Az alábbi linken olyan algoritmusokat lehet közvetlenül a böngészőben kipróbálni, amelyek két közösségi hálózatban képesek megtalálni ugyanazokat a résztvevőket, pusztán a kapcsolatrendszerük alapján. (Ezek közösségi hálózatok de-anonimizálására készített algoritmusok.) Kellemes kísérletezgetést!

Permalink: https://pet-portal.eu/blog/read/712/2017-01-10-De-anonimizacios-algoritmusok-bongeszobol-futtathato-...

Hozzászólások (0 hozzászólás)

A film fókuszában részben a telefon tulajdonos kiszolgáltatottsága áll, de abból a szempontból is érdekes, hogy a telefonunk rólunk mit szolgáltat.

Permalink: https://pet-portal.eu/blog/read/709/2016-12-26-Film-egy-ellopatott-telefon-visszaszerzeserol.php

Hozzászólások (0 hozzászólás)

Érdekes koncepció: ebben az alkalmazásban kombináltak képfelismerő neurális hálókat a közösségi oldalak kép adatbázisával. A végeredmény: egy nyilvános fotó alapján megtalálja a közösségi oldalon a profilunkat.

Permalink: https://pet-portal.eu/blog/read/708/2016-12-07-Az-alkalmazas-amely-egy-foto-utan-megtalalja-a-profil...

Hozzászólások (0 hozzászólás)

Mennyit ér neked egy like? Nem sokat, igaz? Nos, pedig sokkal többet elárul, mint gondolnád: lehet, hogy te is ennyire meglepődénél. :)

Permalink: https://pet-portal.eu/blog/read/707/2016-07-07-Egy-like-mennyit-er-neked.php

Hozzászólások (0 hozzászólás)

Az idén júliusban esedékes PET Symposium-on mutatják be kutatók azon eredményeiket, amely szerint a vezetési stílus elég egyedi jellemzőket tartalmaz. A vizsgálatokban 15 személy vezetési stílusát rögzítették, azokat az információkat, amelyek az autók belső számítógépes rendszerén (CAN) megjelent, mint például kormány és pedál használatot. Az adatokat vizsgálva kiderült (gépi tanulást alkalmazva), hogy önmagában csak a fék pedál használata is már rövid idő után nagy eséllyel (90%) azonosíthatóvá teszi a sofőrt, hosszú távon pedig teljesen egyértelmű azonosíthatóságot garantál.

Mivel mindössze egy forrásról is kiderült, hogy milyen hatékonyan segíti az azonosítást, valószínűleg jóval nagyobb populáción is működik a módszer, legfeljebb több forrás kombinációjával. Ez egyébként nem meglepő eredmény, inkább amiatt érdekes ez a tanulmány, hogy az ujjlenyomatozásra használt információforrás eléggé eltérő jellegű volt az eddig vizsgáltatoktól: nem diszkrét jellemző, hanem "folytonos" jel alapján történt az azonsítás (bár például a mobiltelefon szenzorok ujjlenyomatozása is slágertéma épp).

Permalink: https://pet-portal.eu/blog/read/706/2016-06-23-A-vezetesi-stilusod-sokkal-jobban-azonosit-mint-gondo...

Hozzászólások (0 hozzászólás)

Aki használ Facebook-ot a mobilján, érdemes átnéznie a beállításokat és kikapcsolni a mikrofont: az alkalmazás folyamatosan figyeli az elhangzó beszélgetéseket, a háttérben szóló zenét, stb., hogy ezzel is szinesítse a hirdetőknek értékesíthető profilokat. A fentebb linkelt cikkben ki is próbálták: amikor a telefon mellett elhangzott, hogy a tulajdonos szívesen elmenne egy szafarira, rövidesen megjelentek az asztali gépen a böngészőben a kapcsolódó hirdetések.

Permalink: https://pet-portal.eu/blog/read/705/2016-06-02-Facebook-okostelefonon-Jobban-hallgat-rad-mint-a-kuty...

Hozzászólások (0 hozzászólás)

A weben elterjedt gazdasági modellben a felhasználók az ingyenes szolgáltatásokért cserébe elviselik a reklámok jelenlétét a szolgáltatásokban. Számos weboldal ezen túlmenően megfigyelni a látogatói szokásait, illetve olyan technológiát alkalmaz, amely által hozzáférhet a látogatók más weboldalak meglátogatása során gyűjtött információkhoz is. A zavaró reklámok, a megfigyelés és a reklámok által generált óriási extra forgalom miatt egyre több felhasználó döntött úgy, hogy inkább nem szeretne reklámokat – mi sem bizonyítja ezt jobban, mint hogy a Firefox kiegészítői között a dobogó csúcsán az Adblok Plus áll, jelenleg is már több, mint 20 millió felhasználóval.

Az ebből fakadó bevételkiesést viszont a tartalomszolgáltatók nem nézik jó szemmel; az utóbbi időben egyre több weboldal kezdte el kizárni azokat a látogatókat, akiknél a reklámok nem töltődtek be, illetve sok esetben azokat is, akik a reklámokat engednék, csak a megfigyelést blokkolnák. Azonban úgy tűnik, hogy a reklámblokkoló detektálása illegális joggyakorlat az EU-ban. Alex Hanff, nem rég kapott egy állásfoglalást a témában az Európai Bizottságtól, és ez alapján a böngésző kiegészítők detektálása illegális személyes adat gyűjtésnek minősül.

Ez ugyan orvosolhatja ezt a pillanatnyi történetet a hirdetők és fogyasztók közötti háborúban, a megoldást a web hosszútávú, privátszféra-barát fenntartására azonban tovább kell keresni.

Permalink: https://pet-portal.eu/blog/read/703/2016-04-27-Illegalis-joggyakorlat-a-hirdetesblokkolok-ellenorzes...

Hozzászólások (0 hozzászólás)

A TracEmail egy Thunderbird levelezőprogram kiegészítő, amely segítségével megtudhatjuk, milyen országokon haladtak át a leveleink, és mely országokban milyen törvények alapján hallgathatják le a kommunikációnkat (vagy teszik ezt automatikusan). A kiegészítő már elérhető a Thunderbird Addons oldalán, illetve a forráskód foltozgatásához, kibővítéséhez is hozzájárulhatnak a vállalkozó kedvű felhasználók.

Kipróbálom!

Permalink: https://pet-portal.eu/blog/read/701/2016-04-07-TracEmail-uj-Thunderbird-kiegeszito-ami-megmutatja-me...

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/699/2016-03-28-Last-Week-Tonight-Show-HBO-Encryption.php

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/697/2016-03-21-Szemelyes-adatokat-egy-kaveert.php

Hozzászólások (0 hozzászólás)

A modern kommunikációs eszközök és csatornák egyre nagyobb mennyiségű információt tesznek elérhetővé rólunk egyre szélesebb kör számára – gyakran szenzitív, személyes adatokat is. Az információs önrendelkezési jog folyamatosan sérül az állami és a piaci szereplők megfigyelései során. Legféltettebb, személyes titkainkból listák állnak össze, adatainkat különböző hivatalok és cégek kapcsolhatják össze, és alkothatnak belőlük további visszaélésre lehetőséget adó profilokat. Személyes és gazdasági károk sorát okozhatják a titokban utánunk kémkedő programok és alkalmazások.

A Társaság A Szabadságjogokért (TASZ) a hétköznapi polgároknak, civil szervezeteknek, gazdasági szereplőknek, oknyomozó újságíróknak, és minden, a kémkedéssel érintett áldozatnak kíván segítséget nyújtani azzal, hogy a bevált és globálisan alkalmazott védelmi megoldásokat egy helyen, a nopara.org honlapon teszi elérhetővé számukra; ugyanitt Edward Snowden személyes üzenete, illetve közérthető szöveges és multimédiás felvilágosító tartalmak is várják az érdeklődőket.

Permalink: https://pet-portal.eu/blog/read/698/2016-03-08-No-para-uj-oldal-a-privatszfera-vedelmeert.php

Hozzászólások (0 hozzászólás)

A webpoloskák és a reklámok szoros kapcsolatban állnak egymással: a webpoloskák által gyűjtenek cégek információt a célzott hirdetések megjelenítéséhez. Azok számára, akiknek ez a rendszer nem szimpatikus, viszonylag egyszerű eszközkészlettel kell beérniük: tilthatják a reklámokat (pl. AdBlockPlus-szal) és webpoloskákat (pl. Ghostery-vel), vagy nem. Bizonyos rugalmasság ugyan van a rendszerben,  mert például az AdBlock lehetővé teszi, hogy egyes oldalakon feloldjuk a tiltást, vagy a Ghostery-ben bizonyos típusú tracker-eket engedélyezhetünk, de azért ez nem az igazi. Már önmagában is nehéz lehet átlátni a rendszer kezelését, ha több kivételt szeretnénk, nem hogy az egyes kivételeknek a következményeit.

Erre kínál alternatív megoldást a MyTrackingChoices Chrome kiegészítő, amelyben megadhatjuk, hogy mely témájú weboldalakon nem szeretnénk, ha követnének bennünket, mint például vásárlási célú oldalak. Miközben böngészünk, a kiegészítő kategorizálja a weboldalakat, és ha a védett kategóriába esik az éppen meglátogatott oldal, tiltja az ott jelenlévő web poloskákat. További érdekesség, hogy a webpoloskák listája sem fix, hanem menet közben tanulja a program: ha többször lát weboldalon kívülről érkező erőforrásokat, akkor egy idő után ez felkerül a listájára.

Permalink: https://pet-portal.eu/blog/read/695/2016-02-17-Uj-Chrome-kiegeszito-a-szelektiv-reklamszuresert.php

Hozzászólások (0 hozzászólás)

A Microsoft kutatóinak sikerült kifejlesztenie egy olyan mesterséges neurális hálózatokon alapuló eljárást, amely úgy képes dolgozni adatokon, hogy az adatok rejtejelezettek maradnak előtte. A teszt rendszer a MNIST adatok rejtjelezett formáját használta, amely 60 000 kézzel írott számjegyből áll, és tipikus demo felülete az újabb és újabb osztályozó rendszereknek. A cikkben bemutatott feladat a szokásos volt: a rejtjelezett rejtjelezett képekről meg kellett mondani, hogy mi látható rajta. A rendszer 99%-os pontossággal képes volt megmondani ezt helyesen, másodpercenként akár majdnem 15 képre.

Hogy a problémát laikusok számára is érzékeltessük: a feladat elég hasonló az alábbi játékhoz, és ebben érte el ez a rendszer a sikereket.

Bónusz kérdés: mi látható az alábbi képen?

Megoldás: pingvin. Forrás.

Permalink: https://pet-portal.eu/blog/read/694/2016-02-10-Rovidhir-kozelebb-kerultunk-a-biztonsagos-cloud-fele....

Hozzászólások (0 hozzászólás)

Sokat írtunk a web poloskákról már, de ha valaki szeretne képbe kerülni, nincs könnyű dolga: lesz mit olvasnia a bejegyzéstengerben. Ezért nem régiben elindítottuk a webpoloska.hu weboldalt, amelynek célja, hogy a webpoloskákhoz, nyomkövetéshez kapcsolódó információdömpingben adjon iránymutatást, illetve kiemelje az aktuális projektjeinket. A tartalom angol nyelven is elérhető a webbug.eu oldalon. Bár apróbb újítás, mégis privátszféra-erősítő hatású, hogy és ezek az oldalak, illetve a PET Portál is immár csak HTTPS-en keresztül érhető el, köszönhetően a StartTLS-nek!

Permalink: https://pet-portal.eu/blog/read/690/2016-01-27-Uj-weboldal-webpoloska-hu.php

Hozzászólások (0 hozzászólás)

Ebben az esetben szó szerint személyes ujjlenyomatról van szó: a Google Abacus gyűjti a telefon valamennyi bemenetén a meta-datokat, mint például kit lát az előlapi kamera vagy hogyan gépelünk, majd ez alapján folyamatosan kiértékeli, hogy kinek a kezben lehet a telefon. Mindennek a célja a jelszó kiváltása. Meg kell hagyni, hogy általában véve sokat küzdünk a jelszavakkal, de ez nem jelenti azt, hogy az egész séma rossz; ott vannak például a jelszómenedzser alkalmazások, amelyek kisegíthetnek bennünket a gyenge, elfeledett, vagy újrahasznált jelszavak kátyúiból.

c

Permalink: https://pet-portal.eu/blog/read/689/2016-01-19-Project-Abacus-a-te-biometrikus-ujjlenyomatod.php

Hozzászólások (0 hozzászólás)

Sokan abban látják a privátszféra védelem jövőjét, hogy az árral szemben úszás helyett inkább megpróbálják viszaszerezni az irányítást a felhasználónak. Erre eddig is léteztek megoldások, és úgy tűnik, hogy a javaslatok kezdenek megvalósulni. Az egyik CES kiállító például egy alapos kém alkalmazást készített, amelynek végül az lenne a célja, hogy egyedüli közvetítő legyen az adatokat igénylő és az adatalanyok között:

Neura gathers all this data in order to automatically provide notifications that it thinks will help its owner over the course of the day.

But the firm's ultimate goal is to offer its service to other apps, and act as a single secure channel for all of a user's personal data rather than having it handled by multiple parties, as is currently the case.

Ők ezt úgy képzelik el, hogy ők mintegy pénztárcaként vesznek részt a felhasználó életében, aki gyakorlatilag fizethet az adataival, hasonlóan a PayPal-hez. Végül is igazuk van: ma igyanez történik, csak a többség tudta és beleegyezése nélkül.

Egy másik probléma ma a privátszféra-védelemmel, hogy a legtöbb kormány ezt a saját ellenségének látja (vagy legalábbis láttatja), és számos politikus javasol olyan intézkedéseket, amelyek a digitális privátszféra védelmet ellehetlenítik. Ilyen például az a terv Franciaországban, betiltják a nyilvános wifi és TOR használatot, illetve minden szoftvernek kötelező lenne hátsó kaput ajánlania. Az efféle ötletek szinte azonnal számos kritikusra találnak. Ezt a két tábort igyekezne kibékíteni David Chaum, aki a TOR elvi alapjainak számító MIX-eket kitalálta.

Az alapötlet egy olyan MIX hálózatokra épülő megoldás, amely hatékonyan képes mobiltelefonokon is futni (tehát a jelenlegi rendszereknél gyorsabb, és jobban kíméli az erőforrásokat), miközben továbbra is magas megbízhatóságú anonimitást nyújt. Hogy az anonimitás ellenzőit is kiengeszteljék, a rendszer beépített kiskaput is fog tartalmazni, ám efölött nem az egyes országok képviselői rendelkeznek majd: egy felhasználó anonimitásának visszavonásához 9 ország adminisztrátorának kell majd egyöntetűen támogatnia ezt. Bár ez már jóbban hangzik, valószínűleg az új rendszernek így sem kell majd keresni a kritikusokat.

Permalink: https://pet-portal.eu/blog/read/687/2016-01-12-Uj-torekvesek-a-privacy-ujrapozicionalasara.php

Hozzászólások (0 hozzászólás)

A politikusok terrortámadások után előszeretettel hajtogatják, hogy a tömeges megfigyelés kiterjesztésére, illetve a titkosítás és privátszféra-erősítő technológiák visszaszorítására van szükség. Számos kritika éri ezeket a politikai célkitűzéseket. Vajon ha csupán engedjük, hogy a megfigyelés még kiterjedtebb legyen, akkor az hatékonyabb lesz? Snowden szerint nem, de elvi módon is könnyen belátható, hogy a tömeges megfigyelés nagyon alacsony hatásfokú eszköze lehet csupán a terrorelhárításnak, mégpedig a false-positive paradox-nak köszönhetően.

Egyszerűen arról van szó, hogy mivel nagyon kevés a potenciális veszélyforrás a társadalom méretéhez képest, ezért még a legprofibb szűrési mechanizmusok mellett is túl sokan fognak tévedésből fennakadni a rendszerben. Tegyük fel, hogy a rendőrség nagyon hatékonyan szűr, a tömeges megfigyelésre szakosodott alkalmazásuk a terroristákat az esetek 99%-ban kapja el, és ha nem terroristákról van szó, csupán 0,5%-ban téved. Ha a rendőrség rendszere 1 millió embert figyel meg, ahol van 100 terrorista, akkor ez azt jelenti, hogy 5099 embert kell utólagosan kézzel átvilágítani, további megfigyelés alá helyezni és kiszűrni.

Ez még mindig érezhetően nagy szám, pedig a feltételezett rendszerről ideális paramétereket feltételeztünk. Mindamellett sokszor hallhatjuk azt is, hogy az érintett szervek sokszor emberi erőforrás hiányban szenvednek...

Permalink: https://pet-portal.eu/blog/read/686/2016-01-05-A-tomeges-megfigyeles-rejtett-koltsege.php

Hozzászólások (0 hozzászólás)

Nem rég lehetőségem nyílt személyesen is beszélgetni a LocationGuard nevű böngésző kiegészítő (fő) fejlesztőjével, Marco Sonatival. Akik nem ismernék a programot: a LocationGuard egyszerű beállításokon keresztül lehetővé teszi, hogy elrejtsük a pontos tartózkodási helyünket a weboldalak elől, és egy közelítő helyet adjunk meg. Mindezt ahelyett, hogy a jelenlegi megadom/nem használom a szolgáltatást opciók közé lennénk szorítva.

A kiegészítő lehetőséget ad arra, hogy bizonyos körzeten belül zajosítsuk a tartózkodási helyünket, amelyet a program egy időre meg is jegyez (mobil böngészésnél nem hátrány). Marco mondta, hogy több felhasználó is jelezte (ők maguk nem gyűjtenek információt arról, hogy a felhasználóik hogyan használják a kiegészítőiket), hogy ők inkább a fix pozíciót használják. Ez esetben beállítják egy tetszőleges pontra a térképen magukat, és a kiegészítő segítségével a böngésző mindig ezt a helyzetet fogja jelezni, ha egy weboldal hozzáférést kér ehhez. Ez azonban nem túl szerencsés gyakorlat, ugyanis a világ túl nagy ahhoz, hogy könnyen egyedi pozíciót állítsanak be, amely a helyzetinformációhoz való hozzáférés után követhetővé teszi őket. Ezért amíg Marcoék nem javítják a fix pozíció választást pl. egy előre meghatározott csoportra, addig ezt a funkciót nem érdemes használni.

Ez a jelenség egyébként nem újdonság a PET-ek világában. Azok a felhasználók, akik egyedi módon próbálják a privátszférájukat védeni, gyakran belefutnak ebbe a problémába, amelyet anonimitási paradoxnak hívunk: a felhasználók ugyan sikeresen megvédik adataikat, de az új beállításaik annyira egyediek, hogy ez követhetővé teszi őket. (Pontosabban a tevékenységük összekapcsolhatóságát eredményezi.)

Permalink: https://pet-portal.eu/blog/read/684/2015-12-17-LocationGuard-es-az-anonimitasi-paradoxon.php

Hozzászólások (0 hozzászólás)

A TOR anonim böngésző, kifejezetten azért fejlesztik, hogy anonim módon lehessen vele böngészni weboldalakat. Egy újonnan felfedezett hiányosságnak köszönhetően a TOR felhasználók mégis követhetőek maradnak, ugyanis egy beépített védelmi funkció egyáltalán nem működik.

A weboldalak ugyanis a számítógépre feltelepített betűkészletek lekérdezével egyedileg azonosítani tudják a látogatóikat, a webpoloskák pedig akár több weboldalon keresztül is. A probléma, hogy a számítógépre jellemző betűkészlet-lista egyedi, már régebbóta ismert, ezért a TOR fejlesztők úgy döntöttek, hogy korlátozzák a weboldalak által maximálisan elérhető betűkészletek számát 10-ben. Azonban, ahogy megmutattuk, ez a korlátozás nem működik egyáltalán a legutóbbi stabil kiadásban (5.0.4), és így a használói könnyen követhetővé válnak.

Erre a megoldást jelenleg azt jelentheti, hogyha a beállításoknál (Beállítások > Tartalom > Haladó) megadjuk, hogy a weboldalak ne használhassanak bármilyen betűkészletet, hanem csak az ott megadott négyet. Más beállítások nem oldják meg a problémát. Hiába állítjuk a TOR védelmi szintjét magasabb fokozatba, a legmagasabb fokozat is csak a JavaScript-ek alapértelmezett letiltásával nyújt átmeneti védelmet.

Az eredeti védelmi korlátozás ráadásul nem volt tökéletes, de más okból nem érhető el. Úgy tudjuk, hogy az új Firefox verziókba való átültetés során implementációs nehézségekbe ütköztek a fejlesztők. Mindeközben egy új megoldáson is dolgoznak, ami végleg megoldaná ezt a problémát: a TOR böngésző saját fontokat is hozna magával, és csak ezeket lehetne használni. Ezt azonban még nem sikerült olyan szintre fejleszteni, hogy a legutóbbi stabil változattal kiadhassák.

Permalink: https://pet-portal.eu/blog/read/683/2015-12-03-A-TOR-bongeszo-megis-kovetheto.php

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/680/2015-11-23-Video-elet-az-okoslakasban.php

Hozzászólások (0 hozzászólás)

A hirdetők számára nehézséget okoz, hogy a potenciális célok több eszközt használnak, s emiatt a hirdetési kampányok megjelenítése pontatlan lehet. A SilverPush nevű cég új ötlettel állt elő a probléma megoldására: a reklámok hangjába az emberi fül számára hallhatatlan jeleket építenek be, amelyet az okostelefon rögzíteni tud, s ezáltal regisztrálni, hogy milyen reklámokat látott/hallott az illető. További részletek itt és itt.

Permalink: https://pet-portal.eu/blog/read/679/2015-11-17-Titokban-osszesug-a-teve-es-az-okostelefon.php

Hozzászólások (1 hozzászólás)

A Firefox legújabb verziójában (42.0) egy eddig más böngészőkben még nem látott funkciót kapunk kézhez. Nem másról van szó, mint a Követés elleni védelemről (Tracking Protection), ami a Firefox Privát böngészési módjában válik elérhetővé.

De mit is jelent ez? A technológia a megnyitott oldalakon blokkol minden olyan scriptet ami a felhasználó azonosítására, illetve böngészési tevékenységének követésére szolgálhat. Aktívan blokkolja a webpoloskákat, trackereket, hirdetéseket, illetve olyan közösségi médiához tartozó eszközöket, mint például a Facebook like gombja.

Ennek következtében bizonyos oldalak betöltődési ideje akár jelentősen is csökkenhet, mivel a hirdetéseknél harmadik féllel való kommunikációnak nem kell lezajlania, illetve statisztikák alapjául szolgáló adatközlés sem történik. Azonban elképzelhető, hogy némelyik oldal nem jelenik meg tökéletesen, ilyenkor a Követés elleni védelem egyszerűen kikapcsolható az adott oldalon a címsorban lévő ikonra kattintva.

Eddig a privát böngészés használatával a következő előnyökhöz juthattunk: a böngészési folyamat végén nem mentődtek el előzményeink, kereséseink, ideiglenes fájljaink illetve a sütik. Ez azonban nem gátolta meg az oldalon harmadik féltől származó scriptek futását, most azonban egy eddiginél sokkal privátabb böngészési módot kaptunk.

Az új verzió már elérhető Windows, Mac, Linux és Android operációs rendszerre, érdemes egy pillantást vetni rá.

Permalink: https://pet-portal.eu/blog/read/678/2015-11-09-Kovetes-elleni-vedelem-a-Firefoxban.php

Hozzászólások (0 hozzászólás)

Ezt a videót egy nyári munka során készítette Miklós Dávid 2014-ben (velem közösen, még a CrySyS Lab-ban), eredetileg egy sorozat próba részének szántuk, de végül csupán ennyi készült el. Bár ez még kissé nyers anyag, reméljük sok érdekességgel szolgálhat, és jó szórakozást kívánunk hozzá!

Adatóriások és adatbiztonság - 2. próba rész from Miklós Dávid on Vimeo.

Permalink: https://pet-portal.eu/blog/read/677/2015-11-05-Video-adatoriasok-es-adatbiztonsag.php

Hozzászólások (0 hozzászólás)

A web ingyenes, és emiatt legtöbbünk napi életének szerves részévé vált. Azonban az ingyenesség ára, hogy számos hírportál és egyéb weboldal hirdetésekből szerzi bevételeit. Ezek között is egyre népszerűbbek a személyre szabott hirdetések, amelyek a látogatók ízlésvilágához igazodnak, s mivel kevesen nyilatkoznának erről maguk, a hirdetők ezt az információt inkább rejtett megfigyelés útján szerzik meg az ún. webpoloskák segítségével. Ezzel kapcsolatban számos probléma felmerülhet, hiszen ha a felhasználó valahogyan tudomást is szerezne arról, hogy megfigyelik, a legtöbb esetben lehetetlen az adatgyűjtést megakadályozni vagy ellenőrizni (tudj meg többet itt: webpoloska.hu). Ráadásul a webpoloskák egyre trükkösebb módszereket alkalmaznak, amelyekkel szemben egyre nehezebb védekezni.

A Mouseveillance projektünk célja a webpoloskák egyik lehetséges azonosítási módszerének vizsgálata, miszerint a böngészés során az egérmozgás alkalmas-e az azonosításra. Ez ugyanis lehetővé tenné, hogy a hirdetők weboldalakon kövessék tevékenységeinket, még akkor is, ha például számítógépet váltunk. Ez rendkívüli hatással lenne a privátszférára, nagyon megnehezítené a megfigyelés elkerülését. Ezért az is célunk, hogy az ezzel kapcsolatos privacy-védelemi mechanizmusokra is megoldásokat keressünk.

A kutatásunk két fő fázisból tevődik össze. Az első fázisban olyan adatokat szeretnénk gyűjteni, amelyhez egy webpoloska is hozzáférhet bármely oldalon: az egérmozgás pontos menetére. A második fázisban az előzőleg gyűjtött adatokat elemezzük ki, és vizsgáljuk a web-használók azonosíthatóságát. A gyűjtéséhez támogatókat keresünk, akik feltelepítik a kísérletre kifejlesztett Firefox kiegészítőt és használják néhány hétig, vagy letöltik a Firefox portable csomagot.

Cserébe a résztvevőknek lehetőségük van visszatekinteni böngészéseikhez tartozó egérmozgásokat hőtérképek formájában az összes olyan weboldalon, melyen az adatgyűjtést aktiválták. Továbbá feketelistára helyezhetnek olyan oldalakat, amelyeket kizárnának az adatgyűjtésből, illetve a begyűjtött adatok közül utólag kiválaszthatják, mely oldalakhoz kapcsolódó tartalmat szeretnék törölni rendszerünk adatbázisából. E funkciók jelenleg tesztelés alatt állnak, de szabadon kipróbálhatóak.

Az adatgyűjtés névtelenül zajlik (minden telepítéshez véletlen azonosító párosul), és a begyűjtött adatokat is névtelenül kezeljük, és nem kíséreljük meg felfedni a támogató személy identitását sem.

Kérünk, hogy te is segítsd a munkánkat! Töltsd le a gyűjtésre előkészített programok egyikét, és használd a mindennapi böngészéshez (lásd: mv.webpoloska.hu/download.php). A portable csomag letöltésével akár az érzékeny munkameneteket is könnyen kizárhatod az adatgyűjtésből (mint banki vagy munkahelyi intranet oldalak). Az adatgyűjtési időszak lezárását követően az adatok elemzésével foglalkozunk, az eredményeket a későbbiek során publikálni tervezzük, először diplomaterv formájában, valamint az eredmények függvényében tudományos cikk formájában nyilvánosan is tervezzük közölni. Bővebb információ az mv.webpoloska.hu weboldalon található.

Permalink: https://pet-portal.eu/blog/read/676/2015-10-30-Mouseveillance.php

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/675/2015-10-20-The-power-of-privacy-video.php

Hozzászólások (0 hozzászólás)

A youronlinechoices.com weboldalt hirdetők hálózata üzmelteti, és például hirdetések beállításain keresztül juthatunk el hozzájuk, ha ki akarjuk kapcsolni, hogy a hirdetések személyre szabottak legyenek (azaz a megfigyelésünk alapján javasoljanak releváns hirdetéseket). Ugyanez a weboldal tartalmaz pár rendkívül élelmes javaslatot, hogy megerősítsük a privátszféránkat. Nézzük meg és cáfoljuk ezeket:

1. "Az online viselkedés alapú reklámozás biztonságos és átlátható." Ha igaz volna, nem dolgozna számos kutató jelenelg azon, hogy ezt a területet legalább egy kicsit átláthatóbbá tegye. Csak egy nívós példát említsünk: a Data Transparency Lab sem finanszírozna sok ezer euróval (akár 50 000 EUR) ilyen projektet.
2. "A hirdetők nem tudják, hogy ki a felhasználó, mert a gyűjtött információ nem alkalmas a felhasználó azonosítására." Nem igaz, számos tudományos cikk bebizonyította, hogy a viselkedési információk is kiválóan alkalmasak a személyes azonosításra.
3. "Minden weboldal mely viselkedés alapú reklámozást támogat, leírja, hogy milyen módon és milyen felhasználásra gyűjt adatokat melyik szereplő számára." Nem igaz. Ha lenne ilyen látnánk, de a webpoloskák most is titokban működnek a felhasználók tudta nélkül, miközben elviszik a sávszélességet és az akksi jó részét.
4. "A viselkedés alapú hirdetéseket kiszolgáló vállalatok minden esetben rendelkezésre bocsátják az opt-out (kijelentkezés, letiltás) funkcióról az információt." Akad, amelyik igen, de nem mindegyik. Általában ez épp elég bonyolult és körülményes ahhoz, hogy a felhasználók döntő többségét elijesszék.
5. "A következő példa azt mutatja, hogy milyen módon lehet az Internet Explorerben 11 a biztonsági beállításokat kezelni." Majd itt egy olyan beállítást mutatnak, ami engedélyezi a harmadik féltől származó sütik elfogadását. Ez nekik fontos és nem nekünk. Az általuk említett nyelvi beállítások, belépési adatok példája csúsztatás, ugyanis ahhoz elég az első féltől származó sütik elfogadása!

Ehelyett a következőket TÉNYLEGES privátszféra-védelmi beállításokat javasoljuk. A legbzitosabb, ha valaki a Tor böngészőjét használja, de egy mezei Firefox vagy Chrome is felturbózható valamelyest:

1. Használjon Ghostery, vagy más kiegészítőt (pl. NoScript haladóknak) a webes megfigyelés blokkolására. Ekkor tényleg mi dönthetjük el, hogy mit engedélyezünk és mit nem.
2. Használjunk adblock-ot a reklámok kiszűrésére.
3. A Flashblock pedig extra biztonságot nyújt megfigyeléssel és malware-kkel szemben egyaránt.

A következő bejegyzésekben pedig majd arról is fogunk írni, hogy nem feltétlenül kell ezek mellett attól tartani, hogy éhen halnak a weboldalak, amelyek hirdetésből élnek.

Permalink: https://pet-portal.eu/blog/read/674/2015-10-14-Nem-minden-privacy-tipp-tuti.php

Hozzászólások (1 hozzászólás)

Ma már közhelynek számít, ha arról beszélünk, hogy nehezen kerülhetjük le, hogy a kikerült adataink ne kísértsenek. Azonban sokan arra se veszik a fáradtságot, hogy alaposan töröljék adataikat eszközeikről, mikor értékesítik azokat:

Varying amounts and types of residual data have been found on used mobile devices, hard disk drives and solid state drives purchased online from Amazon, eBay and Gazelle.com. Based on an examination of 122 pieces of second-hand equipment, 48 percent of the hard disk drives and solid state drives contained residual data, while thousands of leftover emails, call logs, texts/SMS/IMs, photos and videos were retrieved from 35 percent of the mobile devices.

Ha titkosítjuk a merevlemezünket, az ilyen esetekben automatikusan megoldja a problémát, telefonok esetében pedig marad az alapos takarítás.

Permalink: https://pet-portal.eu/blog/read/672/2015-10-08-Felejteni-nehez-kutyuk-masodkezbol.php

Hozzászólások (0 hozzászólás)

Számítógépünk a mindennapi életünk kiegészítőjévé, ezáltal személyes adataink felhalmozójává is vált, és a legtöbb esetben az általunk tárolt fájlok csakis ránk tartoznak, senki másra. Időről-időre egyre világossá vált, hogy az egyik módja a privacy-fenyegetések elleni védekezésnek a számtalan módon véghezvihető titkosítás, kérdés, hogyan lehetséges egy átlagos ember számára.

Az egyik legnyilvánvalóbb a teljes lemez titkosítása, mely funkció a főbb operációs rendszerekbe be is van építve. Ez az egyetlen módja a laptopunk adatait védeni, különben illetéktelenül használhatják a rajta lévő fájlokat. Amennyiben valaki fizikailag hozzáfér a számítógép fájlrendszeréhez, és nincs védve titkosítással, nagyon könnyen ellophatja, módosíthatja, törölheti a rajta lévő adatokat.

Egy jó jelszó sem véd a legtöbb esetben, ugyanis például egy USB stick-ről bootolva könnyen kikerülhető az operációs rendszerek efféle védelme, illetőleg a merevlemez másik számítógépbe történő helyezésével is egyszerűen látható a rajta lévő fájlrendszer. Gyakori félreértés az, miszerint a merevlemez titkosítása a számítógépet védetté teszi. Valójában ez csak az olyan hackerek ellen lehet hasznos, akik számítógépünkhöz fizikai hozzáféréssel rendelkeznek, a hálózaton keresztül támadók ellen sajnos nem.

A támadók a legtöbb esetben egy malware-t igyekeznek telepíteni a számítógépünkre, sok rosszindulatú weboldalnál a telepített programok, böngészőnk vagy akár az operációs rendszer betűtípus- vagy képfeldolgozó hibáit használják ki, vagy más egyéb módon próbálkoznak az illetéktelen behatolással. Ugyanakkor jóindulatúnak látszó oldalak esetében is előfordulhat, hogy titkos módon az adatforgalomba rejtenek káros tartalmakat. Még egy lehetőségként előkerülhetnek a számítógépen futó, de manipulált szolgáltatások, melyekből néhány példaként a fájlmegosztó, az iTunes lejátszásilista-megosztó vagy akár a BitTorrent kliensünkbe rejtett romboló modulok említhetők.

A lemez titkosítása természetesen az internetes kémprogramok ellen sem feltétlen megoldás. Az NSA vagy más kémügynökségek az internet gerincét képező optikai kábelekre tapadnak rá, így szinte bármit képesek kikémlelni az online tevékenységünkből. Mivel a lemez titkosítása csupán a fizikai hozzáférés ellen alkalmazható, egészen más módszer szükséges e probléma kiküszöböléséhez.

A legtöbb titkosítási módszer azt a célt szolgálja, hogy a gépünk illetéktelen elérése esetén a fájlokhoz való hozzáférés helyett egy összekevert, rejtjelezett jelsorozatot adjon vissza, mely önmagában hasznavehetetlen. Általában a jelszó begépelése nem oldja fel az egész lemezt, csak egy titkosítási kulcsot ad, amely segítségével pedig az egész lemezhez hozzáférhetünk. Ez a mechanizmus lehetővé teszi a jelszó megváltoztathatóságát anélkül, hogy az egész lemezt újból, új kulccsal titkosítani kelljen, valamint biztosítja a több jelszóval való levédhetőséget is, amely például több felhasználó esetében lehet hasznos.

A jelszó azonban a leggyengébb védelmek közé tartozik, különösen akkor, ha könnyen kitalálható, ekkor – beírását követően - a támadó azonnali hozzáférést nyer a fájlrendszerhez. Amennyiben nehezebb, praktikusan programmal generált karaktersorozatot alkalmazunk, sokkal nehezebb a betörést megvalósítani egy közönséges támadó számára, már csak különleges feltörési mechanizmusok révén lehet e védelmen túljutni.

A titkosításhoz hozzárendelt kulcsot nem szabad elfelejtenünk, mivel ekkor a saját számítógépünk zárja el előlünk személyes adatainkat. Ha mégsem emlékeznénk a jelszóra, nem fog tudni semmilyen szerv hozzáférni a fájlrendszerhez a titkosítás miatt, mivel éppen ez a lényege. Ugyanakkor alkalmanként érdemes a karaktersorozatot módosítani a biztonság fenntartása érdekében.

Permalink: https://pet-portal.eu/blog/read/671/2015-10-01-Laptopunk-titkositasa-ahogyan-szeretnenk.php

Forrás: Encrypting Your Laptop Like You Mean It

Hozzászólások (0 hozzászólás)

Ezúton szeretnénk gratulálni Simon Benedeknek (konzulens: dr. Gulyás Gábor), aki idén megnyerte a Hétpecsét egyesület információbiztonsági diplomaterv pályázatát:

Simon Benedek a BME hallgatója a „Strukturális deanonimizációs algoritmusok elemzése és fejlesztése” című dolgozatával jelentkezett és nyerte meg a diplomadolgozat kategóriát. Simon Benedek rámutatott arra, hogy a közösségi hálókon megosztott személyes információkhoz számos fél hozzáférhet, többek között a hálózat üzemeltetője, aki közzéteheti az információkat kutatási célra, vagy eladhatja ipari partnereinek, az egyértelmű azonosítókat (név, cím, e-mail cím) eltávolítva. Ám ezek az anonimizációk sajnálatos módon visszafordíthatók, ami visszaélések forrása is lehet.

Ráadásul Benedek dolgozata a HTE diplomaterv pályázatán is 3. helyet ért el! Munkája szívonalát a dolgozat elejét is érintő folyóirat publikáció is jelzi. A kiemelkedő teljesítményhez ismét gratulálunk!

Benedek dolgozata letölthető a tanulmányok szekcióban.

Permalink: https://pet-portal.eu/blog/read/670/2015-09-21-Uj-hetpecsetes-diplomaterv-a-kozossegi-halozatok-anon...

Hozzászólások (0 hozzászólás)

A privnote egy webes üzenettároló alkalmazás, amivel időzített, egyszer olvasható üzeneteket lehet készíteni. Az elkészült URL-t utána pedig levélben tudjuk továbbítani.

Permalink: https://pet-portal.eu/blog/read/669/2015-09-15-Privnote-onmegsemmisito-uzenet-olvasas-utan.php

Hozzászólások (0 hozzászólás)

Egy francia újságíró, Frédéric Filloux, érdekes módon nézte meg, hogy a reklámcégek webpoloskái milyen haátssal vannak az internetezési élményre: egyszerűen letöltött két nagyjából hasonló méretű tartalmú weboldalt a New York Times és a Wikipedia kínálatából. A végeredmény magáért beszél, ahogy sejteni lehetett a NYT letöltése óriási pluszforgalommal járt:

Consider the following observations: When I click on a New York Times article page, it takes about 4 minutes to download 2 megabytes of data through… 192 requests, some to Times’ hosts, most to a flurry of others servers hosting scores of scripts. Granted: the most useful part — 1700 words / 10,300 characters article + pictures — will load in less that five seconds.

