About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (37),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (11),social web (9),biztonság (8),mobil (8),OSINT (6),jog (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),Google (5),email (5),molbiol (5),felzárkóztató (5),szájbarágó (5),webcserkészet (5),plágium (4),Nobel-díj (4),kriminalisztika (4),terrorizmus (4),big data (4),kultúra (4),genetika (3),pszichológia (3),molekuláris biológia (3),biztonságpolitika (3),CRISPR (3),Android (3),online marketing (3),sajtó (3),élettudomány (3),gépi tanulás (3),Onedrive (3),üzenetküldés (3),jelszó (3),2015 (3),orvosi-fiziológiai (3),Apple (3),Gmail (3),reklám (3),konferencia (3),webkettő (3),biztonságtudatosság (3),kriptográfia (3),levelezés (3),magatartástudomány (3),azelsosprint (3),popszakma (3),hype (3),open source intelligence (3),torrent (3),nyelvtechnológia (3),bejutas (2),tweak (2),villámokosság (2),cas9 (2),Yoshinori Ohsumi (2),Hacktivity (2),génterápia (2),fiziológia (2),természetes nyelvfeldolgozás (2),Reblog Sprint (2),bűnügy (2),Pécs (2),nyílt forrású információszerzés (2),webkamera (2),deep web (2),P2P (2),Netacademia (2),arcfelismerés (2),DDoS (2),Balabit (2),bűnüldözés (2),TOR (2),kulturális evolúció (2),ransomware (2),hitelesítés (2),SPF (2),Whatsapp (2),neuropszichológia (2),szabad információáramlás (2),FUD (2),DKIM (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),szociálpszichológia (2),tanulás (2),biológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Androidot használsz? Egy Google Play-appal garanciavesztéssel kinyírhatod a mobilod


mobil Android rootolás ITsec Google Play mindig van lejjebbAmikor kezdem azt hinni, hogy én már semmin sem lepődök meg, tényleg nincs lejjebb, ha Android platformról van szó, jön valami olyan elképesztően durva hír, ami kapcsán már nem is az informatikai-biztonsági vonatkozás az, ami elgondolkoztat, hanem sokkal inkább az a mikroökonómiai vonatkozás, hogy tényleg nem lehet eléggé silány minőségű egy termék vagy szolgáltatás az IT-piacon sem, hogy ne legyen rá kereslet, aminek az okait korábban fejtegettem már.

Közismert, hogy az androidos mobilokon számos funkció érhető el, a mobil gyakorlatilag a végtelenségig testre szabható, ha rootolva van, azaz a felhasználó az összes, biztonsági és stabilitási szempont miatt beállított korlátozást kiiktatja. Az Androidot futtató mobil rootolás nélkül is egy ön- és közveszélyes, ahogy azt az összes független kutatás alátámasztja, ezt gyakorlatilag csak a teljesen bigott Android-fanatikusok cáfolják az elmúlt évek androidos botrányai után. [Azokkal a fanatikusokkal meg konkrétan nem tudok mit kezdeni, akik azzal jönnek, hogy az Android mennyivel van előbb, mint az iOS, ami lehet, hogy jól hangzik, csak egy-két keresés után azonnal kiderül, hogy egyszerűen nem igaz. ] Lényeg, hogy a rootolást követően a felhasználó az eszköz teljhatalmú ura lesz, tehát a rootolás csak egészen kivételes esetekben lehet indokolt, például ha egy Android-fejlesztő alaposan vizsgálni szeretné a rendszer valamilyen részét, amihez addig nem fért hozzá. Vagy esetleg egy hardeningelt Android-klón operációs rendszert fejlesztene, egyékbént még a témában legjártasabb felhasználók is azt javasolják,  hogy ha már Androidot használ valaki, ne rootoljon, ha nem tudja pontosan, hogy mit csinál, márpedig a többség nem harceddzett mobiloprendszer-fejlesztő.

Erre mi történtik? A Google Playben, ami a legbiztonságosabbnak mondott alkalmazásbolt az Androidhoz, ahova az alkalmazások elvben többlépéses ellenőrzést követően kerülnek fel, felkerült több olyan alkalmazás is, ami képes a jelenleg futtatott androidos mobilok 90%-át rootolni néhány kattintással!

