Vigyázat, pongyola! Csak laikusoknak.

A hackerfeleség naplója

Hogyan dolgozik egy hacker?

2016. október 26. - A feleség hackere

Először is lássuk a hacker definícióját. Nem általános definíció, hanem az a definíció, ahogyan ebben a postban használni fogom, az a definíció, ahogyan az emberek többsége gondol a hackerekre:

"Olyan támadó, aki jellemzően technikai eszközökkel, számítógéppel, interneten valamilyen kárt okoz."

Magyarul: aki feltöri a facebookom | gmailem | telefonom | windowsom.

Ez persze inkább egy filmeken szocializálódott ember elképzelése, de mivel ez az általánosabb, most erről beszélünk. És nem is a weboldalak deface-eléséről, és hasonlókról beszélünk, hanem arról, ami botrányt okoz: X millió felhasználó adatai kiszivárogtak, nyilvánosságra került a doppingolók névsora, megszerezték X millió user kártyaadatait stb.

fbi-deface.jpgFeltörték az FBI weboldalát, és deface-elték.
Azaz nem az eredeti, hanem a hackerek által kitett tartalom (általában egy üzenet: feltörtük az oldalatokat) jelenik meg.

 

Nyilván nincsenek mindenkire érvényes szabályok, de egy dolog biztos: mindig a legkönnyebb utat választják. 

Itt különösen igaz a leggyengébb láncszem (vagy low hanging fruit) szabálya. Ha tuti biztos tűzfalad és feltörhetetlen alkalmazásaid vannak, akkor marha egyszerű: nem arra fog menni a támadó.

Sőt, a rendszerek 99 százalékánál csukott szemmel is megmondható, hogy mi a leggyengébb láncszem: Az ember. 

  • Az ember elképesztően megbízható, ha a lustaságról van szó.
  • Az ember hiszékeny, könnyen megtéveszthető.
  • Az ember konfliktuskerülő, ha helyzetbe hozod, pontosan tudható, merre akar majd menekülni.
  • Az ember kíváncsi. Mindenre kattint és mindent bedug a gépébe, amit talál.
  • Az ember - általában - nem törődik mások, így a munkáltatója biztonságával (sem).
  • Az ember fenti tulajdonságai okozzák a technikai eszközök sérülékenységeit, mert a rendszer az ember miatt elavult, az ember miatt van rosszul fejlesztve és az ember nemtörődömsége miatt sétálhat a támadó egy low hanging fruit erdőben.

Szóval a helyzet az, hogy ha blackhat munkáról van szó, akkor a támadók nem azt fogják támadni, amit mi, whitehatek segítettünk megerősíteni (kb. a felsorolás utolsó pontja). Persze nem kizárt, sőt az sem kizárt, hogy sikerrel járnak, de az esetek többségében egyszerűbb a jól ismert gyengeségekre alapozni (ember).

Ezért az ismeretek bővítése mindenki érdeke lenne. Ezért van ez a blog.
Nem kell szakértőnek lenned, csak értsd annyira a munkaeszközödet, mint bárki a munkaeszközét. Ez olyan, mint egy asztalosnál a balesetvédelem. Ha nem akarja levágni az ujját, megtanulja használni a fűrészt. De sajnos a számítógép használata nincs képzéshez kötve, hát képezd magad!

Szóval - meglepő módon - a támadások nem úgy mennek, mint a filmekben. Persze vannak zseniális hackerek (Magyarországon is vannak, relatív sokan, én személy szerint mocskosul tisztelem őket), akik eszméletlen mély technikai tudásukkal megtalálják a szoftverhibákat bármiben. De a csalásokhoz, ún. hackertámadásokhoz nem kell ez feltétlenül.
Itt volt például az olimpia alatt a doppingszövetség ellen elkövetett támadás, vagy ami még röhejesebb: anno sok nemzetbiztonsági szervezetet érintő "hackertámadás" (http://index.hu/tech/2014/08/12/a_magyar_titkosszolgalatnak_nem_sikerult_a_kemprogram_telepitese/), ahol nagyon sok, nagyon bizalmas információ szivárgott ki. 

