKép innen: https://crowdsource.storymaps.esri.com/stories/women-in-tech

 

Ha valaki nem ért valamihez, az nem az ő biológiai nemén múlik. Rengeteg férfi van, aki éppen úgy képtelen felfogni az IT Sec fontosságát, aki nem tudja, miért lehet veszélyes, ha nem védi megfelelően az adatait, aki éppen úgy kiposztolja gondolkodás nélkül Facebookra a görbe hétvége fotóit (persze nyilvánosan, hogy mondjuk a következő álláskeresésnél a HR-es is tudjon csemegézni), akinek lövése sincs, hogy hogyan kéne beállítani otthon a wifi-routert, hogy az tényleg jó legyen, aki - bár Igazán Fontos Személyként irányít egy céget, de - nem tudja fölfogni, hogy a cége feltört szerveréről ellopták az adatait, még akkor is, ha a feltört szerveren ott vannak azok az adatok - és sorolhatnám még hosszan.
És természetesen rengeteg nő is így van ezzel.

A Nőnap jelentőssége számora az, hogy ez a nap alkalmat ad arra, hogy többet beszéljünk arról, amiről ez a nap amúgy eredetileg is szól.

Fontosnak tartom, hogy a kislányok, meg a kicsit nagyobb lányok, és aztán a nők, asszonyok, anyák, öreglányok és nénik is tudják, hogy az informatika sem egy olyan része a világnak, ahol nincs keresnivalójuk. Hogy nyugodtan tanulhat egy kislány is programozónak, hogy álmodozhat arról egy tinilány, hogy pentester lesz, hogy jogod van anyaként is akarni mérnöki karriert és, hogy öreglányként is rajonghatsz a kütyükért és egy néniként is tisztában lehetsz egy phishing e-mailben rejlő veszéllyel.

Ne gondold, hogy a különböző nőmozgalmaknak manapság már nincs létjogosultsága. Egyáltalán nincs azzal baj, ha csajok fognak össze, hogy tegyenek magukért. Egy normális nőjogi szerveződés nem gyűlöli a férfiakat, nem a kirekesztésről, nem a pozitív diszkriminációról szól!
Én mondjuk azt szeretem, ha inkább együtt gondoljuk úgy, hogy fontos tenni az egyenlőtlenségek ellen.

Ne csak ma beszélgess a lányoddal az informatikáról! Mesélj érdekes dolgokat róla, mert attól, hogy lány és hercegnőnek öltözik, még igenis van agya, és nem csak óvónéninek, vagy fodrásznak, vagy egyéb alapértelmezetten lányos foglalkozásra lesz jó. Belegondoltál már, hogy miért nem visz haza az asszony annyit, mint az ugyanolyan beosztású férfi kollégája a cégnél? (Vagy hogy te miért keresel többet, mint a csaj, aki ugyanazt a munkág végzi, mint te?) Szereted a Nőt, és mégsem háborít fel, mégsem tűnik fel, hogy nem bánik vele, még mindig nem bánik vele éppen úgy a Világ, ahogy veled?

Nos, ezért van még mindig létjogosultsága  a Nőnapnak.

Én azt (is) szeretem a Hackerben, hogy általában nem old meg helyettem semmit. Megmutatja, hogy hogyan kell, hogy hogyan tudom egyedül. Igen, ez sokszor kényelmetlen és fárasztó. De tudja, hogy simán meg tudom csinálni, ha megtanulom - nem számít, hogy nő vagyok, azon ezek a dolgok nem múlnak. És tudom, hogy nem lehetek puhány én sem, csak azért, mert nő vagyok.

 

Ez a blog alapvetően nem csak nőknek szól, sőt!
De nagyon örülnék, ha ma megismertetnéd ezt legalább egy nőismerősöddel. Nagyon klassz dolog ma virággal kedveskedni a csajoknak - nekem legalábbis egyáltalán nincs ellenemre. �  (Igaz, más napokon sem, mert a szobanövények érthetetlen okból nem mindig bírják ki negyed évig víz nélkül... :) ) De adj ma tudást (is)! Lehetőséget, hogy önálló(bb), tájékozottabb lehessen az a nő, akit kedvelsz! Ne gondold, hogy azért, mert nő, ő úgysem értheti!

Legyen biztonságos weboldalad!

Mik a lehetőségeid, ha te nem értesz hozzá?

Pár napja a pizzériás eset kapcsán (is) elkezdett érdekelni, hogy mégis mit csinálhatnak egy hasonló történet szereplői, milyen lehetőségeik (esetleg kötelességeik vannak).

14438581410_170cb186b3_b.jpgBiztonságos weboldalakat, webáruházakat fejleszteni lehet, de nem minden webfejlesztőnek van meg hozzá a tudása, és azt is tudni kell, hogy ez nem olcsó. Tehát összerakja a szomszéd Pistike a weboldalad harmincezerért, de az egészen biztosan nem lesz biztonságos.
A weboldalak, webáruházak tulajdonosainak jelentős részének nincs 0,5-1,5 millió forintja arra, hogy egy valóban biztonságos weboldalat csináltasson magának egyedi fejlesztésben.

