About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (37),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (11),social web (9),biztonság (8),mobil (8),OSINT (6),jog (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),Google (5),email (5),molbiol (5),felzárkóztató (5),szájbarágó (5),webcserkészet (5),plágium (4),Nobel-díj (4),kriminalisztika (4),terrorizmus (4),big data (4),kultúra (4),genetika (3),pszichológia (3),molekuláris biológia (3),biztonságpolitika (3),CRISPR (3),Android (3),online marketing (3),sajtó (3),élettudomány (3),gépi tanulás (3),Onedrive (3),üzenetküldés (3),jelszó (3),2015 (3),orvosi-fiziológiai (3),Apple (3),Gmail (3),reklám (3),konferencia (3),webkettő (3),biztonságtudatosság (3),kriptográfia (3),levelezés (3),magatartástudomány (3),azelsosprint (3),popszakma (3),hype (3),open source intelligence (3),torrent (3),nyelvtechnológia (3),bejutas (2),tweak (2),villámokosság (2),cas9 (2),Yoshinori Ohsumi (2),Hacktivity (2),génterápia (2),fiziológia (2),természetes nyelvfeldolgozás (2),Reblog Sprint (2),bűnügy (2),Pécs (2),nyílt forrású információszerzés (2),webkamera (2),deep web (2),P2P (2),Netacademia (2),arcfelismerés (2),DDoS (2),Balabit (2),bűnüldözés (2),TOR (2),kulturális evolúció (2),ransomware (2),hitelesítés (2),SPF (2),Whatsapp (2),neuropszichológia (2),szabad információáramlás (2),FUD (2),DKIM (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),szociálpszichológia (2),tanulás (2),biológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Villámokosság: a FB kérdés nélkül közzétette a születési időd


Facebook social media születési dátum privacy villámokosság

A Facebook nemrég felhasználók tömegének születési dátumát láthatóvá tette, függetlenül attól, hogy annak láthatóságát a felhasználó korábban hogyan állította be.

Tekintettel arra, hogy nem kevés helyen az ügyintézésnél az ügyfelet többek közt a születése napja alapján azonosítják vagy például a kellően szigorúan beállított más webes szolgáltatás esetén az elfelejtett jelszó újból történő megadása csak a születési dátum megadása után lehetséges, ez az adat bőven az érzékeny adatok körébe tartozik.

Miről is van szó? Nem láttam, hogy máshol cikkeztek-e róla, konkrétan ma vettem észre, hogy gyanusan sok, tetszőlegesen kiválasztott felhasználónál látható a születési éve és dátuma.  Más számára kicsit zavaros lett volna a dolog, én viszont azonnal láttam, hogy dátumról van szó, az iszlám naptár szerinti formátumban. Amiből ugye nem nagy művészet átkonvertálni a Gergely-naptár szerinti formátumra.

Messze nem ez az első olyan eset, amikor a Facebook úgy fedett fel tömegesen adatokat mindenki számára elérhető formában a saját felhasználóiról, hogy azt még csak nem is jelezte előzetesen: amikor évekkel ezelőtt mindenki kapott email-címként is működő nicknév@facebook.com formátumú email címet [ezt a feature-t egyébként kivezették], érthetetlen módon ezzel együtt a felhasználó által korábban megadott email-címeket tette láthatóvá.

Érdemes fejben tartani: a születési dátumot csak olyan szolgáltatásoknál adjuk meg, ahol ez feltétlenül szükséges és ne tegyük láthatóvá!

UPDATE: a lényegen nem változtat, de úgy fest, hogy akkor jelenítette meg a felhasználók születésnapját tömegesen az iszlám naptár szerint, ha a Facebook nyelvi/területi beállításai azt feltételezték a felhasználóról, hogy az arab országok valamelyikéből netezik

0 Tovább

Villámokosság: a Facebook titkos üzenetmappája


villámokosság Facebook social media social web üzenetküldésTöbb nagy-nagy lap is majdhogynem egyszerre, újdonságként írt róla, hogy a Facebook rendelkezik egy bűvös "titkos üzenetmappával", ami egy egyszerű trükkel persze meg is jeleníthető. Azt most hagyjuk, hogy komoly helyeken ezeknek a cikkeknek akkor lenne értéke, ha akkor írják meg, amikor az új funkciót bevezetik, nem hónapos vagy éves késéssel, de erre még visszatérek.

