bardóczi ákos @post.r

A minap jelent meg az Origo Tech rovatában egy cikk Túl lassan reagált a Facebook a terrortámadásra  címmel, szintén nemrég a Subba Blogon egy poszt 2 girls 1 csicska címmel, videó amúgy itt.

Az Origo cikke részletekbe menően beszámol róla, hogy a Facebookon többen számon kérték, hogy a terrorista szervezkedésekkel szemben túl lassan lépett, egészen pontosan, a terroristaakciókat pozitív színben feltüntető posztokat nem távolította el elég gyorsan, holott a Facebook egy fejese is kifejtette: „Terroristáknak, terroristapropagandának nincs helye a portálon.” Ezen kívül szóba került, hogy ilyen eseményeknél a Facebook akár plusz alkalmazottakat is behívhat, hogy felvegyék a harcot azokkal a felhasználói tartalmakkal. Ez több ponton ütköznek a gusztustalanul álszent és ostoba community guidelines-szel, másrészt nagyon veszélyes hülyeség.

Meanwhile in Hungary…

Ezzel körülbelül egy időben, ahogy a Subba hivatkozott posztja is felkapta a hírt, felkerült egy facebookos videó, amiben egy tinicsaj alighanem a haverjaival való megveretésével arra kényszerített egy hasonló kultúráltsággal és intellektussal megáldott jómadarat, hogy nyilvánosan kérjen tőle bocsánatot azért, mert azt posztolta róla, hogy fugáztak.

Ez utóbbi videó amúgy amellett, hogy röhögünk rajta, amellett, hogy ízléstelen, amellett, hogy egy olyan világba repít el bennünket, ahol semmi pénzért sem élnénk 5 perccel több ideig, a napnál is világosabb, hogy egy zsarolási bűncselekmény bizonyítéka, ugyan ez kutyát se zavar. Ja, a linken mindenki számára elérhetőek a hozzá tartozó kommentek is, most komolyan, mennyi van, amelyikből nem a kőprimitív arrogancia jön le?

Minden mindennel összefügg

Nemrég számoltam be a webes óriások eszelős ostobaságáról, amiben arról írtam, hogy a fene nagy szociális érzékenységük közepette bizonyos tartalmak moderálásával gyakran bizonyítékokat semmisítenek meg és hogy ez miért is baj.  

Vegyük észre, hogy itt aztán ezer fokon lobog az elmebaj – na meg a gusztustalan álszentség

Nem mélyedek bele ismét abba, hogy miért hatalmas hiba egy-egy közösségi szolgáltatás részétől, ha azonnal lemoderál bármit, amit szerintük a felhasználóknak nem szabadna látniuk valamilyen okból, okot pedig gyártanak hozzá bármikor. Leginkább azért, mert ha nem törlik azonnal azokat a tartalmakat, amiket a net leggátlástalanabb, morális téren állati szinten lévő  csőcseléke vagy éppenséggel elővigyázatlan, iszlamista szélsőségesekkel szimpatizáló arcok töltenek fel, ezek a tartalmak kutathatóak maradnak mind a nyomozó hatóságok, mint a külső kutatók, szociológusok, kriminológusok, kriminalisztikai módszereket fejlesztők és mások számára egyaránt. Ugyanis ha nem törlik, a tartalmakhoz kapcsolódó metaadatok, a kirívó vagy közösségre veszélyes tartalmakat terítő felhasználók aktivitása és az ő rajongói bázisuk felgöngyölíthető és követhető is marad, míg ha ostoba módon ezeket a tartalmakat eltávolítják, nyilván ezzel ezek az információk elérhetetlenné válnak – azaz valamivel később már sokkal nehezebb lesz azonosítani a potenciális bűnözőket, szélsőségeseket, egy szóval a legsúlyosabb arcokat.  

Ez nem az óvodában verekedő Pistike!

Ha Pistike verekszik az óvoda udvarán és az ovónéni leállítja, annak megvan a maga logikája. De a közösségi web kicsit más: ha megfigyeljük, hogy a webkettőn verekedő Pistikével kik szimpatizálnak, Pistike általában miért kezd verekedni, általában kik a veszélyeztetett csoport és hogyan verekszik, ezzel később, de sokkal több ismeret birtokában állítjuk le a gondolatkísérletbeli Pistikét, de már a hasonlóan problémás 100 másik társával együtt és ez a lényeg!