But when I go to Wikipedia, a 1900 words story will load in 983 milliseconds, requiring only 168 kilobytes of data through 28 requests.

To put it another way: a Wikipedia web page carrying the same volume of text will be:
— twelve times lighter in kilobytes
— five times faster to load relevant items
— about 250 times faster to fully load all elements contained in the page because it will send 7 times fewer requests.

Ez a plusz sávszélesség-igény azonban nem csupán a felhasználói élményt károsítja, hanem csökkenti a mobilnet keretét, az akkumulátort meríti és a feleslegesen használja a memória és processzor jelentős hányadát. Ja, és mindamellett a privacy szempontjából is káros, ahogy erről már sokszor írtunk. A következő, Filloux által készített táblázat is jól tükrözi a problémát számokban [forrás]:

Egy másik cikkben pedig azt járta körül, hogy a webpoloskák elterjedése számokban hogyan mutatkozik meg. A korábbi mérésekkel összhangban 20 nyitóoldal meglátogatása 500 webpoloskával való találkozást is jelentett.

Permalink: https://pet-portal.eu/blog/read/667/2015-09-07-Nem-gondolnad-hogy-a-geped-ennyit-dolgozik-a-reklamip...

Hozzászólások (0 hozzászólás)

A Flash kiegészítő halálát már évek óta mondogatják (talán azt remélik, hogy így legalább önbeteljesítő lesz a jóslatuk), de még mindig számos helyen találkozhatunk vele. Azonban tényleg több sebből is vérzik a kiegészítő, szinte minden platformra van hozzá sérülékenység, ami miatt be lehet hatolni a rendszerünkbe, és ezt a különböző csoportok ki is használják, ahogy például a Hacker Team is tette. (Ne felejtsük el, hogy a Flash a háttérbe, láthatatlanul is futhat.)

Erre nyújt megoldást a Flash-control, ami letiltja a Flash elemeket, és csak akkor aktiválja őket, ha rájuk kattintunk, így több fronton is nyerünk:

• a biztonsági hibákra játszó tartalmak kockázata jelentősen csökken,
• lehet nyitva akár 227 tab is, a gépünk nem fog belassulni,
• semmi nem fog automatikusan elindulni, és az idegesítő tartalmak sem zavarnak többé :)

Elérhető Chrome és Firefox böngészőhöz is.

Permalink: https://pet-portal.eu/blog/read/666/2015-08-31-Kis-tett-de-nagy-lepes-a-biztonsag-fele-te-is-tiltsd-...

Hozzászólások (0 hozzászólás)

A böngészőfüggetlen ujjlenyomattal megmutattuk, hogy a böngésző által elérhető fontok szinte önmagukban egyedileg képesek azonosítani a felhasználót. Amerikai kutatók munkájukban azt mutatták meg, hogy nem csupán a betű megléte vagy hiánya nyerhető ki a böngészőből, hanem a renderelésbeli eltérésekből fakadó apró különbségek is információként szolgálhatnak (ld. az alábbi illusztrációt). Megmutatták, hogy a kb. 1000 ujjlenyomatatból álló adathalmazuk 34%-a egyedileg azonosítható ilyen eltérésekből, és ahol ez sikertelen volt, egész kisméretű anonimitási halmazok jöttek létre, azaz kevés kiegészítő információval ők is azonosíthatóvá válnak. A munkájuk kiválóan megmutatja, hogy a böngészők számos és alapvetően biztonságosnak vélt funkciója milyen könnyen kihasználható követés szempontjából, és hogy ez ellen milyen nehéz védekezni (ez ellen még a TOR sem védhetne minket).

Permalink: https://pet-portal.eu/blog/read/664/2015-08-24-Uj-fontlistara-epulo-ujjlenyomat-technikat-fedeztek-f...

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/662/2015-08-17-Video-a-data-privacy-alapjai.php

Hozzászólások (0 hozzászólás)

A weboldalak bizonyos szolgáltatásokért megkérhetnek bennünket, hogy fedjük fel tartózkodási helyünket. A böngészők alapesetben két lehetőséget kínálnak fel számunkra: vagy nem mondunk semmit, vagy megadjuk a pontos helyzetünk. Erre a helzyetre kínál megoldást a Location Guard, nem is akárhogyan, hanem tudományosan is megalapozott háttérrel: a pontos helyzetünkhöz zajt ad, ami bizonyíthatóan olyan szintű garanciát ad a privátszféra védelmére, mint a differential privacy technika. (Aminél jobbat nem ismerünk, kivéve a "ne adjunk meg soha senkinek semmilyen adatot" naiv eljárást.) Ráadásul az alkalmazás elérhető Chrome, Firefox és Opera böngészőkhöz, illetve Android készülékre is, valamint a forráskódját is megismerhetjük.

Permalink: https://pet-portal.eu/blog/read/660/2015-08-10-Location-Guard-hogy-a-weboldalak-ne-tudjak-hol-vagy.p...

Hozzászólások (0 hozzászólás)

A hatóságok mindenhol előszeretettel kérnek le adatokat a különböző szolgáltatók felhasználóiról, legyen szó telekommunikációs cégekről vagy webes szolgáltatásokról. Kanadában sincs ez másképp, csak 2011-ben 780 ezer felhasználó adatát kérték le a hatóságok a telekommunikációs cégekről. Kanadában azonban lehetősége van erről érdeklődniük az állampolgároknak, és a szolgáltatók kötelesek is erre válaszolni. Erre készítették az Access My Info eszközt, amely segít megfogalmazni a benyújtandó kérvényt, hogy azt biztosan ne lehessen formai vagy egyéb okok miatt elutasítani. Az ötletet üdvözöljük, ilyen eszközökre máshol is szükség lenne!

Permalink: https://pet-portal.eu/blog/read/654/2015-08-03-Atlathatosagi-eszkoz-a-hatosagi-lekerdezesek-kovetese...

Hozzászólások (0 hozzászólás)

A Trackography segítségével egy interaktív térképen megtekintheted, hogy az egyes online médiumoktól melyik országba és milyen cégekhez kerülnek az adataid. Azt is megnézheted, hogy az egyes cégek mit művelnek az adatokkal, és milyen törvények vonatkoznak rájuk az adatkezelés illetően.

Permalink: https://pet-portal.eu/blog/read/655/2015-07-27-Trackography-nezd-meg-hova-kerulnek-az-adataid.php

Hozzászólások (0 hozzászólás)

Aki használ vagy valaha már használt bármiféle merevlemez titkosító programot számítógépén, valószínűleg már belefutott a TrueCrypt-be. A nagy népszerűségnek örvendő alkalmazás fejlesztését azonban 2014-ben, váratlan hirtelenséggel befejezték. Az ezt követően hirtelen felbukkanó trónkövetelők garmadája közül nehéz választani, most megvizsgáljuk az egyik gyakran ajánlott alternatívát, a VeraCrypt-et.

A VeraCrypt az egyébként nyílt forráskódú TrueCrypt-re épít, első letölthető verziója 2013. június 22-én került fel az internetre, azóta pedig számos újabb verziója jelent meg. A program – egyezően a TrueCrypt-tel – egy valósidejű titkosító, vagyis a fájlok automatikusan, számunkra transzparens módon kerülnek titkosításra és feloldásra, amint azokat elmentjük, illetve betöltjük, ugyanis az alkalmazás magát a meghajtót szolgáltatja. Segítségével a teljes lemezünk lekódolható, de létrehozhatunk rejtett tárolókat is, amennyiben fontos a titkosított adat létezésének elrejtése is.

A VeraCrypt sok javítást eszközölt a TrueCrypt-hez képest, melyek között több fontos biztonsági probléma is orvoslásra került. A program 3 féle alap titkosítási algoritmust támogat (AES, Serpent,Twofish), ezen felül kombinálásukkal még további 5 válik elérhetővé (AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES, Twofish-Serpent). A hasheléshez használt algoritmusok között (RIPEMD-160, SHA-256, SHA-512, Whirlpool) megjelenik az SHA-256, mint újdonság a VeraCrypt repertoárjában. Továbbá növelték a hash algoritmusoknál használt iterációk számát, ami sebességben ugyan némi csökkenést eredményez, de cserébe bruteforce támadással legalább 10-szeresen (legfeljebb akár 300-szorosan is) több időbe telik a rendszer feltörése.

Érdemes szót ejteni az program gyengeségeiről is. Ugyanazoktól az ismert biztonsági problémáktól szenved, mint bármely másik szoftver alapú eszköz. Ilyen például, ha valaki fizikailag hozzáfér gépünkhöz, arra esetlegesen káros vagy monitorozó szoftvereket telepít, így a továbbiakban könnyen megszerezheti a nem titkosított adatainkat, jelszavainkat. Továbbá egy sikeres támadási forma alapját képezi, hogy a VeraCrypt a RAM-ban tárolja a titkosításhoz használt kulcsot, mely gépünk kikapcsolása után is még egy ideig tárolódik, s ezt egy megfelelően felkészült támadó még akár ki is nyerheti.

Sajnos a VeraCrypt nem teljesen kompatibilis a TrueCrypt-el, de az újabb verziókban már lehetőségünk nyílik a régi TrueCrypt-es tárolóinkat megnyitni, illetve azokat VeraCrypt-es formátumúvá alakítani.

Összességében a VeraCrypt egy könnyen kezelhető, mégis hatékony eszköz a titkosításhoz, mely elérhető mind Windows, Linux és OS X operációs rendszerekre is és a folyamatos fejlesztéseknek köszönhetően mára már nem csak egy remek alternatíva a TrueCrypt mellett, de talán túl is nőtte elődjét.

Permalink: https://pet-portal.eu/blog/read/663/2015-07-23-VeraCrypt-a-jogos-TrueCrypt-orokos.php

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/658/2015-07-20-Mi-a-problema-a-jalszavakkal-amiket-hasznalunk.php

Hozzászólások (0 hozzászólás)

Sok kisebb internet-, és wifi szolgáltató próbálja a keresetét azzal kiegészíteni, hogy azonosítót (ún. supercookie-t) vagy reklámot helyez el a weblapok tartalmában. Ha szeretnéd tudni, hogy te is így jártál-e, próbáld ki WALTER-t! Nem kell hozzá semmit telepítened, ez a weboldal ellenőrzi, hogy menet közben módosult-e a teszt weboldal, s így képes lerántani a leplet az efféle tevékenységekről.

Permalink: https://pet-portal.eu/blog/read/653/2015-07-13-WALTER-belenyul-e-az-internetszolgaltato-a-forgalmadb...

Hozzászólások (0 hozzászólás)

Manapság számos olyan webes alkalmazás terjedt el, amelyek segítségével a webpoloskák általi kéretlen adatgyűjtés megnehezíthető. A Privacy Badger egyike azon böngésző-kiegészítőknek, amely a felhasználói hozzájárulás szabályait megszegő, titkos adatgyűjtők blokkolására hivatott. Használatához nem szükséges a kiegészítő különösebb beállítása, szaktudás sem, mivel mindezt a kiegészítő készítője biztosítja.

Az alkalmazás különböző algoritmusokat használ annak felderítésére, hogy egy hirdető éppen veszélyes-e. Bár a hasonló funkciókat nyújtó Disconnect, Adblock Plus, a Ghostery egyaránt közkedveltek, közülük egyik sem pontosan a korábban elmondott célokhoz szükséges funkciókat nyújtja. Teszteléseim alapján mindegyik használata során szükség van némi szakértelemre a kéretlen adatgyűjtés blokkolásához, valamint például a Ghostery esetén megkérdőjelezhető, hogy vajon a legmegfelelőbb üzleti modellen alapszik-e (https://www.ghostery.com/en/about-us/privacy-statements/). Az EFP szerint a szigorú védelmi algoritmusok megírása mellett a cél az említetthez hasonló kiegészítőknél, hogy a felhasználók számára a lehető legnagyobb irányítás legyen biztosítva az adatgyűjtők kiszűrése érdekében.

Egy weblap tartalma általában több forrásból épül fel, például egy hírportál esetében a hírek, a reklámok, a kommentek három különböző szolgáltatótól is származhatnak. A Privacy Badger ebben az esetben mindhárom kiszolgálót ellenőrzi, és amennyiben úgy tűnik, hogy egy oldal a felhasználót követi, a továbbiakban (listán rögzítve) nem engedélyezi a böngészőnek a kiszemelt forrástól több oldal betöltését, így az adatgyűjtés is megszakad ennek következtében.

A webpoloskával történő gyűjtés sütiken keresztül is megvalósulhat (ún. tracking cookie-k), ha például a weboldalakon képek, scriptek vagy reklámok vannak elhelyezve (http://pet-portal.eu/blog/read/244/?set_language=hun). Ekkor a Privacy Badger letiltja e helyeken a sütiket, és nem engedi a böngészőnek további kapcsolat létrehozását ezekkel az oldalakkal. Amennyiben az oldal funkcióit tekintve nagy szerepet játszanak térképek, képek, betűtípusok vagy más egyéb, az alkalmazás engedélyezi e részleteket, miközben figyelemmel kíséri a tracking cookie-k használatát is.

A Privacy Badger használata során három kategóriába sorolhatóak a látogatott weboldalak, melyek a zöld, a sárga és a piros. A zöld egy harmadik fél domain-jét jelenti, amely még nem lett besorolva az adatgyűjtést véghezvivő oldalak közé. A kiegészítő telepítését követően minden weboldal ebbe az osztályba esik. A sárga kategóriába vannak sorolva azok az oldalak, amelyekről kiderült már, hogy a felhasználókat követik, azonban a webes funkciói miatt az oldal engedélyezett. Ekkor a követést biztosító sütiket megpróbálja kiszűrni a kiegészítő, viszont a további tartalmat megjeleníti. A harmadik, piros színnel illetett oldalak teljes mértékben letiltottak, megnyitásuk sem engedélyezett. Az alkalmazás minden domain-t automatikusan a megfelelő kategóriába igyekszik sorolni, ugyanakkor a felhasználó módosíthatja ezeket, ha kívánja.

A kiegészítőben blacklist funkció nem található például az Adblock Plus-szal ellentétben, mivel nem az oldalak blokkolása a cél, hanem kifogásolhatóságuk következményeként a káros tartalmak kiszűrése. Ezzel ellentétben azonban fehérlistára csoportosíthatóak azok a weboldalak, amelyekről a felhasználók úgy gondolják, hogy veszélytelenek, azonban az alkalmazás mégis rosszindulatúnak találta ezeket.

A Privacy Badger tehát egy viszonylag könnyen kezelhető alkalmazás lehet azok számára, akik szeretnének tudomást szerezni a tracker-ekről, miközben kedvenc vagy ismeretlen weboldalakon böngésznek. Mindemellett természetesen nyitott szemmel érdemes ezt megtenni, és figyelemmel kísérni a további, hasonló szerepkörű kiegészítők adta lehetőségeket is, amelyekkel – akár e szolgáltatással egyetemben – még jobban készek lehessünk az ismeretlen adatgyűjtők okozta kiszolgáltatottság elkerülésére.

Permalink: https://pet-portal.eu/blog/read/659/2015-07-10-Privacy-Badger.php

Forrás: Privacy Badger | Electronic Frontier Foundation

Hozzászólások (0 hozzászólás)

Az Oxfordi Egyetem, az Intel finanszírozásával, két doktoranduszi ösztöndíjat hirdet “Trusted Environments for Privacy-Preserving Analytics” témakörben. Az angol nyelvű felhívás alább olvasható.

Doctoral Studentships: Trusted Environments for Privacy-Preserving
Analytics

Department of Computer Science, University of Oxford

Supervisors: Professors Andrew Martin & Andrew Simpson

Start Date: October 2015

We invite applications for two studentships funded by the Intel
Corporation for a project called "Applying the Trusted Remote
Environment (AppTRE)". One student will study how Trusted Computing
Architectures based on Intel's new SGX technology can be used to
implement "Trustworthy Remote Entities" with strong guarantees of
privacy protection. The other student will study algorithms and
approaches to data analysis which can run in such contexts, processing
privacy-sensitive data without unwanted disclosures.

The studentships are tenable from October 2015, for three years in each
case, subject to satisfactory progress. In special circumstances, it
may be possible to delay the start date. The annual stipend payable is
£17057. The studentship also covers the payment of College and
University fees at the home/EU rate.

More details here: http://www.cs.ox.ac.uk/news/944-full.html

Permalink: https://pet-portal.eu/blog/read/656/2015-07-08-Ket-doktoranduszi-osztondij-Oxfordban.php

Hozzászólások (0 hozzászólás)

A Disconnect Androidra elérhető változata többek között egy a követést, megfigyelést nehezítő alkalmazás. Mivel feltételezhetően a puszta létével (és a kellő felhasználói bázis elérésével) a Google bevételeit veszélyezteti, ezért a keresőóriás eltávolította a szoftvert az alkalmazás boltjából, amelyre a Disconnectet készítője per-rel reagált. A Google ebben az esetben is ugyanazzal a kifogással távolította el az alkalmazást, mint korábban az Adblock Chrome kiegészítő esetében is: sérti a szabályzatukat. Bár a Google tett jelentős lépéseket a privátszféra tiszteletben tartása érdekében, de ezek a lépések is jól mutatják, hogy a tényleges kontrollt nem kívánják visszaadni felhasználóik kezébe.

Permalink: https://pet-portal.eu/blog/read/652/2015-07-06-Nehez-sorsu-privatszfera-vedo-kiegeszitok.php

Hozzászólások (0 hozzászólás)

Az előző bejegyzésben a Firefox böngésző speciális privátszféra-védelmére alkalmas beállításainak első csoportját néztük meg, most jöjjön a folytatás!

Ismét lépjünk be a haladó beállításokat tartalmazó felületre az "about:config" beírásával, majd hagyjuk jóvá a figyelmeztetést (amit egyébként ajánlott komolyan venni!).

1. network.cookie.cookieBehavior = 1
   A sütikezelést lehet szabályozni ezzel a beállítással:
   0 - minden süti elfogadása,
   1 - harmadik felektől nincsen süti elfogadva (ajánlott, mivel ezzel van esély a webpoloskákat "blokkolni")
   2 - minden sütit blokkol 
2. network.cookie.lifetimePolicy = 2
   A sütik az aktuális munkamenet lejáratával törlésre kerülnek. További beállítások:
   0 - megszokott működés, a kiszolgáló dönti el a süti élettartamát
   1 - minden alkalommal engedélyt kér a süti tárolásához
   2 - a sütik csak az aktuális munkamenet végéig maradnak meg
   3 - a sütik N napig maradnak meg
3. browser.cache.offline.enable = false
   Gyorsítótárazás kikapcsolása.
4. browser.send_pings = false
   Ennek segítségével a weboldalak a látogatók kattintásairól értesülhetnek.
5. webgl.disabled = true
   A WebGL futtatási lehetősége önmagában biztonsági kockázattal jár.

Biztonságos böngészést!

Permalink: https://pet-portal.eu/blog/read/651/2015-06-29-A-Firefox-bongeszo-sufnituningolasa-2-resz.php

Forrás: privacytools.io

Hozzászólások (0 hozzászólás)

A mai böngészőpiacon Firefox böngésző tekinthető a leginkább privátszféra-barát választásnak, és úgy tűnik, hogy a Mozilla egyre inkább az emelletti elkötelezettségével kíván kiemelkedni a piacon. Nézzük meg, hogy milyen tuningolási lehetőségeket rejt magában a böngésző, amivel még biztonságosabbá tehetjük a böngészésünket!

Először is lépjünk be a haladó beállításokat tartalmazó felületre az "about:config" beírásával, majd hagyjuk jóvá a figyelmeztetést (amit egyébként ajánlott komolyan venni!).

1. privacy.trackingprotection.enabled = true
   A Mozilla új követésblokkoló opciója, ennek segítségével a webpoloskák az eddiginél hatékonyabban blokkolhatóak!
2. protection.geo.enabled = false
   Letiltja a helyzetinformációnk megosztását weboldalakkal.
3. browser.safebrowsing.enabled = false
   Kikapcsolja a Google biztonságos böngészését. Bár ez biztonsági kockázattal jár, de a privátszféra védelme szempontjából előnyös. (Ugyanis nem küldi el a Google-nek automatikusan, hogy merre járunk.)
4. browser.safebrowsing.malware.enabled = false
   Hasonlóan az előzőhöz, általában előnyösebb megtartani magunknak, merre járunk.
5. dom.event.clipboardevents.enabled = false
   Ha ezt kikapcsoljuk, a weboldalak nem kapnak értesítést arról, hogy például kimásoltunk róluk valamit, illetve a vágólaphoz sem férhetnek hozzá.

A listát hamarosan egy következő bejegyzésben folytatjuk, addig is biztonságos böngészést!

Permalink: https://pet-portal.eu/blog/read/650/2015-06-23-A-Firefox-bongeszo-sufnituningolasa-1-resz.php

Forrás: privacytools.io

Hozzászólások (0 hozzászólás)

A Leuven-i katolikus Egyetem doktoranduszi állást ajánl egy olyan projekt keretében, amely
anonim kommunikációs infrastruktúra kifejlesztését célozza, mix-net alapokon. Az állás 2015. szeptemberében foglalható el. A projekt angol nyelvű leírása és a kapcsolati adatok alább találhatók.


Project Description

PANORAMIX is an EU H2020 project that aims to develop a multipurpose infrastructure for privacy-preserving communications based on "mix-networks" (mix-nets) and its integration into high-value applications. Mix-nets protect not only the content of communications from third parties, but also obscure the identity of the senders or receivers of messages, through the use of cryptographic relays. Mix-nets are necessary for implementing strong privacy-preserving systems and protocols. PANORAMIX aims to realize, integrate and demonstrate the use of an infrastructure for mix-nets in the context of three high-value applications. The objectives are: (1) Building a Mix-Net Infrastructure, creating a mix-network open-source codebase; (2) use this infrastructure to implement private electronic voting, where anonymity is necessary to guarantee ballot secrecy, and verifiability is needed for holding fair, transparent and trustworthy elections; (3) apply the infrastructure to privacy- aware cloud data-handling, in the context of privacy-friendly surveys, statistics and big data gathering protocols, where protecting the identity of the surveyed users is necessary to elicit truthful answers and incentivize participation; and (4) apply the infrastructure to privacy-preserving messaging, where two or more users may communicate privately without third parties being able to track what is said or who-is-talking-to-whom.

The project consortium includes leading academic and industry partners, including KU Leuven, University College London, University of Athens, University of Tartu, and SAP.

Research Topic

Modelling, design, analysis, and implementation of anonymous communication systems. The first task of the student will be to identify the feature set, security and performance tradeoffs in mix-nets. Secondly, the student will investigate methods to efficiently and securely anonymize mid-latency, bidirectional message-based communications. This involves analysing the robustness of mix-net designs towards a variety of adversary models and attacks, and proposing secure designs and configurations. Further, the student will investigate how differential privacy definitions and mechanisms can be adapted to the context of mix-nets.  The student will also contribute to the implementation of the developed methods in a mix-net infrastructure, as well as to the implementation of a privacy-enhanced messaging application that runs on this infrastructure.

Profile and Skills Required

The candidates should hold a master degree in Mathematics, Engineering, or Computer Science have good grades and have a keen interest in computer security and privacy. Fluency in English is an absolute must. Preferably to have passed courses in Cryptography and/or Computer Security.  The applicant should be a team player with the capability to work in an international research team. The candidate should be prepared to deliver high quality research results, attend project meetings with industry partners abroad, work according to tight deadlines and write project deliverables.


To apply, please send following documents (in pdf) to jobs-cosic@esat.kuleuven.be.

• Curriculum Vitae
• Motivation letter
• List of publications
• Relevant research experience
• Study curriculum with rankings
• English proficiency
• Pdf of diploma and transcripts (translation if the original is not in Dutch, English, French or German)
• 1 page research proposal describing which research questions you would like to work on
• Names (and e-mail) of 2 reference persons and the nature of contact with them


Contact: Claudia.Diaz@esat.kuleuven.be
Webpage group: http://www.esat.kuleuven.be/cosic/
Application page: http://www.esat.kuleuven.be/cosic/?page_id=401

Permalink: https://pet-portal.eu/blog/read/649/2015-06-11-PhD-and-postdoc-allasok-a-Leuven-i-Egyetemen.php

Hozzászólások (0 hozzászólás)

Számos alkalommal írtunk már arról, hogy az ingyenességnek ára van; egész pontosan az ingyenes tartalom, amelyért a privátszféránk kiszolgáltatásával fizetünk, nincs is ingyen. Ezt támasztja alá a Firefox legújabb (egyelőre rejtett) beállítása, amellyel a követők tartósan kikapcsolhatóak. Kutatók mérései alapján a webpoloskák kikapcsolása után az Alexa top 200 oldal betöltési sebessége átlagosan 44%-kal gyorsabb lett, és 39%-kal csökkent a betöltés közben keletkező adatforgalom. Ebből jól látszik, hogy nem csupán előnybe hozzuk a megfigyelő vállalatokat a privátszféra eladásával, hanem a megfigyelés alapvetően a mi költségünkön megy: a mi adatforgalmunk csökken ezáltal, és például a mobil készülékek akkumulátorjai is hamarabb lemerülnek.

Az új beállítás könnyen bekapcsolható:

1. Írjuk be az about:config szöveget a böngésző címsorába.
2. Erősítsük meg, hogy odafigyelünk a beállítások kezelésénél.
3. Az itt lévő keresősávba üssük be, hogy privacy.trackingprotection.enabled
4. Majd kattintsunk rá kettőt, hogy aktív legyen, és már be is zárhatjuk a tabot.

Permalink: https://pet-portal.eu/blog/read/647/2015-05-28-Ketszer-fizetsz-az-ingyenes-tartalomert.php

Hozzászólások (0 hozzászólás)

Többéves kutatómunkát lezáró doktori disszertáció született "Protecting Privacy Against Structural De-Anonymization Attacks in Social Networks" címmel, amelyet szerzője, Gulyás Gábor György, a Nemzetközi PET Portál és Blog alapító főszerkesztője a mai napon sikerrel védett meg a Budapesti Műszaki és Gazdaságtudományi Egyetem Villamosmérnöki és Informatikai Karán. A nyilvános védés sajátossága volt, hogy nemcsak a disszertáció íródott angol nyelven, hanem a védés is angolul zajlott, sőt az egyik opponens, Julien Freudiger az Egyesült Államokból Skype-kapcsolat révén vett részt az eseményen. A bíráló bizottság a disszertációt és a szóbeli prezentációt maximális pontszámmal fogadta el és ítélte oda a jelöltnek a PhD fokozatot.

A kutatás eredményeit publikáló egyik angol nyelvű tanulmány itt olvasható.

UPDATE (2015-05-15): a disszertáció online is elérhető ezen a címen.

Permalink: https://pet-portal.eu/blog/read/644/2015-05-13-Uj-doktori-disszertacio-az-anonimitas-temakoreben.php

Hozzászólások (0 hozzászólás)

Ha valaki nem szeretné, hogy webpoloskák kövessék minden mozzanatát a weben, érdemes böngésző-kiegészítőkkel blokkolni ezeket a kis detektorokat. Erre alkalmas például a Ghostery. A kiegészítő mögött álló cég bevételei azon felhasználók után érkeznek, akik bekapcsolják a Ghostrank funkciót – ugyanis a program ilyenkor statisztikát gyűjt arról, hogy a felhasználó milyen reklámokkal találkozott, azok hogyan jelentek meg a gépén, illetve melyeket tiltott le. Majd ezeket névtelenül eladja hirdetőknek, hogy azok tovább tökéletesíthessék rendszerüket.

Ez a kissé ellentmondásos funkció sokakat aggaszt a programmal kapcsolatban, ami érthető is. Viszont mivel nem igazán akad hasonló felhasználó barát, de mégis hatékony blokkoló a piacon, ezért továbbra is elfogadhatónak tűnik a program használata a Ghostrank kikapcsolása mellett. (Feltételezzük, hogy tisztességes játékos a mögötte lévő Evidon.) A Ghostery álláspontjáról itt olvashatsz.

Permalink: https://pet-portal.eu/blog/read/643/2015-04-29-Ghostery-hasznalhatod-de-fontold-meg-a-Ghostrank-et.p...

Hozzászólások (0 hozzászólás)

Az Android (és valamennyi rendszer) egyik fő hiányossága, hogy a jogosultságkezelés elég durván valósítható csak meg. Ha fel akarunk telepíteni egy alkalmazást, el kell döntenünk, hogy az adott jogosultságot megszavazzuk-e a programnak, vagy sem, de hogy aztán ténylegesen mit kezd az adatainkkal, abba nem sok beleszólásunk van. Ezen a helyzeten kíván enyhíteni a SpyAware alkalmazás, amely ingyenes változata figyeli, hogy mit csinálnak a programok, például akkor, amikor nem is használjuk őket.

Hasonlóan a megfigyeltségre és adatgyűjtésre kívánja felhívni a figyelmünket az UglyEmail alkalmazás, amely Gmail-ben jelöli be a web poloskával követett leveleinket. Egyelőre csak Chrome böngészőhöz érhető el, és kevés követő céget ismer, de reméljük hamarosan bővülni fog a támogatott rendszerek és felismert poloskák száma.

Kissé futurisztikus érdekesség, de talán már nem sokáig: az Amazon abban látja a fantáziát, hogy az utánpótlás jellegű vásárlásainkat ne mi magunk intézzük, hanem a különféle eszközeink, mint például az okoshűtőnk. Ez is egy olyan alkalmazás, amelynek számtalan privátszférát érintő kérdése lehet, és valószínűleg a kényelem érdekében sokan majd együtt is kell, hogy éljenek ezekkel.

Permalink: https://pet-portal.eu/blog/read/642/2015-04-15-Privacy-hircsokor-XV.php

Hozzászólások (0 hozzászólás)

Nemsokára Magyarországon is látható lesz az Edward Snowdennel, az amerikai titkosszolgálat törvénytelen lehallgatási és megfigyelési tevékenységét nyilvánosságra hozó informatikussal konspiratív körülmények között készített interjúkon alapuló, Oscar-díjas dokumentumfilm, a Citizenfour. Az első szakmai vetítés ma este lesz az OSA Archívumban, ahol a vetítést megelőző beszélgetésben Skype kapcsolat útján részt vesz Anthony Romero, Snowden ügyvédje New York-ból, és Gill Phillips, az ügyet nyilvánosságra hozó brit napilap, a The Guardian vezető jogásza Londonból.

A forgalmazó tervei szerint lesz egy előzetes vetítés a Titanic Filmfesztiválon és több elővetítés fiataloknak divatos kocsmákban, bisztrókban.

A film magyar feliratos előzetese itt is megnézheto.

Permalink: https://pet-portal.eu/blog/read/641/2015-04-09-Hos-vagy-arulo-A-Citizenfour-c-film-Magyarorszagon.ph...

Hozzászólások (0 hozzászólás)

Évente egy-egy kiemelt esetről tíz évre visszamenőleg itt olvashat.

Permalink: https://pet-portal.eu/blog/read/640/2015-03-28-Mit-erdemes-tudni-a-tomeges-adatlopasokrol-Infografik...

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/639/2015-03-21-Kie-az-adat-lenyomatod.php

Hozzászólások (0 hozzászólás)

Edward Snowden a következőket javasolja a privátszféra online megerősítéséért. Szakmailag egyetértünk, és mivel a javaslatát a kereskedelmi és állami megfigyeléssel szembeni érdekes kombinációnak találjuk, ezért közöljük kiegészítve saját megjegyzéseinkkel.

A tippjeink tehát:

1. Kerüld a közkedvelt online szolgáltatásokat, mint a Google, Facebook és a Dropbox. Ha ezeket nem is akarja valaki vagy nem lehet elkerülni, akkor a szolgáltatás portfóliót érdemes diverzifikálni és többféle szolgáltatót is igénybe venni.
2. Rejtjelezd a meghajtóid. A megfelelő alkalmazásokkal (és körültekintő használattal) védekezhetsz a lopásokkal és illetéktelen másolásokkal szemben.
3. Ne engedd, hogy megfigyeljék, mit csinálsz a weben. A webes szféra gazdasági oldalán ez ma elterjedt gyakorlat, mi is számos cikker írtunk már róla.
4. Rejtjelezd az email-jeid és az egyéb online kommunikációkat. Ezek legtöbbször teljesen nyíltan utaznak a hálózaton, ezért igen könnyű lehallgatni őket, ha van valakinek hozzáférése a hálózathoz. Ha érdekel, hol utaznak a leveleid, próbáld ki ezt a Thunderbird plugint. Gondolj bele, minden Gmail-ből vagy Gmail-be küldött levél végül csak kikökt az óceán túlpartján!
5. Használj Tor böngészőt vagy JondoFox-ot a böngészéshez. Ezek eleve elég jól védenek a webes tevékenység megfigyelésével szemben. Ha lassú, akkor pedig ki lehet kapcsolni a Tor-t a JondoNym-et, és akkor a webes megfigyeléssel szemben még mindig védett leszel.

Egyetértesz vagy tetszett? Add tovább, hogy mások is tudják!

Permalink: https://pet-portal.eu/blog/read/638/2015-03-12-Snowden-5-tipp-a-privatszfera-vedelmeert.php

Hozzászólások (0 hozzászólás)

Egy érdekes cikk annak közelségéről, amikor a számítógépek tudni fogják, hogyan érezzük magunkat. Ne gondoljuk, hogy ez nem érintheti negatívan a privátszféránkat: ma már ügyfélszolgálatok figyelik és elemzik a betelefonálók érzelmi állapotát.

Új hirdetési irányvonal: nem te vagy a termék, hanem te magad vagy a termékajánló.

Az utóbbi hónapokban többször felmerült politikusok részéről, hogy be kellene tiltani a titkosítást, hogy nagyobb biztonságban érezhessük magunkat. Nos, az utóbbi idők eseményei sikere sem ezen múlt, de ha valakit érdekel miért fontos a titkosítás, akkor olvassa el az ACLU írását a témában. E nélkül a PET eszközök sem működhetnek.

A Google a Captcha helyett új eljárást vezetett be tavaly év végén a robotok kiszűrésére: megfigyeli, hogyan pipáljuk ki a "nem vagyok robot" mezőt, és hogyan gépelünk. Ez azonban komolyabb privacy aggályokat is felvet.

Permalink: https://pet-portal.eu/blog/read/637/2015-02-27-Privacy-hircsokor-XIV.php

Hozzászólások (0 hozzászólás)

Ma van a Data Privacy Day, amikor a személyes adatok védelmének fontosságáról emlékezünk meg.

Permalink: https://pet-portal.eu/blog/read/636/2015-01-28-Boldog-adatvedelem-napot-kivanunk-Olvasoinknak.php

Hozzászólások (1 hozzászólás)

A Sony esete megmutatta, hogy igenis szükség van néha a felejtésre: nem árt, ha a cégek időnként archiválják fontos adataikat. A Sonynak többek között azért is fájhat most a feje, mert nem töröltek, és korábbi levelezéseik kapcsán most pereskedhetnek. Magánszemélyeknek is szüksége van erre; nem lehet például valakit a tinédzserkori meggondolatlanságai miatt egy életre megbélyegezni.

Egy egész jó írás a Facebook új arcfelismerő algoritmusáról. A profi arcfelismerés hosszú távon komoly problémákat okozhat.

Közismert, hogy a közösségi gombok az új web bugok. Ezen a helyzeten kíván segíteni a Social Share Privacy, ami visszaadja az irányítást a látogatók kezébe.

Permalink: https://pet-portal.eu/blog/read/635/2015-01-21-Privacy-hircsokor-XIII.php

Hozzászólások (0 hozzászólás)

Az EFF készített (és naprakészen tart) egy listát a népszerűbb, ismert azonnali üzenetküldő szolgáltatásokról, és ezeket néhány egyszerű szempont szerint értékeli: például alkalmaz-e kriptográfiát, illetve ha kompromittálódik valamelyik fél, az azt jelenti-e, hogy a korábbi beszélgetések is olvashatóvá válnak a támadó számára (ún. forward secrecy). Infók és értékelések az alábbi képre kattintva!

Permalink: https://pet-portal.eu/blog/read/634/2015-01-14-Biztonsagos-azonnali-uzenetkuldes-Az-EFF-IM-listaja-s...

Hozzászólások (0 hozzászólás)

Az AdNaseum egy Firefox kiterjesztés, ami együttműködik a reklámblokkoló kiterjesztéssel, és rákattintgat az összes blokkolt reklámra, hogy helyettünk összezavarja a hirdetőket. Erről írtunk korábban, de ami miatt érdemes elővenni a témát újra: ilyen színvonalas kedvcsináló videót (PET-ekhez) ritkán látni!

Permalink: https://pet-portal.eu/blog/read/633/2015-01-08-AdNaseum-kattintgasson-mas-a-reklamokra-helyetted.php

Hozzászólások (0 hozzászólás)

A Princeton egyetem kutatócsoportjában megnézték, hogy egy NSA szintű megfigyelő milyen mértékben képes követni valakinek az online tevékenységét a sütik alapján, és meglepő eredményre jutottak: alapesetben a böngésző tevékenységének kb. 60%-a megfigyelhető, és ezen a különféle eszközök is vajmi keveset tudnak javítani. Az általam is legjobbnak ítélt megoldás, a Ghostery is csak 20% körülire tudja leszorítani ezt az eredményt.

Különféle privátszféra erősítő megoldások esetén (ill. balra alapesetben) az online tevékenység feltüntetett hányadát képes kövezni a sütik alapján egy globális megfigyelő. [forrás]

A karácsonyi dömpingben érdekes színfolt volt a Privacy International adománygyűjtő kampánya, ahol megtudhattuk, hogy a mikulásnak milyen nehézségekkel kell megküzdenie, amikor a kormány a jók és rosszak listájának átadására kötelezi. (És hogy ez a valóságban miért érint mindannyiunkat.)

Itt pedig egy érdekes írás, hogy miért is te vagy a termék, ha Facebook-ot használsz.

Permalink: https://pet-portal.eu/blog/read/632/2015-01-03-Evkezdo-privacy-hircsokor-XII.php

Hozzászólások (0 hozzászólás)

Békés karácsonyt és kellemes ünnepeket kívánunk Olvasóinknak!

Permalink: https://pet-portal.eu/blog/read/631/2014-12-23-Kellemes-unnepeket-kivanunk-Olvasoinknak.php

Hozzászólások (0 hozzászólás)

2015 International Workshop on Privacy Engineering – IWPE'15
A 36. IEEE Symposium on Security and Privacy társrandezvénye
2015. május 21. Fairmont, San Jose, California, USA

Website: http://ieee-security.org/TC/SPW2015/IWPE/index.html

CfP: http://ieee-security.org/TC/SPW2015/IWPE/topics.html

Határidő: 2015, január 23.

