About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (36),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (10),social web (9),mobil (8),biztonság (8),OSINT (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),jog (6),Google (5),webcserkészet (5),molbiol (5),szájbarágó (5),felzárkóztató (4),Nobel-díj (4),terrorizmus (4),kriminalisztika (4),big data (4),kultúra (4),email (4),plágium (4),Apple (3),jelszó (3),nyelvtechnológia (3),genetika (3),Android (3),biztonságpolitika (3),pszichológia (3),webkettő (3),reklám (3),élettudomány (3),gépi tanulás (3),CRISPR (3),Onedrive (3),üzenetküldés (3),2015 (3),orvosi-fiziológiai (3),online marketing (3),kriptográfia (3),molekuláris biológia (3),azelsosprint (3),torrent (3),konferencia (3),magatartástudomány (3),hype (3),biztonságtudatosság (3),open source intelligence (3),popszakma (3),levelezés (3),Gmail (3),szabad információáramlás (2),Yoshinori Ohsumi (2),bejutas (2),Hacktivity (2),Reblog Sprint (2),tweak (2),Pécs (2),génterápia (2),DKIM (2),cas9 (2),bűnügy (2),fiziológia (2),hitelesítés (2),TOR (2),kulturális evolúció (2),villámokosság (2),deep web (2),ransomware (2),bűnüldözés (2),DDoS (2),természetes nyelvfeldolgozás (2),arcfelismerés (2),FUD (2),nyílt forrású információszerzés (2),Balabit (2),P2P (2),webkamera (2),Netacademia (2),neuropszichológia (2),Whatsapp (2),SPF (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),sajtó (2),tanulás (2),biológia (2),szociálpszichológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Vérciki hibát találtak a világ egyik vezető vírusirtójában magyar kutatók


antivírus Panda Silent Signal MD5 hash szájbarágó ITsec kriptográfiai függvényA Silent Signal kutatói hétfőn egy blogposztban számoltak be róla, hogy a világ egyik vezető biztonsági csomagja, a Panda Adaptive Defense 360 olyan hibát tartalmaz, amit kihasználva az antivírus motor simán megengedi rosszindulatú kód lefutását, ha az azt tartalmazó fájlt tévesen fehérlistára tette a víruskergető. A Silent Signal nem először mutat rá éppen olyan termékek hibáira, amik éppen informatikai rendszerek biztonságát kellene, hogy fokozzák.

Haladó felhasználók most ne olvassanak tovább, szájbarágó poszt következik, több helyen egyszerűsítésekkel.

Hogy mennyi kártékony kód létezik a világon, csak nagyságrendileg sejthető, egy eléggé megbízható forrás szerint az azonosított vírusok száma 2016-ban 600 millió körül járt és közel négyszázezer új rosszindulatú kód jelenik meg naponta, ugyan ezeknek egy jókora része korábbi vírusok polimorfjai.

A vírusirtók gyártói már régen olyan megoldásokat építettek a termékeikbe, amik nem csak ismert vírusok után keresnek, hanem például az éppen futtatott alkalmazások és szolgáltatások viselkedéséből következtetnek rá, hogy a gép vírusfertőzés áldozata lett. Emellett gyakori egy másik, igencsak megbízhatónak látszó megoldás az ún. fehérlisták összeállítása, azaz amikor a security suite telepítését követően a védelmi szoftverek megjegyzik, hogy mely fájlok futtathatóak anélkül, hogy különösen szaglászni kellene őket, hiszen így az egész kevésbé lassítja a gépet, akár egy végponti gépről, akár egy szerveroldali megoldásról van szó. Ilyenek például a Windows megszokott szolgáltatásai, gyakran használt alkalmazások, a fehérlista pedig később bővíthető egy-egy új alkalmazás telepítése után, jó esetben úgy, hogy a víruskergető azért előtte ehhez a felhasználó szives beleegyezését kéri.

Abban az esetben, ha az AV termék a fájlokat például önmagában a nevük alapján jegyezné meg és tenné fehérlistára, szinte értelmetlen lenne, hiszen a vírusok ezt kihasználva egyszerűen felülírnának egy legitim, fehérlistán lévő fájlt egy olyannal, ami rosszindulatú kódot tartalmaz, majd a fertőzött fájl legitimként futna le. Ezért a biztonsági termékek inkább elkészítik a fájl teljes ún. hash-lenyomatát és mindig ezt használja a fájl azonosítására. A hash-érték pedig függetlenül attól, hogy miből generálódott, állandó, de kis hosszúságú, például 128 bit.

Egyszerűsítve, ha az elindított alkalmazáshoz vagy szolgáltatáshoz tartozó fájl apró hash-értéke egyezik azzal, amit a víruskergető korábban tárolt, akkor futtatható, ami nyilván sokkal gyorsabb, mintha a teljes, akár több megabájtos fájlt tárolni kellene, majd az elejétől a végéig mindig megnézni, hogy egyezik-e a korábban tárolttal.

Ideális esetben természetesen egy adott tartalomhoz, jelen esetben egy fájl tartalmához csak egy hash-érték tartozhat illetve olyan hash-algoritmust használ egy jólnevelt szoftverrendszer, amit nem lehet csak úgy becsapni, hiszen ekkor a vírusok akár fehérlistás alkalmazásoknak is álcázhatnák magukat.