Hosszasan lehetne még sorolni az érveket azzal kapcsolatban, hogy a Facebook mostani elképesztően ostoba moderációs gyakorlata miért helytelen. Ide tartozhat az az elvi ok is, hogy a Facebooknak egész egyszerűen nem feladata, hogy elvi szempontból veszélyes tartalmaktól – azaz a vírusos és spammer hivatkozások például nem tartoznak ide – megvédjék a felhasználóikat, mintha azok taknyos orrú óvodások lennének. Másrészt van egy olyan, rendkívül rossz olvasata a dolognak, hogy a felhasználóknak nem kell tartaniuk semmitől, mert majd a nagy és okos Facebook megvédi őket – holott nem, minden ilyen lépést a Facebook nyilván csak azért tesz, hogy családbarát legyen úgymond.

Magyar vonatkozás – polkorrektek maradunk vagy hagyjuk, hogy kinyírjanak a Mekiben?

Az első komolyabb eset, amikor egy rázós arcra a neten keresztül lettek figyelmesek a hatóságok az volt, amikor Somogyi Ábel blogját elkezdte figyelni a rendőrség, majd megtették a szükséges lépéseket. Na most képzeljük el, ha akkor a csávó blogját csak úgy törli a blogszolgáltató mondjuk arra hivatkozva, hogy uszító tartalomnak náluk nincs helye! A türelmes megfigyeléssel a magyar zsaruk sokkal többre mentek, gyakorlatilag nem kellett bizonyítani a lementett tartalmak alapján, hogy az eszelősen elborult versek nem csupán a szerzői szabadság eredményeként születtek. Igaz, hogy a Móriczon kellett a tagnak lövöldöznie egy picit mire tényleg lekapcsolták, de semmi sem zárja ki, hogy valóban emberekre lőtt volna mondjuk az egyetemen, ha teheti – amiről értelemszerűen nem tudtak volna honnan értesülni időben a bűnüldöző szervek, ha a blog nincs.

Nemrég szereztem be Wiil Counterterrorism and Open Source Intelligence kötetét, de számos könyvet meg tudnék még nevezni, ami azokat a metodológiákat mutatja be, hogy hogyan kutassunk radikalizálódó csoportok, potenciális bűnözők és egyéb rázós arcok után a közösségi weben és egyéb, nyílt netes forrásokban. Ezek a módszerek viszont mind feltételezik, hogy egy-egy szolgáltatás működtetője nem olyan ostoba, hogy törli azt a tartalmat, ami kiindulópont lehet egy terrortámadás megakadályozásához. Nos, a Facebook most mást sem csinál – de legalább jól jár vele, fő az imidzs, nemde?

Képek forrása: web, kuruc.info

Mármint pina nevű wifi-hálózat. De miért érdekes mindez? Mi az a wardriving? A heti második OSINT gyorstalpaló posztból kiderül.  

kép nagyban

Egyre többször kerül szóba a wifi hálózatok biztonsága, egy-másfél éve meg is keresett egy kiadó, hogy a készülő kötetükbe lektoráljam a vezeték nélküli hálózatok biztonságával foglalkozó részt, amihez ha nem is vagyok hülye, mint a harangöntéshez, de messze nem értek hozzá annyira, hogy egy ilyen fejezetnek szaklektora legyek.

A wifi hálózatok népszerűsége túl sok szót nem érdemel, amiről alighanem szintén eddig is többen hallottak vagy használták már, hogy számos olyan, known sourcingen, azaz közösségi tudásmegosztásra alapuló szolgáltatás van már, amin meg lehet nézni, hogy egy idegen helyen hol találunk legközelebb wifi-hálózatot. Na de honnan tudják ezek a szolgáltatások, hogy hol van wifi, és még azt is, hogy éppenséggel nyitott vagy valamilyen jelszavas hozzáféréshez kötött, ráadásul nem ritkán a hálózati eszköz olyan adataival együtt, amit nem a legbölcsebb, ha elárul a wifi-hálózat tulajdonosa?

