About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (37),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (11),social web (9),biztonság (8),mobil (8),OSINT (6),jog (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),Google (5),email (5),molbiol (5),felzárkóztató (5),szájbarágó (5),webcserkészet (5),plágium (4),Nobel-díj (4),kriminalisztika (4),terrorizmus (4),big data (4),kultúra (4),genetika (3),pszichológia (3),molekuláris biológia (3),biztonságpolitika (3),CRISPR (3),Android (3),online marketing (3),sajtó (3),élettudomány (3),gépi tanulás (3),Onedrive (3),üzenetküldés (3),jelszó (3),2015 (3),orvosi-fiziológiai (3),Apple (3),Gmail (3),reklám (3),konferencia (3),webkettő (3),biztonságtudatosság (3),kriptográfia (3),levelezés (3),magatartástudomány (3),azelsosprint (3),popszakma (3),hype (3),open source intelligence (3),torrent (3),nyelvtechnológia (3),bejutas (2),tweak (2),villámokosság (2),cas9 (2),Yoshinori Ohsumi (2),Hacktivity (2),génterápia (2),fiziológia (2),természetes nyelvfeldolgozás (2),Reblog Sprint (2),bűnügy (2),Pécs (2),nyílt forrású információszerzés (2),webkamera (2),deep web (2),P2P (2),Netacademia (2),arcfelismerés (2),DDoS (2),Balabit (2),bűnüldözés (2),TOR (2),kulturális evolúció (2),ransomware (2),hitelesítés (2),SPF (2),Whatsapp (2),neuropszichológia (2),szabad információáramlás (2),FUD (2),DKIM (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),szociálpszichológia (2),tanulás (2),biológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

A Facebook, egy pinavideó és a nemzetközi jog


Facebook social media privacy jog nemzetközi jog pinaA napokban a 444-en kolumnás cikk jelent meg Szily Lászlótól egy esettel kapcsolatban, aminek a lényege, hogy egy Facebook felhasználó fedetlen testtájnak, konkrétabban női segg vagy suncinak látszó videót küldött át egy másik felhasználónak magánüzenetben, mire a Facebook a felhasználót felszólította, hogy ne sértse meg a Facebook felhasználási feltételeit, majd egy időre ki is zárt a szolgáltatásból. A 444 jól megtermett lebuktatásként tálalta az információt, ami szerint lám-lám a Facebook tényleg elolvassa még a magánüzeneteinket is és meg is van rá a bizonyíték. Számomra a megmosolyogtató az egészben, hogy az egész cikket én is írhattam volna 3-4 évvel ezelőtt – már ha tudnék legalább tized annyira írni, mint a 444-es szerző, mint ahogy nem tudok.

Akkor most mi van? A Facebook nem csak olvassa, hogy milyen üzeneteket küldünk, hanem még bele is pofázik? Megteheti ezt törvényesen? Mennyire etikus és mennyire törvényes mindez? Nosza, jöjjön egy kis szájbarágó.

Ahogy már írtam róla számtalanszor, a Facebook nem céges intranet-rendszer, nem is népjóléti intézmény, amikor pedig valaki regisztrál és elkezdi használni a szolgáltatást, beleegyezik abba, hogy gyakorlatilag minden információt felhasználhasson a Facebook, ami csak kinyerhető. A kezelt információk köre pedig elképesztően tág, így például azt is felhasználják, ha a felhasználó valamilyen tartalmat feltöltött vagy megosztott, majd utólag törölt, de ide tartoznak még olyan pszeudo-biometrikus adatok is, minthogy a felhasználó milyen patternek szerint kattintgat az egérrel és hova, mi több, ezeket az adatokat még azt követően is tárolja, miután a felhasználó végleg törli magát a szolgáltatásból [ugyan ennek megakadályozására rendszeresen gyurmázik-jogászkodik az EU, nem nagy eredménnyel]. Természetesen a kezelt adatok körébe tartoznak a magánüzenetek is, hiszen az üzenetekben lévő tartalom automatizált, kőkeményen nyelvtechnológiai alapú szemantikai értelmezése, azaz tartalmi elemzése rendkívül értékes információ olyan szempontból, hogy az adott felhasználónak milyen hirdetést érdemes az orra alá tolni. Szóval innen is csókoltatom azokat a végtelenül naiv lelkeket, akik egy pillanatra is elhitték, hogy valóban lesz a FB-n belül végponti titkosítás az üzenetküldésben alapjáraton, ami azt jelentené, hogy a FB valóban nem érné el a magánüzeneteket, ami érthetően nem érdeke, másrészt pedig kivitelezhetetlen, aminek a magyarázatába most nem megyek bele.

