About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (37),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (10),social web (9),biztonság (8),mobil (8),OSINT (6),jog (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),Google (5),molbiol (5),felzárkóztató (5),webcserkészet (5),szájbarágó (5),plágium (4),Nobel-díj (4),kriminalisztika (4),terrorizmus (4),kultúra (4),big data (4),email (4),genetika (3),pszichológia (3),molekuláris biológia (3),biztonságpolitika (3),CRISPR (3),Android (3),online marketing (3),sajtó (3),élettudomány (3),gépi tanulás (3),Onedrive (3),üzenetküldés (3),jelszó (3),2015 (3),orvosi-fiziológiai (3),Apple (3),Gmail (3),reklám (3),konferencia (3),webkettő (3),biztonságtudatosság (3),kriptográfia (3),levelezés (3),magatartástudomány (3),azelsosprint (3),popszakma (3),hype (3),open source intelligence (3),torrent (3),nyelvtechnológia (3),bejutas (2),tweak (2),villámokosság (2),cas9 (2),Yoshinori Ohsumi (2),Hacktivity (2),génterápia (2),fiziológia (2),természetes nyelvfeldolgozás (2),Reblog Sprint (2),bűnügy (2),Pécs (2),nyílt forrású információszerzés (2),webkamera (2),deep web (2),P2P (2),Netacademia (2),arcfelismerés (2),DDoS (2),Balabit (2),bűnüldözés (2),TOR (2),kulturális evolúció (2),ransomware (2),hitelesítés (2),SPF (2),Whatsapp (2),neuropszichológia (2),szabad információáramlás (2),FUD (2),DKIM (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),szociálpszichológia (2),tanulás (2),biológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Elképesztő egyszerűséggel bepoloskázható a Whatsapp?  


Whatsapp ITsec epic IM üzenetküldésLegalábbis, ha működik az a nagyon egyszerű módszer, ami kering a neten néhány napja

Persze, minden szoftver törhető valamilyen módon, csak az nem mindegy, hogy kőbaltával is megy vagy éppenséggel kifinomult műtéti beavatkozás kell hozzá. 

Úgy fest, hogy valaki visszafejtette annak a kémprogramnak a forráskódját, amivel a fertőzött mobilok Whatsappja hallgatható le gyakorlatilag úgy, hogy aki bepoloskázta az áldozat mobilját, elhiteti a Whatsappal, hogy a támadó mobilja [vagy a gépén futó mobilkörnyezetet emuláló fejlesztőkörnyezet] a legitim felhasználó mobilja, közben kihasználja azt, hogy a Whatsappal elvben egyszerre több helyről is be lehet jelentkezni, az üzenetek pedig ilyen módon több helyről is elérhetőek. Esetleg magát a Whatsappot fejtették vissza, azaz reverselték, de az sincs kizárva, hogy a sebezhetőségre ilyen bravúrok nélkül jött rá valaki. 

Ha igaz, amit a Quora néhány nappal ezelőtt létrehozott topikjában olvashatunk, gyakorlatilag egy egyszerű MAC-cím klónozással bárki viheti a másik Whatsapp fióját. 

