bardóczi ákos @post.r

Miközben százezerrel pörög a Pokemon Go topik a tech rovatokban így a tikkasztó ubiszezonban, nagyon sok oldal csak néhány szót ejtett róla, hogy a napokban szinte példátlan erővel csaptak le a teljes internet egyik, ha nem a legnagyobb fájlmegosztó oldalának egyik tulajdonosára, aki a híradások szerint akár 20 év börtönt is kaphat.

Ezen kívül azt írják - jól mutatva, hogy mennyire ellenőrzés nélkül veszik át a híreket legtöbben - hogy a KAT-nyitóoldal egyben elérhetetlen lett, mert a nyitólapra mutató domaineket elérhetetlenné tették a hatóságok a legtöbb államban. [ez konkrétan nem igaz, de erről kicsit később]

Az anonimitását sokáig egészen pazar módon megtartó Artyom Vaulin hirdetési bevételeken keresztül egy talicska pénzt keresett a KAT üzemeltetésével és ugyanúgy védekezik, ahogy általában szoktak a P2P-rendszerek üzemeltetői az elfogásukkor. A védekezés lényege, hogy ők csak lehetővé tették egy olyan rendszer használatát, amivel a felhasználók tartalmakat oszthatnak meg, arról viszont nem tehetnek, hogy a megosztott tartalmak hatalmas része jogvédett tartalom, ilyen módon a szerzői jog tulajdonosainak közvetetten egészen elképesztő kárt okoztak, ugyan az elvi lehetőség meg is volt rá, hogy egy-egy bejelentés alapján a torrent szerveren elérhetetlenné tegye az üzemeltető adott filmet, könyvet vagy zenét. Azt a csűrést-csavarást most hagyjuk is, hogy nem tehetnek róla ugyan a torrent-üzemeltetők, de  tudniuk kell róla, hogy az általuk közvetített forgalom jórésze törvénysértést valósít meg. Szóval nemzetközi jog ide vagy oda, hogy a csávó mennyire fogja megúszni a felelősségre vonást, attól függ, hogy mennyire dolgozik penge védőügyvédekkel.

Amit a szaksajtó meg sem próbál megmagyarázni, hogy miért az USA-beli illetékességű DOJ indított nyomozást, aztán meg hajtóvadászatot az ukrán állampolgárságú, amúgy Lengyelországban élő csávó ellen, arról pedig ugyancsak lehet vitatkozni, hogy iletékesség szempontjából van-e jelentősége annak, hogy magát a szolgáltatást nem is az USA-ból üzemeltették, csak értelme nincs sok.

A magánvéleményem az, hogy egy-egy adott országnak nem lenne szabad ilyen szerepben igazságosztóként eljárnia nemzetközi vizeken, hacsak nem különösen súlyos, például emberiségellenes bűncselekményről van szó, egyébként a nemzetközi jog szerint eléggé világos, hogy mikor lehet más államban elkövetett dolgok miatt eljárni. Ezzel kapcsolatban csak óvatosan merek fogalmazni, mivel behatóan nem értek hozzá, de a lényeg ez. Adja magát a kérdés, hogy hogyan lett ebből a KAT-os esetből az egész világ hatóságait megmozgató felhajtás. A magyarázat egyszerű, és van benne valami megfoghatatlanul kétségbeejtő, legalábbis számomra. Mégpedig az, hogy már megint nyert a kiadói lobbi a szabad információáramlás ellenében, aminek elvi szempontból van jelentősége és ez a lényeg. Tény, hogy a KAT által közvetetten kiadóknak okozott kár szinte felfoghatatlan mértékű dollárosítva', kis túlzással olyan hajtóvadászatot indítottak a KAT ellen, mintha egy terroristasejt lenne, amit szerzői joghoz értő figuraként durván eltúlzottnak tartok, de közel sem tartom meglepőnek.

