Az “IR-Jumper” elnevezésű, rosszindulatú szoftver felhasználható a feltörhetetlennek tartott air-gapped https://en.wikipedia.org/wiki/Air_gap_(networking) (izolált) hálózati védelem leküzdésére, adatok kinyerésére és vezérlésére. A technika az éjjellátó biztonsági kamerákat és az infravörös LED-eket adó-vevő párosként működtetve, kódolt adat streameket továbbíthat és fogadhat a hálózaton kívülről. (tovább…)
A D-Link által gyártott vezeték nélküli routereknek közel egy tucat kritikus sebezhetősége van, állítja a koreai illetőségű független szakértő Pierre Kim jelentése. (tovább…)
Több európai országnak – így hazánknak is – javasolt újragondolni digitális biztonságukat, miután egy új felmérés rávilágított, a megnövekedett kockázatokra. (tovább…)
A közösségi médiákban megjelenő fotók jogosulatlan felhasználása frusztráló az amatőrök és gyakran költséges a szakemberek számára. Nemrégiben a Google kiadott egy tanulmányt, a legkedveltebb tartalomvédelmi eljárásokról. (tovább…)
Októbertől Kínában az online szolgáltatásokhoz csakis a valódi adatokkal lehet majd hozzáférni, vélhetően főleg nemzetbiztonsági okok folytán. (tovább…)
A Google minden Android felhasználó számára elérhetővé teszi Play Protect szolgáltatását, amivel a jelenleginél biztonságosabbá igyekszik tenni az operációs rendszerére épülő legkülönfélébb eszközöket. (tovább…)
Az elsősorban hitelkártyacsalásokra fókuszáló hathetes orosz nyelvű képzés meglehetősen komolynak tűnik. A hír persze nem örömteli, hiszen a „föld alatti” weboldal kínálata új dimenzióba helyezheti a hackerek felkészítését. (tovább…)
Konfliktus a terrorizmus elleni védekezés és az adatvédelmi szempontok között? Az Európai Parlament szabadságjogokkal foglalkozó bizottsága szigorítani tervezi az Unió adatvédelmi előírásait (tovább…)
Egy német felmérés vizsgálta a cégek felhőhasználatának az indítékait és mértékét. A cégek alig több mint harmada gondolkodik elsődlegesen nyilvános felhőszolgáltatásban, a közismert anyagi előnyei ellenére is. Az adatvédelmi aggályokkal közel egyenértékű az adatok fölötti kontroll iránti igény. (tovább…)
Mindenki számára ingyenesen elérhető, az IT biztonsági alapismereteket átfogóan ismertető könyvet tesz hozzáférhetővé elektronikus formában a Neumann János Számítógép-tudományi Társaság (NJSZT). (tovább…)
A Felhasználói Viselkedés Analízis (User Behavior Analytics (UBA) ) a jelen új fegyvere az IT biztonság arzenáljában. lehetőséget nyújt elkövetésében, módjában és irányulásában ismeretlen támadások megelőzésében is. (tovább…)
2022-re már 1,8 millió, informatikai biztonsági témákban jártas alkalmazott hiánya jelentkezik majd a piacon – ebből egyedül Európában 350 ezer. Nem csoda, hogy az IT-biztonsági szakemberek alig 1 százaléka van állás nélkül, és ők is nagyrészt önszántukból. (tovább…)
„Az EU országok nem szabad hogy túlságosan szigorúak legyenek az adatvédelmi törvény alkalmazásában, vagy veszélyeztessék a „big data” projektek fejlesztését” mondta Angela Merkel a Német Kancellár. (tovább…)
Új, továbbfejlesztett jelszókövetelmények várhatóak az USA-ban, megváltoztatva az eddigi szokásokat és a hozzájuk kapcsolódó, kellemetlenségeket. Bár az iránymutatások csak a szövetségi ügynökségekre nézve kötelezőek, világszerte érinteni fogja az internethasználókat. (tovább…)
A WannaCry nevű zsarolóvírus követte el vélhetően talán a legszélesebb körű kibertámadást az internet történetében. Több százezer számítógépet fertőzött meg döntően e-mailen keresztül világszerte a napokban. A kérdés az, ,hogy van e most sürgető teendőnk adataink, rendszereink védelme érdekében? (tovább…)
