Az adatszivárgások anatómiája

linkedin-jelszavakAz előző posztban hivatkoztuk a SecureNetworkx szakmai blogjának azt a bejegyzését, ami alapján gyorsan képbe kerülhetünk minden idők egyik legnagyobb – ha nem a legnagyobb – adatszivárgásáról. Nemrég a SecureNetworkx ügyvezetője, Kocsis Tamás beszélt az ISACA Budapest Chapter második szerdai előadásán arról, hogy hol is tart ma az, amit nevezhetnénk úgy is, adatszivárgás kutatás.

Mielőtt a mélyébe mennénk…
Mára követhetetlenné vált, hogy ténylegesen mennyi érzékeny felhasználói adat is szivárgott ki, ami biztos, hogy gyakorlatilag nincs olyan, aki valamilyen szempontból ne lenne érintett. Elég csak beütni az email címünket a https://haveibeenpwned.com/ oldalon, máris látható, hogy milyen szolgáltatásokat pattintottak meg, amibe a megadott email címmel regisztráltunk és mikor, olyan részletekkel együtt, hogy az email címen kívül a címhez tartozó jelszó is kikerült-e, esetleg “csak” jelszó hash vagy annál sokkal több minden.

Egyre többen valamilyen jelszókezelő alkalmazás használatát javasolják amolyan silver bulletként, amikkel kapcsolatban azért lehet megfogalmazni kritikákat bőven. Ezeknek az alkalmazásoknak a lényege ugye az lenne, hogy egy mesterjelszót kelljen megjegyezni, majd ennek a megadásával a jelszókezelő az adott alkalmazásba kifillezi az ott megadott jelszómezőt. Egy könnyedebb téma, hogy ez miért messze nem a legjobb ötlet. Azt most ugorjuk át, hogy ezek a jelszókezelők is tartalmazhatnak komoly szoftveres sebezhetőségeket, aztán esetleg az a mesterjelszó mégsem védi annyira jól az összes többi jelszót, mint ahogyan azt logikusan gondolnánk. De hogy egy egyszerűbb trükkre gondoljunk, arra sincs 1000%-os garancia, hogy amikor valaki letölt egy 1Passwords-t vagy LastPass-t valamilyen eszközére, akkor a valódi alkalmazást tölti le és nem annak valamilyen megtévesztésig hasonló gonosz klónját egy eltérített oldalról. Ami pedig szerintünk a legkomolyabb rizikó: ha egy laptop vagy asztali gép esetén van egy azonosítatlan keylogger, hiába a jelszómenedzser, a mesterjelszó ellopásával a támadó gyakorlatilag viszi a boltot, az összes jelszót, amit a szolgáltatásra bíztunk. Ha pedig mobileszközről van szó, több esetben találkoztak már olyan esettel, amikor egy, háttérben futó alkalmazás az érintőképernyőt figyelte meg, ami tehát a keylogger mobileszköz-beli megfelelője, belegondolva pedig annál is rosszabb, mivel nehezebb azonosítani.

Amennyiben tartjuk magunkat az erős jelszó elvéhez, valamint ahhoz, hogy mindenhol más jelszót használjunk, mégis mit lehet tenni, ha biztonságban szeretnénk tudni a hozzáféréseinket, ugyanakkor ne kelljen reggelente bemagolni a különböző jelszavakat, de felirkálni se? Eddig nem igazán van normálisabb, széles közben alkalmazható stratégia, mint az, hogy gyakorlatilag az agyunkat használjuk hash-elésre, így a bonyolult jelszavakat is könnyedén meg tudjuk adni, mindenhol mást és mást. Azaz eléggé jó gyakorlat lehet a jelszóképzésre, ha van egy bizonyos, eleve eléggé bonyolult karaktersorozat, aminek a végére biggyesztünk egy olyan karaktersorozatot, amit egy általunk kitalált séma alapján képzünk. Példaként az adott szolgáltatásba való belépéshez szükséges jelszó végét a szolgáltatás mássalhangzóinak számából képezzünk valamilyen logika alapján. Azaz példaként a LinkedIN-be való belépéshez a matyómintás fix sztringünk végére kerül, hogy LnkdN, mivel 5 mássalhanzónk van, ezt felszorozzuk 7-tel, amire osztási szabály sincs, amit pedig kapunk, a végére írunk, így lesz LnkdN35. Mivel a 35 páratlan szám, még egy felkiáltójelet teszünk a végére. Igazából fejszámolás kérdése, hogy milyen cizellált szisztémát találunk ki rá, ami biztos, hogy mondjuk egy Beni19890623LnkdN35! jelszót már annyira nem egyszerű kitalálni az elterjedtebb módszerekkel, feltéve, ha a fix rész a mostani vagy néhai kutyánk neve is, hozzácsapva egy születési dátumot.

