About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (37),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (11),social web (9),biztonság (8),mobil (8),OSINT (6),jog (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),Google (5),email (5),molbiol (5),felzárkóztató (5),szájbarágó (5),webcserkészet (5),plágium (4),Nobel-díj (4),kriminalisztika (4),terrorizmus (4),big data (4),kultúra (4),genetika (3),pszichológia (3),molekuláris biológia (3),biztonságpolitika (3),CRISPR (3),Android (3),online marketing (3),sajtó (3),élettudomány (3),gépi tanulás (3),Onedrive (3),üzenetküldés (3),jelszó (3),2015 (3),orvosi-fiziológiai (3),Apple (3),Gmail (3),reklám (3),konferencia (3),webkettő (3),biztonságtudatosság (3),kriptográfia (3),levelezés (3),magatartástudomány (3),azelsosprint (3),popszakma (3),hype (3),open source intelligence (3),torrent (3),nyelvtechnológia (3),bejutas (2),tweak (2),villámokosság (2),cas9 (2),Yoshinori Ohsumi (2),Hacktivity (2),génterápia (2),fiziológia (2),természetes nyelvfeldolgozás (2),Reblog Sprint (2),bűnügy (2),Pécs (2),nyílt forrású információszerzés (2),webkamera (2),deep web (2),P2P (2),Netacademia (2),arcfelismerés (2),DDoS (2),Balabit (2),bűnüldözés (2),TOR (2),kulturális evolúció (2),ransomware (2),hitelesítés (2),SPF (2),Whatsapp (2),neuropszichológia (2),szabad információáramlás (2),FUD (2),DKIM (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),szociálpszichológia (2),tanulás (2),biológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

A hekkerré válás tanuláspszichológiája


tanulás pszichológia tanuláslélektan hekker hogyan tanulás a neten tanulási technikákKiből válhat hekker? Mi kell hozzá, hogy valaki igazán jó hekkerré váljon? Valóban olyan misztikus terület az informatikai biztonság, hogy az ide kapcsolódó területekben való járasság csak egy szűk, magasan képzett, esetleg zseni elit kiváltsága? És nem utolsó sorban – milyen tanuláspszichológiai faktorok játszanak szerepet abban, hogy valaki ezen a területen minél rövidebb idő alatt legyen minél jobb? Nosza, vegyük sorra!

Törzsolvasóim már tudják, hogy utálom a magyarba átjött hekker kifejezést a pejoratív töltése miatt, nagyon nem szeretném összemosni a másoknak segítő etikus hekkereket a feketekalaposokkal és a konzervszkriptekkel dobálózó hülyegyerekekkel, de a poszt tárgya egész egyszerűen nem ez. Amiről írni fogok, hogy azok az ismeretek és az a jártasság, amit máig valamiféle misztikus köd leng körül, hogyan szerezhető meg, különböző szinteken.

Tehát ki is lehet hekker valójában, mit szoktam mondani azoknak, akik azzal kapcsolatban érdeklődnek, hogy hogyan érdemes nekifutni az informatikai biztonsággal kapcsolatos ismerkedésnek? A kérdés első részére a válasz röviden: bárki, igazából nem igényel olyan képességet vagy tudást, amit ne lehetne megszerezni, mi több, az a gondolkodásmód, amit jobb magyar kifejezés híján csak simán hacker mentality-nek nevezünk, van, akiben megvan, van, akiben kevésbé, de még ez is fejleszthető.

tanulás pszichológia tanuláslélektan hekker hogyan tanulás a neten tanulási technikákA bővebb válasz, hogy természetesen az előbbi nem azt jelenti, hogy seperc alatt meg lehetne szerezni azt a tudást, amivel valaki alaposan képes átlátni egy-egy informatikai rendszer esetleges sebezhetőségeit, legyen szó egy operációs rendszer vagy az által futtatott szolgáltatásokról, alkalmazásokról, ahogyan nem tanulható meg pillanatok alatt a biztonságos alkalmazások fejlesztése, a secure coding sem, azaz az, hogy hogyan írjunk az adott környezetben elvárható mértékben törésbiztos szoftvert.

A bővebb válasz, hogy ahogyan természetesen minden más területen, ezen a területen is vannak olyanok, akik intellektusuk, motivációik és más pszichológiai paraméterek alapján tehetségesebbnek mondhatók, mint a többiek. Többen hivatkozták már azt a kutatást, amiben a kutatók a legkülönfélébb területeken igen jó vagy kimondottan kivételes teljesítmény elérő sportolókat, zenészeket, kutatókat vizsgáltak arra keresve a választ, hogy mi lehet bennük közös. Találtak is jópár közös jellemzőt, ezeknek viszont egyike sem volt olyan, ami szorosan korrelált volna az elért eredményekkel, teljesítménnyel, amiben sok meglepő nincs, hiszen nem csak egy sakkjátékos és egy festőművész járhat be teljesen eltérő utat, hanem még ugyanazon a területen kiemelkedő személyek is teljesen eltérő úton érhetnek el hasonló szintre. Volt egyetlen közös jellemző, ami sokkal jobban korrelált minden más tényezőtől, mégpedig az, hogy minden kiugró tehetség mögött tízezer óra vagy annál több időnyi gyakorlás állt.

Azaz igen, ha valaki vérprofi szeretne lenni, nincs mese, összességében ennyi idővel kell számolnia a kiemelkedő szint eléréséig, az más kérdés, hogy ha valaki nem szeretne vérprofi lenni, csak valamilyen szinten el szeretne mélyülni egy-egy területen, annak is megvan a haszna. Azt írtam, hogy tízezer óra. Mielőtt esetleg valaki elkezdene azzal kapcsolatban matekozni, hogy akkor ez napi bontásban mennyit is jelent, ha valaki éveken keresztül gyakorol, írom, hogy ennyire azért nem egyszerű a dolog. Amikor valaki, aki később profivá válik, nyilván nem a naptárat nézi, hogy letermelte-e már az aznapi gyakorlás adagot és persze nem kimondottan azért foglalkozik azzal a területtel, amivel, hogy majd komoly elismerésekre tegyen szert.