Kezdetben volt a klasszikus wardriving, amikor megszállott geekek erre kihegyezett, laptopra kapcsolt antennákkal bóklásztak, amik folyamatosan figyelték a terepet, majd ha láttak egy wifi hálózatot, feljegyezték annak nevét, azt, hogy jelszóval védett vagy sem valamint természetesen rögzítették hozzá a pontos GPS koordinátákat. Ebből még annyira nem gyűlt össze tengernyi adat, néhány kivételes esettől eltekintve, mint amilyenről múltkor írtam a helymeghatározás kapcsán és csak részben volt elérhető a nagyközönség számára. Aztán jöttek a wifi-képes okostelefonok és ahogy az várható volt, ezt is megváltozott. Több alkalmazás is van, amin a mobilunkon meg tudjuk nézni, hogy a világ különböző pontjain milyen feltérképezett wifi-hálózatok vannak, ezek egy részénél opcionálisan, más részénél gyakorlatilag a használat kezdetekor elfogadjuk azt a feltételt, hogy a szolgáltatás használatáért cserébe a mi mobilunk is folyamatosan figyel, ha úgy tetszik jegyzetel, aztán tölti is fel a szolgáltatás adatbázisába az újonnan talált hálózatokat vagy frissíti azok tulajdonságait. A világ wifi routereinek nevének, pontos helyének és MAC-azonosítójának összegyűjtése és közzététele nem az ördögtől való dolog, viszont azon túl, hogy wifit foghatunk olyan helyen, ahol egyébként nincs netelérés, de szükség lenne rá, természetesen számos más célra is használható.

A nyitott wifi nem játék. Nemrég történt, hogy valaki egy család nyitott wifijét használva egy fórumon trollkodott egyet, konkrétan azt írta, hogy tele van robbanóanyaggal és használja is, ha kell, a fórumozót pedig persze az netelőfizetése alapján próbálták azonosítani, ami alapján rá is találtak egy családi házra, az Illinois állambeli Evansville-ben, ahova a SWAT igencsak nagy erőkkel szállt ki:

Mire aztán kiderült, hogy valójában valaki az utcáról használta a wifit, ők konkrétan nem robbantottak volna semmit. Arról, hogy a betört ajtó javításának költségét megtérítették-e a hékek, már nem nagyon van hír.

Azoknál a szolgáltatóknál, ahol bevezették a Wi-Free nevű őrületet, aminek a lényege, hogy más netkapcsolata is használható, ha az adott szolgáltatónál mi magunknak is van előfizetésünk, van némi ok a parára. Nos, elvben bárkinek wifi kapcsolata használható, - aki kimondottan nem tiltatta le a Wi-Free opciót, - mivel annak használata elvben saját előfizetéshez és azonosításhoz kötött, viszont sosem lehetünk benne biztosak, hogy
-    másvalaki a free wifihez kapcsolódó azonosítóinkat más nem szerzi meg, esetleg kéri kölcsön
-    esetleg nem lopják ki magától a szolgáltatótól
-    az előző kettő egyike sem, viszont az authentikációt a router olyan protokollon keresztül végzi, amiről rég tudott, hogy szar – nem vagyok benne biztos, de talán az egyik legnagyobb magyar netszolgáltató a MS-CHAPv2-et használja ehhez, amiről a Buhera Blog is beszámolt
-    esetleg a protokollal nincs probléma, viszont egyszerűen rosszul van implementálva, azaz leprogramozva az adott hálózati eszközben
-    ha még csak nem is használunk Wi-Free csodát, magának a routernek az alapértelmezett beállításai olyanok, ami alapján simán csatlakozhat rá bárki – poszt egy hazai példán keresztül szintén a Buhera Blogról erre

Másrészt tudva levő, hogy az olcsó 2 in 1, szolgáltatótól kapott kábelmodemek, amik routerek is egyben, ha önmagukban nem lennének eléggé közveszélyesek, maga a szolgáltató azzá teheti őket azzal, hogy egy WAN management protokollon keresztül az ügyfél tájékoztatása nélkül beleturkálhat valamilyen távbeállítás miatt, esetleg nem csak a szolgáltató, hanem bárki más is, amilyenre ugye szintén volt már példa.

Ha megnézünk egyet, a legnépszerűbb, wifis eszközöket feltérképező oldalak közül, mint amilyen a Wigle.net, akkor látható, hogy egy-egy hálózat nevére rázoomolva sokszor látható annak ún. MAC-azonosítója is, amiből kiderül a hálózati eszköz gyártója és sokszor az is, hogy melyik szériába tartozik.

