Szolgáltató adatai Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

Facebook-feltörés - közel négy éves módszerrel! 


Facebook feltörés ITsec jelszó brute force EPIC FAIL Anand PrakashNem tudom, hogy ki emlékszik még arra a 2012. őszén napvilágot látott sebezhetőségre, amikor valaki szimplán a felhasználó email-címének ismeretében felül tudta írni az áldozat jelszavát és az új jelszóval be tudott lépni. 

A régi sebezhetőség lényege az volt, hogy ha valaki az elfelejtett jelszóra klikkelt, majd kért egy jelszóhelyreállító tokent emailen, kapott egy 6 számjegyű számot, amit csak meg kellett adni a Facebook jelszóhelyreállító oldalán, majd ha helyes volt a számsor, máris az új jelszót lehetett megadni és azzal belépni. Az „apró” probléma csak az volt, hogy bárki kérhette bárki más nevében a jelszóhelyreállítást, a Facebook semmilyen módon nem korlátozta azt, hogy a helyes számsor ismerete nélkül mennyiszer lehet hibás számsort megadni, azaz valószínűségi alapon átlagosan félmillió, de maximálisan egymillió ismétléses permutáció végigpróbálgatásával [a 000000-999999 tartományban] véletlenül is meg lehetett találni az új jelszó beállításához szükséges számsort, miután valaki egy fiók jelszavának helyreállítását kérte. Márpedig egy fél-egymillió lehetőséget végigpróbálgatni automatizáltan nem olyan nagy manőver. A hibát, a bejelentést követően a Facebook nagyon gyorsan javította. 

Javította, a főoldalon. Viszont a Facebook felületének béta verziójában bennmaradt egészen mostanáig. Anand Prakash indiai kutató véletlenül vette észre, hogy a hiba a bétában és a mobil bétában továbbra is elérhető, a bejelentésért pedig a Facebook ki is csengette neki a bug bounty keretében a 15000 USD-t, ugyan nem lennék meglepve, ha kiderülne, hogy korábban más már a feketepiacon is árulta.  

A mai napon felkerült proof-of-concept videóban látható, ahogyan a Burp suite segítségével egyesével újraküldi a kéréseket a jelszóhelyreállító oldalnak, mire az egy idő után el nem fogadja a brute force, azaz nyers erővel megtalált számsort a béta felület és fel nem ajánlja új jelszó beállítását. Elég erős így majdnem négy év után újra látni ugyanazt a hibát. 

0 Tovább

Honnan tudható, hogy a címzett olvasta-e az emailed? 


email privacy magánszféra Gmail Horde Zimbra Roundcube Squirrelmail levelezés nyomkövetésAmikor emailt küldünk valakinek, annak reményében tesszük, hogy azt a címzett majd el is olvassa. Ugyanakkor bármikor bárki mondhatja, hogy az emailt nem kapta meg, spamben landolt, nem volt még ideje foglalkozni vele, ugyanakkor indokolt esetben, ha a levél kellően fontos volt, tudunk kellene, hogy a levelet a címzett olvasta-e és ha igen, akkor mikor is. Hogyan oldható meg mégis a feladat? Tökéletesen sehogy, de részmegoldás azért van.  

Sokak számára alighanem már csak amolyan megmosolyogtató emlék, hogy az emailek olvasottságáról a címzettől visszajelzést kérhetünk, ha levelezőrendszerünk támogatja azt a pattintott kőkorszakból ránk maradt funkciót, amiben kérelmezi a címzettet, hogy jelezzen vissza a feladónak emailen, ha a levelet elolvasta. Ezt tekinthetjük a klasszikus e-tértivevénynek. A lehetőséget szinte már senki sem használja, ugyanis alapvetően a felhasználók többsége nem akarja a címzettel tudatni, hogy a levelet elolvasta-e, ha fontos dologról van szó, úgyis jelentkezik majd, ha pedig nem, jobb elsumákolnia, aztán tud jönni valami vérszegény kifogással. 

email privacy magánszféra Gmail Horde Zimbra Roundcube Squirrelmail levelezés nyomkövetésAhogy írtam, gyakorlatilag egy kihalt lehetőségről van szó, mivel még ha kérünk is ilyen visszajelzést, a címzett levelezőrendszere ezt vagy figyelembe veszi vagy sem, ha támogatott a visszajelzés funkció, a felhasználó még mindig dönthet róla, hogy küldjön visszajelzést, ne küldjön visszajelzést, esetleg a levelezőrendszer rá se kérdezzen, így soha senkinek ne küldjön olvasottsági visszajelzést. 

Ugyanakkor fennmaradt az a természetes igény, hogy a feladó tudhasson róla, hogy a levelét a címzett megkapta, olvasta, csak ha nem válaszol, tesz rá magasról vagy nem jutott el hozzá. Az egész pedig egy régi jó technikával szinte mindig kivitelezhető, hamarosan rátérek, hogy miért nem garantáltan mindig. 

