Szolgáltató adatai Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

130 halott? Járulékos veszteség 


Politikai és közéleti témában nem írok, nem is fogok. Nemrég írtam róla egy jegyztetet, hogy az, hogy mennyire korbácsolja fel egy-egy tudomány a kedélyeket és mennyire enged meg eltérő értelmezéseket, attól függ, hogy a tudomány tárgya mennyire áll közel az ember önképéhez, mennyire érinti azt.  

Ami a biztonságpolitikát illeti, mapanság ki sem látunk a sok szeméttől, nagyon nehéz meghatározó, tudományos értékű információt találni a témában, és persze, hogy ebben a témában is általában azoknak a véleménye ér el a legszélesebb körökhöz, akik lehülyítik a témát, nem is tehetnének másként, mivel ő maguk sem értenek hozzá, persze néhány kivétellel.  

A magyar tömegkommunikáció és egyáltalán az emberek közgondolkodása pillanatok alatt jut el valamilyen álláspontra, amitől később lényegében nem tér el és a szereplők a társadalmi kérdéseket azonnal valamilyen ideológiához vagy pszeudo-ideológiához kötik, egyszerűbben úgy is fogalmazhatnék, hogy átpolitizálják. Írom, hogy ez miért baj, egyébként a dolog kicsit hasonló a génmódosított termékekkel kapcsolatos álláspontok politizálódásához.  

Egybiten működnek az agyak. Nem csak ebben a témában, nem csak most, nagyon sokszor. Mert végletekben gondolkozni mindig a legegyszerűbb, a leghülyébb is megérti. Mellőzve azt a témát, hogy egy-egy politikai erő ebből tőkét kovácsol-e vagy sem, a magyar ballib nagyon gyorsan felvett egy olyan álláspontot, hogy a menekülteket segítenünk kell [ügyesen elhallgatva vagy nem tudva, hogy irreális kockázatvállalás mellett is], jobbszélről pedig ahogy ez lenni szokott, ezerrel tolják az ugyanilyen idióta, csak tartalmában más retorikát, ami szerint a bevándorlásból következik a terrorizmus, a terrorizmusból nemzethalál, sátöbbi. A sajtótermékek jobb- és baloldalon még ha csak a négy fal közt adnák a kretént a témában, az még nem lenne veszélyes. Viszont a jelenlegi formájában az.  

Valamit tisztázzunk: a politikai újságíró, a történész, sőt, még a szakpolitikus sem nyilatkozhat felelősségteljesen biztonságpolitikai kérdésben, egész egyszerűen, mert nem tanulta, nem ez a dolga. Röviden írom, hogy mindenki értse: ez egy külön tudomány. Viszont amiben profik sokan, hogy újságíróként olyan tartalmat állítsanak elő, ami az ő kasztjukhoz igazodik, a politikus pedig hasonlóan a saját nyájának megfelelő nyilatkozatokat ad és gesztusokat fog tenni, a kettőben közös, hogy érzelmi alapon.  

Tegnap a világ ismét vett egy leckét abból, hogy milyen veszélyekkel jár, ha a biztonságért felelős döntéshozókra, nem tud hatni a kutatói közösség, azaz azok a biztonságpolitikai szakértők, akiket esetleg sosem látunk. Nem ez volt az első lecke, alighanem nem is ez lesz az utolsó.  

Ha nagyon Ádámtól-Évától szeretnék elindulni, akkor írhatnék most a terrorizmus alapvető természetéről, arról, hogy a néhány halott a terrorista számára járulékos veszteség, a cél a hatás, amit kivált. Ahogy több helyen is lehet olvasni, azért, mert valaki a cipőjében apró, hegyes tárgyakkal akart valamikor felszállni egy gépre, azóta emberek millióinak kell levenni és megnézetni a cipőjét a reptéri becheckoláskor, de a félelemből adódó hatások az élet más területére is hatással vannak illetve növelik a kockázatát annak, hogy a politikai szinten lévő döntéshozók kontraproduktív válaszokat fognak adni akkor, amikor nagyon észnél kellene lenni. A terroristák pedig pontosan tudják, hogy hogyan eszkalálódhat egy, a világ biztonságpolitkai állapota szempontjából apró esemény hatása.  

Nem hungarikum az érzelmi alapú politizálás, csak éppenséggel az érzelmi alapú politizálással ott lehet nagyobb népszerűségre szert tenni, ahol az életszínvonal gyorsabban változik és a tömeges bizonytalanságérzet nagyobb.  

Tudjuk jól, hogy milyen retorikát tolt Magyarországon a jobb- és baloldalon az első sorban álló politikai tábor, amellett, hogy ostoba és demagóg módon tették mindezt, mintha kínosan ügyeltek volna arra, hogy még olyanban se értsenek egyet, ami egyébként józan ésszel is belátható. Például ha valaki meg merészelte volna jegyezni balról, hogy komplett hülye lenne az a terroristacsoport, amelyik kihagy egy olyan lehetőséget, amikor a tömegben elvegyülve lehet csőstöl küldeni a valódi terroristákat Európa belsejébe, a baloldali haverjai alaposan kiutálták volna. Jobb oldalon sem szólalt volna meg senki azzal kapcsolatban, hogy ha leterroristázzák az arab világ felét és pánikot keltenek, az azért nagyon necc, mert nem tudnak majd mit tenni akkor, amikor tényleg lesz valami ziccer. Magyarországon még különösebb nem volt, ami egyébként nettó szerencse.  

A baloldal szócsövei előszeretettel emelték ki azokat az egyébként valós eseteket, amikor valaki azért menekült a hazájából, mert tényleg szétlőtték a házát, közvetlen életveszélyben volt a családjával együtt. Na meg kiemelik, hogy a menekültek közt mennyi a magasan kvalifikált, több idegen nyelven beszélő arc, akiket majd simán felvesz az európai munkaerőpiac. És még sorolhatnám, de a valóság persze, hogy bonyolultabb.  

A biztonságpolitikai témájú egyetemi kurzusokon vizsgánál valahol a beugrók közt lehet az, hogy politikailag nem biztonságos, majd később háborússá váló helyzetben milyen tendencia szerint is hagyják el hazájukat a menekültek. Kezdjük ott, hogy azok, akik érintettek, részben már 10-15 éve vagy még régebben kivándoroltak szerte a világ minden tájára dolgozni, mivel valóban tanultak, jól besznélnek nyelveket, azaz megtehették. Ezt a réteget követte mondjuk úgy a középosztály, amelyiknek a mobilitása már sokkal kisebb volt, aztán csak akkor kezdték szedni a sátorfát, amikor már látszott, hogy a hazájukban komoly gondok lesznek, finoman fogalmazva. Nos, ők jórészt szintén elhelyezkedtek a világ munkaerőpiacán az integrációjuk pedig nem volt kérdés, annyira észrevétlen volt. És utolsó hullámban pedig tipikusan az menekül, aki legnagyobb valószínűség szerint korábban nem tehette meg, mert iskolázatlan csóró, akinek az integrációjára alighanem majd esély is alig lesz. Természetesen itt most tendenciákról van szó, minden táborban vannak kivételek.  

