Jelenlegi hely

ISACA

Feliratkozás ISACA hírcsatorna csatornájára
Az ISACA Magyarországi Egyesület a nemzetközi ISACA magyarországi szakmai szervezete.
Frissítve: 34 perc

Így könnyítheti meg a támadó dolgát a többlépcsős hitelesítés

2017, november 2 - 15:04

Az olyan, tömegigényt kiszolgáló szolgáltatók, mint a Google vagy a Facebook valamivel több, mint 5 évvel ezelőtt vezették be azt, ami az ebanking környezetekben már gyakorlatilag standard volt: az azonosítón és a jelszón kívül a szolgáltatás a beléptetésnél a felhasználó azonosítása érdekében még valamilyen információt kérnek, aminek a leggyakoribb megvalósítási módja volt a múltban az egyszer használatos SMS-ben érkező token illetve persze a tokengenerátor. Ma persze már sokkal gyakoribb megoldás, hogy egy mobilapp generálja a tokeneket, aminek két-három különböző megvalósítása uralta le a piacot.

A Google Authenticator a TOTP-ra és a HOTP-ra alapuló kódgenerálást egyaránt támogatja. Aki esetleg allergiás lenne mindenre, ami Google, az használhat Duo Mobile-t ami ugyanez a kettő, legjobban elterjedt idő-alapú tokengeneráló algoritmust használja. Ami jelentősen eltérő, de szintén elterjedt app, az Authy, ezen kívül az olcsósága miatt érdemes lehet Yubikey-t használni az azonosítás második lépésében, amit egyre több és több rendszer támogat, emellett lehetőség van arra is, hogy valaki egyszerűen beszerezze a Yubikey API-ját és beépítse a saját rendszerébe. Továbbra is gyakori megoldás a második lépést telefonhívással vagy SMS-sel megoldani.

Főleg ott, ahol tömegigényt kell kielégíteni, nyilván a fejlesztőknek úgy kellett implementálniuk a kétlépcsős hitelesítést, hogy a fiók tulajdonosa számára az se jelentsen fennakadást, ha a tokenek generálásához használt mobil elveszik vagy éppen a mobil nem hívható, esetleg nem tud SMS-t fogadni bármilyen okból. Éppen ezért a 2FA beállításakor a minden ilyen rendszer felhívja a felhasználó figyelmét, hogy mentse le valahova azt a 10 kódot, ami abban az esetben is alkalmas az azonosítás második lépésekor, ha a mobil sehogy sem érhető el, amiben már önmagában van fantázia támadói oldalról.

Mielőtt úgy gondolnánk, hogy legalább a web legnagyobbjai komolyan is veszik a 2FA-t, érdemes tudni, hogy a Facebook esetén a support egyszerűen kikapcsolja a kétlépcsős hitelesítést pusztán azzal, hogy a támadó a fiókhelyreállításnál behazudja, hogy nem tud hozzáférni az áldozat fiókjához, mi több, ezt követően hitelesebben tudja kiadni magát, mint a fiók valódi tulajdonosa. A Google és persze a G Suite esetében azért sokkal jobb a helyzet, mivel egy algoritmus ellenőrzi a fiókhelyreállítási kísérletkor, hogy a felhasználó valóban nem tud-e belépni és persze, ha azt látja, hogy rendszeresen problémamentesen bejelentkezik, mint korábban bármikor, a támadó el sem jut a supportig. Viszont sem a Facebooknak, sem pedig a Googlenek nincs sem kapacitása, sem pedig lehetősége egy-egy bejelentés jogosságát kivizsgálni, ezért nem csoda, hogy inkább lazábbra fogják a figurát a biztonság terén, minthogy felhasználót veszítsenek. Céges környezetben a G Suite adminja lehet rázós célpont, ne felejtsük el, hogy a Facebook is elkezdett nyomulni a Workplace by Facebook-kal, ami később szintén okozhat izgalmas pillanatokat céges környezetben.

Több multifaktoros megoldás összehasonlítását a Wikipedián erre találjuk.

Van viszont egy sokkal, de sokkal húzósabb kockázat az egész kétlépcsős hitelesítéssel kapcsolatban, ami hát persze, hogy az emberi természetet, mint a permanens módon leggyengébb láncszemet célozza.

Azt szoktam mondani, hogy a totális tudatlanságtól már csak a hamis biztonságérzet a veszélyesebb, és tényleg. Amint az egyszeri felhasználó vagy akár egy privilegizált felhasználó beállította a kétlépcsős hitelesítést, onnantól kezdve nyugodtan alhat, hiszen még egy jelszólopás esetén is a támadó nem tud majd továbblépni a 2FA miatt, nemde? Elvben igen. Viszont nem eléggé tudatos felhasználónál éppen ez a hatás tovább feszíti a hamis biztonságérzet és az effektív biztonság közti szakadékot!

