Impresszum Help Sales ÁSZF Panaszkezelés DSA

Konferenciahekkelés, like a boss 

Alighanem már majdnem mindenkivel előfordult, hogy elment volna egy konferenciára, de lekéste a regisztrációt, vagy más okból nem jutott meghívóhoz szabályosan, de valamilyen okból ott kellett lennie. Nemcsak a vérbő sz*r, önmagukat kommunikációs- és médiakonferenciának nevezni merészelő rendezvényekre gondolok, ahol értelmes gondolattal nem találkozik az ember, beképzelt, semmihez sem értő beképzelt taplóval bezzeg Sió-csatornát lehetne rekeszteni, de azért az ember kibírja valahogy az esti ingyenes koncert, marhapöri és bor miatt. 

Szinte mindegy, hogy milyen szakmai vagy szakmainak nevezett rendezvényről van szó és az is, hogy mi miatt kell ott lenni, ha például tisztában vagyunk vele, hogy a regisztrációs díj nevetségesen túl van árazva az egész nívójához képest, a beugrót a cég nem fizeti, marad a bejutás. 

Vegyük figyelembe, hogy a konferenciák szervezése nyilván pénzbe kerül, viszont a kificamodott magyar konferenciakultúrában általában messze nem annyiba, mint amennyit kérnek regisztrációs díjként, mivel az a szervezés költségével és a szakmai nívóval sincs összhangban. Persze annak, akit a munkahely küld, fizetik, igencsak ritka az az eset, amikor valaki saját zsebből fizet egy-egy húzósabban árazott konferenciáért – főleg, ha tudja, hogy úgyis pocsék, ezért elvből nem fizet érte. Én viszont elvből fizetek azokért a konferenciákért, amiket becsülök annyira, hogy fizessek értük akkor is, ha egyébként besétálhatnék. Visszatérve az alapszituációhoz, hogy hogyan érdemes egyébként tré, de valamiért fontos konferenciára menni ingyen, nos, a protokoll, amit kitaláltam, még egyszer sem bukott meg, ezt foglalom most összes vázlatosan. 

Először is érdemes ismerni a hotelt, ahol a konferenciát szervezik és annak megközelíthetőségét is, alaposan. Ha korábban még nem jártunk az adott helyen, nyugodtan menjünk oda pár nappal korábban, majd a recepción hivatkozzunk magára a konferenciára és arra, hogy mennyire akadálymentesített a helyszín. Ekkor a recepcióst arra is megkérhetjük, hogy vezessen kicsit körbe minket, miközben bőven van idő megfigyelni az összes lehetséges bejáratot. Aztán a konferencia napján persze nem azon kell bemenni, ahova a regisztrációs pultot állították, ha van több bejárat is. 

A konferencia kialakításával kapcsolatban érdemes minél több információt beszerezni, ami nem egy nagy bravúr, ha az embernek van benne némi rutinja. Ezekhez az információkhoz tartozik például, hogy a konferencia milyen arculati elemeket használ, ugyanis a konferencián használt badge is ahhoz hasonló lesz. Kicsit is komolyabb papír-írószer üzletbe vehetünk különböző méretű badge tokokat, a netről pedig papírra nyomtathatunk különböző méretű badge-eket, az arculatnak megfelelően, ha előre nem ismert, hogy milyen méretűt fognak majd használni. 

bejutas tailgating piggybacking authentication bypass social engineering konferencia színérzékelés alakérzékelés

Viszont sokszor nyomtatni sem kell, az adott konferencia helyszínén a konferenciakiadvány elejéből vagy hátoldalából a budiba méretre lehet szabni a tokba kerülő, arculati elemeket tartalmazó lapot, ha a többi résztvevő is olyannal mászkál. Amire még szükség van, ezt viszont előre printelve, a nevünk, konkrétan többféle mérettel: talpas betűtípussal és talpatlan betűtípussal egyaránt, kis- és nagy betűkkel szintén, fehér lapon. A nevet tartalmazó lap viszont természetesen legyen méretre hajogatható hátulról és oldalról is, majd úgy a badge tokjába lehet tenni. 

