IoT Security – understand the risk in an Enterprise

In the last few years there has been a surge of new (and old) solutions aimed at IoT Security. Most of the IT and ITSec departments should already be familiar with how most of the vendors align their tools to be the silver bullet for IoT Security – but as usually having the right tool is neither enough, nor should even be the first step on tackling this problem. As one of the related cybersecurity controls of the National Institute of Standards and Technology in the United States, the NISTIR Draft 8259 has been updated two weeks ago, I wanted to pay a visit to this subject from an information security aspect.

“IoT Security – understand the risk in an Enterprise” olvasásának folytatása

Zero Trust és ami mögötte van

Ez az írás egy több részes sorozat 1. része, a következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
2. rész: Zero Trust – a hálózatbiztonsági megközelítés [1]
3. rész: Zero Trust – a hálózatbiztonsági megközelítés [2]
4. rész: Zero Trust – a hálózatbiztonsági megközelítés [3]

Az elmúlt év legtöbbet hangoztatott kifejezése a „nulla bizalom” volt, az IT biztonság világában egyre többen hangoztatják és értelmezik ezt a fogalmat saját szájuk íze szerint. Ahhoz, hogy megértsük, miért ilyen fontos ez az irány, vegyük például a legtöbb vállalati rendszerünket, melyeket jelszó alapján érünk el. Jelenleg ha az ehhez tartozó jelszavunkat elveszítjük (vagy elmondjuk???), bárki tudja a rendszert a mi nevünkben használni. Üzleti rendszerek esetén ennek akár súlyos pénzügyi vagy üzletmenetbeli következményei is lehetnek.

A fenti probléma nem új, épp ezért az üzleti világban nagyon sok helyen megvalósították a több faktoros védelem valamilyen módját. Ez egy klasszikus, zárt vállalati hálózat esetében lehet a régi jól bevált határvédelem, egy nyílt felhő-alapú szolgáltatás esetében pedig egy második hitelesítési faktor – pl. token, SMS, mobiltoken. Ami azonban változott az utóbbi időszakban, hogy egyre gyorsabban derül ki egy-egy biztonsági megoldásról, hogy megkerülhető. Gondoljunk csak a több faktoros hitelesítésre, melyet pl. a banki szolgáltatásainknál használunk. Ezek sajnos egyre könnyebben megkerülhetők: például az alábbi videón bemutatott egyszerű módon az adathalászok könnyedén be tudnak lépni a két faktorral védett szolgáltatásba:

“Zero Trust és ami mögötte van” olvasásának folytatása

Ingyen iPhoneX egy Youtube-linkről? Hát persze!

Egy hete jelent meg a hír, hogy elindult egy scam-kampány, melyben a csalók ismert Youtube-erek nevében küldenek linkeket a felhasználóknak. A módszer rendkívül egyszerű, a csalók felállítottak olyan fiókokat és csatornákat, melyek neve és profilképe megegyezik valamelyik ismert Youtube-eréval. Ezt az teszi lehetővé, hogy a Youtube jelenleg nem ellenőrzi azt, hogy egy csatorna vagy annak tulajdonosa által választott név valóban az ő felhasználói fiókjához tartozik.

A küldött linkek általában egy csábító nyereményt ígértek, és egy URL-rövidítő szolgáltatás linkjét mutatták. A linkre kattintva több átirányításon keresztül eljuthattunk egy adatbekérő nyomtatványig, ahol a személyes adataink megadása után egy online kérdőívet kellett kitölteni. Akinek mindez nem szúrt szemet és boldogan megadta adatait a várt nyereményért cserébe, az a csalók számára jövedelmet adott, ugyanis a kérdőíveket létrehozó cégek a csalók számára fizetnek minden kitöltésért.

Bár a biztonságtudatos felhasználók időben megállhattak, a hírek szerint rengetegen mentek mégis végig az adataik megadásával a folyamaton. A RiskIQ kutatócsoportja egy blogbejegyzésben elmagyarázza az egész folyamatot, és segít abban, hogy hogyan lehet felismerni és elkerülni, hogy a csalók helyett dolgozzunk. Felállítottak egy adatbázist, ahol ehhez a scam-kampányhoz kötődően gyűjtik a gyanús adatokat (indikátorokat, vagy IOC-ket) – ezen sorok írásakor 384 domain nevet tartalmaz ez a lista.

Ez a jelenség újabb csapást mérhet a Youtube-erek amúgy is egyre nehezedő munkájára. Az elmúlt években egyre szigorodó Youtube reklámozási irányelveknek köszönhetően mára a legtöbb csatorna és alkotó jóval alacsonyabb bevételt tud elérni a reklámokból. A Youtube hivatalos Twitter fiókján megjelent üzenetben megköszönik Philip DeFranco videóját, mely a jelenségre figyelmet irányított, a közösség viszont rögtön kifejezte döbbenetét, hogy a reklámbevételek csökkenését okozó szűrő algoritmusok szigorúak és sok fals pozitív eredményt adnak, de közben nincs megoldása a cégnek a felhasználói fiók nevével való visszaélés ellen. Ebben azonban talán nincs is semmi meglepő – a Youtube többször is egyértelműen jelezte, hogy működési modelljét meg szeretné változtatni, és a független tartalomkészítők helyett a filmipar által generált reklámbevételre helyezni a hangsúlyt. Ennek legutóbbi lépése, hogy tavaly november óta egyes régiókban teljes filmeket tettek elérhetővé, természetesen a kötelező reklámszünetekkel. Ha ezt az irány tovább folytatják, valószínűleg nem lesz prioritás az itt leírt fióknevekkel való visszaélések visszaszorítása sem.