Angol nyelvű ismertető:

The 2015 International Workshop on Privacy Engineering is dedicated to privacy engineering research. Engineers are increasingly expected to build and maintain privacy-preserving and data-protection compliant systems in different ICT domains such as health, energy, transportation, social computing, law enforcement, public services; based on different infrastructures such as cloud, grid, or mobile computing and architectures. While there is a consensus on the benefits of an engineering approach to privacy, concrete proposals for processes, models, methodologies, techniques and tools that support engineers and organizations in this endeavor are few and in need of immediate attention.

Permalink: https://pet-portal.eu/blog/read/630/2014-12-18-2015-International-Workshop-on-Privacy-Engineering-82...

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/628/2014-12-15-Video-Why-privacy-matters.php

Hozzászólások (0 hozzászólás)

Manapság sokan használják a böngészőjüket jegyzetfüzetnek. Megnyitnak sok sok lapot, majd bezárás nélkül továbblépnek, nyitnak egy új lapot, hogy madj az előbbire visszatérnek. A sok megnyitott lapra nem figyelünk folyamatosan, mondva, hogy ha lesz rá idő, akkor megcsinálom.

Ezt használja ki a tabnabbing adathalász módszer. Figyeli a megnyitott lapokat, és érzékeli, hogy éppen melyiket nézzük. Érzékeli, ha egy lap kikerül a focus-ból, és ekkor jön a támadás. Amíg nem figyelünk oda, egy javascript segítségével betölt egy másik, számunkra ismerős weblapot, például a gmail-t. Természetesen nem a www.gmai.com-ot, hanem egy ehhez hasonló kinlzetű oldalt, ami kéri tőlünk a bejelentkezéshez szükséges adatainkat.

A sok megnyitott lapot lehetetlen nyomonkövetni. Nem látunk mást belőlük, csak a címsorba írt pár szót, de sok esetben ezt sem, csupán a favicont. Amikor a felhasználó visszanavigál erre az oldalra, akkor abban a hitben van, hogy a gmail oldalára tér vissza, hiszen látta a favicont, a megszokott kis piros fehét borítékot. Ekkor látja, hogy ki van jelentkezve. Azt hiheti, hogy véletlen valamikor kijelentezett, pedig ekkor is be van jelentkezve. Szépen megadja az adatait, és rákattint a bejelentkezésre. Ekkor jön az igazi erőssége a módszernek. Mivel nem is voltunk kijelentkezve, a weblap egyszerüen elküldi a megadott felhasználónév jelszó adatainkat az adathalásznak, majd átirányít a gmail-re, ahol megjelennek a leveleink.

Lényegében észrevétlenül lopták el az adatokat, mintha semmi nem is történt volna.

Permalink: https://pet-portal.eu/blog/read/627/2014-12-11-Tabnabbing.php

Forrás: Tabnabbing az új adathalász módszer

Hozzászólások (0 hozzászólás)

A GreedyBTS egy olyan demó célzattal készült GSM bázisállomás, amely sikeresen magához csalja a hívásokat és lehetővé teszi a hívó fél identitásának felfedését, és a hívott számét is, illetve a beszélgetést is le lehet segítségével hallgatni.

Videó:

GreedyBTS - Hacking Adventures in GSM from Hacker Fantastic on Vimeo.

Permalink: https://pet-portal.eu/blog/read/626/2014-12-06-GreedyBTS-elkapja-a-hivasaid.php

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/625/2014-11-30-Video-lehallgatas-hangszigetelt-uvegen-keresztul.php

Hozzászólások (0 hozzászólás)

Az alább meg lehet nézni Julia Angwin előadását arról, hogy mit jelent majd, ha a privacy csak a gazdagok kiváltsága lesz. A hölgy egyébként ismert, a témában jártas szakújságírónak számít, és több színvonalas cikke jelent meg a WSJ-on a témában.

Permalink: https://pet-portal.eu/blog/read/624/2014-11-26-Julia-Angwin-a-gazdagoknak-lesz-csak-privatszferajuk....

Hozzászólások (0 hozzászólás)

Alább meg lehet nézni az első részt, és a végén van link a következő részre ugráshoz!

Permalink: https://pet-portal.eu/blog/read/623/2014-11-18-Hat-reszes-sorozat-arrol-hogyan-kovet-a-mobilod-par-p...

Hozzászólások (0 hozzászólás)

A Facebook már elérhető TOR felhasználóknak is. Nagyszerű, de ez kissé ellentmondásos: a TOR lényege épp az információk elrejtése, a Facebook pedig álnéven elvben nem használható. Bár bizonyos esetekben van értelme. Azon kívül, hogy az IP címünket így elrejthetjük, arra lehet jó, hogy a TOR használtából nem kell kilépni a Facebook belépéshez, így a kereskedelmi megfigyelőkkel, állami cenzúrával sem kell találkoznunk. Azonban az identitásunk ígyis, úgyis felfedjük, hiszen belépés miatt úgyis azonosítanak.

Kevés olyan példa van, amikor az adatgyűjtés és feldolgozás úgy valósul meg, hogy a felhasználók privacy-ját is figyelembe veszik. (Hozzá kell tenni, hogy nem véletlenül, mert ez nem egy könnyű és általánosan megoldott probléma jelenleg.) Erre mutat jó példát a Google RAPTOR, ami lehetővé teszi a szoftverhasználati statisztikák elemzését anélkül, hogy az egyes felhasználókra következtetni lehetne. Köznyelvre fordítva információk itt, tudományos cikk itt.

Az nem kérdés, hogy a Google sokat tesz annak érdekében, hogy minél több és pontosabb adathoz jusson hozzá, a legtöbb esetben személyre szólóan. Az már inkább kérdésesebb, hogy egyes szolgáltatásainak mi adja a motivációt; ez alól a Google Fonts sem kivétel. Van, aki arra tippelt, hogy ez is egy kém-eszköz, ami automatikusan működésbe lép, ha valaki tőlük használ fontot a weboldalán. A helyzet az, hogy tényleg így van, kipróbáltam: létrehozza a megfelelő sütiket a Google Fonts használata.

Permalink: https://pet-portal.eu/blog/read/622/2014-11-05-Privacy-hircsokor-XI-valogatas-a-privatszferat-erinto...

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/620/2014-10-31-Vicces-Invasion-of-the-Data-Snatchers.php

Hozzászólások (0 hozzászólás)

A webes nyomkövetésről nyilatkozott a Szonda műsorának Gulyás Gábor, a CrySyS labor munkatársa, illetve a szakmai felügyelete alatt tevékenykedő Szerencsés Ákos, aki elnyerte "az év információvédelmi szakdolgozata 2014" címet az egér-alapú azonosítással foglalkozó munkájával.

Az interjú itt meghallgatható:

http://www.mediaklikk.hu/musor/szonda/
2014. október 26. (kb. 6 perces interjú az első perctől kezdődően)

Permalink: https://pet-portal.eu/blog/read/619/2014-10-27-Interju-a-Kossuth-Radioban-argus-szemek-figyelnek-min...

Hozzászólások (0 hozzászólás)

Örömmel ajánlom olvasóink figyelmébe az

új letölthető diplomatervet!

Kristóf dolgozatába egy a szakirodalomban elterjedtebb, közösségi hálózatok deanonimizálására használt algoritmust vizsgált meg. Ez az algoritmus a támadó háttérismeretétől függően nagymértékben képes újraazonosítani a felhasználókat, amely tipikusan 20-50% között mozog, de akár a 90% körüli értékeket is elérheti. A dolgozat ezen algoritmus inicializációs fázisára fókuszál és azt vizsgálja, vajon a bevett módszerektől ha eltérünk, lehetséges-e hibatűrőbb módon lefuttatni az algoritmust? A dolgozatot tudományosabb és absztraktabb jellege miatt első sorban a technikai részletek iránt érdeklődő olvasóinknak ajánlom!

Kellemes olvasást kívánok!

Permalink: https://pet-portal.eu/blog/read/618/2014-10-23-Uj-tanulmany-a-kozossegi-halozatok-deanonimizalasi-te...

Hozzászólások (0 hozzászólás)

Hirdetések a Snapchat-en

A Snapchat-en is megjelennek hamarosan hirdetések, de nem is akármilyenek: hagyományos, nem célzott hirdetések. Ennek a hírnek kuriózuma, hogy eljutottunk odáig, hogy ha nem a személyes ízlésre szabott hirdetésekről van szó, az számít hírnek. Ebből is jól látszik, hogy a megfigyelés és a célzott hirdetések ma már a status quo a weben. (Bár az is jó kérdés, hogy ettől függetlenül gyűjtenek-e információkaté és ha igen, mire használják – ennek fényében könnyen lehet, hogy ez a hír csupán egy üres marketingfogás.)

Az Apple lesz az új Google?

Az Apple TV lehet a jövőben az okoslakások egyik potenciális agya: "az utasítás eljut az Apple TV-be, a készülék az Apple szervereinek segítségével értelmezi azokat, és kiadja a megfelelő utasításokat a megfelelő rendszereknek". Ezáltal előfordulhat, hogy nem csak Facebook-on lesz nagyobb hatalma az NSA-nek az érintettek profilja felett, hanem az otthonjaikban is. :)

Facebook és privacy: üres metszet :)

Ebben a leírásban arról olvashatunk, hogy hogyan listázhatóak ki valakinek a Facebook baráti listája, akkor is, ha az nem publikusra van állítva. Röviden: ha egy ismerősünk van csupán, akkor az ő ismerősei közül, illetve megerősítés alatt álló kapcsolataiból válogat a rendszer. Néhány próbálkozással így a teljes lista kinyerhető. Ügyes.

Permalink: https://pet-portal.eu/blog/read/615/2014-10-14-Privacy-hircsokor-X-valogatas-a-privatszferat-erinto-...

Hozzászólások (0 hozzászólás)

Az EU által támogatott IRISS (Increasing Resilience in Surveillance Societies) nemzetközi kutatási projekt az Eötvös Károly Intézet közreműködésével kézikönyvet jelentetett meg a megfigyelésekkel szembeni reziliencia (rugalmas ellenállóképesség) témájában. Az angol nyelvű kézikönyv első része röviden összefoglalja a megfigyelő társadalmak (surveillance societies) jellegzetességeit és nemkívánt hatásait, a második rész átgondolandó, megválaszolandó kérdéssorokat tartalmaz a megfigyelésekben érintett döntéshozók, a tanácsadó cégek, a szolgáltatók, a média, a civil szervezetek és a társadalom tagjai számára, a harmadik rész pedig összefoglalja azokat az intézkedéseket – köztük a Privátszférát Erősítő Technológiák alkalmazását –, amelyek javíthatják a jelenlegi helyzetet és minimalizálhatják a megfigyelés káros hatásait az egyénekre, csoportjaikra és a társadalom egészére.

A kézikönyv online változata olvasható az IRISS projekt honlapján, és a teljes kiadvány is letölthető PDF formátumban.

Permalink: https://pet-portal.eu/blog/read/616/2014-10-13-Kezikonyv-a-megfigyelesekkel-szembeni-ellenallokepess...

Hozzászólások (0 hozzászólás)

Jelentős előrelépés a webes nyomkövetésben

Az Index is írt róla, hogy a Facebook új hirdetési megoldásokkal közelít, amelyekkel az egyes személyek különféle eszközeit is össze tudják majd kapcsolni a hirdetési kampányokban. Bár nem tudni, hogy oldják majd ezt meg, de vannak tippjeim. Kisebb hirdetők már évek óta alkalmaznak ilyen módszereket, amelyek az eszközön végzett tevékenység alapján válogatják össze a hasonlóakat, így végül kiszűrve, hogy mely eszközök tartoznak egy személyhez. (Kicsit bővebben: az eszközöket eszköz ujjlenyomattal azonosítják, majd megfigyelik a tevékenységet, és statisztika, ill. data mining eszközökkel keresnek hasonló tevékenységet mutató eszközöket.)

Ebből a szempontból ez nem egy érdekes hír, ami az újdonság, hogy ilyen mainstream szereplő, mint a Facebook (vagy pl. a Google) még nem alkalmazott ilyesmit. A webes hirdetésiparban ma még a süti alapú nyomkövetés a leginkább fajsúlyos azonosítási módszer, ami legalább ad valamennyi mozgásteret a felhasználónak. Félő, hogy a Facebook-ot további nagyobb szereplők is követik majd, és így a nehezebben kezelhető és megkerülhető ujjlenyomatok lesznek elterjedtek.

Mirriad - személyre szabott termékelhelyezés videóban

Érdekes koncepcióval ált elő a Mirriad nevű cég, amellyel bármely videóban elhelyezhetőek dinamikusan cserélhető hirdetések, akár a néző ízlésprofilja alapján is. Ha ez elterjed (valószínűleg hatékonyabb lesz, mint a video előtti-alatti hirdetések, és így várhatóan el is fog terjedni), akkor ezt erősíteni fogja a célzott hirdetések alapját szolgáltató webes nyomkövetési technikák elterjedését.

Csuklóról indítható drónok

A PTO írt a csuklóról indítható drón koncepciójáról. Ez azon kívül, hogy jópofa játék felnőtt gyerekeknek :), illetve kivételes esetekben hasznos alkalmazás lehet tájkép vagy csoportkép készítésekor, valószínűleg nem fog bekerülni a hétköznap rendszeresen használt tárgyaink közé. Azonban egy újabb olyan technológia, ami elősegíti az átlagember számára is az invazív megfigyelést, pl. mások magánéletének a kifürkészését, kerítésen belülre való betekintést (vannak-e otthon, van-e érték az udvaron), stb. Senki sincs felkészülve az efféle eszközök tömeges elterjedésére, sem a jog, sem a rendészeti szervek, sem az emberek, pedig egész biztos erős negatív hatása lesz, ha ezek tömegesen elterjedtté válnak majd.

Permalink: https://pet-portal.eu/blog/read/614/2014-10-06-Innovacio-ahol-a-mellekhatas-a-privatszfera-erozioja....

Hozzászólások (0 hozzászólás)

Az idei Usenix Security konferencián két cikk is foglalkozott a jelszómenedzserekkel. Ezeknek az alkalmazásoknak a célja, hogy segítségükkel ne nekünk kelljen biztonságos (és bonyolult) jelszavak tömkelegét megjegyezni, hanem mindössze egyet. Az egyik kritizált szolgáltatása ezeknek az alkalmazásoknak az automatikus kitöltés, amelyet például a keepass is tud: egy adott billentyűkombinációra felkínálja az általa alkalmasnak talált jelszavakat, majd kitölti az aktiváláskor fókuszban lévő űrlapot. (A keepass esetén például az ablak fejléce szerint lehet szűrni, ami weboldalanként eltérő lehet, és függetlenül a konkrét böngészőtől is használható.) Ezzel a probléma a kutatók szerint az, hogy ez nem kívánt információszivárgáshoz vezet. Bruce Schneier a cikkek fényében továbbra is a saját alkalmazását javasolja, bár ez sajnos egyik elemzésben sem került górcső alá.

Aki pedig nem szeretne ilyen programokkal bíbelődni, itt van néhány tipp a biztonságos jelszavak készítéséhez.

Permalink: https://pet-portal.eu/blog/read/610/2014-09-24-Milyen-jelszomenedzsert-erdemes-hasznalni.php

Hozzászólások (1 hozzászólás)

A Hétpecsét Információbiztonsági Egyesület a tegnapi napon kihirdette az "Év információvédelmi szakdolgozata" címet, amelyet Szerencsés Ákos nyert el Webes egér hőtérképek készítése és elemzése című munkájával. A nyertesnek ezúton is gratulálunk!

A szakdolgozat letöltése.

A weben ma már szinte sokásos üzletnek mondható egy weboldal látogatóinak az egérműveleteinek figyelése, naplózása, és statisztikai célú feldolgozása. Számos cég értékesít ilyen szogláltatásokat, sőt, ezek akár olyan pontosságúak is lehetnek, hogy az egyes felhasználók tevékenysége videó-szerűen visszajátszható. Ez érzékelhetően átlép egy újabb határt a privátszféránkban.

Azonban felmerülhet a kérdés, hogy hasonlóan ahhoz, ahogy az eszközök ujjlenyomatozhatóak jellmezőik alapján, úgy az efféle egérmozgások is alkalmasak-e a felhasználó beazonosítására. Ez egyféle biometrikus azonosítás lehetőségét veti fel, amely függetlenül a használt eszköztől azonosíthatja tulajdonosát.

Ákos dolgozata alapozó munka, amelyben az azonosíthatóság kérdését vizsgálja: az egérmozgásokból kinyerhetőek-e olyan jellemzők, amelyek konzisztensek az egyes felhasználók esetében, azonban megkülönböztetik bizonyos mértékben az egyes felhasználókat egymástól. Ákos ennek érdekében egy bookmarklet alkalmazást készített, amely lehetővé tette ilyen jellegű adatok gyűjtését. A szakdolgozat kitér az így gyűjtött 5 felhasználó adatának elemzésére is.

Ákos jelenleg egy profibb adatgyűjtő alkalmazáson dolgozik, amellyel több száz felhasználót is be tud vonni az adatgyűjtésbe, és a szakdolgozatban vizsgált állítások precízebben megerősíthetők és cáfolhatóak. Valamint nem csupán a privátszféra potenciális kiszolgáltatottságának a felmérése a cél, hanem olyan megoldások, eszközök készítése, amelyek a kialakuló helyzetben orvoslásul is szolgálhatnak.

Permalink: https://pet-portal.eu/blog/read/613/2014-09-18-Az-ev-informaciovedelmi-szakdolgozata-Webes-eger-hote...

Hozzászólások (0 hozzászólás)

Sokan úgy használják a böngészőjüket, hogy az egyféle archívumként is szolgál egyben: több tíz tab van nyitva párhuzamoan, amelyek zömét sosem tervezik bezárni. A tabnabbing támadás ezt használja ki. Ahelyett, hogy gyanús URL-re terelné a felhasználót a phisher, inkább újrahasznosít: amikor detektálja, hogy a felhasználó valamelyik tabját rég használta (másik tabra váltott), akkor az ottani favicon-t, illetve tartalmat átírja úgy, mintha az egyik másik oldal lenne. Mivel eleve nyitott tabról van szó, a felhasználó kevésbé valószínű, hogy meg fogja nézni az URL-t, inkáb csak azt nézi, hogy melyik tabon van ott a gmail ikonja és felirata. Hogy aztán tényleg egy gmail-re hasonlító ablakot kapjon.

Demonstráció itt.

Permalink: https://pet-portal.eu/blog/read/612/2014-09-16-Tabnabbing-uj-phishing-koncepcio.php

Hozzászólások (0 hozzászólás)

Két új technikai riportot tettünk közzé a tanulmányok szekcióban – bár a riportok 2010-ben készültek, most tesszük őket közzé először. Az egyik Paulik Tamás szakdolgozata után készült rövidített dokumentum, amely a Blogcrypt webes titkosító alkalmazást és az akkori konkurenciáját mutatja be, és tartalmaz egy részletes összehasonlítást is, amely itt jelenik meg először. A másik dokumentum pedig Dargó Sándor diplomatervét követően egy identitásmenedzsmentet tartalmazó anonim böngésző tervezését és elkészítését mutatja be.

Permalink: https://pet-portal.eu/blog/read/611/2014-09-12-Uj-tanulmanyok-a-PET-Portalon.php

Hozzászólások (0 hozzászólás)

Valószínűleg több olvasónk is használta a TrueCrypt-et, amely egy nyílt forráskódú, széles funkciótárral bíró merevlemez titkosító alkalmazás (volt). Sajnos a fejlesztését abbahagyták arra hivatkozva, hogy az alkalmazás léte ma már nem kritikus, mert alapértelmezettként van a Windows-ban beépített alternatíva. Folyamatában a leállás érdekesre sikerült: egy közösségileg finanszírozott audit után bejelentették, hogy leállnak a fejlesztéssel, és furcsa módon a Microsoft Windows 7-8-ban elérhető merevlemez titkosított ajánlották a TrueCrypt helyett (erről, a Bitlockerről írunk később). Bár a TrueCrypt továbbra is letölthető a hivatalos oldalról, ezzel azonban már nem tudunk új partíciókat (vagy tárolókat) létrehozni. Ebben a bejegyzésben megnézzük, mik a főbb alternatívák.

Gyorstipp: az ingyenes programok közül a DiskCryptor-t, a fizetősek közül pedig a BitLocker-t javasoljuk.

Permalink: https://pet-portal.eu/blog/read/609/2014-09-09-Viszlat-TrueCrypt-mit-erdemes-valasztani.php

Tovább (0 hozzászólás)

A EFF által készített PrivacyBadger hasonló eszköz, mint például a Ghostery: webes követőket lehet vele ellenőrizni és letiltani. Három szintet lehet tracker-enként engedélyezni: le lehet tiltani ezeket, blokkolni a tőlük származó sütiket, illetve engedélyezhetjük is őket. Szimpatikus eszköz, sajnos nálam alapértelmezésként mindent engedett, és kicsit sziszifuszi munkának tűnik mindent beállítgatni.

Firefox és Chrome böngészőhöz is elérhető.

Permalink: https://pet-portal.eu/blog/read/607/2014-08-31-PrivacyBadger-blokkolja-a-webes-nyomkovetoket.php

Hozzászólások (1 hozzászólás)

Mindössze alig 65 évvel ezelőtt, mikor Orwell megírta híres 1984 című regényét, még csak disztópia (negatív jövőkép) volt a mindent felügyelő állam, illetve az ezt megvalósító technológia, a telekép (televízióba épített kamera), ma azonban már a mindennapjainkban is elterjedtek olyan eszközök, melyek segítségével akaratunk ellenére hatolhatnak be a privátszféránkba.

Permalink: https://pet-portal.eu/blog/read/608/2014-08-26-Privacy-App-a-leleplezett-Orwell-i-megfigyeles.php

Tovább (0 hozzászólás)

A MiniLock alkalmazás alapfunkcióiban nem nyújt semmi különöset: fájlonkénti titkosítást tesz lehetővé. Azonban nem is ez az érdekes benne, hanem a felülete, ugyanis rendkívül egyszerű használni, és az NSA-biztos titkosítás helyett most ez a lényeg. Nem igényel regisztrációt, hanem a megadott email címből és jelszóból legenerál egy publikus kulcsot, amellyel máris címezhetőek vagyunk. Használata pedig roppant egyszerű, mint az alábbi illusztráció is mutatja. (Az elkészült fájl a Chrome letöltési mappájába kerül.)

Permalink: https://pet-portal.eu/blog/read/606/2014-08-23-MiniLock-iskolapeldaja-hogy-egy-PET-nek-mennyire-kell...

Hozzászólások (0 hozzászólás)

Napjainkban kezd kialakulni az emberek egy csoportjában egyfajta negatív érzés a legnagyobb online cégekkel szemben, ugyanis e vállalatok lassacskán többet tudnak rólunk, mint mi magunk, hiszen rengeteg adatunkat tároljuk online. Ilyen adatok például a Google fiókban tárolt névjegyeink, illetve naptárbejegyzéseink is. Ha androidos telefont használunk, az összes kontaktunk és esemény bejegyzésünk alapbeállításként automatikusan a Google szervereire mentődik, ezzel is növelve kiszolgáltatottságunkat.

Permalink: https://pet-portal.eu/blog/read/604/2014-08-12-Flock-a-Google-mentes-privat-android-cimtar.php

Tovább (0 hozzászólás)

Curtis Wallen érdekes kísérletbe fogott: létrehozta Aaron Brown-t, egy teljes egészében fiktív személyt, hamis jogosítvánnyal, autóbiztosítással, social security kártya másolattal, saját weboldallal, önálló pénztárcával (10 bitcoinnal feltöltve), stb. Vélekedése szerint lehetetlen feladatba fogott egy fiktív személy teljes felépítésével, de szerintem meglepően jól sikerült a kísérlete, és egyáltalán nem tűnik lehetetlennek a megismétlése. Ami viszont kevésbé tetszetősen kitűnik a leírásából, hogy milyen sok erőfeszítést igényel a valódi és egy fiktív identitás elválasztása, és így a digitális világban az újrakezdés. Ma már ez nem működik csupán TOR, és hasonló PET-ek használatával, számos szolgáltatás valódi identitást kér. Ezt egyes esetekben bemondással is meg lehet kerülni (pl. Facebook), de nem mindig.

A cikk végén azt is összegzi, miért is fogott a kísérletbe:

• mert a web erős tervezett befolyással van ránk, amiről néha mi is értesülünk,
• mert az amerikai kormány is befolyásolni szeretné az emberek véleményét (a hagyományos médiában ezt is itthon is gyakran látjuk),
• mert egyes cégek megválogathatják a lehetőségeinket az alapján, amit kifürkésznek rólunk.

Ezek mind annak a jelei, hogy mi történik, ha feladjuk a privátszféránkat: elveszítjük a szabadságunk egy részét, és lehet, hogy mi magunk se fogunk tudni erről.

Permalink: https://pet-portal.eu/blog/read/603/2014-08-07-Mire-lehet-jo-egy-online-alidentitas.php

Hozzászólások (0 hozzászólás)

A Forbes egyik cikke azt elemzi, hogy miért rémálom a felejtéshez való jog bevezetése a Google és az EU-s jogalkotók számára is. Röviden: magánszemélyek kérhetik, hogy a nevükhöz kapcsolódóan mely találatok ne jelenjenek meg a keresési listában, és ehhez indoklást is kell csatolniuk.

A Google számára azért, mert eddig is már 100 000 kérést kaptak, amely a kérések jellegét tekintve elég vegyes volt, és kb. a felét el is fogadták. Ez egy óriási kérésmennyiség, és nehezen bírkóznak meg a feladattal az illetékesek. Az EU részéről pedig azért problémás, mert a nem kívánatos találatok csak az EU-n belül kerülnek ki a találati listáról (amit manapság nem nehéz kijátszani), ráadásul a link eltávolításakor értesítik az érintett médiumokat is, ami könnyen hozzájárulhat a nem kívánatos ügyek felmelegítéséhez. (Abba is érdemes felhasználóként belegondolni, hogy az efféle kérelmek beküldésekor jelezzük a szolgálatónak és a külvilágnak is, hogy mely témák érzékenyek és fontosak számunkra.)

Az alapprobléma viszont az, hogy a Google mentalitásával ez egy teljesen ellentétes kérés, és ez a rendszer sosem arra volt kitalálva, hogy felejteni tudjon. Hanem hogy mindig, mindent elérhetővé tegyen, és lehetőleg egyre több mindenhez férhessen hozzá. Az efféle funkcióknak nem utólagos foltnak kellene lennie, hanem a rendszer alapelemének. Az internet közemberének is kell, hogy járjon a privacy, és nem csupán a rendszer felett álló milliomosoknak.

Permalink: https://pet-portal.eu/blog/read/602/2014-07-28-Miert-keseru-a-szajize-a-Google-nek-es-az-EU-jogalkot...

Hozzászólások (0 hozzászólás)

Egy új tanulmány jelent meg a közelmúltban, amely a permanens tracking cookie-k (evercookie), és a süti-cserélgetés elterjedtsége mellett felmérte az ujjlenyomat technikák egyik ismert módszerének, az ún. canvas fingerprinting-ét is. Ezen technika alapelve, hogy a háttérbe rejtve a meglátogatott weboldalon egy webpoloska a HTML5 canvas elemére renderel egy szöveget vagy más ábrát, és a renderelési idő és a létrejött kép egyéb tulajdonságai alapján egy ujjlenyomatot készít a számítógépnek.

A KU Leuven és a Princeton munkatársai a top 100 000 weboldal több mint 5%-ánál találtak ilyen jellegű nyomkövetést, míg az eddigi felmérések 1% alatti elterjedtségről zámoltak be. Ezek igen jelentős része az addthis.com közösségi toolbar szolgáltatóhoz vezetett vissza, aki el is ismerte ezt. A cikk szerzőinek a célja a problémára való figyelemfelhívás volt, hogy szülessenek jobb eszközök, amelyek az efféle technikáknak is ellene állnak. Pedig nem csupán TBB (Tor Browser Bundle) segítségével lehet védekezni, például a Ghostery is rendelkezik pár mintával, ami ezeket szűri (minták itt).

Érdeklődök letölthetik az érintett forráskódokat, gyűjtött adatokat is, és a szerzők interaktív felületén is elmélyedhetnek a részletekben.

A dailymail írása a tanulmányról itt olvasható.

Permalink: https://pet-portal.eu/blog/read/601/2014-07-24-Uj-kovetesre-hasznalt-ujjlenyomat-technika-terjed-a-w...

Hozzászólások (0 hozzászólás)

Az EU-ban bevezetett felejtéshez való jog miatt a Google is kénytelen volt csiszolni felületén (ha valakit érdekel a leírás, hogy ez hogy működik és mit érdemes tudni róla, olvassa el itt). Már egy hónapja is egész sokan éltek vele, és látszólag ez egy hasznos dolog. Azonban ez hosszú távon kontraproduktív is lehet: ezzel a Google felé jelezzük, hogy melyek a nekünk érzékeny információk, és ez által még pontosabb képet kaphat a felhasználóiról.

A reklámcégek szeretnék leolvasztani még inkább az off- és online világ közötti kapcsolatot, hogy az online profilok mellé több offline információt is csatolhassanak.

Itt olvasható Arvind Narayanan bejegyzése arról, hogy a crypto eszközök és a PET-ek nem csupán önvédelemre használhatóak, hanem tüntetőleges fellépés és polgári engedetlenség kifejezésére is. A különbséget a használat módjában látja: az önvédelem inkább az egyéni használat esetén áll fenn, míg a másik amikor sokan használnak ilyen technológiákat. Ez utóbbinál biztos, hogy megnehezítik az NSA és hasonló csoportok tömeges megfigyelési kísérleteit.

Protonmail: önmagát a szólásszabadság fontos eszközeként hirdeti, és valóban fontos is, ahogy ezt a Snowden ügynél láthattuk. Érdemes lehet kipróbálni, de aki biztosra akar menni várja meg, míg kiállja az idő próbáját.

Egy érdekes cikk arról, hogy mennyire nem bízhatunk meg a mobilunkban.

Permalink: https://pet-portal.eu/blog/read/600/2014-07-04-Erdekessegek-es-hirek.php

Hozzászólások (0 hozzászólás)

A lentebbi munka a CrySyS Lab Privacy munkacsoportjának terméke.

Előzmények

Korábban már foglalkoztunk az ingyenes közösségi kapcsolatokat átláthatóvá tevő szolgáltatással, az „If This Than That”-tel. Akkor azt vizsgáltuk, hogy az alapfunkciók miképp viszonyulnak az online magánszférához, illetve annak védelméhez. Sajnos a tapasztalataink lehangolóak voltak, ugyanis a legtöbb szolgáltatás nem erősíti, sokkal inkább gyengíti a privátszférát.

Ha valaki lemaradt az előző bejegyzésről, ide kattintva elolvashatja.

Ma egy konkrét ötletet meg is valósítunk, ami a privátszféra védelmére alkalmas.

Kattints a folytatáshoz!

Permalink: https://pet-portal.eu/blog/read/599/2014-06-26-Python-Mail-Script-8211-az-IFTTT-kibovitese-2-resz.ph...

Tovább (0 hozzászólás)

A lentebbi munka a CrySyS Lab Privacy munkacsoportjának terméke.

Ma egy digitális világban élünk, ahol minden-mindennel össze van kötve, és ahol a kapcsolatok átalakulása miatt a személyes szféra is fellágyult. Ennek köszönhetően ma már természetesnek mondható, ha az emberek olyan információkat, eseményeket, fényképeket, esetleg bensőséges dolgokat osztanak meg másokkal, melyek közzé tétele korábban elképzelhetetlen volt. Sőt, nem csak mi magunk, hanem akár mások is velünk kapcsolatban, ami jelentősen megnehezíti az információáradat kezelését.

Ebben a rengetegben segít rendet teremteni a címben is említett If This Then That – röviden IFTTT (ejtsd: „ift”) –– nevű szolgáltatás, amelynek célja, hogy kezelhetővé tegye a minket körülvevő információ dömpinget azáltal, hogy különböző médiumokat és csatornákat köt össze egyszerű feltételek mentén: ha valami történik a médiumon, automatikusan az általunk megadott módon reagál.

Kattints a folytatáshoz!

Permalink: https://pet-portal.eu/blog/read/598/2014-06-23-If-This-Then-That-Orszem-a-digitalis-korban.php

Tovább (0 hozzászólás)

A CV Dazzle célja, hogy olyan stílusokat ajánljon, amelyek divatosak, vállalhatóak, és legálisak (maszkok viselete például nem mindenhol megengedett). Hasonló koncepcióval készítik a már ténylegesen PET-nek számító Privacy Visor szemüveget.

Permalink: https://pet-portal.eu/blog/read/597/2014-06-18-CV-Dazzle-stylist-technika-arcfelismeres-ellen.php

Hozzászólások (0 hozzászólás)

Sok esetben olyan nehéz megvédeni egy bizonyos kontextusban a privátszféránkat, hogy jobb, ha egyáltalán kimaradunk. Ennél tovább menni már csak úgy lehet, ha valóságtartalmát illetően kellőképp bizonytalan információt osztunk meg magunkról. Éppen ezt csinálja az AdNaseum: nem csak tiltja a webes reklámokat, hanem össze is zavarja azok rendszergazdáit.

Az AdNaseum a Firefox alá érhető el, és az AdBlock mellé kell telepíteni. Így a reklámok az AdBlock-nak köszönhetően tiltva lesznek, míg az AdNaseum a háttérben ezzel párhuzamosan átkattintásokat szimulál a reklámokon, így összezavarva az ezek mögött futó profilírozó programot. Ez csupán egy proof-of-concept alkalmazás, de kíváncsi lennék, mi történne, ha tömegek kezdenének ilyesmit használni. Egyrészt a hirdetőket egyre inkább az érdekli, mire kattintunk, illetve jelenleg kattintásonként megy a fizetés, amit igen drágává tenne egy ilyen rendszer elterjedése.

Permalink: https://pet-portal.eu/blog/read/596/2014-06-13-AdNaseum-zavard-ossze-akik-titokban-megfigyelnek.php

Hozzászólások (0 hozzászólás)

Biztosan sokan tapasztalták már, hogy ha a mai „okostelefonos” világunkban szeretnénk valamilyen széles körben elterjedt mobil szolgáltatást alkalmazni – pl. közösségi oldalakon, internetes telefonálásnál, stb. –, gyakran szükség van a mobiltelefonszámunk megerősítésére.

Ez többnyire úgy működik, hogy a megadott számra egy érvényesítő kód érkezik SMS-ben, majd ezzel a kóddal tudjuk biztosítani a hozzáférésünket. Azt azonban ritkán vesszük számításba, hogy ezzel az alig másfél perces művelettel milyen módon és mértékben szolgáltatjuk ki magunkat, és itt most nem csak a legelterjedtebb kéretlen reklám SMS-ek hadára gondolok.

Mert ha mondjuk egy közösségi oldalon hitelesítjük a telefonszámunkat, az máris hozzákapcsolódik a profilunkhoz, amit mások is láthatnak, akár rosszakaróink is. Azonban ha ez nem is lenne így, nem feltétlenül előnyös, ha sok helyen megjelenik a telefonszámunk, amely később, például a privacy policy lágyítása során akár publikussá is válhat.

Ezért érdemes lehet alternatív megoldások után nézni, amelyben segítségünkre lehetnek az „SMS Reciever” online szolgáltatások. Elegendő mindössze a fenti szövegre rákeresnünk a világhálón és máris eldobható SMS fogadó telefonszámok tömkelegét látjuk. Regisztrálnunk nem kell, adatokat sem osztunk meg senkivel. Egyszerűen a kiválasztott telefonszámmal hitelesítjük az adatainkat.

A megerősítő SMS pedig 1-2 másodperccel a küldés után megjelenik a SMS-hírfolyamban. 

Sajnos hátránya is van annak, ha sokan használnak egy telefonszámot. Például a legnagyobb közösségi oldalon - az arckönyvön - egy telefonszámmal csak egyszer lehet hitelesíteni, így minimális az esélyünk rá, hogy mi leszünk az elsők, akik szeretnék megerősíteni az adataikat. Viszont minden más esetben, ahol a szolgáltatást nem zavarja, ha többször, több felhasználó adja meg ugyanazt a telefonszámot, ott hatékonyan működik a dolog.

Permalink: https://pet-portal.eu/blog/read/595/2014-06-05-SMS-Reciever-avagy-az-eldobhato-SMS.php

Hozzászólások (0 hozzászólás)

A MyPermissions.com szolgáltatása lehetővé teszi, hogy egyszerre áttekintsük a különböző online szolgáltatásokban, hogy mely más alkalmazások és szolgáltatások férnek hozzá az adatainkhoz. Ehhez mindössze egy böngésző kiegészítő feltelepítésére van szükség, amely az aktuális munkamenetek segítségével ellenőrzi a beállításainkat. Így nem szükséges a MyPermissions számára kiadni a belépési adatokat.

Permalink: https://pet-portal.eu/blog/read/594/2014-06-02-MyPermissions-org-nezd-at-melyik-alkalmazas-mit-tud-r...

Hozzászólások (0 hozzászólás)

Az évtized egyik legfelkapottabb szakmája a data scientist-eké, ezzel párhuzamosan pedig az egyik legizgalmasabb (és égetőbb) kérdések egyike hogy hogyan lehet privátszféra-barát módon élni a mai adatgazdag környezettel. Az egyik fundamentális kérdés, hogy kié az az adat, amit feltöltünk vagy begyűjtenek rólunk? Már hozzászoktunk, hogy ha nem fizetünk valamiért, akkor mi vagyunk az áru, azonban sajnos egyre több esetben lehet hallani, amikor a fizetés mellett így fizettetnek duplán velünk.

Itt egy másik cikk, ami pedig a big data problémákat foglalja össze (hozzátenném, hogy privacy problémákkal lehetne még bővíteni a listán). Sok cég úgy gondolja, hogy ha nagy adat van, akkor a kerítés is kolbászból van és mindent el lehet adni. Azonban a big data nem old meg nagyon sok mindent önmagában, de legalább egy rakás problémát is behoz. És valóban, el lehet adni, egyelőre, de csak amíg van vásárló aki szintén ez a téves gondolatmenet mentén áll a kérdéshez...

"Elemlámpának" álcázott poloska az android marketen.

A sütiket nem csak álneves követésre használják, hanem valós identitáshoz is kötik őket. Ez utóbbit a belépést megkövetelő oldalak segítségével teszik, akik sok esetbe "kiszivárogtatják" az identitásunk. Akit érdekel bővebben is a téma, olvassa el a princeton kutatóinak cikkét, vagy az eredményeket feldolgozó CBC cikket.

