About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (37),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (10),social web (9),biztonság (8),mobil (8),OSINT (6),jog (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),Google (5),molbiol (5),felzárkóztató (5),webcserkészet (5),szájbarágó (5),plágium (4),Nobel-díj (4),kriminalisztika (4),terrorizmus (4),kultúra (4),big data (4),email (4),genetika (3),pszichológia (3),molekuláris biológia (3),biztonságpolitika (3),CRISPR (3),Android (3),online marketing (3),sajtó (3),élettudomány (3),gépi tanulás (3),Onedrive (3),üzenetküldés (3),jelszó (3),2015 (3),orvosi-fiziológiai (3),Apple (3),Gmail (3),reklám (3),konferencia (3),webkettő (3),biztonságtudatosság (3),kriptográfia (3),levelezés (3),magatartástudomány (3),azelsosprint (3),popszakma (3),hype (3),open source intelligence (3),torrent (3),nyelvtechnológia (3),bejutas (2),tweak (2),villámokosság (2),cas9 (2),Yoshinori Ohsumi (2),Hacktivity (2),génterápia (2),fiziológia (2),természetes nyelvfeldolgozás (2),Reblog Sprint (2),bűnügy (2),Pécs (2),nyílt forrású információszerzés (2),webkamera (2),deep web (2),P2P (2),Netacademia (2),arcfelismerés (2),DDoS (2),Balabit (2),bűnüldözés (2),TOR (2),kulturális evolúció (2),ransomware (2),hitelesítés (2),SPF (2),Whatsapp (2),neuropszichológia (2),szabad információáramlás (2),FUD (2),DKIM (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),szociálpszichológia (2),tanulás (2),biológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Ölhet-e egy meghekkelt inzulinpumpa?


inzulin fiziológia élettudomány élettan inzulinsokk endokrin rendszer ITsecLehet, hogy rémes buzzword, de ha már egyre több hordható eszköz okoseszköz, miért ne lehetne az inzulinpuma is az? Egyébként egyre korszerűbb inzulinpumpák már egy ideje vannak a piacon és még mindig egészen jól tartja magát az a tévhit, hogy egy távoli inzulinpumpa-hekkeléssel ember lehet ölni. Időszerűnek érezem megírni végre, hogy miért nem.

Az inzulinpumpák hekkelésének ötlete néhány évvel ezelőtt merülhetett fel valami Tarantino vagy Robin Cook rajongóban. Minél okosabb egy eszköz, annál inkább hekkelhető, de már akkor csóváltam a fejem, hogy ilyen módon megpróbálni valakit eltenni láb alól sokkal inkább egy bizarr konteó, mint racionális kockázat. Ugyan nagyon a posztba illene, de mindenkit megkímélek attól, hogy ismertetem az emberi szénhidrátszint-szabályozás fiziológiáját.

Ha eljátszunk azzal a morbid gondolattal, hogy valaki majd néhány év múlva vezeték nélküli kapcsolaton keresztül más inzulinpumpáját úgy állítja át, hogy az a szükséges adagtól sokkal többet vagy kevesebbet adagoljon, legfeljebb kellemetlenséget okozhat, mást nem nagyon.

A legfontosabb, hogy a beteg nagyon jól tudja, hogy abban az esetben, ha túl magas lett a cukra, akkor az milyen diszkomfortérzettel jár és mit kell tennie, beadja magának az inzulint máshogy, ha tapasztalja, hogy például a pumpa nem működik.

Ha valaki a kelleténél több inzulint kapott, annak is markáns jelei vannak a beteg számára, azaz van ideje rá, hogy visszabillentse a szénhidrátháztartását, amihez nem is szükséges az inzulinnal ellentétes hatású glukagon beadása, csupán nagy fajlagos szénhidráttartalmú és glikémiás indexű táplálék bevitelével megakadályozható a komolyabb probléma. Ha súlyosabbá válna a helyzet, a környezetének kicsit is tájékozottabb tagjai számára az acetonos lehelet alapján világossá válik, hogy a cukorszint elszaladt.

Ami viszont fontos, hogy egyik állapot sem alakul ki olyan gyorsan, hogy ne lehessen mit tenni, mára szerencsére ritka az eszméletvesztés cukorbetegek körében kimondottan a vércukorszint miatt. Persze nagyobb a valószínűsége például, ha valaki tajrészegre issza magát – ez egyébként is eszméletvesztést okozna – vagy olyan hatású drogot fogyaszt, ami hirtelen változtatja a vércukorszintet, mint a fű vagy a hatásukban amfetamin-jellegű szerek már-már követhetetlenül népes csoportjába tartozó kábszik valamelyike. Ezen kívül problémát jelenthet még, ha olyan beteg, aki egyébként nem sportol, például hirtelen komoly fizikai megterhelésnek teszi ki magát.

Röviden: már csak azért sem lehetne senkit eltenni láb alól, mert jóval korábban észlelné, hogy valami nem stimmel.

A következő ok, magának az inzulinmolekulának a jellegéből, ennek megfelelően az inzulin hatóanyagként való kiszereléséből adódik. Az inzulin emlékeim szerint egy közel 6 kilodalton tömegű, azaz viszonylag nagy fehérjemolekula. A biztonsági előírásokon túl ez az egyik oka annak, hogy az inzulinpumpák patronjába egész egyszerűen nem lehet 2-3 napi adagnál, azaz cca. 300 nemzetközi egységnél nagyobb mennyiséget betölteni, mivel ha úgy tetszik, az inzulin megromlana. Viszont a 300 NE-estől nagyobb patron tényleg nincs, legalábbis nem tudok róla. Összehasonlításként egy ember teljes napi inzulintermelése 100 NE, aminek a fele azonnal metabolizálódik, ilyen módon inaktívvá válik a májban, míg a fennmaradó egynegyed része kiválasztás útján [természetesen lebontva] távozik. 300 NE inzulin egy adagban ugyan az emberek többségének rendesen betenne’, inzulinsokkot is okozhatna, ez a pumpa és a pumpa szerelékének kialakítása miatt kizárt. Ugyanis az inzulin egy igencsak vékony vezetéken, és persze nagyon apró tűn keresztül jut a bőr alá, ahonnan egyrészt nem kerül azonnal a véráramba, másrészt pedig a tű eleve nem tudna például 1-2-3 napi mennyiséget átengedni csak úgy. Az inzulintollakban hasonló mennyiségű inzulin van, ezek azért tekinthetők szintén veszélytelennek, mivel egyszerre csak kisebb adagot képesek kijuttatni, ugyancsak a bőr alá. Azaz egy inzulinpatron tartalmával inzulinsokk elvileg kiváltható lenne ugyan: ha áttöltenék egy fecskendőbe, amiből beadnák jól célozva, intravénásan.

Aki izgalmasabb befejezésre számított, nos, sajnos egy konteóval kevesebb.

Megjegyzem, természetesen vannak inzulinreceptoron keresztül ható, ilyen módon az inzulin fiziológiás hatását kiváltó hatóanyagok illetve létezik nagyon gyors hatású inzulin, ami a természetes humán inzulintól néhány aminosavban különbözik, viszont nyilván nem ezek kerülnek a tollakba és pumpákba.

