bardóczi ákos @post.r

Avagy létezik-e biztonságos letöltés? Főleg, ha nehezen beszerezhető anyagokról van szó.

Napjainkban a torrent szolgáltatásokban alap szinten jártas felhasználó csak annyit lát, hogy ha kell neki egy film, egyszerűen felmegy egy nagyobb torrentoldalra, majd rákeres a film címére, ezt követően pedig letölti a filmet kedvenc torrent kliensével.

A némileg tájékozottabb felhasználó már tisztában van vele, hogy vannak olyan peer-to-peer oldalak, amik valamilyen saját torrentkliens telepítését teszik annak feltételévé, hogy tőlük lehessen letölteni, ami persze felveti annak a lehetőségét is, hogy a torrentkliens nem csak letölteni illetve visszatölteni fog, hanem csinál valami teljesen mást is a gépen, mint mondjuk tolja a felhasználó arcába a reklámot. Ráadásul nagyon sok fertőző oldalra mutató hivatkozás a Google TOP 10-jében van.

Inkább a leggyakoribb tüneteket írom le, amit a torrent klienssel együtt települő malware csinálhat

- folyamatosan tolja a reklámod az arcodba, ha tetszik, ha nem
- a böngészők kezdőoldalát átállítja valami számodra érdektelen oldallá, amit nem tudsz visszaállítani
- a te géped szabad erőforrásait fogja a tudtod nélkül bitcoin bányászatra használni akkor is, ha nem is tudsz róla, a géped nincs üresjáratban, te pedig nem érted, hogy miért lassult be a gép
- mindenféle hülye eszköztárakat helyez el a böngészőben, amik szintén leirthatatlanok
- gyakorlatilag bármi más, ami az előzőekből kimaradt, de legalább ennyire idegesítő

Persze ezeket a malware vagy malware-szerű aktivitásokat vagy kiszúrja az antivírus szoftver vagy sem, ha ki is szúrja, könnyen lehet, hogy ha a kártékony programot sikerül eltávolítani, maga a torrent kliens sem lesz működőképes. Ráadásul akármilyen überszuper a vírusirtó, az intelligens malware gondoskodik róla, hogy szépen újratelepítse magát, méghozzá, hogy ne legyen feltűnő, nem is azonnal, hanem egy kis lappangási idő után.

Valóban vannak helyzetek, amikor már annyira romos egy gép, hogy újratelepíteni az egészet időtakarékosság szempontjából praktikusabb, mint kigyomlálni mindent, ami nem oda való, abban az esetben, ha a baj nem akkora - vagy nem tűnik olyan nagynak - nincs mese, riasztani kell valami harceddzettebb ismerőst, aki aztán alighanem állhat neki fúrni-faragni a Windows rendszerleíró adatbázisát,  könyékig túrni a böngésző, menüből nem elérhető finombeállításai közt, na meg guglizni, hogy egy-egy azonosított kártevőt hogyan lehet leggyorsabban leirtani kézileg - az egyetlen szerencse, hogy ez utóbbi már eléggé gyorsan elérhető. Azért írtam, hogy kézileg, mert olyan malware sem ritka, amelyik malware-eltávolítónak álcázza magát, azaz vírusgyilkolásra nem biztos, hogy a legjobb ötlet telepíteni még valamit, amit a kereső előkelő helyen dob és azt ígéri magáról, hogy eltávolítja, valójában pedig önmaga is vírus. OSX-es esetben pedig még cifrábbak lehetnek a protokollok és bizony ott is vannak nagyon komoly sebezhetőségek, ahogy az a The Register mai cikkéből is kiderül.

A windowsosos után pedig a legnagyobb kockázatnak pedig az elterjedtebb linux-disztrók használók közül az egyszerűbb lelkek vannak kitéve, akik még mindig úgy gondolják, hogy "jinyukszra nyinycsen víjus", ami igazából sosem volt igaz, de bízzunk benne, hogy majd felnőnek egyszer. A vírus és malware fogalmakat ugye rokonértelműként használom, ezek közül az egyik csoportba tartoznak a rootkitek, amik olyan rosszindulatú, kifinomult malware-ek, amik észrevétlenül és sokszor szinte észrevehetetlenül az operációs rendszer - akár legelemibb - működését változtatják meg, gyakorlatilag bárhogy. Linuxos rendszereken aztán végképp nincs semmiféle általános forgatókönyv rootkitek azonosítására, egy ősrégi módszer lényege, hogy a különösen fontos fájlok integritását, változásait folyamatosan figyelve van rá esély, hogy a rootkitet sikerül időben megfogni, kísérleti szinten sincsenek olyan módszerek, amik már a windowsos rendszereknél általánosan elterjedt ún. viselkedés-alapú heurisztikákat használnak, azaz azt szúrják ki, ha valami nagyon szokatlan történik, a témával kapcsolatban bővebben a poszt alján megjelölt könyvekből lehet tájékozódni.

Könnyen előfordulhat, hogy olyan tartalomra lenne szükségünk, ami eléggé specifikus ahhoz, hogy ne legyen fenn még a nagyobb torrent oldalakon sem, így jobban alá kell merülni a netnek.

Ha könyvet keresünk, ami nem teljesen újonnan jelent meg, lehet, hogy elegendő, ha a Google keresőjébe egyszerűen beírjuk a könyv címét a filetype:pdf operátorral, ami arra utasítja a keresőt, hogy csak a PDF-típusú fájlokat adja ki találatként és szerencsés esetben ott is lesz a teljes letölthető könyv, kevésbé szerencsés esetben pedig csak egy olyan oldalra jutunk PDF-csali miatt, ahol valójában a könyvnek csupán néhány oldala szerepel, a teljes könyv letöltéséhez már meg kellene adni a bankkártyaszámunkat, amivel kapcsolatban amúgy az adott webhely esküdözik, hogy nem von le róla egy garast sem, csak a felhasználó azonosítása vagy a free trial regisztráció megkezdése miatt kell :) És végig ne felejtsük el, hogy ha nem lennének olyan felhasználók tömegesen, akik még ezt is beszopják, nyilván nem érné meg üzemeltetni az ilyen oldalakat.

Nos, mi van akkor, ha kellene egy bizonyos könyv például, de az sehogy se sikerül normálisan lecibálni a netről, így az elszánt felhasználó nyel egy nagyot, kockáztat és megpróbálja minden áron lecibálni a tartalmat, a kockázatok minimalizálásával?