Azaz nem, az androidos felhasználó még akkor sincs biztonságban, ha kizárólag a Google Playből telepít alkalmazást, rendeltetésszerű használat mellett folyamatosan frissíti az eszközön lévő rendszert és alkalmazásokat, ha egyrészt a részben Google által felügyelt alkalmazásbolt, másrészt maga az operációs rendszer ilyet lehetővé tesz. Androidos sebezhetőséggel kapcsolatos hír, a legtöbb esetben már az ingerküszöböt sem éri el, mondjuk azok után, hogy az alkalmazásboltban feltöltött alkalmazásokat utólag lehetett módosítani tetszőlegesen éveken keresztül vagy éppen, hogy az iOS-en potom 8 éve natív és kikapcsolhatatlan fájlrendszeri szintű titkosítás az Androidon kevesebb, mint 3-4 éve érhető el, opcionálisan. Ráadásul az egész azzal lett önmaga paródiája, hogy miután bejelentették, hogy az összes felhasználói adat titkosítását lehetővé tevő lehetőséget továbbfejlesztették a 4.1-es verzióban, néhány héttel később már nyilvánosságra is került, hogy az elvben teljesen titkosított andoridos mobil teljes adattartalma dekódolható a titkosítási kulcs ismerete nélkül. A titkosítást azért emelem ki, mert évről évre számtalan mobilt hagynak vagy lopnak el szerte a világon, így elvárható lenne, hogy a rajta lévő adatok ne legyenek háztáji módszerrel kinyerhetők, amire ráadásul a felhasználó összes adata rá van drótozva a Google Accountnek "hála", csak csatlakoztatni kell az eszközt egy géphez fejlesztői módban vagy simán kivenni a memóriakártyát.

A mostani esetről részletek az Arstechnica-n.

kép: Techshift

1 Tovább

Frissítést követően kémkedő webkamera, minden látó Tinder és egyéb rémálmaid


Nem csak az az érdekes, hogy az információ koncentrálódásának és áramlásának felgyorsulásával és növekedésével hogyan vált az informatikai biztonság egyre érdekesebb kérdéssé a kutatók számára, hanem az is, hogy ennek hogyan lett hasonlóan exponenciális mértékben növekvő hatása az életünkre.

Gondoltad volna, hogy abban az esetben, ha frissíted a webkamerádat működtető illesztőprogramot, esetleg pont azzal teszed lehetővé, hogy távolról szinte bárki által megfigyelhetővé váljon a kamera által aktuálisan mutatott kép? Vagy éppen a firmware távolról módosítható úgy, hogy ezt tegye.

És azt, hogy a világ egyik legnagyobb mobilos, helymeghatározáson alapuló csajozós-pasizós alkalmazása a Tinder olyan sebezhetőséget tartalmazott, amin keresztül az összes fotót le lehetett volna tölteni a Tinder szervereiről bármiféle bejelentkezés nélkül, olyan adatokat kért le a Facebook-fiókodból, amire nyilvánvalóan semmi szüksége nem volt vagy éppenséggel módosítani kellett a másik távolságát mutató funkciót, mert olyan pontossággal mutatta a felhasználók pozícióját, hogy az potenciálisan veszélyes volt rájuk nézve?

Azt hinnénk, hogy az olyan titkosítási módszerek a leghatékonyabbak, amiket abszolút az alapoktól, a nulláról fejlesztettek ki valamilyen meglévő felszteroidozása helyett, hiszen így kívülállónak nem lehetett lehetősége rá, hogy kiismerje a kriptográfiai megoldás gyengeségeit, ha egyedi fejlesztés. Valójában viszont az a helyzet, hogy éppen az egyedi fejlesztésű kriptográfiai megoldások jelentik a legnagyobb kockázatot ezen a téren. Egyrészt éppen azért, mert nincs egy egyedi, zárt forráskódú fejlesztés mögött egy hatalmas közösség, amelyik rá tudna mutatni a tervezésben vagy esetlegesen az implementációban – azaz konkrét szoftveres megvalósításban – rejlő gyengeségekre. Másrészt azért, mert körülbelül olyan rossz, mint a biztonság hiánya: hamis biztonságérzetet ad.

