Jelen írás célja az, hogy egy kicsit rávilágítson mélyebben a jelen korunk helyzetére, másfelől pedig hogy kérdéseket vessen fel, az eltérő, ütköző elmélkedéseket bemutatandó.

A készülő könyvben akartam ezzel a kérdéssel foglalkozni, de ez önmagában akkora témakör, hogy sok kötetet is átívelhet, azt gondolom nem lövöm le a poént ezzel az írással, továbbá egy blogban szabadabban közölhetek gondolatokat, olyanokat is, amik nem férnek el egy könyvben.

Ez az írás nem állásfoglalás. Ez az írás csak ismertető, illetve afféle vélemény felmérő.

In média rés, azaz csapjunk a közepébe.

A Linux biztonságos?

A 2003-as év vízválasztó volt ezen a téren. A desktop Linux elterjedése hirtelen 3%-ra ugrott. Előtte sokáig 2% volt. A 3% nem egy nagy szám, nem sokkal több, mint a 2%. De nem is ez érdekes, hanem a növekedés üteme. Ha ilyen ütemben kezdi a növekedést, abból akármi is lehet, azaz akár gyorsulhat is. Mert nem csak az van a kalapban, hogy a Steam nagy munkát végzett, rengeteg játék futtatása biztosított Linux alatt, hanem pl. nagy népszerűségnek örvendő, sok milliós feliratkozóval rendelkező Tech csatornák a YouToube-on elkezdtek foglalkozni a Linux desktop-pal, de még a Microsoft is közölt útmutatót a Linux telepítésének a módjáról. Ebből könnyen lehet öngerjesztő folyamat.

Ami népszerű, az egyben célpont is. Az ember már csak ilyen.

A desktop Linux nem annyira számottevő, cserébe elég bonyolult, nem igazán éri meg a vírusíróknak erre is koncentrálni. Ezt régebben komoly tanulmányok is alátámasztották. Mennyire számít ez?

Ahogy elkezdett növekedni az elterjedtség, máris megjelentek a polimorf vírusok, amelyek Linux alatt is működnek. És még csak 3%-nál tartunk.

Még elég bénák ezek a vírusok, de a szakértőket aggasztja, hogy láthatólag fejlődnek, egyre inkább haladnak a „profi” megoldások irányába.

Nem most jelentek meg Linux alá a vírusok, mindig is voltak, kevés, mindenképpen eltörpül a számuk a Windowsra készült vírusok számához képest. Nem különben bénák is, nem tudtak nagyon elterjedni, és elég hamar kiadják a javításokat is Linux alatt, amik megakadályozzák annak a futását.

Mennyire hamar, hiszen jelennek meg olyan hírek is, hogy 20 éves hibát javítottak a Linuxban?

Ez igaz, de nézhetjük úgy is a dolgot, hogy 20 éven át ott volt egy hiba, oszt mégsem használta ki senki, mert ahogy a fejlesztők nem vették észre, úgy más sem. Nem olyan egyszerű ám a forráskód értelmezése….

A Linux disztribúciók sokfélék és eléggé eltérnek, gyökeres különbségek is vannak, ez megnehezíti a vírusok dolgát, hisz a programozók dolgát is megnehezíti ez, elég nehéz olyan programot írni, ami bármelyik alatt ugyanúgy fut…. Aha, de közös pontok azért csak előfordulnak. És mi is ez? A vírusirtó.

A vírusirtó emelt jogosultsággal fut, (hiszen hogy tudná a vírust irtani másképp), mindent átnéz, mindent meg tud nyitni… és minden Linux alá csak egy ingyenes, és népszerű vírusirtó van, a ClamAv.

Minden disztribúció alatt fut. Ez nem célpont? Dehogynem! Támadják is rendesen (ahogy az összes többit is). Félő, hogy egyszer csak sikerül feltörni, és akkor jaj lesz.

Vannak, akik úgy tartják, a ClamAv flatpak változatát kell használni, azt időnként futtatni, az a konténer formátum miatt ugyebár el van szigetelve a rendszertől, nem tud kárt tenni abban, még ha fel is van törve. Hát nem tudom. És mi van akkor, ha vírust talál?

Te mit gondolsz ezekről? Írd meg kommentben.