Közel 18 milliárd dollár! Ez az az összeg, ami bevételként jelentkezett a Facebooknál csak a 2015-ös évben, körülbelül 1 milliárd aktív felhasználóból. Ez alapján nem nehéz kimatekozni, hogy – ha úgy tetszik - felhasználónként mennyit kell keresni ahhoz, hogy a rendszer nyereséges legyen. Miközben egy pillanatig se felejtsük el, hogy a gigantikus IT infrastruktúra mellett meg kell fizetni sok-sok kutatót, fejlesztőt és ki kell fizetni a házon kívül vásárolt technológiákat is!

Visszatérve az eredeti témához, az első dolog, ami eszembe jutott, hogy még évekkel ezelőtt több tech-szaklap is azon pörgött egy rövid ideit, hogy a patás ördög Microsoft elolvassa a Skype-beszélgetéseket. Mindezt arra alapozták, hogy egy felhasználó olyan képet linkelt egy csetpartnerének, amit a saját webszerverén tárolt. Aki akár egyszer is látott már webszervert belülről, jól tudja, hogy akár IIS, akár Apache, az alapértelmezett működés az, hogy a rendszer naplózza, hogy milyen IP-ről, milyen fájl letöltését kérte valaki, mikor, milyen böngészővel [ún. User-Agent], a kérést sikerült-e kiszolgálni és így tovább. A gyakran raw access log persze nem azért van, hogy galád módon kukkolja a látogatókat, hanem elhagyhatatlan része a rendszer működésének, például ha nem történne ilyen naplózás, utólag nem lehetne megállapítani, hogy például egy nagyobb oldal miért működik hibásan alkalom adtán.

Ami fontos, hogy az User-Agent érték nem csak valódi felhasználóra utalhat, amikor a Google vagy a Baidu keresője időnként megnézi az oldalunkat, egyértelműen azonosítja magát például úgy, hogy „googlebot”, míg ha a Facebookra linkelünk egy tartalmat, a logban biztosan meg fog jelenni egy „facebookexternalhit” érték és így tovább. A skypeos sztoriban amikor emberünk átlinkelte a csetpartnerének a fotót, azt látta, hogy az első látogató nem ő volt, hanem egy Microsoft hálózatához köthető bot, ami az egész gigafelfedezést alapozta… Megjegyzem, ebből a logból nem lehet megállapítani, hogy amit egy felhasználó böngészője vagy egy kereső crawlerje egyszer letöltött, arra csak ránézett és elolvasta vagy tárolta is.

Apu, de miért? Több magyarázat is van, amit hosszú lenne kifejteni, az egyik, hogy a nagy, gonosz, galád szolgáltatók a felhasználót a saját hülyeségüktől próbálják megvédeni olyan módon, hogy egy közvetlenül küldött tartalmat vagy linket megvizsgálnak a saját oldalukon annak megállapítására, hogy tartalmaz-e valamilyen vírust, esetleg a kísérletező kedvű felhasználó pont magát az üzenetküldő rendszert akarja megtámadni, amiből szintén van szép számmal.

Ezt a Google Hangouts és a Gmail annyira komolyan veszi, hogy futtatható fájlt konkrétan nem enged csatolmányként küldeni, mi több, ha a futtaható állományt a felhasználó még be is csomagolta, a Google azt szépen ki fogja bontani és ha észleli, hogy bináris, egyszerűen megtagadja az üzenet elküldését a csatolmány miatt. Más kérdés, hogy futtatható fájlt normális ember nem küld emailen, amikor az informatikustanoncoktól a tanár emailen kéri a beadandó házi feladatot – ha nincs normális elearning rendszer – de akkor is forráskódot küldenek az oktatónak és nem pedig magát a futtatható fájlt.

Ami a Facebookon küldött, pucér seggre mutató hivatkozást illeti, a dolog bonyolultabb, de azért nem érthetetlen. Aki követi a tech-híreket, az tudja, hogy a web gianek már évek óta alkalmaznak olyan algoritmusokat, amik a rajtuk keresztül küldött képeket és videókat a feltöltést vagy linkelést követően azonnal több oldalról megszagolgatják, alapvetően olyan mintázatokat keresve, amiből arra lehet következteni, hogy azon explicit erőszak, gore tartalom, gyermekpornográfia lehet. [ugyancsak ezért írtam korábban, hogy a Onedrive, Google Drive, stb. bűnügyi dokumentumok tárolására alkalmatlan]

