Impresszum Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

Frissítést követően kémkedő webkamera, minden látó Tinder és egyéb rémálmaid


Nem csak az az érdekes, hogy az információ koncentrálódásának és áramlásának felgyorsulásával és növekedésével hogyan vált az informatikai biztonság egyre érdekesebb kérdéssé a kutatók számára, hanem az is, hogy ennek hogyan lett hasonlóan exponenciális mértékben növekvő hatása az életünkre.

Gondoltad volna, hogy abban az esetben, ha frissíted a webkamerádat működtető illesztőprogramot, esetleg pont azzal teszed lehetővé, hogy távolról szinte bárki által megfigyelhetővé váljon a kamera által aktuálisan mutatott kép? Vagy éppen a firmware távolról módosítható úgy, hogy ezt tegye.

És azt, hogy a világ egyik legnagyobb mobilos, helymeghatározáson alapuló csajozós-pasizós alkalmazása a Tinder olyan sebezhetőséget tartalmazott, amin keresztül az összes fotót le lehetett volna tölteni a Tinder szervereiről bármiféle bejelentkezés nélkül, olyan adatokat kért le a Facebook-fiókodból, amire nyilvánvalóan semmi szüksége nem volt vagy éppenséggel módosítani kellett a másik távolságát mutató funkciót, mert olyan pontossággal mutatta a felhasználók pozícióját, hogy az potenciálisan veszélyes volt rájuk nézve?

Azt hinnénk, hogy az olyan titkosítási módszerek a leghatékonyabbak, amiket abszolút az alapoktól, a nulláról fejlesztettek ki valamilyen meglévő felszteroidozása helyett, hiszen így kívülállónak nem lehetett lehetősége rá, hogy kiismerje a kriptográfiai megoldás gyengeségeit, ha egyedi fejlesztés. Valójában viszont az a helyzet, hogy éppen az egyedi fejlesztésű kriptográfiai megoldások jelentik a legnagyobb kockázatot ezen a téren. Egyrészt éppen azért, mert nincs egy egyedi, zárt forráskódú fejlesztés mögött egy hatalmas közösség, amelyik rá tudna mutatni a tervezésben vagy esetlegesen az implementációban – azaz konkrét szoftveres megvalósításban – rejlő gyengeségekre. Másrészt azért, mert körülbelül olyan rossz, mint a biztonság hiánya: hamis biztonságérzetet ad.

Többek közt ezeket a témákat filézték ki a tavalyi Ethical Hackingen egy-egy előadás keretében az előadók, amikről a videó nemrég már elérhető a neten is.

Az idei Ethical Hacking konferencia programja nemrég vált elérhetővé itt

A három emlegetett témáról szóló felkerült tavalyi videót pedig itt nézhetitek meg.

--

--

0 Tovább

Hogyan legyél kiber PUA?


Se szeri, se száma azoknak a videóknak, amiben valami korábban sehol sem látott, pocakosodó fószer löki a vakert arról, hogy mi a biztos módja annak, hogy valaki felszedjen egy csajt, amit vissza is igazolnak azok az esetek, amikor a PUA-növendékeknek sikerül is koppintania valamelyik módszert és véletlenül olyan csajba akadnak, akinél pont működik. Azt meg hagyjuk, hogy ezeknél a hölgyeknél könnyen lehet, hogy bejönne bármilyen más módszer is, szóval abszolút nem az unikális jelleget keresik a pasiban.

Na jó, nem vagyok én akkora nagy párkapcsolati szakértő, mint Kiss Ádám eredetileg amúgy molekuláris bionikus, mérnök informatikus kolléga, akinek a videója olyan parádésra sikerült, hogy azt először valami Viktória nevű zsebpolihisztor utána pedig Paintshop Noémi  szedte darabokra, ahogy kell.  

Szóval mi a helyzet akkor, ha nincs időd vagy kedved emberek közé menni, de azért felszednél valakit, akár komoly, akár komolytalanabb kapcsolat céljából? Nosza, ott a mobilos-kattintgatós-ismerkedős appok luxusverdája, a Tinder, aminek a lényege így foglalható össze, ha valakinek kimaradt volna: az app dobálja fel a hölgyeket, aztán jobbra vagy balra húzod a fotót, függően attól, hogy bejön-e, ha pedig kölcsönösen bejöttök egymásnak, akkor a match alapján el lehet kezdeni a chatelést. A helymeghatározásnak különös szerepe van abban, hogy kiket dobál fel ajánlatként. Az ötlet egyébként nem új, olyannyira nem, hogy a helymeghatározáson alapuló mobilos ismerkedő alkalmazások közül bő 3 évvel korábban jelent meg a melegek által használt Grindr,  így történetileg akár helyesebb is a Tindert a heteró grindr-nek nevezni, nem a Grindr-t meleg tindernek, na de maradjunk a polkorrektek.