Ez azért minimum problémás, mert rendszeresen fedeznek fel sebezhetőségeket bizonyos gyártók adott szériába tartozó eszközeivel kapcsolatban, amit ha egy támadó is tud, azt esetlegesen kihasználva hozzáférést tud szerezni a routerhez anélkül, hogy ahhoz tudnia kellene a belépési adatokat.

A routerekben persze beállítható, hogy az a nevét, az ún. SSID-t ne boardcastolja, viszont még ekkor is láthat minimum annyit például a mobil, ami a feltérképezést végzi, hogy mi a router MAC-címe. Nos, azért, hogy a MAC-cím alapján ne legyen a router típusa azonosítható, azt természetesen át lehet írni gusztus szerint olyan esetben, amikor ez lehetséges. Ugyanis több kábelmodem – ami tipikusan egyben wifi router is - esetén ha a MAC-cím megváltozik, a szolgáltatóval nem képes felépíteni a netkapcsolatot. Olyan részletekbe most nem mennék bele, hogy bizonyos eszközökön külön MAC állítható be a net és a belső hálózat felé, ahogy abba sem, hogy mindenképp egészségesebb a szolgáltató által biztosított kábelmodem és a gépeink közé egy saját routert is betenni.

Ne felejtsük el, hogy ha valaki telepített egy wifi hálózatok térképezésére és egyben gyűjtésére használt alkalmazást, könnyen lehet, hogy a mobil akkor is figyel és küldi a látott hálózatokat a szolgáltatás felé, amikor emberünk nem is tud róla, csak a az alkalmazás a háttérben fut.

Nem mintha nagy távolságból ne lehetne a wifi hálózatokat figyelgetni, de alighanem ez történhetett a több olyan közhivatalban is, ahol ilyen-olyan jópofa nevű hálózatokat vagy azok MAC-címét láthatjuk. A Nemzetbiztonsági Szakszolgálat egyik pina nevű wifijéről tudható, hogy egy kis Cisco-Linksys router, míg egy másik, közelben lévő, szintén pina nevű wifi hálózat egy Technicolor. Még egyszer: abban az esetben, ha nem mókolták meg a MAC-címet. Ezen kívül pedig figyelembe kell venni, hogy az adatbázisban nem feltétlenül minden adat friss, viszont az évszámot mutató csúszkát átállítva lehet rá következtetni, hogy a wifi hálózat mikor került fel először közszemlére.

Az ilyen térképekről egyébként sokszor nem csak az olvasható le, hogy hol vették lazábbra a figurát a kelleténél, hanem – lévén, hogy a jelerősség is fel van tüntetve – az is, hogy merre szoktak mászkálni az alkalmazottak illetve nyilván, ha sűrűn vannak egymás mellett wifi spotok, akkor abból látható, hogy egy könnyebben megközelíthető helyről, például az ügyféltérről van szó. Ezen kívül azok a mobilok, amik wifi hotspotként is képesek működni, természetesen szintén felkerülhetnek az adatbázisba, aminek a MAC-címe alapján pedig a mobilteló típusa derül ki.

Az Országgyűlés Hivatalának és a Parlament épületének legendásan hülye wifi policyjáról amúgy az Instán is találni képet:

kép: https://instagram.com/p/fSV88zsyHV/

A rendszeresen átirkált, kilométeres jelszavak használata helyes, az már kevésbé, hogy a Parlament területén lévő, összes parliament néven boardcastolt hálózatról megállapítható, hogy melyik Cisco szériába tartozik. De kis keresgélés után találni alighanem otthonról becipelt routert is a Parlament vagy más kormányhivatal területén, amivel sejthetően nem az ajtót támasztják, hanem szintén a belső hálózatához kapcsolódnak, ami ismétcsak nem túl bölcs dolog.

Találni viszont olyan eszközöket is, például a Teve utcai Sünplázában, aminél a MAC-cím alapján nem azonosítható sem a gyártó, sem pedig a típus - a MAC-cím leolvasásához a zoomolásnál az egyszerű térkép nézetet érdemes választani a műhold helyett.

Kutatásra fel, kommentben lehet nevezni a nagy Wifi Hülyenév Versenyre, közben pedig akkor se lepődjön meg senki, ha a Google megkérdezi, hogy miért is vagy kíváncsi valamilyen adatra:

Avagy létezik-e biztonságos letöltés? Főleg, ha nehezen beszerezhető anyagokról van szó.