Ezt vajon hackerzsenik csinálták, akik állandóan a gépüket bújva hibákat keresnek? Lehet. De az biztos, hogy az esközök primitívek voltak. Utóbbi esetben például - állítólag - teljesen publikus helyen volt egy excel táblázat, amiben jelszavak, adatok voltak. Ennyi. Hogy igaz, vagy sem, nem tudom, de a táblázat is nyilvános volt és hát sajnos abszolút hétköznapi dolog, ha így "törnek fel" valamit.

Összegezve a lényeg az, hogy ha növelni akarod a rendszereid biztonságát, ahhoz feltétlenül szükséges egy általános tudásanyag, mert pusztán a dolgozók, felhasználók korlátozásával soha nem fogsz elérni magas szintű biztonságot. 

A bejegyzés trackback címe:

https://hackerfeleseg.hu/api/trackback/id/tr4111812665

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

nem várt fordulat 2016.10.28. 03:03:24

nagyon gyorsan hagyd abba ezt a blogot, látszik, hogy... sok minden.

de eleve kevered a szezont a fazonnal, hogy lehet hackert írni cracker helyett?

Óriási különbségek vannak...

McKinney 2016.10.28. 08:28:09

a filmekben a "hackerek" leginkább marha gyorsan gépelnek kopogó billentyűzeten, mint valami gépírókisasszony, vagy minden karakter csipog és zöld a fekete képernyőn.... írják a kódot :)

Pierr Kardán 2016.10.28. 08:39:29

Az excel az egy "lö" betűvel írandó, nem kettővel!

Treff Bubi 2016.10.28. 08:50:01

A hacker bármit csinál, muszáj lenni a monitoron egy visszaszámlálónak, ami pont 0:0:02-nél áll meg, amikor a hacker az utolsó pillanatban bejut/feltör/leállít/elindít.

hackerfeleség 2016.10.28. 09:09:19

@Pierr Kardán: elnézést, elírás volt, de javítottam.

A feleség hackere · http://hackerfeleseg.hu 2016.10.28. 09:19:33

@nem várt fordulat: 2 dologra szeretnem felhivni a figyelmed. Az egyik a blog alcime: "Vigyazat pongyola! Csak laikusoknak." Ez a blog nem neked szol.
A masik a post eleje, ahol tisztazom hogy hogyan es miert definialom ugy a hackert, ahogy.
Menj at es kerdezd meg a szomszed pirinenit, hogy mi a kulonbseg a hacker es cracker kozott. Semmi ertelme.
A post tartalma tokeletesen megtartja jelenteset a hacker-cracker definiciok nelkul is (aminek egyebkent szerintem az egvilagon semmi ertelme. Egy elavult ostobasag.) Raadasul a post tartalmanak semmi koze a crackerekhez. Szerintem te nem olvastad el a postot.

A feleség hackere · http://hackerfeleseg.hu 2016.10.28. 09:31:34

Egyebkent ha mar filmek. Van egy film amiben a szokasoshoz kepest kevesebb a bullshit.
www.imdb.com/title/tt3042408/
Nem is olyan rossz film. A kardhalnal mindenkepp jobb :) Van benne egy akcio ahol a szemetben kotorasznak informacioert, majd azt kihasznalva emailben kuldenek kartekony kodot a dolgozonak es igy jutnak be a ceg halozataba. Sokkal realisabb a dolog mint az, hogy leulok, pisztolyt tartanak a fejemhez es 75 masodpercen belul feltorok egy loginmezot :))

dr. mesterséges színezék 2016.10.28. 09:37:06

@nem várt fordulat: " de eleve kevered a szezont a fazonnal, hogy lehet hackert írni cracker helyett? "

Ez 20 éve így folyik - szélmalomharcit vívsz. Bele kell törődni, hogy a világ így használja.

dr. mesterséges színezék 2016.10.28. 09:39:47

@McKinney: Mindegyiknek van egy kódja, ami 3D-s animációval kísérve "bejut" és átveszi az irányítást.

dr. mesterséges színezék 2016.10.28. 09:45:06

@A feleség hackere: "Egy elavult ostobasag."

