Impresszum Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

Információbiztonság és az írástudók felelőssége


ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtViszonylag gyakran szokták mondani, hogy a tömegtájékoztatás feladata a minél pontosabb, gyorsabb és hiteles tájékoztatás, azaz egy-egy hír közzétételének esetleges következményei miatt már nem vonható felelősségre a hír előállítója. Személyes véleményem, hogy ez még akkor sem állná meg a helyét bizonyos esetekben, ha egy hírt teljesen objektíven közölnének.

1992. áprilisában Los Angelesben négy rendőr igazoltatott gyorshajtás miatt egy fekete sofőrt, aki ellenszegülni próbált a közúti ellenőrzés során, mire a négy – nem mellékesen fehér illetve hispán – rendőr alaposan helybenhagyta, amiről videófelvétel készült, majd megjelent a helyi televízióban. Ezt követően nem sokkal elszabadult a városban a pokol: szinte példátlan lázadás tört ki a városban, a keletkezett kárt egymilliárd dollárra becsülik, több, mint ötven fő életét vesztette, a rend helyreállításához többek közt a nemzeti gárdát kellett segítségül hívni. Ami külön érdekesség, hogy a példásan liberális amerikai sajtó történetében szinte példátlan módon bírósági végzés született azzal kapcsolatban, hogy a felvételt tilos a továbbiakban bárhol is közzétenni, persze már késő volt.


A sok-sok tanulság közül amit mindenképp kiemelnék, hogy a tömegtájékoztatásnak egészében igenis van felelőssége, másrészt akár egy-egy hír esetén is mérlegelni kell, hogy annak közzététele nem sért-e olyan mértékben közérdeket vagy társadalmi érdeket, hogy az már masszívan szembe megy azzal a társadalmi érdekkel, amit a sajtó hivatott szolgálni.

Bizonyos területeken a teljes sajtóhoz viszonyítva szokatlanul gyakran találkozni olyan információval, aminek az idő előtt történő közzététele súlyos érdeksérelemmel járna. Ez az oka annak, hogy ha a tesztelők, külső etikus hekkerek például a pénzintézeti adatbázisok de facto standardjának tekintett Oracle motorban találnak valamilyen sebezhetőséget egy adott bank esetén, akkor ennek a részleteit csak azt követően teszik közzé, miután az érintett bankot tájékoztatták és a hibát kijavították. A kutatók véleménye megoszlik azzal kapcsolatban, hogy melyik a legjobb reporting gyakorlat, az ún. partial disclosure, azaz amikor csak érzékeltetik egy-egy érintettel, hogy a rendszerében hiba van vagy esetleg a full disclosure, amikor a hibát teljes egészében, minden részletével együtt közzéteszik, így kényszerítve például az érintett pénzintézetet, hogy a hibát azonnal javítsa. Az utóbbi nyilván az a kockázatot hordozza magában, hogy a hibát kihasználhatja egy támadó még az előtt, mielőtt a szóban forgó hibát javítani tudnák.

Nemrég vettem részt egy kicsi, ámde kiváló szakmai rendezvényen, ahol az ország egyik legelismertebb etikus hekkere beszélt a Sony Entertainment elleni támadásról. A Sony elleni támadást a fősodrú média, ahogyan ez lenni szokott, úgy mutatta be, mintha egy igencsak kifinomult, nagy szakértelmet igénylő, nehezen kivédhető támadásról lett volna szó. A látványos breach-ekről olvasva rendszerint az olvasókban az a benyomás alakul ki, hogy itt aztán tényleg egy komoly technikai bravúrt hajtottak végre valamiféle guru csúcshekkerek.

És ez baj. Komoly baj.