De akkor mi a megoldás? Ne legyen weboldala, ne nyisson webáruházat senki, aki nem tud kezdetnek ennyit befektetni? Vagy vegye tudomásul minden felhasználó, hogy az adatait az esetek nagy részében nem biztonságos helyeken kénytelen megadni?

 

Mit tehetek, ha új weboldalt, webáruházt szeretnék?

Jó eséllyel nem tudod eldönteni, hogy a webfejlesztő cég, akit megbíznál az oldal fejlesztésével, képes-e azt biztonságosan elkészíteni neked. Nem is kell mindenhez értened, de azért van, amit tehetsz.

Úgy köss szerződést a fejlesztőkkel, hogy abban legyen benne, hogy ha az oldalt megvizsgáltatod egy etikus hackerrel, akkor az általa talált hibákat ingyen kijavítják neked. Ha ilyen szerződést nem írna alá a fejlesztő cég, akkor keress másikat!

A fejlesztőknek és az üzemeltetőknek elemi érdekük, hogy olcsón tudják adni a szolgáltatásukat. Azon nem tudnak spórolni, amit látsz, de azon igen, amit nem. A megrendelő nem csúnya, de biztonságos weboldalra vágyik általában, így aztán a fejlesztők a biztonságon fognak spórolni, hogy örülj a szép weboldaladnak.
Ne dőlj be! Neked nem szép, de nem biztonságos oldal kell, hanem szép ÉS biztonságos!

És hogy mi olcsó és mi drága? A fenti 500.000 Ft jó kiindulás egyedi fejlesztés esetén. Próbáld a dolgot úgy nézni, hogy nem a pénztárcádból pislogsz ki. Lehet, hogy neked 100.000Ft-os befektetés is sok (=drága), de objektíven az nem számít drágának, sőt! Vedd tudomásul, hogy 500.000Ft alatt nem igazán van esélyed szép ÉS biztonságos egyedi fejlesztésű webáruházat kapni a fejlesztőtől.

Ha megelégszel nem egyedi fejlesztéssel, akkor egy opensource rendszer telepítése, és biztonságos beállítása már meglehet 150.000Ft-ból, de annál olcsóbban nem igen.

Vedd tudomásul, hogy a jó munka pénzbe kerül. Vedd tudomásul, hogy fillérekért nem fogsz biztonságos, minőségi weboldalt kapni, olcsón egyszerűen nem lehet jól megcsinálni ezt sem, mint ahogy annyi minden mást sem.
Ha nincs rá elég pénzed, akkor vedd tudomásul, hogy nagyobb eséllye van annak, hogy feltörhetik az oldaladat, és ebből problémád lesz a későbbiekben. Szóval tudod: csak tudatosan!

Etikus hackerrel megvizsgáltatni egy weboldalt az az oldal bonyolultságától függően 100.000 Ft-tól kezdődő összeget jelent. Jó, ha ezt rá tudod szánni az oldal vizsgálatára. És még jobb, ha a talált hibákat ki is javíttatod a fejlesztővel, különben csak kidobott pénz az egész vizsgálat.

 

Ha már van weboldalad, webáruházad

Etikus hackerrel egy régi oldalt is érdemes lehet átnézetni, ezzel gyakorlatilag ugyanannyi a teendő, mint ahogy azt fönt írtam. A talált hibákat javíttasd ki a fejlesztőkkel!

Ha megtörtént a baj, feltörték az oldalad, akkor azonnal fordulj a fejlesztőhöz, és javíttasd meg vele a hibát. Ha hozzáértés hiányában nem tudja elvégezni a javításokat, keress mást. (Hogy aztán a rossz fejlesztést hogyan rendezed a dolgot, azt már rád bízom.)

Baj esetén értesítsd a felhasználóidat is, mert így tisztességes, meg mert igenis joguk van tudni arról, ha valaki hozzájutott a nálad használt jelszavukhoz. Például azért, hogy meg tudják változtatni minden olyan más helyen, ahol esetleg ugyanezt a jelszót használták.
Igen, nem kellene máshol is ugyanazt a jelszót használniuk, mint nálad, de ettől még nem büntetheted őket azzal, hogy nem közlöd velük a tényt, hogy feltörték az oldalad, tegyenek belátásuk szerint. Már csak azért sem, mert neked pedig kötelességed volna biztonságos weboldalt üzemeltetni, ahol a felhasználóid biztonságban tudhatják az adataikat.

Jelentsd be a rendőrségen is, ha feltörték az oldaladat.

 

wmf_sdtpa_servers_2009-01-20_36.jpgNem csak a webalkalmazás fontos!