Kép: Cook Kóma filmjéből

4 Tovább

Információbiztonság és az írástudók felelőssége


ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtViszonylag gyakran szokták mondani, hogy a tömegtájékoztatás feladata a minél pontosabb, gyorsabb és hiteles tájékoztatás, azaz egy-egy hír közzétételének esetleges következményei miatt már nem vonható felelősségre a hír előállítója. Személyes véleményem, hogy ez még akkor sem állná meg a helyét bizonyos esetekben, ha egy hírt teljesen objektíven közölnének.

1992. áprilisában Los Angelesben négy rendőr igazoltatott gyorshajtás miatt egy fekete sofőrt, aki ellenszegülni próbált a közúti ellenőrzés során, mire a négy – nem mellékesen fehér illetve hispán – rendőr alaposan helybenhagyta, amiről videófelvétel készült, majd megjelent a helyi televízióban. Ezt követően nem sokkal elszabadult a városban a pokol: szinte példátlan lázadás tört ki a városban, a keletkezett kárt egymilliárd dollárra becsülik, több, mint ötven fő életét vesztette, a rend helyreállításához többek közt a nemzeti gárdát kellett segítségül hívni. Ami külön érdekesség, hogy a példásan liberális amerikai sajtó történetében szinte példátlan módon bírósági végzés született azzal kapcsolatban, hogy a felvételt tilos a továbbiakban bárhol is közzétenni, persze már késő volt.


A sok-sok tanulság közül amit mindenképp kiemelnék, hogy a tömegtájékoztatásnak egészében igenis van felelőssége, másrészt akár egy-egy hír esetén is mérlegelni kell, hogy annak közzététele nem sért-e olyan mértékben közérdeket vagy társadalmi érdeket, hogy az már masszívan szembe megy azzal a társadalmi érdekkel, amit a sajtó hivatott szolgálni.

Bizonyos területeken a teljes sajtóhoz viszonyítva szokatlanul gyakran találkozni olyan információval, aminek az idő előtt történő közzététele súlyos érdeksérelemmel járna. Ez az oka annak, hogy ha a tesztelők, külső etikus hekkerek például a pénzintézeti adatbázisok de facto standardjának tekintett Oracle motorban találnak valamilyen sebezhetőséget egy adott bank esetén, akkor ennek a részleteit csak azt követően teszik közzé, miután az érintett bankot tájékoztatták és a hibát kijavították. A kutatók véleménye megoszlik azzal kapcsolatban, hogy melyik a legjobb reporting gyakorlat, az ún. partial disclosure, azaz amikor csak érzékeltetik egy-egy érintettel, hogy a rendszerében hiba van vagy esetleg a full disclosure, amikor a hibát teljes egészében, minden részletével együtt közzéteszik, így kényszerítve például az érintett pénzintézetet, hogy a hibát azonnal javítsa. Az utóbbi nyilván az a kockázatot hordozza magában, hogy a hibát kihasználhatja egy támadó még az előtt, mielőtt a szóban forgó hibát javítani tudnák.

Nemrég vettem részt egy kicsi, ámde kiváló szakmai rendezvényen, ahol az ország egyik legelismertebb etikus hekkere beszélt a Sony Entertainment elleni támadásról. A Sony elleni támadást a fősodrú média, ahogyan ez lenni szokott, úgy mutatta be, mintha egy igencsak kifinomult, nagy szakértelmet igénylő, nehezen kivédhető támadásról lett volna szó. A látványos breach-ekről olvasva rendszerint az olvasókban az a benyomás alakul ki, hogy itt aztán tényleg egy komoly technikai bravúrt hajtottak végre valamiféle guru csúcshekkerek.

És ez baj. Komoly baj.

Kisebb részben azért, az olvasókban torz benyomást alakítanak ki az információbiztonsággal foglalkozó közösséggel kapcsolatban, ha a prosztó módon, amatőr módszereket használó támadókat úgy kezeli a mainstream sajtó, mintha tényleg hekker guruk lennének. Egyrészt ez sérti azok önérzetét, aki tényleg értenek hozzá, másrészt a tömegekben össze fog kapcsolódni az információbiztonsággal kapcsolatos tevékenység a számítógépes bűnözéssel. Egyszerűbben fogalmazva: simán elképzelhető, hogy egy laza, de személyes ismerősömnek hozzáférnek valamilyen netes fiókjához, aztán azt fogja gondolni, hogy biztosan én voltam úgy szórakozásból, csak azért mert úgy gondolja, hogy én képes lehetek rá.

Mi a másik súlyos következménye annak, ha a hírekben megjelenő támadásokkal és támadókkal kapcsolatban téves kép él az emberek fejében? Ahogy a meetup előadója nagyon frappánsan megfogalmazta, egyfajta nihilisata hozzáállás felé sodorja a felhasználókat. Azaz aszerint a séma szerint fognak gondolkozni, hogy fölösleges odafigyelni az információbiztonságra, hiszen "úgyis van valaki", aki fel tudja törni a hozzáféréseit, ha nagyon akarja. Ennek a nihilista hozzáállásnak lehet következménye vagy ha úgy tetszik tünete, hogy manapság a gépek közel felén semmilyen antivírus szoftver nincs telepítve. De alighanem a jelenség része az is, hogy a végfelhasználók nem titkosítják az adataikat, holott ez mindössze néhány kattintás lenne már a Windows XP elterjedése óta, illetve már közhely emlegetni, hogy gyenge jelszavakat használnak, ráadásul több helyen azonosat. Korábban már részletesen taglaltam, hogy miért nem mondhatja senki azt a mai világban, hogy "az én adataimra senki sem kíváncsi".

Visszatérve az előadásra, a Sony elleni támadást valószínűleg nem az Észak-koreai kormány követte el, de ha már hírbe hozták őket, nyilván nem mondták azt, hogy nem ők voltak. Gondoljunk csak bele, ha történne egy olyan kísérleti atomrobbantás, amire felfigyel a fél világ, de csak hírbe hoznák Észak-Koreával, az fix, hogy nem tiltakozna kézzel-lábbal a diktatúra jóllakott napközis hülyegyereke Kim Jong Un személyében azzal, hogy nem ő voltak.

A Sony elleni támadás kivizsgálása során kiderült, hogy a cég éveken keresztül tömegesen kapott teljesen közönséges adathalász leveleket, így csak idő kérdése volt, hogy minél több alkalmazott hozzáférését tudják elhappolni. Ezen kívül természetesen a kutatók visszafejtették azoknak a kémprogramoknak a kódját, amiknek szerepet tulajdonítottak az adatlopásban, abból pedig kiderült, hogy ha nem is egy kontármunkáról van szó, több jel is arra utal, hogy a támadók igencsak béna módon hagytak nyomokat maguk után.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtNem merülnék technikai részletekbe, de lényeg, hogy a klasszikus vírusokat, rootkiteket, spyware-eket, a professzionális támadók úgy írják meg, hogy azok visszafejtése után ne lehessen következtetni a kilétükre illetve arra sem, hogy a rosszindulatú program milyen korábbi kártékony kód továbbfejlesztése lehet. Erre példa az első valódi informatikai fegyvernek tekintett, urándúsító üzembe bejuttatott Stuxnet és az abból származtatott, később azonosított csúcskártevők, amiknél nemcsak arra nem lehet következtetni, hogy melyik állam állhatott a létrehozásának hátterében, de sokszor még olyan részleteket is elhelyeznek ezekben a malware-ekben, amik megpróbálják félrevezetni a kutatókat!

