About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (18),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

Így beszélnek össze a webhelyek Veled kapcsolatban


Nemrég részt vettem egy workshopon, aminek az volt a tárgya, hogy aki tényfeltáró újságíróként dolgozik, milyen informatikai fenyegetésekre érdemes figyelnie, hogyan lehet a kockázatokat alaposan csökkenteni. Nos, a teljes egynapos workshopon mindössze egyetlen eszközt mutattak be, ami számomra új volt, viszont annál inkább jópofa. Nem innovatív, nem technikai újdonság, de igencsak látványos.

Bizonyára mindenki találkozott már azzal a jelenséggel, hogy hiába csapkodta le a reklámokat ilyen-olyan módszerekkel a böngészőben és az általa látogatott szolgáltatásokban is, ezt követően például egy Googleben indított, fogfájással kapcsolatos keresés után a Facebook oldallécében egy fogorvosi rendelő reklámja virított...

A magyarázat, hogy a személyre szabott hirdetések világában a hirdetések személyre szabott megjelenését nem úgy kell elképzelni, hogy egy adott szolgáltatás határain belül érvényesek, hanem szolgáltatások közt is. Ennek a nagyon rövid technikai magyarázata az, hogy a hirdetéselosztó hálózatok összességében gyűjtik az információkat a felhasználókról, majd azt osztják meg az ügyfeleikkel /*tartalomszolgáltatókkal és közösségi szolgáltatásokkal*/, nem pedig külön-külön, ami érthető módon az egyik legkorszerűbb és leghatékonyabb hirdetési forma, hiszen ha valaki szabad perceiben csak a magyar hírportálok közt nézegeti meg a legfrissebb cikkeket, akkor a célzott hirdetést megjelenítő hálózat nem kezdi újra vizsgálni a felhasználó érdeklődési körét az alapján, hogy hova kattintott, mire keresett vagy éppen hol tartotta az egérmutatót, hanem figyelembe veszi azt is, hogy a korábban meglátogatott szolgáltatásokat és portálokat hogyan használta.

A gráfként megjelenített ábrákat mindenki szereti, mert szépek, elforgathatóak, nagyíthatóak és nagyon beszédesek, bárki számára elérhetőek /*mármint az is tudja használni, aki egyébként nem web-kórboncnok*/. Nincs ez máshogy ebben az esetben sem, maga a Mozilla egy roppant jópofa eszközt ad arra, ha szeretnéd látni, hogy hogyan "beszélnek össze" veled kapcsolatban a hirdetői hálózatok. Néhány pillanat alatt telepíthető a Firefoxhoz a Lightbeam kiegészítő, ami azonnal mutatja is, hogy melyek és mennyire. Persze akkor a leglátványosabb, ha átlag felhasználóként használjuk a netet, azaz nem használunk semmilyen reklámgyilkolót, nem mókoljuk meg a földrajzi pozíciónkat, nem trükközünk kliensoldalon. Az én esetemben valahogy így néz ki a dolgot egy perc kattintgatás után, ugyan szándékosan megnéztem egy review oldalt is, amiről tudom, hogy különösen pofátlan ebben a műfajban:

Google Chrome-ot használsz? Ez esetben sajnálom, lehet, hogy ott is van hasonló eszköz, nem tudom, meg annyira nem is érdekel, pont azért, mert Google, na meg Chrome, nem használom. Viszont érdemes tudni, hogy a nyílt forrású Chromium motor felhasználásával nem a Google Chrome az egyetlen böngésző, ami valaha készült, ha nagyon ragaszkodsz a Chrome-szerű böngészőhöz, a Comodo kapásból háromfélét is ajánl, ami nem akarja eladni az adataid kilóra, sőt, pont az ellenpólust képviseli mind:  
https://www.comodo.com/home/browsers-toolbars/browser.php

Ha már böngészők.

Nem új, de még mindig zseniális az az ismeretlen szerzőtől származó, de erősen Microsoft-gyanus reklámparódia, ami annak idején az egyik Chrome verzió reklámját figurázta ki még az eredeti reklám megjelenésének napján.

Ha pedig már videó, "Kutyával és gyerekkel maguk mindent beszopnak", ahogy mondta a Kiábrándult értelmiségi, és valóban, egy jóval kevésbé offenz', de esztétikus és hatásos böngészőreklámot is ide teszek.

