- Advertisement -
()

Manapság kiemelten fontos adataink védelme, sokan azonban nem fordítanak kellő figyelmet a biztonságra, vagy szimplán nem értenek hozzá, nem is tudnak arról, milyen veszélyes lehet a figyelmetlenség.

A napokban kiszivárgott egy Cit0day nevű, 226 millió e-mail jelszó párost tartalmazó adatbázis. Ugyan nem ez a leghatalmasabb adatvédelmi incidens, ahhoz épp elég, hogy szót ejtsünk arról: miért is fontos az erős jelszó, milyen valós veszélyeket rejt magában egy feltört krumpli.hu profil, szó lesz a social engineeringről, és arról is, hogy hogyan előzhetjük meg a bajt.

Áhh, ugyan, sose használtam, nincs ott semmi látnivaló

Who cares

Rengeteg nyomot hagyunk magunk után az interneten, az egyszerűség kedvéért élhetünk azzal a hasonolattal, hogy olyan ez, mint a lábnyom: követhetőek vagyunk.

Tegyük fel, hogy Józsika 2012-ben regisztrált a már említett krumpli.hu oldalra, ahol is egy fantasztikus krumplivadászó multiplayer játékot játszott a haverokkal, nagyjából egy hétig, míg meg nem únták, hogy a gazda mindig megkergette őket a maga 2 pixeles karakterrészletességével.

Miért fontos infó ez? Kit érdekel mivel játszott Józsika, aki már József, és (az irónia kedvéért) a mezőgazdasági minisztériumban dolgozik?

Regisztrálni kellett, létrehozott ott egy profilt.

Sajnos a nagyok is hibáznak, a kicsik pedig még kevesebb erőforrást fordítanak adatvédelemre: ezt a hackerek ki is használják. A modern technológia segítségével hihetetlenül gyorsan kereshető és használható ki egy sebezhetőség.

A krumpli.hu látogatottsága folyamatosan csökkent, már épp a bezárást fontolgatták a tulajdonosok, amikor is adatszivárgás történt: a teljes adatbázist ellopták a csúnya, gonosz hackerek.

Az adatbázis aztán kikerült a sötét webre, a.k.a. dark web, onnan pedig különböző hackerfórumokra, tehát kvázi bárki számára hozzáférhető lett.

Milyen adatokat tartalmaz ez az adatbázis?
  • Józsika teljes neve
  • Születési dátuma
  • E-mail címe
  • Jelszava(i) plain text (tehát egyszerű, szöveg) formában
  • Lakóhelye (nem kötelező megadni)[de megadta]
  • Bejelentkezéshez használt IP-címei
  • Hobbijai
  • Barátainkat listája (akikkel együtt játszott)
  • Eszközei [operációs rendszer, processzor, egyéb specifikációk]

Ezek mind 2012-es adatok, azonban könnyen előfordulhat, hogy felhasználhatóak.

Egy social engineering támadáshoz bőven elég a teljes név, születési dátum, e-mail cím is, de ezt ki lehet maxolni néhány igazán “személyesebb” infóval, például az érdeklődési körökkel [hobbi].

Szóval ezek az adatok kvázi nyilvánosan elérhetőek a neten.

Mit csinál egy támadó? Támad.

Hihetetlen bölcsesség volt ez elvtársnők és elvtársak, azonban természetesen itt másról van szó:

előkészíti a támadást

Megnézi, milyen accountjai vannak Józsefnek, s ha történt adatszivárgás, onnantól könnyű dolga van.

A jelszófeltörögetés (brute force) időigényes feladat, ráadásul megvan az esélye, hogy a modern rendszerek a túlzott próbálkozások után kitiltanak, ezért nem érdemes ezzel problálkozni, hacsak nem célzott támadásról van szó, kifejezetten József ellen.

Bontsuk is itt ketté a dolgot, hiszen az is megeshet, hogy konkrétan Józsefet, vagy rajta keresztül a hihetetlenül dübörgő mezőgazdaságot támadják, meg az is, hogy nem.