Ehhez képest a bénább kártevők írói egy halom olyan jellegzetességet hagynak a kártevőjükben a programozásuk során, ami később könnyebben azonosíthatóvá teszi őket.

Az is szóba kerül, hogy az olyan rémes buzzwordök, mint a "nulladik napi sebezhetőség", vagy "szofisztikált támadás" eleve gyanakvásra adnak okot a figyelmes olvasókban.

Hatalmas hiba lenne figyelmen kívül hagyni, hogy a média mellett az IT biztonság is egyre meghatározóbb biznisz, így az bizonyos informatikai biztonsági megoldásokat kínáló cégek jórésze ki is fogja a szelet a vitorlából és a kommunikációjukat szándékosan úgy alakítják, hogy azzal maximalizálják a bevételüket azon keresztül, hogy eladnak olyan terméket is az ügyfeleiknek, amikre valójában nem is lenne szükségük vagy éppenséggel nem olyan módon. Nem is tudom már, hogy hol olvastam, de hatalmas igazság, hogy nem a biztonságot szavatoló technológiai megoldást kell eladni, hanem a biztonság érzetét. Ami nyilván sokkal könnyebb, ha bizonyos szintű félelemérzetet keltenek az ügyfelekben.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubt

Ebben pedig a fősodrú média nagyon gyakran akaratlanul és tudattalanul partner, mi több, a jelenségnek már réges-régen neve is van: FUD, azaz fear, uncertainty, doubt.  

A FUD mögött gyakran könnyen felfedhető az üzleti érdek, ha magyar példát kell hoznom, alighanem nagyon sokan emlékeznek rá, amikor a szolgáltatók a mobiltelefonálás hőskorában azt állították, hogy a mobil függetlenítése olyan bűncselekmény, amiért börtön jár, holott, nem több, mint egy polgárjogi szerződésszegés a telkószolgáltató és az ügyfél közt, de ilyen miatt még az életbe nem indult per az országban. Az már más műfaj, amikor valaki tömegesen és pénzért halomra függetlenítette a mobilokat. Amikor a szolgáltatók látták, hogy ezzel nem lehet gátolni a folyamatot, később azt hangoztatták, hogy a függetlenítés károsítja a mobilt, ami a régi mobilok esetén szintén nem volt igaz.

De ha FUD-ról van szó, a legkomolyabb, leginkább autentikusnak nevezhető cégek is nyilatkoztak már olyan módon, hogy amögött az üzleti érdekek eléggé világon kivehetőek voltak. Például az Apple nem kevesebbet állított néhány évvel ezelőtt, mint hogy a jailbreakelt mobilok kinyírhatják a mobil adótornyokat, míg hivatalosan egy szó sem esett sokáig a jailbreakeléssel járó valós kockázatokról.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtÁtverések és visszaélések persze a net előtt is léteznek, – kultúrafüggően ugyan – sokszor addig nem szorultak vissza, amíg valaki a saját bőrén nem tapasztalta meg azt a kárt, amit azzal szenvedett el, hogy átverték olyan esetben, amikor tevőlegesen ő maga tette mindezt lehetővé. Az már látszik, hogy a netes közegben teljesen hasonló a helyzet, a kérdés csak az, hogy szervezeti szinten milyen módszerek lehetnek a leghatékonyabbak arra, hogy mintegy immunizáljuk az alkalmazottakat a tipikus átverésekkel szemben.

A social engineering élt, él és élni fog… A rendezvény végén több gondolatindító kérdés is felmerült azzal kapcsolatban, hogy a gyakori, nagy kockázattal járó és emberi gondatlanságból adódó incidenseket hogyan lehetne megelőzni figyelembe véve azt, hogy a céges hálózatokba érkező kártevők több, mint fele email csatolmányként érkezik, amit egyszerűen csak nem kellene megnyitni, nem is beszélve a klasszikus adathalász levelekről, amit egyre inkább személyre szabottan próbálnak eljuttatni egy-egy címzettnek. Ismétcsak úgy tűnik, hogy a technikai fejlődéssel és benne lévő kockázatokkal egyszerűen nem tudott lépést tartani kultúránk, nem tartom kizártnak, hogy ezt lényegesen siettetni nem is lehet. Azaz a technikai evolúciót utolérni sincs esélye a kulturális evolúciónak, ugyan előremutatónak tűnnek azok az ötletek, mint például az, hogy a biztonságtudatosságra egészen a kezdetektől kellene szocializálni mindenkit kisiskolás kortól.

Ha visszaélésekről van szó, világos, hogy mik nem jelentenek megoldást. Például a Magyarországon ezerszer módosított, információs önrendelkezésről szóló törvény a netes közeg vonatkozásában annyit nem ér, mint amennyi a papír, amire valaha is kinyomtatták: még évekkel ezelőtt a jól ismert fikaoldalak a jog betűjére teljesen fittyet hányva hordták fel a felhasználók közösségi webes szolgáltatásból származó fasztortás, bepiálós vagy más módon kínos fotóikat, a törvénynek semmiféle visszatartó ereje nem volt. Viszont eléggé világosan látszik, hogy a náluk néhány évvel fiatalabb és rugalmasabb, most 14-22 éves generáció már jóval elővigyázatosabb azzal kapcsolatban, hogy mit tesz közzé a neten, ha a nagy átlagot nézzük. Azaz a technológiai kockázat és az internet természete maga szankcionálta a felhasználót a saját hülyesége miatt, aminek a hatása néhány év alatt érezhető lett.

Egy munkahelyek ugyanakkor nem tűnik túl életszerű megoldásnak az, hogy a fertőző hivatkozásokra kattintó vagy Google Docs-ban érzékeny adatokat feltalicskázó alkalmazott felkerüljön mondjuk egy hülyetáblára és más szankcionálási formák is vélhetően inkább a szervezeten belüli feszültséget növelnék, mint a biztonságtudatosságot, éves, évtizedes beidegződések nem változtathatóak meg csak úgy.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtAz Adecco IT Academyben különösen az tetszett, hogy különböző területről érkezett szakértők, érdeklődők oszthatták meg a tapasztalataikat, aminek hatalmas előnye, hogy ekkor olyan új következtetésekre juthat az érdeklődő, amire egy szűkebb körnek szóló szakmai rendezvényen alighanem kevésbé.

0 Tovább

Viselkedésalapú azonosításé a jövő?


UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligenceIgazán kényes helyeken az erős jelszavak és a szigorú jelszópolitika már nem elegendő. Mi több, a többlépcsős hitelesítés is kijátszható, ahogy arról korábban már dobtam is egy posztot.  

Ha még az sem szavatolja a biztonságos beléptetést, hogy a felhasználónak a felhasználói neve és a jelszava mellett még egy egyszer használatos, például SMS-ben érkező vagy mobilalkalmazás által generált tokent is meg kell adnia, akkor mégis mi? Avagy mi az, ami szinte száz százalékosan azonosít egy-egy felhasználót? Igen, a viselkedése, amit a gép fel is ismer. Na de nem szaladnék annyira előre.

Nemrég több nagy iparági óriás is ismertette azokat a trendeket és friss kutatási eredményeket, amikből egészen dermesztő adatok derülnek ki, már ami az információvédelmet egészében illeti.