Ezek az algoritmusok pedig egyre ritkábban tévednek, ha azt találják adott valószínűséggel, hogy a felhasználói tartalom valami olyan gyomorfogató dolog, aminek ha köze van a feladóhoz, az a világ összes országában törvénysértő, nos, akkor foglalkoznak a dologgal behatóbban. Hogy melyik cég hogyan kezeli ezeket az eseteket, nagyrészt rejtély, viszont korábbi esetekből lehet rá következtetni. Ha az algoritmus megszólaltatja a vészcsengőt, az adott, konkrét tartalmat [de csak azt] átadják egy amolyan first level safety staffnak, amit valahogy úgy kell elképzelni, hogy egy relatív alacsonyabb képzettséggel rendelkező, sejthetően kiszervezett moderátori csoport egy tagja megkap mondjuk Indiában, majd egy jól meghatározott forgatókönyvet követve eldönti, hogy a tartalom egy túlságosan jól sikerült halloween-i baba vagy valaki a frissen feldarabolt anyósával szelfizett egyet. Hogy ez után mi történik, remek kérdés, de életszerűen feltételezhetjük, hogy a tartalom jellegétől függően a moderátoron keresztül a rendszer rámorog a felhasználóra vagy az ügy tovább kerül egy magasabb szintekre, ahol már magának a cégnek a sokat látott forensic-csapata kezd el foglalkozni vele. Ekkor már belenézhetnek, hogy a felhasználó miket irkált korábban, hogy kontextusba helyezzék a kérdéses tartalmat és tényleges nyomozás történhessen, persze függetlenül attól, hogy milyen nyelven üzengetett a felhasználó.

Hogy ezt követően mi történhet, az több, mint szövevényes. Ugyanis függően attól, hogy a felhasználó melyik államból használta a szolgáltatást, a forensic-csapat jelezheti ezt a hatóságoknak, aztán a szolgáltató és a nyomozó hatóság tovább figyelik a jómadarat, indokolt esetben pedig ésszerű időn belül meg is történik a gyanusítás és vádemelés. A nemzetközi együttműködés sosem egyszerű, bizonyos esetekben pedig szinte lehetetlen. A világ legnyomorultabb részein, például a pedofilparadicsomként is ismert Fülöp-szigeteken tevékenykedő nagypályás erőszakos bűnöző miatt hiába szólnának oda a hatóságoknak, sajnos értelme nem sok lenne. [Sokat mondó, hogy a holland Sweetie-projektben hatósági eszközök nélkül 2 hónap alatt a kutatók több, mint ezer pedofilt azonosítottak egyértelműen a neten keresztül, majd ezt át is adták az Interpolnak, nem nagyon lehet információt találni róla, hogy a nyomozásnak különösebb következménye lett volna.]

A fájdalmasan hosszú szájbarágó után visszatérek a 444-ék által talált seggnek tűnő videóhoz. Az ugye világos, hogy azt a tartalmat, amit ráadásul nem is a Facebook tárolt vagy továbbított, csak egy rá mutató hivatkozást első körben megvizsgálta egy okos algoritmus, nem valószínű, hogy eljuthatott az első moderátori szintre. Egy több tízmillió picsás és nem-picsás képen idomított gép döntött: ami a videón van, az bizony egy segg vagy pina. Itt jön be a sztorinak az a része, amire a 444 már egyáltalán nem tért ki. Adott egy világméretű szolgáltatás, aminél a felhasználás feltétele a betöltött 13. életév, ebben az esetben nem a felhasználó falán vagy egy csoportban jelent meg kérdéses tartalom, hanem magánüzenetben, akkor miért izmozik a Facebook mégis?

Éppen azért, mert világméretű szolgáltatásról van szó. Különböző államok törvényi berendezkedése közt pedig elképesztő különbségek vannak európai aggyal érthetetlenül megengedő és szigorú irányban egyaránt. Hogy mást ne mondjak, még néhány évvel ezelőtt is Japánban a legbetegebb pedofil tartalomnak csak az előállítása volt büntetendő, de a pedofilok minden további nélkül fogyaszthattak pedofil tartalmat, amíg a törvényhozók nem változtattak a helyzeten. Hasonló módon európai aggyal érthetetlen, hogy bizonyos magasan fejlett, de erős iszlám gyökerekkel rendelkező államokban törvénybe van foglalva, hogy bármilyen pornográf tartalom bármilyen módon történő fogyasztása tilos. Ezek közül az államok közül kurvázni illetve prostiként dolgozni bezzeg lehet orrba-szájba.

Ha valakinek nem szakterülete a nemzetközi jog, azon belül is a nemzetközi büntető- és büntető-eljárásjog, esélye sincs pontosan kiigazodni azon, hogy egy-egy államban mi valósíthat meg törvénysértést és mi nem. Hogy egy nagyon szemléletes példát hozzak, az olyan, egyébként fejlett demokratikus berendezkedéssel és jogi kultúrával rendelkező országban, mint amilyen Izland, betiltották a Texasi láncfűrészest, a Nekromantikot és a Cannibal Holocaustot, amivel az én tudomásom szerint mindössze annyi a baj, hogy túlságosan erőszakosak. De még ha a közelmúltat nézzük, egész Ausztrália betiltotta többek közt az Emberi százlábú 2-t, amiről csak annyit tudok, hogy egy nagyon beteg horror, viszont betiltotta az általam látott Ken Parkot is, ami csak tabukat dönget hűvös halomra, viszont olyan dolgokat mutat be, amik sajnos a valóságban is léteznek. A betiltott filmek közt többek közt erre lehet mazsolázni.  