Kisebb részben azért, az olvasókban torz benyomást alakítanak ki az információbiztonsággal foglalkozó közösséggel kapcsolatban, ha a prosztó módon, amatőr módszereket használó támadókat úgy kezeli a mainstream sajtó, mintha tényleg hekker guruk lennének. Egyrészt ez sérti azok önérzetét, aki tényleg értenek hozzá, másrészt a tömegekben össze fog kapcsolódni az információbiztonsággal kapcsolatos tevékenység a számítógépes bűnözéssel. Egyszerűbben fogalmazva: simán elképzelhető, hogy egy laza, de személyes ismerősömnek hozzáférnek valamilyen netes fiókjához, aztán azt fogja gondolni, hogy biztosan én voltam úgy szórakozásból, csak azért mert úgy gondolja, hogy én képes lehetek rá.

Mi a másik súlyos következménye annak, ha a hírekben megjelenő támadásokkal és támadókkal kapcsolatban téves kép él az emberek fejében? Ahogy a meetup előadója nagyon frappánsan megfogalmazta, egyfajta nihilisata hozzáállás felé sodorja a felhasználókat. Azaz aszerint a séma szerint fognak gondolkozni, hogy fölösleges odafigyelni az információbiztonságra, hiszen "úgyis van valaki", aki fel tudja törni a hozzáféréseit, ha nagyon akarja. Ennek a nihilista hozzáállásnak lehet következménye vagy ha úgy tetszik tünete, hogy manapság a gépek közel felén semmilyen antivírus szoftver nincs telepítve. De alighanem a jelenség része az is, hogy a végfelhasználók nem titkosítják az adataikat, holott ez mindössze néhány kattintás lenne már a Windows XP elterjedése óta, illetve már közhely emlegetni, hogy gyenge jelszavakat használnak, ráadásul több helyen azonosat. Korábban már részletesen taglaltam, hogy miért nem mondhatja senki azt a mai világban, hogy "az én adataimra senki sem kíváncsi".

Visszatérve az előadásra, a Sony elleni támadást valószínűleg nem az Észak-koreai kormány követte el, de ha már hírbe hozták őket, nyilván nem mondták azt, hogy nem ők voltak. Gondoljunk csak bele, ha történne egy olyan kísérleti atomrobbantás, amire felfigyel a fél világ, de csak hírbe hoznák Észak-Koreával, az fix, hogy nem tiltakozna kézzel-lábbal a diktatúra jóllakott napközis hülyegyereke Kim Jong Un személyében azzal, hogy nem ő voltak.

A Sony elleni támadás kivizsgálása során kiderült, hogy a cég éveken keresztül tömegesen kapott teljesen közönséges adathalász leveleket, így csak idő kérdése volt, hogy minél több alkalmazott hozzáférését tudják elhappolni. Ezen kívül természetesen a kutatók visszafejtették azoknak a kémprogramoknak a kódját, amiknek szerepet tulajdonítottak az adatlopásban, abból pedig kiderült, hogy ha nem is egy kontármunkáról van szó, több jel is arra utal, hogy a támadók igencsak béna módon hagytak nyomokat maguk után.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtNem merülnék technikai részletekbe, de lényeg, hogy a klasszikus vírusokat, rootkiteket, spyware-eket, a professzionális támadók úgy írják meg, hogy azok visszafejtése után ne lehessen következtetni a kilétükre illetve arra sem, hogy a rosszindulatú program milyen korábbi kártékony kód továbbfejlesztése lehet. Erre példa az első valódi informatikai fegyvernek tekintett, urándúsító üzembe bejuttatott Stuxnet és az abból származtatott, később azonosított csúcskártevők, amiknél nemcsak arra nem lehet következtetni, hogy melyik állam állhatott a létrehozásának hátterében, de sokszor még olyan részleteket is elhelyeznek ezekben a malware-ekben, amik megpróbálják félrevezetni a kutatókat!

Ehhez képest a bénább kártevők írói egy halom olyan jellegzetességet hagynak a kártevőjükben a programozásuk során, ami később könnyebben azonosíthatóvá teszi őket.

Az is szóba kerül, hogy az olyan rémes buzzwordök, mint a "nulladik napi sebezhetőség", vagy "szofisztikált támadás" eleve gyanakvásra adnak okot a figyelmes olvasókban.

