About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (36),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (10),social web (9),mobil (8),biztonság (8),OSINT (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),jog (6),Google (5),webcserkészet (5),molbiol (5),szájbarágó (5),felzárkóztató (4),Nobel-díj (4),terrorizmus (4),kriminalisztika (4),big data (4),kultúra (4),email (4),plágium (4),Apple (3),jelszó (3),nyelvtechnológia (3),genetika (3),Android (3),biztonságpolitika (3),pszichológia (3),webkettő (3),reklám (3),élettudomány (3),gépi tanulás (3),CRISPR (3),Onedrive (3),üzenetküldés (3),2015 (3),orvosi-fiziológiai (3),online marketing (3),kriptográfia (3),molekuláris biológia (3),azelsosprint (3),torrent (3),konferencia (3),magatartástudomány (3),hype (3),biztonságtudatosság (3),open source intelligence (3),popszakma (3),levelezés (3),Gmail (3),szabad információáramlás (2),Yoshinori Ohsumi (2),bejutas (2),Hacktivity (2),Reblog Sprint (2),tweak (2),Pécs (2),génterápia (2),DKIM (2),cas9 (2),bűnügy (2),fiziológia (2),hitelesítés (2),TOR (2),kulturális evolúció (2),villámokosság (2),deep web (2),ransomware (2),bűnüldözés (2),DDoS (2),természetes nyelvfeldolgozás (2),arcfelismerés (2),FUD (2),nyílt forrású információszerzés (2),Balabit (2),P2P (2),webkamera (2),Netacademia (2),neuropszichológia (2),Whatsapp (2),SPF (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),sajtó (2),tanulás (2),biológia (2),szociálpszichológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Hekkerek, testközelben


ITsec Hacktivity webes biztonság alkalmazásbiztonság etikus hekkelés ajánlóSzándékosan nem azt az elcsépelt kérdést adtam címként a posztnak, hogy "Hogyan legyél hekker?" vagy hasonló, több szempontból is, például azért, mert nem kevésbé jól sikerült írás született korábban a témában. Mivel én is rendszeresen megkapom ezt a kérdés, pontosabban azt, hogy hogyan érdemes elkezdeni foglalkozni informatikai biztonsággal, ezért itt vázlatosan összefoglalom az álláspontom.

Az első és legfontosabb, hogy ha van kifejezés, ami eléggé utálok, az maga a "hekker". Emlékszem, még sok-sok évvel ezelőtt a Hacktivity-n volt egy sehova sem vezető kerekasztal-beszélgetés azzal kapcsolatban, hogy valójában ki hekker, ki nem hekker, a kívülállók számára hogyan lehetne megváltoztatni a hekkerekről kialakított negatív képet, ami szerint a hekker a tudásával visszaélő, törvényeket megszegő szararc.

Véleményem szerint teljesen értelmetlen azon dolgozni, hogy a hekker kifejezést a magyar nyelvben megpróbáljuk újraértelmezni ugyanis – itt jön a lényeg – etimológiai szempontból az amerikai angol hacker kifejezésből származik ugyan, de szerinte semmi köze ahhoz, a magyar nyelvben mióta létezik, mindig is pejoratív volt. Jól jegyezzük meg: a magyar nyelvben soha az életben nem volt semmiféle pozitív jelentéstartalma a hekker kifejezésnek, egyszerűen kulturális okokból, például amiatt, ahogyan a számítógépes bűnözéssel kapcsolatos híreket interpretálta a sajtó még a 90-es években. Ez nem jó vagy rossz, egyszerűen ez van, kész. Ezzel szembemenni körülbelül olyan értelmetlen, mint kitalálni, hogy holnaptól a feketére használjuk a fehér kifejezést és fordítva. Ami már teljesen más kérdés, hogy az ebből származtatott kifejezések már természetesen nem mind pejoratívak, például az etikus hekker, amelyik fedi az eredeti angolban ethical hacker kifejezés jelentését és olyan IT biztonsági jómunkásembert jelöl, aki egy megbízásnak megfelelően, de alapvetően ugyanazokat az eszközöket használva, mint egy támadó, felméri egy-egy IT rendszer sérülékenységét.

