Blog: keresés
Összesen 121 találat.
Facebook okostelefonon? Jobban hallgat rád, mint a kutyád
|
|
2016.06.02. 05:51:54
Gulyás Gábor
Aki használ Facebook-ot a mobilján, érdemes átnéznie a beállításokat és kikapcsolni a mikrofont: az alkalmazás folyamatosan figyeli az elhangzó beszélgetéseket, a háttérben szóló zenét, stb., hogy ezzel is szinesítse a hirdetőknek értékesíthető profilokat. A fentebb linkelt cikkben ki is próbálták: amikor a telefon mellett elhangzott, hogy a tulajdonos szívesen elmenne egy szafarira, rövidesen megjelentek az asztali gépen a böngészőben a kapcsolódó hirdetések.
Hozzászólások (0 hozzászólás) No para: új oldal a privátszféra védelméért
|
|
2016.03.08. 06:33:43
Gulyás Gábor
A modern kommunikációs eszközök és csatornák egyre nagyobb mennyiségű információt tesznek elérhetővé rólunk egyre szélesebb kör számára – gyakran szenzitív, személyes adatokat is. Az információs önrendelkezési jog folyamatosan sérül az állami és a piaci szereplők megfigyelései során. Legféltettebb, személyes titkainkból listák állnak össze, adatainkat különböző hivatalok és cégek kapcsolhatják össze, és alkothatnak belőlük további visszaélésre lehetőséget adó profilokat. Személyes és gazdasági károk sorát okozhatják a titokban utánunk kémkedő programok és alkalmazások.
A Társaság A Szabadságjogokért (TASZ) a hétköznapi polgároknak, civil szervezeteknek, gazdasági szereplőknek, oknyomozó újságíróknak, és minden, a kémkedéssel érintett áldozatnak kíván segítséget nyújtani azzal, hogy a bevált és globálisan alkalmazott védelmi megoldásokat egy helyen, a nopara.org honlapon teszi elérhetővé számukra; ugyanitt Edward Snowden személyes üzenete, illetve közérthető szöveges és multimédiás felvilágosító tartalmak is várják az érdeklődőket.
Új weboldal: webpoloska.hu
|
|
2016.01.27. 05:51:10
Gulyás Gábor
Sokat írtunk a web poloskákról már, de ha valaki szeretne képbe kerülni, nincs könnyű dolga: lesz mit olvasnia a bejegyzéstengerben. Ezért nem régiben elindítottuk a webpoloska.hu weboldalt, amelynek célja, hogy a webpoloskákhoz, nyomkövetéshez kapcsolódó információdömpingben adjon iránymutatást, illetve kiemelje az aktuális projektjeinket. A tartalom angol nyelven is elérhető a webbug.eu oldalon. Bár apróbb újítás, mégis privátszféra-erősítő hatású, hogy és ezek az oldalak, illetve a PET Portál is immár csak HTTPS-en keresztül érhető el, köszönhetően a StartTLS-nek!
Project Abacus: a te biometrikus ujjlenyomatod
|
|
2016.01.19. 05:44:20
Gulyás Gábor
Ebben az esetben szó szerint személyes ujjlenyomatról van szó: a Google Abacus gyűjti a telefon valamennyi bemenetén a meta-datokat, mint például kit lát az előlapi kamera vagy hogyan gépelünk, majd ez alapján folyamatosan kiértékeli, hogy kinek a kezben lehet a telefon. Mindennek a célja a jelszó kiváltása. Meg kell hagyni, hogy általában véve sokat küzdünk a jelszavakkal, de ez nem jelenti azt, hogy az egész séma rossz; ott vannak például a jelszómenedzser alkalmazások, amelyek kisegíthetnek bennünket a gyenge, elfeledett, vagy újrahasznált jelszavak kátyúiból.
c
Új törekvések a privacy újrapozícionálására
|
|
2016.01.12. 05:32:22
Gulyás Gábor
Sokan abban látják a privátszféra védelem jövőjét, hogy az árral szemben úszás helyett inkább megpróbálják viszaszerezni az irányítást a felhasználónak. Erre eddig is léteztek megoldások, és úgy tűnik, hogy a javaslatok kezdenek megvalósulni. Az egyik CES kiállító például egy alapos kém alkalmazást készített, amelynek végül az lenne a célja, hogy egyedüli közvetítő legyen az adatokat igénylő és az adatalanyok között:
Neura gathers all this data in order to automatically provide notifications that it thinks will help its owner over the course of the day.
But the firm's ultimate goal is to offer its service to other apps, and act as a single secure channel for all of a user's personal data rather than having it handled by multiple parties, as is currently the case.
Ők ezt úgy képzelik el, hogy ők mintegy pénztárcaként vesznek részt a felhasználó életében, aki gyakorlatilag fizethet az adataival, hasonlóan a PayPal-hez. Végül is igazuk van: ma igyanez történik, csak a többség tudta és beleegyezése nélkül.
Egy másik probléma ma a privátszféra-védelemmel, hogy a legtöbb kormány ezt a saját ellenségének látja (vagy legalábbis láttatja), és számos politikus javasol olyan intézkedéseket, amelyek a digitális privátszféra védelmet ellehetlenítik. Ilyen például az a terv Franciaországban, betiltják a nyilvános wifi és TOR használatot, illetve minden szoftvernek kötelező lenne hátsó kaput ajánlania. Az efféle ötletek szinte azonnal számos kritikusra találnak. Ezt a két tábort igyekezne kibékíteni David Chaum, aki a TOR elvi alapjainak számító MIX-eket kitalálta.
Az alapötlet egy olyan MIX hálózatokra épülő megoldás, amely hatékonyan képes mobiltelefonokon is futni (tehát a jelenlegi rendszereknél gyorsabb, és jobban kíméli az erőforrásokat), miközben továbbra is magas megbízhatóságú anonimitást nyújt. Hogy az anonimitás ellenzőit is kiengeszteljék, a rendszer beépített kiskaput is fog tartalmazni, ám efölött nem az egyes országok képviselői rendelkeznek majd: egy felhasználó anonimitásának visszavonásához 9 ország adminisztrátorának kell majd egyöntetűen támogatnia ezt. Bár ez már jóbban hangzik, valószínűleg az új rendszernek így sem kell majd keresni a kritikusokat.
LocationGuard és az anonimitási paradoxon
|
|
2015.12.17. 05:16:25
Gulyás Gábor
Nem rég lehetőségem nyílt személyesen is beszélgetni a LocationGuard nevű böngésző kiegészítő (fő) fejlesztőjével, Marco Sonatival. Akik nem ismernék a programot: a LocationGuard egyszerű beállításokon keresztül lehetővé teszi, hogy elrejtsük a pontos tartózkodási helyünket a weboldalak elől, és egy közelítő helyet adjunk meg. Mindezt ahelyett, hogy a jelenlegi megadom/nem használom a szolgáltatást opciók közé lennénk szorítva.
A kiegészítő lehetőséget ad arra, hogy bizonyos körzeten belül zajosítsuk a tartózkodási helyünket, amelyet a program egy időre meg is jegyez (mobil böngészésnél nem hátrány). Marco mondta, hogy több felhasználó is jelezte (ők maguk nem gyűjtenek információt arról, hogy a felhasználóik hogyan használják a kiegészítőiket), hogy ők inkább a fix pozíciót használják. Ez esetben beállítják egy tetszőleges pontra a térképen magukat, és a kiegészítő segítségével a böngésző mindig ezt a helyzetet fogja jelezni, ha egy weboldal hozzáférést kér ehhez. Ez azonban nem túl szerencsés gyakorlat, ugyanis a világ túl nagy ahhoz, hogy könnyen egyedi pozíciót állítsanak be, amely a helyzetinformációhoz való hozzáférés után követhetővé teszi őket. Ezért amíg Marcoék nem javítják a fix pozíció választást pl. egy előre meghatározott csoportra, addig ezt a funkciót nem érdemes használni.
Ez a jelenség egyébként nem újdonság a PET-ek világában. Azok a felhasználók, akik egyedi módon próbálják a privátszférájukat védeni, gyakran belefutnak ebbe a problémába, amelyet anonimitási paradoxnak hívunk: a felhasználók ugyan sikeresen megvédik adataikat, de az új beállításaik annyira egyediek, hogy ez követhetővé teszi őket. (Pontosabban a tevékenységük összekapcsolhatóságát eredményezi.)
A TOR böngésző mégis követhető
|
|
2015.12.03. 09:46:11
Gulyás Gábor
A TOR anonim böngésző, kifejezetten azért fejlesztik, hogy anonim módon lehessen vele böngészni weboldalakat. Egy újonnan felfedezett hiányosságnak köszönhetően a TOR felhasználók mégis követhetőek maradnak, ugyanis egy beépített védelmi funkció egyáltalán nem működik.
A weboldalak ugyanis a számítógépre feltelepített betűkészletek lekérdezével egyedileg azonosítani tudják a látogatóikat, a webpoloskák pedig akár több weboldalon keresztül is. A probléma, hogy a számítógépre jellemző betűkészlet-lista egyedi, már régebbóta ismert, ezért a TOR fejlesztők úgy döntöttek, hogy korlátozzák a weboldalak által maximálisan elérhető betűkészletek számát 10-ben. Azonban, ahogy megmutattuk, ez a korlátozás nem működik egyáltalán a legutóbbi stabil kiadásban (5.0.4), és így a használói könnyen követhetővé válnak.
Erre a megoldást jelenleg azt jelentheti, hogyha a beállításoknál (Beállítások > Tartalom > Haladó) megadjuk, hogy a weboldalak ne használhassanak bármilyen betűkészletet, hanem csak az ott megadott négyet. Más beállítások nem oldják meg a problémát. Hiába állítjuk a TOR védelmi szintjét magasabb fokozatba, a legmagasabb fokozat is csak a JavaScript-ek alapértelmezett letiltásával nyújt átmeneti védelmet.
Az eredeti védelmi korlátozás ráadásul nem volt tökéletes, de más okból nem érhető el. Úgy tudjuk, hogy az új Firefox verziókba való átültetés során implementációs nehézségekbe ütköztek a fejlesztők. Mindeközben egy új megoldáson is dolgoznak, ami végleg megoldaná ezt a problémát: a TOR böngésző saját fontokat is hozna magával, és csak ezeket lehetne használni. Ezt azonban még nem sikerült olyan szintre fejleszteni, hogy a legutóbbi stabil változattal kiadhassák.
Titokban összesúg a tévé és az okostelefon
|
|
2015.11.17. 05:16:16
Gulyás Gábor
A hirdetők számára nehézséget okoz, hogy a potenciális célok több eszközt használnak, s emiatt a hirdetési kampányok megjelenítése pontatlan lehet. A SilverPush nevű cég új ötlettel állt elő a probléma megoldására: a reklámok hangjába az emberi fül számára hallhatatlan jeleket építenek be, amelyet az okostelefon rögzíteni tud, s ezáltal regisztrálni, hogy milyen reklámokat látott/hallott az illető. További részletek itt és itt.
Videó: adatóriások és adatbiztonság
|
|
2015.11.05. 11:00:50
Gulyás Gábor
Ezt a videót egy nyári munka során készítette Miklós Dávid 2014-ben (velem közösen, még a CrySyS Lab-ban), eredetileg egy sorozat próba részének szántuk, de végül csupán ennyi készült el. Bár ez még kissé nyers anyag, reméljük sok érdekességgel szolgálhat, és jó szórakozást kívánunk hozzá!
Adatóriások és adatbiztonság - 2. próba rész from Miklós Dávid on Vimeo.