A jobboldal ugye ezalatt terroristázott habzó szájjal, holott nem nehéz belátni, hogy a menekültek alighanem sokkal jobban féltek a magyaroktól, mint fordítva, a kulturális eltérésekből adódó feszültség pedig még a békésebb, mondjuk úgy polkorrrekten európaibb vérmérsékletű rétegből is kihozta a felhergelt támadót. A debreceni menekülttáborban a legnagyobb balhé állítólag onnan indult, hogy valaki megtépett egy Koránt, simán lehet, hogy tényleg így volt. De egy fél pillanatig nem lennék meglepve, ha kiderülne, hogy egy jól képzett szaki vegyült el a tömegben csinálni egy kis balhét megrendelésre, hogy aztán tudjon mutogatni a történtekre, mint problémára a jobboldal. Ahogy az is elképszető lehetett sokak számára, amikor 2009-ben kiderült, hogy a romák elleni sorozatgyilkosságot megakadályozhatták volna, de valószínűleg politikai okból nem tették azért, hogy az akkori baloldal tudjon mutogatni a jobboldali radikalizálódásra utalva a cigány családok ellen elkövetett gyilkosságokra.  

Ha migrációról és annak lehetséges kockázatairól van szó, valójában alighanem senki nem tudja, hogy mik lehetnek a lehetséges forgatókönyvek, amik leírják, hogy mikor van meg az egyensúly Magyarország és Európa védelme és a menekültek emberiesség által megkövetelt segítése közt - hiszen nem lehet vagy nem kivitelezhető válogatni köztük, hogy kinek segítenek és hogyan, na meg kinek nem, függően attól, hogy mennyire tűnik veszélyesnek, ez egyébként is értelmezhetetlen fogalom. Nemrég biztos forrásból hallottam, hogy vannak olyan menekültcsoportok vallástól függetlenül, akiket Németországban eleve a szalafisták fogadják és módszeresen radikalizálják őket. Nagyon konteó-szagúnak tűnhet, hogy a full normális, persze tájékozatlanabb, kiszolgáltatottabb emberek radikalizálódhatnak, de az égvilágon semmi meglepő nincs benne, ha belegondolunk, hogy echte Nyugat-európai arcok közt is van olyan, aki ilyen-olyan ingerek hatására csatlakozik az ISIS-hez. [megjegyzésként egy kis szociálpszichológia középhaladóknak: jelen esetben mindegy, hogy az ISIS-hez, csatlakozhatna éppen valamelyik hülye szektához vagy lehetne sátánista is, a lényeg azon van, hogy vannak olyan, ki-nem zárható paraméterek, amik arra sarkallanak embereket, hogy eléggé rázós gittegyletekhez csatlakozzanak]  

Akkor mi lenne a megoldás még egyszer? Ahogy írtam, biztosan alighanem egyik kutató sem tudja biztosan, ha tudnák, akkor sem sikerülne elfogadtatni azon a szinten, amelyiken kell. Ami viszont világosan látszik, hogy mi nem megoldás: a mostani állapot. Egy amerikai vagy ausztrál számára alighanem ez egyszerűen értelmezhetetlen, de mondjuk ki: Európa egyszerűen becsicskult. [nem először, volt, hogy számos kutatást ellehetetlenítő, így a versenyképességet súlyosan veszélyeztető törvényeket léptettek hatályba azért, mert elég sokáig eléggé hangosan üdvöltözött pár félbolond állatvédő, na meg zöld-anarchista a megfelelő helyen] 

Azzal ugyan alighanem mindenki tisztában van, hogy ennyire rövid idő alatt ennyire sok és ennyire heterogén tömeget nem lehet beengedni, de a józan ész szerint nem az lenne a megoldás, hogy ha nem tudjuk, hogy hogyan kezeljünk egy világpolitikai kérdést hatékonyan, akkor kezeljük úgy, ahogyan tudjuk, aztán ahogy esik, úgy puffan. Igen, van kockázata annak, ha a menekültek egy részét nem engedik át a határokon, ami miatt esetleg valami kevésbé barátságos helyen háborúban lelövik őket [remek etikai kérdés, hogy ez esetben ez Európa felelőssége lenne-e]. De annak is megvan a kockázata, hogy annyi ember érkezik egyszerre, ami fölött nincs, nem is volt kontroll soha, aztán közülük néhány eleve terroristaként jön, nem felétlenül mezitláb vagy éppenséggel Európában radikalizálódik, aztán áll neki robbantgatni, amelyik persze szintén halálos áldozatokkal jár. Alighanem nem matekozható ki, hogy melyiknek a kockázata milyen jellegű típusú, irányú, mértékű.  

A dolog informatikai vonatkozása, hogy általános közvélekedés, hogy a tömeges megfigyelés rossz és kész, Európa legtöbb országában félreérthetetlenül deklarált, hogy a megfigyelésnek célhoz kötöttnek kell lennie, csak akkor alkalmazható, ha a szerzett információ máshogy nem szerezhető be, és így tovább, na ez egy amerikai számára szintén érthetetlen lenne. Ha a célhoz kötöttség szempontját nézzük, akkor észre kellene venni, hogy a célhoz kötöttséget nem úgy kellene értelmezni, hogy a megfigyelés tárgya egyén, hanem a lakosság egészéről szerezhető információ az, ami a megfigyelés tárgya. Na ez az, ami miatt a digitális szabadságharcosoktól falra tudnék mászni: ezek számára a szabadságharcosok számára pont az teremti meg a lehetőségét, hogy szerte a világon oszthassák az ezzel kapcsolatos baromságaikat, hogy az internet IT infrastruktúrájának elengedhetetlenül helyet adó USA bekeményített, amikor kellett.  

Lehet itt kificamodott borgőzös kocsmafilozófiákra ráfogni, hogy a tömeges információgyűjtés ellenzése  bizony a klasszikus hekker-filozófiából származtatható, csak eléggé nyomasztó, főleg olyan közegben, ahol még illene is érteni egy kicsit hozzá. Azt tudom írni, amit eddig is: a mass surveillance, mint gyakorlat bevezetése nem gusztus dolga, hanem az egyetlen lehetséges megoldás volt az USA-ban.  

