Impresszum Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

Mitől szakértő a szakértő? Profi vagy kókler? 


Ha voksolni lehetne arról, hogy melyik legyen az évtized legrémesebb buzzwordje, alighanem a big data fölényesen nyerne. Mi is a big data? Paradigma, módszertanok összessége? Több vagy kevesebb annál? Erre alighanem csak a jövő fogja megadni a választ, azt viszont nagyon is érdemes tudni, hogy ki az, aki nem csak dobálózik a big data fogalmával és ki az, akinek ugyan lövése nincs az egészről, irkál meg előad a témában bújtatott marketing részeként.

Nemrég láttam a LinkedIN-en, hogy egy önmagát adatvarázslónak aposztrofáló cég megjelentetett egy blogposztot, nulla hozzáadott értékkel, ami önmagában tényleg egy büdös szót nem érdemelne. Az viszont már igen, hogy az egyik hazai nyelvtechnológiai cég vezetője kommentelte, ezek szerint valamiféle jelentőséget mégiscsak tulajdonított neki, márpedig egy totálisan kókler poszthoz úgy hozzászólni, mintha az unikális tartalom lenne és nem bullshit, kicsit olyan, mintha a Napiszarra mennénk fel önmagunknak barátnőt keresni.

Meg is fogalmaztam egy szép hosszú kommentet, majd inkább töröltem, mielőtt kommenteltem volna, hogy ne úgy jöjjek ki a dologból, mint a szőrszálhasogató tuskó.

A szóban forgó blogposzt az elején leszögezi, hogy bullshitmentes és marketingmentes lesz, ehhez képest gyakorlatilag csak azt tartalmaz, abszolút nulla hozzáadott értékkel. Felmerült bennem a kérdés, hogy hogyan állapíthatja meg valaki a másikról, hogy valóban otthon van-e azon a területen, amit újabban adattudománynak is szokás nevezni, ha ő maga nem ért hozzá mélyen. Röviden: hogyan különböztethető meg a profi a kóklertől?

Hirtelen az jutott eszembe, amikor legutóbb egy számítógépes nyelvészeti konferencián több workshop is volt, ahol több csapat is bemutatott olyan megoldásokat, amiknek a lelkét főként valamilyen gépi tanuláson, ide kapcsolódó mintázatfelismerésen, és rokon adatbányászati módszereken alapuló technikák adták.

Ahogy Linus Torvalds mondta, „Talk is cheap. Show me the code”, érdekelt, hogy egy-egy nyelvi feldolgozónál milyen algoritmusokat alkalmaztak, kombináltak, milyen programozási nyelvet használtak a megvalósításához. Így hát bele is kérdeztem, de nem nagyon tudták megmondani, mert hát „azt a Béla tudja”, a Béla meg persze, hogy nem volt ott. Ez persze nem jelenti azt, hogy ezek a kutatócsoportok hülyékből állnának, messze nem. Csak azt, hogy persze, van egy projektvezető, egy ötletember, egy elméleti arc és a csapatban persze valahol van egy ember, aki leprogramozza, amit kisütöttek, viszont a csapat úgy is képes hatékonyan működni, hogy nem lát bele minden tag minden apró részletbe, ami persze így normális, ettől csapat a csapat. Ugyanakkor mégis közösen le tudnak tenni az asztalra egy bizonyítottan újszerű és működőképes szoftvermegoldást.

Merőben más az az eset, amikor valaki gyakorlatilag bújtatva, de előadja magát fene nagy adatelemzőként, ismer is néhány látványos eszközt, de a tényleges tudás fájdalmasan hiányzik. Márpedig az ilyen nagydumás tahókkal alaposan el lettünk eresztve, akik végülis kifogták a szelet a big data vitorlából. Van-e esélye egy céges döntéshozónak megállapítani, hogy ha adatelemzésről vagy big data módszerek bevetéséről van szó, akivel tárgyal, kókler vagy profi? Az én véleményem, hogy határozottan van.

Mindenek előtt, ahogy más területen is, félre kell tenni azt a hiedelmet, hogy aki bele mer kérdezni egy-egy módszer mikéntjébe, az kötekedni akar, mert nem. Ha hangzatos terminusokkal találkozik akár egy újságíró, akár egy cégvezető, hirtelen kérdezzen bele és ne hagyja, hogy a szakértő úr valami kommunikációs csellel megkerülhesse a választ. Persze, persze, ha nem tudja a választ, az lehet azért is, mert esetleg nem érti jól vagy izgul, de ha már sorozatban fordul elő, az nem sok jót sejtet. Amit pedig a profiktól megtanulhatunk, hogy nem félnek azonnal rávágni, hogy „nem tudom”, ha valamit nem tudnak, jó esetben azt viszont igen, hogy milyen irányban lenne érdemes elindulni, hiszen a profizmus megköveteli, hogy az illető ismerje behatóan annak a szakirodalmát, amiről beszél.