Mouseveillance
|
|
2015.10.30. 14:10:20
Szerencsés Ákos
A web ingyenes, és emiatt legtöbbünk napi életének szerves részévé vált. Azonban az ingyenesség ára, hogy számos hírportál és egyéb weboldal hirdetésekből szerzi bevételeit. Ezek között is egyre népszerűbbek a személyre szabott hirdetések, amelyek a látogatók ízlésvilágához igazodnak, s mivel kevesen nyilatkoznának erről maguk, a hirdetők ezt az információt inkább rejtett megfigyelés útján szerzik meg az ún. webpoloskák segítségével. Ezzel kapcsolatban számos probléma felmerülhet, hiszen ha a felhasználó valahogyan tudomást is szerezne arról, hogy megfigyelik, a legtöbb esetben lehetetlen az adatgyűjtést megakadályozni vagy ellenőrizni (tudj meg többet itt: webpoloska.hu). Ráadásul a webpoloskák egyre trükkösebb módszereket alkalmaznak, amelyekkel szemben egyre nehezebb védekezni.
A Mouseveillance projektünk célja a webpoloskák egyik lehetséges azonosítási módszerének vizsgálata, miszerint a böngészés során az egérmozgás alkalmas-e az azonosításra. Ez ugyanis lehetővé tenné, hogy a hirdetők weboldalakon kövessék tevékenységeinket, még akkor is, ha például számítógépet váltunk. Ez rendkívüli hatással lenne a privátszférára, nagyon megnehezítené a megfigyelés elkerülését. Ezért az is célunk, hogy az ezzel kapcsolatos privacy-védelemi mechanizmusokra is megoldásokat keressünk.
A kutatásunk két fő fázisból tevődik össze. Az első fázisban olyan adatokat szeretnénk gyűjteni, amelyhez egy webpoloska is hozzáférhet bármely oldalon: az egérmozgás pontos menetére. A második fázisban az előzőleg gyűjtött adatokat elemezzük ki, és vizsgáljuk a web-használók azonosíthatóságát. A gyűjtéséhez támogatókat keresünk, akik feltelepítik a kísérletre kifejlesztett Firefox kiegészítőt és használják néhány hétig, vagy letöltik a Firefox portable csomagot.
Cserébe a résztvevőknek lehetőségük van visszatekinteni böngészéseikhez tartozó egérmozgásokat hőtérképek formájában az összes olyan weboldalon, melyen az adatgyűjtést aktiválták. Továbbá feketelistára helyezhetnek olyan oldalakat, amelyeket kizárnának az adatgyűjtésből, illetve a begyűjtött adatok közül utólag kiválaszthatják, mely oldalakhoz kapcsolódó tartalmat szeretnék törölni rendszerünk adatbázisából. E funkciók jelenleg tesztelés alatt állnak, de szabadon kipróbálhatóak.
Az adatgyűjtés névtelenül zajlik (minden telepítéshez véletlen azonosító párosul), és a begyűjtött adatokat is névtelenül kezeljük, és nem kíséreljük meg felfedni a támogató személy identitását sem.
Kérünk, hogy te is segítsd a munkánkat! Töltsd le a gyűjtésre előkészített programok egyikét, és használd a mindennapi böngészéshez (lásd: mv.webpoloska.hu/download.php). A portable csomag letöltésével akár az érzékeny munkameneteket is könnyen kizárhatod az adatgyűjtésből (mint banki vagy munkahelyi intranet oldalak). Az adatgyűjtési időszak lezárását követően az adatok elemzésével foglalkozunk, az eredményeket a későbbiek során publikálni tervezzük, először diplomaterv formájában, valamint az eredmények függvényében tudományos cikk formájában nyilvánosan is tervezzük közölni. Bővebb információ az mv.webpoloska.hu weboldalon található.
Nem minden privacy tipp "tuti"
|
|
2015.10.14. 05:30:00
Gulyás Gábor
A youronlinechoices.com weboldalt hirdetők hálózata üzmelteti, és például hirdetések beállításain keresztül juthatunk el hozzájuk, ha ki akarjuk kapcsolni, hogy a hirdetések személyre szabottak legyenek (azaz a megfigyelésünk alapján javasoljanak releváns hirdetéseket). Ugyanez a weboldal tartalmaz pár rendkívül élelmes javaslatot, hogy megerősítsük a privátszféránkat. Nézzük meg és cáfoljuk ezeket:
- "Az online viselkedés alapú reklámozás biztonságos és átlátható." Ha igaz volna, nem dolgozna számos kutató jelenelg azon, hogy ezt a területet legalább egy kicsit átláthatóbbá tegye. Csak egy nívós példát említsünk: a Data Transparency Lab sem finanszírozna sok ezer euróval (akár 50 000 EUR) ilyen projektet.
- "A hirdetők nem tudják, hogy ki a felhasználó, mert a gyűjtött információ nem alkalmas a felhasználó azonosítására." Nem igaz, számos tudományos cikk bebizonyította, hogy a viselkedési információk is kiválóan alkalmasak a személyes azonosításra.
- "Minden weboldal mely viselkedés alapú reklámozást támogat, leírja, hogy milyen módon és milyen felhasználásra gyűjt adatokat melyik szereplő számára." Nem igaz. Ha lenne ilyen látnánk, de a webpoloskák most is titokban működnek a felhasználók tudta nélkül, miközben elviszik a sávszélességet és az akksi jó részét.
- "A viselkedés alapú hirdetéseket kiszolgáló vállalatok minden esetben rendelkezésre bocsátják az opt-out (kijelentkezés, letiltás) funkcióról az információt." Akad, amelyik igen, de nem mindegyik. Általában ez épp elég bonyolult és körülményes ahhoz, hogy a felhasználók döntő többségét elijesszék.
- "A következő példa azt mutatja, hogy milyen módon lehet az Internet Explorerben 11 a biztonsági beállításokat kezelni." Majd itt egy olyan beállítást mutatnak, ami engedélyezi a harmadik féltől származó sütik elfogadását. Ez nekik fontos és nem nekünk. Az általuk említett nyelvi beállítások, belépési adatok példája csúsztatás, ugyanis ahhoz elég az első féltől származó sütik elfogadása!
Ehelyett a következőket TÉNYLEGES privátszféra-védelmi beállításokat javasoljuk. A legbzitosabb, ha valaki a Tor böngészőjét használja, de egy mezei Firefox vagy Chrome is felturbózható valamelyest:
- Használjon Ghostery, vagy más kiegészítőt (pl. NoScript haladóknak) a webes megfigyelés blokkolására. Ekkor tényleg mi dönthetjük el, hogy mit engedélyezünk és mit nem.
- Használjunk adblock-ot a reklámok kiszűrésére.
- A Flashblock pedig extra biztonságot nyújt megfigyeléssel és malware-kkel szemben egyaránt.
A következő bejegyzésekben pedig majd arról is fogunk írni, hogy nem feltétlenül kell ezek mellett attól tartani, hogy éhen halnak a weboldalak, amelyek hirdetésből élnek.
Privnote: önmegsemmisító üzenet olvasás után
|
|
2015.09.15. 05:59:32
Gulyás Gábor
A privnote egy webes üzenettároló alkalmazás, amivel időzített, egyszer olvasható üzeneteket lehet készíteni. Az elkészült URL-t utána pedig levélben tudjuk továbbítani.
Átláthatósági eszköz a hatósági lekérdezések követésére
|
|
2015.08.03. 05:20:01
Gulyás Gábor
A hatóságok mindenhol előszeretettel kérnek le adatokat a különböző szolgáltatók felhasználóiról, legyen szó telekommunikációs cégekről vagy webes szolgáltatásokról. Kanadában sincs ez másképp, csak 2011-ben 780 ezer felhasználó adatát kérték le a hatóságok a telekommunikációs cégekről. Kanadában azonban lehetősége van erről érdeklődniük az állampolgároknak, és a szolgáltatók kötelesek is erre válaszolni. Erre készítették az Access My Info eszközt, amely segít megfogalmazni a benyújtandó kérvényt, hogy azt biztosan ne lehessen formai vagy egyéb okok miatt elutasítani. Az ötletet üdvözöljük, ilyen eszközökre máshol is szükség lenne!
Trackography: nézd meg, hová kerülnek az adataid!
|
|
2015.07.27. 05:31:19
Gulyás Gábor
A Trackography segítségével egy interaktív térképen megtekintheted, hogy az egyes online médiumoktól melyik országba és milyen cégekhez kerülnek az adataid. Azt is megnézheted, hogy az egyes cégek mit művelnek az adatokkal, és milyen törvények vonatkoznak rájuk az adatkezelés illetően.
Hős vagy áruló? A Citizenfour c. film Magyarországon
|
|
2015.04.09. 10:30:55
Székely Iván
Nemsokára Magyarországon is látható lesz az Edward Snowdennel, az amerikai titkosszolgálat törvénytelen lehallgatási és megfigyelési tevékenységét nyilvánosságra hozó informatikussal konspiratív körülmények között készített interjúkon alapuló, Oscar-díjas dokumentumfilm, a Citizenfour. Az első szakmai vetítés ma este lesz az OSA Archívumban, ahol a vetítést megelőző beszélgetésben Skype kapcsolat útján részt vesz Anthony Romero, Snowden ügyvédje New York-ból, és Gill Phillips, az ügyet nyilvánosságra hozó brit napilap, a The Guardian vezető jogásza Londonból.
A forgalmazó tervei szerint lesz egy előzetes vetítés a Titanic Filmfesztiválon és több elővetítés fiataloknak divatos kocsmákban, bisztrókban.
A film magyar feliratos előzetese itt is megnézheto.
GreedyBTS: elkapja a hívásaid
|
|
2014.12.06. 10:42:51
Gulyás Gábor
A GreedyBTS egy olyan demó célzattal készült GSM bázisállomás, amely sikeresen magához csalja a hívásokat és lehetővé teszi a hívó fél identitásának felfedését, és a hívott számét is, illetve a beszélgetést is le lehet segítségével hallgatni.
Videó:
GreedyBTS - Hacking Adventures in GSM from Hacker Fantastic on Vimeo.
Videó: lehallgatás hangszigetelt üvegen keresztül
|
|
2014.11.30. 05:41:46
Gulyás Gábor
Julia Angwin: a gazdagoknak lesz csak privátszférájuk?
|
|
2014.11.26. 11:33:00
Gulyás Gábor
Az alább meg lehet nézni Julia Angwin előadását arról, hogy mit jelent majd, ha a privacy csak a gazdagok kiváltsága lesz. A hölgy egyébként ismert, a témában jártas szakújságírónak számít, és több színvonalas cikke jelent meg a WSJ-on a témában.
Hat részes sorozat arról, hogyan követ a mobilod (pár perces részekkel)
|
|
2014.11.18. 17:40:54
Gulyás Gábor
Alább meg lehet nézni az első részt, és a végén van link a következő részre ugráshoz!
Vicces: Invasion of the Data Snatchers
|
|
2014.10.31. 09:54:29
Gulyás Gábor
Privacy App - a leleplezett Orwell-i megfigyelés
|
|
2014.08.26. 05:42:32
Miklós Dávid
Mindössze alig 65 évvel ezelőtt, mikor Orwell megírta híres 1984 című regényét, még csak disztópia (negatív jövőkép) volt a mindent felügyelő állam, illetve az ezt megvalósító technológia, a telekép (televízióba épített kamera), ma azonban már a mindennapjainkban is elterjedtek olyan eszközök, melyek segítségével akaratunk ellenére hatolhatnak be a privátszféránkba.
Tovább (0 hozzászólás) Mire lehet jó egy online álidentitás?
|
|
2014.08.07. 05:34:19
Gulyás Gábor
Curtis Wallen érdekes kísérletbe fogott: létrehozta Aaron Brown-t, egy teljes egészében fiktív személyt, hamis jogosítvánnyal, autóbiztosítással, social security kártya másolattal, saját weboldallal, önálló pénztárcával (10 bitcoinnal feltöltve), stb. Vélekedése szerint lehetetlen feladatba fogott egy fiktív személy teljes felépítésével, de szerintem meglepően jól sikerült a kísérlete, és egyáltalán nem tűnik lehetetlennek a megismétlése. Ami viszont kevésbé tetszetősen kitűnik a leírásából, hogy milyen sok erőfeszítést igényel a valódi és egy fiktív identitás elválasztása, és így a digitális világban az újrakezdés. Ma már ez nem működik csupán TOR, és hasonló PET-ek használatával, számos szolgáltatás valódi identitást kér. Ezt egyes esetekben bemondással is meg lehet kerülni (pl. Facebook), de nem mindig.
