Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Heti incidensek - NYT, WSJ, Twitter

2013.02.02. 15:09 | buherator | 22 komment

Több helyen lehetett már olvasni, de itt is érdemesnek tartom rögzíteni:

Kínai támadók megszerezék a New York Times összes munkatársának jelszavait és négy hónapon keresztül tevékenykedtek zavartalanul a cég hálózatában, valamint több mint 50 munkatárs otthoni számítógépén. A hírek szokás szerint egy "igen kifinomult, célzott" támadásról szólnak. A szálak természetesen Kínába vezetnek: a támadók olyan amerikai egyetemi szervereken keresztül proxyzták magukat, melyek korábban észlelt, a kínai hadsereghez köthető támadásokhoz kapcsolódtak, ezen kívül a támadók 4 hónapon keresztül minden nap pekingi idő szerint reggel 8-kor kezdtek turkálni a lap hálózatában. A még viccesebb része a történetnek, hogy a rangos hírlap sajtóközleményeiben megemlítette, hogy a támadókat nem nagyon zavarta a cégnél üzemelő Symantec biztonsági termék, mire a Symantec - felrúgva a "ügyfél incidensről nem nyilatkozunk" aranyszabályt - szintén kiadott egy közleményt, melyben megpróbálják arra kenni a dolgot, hogy az áldozat csak a szignatúra alapú detekciót futtatta a munkaállomásain.

A NYT után nem sokkal a Wall Street Journal is hasonló esetről számolt be. Mindkét lapnál azt gyanítják, hogy a támadások motivációját a Kínával kapcsolatos belső anyagok megismerése motiválta.

Végül tegnap arra is fény derült, hogy a Twitter rendszerét is kompromittálták, és nagyjából 250.000 felhasználó jelszavához is hozzáfértek. Bár a támadás részleteiről egyelőre nem sokat tudni, feltételezhető, hogy ebben az esetben is kliens-oldali támadásról volt szó - a hírek Java és és Firefox sérülékenységeket említenek.

Friss (2013. 02. 02.  16:48): Most jött a hír, hogy a Washington Post is bekapta a legyet. A nap elgondolkodtató kérdése: milyen spear phishing témával lehet a legmagasabb kattintási arányt elérni random újságíróknál?

Címkék: incidens twitter symantec new york times washington post wall street journal

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Venona project (törölt) 2013.02.02. 16:14:19

Szignatúra alapú. Hah. A pénzügyi szektor bukása már megvolt. Én várom az antivirus ipar méltó helyre kerülését most már.

eax_ 2013.02.02. 17:12:58

@Venona project: "A pénzügyi szektor bukása már megvolt."

:DD

DiaDani 2013.02.02. 22:43:00

@Venona project: Bölcs. Az antivírus cégeket amúgy manapság rohadtul divat fikázni, azért kíváncsi lennék, hol tartanánk nélkülük.

Laca@blog 2013.02.03. 10:41:22

@_2501: vagy előrébb.. mikor symantec termék volt a cégnél, egyrészt nem kevés idő volt bekonfigolni/frissíteni, másrészt a kliens gépeket úgy megfogta teljesítményben hogy csak na..

DiaDani 2013.02.04. 00:30:44

Meg is tudod indokolni, miért? Komolyan érdekelne. Már ha nem nagyon off.
Ez ugyanis az én olvasatomban kicsit úgy hangzik, mintha az összes valaha készült av termék értelmetlen lett volna.
Ha arról van szó, hogy manapság nincs akkora létjogosultságuk, mint régebben, azt aláírom. De szerintem nem mindig volt így.

_2501 2013.02.04. 14:21:31

@DiaDani: nem, nem off ^__^
* a vírusok nagyon messze a vírusirtók előtt járnak
* szignatúra alapon csak kis százalékát fogják meg
* heurisztikával/viselkedés alapon megeszik a gépet
* hamis biztonságérzetet adnak
* okosabb kártevők először kinyomják az ismertebb av szoftverek szemét
* a felhasználói hülyeség ellen nem védenek

amig a felhasználók...

