Ez a számláló a poszt nézettségét mutatja. Mindenképp olvasd el ezt a posztot a részletekért.

tipz

adz

rambo archiv

naptár

szeptember 2014
Hét Ked Sze Csü Pén Szo Vas
<<  <
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30

labelz

adathalász (24) adathalászat (35) adatok (88) android (51) antivírus (36) antivirus (35) apple (25) átverés (52) bank (28) biztonság (63) botnet (63) csalás (115) eset (124) exploit (41) facebook (107) felmérés (24) féreg (23) frissítés (34) google (39) hamis (94) havi (74) jelszó (45) kártékony (22) kártevő (122) kémprogram (29) kéretlen (31) macintosh (29) magyar (45) malware (35) microsoft (23) nod32 (113) phishing (26) security (29) spam (134) statisztika (40) threatsense (70) trójai (104) twitter (23) vírus (24) vírusstatisztika (78) windows (28) Címkék ömlesztve

tweetz




commentz

about

A Vírusok Varázslatos Világa, azaz érdekességek, esetek, hírek, részletek, képek, vélemények a hazai és külföldi vírustámadásokról, számítógépeink biztonságáról.



Csizmazia István [Rambo], vírusvédelmi tanácsadó
Sicontact Kft., a NOD32 antivírus magyarországi képviselete.
Töltse le a vírusirtó próbaverzióját!

Minden, amit a privacy-ról tudni akartál... I. rész

2010.08.04. 17:10 | Csizmazia István [Rambo] | 20 komment

Címkék: privacy facebook privátlét

 ... de sosem merted megkérdezni, éppen hiányoztál vagy mást csináltál. Háttér információk a Facebook előéletéről, gyűjtemény eddigi privacy incidensekről, temérdek példa linkkel, miegymás, és még több miegymás. Összefoglalva: az életben csak egy szép dolog van, de az most épp nem jut eszünkbe ;-)

Pár hónapja kezdtünk bele ebbe a mindent egy helyre összeszedésbe, és bár ezek részleteiben már szerepeltek itt-ott, így egyben most először jelenik meg. Az "Az emberek 98 százaléka nem tudja 17 másodpercnél tovább nézni ezt a videót" eset adta az apropót és a végső lökést, hogy ezúttal megdöntsük a Guiness Rekordok Évkönyvébe kívánkozó leghosszabb blogposzt rekordot. Remélhetőleg aki végig tudja olvasni, az talán nem azt fogja mondani, hogy inkább egy teletubbies maratonnal amortizálja le az agyát, mintsem ezt még egyszer végig kelljen szenvednie, hanem örülni fog ennek az írásnak. Ígérjük, nem lesz gyakori az ilyen gigászi méret.

Nehéz dolog a privacy-ről írni, mert egyrészt elég összetett dolog, másrészt időben állandóan változó folyamatról van szó. Személyes adataink egy részéről amúgy sem tudunk mindig rendelkezni: jól-rosszul őrzik a különféle hivatalokban, szabályozzák vagy nem szabályozzák ki is tekinthet bele, be tartják vagy nem tartják be a titkosítási előírásokat, az adatbázis kezelés során olyan támadható pontokat hagynak, amik miatt az kiszivároghat, ellophatják, stb. Ezek miatt különösebben aggódni nem érdemes, nem tehetünk semmit, vagy maximum szavazzunk négyévente olyanokra, akik ezt állításuk szerint komolyabban vigyázzák ;-)

Nem egyértelmű, ki tehet jobban a jelenlegi káoszról: a felhasználók, akik nem olvassák el az adatvédelmi irányelveket, vagy az ezt vastagon kihasználó, és a szétkürtölést alapértelmezettnek beállító üzemeltetők. Az adatkezelési szabályzatának egyik pontja szerint az abban foglaltakat bármikor egyoldalúan módosíthatják - de nincs ez másként a magyar Iwiw esetében sem. Lehetne persze minden alaphelyzetben biztonságos állapotban, de akkor a "felhasználói élményre" hivatkozva nem tudnának tömeges forgalmat generálni. A forgalmi, viselkedési, kapcsolati adat pedig érték, a reklámozni kívánó cégek pénzt fizetnek érte az üzemeltetőknek.
http://hu-hu.facebook.com/privacy/explanation.php

A problémák gyökere nem is azokkal a személyes adatokkal van, amit közintézmények hivatalból őriznek, kezelnek, hanem inkább azokkal, amiket mi magunk kezelünk jól-rosszul: megadjuk, és nem gondoljuk végig, vagy a folyamat később megváltozhat ahhoz a pillanathoz és szerződési feltételekhez képest, amikor regisztráltunk. Amíg egy olyan ingatlanközvetítő, autópálya e-matracát árusító cég is van, amely orvul menet közben módosítja ezeket a szerződési feltételeket, és a sűrű fillér alapon mindenkitől bevasalja azt utólag, adataink, pénztárcánk veszélyben vannak. Az egyes álláskereső, társasági, társkereső oldalak is kérdezhetnek túlságosan is bizalmasakat, illetve a jelentkező is gondolhatja azt, jót tesz az esélyeinek a részletes, önfeladó válaszaival, vagy adott esetben nem tudja ezeket elkerülni, ha eredményt akar. A drogozott-e már, sorolja fel negatív tulajdonságait, akar-e gyereket, milyen a szexuális orientációja, adja meg levelezési postafiókjainak jelszavát - nem éppen szokványos állásinterjú kérdések.

Ilyen szemszögből akár úgy is vélhetjük, lehetetlen tökéletes biztonságban lenni, például elég a csalóknak egy hamis álláskereső irodát létrehozni, és máris áramlanak a címek, részletes önéletrajzok. Persze amint hibák minden programban vannak, minden közösségi portálon is lehetnek. Például egy programhiba miatt a felhasználók elolvashatták az összes Facebook ismerősük csevegését. Ki tudja mennyi ideje, esetleg évek óta volt ez így?