Az IDC egyik legújabb felmérése szerint a szervezetek többsége még mindig nem méri semmilyen módon azt, hogy az az összeg, amit információbiztonságra fordítanak, mennyire is hatékony. Míg nagyon sok esetben csak a hatósági feltételeknek kell megfelelniük, a harmadik legnagyobb csoportba pedig azok tartoznak, akik klasszikus kockázatbecslést végeznek, amikor kiértékelik egy-egy IT biztonsági incidens bekövetkezésének valószínűségét megszorozva az általa okozott kárral és ezt vetik össze azzal, hogy mennyit is költsenek informatikai biztonságra.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Olyan szempontból évek óta alig történt változás, hogy a leggyengébb láncszem nagyon sok esetben maga az ember, azaz az incidensek többsége megelőzhető lenne tudatosabb felhasználói viselkedés mellett. Nemrég egy konferencián az IT Services Hungary ismertetett egy, stílusosan Mikulásnapon elvégzett kísérletet, amiben egy auditor Télapónak öltözve ballagott be az ITSH egyik telephelyére nem mellékesen alaposan bekamerázva. Sehol nem állították meg, hogy igazolja a kilétét, szinte mindenki készségesen beengedte, így emberünk alaposan szét tudott nézni az irodákban, márpedig tudjuk, hogy egy hely bejárhatósága a social engineering támadások szempontjából aranybánya. Nem pusztán a helyismeret miatt, jobban belegondolva eléggé rizikós lehet, ha rejtett kamerával simán rögzíthető az, ami a monitorokon vagy esetleg nyomtatva megjelenik. Az öröm nem tartott sokáig, az alkalmazottaknak a Mikulás látogatása után levetítették a teljes felvételt, bemutatva azt, hogy az ál-Mikulás csak azt nem látott, amit nem is akart.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Márpedig a kifinomult, célzott támadások rendszerint hosszas előzetes információgyűjtéssel kezdődnek a megtámadni kívánt szervezettel kapcsolatban. A Lockheed Martin által csak Cyber Kill Chainnek nevezett ábra magyarra fordított változatát a CheckPoint idei diasorából vettem át, amiből kiderül az is, hogy egy-egy kémprogram telepítése ugyan néhány másodperc, a kémprogramok pedig nem kevés ideig, átlagosan 200 napig lappangnak egy hálózatban anélkül, hogy észlelnék őket, ráadásul ez az idő folyamatosan egyre hosszabbra nyúlik.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Nem csak azért nyúlik egyre hosszabbra, mert a malware-ek sokszor azért, hogy ne keltsenek feltűnést, nem lépnek azonnal akcióba, hanem azért is, mert az egész folyamat évről évre egyre kifinomultabbá válik. A kémprogramok elleni védekezés egyik bevett módja az, hogy minden kívülről jövő adat, így az esetlegesen rosszindulatú kód is először egy sandbox környezetben fut, azaz egy olyan virtuális gépen, amiben hiába kezdene el működni elvben, nem tenne kárt a valós rendszerben. 3-4 évvel ezelőttre teszem az első olyan kémprogramok megjelenését, amik már kellően rafináltak voltak ahhoz, hogy észleljék azt, ha nem valós, hanem virtualizált környezetben vannak, így ekkor nem tesznek semmit, hogy elkerüljék a feltűnést. Másrészt technikák egész sora jelent meg, amivel sok esetben lehetővé válik a sandbox-kitörés [sandbox evasion]  a vírusok számára.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Ahogy a poszt elején is írtam, az incidensek bekövetkezése mégis leggyakrabban emberi mulasztás vagy hiba miatt következik be, mi több, rendszerint ezek járnak a legtöbb kárral, így teljesen érthető, hogy a kutatások egy nagyon preferált területe lett éppen ezeknek az emberi hibáknak az időben történő kiszúrása.

Ahogy frappánsabban össze sem lehetett volna foglalni, a múlt a határvonal-alapú biztonság volt, amit többek közt klasszikus tűzfalakkal oldottak meg, manapság a legelterjedtebb az identitás-alapú biztonság, azaz amikor az előzőn túl egyre erősebb és erősebb azonosítási technikákkal látnak el rendszereket, a jövő pedig a viselkedés alapú biztonságé lesz.

Ami a jelent illeti, a többlépcsős azonosítás korában sokan lobbiznak a biometrikus azonosítást használó technikák elterjedése mellett, amit személy szerint én már akkor is egy igencsak fancy, ámde annál blődebb dolognak tartottam, amikor először olvastam róla komolyabban. A biometrikus azonosítással személy szerint az elvi problémát abban látom, hogy nem valami bölcs dolog olyan azonosításra támaszkodni, aminél az azonosításhoz használt információ nem változtatható meg. Többször igazolták már, hogy az okoseszközök ujjlenyomat-azonosítója arcpirító egyszerűséggel megtéveszthető, a retina mintázatát felismerő kamerák működése drága, körülményes és szintén becsapható. Sajnos a biometrikus azonosítás gyengeségei nem csak az emlegetett okoskütyük esetén jellemző, hanem drága és megbízhatónak hitt rendszerek esetén is. Ujjlenyomat? Retina? Írisz? Arc? Vénalefutás? Kéretik elhinni, hogy mindegyik sokkal biztonságosabbnak van kikiáltva, mint amennyire azok.  

A Balabit friss felmérései szerint az információbiztonsági szakértők gyakorlatilag mindegyike egyetért abban, hogy az incidensek egy jelentős része az alkalmazottak gondatlanságára vagy vezethetők vissza, esetleg ők maguk az insider támadók, valamint a gondatlansággal illetve szándékolt támadásokkal okozható kár nyilván annál nagyobb, minél több jogosultsággal rendelkezik az adott alkalmazott.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Innen eléggé értelemszerű, hogy akiknek a legnagyobb gondossággal kell vigyázni a munkáját illetve a legjobban védeni a hozzáféréseiket a külső támadóktól, a legmagasabb jogosultsági szinttel rendelkező rendszergazdák.

Itt lépett színre úgy igazán a felhasználó viselkedési mintázatának elemzése [balabites terminussal UBA avagy user-behavior analytics], amire természetesen nem csak ők fejlesztettek ki védelmi megoldást, elsősorban kényes adatvagyonnal dolgozó szervezetek számára.

Nézzük legegyszerűbb példaként azt, hogy mi lehet ordítóan feltűnő akkor, ha egy rendszergazda hozzáférését szerzi meg valaki és azzal próbál visszaélni. Ha valaki például adatbázis-adminisztrátorként egy pénzintézeti adatbázisszerverbe hétköznap általában reggel lép be, néha délelőtt vagy délben, a saját ebédidejében nem nagyon, délután ritkábban, éjszaka pedig soha, akkor szinte biztos, hogy ha hajnalban lép be valaki az ő hozzáférését felhasználva, csak támadó lehet.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Intuitív ezt nem olyan nehéz megállapítani. De hogyan lehet felkészíteni a gépet, egy komplex védelmi szoftverrendszert arra az esetre, ha ilyet tapasztal? Ismétcsak a bűvös gépi tanulás úszik be a képbe: valamilyen hatékony gépi tanuló algoritmus bizonyos idő alatt megtanulja, hogy az adott rendszergazda mikor szokott belépni, ezt tárolja, majd valószínűségi alapon riaszt, ha ettől a megszokottól valami merőben eltérőt észlel. Természetesen nem csak időbeli eloszlás tanítható a rendszernek, hanem szinte minden, ami leírja egy felhasználó géphasználati szokásait. Ha valaki szinte mindig a céges hálózatról lép be, kicsit szokatlan, ha otthonról lép be a céges VPN-en keresztül, az pedig már eléggé kritikus, ha képzeletbeli rendszergazdánknál azt tapasztalható, hogy hajnalban próbál belépni olyan IP-címmel, ami mondjuk egy karibi-térségben vagy Kínában jegyzett IP-tartományhoz tartozik.

