Sok false hír, mindig validáljunk

 ( rodneymullen2 | 2018. január 15., hétfő - 20:03 )

Mai nap jött a hír hogy "Komoly biztonsági incidens egy magyar kormányzati informatikai rendszerben".
Hát a címet nem kommentelném mert aki írta gondolom nem értelmezte azt amit talált.

Pár perc keresgélés után meg lehet találni azt amiről ők írnak, de a twitter pastebin bot is kidobta és ki is tweetelte. Illetve psbdmp.ws is összeszedte és kategórizálta.
Nem linkelem be közvetlen mert aki akarja megkeresi, illetve ha linekelem tuti lesz olyan aki azt írja hogy ez full topsecret info és jajj.
Szóval több kérdés is felmerül, ki csinálta? Miért csinálta? Honnan lopta? Milyen adatok?

Hát hogy miért, az sose fog kiderülni de gondolom egy automata bot láttam hogy régi a CMS és jelzett neki aztán ennyi. Nem hiszem hogy nagy rocket science volt.
Az hogy milyen adatok az szerintem gyorsan kiderül. Hát szinte tuti hogy nem közvetlen a kormányzati login adatok (ha csak nem használja ugyanezt a jelszót ott is).
Teljesen vegyesen van benne minden domain a freemailtől, a gov-on át a hellokitty.com-on át minden. Viszont ilyenkor beszédesek szoktak lenni a jelszavak. Az egy bevett szokás embereknél hogy használnak egy nagyon bonyolult jelszót pl: 'ji refpFASß$ß!' és ehhez csak hozzáfűznek vagy elé raknak egy karatert hogy ne feledjék el melyik szolgáltatáshoz tartozik.
Ergo gmail: 'ji refpFASß$ß!gmail'
Ergo free: 'ji refpFASß$ß!freemail'
Ergo hup: 'ji refpFASß$ß!hup'
etc.. etc..
Így ebben az esetben is ezeket szokás megnézni, így elég gyorsan találunk egész sok jelszót aminek a tartalmában benne van az hogy "brux". Érdekes nekem ebből még nem esik le melyik oldalról lehet szó viszont mikor talál az ember olyan jelszót ami: 'TesztBruxInfo2017' akkor azonnal kiderül melyik az a honlap. Szóval nagy valószínűséggel innen jöhettek az adatok.
Na de hogy ment be az emberke? Megnyitottam az oldalt és látom Drupalon megy illetve publikusan elérhető a changelog-ja ami ugye default minden drupalnal. Ha esetleg nincs meg ez akkor ott a drupal.js és abból elég jól ki lehet következtetni pl HUP esetében is.
Szóval az Ő esetükben ez a release van fent 2016 februárból. (most sokan fejükhöz kapnak)

Részlet a leakből:

És hogy ki lehetett mögötte? A leakben van egy megjegyzés hogy "PAWNED BY 1n73ct1on". Ilyenkor google és megnézki ki Ő és miket csinált. Annyira sok info nem lesz róla.
Egy régebbi blogon amiben benne van az Ő neve látok maximum egy html-t ahol:

Persze ez most nem egy egyértelmű evedence vagy semmi hasonló, ez csak érdekesség hogy miért van pont egy olyan domainen pont egy ilyen file ami pont hacker csapatokra vonatkozik.
Innen ugye már van több infónk hisz van egy facebook+név, egy csapat név, és egy lokáció.
A Facebook már meg lett szüntetve szóval az felesleges de google-be bedobhatjuk hisz ha ennyire hírdette a facebookját akkor talán másol is meg lehet találni. És így is van, google azonnal feldobja pár oldalon.

Az egyik deface-nél a deface contentet mintha nem feltört oldalon tárólták volna:

Ehhez a whois alapján már van email cím meg teloszám persze lehet hogy teljesen fake. Az email alapján található is egy kamu facebook. Telefonszám alapján 15 domain van regisztrálva, email cím alaján viszont csak ez az egy.