* szénné pluginezett böngészőkkel brojzolnak
* torrentről szedik a játékokat, programokat (beleértve a windowst is), appokat, plugineket, és töltögetik a crackeket
* gondolkodás nélkül kattintanak mindenszarra / megnyitnak minden nyavalyás mail csatolmányt
* telepítenek fel mindenféle kétes eredetű freeware appokat és képernyővédőket (mer az "decuki")

... addig nincs értelme bármi egyéb biztonsági intézkedést tenni. Az AV cégek beszedik a zsozsót, a userek meg ugyanúgy megszívják, csak közben azt hiszik hogy minden frankó mer ott az AV.

eax_ 2013.02.04. 20:03:37

@_2501: "amig a felhasználók..."
Az av-k ertelmet pont az itt felsoroltak adjak - amit ezekkel a modszerekkel veletlenszeruen be lehet szivni, azok ellen indulhatnak a viruskergetok a siker eselyevel. Es ha 10 esetbol 8-szor megmentik a juzert a sajat hulyesegetol, akkor mar nem teljesen hiabavaloak.
A masik oldalrol viszont ahol minden full up-to-date, a bongeszo pluginok kiirtva, es csak trusted kodot futtatnak, oda az egyszeru szorvany-malware nem nagyon jut be, csak a celzott, 0day peldanyok. Azok ellen viszont tenyleg semmit sem er az av.

_2501 2013.02.04. 21:32:38

@eax_: Jogos, bár a 10-bol 8 nem tudom mennyire reális, és oké, lehet hogy nem 10 virus lesz a gépén hanem csak 2. Vágom mi a ráció benne, és nem is akarok ezzel vitatkozni.

Az alap kérdés az volt hogy:
"kíváncsi lennék, hol tartanánk nélkülük. "
erre mondtam hogy
"ugyanitt"
Kérte a csávó hogy indokoljam, hát indokoltam.

Ingyen is meg lehet úszni vírus nélkül. Csomószor amikor hív vki hogy "lassú a gép", akkor a rakás ismeretlen processz között valamiért mindig ott figyel egy AV is.

Továbbra is tartom hogy a felhasználót semmilyen program nem menti meg saját magától. ^___^

theshadow · http://hackstock.blog.hu/ 2013.02.04. 22:58:55

Egyetértek _2501-gyel.

Amíg pedig egy AV még magát sem tudja megvédeni, addig felesleges erőlködnie egy egész rendszerrel próbálkoznia (pl.: buhera.blog.hu/2012/11/05/sophail_v2).

lacyc3 · http://www.lacyc3.eu 2013.02.04. 23:23:01

A Twitteres dolog azért fincsi, mert én is kaptam egy levelet a fiókom "komprimittálódásáról".

Ha tényleg kliens oldali probléma, akkor ügyes volt, mert alig - alig lépek be Twitterre, ráadásul selinux, emet, nod32 mellett szivatott meg.

buherator · http://buhera.blog.hu 2013.02.04. 23:27:49

@lacyc3: nem hozzád mentek be kliens oldali hibával hanem a twitterhez

Hunger 2013.02.05. 09:49:08

@eax_: normális cégnél a felsoroltak ellen nem AV-val kellene védekezni (értsd: userek mindenféle malicsuszt telepíthetnek és telepítenek a gépeikre), hanem szigorú group policyval és enforced AppLockerrel.

_2501 2013.02.05. 11:08:15

@Hunger: jajaja, ezeknek alapnak kéne lenni.
Mondok radikálisat hogy legyen mér anyázni.

Full paranoidba minden munkatárs gépe csak egy vékonykliens, hálóról bootol, csak azokkal a programokkal amik a munkájához kellenek. A munkaállomások nincsenek kiengedve a netre, szeparált vlanban vannak. Nincs CD, nincs pendrive, okostelefont se lehet rádugni, nincs wifi, nincs local storage se, a levelezés is csak intranetes lehet. Emellett persze lehet csinálni egy office-dmz -t amiben van külsősökkel levelezés, meg facsézás, de az a háló nem látja az intranetet. Ami anyagnak a kettő között mozogni kell az meg menjen keresztül egykét erős heurisztikus vizsgálaton.

Ha valakinek ez meredek, az nézzen utána hogy egy _csak_ Nato Resticted minősítésű hálózat mennyire szigorú. Persze hogy a userek ilyesmihez nincsenek hozzászokva és hiszti lenne egy darabig, de kit erdekel. Meg lehetne ezt jól csinálni.

lacyc3 · http://www.lacyc3.eu 2013.02.05. 12:43:20

Hopp, ezt jól félreértettem.

DiaDani 2013.02.05. 14:12:18

@_2501: Teljesen korrekt, ezzel egyetértek.