Facebook tagok leszünk, mert megérdemeljük
Ha nem is ilyen szélsőséges esetekről fogunk most beszélgetni, de alapvető ökölszabályokról, és gyakorlatias megközelítéssel minden beállítási javaslat mellett hétköznapi példákkal is szemléltetjük annak veszélyét is, mi történhet a megfelelő beállítás elmulasztása esetén. Az 1000 legnépszerűbb oldal listáját a Facebook vezeti napi 570 millió látogatóval. A közösségnek pedig már több mint 400 millió aktív felhasználója van a regisztrált 500 millióból. Átlagosan minden tagnak körülbelül 130 ismerőse van, a tagok pedig havonta mintegy egymilliárd képet töltenek fel. Emellett 70%-uk valamilyen alkalmazást, játékot is futtat az oldal kínálatából. Mindegyikük kapcsolódik 60 további oldalhoz, csoporthoz, rendezvényhez és minden hónapban körülbelül 70 új tartalmat (bejegyzés, üzenet, kép, videó) hoz létre.

Hibátlan program nem létezik, csak olyan, amely eddig esetleg hibamentesen futott le. Egy élelmes török internetező, Ozan Yılmaz vette észre, hogy egy egyszerű script kód segítségével bárkit a Twitter követői közé tud varázsolni. Egy másik esetben a Facebook értesítő levelekből kinyerhető volt az eredeti feladó IP címe. Ezeket a hibákat azóta állítólag már kijavították. Vajon hány lehet még?


Nagyon fontos persze az is, hogy az üzemeltetők ezt helyesen kezelik-e, de ezt csak remélhetjük. Amire viszont nekünk, felhasználóknak befolyásunk van, az hogy jól átgondoltan, és saját  érdekeink mentén csak annyi adatot, képet, információt adjunk meg, amit később biztosan nem bánunk meg. Jöjjenek hát ehhez a részletes tanácsok.

Szervezzük barátainkat listákra
Bárkivel előfordulhat, hogy főnöke, anyósa meghívót küld számára. Ha okosan szervezzük ismerőseinket, akkor külön csoportba tesszük családtagjainkat, munkatársainkat, kollégiumi osztálytársainkat. A listáinkat más nem láthatja, mi pedig könnyen tudunk így egy adott célcsoportnak üzenetet küldeni. Elrontani is nehezebb a címzettet, például elég rosszul veszi ki magát, ha a barátok helyett péntek délutáni "a munkahely nem kocsma, hogy állandóan ott legyünk, indulok is haza" üzenetünk a munkatársaknál, főnököknél landol.

Állítsuk be a "Beállítások ->  Adatvédelem Beállítások -> Profil menüpont" alatt, mit engedélyezünk

A beállításokkal elvileg meghatározhatjuk, kinek és mibe engedélyezünk belelátást. A lehetséges választások a csak a barátok, a barátok és csoportjaim, a barátok barátai, és a mindenki között mozoghat. Sajnos az alapértelmezés gyakran a bátor megosztás, így ha valaki lusta, figyelmetlen, vagy csak mert megijed a huszon-egynéhány opció szerkesztgetésétől, az minden mozdulatát, mondanivalóját kisugározza a Világegyetemnek

Mit oszthatnak meg rólunk az ismerősök
Érdemes az "Adatvédelmi beállítások -> Alkalmazások és Weboldalak" résznél korlátozni az "Információk, melyeket ismerőseid alkalmazásokon és weboldalakon keresztül tudnak megosztani rólad" opciókat. Van itt állapot frissítés, online jelenlét, vallási és politikai nézet is. Ha valaki éppen politikusnak készül, és a megfelelő imázst akarja magáról kisugározni, akkor persze kipipálhat itt mindent, de valószínűleg az átlag felhasználónak erre nincs szüksége.

Minden egyes alkalommal, ha például a 83 millió virtuális farmer valamelyike a FarmVille mezőgazdasági szimulációs játékkal, vagy a MaffiaWars-szal játszik, megengedi, hogy letöltsék a profilját és továbbadják az adatait egy harmadik félnek. Az ismeretlen harmadik féllel pedig semmilyen szerződéses viszonyban nem vagyunk.


Rendelkezzünk körültekintően a fotóalbumaink megtekinthetőségéről
Érdemes gondolni arra, ha családi vagy nyaralási képeket töltünk fel, akkor szabályozzuk azok megtekinthetőségét. Itt személyre, vagy csoportokra bontott lehetőségek között lehet választani. Ha ezt nem tesszük meg, olyasfajta kellemetlen élményekre ébredhetünk, mint a választási kampányban némely politikus. Egyre több kamera egyre több felvételt készít egyre több fiatal részegeskedéséről. Az idő múlik, és tisztes családapaként nem hiányzik egy rosszakaró, aki kettétöri karrierünket fiatalkori botlásunk miatt. Véssük az eszünkbe, az adatok a legnagyobb biztonságban akkor vannak, ha egyáltalán fel sem töltjük őket.

Ki láthatja a kommenteket?
Azt is be tudjuk állítani, látszódjanak-e a kommentek az összes ismerősünk üzenő falán. Külön beállítható, hogy a kommentjeink, vagy "lájkjaink" a fotóknál, üzeneteknél, linkeknél, videóknál láthatóak legyenek-e mindenki számára, vagy sem. "Ügyelj, hogy senki se lásson át rajtad teljesen, mert a találgatás és kétség, vajon mennyire vagy képes, több tiszteletet kelt, mint szellemi kincseid pontos ismerete, bármily nagyok is legyenek azok." (Gracián)

Hirdetések, broáffff
Érdemes a Fiókbeállítások - Facebook Hirdetések menüpontnál az "Engedélyezem, hogy a főoldalakon rólam szóló hirdetések jelenjenek meg az alábbi személyek számára" pontnál a "csak az ismerőseim" helyett a "Senki"-t választani. Bár a kedves fülszöveg arról tájékoztat, hogy a Facebook soha nem adja át a felhasználók nevét és fotóit harmadik reklámozó félnek (muhahaha), de Mózes tábláival ellentétben ez itt nincs kőbe vésve, és bármikor egyoldalúan megváltozhat, például "Csak akkor, ha ezért cserébe x csillió dollárt kínálnak"-ra.

