Szolgáltató adatai Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

A kukkoló webkamera mítosza


webkamera megfigyelés privacy magánszféra firmware hacking ITsecTöbb helyen is lehetett olvasni, nemrég egy eléggé komoly Motherboard-cikkben, hogy érdemes letakarni a laptop webkameráját, ha úgysem használjuk, ezzel kivédve annak az esélyét, hogy valaki egy kémprogramon keresztül a saját laptopunk kameráján keresztül kukkoljon a tudtunk nélkül. Jogos-e a félelem és ha igen, mennyire? A rövid válasz az, hogy nem, inkább csak mítosz a dolog, de azért megér a téma egy hosszabb fejtegetést. Én nem tudok olyan komolyabb, nyilvánosságra került támadásról, amikor a webkamerán keresztül kémkedett volna bárki is, persze nem zárható ki, hogy ilyen nem is volt soha.

Kezdeném azzal, hogy én sosem értettem ezt a webkamerával kapcsolatos parát. Egyszerűen azért, mert mióta egyáltalán webkamera létezik, amikor az ténylegesen használatban van, kigyullad egy jól látható, aktuális működést jelző led. Márpedig a ledet és a kamera bekapcsolt állapotát vezérlő mikrokontroller egyrészt szorosan össze van integrálva egymással, ráadásul gyártófüggő is. Ez a gyakorlatban annyit jelent, hogy még ha egy gépre kémprogram települ is, ami bekapcsolja a támadott felhasználó webkameráját az operációs rendszeren keresztül, hacsak a felhasználó nem teljesen hülye, a led világításából egyértelmű lesz számára, hogy a webkamerát valami használja. Ha pedig a bekapcsolt ledet nem veszi észre az illető, esélyes, hogy a sokkal hatékonyabb, rázósabb támadást sem venne észre, azaz alighanem nem ez a legnagyobb biztonsággal kapcsolatos rá néző kockázat, hiszen sokkal könnyebb - és értelmesebb - ha a támadó sokkal konvencionálisabb módszerekkel próbálkozik.

Felmerülhet a kérdés, hogy be lehet-e kapcsolni a felhasználó tudta nélkül egy webkamerát úgy, hogy a led ne gyulladjon ki. Közhelyes, hogy éppenséggel mindent lehet, csak az esemény valószínűsége változó. Ezzel kapcsolatban épp a napokban kérdeztem egy, többek közt webkamerák hekkelhetőségével foglalkozó ismerőst, akinek a válasza végülis abban erősített meg, ahogyan korábban is gondoltam, na meg pontosította az ezzel kapcsolatos tudásom. Azaz: egy dolog malware-t telepíteni egy elterjedt, ritkán frissített, elhanyagolt operációs rendszerre, egy teljesen más dolog az, amikor a webkamera firmware frissítésével kerül fel egy olyan, támadó által "patkolt" firmware változat, ami finoman szólva nem csak azt csinálja, amit kellene. Ez még nem is olyan nagyn-nagyon életszerűtlen, hiszen kamerák tömegében ugyanolyan beágyazott linux-like rendszer fut, ami eléggé jól dokumentált, ennek megfelelően hekkelhető is, ha az áldozatot valahogy ráveszik, hogy a támadó által kipreparált firmware frissítést telepítse a gyári helyett, kifinomultabb támadás esetén esetleg teljesen más programként van belógatva a telepítő és nem úgy, mint egy webkamera szoftverfrissítője, hiszen a kamera szoftverét frissíteni egyébként sem egy mindennapos dolog.

És itt jön a lényeg: azért, hogy a led ne gyulladjon ki működés közben, elméletileg a mikrokontroller is exploitálható, viszont egyrészt ekkor pontosan tudnia kell a támadónak, hogy milyen típusú kameráról van szó és az milyen mikrokontrollert használ, a mikrokontroller vagy sérülékeny vagy sem, de még ha sikerül is rábírni, hogy a ledet ne gyújtsa ki a kamera bekapcsolódásakor, ezt az egészet nagyságrendekkel nehezebb kivitelezni egy egyszerű kémprogram telepítésénél vagy éppen megbolondítani a kamera eszközmeghajtóját, vagy olyan alkalmazást csempészni az oprendszerre, ami egyszerűen bekapcsolja a kamerát, majd a streamet továbbítja a támadó felé.

Azaz egy tökéletes kamerás támadásnál még annak is nagyobb az esélye, hogy az áldozat irodájába például elhelyeznek egy miniatűr eszközt, ami kameraként, poloskaként is működik, mindezt GSM-hálózaton keresztül továbbítja a támadónak és mindez valamilyen irodai eszköz elektromos adapterének van álcázva a folyamatos áramellátás érdekében.