Amire még szükség van, fehér, vöröses, zöldes és kékes árnyalatú szalag, amire magát a badge tokot akasztjuk, ezek ugyancsak megvehető az írószerboltban. A dolog eléggé értelemszerű: ha a főszponzor például az Antenna Hungária, nyilván annak megfelelő szalagot adnak a résztvevőknek, ha a Vodafone, akkor vodafone-osat és így tovább. Viszont! Ha előre nem tudunk ilyen szalagot szerezni, akkor elegendő, ha a helyszínen a többi résztvevőn lévő szalag alapján megállapítjuk, hogy a fehér, vöröses, zöldes és kékes előre vásárolt sima közül melyiket érdemes elővenni a táskából. Hogy miért is fontos mindez? A hostessek és a biztonsági őrök nyilván valamelyest figyelik a szalagokat, viszont részint érzékelésbiológiai korlátok, részint pedig pszichológiai sajátosságok miatt gyakorlatilag biztosan nem szúrják ki, ha például T-s magenta szalag helyett egy egyszerű sima vöröses árnyalatút használunk, feltéve persze, hogy az nem üt el nagyon a felsőruházat színétől. Felsőnek érdemes valamilyen sötét tónusút felvenni, nem részletezem, hogy miért, de szintén a látással és érzékeléssel van kapcsolatban. Annak, hogy kis –és nagy méretben, talpas- és talpatlan betűtípussal nyomtassuk ki a nevünket, szintén ebben a mimikriben van jelentősége. Ha például mindenkinek a kitűzőjén Century Gothic betűtípussal, csupa nagybetűvel van fenn a neve, nem lógunk ki a sorból akkor sem, ha a miénk Arial betűtípusú, hiszen ez eleve nem is látható néhány méternél nagyobb távolságból. 

A badge-et persze ne a biztiőr, na meg a regisztrációs pult előtt preparálgassuk, hanem valamilyen félreesőbb helyen. Hála a dohányzást korlátozó törvényi változásoknak, a helyszínként szolgáló szálloda előtt úgyis ott lődörög néhány, már regisztrált résztvevő, akiken meg lehet figyelni, hogy milyen konferenciakitűzőt használnak az adott konferencián. 

Ha megvan a badge, már mehetünk is be, ha van kisebb bejárat, akkor ott, ha csak főbejárat, akkor ott, a lényeg a magabiztosság. Nem akartam nagyon büntetni előbb az olvasót azzal, hogy milyen módon vált ki kognitív torzítást a hamis, ámde jól megválasztott szalag és névkártya kiválasztása, most ismét nem fogom, csak a lényeget írom. Magabiztosság alatt azt értem, hogy ne úgy menjünk be, mintha lövésünk nem lenne, hogy mi merre van, ugyanakkor az egyik hostesseket meg lehet kérdezni, hogy merre van a plenáris előadás, a vécé, a büfé, amit amúgy többi vendég is megkérdez. 

Ha nagyon sasolnak, szóba jöhet még, hogy bizonyos pontokon úgy menjünk át, mintha telefonálnánk, persze közbe tényleg hívjunk fel például egy ingyenes számot és beszéljünk valamit, esetleg közben imitálhatjuk azt is, hogy nagyon sietünk valahova. Ezzel kapcsolatban elképesztő tapasztalat, hogy a sietős, telefonáló embert gyakorlatilag sehol nem állítják meg, leszámítva a reptereket, kiemelten védett rendezvényeket és épületeket. De éppenséggel vehemensen lapozgathatunk egy mappába tett kiadványt is menet közben, szintén csökkeni az esélyét annak, hogy a biztonsági őr az arcunkat nézze, egyszerűen azért, mert elterelődik a figyelem, egyébként is látott aznap már párszáz pofát, így nem tűnik fel neki, hogy a miénket még nem. 

Szóba jöhet még, hogy a konferencia egy regisztrált részvevőjével szóba elegyedve megyünk be piggybackinget alkalmazva, esetleg nem is kell szóba elegyedni vele, csak megvárni, amíg jön valaki, majd közvetlenül utána besétálni, amit a megtévesztés ékes angol irodalma tailgatingnek nevez. 

Engem még az életbe nem állított meg biztonsági őr, persze akkor is lehet improvizálni, ha esetleg ilyen történik, persze nem olyan szöveggel, hogy véletlenül kóboroltunk arra. Igaz, azért nem történt még velem ilyen, mert olyan konferenciára nem megyek, amiről előre tudom, hogy egy vödör hígfos – és még marhapörit sem adnak éjfélkor a hotel kertjében, a kávé szar, stb. – amikről pedig tudom, hogy jók, azokért elvből fizetek regisztrációs díjat, kifejezve ezzel azt, hogy megtisztelem a rendezvényt a regisztrációs díjjal, ahogy erre utaltam is a poszt elején. 