Volt egy Fan Check nevű Facebook alkalmazás is, amely elméletileg profilunkon keresi meg, hogy mely ismerősünk írt/kommentelt a legtöbbet a dolgainkra. Ehelyett azonban a kezdőlap összezavarását és egyéb káros mellékhatásokat lehetett tapasztalni


Az online paraszt nem kérkedik, nem fuvalkodik fel, nem viselkedik bántóan
Szinte hihetetlen, de még a gazdasági válság alatt is sokan vannak, akik megkockáztatják, hogy játsszanak munkaidőben a munkahelyi gépükön, ráadásul a napi öt aratásról folyamatosan küldik az értesítést barátaik, ismerőseik, főnökeik felé. Emelje fel a kezét, aki már legalább végignézte a Facebookon a "Profilom - Adatvédelmi beállítások - Alkalmazások és Weboldalak" idevágó lehetőségeit. Huh, senki? Nos akkor elmondanánk, van itt egy "Események az alkalmazásokban és a játékok kezelőfelületein" opció is, érdemes lehet beállítani a "Testreszabás - Csak én" opciót. Íme egy elrettentő példa. 2010 márciusában kirúgták egy bolgár város önkormányzatának egyik tagját, mivel a költségvetés tárgyalása helyett inkább virtuális tehenét fejte a Facebook népszerű, FarmVille nevű játékában, és pechére ezt mások is észrevették. Vajon mit nem állított be az illető?

Állítsuk be részletesen a kereshetőségünket
Lehetőség van beállítani az Adatvédelem -> Keresés menüpontnál, mi látszódjon. Nyilván adatvédelmi szempontból az a legrosszabb, ha minden publikus a fotóktól kezdve ismerőseink listáján át azoknak az oldalaknak a listájáig, amelynek rajongói vagyunk. Tartozik ez tényleg másra?

Csoportokhoz csatlakozunk

Vegyük górcső alá a csoportok, fan klubok kérdését. A klasszikus Shakespeare idézet szerint ezt mondja Polónius: "No lend, and no borrow" (Arany János veretes fordításában "kölcsön ne adj, ne végy!"). Ha Polónius ma élne, intelmei között biztosan szerepelne valami ilyesmi is: "És közösségi oldalakon vala ne csatlakozzál te semminemű ismretlen csoporthoz, mert sosem tudhatod vala, mily szándékú halandók valának annak tagjai, és idővel milyen czélokat fognak követni". Van-e értelme egyáltalán ismeretlen klub tagjának lenni? Mi is történik ilyenkor, nézzük meg. Belépünk a Dr. Schön Ubul Ferencvárosi Szurkolói Körbe, vagy az “Új Élet” Koporsókészítő Kisipari Szövetkezet Barátai közé és nem tudjuk pontosan, kié a klub. Nem tudjuk, kik a tagjai. Mi Róbert bácsiként önként odaajándékozzuk nekik a bizalmas személyes adatainkat. Nem tudjuk, milyen adatkezelési irányelveket vallanak magukénak, ha egyáltalán hallottak ilyesmiről. Nem tudjuk, milyen körülmények között tartják nyilván az adatainkat. Nem tudjuk, eladják-e harmadik félnek, ha kapnak egy jó ajánlatot. Nem tudjuk, nem lopják-e el egyszer tőlük, mert abc123 típusú jelszót választott magának a klubelnök.

Lehet persze csak névvel és egy darab fotóval is fent lenni, és közben okosnak gondolni magunkat. Nem árt tudni azonban, hogy amikor a Facebook eladhatja az adatainkat, akkor annak csak egy kisebb része az esetleg nem kitöltött személyes adat. Ennél is érdekesebb és értékesebb lehet a kapcsolati háló, az üzeneteink, és rendszerbeli viselkedésünk, eddigi kattintásaink története.


Ugyan mit árthatnak nekem?

Ideje leszámolni az "Én egy egyszerű hétköznapi ember vagyok, ugyan mit tudnának nekem ártani a számítógépes bűnözők" című téveszmével. Meglepő módon azt is mondhatjuk, csatlakozni egy Facebook csoporthoz kockázatosabb, mint egy direkt linken érkező kártevőre kattintani. De miért-e nagy maliciózus kijelentés? Íme példaként egy olyan Facebookos csoport, amelyik eredetileg magasztos és pozitív célok érdekében alakult: a Haiti földrengés áldozatainak gyűjtöttek adományokat. Csalók azonban megváltoztatták csoport nevét Svéd Nekrofilek Egyesületévé, sőt még egy üzenetet is kiírtak a csoport weboldalára: "Ahogy mindnyájan tudjátok, a Svéd Nekrofilek Egyesülete 500 ezer koronát adományoz arra a célra, hogy a Haitiról visszahozott holttestek minél jobb állapotban legyenek, hogy közösülhessünk velük". Egyáltalán nem vicces a dolog, és valószínűleg senkinek nem hiányzik, hogy a nevét leendő munkaadója egy ilyen tömörülésben találja meg. Egy érdekes felmérés szerint az amerikai személyzetisek 70%-a utasított már el állásra jelentkezőt amiatt, hogy negatív lett a közösségi oldalakról begyűjtött információ a jelöltről. Figyelemreméltó naivság, hogy ennek ellenére a leendő álláskeresőknek mindössze csak a 7%-a gondolja úgy, hogy ezek az adatok egyáltalán befolyásolhatják a pályázatukat.

Ki van a túloldalon?
Egy 2008-as tanulmány szerint a Facebook-profilok negyven százaléka nem valódi. Valószínűleg bűnözők regisztrálnak már eleve csalási céllal. Ha valakinek ezernél is több barátja van, vajon ismerheti személyesen mindet? Tom Scott elkészített egy olyan Evil nevű demonstrációs alkalmazást, amellyel felhasználók telefonszámait gyűjtötte ki egészen könnyedén. Hányan lehetnek, aki ötletszerűen telepítenek ismeretlen Facebook alkalmazásokat? Vagy kattintanak egy olyan linkre, amit egy ismeretlen Facebook partner küldött. Egy új oldalon aztán újra be kell lépni egy Facebook oldalhoz megszólalásig hasonló oldalra, egy óvatlan kattintás után azonban kikerülhet a jelszavunk. A feltört fiókok pedig hasznosak lehetnek a bűnözőknek további látszólag ismerősök nevében küldött csaló pénzgyűjtő üzenetekhez. Magyarán az ember a postafiókjára nem csak saját maga miatt, hanem ismerősei védelme miatt is kell, hogy vigyázzon.

