About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (37),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (11),social web (9),biztonság (8),mobil (8),OSINT (6),jog (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),Google (5),email (5),molbiol (5),felzárkóztató (5),szájbarágó (5),webcserkészet (5),plágium (4),Nobel-díj (4),kriminalisztika (4),terrorizmus (4),big data (4),kultúra (4),genetika (3),pszichológia (3),molekuláris biológia (3),biztonságpolitika (3),CRISPR (3),Android (3),online marketing (3),sajtó (3),élettudomány (3),gépi tanulás (3),Onedrive (3),üzenetküldés (3),jelszó (3),2015 (3),orvosi-fiziológiai (3),Apple (3),Gmail (3),reklám (3),konferencia (3),webkettő (3),biztonságtudatosság (3),kriptográfia (3),levelezés (3),magatartástudomány (3),azelsosprint (3),popszakma (3),hype (3),open source intelligence (3),torrent (3),nyelvtechnológia (3),bejutas (2),tweak (2),villámokosság (2),cas9 (2),Yoshinori Ohsumi (2),Hacktivity (2),génterápia (2),fiziológia (2),természetes nyelvfeldolgozás (2),Reblog Sprint (2),bűnügy (2),Pécs (2),nyílt forrású információszerzés (2),webkamera (2),deep web (2),P2P (2),Netacademia (2),arcfelismerés (2),DDoS (2),Balabit (2),bűnüldözés (2),TOR (2),kulturális evolúció (2),ransomware (2),hitelesítés (2),SPF (2),Whatsapp (2),neuropszichológia (2),szabad információáramlás (2),FUD (2),DKIM (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),szociálpszichológia (2),tanulás (2),biológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Bíróság védené a pedofilokat az FBI-tól?


pedofília gyermekpornográfia FBI DOJ bűnüldözés deep web TOR igazságügy jogÍzetlen áprilisi tréfának tűnik, de úgy fest, hogy sajnos nem az. Az elmúlt néhány hónapban az FBI saját fejlesztésű eszközkészlettel megoldotta, hogy azoknak a felhasználóknak a tevékenysége is követhető legyen, akik a világ legnagyobb deep web hálózatán, a TOR-on keresztül neteznek, döntő részben a TOR hordozható böngészőjében lévő sebezhetőségek kihasználását lehetővé tevő exploitok segítségével. Pontosabban nem néhány hónapja vált lehetővé, hanem most kapott ismét nagyobb visszhangot. Több ezer bűnözőt kapcsoltak le, többek közt több, mint ezer, pedofil tartalmakban nagytételben utazó jómadarat. Érdemes megtorpanni egy pillanatra és észrevenni, hogy ennek kapcsán még a legbigottabb picsogók sem problémáztak azon, hogy szegény pedofiloknak az FBI titkos információszerzésen keresztül megsértette a magántitok integritásához való jogát.

Sebezhetőségek minden szoftverrendszerben vannak, természetesen nagyon sok esetben nem ismertek, így nincsenek is kijavítva, ha pedig nincsenek kijavítva, akkor értelemszerűen azon keresztül a szoftver működése befolyásolható a már említett exploitok segítségével, ahogy tette ezt az FBI is többek közt pedó tartalmakat terítő és letöltő felhasználók azonosítására. A sebezhetőségeket az FBI nyilván nem hozza nyilvánosságra, hiszen ha befoltoznák ezeket a biztonsági réseket a TOR fejlesztői, értelemszerűen a későbbiekben nem lehetne nyomozati eszközként felhasználni.

Hogy-hogynem, egy bíró gondolt egyet, majd olyan határozatot hozott, amiben kvázi kötelezte az FBI-t arra, hogy adja ki az exploitokat – most figyeld! – azzal az indoklással, hogy jobban megérthessék ezeknek a működését. Vágod! Egy bíró! Amelyiknek egy-egy szakértő sokszor a tengeren túl is órákon keresztül magyarázza a legelemibb fogalmakat is, aztán ha a bíró nem érti, egyszerűen kiszedi a bizonyítékok közül, mert megteheti. Egyébként Magyarországon is élet-halál kérdés lehet, hogy az igazságügyi szakértő vagy akként eljáró szakértő tanú úgy adja elő a következtetéseit, hogy azt a bíró azonnal megértse, különben gyakorlatilag nem ér semmit az egész, ez pedig messze nem egyszerű feladat.