Napjainkban a torrent szolgáltatásokban alap szinten jártas felhasználó csak annyit lát, hogy ha kell neki egy film, egyszerűen felmegy egy nagyobb torrentoldalra, majd rákeres a film címére, ezt követően pedig letölti a filmet kedvenc torrent kliensével.

A némileg tájékozottabb felhasználó már tisztában van vele, hogy vannak olyan peer-to-peer oldalak, amik valamilyen saját torrentkliens telepítését teszik annak feltételévé, hogy tőlük lehessen letölteni, ami persze felveti annak a lehetőségét is, hogy a torrentkliens nem csak letölteni illetve visszatölteni fog, hanem csinál valami teljesen mást is a gépen, mint mondjuk tolja a felhasználó arcába a reklámot. Ráadásul nagyon sok fertőző oldalra mutató hivatkozás a Google TOP 10-jében van.

Inkább a leggyakoribb tüneteket írom le, amit a torrent klienssel együtt települő malware csinálhat

- folyamatosan tolja a reklámod az arcodba, ha tetszik, ha nem
- a böngészők kezdőoldalát átállítja valami számodra érdektelen oldallá, amit nem tudsz visszaállítani
- a te géped szabad erőforrásait fogja a tudtod nélkül bitcoin bányászatra használni akkor is, ha nem is tudsz róla, a géped nincs üresjáratban, te pedig nem érted, hogy miért lassult be a gép
- mindenféle hülye eszköztárakat helyez el a böngészőben, amik szintén leirthatatlanok
- gyakorlatilag bármi más, ami az előzőekből kimaradt, de legalább ennyire idegesítő

Persze ezeket a malware vagy malware-szerű aktivitásokat vagy kiszúrja az antivírus szoftver vagy sem, ha ki is szúrja, könnyen lehet, hogy ha a kártékony programot sikerül eltávolítani, maga a torrent kliens sem lesz működőképes. Ráadásul akármilyen überszuper a vírusirtó, az intelligens malware gondoskodik róla, hogy szépen újratelepítse magát, méghozzá, hogy ne legyen feltűnő, nem is azonnal, hanem egy kis lappangási idő után.

Valóban vannak helyzetek, amikor már annyira romos egy gép, hogy újratelepíteni az egészet időtakarékosság szempontjából praktikusabb, mint kigyomlálni mindent, ami nem oda való, abban az esetben, ha a baj nem akkora - vagy nem tűnik olyan nagynak - nincs mese, riasztani kell valami harceddzettebb ismerőst, aki aztán alighanem állhat neki fúrni-faragni a Windows rendszerleíró adatbázisát,  könyékig túrni a böngésző, menüből nem elérhető finombeállításai közt, na meg guglizni, hogy egy-egy azonosított kártevőt hogyan lehet leggyorsabban leirtani kézileg - az egyetlen szerencse, hogy ez utóbbi már eléggé gyorsan elérhető. Azért írtam, hogy kézileg, mert olyan malware sem ritka, amelyik malware-eltávolítónak álcázza magát, azaz vírusgyilkolásra nem biztos, hogy a legjobb ötlet telepíteni még valamit, amit a kereső előkelő helyen dob és azt ígéri magáról, hogy eltávolítja, valójában pedig önmaga is vírus. OSX-es esetben pedig még cifrábbak lehetnek a protokollok és bizony ott is vannak nagyon komoly sebezhetőségek, ahogy az a The Register mai cikkéből is kiderül.

A windowsosos után pedig a legnagyobb kockázatnak pedig az elterjedtebb linux-disztrók használók közül az egyszerűbb lelkek vannak kitéve, akik még mindig úgy gondolják, hogy "jinyukszra nyinycsen víjus", ami igazából sosem volt igaz, de bízzunk benne, hogy majd felnőnek egyszer. A vírus és malware fogalmakat ugye rokonértelműként használom, ezek közül az egyik csoportba tartoznak a rootkitek, amik olyan rosszindulatú, kifinomult malware-ek, amik észrevétlenül és sokszor szinte észrevehetetlenül az operációs rendszer - akár legelemibb - működését változtatják meg, gyakorlatilag bárhogy. Linuxos rendszereken aztán végképp nincs semmiféle általános forgatókönyv rootkitek azonosítására, egy ősrégi módszer lényege, hogy a különösen fontos fájlok integritását, változásait folyamatosan figyelve van rá esély, hogy a rootkitet sikerül időben megfogni, kísérleti szinten sincsenek olyan módszerek, amik már a windowsos rendszereknél általánosan elterjedt ún. viselkedés-alapú heurisztikákat használnak, azaz azt szúrják ki, ha valami nagyon szokatlan történik, a témával kapcsolatban bővebben a poszt alján megjelölt könyvekből lehet tájékozódni.