A másik, hogy a kóklerek gyakran használnak igencsak látványos, már-már szemet gyönyörködtető ábrákat, dobbantanak demókat, arra viszont már nem tudnának szakmailag elfogadható választ adni, hogy miért pont azt az eszközt használják, amit. Lehet ilyen az SPSS, R, Rapidminer és számos más szoftvercsomag vagy programozási nyelv, ami viszont fontos, hogy a kókler azt használja, amit meg tudott tanulni, a profi pedig azt, ami egy-egy adott feladat megoldásához a legideálisabb!

Nem világos, hogy mitől függ az, hogy ki milyen módszertanról milyen véleményt alkot, viszont a profi egy-egy projektben tudatosan kiválasztott módszertant követ, amitől nem fél eltérni, ha az ésszerűség azt diktálja. A kókler kevésbé tervez, ahogy esik, úgy puffan.

A profik folyamatosan figyelnek a visszajelzésekre egyrészt önmagukkal, másrészt a megoldandó feladattal kapcsolatban is, míg a kóklerek csak ritkán, esetleg semennyire. Elcsépelt, de nem is tudnék olyat, ami jobban illik ide: „Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.” Nem ritkán szivesen írnék egy témáról, csak aztán belegondolok, hogy elolvasnék még előtte jópár könyvet, hogy véletlenül se kerüljön bele kontárság, aztán végül nem írom meg. Sajnálatos, de igaz, hogy a többség, aki megszólal egy-egy témában, nem így működik, kis lexikális tudással pedig csak a baromság dől hozzáadott érték helyett. Bizonyára voltatok már úgy, hogy egy téma szakértőjétől meghallgattatok egy előadást, aztán a végére megérett az a gondolat, hogy „Ezt az előadást én is tarthattam volna, holott nem is vagyok szakértő. Hihetetlen, hogy aki hivatásszerűen foglalkozik vele, ezzel keres!?”

Ismét csak azt mondom, hogy a jó kutató ismérve többek közt az, hogy képes holisztikusan is szemlélni egy-egy feladatot, míg a kevésbé tehetséges egy bizonyos fogalomrendszerbe bezárva él. Azt vettem észre, hogy ezzel sajátos módon együtt szokott járni az, hogy a kókler fájdalmasan a mainstreamet majmolja, míg a profi tud és mer teljesen máshogy gondolkozni, hiszen attól profi, jelentős értéket teremteni igazából így lehet. Tény, hogy sokszor nem a téma véleményvezérei a legjobb szakértők, csupán a legismertebbek és nagyon gyakran sokkal sikeresebbek, mint akik tényleg tudnak. Egészen addig, amíg meg nem változik a környezet, aztán bambi. Egy gyökeresen megváltozó környezetben ugyanis a profi képes gyorsan váltani, egy kóklernek viszont ez annyi idejébe telik, amennyi idő alatt a cég becsődöl háromszor. A piaci környezet viszont nem változik gyakran. Legalábbis nem eléggé gyakran, sajnos.

Végül meg kell jegyeznem, van benne valami bizarr báj, hogy van valaki, aki mondjuk egy-egy, tudományos szaksajtóban megjelenő hírt vagy akár csak idézetet valamilyen formában elsőként elhozza hazai közegbe például egy Twitter-bejegyzésként, aztán az egy lap megírja félreértelmezve, megint másik helyen megjelenik már fél fokkal normálisabban, de úgy írnak róla, mintha ők találták volna. Az egyik legnagyobb ismert fehérkalapos hekker mondta nekem, amikor befejezte a blogolást annak kapcsán, hogy miért tészi’ le a lantot, az hogy tele lett vele a bakancsa, hogy az ő blogjáról lopkodják át a híreket azok a szerzők, akik még ahhoz is gyökerek, hogy saját maguk kövessék a nemzetközi sajtót és jó esetben megnézik az eredeti forrást is. Azt hiszem, hogy átérzem a dolgot.

Hölgyeim és Uraim! Azért azt ne felejtsék el, egy idézet eredete, első elfordulása sokszor nehézkesen azonosítható, az viszont már sokkal könnyebben, hogy például magyar szövegkörnyezetbe ki idézte először. A posztot egy korábban általam már idézett, Dan Arielynek tulajdonított idézetével zárnám:

Big data is like teenage sex: everyone talks about it, nobody really knows how to do it, everyone thinks everyone else is doing it, so everyone claims they are doing it...

Ami a művelődnivalót illeti, a technikai jellegű irodalmat ismeri, az tudja, hogy hol keresse, mindenki másnak bevezetőként a posztban mutatott könyveket tudnám javasolni.

0 Tovább

Na ki villantotta az évtized legjobb kémfilmjét?