Hatalmas hiba lenne figyelmen kívül hagyni, hogy a média mellett az IT biztonság is egyre meghatározóbb biznisz, így az bizonyos informatikai biztonsági megoldásokat kínáló cégek jórésze ki is fogja a szelet a vitorlából és a kommunikációjukat szándékosan úgy alakítják, hogy azzal maximalizálják a bevételüket azon keresztül, hogy eladnak olyan terméket is az ügyfeleiknek, amikre valójában nem is lenne szükségük vagy éppenséggel nem olyan módon. Nem is tudom már, hogy hol olvastam, de hatalmas igazság, hogy nem a biztonságot szavatoló technológiai megoldást kell eladni, hanem a biztonság érzetét. Ami nyilván sokkal könnyebb, ha bizonyos szintű félelemérzetet keltenek az ügyfelekben.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubt

Ebben pedig a fősodrú média nagyon gyakran akaratlanul és tudattalanul partner, mi több, a jelenségnek már réges-régen neve is van: FUD, azaz fear, uncertainty, doubt.  

A FUD mögött gyakran könnyen felfedhető az üzleti érdek, ha magyar példát kell hoznom, alighanem nagyon sokan emlékeznek rá, amikor a szolgáltatók a mobiltelefonálás hőskorában azt állították, hogy a mobil függetlenítése olyan bűncselekmény, amiért börtön jár, holott, nem több, mint egy polgárjogi szerződésszegés a telkószolgáltató és az ügyfél közt, de ilyen miatt még az életbe nem indult per az országban. Az már más műfaj, amikor valaki tömegesen és pénzért halomra függetlenítette a mobilokat. Amikor a szolgáltatók látták, hogy ezzel nem lehet gátolni a folyamatot, később azt hangoztatták, hogy a függetlenítés károsítja a mobilt, ami a régi mobilok esetén szintén nem volt igaz.

De ha FUD-ról van szó, a legkomolyabb, leginkább autentikusnak nevezhető cégek is nyilatkoztak már olyan módon, hogy amögött az üzleti érdekek eléggé világon kivehetőek voltak. Például az Apple nem kevesebbet állított néhány évvel ezelőtt, mint hogy a jailbreakelt mobilok kinyírhatják a mobil adótornyokat, míg hivatalosan egy szó sem esett sokáig a jailbreakeléssel járó valós kockázatokról.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtÁtverések és visszaélések persze a net előtt is léteznek, – kultúrafüggően ugyan – sokszor addig nem szorultak vissza, amíg valaki a saját bőrén nem tapasztalta meg azt a kárt, amit azzal szenvedett el, hogy átverték olyan esetben, amikor tevőlegesen ő maga tette mindezt lehetővé. Az már látszik, hogy a netes közegben teljesen hasonló a helyzet, a kérdés csak az, hogy szervezeti szinten milyen módszerek lehetnek a leghatékonyabbak arra, hogy mintegy immunizáljuk az alkalmazottakat a tipikus átverésekkel szemben.

A social engineering élt, él és élni fog… A rendezvény végén több gondolatindító kérdés is felmerült azzal kapcsolatban, hogy a gyakori, nagy kockázattal járó és emberi gondatlanságból adódó incidenseket hogyan lehetne megelőzni figyelembe véve azt, hogy a céges hálózatokba érkező kártevők több, mint fele email csatolmányként érkezik, amit egyszerűen csak nem kellene megnyitni, nem is beszélve a klasszikus adathalász levelekről, amit egyre inkább személyre szabottan próbálnak eljuttatni egy-egy címzettnek. Ismétcsak úgy tűnik, hogy a technikai fejlődéssel és benne lévő kockázatokkal egyszerűen nem tudott lépést tartani kultúránk, nem tartom kizártnak, hogy ezt lényegesen siettetni nem is lehet. Azaz a technikai evolúciót utolérni sincs esélye a kulturális evolúciónak, ugyan előremutatónak tűnnek azok az ötletek, mint például az, hogy a biztonságtudatosságra egészen a kezdetektől kellene szocializálni mindenkit kisiskolás kortól.