Amikor egy webszerverről egy dokumentumot letöltünk, annak a naplófájljába bekerül többek közt, hogy milyen IP-címmel, milyen böngészővel és böngészőverzióval, milyen oprendszerrel és annak milyen verziójával, azaz milyen géppel történt a letöltés. Megjegyzem, ezek kombinációja sokszor már önmagában is igencsak egyedi. Már több, mint tíz évvel ezelőtt is úgy küldték a hírleveleket a szolgáltatók, hogy abban olyan grafikus elemeket, azaz képeket helyeztek el, amiket HMTL formátumú levélbe szerkesztettek bele, a képeket pedig ennek megfelelően nem csatolták az emailhez, hanem egy külső szerverről töltötték be a HTML megjelenítésnek megfelelően a címzettnél. Nyilvánvaló, hogy ha a levél normálisan megjelent, a hírlevél küldője visszajelzést kapott azzal kapcsolatban, hogy a levelét egyáltalán mennyien nyitották meg, hiszen látta, hogy mennyi különböző logbejegyzés van, ami a képi elemek szerverről való letöltődését tanusította. Biztonsági szempontból viszont nagyban gondolkozva igen nagy kockázatot jelent, ha tudható, hogy valaki pontosan milyen platformmal netezik, ráadásul az IP-címekhek kapcsolódó szervezet és annak helye egyre pontosabban azonosíthatóvá vált az évek folyamán. 

email privacy magánszféra Gmail Horde Zimbra Roundcube Squirrelmail levelezés nyomkövetésSok-sok évvel ezelőtt már minden jólnevelt levelezőkliensben és webes levelezőrendszerben alapértelmezés volt, hogy a HTML-formátumú levelekben lévő távoli szerveren tárolt képeket nem tölti le automatikusan, hanem rákérdez a felhasználónál, hogy letöltse-e azokat. Ha a felhasználó úgy döntött, hogy ne töltse le, akkor a feladó nem értesült róla, hogy a címzett a levelet megkapta-e. Viszont könnyen lehet, hogy a címzett egyszerűen nem tudta elolvasni a levelet, mert ilyen-olyan lényegi információk nem szöveges formátumban, hanem egy képre írva voltak a levélben, mint például egy szilveszteri parti helyszíne. Így ha a címzettet érdekelte a dolog, mindenképp le kellett töltenie a képet, mint külső tartalmat is. 

Ez még mindig az ókor. Aztán jöttek az ügyesebb hírlevélkézbesítő rendszerek, amik minden egyes címzett leveléhez külön-külön, egy egyedi, távolról letölthető képet is linkeltek. 

Azaz például, ha valaki feliratkozott pistike@example.org címmel, akkor a hírlevélküldő az adott címhez és hírlevélhez generált egy egyedi nevű fájlt a szerveren, mondjuk http://hirlevelkuldo.tld/track/d1a3c5382be1a69c57f7caccbb8c6858.gif 

ahol a fura nevű GIF, tipikusan 1x1 pixeles átlátszó GIF-fájl a HMLT-levélbe volt ágyazva és ha a fájl a levéllel együtt letöltődött a szerverről, akkor az egyértelműen bizonyította, hogy a pistike@example.org címre kiküldött hírlevél kézbesítődött és Pistike meg is nyitotta azt, természetesen azzal az információval együtt, hogy mikor. 

Az ilyen típusú állandó feedback mesterkéltnek tűnhet, viszont olyan hírlevelet küldeni, amire a felhasználó valaha feliratkozott, a levelezőrendszer nem vágja azonnal spambe, drágább mulatság, mint amilyennek tűnik, a hírlevél küldője pedig érthető módon tudni szeretné, hogy mennyi értelme van egyáltalán hírlevelet küldözgetnie. 

Ezen kívül voltak még ilyen-olyan torzszülött megoldások, mint például a HTML-levélbe ágyazott JavaScript-kód, ami elvben a levél megnyitásakor lefut, érthető módon kicsit is normális levelezőrendszer nem tette lehetővé az azonnali kódfuttatást a levél megnyitásakor. 

Azaz maradt a jó öreg 1x1 pixeles megoldás, ami persze nem csak hírleveleknél vethető be, hanem minden további nélkül egyénileg küldött leveleknél is. Számos szolgáltató van, ami lehetővé teszi ilyen levelek küldését, úgy, hogy a részletekkel a feladónak ne kelljen foglalkoznia, ami viszont közös bennük, hogy sosem garantálják 100%-ra a visszajelzést, de az esetek többségében igen.  Ezek közül egyet mutatok be, utána pedig azt, hogy mindez hogyan kivitelezhető sokkal geekebb stílusban, bármilyen szolgáltató igénybevétele nélkül. Ezen kívül feltételezem, hogy a levelezéshez a legtöbben Gmail-t használnak, azt is webes felületen keresztül – ott viszont gyakorlatilag mindig működik. 

http://www.getnotify.com/ oldalon egyszerűen csak regisztrálni kell azzal a saját email címünkkel, amelyikkel követett levelet szeretnénk küldeni, majd ha ez megvan, teljesen hagyományos módon megírhatjuk az emailt a címzettnek, nemes egyszerűséggel csak a címzett címének végére kell biggyeszteni a getnotify.com hosztnevet. Azaz ha a címzett pistike@example.org lenne, akkor a levelet a pistike@example.org.getnotify.com címre kell küldeni. 

