cogito, ergo incognito

"Time to say adios to you, Dropbox!"

2017. március 17. - gordiuszblog

dropbox-end.png

A Dropbox nevű felhőszolgáltató előzetes értesítés nélkül felfüggesztette az ingyenes fiókok közvetlen, un. direkt link elérését a html-be ágyazott honlapoknál.
Ez azt jelent, hogy, ha eddig egy alkalmi honlap, gazdaságos webáruház felületén a linkek publikus Dropbox tárhelyre mutattak, akkor valószínűleg költözni kell.
Fenti ügyfélbarát gesztus megtétele valami miatt pont március 15-ére esett.
Direkt linkelésre alkalmas tárhely hirtelenjében nincs túl sok a piacon, képfájlok esetén a postimage.io, illetve az Imgur volt ilyen.
El lehet menni, akinek mindez nem tetszik:

berkopal1938.jpg

Tovább

osint

adatvadász kézikönyv információcserkészeknek

sosincs mikroszint makroszint
csintalan sintér kacsint
forint sodorint krinolint
alkalmasint osint

  • Elveszett a kutyád. Kétségbeesel. Plakátolsz, posztolsz, hirdetést adsz fel: telefonszámok, lakóhely, hobbi, @-cím, lakókörülmények, igénybe vett internetes szolgáltatások, jutalom összege..
  • Komoly szakember vagy, előadásokat tartasz, ezeket néha felrakják a netre. Az előadás végén ott a „Köszönöm a figyelmüket, kérdéseiket..”

az adatok évekig kereshetőek maradnak

Míg korábban az un. OSINT tevékenység keretében kitartó emberek a fél életüket rááldozhatták arra, hogy például easter egg-et találjanak a Bibliában, napjainkban már lényegesen könnyebb dolgunk van. Nem kell külön tv-néző ember, újságolvasó ember, könyvtárba járó ember. Egy személy is elég, aki akár a wc-n ülve is kiterjedt kutatást végezhet a digitalizált tartalmakban.
Nyílt adatforrás elemzés, nyílt forrásos kutatás, nyíltforrású hírszerzés - az OSINT leginkább egy félrefordítás, mint az URL. Talán a „public” szónak van létjogosultsága a területen. Barátkozzunk a gondolattal, hogy az interneten minden nyilvános.

monalisa-szetcsuszva-6oo.png

Arról van szó, hogy a szegény ember azzal főz, amije van; vízzel, információból pediglen tengernyi érhető el a publikus weben, csak össze kell őket gereblyézni:

- céghálózatok, tulajdonosi szerkezetek feltárása
- ki árul feltűnően olcsón telekjárót
- ki lopta el a posztomat, szerzői jogi problémák orvosolása
- ki hívogat, lássuk ki lesz a következő a CallBlocker feketelistáján
- ki lehet a felelős egy megkérdőjelezhető webes tartalomért
- kit takar egy alákérdező vagy troll nick-, álnév a weben
- milyen csatornákon érhetünk el valakit
- segítendő a hatóság munkáját, hová küldjük őket
- van-e kapcsolat két személy között
- ..

Az OSINT, az egy darab információból kiinduló profilalkotásnak az a módja, amikor lépésről-lépésre azonosítunk összefüggéseket, adatfajtáról-adatfajtára jutunk közelebb fenti célok valamelyikéhez. Oly módon, hogy nem használunk fejlett hírcsatornákat és mondjuk hatóságinak nevezhető emberi erőforrású feldolgozást, egyéb kapacitásokat - további, szép számmal létező *INT-eket.

