A szoftvervilág egyik legnagyobbja szenvedett el sikeres kibertámadást. Persze aki nem tanul...

Általában a rosszindulatú kódok igyekeznek minél kisebbek lenni, kerülve a feltűnést. Eklatáns példa az SQL Slammer, ami assemblyben készült és mindössze 376 byte méretű lett a végrehajtható állománya, 2003-ban globálisan lelassította az Internetet (közvetve).

Nos, a mostani malware az ellenkező irányt választotta, a teljes mérete 85 GB. A szerzője nem más, mint a WB Games, megjelenési formája pedig az általuk 2 éve kiadott Hogwart's Legacy című játék. Még talán valamikor tavaly wishlistre raktam Steamen, viszont az éppen aktuális vélemények és fórumtémák miatt a beszerzés most biztosan szünetelni fog. Ennek folyományként megeshet, hogy bizonyos részletekben tévedhetek, de a fő problémában nem.

GDPR, szerződés

Ha jól értettem a Steam egyik kapcsolódó fórumtopicját, a játék talán sandbox lehetett a megjelenése idején, de nem sokkal ezelőtt egy frissítés után mindenféleképpen kell hozzá az online jelenlét és WB Games fiók összekapcsolva a Steammel, valamint a frissített EULA egyértelművé teszi, hogy adatgyűjtés zajlik a játék ideje alatt és ha valaki ki szeretne ebből lépni, akkor itt és ott megteheti. Ez már önmagában sérti a GDPR-t, mert világosan meg van fogalmazva, hogy adatgyűjtés csak a felhasználó beleegyezésével történhet. Ha netán valakiben kétség merülne fel: nincs az az EULA, amely a tövények felett áll, miután a GDPR-t minden EU tagállamnak implementálnia kellett. Egyébként a megadott linkek nem vezetnek olyan oldalakra, amelyekről ki lehetne kapcsolni az adatgyűjtést. Ennek "megoldásaként" a Steam kapcsolódó topicjában valaki belinkelt 2 oldalt, ahonnan el lehet jutni a kikapcsoláshoz - 4 link mélységben. Ismert taktika non-EU-s cégek honlapjain: mire eljut a user a tényleges kikapcsolást lehetővé tévő oldalhoz, feladja a szándékot. Mindezeken felül a cég fenntartja magának a jogot az EULA módosítására, amit a felhasználó tudomásul vesz, ha játszik a játékkal, továbbá bármikor korlátozhatja bárkinek a játékhoz vagy annak bármilyen részéhez a hozzáférést.

Bevezető

Lehetséges, hogy egyszerűen csak öregszem. Lehetséges, hogy egyre inkább terjed az a szemléletmód, hogy amit nem tesznek azonnal a szemünk elé, az nincs, nem volt és nem is lesz. Nem tudom, hogy egyik, vagy másik verzió igaz, vagy esetleg a kettő egyszerre érvényesül, de már hangot adtam a mikroblogomban annak, hogy vannak az IT történelemben olyan események, amelyeknek soha nem szabadna feledésbe merülniük: például a WannaCry, az SQL Slammer - és a Stuxnet. Biztosan lehetne még sorolni nagyon komoly eseményeket, viszont a világ első, széles körben ismertté vált kiberfegyvere szerintem olyan mérföldkő, amire nem csak kiberbiztonsággal foglalkozó szakembereknek, de minimum rendszergazdáknak is emlékezniük kellene, bár én a sima power usereket is belevenném ebbe a körbe.

Mégis, miért gondolom ezt? A pozitívabb oka, hogy vannak, akik még nem is hallottak a Stuxnetről, miközben hosszú évek óta tagjai ennek a fórumnak - nem a "Sorozatok" topicra gondolok, hanem a szakmaibb témákra, illetve IT üzemeltetők közl is vannak jópáran, akiknek újdonság ez a malware (bár ez enyhe kifejezés). A negatívabb oka a gondolataimnak az, hogy még mindig lehet olvasni olyan hülyeségeket, hogy a "frissítés nem véd meg, de a megbízható oldalak igen". Nyilván a 0day hibáktól nem véd meg (elvégre ezért 0day), viszont a már ismert és felfedezett hibáktól természetesen megvéd. Az emberi hülyeségre meg nincs védelem a józan észen kívül.
Nyilván ebben az írásban a negatívabb elem kevésbé releváns, mert a Stuxnet 0day hibákat kihasználva terjedt, viszont engem átlökött a határon, hogy megszülessen-e ez az írás.

Bocs, ha azért kattintottál, mert érdekel a sörfőzés, ez itt most meglehetősen lazán asszociált kifejezés, de biztosíthatlak róla, nem erről lesz szó.

