Újabb magyar bankot ért adathalász támadás. Ezúttal az MKB-nál próbálkoztak be a támadók. A bank időben intézkedett, a hír nyilvánosságra kerülésekor a hamisított weboldal már nem volt elérhető. A támadás a primitívebb fajátból való, az adathalász e-mail angol nyelvű, és csak az MKB kezdőoldalát tartalmazta. Gyenge próbálkozás volt, reméljük, hogy senki nem dőlt be. További részletek a bank honlapján: [link]
Hirdetés
A német hackerellenes törvényről
Az utóbbi napok szakmai közbeszédét egyértelműen a német törvényhozás által hozott, 202(c)-nek becézett jogszabály határozza meg. Eszerint a DoS támadások, az egyéni felhasználók elleni támadások, az adatokhoz való illetéktelen hozzáférések 10 évig terjedő börtönnel sújthatók. Ez eddig még rendben is lenne. A sajtóhírek szerint viszont a törvény nem eléggé világos megfogalmazása miatt az ilyen támadások elkövetéséhez használható szoftverek birtoklása is büntetendő, méghozzá 12 hónappal vagy pénzbüntetéssel.
Az első eredményeket már látjuk. Káosz a biztonsági cégeknél, egyelőre mindenki bizonytalan, hogy mit szabad és mit nem. A KisMAC-et hozzák fel példának, ennek vezetéknélküli hálózatokat ellenőrző szoftvernek a fejlesztői már át is tették a székhelyüket Hollandiába. A hosszútávú eredmények viszont kétségesek.
Jelen állás szerint a világ fejlettebb részében, így Magyarországon is büntethető a rendszerek feltörése. Ennek ellenére nincs tele a sajtó ilyen itéletekkel. Tudtommal egyedül az Elender jelszavak feltörésében történt ítélethozatal, de az még nem a BTK 300/C alapján. Ha valaki tud arról, hogy az említett paragrafus miatt bárkit is elítéltek volna, a fórumban ossza meg velem is! Az ítéletek nullához konvergáló száma amiatt van, hogy az áldozatok egyszerűen nem tesznek feljelentést. Vagy azért mert nem tudnak bizonyítékot mutatni, vagy azért, mert egyszerűen presztízsveszteséggel járna, ha kitudódna az ügy. Én ezt várom a német törvénytől is. Viszonylag kevés esetben lesz feljelentés, a nagy halak pedig bizonyíték hiányában nem lesznek elítélve.
Viszont egy olyan eszközt kaptak a kezükbe a hatóságok, amivel könnyen vissza lehet élni. El tudom képzelni, hogy egy céget a konkurense feljelent illegális támadószoftver birtoklása miatt. Ilyen jogszabályokról és esetekről a BSA-val kapcsolatban ugye már Magyarországon is hallottunk. Az igazi hackereket és crackereket viszont nem fogják tudni megfogni ezzel a törvénnyel. Magyarul keresztbetesznek az IT biztonsági cégeknek, de az igazán veszélyes, black hat emberkéket nagy valószínűséggel nem fogják tudni megfogni. Az általános biztonsági szint tehát törvényszerűen csökkenni fog. Mindenesetre összedőlt bennem az az elképzelés, hogy átgondolatlan, idióta törvényeket csak Magyarországon hoznak. Német barátaink is csatlakoztak ehhez a klubhoz.
70 milliárd $ a Microsoftnak biztonságos Windowsokra
Nagy hírrel kezd a legfrissebb SANS NewsBites. A US Office of Management and
Budget, ami valszeg az amerikai Pénzügyminisztériumnak felel meg, egyesíti az összes szövetségi hivatal szoftverbeszerzését annak érdekében, hogy a hardver és szoftverszállítók a Windows biztonságos verzióját szállítsák. A hír szerint ez évi 70 milliárd dolláros kiadást jelent. Mit is jelent ez?
