About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (37),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (10),social web (9),biztonság (8),mobil (8),OSINT (6),jog (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),Google (5),molbiol (5),felzárkóztató (5),webcserkészet (5),szájbarágó (5),plágium (4),Nobel-díj (4),kriminalisztika (4),terrorizmus (4),kultúra (4),big data (4),email (4),genetika (3),pszichológia (3),molekuláris biológia (3),biztonságpolitika (3),CRISPR (3),Android (3),online marketing (3),sajtó (3),élettudomány (3),gépi tanulás (3),Onedrive (3),üzenetküldés (3),jelszó (3),2015 (3),orvosi-fiziológiai (3),Apple (3),Gmail (3),reklám (3),konferencia (3),webkettő (3),biztonságtudatosság (3),kriptográfia (3),levelezés (3),magatartástudomány (3),azelsosprint (3),popszakma (3),hype (3),open source intelligence (3),torrent (3),nyelvtechnológia (3),bejutas (2),tweak (2),villámokosság (2),cas9 (2),Yoshinori Ohsumi (2),Hacktivity (2),génterápia (2),fiziológia (2),természetes nyelvfeldolgozás (2),Reblog Sprint (2),bűnügy (2),Pécs (2),nyílt forrású információszerzés (2),webkamera (2),deep web (2),P2P (2),Netacademia (2),arcfelismerés (2),DDoS (2),Balabit (2),bűnüldözés (2),TOR (2),kulturális evolúció (2),ransomware (2),hitelesítés (2),SPF (2),Whatsapp (2),neuropszichológia (2),szabad információáramlás (2),FUD (2),DKIM (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),szociálpszichológia (2),tanulás (2),biológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Nem is etikus, nem is hekker, de egy sajtótermék sem maradhat le a dilivonatról...


BKK e-ticket ITsec sajtó felzárkóztatóAz a helyzet, hogy nem lehet kikerülni bizonyos hírekben megjelenő témákat, akkor sem, ha összeszorított farpofával szeretném, mert egyszerűen a csapból is az folyik. Képzelem, ahogy a műkörmös szalonban a szakértő hölgyek azzal kapcsolatban hüledeznek, hogy egy 18 éves diák jelentette a BKK e-ticket jegyvásárlását érintő sebezhetőséget, na jó, ez így bonyolult, inkább csak annyit mondanak egymás közt, hogy meghakkolták a Békákát, erre elvitték a zsaruk. Micsoda világban élünk, elviszik a hékek azt, aki csak segíteni akart. Nem röhögni! A 10 legolvasottab magyar sajtótermék szerintem ennél nem sokkal magasabb szinten tárgyalja vagy lényegében nem eltérő interpretációban tárgyalja a témát. De úgy fest, hogy még az IT-sek közt - na meg aki annak mondja magát - is sokaknál elszállt a séró', ezért gondoltam, hogy egy kicsit oszlatom a ködöt.

Miről is van szó ténylegesen?

A BKK és a T-Systems közösen egy netes jegyvásárlási rendszert vezetett be, aminek az alkalmazásában bennmaradt egy olyan hiba, amilyenre én tankönyvi hibaként szoktam hivatkozni, mert annyira triviális. Innentől kezdve úgy írom, hogy az a műkörmös is megértse, aki még nem látott forráskódot, az informatikában minimálisan is jártas műkörmösöktől pedig előre is elnézést kérek! Több hibáról van szó egyébként, a legegyszerűbbet fogom kivesézni. /*azt is pongyolán, amiért pedig azok elnézését kérem, akik értik, hogy miről van szó*/

Amikor egy alkalmazás/szolgáltatás/API adott típusú bemenő adatot, azaz például egy pozitív egész számot kér, mint amilyen pozitív egész egy BKK-bérlet ára forintban, akkor nyilván nem logikai értéket, negatív számot, éppenséggel a Despacito szám egyik sorát, mint sztringet, azaz karaktersorozatot fogja megkapni, hanem valóban pozitív egészet. Na már most, elvben nincs akadálya annak, hogy egy egész számot váró szolgáltatás más típusú adatot kapjon, viszont elemi, na még egyszer: _elemi_, hogy fel kell készíteni a szoftvert az ilyen eset kezelésére. Nyilván nem fordulhat elő véletlenül, hogy a rendszer a 9500, mint egész szám helyett /*egy havi bérlet ára forintban*/, a szerver felé - a továbbiakban: szerveroldalra - mondjuk a "Sí, sabes que ya llevo un rato mirándote" karaktersorozatot küldje vagy mondjuk egy logikai  értéket. Viszont kábé az első, ha nem nulladik dolog az, amit nem hogy egy éles üzembe állított rendszeren egy fekete kalapos hekkernek, fehér kalapos hekkernek vagy egy médiában kikiáltott balfácánnak kell ellenőriznie, hanem a tesztelőnek már az adott modulban ki kell szúrnia - módszertantól függően - mondjuk az unittesztelés során. És abban az esetben, ha azt észleli, hogy a fejlesztő annyira hülye volt, hogy egy ilyen egyszerű trükkre, azaz az adat on-the-fly átírhatóságára nem készítette fel a szoftver adott részét, alaposan dokumentálja, iszik egy felest, majd megpróbál egy kulturált levelet írni a fejlesztőnek, ami tartalmazza a javítással kapcsolatos instrukciókat /*részletekbe menően vagy kevésbé*/, aztán ez vagy sikerül européer stílusban vagy sem.