Amiről szó van, az a homebrew - rövid nevén brew - csomagkezelő és a hétvégén körülötte kialakult biztonsági incidens.
Ha valaki a hétvégén beírta a Google keresőjébe: "homebrew", a legelső találat valószínűleg így nézett ki:

Ismerjük már, ez egy olyan reklám, amiért fizetett valaki a Google-nek - a keresésre az oldal legtetején jön a fenti válasz. Ismét bebizonyosodott, hogy a Google nem veti meg a büdös pénzt - mindegy, csak bevétel legyen. Hasonlót csináltak anno a viagogo oldallal is...
Szóval a fenti találat jól néz ki, látszólag a brew.sh-ra mutat a link, de kattintásra egy fake homebrew oldal jelent meg:

Ez egy részlet a http://brewe.sh oldalról, ahová kattintás után juthattunk. Ha valaki már előfordult az igazi oldalon, meglehet, csak kimásolta a "curl" parancsot és az utána következőket, majd le is futtatta azt. Ha ez megtörtént, akkor egy jó adag személyes információt is elloptak az áldozattól. Cookiekat, Login form adatokat, böngészőkiegészítők listáját szinte minden böngészőből, Telegram információkat, deskwalleteket, dokumentumokat, kulcsfile-okat, wallet állományokat.

Sosem mikroblogoltam még, de úgy gondoltam, ideje ezt is kipróbálni. Lesz itt minden: rant, szórakoztató dolgok, miegymás, politikát kivéve.

Sajnálatos módon egy idióta belehajtott a magdeburgi karácsonyi vásárba, ahol számos halottat és sebesültet hagyott maga után.
Korábban láttunk hasonlót Angliából, azt gondolná az ember, hogy a hatóságok mindenhol megtesznek mindent azért, hogy ez ne ismétlődhessen meg. Sajnos megismétlődött, ami a hatóságok teljes impotenciáját rajzolja elénk.
Pláne úgy, hogy a Reddit szerint egy nem-német lány már korábban próbálta a hatóságok figyelmét felhívni az elkövetőre - sikertelenül. Erre többen is azt írták, hogy kamu, viszont állítólag a szaúdiak is legalább háromszor figyelmeztették a német hatóságokat, amelyeket minden egyes alkalommal figyelmen kívül hagytak - feltételezem, semmilyen szabályzatban nem volt leírva, mit csináljanak, ha a szaúdiaktól vagy magánembertől kapnak ilyen figyelmeztetéseket, így hát félretolták az ügyet.

A közelmúltban sajnos én is megtapasztalhattam, mennyire nincs a németeknél out-of-the-box gondolkodás, mennyire nem használják a fejüket, ha valami nincs leírva.
Dublinba utaztam Budapestről, úgy alakult, hogy frankfurti átszállással lehetett eljutni az ír fővárosba - mindkétszer a Lufthansa szolgáltatásait "élvezve" (csak megjegyzésképpen: prémium áron fapados szolgáltatás). Ha valaki nem lenne tisztában vele: a frankfurti repülőtér egy nagy nemzetközi hub, igen gyakori, hogy itt át kell szállni, hogy elérhessük úticélunkat. A gépem érkezése és a másik indulása között 1 óra volt az időkeret, ami már Budapesten elkezdett csökkenni, mert a gép késett, a pilóta tájékoztatása szerint Frankfurtban aznap reggel nagyon nagy köd volt, így ott minden érintett összegyűjtött legalább fél óra késést. Oké, ezzel nincs mit tenni. Frankfurt közelébe érve a Lufthansa alkalmazáse közölte, hogy esély sincs már a dublini járat elérésére, de úgy voltam vele, hogy azért próba-szerencse.
A gépen többen is voltak, akik csatlakozó járatra igyekeztek volna, ezért leszállás közben amikor utoljára elviharzott mellettünk az egyik stewardess, megkapta a kérdést: amikor leszálltunk, nem lehetne bemondani a hangszórókba, hogy csak azok álljanak fel, akik csatlakozó járatra mennek és még halvány esélyük van elérni azokat? A válasz rövid volt: nem.

Itt a portálon egészen biztosan sokan olvasták a két egymást követő hírt, miszerint a Microsoft hibája miatt világméretű kiesés történt több különböző organizáció szolgáltatásaiban, majd ugyanez a Crowdstrike miatt.
Megszokhattuk már a Microsofttól az ilyen-olyan bakikat, amelyek - elsősorban a felhős szolgáltatásoknál - részleges kieséseket szoktak okozni. Új elem, hogy ezúttal egy - a kiberbiztonság területén gyakorlatilag piacvezető cég - bakija is komoly kiesést okozott.
Sajnálatos módon sokan nekiálltak vagdalkozni, mi több, ostobaságokat összehordani az események kapcsán. Járjuk körül a témát együtt, ismerjük meg mélyebben - közben pedig helyére teszem a hülyeségeket is.