Ami a Troy Hunt és mások által feltárt és a nemrég alaposan kivesézett esetet illeti, egyfajta gyorstalpalót mutatunk be amellett, hogy mire lehetnek alkalmasak az érzékeny hozzáférési adatokat tartalmazó halmazok.

A kiszivárgott adathalmazokkal kapcsolatban eleve izgalmas kérdés, hogy vajon mennyi ideje lehetnek elérhetőek, mekkora kör számára, ami biztos, hogy a feketepiaci áruk az idő előrehaladtával csökken, míg idővel ingyenessé válik, ha úgy tetszik, amolyan közkincs lesz. A hagyományos keresőmotorokkal ilyen adathalmazokat keresve amire biztosan lehet számítani, hogy az első értelmes forrás a nagyon sokadik találat lesz, a másik pedig, hogy természetesen több olyan találat is elénk kerülhet, ami nem jelszóadatbázis, hanem konkrétan egy malware, amit nem a legbölcsebb letölteni virtuális gép, erős AV motor vegyvédelmi felszerelés nélkül, előre pedig nem látszik rajta, hogy malware lenne. Ahogy a múltkori előadáson elhangzott, lehetnek olyan paste-oldalakon fellelhető források, amik base64-ben kódolt szövegnek tűnnek, letöltve pedig éles víruskódként fognak működni.

Itt egy konkrét esetet mutatunk be, ami – úgy fest – nem harap. A https://publicdbhost.dmca.gripe/ oldalról letölthető az egyik LinkedIN-breach felhasználói név-jelszó adatbázisa, ami látszólag 2017. májusában került fel erre a helyre, arról viszont szó sincs, hogy a fájl 2017. májusi leakből származó adatokat tartalmazna, egyrészt valószínűleg régebbieket, másrészt láthatóan már egy “átdolgozott kiadásról” van szó, amire hamarosan visszatérek.

Ha egy műértő letölti a fájlt, kibontva egy 11 GB méretű plain textet kap, amit persze nem lehet megnyitni csak úgy. Ennek egyik oka, hogy az oprendszer eleve nem engedi, hogy például egy sima szöveg megnyitására alkalmas szövegszerkesztő rántsa magával az összes rendszererőforrást egy fájl megnyitásával, másrészt a szövegszerkesztőknél nyilván van egy ésszerű méretbeli korlát, aminél nagyobb fájlt nem lehet megnyitni. Az egészet hagyományos szövegként megnyitni természetesen nem is kell. Ha macOS-t vagy egy kényelmesebb linux disztrót használunk, nagyon gyorsan kereshetünk benne parancssori eszközökkel, Windows esetén pedig válasszunk olyan megoldást, amivel elfogadható sebességgel kezelhető a fájl, akár darabolás nélkül. Erre megfelelő lehet a PowerShell, a legelegánsabbak és leggyorsabbak mégis az olyan *nix-es környezetből ismert eszközök, mint amilyen a grep. A grep persze nem része a Windows CLI-nek, viszont a Cygwint vagy annak valamelyik kistestvérét használhatjuk minden további nélkül, ennek a részletezése viszont nem tárgya a posztnak.

A grep a hatalmas fájlban akár regexek alapján is nagyon gyorsan megtalálja, amit keresünk. Ha a fájl tartalmi felépítése nem lenne eleve ismert, akkor persze érdemes az első néhány sort megnézni előtte, amiből kiderül, hogy a fájl email-címeket tartalmaz, kettősponttal elválasztva a hozzá tartozó jelszó hash-sel.