Viszont nyilván vannak erős, ugyanakkor rosszul leprogramozott vagy egyszerűen becsapható hash-algoritmusok, mint amilyen a Panda terméke által használt, eltéríthető MD5 algó.

A leginkább para pedig az az egészben, hogy egy olyan termékben, amelyik biztonsági csomagként azért lenne felelős, hogy biztosan azonosítsa a biztonságos és esetlegesen kártékony folyamatokat, ez simán eltéríthető, ahogy azt a Silent Signal egy videón keresztül be is mutatja.

Adja magát a kérdés, hogy akkor mégis miért használnak még biztonsági termékekben is MD5 algót valamilyen más helyett? Több lehetséges tippem is van, az egyik legerősebb érv talán a fejlesztői lustaság és megszokás, ami jelen van függetlenül attól, hogy biztonsági csomagot vagy valamilyen faék egyszerűségű appot kell fejleszteni.

Kép: blog.varonis.com

0 Tovább

Web 2, pszichológiai hadviselés, miegymás


tömegmanipuláció pszichológiai hadviselés social media social web Facebook szociálpszichológiaAz utóbbi néhány hétben boldog-boldogtalan cikkezetett róla, hogy vajon annak, hogy tudományosan igazoltan a hülyeség jobban terjed a közösségi weben, mekkora szerepe letett Trump megválasztásában és egyáltalán, mennyire befolyásolja egy-egy web giant a világot. Ha már többször vizsgáltam már graybox-módszerekkel a Facebookot, a tömegkommunikáció természetével kapcsolatos híreket is követem olyan 10 éve, engedtessék meg nekem, hogy én is írjak a témáról néhány kósza gondolatot.

Az Origótól kezdve a 24.hu-n át a 444-ig igencsak rápörögtek néhányan arra a témára, hogy a közösségi média élén a Facebookkal, gyakorlatilag visszaélve a hatalmával befolyásolja a tömeg véleményét, még ha nem is rossz szándékkal vagy egyáltalán szándékosan, hanem olyan módon, hogy a magasabb profit érdekében nem tiltja ki a nyilvánvaló álhíreket terítő tartalmakat. Aki nagyon lemaradt: a Facebook azzal védekezik, hogy ők csak egy tech cég, megint mások az ún. buborék-effektust emelik ki, aminek az a lényege nagyon röviden, hogy mindenki elé főként olyan tartalmak kerülnek a Facebookon, amikről a rendszer azt prediktálta, hogy érdekelni fogja a felhasználót. Többek közt a korábbi lájkjai, kommentjei, megosztásai, egy az egyben, az addigi aktivitása alapján. Márpedig mindenki olyannal szembesül és foglalkozik szivesen, amivel alapvetően egyetért, többek közt ezért a Facebook egyfajta buborékban, alternatív valóságban tartja a felhasználókat, ahol ha például az illető fő érdeklődési területe a chemtrail és az oltásellenesség, azzal kapcsolatos információk fognak elé zuhanni, erősítve korábbi nézeteit. Tegyük hozzá, egy felhasználó ismerősei is nyilvánvalóan több szempontból hasonlóan gondolkoznak a felhasználóhoz, azaz természetesen az ismerősök felől is a felhasználó értékrendjéhez, világnézetéhez passzoló információk fognak a felhasználóra zúdulni, azok bármiféle igazságtartalmától függetlenül. A dolgot pedig tovább erősíti többek közt az az effektus, hogy hasonló gondolkodású közegben az egyén hitében még inkább megerősítve fogja érezni magát.

Azaz több felhasználónál dübörög a hülyeség ezerrel, hasonlóan ahhoz, hogy mondjuk egy, a kkv-k gazdaságtana iránt érdeklődő cégvezető ismerősei közt többen lesznek hozzá hasonlóak és többet témázgatnak arról, ami érdekli őket, több vállalkozásokkal kapcsolatos hír fog megjelenni a falukon.

A probléma – amiről nem biztos, hogy probléma – nagyon sokak szerint nyilván azokkal a felhasználókkal van, akik tömegesen a hülyeségre harapnak, ahogy azt Erdélyi Péter alaposan ki is vesézte annak az álhírnek a kapcsán, hogy a Clinton házi levelezőszervere után nyomozó egyik FBI ügynököt Clinton eltetette láb alól.

Ha az emberek hülyék, nyilván nem jó. Hogy miért nem, azzal könyvtárakat töltöttek meg. Viszont itt is korábban írtam róla, hogy egy-egy nettó ostobaság hogyan szivároghat fel a plebstől a legfelsőbb döntéshozói szintig egy kultúrában, ahogy arról is, hogy egy-egy kultúrában az általános tájékozottság mértéke és a jólét közt egyértelmű összefüggés van, rövidebben szólva, nem csak az elitnek és a kutatóknak kell tájékozottnak lenniük és hogy ennek mi az oka.