A cikk végén azt is összegzi, miért is fogott a kísérletbe:
- mert a web erős tervezett befolyással van ránk, amiről néha mi is értesülünk,
- mert az amerikai kormány is befolyásolni szeretné az emberek véleményét (a hagyományos médiában ezt is itthon is gyakran látjuk),
- mert egyes cégek megválogathatják a lehetőségeinket az alapján, amit kifürkésznek rólunk.
Ezek mind annak a jelei, hogy mi történik, ha feladjuk a privátszféránkat: elveszítjük a szabadságunk egy részét, és lehet, hogy mi magunk se fogunk tudni erről.
Új követésre használt ujjlenyomat technika terjed a weben, a canvas fingerprint
|
|
2014.07.24. 05:23:00
Gulyás Gábor
Egy új tanulmány jelent meg a közelmúltban, amely a permanens tracking cookie-k (evercookie), és a süti-cserélgetés elterjedtsége mellett felmérte az ujjlenyomat technikák egyik ismert módszerének, az ún. canvas fingerprinting-ét is. Ezen technika alapelve, hogy a háttérbe rejtve a meglátogatott weboldalon egy webpoloska a HTML5 canvas elemére renderel egy szöveget vagy más ábrát, és a renderelési idő és a létrejött kép egyéb tulajdonságai alapján egy ujjlenyomatot készít a számítógépnek.
A KU Leuven és a Princeton munkatársai a top 100 000 weboldal több mint 5%-ánál találtak ilyen jellegű nyomkövetést, míg az eddigi felmérések 1% alatti elterjedtségről zámoltak be. Ezek igen jelentős része az addthis.com közösségi toolbar szolgáltatóhoz vezetett vissza, aki el is ismerte ezt. A cikk szerzőinek a célja a problémára való figyelemfelhívás volt, hogy szülessenek jobb eszközök, amelyek az efféle technikáknak is ellene állnak. Pedig nem csupán TBB (Tor Browser Bundle) segítségével lehet védekezni, például a Ghostery is rendelkezik pár mintával, ami ezeket szűri (minták itt).
Érdeklődök letölthetik az érintett forráskódokat, gyűjtött adatokat is, és a szerzők interaktív felületén is elmélyedhetnek a részletekben.
A dailymail írása a tanulmányról itt olvasható.
CV Dazzle: stylist technika arcfelismerés ellen
|
|
2014.06.18. 05:29:59
Gulyás Gábor
A CV Dazzle célja, hogy olyan stílusokat ajánljon, amelyek divatosak, vállalhatóak, és legálisak (maszkok viselete például nem mindenhol megengedett). Hasonló koncepcióval készítik a már ténylegesen PET-nek számító Privacy Visor szemüveget.
Válogatás a privátszférát érintő hírekből
|
|
2014.04.11. 05:34:52
Gulyás Gábor
Egyesek előszeretettel hangoztatják, hogy a privátszféra korának vége és felesleges az online megfigyeléssel foglalkozni. Ebben folyamatban a Facebook és Google is élen jár, de egy online felmérés alapján úgy tűnik sokakat aggaszt, amit csinálnak a személyes adatokkal.
Pedig eleve jó kérdés, hogy ki bizonyos adatok tulajdonosa, hiszen több olyan adat típus van, aminek nincsen deklarált tulajdonosa, mint például az, hogy ki kinek az ismerőse – ez esetben mindkét fél érintett, egyik sem deklarálható tulajdonosként. A lifehacker cikkje kicsit mélyebbre ás az ennél egyértelműbben kezelhető információk tekintetében (azaz amelyeknek mi vagyunk a tulajdonosai). A probléma alapja az, hogy az információ nehezen birtokolható, és így eleve nehezen szabályozható, hogy ki-mit figyel meg.
115 japán üzlet a biztonsági kamerák által készített vásárlói arcképet automatikusan megosztja egymással. Indoklás: lopások háttérbe szorítása. Igen. Aztán ha mindenki kellően hozzászokott, jöhetnek az üzleti alkalmazások.
Ma sokan használnak reklám blokkolókat, de változhat a helyzet. Egy interjúban az IAB magas beosztású munkatársa olyan víziót feszeget, amikor a tartalomhoz csak akkor férhetünk majd hozzá, ha a reklámok is megjelennek. Adblock esetén nincs tartalom sem. Sajnos az egyik fő probléma ezen a területen éppen a kölcsönös együttműködés-kommunikáció hiánya, a hirdetőket nem túlzottan érdekli a webhasználók véleménye vagy privátszférája.
A Yahoo a hirdetők miatt nem tudja bevezetni minden oldalán a HTTPS-t
|
|
2014.04.07. 05:20:10
Gulyás Gábor
Amióta kiderült, hogy a Google és a hasonló szolgáltatók nem titkosítják az adatközpontjaik közötti forgalmat és ezt az NSA ki is használta, a titkosítatlan webes kommunikációra, így például a HTTPS alapértelmezett bevezetésére is nagyobb figyelem irányult. Valamint azt is nagy figyelem övezi, hogy az egyes szereplők, mint a Yahoo, Google, Microsoft, mit titkosítanak alapértelmezetten és mit nem.
Most úgy tűnik, hogy a Yahoo komoly lépéseket tesz ez irányba, azonban ők sem tudják megoldani, hogy valamennyi oldalukon egységesen a HTTPS legyen az alap. Ehhez ugyanis valamennyi hirdető partnerüknek is HTTPS-en keresztül kellene elérhetővé tenni funkcióikat, ám ez nem megy olyan egyszerűen. Sőt, Askhan Soltani úgy tippeli a blogjában, hogy ahány érintett van az ügyben, ez még akár öt évig is eltarthat.
Az egész ügyet pedig azt teszi igazán pikánssá, hogy a privátszféra védelmében amúgy sem érdekelt reklámhálózatok miatt marad nyitva az ajtó az állami megfigyelés előtt, még ha részlegesen is.
Ön szerint a Facebook like mire való? Olvassa el, miért nem arra!
|
|
2014.02.12. 05:39:49
Gulyás Gábor
Amikor a weben megjelentek a like gombok, az első között írtunk róla, hogy ez a közösségi élményen kívül még arra lesz jó, hogy a Facebook a saját birodalmán kívül is követhesse (jelenlegi és akár leendő) felhasználói tevékenységét. Aztán a gombok terjedtek, és mások is elkezdtek hasonlóan ténykedni. Végül kiderült, hogy mekkora is a Facebook adatok iránti éhsége, hiszen aktívan törekszik az offline világ adatforrásait is rendszerébe integrálni.
Nos, a Facebook leplezetlennek eddig sem nevezhető tevékenységét más forrás újfent megerősíti. Az online hirdetésipart felfedő kutatásban a Facebook is megjelenik, és nem csupán egy zs kategóriás szereplőként. Hogy hogyan lehet a Facebook a saját határain kívül is ilyen erős szereplő? A like gombokkal! Ezekkel saját profilt építhet a nem regisztráltakról is, amelyet aztán értékesíthet az aukciói során.
A Facebook like-gombok nyújtotta kapacitásáról képet kaphatunk ha hozzámérjük a cég erejét a vetélytársakéhoz. [Forrás]
A kutatásban résztvevők 91%-ánál detektálták a Facebook-ot aukció (pontosabban Cookie Matching) végrehajtásában, és a mérésekben a Facebook a felhasználók össz tevékenységének 27%-ára rendelkezett rálátással. A fentebbi két táblázatból további hirdetők hasonló értékei közül mazsolázhatunk, mint például a DoubleClick (Google), Bing (Microsoft), Amazon, Twitter – úgy látszik a nagyok közül senki sem szeretne kimaradni.
Most megtudhatja, mennyiért adják-veszik az adatait!
|
|
2014.02.05. 08:29:49
Gulyás Gábor
A weben és a mobilos világban egyre inkább domináns szisztéma szerint a szolgáltatások, alkalmazások ingyen vannak, és mi vagy az adatainkkal fizetünk (azaz megengedjük, hogy megfigyeljék tevékenységünket), vagy a képernyőnk egy területével, ahol reklámozhatnak.A legpofátlanabb persze az, amikor a felhasználónak eleve fizetnie kell, és még az előbbi módszerekkel is pénzt csinálnak belőle a másik oldalon. Valahogy úgy, amikor valaki megvesz kb. 200e Ft-ért egy iPhone-t, majd ez után az Apple még évekig pénzért eladja őt a hirdetőknek.
Egy friss tanulmány szerint a felhasználók $5-t lennének hajlandóak fizetni egy alkalmazásért, csak ne figyeljék meg őket, és reklámokkal se tegyék tele a képernyőt. Egy másik 2011-es tanulmány szerzői pedig arra jutottak, hogy egy felhasználó 7 EUR értékűre becsüli, hogy az éppen meglátogatott weboldalon felfedjék jelenlétüket. Vajon mennyire becsülhetjük, ha egy weboldalon egy másik weboldalon tett látogatást kellene mondjuk elismerni? Az előbbiek alapján ez akár több, mint tíz euró is lehetne, de egy biztos: ezek a számok igencsak messze esnek a valóságtól.
A Privatics kutatócsoport tanulmánya alapján egy felhasználó teljes böngészési előzménye nagyjából $0,0005 értékért cserél gazdát (igen, ez mindössze huszad dollárcent, azaz kb. tíz fillér!), azaz egy hirdetőnek ennyit kell fizetnie, hogy megismerje a felhasználó böngészési előzményeit és hirdetést is megjeleníthessen a képernyőjén (az épp látogatott weboldalba ágyazva). Ráadásul ez az ár több tényező függvénye.
Ahol a piacok kisebb vásárlóerővel bírnak, ott ez az érték is kisebb. A tanulmányban közölt mérések szerint az USA-i felhasználók profiljai $0,00069 értékűek voltak, míg a Francia és Japán profilok rendre csupán $0,00036 és $0,00024 összegért "keltek el". Ráadásul ezek az értékek az idő függvényében is változtak: reggel egy profil többért kel el (USA esetén pl. $0,00075), mint este ($0,00062), de hirdetőnkét változhat, hogy milyen felhasználókért hajlandó többet fizetni.
Rövid privacy hírcsokor
|
|
2014.01.30. 05:00:22
Gulyás Gábor
Az IT world cikkje nem csak a manapság hangzatos privacy problémákkal riogat. Azért nem ezzel indít, hanem leírja, hogy a technológia fejlődése ugyan üdvözlendő dolog, de mindig akadtak páran, akik másra használták az újdonságokat, mint amire eredetileg szánták. Ma ugyanezt láthatjuk sokszor privacy vonatkozásban. A megszokotttól igen eltérő privacy-invazív újításokat gyűjteményében szerepel a távoli ujjlenyomat leolvasó, az 50 méter hatótávú molekuláris scanner (pl. robbanóanyag keresésre szánják), mikrofonnal felszerelt okoslámpák (közterület világítás), és további érdekességek.
Ki gondolkodott már azon, hogy vajon mennyit ér a hirdetőknek az online profilja? Ez a cikk kb. fél-egy USD cent értékére becsüli, ami elég kevés, ahhoz képest, hogy mennyit tudnak a cégek keresni vele. A Google és Facebook kapcsán 5-20 USD-re becsülik a keresményt profilonként, ami azért nem kis haszon.
(A technológia ilyen olcsóvá teszik a megfigyelést, ezek a cégek csak kihasználják ezt a rést. Egy korábbi cikkünk az állami megfigyelés olcsóbbá válásáról szól.)