A fogalomról tehát ennyit. De mégis, mit lehet mondani annak, aki érdeklődne az IT biztonsági témák iránt, foglalkozna vele, de nem tudja, hogy hogyan vágjon neki? Több vélemény szerint nincs igazán jó válasz, mert ha valaki eléggé involvált, kíváncsi, akkor már magától úgyis elkezdett bütykölni valamit, legyen az akár szoftver, akár hardver, akár maga az emberi magatartás, én rokon területnek tekintem a haladó keresési és információkinyerési technikák művészetét is, de lehetne még folytatni a sort.

Én ezzel a véleménnyel nem értek egyet. Lehet valaki kitűnő szoftverfejlesztő, akit érdekelne a biztonság, de nem igazán tudja, hogy hogyan fusson neki. Erre azt tudom mondani, hogy az IT security olyan, mint a programozás: nem lehet könyvből megtanulni, normálisan viszont könyv, mégpedig jó sok könyv nélkül szintén nem.

Vannak olyan etikus hekker képzést kínáló helyek Magyarországon is, amik hajmeresztő összegekért kínálnak oktatást úgy, hogy állításuk szerint az ő képzésükhöz nem szükséges előzetes programozási tudás. Mese habbal, ilyen a világon nincs! Ha nem is kell vérprofi programozónak lenni, de mindenképp legalább alapszintű, de bombabiztos programozási ismeretek szükségesek ahhoz, hogy valaki hozzá tudjon szagolni a témához, ami plusz jó, ha már adott egy bizonyos hacker mentality ez viszont kialakulhat menet közben is.

ITsec Hacktivity webes biztonság alkalmazásbiztonság etikus hekkelés ajánlóNéhány évvel ezelőtt a "hogyan kezdjem?" kérdésre még Erickson Hacking – The Art of Exploitation művét ajánlottam, ami nagyon penge módon, a szoftverek elemi működéséből kiindulva veszi sorra azokat a témákat, amiknek a megértése és megismerése után már bőven tud mit kezdeni a megszerzett tudással az érdeklődő, majd továbbhaladni.

Úgy fogalmaztam, hogy néhány évvel ezelőtt. Az előbb említett könyv az alacsony, gépi szintű műveletek ismeretére koncetrál, legalábbis abból indul ki, ezért mindenképp gyorsabban tud látványos eredményeket elérni az, aki a már sokkal inkább emberközelibb, a szkript-nyelvek világában létező biztonsági problémákkal kezd foglalkozni. Ezek pedig szorosan kapcsolódnak a webalkalmazások biztonságához. Szinte mindegy, hogy valaki a Hacking Exposed sorozat Web Applications [Scambray, Liu, Sima] egy újabb kiadását használja vagy a Stuttard-Pinto szerzőpáros The Web Application Hacker’s Handbook könyvét, mindkettő alapos áttekintést ad a webalkalmazások tipikus sebezhetőségeivel kapcsolatban.

ITsec Hacktivity webes biztonság alkalmazásbiztonság etikus hekkelés ajánlóHogy kiből lehet hekker vagy inkább nevezzük úgy: rokon területen szakértő? Bármilyen misztikusnak tűnik is, ez is ugyanúgy megtanulható, mint bármi más, csak éppenséggel érdeklődés, idő és tehetség kérdése.

Ha pedig valaki szeretne kívülállóként szeretne betekintést nyerni abba, hogy hogyan gondolkoznak, dolgoznak az etikus hekkerek, kutatók, érdemes ellátogatnia olyan szakmai rendezvényekre, mint amilyen a Hacktivity, ahol idén is két szekcióban párhuzamosan mennek majd az előadások,  szóba kerül majd többek közt a kártékony programok analízisének mikéntje, IP-kamerák hekkelése vagy éppen, hogy hogyan segíthetik az evolúciós algoritmusok a jelszavak kitalálására irányuló támadásokat. Ezen kívül két workshopban, kisebb csoportokban van lehetőség ismerkedni olyan témákkal, mint amilyen az andoridos eszközök sebezhetőségének tesztelése vagy éppenséggel a vezeték nélküli hálózatok hekkelése. Az előadásokra és a workshopokra egyaránt igaz, hogy akkor is lehet tanulni belőlük, ha a vendég nem érti minden részletében azt, amiről szó van.