UBA terén ez ráadásul csak a jéghegy csúcsa. Nyilván azzal kapcsolatban is lehet tendenciákat megállapítani adott, magas jogosultságú felhasználóval kapcsolatban, hogy milyen alkalmazásokat használ és mikor vagy milyen parancsokat ad ki egy parancssoros környezetben. Egészen pofás viselkedés alapú ujjlenyomat hozható létre ugyancsak gépi tanuláson keresztül arról, hogy a felhasználónak milyen a billentyűzési dinamikája, azaz a billentyűleütések időbeli eloszlása vagy ami legalább ennyire egyedi, hogyan használja az egeret [itt olyanokra kell gondolni, mint az egérmozgás sebessége, gesztúrái, vagy a kattintásdinamika illetve ezek együttesen és ki tudja még, hogy mi]. Scheidler Balázs egy ilyen, adott felhasználóra jellemző egérhasználati mintázat vizualizált képét is bemutatta.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

A teljes védelmi megoldásnak szerves részét képzi, hogy a felhasználókat aszerint, hogy milyen jogosultságaik illetve szerepköreik vannak a cégnél, különböző osztályokba sorolja, azaz a valós-idejű monitorozást az sem zavarja meg, ha több, magas jogosultságú rendszergazdát kell megfigyelni, hiszen köztük is nyilván vannak különbségek többek közt szerepkör szerint, azaz lehet valaki adatbázis adminisztrátor, egy adott virtuális szerver adminisztrátora vagy akár mindenki fölött álló hypervisor admin. Enélkül megoldhatatlan lenne a riasztási szintek skálázhatósága, egyáltalán a riasztási házirend kialakítása.

Az UBA igencsak előremutató, hiszen valakinek a jellemző felhasználói magatartását nem lehet csak úgy meghamisítani, ugyanakkor újabb és újabb kérdéseket vet fel. Tudvalevő, hogy a felhasználói viselkedésből is számos pszichikus nyom nyerhető, konkrétabban olyan jellegzetességek is, amik összefüggésben állnak vagy állhatnak a felhasználó más területen mutatott viselkedésével, ami viszont már nem tartozna másra, ennek megfelelően biztosítani kell, hogy ezek a patternek ne kerülhessenek ki. Hogy világosabb legyen: a Rorschach-tesztnél is a vizsgált személy ábrák láttán adott visszajelzéseiből tudnak pazar leírást adni az illető személyére vonatkozóan, holott a teszt előtt nyilván úgy gondolták volna, hogy a tintapacák értelmezésének első blikkre semmi köze nincs például az illető személyiségvonásaihoz.

Másrészt hosszú út is áll még az UBA előtt, hiszen a gépi tanításon alapuló megoldást fel kell készíteni arra is, hogy egy felhasználó jellegzetes felhasználói viselkedése változhat nyilván akkor, ha más szerepkörbe kerül, ezen kívül ami bennem felmerült, hogy a felhasználói viselkedés finomszerkezetét olyan tényezők is befolyásolhatják, mint különböző gyógyszerek vagy akár élelmiszerek. Ez alatt nem csak arra gondolok, hogy a billentyűzési-egerezési dinamika nyilván más lesz, valamilyen lónyugtató hatása alatt ül a gép elé, esetleg több kávét ivott a kelleténél vagy bepiált, az eltérés elvben akkor is megmutatkozhat, ha valaki alaposan teleeszi magát ebédidőben, majd úgy ül vissza a gép elé. A felhasználói viselkedés mintázata márpedig annál nagyobb „felbontású” lesz, minél több információ gyűlik össze a felhasználóról, az pedig eléggé világos, hogy a fejlesztés iránya az, hogy a felhasználó viselkedésbeli ujjlenyomata legyen minél részletgazdagabb.

Remek kérdés, hogy a felhasználói viselkedés elemzésén alapuló védelem finomhangolásához eléggé gyorsan lehet-e alkalmazni, abba integrálni a magatartástudományi, főként kognitív pszichológiai és neuropszichológiai ismereteket, ahogy történt ez például a nyelvtudomány területén is.

A felhasznált ábrákért köszönet az IDC-nek!

0 Tovább

Frissítést követően kémkedő webkamera, minden látó Tinder és egyéb rémálmaid


Nem csak az az érdekes, hogy az információ koncentrálódásának és áramlásának felgyorsulásával és növekedésével hogyan vált az informatikai biztonság egyre érdekesebb kérdéssé a kutatók számára, hanem az is, hogy ennek hogyan lett hasonlóan exponenciális mértékben növekvő hatása az életünkre.

Gondoltad volna, hogy abban az esetben, ha frissíted a webkamerádat működtető illesztőprogramot, esetleg pont azzal teszed lehetővé, hogy távolról szinte bárki által megfigyelhetővé váljon a kamera által aktuálisan mutatott kép? Vagy éppen a firmware távolról módosítható úgy, hogy ezt tegye.

És azt, hogy a világ egyik legnagyobb mobilos, helymeghatározáson alapuló csajozós-pasizós alkalmazása a Tinder olyan sebezhetőséget tartalmazott, amin keresztül az összes fotót le lehetett volna tölteni a Tinder szervereiről bármiféle bejelentkezés nélkül, olyan adatokat kért le a Facebook-fiókodból, amire nyilvánvalóan semmi szüksége nem volt vagy éppenséggel módosítani kellett a másik távolságát mutató funkciót, mert olyan pontossággal mutatta a felhasználók pozícióját, hogy az potenciálisan veszélyes volt rájuk nézve?

Azt hinnénk, hogy az olyan titkosítási módszerek a leghatékonyabbak, amiket abszolút az alapoktól, a nulláról fejlesztettek ki valamilyen meglévő felszteroidozása helyett, hiszen így kívülállónak nem lehetett lehetősége rá, hogy kiismerje a kriptográfiai megoldás gyengeségeit, ha egyedi fejlesztés. Valójában viszont az a helyzet, hogy éppen az egyedi fejlesztésű kriptográfiai megoldások jelentik a legnagyobb kockázatot ezen a téren. Egyrészt éppen azért, mert nincs egy egyedi, zárt forráskódú fejlesztés mögött egy hatalmas közösség, amelyik rá tudna mutatni a tervezésben vagy esetlegesen az implementációban – azaz konkrét szoftveres megvalósításban – rejlő gyengeségekre. Másrészt azért, mert körülbelül olyan rossz, mint a biztonság hiánya: hamis biztonságérzetet ad.

Többek közt ezeket a témákat filézték ki a tavalyi Ethical Hackingen egy-egy előadás keretében az előadók, amikről a videó nemrég már elérhető a neten is.

Az idei Ethical Hacking konferencia programja nemrég vált elérhetővé itt

A három emlegetett témáról szóló felkerült tavalyi videót pedig itt nézhetitek meg.