Annyit azért hozzátennék, hogy szvsz ezek többsége inkább az utóbbi tizenpár évre igaz, amikor is a malware írás iparággá fejlődött. Ezért is érzem kicsit erősnek azt, hogy "ugyanitt"

Szerintem azért 10-15-20 éve nagyon nagy segítség volt az AV, ugyanis:
-Nem nagyon voltak alternatív lehetőségek
-Adatmentés arányaiban sokkal drágább volt
-A kártevők gyakran okoztak közvetlen és sokszor visszafordíthatatlan kárt (OneHalf, CIH, ExploreZip, iloveyou stb. gondolom nem kell bemutatni)
-Kevés helyen volt szigorú biztonsági policy, már ha volt egyáltalán

Így egy komolyabb cég ha választhatott, hogy av-t használ vagy hetente - esetleg hetente többször - újratelepítteti a gépeit, illetve av-t használ vagy megkockáztatja az adatvesztést, inkább nem sóherkedett (persze így se védett ki mindent, tekintve mindig a malware lépett előbb, de a későbbi károkat enyhíthette)
Ez mára már valóban nem egyértelmű. Sok más védvonal van, ami nagyobb hangsúlyt érdemel.

Viszont otthoni felhasználást tekintve azért még mindig nem írnám le teljesen az av-t már csak azért sem, mert a WinXP-s gépek száma a teljes PC felhasználói bázist tekintve még mindig valami 40% körüli, ráadásul állítom jó részük Admin userrel nyomul. Ha nem kéthetente kell újraraknia a Wint hanem pár havonta-félévente már nyert vele:)

eax_ 2013.02.05. 14:44:39

@Hunger: Allitottam en az ellenkezojet? :)

iQwerty 2013.02.06. 08:37:04

Hat akkor tuzfalra sincs szukseg, hiszen nem vedett meg a betorestol. Az is csak lenyulas.

Azert ez eleg meredek hozzaallas.

_2501 2013.02.06. 09:37:23

@iQwerty: Ez nem érvelés, ne sarkíts. Az egész ITSec ipar szuperspecializált szegmensekre oszlik. Más felületet próbál lefedni a tűzfal, mást az AV, és mást a policyk.

iQwerty 2013.02.07. 12:37:51

A felhasználót (pl NYT tulajdonos) marhára nem érdeklik a részletek. Neki egy kupac az IT sec. Neki bináris, van biztosnág, nincs biztonság. Fizet egy rakat pénzt, erre ki-be járkálnak a csúnya emberek. Veszélyes és ártalmas az olyan sugallat, hogy nem kell AV. Ti a ló egyik oldalát értitek, a másikon nem (csak) informatikusok vannak.

_2501 2013.02.07. 15:33:15

@iQwerty: de, sajnos értem... :( -sóhaj- és nem tudok megoldást a problémára.

hacsak nem azt hogy az iskolában legyen tananyag számtek órán a biztonságos géphasználta, és a zinternet veszélyei. ezt kéne tanítani nem a kib.*ott turbopascalt.

n4gyl4j0s 2013.02.08. 18:25:55

Szerintem jó dolog az AV - főleg mezei felhasználónak. (aki nem informatikus) kb olyan, mint egy kínai biztonsági ajtó. Sokat nem ér, de jobb mint egy tuto lakat vagy mintha be se zárnád az ajtót.

Én ha tehetem, akkor a legtöbb dolgot virtuális gépen futtatok. A fő gépen pedig van egy sereg malware analizálásra való kütyü. Azokkal általában ki lehet szúrni bármilyen kártékony programot. (már, ha van rá idő, hogy ezzel tököljön az ember)

Egy mezei felhasználónak esélye sincs ilyesmire. Se ideje erre se nem is ért hozzá. Ha nem lenne AV, akkor olyan lenne, mintha meztelen lenne... Az AV legalább egy pici védelmet ad számukra.

Ha windows-t használ egy ilyen mezei ember akkor talán ennyivel előrébb van. Mert OSX-re meg Linux-ra nem szoktak egyáltalán semmilyen AV-t feltenni. Pedig léteznek jó kis trójai programok meg root-kitek ezekre a rendszerekre is. ;) (meg okos telefonokra is annyi kém szotver van, hogy öröm nézni. Azokon sincs általában semmi védelem ilyen dolgok ellen....

ergo : egy mezei user még mindig jobban jár a windowssal+az AV védelemmel, mintha mást használna, mert azokhoz se ért meg ott még védekezni se tud egyszerűen a támadások ellen...