Kézenfekvőnek tűnik egy olyan gépet használni, amit akkor sem sajnálunk, ha rommá megy a rendszer rajta a nap végére, nemde? Végülis igen, de már igen korán felmerült rá az igény, hogy ehhez ne kelljen egy tényleges számítógépet és éles operációs rendszert használni, többek közt ez volt az egyik, aminek kielégítésére kifejlesztették az ún. virtuális gépeket. Ezek olyan szoftverek, amik a valódi operációs rendszer hátán alkalmazásként futva képesek más operációs rendszereket futtatni, amik gyakorlatilag teljesen izolált környezetben vannak, így a VM-ben futó operációs rendszer és annak alkalmazásai számára úgy tűnik, mintha valódi számítógépen futnának. Azaz ha valaki elkezd számítógépes vírusokkal foglalkozni, akkor egyszerűen ezekre az izoláltan, sandboxban futó operációs rendszerekre felteszi a vírusboncoláshoz szükséges eszközöket, na meg leferzőzi a vizsgálni kívánt vírussal. Hogy víruskutatókra nem kis szükség lesz, nem kérdés és a Duqu 2-be még bele se mentem.

Nos, a virtuális gépben futó operációs rendszereken szinte minden futtatható, amit az adott operációs rendszer támogat, persze érthetően jóval lassabban, így például tele lehet őket szórni kismillió ilyen-olyan letöltést segítő szarral és bízni benne, hogy azokkal már csak-csak sikerül letölteni azt a ritka könyvet vagy más, nehezen beszerezhető tartalmat, amire szükségünk lenne. Ha sikerült, a letöltött tartalmat még a virtuális gépen futtatott böngészőben feltolhatjuk a https://www.virustotal.com/ -ra, ami szignatúra alapon ismeri fel a kártevőket, vagy a Checkpoint Threat Cloudjába, ami pedig emulál egy Windows XP-s környezetet, ott megfigyeli a fájl viselkedését és megítéli, hogy biztonságos-e.

Ha egyik sem talált semmit, de még mindig igencsak paranoidok vagyunk és hallottunk már róla, hogy céges környezetben a vírusfertőzések közel fele úgy történik, hogy az emailben érkező, legitim PDF-nek tűnő csatolmány fertőzött, azaz a dokumentum szöveges tartalmán kívül rosszindulatú kódot is tartalmaz, az eleve PDF fájlt nyomtassuk ki például a PDF995 progival szintén PDF-fájllá. Ezt követően pedig a virtuális gépen például egy eldobható postafiókon keresztül a fájlt elküldhetjük önmagunknak.

Ha már PDF-ekről van szó, itt jegyzem meg érdekességként, hogy a helyzet már annyira súlyos, hogy a Checkpoint tömeges PDF-tisztító megoldást kínál szinte bármekkora cég számára, ami annyit csinál, hogy a beérkező emailekben lévő PDF-eket újra PDF-fé "nyomtatja" és csak ezt követően engedi a felhasználó postafiókjába.

Tehát elvileg virtuális gépet használva sokkal biztonságosabban lehet torrenezni a legelborultabb helyekről is. Hozzáteszem, számomra ez mondjuk azért nagyon fontos, mert ha meglátok egy jó könyvet a neten, annak sokszor pusztán a tartalomjegyzékéből vagy néhány megjeleníthető oldalából nem derül ki, hogy tényleg olyan könyv-e, amire szükségem van. Ugyanis míg régen többen megvettek egy könyvet printbe, amit aztán olvasgathatták ebook formában is a könyvhöz kapott hozzáféréssel, mára pont fordítva van, azaz olvasunk, azaz először megnézem a könyvet ebook formában, aztán ha azt látom, hogy tényleg nagyon jó, a több száz oldalt nem képernyőről fogom elolvasni, hanem inkább megrendelem printbe.

Megjegyzem, hogy az alkalmazott magatartástudomány engem érdeklő tájain, a social engineering és az open source intelligence területén persze, számomra nagyon sok átfedés van könyv és könyv közt, viszont azért sokszor van bennük valami egészen új is vagy a szemléletmódja más. Például nemrég egy barátomnak beboltoltam szülire Chris Hadnagy Social Engineering: The Art of Human Hacking című alapművét, ugyanakkor ugyanettől a szerzőtől a nemrég megjelent Unmasking the Social Engineer: The Human Element of Security könyvet, ami csak minimálisan fed át az előzővel és - most tessenek figyelni! - ahogy azt valahogy megsejtettem pár évvel ezelőtt, az látszik, hogy a legszofisztikáltabb social engineering és azt megelőző technikák döntően a nonverbális kommunikációra és többször a nyelvtudományból átvett kutatásokra alapoznak.

Egyébként meggyőződésem, hogy a nyelvtudományi kutatások közül nagyon sokminden annyira átcsorog majd az információbiztonság területére, hogy azt korábban aligha hitte volna valaki.

//ami kimaradt
0x100. Ha még nem tudod, hogy mozdonyvezető legyél, tűzoltó, katona, vadakat terelő juhász, esetleg víruskutató, két könyvet emelnék ki amolyan iránymutatásként:

A vírusvédelem művészete - Szőr Péter
Hacking Exposed: Malware & Rootkits Secrets & Solutions Paperback - Michael Davis, Sean Bodmer, Aaron LeMasters

0x200. Ami a posztból kimaradt, hogy természetesen a virtuális géppel történő trükközés sem bombabiztos megoldás, hiszen elvben előfordulhat, hogy a virtualizált környezetet biztosító alkalmazás egy hibáját egy intelligens malware úgy használja ki, hogy kitör onnan és eléri az éles operációs rendszert. Ismétcsak lehetnek olyan malware-ek, amik egyrészt jóideig lappanganak, másrészt több trükköt próbálnak bevetni annak megállapítására, hogy amin futnak, éles operációs rendszer vagy virtuális gép.

0x300. Remekül mutatja, hogy mennyire nem szabad elhinni semmit kapásból, amit a neten olvasunk, az az eset, amikor az uTorrent kliensre fogták rá, hogy a felhasználók tudta nélkül bányássza a bitcoit, amit komolyabbnál komolyabb lapok közöltek le, aztán persze egy tényleg komoly lap utána is nézett és kiderült, hogy erről ebben a formában szó sincs. 

képek: bluecoat.com, pcmag.com, github.io

A hekkelésről mindenkinek, akinek lövése nincs a témáról, valamiféle feketemágia jut eszébe, amit aztán nem tanulhat meg akárki, na meg makacsul tartják magukat bizonyos jól ismert, ámde még hülyébb elképzelések a hekkerekről. A leginkább közkeletű elképzelés Magyarországon alighanem az, hogy a hekker egy kivételesen  okos informatikus, aki aztán mindent lát mindig, kicsit bűnöző ugyan, de amolyan szerethető cukorpofaként a digital age robin hoodja, ezért kicsit megéri fosni tőle, amúgy meg teljesen öntörvényű és ha azzal bízzák meg, hogy törjön fel valamit, az is megcsinálja, na meg ha azzal, hogy tesztelje valaminek a törhetőségét, azt is, ugyanannyi pénzért.