A vírusok már a számítógépek hajnalán megjelentek. Az első talán a potyogtató volt, még DOS alá, ez azt okozta, hogy a képernyőn egyszer csak elkezdtek a betűk lefele potyogni a monitor aljára. Vicces volt, de gyakorlatilag lehetetlenné tette a gép használatát.

Azt követően egyre több jelent meg. A vírus nevet azért kapták, mert hasonlóan a biológiai vírusokhoz, szaporodtak, terjedtek, és megakadályozták a gazdaszervezet működését. Ahogy sok volt, milyen az ember, már elkezdték osztályozni ezeket, trójai faló, féreg, mintha nem lenne mindegy. Nem, nem az technikai értelemben, de az idők során ez az osztályozás folyamatosan átalakult.

Amikor megjelentek Windows alá azok az alkalmazások, amik reklámokat mutogattak, meg mindenféle felugró ablakokkal szórakoztatták a felhasználót, azok nem számítottak vírusnak, mert igazából nem akadályozta meg a gép működését, használatát.

A korai vírusok csak a gépre voltak veszélyesek, a gépen tárolt adatokra, a gép használhatóságára. Mi értelme volt ennek? Mi volt a vírust író motivációja? A falakat miért firkálják össze? Mi a falfirkáló motivációja?

Mára megváltozott a motiváció, most már a haszonszerzés fontos lett. A Ransomware vírusok titkosítják a felhasználó adatait, fájljait, és azok feloldásáért cserébe pénzt kérnek. De az információk megszerzése is pénz, nem kell azokat titkosítani, elég simán csak ellopni. Az adat nagyon fontos. Pénzt lehet keresni vele.

Fontos a gép védelme? No, és ha a gép minden szempontból védett, akkor minden rendben van?

Te mit gondolsz erről?

Mi a szitu az Interneten?

A vadnyugat kisdedek játszótere volt ahhoz képest, ami az Interneten folyik. Az Internet gyakorlatilag Linux alatt fut. És a hackerek elsöprő hada munkálkodik azon, hogy feltörje, megfertőzze, ellopja az adatokat. Mert az adat fontos. A szerveket védik, nem vitás. A szerver üzemeltetők általános vélekedése, hogy a szervereken futó vírusvédelmi rendszer a Windows felhasználókat védik. Ez a tapasztalat, jellemzően Windowst célzó vírusokat fognak meg a szervereken. (Bár a hackerek már műholdakat is támadnak, mert azokon nem fut víruskereső.)

No, de nem csak vírusokkal lehet adatot gyűjteni. Meg nem is kell feltétlenül feltörni akármit a szó szoros értelmében, mert pl. adatokat szerezni lehet máshogy is. Hiszen sokan megadnak magukról sok információt, sőt jellemzően azt csinálja sok webes cég is, hogy monetizálja az általuk megszerzett adatokat, nem kellenek ehhez vírusok.

A Google, a Facebook felhasználja az adatokat, célzott reklám szolgáltatásokra. Azaz profilozzák a felhasználókat így testre szabott reklámszolgáltatást tudnak kialakítani, így nem vaktában nyomják a reklámokat, mint a TV-ben, hanem célzottan úgy, hogy mindenki azt kapja meg, ami feltételezhetően őt érdekli. Ezt hatékonynak állítják be, így a reklámozó ügyfeleknek hatékony szolgáltatást nyújtanak, amiért pénzt kérnek. A reklámozó cégek azt gondolják, hogy ez így jobban megéri, jó dolgot kapnak a pénzükért.

Így történik az adatok értékesítése. A Google-nak, a Facebook-nak és főleg a reklámozónak fogalma sincs arról, hogy ki vagy, Te, Kovács Alajos, ők csak egy ID-t látnak, azt tudják mik az ID-hoz tartozó preferenciák.

Mit számít ez nekem, vigyék csak az én szutykos szokásaim ismeretét, az nem kerül nekem pénzbe, ők pénzt keresnek ezzel, de kapok is cserébe szolgáltatásokat. Ha én kiállok a piacra és hangosan mesélek magamról, azért nem hogy nem fizetnek, legjobb esetben senkit nem fog érdekelni, de lehet, hogy megpróbálnak elhallgattatni.

Te mit gondolsz erről? Kérlek írd le kommentben.

