Blogbejegyzések

Új #Intel #CPU #microcode csomag érkezett az #Ubuntu 17.10-be! pic.twitter.com/dg0abR3aZr

— Gabor Micsko (@gmicsk0) January 14, 2018

jelenlegi laptopom egy Fujitsu Lifebook LH532-es.

Intel Core i3-2348m-es CPU (2.3 GHz, 4 mag)
8 GB RAM
120 GB SSD
1366x768 kiejlző
Intel HD3000 és Nvidia GT620m VGA
webcamera, bluetooth
2.4 GHZ-es N-es Wi-Fi

Első laptopom, amit mai napig őrizgetek pedig:

Toshiba Satellite L40-es

Intel Pentium T3200-as CPU (2 GHz, 2 mag)
2 GB RAM
120 GB SSD - miután átraktam
1280x800-as kijelző
Intel i965 VGA
2.4 GHz-es G-s Wi-Fi

Manapság a legtöbb op.rendszer már csak 64 bites, szerencsére azért akadnak kivételek. Jó ideje használom a Budgie Desktop-ot, mert nekem bejött. Solus alatt leginkább.

Valamelyik nap unatkoztam és gondoltam megpróbálok megint megkeresni valakit aki rosszat csinált. Kiindulási pontom megint az rghost.st volt, itt általában elég sok dolog van fent amivel lehet mit kezdeni. Így futottam bele ebbe ami azóta sajnos már töröltek: (http://rgho.st/82XjjKQ6T)

Mint látszik ez egy bank phishing collection. Van benne minden amit éppen talált az ember. Mikor átnéztem a kódokat egy email cím volt ami jó nyom lehetett illetve egy nick.

Az email cím alapján gyorsan le is jött hogy van egy facebook regelve az email címmel, illetve még skype is volt mellé. A profil neve "Albert Hexor" volt, nem tudom valódi e de annyira ne mis érdekelt. Elkezdtem átnézni a facebookját mik vannak fent.

Igen jól látod a srác feltöltött egy screenshot-ot a mailboxbol ahova gyűjti az adatokat phishingből. Igen ez tök béna dolog mert minek tölti fel? Mondjuk mivel látszik kamu profil így gondolom csak a hírnév van mögötte hogy szeretne menő lenni ismerősök között stb... Az emailben amiket kapott látszik hogy valakinek benne van a nickje aki a phishing kit-et csinálta anno. Ezt bele szokták írni mert elvileg ez jó hírnév. Viszont amit észrevettem hogy van valaki aki kommentelt a képhez pont ezt kiemelve. Nem is kellett több átnéztem az Ő profilját is mik vannak fent. Eleve a facebook nickje megegyezett azzal ami a phishing kit-ben van.

A nick mivel elég egyedi össze is gyűjtöttem pár infot róla zone-h.org on van 3 deface-mentje is (nem mintha nagy szám lenne). Itt van pár kép még fent amik érdekesek:


Na de most gondolod ezeket hogy találtam hisz nincs is fent a profilján? Itt én egy kis cselt szoktam alkalmazni ami régen mondjuk jobban működött de sajnos facebook azóta csiszolta.
A lényege hogy ha US settings-el használod a facebookot akkor kapsz egy olyan opciót hogy tudsz keresni fotóra külön. (Lehet azóta már implementálták más régióra is).
Ezt úgy kell elképzelni hogy én postolok a facebookra egy képet és megjelölöm rajta a Bélát. Béla üzenőfalára kikerül a kép mint "Photos of you". Béla leveszi ezt az üzenőfaláról mert nagyon ciki kép és nem akarja hogy más is meg tudja nézni. De hiába veszi le a faláról a kép feltöltése nem általa történt szóval nem az Ő beállított szabályai alá fog kerülni a kép, hanem annak a beállításait fogja használni aki feltöltötte. Na és én pont ezt használtam ki ezzel a kereséssel! Olyan képekre kerestem amiket róla töltöttek fel vagy be van rajta jelölve de még sincs rajta a profilján. Ha nem hiszed el próbáld ki valaki profilján. Vannak limitációji mint pl sajnos nem egyedi ID alapján keres hanem text alapján. :( Szóval ha Kovács Bélára keresel így akkor az nem biztos hogy sikeres lesz. Illetve az arra is vonatkozik ha valaki postolt valamit egy csoportba ami publikus akkor onnan is kikeresi a textet. Szóval látod a képen hogy az egyik az egy post a "Random Anonisma" csoportba ahol épp eladni próbálja a phishing oldalait. De legyen konkrét példa egy másik spammer-ről ahol ez elég látványos:
URL https://www.facebook.com/chblf

Dolgoznom kell rajta, hogy meglássam a lényeges különbséget a macskatartás, a kávéfüggőség és a szerelem között. Biztos, hogy kell, mert szerintem az utóbbi kevésbé irritatív az első kettőhöz képest. Megpróbálok rászokni a kávéra, és örömmel folytatnám úgy a mondatot, hogy újdonsült koffeinmámoromban még ma éjszaka összefogdosok pár macskát a környékről, de a koffein nem hat rám, s így ma éjjel a macskákra sem. Szóval nem lesz könnyű ráérezni a különbségekre.

