Hackereknek könyörög a Nemzetközi Vöröskereszt

Ismeretlenek feltörték a Nemzetközi Vöröskereszt és a Nemzetközi Vörös Félhold Mozgalom szervereit és azokról 515 000 "rendkívül kiszolgáltatott személy, ideértve a konfliktusok, migráció és katasztrófa miatt családjuktól elszakított személyek, eltűnt személyek és családtagjaik, valamint fogvatartottak" személyes adatait vitték el. A Vöröskereszt a hackereknek könyörög, hogy ne szivárogtassák ki ezeknek az embereknek az adatait:

While we don't know who is responsible for this attack, or why they carried it out, we do have this appeal to make to them," said Mr Mardini.
"Your actions could potentially cause yet more harm and pain to those who have already endured untold suffering. The real people, the real families behind the information you now have are among the world's least powerful. Please do the right thing. Do not share, sell, leak or otherwise use this data.

Részletek itt.

Hozzászólások

Azt hiszem, hogy az adatkezelési bírságot pont az ilyen esetekre kéne alkalmazni. Az adatkezelő hanyagsága miatt emberek kerülhetnek veszélybe.

trey @ gépház

Nem gondolom úgy, mivel nem érdemelte meg. Természetes, hogy elsősorban mindig a támadó a hibás. Legalább is, szerintem.

Viszont, akármennyire is utáljuk a gonosz™ hackereket, a Vöröskereszt nemtörődöm viselkedése is hozzájárult ehhez. Értem, hogy az adatgyűjtögetés, a telemetria, a tracking ma a szakbarbárnak is nettó minimum, még mielőtt bármilyen funkcionalitást megvalósítana. Ez azonban nem mentesít a felelősség alól, hogy amit begyűjtöttünk, azt meg is kell tudni védeni, különben veszélyes lesz. Ha a megfelelő védelmet nem tudjuk garantálni, nem kell adatokat gyűjtögetni. Ilyen egyszerű.

A kérdésemmel egy, ezen a fórumon is jelenlévő kettős mércére próbáltam felhívni a figyelmet. Ha Frankó és Zeller Mérnök Urak fősodratú hackercsapatot alapítanak, feltörik az általam menedzselt céges hálózatokat, ellopják az adatokat, majd én ide kiírnék egy könyörgést, hogy ne tegyék közzé, akkor vajon hányan hibáztatnának engem a Windows Server 2003-akért és XP-kért, és hányan a két mérnök urat a hackelésért?

"Értem, hogy az adatgyűjtögetés, a telemetria, a tracking ma a szakbarbárnak is nettó minimum"

Gyakorlatilag a Vöröskereszt nem tudná ellátni a feladatát, ha minimálisan nem gyűjtene adatot. 

" feltörik az általam menedzselt céges hálózatokat"

Céges hálózat vs nonprofit szervezet. Azért ha ezek között nem érezzük a különbséget, akkor ott baj van. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Gyakorlatilag a Vöröskereszt nem tudná ellátni a feladatát, ha minimálisan nem gyűjtene adatot.

Régen is el tudta látni anélkül, hogy internetre kötött, sebezhető szerveren tárolta volna. Ha máshogy nem megy, tárolják papíron, aktákban.

Céges hálózat vs nonprofit szervezet. Azért ha ezek között nem érezzük a különbséget, akkor ott baj van. 

Érezzük, de abban nincs különbség, hogy ugyanúgy emberek személyes adatairól van szó, amit nem kéne kevésbé védenie egy Vöröskeresztnek, mint egy cégnek.

Egyszerűnek tűnik: intézd el, hogy valami kínai érdekeltségben férjenek adatokhoz, majd add ki az elkövetőket Kínának. Többet nem lesz velük baj, igazából hallani sem fogsz róluk.. nem véletlenül. Lehet fokozni is, de nem akarok vad ötleteket adni.

Vortex Rikers NC114-85EKLS

Remélem azért itt "házon belül" (értsd hacker csoportok) megrángatják majd ennek a csoportnak a f.....szát rendesen.

Ez kb. ugyan olyan gusztustalan a hackerek részéről mint amikor egészségügyi intézmények ellen követnek el hasonló támadásokat.

Aktuálisan ennyit kívánok nekik: "Hátravinni! Leköhögni!" ..

Ja, de ugyanakkor meg elvaras, hogy az adomanyaidat ne holmi uber-draga enterprise-grade rendszerekre meg security-re koltsek.

Meg az is elvaras, hogy az tamogatasokat nyomon kovessek, csalasokat elkerulendo (=korrekt felhasznalasa az adomanyoknak).

 

Azon kivul, hogy elismerjuk, hogy ez elofordulhat, nem sokat lehet tenni. Nyilvanvaloan az ilyen emberek a moralis rangletran kb. a pedofilok korul helyezkednek el.