A lényeg hogy a végére kiderült hogy az ég adta világon semmi köze kományzati sérülékenységhez mint ahogy a cikk írta. Ebben az esetben is mint sokszor volt egy oldal akik nem tudták mi az hogy security és hogy létezik egyáltalán. Illetve voltak akik ide regisztrálta a cégs email címmel ami megint fail.
És akkor az még csak rátesz hogy nincs password policy hogy legyen X hosszúság, legyen benne XY karakter. Miért van olyan jelszó benne hogy 'frakk'? Bár eleve a user is miért ilyet használ ugye.
Na és az oldal miért plain textben tárolja ezeket? Nem értem. miért nem jár ezért büntetés hogy nem felelnek meg semilyen security szabványnak?
Majd még lehet szórakozok vele hátha találok valami infot mert egyenlőre elég vékony jégen áll az eleje.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

“Nem linkelem be közvetlen mert aki akarja megkeresi, illetve ha linekelem tuti lesz olyan aki azt írja hogy ez full topsecret info és jajj.“

A hulyektol nem kell megijedni, meg kevesbe engedni nekik

+1, nyugodtan johet.

Egyebkent Indoneziaban 0 ellenorzessel kapsz elore aktivalt sim kartyat adatcsomaggal, mindennel. Szoval pont az a resze nem tul megbizhato. Ha en ott ketes ugyletekre keszulnek, biztos vennek egy par ilyen eldobhato simet. Meg akar az is megjatszhato, hogy megveszi/elkeri az amugy is elrepulo turistaktol (nekik mar nem kell), es igy az amugy is olcso dolog meg koltseghatekonyabba valik. (sokan vesznek helyi simet nyaralashoz, nekunk is volt)

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald

Én kiteszem, mert én is benne vagyok, egy már nem használt jelszóval, meg amúgy is, kaptam értesítést a Have I been pwned-tól: https://pastebin.com/GLQC3ZM8

szep, jopar usernel a jelszo 'jelszo', '123456', vagy a userneve :D

____________________
http://szoftvervasarlas.co.hu - szoftverek legjobb áron

Sziasztok, kicsit boncolgatva a listat (http://kiber.blog.hu/2018/01/15/feltortek_a_magyar_konyarmazati_rendszereket_nem_fogod_elhinni_hogy_mit_talaltak_benne - bocs a vicces cim miatt, szandekosan viccelodos) - szerintem nem lehet azt mondani, hogy csak egy rendszerbol szarmaqzik, szerintem tobb rendszerbol, illetve tobb korabban mar publikalodott breachbol szarmazo kombo listarol van szo. Az 1700 gmailes cimbol 519-et korabbi breachekben is megtalaltam, illetoleg a yahoo meg freemailes eseteben is igaz ez.

Egyenlore most mindenki nyomozgatja a forrasokat, nehany mar azonositasra is kerult, dehat kell ido amig pontosabbakat lehet tudni. Az biztos, hogy a beharangozott kormanyzati rendszerekbol szarmazo dolog egyaltalan nem igaz.

Én nem mondtam hogy egy forrásból van, de az tuti hogy elég sok van az adott oldalról. Ezt a HUN-CERT is megerősítette már felvették velük a kapcsolatot.

Az admin loginnál vajon mi generálja a 3 darab egyest a html kód elejére? :D (gondolom nem drupal default XD)

klasszikus: http://bash.hu/14617

---
A kürtőskalács egy nagy lyuk, tésztával faszán körbetekerve.

Nem tudom, hogy Brüsszelben hatályba lépett-e már a GDPR vagy megvárják a májust, ha már érvényes, akkor szénné perelhetik őket. Ez olyan BKK-s cleartext feeling.

Az egész EU-ban hatályba lépett a GDPR, csak itthon még nem ALKALMAZANDÓ a statusza, majd máj 28-tól lesz mindenhol kötelezően alkalmazandó. Hatályosnak hatályos, csak nem kell alkalmazni.

Még sehol sem kell alkalmazni az EU-ban. Egyébként május 25.