Többek közt ezeket a témákat filézték ki a tavalyi Ethical Hackingen egy-egy előadás keretében az előadók, amikről a videó nemrég már elérhető a neten is.

Az idei Ethical Hacking konferencia programja nemrég vált elérhetővé itt

A három emlegetett témáról szóló felkerült tavalyi videót pedig itt nézhetitek meg.

--

--

0 Tovább

Mobil biztonságtudatosság, USA-Európa, 1:0


Balabit ITsec mobil biztonság biztonságtudatosságIgencsak tanulságos mini prankkel haknizott a Balabit IT Security a minap: Stockholmban és San Franciscoban szólítottak meg mobilozókat azzal, hogy kipróbálnának-e egy hordozható akkut, amit csak csatlakoztatni kell a mobilhoz és az akkut képes 5 perc alatt feltölteni. Vegyük észre, hogy eleve már csak azokat érdekelhette a dolog, akik nem voltak képben azzal kapcsolatban, hogy nem lehet feltölteni egy okosmobil akkuját 5 perc alatt, pláne olyan univerzális töltő nagyon valószínűtlen, ami erre képes lenne megbízható módon, hiszen eleve különböző mobilok akkumlátorai közt eléggé emberes eltérések vannak.

Később a srác megkérdezte az érintetteket, hogy nincs-e biztonsági szempontból aggályuk azzal kapcsolatban, hogy ismeretlen eszközt csatlakoztatnak kábellel a saját mobiljukhoz. Európában - legalábbis Stockholmban biztosan – láthatósan sokkal kevésbé illetve lassabban esett le, hogy mi ezzel az esetleges para.

0 Tovább

Telefonos átverés epic fail + gondolatébresztő


Nem írom, hogy a Magyarországon és úgy általában az EU-ban érvényes információs önrendelkezésről szóló és hozzá kapcsolódó jogi szabályozás túl van tolva. Inkább: el van tolva.  
 
Mindenek előtt hallgassuk meg ezt a nem túl lírai végűre sikerült telefonos átverési kísérlet felvételét, ami néhány nappal ezelőtt került fel a netre:  
 

Egy dolog, hogy a hívás körülbelüli ideje és a hívott szám alapján seperc alatt vissza lehetne keresni a hívót, akitől alighanem hordott már a hátán trükkösebb csalót is a föld, mindehhez a gyakorlatban olyan adminisztráció szükséges a nyomozó hatóságok részéről, hogy amíg meg is találnák a tettest, átverések százait tudná megcsinálni, amivel kapcsolatban ha a sértettek nem tesznek feljelentést, olyanok, mintha meg sem történtek volna.  

Egy korábbi posztomba írtam róla, hogy az információs önrendelkezésről szóló törvény egyik lényegi eleme az, hogy felismerhető fotó csak olyanról készíthető, tárolható, sátöbbi, aki ehhez kimondottan hozzájárult, ugyanakkor mégis Dunát lehetne rekeszteni az olyan típusú visszaélésekkel, amikor valakiről olyan kép készül és kerül ki a netre, amiből hátránya származik, ennek ellenére nincs olyan őrült törvényhozó, amelyik kitalálná, hogy ezek megakadályozása érdekében tiltsák be a kamerák mobiltelefonokba való építését. Bezzeg a hangfelvétel! Na az aztán ördögtől származó dolog ám! Az egyre nagyobb elterjedtséggel rendelkező Windows Phone-os, iOS-es mobilokban, ahogyan a mobilplatformok többségében is, alapértelmezés szerint nem indítható el a hangrögzítés, azaz a telefonbeszélgetés rögzítése telefonhívás közben, mivel tombol a para azzal kapcsolatban, hogy mi lenne, ha halomra venné fel mindenki a beszélgetéseket, aztán esetleg előhúznák emiatt azt, aki a mobil oprendszerének törvényi megfelelőségéért felelős*.  
 
