Az adatlopás sokkal nagyobb probléma, mint azt gondolnád
Lehet, hogy hallottál már arról az óriási adatszivárgásról, amely hárommilliárd embert érintett világszerte. De várj, ez még semmi, ahhoz képest, mi mindenhez jutottak hozzá a támadók világszerte.
Az adatszivárgás globális problémája
A társadalombiztosítási számok jellemzően amerikai adatpontok. Amint Troy Hunt rámutat, több dolog is van ebben a történetben, ami kissé furcsának tűnik.
Először is van az az állítás, hogy ezek az adatok National Public Data cégtől szivárogtak ki. Még a honlapjukon is van erről homályos közlemény. Az NPD törvényes vállalkozás, amely a lehető legtöbb ember adatait gyűjti világszerte. Olyan szolgáltatásokat nyújt, mint a háttérellenőrzés, ami munkába állás és a hitelfelvétel előtt végeznek el. Nem lehetetlen, hogy ez a cég gyakorlatilag minden egyesült államokbeli, egyesült királyságbeli és kanadai állampolgárról rendelkezik valamilyen adattal. És bár ez jóval kevesebb, mint 2,9 milliárd érintett személy, az eredeti állítás szerint ebből is adódhatott 2,9 milliárd adatrekord, ami napvilágot látott.
A történet ott kezd furcsává válni, ha figyelembe vesszük a nyilvánosan közzétett adatok részleteit. Például egy pár fájl, amelyet Troyal is megosztottak neveket, születésnapokat, címeket, telefonszámokat és társadalombiztosítási számokat is tartalmaz. Ezek a fájlok összesen 2,69 milliárd rekordot tartalmaztak – azonosítószámonként átlagosan 3 rekordot. Ez a matek így még mindig csak egy kicsit furcsa, mivel az Egyesült Államok eddig összesen 450 millió társadalombiztosítási számot (SSN-t) generált eddig.
Csak részleges adatkészletek és internetes információk állnak rendelkezésre. A sztori szerint a tömörítés után összesen 4 TB adat érhető el nyilvánosan. A többi részlet tisztázatlan, és valószínűleg még időbe telhet, amíg a történet többi része kiderülhet.
Az adatokat azonban mindig is megpróbálták ellopni. Erre igencsak kreatív megoldások léteznek ma már
Windows IPv6 RCE
A Microsoft javította a távoli kódvégrehajtást vezérlő kódot (RCE) a Windows 10, 11 rendszereken. Mindent összevetve csúnya hiba volt, de már érkezett is a következő probléma. Ez egy IPv6 sebezhetőség. A tényleges részletek egyelőre nyilvánvaló okokból még alig elérhetőek, jövő héten valaki majd biztos lesz elég okos, hogy visszafejtse a javítást ahhoz, hogy részletezze a hibát.
Amit tudunk, az az, hogy a Microsoft 10-ből 9,8-ra értékelte ezt a sebezhetőséget, és ráadásul alacsony összetettségű támadásnak tartja, amelyet valószínűleg ki is használhattak. A Trend Micro féregírtó hibaként jelzi. A beépített Windows tűzfal nem blokkolja, mert a sérülékenység már a tűzfal általi feldolgozás előtt aktiválódik. Ez ahhoz az elmélethez vezet, hogy van egy másik probléma a bejövő IPv6-csomagok töredezettségmentesítésével vagy hasonló folyamatával kapcsolatban.
A jó hír az, hogy a hiba kihasználása tényleges IPv6-kapcsolatot igényel, ami meglehetősen ritka dolog. További részletek nélkül nehéz pontosan tudni, de legalább valószínű, hogy egy megfelelő tűzfal blokkolná ezeket a kéretlen IPv6-csomagokat, amelyek a szélesebb internetről érkeznek. Még mindig sokszor probléma ez ugyanis a hálózaton még számos gép működő IPv6-kapcsolattal rendelkezik.
Ne próbáld meg újra kitalálni a kriptovaluták titkosítását
A “Ne futtasd a saját kriptovalutád!” kritikus emlékeztető mindenki számára, aki biztonságos rendszereket tervez. De miért olyan fontos ez? Azt gondolhatjuk, hogy egy titkos algoritmus létrehozása, amelyhez csak mi értünk, biztonságosabbá teheti az életünket, de ez nem így van. A valóságban az olyan eszközök, mint a Ghidra, lehetővé teszik a biztonsági kutatóknak a szoftverek, köztük a firmware egyszerű visszafejtését és elemzését.