A kutatást, gyakorlást, valami iránti érdeklődést önmaga hajtja! Remek kérdés, hogy egy regényíróban milyen mentális folyamatok játszódnak le, amikor arra törekszik, hogy a regénye minél profibb legyen, ami biztos, hogy azok, akik később komoly szakértelemmel rendelkező hekkerek lesznek, olyannyira hajtja őket az érdeklődés egy téma iránt, hogy nem ritkán megfeledkeznek arról is, hogy mennyi ideje nem aludtak, elfelejtettek enni, több napos a borostájuk, tényleg addig csinálják, amíg bele nem alszanak.

tanulás pszichológia tanuláslélektan hekker hogyan tanulás a neten tanulási technikákSe szeri, se száma annak a sok wannabe-sikerembereket célzó Mashable és az ál-értelmiségi Business Insider cikknek, ami a hatékony időbeosztásról szól, mintha az lenne a siker kulcsa. Igen, vannak esetek, amikor tényleg az idővel kell tervezni, de sokkal inkább olyan esetekben, amik nem kimondottan érdeklik az embert, amilyen lehet például egyetemen egy kötelezően pocsék tárgy, amiből le kell majd vizsgázni. Ami viszont nagyon, de tényleg nagyon fontos, hogy aki igazán produktív szeretne lenni, nem az idejével, sokkal inkább az energiájával gazdálkodik és ez a lényeg! Azaz amikor egy gazdaságmatematikus egy komoly, masszívan matematikai természetű, nagy téttel járó feladat megoldásán dolgozik, a munka nem is fog munkának tűnni akkor, ha motivált a feladat megoldásában, esetleg az sem érdekli, hogy egy ideje elfelejtett fogat mosni vagy éppen zuhanyozni. A flow-állapotban végzett munka pedig végülis nem tűnik munkának és utólag baromira fáradt lehet ugyan az illető, viszont rövidebb idő alatt, sokkal hatékonyabban, ötletesebben oldotta meg, amit kellett, miközben sokkal több új dolgot tanult meg ahhoz képest, mintha szigorú időbeosztás szerint végezte volna el a feladatot. Ez persze nem jelenti, hogy az időtényezőt figyelmen kívül lehetne hagyni, csak arra utalok, hogy az egész világ teljesen rá van pörögve arra, hogy a hatékony időgazdálkodás mennyire fontos, holott az igazi nagy teljesítmények mögött minden esetben a hatékony energiabeosztás fedezhető fel, ennek megfelelően kialakított időgazdálkodással, akár tisztában van vele az illető, akár sem. Persze nincs vegytiszta eset, alighanem az élettan vizsgájára készülő orvosis egyetemista időben is beosztotta, hogy milyen ütemben haladjon végig a végeláthatatlannak tűnő tankönyv anyagán, az élettan például pont az a tárgy, amit konkrétan esélytelennek tűnik megtanulni akkor, ha az illetőt nem érdekli valamilyen szinten a téma, a tanulási rutin megszerzése közben, még ha nem is tud róla, megtanul hatékonyan gazdálkodni az energiájával is.

Ha valaki el szeretne mélyedni az informatikai biztonság valamelyik területében, lényegében semmi különleges vagy beszerezhetetlen eszköz nem kell hozzá, ugyan számtalan fölöslegesen lefutott kör spórolható meg azzal, hogy az érdeklődő tőle a területen sokkal tájékozottabbakkal beszél, intenzíven használja a komolyan vehető szakmai fórumokat. Viszont nyilván nem lehet megszerezni egy olyan típusú tudást, aminél a lényeg, hogy bizonyos értelemben a sarkából fordítunk ki valamit, ha nem tudjuk pontosan, hogy miről is van szó.

Ez azért írom le, mert bármilyen elképesztő is, találkoztam már olyan etikus hekkerek képzésével foglalkozó szervezettel, ahol halál komolyan elmondták, hogy semmilyen előismeret nem szükséges ahhoz, hogy ők valakit etikus hekkerré képezzenek. Mindenesetre ez azért pragmatikus bizonyíték rá, hogy nem ritkán amikor valaki nagyon szeretne elhinni valamit, akkor a leglehetetlenebb hülyeséget is elhiszi.

Normális helyeken nem áltatják az érdeklődőket, hanem világossá teszik, hogy milyen előismereteket feltételez egy-egy kurzus különböző szinten illetve ha az érdeklődő nem rendelkezik a szükséges előismeretekkel, arra is tudnak bevezető jellegű kurzust javasolni.

Ami elengedhetetlenül szükséges, az elterjedtebb operációs rendszerek és azok szolgáltatásainak valamint a hálózatok működésének ismerete és persze minél stabilabb programozási tudásra tesz szert valaki, annál jobb. Elengedhetetlenül szükséges, de szó sincs arról, hogy expert szintre kellene fejleszteni. Ha valaki nem mozog tökéletesen otthonosan valamilyen programozási nyelvben, amiben egy adott program egy trükkel rábírható, hogy teljesen mást csináljon, mint amit kellene, magát a trükköt még meg fogja érteni, feltéve, hogy a trükk nem túl bonyolult. Mi több, az általam csak tankönyvi példáknak nevezett sebezhetőségek logikájukban azok számára is érthetőek, akik esetleg egyáltalán nem tudnak programozni.

tanulás pszichológia tanuláslélektan hekker hogyan tanulás a neten tanulási technikákJópár évvel ezelőtt magyar nyelven is megjelent egy könyv, végülis durván megtévesztő címmel, ami a webhelyek sérülékenységek legegyszerűbb eseteit vette sorra, azaz arra épphogy alkalmas volt, hogy az olvasó megértse a leggyakoribb támadási típusok logikáját, arra már nyilván nem, hogy egy könyvből megtanuljon webhelyeket megbolondítani vagy biztonsági szempontból tesztelni.