Korábban már írtam, róla, hogy a Facebook üzenetszűrési logikája az idő folyamán milyen evolúción ment keresztül és ezt bizony figyelembe kell vennie annak, aki használja a FB-t üzenetküldésre, ne adj' Isten, elsősorban azt használja levelezésre.

Az email küldésnél eléggé egyszerű a helyzet, a feladó a levelet feladja, a címzett pedig fogadja, ha azt nem nyelte el a spamfilter valamelyik szinten. A Facebookon gyakorlatilag nincs két ugyanolyan üzenetküldés, ugyanis a FB a feladó és a címzett közti finom kapcsolatokat is figyelembe veszi, mint például azt, hogy ha nem ismerősök, van-e közös ismerősük, tartoznak-e közös csoportba vagy azonos-e a munkahelyük és még ki tudja, hogy mit, az első üzenetküldést követően ez dönti el, hogy a címzettnél az üzenet egyből az Inboxban fog megjelenni vagycsak a  Message requests mappában. Újabban szerencsére már gyakrabban benéznek a felhasználók. Van viszont két eset, amikor az üzenet gyakorlatilag elveszett: ha a Facebook túlságosan spamgyanusnak vagy scamgyanusnak talál egy üzenetet, az a "filtered requests" kategóriába kerül, amit szinte már sosem néz meg a felhasználó, esetleg csak webes felületről érhető el, de az is előfordulhat, hogy az üzenet egyszerűen nem kézbesítődik.

Éppen ezért időnként érdemes megnézni a Message reuqests mappán túl azt, hogy mi jelenik meg, ha azon belül a Filtered message reuqests-re kattintunk a Message requests-en belül. Persze snaszos, hogy jórészt tényleg egy jó adag spamen kívül nem nagyon van ott semmi, ahogy a felkéréseket tartalmazó mappa is, itt is előfordulhat tévesen számunkra irrelevánsként félreosztályozott üzenet, ami a fenti ábrán látható módon jeleníthető meg teljes egészében.

A dologban a webergonómiai megvalósítás a legirritálóbb: azaz, hogy a rendszer nem hívta fel a figyelmet a bevezetéskor sem arra, hogy van egy kvázi-spamfolderként is működő mappa, így a felhasználók azt sosem nézik meg, a hozzájuk érkezett levelek egy részét ennek megfelelősen sosem olvassák el.

Nem először fordult elő velem, hogy egy témával kapcsolatban úgy gondoltam, hogy túl általános vagy köztudott ahhoz, hogy írjak róla, aztán amikor újdonságként megjelent egy-egy szépnevű nemzetközi lapban, még mindig nem tudtam eldönteni egy ideig, hogy érdemes-e posztolni róla, ez esetben is erről volt szó. Mostantól viszont fogok, ezek a posztok pedig mostantól a villámokosság címke alatt lesznek elérhetőek.

kép: Huffingtonpost

0 Tovább

LOL: ál-kémek éltek vissza az Alkotmányvédelmi Hivatal nevével?


nemzetbiztonság rendvédelem titkos információgyűjtés OSINT social engineering dumpster diving magán-titkosszolgálatokÁllítólagosan az Alkotmányvédelmi Hivatal alkalmazottjai megzsaroltak egy újságírót még 2015 decemberében a 444.hu egyik eheti cikke szerint. 
Gondoltam nem írok róla azonnal, hanem előtte kicsit utánascrollolok, utánalapozok, na meg ha kell, utánakérdezek a dolognak és aztán írok róla akkor is, ha ilyen módon a hír már annyira nem aktuális. Megjegyzem, a 444.hu a magyar lapok közt a nagyon kevés magyar lap közt az egyik kedvenc, viszont ezúttal több jel is arra mutat, hogy nagyon mellényúltak illetve a sztoriban érintett újságíró is túlgondolta egy kicsit azt, ami vele történt.