Könnyen előfordulhat, hogy olyan tartalomra lenne szükségünk, ami eléggé specifikus ahhoz, hogy ne legyen fenn még a nagyobb torrent oldalakon sem, így jobban alá kell merülni a netnek.

Ha könyvet keresünk, ami nem teljesen újonnan jelent meg, lehet, hogy elegendő, ha a Google keresőjébe egyszerűen beírjuk a könyv címét a filetype:pdf operátorral, ami arra utasítja a keresőt, hogy csak a PDF-típusú fájlokat adja ki találatként és szerencsés esetben ott is lesz a teljes letölthető könyv, kevésbé szerencsés esetben pedig csak egy olyan oldalra jutunk PDF-csali miatt, ahol valójában a könyvnek csupán néhány oldala szerepel, a teljes könyv letöltéséhez már meg kellene adni a bankkártyaszámunkat, amivel kapcsolatban amúgy az adott webhely esküdözik, hogy nem von le róla egy garast sem, csak a felhasználó azonosítása vagy a free trial regisztráció megkezdése miatt kell :) És végig ne felejtsük el, hogy ha nem lennének olyan felhasználók tömegesen, akik még ezt is beszopják, nyilván nem érné meg üzemeltetni az ilyen oldalakat.

Nos, mi van akkor, ha kellene egy bizonyos könyv például, de az sehogy se sikerül normálisan lecibálni a netről, így az elszánt felhasználó nyel egy nagyot, kockáztat és megpróbálja minden áron lecibálni a tartalmat, a kockázatok minimalizálásával?

Kézenfekvőnek tűnik egy olyan gépet használni, amit akkor sem sajnálunk, ha rommá megy a rendszer rajta a nap végére, nemde? Végülis igen, de már igen korán felmerült rá az igény, hogy ehhez ne kelljen egy tényleges számítógépet és éles operációs rendszert használni, többek közt ez volt az egyik, aminek kielégítésére kifejlesztették az ún. virtuális gépeket. Ezek olyan szoftverek, amik a valódi operációs rendszer hátán alkalmazásként futva képesek más operációs rendszereket futtatni, amik gyakorlatilag teljesen izolált környezetben vannak, így a VM-ben futó operációs rendszer és annak alkalmazásai számára úgy tűnik, mintha valódi számítógépen futnának. Azaz ha valaki elkezd számítógépes vírusokkal foglalkozni, akkor egyszerűen ezekre az izoláltan, sandboxban futó operációs rendszerekre felteszi a vírusboncoláshoz szükséges eszközöket, na meg leferzőzi a vizsgálni kívánt vírussal. Hogy víruskutatókra nem kis szükség lesz, nem kérdés és a Duqu 2-be még bele se mentem.

Nos, a virtuális gépben futó operációs rendszereken szinte minden futtatható, amit az adott operációs rendszer támogat, persze érthetően jóval lassabban, így például tele lehet őket szórni kismillió ilyen-olyan letöltést segítő szarral és bízni benne, hogy azokkal már csak-csak sikerül letölteni azt a ritka könyvet vagy más, nehezen beszerezhető tartalmat, amire szükségünk lenne. Ha sikerült, a letöltött tartalmat még a virtuális gépen futtatott böngészőben feltolhatjuk a https://www.virustotal.com/ -ra, ami szignatúra alapon ismeri fel a kártevőket, vagy a Checkpoint Threat Cloudjába, ami pedig emulál egy Windows XP-s környezetet, ott megfigyeli a fájl viselkedését és megítéli, hogy biztonságos-e.