Ahelyett, hogy hosszasan elkezdenék filózni rajta, hogy mennyire nincs így és miért, néhány megállapítást tennék: mindenki, akivel találkoztam és "hekkernek" vallotta magát /*azaz nem ethical hackernek, szoftvertesztelőnek vagy hasonlónak*/, mind valami szerencsétlen volt, akinek egy jó drága tanfolyamon kimosták az agyát főzőprogramon, aztán kapott egy papírt róla, hogy elvégezte, amit meg tud, annál jóval több megtanulható még egyetlen átfogó kötetből is. Vagy éppenséggel még ennyi se, nem végzett semmit az illető, az önképével meg olyan elégedetlen, hogy kitalálta, hogy ő márpedig hekker, úgysem nézi senki hülyének /*egy darabig*/, pont azért, mert ez amolyan kényelmesen ködös fogalom, amiről valami egyszerű lélek azt hiszi, hogy trendi. Nem keverendő az angol hacker kifejezéssel, de nem is nyelvészkednék tovább.

Nagyon röviden: nulla informatikai tudással és nulla ötletességgel, ilyen-olyan netről letöltött, játékprogram bonyolultságú szirszarokkal bárki okozhat komoly károkat szinte bárki, ugyan ehhez az is szükséges, hogy az áldozatban annyi biztonságtudatosság se legyen, mind Medve sajtban a brummogás. Az ethical hacking/pentesting/vulnerability research/social engineering meg teljesen más sportágak, viszont az ITsec-es, ha a foglalkozásáról kérdezik, legjobb, ha mond bármi mást, de komolyan, mégpedig azért, hogy magyarázni se kelljen, na meg ne is értsék félre. Ne keverjék az olyan idiótákkal, akikről most szó lesz.

Az alapsztorit amúgy a 403 Security CEO-ja jelentette meg még 2011-ben, mondjuk azóta jó sok adat átfolyt a BIX-en én ma olvastam így egyben először, ezért gondoltam, hogy sederítek róla egy posztot, alaposan kiegészítve. Az alapsztorik hitelességének ellenőrzésébe nem mentem bele, de ígérem, a végére világos lesz, hogy ez mellékes is, ahol kellett böktem bele egy kis lábjegyzetet [így számozva].

0x100. Még 2010-ben egy közelebbről meg nem nevezett valaki egy népszerű brit énekesnő, Kelly Osborne /*akinek nincs meg:  Ozzy bácsi és Sharon néni lány*/ email fiókját törte fel. [1] Ezt követően beállította, hogy a leveleket a levelezőrendszer továbbítsa egy adott címre [2], ámde nem egy erre a célra létrehozott, gondosan anonimizált fiókra továbbította hősünk a leveleket, hanem a saját, valódi email címére, ami alapján nem volt olyan pokolian nehéz azonosítani.  

0x200. Shahee Mirza, egy önmagát hacktivistának és géniusznak nevező 21 éves hülyegyerek bangladesi kormányzati webszervereket tört fel és azokon helyezett el remekebbnél remekebb nyelvhelyességgel írt üzeneteket, amiben felszólította a kormányt, hogy a számítógépes bűnözés elleni törvényeket módosítsák, mert ők, hacktivisták akkora zsenik, hogy úgyis feltörnek bármit. A dolog egyik pikantériája, hogy ugyanazt a dumát közel 20 webhellyel megcsinálta. Úgy bukott le, hogy elhelyezett a deface-elt oldalak alján egy olyan logót, amiben benne volt a neve. [3]

0x300. Samy Kamkar a MySpace egy sebezhetőségét felhasználva [4] útjára indította a Samy Wormöt, ami rommá fertőzött egymillió accountot, valójában csak annyit csinált, hogy megjelenítette a felhasználók képernyőjén a "Samy is my hero" üzenetet. Érdekes lélek lehet, mert ennyivel nem érte be, még a blogján is alaposan beszámolt a nagy hekkelésről, a kínos csak az volt, hogy a blogján volt egy kép a kocsijáról is - hát hogy ne lett volna - amin tisztán látszott a rendszáma, ami egyértelművé tette, hogy tényleg ő volt az elkövető. Na innentől nem volt nagy kriminalisztikai bravúr azonosítani. Az alkalmazott módszer egyébként nagy hasonlóságot mutatott azokkal a perzisztens XSS-támadásokkal, amivel a jó öreg iWiW-et is megkínálták néha. 

0x400. Daquan Mathis New Yorkban ellopott egy iPhone-t, de nem csak gyönyörködött benne, hanem csinált magáról egy rakás szelfit, nem mellékesen ugyanabban a ruhában, amiben a rablást vagy lopást elkövette. Nos, ehhez már alapjáraton hozzáfért az iPhone tulajdonosa /*már akkor is*/, amelyiknek az accountjaiból nem jelentkezett ki. Ha mindez még nem lett volna elég, a képeket a tolvaj a saját email címére küldözgette, ami szintén látható volt - és megdönthetetlen bizonyíték az év kiberbűnözője ellen. Itt hozzáteszem, hogy Magyarországon egy zsebesnek még ezt a szintet is sikerült messze felülmúlnia: miután csinált magáról egy adag szelfit, feltöltötte az eredeti tulajdonos Facebook-accountjára, ahogy arról a 444 beszámolt

0x500. Még 2006-ban egy Eduard Lucian Mandru nevű pofa, aki bejutott a DoD egyik - szerintem szándékosan legyengített - gépére, a védelmi minisztérium sokáig ennek ellenére semmit nem tudott róla az email címén kívül /*de valószínűbb, hogy ez a DoD részéről taktikai blöff volt*/. Emberünk néhány évvel később ugyanazt az email címet használta különböző álláshirdető-álláskereső oldalakon.