BKK e-ticket ITsec sajtó felzárkóztatóA leírt folyamatot, azaz azt, hogy egy szoftver ellenőrizze, hogy valid adatot kapott-e és nem egy nyári sláger első sorát karaktersorozat formátumban, esetleg egy olyan bitsorozatot /*nagy általánosságban fogalmazva*/, ami tetszőleges műveletet hajt majd végre a szerver oprendszerén vagy annak valamelyik szolgáltatásában röviden parserelésnek nevezzük, persze ez önmagában még mindig nem elég.

Azaz amellett, hogy leprogramozzák, hogy valami egész számot vár, biztosítani és ellenőrizni is kell, hogy oda csak egész szám kerülhet, majd továbbítódhat-e.

írok egy olyan sebezhetőséget, de én inkább tweaknek nevezném, ami gyakorlatilag dettó ugyanerre épül, pont az előző posztban írtam róla, csak én nem egy szaros jegyvásárlási rendszerrel csináltam meg, hanem a Facebookkal, másrészt nem azért, hogy én legyek egy hétig a nemzeti Robin Hood, hanem azért, mert praktikusnak találtam. A következőről van szó: a Facebook egész számokkal azonosítja a jogosultságokat - többek közt - azaz, hogy valaminek a láthatósága, eléghetősége Only me, Friends, Friends of Friends vagy Public/Everyone vagy egy általad definiált, ismerősöket tartalmazó lista. Azaz amikor a Facebookon beállítod, hogy ki jelölhet be ismerősnek, azaz "Who can send you friend requests?", akkor alapvetően egy egész számot továbbít és rögzít a rendszer. Évekkel ezelőtt észleltem, hogy éppen ennek az azonosítónak az átírásával a Facebook olyan beállítást is elfogad, aminek konkrétan nincs értelme, azaz például, hogy csak önmagamat jelölhetem ismerősnek, csak a barátaim jelölhetnek ismerősnek [nem is tudnak, mert eleve a ismerőseim ugye], de még olyat is, hogy az ismerőseim egy listában tárolt része jelölhet ismerősnek, ami ugye még elborultabb. Viszont minden ilyen szokatlan beállításnak az lett az eredménye, hogy konkrétan senki sem tudott ismerősnek jelölni - hál' Istennek - akit eléggé érdekesnek találtam, azt úgyis bejelöltem én. /*csak egy üres listába tartozó felhasználók "tudtak" ismerősnek jelölni*/ Mi történt? Az, hogy a Facebook nem ellenőrizte, hogy értelmes beállítást kap-e egyáltalán, azaz hogy csak olyanok jelölhetnek ismerősnek, akivel van közös ismerősöm vagy éppen mindenki. Ez a bemenet valószínűleg nem volt parserelve vagy parserelve volt ugyan, egyéb helyen eltolva. Az előző posztban írtam, hogy ezt a beállítást a mobilappon sikerült elállítanom, viszont az évekkel korábbi módszerrel visszaállítani nem sikerült, ami bosszantott pár percig, aztán nem érdekelt.

BKK e-ticket ITsec sajtó felzárkóztatóAmi a BKK jegyrendszerét érinti, meggyőződésem, hogy a legvadabb hibákat egymástól függetlenül több százan szúrták ki, mert annyira triviálisak. Volt és sejthetően még mindig van benne néhány sokkal súlyosabb hiba is, ami ennyire röviden nem magyarázható el Ádámtól-Évától. Nem világos, hogy mennyien jelentették a hibát, az igen, hogy végülis volt egy jól beazonosítható, 18 éves gyerek is, aki igen. Innentől különösen fontos egészében nézni az eseményeket, mert elképesztő zavar van a fejekben.