Mielőtt valaki jönne azzal a sülthülye, demagóg dumával, hogy azért 1000 bevándorlóból mégiscsak 1 az, amelyik bombával bóklászó szélsőséges, ennek megfelelően nem ítélhetünk el egy teljes csoportot ezért, nem alkalmazhatunk a jelenleg hatályosnál sokkal erősebb kontrollokat, tudom, valamelyik tévében emlegette az egyik debil, hogy ez pont olyan, mintha minden németet lenáciznánk azért, mert volt és most is van köztük néhány. Hát nem! Ennek a logika mentén ugyanis simán eljátszhatnánk a gondolattal, hogy mondjuk ha 100 utasból csak 1 jelenthet veszélyt egy transzatlanti repülőjáraton, akkor próbáljuk meg, hogy mondjuk egyet sosem ellenőrzünk, aztán meg bízunk benne, hogy nincs nála rohadt nagy kézitáska. Ha meg mégis van, akkor abban a rohadt nagy táskában nem egy bomba van, ha pedig bomba van, nem pont a gépen tervezi felrobbantani.  

Európát emlegették már gyönyörű nőként a zenei kultúrában, de már most eleget tett azért, hogy a történelemben úgy írja be majd magát, mint puhapöcsű hülyegyerek.  

0 Tovább

A legjobb fájlmegosztó pedig...


Microsoft OneDrive, Google Drive, MEGA, Yandex Disk, Apple iCloud vagy Dropbox? Nem, nem fogok írni sokak után egy ezer plusz egyedik cikket arról, hogy ezeket összehasonlítgassam, inkább írok arról, hogy milyen szempontok alapján érdemes fájlhoszting szolgáltatót választani személyes célra.

Sokakkal előfordult már, hogy otthon felejtettek egy fontos pendrive-ot, esetleg ellopták a gépét vagy más módon, de fontos adatokat vesztett el, amikről ugye a felhasználó sosem készít mentést, amíg először meg nem történik a baj. A cloud fájlhoszting szolgáltatók ugyan ezt a problémát gyakorlatilag egy az egyben ki tuják küszöbölni, használják is egyre többen, viszont nagyon nem mindegy, hogy melyiket, több szempontból sem.

Nagyon gyors felzárkóztatóként írom, hogy ezekhez a szolgáltatásoknak része egy gépre telepíthető kliensprogram, amivel ki lehet jelölni azokat a mappákat a gépen, amiket szeretnénk a saját gépünk mellett a felhőben is tárolni. Azaz ha egy ezen belüli fájlt módosítunk, a módosítás  szinte azonnal megtörténik a felhőben tárolt példányon is, hasonlóan minden  más fájlművelethez, azaz az egész olyan, mintha egy hálózati meghajtó lenne. Itt most a személyes használatra szánt szolgáltatásokkal fogok foglalkozni, főleg információbiztonsági és stabilitási szempontból, de emészthetően.

Ahhoz képest, hogy mennyi fájlhoszting szolgáltató van meglepően kevés az olyan, aminek a freemium változata szerintem megfelel az átlagos felhasználói igényeknek és azoknak a biztonsági követelményeknek, amiket ha mindenki követne, egy boldogabb világban élnénk.

Korábban már írtam róla, hogy a PRISM-para után számos semmiből előtűnő netes cég, legyen szó levelezésről, fájlhosztingról vagy csevegőprogramról, úgy fogta ki a szelet a vitorlából, hogy a felhasználók tájékozatlanságára építve olyan ostobaságokkal bizonygatta azt, hogy ők aztán tényleg a legbiztonságosabbak, mint például hogy a szervereik valamilyen egzotikus országban vannak, ahova nem ér el sem az EU sem az USA mocskos mancsa /*#LOL!*/, illetve egymást akarták túllicitálni azzal kapcsolatban, hogy a szervereiken milyen erősségű titkosítás mellett tárolják a felhasználóik adatait.

Nos, több tárhelyszolgáltató valóban megvalósította, hogy a felhasználó amikor adatot feltölt, azt kliensoldalon a kliensprogram vagy a böngésző titkosítja, eleve titkosítva tolja fel a szerverre, a szerver azt tárolja, amikor pedig a felhasználó letölt a tárhelyéről, letöltődik a szerverről az igencsak erősen titkosított adatmassza, amit a felhasználó a saját kulcsával, amit jelszó véd, szépen kibont. Eléggé gyorsan belátható, hogy ugyan ilyen esetben nyilván a szolgáltató sem látja, hogy milyen adatot is tárolnak nála ténylegesen, viszont egyrészt nagyban korlátozza a lehetséges kényelmi szolgáltatásokat, másrészt eszközfüggő ugyan, de a fájlok szinkronban tartását lassabban végzi. Harmadrészt pedig olyan kockázat ellen véd, aminek a bekövetkezési esélye meglehetősen kicsi, nevezetesen, hogy valaki közvetlenül a szerverhez férjen hozzá valamilyen módon, aztán arról emeljen le adatokat, amihez ugye eleve tudnia kellene, hogy egy sok(tíz)ezer gépből álló privát cloudban melyik gép is az, amelyiken az ellopni, hatóságok esetében pedig lefoglalni kívánt adat van. Nos, igen, a jó öreg MEGA-ra gondolok, amivel végfelhasználói szempontból a legnagyobb para látszólag paradox módon éppen az, hogy nincs lehetőség jelszóhelyreállításra vagy a fiók teljes törlésére, ha a felhasználó nem tud belépni. Az viszont igenis életszerű, hogy valaki az áldozat  MEGA-jelszavát egy keyloggerrel ellopja, belépés után megváltoztatja, a fiók tulajdonosa pedig nem tehet semmit.

A MEGA-t azért emeltem ki, mert a legbiztonságosabb szolgáltatónak tartják, elméletben az is, gyakorlatban viszont épphogy ezért nem.

Ha belegondolunk a jelszólopás rizikója miatt, a felhasználói név és jelszó páros egy-egy belépéshez mindenhol édeskevés, pláne abban az esetben, ha az összes dokumentumunk fenn tanyázik a fellegekben, ugyanakkor a többlépcsős hitelesítést aminek a legegyszerűbb megvalósítása, hogy a felhasználói néven és jelszón kívül egy SMS-ben érkező vagy mobilapp által generált, fél percig érvényes tokent is meg kell adni belépéskor, ha olyan eszközről lép be, amiről korábban nem lépett még be. Azaz az azonosítás kétlépcsős, 2-FA. Viszont egy kezemen meg tudom számolni, hogy hány normális fájlhoszting szolgáltató van, amelyik ezt lehetővé is tenné, legalábbis a freemium változataiban.

Nem teljesen mindegy, hogy szerveroldalon az adat mennyire titkosított abban az esetben, ha egy közönséges jelszólopással is elérhető mind a kliensoldalon keresztül? Na ugye! A saját fájljainkhoz tipikusan csak a saját eszközeinkkel szeretnénk hozzáférni, ugyanakkor a jól kialakított 2-FA lehetővé teszi, hogy ha idegen gépen kell belépnünk egy fájl eléréséhez, a munkamenet egyszeri legyen, azaz más gépén ne jegyezze meg a böngésző, mint saját eszközt. Tehát a 2-FA elemi feature kell, hogy legyen!