Tovább

adatzaj


Az információbiztonság nem csak az interneten szivárgó személyes adataink, preferenciáink csökkentésének megkísérlésével fokozható.
A profilozás, adatzaj létrehozásával is megnehezíthető.

példa:

Rengmjon felelős minisztériumi tisztségviselő. Komoly döntéseket hoz, nagy koncentrációt igénylő, pénzügyi vonzatú feladatainak elvégzésébe nem csúszhat hiba. Természetesen segítségre is számíthat, a központi belső elhárítás minden lépését figyeli. Rengmjon kiemelt káder, igazi internetkapcsolata is van a munkahelyén. Hősünk megbecsüli magát, hiszen hazájának egzotikus szokásai miatt, ha hibázna, nem bizalomvesztéssel, hanem légvédelmi rakétával kéne szembenéznie.
Azonban szívesen olvas apokrif forrásból származó tartalmakat is. Rengmjon szűk időbeosztása miatt a napi hírek feldolgozására RSS olvasót használ. Annak ellenére, hogy az RSS-sel hatékonyabb a hírfogyasztás, még így is túlságosan nagy a hírzaj, sok idő elmegy a nemzetközi helyzet fokozódásával.
Így RSS-olvasó szoftverébe un. szűrőket alkalmaz: amennyiben bizonyos szavak szerepelnek egy új hír címében, amik nem érdeklik őt, az automatikusan a kukába kerül.
Ezek a tiltólistás kulcsszavak általános esetben például így nézhetnek ki:

4g, 4k, 5g, 5k, airbnb, alcatel, amazon, apple, azure, biznisz, bréking, brit tudósok, broadcom, brutális, galaxy, gopro, gpu, gtx, huawei, iot, ios, iparági becslések, iphone, kiszivárgott, logmein, lte, macbook, mwc, netflix, netiq, nintendo, note 7, nvidia, önvezető, playstation, qualcomm, radeon, spotify, számos, uber, virtuális valóság, xbox, xiaomi, xperia, zsarolóvírus

city-wok-man_south-park.png

Viszont Rengmjonnak van egy különleges, titkos kulcsszava is, melyet a központi bizottság által jóváhagyott hírcsoportoknál alkalmaz:

Tovább

boldogok-e a sajtkészítők?

az informatika nagy problémái - nemes egyszerűségük, horderejük és bravúros megoldásuk

boci.jpg

Az informatika világának küzdelmes hétköznapjait középpontba állító hírekben olyan dolgokról olvashatunk nap nap után, hogy:

- az internetre kötött háztartási eszközök sebezhetővé teszik a felhasználókat, mert a gyártók nem fordítanak kellő figyelmet a szoftveres védelemre [IOT]

azaz a termelékenységi hatékonyság a biztonsági szabványok kidolgozásának rovására megy, mintha a kávéfőző felrobbanhatna, a csapból folyó elektromos árammal keveredő víz vagy a fűtőrendszerből a légtérbe jutó gáz hétköznapi veszélyforrás lehetne

- a zsarolóvírusok kórházakat, nagyvállalatokat tesznek a földdel egyenlővé

szerencsére emberrablást, váltságdíjat, csak a kalandfilmekben láthatunk - emellett sajnos nem túl kedvező az ország ransomware ellátottsága, ritka, mint a magyar narancs, a szakmai fórumokon is a hónap dolgozója, aki véletlenül belefut ilyesmibe - "Mi ez? Bástya elvtársat már meg sem akarják gyilkolni? Én már szart érek?!"

Tovább

legkisebb királyfi

Ritka alkalom, hogy szívet melengető hírek érkeznek a dark web területéről. Lekapcsoltak több pedofil tartalmat közvetítő weboldalt és nyilvánosságra hozták a látogatók néhány adatát.

heroikus fejlődéstörténet: egy tehetséges srác első hack-elése, ami mókás deface-nek indul. Ez olyan eljárás, mint amikor a graffitis tag-el, felhúzza a házmestert, egy: „itt jártam, megcsináltam” életjel, de lehet a kutyák vizelet kiválasztási szokásaival is összefüggést találni. Aztán kiderül, hogy a zéró toleranciát hirdető FH2 nevű .onion oldal hosting, pénzért adott plusz tárhelyein mocskot hosztolt. Technikailag nem titkosítva, mert, akkor hogyan is érhetnék el az ügyfelek. Tehát ők, az FH2, feltételezhető, hogy rálátott a tartalomra, tehetett volna ellene, ha ezt a policy-t vállalta, sőt egyébként is..
A srác [legkisebb királyfi], a gyermekpornográfiával szemben zéró toleranciát hirdető dark webhost anyagaival szembesülve tovább ment a deface-nél és klasszikus törést hajtott végre, vitte a bizonyítékokat és zárta az oldalakat - lekapcsolta a LAMP-át.