A paymefacebook.com alapján nem mindenki elégedett a Facebook üzleti modelljével. :-)
A tömeges megfigyelés a technológia ára?
|
|
2014.01.18. 05:14:16
Gulyás Gábor
A technológia fejlődése, terjedése és olcsóbbá válása a megfigyelést is könnyebben alkalmazhatóvá teszi. Ez nem csak a különféle kormányok internetes tevékenységére igaz. Kevin Bankston és Ashkan Soltani friss cikkjében az "offline" világban végrehajtott megfigyelések költségeit becsülték meg. Mivel a hagyományos megfigyelési technikáknál (pl. autós követés) 20-50x olcsóbb ha a különböző jeladókat használják, ez nem csak megkönnyíti az állam dolgát, de sajnos az efféle megfigyelések tömeges bevetését is lehetővé teszi. A Forbes cikkét erről itt lehet elolvasni.
Az ofline és online világ találkozásában is olcsóbban kivitelezhető a megfigyelés; gondoljunk csak az internetes adatbázissal működő arcfelismerése. Már évekkel ezelőtt sikerült egy kampuszon felállított webkamerával a hallgatók 31%-át azonosítani a Facebook-os fényképeik segítségével. Egy fokkal merészebb projekt a NameTag, ami egy Google Glass-hez készülő arcfelismerő alkalmazás, ami automatizálja a kísérletben végrehajtott mechanizmust.
Várhatóan a testen viselhető eszközök terjedésével a privacy-invazív eszközök, alkalmazások is nagyobb mértékben el fognak terjedni, ahogy a fenti esetekben is történt. A kérdés az, hogy az ezekkel érkező problémákat megtanuljuk-e előre kezelni, vagy csak utólag okulunk majd a hibákból? (ha egyáltalán ez a pont elérkezik)
2013 top tech témái - a privacy kiemelten megjelent közöttük!
|
|
2014.01.07. 05:10:53
Gulyás Gábor
A TechPolicy összegyűjtötte azokat a tech témákat, amelyek 2013-ban főszerepet kaptak. Ezek alapján látható, hogy 2013-ban a privacy még kiemeltebb szerepet kapott, és várhatóan ez csak fokozódni fog idén is.
Node melyek is voltak ezek 2013-ban? (A könnyebb egyeztethetőség kedvéért a pontokat számát és nevét meghagytam, de az utána a saját megjegyzéseimet írtam.)
(1) NSA Surveillance. A privátszféra-védő megoldások használóra sok esetben űrlényként tekintettek, de az NSA megfigyelési botrány jelentősen hozzájárult, hogy ez a negatív prekoncepció elkezdett megváltozni. Nem azért használunk ilyen eszközöket, mert rejtegetni valónk van, hanem mert nem egy függönytelen ablak előtt kívánjuk élni az életünket.
...
(3) Bitcoin. Ugyan a tavaly nagy népszerűségre szert tévő fizetési eszköz jövője igen bizonytalan, de legalább van egy ígéretes alternatíva, amely segítségével valóban név nélkül fizethetünk.
(4) Drones and robots. Hazánkban egyelőre nem túlságosan elterjedtek, de a fizikai privátszférát kénytelenek leszünk újraértelmezni, amikor elterjednek – amikor a magas kerítés sem véd a kíváncsi szemek elől (ilyenkor nem feltétlenül csak a paparazzikra, hanem egyszerű köztörvényes bűnözőkre is gondolhatunk, mint a tolvajok), és a tizedik emeleten is számolnunk kell azzal, hogy egyszer csak benézhet valaki az ablakon.
...
(6) Commercial privacy. Erről a témáról rendszeresen írunk a PET Portál indulása óta, és a tavalyi évben sem állt meg ezen a téren az élet. Elég csak néhány kapcsolódó kulcsszót áttekintetünk.
(7) Fairness and algorithms. Sokszor nem tudjuk vagy nem látjuk át, mi alapján kapunk ajánlásokat egy weboldalon, vagy más esetben hogyan befolyásolják döntéseinket, választásainkat. (Például gondoljunk arra, amikor a hitelkérelmet befolyásolhatják a Facebook-os kapcsolatok, vagy amikor a hotelszoba kínálatot a feltételezett anyagi hátterünk.) Ez a probléma tavaly szerencsére többeket foglalkoztatott, ami javulást hozhat ezen a téren.
(8) Cell phone unlocking. A mobiltelefonunk erőteljesen beintegrálódott a privátszféránkba, így joggal várhatjuk el, hogy nagyobb kontrollt akarunk elérni felette, és ha kell, például tűzfalak telepítésével blokkolhassuk az egyes alkalmazások tevékenységét.
...
Végeredmény: a összesen 6 pont érintett, ez elég jelentős arány – kíváncsi vagyok, jövőre feljebb kúszik-e az érintett területek száma.
Infografika: NSA adatgyűjtés
|
|
2013.11.15. 05:01:01
Gulyás Gábor
Persze ez a kedvezőbb eset, USA polgárokra vetítve (a külföldiek még annyi joggal sem rendelkeznek).
Mit jelent az NSA megfigyelése a gyakorlatban?
|
|
2013.11.12. 04:54:25
Gulyás Gábor
Don´t get Scroogled: működött a félelemkampány
|
|
2013.10.29. 05:09:31
Gulyás Gábor
A HVG írta:
Talán emlékeznek még a nagy vihart kavart Scroogled kampányra, amelyben a Microsoft azért állította pellengérre a Google-t, mert az rajta tartja a szemét a felhasználók levelein, keresésein, és annak megfelelően bombázza őket hirdetésekkel.
...
Az egyik, reklámhatékonyságot vizsgáló cég, az Ace Metrix kutatása mindezek után meglepő eredményt hozott: a Scroogled kampány hatékony volt, méghozzá a Microsoft szempontjából. A korábban Google-t használók 53 százaléka állította ugyanis, hogy kipróbálja a Binget, vagy legalábbis elkezd közelebbről is tájékozódni róla.
Azért nagyon meglepődnék, ha a Microsoft szennyesét alaposabban megvizsgálva nem derülnének ki roppant hasonló dolgok. Hiszen a legtöbb cég nem a hardver eladásából és a szolgáltatások közzétételéből akar megélni, hanem a felhasználóikat akarják értékesíteni, mert az hosszú távon is pénzt hoz, és több bőr is lehúzható így a "termékről". Az volna a meglepő, ha a Microsoft nem kacsingatna ebbe az irányba.
A kormányzati megfigyelési vonalon már pedzegetik, hogy azért ők sem feddhetetlenek, ugyanis a Windows 8 kapcsán felvetődött a gyanú, hogy beépített kiskapuval rendelkezik.
A Shodan legalább arra jó, hogy tükröt tartson elénk
|
|
2013.10.18. 06:03:07
Gulyás Gábor
Mert látványosan megmutatja, milyen szinten állunk biztonság és privátszféra-védelem tekintetében. A kép után a Forbes gyűjteménye következik.
Az NSA botrány innen már csak egy absztrakciós szinttel van feljebb. :-)
Mit figyel meg az NSA?
|
|
2013.10.07. 06:00:55
Gulyás Gábor
Az NSA elsősorban a webes forgalom egy egész kis részét vizsgálja (saját kiemelés):
The seven-page document, titled "The National Security Agency: Missions, Authorities, Oversight and Partnerships", says the agency "touches" 1.6% of daily internet traffic – an estimate which is not believed to include large-scale internet taps operated by GCHQ, the NSA's UK counterpart.
The document cites figures from a major tech provider that the internet carries 1,826 petabytes of information per day. [...] "In its foreign intelligence mission, NSA touches about 1.6% of that," the document states. "However, of the 1.6% of the data, only 0.025% is actually selected for review.
"The net effect is that NSA analysts look at 0.00004% of the world's traffic in conducting their mission – that's less than one part in a million."
Azonban a meta-információk nem foglalnak sokat. Szóval ez akár rettentő sok információ is lehet, és elegendő a teljeskörű megfigyeléshez (nem véletlen, hogy ilyesmit gyűjtenek az EU-ban is Data Retention címen). Bruce Schneier – kissé leegyszerűsítve a dolgokat – odáig is elmegy, hogy egyenlőségjelet tesz a megfigyelés (surveillance) és a meta-adatok gyűjtése közé. Van benne valami.
Aki kíváncsi, mi minden tartozik bele a meta-információk körébe, nézze meg a Guardian kisokosát:
A valóság most sem fekete-fehér: az NSA kistestvérei
|
|
2013.09.13. 05:37:41
Gulyás Gábor
Egy előző bejegyzésben az NSA megfigyelési képességeiről írtam, és most ehhez kapcsolódóan szeretném kissé árnyalni a képet a problémakör EU-s, hazai és gazdasági szereplőinek tevékenységének bemutatásával. Ugyanis ezeket a szereplőket nem tekinthetjük a nagytestvér mellett elhanyagolható méretűnek, csak kevesebbet hallunk róluk, mert sajnos keveset is tudunk a pontos működésükről.
Tehát, hazai pályán mi is a helyzet? Az EU bevezettette a Data Retention direktívát (DRD), aminek köszönhetően a tagállamok többségében kötelező a legtöbb digitális kommunikációs forma automatikus "lehallgatása" (pl. vezetékes- és mobiltelefon, email), hazánkban 2009-ben vezették be. Még van pár ellenálló állam, akik várnak a bevezetéssel, mint Ciprus vagy Németország, de ez nem jelenti, hogy ezekben az államokban egyáltalán nincs online megfigyelés, hanem csak annyit, hogy ez más keretek között zajlik.
Mivel a DRD csupán ajánlás, így alul nem, de túlteljesíteni lehet: például előírja, hogy az email küldésnél a küldő-fogadó párost és a tárgy sort eltárolják, de a törzs részt nem. Azonban a túlbuzgóság megengedett, ezt is eltárolhatják. Sajnos nem láttam még olyan dokumentumot, cikket, ami a hazai helyzetet mutatná be, hogy az egyes szolgáltatók pontosan mit "hallgatnak le", és hogyan tárolják az adatokat (például mennyire nehéz illetékteleneknek hozzáférniük). Még 2008-ban a CEU-n volt egy nemzetközi workshop, ahol egy csehországi szakember szerint az egyik internet szolgáltató önszorgalomból a web böngészésről is tárol információkat (mert nem a direktíva része). A hazai érintett cégek vélhetően a "nép haragjától" tartva inkább nem nyilatkoznak maguktól.
Amiről egyik nagytestvér kapcsán sem esik szó, mégis témába vág: az a gazdasági célú megfigyelés. Ebbe az internethasználók szokásainak, ízlésének, anyagi helyzetének felmérése tartozik bele, amelynek a célja lehet a személyre szabott reklámok megjelenítése, döntések és lehetőségek befolyásolása, vagy akár a dinamikus árazás, amikor a látogató zsebéhez/érdeklődéséhez szabják az árakat (ez utóbbi az EU-ban mondjuk tilos). Mindebben óriási üzlet van, becslések szerint az online hirdetési iparág tavaly 37 mrd. USD bevételt könyvelhetett el (pedig ez csak egy ágazata a problémának), így ezen megfigyelési típus hátulütőit könnyebben érzékelhetik az áltagos web-használók is.
Amerikai kutatók úgy becsülik, hogy bizonyos megfigyelők az emberek online tevékenységének több, mint 20%-át is látják – a felmérések egyértelműen erre utalnak, ugyanis a top weboldalak ijesztő mértékben be vannak "poloskázva". A kutatók az Alexa top 500-ban 524 különböző megfigyelőt azonosítottak, és összesen 7264 poloskát találtak. Más kutatások pedig a közösségi gombok elterjedtségét 35%-ra teszik a top 10 000 oldal között: ugyanis a Like, Tweet, +1 gombok éppúgy poloskaként működnek, mint a rejtett társaik.
A nagy testvér tehát létezik! De mit tehetünk? NSA-botrány összefoglaló.
|
|
2013.09.10. 05:55:38
Gulyás Gábor
Elég sok információ derült ki a PRISM ügy kapcsán már csütörtökig, és akkor gondoltam, hogy írok egy – kissé spekulatív – bejegyzést arról, hogy mire lehet képes az NSA, illetve mit lehet a megfigyelés ellen tenni. Mire elkészült volna, újabb információk kavarták fel a web vizét, jóval kevesebb spekulációra adva lehetőséget: már tudjuk, hogy az NSA bizonyos titkosított forgalmakat/üzeneteket is képes elemezni, megfigyelni. Szerencsére nem arról van szó, hogy feltörték volna a kriptográfia alapjául szolgáló algoritmusokat, hanem gondoskodtak róla, hogy a lehető legtöbb implementációban és szolgáltatónál legyenek kiskapuk, amikor "be szeretnének kukucskálni".