A legtöbb cég számára a nyomtató biztonsági vakfolt. Ha az illetéktelen felhasználó hozzáfér egy hálózatra kapcsolt nyomtatóhoz, eszközkonfigurációkra, hálózati információkra és felhasználói adatokra bukkanhat. (tovább…)
Az okostelefonok átlag használói nem is sejtik, hogy készülékük az alapszolgáltatásokhoz és az applikációkhoz mintegy 25-féle beépített szenzort (érzékelőt) tartalmaz. Ezek többsége a felhasználó tudta nélkül lekérdezhető…. (tovább…)
Ma már szinte közismert, hogy napjainkban gyakorta a humán tényező, azaz a felhasználók számítanak a leggyengébb láncszemnek a vállalati informatikában. A vállalatok közel fele ugyanakkor nem rendelkezik stratégiával a belső fenyegetések elhárítására. (tovább…)
Ma már nélkülözhetetlen intézkedéseket igényel a kritikus vállalati adatok védelme. A témához kapcsolódó teendőkről az amerikai CIO.com magazin szakértőket kérdezett meg. Vázlatos összeállítást olvashatnak. (tovább…)
A webes forgalmat monitorozó StatCounter számításai szerint az elmúlt hónap volt az első, amikor okostelefonokon és táblagépeken nagyobb adatforgalmat generáltak az emberek, mint asztali és hordozható számítógépeken. (tovább…)
A tervek szerint a Windows 10 saját webböngészője, a Microsoft Edge hamarosan kap egy új biztonságtechnikai szolgáltatást, amely a Barcelona kódnevet viseli.
(tovább…)
A beléptető és kamerarendszerek adatkezelési auditálása, regisztrálása a Nemzeti Adatvédelmi Információszabadság Hatóságánál (NAIH) egy olyan előírt kötelezettség a rendszerek üzemeltetőinek, adatkezelőinek, amelynek hiánya, rendkívül magas bírságot von maga után! (tovább…)
Az év első hat hónapjában összesen 79 új zsarolóprogram-családot azonosítottak, ami több, mint amennyit a 2015-ös évben együttesen találtak, a Trend Micro jelentése szerint.
(tovább…)
Az elektronikus vagyonvédelmi rendszerek vezérlése informatikai alapokon, számítógépes platformok alkalmazása mellett működik. A zökkenőmentes üzemeltetés okán, a mi szakmánkban is megkerülhetetlen az IT biztonsági szempontoknak való megfelelés. Megdöbbentően sok tényező múlik ebben a vonatkozásban is a felhasználói viselkedésen.
(tovább…)
Idén is sikeres volt az Ethical Hacking Konferencia tehetségkutató programja, melynek nyertese egy ifjú hekker, aki dróneltérítést hajt végre a hallgatóság előtt. A május 12-ei esemény további újdonságai közé sorolható a nagyvállalati nyomtató- és szkennerteszt, bizonyítva ezen eszközök támadhatóságát.
Az internetes bűnözés növekedésével és az egyre profibb módszerek megjelenésével mindenki el kell gondolkozzon vajon mindent megteszünk-e a minket érintő területek IT biztonságáért? Mérjük fel a helyzetet és tegyük meg a szükséges lépéseket mihamarabb. Ebben ad konkrét és hasznosítható tanácsokat Solymos Ákos a QUADRON tanácsadói üzletág vezetője.
Mi történik akkor, ha az „IoT” (internet of Things) elvet használó eszközök irányítják egy intelligens város víz, elektromos, hulladék elszállítási, közlekedési, közvilágítási, tömegközlekedési és a biztonsági rendszereinek hálózatát és akár ugyanannyira sebezhető, mint egy „Fitbit” a csuklónkon?
A világ egyik legnevesebb műszaki egyetemén, az MIT-n (Massachusetts Institute of Technology) végzett kutatást 15 kiváló biztonsági szakértő, kriptográfus és kutató a titkosított kommunikációhoz kapcsolódó komplex problémáról. Ezzel egyben az amerikai és brit kormányok bűnüldöző és hírszerző szervei titkosított adatokhoz való hozzáférési igényeire (is) reagáltak. Az elektronikus kommunikáció fejlődésével párhuzamosan ma már tapasztalható, hogy globális problémáról van szó, nem szűkíthető le kizárólag a fent említett két országra.