Szóval nekiment egy bíró az FBI-nak. Az USA viszont nem Magyarország, szerencsére: nem az van, amit a bíró mond és kész.

Az FBI megtámadta a bírósági határozatot a DOJ-nél ami kábé az ottani igazságügyi minisztériumnak felel meg, azzal az indoklással, hogy az FBI kötelességszegést követne el azzal, ha felfedné, hogy pontosan hogyan is fülelt le több ezer bűnözőt.

Akár az általános etika, akár a szakmai etikai, akár a normális ész azt diktálja, hogy az FBI csak nyertesen jöhet ki a történetből, hiszen ahogy írtam, a titkos adatszerzés eszközei többek közt attól titkosak – na meg hatékonyak – mert a bűnözők úgymond nem tudnak számolni vele. Viszont érdemes eljátszani azzal a hajmeresztő gondolattal, hogy az FBI mégis elbukja az esetet, ekkor viszont később esetlegesen minden hasonló bírósági eljárás során precedensként lehetne hivatkozni arra, hogy a nyomozó hatóság a titkos adatszerzés pontos módját köteles felfedni, ami aztán tényleg a nettó őrület lenne. Márpedig az USA-beli jogban jártas jogászok szerint még ez is simán előfordulhat egy olyan államban, ahol minden veszélyes baromsággal pert lehet nyerni, ami alól nem jelentenek kivételt a legkomolyabb kormányhivatalok sem. Néhány nevezetes eset:

  1. Charles Katz vs FBI,  
  2. Riley vs Kalifornia

IMHO ezért sem ítélhető el, hogy a Snowden-cirkusz előtt a legfőbb rendvédelmi szervek illetékesei, inkább a csillagokat is lehazudták az égről a titkos információgyűjtéssel kapcsolatos kérdésekben.

pedofília gyermekpornográfia FBI DOJ bűnüldözés deep web TOR igazságügy jog

Mire összeszedtem volna sztorit, beelőzött a thehackernews.com, de azért írom a lényeget.

Az USA Today egyik keménykötésű tényfeltáró újságírója még februárban twittelte, hogy Robert J. Bryan bíró nekiment az FBI-nak, a T. Bíróúr érvelése viszont finoman fogalmazva gyenge lábakon áll. Az üggyel összefügg, hogy az FBI lekapcsolt egy Jay Michaud nevű gyermekpornográfiában utazó pofát, viszont ahelyett, hogy a szervereket azonnal lekapcsolták volna, felkészült nyomozó hatósághoz illendő módon inkább hagyták még 1-2 hétig futni, hogy FBI megfigyelhesse azt, ami mondanom sem kell, valóságos aranybánya volt a nyomozóknak, hiszen továbbra is odajártak a pedofilok.

Az FBI egyébként a semmitmondó nevű NIT, azaz Network Investigative Technique eszközkészlet egy részét átadta Vlad Tsyrklevich malware-elemzőnek, aki nem tudta sem megerősíteni, sem cáfolni, hogy az eszközöket csak ebben az esetben használták – meglepően amatőr dolog lett volna az FBI részéről, ha ezzel kapcsolatban lehet rá következtetni, hiszen egy kifinomult eszközkészletről van szó. Kicsit olyan volt ez, mintha egy adott ügyben az ujjlenyomat felvételéhez használt titán-dioxid-kaolin-mixet adták volna oda valakinek, hogy állapítsa meg róla, hogy azzal kiktől vettek ujjlenyomatot.

pedofília gyermekpornográfia FBI DOJ bűnüldözés deep web TOR igazságügy jogAzt, hogy egy ilyen zavaros jogi hercehurcában még az FBI sem inthet be akárkinek, jól mutatja, hogy egyrészt még nekik kellett érvelniük azzal, hogy az exploitáláshoz szükséges kódok átadása nem elengedhetetlen a TOR-felhasználók kilétének felfedéséhez, másrészt hétfőn az FBI gyermekbántalmazásokkal foglalkozó részlegének egyik ügynöke a bíróhoz megküldött levélben magyarázta, hogy ezt talán azért mégsem kellene, a dokumentum egyébként itt érhető el aztán lesz, ami lesz.