Gratulálunk, innen küldünk színes bitbuborékokat, csak így tovább!

taps.gif

Tovább

kapd el az árulót, mentsd meg a forrást

informátor felfedése és elfedése


Korábban szóba került, hogy akár az is informatív jelentőséggel bírhat, ha zöld szigszalagot ragasztunk egy metrókocsira. Aki eme jelhír értelmezésébe beavatott, tudni fogja, hogy ideje cselekednie.
Sokféle információ rendelkezhet akár jelentőségteljesebb mögöttes tartalommal is.

Tetszőleges évben, egy afrikai ország zord minisztériumában huszadmagammal kellett aláírnom egy dokumentumot. A dokumentum kettős tartalommal bírt. Arról szólt, hogy senki sem nyilatkozhat a nemzetközi sajtónak, illetve hogy kizárólag egy meghatározott helyről lehet csak mondjuk pálmaolajat vásárolni nagy tételben.

mini-of-segg_x.jpg

A gyanakvó szem kiszúrhatta, hogy minden kolléga egyedi műgonddal elkészített dokumentumot kapott aláírásra. A dokumentum szignózva volt, hogy ha véletlenül valaki szivárogtat, azonosítani lehessen az árulót.

Tovább

kriptopornó


2o13-ban egy Ladar Levison nevű informatikai szakember történelmi döntést hozott: nem adta ki a titkosítókulcsot, mely ~4oo.ooo ember üzeneteit biztosította.
Inkább megszüntette levelezőszolgáltatást, amit fejlesztett és üzemeltetett.
2o17. január 2o-án beiktatták az Egyesült Államok új elnökét.
Ladar Levison Lavabit nevű szolgáltatása újraindult.

lavabit-reloaded.png

Tovább

ox.io | a tőlünk telhető


ellenszélben felfelé

Vannak eszközök, amikkel megtehetjük a tőlünk telhetőt a magánélet tiszteletben tartásáért, ami 2o17-ben is egyre nehezebb lesz. Ezek az eszközök ígéretek csupán, röpködő hárombetűs szavak: PGP, RSA, E2E.. De legalább nem azt vállaljuk az olvasatlan apró betűs bepipálásával, hogy minden jogunkról lemondunk.
Az elektronikus levélváltás területén több új szereplő mutatkozott be az elmúlt időszakban. Ezek a társulások az információbiztonság és az adatvédelem szempontjából fejlesztik szolgáltatásaikat, nem követnek minket, nem készletezik adatainkat és nem használják fel azokat ellenünk.
Sokáig vártunk a Dark Mail-re. Hát, rájuk továbbra is várnunk kell. Szintén hosszú feliratkozási szakasszal sereghajtó a ProtonMail, de ők legalább már elindultak. A Tutanota pedig a maga fapados funkcionalitásával eddig az élmezőnyben egyedüliként volt a nevető harmadik.
Eddig - elindult az Open-Xchange bétája és két kisebb szereplő is közeledik az élbolyhoz.

ox-io_mail.png
Akik eljutottak már arra a szintre az informatikai kompetenciák és az internetes higiénia igényének területén, hogy le kell mondaniuk arról a kényelemről, amit a digitális közműszolgáltatók közösségi nyomással és flow-élménnyel párosuló termékei okoznak, egyre több alternatíva közül válogathatnak.
Azok az internetes adatvédelmet támogató szolgáltatások, melyekből válogathatunk, egyrészt valami új megtanulásának kényszerével járnak, másrészt legtöbbször rondák is, illetve kényelmetlenek. A biztonság kényelmetlen: kondom, bukósisak, biztonsági öv, protektor..
Az államigazgatás területén is egyértelmű összefüggés, hogy a hatalmi ágakat szét kellene választani; úgy, az információbiztonságnál is analógia, hogy ne legyen túl sok adatfajta és tartalom mennyiség egy kézben, hanem ha tudjuk szétosztással előzzük meg a készletezést, elemzést, ellenőrizetlen felhasználást.
A kiterjedt portfólióval rendelkező piaci szereplők, akik minden elektronikus kommunikációs és megosztási platformot a saját termékpalettájukkal kívánnak lefedni, kiváló üzleti modellel igyekeznek így hatalmas felhasználói közösséggel kiszolgálni a reklámokból élő üzletfeleiket. Ez a gyakorlat a nyílt forráskódú szoftvereket fejlesztő közösségektől sem áll távol.
A különbség szinte érzékelhetetlen. A fogyasztói társadalom tagjaiként csak a közvetett előnyökkel szembesülünk.