Márpedig ha korszerű jogi berendezkedéssel rendelkező országok konkrétan betiltják egy műalkotás bemutatását, annak helyi jogalkalmazói szempontból komoly oka kell, hogy legyen. Hogy mi sért törvényt a jog betűje szerint, elképesztő változatosságot mutat, példaként ha valaki titkosított levelet fogad Mianmarban [azaz még csak nem is ő küldi], legrosszabb esetben le is fejezhetik. Ha most az Olvasó úgy gondolná, hogy nem lehet csak úgy betiltani egy bizonyos területen egy világméretű szolgáltatást, annak ajánlom figyelmébe azt az egészen friss esetet, amikor a moszkvai bíróság a világ legnagyobb professzionális közösségi hálózatát, a LinkedIn-t egész Oroszországból kivágta egy meglehetősen zavaros jogi hercehurca után.

Na de hogy jön ide a Facebook? Úgy, hogy a Facebook jogi staffja nagyon jól tudja, hogy egyszerűen lehetetlen bevezetni olyan policyt, ami az összes állam törvényeivel harmonizál, ahol elérhető a Facebook. Röviden: a konkrét esetben az sem zárható ki, hogy valamelyik országban, ahol a Facebook szolgáltat, még az is felvetné a törvénysértés gyanuját, ha valaki átküld egy másik felhasználónak egy segget vagy valamit, ami annak látszik. A Facebookot márpedig így is perelik sokan, sokszor egészen elképesztő abszurd baromságok miatt, így inkább nem kockáztat és ezért nem enged vagy korlátoz feature-öket, amiket korlátozni egyébként teljesen értelmetlennek tűnik, de bizonyos országokban törvénysértő lehet. Piacot veszíteni pedig pláne nem szeretne a FB.

Nem könnyű a Facebook agyával gondolkozni. Amikor sok-sok évvel ezelőtt Magyarországon az elsők közt regisztráltam rá, az Agree gombra kattintva a Facebook Ireland-del kötöttem végfelhasználói szerződést. Ugyanakkor tapasztaltam olyat is, hogy [látszólag] különböző országokból bejelentkezve a szolgáltatás egyszerűen máshogy működik, ami lehet kevésbé látványos, mint amikor az USA területéről kellett kapcsolódnom ahhoz, hogy átnevezzek egy 200-nál több lájkerrel rendelkező oldalt ami európai országból alighanem nem ment volna, de nem is keresek benne logikát. A jelenség messze nem Facebook-specifikus. A Google-nek teljes szolgáltatásai vannak, amik Európából bejelentkezve meg sem jelennek, az USA-ból vagy USA-ban lévő VPN-en belépve viszont kapásból elérhetőek, így például a Hangoutshoz szorosan kapcsolódó Google Voice ingyenes SMS-küldözgetést lehetővé tevő része.

Röviden összefoglalva tehát Cukorhegyi Márk Kéktakony szolgáltatásában azt tehetsz meg, ami szerintük szabad, a fejős tehénként tartott felhasználóval pedig azt tehetnek meg, amit csak akarnak. Véget nem érő vita lenne, hogy morálisan ez részleteiben és egészében mennyire fogadható el, ami viszont tény, hogy egy ilyen méretű és ilyen kiterjedésű szolgáltatás nem azért viselkedik a felhasználóval úgy, ahogyan, mert gonosz lenne, hanem azért, mert máshogy egyszerűen nem is működhetne fenntartható, pláne gazdaságos módon. Pereskedni, na meg hatósági megkereséseket teljesíteni márpedig igencsak drága, egy ország elvesztése pedig sosem zárható ki és persze az aztán még drágább.

Nem arról van szó tehát, hogy a Facebook a hülye, gonosz, öntörvényű és prűd, hanem éppen arról, hogy védi elsősorban önmagát, másodsorban a felhasználóit még ha ez laikus számára egészen idióta korlátozások alkalmazásával is jár néha.

1 Tovább

Képernyőzár-hekkelés, 10 másodperc alatt


Rob Fuller Hak 5 LAN Turtle munkaállomás feloldása ITsec HacktivityLezárod a géped, ha elmész ebédelni? Ha nincs megfelelően védve, feloldható a képernyőzár, függetlenül attól, hogy OSX vagy Windows fut, mindössze egy 50 dolláros USB-eszközzel.

Amikor szeptember elején találkoztam egy nem mindennapi sebezhetőséggel Rob Fuller egyik blogposztjában, aminek a közérthetőbb magyarázata is megjelent néhány nappal később,  még nem voltam benne biztos, hogy ez azért tényleg ennyire egyszerű és hatékony.

Végfelhasználói szempontból a dolog eléggé egyszerű, ha valaki odamegy egy géphez, aminek a felhasználója be van ugyan jelentkezve, de azért lezárta a munkaállomást, amíg nincs előtte, egy USB-kütyü csatlakoztatásával néhány másodperc alatt feloldható a jelszó ismerete nélkül.