0x600. A hatodik nem igazán illik a képbe, de azért... Egy forma tisztában volt vele, hogy az USA-ban bizonyos helyeken, ahol tábla is jelzi, hogy lassítani kell a kocsival, a gyorshajtók rendszámtábláját egy rejtett kamera felveszi, majd ezt egy optikai karakterfelismerő szoftver átalakítja sima karakterlánccá, ahonnan már szintén gépileg mehet abba a nyilvántartásba a rendszám, amiben a kocsik tulajdonosait jegyzik, hogy könnyen elő lehessen venni a gyorshajtókat. Ötletes, nem? Amivel a pofa próbálkozott, még ötletesebb akart lenni és a rendszáma helyére egy olyan táblát tett, amit ha a rendszámnyilvántartó megkap, nem egyszerű szövegként fogja kezelni, hanem végrehajtható parancsként és konkrétan törli a teljes adatbázistáblát. A veszett nagy trükk a "ZU 0666......" rendszámmal ugyan alighanem nem jött be, de a hékek eléggé gyorsan nyomára akadtak a tagnak. Az SQL befecskendezésnek
nevezett támadás lényege, hogy ahol egy szolgáltatás bemenete szabályos adatot, tipikusan szöveget vár, meg is kapja, majd azt belefoglalja az adatbázislekérdezést ténylegesen elvégző függvénybe, viszont ha a szerver nincs rá felkészítve, hogy csak olyan adatot engedjen tovább, ami oda ildomos, elvben beküldhető olyan szöveg, ami egy adatbázisműveletként értelmeződik majd, például rekordokat vagy táblákat módosít, töröl, na meg amilyen jogosultsággal a szolgáltatás indította a függvényt. A tanulság az, hogy bemenetet - meg úgy egyáltalán semmit - nem adunk át azonnal feldolgozásra, hanem azt alaposan ellenőrizzük, mielőtt egy felületről egyenesen menne feldolgozásra /*jelen esetben pedig jó esetben nem végrehajtásra*/ a szerver gyomrában.

Egy korábbi posztomban már utaltam rá, hogy még pár évvel ezelőtt, amikor reggeltől estig dagonyáztam a dark web mocskában, azaz az internet azon tájain, amerre ember nem jár, ha nem nagyon muszáj, konkrétan személyek hitelességét ellenőriztem és persze nap, mint nap beleakadtam valami pöcsbe, aki pénzért árult meghívókat olyan közösségi szolgáltatásokba, ahova nem lehet csak úgy regisztrálni. Bizonyos szolgáltatásokba kizárólag egy vagy több tag meghívása alapján lehet belépni, a meghívókat pedig nem osztották két kézzel - márpedig ami csak korlátozott mennyiségben hozzáférhető, értelemszerűen vonzó, ha van benne racionalitás ha nincs. És bizony lesznek arcok, akik az emberi természet ezen mesés vonását ki fogják használni. Többször is találkoztam például kőburzsuj amerikai nyugger bőrébe bújva olyan formákkal, akik mondjuk az AsmallWorld-höz, ELIXIO-hoz vagy BestOfAllWorlds-höz kínáltak meghívókat szaros ezer dollárért, amit rendszerint lealkudtam 50 dollárra, a csaló pedig szintén kitett magáért, mondjuk amikor olyat írt, hogy biztos csóró szar amerikai vagyok, ha nem utalom a pénzt még aznap egy Paypal/Moneybookers/Skrill-számlára, amire ugyebár, ha tényleg öreg amcsi nyugger lennék alighanem az egó miatt azonnal fizetnék is. Na, fizetni nem fizettem, hanem amikor már rég tudtam, hogy a csaló honnan netezik, milyen oprendszerrel, böngészővel, mik azok a kamu identitások, amik szintén hozzáköthetőek, nem küldtem neki valami finomat a gépére, amivel bűncselekményt követtem volna el, inkább megírtam, hogy azonnal fizetek, de küldjön egy képlövést a szolgáltatásról, hogy meggyőződjek róla, hogy tényleg tud onnan meghívót küldeni.

A harceddzettebb webcserkészek kitalálhatják, hogy milyen screenshotot kaptam emailen, többször is: amin látszott a szolgáltatás, a másik böngészőfülön pedig befigyelt névvel/címmel a tag valódi (!!) Gmail/FB profilja. És ezek az arcok egész nap azzal foglalkoztak, hogy az USA-ban, na meg Európa burzsujabb részein lakó felhasználókat húzzanak le nem túl ékes angolsággal. Ugyan eléggé határozott volt a trend, hogy ez hol biznisz, leszek most olyan polkorrekt, hogy nem írom meg. A jelenség természetéből adódóan a tettesek elvben könnyen azonosíthatóak, gyakorlatilag meg a büdös életbe sem, hiszen a Paypal-nek az egyik lényege, hogy nem tudni, kihez tartozik a számla, amíg több ország hatósága összefogva ki nem kéri a számlatulajdonos adatait - amihez persze nincs joga. A károsultaknak pedig többszörösen indokolt okból úgysem tesznek feljelentést, azzal a szöveggel, hogy voltak olyan hülyék, hogy fizettek valakinek, akiről fogalmuk sincs, hogy kicsoda, de azért fizettek, mert egy elit közösségi szolgáltatásba akart bejutni, ahol nincs valódi ismerősük, aki meghívót küldhetne, tehát eleve illegálisan. Akinek hatalmas az egója, na meg még hülye is, azzal még nem érdemli ki, hogy lehúzzák pénzzel.

Na, ilyen cybercrime-os blogot mondjuk fix, hogy nem írok, ha meg mégis, akkor majd valamikor a jövőben, mondjuk kinyíratni magam nem akarom, szóval álnéven, de lenne mit írni azokról a manipulációs fogásokról, amiket a bűnözők és a nyomozók is alkalmaznak, arról nem is beszélve, hogy a csalók többségének annyi esze nincs, hogy a lebukást megelőzve legalább ne olyan fantom karaktert használjanak, amit azonnal dob a Google képkereső, sátöbbi.

[1] Amikor két droid arról beszél, hogy hogyan törték fel valakinek a Gmail/Facebook fiókját, a leggyakoribb esetek:

0x100. a felhasználói név ismert, a jelszó pedig valami elképesztően banálisan kitalálható szó, mondjuk "password"
0x120. a felhasználói név ismert, a jelszóemlékeztető vagy jelszóhelyreállító opció pedig pofátlanul egyszerű: új jelszó beállításához a rendszer megkérdezi mondjuk, a születési időt /*vagy bármi olyan adatot, ami full nyilvános*/, a helyes választ a támadó megadja és ezzel új jelszót állít be, amivel már be tud lépni. Én azt mondom, hogy alapvetően minden password recovery rossz, de ha már az ilyen Security questions a téma, na, azt akik tervezték, feltételezték, hogy a felhasználónak lesz annyi esze, hogy olyat állít be, amit nem banalitás tudnia vagy kitalálnia bárki más számára is.
0x130. letöltenek egy önmagát képfájlnak álcázó keyloggert a netről, majd elküldik emailen csatolt fájlként az áldozatnak, aki annak ellenére, hogy nem ismerős neki sem a feladó, sem a tárgy, meg úgy általában semmi, mégis van olyan hülye, hogy megnyitja, a víruskergető szoftver meg vagy megfogja vagy sem. Amikor a jelszót legközelebb beírja, azt a keylogger elküldi a támadónak. A játékprogramok egy része több intellektust igényel, mint egy ilyen konzerv-keyloggerrel támadni.
0x140. odamennek ahhoz a géphez, amit általában használ az illető, majd a böngésző beállításaira kattintanak és ott az elmentett jelszavaknál rákattintanak a jelszavak megjelenítése gombra... /*na, ez már a többségnek az advanced level*/

Tehát gyakorlatilag sosem az authentikációért felelős programhiba kihasználásáról, az adatokat ténylegesen tároló adatokhoz egy sérülékeny szerverszolgáltatáson keresztüli eléréséről, a kliens és a szerver oldal közti titkosított kommunikáció lehallgatásáról, stb, stb, stb. van szó. Amúgy innen is csókoltatom az összes idiótát, akiktől hetente legalább 2-3 levelet kapok "feltörnéd az exem fészbúkját?" témában, mióta egy ezzel kapcsolatos Facebook-cikkem megjelent.