Korábban is lehetett sejteni, hogy a szuperszámítógépek ("adversary is capable of a trillion guesses per second") és az órási szakértői tudás ellenére sem képesek mindenütt permanens megfigyelést végrehajtani (bár behatolni valószínűleg igen, csak ezek a célzott támadások elég körülményesek, rizikósak és túl sokba kerülnek a tömeges alkalmazáshoz).
Ezért az NSA a könnyebb utat választotta: megegyezett a nagyobb cégekkel, hogy biztosítsanak a megfigyeléshez felületet, illetve telekommunikációs szolgáltatókkal is keresték a partneri kapcsolatot, szoftver készítő cégeknél pedig kiskapukat építtetek a termékekbe. Ez utóbbi ráadásul nem is rizikós: zárt kódú szoftvereknél a lebukás esélye minimális, és ha meg is történne, úgy intézték, hogy hibaként lehessen elmaszatolni a felfedezett gyengeséget (pl. protokoll változóinak befolyásolása, rossz véletlengenerátorok).
Ezt támasztja alá a Silent Circle nevű cég biztonságos email szolgáltatásának hirtelen leállítása. A cég mielőtt megkereshették volna őket a kormánytól (a botrány kezdete óta közel 400%-os növekedésük volt), inkább leállították a szolgáltatást és az adatokat törölték. Ugyanis ez esetben kénytelenek voltak belelátni a levelezésbe a protokoll nyíltsága miatt, míg más szolgáltatásaiknál end-to-end titkosítást alkalmaznak.
Emellett voltak törvényi törekvések a "lefedettség" növelésére (illetve szakmai is, ld. a 2013-as célkitűzéseket), erre utal az is, hogy törvényileg szerették volna az USA-ban is jelenlévő cégeket kötelezni a lehallgathatóságra, amit ha egy cég elmulasztana, napi 25 000 USD lenne a büntetése. Ez a törvény egyféle catch-all-ként működne: külön pénzkiadás nélkül be tudnánk poloskázni a fennmaradó cégeket, hiszen mindenki automatikusan partnerré válna (csak szemben a PRISM résztvevőkkel, ezek a cégek mindezt ellenjavadalmazás nélkül tennék, így olcsóbb az államnak).
Mit lehet tenni? A nyílt forráskódú kriptográfiai és PET technológiák kevésbé vannak kiszolgáltatva manipulációnak és nagy mennyiségben ezt nem tudja az NSA sem lehallgatni, így ilyen eszközöket érdemes használni. A következőket ajánljuk (egyeseket Bruce Schneier is használ és ajánl): KeePass, TrueCrypt, Thunderbird + Enigmail + GnuPGP vagy GPG, Tails, OTR, BleachBit. És persze nem érdemes gmail-es címet használni. :-)
Akit érdekel a téma, tudom ajánlani Bruce Schneier útmutatóját az online privátszféra megerősítéséhez. Ez a cikk nem csupán végigveszi az előzményeket (linkekkel) és bemutatja a fennálló helyzetet, hanem konkrét javaslatokat is tartalmaz, illetve a végén Bruce említ néhány PET-jellegű szoftvert, amit ő is használ, mióta a botrány tart (némi átfedésben a fentebbi listával). A theguardian ezen kívül még további érdekes cikkeket is közölt, amit érdemes elolvasni.
UPDATE (2013-09-10 13:35): mivel a TrueCrypt-et azért éri némi – akár óvatosságra intő – kritika, alternatívaként érdemes körbenézni a további lehetőségek között.
Amikor a hirdetőnek több kell a lelkedből...
|
|
2013.08.21. 05:06:54
Gulyás Gábor
Olyan világban élünk, ahol a digitalizálódó környezetünk által egyre többen akarnak belelátni a magánéletünkbe, ami a hirdetési iparnak pénzt hoz: akik az elsők között vezetik be ezeket a funkciókat, jelentős többletbevételhez jutnak versenytársaikhoz képest. Aztán ez az előny egy idő után elmúlik, de a vesztes oldalon az elejétől kezdve ugyanaz marad: a fejőstehén szerepét játszó adatalany. Akiről következő lépésben egy újabb bőrt húznak majd le, mert a bevételnek növekednie kell, és a piacon sem áll meg a verseny.
A napokban felröppent két érdekes hír, amelyek alapján új frontok megnyílására számíthatunk. Az egyik a közösségi médiában erősödő érzelem naplózásról számol be, miszerint egyre több szolgáltatásban van lehetőség ezt is feltüntetni a közlendő mellett (Facebook, bit.ly). A szolgáltatók arra számítanak, hogy algoritmusok helyett a felhasználókra hagyatkozva pontosabb információkhoz juthatnak majd, ami végül a magasabb hirdetés átkattintási rátát fogja eredményezni.
A másik potenciális húzása a hirdetési iparnak talán már beleillik a hátborzongató kategóriába, ez pedig a pay-per-gaze. Azaz a hirdetőnek nem a megjelenítés, vagy az átkattintás után kell fizetnie, hanem azután, hogy valaki hányszor tekint rá a hirdetőfelületre. Ez nem csupán egy újabb terület meghódítását jelenti, hanem egy nagyon komoly (és durva) behatolást a személyes privátszférába.
Ha valakit érdekelnek apróbb hírek, érdekességek, amelyekből nem mindig születik blogbejegyzés, kövessen Twitter-en!
Érdekesség: wifi megfigyelő hálózat szinte fillérekből is építhető
|
|
2013.08.16. 05:30:09
Gulyás Gábor
Egy amerikai kutató mindössze 57 USD egységáron olyan készülékekből épített megfigyelő hálózatot, amelyek a wifi jelek alapján képesek követni a jelkibocsájtó eszközök mozgását. A 10 egységből álló tesztrendszerhez aggregátor és megjelenítő alkalmazás is készült, s így okostelefonok vagy egyéb eszközökkel felvértezett emberek mozgását volt képes megjeleníteni (bár a kutató állítása szerint csak saját magán kísérletezett, tekintve hogy odaát mostanában divat perelni a biztonsági kutatókat).
A wifi azonosítók (pl. MAC) segítségével pedig elég sok minden megfigyelhető, attól függően, hogy mekkora területet képes lefedni az elküvető. A rendszeres észlelésekből kikövetkeztethető, hogy valaki merre utazik (munkába/munkából/ebédelni/stb.), hol lakik/dolgozik (ami már önmagában egyedileg azonosít), esetlegesen milyen szokásai vannak. És mivel tavaly sikeresen azt is demonstrálták már, hogy a megfigyelt azonosítók is deanonimizálhatóak, így akár személyes megfigyeléssé is fajulhat a dolog. Érdemes tehát a Wifi-t akkor bekapcsolni, ha szükségünk van rá.
A dolog pikantériája, hogy a wifi csak egy a lehetőségek közül. Például ezeket az eszközöket BlueTooth, RFID követési képeségekkel is fel lehetne vértezni, és így növelni megfigyelési képességüket. Ezeket nehezebb is korlátozni, hiszen RFID matricák lehetnek a frissen vásárolt termékekben, vagy akár ruhába varrva is, és ezeket nem mindig olyan könnyű deaktiválni.
Privacy hírcsokor
|
|
2013.07.29. 11:44:51
Gulyás Gábor
Eric Schmidt szerint ha van valami, amit nem szeretnénk mások orrára kötni, akkor lehet, hogy nem is kellene azt csinálnunk. Ezek alapján azt hihetnénk, hogy ez a 'valami' csak bűn lehet, pedig az embernek alapvetően szüksége van privátszférára: szükséges, hogy önmagunk lehessünk – mindamellett, hogy a szennyes elrejtésére is lehetőséget nyújthat. Úgy tűnik, hogy inkább ez utóbbi miatt, de ma már Eric Schmidt is szeretne egy kis privacy-t. [A privacy fontosságát illetően bizonytalan, illetve a mellette érvelni szándékozó Olvasóink számára ajánljuk ezt a cikket.]
Néhány hacker sikeresen demonstrálta: a túldigitalizált autók felett könnyű kívülről átvenni az uralmat. Ezek azonban olyan esetek, amikor közvetlenül a bőrén tapasztalja meg a sofőr és utasai a veszélyt (ún. aktív támadások) – azonban azok az esetek is legalább ilyen súlyosak, noha sokkal alattomosabbak, amikor csak megfigyelnek egy autót távolról. Így például könnyebben tervezhető meg egy betörés, vagy a szándékos baleset okozása.
Ítélet ugyan nem született, de a PulseNet nevű hirdető cég 1 millió USD-t fizet peren kívül, mert célzott hirdetések aggresszív terjesztésén érték tetten őket. Mivel ők komolyan veszik a felhasználók privacy-jét, az előbbi gyakorlatot beszüntették, és kárpótlást fizetnek tettükért. Ugyanis nagyjából három éven át úgy kerülték meg Safari felhasználók third-party süti blokkoló mechanizmusát, hogy JavaScript segítségével hirdetés-kattintásokat szimuláltak.
GSM lehallgatása - az ehavi slágertéma
|
|
2013.07.24. 05:48:01
Gulyás Gábor
A hónapban a GSM lehallgatás kapcsán már volt egy bejegyzésünk, ami szerint könnyű hamis bázisállomást építeni. (Kapcsolódó érdekesség jelent meg az ATV.hu-n, ami a hivatalos hazai lehallgatás lehetőségeit, jogi szabályait boncolgatja.) Újabb eseményeknek köszönhetően a nemzetközi sajtó ismét felkapta a témát:
Nohl, who will be presenting his findings at the Black Hat security conference in Las Vegas on July 31, says his is the first hack of its kind in a decade, and comes after he and his team tested close to 1,000 SIM cards for vulnerabilities, exploited by simply sending a hidden SMS. The two-part flaw, based on an old security standard and badly configured code, could allow hackers to remotely infect a SIM with a virus that sends premium text messages (draining a mobile phone bill), surreptitiously re-direct and record calls, and — with the right combination of bugs — carry out payment system fraud.
Ki tudja, mi jön még, mielőtt kivonják a piacról? :-)
GSM, az állandó túlélő?
|
|
2013.07.19. 06:04:54
Gulyás Gábor
A GSM már évek (évtiezedek? :-) ) óta több sebből is vérzik, de valamiért mindig talpon marad, és talán széleskörű elterjedtsége miatt nem kukázzák a szolgáltatók a technológiát. Most egy újabb gyengeségére derült fény, de valószínűleg ez sem fog változtatni a helyzeten:
"Az a legszebb az egészben, hogy a hekkeléshez szükséges egyetlen különleges hardver egy teljesen hétköznapi femtocella, amit 250 dollárért bárki megvehet a Best Buy áruházban. Ez a femtocella eredetileg azt a célt szolgálja, hogy aki magas építésű házban vagy civilizációtól távoli tanyán él, az a segítségével javítani tudja a mobilhálózati lefedettséget. A kütyü gyakorlatilag egy miniatűr bázisállomás, amit az ember a saját vezetékes internetelérésére köt rá. A közelben tartózkodó mobiltelefonok pedig ezen keresztül bonyolítják le a hívásokat, küldik az adatokat."
Hogyan védjük mobilunk, ha külföldön nyaralunk?
|
|
2013.07.17. 05:36:35
Gulyás Gábor
A PRISM botrány után és hogy az EU-ban is elkobozhatják a mobilunk a határon, joggal aggódhatunk adataink védelmét illetően, ha külföldre megyünk nyaralni és visszük magunkkal okostelefonunkat is. Mivel a legtöbb esetben adatainkat online tároljuk, telefonunk lementése már önmagában egy alaposabb átvilágításnak felel meg (irodai- és magánlevelezés, fényképalbumok, baráti- és munkakapcsolatok, teljes telefonkönyv, stb.).
