2016. december 4., vasárnap

2016. szeptember 14., szerda

Bankkártya visszaélések megelőzése

Megélhettem szőrös fejjel, hogy az alábbi cikkbe belekerült (mindjárt az elejére) az RFID-s érintőkártyás visszaélés.

Tessék, lássék (Indexen volt hír, ohh):
http://steve4security12.blog.hu/2016/09/13/biztonsagi_tanacsok_a_bankkartya_visszaelesek_megelozese_erdekeben



2016. szeptember 13., kedd

A „biztonságos” E-mail napjainkban

Sok helyen olvashatjuk az Internet világában, hogy mennyire nem biztonságos az E-mail. Ez sajnos tény és való. Maga az E-mail szolgáltatás rengeteg sebből vérzik. A mai napig titkosítás nélkül levelezünk az esetek 95%-ban, olyan szolgáltatót választunk a leveleink kezelésére, őrzésére melyek nem megfelelően tárolják mindezeket és még sorolhatnám.
Hogyan is működik nagyvonalakban a levelezés?
A gépünkön használt levelező szoftverben megírjuk a levelet (vagy webesen), amit azután elküldünk a levező szerverünknek, hogy továbbítsa a címzett levelező szervernek ahol a címzett elolvassa (vagy telepített szoftverrel vagy webes felületen). Ilyen egyszerű mindez. A gond ott kezdődik, hogy a levél titkosítás nélkül a gépünk routerétől egészen a szolgáltatón szerveréig mint egy képeslap elolvasható, módosítható. A levelező szerverünk, amikor megkapja a levelet akkor az esetek többségében mindenféle titkosításmentes fájlokban tárolhatja az üzenetet, amelyet maga a cég aki ezt üzemelteti és vagy hekkerek különböző hibákat kihasználva elolvashatják, módosíthatják, a benne levő adatokat összegyűjtve tárolhatják, eladhatják, vagy felhasználhatják ellenünk. Kis levelünk tovább halad a levelező szolgáltatónk szerverétől a cél irányába titkosítatlanúl ahol routerek, switch-ek tömkelegén kell áthatolnia, hogy eljusson a cél levelezőszerverig. Közben szinte mindenhol lehallgatható és módosítható a tartalma. A célszerveren úgy, mint a mi levelező szerverünkön bármit meg lehet vele csinálni, míg végül a címzett elolvassa a gépén.
Ha ezt a fenti egyszerű procedúrát titkosítással spékeljük meg akkor a címzettnek is el kell a kulcsot juttatni sima levélben, aminek hatására a kulcs szinte bárkinek a kezébe landolhat és ezzel a titkosított levelünk máris nem titkos. Egy ilyen kulcsot sajnos csak személyesen lehet átadni (vagy egyéb nem biztonságos cloud módokon), ugyanakkor egy kulcs az egy ember, szinte járhatatlan, hogy egy nyaralás megrendelésével a hotel mindenki kulcsával egyesével foglalkozzon.

Mi történik akkor, ha mi mindent jól csinálunk, nem adjuk meg a levelező szolgáltatónknak regisztráció során a pontos nevünk, címünk, telefonszámunkat (hanem hamist adunk meg), olyan szolgáltatót választunk, aki titkosítva tárolja a leveleinket, és olyanokkal levelezünk akik pl.: ugyan ezen a szolgáltatónál vannak (ebben az esetben a levél nem megy ki a szerverről és helyileg lesz elküldve – vagyis sehogy, de megkapja). Nos, ebben az esetben mázlisták vagyunk, hiszen mindenki aki számít nekünk ugyan azt a biztonságos szolgáltatást használja, mindenki és minden anonym é boldogság van. Ugyanakkor rendelünk egy pizzát (onnan ahova már korábban beregisztráltuk magunkat a jelenlegi E-mail címünkkel, de rendes nevünkkel, hiszen nem talál meg minket az ételfutár, telefonszámunkkal, hiszen nem ér minket utol a cég és így nem tudja, hogy palacsinta vagy gyümölcssaláta legyen-e a desszert amit az xezer Ft rendelés felett kérünk és a címünkkel, mert le kell szállítani a pizzát), és amikor ez megtörténik akkor lazán kapunk egy titkosítatlan sima szimpla levelet a szolgáltatótól amiben benne van a nevünk, címünk, telefonszámunk és ez az egy elvél a teljes anonimitásunkat fel is fedi úgy ahogy van.
A fenti példa jól mutatja, hogy mennyre nem foglalkozunk semmivel, hiába írjuk alá, pipáljuk be, hogy adatainkkal így meg úgy bánnak, hiába a titoktartás, a második, harmadik fél felé nem továbbítás, egy darab megrendelés visszaigazolóval az összes adatunk publikus lett.
Ide tartozik még az a velem is megtörtént eset ahol egy egészségügyi cégnél járva meg kellett minden adatomat adni, a szolgáltatást elvégezték, kifizettem, megkaptam hordozható médián amiért jöttem majd elküldték titkosítatlan formában is levélben. A nevem, címem, telefonszámomon kívül a szolgáltató most már a Taj számomat és anyám nevét is megtudta. Ugyanakkor ők az adatokat 100%-os biztonsággal kezelik.
További csemege amikor weben szállást rendelünk, majd válaszlevélben a összes adatunkat megkapjuk, és még el is kérik a szállásban résztvevők személyi azonosítóját és születési adatait is.
Ez a három teljes együttállás alapján a nyitott könyv vagyunk a szolgáltatónál, a hálózatban turkálónál és az olyan szervezeteknél mint az NSA.