Egy olyan biztonsági elem is található a Facebookon, amellyel a Gmailhez hasonlóan kézben tarthatjuk, milyen IP címről jelentkeztek be legutóbb fiókunkba. Kérhetünk emailes riasztást az esetleges idegen belépésről.


A csalóknak három dolog kell: pénz, pénz és pénz
Mire lehet használni ilyen személyes adatokat? Hát először is lehet szipkázni olyan infót, amivel jól válaszolhatunk a jelszó-emlékeztető kérdésekre. De új típusú csalások is terjedőben vannak, például a személyes lapról kinézett barátok nevében Facebook üzenetet írnak az áldozatnak, hogy állítólag elvesztették a reptéren a mobiljukat, útlevelüket. A feltört fiókok így jól felhasználhatóak csalásra. Látszólag az ismerős nevében lehet üzenetet küldeni a barátoknak: „Hello, Londonban vagyok, ellopták a pénztárcámat, tudnál nekem pénzt küldeni?” Több alváltozat is ismeretes, de a lényeg, gyorsan egy kevés pénz segítséget szeretnének kérni, általában a Western Unionon keresztül. Ha valaki pedig segítőkész és bedől, keresztet vethet az ilyen átutalt pénzre. És mindig lesz, aki küld. Nyilván nem lehet figyelmen kívül hagyni a magyar felhasználókat sem, körülbelül 1.3 millióan lehetnek, és egy részük beszél angolul, vannak külföldi barátaik, ismerőseik.

"Dolgozzál te hélóta, mert jönnek a spártaiak" Vegyük észre, az internet világában nincsen undo. Ha valaki melegfelvonuláson vett részt, pornósztárként kereste a betevőt, füvet szívott, vagy a Kék Osztriga Bár törzsvendége volt és erről képek is készültek, akkor azok szépen elő is fognak kerülni a megfelelő pillanatban: ha választások közelednek, vagy egy állás sorsa forog kockán. Külön üzletág lett a lejárató információk megrendelése, bányászata.


Facebook accountot adok-veszek
A VeriSign kutatói egy olyan weboldalra bukkantak, amelyen akár másfél millió, lopott Facebook felhasználónév és jelszó is könnyűszerrel beszerezhető. A Facebook - és a többi hasonlóan népszerű közösségi webhelyen - iparággá vált az adatlopás és az adatokkal való visszaélés. Ezt támasztja alá a VeriSign bejelentése is, amely szerint egy cracker különböző internetes fórumokon nem kevesebb, mint 1,5 millió lopott Facebook felhasználónév és jelszó értékesítésébe fogott. A biztonsági cég szerint nem is sikertelenül, hiszen a bizalmas adatokból már közel 700 ezer el is kelt. De a 2010 júliusban kikerült 100 millió Facebook felhasználó adataira is sokan rámozdultak a cégek és szervezetek közül.

Alkalmazásokat telepítünk, jujj de izgi
Volt aztán egy Fan Check nevű Facebook alkalmazás is, amely elméletileg profilunkon keresi meg, hogy mely ismerősünk írt/kommentelt a legtöbbet a dolgainkra. A gyakorlatban ehelyett azonban a kezdőlap összezavarását lehetett tapasztalni, és nem mindig jelenítette meg az új postokat sem, néha régieket tett előre, stb. Összefoglalva: "Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van." Nem egyedi eset a Fan Check, divat lett a dologból a Facebook kiegészítők háza táján, és ezekből a kártékony kisalkalmazásokból egy egész csokorra valót nevez meg Roger Thompson, az AVG szakértője. Néhány hónapja keletkezett egy vakriadó a Facebookon, amiben arra hívták fel a figyelmet, ha valaki egy "unnamed app", magyarul névtelen alkalmazás nevű holmit talál magánál, akkor azonnal törölje, mert az állítólag kémprogram. Persze nem az, de az már az ötletgazdák képzelőerejét dicséri, hogy a Google találatok kártevőkkel való mérgezésével rákészültek a szituációra, ha az egyszeri Facebook juzer rákeres az "facebook unnamed app" kulcsszóra.

Temérdek különböző adatvédelmi beállítás. Van akit ez elriaszt attól, hogy egyáltalán állítgasson bármit is. És az alapértelmezett állapot rendre "igen, az egész Univerzummal meg akarom osztani" opció. A sűrű cikkezés hatására talán végre elindult egyfajta öntudatra ébredés.


Száz barát négy nap alatt
Nem mindenki az, akinek mondja magát - ehhez még Arsene Lupin rajongónak sem kell lenni, mindenki megtapasztalhatta már. Emberünk gondolt egyet, hamis néven beregisztrált a Facebookra - de megtehette volna bárhol máshol is - és összeállított egy kamu adatlapot. Kellett hozzá egy új e-mailcím, majd jött a hasraütésszerű keresztnév választás - valami jól csengő, hangzatosra volt szükség - és ezt keresztezte aztán a blogjában használt álnevével, és máris megszületett Dolus Carlsson. Aztán kell még egy vonzó fotó - esetünkben ez Marcus Vick, 183 cm magas, 93 kg-os amerikai profi footballistát ábrázolja, de sebaj ;-), és máris lehet töltögetni az adatlapot. Egy-két véletlenszerűen kiválasztott egyetem, középiskola, klub  bejelölése csodát tehet. Máris indulhat a "Kit ismerhetek?" című népi játék. Az első harminc perc nehezen akart eltelni, de végül szép részeredménnyel zárult: tíz "barát" megszerzése volt a skalp, megtört a jég. Innentől már olyan ez, mint a kitüntetések száma Brezsnyev mellkasán: akinek már van, az minden piros betűs ünnepen kap egy újabbat, csak a legelsőt olyan pokoli nehéz megszerezni. Alig négy nap leforgása alatt ennyi ismerősre lehetett szert tenni. Itt még csak nem is arról van szó, hogy valaki nem ismer minket és téved, amikor azt gondolja, mégis ismer, hanem ez a profil egy a valóságban nem is létező személyről szól, és mégis vannak ismerősei. Igen, vannak, és akiknek ugye Dolus Carlsson például már láthatja is a részletes adatlapját. És a statisztikák keményen azt mutatják, hogy az ismerősöktől érkező levelekre, üzenetekre, linkekre aztán már sokkal könnyebben kattintanak az emberek.