Eközben Magyarországon. Az amerikai filmek nem túloznak sokat, amikor az amerikai bírót úgy mutatják be, mint olyan figurát, akinek van is szerepe az ítélkezésben, meg nincs is, aztán képesek agyamentebbnél agyamentebb ítéleteket hozni. Ami Magyarországot illeti, még mindig kicsit zavaros a helyzet, főleg az azzal kapcsolatos garanciák terén, hogy a bíró mit engedhet meg magának. Az, hogy a nyomozati módszereken, főleg a titkos adatszerzésen alapuló módszereken kevésbé pörögnek, sokkal inkább annak köszönhető, hogy a bíróságok egyébként is túlterheltek, a bírák meg sem értenék, hogy miről van szó, nem is érdekli őket, a legfontosabb pedig, hogy a magyar jogi berendezkedés miatt sem lenne érdekük ez. Megjegyzem, bizony előfordul, hogy valakit titkos információszerzésen keresztül fülel le a nyomozóhatóság, amit időben akkor kezdtek például egy füles alapján, amikor még jogilag nem lehetett volna, majd menet közben fundálják ki a nyomozók, hogy milyen bizonyítékokat mutatnak be a bírónak, aminek a beszerzése viszont már törvényes volt. Nem ritkán szembemenve a józan ésszel, Magyarországon csak törvényes úton beszerzett bizonyíték használható fel. Ebben a remek országban a bírósági szakaszban a vádhatóság, a vádlott vagy a védője ugyan hivatkozhat ugyan korábbi hasonló esetekre, mivel nincs precedensjog, értelme nincs túl sok.

Azaz hiába élünk elvben civilizált társadalomban, többé-kevésbé érett jogrendszerben, hiába lenne a jognak az egyik lényegi eleme a megszületése óta, hogy egy ügyet csak egyféleképp vagy legalábbis ne túl sokféleképpen lehessen megítélni, esetenként már-már bohózatba fordul, hogy az elsőfokon eljáró bíróság, a másodfokon eljáró bíróság és a Kúria milyen mértékben mond ellent egymásnak. Ennek értelmezése még a laikus számára sem lehet nagyon más, mint az, hogy a bírók máshogy értelmezik a törvényt – hacsak nem kerülnek elő időközben újabb bizonyítékok vagy nem derül ki valamilyen hiba a bizonyítási eljárásban.

Az erősségek és a gyengeségek például az emlegetett USA-beli jogrendszerben, Európában és Magyarországon mások és mások, ember legyen a talpán, aki objektív meg tudná ítélni, hogy jobb vagy rosszabb az egyik  a másiknál, ami viszont biztos, hogy sokszor az igazságszolgáltatás szimplán alkalmatlan a tényleges igazságtételre, és jó esetben meg nem élnek vissza vele.

Magyarországon tényleg az megy bírónak, aki a jogászok közt minden másra alkalmatlan volt? Eléggé elterjedt így gondolni, de nekem határozott álláspontom, hogy nem így van, veszélyes általánosítások egyike. Bírák közt is vannak, akik a jogbiztonság-törvényesség-normális ész hármas mentén járnak el, na meg olyanok is, akiknek gyakorlatilag mindez ismeretlen.

Megjegyzem, korábban sosem volt még olyan könnyű előcibálni, ha egy magyar bíró vagy ügyész esetleg szektatag, otthon sakálrészegen veri az asszonyt hétvégenként, rendszeresen kurvázik mindkét nem tagjaival vagy egyéb dologgal zsarolható, így nyomást lehet gyakorolni rá egy-egy esetben az ítélkezésben. Ahhoz képest, hogy mennyire könnyű felfedni az ilyeneket – akár egy OSINT téren eléggé jártas civilnek is, bármiféle törvény megsértése nélkül! – az ilyen igen ritkán kerül napvilágra. Ami pedig az FBI gyermekvédelmi osztályát baszogatni próbáló bírát illeti, ki tudja, hogy esetlegesen kitől mennyi pénzt kapott azért, hogy belecsapjon ebbe vagy éppenséggel mivel és kik zsarolták meg.

Most pedig egy kis szubjektív gondolatindító - én már korábban írtam róla, most az olvasón a sor, hogy eldöntse, a rendvédelmi feladatokat ellátó szervek hivatásos állományába tartozó rendőrökben, terrorelhárítókban, na meg hivatásos igazságügyi szakértőkben, szakértő tanukban bíznak jobban, akik ténylegesen képesen megvédeni a bűnözőktől és fenntartani a biztonságot vagy az igazságszolgáltatásban dolgozó jogászokban. Na ugye.