A támadás lényege nagyon egyszerűsítve az, hogy abban az esetben is megkísérli telepíteni az oprendszer a rá csatlakoztatott USB-eszköz illesztőprogramját, ha az egyébként le van zárva, ezt követően pedig az USB-stick minden további nélkül beblöffölheti a rendszernek, hogy valójában egy ethernet-kábelt csatlakoztattak hozzá. Ezt követően a gép, ha korábban wifire volt csatlakoztatva, a vezetékes hálózati kapcsolatot fogja előnyben részesíteni, azon keresztül kísérli meg a hálózati kommunikációt és a megbuherált eszközön lévő, a rendszeren egyébként is létező, de módosított hálózati szolgáltatások indulnak el, konkrétan a DHCP és a Responder szerez olyan jogosultságokat, amivel már elérik a felhasználó bejelentkezési adatait és annak ismeretében feloldják a gépet.

Nagyon úgy tűnik, hogy valóban hatékony, mivel nem sokkal egy hónap elteltével már a neten is rendelhető a Hak 5 LAN Turtle eszköz, konkrétan 50 dollárért, ami ráadásul az összes elterjedetbb Windows-verzió és a legújabb OSX-ek esetén is működik.  

Érdemes megfigyelni, hogy a kísérletezésből, az ötletből mennyire gyorsan válhat piacképes termék, na meg azt, hogy az operációs rendszerek fejlesztői alighanem tudnak a lehetőségről, a megérkező frissítést a felhasználók jórésze alighanem úgysem telepíti, így a módszer a gyakorlatban is használható marad, ha az automatikus frissítés valami miatt le van lőve vagy nem működik, nem is kevés ideig.

Közhelyes, de igaz: minden hekkelhető. Legyen szó akár az ipari vezérlőrendszerek védelmének megkerüléséről, akár egy személyszállító repülőgépről [elvben], de rég ismert, hogy a vezeték nélküli egerek és billentyűzetek kommunikációja is jóideje relatív egyszerűen, olcsón és észrevétlenül lehallgatható, ahogy arról szó lesz a heti Hacktivityn is.

Kép: Techworm

2 Tovább

Hekkerek, testközelben


ITsec Hacktivity webes biztonság alkalmazásbiztonság etikus hekkelés ajánlóSzándékosan nem azt az elcsépelt kérdést adtam címként a posztnak, hogy "Hogyan legyél hekker?" vagy hasonló, több szempontból is, például azért, mert nem kevésbé jól sikerült írás született korábban a témában. Mivel én is rendszeresen megkapom ezt a kérdés, pontosabban azt, hogy hogyan érdemes elkezdeni foglalkozni informatikai biztonsággal, ezért itt vázlatosan összefoglalom az álláspontom.

Az első és legfontosabb, hogy ha van kifejezés, ami eléggé utálok, az maga a "hekker". Emlékszem, még sok-sok évvel ezelőtt a Hacktivity-n volt egy sehova sem vezető kerekasztal-beszélgetés azzal kapcsolatban, hogy valójában ki hekker, ki nem hekker, a kívülállók számára hogyan lehetne megváltoztatni a hekkerekről kialakított negatív képet, ami szerint a hekker a tudásával visszaélő, törvényeket megszegő szararc.

Véleményem szerint teljesen értelmetlen azon dolgozni, hogy a hekker kifejezést a magyar nyelvben megpróbáljuk újraértelmezni ugyanis – itt jön a lényeg – etimológiai szempontból az amerikai angol hacker kifejezésből származik ugyan, de szerinte semmi köze ahhoz, a magyar nyelvben mióta létezik, mindig is pejoratív volt. Jól jegyezzük meg: a magyar nyelvben soha az életben nem volt semmiféle pozitív jelentéstartalma a hekker kifejezésnek, egyszerűen kulturális okokból, például amiatt, ahogyan a számítógépes bűnözéssel kapcsolatos híreket interpretálta a sajtó még a 90-es években. Ez nem jó vagy rossz, egyszerűen ez van, kész. Ezzel szembemenni körülbelül olyan értelmetlen, mint kitalálni, hogy holnaptól a feketére használjuk a fehér kifejezést és fordítva. Ami már teljesen más kérdés, hogy az ebből származtatott kifejezések már természetesen nem mind pejoratívak, például az etikus hekker, amelyik fedi az eredeti angolban ethical hacker kifejezés jelentését és olyan IT biztonsági jómunkásembert jelöl, aki egy megbízásnak megfelelően, de alapvetően ugyanazokat az eszközöket használva, mint egy támadó, felméri egy-egy IT rendszer sérülékenységét.

