Shery és RePa

Szóval szerintem megengedni x86-os kód (vagy bármilyen más gépi kód) futtatását böngészőben, az kb. olyan, mintha az email aláírásunkba beleírnánk a felhasználónevünket és a jelszavunkat is. Egy fokkal rosszabb, mintha a rootjelszót post-ittel a monitorra ragasztanánk.
Tehát félelmetes felelőtlenség.

Szoginel olvastam errol az oldalrol, ahol az ember kiprobalhatja, hogy mennyire jo hekker, lol.
Egyebkent valoban nem rossz az egesz, egy-ket kiveteltol eltekintve (word doksi jelszo feltorese... mire a wine hajlando volt valamelyik cracker programocskat rendesen futtatni... nade igaz h4x0r windowst hasznal, en vagyok a hulye) ertelmesek a feladatok, es valoban lehet tanulni a bemutatott hibakbol. Ha valakit kicsit is erdekel a tema, az valoszinuleg vegig tudja csinalni, hajra!
(Az utolso feladatnak vagy 15-szor futottam neki, es kikertem a segitseget is, mire rajottem, hogy a nevek ABC sorrendben vannak, es nem legalul kene keresnem magamat )

Kaptam igazi hekkerdiplomat is, omg.
Az oldal microsoft tamogatassal keszult, egy jopont nekik.

No, megvolt az idei Hacktivity is, egesz jo volt.
En elviseltem volna picit tobb szakmaibb eloadast, ami jobban belemegy a dolgok reszleteibe, bar volt olyan eloado, aki az altalanos tema ellenere is nagyon tetszett. Jo pont a szervezoknek, hogy alkalmat adtak a kozonsegnek is az aktivkodasra - az mar nem az o hibajuk, hogy ezzel csak minimalis mertekben eltek.
Ami meg nekem furcsa volt, hogy az a keves szakmaibb eloadas is inkabb Windows orientalt volt. Ertem en, hogy az elterjettebb, meg hogy vallalati kornyezetben azt hasznaljak inkabb, de ha nekem pl. azt mondjak, hogy rootkit, akkor csak hosszu ido utan jut eszembe a Windows valami benan titkos varazskonyvtaraba elhelyezett trukkosen futo valami.
Mondjuk a szakmaisag lehet hogy csak nekem hianyzott, pl. Thief_hu eloadasa elegge szakmai volt, de a kornyezetemben ulo emberek eleg nagy szazalekanak fogalma nem volt, mirol van szo
En veletlenul egy Sunos poloban voltam - mar az eloadasat ugy kezdte, hogy a Sun nem orul, hogy a java biztonsagi hibairol mesel, es mikozben ezt mondta, engem nezett -, ezert mikor odamentem hozza koszonni az eloadas utan, es megejteni az elso IRL talalkozot, lattam a szemeben a felelmet A prezentacios stilusan meg van mit csiszolni, de - velem ellentetben - o mar legalabb megprobalkozott vele

Remelem ezutan is lesz minden evben valami hasonlo, kicsit tobb helyen lehetne reklamozni - sok ember tolem tudta meg, hogy letezik egyatalan ilyen. Es mivel nem olyan nagy osszeg a beugro, biztos mas cegek is el tudnanak kuldeni ra par embert, mert szerintem megeri.

Azt, hogy az index mennyire nagyon elbulvarosodott, azt szerintem mindenki tudja.
Ma Imi hivta fel a figyelmemet az alabbi cikkre: Wifin bárki megnézheti mások levelezését.

Kezdjuk ott, hogy a cim egy az egyben baromsag, mondjuk figyelemfelkeltesnek tokeletes. A figyelemfelkelto cimek utan azert talan illik elmagyarazni, hogy ez nemegeszen van igy (sot). De hat ott ez kimaradt.

A tema egyebkent a Black Hat konferencian vetodott fel 3-4 napja, hogy nyilvanos - azaz titkositatlan es szabadon hozzaferheto - wifi halozatokon eleg konnyen megszerezhetoek azok a session azonositok, amikkel a celoldalak (levelezok, kozossegi siteok, barmi) azonositjak a halozat masik vegen ulo felhasznalot. Es azt a sessiont ezek utan ok minden gond nelkul hasznalni is tudjak - tehat elolvashatjak a leveleket, bejelolhetik Pakot ismerosnek az iwiwen, es hasonlo szornyu dolgok. Egyebkent ha ebben valakinek van valami ujdonsag, az csak annyit jelent, hogy meg sosem foglalkozott komolyabban a temaval.

Szoval a csel mukodik, de arrol pl. az index - mas angol nyelvu forrasokkal ellentetben - nem ir, hogy ez ellen mit tehetunk:
0. Amit feltunk, azt ne hasznaljuk nyilvanos wifi alol/internet kavezobol/munkahelyrol...
1. Ahol csak lehet hasznaljunk titkositott kapcsolatot a webszerverrel. Ilyenkor http:// helyett https:// van a weboldal cime elott, nepszerubb bongeszok pedig pl. kis lakatocskaval es a beviteli mezo sarga szinevel is jelzik ezt. A gmail elerheto igy.
2. Miutan befejeztuk a tevekenysegunket lepjunk ki az adott oldalrol. Ez fokent az internet kavezokra igaz, nyitott wifinel belepeskor a jelszavunkat is megszerezheti a tamado, ami meg rosszabb, mint egy session azonosito.

A legfontosabb az 1-es pont szerintem, ahol lehet - es van ertelme - hasznaljunk biztonsagos protokollt. Telnet helyett ssh, ftp helyett sftp vagy scp, http helyett https.
Persze sajnos ez nem mindenhol lehetseges, peldaul a https://freemail.hu ugyesen atiranyit minket a nem titkositott http oldalra (hadd gratulaljak). Erre is van megoldas, a freemailes postafiokot at kell iranyitani a gmailesre, es kesz

Valahol olvastam, hogy megujult a startlap, ugyhogy rapillantottam. Most nem ternek ki arra, hogy mi ujult (mert fogalmam sincs, kb. sose hasznaltam a startlapot), de valami egybol szemet szurt. Mivel az iskolakban meg nem tanitanak internetes kulturat/hasznalatot, meg hat eleg sokan mar nem is jarunk iskolaba, ezert gondoltam megemlitem a dolgot.

Mi a baj az alabbi keppel?

Remelem a tobbseg mar sejti, amit mondani akarok, de a tobbiek kedveert azert kifejtem:
Ilyen mezobe SOHA ne adjuk meg az adatainkat! Az adott levelezorendszerbe (barmilyen rendszerbe) csak az adott oldalon keresztul lepjunk be!

Mostanaban eppen felkapott tema a phishing, azaz adathalaszat. A gonosz hekkerek csinalnak egy weboldalt, ami tokeletesen ugyanugy nez ki, mint az eredeti, valahogy elerik, hogy ez jojjon be az aldozat bogeszojeben, es miutan az megadta a belepesi adatait, szepen tovabbitjak is a konkret oldalra. Csakhogy kozben megszereztek a felhasznalonevet es a jelszot.

Meg csak nem is feltetelezem, hogy a startlaposoknak hasonlo dolgon jarna az eszuk, es masoknak a freemailes leveleit olvasgatnak szabadidejukben, valoszinuleg csak es kizarolag tovabbitjak az adatokat a celhelyre. Nade mivan, ha valami gonosz hekkerek feltorik a startlapot? Vagy egyszeruen mivan ha az adott felhasznalo raszokik, hogy a szemelyes adatait megadja funek-fanak?

Szoval NE adj meg belepesi adatokat sehol mashol, csak es kizarolag ott, ahol az adott szolgaltatasba lepsz be.

Szal, ahogy regebben irtam, csinaltam specko M2Crypto csomagot Solarishoz, mert abban trukkos az openssl. Ma upgradeltem, mert kiderult, hogy annyira trukkos az a szemet, hogy annak ellenere, hogy nincs benne 256 bites AES, azert lejelenti, hogy van:

.( horakgy@sun130sd pts/32 ~ )----
'(14:20:28)% openssl ciphers "ALL"
ADH-AES256-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:...

Es bizony mikor ennek az M2Crypto (vagy barmimas) megorul, es lelkesen elkezdi hasznalni, akkor elszall.
Ha kell olyan, ami ennek nem dol be, akkor szedd le innen.

A Solaris 10-ben frissul a python, illetve belekerul a 2.4.4-es verzio is. Ugyhogy az az otletem tamadt, hogy forditsam le ehhez az M2Crypto-t, ami amugy egy openssl wrapper pythonhoz, es igen hasznos tud lenni. Hat nekialltam.

Mar regebben is olvastam valamivel kapcsolatban, hogy pl. az openssl-t, meg hasonlo kriptografiaval kapcsolatos cuccokat nemigen szabad ellenseges (marmint az USA-nak ellenseges) orszagokba exportalni. Dehat azzal is tisztaban voltam, hogy Solarist adnak el Irannak is, abban meg benne van. Viszont ma kiderult hol a csel: a Solarisban levo openssl bizony csak a 128 bites AES-t tamogatja, a 192 es a 256 bitest nem (es meg ki tudja mit sporoltak ki belole). Igy viszont az M2Crypto nemigazan megy vele. Persze tehetnenk fel akarhonnan a netrol leszedett openssl-t, es fordithatnank azzal is, de szamomra ez nem volt megoldas, ezert picit megpiszkaltam a forrast, es minden AES fuggvenyt a 128 bites valtozatokra mappeltem at.

Egyelore ugy fest mukodik, ha valakinek szuksege van ilyen csomagra (mert nekem pl. volt, de nem talaltam sehol), akkor az szedheti is iziben.

Na, most, hogy mindjart itt a marcius, esik a ho. Jo, elolvad, de azert ezen a telen mar a hoeses is igen ritka volt.

Ha jol tudom meg el sem fogadtak a torvenyjavaslatot, de Tigris baratom felhivta a figyelmemet az alabbi oldalra, ahol gyanus projectre keresnek embereket:

Szövegbányászat Bűnügyi Nyomozó Irodák számára

2006.-2008. kormányzati támogatással, a bűnügyi nyomozás segítéséhez szöveg- és videóbányászati eszközök kifejlesztése céljából létrejött projekt.

Lehet, hogy csak nekem egyertelmu, de az ilyen eszkoz tipikusan arra jo, hogy a sokezer emailben megkeresse, ami gyanus. Felek, hogy ha elfogadjak a torvenyjavaslatot, ha nem, a program elkeszul, es nem hiszem, hogy nem hasznalnak kesobb. Meg azt sem, hogy ez lenne az egyetlen ilyen project.

Palyafutasom soran azert talalkoztam egy-ket biztonsagi ressel, de ez a mai magasan viszi a primet. Addot ugye a Solaris 10, ami ugyebar the most secure OS on the planet. Fogja az emberke magat, beirja, hogy:

# telnet -l "-froot" <solaris10eshost>

Es lon, maris bent van a vilag legbiztonsagosabb oprendszereben, rootkent, mindenfele jelszo nelkul. Erre mondjak, hogy odabasz. Ertem en, hogy akinel futa a telnet, az haljon meg amugy is, de ez akkor is fajo.

Egyebkent, ha mar Solaris, akkor mig a

# ifconfig -a

parancs informaciokat kozol a gepben levo halozati interface-ekrol, addig a

# ifconfig -a <ipcim>

nem az adott ipcimu geprol kozol informaciokat (ahogy egy kollegam gondolta), de bekonfiguralja az osszes interface-t az adott ipcimre. Igen, a loopback-et is. Funny

Szoval randa egy vilag ez. A kettovel ezelotti postomra reagalva, Attila baratom az alabbi cikkre hivta fel a figyelmemet. Felek, hogy mi sem vagyunk mar ettol messze, talan csak a szamitasi kapacitas hianyzik ahhoz, hogy mindenkinek minden internetes forgalma elemezve legyen valamilyen szinten. Biztonsagos protokollokat hasznalj, ahol csak lehet (ssh, https, pop3s/imaps, ...)!

Aki olvasta Dan Browntol a Digitalis erodot, abban azert felmerulhet, hogy mi van, ha ezek a gonosz titkos szolgak valoban csakugy hipphopp tornek barmilyen titkositast (a konyv egyebkent egesz jo, sot a valosagtol sem rugaszkodik el tulzottan, az pl. teljesen igaz, hogy erovel minden titkositas feltorheto - kerdes, hogy megeri-e). Erre az jutott eszunkbe, hogy az internet szabad kapacitasat ki lehetne hasznalni arra, hogy titkositott szemetet kuldozgessunk egymasnak (azert viszonyleg konnyen megfejthetoket, amik tartalmazzak a terror, atombomba, dzsihad, stb. szavakat, termeszetesen arabul). Ujabb frenC plugin otlet: random jihad-traffic generator

Egyre tobb magyar bankot er phishing - azaz adathalasz tamadas. A gonosz elkovetok cseles emaileket kuldozgetnek, melyekben megkerik az artatlan aldozatokat, hogy adjak meg adataikat egy a bankehoz nagyon hasonlo honlapon. Aztan presze ezekkel az adatokkal visszaelnek. Csunya dolog, vedekezni ellene nagyon nehez - mar a bank oldalarol, te tudsz elle tobbfelekeppen is vedekezni.

Eloszoris, a bank nagy valoszinuseggel emailben nem fogja az adataidat kerni (bar csalok akar telefonon is jelentkezhetnenek). A bankok honlapjai altalaban ssl-en keresztul erhetoek el, amihez tartozik egy tanusitvany. Ha ez a tanusitvany lejart, vagy "self signed", azaz sajat kezzel alairt, akkor az is gyanura adhat okot.

Masodik lehetoseg, az alabbi form kitoltese:

Ha ezeket az adatokat itt mind megadod, akkor jo esellyel kesobb semmi gondod nem lesz az adathalaszokkal. Es majd meg is hivlak a lakasavato bulimba (ha pl. hagysz valami elerhetoseget az egyeb reszben).

Ma modositottunk a helyi wlan biztonsagi megoldasain.
Eddig ipsec-et lehetett hasznalni, ha valaki biztonsagra vagyott, azonban Viktor panaszkodott, hogy bizonyos weboldalak - ki tudja miert - nem erhetoek el azon keresztul.
A konkret megoldas amugy ugy mukodott, hogy a kapcsolodni vagyo kliens egy ipsec tunnelen keresztul kapcsolodott a gatwayhez, ami aztan egybol natolt is neki.

Viszont most valtottunk, mert csak. Megpedig mostantol WPA2 van. Ez azert jo, mert jo esetben nem kell hozza mindenfele elokeszulet, a legtobb rendszer egesz jol tamogatja - ellentetben az ipsec-kel, ami viszont szerintem biztonsagosabb azert.
Linux alatt ez nemigazan bonyolult, ahogy azt mar mas is leirta. Egyetlen problema adodott, megpedig az, hogy a kartyam eredeti firmware-e nem tamogatta a WPA-t. Micsoda szerencse, hogy a PRISM chipset alapu kartyakat linux alol sem tul bonyolult upgradeelni.

Ugyhogy jelenleg aki nagyon paranoias, az akar WPA+ipsec kombot is hasznalhat most nalunk.