A buborék-effektus nyilván egy létező jelenség, viszont akárhogy kerestem, nem láttam bizonyítottnak, hogy komolyabb globális hatása lenne annak, hogy a veszélyes ostobaság hatékonyabban és sokkal gyorsabb információs útvonalakon terjed, mint a közösségi web előtti időben. Azaz a most nagyon divatos elmélet pofás, csak a tudományos igényesség próbáját nem állja ki, akármilyen neves gondolkodók is cikkeztek róla korábban és cikkeznek most is.

Persze, ahogy jelennek meg újabb és újabb eszközök a tömegmanipulációban, a professzionális kampányok lebonyolításakor és a pszichológiai hadviselésben, ezek vélhetően sokkal szofisztikáltabban tudják elérni a céljukat. A közösségi web aktivitását és annak társadalomra kifejtett hatását azok az államok, amelyek erőforrásaik alapján megtehetik, folyamatosan monitorozzák is.

Viszont, viszont, viszont. Ha elképzelünk egy olyan világot, ahol az internet penetráció hasonló a mostanihoz, ugyanakkor nincs web 2, viszont vannak levelezőlisták, hírcsoportok, klasszikus fórumok és a klasszikus chat, nincs okunk feltételezni, hogy a társadalom jobban szegmentálódna, mint amennyire szegmentálódik most! Azaz igen, lennének az oltásellenes, angyalhívő, ufóimádó levelezőlisták, hírcsoportok, a felhasználók egy része oda csoportosulna és persze megerősítenék egymást a hitükben, akármilyen elvont hülyeség is. Hasonlóan, ugyanúgy meglennének a normálisabban gondolkozó, adott világnézetet és értékrendet valló felhasználók csoportjai, de külön-külön szigeteket alkotva, amelyek közt nem igazán lennének perkolációs pontok, azaz egy-egy ilyen sziget nem igazából cserélne információt egymással.

Sok-sok évvel korábban már előhúzták azt a témát, hogy a weben bizonyos szolgáltatók amint elérnek egy kritikus méretet, akkor alkalmassá válhatnak tömegmanipulációra, ahogy ennek teljes irodalma van a Google keresője kapcsán is. Aztán most az aktuális főgenya a Facebook.

Ami nagyon szórakoztató az egészben, hogy több, a téma iránt magas szinten érdeklődő és kutató újságíró, szociológus és pszichológus rápörgött a témára, aztán pont az a hatás érte utol őket, amit kutattak: meggyőződésükké vált, hogy közösségi web manipulatív, néphülyítő hatású, jelen formájában nagyon veszélyes, mi több, többen addig mentek el, hogy mindezt valamilyen módon kordában kellene tartani.

Értelemszerűen még sosem használták a netet annyian, mint most, ahogy a net sem volt korábban ennyire kiterjedt és olcsón elérhető. De egyszerűen nem látom bizonyítottnak, hogy például egy Facebook nélküli világban a veszélyes hülyeségek, álhírek kevésbé lennének érezhetőek globálisan, nem lenne szó sokkal többről, hogy a valós, értékes és valótlan, értéktelen információk nem koncentrálódnának egy vagy néhány vezető szolgáltatásban, mint most.

Kép: learningtimes.net

1 Tovább

Paráztat a Google, de nem mondja meg, hogy miért


Google G Suite megmagyarázhatatlan megmagyarazhatatlan ITsecVolt itt már szó arról, hogy nem a legbölcsebb dolog egy olyan cég infrastruktúrájára támaszkodni és ott tárolni minden felhasználói adatot, ami egyrészt elad kilóra, másrészt a közvélemény úgy tudja róla, hogy bizony a Google azért nem ad ki adatot csak úgy holmi hatósági megkeresésre sem, ahhoz Kaliforniáig vagy ha addig nem is, írországig kell menni jogsegélyért, ott meg úgyis beintenek az adatigénylőnek. Múltkor valamelyik magyar lap, amelyiknek a DNS-adatai alapján gondolom nem csak a teljes levelezését, hanem a többi – pl. Drive – szolgáltatását is a Google vállalati verziója, a G Suite, leánykori nevén Google Apps viszi, arról cikkezett, hogy muhaha, mennyi magyar adatigénylést utasított el a Google, ami amúgy itt tekinthető meg.

A hamis biztonságérzetnél pedig nem sok rosszabb van. Merthogy ha valaki nagyon akar, semmi szüksége rá, hogy a Google-höz intézzen adatkérést egy magyar Google felhasználóval kapcsolatban.

Egy kis ismétlés: arról már írtam, hogy ahhoz, hogy a Google Magyarországon elfogadható sebességgel tudjon szolgáltatni – pláne nagy adatforgalmat generáló tartalmakat [Drive, Youtube] – nincs mese, hazai ún. peering vonalakra van szüksége az adatok előtöltéséhez, ami – most figyeld! – nagyobb sávszélességű, mint a Magyar Telekom és a UPC együttvéve a maga laza 60 gbps-es sávszélességével. Az előtöltéshez persze nem csak külföldi irányból fogadni kell az ésszel felfoghatatlan mennyiségű adatot, hanem nyilván Magyarország területén tárolni is.  Ezt ún. CDN-szolgáltatókkal megállapodva teszi, aminek a lényege, hogy olyan, mintha a Google belföldről szolgáltatna, ugyan már nem vagyok annyira biztos benne, hogy ezek a CDN-kiszolgálói adatparkok hol vannak helyileg, a lényeg viszont, hogy ha magyar felhasználó adatát lopná valaki, nyilván csak a megfelelő szerverhotelt kellene megkörnyékeznie.

