Hackerek egy egész bankot elloptak Brazíliában

HUP cikkturkáló

Itt olvastam: http://index.hu/tech/2017/04/06/hekkerek_egy_egesz_bankot_elloptak_braz…

Elvileg a brazil root névszervert törték fel, vagy fértek hozzá valahogyan egy munkatárs segítségével. De ha lehet ilyet, akkor így nem túl biztonságos a DNS rendszer.

Hiszen ha valaki hozzáfér a root névszerverhez és át tudja írni az adatokat, akkor hiába bármilyen biztonságos a weboldal, webes alkalmazás.

Ilyen kritikus rendszert minimum kettős azonosítással kéne védeni, pl. jelszó mellett legalább egyszeri SMS kód legyen, de inkább token. Illetve ha valaki kézzel át tudja írni az adatbázist, akkor legalább 2 embernek kelljen azt jóváhagynia. Mert így ha lefizetnek 1 embert, akkor akár a Google domaint is el tudná irányítani elvileg.

Remélem nem csak egy sima felhasználónév, jelszó kell a root névszerver hozzáféréshez. Mert akkor ha az adott rendszergazda ugyanazt a jelszót megadja egy fórumra, feltörik azt a fórumot, utána már elég megpróbálni azt a jelszót a root névszerver belépéshez és máris bent vannak. Ennél azért remélem robosztusabb a rendszer, elvégre az egész internet erre épül.

  • 1455 megtekintés

( nxu | 2017. 04. 06., cs – 10:15 )

Wired:

And those sites even had valid HTTPS certificates issued in the name of the bank, so that visitors’ browsers would show a green lock and the bank’s name, just as they would with the real sites. Kaspersky found that the certificates had been issued six months earlier by Let’s Encrypt (...)

Az oké, hogy az LE csak domaint validál, szóval simán ad certet. De EV-t nem. Akkor hogy látszott a bank neve? :)

A Let's Encrypt es a six months is gyanus, nem? Nem 3 honap egy LE tanusitvany, vagy megnoveltek volna az idokeretet miota utoljara neztem? Vagy ha egyszer barmit levalidaltal, akkor ezekutan folyamatosan renewolhatod a certet mindenfele ujravalidacio nelkul?

---
Apple iMac 27"
áéíóöőúüű

( Jason v | 2017. 04. 06., cs – 10:35 )

Aizet, a DNSSEC nem pont erre megoldas? Vagy a nic.br hekk miatt ezt is atleptek?

Mert ha igen, akkor az biza muveszi...

A DNSSEC az ellen nem véd, ha egy belsős (vagy annak a hozzáférésével más) mondjuk az ISZT-nél a HUREG-ben átírja a domainhez tartozó névszervert. egyébként a cikk írójáról látszik, hogy nincs tisztában a fogalmakkal. Ami alapvetően egy újságírtónál nem baj. Csak akkor vagy kérdezzen meg olyat, aki ért hozzá, vagy ne írjon hülyeségeket a témáról.

milyen nagy kockázatot jelent az, hogy kritikus rendszerek üzemeltetői is sokszor külső, biztonsági szempontból potenciális támadási felületet nyújtó szereplőkre bízzák a kezelését.

ez itt ugye nettó f@szság, ugyanis az ebben a mondatban lévő "szereplő" a brazil "ISZT", akit vélhetőleg .br domain név esetén ugyanolyan nehéz kihagyni a dologból, mint .hu-nál az ISZT-t...

Igazad is van meg nem is. Abban a szerzőnek mindenképpen igaza van, hogy a nagy biztonságú vagy kritikus rendszerek körül nem kevés pénzért, nem kevés energiával nagy biztonságot adó környezetet alakítanak ki, ide értve az eszközöket, szoftvereket és az eljárásrendeket is pl. úgy, hogy közben biztonsági rések maradnak azzal, hogy egyes komponensek biztonságát egy külső szereplő minősége határozza meg, akire nem tud a védekező szervezet hatni, de kénytelen használni. Így esett, hogy a fenti sztoriban a bank vétlennek tűnik nekem, mert a leggyengébb láncszem rajta kívül álló volt, de számára kikerülhetetlen. Azt nem tudom, hogy lehetne fel- illetve megoldani ezt. Érdekel, hogy a hozzáértők mit mondanak, feliratkoztam. :)