Holott ha egyszerűen telepíthető lenne olyan háttérben futó alkalmazás, ami egész egyszerűen felveszi a beszélgetéseket, titkosítja például azzal a szervizkulccsal, amit a szolgáltatók használnak a mobil függetlenítéséhez a felhasználók kérése esetén, minden további nélkül meg lehetne csinálni, hogy hasonló csalás esetén az érintett csak feljelentést tegyen, a rendőrség a szolgáltatótól kikért szervízkulccsal lekérje a beszélgetést akár úgy, hogy a feljelentő a rendőrségen átadja a mobilt az adott adatterület lemásolásának idejére vagy éppen on the air, a feljelentés után feltöltődjön a beszélgetés a hatóságokhoz, olyan visszatartó ereje lenne a telefonos csalásokkal szemben, mint annak, hogy a bűnözők nem igazán lopnak több okosmobilt, mióta tudják, hogy azok követhetőek.  Azért, hogy túl sok titkosított beszélgetés ne foglalja a helyet, a beszélgetések ésszerű időközönként felülíródnának a mobilon. 
 
Ha ezt a posztot most egy törvényhozó vagy rendfenntartó szerv tagja olvassa, esetleg csóválja a fejét, hogy azért nem úgy megy ez, mindennek a kialakítása nem kis pénzbe kerülne. Valóban nem. Viszont teljesen biztos, hogy kevesebbe, mint amekkora kárt okoznak telefonos átverésekkel, amit pedig még egyszer kiemelnék, a lépés preventív jellege, míg a magánszférát nem veszélyeztetné aránytalan mértékben, hiszen például Magyarországon a telefonbeszélgetések lehallgatása egyébként is bírói vagy ügyészségi engedélyhez kötött - és ott még nem is közlik az érintettel. A jelenlegi szabályozás - na meg az én tudásom - szerint ami a legszebb az egészben, hogy ha el is kapnak egy telefonos csalót rögzített beszélgetés alapján, aki mondjuk milliós tétellel károsított meg több idős embert, a nyomozati szakaszban ugyan bizonyíték egy ilyen telefonbeszélgetés, a bírósági szakaszban nem használható fel hangfelvétel bizonyítékként akkor, ha a másik fél nem tudott róla, hogy a beszélgetést rögzítik!  
 
*Az Android ezt remekül kijátszotta, igaz, nem ingyenes, de tényleg néhány garasért vehető olyan app, amelyik jó minőségben rögzíti a beszélgetéseket teljesen automatikusan. Ha olyan mobilod van, amire nem telepíthető egyszerűen beszélgetést rögzítő szoftver, de szeretnél felvenni egy-egy beszélgetést valami miatt, semmi másra nincs szükség, csak egy Jack-típusú kábelre, egy Y-elosztóra, a headsetedre és egy diktafonra, amiről egy magyarázó leírást ábrával együtt ebben a posztban találsz. Ismét megjegyzem, ha felveszel egy telefonbeszélgetést, de nem jelzed a hívónak, hogy a beszélgetést rögzíted, törvényt sérthetsz vele.  

0 Tovább

SMS értesítés a legfontosabb twitekről


Nem tudom, hogy mióta, az viszont biztos, hogy nem annyira régen elérhető a funkció már magyar szolgáltatók mobilszámaival is: a Twitteren beállítható, hogy a minket különösen érdeklő felhasználók twitjeiről a Twitter SMS-ben is értesítsen, természetesen ingyen. Mivel már rég lehet push üzeneteket kérni, ezért nem látszik, hogy ennek lenne valami értelme, viszont érdemes észben tartani, hogy az SMS akkor is működik, ha az adatforgalom valami miatt teljesen elérhetetlen.

Ha valahova elmegyek kiruccanni, akkor szándékosan csak egy általános iskolás koromban kapott, de máig működő butatelefont viszek magammal, amin lehet telefonálni és SMS-t küldeni és fogadni, aminek az a jelentősége, hogy ha valakinek nagyon sürgősen kellenék, mégis el tud érni illetve ha valamilyen szolgáltatás riasztást küld SMS-ben, értesülök róla. Teljesen hasonló módon, ha valaki ingyen szeretne valamiről értesíteni SMS-ben vagy éppen csak kíváncsi vagyok az aktuális breaking hírekre, egyszerűen csak beállítom, hogy az adott Twitter-csatornák twitjeiről kérek értesítést.