Nemrég írtam, hogy Melissa McCarthy gyakorlatilag megcsinálta minden idők legjobb hekkerfilmjét, amit ráadásul nem is hekkerfilmnek szántak eredetileg, hanem vígjátéknak, de mindkettőnek kitűnő. Erre kijön minden idők legjobb kémfilmjével!

A tavalyelőtt megjelent Személyiségtolvaj egy olyan nőről szól, aki önmagát másnak kiadva más bankkártyáját használja mindenre, amikor pedig már teljesen kisemmmizte az áldozatot, ellopja valaki más személyiségét és így éli életét, egészen addig amíg... A sztorit persze nem spoilerezem le, viszont ami ebből a szempontból fontos, hogy nagyon jól megmutatja, hogy a professzionális csalók hogyan manipulálják a környezetüket, ha pedig ötletességről van szó, a bűvészkedés vagy a social engineering gyakorlatilag ugyanezeket a módszereket alkalmazza, természetesen a cél más.
Alighanem a film készítői közül senki nem tud róla, hogy véletlenül sikerült egy annyira realisztikus filmet készíteniük - leszámítva persze a vígjátékhoz szükséges fordulatokat - hogy a kívülálló azért röhög rajta, mert úgy gondolja, hogy ilyen egyszerűen nincs. Nos, ellentétben mondjuk azokkal az idióta "hekkerfilmekkel", amik vagy megtörtént eseten alapultak vagy akciófilmként nézettséget akartak generálni,  a film alapján az információbiztonság és a netes bűnözés világáról egy totálisan torz kép alakul ki a nézők fejében, ahogy erre utaltam is a múltkori cikkem elején.

Amúgy nem nagyon néztem ilyen-olyan hekkerfilmeket, meg kémfilmeket sem, mert egyszerűen blődségnek tartom mindet, az más kérdés, hogy az egyik látványos, a másik pedig kevésbé, függően attól, hogy mennyit robbantanak, lőnek, zuhannak benne, az pedig már-már kötelező elem, hogy a főhős mindig levarrja a legjobb bulát körülbelül a film felénél, aki általában nem sokkal később meghal.

Teljesen mindegy, hogy a James Bond- vagy Mission Impossible-franchise melyik konzerv darabjáról van szó, lehet, hogy látványosak ugyan, viszont ha olyan nézi, akinek már volt a kezébe biztonságpolitika vagy kriminalisztika könyv, esetleg mindkettő, alighanem végig fogja szánakozni az egészet: ugyanis a kémfilmekkel nem az a baj, hogy totál életszerűtlen elemekkel vannak tele - és itt most nem csak a repülőgépszárnyon ugrálásra gondolok - hanem maga a sztori is blőd, gyermekded, ami még mindig nem lenne baj, a baj már az, hogy ezek a filmek komolyan veszik magukat olyan téren is, ahol nagyon nem szabadna. Ez az, ami rém szánalmassá teszi mindet annak a nézőnek a szemében, aki akár csak egy kis ismerettel is rendelkezik például a nemzetközi terrorizmus természetéről. Szánalmas, de még egyszer: attól látványos, így valamelyest szórakoztató még lehet!

Idén mozikba került A kém, egész egyszerűen zseniális, életem öt legjobb filmjének egyike. Pont azért, mert összeszedi az összes megunhatatlan kémfilmbe illő elemet, maga a sztori semmivel sem bugyutább, mint bármelyik kémfilm sztorija, sok idő után látok már olyan vígjátékot, amelyik nem csak a hányás-fingás-böfögés háromszöggel tudja hozni a humorból adódó szórakoztatóértéket, hanem a a jobbnál jobb szóviccekkel is, ami sajnos egyre ritkább és ami a legfontosabb: a film nem is akarja komolyan venni magát.

Azt tudnám írni, hogy az én értelmezésem szerint A kém a legjobb kémfilm, amit valaha is láttam, mivel az én értelmezésemben görbe tükröt állít a többi kémfilm elé, ugyan nem szándékosan.


Egyébként a klasszikus hekkeres, kémes, helyszínelős, nyomozós filmek töretlen népszerűségét egyszerűen az adja, hogy a nagyközönség számára az információbiztonsággal foglalkozók, titkosügynökök [normális magyar terminussal: fedett tisztek vagy fedett nyomozók], na meg a kriminalisztikával foglalkozók tevékenysége a legködösebb, ami meg ugye olyan titokzatos, akár csak témájában, az alapvetően vonzó. Ennek oka többek közt, hogy egy-egy biztonságpolitikai esemény vagy hekkertámadás, konkrét leírása gyakorlatilag sosem kerül a sajtóba, mivel az olvasók egyrészt nem értenék, másrészt a többséget nyilván nem érdekelné olyan mélységben. Az ember fia pedig általában nem Wikileaksen scrollol órákig, hanem inkább mondjuk a 9GAG-en, személyes tapasztalatom szerint aki egy rakás Wikileaks dokumentumot átnyálazott, nagyon gyakran egészen egyszerűen félreértelmezi, ráadásul meg lesz róla győződve, hogy ő aztán már ért hozzá, mégpedig a legjobban és ember legyen a talpán, aki meggyőzi róla, hogy téved. Itt most nem az átlag konteós arcokra gondolok, hanem arra a jelenségre, amiben sajnos néhány tényfeltáró újságíró is belefut.