Akár szabályosan regisztráltunk, akár behekkeltük magunkat, a rendezvény közben vagy végén nyugodtan kérjünk szalagot a műgyűjtő kis unokaöcsénknek, függetlenül attól, hogy van-e unokaöcsénk vagy sincs, illetve ha van, gyűjti-e a konferenciaszalagokat. 

bejutas tailgating piggybacking authentication bypass social engineering konferencia színérzékelés alakérzékelés

Hamarosan írok arról is, hogy hogyan lehet bebandukolni rázósabb helyekre, persze csak akkor, ha az nem törvénybe ütköző, azaz egy arra egy illetékes feljogosított, tesztelési céllal. 

1 Tovább

Bejutás más fiókjába: a FB figyelmeztet, hogy ha tisztességtelen vagy, legalább hülye ne legyél

A dolog ugyan nem új, de eddig még nem is írtam róla, aztán gondoltam, hogy most megér pár sort. Röviden: hogyan juthat be valaki más Facebook-fiókjába, ha eléggé pofátlan ahhoz, hogy az áldozatot rávegye arra, hogy ő maga futtasson le egy kódrészletet a böngészőjében?

Nem szoktam nézegetni a Facebook kliensoldali forráskódját, azaz amit a böngésződ megkap a szervertől és a böngésző az alapján fogja megjeleníteni és dinamikusan működtetni a lapot.  A Facebook kliensoldali kódja egyébként is gusztustalanul nagy méretű és nehezen áttekinthető, hanem azért, hogy keressenek benne hibát a fanatikusok.

Többek számára alighanem ismerős, hogy a Chrome-ban és a Firefoxban egyaránt már alapértelmezés szerint elérhetők a fejlesztőeszközök, amik segítenek a webfejlesztőknek különböző hibák felderítésében és lévén, hogy ezekkel az eszközökkel nem csak megjeleníthető, hanem módosítható is, hogy a kliens milyen adatokat küldözgessen a szervernek. így természetesen arra is alkalmas, hogy egy sérülékeny webhelyet pont ezen keresztül törjön fel valaki, ha az nincs felkészítve a legordasabb támadásokra, amik az ügyféloldali kód manipulációján keresztül lehet kivitelezni. A tudatlan felhasználó viszont jobb, ha vakon nem babrál vele.

Facebook XSS cross-site scripting bejutas feltörés social engineering hiszékenység alacsony a kerítés

Minél inkább meghatározó egy webes szolgáltatás aktuálisan, minél több információ koncentrálódik benne, annál nagyobb az igény rá, hogy valami balfácán zéró technikai tudással fel akarja törni. Amikor az iWiW volt a menő, hűvös halomra kaptam a leveleket, azzal kapcsolatban mindenféle szerencsétlentől, hogy segítsek már neki bejelentkezni az exe/exfőnöke/neje/kutyája iWiW fiókjába, mert csak. Ezeknek a leveleknek egyébként közös vonása volt, hogy megpróbálták racionalizálni a dolog jogosságát, gyakorlatilag az általános morál fölé helyezve önmagukat. Például arra hivatkoztak, hogy lehet, hogy félrekúr az asszony vagy a férj, állítólag egyébként a magándetektív cégek megrendeléseinek még mindig egy igen nagy részét a megcsalás-felderítésnek elkeresztelt baromság teszi ki, a fontos különbség viszont, hogy a magándetektív cég nem alkalmaz törvénytelen eszközöket, kizárólag megfigyelhet. A levelek másik közös vonása volt, hogy fingjuk sem volt róla, hogy egy webalkalmazás tesztelő, etikus hekker mennyiért dolgozik, még nagyságrendileg sem, például bedobták, hogy tudnak érte adni 20 ezer forintot, mondanom sem kell, hogy a sok hatökör alighanem sosem gondolt bele, hogy egy etikus hekkernek nem lehet annyit fizetni, amennyiért valamilyen törvénytelen vagy törvényes, de etikátlan dolgot követne el, hiszen egy életre elvesztené az ügyfeleit, akik megbíznak benne és éppen azért fizetik, hogy minél kevésbé legyen törhető az a webszolgáltatás, amit működtetnek, aminek pedig alapköve, hogy a tudását tisztességes módon használja fel. Ahogy szoktam mondani, komoly zavar van és alighanem még lesz is jóideig a fejekben, hiszen röviden szólva ez olyan dolog, mintha egy gyógyszerészt arra kérnének, hogy kotyvasszon már valamilyen mérget, mert valakit el kellene tenni láb alól. A gyógyszerész tudna működne méregkeverőként? Persze, hogy tudna. Fog? Dehogy.