Sokan nem tudják, de a Twitter eredetileg nem egy klasszikus social webes szolgáltatásnak készült, a twitek hossza azért van 140 karakterre korlátozva, hogy egy twit kényelmesen elküldhető valamint fogadható legyen egy hagyományos méretű SMS-ben, ahol 140 karakter maga a twit, a fennmaradó 20 karakter pedig az @ jel, a felhasználói név és a felhasználói nevet és a twitet elválasztó szóköz. Azaz, hogy a felhasználók tudjanak SMS-ben is csevegni egymással, ami európai szemmel szokatlan lehet, az USA-ban viszont szinte kimutathatatlanul alacsony költség az SMS-küldés a szolgáltatóknak. Ennek egy mellékes funkciója, hogy a Twitter elérhető volt weben keresztül is. Tehát az összes USA-beli mobilszolgáltató a kezdetektől támogatta az SMS-twitelést, amihez aztán később különböző államok mobilszolgáltatói is csatlakoztak, a pillanatnyi, de nem teljes listát itt lehet megnézni.

Viszont eltérő funkcionalitással, azaz bizonyos szolgáltatók esetén csak fogadni lehet twiteket, küldeni viszont nem, egyes országokban nem csak szöveg twittelhető, hanem küldhető MMS is, ezen kívül jelentős eltérést mutat, hogy milyen mértékig lehet testre szabni, hogy mikről is kérünk értesítéseket. Ugyan csak egy szolgáltatóval teszteltem, úgy fest, hogy Magyarországon még eléggé kezdetleges a dolog:

Twitter Facebook SMS social web webcserkészet mobil

Ugyanakkor például egy műholdas szolgáltatónál már minden apróság beállítható és az üzenetfogadás ott is díjmentes, ami eléggé nagy dolog ismerve a műholdas technológiák költségeit.

Twitter Facebook SMS social web webcserkészet mobil

A műholdas mobilszolgáltatók alighanem azért hajlandóak támogatni ezt, hogy nehogy a konkurens szolgáltatóhoz képest lemaradjanak a felhasználói élmény szempontjából. Ugyanis műholdas mobilon twiteket fogadni aztán tényleg nagyon főnök. Kevésbé ismert, de az SMS-ek fogadása is pénzbe kerül a szolgáltatóknak, ezen kívül nyilván a Twitter vagy annak SMS-szolgáltatója felé nagytételben fizetniük kell az SMS-küldözgetésért, ritkábban éppen fordítva, azaz a Twitter fizet az adott szolgáltatónak.

Nem mellékesen finomhangolható az is, hogy azok közül, akiknek a csatornáira feliratkoztunk, kiknek a twitjei annyira fontosak, hogy SMS-ben is kérünk róla értesítést.

Twitter Facebook SMS social web webcserkészet mobil

Tehát a lehetőség webkettő-addiktoknak kötelező.

Korábban írtam róla, hogy a Facebookon történő eseményekről is simán kérhetünk SMS értesítést, mi több, SMS-en keresztül posztolhatunk is a Facebookra olyan szolgáltatón keresztül, amelyik támogatja ezt, ugyan a posztban leírt trükk, amivel Google Voice számot varázsolhatunk magunknak, már nem működik. Jó tudni, hogy a Twitter és a Facebook esetén nem ugyanaz, amikor csak be van rögzítve a mobilszámunk – mindenképp érdemes – amire például a szokatlan belépési kísérletekről küld a szolgáltatás SMS-t, de többet nem tud vagy ténylegesen text activated, azaz lehetőség van mindenről SMS értesítőt kérni és akár posztolni is SMS-ben. Ez utóbbi így fest asztali gépen valamint mobilalkalmazásban, az más kérdés, hogy én személy szerint szeretek beállítani minden ilyen extrát, amit aztán ki lehet kapcsolni.

Twitter Facebook SMS social web webcserkészet mobil

asztali gépen

Twitter Facebook SMS social web webcserkészet mobil

mobilalkalmazásban

0 Tovább
«
12