[2] Ha már email átirányítás, ilyen beállításánál újabban még a legkommerszebb levelezőrendszerek is alul vagy felül egy csíkban, na meg ahogy tudják, figyelmeztetik a fiók tulajdonosát, hogy a levelei át vannak irányítva.

[3] vegyük észre, hogy itt is az überszuper nagy "feltörésnél" közönséges webszerverekről volt szó, nem pedig a kritikus infrastruktúrákért felelős gépek valamelyikéről. Magánvéleményem, hogy a NASA és az NSA korábban szándékosan alakította ki úgy a webhelyeit, hogy az a hülye, ámde elszántságuk miatt veszélyes aktivisták számára feltörhető legyen, majd miután elkapták az illetőt, már gyerekjáték volt feltérképezni ilyen-olyan potenciálisan underground csoportokat, amikbe az elkövető tartozott. Az általánosan bevett technika eredetijét honeypot-olásnak nevezik, ennek kifinomultabb, gyakorlatilag végtelenségig cizellálható változata a tar trapek használata, aminek az a lényege, hogy miközben emberünk reszeli a szervert, mindig egy kicsit nehezítünk valamit a védelmen, de vannak erre automatizált eszközök is, lényeg, hogy a szerencsétlen ennek megfelelően nyilván annál több nyomot fog maga után hagyni, hiszen a betörés módja sokszor egy adott csoportra jellemző, de jellemző lehet akár egyénre is.

[4] Én a Samy wormről valószínűsítem, hogy a szkript részletet valahol látta a neten, aztán kipróbálta, hogy a MySpace-n működik-e. Egyébként ún. XSS-sebezhetőség volt, amik közül vannak egészen kifinomultak, na meg annyira egyszerűek is, hogy azt a legbölcsészebb olvasó is azonnal megértené. A tankönyvi eset, amikor egy szövegdoboz szöveget vár bemenetként, de olyan kódot, például Javascript-parancsot kap, ami feldob egy kis ablakot egy adott szöveggel vagy valamilyen nem kívánt műveletet végrehajt. XSS-ről bővebben a Wikipedián.

Képek innest: blog.on.com, Wikipedia

Meg persze hülyének lenni is. Hiába, hogy nem mai találmány az internet, máig makacsul tartja magát az a felhasználói téveszme, hogy van ingyen ebéd, többek közt. Van, akinek még mindig nem világos, hogy ez miért is veszélyes.

Nem ígérem, hogy teljes egészében elmagyarázom, hogy valójában semmi sincs ingyen, amiért nem kell a neten közvetlenül fizetni, tehát még egyszer, szépen, lassan: semmi! Ha nem fizetsz közvetlenül a piacvezető keresőmotor, na meg közösségi szolgáltatás használatáért meg ami hozzájuk kapcsolódik, az adataidat adod el kilóra, és rémesen fárasztó lenne elmagyarázni, hogy azzal, hogy amennyiben személyre szabottan jelennek meg hirdetések a képernyőn, közvetetten befolyásolni fogják a fogyasztói döntéseid, ha elhiszed, ha nem, ugyan mondjuk ez a Google esetében részben korlátozható mondjuk itt a Facebook esetében pedig gyakorlatilag sehogy.

Ugyan a netsemlegesség elvének értelmében minden információnak ugyanúgy elérhetőnek kell lennie az interneten, függetlenül a közvetítő közegtől, azaz szolgáltatótól, gyakorlatilag ez valamikor nagyon régen lehetett így, mostanra pedig szép számmal vannak olyan szolgáltatások és tartalmak, amikkel kapcsolatban esetleg gondol egyet az internetszolgáltató, aztán vagy korlátozza vagy sem vagy éppen gondol egyet a netes szolgáltatás üzemeltetője, aztán az vagy korlátoz vagy sem, mondjuk olyan alapon, hogy a felhasználó melyik országból használná a szolgáltatást.

Ugyan a mögötte lévő üzleti logika teljesen érthető, hiszen minden, hálózaton átküldött bitnek forintosítható költsége van, így persze, hogy több interneten nézhető tévécsatorna csak adott államon belül hajlandó nyomni mondjuk uraknak a szörnypornót vagy hölgyeknek Született feleségek legújabb részeit full HD-ben, még akkor is, ha az elejét és a végét amúgy meghintették egy kis reklámmal, megint más esetekben pedig az alkalmazott technológia miatt gazdaságtalan lenne bizonyos földrajzi régión kívül is szolgáltatni, mint amilyen az SMS-értesítés a facebookos eseményekről, amiről nemrég írtam is.

Igencsak nemes ötletnek tűnik egy olyan szolgáltatás megteremtése, ami valóban eltünteti vagy redukálja ezeket a korlátozásokat a felhasználók számára, a felhasználót meg konkrétan nem érdekli, hogy hogyan működik, csak az, hogy érje el, amit szeretne. Ez persze ugyancsak egy decentralizált infrastruktúrát igényel, mint amilyen a TOR ahol elvben bárki önfeledten rendelhet kábszit, fegyvereket, ha nem ért a fegyverekhez, bérgyilkost is, orosz feleséget, gyerekporeszt, meg minden szart is, ami egyébként az adott államban alighanem törvénybe ütközik, az elvi lényeg viszont, hogy a szabad információáramlást bizonyos szempontból tényleg szabadabbá teszi.

Ennél már jóval elegánsabb megoldást jelentenek a VPN-ek használata, ahol a középpontban nem feltétlenül az anonimizálás áll, hanem az, hogy a felhasználó elfedje, hogy milyen földrajzi területről csatlakozik az internetre valójában, így az adott szerver szolgáltatását vagy tartalmát akkor is elérje, ha az országra korlátoz.

Miért ne tűnne remek ötletnek az, hogy legyen egy olyan virtuális magánhálózat, ami a közösségi erőforrás-megosztást használva a felhasználók gépeit használja arra, hogy VPN-kapcsolatokat építsenek ki? Mint mondjuk a Hola. Pont azért, amivel a posztot kezdtem: mert valamilyen rejtett költsége mégiscsak van, még ha nem is kell többet fizetniük a felhasználóknak a netszolgáltató felé akkor, ha több adatot forgalmaznak.