ox.io

Az ox.io egy elektronikus levél- és felhős tárhely szolgáltató. A németországi szerverekről működtetett OX, a Zoho/Inbokss/Google/Baidu.. termékeinél már megszokhatott kollaborációs szolgáltatásai a következők:

Tovább

szabadságot a macskás jelszavaknak!


Ugyan azt az egyszerű jelszót használnád mindenhová? Semmi gond, majd megoldjuk: ahhoz, hogy második lépcsős biztonsági réteg lehessen a jelszó, mint az SMS-faktor - részlegesen azonosítani kell a számítógépet, amiről bejelentkezünk.

kockas-pif_es_herkules-1.png

Persze, majd megjegyzek több jelszót, sőt megtanulom a krikszkraksz kis karaktereket, amiknek még nevük sincs és a billentyűn sincsenek rajta..
Gondolod, hogy 16 jegyűt, hát hogyne!

Olvastad te gobriusz-tól a 22-es csapdát? Na, ott van, már kapható is - Ázsiából rendeltem. Küldtek egy flopit, persze a posta nem sietett, de bedugtam, megcsinálta magát, azóta nincs gondom. Jelszó ügyben nincs, mindenhová a macska nevével lépek be - a flopi, hát az nem jött ki többet, de belefér nekem.

Volt hozzá ákombákomos használati leírás, de hirtelen összekrumplihéjazódott.
Viszont a ketyere rögtön megnyitotta a magyart - nekem internetes gépem van:

o. üdvözöljük a jövőben!
1. helyezze be a floppy lemezt a számítógépébe
2. az installálást követően vegye ki
3. jó szórakozást kívánunk

mi történt Cirmossal?

Tovább

nem fogtál pedofilt

A hosszú combú szomszéd lány nem Warcraft rajongó és a gyerek sem tölt le olyan dolgokat - okosabb ő annál, olvassa a blogot..

Elég veszélyes dolog [Jagten] és szomorú kimenetele is lehet egy olyan hoax indításának, amiben azt állítja valaki, hogy tudja, mik azok a filmek például, amiket illegálisan letöltöttünk.

Az orosz „know what you download” ezt állítja. Létrehoztak nemrég egy weboldalt, amire, ha fellépünk - az ígéret szerint ki lesz listázva, hogy miket töltöttünk le illegálisan, un. torrrent protokollon.
A cég belengeti annak lehetőségét, hogy a szerzői jogvédelem területén tevékenykedő cégekkel szívesen együttműködne. Mindez egy DMCA bejelentésbe csúcsosodik ki, ami egy un. szerzői jogsértés féle feljelentés, mely Magyarországon még nem divat.

Az oldalon a posztolást megelőző időben nem volt fertőző kártevő. És reklámot sem láttam, bár ennek lehet egyéb oka is.
A cég őszintén hisz abban, hogy a technológiájuk hiteles eredményeket biztosít.

De ez sajnos nem így van. Az esetlegesen kilistázott random találatok, amik illegális letöltéseket jelentenének, nem köthetőek hozzá a felhasználóhoz.
Egyszerű módja lenne ez például a pedofil vadászatnak vagy annak, hogy megtudjuk, mivel cserkészhető be a szomszéd lány, milyen filmre hívjuk el moziba..

Tovább