Érdekelne egy ilyen statisztika.

Az mitől véd meg ?

Úgy érted, hogy mindegy, hogy egy adatbázis + pistike által írt SQL injection sebezhető frontend-je ki van téve az internetre, robotok, hackerek stb. kénye-kedvének, vagy ugyanez egy lokál hálón van VPN keresztüli eléréssel, megfelelő access controllal?

trey @ gépház

Elviekben igazad van, attól, hogy Vöröskereszt, attól még az adatokat megfelelően kellett volna kezeljék, védjék. De!!!!! Itt én mégis a hackereket hibáztatnám, hogy visszaélnek a helyzettel, és pont ilyen humanitárius szervezetet próbálnak szopatni. Ha valami kormány vagy cég lenne, akkor okés, azokat szivatják, ha nem gondoskodtak az adatok biztonságáról, lespórolták az erőforrásokat, pedig azok rendelkezésre álltak. De szerintem ilyenen szivatni ilyen segélyszervezetet, meg egyházat, stb.-t nagyon legalja erkölcsileg, ezeket tényleg békén kéne hagyni.

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

Egyházon valódi egyházat értek, nonprofit, karitatív tevékenységekkel. Nyilván ha most divatos, seftelős szektáról van szó, az nem valódi egyház, azokat szerintem is húzzák csak le. Az egyházak is, akár csak a vöröskereszt, bajba jutott embereken segítenek, nem kéne őket támadni. Kicsit olyan genyóság vöröskeresztet hekkelni, mintha a rákos gyerekekért alapítványokat lopná meg valaki, az ilyen pedofíliával összemérhetően erkölcsileg legalja szint, amit még sok vérbeli bűnöző is el szokott ítélni.

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

>Ha valami kormány vagy cég lenne
ugyanitt: valami kormány vagy cég állhat a támadás mögött is, nem látom miért ne állna érdekében egy ilyesmi bizonyos országoknak. aki korpa közé keveredik, sajnos megeszik a disznók.

[insert line here]
B.C. 3500 - DIY Vehicle / A.D. 30 - DIY Religion / A.D. 1991 - DIY OS

Észérvekkel hatni arra, aki a Vöröskeresztet/félholdat töri fel és el is adná... hát...

A globalizációval egyre nagyobb adathalmazokat lehet egyszerre ellopni. Egyre kiszolgáltatottabbakká válunk a szoftvereknek, de az előnyök miatt megéri. Akkor is, ha a kényelem ára az, hogy egy tucatnyi ember (száz)milliók adatait képes ellopni és eladni. Nincs itt semmi látnivaló. Örüljünk, hogy az IoT még kényelmesebbé teszi majd az életünk! :)

:)

Például a segélyek célbajuttatására, esetleg authentikációra. Kisebb országokban, ahol pl árvíz vagy hurrikán pusztít, jó ideig semmilyen kormányzati rendszer nem lesz elérhető, nekik kell önerőből elvégezni a rászorulók azonosítását, a visszaélések kiszűrését. 

De ha végiggondolod, mit csinálnak, magadtól is hozhatsz fel ezer példát, amire kellhet nekik ilyen adat.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Szerkesztve: 2022. 01. 21., p – 00:21

[Schneier 2016] Data is a toxic asset

Miért gyűjt egy non-profit szervezet, olyan és annyi adatot, ami veszélyes lehet az emberekre? Ha nem tudja megvédeni, akkor a szervezet lesz veszélyes az emberekre.

Egyébként lehet közelebb jönni. Miért gyűjt az egyik Magyar netes bankkártya elfogadó cég személyes adatokat, és miért ráz le minden felelősséget és szinte minden kártérítési lehetőséget magáról egy default WP logós weboldalon keresztül?

Akinek vicces.

tldr

A XXX nem tartozik felelősséggel a Vevőnél
vagy bármely harmadik személynél a Vevő által
a XXXPay Rendszerhez kapcsolt
adatbázisokból, a XXXPay Rendszerben a
Vevő által létrehozott
adatbázisokból, a
XXXPay Rendszerbe a Vevő által bevitt
adatokb
ól eredően keletkező semmilyen kárért,
ezért kizárólag a Vevő tartozik felelősséggel

XXX nem tartozik felelősséggel a XXXPay
Rendszerben szereplő adatok, információk
helyességéért és ezen adatok, információk
felhasználásából eredően esetlegesen a Vevőnél
vagy bármely más harmadik személynél
keletkező károkért

A Vevő kifejezetten lemond a törvény által
lehetővé tett körben arról, hogy a XXX vezető
tisztségviselőjével szemben a jelen szerződéssel
összefüggésben bármilyen kártérítési vagy egyéb
igényt érvényesítsen. A XXX vezető
tisztségviselője erre a felelősségkorlátozásra
közvetlenül hivatkozhat.

