cogito, ergo incognito

a Mr Robot című sorozat tanulságai

2015. október 21. - gordiuszblog


[IMDb]

1. Hosszú és bonyolult jelszavakat kell használni, melyek nem kötődnek személyünkhöz: nem név, hobbi, évszám.. Mivel, ha a személyes kulcsszavakkal bővített jelszólistával futtatnak egy távoli „brute force” támadást vagy találgatással próbálkoznak, ~ ugyan annyi idő alatt feltörhetőek a postafiókok, közösségi profilok.
Megoldás például, ha nagyon ragaszkodunk macskanév+születési évszám combo-hoz a jelszóválasztás területén, hogy közbeiktatunk egy kurta kis lépést, a jelszót hash-kulccsá alakítjuk:

Bödön [a macska] + 1526 [születési dátum] jelszóként alkalmazva könnyen kikövetkeztethető:

bodon1526

Viszont, ha vállaljuk azt a kis kellemetlenséget, hogy idegen számítógépen, belépés előtt még meglátogatunk egy hash-generátor [o oo ooo] szolgáltatót, akkor a fejben tartott egyszerű jelszó, lehet igazándiból egészen bonyolult is. A bodon1526 SHA-256-os kulcstérben:

e9fcff5699b0f2effc6ffb3f3628622c44dc7c217b2ed7b8a23a34795dd5f2fa, ami már egy igen derék jelszónak számít és kiegészíti az alkalmazott biztonsági szintet

2. Használjunk Linuxot.

xu21.jpg

3. Nem szabad gazdátlanul hagynunk az okostelefonunkat, ez azonban nehezen kivitelezhető, legalább legyen rajta valamilyen "zár": 4-6-18 karakteres PIN-kód, jelszó..

4. Egy talált pendrive vagy egy ajándék CD is lehet romboló kóddal preparált. Kisütheti a számítógép áramköreit, átveheti az irányítást a számítógépünk webkamerája és mikrofonja felett, monitorozhatja a forgalmunkat, lemásolhatja az adatainkat vagy ugródeszkaként használva kompjúterünket tovább fertőzheti ismerőseink és munkahelyünk gépeit, hálózatát - mindezt észrevétlenül.

5. Elliot Alderson [Rami Malek, a főhős], bekapcsolva hordja notebookját a táskájában, hogy ha éppen törni kell, rögvest hackelhessen. Ez nem túl jó módszer, sajnos vállalnunk kell a kényelmetlenségeket, ha kialakult már a biztonságtudatos eszközhasználatra vonatkozó igény, és 6+ jelszóbeírással indul egy számítógép..

6. Ha el akarunk tüntetni digitális adatokat, illetve hálózati adatforgalmat [főgonosz e-mailfiókjának megnyitása], akkor nem elég átfúrni a merevlemezt [amit akár titkosítani is lehetett volna előtte], kukás zacskóba dobni az alaplapot és mikrohullámú sütőben elégetni a lefeszegetett csipkészletet, hanem a memóriát is meg kell sütni és el kell hagyni a lakást, mivel a kimenő internetforgalom, ha nem védett, árulkodó és visszakövethető lehet.

7. Ha saját mobiltelefonunkon intézzük a "social engineering" trükköket, akkor sűrűn cserélgessük az anonim módon megszerzett SIM-kártyákat [taxi, kutyasétáltató]. Ha a későbbiekben ezen érik el a főszereplőt, akkor bizonyos, hogy két telefont használ.

8. Ha személyesen akarunk szembenézni egy pedofil hálózatot üzemeltető internetkávézó tulajdonosával, akkor ne nála találkozzunk, mert napjainkban igen fejlett az arc alapú azonosítás és gyanús, hogy vannak kamerák egy ilyen helyen [webkamera, biztonsági kamera] valamint az ujjlenyomatunkat is otthagyjuk.

fsoc.jpg
Anonymus


9. "..vannak mindentudó hacker-ek, akik bedugnak egy USB drive-ot egy számítógépbe és jelszó megadása nélkül lemásolnak róla mindent.."
Ez nem hekker munka, évek óta vannak a Linux világában un. Live disztribúciók, melyek telepítés nélkül kipróbálhatóak, hogy adott gépen működnek-e az alapok [kép, hang, net..], illetve, hogy mennyire gyors a kiválasztott operációs rendszer. A Linux telepíthető pendrive-ról, kipróbálás közben rákattintással bemountolhatóak a hagyományos Windows-os és Linux-os meghajtók is az Intézőhöz hasonlatos alap programban és a tartalmuk azonnal felmásolható egy második kulcsra vagy egyenesen a felhőbe.
Ne hagyjuk magára a számítógépünket, csak úgy, mint az okostelefonunkat sem. Az adathordozók titkosíthatóak.