Nem tisztem megvédeni a T-Systems-t, és nincs is rá szükségük - bár ilyen PR mellett ki tudja - de szó sincs róla, hogy a nagy, gonosz, hülye, bugyirózsaszín IT-cég vagy épp a BKK szemétkedésből tett volna feljelentést, hanem azért, mert ilyenkor jogszabályi kötelessége feljelentést tenni! Igen, még akkor is, ha világos, hogy pont annak a 18 éves srácnak az évszázad hakkolásával' együtt a társadalomra való veszélyessége nem is mérhető. Mindemellett a T-Systems kríziskommunikáció szempontjából megbukott, alighanem senki sem mert időben beleállni a dologba azzal, hogy köszönik, hogy a hibát jelentették, de azért a feljelentést meg kellett tenniük. Akinek nem világos, hogy ez miért van így, annak fingja nincs róla, hogy hogyan működik ez az egész. Ami pedig a Készenléti Rendőrséget illeti - amelyiket ugyancsak nem kell megvédenem - onnantól kezdve, hogy érkezik hozzájuk egy ilyen feljelentés, nem gusztus dolga, hogy eljárnak vagy sem, hanem szintén a törvény betűjét követve kell eljárniuk, akkor is, ha az sajnos az adott esetben életszerűtlen és aránytalan intézkedést ír elő, mint amilyen az előállítás. Azt azért szögezzük le, hogy nem éjszaka jelentkezett a hatóság, hanem reggel 7-kor, nem rúgták rá az ajtót, hanem kopogtattak, ami pedig az előállítást illeti, senki sem gondolhatja komolyan, hogy vezetőszáron kellett volna bevinni a gyereket Hannibal-maszkban. Azaz a Rendőrség, amelyiknek a tagjai már teljesen megszokták, hogy általában teljesen igazságtalanul élcelődik rajtuk a plebs, ugyancsak jogszerűen jártak el.

Egészében az eljárás - ahogy egy, az Ibtv. /*aka 2013. évi L. törvény*/ megalkotásában részvevő ismerősöm megjegyezte, jogszerű volt, de szégyenletes.

Na most ami a sajtót illeti, az egész hírértékét az adta, hogy mégiscsak egy jókora céget mogyoróztak meg, a szoftver lefejlesztésében tényleg orbitálisan nagy hibák vannak, az már mindegy, hogy mik, lehet hülyézni és kész. Ilyen esetben egyetlen nagyobb sajtóorgánum sem teheti meg, hogy ne szálljon fel a dilivonatra és tolja a hülyeséget, ezen kívül szokásosan mindenki egyszerre lesz telekommunikációs szakjogász, na meg a műszaki etika szakértője egyszerre.

A szerencsétlen módon előállított csávó pedig nem is etikus, nem is hekker, ami pedig legalább ilyen fontos, hogy vagy eszelősen naiv volt vagy eszelősen hülye.

A bugreporting, azaz egy-egy sebezhetőség bejelentése már-már külön tudomány, már ha úgy akar valaki eljárni, hogy abból senkinek se származzon kára, ő is legyen jogilag védve, nem mellékesen pedig a felhasználók is, akiknek az adatai pont egy-egy ilyen pszeudo-full disclosure miatt kerülhettek veszélybe, már ha igaz, hogy még az e-ticketes ügyféladatbázis is lopható volt.

Azaz ha észlelünk egy hibát, akkor nem, nem ész nélkül, azonnal jelentjük saját néven, tök hülyén, hozzátéve, hogy Proof-of-Concept, a sebezhetőséget még ki is használtuk, hanem megkérdezzük a területen jártas jogászt, utánakotrunk, hogy milyen policy szerint érdemes a hibát jelenteni a konkrét esetben, ha meg minden kötél szakad vagy csak nincs cérnánk ilyen részletekkel tökölni, akár teljesen névtelenül jelentjük. Aztán ha még továbbra sem javítják, akkor jöhet a full disclosure, gusztus, na meg vérmérséklet kérdése, hogy mennyi idő várakozás után. Tipikusan egyébként már az nem egyértelmű, hogy a hibát hova lenne érdemes jelenteni, azaz hogyan érhető el a tényleges responsible contact, mert egy sima, ügyfélszolgálati címre küldött email biztos, hogy nem az. Nem nehéz rájönni, hogy az ügyfélszolgálatok nem ilyen típusú minősített adatokkal dobálóznak nap, mint nap, sok-sok kézen megy keresztül a bug részletes leírása, aztán jó esetben senki sem használja ki, aki olvasta. Például akinek az ügyfélszolgálatos véletlenül elmondja, aztán akinek elmondta vesz 1000 darab havi bérletet 10 forintért, ami pedig a bejelentést illeti, majd vagy eljut az illetékeshez vagy sem.

BKK e-ticket ITsec sajtó felzárkóztatóAkinek van egy csöpp esze szinte mindig úgy dönt, hogy nem tököl-kockáztat, ha hibát talál, eljuttatja annak a körnek, amelyik a legnagyobb valószínűséggel illetékes és nyugodtan alszik a bejelentő. Illetve amikor valami nagyon meredekről van szó, akkor olyat kell kérdezni előzetesen, aki meg tudja jósolni, hogy egy bejelentést követően mire lehet számítani.