A jó hír a tudósítás szerint, persze az amerikai államnak, a költségcsökkentés és a biztonság növekedése. Ezzel a lépéssel - a centralizálással - a helpdesk költségek, a patchelési költségek csökkenhetnek. Ami szerintem még fontosabb: az USA ezzel foglalkozó szerve, a NIST kiadott egy biztonságos alapbeállításokat előíró dokumentumot is, amit a telepítések során be kell tartani ([link]). Az ezeket a beállításokat tartalmazó ISO fájl ráadásul le is tölthető az érintetteknek a Microsofttól. Ezzel a lépéssel talán kevésbé lesz lyukas a rendszerük. Megjegyzem, bár látnék valami ilyesmit a magyar kormányzattól is...
Ami a kevésbé jó hír – és én felfedezni vélem a sorok között – az az, hogy nyilván ezzel a lépéssel minden más operációs rendszer ki lett zárva ebből a nem kis üzletágból. Persze ennek van jó oldala is, mert így sokkal könnyebb kezelni a hálózatokat, de valahogy a kapitalizmus hazájában nekem nem jön be a dolog. A másik érdekesség, hogy gondolom ezzel a lépéssel a Vista eladási mutatói ugrásszerűen fognak nőni. Jól jön az majd még a Microsoft részvényeknek. Szabad verseny, mi? Végül beigazolódni látom azt a korábbi hírt, hogy az USA kormányzata (névleg az NSA) igenis ''kivette a részét'' a Vista fejlesztéséből. Nem hiába engedik be ilyen szinten a Windowsokat mindenhova. Más országok, ahol Vistát használnak: Reszkessetek!
Forrás: [link]
Hacktivity 2007 műhelytitkok - 2. rész
Itt az ideje, hogy továbblépjek egy picit, és bemutassam a Hacktivity 2007 konferencia második szekciójának előadóit. Ez a szekció az ''Operációs rendszerek, alkalmazások biztonsága'' címet kapta. Célja - hasonlóan a két évvel ezelőtti hasonló előadásokhoz - az, hogy a különböző népszerű operációs rendszerek és alkalmazások aktuális biztonsági kérdéseit megvitassa. Ami miatt igazán izgalmas ez a szekció, hogy képviselteti magát a Microsoft, az Apple, és a szabadszoftveresek is.
Rögtön az első előadás a Linux biztonsági kérdéseivel fog foglalkozni, Béres László az ULX Kft.-től fogja tartani, címe a SELinux biztonsági rendszer előnyei és rugalmassága
- a Red Hat Enterprise Linuxba való implementálása. Őszintén szólva én Béres Lászlót személyesen nem ismerem, kíváncsian várom, hogy milyen előadást fog tartani.
Utána következik Safranka Mátyás a Microsoft Magyarországtól. Előadásának címe: Windows Vista - az eddigi legerősebb védelem. Ez a téma mindig erős indulatokat kavar, különösen egy olyan rendezvényen, mint a Hacktivity, de Mátyást, és a többi előadót is megkértem, hogy tárgyilagos prezentációkat tartsanak, mert így kisebb lesz a támadási felület. Ami pedig az én véleményemet illeti, a Microsoftot még mindig divat cikizni, de azért ha jól megnézzük, a security témakörben hatalmas a fejlődés, amit aktív Vista felhasználóként én is meg tudok erősíteni. Persze hibák mindig vannak, de hát ki tökéletes?
Kicsit sötét ló még az Apple előadása, ami a harmadik lesz a sorban. Még nem tudjuk, hogy ki lesz az előadó, de a Safari és az iPhone sérülékenységek miatt biztosan sokat kell majd magyarázkodnia. Én ebben a szekcióban ezt az előadást várom a legjobban, mert sajnos az Apple termékpaletta nálam kimaradt, így csak a szaksajtóból olvasok a biztonsági dolgaikról.
A szünet után thief_hu, az insecurity.hu portál gazdája tart egy előadást a Java biztonságáról. Személyesen őt sem ismerem, de azt hallottam róla, hogy egy igazi, hacker előadást várhatunk tőle. Az őt ismerők szerint nagyon penge a Java biztonsági kérdéseiben, szoftvereseknek ajánlom a prezentációját.
Csabai Csaba, a SaveAs Kft.-től a Dokumentumvédelem, mint alkalmazott tudomány címmel tart előadást. Mivel ez egy blog, és szabad szubjektívnek lenni, erősen remélem, hogy ezúttal egy minőségi, érdekes előadással jönnek, nem úgy, mint 3 éve, amikor egy az egyben az én prezentációmat lopták le a netről. Ennek megfelelően apró fenntartásokkal vagyok a céggel kapcsolatban, de hát ilyenek a személyes tüskék...