Permalink: https://pet-portal.eu/blog/read/591/2014-05-28-Privacy-temaju-erdekessegek.php

Hozzászólások (0 hozzászólás)

A Regensburgi Egyetem doktoranduszi állást hirdet "Security and Privacy in Smart Environments" témában a 2014-2018 időszakra. A projektet a FORSEC elnevezésű kutatási konzorcium vezeti, amely német egyetemeket és kutatóintézeteket tömörít. Jelentkezési határidőt ugyan nem tartalmaz a felhívás, az állást már 2014 nyarától hirdetik, úgyhogy érdemes mielőbb jelentkezni a heike.gorski@wiwi.uni-regensburg.de címen

Permalink: https://pet-portal.eu/blog/read/593/2014-05-27-Doktoranduszi-allas-a-Regensburgi-Egyetemen.php

Hozzászólások (0 hozzászólás)

Sokan úgy gondolják, hogy ha a nagy testvér elől rejtve szeretnének kommunikálni, akkor a Skype a nyerő választás. Ez azonban téves elképzelés; a Microsoft azután, hogy megvásárolta a Skype-t, szépen be is rendezte a megfigyelői eszköztárat. Az Arstechnica arról is ír, hogy a privát üzenetekben küldött linkeket is megnyitották.

A technika egyik nagy hátránya, hogy nem felejt. Az EU ezt jogi szabályozással szeretné mégis elérhetővé tenni, hogy a hálózat is felejthessen. Egy ilyen ügyben állt ki az EU nem rég egy spanyol férfi mellett, aki egy 16 évvel ezelőtti információ eltávolítását szerette volna elérni.

Érdekes megoldás a CCTV kamerák ellen: gumimaszk, ami hihehtő módon maskíroz mindenkit egyformává.

Sztegós üzenerejtés tweet-ekben. Könnyen detektálható, így inkább érdekes-egzotikus, mint hasznos ötlet.

Permalink: https://pet-portal.eu/blog/read/590/2014-05-20-Valogatas-a-privatszferat-erinto-hirekbol.php

Hozzászólások (0 hozzászólás)

A fenti információkat akár egy közvéleménykutatáskor is elkérhetik, mondván, hogy a kérdőív névtelen, de alapvető demográfiai adatokra szükségük van. Ezt könnyű el is hinni, viszont az a helyzet, hogy ez a három adat egyszerűen végét veti az anonimitásnak: az USA 1990-es kormányzati felmérés adatai alapján egy kutatás során azt találták, hogy a 248 millió fős lakosság 87%-a (216 millió fő!) egyedileg azonosítható ez a három információ alapján. Utóbb egy weboldalt is készítettek, ami a Panopticlick-hez hasonlóan lehetővé teszi, hogy megnézzük mennyire vagyunk azonosíthatóak (legalábbis USA-beli irányítószám esetén).

A kutatás idején (2000 körül) még ez leginkább egy elméleti felvetés volt, mára azonban sokat változott a helyzet. Ugyanis sokkal könnyebb valamilyen külső információforrást találni ezekhez az adatokhoz, ahol rá is lehet keresni az adott személyre – ilyenek például a közösségi hálózatok. Ez egyébként egy tipikus probléma, ami a Big Data témakörben elő szokott jönni, legfeljebb technikaibb jellegű információkról van szó, mint például a minket körbevevő kapcsolatrendszer, vagy a böngészőnk attribútumai.

Permalink: https://pet-portal.eu/blog/read/589/2014-05-13-Szuletesi-datum-nem-iranyitoszam-8211-ez-sokkal-inkab...

Hozzászólások (0 hozzászólás)

Arról biztosan mindenki hallott, hogy meta-adatokat gyűjtenek az USA-ban (pl. NSA botrány kapcsán), de akár itthon az EU-ban is, bár ez utóbbinak lehet, hogy nemsokára vége szakad. Felmerülhet a kérdés, jogosan, miért gyűjtenek ilyesmit? Erre egy kiváló példa a mobil adatokból a bűnözői hálózatok felkutatása (tudományos cikk itt): ahogyan a normál közösségeknek, úgy a bűnözői változatuknak is megvan a maguk felépítése, és bár ezek nyilvánosan kevésbé láthatóak, a meta-információk alapján felfedhetőek.

Például az alábbi ábrán látható, hogy ha bizonyos idősávra leszűkítjük a kapcsolatok vizsgálatát, egyes közösségek mégis kiugróan egyben maradhatnak – nyilván amelyik aktív volt egy bűnesemény elkövetésekor. Persze mindennek az is az üzenete, hogy a meta-információk gyűjtése igen jelentőségteljes és megfigyelésre is alkalmas, nem mint ahogy azt sokszor hangoztatják.

Időbeli szűrés a hívásokra. A keresett közösségek ilyenkor is aktívak maradhatnak. [forrás]

Heartbleed know-how, Q-A. Érdemes beleolvasgatni.

A Facebook megmondja, ki van a közeledben, és pontosan hol. Tehát akkor is tudja, ha a másoknak nem mondja meg – izgalmasan hangzik. A funkció letiltható, szabályozható, valószínűleg addig, míg a mindenkinek-mindent alapértelmezéssé nem teszik.

Az amerikaiak nem bíznak a hirdetőkben. Jól teszik.

Nem szűk értelemben vett privacy, de ahhoz kapcsolódó érdekesség, ahogy a privacy-erodáló nagyok megváltoztatják tömegek gondolkodását: little lies the internet told me.

Permalink: https://pet-portal.eu/blog/read/588/2014-04-23-Valogatas-a-privatszferat-erinto-hirekbol.php

Hozzászólások (0 hozzászólás)

Az Európai Unió Bírósága (az ún. "luxemburgi bíróság") 2014. április 8-i ítéletében semmisnek nyilvánította a sok vitát kiváltó adatmegőrzési vagy adatvisszatartási irányelvet (Data Retention Directive). Az irányelv előírta a tagállamoknak, hogy távközlési szolgáltatóik kötelesek tárolni a vonalas és mobil telefonon, SMS-ben és e-mailben kommunikáló összes partner kilétét, tartózkodási helyét és a kommunikáció egyéb adatait 6 hónaptól 2 évi terjedő időtartamra. Az adatokhoz a nyomozó szervek férhetnek hozzá bűnüldözési és megelőzési célból, az adatmegőrzés költségei általában a szolgáltatót terhelik. (Magyarországon ezeket a rendelkezéseket az elektronikus hírközlésről szóló 2003. évi C. törvény 159/A. paragrafusa tartalmazza.)


Az Európai Unió Bíróságához két nemzeti bíróság, Írország Legfelsőbb Bírósága és az osztrák Alkotmánybíróság fordult, az utóbbi esetében több mint tizenegyezer (!) beadványozó kezdeményezésére. Az EU Bírósága elismerte, hogy az adatmegőrzés közérdekű célt, a bűnözés elleni küzdelmet szolgálja, azonban az irányelv súlyosan és a célhoz képest aránytalan módon sérti a polgárok magánéletét és személyes adataik védelméhez való jogát.

Mivel az irányelvek bevezetésére és érvényesítésére meglehetős mozgástér és tág határidők állnak a tagállamok rendelkezésére, sem az új (a célhoz mérten arányos jogkorlátozást tartalmazó) irányelv, sem annak magyarországi bevezetése nem várható egyik pillanatról a másikra. Az ítélet azonban világosan mutatja, hogy egy demokratikus jogállami környezetben, így a EU-ban is minden jogkorlátozásnak van határa, és a közérdekű cél sem szentesíti az elérésére szolgáló összes eszközt.

Permalink: https://pet-portal.eu/blog/read/587/2014-04-13-Semmis-az-adatmegorzesi-iranyelv.php

Hozzászólások (0 hozzászólás)

Egyesek előszeretettel hangoztatják, hogy a privátszféra korának vége és felesleges az online megfigyeléssel foglalkozni. Ebben folyamatban a Facebook és Google is élen jár, de egy online felmérés alapján úgy tűnik sokakat aggaszt, amit csinálnak a személyes adatokkal.

Pedig eleve jó kérdés, hogy ki bizonyos adatok tulajdonosa, hiszen több olyan adat típus van, aminek nincsen deklarált tulajdonosa, mint például az, hogy ki kinek az ismerőse – ez esetben mindkét fél érintett, egyik sem deklarálható tulajdonosként. A lifehacker cikkje kicsit mélyebbre ás az ennél egyértelműbben kezelhető információk tekintetében (azaz amelyeknek mi vagyunk a tulajdonosai). A probléma alapja az, hogy az információ nehezen birtokolható, és így eleve nehezen szabályozható, hogy ki-mit figyel meg.

115 japán üzlet a biztonsági kamerák által készített vásárlói arcképet automatikusan megosztja egymással. Indoklás: lopások háttérbe szorítása. Igen. Aztán ha mindenki kellően hozzászokott, jöhetnek az üzleti alkalmazások.

Ma sokan használnak reklám blokkolókat, de változhat a helyzet. Egy interjúban az IAB magas beosztású munkatársa olyan víziót feszeget, amikor a tartalomhoz csak akkor férhetünk majd hozzá, ha a reklámok is megjelennek. Adblock esetén nincs tartalom sem. Sajnos az egyik fő probléma ezen a területen éppen a kölcsönös együttműködés-kommunikáció hiánya, a hirdetőket nem túlzottan érdekli a webhasználók véleménye vagy privátszférája.

Permalink: https://pet-portal.eu/blog/read/585/2014-04-11-Valogatas-a-privatszferat-erinto-hirekbol.php

Hozzászólások (0 hozzászólás)

Amióta kiderült, hogy a Google és a hasonló szolgáltatók nem titkosítják az adatközpontjaik közötti forgalmat és ezt az NSA ki is használta, a titkosítatlan webes kommunikációra, így például a HTTPS alapértelmezett bevezetésére is nagyobb figyelem irányult. Valamint azt is nagy figyelem övezi, hogy az egyes szereplők, mint a Yahoo, Google, Microsoft, mit titkosítanak alapértelmezetten és mit nem.

Most úgy tűnik, hogy a Yahoo komoly lépéseket tesz ez irányba, azonban ők sem tudják megoldani, hogy valamennyi oldalukon egységesen a HTTPS legyen az alap. Ehhez ugyanis valamennyi hirdető partnerüknek is HTTPS-en keresztül kellene elérhetővé tenni funkcióikat, ám ez nem megy olyan egyszerűen. Sőt, Askhan Soltani úgy tippeli a blogjában, hogy ahány érintett van az ügyben, ez még akár öt évig is eltarthat.

Az egész ügyet pedig azt teszi igazán pikánssá, hogy a privátszféra védelmében amúgy sem érdekelt reklámhálózatok miatt marad nyitva az ajtó az állami megfigyelés előtt, még ha részlegesen is.

Permalink: https://pet-portal.eu/blog/read/584/2014-04-07-A-Yahoo-a-hirdetok-miatt-nem-tudja-bevezetni-minden-o...

Hozzászólások (0 hozzászólás)

Az interneten is ára van az ingyenességnek, és többféleképp fizetünk is érte. Például van, amikor a privátszféránk feltárásával fizetünk, de egy érdekes másik eset is terjedőfélben van, mégpedig amikor erőforrásainkkal nyújtunk ellenszolgáltatást:

Researchers said they have uncovered two apps that were downloaded from the official Google Play market more than one million times that use Android devices to mine the Litecoin and Dogecoin cryptocurrencies without explicitly informing end users.

According to a blog post published Tuesday by a researcher from antivirus provider Trend Micro, the apps are Songs, installed from one million to five million times, and Prized, which was installed from 10,000 to 50,000 times. Neither the app descriptions nor their terms of service make clear that the apps subject Android devices to the compute-intensive process of mining, Trend Micro Mobile Threats Analyst Veo Zhang wrote.

Ebben az esetben sem magával a módszerrel van a probléma, hanem hogy a felhasználók korrekt értesítése nélkül történik mindez.

Permalink: https://pet-portal.eu/blog/read/583/2014-04-03-Az-ingyenesseg-ara.php

Hozzászólások (0 hozzászólás)

A legtöbb Olvasó talán már tisztában van vele, hogy a Facebook-on regisztrált felhasználók nem a Facebook valódi kliensei, hanem ők csupán a termékek, amellyel kereskednek. A sorozatunk jelen részében egy a Facebook jelenséget kívül-belül bemutatni igyekvő dokumentumfilm következik. Persze nem árt a filmben elhangzó egyes állításokat fenntartásokkal kezelni, hiszen a like gombok fő célja nem az önfeledt tartalommegosztás, illetve azt is célszerű némi fenntartással kezelni, amikor Mark a privacy fontosságát ecseteli, hiszen korábban a privacy-t már eltemette, mint szükségtelen szociális norma.

Mark Zuckerberg - Inside Facebook [Full Doc] by PayeTaChatte

Permalink: https://pet-portal.eu/blog/read/577/2014-03-31-Dokufilm-Mark-Zuckerberg-Inside-Facebook.php

Hozzászólások (0 hozzászólás)

A webes hirdetésiparban (és nyomkövetésben) eddig a siker egyik fő mérőeszköze az átkattintási arány volt, de úgy tűnik, hogy ez meg fog változni. Ugyanis ez az arány szinte egyáltalán nincs összefüggésben a konverziós aránnyal (azaz, hogy a látogatók hány százaléka vásárol vagy végez el egy adott műveletet), derül ki a Pretarget és Comscore közös felméréséből.

A felmérésben 18 hirdető kampányait követték 9 hónapon keresztül, és megmérték a hirdetések átkattintási és a konverziós arányai közötti Pearson korrelációt, amely végül 0,01 lett (a 0 érték azt jelentené, hogy nincs összefüggés). Ez képest jóval erősebb korrelációt mutatott az átkattintási arány azzal, amikor a felhasználó kurzorja a reklám fölé került (az ún. mouse hover eseményekkel). Ez esetben a korreláció 0,49 volt (az 1,0 értékű korreláció utalna a két érték közötti egyértelmű összefüggésre, azaz pl. ha valaki a reklám fölé viszi az egerét, vásárol is).

Az látogatók egér tevékenységek megfigyelésére eddig is léteztek szolgáltatások, de amennyiben a reklámipar megfogadja a tanulmány állításait, ez a jelenség erősödni fog. Ez ellen egyelőre a leghatékonyabban a tracker script-ek szűrésével védekezhetünk, olyan eszközökkel, mint például a Ghostery, amely a legtöbb jelentős követőt képes felismerni és blokkolni.

Permalink: https://pet-portal.eu/blog/read/578/2014-03-19-A-webes-tracker-ek-egyre-inkabb-az-egerunk-utan-nezne...

Hozzászólások (0 hozzászólás)

A dokumentfilmes sorozatunk második részében (az első itt tekinthető meg) az ún. nagy adatot (angolul Big Data) bemutató BBC filmet ajánljuk Olvasóinknak. Hasonlóan az előző részhez, ez a film is inkább ismeretterjesztő jelleggel mutatja be a big data alkalmazásokat. Bár ez a film sem feszegeti a privacy körüli kérdéseket, de számos kérdés most is adja magát.

A következő időben további dokumentumfilmek jelennek meg blogunkban, érdemes visszanézni!

Permalink: https://pet-portal.eu/blog/read/576/2014-03-17-Dokufilm-The-Age-of-Big-Data-BBC-Horizon-sorozat.php

Hozzászólások (0 hozzászólás)

Az életünket az okostelefonok és a kiegészítő alkalmazások egyre inkább mérhetővé teszik. Mindezt nem elhanyagolható privacy veszélyfaktorral. A BBC Monitor me című dokumentumfilme ezt a jelenséget veszi górcső alá. Bár a magánszférát érintő kockázatok kevésbé állnak a film fókuszában, a technika árnyoldala körüli kérdések szinte adják magukat.

A következő időben további dokumentumfilmek jelennek meg blogunkban, érdemes visszanézni!

Permalink: https://pet-portal.eu/blog/read/575/2014-03-01-Dokufilm-Monitor-Me-BBC-Horizon-sorozat.php

Hozzászólások (0 hozzászólás)

Rossz hatással. (Előző bejegyzésünk itt olvashatják.)

Bővebben pedig nézzünk meg néhány számot az egyik friss tanulmányból. Az egyik probléma, hogy elterjedtek ezek a módszerek, és így a felhasználók nagy részére rálátásuk van: a tanulmányban vizsgált felhasználók 91%-ánál lehetett találkozni az egyes hirdetők aukcióival (pontosabban a Cookie Matching mechanizmussal). Az alábbi táblázat összesíti az egyes résztvevő párok aukcióinak arányait.

Aukciók arányai a vizsgált profilokban. [Forrás]

Valamint az is probléma, hogy az aukció során az ajánlattevő felek automatikusan hozzáférnek a felhasználó profiljához, ami komoly – és gyakorlatilag ellenőrizetlen – adatszivárgást okoz. A cikk szerzői úgy becsülik, hogy ezáltal a hirdetők a felhasználók teljes tevékenységének akár 27%-át is képesek megismerni. Szerencse, hogy ez ellen – mivel egyszerű sütialapú követésről van szó – nagyon könnyen lehet védekezni, mindössze rendszeresen törölni kell a sütiket.

Az információszivárgás menete a sütiegyeztetési mechanizmuson keresztül. [Forrás]

További problémaként megjegyzem, hogy az aukció erőforrás igénye jelentős mértékben a felhasználóra van terhelve. Az aukció lebonyolítása jelentős mértékű processzoridőt igényel, meríti az akkumulátort és nem kívánt hálózati forgalommal is jár – ezek pedig a mai mobilos világban elég jelentős szempontoknak tekinthetők. Ha valakit érdekel, több cikk is foglalkozik a témával, néhány a fogyasztás oldaláról közelíti meg a témát, míg egy másik cikk szerint a mobil forgalom 7-9%-át is kiteheti a reklámokhoz kapcsolódó forgalom. Az abine.com szerint a böngésző tevékenységének több mint negyedét a reklámokkal való foglalkozás teszi ki.

Permalink: https://pet-portal.eu/blog/read/570/2014-02-20-Milyen-hatassal-van-az-aukcios-profilegyesites-a-priv...

Hozzászólások (0 hozzászólás)

Egy 2011-es becslés szerint az online hirdetésipar 10%-a aukciós rendszerben működik (2015-re 25% várható), ahol ha valaki meghirdet egy felhasználói profilt, a hirdetők licitálhatnak rá, és a nyertes kap jogot, hogy az ő reklámja töltődjön le az adott profilú felhasználó gépére (és jelenjen meg az éppen látogatott oldalon). Ez az ún. Real-Time Bidding (RTB) rendszer, és szintén ez áll a Blogon legutóbb tárgyalt eset mögött, amikor a felhasználói profilok áráról írtunk.

Az akcuós rendszer sémája. [Forrás]

Az RTB rendszer működésében a fő frontot a felhasználó számítógépe képviseli. Amikor ellátogat egy web oldalra (fentebb "Publisher"), az ott megjelenő hirdetés-hely indítja az RTB licit folyamatát. Ekkor a web oldal kapcsolatba lép az Ad exchange szereplővel, aki a licitet lebonyolítása során elküldi a felhasználó böngészési előzményeit (profilját) az ajánlattevőknek ("Bidder"). A Biddereknek ekkor lehetősége nyílik összefűzni a kapott előzményeket az általuk tároltakkal, így teljesebb képet kaphatnak a felhasználó profiljának értékről. Ez után pedig a legmagasabb ajánlatot tevő Bidder lehetőséget kap, hogy a reklámja betöltődjön a felhasználó gépére. Mindez tipikusan kevesebb, mint 100 ms idő alatt.

A szisztéma motorját az ún Cookie Matching adja. (Ami egyben azt a meglepő dolgot is felfedi előttünk, hogy továbbra is a süti alapú azonosítás a legelterjedtebb.) Ez egy egyszerű mechanizmus, amelynek célja, hogy az Ad exchange által látott A profil és a Bidder által látott B profilt egyesítse a saját azonosítóik összekapcsolása által. Innentől kezdve tudni fogják, hogy a másik rendszerében az A/B felhasználót a B/A-val kell összekapcsolniuk. A mechanizmust a következő ábra szemléleti.

A Cookie Matching mechanizmus főbb lépései. [Forrás]

És ez milyen hatással van az online privátszféránkra? Nem meglepő módon nem túl kedvező az összhatás, és nyugodtan egyetérthetünk azzal a szakértői állásponttal, hogy alapértelmezett módon magunk elé képzelhetjük a "megfigyelés alatt" táblát, amikor a weben barangolunk. A következő bejegyzésben konkrét számokkal is jelentkezünk.

Permalink: https://pet-portal.eu/blog/read/569/2014-02-17-Ahol-On-kepezi-az-aukcio-targyat-az-online-hirdetesip...

Hozzászólások (0 hozzászólás)

Amikor a weben megjelentek a like gombok, az első között írtunk róla, hogy ez a közösségi élményen kívül még arra lesz jó, hogy a Facebook a saját birodalmán kívül is követhesse (jelenlegi és akár leendő) felhasználói tevékenységét. Aztán a gombok terjedtek, és mások is elkezdtek hasonlóan ténykedni. Végül kiderült, hogy mekkora is a Facebook adatok iránti éhsége, hiszen aktívan törekszik az offline világ adatforrásait is rendszerébe integrálni.

Nos, a Facebook leplezetlennek eddig sem nevezhető tevékenységét más forrás újfent megerősíti. Az online hirdetésipart felfedő kutatásban a Facebook is megjelenik, és nem csupán egy zs kategóriás szereplőként. Hogy hogyan lehet a Facebook a saját határain kívül is ilyen erős szereplő? A like gombokkal! Ezekkel saját profilt építhet a nem regisztráltakról is, amelyet aztán értékesíthet az aukciói során.

A Facebook like-gombok nyújtotta kapacitásáról képet kaphatunk ha hozzámérjük a cég erejét a vetélytársakéhoz. [Forrás]

A kutatásban résztvevők 91%-ánál detektálták a Facebook-ot aukció (pontosabban Cookie Matching) végrehajtásában, és a mérésekben a Facebook a felhasználók össz tevékenységének 27%-ára rendelkezett rálátással. A fentebbi két táblázatból további hirdetők hasonló értékei közül mazsolázhatunk, mint például a DoubleClick (Google), Bing (Microsoft), Amazon, Twitter – úgy látszik a nagyok közül senki sem szeretne kimaradni.

Permalink: https://pet-portal.eu/blog/read/572/2014-02-12-On-szerint-a-Facebook-like-mire-valo-Olvassa-el-miert...

Hozzászólások (0 hozzászólás)

A weben és a mobilos világban egyre inkább domináns szisztéma szerint a szolgáltatások, alkalmazások ingyen vannak, és mi vagy az adatainkkal fizetünk (azaz megengedjük, hogy megfigyeljék tevékenységünket), vagy a képernyőnk egy területével, ahol reklámozhatnak.A legpofátlanabb persze az, amikor a felhasználónak eleve fizetnie kell, és még az előbbi módszerekkel is pénzt csinálnak belőle a másik oldalon. Valahogy úgy, amikor valaki megvesz kb. 200e Ft-ért egy iPhone-t, majd ez után az Apple még évekig pénzért eladja őt a hirdetőknek.

Egy friss tanulmány szerint a felhasználók $5-t lennének hajlandóak fizetni egy alkalmazásért, csak ne figyeljék meg őket, és reklámokkal se tegyék tele a képernyőt. Egy másik 2011-es tanulmány szerzői pedig arra jutottak, hogy egy felhasználó 7 EUR értékűre becsüli, hogy az éppen meglátogatott weboldalon felfedjék jelenlétüket. Vajon mennyire becsülhetjük, ha egy weboldalon egy másik weboldalon tett látogatást kellene mondjuk elismerni? Az előbbiek alapján ez akár több, mint tíz euró is lehetne, de egy biztos: ezek a számok igencsak messze esnek a valóságtól.

A Privatics kutatócsoport tanulmánya alapján egy felhasználó teljes böngészési előzménye nagyjából $0,0005 értékért cserél gazdát (igen, ez mindössze huszad dollárcent, azaz kb. tíz fillér!), azaz egy hirdetőnek ennyit kell fizetnie, hogy megismerje a felhasználó böngészési előzményeit és hirdetést is megjeleníthessen a képernyőjén (az épp látogatott weboldalba ágyazva). Ráadásul ez az ár több tényező függvénye.

Ahol a piacok kisebb vásárlóerővel bírnak, ott ez az érték is kisebb. A tanulmányban közölt mérések szerint az USA-i felhasználók profiljai $0,00069 értékűek voltak, míg a Francia és Japán profilok rendre csupán $0,00036 és $0,00024 összegért "keltek el". Ráadásul ezek az értékek az idő függvényében is változtak: reggel egy profil többért kel el (USA esetén pl. $0,00075), mint este ($0,00062), de hirdetőnkét változhat, hogy milyen felhasználókért hajlandó többet fizetni.

Permalink: https://pet-portal.eu/blog/read/568/2014-02-05-Most-megtudhatja-mennyiert-adjak-veszik-az-adatait.ph...

Hozzászólások (1 hozzászólás)

Az IT world cikkje nem csak a manapság hangzatos privacy problémákkal riogat. Azért nem ezzel indít, hanem leírja, hogy a technológia fejlődése ugyan üdvözlendő dolog, de mindig akadtak páran, akik másra használták az újdonságokat, mint amire eredetileg szánták. Ma ugyanezt láthatjuk sokszor privacy vonatkozásban. A megszokotttól igen eltérő privacy-invazív újításokat gyűjteményében szerepel a távoli ujjlenyomat leolvasó, az 50 méter hatótávú molekuláris scanner (pl. robbanóanyag keresésre szánják), mikrofonnal felszerelt okoslámpák (közterület világítás), és további érdekességek.

Ki gondolkodott már azon, hogy vajon mennyit ér a hirdetőknek az online profilja? Ez a cikk kb. fél-egy USD cent értékére becsüli, ami elég kevés, ahhoz képest, hogy mennyit tudnak a cégek keresni vele. A Google és Facebook kapcsán 5-20 USD-re becsülik a keresményt profilonként, ami azért nem kis haszon.

(A technológia ilyen olcsóvá teszik a megfigyelést, ezek a cégek csak kihasználják ezt a rést. Egy korábbi cikkünk az állami megfigyelés olcsóbbá válásáról szól.)

A paymefacebook.com alapján nem mindenki elégedett a Facebook üzleti modelljével. :-)

Permalink: https://pet-portal.eu/blog/read/567/2014-01-30-Rovid-privacy-hircsokor.php

Hozzászólások (0 hozzászólás)

A technológia fejlődése, terjedése és olcsóbbá válása a megfigyelést is könnyebben alkalmazhatóvá teszi. Ez nem csak a különféle kormányok internetes tevékenységére igaz. Kevin Bankston és Ashkan Soltani friss cikkjében az "offline" világban végrehajtott megfigyelések költségeit becsülték meg. Mivel a hagyományos megfigyelési technikáknál (pl. autós követés) 20-50x olcsóbb ha a különböző jeladókat használják, ez nem csak megkönnyíti az állam dolgát, de sajnos az efféle megfigyelések tömeges bevetését is lehetővé teszi. A Forbes cikkét erről itt lehet elolvasni.

Az ofline és online világ találkozásában is olcsóbban kivitelezhető a megfigyelés; gondoljunk csak az internetes adatbázissal működő arcfelismerése. Már évekkel ezelőtt sikerült egy kampuszon felállított webkamerával a hallgatók 31%-át azonosítani a Facebook-os fényképeik segítségével. Egy fokkal merészebb projekt a NameTag, ami egy Google Glass-hez készülő arcfelismerő alkalmazás, ami automatizálja a kísérletben végrehajtott mechanizmust.

Várhatóan a testen viselhető eszközök terjedésével a privacy-invazív eszközök, alkalmazások is nagyobb mértékben el fognak terjedni, ahogy a fenti esetekben is történt. A kérdés az, hogy az ezekkel érkező problémákat megtanuljuk-e előre kezelni, vagy csak utólag okulunk majd a hibákból? (ha egyáltalán ez a pont elérkezik)

Permalink: https://pet-portal.eu/blog/read/566/2014-01-18-A-tomeges-megfigyeles-a-technologia-ara.php

Hozzászólások (0 hozzászólás)

Az utóbbi hetekben érdekes hírek röppentek fel. Úgy látszik, nem csak az Apple és a hasonló óriáscégek látnak fantáziát a nyomkövetésben, hanem egyes tengerentúli internetszolgáltatók is felismerték a benne rejlő lehetőséget.

Idén januári a hír, hogy egy internet szolgáltató sütikkel követi felhasználóit:

My ISP, Access Media 3 has started injecting tracking cookies into html packets going through their network and are potentially making money from tracking their customers.

A probléma az, hogy ebbe kis (semmi) beleszólása van az előfizetőknek, az ISP pedig szép extra profitot termeltet a felhasználóival. Persze, aki ért hozzá, tud tenni ellene. Míg más esetben az ISP-k reklámokkal és kuponokkal traktálják felhasználóikat, és közben úgy gondolják, hogy ezzel mindenki nyer:

Customers blocking pop-ups do not see the coupons. The response so far has been overwhelmingly positive (in view of the number of customers who have taken advantage of savings by using the coupons).

Hosszú távon ezzel senki sem nyer: az árakba beépül a tevékenységből szerzett profit, és normál áron nem éri majd meg előfizetni. A megfigyelésből fakadóan pedig hatalmi aszimmetria alakul ki a szolgáltató-fogyasztó között, ahol az előbbi ebből egyre nagyobb mértékű gazdasági előnyhöz juthat, és a fogyasztónak egyre kevesebb lehetősége lesz a kitörésre.

Permalink: https://pet-portal.eu/blog/read/565/2014-01-10-Uj-divat-az-internet-szolgaltato-a-tracker-es-reklamo...

Hozzászólások (0 hozzászólás)

A TechPolicy összegyűjtötte azokat a tech témákat, amelyek 2013-ban főszerepet kaptak. Ezek alapján látható, hogy 2013-ban a privacy még kiemeltebb szerepet kapott, és várhatóan ez csak fokozódni fog idén is.

Node melyek is voltak ezek 2013-ban? (A könnyebb egyeztethetőség kedvéért a pontokat számát és nevét meghagytam, de az utána a saját megjegyzéseimet írtam.)

(1) NSA Surveillance. A privátszféra-védő megoldások használóra sok esetben űrlényként tekintettek, de az NSA megfigyelési botrány jelentősen hozzájárult, hogy ez a negatív prekoncepció elkezdett megváltozni. Nem azért használunk ilyen eszközöket, mert rejtegetni valónk van, hanem mert nem egy függönytelen ablak előtt kívánjuk élni az életünket.

...

(3) Bitcoin. Ugyan a tavaly nagy népszerűségre szert tévő fizetési eszköz jövője igen bizonytalan, de legalább van egy ígéretes alternatíva, amely segítségével valóban név nélkül fizethetünk.

(4) Drones and robots. Hazánkban egyelőre nem túlságosan elterjedtek, de a fizikai privátszférát kénytelenek leszünk újraértelmezni, amikor elterjednek – amikor a magas kerítés sem véd a kíváncsi szemek elől (ilyenkor nem feltétlenül csak a paparazzikra, hanem egyszerű köztörvényes bűnözőkre is gondolhatunk, mint a tolvajok), és a tizedik emeleten is számolnunk kell azzal, hogy egyszer csak benézhet valaki az ablakon.

...

(6) Commercial privacy. Erről a témáról rendszeresen írunk a PET Portál indulása óta, és a tavalyi évben sem állt meg ezen a téren az élet. Elég csak néhány kapcsolódó kulcsszót áttekintetünk.

(7) Fairness and algorithms. Sokszor nem tudjuk vagy nem látjuk át, mi alapján kapunk ajánlásokat egy weboldalon, vagy más esetben hogyan befolyásolják döntéseinket, választásainkat. (Például gondoljunk arra, amikor a hitelkérelmet befolyásolhatják a Facebook-os kapcsolatok, vagy amikor a hotelszoba kínálatot a feltételezett anyagi hátterünk.) Ez a probléma tavaly szerencsére többeket foglalkoztatott, ami javulást hozhat ezen a téren.

(8) Cell phone unlocking. A mobiltelefonunk erőteljesen beintegrálódott a privátszféránkba, így joggal várhatjuk el, hogy nagyobb kontrollt akarunk elérni felette, és ha kell, például tűzfalak telepítésével blokkolhassuk az egyes alkalmazások tevékenységét.

...

Végeredmény: a összesen 6 pont érintett, ez elég jelentős arány – kíváncsi vagyok, jövőre feljebb kúszik-e az érintett területek száma.

Permalink: https://pet-portal.eu/blog/read/564/2014-01-07-2013-top-tech-temai-a-privacy-kiemelten-megjelent-koz...

Hozzászólások (0 hozzászólás)

Ezúton kíván a PET Portál boldog, prosperáló új évet kedves Olvasóinak!

Az évet egy aktuális hazai hírrel kezdjük. 2014. január 1-től kezelőorvos jogosult áttekinteni az OEP adatbázisában a beteg ellátásainak előzményeit. Amennyiben valaki ezt nem szeretné, a következő dokumentum második oldalának az OEP-hez való eljuttatásával tilthatja le a hozzáférést.

Permalink: https://pet-portal.eu/blog/read/563/2014-01-04-OEP-adathozzaferes-letiltasa.php

Hozzászólások (0 hozzászólás)

Ez egy érdekes web poloska megjelenítő Firefox plugin – elvileg, ugyanis saját URL-t még nem sikerült beadni neki. Mindenesetre érdekes koncepció.

Permalink: https://pet-portal.eu/blog/read/542/2013-11-28-Kicsit-beta-de-erdekes-Netograph.php

Hozzászólások (0 hozzászólás)

Érdekes írást közölt Nick Nikiforakis, amelyben leírja, hogy hogyan detektálhatja egy weboldal, ha Ghostery-t használva látogatunk el rá. Mivel a Ghostery egy rövid időre a lap betöltődésekor beszúr egy HTML elemet, amit a weboldal így detektálhat, vagy akár "el is kaphat":

Lassan elég sokan használnak valamiféle web blokkolót, amelyekkel a weboldalak azonosítási, vagy reklámozási próbálkozásai elől akarnak egyesek elbújni (jogosan!). Előbb-utóbb azonban a weboldalak reagálni fognak erre, és ha detektálják, hogy a felhasználó védekezik, megpróbálhatják majd azt kikerülni. A kör bezárult, kezdődik a játék elölről.

(Érdemes megnézni a Doodle oldalát adblock mellett: észreveszik a turpisságot, és jelzik, hogy ők reklámból élnek, és ha nem szeretnénk reklámot nézni, fizessünk elő prémium csomagra. Abból a szempontból mindenképp dicséretes, hogy legalább felkínálnak alternatívát a reklám nézegetése helyett...)

Permalink: https://pet-portal.eu/blog/read/562/2013-11-25-A-Ghostery-t-eszrevehetik-a-weboldalak.php

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/558/2013-11-21-Allesandro-Acquisti-arrol-hogy-miert-fontos-a-privacy...

Hozzászólások (0 hozzászólás)

Persze ez a kedvezőbb eset, USA polgárokra vetítve (a külföldiek még annyi joggal sem rendelkeznek).

Permalink: https://pet-portal.eu/blog/read/555/2013-11-15-Infografika-NSA-adatgyujtes.php

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/561/2013-11-12-Mit-jelent-az-NSA-megfigyelese-a-gyakorlatban.php

Hozzászólások (0 hozzászólás)

Talán Olvasóink többsége már hallott az EPIC Privacy Browser elnevezésű új anonim böngészőről. Üdvözlendő kezdeményezés, ami kissé okot adhat a fenntartásokra, az a böngésző alapja:

Az Epic már első pillantásra is egyértelműen a nyílt forráskódú Google Chromium böngészőre épül, ennél pontosabban cikkünk írásának idején a legfrissebb 29-es verzióról volt szó. Ettől függetlenül a fejlesztők első lépésben kiszedtek belőle minden a keresőcéggel kapcsolatos adalékot, amelynek köszönhetően például a könyvjelzők és jelszavak szinkronizálásra sincs lehetőség, sőt: a Chrome Web Store-ból kiegészítők sem telepíthetőek hozzá. Mindez jelen esetben teljesen normális.

Ugyan igyekeztek tisztába tenni a forráskódot, és biztos nagyszerű munkát is végeztek a lehetőségekhez képest. De mi van, ha mégsem sikerült mindent kellőképpen eltávolítani, mert rejtett kiskapuk és gyengeségek is voltak benne? (Szándékosan az NSA programjai miatt.)

Attól még, hogy nyílt forráskódú egy szoftver, nem vagyunk automatikusan előrébb, hiszen ez akkor lesz értékes tulajdonság, ha rendszeresen át is nézik szakértő felhasználók a kódot. Többek között emiatti került a TrueCrypt több ízben kereszttűzbe, és tűzték ki célul lelkes felhasználók a teljes átvizsgálását.

Permalink: https://pet-portal.eu/blog/read/559/2013-11-07-Uj-anonim-bongeszo-EPIC-Privacy-Browser.php

Hozzászólások (0 hozzászólás)

A Firefox-hoz megjelent a Collusion utódja, a Ligthbeam nevű kiegészítő.

A felhasználóknak nyújtott funkciók (pl. több hasznos nézet) mellett az egyik legjelentősebb előrelépés, hogy nyitnak a hirdetők felé. Jelenleg – kissé leegyszerűsítve – ugyanis a web két szignifikánsabb részre szakadt a webes nyomkövetésről alkotott vélemények tekintetében: az egyik oldalon azt hangoztatják, hogy a nyomkövetés (és minden kapcsolódó dolog) alapvetően rossz, a másik oldalon pedig ugyanezt a szükséges jónak állítják be, hogy ne kelljen unalmas reklámokat nézegetni. Pedig elbeszélnek egymás mellett.

Az alapvető probléma ugyanis a hozzájárulás nélküli megfigyeléssel van, és az ehhez kapcsolódó tevékenységekkel. Egész más a helyzet, ha a felhasználó tudja, hogy mit tárolnak róla, és hogy kicsodák, és hogy a gyűjtött adatok milyen hirdetéseknél, vagy ajánlatoknél kerülhetnek felhasználásra.

Éppen ezért tűnik előrelépésnek, ha a megfigyelőkkel is egyeztetnek.

Permalink: https://pet-portal.eu/blog/read/560/2013-11-04-A-Collusion-kiegeszito-utodja-Mozilla-Lightbeam.php

Hozzászólások (0 hozzászólás)

Az alábbi diasor jól mutatja, miért baj, ha rosszul használjuk a technológiát: biztonságban nem leszünk, de azt hisszük. Éppen ezért fontos, hogy minden részletre odafigyeljünk, hangoztatják a Tor fejlesztői, mikor hangsúlyozzák, önmagában a Tor nem elég, de a Tor Browser Bundle-t is mellé kell párosítani.

Az NSA-nél is rájöttek már erre:

Persze ez egy sokkal általánosabb probléma. Gondoljunk például az anonimitási paradoxonra a Panopticlick esetén: a Privoxy (PET) felhasználók a kísérlet során jobban azonosíthatóak voltak, mint az átlag, akik nem igyekeztek védeni a privátszférájukat. De ez igaz azon felhasználók többségére is, akik az ujjlenyomatozással szemben házilag összeválogatott böngésző kiegészítésekkel akarnak védekezni. Ugyanis sok esetben ezek (részlegesen) detektálhatóak, és mivel egyedi az összeállítás, a detektált információ a megfigyelőnek dolgozik...