Aki használ 2FA-t gyakrabban vagy kevésbé gyakran találkozik olyan, mobiljára érkező SMS-sel, amiben egy-egy szolgáltatás küldi az SMS-t, csak annyit jelez, hogy a belépés sikeres, sikertelen, de ideális esetben be vannak állítva olyan triggerek, amik szokatlan tevékenységkor is SMS-ben figyelmeztetik a felhasználót abban az esetben is, ha egyébként a 2FA-t általában nem SMS-en keresztül használja, hanem valamelyik okosmobil-appal.

Na most képzeljük el, hogy biztonságtudatos, azaz még csak nem is totálisan paranoid felhasználónk kap egy SMS-t az alábbi sablon szövegek valamelyikével:

  • "Your account was logged into from a new browser or device. Review the login: https://oldal.tld/token_helye"
  • "Your account was recently logged into from Safari on Windows."
  • "Password reset code: [öt-hat számjegyű szám] Or reset your password here: http://oldal.tld/token_helye"
  • "Access data for your account has been ordered by you personally or by someone else. Your temporary password: [jelszó helye]"

Az első scenario: szóval landolt egy SMS, amiben kedvesen tudatja velünk a szolgáltatás, hogy mi a belépési tokenünk, amiről tudjuk, hogy csak a helyes felhasználói név és jelszó megadása után szokta kérni a rendszer, aztán esetleg ott egy adathalász oldalra mutató link, az SMS-t pedig egy az egyben a támadó küldte. Az adathalász oldalon már kedvesen elkérhető az áldozat felhasználói neve, jelszava, amit ugye lehet, hogy még kismillió helyen használ.. Mire pedig rájön, hogy adathalász támadás áldozata lett, már lehet, hogy késő. A támadás megspékelhető a második scenarioval kombinálva. 

A második forgatókönyv, alighanem sokkal régebben ismert volt, minthogy figyelmeztetést adott volna ki ezzel kapcsolatban több IT biztonsági cég is, a Symantec a Gmail példáján keresztül mutatja be a támadást az alábbi videóban: https://www.youtube.com/watch?v=_dj_90TnVbo

Tehát a támadó indít egy jelszóhelyreállítást, tokent kér az áldozat mobiljára, majd küld a mobilra egy SMS-t azzal a szöveggel, hogy valaki illetéktelenül belépett a fiójába, a kapott tokent küldje vissza SMS-ben válaszként, ha nem ő volt, a felhasználóban pedig megáll az ütő, nem gondolkozik, nem nézi a mobilszámot, küldi is vissza a támadónak a jelszóhelyreállító tokent, amivel a támadó új jelszót állít be.

Megjegyzem, éppen ez a támadás ma már a Google és G Suite accountoknál nem használható ebben a formában, mivel a fiókhelyreállítás megkezdése előtt a Google korábbi viselkedési adatokat elemez,  további adatokat kér, mint például azt, hogy mikor jelentkeztünk be sikeresen utoljára, honnan, milyen platformról, melyik szolgáltatásba, és így tovább, viszont a Facebook továbbra is sérülékeny! És persze ki tudja, hogy hány és hány vállalati rendszer úgyszintén.

Lehetne elemezni a támadást step-by-step bőven, ami itt a kulcselem, az ijedtség és az azonnaliság kényszere, amik persze hasonlóan kiirthatatlan sajátosságok, mint a tudatlanság. A módszer alighanem annyira hatékony, hogy alighanem még akkor is működik, ha a felhasználó arra a mobiljára kapja ezt a riasztást, amelyiken ilyet fogadni sosem szokott.

Korábban egy ISACA Második Szerdai előadáson volt róla szó, hogy a breachek több, mint fele azonosítók ellopásával van összefüggésben, aminek sejthetően a legnagyobb része nettó jelszólopások. Mint látható, a többlépcsős hitelesítés sem silver bullet, bájos, hogy az illetéktelen hozzáférést látszólag nagyon komolyan megnehezítő megoldás újabb lehetséges, hatékony támadási formák lehetőségét teremtették meg.

Az viszonylag világosan látható, hogy mi nem jelent megoldást. Például a fiókhoz tartozó mobilszám titokban tartása, hiszen a mai világban egész egyszerűen nem lehet mobilszámot titokban tartani, de még ha lehetne, akkor sem lenne túl életszerű, hogy a felhasználó arra rendszeresítsen egy mobilt, aminek a számát titokban tartja, hogy azt csak belépésekhez használja.