Mondjuk az, hogy a használatához szükséges szoftvermegoldás, ami jelen esetben egy böngészőbővítmény, kártékony kódot tartalmazhat, így lehetőséget ad arra, hogy a felhasználók gépeit botnek-hálózat részeként használva DDoS-támadást indítson gyakorlatilag bármi ellen, ami rajta lóg a neten, csak éppen erről annyira nem világosítják fel a felhasználókat. A felhasználót persze egyfelől nem is érti, hogy ez micsoda, ha meg érti is, alighanem nem érdekli - egészen addig, amíg nem érintett benne egy olyan informatikai szolgáltatás, amit éppen használna, akár közvetve, akár közvetlenül amiatt, hogy esetleg éppen többek közt pont az ő gépével tették elérhetetlenné. A botrány amúgy pénteken pukkant a The Vergen.  

Nem túl népszerű, emiatt gyakran selyempapírba csomagolt tényként tálaljuk, hogy a felhasználót már jóideje a saját hülyeségétől, jelen esetben pedig önzőségétől kell megvédeni technikai eszközökkel, ha normális szóval nem megy. Ez viszont felveti azt az igen kínos és nem túl européer kérdést, hogy van-e esetleg mégis helye kvázi az internet /*használati módját*/ cenzúrázni, hogy maga az internet használható maradjon?

Akit ez még mindig nem hatott meg, annak csak úgy emlékeztetőként írom, hogy már jónéhány évvel ezelőtt egy véradásra biztató lánclevél miatt az Országos Vérellátó Szolgálatnak magyarázkodnia kellett ami önmagában csak az emberek közti bizalmat rombolja, megint más esetben, egy másik országban konkrétan a vérellátó központ nem tudta fogadni a telefonhívásokat egy hasonló hoax miatt. De nemrég lehetett olvasni arról is, hogy egy fószer éppen kijött a hűvösről, amikor úgy gondolta, hogy meg kellene keresni az asszonyt meg a gyerekeket - akik történetesen pont a pasas miatt voltak védett tanuk - ezért eltűnt személyként a képüket feltette a Facebookra, mire a facebookozók roppant mód segítőkész, naiv és persze kellően hülye része minden információt megadott a sittről szabadult bűnözőnek, hogy megtalálja őket.

A Hola-botránnyal kapcsolatban ami biztosan elmondható tanulság, hogy aki már nagyon szeretne más országon keresztül netezgetni, ahhoz is legyen esze, hogy normális VPN-szolgáltatót használ néhány garas befizetése mellett, ilyen módon nem fog mást veszélyeztetni.

kép: technobuffalo.com, hacksurfer.com

Biztosan többek számára ismert, hogy vannak olyan mobilalkalmazások, amiknek a letöltése és használata ingyenes ugyan, viszont ún. in-app purchase-re van lehetőség, azaz az alkalmazáson belül lehet megvásárolni az extra funkciókat. Az illedelmes alkalmazás persze megkérdezi a fizetés módját, majd ha a bankkártyás fizetést választjuk, elkéri a bankkártyaszámot. A pofátlan alkalmazás megpróbálja megszerezni, aminek a sikeréhez néha elengedhetetlen a bank suttyósága is.

Történt ugyanis, hogy ma este láttam egy általam régen használt mobilalkalmazásban, hogy egy hónapig ingyenesen lehet használni az alkalmazás extra funkcióit. Gondoltam, ki is próbálom, elvégre azok a helyek, amik a kipróbálási lehetőségnél nem kérnek bankkártyaszámot, nem is tudnák honnan levonni az összeget. Elvileg. Ha pedig valahonnan a bankkártyaszámot mégis tudja valahonnan az app és rá is tudja terhelni az összeget, az ingyenességet úgy oldják meg, hogy a kártyán zárolják az összeget ugyan, ha 30 napig a bankkártya-elfogadó nem jelentkezik a zárolt, de még nem könyvelt összegért, mivel lemondja a kipróbált szolgáltatást a vásárló, az összeg visszakerül a vásárlóhoz.

Az én esetemben nem vagyok benne biztos, hogy honnan tudta az alkalmazás a bankkártyaszámom, az alkalmazásboltból aligha nyúlhatta le, alighanem korábban megadtam az alkalmazásban a régit hitelesítés miatt, ők pedig szépen elmentették. Később láttam ugyan, hogy itt nem kérdezett semmit az alkalmazás, gondoltam, nem is volt honnan levonnia, mivel - és most jön a lényeg - a korábban megadott bankkártyám lejárt nemrég, így a réginek az adatai érvénytelenek és nem használhatók fel. Mondom elméletileg!

Ugyanis, ha a bankkártya kibocsátó van akkora ergya-gyökér-suttyó paraszt, hogy a 3 vagy éppen 5 év érvényesség lejárta után a bankkártyát olyan módon újítja meg, hogy maga a bankkártyaszám nem változik és feltételezzük, hogy a bankkártya tulajdonosát /*card holder*/ sem keresztelik át idő közben, az egész megújításnak semmi értelme sincs. Ugyanis a lejárt, ergo már érvénytelen bankkártyának, aminek tehát a lejárati idején kívül más nem változott, nem túl bonyolult módon megjósolhatók próbálgatással az aktuális,  helyes adatai: a korábban tárolt lejárati időhöz években szépen hozzáadnak egyet, kettőt, hármat, négyet, ötöt, azaz öt évre kibocsátott bankkártya esetén legfeljebb öt próbálkozásra van szükség és az összeget már rá is terhelhetik. Jelen esetben is ez történt. Remek kérdés, hogy ez bankkártyacsalás-e.  

Egyébként egy tipikus, Magyarországon használt 16 számjegyű bankkártya száma ilyen módon épül fel:
- a bankkártya első hat számjegye a kártyakibocsátó-hálózatot azonosítja, amiből az első számjegy azt jelzi, hogy melyik szektorhoz tartozik a kártya, így például a 3-mal kezdődnek bizonyos hitelkártyák, mint például az American Express, 4-gyel illetve 5-tel az általános banki tranzakcióknál és vásárlásoknál használt kártyák, mint a Visa vagy a Mastercard
- az első hat számjegy 2-6 számjegyei a kártyakibocsátó-hálózat használható azonosítóit tartalmazzák, így például a szintén elterjedt Maestro /*az első számjegyet is belefoglalva*/ a 500000-509999 és 560000-699999 tartományokat használhatja
- ezt követi a 7-15. pozícióban a véletlenszerűen generált azonosítószám - és ez a lényeg - amivel kapcsolatban a pénzintézet kérheti a kibocsátó-hálózatot, hogy a bankkártya megújításánál maradjon a régi vagy változzon meg az adott ügyfél esetén
- a 16. pozícióban egy ún. Luhn-algoritmus által kiszámolt ellenőrzőösszeg áll

Egyszerűsítve tehát a bank a kibocsátó-hálózattól veszi a kártyákat. De ha kérhető, hogy változzon meg az azonosító, ami ugyebár gyakorlatilag az egyetlen variábilis elem a kártya megújításánál, akkor az ügyfél számára megrendelő bank miért nem kéri a kibocsátó-hálózatot, hogy úgy nyomják újra a kártyát? Ja, hogy az drágább lenne? Hát legyen ez a bank magánügye, azért fizetem az éves kártyadíjat, hogy a lehető legbiztonságosabban lehessen használni, csókolom!