Na most egy olyan világban, ahol az emberek már akkor sértve érzik a magánszférájukat, ha valaki, akivel ismerkednek netes társkeresőn vagy anonim fórumon, aztán meg meg vannak lepődve, ha a másik megtalálja őket a keresztnevük és a koruk vagy egy általuk kedvelt oldal vagy meglátogatott esemény alapján /*igen, ennyi pontosan elég hozzá*/, akkor se a jogalkotóktól, sem a megoldásszállító cégektől, se a sajtótól, se a hatóságoktól nem várható el, hogy életszerűen tudjanak kezelni egy ilyen helyzetet.

Konkrétan ebben az esetben senki se jöjjön azzal, hogy inkább jutalmazni kellett volna a srácot, mivel totálisan töketlen volt a hiba bejelentése, az eset valamire azért nyomatékosan felhívja a figyelmet. Mégpedig arra, hogy bárki, akár etikus hekker, akár advanced user, akár érdeklődő, ha rendelkezik olyan ismerettel, amivel az átlag felhasználó nem, inkább tartsa a dolgot titokban, de komolyan! Ugyanis ez akár igazságos, akár nem, de a többség totálisan félreérti az egészet, elég egy kommunikációs botlás és már megállíthatatlanul borul is az illetőre a trágyalé. Hogy mást ne mondjak, sokszor egy tényleges informatikai bűncselekmény kapcsán nem azon kerültek a lehetséges gyanusítottak körébe sokáig, akiknek érdekükben állhatott az elkövetése, hanem azok, akikről tudvalevő volt, hogy technikailag képesek rá, ami nettó őrület, de így van. A Google- és Facebook-fiókhardeningelős posztjaim után halomra kaptam a segghülye leveleket azzal kapcsolatban, hogy én mennyiért törnék fel ilyen-olyan accountot. Szóval ennyire nem értették meg néhányan, amiről azt hittem, hogy egyértelmű annak, aki nem analfabéta, nevezetesen, hogy a cikkek lényegi mondanivalója nem az, hogy hogyan törjünk FB-fiókot, hanem az, hogy hogyan csökkenthetjük a rizikóját annak, hogy megtörténjen. A gyógyszerész is tud mérget keverni, de aligha fog, hiába kéri tőle valaki jópénzért. Hasonlóan, aki tud hardeningelni, nyilván törni is, de nem fog.

Tudsz valamit? Tagadd le! De tényleg! És akkor nem fognak lehekkerezni meg összemosni mindenféle idiótával. Majd akkor lehet előhozakodni security- és privacy-related tudással, amikor az a közeg, amiben élünk, kellően érett lesz hozzá, addig inkább ne.

Na, én most megyek, keresek az utcában egy lakatosként dolgozó szomszédot, hogy este elmenjünk buliból betörni, aztán majd szelfizünk egyet a kinyitott ajtó előtt, szigorúan úgy, hogy látszódjon az utca és a házszám, majd töltjük is fel a Fészre, betaggelve a kerületi rendőrség oldalát...

kép: Knowyourmeme

26 Tovább

Információbiztonság és az írástudók felelőssége


ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtViszonylag gyakran szokták mondani, hogy a tömegtájékoztatás feladata a minél pontosabb, gyorsabb és hiteles tájékoztatás, azaz egy-egy hír közzétételének esetleges következményei miatt már nem vonható felelősségre a hír előállítója. Személyes véleményem, hogy ez még akkor sem állná meg a helyét bizonyos esetekben, ha egy hírt teljesen objektíven közölnének.

1992. áprilisában Los Angelesben négy rendőr igazoltatott gyorshajtás miatt egy fekete sofőrt, aki ellenszegülni próbált a közúti ellenőrzés során, mire a négy – nem mellékesen fehér illetve hispán – rendőr alaposan helybenhagyta, amiről videófelvétel készült, majd megjelent a helyi televízióban. Ezt követően nem sokkal elszabadult a városban a pokol: szinte példátlan lázadás tört ki a városban, a keletkezett kárt egymilliárd dollárra becsülik, több, mint ötven fő életét vesztette, a rend helyreállításához többek közt a nemzeti gárdát kellett segítségül hívni. Ami külön érdekesség, hogy a példásan liberális amerikai sajtó történetében szinte példátlan módon bírósági végzés született azzal kapcsolatban, hogy a felvételt tilos a továbbiakban bárhol is közzétenni, persze már késő volt.


A sok-sok tanulság közül amit mindenképp kiemelnék, hogy a tömegtájékoztatásnak egészében igenis van felelőssége, másrészt akár egy-egy hír esetén is mérlegelni kell, hogy annak közzététele nem sért-e olyan mértékben közérdeket vagy társadalmi érdeket, hogy az már masszívan szembe megy azzal a társadalmi érdekkel, amit a sajtó hivatott szolgálni.

Bizonyos területeken a teljes sajtóhoz viszonyítva szokatlanul gyakran találkozni olyan információval, aminek az idő előtt történő közzététele súlyos érdeksérelemmel járna. Ez az oka annak, hogy ha a tesztelők, külső etikus hekkerek például a pénzintézeti adatbázisok de facto standardjának tekintett Oracle motorban találnak valamilyen sebezhetőséget egy adott bank esetén, akkor ennek a részleteit csak azt követően teszik közzé, miután az érintett bankot tájékoztatták és a hibát kijavították. A kutatók véleménye megoszlik azzal kapcsolatban, hogy melyik a legjobb reporting gyakorlat, az ún. partial disclosure, azaz amikor csak érzékeltetik egy-egy érintettel, hogy a rendszerében hiba van vagy esetleg a full disclosure, amikor a hibát teljes egészében, minden részletével együtt közzéteszik, így kényszerítve például az érintett pénzintézetet, hogy a hibát azonnal javítsa. Az utóbbi nyilván az a kockázatot hordozza magában, hogy a hibát kihasználhatja egy támadó még az előtt, mielőtt a szóban forgó hibát javítani tudnák.

Nemrég vettem részt egy kicsi, ámde kiváló szakmai rendezvényen, ahol az ország egyik legelismertebb etikus hekkere beszélt a Sony Entertainment elleni támadásról. A Sony elleni támadást a fősodrú média, ahogyan ez lenni szokott, úgy mutatta be, mintha egy igencsak kifinomult, nagy szakértelmet igénylő, nehezen kivédhető támadásról lett volna szó. A látványos breach-ekről olvasva rendszerint az olvasókban az a benyomás alakul ki, hogy itt aztán tényleg egy komoly technikai bravúrt hajtottak végre valamiféle guru csúcshekkerek.

És ez baj. Komoly baj.

Kisebb részben azért, az olvasókban torz benyomást alakítanak ki az információbiztonsággal foglalkozó közösséggel kapcsolatban, ha a prosztó módon, amatőr módszereket használó támadókat úgy kezeli a mainstream sajtó, mintha tényleg hekker guruk lennének. Egyrészt ez sérti azok önérzetét, aki tényleg értenek hozzá, másrészt a tömegekben össze fog kapcsolódni az információbiztonsággal kapcsolatos tevékenység a számítógépes bűnözéssel. Egyszerűbben fogalmazva: simán elképzelhető, hogy egy laza, de személyes ismerősömnek hozzáférnek valamilyen netes fiókjához, aztán azt fogja gondolni, hogy biztosan én voltam úgy szórakozásból, csak azért mert úgy gondolja, hogy én képes lehetek rá.

Mi a másik súlyos következménye annak, ha a hírekben megjelenő támadásokkal és támadókkal kapcsolatban téves kép él az emberek fejében? Ahogy a meetup előadója nagyon frappánsan megfogalmazta, egyfajta nihilisata hozzáállás felé sodorja a felhasználókat. Azaz aszerint a séma szerint fognak gondolkozni, hogy fölösleges odafigyelni az információbiztonságra, hiszen "úgyis van valaki", aki fel tudja törni a hozzáféréseit, ha nagyon akarja. Ennek a nihilista hozzáállásnak lehet következménye vagy ha úgy tetszik tünete, hogy manapság a gépek közel felén semmilyen antivírus szoftver nincs telepítve. De alighanem a jelenség része az is, hogy a végfelhasználók nem titkosítják az adataikat, holott ez mindössze néhány kattintás lenne már a Windows XP elterjedése óta, illetve már közhely emlegetni, hogy gyenge jelszavakat használnak, ráadásul több helyen azonosat. Korábban már részletesen taglaltam, hogy miért nem mondhatja senki azt a mai világban, hogy "az én adataimra senki sem kíváncsi".

Visszatérve az előadásra, a Sony elleni támadást valószínűleg nem az Észak-koreai kormány követte el, de ha már hírbe hozták őket, nyilván nem mondták azt, hogy nem ők voltak. Gondoljunk csak bele, ha történne egy olyan kísérleti atomrobbantás, amire felfigyel a fél világ, de csak hírbe hoznák Észak-Koreával, az fix, hogy nem tiltakozna kézzel-lábbal a diktatúra jóllakott napközis hülyegyereke Kim Jong Un személyében azzal, hogy nem ő voltak.