Ha többlépcsős azonosításról van szó, eljátszhatunk azzal a gondolattal, hogy egy nagyobb szervezetnél a főadmin gondol egyet, aztán teljesen saját tokengeneráló alkalmazást fejleszt, majd vezet be. Ott meg aztán nagyon-nagyon sok ponton homokszem kerülhet a gépezetbe például akkor, ha azok a véletlen számok mégsem annyira véletlenszerűek, ami az egyik leggyakoribb hiba ilyen alkalmazások implementációjakor. Viszont a támadó miért is bíbelődne ilyennel, amikor ott a fent vázolt, sokkal egyszerűbb módszer? 

Meghívó: Második szerdai előadás / november

2017, november 2 - 11:46
Felhő és a biztonság - trendek, kockázatok

Szeretettel meghívjuk soron következő, 2. szerdai előadásunkra:

Dátum: 2017. november 8., szerda 17:00 óra

Helyszín: MNB - Budapest I. kerület, Krisztina krt. 39., Google térkép >>>

 

REGISZTRÁCIÓ >>>

Előadás leírása:

Jelenleg kétféle cég létezik: akik használnak felhőt és ahol tiltott a felhő, de mégis használják. A felhő teret hódít minden cégnél, nem tudjuk elkerülni, hogy a dolgozók trendi alkalmazásokat, vagy weboldalakat kezdjenek használni. Vajon a Facebook felhőszolgáltatás? Mi az a CloudSOC, CASB és UBA? Mi a trend és az IT biztonság oldaláról milyen esélyeink vannak a céges adatok védelmére? Az előadásból többek között ezek is ki fognak derülni.   Meghívott előadó

Makay Kálmán, mySec

Makay Kálmán 17 éve az IT szakma aktív tagja, 2000-2009 között külsős munkatársként nagyvállalati rendszerek biztonságos üzemeltetéséért felelt és projektek vezetését látta el (Thysenkrupp Presta, MÁV Start). 2010-től a Wizz Air-nél dolgozott és elsődlegesen a PCI-DSS megfelelőség bevezetéséért és folyamatos auditálhatóságáért felelt. 2010-ben megalapítja a mySec-et és igyekszik a szakma számára értékadó információkat átadni. 2014-ben a Symantec-nél kezd el dolgozni IT biztonsági konzulensként, ugyanebben az évben megkapta az ITBN Év Útmutató Szakember díjat.

REGISZTRÁCIÓ >>>

Ransomwarek – már megint, még mindig

2017, október 30 - 14:09

Még januárban az ISACA második szerdai előadásán Balázs Zoltán tartott előadást a ransomware-ek kevésbé ismert tulajdonságait kiemelve. Az eredeti prezentáció ezen a linken érhető el.

Ugyan a ransomware-ek világában sokmindent történt január óta, a lényeg semmit sem változott olyan szempontból, hogy az IT-üzemeltetők mintha nem is tanulnának a korábbi esetekből, az AV-gyártók pedig globálisan tekintve leszerepeltek.

Az előadásban elhangzott, hogy gyakorlatilag nincs olyan platform, ami valamilyen módon ne lett volna érintett eddig valamilyen ransomware-fertőzésben, tényleg semmi sincs biztonságban. Az elhíresült Locky malware-t például újraírták magyar nyelvűre, a zsarolóvírusok nem kímélték az androidos eszközöket sem, míg az iOS-re /*máig*/ csak olyan kódot találtak, ami az ijesztgetésen kívül mást nem csinál.

Az egyre elterjedtebb NAS-okat a SynoLocker küldte kómába, megint más kártékony kódok régről ismert módon CMS-sebezhetőségeket kihasználva fertőztek webhelyeket avagy a webhelyet meglátogató felhasználókat, de gyakran nem aktiválódtak azonnal.

Megint más kártékony kódok linuxot futtató szervereket vagy éppen MongoDB adatbázismotorokat támadtak meg, ezeket az eléggé baljós leakware és doxware nevekkel illették a kutatók.

Az első komolyabb zsarolóvírus-támadás 2013-ban történt, ugyan technikailag megjelenhetett volna korábban is, adja magát a kérdés, hogy miért éppen 2013-ban bukkantak fel. Az előadó szerint a magyarázat, hogy ekkorra vált eléggé elterjedtté a TOR és maga a bitcoin, még a tudatlanabb felhasználóknak sem jelent különösebb nehézséget bitcoinban váltságdíjat fizetni. Megint más esetben maguk a malware-ek loptak bitcoint.

A fejlett ransomware-ekkel kapcsolatban érdekesség a korábban ismert kártékony kódokhoz képest, hogy közülük több szelektív olyan értelemben, hogy nem csak azt ellenőrzi, hogy nem virtuális gépen fut-e, de még azt is, hogy melyik országban és csak olyan országokban kér váltságdíjat, amelyik esetében feltételezhető, hogy a felhasználó fizetőképes. Céges környezetben a főként szignatúra-alapú felismeréssel működő módszerek leszerepeltek. Míg korábban több napig is fertőzött maradhatott egy céges gép anélkül, hogy különösebb kár keletkezett volna, egy ramsomware-fertőzés esetén már 15 perc is túl sok. Sajátosság továbbá, hogy a ransomware-készítők figyelnek a saját reputációjukra olyan értelemben, hogy valóban biztosítják a felhasználóknak a feloldáshoz szükséges kulcsot a váltságdíj megfizetését követően az esetek többségében, mi több, a váltságdíjat követelő üzenetben még telefonos supportot is kínálnak arra az esetre, ha a felhasználó nem lenne technikailag eléggé felkészült a fizetésre.

Céges környezetben gyakorlatilag máig nincs jobb megoldás, mint a rendszeres biztonsági mentés készítése mégpedig olyan hordozóra, ami csak a biztonsági mentés idejére írható, egyébként air gapped.

Otthoni védekezésnél egy jobb antivírus termék mellett érdemes lehet a böngészőben valamilyen szkriptblokkolót is használni, amilyen az Adblock vagy éppen a NoScript, mivel a ransomware-ek akár olyan oldalak hirdetésein keresztül is fertőzhetnek, ami alapvetően megbízhatóak.

Trükkös megoldás, de hatékony a Hitman Pro alkalmazása, ami képes akár virtuális gépnek álcázza a valódi gépünket, így csökkentve egy bekerült malware aktiválódásának kockázatát. A valódi gép virtuális géppé való álcázásával kapcsolatban az EvilBit posztjában már évekkel korábban olvashattunk.

Érdemes megjegyezni, hogy a ransomware-ek több kutató szerint meglepően bénák, ahogy arra azóta többen is felhívták a figyelmet például ebben a posztban

A legnagyobb kárt okozó malware-ek is sok esetben néhány egyszerű hardening trükkel egyszerűen megfékezhetőek lennének, mint amilyen a PowerShell lelövése, az Office-makrók tiltása vagy az UAC kényszerítése, ezekhez már automatizált eszköz is készült

A cikk ugyan több, mint fél évvel ezelőtt íródott, de alapvetően nem veszette aktualitását, hirtelen két gondolattal egészíteném ki. A Kaspersky egy friss kutatásából kiderül, hogy ugyan valóban az iOS van kitéve legkevésbé bármilyen típusú malware támadásnak, mindössze 600 kártékony kódot azonosítottak, határozottan egy olyan tendencia látszik kirajzolódni, hogy az iOS és az OSX a célzott támadásoknak egyre inkább ki lesz téve, viszont továbbra sem várható, valamiféle iOS és OSX rendszereket érintő malware robbanás. 

A mai értelembe vett első ransomware-ek valóban 2013. óta léteznek, Csizmazia István egy nemrég tartott előadásában igazi kultúrtörténeti unikumot hozott szóba. Még 1989-ben egy feketekalapos több, mint húszezer floppyt postázott szét, ami a címzettek gépét lefertőzte és váltságdíjat kért. Alighanem minden idők egyik leginkább elbénázott víruskampánya volt, ugyanis a zsaroló olyan helyre kérte a válságdíjat, ami alapján a nyomozók már kényelmesen tudták azonosítani az elkövetőt.

Második szerdai előadás a WITSEC Szakmai Napon

2017, október 5 - 10:58
Az I. Nemzeti Kiberversenytől Genfig
a Cyber 9/12 tapasztalatai és hatásai egy magyar csapat szemszögéből

 

FIGYELEM! RENDHAGYÓ HELYSZÍN ÉS KEZDÉSI IDŐPONT! ANGOL NYELVŰ BESZÉLGETÉS!

Dátum: 2017. október 11., szerda 16:00 óra

Helyszín: PwC - Budapest VI. kerület, Bajcsy-Zsilinszky út 78., Eiffel Palace

 

Az ISACA Második Szerdai előadás a WITSEC Szakmai Napon belül kerül megrendezésre. A részvétel az egész szakmai napon díjmentes, de regisztrációhoz kötött!

