Security-all

Sziasztok,

Érdekelne a véleményetek.

Háttér:

Én alapvetően nagyvállatoknak és 50-100 fő feletti KKV-knak szoktam dolgozni hálózatbiztonsági témákban. Legfőképp Palo Alto-val, Fortinet-tel, F5-ttel, Imperva-val és más enterprise megoldásokkal foglalkozom.

Egy ismerősömön keresztül megkerestek, hogy ajánljak tűzfalat egy 10 fő körüli cégnek 500k-ig, mert volt egy ransomware-ük, és letitkosult a NAS, ami egy Asus router mögött volt (persze kiforgatva publikba). Most venni szeretnének végpontvédelmet, NGFW-t és valami mentési megoldásra is szükség lenne, de nagyon árérzékenyek.

Nekem (lehet, hogy szerencsére) nincs tapasztalatom ilyen low budget megoldásokkal, szinte bármilyen munkát nézek az elmúlt időszakból, az 10 millió fölött beszerzéssel járt.

Ha egy két évvel ezzelőtt kérdeznek meg, akkor azt mondtam volna, hogy vegyenek egy kis Forti-t. A Palo Alto-t sokkal jobbnak tartottam akkor is, de a kis PA-440 is 2 millió körül van 3 év licensszel.

A Fortinet viszont nagyon elk***vult mostanában. Nagyon gyenge minőségű a kód. Firmware frissítés után pl leállhat a radius, másik firmware-rel nem logol, a harmadikkal szakadoznak az IPSEC tunnelek, stb. Ha nem frissítem, akkor meg durva sérülékenységek vannak benne, amivel több céget is bucira vágtak magyarországon is. Szóval jó szívvel nem tudom ajánlani.

Milyen NGFW-t tudnátok ajánlani ebben a kategóriában?

Esetleg milyen más megoldást?

A backup-ot megoldom opensource, de szükség lenne normális VPN-re, URL filtering-re, ssl inspection-re, stb.

Van egy kb. 10 éves Gemalto USB smart card olvasóm, benne egy smart card. Repi ajándék volt egy training végén, sosem használtam, a polcon csücsült azóta. Most leszedtem a polcról, h. lehet-e ezzel még bármit kezdeni 2025-ben?

Emlékeim szerint valami .NET nevezetű volt a benne levő kártya típusa. Magán az USB reader-en semmi azonosításra alkalmas felírat nincs. Felnyitva ennyit találtam rajta: "1248" meg hogy "D31522". A smart card-on semmilyen jelölés nincs.

Gépbe dugva generic Microsoft USB ccid smart card driver-el felismeri, az esközön meg villog 1 zöld led periodikusan. Device manager-ben USB\VID_08E6&PID_3438&REV_0200-ként látszik.

Ilyesmi szoftvereket adtak még hozzá anno:

6556_MiniDriver_Manager_v2.2.0

6726_IDGo800_v1_2_1_minidriver

6728_IDGo800_v1_2_1_CredentialProvider

Ahogy nézem a Gemalto-t pár éve felzabálta a Thales nevű cég. Annyit találtam  róla, h. w10-re talán már nem adtak ki se driver-t se utility-t ehhez a típushoz. Ér ez még bármit is?

Sziasztok,

Olyan szolgáltatás(oka)t keresek, amik felhasználók számára nyújtanak előfizetéses IT biztonság tudatossági képzéseket.

- Online oktató anyagok, tesztek.

- Felhasználók mérése szimulált pishing tesztekkel, riportolás.

Preferált lenne a magyar nyelv, illetve a német és az angol. (ebben a sorrendben.)

Főleg a tapasztalatok érdekelnének.

Érdeklődnék, hogy van-e köztünk olyan, akinek az MBH banknál vezetett számlájáról pénzt loptak el az utóbbi időben?

Ha igen, beszéljünk, hogy mik a tapasztalatok. Sajnos nálunk valaki így járt a családban, egy használt autó ára tűnt el.

Ha lezárul az eljárás, akkor megosztom a technikai részleteket.

Addig is mindenkit figyelmeztetek, hogy az MBH bank rendszere nem biztonságos, viszonylag egyszerűen kijátszható. 

Ha Te, vagy valamely családtagod ennél az intézménynél vezet számlát, akkor állíts be autentikáló sms-t mind a webes, mind az applikációs átutalásokhoz, illetve ellenőrizd, hogy be van-e ilyen állítva.

Érdemes a feleség, anyuka, nagymama, nagypapa beállításait átnézni,és felvilágosítani őket arról, hogyan működik az autentikáció.

UPDATE (1): NEM ÍRHATOM LE a pontos menetét a csalásnak, de elég jól ki lehet találni a fórumhozzászólások alapján.

UPDATE (2): A kiskapu már ismert volt a bank számára, amikor a családtagomtól elemelték a pénzt.

UPDATE(3): Ha károsult vagy, a következő a menet: 

 * reklamálni a banknál

 * kivárni a válaszukat (ez 15 munkanap, amit 35 munkanapra módosíthatnak)

 * negatív válasz esetén a MNB Pénzügyi Békéltető Testületéhez kell fordulni (90 nap + 30 nappal meghosszabbítható, plusz hiánypótlások)

 * negatív kimenetel esetén pereskedés, közösen vagy egyéniben.

Egy beszélgetésből kimaradok(TM) , ha nem telepítek Vibert. A telefonommal továbbra se akarok Google szolgáltatásba belépni, ezért nem tudom a Google Playt használni. A viber saját oldaláról is le lehet tölteni az apk-t, de ha arra az oldalra megyek, akkor egy nagy piros figyelmeztetést kapok, hogy az oldal "szerintük" harmful.

Firefox és Chromium is ezt mondja: "Dangerous site

Attackers on the site you tried visiting might trick you into installing harmful software that affects the way you browse"

Még ezt is mondja, ha a bővebb magyarázatra kattintok:

"These sites may be:

Phishing
Social engineering
Trying to install malware or unwanted software on your computer"

A kérdéseim:

 * Honnan derül ki, hogy ezt mi alapján mondja az adott oldalra a "böngésző"? Van egy rossz érzésem, hogy valaki olyan játszik autoritást, aki nem feltétlenül az.

 * A Viber fenn van Google Play-en is. Ott már biztonságos? Oda egy másik bináris kerül fel, mint ami a saját oldalukról letölthető?

 * Általánosságban a Viberrel kapcsolatban volt már hogy valami etikátlan dolgot tettek, vagy ennek a gyanúja felmerült?

 * Ti telepítenétek Vibert, ha valami kommunikációhoz szükségetek volna rá, de persze nem életbevágó?

Köszi az infókat!

Idéntől elindult a Digitális Állampolgárság Program, amit eddigi tapasztalatok alapján sajnos sikerült a leginkább magyar módra, átgondolatlanul, kapkodó és nemtörődöm kivitelezéssel bevezetni, amellett, hogy a törvényi hátterét is sikerült nem kicsit invazívra megalkotni (pl. állampolgárok teljes lemondatása a hagyományos ügyintézésről). Emiatt sokan jogosan kritizálták és a mai napig kritizálják a rendszert.

Ami most minket igazán érdekel ebből, az az AVDH tollvonással történt vadkivezetésével bejövő okostelefonkényszer, ugyanis megvalósítással megbízott IdomSoft Zrt. úgy gondolja, hogy kizáróalag iOS és Android operációs rendszerek használatára és az őket futtató okostelefonokra korlátozza a digitális állampolgárok mozgásterét a PDF dokumentumhitelesítéssel kapcsolatban. Ami rendkívül igazságtalan azon Ügyfélkapuval már rendelkező, digitális ügyintézést preferálókkal szemben, akik szándékosan nem használnak okostelefont, de személyi számítógépet annál inkább. Őket (minket) a digitális™ átállás™ szellemében (ja, nem) az IdomSoft Zrt. gyakorlatilag visszalöki a papíralapú ügyintézésbe, mit sem törődve azzal, hogy hogyan fognak dokumentumokat hitelesíteni az AVDH utáni időkben.

Így állunk uraim, legalább is 2025 áprilisában. A topik célja minél több, bármiféle okostelefonos app vagy saját fejlesztésű, más egyéb bloatware nélkül, eIDAS rendeletnek megfelelő, magánszemély által használható alternatíva megtalálása, melyek szolgáltatói nem túlárazott, üzleti árazású csomagokat akarnak lenyomni az egyszerű állampolgár torkán. Előny, ha nem csak a tanúsítványt adják (vagy akár azt nem is adják), hanem webes felületen (is) lehet dokumentumot aláírni. Tapasztalatokat is szívesen fogadok, ha valaki már használ ilyeneket.

A topiknak NEM célja

• az okostelefon szükségességének vagy az én preferenciáimnak a vitatása
  goto site:hup.hu "hajbazer" "okostelefon"
• a DÁP, a DÁP erőltetésének és a körülötte kialakult médiavisszhang kitárgyalása
  goto Digitális Állampolgárság és utódtopikjai
• az e-Papíros és más átmenetileg működő hackek megvitatása
  goto AVDH megszűnik
• azon hitelesítő szolgáltatók megemlítése, listázása, akiknél alapkövetelmény az okostelefon

Hasznos linkek a témával kapcsolatban

• https://csabamolnar.hu/2025/03/01/elektronikus-alairas-es-hitelesites-a…
• https://www.microsec.hu/hu/pki-blog/minositett-tarolt-kulcsu-e-alairas-…

A lista

Frissítve: 2025. 04. 04.

Az <emailcimem>@gmail.com e-mail címemre nemrég kaptam egy "Valaki hozzáadta az Ön címét biztonsági e-mail-címként" tárgyú levelet.

A levél tartalma:

Valaki biztonsági e-mail-címként adta meg a következőt: <emailcimem>@gmail.com

---

A(z) <emailcimem>560@gmail.com biztonsági e-mail-címként szeretné használni az Ön e-mail-címét.

Ha nem ismeri fel ezt a fiókot, akkor e-mail-címét valószínűleg tévedésből adták hozzá. Lehetősége van arra, hogy e-mail-címét eltávolítsa a fiókból.

E-mail-cím leválasztása

Az email a no-reply@accounts.google.com címről érkezett; megnézve a forrását, szerintem tényleg erről a címről jött a levél.

(A levélben lévő linkre nem kattintottam rá.)

Elgondolkodtam: Tehát valaki hozzáadhatja az emailcímemet anélkül, hogy előtte a Google / Gmail küldene az emailcímemre valamilyen visszaigazoló kódot? Ezért teszteltem egy Gmail-es címmel a folyamatot.

1. Beléptem a valamilyencim@gmail.com Gmail fiókba.
2. Már volt biztonsági emailcím beállítva, ezért a https://support.google.com/accounts/answer/183723 oldalon lévő Biztonsági e-mail-cím módosítása leírást követve megadtam a <emailcimem>@gmail.com e-mail-címemet biztonsági e-mail-címnek.
3. Ezt követően a Gmail azonnal kérte, hogy adjam meg az <emailcimem>@gmail.com e-mail-címre küldött biztonsági kódot.

Szóval a Biztonsági e-mail-cím hozzáadásakor / módosításakor küld biztonsági kódot a Google / Gmail (a biztonsági kódot meg is kaptam az <emailcimem>@gmail.com e-mail-címere). A biztonsági kódot tartalmazó levél viszont eltért a fenti levéltől:

Igazolja biztonsági e-mail-címét
---
A Google kérelmet kapott arra, hogy a(z) <emailcimem>@gmail.com e-mail-címet használja biztonsági e-mail-címként a(z) valamilyencim@gmail.com Google-fiókhoz.

Ezzel a kóddal befejezheti a biztonsági e-mail-cím beállítását:
123456

A kód 24 óra múlva lejár.

Ha nem ismeri fel a(z) valamilyencim@gmail.com e-mail-címet, nyugodtan figyelmen kívül hagyhatja ezt az e-mailt.

De nemcsak a levél tartalma tér el a korábbi levéltől, hanem a küldője is, ugyanis ez a levél a noreply@google.com címről érkezett.

• Ha az első levél valid, akkor kérlek segítsetek megérteni, hogy miért tér el a tartalma attól, amit a saját teszt során kaptam.
• Meg tudom valahol nézni, hogy az emailcímem milyen Google / Gmail fiókokhoz van hozzárendelve biztonsági e-mail-címként?
• Egy fiktív E-mail-cím leválasztása linkre kattintva úgy tűnik, mintha az oldal tényleg hozzáadott biztonsági e-mail-címeket távolítana el.

Ma valami komolyabb botnetes okosítás történik, 6868-as portra annyi kérés jött hogy a firewall log méretére jött riasztás (digi).

https://telex.hu/techtud/2025/03/26/oracle-hekkertamadas-adat-szivargas…

https://www.cloudsek.com/blog/the-biggest-supply-chain-hack-of-2025-6m-…

Egy hekker azt állítja, hogy feltörte az Oracle belső rendszerét, és rengeteg adatot töltött le onnan – írja a CloudSEK.

https://seclists.org/oss-sec/2025/q1/144

kiemelnék egy replyt a topichoz, fellow HU colls

From: Buherátor
Date: Thu, 6 Mar 2025 22:15:08 +0100

Hi all,

I also gave this a shot and came up with this query that uses
data-flow tracking and also uses StackVariableReachability as
suggested by Jordy. The results match the original closely, and based
on my measurements it is more performant, esp. on larger codebases
(tested with OpenSSL):

```ql
import cpp
import semmle.code.cpp.controlflow.StackVariableReachability
import semmle.code.cpp.dataflow.new.DataFlow

// variable is not mentioned inside if
predicate notChildOfIf(Variable v, IfStmt i){
    not exists (VariableAccess a | a.getTarget()=v  and
i.getEnclosingStmt().getAChild*()=a.getEnclosingStmt())
}

// if leads to goto on its true path
predicate ifToGoto(IfStmt i, GotoStmt g){
    g.hasName() and
    i.getThen().getAChild*()=g
}

// Return statement accesses v
predicate isProperReturn(Variable v, ReturnStmt ret){
    exists(VariableAccess a | a.getTarget() = v and not a.isModified()
and a.getEnclosingStmt() = ret.getChildStmt*())
}

class InitToFaultyIfConfiguration extends StackVariableReachability {
    InitToFaultyIfConfiguration() { this = "InitToFaultyIfConfiguration" }

    override predicate isSource(ControlFlowNode node, StackVariable v) {
        // We are interested in all variable accesses
        // Note: Initializers are not VariableAccess!
        exists(VariableAccess ae | v = ae.getTarget() and
ae.isModified() and ae = node)

    }

    override predicate isSink(ControlFlowNode node, StackVariable v) {
        exists(ReturnStmt ret, GotoStmt goto, IfStmt i | node = i and
// Source is an IfStmt
               i.getEnclosingFunction() =
v.getAnAssignment().getEnclosingStmt().getEnclosingFunction() and //
IfStmt and StackVariable are in the same function
               isProperReturn(v,ret) and // Return statement accesses v
               notChildOfIf(v, i) and // return variable not part of
this if statement
               ifToGoto(i, goto) and // if leads to goto
               goto.getASuccessor+()=ret // goto leads to relevant return
        )
    }

    override predicate  isBarrier(ControlFlowNode node, StackVariable v) {
        exists(VariableAccess ae | v = ae.getTarget() and
ae.isModified() and ae = node)
    }
}

from ControlFlowNode sourceInit, ControlFlowNode sinkIf,
InitToFaultyIfConfiguration confInitIf, LocalVariable v, ReturnStmt
ret,
DataFlow::Node sinkRet, DataFlow::Node sourceDef
where confInitIf.reaches(sourceInit, v, sinkIf) and // A local
variable reaches a faulty if in the CFG
  isProperReturn(v, ret) and // the variable is used as part of the return
  sourceDef.asExpr() = v.getAnAssignment() and // we are looking for
data-flows from the return variable ...
  sinkRet.asExpr() = ret.getAChild() and // ... to the return statement
  DataFlow::localFlow(sourceDef, sinkRet) // we are only interested in
value-preserving, local data-flows
select sourceInit, sinkIf,
sinkIf.getLocation().getFile().getBaseName()+":"+sinkIf.getLocation().getStartLine()+":"+sinkIf.getLocation().getStartColumn()
```

I also wrote (much) about the development process to help tweaking the
query further:

  https://scrapco.de/blog/dreams-in-codeql-quest-for-the-perfect-goto.html

Code with additional data:

  https://github.com/v-p-b/codeql-verify-goto

I hope you'll find this useful. If you spot any errors or have other
questions/comments, please let me know!

Regards,

buherator

On Fri, 21 Feb 2025 at 18:57, Qualys Security Advisory <qsa () qualys com> wrote:


    Hi Jordy,

    On Fri, Feb 21, 2025 at 01:22:40PM +0100, Jordy Zomer wrote:

        Hope that's helpful, please reach out if you have any questions :)


    Woo-hoo, awesome work, thank you very much for sharing it! We are
    looking into it now (and learning from it).

    Thanks again! With best regards,

    --
    the Qualys Security Advisory team