A MEGA-t még akkor kezdtem el használni, amikor nekem alkalmasabb még nem volt, nemrég az átköltözésnél pedig volt szerencsém kipróbálgatni a komolyan vehető alternatívákat, amikkel kapcsolatban azt tapasztaltam, hogy több téren éppen arra alkalmatlanok, amire kitalálták őket.

Szép dolog, ha nagy az ingyenesen használható tárhely, ez viszont teljesen mellékes, ha nem talicskával hordjuk fel a HD pornót, hogy ne a gépen foglalja a helyet, hanem valóban dokumentumokat, forráskódokat és fotókat tárolnánk rajta, ami pedig nyilván sok apró fájlt jelent, amit a szolgáltató esetleg egyszerűen nem tud kezelni. Márpedig tényleges felhasználói adatból átlagosan 10-20 GB-nál több aligha van, aminek folyamatosan frissnek is kell maradnia.  

Google szolgáltatást a Youtubeon kívül elvből nem használok ugye, viszont eleve titkosított fájlokat próbáltam feltolni a Google Drive-ba, aminek a kliensprogramja az első volt, amelyik egyszerűen megadta magát, mivel nem tudta kezelni a túl sok fájlt a feltöltésnél. Kiírta ugyan, hogy behalt, azt már nem, hogy milyen fájloktól dobta el az agyát. Viszont abban az esetben, ha valakit nem zavar, hogy a Google-felhőben tárolt adatok olyan infrastruktúrán működnek, aminek a kialakításánál a költséghatékonyság volt az egyik fő szempont, a Google semmiféle felelősséget nem vállal egy-egy adatvesztés miatt, hajrá! Ugyanakkor a Google Drive jól teljesít nagy méretű fájlok feltöltésénél, de itt különösen igaz, hogy a felhőbe eleve titkosítva kellene feltolni az adatot. A Google mezei és üzleti felhasználásra szánt Google Apps változata közt semmiféle lényegi különbség nincs.

A Google Drive szerveroldalon ugye nem titkosít. Hogy miért eleve titkosítva? Egy fél pillanatig se felejtsük el, hogy az adatok védelme elméletileg a Google európai leányvállalatának policyjától függ, gyakorlatilag meg ugye annak az államnak a jogbiztonságától, ahol az adott konkrét felhasználó adatait ideiglenesen vagy tartósan tároló szerverek vannak. A Google pedig stílusosan a felhasználó földrajzi helyéhez legközelebbi adatközpontba fogja az adatot lapátolni, nos, Magyarország meg nem egy olyan ország, ahol különösebb visszhangja lenne egy adatlopásnak.

Az Európában kevésbé ismert Yandex Disk kliensprogramja már lényegesen jobban teljesített sok apró fájl esetén, de alapvetően szintén megadta magát idővel, de nem ez volt benne a legirritálóbb, hanem az, hogy az én esetemben pont akkor nem működött a kliensprogram, amikor a 2-FA-t bekapcsoltam, innentől kezdve pedig felejtős a dolog, ugyan alighanem a hibát előbb-utóbb javítják. Webes felületen 2-FA mellett viszont problémamentesen működik, tökéletesen alkalmas olyan adatok tárolására, amiknek az elérésére, módosítására csak ritkábban van szükség.

A Microsoft OneDrive kliensprogramja szintén a sok apró fájlba döglött bele először, viszont ha ezeket a húzós tartalmú mappákat külön-külön töltöttem fel, problémamentesen működött. A OneDrive-val kapcsolatban többször emlegetett adatvédelmi aggály, hogy folyamatosan pásztázza a felhasználók által feltöltött tartalmakat, alapvetően illegális tartalmak után kutatva, például a nagy mennyiségű, szerzői jogvédelem alá eső, megosztott könyvek, na meg a visszaélésre esetlegesen alkalmas fotók miatt harap. Szép és jó, hol itt a probléma?
Természetesen mindezt egy mintázatfelismerő algoritmus végzi, az viszont ismétcsak nem világos, hogy ha az algó talál ilyet, akár falspozitívan gyilokpornóként azonosítva egy farsangi képet, azonnal szögre akasztja a felhasználót vagy éppenséggel bekerül egy nagy kalapba, ahol már emberi ellenőrzésen is átmegy a dokumentum. Természetesen az is előfordulhat, hogy egy leendő, még nem szabadalmaztatott gyógyszerhatóanyaggal kapcsolatos részletes dokumentumot tekint a nagyokos algoritmus valami drogos cuccnak, ami enyhén szóval nem szerencsés, ha egy teljesen kívülálló alkalmazott elé kerül ellenőrzésre. Ugyan lehet még olvasni az Onedrive-on szinkronizálható fájlok számát érintő 20000-es limitről, ezt nem tapasztaltam.

Fontos tudni, hogy ilyen tartalmi ellenőrzést végez az összes nagyobb cloud szolgáltató, amelyiknek van rálátása a felhasználói adatokra, egyetlen megoldásként ismétcsak az javasolható, hogy a különösen rázós doksikat eleve titkosítva töltsük fel.

Szintén lényeges, hogy ne bízzunk ezer százalékig a felhőben, legyen air gapped másolata is mindennek olyan pendriveon, amit csak akkor húzunk elő, amikor nagyon kell. Ugyanis hiába, hogy a fájlhoszting szolgáltatókat arra találták ki, hogy kényelmesebbé és egyszerűbbé tegyék a fájlok kezelését különböző eszközök közt, simán előfordulhat, hogy pont ez okoz adatvesztést.

Ugyan nem mentem bele részletekbe, de ha egy fájlt módosítunk a saját gépünkön mondjuk Windowsban és természetesen nem sokkal később az OSX-et futtató almás laptopunkkal szeretnénk elérni, a szinkronizáló kliensprogramnak nyilván meg kell oldania, hogy a fájl újabb verzióját érjük el. Hogy ezt melyik kliensapp hogyan csinálja, annak nem mentem utána nagyon, a MEGA például a fájlok korábbi verzióiról készít egy-egy példányt, ami alapértelmezés szerint a felhasználó elől el van rejtve, de előhúzható szükség esetén. Annak felismerése, hogy melyik fájl a legújabb és melyiket kell figyelembe vennie a szoftvernek, valószínűleg úgy történik, hogy a szoftver megvizsgálja egyrészt az utolsó módosítás pontos idejét időbélyeg  szerint vagy éppen nyilvántartja a fájlok kiszámított hash értékét ami azonnal megváltozik, ha a fájlban módosítás történik. Az időbélyeget vagy a hash-ellenőrzőösszeget pedig ügyesen tárolja és kezeli olyan sebességgel, hogy ebből a felhasználó semmit se vegyen észre.