Ha még mindig nem világos, hogy ez miért elengedhetetlen, plusz egy kis magyarázat. A netes piacon ha valami brutálisan drága, többet közt az adatátvitel, így ha valaki feltölt egy videóklipet Kanadában a Youtube-ra és azt Magyarországon valaki megnézi, Magyarországra elő is töltődik a tartalom és a többi magyar nézőt már eleve helyből szolgálják ki, nem rohadt drágán transzatlanti kapcsolaton keresztül. Ez nem tűnik annyira parának, viszont az már sokkal inkább az, hogy ha a rendszer azt látja, hogy a leveleid és a Drive-ra töltött fájljaid rendszerint Magyarország területén nézed meg, azoknak is minimum egy példánya itt fog tanyázni. Na most innentől kezdve, hangsúlyozom, technikai szempontból nem sokkal bonyolultabb hozzáférni az elvben Google-által kezelt adathoz, mint egy Magyarországon hosztolt szerver tartalmához, az más kérdés, hogy mit mond a törvény bötűje.

Ahogy korábban már szintén írtam, annyira azért hardeningelt a rendszer, hogy az átlag felhasználót megvédjék a saját hülyeségétől, jelszólopásoktól, primitívebb támadásoktól. Azaz ha például valaki rendszerint Budapestről nézi meg a leveleit, majd fél órával az utolsó belépést követően mondjuk Párizsból lépne be, helyes felhasználói név-jelszó párossal, a rendszer joggal gyanakodhat jelszólopásra a szokatlan aktivitás miatt. A rendszer sikongat, SMS-t küld a felhasználónak plusz tokennel, amit meg kell adnia a jelszó mellett, megkérdezi a másodlagos email-címet vagy hasonló olyan adattal próbálja azonosítani a felhasználót, amit elvileg csak az account tulajdonosa tudhat, ha pedig már nagyon nagy gáz van, lezárja az egészet bekér egy személyi igazolvány scant és 1-3 USD-t, amit olyan bankkártyával kell kifizetni, aminél a bankkártyatulajdonos neve az a név, ami a Google-nél meg van adva, de ez eltarthat pár napig.

Ez az egység sugarú felhasználót megvédi mondjuk a közönséges jelszólopásos támadásoktól.

Na de mi a helyzet kifinomultabb támadás esetén? Elvben már 2012 óta a rendszer azonosítja a kormányzati eredetű támadásokat a tragikus csak az az egészben, hogy egy figyelmeztetésen kívül a felhasználó semmilyen további információt nem kap!

2005-ben, amikor gyakorlatilag csak USA-ban élő ismerőstől érkező meghívóval lehetett regisztrálni a Gmail-re, ilyen módon übermenőnek számított, regisztráltam én is, nem olyan rohadt nehéz kitalálni, hogy milyen azonosítóval. Aztán ugye a többi Google-szolgáltatást is ehhez kapcsolták hozzá, gyakorlatilag innentől van értelme arról beszélni, hogy Google Account.

 Google-szolgáltatásokat már évek óta nem használnék, ha nem lenne nagyon muszáj:
-    webanalitikára ingyenes eszközök közül a Google Analytics megfelel
-    a zene a Youtuberól megy
-    keresőbarátabbá válik az a tartalom, amit a Google Plus-ban megosztok a nevemmel
-    rám lehet írni Hangouts-on, rendszerint annyit válaszolok, hogy írjon bárhol máshol : )
-    Translate
-    spam-előszűrés G Suite-tel

Hirtelen ennyi jut eszembe. Erre ma mi jön szembe Translate használat közben? Inkább mutatom:

Google G Suite megmagyarázhatatlan megmagyarazhatatlan ITsec

Nem, nem adathalász oldal volt, kattintottam is a Secure my account gombra, mire kijön ez:

Google G Suite megmagyarázhatatlan megmagyarazhatatlan ITsec

Szóval minden fasza, oszoljanak, nincs itt semmi látnivaló. Mondjuk még meg lehet nézni egy semmitmondó support oldalt, de belépve a Google Security dashboardjára, már ha lehet annak nevezni ezt a szart, ami az átlag felhasználók számára biztos igen hasznos, semmi, de semmi nem derül ki! Azaz például hogy miből következtetett a Google arra, hogy engem biza’ valamelyik kormány próbál meghakkolni, milyen típusú volt a szokatlan aktivitás. Összehasonlításként abban a levelezőrendszerben, amiért fizetek, minden típusú sikeres és sikertelen hozzáférés naplózott olyan ezer évre visszamenőleg.

Röviden: ha advanced userként még mindig ragaszkodsz ehhez a szarhoz, azon se lepődj meg, ha a legszigorúbb biztonsági beállítások mellett megpróbálnak hozzáférni az információidhoz, de semmilyen adatot nem találsz azzal kapcsolatban, hogy mi történhetett.