Feltételezzük, hogy nem konkrét felhasználót keresünk, hanem arra vagyunk kíváncsiak, hogy a Lausanne-i Egyetem címével regisztrált felhasználók közt mennyien érintettek. A varázsszó:

grep -i “unli.ch” linkedin_all.txt

Ennek kimenetének egy részletét ezek az ábrán láthatjuk:

linkedin_adatszivargas

A -i paraméter miatt a grep nem finnyáskodik, azaz nem tesz különbséget kis- és nagybetűk közt, a felsorolásban jórészt, de nem kizárólag olyan címeket találunk, amikben szerepel, hogy unil.ch, ezt követi a hash, kettősponttal elválasztva.

Az első, ami eszébe jut annak, aki nem sok ilyet látott, hogy amellett, hogy ezek az adatok már eleve régiek, csak hasheket látunk, ami közvetlen belépésre tehát elvben nem alkalmasak. Ezzel kapcsolatban van néhány rossz hírünk.

A kiszivárgott adatokkal eleve probléma, hogy szinte biztosan élő email címeket tartalmaz, ami aranybánya a spammereknek. Másrészt igaz, hogy nem jelszót látunk, csak hash-t, aminek definíciószerűen az lenne a lényege, hogy ne lehessen belőle visszakövetkeztetni a jelszóra, ez a gyakorlatban nincs így.

Máig vannak olyan szolgáltatások, amik rossz fejlesztői gyakorlatot követve olyan hash-algoritmussal hash-elik a jelszavakat, amiket nem is ilyen célra találtak ki eredetileg, mint amilyen a jelszó hasheléshez egyszerűen gyenge MD5.

A LinkedIN-nél – elvben erős algoritmus használnak, mint a SHA-1 ezek viszont nem ún. salted-hash-ek.

Anélkül, hogy belemennénk a hash-elés matekjába-néprajzába, néhány gyakorlati szempontot mindenképp szem előtt kell tartani. Az egyik, hogy az MD5 már sok-sok évvel ezelőtt is annyira gyenge algoritmusnak számított hash-elésre, hogy egy átlagos gép néhány nap, esetleg néhány óra alatt visszaguberálta belőle a jelszót, a SHA-1 esetén pedig egy-egy számítási felhő pedig hasonlóan eléggé gyorsan végezhet.

Ennek egyik módja az ún. szivárványtáblák használata.

Hogy mit jelentenek az “xxx”-ek egy-másik után a konkrét példában? Jól mutatja, hogy mennyire valós is a veszély, hogy több forrás szerint ilyen-olyan hashkiller szolgáltatásokkal, mint amilyen például a https://hashkiller.co.uk/hash-min-max.aspx visszaguríthatók’ igen bonyolult jelszavak is, ha azok nem voltak alaposan sózva. A xxx jelentése a szövegfájlban, na, az aggodalomra ad okot, minimum. A Cyberforce-n megjelent forrás valószínűsíti, hogy ezek olyan jelszavak hash-lenyomata, amik megegyeznek olyan jelszavak hash-lenyomatával, ami a leggyakrabban használt jelszavak közé tartoznak, ilyen módon túl egyszerű lenne a n00boknak a jelszót kinyerniük belőle, a felkészültebbeknek viszont annál könnyebb. Vagy olyan jelszavak lenyomatai, amit az adott felhasználó más szolgáltatásban is használt, ergo egy korábbi adatszivárgással már össze lett vetve (!!). Alighanem a 2016-os LinkedIN-breach adatbázisában számtalan hash-t találnánk, mint amik a 2012-ben kerültek ki, tehát a felhasználó nem változtatott jelszót ez idő alatt.

Ahogy az ISACA előadásán elhangzott, 2017-ben 816 millió egyedi felhasználói adat szivárgott ki, pontosabban ennyit azonosítottak – nem feltétlenül csak hozzáférési adatok – 2018-ban 621 millió, amihez a mostani “Collection #1”, “Collection #2” megjelenésével együtt alighanem bátran hozzácsaphatunk akár fél-egy milliárdot is. Ahogy a január 9-ei előadáson és a Hacktivity-n előadott előadásban is volt róla szó, paste oldalakon, de a Github-on úgyszintén bőven akad forráskódokban publikusan hagyott API kulcs is, művészbejárót hagyva egy-egy szolgáltatásba.

Régi adat nem vén adat! A témát számos vonatkozásban lehetne még ízlelgetni, ha hirtelen úgy gondolnánk, hogy egy több éves adatbázissal akkor sem lehet mit kezdeni, ha abban plain textben tárolt felhasználói név-jelszó párosok vannak, mint a 000hosting-ot ért támadás eredményeként kikerült gyűjtemény esetén, mivel a felhasználó azóta már úgyis megváltoztatta a jelszavát, valószínűbb, hogy nem. A mezei felhasználók alapvető hozzáállása, hogy ha történt egy adatszivárgás, oldják meg az informatikusok vagy a szolgáltató, ami régen rossz. Ritkább az olyan eset, amikor a szolgáltató jelszóváltoztatásra kényszeríti a felhasználót, a breach-et vagy bejelentik egyáltalán vagy sem, de a felhasználó nem változtat jelszót. Már csak azért sem, mivel már-már érzéketlenné vált arra a hírre, hogy hetente történik valamilyen adatszivárgás. A biztonságtudatosabb felhasználó is emberből van, így ő sem fog feltétlenül jelszót változtatni, amik, ahogyan korábban utaltunk rá, ráadásul gyakran több szolgáltatásban azonosak. így a több évvel ezelőtti gyűjtemények vélhetőleg még mindig használható belépési adatokat tartalmaznak.

Szinte kínos elismételni, hogy mennyire rossz hozzáállás az, ha valaki úgy gondolja, hogy nem lehet célpont, ezért mondjuk úgy, lazára veszi a figurát. Rendszeresen jelennek meg olyan botok, amik például régen frissített CMS-eket támadnak meg és tesznek zombivá, botnethálózat tagjává téve őket. Nemrég egy WordPress core-t érintő sebezhetőség lényegében már ismert jelszavakkal próbált belépkedni, amint pedig sikerült neki, olyan módon módosította a blogmotor kódját, hogy az más WordPress-oldalakat fertőzzön meg.

Hogy az adatszivárgások hogyan észlelhetők a leghamarabb, már-már elfogadható időn belül, egy későbbi posztban beszámolunk, olyan részletekre nem tértünk ki, hogy mi az, amit semmiképp ne tegyünk, ha nyugodtan szeretnénk aludni. Az index.hu valamelyik cikkében a szerző egy korábbi adatszivárgás kapcsán még meg is írta, hogy az adatok hitelességét úgy ellenőrizték, hogy beléptek az érintett szolgáltatásba. Az ilyen adatokon jól vizsgálható több minden a felhasználói magatartással kapcsolatban az „öreg jelszó nem vén jelszó” elven túl. Ha valakinek egy belépési adat tudomására jut, önmagában azzal nem sérti meg a törvényt. Ha viszont annyira ostoba, hogy ellenőrzésként belép valaki más nevében egy szolgáltatásba, így információkhoz juthat, amihez semmi köze, azonnal. Arról nem is beszélve, hogy az egyre kifinomultabb szolgáltatások kiszúrják, ha szokatlan helyről történik bejelentkezés helyes felhasználói név-jelszó párossal és zárolják a fiókot, amit aztán a tényleges tulajdonosa vagy fel tud oldani ésszerű idő alatt vagy sem.

kép: CSOOnline

2018: adatszivárgások, dráguló 0 dayek, átértékelődő tudás

Security-German-Parliament-Building-1044456572-wVisszatekintő és egyben beharangozó poszt 2 in 1. Ha mindenképp mondani kellene valamit azzal kapcsolatban, hogy miről is szólt az elmúlt egy év az információbiztonság területén és csak egyvalamit lehetne kiemelni, alighanem az adatszivárgás egyre félelmetesebb kiterjedése lenne az. Aminek a hatásai ráadásul túlnyúlnak a korábbi adatszivárgási esetek hatásain.

Amikor a mainstream sajtóban is lehet olvasni egy-egy nagyobb adatszivárgásról, nem csoda, ha az olvasó simán csak gördít tovább, annyi fut át a fején, hogy az előző héten 100 millió személyes adatot loptak el innen, most 200 milliót amonnan, a többi meg kit érdekel, egyébként is foglalkozzanak vele az informatikusok. Ez már önmagában eléggé nagy probléma, ugyanis más hozzáállással a felhasználók ilyenkor legalább a jelszavukat változtatnák meg, de a közösségi webes szolgáltatások többsége ezt nem kényszeríti a felhasználóktól.

Ráadásul semmi meglepő nincs abban, hogy egy-egy tényleges adatszivárgás és annak széles körben nyilvánosságra kerülése közt akár évek is eltelhetnek, mivel a lopott adatokat sokszor először a feketepiacon kínálják eladásra.

És ugye vannak azok az esetek, amikor egy többé-kevésbé jól behatárolható kör információi kerülnek ki, konkrétabban politikusok és más, vezető pozícióban lévő személyek elérhetőségei, személyes fotói, levelezésük egy része és talán jobb nem tudni, hogy ezen kívül még mi. Ezt is el lehetne intézni egy vállrándítással, hiszen egyszerűsített megközelítésben az, hogy kikerült pár email-cím, mobilszám és üzenetváltás, nem tűnik különösebben érzékeny információnak. A dermesztő az, hogy valóban semmiről nem lehet azt mondani, hogy biztosan nem érzékeny információ.

Ha nagyon vissza szeretnék menni Ádámig-Éváig, akkor érdemes fellapozni a social engineering és a kormányzati hátterű HUMINT irodalmát, amiben azt találjuk, hogy egy támadó minél többet tud valakiről, annál inkább képes rá, hogy esetleg megszemélyesítse vagy közeli informális kapcsolatba kerüljön az áldozat egy közeli ismerősével, akiből megfelelő műfogásokkal viszont már igenis érzékeny információkat húzhat ki. Ennek a hatása pedig bizonyos esetekben nagyságrendekkel nagyobb, mint amennyire először tűnik. Ezekkel a módszerekkel hírszerzők, ha meg elhárítók kerülhetnek közeli kapcsolatba diplomatákkal vagy olyanokkal, akik érzékony adatokhoz férhetnek hozzá, ami túl bonyolultnak, na meg paranoidnak tűnik ahhoz, hogy igaz legyen, a szakirodalom számára viszont a jelenség abszolút nem új.

Mielőtt a friss német adatszivárgási botrányra rátérnénk, érdemes megtorpanni egy percre és utánaolvasni annak, hogy valóban ennyire rafináltak-e azok, akik számára fontos, hogy érzékeny információhoz jussanak és ezen keresztül egy-egy döntéshozót indirekt módon befolyásoljanak is. A New York Times néhány hónappal ezelőtt hozta a hírt, ami szerint Donald Trumpot máig nem sikerült hozzászoktatni ahhoz, hogy kellően biztonságos csatornákat használjon.

A cikk kiemeli, ami kevesek számára egyáltalán nem új, nagyon sokak számára viszont bőven kémfilmbe illő lehet, csak éppen maga a jelenség unalmasabb annál. Történetesen arról van szó, hogy ha egy támadó aktor le tudja hallgatni, hogy egy célszemély az informális kommunikációja során, akár a magánbeszélgetéseiben általában milyen gondolati sémák jelennek meg, akkor ezt tovább fejve rendkívül értékes információkhoz jutnak a támadók azzal kapcsolatban, hogy az adott vezetőt például milyen érvek mentén lehet meggyőzni, milyen húrokat kell nála megpendíteni ahhoz, hogy egy álláspontra helyezkedjen olyannal, akivel egyébként nem tette volna, egyszóval egyfajta térképhez jutnak azzal kapcsolatban, hogy a célszemély hogyan manipulálható akár a tömegkommunikáción keresztül, akár egy-egy diplomáciai esemény alkalmával. Ha ez történetesen a világ egyik legbefolyásosabb államának vezetőjével történik, joggal ad alapot aggodalomra.

Ami a friss német adatszivárgást illeti, mondhatnánk: változatok pepitában és tényleg. Az ilyen incidensek kivizsgálását ráadásul tovább bonyolítja, hogy ha a támadók tehetik, miért is ne tennék, hogy sokkal több információt lopnak el, valójában viszont csak néhány személlyel kapcsolatos információkra kíváncsiak ténylegesen, azaz kik a tényleges célpontok.

Szó sincs róla, hogy régen minden jobb volt, aztán mostanra ide jutott a világ, sokkal inkább arról, hogy összehasonlíthatatlanul nagyobb és átláthatatlanabb a támadási felület, ami érhet például egy politikust.

Visszatérve a több százmillió felhasználót érintő adatszivárgásokra, ahogy említettük, az ilyen datasetek először a feketepiacon landolnak, majd jóval később válnak széles körben elérhetővé, mondjuk akkor, amikor már gyakorlatilag minden érdekelt fél számára úgyis elérhetőek, még a dark web mélyére sem kell feltétlenül alászállni hozzá.

Érdekes áthallás, hogy éppen most a bejelentett, 0 day sebezhetőségekért fizetett összegek hirtelen többszörösére emelkedtek, amik mutatják egyrészt a különböző platformok kitettségét leginkább, nem feltétlenül például a bonyolultságukat. A bug bounty programok egyre nagyobb és nagyobb összegeket fizetnek, viszont több esetben joggal feltételezhettük, hogy ugyanazt a sebezhetőséget egymástól függetlenül többen is megtalálták, ki is használhatták, el is adhatták a feketepiacon egészen addig, amíg egy etikus hekker be nem jelentette. Ez nem az a terület, ahol megengedhetnénk azt a luxust, hogy gyenge lábakon álló feltételezésekbe bocsátkozzunk, például arra, hogy a sebezhetőség felfedezője esetleg előzetesen ki is használta azt. Viszont találni példát a neten olyan esetre, amikor valaki bejelentett egy sebezhetőséget, nagyon hangsúlyozta, hogy de bizony azt tényleg eskübecsszó’ nem használta ki, aztán kiderült, hogy dehogy is nem. Mindenki elhelyezhető egy képzeletbeli vonalzón, aminek egyik végén a homo economicus van, amelyik a maximális profitot szeretné viszontlátni mindenből, függetlenül például annak etikusságától, a vonalzó másik végén pedig a teljesen altruista ember.

Csak a nyilvánosságra került információkból lehetne nagyon óvatos becslést mondani azzal kapcsolatban, hogy mennyi olyan nulladik napi sebezhetőség lappanghat az olcsó mobiloktól kezdve egészen a pénzintézetek kritikus fontosságú informatikai eszközeiig. Erre nagyon jó példa az NSA néhány évvel ezelőtt kikerült vagy kiszivárogtatott EternalBlue exploitja, ami rekord sokáig lappangott észrevétlenül és alig volt olyan eszköz, amit ne érintett volna, de lehetne még hozni példákat matuzsálemi korú sebezhetőségekre bőven.

Az, hogy mennyi sebezhetőséget jelentenek, majd javítanak is, világos, ahogyan az is, hogy az adott sebezhetőség egy adott szolgáltatásban mennyi ideje lehetett kihasználható. Nem egy esetben viszont kiderült, hogy a sebezhetőséget már ki is használták korábban, éljünk azzal a feltételezéssel, hogy nem éppen az, aki a hibát jelentette, ami azért bárki számára izgalmas pillanatokat okoznak a jövőre nézve.

A blogon korábban már elmélkedtünk róla, hogy magukról a nyomozati módszerekről miért nem nagyon beszélnek a rendvédelmi és titkosszolgálati szervek, teljesen más alapon nyugszik, de például egy-egy kitűnő stratégiát vagy technikát alkalmazó online marketinges vagy éppen background checkinget végző HR-es sem fog mindent elmondani arról, amit a munkájában használ, legfeljebb nagyon felületesen. Shared-intelligence? Létezik is, meg nem is.

Igaz, például a Redditen a vicces nevű, ámde annál komolyabb RBI gyakran gyorsabban megold minimális információk alapján egy-egy bűnügyet, mint maga a hatóság, holott “csak” lelkes önkéntesek használják az RBI-t.

Viszont annak is nagyon sok racionális, érthető oka lehet, hogy egy-egy terület specialistája miért nem tesz ki a kirakatba egy-egy módszert, csak magát a kért információt adja át. Hogy ne is hozzunk bonyolultabb példát, nincs benne semmi meglepő, ha valaki elgondolkozik rajta, hogy mekkora értékvesztéssel jár, ha megoszt valami olyan ismereteket szélesebb körben, ami egyébként csak nagyon kevesek számára ismert. Azon pedig aztán senki se lepődjön meg, ha az átadott ismerettel, azok saját területén való alkalmazásával majd tényleg pofátlan összegeket keres más. Hogy messzebbre ne is menjünk, az egyik legnehezebb meghúzni az értelmes határt azzal kapcsolatban, hogy mennyire jár értékvesztéssel, ha megosztunk valamit, ami éppen attól lesz kevésbé értékes, mert többen tudnak róla. Arról a bosszantó jelenségről meg aztán nem is beszélve, hogy sokszor akár tényfeltáró újságírók, akár különböző cégek konkurrencia figyelésére szakosodott alkalmazottak ezeket a módszereket úgy használják, mintha maguknak kaparták volna ki a gesztenyét, amivel még nem is lenne különösebb probléma. Azzal viszont elvi probléma igenis adódik, hogy például a data journalism területén szakértőként dolgozó data scientistek töredék összeget nem látnak egy kiadó áttételesen szerzett nyereségéből, de valószínűbb, hogy különösebben nem is érdekli őket. Business intelligence? Open-source intelligence? Ipari kémkedés? Eléggé komoly fogalomzavar volt mindig is ezekkel a fogalmakkal kapcsolatban, amit viszont Vadász Pál egészen friss PhD-je próbál helyre tenni (A szemantikus keresés módszerei és alkalmazási lehetőségei a védelmi szférában, a közigazgatásban, illetve a gazdasági életben), megjegyzem, egészen jól.

Summázva, alighanem nem légből kapott kijelenteni, hogy a keménykötésű etikus hekkerek sejthetően éppen a leginkább juicy sebezhetőségek egy részét ugyanúgy nem hozzák nyilvánosságra, mint ahogy nem hoz minden módszert nyilvánosságra egy OSINT-szaki sem, főleg akkor, ha olyan helyzetben van, hogy máshol ugyanazt a szaktudást összehasonlíthatatlanul jobban forintosíthatná. Az más kérdés, hogy ennek a piacát eleve nem könnyű megtalálni, ha pedig csak Magyarországban gondolkozunk, hírek terén nem vagyunk a fact-checking, cégek esetén a céges screening, fontos pozícióba jelölt pályázók esetén pedig a background checking őshazája.

Mindegy is, hogy nulladik napi sebezhetőségről, egy-egy keresési technikáról vagy éppen arról van szó, nincs ebben semmi meglepő, ahogy például teljesen alapvető, hogy egy-egy kiskereskedő sem fogja elárulni, hogy ő honnan szerez árut. Hogy tovább menjek, Hippokratesz eredeti esküszövege is tartalmaz egy azzal kapcsolatos passzust, hogy a szakmán belül a szakmai információk megoszthatók, viszont kívülállóknak nem.

“To hold my teacher in this art equal to my own parents; to make him partner in my livelihood; when he is in need of money to share mine with him; to consider his family as my own brothers, and to teach them this art, if they want to learn it, without fee or indenture; to impart precept, oral instruction, and all other instruction to my own sons, the sons of my teacher, and to indentured pupils who have taken the physician’s oath, but to nobody else.

“oktatom őket ebben a tudományban, ha erre szentelik magukat, mégpedig díjtalanul; továbbá az orvosi tudományt áthagyományozom fiaimra és azokra, akik az orvosi esküt leteszik, másokra azonban nem.

A tudás mindenkié? Ugye, már az ókorban sem volt egyértelműen megválaszolható kérdés. A cikk folytatásában az OSINT egy specializált területét járjuk kicsit körül, amit jobb magyar nyelvű terminus híján nevezhetünk CTI-net a Cyber Threat Intelligence után. Az idei Hacktivity egyik legjobb, – ha nem a legjobb – előadása éppen erről szólt: hogyan lehet jól kihegyezett eszközökkel az adatszivárgásokat időben észlelni, ezeket a megfelelő helyre hogyan érdemes reportálni és hogyan semmiképp sem. Addig is, ízelítő videó Pystemon-PasteHunter-AIL témában erre.

kép: Wired