Ha pedig az ilyen misztikusnak tartott témáról valaki konkrétan dokumentumfilmet szeretne készíteni, abból rendszerint valami nagy rakás szar jön ki - többek közt pont azért, mert túlságosan utána kellene kutatni, ami elmarad. Ahogy szintén nemrég írtam róla, a Snowdent középpontba állító, önmagát halálosan komolyan vevő Citizenfour dokumentumfilm amellett, hogy védhetetlenül pocsék, még káros is, mivel tovább torzítja az emberek fejében élő képet a titkosszolgálatok működéséről, a terrorelhárításról /*pontosabban arról nem, mivel egy büdös szó nincs róla az egész filmben, pedig enélkül az egész értelmetlen, hiszen az USA tömeges megfigyelési gyakorlatához a terrorfenyegetés adta a jogalapot*/. Igazából annyira rossz film, hogy komolyan, még az NSA is rendezhette volna /*a film utómunkáin keresztül, a filmes staffba beépült fedett ügynökökön keresztül*/ azért, hogy még ködösebb legyen a kép az emberek fejében, ugyanakkor kevésbé baszkurálják őket a civilek. Ez viszont eléggé valószínűtlen, valószínűbb a Citizenfour készítői tényleg ennyire idióták és elfogultak és az én szememben leplezve, de csúcsra járatták a bulvárfaktort, súlyosbítva az atomnagy komolykodással.

Igazából ha valaki tényleg szeretne valami normális képet kapni arról, hogy hogyan is dolgoznak azokban a szakmákban, amik a legkevésbé vannak az orrunk előtt, elsődlegesen a Schneier a biztonságról című, magyar nyelven is megjelent könyvet ajánlanám, na meg persze magát a Schneier on Security blogot Ha könyvekről van szó, több, egészen jó biztonságpolitikával foglalkozó kötet is kapható a magyar könyvpiacon, ami pedig kellő mélységben foglalkozik kriminalisztikával*, nincs ugyan piaci forgalomban, viszont nem beszerezhetetlen.

*nagyon gyakran keverik a kriminalisztika és a kriminológia fogalmát. A kriminológia egyszerűsítve a bűnözés szociológiájával foglalkozik, a kriminalisztika pedig, mondjuk úgy maga a nyomozástan.

Végül egy videó, amit ma délelőtt loptam ki a Szakszolgálat Bég utcai épületéből, ahova úgy jutottam be, hogy a portás bácsik pont nem figyeltek, mivel elbújtak rágyújtani  :)

Ha traumatiológus vagy, feltétlenül dobj egy egymondatos véleményt a Vészhelyzetről, nyomozóként a CSI-ről, igaz, egyikből sem láttam soha egy teljes részt sem, de komolyan rejtély számomra, hogy melyik lehet a bárgyúbb, még ha nem is éri el az X-Akták szintet! 

0 Tovább

Minden idők leghülyébb hekkerei


A hekkelésről mindenkinek, akinek lövése nincs a témáról, valamiféle feketemágia jut eszébe, amit aztán nem tanulhat meg akárki, na meg makacsul tartják magukat bizonyos jól ismert, ámde még hülyébb elképzelések a hekkerekről. A leginkább közkeletű elképzelés Magyarországon alighanem az, hogy a hekker egy kivételesen  okos informatikus, aki aztán mindent lát mindig, kicsit bűnöző ugyan, de amolyan szerethető cukorpofaként a digital age robin hoodja, ezért kicsit megéri fosni tőle, amúgy meg teljesen öntörvényű és ha azzal bízzák meg, hogy törjön fel valamit, az is megcsinálja, na meg ha azzal, hogy tesztelje valaminek a törhetőségét, azt is, ugyanannyi pénzért.

Ahelyett, hogy hosszasan elkezdenék filózni rajta, hogy mennyire nincs így és miért, néhány megállapítást tennék: mindenki, akivel találkoztam és "hekkernek" vallotta magát /*azaz nem ethical hackernek, szoftvertesztelőnek vagy hasonlónak*/, mind valami szerencsétlen volt, akinek egy jó drága tanfolyamon kimosták az agyát főzőprogramon, aztán kapott egy papírt róla, hogy elvégezte, amit meg tud, annál jóval több megtanulható még egyetlen átfogó kötetből is. Vagy éppenséggel még ennyi se, nem végzett semmit az illető, az önképével meg olyan elégedetlen, hogy kitalálta, hogy ő márpedig hekker, úgysem nézi senki hülyének /*egy darabig*/, pont azért, mert ez amolyan kényelmesen ködös fogalom, amiről valami egyszerű lélek azt hiszi, hogy trendi. Nem keverendő az angol hacker kifejezéssel, de nem is nyelvészkednék tovább.