10. A főhős CD-ken archivál, ez egy esetleges házkutatás alkalmával kevéssé könnyíti meg a tagadás lehetőségét. Ott a felhő, mint alternatív lehetőség, titkosított felhő, redundáns felhők, redundáns titkosított felhőkben titkosított fájlok tárolása.. Titkosított fájlokat akár egy nyilvános könyvtár számítógépén is tárolhatunk.

11. A különböző internetes médiumok felhasználói, leginkább nem azok, hanem "felhasználtak" - bizonyos motivációktól vezérelve nagyon könnyen fésülhető össze a különböző közösségi terekben megosztott információ és készíthető el a sok apró információmorzsából a teljes személyiségprofil.

12. Manapság minden: munka, magánélet és szórakozás - kötődik a számítástechnikához és az internethez. Aki biztonságban és elemében kívánja érezni magát a virtuális térben, tanuljon.

13. A DAT fájl jó dolog, de könnyebben hamisítható, mint az aláírt, lepecsételt papír vagy egy gyógyszer recept.

mrr3.png

14. Az érintéses adatkommunikációs technológiák [mágnescsík a bankkártyán, NFC..] egyik hátránya a napjainkban már gyorsan és olcsón végrehajtható klónozás. Az, hogy büszkék vagyunk a munkahelyünkre, helyes, de, hogy a belépőkártya még szenteste is a nyakban van és beleakad a karácsonyi égősorban, már túlzás lehet. Érdemesebb inkább kerülni a feltűnőséggel járó felelősséget.
Egy korábbi pályázat az "érintőkártya" nevet igyekszik elültetni a Paypass vagy "csipogós" bankkártyanév helyett. A zsebünkben lévő kártyák limitje 5.ooo forint, a technológia sebezhetőségével mindössze ennyit bukhatunk egy tömött villamoson vagy egy művészi zsebtolvaj kezei közé kerülve. Már nem csak a vendéglőben merülhet fel probléma. Van olyan módszer, hogy a tok, amiben tárolják a bankkártyát [belépőkártyát, lopott pulóvert] ezüstpapírba van csomagolva. Igényes megoldásból kevés van, de megtettük az első lépést a hordozható olvasók blokkolása felé.

15. "a programozó gondja a milliós felhasználói táborának gondja, mert a szoftver integritását befolyásoló tényező"
A sorozat 5. részében egy hamis Wikipedia cikkel tévesztenek meg valakit. Az interneten elérhető tartalmakra és szoftverekre egyaránt igaz, hogy érdemes kétkedve fogadni a szembejövő információkat. Előfordulhat, hogy egy megbecsült Wikipédia szerkesztő, egy hírportál egyik újságírója vagy akár főszerkesztője - nő, drog, pénz, betegség vagy forradalmi hevület hatására szembemegy addigi munkásságával. Ugyan ez igaz egy sikeres szoftver vagy applikáció fejlesztőjére is. Az integritás bármikor sérülhet, nincs kontroll a kezünkben, hogy a sértetlenséget, biztonságosságot és hitelességet ellenőrizni tudjuk.
És vajon egy stresszes szituációban, amikor ráadásul másodpercek alatt kell választani, ugyan kinek jutna eszébe, hogy esetleges megtévesztési vagy támadási kísérletként értékelje az interakciót és egy hónappal az esemény bekövetkezését megelőző publikációk alapján döntse el egy ügy vagy személy prioritását?

 

„cikkünk folyamatosan frissül”

 

A bejegyzés trackback címe:

https://gordiusz.blog.hu/api/trackback/id/tr418009101

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Pogány Attila 2018.08.31. 18:45:01

A 9 es trükkőt. Windows xp én mág gyereként felfedeztem . csak egy telepitó cd kellet amin van futathat windows is. Az hozzá fért igy kitudtam a fájlaimat másolni egy pendraivra a beszart géprőll. Nem nagy felfedezés hogy bármijen bootolható rendszer képes hozá férni a fájlokhoz. A másik trük hogy a winyót rakjuk átt egy másik gépbe amin a saját oprendszert futatunk v. Ma már futatható window is pendrivroll. az hozzá fér a őszes fájlhoz. .
Aki értis a programozáshoz kőnyedén őszedőbb egy olyat hogy csak a másolás parancsot futtasa . Ezért jó ha van 2 terra filmsorozat a winyón igy nem fér minden egy pendrivra.