--

--

0 Tovább

A böngésződ az ujjlenyomatod - kriminalisztikai kitekintéssel


kriminalisztika ITsec webrtc user-agent böngésző ujjlenyomat felhasználó azonosítás OSINTEgyre többször merül fel a kérdés, hogy vajon a webhelyek mennyi információt tudhatnak rólunk, ezt hogyan oszthatják meg egymást közt, arról viszont nem nagyon esik szó, hogy bizonyos adatok és módszerek hogyan tesznek nem csak egyedileg gép szerint, hanem akár a gépet használó felhasználó, mi több, akár név szerint is azonosíthatóvá egy-egy személyt. Jól olvasod, tényleg lehetséges. Előre jelzem, kicsit távolról, az alapoktól indítok. 

Aki az elmúlt másfél évtizedet nem egy kavics alatt töltötte, annak legalább valamiféle elképzelése van arról, hogy ha tetszik, ha nem, egyes webhelyek annyi információt igyekszenek begyűjteni rólunk, amennyit csak tudnak, elsősorban azért, hogy minél inkább számunkra releváns, esetlegesen érdekes hirdetéseket tudjanak megjeleníteni a reklámfelületükön. Ez az ún. kontextusérzékeny hirdetés, ami egyrészt érvényesül például egy szolgáltatáson belül, amire példa, hogy ha könyveket böngészünk az Amazonon, akkor is, ha nem léptünk be és inkognitó módban böngészünk, a webhely hasonló tematikájú könyveket fog ajánlani a böngészés ideje alatt. Sőt, mivel a trendek elemzésén keresztül hatalmas mennyiségű adatot spajzoltak be, ezért azt is jól tudják, hogy ha valaki mondjuk az anonimizálással kapcsolatos könyveket böngészte, akkor sanszos, hogy érdekelni fogja mondjuk valamilyen más geek kütyü, mondjuk kémtoll is, így azt is ajánlgatni fogja a webshop. 

A modell természetesen működik webhelyek közt is, gyakorlatilag behálózva a világot, a legismertebb ilyen technológia a Google Adsense, amivel kapcsolatban a legfinomabb, hogy a teljes Google-nek évről évre ez hozza a legnagyobb bevételt. A webhelyek közti működést úgy kell elképzelni, hogy ha egy Adsense-t használó oldalt meglátogatott a felhasználó ami alapján az Adsense sejti, hogy a felhasználónak milyen hirdetést lehet érdemes megjeleníteni, ezt követően ha egy olyan oldalra megy át, ahol még soha korábban nem járt, de szintén Adsense hirdetéseket használnak, akkor ott is eleve olyan termékek illetve szolgáltatások fognak felvillanni hirdetésben, amik feltehetően érdeklik az olvasót, de a korábban meglátogatott oldalak alapján. 

A kontextusérzékeny hirdetéseket a Facebook járatta csúcsra, persze kicsit más műfaj, hiszen itt már be kell lépni, ahogy arról már korábban írtam, gyakorlatilag jobban tudja a Facebook azt, hogy mire költenénk szivesen, mint mi magunk, ráadásul a Google-lel ellentétben a hirdetésperszonalizációt még csak ki sem lehet iktatni a szolgáltatáson belül. 

Webanalitikai szolgáltatásokról szintén írtam korábban, ezek lényege ugyancsak az, hogy tudjuk, a látogatóinkat milyen tartalmak érdekelték, milyen platformot használnak, általában milyen képernyőfelbontással, honnan kattintanak át az oldalunkra és így tovább, minden ilyen megoldás erősen támaszkodik a JavaScriptre és a sütik kezelésére. 

Tehát azok a főbb, régi módszerek, amiket már sok-sok ideje alkalmaznak arra, hogy a felhasználóról valamilyen adatot nyerjenek, a következők: 

1.    magának a webszervernek a nyers logja, amit valahogy így kell elképzelni 

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36

[IP-cím]
[URI,  azaz, abszolút minden fájl, ami http/https protokollon keresztül folyik át]
4/25/16 5:02 AM
[a tartalom, ami az előbbit meghívta, itt konkrét példával]
http://bardoczi.reblog.hu/telefonbeszelgetes-rogzitese 

Megjegyzem, elvben lehetséges, hogy semmilyen információt nem ad át a szervernek a kliens az oprendszer típusáról, a böngészőmotorról, böngészőcsaládról, csak ebben az esetben vagy megtagadja a kiszolgálást a webszerver vagy kiszolgálja ugyan a látogatót, de a tartalom hibásan fog megjelenni. Az okos webanalitikai oldalak az IP-címeket már nagy-nagy adatbázisok alapján földrajzi hellyé „fordítják le”, a legnagyobb adatbázisok pedig dermesztő pontossággal mutatják egy-egy eszköz helyét csupán az IP-cím alapján: http://iplocation.net/ 

2.    sütik a böngészőben – az első olyan technológia volt, amit többek közt azért hoztak létre, hogy a felhasználókat jobban meg lehessen egymástól különböztetni 

3.    minden más, hibrid módszer – gyakorlatilag a többi csak ezeknek a cizelláltabb változata, például amikor a Google Analytics megoldja, hogy egy süti elhelyezése után egy JavaScript kód folyamatosan értesítse a webanalitikát végző szervert a felhasználó kattintgatásairól 

Természetesen minden letiltható, csak éppenséggel ennek az az ára, hogy az elmúlt 10 évben készült webhelyek szinte egyike sem fog működni normálisan. 

Feltétlenül szót kell ejteni azokról a technikákról, amik viszonylag újabbak és még ennél is pontosabb azonosítást tesznek lehetővé. 

kriminalisztika ITsec webrtc user-agent böngésző ujjlenyomat felhasználó azonosítás OSINTAz abszolút láma felhasználó esetleg gondolhatja úgy, hogy az IP-cím az azonosítás szent grálja, ezért nagyon gyorsan elmagyarázom az egyik okát, hogy ez miért nincs így, majd azt, hogy ez hogyan változott meg mégis. 

Az otthoni routerünknek vagy a munkahelyi routernek a netszolgáltató leoszt egy IP-címet, erre az IP-címre fogja majd megcímezni az adatcsomagokat az a szerver, amelyikről letöltünk. De ha egy munkahely vagy otthoni hálózat egy IP-címet használ, akkor honnan tudja az adatcsomag, hogy merre kell haladnia, azaz anyuka, apuka vagy a gyerek gépére kell küldeni az adatokat? Úgy, hogy a router, ahogy a nevében is benne van, útválasztást végez, így hálózati címfordítást is. Ez annyit jelent, hogy a router leoszt a lakásban található eszközöknek is külön-külön egy belső, kívülről nem látható címet, majd pontosan annak továbbítja, amit a net felől kapott, amelyiknek kell, kifelé viszont nem látszik, hogy melyik eszköz küldött adatot, mert a router elfedi azt. A belső hálózatra leosztott címek viszont alapesetben nem láthatóak az internet felé és egy, konvenció szerint csak belső hálózatok címzésére használható tartományból kerülnek ki, ami kisebb hálózatok esetén 192.168.1.1-től 192.168.255.255-ig tart. /*ez elvben több, mint 65 ezer gépet jelentene, a gyakorlatban az otthoni routerek 253 eszközt tudnak kezelni, azaz nem osztják le mindet*/ 