Facebook XSS cross-site scripting bejutas feltörés social engineering hiszékenység alacsony a kerítés

Aztán általánosan elterjedt lett a Gmail, majd beköszöntött a Facebook-éra, de sokan ugyanolyan hülyék maradtak. Néhányszor cikkeztem arról, hogy a Facebook-fiókot hogyan érdemes hardeningelni, mire érdemes figyelni, ami persze a keresők felől bevonzotta a sok idiótát, akik Facebook-hakkolással kapcsolatban kerestek információt, majd levelet írtak nekem.

Mókás, de az ilyen jóemberek általában pont azzal nyerik el méltó büntetésüket, hogy rábukkannak olyan oldalakra is, amik pénzért vagy ingyen, ilyen olyan, természetesen a felhasználó számára kártékony alkalmazás letöltéséért cserébe azt ígérik, hogy bármilyen Facebook-fiókot megszerezhet vele majd az illető.

Ennek a világnak megvan az a bizarrba hajló szépsége, hogy a netes csalók annyira kifinomultak lettek, hogy éppen azt az igényt kihasználva a kellően türhő felhasználónak 100%-os feltörést ígérnek és az illető talán csak az utolsó pillanatban veszi észre, hogy a saját fiókját törte fel. A Facebook esetén az egyik forgatókönyv a következő: a csalók ráveszik az áldozatot, hogy indítsák el a böngésző előbb emlegetett fejlesztőeszközét, majd illesszenek be egy kódrészletet a megfelelő helyre, ezzel hozzáférhetnek más fiókjához. És igen, kitaláltad, az emberek annyira hülyék, hogy nem is akarják érteni, hogy az adott kódrészlet mit csinálhat ténylegesen, már bökik is be a kódot, aminek eredményeként a scammer a balfácán Facebook-fiókját fogja megszerezni és azt használni például spamküldésre, esetleg olyan adatot állít be, amivel aztán új jelszót adhat meg és az exploitált balfácánok listáját eladja a feketepiacon.

Adja magát a kérdés: ha meglehetősen biztonságos technikai szempontból a Facebook vagy a Google, hogyhogy ez ellen a technika ellen nem tudnak védekezni? Éppen azért, mert a beillesztett kódrészlet a felhasználó nevében, a saját munkamenetével, a saját fiókjának működését manipulálva fog lefutni. Hasonlóan ahhoz, hogy például saját nevünkben tudunk oldalt lájkolni, csoportokba belépni, biztonsági kérdést megváltoztatni a saját fiókunkra vonatkozóan, de másét nyilván nem, a szerver pedig nem képes ellenőrizni, hogy egy-egy műveletet szabályos használat mellett hajtunk végre vagy éppenséggel azzal, hogy megpatkoljuk a böngészőnk által küldött adatokat. Azaz elméleti lehetőség sincs arra, hogy a felhasználót önmagától védjék meg.

Amire a böngészőeszköz futtatása közben a Facebook felhívja a figyelmet, a jó öreg cross-site scripting technika, aminek a lényege, hogy a webhely olyan bemenetet kap, amilyet normális esetben sosem kapna és a webhelyet valamilyen rendellenes működésre bírja rá ezzel.

A XSS egyik durva típusában az egykori iWiW is érintett volt: az iWiW nem ellenőrizte, hogy a „Munkahely weboldala: ” mezőben a felhasználó adatlapján tényleg csak szöveg, azaz egy webcím adható-e meg és más biztosan nem, azaz nem volt megfelelő parserelés, bemenetszűrés. Rövid ideig az iWiW-en ez a szövegmező szinte bármit elfogadott, ami jó esetben csak egy apró Javascript kód volt, ami feldobott a látogató számára egy üdvözlő ablakot, de volt olyan matyómintás perzisztens XSS is, ami a felhasználó adatlapját átrajzolva jelenítette meg, szerencsére több kárt nem csinált.

A Facebookon ilyen az én tudásom szerint pillanatnyilag nincs – viszont a felhasználó által indított rosszindulatű kisalkalmazások, ún. Facebook-vírusok képeseket lehetnek rá! – viszont ugyancsak az XSS-re támaszkodva kaphat olyan bemenetet a Facebook a böngészőtől, aminek hatására például eltérítődik a felhasználó munkamenete, éppen azért, mert a sajátja, az őt azonosító sütiket is megmérgezi, így végső soron ezzel hozzáférést enged a támadó felhasználónak a saját fiókjához a saját hülyesége miatt.