Én magam amúgy szinte sosem használok torrentet, viszont fontosnak tartom, hogy a P2P hálózatokat ne korlátozzák az előbb említett elven túl azért sem, mert éppen a P2P-technológia az, ami a kiadók világát olyan irányba tolhatja, aminek eredményeként új értékesítési modellek bevezetésére kényszerülnek majd idővel, legyen majd az bármi is. Azaz már nem a 19-20. században vagyunk, ahol kevés számú lehetséges modell képzelhető el. Sokáig egy-egy könyv vagy más tartalom fogyasztásának egyetlen legális módja, hogy a tartalomfogyasztó közvetlenül fizet az előre beáratott tartalomért, azaz pénzért megvesz egy könyvet vagy kikölcsönöz egy filmet olyantól, aki megvásárolta a kölcsönbe adáshoz való jogot. Hogy milyen értékesítési megoldások lennének még, amivel a tartalomfogyasztó is, a kiadó is és a szellemi tulajdon előállítója is jól jár? Nem tudom, mert nem értek hozzá. Viszont tanulságos, hogy a web indulásakor a 90-es években a hírportáloknak sem volt semmilyen biztos ötletük azzal kapcsolatban, hogy hogyan lesznek fenntarthatóak, a mostanra általánossá vált hirdetési modellek végülis egy evolúciós folyamat eredményei, de az elején még az sem volt biztos, hogy a hírportálok, egyéb webes szolgáltatások egyáltalán fenntarthatók lesznek hirdetésekkel. Azaz még egyszer, ötletem sincs, hogy milyen értékesítési modellekkel lehetne beújítani. Egy hipotetikus világban én például szivesebben fizetnék egy fontos könyvért, amiben nincs reklám, ha emellett ingyenesen is el lehetne érni olyan feltétellel, hogy tízoldalanként az arcomba tolnak egy reklámot, de alighanem a többség számára ez lenne jobb. Persze az sem kizárt, hogy könyvek esetén az egész nem is lenne megvalósítható, míg például a zenei tartalmak esetén egész egyszerű volt: a Youtube videóklipjei előtti reklámokat a fogyasztó eltűri, a szerző részesül a reklámbevételből, a Youtube szintén, a netező megkapja a kért tartalmat, aztán minden boldog, még ha messze nem is igazságos a mostani rendszer.

Amiben a mostani KAT-os cirkusszal kapcsolatos cikkek ezrei tévednek, hogy az oldal elérhetetlenné vált volna. Persze nem ellenőriztem óránként, de a KAT nálam folyamatosan elérhető volt [most például a http://kat.cm/ címen], más kérdés, hogy más-más domain néven. Az éppen aktuális címet viszont nyilván ne például a "mindent látó" Google-lel keressük, amelyik már találatok millióit nem jeleníti meg régen a DMCA és hasonló szörnyszülött törvénycsomagok miatt, ha használhatunk helyette például Duckduckgo-t, ezen kívül például a Twitter belső keresőjét, amivel hasonló esetekben előkukázható a leginkább elsumákolni kívánt információ is.

képek: Wikipedia

Tudományos rövidhír reggelre, kávé - esetleg Adri, Moda vagy Rita – mellé.

Ugyan aki nem foglalkozik kutatással, aligha tűnt fel, a tegnapi napon elérhetetlenné tették a tudományos világ fő torrentoldalát jelentő Sci-Hubot az eredeti netcímén, amire válaszként - ahogyan hasonló helyzetben lenni szokott – a működtetők kapásból közöltek két másik domaint, amin keresztül elérhető a szolgáltatás. A sci-hub.bz és a sci-hub.cc címenek túl, a világ legelborultabb tájain hozzáférhető TOR fölött is a scihub22266oqcxt.onion címen.

A tudományos szaklapokra és adatbázisokra való előfizetés általában minden formában eszelősen drága, ami durva esélyegyenlőtlenségeket szül a nagyobb, valamint a kisebb költségvetéssel dolgozó kutatóintézetek és egyetemek közt szerte a világon, ráadásul a jelenség az elmúlt néhány évben félelmetes mértékben eszkalálódott, ahogy arról nemrég magyar nyelven írt a Budapest Science Meetup blogja is.  

A Sci-Hubot peer-to-peer elven működő dokumentummegosztó hálózatként még 2011-ben hozta létre egy kazasztáni neurobiológus, az elterjedésének hatását pedig talán az összes többi, nem tudományos szakirodalomra specializálódott torrentoldalak együttes hatásával lehetne összemérni, a Wikipedia szócikkében 48 milliónyira becsülik a rajta keresztül elérhető tudományos publikációk számát, amiknek a letöltése persze elsöprő részben előfizetéshez kötött lenne eredetileg.

Értem én, hogy a nagy kiadók seperc alatt elérik jogi úton, hogy ideig-óráig elérhetetlenné váljon valamilyen tartalom, aminek ingyenes letölthetősége az érdekeiket sérti, aminek ősi és prosztó módja az adott domain-név regisztrátorát támadni a bíróságon, így vált elérhetetlenné annak idején a Wikileaks. De a DMCA-re hivatkozva nagy zenei kiadóknak még azt is sikerült elérniük a kaliforniai bíróságon, hogy a sokak szerint mindent látó Google az egész világon tüntesse el a találatai közül például a KickAssTorrentre mutató találatokat, amik a kat.cr alatt érhetők el. A domain-név megfúrása nem csak azért nem túl bölcs ötlet a tilcsákbe-szellemiségében, mert az oldal úgyis elérhető lesz más címen, hanem azért sem, mert az adott szolgáltatás ettől lesz még ismertebb, amivel a Wikileaks-eset kapcsán találkozott a szélesebb közvélemény először.

Alighanem véletlen, de éppen a tegnapi napon jelent meg egy kitűnő cikk azzal kapcsolatban, hogy mégis kik használják intenzíven a Sci-Hubot, amiből az olvasható ki, hogy a Sci-Hub penetrációjának alig van köze ahhoz, hogy egy állam mennyire tehetős. Az interaktív ábrákat az eredeti cikkből  vettem át. A cikkben különösen finom, hogy az pont a Science online elérhető anyagai közt jelent meg, ami az American Association for the Advancement of Science kiadó tulajdona, amelyik igencsak komolyan vehető játékos a pályán.

Sci-Hub használat az Egyesült Államokban:

A Sci-Hubon keresztül elérhető, eredetileg fizetős publikációk megoszlása eredetük szerint:

Avagy létezik-e biztonságos letöltés? Főleg, ha nehezen beszerezhető anyagokról van szó.

Napjainkban a torrent szolgáltatásokban alap szinten jártas felhasználó csak annyit lát, hogy ha kell neki egy film, egyszerűen felmegy egy nagyobb torrentoldalra, majd rákeres a film címére, ezt követően pedig letölti a filmet kedvenc torrent kliensével.

A némileg tájékozottabb felhasználó már tisztában van vele, hogy vannak olyan peer-to-peer oldalak, amik valamilyen saját torrentkliens telepítését teszik annak feltételévé, hogy tőlük lehessen letölteni, ami persze felveti annak a lehetőségét is, hogy a torrentkliens nem csak letölteni illetve visszatölteni fog, hanem csinál valami teljesen mást is a gépen, mint mondjuk tolja a felhasználó arcába a reklámot. Ráadásul nagyon sok fertőző oldalra mutató hivatkozás a Google TOP 10-jében van.

Inkább a leggyakoribb tüneteket írom le, amit a torrent klienssel együtt települő malware csinálhat

- folyamatosan tolja a reklámod az arcodba, ha tetszik, ha nem
- a böngészők kezdőoldalát átállítja valami számodra érdektelen oldallá, amit nem tudsz visszaállítani
- a te géped szabad erőforrásait fogja a tudtod nélkül bitcoin bányászatra használni akkor is, ha nem is tudsz róla, a géped nincs üresjáratban, te pedig nem érted, hogy miért lassult be a gép
- mindenféle hülye eszköztárakat helyez el a böngészőben, amik szintén leirthatatlanok
- gyakorlatilag bármi más, ami az előzőekből kimaradt, de legalább ennyire idegesítő

Persze ezeket a malware vagy malware-szerű aktivitásokat vagy kiszúrja az antivírus szoftver vagy sem, ha ki is szúrja, könnyen lehet, hogy ha a kártékony programot sikerül eltávolítani, maga a torrent kliens sem lesz működőképes. Ráadásul akármilyen überszuper a vírusirtó, az intelligens malware gondoskodik róla, hogy szépen újratelepítse magát, méghozzá, hogy ne legyen feltűnő, nem is azonnal, hanem egy kis lappangási idő után.

Valóban vannak helyzetek, amikor már annyira romos egy gép, hogy újratelepíteni az egészet időtakarékosság szempontjából praktikusabb, mint kigyomlálni mindent, ami nem oda való, abban az esetben, ha a baj nem akkora - vagy nem tűnik olyan nagynak - nincs mese, riasztani kell valami harceddzettebb ismerőst, aki aztán alighanem állhat neki fúrni-faragni a Windows rendszerleíró adatbázisát,  könyékig túrni a böngésző, menüből nem elérhető finombeállításai közt, na meg guglizni, hogy egy-egy azonosított kártevőt hogyan lehet leggyorsabban leirtani kézileg - az egyetlen szerencse, hogy ez utóbbi már eléggé gyorsan elérhető. Azért írtam, hogy kézileg, mert olyan malware sem ritka, amelyik malware-eltávolítónak álcázza magát, azaz vírusgyilkolásra nem biztos, hogy a legjobb ötlet telepíteni még valamit, amit a kereső előkelő helyen dob és azt ígéri magáról, hogy eltávolítja, valójában pedig önmaga is vírus. OSX-es esetben pedig még cifrábbak lehetnek a protokollok és bizony ott is vannak nagyon komoly sebezhetőségek, ahogy az a The Register mai cikkéből is kiderül.