Nagyon röviden: nulla informatikai tudással és nulla ötletességgel, ilyen-olyan netről letöltött, játékprogram bonyolultságú szirszarokkal bárki okozhat komoly károkat szinte bárki, ugyan ehhez az is szükséges, hogy az áldozatban annyi biztonságtudatosság se legyen, mind Medve sajtban a brummogás. Az ethical hacking/pentesting/vulnerability research/social engineering meg teljesen más sportágak, viszont az ITsec-es, ha a foglalkozásáról kérdezik, legjobb, ha mond bármi mást, de komolyan, mégpedig azért, hogy magyarázni se kelljen, na meg ne is értsék félre. Ne keverjék az olyan idiótákkal, akikről most szó lesz.

Az alapsztorit amúgy a 403 Security CEO-ja jelentette meg még 2011-ben, mondjuk azóta jó sok adat átfolyt a BIX-en én ma olvastam így egyben először, ezért gondoltam, hogy sederítek róla egy posztot, alaposan kiegészítve. Az alapsztorik hitelességének ellenőrzésébe nem mentem bele, de ígérem, a végére világos lesz, hogy ez mellékes is, ahol kellett böktem bele egy kis lábjegyzetet [így számozva].

0x100. Még 2010-ben egy közelebbről meg nem nevezett valaki egy népszerű brit énekesnő, Kelly Osborne /*akinek nincs meg:  Ozzy bácsi és Sharon néni lány*/ email fiókját törte fel. [1] Ezt követően beállította, hogy a leveleket a levelezőrendszer továbbítsa egy adott címre [2], ámde nem egy erre a célra létrehozott, gondosan anonimizált fiókra továbbította hősünk a leveleket, hanem a saját, valódi email címére, ami alapján nem volt olyan pokolian nehéz azonosítani.  

0x200. Shahee Mirza, egy önmagát hacktivistának és géniusznak nevező 21 éves hülyegyerek bangladesi kormányzati webszervereket tört fel és azokon helyezett el remekebbnél remekebb nyelvhelyességgel írt üzeneteket, amiben felszólította a kormányt, hogy a számítógépes bűnözés elleni törvényeket módosítsák, mert ők, hacktivisták akkora zsenik, hogy úgyis feltörnek bármit. A dolog egyik pikantériája, hogy ugyanazt a dumát közel 20 webhellyel megcsinálta. Úgy bukott le, hogy elhelyezett a deface-elt oldalak alján egy olyan logót, amiben benne volt a neve. [3]

0x300. Samy Kamkar a MySpace egy sebezhetőségét felhasználva [4] útjára indította a Samy Wormöt, ami rommá fertőzött egymillió accountot, valójában csak annyit csinált, hogy megjelenítette a felhasználók képernyőjén a "Samy is my hero" üzenetet. Érdekes lélek lehet, mert ennyivel nem érte be, még a blogján is alaposan beszámolt a nagy hekkelésről, a kínos csak az volt, hogy a blogján volt egy kép a kocsijáról is - hát hogy ne lett volna - amin tisztán látszott a rendszáma, ami egyértelművé tette, hogy tényleg ő volt az elkövető. Na innentől nem volt nagy kriminalisztikai bravúr azonosítani. Az alkalmazott módszer egyébként nagy hasonlóságot mutatott azokkal a perzisztens XSS-támadásokkal, amivel a jó öreg iWiW-et is megkínálták néha

0x400. Daquan Mathis New Yorkban ellopott egy iPhone-t, de nem csak gyönyörködött benne, hanem csinált magáról egy rakás szelfit, nem mellékesen ugyanabban a ruhában, amiben a rablást vagy lopást elkövette. Nos, ehhez már alapjáraton hozzáfért az iPhone tulajdonosa /*már akkor is*/, amelyiknek az accountjaiból nem jelentkezett ki. Ha mindez még nem lett volna elég, a képeket a tolvaj a saját email címére küldözgette, ami szintén látható volt - és megdönthetetlen bizonyíték az év kiberbűnözője ellen. Itt hozzáteszem, hogy Magyarországon egy zsebesnek még ezt a szintet is sikerült messze felülmúlnia: miután csinált magáról egy adag szelfit, feltöltötte az eredeti tulajdonos Facebook-accountjára, ahogy arról a 444 beszámolt

0x500. Még 2006-ban egy Eduard Lucian Mandru nevű pofa, aki bejutott a DoD egyik - szerintem szándékosan legyengített - gépére, a védelmi minisztérium sokáig ennek ellenére semmit nem tudott róla az email címén kívül /*de valószínűbb, hogy ez a DoD részéről taktikai blöff volt*/. Emberünk néhány évvel később ugyanazt az email címet használta különböző álláshirdető-álláskereső oldalakon.