A Sony elleni támadás kivizsgálása során kiderült, hogy a cég éveken keresztül tömegesen kapott teljesen közönséges adathalász leveleket, így csak idő kérdése volt, hogy minél több alkalmazott hozzáférését tudják elhappolni. Ezen kívül természetesen a kutatók visszafejtették azoknak a kémprogramoknak a kódját, amiknek szerepet tulajdonítottak az adatlopásban, abból pedig kiderült, hogy ha nem is egy kontármunkáról van szó, több jel is arra utal, hogy a támadók igencsak béna módon hagytak nyomokat maguk után.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtNem merülnék technikai részletekbe, de lényeg, hogy a klasszikus vírusokat, rootkiteket, spyware-eket, a professzionális támadók úgy írják meg, hogy azok visszafejtése után ne lehessen következtetni a kilétükre illetve arra sem, hogy a rosszindulatú program milyen korábbi kártékony kód továbbfejlesztése lehet. Erre példa az első valódi informatikai fegyvernek tekintett, urándúsító üzembe bejuttatott Stuxnet és az abból származtatott, később azonosított csúcskártevők, amiknél nemcsak arra nem lehet következtetni, hogy melyik állam állhatott a létrehozásának hátterében, de sokszor még olyan részleteket is elhelyeznek ezekben a malware-ekben, amik megpróbálják félrevezetni a kutatókat!

Ehhez képest a bénább kártevők írói egy halom olyan jellegzetességet hagynak a kártevőjükben a programozásuk során, ami később könnyebben azonosíthatóvá teszi őket.

Az is szóba kerül, hogy az olyan rémes buzzwordök, mint a "nulladik napi sebezhetőség", vagy "szofisztikált támadás" eleve gyanakvásra adnak okot a figyelmes olvasókban.

Hatalmas hiba lenne figyelmen kívül hagyni, hogy a média mellett az IT biztonság is egyre meghatározóbb biznisz, így az bizonyos informatikai biztonsági megoldásokat kínáló cégek jórésze ki is fogja a szelet a vitorlából és a kommunikációjukat szándékosan úgy alakítják, hogy azzal maximalizálják a bevételüket azon keresztül, hogy eladnak olyan terméket is az ügyfeleiknek, amikre valójában nem is lenne szükségük vagy éppenséggel nem olyan módon. Nem is tudom már, hogy hol olvastam, de hatalmas igazság, hogy nem a biztonságot szavatoló technológiai megoldást kell eladni, hanem a biztonság érzetét. Ami nyilván sokkal könnyebb, ha bizonyos szintű félelemérzetet keltenek az ügyfelekben.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubt

Ebben pedig a fősodrú média nagyon gyakran akaratlanul és tudattalanul partner, mi több, a jelenségnek már réges-régen neve is van: FUD, azaz fear, uncertainty, doubt.  

A FUD mögött gyakran könnyen felfedhető az üzleti érdek, ha magyar példát kell hoznom, alighanem nagyon sokan emlékeznek rá, amikor a szolgáltatók a mobiltelefonálás hőskorában azt állították, hogy a mobil függetlenítése olyan bűncselekmény, amiért börtön jár, holott, nem több, mint egy polgárjogi szerződésszegés a telkószolgáltató és az ügyfél közt, de ilyen miatt még az életbe nem indult per az országban. Az már más műfaj, amikor valaki tömegesen és pénzért halomra függetlenítette a mobilokat. Amikor a szolgáltatók látták, hogy ezzel nem lehet gátolni a folyamatot, később azt hangoztatták, hogy a függetlenítés károsítja a mobilt, ami a régi mobilok esetén szintén nem volt igaz.

De ha FUD-ról van szó, a legkomolyabb, leginkább autentikusnak nevezhető cégek is nyilatkoztak már olyan módon, hogy amögött az üzleti érdekek eléggé világon kivehetőek voltak. Például az Apple nem kevesebbet állított néhány évvel ezelőtt, mint hogy a jailbreakelt mobilok kinyírhatják a mobil adótornyokat, míg hivatalosan egy szó sem esett sokáig a jailbreakeléssel járó valós kockázatokról.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtÁtverések és visszaélések persze a net előtt is léteznek, – kultúrafüggően ugyan – sokszor addig nem szorultak vissza, amíg valaki a saját bőrén nem tapasztalta meg azt a kárt, amit azzal szenvedett el, hogy átverték olyan esetben, amikor tevőlegesen ő maga tette mindezt lehetővé. Az már látszik, hogy a netes közegben teljesen hasonló a helyzet, a kérdés csak az, hogy szervezeti szinten milyen módszerek lehetnek a leghatékonyabbak arra, hogy mintegy immunizáljuk az alkalmazottakat a tipikus átverésekkel szemben.

A social engineering élt, él és élni fog… A rendezvény végén több gondolatindító kérdés is felmerült azzal kapcsolatban, hogy a gyakori, nagy kockázattal járó és emberi gondatlanságból adódó incidenseket hogyan lehetne megelőzni figyelembe véve azt, hogy a céges hálózatokba érkező kártevők több, mint fele email csatolmányként érkezik, amit egyszerűen csak nem kellene megnyitni, nem is beszélve a klasszikus adathalász levelekről, amit egyre inkább személyre szabottan próbálnak eljuttatni egy-egy címzettnek. Ismétcsak úgy tűnik, hogy a technikai fejlődéssel és benne lévő kockázatokkal egyszerűen nem tudott lépést tartani kultúránk, nem tartom kizártnak, hogy ezt lényegesen siettetni nem is lehet. Azaz a technikai evolúciót utolérni sincs esélye a kulturális evolúciónak, ugyan előremutatónak tűnnek azok az ötletek, mint például az, hogy a biztonságtudatosságra egészen a kezdetektől kellene szocializálni mindenkit kisiskolás kortól.

Ha visszaélésekről van szó, világos, hogy mik nem jelentenek megoldást. Például a Magyarországon ezerszer módosított, információs önrendelkezésről szóló törvény a netes közeg vonatkozásában annyit nem ér, mint amennyi a papír, amire valaha is kinyomtatták: még évekkel ezelőtt a jól ismert fikaoldalak a jog betűjére teljesen fittyet hányva hordták fel a felhasználók közösségi webes szolgáltatásból származó fasztortás, bepiálós vagy más módon kínos fotóikat, a törvénynek semmiféle visszatartó ereje nem volt. Viszont eléggé világosan látszik, hogy a náluk néhány évvel fiatalabb és rugalmasabb, most 14-22 éves generáció már jóval elővigyázatosabb azzal kapcsolatban, hogy mit tesz közzé a neten, ha a nagy átlagot nézzük. Azaz a technológiai kockázat és az internet természete maga szankcionálta a felhasználót a saját hülyesége miatt, aminek a hatása néhány év alatt érezhető lett.

Egy munkahelyek ugyanakkor nem tűnik túl életszerű megoldásnak az, hogy a fertőző hivatkozásokra kattintó vagy Google Docs-ban érzékeny adatokat feltalicskázó alkalmazott felkerüljön mondjuk egy hülyetáblára és más szankcionálási formák is vélhetően inkább a szervezeten belüli feszültséget növelnék, mint a biztonságtudatosságot, éves, évtizedes beidegződések nem változtathatóak meg csak úgy.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtAz Adecco IT Academyben különösen az tetszett, hogy különböző területről érkezett szakértők, érdeklődők oszthatták meg a tapasztalataikat, aminek hatalmas előnye, hogy ekkor olyan új következtetésekre juthat az érdeklődő, amire egy szűkebb körnek szóló szakmai rendezvényen alighanem kevésbé.

0 Tovább

Kém-casting - képzelt párbeszéd egy lapigazgatóval


Van két dolog, amiről egy szót nem terveztem írni, az egyik a hír, ami röviden úgy foglalható össze, hogy "juj, jönnek a kémek a szerkesztőségekbe", a másikról pedig pláne nem, egy szakmai rendezvényről, amin a napokban vettem részt.  
 
A minap egészen remek szakmai rendezvényt sederítettek itthon egyik nagyon reprezentatív budapesti épületében, ahova meghívást ugyan nem kaptam, mivel a meghívott vendégek jórészt a hivatásos rendvédelmi szervek szakértői, vezetői voltak, jóval kisebb számban pedig olyanok, akik ezeknek a szervezeteknek valamilyen beszállítói vagy külső szakértői. Természetesen abban az esetben, ha valami végülis a tudományt szolgálja, más vagy mások érdekeit pedig nem sérti az ottlétem, ráadásul erősen a kutatási területembe vág, bemegyek én,  meghívó ide vagy oda.  
 
A rendezvényről sokat mond, hogy a neten annál több információ nem nagyon lelhető fel, hogy mikor és hol, az épületbe belépéskor TEK alkalmazottai mágneskapun terelték keresztül még az atyaúristent is és persze végig figyelték a rendezvényt, az ebédnél nem volt ülésrend, ezért leültem egy helyre, ami éppen szabad volt, ekkor a velem egy asztalnál ülők pedig azonnal befejezték azt a témát, amiről addig beszéltek. Ha mindez nem lenne elég, az egyik szekción való részvétel az épületen belül plusz beléptetést igényelt és feltétele volt a nemzetbiztonsági ellenőrzéshez kötött ún. személyi biztonsági tanúsítvány, ami viszont nekem nincs, ugyan volt rá ötletem, hogy hogyan hallgathatnám meg az engem érdeklő ottani előadásokat, nem kockáztattam meg, hogy kidobjanak.  
 
Ezzel gyakorlatilag egyidőben ásta elő az Index a "sajtókémtörvényt", amit egy friss Origo-cikk szerint már vissza is vontak.


Mivel csak este voltam gép előtt, épphogy tudtam az egészről és az jutott eszembe, hogy mekkora farmermellényes manír már az élettől, hogy amíg azt a gumicsontot rágják, hogy kémek mehetnek-e szerkesztőségekbe – már ha egyáltalán ez volt a törvény értelmezése – közben épp fordítva, erről mit sem tudva, mondjuk úgy egy érdeklődő ember, mint magánszemély, beballag a kémek közé a tudását gyarapítani. Félreértés ne essen, nem valami überelhetetlenül nagy titkot akartam megtudni, csak érdekelt pár előadás. Azt az apróságot most ugorjuk át, hogy van tiszt, fedett nyomozó, egyebek de olyan, hogy "kém" meg "titkosügynök", maximum a konyhanyelvben.  
 
