About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (36),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (10),social web (9),mobil (8),biztonság (8),OSINT (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),jog (6),Google (5),webcserkészet (5),molbiol (5),szájbarágó (5),felzárkóztató (4),Nobel-díj (4),terrorizmus (4),kriminalisztika (4),big data (4),kultúra (4),email (4),plágium (4),Apple (3),jelszó (3),nyelvtechnológia (3),genetika (3),Android (3),biztonságpolitika (3),pszichológia (3),webkettő (3),reklám (3),élettudomány (3),gépi tanulás (3),CRISPR (3),Onedrive (3),üzenetküldés (3),2015 (3),orvosi-fiziológiai (3),online marketing (3),kriptográfia (3),molekuláris biológia (3),azelsosprint (3),torrent (3),konferencia (3),magatartástudomány (3),hype (3),biztonságtudatosság (3),open source intelligence (3),popszakma (3),levelezés (3),Gmail (3),szabad információáramlás (2),Yoshinori Ohsumi (2),bejutas (2),Hacktivity (2),Reblog Sprint (2),tweak (2),Pécs (2),génterápia (2),DKIM (2),cas9 (2),bűnügy (2),fiziológia (2),hitelesítés (2),TOR (2),kulturális evolúció (2),villámokosság (2),deep web (2),ransomware (2),bűnüldözés (2),DDoS (2),természetes nyelvfeldolgozás (2),arcfelismerés (2),FUD (2),nyílt forrású információszerzés (2),Balabit (2),P2P (2),webkamera (2),Netacademia (2),neuropszichológia (2),Whatsapp (2),SPF (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),sajtó (2),tanulás (2),biológia (2),szociálpszichológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Elképesztő egyszerűséggel bepoloskázható a Whatsapp?  


Whatsapp ITsec epic IM üzenetküldésLegalábbis, ha működik az a nagyon egyszerű módszer, ami kering a neten néhány napja

Persze, minden szoftver törhető valamilyen módon, csak az nem mindegy, hogy kőbaltával is megy vagy éppenséggel kifinomult műtéti beavatkozás kell hozzá. 

Úgy fest, hogy valaki visszafejtette annak a kémprogramnak a forráskódját, amivel a fertőzött mobilok Whatsappja hallgatható le gyakorlatilag úgy, hogy aki bepoloskázta az áldozat mobilját, elhiteti a Whatsappal, hogy a támadó mobilja [vagy a gépén futó mobilkörnyezetet emuláló fejlesztőkörnyezet] a legitim felhasználó mobilja, közben kihasználja azt, hogy a Whatsappal elvben egyszerre több helyről is be lehet jelentkezni, az üzenetek pedig ilyen módon több helyről is elérhetőek. Esetleg magát a Whatsappot fejtették vissza, azaz reverselték, de az sincs kizárva, hogy a sebezhetőségre ilyen bravúrok nélkül jött rá valaki. 

Ha igaz, amit a Quora néhány nappal ezelőtt létrehozott topikjában olvashatunk, gyakorlatilag egy egyszerű MAC-cím klónozással bárki viheti a másik Whatsapp fióját. 

A MAC-cím nem más, mint egy, a hálózati hardverhez tartozó azonosító, ami ideális esetben egyedi, gyakorlati szempontból viszont semmi sem garantálja, hogy egyedinek kell lennie. Abban az esetben, ha valaki a Whatsappot telepíti a mobiljára, a telefonszám hitelesítése után az alkalmazás a telefonszám és a MAC-cím alapján látja, hogy ténylegesen milyen eszközön is fut. Ha valóban csak ennyi biztosítja a kliens identitását, az nagy probléma, márpedig nagyon úgy fest, hogy ez a helyzet. Elvben, ha valaki lenyúlná illetve lehallgatná más Whatsapp-üzeneteit, nincs más dolga, mint megszerezni az áldozat mobiljának MAC-címét, amihez viszont nem kell feltétlenül a telefonhoz fizikailag hozzáférnie, aztán ott megnéznie a beállítások közt,  hiszen például több könyvtár, munkahely is van, ahol a MAC-címet kell megadni ahhoz, hogy a wifi-hálózatra csatlakozni lehessen, a szolgáltató is tárolja ezt az adatot, és a mobil számos más módon is kifecsegi a MAC-címét, ahonnan megszerezhető. Ha ez megvan, akkor a MAC-címet csak le kell másolni, azaz klónozni kell, ami nem nagy bravúr egy root-olt Androidos mobilon, magyarul átírni a támadáshoz használt mobil MAC-címét az áldozat MAC-címére. Miután a MAC-klónozással a támadó megvan, már csak meg kell adni a frissen telepített Whatsappban a hitelesítéshez az áldozat telefonszámát, aminek hatására persze a támadott kap egy SMS-t, mivel formálisan olyan, mintha bejelentkezett volna még egy eszközről vagy újratelepítette volna az alkalmazást a saját mobilján. Nem is tudja az érintett, hogy miért kér tőle extra hitelesítést a Whatsapp, de megadja az SMS-ben kapott azonosítót és ezzel lehetőséget is adott a támadónak, hogy az üzenetfolyamhoz teljes egészében rálásson, hiszen a Whatsapp két különböző irányba fogja továbbítgatni az üzeneteket, amik közül az egyik a támadó mobilja, amivel megszemélyesítette az áldozat mobilját. 