Ha visszaélésekről van szó, világos, hogy mik nem jelentenek megoldást. Például a Magyarországon ezerszer módosított, információs önrendelkezésről szóló törvény a netes közeg vonatkozásában annyit nem ér, mint amennyi a papír, amire valaha is kinyomtatták: még évekkel ezelőtt a jól ismert fikaoldalak a jog betűjére teljesen fittyet hányva hordták fel a felhasználók közösségi webes szolgáltatásból származó fasztortás, bepiálós vagy más módon kínos fotóikat, a törvénynek semmiféle visszatartó ereje nem volt. Viszont eléggé világosan látszik, hogy a náluk néhány évvel fiatalabb és rugalmasabb, most 14-22 éves generáció már jóval elővigyázatosabb azzal kapcsolatban, hogy mit tesz közzé a neten, ha a nagy átlagot nézzük. Azaz a technológiai kockázat és az internet természete maga szankcionálta a felhasználót a saját hülyesége miatt, aminek a hatása néhány év alatt érezhető lett.

Egy munkahelyek ugyanakkor nem tűnik túl életszerű megoldásnak az, hogy a fertőző hivatkozásokra kattintó vagy Google Docs-ban érzékeny adatokat feltalicskázó alkalmazott felkerüljön mondjuk egy hülyetáblára és más szankcionálási formák is vélhetően inkább a szervezeten belüli feszültséget növelnék, mint a biztonságtudatosságot, éves, évtizedes beidegződések nem változtathatóak meg csak úgy.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtAz Adecco IT Academyben különösen az tetszett, hogy különböző területről érkezett szakértők, érdeklődők oszthatták meg a tapasztalataikat, aminek hatalmas előnye, hogy ekkor olyan új következtetésekre juthat az érdeklődő, amire egy szűkebb körnek szóló szakmai rendezvényen alighanem kevésbé.

0 Tovább

Az "utca embere" a bekamerázott Combinókról


Hogyan vizsgáljuk nagy mintán, hogy adott csoport mekkora része sötét hülye, akinek főzőprogramon mosta ki az agyát az a propaganda, aminél a PRISM-para és a Citizenfour jelentette a mosóport? Na mutatom: egy, a leghülyébb számára is érthető, a magánszférát kimutathatatlan mértékben befolyásoló tényezőről kérdezzük meg őket!

Persze, jó tudni, hogy mit gondolnak sokan egy-egy témáról, csak éppen az "utca embere" típusú tévés rovatok legszebb pillanatait juttatja eszembe, amikor olyanról kérdezik a tömeget, amit esélye sincs érdemben átlátni. Rendkívül meg lennék lepődve, ha 100-ból 1-nél több személy lenne tisztában azzal, hogy a látszólag arcfelismerésre alkalmatlan, - a mostani Combinókban felszereltnél kezdetlegesebb - alapvetően pocsék képet készítő térfigyelő kamerák ugyan magukról az arcokról valóban rossz képeket készítenek, de csak az emberi szem és érzékelés számára. Ugyanis kellően sok időpillanatban rögzített, de rossz minőségű fotóból egy algoritmus pazarul össze tud tákolni olyan arcképet, amin egyrészt már egyértelműen felismerhető arckép van, ami megfelelő mintázatfelismerő algó alkalmazása mellett alkalmas lehet arra is, hogy bűnügyi nyilvántartásban lévő fotókkal [pl. az Oracle-alapú Robotzsaru 2000] gépileg összevetve azonosítsa például azt, hogy ki balhézott a 4-6-oson bekábszizva valamelyik vasárnap hajnalban.