Mit tehetünk mi?
Ezen töröm régóta a fejem, de semmit.
Ha minden megteszünk az anonimitásért akkor is lekérhető az ISP-től, hogy az adott IP címen levő levelező szervert abban a szent minutumban amikor használtuk milyen IP-ről használtuk -> megvan az előfizető és ezzel mi is.
Itt kérem szépen nincs semmiféle kiút (legalábbis én most még mindig nem ismerek).


2016. július 28., csütörtök

Vigyázat! Az Ön billentyűzetét is lehallgathatják

Jómagam amúgy sem támogatom a vezetéknélküli tasztatúrát, és ezután sem fogom...

http://biztonsagportal.hu/vigyazat-az-on-billentyuzetet-is-lehallgathatjak.html

Amire vágytál: okos bikini és okos gatyó

Az ötlet nem rossz, de azért elgondolkodtató, hogy mikor fogják feltörni a gatyádat és kompromittálni vele a telefonunkat..
Kérdés, hogy lesz-e rá ingyenes Avast! és valami jópofa tűzfal alkalmazás...
A nyomkövetőről ne is beszéljünk - kössük minél jobban be magunkat a hálózatba, ez a "cél"...remek....

http://itcafe.hu/hir/vodafone_iot_smart_summer.html

2016. július 27., szerda

Te mit szólnál, ha egy fénykép alapján bárki megtudhatná minden adatodat?

Én köpni-nyelni nem tudnék ha így megtalálnának, pláne, hogy nem vagyok fent semmilyen közösségi oldalon (csak eme Blog).

http://kettosmerce.blog.hu/2016/07/25/te_mit_szolnal_ha_egy_fenykep_alapjan_barki_rad_talalna_az_interneten






Európa végleg leszámol(na) a zsaroló programokkal

Itt volt végre az ideje...

http://bitport.hu/intel-kaspersky-europol-osszefogas-a-zsaroloprogramok-ellen-ingyenes-eszkozok-a-ransomware-ek-altal-lezart-eszkozok-kinyitasara

100

Elérkezett a 100-ik bejegyzés ideje.

Éljen, meg minden, hurrá és satöbbi.


Snowden üzeni: ezt a kis kütyüt kell a telefonra tenni, és jelez, ha valaki hallgatózik

Éljen, megint valami cucc iPhone-ra, és a többiek?

http://hvg.hu/tudomany/20160727_iphone_lehallgatas_snowden#rss



2016. július 12., kedd

Pokemon Go adatvédelmi gondok.

A Pokemon Go hódít mint a rómaiak. Cserébe "programozási hiba" miatt hozzáfér a Gmail-es címünkhöz, benne a levelekhez, meg a Drive-hoz, meg még ki tudja mihez.
http://index.hu/tech/2016/07/12/teljes_hozzaferest_kaphat_a_pokemon_go_a_google-fiokhoz

Ugyanakkor megnyugodhatunk mert ez csak egy programozási hiba és nem is kér a program a felhasználó adataiból (khöm..)
http://444.hu/2016/07/12/a-jelek-szerint-a-pokemon-go-megsem-egy-szupertitkos-megfigyeloszoftver