Akinek nincs meg a sztori, annak összefoglalom röviden: Plankó Gergő egy bizonyos, közelebbről meg nem nevezett G-ként hivatkozott újságíróról ír, ami szerint G-t munkába menet megkeresték az Alkotmányvédelmi Hivatal alkalmazottjai, aláírattak vele egy titoktartási nyilatkozatot, elővették a magánélete érzékeny részleteit, szóba hozták, hogy az adatok nem tőlük származnak, de tudnak segíteni abban az esetben, ha segít G együttműködni az AH munkájában, persze fedve. Hogy pontosabban mi lett volna a feladat, nem derül ki. A cikk gyorsan párhuzamot is von a pártállami rendszer beszervezési gyakorlata közt. Az egész sztorival annyi a baj, hogy millió sebből vérzik, részben azért, mert a történet érintettjét legvalószínűbb, hogy alaposan megtévesztették, a 444 pedig hiába próbált meg kellő alapossággal eljárni, mégis egy sötét beszervezős sztorit sikerült sederíteni az egészből. A cikkből persze az sem derült ki, hogy kik voltak a 444 „titkosszolgálati téren jártas” forrásai. Ami pedig G-t illeti, könnyen hihette, hogy valódi nemzetbiztonsági alkalmazottak keresték meg, ha orra alá dörgöltek pár magánéleti részletet, amiről úgy gondolta, hogy arról csak hatóság tudhat.

A legvalószínűbb alternatíva, hogy a magán-titkosszolgálatok valamelyike, azaz nem hivatalos szerv találta be az érintett újságírót, úgy, hogy az Alkotmányvédelmi Hivatal alkalmazottjainak adták ki magukat. Az pedig a magyar, komolyan vehető szakirodalomból is tudható, hogy a magán-titkosszolgálatok, azaz titkosszolgálati-jellegű tevékenységet végző privát cégek pofátlanságuktól és szakszerűtlenségüktől függően alkalmazhatnak zsarolást ugyan ehhez az előbbi jellemzőkön túl egyrészt nagyon igencsak hülyének kell lenniük és nagyon nagyot kockáztatnak, ha rossz embert találnak meg.

Márpedig szinte minden jel arra utal, hogy itt ez történt.

Kezdjük ott, hogy valóban nem elképzelhetetlen olyan eset, amikor civil segítségét kéri valamelyik magyar polgári, esetleg katonai rendvédelmi szerv, viszont ilyen esetben sokkal valószínűbb, hogy a megkeresést nem közvetlenül az Alkotmányvédelmi Hivatal, hanem a Nemzetbiztonsági Szakszolgálat vagy a Szervezett Bűnözés Elleni Koordinációs Központ alkalmazottai végzik. Egész egyszerűen azért, mert kimondottan közvetlen operatív feladatról van szó, az AH tevékenysége pedig jellegénél fogva egyszerűen más.

A fedett informátor alkalmazása egyébként nem az ördögtől való dolog, viszont egyszerűen idióta az összehasonlítás a pártállami rendszerben dolgozó, kimondottan ideológiai okból pártérdeket szolgáló besúgók alkalmazásával, sajnos az eredeti után átvett cikkek is mégis azt sejtetik, hogy a kettő hasonló.

Fedett informátort rendvédelmi szerv egyébként egyre ritkábban, alapvetően akkor alkalmaz, ha már igencsak sok más lehetőséget kimerített, ami valamilyen információ megszerzésére irányul, ennek megfelelően túlzó az a megfogalmazás, hogy Magyarországon civilek bevonása gyakorlat lenne.