Ebben a posztban egyáltalán nem foglalkoztam azzal, hogy enélkül finanszírozhatatlan lenne szinte minden valamire való - nem-fizetős - szolgáltatás a neten, azzal sem, hogy akár elhiszed, akár nem, ez a hirdetési modell igenis hatással van a fogyasztói döntéseidre, még akkor is, ha tudatosan egy-egy cikk olvasása közben a reklámot nem is olvasod, csak a szemed látókörébe kerül, azzal sem, hogy a reklámdobáló hálózatokat természetesen lehet korlátozni vagy blokkolni, viszont nem szabad túltolni a dolgot, mivel nagyon sok helyen ha a reklám nem jeleníthető meg, nem jelenik meg a tartalom sem, amit megnéznél vagy olvasnál. Amivel szintén nem foglalkoztam, hogy a privacy-fetisiszta jogvédők paranoid óbégatása miért iszonyúan károsak, lévén, hogy nem reális veszélyekről beszélnek, az igenis reális veszélyekről pedig gyakorlatilag sosem ejtenek szót érdemben, ami érthető is, mert ez olyan technikai rálátást és szemléletmódon igényelne, amivel ők maguk sem rendelkeznek. Szintén nem mennék bele, de érdekes téma, hogy a felhasználókról készülő profilalkotás bőven ad lehetőséget visszaélésekre például olyan módon, hogy egy webshop ugyanazért a termékért eltérő árat kér két különböző felhasználótól olyan tényezők alapján, hogy valószínűleg mennyit lenne hajlandó a termékért fizetni, van-e hasonló termékporfólióval rendelkező üzlet hozzá földrajzilag közel és még ki tudja, hogy mi alapján. Ez utóbbi amúgy nem egy konteós elméleti felvetés, hanem bizony-bizony van, ahol már rég alkalmazott módszer: WSJ: Websites Vary Prices, Deals Based on Users' Information. A témát magyar nyelven anarki is alaposan kivesézte pár hónapja. 

0 Tovább

FB: Vége az automatizált ismerőskukkolásnak


A Facebook még a 2014-es F8 fejlesztői csúcson jelentett be több, Facebook-kisalkalmazást gyökeresen érintő változtatást

A módosítások április 30-ától hatályosak és azoknál az appleteknél lehetnek különösen feltűnőek, amik a felhasználó ismerőseinek körét használják egyik adatforrásként, egyébként pedig szinte mindnél.

Amikor egy Facebook appletet indít valaki, a FB illedelmesen rákérdez, hogy a szükséges engedélyeket megadja-e a felhasználó az alkalmazás számára, így például a születésnapot, az életkort, a profilkép lehívását, azt, hogy a felhasználó nevében posztolhat-e a falára, lényegében bármit, olyan információt is, ami egyébként minden ismerős elől rejtve van. A egység sugarú júzer pedig szokás szerint ekkor zsigerből kattint az engedélyezés gombra, az applet pedig lekérdezi a szükséges adatokat. Mindezt az alkalmazás az ún. Facebook API-n [application programming interface] keresztül teszi, aminek megvannak a maga játékszabályai, amik értelemszerűen időnként frissítésre szorulnak.

Alapvetően szinte az összes korábbi alkalmazásnak újra engedélyt kell kérnie a további működéshez az API 2.0-ás verziójának életbe lépése miatt, bizonyos alkalmazások egyáltalán nem lesznek működőképesek: eddig a függvénykönyvtár egy igencsak népszerű részét képezték azok a függvények, amik le tudták kérdezni a felhasználó ismerőseinek körét, sokszor az ismerősök ismerőseit, az ismerősökkel kapcsolatos cimkéket, hogy majd azzal kezdjenek valamit. Például az alkalmazás kiolvasta az ismerőseid, annak az ismerősi körét is a nevedben, majd mindebből rajzolt egy pofás kis gráfot, amiben vagy egyszerűen csak lehetett gyönyörködni, megint mások használhatták adathalászatra, a kutatók pedig természetesen a közösségek legkülönfélébb szempontú vizsgálatára.

Ez utóbbi műfajban az egyik kedvenc tudományos cikkem azzal foglalkozik, hogy egy jól irányzott kisalkalmazással még akkor is lekérdezhető, hogy az adott felhasználó kivel kavar, ha nincs is fenn az ismerősei közt az illető. Már volt róla szó, magyar nyelven ezzel a Precognox blogja foglalkozott A Facebook tudja kivel kavarsz - akkor is ha nem jelölöd a profilodon címmel. Amit azért fontos hozzátennem, ami úgy minden facebookos információra igaz, hogy itt sem maga a Facebook jelent kockázatot a felhasználó magánszférájára nézve, hanem az, ha a felhasználó mindenféle barom kisalkalmazásnak megad mindenféle engedélyt, aztán meg alaposan megfeledkezik róla. Ha történetesen adathalász alkalmazásról van szó, az alkalmazás készítője gyakorlatilag mindent láthatott a felhasználóról, az ismerősi körön keresztül például abból is adatbázist építhetetett a fejlesztő, hogy valaki mikor, kivel, hova checkolt be, teljesen észrevétlenül, egészen eddig akár évekig.