Permalink: https://pet-portal.eu/blog/read/551/2013-10-31-Hasznaljunk-PET-eket-de-csak-okosan.php

Hozzászólások (0 hozzászólás)

A HVG írta:

Talán emlékeznek még a nagy vihart kavart Scroogled kampányra, amelyben a Microsoft azért állította pellengérre a Google-t, mert az rajta tartja a szemét a felhasználók levelein, keresésein, és annak megfelelően bombázza őket hirdetésekkel.

...

Az egyik, reklámhatékonyságot vizsgáló cég, az Ace Metrix kutatása mindezek után meglepő eredményt hozott: a Scroogled kampány hatékony volt, méghozzá a Microsoft szempontjából. A korábban Google-t használók 53 százaléka állította ugyanis, hogy kipróbálja a Binget, vagy legalábbis elkezd közelebbről is tájékozódni róla.

Azért nagyon meglepődnék, ha a Microsoft szennyesét alaposabban megvizsgálva nem derülnének ki roppant hasonló dolgok. Hiszen a legtöbb cég nem a hardver eladásából és a szolgáltatások közzétételéből akar megélni, hanem a felhasználóikat akarják értékesíteni, mert az hosszú távon is pénzt hoz, és több bőr is lehúzható így a "termékről". Az volna a meglepő, ha a Microsoft nem kacsingatna ebbe az irányba.

A kormányzati megfigyelési vonalon már pedzegetik, hogy azért ők sem feddhetetlenek, ugyanis a Windows 8 kapcsán felvetődött a gyanú, hogy beépített kiskapuval rendelkezik.

Permalink: https://pet-portal.eu/blog/read/557/2013-10-29-Don-acute-t-get-Scroogled-mukodott-a-felelemkampany.p...

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/549/2013-10-25-Video-Hot-on-Your-Trail-Privacy-Your-Data-and-Who-Has...

Hozzászólások (0 hozzászólás)

Ujjlenyomatozásnak hívják, bár a blogon használt terminológiától kissé más értelemben, mindenesetre tanulságos: az NSA-nak arra is volt módszere, hogy kiszűrje a feltehetően rejtőzködés során használt kártyás mobilokat. A módszerűk egyszerű: az elkövető rövid ideig használ egy készüléket, majd vagy eldobja, vagy visszateszi a sor végére, és jön a következő – a telefonok használatainak kezdő és befejező időpontjai alapján azonban idővonal-szerűen feltérképezhető az egyén tevékenysége. Tanulság? Elrejtőzni nehéz, mert a meta adatok sok minden elárulnak (collecting meta = surveillance).

Az Apple, a Google után a Microsoft is saját követési technológiát szeretne (noha a Google még nem erősítette meg, vagy cáfolta hivatalosan a terveit). Valamennyi említett cég olyan alapvető termékekkel rendelkezik, amelyeknél ha fennállna a követési rendszerek bevezetése, valószínűleg a döntő többség inkább engedné, csak a kényelmes és bevált megoldásait ne kelljen lecserélni (főleg hogy már egyszer fiezetett is érte).

Végül pedig egy tipp moziba járóknak: a moziban a legjobb ad-blocker a popcorn. :-)

Permalink: https://pet-portal.eu/blog/read/556/2013-10-21-Erdekessegek-es-hirek.php

Hozzászólások (0 hozzászólás)

Mert látványosan megmutatja, milyen szinten állunk biztonság és privátszféra-védelem tekintetében. A kép után a Forbes gyűjteménye következik.

Az NSA botrány innen már csak egy absztrakciós szinttel van feljebb. :-)

Permalink: https://pet-portal.eu/blog/read/543/2013-10-18-A-Shodan-legalabb-arra-jo-hogy-tukrot-tartson-elenk.p...

Hozzászólások (0 hozzászólás)

Webes nyomkövetés a marketinges szemével: a Woopra. Bár egy regisztrált felhasználók kezelésére szakosodott eszközt kínálnak, mégis jó rálátást ad, hogyan gondolkodnak ők. (Ez azért is fontos, mert hosszú távon nem oldja meg a problémát a tüneti kezelés, mint például a nyomkövetők blokkolása. Olyan megoldásokra van szükség, amelyek a személyes megfigyelést kiiktatják, de a marketing számára is adnak használható eszközöket.)

Egy másik cég meg statisztikák alapján azt kutatta ki, hogy a nők mely időszakokban a legsérülékenyebbek (például mikor érzik legkevésbé vonzónak magukat), és ezekre az időszakokra koncentrál a reklám- és egyéb tevékenységével. Duplán etikátlan.

Az Inria fejlesztésében egy érdekes kutatás zajlik, amely segítségével megtudhatjuk mennyit ér a böngészési előzményünk (vagyis mennyiért árusítják ki a privátszféránk). Nem túl magas az ára – így joggal kívánhatjuk, hogy bárcsak lenne mód fizetni a privátszféránk feladása helyett...

Permalink: https://pet-portal.eu/blog/read/554/2013-10-14-Rovidhirek-a-webes-nyomkovetes-vilagabol-ahogy-ok-nez...

Hozzászólások (0 hozzászólás)

Régebben a sütiket arra (is) használták, hogy a felhasználókat azonosítsák segítségükkel. Azonban a webes nyomkövetés kinőtte már ezt a módszert, és új lehetőség után nézett: ez pedig az ujjlenyomat alapú nyomkövetés volt, amelyben eleinte a felhasználó böngészőjét, majd a rendszerét, később pedig az eszközt azonosították. (Bár véleményes, hogy eszköz ujjlenyomatról beszélhetünk-e egy PC esetén, hiszen újratelepítés után viszonylag kevés stabil pont áll rendelkezésre az ujjlenyomat rekonstrukciójához. Mobil eszközök esetén működhet.)

Friss hírek alapján a legkorszerűbb nyomkövetők is alkalmazzák az eszköz ujjlenyomatokat, de csak arra, hogy egy eszközön összekössék a felhasználó tevékenységét. Majd a tevékenységek alapján ízlésprofilt építenek, amely egy idő után egyre jobban jellemző "mintát enged kirajzolni", és így beazonosítja a felhasználót. Ennek segítségével pedig már képesek a felhasználó különféle eszközeit össze is kapcsolni.

Meglepő módon az érintett cég képviselői tudatosan kerülik a "track" kifejezést, és állításuk szerint a kínált megoldás egy privátszférabarát megoldás, de az eddigiek alapján ez inkább hazugságnak és marketingfogásnak tűnik, mint ténynek. Már csak azért is, mert egy kevésbé részletes, de az egyedi jellemzőkre fókuszáló ízlésprofil alkalmas a személyes azonosításra: például a Netflix díj kapcsán kiadott 480 ezer anonimizált felhasználó többsége (99%+) mindössze 6 db film értékelése alapján már egyedileg azonosítható volt az IMDb értékeléseivel összevetve.

Egyszerűen azért, mert ugyan vannak filmek, amit a többség megnéz, de meg lehet találni azokat a filmeket, ami alapján valaki eléggé "kilóg a sorból". Ez pedig nem csak a filmekre, hanem általában véve igaz a nagyobb adatbázisokra – éppen ez az egyik (privacy) veszélye ezeknek, és nem könnyű ezt a problémát kivédeni (bár vannak törekvések, mint például a differential privacy).

Permalink: https://pet-portal.eu/blog/read/553/2013-10-10-Az-izlesprofil-onmagaban-azonosit-erdekes-fejlemeny-a...

Hozzászólások (0 hozzászólás)

Az NSA elsősorban a webes forgalom egy egész kis részét vizsgálja (saját kiemelés):

The seven-page document, titled "The National Security Agency: Missions, Authorities, Oversight and Partnerships", says the agency "touches" 1.6% of daily internet traffic – an estimate which is not believed to include large-scale internet taps operated by GCHQ, the NSA's UK counterpart.

The document cites figures from a major tech provider that the internet carries 1,826 petabytes of information per day. [...] "In its foreign intelligence mission, NSA touches about 1.6% of that," the document states. "However, of the 1.6% of the data, only 0.025% is actually selected for review.

"The net effect is that NSA analysts look at 0.00004% of the world's traffic in conducting their mission – that's less than one part in a million."

Azonban a meta-információk nem foglalnak sokat. Szóval ez akár rettentő sok információ is lehet, és elegendő a teljeskörű megfigyeléshez (nem véletlen, hogy ilyesmit gyűjtenek az EU-ban is Data Retention címen). Bruce Schneier – kissé leegyszerűsítve a dolgokat – odáig is elmegy, hogy egyenlőségjelet tesz a megfigyelés (surveillance) és a meta-adatok gyűjtése közé. Van benne valami.

Aki kíváncsi, mi minden tartozik bele a meta-információk körébe, nézze meg a Guardian kisokosát:

Permalink: https://pet-portal.eu/blog/read/550/2013-10-07-Mit-figyel-meg-az-NSA.php

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/541/2013-10-04-Teaching-Privacy-jo-osszhangban-a-tartalom-es-a-megje...

Hozzászólások (0 hozzászólás)

A Google Hummingbird-ről még nem sokat tudni. Azt azért tudjuk, hogy az új algoritmus inkább a keresőkifejezés emberi értelmezését veszi figyelembe majd, és a mögöttes jelentést próbálja meg a Knowledge Graph nevű tudásbázissal összekapcsolni. Ebben jóval nagyobb szerepet kaphatnak már a felhasználókról gyűjtött információk. Egyező irányba halad az utóbbi tíz évben az online hirdetésipar is, kíváncsi leszek, milyen hatással lesz az új motor a privátszférára, illetve milyen új szolgáltatások, termékek jelenhetnek meg ennek kapcsán.

Érdekes cikk a Facebook "data scientist" csoportjáról – ők azok, akik belelátnak a Facebook teljes adatbázisába, és új eljárásokat keresnek, hogy tudjanak is kezdeni vele valamit. Ez a sohasem látott adatmennysiég kiváló lehetőséget nyújt az emberi viselkedés kutatására, de bizonyos eredményekkel szemben érdemes kételkedni: a Facebook (és az utóbbi évek digitális "forradalma") a megfigyeltek viselkedésére is jelentős hatással volt.

A Google rájött, ha hagyják, hogy továbblépjen valaki a hirdetéseken a YouTube-on, háromszor olyan hatékony lesz a hirdetési ráta. Ez általánosabb kontextusban is igaz lehet. Ha az online hirdetők kikérnék a véleményünket (és hozzájárulásunkat), lehet, hogy a hirdetések is pontosabbak és hatékonyabbak lehetnének.

Végezetül pedig íme néhány kőkorszakinak tűnő mobiltelefon lehallgató eszköz. :-)

Permalink: https://pet-portal.eu/blog/read/547/2013-10-01-Privatszferat-erinto-hirek-roviden.php

Hozzászólások (0 hozzászólás)

Érdekes kísérletet hajtott végre Sarah A. Downey, amikor a személyes genetikai kockázataira volt kíváncsi. Úgy kereste fel a 23andme nevű céget, hogy a DNS elemzéshez szükséges minta és az ő személye közötti kapcsolatot elfedte, tartva attól, hogy az elemzés végeredménye a USA kormánya kezébe kerülhet. Az akcióhoz álnevet használt, és anonim böngészési eszközökkel kereste csak fel a cég weboldalát (a jelentkezés során és az eredmények megtekintésekor is):

First, any time I went to 23andMe’s site, I used a few privacy tools, including a Virtual Private Network (VPN) service. ... Then I opened a new Firefox window in Private Browsing mode while running DoNotTrackMe, a tracker-blocker, and MaskMe, an add-on that creates aliases of your contact and payment information, and went to 23andMe’s website.

[...]

I put a kit in my shopping cart and was asked to provide a name for it, so I gave a fake one. When filling out shipping information, I re-entered the same fake name and gave Abine’s address. I was able to do this because A), I actually work there and would get the package; and B), any virtual cards created in MaskMe automatically have Abine’s address as the card’s billing address.

I used MaskMe to create a new alias email address and auto-fill with my masked phone number. Both of these aliases forward to my real information, so I knew I’d still get email confirmations and phone calls. For billing, I again gave my fake name and Abine’s address, then generated a “Masked Card”  in the amount of the testing kit.

Ügyes, és egyéb esetben tényleg nagyszerű eszköz lehet a MaskMe (nem rég írtunk róla), de azért több mindenre oda kell figyelni genetikai elemzéskor.

Bármilyen plusz információ ugyanis nyomra vezethet a minta tulajdonosának megtalálásában. Egy esetben például egy kb. 500 fő anonim DNS mintáját tartalmazó csoport 42%-át tudták újra beazonosítani (97% pontossággal), mert a résztvevők megadtak néhány demográfiai adatot (nem, születési dátum, irányítószám – csak úgy, mint egy "aluljárós kutatásban" :-) ), amelyek nyilvános forrásokból visszakereshetőek voltak. Éppen ezért ügyelni kell az ilyesmire, mint például a szállítási címre is, hogy az kellően sok emberhez tartozhasson potenciálisan (így pl. a hölgy esetén a cég nevére/címére történő rendelés nem volt túl szerencsés).

Egy másik érdekes kutatás arra hívja fel a figyelmet, hogy egy illető DNS mintájának a jelenléte akkor is kimutatható egy "vegyes mintából", ha az összességében csak 0,1%-ot tesz ki belőle. Bizonyos esetkben is segíthet a deanonimizálásban, például ha egy adott helyszínről származó mintáknál kell megmutatni, hogy akit keresnek, szintén jelen szokott lenni – bár ez már inkább az extrém eset, és csak az érdekesség kedvéért említem.

Permalink: https://pet-portal.eu/blog/read/545/2013-09-27-Elfedhetjuk-e-szemelyunk-genetikai-vizsgalat-kozbe-an...

Forrás: How to use 23andMe without giving up your genetic privacy

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/540/2013-09-24-Google-Glass-Privacy-Policy.php

Forrás: Charley Suter @ Twitter

Hozzászólások (0 hozzászólás)

Kíváncsian várom a további részleteket erről (ahogy gondolom sokan mások is):

Apple's Safari browser has blocked third-party cookies since its introduction in 2003, and the technology giant introduced its own ad identifiers for its iOS mobile platform last year.

If Google follows through with its own version of this approach, that could give users more control over how they are tracked online. However, it will also put more power in the hands of two of the largest technology companies, according to some people in the advertising industry.

...

However, the new tool will give users the ability to limit ad tracking through browser settings, according to the person familiar with the plan.

The AdID may be automatically reset by the browser every year, and users will be able to create a secondary AdID for online browsing sessions they want to keep particularly private, the person explained.

Advertisers will get access to these AdIDs, as long as they adhere to the terms of the program. However, users may be able to change the list of approved advertisers, through controls in the browser, to exclude specific firms, the person added.

Jól és rosszul is könnyen elsülhet egy ilyen kedvezményezés, nagyon sok múlik a részleteken. Elképzelhető, hogy csak centralizálni fogja egyes nagy hirdetők hatalmát (mint a Google is maga), de ha nem, az is érdekes kérdés, hogyan ellenőrzik, hogy a résztvevők betartják-e a feltételeket.

UPDATE (2013-09-20 9:30): két további olvasmány a témáról, sok a találgatás – szerencsés, hogy nem passzívan várja mindenki, hogy mi fog érkezni.

Permalink: https://pet-portal.eu/blog/read/544/2013-09-19-Google-AdID.php

Hozzászólások (0 hozzászólás)

Egy előző bejegyzésben az NSA megfigyelési képességeiről írtam, és most ehhez kapcsolódóan szeretném kissé árnyalni a képet a problémakör EU-s, hazai és gazdasági szereplőinek tevékenységének bemutatásával. Ugyanis ezeket a szereplőket nem tekinthetjük a nagytestvér mellett elhanyagolható méretűnek, csak kevesebbet hallunk róluk, mert sajnos keveset is tudunk a pontos működésükről.

Tehát, hazai pályán mi is a helyzet? Az EU bevezettette a Data Retention direktívát (DRD), aminek köszönhetően a tagállamok többségében kötelező a legtöbb digitális kommunikációs forma automatikus "lehallgatása" (pl. vezetékes- és mobiltelefon, email), hazánkban 2009-ben vezették be. Még van pár ellenálló állam, akik várnak a bevezetéssel, mint Ciprus vagy Németország, de ez nem jelenti, hogy ezekben az államokban egyáltalán nincs online megfigyelés, hanem csak annyit, hogy ez más keretek között zajlik.

Mivel a DRD csupán ajánlás, így alul nem, de túlteljesíteni lehet: például előírja, hogy az email küldésnél a küldő-fogadó párost és a tárgy sort eltárolják, de a törzs részt nem. Azonban a túlbuzgóság megengedett, ezt is eltárolhatják. Sajnos nem láttam még olyan dokumentumot, cikket, ami a hazai helyzetet mutatná be, hogy az egyes szolgáltatók pontosan mit "hallgatnak le", és hogyan tárolják az adatokat (például mennyire nehéz illetékteleneknek hozzáférniük). Még 2008-ban a CEU-n volt egy nemzetközi workshop, ahol egy csehországi szakember szerint az egyik internet szolgáltató önszorgalomból a web böngészésről is tárol információkat (mert nem a direktíva része). A hazai érintett cégek vélhetően a "nép haragjától" tartva inkább nem nyilatkoznak maguktól.

Amiről egyik nagytestvér kapcsán sem esik szó, mégis témába vág: az a gazdasági célú megfigyelés. Ebbe az internethasználók szokásainak, ízlésének, anyagi helyzetének felmérése tartozik bele, amelynek a célja lehet a személyre szabott reklámok megjelenítése, döntések és lehetőségek befolyásolása, vagy akár a dinamikus árazás, amikor a látogató zsebéhez/érdeklődéséhez szabják az árakat (ez utóbbi az EU-ban mondjuk tilos). Mindebben óriási üzlet van, becslések szerint az online hirdetési iparág tavaly 37 mrd. USD bevételt könyvelhetett el (pedig ez csak egy ágazata a problémának), így ezen megfigyelési típus hátulütőit könnyebben érzékelhetik az áltagos web-használók is.

Amerikai kutatók úgy becsülik, hogy bizonyos megfigyelők az emberek online tevékenységének több, mint 20%-át is látják – a felmérések egyértelműen erre utalnak, ugyanis a top weboldalak ijesztő mértékben be vannak "poloskázva". A kutatók az Alexa top 500-ban 524 különböző megfigyelőt azonosítottak, és összesen 7264 poloskát találtak. Más kutatások pedig a közösségi gombok elterjedtségét 35%-ra teszik a top 10 000 oldal között: ugyanis a Like, Tweet, +1 gombok éppúgy poloskaként működnek, mint a rejtett társaik.

Permalink: https://pet-portal.eu/blog/read/539/2013-09-13-A-valosag-most-sem-fekete-feher-az-NSA-kistestverei.p...

Hozzászólások (0 hozzászólás)

Elég sok információ derült ki a PRISM ügy kapcsán már csütörtökig, és akkor gondoltam, hogy írok egy – kissé spekulatív – bejegyzést arról, hogy mire lehet képes az NSA, illetve mit lehet a megfigyelés ellen tenni. Mire elkészült volna, újabb információk kavarták fel a web vizét, jóval kevesebb spekulációra adva lehetőséget: már tudjuk, hogy az NSA bizonyos titkosított forgalmakat/üzeneteket is képes elemezni, megfigyelni. Szerencsére nem arról van szó, hogy feltörték volna a kriptográfia alapjául szolgáló algoritmusokat, hanem gondoskodtak róla, hogy a lehető legtöbb implementációban és szolgáltatónál legyenek kiskapuk, amikor "be szeretnének kukucskálni".

Korábban is lehetett sejteni, hogy a szuperszámítógépek ("adversary is capable of a trillion guesses per second") és az órási szakértői tudás ellenére sem képesek mindenütt permanens megfigyelést végrehajtani (bár behatolni valószínűleg igen, csak ezek a célzott támadások elég körülményesek, rizikósak és túl sokba kerülnek a tömeges alkalmazáshoz).

Ezért az NSA a könnyebb utat választotta: megegyezett a nagyobb cégekkel, hogy biztosítsanak a megfigyeléshez felületet, illetve telekommunikációs szolgáltatókkal is keresték a partneri kapcsolatot, szoftver készítő cégeknél pedig kiskapukat építtetek a termékekbe. Ez utóbbi ráadásul nem is rizikós: zárt kódú szoftvereknél a lebukás esélye minimális, és ha meg is történne, úgy intézték, hogy hibaként lehessen elmaszatolni a felfedezett gyengeséget (pl. protokoll változóinak befolyásolása, rossz véletlengenerátorok).

Ezt támasztja alá a Silent Circle nevű cég biztonságos email szolgáltatásának hirtelen leállítása. A cég mielőtt megkereshették volna őket a kormánytól (a botrány kezdete óta közel 400%-os növekedésük volt), inkább leállították a szolgáltatást és az adatokat törölték. Ugyanis ez esetben kénytelenek voltak belelátni a levelezésbe a protokoll nyíltsága miatt, míg más szolgáltatásaiknál end-to-end titkosítást alkalmaznak.

Emellett voltak törvényi törekvések a "lefedettség" növelésére (illetve szakmai is, ld. a 2013-as célkitűzéseket), erre utal az is, hogy törvényileg szerették volna az USA-ban is jelenlévő cégeket kötelezni a lehallgathatóságra, amit ha egy cég elmulasztana, napi 25 000 USD lenne a büntetése. Ez a törvény egyféle catch-all-ként működne: külön pénzkiadás nélkül be tudnánk poloskázni a fennmaradó cégeket, hiszen mindenki automatikusan partnerré válna (csak szemben a PRISM résztvevőkkel, ezek a cégek mindezt ellenjavadalmazás nélkül tennék, így olcsóbb az államnak).

Mit lehet tenni? A nyílt forráskódú kriptográfiai és PET technológiák kevésbé vannak kiszolgáltatva manipulációnak és nagy mennyiségben ezt nem tudja az NSA sem lehallgatni, így ilyen eszközöket érdemes használni. A következőket ajánljuk (egyeseket Bruce Schneier is használ és ajánl): KeePass, TrueCrypt, Thunderbird + Enigmail + GnuPGP vagy GPG, Tails, OTR, BleachBit. És persze nem érdemes gmail-es címet használni. :-)

Akit érdekel a téma, tudom ajánlani Bruce Schneier útmutatóját az online privátszféra megerősítéséhez. Ez a cikk nem csupán végigveszi az előzményeket (linkekkel) és bemutatja a fennálló helyzetet, hanem konkrét javaslatokat is tartalmaz, illetve a végén Bruce említ néhány PET-jellegű szoftvert, amit ő is használ, mióta a botrány tart (némi átfedésben a fentebbi listával). A theguardian ezen kívül még további érdekes cikkeket is közölt, amit érdemes elolvasni.

UPDATE (2013-09-10 13:35): mivel a TrueCrypt-et azért éri némi – akár óvatosságra intő – kritika, alternatívaként érdemes körbenézni a további lehetőségek között.

Permalink: https://pet-portal.eu/blog/read/538/2013-09-10-A-nagy-testver-tehat-letezik-De-mit-tehetunk-NSA-botr...

Hozzászólások (0 hozzászólás)

Érdekes funkciót kínál a Twitterspirit: engedélyezzük a profilunkon, és a megfelelő módon felcímkézett üzenetek automatikusan törlődnek. Ehhez csupán arra van szükség, hogy a tweet életidejét jelöljük a megadott formátumok egyikével (pl. #1m, #3m, #2y). Ez egy remek ötlet, igazából lehetőséget ad az EU által is propagált felejtéshez való jog gyakorlatba ültetésére – bár a kivitelezés elvével akad pár probléma.

Ugyan bízhatunk benne, hogy a nagyközönség nem fogja olvasni az adott idő letelte után üzenetünket, azonban nincs garancia rá, hogy senki sem fogja az efféle üzeneteket idő előtt archiválni. Főleg, hogy ezekre elég könnyű szűrni (és így archiválni), köszönhetően a címke hashtag funkciójának. Így jöttem én is rá, hogy másoknak sem működik ez az alkalmazás valami tökéletesen. :-) A másik probléma, hogy ez a címke a nagy testvér számára is indikátor lehet, hogy ezekre a tweetekre több figyelmet fordítsanak.

Nekem egyébként – ahogy fentebb is írtam – nem is működött a @GulyasGG csatornámon, de ettől függetlenül már magára a működési elvre is érvényesek a fenti megállapítások.

Permalink: https://pet-portal.eu/blog/read/537/2013-09-03-Twitterspirit-amikor-a-privatszfera-vedelme-nem-csupa...

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/536/2013-08-31-Facebook-ahol-te-vagy-az-aru.php

Hozzászólások (0 hozzászólás)

Amikor privacy-ről, megfigyelésről, azonosításról és hasonlókról van szó, mindig van néhány ember, aki az "És akkor mi van?" álláspontra helyezkedik, és úgy véli, hogy mindezeknek a jelenségeknek igazából nincs semmi jelentősége. Ha őket nem is tudjuk meggyőzni, de az e irányba hajló bizonytalanoknak üzenünk egy konkrét példával, amikor is a pénzintézet efféle eszköket bevetve dönt a hitelkérelem elbírálása során.

A cikk által említett Kreditech nevű vállalat a hitelkérelem elbírálása során két érdekes forrást vesz figyelembe. Egyrészt negatív súllyal esnek latba a felhasználó azon Facebook-os kapcsolatai, amelyek késedelmesen fizetik a törlesztőrészleteket, másrészt pedig figyelik, hogy a kérvényező (webes) űrlapot hogy tölti ki az illető. Így például aki nem tölt kellő időt a részletesk olvasgatásával, szintén veszik hitelfelvevő-erejéből (mert ugye az EULA-t is mindenki elolvassa :-)).

Ugyan ez egy konkrét eset, amikor a saját bőrén tapasztalhatja meg valaki ezen technológiák hátrányait, de sajnos jelenleg túl áttételesen zajlik a megfigyelési, azonosítási technológiák elterjedése, ahhoz hogy a legtöbben ezt a folyamatot észrevegyék, értelmezzék és tegyenek ellene. Viszont így előfordulhat, hogy mire a probléma tömegek számára is érzékelhető lesz, akkor már nem lehet (egykönnyen) tenni ellene, mert az egész webes iparág a megfigyelésből származó bevételektől fog függenni. Ez a lehetőség főleg akkor lehet komoly probléma, ha az asztali számítógépünk tovább fejlődik a vékonykliens irányba, és minden a webről megy majd.

Permalink: https://pet-portal.eu/blog/read/535/2013-08-30-Amikor-a-bank-a-hitelet-nem-fizeto-Facebook-os-kapcso...

Forrás: Time to Defriend? How Your Facebook Friends Could Determine Your Credit.

Hozzászólások (0 hozzászólás)

Talán Olvasóink egy része hallott már az Ujjlenyomat 2.0 tesztről és az ehhez (vagy inkább e mellett) készült FireGloves kiegészítőről (amelyek egyébként elérhetőek a bal oldali menüben is). Bár tavaly szeptember óta nem fejlesztjük a kiterjesztést, és ezt ki is írtuk a honlapra és az addons oldalára is, mégis megmaradt kb. 2000 felhasználónk, és néhány hetente kaptunk 1-1 hibabejelentést vagy segítségkérést.

Az utóbbi időben azonban igen megugrott a felhasználók és a beérkező levelek száma, köszönhetően annak, hogy néhány külföldi weboldal szép sorban beszámolt a kiegészítőről. Ennek nagyon örülünk, hiszen egy megoldatlan problémára hívják fel "átlagfelhasználók" figyelmét, azonban annak kevésbé, hogy a FireGlovest úgy mutatják be, mint egy élesben használható anti-ujjlenyomat technika. Ez sajnos azonban nem igaz, hiszen ez csak egy koncepciót demonstrált, és a védelmi mechanizmusai könnyen megkerülhetőek.

Ebből az apropóból fakadóan írtam egy a fentieknél kicsit bővebb, a hátteret és jelen helyzetet tisztázó bejegyzést az angol nyelvű blogba, amelyet ez úton ajánlok az érdeklődő Olvasók figyelmébe.

Érdekelnek a rövidebb hírek, érdekességek, újdonságok is? Nem mindegyikből lesz itt is poszt, ezért ha igen, kövesd a Twitter fiókomat is!

Permalink: https://pet-portal.eu/blog/read/534/2013-08-27-FireGloves-onstunk-tiszta-vizet-a-poharba.php

Hozzászólások (0 hozzászólás)

Olyan világban élünk, ahol a digitalizálódó környezetünk által egyre többen akarnak belelátni a magánéletünkbe, ami a hirdetési iparnak pénzt hoz: akik az elsők között vezetik be ezeket a funkciókat, jelentős többletbevételhez jutnak versenytársaikhoz képest. Aztán ez az előny egy idő után elmúlik, de a vesztes oldalon az elejétől kezdve ugyanaz marad: a fejőstehén szerepét játszó adatalany. Akiről következő lépésben egy újabb bőrt húznak majd le, mert a bevételnek növekednie kell, és a piacon sem áll meg a verseny.

A napokban felröppent két érdekes hír, amelyek alapján új frontok megnyílására számíthatunk. Az egyik a közösségi médiában erősödő érzelem naplózásról számol be, miszerint egyre több szolgáltatásban van lehetőség ezt is feltüntetni a közlendő mellett (Facebook, bit.ly). A szolgáltatók arra számítanak, hogy algoritmusok helyett a felhasználókra hagyatkozva pontosabb információkhoz juthatnak majd, ami végül a magasabb hirdetés átkattintási rátát fogja eredményezni.

A másik potenciális húzása a hirdetési iparnak talán már beleillik a hátborzongató kategóriába, ez pedig a pay-per-gaze. Azaz a hirdetőnek nem a megjelenítés, vagy az átkattintás után kell fizetnie, hanem azután, hogy valaki hányszor tekint rá a hirdetőfelületre. Ez nem csupán egy újabb terület meghódítását jelenti, hanem egy nagyon komoly (és durva) behatolást a személyes privátszférába.

Ha valakit érdekelnek apróbb hírek, érdekességek, amelyekből nem mindig születik blogbejegyzés, kövessen Twitter-en!

Permalink: https://pet-portal.eu/blog/read/532/2013-08-21-Amikor-a-hirdetonek-tobb-kell-a-lelkedbol.php

Hozzászólások (0 hozzászólás)

Egy amerikai kutató mindössze 57 USD egységáron olyan készülékekből épített megfigyelő hálózatot, amelyek a wifi jelek alapján képesek követni a jelkibocsájtó eszközök mozgását. A 10 egységből álló tesztrendszerhez aggregátor és megjelenítő alkalmazás is készült, s így okostelefonok vagy egyéb eszközökkel felvértezett emberek mozgását volt képes megjeleníteni (bár a kutató állítása szerint csak saját magán kísérletezett, tekintve hogy odaát mostanában divat perelni a biztonsági kutatókat).

A wifi azonosítók (pl. MAC) segítségével pedig elég sok minden megfigyelhető, attól függően, hogy mekkora területet képes lefedni az elküvető. A rendszeres észlelésekből kikövetkeztethető, hogy valaki merre utazik (munkába/munkából/ebédelni/stb.), hol lakik/dolgozik (ami már önmagában egyedileg azonosít), esetlegesen milyen szokásai vannak. És mivel tavaly sikeresen azt is demonstrálták már, hogy a megfigyelt azonosítók is deanonimizálhatóak, így akár személyes megfigyeléssé is fajulhat a dolog. Érdemes tehát a Wifi-t akkor bekapcsolni, ha szükségünk van rá.

A dolog pikantériája, hogy a wifi csak egy a lehetőségek közül. Például ezeket az eszközöket BlueTooth, RFID követési képeségekkel is fel lehetne vértezni, és így növelni megfigyelési képességüket. Ezeket nehezebb is korlátozni, hiszen RFID matricák lehetnek a frissen vásárolt termékekben, vagy akár ruhába varrva is, és ezeket nem mindig olyan könnyű deaktiválni.

Permalink: https://pet-portal.eu/blog/read/531/2013-08-16-Erdekesseg-wifi-megfigyelo-halozat-szinte-fillerekbol...

Forrás: A Cheap Spying Tool With a High Creepy Factor

Hozzászólások (0 hozzászólás)

Egyes vélekedések szerint igen, ahogy ma a 'zöld' és 'környezetbarát' kifejezésekkel könnyebb eladni:

Remember the 1990′s when companies rushed to brand their products as “enviro-friendly” to attract green-conscious consumers? A research firm suggests the same phenomenon could happen in response to how firms handle privacy and personal data.

Ez nem meglepő, de aztán sajnos az lesz az árnyoldala, hogy a 'privátszféra-barát' kifejezés kiüresedik, tartalma semmitmondóvá válik. Ez utóbbi már ma is megfigyelhető, gondoljunk csak a CryptoCat-re.

Permalink: https://pet-portal.eu/blog/read/528/2013-08-13-A-privacy-lesz-a-kozeljovoben-a-hivoszo.php

Hozzászólások (0 hozzászólás)

Amikor a web privacy témakörből szoktam előadást tartani (például a tavaszi félévben itt és itt volt rá precedens), rendszeresen szoktam beszélni az anonim böngészőkről is, és azt is el szoktam mondani, hogy ma "csak" anonimek tudunk a segítségükkel lenni, bár elvileg ennél több is lehetséges volna. Ugyanis ha valaki anonimként látszik egy web oldal felé, már csak rajta áll, "hogyan mutatkozik be", azaz milyen nevet, email címet és egyéb adatokkal áll elő. (Anonim böngésző nélkül hiába cserélné le valaki ezeket az adatokat, azok összeköthetőek maradnának, és így a különféle weboldalakon végzett tevékenységek akkor is az ő profiljához fognak kötődni, ha ezt nem akarja.)

A szakmai nyelvben identitásmenedzsmentként említett funkciót eddig nem igazán lehetett a webes böngészési gyakorlatban látni, noha akadémiai körökben intenzíven foglalkoztak vele, még hazai pályán is készült diplomaterv a témában. A MaskMe ezt a rést kívánja betölteni (Chrome változat), ugyanis lehetővé teszi a különböző identitások alá tartozó adatok kényelmes kezelését, mint ideiglenes email címek, vagy a "kimaszkolt" bankkártya adatok. Ez utóbbi a fizetős változat része, aki nem fizet online túl sűrűn, annak az ingyenes megoldás is megfelelő lehet (és a biztonság kedvéért pedig PayPal-t, vagy internet kártyát érdemes használni). Tényleg pofonegyszerű a használata:

MaskMe működés közben. Klikk a képre nagyobb felbontásért!

Bár örvendetes a hír, de sajnos mindez még csak egy zsenge kezdeményezés, ugyanis a MaskMe nem használ anonim böngészőt. Így önmagában nem tekinthető bombabiztos megoldásnak, bár más, anonimitást nyújtó és/vagy privátszféra-erősítő kiegészítők mellett már érdemes lehet használni. (Érdekességképpen jegyzem meg, hogy a MaskMe alkotója készítette a GoogleSharing-et is.)

Amire még érdemes odafigyelni: a beállításokban az anonim adatgyűjtés alapból be van kapcsolva. Engem zavart, kikapcsoltam.

Érdekel még a téma? Szívesen hallgatnál előadásokat más, hasonló témákban? BME-s Olvasóknak tudom ajánlani az őszi félévre meghirdetett Anonimitás és privátszféra-védelem korszerű informatikai szolgáltatásokban c. tárgyunk, ahol sok más érdekes témakört érintve a web privacy-ről is lesz szó (sőt, két előadás erejéig!).

Permalink: https://pet-portal.eu/blog/read/529/2013-08-09-MaskMe-anonimitasnal-is-tobbet-nyujthat.php

Forrás: CNet: MaskMe guards your privacy like a vigilant angel

Hozzászólások (0 hozzászólás)

A klasszikus, css-alapú history stealing techikát ugyan már 2010-ben eltemethettük (egy igencsak hosszú, 10 éves pályafutás után), de azért mégis felüti időnként a fejét, sőt, egész széles skálán találhatunk hasonló megoldásokat. Az idei BlackHat-en Paul Ohm közzé tett egy új technikát, ami a linkek renderelési sebessége alapján képes eldönteni, hogy valahol járt-e már a felhasználó vagy sem. Ugyanis a böngésző minden linket ismeretlenként jelenít meg először, majd kikeresi az adatbázisában, és újrarendereli, ha már jártunk ott. Ebből fakadóan ez utóbbiak renderelése mérhetően lassabb, és sajnos a probléma jellegéből fakadóan elég nehéz lesz javítani.

A kutató további technikákról is beszámolt. Az egyik az SVG renderelőt használja, hogy a felhasználó által is látott képet "meglesse", illetve a másikkal a látogatott weboldalak forrásához lehet hozzáférni, és azokból információt nyerni, mint például felhasználónevek és azonosítók.

Permalink: https://pet-portal.eu/blog/read/530/2013-08-05-History-stealing-ujra-teriteken.php

Hozzászólások (0 hozzászólás)

A Google Now mobilokon elérhető kereső szolgáltatásának lényegege, hogy a rólunk elérhető valamennyi információt felhasználva a lehető legpontosabb választ adja a felhasználó kérdésére. Ehhez felhasználja a telefonon elérhető különböző információforrásokat, mint a helyzetinformáció, naptárbejegyzések, keresési előzmények – vagyis lényegében egyszerre kezel minden rólunk elérhető információt.

Ez több okból is ijesztő. Ugyanis az adatok együttes kezelésében nagy biznisz van, ezt a Google is tudja, és emiatt a jövőben is inkább az efféle szolgáltatásokat fogja támogatni, szemben a privátszféra-erősítő törekvésekkel. Másrészt az összekapcsolt adatokból további implicit információk nyerhetőek, ami külön veszélyforrás lehet. (Például Gipsz Jakab péntek délutáni keresőkifejezése, a 'virág üzlet flórián tér', egyértelműen elárulja a keresőnek, hogy aznap este a feleségét készül meglepni, amihez máris kapcsolhatóak célzott hirdetések.) Vélhetően nehezebben fog kialakulni a felhasználókban ellenérzés ezzel a problémával szemben.

Szerencsére nem az a kizárólagos megoldás, hogy az ilyen (egyébként hasznos) szolgáltatásokat elvetjük. Úgy kellene megoldani őket, hogy az információk ne hagyják el a felhasználó készülékét. Erre egy megoldásként elképzelhető, hogy a keresések, lekérdezések központi anonimizáló proxy-kon mennek keresztül (ezen az elven működik a Google Sharing), de más megoldások is lehetségesek.

További információk a szolgáltatásról videóban a tovább után, illetve infógrafika a poszt végén!

Permalink: https://pet-portal.eu/blog/read/527/2013-08-02-Google-Now-most-mindent-rolunk-video-es-infografika.p...