A küldést követően a Getnotity a levelet átformázza HMLT-formátumúvá, akár HTML levél volt eredetileg, akár nem, majd elhelyez benne a kézbesítésre nézve teljesen egyedi nevű átlátszó fájlt, majd a levél fejlécét olyan módon módosítja, hogy levágja a .getnotify.com hosztnevet a cím végéről és továbbküldi a levelet a címzettnek. A címzett a levelet megkapja, megnyitja, a feladó pedig a Getnotify felületén keresztül értesül is róla, hogy a levél meg lett nyitva, mi több, ha a címzett a levelet többször is megnyitotta, az összes időpont szerepelni fog, amikor a levél meg lett nyitva. Hogy érthetőbb legyen, egy Gmail-es címre küldött levél kézbesítési reportja valahogy így néz ki: 

email privacy magánszféra Gmail Horde Zimbra Roundcube Squirrelmail levelezés nyomkövetés

Mint látható, a report szinte mindent mutatna, ami a kézbesítődéssel kapcsolatos, ráadásul külön-külön, amennyiszer megnyitotta a címzett a levelet, ebben az esetben persze a tesztlevelet egy saját gmail-es címemre küldtem. Gyakorlatilag viszont a levél megnyitásának idején kívül semmilyen értelmes adat nem hámozható ki például a címzett földrajzi hollétét illetően, mert annak helyén a Google szerverei által odamókolt adatok vannak. Mi lehet a magyarázat? 

A Google nagyon jól tudja, hogy a Gmailt a többség webes felületen keresztül használja, ugyanakkor azt is, hogy ha azonnal betöltenék a távoli tartalmakat, az egyrészt felfedné a felhasználó hollétét, az általuk használt platformot, ugyanakkor emellett nyilván igény van rá, hogy a HTML-formátumú emaileket a felhasználók el tudják olvasni úgy, hogy azokban megjelennek a képek is. Éppen ezért nem is olyan rég a Gmail-ben az lett az alapértelmezett beállítás, hogy a távoli tartalmakat is automatikusan betölti a levél megnyitásakor, viszont nem az eredeti helyéről, hanem előzetesen a képet a Gmail a háttérben gyorsítótárazza a GoogleImageProxy-n keresztül, majd innen töltődnek be a képek ténylegesen. Ekkor viszont természetesen a küldő rendszer nem a valódi címzett címét és egyéb platformjellemezőit látja, hanem a GoogleImageProxy-ét fogja naplózni. Nem megyek bele olyan finom részletekbe, hogy a Google természetesen a háttérben nem Windows XP-s gépeket használ Firefox böngészővel a gyorsítótárazáshoz. 

Persze mezei levelezőrendszer esetén, ha a HTML-levéllel távolról letöltődik az apró, átlátszatlan kép, a feladó teljesen valid információkat kap a címzett által használt platformmal kapcsolatban is, ez viszont szinte mellékes, ha a fél világ Gmailt, Outlook.com-ot és hasonlókat használ levelezéshez, amik a GoogleImageProxy-hoz hasonló megoldást alkalmaznak. A filléres és fapados levelezőfelületeknél, mint amilyen a Horde, Squirrel vagy a Roundcube, a rendszer ideális esetben rákérdez, hogy betöltse-e a távoli tartalmat, amit a felhasználó jó esetben csak akkor engedélyez, ha a feladó számára megbízható.  

Érdekesség, hogy az egyik legkomolyabb levelezőrendszer, a Microsoft Exchange alapértelmezés szerint úgy tölti be a levelek megnyitásakor a képeket, hogy nem is kérdez rá, hogy a távoli tartalmat letöltse-e. Az ok alighanem az, hogy meglegyen az a típusú kényelem, amiért egy-egy felhasználó elvár, ha a cége egy Exchange üzemeltetéséért fizet. Ott az Exchange előzetesen persze alaposan átvizsgálja, hogy a levél tartalmaz-e kártékony kódot, amit akár egy képbe rejtettek el, de nem proxyzza magukat a képeket, hanem letölti azokat az eredeti helyükről, így ha tudjuk, hogy a címzett Exchange-t használ a cégnél, ritkábban magáncélra, ott jobban jobb lesz a „találati arány”. 

Végülis mennyire megbízható konkrétan a Getnotify? 

A saját súgóoldalán ugyan azt állítja, hogy a címzett semmit fog észlelni abból, hogy egy követett küldeményről van szó, ez igaz is és nem is. Az átlag felhasználó valóban semmit sem fog észlelni belőle, kicsit is jobban megnézve viszont ordít a trackelt levélről, hogy az egy köztes átjárón lett keresztülpréselve valami miatt. Éppen a Gmail nemrég vezette be azt az újítást, hogy a feladó mellett egy törött piros lakatot helyez el akkor, ha a feladó rendszere nem szavatolta, hogy az email csak titkosított csatornán kézbesítődhet, márpedig a Getnotify esetén ez a helyzet. 