A fogalomról tehát ennyit. De mégis, mit lehet mondani annak, aki érdeklődne az IT biztonsági témák iránt, foglalkozna vele, de nem tudja, hogy hogyan vágjon neki? Több vélemény szerint nincs igazán jó válasz, mert ha valaki eléggé involvált, kíváncsi, akkor már magától úgyis elkezdett bütykölni valamit, legyen az akár szoftver, akár hardver, akár maga az emberi magatartás, én rokon területnek tekintem a haladó keresési és információkinyerési technikák művészetét is, de lehetne még folytatni a sort.

Én ezzel a véleménnyel nem értek egyet. Lehet valaki kitűnő szoftverfejlesztő, akit érdekelne a biztonság, de nem igazán tudja, hogy hogyan fusson neki. Erre azt tudom mondani, hogy az IT security olyan, mint a programozás: nem lehet könyvből megtanulni, normálisan viszont könyv, mégpedig jó sok könyv nélkül szintén nem.

Vannak olyan etikus hekker képzést kínáló helyek Magyarországon is, amik hajmeresztő összegekért kínálnak oktatást úgy, hogy állításuk szerint az ő képzésükhöz nem szükséges előzetes programozási tudás. Mese habbal, ilyen a világon nincs! Ha nem is kell vérprofi programozónak lenni, de mindenképp legalább alapszintű, de bombabiztos programozási ismeretek szükségesek ahhoz, hogy valaki hozzá tudjon szagolni a témához, ami plusz jó, ha már adott egy bizonyos hacker mentality ez viszont kialakulhat menet közben is.

ITsec Hacktivity webes biztonság alkalmazásbiztonság etikus hekkelés ajánlóNéhány évvel ezelőtt a "hogyan kezdjem?" kérdésre még Erickson Hacking – The Art of Exploitation művét ajánlottam, ami nagyon penge módon, a szoftverek elemi működéséből kiindulva veszi sorra azokat a témákat, amiknek a megértése és megismerése után már bőven tud mit kezdeni a megszerzett tudással az érdeklődő, majd továbbhaladni.

Úgy fogalmaztam, hogy néhány évvel ezelőtt. Az előbb említett könyv az alacsony, gépi szintű műveletek ismeretére koncetrál, legalábbis abból indul ki, ezért mindenképp gyorsabban tud látványos eredményeket elérni az, aki a már sokkal inkább emberközelibb, a szkript-nyelvek világában létező biztonsági problémákkal kezd foglalkozni. Ezek pedig szorosan kapcsolódnak a webalkalmazások biztonságához. Szinte mindegy, hogy valaki a Hacking Exposed sorozat Web Applications [Scambray, Liu, Sima] egy újabb kiadását használja vagy a Stuttard-Pinto szerzőpáros The Web Application Hacker’s Handbook könyvét, mindkettő alapos áttekintést ad a webalkalmazások tipikus sebezhetőségeivel kapcsolatban.

ITsec Hacktivity webes biztonság alkalmazásbiztonság etikus hekkelés ajánlóHogy kiből lehet hekker vagy inkább nevezzük úgy: rokon területen szakértő? Bármilyen misztikusnak tűnik is, ez is ugyanúgy megtanulható, mint bármi más, csak éppenséggel érdeklődés, idő és tehetség kérdése.

Ha pedig valaki szeretne kívülállóként szeretne betekintést nyerni abba, hogy hogyan gondolkoznak, dolgoznak az etikus hekkerek, kutatók, érdemes ellátogatnia olyan szakmai rendezvényekre, mint amilyen a Hacktivity, ahol idén is két szekcióban párhuzamosan mennek majd az előadások,  szóba kerül majd többek közt a kártékony programok analízisének mikéntje, IP-kamerák hekkelése vagy éppen, hogy hogyan segíthetik az evolúciós algoritmusok a jelszavak kitalálására irányuló támadásokat. Ezen kívül két workshopban, kisebb csoportokban van lehetőség ismerkedni olyan témákkal, mint amilyen az andoridos eszközök sebezhetőségének tesztelése vagy éppenséggel a vezeték nélküli hálózatok hekkelése. Az előadásokra és a workshopokra egyaránt igaz, hogy akkor is lehet tanulni belőlük, ha a vendég nem érti minden részletében azt, amiről szó van.

0 Tovább

A kukkoló webkamera mítosza


webkamera megfigyelés privacy magánszféra firmware hacking ITsecTöbb helyen is lehetett olvasni, nemrég egy eléggé komoly Motherboard-cikkben, hogy érdemes letakarni a laptop webkameráját, ha úgysem használjuk, ezzel kivédve annak az esélyét, hogy valaki egy kémprogramon keresztül a saját laptopunk kameráján keresztül kukkoljon a tudtunk nélkül. Jogos-e a félelem és ha igen, mennyire? A rövid válasz az, hogy nem, inkább csak mítosz a dolog, de azért megér a téma egy hosszabb fejtegetést. Én nem tudok olyan komolyabb, nyilvánosságra került támadásról, amikor a webkamerán keresztül kémkedett volna bárki is, persze nem zárható ki, hogy ilyen nem is volt soha.