Mivel a macskatartók és a kávéfüggők nem erre a kontentre számítottak, itt egy régi videó, amiben valóban megmenekül egy cica: https://www.youtube.com/watch?v=E606E-3NaTM. Persze tudjuk jól, hogy ezt a videót az orosz vezető rendelte meg, hogy jobb színben tüntesse fel Oroszországot, de azért mégis csak aranyosnak látszik, ami néha jó. Bár lehet, hogy a "russian driver" mást jelent.

Szerk.:

Ez csak egy rövid bejegyzés lesz mivel az előző részbe belefért elég sok dolog.

A lényege az lenne ennek a résznek hogy sokszor nem olyan egyszerű mint ahogy látszik. Így hogy leírtam lépésről lépésre úgy tűnik mintha mindig jó helyre nyúlt volna az ember, mindig jó helyen kereste volna az adatokat, és pontosan azt találta volna meg amit kellett. Azt azért tudni kell hogy sokszor kerül az ember zsákutcába és nem talál infót, aztán egyik napról a másikra eszébe jut valami új dolog hogy hogy lehetne még keresgélni. Van mikor hetek/hónapok is eltelnek mire meglesz az ember, de ami még többször van az az hogy egyszerűen nem találod meg azt akit keresel. Sajnos ez a dolog ilyen, nem tudsz mindenkit megtalálni, sőt a negyedét se az adott eseteknek. Mindig lesznek nálad okosabbak vagy szerencsésebbek.

Aki nem olvasta az előző részt annak ajánlom, mert lesz pár dolog amire hivatkozni fogok. https://hup.hu/node/157320

Ebben a részben megpróbálunk a phisherek elé kerülni mielőtt még a támadást indítják. Ez az én logikám és ahogy csináltam.

Hogy lehet ezt megelőzni vagy legalább előttük járni? Próblájunk azokra koncentrálni akik a cégünk customerjeit akarják támadni, hogy fog phishleni?
Nagy valószínűséggel létrehoz egy hasonló domaint mint az eredeti szóval példának: ha van cégünk www.belabankja.com akkor le kellene kérdeznem minden olyan domaint ami hasonló.

Itt nézhetünk Entropy távolságokat a mi domainünktől. Szóval ezek körül bármi lehet:

www.belabankja.top
www.b3labankja.com
www.belabankja.tw
www.bela8ankja.com

https://12043493396308891114[.]googlegroups[.]com/attach/80bbc4a0f6aa8/rootbyte.html?part=0.1&view=1&vt=ANaJVrHr8Pktu-elvUZr1oxU9zHkpQWMMI7Eg2vJUIcw-WQEttiXR8ljepBdyNeqKh7Y3jxcwS81s00v8PWoEJ5Cz3C8klVf0sqFQZrnoF5QlE65K6-9svo

Ez picit komplexebb valakinek, van akinek meg alap dolog. A story lényege az hogy anno eldöntöttem hogy sokat fogok phishingel foglalkozni és próbálok valami olyat csinálni amit eddig mások kevesen. Mert hogy is néz ki egy mai phishing solution? Fogod blokkolja a levelet és blokkolja az URL-t ennyi. Ebből hogy tudsz valami olyat csinálni ami látványos is és felfigyelnek rá.
Az én megoldásom ez lett:

Elkezdtem az elejétől végéig átgondolni hogy néznek ki a phishing támadások, fogtam és mindent lemodeleztem. Mindent megcsináltam én magam is élőben, nem tesztkörnyezetben. Igen regisztráltam kamu domain, igen leklónoztam oldalt, és igen linkedin-ről generáltam le a targeteket vagy free email listából.
Szóval nálunk eleve működött a cégnél egy nagy email solution ami azt csinálta hogy minden bejövő levélben átírta a linket egyedire, és ha a linkre kattintottál akkor tudták hogy ki volt aki azt az URL-t megnyitotta.