Aki szinkronizált már életében bármit bármivel találkozhatott azzal a jelenséggel, amikor éppen ez a kényelmi funkció okoz adatvesztést. Például a hülye box.com cloud esetén, amiről még nem írtam, ha a szinkronizálás rosszul van beállítva – jobb családokban a felhasználónak eleve szinte semmit sem kell állítgatnia – olyan módon, hogy egy helyben tárolt üres mappát szinkronizáljon egy olyannal, ami a felhőben már megvan vagy éppen fordítva, a box.com képes és az üres mappához igazodik úgymond, azaz törli a teljes tartalmát, ráadásul úgy, hogy azt esetleg vissza sem lehet állítani.

A cloud tároló vállalati környezetben gyakorlatilag megkerülhetetlen, személyes használat esetén pedig könnyebbé teszi az életet, viszont érdemes figyelembe venni, hogy mi az, amire alkalmatlan valamilyen szempontból – például a darkwebről bizonyítékként lementett tartalmak tárolására nem a legalkalmasabb.

Egy nem is olyan régi hír szerint pedig a legkomolyabb versenyzők esetén sem szavatolható 100%-ig, hogy valaki valamilyen újfajta technikával ne lásson át a felhőkön: Man-in-the-Cloud

0 Tovább

Filozófia és terrorizmus


Az Al-Kaida ismét hadüzenetet küldött a fél világnak. Ilyen mondjuk előfordul máskor is, a mostanival kapcsolatban azért meg kellett várnom, amíg a hír leülepedik bennem. 

Ha esetleg valakinek kimaradt volna, a néhai bin Laden fia, Hamza bin Laden, akiről amúgy alig tudható valami pontosan a Wikileaks és a Wikipedia lapjain fellelhető információn túl. 

Ami több mint para, hogy a napokban hangüzenetben gyakorlatilag az összes USA-szimpatizáns ország megtámadására szólította fel az Al-Kaidát, európai nagyvárosokat kiemelve. Most ugorjunk is át azon a morbid részleten, hogy miért van az, hogy a harcokat, de akár a kivégzéseket egyaránt tudják venni full-HD-ben, gondolom én, GoPro-val, ami aztán gyakorlatilag azonnal a neten landol, míg a hangüzeneteik ugyanúgy recsegnek és kiadós késéssel kerülnek nyilvánosságra, mintha a 70-es években lennénk. 

Mivel nem értek hozzá, nem tudom megítélni, hogy a mostani ténylegesen mennyire jelent fenyegetést Európára nézve, felvet viszont egy fogós kérdést. 

Egész életszerű az az elmélet, hogy az öreg bin Ladent azért találták meg annyira nehezen, mert a CIA-nek egyszerűen nem volt elegendő, arabul eléggé jól beszélő, beépülni képes ügynöke, aztán végülis a terroristavezért az étkezési szokásai buktatták le - egyrészt köszönet big data, másrészt még egy ok, ami miatt nem tudok mit kezdeni azokkal, az USA tömeges megfigyelési gyakorlatát kifogásoló idiótákkal arcokkal, Snowden meg a szerethető hazaáruló ugye. Bin Laden lekapcsolásának a lényege az volt, hogy sem az egyén, sem egy terroristacsoport étkezési szokásai nem változnak jelentősen időben, ezt tudva pedig "csak" ki kellett szúrni, hogy honnan rendelnek mindig hasonló arányban ételalapanyagokat és kik, ahonnan már csak egy apró ugrás volt megtalálni a terroristacsoport séfjeit, na meg magukat a terroristákat. Ezzel arra utalok, hogy nem volt egy rutinművelet lekapcsolni az Al-Kaida akkori fejét, mivel a terroristák gyorsan tanulnak, a jövőben meg pláne nem lesz az. 

Amire viszont valahogy nem görcsöltek volna különösebben rá különösebben a hírszerző szervezetek, hogy a terroristacsemetéket illetően mi is legyen a protokoll. Az tudott, hogy Hamza bin Laden már tizenéves korában is vett részt terroristaakciókban, abban pedig ezer százalékig biztosak lehetünk, hogy ha őt is ki akarták volna lőni, az összes emberjogi szervezet azonnal habzó szájjal csinálta volna a parádét, hogy nem lőhető ki egy kiskorú, lényegében kisgyerek csak azért, mert a fater terrorista. Ahhoz pedig nem kellett sokat várni, hogy világossá váljon: a felcseperedő terroristafióka bőven okozhat még kellemetlen perceket a világnak. 

Szóval szabad lett volna-e a mini Ladent szintén előhúzni, amikor még lehetett, de kisfiú volt? Ez az a komplex kérdés, amire ugyan az etika és a fiolózófia minden bizonnyal tud sederíteni egy frappánst választ, de alighanem nem olyat, amit a biztonságpolitika azonnal be tud építeni a saját gyakorlatába és annak megfelelően eljárni. 

Vagy az etika ad túl ködös válaszokat kicsit is összetett kérdésekre vagy inkább arról van szó, hogy valahol megtorpan a kommunikáció, ahol olyan távoli területek szakértőinek kellene konszenzusra jutniuk egy-egy kérdéssel kapcsolatban, mint a fiolozófusok és a biztonságpolitika véleményvezérei, stratégái. Márpedig ha erről van szó, nem is lehetne találóbb az a gondolat, hogy a huszadik századi tudománynak annyira sikerült szétszedni a világról alkotott képet, egyre kisebb és kisebb területről tudnak a kutatók minél többet, hogy ezeket már harmonizálni, társadalmi szempontból hasznosíthatóvá tenni az igazi bravúr. 

Tudvalevő, hogy a mammutcégek előszeretettel alkalmaznak házi filozófusokat, kicsit mintha késve kezdte volna el gründolni a blölcsész staffot az NSA, mindenesetre a próbálkozás dícséretes, hogy próbálnak erősíteni bölcsészfronton. 

képek: nypost.com, blogs.oregonstate.edu

0 Tovább

FB: Vége az automatizált ismerőskukkolásnak


A Facebook még a 2014-es F8 fejlesztői csúcson jelentett be több, Facebook-kisalkalmazást gyökeresen érintő változtatást

A módosítások április 30-ától hatályosak és azoknál az appleteknél lehetnek különösen feltűnőek, amik a felhasználó ismerőseinek körét használják egyik adatforrásként, egyébként pedig szinte mindnél.

Amikor egy Facebook appletet indít valaki, a FB illedelmesen rákérdez, hogy a szükséges engedélyeket megadja-e a felhasználó az alkalmazás számára, így például a születésnapot, az életkort, a profilkép lehívását, azt, hogy a felhasználó nevében posztolhat-e a falára, lényegében bármit, olyan információt is, ami egyébként minden ismerős elől rejtve van. A egység sugarú júzer pedig szokás szerint ekkor zsigerből kattint az engedélyezés gombra, az applet pedig lekérdezi a szükséges adatokat. Mindezt az alkalmazás az ún. Facebook API-n [application programming interface] keresztül teszi, aminek megvannak a maga játékszabályai, amik értelemszerűen időnként frissítésre szorulnak.