Tovább (0 hozzászólás)

Eric Schmidt szerint ha van valami, amit nem szeretnénk mások orrára kötni, akkor lehet, hogy nem is kellene azt csinálnunk. Ezek alapján azt hihetnénk, hogy ez a 'valami' csak bűn lehet, pedig az embernek alapvetően szüksége van privátszférára: szükséges, hogy önmagunk lehessünk – mindamellett, hogy a szennyes elrejtésére is lehetőséget nyújthat. Úgy tűnik, hogy inkább ez utóbbi miatt, de ma már Eric Schmidt is szeretne egy kis privacy-t. [A privacy fontosságát illetően bizonytalan, illetve a mellette érvelni szándékozó Olvasóink számára ajánljuk ezt a cikket.]

Néhány hacker sikeresen demonstrálta: a túldigitalizált autók felett könnyű kívülről átvenni az uralmat. Ezek azonban olyan esetek, amikor közvetlenül a bőrén tapasztalja meg a sofőr és utasai a veszélyt (ún. aktív támadások) – azonban azok az esetek is legalább ilyen súlyosak, noha sokkal alattomosabbak, amikor csak megfigyelnek egy autót távolról. Így például könnyebben tervezhető meg egy betörés, vagy a szándékos baleset okozása.

Ítélet ugyan nem született, de a PulseNet nevű hirdető cég 1 millió USD-t fizet peren kívül, mert célzott hirdetések aggresszív terjesztésén érték tetten őket. Mivel ők komolyan veszik a felhasználók privacy-jét, az előbbi gyakorlatot beszüntették, és kárpótlást fizetnek tettükért. Ugyanis nagyjából három éven át úgy kerülték meg Safari felhasználók third-party süti blokkoló mechanizmusát, hogy JavaScript segítségével hirdetés-kattintásokat szimuláltak.

Permalink: https://pet-portal.eu/blog/read/526/2013-07-29-Privacy-hircsokor.php

Hozzászólások (0 hozzászólás)

A hónapban a GSM lehallgatás kapcsán már volt egy bejegyzésünk, ami szerint könnyű hamis bázisállomást építeni. (Kapcsolódó érdekesség jelent meg az ATV.hu-n, ami a hivatalos hazai lehallgatás lehetőségeit, jogi szabályait boncolgatja.) Újabb eseményeknek köszönhetően a nemzetközi sajtó ismét felkapta a témát:

Nohl, who will be presenting his findings at the Black Hat security conference in Las Vegas on July 31, says his is the first hack of its kind in a decade, and comes after he and his team tested close to 1,000 SIM cards for vulnerabilities, exploited by simply sending a hidden SMS. The two-part flaw, based on an old security standard and badly configured code, could allow hackers to remotely infect a SIM with a virus that sends premium text messages (draining a mobile phone bill), surreptitiously re-direct and record calls, and — with the right combination of bugs — carry out payment system fraud.

Ki tudja, mi jön még, mielőtt kivonják a piacról? :-)

Permalink: https://pet-portal.eu/blog/read/525/2013-07-24-GSM-lehallgatasa-az-ehavi-slagertema.php

Hozzászólások (0 hozzászólás)

Az anonimitási paradoxon segítségével egy fontos dolgot érthetünk meg, ha PET-et szeretnénk használni: még a legtökélesebb technológia segítségével sem leszünk automatiksan anonimek, hanem ez jelentősen függ attól is, hányan használják az adott technológiát, szolgáltatást (erről bővebben írunk a most megjelenő könyvfejezetünkben). Ezt könnyen elképzelhetjük, ha egy maszkos, feketeruhás "ügyfelet" képzelünk el egy bankban. Bár ez az "ügyfél" anonim (a személyes identitása rejtett), mégis jól azonosítható megjelenésének köszönhetően.

Az anonimitási paradoxonáról az utóbbi időben az ujjlenyomat alapú nyomkövetésnél hallhattunk, ami néha ujjlenyomatozási paradoxon néven fordul elő a szakirodalomban (fingerprinting paradox). Már Peter Eckersley is írt a Panopticlick eredményeit feldolgozó tanulmányában erről, kiemelve hogy a Privoxy (PET) használói olyan kis létszámban vettek részt a kísérletben, hogy az átlagnál jobban azonosíthatóak voltak.

Általában véve az ujjlenyomatokkal szembeni védekezés során úgy érdemes megválasztani a védekezési eljárást, hogy a beállításaink sok más felhasználóéra hasonlítsanak. Ezért érdemes népszerű ujjlenyomat-védett anonim böngészőket használni, mint a JondoFox vagy a Tor Browser Bundle, ahelyett hogy magunk építenénk egy egyedi böngészőt, vagy egymás hegyére-hátára telepítenénk a privátszféra-védő kiegészítéseket.

Permalink: https://pet-portal.eu/blog/read/523/2013-07-23-Anonimitasi-paradoxon-a-nevtelen-beazonosithatosag.ph...

Hozzászólások (0 hozzászólás)

A GSM már évek (évtiezedek? :-) ) óta több sebből is vérzik, de valamiért mindig talpon marad, és talán széleskörű elterjedtsége miatt nem kukázzák a szolgáltatók a technológiát. Most egy újabb gyengeségére derült fény, de valószínűleg ez sem fog változtatni a helyzeten:

"Az a legszebb az egészben, hogy a hekkeléshez szükséges egyetlen különleges hardver egy teljesen hétköznapi femtocella, amit 250 dollárért bárki megvehet a Best Buy áruházban. Ez a femtocella eredetileg azt a célt szolgálja, hogy aki magas építésű házban vagy civilizációtól távoli tanyán él, az a segítségével javítani tudja a mobilhálózati lefedettséget. A kütyü gyakorlatilag egy miniatűr bázisállomás, amit az ember a saját vezetékes internetelérésére köt rá. A közelben tartózkodó mobiltelefonok pedig ezen keresztül bonyolítják le a hívásokat, küldik az adatokat."

Permalink: https://pet-portal.eu/blog/read/524/2013-07-19-GSM-az-allando-tulelo.php

Hozzászólások (0 hozzászólás)

A PRISM botrány után és hogy az EU-ban is elkobozhatják a mobilunk a határon, joggal aggódhatunk adataink védelmét illetően, ha külföldre megyünk nyaralni és visszük magunkkal okostelefonunkat is. Mivel a legtöbb esetben adatainkat online tároljuk, telefonunk lementése már önmagában egy alaposabb átvilágításnak felel meg (irodai- és magánlevelezés, fényképalbumok, baráti- és munkakapcsolatok, teljes telefonkönyv, stb.).

Mit lehet ez ellen tenni? A legcélravezetőbb, ha nem viszünk magunkkal semmilyen "okoskészüléket". :-) Ha azonban mégis így döntünk, érdemes a telefonról teljes mentést készíteni (amit hazaérve visszaállíthatunk), és egy gyári reset-et adni rá. Android esetén pedig egy átmeneti Google fiókot létrehozni, amelybe a Contacts alkalmazás import/export funkcióival a szükséges elérhetőségeket áthelyezhetjük, illetve az utazáshoz szükséges fájlokat is átmásolhatjuk (zenét, képalbumokat).

Feltelepíthetjük emellé valamennyi alkalmazást is, csak arra ügyeljünk, hogy jelszavakat ne adjunk meg sehol, és lehetőség szerint a beutazás előtt ne használjuk az alkalmazásokat. (Így a telefonon sem lesznek gyorsítótárazott adatok, illetve ha meg is változtatjuk később a jelszavaink, addig a levelezésünk jelentős részéhez közben hozzáférhet az adott hatóság, ha például IMAP protokollt használunk.) A jelszavainkat pedig vigyük magunkkal titkosítva: erre biztosít lehetőséget például a KeePassDroid, amely képes ugyanazt az adatbázist használni, amit a PC-n futó KeePass-szal készítettünk. Így a kinttartózkodás során könnyen és biztonságosan beállíthatjuk és használhatjuk valamennyi alkalmazást.

Permalink: https://pet-portal.eu/blog/read/522/2013-07-17-Hogyan-vedjuk-mobilunk-ha-kulfoldon-nyaralunk.php

Hozzászólások (0 hozzászólás)

Manapság a webes megfigyelés, nyomkövetés olyannyira kifinomult már, hogy nem lehet akármilyen eszközt használnunk, ha anonim módon szeretnénk a webet használni. A legkorszerűbb anonim böngészők, mint a JondoFox és a Tor Browser Bundle, megfelelnek ennek a célnak, azonban ezek ingyenes változatainál az IP cím rejtés elég lassú általában. Így erre a célra érdemes egy gyorsabb, ingyenes anonim VPN szolgáltatást választani – így megfelelő anonimitási szint mellett értékelhető szolgáltatás sebességet is elérhetünk, ingyen. Ha valaki viszont hajlandó erre pénzt áldozni (a garantált sebesség kedvéért), érdemes megnézni a fizetős megoldásokat is: például a JondoFox esetében kb. 3000 Ft összegért 1,5GB forgalmat kapunk, amely 1 évig felhasználható.

Permalink: https://pet-portal.eu/blog/read/521/2013-07-07-Anonim-bongeszes-csak-ne-a-modem-eleterzessel.php

Hozzászólások (0 hozzászólás)

A LiSS [LiSS website] az első multidiszciplináris nemzetközi tudományos program volt (2009-20013), amely a megfigyelő társadalmak mindennapi életének kérdéseivel foglalkozott. A COST [European Cooperation in the field of Scientific and Technical Research] által adminisztrált, az EU [EU Framework Programme] által támogatott programban 26 ország több mint 150 szakértője vett részt. A program budapesti eseménysorozatán 2012. októberében Gulyás Gábor György élő demonstrációt mutatott be a legújabb profilírozó technológiákról (és hogy mit tehetünk ellenük). Ez a film a Közép-európai Egyetemen rendezett háromnapos rendezvényt dokumentálja, közte a „Warning! We are watching you!” interaktív installációt.

A videó a galériában tekinthető meg.

Permalink: https://pet-portal.eu/blog/read/520/2013-06-25-Living-in-Surveillance-Societies.php

Hozzászólások (0 hozzászólás)

Az utóbbi időben a PRISM körüli balhéról megjelent cikkek mellett Bruce Schneier érdekes kérdéseket vetett fel a téma kapcsán. Ugyan adatvédelem szempontjából az EU tekinthető világviszonylatban vezető hatalomnak, de ez összefügg a szabad internettel, ami viszont inkább az USA területe: azonban ha ez hazai pályán sem létezik, akkor hogyan tudnák ezt az értéket hitelesen képviselni? A kormányzati megfigyeléssel kapcsolatban azt írja, hogy ennek kialakulásának a lehetőségét a kényelemért eladott privátszféra alapozta meg. Ezzel nehéz vitatkozni: a kényelmes, bárhol elérhető és ingyenes szolgáltatások árát a privátszféra eladásával váltják meg sokan, az így kialakult lehetőséggel pedig csak "élt" a kormányzat, és a cégek által elérhető információkhoz kért titkos hozzáférést.

Más aspektusból szemlélve feltehetnénk úgy is a kérdést, hogy az vajon miért nem zavart senkit, hogy üzleti okokból ez a megfigyelés már régóta zajlik?

Érdekes cikk jelent meg az IT café-n a BitCoinról. Ma Magyarországon olyan folyamatok zajlanak, amelyek a pénzügyek nagyobb kontrolljához vezetnek, és az "offline" világban használhatos készpénzt a háttérbe szorítják. Ezzel együtt az anonim fizetési lehetőséget is, ami alapvetően egy jó dolog (például adakozáshoz) – így a jövőben nagyobb teret nyerhetenk az efféle pénzek, pénzügyi rendszerek. [Érdeklődőknek: az eredeti BitCoin leírás itt elérhető.]

A Google Glass felépítéséről készített egy fényképest leírást az EFF. Ahogy korábban mi is írtunk róla, a probléma nem magával a készülékkel van, hanem a köré kiépült infrastruktúrával és szolgáltatásokkal, illetve a benne rejlő potenciállal.

A Facebook Social Graph használata betekintést adhat egy kicsit abba, amire a Facebook eddig is már képes volt. Ennek segítségével például lekérdezhetjük, hogy milyen éttermet kedvelnek a barátaink, kik laknak egy adott helyszín közelében, hol jártak ismerőseink, stb. Ezt látva már könnyebb lehet elképzelni, hogy hogyan egészíthetik ki célzott hirdetések alkalmazásánál valakinek a profilját a barátai preferenciái alapján.

Permalink: https://pet-portal.eu/blog/read/518/2013-06-19-Privacy-temaju-erdekessegek-es-hirek.php

Hozzászólások (0 hozzászólás)

Az FBI jogellenes (de végül sajnos hivatalosan jóváhagyott) módon kér ki felhasználókról adatokat a Google-től, és még többet szeretne: egy új törvénytervezet szerint minden online kommunikációt lehallgathatóvá szeretnének tenni. (Ez gyakorlatilag annak a sejtésnek a restaurálása mai formában, amit Schneier az Applied Cryptography-ban ír: nincs olyan [exportált] kripto eljárás, amihez az NSA-nak ne lenne hátsó kapuja.)

Egyesek harcolnak, hogy visszaszoruljon az adatgyűjtés az interneten, illetve legyenek életképes alkalmazások, szolgáltatások az efféle folyamatok szabályozására. Ám nem mindenki van ezzel így: valaki külön API-t hozott létre, ahol bárki figyelemmel követheti bizonyos jellemzőinek az alakulását valós időben. Egyelőre alvási statisztikák, testsúly, lépésszám, aktivitás, check-in-ek érhetőek el. Érdekes lenne azt kutatni, hogy ezek alapján milyen következtetések vonhatóak le, pl. tartozkódási hely, szokások, aktuális program, személyes preferenciák.

Sokszor írtunk róla, hogy miért is jó biznisz a megfigyelés, és hogy ennek mértéke hogy nő a hordozható kütyük térnyerésén keresztül. Eric Schmidt szerint nem kell félni ha ezek egyszer mindenütt ott lesznek, mert nem kifizetődő üzlet mindenkinél mindent megfigyelni. De akkor miért mutat ezzel szemben, amit ma látunk?

Érdekes felvetés példán keresztül: a Google képes lehet akár választások eredményét is befolyásolni, hiszen az ő titkos algoritmusa határozza meg, hogy milyen információk jelennek meg az egyes jelöltekről.

Permalink: https://pet-portal.eu/blog/read/517/2013-06-06-Hirek-a-nagyvilagbol.php

Hozzászólások (0 hozzászólás)

Dinamikus árazásról például akkor beszélhetünk, amikor a profitnövelés céljából egy üzletben (például webshopban) a fogyasztók eltérő árakkal találkoznak attül függően, hogy az eladó mennyire tartja őket tehetősnek. Bár ezen beszámoló alapján úgy tűnhet, hogy ez egy nemlétező jelenség, és helyette átláthatatlan kuponrendszerekben találkozhatunk csak efféle diszkriminációval.

Az IT café azonban egy ennek ellentmondó kutatásra hívja fel a figyelmet: igenis létezik a gyakorlatban a dinamikus árazás, és leginkább a böngészési előzmények, illetve a tartózkodási helyünk határozza meg, hogy milyen árakkal találkozunk egy webáruházban. (Ami nem olyan meglepő, hiszen a böngészési előzményeket kicsit tágabb értelmbe véve, a célzott hirdetéseknél felhasznált profilok kellőképpen alkalmasak erre a felhasználásra is.)

Akit érdekel a téma, illetve hogy milyen árak szerepelnek másoknál egy adott webshopban, annak érdemes kipróbálni a kutatók kísérleti pluginjeit, amivel ez utóbbit ellenőrizni lehet. Illetve ennek feltelepítésével hozzá is lehet járulni a dinamikus árazás elterjedtségét felmérő kísérlet adatgyűjtéséhez is.

A végére egy vicces videó: nem mindenki örül, ha nem igazságos a fizetés. :-)

Permalink: https://pet-portal.eu/blog/read/516/2013-05-28-Dinamikus-arazas-megsem-csak-mese.php

Hozzászólások (0 hozzászólás)

Azt vitatja a hírbehozó a Webisztánon, hogy a Google pusztán egy hirdetési vállalat lenne, vagy az Apple csupán egy ügyes hardvergyártó cég. Ezzel egyetértek, és a privátszféra szempontjából nézve még inkább látszik a hasonlóság: az Apple is hirdetési vállalattá kezd válni. Sőt, ahogy ezek a cégek szolgáltatásai, rendszerei fejlődnek, kénytelenül is egyre nagyobb területet képesek lefedni az emberek magánéletéből (amiben ma már nyilván van valamennyi szándékosság is), és az elért információt még magasabb színvonalon képesek felhasználni, például megfigyelés-profilírozás és precízebb célzott hirdetések megjelenítésének formájában.

Szerintem sem az várható, hogy ezek az órásvállalatok bizonyos szakterületekre specializálódnak majd, hanem a konvergencia további erősödése lesz megfigyelhető. A Google és az Apple is hardver készítő és szoftver/operációs rendszer fejlesztő vállalat marad, de ez csak az elsődleges piac lesz számukra, amelyet majd felhasználnak a másodlagos, sokkal jövedelmezőbb, és hosszú távon is kiaknázható piac elérésére. Azaz ha eladták a készülékeiket/termékeiket, majd eladják a felhasználóikat is. Bár ez utóbbi közvetlenül lehet, hogy kevesebbet hoz a konyhára, de a(z elsődleges) termék egész életciklusában működhet.

Ebben sok pénz van, nem véletlen akar beszállni a versenybe a Microsoft is – egyszerűen szoftver, vagy operációs rendszer fejlesztésből már nem tud egy ekkora cég a régi színvonalon megélni.

Permalink: https://pet-portal.eu/blog/read/515/2013-05-22-Re-Re-A-Google-egy-hirdetesi-vallalat.php

Forrás: Re: A Google egy hirdetési vállalat

Hozzászólások (0 hozzászólás)

A Google saját videója a Chrome böngészőhöz:

A Microsoft féle átdolgozás (állítólag belső használatra készült):

Permalink: https://pet-portal.eu/blog/read/514/2013-05-19-Videok-Google-marketing-vs-valosag.php

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/513/2013-05-13-Video-A-Facebook-Update-In-Real-Life.php

Hozzászólások (0 hozzászólás)

Megjelennek az offline vásárlási adatok a Facebook hirdetésekben (bár ez várhatóan inkább az USA-beli felhasználókat fogja érinteni). A Facebook együttműködésre lépett olyan cégekkel, akik (főleg) offline adatbázisok építésében utaztak eddig, mint például a Datalogix vagy az Epsilon (USA). Ezek cégek különféle publikus nyilvántartásokból, weben elérhető információmorzsákból, levelezőlistákról és hűségkártyák adatbázisaiból építenek fel relatíve pontos profilt, amelyet aztán marketing célból értékesítenek. Ezek segítségével a Facebook értesülhet a felhasználó vásárlásáról, aki aztán kapcsolódó hirdetésekkel találkozhat.

A Lifehacker cikkje egy egyszerű példát is említ a működési mechanizmusra: a kártya használója (vagy pl. aki feliratkozik a kasszánál a hírlevélre 1000 Ft bónuszért cserébe) belekerül az eladó adatbázisába, aki miután feltölt azt a Facebook-ra, reklámjaihoz könnyen kap a célközönségébe eső "üzletfeleket". A feltöltés azért némi védelmet nyújt: nem az eredeti adatokat használják, hanem csak azok lenyomtatát. Például az email címek így kereshetőek lesznek, de a lenyomat alapján a cím - ha nem szerepel az adatbázisban - nem található ki, és így nem használható (marketing célokra sem).

A cikk egy másik érdekességet is említ: mi van, ha valaki csak regisztrál a Facebook-ra, de nem oszt meg és nem lájkol, akkor mi alapján célozzák hirdetésekkel? Nos, ez esetben a barátai alapján próbálják megbecsülni a profilját: az elérhető információkat figyelembe véve meghatározzák kik lehetnek a közelebbi ismerősei (pl. lakóhely, életkor), majd az ő marketing-profiljuk alapján dolgoznak a későbbiekben. Tehát átfogalmazva úgy is mondhatnánk, hogy a barátaink hordozzák néhány bit erejéig a lenyomatunk. Ez ugyan kevésbé pontos, de a véletlenszerűnél jelentősebb hatékonyságú hirdetési módszer.

Mi van, ha nem is regisztrálunk a Facebookra? Az sem gond számukra, ugyanis ismerőseink lehet, hogy email, csevegőszolgáltatási fiókukhoz hozzáférést adtak a Facebook-nak, és ez esetben nélkülünk is többé-kevésbé megalkotható a minket körülvevő kapcsolati háló! Amelynek pontossága úgy nő, minél több "feltárt" helyen szerepelünk levelezési vagy beszélgetőpartnerként...

Permalink: https://pet-portal.eu/blog/read/510/2013-05-03-Hogyan-lat-bele-a-Facebook-az-offline-vasarlasokba.ph...

Hozzászólások (0 hozzászólás)

E hónapban felröppent a hír a Shodan elnevezésű keresőről, amellyel az internetre kötött, de oda nem illő eszközöket lehet felkutatni. A kereső ténye és sikere jól felhívja a figyelmet, hogy nem mindegy magánszemélyként sem, hogy mit kötünk rá az internetre – például érdemes-e állandóan számítógépünkön hagyni a webkamerát vagy sem, aminek egyébként is megvannak a maga veszélyei (ami egy laptop esetén nehezebben megoldható ügy...). Azonban a CNN cikke is rámutat, hogy maga a Shodan nem jelent új veszélyforrást: a keresések száma erősen korlátozott (vagy pénzbe kerül, és a tevékenység leírásával ellátott regisztrációhoz kötött), és az ebben érdekelt csoportok a Shodan nélkül is megtalálják a kívánt célpontokat saját (vagy bérelt) botnetjeik segítségével.

Azt eddig is sejteni lehetett, hogy sokakat egyáltalán nem érdekel, mit tesznek fel a webre. Egy robot alkalmazás segítségével rámutattak azonban, hogy naponta 4 000 üzenetben kürtölik világgá Twitter felhasználók a telefonszámukat (az USA és Kanada területéről). Kicsit kibővítve a keresést a Blackberry PIN és IP címekre, napi 12 000 felhasználó lett a végeredmény. Sokszor esetben tehát Shodan-ra sincs szükség. :-)

Egy újabb érdekes hír, hogy mi derülhet ki, ha digitális asszisztensünk kihallgatásra viszik: hívásinformációk, képek és videók, különböző jelszók, és nem kevés helyzetinformáció, aminek a WiFi elég releváns részét teszi ki. Egy kapcsolódó hírben arról olvashatunk, hogy az ügyfélnek – a hatóságokkal való együttműködés kapcsán – a szolgáltató távolról átírta a mobil internetes modem programját. Hogy ez megtörténhet, egy bírósági ügy kapcsán derült ki – kíváncsi volnék, okostelefonok esetén hol van ezen a téren a határ.

Megjelent egy újabb szteganográfiai alkalmazás, a Secretbook, amely képekbe rejtett, jelszóval védett üzenetek formájában segíti használóit, hogy üzenetük elkerülje a Facebook figyelmét. Hasonló alkalmazást készítettünk mi is 2011-ben, a StegoWeb-et, ami hasonló funkciót tölt be, de az adott weboldal tartalmát lehetett átírni, feltöltés nélkül. Facebook-on is működött (csak sajnos azóta nem volt karban tartva).

Permalink: https://pet-portal.eu/blog/read/509/2013-04-27-Valogatas-a-privatszferat-erinto-hirek-vilagabol.php

Hozzászólások (0 hozzászólás)

Régebbi olvasóinknak feltűnhetett, hogy megjelent a PET Portál és Blogon egy banner, noha a Portál megalakulása óta – nagyjából hat éve – erre nem volt példa. Ennek az az oka, hogy a PET Portál egy független szakmai portál, amely nem függ külső cégektől, termékektől, és így a bejegyzések közzétételénél, illetve az egyéb felkerülő tartalmaknál alapvető szempontnak tartjuk az objektivitást. Fontosnak tartjuk leszögezni, hogy a banner megjelenésével sem adjuk fel ezeket az elveinket.

Akkor miért is döntöttünk a banner kihelyezése mellett? A Tresorit alkalmazása egy privátszféra-védő technológia, hiszen segít kézben tartani az adataink felett a kontrollt a felhőben. Tekintve, hogy a Portál tematikájába eső, színvonalas szolgáltatásról van szó, amelynek van (egy valóban használható) ingyenes változata, úgy döntöttünk, hogy egy banner kitételével támogatjuk ezt a hazai vállalkozást.

Fontosnak tartjuk kiemelni, hogy ez egy kivételes, egyszeri alkalom, és nem szándékozzuk megnyitni a PET Portál felületét más hirdetők előtt,. A PET Portál Szerkesztőbizottsága ugyanakkor fenntartja magának a jogot, hogy egyedi esetekben, mérlegelés után, a Portál elveinek megfelelően megnyissa felületét színvonalas PET-ek hirdetésére, vagy meg is szüntessen ilyen lehetőségeket (például az elvek utólagos sérülése miatt).

Permalink: https://pet-portal.eu/blog/read/508/2013-04-20-Banner-a-PET-Portal-es-Blogon.php

Hozzászólások (0 hozzászólás)

A magyar IT-biztonsági startup, a Tresorit, annyira bízik felhőalapú tároló és megosztó szolgáltatásában, hogy 10 000 dolláros pénzdíjat ajánlott fel annak a hackernek, aki megszerez egy „trezorba” rejtett kódot.

Permalink: https://pet-portal.eu/blog/read/507/2013-04-20-10-000-dollar-jutalom-a-hackereknek.php

Tovább (0 hozzászólás)

Az elmúlt években voltak olyan meghatározó újítások, amelyek révén sok ember magánélete megnyílt a technológia és az ebből sokat profitáló cégek előtt. Ilyen volt a Facebook, miután "tömegtermékké" vált, és szisztematikusan leépítette a magánélet körüli védvonalakat. De ilyen volt az Apple is az iPhone-nal: az első iPhone piacra kerülése után sorban jelentek meg a hasonló termékek, amelyek megváltoztatták tulajdonosaik webhasználatát, internetről való gondolkodását, újabb felületét tárva fel a magánéletüknek az üzleti világ előtt.

Elnézve ezt a privátszféra-erodáló folyamatot, körvonalazódik a következő lehetséges állomás. Az Apple egy kulcsembere utalt arra, hogy fel kell készülni különféle hétköznapi eszközök "okosodására": használati tárgyaink új, okostelefon jellegű újragondolására, hasonlóan ahogy a Google teszi ezt a szemüveggel. Fogyasztói oldalon ez azt jelenti, hogy az eszközök kényelmesebbek, többfunkciósak lesznek, szolgáltatói oldalról pedig több minden lesz mérhető és marketing célból eladható a fogyasztó viselkedési szokásainak ismeretében.

Gondoljunk például a smart metering-re, amikor a villanyóra rögzíti és a központba beküldi mindig az aktuális fogyasztási értéket, amit mi is le tudunk olvasni okostelefonunkkal/számítógépünkkel. Ez számos előnnyel jár: jobban tudunk gazdálkodni a fogyasztással, egyszerűbb kiszúrni a nagy fogyasztású eszközöket, vagy könnyebb a passzív fogyasztásunkat felmérni. Azonban a központ is jut extra információhoz (ami értékes marketing alapinformáció lehet): fogyasztásunkból megbecsülheti, mikor vagyunk otthon, mosunk, feltérképezheti a napi rutinunk, stb.

De a technológiai fejlődés nem feltétlenül kell hogy a privátszféra-erózióját is jelentse egyben, a probléma (egy része) a gyártók, szolgáltatók hozzáállásában keresendő. A fenti jelenség is ezért aggasztó, mert általában őket a haszon jobban érdekli, mint a felhasználók privátszférája. Például az Apple-t is, aki alapértelmezettként engedélyezte a felhasználók azonosítását és nyomkövetését az iOS 6-ban. Az Apple-nek így a termék eladásán felül sikerült a vásárlót is értékesíteni, ráadásul többször (a termék teljes életciklusára, vagy a funkció kikapcsolásáig), hiszen a nyomkövetés folyamatosan termeli a bevételeket számára.

Nos, valójában ezzel, a technológiai fejlődés mögé befurakodó anyagias mentalitással van probléma. (A teljes képhez azért hozzátartozik, hogy ezt sokszor a felhasználók maguk is jóváhagyják, vagy egyszerűen nem érdekli őket.)

Permalink: https://pet-portal.eu/blog/read/506/2013-04-19-Google-Glass-es-tarsai-hamarosan-uj-teruletet-kell-ho...

Hozzászólások (0 hozzászólás)

Ahogy az várható volt, az ujjlenyomat alapú követés csak most kezd el igazán "életre kelni" – például nem rég jelent meg egy részletes tényfeltáró cikk, és látszik, hogy a nyomkövető cégek is jól megélnek (állami támogatás nélkül is :-) ). A böngészőfüggetlen ujjlenyomat kísérlet kapcsán hívták fel a figyelmünket egy az INRIA-nál folytatott kutatásra, ami a böngésző ujjlenyomatok stabilitását kutatja: egy böngésző ujjlenyomata milyen gyorsan változik és ebből fakadóan hosszú távon mennyire követhető. (A kutatók célja az ujjlenyomat-alapú nyomkövetéssel szembeni védelem támogatása, nem a meglévő technikák tökéletesítése.)

A kutatók létrehoztak két böngésző kiegészítőt, amellyel a kutatáshoz szükséges adatokat gyűjtik:

• Firefox: https://addons.mozilla.org/en-US/firefox/addon/stopfingerprinting/?src=ss
• Google Chrome: https://chrome.google.com/webstore/detail/stopfingerprinting/kfhlgmfkolojpnmhgggilmillpcokmnb

Ajánljuk olvasóink figyelmébe, akik szívesen támogatnának egy ilyen kutatást.

Aki már ma védekezni szeretne az ujjlenyomatokkal szemben, annak ajánljuk a következő kiegészítéseket:

• FireGloves: hazai fejlesztésű, kifejezetten ujjlenyomatok ellen készült kiegészítő. Sajnos már nem frissül, de még ma is használható.
• Ghostery: általános "tracker" blokkoló kiegészítő, de mivel számos ujjlenyomatozó céget is ismer, és tiltja a kódjaikat, így ezek ellen is hatásos védelmet nyújt.

Permalink: https://pet-portal.eu/blog/read/505/2013-04-15-Mennyire-stabilak-a-bongeszo-ujjlenyomatok.php

Forrás: StopFingerprinting

Hozzászólások (0 hozzászólás)

A mobil követhetőség kapcsán kiderült, hogy annyira előrejelezhető az egyes felhasználók mozgása (a vizsgálat konkrétabban a mobil telefonhasználatra fókuszált), hogy mindössze négy pozíció információ elegendő egy felhasználó azonosításhoz. (Korábban már tudni lehetett, hogy az otthon-munkahely pozíció párosa az esetek többségében jól azonosít. Barabási könyvében is pedzegette a témát.) Bár az azonosítás kifejezés félrevezető, de ez (szerencsére) csupán fedőnév-alapú azonosítást takar.

Írtunk már a jelentőségét tekintve áttörőbb mértékű előzményről, hogy a helyzetinformáció sajnos személyes azonosításra is alkalmas: kis méretű adathalmazokon (kb. 100 eszköz vagy felhasználó) amerikai kutatóknak sikerült igazolni 2012 nyarán, hogy a helyzeti információk megfigyelésével az alany közösségi profilja is kideríthető. Kísérleteikben eszközök adott helyszínen történő egyidejű előfordulásából kapcsolati hálózatot építettek, majd ebben egyezést kerestek a helyszínen megfordulni vélt személyek kapcsolati rendszerével – ami az esetek átlagosan 80%-ban sikerült is.

Sajnos nem mondható meglepőnek, hogy ilyen sűrűn hallhatunk új fejleményekről: a kutatói szférában jelenleg a különféle adatok alapján történő követés és azonosítás "hot topic"-nak számít. Ezekből a kutatásokból kiderül, hogy nem minden anonim, amit annak ígérnek – a legtöbbször csupán az a kérdés, hogy milyen kiegészítő információkkal "jól felszerelt" támadó képes sikeresen újraazonosítani egy adathalmazt.

Permalink: https://pet-portal.eu/blog/read/504/2013-04-03-Mobilitas-kovethetoek-es-azonosithatoak-vagyunk.php

Hozzászólások (0 hozzászólás)

Az utóbbi időben egészen megsokasodtak a privátszférát érintő hírek, kutatási beszámolók – most ezekről közlünk egy rövid válogatást.

Az elmúlt hét nagy hírét szinte valamennyi hírportál lehozta, miszerint a Facebook lájkok egész sokat elárulnak felhasználójukról: a kutatási eredményekben a lájkok 88%-os biztossággal differenciálják a szexuális érdeklődést homo- és heteroszexuális férfiak között (ez az érték 75% a másik nem esetén), 85%-os pontossággal pedig a politikai beállítottságot (republikánus/demokrata), vagy például 82%-os pontossággal a vallásos irányultságot (keresztény/iszlám hit). Talán azért keltette fel ennyire a média érdeklődését ez a hír, mivel kellően magas számokat sikerült az egyes jellemzők mellé állítani a kutatóknak – azonban a jelenség nem meglepő, mivel korábban is voltak már ilyen irányú, relatíve sikeresnek mondható kísérletek. Meg persze a Facebook is megél valamiből, méghozzá többek között a célzott hirdetésekből, amihez valószínűleg ilyen prediktív funkciókat is használnak.

A PET Portálon gyakran foglalkozunk a megfigyelés technikai aspektusaival. Ehhez kapcsolódóan ajánljuk olvasóinknak Bruce Schneier a CNN oldalán megjelent írását, mely az internetet egy lakosait megfigyelő államhoz hasonlítja – a téma alapvetéseként említ három friss példát, amikor az internetes médiumok a kormányzati bűnüldöző szervek segítségére voltak.

A webes megfigyeléshez és nyomkövetéshez kapcsolódóan egy friss cikk rántja le a leplet három jelentősebb piaci szereplő ujjlenyomat technikájának működéséről. (A cikk alapján számos olyan dolgot használnak ma is ezek a technikák, amiről mi is írtunk egy korábbi cikkünkben.)

Permalink: https://pet-portal.eu/blog/read/503/2013-03-27-Hirek-a-privatszfera-vilagabol.php

Hozzászólások (0 hozzászólás)

A Firefox felhasználók közül sokan használunk privátszféra-védelmi kiterjesztéseket is, amiből jelentős választék áll rendelkezésünkre – hiszen ez a böngésző volt lényegében az első, amelyik lehetővé tette a kiterjesztések nagymértékű elterjedését, köszönhetően a (relatíve széleskörű) dokumentáltságnak és a könnyű fejleszthetőségnek. Azonban arra nem számítanánk – főleg amikor nyomkövetést és megfigyelést blokkoló kiterjesztéseket is telepítünk –, hogy bizonyos megfigyelők mintegy trójai falóként épp ezeket a kiterjesztéseket használják fel ellenünk.

A Firegloves nevű kiterjesztés fejlesztését ugyan már nem folytatjuk, de rendszeresen kapunk visszajelzéseket felhasználóktól, fejlesztőktől. Az alábbi levél azonban megdöbbentő:

Hello,

We are looking for cooperation with developers.

If your firefox chrome plugin has active users (daily). We'll pay you by the amount of daily-active uers.

We need you to update the plugin and feedback the following information to our server:
1. User-agent (Like Mozilla 19.0 )
2. Language (Like English, French)
3. OS (User operation system, like Win7, Linux)
4. URLs (all typed urls in the browser by every user)
5. IP address (user IP address)

Looking to hear back from you.

A dolognak külön szépsége, hogy épp egy olyan kiterjesztés készítőinek küldték el, akik épp ez a jelenség ellen igyekeznek akadályokat gördíteni. Nem ártana szűrni, ha már SPAM-olnak... És persze nem csak mi kaptuk meg ezt a levelet.

Remélem lesznek szemfüles szakemberek, akik szépen lebuktatják a kooperáló kiterjesztéseket!

Permalink: https://pet-portal.eu/blog/read/502/2013-03-12-A-trojai-tuzroka-esete-megfigyeles-a-Firefox-kiterjes...

Hozzászólások (0 hozzászólás)

2013. március 7-én tette közzé szakmai állásfoglalását hatvan vezető európai tudományos szaktekintély az EU adatvédelmi reformjának támogatására, amelyben visszautasítják az adatkereskedelmi lobbi ellenérveit. Az állásfoglaláshoz azóta a tudományos elit újabb képviselői csatlakoztak az informatika, a jog, a közgazdaságtan és az üzleti tudományok területéről. Az állásfoglalás szövege angol nyelven a www.dataprotectioneu.eu címen olvasható.

Permalink: https://pet-portal.eu/blog/read/500/2013-03-08-70-vezeto-europai-tudomanyos-szaktekintely-allasfogla...

Hozzászólások (0 hozzászólás)

Az utóbbi időben sokat fejlődtek a malware szoftverek, amelyeket immár egyre gyakrabban alkalmaznak phishing támadásokra is. Ezek alkalmasak adatgyűjtésre is (ez a spyware), de vajon ezek nagymértékű, profilépítési célból történő alkalmazása várható-e a jövőben? Azaz elképzelhető-e, hogy egy profilírozó szolgáltatást nyújtó cég ilyen "fekete" eszközök alkalmazásához folyamodik, hogy adatbázisát bővítse? A motiváció egyszerű lehet: vannak olyan adatok, amelyek sehogy sem figyelhetőek meg böngészőn keresztül, illetve mivel lokális alkalmazásról van szó, több adatbázis is összekapcsolható, és így akár komplexebb lekérdezések is futtathatóak. Mondjuk mindezt bizonyos feltételeknek megfelelő profilú felhasználókra.

Bár egyelőre nem tudok ilyen esetről, de ha mégis létezik a jelenség, szívesen olvasnék róla.

Permalink: https://pet-portal.eu/blog/read/499/2013-03-06-Nagyban-teritett-szemelyre-szabott-malware-profilepit...

Hozzászólások (0 hozzászólás)

Egy évvel ezelőtt adtunk hírt a FootPath GSM alapú nyomkövető rendszerről, amely pláza látogatók útvonalának megfigyelését könnyíti meg. Hasonló technológiájú megoldást készítette a Fortinet, amely az okostelefonokba épített WiFi-MAC segítségével követi a felhasználókat, ahogy az eszköz váltogat a hálózatok között, és ez alapján becsüli meg a látogató útvonalát.

Permalink: https://pet-portal.eu/blog/read/498/2013-02-16-Erdekesseg-kisse-elmaradva-de-itt-a-WiFi-kovetes-a-pl...