Tehát amikor valamilyen adatcsomagom érkezik a netről, azt a szerver megcímzi a kívülről látható, a világon abban az időben egyedülálló IP-címre, mondjuk a 178.48.105.abc-re, a routerem pedig tudni fogja, hogy lakáson vagy irodán belül már a 192.168.1.15 irányba kell továbbítani, ami jött, mert konkrétan az én gépemet ez fogja azonosítani, az adatot pedig én kértem. 

kriminalisztika ITsec webrtc user-agent böngésző ujjlenyomat felhasználó azonosítás OSINT


Tételezzük fel, hogy van egy troll, akit egy webhelyről vagy kommentmotorból ki szeretnénk tiltani IP-cím alapján és tudjuk, hogy a címe mondjuk 178.48.105.abc. Éppenséggel meg lehet tenni, viszont ha ezt a címet a netszolgáltató egy kisebb kollégiumnak vagy munkahelynek osztotta le, akkor az IP-alapú tiltással nem csak a problémás látogatót zárom ki, hanem mindenki mást is, hiszen ugyanazon az IP-címen keresztül látnak ki a netre a többiek is és a szerver is csak egy címet lát. 

Előbb írtam, hogy a belülre leosztott, azaz ún. LAN IP soha nem látszik az internet felé. Kivéve, amikor mégis. A böngészőben futtatható videócsetes szolgáltatások miatt szükségesség vált kifejleszteni egy olyan megoldást, amivel részlegesen tehermentesíthető a router, kifelé is mutatja a belső IP-címet is, viszont cserébe nem töredezik a kép és a hang videóhívás közben. 

kriminalisztika ITsec webrtc user-agent böngésző ujjlenyomat felhasználó azonosítás OSINT

Ezt az ún. WebRTC fölött valósítják meg és gyakorlatilag mára már minden böngésző támogatja. És ahogy mostanra kitalálható a leírásból, a belső IP-címet természetesen nem csak videócsetes szolgáltatások tudják lekérdezni, hanem gyakorlatilag bármi és bárki, aki a webhelyét felkészíti ennek a lekérdezésére. Ez viszont már hatalmas különbség a WebRTC előtti időhöz képest, hiszen megoldható, hogy például egy kommentmotor a trollnak ne csak a publikus IP-címét vegye figyelembe, hanem a LAN IP-jét is, azaz beállítható a tiltás olyan módon, hogy tiltsuk ki azt a gépet, amelyik a 178.48.105.abc IP-vel látható és a 192.168.1.35 LAN IP-cím tartozik hozzá. 

Az azonosítás ezen módszerét egyébként a komolyabb szolgáltatások ugyancsak használják, többek közt ez alapján fogja látni a Facebook, ha valaki a saját gépéről lépked be 5 kamu accountjába még abban az esetben is, ha elővigyázatosságból privát böngészőablakot nyit mindhez. 

Több ponton persze most egyszerűsítéssel éltem, a LAN IP-k kisebb hálózatok esetén rendszerint változnak, tipikusan egy napig azonosak, de ez lehet egy hét is, esetleg fix. 

Mi több, ha eléggé szépen kérdezik a böngészőtől, még azt is kifecsegi, hogy névfeloldó szerverként, azaz DNS1 és DNS2 szerverként mely szervereket használ [ezek azok a szerverek, amikről durva egyszerűsítéssel azt szokták mondani, hogy számokról betűkre fordítják le a szolgáltatások elérhetőségét, azaz a wikileaks.org cím begépelése mellett elérhetjük a Wikileaks oldalát a  95.211.113.154 beütésével is].  

Hogy mit láthat aktuális IP-ként, belső IP-ként és használt névszerverként bármelyik weboldal rólunk könnyen ellenőrizhető mondjuk itt: 

https://ipleak.net/

A másik, ami idővel szükségessé vált, hogy a webhelyek le tudják kérdezni a látogatójuktól, hogy a böngészőjükben milyen betűtípusok érhetőek el, milyen böngésző kiegészítők vannak telepítve, ezen kívül a reszponzív, okos weboldalaknak tudniuk kell, hogy a tartalmak milyen képernyőfelbontás mellett, milyen színmélységgel jelenítsék meg, mi több, ha átméretezzük az ablakot még azt is látni fogja, hogy mekkorára méreteztük át. Mindezeket vagy önmagában a webhelyen megjelenítéséért felelős HTML5 nyelvvel vagy ún. AJAX-technológiával oldhatujnk meg, de a lényeg, hogy nem csak a megfelelő megjelenítés érdekében használhatjuk, hanem pusztán naplózás céljából is. 

Márpedig ha figyelembe vesszük, hogy egy átlagos gép böngészőjében van mondjuk 10 telepített addon, elérhető 50 különböző betűtípus, a böngésző megmondja, hogy milyen felbontású a kijelző, könnyen belátható, hogy gyakorlatilag nincs két egyforma böngésző a világon! És olyan finom részletekbe bele se mentem, mint például az, hogy böngészőbővítmények a verziószámukkal együtt kérdezhetőek le. Az eredmény valami ilyesmi: 

kriminalisztika ITsec webrtc user-agent böngésző ujjlenyomat felhasználó azonosítás OSINT

Szemléletesebb, ha mutatom: az egyik legismertebb, browser fingerprinting oldal a https://panopticlick.eff.org/  ahol, miután elvégeztük az alaptesztet, kattintsunk a „Show full results for fingerprinting” feliratra és láss csodát, a webhely jobban ismeri a böngészőnket, mint mi magunk. 

Erre felvetődhet a kérdés, hogy mi van akkor, ha valaki hordozható TOR böngészőt használ? A hordozható TOR böngészőben ugye tiltva van számos HTML5, JavaScript funkció, nem futtat fecsegő bővítményeket, de például a NoScriptet mindig, ezen kívül mindegyik ugyanazt a betűkészletet és user-agentet [oprendszer és böngésző típusát mutató változó] kamuzza be a szerver felé, ami annyit jelent, hogy a látogatóról félreérthetetlenül sütni fog, hogy TOR-on keresztül érkezett. A TOR-on keresztül érkező látogatókat pedig egyre több szolgáltatás egyszerűen szögre akasztja és tovább sem engedi. 

kriminalisztika ITsec webrtc user-agent böngésző ujjlenyomat felhasználó azonosítás OSINT

A részletező táblázatban a „bits of identifying information” és a „one in x browsers have this value” sor értelmezése egyszerűsítve annyi, hogy az összes addig tesztelt böngésző közül az adott látogató böngészője mennyire egyedi. Annak az információértéke például, hogy a böngésző angol nyelvű, nem nagy, hiszen alighanem a világon a legtöbben angol nyelven telepítik a böngészőjüket. Annak viszont már eléggé nagy az információértéke egy külföldi oldal számára, ha például a böngésző nyelve magyar, mivel a világ összes böngészője közt relatív keveset telepítenek magyar nyelven. Azaz az egyediség megállapítása az információelméletben alkalmazott egyik alapmodellt alkalmazza, ami szerint az információ nem más, mint a bizonytalanság hiánya, minél kisebb bizonytalanságú valami, annál informatívabb. Másként szólva, minél többet tudunk valamiről, annál jobban alkalmazható azonosításra. 

Senkit sem büntetnék a Shannon-Weaver-modellel, de ha valakit érdekel, a szócikk magyarul is egészen jól össze van rakva.  

A Panopticlick-tesztben saját magunk jogosítottuk fel a webhelyet, hogy tudjon meg a böngészőnkről mindent, viszont tartsuk észben, hogy a LAN IP és DNS1, DNS2 megszerzését és más böngészősajátosságok lekérdezését és naplózását elvégezheti bármelyik webhely a tudtunk nélkül is! 

Jó, jó, de a webszolgáltatások használhatóbbá tételén túl milyen további haszna van annak, hogy a böngészőnk gyakorlatilag a puszta létével ennyit elárul rólunk? Ennek tényleg csak a fantázia szabhat határt, de azért képzeljük el az alábbi eseteket. 

Tételezzük fel, hogy szállodaszobát szeretnénk foglalni és a hotelfoglaló oldal látja, hogy egy Apple gépről netezünk, ráadásul céges bérelt vonalon keresztül, ebből egy hozzá kapcsolt algoritmus azt a következtetést vonhatja le, hogy sokkal magasabb árajánlatot dobjon fel, mintha egy öreg windowsos gépen próbálnánk foglalni szobát valamilyen olcsó netkapcsolaton keresztül. A dolog persze messzemenően etikátlan, de a törvény mindenesetre nem tiltja. Túlságosan paranoidnak tűnik? Abból már három évvel ezelőtt botrány volt, hogy egy webshop annak figyelembevételével eltérő árat mutatott más-más felhasználóknak ugyanannak a terméknek az adatlapjánál, hogy a felhasználó helyéhez közel mennyi hasonló profilú üzlet van, pedig egy egyszerű IP-alapú helymeghatározásról volt szó. 

Második forgatókönyv: tételezzük fel, hogy valaki kamu Facebook-accountokat hoz létre azért, hogy valakit zaklasson. A Facebook naplózza a legfinomabb részleteket is és simán adódhat úgy, hogy az adott gépről már nem enged új regisztrációt, a meglévőeket pedig egyszerűen jegeli a zaklató valódi fiójával együtt. Ugyanezen az elven, mivel a browser fingerprint naplózva van, többféle webes felületen keresztül történő támadási kísérlet azonosítható, az első esetben a zaklató, a második esetben pedig a szkriptelős hülyegyerek nem gondolhat mindenre, biztos, hogy lebuktatja valamilyen árulkodó nyom, amit hagy maga után. Egy kellően nagy kapacitással rendelkező szervezet akár adatbázist is építhet az ilyen böngésző-ujjlenyomatokból. 

A harmadik példa talán a legizgalmasabb. Amikor azonosítani kell egy spammert vagy scammert, elég, ha létrehozunk egy olyan kamu, fingerprintelő webhelyet, majd a címét elküldjük a nigériai főhercegnek mondjuk azzal a szöveggel, hogy oda írtuk fel a számára szükséges adatokat. Emberünk megnézi az oldalt, már meg is van a böngészője ujjlenyomata. A beépített szkriptünkön keresztül az illető nem csak, hogy a teljes böngésző ujjlenyomatát hagyja ott, hanem még az is látható lesz, hogy milyen böngészőbővítményeket és annak milyen verzióit használja. Ez a bűnüldözésben aranybánya – már amennyire a törvény engedi. Például ha ismert, hogy milyen bővítmények milyen verzióval futnak, egy böngésző motor vagy böngészőkiegészítő sérülékenységet kihasználva akár kémprogram is telepíthető az illető gépére, ahogy tette ezt minap az FBI is és nosza, fogtak is párezer pedofilt, na meg gyermekpornográfiában utazó jómadarat példásan rövid idő alatt. 

A harmadik technika, amiről nem ejtettem szót eddig, hogy egy kellően ügyes szkript segítségével egy webhely azt is meg tudja állapítani, hogy ilyen-olyan közösségi szolgáltatásokba be vagyunk-e jelentkezve. Ehhez már hozzászokhattunk a social pluginek világában, amikor például nem igényel plusz belépést a kommentelés egy poszt alatt, mivel a plugin felismerte, hogy már bejelentkeztünk a Facebook/Disqus/Twitter-fiókunkkal. A még ügyesebb szkript viszont még annak a megállapítására is képes, hogy egy-egy webhely tud-e lájkoltatni oldalakat a nevünkben, a tudunk nélkül. A lájkvadász mechanizmusok működése végülis a clickjacking, azaz click hijacking, magyarosabban szólva klikk-eltérítés egy speciális esete. 

Linus Robbins oldala is sokat el tud árulni rólunk és azt is jelzi, ha például a lájk-eltérítésre érzékeny a böngészőnk. 

Ezt egyébként a 

http://webkay.robinlinus.com/clickjacking/facebook.html 

oldalon lehet ellenőrizni: kijön egy teljesen köznapinak tűnő oldal, amiben ha az ártalmatlannak tűnő folytatás gombra kattintasz, a tudtod nélkül lájkoltad is Linus Robbins oldalát, amit a Facebookon az Activity logban vonhatsz vissza. 

A clickjacking ellen ugyan próbál védekezni a Facebook, a lényeg még mindig abban áll, hogy a lájk gombot el lehet rejteni egy, a webhelyen megjelenő átlátszatlan elem, például a „tovább” gomb alá. 

Még néhány évvel ezelőtt egy Bestofallworlds-meghívóért egy netes csaló 500 dollárt csalt volna ki egy pénzes német nyugdíjastól és a pénzt persze, hogy Paypal-re kérte, mint később kiderült, nem is volt BOAW-meghívója. A burzsuj szenilis német nyugdíjas csak annyit kért, hogy már küldi is a pénzt, csak az illető kattintson egy linkre, azzal az indokkal, hogy megmutathassa a képeket a nemrég született unokákról. A hülye scammer kattintott, amivel a tudta nélkül lájkolt is egy előre erre a célra létrehozott csali FB-oldalt a saját, valódi Facebook-fiókjával [azt pedig egy FB-oldal adminja azonnal látja, hogy konkrétan ki lájkolta az oldalát és mikor], ami alapján kiderült, hogy nem holland üzletember, hanem egy csóró harmadikvilágbeli pöcs, aki ilyen lehúzásokból él. Ami pedig a történetben nem mellékes, hogy a burzsuj német nyugdíjas valójában én voltam xD 

Azaz a netezők pontos azonosításához vagy netes csalások feltárásához nagyon sokszor semmi szükség rá, hogy valamilyen szépnevű hárombetűs szervezet tagjai legyünk, csak egy kis ész, na meg kriminalisztika. 

Több szempontból nem javallt, hogy az emlegetett oldalak által ajánlott anonimizáló bővítményeket feltegyük ész nélkül, de abban már nem megyek bele, hogy miért. 

Persze, tényfeltáró újságírók, ilyen-olyan aktivisták részéről gyakran felmerülő igény, hogy ne lehessenek azonosíthatók, észben kell tartani, hogy az anonimizálás – amellett, hogy 100%-os sosem lehet – külön tudomány. Ennek megfelelően ha kényes kutatómunkát végez valaki, az általános OPSEC gyakorlat mellett érdemes konzultálni olyannal, akinek az anonimizálási módszerek több éve a kutatási területéhez tartoznak. 

2 Tovább