MA 10:50

A hekkerek a cégnél havat lapátoltak, cserébe adminjogot kaptak a hálózatra

Egy átlagos téli napon meglehetősen szokatlan, amikor két vadidegen fiatalember jelentkezik egy irodaház karbantartóinál azzal, hogy szívesen segítenének havat lapátolni – főleg úgy, hogy az őrszoba ajtaja nyitva van, a személyzet épp el van foglalva, és senki sem figyeli igazán, kinek van keresnivalója az épületben. Nem kizárt, hogy az ilyen „segítőkészség” jelentős biztonsági kockázatokat rejt magában, amelyet most egy csapat profi betörő – egészen pontosan két etikus hacker – használt ki egy amerikai nagyvállalatnál.

Kölcsönös előny: hóeltakarítás, szabad bejárás

Kristopher Johnson és munkatársa, Michael hivatásos „red teamerek”, akik fizetésért törnek be cégek informatikai rendszereibe, tesztelve azok védelmét. Mostani feladatuk egy cég fizikai és informatikai védelmének felmérése volt – főnökük, Dahvid Schloss csak távolról figyelte akciójukat. Az időzítés tökéletes volt: a karbantartók által használt hátsó bejárat nyitva állt, és a csapat bentről közelíthetett. Egyetlen dolgozó kérdezősködött, de ők egyszerűen azt mondták, hogy újak az IT-részlegen, nincs belépőkártyájuk, viszont szívesen besegítenének a hóeltakarításban. A karbantartók örültek az ajánlatnak.

Amíg Michael lapátolta a havat, Johnson néhány szívélyes szóval bent maradt, és kérte, hadd menjen fel előre, hogy beállítsa „új” munkatársa laptopját. Segítőkészen beengedték.

Raspberry Pi a konferenciaterem szemetesénél

Bent Johnson gyorsan feltérképezte a terepet: egy megfelelő helyet keresett a saját Raspberry Pi számítógépének elrejtésére, hogy azt csatlakoztatva komoly támadótámaszpontot alakíthasson ki – akár távolról is. Az AV-szobában ugyan volt szabad Ethernet-port, de ott a hálózat-hozzáférés-ellenőrzés miatt nem sikerült csatlakoznia. Végül a konferenciaterem padlóján talált egy élő hálózati portot, ahol viszont nem volt ilyen védelem. A mini PC-t a szemetes mögé rejtette.

A kijutás már nehezebben ment: a főbejáraton belépőkártya nélkül nem lehetett távozni, ismeretlenek pedig nem segítenek ilyesmiben. Visszatért a hátsó ajtóhoz, ahol a karbantartó szívesen kiengedte. Johnson a parkolóban várta meg az éppen dolgozó cinkostársát.

Lelplezés, de későn: két hét alatt végzetes kár

Másnap minden lelepleződött: amikor Johnson és Michael visszamentek, a biztonsági főnök várta őket. Mint kiderült, a karbantartó szerette volna megköszönni az IT-nak Michael – a sosem létező – segítségét; az IT azonban nem ismert ilyen nevű kollégát. Ekkor indult a vizsgálat, amelyben a kamerafelvételeket is átnézték, sőt Johnson bérelt autójának rendszámát is próbálták lekérni. A Raspberry Pi-t azonban senki nem fedezte fel, az zavartalanul két héten át csatlakozott a hálózathoz.

Ebben az időszakban a betörők adatbázisokat térképeztek fel, hozzáfértek az Active Directory-hoz, bemérték a domainkontroller-gépeket, és célzott jelszópróbákat végeztek. A „winter2023!” jelszót 50-60 dolgozónál találták – nem kizárt, hogy ez jelentős részük alapértelmezett jelszava volt.


Kritikus hiányosságok: a gyanakvás hiánya és a gyenge jelszavak

A rendszer feltérképezése után a hackerek tanulságokat vontak le, amelyek minden szervezet számára hasznosak lehetnek. Egészen pontosan: a dolgozók többsége alapból elhiszi, hogy akinek „dolga van” az épületben, az tényleg ott dolgozik – főleg, ha segítőkész, és viselkedése beleillik a megszokott keretekbe. Ezt hívja a pszichológia „símaszk-hatásnak” (ski mask bias): mindenki csak akkor gyanakszik rosszra, ha valaki símaszkban, fegyverrel rohan be.

A karbantartóknak gyanakodniuk kellett volna a magukat újaknak kiadó, beléptetést kérő „IT-sek” láttán – még akkor is, ha segítettek a hóeltakarításban. Az informatikai hálózatnak nem lett volna szabad minden konferenciatermi porton szabadon hozzáférhetőnek lennie, az ismeretlen eszközök csatlakozását blokkolni kellett volna. Végül pedig elengedhetetlen egy erős jelszópolitika: számos fióknál az alapértelmezett „winter2023!” jelszó, valamint a többfaktoros hitelesítés hiánya tette lehetővé a támadóknak az adminisztrátori szintű hozzáférést – a Raspberry Pi két hét múlva került csak elő, akkor már feleslegesen.