Az üzeneteken kívül egyébként elérhetővé válik az áldozat földrajzi helye mellett több más adat is, szándékosan nem linkelem azt a bolondbiztos alkalmazást, amit erre találtak ki. 

Megjegyzem, a módszer egyáltalán nem technikai szempontból nagyon necces. A már-már bugris, ötletességet, leleményességet nem igénylő módszerek akkora, ha nem nagyobb kárt okoznak minden környezetben, mint a kifinomult, felkészültséget igénylő támadási módszerek, pont azért, mert a bugris módszereket többen meg tudják valósítani, ami pedig még kínosabb, ha mindez egy 200 millió aktív felhasználóval rendelkező üzenetküldő appnál játszható meg. 

0 Tovább

Ismeretlen telefonszám? A social web korában?


telefonszám megszerzése OSINT kezdőknek nyílt forrású információszerzés mobil Viber LINE Whatsapp cybervettingHa olyan telefonál, akinek a száma nincs elmentve a mobilunk telefonkönyvében, de nem tudjuk fogadni a hívást, a többség utólag megpróbálja visszaívni a számot, hogy megtudja, ki és miért is kereste. Viszont több, mindössze néhány másodpercet igénylő módszer is van rá, amivel megállapítható, hogy egy telefonszám kihez is tartozik.  

A számra rákeresni persze a netes tudakozókban a legkézenfekvőbb, egyrészt ha az előfizető kérte, hogy ne szerepeljen a telefonkönyvben, ez nem fog sikerrel járni, másrészt ha van is találat, figyelembe kell venni, hogy a feltöltőkártyás előfizetők közül sokan olyan SIM-et használnak, amit esetleg használtan vettek, a családban vásárolta valaki, akinek a nevén maradt a szám, ezen kívül ha céges mobilról van szó, csak egy cég neve jelenik meg a találatok közt, ami nem sokat mond. Ezen kívül számos országban a mobilszám név szerinti regisztrálása nem kötelező, mint például Magyarországon vagy Svájcban, hanem teljesen opcionális, csak kényelmi funkciók elérése miatt érdemes beállítani, mint például Ausztriában.  

Azaz ha a tudakozó nem dob eredményt, akkor ötletesebb módszerekkel érdemes próbálkozni. Ha kilépünk a Facebook-fiókunkból, majd kattintunk az elfelejtett jelszó opcióra, majd megadjuk a mobilszámot nemzetközi formátumban, nagyon sok esetben kidobja a felhasználót névvel együtt, aki az adott mobilszámhoz hozzákapcsolta a Facebook fiókját, természetesen ne kérjünk új jelszót és az érintett semmit sem fog észrevenni az egészből. Viszont miután megvan a név, visszaléphetünk a Facebookra és rákereshetünk név szerint és ismét telefonszám szerint is az illetőre. Az egység sugarú felhasználó számára ezt olvasva jó ötletnek tűnik a Facebookról leszedni a hozzákapcsolt mobilszámot, valójában ahogy korábban írtam, nagyon rossz ötlet. A megoldás nem a hívószám foggal-körömmel való eltitkolása, hiszen az úgysem működik, hanem az ésszerű hívásszűrés.  A jelszóemlékeztetőben a +1 650 416 6464 -es számra kerestem.

telefonszám megszerzése OSINT kezdőknek nyílt forrású információszerzés mobil Viber LINE Whatsapp cybervetting

