cogito, ergo incognito

cogito, ergo incognito | gordiusz

levél a felhős Encryptiából III.

2017. október 11. - gordiuszblog

Számon tarthatják, mit telefonoztam
s mikor, miért, kinek.
Aktákba irják, miről álmodoztam
s azt is, ki érti meg.
És nem sejthetem, mikor lesz elég ok
előkotorni azt a kartotékot,
mely jogom sérti meg.

József Attila: Levegőt, részlet

Nem sok izgalmas dolog történt az internetes adatvédelem eszköztárának területén az elmúlt évben, ami kis színes kategória és hírlevélbe kerülhet.
Akit megbabonázott a digitális higiénia, továbbra is Tor hálózaton internetezik Linuxos géppel és titkosítja a fájljait. A védekezés ezen módjai még mindig kicsit több, mint elég védelmet biztosítanak nekünk a tömeges támadások szofisztikáltsága ellenében, legyen szó titkosítóvírusról vagy reklámhadjáratról.

andrew-wyeth-frostbitten-1962.jpgLefagyva - Andrew Wyeth, 1962

óperenciás rendszerek

Egyszer volt, hol nem volt, a sikeres tömegtermék akaratunk ellenére, puszta jószándékból hagyja bekapcsolva a vezeték nélküli internetet, mert szerinte az nekünk így jobb. Annak ellenére, hogy kikapcsoltuk. De a mobil operációs rendszer mentségére legyen mondva, hogy a felhasználói élmény biztosítása érdekében lehetőségünk van a WiFi kapcsolatot:
- bontani
- deaktiválni
- kikapcsolni
- lecsatlakoztatni
- leállítani, elzárni..

Akinek mindez nem egyértelmű, az nincs egyedül.

Nem először tapasztalhatják a kommersz termékek flow-ját magukba szippantók, hogy valami, akaratuk és beavatkozásuk ellenére pont ellenkezőképpen működik. Így volt ez az asztali operációs rendszer személyes adat szivárogtatásával korábban. Ez a rendszer most svéddé váló Outlook-kal szórakoztatja rajongóit. Azok, pedig, akik nem svédek, vegyenek új Office csomagot. Sőt, ha valamelyikünk nem svéd és már kiskorú a processzora, akkor szintén bajban van, mert neki már nem jár frissítés. Mindenki vegyen új gépet és tanuljon meg tisztességesen svédül - Bra gjørt!

OONI

Bevezetésként az ellenségkép felvázolását követően egy közösségi összefogásra buzdító webes fejlesztés a TOR Projekt-től.

Az Internet Defense League soros terve a run.ooni.io oldalon érhető tetten.

ooni-2.pngEz egy internetes cenzúra adatbázis. Magunk is lekérdezhetünk, de inkább a jó, ha van kategória - egyszer talán szükség lesz rá. Az OONI, hálózati hárombetűsök vizsgálatával méri és archiválja világszerte a:
- híroldalak és kommunikációs platformok cenzúráját
- weboldalak direkt sebességkorlátozását
- protokoll verembe ékelt, felügyeletért felelős un. middlebox útvonal elterelők esetleges tevékenységét
- VPN, TOR, diszkriminált host-ok és tartományok blokkolását

Egyszóval azt figyeli a megadott oldalak esetében, hogy mettől-meddig voltak direkt blokkolva démoni cenzorok által. A magyar mérések esetében nincs sok tüntetésre okot adó goromba önkény, ellenben Korea, illetve Kína eredményei érdekesek lehetnek.

Amikor behívunk böngészőnkkel egy weboldalt és az nem tölt be, akkor például az isup.me oldalon nézhetjük meg, hogy ez az oldal csak nekünk engedetlenkedik vagy esetleg globális támadásban esett el éppen. Például ilyen lehet egy vállalati környezetben blokkolt közösségi oldal. Itt is erről van szó, csak cizelláltabb formában.

/security.txt

Ha van egy szupermenő biztonságos weboldalunk, ami a Qualys-tól is AA++ minősítést kap, nem ülhetünk konzolra tett kézzel. Mindig van nálunk furfangosabb és erre felkészülhetünk. Az, hogy egy weboldal forráskódjában kedves üzenetet hagyunk a sérülékenység kutatóknak, nem új keletű dolog. Most ez a kis üzengetés kezd szabványosodni, ami nagyon helyes! Ha valaki tudja, hogy hol kell sérülékenységet jelentenie és mondanivalója nem pusztába kiáltott szó, nem az ügyfélszolgálati- vagy utastájékoztatási fórumokon kell bóklásznia, sok félreértésre okot adó problémától mentesíti mindkét felet.