0 Tovább

A kukkoló webkamera mítosza


webkamera megfigyelés privacy magánszféra firmware hacking ITsecTöbb helyen is lehetett olvasni, nemrég egy eléggé komoly Motherboard-cikkben, hogy érdemes letakarni a laptop webkameráját, ha úgysem használjuk, ezzel kivédve annak az esélyét, hogy valaki egy kémprogramon keresztül a saját laptopunk kameráján keresztül kukkoljon a tudtunk nélkül. Jogos-e a félelem és ha igen, mennyire? A rövid válasz az, hogy nem, inkább csak mítosz a dolog, de azért megér a téma egy hosszabb fejtegetést. Én nem tudok olyan komolyabb, nyilvánosságra került támadásról, amikor a webkamerán keresztül kémkedett volna bárki is, persze nem zárható ki, hogy ilyen nem is volt soha.

Kezdeném azzal, hogy én sosem értettem ezt a webkamerával kapcsolatos parát. Egyszerűen azért, mert mióta egyáltalán webkamera létezik, amikor az ténylegesen használatban van, kigyullad egy jól látható, aktuális működést jelző led. Márpedig a ledet és a kamera bekapcsolt állapotát vezérlő mikrokontroller egyrészt szorosan össze van integrálva egymással, ráadásul gyártófüggő is. Ez a gyakorlatban annyit jelent, hogy még ha egy gépre kémprogram települ is, ami bekapcsolja a támadott felhasználó webkameráját az operációs rendszeren keresztül, hacsak a felhasználó nem teljesen hülye, a led világításából egyértelmű lesz számára, hogy a webkamerát valami használja. Ha pedig a bekapcsolt ledet nem veszi észre az illető, esélyes, hogy a sokkal hatékonyabb, rázósabb támadást sem venne észre, azaz alighanem nem ez a legnagyobb biztonsággal kapcsolatos rá néző kockázat, hiszen sokkal könnyebb - és értelmesebb - ha a támadó sokkal konvencionálisabb módszerekkel próbálkozik.

Felmerülhet a kérdés, hogy be lehet-e kapcsolni a felhasználó tudta nélkül egy webkamerát úgy, hogy a led ne gyulladjon ki. Közhelyes, hogy éppenséggel mindent lehet, csak az esemény valószínűsége változó. Ezzel kapcsolatban épp a napokban kérdeztem egy, többek közt webkamerák hekkelhetőségével foglalkozó ismerőst, akinek a válasza végülis abban erősített meg, ahogyan korábban is gondoltam, na meg pontosította az ezzel kapcsolatos tudásom. Azaz: egy dolog malware-t telepíteni egy elterjedt, ritkán frissített, elhanyagolt operációs rendszerre, egy teljesen más dolog az, amikor a webkamera firmware frissítésével kerül fel egy olyan, támadó által "patkolt" firmware változat, ami finoman szólva nem csak azt csinálja, amit kellene. Ez még nem is olyan nagyn-nagyon életszerűtlen, hiszen kamerák tömegében ugyanolyan beágyazott linux-like rendszer fut, ami eléggé jól dokumentált, ennek megfelelően hekkelhető is, ha az áldozatot valahogy ráveszik, hogy a támadó által kipreparált firmware frissítést telepítse a gyári helyett, kifinomultabb támadás esetén esetleg teljesen más programként van belógatva a telepítő és nem úgy, mint egy webkamera szoftverfrissítője, hiszen a kamera szoftverét frissíteni egyébként sem egy mindennapos dolog.