Nem mintha olyan eszelősen bonyolult lenne a Tinder használata, viszont a megfelelő stratégiával sokkal nagyobb hatékonysággal lehet hölgyeket fogni és ez a lényeg. Én amikor a minap telepítettem az appot, elsőre nem működött, ahogy szerettem volna, aminek az oka az volt, hogy a Facebookból importált adatok alapján a felhasználóm nemét nem tudta meghatározni, mivel az már nem csak male vagy female lehet, egy ideje bármi beírható,  nekem ekkor jutott eszembe, hogy néhány hónapja beírtam, hogy „szeretem a sört”, amivel nem nagyon tudott mit kezdeni szegény app. Nosza, vissza is állítottam a felhasználót férfi neműre. Minimális finomhangolás után nekifutottam a böngészésnek, ahogy írtam, nem egy rocket science használni az appot, ami azt illeti, annyira nem, hogy akár egy pszeudokódban is kényelmesen, röviden meg lehetne adni, hogy hogyan nőzzön valaki helyettünk, ha esetleg még mobilnyomkodáshoz is elfoglaltak lennénk.

Ne legyenek illúzióink, egy hölgy akár komoly, akár kevésbé komoly kapcsolatot keres, az alapján dönti el a másodperc tört része alatt, hogy érdekes-e neki a csávó, akit éppen a képen lát, szóval ha valakinek nem lett volna fenn valami nyaralós képe fénykorából, érdemes feltenni. Ami viszont fontos, és ami inspirált arra, hogy írjak erről: előfordulhat, hogy a hölgynek nem jössz be, aztán ha ő dislike-ol, akár véletlenül is, nálad már fel sem fogja dobni az alkalmazás, holott lehet, hogy egy kis facebookos böködés után kiderülne, hogy pont az a típusú játékos a húspiacon, akit te keresel és persze vice versa. Ergo oldjuk meg, hogy ne dislike-oljanak, mielőtt mi nem néznénk meg valakinek az adatlapját.

A következő stratégiát követtem: ha nem volt bűn ronda a szentem, kapta a lájkot, ami egyébként ilyen módon gyorsan el is fogyott, mivel csak 12 óra elteltével oszthattam volna ismét a virtuális gesztust, inkább összeszorított farpofával előfizettem 1 hónap premium tinderezésre. Ha a hölgy jól nézett ki, nem merültem bele, a többi képének nézegetésébe [hiszen kevésbé helyes csajról is lehet nagyon jó képeket lőni], hanem megnéztem az adatlapot, ahol általában vannak kiegészítő információk. Nos, ha ott látszódott Insta, snapchat vagy bármilyen azonosító vagy ritka névvel találkoztam, már tapostam is a screenshotra, majd aztán a lájkra. Ha ciki képbe botlottam, akkor természetesen nem. Na, ezt el lehet játszogatni pár száz felhasználón keresztül vagy akár tovább is, ami a lényeg, hogy amint a screenshot elkészült, az ugye mobilplatformtól függetlenül, alapértelmezés szerint már megy is fel az iCloud/Google Drive/Onedrive felhőben. Pont, ami kell: a név, rajta az Insta-azonosító, ami sokszor linkelve van a FB-fiókkal vagy más kereshető adat. Aztán majd ha valamikor rémesen sok időm lesz, akkor megnyitom ezt a mappát, aztán már keresem és bököm is a hölgyet a Fészen, ha nagyobb szerencsém van, nem sokkal később meg személyesen. Mondjuk nekem sosem a kapcsolatfelvétellel van problémám, hanem az érdeklődés fenntartásával, de ez most senkit sem érdekel. Szóval ha visszabök, akkor indulhatnak a szokásos tiszteletkörök az üzenetküldőben – mondjuk erre alighanem sosem lenne időm, de azért eljátszani a gondolattal érdekes.