A MAC-cím nem más, mint egy, a hálózati hardverhez tartozó azonosító, ami ideális esetben egyedi, gyakorlati szempontból viszont semmi sem garantálja, hogy egyedinek kell lennie. Abban az esetben, ha valaki a Whatsappot telepíti a mobiljára, a telefonszám hitelesítése után az alkalmazás a telefonszám és a MAC-cím alapján látja, hogy ténylegesen milyen eszközön is fut. Ha valóban csak ennyi biztosítja a kliens identitását, az nagy probléma, márpedig nagyon úgy fest, hogy ez a helyzet. Elvben, ha valaki lenyúlná illetve lehallgatná más Whatsapp-üzeneteit, nincs más dolga, mint megszerezni az áldozat mobiljának MAC-címét, amihez viszont nem kell feltétlenül a telefonhoz fizikailag hozzáférnie, aztán ott megnéznie a beállítások közt,  hiszen például több könyvtár, munkahely is van, ahol a MAC-címet kell megadni ahhoz, hogy a wifi-hálózatra csatlakozni lehessen, a szolgáltató is tárolja ezt az adatot, és a mobil számos más módon is kifecsegi a MAC-címét, ahonnan megszerezhető. Ha ez megvan, akkor a MAC-címet csak le kell másolni, azaz klónozni kell, ami nem nagy bravúr egy root-olt Androidos mobilon, magyarul átírni a támadáshoz használt mobil MAC-címét az áldozat MAC-címére. Miután a MAC-klónozással a támadó megvan, már csak meg kell adni a frissen telepített Whatsappban a hitelesítéshez az áldozat telefonszámát, aminek hatására persze a támadott kap egy SMS-t, mivel formálisan olyan, mintha bejelentkezett volna még egy eszközről vagy újratelepítette volna az alkalmazást a saját mobilján. Nem is tudja az érintett, hogy miért kér tőle extra hitelesítést a Whatsapp, de megadja az SMS-ben kapott azonosítót és ezzel lehetőséget is adott a támadónak, hogy az üzenetfolyamhoz teljes egészében rálásson, hiszen a Whatsapp két különböző irányba fogja továbbítgatni az üzeneteket, amik közül az egyik a támadó mobilja, amivel megszemélyesítette az áldozat mobilját. 

Az üzeneteken kívül egyébként elérhetővé válik az áldozat földrajzi helye mellett több más adat is, szándékosan nem linkelem azt a bolondbiztos alkalmazást, amit erre találtak ki. 

Megjegyzem, a módszer egyáltalán nem technikai szempontból nagyon necces. A már-már bugris, ötletességet, leleményességet nem igénylő módszerek akkora, ha nem nagyobb kárt okoznak minden környezetben, mint a kifinomult, felkészültséget igénylő támadási módszerek, pont azért, mert a bugris módszereket többen meg tudják valósítani, ami pedig még kínosabb, ha mindez egy 200 millió aktív felhasználóval rendelkező üzenetküldő appnál játszható meg. 

0 Tovább

Mobil biztonságtudatosság, USA-Európa, 1:0


Balabit ITsec mobil biztonság biztonságtudatosságIgencsak tanulságos mini prankkel haknizott a Balabit IT Security a minap: Stockholmban és San Franciscoban szólítottak meg mobilozókat azzal, hogy kipróbálnának-e egy hordozható akkut, amit csak csatlakoztatni kell a mobilhoz és az akkut képes 5 perc alatt feltölteni. Vegyük észre, hogy eleve már csak azokat érdekelhette a dolog, akik nem voltak képben azzal kapcsolatban, hogy nem lehet feltölteni egy okosmobil akkuját 5 perc alatt, pláne olyan univerzális töltő nagyon valószínűtlen, ami erre képes lenne megbízható módon, hiszen eleve különböző mobilok akkumlátorai közt eléggé emberes eltérések vannak.

Később a srác megkérdezte az érintetteket, hogy nincs-e biztonsági szempontból aggályuk azzal kapcsolatban, hogy ismeretlen eszközt csatlakoztatnak kábellel a saját mobiljukhoz. Európában - legalábbis Stockholmban biztosan – láthatósan sokkal kevésbé illetve lassabban esett le, hogy mi ezzel az esetleges para.

0 Tovább

így vigyáz az adataidra a Google


Google privacy ITsec titkosítás adatbiztonság bűnüldözésMakacsul tartja magát a hiedelem, ami szerint Svájc azoknak az országoknak az egyike, amelyik a leginkább kényes, ha a felhasználói adatok védelméről van szó, a nemzetközi jogi helyzete miatt. Féligazság, írom is, hogy miért. 