Abban az esetben, ha nem járt sikerrel a facebookos keresés, a számot ugyancsak nemzetközi formátumban kell elmenteni egy tetszőleges névvel a mobilunkba, majd ezt követően újraindítani a Vibert. A Vibert szinte mindenki használja, az alapértelmezett beállítás pedig az, hogy aki a telefonkönyvünkben szerepel, azt azonnal mutatja a Viber-kontaktok közt is, ami a mi szempontunkból fontos, hogy általában képpel együtt. Ugyanis amikor valaki elkezdi használni a Vibert, az alkalmazás rákérdez, hogy a felhasználó szeretne-e avatarképet feltenni magáról és azt is, hogy a képet a Facebook profilképéből importálja-e, amire a felhasználók többsége nyájasan igennel válaszol. Van egy apró arcképünk, na és? Ha az arc nem ismerős, nyilván lehet screenshotot készíteni róla, majd egy képszerkesztővel kivágni az apró avatarképet, majd bedobni a Google Képkeresőbe. Szinte biztos, hogy lesz érdemi találat, mivel nagyon sokan azonos avatarképet használnak különböző közösségi szolgáltatásokban, amikor közül több a böngészőmotorok számára kereshető, ahogyan az is gyakori, hogy valaki egy jól sikerült Instagram-fotóját használja több helyen avatarképként. Megjegyzem, értelmesebbnek tűnik a screenshotot a mobilon keresztül kinyerni, mivel ott a fotó nagyobbnak tűnik. Valóban nagyobb, viszont rosszabb felbontású. Ha az asztali klienst használva készítünk screenshotot, az avatarkép pici lesz ugyan, de teljes, a Google Képkereső mintázatfelismerőjét pedig nem a kép mérete, hanem tényleges felbontása érdekli, ha egy 30x30-es arcképre például egy 300x300-as kép illeszkedik, az ugyanúgy meglesz.  

A LINE szolgáltatással teljesen hasonló a helyzet, mi több, még jobb. Ha a telefonkönyvünkben fenn van egy szám, a LINE újraindítása után a kontaktok közt megjelenik a felhasználó, akihez a mobilszám tartozik. Sok hasonlóságot mutat a Viberrel, viszont itt sokszor a teljes név vagy Facebook nicknév, kapásból látszódik, amit a Facebookból importált az app, azt pedig a felhasználónak rendszerint eszébe sem jut átírni, miért is tenné. Már csak azért is, mert az alkalmazás tervezői is abból az alapfeltevésből indultak ki, hogy akik fenn vannak egymás címjegyzékébe, úgyis ismerik egymást. Amit jó tudni, hogy a LINE viszont jelez a másik félnek, ha a mobilszáma alapján hozzáadtad a saját kontaktjaidhoz, de a mobilszámod nem látja, ehelyett a nevet, ami bármi lehet, amit megadsz. A screenshotos trükk természetesen itt is megjátszható.  

Megjegyzem, mindkét alkalmazásnál sokáig alapértelmezés volt, hogy még az utolsó belépés idejét is mutatta, amiből lehet következtetni nem csak arra, hogy az illető a szolgáltatást használja-e, hanem arra is, hogy a szám milyen valószínűséggel tartozik hozzá még mindig: ha valaki mondjuk 3 éve lépett be utoljára, nem biztos, hogy már hozzá tartozik a szám. Ezen kívül a Viberre és a LINE-ra is igaz, hogy esetleg az avatarképet mobilon mutatja, asztali kliensen viszont nem, esetleg éppen fordítva. A jelenség magyarázata, hogy ha valakinek egyszer volt fenn képe, amikor felkerült a kontaktjaink közé, majd a szolgáltatást nem használta a felhasználó, ezt követően telepítettük a saját kliensprogramunkat, a mobil a gyorsítótárából az avatarképet előcibálja, az asztali kliens viszont nem. A Viberre, a LINE-ra és a Whatsapp-ra is igaz, hogy nem szűnik meg az account önmagában attól, hogy valaki nem használja, mert például törli az alkalmazást.  

Ha a Google Hangounts-ban és a Facebook Messengerben engedélyezett, hogy kereshetők legyünk mobilszám alapján [igen, ez az alapértelmezés], akkor ott a kontaktlistához hozzáadva az ismeretlen számot, az illető profilja fel is fog tűnni képestől-nevestől az instant üzenetküldőben, ugyan a Facebook Messengernél ezt nem próbáltam ki most, mivel nem csak, hogy nem használom, nincs is telepítve. A Google Hangouts esetén pedig egyszerűen ki kell szedni a pipát a megfelelő helyről. 

telefonszám megszerzése OSINT kezdőknek nyílt forrású információszerzés mobil Viber LINE Whatsapp cybervetting

A mobilszámok fellelhetősége szinte határtalan, sokszor a Skype-keresőjébe megadva egy mobilszámot, ugyancsak megjelenik a hozzá tartozó felhasználó, esetleg a valódi nevével együtt, beállítástól függően, ugyan ott nem alapértelmezés, hogy a mobilszám alapján kereshető legyen a felhasználó.  