A szekciót Gara Péter zárja. Őt a 2007-es Networkshopon láttam előadni. Akkor a PKI-ról beszélt, és korrekt módon elmondta a Windows-os PKI-k megvalósítási lehetőségeit. A Hakctivity-n, szigorúan magánemberként, a Windows-os webes kliensek biztonságát fogja taglalni. Azt hiszem, hogy ez az előadás hasznos kiegészítője lesz Mátyás prezentációjának.
A sorrend persze még változhat, de azt hiszem, hogy elég jó előadóanyag jött össze ebbe a szekcióba is. Gyertek el minél többen! És persze ajánlom a jegyelővételi lehetőséget is, mert így biztosan be fog jutni minden érdeklődő! Folytatása következik!
Hacktivity 2007 műhelytitkok
Ezt is megértük. Fél évnyi szervezőmunka után hivatalossá vált: idén is lesz Hacktivity [link]. Mint az egyszemélyes programbizottság, úgy érzem, hogy blogbejegyzés formájában, nem hivatalosan kiírom magamból, hogy miért is lesz az idei konferencia még jobb, mint az eddigiek.
A programot végignézve látszik, hogy négy nagy szekcióba foglaltuk az előadásokat. Rögtön az első az informatikai hadviseléssel foglalkozik. Azt hiszem, hogy sikerült összehozni azt a három embert egy szekcióba, akik eddig ebben a témában Magyarországon megnyilatkoztak a szélesebb közönség előtt is. Kovács László a Zrínyi Egyetemen foglalkozik ezzel a témával (is), őt az ITTK egyik előadásán láttam. Akkor nagyon kevesen voltunk ott, talán tizen, de a téma szerintem megérdemli, hogy több százan is lássák, hallják. Azt javasoltam neki, hogy vesézze ki egy kicsit a Die Hard 4.0 tartalmát (ha már nekem annyira tetszett), és próbálja meg összevezetni a magyar valósággal.
Utána Muha Lajos következik. Lajos már a 2005-ös Hacktivityn is érdekes előadást tartott a Carnivore és Echelon rendszerekről. Most az észt-orosz kiberháborúról fog beszélni. Lajos előadásait nagyon szeretem, és mint szakembert is sokra tartom. Egyike a jó értelemben vett őskövületeknek, aki már ezer éve ezzel a témával foglalkozik. Egyébként szintén egyetemi ember, a Gábor Dénes Főiskolán tanít.
A szekció utolsó előadója Szekeres Balázs, a Cert-Hungary-től. Őket már 2005-ben is próbáltam csábítani, de akkor nem jöttek el hivatalosan. Most egyből igent mondtak. Balázst legutóbb az ISACA magyar tagozatának az egyik gyűlésén hallottam, és ott olyan érdekes eseteket mesélt el a praxisukból, amik miatt nagyon bizakodó vagyok vele kapcsolatban. Mivel ők látják el a hivatalos Magyarország internetvédelmét, biztosan fog majd mesélni arról, hogy mit, hogyan védenek. Persze nyilván csak a lehetőségein belül.
És ez még csak az első szekció. A többi szekciót is be fogom mutatni, és remélem, minél többeteknek csinálok kedvet a Hacktivityhez!
Die Hard 4.0 - szakmai szemmel
Régóta esedékes, hogy egyszer kiírom magamból a véleményemet a hacker témájú filmekről. Nos, a Die Hard legújabb része lökött át a lustaság azon pontján, amikor már billentyűzetet kell ragadnom. És megdicsérnem a filmet.
Lehet, hogy a laikusok úgy tekintenek a filmre, mint egy nonszensz, elképzelhetetlen valamire, pedig igenis teljesen elképzelhető, hogy egy ország(részt) informatikai támadással megbénítsanak. Arra pl. már volt példa, hogy a forgalomirányítási rendszerbe illetéktelen bejutott. A leglátványosabb az volt, amikor egy vírus (talán a Code Red?) összefertőzte az amerikai repülőterek ügyfélirányítási rendszerét. De hallottam már ennél cifrábbat is. Vajon igaz az, hogy a budapesti forgalomirányítási rendszerbe modemmel lehet bejelentkezni? Vagy lehet, hogy csak pletyka? A fene tudja, de bármit el tudok képzelni.