Az ITsec-szcénában közhelyes, hogy nem az a kérdés, hogy valamit valakik feltörnek-e, hanem az, hogy mikor. Ha nem vállalati környezetről van szó, valami miatt érdekes felhasználó esetén nem az a kérdés, hogy hozzáférnek-e az ingyenes szarokban tárolt információihoz egyszer, hanem az, hogy az mennyire fog fájni. Az meg konkrétan felfoghatatlan, hogy ma egy cég miért választja a Google vállalati suite-ját, aminek az előnye abban merül ki, hogy a webes felület nagyon hasonló, aztán a nyelvújítás táján született felhasználóknak sem kell újat megszokni. A céges környezetben alkalmazott Google suite tehát nem megmagyarázhatatlan: tájékozatlan IT döntéshozó + kényelmes felhasználók.
Ez van.

Kép: Techworm

0 Tovább

A Facebook, egy pinavideó és a nemzetközi jog


Facebook social media privacy jog nemzetközi jog pinaA napokban a 444-en kolumnás cikk jelent meg Szily Lászlótól egy esettel kapcsolatban, aminek a lényege, hogy egy Facebook felhasználó fedetlen testtájnak, konkrétabban női segg vagy suncinak látszó videót küldött át egy másik felhasználónak magánüzenetben, mire a Facebook a felhasználót felszólította, hogy ne sértse meg a Facebook felhasználási feltételeit, majd egy időre ki is zárt a szolgáltatásból. A 444 jól megtermett lebuktatásként tálalta az információt, ami szerint lám-lám a Facebook tényleg elolvassa még a magánüzeneteinket is és meg is van rá a bizonyíték. Számomra a megmosolyogtató az egészben, hogy az egész cikket én is írhattam volna 3-4 évvel ezelőtt – már ha tudnék legalább tized annyira írni, mint a 444-es szerző, mint ahogy nem tudok.

Akkor most mi van? A Facebook nem csak olvassa, hogy milyen üzeneteket küldünk, hanem még bele is pofázik? Megteheti ezt törvényesen? Mennyire etikus és mennyire törvényes mindez? Nosza, jöjjön egy kis szájbarágó.

Ahogy már írtam róla számtalanszor, a Facebook nem céges intranet-rendszer, nem is népjóléti intézmény, amikor pedig valaki regisztrál és elkezdi használni a szolgáltatást, beleegyezik abba, hogy gyakorlatilag minden információt felhasználhasson a Facebook, ami csak kinyerhető. A kezelt információk köre pedig elképesztően tág, így például azt is felhasználják, ha a felhasználó valamilyen tartalmat feltöltött vagy megosztott, majd utólag törölt, de ide tartoznak még olyan pszeudo-biometrikus adatok is, minthogy a felhasználó milyen patternek szerint kattintgat az egérrel és hova, mi több, ezeket az adatokat még azt követően is tárolja, miután a felhasználó végleg törli magát a szolgáltatásból [ugyan ennek megakadályozására rendszeresen gyurmázik-jogászkodik az EU, nem nagy eredménnyel]. Természetesen a kezelt adatok körébe tartoznak a magánüzenetek is, hiszen az üzenetekben lévő tartalom automatizált, kőkeményen nyelvtechnológiai alapú szemantikai értelmezése, azaz tartalmi elemzése rendkívül értékes információ olyan szempontból, hogy az adott felhasználónak milyen hirdetést érdemes az orra alá tolni. Szóval innen is csókoltatom azokat a végtelenül naiv lelkeket, akik egy pillanatra is elhitték, hogy valóban lesz a FB-n belül végponti titkosítás az üzenetküldésben alapjáraton, ami azt jelentené, hogy a FB valóban nem érné el a magánüzeneteket, ami érthetően nem érdeke, másrészt pedig kivitelezhetetlen, aminek a magyarázatába most nem megyek bele.

Közel 18 milliárd dollár! Ez az az összeg, ami bevételként jelentkezett a Facebooknál csak a 2015-ös évben, körülbelül 1 milliárd aktív felhasználóból. Ez alapján nem nehéz kimatekozni, hogy – ha úgy tetszik - felhasználónként mennyit kell keresni ahhoz, hogy a rendszer nyereséges legyen. Miközben egy pillanatig se felejtsük el, hogy a gigantikus IT infrastruktúra mellett meg kell fizetni sok-sok kutatót, fejlesztőt és ki kell fizetni a házon kívül vásárolt technológiákat is!

Visszatérve az eredeti témához, az első dolog, ami eszembe jutott, hogy még évekkel ezelőtt több tech-szaklap is azon pörgött egy rövid ideit, hogy a patás ördög Microsoft elolvassa a Skype-beszélgetéseket. Mindezt arra alapozták, hogy egy felhasználó olyan képet linkelt egy csetpartnerének, amit a saját webszerverén tárolt. Aki akár egyszer is látott már webszervert belülről, jól tudja, hogy akár IIS, akár Apache, az alapértelmezett működés az, hogy a rendszer naplózza, hogy milyen IP-ről, milyen fájl letöltését kérte valaki, mikor, milyen böngészővel [ún. User-Agent], a kérést sikerült-e kiszolgálni és így tovább. A gyakran raw access log persze nem azért van, hogy galád módon kukkolja a látogatókat, hanem elhagyhatatlan része a rendszer működésének, például ha nem történne ilyen naplózás, utólag nem lehetne megállapítani, hogy például egy nagyobb oldal miért működik hibásan alkalom adtán.