Egy social engineering-kísérlet a Facebookon. Egy hamis profil, nem létező adatokkal, egy élvonalbeli sportoló képét kölcsönözve három nap alatt több mint száz „barátot” eredményezett. Vajon mi járt a kapcsolatként megjelelő emberek fejében? Az biztos nem, hogy mostantól az új „ismerős” akár beláthat a személyes adatlapjukba is


Sarah Palin postafiókja
Már a Sarah Palin email fiók feltörési esetnél látszott, nem célszerű ész nélkül minden személyes adatot túlzottan ki tacepaozni a közösségi oldalakra. Mi is volt ott a probléma? A módszer nem feltörés, nem jelszó találgatás volt, hanem új jelszó igénylése. A születési hely és idő megszerzése nem okozott gondot, a titkos ellenőrző kérdés pedig az volt, hol ismerkedtek meg a férjével. A dolog érdekessége, hogy erről is beszélt már nyilvánosság előtt - és ez egy középiskola neve volt. Innentől már meg is volt oldva a dolog. A Sophos érdekes párhuzamot vont - és nagy valószínűséggel igaza is van - a korábbi Paris Hilton PDA telefonjával és feltört mailboxával kapcsolatosan. Ott az ismert celeb (brrr, de szörnyű egy szó ez) kedvenc állatának neve volt a jelszó emlékeztető kérdés. Az ismert és kevésbé ismert embereknek komolyan el kellene gondolkodniuk, érdemes-e olyan adattal védeni bármit is, amit a búlvárlapok lapok hetente megírnak, vagy valaki önként kiplakátolja az IWIW-es lapjára. Ez kb. olyan szimpla akadály, mintha Kiszel Tünde jelszava "Donatella" lenne. Persze sok helyen van lehetőség saját ellenőrző kérdést írni - ezt érdemes is kihasználni -  ezekben is alkalmazni lehet a fenti okosságot, ez pedig jócskán csökkentheti a találgatási lehetőségeket. Hogy hívják a kedvenc tanárodat? Csütörtök - hangzik a válasz, és ez egy jó válasz. Melyik kórházban születtél? Lekváros palacsinta fahéjjal.

Itt vagyok, most fordulok be a sarkon...
A Pleaserobme.com honlap egészen érdekes dolgot mutat meg: nagyon sokan interurbán realtime közvetítésként osztják meg életünk minden apró rezdülését a nagyérdeművel. Az általuk  mellékelt keresési javaslattal élve magunk is meggyőződhetünk arról, hogy éppen ebben a pillanatban is milyen sokan közlik a pillanatnyi helyzetüket. Nem kell GPS vagy okostelefon póráz a munkaadónak, de a betörők is minden bizonnyal örülnek az ilyen nüanszokra kihegyezett részletes online közvetítésnek, mert frankón látszik, hogy lesz még idő kivinni a plazma Tv-t is a teherautóba. Pláne, ha még a "nyaralni mentünk Mallorcára, hurrá" kezdetű blogpostot is olvasták.

Ha vásárolunk egy új kamerát vagy telefont, az úgynevezett extrák közt szerepelhet olyan funkció, amivel "egy kattintással" megoszthatunk képeket, videókat. Szerintünk ez nem hogy nem extra, hanem inkább hátrány: egy óvatlan vagy véletlen kattintással egy soha nem törölhető tartalmat is feltölthetünk


A wifi kapcsolatom neve: Dr Kovács III. 2.
Szóval nem éppen praktikus dolog ilyen percre kész üzenetekkel részletesen beszámolni pillanatnyi helyzetünkről, ez szinte felhívás keringőre, gyere és törjél be hozzám. Aztán a wifi kapcsolatokról szóló elmélkedéseink közben is felmerült, ha már neten gyerekjáték elérni az összes hálózati eszköz gyári jelszavát, akkor az "okos pilóta alagútban nem katapultál" mintájára kevésbé szerencsés alapértelmezetten hagyni a jelszót, vagy Dlink, Linksys, Dr. Kovacs III.2. neveket adni a WiFi kapcsolatunknak. A legjobb valamilyen semleges (txk15), vagy az üres, de láttunk már a belvárosban "Vége az ingyen netednek te kecsege" nevet is. Az antivírusokkal kapcsolatban is van pár elgondolkodni való. Ebből az egyik érdekesség, mennyiben hasznos a különböző AV cégek bevett gyakorlata, amely referencia listákat tesz közzé a weboldalán, ezen ügyfeleink használják a mi megoldásunkat. Mint az közismert, minden etikus hackelés (penetration teszt, audit de a valódi rosszindulatú célzott támadások többségénél is) úgy kezdődik, hogy első lépésként feltérképezik az adott cég infrastruktúráját, hálózatát, az interneten elérhető publikus konkrétumokat. Ahogy az Aurora eset kapcsán is írták: "kiválasztják célpontjukat és alaposan tanulmányozzák azt: utánanéznek milyen és mennyire sebezhető alkalmazói programokat futtatnak a cégnél, mely gyártó(k) vírusvédelmét alkalmazzák, hogy azok megkerülésére kézzel tuningolt, "láthatatlan" támadó-kódot (ún. exploit-ot) és kártevőt készítsenek". Látható, hogy egyáltalán nem előny ilyenkor, ha mindent biztosan lehet tudni, hiszen ezzel muníciót szolgáltatunk arra nézve, milyen válogatott exploitokat érdemes keresni egy esetleges támadáshoz.