Nem az.
Valószínűleg a maltert azért hívják a mai napig malternak és a betont betonnak, mert ez a téma túl koszos ahhoz, hogy dilettáns újságírók beleártsák magukat. Ha egyszer megteszik, érdekesek lesznek az "elavult ostobaság" következményei.

A feleség hackere · http://hackerfeleseg.hu 2016.10.28. 10:01:24

@dr. mesterséges színezék: szerencsere nem kell egyetertenunk. Ettol meg a velemenyem ugyanaz. Semmi ertelme a megkulonboztetesnek sem szakman belul, sem azon kivul. Semmilyen plusszt vagy tobbletet nem ad hozza semmilyen tartalomhoz ha megkulonboztetjuk.

énisfélek 2016.10.28. 10:11:01

Ha ezen írás célja az (nagyon helyesen), hogy a laikusok rádöbbenjenek, hogy a sikeres hacker-támadások túlnyomó része az ő hülyeségüknek/naivságuknak köszönhető, akkor szerintem nem kellene a szövegben a "deface"-hez hasonló kifejezéseket alkalmazni, mert a laikus olvasók többsége az ilyen szavaknál azonnal becsukja a böngészőt és visszamegy a facebookra kiscicás képekről csevegni :-)

A feleség hackere · http://hackerfeleseg.hu 2016.10.28. 10:13:53

@énisfélek: Jogos kritika, ezt a postot nem az asszony irta, en meg nem gondoltam erre. Mondjuk most hirtelen nem tudom hogyan lehetne helyette egyszeruen megfogalmazni, de valamit kitalalunk ra.

Faszerkezet 2016.10.28. 10:14:09

Jó régen volt egy film (sajnos a címére nem emlékszem), ami állítólag megtörtént esetet dolgoz fel.

Dióhéjban annyi volt, hogy egy hacker feltörte valami nagy amcsi banknak a rendszerét és onnan elvett egy raklapnyi pénzt. Persze elkapták, de az istenért nem tudták megfejteni, hogy hogyan csinálta, merthát azaztán feltrhetetlen stbstb.

Majd a filmben elmondta, hogy elment /mivel persze rendelkezett bűnöző kapcsolatokkal/ és vásárolt egy kamu fbi igazolványt, majd magabiztos fellépéssel bement a bankba, és előadta, hogy a világ egyik legjobb hackere fel akarja törni a rendszerüket, és azonnal adjanak oda neki minden biztonsági kódot.

És odaadták.:)

énisfélek 2016.10.28. 10:15:56

Egyébként a "lépj be" szöveg alatti URL még mindig rossz helyre mutat (próbáld ki cookie-k nélkül), tehát a blogba való belépéshez is hackerre van szükség :-)

A feleség hackere · http://hackerfeleseg.hu 2016.10.28. 10:24:13

@énisfélek: sajnos ez olyan blogmotor hiba amivel en nem nem tudok kezdeni semmit. Jelzem a blog.hu-nak a problemat, hatha megoldjak.

énisfélek 2016.10.28. 10:26:08

@A feleség hackere:
a szakmai szleng többnyire csupán a hozzáértők/szakemberek közötti kommunikáció hatékonyabbá tétele, felgyorsítása. Laikusoknak szóló anyag esetén "vissza kell lassulni" és hosszabbik (több szavas) kifejezést alkalmazni. A "deface" helyett talán jó lehet mondjuk a "sajátjára lecserélte a honlapot" vagy valami ilyesmi.
Hirtelen akartam példát mondani a "social hacking" helyett is, de nincs ötletem olyan helyettesítő magyar kifejezésre, ami rövidebb több mondatnál :-)

A feleség hackere · http://hackerfeleseg.hu 2016.10.28. 10:30:23

@Faszerkezet: nem ismerem ezt a tortenetet, de teljesen valid. Ha bemesz a tescoba oltonyben, magenta nyakkendovel, nyakba akasztott telkos badge-el, mappaval a kezedben, es odamesz idegenekhez, siman szerezhetsz csomo jelszot. "felmerest vegzunk az ugyfeleink kozott a jelszohasznalati szokasokrol. On milyen jelszavakat hasznal?"es mar sorolja is.