Tehát első körben az operációs rendszerekkel, a hálózatokkal és persze a programozással kell megismerkedni, ugyan mindenki másra esküszik, valójában a különböző módszereknek mind megvannak az előnyei. A jól felépített könyvek kiválóan alkalmasak arra, hogy folyamatosan vezessék be a tanulni vágyót a témába, valamint utána vissza lehet lapozni a megfelelő részhez, ha később valami nem világos. Persze, van ismerős, aki több programozási nyelvben programozni teljesen könyv nélkül tanult meg, viszont szinte minden ilyen esetben arról van szó, hogy korábbról már volt tapasztalata más programozási nyelven. Szokás mondani: programozni könyvből megtanulni nem lehet. De könyv nélkül még annyira sem – szoktam hozzátenni, ami annál inkább igaz, minél kevesebb előismerettel rendelkezik valaki.

tanulás pszichológia tanuláslélektan hekker hogyan tanulás a neten tanulási technikákAmi az operációs rendszerek és hálózatok működésének ismeretét illeti, szintén érdemes lehet beszerezni valamilyen jobb könyvet, amiből magyar nyelven nincs túl sok a könyvpiacon, ami viszont még fontosabb, hogy az érdeklődő merjen kísérletezgetni, a rendszerrel, amihez már rég nem szükséges például valamilyen linux disztró esetén külön partíciót létrehozni, hiszen bármikor varázsolhat magának bárki egyet virtualizált környezetben annak kockázata nélkül, hogy néhány rossz mozdulattal kinyírná a gépét.

Igazából mindegy is, hogy miről van szó, abban az esetben, ha valaki érzi, hogy valamilyen területen sikert tud elérni, akár rövid idő alatt is, azt a kognitív pszichológia modellje szerint biztosan gyakrabban fogja csinálni, erre utaltam, amikor korábban arról írtam, hogy mindegy, milyen területről van szó, fejlesztők, művészek vagy gördeszkások, önmagáért az élményért teszik azt, amit tesznek és lesznek benne egyre jobbak /*ennek neurofiziológiai alapjairól műértők erre olvashatnak*/.

tanulás pszichológia tanuláslélektan hekker hogyan tanulás a neten tanulási technikák

A jutalmazás természetéből adódik, hogy ha azonnal akarunk profik lenni, akkor falnak megyünk, el kell találni a megfelelő tempót, amiben érdemes haladni, a programozás területén például érdemes tudni, hogy első programozási nyelvnek biztos, hogy nem a C a legjobb, mivel relatív nehezen azonosítható problémákba ütközhetünk, aztán mehet a hajtépés éjszakákon át a Stackexchange fölött. Egy sokkal inkább baráti, emberi, mégis nagy teljesítményű és általános célú programozási nyelvnél, mint amilyen a Python vagy a PHP, gyorsabban érhető el látványos eredmény és nem mellékesen olyanoknak is könnyen elmagyarázható majd a programkód, akiknek eredetileg közük nem volt a programozáshoz.

Ugyanakkor jó lehet kezdésnek az olyan, cizelláltabb nyelvezetűnek tűnő nyelveken való tanulás is, mint a Java vagy a C#.

A neten több webes szeminárium érhető el, ami alapján bárki otthon, követve az előadó magyarázatát step-by-step tanulhat valamit, ami hatalmas különbség ahhoz képest, amikor diasorokkal nyúzzák a hallgatóságot. Egyrészt lényegében a hallgató a vizuális és persze magyarázatokon keresztül jövő hangingereken túl azzal, hogy a tanár után csinálja a feladatokat, a kinesztetikus memóriáját is használja, lévén, hogy nem csak akkor fontosak a tudatos mozdulatainkhoz kötődő mozgások készség szintűvé fejlesztése, amikor valaki balettáncosnak tanul! Saját tapasztalatból írom, hogy az orosz és az arab írásrendszerét a legkönnyebb úgy megtanulni, ahogy általános iskolában tanították a latin ábécét: egy-egy betűt egymás után vagy egymásra írni, de nagyon sokszor.

Ha magyar játékosokról van szó, az egyik legkomolyabb versenyző a pályán a Netacademia, amelyik 8-40 órás videókurzusokat is kínál különböző témakörökben, ami persze nem azt jelenti, hogy egy 8 órás kurzus interaktív végiggyakorlása után az előfizető tökéletesen pöpeccé válna a témában, több-kevesebb önálló gyakorlásra is szükség van. Viszont azok a videók, amik live streamben mennek a kurzus alatt, később bármikor újranézhetőek, ilyen módon ha valaki el is vesztette volna a fonalat, bármikor visszatekerhet és újranézheti.

A Netacademia az olyan világméretű játékosokhoz hasonlóan, mint a Khan Academy, kínál ingyenes kurzusokat is, a nagyon-nagyon sok különbség közt kiemelném, hogy akár érzékeli valaki, akár sem, az anyanyelvén gyorsabban értelmezi azt, ami teljesen új ismeret számára.

Még mindig abba szocializálódunk, főleg a matematika kapcsán halljuk, hogy „nincs királyi út”. A dogma dolga dőlni, itt is hasonló a helyzet. Semmilyen terület elismert szakértője sem nagyon nyilatkozik úgy, hogy milyen kínkeserves lett volna megszereznie a tudást, amin az előbb emlegetett reward-mechanizmusokon kívül nyilván annak lehetett szerepe, ahogyan az adott tananyagra kezdőként tekintettek, másrészt amilyen módszereket a tanulási technikákat választottak. Nagyon nagy emberekhez hasonlítgatni az átlagot sosem szerencsés dolog, viszont nem tudhatjuk, hogy a történelem legnagyobb hatású tudósai közül ma mennyien választanák a videószemináriumokat, ahol rövid idő alatt, interaktív módon juthatnak sok információhoz.