2026, adminboss, www.theregister.com alapján

Legfrissebb posztok

MA 14:31

A hordozható óriás, amivel egyszerre négy kijelződ lehet

Egy lényeges szempont, hogy kevés eszköz képes annyira kibővíteni egy laptop lehetőségeit, mint egy extra monitor – vagy egyből három...

MA 11:03

Az ősi DNS megfejtette a Medici fivérek 500 éves halálrejtélyét

🔎 Az olaszországi Medici család két ismert tagjának rejtélyes, 500 évvel ezelőtti halála végre tudományos magyarázatot kapott...

MA 10:37

Az otthoni akkumulátor-telepítések rekordot döntenek Amerikában az áramár-emelkedés miatt

Az Egyesült Államokban minden eddiginél többen szerelnek fel otthoni akkumulátorokat, hogy tompítsák az egyre emelkedő villamosenergia-költségeket...

MA 10:26

Az éttermek nagy dobása: közvetlen rendelés ChatGPT-ből, alacsony díjakkal, beállítás nélkül

🍔 Egy lényeges szempont, hogy az éttermek számára elérhetővé vált egy radikálisan új lehetőség: mostantól közvetlenül ChatGPT-n és Claude-on keresztül lehet ételt rendelni, köszönhetően a Square friss, egyszerű és alacsony díjas integrációjának...

MA 10:02

A tudósok óriás légzsákot küldenének az űrbe a napviharok ellen – szerintük kivitelezhető

☁ A Nap időszakonként egyre hevesebb viharokat küld felénk, amelyek páratlan fényjelenségeket okoznak az égbolton, ám a látványos északi fény mögött csendben megbújik egy sokkal fenyegetőbb veszély is...

MA 09:49

A SpaceX kézi MI-eszközt tesztel? Musk: teljességgel hamis

🚀 A SpaceX nemcsak rakétákkal és műholdas internettel foglalkozik, hanem állítólag saját fejlesztésű, kézben hordozható MI-eszközzel kísérletezik...

MA 09:37

Az Ethereum intézményi rajtja mögé az egész ökoszisztéma felsorakozik

Az Ethereum körüli világ sosem volt még ilyen pezsgő. A legújabb, nagy horderejű esemény az Ethereum Institutional elindulása, amely a blokklánc-ökoszisztémát új szintre kívánja emelni a pénzügyi szereplők bevonása és az eszközök tokenizálása terén...

MA 09:24

Egy meglepő agyi felfedezés újraírja a mozgászavarok tudományát

🧠 A legújabb idegtudományi vizsgálatok teljesen új fényben tüntetik fel a mozgászavarokat...

MA 09:12

Ez a bolygó túlélte csillaga halálát – és megőrizte légkörét

🌕 A világegyetem néha egészen hihetetlen történeteket produkál. 2020-ban csillagászok felfedeztek egy WD 1856b nevű gázóriás bolygót, amely egy fehér törpe – egy Naphoz hasonló csillag kihűlt magja – körül kering...

APP
MA 09:12

APPok, Amik Ingyenesek MA, 7/2

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     Risp: Budget & Savings (iPhone/iPad)A Risp egy alkalmazás, amely segít a pénzügyeid kezelésében...

MA 08:49

A NASA-igazgató dicséri a Blue Origin előretörését az indítási kudarc után

🚀 A NASA vezetője, Jared Isaacman optimistán nyilatkozott a Blue Origin közelmúltbeli fejleményeiről, miután a május végi rakétabaleset alapos rendrakást követelt a cégtől Cape Canaveralben...

MA 08:37

Az Anthropic eltávolítja a kínai riválisokat kiszűrő titkos kódját

Az Anthropic hónapokkal ezelőtt rejtett kódrészleteket helyezett el a Claude Code rendszerében, hogy felismerje, ha más MI-fejlesztő cégek, főleg Kínából, le akarnák másolni a modelljeit...

MA 08:13

A javítás úton van: sok Google Home nem válaszol

💡 Az elmúlt napokban rengeteg Google Home-tulajdonos tapasztalta, hogy okos hangszórója vagy kijelzős eszköze jóval lassabban reagál a megszokottnál, sőt, előfordult, hogy egyáltalán nem válaszolt...

MA 08:01

A Galaxy Z Fold 8 formája leveri az S26 Ultrát?

Bár a Samsung hivatalosan még nem mutatta be a Galaxy Z Fold 8-at, néhány megbízható szivárogtatásnak hála már most látni lehet a hajlítható telefon új külsejét...

MA 07:48

A Meta beszáll a felhőbizniszbe: új kihívó születik

Felmerül a kérdés, mire készül a Meta, amikor saját felhőszolgáltatás kiépítésébe kezd...

MA 07:37

Az Apple hibája felfedi a felhasználók valódi e-mail-címeit

Külön említést érdemel, hogy az Apple E-mail-cím elrejtése (Hide My Email) szolgáltatásában súlyos sebezhetőségre derült fény, amely lehetővé teszi, hogy gyakorlatilag bárki megszerezze a felhasználók valódi e-mail-címét – még akkor is, ha az az Apple rendszerében elvileg rejtve van...

MA 07:02

Az inkák 500 éves, fagyasztva szárított burgonyarágcsái kerültek elő Peruban

🥔 Peru déli partvidékén, egy valaha harcias inka raktárhelyiségében két különös burgonyacsomót fedeztek fel a régészek...

MA 06:37

A PlayStation-lemezek kora lejárt: búcsú a gamerek szabadságától?

💾 A COVID–19-járvány alatt sokan váltottak digitális játékokra, hiszen a boltokba járás egyszerűen kiesett a mindennapokból...

MA 06:25

Az első mesterséges sejt már nő és osztódik – mérföldkő az élet előállításában

🚀 Tipikus eset, amikor a laboratóriumi kísérletek nem csupán elméleti kérdéseket feszegetnek, hanem kézzelfogható áttörésekkel tolják ki a biotechnológia határait...

MA 06:05

Történelmi események a mai napon (Július 2.)

Válságok, trónharcok és történelmi fordulópontok: ezen a napon császárok emelkedtek hatalomra, forradalmi találmányok születtek, és sorsfordító háborúk kaptak szikrát...

MA 06:02

A zsákutcába futó bitcoinbányászat annyi energiát nyel, mint Svájc teljes vízereje

⚠ Továbbá megemlíthető, hogy a bitcoin-bányászat energiapazarlása elképesztő mértéket ölt: a hálózati késleltetés okozta felesleges energiafelhasználás nagyjából 16 000 megawattnyi teljesítményt jelent, ami megegyezik Svájc 701 vízerőművének teljes termelési kapacitásával...

szerda 17:02

A Rhythm Heaven Groove fél ütemmel kullog a vetélytársak mögött

Ha valaki több mint egy évtizede játszott a Rhythm Heavennel, valószínűleg sosem felejtette el azt a különös, szürreális világot, ahol dadogó pankrátorok és furcsa madarak ugrálnak egy lélekmelengető popdallamra...

szerda 16:31

Az antwerpeni társasháztűzben legalább hatan meghaltak

🔥 Legalább hatan életüket vesztették, amikor tűz ütött ki egy tízemeletes társasházban Antwerpen Linkeroever városrészében...

szerda 16:01

A brit üvegszálfronton új csavar: gyorsítottan kebeleznék be a Netomniát

A brit távközlési piac gigantikus átalakulása zajlik: az ország versenyhatósága kiemelt vizsgálatot indított annak kapcsán, hogy a Netomnia anyavállalatát, a Substantialt a Liberty Global, a Telefonica és az InfraVia konzorciuma felvásárolja...

szerda 15:31

Az étteremláncok titkos háborúja az új márkák bekebelezéséért

Egy márka felvásárlása mindig izgalmas hír, de az igazi próbatétel csak akkor kezdődik, amikor a háttérben elindul a két vállalkozás összefésülése...

szerda 15:01

A Meta limitet szab az okosszemüvegek Conversation Focusának

👑 A Meta okosszemüvegei új korlátozást kaptak: már csak havi három órán át használható ingyen a Conversation Focus nevű funkció...

szerda 14:31

Az amerikai kormány újra zöld utat ad Anthropic Mythos és Fable MI‑modelljeinek

Az Egyesült Államok Kereskedelmi Minisztériuma feloldotta az exporttilalmat az Anthropic két fejlett MI-modellje, a Mythos 5 és a Fable 5 esetében...

szerda 10:25

Az amerikai kormány zöld utat ad a legerősebb Claude-oknak

Az Anthropic szerdától újra elérhetővé teszi a csúcskategóriás Claude Fable 5-öt, miután a Kereskedelmi Minisztérium feloldotta az exportkorlátozásokat...

szerda 10:01

A Meta-leépítések után is cáfolja az MI miatti állásfélelmeket Zuckerberg

A technológiai iparban egyre nagyobb félelem övezi azt, hogy az MI széles körű elterjedése mennyi munkahely megszűnéséhez vezethet...