Emberek, figyelem, én az xy antivírust használom ám
Hasonló a helyzet amikor a levelezésünkben szerepelnek azok a záró sorok, hogy az XY antivírus 123456 adatbázissal ellenőrizte ezt a levelet. Ha ez minden kimenő levelünkben szerepel, ezzel is felesleges információkat osztunk meg mindenkivel. Az ingyenes antivírusoknál valószínűleg mindez nagyobb gondot okozhat, ha a nyilvánosságra került sebezhetőség és az azt befoltozó biztonsági javítás reagálási sebességét nézzük. De még a fizetősök esetében is gondolkodhatunk úgy, nem kell a ház homlokzatának vagy a kerítésének hivalkodónak lennie, elég ha mi tudjuk milyen biztonságos és szép a lakásunk belülről. Sokan "nem gondolták úgy", hogy az ilyen talkative magatartásból bármilyen hátrányuk származna, ezért sokan szórják ezt az alapértelmezetten bekapcsolt opciót minden címzettjük számára. Összefoglalva: dolgozzon csak meg a betörő, feltörő, ha akar valamit, ne mi nyújtsuk a fejünket tálcán. Amikor amúgy is túl sok adatot tárolnak rólunk mindenfelé, mi magunk ne könnyítsük meg ezt. Másképpen fogalmazva ahogy Moldova György írja: "a saját akasztásunkra ne vigyünk kötelet, legyen a hóhérnak is valami rezsije".

Lekáderezés for Dummies
Ha valaki megnézte a Kaméleon című magyar filmet, az azt is el tudja képzelni, hogy a következő áldozatot behálózni akaró, behízelgő modorú sármór először a Facebookon néz körül: mit szeret a kiválasztott célszemély, operát, kiscicát, Horvátországot, hogy lehet a közelébe férkőzni, mik a kedvenc témái, milyen közös ismerőst kell behazudni a siker érdekében, stb. Egy igazi aranybányát talál itt. Az ilyen kutakodás elleni védekezésnél komoly előny, ha valakit Kis Pálnak, vagy Kovács Józsefnek hívnak. A név gyakoriságból adódóan viszont egy Hagyó Miklósnak, vagy egy Ottlik Lilla Leának már nincs ekkora szerencséje, különösen ha előzőleg önként fel is töltöttek fel magukról, családjukról, sőt teljes családfájukról egy rakat személyes információt nyilvános weboldalakra. Emellett nagy kérdés, hogy közösségi oldalüzemeltető ezekből a részletesen információkból előbb vagy utóbb nem fog-e pénzt csinálni? Vajon tényleg megtörténhet ilyen?

Jó néhány alkalmazás jelent meg, amelyekkel ellenőrizni lehet az adatvédelmi beállításokat, például Reclaim Privacy, vagy a Facebook Privacy Check. A tömeges felzúdulás miatt várható, hogy előbb-utóbb itt is megjelennek majd a hamis antivírusok mintájára a hamis beállítás ellenőrző alkalmazások.


Az üzemeltetők erkölcsi érzékének diszkrét bája
Ehhez elég volt elolvasni az "Újabb Facebook-botrány: felhasználói adatlapokat küldenek a hirdetőknek" című cikket, és máris meghökkentő hozzáállást láthattunk a Facebook részéről. Egyértelműen beazonosítható felhasználói adatokat ugyanis nem szokás, sőt kifejezetten etikátlan továbbadni a hirdetőknek. A kérdés, hogy milyen erkölcsi aggály tarthatna vissza egy olyan Mark Zuckerberget, aki a hírek szerint már az induláskor az egyetemi adatbázisba betörve szerezte meg a szükséges kezdeti személyes adatokat. Jelenlegi vagyonát mintegy 4 milliárd dollárra becsülik. Bár ez nem menti fel a felelősség alól, de nem árt tudni, hogy ilyen szemérmetlen személyes adatok hirdetőknek való eladására más közösségi oldalak is vetemedtek már, például a MySpace, a Digg vagy a Hi5. "Természetesen mindenkinek joga van kényelmetlenül érezni magát, hiszen a Facebook modelljében a felhasználó nem fogyasztó, hanem maga az áru, amit a cég valódi fogyasztóinak, a hirdetőknek ad el." - írja a Webisztán nagyon találóan.

Profilt építenek belőlünk
Statisztikusokat, elméleti matematikusokat alkalmaznak a biztosítók is. Korábban a piros színű, fővárosi illetőségű, 20-30 év közötti férfiak által vezetett gépjárművek biztosítási díját akarták beállítani a legmagasabb biztosítási díjra. Ha valakinél árvíz kár volt, és sokba került, akkor meg nem szeretnek vele a továbbiakban szerződni. Sok-sok éve dolgoznak már nekik a szakemberek, nem nagyon lehet olvasni olyat, hogy egy biztosító veszteséggel zárt volna.
http://www.elemzeskozpont.hu/content/komoly-nyeres%C3%A9ggel-z%C3%A1rta-2009-es-%C3%A9vet-az-allianz%E2%80%A6
http://www.vg.hu/penzugy/nem-csokkent-a-biztositok-nyeresege-az-elso-negyedevben-279938
http://www.euroastra.info/node/38172
http://hvg.hu/gazdasag/20090514_union_Erste_profit

 

Profilt építenek belőlünk part two
Sajnos mindenki "az én csak egy hétköznapi átlagember vagyok, nincsenek értékes titkaim" téveszmében él, és ontja a muníciót magáról. Aztán meglepődik, ha ráuszítják később a kompromittáló kommandót, vagy kellemetlenül érinti, ha matematikus-statisztikus szakemberek profilokat építenek, ki kire fog szavazni nagy valószínűséggel a következő választáson, milyen biztosítást érdemes a nyakába sózni, stb. Amerikában már komoly kutatások folynak, és a ruha márkákból, az autó típusból, a cigaretta fajtából, és további jellemzőkből próbálják megjósolni, demokrata vagy republikánus szavazóként lehet-e azonosítani valakit pusztán a begyűjtött adatai alapján.

A cégek imázsuk, rajongói klubjaik építése során olyan kétes eszközöket is bevetnek, mint a bérkommentelők alkalmazása, rendszeresen lehet ilyen állásajánlatokat találni a freelancer.com oldalon.