A Google, a Facebook megtehetik, hogy adatokat értékesítsenek, ők uralják az Internetet, hatalmas erőforrásaik vannak. De mit csináljon a szegény magányos hacker, ha ő is pénzt akar keresni az adatokkal, mégis hogy fogjon hozzá? Hát, ami azt illeti, van pár lehetőség…

SQL injekció

Nagyon régen az adatbázis kezelők sokfélék voltak, bár ugyanazt a célt szolgálták, de ahány volt, annyiféleképpen kellett azokat kezelni. Az iparág részéről felmerült, hogy standardizálni kellene ezt. Szép gondolat! Ne kelljen már annyi mindent megtanulni, legyen egy közös nyelv, aki tud adatbázisul, az akármelyik elé leül, használni tudja. Így született meg az SQL (Standard Query Language).

Már elég korán megszületett, még a DOS idők alatt, és az akkori modern adatbázis programok implementálták. De megjelentek újak is, amik a nevükben tartalmazták azt, hogy SQL. A cégvezetők, meg döntéshozók csak azt tudták, hogy az SQL az új, a tuti, melyik programot kell megvenni, hát persze, aminek neve az, hogy SQL, így terjedt el az Oracle SQL. És lett MySQL is, de azt is felvásárolta az Oracle, mert nagyon jól tudta, hogy az adat az pénz, amivel meg adatot lehet kezelni, azzal is pénzt lehet csinálni.

Ma gyakorlatilag három adatbázis kezelő létezik. Mindet majdnem azonos módon kell kezelni, pár eltérést a szintaktikából leszámítva. Mivel a parancsok elsöprő többsége SELECT-el kezdődik, ezeket a parancsokat általánosan SELECT-nek hívják. Így beszélnek egymással a kezelők: „Küldök neked egy Select-et, lécci futtasd le”.

A SELECT akár több A4 oldalnyi hosszú is lehet, lehet őket kombinálni, összefűzni, úgy lehet használni, mint egy nyelvet, ezért is van a nevében, hogy nyelv.

Alaphelyzetben az adatbázis kezelő egy üres felület. (Terminál ablak, vagy parancssor ablak Windows alatt).

Belépés után a promt megváltozik SQL> -re, e mögé kell beírni a parancsokat. Mivel az ember feje nem káptalan, a parancsok lehetővé teszik az adatbázis struktúra lekérdezését is, megjelenítik a táblák nevét, a kapcsolatokat, mezőket, így tudunk tájékozódni a karakteres felületen, hogy honnan is tudjuk lekérdezni a keresett adatot. A parancsok összekapcsolását speciális karakterekkel lehet megoldani. Így működik alapból az adatbázis kezelő. Az idők során viszont kiderült, a felhasználók többsége teljesen ignorálja az SQL megismerését, hiába van benne az ECDL követelményekben. Ezért jellemzően grafikus előtét programokkal használják az adatbázisokat, ahol egy beviteli mezőbe csak be kell írni a keresett szót, a program háttérben ezt beírja egy SELECT-be, és lefuttatja, az eredményt pedig megjeleníti a képernyőn. Ezen alapul az SQL injekció. Úgy működik, hogy a beviteli mezőbe nem egy konkrét szót írnak, hanem egy összefűzött SELECT részletet, amit az előtét program ha lefuttat, akkor a képernyőn megjelenik egy sokkal részletesebb információ.

Itt egy videó arról, hogy miként lehetséges: https://youtu.be/ciNHn38EyRc

A videó angol nyelvű, ízes akcentussal, aki nem érti, arra figyeljen, mi történik, a lényeg ez:

A srác létrehozott egy webáruházat, hogy bemutassa, hogy működik az SQL injekció. Az interneten szinte minden adatbázist használ, a boltok tuti. A netes vásárláshoz meg kell adni e-mail címet, telefon számot, mert a csomagfeladáshoz is kell, de regisztrálni is kell sok helyen, és a felhasználói adatokat szintén adatbázisban tárolják. A srác ezt az adatbázis lopja el az e-mail címekkel, jelszavakkal.

Nem számít az, hogy a jelszavak titkosítottak. Abból indul ki, hogy sokan sok helyen ugyanazt a jelszót használják. Vajon téved? Írd le kommentben, mit gondolsz erről!