Vegyük például a Vstarcam CB73 biztonsági kamerát. A Brown Fine Security kutatói akkor fedezték fel, hogy valami nincs rendben, amikor észrevették, hogy az elküldött adatcsomagok pontosan ismétlődnek. Ennek nem szabadna megtörténnie egy biztonságos rendszerben. Egy jól megtervezett kriptovaluta rendszer védelmet kellene nyújtani a visszajátszási támadások ellen, de ez itt nem történt meg.
Egy másik nagy hibája ennek a házi kriptografikus titkosításnak az volt, hogy csak 256 lehetséges belső állapota volt. Ha valaki megérti a trükköt, könnyen visszafejt mindent anélkül, hogy kulcsra lenne szüksége. Pontosan ezért tanácsolják a szakértők, hogy ne készíts senki magának saját titkosítást – mert hihetetlenül könnyű hibákat elkövetni, amelyek jelentős biztonsági résekhez vezethetnek.
Old School CSS-trükk
Az Adepts of 0xCC írása egy ugrás az időben egy olyan világba, ahol a böngészők lehetővé tették még a webhelyek számára, hogy sokkal többet megúszhassanak, mint ma. Például a böngésző által a megjelenítéshez használt stílus vizsgálatával észlelik, hogy felkeresték-e az adott linkeket. A böngészők végül lezárták a lehetőséget az ilyen trükkök előtt. De ami régi, az nem tűnik el – újra itt van, csak egy kis okossággal. Ebben az esetben létre lehet hozni egy captcha-t, és beállítani az oldal CSS-jét, hogy a meglátogatott hivatkozások beleolvadjanak a háttérbe. A felhasználó befejezi a captcha-t, és a beírt karakterek alapján rendelkezik az oldal üzemeltetője már néhány alapvető előzményinformációval. Okos!
Ring-2
A számítógépeknek különböző rétegei vannak, azért, hogy minden zökkenőmentesen és biztonságosan működjön. A legtöbb használt program, például a webböngésző vagy a játékok a harmadik rétegen (Ring 3). A számítógép fő egységei, ami a legfontosabbak a legbelső rétegben találhatók (Ring 1).
De van valami, amit a legtöbb ember nem tud: a fő vezérlőelemek (a számítógép processzora) valójában így vannak beállítva. A közöttük lévő rétegeket (Ring 1 és Ring 2), nem igazán használtak. De még a földszint alatt is van egy rejtett pince (Ring -3), ahol szupertitkos vezérlők vannak. Ha valami rossz történik odalent, az nagyon veszélyes lehet.
Ez pontosan az, amit egy [jjensn] nevű okos embernek sikerült megtennie. Megtalálták a módját, hogy besurranjanak erre a rejtett szintre, kihasználva a számítógép alaplapjának néhány gyenge pontját. A rendszer gondos átverésével sikerült átvenni a számítógép irányítását ebből a mély, rejtett rétegből, amely két szinttel lejjebb van, ahol általában a fő vezérlők (pl. az operációs rendszer) működnek.
Ez a fajta támadás ijesztő, mert azt jelenti, hogy valaki anélkül irányíthatja a számítógépünket, hogy egyáltalán tudnánk róla. Emiatt hihetetlenül nehéz is megállítani az ilyen támadásokat.
Bitek és bájtok
Amikor az emberek a GitHub segítségével dolgoznak projekteken, a munkájuk eredményét elmentő fájlcsomagokat hoznak létre (artifacts). De vannak, akik rövidebb utat választják, és mindent összegyűjtenek a projekt mappájukban. Ez azonban kockázatos lehet, mert ezekhez a csomagokhoz bárki hozzáférhet, aki rendelkezik GitHub-fiókkal. És, hogy mi a probléma ezzel? Kiderült, ezek a csomagok bizalmas információkat tartalmazhatnak, például egy rejtett mappában (.git) tárolt titkos kulcsot (a GitHub-tokent). Ha valaki megszerzi ezt a tokent, hozzáférhet GitHub-fiókjához, és mindenhez ami ahhoz hozzáfér.
Ha már a GitHubról beszélünk, egy másik Chrome sebezhetőséget ott írtak le részletesen. Új biztonsági problémát találtak a Chrome böngészőben, amely a webhelyeken használt programozási nyelv, a JavaScript kezelésével kapcsolatos. Amikor JavaScript objektumokkal dolgozik, a böngésző folyamatosan frissíti az adatokat a színfalak mögött. De ezeknek az objektumoknak a másolása azonban bonyolult lehet. Ha egy egyszerű másolás után megváltoznak egy objektum tulajdonságai, az megzavarhatja a számítógép memóriáját. Ez hamis adatok létrehozásához vezethet, és a legrosszabb esetben lehetővé teheti, hogy káros kódok futhassanak akár számítógépünkön is.