A következő lépés a filmben - a pánikkeltés után - a tőzsde összeomlasztása volt. Ha erre még nem is került sor, de bizonyos spamek esetén láthatjuk, hogy egyes részvények árfolyamát, s így közvetve a tőzsdét is tudják külső támadók manipulálni. Innen csak egy lépés a teljes tőzsdei manipuláció. No és ne feledjük, hogy a részvények már régen nem papírok, hanem bitek és bájtok.
Az utolsó lépés a forgatókönyvben a közszolgáltatások összeomlasztása volt. Valószínűleg ez is bekövetkezhet, méghozzá úgy, ahogy a filmben is leírták. Távolról nem tudom elképzelni, viszont egy belsős ember sokmindent elérhet. Bár erre megtörtént esetet még nem tudok mondani. Szóval ez a katasztrófaforgatókönyv szerintem teljesen reális - persze lehet, hogy soha nem következik be.
Külön pont a hackerek megjelenítése. Úgy néz ki, hogy manapság a hackernek úgy kell kinéznie, mint Keanu Reeves-nek a Mátrixban. Szomorú. És persze van nagy, zöld Access Granted felirat is. Miért nem láttam én még sose ilyet? De ezt leszámítva szintén egészen reálisak azok az életkörülmények és viselkedési minták, amiket az alkotók ábrázoltak. Szóval bravó, Die Hard. És ha esetleg további bizonyíték kell, javaslom Muha Lajos előadását, amit Kovács őrnagy (Zrínyi Egyetem) forgatókönyvével illusztrál. Kísérteties a hasonlóság... [link]
Security konferenciák 2007-ben
Lassan összeáll azoknak a biztonsági konferenciáknak a listája, amiket én és talán az olvasók közül sokan mások is végig fognak látogatni a következő esztendőben. Természetesen a legtöbbről az IT.News is be fog számolni. Lássuk a listát!
IDC Security Roadshow 2007 [link]: március 27-én lesz Budapesten. Idén már harmadszor haknizza végig az IDC Kelet-Közép-Európát a biztonsági ródsóval. Általában eléggé marketinges előadások vannak, de minden évben elhívnak egy biztonsági nagyágyút, akiért érdemes elmenni. Egyébként a gyártók régióért felelős emberei szoktak beszélni. Nem olcsó konf, de a szakma üzleti részéből rengetegen vannak ott, jól lehet kapcsolatokat építeni.
Networkshop 2007 [link]: április 11-13 között tartják Egerben. Az akadémiai, egyetemi szféra legnagyobb, hálózatokkal és csatolt részeivel foglalkozó konferenciája. Különösen azért jó, mert meg lehet tudni, hogy a vidéki egyetemeken mivel foglakoznak, ez pedig sokszor nagyon hasznos lehet. Ha minden jól megy, egy spamekkel kapcsolatos előadással én is meg fogok jelenni.
EICAR 2007 [link]: Május 5-8 között Budapesten. Úgy néz ki, hogy idén ez lesz az egyetlen rangos, nemzetközi biztonsági konferencia hazánkban. Vírusok, sérülékenységek, támadások, jó nevű előadóktól. Csak ajánlani tudom mindenkinek!
Security&Safety 2007: Naaaagy biztonságtechnikai kiállítás, idén információim szerint az IT biztonság lesz a középpontban. Egyelőre tudtommal szervezés alatt, és valamikor késő tavasszal lesz megtartva. További infók később, ha majd én is megtudok róla valamit.
Hacktivity 2007 [link]: Most látok esélyt arra, hogy a 2006-os kimaradás után talán újra megrendezésre kerül. Talán okulva a korábbi tapasztalatokból még ütősebb és még jobb lesz. Infók később... Ja, aki nem ismerné, feltétlenül nézze meg a honlapját. Kis magyar DefCon... Legalábbis remélem, hogy azzá tud válni. A beugró általában abszolút megfizethető mindenkinek.