Olyan részletekbe most nem mentem bele, hogy például a bankkártya hátoldalán lévő CVV, CVV2 kódok sok esetben lényegtelenek, ahogy abba sem, hogy más kártyaszám-generálási forgatókönyvek is lehetségesek, külföldön. Amit leírtam persze csak a kártyaszám generálás lényege, a teljes forgatókönyv bonyolultabb, viszont ez alapján is megállapítható, hogy még egy óriási bank esetén sem fordulhat elő, hogy a bankkártyaszám és lejárati dátuma megegyezzen véletlenül, ráadásul a tulaj neve is azonos legyen.

Ezen kívül vegyük észre, hogy a bankkártya adatok önmagukban csak akkor használhatóak fel, ha annak minden adata érvényes. így például a bolti kártyás vásárláskor hiába van rajta a blokkon az utolsó négy számjegy és a lejárati idő, ezek teljesen ártalmatlan adatok, viszont pont az előző bekezdésben leírtakból adódóan kitűnően alkalmasak lehetnek azonosításra. Például annak a valószínűsége, hogy ugyanazzal a négyszámjegy-lejárati dátum-kombóval ugyanazon a napon, ugyanabban a boltban vásároljon több azonos vevő, gyakorlatilag nulla.

És persze ha egy internetes elfogadóhely kéri, hogy küldjünk nekik scannelt vagy fotózott képet a bankkártyánkról azonosítás végett, nyugodtan küldjük el őket melegebb éghajlatra, esetleg mutatva, hogy mennyire vesszük a kérésüket komolyan, küldjük nekik sok szeretettel az alábbi képet, bárminemű egyezés a valósággal a véletlen műve xD



A szokásos bankkártya-tematikájú közhely és bullshitelés helyett a következőt tudom javasolni az olvasónak egyben eloszlatva néhány tévhitet:

- a bankkártya lejárta és megújítása előtt érdeklődjön a bankjánál, hogy az azonosító megváltozik-e egyáltalán, abban az esetben ha nem, egyszerűen ne kérje a megújítást, ilyenkor nem kell fizetni a letiltásért, mivel ez nem is letiltás, a kártya egyszerűen lejár. Új kártyát igényelni pedig jobb családokban nem drágább, mint az éves díj.
- full hülyeség azt mondani, hogy a neten nem adom meg a bankkártyaadataim, mivel
 I. a bankkártyaadatokat nem is tárolja normális, komoly elfogadóhely, ha nem feltétlenül szükséges, csak kap egy visszajelzést, hogy a kártyával minden stimmel és megtörténik a vásárlás
 II. a kártyaadatok megadását egy ellenőrzéshez még akkor is érdemes megcsinálni, ha nem tervezünk semmit vásárolni az adott webhelyen. Többször cikkeztem már arról, hogy ellopni egy Facebook-fiókot mennyire egyszerű. Nos, ha a felhasználó megadta a bankkártyaadatait a Settings/Payment methods alatt, a Facebook megpróbál zárolni egy dollárt, ha sikerül, elmenti és az 1 dollár visszakerül 30 nap után az egyenlegre és kétes helyzetekben, a Facebook előtt a korábbi bankkártyával történő azonosítás mutatja, hogy a felhasználó tényleg az, aki, hiába jelenti fel egy trollhadsereg az illetőt azzal a feljelentés-áradattal, töröltetés céljából, hogy kamuprofilról van szó, a Facebook jó eséllyel nem kér semmilyen további azonosítást a felhasználótól, akinek az accountja biztonságban marad
 III. elemi, hogy kinézetre is komolytalan webhelyen ne boltoljunk bankkáryával

Annak a valószínűsége, hogy egy, a neten kártyával rendszeresen fizető ügyfélnek egy éven belül a sarki zöldségesnél vagy cigivásárlás közben lopják el a bankkártya adatait, jóval nagyobb, mint annak, hogy a neten, ugyanis aki rendszeresen fizet a neten a kártyájával, "pofára" meg tudja saccolni a webhelyről, hogy mennyire vehető komolyan /*l. fentebb*/, míg a sima bolti vásárlás már bonyolultabb ügy.
Tisztelet a kivételnek, de az eladó sokszor nem olyan agytröszt, hogy észlelje, ha a vásárlói bankkártyadatai veszélybe kerülnek.

Tételezzük fel, hogy egy bankkártyacsaló banki alkalmazottnak kiadva magát elhelyez egy olyan eszközt az üzletben a terminál közelében, ami a tessék-lássék módon titkosított kártyaadatokat lehallgatja és továbbítja, akár vezetékes, akár vezeték nélküli a POS-terminálról van szó. De még az sem tűnne fel az eladónak, ha a "bankoscsávó", aki "hozott egy új terminált", valójában olyan POS-terminált adott, ami működik ugyan, de közben lopja a vevők kártyaadatait, hasonlóan az automaták kártyanyílására buherált eszközökhöz. Nem, még akkor sem tűnne fel semmi, ha egyébként más protokoll szerint üzemelné be a csaló az új terminált az üzemeltető nevében, de talán még akkor sem, ha a pofa úgy nézne ki, mint az egyik Beagle boy a Kacsamesékből.

Meg egyébként is? A boltosnak miért kellene tudnia a bankkátyaadatok biztonságáról, nem? Ha meg lopják, a vevőét lopják, "akkor meg kit érdekel, rohadthekkerek, sünökdóga, nem?" Tisztelet a kivételnek, de az általános mentalitás ez.
- a lejárt kártya se kerüljön a szemétbe, sem szétvágva, sem pedig egészben, de a legjobb, ha még a bankfiókban sem hagyjuk ott, lévén, hogy ők is a kommunális hulladékba tennék, hasonlóan ahhoz, ahogy a fenemód okos mobilszolgáltatók alkalmazottai sokszor a minden személyes adatot tartalmazó, de már szükségtelen dokumentumokat csak simán a kukába dobják, ilyen módon minden ilyen üzlet szemetese valóságos aranybánya az adathalászoknak. Nem arról van szó, hogy egy komplett identitáslopásra alkalmas adatmennyiséget gyűjtenének össze /*ugyan ez sem zárható ki */, a személyes adatok kikerülése súlyos visszaélésekre adhat lehetőséget, elég csak arra gondolni, hogy a telefonszolgáltatónk, netszolgáltatónk, telefonos ügyfélszolgálata személyes adatok alapján azonosít be minket, ha nem tudjuk az ügyfélazonosítónkat, így ha egy csaló elég trükkös valaki ahhoz, hogy kiadja magát a nevünkben /*szakargóban impersonation*/, az adataink birtokában például lemondhatja a telefonszolgáltatásunkat vagy lekérheti a hívásrészletezőt 1-2 évre visszamenőleg papíralapon egy általa megadott címre, esetleg a netes felületen új jelszót állíttathat be és úgy fér hozzá a híváslistához.