Sok sok SQL injekcióval sok ilyen adatbázist megszerezve azokat össze lehet hasonlítani, ki lehet szűrni azokat az e-mail címeket, amelyeknél ugyanaz a jelszó (ugyanolyan kinézetű a titkosított halandzsa).

Aztán ezek között biztosan akad egy olyan helyről letöltött adatbázis, ahol gyenge titkosítást használnak. Ezt visszafejtve, meg lesz a jelszó, ami az összes helyen érvényes lesz. Nagy eséllyel az e-mail fióknál is ez lesz a jelszó.

Jelszó feltörése

Mennyi ideig tart egy jelszó visszafejtése? Titkosítás mértékétől is függ, de vannak adaptív technikák, a fenti módszerrel megtalált jelszavakat is fel lehet használni, mert azokban az adatbázisokban, ahol erős titkosítást használtak, ott látni a gyengébb adatbázisból feltört jelszó jelalakját. Ebből következtetni lehet a titkosítási módszere, és amelyik karakter már megvan, azt nem kell a többi jelszónál újra dekódolni, elég csak az ismeretlenekre koncentrálni.

Az is segítség, hogy az erős titkosításnál lehet ugyan ezt variálni, paraméterezni, de a legtöbb esetben ezt mindenhol gyári alapértelmezetten használják, tehát ugyanolyan krix-krax két adatbázisban minden bizonnyal ugyanazt a jelszót jelenti.

No, és ha nem is tárolják a jelszót, hanem csak SHA lenyomatot? Ez esetben egy olyan karaktersort kell megtalálni, ami passzol az SHA lenyomathoz. Nem feltétlenül lesz ez a jelszó, de ezt megadva is be lehet lépni.

Itt egy videó a jelszó feltörésről: https://youtu.be/7U-RbOKanYs

A srác egy bitcoin bányász egységet használ, ami csak három erős videokártyából áll, ezzel mutatja be, mennyi ideig tart egy halom jelszó feltörése.

Mit kezd a hacker azzal, hogy be tud lépni az e-mail fiókodba? Kideríti, mikor vagy aktív, és a levelekből megszerez olyan információkat, amik őt érdeklik. Látja pl. hogy vannak levelek, amik a PayPal-tól jöttek. Nosza, elmegy a PayPal-hoz, és megpróbál bejelentkezni. Nem baj, ha ott teljesen más jelszó van beállítva, mert rákattint az elfelejtett jelszóra, a PayPal válaszul küld egy -e mailt arra a fiókra, amibe be van jelentkezve… Mindezt akkor csinálja, amikor tuti nem nézed a leveleket, mert mondjuk alszol, azt látni az aktivitásból, hogy mikor küldesz jellemzően leveleket. Gondosan törli a megváltozott jelszóról szoló leveleket, hogy ne legyen nyoma. Hab a tortán, ha azt is látja, hogy vannak levelek a Revoluttól. Nagy eséllyel össze van kapcsolva a PayPal a Revoluttal, gondolja.

Vajon téved?

Vannak az Interneten dokumentált esetek, amik nagy pénzek Revolut számláról történt lenyúlásáról szólnak. Nem a vaktában írt korántsem kerek történekről van szó, hanem alaposan dokumentált esetekről, rendőrségi feljelentéssel, regisztrált panaszos esetekről. Mind tudatos felhasználók voltak, de az közös a történetben, hogy mindnek volt PayPal fiókja is. Persze nem biztos, hogy ez közrejátszott, lehet fel sem törték az e-mail fiókot, mert a szolgáltatónál is emberek dolgoznak, az e-maiokat a munkatársak el tudják olvasni. Ez sem biztos, a vizsgálatok eredménye még nem került nyilvánosságra.

Neked össze van kapcsolva a Revolut számlád a PayPal-al?

Azóta a PayPal bekeményített. Ma már 3 e-mail címet kell megadni ha elfelejtett jelszó visszaállításáról van szó. Különféle lépéseket kell végrehajtani a 3 e-mail címre küldött üzenetekben foglaltak szerint.