A részleteket megnézve pedig egyre büdösebb lesz a dolog: 

email privacy magánszféra Gmail Horde Zimbra Roundcube Squirrelmail levelezés nyomkövetés

Ami pedig már bizonyító erejű, ha megnézzük az emailt nyers formátumban, ahol nem csak az kerül ki, hogy a látszólag egyszerű szövegként küldött levél valójában egy egyszerű szövegnek tűnő HTML-levél benne egy-két érdekes képpel, ami sima nézetben nem látszik, hanem az is, hogy ha a feladó domain nevéhez DKIM-rekord tartozik, a fejlécben látható, hogy az sérült, lévén hogy a levelet valami út közben megváltoztatta, ez egyébként annak az esélyét is nagyban növeli, hogy a levél a címzettnél spamben landol. 

Összességében elmondható, hogy nem, bárki bármit is mond, máig nincs olyan csoda technika, ami biztosan szavatolná, hogy a levél olvasottságáról a feladó biztosan tudomást szerezzen, pláne nem úgy, hogy azt a címzett ne vegye észre, ha akarja, legalábbis hagyományos emailek esetében nincs és ez így van jól. Ez a technikailag meglehetősen egyszerű trükk viszont az esetek döntő többségében működik, csak személyre szóló levél küldésekor nem túl bizalomgerjesztő, ha a címzett észreveszi, hogy előzetes beleegyezése ellenére ellenőrizni akarta a feladó a levél olvasottságát, hiszen ahhoz vagyunk hozzászokva, hogy ez a címzett magánügye. Egy személyes hangvételű levélbe bele lehet varrni olyan linket, amiben valaminek a megtekintésére kérjük a feladót egy linken keresztül, ami persze olyan szerveren van tárolva, amihez a logjaihoz hozzáférünk, hiszen ekkor ugyanúgy szervernaplóba kerül a linkelt tartalom letöltése, csak éppen egyáltalán nem biztos, hogy kattintani is fog a linkre a címzett. 

Ami fontos, hogy olyan levelet, amilyet például a Getnotify.com készít, írhat bárki, aki olyan levelezőprogramot használ, amelyik támogatja a nyers HTML-szerkesztést, amiben csak egy saját tárhelyre mutató, akár láthatatlan képet lehet elhelyezni, ez lenne a kézműves megoldás. 

Megjegyzem, gyakorlatilag minden levelezőrendszerben tiltható, hogy a levél egyáltalán HTML-ben jelenjen meg vagy éppen az, hogy külső képeket töltsön be. Ha mégis ilyen levelet kapnánk, megbízunk a feladóban tipikusan néhány kattintással engedélyezhetjük a teljes megjelenítést. 

Mindegy, hogy a Getnotify-ről vagy szó vagy valamelyik másikról, a működési elve mindnek az, amit leírtam. A kukkoló funkciót különböző levelezőrendszerek esetén ezekkel a beállításokkal lehet teljesen hatástalanítani.  

Gmail esetén: 

email privacy magánszféra Gmail Horde Zimbra Roundcube Squirrelmail levelezés nyomkövetés

AOL-on: 

email privacy magánszféra Gmail Horde Zimbra Roundcube Squirrelmail levelezés nyomkövetés

Zimbra rendszerben: 

email privacy magánszféra Gmail Horde Zimbra Roundcube Squirrelmail levelezés nyomkövetés

Horde-n: 

email privacy magánszféra Gmail Horde Zimbra Roundcube Squirrelmail levelezés nyomkövetés

Hushmailen: 

email privacy magánszféra Gmail Horde Zimbra Roundcube Squirrelmail levelezés nyomkövetés

Roundcube-on: 

email privacy magánszféra Gmail Horde Zimbra Roundcube Squirrelmail levelezés nyomkövetés

Squirrelmailnél: 

email privacy magánszféra Gmail Horde Zimbra Roundcube Squirrelmail levelezés nyomkövetés