Mit lehet ez ellen tenni? A legcélravezetőbb, ha nem viszünk magunkkal semmilyen "okoskészüléket". :-) Ha azonban mégis így döntünk, érdemes a telefonról teljes mentést készíteni (amit hazaérve visszaállíthatunk), és egy gyári reset-et adni rá. Android esetén pedig egy átmeneti Google fiókot létrehozni, amelybe a Contacts alkalmazás import/export funkcióival a szükséges elérhetőségeket áthelyezhetjük, illetve az utazáshoz szükséges fájlokat is átmásolhatjuk (zenét, képalbumokat).
Feltelepíthetjük emellé valamennyi alkalmazást is, csak arra ügyeljünk, hogy jelszavakat ne adjunk meg sehol, és lehetőség szerint a beutazás előtt ne használjuk az alkalmazásokat. (Így a telefonon sem lesznek gyorsítótárazott adatok, illetve ha meg is változtatjuk később a jelszavaink, addig a levelezésünk jelentős részéhez közben hozzáférhet az adott hatóság, ha például IMAP protokollt használunk.) A jelszavainkat pedig vigyük magunkkal titkosítva: erre biztosít lehetőséget például a KeePassDroid, amely képes ugyanazt az adatbázist használni, amit a PC-n futó KeePass-szal készítettünk. Így a kinttartózkodás során könnyen és biztonságosan beállíthatjuk és használhatjuk valamennyi alkalmazást.
Privacy témájú érdekességek és hírek
|
|
2013.06.19. 05:16:21
Gulyás Gábor
Az utóbbi időben a PRISM körüli balhéról megjelent cikkek mellett Bruce Schneier érdekes kérdéseket vetett fel a téma kapcsán. Ugyan adatvédelem szempontjából az EU tekinthető világviszonylatban vezető hatalomnak, de ez összefügg a szabad internettel, ami viszont inkább az USA területe: azonban ha ez hazai pályán sem létezik, akkor hogyan tudnák ezt az értéket hitelesen képviselni? A kormányzati megfigyeléssel kapcsolatban azt írja, hogy ennek kialakulásának a lehetőségét a kényelemért eladott privátszféra alapozta meg. Ezzel nehéz vitatkozni: a kényelmes, bárhol elérhető és ingyenes szolgáltatások árát a privátszféra eladásával váltják meg sokan, az így kialakult lehetőséggel pedig csak "élt" a kormányzat, és a cégek által elérhető információkhoz kért titkos hozzáférést.
Más aspektusból szemlélve feltehetnénk úgy is a kérdést, hogy az vajon miért nem zavart senkit, hogy üzleti okokból ez a megfigyelés már régóta zajlik?
Érdekes cikk jelent meg az IT café-n a BitCoinról. Ma Magyarországon olyan folyamatok zajlanak, amelyek a pénzügyek nagyobb kontrolljához vezetnek, és az "offline" világban használhatos készpénzt a háttérbe szorítják. Ezzel együtt az anonim fizetési lehetőséget is, ami alapvetően egy jó dolog (például adakozáshoz) – így a jövőben nagyobb teret nyerhetenk az efféle pénzek, pénzügyi rendszerek. [Érdeklődőknek: az eredeti BitCoin leírás itt elérhető.]
A Google Glass felépítéséről készített egy fényképest leírást az EFF. Ahogy korábban mi is írtunk róla, a probléma nem magával a készülékkel van, hanem a köré kiépült infrastruktúrával és szolgáltatásokkal, illetve a benne rejlő potenciállal.
A Facebook Social Graph használata betekintést adhat egy kicsit abba, amire a Facebook eddig is már képes volt. Ennek segítségével például lekérdezhetjük, hogy milyen éttermet kedvelnek a barátaink, kik laknak egy adott helyszín közelében, hol jártak ismerőseink, stb. Ezt látva már könnyebb lehet elképzelni, hogy hogyan egészíthetik ki célzott hirdetések alkalmazásánál valakinek a profilját a barátai preferenciái alapján.
Hírek a nagyvilágból
|
|
2013.06.06. 05:52:37
Gulyás Gábor
Az FBI jogellenes (de végül sajnos hivatalosan jóváhagyott) módon kér ki felhasználókról adatokat a Google-től, és még többet szeretne: egy új törvénytervezet szerint minden online kommunikációt lehallgathatóvá szeretnének tenni. (Ez gyakorlatilag annak a sejtésnek a restaurálása mai formában, amit Schneier az Applied Cryptography-ban ír: nincs olyan [exportált] kripto eljárás, amihez az NSA-nak ne lenne hátsó kapuja.)
Egyesek harcolnak, hogy visszaszoruljon az adatgyűjtés az interneten, illetve legyenek életképes alkalmazások, szolgáltatások az efféle folyamatok szabályozására. Ám nem mindenki van ezzel így: valaki külön API-t hozott létre, ahol bárki figyelemmel követheti bizonyos jellemzőinek az alakulását valós időben. Egyelőre alvási statisztikák, testsúly, lépésszám, aktivitás, check-in-ek érhetőek el. Érdekes lenne azt kutatni, hogy ezek alapján milyen következtetések vonhatóak le, pl. tartozkódási hely, szokások, aktuális program, személyes preferenciák.
Sokszor írtunk róla, hogy miért is jó biznisz a megfigyelés, és hogy ennek mértéke hogy nő a hordozható kütyük térnyerésén keresztül. Eric Schmidt szerint nem kell félni ha ezek egyszer mindenütt ott lesznek, mert nem kifizetődő üzlet mindenkinél mindent megfigyelni. De akkor miért mutat ezzel szemben, amit ma látunk?
Érdekes felvetés példán keresztül: a Google képes lehet akár választások eredményét is befolyásolni, hiszen az ő titkos algoritmusa határozza meg, hogy milyen információk jelennek meg az egyes jelöltekről.
Dinamikus árazás: mégsem csak mese?
|
|
2013.05.28. 05:17:13
Gulyás Gábor
Dinamikus árazásról például akkor beszélhetünk, amikor a profitnövelés céljából egy üzletben (például webshopban) a fogyasztók eltérő árakkal találkoznak attül függően, hogy az eladó mennyire tartja őket tehetősnek. Bár ezen beszámoló alapján úgy tűnhet, hogy ez egy nemlétező jelenség, és helyette átláthatatlan kuponrendszerekben találkozhatunk csak efféle diszkriminációval.
Az IT café azonban egy ennek ellentmondó kutatásra hívja fel a figyelmet: igenis létezik a gyakorlatban a dinamikus árazás, és leginkább a böngészési előzmények, illetve a tartózkodási helyünk határozza meg, hogy milyen árakkal találkozunk egy webáruházban. (Ami nem olyan meglepő, hiszen a böngészési előzményeket kicsit tágabb értelmbe véve, a célzott hirdetéseknél felhasznált profilok kellőképpen alkalmasak erre a felhasználásra is.)
Akit érdekel a téma, illetve hogy milyen árak szerepelnek másoknál egy adott webshopban, annak érdemes kipróbálni a kutatók kísérleti pluginjeit, amivel ez utóbbit ellenőrizni lehet. Illetve ennek feltelepítésével hozzá is lehet járulni a dinamikus árazás elterjedtségét felmérő kísérlet adatgyűjtéséhez is.
A végére egy vicces videó: nem mindenki örül, ha nem igazságos a fizetés. :-)
Re: Re: A Google egy hirdetési vállalat
|
|
2013.05.22. 05:28:29
Gulyás Gábor
Azt vitatja a hírbehozó a Webisztánon, hogy a Google pusztán egy hirdetési vállalat lenne, vagy az Apple csupán egy ügyes hardvergyártó cég. Ezzel egyetértek, és a privátszféra szempontjából nézve még inkább látszik a hasonlóság: az Apple is hirdetési vállalattá kezd válni. Sőt, ahogy ezek a cégek szolgáltatásai, rendszerei fejlődnek, kénytelenül is egyre nagyobb területet képesek lefedni az emberek magánéletéből (amiben ma már nyilván van valamennyi szándékosság is), és az elért információt még magasabb színvonalon képesek felhasználni, például megfigyelés-profilírozás és precízebb célzott hirdetések megjelenítésének formájában.
Szerintem sem az várható, hogy ezek az órásvállalatok bizonyos szakterületekre specializálódnak majd, hanem a konvergencia további erősödése lesz megfigyelhető. A Google és az Apple is hardver készítő és szoftver/operációs rendszer fejlesztő vállalat marad, de ez csak az elsődleges piac lesz számukra, amelyet majd felhasználnak a másodlagos, sokkal jövedelmezőbb, és hosszú távon is kiaknázható piac elérésére. Azaz ha eladták a készülékeiket/termékeiket, majd eladják a felhasználóikat is. Bár ez utóbbi közvetlenül lehet, hogy kevesebbet hoz a konyhára, de a(z elsődleges) termék egész életciklusában működhet.
Ebben sok pénz van, nem véletlen akar beszállni a versenybe a Microsoft is – egyszerűen szoftver, vagy operációs rendszer fejlesztésből már nem tud egy ekkora cég a régi színvonalon megélni.
Videók: Google marketing vs. valóság
|
|
2013.05.19. 19:39:06
Gulyás Gábor
A Google saját videója a Chrome böngészőhöz:
A Microsoft féle átdolgozás (állítólag belső használatra készült):
Videó: A Facebook Update In Real Life
|
|
2013.05.13. 09:49:16
Gulyás Gábor
Válogatás a privátszférát érintő hírek világából
|
|
2013.04.27. 05:27:05
Gulyás Gábor
E hónapban felröppent a hír a Shodan elnevezésű keresőről, amellyel az internetre kötött, de oda nem illő eszközöket lehet felkutatni. A kereső ténye és sikere jól felhívja a figyelmet, hogy nem mindegy magánszemélyként sem, hogy mit kötünk rá az internetre – például érdemes-e állandóan számítógépünkön hagyni a webkamerát vagy sem, aminek egyébként is megvannak a maga veszélyei (ami egy laptop esetén nehezebben megoldható ügy...). Azonban a CNN cikke is rámutat, hogy maga a Shodan nem jelent új veszélyforrást: a keresések száma erősen korlátozott (vagy pénzbe kerül, és a tevékenység leírásával ellátott regisztrációhoz kötött), és az ebben érdekelt csoportok a Shodan nélkül is megtalálják a kívánt célpontokat saját (vagy bérelt) botnetjeik segítségével.
Azt eddig is sejteni lehetett, hogy sokakat egyáltalán nem érdekel, mit tesznek fel a webre. Egy robot alkalmazás segítségével rámutattak azonban, hogy naponta 4 000 üzenetben kürtölik világgá Twitter felhasználók a telefonszámukat (az USA és Kanada területéről). Kicsit kibővítve a keresést a Blackberry PIN és IP címekre, napi 12 000 felhasználó lett a végeredmény. Sokszor esetben tehát Shodan-ra sincs szükség. :-)
Egy újabb érdekes hír, hogy mi derülhet ki, ha digitális asszisztensünk kihallgatásra viszik: hívásinformációk, képek és videók, különböző jelszók, és nem kevés helyzetinformáció, aminek a WiFi elég releváns részét teszi ki. Egy kapcsolódó hírben arról olvashatunk, hogy az ügyfélnek – a hatóságokkal való együttműködés kapcsán – a szolgáltató távolról átírta a mobil internetes modem programját. Hogy ez megtörténhet, egy bírósági ügy kapcsán derült ki – kíváncsi volnék, okostelefonok esetén hol van ezen a téren a határ.
Megjelent egy újabb szteganográfiai alkalmazás, a Secretbook, amely képekbe rejtett, jelszóval védett üzenetek formájában segíti használóit, hogy üzenetük elkerülje a Facebook figyelmét. Hasonló alkalmazást készítettünk mi is 2011-ben, a StegoWeb-et, ami hasonló funkciót tölt be, de az adott weboldal tartalmát lehetett átírni, feltöltés nélkül. Facebook-on is működött (csak sajnos azóta nem volt karban tartva).