Kezdeném azzal, hogy én sosem értettem ezt a webkamerával kapcsolatos parát. Egyszerűen azért, mert mióta egyáltalán webkamera létezik, amikor az ténylegesen használatban van, kigyullad egy jól látható, aktuális működést jelző led. Márpedig a ledet és a kamera bekapcsolt állapotát vezérlő mikrokontroller egyrészt szorosan össze van integrálva egymással, ráadásul gyártófüggő is. Ez a gyakorlatban annyit jelent, hogy még ha egy gépre kémprogram települ is, ami bekapcsolja a támadott felhasználó webkameráját az operációs rendszeren keresztül, hacsak a felhasználó nem teljesen hülye, a led világításából egyértelmű lesz számára, hogy a webkamerát valami használja. Ha pedig a bekapcsolt ledet nem veszi észre az illető, esélyes, hogy a sokkal hatékonyabb, rázósabb támadást sem venne észre, azaz alighanem nem ez a legnagyobb biztonsággal kapcsolatos rá néző kockázat, hiszen sokkal könnyebb - és értelmesebb - ha a támadó sokkal konvencionálisabb módszerekkel próbálkozik.

Felmerülhet a kérdés, hogy be lehet-e kapcsolni a felhasználó tudta nélkül egy webkamerát úgy, hogy a led ne gyulladjon ki. Közhelyes, hogy éppenséggel mindent lehet, csak az esemény valószínűsége változó. Ezzel kapcsolatban épp a napokban kérdeztem egy, többek közt webkamerák hekkelhetőségével foglalkozó ismerőst, akinek a válasza végülis abban erősített meg, ahogyan korábban is gondoltam, na meg pontosította az ezzel kapcsolatos tudásom. Azaz: egy dolog malware-t telepíteni egy elterjedt, ritkán frissített, elhanyagolt operációs rendszerre, egy teljesen más dolog az, amikor a webkamera firmware frissítésével kerül fel egy olyan, támadó által "patkolt" firmware változat, ami finoman szólva nem csak azt csinálja, amit kellene. Ez még nem is olyan nagyn-nagyon életszerűtlen, hiszen kamerák tömegében ugyanolyan beágyazott linux-like rendszer fut, ami eléggé jól dokumentált, ennek megfelelően hekkelhető is, ha az áldozatot valahogy ráveszik, hogy a támadó által kipreparált firmware frissítést telepítse a gyári helyett, kifinomultabb támadás esetén esetleg teljesen más programként van belógatva a telepítő és nem úgy, mint egy webkamera szoftverfrissítője, hiszen a kamera szoftverét frissíteni egyébként sem egy mindennapos dolog.

És itt jön a lényeg: azért, hogy a led ne gyulladjon ki működés közben, elméletileg a mikrokontroller is exploitálható, viszont egyrészt ekkor pontosan tudnia kell a támadónak, hogy milyen típusú kameráról van szó és az milyen mikrokontrollert használ, a mikrokontroller vagy sérülékeny vagy sem, de még ha sikerül is rábírni, hogy a ledet ne gyújtsa ki a kamera bekapcsolódásakor, ezt az egészet nagyságrendekkel nehezebb kivitelezni egy egyszerű kémprogram telepítésénél vagy éppen megbolondítani a kamera eszközmeghajtóját, vagy olyan alkalmazást csempészni az oprendszerre, ami egyszerűen bekapcsolja a kamerát, majd a streamet továbbítja a támadó felé.

Azaz egy tökéletes kamerás támadásnál még annak is nagyobb az esélye, hogy az áldozat irodájába például elhelyeznek egy miniatűr eszközt, ami kameraként, poloskaként is működik, mindezt GSM-hálózaton keresztül továbbítja a támadónak és mindez valamilyen irodai eszköz elektromos adapterének van álcázva a folyamatos áramellátás érdekében.

Jópofa dolog az informatikai biztonsági megoldásszállító cégektől olyan promóciós műanyag ablakot osztogatni szakmai rendezvényeken, amivel egyszerűen kitakarható a kamera, ha nincs használatban, csak értelme nincs. Nagyban gondolkodva pedig nem lennék meglepve, ha kimatekozva kiderülne, hogy világviszonylatban, összesen a felhasználók többet költöttek ragtapaszra, sebtapaszra, szigszalagra, a kamerák letakarására tervezett bizbaszokról nem is beszélve, mint amekkora kár eddig összesen keletkezett webkamerán keresztül történő kukkolásról.