Ami fontos, hogy az User-Agent érték nem csak valódi felhasználóra utalhat, amikor a Google vagy a Baidu keresője időnként megnézi az oldalunkat, egyértelműen azonosítja magát például úgy, hogy „googlebot”, míg ha a Facebookra linkelünk egy tartalmat, a logban biztosan meg fog jelenni egy „facebookexternalhit” érték és így tovább. A skypeos sztoriban amikor emberünk átlinkelte a csetpartnerének a fotót, azt látta, hogy az első látogató nem ő volt, hanem egy Microsoft hálózatához köthető bot, ami az egész gigafelfedezést alapozta… Megjegyzem, ebből a logból nem lehet megállapítani, hogy amit egy felhasználó böngészője vagy egy kereső crawlerje egyszer letöltött, arra csak ránézett és elolvasta vagy tárolta is.

Apu, de miért? Több magyarázat is van, amit hosszú lenne kifejteni, az egyik, hogy a nagy, gonosz, galád szolgáltatók a felhasználót a saját hülyeségüktől próbálják megvédeni olyan módon, hogy egy közvetlenül küldött tartalmat vagy linket megvizsgálnak a saját oldalukon annak megállapítására, hogy tartalmaz-e valamilyen vírust, esetleg a kísérletező kedvű felhasználó pont magát az üzenetküldő rendszert akarja megtámadni, amiből szintén van szép számmal.

Ezt a Google Hangouts és a Gmail annyira komolyan veszi, hogy futtatható fájlt konkrétan nem enged csatolmányként küldeni, mi több, ha a futtaható állományt a felhasználó még be is csomagolta, a Google azt szépen ki fogja bontani és ha észleli, hogy bináris, egyszerűen megtagadja az üzenet elküldését a csatolmány miatt. Más kérdés, hogy futtatható fájlt normális ember nem küld emailen, amikor az informatikustanoncoktól a tanár emailen kéri a beadandó házi feladatot – ha nincs normális elearning rendszer – de akkor is forráskódot küldenek az oktatónak és nem pedig magát a futtatható fájlt.

Ami a Facebookon küldött, pucér seggre mutató hivatkozást illeti, a dolog bonyolultabb, de azért nem érthetetlen. Aki követi a tech-híreket, az tudja, hogy a web gianek már évek óta alkalmaznak olyan algoritmusokat, amik a rajtuk keresztül küldött képeket és videókat a feltöltést vagy linkelést követően azonnal több oldalról megszagolgatják, alapvetően olyan mintázatokat keresve, amiből arra lehet következteni, hogy azon explicit erőszak, gore tartalom, gyermekpornográfia lehet. [ugyancsak ezért írtam korábban, hogy a Onedrive, Google Drive, stb. bűnügyi dokumentumok tárolására alkalmatlan]

Ezek az algoritmusok pedig egyre ritkábban tévednek, ha azt találják adott valószínűséggel, hogy a felhasználói tartalom valami olyan gyomorfogató dolog, aminek ha köze van a feladóhoz, az a világ összes országában törvénysértő, nos, akkor foglalkoznak a dologgal behatóbban. Hogy melyik cég hogyan kezeli ezeket az eseteket, nagyrészt rejtély, viszont korábbi esetekből lehet rá következtetni. Ha az algoritmus megszólaltatja a vészcsengőt, az adott, konkrét tartalmat [de csak azt] átadják egy amolyan first level safety staffnak, amit valahogy úgy kell elképzelni, hogy egy relatív alacsonyabb képzettséggel rendelkező, sejthetően kiszervezett moderátori csoport egy tagja megkap mondjuk Indiában, majd egy jól meghatározott forgatókönyvet követve eldönti, hogy a tartalom egy túlságosan jól sikerült halloween-i baba vagy valaki a frissen feldarabolt anyósával szelfizett egyet. Hogy ez után mi történik, remek kérdés, de életszerűen feltételezhetjük, hogy a tartalom jellegétől függően a moderátoron keresztül a rendszer rámorog a felhasználóra vagy az ügy tovább kerül egy magasabb szintekre, ahol már magának a cégnek a sokat látott forensic-csapata kezd el foglalkozni vele. Ekkor már belenézhetnek, hogy a felhasználó miket irkált korábban, hogy kontextusba helyezzék a kérdéses tartalmat és tényleges nyomozás történhessen, persze függetlenül attól, hogy milyen nyelven üzengetett a felhasználó.

Hogy ezt követően mi történhet, az több, mint szövevényes. Ugyanis függően attól, hogy a felhasználó melyik államból használta a szolgáltatást, a forensic-csapat jelezheti ezt a hatóságoknak, aztán a szolgáltató és a nyomozó hatóság tovább figyelik a jómadarat, indokolt esetben pedig ésszerű időn belül meg is történik a gyanusítás és vádemelés. A nemzetközi együttműködés sosem egyszerű, bizonyos esetekben pedig szinte lehetetlen. A világ legnyomorultabb részein, például a pedofilparadicsomként is ismert Fülöp-szigeteken tevékenykedő nagypályás erőszakos bűnöző miatt hiába szólnának oda a hatóságoknak, sajnos értelme nem sok lenne. [Sokat mondó, hogy a holland Sweetie-projektben hatósági eszközök nélkül 2 hónap alatt a kutatók több, mint ezer pedofilt azonosítottak egyértelműen a neten keresztül, majd ezt át is adták az Interpolnak, nem nagyon lehet információt találni róla, hogy a nyomozásnak különösebb következménye lett volna.]

