Mi a baj az IT security szakemberekkel?

Ugyanaz, mint a melegjogi aktivistakkal, nojogi aktivistakkal, stb.-vel:

Evtizedeken at igazuk volt, azt amikor mar nincs, ahhoz akarnak teged, mint vitapartnert hasonlitani, akiket 20-30-50-100 eve legyozott a nyilvanvalo igazsaguk:

Ahogy a melegjogi aktivistaknak is igazuk volt abban 100 eve, hogy csunya szokas a melegeket megkovezni. De ettol meg nem lesz igazuk abban, hogy 8 eves gyerekkel is beszelgetni kene errol. De kozben megmaradt egy embercsoport, akinek ez maradt a feladata, hogy "de meg ennel is jobban elfogadotta kell tenni".

Ahogy a feketeket se illett 100 eve kulon buszra tenni. De ettol meg nem kene minden fehert leterdeltetni. De kozben mar megmaradtak ezek az eselyegyenlosegert kuzdo poziciok, es be van csipodve, hogy nekik mindig igazuk volt, amikor meg tenyleg volt elnyomas. Ha ellenkezo velemenyen vagy, biztosan szeretned, ha megint kulon buszon utaznanak, vagy meg rosszabb velemenyed lehet.

Ahogy a nojogi aktivistaknak is igazuk volt 100 eve abban, hogy ne csak apjuk es altaluk valasztott ferjuk parancsai alapjan elhessenek, netan maguk valaszthassanak szelesebb valasztekbol oltozeket. De ettol meg nem lesz azoknak igaza, akik egy no es egy ferfi jogi vagy egyeb vitajaban automatikusan a not akarjak beallitani aldozatnak. Csak mar erre is leteznek poziciok, es be van csipodve nekik, hogy "mi a kovetkezo cel". Csak egyre inkabb masik iranyba tolodnak el az "igazsagos" felol.

Es pont igy mukodnek a biztonsagi szakemberek is: 20-30 eve teljesen igazuk volt, hogy mennyire tele van az osszes C kod lyukakkal es olyanok, mint az emmentali sajt. Ahogy abban is igazuk volt, hogy erosebb update policy-k kellenek, kulonben robothadsereget csinalhat maganak barmilyen "hacker" szabadon a frissitetlen remote 0day-es eszkozokbol. Es becsipodott, hogy nekik mindig igazuk volt. Mert tenyleg mindig igazuk volt, raadasul ez a kozelmult. De amikor mar ilyen orultsegek indulnak el, mint pl. "nem eleg jo az, hogy az emberek jelszavakat hasznalnak", es egyeb, egyre nehezebben hasznalhato okorsegek, akkor mar meg van benned az erzes. Mar szolnal, hogy ez mar sok. Azt a kurva szamitogepet/felhot/szolgaltatast hasznalni is szeretned, nem csak orakon at azonositgatni magadat, hogy tenyleg te vagy az - aztan elhagyod a repteren azt a telefont, amiben a SIM kartyad es a Google Authenticatorod van, es maris joval nehezebb lett az eleted, mintha csak siman feltortek volna a jelszavad.

De meg sem kerdojelezheted a prioritasokat. Mert ok azok, akiknek evtizedeken at igazuk volt. Es el kell fogadnod, hogy most is. Vagy legalabb ugy kell tenned, mintha elfogadnad. Kulonben hulyenek, bunkonak, sot, a security-s esetben szakmailag is alkalmatlannak tunsz.

Ironikus, ahogy eloitelettel gyozik le az eloiteletet.

Hozzászólások

Szerkesztve: 2021. 06. 14., h – 18:32

A parlament elől írod - gondolom.. :-D

Én is javasolni szoktam az MFA-t. Az MS arról számolt be, hogy több mint 1M MS365 fiókot törnek fel havonta. Ugyancsak megmérték, hogy ennek 99.9 százaléka nem használ MFA-t. Ez gyenge érvnek számít egy autentikátor használata mellett?

Nem. Ez nem gyenge, sot, kifejezetten jo erv. De kell hozza az az informacio, hogy az osszes MS365 userbol hanynak van MFA-ja. Statisztikailag az az ertekelheto informacio, ha ezt a kettot hasonlitjuk ossze.

Ceges, erzekeny es banki adatok vedelmere szerintem is egyertelmuen kell az MFA. A ceg millioival ne jatsszon az alkalmazott MFA nelkul. Ahogy a banknak se azert kelljen chargebackelnie, mert a user ... (ok ezt ennek megfeleloen kotelezove is tettek).

De szemelyes email, contactok, nyaralasfoglalasok, stb. - ott nekem mar ketszer is jol jott ki, hogy nem volt MFA. Es ilyenkor azert atgondoltam valamit, aminek azota az ellenkezojet probaljak rameroltetni.

Mennyi volt ebből 0123456? Vagy épp 00000? Vagy 99999? Mennyi volt újrahasznosított jelszó? Mennyi volt mesterjelszó? Mennyi volt post-it-re felírva? Mennyi szivárgott ki adathalászaton keresztül? Mennyi szivárgott ki feltört emailen keresztül?

Az authentikátor csak egy placebo, mondvacsinált dolog a biztonság illúziójával. Teremthetsz akárhány authentikációs réteget, ez megakadályozza ugyan, hogy a user ne legyen a hülyeségének és a programozók szar munkájának az áldozata, de újabb sebezhetőséget hoz be a rendszerbe. A rosszfiúknak nem kell többé egyenként levadászni a usereket, elég kilőni az authentikátort. És ne hidd, hogy nem ugyanaz a kóderpista írja az authentikátort aki plain textben tárolja a felhasználóneveket és a jelszavakat.
Pl. ott a két FA esete a SIM klónozással. Csak némi social engineering kell hozzá és milliók reppennek le az emberek számlájáról. Vagy miért imádják a mindenhova integrált Facebook és Gmail authentikációt? Elég egyet megtudni és kinullázható egy embere szociális hálózata.

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Naponta kérnek új MFA tokent az említett szolgáltatások? A banki rendszereken kívül általában szokott lenni lehetőség az adott környezet mentésére, hogy x napig ne kelljen ismét MFA-t használni.

A megfelelo eszkozon vagy GeoIP lokacion nem ker ujat.

Az en mikrotortenetem arrol szol, hogy mi van, ha elhagyod azt a telefont, amiben a SIM-ed es az egyetlen Google Authenticatorod van? Netan mas megjegyzett eszkoz/lokacio sem all rendelkezesre?

Edge case, de igencsak be lehet szopni.

Ha már elhagytad akkor azon már nem segít, de legközelebb érdemes elmenteni valami offline/biztonságos helyre a keyt. 32 karakter, annyit akár még meg is tud jegyezni az ember - nem fog, mert nem kell használni, de a lehetőség fennáll. A Google Authenticator egyáltalán nem kötődik eszközhöz, csak egy szimpla TOTP implementáció. Egy egy soros Python/Ruby script is tudja ugyanazt, azaz generálni a kódokat, de gondolom ezzel nem mondok újat.

És igen, azzal hogy elmented a keyt azzal - elméletileg - kevésbé biztonságos, de ahogy írod is, ha elveszted az eszközt - amit az ember folyamatosan valahol elől tart, mert általában használja, nem egy HW token a bőrönd legmélyén - az hatalmas szopás tud lenni. A keyt meg tárolhatod egy lezárt borítékban papíron, pendrive-on, bármin. Nem kell elérhetőnek lennie amíg megvan a telefon. Én is hagytam már külföldön egy Lyft autóban a telefonom, szerencsére nem egyedül voltam így a kollégám telefonján keresztül el tudtuk érni a sofőrt és visszakanyarodott a reptérre.

Ez nem tud PNG-ből dolgozni, azaz le kell menteni hozzá a kódot textben, de cserébe a forráskód elfér egy üzenetben. :-)

#!/usr/bin/env ruby
# encoding: UTF-8

require "rotp"

puts ROTP::TOTP.new( ARGV.first ).now

Kell hozzá egy gem install rotp, de tényleg ennyi. Pythonban sem sokkal több, csak azt én nem beszélni olyan jól mint rubint.

Ha egy szimpla QR kód olvasóval olvasod be akkor nincs benne a kulcs? Sosem néztem.

Edit: Most kipróbáltam. Egy otpauth://totp/<email>?secret=<secret>&issuer=<provider> link van benne, szóval ha megvan a screenshot/kinyomtatott QR kód, akkor egy Google Authenticator mentes telefonnal is be lehet olvasni és egy két soros kóddal kiíratni az aktuális választ.

Én egy olyan authenticator-t használok, aminek van cloud (titkosított) backupja. Szóval nálam úgy nézne ki a külföldön elhagyott mobil esete, hogy veszek egy olcsó androidos mobilt, letöltöm rá valahonnét az authenticator-t, ami visszaállítja mentésből az oldalakat, és máris be tudnék jelentkezni az összes 2FA fiókba. Tudom, ez kevésbé biztonságos, mint egy tisztán offline megoldás, de jelszók tárolására megint más megoldást használok, így egyszerre két random szolgáltatást kellene feltörnie egy támadónak, hogy be tudjon lépni a nevemben a fiókjaimba, illetve a kritikusabb fiókok nem is szerepelnek a jelszókezelőben.

Illetve sok helyen lehet előre generálni biztonsági 2FA kódokat, google-nél 10 db-ot. Ebből az egyiket kell megjegyezned (2x4 szám), hogy baj esetén be tudj lépni a fiókodba.

Aki dolgozott mar QA-sokkal, nem lepodik meg, hogy ha veletlenul egy ilyen sor, ami MFA nelkuli veggel tud mukodni, "megszunik".

Aztan ezek a nagy cegek nem arrol hiresek, hogy ilyenkor konnyen eljutsz egy olyan humaneroforrasig, akinel reklamalhatnal. Onkoltsegen (ido es penz) rengeteg eroforrasod ramegy, hogy bebizonyitsd, hogy jogosult vagy a sajat adataidra, ha egyszer bekerulsz egy "ritka kivetelosztalyba" es "edge case" leszel a rendszerben.

Technikailag igen, bár a sor végén a token-generátor általában az SMS-ben küldött TOTP, vagy az előre kinyomtatott egyszer használatos jelszó. Szigorúan véve azok is MFA védettek, mert a jelszó ismerete mellett fizikailag is rendelkezned kell valamivel (YMMV, lásd eltérített SMS-ek, stb.).

Vagy ha nagyon kemény vagy, lehet két appod, két különböző eszközön, MFA(1), MFA(2). Az MFA(1)-ben van minden tokened, illetve egy token a (2)-höz, a (2)-ben pedig csak egy token van, az (1)-hez. :)

Es el kell fogadnod, hogy most is. Vagy legalabb ugy kell tenned, mintha elfogadnad.

Nem igaz. Nem kell használni pl. Google szolgáltatást.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ez csak felfogás kérdése. Mindig kerestem az offline jól használható megoldásokat, a net-en pedig a fiók és regmentes igénybevételt. Eddig sikerült. (Ha nem is mindenkinek, de az emberek többségének némi kényelmetlenség és tanulással szerintem menne, megspórolva mindenféle egészségtelen netfüggőség kialakulását. Az sem lenne hátrány, ha az emberek efféle önkorlátozása némiképp lassítaná a globális elit totális kontrolljának kialakítását a világban a humánerőforrás felett...) 

Ez nem mindig opció. Az aktuális munkahelyemen az örömök egyike, hogy Google Authenticatort (is) kell használnom, és tényleg annyira, de annyira secure minden, hogy átlag kétnaponta jön rám a dühroham, amikor nekiáll kötözködni valamelyik biztonsági réteg a százmillióból -- és mit ad manitu, ezek mindegyike hamis riasztás, kivétel nélkül, pedig egyáltalán nem sufnicég a munkáltatóm, hanem az egyik divatos bárányfelhő-bodorítók egyike. Szóval tényleg nem stimmel ám minden az IT security világában.

Most te a goolge-re vagy mérges vagy a securitysekre? :)

Mit szolnal hozza, ha azt mondanam, hogy nem kell ahhoz valakinek bajanak lennie a melegekkel, hogy ne ertsen egyet a posztmodern melegjogi aktivistakkal? Sot, ettol meg az 50 evvel ezelotti melegjogi aktivistakkal melyen egyet is erthetett az illeto.

(Ez a ket mondat nojogi es faji aktivistakon is mukodik)

ezt hívják politikailag korrekt hozzászólásnak.
más esetben - 'hogyismondjamcsak' talán igy? - megsértődnél :))

pedig észben kellett volna tartanom, hogy a polkort eltörölte, és betiltotta orbán.
de hát én már csak ilyen idegenszívű, hazaáruló vagyok.
kértem is standot a lehelen a haza kiárusításához, és még a helypénz is megvó't kiszámolva fillérre, de lejárt a haza őstermelői és kiárulási igazolványom.

remélem válaszom kielégítő volt, minden további reklamációt kérem a tek-hez továbbítani :))

Éppen ilyesmin gondolkoztam tegnap. Most fogok másik országa költözni, akik már költöztettet teljes családot az tudja ez nem egy-két dolgot jelent még EU-n belül sem (új iskola, lakás, munkahely stb.). Persze új telefonszám is. Már előre várom mikor lesz az, hogy X szolgáltatónál elfelejtettem frissíteni a számom, de közben az már nem is aktív.

Jó lenne a felhasználókat felnőttként kezelni. Szvsz. magán használatra szánt szolgáltatások esetén lehetne hagyni, hogy mindenki lábon lőhesse magát. 1234 a jelszavad? Semmi gond, majd megtanulod, hogy ne legyen az miután feltörik.  Sokkal gyorsabban kialakulna egy helyes viselkedésminta.  A mostani bábáskodás már kezd a használhatóság rovására menni sokszor. 

Mar el is felejtettem, amikor azert kellett telefonszamot cserelnem, mert egy csaj nem szallt le rolam. Meg orszagon belul is stresszes volt minden kisebb-nagyobb szolgaltatasnal atirni, kulon volt egy note az icloud-omban, hogy hol felejthettem meg el.

Es zaklato ember se kell ehhez: eleg egy idegesito robocaller scammer banda ujabban. Es a mobilszolgaltatoknak nem lenne tul nagy munka blokkolni legalabb a call spoofing reszt toluk, ha mast nem is. De nem teszik.