Mert ami a tanulási technikákat illeti – van, aki leleményesebben tanul, van, aki látszólag kevésbé, szinte független az intellektustól és a motivációtól, hogy valaki ráakad-e arra, hogy milyen tanulási módszer a leghatékonyabb számára, hacsak nem próbál ki többet is. Egy pillanatig se felejtsük el, hogy a tanulás és tudás több, mint az emlékezet! Ha valakit behatóbban érdekel az emlékezet működése, húzza elő Alan Baddeley Az emberi emlékezet című könyvét, ami az új készségek elsajátítása szempontjából sokkal érdekesebb Peter Bednorz és Martin Schuster Bevezetés a tanulás lélektanába könyve vagy éppen ennek a kimondottan gyakorlatra szabott változata, a Martin Schuster Tanuljunk meg tanulni! könyve, amivel kapcsolatban érdekesség, hogy a megjelenése óta követhetetlen, hogy mennyien akarták a benne leírt, bizonyítottan hatékony tanulási technikákat vagy saját fejlesztésként beállítani vagy szimplán újra eladni, de már a saját könyvükben. Azon az orvosi egyetemen, ahol a szerző tanít, felkeltette az érdeklődését, hogy miért lehetséges, hogy egyes hallgatók kisebb energiabefektetéssel jobban teljesítenek, mint mások, akik már-már vért verejtékeznek a tudásért, ezért folytatott kísérleteket évtizedeken keresztül, amit követően az elvben pofás és ígéretes, de a gyakorlatban megbukott technikákat elvetette, míg a valóban hatékonyakat tovább vizsgálta, mire megszületett a tanulás alapműve.

Azaz a ma bizonyítottan hatékony tanulási technikákra senkinek sem kell magától rájönnie, ha azt már megtalálták és alaposan dokumentálták mások. Ha pedig kimondottan informatikai ismeretekről van szó, ne dőljünk be az azonnali és gyors sikert ígérő, a semmiből előtűnő programozástanulást kínáló szervezeteknek, amikor tudvalevő, hogy melyek azok a hazai piacon, amik már bizonyítottak, valóban erősek a hallgatói visszajelzések alapján.

9 Tovább

Semmi új: mindenki FB-üzenetei olvashatók voltak egy egyszerű trükkel


Két nappal ezelőtt hozta nyilvánosságra Ysrael Gurt, a Cynet kutatója azt a sebezhetőséget, amit kihasználva egy nagyon egyszerű trükkel bárki olvashatta másvalaki összes üzenetét, eddig, mivel a Facebook most végezte el a bugfixet. Arról már volt szó, hogy ne bízzunk egy szolgáltatásban csak azért, mert több száz millióan, jelen esetben pedig több, mint egy milliárdan bíznak benne, ami meg konkrétan a Facebookot illeti, a hiba még akkor is több, mint durva, ha figyelembe vesszük, hogy az üzenetküldőt messze nem bizalmas üzenetek továbbítására találták ki, majd írták át egy egyszerű XMMP-alapú chatmodulból. Nyugi, nem szedem elő ismét azt a rémesen nyomasztó jelenséget, hogy már sokan már a Messengert használják az email helyett annak ellenére, hogy mennyi elképesztő, Messengert érintő sebezhetőség jelent meg csak idén.

A mostani sebezhetőség lényege, hogy amikor csetelés vagy üzenetküldés közben a kliens XML HTTP kéréseket küld, közben egy Javascript folyamatosan ellenőrzi, hogy a kommunikáció valóban a kliens és a Facebook csetszervere közt történik-e, teszi mindezt a kérésekkel továbbítódó Access-Control-Allow-Origin és Access-Control-Allow-Credentials fejlécekkel dolgozva. A bökkenő csak az, hogy a Facebook egyedileg implementált, oldalon keresztüli kéréseket ellenőrző része megtéveszthető egy rosszindulatú, az áldozat által gyanutlanul lefuttatott Javascript-kóddal olyan módon, hogy az üzenetfolyam _bármilyen_ szerver, jelen esetben mondjuk a támadó szervere irányába menjen illetve legyen hozzáférhető. Az eredmény: a támadott felhasználó összes üzenete, annak minden csatolmányával, teljes egészében ellopható. A hiba természetesen minimum azóta rohad a Facebook üzenetküldőjében, mióta átálltak az XMMP-szerű rendszerről, azaz több éve.

A támadás kivitelezéséhez nem kell sztárhekkernek lenni, bárki kivitelezhette, aki jártas a webfejlesztésben.

A bejelentés egyszerűsített változata itt érhető el a műértők számára érdemes megnézni a teljes bugreportot itt

Az Originull-nak csúfolt sebezhetőség PoC-videója pedig itt tekinthető meg

Alighanem többen vannak, akiket a technikai részletek kevésbé érdekelnek, ezért írok egy kicsit arról is, hogy milyen, technikai problémán messze túlmutató hatása van annak, hogy világméretű szolgáltatások ilyen fájdalmas hibákat tartalmaznak. Ugyanis az este mutattam egy fejlesztő ismerősnek, aki eljópofizta a dolgot, amivel instant sikerült felidegesítenie.

A Gartner előrejelzése szerint 2020-ra a felhasználói információk átlagosan kétharmad-háromnegyed részben semmilyen módon nem lesznek megvédhetőek, ami ha valóban bekövetkezik, akkor egy eléggé vérfagyasztó szingularitás küszöbén állunk, ami a teljes civilizációra komolyabb hatással lesz, mint első blikkre tűnik. Mire gondolok konkrétan?

Egyrészt ismert, hogy mióta kialakult a mai értelembe vett emberi kommunikáció, megelőzve az írásbeliséget, ezzel egy időben jelent meg az emberben annak az igénye, hogy amit a másikkal közöl, bizonyos esetekben ne tudja mindenki. A civilizációk többségében ha négyszemközt mond az egyik fél valamit a másiknak, akkor azt nyilván azzal az elvárással teszi, hogy az az információ valóban köztük marad, hiszen számos esetben nagyon súlyos következménnyel is járhat az, ha valakitől vagy valakiktől széles körben elérhetővé válna olyan közlés, amit titokban kellene tartaniuk. És még csak nem is kell nagy dolgokra gondolni, teljesen köznapi esetekben is vannak ilyenek, hacsak valaki nem egy remete, mondott már el olyan a bizalmasainak, amik ha nyilvánosságra kerülnének, minimum vércikik lennének, de sanszos, hogy az illetőnek az egzisztenciája, melója, önbecsülése veszne oda.

Másrészt több modell igazolja, hogy a társadalmat stabilizáló egyik legfontosabb tényező az emberek egymás közti általános, egymásba fektetett bizalma, amit nyilván teljesen aláás az, ha semmit sem lehet mondani úgy senkinek, hogy ne kelljen attól tartani, hogy az a közlés bizony simán kikerülhet. Világos, hogy egy ilyen világban még a legidiótább, legnihilistább embertársunk sem élne szivesen.

Mindezek ellenére a felhasználók döntő része egyszerűen csak legyint az egészre, jön ezzel a „nekem nincs titkolni valóm” című őrülettel annak ellenére, hogy a kommunikációnk olyan mértékben a netre költözött, hogy nem nagyon tudok elképzelni olyan – csúnyán mondva - jelentéktelen embert, akinek ne lehetne okozni súlyos érdeksérelmet, ha csak úgy bele vájkálnának a netes magánéletébe és elkezdenék teregetni, amit találtak, mondjuk egy kirúgott ex.

Amit a tömeg egyszerűen nem ért meg, mi több, alighanem nem is gondolt rá soha, hogy nem csak azoknak az információknak a bizalmasságáért, sértetlenségéért felelős, amiket ő irkál másoknak, akár email, akár IM-üzenet, hanem minimum morális felelősséggel tartozik azért is, hogy megőrizze azoknak az adatoknak a bizalmasságát, amit neki küldött más annak tudatában, hogy azt csak a címzett olvassa majd, legalábbis más nem nagyon. Vegyük észre, hogy előállt egy olyan hülye paradox helyzet, hogy ma az emberek hallgatólagosan elvárják egymástól, hogy amit egymással magánüzenetben közölnek a neten, az bizalmasságát tekintve legyen olyan, mint egy négyszemközti beszélgetés, ugyanakkor egyáltalán nem szocializálódtak bele abba, hogy ennek a feltételeihez alkalmazkodniuk kell, hasonlóan ahhoz, amikor valakinek súgva mond valaki másnak valamit.

Messze nem lehetetlen, hogy konkrétan elszabaduljon a pokol, ha nem szokik hozzá egyszerűen mindenki ahhoz, hogy hogyan kommunikáljon magánban a neten ésszel, éberen, tudatosan. Miért mindenki? Azért, mert én hiába járok el a legnagyobb körültekintéssel, amikor valakinek üzenetet küldök, ha az illető nem veszi komolyan azokat az újonnan megjelenő játékszabályokat a kommunikációban, amik civilizációs léptékben a levelezés vagy könyvnyomtatás megjelenésével összemérhetőek, ilyen módon tőle kikerülhet az az információ is, amit én küldtem neki bizalmasan.

Ennél jobban komolyan nem tudom elmagyarázni, hogy én amolyan tüneti kezelésként miért kérek mindenkit, hogy emailt küldjön, hívjon fel vagy ha már nagyon szeret csetelni, legalább ne valamilyen hulladékot használjon, hanem olyan alkalmazást, amit sejthetően nem lehet csak úgy megroppantani, így például Telegramot, esetleg Signalt.

Többször volt már olyan, hogy valaki nekem valamilyen traumáját nem tudta szóban elmondani, ezért elküldte emailen. Na most akkor szépen képzeljük el, ha a feladó által elküldött levelet nem csak én olvashattam volna, hanem én, plusz a csajom, plusz a legjobb barátom, akikkel alighanem a másik nem osztott volna meg egy olyan többéves traumát, amit velem osztott meg először. Oké, ilyen jellegű levelet azért nem sokat kaptam, viszont olyat rendszeresen kapok, amit a szakmai tartalma miatt felelősségem megfelelően védeni.

Hogy milyen lesz a magánszféra szép új világa? Sejthetően egy rakás, a semmiből megjelenő, parasztvakító cég fog még megjelenni, miközben még a legelővigyázatosabb felhasználó is majd csak lesegethet, mint pocok a lisztben, ha egyetlen hülye levelezőpartnere miatt a teljes köztük lefolytatott levelezés vagy más üzenetküldés kikerül, esetleg felkerül a Pastebin-re vagy a szürke- vagy feketepiacon adják el HR-cégeknek vagy egészségbiztosítóknak, miközben a magánéletét közösségi weben rutinszerűen kiteregető birkanyáj ilyen-olyan kormányzati megfigyeléstől tart.

0 Tovább

Vérciki hibát találtak a világ egyik vezető vírusirtójában magyar kutatók


antivírus Panda Silent Signal MD5 hash szájbarágó ITsec kriptográfiai függvényA Silent Signal kutatói hétfőn egy blogposztban számoltak be róla, hogy a világ egyik vezető biztonsági csomagja, a Panda Adaptive Defense 360 olyan hibát tartalmaz, amit kihasználva az antivírus motor simán megengedi rosszindulatú kód lefutását, ha az azt tartalmazó fájlt tévesen fehérlistára tette a víruskergető. A Silent Signal nem először mutat rá éppen olyan termékek hibáira, amik éppen informatikai rendszerek biztonságát kellene, hogy fokozzák.

Haladó felhasználók most ne olvassanak tovább, szájbarágó poszt következik, több helyen egyszerűsítésekkel.

Hogy mennyi kártékony kód létezik a világon, csak nagyságrendileg sejthető, egy eléggé megbízható forrás szerint az azonosított vírusok száma 2016-ban 600 millió körül járt és közel négyszázezer új rosszindulatú kód jelenik meg naponta, ugyan ezeknek egy jókora része korábbi vírusok polimorfjai.

A vírusirtók gyártói már régen olyan megoldásokat építettek a termékeikbe, amik nem csak ismert vírusok után keresnek, hanem például az éppen futtatott alkalmazások és szolgáltatások viselkedéséből következtetnek rá, hogy a gép vírusfertőzés áldozata lett. Emellett gyakori egy másik, igencsak megbízhatónak látszó megoldás az ún. fehérlisták összeállítása, azaz amikor a security suite telepítését követően a védelmi szoftverek megjegyzik, hogy mely fájlok futtathatóak anélkül, hogy különösen szaglászni kellene őket, hiszen így az egész kevésbé lassítja a gépet, akár egy végponti gépről, akár egy szerveroldali megoldásról van szó. Ilyenek például a Windows megszokott szolgáltatásai, gyakran használt alkalmazások, a fehérlista pedig később bővíthető egy-egy új alkalmazás telepítése után, jó esetben úgy, hogy a víruskergető azért előtte ehhez a felhasználó szives beleegyezését kéri.

Abban az esetben, ha az AV termék a fájlokat például önmagában a nevük alapján jegyezné meg és tenné fehérlistára, szinte értelmetlen lenne, hiszen a vírusok ezt kihasználva egyszerűen felülírnának egy legitim, fehérlistán lévő fájlt egy olyannal, ami rosszindulatú kódot tartalmaz, majd a fertőzött fájl legitimként futna le. Ezért a biztonsági termékek inkább elkészítik a fájl teljes ún. hash-lenyomatát és mindig ezt használja a fájl azonosítására. A hash-érték pedig függetlenül attól, hogy miből generálódott, állandó, de kis hosszúságú, például 128 bit.

Egyszerűsítve, ha az elindított alkalmazáshoz vagy szolgáltatáshoz tartozó fájl apró hash-értéke egyezik azzal, amit a víruskergető korábban tárolt, akkor futtatható, ami nyilván sokkal gyorsabb, mintha a teljes, akár több megabájtos fájlt tárolni kellene, majd az elejétől a végéig mindig megnézni, hogy egyezik-e a korábban tárolttal.

Ideális esetben természetesen egy adott tartalomhoz, jelen esetben egy fájl tartalmához csak egy hash-érték tartozhat illetve olyan hash-algoritmust használ egy jólnevelt szoftverrendszer, amit nem lehet csak úgy becsapni, hiszen ekkor a vírusok akár fehérlistás alkalmazásoknak is álcázhatnák magukat.

Viszont nyilván vannak erős, ugyanakkor rosszul leprogramozott vagy egyszerűen becsapható hash-algoritmusok, mint amilyen a Panda terméke által használt, eltéríthető MD5 algó.

A leginkább para pedig az az egészben, hogy egy olyan termékben, amelyik biztonsági csomagként azért lenne felelős, hogy biztosan azonosítsa a biztonságos és esetlegesen kártékony folyamatokat, ez simán eltéríthető, ahogy azt a Silent Signal egy videón keresztül be is mutatja.

Adja magát a kérdés, hogy akkor mégis miért használnak még biztonsági termékekben is MD5 algót valamilyen más helyett? Több lehetséges tippem is van, az egyik legerősebb érv talán a fejlesztői lustaság és megszokás, ami jelen van függetlenül attól, hogy biztonsági csomagot vagy valamilyen faék egyszerűségű appot kell fejleszteni.

Kép: blog.varonis.com

0 Tovább

Web 2, pszichológiai hadviselés, miegymás


tömegmanipuláció pszichológiai hadviselés social media social web Facebook szociálpszichológiaAz utóbbi néhány hétben boldog-boldogtalan cikkezetett róla, hogy vajon annak, hogy tudományosan igazoltan a hülyeség jobban terjed a közösségi weben, mekkora szerepe letett Trump megválasztásában és egyáltalán, mennyire befolyásolja egy-egy web giant a világot. Ha már többször vizsgáltam már graybox-módszerekkel a Facebookot, a tömegkommunikáció természetével kapcsolatos híreket is követem olyan 10 éve, engedtessék meg nekem, hogy én is írjak a témáról néhány kósza gondolatot.

Az Origótól kezdve a 24.hu-n át a 444-ig igencsak rápörögtek néhányan arra a témára, hogy a közösségi média élén a Facebookkal, gyakorlatilag visszaélve a hatalmával befolyásolja a tömeg véleményét, még ha nem is rossz szándékkal vagy egyáltalán szándékosan, hanem olyan módon, hogy a magasabb profit érdekében nem tiltja ki a nyilvánvaló álhíreket terítő tartalmakat. Aki nagyon lemaradt: a Facebook azzal védekezik, hogy ők csak egy tech cég, megint mások az ún. buborék-effektust emelik ki, aminek az a lényege nagyon röviden, hogy mindenki elé főként olyan tartalmak kerülnek a Facebookon, amikről a rendszer azt prediktálta, hogy érdekelni fogja a felhasználót. Többek közt a korábbi lájkjai, kommentjei, megosztásai, egy az egyben, az addigi aktivitása alapján. Márpedig mindenki olyannal szembesül és foglalkozik szivesen, amivel alapvetően egyetért, többek közt ezért a Facebook egyfajta buborékban, alternatív valóságban tartja a felhasználókat, ahol ha például az illető fő érdeklődési területe a chemtrail és az oltásellenesség, azzal kapcsolatos információk fognak elé zuhanni, erősítve korábbi nézeteit. Tegyük hozzá, egy felhasználó ismerősei is nyilvánvalóan több szempontból hasonlóan gondolkoznak a felhasználóhoz, azaz természetesen az ismerősök felől is a felhasználó értékrendjéhez, világnézetéhez passzoló információk fognak a felhasználóra zúdulni, azok bármiféle igazságtartalmától függetlenül. A dolgot pedig tovább erősíti többek közt az az effektus, hogy hasonló gondolkodású közegben az egyén hitében még inkább megerősítve fogja érezni magát.

Azaz több felhasználónál dübörög a hülyeség ezerrel, hasonlóan ahhoz, hogy mondjuk egy, a kkv-k gazdaságtana iránt érdeklődő cégvezető ismerősei közt többen lesznek hozzá hasonlóak és többet témázgatnak arról, ami érdekli őket, több vállalkozásokkal kapcsolatos hír fog megjelenni a falukon.