De a rajongói klubok építése, imázskialakítás is komoly üzleti tényező, a fanpagelist.com oldalon például egyes üzleti márkák, politikusok, sportolók pillanatnyi helyzetét lehet figyelemmel követni. Így az sem meglepő, hogy a cégek olyan kétes eszközöket is bevetnek, mint a bérkommentelők alkalmazása, rendszeresen lehet ilyen állásajánlatokat találni a freelancer.com oldalon. Érdekes módon a népszerűségi listát a Texas Hold'em Poker rajongói klub vezeti közel 22 millió taggal, de Lady Gagának is van 7 millió. Olyan neveket is találunk itt, mint Dr. House, Coca Cola, Vin Diesel vagy Barack Obama. Az is jól látszik, hogy napi több ezren csatlakoznak folyamatosan a legnépszerűbb kluboldalakhoz.
http://nymag.com/news/features/51170/
http://www.fanpagelist.com/
http://index.hu/tech/net/2010/05/28/rabszolga_voltam_az_orosz_internetmaffiaban/

...folytatjuk...

· 1 trackback

A bejegyzés trackback címe:

http://antivirus.blog.hu/api/trackback/id/tr472197910

Trackbackek, pingbackek:

Trackback: https, üvegfal, átlátszó. 2011.07.14. 00:10:25

  -- alapvetően csak idézgetek egy szupertrendi/hiper-cool nagyvállalati szoftverről szóló cikkből [Girnt József cikke, ld lejjebb a linket] -- "a kiemelt felhasználók, ha régebben nem is mindig, de ma már kizárólag titkosított protokolloko...

Kommentek:

A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben.

flegman · http://usazzunk.blog.hu/ 2010.08.04. 19:41:54

hónapokkal ezelőtt leléptem faszbúkról. I rule!

Higany 2010.08.04. 19:46:31

A poszt hatására újból átfésültem a beállításaimat, amit egyébként rendszeresen megteszek. Ismét rá kellett döbbennem, hogy időnként átállítódnak az adatvédelmi beállításaim, pl a képeimnél egészen biztosan nem volt beállítva "mindenki", mert ez volt az első amit átállítottam. Nem először.
Továbbá az "Adatvédelmi beállítások/Alkalmazások, játékok és honlapok / Nem kívánt és levélszemetelő alkalmazások Eltávolítása" pont alatt ugyan ki lehet jelölni eltávolításra az összes alkalmazást, de egyszerre az összeset nem hajlandó törölni. Úgy csinál, de végül kitöröl mondjuk 8-10-et.

Higany 2010.08.04. 19:49:57

Elszállt a kommentem, a lényeg, hogy célszerű gyakran, heti rendszerességgel ellenőrizni az adatvédelmi beállításainkat, mert tapasztalataim szerint önálló életet élnek.

(II. Torgyán Виктор) THY Rokk *n* Troller 2010.08.04. 20:37:39

"Emberek, figyelem, én az xy antivírust használom ám"
Kedves Rambo! A munkahelyed által képviselt irtó alapértelmezésben fűzi a levelekhez. Egyszeri júzer képes órákat keresni, mire letiltja a funkciót.

Elnézést az off-ért!

Oknyomozó 2010.08.04. 21:07:39

Gratulálok és köszönet.
Soha nem voltam és most sem vagyok tag az IWIW-en és a Facebookon. De a vérem nem tudom megtagadni, ezért végigolvastam.
Küldöm a feleségemnek, hadd okosodjon.
Akikről szól, sajnos azok az otthoni, munkahelyi gépeikkel is hasonlóan körültekintően bánnak.
Jelszó az asztalon egy papíron, leginkább a nem ajánlottak listájából az első 100-ból.
Csak gondolom, (mivel nem találkozom velük) hogy az újság és a híradó is fölhívta az unokás pénzszerzési trükkre a figyelmet, mégis bedőlnek neki az emberek.
Egy újszülöttnek minden vicc új.
Ennyi újszülött azért nincs.

T1GRIS 2010.08.04. 21:09:25

"Korábban a PIROS SZÍNŰ, fővárosi illetőségű, 20-30 év közötti FÉRFIAK biztosítási díját akarták beállítani a legmagasabb biztosítási díjra."

:))))))))))))))))))))))))))))))
Gondolom, ez volt a check, hogy ki olvassa el végig a cikket. :D

peetmaster · http://nemdohanyzom.blog.hu 2010.08.04. 21:09:34

azt nem lehetne, hogy azt tegyük lehetetlenné, hogy bárki anonim módon gyűjtsön adatot? Mondjuk halálbüntetés terhe mellett.
Félni sokkal rosszabb, mint megijedni.

T1GRIS 2010.08.04. 21:13:54

Ja, amúgy természetesen kurvajó, hiánypótló és köszönet érte!

(Egyetlen megjegyzés: ha már előre szabadkozol a terjedelem miatt - mert lássuk be tényleg hosszú (viszont majd' minden szava arany) -, akkor érdemes még szigorúbban húzni a cikket, mint egyébként; ld. első három bekezdés + képalá).

twollah / bRoKEn hOPe, sUppLeX · http://freewaresoftwarenews.blogspot.com/ 2010.08.04. 21:16:35

Hala az egnek a leheto legkevesebb adatot adtam meg a Facebookon.
Az iWiW-en meg mar reg ota alneven vagyok fenn.
Ez utobbi annak koszonheto, hogy sacc 1 perc alatt kiturta vki az osszes adatom az iWiW-rol egy mailcim alapjan.

atko 2010.08.04. 21:22:10

Csak az * betűket olvastam el és így is értem a a cikket!
Konklúzió. töröljük az ABC-t! Így a rosszindulatú embereknek is nehezebb dolguk lesz!
Szerintem felesleges a közösségi sájtok biztonságával foglalkozni, mert a nem létező dolgok nem lesznek attól, hogy beszélsz róluk. Akinek fontos, hogy tudják róla mikor fingot, az áldozza fel a biztonságot a fingásért. Aki meg kicsit okosabb, az nincs is érintve az über hosszú biztonsági szövegfolyás miatt.
Éljen a nyár!