énisfélek 2016.10.28. 10:30:51

@A feleség hackere: furcsa jelenség, hogy más blogoknál ugyanaz jó helyre mutat. (persze mindet nem néztem meg, úgyhogy lehetnek más sorstársak is).
Mintha alattad nem ugyanaz a motor (szerver?) dolgozna (ami akár gyanús is lehet ;)

A feleség hackere · http://hackerfeleseg.hu 2016.10.28. 10:33:18

@énisfélek: de ha meg pongyolan fogalmazok, jonnek a trollok es oltogatnak :)))) Egyebkent a koncepcio pont az, hogy a szakmai teljesseg igenye nelkul de korrekt, fontos es ertheto informaiot adjunk laikusoknak. Ha ezek utan latjak mikor kell gyanakodni es ha latjak mennyivel tobb a tamadasi felulet mint korabban gondoltak, mar volt ertelme. A trollok etetese szinten fontos, mert a vegen meg ehenhalnanak :)

2016.10.28. 10:46:29

@A feleség hackere: "Menj at es kerdezd meg a szomszed pirinenit, hogy mi a kulonbseg a hacker es cracker kozott. Semmi ertelme. "

Éppen ezért kellene egy, a témával foglalkozó blognak elmagyarázni a különbséget.
Ha a hülyéknek a saját nyelvükön kezdesz magyarázni, abból hülyeség lesz. Ha viszont értelmesen magyarázol, akkor talán a hülyék is megokosodnak.

A feleség hackere · http://hackerfeleseg.hu 2016.10.28. 10:51:13

@Ylim: de nem a szofisztikalt definiciokat kell a laikusoknak tudni, hanem azt, hogy mi ad okot gyanakvasra es mi nem. Senki nem lesz nagyobb biztonsagban attol, hogy tudja hogy egy szubkultura mit nevez hackernek es mit crackernek. Es ahogy mondtam, szerintem egyebkent sincs semmi ertleme. Az en velemenyem az, hogy sem szakman belul, sem azon kivol semmi ertelme ennek a megkulonboztetesnek. Nem kell ezzel egyeterteni.

A feleség hackere · http://hackerfeleseg.hu 2016.10.28. 11:00:14

@énisfélek: nem jarsz messze a valosagtol. A lenyegi kulonbseg, hogy en sajat domainen futok. Gondolom az okozhatja a hibat, hogy alapvetoen nem idegen domaines mukodesre irtak a kodot. De csak tippelek.
Egyebkent nem egyedi jelenseg. Pl a vilagevo.hu is blog.hu-s blog sajat domainnel es nala is ugyanez a hiba. Bejelentettem, gondolom elobb-utobb javitani fogjak.

Faszerkezet 2016.10.28. 12:02:45

@A feleség hackere:

Igazán meghekjkelhetnéd és rendbehozhatnád... semmint öket zaklatni ilyen csipcsup ügyekkel. ;)

Untermensch4 2016.11.10. 22:22:10

@A feleség hackere: "Senki nem lesz nagyobb biztonsagban attol, hogy tudja hogy egy szubkultura mit nevez hackernek es mit crackernek."
Igazad van, ne hagyd magad. A dolgok az emberek olyanok hogy a precíz szaknyelvet a szakértők beszélik, "a nép" meg alkot köznyelvi elnevezéseket a dolgokra.
Konkrétan erről a cracker-hacker dologról egy könyv ugrott be, kb 90-es évek végi kiadás, "A legendás hacker 2". Azóta sem történt csoda (szaknyelv-köznyelv témakörben), más szakterülettel kapcsolatban sem. Mondjuk arról a könyvről nem tudom mi a véleményed, nekem egészen jól átjött belőle hogy a biztonság soha "nincs kész" és ennek oka az ember mint leggyengébb láncszem hajlamos elcseszni.
Abban úgy emlékszem "social hacking" helyett inkább "social engineering" a gyakoribb kifejezés, szintén magyarítás nélkül.