A dolog ott semmiképp sem állhat meg, hogy biztonságos weboldalt fejlesztettél magadnak. Ha ugyanis mindez egy nem biztonságos szerveren (webhosting a varázsszó, ami ismerős lehet) fut, akkor megette a fene az egészet!

Biztonságos hostingot is úgy találhatsz magadnak, ahogy webfejlesztőt: ha szerződésben vállalják, hogy egy esetleges vizsgálat során feltárt hibákat javítják, akkor jó. Ha nem, keress mást!

 

A következő posztban leírom, mit tehetsz felhasználóként.

Exkluzív interjú a hackerrel

Pár napja volt hír, hogy feltörték egy pizzéria weboldalát.

Ma megkeresett az oldalt feltörő hacker, H4x0r.
Természetesen ennél többet nem árult el magáról, tehát az álnéven és a sztorira vonatkozó alább közölt részleteken kívül én sem tudok róla többet.

A levélben leírta, hogy a hírekkel ellentétben nem árulja az adatokat. Nem a ✿✿✿✿✿ Pizzéria volt a célpont, hanem az oldalt üzemeltető szerver. Nem a Pizzéria oldalán keresztül jutott be a szerverre, hanem egy másikon (a sok közül). Az, hogy pont ezeket az adatokat hozta nyilvánosságra, csupán a véletlen műve, választhatott volna más oldalt is a szerverről, például egy majd 25.000 regisztrált felhasználóval rendelkező ingatlanos oldalt.

Fontosnak tartotta kiemleni, hogy a ✿ Pizzéria nem tehet az egészről, ők ebben nem hibásak, viszont a szerver üzemeltetője annál inkább.

Elmesélte, hogy maga a szerver katasztrofális állapotban van, nem foglalkoznak vele. Jól mutatja ezt, hogy 2016. november 13-án, ismeretlen, vélhetően török hackerek bejutottak szintén erre a szerverre, deface-elték az itt hostolt weblapokat és szinte biztos, hogy lementették a teljes mysql adatbázist is.

Ennek ellenére a szerver üzemeltetője nem tette meg a megfelelő intézkedéseket, még csak a jelszavakat sem változtatták meg, illetve nem tettek az ügyben rendőrségi feljelentést sem. Mindezt abból tudja, hogy legalább 1 éve hozzáférése van a szerver teljes tartalmához.
Beszélt a szervert üzemeltető cég ügyvezetőjével, elmesélte, hogy megtudta tőle, hogy a tavaly novemberi támadás után nem ők, hanem az egyik ügyfelük, egy önkormányzat tette meg a feljelentést a rendőrségen. Az ügyvezető azt is elmesélte H4x0r-nek, hogy a mostani támadást is a pizzéria jelentette be a rendőrségen és megjegyezte, hogy ő (HF: az ügyvezető) megint csak szív vele, mert járhat tanúskodni.

A hosting cég ügyvezetője levélben elmesélte neki a sztorit, miszerint állítólag jó tíz évvel ezelőtt a még létező MALÉV úgy vett fel egy IT szakembert, hogy az az előtérből bejelentkezett az igazgató gépére. Megjegyezte, hogy sajnos annyit nem tudna fizetni, mint egy légitársaság, de munkát kínált a hackernek

 

Természetesen ezek után akartunk beszélni H4x0r-rel. :)

 exclusive.png

Miért lettel hacker?

Sok mindent nem tudok, és nem is akarok megosztani magamról. Egy átlagos userként kezdtem, mint mindenki. Elkezdett érdekelni a számítástechnika. Amíg a többi diák azzal szenvedett számtech órán, hogy visszategyék a java-t a gépre, amit a tanár mindig leszedett, hogy fel tudjanak menni a chat.hu-ra, addig én az irc-n lógtam, beszélgettem a többi emberkével. Aztán eljött az az idő is amikor már nem csak a technikai része érdekelt, hanem a software, a háttér, mi, hogyan, miért működik. Ahogy egyre jobban belemerültem, óhatatlanul is felmerült bennem, mi lenne, ha…. Ekkor kezdtem el kicsit komolyabban a hackeléssel foglalkozni. Nem tudom ki mivel kezdte anno, de én a wifi-vel. Viszonylag könnyű dolgom volt, nem volt annyira elterjedt a wpa, inkább mindenki wep-et használt, vagy semmit. De ez csak a jéghegy csúcsa volt. Amint sikerült wifi téren arra a szintre fejlődnöm, hogy szinte csukott szemmel is felnyomtam egy hálózatot, elkezdtem gondolkozni azon, hogy mit is lehetne még csinálni. Olvasgattam, videókat néztem, tanultam mit hogyan lehet csinálni, majd elkezdtem a feltört wifiken gépeket keresni, és megpróbáltam bejutni azokra, illetve lehallgattam a hálózati forgalmat. Ekkor még szintén nem volt elterjedt a https, így itt sem volt nehéz dolgom.  Aztán jöttek a webes tartalmak és szolgáltatások. Hajtott a kíváncsiság. Jelenleg webes dolgokkal foglalkozok.