Mi van akkor, amikor mégis alkalmaznak? Nyilván miután megállapították, hogy ki lenne alkalmas ilyen feladatra, nagyon alapos környezettanulmányt készítenek róla, amiből eleve nem csak az derül ki, hogy milyen értékű információ lenne várható tőle, hanem ami legalább ennyire fontos, olyan karakterű figura-e, akitől egyáltalán nyugodtan kérhetnek segítséget a hatóságok, padlógázzal nyomott szakszerűtlenséggel fogalmazva „beszervezhetik”.

Ezért is totál életszerűtlen, hogy bárkit is úgy akartak volna „beszervezni”, hogy olyan dumával nyitnak az első kapcsolatfelvételkor egy újságírónál, aminek következtében megfélemlítve érzi magát, mivel azt azért általában senki sem szereti függetlenül attól, hogy a környezettanulmánya szerint milyen karakterű civilről van szó. Ahogy az is nagyon életszerűtlen, hogy ilyen-olyan titoktartási megállapodásokat írattatnak alá vele a legelején, ami szintén teljesen hülyén venné ki magát. Alapvetően a fedett ügynökök úgy dolgoznak, hogy teljesen más kapcsán lépnek kapcsolatban a civillel, megalapoznak egyfajta szükséges bizalmat és élnek a puhatolás módszerével, azaz a civil nem is fogja ismerni, hogy ténylegesen mire is kíváncsiak a fedett nyomozók. Ezt követően már a konkrét szituáció alapján következtetnek arra, hogy az illető mennyire lehet alkalmas, mint olyan civil információforrás, amelyiknek érdemes felfedni, hogy valójában melyik szervezetnek is van szüksége arra, amit tud.

Az eredeti cikk még kitér rá, hogy olyan szenzitív információkat szedtek elő az újságíró múltjából, amit csak titkos adatgyűjtésen [hogy precíz legyek, alighanem a cikk szerzője itt titkos információszerzésre gondolt] keresztül elérhető információ. Csakhogy a gyakorlatban ma már nem lehet megállapítani azt, hogy egy információhoz biztosan valamilyen hatóságon keresztül fértek hozzá vagy valakik ennél trükkösebbek voltak.

nemzetbiztonság rendvédelem titkos információgyűjtés OSINT social engineering dumpster diving magán-titkosszolgálatok

Hogy a tengernyi lehetséges forgatókönyv közül egyet említsek, ha valakit leszólít valaki öblös hangon és villant egy szépnevű szervezet által kiállított igazolványt, az illetőnek esélye nincs megállapítani, hogy az valódi vagy hamisítvány-e másrészt, ha ad absurdum az illetőnek az orra alá dörgölik valamilyen módon, hogy milyen betegségekkel kezelik vagy kezelték korábban, nem jelenti azt, hogy az biztosan a TB-nyilvántartásból származik, ezer más módon beszerezhető. A példánál maradva, orvosi titoktartás ide vagy oda, azt hiszem, hogy erős kisebbségben vannak azok az orvosok, akik például egy kollégájuk nevében érkező, jól megtervezett telefonos megkeresés alapján nem adnának ki információkat egy adott betegükről, hiszen sokkal életszerűbb, hogy egy kollégának vagy más egészségügyi dolgozónak ténylegesen szüksége legyen valamilyen betegadatra, mint az, hogy valaki így próbáljon meg információt kicsalni. De írok még prosztóbb, ugyancsak bárki által kivitelezhető és szintén igencsak hatékony technikát: az üres gyógyszeresdobozokat csak az nem dobálja egészben a kommunális hulladékba, aki nem totál paranoid. Sokszor, ha valakinek a tevékenysége indokolná az elővigyázatosságot, még akkor sincs tisztában azzal a nagyon is reális kockázattal, hogy az információszerzés egyik legértékesebb eszköze sokszor a dumpster diving, azaz kukabúvárkodás, amikor a nyomozók szabályosan az érintett kukáját túrják át rendszeresen például gyógyszertárban kiadott számlák, kidobált régi dokumentumok és hasonlók után kutatva, ennek egyébként valóságos szakirodalma van a social engineeringben. Magának a háztartási szemétnek egyébként sokkal nagyobb az információértéke, mint amilyennek tűnik, hiszen nem csak az derülhet ki belőle, hogy valakinek ilyenek a fogyasztási preferenciái, hanem az is, hogy hol szokott vásárolni, de a szükségtelenné vált dokumentumok és szolgáltatói számlák is igencsak beszédesek lehetnek. Máig több olyan telkó szolgáltató van az országban, amelyiknek a telefonos vagy emailes ügyfélszolgálata beéri a felhasználó azonosításakor annyival, ha az ügyfél megadja az ügyfélszámát, ami ott van minden szolgáltatói számlán. Ha pedig valaki idáig eljutott, az előfizetőnek kiadva magát lekérheti a szolgáltatótól a híváslistát például.