0x600. A hatodik nem igazán illik a képbe, de azért... Egy forma tisztában volt vele, hogy az USA-ban bizonyos helyeken, ahol tábla is jelzi, hogy lassítani kell a kocsival, a gyorshajtók rendszámtábláját egy rejtett kamera felveszi, majd ezt egy optikai karakterfelismerő szoftver átalakítja sima karakterlánccá, ahonnan már szintén gépileg mehet abba a nyilvántartásba a rendszám, amiben a kocsik tulajdonosait jegyzik, hogy könnyen elő lehessen venni a gyorshajtókat. Ötletes, nem? Amivel a pofa próbálkozott, még ötletesebb akart lenni és a rendszáma helyére egy olyan táblát tett, amit ha a rendszámnyilvántartó megkap, nem egyszerű szövegként fogja kezelni, hanem végrehajtható parancsként és konkrétan törli a teljes adatbázistáblát. A veszett nagy trükk a "ZU 0666......" rendszámmal ugyan alighanem nem jött be, de a hékek eléggé gyorsan nyomára akadtak a tagnak. Az SQL befecskendezésnek
nevezett támadás lényege, hogy ahol egy szolgáltatás bemenete szabályos adatot, tipikusan szöveget vár, meg is kapja, majd azt belefoglalja az adatbázislekérdezést ténylegesen elvégző függvénybe, viszont ha a szerver nincs rá felkészítve, hogy csak olyan adatot engedjen tovább, ami oda ildomos, elvben beküldhető olyan szöveg, ami egy adatbázisműveletként értelmeződik majd, például rekordokat vagy táblákat módosít, töröl, na meg amilyen jogosultsággal a szolgáltatás indította a függvényt. A tanulság az, hogy bemenetet - meg úgy egyáltalán semmit - nem adunk át azonnal feldolgozásra, hanem azt alaposan ellenőrizzük, mielőtt egy felületről egyenesen menne feldolgozásra /*jelen esetben pedig jó esetben nem végrehajtásra*/ a szerver gyomrában.

Egy korábbi posztomban már utaltam rá, hogy még pár évvel ezelőtt, amikor reggeltől estig dagonyáztam a dark web mocskában, azaz az internet azon tájain, amerre ember nem jár, ha nem nagyon muszáj, konkrétan személyek hitelességét ellenőriztem és persze nap, mint nap beleakadtam valami pöcsbe, aki pénzért árult meghívókat olyan közösségi szolgáltatásokba, ahova nem lehet csak úgy regisztrálni. Bizonyos szolgáltatásokba kizárólag egy vagy több tag meghívása alapján lehet belépni, a meghívókat pedig nem osztották két kézzel - márpedig ami csak korlátozott mennyiségben hozzáférhető, értelemszerűen vonzó, ha van benne racionalitás ha nincs. És bizony lesznek arcok, akik az emberi természet ezen mesés vonását ki fogják használni. Többször is találkoztam például kőburzsuj amerikai nyugger bőrébe bújva olyan formákkal, akik mondjuk az AsmallWorld-höz, ELIXIO-hoz vagy BestOfAllWorlds-höz kínáltak meghívókat szaros ezer dollárért, amit rendszerint lealkudtam 50 dollárra, a csaló pedig szintén kitett magáért, mondjuk amikor olyat írt, hogy biztos csóró szar amerikai vagyok, ha nem utalom a pénzt még aznap egy Paypal/Moneybookers/Skrill-számlára, amire ugyebár, ha tényleg öreg amcsi nyugger lennék alighanem az egó miatt azonnal fizetnék is. Na, fizetni nem fizettem, hanem amikor már rég tudtam, hogy a csaló honnan netezik, milyen oprendszerrel, böngészővel, mik azok a kamu identitások, amik szintén hozzáköthetőek, nem küldtem neki valami finomat a gépére, amivel bűncselekményt követtem volna el, inkább megírtam, hogy azonnal fizetek, de küldjön egy képlövést a szolgáltatásról, hogy meggyőződjek róla, hogy tényleg tud onnan meghívót küldeni.