Alapvetően szinte az összes korábbi alkalmazásnak újra engedélyt kell kérnie a további működéshez az API 2.0-ás verziójának életbe lépése miatt, bizonyos alkalmazások egyáltalán nem lesznek működőképesek: eddig a függvénykönyvtár egy igencsak népszerű részét képezték azok a függvények, amik le tudták kérdezni a felhasználó ismerőseinek körét, sokszor az ismerősök ismerőseit, az ismerősökkel kapcsolatos cimkéket, hogy majd azzal kezdjenek valamit. Például az alkalmazás kiolvasta az ismerőseid, annak az ismerősi körét is a nevedben, majd mindebből rajzolt egy pofás kis gráfot, amiben vagy egyszerűen csak lehetett gyönyörködni, megint mások használhatták adathalászatra, a kutatók pedig természetesen a közösségek legkülönfélébb szempontú vizsgálatára.

Ez utóbbi műfajban az egyik kedvenc tudományos cikkem azzal foglalkozik, hogy egy jól irányzott kisalkalmazással még akkor is lekérdezhető, hogy az adott felhasználó kivel kavar, ha nincs is fenn az ismerősei közt az illető. Már volt róla szó, magyar nyelven ezzel a Precognox blogja foglalkozott A Facebook tudja kivel kavarsz - akkor is ha nem jelölöd a profilodon címmel. Amit azért fontos hozzátennem, ami úgy minden facebookos információra igaz, hogy itt sem maga a Facebook jelent kockázatot a felhasználó magánszférájára nézve, hanem az, ha a felhasználó mindenféle barom kisalkalmazásnak megad mindenféle engedélyt, aztán meg alaposan megfeledkezik róla. Ha történetesen adathalász alkalmazásról van szó, az alkalmazás készítője gyakorlatilag mindent láthatott a felhasználóról, az ismerősi körön keresztül például abból is adatbázist építhetetett a fejlesztő, hogy valaki mikor, kivel, hova checkolt be, teljesen észrevétlenül, egészen eddig akár évekig.

Az appok közül egyébként itt lehet kegyetlenül legyilkolni azonnal azt, amiről nem tudod azonnal, hogy micsoda, míg az Apps Others Use alatt azt szabályozhatod, hogy milyen adatokat tudjanak az appletek rólad lekérdezni. A Facebook Platform teljes kikapcsolása nem ajánlott.

Nem mennék bele abba a kérdésbe, hogy az előbb vázolt kockázat végülis a Facebook, a felhasználó vagy a rosszindulatú kisalkalmazások bűne, a mi szempontunkból a lényeg, hogy az API legújabb változatában az ilyen típusú kukkolásra csak sokkal körülményesebben van lehetőség, mivel kiherélték az ismerősök és velük kapcsolatos adatok lekérdezésével kapcsolatos függvénykönyvtár használhatóságát.

A F8 hivatalos bejelentésének leglényegesebb mondandóját ennél rövidebben aligha lehetne összefoglalni:

Any deprecated permissions will be removed from existing users, and won't be grantable by new users. This includes the friends_* permissions, xmpp_login or user_checkins.

A dokumentációban pedig az indoklás valahogy így néz ki:

To put people first. This update was in response to feedback from people who were uncomfortable knowing that a friend could share their information with an app. With Graph API v2.0, we wanted to make sure that people had more control over their information.

Na már most normális emberben felmerül a kérdés, hogy akkor eddig mégis miért nem eleve így volt? IMHO azért, mert a FB attól tartott, hogy a felhasználói élmény csökkent volna, ami miatt ugye eleve az egész Facebook lett volna valamivel kevésbé népszerű. A "To put people first" igaz, csak éppen nem abban az értelemben, ahogy a Facebook láttatni akarja: a felhasználók biztonsága nem érdekli őket jobban, mint korábban, egészen addig, amíg nem érkeznek olyan visszajelzések tömegesen, amiből arra következtetnek, hogy a felhasználók kevésbé érzik magukat biztonságban, ami nyilván nem azt jelentené, hogy a felhasználó ésszel él, aztán korlátozza a róla lekérdezhető adatokat illetve lelövi az általa futtatott, de ismeretlen, tisztázatlan működésű kisalkalmazásokat, hanem inkább kevésbé használja a FB-t. Emlékeztető: a felhasználók egy részének még így is túl bonyolult a felület!

Elsőre nem nagyon bonyolult dolgokra gondoljunk az ismerőskukkolda kapcsán! Láttam egy tucat olyan alkalmazást, ami persze pénzért figyeli, hogy ki törölt az ismerőseid közül, mindezt nyilván úgy, hogy periodikusan lekérdezi az ismerősök halmazát és összeveti a korábbival. Persze annak, hogy egy ismerős eltűnik, lehet oka az is, hogy az illető deaktiválja a profilját, törli magát a Facebookról vagy letiltja emberünket, azon a lényegi dolgon nem változtat, ami szerint a Facebook a hivatalos súgóban szavatolja, hogy nem jelzi, ha egy ismerős töröl a kontaktjai közül. Erre nyitott kiskaput néhány fizetős mobilapp a kezdetektől azok számára az egoista türhők számára, akik képesek voltak ezért még pénzt is kiadni, azzal kapcsolatban pedig most inkább nem mondanék véleményt, ha valakinek annyira gesztus értékű az, ha más törli ismerősei közül, hogy szükségesnek látja ezt kisalkalmazással figyeltetni, valamit az életben nagyon rosszul csinál...

Végülis amellett, hogy a Facebook - pontosabban ahogy tisztáztam, az API-ja – biztonságosabbá is vált, sajnos sok-sok kutató alaposan szívhatja a fogát, aki például szociometriai kutatásaihoz a Facebookot használta adatforrásként. Az ismeretségi kör továbbra is lekérdezhető bizonyos esetekben, így például, ha a másik, adatforrásként használt ismerős szintén használja ugyanazt az alkalmazást az összes szükséges permissionnel, de nyilván teljesen életszerűtlen, hogy egy alkalmazást az összes ismerősünk használjon, körülbelül annyira, mintha azt mondanád valakinek, hogy "lécci tedd már fel ezt az appletet, mert szeretném tudni, hogy mikor tiltasz le".