Hogyan lehetséges, hogy nem találnak meg a hatóságok?

Az, hogy a hatóságok nem tudnak megfogni, több dolognak is köszönhető. Tor-t és vpn-t használok, ami eléggé megnehezíti a dolgukat. Persze ezek használata nem jelenti azt, hogy ne tudnának elkapni, ésszel kell csinálni, odafigyelni, mikor mit és hogyan csinálsz. De ha meg is találnának, valószínűleg csak közvetett bizonyítékuk lenne, a gépembe pedig nem tudnak belenézni, minden titkosítva van 100+ karakteres jelszóval.

Te is kapucniban dolgozol 13 monitor előtt, és neked is mátrixos a háttered? Tudod, TV-ben láttam, hogy a profik igy csinálják. ;)

Nem, nem kapucniban dolgozom, és nem is mátrixos a háttérképem. :) Nincs előttem 13 monitor sem, általában csak a notim van, de van egy külső monitorom is. Nincs többre szükségem, a macos gui-ja teljesen megfelel, bár ezt szerintem nem kell magyaráznom, mivel te is azt használsz.

Egyedül, vagy csapatban dolgozol/dolgoztok?

Egyedül dolgozom :) így minimalizálom a lebukás kockázatát.

Nem érzed etikátlannak, amit csinalsz?

Az, hogy mi etikátlan, csupán nézőpont kérdése. Lehet etikátlan egy rosszul megírt oldalt, vagy egy rossz szolgáltatást eladni jó pénzért, de persze az is lehet etikátlan, amit csinálok, hiszen az "ártatlan" user adatait tettem ki a netre. Azért idézőjelben, mert a felhasználó is tehet valamilyen szinten arról, hogy könnyen hackelhető. Gyenge jelszavakat használ, könnyen kitalálható jelszavakat használ, ugyanazt a jelszót használja máshol is, ha nem mindenhol. Nem elég körültekintő, hiányzik a biztonságtudatosság ezen a téren.

Miért nem állítják be biztonságosan ezeket a rendszereket?

Miért nem állítják be ezeket a rendszereket biztonságosan? Itt is több variáció lehetséges véleményem szerint.

1, Ide úgyse akar majd betörni senki

2, Szerintem ez így biztonságos lesz, jelszavak hashelve (MD5 :D)

3, Nem ért hozzá

4, Nem akar vele foglalkozni/nincs keret a nagyobb munkára, a későbbi tesztelésre

Sok szervert feltörtel már?

Elég sok oldalhoz, serverhez van hozzáférésem, ezeknek a 99% észre sem veszi, hogy más is van ott rajtuk kívül.

"Érdekelne a barátnőm levelezése. Ha fizetek neked, feltöröd?" - Ha kapsz ilyen jellegű megkeresést, mi a válasz?

Kaptam már nem egy ilyen megkeresést, de el szoktam küldeni őket, hiszen, ha nem bízik a csajban akkor minek van vele. Nem a pénz motivál, ha így lenne, akkor a pénzügyi szektort vettem/venném célba.

Nézzük akkor, hogy mi a helyzet a pizzériával. Mi motivalt abban, hogy feltörd az oldalt/szervert?

A ✿✿✿✿  servere (HF: amin a feltört pizzéria weboldala is fut) már nagyon régóta megvan, legalább 1 éve, ha nem több. Az egyik oldalukon jutottam be, de a db dump-on (HF: = a szerveren lévő adatbázis lementése) kívül nem csináltam semmit. Aztán jött a novemberi deface a törökök részéről, és kíváncsiságból ránéztem, azt hittem, ha nem is mindent de javítanak, és legalább a jelszavakat lecserélik, de nem így történt. Ezek után fölöslegesnek ítéltem meg a megkeresésüket, mert úgysem csinálnának semmi érdemlegeset. Előtte pedig szándékosan nem jeleztem a hibát. Az információ sokat érhet, például, ha keresek valakit és mondjuk valamelyik oldalon regisztrálva van, könnyen hozzáférek az adataihoz. Ez a többi oldalnál/servernél is így van, tudom, ez sem etikus mások szerint.

Csináltam egy utolsó mentés a db-ről (HF: =adatbázis), majd úgy döntöttem ideje rendet rakni, ha máshogy nem megy, akkor majd így. Ezért hoztam nyilvánosságra az adatok egy részét, és értesítettem erről a médiát is (több-kevesebb sikerrel). Egyedül az  csapott le rá az omegától, se az index, se az origó, se a 24.hu. Szándékosan csak a users táblát tettem ki a netre, amiben név, usernév, email, jelszó van, illetve a feltört hash-eket. Nem plain jelszavak vannak a táblában, hanem joomla hash (Joomla < 2.5.18), 6700-6800 user, és 3230 hash:jelszó párost.