2016. július 8., péntek

Wifi védelme


Eddig olvastam róla, láttam különféle videókat, mindenki mondta, de most saját szememmel is láttam, hogy mennyire védtelen, hiányos, a kényelem oltárán teljes mértékben feláldozott módszerre alapuló Wifi-t használunk (céges környezetben más, ott külön hitelesítési protokoll nehezíti a törést) otthon.
Sebesség, Mhz, osztott Guest hálózatos fícsör, WPA2 AES lehetőség, WPS – ezek mind jó nagy szavak, de minden kuka.
Nem kellett 2 parancs és a WPA2 TKIP/AES router Hidden SSID-ja már látható volt, harmadik parancs után már a MAC szűrés is ki volt játszva, mintavételezés után a jelszótörő program (csak a szemléltetés miatt azonnal) pár nap aktív magárahagyása után visszaadja a jelszót és máris léphetünk be a hálózatba, mint hálózati gép. Egy 8 betűs nagybetűvel kezdődő és speciális karakterrel végződő jelszó átlagos feltörése manapság kapható géppel pár nap alatt – erősebb videókártyával még annyi sem.
Összegezve, nem véd meg az SSID elrejtése, a MAC címszűrés, a 8 hosszú mindenféle karakteres kulcs.
Ha hosszabb, legalább 13 karakteres, összevissza karakterekből álló jelszó már nem biztos, hogy feltörésre kerül emigyen, túl hosszú és emiatt sokáig tarthat a törése. 4 Euróért vagy 5 Dollárért feltörik nekünk 48 órán belül (ha szerencsénk van és olyan szolgáltatót találunk aki ennyiért meg is csinálja – rendelkezik megfelelő számítási kapacitással), vannak erre Bitcoin farmok a világon, amiknek ez meg sem kottyan.
Jelenleg a világ abba az irányba meg, hogy minél több eszközt felkössünk Wifi-re és ne kelljen kábelezni, emiatt is jelent meg és terjed a mai napig a WPS amivel játszi könnyedséggel pároztatni tudjuk újdonsült TV-ket a Wifivel és máris mehet a youtube a gyereknek.
WPS borzalmasan sérülékeny, ami miatt remekül törhető pár parancs kiadása után. Ilyenkor listázza a Wifi-s eszköz típusát, Firmware adatait és egyéb érdekességet, amivel még mélyebbre lehet menni (pl.: az adott firmware hibáját kihasználva átvenni a Wifi-s eszköz webes felületés és pl.: a DNS-t átírni valami másra amivel elhitethetjük, hogy a mi Wifi-n levő gépünk az otp.hu és oda fog belépni, persze itt nekünk csak a felhasználó név/jelszó páros kell (meg az SM auth miatt azt is meg kell szereznünk) – de lehet ez a facebook oldala is ahol ugyanezekkel el tudjuk a teljes profilt lopni míg  felhasználó csak egy oldalt kap olyan szöveggel, hogy karbantartást végzünk, lépj vissza később. Innen is látható, hogy számtalan lehetőség van adataink megszerzésére.
Végezetül a kérdés, hogy mit tehetünk mi saját hálózatunk, egzisztenciánk megvédése érdekében.
1.    ne használjunk Wifi-t (tehát tiltsuk le a routerünkben).
2.    ha használnunk kell Wifi-t mindenképp, akkor vegyünk még egy routert (amin ha Wifi-s, akkor tiltsuk le a Wifi-t, legyen ez az elsődleges hálózatunk és átjárónk az Internet felé, majd ennek egy részéből nyíljon a már meglévő Wifi-s routerünk.
3.    Manapság a Wifi-s hálózat VLAN-ba elszeparálható szoftveresen a Wifi-s eszközben, ez is lehet egy megoldás, kérdés, hogy a Wifi-s eszköz firmware-e mennyire biztonságos.
A 2-es pont lényege, hogy a Wifi-s eszköz belső hálózata teljesen el van szeparálva (fizikailag), ha betörnek, akkor ez a hálózat válik láthatóvá, a felette levő kábeles hálózatunk forgalma nem látszik. A Wifi-s eszközünket is feltörheti a támadó akkor sem jut hozzá további adatokhoz belső hálózatunkból. Esetleg ha egy alternatív Firmware-t installál a feltört Wifi-s eszközre valahogy akkor tehetne további lépéseket, de eme állapotban vagy fizikailag kell hozzáférnie a Wifi-s eszközhöz, hogy be tudja állítani az új firmware-t, vagy olyan egyénileg módosított firmware kell neki amit a jelenlegi állapothoz idomít. Nagyon sok idő, türelem, elszántság és kitartás kell, hogy így járjon el valaki, ezért talán ez egy elég jól járható út a saját hálózatunk megvédése érdekében.


2016. június 22., szerda

Tudta, hogy hol fut rengeteg Windows XP?

http://biztonsagportal.hu/tudta-hogy-hol-fut-rengeteg-windows-xp.html

"Ilyen például a Windows XP, melyhez már 2014 óta nem készülnek biztonsági frissítések, miközben a világszerte található több mint hárommillió ATM túlnyomó többségén még ez az operációs rendszer fut." - itt azért hozzátenném, hogy nagy mennyiségben Windows XP Embedded verzió fut - mint pl. a CBA gépein is (legalábbis egyszer sikerült egy bootolást látnom), eme verzió 2014 április 8 helyett, 2016 január 12-ig megkapta a frissítéseket (nah most így június végefelé ez sem túl megnyugtató dolog).

Illetve, ott vannak azok a cégek akik súlyos pénzekért legyártatják a frissítéseket amíg átállnak valamelyik utódra...


2016. június 17., péntek

Adobe Flash 22.0 r0

Nem akartam korábban ezzel terhelni a Blogot, de mégiscsak kell.


Irány telepíteni az új 22-es verziót (Chrome esetén meg böngészőt frissíteni)!

https://get.adobe.com/hu/flashplayer/




DoNotSpy78 és 10

Megpróbálkoztam a fenti programmal, ígéretes, talán segít nekünk, hogy ne ömöljön ki minden a Windows 7/8/10-es gépünkről a Microsoft ölébe.

Windows 7 / 8
http://pxc-coding.com/portfolio/donotspy78/

Windows 10
http://pxc-coding.com/portfolio/donotspy10/


Konténerekkel töri meg a követést a Firefox

A piacon egyedülálló fejlesztést jelentett be a Firefoxhoz a Mozilla: a böngésző legfrissebb tesztverziójában (Nightly Firefox 50) kipróbálható a Containers funkció, mellyel a Firefoxon belül (majdnem) teljesen elszeparált "személyiségek" mögött böngészhetünk.

http://www.hwsw.hu/hirek/55750/mozilla-chrome-containers-nightly-kovetes-bongeszo.html  

 

2016. június 16., csütörtök

OFF: Világok találkozása

Véletlen találtam rá Vault Brown* és hűséges kutyája, Snoomeat* közös képére egy Nuka Cola társaságában.


Persze akad még számtalan ilyen kreálmány, pl.: Super Vault Boy
 

 
Ha ilyen pólómim lehetnének….


*saját agymenetem által legyártott elnevezés amit még lehetne cifrázni.

OFF: Vim!

Ha már meglehetősen unjuk a Nuka Cola hatásait akkor telepítsük fel a Far Harbor DLC-t és nyissunk fel egy Vim!-et.
Egézség...


Újabb patch-kedd és újabb Flash 0-day

Gondoltam megnézem, hogy mi a jelenlegi helyzet a beépített windows-os sérülékenységek frontján.
http://www.hwsw.hu/hirek/55742/microsoft-patchkedd-windows-internet-explorer-edge-office-adobe-flash-0day.html

Úgy látom nem változott semmi, a „természetes körforgás” még mindig táplálva vagyon.