Ha mással kapcsolatban nem is nagyon került szóba a személyes adatokra olyan érzékeny Svájc a Snowden-bohózat óta, többen olvashattak arról, hogy a PRISM-parát meglovagoló viccesebbnél viccesebb cégek közül a világ egyik legbiztonságosabb email szolgáltatását ígérő Protonmail többek közt azzal az eszelős hülyeséggel bizonygatja a Svájcban tárolt információk sérthetetlenségét, hogy a szervertermük gyakorlatilag be van vájva egy hegy gyomrába, ami egyébként akár még igaz is lehet, de egy levelezőrendszer nem ettől lesz biztonságos. A Protonmail egyébként ugyanaz a vicces szolgáltató, amelyik ugyanakkor teljesen védtelen volt egy tankönyvi bonyolultságú ún. cross-site scripting támadás ellen, azaz sokáig szinte tetszőleges szkriptet, így rosszindulatú kódot is be lehetett illeszteni a levelek törzsébe, amik szépen le is futottak amikor a Protonmail-felhasználó megnyitotta a levelet. 

Mindez semmi ahhoz képest, hogy az ugyancsak ultrabiztonságosnak tartott Google-től a hatóságok az esetek felében-kéthamadában megkapták azokat a felhasználói adatokat, sejthetően svájci felhasználókról, amiket különböző hatóságok kértek, ami azért minimum elgondolkoztató arány. Swiss Federal Data Protection Ordinance ide, Swiss Federal Data Protection Act oda, az USA-tól és az EU-tól való viszonylagos függetlenség ide vagy oda, ha a svájci hatóságok valamit kikérnek, nagyon sokszor meg is kapják, azt pedig egy pillanatig se felejtsük el, hogy mindehhez az érintett felhasználónak nem kell rablógyilkosnak, terroristának vagy tonnás mennyiségekben seftelő drogdílernek lennie. Mivel egy kellően jól összerakott jogi indoklást követően az alapos gyanú is elég lehet ahhoz, hogy a Google már küldje is az adatokat, díszdobozban. Ugyan a transparency report nem tér ki rá, de eléggé világos, hogy döntően Gmail-fiókokról és adott Google-felhasználókhoz kapcsolódó, azonosításra alkalmas információkról lehet szó, ráadásul a kaliforninai bíróságon, amelyik szerintem illetékes lehet, általában meg sem próbálja a Google megfúrni az adatigényléseket, de nem is köteles a Google vizsgálni azoknak az indokoltságát. 

Google privacy ITsec titkosítás adatbiztonság bűnüldözés


Mindeközben Magyarországon... Ha megnézzzük, hogy mi a helyzet a magyar felhasználókat érintő, magyar hatóságok által kezdeményezett adatigénylésekkel kapcsolatban hízhat a májunk, mert az látszik, hogy az egyébként kis számú adatigénylésből egészen pontosan nulla százaléknak tett eleget a Google. 

Google privacy ITsec titkosítás adatbiztonság bűnüldözés

Innentől már csak lehet tippelgetni, hogy miért. Valószerűtlennek tartom, hogy a magyar nyomozó hatóságok annyira tompák lennének, hogy ne tudják, hogy hogyan állítsanak össze olyan adatigénylést, amire majd érdemben kapnak is választ, ezen kívül vannak azért kemény kötésű és tájékozott telco jogászok Magyarországon is bőven. Az egyik optimista feltételezett ok az lehet, hogy magát a nyomozást kellően bravúrosan végzik ahhoz, hogy ne kelljen a Google-hez rohangálni felhasználói adatokért, az átlagosan hülye bűnöző – vagy annak vélt bűnöző felhasználó – úgyis millió meg egy ponton elcsúszik máshol, ha valamit el akar titkolni, ami viszont tény. Azaz nem is kellenek olyan adatok a bizonyítási eljárásban, amit csak a Google-től közvetlenül lehetne beszerezni. 