REGISZTRÁCIÓ >>> https://www.eventbrite.com/e/witsec-pro-day-szakmai-nap-tickets-35920319643

 

A kerekasztal beszélgetés leírása:

"Az áprilisi Cyber 9/12 versenyre csapatunknak első ízben volt lehetősége kijutni azáltal, hogy a Pro Day-en megrendezésre került, I. Nemzeti Kiberversenyen, első helyezést értünk el. Bár mind a négy versenyző az NKE Rendészettudományi Karának civil szakirányos hallgatója volt, mind a négyen eltérő ismeretekkel rendelkeztünk, amelyeket Dr. Gyaraki Réka rendőrőrnagy asszony fogott össze. Bártfai Fanni másodéves nappali munkarendű hallgatóként, Margitics József elsőévesként, Molnár Tibor végzős, Mészáros István pedig másodéves levelezős hallgatóként mérhette össze a tudását más csapatokkal.

A svájci megmérettetés során – a magyar fordulóhoz hasonlóan – egy fiktív, kórházakat érintő támadássorozatra kellett 4, külön álló alternatívát kidolgoznunk hiányos információcsomag alapján. Bár sajnos helyezést a csapatunk nem ért el, a kapott kritikák és észrevételek alapján egy megújult csapattal a következő évben is tervezzük a versenyen való indulást.

Az ISACA Második Szerdai előadásán a fentiek alapján, eddigi tapasztalatainkról és élményeinkről fogunk beszélgetni."

  • A beszélgetés moderátora: Rónaszéki Péter
  • A program angol nyelvű! 

REGISZTRÁCIÓ >>> https://www.eventbrite.com/e/witsec-pro-day-szakmai-nap-tickets-35920319643

 

 

Meghívó: Második szerdai előadás / szeptember

2017, szeptember 6 - 12:36
A GDPR felkészülés gyakorlati tapasztalatai

Szeretettel meghívjuk soron következő, 2. szerdai előadásunkra:

Dátum: 2017. szeptember 13., szerda 17:00 óra

Helyszín: MNB - Budapest I. kerület, Krisztina krt. 39., Google térkép >>>

Regisztrációhoz kattintson IDE! >>>

Előadás leírása:

2016 tavaszán az Európai Unió egy átfogó, új adatvédelmi rendeletet fogadott el. A jogszabály rendelkezéseit ugyan csak 2018-tól kezdődően kell alkalmazni nemzeti szinten, az új szabályokra való felkészülést azonban már el kell kezdeni. Ez előadás célja, hogy betekintést nyújtson az új uniós szabályozásról, másrészt be kívánja mutatni a mindennapi élet leggyakoribb adatkezeléseinek jelenlegi és a rendelet alkalmazását követően várható gyakorlatát. 

Meghívott előadó

Dr. Jóri András, PhD, adatvédelmi szakértő

 

 

 

  • 2008 és 2011 között a Magyarország adatvédelmi ombudsmanja. 
  • 1997-ben frissen végzett jogászként kezdte karrierjét az Adatvédelmi Biztos Irodájánál, ahol főképp banki illetve internetes adatkezeléseket vizsgált, s ezeket több hónapig tanulmányozta a brit társhatóságnál is.
  • 1999-ben rendszerinformatikus szakképesítést szerzett.
  • 2000-ben tette le a jogi szakvizsgát, és 2001-től 2008-ig ügyvédként az elsők között épített ki adatvédelmi praxist egy vezető magyar ügyvédi irodával együttműködve.
  • 2008 szeptemberében az Országgyűlés Dr. Sólyom László köztársasági elnök javaslatára az összes párt támogatásával, konszenzussal választotta adatvédelmi biztossá.
  • 2011-től, mandátuma végétől külföldön dolgozott, több ország adatvédelmi jogának kialakításában és fejlesztésében vett részt az EU megbízásából, nagy tanácsadó cégek projektjeinek vezetőjeként és szakértőjeként.
  • Az MTA köztestületének tagja, az első hazai adatvédelmi jogi kommentár (és számos szakcikk) szerzője, ezen kívül angol nyelven is publikál peer-reviewed cikkeket és könyvfejezeteket a terület jelentős folyóirataiban és kiadóinál. A tekintélyes német Nomos kiadónál 2018-ban megjelenő angol nyelvű GDPR-kommentár egyetlen kelet-európai szerzője.

 

A rendezvényen való részvétel díjmentes, de NEM ISACA TAGOK számára regisztrációhoz kötött!

REGISZTRÁCIÓ >>>

 

 

Theme by Danetsoft and Danang Probo Sayekti inspired by Maksimer