Ugyankkor kiemelném az alábbi mondatot:
Az elmúlt hónapok napvilágra került sérülékenységeinek fényében érdemes megjegyezni, hogy a Microsoft tudomása szerint egyik hibát sem használják ki támadások során.

Miután a Windows 7-8-10 telemetriai frissítési csomagok jelentős adatot áramoltatnak ki a gépeinkről (7 és 8-nál külön frissítés deinstallálása megakadályozza mindezt, amiről korábban is írtam már), így elhiszem, hogy teljes bizonyossággal tudják alátámasztani mindezt…

Adobe Flash-ről meg annyit, hogy ha már ezt a rakás szerencsétlenséget használnunk kell, akkor vegyük a fáradtságot, hogy alapból tiltjuk, és ha kell, csak akkor engedélyeztetjük megadott honlapnál akár egyszeri alkalommal, illetve minden nap lekérdezzük, hogy van-e frissebb változat:

Firefoxnál:
https://www.mozilla.org/hu/plugincheck/?utm_source=firefox-browser&utm_medium=firefox-browser&utm_campaign=plugincheck-update

Chrome-hoz nem lehet telepíteni Flash-t, neki sajátja van ami Chrome új verziójánál frissül.

Avast Pass-O-Meter

Ki akartam keresni az Avast éppen aktuális verziójának a számát – mert halandó és feledékeny vagyok – ezért felmentem a honlapjukra, és ahogy mentem lefelé az oldalon jött ez a jelszóerősségtesztelős izé. Gondoltam kipróbálom, de nem leszek rest és nem adom meg használt jelszavaimat, hanem hasonlót. Őrületes, hogyan fogja fejét a manyus és hogyan vigyorog a képünkbe, ha megfelelő erősségű amit beírtunk jelszó – és amit persze annak ellenére hogy nem használják fel saját célra.

Sikerült kihozni egy jó átlagot, most megnyugodhatok, hogy "Őrülten jó" és 157215108341 év kell a feltöréséhez annak a jelszónak amit beírtam…




…. vagy mégsem mert hiányzik, hogy hány gép törné fel, milyen paraméterekkel, és mi van, ha nem alaplapi CPU hanem, grafikus kártyával törik fel, akkor hány év lenne, esetleg ha fürtözve lenne a grafikus kártya ,pl 8x Nvidia turbóbrutál mostani darabonkénti 300000 Ft-os kártya 10 gépben hány év/hónap/nap alatt törné meg?
Szóval mégsem vagyok nyugodt (vagy esetleg hitessem el magammal, hogy majd más jelszavát törik fel és engem nem találnak be? ).

Egy szóval ilyen az élet a Vaulton kívül...


Az internetes bankolás veszélyei

Az imént találtam az alábbi linket:

Igazából jól össze van szedve, tényleg jól leírja halandó emberek számára, hogy mi hol hogyan történhet.
Kitér a G Data Bankguard (amit úgy látom, hogy az Internet Security termékük része) programjára is és annak jótékony hatására, ugyanakkor a pontokban szedett „Mit tehetünk a biztonságos bankolás érdekében?” rész, több sebből vérzik.

Elsőnek, hiányzik a pontokból valamelyik saját G Data védelmi szoftverük telepítése, használata (ha már egyszer maga a cég írta össze a pontokat).

7.    Használjunk a számítógépen jogtiszta és rendszeresen frissített vírusvédelmi szoftvert, és ne felejtsük el telepíteni a Windows frissítéseit sem. – igen, ez nem csak ezekre a termékekre vonatkozik. Ugyanakkor korábban már pár alkalommal kifejtettem, hogy mit teszünk windows frissítésnél (1 sebezhetőséget bezárunk, 3 újat megnyitunk), így az sem jó, ha nem frissítünk, de az sem ha frissítünk. Linuxot használván sem jobb a helyzet, bár a rendszerösszetevők miatt malware-ek nehezebben terjednek Linuxos gépen, mint windows-os társaikon, a kernel sebezhető és ezt sokan ki is használják (most mondanám, hogy Amiga 500 / 1200-es bankoljunk de ezek lehetetlen kérések bárki felé – nem is beszélve arról, hogy mennyire nehezen lehetne összeimátkozni ezeket a gépeket a jelen követelményeivel).

8.    Az otthoni vezeték nélküli hálózatot is védjük megfelelően erős jelszóval, és állítsuk be a titkosítását (elkerülve az elavult WEP titkosítást). – ezt egy az egyben ki is hagyhatták volna, sem a WEP / WPA / WPA2-PSK TKIP vagy TKIP+AES nem ad megfelelő védelmet (hálózati mintavétel után párdolláros áron az internetre feltöltve visszafejtik nekünk megfelelő számolási kapacitással bíró honfitársaink a PSK-t, rejtett SSID pár perc alatt kinyerhető, MAC filtering-re számos program hazudik be MAC címet, a router webes felületét meg lehet bruteforce-olni) – egyedül a WPA2-PSK AES és vagy Radius szerveres auth nehezíti a törők dolgát – de sztem ez sem ad megfelelő védelmet. Egyedüli megoldás itt WIFI-t nem használni (vagy legalább a WIFI-s routeren ha van rajta WIFI ON/OFF gomb) akkor a bankolás idejére kikapcsolni, vagy csak akkor bekapcsolni, amikor eszközeinkkel el szeretnénk érni).