A fájdalmasan hosszú szájbarágó után visszatérek a 444-ék által talált seggnek tűnő videóhoz. Az ugye világos, hogy azt a tartalmat, amit ráadásul nem is a Facebook tárolt vagy továbbított, csak egy rá mutató hivatkozást első körben megvizsgálta egy okos algoritmus, nem valószínű, hogy eljuthatott az első moderátori szintre. Egy több tízmillió picsás és nem-picsás képen idomított gép döntött: ami a videón van, az bizony egy segg vagy pina. Itt jön be a sztorinak az a része, amire a 444 már egyáltalán nem tért ki. Adott egy világméretű szolgáltatás, aminél a felhasználás feltétele a betöltött 13. életév, ebben az esetben nem a felhasználó falán vagy egy csoportban jelent meg kérdéses tartalom, hanem magánüzenetben, akkor miért izmozik a Facebook mégis?

Éppen azért, mert világméretű szolgáltatásról van szó. Különböző államok törvényi berendezkedése közt pedig elképesztő különbségek vannak európai aggyal érthetetlenül megengedő és szigorú irányban egyaránt. Hogy mást ne mondjak, még néhány évvel ezelőtt is Japánban a legbetegebb pedofil tartalomnak csak az előállítása volt büntetendő, de a pedofilok minden további nélkül fogyaszthattak pedofil tartalmat, amíg a törvényhozók nem változtattak a helyzeten. Hasonló módon európai aggyal érthetetlen, hogy bizonyos magasan fejlett, de erős iszlám gyökerekkel rendelkező államokban törvénybe van foglalva, hogy bármilyen pornográf tartalom bármilyen módon történő fogyasztása tilos. Ezek közül az államok közül kurvázni illetve prostiként dolgozni bezzeg lehet orrba-szájba.

Ha valakinek nem szakterülete a nemzetközi jog, azon belül is a nemzetközi büntető- és büntető-eljárásjog, esélye sincs pontosan kiigazodni azon, hogy egy-egy államban mi valósíthat meg törvénysértést és mi nem. Hogy egy nagyon szemléletes példát hozzak, az olyan, egyébként fejlett demokratikus berendezkedéssel és jogi kultúrával rendelkező országban, mint amilyen Izland, betiltották a Texasi láncfűrészest, a Nekromantikot és a Cannibal Holocaustot, amivel az én tudomásom szerint mindössze annyi a baj, hogy túlságosan erőszakosak. De még ha a közelmúltat nézzük, egész Ausztrália betiltotta többek közt az Emberi százlábú 2-t, amiről csak annyit tudok, hogy egy nagyon beteg horror, viszont betiltotta az általam látott Ken Parkot is, ami csak tabukat dönget hűvös halomra, viszont olyan dolgokat mutat be, amik sajnos a valóságban is léteznek. A betiltott filmek közt többek közt erre lehet mazsolázni.  

Márpedig ha korszerű jogi berendezkedéssel rendelkező országok konkrétan betiltják egy műalkotás bemutatását, annak helyi jogalkalmazói szempontból komoly oka kell, hogy legyen. Hogy mi sért törvényt a jog betűje szerint, elképesztő változatosságot mutat, példaként ha valaki titkosított levelet fogad Mianmarban [azaz még csak nem is ő küldi], legrosszabb esetben le is fejezhetik. Ha most az Olvasó úgy gondolná, hogy nem lehet csak úgy betiltani egy bizonyos területen egy világméretű szolgáltatást, annak ajánlom figyelmébe azt az egészen friss esetet, amikor a moszkvai bíróság a világ legnagyobb professzionális közösségi hálózatát, a LinkedIn-t egész Oroszországból kivágta egy meglehetősen zavaros jogi hercehurca után.

Na de hogy jön ide a Facebook? Úgy, hogy a Facebook jogi staffja nagyon jól tudja, hogy egyszerűen lehetetlen bevezetni olyan policyt, ami az összes állam törvényeivel harmonizál, ahol elérhető a Facebook. Röviden: a konkrét esetben az sem zárható ki, hogy valamelyik országban, ahol a Facebook szolgáltat, még az is felvetné a törvénysértés gyanuját, ha valaki átküld egy másik felhasználónak egy segget vagy valamit, ami annak látszik. A Facebookot márpedig így is perelik sokan, sokszor egészen elképesztő abszurd baromságok miatt, így inkább nem kockáztat és ezért nem enged vagy korlátoz feature-öket, amiket korlátozni egyébként teljesen értelmetlennek tűnik, de bizonyos országokban törvénysértő lehet. Piacot veszíteni pedig pláne nem szeretne a FB.