Hozzászólások (0 hozzászólás)

Erre a kérdésre ad választ a tovább után megtekinthető videó, amely a Raytheon nevű cég RIOT rövidítésű (Rapid Information Overlay Technology) szoftverének bemutatóját tartalmazza. A RIOT mintegy keresőként üzemel, amely különböző közösségi oldalakon keres utána a megadott személynek (Facebook, Twitter, Gowalla), majd a megítélése szerint egy személyhez köthető profilokat eleve összekapcsolva adja vissza. A felületén egyszerűen lekérdezhetőek az adott személy bejelentkezéseinek helyei, feltöltött képei (és annak az EXIF-ből kinyerhető koordinátái) – az így kinyert információkat pedig exportálni is lehet, és Google Earth-ben megjeleníteni. Az alkalmazás egyszerű statisztikát is biztosít a felhasználó napirendjéről, amely alapján a felhasználó egyes tevékenységei megjósolható.

Permalink: https://pet-portal.eu/blog/read/497/2013-02-13-Mennyire-vagyunk-kovethetoek-a-kozossegi-oldalak-segi...

Tovább (0 hozzászólás)

A TrueCrypt egy eléggé ismert, ingyenes merevlemez titkosító alkalmazás, amelyet már mi is ajánlottunk korábban itt a PET Portálon. Azonban az ElcomSoft nem rég megjelent Forensic Disk Decryptor elnevezésű alkalmazása úgy tűnik, képes – több más alkalmazással egyetemben, mint a BitLocker, PGP – megtörni  a hibernáláskor vagy rendszerhiba esetén készülő memória mentések segítségével (bár ez itt nem a reklám helye, de érdemes tudni, hogy ez nem egy hozzáférhetetlen árú szoftver: 300 USD-ért már megvásárolható). Az érintett alkalmazások felhasználóinak célszerű lehet az efféle memória lementő funkciókra figyelni (esetleg kikapcsolni).

Permalink: https://pet-portal.eu/blog/read/495/2013-01-21-Forensic-Disk-Decryptor-megkeruli-a-merevlemez-titkos...

Hozzászólások (0 hozzászólás)

Nem régiben írtunk a Ghostery és a Do Not Track Plus nevű PET-ekről, melyek a webes nyomkövetők életét hivatottak megnehezíteni. Ha valaki még mindig keresi az igazi megoldást erre a problémára, ajánljuk figyelmébe a ShareMeNot nevű böngésző kiegészítőt, a közösségi oldalak nyomkövetési szakértőjét. A ShareMeNot Firefox és Chrome alá is elérhető.

Nem egetrengető újdonság, hogy a weboldalak megfigyelik a látogatókat és megosztják egymás között az így nyert információkat, mégis örvendetes hogy ez a tény végre nagy nyilvánosságot kapott. A történet röviden annyi, hogy valaki megnyitott egy weboldalt, és bár nem írta be semmilyen adatát, másnap mégis kapott egy emailt tőlük. Aztán kiderült, hogy az email címét még korábban írta be egy másik weboldalon, és innen szivárogtatták ki. Az eset nem egyedi: a WSJ csinált egy felmérést a nagyobb weboldalak efféle titkairól, miszerint ki-kivel-mit osztogat meg a hátunk mögött.

Nem csak a megosztott információmennyiség nő, hanem az azonosítottság mértéke is: van már olyan webes megfigyelést végző cég, ami képes összekötni egy felhasználó valamennyi eszközét, jelentősen túlmutatva az ujjlenyomat vagy sütialapú nyomkövetési módszerek emele korlátján.

És végül egy ínyencség. Amerikai kutatók igazolták, hogy az eszközeink által generált helyzetinformációk személyesen azonosítanak bennünket, például amikor helyzet-alapú szolgáltatásokba becsekkolunk, vagy képeket töltünk fel valahová. Lehet, hogy ezt álnéven tesszük, de a résztvevők kapcsolatainak struktúrája helyreállítható az alapján hogy kik tartózkodnak egy helyen egy időben (és például rendszeresen), amely segítségével viszont az egyes résztvevők kikereshetőek már egy közösségi hálózatban is. A szerzők három példán is bemutatták a támadás működőképességét, de egyet a példa kedvéért kiemelnék: Bluetooth-on megfigyelték egy konferencia résztvevőinek a mozgását, majd ezt összevetették a konferenciarésztvevők társszerzői adatbázisával (DBLP). A beazonosítás sikeresen megtörtént...

Permalink: https://pet-portal.eu/blog/read/494/2013-01-11-Privatszfera-vedelmi-hircsokor-ismet-webes-nyomkovete...

Hozzászólások (0 hozzászólás)

A fentebbi címválasztás nem véletlen. Nagyjából 2,5 éve jelent meg egy hasonló című cikk itt a PET Portálon, ami még a Google+ körök megjelenése előtt világított rá, hogy valójában nem "laposak" a kapcsolatrendszereink, hanem struktúráltan épülnek fel. (Valójában éppen ez a kutatás játszott alapvető szerepet a Google+ körök létrejöttében.) Ennyi idő után jelentek meg az első kutatási eredmények, amelyek ezen struktúrákra fókuszálnak [1-2], és a körök automatikus előállítását tűzik ki célul (a felhasználók segítésének céljából).

Egy példa struktúrára [1]. A stanford-i kutatók a Facebook-os adatok elemzése alapján azt találták, hogy a körök 25%-a skatulyázott, 50%-a átfedésben van egy másikkal, és csak a maradék 25% különálló. Ez a felépítés is jól mutatja a hierarchiát a kapcsolatokban.

Bár sajnos konkrét eloszlásokkal (pl. körök száma, elemek/kör száma, körön belüli fokszámeloszlás) még nem találkozunk a cikkekben, és ezen a kutatások sem fókuszálnak az identitás particionálás és azon belül is a szeparálás kérdéskörére, de már vannak ígéretes eredmények.

[1] Julian McAuley, Jure Leskovec: Learning to Discover Social Circles in Ego Networks (2012)

[2] Bo Gao, Bettina Berendt, Dave Clarke, Ralf De Wolf, Thomas Peetz, Jo Pierson, and Rula Sayaf: Interactive Grouping of Friends in OSN: Towards Online Context Management (2012)

Permalink: https://pet-portal.eu/blog/read/493/2012-12-18-Milyen-a-valodi-kozossegi-halozatok-strukturaja-2.php

Hozzászólások (0 hozzászólás)

Az amerikai Nemzeti Autópálya-biztonsági Hatóság (National Highway Safety Administration) arra készül, hogy kötelezővé tegye a személyautókban és a kisteherautókban a fedélzeti adatrögzítők (a repülőgépekről ismert fekete dobozok) használatát. Az ügy érdekessége, hogy a törvényt jóval megelőzte a megvalósítása: a nagy autógyártók újonnan gyártott járműveinek nagy része tartalmaz ilyen eszközt.

Permalink: https://pet-portal.eu/blog/read/492/2012-12-09-Fekete-dobozok-az-autokban.php

Forrás: Black Boxes in Cars Raise Privacy Concerns

Tovább (0 hozzászólás)

Legalábbis Bruce Schneier szerint:

Some of us have pledged our allegiance to Google: We have Gmail accounts, we use Google Calendar and Google Docs, and we have Android phones. Others have pledged allegiance to Apple: We have Macintosh laptops, iPhones, and iPads; and we let iCloud automatically synchronize and back up everything. Still others of us let Microsoft do it all. Or we buy our music and e-books from Amazon, which keeps records of what we own and allows downloading to a Kindle, computer, or phone. Some of us have pretty much abandoned e-mail altogether … for Facebook.

Érdekes megközelítés, de jól visszaadja a nyomkövetés/megfigyelés alapján működő üzleti világ lényegét.

Permalink: https://pet-portal.eu/blog/read/491/2012-12-07-Egy-feudalis-vilagban-elunk.php

Hozzászólások (0 hozzászólás)

Mostanában többször is a megfigyelés, profilírozás privátszférát érintő káros következményeiről volt szó. A Tudatos Vásárlók egyesülete a hazai vásárlói kártyák helyzetét mérte fel ilyen oldalról – ahol a helyzet szintén nem mondható túl rózsásnak. Az érdekesség kedvéért két részt kiemelek a tanulmányból, a teljes változat az egyesület honlapján olvasható.

Először is, a vásárlói kártyával mit tudhat meg a kereskedő a használójáról? Elég sokat:

„Gazdag Péter 38 éves, Budapest egy külső kerületében lakik, ám a belvárosba jár át dolgozni. Az utat többnyire tömegközlekedéssel teszi meg, autóját csak hétvégenként használja. Péter egyedülálló, korábban ugyan néhány évig volt egy barátnője, ám a kapcsolat (vélhetőleg) nemrégiben megszakadt közöttük, a barátnője elköltözött tőle. Azóta Péternek csak alkalmi kapcsolatai voltak.

Míg Péter exbarátnője a vörösbort szerette, addig Péter sörivó, hetente néhány dobozzal fogyaszt belőle. Péter szabadidejében szeret a természetbe járni, szenvedélyesen sportol – elsősorban a futás vagy a kerékpározás érdekli – és esténként lefekvés előtt detektívregényeket olvas.”

És mit kap a használó mindezért cserébe? Nem sokat:

Kártya neve	Kibocsátó/elfogadó	Költés/visszajuttatás aránya
Egyetlen márkára kibocsátott hűségkártyák/programok
AGIP-TIGÁZ Premio Club Kártya	Eni Hungária (AGIP kutak) TIGÁZ hűségkártyával	1,1% (csak benzinre számolva)
Auchan Bizalomkártya	Auchan áruházak	1,4 – 1,1 %
Brendon	Brendon babaáruházak	2%
Drogerie Markt Active Beauty program	Drogerie Markt	nem kiszámítható
Nivea Vásárlói Kártya	Nivea Szépségpont üzletek	3,3 – 2%
Tesco Clubcard	Tesco áruházak	0,5%
Multibrand (sok márkás) kártyák
ClubSmart	Shell benzinkutak, shopok, McDonald’s	0,2 – 0,3%
Multipont	MOL, CBA, KFC, OTP	0,4%
Supershop	SPAR, OMV, OBI, Burger King, Wellness-Szállás.hu	0,4%

A fentiek alapján már könnyű képzelni, mi lehet a helyzet a webes megfigyelés és profilírozás terén...

Permalink: https://pet-portal.eu/blog/read/490/2012-11-24-Mire-kepesek-a-pontgyujto-kartyak.php

Forrás: Teszt: pontgyűjtő kártyák

Hozzászólások (0 hozzászólás)

Olyan, hogy ingyenebéd nem létezik. Mégis, a hirdetési ipar számos szereplője mindent megtesz, hogy ezt webfelhasználók százmillióival elhitesse – sajnos nem teljesen sikertelenül. Márpedig ezen esetekben, amikor a szolgáltatás, vagy a termék ingyenes (vagy irreálisan olcsó), szinte biztosra vehetjük, hogy az adatainkkal, szokásaink megfigyelésének engedélyezésével fizetjük meg a különbözetet. (De nem mindig van így: az Apple-nek köszönhetően nem rég láthattunk egy esetet, amikor a termék sem volt olcsó.)

Permalink: https://pet-portal.eu/blog/read/489/2012-11-19-Az-ingyenebed-amiert-megis-meg-fizetunk-az-arcetlin-m...

Tovább (0 hozzászólás)

Az októberi Amsterdam Privacy Conference-n megjelent cikkjükben kutatók arra hívják fel a figyelmet (többek között), hogy az (amerikai) emberek nem szeretnék, hogy a hirdetők kövessék őket, és a többségük nem találja a hirdetéseket hasznosnak. Valószínűleg az amerikai felhasználók ezzel nincsenek egyedül. Ezzel szemben az online hirdetők egy csoportja legalább 1 millió dollár értékű lobbihadjáratot indított, hogy meggyőzze a web felhasználóit, hogy a tevékenységük értékteremtő, gazdaságilag hasznos, és semmi okuk nincs tartani a reklámok nyomkövetésétől. Érthető, hogy védekezni kezdtek, hisz ez a pénz nyilvánvalóan a dinamikuan növekedő és súlyos bevételekkel rendelkező iparág szereplőitől származik, akiknek nem érdeke a felhasználók tudatossága: amíg el tudják adni a látogatókat marketing alapanyagként, addig a bevételek is biztosítva vannak.

Permalink: https://pet-portal.eu/blog/read/488/2012-11-04-Az-online-hirdetesipar-onellentmondasa.php

Hozzászólások (0 hozzászólás)

PET technológiákban járatos, PhD fokozattal rendelkező informatikusokat keres Ausztrália legnagyobb telekom fejlesztő vállalata, a NICTA hálózati kutatásokkal foglalkozó csoportja. Jelenlegi kutatási területeiket lásd a http://www.nicta.com.au/research/projects/trusted_networking/ címen.

A teljes felhívás és a feltételek a PET Portál angol nyelvű blogjában találhatók.

Permalink: https://pet-portal.eu/blog/read/487/2012-11-01-PET-kutatoi-allasok-a-NICTA-nal-Sydney-ben.php

Hozzászólások (0 hozzászólás)

A Privacyfix egy Firefox, illetve Chrome kiterjesztés, amely segíthet a felhasználónak a megfelelő adatvédelmi beállításokat megtalálni. A témával ismerkedők számára kiváló játékszer, de haladóknak kissé túl ambíciózusnak tűnhet: nem működik együtt más kiterjesztésekkel, és ő maga akar megoldani minden problémát (pl. reklámok blokkolását akkor is, ha van fent ilyen célú kiterjesztés). Mindenesetre arra kiváló alkalmazás lehet számukra is, hogy felhívja a figyelmet a még le nem fedett, problémás területekre, mint például a megfelelő Facebook beállítások használata, alkalmazások korlátozása.

Permalink: https://pet-portal.eu/blog/read/485/2012-10-25-Privacyfix-segit-a-megfelelo-beallitasokat-megtalalni...

Forrás: Arstechnica: How much do Google and Facebook profit from your data?

Hozzászólások (0 hozzászólás)

Az információs technológiák térnyerésével, ahogy a mindennapi élet részévé válnak, egyre jobban megtapasztalhatjuk a megfigyelés erősődését. Ha más nem is, de a privacy kutatások számának ugrásszerű növekedése, a témát körülövező érdeklődés megerősödése egész biztosan objektív módon alátámasztja ezt az állítást. Bár több területen komoly megfigyelésnek vagyunk kitéve a mindennapok során, de a címben szereplő állítás még nem mondható igaznak – de vajon távol van a jövő, ahol a privátszféra tényleg a gazdagok kiváltsága lesz?

Vannak sajnos olyan területek, ahol ez közelinek tűnik, például a vásárlásban. A vásárlói kártyák (pl. supershop, klubkártya) a használó számára kedvezményt biztosítanak (alapesetben 1%), cserébe viszont a használó eladja vásárlási szokásait (amit aztán vagyonosodási vizsgálathoz is fel lehet használni) – vagy úgy is fogalmazhatnánk, hogy ez esetben maga a kártyatulajdonos a termék, ami eladásra kerül. Egy új akcióban úgy akarják kártyabirtoklásra buzdítani a vásárlókat, hogy a kártyatulajdonosoknak biztosítanak csak bizonyos termékekből jelentős (pl. 20%) kedvezményt.

Mi történne, ha erre valamennyi áruházlánc rákapna, és a kedvezmények csak vásárlói kártyával lennének elérhetőek? Nos, ez esetben már tényleg csak a gazdagok kiváltsága volna a privátszféra, a többiek pedig kénytelenek lennének eladni magukat némi kedvezményért cserébe.

Permalink: https://pet-portal.eu/blog/read/483/2012-10-19-A-privatszfera-csak-a-gazdagok-kivaltsaga-lesz.php

Hozzászólások (0 hozzászólás)

A tegnapi hírcsokorhoz kiváló mobilos témájú kiegészítés, hogy az Apple az iOS6-ba egy speciális nyomkövető rendszert épített, amely megkönnyíti a készüléken folyó webes tevékenység megfigyelését. Ez a rendszer lehetővé teszi a hirdetőknek, hogy egyedileg pontosan beazonosíthassák a felhasználót, így megkönnyítve a felhasználó (ízlés) profiljának elkészítését, és célzott hirdetésekkel való bőséges "ellátását". (A követés névtelen, de valójában ez csak egy fokkal jobb, mintha névvel történne.)

Az Apple biztosra ment a funkció élesítése során. Egyrészt igyekezet elbonyolítani a kikapcsolás lehetőségét, ugyanis nem a megszokott helyre került ez a funkció és egyébként is kissé sutának tűnik, ahogy használni kell – vélhetően hasonló megfontolásból, mint ahogy a Facebook újradizájnolásánál eljártak nem rég. Másrészt alapból engedélyezve van a követés: nyilván ők is tudják, hogy a felhasználók nem szoktak az adatvédelmi beállításokkal sokat babrálni.

Nem meglepő ez a lépés. A megfigyelési technológiák igen elburjánzottak, legyen szó a hagyományosnak mondható, web poloska alapú nyomkövetésről, vagy akár az ujjlenyomat technika alapú módszerekről, amit az is jól mutat, hogy a hirdetési iparág rekordméretű bevételeket ér el. Velük karöltve az Apple egyszerre két eladást is elkönyvelhet: jelentősen magasabb áron árusítja készülékeit (a többi termékhez viszonyítva), majd pedig eladja magát a vásárlót is. De miért kell kétszer fizetni ezekért a termékekért?

Permalink: https://pet-portal.eu/blog/read/484/2012-10-16-Operacios-rendszer-szintu-webes-kovetes-iOS6.php

Forrás: Index: Újra kémkedésen kapták az Apple-t

Hozzászólások (0 hozzászólás)

Aki rendszeresen olvassa a PET Portált, annak nem újdonság, hogy itt a Facebook-ról túl sok jót nem szoktunk írni (a tényszerűség keretein belül). A legújabb érdekesség az ott tárolt telefonszámokat érinti, ugyanis a múlt héten napvilágot látott a közösségi oldal újabb hanyagsága: ha rákeresünk egy telefonszámra, létező (és publikus, de ez egész valószínű) telefonszám esetén válaszként megkapjuk az illető profilját. Ez attól lesz érdekes, hogy automatizálható a lekérdezés, így ha valaki rendelkezik némi programozói készséggel, összeállíthatja saját Facebook telefonkönyvét – vagy legalábbis megvolt erre a lehetősége, mivel a Facebook már 24 órára letiltja az ezzel kísérletező felhasználók profilját. Egy biztos, hogy nem utoljára hallottunk a Facebookról ilyen kontextusban.

Újabb okostelefonos adatokat védő technológia van a látóhatáron, melynek készítői között Phil Zimmermann is ott van, a Pretty Good Privacy megalkotója. Hasznos alkalmazás lehet olyan országokban, ahol bírósági végzés nélkül is lehet megfigyelni az állampolgárokat, azonban egy fontos problémát nem oldanak meg ezek az alkalmazások: nem védik a kommunikáció meta-információit, például ki-kivel kommunikál, mikor, honnan, stb. Pedig ezeket az információkat az EU-ban automatikusan gyűjtik, és legalább fél évig tárolják. (A tartalmat pedig általában nem, de erről a tájékoztatás hiánya miatt nem lehet biztosat mondani.)

Kicsit régebbi hír a hó elejéről, de még nem említettük: amerikai kutatók a lakást feltérképező okostelefon alkalmazást készítettek, amely segítségével a lakás 3D modellje is elkészíthető, ahogy az alábbi ábra is mutatja.

Ez a módszer nem valószínű, hogy meg fog jelenni a tömeges megfigyelés iparában, de célzott személyes megfigyelésre valóban használhatónak tűnik (például a fentebb említett országok hatóságainak).

Permalink: https://pet-portal.eu/blog/read/482/2012-10-15-Hetindito-privatszfera-vedelmi-hircsokor.php

Hozzászólások (0 hozzászólás)

Az átlagember bár sokat hall arról, hogy megfigyelik, de mivel olyan összetettnek tűnik számára ez a probléma, sokszor inkább feladja (ez sokkal egyszerűbb), és nem is akarja már tudni mivel áll szemben – a tipikus (posztkommunista) válasz, hogy úgyis mindent megfigyelnek, és nincs mit tenni. Pedig ez nem igaz, ha megismerjük a valós helyzetet, akkor apránként tudunk tenni is ellene; mintegy szembemenve azzal a fogyasztói magatartással, amelyet a legnagyobb privátszféra rombolást végző cégek (pl. Google, Facebook) akarnak ránk erőltetni.

Az érdeklődők számára tudjuk ajánlani a WSJ figyelemfelkeltő interaktív tanulmányát a megfigyelésről. Bár alapvetően az amerikai szempontot tükrözi, sokat tanulhatunk belőle.

Permalink: https://pet-portal.eu/blog/read/481/2012-10-12-A-mindennapos-megfigyelesrol.php

Forrás: The Wall Street Journal: The Surveillance Economy

Hozzászólások (0 hozzászólás)

A Ghostery nevű Firefox addon eleinte csak a nyomkövetésre használt webpoloskák és egyéb eszközök jelenlétét figyelte, és ezekről értesítette a felhasználót, tehát inkább egy figyelemfelkeltő alkalmazás volt. Azonban ahogy telt az idő (sőt, még tulajdonost is váltott menet közben), átalakult, és egy komplex, vezetőnek számító blokkoló alkalmazás lett belőle, amelyet bátran javaslunk mindent Firefox böngészőt használó Olvasónk számára. Jelentős méretű adatbázisa segítségével az elterjedtebb nemzetközi és hazai követőket, auditor cégeket ismeri, és bizonyos trükköket is képes kiszűrni, például az átirányításokat. (Több cég ennek segítségével méri a rajta átfutó forgalmat, illetve így játssza ki a harmadik féltől származó sütik tiltását – hiszen így bárkiből lehet elsődleges fél.)

Ha valakinek esetleg nem lenne szimpatikus, alternatívaként esetleg a Do Not Track Plus-t tudjuk javasolni.

Permalink: https://pet-portal.eu/blog/read/480/2012-10-08-Webes-nyomkoveto-detektor-es-blokkolo-Ghostery.php

Hozzászólások (0 hozzászólás)

Bár semmi meglepő, vagy újdonság nincs benne, de jópofa kis videó.

Permalink: https://pet-portal.eu/blog/read/478/2012-10-04-Video-a-megfigyelesrol.php

Forrás: The Age: You´re being more closely watched

Hozzászólások (0 hozzászólás)

Az "Év információbiztonsági szakdolgozata" pályázatra beküldött dolgozatok értékelését követően az Egyesület Bíráló Bizottsága Boda Károlynak ítélte a díjat "Böngészőfüggetlen rendszerujjlenyomat, mint webes nyomkövetési módszer kidolgozása és vizsgálata" című dolgozatáért. Továbbá az Egyesület elismerő oklevéllel díjazta Danis Mihálynak "Webes hírcsatorákban alkalmazható nyomkövetési technikák vizsgálata" című szakdolgozatát.

Mindkettőjüknek gratulálunk!

Permalink: https://pet-portal.eu/blog/read/477/2012-09-20-Az-Ev-informaciovedelmi-szakdolgozata-2012-Bongeszofu...

Hozzászólások (0 hozzászólás)

A SecureComm 2012 konferencián bemutatott kutatási eredményeik alapján kutatók azt állítják, hogy jogvédelemmel foglalkozó szervezetek, kormányok és biztonsági cégek tömegesen figyelik a nyilvános torrent oldalak letöltési forgalmát. Kísérletükhöz a kutatók felállítottak egy hamis kiszolgálót, és figyelték a csatlakozási kéréseket, és rövid idő alatt érkeztek is monitorozásra szakosodott kliensek, amelyek rögzítik, hogy ki (IP cím alapján) és milyen tartalmat tölt le éppen. A letöltők szerencséje, hogy a felmérés alapján csak a toplista felső 100 elemét kísérték figyelemmel ilyen jellegű "kliensek".

Lassan az élet minden területén védekezni kell a megfigyelés ellen. Jöhetnek – a legális tartalmat letöltő felhasználóknak – a privátszféra-védő torrent kliensek.

Permalink: https://pet-portal.eu/blog/read/476/2012-09-10-Ipari-meretu-megfigyeles-torrent-halozatokon-is.php

Forrás: NewScientist: Honeytrap reveals mass monitoring of downloaders

Hozzászólások (0 hozzászólás)

A mai napon újabb dolgozat jelent meg a PET Portálon: Doodle vs. Dudle.

Túri Éva dolgozata egy igen népszerű szolgáltatást, a Doodle szavazó és időpontegyeztető szolgáltatását hasonlítja össze annak privátszféra-barát megfelelőjével, a Dudle-vel. A Dudle a Drezdai Műszaki Egyetemen készült, a PrimeLife projekt részeként. A Dudle a privátszféra védelmének érdekében erős kriptográfiát használt, és kliensoldalon tárolja az információkat – azonban Éva dolgozatából további eltérések részleteit tudhatjuk meg.

Permalink: https://pet-portal.eu/blog/read/475/2012-09-03-Uj-dolgozat-Doodle-vs-Dudle.php

Hozzászólások (0 hozzászólás)

A Tech Crunch tegnapi cikkében górcső alá veszi a Facebook alkalmazások felületének grafikai újításait. Ezek nem kimondottan a cég privátszféra-barát oldalát mutatják, hiszen az átalakítások számos ponton a felhasználó tudatosságának "elaltatására" törekednek, amelyeket az említett cikk szerzője a következő pontokban foglalt össze:

1. A régi dizájn két gombja (engedélyezem/nem engedélyezem) helyett már csak egy gomb van (játszom), ami már nem állítja döntés elé a felhasználót, hanem inkább a "reflex-szerű" alkalmazás indítás irányába tereli.
2. A hozzáférési engedélyadásra figyelmeztető szöveg kevésbé látványos, apróbetűs lett és szürke színű.
3. A kapcsolódó magyarázat eltűnt, és csak érdeklődésre jelenik meg (tooltip jelleggel).
4. Általában a felhasználó a fő funkcionális elemre koncentrál, ami jelen esetben az indításhoz kapcsolódó néhány gomb; az ez alatti tartalom gyakorlatilag a felhasználók többsége előtt "rejtett". Az oldal ennek megfelelően úgy lett átszerkesztve, hogy az egyéb "sallangokkal" a felhasználók ne nagyon találkozzanak.
5. Kerülik az engedélyezés kifejezés használatát, helyette inkább a felhasználói élményre koncentrál az új felület.

Véleményem szerint ez a néhány pont hűen tükrözi a Facebook magánéletünkről alkotott véleményét: ne akadékoskodjunk annyit, csak fogyasszunk bátran! Aztán hogy ez kinek válig egészségére, majd meglátjuk magunk...

Régi vs új dizájn. [A képet a TechChrunch-tól kölcsönöztük.]

Permalink: https://pet-portal.eu/blog/read/474/2012-08-26-Facebook-atnevelotabor-ne-legyen-privatszfera-tudatos...

Forrás: Tech Crunch: 5 Design Tricks Facebook Uses To Affect Your Privacy Decisions

Hozzászólások (1 hozzászólás)

A mai napon újabb dolgozat jelent meg a PET Portálon: elektronikus szavazórendszerek.

Simon Anikó dolgozata az elektronikus szavazórendszereket tekinti át, a lyukkártyás gépektől a DRE-terminálokon át az internetes szavazásig. Kiderül, hogy egy szavazással kapcsolatos követelményrendszer minden elemének megfelelni mennyire nem triviális feladat, és, hogy a nem is olyan távoli múltban milyen banális hibákat követtek el egyes DRE-szavazórendszerek tervezői.

Permalink: https://pet-portal.eu/blog/read/473/2012-08-20-Uj-dolgozat-elektronikus-szavazorendszerek.php

Hozzászólások (0 hozzászólás)

A mai napon újabb dolgozat jelent meg a PET Portálon: privátszférát erősítő technológiák mobiltelefonokra

Rádi Attila színvonalas dolgozata áttekintést ad a mobilos PET-ekről, és elsősorban az Android platformra fókuszál. A mű nem csak az általánosabb problémákkal foglalkozik, összességében 10-15 PET technológiát, protokollt mutat be az Olvasónak mérnöki részletességgel, bőségesen illusztrálva.

Permalink: https://pet-portal.eu/blog/read/472/2012-08-06-Uj-dolgozat-privatszferat-erosito-technologiak-mobilt...

Hozzászólások (0 hozzászólás)

A „webkettő” új, információ-vezérelt szolgáltatásai kétség kívül számtalan új lehetőséget hoztak az internet világába. Térnyerésüknek köszönhetően a tartalommegosztás vált a világméretű hálózat egyik fő mozgatórugójává, akár a közösségi, akár az üzleti szférát nézzük. Ez utóbbi viszont nem csak előnyöket, hanem hátrányokat is hordoz magában. Sok szervezet, cég azzal a kizárólagos céllal jött létre, hogy nyomon kövessék a felhasználókat profilírozás céljából, amelyet vagy saját maguk használnak fel, vagy pedig más cégeknek adnak el. Azonban akár egyszerű tartalomszolgáltatók esetén is megfigyelhető ez a jelenség.

Danis Mihály szakdolgozata ezen kérdéskör egy feldolgozatlan szeletét vizsgálja, hogy a webes hírcsatornák használóinak tevékenysége milyen módszerekkel követhető. Gyakorlati aspektusból is tárgyalja a kérdéskört: az elterjedtebb hírolvasókat is górcső alá veszi, illetve azt is vizsgálja, hogy az egyes módszerek hogyan sérthetik meg a felhasználók privátszféráját.

A munka hiánypótló felfedezéseket tartalmaz. Először is rámutat arra, hogy az ún. inline frame HTML elem segítségével a hírolvasók többségében a biztonsági védelem kijátszható (mint például a JavaScript blokkolás). Másrészt a szerző elvégzett egy 40 populárisabb oldalt érintő felmérést, amelyben ezek hírcsatornáit vizsgálta, s a szakdolgozatból kiderül, hogy ezek közül 11 alkalmaz követési technikát a hírcsatornájában.

A szakdolgozat a tanulmányok részen letölthető.

Permalink: https://pet-portal.eu/blog/read/471/2012-08-02-Uj-szakdolgozat-RSS-csatorna-felhasznalok-kovetese.ph...

Hozzászólások (0 hozzászólás)

Új dolgozat: Privacyvédjegyek pró és kontra

Németh Eszter dolgozatában bemutatja a weboldalak privátszféra-barát hozzáállásukat garantáló védjegyeket, és ezek közül röviden ismerteti a TRUSTe, European Privacy Seal működését.

Permalink: https://pet-portal.eu/blog/read/470/2012-07-23-Uj-dolgozat-Privacyvedjegyek-pro-es-kontra.php

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/469/2012-07-21-Igy-latnak-minket-a-hirdetok-infografika.php

Forrás: Here’s What Social Networks Know About You

Hozzászólások (0 hozzászólás)

Az már legtöbbünk számára nem újdonság, hogy az internet üzleti célból (is) megfigyelnek minket, és értékesítik az így keletkezett profilinformációkat, például célzott hirdetések formájában. Azonban egy új jelenség van feltűnőben, az ún. "social retargeting", amikor már nem csak mi vagyunk a célkeresztben, hanem azok is akikkel megosztunk információkat – hiszen kitől hall valaki jót egy szolgáltatásról, ha nem a barátaitól. Hogyan jutnak azonban hozzá ehhez, ha nem vagyunk fent közösségi hálózatokon, mint a Facebook és Twitter? A trükk egyszerű: tartalom megosztó és linkrövidítő szolgáltatóságokat üzemeltetnek, amivel egyszerűen felderíthetőek kapcsolataink.

Sajnos ez a technológia is a privátszféra további eróziójához járulhat hozzá, de mint érdekesség, megemlítjük. A fizikai megfigyeléseknél nem mindig könnyű megfelelően elrejteni a kamerát. A Qwonn biztonsági termékeket előállító cég munkatársai olyan speciális műanyagot (ún. Black-Ops plastic) hoztak létre, amely normál szemmel nézve feketének tűnik, de fekete-fehér kamerával nézve már átlátszó. Így lehetőség van rá, hogy egy Black-Ops műanyaggal álcázott tárgyban kamerát rejtsenek el, amint ez a mellékelt illusztráción is látható.

Amikor a privátszférát érintő kérdésekről beszélünk, gyakran felteszik azt a kérdést, hogy miért van egyáltalán szükség bizonyos dolgok elrejtésére. Sőt, egyes vélemények szerint, ha el akarunk rejteni valamit, lehet, hogy nem is kellene csinálnunk. Azonban az életben vannak olyan események, dolgok, amit eleve nem a nagyközönség elé szánunk, de ettől még nem tekinthetőek rossznak, vagy bűnösnek. Ha valaki találkozott már ilyen kérdéssel, vagy akár saját maga tette fel, ajánljuk figyelmébe Jay Stanley cikkjét, ahol hat érvet gyűjtött össze a privátszféra védelmében. Bruce Schneier is egy remek esszét írt a témáról, a privátszféra eróziójáról és a Facebook, ill. Google ebben betöltött szerepéről.

További privátszférát érintő újdonság, hogy a Firefox 14-ben immáron a keresések automatikusan a Google SSL keresőjét használják.

Permalink: https://pet-portal.eu/blog/read/468/2012-07-20-Privatszfera-vedelmi-hircsokor-a-webes-hirdetok-ismer...

Hozzászólások (0 hozzászólás)

Új dolgozat: Közösségi hálózatok és a privacy viszonyának elemzése

Karkus Viktor dolgozata bemutatja a közösségi hálózatok adatvédelmének alapjait, majd kapcsolódó visszaéléseket tárgyalja, melyben mind a szolgáltató, és a többi felhasználó is megjelenik "elkövetőként". Mivel az absztrakt megközelítés helyett inkább példákon keresztül mutatja be a közösségi oldalak ezen oldalát, kifejezetten ajánljuk a témában kevésbé járatos, de érdeklődő Olvasóink figyelmébe.

Permalink: https://pet-portal.eu/blog/read/467/2012-07-11-Uj-dolgozat-Kozossegi-halozatok-es-a-privacy-viszonya...

Hozzászólások (0 hozzászólás)

A history stealing lényege, hogy egy weboldal "illegális" módszekkel próbálja meg kinyerni a böngészőből az előzmények listáját, hogy azonosítsa a felhasználót, vagy hogy üzleti célból profilt készítsen róla (például kedvezőbb árakkal hatást gyakorljon rá, ha járt a konkurenciánál). A maga idején a history stealing elég elterjedt módszer volt, de mióta a Firefox befoltozta a lehetőséget (és ezt követte a többi böngészőgyártó), csak körülményesebb módszerekkel nyílt az előzmények detektálására lehetősége az egyes érdeklődő oldalaknak.

Azonban nem sikerült minden rést befoltozni. Az ún. cache-stealing segítségével weboldalak detektálhatják, hogy a látogató milyen más oldakon járt korábban, amennyiben a gyorsítótárban megtalálható az adott lap valamelyik erőforrása (pl. kép, JavaScript könyvtár). Ez például úgy működhet, hogy egy ilyen erőforrást megpróbál a detektáló algoritmus saját maga betölteni, és ha elég gyorsan sikerül, akkor feltételezi, hogy a betöltést a gyorsítótárból történt, és találatként könyveli el. Azonban az eddig ismert módszerek hátránya, hogy csak egyszer végezhető el velük a kísérlet, és a history stealinghez képest elég lassú ellenőrzést tesznek lehetővé.

Ezen sikerült javítania a cachetime írójának (2011. végén!), aki egy nem-destruktív (= ismételhető), és elég gyors cache-stealing algoritmust fejlesztett ki több böngésző alá is. Működési elve egyszerű: megpróbál egy-egy erőforrást betölteni, és mivel relatíve igen hamar kiderül, hogy a cache-ből sikerül-e betölteni, nem várja meg a teljes betöltést, hanem előbb megszakítja. Tapasztalataim alapján a demó algoritmus kb. 15-20 URL / másodperc tesztelésére alkalmas, ami elég jó, de a készítő szerint ez még tovább optimalizálható.

Az érdeklődők kedvéért készítettem az eredeti demóból egy hazai változatot, ahol három közismertebb hírportál látogatottsága tesztelhető le (Index, Origo, ATV). Nálam Firefox alatt korrektül működött.

Permalink: https://pet-portal.eu/blog/read/466/2012-07-04-A-weboldalak-meg-mindig-ellenorizhetik-merre-jartunk-...

Hozzászólások (1 hozzászólás)

Új dolgozat: Tradicionális szavazórendszerek

Kara Péter András dolgozata a szavazórendszerek privátszféra-specifikus vonatkozásait tárgyalja. Az írás a cserépszavazástól az elektronikus szavazórendszerekig többféle rendszert is megvizsgál, különös tekintettel a szavazatok és szavazók összeköthetetlenségére. A dolgozatot már pusztán az olyan technikatörténeti érdekességek leírása miatt is érdemes elolvasni, mint a Myers-féle automata szavazógép - hogy a szerző egészen egyedi fogalmazási stílusát és humorérzékét már ne is említsük.

Permalink: https://pet-portal.eu/blog/read/465/2012-06-25-Uj-dolgozat-a-PET-Portalon-Tradicionalis-szavazorends...

Hozzászólások (0 hozzászólás)

A böngészőprogramok JavaScript API-ja lehetővé teszi tartalmak elérését az oldal újratöltése nélkül, az ezt megvalósító technikák közös elnevezése AJAX (Aszinkron JavaScript és XML). A lekérések (POST, GET) ugyanúgy URL-eken keresztül történnek, mint szinkron esetben, azonban a szerver válaszát a lekérést indító JavaScript program kapja meg, és dolgozza fel.

Permalink: https://pet-portal.eu/blog/read/463/2012-06-15-Furcsa-privatszfera-serto-AJAX-viselkedes-nepszeru-bo...

Tovább (0 hozzászólás)

Új, dolgozatok nevű szekcióval jelentkezünk, ahol kétheti rendszerességgel tervezünk rövid dolgozatokat közzé tenni (egészen szeptember elejéig). Az itt megjelenő dokumentumokat a BME Privátszférát erősítő technológiák (BME VIHIAV00) című tárgyra beadott hallgatói dolgozatok (házifeladatok) közül válogatjuk, a dolgozatokat eredeti formában, módosítások nélkül közöljük. A dolgozatok gyakorlati megközelítésben számos témát dolgoznak fel a – PET Portálon is gyakran előforduló – webes privátszféra területétől kezdve a szavazórendszereken keresztül. Kellemes olvasást kívánunk!

Új dolgozat: Modern (ingyenes) anonim böngészők keresése, bemutatása és elemzése

Gulyás János dolgozatában ingyenes anonim böngészőket mutat be gyakorlati megközelítésben, mint a JondoFox, Anonymouse és HideMyAss szolgáltatások, és egyszerű teszteken keresztül a szolgáltatások által nyújtott anonimitás minőségét is ellenőrzi. A JondoFox esetében összeveti az ingyenes szolgáltatás sebességét a fizetős változatéval is.