Akkor te most valójában egy Köpenyes Igazságosztó vagy? Lesznek még ilyen akciók?

Nem nevezném magam igazságosztónak, egyszerűen csak betelt a pohár.

Lehet, hogy lesznek még ilyen akcióim, nem tartom kizártnak, de nem is mondom biztosra.

Magát a hibát nem tudom, hogy kijavították-e, ezt nem ellenőriztem azóta, viszont a serverre azóta is szabad bejárásom van, mind a phpmyadmin-ba, mind pedig az ftp-re.

Hogyan lehetne elkerülni a jövőben az ilyen támadásokat?

Az, hogy hogyan lehetne ezeket elkerülni....... az elég sok mindentől függ. Oda kell figyelni, rendesen megírni az adott oldalt, időt kell szánni a server konfigurációjára, biztonságtudatosságra nevelni ill. oktatni a usereket.

Mit tanácsolnál az ügyfeleknek? Azoknak, akik hosting szolgáltatást vesznek igénybe?

Tanácsolni sok mindent lehet, de az emberek 99% úgysem fog vele törődni. Mindenképpen nézzenek utána a hosting cégeknek, olyat válasszanak, aki régóta a piacon van, aki ténylegesen odafigyel a biztonságra, nem csak a csilivili oldalán feszít, hogy secure, tehát megbízható. Keressenek véleményeket az adott cégről. Az oldalaikat auditálják, szánják rá az időt és pénzt, mert egy ilyen betörés során sokkal nagyobb kár is érheti őket. Válasszanak erős, nehezen, vagy nem kitalálható jelszavakat, jelmondatokat. Minden oldalon más jelszó használata lenne az ideális, de ezt nagyon kevesen teszik csak meg.

 

Olyan mintha, de mégsem. Mi az?

Apple phishing, vigyázz!

Az e-mail:

apple_phishing_letter_2.png

Tisztára, mintha az Apple küldte volna. De nézd csak, hova mutat a link!

apple_phishing_letter_link.png

A scottsdale-i kyokushin karate egyik oldalára. Ha a főoldalt megnézed, nem látszik amúgy semmi, nem veszed észre, hogy feltörték a weboldalt. Lehet, hogy a weboldal gazdája sem tudja.
Mert - a pár nappal ezelőtti pizzás sztorival ellentétben - itt a hacker nem jelezte, hogy "Helló, sérülékeny a weboldalad, amit én könnyedén ki is használtam, talán kellene vele valamit kezdeni, nem?"
Itt csendesen ugródeszkának használják phishinghez a feltört weboldalt.

kyokushin.png

A linkre kattintva ugyanis átirányít egy másik oldalra. Ide:

apple_phishing_site.png

Hogy mit kezd az itt megadott adataiddal a hacker, azt most a fantáziádra bízom. De ugye nem szeretnéd megadni az Apple ID-dat valakinek?
Valakinek, akit mondjuk csabaikispalyas-nak hívnak.

A végső phishing oldal egy magyar oldal.
Nem, ennek tényleg nincs különösebb jelentőssége, csak azért mondom, hogy érezd a közelséget. Hackerek nem feltétlenül tőled valahol nagyon messze élnek. És végképp nem olyan messze, hogy téged sose érjenek el. Meg ugye az interneten gyakorlatilag szinte távolságok sincsenek...

Figyeld meg, hogy kezdődik az URL!
www.member.icloud-confirm... Ha nem olvasod tovább az URL-t, észre sem veszed, hogy ez valójában egy magyar oldal, és semmi köze az Apple-hez.

A támadó egyébként (nyilván) nem a saját oldaláról támad, hanem egy másik, szintén feltört oldalról. Ezen az oldalon (ami ugye a csabaikispalyas.hu) létre tudta hozni a fenti aldomaint, ami azt jelenti, hogy 99%, hogy ezen a feltört oldalon bármit megcsinálhat. Olvasgathatja a leveleket, küldhet is az oldal bármely felhasználója nevében bárkinek bármilyen levelet, kiszedhetik az adatbázist (amiben ugye ki tudja, milyen adatok lehetnek), láthatja a jelszavakat, tudja módosítani őket, lehelyezhetnek kártékony kódokat a weboldalon, amivel aztán megfertőzhetik a géped...
Ezt a weboldalt használják phishinghez, de spamelhetnek is innen, terjeszthetnek pedofil tartalmakat - gyakorlatilag bármit, amit csak akarnak.

Mindezt szinte biztosan azért tehették meg, mert a fenti oldalak gyenge, vagy máshol is használt (és máshol megszerzett) jelszóval voltak "védve", vagy más sérülékenysége volt a weboldalnak.

Légy tudatos, szemfüles, figyelj, és vigyázz az adataidra!

 

u.i.: A fentieket természetesen jelezni fogjuk a csabaikispalyas.hu-nak és a kyokushinkaratescottsdale.com-nak. Tegyék meg tétjeiket! Fognak vele valamit kezdeni érdemben vajon?