Mobilitás: követhetőek és azonosíthatóak vagyunk
|
|
2013.04.03. 11:19:03
Gulyás Gábor
A mobil követhetőség kapcsán kiderült, hogy annyira előrejelezhető az egyes felhasználók mozgása (a vizsgálat konkrétabban a mobil telefonhasználatra fókuszált), hogy mindössze négy pozíció információ elegendő egy felhasználó azonosításhoz. (Korábban már tudni lehetett, hogy az otthon-munkahely pozíció párosa az esetek többségében jól azonosít. Barabási könyvében is pedzegette a témát.) Bár az azonosítás kifejezés félrevezető, de ez (szerencsére) csupán fedőnév-alapú azonosítást takar.
Írtunk már a jelentőségét tekintve áttörőbb mértékű előzményről, hogy a helyzetinformáció sajnos személyes azonosításra is alkalmas: kis méretű adathalmazokon (kb. 100 eszköz vagy felhasználó) amerikai kutatóknak sikerült igazolni 2012 nyarán, hogy a helyzeti információk megfigyelésével az alany közösségi profilja is kideríthető. Kísérleteikben eszközök adott helyszínen történő egyidejű előfordulásából kapcsolati hálózatot építettek, majd ebben egyezést kerestek a helyszínen megfordulni vélt személyek kapcsolati rendszerével – ami az esetek átlagosan 80%-ban sikerült is.
Sajnos nem mondható meglepőnek, hogy ilyen sűrűn hallhatunk új fejleményekről: a kutatói szférában jelenleg a különféle adatok alapján történő követés és azonosítás "hot topic"-nak számít. Ezekből a kutatásokból kiderül, hogy nem minden anonim, amit annak ígérnek – a legtöbbször csupán az a kérdés, hogy milyen kiegészítő információkkal "jól felszerelt" támadó képes sikeresen újraazonosítani egy adathalmazt.
A "trójai tűzróka" esete: megfigyelés a Firefox kiterjesztéseken keresztül
|
|
2013.03.12. 05:45:47
Gulyás Gábor
A Firefox felhasználók közül sokan használunk privátszféra-védelmi kiterjesztéseket is, amiből jelentős választék áll rendelkezésünkre – hiszen ez a böngésző volt lényegében az első, amelyik lehetővé tette a kiterjesztések nagymértékű elterjedését, köszönhetően a (relatíve széleskörű) dokumentáltságnak és a könnyű fejleszthetőségnek. Azonban arra nem számítanánk – főleg amikor nyomkövetést és megfigyelést blokkoló kiterjesztéseket is telepítünk –, hogy bizonyos megfigyelők mintegy trójai falóként épp ezeket a kiterjesztéseket használják fel ellenünk.
A Firegloves nevű kiterjesztés fejlesztését ugyan már nem folytatjuk, de rendszeresen kapunk visszajelzéseket felhasználóktól, fejlesztőktől. Az alábbi levél azonban megdöbbentő:
Hello,
We are looking for cooperation with developers.
If your firefox chrome plugin has active users (daily). We'll pay you by the amount of daily-active uers.
We need you to update the plugin and feedback the following information to our server:
1. User-agent (Like Mozilla 19.0 )
2. Language (Like English, French)
3. OS (User operation system, like Win7, Linux)
4. URLs (all typed urls in the browser by every user)
5. IP address (user IP address)Looking to hear back from you.
A dolognak külön szépsége, hogy épp egy olyan kiterjesztés készítőinek küldték el, akik épp ez a jelenség ellen igyekeznek akadályokat gördíteni. Nem ártana szűrni, ha már SPAM-olnak... És persze nem csak mi kaptuk meg ezt a levelet.
Remélem lesznek szemfüles szakemberek, akik szépen lebuktatják a kooperáló kiterjesztéseket!
Érdekesség: kissé elmaradva, de itt a WiFi követés a plázákba
|
|
2013.02.16. 05:27:50
Gulyás Gábor
Egy évvel ezelőtt adtunk hírt a FootPath GSM alapú nyomkövető rendszerről, amely pláza látogatók útvonalának megfigyelését könnyíti meg. Hasonló technológiájú megoldást készítette a Fortinet, amely az okostelefonokba épített WiFi-MAC segítségével követi a felhasználókat, ahogy az eszköz váltogat a hálózatok között, és ez alapján becsüli meg a látogató útvonalát.
Mennyire vagyunk követhetőek a közösségi oldalak segítségével?
|
|
2013.02.13. 05:43:36
Gulyás Gábor
Erre a kérdésre ad választ a tovább után megtekinthető videó, amely a Raytheon nevű cég RIOT rövidítésű (Rapid Information Overlay Technology) szoftverének bemutatóját tartalmazza. A RIOT mintegy keresőként üzemel, amely különböző közösségi oldalakon keres utána a megadott személynek (Facebook, Twitter, Gowalla), majd a megítélése szerint egy személyhez köthető profilokat eleve összekapcsolva adja vissza. A felületén egyszerűen lekérdezhetőek az adott személy bejelentkezéseinek helyei, feltöltött képei (és annak az EXIF-ből kinyerhető koordinátái) – az így kinyert információkat pedig exportálni is lehet, és Google Earth-ben megjeleníteni. Az alkalmazás egyszerű statisztikát is biztosít a felhasználó napirendjéről, amely alapján a felhasználó egyes tevékenységei megjósolható.
Fekete dobozok az autókban
|
|
2012.12.09. 20:16:18
Földes Ádám Máté
Az amerikai Nemzeti Autópálya-biztonsági Hatóság (National Highway Safety Administration) arra készül, hogy kötelezővé tegye a személyautókban és a kisteherautókban a fedélzeti adatrögzítők (a repülőgépekről ismert fekete dobozok) használatát. Az ügy érdekessége, hogy a törvényt jóval megelőzte a megvalósítása: a nagy autógyártók újonnan gyártott járműveinek nagy része tartalmaz ilyen eszközt.
Egy feudális világban élünk?
|
|
2012.12.07. 05:42:27
Gulyás Gábor
Legalábbis Bruce Schneier szerint:
Some of us have pledged our allegiance to Google: We have Gmail accounts, we use Google Calendar and Google Docs, and we have Android phones. Others have pledged allegiance to Apple: We have Macintosh laptops, iPhones, and iPads; and we let iCloud automatically synchronize and back up everything. Still others of us let Microsoft do it all. Or we buy our music and e-books from Amazon, which keeps records of what we own and allows downloading to a Kindle, computer, or phone. Some of us have pretty much abandoned e-mail altogether … for Facebook.
Érdekes megközelítés, de jól visszaadja a nyomkövetés/megfigyelés alapján működő üzleti világ lényegét.
Mire képesek a pontgyűjtő kártyák?
|
|
2012.11.24. 05:28:38
Gulyás Gábor
Mostanában többször is a megfigyelés, profilírozás privátszférát érintő káros következményeiről volt szó. A Tudatos Vásárlók egyesülete a hazai vásárlói kártyák helyzetét mérte fel ilyen oldalról – ahol a helyzet szintén nem mondható túl rózsásnak. Az érdekesség kedvéért két részt kiemelek a tanulmányból, a teljes változat az egyesület honlapján olvasható.
Először is, a vásárlói kártyával mit tudhat meg a kereskedő a használójáról? Elég sokat:
„Gazdag Péter 38 éves, Budapest egy külső kerületében lakik, ám a belvárosba jár át dolgozni. Az utat többnyire tömegközlekedéssel teszi meg, autóját csak hétvégenként használja. Péter egyedülálló, korábban ugyan néhány évig volt egy barátnője, ám a kapcsolat (vélhetőleg) nemrégiben megszakadt közöttük, a barátnője elköltözött tőle. Azóta Péternek csak alkalmi kapcsolatai voltak.
Míg Péter exbarátnője a vörösbort szerette, addig Péter sörivó, hetente néhány dobozzal fogyaszt belőle. Péter szabadidejében szeret a természetbe járni, szenvedélyesen sportol – elsősorban a futás vagy a kerékpározás érdekli – és esténként lefekvés előtt detektívregényeket olvas.”
És mit kap a használó mindezért cserébe? Nem sokat:
Kártya neve
Kibocsátó/elfogadó
Költés/visszajuttatás aránya
Egyetlen márkára kibocsátott hűségkártyák/programok
AGIP-TIGÁZ Premio Club Kártya
Eni Hungária (AGIP kutak) TIGÁZ hűségkártyával
1,1%
(csak benzinre számolva)
Auchan Bizalomkártya
Auchan áruházak
1,4 – 1,1 %
Brendon
Brendon babaáruházak
2%
Drogerie Markt Active Beauty program
Drogerie Markt
nem kiszámítható
Nivea Vásárlói Kártya
Nivea Szépségpont üzletek
3,3 – 2%
Tesco Clubcard
Tesco áruházak
0,5%
Multibrand (sok márkás) kártyák
ClubSmart
Shell benzinkutak, shopok, McDonald’s
0,2 – 0,3%
Multipont
MOL, CBA, KFC, OTP
0,4%
Supershop
SPAR, OMV, OBI, Burger King, Wellness-Szállás.hu
0,4%
A fentiek alapján már könnyű képzelni, mi lehet a helyzet a webes megfigyelés és profilírozás terén...
A mindennapos megfigyelésről
|
|
2012.10.12. 06:20:39
Gulyás Gábor
Az átlagember bár sokat hall arról, hogy megfigyelik, de mivel olyan összetettnek tűnik számára ez a probléma, sokszor inkább feladja (ez sokkal egyszerűbb), és nem is akarja már tudni mivel áll szemben – a tipikus (posztkommunista) válasz, hogy úgyis mindent megfigyelnek, és nincs mit tenni. Pedig ez nem igaz, ha megismerjük a valós helyzetet, akkor apránként tudunk tenni is ellene; mintegy szembemenve azzal a fogyasztói magatartással, amelyet a legnagyobb privátszféra rombolást végző cégek (pl. Google, Facebook) akarnak ránk erőltetni.
Az érdeklődők számára tudjuk ajánlani a WSJ figyelemfelkeltő interaktív tanulmányát a megfigyelésről. Bár alapvetően az amerikai szempontot tükrözi, sokat tanulhatunk belőle.
Videó a megfigyelésről
|
|
2012.10.04. 16:57:16
Gulyás Gábor
Ipari méretű megfigyelés torrent hálózatokon is
|
|
2012.09.10. 14:07:39
Gulyás Gábor
A SecureComm 2012 konferencián bemutatott kutatási eredményeik alapján kutatók azt állítják, hogy jogvédelemmel foglalkozó szervezetek, kormányok és biztonsági cégek tömegesen figyelik a nyilvános torrent oldalak letöltési forgalmát. Kísérletükhöz a kutatók felállítottak egy hamis kiszolgálót, és figyelték a csatlakozási kéréseket, és rövid idő alatt érkeztek is monitorozásra szakosodott kliensek, amelyek rögzítik, hogy ki (IP cím alapján) és milyen tartalmat tölt le éppen. A letöltők szerencséje, hogy a felmérés alapján csak a toplista felső 100 elemét kísérték figyelemmel ilyen jellegű "kliensek".
Lassan az élet minden területén védekezni kell a megfigyelés ellen. Jöhetnek – a legális tartalmat letöltő felhasználóknak – a privátszféra-védő torrent kliensek.
Privátszféra-védelmi hírcsokor: a webes hirdetők ismerik barátaink, anyagon átlátó kamerák és további érdekességek
|
|
2012.07.20. 10:29:30
Gulyás Gábor
Az már legtöbbünk számára nem újdonság, hogy az internet üzleti célból (is) megfigyelnek minket, és értékesítik az így keletkezett profilinformációkat, például célzott hirdetések formájában. Azonban egy új jelenség van feltűnőben, az ún. "social retargeting", amikor már nem csak mi vagyunk a célkeresztben, hanem azok is akikkel megosztunk információkat – hiszen kitől hall valaki jót egy szolgáltatásról, ha nem a barátaitól. Hogyan jutnak azonban hozzá ehhez, ha nem vagyunk fent közösségi hálózatokon, mint a Facebook és Twitter? A trükk egyszerű: tartalom megosztó és linkrövidítő szolgáltatóságokat üzemeltetnek, amivel egyszerűen felderíthetőek kapcsolataink.