Permalink: https://pet-portal.eu/blog/read/464/2012-06-11-Uj-dolgozatok-szekcio-a-PET-Portalon.php

Hozzászólások (0 hozzászólás)

Permalink: https://pet-portal.eu/blog/read/462/2012-06-08-Gary-Kovacs-Tracking-the-trackers-Firefox-Collusions....

Hozzászólások (0 hozzászólás)

A Me & My Shadow projekt céljául az internethez köthető privátszféra védelmének tudatosítását tűzte ki, melyet három különféle, kifejezetten laikus internethasználók számára készül eszköz segítségével kívánnak elérni. A Trace My Shadow segítségével a látogató felmérheti, hogy milyen információkat oszt meg azáltal, hogy használ bizonyos technikai eszközöket, szolgáltatásokat (a beállítható lista elég szűkös, így egy nagyon erős alsó becslésről tájékozódhat itt a látogató). A Shadow Tracer's Kit egy PET gyűjtemény, ahol figyelemfelkeltő, illetve védekező alkalmazások érhetőek el, illetve a Lost in Small Print részen pedig látványos módon emelik ki a Twitter EULA-jának releváns lényegét, ezzel is megkönnyítve annak értelmezését (ez a szekció még várhatóan bővülni fog).

Permalink: https://pet-portal.eu/blog/read/459/2012-05-31-Me-My-Shadow-felfedi-mennyire-vagyunk-kiszolgaltatott...

Forrás:

Hozzászólások (0 hozzászólás)

A Google+ és Clique után újabb privátszféra-barát identitásmenedzsmentet alkalmazó közösségi oldal jelent meg, a Hmmm, ami hasonlóan a Clique-hez, már a közösségi profil részidentitásokra bontását is engedélyezi. Azonban a Google+-hoz hasonlóan a Hmmm is kifejezetten az információmegosztára fókuszál, és felületén keresztül így célzottan lehetséges az élet eseményeit a nagyvilág elé tárni.

A fejlesztők videója a tovább után!

Permalink: https://pet-portal.eu/blog/read/458/2012-05-23-Hmmm-egy-ujabb-privatszfera-barat-kozossegi-platform-...

Tovább (0 hozzászólás)

Okostelefonokra letölthető alkalmazások garmadáját kínálják a különféle „piacterek” (pl. a Google Play), nem is keveset ingyen. Annak azonban kevesen vannak tudatában, hogy ezek használatával könnyen veszélynek tehetik ki magánjellegű adataikat. A helyzetet csak súlyosbítja, hogy sokan egyáltalán nincsenek tudatában annak, hogy információik olyan szervezetekhez jutnak el, amelyekről még csak nem is hallottak, valamint, hogy az ingyenes alkalmazás által megjelenített hirdetésekből származó adatforgalomért bizony – mobilinternet-előfizetésük jellegétől függően – ők fizetnek…

Permalink: https://pet-portal.eu/blog/read/457/2012-05-16-Mit-tudnak-rolunk-mobiltelefonos-alkalmazasaink.php

Forrás: Ashkan Soltani introduces MobileScope, an innovative approach to online privacy

Tovább (0 hozzászólás)

Bevezető

Napjainkban a kereskedelmi weboldalak sokféle harmadik féltől származó szolgáltatást használnak profitnövelési és látogatottságnövelési célból. Hirdetések, analitikai szolgáltatások, közösségi portálok widgetei (pl. hozzászólásokat megjelenítő doboz), megosztó gombok, és a beágyazható szolgáltatások is ide tartoznak (pl. google maps).

Permalink: https://pet-portal.eu/blog/read/455/2012-05-10-Osszefoglalo-a-Do-Not-Track-mozgalom.php

Tovább (0 hozzászólás)

Korábbi bejegyzéseinkben hírt adtunk az új ujjlenyomat kísérletről és a hazai fejlesztésű FireGloves kiegészítőről, és nemzetközi fejlesztésű alternatív védekezi megoldásokról is. De pontosan hogyan is működnek ezek?

Permalink: https://pet-portal.eu/blog/read/454/2012-04-25-Az-ujjlenyomat-vedelmi-modszerek-anatomiaja.php

Tovább (0 hozzászólás)

Már két hete volt a PET Portál által is támogatott új ujjlenyomat kísérlet sajtótájékoztató eseménye. Az új kísérlet elindítását az indokolta, hogy a korábbi kísérlet eredményeként csak azt a kérdést tudtuk megválaszolni, hogy a betűkészlet JavaScript-ből történő lekérdezése valóban elégséges információforrás a nyomkövetéshez, de azt nem, hogy ezt böngészőfüggetlen módon is meg lehet-e tenni. Mivel a kísérlettel a végső célunk nem a követési technikák népszerűsítése, hanem a védekezés hirdetése és a probléma ismertségének növelése, így egy proof-of-concept Firefox kiegészítőt is létrehoztunk, amely védelmet nyújt ilyen azonosítási technikákkal szemben (amit eddig majdnem ezer alkalommal töltöttek le).

Permalink: https://pet-portal.eu/blog/read/452/2012-04-18-Digitalis-ujjlenyomat-hogy-rejtsuk-el-a-web-elol-betu...

Tovább (0 hozzászólás)

A webezőket számítógépük ujjlenyomata könnyedén azonosítja – legalábbis erre a következtetésre jutottak a BME Híradástechnikai Tanszékének fiatal kutatói.

Permalink: https://pet-portal.eu/blog/read/451/2012-04-05-Digitalis-ujjlenyomat-a-weben-8211-beszamolo-a-nyilva...

Tovább (0 hozzászólás)

Lejár a sütialapú nyomkövetés kora?
Új számítógép-ujjlenyomat teszt és anti-ujjlenyomat védekezési alkalmazás

Nyilvános bemutató és sajtótájékoztató

Helyszíne:
BME Informatika épület, 017. díszterem
1117 Budapest, Magyar tudósok körútja 2.

Időpontja: 2012. április 4. 11 óra

A webezőket számítógépük ujjlenyomata könnyedén azonosítja – legalábbis erre a következtetésre jutottak a BME Híradástechnikai Tanszékének fiatal kutatói.

Permalink: https://pet-portal.eu/blog/read/450/2012-03-29-Digitalis-ujjlenyomat-a-weben-kivancsi-lennel-a-sajat...

Tovább (0 hozzászólás)

Svédország eddig egyike volt azon EU-tagállamoknak, amelyek nem iktatták törvénybe az ún. adatvisszatartási irányelvet. Ez a direktíva az országon belülről indított telefonos hanghívások, sms-ek és e-mailek egyes metaadatainak tárolását írja elő; maga a tartalom nem rögzíthető. A tárolás maximális idejét a tagállamok saját hatáskörben szabályozhatják a 6 hónaptól 2 évig terjedő intervallumon belül. Az irányelv alkalmazása minden tagállamnak kötelező, máskülönben a törvénybe iktatás késésének minden egyes napjáért perelheti az államot az Európai Bizottság.

A svéd törvényhozás (Riksdag) által elfogadott javaslat alapján 6 hónapig kötelező tárolni a sikeres és sikertelen telefonhívások, a küldött sms-ek és e-mailek esetében a kommunikáló felek azonosítóit, továbbá a szöveges üzenetek feladásakor, valamint a hanghívások kiépülésekor és lebontásakor a felek pozícióját is. Az információkat ezek után a rendőrség és az állambiztonsági szervek használhatják fel, a különösen súlyos bűncselekmények felderítésének elősegítésére. A tárolás költségét a telekomszolgáltatóknak kell állniuk, az információk kiadásának a költségét viszont megtéríti az állam. Ezek a költségek korántsem elhanyagolhatóak: egyes számítások szerint egymilliárd svéd korona (nagyjából 32,7 milliárd forint) körül alakul majd a végösszeg. A törvény május 1-jén lép érvénybe.

A végszavazást hosszú vita előzte meg, végül azonban 233 igen, 41 nem és 19 tartózkodás mellett jelentős többséggel elfogadta a tervezetet a Riksdag. A leghangosabb ellenzők a Zöldpárt és a Baloldali Párt voltak, az adatvisszatartást régebben még kategorikusan elutasító Centrumpárt pedig megosztottnak volt mondható a kérdésben, bár végül – 4 képviselőjük kivételével – mindannyian igennel szavaztak. Ellenben mindegyik párt ifjúsági szervezete egyhangúan kinyilvánította nemtetszését a törvényjavaslattal kapcsolatban.

Az internetszolgáltatók közül talán a Bahnhof fogalmazta meg a legélesebb kritikát. A cég azt tervezi, hogy alapértelmezésben a felhasználók forgalmát keresztülvezeti egy anonimizáló proxyn (vagyis az egyes előfizetők nem lesznek megkülönböztethetőek az IP-cím alapján), ennek elhagyásáért pedig külön díjat számít fel.

Egy érdekes momentum az új törvénnyel kapcsolatban, hogy még egy rendőrségi forrás is kritizálta azt. A bűnüldöző szervezetek szerint ugyanis a 6 hónapos periódus túl rövid; a ma hatályos törvények alapján ennél régebbi adatok kikérésére is van lehetőség.

Permalink: https://pet-portal.eu/blog/read/449/2012-03-27-Svedorszagban-is-torvenybe-iktattak-az-adatvisszatart...

Forrás: Sweden Adopts Controversial EU Data Retention Directive

Hozzászólások (0 hozzászólás)

Könnyen kiderítheti egy weboldal, hogy a látogatás pillanatában be vagyunk-e lépve valamelyik jelentősebb közösségi hálózatra. Az érdeklődök a kód készítésének részletek is elolvasáshatják, és maguk is kipróbálhatják a böngészőfüggetlen detektor működését.

Permalink: https://pet-portal.eu/blog/read/448/2012-03-19-Nem-titok-be-vagyunk-e-lepve-valamelyikre-Twitter-Fac...

Forrás: Detect if visitors are logged into Twitter, Facebook or Google+

Hozzászólások (1 hozzászólás)

Amerikai kutatók nemrég publikált munkájukban megmutatták, hogy csak a nyelvhasználati stílust górcső alá vetve hatékonyan felfedhető egy anonim módon publikált írás szerzőjének kiléte. Algoritmusuk a tanuló fázisban először megvizsgálja a beadott bejegyzéseket (egy kb. 100 ezer blog bejegyzésből álló adatbázissal dolgoztak), és egyedi nyelvhasználati sajátosságokat keres (például felcserélhető szavak relatív gyakoriságát számolja), majd ez alapján létrehoz egy a szerzőre jellemző stílus-ujjlenyomatot, és legközelebb már ez alapján próbálja meg azonosítani. Általánosságban véve az eredmények nem tűnnek áttörőnek, hiszen az esetek kb. 20%-ában sikerül csak helyesen megtippelni a szerzőt, de a pontosság tovább növelhető egészen 80%-ig, ha nem kényszerítjük az algoritmust tippelni, amikor nem biztos a dolgában (vagyis ez a precision-recall optimalizálása).

Az eredmények ezen felül tovább erősíthetőek pl. a téma figyelembe vételével*, a legjobb tippek szemrevételezésével, stb. is. Vajon lehet ez ellen védekezni? Ha nem is PET technológiával, de lehet, és állítólag nem is olyan nehéz: elegendő, ha tudatosan törekszünk valaki más, például egy ismertebb személy stílusát utánozni fogalmazás közben. Akit bővebben érdekel a téma, de esetleg nem olyan mély részletességgel mint a korábbi linken, ajánlom figyelmébe az egyik szerzővel készült négyperces interjú hanganyagát (a szöveges kivonat itt megtekinthető).

* Azért témafüggetlen a vizsgálatuk, mert előfordulhat, hogy egy adott témában csak álnéven ír valaki, és az identitás kompromittációja csak egy másik témabeli írások vizsgálatával tehető meg.

Permalink: https://pet-portal.eu/blog/read/447/2012-03-10-Vege-az-anonim-szerzok-koranak.php

Hozzászólások (0 hozzászólás)

A webes nyomkövetés problémájának súlyosságára kívánja felhívni a figyelmet a Mozilla Collusion privátszféra tudatosság növelő projektje. A működését jól demonstrálja az alábbi videó (de az IT café-n is lehet róla olvasni):

Permalink: https://pet-portal.eu/blog/read/443/2012-03-02-Firefox-Collusion-megmutatja-a-bongeszesunket-megfigy...

Hozzászólások (4 hozzászólás)

Nem először merült fel az ötlet, már a Vanish esetén is láthattunk hasonló szolgáltatást, amelynél a levelek idővel megsemmisültek. A OneShar.es üzenetei nem időhöz, hanem olvasottsághoz kötöttek: első olvasás után törlődnek a kiszolgálóról. A szolgáltatás továbbá azzal reklámozza magát, hogy a levél tartalma titkosított, mivel beírás után már így kapja meg a böngészőnktől, s így még ő maga sem tudja azt elolvasni. Bár erről bővebb részleteket az oldal sajnos nem közöl, de sejthető, hogy az üzenet terjesztésére használt linkben található meg az olvasáshoz szükséges kulcs. A levél kiküldése egyébként roppant egyszerű: létrehozunk egy új üzenetet, beírjuk az mondanivalónkat, és kapunk ehhez egy egyszer használható linket, amit akár emailben is elküldhetünk.

Mivel egyszerhasználatos linkekről (üzenetekről) van szó, legalább kiderül, hogy olvassák-e mások titokban a levelezésünket. :-)

Permalink: https://pet-portal.eu/blog/read/442/2012-02-25-Onmegsemmisito-level-ismet-OneShar-es.php

Forrás: Küldjön bizalmas, önmagát megsemmisítő üzenetet!

Hozzászólások (0 hozzászólás)

Bár a Google+ kétségkívül a legismertebb közösségi oldal, ami támogatja a privátszféra-barát adatmegosztást a kapcsolatainkkal, tavaly nyári indulásával nem ez volt az első, ráadásul az itt kínált megoldás, az ún. körök (Circles) nem is tekinthető teljes megvalósításnak. Ugyanis ez csak a megosztott tartalmak körök szerinti kiküldését teszi lehetővé, de más dolgokat, például a profilinformációkat nem lehetséges eszerint beállítani – pedig már kiderült, hogy a való életben ezt így csináljuk.

Így adódott, hogy mind időben, mind e funkció tekintetében megelőzi "vetélytársát" a Clique nevű közösségi platform. A Clique a PrimeLife nevű projekt (PRIME utódprojekt) keretében készült, nyílt forráskódú szoftver, így bárki letöltheti, kipróbálhatja, hiszen az Elgg egy módosított változatáról van szó. A Clique esetében a kapcsolatokat ún. gyűjteményekbe (Collections) csoportosíthatjuk, ahol a különféle tartalmak, és profilinformációk ennek megfelelően adhatóak meg. A platformhoz egy bemutató videó is készült, és egy online teszt változatban bárki kipróbálhatja.

Permalink: https://pet-portal.eu/blog/read/441/2012-02-20-Clique-a-privatszfera-barat-kozossegi-platform.php

Hozzászólások (0 hozzászólás)

A legtöbben valószínűleg erre azt a választ adnák, hogy semennyiért, nem eladó. A valóság mégis mást mutat, elég csak a Facebook-ra utalnunk, ahol az emberek – habár közvetett módon, de – mégis ezt teszik: kiárusítják kapcsolatrendszerüket a Facebook-nak, aki azt hirdetőknek értékesíti tovább, és cserébe egy kommunikációs-közösségi platformot szolgáltat a felhasználóinak. Ajánljuk Olvasóink figyelmébe ezt a tanulmányt, amely épp ezt a kérdést elemzi: hogyan reagálnak az emberek, ha pénzről vagy szolgáltatásokról van szó az adatokért cserébe. Hiszen ez a kérdés egyre aktuálisabb, és bár formálisan az emberek meglehetősen drágán vagy egyáltalán nem adnák el privát adataikat, sajnos ebből a tanulmányból is kiderül, hogy ha ellenszolgáltatásról van szó, akkor inkább "filléres kiárusításról" beszélhetünk.

Permalink: https://pet-portal.eu/blog/read/439/2012-02-06-Te-mennyiert-adnad-el-a-barataid-listajat.php

Hozzászólások (0 hozzászólás)

A BlueCava nevű amerikai székhelyű cég tegnap sajtóközleményben jelentette be, hogy megoldást kínálnak az EU-ban problémát jelentő süti alapú nyomkövetés alternatívájaként: egy sütimentes, ujjlenyomat alapú megoldást. Bár a cég honlapja kínosan ügyel arra, hogy ne áruljon el túl sok technikai részletet, de annyi kiderül, hogy JavaScript alapú ujjlenyomat alapú módszerről van szó, amely a rendszert elemzi, és az alapján készít ujjlenyomatot.

Egészen pontosan a rendszerjellemzőket összegyűjti, és a cég háttérrendszeréből lekéri az adott konfiguráció ujjlenyomatát. Amely ha létezik, akkor a hozzátartozó profillal együtt lesz elérhető. Ráadásul a cég állítása szerint több platformon is működik a technika (mint például set top box és playstation), és az esetek 99%-ban képes egyedi azonosítót adni a látogatóknak. Állításuk szerint az ujjlenyomat hosszútávon is megbízható, azaz a rendszer változásaira nem érzékeny az ujjlenyomat készítési módszerük.

Az ujjlenyomat-technika nem újkeletű jelenség, először a Panopticlick projekt végzett a témában széleskörű vizsgálatot 2010 elején, majd a PET Portálon mi is indítottunk egy hasonló kísérletet, ami már közelebb áll a BlueCava cég eszközéhez. A PET Portál Ujjlenyomat projekt keretén belül arra voltunk kíváncsiak, hogy lehetséges-e magát az operációs rendszert azonosítani, és így böngészőfüggetlen módon követni a felhasználót. A kísérlet eredményeit a NordSec 2011 konferencián publikáltuk, és az ott megjelent cikk draft változata hamarosan elérhető lesz a PET Portálon – egyelőre még a kiadó dolgozik a konferenciakiadványon, és addig mi sem akarjuk közzétenni, amíg ők nem publikálják.

Jelenleg is folytatjuk az ujjlenyomatok területén a munkát: hamarosan elindítjuk az új ujjlenyomat tesztet, amelyről az érdeklődők a PET Portálon informálódhatnak majd.

UPDATE (2012-02-06): további érdekes olvasnivaló az érintett törvények elemzéséről. (Azaz miért baj, hogy a törvény csak a tárolt adatokra vonatkozik.)

Permalink: https://pet-portal.eu/blog/read/438/2012-01-31-Az-ujjlenyomat-technikat-nyiltan-alkalmazzak-webes-ko...

Hozzászólások (0 hozzászólás)

A Google egyszerűsíti adatvédelmi nyilatkozatát, melynek dedikált célja, hogy (1) a felhasználó egy egyszerűsített nyilatkozatban tájékozódhasson valamennyi Google szolgáltatás adatkezeléséről, valamint hogy (2) a szolgáltatások közötti hatékonyabb együttműködést megvalósíthassák az alkalmazásközi adatáramlással (vagyis az alkalmazások hozzáférnek egymás adataihoz). A személyes adavédelmi olvasata kicsit más az ügynek: ezzel lehetővé válik a Google számára a felhasználóinak a precízebb profilírozása, ami hatékonyabb reklámfelület értékesítést is jelent, és több bevételt.

Mindenesetre akit érdekel a hivatalos bejelentés, a lényeget összefoglaló videót megtekintheti alább.

UPDATE (2012-01-27 20:45): Bár részemről nem olvadok el a Google-nek és a Facebook-nak a felhasználó felé irányuló szeretetétől, de érthető a szolgáltatások adatkezelésének ilyen módú összevonása, ha idén valóban a közösségi média felturbózása a cél.

Permalink: https://pet-portal.eu/blog/read/436/2012-01-26-Google-itt-es-most-csakis-Onokert.php

Hozzászólások (0 hozzászólás)

A Leuven-i Katolikus Egyetem (Katholieke Universiteit Leuven, Belgium) számítógép-biztonsági és ipari kriptográfiai kutatócsoportja (Computer Security and Industrial Cryptography research group) diákjai és tanárai együttműködésével egy új, privátszférát erősítő Firefox-kiterjesztést fejlesztettek ki és tettek nyilvánossá "For Human Eyes Only" (FHEO) néven. A megoldás a szöveges online üzeneteket képpé alakítja át, ami megnehezíti, hogy a szöveg tartalmát illetéktelenek gépi úton automatikusan elemezzék, de az eredeti szöveg emberi szem számára továbbra is olvasható marad.

A megoldás használhatóságának tesztelésére a kutatók egy online survey-t indítottak és kérik a felhasználókat, hogy töltsék ki a kérdőívet és terjesszék a survey linkjét. A kitöltés kb. 10 percet vesz igénybe, de a kutatók felhívják a figyelmet, hogy kitöltés közben ne hagyjuk magunkat megzavarni, mert a válaszadás sebességét is mérik.

Permalink: https://pet-portal.eu/blog/read/435/2012-01-15-Csak-emberi-szemnek.php

Hozzászólások (0 hozzászólás)

A FootPath egy új szolgáltatás, elsősorban bevásárlóközpontoknak, amely segítségével a bevásárlóközpont – szigorúan szolgáltatásainak optimalizálásának céljából – megfigyelheti, hogy a kedves vásárló merre jár. A technológia alapelvét tekintve elég egyszerűen működik, a mobilok "csendes" működése közben kiküldött jeleket figyelik és ezek alapján rögzítik a látogató útvonalát.

Permalink: https://pet-portal.eu/blog/read/429/2012-01-09-FootPath-The-Sims-jatek-bevasarlokozpontoknak.php

Forrás: Shopper Surveillance Using Cell Phones

Tovább (0 hozzászólás)

Frissítés (2011-12-27 16:15): az Adatvédelmi Nyilatkozat is elolvasható. :-)

Permalink: https://pet-portal.eu/blog/read/433/2011-12-26-Karacsonyi-hir-elloptak-a-rosszak-listajat-a-mikulast...

Hozzászólások (0 hozzászólás)

Az ember nem is gondolná, mennyire könnyen, hányféle módszerrel hallgatható le. Itt, a PET Portálon a vezeték nélküli billenytűzetek veszélyei című cikket olvasva jutott eszembe, hogy a billentyűzetek lehallgatásáról már olvastam valahol. Hadd tárjam a kedves olvasó elé, amit talán még álmomban sem gondolna.

A billentyűleütések a szó lehető legszorosabb értelmében lehallgathatók - mikrofon segítségével. A Berkeley egyetem kutatói fejlesztettek ki egy módszert még 2005-ben. Egy átalakított beszédfelismerő szoftvert használtak, mellyel, megfelelő betanítás után billentyűleütések hangja alapján 1,3%-os valószínűséggel ismerhető fel pontosan egy tízjegyű jelszó - azaz, 75-ből 1-szer.

A lehallgatáshoz ráadásul még csak közel sem kell kerülni az áldozathoz, elég akár egy, az utca túloldalán levő épületben felállított puskamikrofon is, vagy esetleg trójai segítségével is felvehetők a hangok.

Permalink: https://pet-portal.eu/blog/read/432/2011-12-14-Billentyuzetlehallgatas-mikrofonnal.php

Forrás: A billentyűzet hangja elárulja a jelszót

Hozzászólások (0 hozzászólás)

Andy Baiot a kíváncsisága vezérelte, amikor felfedezte, hogy az anonim bloggerek identitása egyes esetekben könnyen felfedhető: egyszerűen az oldalhoz kapcsolódó Google Analytics fiókjuk alapján. Felfedezése után megnézte, hogy 50, a Google News-ból véletlenszerűen választott anonim blog esetében hánynál működik ez a módszer. Összesen 14 blog használt Google Analytics-ot, és a felüknél olyan azonosítót használtak, ami máshol is elérhető volt. Ennek segítségével a két weboldal már összeköthető, és így a blogger identitása is lehet, hogy kompromittálható. Akit érdekel a téma, olvassa el a részleteket az eredeti bejegyzésben.

Permalink: https://pet-portal.eu/blog/read/428/2011-12-06-Erdekesseg-blog-szerzok-de-anonimizalasa.php

Forrás: Google Analytics A Potential Threat to Anonymous Bloggers

Hozzászólások (1 hozzászólás)

Tömegeket érint az eset, mivel sok esetben alapértelmezésként telepítették a szoftvert:

Egy biztonsági szakember bejelentése keltett a múlt héten igen nagy vihart, ugyanis állítása szerint egy cég olyan okostelefonos alkalmazást terjeszt, mely a felhasználók minden tevékenységét követi és naplózza... A kémkedést már a múlt héten tagadó gyártó közleményben reagált a vádakra, és visszautasították a káros célú nyomkövetés vádját.

...

Az androidos fejlesztésekkel foglalkozó Trevor Eckhart közlése igazából tegnap robbant szenzációként, miután a szakember a vállalat állításait cáfolandó videón is bemutatta a program működését (itt látszik például, hogy hiába használ Eckhart a Google-nál https-t, vagyis titkosított adatkapcsolatot, a Carrier IQ látja a keresést, holott ezt csak a Google-nak és a felhasználónak lenne szabad, illetve az egyes billentyűleütéseket is logolja a szoftver, és minden adatot elküld a gyártó szerverére).

A teljes cikk itt elolvasható, és érdemes a videót is megnézni!

Valószínűleg nem az utolsó eset, hogy mobilokkal kapcsolatban a privátszféra sérüléséről hallunk: ezek a készülékek egyre több helyen ott vannak velünk, egyre több adatunk tárolják; egyre jobban integrálódnak magánszféránkba. Ahogy a web esetén az integrációs folyamat kihozta a már meglévő problémákat (mint amilyen a 10 éve ismert history stealing hiányossága volt), vélhetően a telefonoknál is ez fog történni, és több régi, vagy e jelen hírhez hasonló frissebb "szennyes" fog napvilágra kerülni.

Permalink: https://pet-portal.eu/blog/read/431/2011-12-02-CarrierIQ-okostelefonok-millioin-kemkedik-egy-legalis...

Hozzászólások (3 hozzászólás)

Számos rendszert használunk a mindennapi teendőink, munkáink során, és ezek közül a legtöbbnél jelszóval kell védenünk a fiókunk hozzáférését. Jelszót pedig sokféleképpen választhatunk, és – az eddigi tapasztalatok szerint – a legtöbbször a könnyű megjegyezhetőség vezérel ebben minket. Vagy ugyanazt a jelszót használjuk mindenhol és mindig, vagy egy személyes információból próbálunk jelszót csiszolni (például a kutyánk nevéből). Azonban egyik sem célravezető.

Permalink: https://pet-portal.eu/blog/read/426/2011-11-29-Hogyan-valasszunk-eros-jelszot.php

Tovább (6 hozzászólás)

Jövő év januárjában ingyenes online kriptográfiai kurzus indul Dan Boneh professzor vezetésével. A kurzus oktatóvideói ingyenesen megtekinthetőek (más ingyenes anyagot nem tesznek közzé), akár később is, nem csak az órák ideje alatt. Az érdeklődők megtekinthetik a kedvcsináló videót itt.

Permalink: https://pet-portal.eu/blog/read/427/2011-11-25-Ajanlo-ingyenes-online-kriptografiai-kurzus.php

Forrás: Online Cryptography Class

Hozzászólások (0 hozzászólás)

A Voice Miner elnevezésű telefonos ügyfélszolgálatokat támogató rendszer képes az ügyfél érzelmeinek felismerésére:

A Nextent Informatika által kifejlesztett, Voice Miner névre keresztelt alkalmazás segítségével olyan, eddig nehezen hozzáférhető információk kerülhetnek felszínre az ügyfélszolgálati beszélgetésekből, melyek használatával folyamatosan növelhető a telefonos ügyfélkiszolgálás gyorsasága, hatékonysága és ezáltal az ügyfelek elégedettsége.

...

A Voice Miner automatikusan feldolgozza az ügyfélszolgálatra befutó összes telefonhívást, felismeri, hogy a cég számára fontos kulcsszavak elhangzanak-e a beszélgetésben, így adott esetben egy panasz vagy probléma sokkal gyorsabban azonosítható. A rögzített beszélgetéseket korábban csak szúrópróbaszerűen volt lehetőség visszahallgatni, ezzel szemben a Voice Miner automatikusan jelentéseket küld minden telefonbeszélgetésről az előre meghatározott paraméterek alapján az illetékes kollégákhoz.

Érdekes kérdés, hogy vajon mindig szeretnénk-e a naplózást engedélyezni, és van-e lehetőség kikapcsoltatni? Más lapra tartozik, hogy a "lemért hangulat" nem mindig helyes következtetést vonhat maga után: lehetünk egész más miatt emelkedett, vagy épp borús hangulatban is, nem csak az adott szolgáltatás miatt. (A hír a Voice Miner alkalmazást illetően nem új, már régóta elérhető a piacon.)

Permalink: https://pet-portal.eu/blog/read/425/2011-11-23-Erdekesseg-naplozzak-az-erzelmeket-a-telefonos-ugyfel...

Forrás: Nyugodtan lehet dühös: felismeri érzelmeit a Telenor ügyfélszolgálatának új rendszere

Hozzászólások (1 hozzászólás)

Az amerikai Carniege Mellon University kutatói 45 fő bevonásával a webes nyomkövetés (pontosabban az erre épülő hirdetés) elleni védekezésre készített eszközök használhatóságát vizsgálták. Összesen 9, böngészőkbe épülő eszközt válogattak be a vizsgálatba, melyek a beállítások alapján a felhasználót megpróbálják opt-out alapon kivonni ebből a "szolgáltatásból". A tesztjeik során azt vizsgálták, hogy a kísérleti alanyok hogyan használják ezeket az eszközöket. Végeredményben valamennyi eszközben találtak hiányosságokat:

... We found serious usability flaws in all nine tools we examined. The online opt-out tools were challenging for users to understand and configure. Users tend to be unfamiliar with most advertising companies, and therefore are unable to make meaningful choices. Users liked the fact that the browsers we tested had built-in Do Not Track features, but were wary of whether advertising companies would respect this preference. Users struggled to install and configure blocking lists to make effective use of blocking tools. They often erroneously concluded the tool they were using was blocking OBA when they had not properly configured it to do so.

(A felmérés eredményeit egy kutatási beszámolóban tették közzé, ami elérhető itt.)

További érdekesség: a témában a Stanford egyetem kutatói is készítettek felmérést a közelmúltban, melyről itt lehet olvasni.

Permalink: https://pet-portal.eu/blog/read/424/2011-11-18-Nincs-esely-ha-nem-akarjuk-hogy-megfigyeljenek.php

Hozzászólások (3 hozzászólás)

Holland kutatók a NordSec 2011 konferencián tartott előadásukban új koncepciót vázoltak fel a memóriamodulok egyedi azonosítására. A modulok minimális (és költségkímélő) átalakításával megoldható a RAM ujjlenyomatok készítése. A RAM modulok bekapcsolás utáni értéke egyszerűen mérhető, ráadásul erről kiderült, hogy nagyjából állandó mintázatot ad (kevesebb mint 10% eltéréssel bekapcsolásonként), plusz modulonként kellőképpen eltér (tehát egyedi), s így lehetőséget ad a modul ujjlenyomatának legenerálására. Ennek több alkalmazási lehetősége is van, mint például kriptográfiai kulcsok származtatása, vagy a modulok egyedi azonosítása. Ez utóbbinál külön érdekesség, hogy ezzel a technikával így lehetőség nyílna a PC-k egyedi azonosítására, ami egyes szoftveróriásoknak már régen dédelgetett álma.

(A bejegyzésben említett publikáció még nem elérhető, a konferenciakiadvány készítése folyamatban van.)

Permalink: https://pet-portal.eu/blog/read/423/2011-11-08-Rovid-hir-a-RAM-ujjlenyomatokrol-kulcsgeneralas-es-eg...

Forrás: Intrinsic-ID

Hozzászólások (0 hozzászólás)

Az IT café beszámolója szerint még az IT biztonsági szakértők sem védik kellőképpen az adataikat, és kiadják kvázi ismeretleneknek. Ha ez így van, hogy várhatnánk el az adatai védelmét egy hétköznapi érdeklődésű adatalanytól?

A BitDefender biztonsági cég által készített felmérés szerint az IT-biztonsággal professzionálisan foglalkozók majdnem annyira óvatlanul bánnak személyes adataikkal, mint az átlagos felhasználók.

...

De virtuális nők végül mégiscsak eredményesen akcióztak, ugyanis a kutatás végére a célszemélyek 75 százaléka adott meg magáról érzékeny információkat, például lakcímet, telefonszámot, hozzátartozóik nevét. Sőt, a célzottan érdeklődő nőknek szinte mindegyikük felajánlotta, hogy megadja jelszavát, az IT-biztonságiak 13 százaléka pedig valóban el is árult több online használatos azonosító/jelszó párost is.

Permalink: https://pet-portal.eu/blog/read/420/2011-10-23-Ha-a-szakertok-is-belebuknak-akkor-kiben-lehetne-bizn...

Hozzászólások (1 hozzászólás)

A SPION projekt közzétette angol nyelvű összefoglaló jelentését a közösségi hálózatok adatvédelmi kérdéseiről. Új megállapítások ugyan nincsenek benne, de áttekintést ad a szakirodalomról és a létező technikai megoldásokról (7-9. fejezet).

Abstract:

The objective of this deliverable is to (1) provide an overview of existing literature and case descriptions of social and community uses of online Social Network Services (SNS); (2) summary of available educational solutions and empirical evidence of the efficiency and efficacy and the satisfaction they generate; analysis of legal frameworks applicable to SNS; (3) a review of confidentiality, access control and information flow, as well as feedback and awareness solutions. The Deliverable also includes an analysis of how the gaps and challenges in the different disciplines represented in the project are interrelated, mapping out research gaps and potentials for future interdisciplinary research on privacy and security in online Social Network Services.

A tanulmány letölthető a https://www.cosic.esat.kuleuven.be/publications/article-2077.pdf címről.

Permalink: https://pet-portal.eu/blog/read/421/2011-10-21-Jelentes-a-kozossegi-halozatok-adatvedelmi-kerdeseiro...

Hozzászólások (0 hozzászólás)

... arra vannak a trójai alkalmazások? :) Nem bizonyított, hogy német kormányzati alkalmazás, amiről a lentebbi idézet szól, de izgalmas lenne, ha kiderülne:

A Chaos Computer Club megszerezte és kielemezte a német kormány által fejlesztett, Quellen-TKÜ névre keresztelt "lehallgató eszközt".

...

A CCC elemzése ezzel szemben azt állapítja meg, hogy a szoftver teljes kontrollt biztosít a megfigyelt számítógépek felett, segítségével tetszőleges más program telepíthető azokra, a mikrofon és kamera bekapcsolásával pedig a fizikai környezet lehallgatására is alkalmat ad. Emellett a vezérlő szoftverrel történő kommunikációnak csak egy része titkosított (ECB módú AES-128 :P), de egyáltalán nem autentikált, az átmenő adatok integritása nem ellenőrzött. Ez lehetőséget ad bizonyítékként letöltött adatok meghamisítására, vagy hamis bizonyítékok eljuttatására a célgépre - a gépet használó vagy akár a hálózati kapcsolatba beékelődő támadó számára is. A trójai ezen felül úgy fedi el az őt vezérlő szerver címét, hogy egy amerikai szerveren keresztül irányítja a forgalmat, ezzel akár nemzetbiztonsági kockázatnak kitéve Németországot.

Azért nem csak a németeket érdekli, hogy "mi történik a nagyvilágban".

Permalink: https://pet-portal.eu/blog/read/419/2011-10-20-Amire-a-nepszamlalas-nem-eleg.php

Forrás: Buherablog:

Hozzászólások (0 hozzászólás)

Ha a privátszféra oldaláról nézzük, az ujjlenyomat készítésének fő célja egy rövid, nagy valószínűséggel egyedi azonosító hozzárendelése egy adott eszközhöz, szoftverhez, aminek segítségével később az eszköz megfigyelhetővé, profilírozhatóvá válik. Példáért sem kell messzire látogatnunk: PET Portál ujjlenyomat projektje is hasonló céllal indult, azaz, hogy egy egyedi azonosítót rendeljen a felhasználó operációs rendszeréhez, amely segítségével böngészőfüggetlen módon lehetséges azonosítani, adattárolás nélkül.

Ajánljuk a téma iránt érdeklődő Olvasóink figyelmébe a 33 Bits of Entropy blog nemrég indult sorozatát, melyben különféle témakörökben olvashatunk az ujjlenyomatok alkalmazási lehetőségeiről. Az első bejegyzés egy rendhagyónak tűnő témát vesz górcső alá, és egyszerű papírlapok ujjlenyomatozási módszerét mutatja be. (Ez miért érdekes? Ha egy papírlap egyértelműen azonosítható, akkor a nyomtatott kérdőívek, szavazások például de-anonimizálhatóak.) A későbbi bejegyzések már elektronikus eszközök ujjlenyomatozásával foglalkoznak, mint a fényképezőgépek megkülönböztethetősége fényképeik alapján, RFID címkék együttes nyomkövetése és szkennerek és nyomtatók azonosítása.

Permalink: https://pet-portal.eu/blog/read/418/2011-10-17-Ajanlo-mi-mindennek-van-ujjlenyomata.php

Hozzászólások (0 hozzászólás)

A Facebook új, nem rég bevezetett újítása, a Timeline sokak számára egyértelműbbé tette: a közösségi oldal nagy mennyiségű információt tárol felhasználóiról. Erre hívja fel a figyelmet a Europe versus Facebook csoport kezdeményezése, akik néhány tagja (egy brit jogszabályra hivatkozva) kikérte a Facebooktól a róla tárolt információkat. A válasz meglepő volt: hatalmas mennyiségű információt kaptak, amelyben számos olyan elem is volt, ami hivatalosan már törlése került, de természetesen a Facebook rendszeréből nem tűnt el (és nem is fog).

Permalink: https://pet-portal.eu/blog/read/417/2011-10-01-Facebook-vs-Europe.php

Forrás: Ezeroldalas aktája van mindenkinek a Facebookon

Tovább (2 hozzászólás)

A Nemzetközi PET Portál és Blog szerkesztőbizottsága ez úton gratulál Besenyei Tamásnak, akinek diplomadolgozata megnyerte a Hétpecsét Információbiztonsági Egyesület idei diploma pályázatát, és Tamás lehetőséget kapott arra, hogy bemutassa diplomamunkáját az egyesület mai fórumán. Gratulálunk!

Permalink: https://pet-portal.eu/blog/read/415/2011-09-21-Az-Ev-informaciovedelmi-diplomadolgozata-2011-Webes-t...

Hozzászólások (0 hozzászólás)

Szeptember 22-én új tanulmányt teszünk közzé a PET Portálon: Besenyei Tamás diplomadolgozatát, melynek címe Webes tartalmakban alkalmazható szteganográfiai módszerek vizsgálata.

Permalink: https://pet-portal.eu/blog/read/413/2011-09-15-Hamarosan-uj-tanulmany-a-PET-Portalon.php

Tovább (0 hozzászólás)