1 Tovább

Döntéseink, párválasztás, irracionalitás 


interperszonális pszichológia párválasztás netes társkeresés irracionalitás könyv egyéb Zseniális irracionalitás Dan ArielyNemrég vettem kézbe Dan Ariely Zseniálisan irracionális című könyvét, szokásomtól eltérően a közepén kezdtem olvasni. Sokan mondják, hogy mára az netes társkereső rendszerek, amik pont arra hivatottak, hogy közel hozzák egymáshoz az embereket, eltüntessék a földrajzi és időbeli határokat, tökéletesen alkalmatlanok arra, amire kitalálták őket. Megint mások felregisztrálnak egy netes társkeresőbe és akár egy héten belül már találtak is valakit, akivel akár komolyabb párkapcsolatot is kialakíthatnak később. Ami viszont tény: a többség számára a klasszikus webes felületre és mobilappként fejlesztett társkereső rendszer nem jelent mást, mint egy virtuális húspiacot, ahol sokszor az a nyerő, aki annyira alacsonyra teszi a lécet, hogy szinte bárkivel elmenne. Érdekesség, hogy ez még attól is szinte független, hogy egy bugyuta, csak a legalapvetőbb funkcionalitással ellátott társkeresőről van szó vagy egy olyan kifinomultabb rendszerről, mint az Okcupid, ami pszichológiai tesztekben találhatókhoz hasonló cirfa kérdéseket tesz fel és annál pontosabban próbálja megrajzolni a pszichológiai profilunkat, minél több kérdésre válaszolunk, hogy aztán ez alapján javasoljon olyan felhasználókat, aki illik hozzánk. Jól hangzik? A hatásfoka semmivel sem jobb, mint bármilyen mezei társkeresőé! A jelenség alighanem még attól is független, hogy ingyenes vagy előfizetéses társkereső szolgáltatásról van szó – itt pedig eloszlatnám azt a tévhitet, hogy van olyan pszichológus, aki képes lenne belőni vagy akár megsaccolni az érintett helyett, hogy neki milyen pár lenne ideális. A társkereső rendszerek piacán lehetett látni ilyet, de aki pszichológusként ilyenhez adja a nevét, pont a saját inkompetenciáját teszi ki a kirakatba, mivel a társkeresés és párválasztás annyira komplex folyamat, hogy még a legmegbízhatóbbnak tűnő mérési eredmények alapján alkotható profil alapján sem lehet felelősségteljesen mondani valamit azzal kapcsolatban, hogy valakinek biztosan valamilyen ilyen vagy olyan partnerre lenne szüksége. Ezt azért emelem ki, mert egyik-másik előfizetéses társkereső már egyenesen ezzel hirdeti magát. A pszichológusok és pszichiáterek rendkívül sokat segíthetnek abban, ha valakinek problémái vannak az emberi kapcsolataival, párkapcsolatával, itt nyilván nem erről van szó. 

interperszonális pszichológia párválasztás netes társkeresés irracionalitás könyv egyéb Zseniális irracionalitás Dan ArielyVisszatérve arra, hogy a társkereső rendszerek hogyan tévesztik meg a felhasználókat, az emberek hogyan csapják be önmagukat, megpróbálom összeszedni, hogy hogyan működik általában a netes társkeresés és hogy ez legtöbbször miért tökéletesen alkalmatlan annak eldöntésére, hogy valakit valós környezetben mennyire találnánk vonzónak. 

interperszonális pszichológia párválasztás netes társkeresés irracionalitás könyv egyéb Zseniális irracionalitás Dan ArielyA netes húspiacokon gyakorlatilag esélytelen az, akinek nincs fotója. A társkeresőben böngészve egy keresés alapján ha jól saccolom cca. 0,2 másodperc lehet az az időtartam, amíg a találatok közt scrollolás közben valakinek a preview-képe előttünk van a találatok közt, ha bejön, úgymond megakad rajta a szemünk, akkor ez maximum 1 másodpercre bővül, ez alatt az idő alatt döntjük el, hogy egyáltalán rákattintunk-e az illető adatlapjára. Miután kattintottunk, első körben a képeket kattintgatjuk végig, mivel elvben az hordoz a legtöbb releváns információt. Nos, ha ezek közt egy sincs, ami igénytelen lenne, akkor olvassuk el egyáltalán a bemutatkozó szöveget, de ekkorra már szinte ki is alakult bennünk egy kép, egy mentális reprezentáció a másik személyét illetően, ami azért fontos, mert ettől a pillanattól ennek megfelelően fogunk viszonyulni hozzá. [itt vegyük észre, hogy az se mindegy, hogy teljesen máshol, például egy CV-n milyen fotó van!] A tudat annyi információ alapján dönt, amennyi rendelkezésre áll, az pedig nem túl sok, ha egy adatlap alapján kell valakinek a személyét értékelni. Azt most ugyancsak ugorjuk át, hogy éppen ezért akaratlanul is szinte mindig megtévesztő az, amit látunk, ami a kirakatban van. Az adatlapok információi alapján csak az extremitásokat lehet kiszűrni, mint például ha valakinek az ideálunkhoz képest nagyon előnytelen a testalkata, vállalhatatlan a helyesírása vagy maguk a képek igénytelenek. 

interperszonális pszichológia párválasztás netes társkeresés irracionalitás könyv egyéb Zseniális irracionalitás Dan ArielyHa megindul a levelezés, a kötelező körök lefutása után a felek tudattalanul vagy eljutnak odáig, amikor olyan dolgokról esik szó, ami mindkettőjük számára ténylegesen releváns vagy sem, aztán esetleg az életbe nem érintkeznek egymással a jövőben. 

IMHO nettó ostobaság vagy a rutin hiánya az, ha valaki előre kiköti az ismerkedés célját, azaz hogy éppenséggel kimondottan egy nyáresti kufircot keres vagy komoly párkapcsolatot, ahogy a valós életben, itt sem dönthető el előre, hogy mi alakul ki egy ismeretségből idővel. 

interperszonális pszichológia párválasztás netes társkeresés irracionalitás könyv egyéb Zseniális irracionalitás Dan ArielyAzaz az ismerkedés és a döntés bármelyik fázisáról van szó, éppen nem azok alapján döntünk, ami az adatlapokon van.  