IT Biztonsági Nap [link]: Szeptember végén egészen biztosan újra megrendezésre kerül. A biztonsági szakma legnagyobb seregszemléje, mindenki ott van, aki számít. Kivéve a Kürtöt, de az már az ő bajuk. Érdekesnek szánt előadások, de mivel céges képviselők adják elő, nem mindig sikerül a marketinget kikerülni. Eddig ingyenes volt, talán így is marad. Aki áttekintést akar kapni a szakmáról, ott a helye!
Ha tudsz még rendezvényt, feltétlenül írd a fórumba!
Biztonsági bestsellerek
Érdekes feladatot állítottam fel ma magamnak. Megpróbáltam egy olyan listát összeállítani, ami tartalmazza azokat az alapműveket, amiket szerintem minden témával foglalkozó embernek el kell olvasnia. Íme a TOP10. Nyilván lehetne másokat is ajánlani, aki ezt a bejegyzést olvassa, feltétlenül tegye meg a fórumban!
1., Steven Levy: Hackers: Heroes of the Computer Revolution. Az igazi történelemkönyv. Mindent meg lehet tudni a kezdetekről. Érdekes olvasmány, mindenkinek ajánlom!
2., Bruce Schneier: Secrets and Lies. Minden le van benne írva, amit tudni kell a biztonsági szemléletről. Schneier könyvei egyébként is rendkívül jók.
3., Kevin Mitnick: A megtévesztés művészete. A social engineering alapművének tartom.
4., McClure, Scambray, Kurtz: Hacking Exposed. A hackelés végrehajtása lépésről lépésre. Nyilván nem lehet belőle megtanulni a hackerkedést, de remek összefoglaló mű a lépésekről.
5., Hansche, Berti, Hare: Official (ISC)2 Guide to the CISSP Exam. 10 témakörben összefoglalva minden, amit az IT biztonságról tudni kell.
6., Matt Bishop: Computer Security: Art and Science. Igazi tudományos könyv. Minden, amit az algoritmusokról és az elméletről tudni kell. Nem könnyű olvasmány.
7., Shon Harris: Gray Hat Hacking: The Ethical Hacker's Handbook. Harris Schneierhez hasonlóan nagyon jó könyveket ír, de inkább a műszaki vonallal foglalkozik. Más könyveit is ajánlom.
8., Menezes, van Oorschot, Vanstone: Handbook of Applied Cryptography. Schneier-t már ajánlottam, úgyhogy egy másik alapműnek számító könyv a kriptográfiai területén.
9., Buttyán, Vajda: Kriptográfia és alkalmazásai. Vajda professzor úrnál indultam el a pályán, úgyhogy az ő könyvüket, ami egyébként minden Műegyetemistának ismerős, nem hagyhatom ki.
10., Peter Norton: A hálózati biztonság alapjairól. Remek áttekintés kezdőknek.
Kíváncsian várom mások olvasmányélményeit.
Az elmúlt napok adathalászatairól...
Nem állom meg, hogy ne írjak néhány szót az elmúlt napok phishing próbálkozásairól. Kezdődött az egész a Raiffeisen Bankkal, folytatódott a Szigetvári Takszövvel, ma reggel pedig a Budapest Bankot találták meg. Kedvenc lapunk, az IT.News nemrég beszámolt arról [link], hogy az elmúlt napokban megnőtt az ilyen jellegű támadások száma. Ez még nem lenne meglepő, az viszont már igen, hogy a magyar bankokat is megtalálták. Korábban ez nem volt jellemző, én is csak egy-két ilyen esetre emlékszem. De lássuk az elemzést!
A Raiffeisen (de nehéz leírni...) és a takszövös támadás egy sémát mutat, feltehetőleg azonos, külföldi forrásból származik. A levél törzse angol, az oldalak URL-jei is nagyon hasonlítanak, a képeket és a dizájnt pedig klasszikus módon lelopták az eredeti oldalról. Viszont hozzám és ismerőseimhez nem jutottak el nagy számban. A BB-s támadás egészen más jeleket mutat. A levél szövege magyar, az URL nagyon hasonlít az eredetire, csak .net végződésű, és a támadó tudta, hogy a banknál alkalmaznak egy 6 számjegyből álló PIN kódot is, ezt is megpróbálta megszerezni.