Jópofa dolog az informatikai biztonsági megoldásszállító cégektől olyan promóciós műanyag ablakot osztogatni szakmai rendezvényeken, amivel egyszerűen kitakarható a kamera, ha nincs használatban, csak értelme nincs. Nagyban gondolkodva pedig nem lennék meglepve, ha kimatekozva kiderülne, hogy világviszonylatban, összesen a felhasználók többet költöttek ragtapaszra, sebtapaszra, szigszalagra, a kamerák letakarására tervezett bizbaszokról nem is beszélve, mint amekkora kár eddig összesen keletkezett webkamerán keresztül történő kukkolásról.

Fontos megjegyeznem, hogy itt most a laptopokba hagyományosan beépített, videóhívásoknál használt webkamerákról van szó, teljesen más a helyzet például az olyan IP-hálózatra kötött kamerák esetén, amit kimondottan azért telepítettek, hogy folyamatosan figyeljenek.

webkamera megfigyelés privacy magánszféra firmware hacking ITsecAkit behatóbban érdekelnek az informatikai biztonság legizgalmasabb kérdései, érdemes lehet elnézni a Közép-Kelet-európai régió egyik legkomolyabb IT biztonsági konferenciájára, az idei Hacktivtyre, aminek a programja ide kattintva már elérhető.

8 Tovább

Frissítést követően kémkedő webkamera, minden látó Tinder és egyéb rémálmaid


Nem csak az az érdekes, hogy az információ koncentrálódásának és áramlásának felgyorsulásával és növekedésével hogyan vált az informatikai biztonság egyre érdekesebb kérdéssé a kutatók számára, hanem az is, hogy ennek hogyan lett hasonlóan exponenciális mértékben növekvő hatása az életünkre.

Gondoltad volna, hogy abban az esetben, ha frissíted a webkamerádat működtető illesztőprogramot, esetleg pont azzal teszed lehetővé, hogy távolról szinte bárki által megfigyelhetővé váljon a kamera által aktuálisan mutatott kép? Vagy éppen a firmware távolról módosítható úgy, hogy ezt tegye.

És azt, hogy a világ egyik legnagyobb mobilos, helymeghatározáson alapuló csajozós-pasizós alkalmazása a Tinder olyan sebezhetőséget tartalmazott, amin keresztül az összes fotót le lehetett volna tölteni a Tinder szervereiről bármiféle bejelentkezés nélkül, olyan adatokat kért le a Facebook-fiókodból, amire nyilvánvalóan semmi szüksége nem volt vagy éppenséggel módosítani kellett a másik távolságát mutató funkciót, mert olyan pontossággal mutatta a felhasználók pozícióját, hogy az potenciálisan veszélyes volt rájuk nézve?

Azt hinnénk, hogy az olyan titkosítási módszerek a leghatékonyabbak, amiket abszolút az alapoktól, a nulláról fejlesztettek ki valamilyen meglévő felszteroidozása helyett, hiszen így kívülállónak nem lehetett lehetősége rá, hogy kiismerje a kriptográfiai megoldás gyengeségeit, ha egyedi fejlesztés. Valójában viszont az a helyzet, hogy éppen az egyedi fejlesztésű kriptográfiai megoldások jelentik a legnagyobb kockázatot ezen a téren. Egyrészt éppen azért, mert nincs egy egyedi, zárt forráskódú fejlesztés mögött egy hatalmas közösség, amelyik rá tudna mutatni a tervezésben vagy esetlegesen az implementációban – azaz konkrét szoftveres megvalósításban – rejlő gyengeségekre. Másrészt azért, mert körülbelül olyan rossz, mint a biztonság hiánya: hamis biztonságérzetet ad.

Többek közt ezeket a témákat filézték ki a tavalyi Ethical Hackingen egy-egy előadás keretében az előadók, amikről a videó nemrég már elérhető a neten is.

Az idei Ethical Hacking konferencia programja nemrég vált elérhetővé itt

A három emlegetett témáról szóló felkerült tavalyi videót pedig itt nézhetitek meg.

--

--

0 Tovább

Az "utca embere" a bekamerázott Combinókról


Hogyan vizsgáljuk nagy mintán, hogy adott csoport mekkora része sötét hülye, akinek főzőprogramon mosta ki az agyát az a propaganda, aminél a PRISM-para és a Citizenfour jelentette a mosóport? Na mutatom: egy, a leghülyébb számára is érthető, a magánszférát kimutathatatlan mértékben befolyásoló tényezőről kérdezzük meg őket!