A Zseniális irracionalitás kapcsolódó fejezetében a szerző többek közt említést tesz egy kolléganőjéről, aki olyan fazonba lett szerelmes és ment hozzá férjhez, akivel egyébként pusztán a külső tulajdonságai alapján alighanem szóba se állt volna. Ugyanis hiába, hogy nem volt egy Adonisz az illető, miközben megismerték egymást, folyamatosan kiderült, hogy a nő pont azokat a belső tulajdonságokat kereste, amik megvoltak a férfiban, viszont míg a külső tulajdonságokat illetően van bennünk valamiféle tudatos ideál, a nem látható sajátosságok többsége sokszor nem is tudatosul. 

interperszonális pszichológia párválasztás netes társkeresés irracionalitás könyv egyéb Zseniális irracionalitás Dan ArielyAmi az egyik legütősebb rész, amikor a szerző leírja, hogy tizenéves korában olyan balesetet szenvedett, aminek következtében gyakorlatilag az egész teste összeégett, majd amikor hónapokkal később tükör elé tudott vánszorogni, először úgy gondolta, hogy a randipiacon ő már az életbe nem fog labdába rúgni. Később kutatóként megfigyelte, hogy külső tulajdonságok ide vagy oda, még a klasszikus szépségtől leginkább eltérő emberek is találnak párt, a jelenség magyarázatára pedig több munkahipotézist állított fel, amit kísérletesen teszteltek. A hipotézisek olyan szabályszerűségeket azonosítanak, amik nem csak azokkal kapcsolatban érvényesülnek, akik valamilyen sérülés vagy veleszületett sajátosság következtében durván eltérnek az átlagtól, hanem mindenkire. Kíváncsiak voltak arra is, hogy a homogám párválasztás érvényesül-e, azaz, hogy a hasonlónak a hasonló fog bejönni. 

A kutatócsoport felvette a kapcsolatot a https://hotornot.com/ oldallal, aminek a lényege, hogy egy rövid regisztráció után a felhasználókat értékelni lehet kinézet alapján egy 10-es skálán, a kutatók megvizsgálhatták azt is, hogy az adott pontszámot osztogató felhasználók tipikusan milyen pontszámot kapnak, ilyen módon következtetve arra, hogy egy kevésbé előnyös kinézetű felhasználó szépségideálja eltér-e azokétől, akiket a többség kimondottan szépnek ítél meg, azaz "adaptálódik-e", lejjebb teszi-e a lécet. Röviden: a külső szépséggel kapcsolatos fogalmai nem változnak meg valakinek attól, hogy őmaga változik. A szépséggel kapcsolatos teljes adaptáció elméletét elvetették. 

Egy másik hipotézis szinte az előző inverze, azaz amikor azt tesztelték, hogy lényegében az emberek nem nagyon hajlandóak eltérni az ideáljuktól, például ha azt vallják, hogy sosem jöttek be nekik a túl vékony nők, akkor valóban esélytelen-e, hogy egy nagyon vékony nővel jöjjenek össze. A hipotézis kísérletesen szintén megbukott. 

Egyben tesztelték azt a hipotézist is, ami szerint persze, mindenki rendelkezik valamilyen ideállal, még ha nincs is tudatában, viszont a másik megismerése közben ettől hajlandóak eltérni, azaz átértékelik azt, hogy számukra nem általánosságban, hanem az adott konkrét személyt illetően mi vonzó vagy taszító tulajdonság. A kapott adatokat a rapidrandis kísérletek megfigyeléseivel összevetve kikövetkeztették, hogy tényleg erről van szó, fontos viszont, hogy a másik megismeréséhez kell valamennyi idő. 

Amit olvastam egybecsengett azzal, amire korábban azt mondtam, hogy más megítélésénél rendszerint az összképet kell nézni. Nem akarok átmenni oravecznórába, páulócoelhóba vagy lákátosleventébe, de tényleg igaz az, hogy jól és normálisan tényleg csak akkor lehet megítélni valakit, ha egészében ismerjük. Ami viszont nem jelenti azt, hogy minden sajátosságát sebészi pontosságát ismerni kellene ahhoz, hogy valakit el tudjuk helyezni a saját szimpátiaskálánkon. 

Saját régi netes társkeresős tapasztalataimból néhány gondolatindítót azért megírok. Meglehetősen nyögvenyelősen hoztam össze még sok-sok évvel ezelőtt két emlékezetes randit. Mivel viszonylag keveset tudtam róluk, valószínűségi alapon gondoltam, hogy minél többször próbálkozok, annál nagyobb az esély. Végül egyikükkel sem volt semmi különös a megismerkedés után, de máig a legjobb barátaim közt vannak – a férfi-nő barátság kérdését most inkább hagyjuk. Van, akit élőben ismertem meg, szintén közeli ismerős lett, de a társkeresős profilomat megnézve később azt mondta, hogy az alapján az életbe nem találkozott volna velem. 

interperszonális pszichológia párválasztás netes társkeresés irracionalitás könyv egyéb Zseniális irracionalitás Dan ArielyLényeges sajátosság, hogy a társkereső pont azokat az információkat nem képes közvetíteni, ami nagyon nagy súllyal esnek latba, azaz a két fél értékrendje közti átfedés, a különböző gesztusok kifejezése különböző beszédtémáknál vagy éppen az intellektus, ami korábbi olvasmányaim alapján az összes tényező közül a legerősebben (!) korrelál azzal, hogy hosszú távon milyen párok maradnak együtt illetve ha nem párkapcsolatról van szó, a felek mennyi ideig tartják egymással a kapcsolatot. Még egyszer: márpedig attól függ a döntésünk kimenetele egyáltalán azzal kapcsolatban, hogy valakinek a levelét érdemes-e megválaszolni, amennyi információt tudunk róla, másrészt a másik fél részéről akarva vagy akaratlanul megtévesztő lehet – igen, kitaláltad, arra gondoltam, hogy a fotók mennyire vannak turbósítva. Ugyan ha rendelkezésre áll egy óriási adathalmaz, lehet általános megállapításokat tenni az előnyös fotó ismérveit illetően. 