Ezen kívül a megfigyelt személy közvetlen környezetében lévők jelenthetnek még olyan információforrást, akin keresztül igencsak sok tudható meg.

nemzetbiztonság rendvédelem titkos információgyűjtés OSINT social engineering dumpster diving magán-titkosszolgálatok

 

Miután hoztam rá néhány példát, hogy nem kell itt MI6-nek lenni ahhoz, hogy valaki szinte mindent tudjon valakiről – csak idő-, energiaráfordítás és ötletesség kérdése, aminek tényleg csak az szab határt, hogy valaki meddig hajlandó elmenni, amikor valaki után kutat, vissza az eredeti sztorihoz.

A konkrét sztoriban valószínűbb, hogy egy rutinos kukabúvár cég emberei adták ki magukat AH-alkalmazottaknak, ami persze nem zárja ki, hogy ne használtak volna fel olyan érzékeny információt is, amit egy hatóságtól szereztek be illegálisan, nem nagyon van olyan, amit csak onnan lehetne és ez a lényeg.

Egyébként az ál-ügynököket – már amennyire ismerem a törvényességi hátterét a dolognak – esetleg könnyűszerrel lebuktathatta volna maga az újságíró is. Például, ha a találkozókat a Gábor Áron úti Rózsakert Bevásárlóközpontba beszéli meg, a helyszínen pedig kitalál valamilyen jól tervezett ürügyet arra, hogy ugorjanak át a szembeszomszéd NBSZ-főhadiszállásra, különben nincs biznisz. Ha ezt nem tudják megoldani egy kellően fontos civil informátor esetén, akinek a segítségét kérik, de ezt nem tudják megoldani, akkor világos, hogy ál-ügynökök voltak. Az NBSZ-t írtam példaként, de lényegében lehetne még számos más hasonló profilú intézmény épülete is.

De alighanem még ennyire se lett volna szükség: én hasonló esetben a találkozó helyszíneként fix, hogy valamilyen szépnevű hatóság épületét jelölném meg, ahonnan a megkeresés érkezik, amennyire én tudom, ennek nincs törvényes akadálya. Ez nem lenne probléma egy valódi rendvédelmi szerv alkalmazottjának, az ál-titkosszolga pedig a válasza alapján rögtön lebukna.

A 444-cikk hivatkozik még rá, hogy megkereste az Alkotmányvédelmi Hivatalt a konkrét esettel kapcsolatban, ahonnan csak egy se íze-se bűze levelet kaptak válaszként, ami olyan rejtélyes ugye, de valójában nem jelent semmit. Nincs viszont ebben semmi meglepő, olyannyira nincs, hogy ha valaki azzal keresi meg akár a Rendőrséget, akár az Ügyészséget, hogy konkrétan őellene folytatnak-e nyomozást például, szintén hasonló sablon válaszlevelet kap vissza, holott ebben az esetben az állampolgár egy általa eltartott és az ő biztonságáért dolgozó szervezetet kérdez meg mondjuk egy saját ügyével kapcsolatban.

3 Tovább