Az SQL injekció ellen persze védekeznek az oldalakon. Már ha nem sufniboltról van szó. A fejlesztők kreativitásától függ, hogy milyen rafinált megoldásokat képesek kieszelni, de teljesen nyilvánvaló, hogy ami jobb, az drágább is. A legegyszerűbb az, ha amennyiben a beviteli mezőben spéci karakter van, akkor a program nem futtatja le a keresést, egyszerűen kilép. Ilyenkor a böngészőben ez úgy néz ki, mintha lefagyott volna az oldal, nem reagál semmire.

Mit mond ekkor a pénzes vásárló, ha nem tud rákeresni a kedvenc Mark&Spencer márkájára?

Talán azt, hogy ejha, tök jó, hogy itt arra is gondoltak, hogy megvédjék az adataimat? Vagy: Húde szar ez az oldal, na, majd megyek máshova?

Hogyan tolerálja ezt a bolt tulaja? Hagyja veszni a pénzes felhasználót, de legalább az adatok védve vannak?

Vagy lefuttat egy GAP-elemzést, és kimutatja, hogy ez neki nem éri meg? Esetleg Stakeholder elemzést végez, aminek eredménye az, hogy a felhasználó felelőssége, hogy rendesen megvédje a jelszavát, és hogy mindenhol más jelszót használjon?

Te mit gondolsz erről?

Nemrég feltörték az OTP Simple fiókot is. De csak kb. 4500 felhasználó érintett, akik feltehetően ugyanazt a jelszót használják mindenhol. Vajon honnan tudja az OTP, hogy csak, és ki ez a 4500, nem különben honnan tudja, hogy ezek ugyanazt a jelszót használják máshol is?

Te mit gondolsz erről?

Vedd észre, ez mind a külső térben történik, és teljesen független attól, hogy van, vagy nincs a gépeden víruskereső, teljesen mindegy, hogy mennyire védett, és biztonságos a rendszer, amit használsz. Ezzel most nem azt akarom mondani, hogy nem fontos a rendszer biztonsága, nem fontos a víruskereső.

Hanem azt, hogy ha fontos a gép biztonsága, akkor legyen fontos a kültér is. Odakinn emberek vannak, ergo jelen van a gyarlóság!

Mennyire fontos, mennyire kell ezzel foglalkozni? Ha számszerűsíteni kell, akkor kb. 20/80. A 80 az a külvilágot illeti.

DNS mérgezés

Az Internet szerverekből, átviteli közegből útválasztókból, kapcsolókból áll. Emlékszel még az OSI modell 7 szintjére, ugye, az iskolából? Vagy kimaradt? Na, a lényeg, ez még mindig nincs kész, de ennek ellenére az Internet működik, a megvalósítás mondjuk úgy, 5 szintű, illetve egyes szakértők szerint inkább 4 szintről lehetne beszélni.

A lényeg az, hogy a routerek, hálózati elemek (node-ok) az L2 szinten folyamatosan kommunikálnak egymással, közlik kinek mi a MAC címe, és milyen IP cím tartozik hozzá. Enélkül nem működne a hálózat. Mindezeket az információkat meg egy átmeneti pufferben tárolják, aminek a neve DNS Cache. Ez folyamatosan frissül, mert folyamatosan kapcsolnak be új elemeket, kapcsolnak be gépeket, meg kapcsolnak ki gépeket. De van egy átmeneti idő, ameddig „életben” van. A DNS mérgezés úgy működik, hogy beiktatnak a hálózatba egy újabb cahe-t, amibe hamis információkat tesznek, és megoldják, hogy a kommunikációt folytató egységek ezt szipkázzák fel, és ezt írják bele a DNS Cache-be.

Így kialakítható olyan hálózat, amely során a hacker gépén át folyik minden forgalom, amit monitorozni tud, de képes más válaszokat is küldeni a kérésekre. Nem számít, hogy VPN-t, TOR böngészőt használsz.

Ezt a technikát használja ki a man in the middle módszer. Ennek kétféle esete van: Ha célzottan meg akarnak figyelni valakit, akkor annak közelébe férkőznek, nem feltűnő módon. Nem kell hozzá csak egy laptop, és megfelelő szoftverek. A célzottan megfigyelt személynek semmi esélye, észre sem veszi feltétlenül, hacsak direkt nem készül erre, de ha elég rafinált a hacker, szinte lehetetlen a detektálása. Kevésbé rafinált eseteknél hálózat monitorozással elképzelhető a detektálás.

A másik eset a tömegben megfigyelés, vagyis halászás a zavarosban, itt nincs konkrét megfigyelt személy, csak véletlenül kiválasztott áldozat. A dolog ott működik sikeresen, ahol lassú a hálózat, pl. nyilvános Wi-Fi.

Elmondom én a saját tapasztalatomat, hol detektáltam ilyesmit:

Vonaton, bár ritkán érdekel, néha néztem rá, de kb. 10-ből 8 esetben volt, hogy ilyen próbálkozással találkoztam.

Szoktál csatlakozni a vonat Wi-Fi-jére?

Másik eset, ez mondjuk Bluetooth volt, elfelejtettem kikapcsolni a telefonom. Hol próbáltak fájlokat nyomni a telefonomra? Hát az SZTK-ban, miközben vártam a soromra. Körülöttem csak szerencsétlen idős beteg emberek voltak, a hatótávolságon belül.

Itt egy videó a DNS mérgezésről: https://youtu.be/7MT1F0O3_Yw

A DNS mérgezés kivédésre létezik tökéletes módszer – papíron. Az a baj ezzel, hogy a Mars kolonizálása könnyebb. Van kevésbé drága, de éppen jó megoldás is, mármint egyelőre jó, ezt már használják a gerincvezetékeken, de lokális hálón még semmi nincs, amivel ki lehetne védeni.

Ezek csak szemelvények az Interneten folyó élet történeteiből.

Ki mit gondol, kinek lenne a felelőssége ezt megoldani? A kormányoknak? Szuperhatalomnak? Kellene valami Internet-hatóság?

Vagy az iparági vezetőknek? Jó az, ha Google foglalkozik ezzel? Vagy a mesterséges intelligencia?

A Microsoftnak van hasonló projektje, de teljesen más megközelítésű. A DLP szolgáltatásuk csak vállalkozásoknak szól, és főleg a saját termékeire vonatkozik. Az adatvédelem több szintű, a kritikussági szempontból történő besorolásukat, elemzését úgy hajtják végre, hogy elküldi az adatokat a mesterséges intelligenciájuknak, hogy az kielemezze,

https://www.microsoft.com/hu-hu/security/business/security-101/what-is-data-loss-prevention-dlp

Hogyan képzelhető el a védelem?

Saját körömből származó friss információ:

Ismerősöm éppen lázasan keresett valami karácsonyi ajándékot az Interneten. Ki is szemelt egyet, gondolta megrendeli, és már beírta az oldalon a kártya adatokat, de még nem nyomta meg a fizetés gombot, mert még habozott, hogy ezt vegye-e meg, vagy inkább másikat.

És csörgött a telefonja, az OTP hívta, kérdezte, hogy biztos ő használta a kártyát valahol a világ másik felén?

Köpni-nyelni nem tudott, persze, hogy nem ő, nem is hagyták jóvá a tranzakciót. Az OTP csalásmegelőzése elég jól működik – munkaidőben, gondolom.

Jó dolog az, ha az OPT figyeli a tartózkodási helyedet, tudja hol vagy éppen?

A Google figyeli, hogy milyen eszközről szoktál bejelentkezni. És szól, ha még számára ismeretlen, új eszközről léptél be. Ha meg nem is ugyanarról hálózatról, akkor meg külön telefonos jóváhagyás.

Jó dolog az, ha a Google, vagy bárki figyeli az eszközöd típusát, paramétereit az azonosítás érdekében?

Bármilyen más esetet feltételezve, ki mit gondol, hogyan lehetne validálni egy belépést megnyugtatóan? Milyen adatok azok, amiket szívesen odaadnál ilyen célokra? A géped műszaki paraméterei ilyenek?

A Google, de több oldal is elemzi az egérvezetést. Az, ahogy az egeret vezeted, ahogy odakattintasz egy gombra, bejelölsz, az mind nagyon egyedi majdnem annyira mint egy ujjlenyomat. Az egér vezetés milyen adat, mennyire személyes szerinted? Fontos, hogy ne tárolja azt semmilyen oldal, mert az a tied, hozzád tartozik? Vagy használható validálás céljából mondjuk? (Ilyen még nincs, de kíváncsi vagyok a véleményekre)