Évekkel ezelőtt a Google keresőjének a "phone:" operátora kiadta az összes webhelyet, ahol a keresett telefonszám előfordult, mára sajnos ebben a formában ez a lehetőség nem érhető el. Az operátort a Google alighanem néhány felhasználó ostoba, de annál hangosabb jajveszékelése miatt szüntették meg, jobban belegondolva viszont mi a jó égnek írta ki valaki a mobilszámát egy webhelyre, azaz teljesen nyilvános felületre, ha nem akarta, hogy kereshető legyen? Ja, hogy véletlenül? Na erre helyesen azt kellett volna válaszolnia a Google-nek, hogy "tetszettek volna használni a józan eszüket" és kész. Viszont ne felejtsük el, hogy léteznek más általános célú keresőmotorok is, amikben még elérhető kimondottan a telefonszámok keresésére élesített keresőoperátor, ezeknek a hatékonysága azért egyre kisebb, mivel sok esetben magára a Google Search Engine-re támaszkodnak.  

Ez viszont nem jelenti azt, hogy telefonszámokat ne lehetne keresni a Google-ben, lehet éppenséggel, csak jóval nehezebb. A keresésnél az egyik, amit figyelembe kell vennünk, az országonként eltérő telefonszámformátum, amit a Wikipedián is megtalálunk másrész ami ehhez egyes államoknál szorosan, más államoknál szinte sehogy sem kapcsolódik, hogy az adott területen milyen a telefonszámok írásmódja és ehhez mennyire tartják magukat az ottaniak. A helyzeten tovább bonyolít, hogy számos országban a telefonszámok hossza sem kötött. Első lépésben meg kell állapítani, hogy a hívás melyik országból érkezett, ami eléggé egyértelmű. Ezt követően nézzük meg, hogy az adott országban milyen telefonszámformátum vagy formátumok vannak és ezeknek mi a többé-kevésbé konvencionális "helyesírása".  Egyszerűnek tűnik? Gyakorlat kérdése.

Magyarországon az általános 11, azaz 2+2+7 számjegyű telefonszámok a szerződéseken és a SIM-kártya csomagolásán azért szerepelnek +36 aa bbb-cccc formátumban, mert a szolgáltatók a saját tartományukon (aa) belül  három számjegyű altartományokat (bbb) használnak, majd ha az (cccc) megtelt, akkor új altartományt nyitnak, és azt kezdik feltölteni. Ezen kívül amolyan hungarikum, hogy a telefonszámok körzetszám után álló része sosem kezdődik 1-es számjeggyel, holott technikailag pár éve már kezdődhetne. A telefonszámok leírásának formátuma is ehhez igazodik, de nem mindig, a körzetszámok sosem olvadnak egybe a hívószámmal, gyakran perjel választja el a hívószámtól, ami 3+4-es tagolású, de nyilván előfordulhat ettől eltérő, például 4+3-as tagolás is. Ez a magyarázat fejfájdító bonyolításnak tűnik ugyan, de nem az. A keresésnél a hívószámokat idézőjelbe kell tenni, hogy ne matematikai műveletként értelmezze a kereső, viszont míg a "70 270-1700" kifejezésre keresve biztosan az életrajzi oldalam az első találat, addig a "70/270 1700"-ra keresve vagy az vagy sem. Ha eddig nem lenne elég bonyolult a dolog, hozzáteszem, hogy a Google nyilván nem tudja, hogy amit keresnénk telefonszám, azt viszont figyelembe veszi, hogy a keresést honnan indítjuk, így az előző hívószámra keresve Magyaroszágról az életrajzi oldalam az első találat, Japánból keresve például már egyáltalán nem biztos, ezért a haladóknak erősen ajánlott, hogy az adott ország VPN-jén vagy webes proxyján keresztül kapcsolódjanak a netre.

