Vannak emberek akik megveszik a legkülönbfélébb, biztonságot igérő programokat, hogy védjék a gépüket. Ők a másik végzet, mert sokan kb. nem is törődnek a biztonsággal. De akik teknőkbéka módszereket használnak is nem veszik eléggé figyelembe a tényt, hogy a progik amikkel védenék a rendszerüket is ugyanúgy sebezhetők mint a megvédendő rendszer, tehát a vágyuk, hogy szuperbiztonságosak legyenek igazából nem teljesül. Ami azt illeti vannak esetek amikor a biztonsági megoldások gyöngítették a biztonságot.

Itt van erre egy újabb példa. Ami növeli elméletileg a biztonságot igazából még csökkentette is azt:

"A kétlépcsős védelem nyitott kaput a Reddit-adatlopás előtt"

"A támadók az SMS-es azonosítást használták ki, forráskódot, felhasználói adatokat vittek."

"Adatlopás áldozata lett a Reddit, amelyhez a támadók épp az oldal védelmét erősíteni hivatott SMS-alapú kétfaktoros beléptetést használták ki. Az akció során az oldal belső adatai mellett felhasználónevek, email címek és titkosított jelszavak is kiszivárogtak."

A kétfaktoros beléptetést mint valami ultimate biztonságot szokták emlegetni, a bankok közül is sok használja, aztán tessék ez van. Ez is mint minden ami informatika sebezhető. Ráadásul forráskódot is szereztek tehát a jövőben még több hatékony támadás várható.

A felhő megint nagyon hasznos volt... a hackereknek:

"A Reddit kapcsolódó blogposztja szerint a támadást június 14. és 18. között hajtották végre, méghozzá néhány alkalmazott a cég által használt egyik felhőszolgáltatónál kezelt fiókjának feltörésével. "

 "Noha a vállalat minden érintett helyen kétfaktoros beléptetést használt, ennek SMS-re építő variánsa sebezhető, a támadást épp az azonosító kódot tartalmazó SMS-ek elcsípésével hajtották végre ismeretlenek. Hogy ezeket az üzeneteket a támadók pontosan hogy tudták megszerezni, azt a vállalat egyelőre nem részletezte, a Krebs on Security értesülései szerint mindenesetre a támadók nem közvetlenül az alkalmazottak telefonjait vették ostrom alá."

"A keserű tapasztalatok után a Reddit mindenkit arra biztat, kerülje az SMS-re építő kétlépcsős azonosítást, és váltson valamilyen tokenalapú megoldásra."

Pedig mekkora nagy star volt ez a megoldás.

A felhők egy része is ilyen kétfaktoros beléptetést használ és szerintük ez elég. Cisco épp most vett egy céget ami ezzel foglalkozik.

"Kétfaktoros beléptetésben erősít a Cisco"

"Biztonsági szoftverszolgáltatásokban erősít tovább a Cisco, most épp a kimondottan sikeres Duo Security felvásárlásával."

"A Duo nagyon érdekes szolgáltatás, használatával gyorsan beépíthető a kétfaktoros beléptetés tetszőleges rendszerekbe, amelyek így erősebb védelemmel rendelkeznek. Ez nyilván első körben az erősen szabályozott iparágakban, egészségügyben és a pénzügyi szektorban tette népszerűvé a céget, de a phishing támadások terjedésével ennél sokkal szélesebb körben is ügyfeleket talált. "

Téged is megnyugtat, hogy a felhők és olyan apróságok mint egészségügy és a pénzügyi szektor is mostmár ezt a nagyon biztonságos, vagy inkább nagyon "biztonságos" módszereket használja, hogy védje az ügyfeleit?

Az őskorban, ami csak pár éve múlt el, amikor megjelentek az internetre kötött okosházak, olyan szörnyűségek történtek, hogy fel kellett állnod mondjuk azért a kanapéről, hogy a rendőnyt felhúzd és a kezedet kellet használnod, izomerőt (mint egy állatnak), és mint minden, ami a kőkorszak technológiájára épült nem használt áramot és nem küldött folyamatosan informánciókat a tulajdonosáról, azért, hogy kémkedjenek jobbá tegyék a felhasználói élményt.

Aztán megjelent a fény és jött az okosotthon és végre minden kényelmes lett.

De aztán egy új sötét korszak horizontja jelent meg... sötét mert pl. nem kényelmes, meg persze nem biztonságos, de ez kit érdekel ugye, ez egy nyilt világ, nyugodtan beleshet bárki...