Ma amolyan fészezős napot tartok, hamarosan jön még egy poszt arról, hogy hogyan értesülhetsz általad meghatározott szabályok alapján SMS-ben vagy Google Talk üzenetben egy-egy facebookos történésről, a friss posztjaim követéséhez itt tessék csengetni a Követés gombra kattintással: https://www.facebook.com/bardoczi

kép forrása: http://qz.com/140357/what-your-facebook-friends-list-reveals-about-your-love-life/

0 Tovább

Bankkártyaszám-anatómia, avagy így húztak le a bankom hülyesége miatt


Biztosan többek számára ismert, hogy vannak olyan mobilalkalmazások, amiknek a letöltése és használata ingyenes ugyan, viszont ún. in-app purchase-re van lehetőség, azaz az alkalmazáson belül lehet megvásárolni az extra funkciókat. Az illedelmes alkalmazás persze megkérdezi a fizetés módját, majd ha a bankkártyás fizetést választjuk, elkéri a bankkártyaszámot. A pofátlan alkalmazás megpróbálja megszerezni, aminek a sikeréhez néha elengedhetetlen a bank suttyósága is.

Történt ugyanis, hogy ma este láttam egy általam régen használt mobilalkalmazásban, hogy egy hónapig ingyenesen lehet használni az alkalmazás extra funkcióit. Gondoltam, ki is próbálom, elvégre azok a helyek, amik a kipróbálási lehetőségnél nem kérnek bankkártyaszámot, nem is tudnák honnan levonni az összeget. Elvileg. Ha pedig valahonnan a bankkártyaszámot mégis tudja valahonnan az app és rá is tudja terhelni az összeget, az ingyenességet úgy oldják meg, hogy a kártyán zárolják az összeget ugyan, ha 30 napig a bankkártya-elfogadó nem jelentkezik a zárolt, de még nem könyvelt összegért, mivel lemondja a kipróbált szolgáltatást a vásárló, az összeg visszakerül a vásárlóhoz.

Az én esetemben nem vagyok benne biztos, hogy honnan tudta az alkalmazás a bankkártyaszámom, az alkalmazásboltból aligha nyúlhatta le, alighanem korábban megadtam az alkalmazásban a régit hitelesítés miatt, ők pedig szépen elmentették. Később láttam ugyan, hogy itt nem kérdezett semmit az alkalmazás, gondoltam, nem is volt honnan levonnia, mivel - és most jön a lényeg - a korábban megadott bankkártyám lejárt nemrég, így a réginek az adatai érvénytelenek és nem használhatók fel. Mondom elméletileg!

Ugyanis, ha a bankkártya kibocsátó van akkora ergya-gyökér-suttyó paraszt, hogy a 3 vagy éppen 5 év érvényesség lejárta után a bankkártyát olyan módon újítja meg, hogy maga a bankkártyaszám nem változik és feltételezzük, hogy a bankkártya tulajdonosát /*card holder*/ sem keresztelik át idő közben, az egész megújításnak semmi értelme sincs. Ugyanis a lejárt, ergo már érvénytelen bankkártyának, aminek tehát a lejárati idején kívül más nem változott, nem túl bonyolult módon megjósolhatók próbálgatással az aktuális,  helyes adatai: a korábban tárolt lejárati időhöz években szépen hozzáadnak egyet, kettőt, hármat, négyet, ötöt, azaz öt évre kibocsátott bankkártya esetén legfeljebb öt próbálkozásra van szükség és az összeget már rá is terhelhetik. Jelen esetben is ez történt. Remek kérdés, hogy ez bankkártyacsalás-e.  

Egyébként egy tipikus, Magyarországon használt 16 számjegyű bankkártya száma ilyen módon épül fel:
- a bankkártya első hat számjegye a kártyakibocsátó-hálózatot azonosítja, amiből az első számjegy azt jelzi, hogy melyik szektorhoz tartozik a kártya, így például a 3-mal kezdődnek bizonyos hitelkártyák, mint például az American Express, 4-gyel illetve 5-tel az általános banki tranzakcióknál és vásárlásoknál használt kártyák, mint a Visa vagy a Mastercard
- az első hat számjegy 2-6 számjegyei a kártyakibocsátó-hálózat használható azonosítóit tartalmazzák, így például a szintén elterjedt Maestro /*az első számjegyet is belefoglalva*/ a 500000-509999 és 560000-699999 tartományokat használhatja
- ezt követi a 7-15. pozícióban a véletlenszerűen generált azonosítószám - és ez a lényeg - amivel kapcsolatban a pénzintézet kérheti a kibocsátó-hálózatot, hogy a bankkártya megújításánál maradjon a régi vagy változzon meg az adott ügyfél esetén
- a 16. pozícióban egy ún. Luhn-algoritmus által kiszámolt ellenőrzőösszeg áll

Egyszerűsítve tehát a bank a kibocsátó-hálózattól veszi a kártyákat. De ha kérhető, hogy változzon meg az azonosító, ami ugyebár gyakorlatilag az egyetlen variábilis elem a kártya megújításánál, akkor az ügyfél számára megrendelő bank miért nem kéri a kibocsátó-hálózatot, hogy úgy nyomják újra a kártyát? Ja, hogy az drágább lenne? Hát legyen ez a bank magánügye, azért fizetem az éves kártyadíjat, hogy a lehető legbiztonságosabban lehessen használni, csókolom!

Olyan részletekbe most nem mentem bele, hogy például a bankkártya hátoldalán lévő CVV, CVV2 kódok sok esetben lényegtelenek, ahogy abba sem, hogy más kártyaszám-generálási forgatókönyvek is lehetségesek, külföldön. Amit leírtam persze csak a kártyaszám generálás lényege, a teljes forgatókönyv bonyolultabb, viszont ez alapján is megállapítható, hogy még egy óriási bank esetén sem fordulhat elő, hogy a bankkártyaszám és lejárati dátuma megegyezzen véletlenül, ráadásul a tulaj neve is azonos legyen.

Ezen kívül vegyük észre, hogy a bankkártya adatok önmagukban csak akkor használhatóak fel, ha annak minden adata érvényes. így például a bolti kártyás vásárláskor hiába van rajta a blokkon az utolsó négy számjegy és a lejárati idő, ezek teljesen ártalmatlan adatok, viszont pont az előző bekezdésben leírtakból adódóan kitűnően alkalmasak lehetnek azonosításra. Például annak a valószínűsége, hogy ugyanazzal a négyszámjegy-lejárati dátum-kombóval ugyanazon a napon, ugyanabban a boltban vásároljon több azonos vevő, gyakorlatilag nulla.

