WebRagacs

Egy három tagból álló Argentin hacker csapat több, mint 4 millió felhasználó nevet, jelszót és IP címet szerzett meg. A hackerek közzé tették a módszert is, amivel megszerezték ezt a tetemes mennyiségű adatot.

CH Russo, a csapat vezetője a feltörés folyamatáról még videót is készített. A módszer, amivel sikerült a rendszert feltörni, az a jó öreg SQL Injection. A módszer lényege, hogy trükközéssel saját MySQL kódot futtatunk a szerveren, így megszerezhetjük az adatbázisban tárolt adatokat. Annak ellenére, hogy sokan már réginek tartják a technikát, sajnos még eléggé széles körben használható.

A hackerek állításuk szerint csupán a Pirate Bay adatbiztonsági problémáira akarták felhívni a figyelmet, a megszerzett adatokat senkinek nem adják át. Botrányos, mit meg nem engednek maguknak az ilyen internacionális oldalak, szerencse, hogy egy “békés” hacker társulás vitte véghez a tettet, hiszen a hatóságoknak aranyat érnek ezek a felhasználói adatok. (tovább…)

A mai napon megtörtént, amire senki sem gondolt volna. A világ legnagyobb videómegosztó oldalán súlyos sebezhetőséget találtak. Ezt a sebezhetőséget főként a Justin Bieber videóknál használták ki a Youtuben.

A Twitter elárasztották a reklamáló bejegyzések, a Youtube pedig megkezdte a takarító munkálatokat. Rengeteg hozzászólást törölt, elrejtett, hogy elkerülje a kliens oldali problémákat.

A hack a hozzászólásokat érinti, alapvetően a Youtube eltávolítja az oda nem illő kódrészleteket, viszont ha <script> taggal kezdünk, a tisztítás nem megy végbe. Ezt kihasználva bármi véghez vihető, amit a JavaScript-el meg tudunk csinálni. (Többek közt hamis felugró ablakok, átirányítások, felhasználó adatok kicsalása.)

(tovább…)

Azt gondolnánk, ha biztonságos átviteli módot választjuk, nem lesz semmi probléma. A valóság azonban nem ez. A Qualys friss tanulmánya szerint, csupán a “biztonságos” weboldalak (SSL tanusítvánnyal rendelkező) 3%-a van helyesen beállítva.

A vizsgálatban 119 millió domain nevet ellenőriztek, amiből csak 92 millió volt aktív (12 millió feloldhatatlan, 15 millió pedig nem is válaszolt). Az összes domain közül pedig mindössze 23 millió rendelkezett SSL kapcsolattal. Természetesen nem kötelező, mert olyan weboldalakon, ahol a felhasználó nem közöl az interneten keresztül bizalmas információt, nincs is szükség rá.

Ezek a biztonsági tanúsítványok minden esetben egy adott domainre vonatkoznak, ezért lett csupán a tesztelt oldalak 3% érvényes. A tanúsítványok többségét ugyanis több különböző domainre is alkalmazzák. Sajnos emellett ott vannak a lopott tanúsítványok is.

Az SSL a biztonságot hivatott védeni, azonban alig van olyan oldal, ahol érvényes és egyben megbízható tanúsítvány használhatunk. Az SSL-t főként a kisebb-nagyobb online üzletek, bank portálok (stb.) használják a biztonságos adatátvitel érdekében. (Több-kevesebb sikerrel.)

Az első részben nagy vonalakban szó esett a fő szemszögekről, amiket figyelembe kell venni a CSS fejlesztés során. Már ismerjük a modern CSS alapvető jellemzőit, de hogyan is kell azokat használni? Ebből a cikkből több tucatnyi kiváló technikáról tudhatsz meg mindent, kapcsolódó linkekkel, példa oldalakkal és képekkel egybekötve.