https://forum.lede-project.org/t/announcing-the-openwrt-lede-merge/10217

Spectre
Javascript
Malvertising

Emlékszünk még James Damore úrra? Ő volt az aki úgy negyed évvel ezelőtt, hirtelen munkanélküli lett, mert véletlenül olyant mert írni, hogy egy technológiai cégnek a dolgozók szakmai kompetenciáját kellene figyelembe venni felvételnél, a neme, bőrszíne vagy szexuális identitása helyett, meg hasonlóképp kéne gondolkodni az előléptetéseknél és a többi. Akkoriban születtett is bejegyzég erről, és felmerült bennem a gondolat, hogy jön még kutyára villamos. Ugyanis, egy ennyire nyílt, liberális, és tolerális képet mutató cégnél erősen lóláb kategória, pont egy nem "deviáns" dolgozó kirúgása, csak mert a cég fókuszának és integritásának megtartására próbálta felhívni a figyelmet.
Nos, az érzésem, bejött. 2018 január 8.-án a Dhillon Law Group csoportos keresetet adott be a Google ellen James Damore képviseletében. A kereset, munkahelyei zaklatás, munkahelyi diszkrimináció, zaklatás és megtorlás megakadályozása, tisztességtelen üzleti gyakorlat, stb. pontokból áll.
Ízlelgessük egy kicsit. Adott egy makulátlan előéletű, szakmailag kiemelkedő (több alkalommal is dícséretben részesült), magasan képzett alkalmazott, aki a világ egyik legtoleránsabb, szellemiségben és minden tekintetben a legmodernebbnek számító technológiai cégnél dolgozik. Egy ilyen esetben az ember azt várná, hogy a korábban felvetett kérdésben értelmes vita alakul ki, melynek az eredménye a cég üzleti céljára történő fókuszálásának a megerősödése.
Csakhogy ezen alkalmazott egyetlen apró hibája, hogy fehér, középkorú, heteroszexuális, férfi, és ezzel vörös posztó minden "ideológiailag más" beállítottságú munkatársa szemében. Az eredmény, a munkatárs megalázása és eltávolítása.
Kérdés, hogyan tud kijönni ebből arcvesztés nélkül a Google? A beadott kereset 160 oldalában, van minden ami egy jó munkaügyi perhez szükséges és a legkellemetlenebb, hogy ezek mindegyike alaposan meg van támogatva belső email és fórum bejegyzések másolataival.
És a dolog kellemetlenebb oldala, hogy a per elvesztése esetén precedenst teremt további perek számára, amiből, a nyilatkozatok alapján, legalább tucatnyi van betárazva az ügyvédeknél.
Itt még egy pillanatra kitérnék, az ügy kapcsán publikáló médiumok érdekes, visszatérő húzására. Egytől egyik próbálják a hír élét tompítani azzal, hogy a nőket fizetés szempontjából érő diszkrimináció miatt a Googlével szemben, folyamatban van egy másik per is.
Szóval, érdeklődve fogom várni a per eredményét, mert úgy érzem erősen ki fog hatni mind a Google-hez jelentkezők számában és összetételében, mind az amerikai technológiai szektor gender és diverzitáskérdésekhez való hozzáállására.

Még szeptember közepén vettem egy nBase EH-35ND3-as USB keret, ami tegnapig bírta a szolgálatot. Ez idő alatt aktívan volt használva, lényegében éjjel nappal lógott a házi szerveremen extra tárhelyet biztosítva.

És ez nem az első ilyen kütyü, ami relatív gyorsan adta be a papucsot nálam. Ráadásul amíg üzemel is csak a gond van, ez a négyzet alakú USB csatlakozó minden, csak nem megbízható. Annyitól, hogy kicsit arrébb teszem a keretet az asztalon hajlamos megszakadni a kapcsolat.

Persze él a mondás, miszerint olcsó húsnak híg a leve, és lehet meg kellene próbálkoznom egyszer egy drágább típussal, de valamiért az az érzésem, hogy végső soron csak többet fizetnék ugyanazért a vacakért. Most is ezt tettem, bőven lett volna olcsóbb alternatíva.

Ezek közül egyik sem lett jelentve senkinek. (csak MMC de az lényegtelen)

A következő pár sorban ismét gyerekekről lesz szó akik nem tudják mit tesznek, vagy nem tudják milyen következménye van dolgoknak. Elvégre accountot lopnak el amiért más pénzt fizetett.
Mivel nagyon népszerű a minecraft és rengeteg fiatal játszik vele ezért pár fiatal elkezdett trollkodni vele és megpróbálják egymás jelszavát vagy mások jelszavát ellopni. Bevallom őszintén én soha nem hallottam az MCMester-ről míg nem találtam rengeteg infostealert ami ezeket a jelszavakat lopja el.
Példa:

2017 3. negyedében jelentettem ezt a HUN-CERT-nek.
Nem, nem akartam jeleteni mert a következő leírásban egy fiatal diákról lesz szó aki rosszat csinált, amivel nem lenne baj mert mindenki hibázik. Sajnos azonban mások adatait is publikusá tette így nem volt más esélyem mint jelenteni. Ha pedig értesz ezekhez a dolgokhoz kérlek ne írd le kommentben hogy kiről szól a cikk.