A windowsosos után pedig a legnagyobb kockázatnak pedig az elterjedtebb linux-disztrók használók közül az egyszerűbb lelkek vannak kitéve, akik még mindig úgy gondolják, hogy "jinyukszra nyinycsen víjus", ami igazából sosem volt igaz, de bízzunk benne, hogy majd felnőnek egyszer. A vírus és malware fogalmakat ugye rokonértelműként használom, ezek közül az egyik csoportba tartoznak a rootkitek, amik olyan rosszindulatú, kifinomult malware-ek, amik észrevétlenül és sokszor szinte észrevehetetlenül az operációs rendszer - akár legelemibb - működését változtatják meg, gyakorlatilag bárhogy. Linuxos rendszereken aztán végképp nincs semmiféle általános forgatókönyv rootkitek azonosítására, egy ősrégi módszer lényege, hogy a különösen fontos fájlok integritását, változásait folyamatosan figyelve van rá esély, hogy a rootkitet sikerül időben megfogni, kísérleti szinten sincsenek olyan módszerek, amik már a windowsos rendszereknél általánosan elterjedt ún. viselkedés-alapú heurisztikákat használnak, azaz azt szúrják ki, ha valami nagyon szokatlan történik, a témával kapcsolatban bővebben a poszt alján megjelölt könyvekből lehet tájékozódni.

Könnyen előfordulhat, hogy olyan tartalomra lenne szükségünk, ami eléggé specifikus ahhoz, hogy ne legyen fenn még a nagyobb torrent oldalakon sem, így jobban alá kell merülni a netnek.

Ha könyvet keresünk, ami nem teljesen újonnan jelent meg, lehet, hogy elegendő, ha a Google keresőjébe egyszerűen beírjuk a könyv címét a filetype:pdf operátorral, ami arra utasítja a keresőt, hogy csak a PDF-típusú fájlokat adja ki találatként és szerencsés esetben ott is lesz a teljes letölthető könyv, kevésbé szerencsés esetben pedig csak egy olyan oldalra jutunk PDF-csali miatt, ahol valójában a könyvnek csupán néhány oldala szerepel, a teljes könyv letöltéséhez már meg kellene adni a bankkártyaszámunkat, amivel kapcsolatban amúgy az adott webhely esküdözik, hogy nem von le róla egy garast sem, csak a felhasználó azonosítása vagy a free trial regisztráció megkezdése miatt kell :) És végig ne felejtsük el, hogy ha nem lennének olyan felhasználók tömegesen, akik még ezt is beszopják, nyilván nem érné meg üzemeltetni az ilyen oldalakat.

Nos, mi van akkor, ha kellene egy bizonyos könyv például, de az sehogy se sikerül normálisan lecibálni a netről, így az elszánt felhasználó nyel egy nagyot, kockáztat és megpróbálja minden áron lecibálni a tartalmat, a kockázatok minimalizálásával?

Kézenfekvőnek tűnik egy olyan gépet használni, amit akkor sem sajnálunk, ha rommá megy a rendszer rajta a nap végére, nemde? Végülis igen, de már igen korán felmerült rá az igény, hogy ehhez ne kelljen egy tényleges számítógépet és éles operációs rendszert használni, többek közt ez volt az egyik, aminek kielégítésére kifejlesztették az ún. virtuális gépeket. Ezek olyan szoftverek, amik a valódi operációs rendszer hátán alkalmazásként futva képesek más operációs rendszereket futtatni, amik gyakorlatilag teljesen izolált környezetben vannak, így a VM-ben futó operációs rendszer és annak alkalmazásai számára úgy tűnik, mintha valódi számítógépen futnának. Azaz ha valaki elkezd számítógépes vírusokkal foglalkozni, akkor egyszerűen ezekre az izoláltan, sandboxban futó operációs rendszerekre felteszi a vírusboncoláshoz szükséges eszközöket, na meg leferzőzi a vizsgálni kívánt vírussal. Hogy víruskutatókra nem kis szükség lesz, nem kérdés és a Duqu 2-be még bele se mentem.

Nos, a virtuális gépben futó operációs rendszereken szinte minden futtatható, amit az adott operációs rendszer támogat, persze érthetően jóval lassabban, így például tele lehet őket szórni kismillió ilyen-olyan letöltést segítő szarral és bízni benne, hogy azokkal már csak-csak sikerül letölteni azt a ritka könyvet vagy más, nehezen beszerezhető tartalmat, amire szükségünk lenne. Ha sikerült, a letöltött tartalmat még a virtuális gépen futtatott böngészőben feltolhatjuk a https://www.virustotal.com/ -ra, ami szignatúra alapon ismeri fel a kártevőket, vagy a Checkpoint Threat Cloudjába, ami pedig emulál egy Windows XP-s környezetet, ott megfigyeli a fájl viselkedését és megítéli, hogy biztonságos-e.