(tovább…)
Nemcsak otthonokban, de szállodákban, bankokban is megtalálhatók azok az internetre csatlakoztatható biztonsági kamerák, melyek fölött az irányítás – egy magyar etikus hacker felfedezésének köszönhetően – könnyedén átvehető. A biztonsági rés világszerte százezer helyszínt érinthet, kihasználásával pedig az a furcsa helyzet áll elő, hogy helyettünk a betörők figyelnek meg minket, sőt egy vírus telepítésével más okoseszközök is irányíthatók. (tovább…)
A Social Engineering egy, az emberi tényező kihasználható tulajdonságaira építő támadási forma, tulajdonképpen olyan technikák gyűjteménye, mely az emberek befolyásolására, manipulálására alapozva teszi lehetővé bizalmas információk megszerzését, vagy éppen egy kártékony program terjedését és működését. “A felhasználó a biztonság leggyengébb láncszeme!”
Legmegfelelőbb definíciója Kevin Mitnicktől származik: „A social engineering a befolyásolás és a rábeszélés eszközével megtéveszti az embereket, manipulálja, vagy meggyőzi őket, hogy a social engineer tényleg az, akinek mondja magát. Ennek eredményeként a social engineer – technológia használatával vagy anélkül – képes az embereket információszerzés érdekében kihasználni.” (Mitnick, 2003)
Az ilyen jellegű támadások veszélye tulajdonképpen abban rejlik, hogy ha belegondolunk, az emberi tényező az, ami bármihez hozzáfér, és valljuk be, amit a legkisebb erőfeszítésbe kerül átejteni – és ezzel a támadók is pontosan tisztában vannak. Ráadásul vannak olyan technikai támadások, melyek kivitelezése nem csak egyszerűbb a felhasználók gyanútlan bevonásával, hanem a megtévesztésükkel megszerzett információk nélkül az akció nem is lenne kivitelezhető.
S hogy miért is az emberi tényező a legkedvezőbb célpont egy támadó számára? Mert a munkavállaló a legtöbb védendő értékhez közvetlenül hozzáférhet. A munkatársak kezelik a hardver eszközöket, futtatják a szoftvereket és dolgoznak a szervezet által kezelt adatokkal, – és ami a legfontosabb: rendelkeznek kihasználható emberi tulajdonságokkal (mint például kíváncsiság, segítőkészség, hiszékenység). Ezáltal a felhasználó, mint a biztonság leggyengébb láncszeme, vonzó célponttá válhat egy támadó szemében, és a legegyszerűbb út, ha a támadó nem a biztonsági rendszereket, hanem magát a humán erőforrást próbálja meg kijátszani a bizalmas vagy belső információkhoz való hozzáférés, vagy károkozás érdekében.
A Social Engineering módszerek két nagy csoportba oszthatóak: egyik kategóriát képzi a humán alapú módszerek gyűjteménye, másikat pedig a számítógép alapú technikák csoportja. (Guenther, 2001)
A humán alapú Social Engineering technikák olyan módszereket foglalnak magukban, melyek során az áldozat megtévesztéséhez, a ráhatáshoz nincsen szükség számítógép használatára. Az ilyen jellegű trükkökkel szemben különösen nehéz védekezni, hiszen míg a számítógép alapú támadások esetén vannak olyan biztonsági megoldások (vírusirtó, spamszűrő, stb.), melyek megakadályozhatják, hogy a felhasználó megtévesztése sikeres legyen, és a támadási kísérlet el se jusson hozzá, addig ebben az esetben csak az áldozaton múlik, hogy bedől-e az átverésnek, vagy felismeri-e a social engineer által alkalmazott trükköt.