Ezen kívül cca. végtelen azoknak a lehetséges scenarioknak a száma, amik előfordulhatnak a social engineeringben  és az alapját a bizalmasnak hitt, személyes adatok képzik, ami valami miatt még mindig nem jutott el például még a telekom szolgáltatók tudatáig sem, hogy egyik-másik közintézmény és iskola adatkezelési gyakorlatát ne is emlegessem, arról úgyis csak szuperlatívuszokban lehetne írni.

Visszatérve a bankkártyás témára, az emberi hülyeséget mi sem mutatja jobban, mint, hogy két és fél évvel ezelőtt indult egy Twitter-csatorna, amin első ránézésre roppant mód jópofa dolognak tűnt feltolni a saját bankkártya fotóját. Viszont a csatorna oldala a fejlécben hívta fel a figyelmet, hogy senki ne posztoljon képet a bankkártyájáról. Na mi történt? Igen, az Internetország egyszerű gyermekei halomra tolták fel a fotókat a csatornára. Oké, persze, a többség nem ennyire hülye, de a bankkártyaadatokkal kapcsolatos biztonságtudatosság ugyanúgy egyfajta kontinuumon helyezkedik el /*a teljesen hülyétől a több bankkártyát is használó formákig*/, mint sokminden más, de ezen a téren az átlag is hajmeresztő lemaradást mutat.

Bankkártyaadatokkal kezdtem, személy adatokkal folytattam, zárásként ide embeddelem az Személyiségtolvaj trailerjét, ami szerintem  a legrealisztikusabb hekkerfilm ever, annak ellenére, hogy nem hekkerfilmnek szánták.

"Celebrating our 15th anniversary with our new feature: Two-Step Verification" jelentette be a legendás Hushmail májusban a Twitteren, amit - kéretik figyelni! - mindössze egyetlen felhasználó favolt és retwittelt, én meg konkrétan nem vettem észre, pedig jópár éve hardcore hushmailes vagyok. Értem én, hogy a jó munkához idő kell, de ha egy olyan levelezőrendszernél, aminek a születésénél maga Zimmermann, a PGP titkosítóalgoritmus atyja bábáskodott, IMHO máig az egyik legbiztonságosabb levelezőrendszer a világon, gyakorlatilag le vannak maradva az end-user szemében a többiekhez képest, na, az nem jó. Nem jó, mert 2FA téren megelőzte őket az összes nagy, látszólag ingyenes, a felhasználók adataiból élő kommersz mailszolgáltató  Google Mail - Yahoo - Outlook.com sorrendben, ahogy az egy-egy újításnál lenni szokott. Szóval Hushmailék  túl kevéssé kommunikálták a történetet. 

Az, hogy beelőzték őket, még a kisebb probléma: a PRISM-parát meglovagolva ugyanis egy rakás "überbiztonságos", semmiből előtűnő freemium modellel működő vagy előfizetéses levelezőszolgáltatás jelent meg a piacon, amik jó esetben nem zárják be a boltot maholnap és tipliznek a Bahamákra az ügyfelek pénzével ill. jó esetben ezeket a szolgáltatókat nem valamilyen szépnevű hárombetűs szervezet fedőcége vagy nehézsúlyú adathalászok hoztak létre pont azoknak a megfigyelésére, akik éppen azért fizetnek, hogy a levelezésük ne legyen látható. 

Fejtegethetném, hogy nem, nem csak akkor van szükséged elfogadhatóan biztonságos levelezésre, ha egy jó nagy cég vagy hírportál vezetője vagy (egyébként is, 5-10-15 év múlva még lehetsz és igen, 5-10-15 év múlva is valakinél meglesz levelezésed), az meg sokkal cirkalmatosabb téma, hogy mikor is tekinthetünk egy levelezőrendszert biztonságosnak, ugyan egy részét itt már érintettem korábban. 

Az átlag felhasználótól nem várható el, hogy megállapítsa egy levelezőszolgáltatásról, hogy mennyire biztonságos, elég csak rákeresni a neten, hogy melyik is a legbiztonságosabb levelezőrendszer a világon és belenézni az első néhány találatként talált fórumba. Ezt a tudatlanságot kihasználva szedte meg magát egy rakás, elvben biztonságosnak tűnő levelezést kínáló startup olyan jól hangzó, ámbár szakmai szempontból még debilebb érvekkel, minthogy a szervertermük be van fúrva egy hegy gyomrában, skandináv országban/Svájcban van, amire kevésbé lát rá az NSA vagy éppen azzal érvelt a szolgáltató, hogy saját titkosító algoritmust fejlesztett ki, de hogy mi az, na, azt nem árulja el. Ha nem vagy terrorista, a levelezést amúgy nem az NSA-tól kell félteni, hanem mondjuk egy üzleti versenytárstól, aki alighanem meg tud fizetni olyan szakit, aki technikai tudással és/vagy kapcsolati tőkével szinte bármelyik szerverbe bele tud nézni, ha eleget fizetnek neki. Eloszlatnám azt a közhelyet, hogy "minek foglalkozni vele, mert úgyis feltörhető", tökéletes biztonság nincs, viszont elfogadható biztonság igenis van. És általában nem a legdrágább megoldásokkal. 

Ha egyéni felhasználóként vagy cégvezetőként arról szeretnél informálódni, hogy mi az, ami tényleg biztonságosnak tekinthető, ne a zöldségest, hentest vagy a szomszéd neandervölgyi kinézetű, informatikus végzettségű photoshop-artistát kérdezd, hanem olyat, aki ért is hozzá, mondjuk mert ez a hivatása. Ha a netről informálódnál, az csalóka lehet, ugyanis az ezzel kapcsolatos netes keresésnek csak akkor van értelme, ha pontosabb képed van róla, hogy mit is keresel, azaz az értékes információhoz nem meglepő módon eleve jól kell feltenni a kérdést. 

A Securityreactions tumbliról schmittelt képpel zárnám soraimat: 

"Why aren’t you worried about the NSA spying on your internet use or emails?"