Nem kezdem el magyarázni magának az algoritmusnak a működését, ami lehetővé teszi, hogy több, rossz minőségű képből kimozaikozik egy jó minőségűt, inkább egy analógiát hozok. Mindkét szemünkre igaz, hogy a látott képnek van agy adott pontja, amit egészen egyszerűen nem látunk, mert ott a vakfolt. Ha gondolatkísérletünkben földönkívüliek vizsgálnák egy ember szemét és rájönnének, hogy az felelős a látásért, nem értenék, hogy hogyan láthatják az emberek mégis a teljes képet, ha nincsenek tisztában az agy látómezőinek működésével. Ugyanis a látás úgy valósul meg, hogy az agyunk folyamatosan kiegészíti azt a képet, ami a szem felől érkező információkból egy "lyukas" képpé állna össze. Mégpedig olyan módon egészíti ki, hogy egyrészt a képet összeveti a már meglévő "képkockákkal", másrészt még a viszonylag homogén háttér apró eltéréseiből is úgymond igazítja a képet egybevetve az előtérben lévő alakzat* pozíciójával. Ha a szemünk nem mozogna vagy nem működne megfelelően a látókéreg, valahogy így látnánk ezt a szalagot a vakfolt miatt, az olvasás mellett az alakfelismerés is esélytelenné válna, a fejünket elfordítva valami ilyesmit látnánk miközben ugyanazt a szalagot nézzük:

Combino kamera vakfolt érzékelésbiológia neuropszichológia látás FUD magánszféra privacy

Nagyon nagyjából egyébként így működnek azok az algoritmusok is, amik sok-sok elmosódott képből képesek kirajzolni egy ipse arcképét, amint éppen egy pénzkiadó automatánál babrál például egy kártyaskimmerrel [ezek azok az olcsón összeállítható kütyük, amik képesek lenyúlni a bankkártyaadatok mágnescsík által tárolt adattartalmát és gyakran az ATM-ek bankkártyanyílásához vannak tákolva].

Visszatérve ahhoz, hogy egy ötezernél több főből álló olvasói mintában az olvasók 10 százaléka vallotta azt, hogy őt márpedig ne figyelje meg senki, két szempont jutott eszembe. Az egyik, ami Schneier is több alapművében is visszatérő gondolat, hogy a tömeges megfigyelés a rossz biztonsági berendezkedés markere. Ugyanakkor az is igaz, hogy az okostelefonok elterjedésének ütemét nem követte a telefonlopások relatív száma, mivel a tolvajok tudják, hogy a legtöbb mobil nyomon követhető, azaz a tömegesen és egyszerűen alkalmazott módszereknek mégis van, kvantitatív kimutatható visszatartó ereje. Jelen esetben, ha valaki tudja, hogy be van kamerázva a villamos.

Ehhez képest az állás pillanatnyilag:

Combino kamera vakfolt érzékelésbiológia neuropszichológia látás FUD magánszféra privacy

Na de miért neveztem az elején az egészet egyfajta privacy-para propagandának? Aligha egy szervezett jelenségről van szó, az viszont tény, hogy a Snowden cirkusz után tömegjelenséggé vált, hogy a semmiből a magánszféra biztonságát erősítő szolgáltatások jelentek meg, mint a ultrabiztonságos telefonálást, emailezést, netezést lehetővé tevő szolgáltatók, csak éppenséggel ilyenek voltak sokkal korábban is, csak éppen komolyabb piaci reputációval és kedvezőbb ár-érték aránnyal, de erről már sokszor volt itt szó. Ha valami hatása volt a Showden-kutyakomédiának, hogy csúcsra járatta a FUD-faktort szinte az összes sajtótermékben, aminek máig érezhető a hatása például az emlegetett netes szavazáson.

*hozzáteszem, ahogy a legtöbb példa, ez sem tökéletes: ugyanis nem csak, hogy egy értelmes kifejezés, ráadásul egy jól ismert alaktatot használtam példaként, nem pedig például egy számsort egy négyzetrácsos füzetbe írva, ahol a számjegyek nyilván sosem illeszkednek pontosan a négyzetekbe, akármilyen precízen is próbálunk írni

Képlövés: origo.hu

0 Tovább