Egy weboldal un. forráskódja akár láthatatlanul is tartalmazhat sokkal több információt, mint amennyit a böngészőnkkel látunk. Nézzük csak meg: nyomjuk le a Ctrl+U billentyűket! A blog.hu portálon is akad nem kritikus hiba. De sikeres bejelentésre nincs lehetősége annak, aki a radar alatt szeretne maradni. Ez egy olyan szervezeti kultúrában különösen nehéz, ahol a munkatársak az olvasatlan leveleik számával versenyeznek egymással.

példa azoknak az ínyenc olvasóknak, akik Medium Security Level-lel érkeznek a Terra Incognita hálózatáról:

Milyen visszaélésre ad lehetőséget a gyönyörű blog.hu forráskód esetében a „counter_ishidden_infobox” elem? Hogyan lehet ezt kellemetlenkedésre kihasználni?
Helyes megfejtőink között vendégposztot sorsolunk ki.

Visszatérve a securitytxt.org kezdeményezésére, itt valami miatt még a fájl legenerálására is van lehetőség, de magunk is elboldogulunk:

- kell egy .txt fájl a webszerverre, akár egy sima aloldal vagy form
- benne egy e-mail cím, amit akár az md5hashing.net segítségével meg is tekerhetünk kissé, a spam botok nem fognak odamenni feloldani
- végezetül belekerülhet a nyilvános PGP-kulcsunk mondjuk .asc-be, mert titkoskodás nélkül nem olyan izgalmas

És kész, aki ezen keresztülverekszi magát, az motivált és nem buszjegyet szeretne venni.
Egyébként az ördögi GDPR-re történő felkészülésképpen akár egy diszkrét, tájékoztató jellegű összeget is feltüntethetünk így a fapados bug bounty programunk keretében.

magic.gif

Orfox

Az 52.2-es Mozilla Firefox 1.4rc3-as Orfox változata már kezd hasonlítani egy igazi böngészőhöz. Bár egy ilyen felütés után mindez lehet már senkit sem vigasztal. Android alatt az Orbot applikáció közreműködésével Orfox-on léphetünk fel a Tor hálózatra. A nagyra értékelt változás annyi, hogy a felhasználói felület kiegészült a mágikus „Open in new Tab” lehetőséggel. Ez így 2o17-ben kicsit furcsán hangozhat, de ebben a kultúrkörben eléggé fapados minden. A biztonság ügye, erről már volt szó: kényelmetlen. Tudni kell a kicsinek is örülni.
Hasonló élmény, mint a kicsit sem idevágó Raspberry Pi esete. Van egy lelkes amatőröknek forkolt Ubuntu Mate változat. Itt az volt a szenzációs újítás, hogy már nem terminálba kiadott „omxplayer fájl” paranccsal kell elindítani egy videót, hanem durván rá lehet kattintani akár: és elindul VLC Player-ben. Persze ha előtte átállítottuk OpenMax-IL videó kimenetre az ffmpeg belegyömöszölése miatt.

ffprofile.com

A Mozilla Firefox profilkészítő arra jó, hogy ne kézzel kelljen, például érintőkijelzőn beügyeskednünk egy frissen telepített böngésző biztonsági beállításait. Ezek azok a fura kódsorok, amiket az about:config alatt rögzítünk WebGL, követés, cookie, lokációs hurkok, punycode, WebRTC, fingerprinting.. témák kapcsán. A profilkészítő végigvisz a folyamaton, majd lesz egy ZIP-fájlunk, amit csak ki kell tömöríteni a megfelelő helyre. Ebben már benne lesznek azok a nélkülözhetetlen add-on-ok is, amik az adatvédelem elengedhetetlen kellékei az internetezés során.

Onb

scryptmail.jpg

ScryptMail újra

A scryptmaildniwm6.onion oldalon is elérhető levelezőszolgáltatás nem attól különleges, hogy akár YubiKey hitelesítéssel is kezelhető és nem is attól, hogy saját PGP-kulcsokat állíthatunk be a weben, hanem attól, hogy 5+1 e-mailcímet használhatunk egyszerre. Egyet, amit regisztráltunk és 5 véletlen-generált eldobható címet, amit azoknak adhatunk meg, akikben nem bízunk. Mind az 5+1 címre érkező küldemény egy postaládába fut be és levelezőszabályokkal tehetünk rendet. Miért jó ez? Arra a rendkívül tanulságos tréfára ad lehetőséget, hogy kiszűrjük:
- a házhoz szállító áruház
- a kapudrog női magazin
- a használt cikk kereskedő oldal
- a telekom szolgáltató

Vagy akárki közül - ki adja el azonnal a címünket spammereknek. Annak ellenére, hogy regisztrációt követően nem járulunk hozzá. Akinek ideje engedi vagy épp tiszta lappal indulna és új identitást épít a neten, kipróbálhatja és akár vissza is jelezhet majd a tesztidőszak után.

végezetül

Levezetésképpen néhány ideiglenes, eldobható e-mail szolgáltató, mert érdemes váltogatni, ha egyet-egyet letiltanak, jön helyette három új:
- app.getnada.com
- inboxbear.com
- temp-mail.org
- tempmailaddress.com
- sharklasers.com

A bejegyzés trackback címe:

https://gordiusz.blog.hu/api/trackback/id/tr9212947735

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása