Security-all

Az <emailcimem>@gmail.com e-mail címemre nemrég kaptam egy "Valaki hozzáadta az Ön címét biztonsági e-mail-címként" tárgyú levelet.

A levél tartalma:

Valaki biztonsági e-mail-címként adta meg a következőt: <emailcimem>@gmail.com

---

A(z) <emailcimem>560@gmail.com biztonsági e-mail-címként szeretné használni az Ön e-mail-címét.

Ha nem ismeri fel ezt a fiókot, akkor e-mail-címét valószínűleg tévedésből adták hozzá. Lehetősége van arra, hogy e-mail-címét eltávolítsa a fiókból.

E-mail-cím leválasztása

Az email a no-reply@accounts.google.com címről érkezett; megnézve a forrását, szerintem tényleg erről a címről jött a levél.

(A levélben lévő linkre nem kattintottam rá.)

Elgondolkodtam: Tehát valaki hozzáadhatja az emailcímemet anélkül, hogy előtte a Google / Gmail küldene az emailcímemre valamilyen visszaigazoló kódot? Ezért teszteltem egy Gmail-es címmel a folyamatot.

1. Beléptem a valamilyencim@gmail.com Gmail fiókba.
2. Már volt biztonsági emailcím beállítva, ezért a https://support.google.com/accounts/answer/183723 oldalon lévő Biztonsági e-mail-cím módosítása leírást követve megadtam a <emailcimem>@gmail.com e-mail-címemet biztonsági e-mail-címnek.
3. Ezt követően a Gmail azonnal kérte, hogy adjam meg az <emailcimem>@gmail.com e-mail-címre küldött biztonsági kódot.

Szóval a Biztonsági e-mail-cím hozzáadásakor / módosításakor küld biztonsági kódot a Google / Gmail (a biztonsági kódot meg is kaptam az <emailcimem>@gmail.com e-mail-címere). A biztonsági kódot tartalmazó levél viszont eltért a fenti levéltől:

Igazolja biztonsági e-mail-címét
---
A Google kérelmet kapott arra, hogy a(z) <emailcimem>@gmail.com e-mail-címet használja biztonsági e-mail-címként a(z) valamilyencim@gmail.com Google-fiókhoz.

Ezzel a kóddal befejezheti a biztonsági e-mail-cím beállítását:
123456

A kód 24 óra múlva lejár.

Ha nem ismeri fel a(z) valamilyencim@gmail.com e-mail-címet, nyugodtan figyelmen kívül hagyhatja ezt az e-mailt.

De nemcsak a levél tartalma tér el a korábbi levéltől, hanem a küldője is, ugyanis ez a levél a noreply@google.com címről érkezett.

• Ha az első levél valid, akkor kérlek segítsetek megérteni, hogy miért tér el a tartalma attól, amit a saját teszt során kaptam.
• Meg tudom valahol nézni, hogy az emailcímem milyen Google / Gmail fiókokhoz van hozzárendelve biztonsági e-mail-címként?
• Egy fiktív E-mail-cím leválasztása linkre kattintva úgy tűnik, mintha az oldal tényleg hozzáadott biztonsági e-mail-címeket távolítana el.

Ma valami komolyabb botnetes okosítás történik, 6868-as portra annyi kérés jött hogy a firewall log méretére jött riasztás (digi).

https://telex.hu/techtud/2025/03/26/oracle-hekkertamadas-adat-szivargas…

https://www.cloudsek.com/blog/the-biggest-supply-chain-hack-of-2025-6m-…

Egy hekker azt állítja, hogy feltörte az Oracle belső rendszerét, és rengeteg adatot töltött le onnan – írja a CloudSEK.

https://seclists.org/oss-sec/2025/q1/144

kiemelnék egy replyt a topichoz, fellow HU colls

From: Buherátor
Date: Thu, 6 Mar 2025 22:15:08 +0100

Hi all,

I also gave this a shot and came up with this query that uses
data-flow tracking and also uses StackVariableReachability as
suggested by Jordy. The results match the original closely, and based
on my measurements it is more performant, esp. on larger codebases
(tested with OpenSSL):

```ql
import cpp
import semmle.code.cpp.controlflow.StackVariableReachability
import semmle.code.cpp.dataflow.new.DataFlow

// variable is not mentioned inside if
predicate notChildOfIf(Variable v, IfStmt i){
    not exists (VariableAccess a | a.getTarget()=v  and
i.getEnclosingStmt().getAChild*()=a.getEnclosingStmt())
}

// if leads to goto on its true path
predicate ifToGoto(IfStmt i, GotoStmt g){
    g.hasName() and
    i.getThen().getAChild*()=g
}

// Return statement accesses v
predicate isProperReturn(Variable v, ReturnStmt ret){
    exists(VariableAccess a | a.getTarget() = v and not a.isModified()
and a.getEnclosingStmt() = ret.getChildStmt*())
}

class InitToFaultyIfConfiguration extends StackVariableReachability {
    InitToFaultyIfConfiguration() { this = "InitToFaultyIfConfiguration" }

    override predicate isSource(ControlFlowNode node, StackVariable v) {
        // We are interested in all variable accesses
        // Note: Initializers are not VariableAccess!
        exists(VariableAccess ae | v = ae.getTarget() and
ae.isModified() and ae = node)

    }

    override predicate isSink(ControlFlowNode node, StackVariable v) {
        exists(ReturnStmt ret, GotoStmt goto, IfStmt i | node = i and
// Source is an IfStmt
               i.getEnclosingFunction() =
v.getAnAssignment().getEnclosingStmt().getEnclosingFunction() and //
IfStmt and StackVariable are in the same function
               isProperReturn(v,ret) and // Return statement accesses v
               notChildOfIf(v, i) and // return variable not part of
this if statement
               ifToGoto(i, goto) and // if leads to goto
               goto.getASuccessor+()=ret // goto leads to relevant return
        )
    }

    override predicate  isBarrier(ControlFlowNode node, StackVariable v) {
        exists(VariableAccess ae | v = ae.getTarget() and
ae.isModified() and ae = node)
    }
}

from ControlFlowNode sourceInit, ControlFlowNode sinkIf,
InitToFaultyIfConfiguration confInitIf, LocalVariable v, ReturnStmt
ret,
DataFlow::Node sinkRet, DataFlow::Node sourceDef
where confInitIf.reaches(sourceInit, v, sinkIf) and // A local
variable reaches a faulty if in the CFG
  isProperReturn(v, ret) and // the variable is used as part of the return
  sourceDef.asExpr() = v.getAnAssignment() and // we are looking for
data-flows from the return variable ...
  sinkRet.asExpr() = ret.getAChild() and // ... to the return statement
  DataFlow::localFlow(sourceDef, sinkRet) // we are only interested in
value-preserving, local data-flows
select sourceInit, sinkIf,
sinkIf.getLocation().getFile().getBaseName()+":"+sinkIf.getLocation().getStartLine()+":"+sinkIf.getLocation().getStartColumn()
```

I also wrote (much) about the development process to help tweaking the
query further:

  https://scrapco.de/blog/dreams-in-codeql-quest-for-the-perfect-goto.html

Code with additional data:

  https://github.com/v-p-b/codeql-verify-goto

I hope you'll find this useful. If you spot any errors or have other
questions/comments, please let me know!

Regards,

buherator

On Fri, 21 Feb 2025 at 18:57, Qualys Security Advisory <qsa () qualys com> wrote:


    Hi Jordy,

    On Fri, Feb 21, 2025 at 01:22:40PM +0100, Jordy Zomer wrote:

        Hope that's helpful, please reach out if you have any questions :)


    Woo-hoo, awesome work, thank you very much for sharing it! We are
    looking into it now (and learning from it).

    Thanks again! With best regards,

    --
    the Qualys Security Advisory team

Eredeti bejelentés:

https://www.tarlogic.com/news/backdoor-esp32-chip-infect-ot-devices/

CVE bejegzés:

https://nvd.nist.gov/vuln/detail/CVE-2025-27840

Kis iroda érdeklődött. Részleteket nem tudok. Thx: Dw.

Váratlanul bedőlt az izraeli Skybox cyber-biztonsági cég.

Skybox Security shuts down, lays off 300 employees as Tufin acquires assets

Skybox Security’s dramatic shutdown stuns employees and industry

Israeli cybersecurity firm Skybox Security shuts down, lays off all staff

Israeli cybersecurity firm Skybox shuts down, 300 laid off

Sziasztok,

Kérdésem a következő lenne illetve kíváncsi lennék, hogy máshol ezt hogyan oldják meg / mik a tapasztalatok:
- Központi log tárolás (Graylog)
- Azok üzemeltetnék a log szervert, akik a többi szervert is (nincs akkora létszám, hogy ez szeparálható lenne)
- On-prem környezet és Linux infrastruktúra

Hogyan oldható meg, hogy egy üzemeltető admin ne tudja manipulálja a logokat, úgy hogy közben a rendszert ő maga üzemelteti? Bizonyos WORM "Write once read many" fájlrendszerekről olvastam, de nincs velük tapasztalatom. Ha nem írható a fájlrendszer, akkor hogyan oldható meg a log rotation + retention?
Ha valaki nyomokat szeretne eltüntetni maga után akkor nyilván nem csak a manipulálás, hanem a teljes naplóállomány törlése is játszik.

Bármilyen jól bevált praktikát, fájlrendszert vagy "elvet" szívesen fogadok! HUP-on próbáltam hasonló témát keresni, de nem igazán találtam.

Köszönöm!

Ez mennyire lehet általános a modern autókban?
Szerintem ez alap lehet minden fedélzeti számítógépnél. Ugyan olyan gyenge lehet a védelme ezeknek az autóknak mit az IOT-s cuccoknak és egyes IP kameráknak?

https://www.youtube.com/watch?v=53tuaB2oN1s

Kérdésem, ha valaki találkozott ezzel.., kimentettem a csatolmányként érkező 1,5 MB-s .img állományt egy ZFS partíción lévő könyvtárba. nem futtattam, nem nyitottam meg de erős merevlemez hang jött egy percig a save után.  Csak utána töröltem. :(  - Most persze aggódok.

A Virus Total-on csak 2 cég jelzett a feltöltésre a Google és a Sophos adta az elnevezést. (Az ellenőrzés lett volna a kimentés célja!)

(Valakinek szakmai okokból kell .eml formátumban át tudom adni a "csatolmányost", persze a nagy rendszerek a vírus miatt kiszűrhetik. Azaz, kell a átküldés formája.)