És persze ha egy internetes elfogadóhely kéri, hogy küldjünk nekik scannelt vagy fotózott képet a bankkártyánkról azonosítás végett, nyugodtan küldjük el őket melegebb éghajlatra, esetleg mutatva, hogy mennyire vesszük a kérésüket komolyan, küldjük nekik sok szeretettel az alábbi képet, bárminemű egyezés a valósággal a véletlen műve xD



A szokásos bankkártya-tematikájú közhely és bullshitelés helyett a következőt tudom javasolni az olvasónak egyben eloszlatva néhány tévhitet:

- a bankkártya lejárta és megújítása előtt érdeklődjön a bankjánál, hogy az azonosító megváltozik-e egyáltalán, abban az esetben ha nem, egyszerűen ne kérje a megújítást, ilyenkor nem kell fizetni a letiltásért, mivel ez nem is letiltás, a kártya egyszerűen lejár. Új kártyát igényelni pedig jobb családokban nem drágább, mint az éves díj.
- full hülyeség azt mondani, hogy a neten nem adom meg a bankkártyaadataim, mivel
 I. a bankkártyaadatokat nem is tárolja normális, komoly elfogadóhely, ha nem feltétlenül szükséges, csak kap egy visszajelzést, hogy a kártyával minden stimmel és megtörténik a vásárlás
 II. a kártyaadatok megadását egy ellenőrzéshez még akkor is érdemes megcsinálni, ha nem tervezünk semmit vásárolni az adott webhelyen. Többször cikkeztem már arról, hogy ellopni egy Facebook-fiókot mennyire egyszerű. Nos, ha a felhasználó megadta a bankkártyaadatait a Settings/Payment methods alatt, a Facebook megpróbál zárolni egy dollárt, ha sikerül, elmenti és az 1 dollár visszakerül 30 nap után az egyenlegre és kétes helyzetekben, a Facebook előtt a korábbi bankkártyával történő azonosítás mutatja, hogy a felhasználó tényleg az, aki, hiába jelenti fel egy trollhadsereg az illetőt azzal a feljelentés-áradattal, töröltetés céljából, hogy kamuprofilról van szó, a Facebook jó eséllyel nem kér semmilyen további azonosítást a felhasználótól, akinek az accountja biztonságban marad
 III. elemi, hogy kinézetre is komolytalan webhelyen ne boltoljunk bankkáryával

Annak a valószínűsége, hogy egy, a neten kártyával rendszeresen fizető ügyfélnek egy éven belül a sarki zöldségesnél vagy cigivásárlás közben lopják el a bankkártya adatait, jóval nagyobb, mint annak, hogy a neten, ugyanis aki rendszeresen fizet a neten a kártyájával, "pofára" meg tudja saccolni a webhelyről, hogy mennyire vehető komolyan /*l. fentebb*/, míg a sima bolti vásárlás már bonyolultabb ügy.
Tisztelet a kivételnek, de az eladó sokszor nem olyan agytröszt, hogy észlelje, ha a vásárlói bankkártyadatai veszélybe kerülnek.

Tételezzük fel, hogy egy bankkártyacsaló banki alkalmazottnak kiadva magát elhelyez egy olyan eszközt az üzletben a terminál közelében, ami a tessék-lássék módon titkosított kártyaadatokat lehallgatja és továbbítja, akár vezetékes, akár vezeték nélküli a POS-terminálról van szó. De még az sem tűnne fel az eladónak, ha a "bankoscsávó", aki "hozott egy új terminált", valójában olyan POS-terminált adott, ami működik ugyan, de közben lopja a vevők kártyaadatait, hasonlóan az automaták kártyanyílására buherált eszközökhöz. Nem, még akkor sem tűnne fel semmi, ha egyébként más protokoll szerint üzemelné be a csaló az új terminált az üzemeltető nevében, de talán még akkor sem, ha a pofa úgy nézne ki, mint az egyik Beagle boy a Kacsamesékből.

Meg egyébként is? A boltosnak miért kellene tudnia a bankkátyaadatok biztonságáról, nem? Ha meg lopják, a vevőét lopják, "akkor meg kit érdekel, rohadthekkerek, sünökdóga, nem?" Tisztelet a kivételnek, de az általános mentalitás ez.
- a lejárt kártya se kerüljön a szemétbe, sem szétvágva, sem pedig egészben, de a legjobb, ha még a bankfiókban sem hagyjuk ott, lévén, hogy ők is a kommunális hulladékba tennék, hasonlóan ahhoz, ahogy a fenemód okos mobilszolgáltatók alkalmazottai sokszor a minden személyes adatot tartalmazó, de már szükségtelen dokumentumokat csak simán a kukába dobják, ilyen módon minden ilyen üzlet szemetese valóságos aranybánya az adathalászoknak. Nem arról van szó, hogy egy komplett identitáslopásra alkalmas adatmennyiséget gyűjtenének össze /*ugyan ez sem zárható ki */, a személyes adatok kikerülése súlyos visszaélésekre adhat lehetőséget, elég csak arra gondolni, hogy a telefonszolgáltatónk, netszolgáltatónk, telefonos ügyfélszolgálata személyes adatok alapján azonosít be minket, ha nem tudjuk az ügyfélazonosítónkat, így ha egy csaló elég trükkös valaki ahhoz, hogy kiadja magát a nevünkben /*szakargóban impersonation*/, az adataink birtokában például lemondhatja a telefonszolgáltatásunkat vagy lekérheti a hívásrészletezőt 1-2 évre visszamenőleg papíralapon egy általa megadott címre, esetleg a netes felületen új jelszót állíttathat be és úgy fér hozzá a híváslistához.

Ezen kívül cca. végtelen azoknak a lehetséges scenarioknak a száma, amik előfordulhatnak a social engineeringben  és az alapját a bizalmasnak hitt, személyes adatok képzik, ami valami miatt még mindig nem jutott el például még a telekom szolgáltatók tudatáig sem, hogy egyik-másik közintézmény és iskola adatkezelési gyakorlatát ne is emlegessem, arról úgyis csak szuperlatívuszokban lehetne írni.

Visszatérve a bankkártyás témára, az emberi hülyeséget mi sem mutatja jobban, mint, hogy két és fél évvel ezelőtt indult egy Twitter-csatorna, amin első ránézésre roppant mód jópofa dolognak tűnt feltolni a saját bankkártya fotóját. Viszont a csatorna oldala a fejlécben hívta fel a figyelmet, hogy senki ne posztoljon képet a bankkártyájáról. Na mi történt? Igen, az Internetország egyszerű gyermekei halomra tolták fel a fotókat a csatornára. Oké, persze, a többség nem ennyire hülye, de a bankkártyaadatokkal kapcsolatos biztonságtudatosság ugyanúgy egyfajta kontinuumon helyezkedik el /*a teljesen hülyétől a több bankkártyát is használó formákig*/, mint sokminden más, de ezen a téren az átlag is hajmeresztő lemaradást mutat.

Bankkártyaadatokkal kezdtem, személy adatokkal folytattam, zárásként ide embeddelem az Személyiségtolvaj trailerjét, ami szerintem  a legrealisztikusabb hekkerfilm ever, annak ellenére, hogy nem hekkerfilmnek szánták.


11 Tovább