És itt jön a lényeg: azért, hogy a led ne gyulladjon ki működés közben, elméletileg a mikrokontroller is exploitálható, viszont egyrészt ekkor pontosan tudnia kell a támadónak, hogy milyen típusú kameráról van szó és az milyen mikrokontrollert használ, a mikrokontroller vagy sérülékeny vagy sem, de még ha sikerül is rábírni, hogy a ledet ne gyújtsa ki a kamera bekapcsolódásakor, ezt az egészet nagyságrendekkel nehezebb kivitelezni egy egyszerű kémprogram telepítésénél vagy éppen megbolondítani a kamera eszközmeghajtóját, vagy olyan alkalmazást csempészni az oprendszerre, ami egyszerűen bekapcsolja a kamerát, majd a streamet továbbítja a támadó felé.

Azaz egy tökéletes kamerás támadásnál még annak is nagyobb az esélye, hogy az áldozat irodájába például elhelyeznek egy miniatűr eszközt, ami kameraként, poloskaként is működik, mindezt GSM-hálózaton keresztül továbbítja a támadónak és mindez valamilyen irodai eszköz elektromos adapterének van álcázva a folyamatos áramellátás érdekében.

Jópofa dolog az informatikai biztonsági megoldásszállító cégektől olyan promóciós műanyag ablakot osztogatni szakmai rendezvényeken, amivel egyszerűen kitakarható a kamera, ha nincs használatban, csak értelme nincs. Nagyban gondolkodva pedig nem lennék meglepve, ha kimatekozva kiderülne, hogy világviszonylatban, összesen a felhasználók többet költöttek ragtapaszra, sebtapaszra, szigszalagra, a kamerák letakarására tervezett bizbaszokról nem is beszélve, mint amekkora kár eddig összesen keletkezett webkamerán keresztül történő kukkolásról.

Fontos megjegyeznem, hogy itt most a laptopokba hagyományosan beépített, videóhívásoknál használt webkamerákról van szó, teljesen más a helyzet például az olyan IP-hálózatra kötött kamerák esetén, amit kimondottan azért telepítettek, hogy folyamatosan figyeljenek.

webkamera megfigyelés privacy magánszféra firmware hacking ITsecAkit behatóbban érdekelnek az informatikai biztonság legizgalmasabb kérdései, érdemes lehet elnézni a Közép-Kelet-európai régió egyik legkomolyabb IT biztonsági konferenciájára, az idei Hacktivtyre, aminek a programja ide kattintva már elérhető.

8 Tovább

Autofágia, a sejtek belső takarító-mechanizmusa


Hunter-szindróma Fabry-kór Gaucher-kór glukocerebrozidáz-defektus alfa-galaktozidás-defektus mukopoliszacharidózis II irudonát-2-szulfatáz lizoszomális tárolási betegségek Nobel-díj 2016 Yoshinori Ohsumi autofágia molbiolAhogy arról hétfőn beszámoltam, idén az orvosi-fiziológiai Nobel-díjat az autofágia genetikai szabályozásának feltárásáért ítélték oda.

Az élő sejtekben, ugyan sejttípustól eltérő mértékben, de folyamatosan sérülnek, kiöregszenek, így egyszerűen javításra vagy ha az már nem megy, lebontásra szorulnak bizonyos kisebb struktúrák, az ún. organellumok avagy sejtszervecskék és az azokat alkotó makromolekulák. Abban az esetben, ha ez nem lenne garantált és óramű pontossággal szabályozott, felhalmozódna számos működésképtelenné vált organellum vagy éppen hibásan tekeredett fehérje, ez pedig nagyon gyorsan a sejt halálához vezetne.

A belső törmelékek lebontását külön, erre specializálódott organellumok végzik, amiket lizoszómáknak nevez a szakirodalom. A lizoszómák a fölöslegessé vált makromolekulákat egyre kisebb részeire, akár monomerjeire is bonthatják, közvetve segítik más organellumok újraépítését, esetleg egyszerűen eltüntetik, amit megemésztettek, de olyan is előfordulhat, hogy a sejt belsejének többi részétől elkülönített, memránnal határolt csomagban zárványként maradnak jelen. Olyan is előfordulhat, amikor a lizoszómába egy teljes organellum kerül bele, ezeket a struktúrákat nevezi a szakirodalom autofagoszómának.