A harceddzettebb webcserkészek kitalálhatják, hogy milyen screenshotot kaptam emailen, többször is: amin látszott a szolgáltatás, a másik böngészőfülön pedig befigyelt névvel/címmel a tag valódi (!!) Gmail/FB profilja. És ezek az arcok egész nap azzal foglalkoztak, hogy az USA-ban, na meg Európa burzsujabb részein lakó felhasználókat húzzanak le nem túl ékes angolsággal. Ugyan eléggé határozott volt a trend, hogy ez hol biznisz, leszek most olyan polkorrekt, hogy nem írom meg. A jelenség természetéből adódóan a tettesek elvben könnyen azonosíthatóak, gyakorlatilag meg a büdös életbe sem, hiszen a Paypal-nek az egyik lényege, hogy nem tudni, kihez tartozik a számla, amíg több ország hatósága összefogva ki nem kéri a számlatulajdonos adatait - amihez persze nincs joga. A károsultaknak pedig többszörösen indokolt okból úgysem tesznek feljelentést, azzal a szöveggel, hogy voltak olyan hülyék, hogy fizettek valakinek, akiről fogalmuk sincs, hogy kicsoda, de azért fizettek, mert egy elit közösségi szolgáltatásba akart bejutni, ahol nincs valódi ismerősük, aki meghívót küldhetne, tehát eleve illegálisan. Akinek hatalmas az egója, na meg még hülye is, azzal még nem érdemli ki, hogy lehúzzák pénzzel.

Na, ilyen cybercrime-os blogot mondjuk fix, hogy nem írok, ha meg mégis, akkor majd valamikor a jövőben, mondjuk kinyíratni magam nem akarom, szóval álnéven, de lenne mit írni azokról a manipulációs fogásokról, amiket a bűnözők és a nyomozók is alkalmaznak, arról nem is beszélve, hogy a csalók többségének annyi esze nincs, hogy a lebukást megelőzve legalább ne olyan fantom karaktert használjanak, amit azonnal dob a Google képkereső, sátöbbi.

[1] Amikor két droid arról beszél, hogy hogyan törték fel valakinek a Gmail/Facebook fiókját, a leggyakoribb esetek:

0x100. a felhasználói név ismert, a jelszó pedig valami elképesztően banálisan kitalálható szó, mondjuk "password"
0x120. a felhasználói név ismert, a jelszóemlékeztető vagy jelszóhelyreállító opció pedig pofátlanul egyszerű: új jelszó beállításához a rendszer megkérdezi mondjuk, a születési időt /*vagy bármi olyan adatot, ami full nyilvános*/, a helyes választ a támadó megadja és ezzel új jelszót állít be, amivel már be tud lépni. Én azt mondom, hogy alapvetően minden password recovery rossz, de ha már az ilyen Security questions a téma, na, azt akik tervezték, feltételezték, hogy a felhasználónak lesz annyi esze, hogy olyat állít be, amit nem banalitás tudnia vagy kitalálnia bárki más számára is.
0x130. letöltenek egy önmagát képfájlnak álcázó keyloggert a netről, majd elküldik emailen csatolt fájlként az áldozatnak, aki annak ellenére, hogy nem ismerős neki sem a feladó, sem a tárgy, meg úgy általában semmi, mégis van olyan hülye, hogy megnyitja, a víruskergető szoftver meg vagy megfogja vagy sem. Amikor a jelszót legközelebb beírja, azt a keylogger elküldi a támadónak. A játékprogramok egy része több intellektust igényel, mint egy ilyen konzerv-keyloggerrel támadni.
0x140. odamennek ahhoz a géphez, amit általában használ az illető, majd a böngésző beállításaira kattintanak és ott az elmentett jelszavaknál rákattintanak a jelszavak megjelenítése gombra... /*na, ez már a többségnek az advanced level*/

Tehát gyakorlatilag sosem az authentikációért felelős programhiba kihasználásáról, az adatokat ténylegesen tároló adatokhoz egy sérülékeny szerverszolgáltatáson keresztüli eléréséről, a kliens és a szerver oldal közti titkosított kommunikáció lehallgatásáról, stb, stb, stb. van szó. Amúgy innen is csókoltatom az összes idiótát, akiktől hetente legalább 2-3 levelet kapok "feltörnéd az exem fészbúkját?" témában, mióta egy ezzel kapcsolatos Facebook-cikkem megjelent.

[2] Ha már email átirányítás, ilyen beállításánál újabban még a legkommerszebb levelezőrendszerek is alul vagy felül egy csíkban, na meg ahogy tudják, figyelmeztetik a fiók tulajdonosát, hogy a levelei át vannak irányítva.

[3] vegyük észre, hogy itt is az überszuper nagy "feltörésnél" közönséges webszerverekről volt szó, nem pedig a kritikus infrastruktúrákért felelős gépek valamelyikéről. Magánvéleményem, hogy a NASA és az NSA korábban szándékosan alakította ki úgy a webhelyeit, hogy az a hülye, ámde elszántságuk miatt veszélyes aktivisták számára feltörhető legyen, majd miután elkapták az illetőt, már gyerekjáték volt feltérképezni ilyen-olyan potenciálisan underground csoportokat, amikbe az elkövető tartozott. Az általánosan bevett technika eredetijét honeypot-olásnak nevezik, ennek kifinomultabb, gyakorlatilag végtelenségig cizellálható változata a tar trapek használata, aminek az a lényege, hogy miközben emberünk reszeli a szervert, mindig egy kicsit nehezítünk valamit a védelmen, de vannak erre automatizált eszközök is, lényeg, hogy a szerencsétlen ennek megfelelően nyilván annál több nyomot fog maga után hagyni, hiszen a betörés módja sokszor egy adott csoportra jellemző, de jellemző lehet akár egyénre is.