2016. április 29., péntek

Elgondolkodtam

Kicsit megpihentem az elmúlt hónapokban (igazából nem fizikailag és nem szellemileg, mert abból több jutott és jut is a mai napig), ezért sem írtam. Végiggondoltam, hogy miként lehet a mai világban biztonságra törekedni, sajnos értelmes választ nem kaptam. Gyerekkoromban a C64-es géppel még más volt a helyzet, kazettáról Turbo Tape 64-el „meggyorsítva” töltöttem be apámmal a játékot, később pedig floppy lemezről. Majd beköszöntött az erősebb/okosabb gépek ideje és ez tart a mai napig is. Így utólag átgondolva a Windows 95 első/második kiadásáig volt egyféle szabadságunk, onnantól, hogy az NSA beszállt a játékba és egyre nagyobb éhsége egyre több hálózati eszközt, hálózatot, számítógépet, mobilt és egyéb hálózatra köthető eszközt zabált fel ez megszűnt. Jelenleg az utolsó elektronikai eszközünkben is ott vannak a kiskapuk, elrejtve amik szándékosan vagy véletlen (de inkább az előbbi) kerültek bele természetesen pénzért, mert az IT-ban is minden a pénzről szól.
Olyan hihetetlen mennyiségű pénzről beszélünk, ami lassan átláthatatlan és felfoghatatlan nekünk egyszerű emberek számára.
Korábban sok mindent leírtam már, hogy hogyan lehet védekezni, ezek mind olyan standardok, amivel azt érjük el mint a bejárati ajtón a zárak cseréjével, esetleg rácsajtó vagy biztonsági ajtó felszerelésével: lassabban tudnak betörni, ami nem jelenti azt, hogy nem lehet betörni.
Feltehetünk vírusirtót, de a vírusírók mindig előttünk vannak, a vírusirtó program pedig ugyan úgy tartalmaz kiskapukat, tűzfallal blokkolhatjuk a káros támadásokat, de ezek is kicselezhetőek és teli vannak kiskapukkal, sorolhatnám a komponenseket, legyen az fizikai vagy szoftveres dolog, mindegy. Megtámadható vagyok azzal, hogy bizonyítsam be, Snowden is támadható ezzel, Ő csak kimentett mindent, amit talált – persze kérdés, hogy azok az iratok mennyire megbízhatóak.
Biztonság, igazából nem létezik, hiszen a kényelem oltárán nap mint nap feláldozzuk, átadunk egy halom információt magunkról ingyen és dalolva lásd Facebook felhasználói profilok, vagy nem titkosított levelezések az ingyenes postafiókunkból, minden percet amit az Interneten töltünk ömlik bele különböző adatbázisokba hogy pontosabb képet lássanak életünkről, mikor eszünk, hova megyünk, mit nézünk a TV-ben, hol voltunk/vagyunk aznap a gyerekekkel, mivel játszottunk a konzolunkon, mennyi sör van a hűtőben, mikor vagyunk otthon, milyen a gépkocsink állapota, hogy van a szívünk….
Kényelem vagy biztonság….a kényelem áll nyerésre….



2016. január 21., csütörtök

Vista 10 "kampány"

Egy kedves olvasótól kaptam az alábbi cikket:
http://hvg.hu/tudomany/20160120_Igy_is_gyilkolja_a_Microsoft_a_Windows_7#rss

Lassú és hatásos taps, taps, taps, taps...



Nyakig a pöcegödörben - extra (index.hu)

Nos, úgy látom másnak is vannak a fent említett dologgal gondjai:
http://index.hu/tech/2016/01/20/nemcsak_adatokat_eleteket_is_veszithetunk/

Nincs amúgy vége a sorozatnak, csak most nincs lélekjelenlétem tovább írni, de majd lesz, kicsit várni kell...


2016. január 15., péntek

Nyakig a pöcegödörben - 5.rész

Előzőleg a gépünkről esett pár szó, lássuk a többi eszközünket. Mik szoktak még lenni Vaultunkban? Okos telefon, okos óra, okos TV, okos hűtő, okos Vault, mindenki okos. Sajnos a kényelemért eldobjuk a biztonságot.
Minden eszközünk támadható mihelyst felkerül az Internetre (persze akkor is, ha nem). Aki nem teszi fel a TV-ét internetre, nem tud Youtube-ot nézni rajta (meg az összes többi „tartalom” sem tölthető fel), ez olyan, mintha az új autónk egyik felét használnánk csak, anyósülésen még soha senki nem ült).
Ez az emberben fusztrációt vált ki, arról nem is beszélve, hogy az olyan világba, mint ez, ahol a tulajdon jelentős szerepet játszik életünkben (a pénzzel karöltve), nem engedhetjük meg magunknak, hogy a drágán megvásárolt high-tech dolgot ne használjuk ki 100%-an. Tehát a TV felmegy az internetre, a telefonunkkal együtt, és ha már trilliárdokért vettünk okos hűtőt, akkor szóljon már nekem az okos telefonon keresztül, hogy nincs otthon elegendő joghurt. A redőny, világítás, fűtés, ajtó/ablakok és még sokminden is vezérlést kaphatnak, internetről a kis wifi-s routerenken keresztül elérhetővé tehetőek és irányíthatóak is (bárkinek, mert mi csak azt hisszük, hogy csak nekünk van jogunk hozzá).
Épp ilyen eszközök között lehet turkálni a Shodan honlapján, van itt kamera, routerek alapértelmezett jelszavakkal, szerverek, lakások, hűtők és még sorolhatnám.