Egyik nap belefutottam egy magyar malware mintába, csodálkoztam is mert azért ritkán jut át a kezeimen magyar malware. (később írni fogok még pár új mintáról)
A sample: 628ab51775d21b09a3c7571cc52ced4eba650ad23c3788e497e4693f60ea84b0; Nvdia driver.exe

Mivel mindenki olvasta az index cikket ami ebben a formában jelent meg (2017.12.08): https://index.hu/tech/2017/12/08/hatalmas_biztonsagi_res_tatong_a_magya…

Ez a biztonsági hiba jelentve lett már Szeptember 5.én, de válasz természetesen nem jött a levélre. Aztán az index felkapta a dolgot mert más is észrevette a hibát.
A posta.hu ideiglenesen megoldotta a hibát azzal hogy mindenki aki Safari user agentel nézi meg az oldalt annak "letiltották" a nyomkövetést és a főoldalra irányították vissza.

Mi volt a hiba? Ha a nyomkövetésnél lekérted a csomagod adatait akkor kidobta a csomagod adatait ergo Work as Designed. Viszont ha nyomtál rá egy frissítést (F5) akkor automatikusan átdobott egy másik valid csomaghoz és az adataihoz. Ez csak MAC/SAFARI usereknél jött elő. Még egyelőre nem tudni hogy miért csak náluk. Windows-on Safarival nem sikerült reprodukálni, amivel viszont tesztelve volt és ment: MacOS High Sierra / Safari Version 11.0.2 (13604.4.7.1.3).

Invitel Webmail XSS 2016.05.22.én jelentve, aztán 2017 decemberében. 2017.12.29 sikeres javítás.

hXXps://webmail.invitel.hu/login/?user=%22%3E%3Csvg/onload=prompt%28/fail/%29%3E

https://m.phys.org/news/2017-12-d-wifi-electronics.html
https://www.youtube.com/watch?v=gU6-o9SIkMQ

Agyam eldobom :)

Nem hagyott nyugodni a "Gyors adatrögzítés webes felületen" topik. Szerettem volna kipróbálni, hogy tulajdonképpen milyen válaszidőket is lehet elérni manapság böngészőben localhoston futó szerverrel, ha erőfeszítést teszünk bele, hogy kicsi legyen az.

Amolyan programozási kataként írtam egy minimális kliens-szerver keretrendszert, ami legjobb tudásom szerint közelíti az optimálist. (Sima Ajax kérésekkel működik, websocket-tel lehetne még gyorsabbat csinálni, de azt most kihagytam.)

Szöget ütött a fejembe az a megjegyzés, hogy a választó listák nagyon nem optimálisak a böngészőkben, ezért arra csináltam az első mérést. És valóban érdekes eredményt kaptam.

https://www.macrumors.com/2018/01/10/macos-high-sierra-app-store-passwo…

kicsit kontextusba helyezve a közelmúlt történéseit, ez az elsődleges telefonom akksija, egy iphone 7-es

amit tudni érdemes róla:
- nem túl öreg, de 180 ciklus így is benne van (=mintha fél évig minden nap megcsinálnál vele egy 100%->0%->100% töltést)
- a design capacity a papíron vállalt kapacitás
- a full charge capacity az, amit a telefon valójában tud _most_

érdemes az elejétől a végéig elolvasni:

http://lkml.iu.edu/hypermail/linux/kernel/1801.0/02309.html

itt folytatódik: http://lkml.iu.edu/hypermail/linux/kernel/1801.1/00563.html

Az Ubuntu 17.04 2018.01.13-ig tamogatott, de a a Meltdown
nem lesz rajta javitva.
A tobbi agon januar 9-n javitottak, a 17.04-t is javithattak volna!

trey is egyetert

Idezet trey-tol:
"A probléma szőnyeg alá söprése ^^^

(Ha egy szolgáltatás elavult (kétségtelen, hogy a WINS az), akkor nem szállítom. Ha szállítom, akkor pedig kutya kötelességem az életciklusa alatt biztonsági szempontból támogatni.)"
~

vagy töltőelektronika probléma. vagy beállítási probléma. vagy a fene tudja milyen probléma.

https://www.androidauthority.com/samsung-galaxy-note-8-battery-problem-…

tippem szerint az akku valós értékeit tekintve is le tud merülni nullára, nincs ami megvédje tőle. ekkor viszont már nem igazán kell a töltéssel bajlódni :) többé. mármint az életszerű esetet feltételező ion vagy polimer akku esetén. elsősorban ionnál.

Hát kellett már valami, túl unalmas volt minden...
Debian Stretch Lilo 24

Szerk: google barátunk ajánlata: http://forum.index.hu/Article/jumpTree?a=33011952&t=9028250

Szerk: Semmi komoly: Windows, EasyBCD, boot-menüből sda7-et kivesz, visszarak, Save, Reboot, Örül

Az egyik gépünkön ma felugrott egy elég érdekes ablak: