2018: adatszivárgások, dráguló 0 dayek, átértékelődő tudás

Security-German-Parliament-Building-1044456572-wVisszatekintő és egyben beharangozó poszt 2 in 1. Ha mindenképp mondani kellene valamit azzal kapcsolatban, hogy miről is szólt az elmúlt egy év az információbiztonság területén és csak egyvalamit lehetne kiemelni, alighanem az adatszivárgás egyre félelmetesebb kiterjedése lenne az. Aminek a hatásai ráadásul túlnyúlnak a korábbi adatszivárgási esetek hatásain.

Amikor a mainstream sajtóban is lehet olvasni egy-egy nagyobb adatszivárgásról, nem csoda, ha az olvasó simán csak gördít tovább, annyi fut át a fején, hogy az előző héten 100 millió személyes adatot loptak el innen, most 200 milliót amonnan, a többi meg kit érdekel, egyébként is foglalkozzanak vele az informatikusok. Ez már önmagában eléggé nagy probléma, ugyanis más hozzáállással a felhasználók ilyenkor legalább a jelszavukat változtatnák meg, de a közösségi webes szolgáltatások többsége ezt nem kényszeríti a felhasználóktól.

Ráadásul semmi meglepő nincs abban, hogy egy-egy tényleges adatszivárgás és annak széles körben nyilvánosságra kerülése közt akár évek is eltelhetnek, mivel a lopott adatokat sokszor először a feketepiacon kínálják eladásra.

És ugye vannak azok az esetek, amikor egy többé-kevésbé jól behatárolható kör információi kerülnek ki, konkrétabban politikusok és más, vezető pozícióban lévő személyek elérhetőségei, személyes fotói, levelezésük egy része és talán jobb nem tudni, hogy ezen kívül még mi. Ezt is el lehetne intézni egy vállrándítással, hiszen egyszerűsített megközelítésben az, hogy kikerült pár email-cím, mobilszám és üzenetváltás, nem tűnik különösebben érzékeny információnak. A dermesztő az, hogy valóban semmiről nem lehet azt mondani, hogy biztosan nem érzékeny információ.

Ha nagyon vissza szeretnék menni Ádámig-Éváig, akkor érdemes fellapozni a social engineering és a kormányzati hátterű HUMINT irodalmát, amiben azt találjuk, hogy egy támadó minél többet tud valakiről, annál inkább képes rá, hogy esetleg megszemélyesítse vagy közeli informális kapcsolatba kerüljön az áldozat egy közeli ismerősével, akiből megfelelő műfogásokkal viszont már igenis érzékeny információkat húzhat ki. Ennek a hatása pedig bizonyos esetekben nagyságrendekkel nagyobb, mint amennyire először tűnik. Ezekkel a módszerekkel hírszerzők, ha meg elhárítók kerülhetnek közeli kapcsolatba diplomatákkal vagy olyanokkal, akik érzékony adatokhoz férhetnek hozzá, ami túl bonyolultnak, na meg paranoidnak tűnik ahhoz, hogy igaz legyen, a szakirodalom számára viszont a jelenség abszolút nem új.

Mielőtt a friss német adatszivárgási botrányra rátérnénk, érdemes megtorpanni egy percre és utánaolvasni annak, hogy valóban ennyire rafináltak-e azok, akik számára fontos, hogy érzékeny információhoz jussanak és ezen keresztül egy-egy döntéshozót indirekt módon befolyásoljanak is. A New York Times néhány hónappal ezelőtt hozta a hírt, ami szerint Donald Trumpot máig nem sikerült hozzászoktatni ahhoz, hogy kellően biztonságos csatornákat használjon.

A cikk kiemeli, ami kevesek számára egyáltalán nem új, nagyon sokak számára viszont bőven kémfilmbe illő lehet, csak éppen maga a jelenség unalmasabb annál. Történetesen arról van szó, hogy ha egy támadó aktor le tudja hallgatni, hogy egy célszemély az informális kommunikációja során, akár a magánbeszélgetéseiben általában milyen gondolati sémák jelennek meg, akkor ezt tovább fejve rendkívül értékes információkhoz jutnak a támadók azzal kapcsolatban, hogy az adott vezetőt például milyen érvek mentén lehet meggyőzni, milyen húrokat kell nála megpendíteni ahhoz, hogy egy álláspontra helyezkedjen olyannal, akivel egyébként nem tette volna, egyszóval egyfajta térképhez jutnak azzal kapcsolatban, hogy a célszemély hogyan manipulálható akár a tömegkommunikáción keresztül, akár egy-egy diplomáciai esemény alkalmával. Ha ez történetesen a világ egyik legbefolyásosabb államának vezetőjével történik, joggal ad alapot aggodalomra.

Ami a friss német adatszivárgást illeti, mondhatnánk: változatok pepitában és tényleg. Az ilyen incidensek kivizsgálását ráadásul tovább bonyolítja, hogy ha a támadók tehetik, miért is ne tennék, hogy sokkal több információt lopnak el, valójában viszont csak néhány személlyel kapcsolatos információkra kíváncsiak ténylegesen, azaz kik a tényleges célpontok.

Szó sincs róla, hogy régen minden jobb volt, aztán mostanra ide jutott a világ, sokkal inkább arról, hogy összehasonlíthatatlanul nagyobb és átláthatatlanabb a támadási felület, ami érhet például egy politikust.

Visszatérve a több százmillió felhasználót érintő adatszivárgásokra, ahogy említettük, az ilyen datasetek először a feketepiacon landolnak, majd jóval később válnak széles körben elérhetővé, mondjuk akkor, amikor már gyakorlatilag minden érdekelt fél számára úgyis elérhetőek, még a dark web mélyére sem kell feltétlenül alászállni hozzá.

Érdekes áthallás, hogy éppen most a bejelentett, 0 day sebezhetőségekért fizetett összegek hirtelen többszörösére emelkedtek, amik mutatják egyrészt a különböző platformok kitettségét leginkább, nem feltétlenül például a bonyolultságukat. A bug bounty programok egyre nagyobb és nagyobb összegeket fizetnek, viszont több esetben joggal feltételezhettük, hogy ugyanazt a sebezhetőséget egymástól függetlenül többen is megtalálták, ki is használhatták, el is adhatták a feketepiacon egészen addig, amíg egy etikus hekker be nem jelentette. Ez nem az a terület, ahol megengedhetnénk azt a luxust, hogy gyenge lábakon álló feltételezésekbe bocsátkozzunk, például arra, hogy a sebezhetőség felfedezője esetleg előzetesen ki is használta azt. Viszont találni példát a neten olyan esetre, amikor valaki bejelentett egy sebezhetőséget, nagyon hangsúlyozta, hogy de bizony azt tényleg eskübecsszó’ nem használta ki, aztán kiderült, hogy dehogy is nem. Mindenki elhelyezhető egy képzeletbeli vonalzón, aminek egyik végén a homo economicus van, amelyik a maximális profitot szeretné viszontlátni mindenből, függetlenül például annak etikusságától, a vonalzó másik végén pedig a teljesen altruista ember.

Csak a nyilvánosságra került információkból lehetne nagyon óvatos becslést mondani azzal kapcsolatban, hogy mennyi olyan nulladik napi sebezhetőség lappanghat az olcsó mobiloktól kezdve egészen a pénzintézetek kritikus fontosságú informatikai eszközeiig. Erre nagyon jó példa az NSA néhány évvel ezelőtt kikerült vagy kiszivárogtatott EternalBlue exploitja, ami rekord sokáig lappangott észrevétlenül és alig volt olyan eszköz, amit ne érintett volna, de lehetne még hozni példákat matuzsálemi korú sebezhetőségekre bőven.

Az, hogy mennyi sebezhetőséget jelentenek, majd javítanak is, világos, ahogyan az is, hogy az adott sebezhetőség egy adott szolgáltatásban mennyi ideje lehetett kihasználható. Nem egy esetben viszont kiderült, hogy a sebezhetőséget már ki is használták korábban, éljünk azzal a feltételezéssel, hogy nem éppen az, aki a hibát jelentette, ami azért bárki számára izgalmas pillanatokat okoznak a jövőre nézve.

A blogon korábban már elmélkedtünk róla, hogy magukról a nyomozati módszerekről miért nem nagyon beszélnek a rendvédelmi és titkosszolgálati szervek, teljesen más alapon nyugszik, de például egy-egy kitűnő stratégiát vagy technikát alkalmazó online marketinges vagy éppen background checkinget végző HR-es sem fog mindent elmondani arról, amit a munkájában használ, legfeljebb nagyon felületesen. Shared-intelligence? Létezik is, meg nem is.

Igaz, például a Redditen a vicces nevű, ámde annál komolyabb RBI gyakran gyorsabban megold minimális információk alapján egy-egy bűnügyet, mint maga a hatóság, holott “csak” lelkes önkéntesek használják az RBI-t.

Viszont annak is nagyon sok racionális, érthető oka lehet, hogy egy-egy terület specialistája miért nem tesz ki a kirakatba egy-egy módszert, csak magát a kért információt adja át. Hogy ne is hozzunk bonyolultabb példát, nincs benne semmi meglepő, ha valaki elgondolkozik rajta, hogy mekkora értékvesztéssel jár, ha megoszt valami olyan ismereteket szélesebb körben, ami egyébként csak nagyon kevesek számára ismert. Azon pedig aztán senki se lepődjön meg, ha az átadott ismerettel, azok saját területén való alkalmazásával majd tényleg pofátlan összegeket keres más. Hogy messzebbre ne is menjünk, az egyik legnehezebb meghúzni az értelmes határt azzal kapcsolatban, hogy mennyire jár értékvesztéssel, ha megosztunk valamit, ami éppen attól lesz kevésbé értékes, mert többen tudnak róla. Arról a bosszantó jelenségről meg aztán nem is beszélve, hogy sokszor akár tényfeltáró újságírók, akár különböző cégek konkurrencia figyelésére szakosodott alkalmazottak ezeket a módszereket úgy használják, mintha maguknak kaparták volna ki a gesztenyét, amivel még nem is lenne különösebb probléma. Azzal viszont elvi probléma igenis adódik, hogy például a data journalism területén szakértőként dolgozó data scientistek töredék összeget nem látnak egy kiadó áttételesen szerzett nyereségéből, de valószínűbb, hogy különösebben nem is érdekli őket. Business intelligence? Open-source intelligence? Ipari kémkedés? Eléggé komoly fogalomzavar volt mindig is ezekkel a fogalmakkal kapcsolatban, amit viszont Vadász Pál egészen friss PhD-je próbál helyre tenni (A szemantikus keresés módszerei és alkalmazási lehetőségei a védelmi szférában, a közigazgatásban, illetve a gazdasági életben), megjegyzem, egészen jól.

Summázva, alighanem nem légből kapott kijelenteni, hogy a keménykötésű etikus hekkerek sejthetően éppen a leginkább juicy sebezhetőségek egy részét ugyanúgy nem hozzák nyilvánosságra, mint ahogy nem hoz minden módszert nyilvánosságra egy OSINT-szaki sem, főleg akkor, ha olyan helyzetben van, hogy máshol ugyanazt a szaktudást összehasonlíthatatlanul jobban forintosíthatná. Az más kérdés, hogy ennek a piacát eleve nem könnyű megtalálni, ha pedig csak Magyarországban gondolkozunk, hírek terén nem vagyunk a fact-checking, cégek esetén a céges screening, fontos pozícióba jelölt pályázók esetén pedig a background checking őshazája.

Mindegy is, hogy nulladik napi sebezhetőségről, egy-egy keresési technikáról vagy éppen arról van szó, nincs ebben semmi meglepő, ahogy például teljesen alapvető, hogy egy-egy kiskereskedő sem fogja elárulni, hogy ő honnan szerez árut. Hogy tovább menjek, Hippokratesz eredeti esküszövege is tartalmaz egy azzal kapcsolatos passzust, hogy a szakmán belül a szakmai információk megoszthatók, viszont kívülállóknak nem.

“To hold my teacher in this art equal to my own parents; to make him partner in my livelihood; when he is in need of money to share mine with him; to consider his family as my own brothers, and to teach them this art, if they want to learn it, without fee or indenture; to impart precept, oral instruction, and all other instruction to my own sons, the sons of my teacher, and to indentured pupils who have taken the physician’s oath, but to nobody else.

“oktatom őket ebben a tudományban, ha erre szentelik magukat, mégpedig díjtalanul; továbbá az orvosi tudományt áthagyományozom fiaimra és azokra, akik az orvosi esküt leteszik, másokra azonban nem.

A tudás mindenkié? Ugye, már az ókorban sem volt egyértelműen megválaszolható kérdés. A cikk folytatásában az OSINT egy specializált területét járjuk kicsit körül, amit jobb magyar nyelvű terminus híján nevezhetünk CTI-net a Cyber Threat Intelligence után. Az idei Hacktivity egyik legjobb, – ha nem a legjobb – előadása éppen erről szólt: hogyan lehet jól kihegyezett eszközökkel az adatszivárgásokat időben észlelni, ezeket a megfelelő helyre hogyan érdemes reportálni és hogyan semmiképp sem. Addig is, ízelítő videó Pystemon-PasteHunter-AIL témában erre.

kép: Wired

A DMARC, mint a hamisított levelek mérésének lehetséges eszköze

levelszemetMióta email létezik, létezik levélszemét is, a spam pedig nem meglepő módon egyidős a spamek ellen vívott küzdelemmel.

Már filozófiájukban rendkívül eltérőek a különböző levelezőrendszerek azzal kapcsolatban, hogy a spameket hogyan kezeljék, a paletta pedig egészen elképesztően széles. Van olyan levelezőrendszer, ami aztán tényleg mindent beenged, hacsak nem open relay-en keresztül érkezik, van, amelyik végigvizsgál több, hatalmas méretű rDNSBL  alapú adatbázist, mint amilyen a http://multirbl.valli.org/ többek közt az után kutatva, hogy a fejlécben szereplő hosztnevek és címek valamelyike összefüggésbe hozható-e esetleg valamilyen spamkampánnyal vagy botnethálózattal. A megoldás máig a Spamassassin egyik legfontosabb eleme.

Persze a jó spamfilter a levél tartalmát és fejlécét együttesen elemzi annak eldöntésére, hogy egy levél milyen valószínűséggel spam, gyakorlatilag minden rendszer lehetőséget ad a rendszer tanítására, azaz, hogy a felhasználó kézileg jelölhessen meg leveleket spamként vagy spambe került legitim leveleket legitim levélként. Az ilyen tanulórendszerek egyik legegyszerűbben megérthető típusa a Bayes-valószínűségen illetve a Bayes-féle valószínűségi hálókon alapul.

Az előbbi lényegét a következőképp lehetne szemléltetni nagyon egyszerűsítve: ha egy levelezőrendszerre érkezik 1000 olyan legitim levél, amiben nem szerepel a Viagra kifejezés, emellett másik 1000 levél, amikben szerepel a Viagra kifejezés, de ezek közül 950 spamként lett a felhasználók által megjelölve, a háló úgymond megtanulja ezt, így a későbbiekben érkező levelekben ha szerepel a Viagra kifejezés, az már eleve a spambe fog érkezni, mivel a spamszűrő annyira nagy valószínűséggel találja spamnek (spam score).

Vannak levelezőrendszerek, így a Google levelezőszolgáltatása és annak vállalati verziója, ami szinte teljes titokba tartja, hogy milyen logikák alapján szűrik a spamet. A transzparencia hiánya elsőre nem tűnik túl kedvesnek, de éppen emiatt a spammerek kevésbé tudják kijátszani a rendszert. Kevéssé ismert, de a Gmail nem a Google fejlesztése, eredetileg a Postini felvásárlásával került a Google-höz és lett Gmail, arra pedig mindenki emlékszik, hogy milyen hangzatos kritikákat kapott a Google amiatt, hogy az összes levél tartalmát „olvassa”. Szigorúan idézőjelbe olvassa. Mert annak kevésbé lett volna hírértéke a sajtóban, hogy a levelek tartalmi elemzése gépi úton történik, statisztikai célok érdekében. Többek közt ennek köszönhető, hogy a Gmail spamszűrője relatív ritkán téved. Olyannyira, hogy a SpamAssassin alighanem nem kegyelmezne egy olyan levélnek, aminek a törzsében többször is szerepel a Viagra kifejezés, míg a Gmail-nél vagy G Suite-nál alighanem nem akadna el olyan esetben, amikor a címzett vagy a feladó történetesen gyógyszerész vagy rendszeresen leveleznek olyan témában, ami alapján valószínűsíthető, hogy a levél nem spam.
Ami még izgalmasabb kérdés, hogy mennyien, kik, honnan küldenek spamet a mi nevünkben, a mi email címünkkel vagy csak a mi domainünkről? Ez a spamvédelem kevésbé ismert oldala. Egy egyszerű beállítással megoldható, ám a mai napig nem terjedt el kellően.

Jól ismert, hogy az email szabványai nem írják elő, hogy annak, ami megjelenik a címzett mezőben, egyeznie kell például a levelezőrendszer által azonosított felhasználó email-címével, de éppenséggel lehet üres is. Röviden: az email önmagában gyakorlatilag tetszőlegesen hamisítható, más kérdés, hogy a hosszú fejléc alapján ez tipikusan azonnal kiderül.

Ismerős lehet a levelezőrendszerek azon lehetősége, hogy másik címmel, normális esetben a sajátunkkal küldhetünk emailt anélkül, hogy az éppen használt levelezőrendszerből ki kellene lépni, sőt, ettől az email még mindig szabályos és bizonyíthatóan legitim marad normális beállítás esetén. Gondoljunk csak a Gmail, Outlook, Yahoo behalf of lehetőségére. A címzett oldalán vagy jelzi vagy sem, hogy a feladó kényelemből esetleg a céges postafiókból küldött levelet, de a privát címével, esetleg fordítva. Az ilyen leveleket tehát nem fogja meg a spamfilter.

Ugyanakkor előfordulhat, hogy a küldő rendszer, ami behalf of módon küldene emailt, egyszerűen nincs erre normálisan felkészítve, a fogadó rendszer nincs illedelmesen konfigurálva, aminek eredményeként a levél a levélszemétbe került. Ahogyan az sem zárható ki, hogy valaki ténylegesen létező email címet hamisít spamek küldéséhez, ekkor a spamfilter jó esetben észlel. Mégis, kik a küldők, honnan küldhetik a leveleket, esetleg mennyi olyan levelet küldtünk, amit tévesen azonosított spamként a címzett rendszere? Erre kínál megoldást a DMARC.

A technológia lényege, hogy a levelezőrendszer, tipikusan egy napos időközönként szolgáltat információt arról XML-ben egy külső szolgáltatónak, hogy a beérkező levelek közül mennyi volt hamisított levél az SPF-szabály vagy a DKIM-szignatúra alapján. Valamint az adott levelezőrendszerekről más levelezőrendszerek küldenek hasonló jelentést.

Nagyon fontos megjegyezni, hogy a DMARC reportot értelmezni kell, miután alaposan megértettük a működését. Azaz például hiába látszik a reportban, hogy a levél az SPF vagy a DKIM ellenőrzésen, esetleg mindkettőn elbukott, a címzett nem biztos, hogy ettől spambe tette, ugyan nagy a valószínűsége, hogy igen. Másrészt a többihez hasonlóan itt is egy (E)DNS alapú ellenőrzésről van szó, annak minden hátrányával együtt. Azaz például ha a címzett az SPF-et és a DKIM-et nem tudja eléggé gyorsan kiértékelni a DNS lassúsága miatt, tipikusan akkor, ha ha az SPF kiértékelése túl sok túl sok névfeloldást igényelne, akkor a címzett úgy tekinti, hogy az email nem valid, aztán vagy spambe teszi vagy sem.

dmarc-rekord-email-hitelesites.png

Mi kell mindehhez? A netacademia.net domain példáján keresztül érthetőbb lesz:

A _dmarc.netacademia.net ben rögzített érték a következő:

v=DMARC1; p=none; rua=mailto:ad6221eb84ab177@rep.dmarcanalyzer.com; ruf=mailto:ad6221eb84ab177@for.dmarcanalyzer.com; sp=none; fo=1;”

a v utáni érték jelzi, hogy a DMARC hanyas verziójáról van szó, a p, mint policy azt közli a címzettel, hogy ha a levelet nem találja legitimnek, jegyezze fel (none), de ne tegyen vele mást, esetleg tegye karanténba (quarantaine) vagy dobja el (reject), a rua utáni érték azt az email címet tartalmazza, amire XML formátumban továbbítódnak a címzettek visszajelzései összegezve, az sp azt, hogy a domain alá tartozó domainekre is ez a szabály vonatkozzon-e, a fo-nál pedig jelölhetjük, hogy csak az SPF-problémát, csak a DKIM-problémát vagy mindkettőt tegye a reportba, mint fals levél. Ezen kívül beállíthatók további paraméterek, amik hiányában a hozzájuk tartozó alapértelmezett érték adott. Ilyen például a ri, azaz reporting interval, ami alapértelmezés szerint egy nap.

dmarc-beallitas-1

dmarc-beallitas-2

Nem mélyedünk el a DMARC beállításával kapcsolatos best practice-be, például abba, hogy hiába tűnik jó ötletnek policyként a none helyett szigorúbbat megadni, ha valahol hiba csúszik az email authentikációba, falspozitívként nyelődhet el egy egyébként teljesen legitim levél, viszont a none is igen erős jelzés a spamszűrők felé.

Ezen kívül megtekinthetjük, hogy más levelezőrendszerek mennyi spamet jelentettek valamint a mi nevükben mennyi hamisított levelet próbáltak küldeni.

A mailhosting fortélyairól, az EDNS működéséről hamarosan közérthető, mégis szakszerű sorozatokat találhattok a Netacademia Tudástárban a slusszkulcs meghívókód megadása után.

Kép: Securelist, Moonmail