b. á. 2010.08.04. 21:28:06

Szerintem a gyakran elhangzó téves érvek közül az egyik legostobább, hogy "lelépek és akkor nem találnak meg". Hát nem, használni kell, viszont ésszel
- én beszigorítottam már a kezdetekben, korábban olyan mailcím volt hozzárendelve a profilomhoz, amit rajtam kívül más nem is tudott, stb. így pl. jelszó helyreállító tokennel sem lehetett volna törni az e-mail lenyúlásával
- én tartalommegosztásra és olvasásra használom a FB-t. Ergo, ha egy ismerős debil, minden szarra kattint, hülyeségeket ír ki, törlöm a gecibe.
- Ha valakiről tudom, hogy úgysem osztana meg értelmes információt, hiába jelölt ismerősnek, szintén visszautasítom a gcibe'. Esetleg még egy ban-t is kap, hogy ne jelölhessen újra, ne is lássam. Másik megoldás, hogy attól, hogy valaki az ismerősöm, pontosan annyit lát, mintha nem ismerne, amíg kézileg nem tettem egy csoportba és kimondottan ahhoz a csoporthoz vannak rendelve a láthatósági jogosultságok.
- Ha egy kicsit kiegészíthetem a posztot – vajon mennyien tudják, hogy ha lájkolnak egy oldalt vagy belépnek egy csoportba, akkor egy "network"-be tartoznak majd a tagokkal, ennek megfelelően akikkel azonos csoportba tartoznak, azok úgy látják az adataikat, mintha az ismerősük lenne? /*pontosabban régebben még így volt*/
- Végül, ha szabad, dobnék ide két linket, ami pár – nem is túl kackiás – forgatókönyvet vázol azzal kapcsolatban, hogy hogyan férhetők hozzá mindenféle bug kihasználása nélkül az olyan adatok, amikről a felhasználók azt hitték, hogy pontosan szabályozva vannak:
bardoczi.blog.hu/2009/12/09/facebook_adatvedelem , bardoczi.blog.hu/2009/12/10/facebook_2_01 valamint bardoczi.blog.hu/2009/12/11/uj_fb_privacy_lehetoseg_stilusosan_eldugva

Csizmazia István [Rambo] · http://antivirus.blog.hu 2010.08.04. 21:29:05

Szia TIGRIS!

Bár én nem vagyok piros színű, meg budapesti sem, de javítottam, köszi, hogy szóltál :-)

Terjedelem ügyben meg én húzom magamnak, és ez kb olyan hatékony, mintha saját magamnak adnám át a nokiás dobozt. De az már szentigaz, hogy tényleg arany minden szava ;-)

b. á. 2010.08.04. 21:29:19

Ehh!!

tudtátok, hogy a bloghú a bitly hivatkozásokat kibontja? Én eddig nem tudtam.

Csizmazia István [Rambo] · http://antivirus.blog.hu 2010.08.04. 21:31:07

@peetmaster:

Hát ez a totális tiltás nem menne szerintem, nézz vissza pár hónapot, hogy belistázták a pártok például a szavazókat, azaz minket. Lenne jobb ötletem, miért járjon inkább halálbüntetés...

Csizmazia István [Rambo] · http://antivirus.blog.hu 2010.08.04. 21:41:15

Kedves b.á,

Jók a linkek, és tényleg sajnos sokaknak csak a subba, puruttya debütálás után van AHA élménye. A beállítások azonban nem csak túlbonyolítottak, hanem folyamatosan átszerveződnek és átállítódnak.

Azért ha próbaképpen Zuckerberg anyjukáját betennénk a víz alá egy búvárharangba, csak egy nagy levegőt vehetne, és azalatt kellene Marknak jól beállítania a privacyját, akkor rögtön át tudná tervezni a felületet. De nekünk gyökereknek, vidékre addig így is jó lesz ;-)

T1GRIS 2010.08.04. 21:42:31

@Csizmazia István [Rambo]: Igen, én is így gondoltam a húzást, és ismerem a nehézségeit. :) Magamról tudom, hogy baromi terjengősen írok, úgyhogy mindig egy SS tiszt mentalitásával kell végigmennem egy cikken, ha már átlép egy kritikus hosszt. És még így sem mindig sikerül. :)

Chaoyang · http://xiongyali.blog.hu 2010.08.04. 23:37:32

Erdekes, 3 eve amikor beleptem a Facebookra, nem voltak napirenden ilyen adatvedelmi problemak.....

Egy dolgot hianyolok a Facebookrol.. egy teljes backup lehetoseget a profilomrol... anno ket napig csak a profil boxokat rendezgettem, tokeletesre sikerult, az info oldal is, azota szazaval vannak fent kepek, nem orulnek ha elszallna a szerveruk es nekem nem lenne semmi backup-om... Szerintem javasolni kene nekik.

Gépember · http://gepembernaploja.blog.hu/ 2010.08.05. 11:43:35

@Csizmazia István [Rambo]:

Gratulálok a cikkhez.

Viszont aki ezt végigolvassa, minden szavát érti, sőt, fel is fogja, az már nem 1.0-ás felhasználó.

A téma végtelenségig elemezhető, Te nagyon alaposan elkezd(t)ed körüljárni. Az átlag felhasználó számára - ha végig is olvassa - túl sok és túl összetett információ van a cikkben.

Javaslom, hogy vázlatosan 5-10 pontban írd össze (pl. a cikk végére), hogy mire figyeljenek a felhasználók az adott oldal(ak)on.

Idéztelek, és megtoldottam egy személyes tapasztalattal is.

manson karcsi · goo.gl/FVvVX 2010.08.06. 19:22:10

valahogy így kellene kinéznie a beállításoknak: noob.hu/2010/08/06/faszbuuk.png
az a baj, hogy ez kb 15-20 perc. az egypontnullás júzer pedig leszarja. de nem baj, az internet nem felejt, "dumb fuck"-ok meg mindig is lesznek.

msdng · http://barikad.hu 2012.08.10. 00:15:39

szerintem is voltak, vannak bérkommentelők, másként nézvést ép ésszel felfoghatatlan hogyan lehet valaki még mindig mszp-s vagy akár fletó-fan xD