A cikkben szó lesz ezekről:

• Az elemeket érintő változások: árnyékolás, keretek, hátterek, animáció
• CSS kódjában történt fő változások: szelektorok, média lekérdezés, új doboz modell
• HTML5 újdonságok: új felépítés, új elemek, JavaScript és plugin függőség
• IE hibajavítás
• Rugalmas elrendezés, segédrács
• CSS keretrendszerek, OOCSS
• CSS tömörítés, CSS Sprites
• Betűtípus beágyazás és csere
• stb.

(tovább…)

A Google Analytics szolgáltatása kétség kívül világvezető, hiszen ingyenes és rengeteg értékelést és statisztikát megtalálhatunk benne a megfigyelt oldalról. Weboldalak milliárdjai használják a szolgáltatást, amivel persze nem csak a honlap tulajdonosok járnak jól, hanem a Google is.

A Google ezzel a szolgáltatással trendeket állít fel, figyeli a meglátogatott oldalakat, és ami a leg szörnyűbb, még az IP címünk is elmenti. Ha valaki úgy gondolja, ez már túl sok, vagy szeretne rejtve maradni a Google árgus szemei előtt, van egy nagyon jó hírem.

Létezik egy beépülő modul, ami letiltja a Google Analytics-nek, hogy információkat küldjön rólunk a központi szervernek. A beépülő elérhető IE7, IE8, Firefox és Chrome böngésző alatt. A beépülő letöltéséhez elég, ha ellátogatunk a Google Analytics Opt-out Browser Add-on (BETA) oldalra.

Akit jobban érdekel, miket tárol egy átlagos felhasználóról a Google, elolvashatja a Google adatvédelmi nyilatkozatot. Persze ezek szerint az Analytics csupán a hatékony reklámmegjelenítés miatt gyűjt és tárol személyes adatokat. Ami az anonimitást illeti, nem kell mindent elhinni.

A Google Street View kocsiját eddig sem fogadták nagy szeretettel, a helyzet most sem fog változott. A Street View – köszönhetően a német adatvédelmi biztosnak – ismét górcső alá került, természetesen személyiségi jogok megsértéséért. Eddig főként rendszámokkal, arcokkal és kínos szituációkat ábrázoló képekkel volt gondja a keresőóriásnak, hamarosan azonban újabb jogsértések miatt is fájhat a fejük.

Nemrégiben kiderült, hogy a Google nem csupán panorámaképeket készít 5 méterenként, hanem végignézi a környéken elérhető összes WLAN (WiFi) és menti az összes MAC címet. Talán még teszt lekérdezéseket is végrehajtottak a nyílt WiFi pontok (hotspot) segítségével.

A Google tehát tudja ki vagy, mire vágysz, honnan netezel, mi a címed, hogyan nézel ki és ismeri a szomszédaid. Azt tudni, hogy a Google ennyire ismer minket rémisztő és könnyen válhatunk paranoiássá emiatt. Aki szeretné, eltávolíthat elrejtethet magáról minden adatot a Google rendszerében (keresések, levelezés, statisztikák stb). A Street View esetében a pontos lakcímet megjelölve töröltetheti elrejtheti magát a kapcsolódó szolgáltatásokban.

A tényre, miszerint a Google begyűjti a WLAN és MAC adatokat, Eric Schmidt csak annyit válaszolt: “Akinek nincs rejtegetnivalója, annak nem kell félnie.”

Már megszokhattuk, hogy Eric Schmidt egyszerűen eltereli a szót a tényekről. A probléma nem abban gyökeredzik, hogy rejtegetnivalónk van, csupán egyszerűen nem szeretnénk magunk mindent jött-ment oldalon viszont látni.

A FaceBook a magyarok körében is nagy népszerűségnek örvend, nem ritka, hogy a fanatikus MyVIP rajongók is átszoknak az új közösségi oldalra. A FaceBook még közösségibb, köszönhetően az alkalmazásoknak és a pofás kezdőlapnak, ahol nem kapunk epilepsziás rohamot az egyik magyar rivális megszokott villódzó reklámtúladagolás miatt.

