Vigyázat, pongyola! Csak laikusoknak.

A hackerfeleség naplója

Mégis kinek kellenének az adataim? Ugyan!

2016. október 13. - hackerfeleség

Jajj ne már! És akkor mi van, ha tudják, hogy mi a nevem? Meg hogy hol dolgozom? És hogy Fifike az én édes, cukibogár kutyuskám? Meg hogy szülinapomra minden barátom cukorbogyó pincsikről küld képet? Mert szeretem.

És miért volna már baj, hogy mindenhova Fifike a jelszavam? Nem fogok mindenhova más jelszót kitalálni! Csak összekeverném. Meg különben is: Fifit sosem felejteném el. És még rövid is, nem kell sokat gépelni.


password-kitten.jpg

OK, lehet, hogy ez így egy kicsit extrém. De tudod, hogy mennyi problémát okozhat, ha szinte bárki bármit megtudhat rólad? A hackerek ráadásul általában nem bárkik, ha csak egy kicsit nehezítesz az adataidhoz való hozzáférésen, az nekik még mindig túl egyszerű terep.

Nem, most el ne kezdj nekem félni! Paranoiára nincs szükség, csak tudatosságra.

Lehetsz te is célpont, bármennyire jelentéktelennek is tartod magad. Lehet, hogy nem vagy gazdag, de mi van, ha valaki csak pár ezer forintodtól akar megszabadítani? Nem fáj nagyon, de azért mégis. Ennyi pénzért mégsem fog senki hajtóvadászatot indítani. Pedig ha ezt egyszerre nagyon sok kisemberrel játszák el, az egész szép összeg lehet. A kis összeg miatt a lebukás szinte esélytelen. Ha viszont egy gazdag embert szabadítanak meg a teljes vagyonától, az jóval kockázatosabb. Már csak azért is, mert jóval látványosabb. Szóval simán lehet a te bankszámlád is célpont.

De sokszor nem te vagy a cél, te csak ugródeszka vagy valami jóval nagyobb dologhoz. Könnyen lehet, hogy a munkahelyed konkurense simán fizetne egy hackernek, ha megszerezné az üzleti titkaitokat.

És hogy hogy jön ide Fifike, meg a cuki kutyás képek? Ha kapsz egy e-mailt egy barátodtól, amiben küld neked egy linket cuki kutyusok képeihez, vajon fogsz-e kattintani? Hát persze, hogy fogsz! Semmit nem fogsz abból észrevenni, ahogy a kattintással máris feltelepül valami a munkahelyi gépedre, ami aztán szabad hozzáférést biztosít a hackernek, akit a konkurens fizet.
Ja, és persze ne hidd, hogy a mail tényleg a barátodtól jött. Attól, hogy az ő címét látod, még nem biztos, hogy ő írt...

De használhatják a hackerek a te géped számítási kapacitását, hogy jelszavakat törjenek föl vele, vagy egyszerűen a te gépedről indítanak támadást, hogy ők rejtve maradjanak. A TEK meg majd hozzád csönget.

(Ez például valami ilyesmi lehet. A nyugat-európai számítógép tulajdonosának jó eséllyel lövése sincs, hogy mit csináltak az ő gépén keresztül. A valódi elkövető pedig lehet akár egy magyar település lakója, vagy lakhat Tokióban, vagy bárhol máshol a világon.) 

 

Egyébként utálod a spamet, ugye? Mit gondolsz, honnan jön? Egy olyan ember gépéről, aki úgy gondolja, hogy az ő adatai úgysem fontosak senkinek. Így hát könnyedén föltörik, és már röpteti is a spameket szerte a világba úgy, hogy még csak nem is tud róla.
A szolgáltatónál titkosított telefonszámodon is úgy érnek el a porszívóügynökök, hogy meggondolatlanul megadtad egy / több olyan weboldalon, ami nem biztonságos, amit szó szerint perceken belül fel tudnak törni, és az onnan megszerzett adatokat már adják is el. Például ügynököknek. Nem egynek, soknak. Na, ezért hívnak sokan a titkos telefonszámodon.

 

Tehát ha erőforrást adsz a hackernek, azzal bizony te is ártasz másoknak.

 

 

 

A bejegyzés trackback címe:

https://hackerfeleseg.hu/api/trackback/id/tr4211801929

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

SoylentGrün 2016.10.14. 20:21:39

Mindenre ki lehet találni érveket. És annak ellenkezőjére is. További jó rettegést XD

morph on deer 2016.10.14. 20:42:39

@SoylentGrün:
Tedd már meg légyszives, hogy csak egy érvet kitalálsz a fentiek ellen, jó?
Előre is köszönöm!

Jossarian 2016.10.15. 04:22:09

En az elso porszivougynokot aki felhivott elkuldtem a kurva anyjaba es mondtam, hogy letepem a labat ha talalkozunk. Utana senki nem hivott tobbe, lehet, hogy tudjak, meg is tennem. A bankom meg kartalanit ha lenyuljak a szamlamat, hat vedekezzenek ok. A sok geek meg ha tudja a cimemet, hat latogasson meg, vadasz-szezon van :-) Es jo reggelt mindenkinek :-)

Liba Tóni 2016.10.15. 07:04:16

Meg kell változtatnom a jelszavam, mert úgy látszik, más is használja a Fifikét :D

Firestarter.18 · http://firestarter-18.blog.hu/ 2016.10.17. 00:06:08

"a kattintással máris feltelepül valami a munkahelyi gépedre,"

Ez megis milyen munkahelyi gep lehet, kerdem en, hogy barmi csak ugy feltelepul ra?