... konfliktusok ... migráció ... fogvatartott ... személyek és családtagjaik ... személyes adatait ...

... lehet, hogy herpeszes ödönke hákolta+ őket unalmában a vindózikszéjéről ? ... jja nem ...

Számomra az a furcsa, hogy még manapság sem látom, hogy az érzékeny adatokat titkosítanák az adatbázisokban, pedig megoldás már 10 éve is volt rá. 

Használhatnak a bizalmas adatok tárolásához asszimetrikus titkosítást, aminél az adatbevitelhez szükséges titkosítő kulcs fent van a szerveren, de a dekódoláshoz szükséges kulcs csak azokon a gépeken van, ahol szükséges az adat elérése. Esetleg ezen a gépen is célhardveren tárolni a kulcsot, hogy ne lehessen könnyen ellopni. 

Nagy Péter

A kényelem. Minap írtam egy másik témához, hogy láttatok már olyan céget, ahol a nem a központi portaszolgálaton való átvergődés után jutsz el az irodákig (szolgáltatások), hanem a cégnél levő irodák egyesével közvetlenül az utcáról nyílnak?
Informatikában annyira a macera elkerülése megy, hogy igenis az utcáról nyílnak az irodák és mindeközben csak beltéri minőségű ajtó + beltéri egyszerű biztonsági zár van sokukon. Aztán csodálkozunk, hogy éjfélkor valaki minimális szerszámkészlettel besurran. És már jön is a szenzációs újsághír.

Az a nyavalyás VPN, a hardver token, stb ... mind-mind csak egyetlen plusz lépés és jelentős besurranó-nehezítő tényező. De tudod ez mind "macera", a "minek legyen" kategória.
Irattár, hozzáférés-korlátozások, többszem elv a kollégáknál is. Hányszor van az, hogy az irattáros/titkárnő hozza ki, de csak ha jogosult vagy arra az aktuális munkafolyamatod miatt. Informatika? Had menjek be fotózkodni az irattárba. A bármit, csak gyorsan.

Aztán itt van a téma, a légyszi-légyszi ne használjátok.

Az informatika húzóágazatai a kényelmeskedés csúcsra járatására, a célközönség elkényelmesítésére játszanak. Ebbe a célközönségbe az újgenerációs babzsákfejlesztők, üzemeltető macik stb. mind beleértendők.

Az ezredforduló előtti IRC-s időkben még elképzelhetetlen lett volna, hogy valaki nevét, címét megadja egy mindenki által látható internetes portálnak, majd a saját családi fotóit is feltöltse rá. Aztán jött az iWiW, majd a Facebook, ami az exhibicionista ösztönöket triggerelve szólította meg mindenki egóját, hogy az életével, kapcsolatrendszerével való dicsekedés, illetve az 0-24 online lét mindennél fontosabb, mert ... akilemaradkimarad™.

A biztonságtudatosságot fokozatosan építették le a felhasználók tudatában az informatika elmúlt 20 évében. Ez pedig a frissen munkába álló szakmabéliek tudatában már természetes állapot. Aki pedig ennek a természetességét megkérdőjelezi, az paranoid™.

Gizikének (és van belőle gondolom több száz) el kell érnie az adatokat,
Gizike fogja otthon a laptopját, becsatlakozik VPN-nel,
Aztán Gizike bedugja a hardware kulcsot, mert dolgozni készül,
És innentől már a Gizike felnyomott laptopján keresztül lehet is leszedni az adatokat.

Konklúzió: Amihez Gizike hozzáfér (akár mennyi biztonsági rendszeren keresztül), azt Gizikétől el lehet lopni.
Valójában ehhez képest kifejezetten ritka az adatlopás. Vagy csak kifejezetten ritkán derül ki...

Egyfelől lehet azt is csinálni, hogy a különböző fontosságú adatokhoz más kulcs tartozik. A nevet mondjuk nem is titkosítjük, az e-mail cím meg a telefonszám az, amire Gizikének szüksége van, és a lakcíme pedig az, amit Gizike sem nézhet meg. Gizikénél csak az a kulcs van meg, amivel az e-mail címet és a telefonszámot meg tudja nézni, és mellette a kulcs nem a gépen van, hanem egy YubiKey 5 kulcson, ami minden dekódoláshoz elvárja, hogy megérintsd rajta a gombot. Persze amit Gizike elolvas otthon, azt el lehet lopni a laptopjáról, de a kulcsot már nem, és Gizike nem is tudja olvasni a postai címet, így azt sem.