A sötét kényelmetlenség neve szoftver frissítés, ami pokollá teszi mind a felhasználó, mind a cuccokat adó vállalkozás életét, mert mi ez hát, hogy miután eladták a terméket csinálniuk is kéne valamit, hogy ne csak egy évig legyen használható.

"Az okosotthonok szoftverei is igénylik a gondozást"

"Ezek a rendszerek is olyanok, mint a többi: kiemelten kell ügyelni a biztonságos működésre."

Nem, nem, nem, azért van egy nagy külömbség az ilyen okosotthon, okosautó rendszerek szempontjából... ezek akár meg is ölhetnek. Persze, ha azt nézzük, hogy biztonságos-e; hát persze hogy nem, akár minden más ami számítástech.

"Egy speciális vizsgálatot végeztek el a Makay.net kibervédelmi vállalkozás szakemberei: hálózati keresőkkel kutattak fel olyan okosotthon-rendszereket, melyek kényelmi szolgáltatásként webes kezelőfelületet is biztosítanak tulajdonosaik számára. A felmérés legfontosabb tanulsága, hogy a magyar okosotthonok túlnyomó többségén elavult, nem frissített, tehát számos sebből vérző vezérlőszoftver fut, a régi verziók nem védettek a jogosulatlan hozzáférés ellen, és titkosítás nélkül kommunikálnak a publikus interneten."

Persze, hogy nem frissítik, hisz az NEM KÉNYELMES ÉS EGY NEM KÉNYELMES OKOSOTTHON A LEGNAGYOBB BŰN AMIT  ELKÖVETHET EGY GYÁRTÓ.

"A szemügyre vett megoldásoknál első ránézésre is legalább öt problémát detektáltak:

1. "a vezérlőszoftverek elavultak, több ismert sebezhetőségben szenvednek, amiket a támadók kihasználhatnak" (Erről nem volt szó a marketing anyagban, csak a kényelemről és a (valamiért) nagyobb biztonságról, hát ny@lják ki a felhasználóik popóját a vásárlás után is; KÉNYELMET!)
2.  "az elavult szoftververziókból számos biztonsági funkció hiányzik (kétfaktoros hitelesítés, elrontott próbálkozások utáni IP-letiltás), amik csak későbbi verziókban kerültek megépítésre – ha egyáltalán bekerültek"
3. a felhasználók nem kapják meg automatikusan az új, javított szoftververziókat, a felhasználók pedig nem végzik el manuálisan a frissítést ( Autómatikus frissítés nincs, de automatikus kémkedés a felhasználó után van)
4. "nincs gyártó által üzemeltetett és védett, központi szerverről elérhető kezelőfelület – a felületek a kitelepített okosotthon-rendszerekről érhetőek el egyenként" (Szerintem ez inkább jó pont, hisz ha lenne akkor egyszerre az összes ilyen ház támadható lenne.)
5. "a vezérlőszoftverek nyílt (nem titkosított), lehallgatható és manipulálható csatornán kommunikálnak a felhasználókkal" ( Persze mert az a titkosítás biztos feltörhetlen szuper cucc lenne... Hát persze.)

"A beazonosított szoftververziók között a 2015-ös és 2016-os verziók mellett számottevő mennyiségben voltak 2017 végén kiadott verziók is – valószínűleg karácsonyi ajándékok voltak. "

Tényleg van olyan, hogy jobb adni mint kapni, hogy kevesebb leszel a többel és, hogy " félek a görögöktől mégha ajándékot is hoznak", meg hogy az ellenséged ajándéka egy sorscsapás.

"Viszont bármennyire tűnik a 2017-es karácsony közelmúltnak, azóta a termékek már jó néhány javításon és verziókiadáson estek át, tehát a felhasználóknál futó rendszerek szoftverei messze nem naprakészek frissítések szempontjából. Egyértelmű, hogy a felhasználók nem szívesen piszkálják a rendszereket, így ha a gyártó nem cselekszik, ezek a lakások és házak közvetlen veszélynek lesznek kitéve a távoli, akár más földrészen élő támadók által – ahogyan jelenleg is ki vannak téve:

• kapcsolgathajták a világítást
• szabályozhatják a fűtést
• nyithatják a garázskaput
• kikapcsolhatják a riasztót
• kizárhatják a felhasználókat a rendszerből
• mindent beállíthatnak, amire a rendszer képes"

Hát nem tudom, szerintem kényelmesebb lett volna csak az utolsó pontot leírni, de hát mit is várjunk a biztonsággal törödő srácoktól. Próbálnak drámázni, félelmet kellteni elterelni a figyelmet a kényelemről.

Vajon mit fognak tenni a kedves felhasználók ha elterjednek a támadások... kényelem vs biztonság. Sőt kényelem vs biztonság és kényelem, hisz nem kényelmes ha hackerek miatt szenvedni kell. Sőt a kényelem nem nyerhet, mert ha kiiktatjuk a problémát akkor visszatérünk az őskorba és talán egyesek erre már nem képesek, viszont a hacerkekkel folytatott harc se kényelmes... Egy új sötét kor jő el.

Még amit érdekesnek találtam, az nem is a cikkben van, hanem a kommentek között.

Örülök, hogy egyre több mindenkinek leesik az, hogy egy zsákutcába tartunk, de persze vannak akik nem akarnak leállni.

"Amúgy meg ezek a szoftverek is igénylik a gondozást - csak úgy, mint minden más."

Ha megnézitek ezt a kommentet ebbe benne van minden ami a zsákutcás emberek gondolkozásába beletartozik... Hiába az ordító jelek az nem opció, hogy más irányba menjünk hisz minden sz@r hát fogadjuk el, hogy ez is és menjünk tovább és ne gondolkozz, ne gondolkozz, ne következtess. Valószínű a kommentelő jólétére rossz hatással lenne, ha a felhasználók következtetéseket vonnának le.

Néhány oldalon megy a nagy "harc", hogy akkor az új cégek vagy a "régi" bankok fogják majd kezelni interneten keresztül a pénzünket. Igazából biztonság szempontjából kb. mindegy, egyik se képes ezt a követelményt teljesíteni.

Ráadásul egészen elképesztő, hogy olyan cégek amiknek ez lenne a legfontosabb, mennyire sokadrangúként kezelik az ügyet. Mintha csak valami lelkes egyetemista csapat csinálta volna az egészet akik csak menet közben jöttek rá, hogy nem tudják jól megcsinálni a dolgot és oda a lelkesedés és tojnak rá és már csak a pénzt akarják a dologból. Vagy eleve olyan emberek ezek akik csak a pénzt akarták és tojnak az ügyfeleik valódi érdekére; összekalapáltak valami szép kezelőfelületet és a csillogás miatt a felhasználók majd elhiszik, hogy ez minden szempontból jó.

Sajnos azonban mint ez a story is mutatja, nem csak a kicsiknél van baj.

"Rengeteg érzékeny adatot tereget ki felhasználóiról a Venmo"

"Alapértelmezett beállítások mellett a tranzakciólista, név, sőt Facebook ID is nyilvánosan elérhető. Több mint 18 millió felhasználó adatait láthatja bárki."

"Nem bánik túl diszkréten a felhasználók tranzakciós adataival a Venmo: Hang Do Thi Duc biztonsági szakértő szerint, alapértelmezett beállítások mellett a digitális pénztárca a tranzakciók részleteit és a felhasználók személyes adatait API-ján keresztül bárki számára "rendkívül egyszerűen" elérhetővé teszi. A pénzküldési előzmények mellett olyan érzékeny információkról van szó, mint a felhasználók valós, teljes neve, profilképe, egyes esetekben Facebook ID-ja, sőt még a Venmo felületén folytatott beszélgetései is."

"...tehát bárki számára elérhető, abból pedig egyszerűen kinyerhető a felhasználók valódi neve, a profiljukhoz tartozó link, sok esetben a Facebook ID-juk, illetve természetesen tranzakcióadataik, amelyekből egyszerűen kikövetkeztethető közelebbi ismerőseik listája is. "

Vagyis megint egy vállalkozás ami épp csak azt az apróságot nem tudja teljesíteni ami létének alapjához tartozna.

Persze gondolhatod, hogy akkor most mint régen azt mondják, hogy azonnal javítják a problémát, hisz nagyon, nagyon fontos a bizalom. De nem, ez már 2018, nem fárasztják magukat már annyira az Y generációs emberkék.

"Ezen cikk keletkezésekor a Venmo oldalán még szabadon hozzáférhetők az aktuális legfrissebb nyilvános tranzakciók adatai, noha a The Register szerint a cég időközben elkezdte korlátozni a hozzáférést azokhoz.

Remélhetőleg a vállalat nem áll meg ennyinél és alaposan újragondolja a adatkezelési gyakorlatát, vagy legalább egyértelműen figyelmezteti felhasználóit, milyen következményekkel jár, ha a szolgáltatást az alapértelmezett "nyilvános" beállítások mellett használják."

Azt azért még tudják, hogy mondani kell egy bullshitet, de ők már tenni nem akarnak:

 "A cég ugyanakkor a The Guardiannek egyelőre csak annyit nyilatkozott, egyik legfontosabb prioritásaként kezeli a felhasználók személyes információit, akiknek lehetőségük van privátra állítani profiljukat."

Szóval láthatod, hogy mennyire bízhatsz az újakban. És akkor lássuk, mi is a státusza a cégnek:

"A 2009-ben alapított, jelenleg mintegy hétmillió havi aktív felhasználóval rendelkező Venmo mobilfizetési szolgáltatást 2012-ben a Braintree vette meg bő 26 millió dollárért, majd egy évvel később a PayPal tulajdonába került, mikor az egy 800 millió dolláros megállapodás keretei között a teljes Braintree-t bekebelezte. Mára a Venmóval a felhasználók nem csak egymás között küldhetnek pénzt, de a megoldást minden kereskedő elfogadja, amelynél PayPal is használható."

Hiába a nagy szereplő, mégis alapvető problémák vannak.

Persze tudjuk, csak a pénzünkről van szó és a biztonsági szempontok nem állhatnak a kényelem és a "fejlődés" útjába.

" A Venmo egyébként látványos tempóban növekszik, a Pubic By Default adatai szerint az adataikat nyilvánosan megosztó felhasználókból mintegy 8 millióan tavaly regisztráltak a szolgáltatásba."

Az eredeti fejlesztők mostmár talán nem túl lelkesek, hisz "megvolt" a nagy felvásárlás, mostmár csak annyi van, hogy nézhetik, hogy a PayPal sokkal sokkal többet keres az ötletükkel mint amiért megvásárolta őket és hát akkor minek fáradjanak a lelkes startuposok.

Persze itt vannak az idegesítő "régi" bankok is, akik elfelejtették, hogy a létrejöttükben nem a kényelem volt a fő szempont hanem ez az izé... a biztonság.

Próbálnak ezerrel "modernek" lenni és a kényelemért odadobni mindent és "legyőzni" a startupokat ebben a "verseny"-ben.

És természetesen a hackerek ezt kihasználva lopják is a az ügyfelek pénzét rendesen.

"Már lassan 4 milliárd forintnyi pénzt lopott el a rejtélyes MoneyTaker-csoport"

"Kis híján egymillió dollárt lopott el egy rejtélyes hackercsoport az orosz PIR Banktól úgy, hogy az egyik bankfiókjuk routerén keresztül feltörték a központi informatikai rendszerüket"

Routeren keresztül meglopni egy bankot... ezek a bankok tényleg nagyon  modernek. De már látom is, hogy egyesek azt írnák... ez egy orosz bank és az oroszok nem mérvadóak, mert ők sz@rok az ilyen dolgokban. Nos...

"Főleg amerikai bankokat hackeltek meg eddig, viszont öt orosz bank és egy brit szoftvercég is az áldozatukká vált már."

Persze akik azt akarják, hogy legyen minden digitális azzal jönnek, hogy lehet, hogy feltörnek dolgokat, de a gyorsaság... azonnal észrevesznek mindent és azonnal lezárják a hibát. ( amiből a hackerek mondjuk sohase fogynak ki )

"A MoneyTaker-csoport gyakran hónapokat tölt egy bank rendszerében..."

"Sokszor hónapokkal azután is a hálózatban maradnak, miután a támadást végrehajtották, hogy nyomaikat eltüntessék."

Hála a digitális esemény regisztrációknak, még a nyomok is eltüntethetők. És figyelem ahhoz, hogy mindezt megcsinálják... ingyenes programokat is használnak.

"Több ingyenes programon kívül, mint a Metasploit, a PowerShell vagy különféle Visual Basic scriptek, a csoport saját fejlesztésű programot is használ a támadások kivitelezéséhez, a MoneyTaker 5.0-át, melynek nevét is megörökölték. "

Ha az emberek felfognák úgy igazán micsoda zsákutcába megyünk ezzel a digitalizációval...

Dehát sajnos megbíznak emberekben akik tojnak az ő igazi érdekükre.

Olvassátok el az újabb totál csőd digitális átállást a MKB banknál:

https://www.hwsw.hu/hirek/59075/mkb-bank-digitalis-atallas-problema-fintech.html