Ahogy korábban is utaltam rá, sebészi pontossággal szükséges felismernie a sejtnek, hogy mik azok a részek, amiket le kell bontani, mik azok, amiket nem, majd ugyanilyen pontossággal levezényelni a teljes folyamatot, minderre pedig természetesen számos forgatókönyvet készített az evolúció.

A japán kutató penészgombákon keresztül azt tanulmányozta, hogy bizonyos gének kiütésével hogyan módosul az autofágia folyamata, ilyen módon szisztematikusan sikerült feltérképezni a szabályozásban szerepet játszó gének hálózatát. A gombák esetében talált gének analógjai vagy maguk a gének pedig megtalálhatók a növényvilág képviselői és az állatvilág legkülönbözőbb tagjai közt is, így az emberben szintén. Mindennek az orvosi jelentősség abban áll, hogy ismeretesek olyan betegségek, amikkel együtt jár az autofágia hibás működése, így a jövőben a közvetlen molekuláris medicina számára is fontos targetté válhat a félresiklott folyamatok helyreállítása.

Vannak esetek, amikor veleszületett rendellenességként a lizoszómák nem tudják lebontani vagy tárolni a szükséges anyagokat, amik még abban az esetben is súlyos tüneteket okozhatnak, ha egyébként csak bizonyos sejttípusok esetén jelentkeznek.

A Gaucher-kór esetén például csak a fehérvérsejtek egy bizonyos típusa, a makrofágok érintettek, amik nem tudnak lebontani egy bizonyos típusú makromolekulát. A kór egyik típusa nem okoz különösebben súlyos tüneteket és enzimterápiával kezelhető is, míg a másik két megjelenési formája rendszerint korai halált eredményez.

A Hunter-szindróma ugyancsak egyetlen enzim defektusára vezethető vissza, ami miatt a lizoszóma képtelen tárolni egy létfontosságú enzimet, ami miatt a dermatán szulfát és a heparán szulfát, létfontosságú struktúrfehérjék forgalma gátolt.

A szintén lizoszomális enzim hiánya okozta Fabry-kór esetén ugyancsak a teljes testet és persze életminőséget befolyásoló tünetek jelentkeznek, ebben az esetben emlékeim szerint az egyik galaktozidáz enzim teljes vagy részleges hiánya okozza a súlyos megbetegedést.

Eméleim szerint még legalább 20-30 betegség ismert, amikor a lizoszóma és ezzel együtt az autofágia valamilyen defektusa felelős súlyos tünetekért, az esetek többségében a lebontásra szánt makromoelkulák bejutnak ugyan a lizoszómába, a lebontó enzim hiánya miatt elbomlani már nem tudnak.

Kép: nobelprize.org

0 Tovább

Orvosi-fiziológiai Nobel-díj 2016


Előre láthatóan október 3-án, hétfőn, 11:30 után nem sokkal jelentik be, hogy kik is kapták az orvosi-fiziológiai Nobel-díjat idén, 2016-ban.

A bejelentés idejében folyamatosan kommentálom, illetve először rövidebben, aztán kicsit bővebben el is magyarázom, hogy mi ért Nobel-díjat idén és ha tudom, azt is, hogy miért érett meg a felfedezés vagy találmány éppen idén a Nobel-díjra. A poszt folyamatosan frissül, a live streamet itt lehet majd követni, a poszt folyamatosan frissül.  

11:27 2016.10.03. Közel 3200 felhasználó nézné élőben a Nobel-díj bejelentését - ha menne - többen jelezték kommentben, hogy egyszerűen valamiért nem működik a stream :(
11:28 2016.10.03. elindult, de durván fapadosan, hang nélkül.