A FaceBook nem csak a felhasználókat, hanem az adathalászokat is magához csalogatja. Néhány napja tüzetesebben átvizsgáltam a FaceBook API-ját, és kiderült minden, amit eddig az átlag felhasználók nem is sejtettek.

Ott kezdődik a probléma, amikor ezt a bal oldalon mellékelt képernyőt látjuk. Ha el akarunk érni egy alkalmazást (ami lehet játék, kvíz, idézet vagy bármi más, amit egy alkalmazás nyújthat) felugrik egy ilyen ablak, még az alkalmazás előtt. Természetesen sokan oda sem figyelünk erre, mert nem erre vagyunk kíváncsiak, hanem az alkalmazásra. Az átlag felhasználó egyszer sem olvassa el a figyelmeztetést, csak az engedélyezem gombra kattint. Ezzel a kattintással máris kiszolgátattuk a személyes adataink az alkalmazás készítőjének.

Sok esetben nem jelent semmilyen veszélyt, ha az alkalmazás megkapja a hozzáférést az adatainkhoz. Viszont ahol ott vannak a jófiúk, megjelennek a rosszak is. Szerencsére az e-mail cím alapértelmezetten védve van adathalászat ellen, ahoz, hogy az alkalmazás megkapja a címet, külön engedélyt kell adnunk.

Az elérhető adatok a felhasználóról természetesen fent vannak a Facebook fejlesztői Wiki oldalán. A saját adataink mellett hozzáférnek a barátaink listájához. A személyes adataink és a barátaink ismeretével ezek az alkalmazások csúnya dolgokra képesek.

Ez egy szükséges rossz, hiszen van, amikor tényleg indokolt az adataink átadása, de jobb, ha odafigyelünk a személyazonosságunk biztonságára. Aki ismeri a Svindlerek c. bit sorozatot, tudja, hogy ilyen kis információk segítségével is komoly galibákat okozhatnak nekünk. Arról nem is beszélve, hogy akár pénztárcánk is megrövidíthetik egy óvatlan kattintás miatt. Nem hallani komoly bűncselekményről a médiában, de a jövőben biztos vagyok benne, hogy a FaceBook-ot is előszeretettel fogják lopásra használni az eBűnözők.

A Google jelentése alapján százezer forintnál is többet kaphatnak azok a figyelmes emberek, akik a Google Chrome böngészőben kritikus hibát fedeznek fel.

A hiba súlyosságától függően 96 ezer és 258 ezer forint közötti összegre számíthatnak azok a személyek akik bejelentik a talált hibát.

Kritikus hibának számít az, amely tetszőleges kód futtatását vagy a biztonsági szabályok más módon történő igen súlyos megsértését teszi lehetővé a böngészőben.

A Google ezzel az akcióval szeretné, hogy a böngészőjének hibái a biztonsági feketepiacon hosszú ideig profitálhassanak.

Valószínűleg 42 000 Twitter felhasználó adathalászat áldozata lett. Még nem történtek komolyabb problémák, de a Twitter rengeteg felhasználótól megtagadta a szolgáltatást, ameddig nem változtatják meg a jelszavukat. A jelszóváltoztatásról mindenkit e-mailben értesítettek.

Néhányan már jelentették, hogy adathalászat áldozatai lettek. Az áldozatok fiókjában @THCx kezdetű üzenetek jelentek meg. Aki követi a @THCx felhasználót, az jobb, ha azonnal jelszót változtat, mert valószínűleg ő is áldozat.

@THCx tippeket / tanácsokat ígért, így sikerült napk leforgása alatt több mint 42 000 felhasználó fiókhoz hozzáférést szereznie.

Ha tényleg @THCx volt a tettes, akkor valószínűleg a NutshellMail ingyenes szolgáltatás vonható felelősségre. Ugyanis ha megadtuk ennek a szolgáltatásnak a hozzáférést Twitter profilunkhoz, belepiszkálhatott az üzeneteinkbe.

Frissítés: Egyébként @THCx le is kapcsolta már a Twitter… “különös aktivitás miatt”.