Fontos megjegyeznem, hogy itt most a laptopokba hagyományosan beépített, videóhívásoknál használt webkamerákról van szó, teljesen más a helyzet például az olyan IP-hálózatra kötött kamerák esetén, amit kimondottan azért telepítettek, hogy folyamatosan figyeljenek.

webkamera megfigyelés privacy magánszféra firmware hacking ITsecAkit behatóbban érdekelnek az informatikai biztonság legizgalmasabb kérdései, érdemes lehet elnézni a Közép-Kelet-európai régió egyik legkomolyabb IT biztonsági konferenciájára, az idei Hacktivtyre, aminek a programja ide kattintva már elérhető.

8 Tovább

Autofágia, a sejtek belső takarító-mechanizmusa


Hunter-szindróma Fabry-kór Gaucher-kór glukocerebrozidáz-defektus alfa-galaktozidás-defektus mukopoliszacharidózis II irudonát-2-szulfatáz lizoszomális tárolási betegségek Nobel-díj 2016 Yoshinori Ohsumi autofágia molbiolAhogy arról hétfőn beszámoltam, idén az orvosi-fiziológiai Nobel-díjat az autofágia genetikai szabályozásának feltárásáért ítélték oda.

Az élő sejtekben, ugyan sejttípustól eltérő mértékben, de folyamatosan sérülnek, kiöregszenek, így egyszerűen javításra vagy ha az már nem megy, lebontásra szorulnak bizonyos kisebb struktúrák, az ún. organellumok avagy sejtszervecskék és az azokat alkotó makromolekulák. Abban az esetben, ha ez nem lenne garantált és óramű pontossággal szabályozott, felhalmozódna számos működésképtelenné vált organellum vagy éppen hibásan tekeredett fehérje, ez pedig nagyon gyorsan a sejt halálához vezetne.

A belső törmelékek lebontását külön, erre specializálódott organellumok végzik, amiket lizoszómáknak nevez a szakirodalom. A lizoszómák a fölöslegessé vált makromolekulákat egyre kisebb részeire, akár monomerjeire is bonthatják, közvetve segítik más organellumok újraépítését, esetleg egyszerűen eltüntetik, amit megemésztettek, de olyan is előfordulhat, hogy a sejt belsejének többi részétől elkülönített, memránnal határolt csomagban zárványként maradnak jelen. Olyan is előfordulhat, amikor a lizoszómába egy teljes organellum kerül bele, ezeket a struktúrákat nevezi a szakirodalom autofagoszómának.

Ahogy korábban is utaltam rá, sebészi pontossággal szükséges felismernie a sejtnek, hogy mik azok a részek, amiket le kell bontani, mik azok, amiket nem, majd ugyanilyen pontossággal levezényelni a teljes folyamatot, minderre pedig természetesen számos forgatókönyvet készített az evolúció.

A japán kutató penészgombákon keresztül azt tanulmányozta, hogy bizonyos gének kiütésével hogyan módosul az autofágia folyamata, ilyen módon szisztematikusan sikerült feltérképezni a szabályozásban szerepet játszó gének hálózatát. A gombák esetében talált gének analógjai vagy maguk a gének pedig megtalálhatók a növényvilág képviselői és az állatvilág legkülönbözőbb tagjai közt is, így az emberben szintén. Mindennek az orvosi jelentősség abban áll, hogy ismeretesek olyan betegségek, amikkel együtt jár az autofágia hibás működése, így a jövőben a közvetlen molekuláris medicina számára is fontos targetté válhat a félresiklott folyamatok helyreállítása.

Vannak esetek, amikor veleszületett rendellenességként a lizoszómák nem tudják lebontani vagy tárolni a szükséges anyagokat, amik még abban az esetben is súlyos tüneteket okozhatnak, ha egyébként csak bizonyos sejttípusok esetén jelentkeznek.

A Gaucher-kór esetén például csak a fehérvérsejtek egy bizonyos típusa, a makrofágok érintettek, amik nem tudnak lebontani egy bizonyos típusú makromolekulát. A kór egyik típusa nem okoz különösebben súlyos tüneteket és enzimterápiával kezelhető is, míg a másik két megjelenési formája rendszerint korai halált eredményez.

A Hunter-szindróma ugyancsak egyetlen enzim defektusára vezethető vissza, ami miatt a lizoszóma képtelen tárolni egy létfontosságú enzimet, ami miatt a dermatán szulfát és a heparán szulfát, létfontosságú struktúrfehérjék forgalma gátolt.

A szintén lizoszomális enzim hiánya okozta Fabry-kór esetén ugyancsak a teljes testet és persze életminőséget befolyásoló tünetek jelentkeznek, ebben az esetben emlékeim szerint az egyik galaktozidáz enzim teljes vagy részleges hiánya okozza a súlyos megbetegedést.

Eméleim szerint még legalább 20-30 betegség ismert, amikor a lizoszóma és ezzel együtt az autofágia valamilyen defektusa felelős súlyos tünetekért, az esetek többségében a lebontásra szánt makromoelkulák bejutnak ugyan a lizoszómába, a lebontó enzim hiánya miatt elbomlani már nem tudnak.

Kép: nobelprize.org

0 Tovább