Hackertámadas ért egy...

pizza-1344720_640.jpgReggeli KV közben általában olvasgatok ezt-azt, jön értesítő az új hírekről, amik engem érdekelhetnek. Jött ma is egy: Hackertamadas ert egy veszpremi pizzeriat. (https://itcafe.hu/hir/hack_veszprem_pizzeria.html) Na ez érdekes, megnézem!

Természetesen a dolog egyáltalan nincs megfelelően kezelve, de most inkább arról szeretnek írni, hogy mi az, amit ezzel kapcsolatban meg kell érteni.

Az ITcafe szerint a hacker el akarja adni az adatbázist: baromság.

Ha feltörök egy oldalt, kidumpolom* az adatbázist, és el akarom adni az adatokat, akkor vajon szólok, hogy ott jártam? Segítek, hogy megváltoztassák az adatokat, és értéktelenné tegyék, amit épp el akarok adni?

A helyzet az, hogy nagyon sok ilyen törtenik naponta amiről NEM TUDUNK, hiszen ez a lényeg. A te jelszavaidat is, és az enyémeket is már régen, több helyről is megszerezték, ahol vásároltunk, regisztráltunk, stb. Vagy elfogadod, vagy nem, de ez tény. Ezért nem használom sehol ugyanazt a jelszót. A random generált jelszavamat meg ellophatják, máshol nem tudják használni, úgyhogy az én facebookomba (nincs is...), meg gmailembe nem így fognak belépni.

pizza.png 

A weboldal üzemeltetője szerint 1:

"Megtettük a megfelelő intézkedéseket!"
NEM tettétek meg. Ugyanis nem értesítettétek a usereket, hogy ugyan cseréljenek már mindenhol jelszót, ahol ugyanazt használták, mint nálatok. Ezen kívül nem is tudom, mire gondolhatnak. Feljelentés, vagy mi? Ez eleve nevetséges. Ki fogja kinyomozni?

A weboldal üzemeltetője szerint 2:

"Sajnos le kellet zárnunk azonnal az oldalt, így nem tudtunk mindenkit külön-külön értesíteni!"
De igen tudtok. Csak akarni kell. Az adatbazis nálatok van, az e-maileket ismeritek, csak akarni kellene...

A weboldal üzemeltetője szerint 3:

"...mi sajnos nem tudtunk ellene semmit tenni!"
De igen! Pont ez a lényeg! Például nem kóklerekkel dolgoztattok, és nem akartok egy több-százezer forintos fejlesztést 30ezerből megúszni. Egyébként ekkora mennyiségű adat ennyire hanyagul kezelése (titkosítatlan jelszótárolás...) már önmagában minimum szabálysértés. Szóval nem csak hogy tudtok tenni ellene, de kötelességetek is lenne.
És mondhatjátok, hogy ti csak pizzát süttök, nem értetek hozzá, de ha ez így van, akkor süssetek pizzát, és ne üzemeltessetek weboldalt. És akkor nincs gond.
Ha viszont weboldalt üzemeltettek, akkor azt a tőletek elvárható gondossággal tegyétek. Például szánjatok rá 300E forintot és vizsgáltassátok meg egy etikus hackerrel az oldalt. Vagy maradjatok a telefonos / e-mailes rendelésnél,  a weboldal meg legyen egyszerű, mint egy névjegykártya és kész. Vagy regisztráljatok valamelyik online kajaszállítós weboldalhoz, vagy béreljetek webshopot, ami vélhetően biztonságosabb - mindenesetre akkor nem nektek kell gondoskodni erről.


És akkor most nézzétek meg, hogy az a cég, aki ennek a pizzériának a weboldalát csinálta, hány weboldalt csinalt még, és megtudhatod, mennyi weboldalból dumpolták* még ki az összes jelszót. Mert hogy mind ugyanilyen szar, az teljesen biztos. Szeritnem a hacker erre akarta felhívni a figyelmet, bár azt nem láttam, hogy milyen üzenetet hagyott a weboldalon.

Kvíz:

  • Szerinted a weboldal üzemeltetője vajon megnézte, milyen sérülékenységet kihasználva sikerült ez a támadónak?
  • Szerinted a weboldal készítője megnézte, hogy a többi, általa készített oldal sérülékeny-e?
  • Szerinted kijavította?
  • Szerinted értesítette a többi weboldal üzemeltetőjét, hogy sérülékeny a weboldaluk?
  • Szerinted értesitették a többi weboldalon regisztrált felhasználokat, hogy az adataik esetleg kiszivároghattak, változtassanak mindenhol jelszót?

De ami a lényeg, hogy te, kedves olvasó, szintén tudsz védekezni ez ellen! Ne mástól várd!