A legpesszimistább, már-már a jó hírnév megsértését karcolászó feltételezés pedig az, hogy valóban előfordul Magyarországon is, ami elterjedt szerte a világon, csak államonként eltérő mértékben: azaz hogy a szükséges adatokat a nyomozók nem törvényes úton szerzik be, majd ha megvan, az eljárás későbbi szakaszában, közben találják ki, hogy a gyanusítottal kapcsolatban honnan tudják azt, amit tudnak. Arról már volt szó, hogy a magyar felhasználókat kiszolgáló Google-adatközpontokhoz hozzáférni nem olyan eszelősen bravúros dolog, mint ahogy arról is vannak legendák, hogy milyen mértékű rálátásuk van a hatóságoknak a magyar hálózatokra a netszolgáltatókon keresztül, amiken még ha titkosítva is szaladgál az adat, függetlenül a titkosítás erősségétől, a gyakorlatban sokszor kijátszató

És azt az ortó nagy blamát még nem is emlegettem, amikor kiderült, hogy a legnagyobb levelezőrendszerek, azaz az AOL, Google, Yahoo adatközpontjai közt az USA-ban teljesen titkosítatlan volt a forgalom, persze nem azért, hogy könnyebb dolga legyen az NSA-nek, hanem azért, mert a titkosítás és visszafejtés nagyon komoly számításigénnyel jár, ilyen módon drágább is, ha olyan gigantikus mértékű adatforgalomról van szó, mint amilyet ezek a rendszerek lebonyolítanak. Ne legyenek illúzióink: egyáltalán nem biztos, hogy Európán belül dedikált vonalakon a Google titkosítva tolja az adatforgalmat Magyarországra a maga "kis" 60 gigabit/másodperces peeringjén keresztül, az már egy teljesen más kérdés, hogy a budapesti vagy annak közelében lévő adatközpontok és a felhasználók gépei közt már valóban titkosított a kapcsolat, legyen szó szinte bármelyik Google szolgáltatásról. 

Hogy szemléletes példával éljek: teljesen mindegy, hogy hindi nyelven mond nekem valamit az, aki mellettem ül és nem szeretné, ha rajtam kívül más is megértse abban az esetben, ha magába az épületbe az üzenet egy egyszerű képeslapon érkezett, amit majd hindi nyelven suttognak el, hiszen így csak az nem látja az üzenetet még titkosítatlan formában a képeslapon a postázástól kezdve a recepcióson keresztül a titkárnőkig mindenki, aki nem is akarja. 

Ez a titkosítás nem keverendő azzal a viszonylag friss, ámde annál ködösebb Google bejelentéssel, ami szerint lakattal jelzi a Gmail a webes felületen, hogy az, aki a levelet küldte, titkosítva küldte-e, de azt a bejelentés egyáltalán nem teszi konkréttá, hogy ez mit is jelentene. Ha valaki levelet küld például egy Gmail-es címre, nem a Gmail rendszeréből, olyan módon, hogy a további kézbesítésre szánt levelet az első szerver titkosítva kapja meg, egyáltalán nem biztos, hogy a levél út közben nem halad át olyan csomóponton, amelyik viszont már titkosítatlanul passzolja tovább azt. Az pedig nem világos, hogy a Google a fejléc alapján az összes hosztnévhez tartozó sort megnézi-e, hogy azok egymás közt „hindi nyelven” beszéltek-e vagy éppenséggel csak küldő gépe azzal a szerverrel, amelyiknek a levelet elsőként megkapta további kézbesítésre. Ami biztos, hogy a bejelentést követően nem kevesen joggal írhattak róla, hogy mekkora parasztvakítás ez már megint. 

Az adatigénylésektől indultam, megint a titkosításnál kötöttem ki. A lényeg viszont, hogy az információk továbbításának sérthetetlensége sosem egy vagy kevés számú mechanizmusra támaszkodik: ha azt szeretnénk, hogy ne nagyon legyen látható, hogy merre kóválygunk a neten, kinek milyen rendszeren keresztül küldünk üzenetet, használjunk VPN-t, ha pedig még biztosabbra akarunk menni, használjunk PGP-t, ami tényleg egyik végponttól, azaz felhasználótól a másikig titkosít és így tovább. 