Képek: Wikipedia, infoamor.com

0 Tovább

így vigyáz az adataidra a Google


Google privacy ITsec titkosítás adatbiztonság bűnüldözésMakacsul tartja magát a hiedelem, ami szerint Svájc azoknak az országoknak az egyike, amelyik a leginkább kényes, ha a felhasználói adatok védelméről van szó, a nemzetközi jogi helyzete miatt. Féligazság, írom is, hogy miért. 

Ha mással kapcsolatban nem is nagyon került szóba a személyes adatokra olyan érzékeny Svájc a Snowden-bohózat óta, többen olvashattak arról, hogy a PRISM-parát meglovagoló viccesebbnél viccesebb cégek közül a világ egyik legbiztonságosabb email szolgáltatását ígérő Protonmail többek közt azzal az eszelős hülyeséggel bizonygatja a Svájcban tárolt információk sérthetetlenségét, hogy a szervertermük gyakorlatilag be van vájva egy hegy gyomrába, ami egyébként akár még igaz is lehet, de egy levelezőrendszer nem ettől lesz biztonságos. A Protonmail egyébként ugyanaz a vicces szolgáltató, amelyik ugyanakkor teljesen védtelen volt egy tankönyvi bonyolultságú ún. cross-site scripting támadás ellen, azaz sokáig szinte tetszőleges szkriptet, így rosszindulatú kódot is be lehetett illeszteni a levelek törzsébe, amik szépen le is futottak amikor a Protonmail-felhasználó megnyitotta a levelet. 

Mindez semmi ahhoz képest, hogy az ugyancsak ultrabiztonságosnak tartott Google-től a hatóságok az esetek felében-kéthamadában megkapták azokat a felhasználói adatokat, sejthetően svájci felhasználókról, amiket különböző hatóságok kértek, ami azért minimum elgondolkoztató arány. Swiss Federal Data Protection Ordinance ide, Swiss Federal Data Protection Act oda, az USA-tól és az EU-tól való viszonylagos függetlenség ide vagy oda, ha a svájci hatóságok valamit kikérnek, nagyon sokszor meg is kapják, azt pedig egy pillanatig se felejtsük el, hogy mindehhez az érintett felhasználónak nem kell rablógyilkosnak, terroristának vagy tonnás mennyiségekben seftelő drogdílernek lennie. Mivel egy kellően jól összerakott jogi indoklást követően az alapos gyanú is elég lehet ahhoz, hogy a Google már küldje is az adatokat, díszdobozban. Ugyan a transparency report nem tér ki rá, de eléggé világos, hogy döntően Gmail-fiókokról és adott Google-felhasználókhoz kapcsolódó, azonosításra alkalmas információkról lehet szó, ráadásul a kaliforninai bíróságon, amelyik szerintem illetékes lehet, általában meg sem próbálja a Google megfúrni az adatigényléseket, de nem is köteles a Google vizsgálni azoknak az indokoltságát. 

Google privacy ITsec titkosítás adatbiztonság bűnüldözés


Mindeközben Magyarországon... Ha megnézzzük, hogy mi a helyzet a magyar felhasználókat érintő, magyar hatóságok által kezdeményezett adatigénylésekkel kapcsolatban hízhat a májunk, mert az látszik, hogy az egyébként kis számú adatigénylésből egészen pontosan nulla százaléknak tett eleget a Google. 

Google privacy ITsec titkosítás adatbiztonság bűnüldözés

Innentől már csak lehet tippelgetni, hogy miért. Valószerűtlennek tartom, hogy a magyar nyomozó hatóságok annyira tompák lennének, hogy ne tudják, hogy hogyan állítsanak össze olyan adatigénylést, amire majd érdemben kapnak is választ, ezen kívül vannak azért kemény kötésű és tájékozott telco jogászok Magyarországon is bőven. Az egyik optimista feltételezett ok az lehet, hogy magát a nyomozást kellően bravúrosan végzik ahhoz, hogy ne kelljen a Google-hez rohangálni felhasználói adatokért, az átlagosan hülye bűnöző – vagy annak vélt bűnöző felhasználó – úgyis millió meg egy ponton elcsúszik máshol, ha valamit el akar titkolni, ami viszont tény. Azaz nem is kellenek olyan adatok a bizonyítási eljárásban, amit csak a Google-től közvetlenül lehetne beszerezni. 