Az appok közül egyébként itt lehet kegyetlenül legyilkolni azonnal azt, amiről nem tudod azonnal, hogy micsoda, míg az Apps Others Use alatt azt szabályozhatod, hogy milyen adatokat tudjanak az appletek rólad lekérdezni. A Facebook Platform teljes kikapcsolása nem ajánlott.

Nem mennék bele abba a kérdésbe, hogy az előbb vázolt kockázat végülis a Facebook, a felhasználó vagy a rosszindulatú kisalkalmazások bűne, a mi szempontunkból a lényeg, hogy az API legújabb változatában az ilyen típusú kukkolásra csak sokkal körülményesebben van lehetőség, mivel kiherélték az ismerősök és velük kapcsolatos adatok lekérdezésével kapcsolatos függvénykönyvtár használhatóságát.

A F8 hivatalos bejelentésének leglényegesebb mondandóját ennél rövidebben aligha lehetne összefoglalni:

Any deprecated permissions will be removed from existing users, and won't be grantable by new users. This includes the friends_* permissions, xmpp_login or user_checkins.

A dokumentációban pedig az indoklás valahogy így néz ki:

To put people first. This update was in response to feedback from people who were uncomfortable knowing that a friend could share their information with an app. With Graph API v2.0, we wanted to make sure that people had more control over their information.

Na már most normális emberben felmerül a kérdés, hogy akkor eddig mégis miért nem eleve így volt? IMHO azért, mert a FB attól tartott, hogy a felhasználói élmény csökkent volna, ami miatt ugye eleve az egész Facebook lett volna valamivel kevésbé népszerű. A "To put people first" igaz, csak éppen nem abban az értelemben, ahogy a Facebook láttatni akarja: a felhasználók biztonsága nem érdekli őket jobban, mint korábban, egészen addig, amíg nem érkeznek olyan visszajelzések tömegesen, amiből arra következtetnek, hogy a felhasználók kevésbé érzik magukat biztonságban, ami nyilván nem azt jelentené, hogy a felhasználó ésszel él, aztán korlátozza a róla lekérdezhető adatokat illetve lelövi az általa futtatott, de ismeretlen, tisztázatlan működésű kisalkalmazásokat, hanem inkább kevésbé használja a FB-t. Emlékeztető: a felhasználók egy részének még így is túl bonyolult a felület!

Elsőre nem nagyon bonyolult dolgokra gondoljunk az ismerőskukkolda kapcsán! Láttam egy tucat olyan alkalmazást, ami persze pénzért figyeli, hogy ki törölt az ismerőseid közül, mindezt nyilván úgy, hogy periodikusan lekérdezi az ismerősök halmazát és összeveti a korábbival. Persze annak, hogy egy ismerős eltűnik, lehet oka az is, hogy az illető deaktiválja a profilját, törli magát a Facebookról vagy letiltja emberünket, azon a lényegi dolgon nem változtat, ami szerint a Facebook a hivatalos súgóban szavatolja, hogy nem jelzi, ha egy ismerős töröl a kontaktjai közül. Erre nyitott kiskaput néhány fizetős mobilapp a kezdetektől azok számára az egoista türhők számára, akik képesek voltak ezért még pénzt is kiadni, azzal kapcsolatban pedig most inkább nem mondanék véleményt, ha valakinek annyira gesztus értékű az, ha más törli ismerősei közül, hogy szükségesnek látja ezt kisalkalmazással figyeltetni, valamit az életben nagyon rosszul csinál...

Végülis amellett, hogy a Facebook - pontosabban ahogy tisztáztam, az API-ja – biztonságosabbá is vált, sajnos sok-sok kutató alaposan szívhatja a fogát, aki például szociometriai kutatásaihoz a Facebookot használta adatforrásként. Az ismeretségi kör továbbra is lekérdezhető bizonyos esetekben, így például, ha a másik, adatforrásként használt ismerős szintén használja ugyanazt az alkalmazást az összes szükséges permissionnel, de nyilván teljesen életszerűtlen, hogy egy alkalmazást az összes ismerősünk használjon, körülbelül annyira, mintha azt mondanád valakinek, hogy "lécci tedd már fel ezt az appletet, mert szeretném tudni, hogy mikor tiltasz le".