Mit lehet tenni mégis, ha valaki mégis hatékonyan szeretné használni a netes társkeresőt? Na, innentől már saját tapasztalatok jönnek interperszonális pszichológiával shakelve, jó sok  jéggel. 
-    Az avatarkép mindennél fontosabb – ha nem akad meg rajtad a másik szeme, nem is kattint [marketinges szakargóval: "reach"], ha nem kattint, nyilván nem is nézi meg a profilod ["engagement"], ha pedig nem nézi meg a profilod, nem is fog írni ["ROI"]. Azaz kéretik olyan képet használni, amelyik nem csak szerinted, hanem a kellően őszinte barátaid szerint is előnyös, de még ekkor is érdemes rendszeresen cserélgetni. 
-    Mindenkinek adj esélyt! Furcsának tűnik, de tényleg: tételezzük fel, hogy ír valaki, az adatlapon nincs is kép vagy nem túl előnyös első blikkre, a bemutatkozó pedig nagyon sablonosan van kitöltve vagy sehogy, az nem csak azt jelentheti, hogy az illető igénytelen, hanem azt is, hogy konkrétan a társkeresős adatlapjának nem tulajdonít jelentőséget, de attól még lehet belevaló csaj illetve csávó. Kérj tőle arcképes fotót, amit pedig az első levelében ír magáról hatványozottan fog számítani, de könnyen lehet, hogy pont itt kiderült, hogy érdemes folytatni az ismerkedést. Az illető mindent feltett egy lapra, azaz az első vagy második levelével ha nem győz meg, akkor bukta a dolgot. 
-    Szép hosszan kifejtettem, hogy hiába próbáljuk szépíteni a dolgot, ma az átlagos netező egyszerűen hülyébb, mint mondjuk 10 évvel ezelőtt. Nem kevesen vannak a társkeresőkben, akik egyszerűen csak unatkoznak – ez az értelmes emberek többsége számára szinte ismeretlen fogalom – de írtak már rám olyanok, akik konkrétan megírták, hogy amúgy ők csak levelezgetnek, mondjuk mert párkapcsolatban vannak, de eszükbe sincs mással találkozni sem. Azonnal szűrendő! 
-    2016-ot írunk, csókolom! Míg a megszokott netes csatornák nem alkalmasak a szimpátia egyik legfontosabb látható elemének, a másikra általánosan jellemző gesztushalmaznak a továbbítására, a videótelefonálás már jobban. Felbecsülhetetlen értékű és mennyiségű az az információ, amit akkor kapsz valakiről, ha videótelefonálsz vele néhány percig. Ezt minél hamarabb érdemes megejteni, ha a másik olyan ócska szövegekkel jön, hogy nincs Skype-ja, nem tud belépni, nem szereti a videóhívást vagy hasonló, de azért chatelgetni van ideje, sikeres ember nem lehet, pattintsd le minél előbb. Arról nem is beszélve, hogy mindennek a magánszféra védelme szempontjából is van jelentősége: amíg valakiről csak képeket láttál, gyakorlatilag bárki lehet! A bekattant exed, a frissen kirúgott alkalmazottad, tényleg bárki. Az alap dolog, hogy társkeresés közben azért nyilván nem a legmélyebb titkait osztja meg az ember a másikkal, jó esetben olyat, amivel szinte semennyire sem lehet visszaélni. Nos, ha valakit látsz kameraképen, akkor nagyon nagy eséllyel tényleg ő az. Az elővigyázatosságot persze túltolni sem szabad, fontos viszont tudni, hogy ha nem közlünk személyes dolgokat önmagunkról akár még a levelezésnél, akár a személyes találkozón, annál kevésbé fog a másik megismerni bennünket ahhoz, ennek megfelelően kialakítsa a véleményét rólunk, azaz vonzóak vagyunk-e számára. Ismeretlen figurákkal csevegve el kell találni az arany középutat a magánszféra védelme és a személyes infók megosztása közt. 

Képek: sadanduseless.com

3 Tovább

Elképesztő egyszerűséggel bepoloskázható a Whatsapp?  


Whatsapp ITsec epic IM üzenetküldésLegalábbis, ha működik az a nagyon egyszerű módszer, ami kering a neten néhány napja

Persze, minden szoftver törhető valamilyen módon, csak az nem mindegy, hogy kőbaltával is megy vagy éppenséggel kifinomult műtéti beavatkozás kell hozzá. 