Ha mindez még nem lenne elég, éppen most egyezkedek egy dög nagy hazai hírportállal egy szorosabb együttműködésről, akiknek ráadásul írtam, hogy kizárólag velük dolgoznék, másrészt meg azt, hogy a saját nevemen nincs szakirányú tapasztalatom a tartalomszolgáltatás terén olyan értelemben, hogy hivatalosan soha nem irkáltam sehova. Nos, ők ezt a posztot alighanem olvassák, nem tudom, hogy mekkora az esélye a dolognak, de ha ezt összevetik az eheti kémtörvény tervezetével vagy mi az ördöggel, esetleg gondolhatják azt, hogy kémkedni mennék hozzájuk, mi másért.  
 
Az egész kémtörvény hype-ot egyébként alapvetően az a hírportál csinálta, amelyik felkapta kiszúrta eredetileg az egészet, ami pedig a közkeletű értelmezését illeti, na, az úgy hülyeség, ahogy van. Ahelyett, hogy belemennék annak az eleve fárasztó témának a magyarázatába, hogy 2015-ben akár a TEK-nek, akár a Szakszolgálatnak, akár az Szervezett Bűnözés Elleni Koordinációs Központnak, akár az IH-nak teljesen fölösleges lenne ténylegesen beküldeni valakit egy nagyobb szervezethez, jelen esetben tartalomszolgáltatóhoz azért, hogy ott megfigyeljen vagy manipulálni tudjon, inkább egy képzelt párbeszédet írok le.  
 
KÉM: Jó napot kívánok, a főnököm utasítására Önöknél kellene holnaptól dolgoznom. 
LAPIGAZGATÓ: Jaaa, vagy úgy? A kémtörvény miatt. Nem tudjuk, hogy ilyenkor mi az eljárás, de megdumáljuk valahogy, jó? 
KÉM: Oké, amúgy még nekem sem mondták el, hogy mit kellene csinálni, meg mi az, amit az IT infrastruktúrán keresztül, egyéb titkos adatszerzéssel ne tudnánk meg Önökről és nem tudnánk dezinformálni, manipulálni, de hát tetszik tudni, hirtelen találták ki ezt az egészet. Amúgy meg nem kell tartaniuk tőlem, végülis törvényhez kötött, hogy mikor mit tehetek, még ha salátatörvényhez, akkor is.  

LAPIGAZGATÓ: Hát ez van sajnos, de majd megoldjuk. Egyébként dolgozott már szerkesztőségben?  

KÉM: Hátőőő, még nem.  

LAPIGAZGATÓ: De azért talán valami hobbi blogja vagy legalább Tumblr-je csak van, nem?  

KÉM: Az sincs, még életemben nem írtam, meg középsuliban sem voltam jó magyarból.  

LAPIGAZGATÓ: Húha, akkor hogyan osztjuk meg a feladatot? Felveszünk plusz egy újságírót, aki effektív dolgozik Ön helyett, ameddig Ön meg kémkedik?  

KÉM: Tényeg nem tudom, mondjuk addig a 9GAG-ről válogathatok vicces képeket főállásban, ha az önöknek megfelel.  

LAPIGAZGATÓ: Végülis mi annyira nyereségesek mondjuk nem vagyunk, hogy szórjuk ki a pénzt és felvegyünk két személyt főállásba azt sem tudjuk, hogy miért, de remélem azért erre valamilyen költségtérítést csak adnak. Egyébként ha mi adunk önnek fizetést, emellett kap még a rendvédelmi szervtől is?  

KÉM: Hát hogyne kapnék!  

LAPIGAZGATÓ: Akkor ki tudunk egyezni egy minimálban' nem?  

KÉM: Én mondjuk arra gondoltam, hogy fizethetnének annál azért kicsit többet. Ez nem olyan mondjuk, mint titkos adatgyűjtés céljából diplomatákkal dumálgatni külföldön, de azért mégiscsak plusz munka, érti.  

LAPIGAZGATÓ: Nem nagyon. De mindegy, mondjon egy összeget, aztán kifizetjük. Ja és ennek ugye titkosnak is kellene lennie a teljes szerkesztőség előtt?  

KÉM: Ami azt illeti igen, de csak nem veszik észre sokan, ha nulla újságírói múlttal beülök főállásban hétfőtől minden nap? Áh, ha Redditet böngészek 9GAG helyett akkor talán nem. Vagy mégis?  

LAPIGAZGATÓ: Végülis... Majd meglátjuk.   

0 Tovább