Ma amolyan fészezős napot tartok, hamarosan jön még egy poszt arról, hogy hogyan értesülhetsz általad meghatározott szabályok alapján SMS-ben vagy Google Talk üzenetben egy-egy facebookos történésről, a friss posztjaim követéséhez itt tessék csengetni a Követés gombra kattintással: https://www.facebook.com/bardoczi

kép forrása: http://qz.com/140357/what-your-facebook-friends-list-reveals-about-your-love-life/

0 Tovább

Egy legendás levelezőrendszer esete a biztonsággal, na meg a felhasználókkal


"Celebrating our 15th anniversary with our new feature: Two-Step Verification" jelentette be a legendás Hushmail májusban a Twitteren, amit - kéretik figyelni! - mindössze egyetlen felhasználó favolt és retwittelt, én meg konkrétan nem vettem észre, pedig jópár éve hardcore hushmailes vagyok. Értem én, hogy a jó munkához idő kell, de ha egy olyan levelezőrendszernél, aminek a születésénél maga Zimmermann, a PGP titkosítóalgoritmus atyja bábáskodott, IMHO máig az egyik legbiztonságosabb levelezőrendszer a világon, gyakorlatilag le vannak maradva az end-user szemében a többiekhez képest, na, az nem jó. Nem jó, mert 2FA téren megelőzte őket az összes nagy, látszólag ingyenes, a felhasználók adataiból élő kommersz mailszolgáltató  Google Mail - Yahoo - Outlook.com sorrendben, ahogy az egy-egy újításnál lenni szokott. Szóval Hushmailék  túl kevéssé kommunikálták a történetet. 

Az, hogy beelőzték őket, még a kisebb probléma: a PRISM-parát meglovagolva ugyanis egy rakás "überbiztonságos", semmiből előtűnő freemium modellel működő vagy előfizetéses levelezőszolgáltatás jelent meg a piacon, amik jó esetben nem zárják be a boltot maholnap és tipliznek a Bahamákra az ügyfelek pénzével ill. jó esetben ezeket a szolgáltatókat nem valamilyen szépnevű hárombetűs szervezet fedőcége vagy nehézsúlyú adathalászok hoztak létre pont azoknak a megfigyelésére, akik éppen azért fizetnek, hogy a levelezésük ne legyen látható. 

Fejtegethetném, hogy nem, nem csak akkor van szükséged elfogadhatóan biztonságos levelezésre, ha egy jó nagy cég vagy hírportál vezetője vagy (egyébként is, 5-10-15 év múlva még lehetsz és igen, 5-10-15 év múlva is valakinél meglesz levelezésed), az meg sokkal cirkalmatosabb téma, hogy mikor is tekinthetünk egy levelezőrendszert biztonságosnak, ugyan egy részét itt már érintettem korábban. 

Az átlag felhasználótól nem várható el, hogy megállapítsa egy levelezőszolgáltatásról, hogy mennyire biztonságos, elég csak rákeresni a neten, hogy melyik is a legbiztonságosabb levelezőrendszer a világon és belenézni az első néhány találatként talált fórumba. Ezt a tudatlanságot kihasználva szedte meg magát egy rakás, elvben biztonságosnak tűnő levelezést kínáló startup olyan jól hangzó, ámbár szakmai szempontból még debilebb érvekkel, minthogy a szervertermük be van fúrva egy hegy gyomrában, skandináv országban/Svájcban van, amire kevésbé lát rá az NSA vagy éppen azzal érvelt a szolgáltató, hogy saját titkosító algoritmust fejlesztett ki, de hogy mi az, na, azt nem árulja el. Ha nem vagy terrorista, a levelezést amúgy nem az NSA-tól kell félteni, hanem mondjuk egy üzleti versenytárstól, aki alighanem meg tud fizetni olyan szakit, aki technikai tudással és/vagy kapcsolati tőkével szinte bármelyik szerverbe bele tud nézni, ha eleget fizetnek neki. Eloszlatnám azt a közhelyet, hogy "minek foglalkozni vele, mert úgyis feltörhető", tökéletes biztonság nincs, viszont elfogadható biztonság igenis van. És általában nem a legdrágább megoldásokkal. 

Ha egyéni felhasználóként vagy cégvezetőként arról szeretnél informálódni, hogy mi az, ami tényleg biztonságosnak tekinthető, ne a zöldségest, hentest vagy a szomszéd neandervölgyi kinézetű, informatikus végzettségű photoshop-artistát kérdezd, hanem olyat, aki ért is hozzá, mondjuk mert ez a hivatása. Ha a netről informálódnál, az csalóka lehet, ugyanis az ezzel kapcsolatos netes keresésnek csak akkor van értelme, ha pontosabb képed van róla, hogy mit is keresel, azaz az értékes információhoz nem meglepő módon eleve jól kell feltenni a kérdést. 

Securityreactions tumbliról schmittelt képpel zárnám soraimat: 

"Why aren’t you worried about the NSA spying on your internet use or emails?"

0 Tovább
1234
»