Software
Kezdjük belül. Ott van az operációs rendszer (OS). Ez vezérli a perifériákat (nyomtató, alaplap, videó megjelenítés, egér stb.), futtatja a programokat, stb. Azt mondják, hogy az OS sikerét a ráírt programok határozzák meg, ezért is van még mindig a Windows család köztünk. Linux is beférkőzött a családi fészekbe, de a játékok nagy részét még mindig Windows-ra írják. A Windows a 95-ös verzióval lett az NSA fő zászlóshajója, azóta a hátsó kapuk száma, az összedolgozás a két cég között (Microsoft-NSA) csak tovább mélyült, egyre közelebbi lett.
Linux egy teljesen más világ, rengeteg verziója van, olyan szerteágazó egy OS család, hogy ember legyen a talpán, aki kiigazodik rajta.

A programok melyeket futtatunk az OS-en is úgy vannak megírva, hogy kiskapuk rejtőzzenek bennük, ezért folyamatosan kell frissíteni (kérdés, hogy mint a Windows esetén úgy más programnál is alkalmazzák-e, hogy új frissítéssel a régi már korábban eladott kiskaput befoltozzák és újat tesznek-e bele vele).



2016. január 12., kedd

Nyakig a pöcegödörben - 4.rész

Folytassuk kicsit a gödröben.
További érdekessége az Internetnek, hogy normálisan internetezünk és két linkváltás között egy beékelt Exploit Kit megvizsgálja, hogy mi a verziója a telepített Silevrlight/Java/Flash/Shockwave programunknak (ha van), majd ha sérülékeny (mert az), akkor kompromittál minket (gépügyileg). Elirányít fertőzött lapra, feltesz ezt-azt a gépünkre. Ha szerencséje van, akkor az ellenállásunk (vírusirtó és társai) nem detektálják eme áldást és további meglepetések is érhetnek minket.
Ha valami oknál fogva a titkosszolgálatok (mint az NSA) felfigyelne ránk, akkor pl. hamar foxacid területen találhatnánk magunkat, ez olyan kiépített többszerveres rendszer, amibe az internetezésünket beterelik, majd eme szerverek több tonna sérülékenységet zúdítanak ránk, kompromittálva a gépünket, úgy ahogy kell. De ha nem kerülünk ide, akkor távolról kapnák el a gépünket vagy esetleg fizikailag egy furgonból. A fegyverarzenál hatalmas, mi vagyunk kicsik.


Hardware
Ha veszünk új gépet, akkor már rég elrontottuk. Igen, egy ideje a titkosszolgálatok már ott vannak az alaplapban, meg mindenbe ahol kell. Jól ki van találva, és én sem csináltam volna máshogy. Távolról tudják magukat észrevétlenül aktiválni, védelmi rendszerünk persze ebből mit sem érez meg. Hálózati kártyánkat tudják kompromittálni/kiiktatni, merevlemezbe belenyúlni, stb. Ha gépünk pl.: fertőzött, támad egy amerikai címet akkor az NSA-nak egyik fegyvere ilyen esetben visszalő és célba is fog találni, kiiktatja a hálókártyánkat és dobhatjuk ki a laptopunkat, mert az alaplapcsere kb. annyi, mint egy új laptop ára. Rosszfiúk alkalmazni szokták azt a lépés miszerint egy másik IP nevében járnak el, spoofol-nak, pl. egy fontos területi szolgáltató nevében (IP-vel) támadnak, az NSA automatikusan lövi a támadó IP-t ami meg a szolgáltatónak fog fájni, el lehet képzelni a pusztítás mértékét ha az korház, repülőtér, stb külső IP lába pl. VPN-hez, vagy egy atomreaktorhoz tartozó fontos vezérlési IP kerül így veszélybe. Snowden is nehezményezte ezt az NSA automatikus válaszolási fegyverét.


Érintőkártyák - 2.rész

Rendeltem január 8-án egy kétkártyás csomagot és hétfőre meg is kaptam. Az Internet és a szállítás csodája.
Kettő érdekes fogású, eléggé hajlékony tokot kaptam, belülről látszik, hogy fóliával van ellátva. Kipróbálom majd egy érintőkártyás fizetésnél (fizetünk tok levétele nélkül, ha nem sikerül, akkor megérte a 8 Eurót szállítással együtt).
Az új személyi is eme áldással van ellátva, szóval hozzá is kell rendelni majd egy ilyen csomagot.



2016. január 8., péntek

Nyakig a pöcegödörben – 3.rész

Emailezés közben további áldásokat is kaphatunk célzott vagy nemcélzott formában. Ilyenek a Spam (kéretlen) levelek és azok linkjei / fájljai. Ha egy ilyet felhasználunk, jó eséllyel leszünk áldozatok. Kéretik törölni eme dolgokat. Jómagam különböző szolgáltatások igénybevételéhez egy külön Email címet tartok fent. Ezzel regisztrálok be és nem zavar, ha ellopják a címet és onnantól meg spammelik.
A gyenge jelszóval védett Emailfiók is tud kellemetlenséget okozni, pláne ha feltörik, és olyan dologra használják, ami miatt a TEK az ajtónkat be kell, hogy rúgja. Tessék erős jelszót használni (de nem ugyan azt mindenhova) – minimum 8 hosszú, kis/nagybetű/szám/speciális karakter).