  • NE használd ugyanazt a jelszót több helyen! Mindenhova egyedi jelszó kell.
  • Használj jelszó safe-et (pl Lastpass, Keeper, Keepass stb), 

és akkor az ilyen gagyi weboldalak miatt nem fogják "feltörni" a facebook fiókod, meg mindened.

Nem bonyolult ugye? Csak tudatosan!

 

(* kidumpolni: Egy adatbázist mindenestől lementeni, nem csak benne található adatokat, hanem a struktúráját is. Ez gyakorlatilag egy mentés. Az így kiexportált adatbázis bármikor tökéletesen helyreállítható máshol.)

 

UPDATE: A történet itt folytatódik: Exklzív interjú a hackerrel 

Ma van a Biztonságos Internet Napja

sid-2017-logo-with-less-white-space.jpg

Egy kedves ismerősöm, @szögi így emlékezett meg a mai napról: "Ma van a biztonságos internet napja, szóval húzzátok ki a hálózati kábeleket, kapcsoljátok ki a wifit, és élvezzétek a biztonságot!"

Azért ha szívesen olvasnál arról, hogy a szervezők miket tartanak fontosnak, milyen anyagokkal készültek a világ számos pontján a mai napra, akkor nézz föl ide: https://www.saferinternetday.org/, vagy egyből a magyar oldalra: http://saferinternet.hu/ (ami nem mellékesen nem biztonságos módon [is] elérhető...)

Szerinted miért fontos beszélni - nem csak gyerekekkel - a biztonságos internetről? Lehet egyáltalán biztonságos az internet?

 

 

Töltsd a telefonod a buszon!

A kép a cambridge-i egyetemi járaton készült. (Szóval nekünk gondolom kell vagy húsz évet várnunk még rá. ;) )
Klassz, mi? Lemerül a teló, de nem gáz, mert töltheted a buszon.

Persze nem árt odafigyelni erre is. Nem állítom, hogy biztosan baj száramzik abból, ha mindenféle usb-be bedugod a telefonod. De jobb az óvatosság felkiáltással ilyen helyen* inkább használj olyan átalakítót, vagy kábelt (így keresd google-ben pl.: secure usb cable), amin keresztül adat nem tud közlekedni. Vagy a hordozható akksidat töltsd föl ilyen helyeken, és onnan a telefonod, abból baj nem lehet.

(*Ilyen helynek számít még a bárki számítógépe, vagy a nyilvános telefontöltők.)

usb-bus.jpg

Szép vagy, nem kellenek neked hülye filterek

meitu.jpegIdőről időre megjelennek cikkek. "Az a cuki szelfizős szoftver épp most nyúlja le minden adatát" - ez például a Meitu nevű appról van szól.

De nyilván nem tudsz minden appnak utánanézni, amit szeretnél a telefonodra letölteni. Ezért azt javaslom, hogy ilyen esetben legyen az az első szűrő, hogy mennyi mindenhez kér hozzáférést. Gondold át azt is, hogy például egy szelfizős filter app tényleg hozzá kell-e férjen a hangbeállításokhoz.
Segítek: nem, nem kell. Sőt! Nem is normális, ha hozzáfér.

És hogy mi a megoldás?
Bármennyire is szeretnéd azt az appot, ne telepítsd! Tudatosítsd magadban, hogy ez egy baromi jó mézesmadzag, mert most tényleg úgy érzed, hogy képtelen volnál anélkül az app nélkül élni. De eddig is remekül éltél nélküle. Tényleg. Hidd el, hogy szép vagy filterek nélkül is. A mézesmadzag végén mindig csapda van. Mindig. És te nem akarsz besétálni. 

Szóval ne telepíts ész nélkül mindent!

Csak a CVV-t ne add meg soha! - Anélkül is lehet a kártyáddal vásárolni!

security-codes-cc.jpgAz előző post kapcsán is sok olyan reakcióba futottam bele, hogy nincs semmi probléma a bankkártyaadatok megadásával, csak a hátulján lévő három számjegyű kódot ne add meg.

Nos...
Biztosan tudod, hogy anélkül a szám nélkül semmit nem érnek a kártyád egyéb adataival? Egészen biztosan tudod?

Álljunk itt meg egy pillanatra. A fenti hozzáállás ugyanis nem csak az előző postra és nem csak a bankkártyaadatokra igaz. Sajnos általában igaz, hogy biztos tudás nélkül jelentünk ki dolgokat.
Hogy nem lehet mit kezdeni a bankkártyaadatokkal a hátulján lévő szám nélkül. Hogy nem lehet ellopni az adataimat, ha nem vagyok Facebookon és különben is csak néha nézek föl a netre. Hogy nem lehet open wifin át hozzáférni semmihez. Hogy én annyira érdektelen kis hal vagyok, hogy tőlem úgysem érdemes ellopni semmit. Hogy én is megadtam bizonyos adatokat, mégsem nyúlta le senki a pénzem (ebből természetesen egyenesek következik, hogy mással sem fog előfordulni, és a későbbiekben velem sem.) Hogy én tuti észrevenném, ha valami adathalász weboldalba futnék. És a többi, és a többi..