Ha egyik sem talált semmit, de még mindig igencsak paranoidok vagyunk és hallottunk már róla, hogy céges környezetben a vírusfertőzések közel fele úgy történik, hogy az emailben érkező, legitim PDF-nek tűnő csatolmány fertőzött, azaz a dokumentum szöveges tartalmán kívül rosszindulatú kódot is tartalmaz, az eleve PDF fájlt nyomtassuk ki például a PDF995 progival szintén PDF-fájllá. Ezt követően pedig a virtuális gépen például egy eldobható postafiókon keresztül a fájlt elküldhetjük önmagunknak.

Ha már PDF-ekről van szó, itt jegyzem meg érdekességként, hogy a helyzet már annyira súlyos, hogy a Checkpoint tömeges PDF-tisztító megoldást kínál szinte bármekkora cég számára, ami annyit csinál, hogy a beérkező emailekben lévő PDF-eket újra PDF-fé "nyomtatja" és csak ezt követően engedi a felhasználó postafiókjába.

Tehát elvileg virtuális gépet használva sokkal biztonságosabban lehet torrenezni a legelborultabb helyekről is. Hozzáteszem, számomra ez mondjuk azért nagyon fontos, mert ha meglátok egy jó könyvet a neten, annak sokszor pusztán a tartalomjegyzékéből vagy néhány megjeleníthető oldalából nem derül ki, hogy tényleg olyan könyv-e, amire szükségem van. Ugyanis míg régen többen megvettek egy könyvet printbe, amit aztán olvasgathatták ebook formában is a könyvhöz kapott hozzáféréssel, mára pont fordítva van, azaz olvasunk, azaz először megnézem a könyvet ebook formában, aztán ha azt látom, hogy tényleg nagyon jó, a több száz oldalt nem képernyőről fogom elolvasni, hanem inkább megrendelem printbe.

Megjegyzem, hogy az alkalmazott magatartástudomány engem érdeklő tájain, a social engineering és az open source intelligence területén persze, számomra nagyon sok átfedés van könyv és könyv közt, viszont azért sokszor van bennük valami egészen új is vagy a szemléletmódja más. Például nemrég egy barátomnak beboltoltam szülire Chris Hadnagy Social Engineering: The Art of Human Hacking című alapművét, ugyanakkor ugyanettől a szerzőtől a nemrég megjelent Unmasking the Social Engineer: The Human Element of Security könyvet, ami csak minimálisan fed át az előzővel és - most tessenek figyelni! - ahogy azt valahogy megsejtettem pár évvel ezelőtt, az látszik, hogy a legszofisztikáltabb social engineering és azt megelőző technikák döntően a nonverbális kommunikációra és többször a nyelvtudományból átvett kutatásokra alapoznak.

Egyébként meggyőződésem, hogy a nyelvtudományi kutatások közül nagyon sokminden annyira átcsorog majd az információbiztonság területére, hogy azt korábban aligha hitte volna valaki.

//ami kimaradt
0x100. Ha még nem tudod, hogy mozdonyvezető legyél, tűzoltó, katona, vadakat terelő juhász, esetleg víruskutató, két könyvet emelnék ki amolyan iránymutatásként:

A vírusvédelem művészete - Szőr Péter
Hacking Exposed: Malware & Rootkits Secrets & Solutions Paperback - Michael Davis, Sean Bodmer, Aaron LeMasters

0x200. Ami a posztból kimaradt, hogy természetesen a virtuális géppel történő trükközés sem bombabiztos megoldás, hiszen elvben előfordulhat, hogy a virtualizált környezetet biztosító alkalmazás egy hibáját egy intelligens malware úgy használja ki, hogy kitör onnan és eléri az éles operációs rendszert. Ismétcsak lehetnek olyan malware-ek, amik egyrészt jóideig lappanganak, másrészt több trükköt próbálnak bevetni annak megállapítására, hogy amin futnak, éles operációs rendszer vagy virtuális gép.

0x300. Remekül mutatja, hogy mennyire nem szabad elhinni semmit kapásból, amit a neten olvasunk, az az eset, amikor az uTorrent kliensre fogták rá, hogy a felhasználók tudta nélkül bányássza a bitcoit, amit komolyabbnál komolyabb lapok közöltek le, aztán persze egy tényleg komoly lap utána is nézett és kiderült, hogy erről ebben a formában szó sincs. 

képek: bluecoat.com, pcmag.com, github.io