0 Tovább

Kétlépcsős hitelesítést vezet be az Instagram  


Instagram social media 2-FA ITsec azonosításIgazából nem világos, hogy miért csak most, de a Techcrunch értesülése szerint az Instagram bevezeti a kétlépcsős hitelesítést, ami a felhasználókat megvédi a közönséges jelszólopáson alapuló támadásoktól azzal, hogy ha szokatlan helyről próbál valaki belépni az Insta-fiókjába, pluszban egy, a mobilszámára érkező, számjegyekből álló tokent is meg kell adnia a felhasználói név és a jelszó megadásán túl a sikeres belépéshez.  
 
Egy 400 milliós felhasználói bázissal rendelkező közösségi szolgáltatás esetén ez már erősen időszerű volt, akinek pedig nincs beállítva mobilszám az Instagram-fiókjához, érdemes megadni azt a későbbi fennakadás megelőzése érdekében.  
 
Ami miatt még nem biztos, hogy mindenki találkozik a jelenséggel, ha kilép az Insta-accountjából, majd megpróbál ismét belépni, az egyik oka lehet az, hogy az Instagram az új featuret folyamatosan vezeti be, azaz nem feltétlenül érhető el még mind a sokszázmillió felhasználó számára már holnaptól, a másik, sokkal valószínűbb ok pedig az, hogy az Insta-fiók tipikusan össze van drótoza a Facebook-fiókkal, márpedig ha él egy legitim Facebook-munkamenet, azaz asztali gépen be vagyunk jelentkezve, mobilon pedig a Facebook-alkalmazás szabályosan fut, az is képes azonosítani a felhasználó kilétét, így nem érkezik pluszban SMS-token, amit meg kellene adni.  
 
A 2-FA egyébként a Facebook esetén hasonlóan a többi webes óriáshoz, 4-5 éve érhető el világszerte és érdemes is bekapcsolni.  
 
Kép: techcrunch.com 

0 Tovább

Így csinált hülyét a FB a legszemérmesebb felhasználókból


Nincs másfél éve, hogy a Facebook elérhető a https://facebookcorewwwi.onion/ címen is a világ legismertebb anonimizáló hálózatán keresztül, a TOR-on keresztül. Sokáig nem volt világos, hogy a Facebooknak miért jó, ha anonim módon lehet bejelentkezni egy olyan közösségi szolgáltatásba, ami nem csak, hogy mindent tudni akar, de bármikor szabályosan igazoltathatja a felhasználót, hogy valóban a valós nevével használja-e a szolgáltatást, egyes államokban mobilos megerősítéshez köti a regisztrációt és így tovább. Lehetett sejteni, hogy miért jó, mostanra pedig eléggé világos lett.

TOR Onion web deep web Facebook anonimitás ITsec

Máig csak saccolható, hogy mekkora adathalmazt használ fel a Facebook, amikor eldönti, hogy egy-egy felhasználónak milyen hirdetéseket jelenít meg, de a megtekintett és lájkolt tartalmakon kívül nyilván szerepe van a bejelentkezés helyének is. A bejelentkezés helye, amit alapesetben az IP-cím alapján saccol meg a rendszer, biztonsági szempontból is fontos: ha például valaki mobilról és asztali gépről egyaránt különböző budapesti ill. magyar hálózatokból jelentkezett be az elmúlt néhány hónapban, az utolsó munkamenetet követően néhány órával hiába adná meg elsőre a helyes bejelentkezési adatait mondjuk Brazíliában, a rendszer jelszólopásra gyanakodna és valamilyen plusz ellenőrzésnek vetné alá a felhasználót a fiók védelme érdekében. Azt pedig tudjuk, hogy a TOR hálózat egyik lényegi sajátossága, hogy a net felé látható IP-cím alapján nem állapítható meg a felhasználó tényleges földrajzi helye, ugyanakkor ezek az IP-címek, amik a TOR hálózat ún. exit-node gépeinek címei és a felhasználók megkapják őket a használat idejére, egyszerű automatizált technikai módszerrel nem különböztethetők meg a mezei IP-címektől. /*más kérdés, hogy sok más alapján meg ordít a látogatóról, ha TOR-felhasználó*/ Most indítottam a TOR portable browserjét, a pillanatnyi IP-címem, azaz az exit-node címe 62.210.37.82, azaz úgy tűnik, mintha egy francia céges hálózatból, céges proxy mögül vagy céges VPN-ről léptem volna be, nem? A Facebook is így látja, teljesen más viszont a helyzet, ha valaki a fenti, .onion-os címen keresztül érkezik, hiszen az kizárólag TOR-on keresztül érkezhet, ennek megfelelően pedig a belépéshez használt IP-címeket már csak össze kellett gereblyéznie a Facebooknak, így alighanem most ők rendelkeznek a legpontosabb és legnagyobb adatbázisról, ami a TOR-os IP-címeket illeti. Hogy mi ennek a gyakorlati jelentősége?