Persze, jó tudni, hogy mit gondolnak sokan egy-egy témáról, csak éppen az "utca embere" típusú tévés rovatok legszebb pillanatait juttatja eszembe, amikor olyanról kérdezik a tömeget, amit esélye sincs érdemben átlátni. Rendkívül meg lennék lepődve, ha 100-ból 1-nél több személy lenne tisztában azzal, hogy a látszólag arcfelismerésre alkalmatlan, - a mostani Combinókban felszereltnél kezdetlegesebb - alapvetően pocsék képet készítő térfigyelő kamerák ugyan magukról az arcokról valóban rossz képeket készítenek, de csak az emberi szem és érzékelés számára. Ugyanis kellően sok időpillanatban rögzített, de rossz minőségű fotóból egy algoritmus pazarul össze tud tákolni olyan arcképet, amin egyrészt már egyértelműen felismerhető arckép van, ami megfelelő mintázatfelismerő algó alkalmazása mellett alkalmas lehet arra is, hogy bűnügyi nyilvántartásban lévő fotókkal [pl. az Oracle-alapú Robotzsaru 2000] gépileg összevetve azonosítsa például azt, hogy ki balhézott a 4-6-oson bekábszizva valamelyik vasárnap hajnalban.

Nem kezdem el magyarázni magának az algoritmusnak a működését, ami lehetővé teszi, hogy több, rossz minőségű képből kimozaikozik egy jó minőségűt, inkább egy analógiát hozok. Mindkét szemünkre igaz, hogy a látott képnek van agy adott pontja, amit egészen egyszerűen nem látunk, mert ott a vakfolt. Ha gondolatkísérletünkben földönkívüliek vizsgálnák egy ember szemét és rájönnének, hogy az felelős a látásért, nem értenék, hogy hogyan láthatják az emberek mégis a teljes képet, ha nincsenek tisztában az agy látómezőinek működésével. Ugyanis a látás úgy valósul meg, hogy az agyunk folyamatosan kiegészíti azt a képet, ami a szem felől érkező információkból egy "lyukas" képpé állna össze. Mégpedig olyan módon egészíti ki, hogy egyrészt a képet összeveti a már meglévő "képkockákkal", másrészt még a viszonylag homogén háttér apró eltéréseiből is úgymond igazítja a képet egybevetve az előtérben lévő alakzat* pozíciójával. Ha a szemünk nem mozogna vagy nem működne megfelelően a látókéreg, valahogy így látnánk ezt a szalagot a vakfolt miatt, az olvasás mellett az alakfelismerés is esélytelenné válna, a fejünket elfordítva valami ilyesmit látnánk miközben ugyanazt a szalagot nézzük:

Combino kamera vakfolt érzékelésbiológia neuropszichológia látás FUD magánszféra privacy

Nagyon nagyjából egyébként így működnek azok az algoritmusok is, amik sok-sok elmosódott képből képesek kirajzolni egy ipse arcképét, amint éppen egy pénzkiadó automatánál babrál például egy kártyaskimmerrel [ezek azok az olcsón összeállítható kütyük, amik képesek lenyúlni a bankkártyaadatok mágnescsík által tárolt adattartalmát és gyakran az ATM-ek bankkártyanyílásához vannak tákolva].

Visszatérve ahhoz, hogy egy ötezernél több főből álló olvasói mintában az olvasók 10 százaléka vallotta azt, hogy őt márpedig ne figyelje meg senki, két szempont jutott eszembe. Az egyik, ami Schneier is több alapművében is visszatérő gondolat, hogy a tömeges megfigyelés a rossz biztonsági berendezkedés markere. Ugyanakkor az is igaz, hogy az okostelefonok elterjedésének ütemét nem követte a telefonlopások relatív száma, mivel a tolvajok tudják, hogy a legtöbb mobil nyomon követhető, azaz a tömegesen és egyszerűen alkalmazott módszereknek mégis van, kvantitatív kimutatható visszatartó ereje. Jelen esetben, ha valaki tudja, hogy be van kamerázva a villamos.

Ehhez képest az állás pillanatnyilag:

Combino kamera vakfolt érzékelésbiológia neuropszichológia látás FUD magánszféra privacy

Na de miért neveztem az elején az egészet egyfajta privacy-para propagandának? Aligha egy szervezett jelenségről van szó, az viszont tény, hogy a Snowden cirkusz után tömegjelenséggé vált, hogy a semmiből a magánszféra biztonságát erősítő szolgáltatások jelentek meg, mint a ultrabiztonságos telefonálást, emailezést, netezést lehetővé tevő szolgáltatók, csak éppenséggel ilyenek voltak sokkal korábban is, csak éppen komolyabb piaci reputációval és kedvezőbb ár-érték aránnyal, de erről már sokszor volt itt szó. Ha valami hatása volt a Showden-kutyakomédiának, hogy csúcsra járatta a FUD-faktort szinte az összes sajtótermékben, aminek máig érezhető a hatása például az emlegetett netes szavazáson.

*hozzáteszem, ahogy a legtöbb példa, ez sem tökéletes: ugyanis nem csak, hogy egy értelmes kifejezés, ráadásul egy jól ismert alaktatot használtam példaként, nem pedig például egy számsort egy négyzetrácsos füzetbe írva, ahol a számjegyek nyilván sosem illeszkednek pontosan a négyzetekbe, akármilyen precízen is próbálunk írni

Képlövés: origo.hu

0 Tovább