A legpesszimistább, már-már a jó hírnév megsértését karcolászó feltételezés pedig az, hogy valóban előfordul Magyarországon is, ami elterjedt szerte a világon, csak államonként eltérő mértékben: azaz hogy a szükséges adatokat a nyomozók nem törvényes úton szerzik be, majd ha megvan, az eljárás későbbi szakaszában, közben találják ki, hogy a gyanusítottal kapcsolatban honnan tudják azt, amit tudnak. Arról már volt szó, hogy a magyar felhasználókat kiszolgáló Google-adatközpontokhoz hozzáférni nem olyan eszelősen bravúros dolog, mint ahogy arról is vannak legendák, hogy milyen mértékű rálátásuk van a hatóságoknak a magyar hálózatokra a netszolgáltatókon keresztül, amiken még ha titkosítva is szaladgál az adat, függetlenül a titkosítás erősségétől, a gyakorlatban sokszor kijátszató

És azt az ortó nagy blamát még nem is emlegettem, amikor kiderült, hogy a legnagyobb levelezőrendszerek, azaz az AOL, Google, Yahoo adatközpontjai közt az USA-ban teljesen titkosítatlan volt a forgalom, persze nem azért, hogy könnyebb dolga legyen az NSA-nek, hanem azért, mert a titkosítás és visszafejtés nagyon komoly számításigénnyel jár, ilyen módon drágább is, ha olyan gigantikus mértékű adatforgalomról van szó, mint amilyet ezek a rendszerek lebonyolítanak. Ne legyenek illúzióink: egyáltalán nem biztos, hogy Európán belül dedikált vonalakon a Google titkosítva tolja az adatforgalmat Magyarországra a maga "kis" 60 gigabit/másodperces peeringjén keresztül, az már egy teljesen más kérdés, hogy a budapesti vagy annak közelében lévő adatközpontok és a felhasználók gépei közt már valóban titkosított a kapcsolat, legyen szó szinte bármelyik Google szolgáltatásról. 

Hogy szemléletes példával éljek: teljesen mindegy, hogy hindi nyelven mond nekem valamit az, aki mellettem ül és nem szeretné, ha rajtam kívül más is megértse abban az esetben, ha magába az épületbe az üzenet egy egyszerű képeslapon érkezett, amit majd hindi nyelven suttognak el, hiszen így csak az nem látja az üzenetet még titkosítatlan formában a képeslapon a postázástól kezdve a recepcióson keresztül a titkárnőkig mindenki, aki nem is akarja. 

Ez a titkosítás nem keverendő azzal a viszonylag friss, ámde annál ködösebb Google bejelentéssel, ami szerint lakattal jelzi a Gmail a webes felületen, hogy az, aki a levelet küldte, titkosítva küldte-e, de azt a bejelentés egyáltalán nem teszi konkréttá, hogy ez mit is jelentene. Ha valaki levelet küld például egy Gmail-es címre, nem a Gmail rendszeréből, olyan módon, hogy a további kézbesítésre szánt levelet az első szerver titkosítva kapja meg, egyáltalán nem biztos, hogy a levél út közben nem halad át olyan csomóponton, amelyik viszont már titkosítatlanul passzolja tovább azt. Az pedig nem világos, hogy a Google a fejléc alapján az összes hosztnévhez tartozó sort megnézi-e, hogy azok egymás közt „hindi nyelven” beszéltek-e vagy éppenséggel csak küldő gépe azzal a szerverrel, amelyiknek a levelet elsőként megkapta további kézbesítésre. Ami biztos, hogy a bejelentést követően nem kevesen joggal írhattak róla, hogy mekkora parasztvakítás ez már megint. 

Az adatigénylésektől indultam, megint a titkosításnál kötöttem ki. A lényeg viszont, hogy az információk továbbításának sérthetetlensége sosem egy vagy kevés számú mechanizmusra támaszkodik: ha azt szeretnénk, hogy ne nagyon legyen látható, hogy merre kóválygunk a neten, kinek milyen rendszeren keresztül küldünk üzenetet, használjunk VPN-t, ha pedig még biztosabbra akarunk menni, használjunk PGP-t, ami tényleg egyik végponttól, azaz felhasználótól a másikig titkosít és így tovább. 

0 Tovább