A probléma – amiről nem biztos, hogy probléma – nagyon sokak szerint nyilván azokkal a felhasználókkal van, akik tömegesen a hülyeségre harapnak, ahogy azt Erdélyi Péter alaposan ki is vesézte annak az álhírnek a kapcsán, hogy a Clinton házi levelezőszervere után nyomozó egyik FBI ügynököt Clinton eltetette láb alól.

Ha az emberek hülyék, nyilván nem jó. Hogy miért nem, azzal könyvtárakat töltöttek meg. Viszont itt is korábban írtam róla, hogy egy-egy nettó ostobaság hogyan szivároghat fel a plebstől a legfelsőbb döntéshozói szintig egy kultúrában, ahogy arról is, hogy egy-egy kultúrában az általános tájékozottság mértéke és a jólét közt egyértelmű összefüggés van, rövidebben szólva, nem csak az elitnek és a kutatóknak kell tájékozottnak lenniük és hogy ennek mi az oka.

A buborék-effektus nyilván egy létező jelenség, viszont akárhogy kerestem, nem láttam bizonyítottnak, hogy komolyabb globális hatása lenne annak, hogy a veszélyes ostobaság hatékonyabban és sokkal gyorsabb információs útvonalakon terjed, mint a közösségi web előtti időben. Azaz a most nagyon divatos elmélet pofás, csak a tudományos igényesség próbáját nem állja ki, akármilyen neves gondolkodók is cikkeztek róla korábban és cikkeznek most is.

Persze, ahogy jelennek meg újabb és újabb eszközök a tömegmanipulációban, a professzionális kampányok lebonyolításakor és a pszichológiai hadviselésben, ezek vélhetően sokkal szofisztikáltabban tudják elérni a céljukat. A közösségi web aktivitását és annak társadalomra kifejtett hatását azok az államok, amelyek erőforrásaik alapján megtehetik, folyamatosan monitorozzák is.

Viszont, viszont, viszont. Ha elképzelünk egy olyan világot, ahol az internet penetráció hasonló a mostanihoz, ugyanakkor nincs web 2, viszont vannak levelezőlisták, hírcsoportok, klasszikus fórumok és a klasszikus chat, nincs okunk feltételezni, hogy a társadalom jobban szegmentálódna, mint amennyire szegmentálódik most! Azaz igen, lennének az oltásellenes, angyalhívő, ufóimádó levelezőlisták, hírcsoportok, a felhasználók egy része oda csoportosulna és persze megerősítenék egymást a hitükben, akármilyen elvont hülyeség is. Hasonlóan, ugyanúgy meglennének a normálisabban gondolkozó, adott világnézetet és értékrendet valló felhasználók csoportjai, de külön-külön szigeteket alkotva, amelyek közt nem igazán lennének perkolációs pontok, azaz egy-egy ilyen sziget nem igazából cserélne információt egymással.

Sok-sok évvel korábban már előhúzták azt a témát, hogy a weben bizonyos szolgáltatók amint elérnek egy kritikus méretet, akkor alkalmassá válhatnak tömegmanipulációra, ahogy ennek teljes irodalma van a Google keresője kapcsán is. Aztán most az aktuális főgenya a Facebook.

Ami nagyon szórakoztató az egészben, hogy több, a téma iránt magas szinten érdeklődő és kutató újságíró, szociológus és pszichológus rápörgött a témára, aztán pont az a hatás érte utol őket, amit kutattak: meggyőződésükké vált, hogy közösségi web manipulatív, néphülyítő hatású, jelen formájában nagyon veszélyes, mi több, többen addig mentek el, hogy mindezt valamilyen módon kordában kellene tartani.

Értelemszerűen még sosem használták a netet annyian, mint most, ahogy a net sem volt korábban ennyire kiterjedt és olcsón elérhető. De egyszerűen nem látom bizonyítottnak, hogy például egy Facebook nélküli világban a veszélyes hülyeségek, álhírek kevésbé lennének érezhetőek globálisan, nem lenne szó sokkal többről, hogy a valós, értékes és valótlan, értéktelen információk nem koncentrálódnának egy vagy néhány vezető szolgáltatásban, mint most.

Kép: learningtimes.net

1 Tovább

Paráztat a Google, de nem mondja meg, hogy miért


Google G Suite megmagyarázhatatlan megmagyarazhatatlan ITsecVolt itt már szó arról, hogy nem a legbölcsebb dolog egy olyan cég infrastruktúrájára támaszkodni és ott tárolni minden felhasználói adatot, ami egyrészt elad kilóra, másrészt a közvélemény úgy tudja róla, hogy bizony a Google azért nem ad ki adatot csak úgy holmi hatósági megkeresésre sem, ahhoz Kaliforniáig vagy ha addig nem is, írországig kell menni jogsegélyért, ott meg úgyis beintenek az adatigénylőnek. Múltkor valamelyik magyar lap, amelyiknek a DNS-adatai alapján gondolom nem csak a teljes levelezését, hanem a többi – pl. Drive – szolgáltatását is a Google vállalati verziója, a G Suite, leánykori nevén Google Apps viszi, arról cikkezett, hogy muhaha, mennyi magyar adatigénylést utasított el a Google, ami amúgy itt tekinthető meg.

A hamis biztonságérzetnél pedig nem sok rosszabb van. Merthogy ha valaki nagyon akar, semmi szüksége rá, hogy a Google-höz intézzen adatkérést egy magyar Google felhasználóval kapcsolatban.

Egy kis ismétlés: arról már írtam, hogy ahhoz, hogy a Google Magyarországon elfogadható sebességgel tudjon szolgáltatni – pláne nagy adatforgalmat generáló tartalmakat [Drive, Youtube] – nincs mese, hazai ún. peering vonalakra van szüksége az adatok előtöltéséhez, ami – most figyeld! – nagyobb sávszélességű, mint a Magyar Telekom és a UPC együttvéve a maga laza 60 gbps-es sávszélességével. Az előtöltéshez persze nem csak külföldi irányból fogadni kell az ésszel felfoghatatlan mennyiségű adatot, hanem nyilván Magyarország területén tárolni is.  Ezt ún. CDN-szolgáltatókkal megállapodva teszi, aminek a lényege, hogy olyan, mintha a Google belföldről szolgáltatna, ugyan már nem vagyok annyira biztos benne, hogy ezek a CDN-kiszolgálói adatparkok hol vannak helyileg, a lényeg viszont, hogy ha magyar felhasználó adatát lopná valaki, nyilván csak a megfelelő szerverhotelt kellene megkörnyékeznie.