Hol követte el a hibát? Lehet, hogy ő nem tud valamit, lehet, hogy én nem tudok valamit, de saját tapasztalatom szerint, amikor az ember megpróbál belépni a BB netbankjába, a rendszer küld egy SMS-t, amiben a 6 jegyű PIN kódból 3 számjegyet kér, véletlen sorrendben. Tehát az ügyfél még akkor is biztonságban van, ha esetleg bedől a levélnek, és mindent kiad. Egyébként ezért jó módszer az, ha két külön csatornát biztosítunk a hitelesítési folyamathoz.
A másik érdekesség az, hogy nagyon nagy számban kaptam meg én is, és ismerőseim is a levelet, és szinte egyszerre. Lehet, hogy a támadó rendelkezik azzal a címlistával, amiről korábban írtam [link]? Azt hiszem, hogy mindenkinek minimum gyanús lehet, hogy ha egy levelet ennyiszer kap meg.
Összefoglalva, szerintem még nem értünk a végére, amit az is mutat, hogy a Security levlistán kijött infó szerint bejegyezték az otpbankhu.com címet is. Ezek a próbálkozások nem értek el átütő sikert, de látszik, hogy hazánkfiai is kedvet kaptak a próbálkozáshoz. Igazából a magyar bankokkal sok sikert nem fognak elérni, mert itthon eléggé elterjedt az, hogy valamilyen extra hitelesítési technikát vezetnek be (pl. SMS-ben érkező tranzakciós kód). De továbbra is fenntartom azt a háromnegyed évvel ezelőtti véleményemet, hogy van még olyan site Magyarországon, amit meg fognak kóstolni, és sokkal nagyobb sikert fognak elérni, mint ezekkel a próbálkozásokkal [link].
Spambiznisz
Az elmúlt napokban több forrásból jelezték, hogy valaki magyar e-mail címeket kínál eladásra. Természetesen az ajánlat spam-ként érkezett. Az üzenet többé-kevésbé a következő:
Tisztelt Címzett,
szeretném az ön részére megvételre felajánlani
800.000 magyarországi vállalkozás és magán ember email címét.
Amennyiben érdekli Önöket, kérem, hogy jelezzenek.
Tisztelettel,
Kis Zoltán
A jelenségről élénk vita alakult ki a security levlistán is, úgyhogy a közérdekre való tekintettel talán érdemes azt összefoglalni, illetve a saját véleményemet is kifejteni. Mi is a tényállás? Nem jogászként a saját szavaimmal fogom ezt összefoglalni. A reklámozó két módon is törvényt sértett. Egyrész a spamküldés magán e-mail címre az elektronikus kereskedelmi törvénybe ütközik. Ráadásul a magán e-mail cím személyes adat, mint a nevünk vagy a lakcímünk, így az azzal való kereskedés az adatvédelmi törvénybe ütközik.
Mit tehetünk? A spamek kérdéskörével a Nemzeti Hírközlési Hatóság foglalkozik [link], aki ilyen levelet kap, náluk kell, hogy bejelentést tegyen. Mivel személyes adatról van szó, az adatvédelmi ombudsman is illetékes lehet, akinél én már értem el eredményt [link]. És nem utolsósorban szerintem a személyes adatokkal való kereskedés miatt a Nemzeti Nyomozóirodának, azaz az internetrendőrségi részlegnek hivatalból kéne foglalkoznia az üggyel.
De ne hagyjuk ki a kételyeket sem. Tényleg létezik ez a lista? Tényleg érvényes e-mail címeket tartalmaz. Hiszen miből áll egy olyan listát generálni, ami ertelmesszo@freemail.hu jellegű címeket tartalmaz? Ergo a listára beruházni sem feltétlenül érdemes. Remélem senki sem fog! Maximum a rendőrség...
Hirdetés
Aktív témák
- RAM topik
- Autós topik
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- One otthoni szolgáltatások (TV, internet, telefon)
- Kevesebb dolgozó kell az Amazonnak, AI veszi át a rutinfeladatokat
- Milyen TV-t vegyek?
- Luck Dragon: Asszociációs játék. :)
- Milyen autót vegyek?
- Nintendo Switch 2
- Macron betiltatná az EU-ban a közösségi médiát a 15 év alattiaknak
- További aktív témák...