[4] Én a Samy wormről valószínűsítem, hogy a szkript részletet valahol látta a neten, aztán kipróbálta, hogy a MySpace-n működik-e. Egyébként ún. XSS-sebezhetőség volt, amik közül vannak egészen kifinomultak, na meg annyira egyszerűek is, hogy azt a legbölcsészebb olvasó is azonnal megértené. A tankönyvi eset, amikor egy szövegdoboz szöveget vár bemenetként, de olyan kódot, például Javascript-parancsot kap, ami feldob egy kis ablakot egy adott szöveggel vagy valamilyen nem kívánt műveletet végrehajt. XSS-ről bővebben a Wikipedián.

Képek innest: blog.on.com, Wikipedia

0 Tovább

Ilyen ez a popszakma: plágium, Shakira, biztonsági ellenőrzés epic fail


Azt hiszem, hogy ha ez a hét így folytatódik tovább, már péntekre végkimerülésig röhögöm magam.

A 444.hu nemrég közölte, hogy a Fidesz nekiállt kozmetikázni a fél internetet,  Schmitt Pál nemdoktor még mindig azt gondolja magáról, hogy doktor, velem pedig tegnap történt egy igencsak sírvaröhögős dolog, ami nyelvészül fogalmazva "a bizonyossággal határos valószínűséggel"  mutatja, hogy a legjobb sztorikat tényleg az élet írja. Igen, ha "popszakmáról" van szó, akkor is.

Történt ugyanis, hogy olyan helyre kellett mennem, ahova nagyon nem ajánlott bevinni dobókést, vállról indítható rakétát, kézigránátot illetve úgy semmit, ami veszélyesebb egy fogpiszkálónál. Ennek megfelelően a szóban forgó épület bejáratánál, ahogy azt a policy megköveteli, még a mágneskapu előtt kihámoztam a zsebeimből az összes aprót, mobilt, diktafont és egyéb fémtárgyat, a táskám pedig szépen átgurult a röntgenszalagon. Mivel tudtam, hogy hova megyek, ezért eleve nem is vittem magammal a 9 mm-es csúzlim. A bejáratnál a masina mégis besípolt, a biztonsági személyzet egyik tagja pedig mondta, hogy kés van a táskámban, mire mondtam, hogy biztos, hogy nincs, de átkotorhatja, ha szeretné. Nem kotorta át, inkább még egyszer átgurították a szkenneren, majd megállapították, hogy mégsincs benne kés, alighanem a tolltartómban összeálló tollakat nézhették annak. Aztán  amikor végeztem, kifelé menet jutott eszembe, hogy a csúzli otthon van ugyan, de a táskám belső zsebében  bent felejtettem egy teljes tárnyi töltényt. Na ekkor kezdtem el magamban fohászkodni Sevillai Szent Izidorhoz, az informatikusok védőszentjéhez, hogy kifelé nehogy megállítsanak, mert azt már kínosabb lett volna kimagyarázni, mint egy rotyogós fingot egy diplomáciai állófogadáson.

Végül nem volt semmi dráma és mentem ebédelni, közben pedig azon agyaltam, hogy a táskámban lévő tonnányi papír vagy a laptopom árnyékolta ki a para tárgyát, ha meg a töltényeket nézte tolltartónak a biztonsági személyzet, akkor vajon minek nézhette a tolltartómat?

Minden kedves ismerősöm lenyugodhat, még szabadlábon vagyok, ha pedig már szóba került ennyi epic fail, hallgassuk meg Shakira Loca című örök klasszikus plagizált,  ámde annál dallamosabb számát, amivel kapcsolatban a magyar sajtó is beszámolt róla, hogy a számot eredetileg Ramon Arias Vasquez Loca con su tíguere címmel szerezte még évekkel korábban. A New York-i bíróság pedig jogerősen kimondta, hogy a Sony, mint kiadó megsértette az eredeti szerző szellemi tulajdonhoz való jogát, ugyan nem igazán hámozható ki, hogy ez konkrétan a művésznő részéről mennyire volt tudatos.

Ha valakit érdekel, hogy milyen baromira körülményes a bíróság előtt egy full egyszerűnek tűnő plágiumügyet bizonyítani, a 40 oldalas PDF-et innen töltheti le.

Ami a bírósági dokumentumot illeti, tényleg nem én loptam ki :)



Az illusztrációként szolgáló kép forrása: http://www.lexisnexis.com/legalnewsroom/litigation/b/litigation-blog/archive/2012/04/06/safe-harbor-ruling-vacated-in-1-billion-youtube-copyright-case.aspx

0 Tovább