Ha egyik sem talált semmit, de még mindig igencsak paranoidok vagyunk és hallottunk már róla, hogy céges környezetben a vírusfertőzések közel fele úgy történik, hogy az emailben érkező, legitim PDF-nek tűnő csatolmány fertőzött, azaz a dokumentum szöveges tartalmán kívül rosszindulatú kódot is tartalmaz, az eleve PDF fájlt nyomtassuk ki például a PDF995 progival szintén PDF-fájllá. Ezt követően pedig a virtuális gépen például egy eldobható postafiókon keresztül a fájlt elküldhetjük önmagunknak.

Ha már PDF-ekről van szó, itt jegyzem meg érdekességként, hogy a helyzet már annyira súlyos, hogy a Checkpoint tömeges PDF-tisztító megoldást kínál szinte bármekkora cég számára, ami annyit csinál, hogy a beérkező emailekben lévő PDF-eket újra PDF-fé "nyomtatja" és csak ezt követően engedi a felhasználó postafiókjába.

Tehát elvileg virtuális gépet használva sokkal biztonságosabban lehet torrenezni a legelborultabb helyekről is. Hozzáteszem, számomra ez mondjuk azért nagyon fontos, mert ha meglátok egy jó könyvet a neten, annak sokszor pusztán a tartalomjegyzékéből vagy néhány megjeleníthető oldalából nem derül ki, hogy tényleg olyan könyv-e, amire szükségem van. Ugyanis míg régen többen megvettek egy könyvet printbe, amit aztán olvasgathatták ebook formában is a könyvhöz kapott hozzáféréssel, mára pont fordítva van, azaz olvasunk, azaz először megnézem a könyvet ebook formában, aztán ha azt látom, hogy tényleg nagyon jó, a több száz oldalt nem képernyőről fogom elolvasni, hanem inkább megrendelem printbe.

Megjegyzem, hogy az alkalmazott magatartástudomány engem érdeklő tájain, a social engineering és az open source intelligence területén persze, számomra nagyon sok átfedés van könyv és könyv közt, viszont azért sokszor van bennük valami egészen új is vagy a szemléletmódja más. Például nemrég egy barátomnak beboltoltam szülire Chris Hadnagy Social Engineering: The Art of Human Hacking című alapművét, ugyanakkor ugyanettől a szerzőtől a nemrég megjelent Unmasking the Social Engineer: The Human Element of Security könyvet, ami csak minimálisan fed át az előzővel és - most tessenek figyelni! - ahogy azt valahogy megsejtettem pár évvel ezelőtt, az látszik, hogy a legszofisztikáltabb social engineering és azt megelőző technikák döntően a nonverbális kommunikációra és többször a nyelvtudományból átvett kutatásokra alapoznak.

Egyébként meggyőződésem, hogy a nyelvtudományi kutatások közül nagyon sokminden annyira átcsorog majd az információbiztonság területére, hogy azt korábban aligha hitte volna valaki.

//ami kimaradt
0x100. Ha még nem tudod, hogy mozdonyvezető legyél, tűzoltó, katona, vadakat terelő juhász, esetleg víruskutató, két könyvet emelnék ki amolyan iránymutatásként:

A vírusvédelem művészete - Szőr Péter
Hacking Exposed: Malware & Rootkits Secrets & Solutions Paperback - Michael Davis, Sean Bodmer, Aaron LeMasters

0x200. Ami a posztból kimaradt, hogy természetesen a virtuális géppel történő trükközés sem bombabiztos megoldás, hiszen elvben előfordulhat, hogy a virtualizált környezetet biztosító alkalmazás egy hibáját egy intelligens malware úgy használja ki, hogy kitör onnan és eléri az éles operációs rendszert. Ismétcsak lehetnek olyan malware-ek, amik egyrészt jóideig lappanganak, másrészt több trükköt próbálnak bevetni annak megállapítására, hogy amin futnak, éles operációs rendszer vagy virtuális gép.

0x300. Remekül mutatja, hogy mennyire nem szabad elhinni semmit kapásból, amit a neten olvasunk, az az eset, amikor az uTorrent kliensre fogták rá, hogy a felhasználók tudta nélkül bányássza a bitcoit, amit komolyabbnál komolyabb lapok közöltek le, aztán persze egy tényleg komoly lap utána is nézett és kiderült, hogy erről ebben a formában szó sincs. 

képek: bluecoat.com, pcmag.com, github.io