Nem könnyű a Facebook agyával gondolkozni. Amikor sok-sok évvel ezelőtt Magyarországon az elsők közt regisztráltam rá, az Agree gombra kattintva a Facebook Ireland-del kötöttem végfelhasználói szerződést. Ugyanakkor tapasztaltam olyat is, hogy [látszólag] különböző országokból bejelentkezve a szolgáltatás egyszerűen máshogy működik, ami lehet kevésbé látványos, mint amikor az USA területéről kellett kapcsolódnom ahhoz, hogy átnevezzek egy 200-nál több lájkerrel rendelkező oldalt ami európai országból alighanem nem ment volna, de nem is keresek benne logikát. A jelenség messze nem Facebook-specifikus. A Google-nek teljes szolgáltatásai vannak, amik Európából bejelentkezve meg sem jelennek, az USA-ból vagy USA-ban lévő VPN-en belépve viszont kapásból elérhetőek, így például a Hangoutshoz szorosan kapcsolódó Google Voice ingyenes SMS-küldözgetést lehetővé tevő része.

Röviden összefoglalva tehát Cukorhegyi Márk Kéktakony szolgáltatásában azt tehetsz meg, ami szerintük szabad, a fejős tehénként tartott felhasználóval pedig azt tehetnek meg, amit csak akarnak. Véget nem érő vita lenne, hogy morálisan ez részleteiben és egészében mennyire fogadható el, ami viszont tény, hogy egy ilyen méretű és ilyen kiterjedésű szolgáltatás nem azért viselkedik a felhasználóval úgy, ahogyan, mert gonosz lenne, hanem azért, mert máshogy egyszerűen nem is működhetne fenntartható, pláne gazdaságos módon. Pereskedni, na meg hatósági megkereséseket teljesíteni márpedig igencsak drága, egy ország elvesztése pedig sosem zárható ki és persze az aztán még drágább.

Nem arról van szó tehát, hogy a Facebook a hülye, gonosz, öntörvényű és prűd, hanem éppen arról, hogy védi elsősorban önmagát, másodsorban a felhasználóit még ha ez laikus számára egészen idióta korlátozások alkalmazásával is jár néha.

1 Tovább

Képernyőzár-hekkelés, 10 másodperc alatt


Rob Fuller Hak 5 LAN Turtle munkaállomás feloldása ITsec HacktivityLezárod a géped, ha elmész ebédelni? Ha nincs megfelelően védve, feloldható a képernyőzár, függetlenül attól, hogy OSX vagy Windows fut, mindössze egy 50 dolláros USB-eszközzel.

Amikor szeptember elején találkoztam egy nem mindennapi sebezhetőséggel Rob Fuller egyik blogposztjában, aminek a közérthetőbb magyarázata is megjelent néhány nappal később,  még nem voltam benne biztos, hogy ez azért tényleg ennyire egyszerű és hatékony.

Végfelhasználói szempontból a dolog eléggé egyszerű, ha valaki odamegy egy géphez, aminek a felhasználója be van ugyan jelentkezve, de azért lezárta a munkaállomást, amíg nincs előtte, egy USB-kütyü csatlakoztatásával néhány másodperc alatt feloldható a jelszó ismerete nélkül.

A támadás lényege nagyon egyszerűsítve az, hogy abban az esetben is megkísérli telepíteni az oprendszer a rá csatlakoztatott USB-eszköz illesztőprogramját, ha az egyébként le van zárva, ezt követően pedig az USB-stick minden további nélkül beblöffölheti a rendszernek, hogy valójában egy ethernet-kábelt csatlakoztattak hozzá. Ezt követően a gép, ha korábban wifire volt csatlakoztatva, a vezetékes hálózati kapcsolatot fogja előnyben részesíteni, azon keresztül kísérli meg a hálózati kommunikációt és a megbuherált eszközön lévő, a rendszeren egyébként is létező, de módosított hálózati szolgáltatások indulnak el, konkrétan a DHCP és a Responder szerez olyan jogosultságokat, amivel már elérik a felhasználó bejelentkezési adatait és annak ismeretében feloldják a gépet.

Nagyon úgy tűnik, hogy valóban hatékony, mivel nem sokkal egy hónap elteltével már a neten is rendelhető a Hak 5 LAN Turtle eszköz, konkrétan 50 dollárért, ami ráadásul az összes elterjedetbb Windows-verzió és a legújabb OSX-ek esetén is működik.  

Érdemes megfigyelni, hogy a kísérletezésből, az ötletből mennyire gyorsan válhat piacképes termék, na meg azt, hogy az operációs rendszerek fejlesztői alighanem tudnak a lehetőségről, a megérkező frissítést a felhasználók jórésze alighanem úgysem telepíti, így a módszer a gyakorlatban is használható marad, ha az automatikus frissítés valami miatt le van lőve vagy nem működik, nem is kevés ideig.

Közhelyes, de igaz: minden hekkelhető. Legyen szó akár az ipari vezérlőrendszerek védelmének megkerüléséről, akár egy személyszállító repülőgépről [elvben], de rég ismert, hogy a vezeték nélküli egerek és billentyűzetek kommunikációja is jóideje relatív egyszerűen, olcsón és észrevétlenül lehallgatható, ahogy arról szó lesz a heti Hacktivityn is.

Kép: Techworm

2 Tovább