 

telefonszám megszerzése OSINT kezdőknek nyílt forrású információszerzés mobil Viber LINE Whatsapp cybervetting

Visszatérve a telefonszámok hagyomány szerinti írásmódjára, sokszor semmi köze az írásmódnak ahhoz, hogy a számokat a szolgáltatók milyen szisztéma szerint osztják. Így például az ilyen téren igencsak mazochista franciák a 0A BB BB BB BB formátumtól sosem térnek el, hiába nehezebb megjegyezni kettesével a teljes számot, azonban akik nem tősgyökeres franciák, nagyobb valószínűséggel írják értelmesebb módon.

Míg a magyar példa ellentéte, hogy az USA-ban a +1 aaa bbb-cccc formátumtól gyakorlatilag sosem térnek el és tükrözi a szolgáltatók számkiosztásának logikáját, ahol az aaa jelzi a körzetszámot, amiről ugyan nem lehet megállapítani, hogy landline, azaz vonalas, adott államhoz kötött szám vagy olyan mobilszolgáltató száma, amit az előfizető az adott államban vásárolt. A bbb-cccc kiosztást pedig nem lenne érdemes megbolygatni, mivel a kognitív pszichológusok szerint éppen hét jel az, ami még kényelmesen fejben tartható.
 
Most pedig képzeljük el, hogy például a Google keresője már sok-sok évvel ezelőtt az ilyen szabályokat megtanulta évekkel ezelőtt az összes országra vonatkozóan, mivel szinte sosem tévedett a phone: keresőoperátor, amíg nyugdíjba nem küldték!  

A számok keresése sokszor hatékonyabb olyan keresőkkel, mint a nagy keresőmotorok találatait összesítő vagy éppenséggel a keresési előzményektől független módon listázó Dogpile vagy éppen a Duckduckgo,  de hasznosak lehetnek az olyan webkettes matuzsálemek is, mint a MyVIP vagy a HI5, amire nagyon sokan felregisztráltak valamikor, aztán el is felejtették, de fenn lehetnek még olyan adataik, amik még aktuálisak.

Még egy gondolat erejéig visszatérve a telefonszámok írásmódja szerinti keresésre, ha nagyon nem boldogulunk, magyar hívószám keresése esetén szóba jöhet az idézőjelek elhagyása mellett a "mobil", "tel" vagy "telefon" kifejezés hozzáadása. Viszont más nyelvek esetén némi nyelvismeretet igényel, hogy a telefonszámokat hogyan hivatkozzák az adott nyelvben. A németek nem sűrűn írják le, hogy "Rufnummer", annál gyakrabban, hogy "RN", míg az angol nyelvterületek némelyikén úgy hivatkozzák, hogy "handy". Ha ilyen megjelölésekről szeretnénk tájékozódni, a SZTAKI Szótára összehasonlíthatatlanul hatékonyabb, mint például a Google Translate vagy a Yandex Translate, amiről sokan nem tudják, de a szókincsét gyakorlatilag csak gépi tanulással bővíti, egészen kivételes esetekben nyúlnak bele kézileg, míg a hazai Origo-SZTAKI Szótár lektorált szótár.

telefonszám megszerzése OSINT kezdőknek nyílt forrású információszerzés mobil Viber LINE Whatsapp cybervetting

Ami még fontos, hogy sose használjunk olyan szolgáltatást, ami pénzért kínálja az előfizetői adatokat. Ha valaki ilyen helyen rákeres a saját számára, könnyen belefuthat, hogy a szolgáltatás azt mondja ugyan, hogy mindent tud az előfizetőről, csak fizetés ellenében adja meg, holott a számot esetleg sehol sem adta meg a tulajdonosa, mert aznap vette feltöltőkártyás SIM-mel.

Kis színesként meg kell jegyeznem, hogy mi a legbűbájosabb kérdés, amit kapok néha: "Honnan tudod a számom?" xD

Két praktikus dolgot viszont nagyon érdemes megjegyezni: senki sem vonhat felelősségre azért, ha előtúrtad a számát, hiszen ő maga adta meg. Másrészt friss ismeretségnél nem érdemes azzal menőzni, hogy nagy valószínűséggel meg tudod állapítani valakinek a számát oda-vissza, mivel nagyon sokan alapvetően ostobák ilyen téren és valamiféle kukkolónak fognak gondolni.

Hogy a telefonszám görcsös titkolgatása olyan korban, amikor finomhangolható a bejövő hívások és SMS-ek szűrése, miért teljesen elhibázott és hogyan alakítható ki helyes policy ezzel kapcsolatban, számos pszichológiai vonatkozással is bír, amibe most nem megyek bele.

0 Tovább