Ha még mindig nem világos, hogy ez miért elengedhetetlen, plusz egy kis magyarázat. A netes piacon ha valami brutálisan drága, többet közt az adatátvitel, így ha valaki feltölt egy videóklipet Kanadában a Youtube-ra és azt Magyarországon valaki megnézi, Magyarországra elő is töltődik a tartalom és a többi magyar nézőt már eleve helyből szolgálják ki, nem rohadt drágán transzatlanti kapcsolaton keresztül. Ez nem tűnik annyira parának, viszont az már sokkal inkább az, hogy ha a rendszer azt látja, hogy a leveleid és a Drive-ra töltött fájljaid rendszerint Magyarország területén nézed meg, azoknak is minimum egy példánya itt fog tanyázni. Na most innentől kezdve, hangsúlyozom, technikai szempontból nem sokkal bonyolultabb hozzáférni az elvben Google-által kezelt adathoz, mint egy Magyarországon hosztolt szerver tartalmához, az más kérdés, hogy mit mond a törvény bötűje.

Ahogy korábban már szintén írtam, annyira azért hardeningelt a rendszer, hogy az átlag felhasználót megvédjék a saját hülyeségétől, jelszólopásoktól, primitívebb támadásoktól. Azaz ha például valaki rendszerint Budapestről nézi meg a leveleit, majd fél órával az utolsó belépést követően mondjuk Párizsból lépne be, helyes felhasználói név-jelszó párossal, a rendszer joggal gyanakodhat jelszólopásra a szokatlan aktivitás miatt. A rendszer sikongat, SMS-t küld a felhasználónak plusz tokennel, amit meg kell adnia a jelszó mellett, megkérdezi a másodlagos email-címet vagy hasonló olyan adattal próbálja azonosítani a felhasználót, amit elvileg csak az account tulajdonosa tudhat, ha pedig már nagyon nagy gáz van, lezárja az egészet bekér egy személyi igazolvány scant és 1-3 USD-t, amit olyan bankkártyával kell kifizetni, aminél a bankkártyatulajdonos neve az a név, ami a Google-nél meg van adva, de ez eltarthat pár napig.

Ez az egység sugarú felhasználót megvédi mondjuk a közönséges jelszólopásos támadásoktól.

Na de mi a helyzet kifinomultabb támadás esetén? Elvben már 2012 óta a rendszer azonosítja a kormányzati eredetű támadásokat a tragikus csak az az egészben, hogy egy figyelmeztetésen kívül a felhasználó semmilyen további információt nem kap!

2005-ben, amikor gyakorlatilag csak USA-ban élő ismerőstől érkező meghívóval lehetett regisztrálni a Gmail-re, ilyen módon übermenőnek számított, regisztráltam én is, nem olyan rohadt nehéz kitalálni, hogy milyen azonosítóval. Aztán ugye a többi Google-szolgáltatást is ehhez kapcsolták hozzá, gyakorlatilag innentől van értelme arról beszélni, hogy Google Account.

 Google-szolgáltatásokat már évek óta nem használnék, ha nem lenne nagyon muszáj:
-    webanalitikára ingyenes eszközök közül a Google Analytics megfelel
-    a zene a Youtuberól megy
-    keresőbarátabbá válik az a tartalom, amit a Google Plus-ban megosztok a nevemmel
-    rám lehet írni Hangouts-on, rendszerint annyit válaszolok, hogy írjon bárhol máshol : )
-    Translate
-    spam-előszűrés G Suite-tel

Hirtelen ennyi jut eszembe. Erre ma mi jön szembe Translate használat közben? Inkább mutatom:

Google G Suite megmagyarázhatatlan megmagyarazhatatlan ITsec

Nem, nem adathalász oldal volt, kattintottam is a Secure my account gombra, mire kijön ez:

Google G Suite megmagyarázhatatlan megmagyarazhatatlan ITsec

Szóval minden fasza, oszoljanak, nincs itt semmi látnivaló. Mondjuk még meg lehet nézni egy semmitmondó support oldalt, de belépve a Google Security dashboardjára, már ha lehet annak nevezni ezt a szart, ami az átlag felhasználók számára biztos igen hasznos, semmi, de semmi nem derül ki! Azaz például hogy miből következtetett a Google arra, hogy engem biza’ valamelyik kormány próbál meghakkolni, milyen típusú volt a szokatlan aktivitás. Összehasonlításként abban a levelezőrendszerben, amiért fizetek, minden típusú sikeres és sikertelen hozzáférés naplózott olyan ezer évre visszamenőleg.

Röviden: ha advanced userként még mindig ragaszkodsz ehhez a szarhoz, azon se lepődj meg, ha a legszigorúbb biztonsági beállítások mellett megpróbálnak hozzáférni az információidhoz, de semmilyen adatot nem találsz azzal kapcsolatban, hogy mi történhetett.

Az ITsec-szcénában közhelyes, hogy nem az a kérdés, hogy valamit valakik feltörnek-e, hanem az, hogy mikor. Ha nem vállalati környezetről van szó, valami miatt érdekes felhasználó esetén nem az a kérdés, hogy hozzáférnek-e az ingyenes szarokban tárolt információihoz egyszer, hanem az, hogy az mennyire fog fájni. Az meg konkrétan felfoghatatlan, hogy ma egy cég miért választja a Google vállalati suite-ját, aminek az előnye abban merül ki, hogy a webes felület nagyon hasonló, aztán a nyelvújítás táján született felhasználóknak sem kell újat megszokni. A céges környezetben alkalmazott Google suite tehát nem megmagyarázhatatlan: tájékozatlan IT döntéshozó + kényelmes felhasználók.
Ez van.

Kép: Techworm

0 Tovább