A feleség hackere · http://hackerfeleseg.hu 2016.10.17. 06:37:15

@Firestarter.18: felhasznaloi jogosultsaggal el lehet inditani a gepen valami csufsagot. (akar csak egy csrf-et vagy xss-t egy linken keresztul, mar az is sok mindenre eleg lehet). Egy user joggal futo cuccal mar lophatoak a bongeszesi adatok, tarolt jelszavak, emailek, halozati megosztasok, mindenfele erdekes dolog, vagy futtathatoak privilege escalation eszkozok.
Egyebkent minden cegnel (kicsitol a vilagmeretu cegekig) tudok peldat ondani olyan emberre akinek van rendszergazda joga a gepen es beleszaladhat egy ilyen tamadasba. Pl nemreg volt egy phising kampany egy ceg IT osztalya ellen. 69 IT-s van a cegnel (nem kicsi ceg...) 27-en az elso oraban beleszaladtak a tamadasba.
Hidd el, sokkal tobb tamadasi felulet van mint gondolnad. Ezert van ez a blog, hogy ezekre is felhivjuk a figyelmet.

A feleség hackere · http://hackerfeleseg.hu 2016.10.17. 06:47:49

@Firestarter.18: eszembe jutott meg egy pelda. Van egy ceg, a userek korlatozva vannak (kiveve a cegvezeto, merhat o ne legyen mar korlatozva...), es van nekik egy vallalatiranyitasi rendszeruk. A vallalatiranyitasi rendszer MSSQL DB-n fut. A kliensek futnak a korlatozott userek gepen, DE a konfigban plaintext tarolodnak az adatok, es a kliens SA-val csatlakozik a DB-hez. A DB termeszetesen emelt jogosulstagokkal fut es az xp_cmdshell termeszetesen engedelyezve van. Innentol a szever is elbukott es mar domain szintu rendszergazdam is van. Mindez egy sima user jogbol. Es ha most azt mondod, ez egy szar rendszer, azt mondom igazad van. De ezt a szar rendszert nagy cegek hasznaljak. Sok ceg. Es nem is ertik mi ezzel a baj.
De ezzel tul is lottem celon, mert a blog nem technikai magyarazatok miatt jott letre, hanem pont azert, hogy a laikusok latokoret tagitsuk es felhivjuk a figyelmet olyan veszelyekre, amik az emberek tobbsegenek -termeszetesen- eszebe sem jutna. Szoval ez nem egy hackerblog, abbol van mar sok.

A feleség hackere · http://hackerfeleseg.hu 2016.10.17. 06:54:39

@Firestarter.18: eszembe jutott meg egy pelda, csak hogy konkret es komoly peldat emlitsek. JP Morgan (en.wikipedia.org/wiki/2014_JPMorgan_Chase_data_breach)
83Millio ugyfel.
Mi tortent? Az egyik dolgozo gepet tamadtak (otthon), a dolgozo bevitte a malware-t a ceghez. Helo.
Nem kell sok, csak el kell indulni valahogy a tamadassal. Kis ceg, nagy ceg, maganemger, majdnem tok mindegy.

flúgosRob 2016.10.17. 14:43:28

A magam részéről kifejezetten örülök, hogy létrejött egy ilyen blog. A jövőben is hűségesen olvasom majd a további írásokat is.

A feleség hackere · http://hackerfeleseg.hu 2016.10.17. 20:49:26

@flúgosRob: Koszonjuk, igyekszunk hasznos tartalommal feltolteni.

Untermensch4 2016.11.10. 22:02:08

@A feleség hackere: Én is örülök, mint laikus. Technikailag síkhülye laikusként a "Legendás hacker2" olvasása után döntöttem úgy hogy ilyen idegeskedésre okot adó adatokat mint bankszámla-izé, nem tartok a gépemen. El lehet lopni a gaygi ímélcímemet meg a nick-jelszavamat. Amit nem használok máshol úgyhogy max mennek tőlem a spamek...
A telefonos tukmálók azért viccesek. Amikor épp van időm meg kedvem, röviden kedvesen el szoktam beszélgetni velük hogy esetleg a táblázatba, mielőtt ők is tovább eladják másik cégnek a számomat, vmi rovatba írja már meg hogy az ilyen kéretlen hívásos dolgokra automatikusan bedurcizok és akkor sem fogom azt a terméket/szolgáltatást venni ha egyébként szeretném, ez ilyen elvi kérdés nálam.
A leghatékonyabb azért az volt amikor némi telefonálgatással és ímélezéssel visszaszívattam az egyik rámenősebb csapatot akik küldték is a jobbágyi nyilatkozatot de jogilag kettős hibát vétettek. A végén megértették vhogy a lényeget. És azóta nem is hívtak ilyenek csak kb évente egyszer.