Annak a néhány embernek, akinek pedig szüksége van a postai címre is, olyan gépet adok, amin nem rendszergazdaként telepítenek mindent, amihez kedvük van. És ezen ugyanúgy meg kell érinteni a kulcsot minden dekódoláskor, a gép pedig jelszóval van védve, és titkosított merevlemez van benne.

Nyilván ellopni így is el lehet fizikailag a gépet, a kulcsot, stb... De azért nem mindegy, hogy az sqlmap-ot kell lefuttatni egy weboldalra, vagy ezer kilométereket utazva, megfigyeléssel, őrök kijátszásával be kell törni egy őrzött helységbe, és onnan ellopni a gépet. 

Nagy Péter

> Gizike elolvas otthon,

vs

> őrök kijátszásával be kell törni egy őrzött helységbe, és onnan ellopni a gépet. 

Less likely happen, hogy Gizike egy őrökkel őrzött helységben lakna. És ugye volt most egy pandémia, és mindenki vitte haza a gépét.

Tök jók ezek a fajta biztonsági megoldások, csak messze nem fednek le minden - reális - igényt

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Megint csak a kényelem. Legyen előttem egy mindenre jó számítógép, amin bent vagyok a céges hálózaton is és egyúttal minden internetes cuccot megnézhetek, sőt mindent futtathatok amihez nem kell admin jog. Mert így kényelmes, és kevesebb hardver is kell hozzá.

Elsőre szokatlan megoldások: Ausztriában egy tartományi segélyhívó központban (112) jártam. Munkaasztalokon 4 monitor, ebből 3 a bal PC-n a belső ügyviteli rendszerükön, kizárólag a belső hálózaton, no internet. A 4. monitor pedig egy másik PC-n és kizárólag internetes dolgokhoz. Tetszett.

Ez, ami írsz tök fasza, de nem a kényelmi szint a legnagyobb probléma vele cég szempontból.

 - Az ára
 - A TCO-ja.

Kevés olyan hely van, ahol a pénzeszsákoknak meg lehet indokolni egy ilyen rendszer létjogosultságát.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Kevés olyan hely van, ahol a pénzeszsákoknak meg lehet indokolni egy ilyen rendszer létjogosultságát.

A pénzeszsákoknak bármit meg lehet magyarázni, csak az ő nyelvükön kell beszélni.

Ha a kockázati esemény várható értéke > rendszer TCO-ja, akkor (racionális szereplőket feltételezve) jellemzően kinyílik a pénztárca. 

Igen, mindenhol el kell magyarázni a pénzeszsákoknak, hogy a produktivitás mellett erre a pénznyelőre mint biztonság szintén kell áldozni. Ez ugyanis elsőre tényleg nem látszik, másodikra is leginkább csak a költsége látszik mint „kidobott pénz”. Sőt nem ritkán a „macerásabb” használhatósága is a biztonság kiépítése ellen szól. És itt kezdődik egy másik szakma, az információbiztonsági szakember. Igenis legelőszőr a cégvezetővel kell megértetni, hogy bár „békeidőben” minden oké, de ha nincs arányos biztonsági intézkedés, az teljes mértékben oroszrulett.

> legelőszőr a cégvezetővel kell megértetni

nekem eddig sehol se sikerult. a cegvezetok nem akarnak kolteni ra, inkabb kockaztatnak. biznak benne, hogy sok evig nem lesz ra szukseg, es addig sok penzt keresnek, mig ha koltenek ra akkor az az o bonuszuk rovasara megy.

a tulajdonosokat kene meggyozni, de veluk foldi halando altalaban nem beszelhet, csak a cegvezeto, akinek meg nem erdeke. vagy reszvenyesek vannak, ott meg nehezebb az ugy. oket csak az osztalek erdekli semmi mas.

manapsag szinte senki nem gondolkozik hosszu tavban, a rovidtavu profitmaximaliazasra utaznak, abba pedig nem fernek bele ilyen uri huncutsagok mint itsec.

IT vezető ormótlan barom multiéknál ált. 3-5 évig van ugyanaz egy helyen. Utána lelép / jön a következő éhes dögkeselyű. Reorganizációnak hívják, minden ilyen hülye multit ez tart már csak életben, 6 havonta művelik is szorgosan mindenhol amerre jártam. A folyamatosan égető gondokat meg szőnyeg alá seperve.

Szóval, ha nem az ő nyomorult 3-5 évében jön vmi (tényleg) nagy bazdmeg, akkor megúszta, a ráfordítható lóvét meg megkapta zsebbe. Nehogy már ezt az otromba nagy céget az ő pénzéből tegye jobb hellyé! Van arra a sok alsó szintű droid, azért lettek felvéve h. majd őrajtuk be lehet hajtani. Max. íratunk újabb, hosszabb, elbaszottabb it security policyket, abból baj nem lehet, és a susan v. vmelyik másik tyúk ingyen megírja. Minek ide extra lóvé?