A támadók általában rengeteg fiókot támadnak sok esetben automatizált eszközökkel, így nem feltétlenül kell mindig arra gondolni, hogy pont minket akartak támadni: tudtak, ezért támadtak.

Fontos infó következik, és ezt jól jegyezzük meg:

Ha megvan egy account, feltörtek egy fiókot, nagy valószínűséggel mind megvan, hisz minden mindennel összefügg

Az emberek általában nem viszik túlzásba az adatvédelmet, hihetetlenül aranyos jelszavakat használnak, max 1-2-t, persze tisztelet a kivételnek!

Mégha József nem is használta fel a 8 évvel ezelőtt megadott jelszavát, a logikát átadta nekünk, azaz, hogy mi alapján “választ” jelszót, de az is lehetséges, hogy ugyanaz a jelszava, az valami egészen csodálatos dolog, szerez egy jó napot a támadónak.

Felmerülhet a kérdés, hogy oké, megvan ez a fiók, meg esetleg mégegy, meg még kettő, na de attól ugyanúgy trágyáznak a traktorok Borsodban, és a Tisza folyása sem állt meg.

Igen ám, de minél több fiók van meg, annál közelebb kerülünk. Lehetséges, hogy Józsefünk ugyan gyenge jelszót használ, de a minisztérium noszogatására bekapcsolta a kétlépcsős azonosítást.

Ez azonban játszi könnyedséggel kijátszható, főleg ahogy egyre közelebb és közelebb kerülünk Józsefhez, mármint a kibertérben, és egyre több fiókja kerül a birtokunkba.

A kétlépcsős azonosítás egy borzasztó egyszerű módon működő, bizonyos esetekben hatékony dolog, de rendkívül sebezhető is.

És itt ne arra gondoljunk, hogy valami trójai vírus, ami átrágta magát az űberszuper Avaspersky vírusirtó-tűzfalunkon, és lenézte a hitelesítő kódot a telefonról.

Ilyen is történhet, de ennél jóval egyszerűbb a megoldás: egy Chrome bővítmény is képes ellopni mondjuk a Facebookhoz tartozó sütit, ami tárolja az adott munkamenetet.

Gondoljunk csak bele, be van kapcsolva ez a hitelesítés, de… ha ugyanazon a gépen, ugyanabban a böngészőben használjuk, nem kér se jelszót se kódot, nemde?

Nos igen, és ez azért van, mert a bejelentkezést követően mentésre kerül a gépre egy sütiben a munkamenet, ami addig érvényes, amíg ki nem jelentkezünk.

Na most, ha ez a támadók kezébe kerül, észrevétlenül helyünkbe léphetnek, és jelszó nélkül is a markukban tarthatják a profilunkat.

Hogyan került ez a bővítmény a gépünkre?

Erre egyszerű a válasz, és még a jelszavunk se kell, csupán az e-mail címünk. Albert (természetesen valaki más, visszaélve a személyazonosságával), az államtitkár úr küldött egy levelet, amiben megkért minket, hogy telepítsük fel egy bővítményt, ami megmutatja nekünk, ha álhírekkel találkozunk.

Ki akar álhírekkel találkozni, ugye?

Összerakhatjuk a képet: rengeteg módon támadhatnak minket, egyszerűen, mindenféle scifi ugráló zöld szövegek és access granted feliratok nélkül.

Azonban a védekezés sem sokkal bonyolultabb, a részletekkel a cikk következő részében érkezem, addig is pedig, gondoljátok át, értelmezzétek az olvasottakat, és kérdezzetek bátran!

Természetesen egy fiktív személyes kitalált története volt ez, s ahogy szokás mondani: a valósággal való bármely nemű egyezés csakis a véletlen műve lehet.

How useful was this post?

Click on a star to rate!

Average rating / 5. Number of votes:

No votes so far! Be the first to rate this post.

Since you found this post useful...

Follow us on social media!

Sorry this post was not useful for you!

Fix this post!

Tell us, how can we improve this post?

- Advertisement -