Első blikkre nincs sok értelme, hogy egy bankrablás pontosságával írjam le, hogy hogyan érdemes a webkettőn puáskodni, tény, hogy nagyon sok komoly emberi kapcsolatot alakít, a Facebook. Olyan komoly kapcsolatokat, amiknek egy részéből később házasság lesz, a felhasználók a saját, másodszintű ismerőseik közt találják meg, akárcsak a való életben, ez itt módosulhat olyan módon, hogy a Tinder összesodor olyan hölgyekkel, akikkel közös ismerős ugyan nincs, viszont közös érdeklődési terület a lájkolt tartalmak alapján van!

Az világos, hogy a Tinderen egyszerű, [matematikailag] diszkrét adatok alapján dől el, hogy egyáltalán milyen körből kerülhetnek eléd a játékosok, ez pedig, hogy milyen neműt keresel és a másik olyan neműt keres-e, mint a te nemed, milyen korosztályban és földrajzilag milyen széles körben. Van viszont számos más adat, ami a felhasználó előtt nem világos, leginkább csak gray box tesztek  alapján tudható, hogy az app nagyobb valószínűséggel dobálja fel azokat a felhasználókat, akikkel van közös ismerős, akik korábban már megnéztek, hasonló tartalmakat lájkolt és hasonlók.

Haladó kiber PUÁknak javasolható mobil helyett, kapásból mobilfejlesztői környezetben, gépen futtatni az appot, gusztus szerint egy rakás robottal.

Amit azért fontos észben tartani, hogy ha már a Tinder átcibál adatokat a FB-ról, kizárólag olyat információkat tegyünk ki magunkról a húspiacra, amikben vélhetőleg nem nagyon van semmi rázós. Egyrészt, mert a Tinder megmutathat olyan információkat is, amik egyébként nem voltak láthatóak, mint például közös ismerősök vagy lájkolt oldalak. Arról nem is beszélve, hogy a Tindert komoly kritikával illették  többször is egyszerűen a szoftveres megvalósítása miatt. Ezek közül talán a legsúlyosabbak azok voltak, amikor a Tinder egy korábbi verziója értelmetlenül sok képet áttöltött a saját szerverére, amik állítólag elérhetőek is voltak, kívülről is, bárki számára.

Arról lehet vitatkozni, hogy ilyen-olyan szempontból mennyire érdemes szemérmeskedni egy ilyen alkalmazásban, viszont tartsuk észben, hogy attól, hogy az app elvben csak a fotót, az életkort és a keresztnevet mutatja – illetve, ha valaki olyan hülye volt a FB-regisztrációnál, hogy összekeverte a családnevével, akkor azt – ettől még a játékosok szinte mindig megtalálhatóak, az előbb emlegetett adatokon túl például a Google Képkeresőjével is.

Többek közt a Tinderről is esett szó a múltkori Netacademia Ethical Hackingen, Reiter István mobilos API-k sebezhetőségét érintő előadása itt tekinthető meg.

Mindezek után felmerülhet a kérdés, hogy ha ekkora szarvashibák voltak a Tinderben korábban, akkor hogyhogy nem lett belőle akkora vagy hasonló botrány, mint az Ashley Madison meghakkolásakor? A magyarázat szerintem az, hogy minden olyan szolgáltatásban, ahol felhasználói adat tárolódik, az adatszivárgás sajnos annyira mindennapos, hogy biztosan nem éri el az újságolvasók ingerküszöbét és csak másodlagos, hogy az Ashley Madison egy deklaráltan félrekúrós oldal volt, míg a Tinder nem az. Illetve az előbbi esetben hirtelen történt a disclosure nagy mennyiségű adattal, amit alaposan meg is hype-oltak, ezek után már tényleg csak részletkérdés, hogy ahogy az utólag kiderült, az Ashley Madison hölgy felhasználói mögött többségében nem is állt valós személy.

Kisebb-nagyobb csalással vagy spammel minden szolgáltatásban számolni kell. Én csak a napi gyöngyszemet emelném ki: az egyik felhasználónál a kép helyén az alábbi pazar marketingszöveg áll… Értitek! 22 éves és idén érettségizett. Oké, én ha önmagam helyett küldenék valakit érettségizni valamilyen tárból, alighanem élnék némi korbeli diszkriminációval : )

Könyvajánló, nem csak emberi kapcsolatokról: Nicholas A. Christakis, James H. Fowler - Kapcsolatok hálójában

Képek: libri.hu, animalnewyork.com

0 Tovább