Úgy fest, hogy valaki visszafejtette annak a kémprogramnak a forráskódját, amivel a fertőzött mobilok Whatsappja hallgatható le gyakorlatilag úgy, hogy aki bepoloskázta az áldozat mobilját, elhiteti a Whatsappal, hogy a támadó mobilja [vagy a gépén futó mobilkörnyezetet emuláló fejlesztőkörnyezet] a legitim felhasználó mobilja, közben kihasználja azt, hogy a Whatsappal elvben egyszerre több helyről is be lehet jelentkezni, az üzenetek pedig ilyen módon több helyről is elérhetőek. Esetleg magát a Whatsappot fejtették vissza, azaz reverselték, de az sincs kizárva, hogy a sebezhetőségre ilyen bravúrok nélkül jött rá valaki. 

Ha igaz, amit a Quora néhány nappal ezelőtt létrehozott topikjában olvashatunk, gyakorlatilag egy egyszerű MAC-cím klónozással bárki viheti a másik Whatsapp fióját. 

A MAC-cím nem más, mint egy, a hálózati hardverhez tartozó azonosító, ami ideális esetben egyedi, gyakorlati szempontból viszont semmi sem garantálja, hogy egyedinek kell lennie. Abban az esetben, ha valaki a Whatsappot telepíti a mobiljára, a telefonszám hitelesítése után az alkalmazás a telefonszám és a MAC-cím alapján látja, hogy ténylegesen milyen eszközön is fut. Ha valóban csak ennyi biztosítja a kliens identitását, az nagy probléma, márpedig nagyon úgy fest, hogy ez a helyzet. Elvben, ha valaki lenyúlná illetve lehallgatná más Whatsapp-üzeneteit, nincs más dolga, mint megszerezni az áldozat mobiljának MAC-címét, amihez viszont nem kell feltétlenül a telefonhoz fizikailag hozzáférnie, aztán ott megnéznie a beállítások közt,  hiszen például több könyvtár, munkahely is van, ahol a MAC-címet kell megadni ahhoz, hogy a wifi-hálózatra csatlakozni lehessen, a szolgáltató is tárolja ezt az adatot, és a mobil számos más módon is kifecsegi a MAC-címét, ahonnan megszerezhető. Ha ez megvan, akkor a MAC-címet csak le kell másolni, azaz klónozni kell, ami nem nagy bravúr egy root-olt Androidos mobilon, magyarul átírni a támadáshoz használt mobil MAC-címét az áldozat MAC-címére. Miután a MAC-klónozással a támadó megvan, már csak meg kell adni a frissen telepített Whatsappban a hitelesítéshez az áldozat telefonszámát, aminek hatására persze a támadott kap egy SMS-t, mivel formálisan olyan, mintha bejelentkezett volna még egy eszközről vagy újratelepítette volna az alkalmazást a saját mobilján. Nem is tudja az érintett, hogy miért kér tőle extra hitelesítést a Whatsapp, de megadja az SMS-ben kapott azonosítót és ezzel lehetőséget is adott a támadónak, hogy az üzenetfolyamhoz teljes egészében rálásson, hiszen a Whatsapp két különböző irányba fogja továbbítgatni az üzeneteket, amik közül az egyik a támadó mobilja, amivel megszemélyesítette az áldozat mobilját. 

Az üzeneteken kívül egyébként elérhetővé válik az áldozat földrajzi helye mellett több más adat is, szándékosan nem linkelem azt a bolondbiztos alkalmazást, amit erre találtak ki. 

Megjegyzem, a módszer egyáltalán nem technikai szempontból nagyon necces. A már-már bugris, ötletességet, leleményességet nem igénylő módszerek akkora, ha nem nagyobb kárt okoznak minden környezetben, mint a kifinomult, felkészültséget igénylő támadási módszerek, pont azért, mert a bugris módszereket többen meg tudják valósítani, ami pedig még kínosabb, ha mindez egy 200 millió aktív felhasználóval rendelkező üzenetküldő appnál játszható meg. 

0 Tovább

Mobil biztonságtudatosság, USA-Európa, 1:0


Balabit ITsec mobil biztonság biztonságtudatosságIgencsak tanulságos mini prankkel haknizott a Balabit IT Security a minap: Stockholmban és San Franciscoban szólítottak meg mobilozókat azzal, hogy kipróbálnának-e egy hordozható akkut, amit csak csatlakoztatni kell a mobilhoz és az akkut képes 5 perc alatt feltölteni. Vegyük észre, hogy eleve már csak azokat érdekelhette a dolog, akik nem voltak képben azzal kapcsolatban, hogy nem lehet feltölteni egy okosmobil akkuját 5 perc alatt, pláne olyan univerzális töltő nagyon valószínűtlen, ami erre képes lenne megbízható módon, hiszen eleve különböző mobilok akkumlátorai közt eléggé emberes eltérések vannak.

Később a srác megkérdezte az érintetteket, hogy nincs-e biztonsági szempontból aggályuk azzal kapcsolatban, hogy ismeretlen eszközt csatlakoztatnak kábellel a saját mobiljukhoz. Európában - legalábbis Stockholmban biztosan – láthatósan sokkal kevésbé illetve lassabban esett le, hogy mi ezzel az esetleges para.

0 Tovább