Internet
Levelezésen kívül másra is jó a böngészőnk, igen, ez maga a csúcsszuper Internet. Chat / videó nézés, zenehallgatás, online játékok, tanulás, adóbevallás, pizza rendelés és még sorolhatnám. Nagy részénél kiadjuk a személyes adatainkat, a nevünket, címünket és telefonszámunkat az email címünkkel együtt. Ahol ezeket kiadjuk ott, ha a szolgáltatás meg is védi a felhasználót, semmi sem garantálja, hogy tudtával vagy tudta nélkül ki nem szivárog-e onnan. Mert a pénz az úr. Még útközben (tehát gépünktől a szolgáltatásig) is lemásolódhatnak adataink.    
A szolgáltató hiába foglalkozik a regisztrált userek védelmével, ha a rendszer, amit használ, tele van nem javított, a piacokon eladott sérülékenységekkel, amin a megfelelő emberek ki-be járkálgatnak és visznek/módosítanak amit akarnak.
Proxy mögé itt is bújhatunk, a megoldás itt is láncolt proxy használata lenne, hiszen a proxy-k logolási ideje különböző is lehet illetve a nagy használat miatt gyorsan ki is futnak a logfájlok, tehát nem találnak meg minket (ha szerencsénk van). Ehhez persze jó proxy-k kellenek.
 Szolgáltatás igénybevételénél (regisztrálás) érdemes itt is erős jelszót használni – vagy mérlegelni, hogy mennyire fontos az adott regisztráció (tehát ételrendelésnél erősebb jelszó kell, mert ha feltörik és rendelnek egy valag pizzát a nevedben a kiszállítási címedre – jól megszívatván ezzel – Te meg nézel, mint a moziban, na ekkor lesz aztán érdekes a napod. Banki oldalnál sem érdemes 123456 jelszót megadni (nem mintha elfogadnák – ahol meg igen, na az szép), mert hamar lemegy a számlánk 0-ra. 


2016. január 7., csütörtök

Nyakig a pöcegödörben – 2.rész

Folytassuk a második résszel. Tegyük fel, hogy mi mindent megtettünk, hogy semmilyen privát adat ne szivárogjon ki az ingyenes levelezéseinkből. Valamennyinek persze ki kell, pl.: a pontos nevünknek, a hotelnek ahol foglaltunk szállást x napra, és az időpontnak, amikor az ott tartózkodást megejtjük. A hotel kérheti a személyes adatainkat, de mi megtehetjük, hogy azt a bejelentkezéskor adjuk meg.

Ilyen adatokkal ellátott Email is kész aranybánya a mi levelező szolgáltatónknak, analizálni tudja, hogy honnan jött a levél, tehát tudja, hogy hotelről van szó. Célzottan tud nekünk az adott régióban, vagy csak úgy általánosan hoteleket ajánlani a webes felületen ahol a leveleket fogadjuk / írjuk. Ha tovább boncoljuk a dolgot, akkor ki tudja deríteni, hogy gyerekbarát ám az a hotel, így gyerekbarát hoteleket és vagy gyerekprogramokat is tud hirdetéseiben megjeleníteni. Ha pl.: érdeklődünk egy autó iránt akkor hirdetésekben gépkocsikat is bele tud tenni. Nem utolsó sorban az is tárolásra kerül, hogy honnan / mikor léptünk e, milyen oprendszerrel, böngészővel, felbontással, stb. Ezért is érdekes láncolt proxy-k használata.

Nagyon fontos tudni, hogy a fő cél itt is ugyan az mint szinte mindenhol a digitális világunkban, a pénzszerzés. Ahogyan reklámra szakosodott szkriptek, programok pásztázzák a felhasználók adatait úgy más bel/nemzetbiztonsági adatokat is kiszednek a levelekből, esetleg profilképet alkotnak rólunk. Ami persze, ha elér egy kritikus szintet, akkor előtérbe is kerülhetünk és akkor már ténylegesen is digitális és fizikai megfigyelhetést kaphatunk.

Amúgy ez a reklámmechanika működik a sima mindennapi böngészésnél is. A Google szívesen tesz ki nekünk a keresések közé olyan reklámokat ami pont arról szól, hogy tegnap miket néztünk, de rengeteg más szolgáltató is felhasználja ezt.

Megoldás lehetne a levelezésünk biztonságára egy olyan saját szerver ahol a saját domain-ünk „üzemel” és ahol mi magunk által telepített levelező kiszolgálót üzemeltetünk. Fontos, a jól konfigurált kiszolgáló legfőbbképpen a biztonsági szempontból. A gond itt, hogy domain igénylésnél is rengeteg adatot kell megadnunk amit a digitális világ örökké megjegyez. A szerverünk után havi díjat kell fizetni szolgáltatónál (mint ahogy a domain után is) és folyamatosan karban is kell tartani, ami nem kis pénz.




2016. január 6., szerda

Nyakig a pöcegödörben – 1.rész

Azt már korábbról tudtuk, hogy a gépünk lebetegedhet (vírusfertőzés és annak szövődményei), tönkremehet hardverileg és szoftverileg, de hogy egy gombnyomásra, észrevétlenül ellenünk szegül az új dolog volt a szakmában (legalább is nekem). Edward Snowden juttatta el hozzánk halandókhoz ezt az információt is és még oly sok mindent. Ide tartozik, hogy a saját Vaultunk belső hálózata, a Vaulton kívüli külső hálózat, a szolgáltatók, a routerek, a mobilok, a felhasznált szoftverek, a teljes infrastruktúra úgy lett kialakítva, hogy bele lehessen nézni, gyűjtögetni, rendezni, analizációs eljárásokat készíteni. Ez egy hatalmas Big Brother ami borzalmasan meg van pénzelve. Olyan természetben is látható körforgást hoztak létre, ami jelentősen mozgásban tartja ezt az iparágat. Pl.: Windows OS -> sérülékenységet építenek bele szándékosan -> eladják feketepiacon -> valamennyi idő után kijön a frissítés -> frissítenek amivel újabb sérülékenység kerül be a rendszerbe. A védekezésre költött pénz évről évre több és több, új eszközök kellenek, új emberek, továbbképzések, átalakítások, fizetések emelése.