De térjünk most vissza a bankkártya hátulján lévő három jegyű számhoz. És ennek példáján át gondolkodjon el mindenki, hogy tényleg biztos tudással legyint-e a figyelmeztetésekre.

A bankkártya hátoldalán lévő kód a CSC (CVV-ként is találkozhatsz vele elég sokszor és igen, van más elnevezés is, de talán ez a kettő a leggyakoribb). És akár hiszed, akár nem, ahhoz, hogy tudj vásárolni, nem mindenhol kérik a CSC-t, sőt van, ahol a kártya lejárati dátumát sem. Tudtad ezt?

2012-ben az Amazonon még egészen biztosan lehetett CSC nélkül vásárolni, mert az Amazon úgy volt vele, hogy az ilyen jellegű csalások miatti visszatérítés számára (nem a te számodra!) annyira elhanyagoható mértékű, hogy megéri nekik ez a kockázat, azért, hogy te gyorsabban vásárolhass és így őket válaszd. Nem biztos, hogy ez változott azóta.

És persze hozhatnék adathalászatra is példákat. Ha valami módon (akár a te levelezésedből, akár a szálloda levelezéséből, számítógépeiről) egy adathalász kezébe kerülnek a kártyaadataid (és mondjuk a neved, címed, születési időd, telefonszámod - hiszen a szállodában ezeket az adatokat is megadtad), máris kaphatsz olyan hitelesnek tűnő telefonhívást a "bankodtól" (természetesen a csalótól, akinél a kártyaadataid landoltak), amivel olyan bizalmat képesek építeni benned, hogy a beszélgetés végére gondolkodás nélkül megadod a CSC-t is. Így meg aztán már végképp szabad az út... 

Na, csak hogy érthetőbb legyen a fenti bekezdés:
Ugyanabban a szállodában száll meg egy rosszindulatú hacker is, ahol te. A szálloda wifijén keresztül feltöri a rendszert és megszerzi az összes vendég minden adatát. Aztán pár hét múlva a következő hívást kapod tőle:

  • Jó napot kívánok, Kovács Béla vagyok az XY bank biztonsagi osztályáról. Tájékoztatom, hogy a beszélgetés biztonsági okokból rögzítésre kerül. Az Ön kártyájával valószínűleg visszaélés történt. Ezt szeretném ellenőrizni, de az ügyintézéshez azonosításra lesz szükség. Kérem válaszoljon: Mi az ön neve?
  • Kiss Pista.
  • Az édesanyja neve?
  • Nagy Juli.
  • Születési ideje?
  • 1920.01.01.
  • Köszönöm, az azonosítás sikerült. Az Ön kártyájára XY hotelből 123.456Ft terhelesi kérelem érkezett, de gyanús a tranzakció, ezért kérem Önt, nyilatkozzon! Ön fizetett XY hotelnek 123.456Ft-ot?
  • Dehogyis! Mi a f*sz ez? Miért vonták le? @*#%!!!
  • Semmi gond, természetsen letiltjuk a tranzakciót és a kártyát is, nem törtenik majd kifizetés.
  • Huh, óriási! Nagyon hálás vagyok! Jajj, de jó!
  • Ehhez csak egyeztetnünk kell az adatokat. Az Ön kártyájánk száma: 1234556789, lejárati dátuma xx/yy. Így van?
  • Megnézem, pillanat... Igen, ez az.
  • A letiltáshoz már csak 2 dologra van szükség. A kártya hátoldalán lévő 3 jegyű azonosító számra és egy érthető, hangos válaszra a hangfelvétel miatt. Kérem valaszoljon: Le kívánja tiltani az 123456789 számú kártyát?
  • IGEN
  • A kártya hátoldalán található 3 számjegyű kód?
  • 123.
  • Köszönöm, az Ön kártyáját azonnal letiltottuk, és terítésmentesen elindítjuk az új kártya igénylését. Köszönjük az együttműködést.

Na, hogy tetszik?
Aki erre azt mondja, hogy az emberek 90%-a nem ugrik bele, az nem ismeri az embereket. Annyi adatot zúdít a támadó az áldozatra, hogy az áldozatban föl sem merül, hogy nem a bankkal beszél és azonnal válaszolni fog minden kérdésre.

 

Nagyon fontos tudatában lenni annak, hogy attól, hogy valami létezéséről nem tudsz, az nem azt jelenti, hogy nincs is. Ahogy nem úgy ellenőrzöd, hogy be van-e kapcsolva a rezsó, hogy rátenyerelsz, úgy az adataid biztonságát sem úgy teszteled, hogy hagyod őket ellopni. Nem félni kell, nem kell elbújni a világ elől, és nem, paranoidnak sem kell lenni, egyszerűen csak tudatosnak.