CROWDSTRIKE

A cég egy amerikai, kiberbiztonsági fejlesztéseket, megoldásokat és szolgáltató vállalkozás. 2011-ben alapították a céget, az egyik társalapító a McAfee korábbi CTO-ja, George Kurtz. 2013-ban elindították a Falcon platformjukat, ami többek között végpontvédelmet és fenyegetés felderítési szolgáltatásokat nyújtott. 2014-ben segítséget nyújtottak öt kínai katonai hacker elleni vádemelésben az amerikai Igazságügyi Minisztériumnak. 2015-ben a Google több alkalommal is befektetett a cégbe, összesen majdnem félmilliárd dollár értékben. 2017-ben a Crowdstrike értéke elérte az 1 milliárd dollárt, 100 milliós éves bevétellel. 2018 közepére a cég saját állítása szerint elérte a 3 milliárdos értéket és olyan befektetőket vonzott magához, mint a Telstra, vagy a Rackspace. 2020-tól a cég célzatosan vásárolt fel más vállalkozásokat, amelyeknek termékeit aztán integrálta a Falcon platformba. Ezekkel együtt ami ma kiberbiztonsági területen bárkinek eszébe juthat megoldás vagy szolgáltatás, nagy eséllyel a Crowdstrike portfóliójában benne van.
Nyilván az események kapcsán nagyon sok cégről hallottunk, mint kliensekről, de a hírekben szereplők mellé tennék még néhányat: Google, Intel, Amazon, Mercedes-AMG PETRONAS és természetesen az amerikai kormányzat. Világszerte összesen körülbelül 29 ezer ügyfele van mindenféle szektorból, legyen az privát, vagy publikus.

Bevezető

Sokan azt gondolták, hogy az ARM majd megoldja az x86-os (ebbe most beleértem az x64-et is) CPU architektúra problémáit. Az alap ISA jó régi, ezt toldozgatják-foltozgatják Intel és AMD oldalról, ami önmagában csak szaporítja a gondokat, plusz ugye a kompatibilitás jegyében alig-alig dobnak ki belőle valamit, így az ARM rajongók szerint az ARM olcsóbb, takarékosabb, hatékonyabb architektúra. Kiderült, hogy mire megjelent az első PC-be szánt ARM CPU, az előnyei odalettek: a fogyasztása alig kevesebb, mint az x86-é és nem is olcsóbb, sőt.

Malware helyzet

Meghagyom mindenkinek a jogot, hogy saját véleményt formáljon az ARM-re PC-ről, nem is akarom a saját véleményemet megismételni, a fórumról egyértelműen kiolvasható.
Ami viszont érdekes kérdés: mi a helyzet a malware-ekkel? Jelentenek-e veszélyt az x86-ra készült rosszindulatú programok ARM-en? Járjuk körbe a kérdést!

Néha fel-felbukkannak az Internet különböző fórumain olyan felhasználók, akik - nagyon rossz szokással élve - Google-ön megkeresnek egy nekik kellő programot, majd kétségbeesett erőfeszítésekkel próbálják az ARM-re készült programot futtatni az x86-os Linuxon. Mondanom sem kell, nyilván nem fog menni, hiszen ez két teljesen különböző ISA, az egyetlen hasonlóság köztük, hogy mindkettő valamilyen utasítás architektúra számítógépekre.

Bespin, Felhőváros

A Sithek fegyvere az árulás.

Nem kell itt semmilyen személyes bosszúra gondolni sem a Mester, sem a tanítványa részéről, ilyen volt a Sith hatalom természete, mióta Darth Bane új alapokra helyezte azt és megalkotta a Kettő Szabályát. Eszerint soha nem lehet kettőnél több Sith, csak a Mester, aki birtokolja a hatalmat és a tanitványa, aki sóvárogja azt. Ez elejét vette annak, hogy a Sithek egyszerre több irányban háborúzzanak egymással és teljesen kiirtsák egymást.

Természetesen a Mester folyamatosan kutatta, hogyan lehet a tanítványa minél erősebb és ennek érdekében minden további megfontolás nélkül hajlandó volt feláldozni a jelenlegit. Mindeközben a tanítvány folyamatosan várta a lehetőséget, hogy a Mester helyébe lépjen és megtalálja a saját tanítványát.
Így volt ez akkor is, amikor Dooku gróf meghalt és Anakin Skywalker átvette a helyét a Mester oldalán.

A Sithek fegyvere az árulás.