Részletesebb technikai magyarázatba nem megyek bele, de ez teljesen hasonló ahhoz, mintha valakinek a lakásába be akarnánk menni illegálisan, ezért keresnénk egy betörőt, hogy segítsen, majd a betörő "segítőkészen" elkérné a saját lakásunk kulcsát, hiszen az biztosan nálunk van.

Úgy általában egy webalkalmazásba bejutni valamilyen trükkel egy etikus hekker számára a megrendelő kifejezett kérésére nemes dolog, mielőtt más tenné meg, mi több, művészet. Ami pedig a Facebookot illeti, természetesen nem tökéletes rendszer, de eléggé erős, ha a szolgáltatás saját maga hívja fel rá a figyelmet, hogy a felhasználó ne legyen hülye.

Hupsz, még valami, az előző posztomban az egyik kép duplán volt embeddelve, amiért bocs mindenkitől. Aki esetleg nagyon ráér, pls. írjon már egy tweaket, amit beilleszthetek a reblog-posztba, így a posztba illesztett képek akkor is fix mérettel jelennek meg és nem széthúzva, ha az eredeti sablont felüldefiniálja az, ami fölött megjelennek a Reblog Sprintben részt vevő posztok, hátha nincs rá felkészítve a blogmotor, trollolo.

1 Tovább

Hekkmester

blogavatar

Gondolatok innen-onnan, jó sok elírással. Mindhacking, magatartástudomány, miegymás. Postagalamb: noc@identifylab.com

feedek

kulcsszavakban...

bejutas (3),pszichológia (3),megmagyarázhatatlan (2),kognitív pszichológia (2),szabadsag (2),megmagyarazhatatlan (2),szabadság (2),Facebook (2),egyéb (2),social engineering (2),egészség (1),empátia (1),emberség (1),spam (1),Reblog (1),farmakológia (1),információáramlás (1),hatás (1),agyfasz (1),véletlenszerűség (1),okos drog (1),mentális betegség (1),tanult tehetetlenség (1),interperszonális pszichológia (1),depresszió (1),szokás (1),Martin Seligman (1),szokas (1),társas alapmotívumok (1),párkapcsolat (1),szellemi teljesítmény fokozása (1),negatív személyek (1),metilfenidát (1),nootropikum (1),magatartástudomány (1),párválasztás (1),párkapcsolati probléma (1),modafilin (1),maganugy (1),Szabó Zoltán (1),SzabóZé (1),Index (1),harag (1),wtf (1),kultúra (1),boldogság (1),újságíró (1),verés (1),izé (1),Erdélyi Péter (1),444 (1),lapszemle (1),KFC (1),biztonsági őr (1),24.hu (1),szórakozás (1),idióta (1),Bittner Nóra (1),epigenetika (1),kreativitás helyett (1),influencer (1),szégyen (1),magánügy (1),genetika (1),oknológia (1),reklám (1),tömegkommunikáció (1),Fluimucil Ábel (1),Kasszás Erzsi (1),kretén (1),de miért? (1),Bihari Viktória (1),parasztvakítás (1),sejtélettan (1),homeosztázis (1),fiziológia (1),vízsprint (1),NISZ (1),vizsprint (1),víz fiziológiai szerepe (1),molekuláris biológia (1),csak úgy (1),nyelv (1),adatelemzés helyett (1),biznisz iz biznisz (1),vélemény (1),magánnyomozás (1),digitalizálás (1),keresés (1),alacsony a kerítés (1),tailgating (1),hiszékenység (1),feltörés (1),XSS (1),cross-site scripting (1),piggybacking (1),authentication bypass (1),levéltár (1),OSINT (1),BFL (1),alakérzékelés (1),konferencia (1),színérzékelés (1),helyesírás (1),spell checking (1),Google Allo (1),Google (1),ego (1),megküzdési stratégia (1),bukás (1),kudarc (1),social web (1),megszüntetett szolgáltatások (1),Internet Hungary (1),Media Hungary (1),privacy (1),üdvözlet (1),Google Wave (1),Google Buzz (1),bukas (1),tudatos jelenlét (1),tiltás (1),rabság (1),sharing economy (1),Uber (1),no one cares (1),elírási pam-pam (1),Boldogkői Zsolt (1),Szendi Gábor (1),elfogultság (1),mindfulness (1),tudományos gondolkodás (1),áltudomány (1),Lenkei Gábor (1),homeopátia (1),Csermely Ákos (1)