TOR Onion web deep web Facebook anonimitás ITsec

...már jól tudja

Később már ha a TOR-felhasználó nem .onion-os címen keresztül érkezik a Facebook bejelentkező oldalára, hanem simán a fb.com címen, viszont az IP-címe abba azon címek egyike vagy azokba a címtartományokba passzol, amikről korábban igazolódott, hogy a TOR-hálózat építőelemei /*pontosabban szélei, ha úgy tetszik*/, abból sokkal több következtetést lehet levonni, mint elsőre látszik. Egyrészt a Facebook tisztában lesz azzal, hogy a felhasználó valódi földrajzi helye nem az, ami az IP alapján látszik, így a hirdetések megjelenítésénél már nem fogja figyelembe venni. Másrészt a Facebook finomhangolni tudja, hogy a felhasználót mennyire riogassa gyanus bejelentkezési kísérletekre figyelmeztetve, ami pedig a legeslegfontosabb, nagyon sokat tanul azoknak a felhasználóknak az érdeklődéséről, akik TOR-on keresztül érkeznek rendszeresen, hiszen sejthetően éppen ők sokkal fogékonyabbak az anonimitást fokozó technikák, szolgáltatások iránt, így nekik pont ezeket érdemes hirdetni - természetesen később akkor is, amikor már nem TOR-on keresztül kapcsolódnak.

Nem is érdemes nagyon ragozni, hogy a hirdetés annál hatékonyabb, minél célzottabb, márpedig ha a Facebook tudja, hogy a felhasználó helyét nem szabad figyelembe vennie és mindenféle anonimizáló, na meg magánszféra védelmére kihegyezett geekséget tud elé tolni a hirdetéseiben. Azaz sebészi pontossággal fogja tudni, hogy kiknek érdemes ilyesmit hirdetni, mi több, tovább tudja a Facebook vizsgálni azt, hogy milyen érdeklődési trendek jellemzőek a TOR-ozó, azaz önmagukat gyakran anonimizáló felhasználókra.

Alighanem nem én mondtam először, de nagyon igaz: ha valaki alaposan magára akarja vonni a figyelmet, nincs is remekebb módszer, mint az aktuálisan tutimenőnek számító magánszférát védő technikát használnia, rendszerint ész nélkül, mivel még több anonimizáló és PET /*privacy enhancing technology*/ együttes alkalmazása sem ér semmit, ha nem ésszel használják. Másrészt már megint az derül ki, hogy egy tényleg jó VPN-szolgáltató ezerszer értelmesebb megoldás, mint a TOR vagy annak valamilyen klónja. A posztot egyébként egy feltételezés tesztelése után írtam meg, egy kísérleti FB-felhasználóval rendszeresen TOR-oztam, aztán figyeltem, hogy hogyan alakulnak az elém talicskázott hirdetések.

Kép: comicsalliance.com

0 Tovább