11:35 2016.10.03. - a Youtube-on még mindig nincs hang, viszont a live stream itt követhető hanggal: https://www.facebook.com/nobelprize/videos/10153942531154103/
11:36 2016.10.03. - az idei díjazott egyébként Yoshinori Ohsumi, aki az autofágiával kapcsolatos kutatásaival érdemelte ki a díjat, hogy ez mi is, azt hamarosan magyarázom, a press release egyébként itt: http://www.nobelprize.org/nobel_prizes/medicine/laureates/2016/press.html

11:49 2016.10.03. Az autofágia, ahogy a neve is sejtetei, az a folyamat, amikor a sejt a saját sérült vagy egyéb módon fölöslegessé vált organellumait, azaz sejtszervecskéit több, szabályozott lépésben „megemészti”, ezzel biztosítva a sejtek belső homeosztázisát.

A folyamat egyébként a huszadik század dereka óta ismert, viszont a szabályozásának apró lépéseit csak később sikerült tisztázni. Így például azt, hogy a sejt hogyan ismeri fel a sérült, lebontásra ítélendő sejtszervecskéket, ezek elbontását hogyan szabályozzák az erre specializálódott más sejtszervecskék, az ún. lizoszómák, autofagoszómák.

A törmelékként keletkező szénhidrátok, főként membránokból származó zsírok és természetesen fehérjék lebontásával már korábban is intenzíven foglalkoztak, mi több, többen is Nobel-díjat kaptak ezzel kapcsolatos kutatásaikért.

A mostani díjazott a 90-es évektől kezdve a molekuláris genetikai kutatások során általánosan használt nyálkagombán kezdte vizsgálni a folyamat szabályozásának részleteit, nem meglepő módon a sejtek belső kitakarításáért felelős gének hibás működése minden élőlényben kóros, esetleg az élettel összeegyeztethetetlen állapotot jelent.

Sokáig az sem volt világos, hogy mik is azok a szignálok a sejten belül, aminek hatására az autofágia egyáltalán megindul.

 

0 Tovább

Villámokosság: a FB kérdés nélkül közzétette a születési időd


Facebook social media születési dátum privacy villámokosság

A Facebook nemrég felhasználók tömegének születési dátumát láthatóvá tette, függetlenül attól, hogy annak láthatóságát a felhasználó korábban hogyan állította be.

Tekintettel arra, hogy nem kevés helyen az ügyintézésnél az ügyfelet többek közt a születése napja alapján azonosítják vagy például a kellően szigorúan beállított más webes szolgáltatás esetén az elfelejtett jelszó újból történő megadása csak a születési dátum megadása után lehetséges, ez az adat bőven az érzékeny adatok körébe tartozik.

Miről is van szó? Nem láttam, hogy máshol cikkeztek-e róla, konkrétan ma vettem észre, hogy gyanusan sok, tetszőlegesen kiválasztott felhasználónál látható a születési éve és dátuma.  Más számára kicsit zavaros lett volna a dolog, én viszont azonnal láttam, hogy dátumról van szó, az iszlám naptár szerinti formátumban. Amiből ugye nem nagy művészet átkonvertálni a Gergely-naptár szerinti formátumra.

Messze nem ez az első olyan eset, amikor a Facebook úgy fedett fel tömegesen adatokat mindenki számára elérhető formában a saját felhasználóiról, hogy azt még csak nem is jelezte előzetesen: amikor évekkel ezelőtt mindenki kapott email-címként is működő nicknév@facebook.com formátumú email címet [ezt a feature-t egyébként kivezették], érthetetlen módon ezzel együtt a felhasználó által korábban megadott email-címeket tette láthatóvá.

Érdemes fejben tartani: a születési dátumot csak olyan szolgáltatásoknál adjuk meg, ahol ez feltétlenül szükséges és ne tegyük láthatóvá!

UPDATE: a lényegen nem változtat, de úgy fest, hogy akkor jelenítette meg a felhasználók születésnapját tömegesen az iszlám naptár szerint, ha a Facebook nyelvi/területi beállításai azt feltételezték a felhasználóról, hogy az arab országok valamelyikéből netezik

0 Tovább