Mi a kis Vaultunkban a kis gépünk előtt ülve elgondolkodhatunk rajta, hogy hogyan reagáljuk le az egészet. Legyinthetünk, hogy, „hát mindegy, vigyék, legyenek boldogok az adataimmal”, vagy fejthetünk ki ellenállást, de ezt jól meg kell tervezni, észnél kell lenni, mert itt nincs mentett állás, amiből visszatölthetjük az előző lépésünket.

Email szolgáltatás
Ha most kezdeném az informatikát 8x meggondolnám, hogy hol hoznék létre Email címet és azt hogyan érném el. Utóbbi alatt azt értem, hogy milyen proxyt használva (láncoltan sokat felhasználva, vagy ingyenes egy darab, esetleg TOR hálózatból) jelentkeznék be. Persze kérdés, hogy minek Email cím. Bank kérheti, pláne ha webbankolás van, nyaralni sem lehet nélküle, ajánlatkéréséhez és foglaláshoz is kell, stb.
Még ha jól ki is alakítjuk és használjuk is az Email szolgáltatást (tehát proxy-k mögül, semmi személyes adatot megadva sem levélben sem regisztrációnál) akkor is előfordulhat, hogy kapunk a mi személyes adatainkkal levelet (pl.: Vaterás rendelés visszaigazolása, képként a feladott csomagon a nevünk/címünk). Előfordulhat, hogy elrontjuk és belépünk proxy használat nélkül a levelezésbe otthonról. Esetleg el kell küldeni személyes adatokat levélben amit mi titkosítanánk, de a fogadó fél nem ért / nem akar érteni a visszafejtéshez.
Azért az is hozzátartozik a dolog pikantériájához, hogy a proxy-k sem megbízhatóak, amúgymeg 90%-ban tök lassúak, és a logokból kinyerhető a privát IP címünk. Ezért is jó megoldás a proxy láncolása (több proxy-n megyünk át, így már nehezebb visszakövetni minket).



Érintőkártyák

Rég írtam a bloghoz aminek oka van, sikeresen, többféle megfázásos/taknyosodós/köhögős/izületifájós betegségeket kaptam el 11-12 hó magasságában heti turnusokban amihez a testet kímélő antibiotikum kúra párosult. Most éppen jó (ki tudja meddig).

Nem az IT világhoz szorosan, de mégiscsak a védekezéshez tartozó bejegyzéssel szeretnék további védelmet nyújtani. 

A kedves bankom (mint szinte mindegyik) érintőkártyás megoldást nyom le minden kedves ügyfele torkán. Ez egy hatalmas kényelem, aminek nagy ára van. Ezek a kártyák az RFID/NFC szabvány/chip minden „tökéletességét” hordozzák magukban. A kártyába beágyaznak egy chip-et, ami mágneses hatásra „beizgatja” az adott chip-et és ezzel működésbe tehető. Ha érintőkártyás kártyánk van a zsebünkben és egy tömött buszon próbálunk kapaszkodni, elő szokott fordulni, hogy valaki áttolakodik A-ból B-be, fellökvén, átgyömöszölvén, átpréselvén magát embertársain. Az, hogy ez a társunk mindezt direkt teszi az egy rejtett tény, ugyanis a zsebében, táskájában ott lapul egy közel 150/200 eFt-os RFID-vel és érzékeny vevővel felszerelt kütyü, amivel a mi érintőkártyás kártyánkat „beizgatja” és máris megy le a maximális összeg (5000 Ft) mindenféle tudtunk nélkül. Az NFC leolvasási távolsága pár cm-re, ezért is kell a POS termináloknál (ahol bepötyögjük a PIN-t) rltalálni, hogy hol az olvasó és simogatni a kártyával, hogy olvassa már le. Az új személyi is hasonló elven működik, adataink lesznek ellophatóak.

Szép új világ.

Mit tehetünk eme fícsör ellen?

- Kérhetnénk a bankunktól új kártyát ami ezt a dolgot nem tudja, van ahol még összejön, de ezt nem tudjuk sokáig húzni/halasztani.
- Ha tudjuk, hogy a kártyán hol az RFID/NFC chip akkor egy szög és kalapács segítségével szét is verhetnénk.
- Ha nem akarunk kockáztatni, akkor tehetjük azt is, hogy nem nyomorgunk buszon, nem vegyülünk el tömegben (ez azért 90%-ban nehezen kivitelezhető).

Így maradt számunkra az árnyékolás. Lehet már csillió euróért kapni árnyékolt zsebbel felszerelt farmernadrágot, de talán ennél olcsóbb az Epiguard Cryptalloy-t alkalmazó RFID/NFC blokkolós cuccai. Ilyen pl.: a kártyatok, ami pont a mi bajunkra lehet megoldás. de van már pénztárca is és hátitáska is fellelhető eme blokkolási technikával.