A célszemély megtévesztése többféle módon történhet, leggyakoribb a telefonon keresztüli felkeresés, nyilván azért, mert a támadó szempontjából ez jár a legkisebb kockázattal, a lelepleződés veszélye ezen a vonalon fenyeget legkevésbé – ugye, ahogyan Kevin Mitnick is írta, „egy hangot nem lehet letartóztatni”. Ugyan a szerző kifejtette könyvében, hogy social engineerként célszerű minél távolabb maradni az áldozattól, ennek ellenére nem zárható ki a személyes felkeresés, a szervezet telephelyére való – jogosulatlan – bejutás szükségessége sem. (Mitnick, 2003) A bejutás történhet piggybacking technikával, azaz magunkat munkatársnak kiadva, otthon hagyott belépőkártyára hivatkozva megkérni valakit, hogy engedjen be minket, vagy tailgating-elve, vagyis egy vendég csoporthoz csatlakozva, de akár előzetesen fel is kereshetünk egy munkatársat, akit sikeresen megtévesztve rávehetünk, hogy fogadjon miket az irodájában – tapasztalataink alapján a szakdolgozatot író egyetemisták interjú kérésére nem nagyon szoktak nemet mondani. A sikeres bejutást követően a támadó magát ügyfélnek, új alkalmazottnak, vagy bárki más, az épületben tartózkodásra jogosult személynek kiadva szabadon járkálhat az irodákban, ezáltal szert téve akár bizalmas információkra is.
A fent bemutatott támadási technikákat hallva sokaknak az jut az eszébe, hogy ilyen csak az akciófilmekben fordulhat elő – a valóságban azonban itthon is többször hallhattunk már besurranó tolvajokról, akik ugyanezen módszert alkalmazták, és gyűjtötték össze a látogatás során a munkavállalók értéktárgyait. Persze, ezt elmesélve legtöbbször az szokott lenni a reakció, hogy de ezek a támadók “csak” a pénztárcákra és telefonokra, esetleg laptopokra utaznak, vagy bármire, amit pénzzé lehet tenni. Pedig a laptopok esetében nem csak azzal kell számolni, hogy a géppel együtt az adatok is elvesztek, hanem hogy esetleg azok bizalmassága is sérül – amennyiben a támadó motivációja nem a gép eladása, hanem a rajta levő bizalmas adatok megszerzése volt.
Az előzőhöz hasonló szintén gyakori tévhit, hogy a Social Engineering jellegű támadásokkal nem lehet nagy kárt okozni, hiszen azokkal általában “jelentéktelen”, főleg belső információkat lehet megszerzeni, amiről sok áldozat úgy vélekedik, hogy külsős úgysem tudja azokat felhasználni – pedig de. „Az egyik komputeres biztonságtechnikai cég csokoládét ajánlott fel a banki negyed dolgozóinak a számítógépes jelszavukért cserébe – és a megkérdezettek 70%-a meg is adta a jelszavát cserébe a szelet csokiért.” (Peter Warren & Michael Streeter: Az Internet sötét oldala) – a teljesség kedvéért nem árt hozzátenni: vagy legalábbis egy jelszónak látszó szót. Sajnos azonban sokan tényleg úgy gondolják, azzal, hogy a valós jelszót mondják meg, nincsen semmi probléma, hiszen “a támadó úgysem tudja a nevem, a felhasználónevem, hogy milyen rendszereket használunk, tehát nem is tudja felhasználni azt”. Valójában, az már keveseknek jut eszébe, hogy lehet, a támadó már rég azonosított minket Facebook-on, egy Google kereséssel kiderítette, hogy hogyan képzik a munkahelyünkön az e-mail címünket, és már olvasgatja is OWA-n keresztül az e-mail-jeinket, mivel nem tartottuk be azt az előírást, hogy minden rendszerben más-más jelszót kellene alkalmazni. (És történetesen a szervezetnél nem is kell VPN vagy token az OWA eléréséhez.)
Abban többnyire igazuk van az így vélekedőknek, hogy igazi, látványos támadást – hacsak épp nem a laptopja kerül eltulajdonításra az áldozatnak – nem ilyen jellegű átverések keretein belül lehet megvalósítani, és nem lesz vezércikk az újságokban, ráadásul sok esetben nem is derül fény arra, hogy ilyen módszert (is) alkalmaztak a támadók. Nem elhanyagolandó azonban, hogy a Social Engineering trükkök eredménye általában valamilyen olyan információ, melyet más jellegű, technikai támadások kivitelezéséhez lehet felhasználni, amelyek már jelentős kárt is okozhatnak a szervezetnek.