Sajnos ez a technológia is a privátszféra további eróziójához járulhat hozzá, de mint érdekesség, megemlítjük. A fizikai megfigyeléseknél nem mindig könnyű megfelelően elrejteni a kamerát. A Qwonn biztonsági termékeket előállító cég munkatársai olyan speciális műanyagot (ún. Black-Ops plastic) hoztak létre, amely normál szemmel nézve feketének tűnik, de fekete-fehér kamerával nézve már átlátszó. Így lehetőség van rá, hogy egy Black-Ops műanyaggal álcázott tárgyban kamerát rejtsenek el, amint ez a mellékelt illusztráción is látható.
Amikor a privátszférát érintő kérdésekről beszélünk, gyakran felteszik azt a kérdést, hogy miért van egyáltalán szükség bizonyos dolgok elrejtésére. Sőt, egyes vélemények szerint, ha el akarunk rejteni valamit, lehet, hogy nem is kellene csinálnunk. Azonban az életben vannak olyan események, dolgok, amit eleve nem a nagyközönség elé szánunk, de ettől még nem tekinthetőek rossznak, vagy bűnösnek. Ha valaki találkozott már ilyen kérdéssel, vagy akár saját maga tette fel, ajánljuk figyelmébe Jay Stanley cikkjét, ahol hat érvet gyűjtött össze a privátszféra védelmében. Bruce Schneier is egy remek esszét írt a témáról, a privátszféra eróziójáról és a Facebook, ill. Google ebben betöltött szerepéről.
További privátszférát érintő újdonság, hogy a Firefox 14-ben immáron a keresések automatikusan a Google SSL keresőjét használják.
Me & My Shadow: felfedi, mennyire vagyunk kiszolgáltatottak a neten
|
|
2012.05.31. 16:11:13
Gulyás Gábor
A Me & My Shadow projekt céljául az internethez köthető privátszféra védelmének tudatosítását tűzte ki, melyet három különféle, kifejezetten laikus internethasználók számára készül eszköz segítségével kívánnak elérni. A Trace My Shadow segítségével a látogató felmérheti, hogy milyen információkat oszt meg azáltal, hogy használ bizonyos technikai eszközöket, szolgáltatásokat (a beállítható lista elég szűkös, így egy nagyon erős alsó becslésről tájékozódhat itt a látogató). A Shadow Tracer's Kit egy PET gyűjtemény, ahol figyelemfelkeltő, illetve védekező alkalmazások érhetőek el, illetve a Lost in Small Print részen pedig látványos módon emelik ki a Twitter EULA-jának releváns lényegét, ezzel is megkönnyítve annak értelmezését (ez a szekció még várhatóan bővülni fog).
Önmegsemmisítő levél ismét: OneShar.es
|
|
2012.02.25. 13:53:03
Gulyás Gábor
Nem először merült fel az ötlet, már a Vanish esetén is láthattunk hasonló szolgáltatást, amelynél a levelek idővel megsemmisültek. A OneShar.es üzenetei nem időhöz, hanem olvasottsághoz kötöttek: első olvasás után törlődnek a kiszolgálóról. A szolgáltatás továbbá azzal reklámozza magát, hogy a levél tartalma titkosított, mivel beírás után már így kapja meg a böngészőnktől, s így még ő maga sem tudja azt elolvasni. Bár erről bővebb részleteket az oldal sajnos nem közöl, de sejthető, hogy az üzenet terjesztésére használt linkben található meg az olvasáshoz szükséges kulcs. A levél kiküldése egyébként roppant egyszerű: létrehozunk egy új üzenetet, beírjuk az mondanivalónkat, és kapunk ehhez egy egyszer használható linket, amit akár emailben is elküldhetünk.
Mivel egyszerhasználatos linkekről (üzenetekről) van szó, legalább kiderül, hogy olvassák-e mások titokban a levelezésünket. :-)
FootPath: The Sims játék, bevásárlóközpontoknak
|
|
2012.01.09. 09:52:15
Gulyás Gábor
A FootPath egy új szolgáltatás, elsősorban bevásárlóközpontoknak, amely segítségével a bevásárlóközpont – szigorúan szolgáltatásainak optimalizálásának céljából – megfigyelheti, hogy a kedves vásárló merre jár. A technológia alapelvét tekintve elég egyszerűen működik, a mobilok "csendes" működése közben kiküldött jeleket figyelik és ezek alapján rögzítik a látogató útvonalát.
CarrierIQ: okostelefonok millióin kémkedik egy legális program
|
|
2011.12.02. 05:23:14
Gulyás Gábor
Tömegeket érint az eset, mivel sok esetben alapértelmezésként telepítették a szoftvert:
Egy biztonsági szakember bejelentése keltett a múlt héten igen nagy vihart, ugyanis állítása szerint egy cég olyan okostelefonos alkalmazást terjeszt, mely a felhasználók minden tevékenységét követi és naplózza... A kémkedést már a múlt héten tagadó gyártó közleményben reagált a vádakra, és visszautasították a káros célú nyomkövetés vádját.
...
Az androidos fejlesztésekkel foglalkozó Trevor Eckhart közlése igazából tegnap robbant szenzációként, miután a szakember a vállalat állításait cáfolandó videón is bemutatta a program működését (itt látszik például, hogy hiába használ Eckhart a Google-nál https-t, vagyis titkosított adatkapcsolatot, a Carrier IQ látja a keresést, holott ezt csak a Google-nak és a felhasználónak lenne szabad, illetve az egyes billentyűleütéseket is logolja a szoftver, és minden adatot elküld a gyártó szerverére).
A teljes cikk itt elolvasható, és érdemes a videót is megnézni!
Valószínűleg nem az utolsó eset, hogy mobilokkal kapcsolatban a privátszféra sérüléséről hallunk: ezek a készülékek egyre több helyen ott vannak velünk, egyre több adatunk tárolják; egyre jobban integrálódnak magánszféránkba. Ahogy a web esetén az integrációs folyamat kihozta a már meglévő problémákat (mint amilyen a 10 éve ismert history stealing hiányossága volt), vélhetően a telefonoknál is ez fog történni, és több régi, vagy e jelen hírhez hasonló frissebb "szennyes" fog napvilágra kerülni.
Amire a népszámlálás nem elég...
|
|
2011.10.20. 05:54:17
Gulyás Gábor
... arra vannak a trójai alkalmazások? :) Nem bizonyított, hogy német kormányzati alkalmazás, amiről a lentebbi idézet szól, de izgalmas lenne, ha kiderülne:
A Chaos Computer Club megszerezte és kielemezte a német kormány által fejlesztett, Quellen-TKÜ névre keresztelt "lehallgató eszközt".
...
A CCC elemzése ezzel szemben azt állapítja meg, hogy a szoftver teljes kontrollt biztosít a megfigyelt számítógépek felett, segítségével tetszőleges más program telepíthető azokra, a mikrofon és kamera bekapcsolásával pedig a fizikai környezet lehallgatására is alkalmat ad. Emellett a vezérlő szoftverrel történő kommunikációnak csak egy része titkosított (ECB módú AES-128 :P), de egyáltalán nem autentikált, az átmenő adatok integritása nem ellenőrzött. Ez lehetőséget ad bizonyítékként letöltött adatok meghamisítására, vagy hamis bizonyítékok eljuttatására a célgépre - a gépet használó vagy akár a hálózati kapcsolatba beékelődő támadó számára is. A trójai ezen felül úgy fedi el az őt vezérlő szerver címét, hogy egy amerikai szerveren keresztül irányítja a forgalmat, ezzel akár nemzetbiztonsági kockázatnak kitéve Németországot.
Azért nem csak a németeket érdekli, hogy "mi történik a nagyvilágban".
Blendr: érdekes személy van a közelben, tudj meg róla többet itt és most!
|
|
2011.09.12. 15:12:41
Gulyás Gábor
Már többször hallottuk, hogy a helyzeti információk megosztása veszélyeket rejt magában, de úgy látszik, hogy ez nem számít: a Blendr közösségi alkalmazás ezen a téren akar egyszerűbb utat nyitni az ismerkedésnek. A regisztráló felhasználók feltehetnek magukról egy képet, egy rövid leírást az érdeklődési köreikkel együtt, és megnézhetik, hogy milyen hasonló érdeklődésű emberek tartózkodnak a közelükben. Bár a program lehetőséget ad a célcsoport korrekt szabályozására, és pontos helyzetinformációt nem közöl (csak távolságot), vélhetően a felhasználók egy része nem fogja tudni vagy nem akarja majd használni ezeket a funkciókat (ahogy a Facebook esetén volt ez tapasztalható).
Aztán ez olyan kellemetlenségekhez vezethet, mint amire a PleaseRobMe próbálja meg felhívni a figyelmet: például nem kell tudnom, hogy pontosan hol van az illető, elég, ha tudom, hogy ha a lakásától elég távol tartózkodik épp. Ráadásul az ilyen programok térhódítása – hasonlóan a közösségi hálózatok elterjedéséhez – valószínűleg kellemetlen hatással lesz az emberek privátszférájának egy újabb szegmensére, és tovább fogja puhítani az ellenállást a magánélet teljes digitalizálásával szemben.
Rövid hír: vége az anonim internetezésnek Dániában?
|
|
2011.07.06. 06:12:16
Földes Ádám Máté
Dánia igazságügyi minisztériumának egy munkacsoportja olyan javaslattal állt elő, amely törvényerőre emelkedve kötelezné az internetkávézókat, könyvtárakat stb., hogy csak a felhasználó identitásának ellenőrzése után biztosítsanak számára hozzáférést az internethez. Kötelező lenne ezen kívül a felhasználó tevékenységének követése, többek közt a böngészési előzmények tárolásával, és azon IP-címek listájának rögzítésével, amelyekkel a felhasználó kapcsolatot létesített. Az így nyert információk a dán kormányhoz kerülnének, amely a terrorizmus elleni harchoz szeretné felhasználni az adatokat. A történetet egyébként még érdekesebbé teszi az a tény, hogy még az internetet vasmarokkal ellenőrző Kínában sincs ilyen szintű regisztrációs kötelezettség…
A vezeték nélküli billentyűzetek veszélyei
|
|
2011.06.13. 23:12:24
Földes Ádám Máté
A Microsoft nemrég piacra dobott egy 128 bites AES rejtjelezést használó billentyűzetet. Remélhetőleg a hír hallatán a legtöbb Olvasó fejében az „És akkor?” helyett a „Mi tartott ilyen sokáig?” kérdés fogant meg. A hajtás után a vezeték nélküli billentyűzetekkel kapcsolatos biztonsági problémákról lesz szó.
PhD kutatói állás a Fraunhofer Intézetben (rövid határidő)
|
|
2011.02.24. 15:22:01
Székely Iván
A Fraunhofer Intézet kutatói állást hirdet társadalom- illetve gazdaságtudományi végzettségű fiatal szakembereknek, az új megfigyelési technológiák magánéletre gyakorolt hatásai területén.
A felhívás eredeti szövege:
The Fraunhofer Institute for Systems and Innovation Research
(http://www.isi.fraunhofer.de) is looking for a
Social science or economics graduate (male or female)
for its "New Technologies" competence centre to commence as soon as possible. He/ she will work, inter alia, in the EC‑funded project “Supporting fundamental rights, prIvacy and ethics in surveillance technologies” (SAPIENT). In the context of this study, he/she will have the opportunity to write a PhD thesis on privacy and data protection‑related impacts of smart surveillance technologies.
He/she will work on further projects aiming to analyse scientific‑technical, economic, social and political aspects of the development and use of Information and Communication Technologies, also at the interface with nanotechnologies, life sciences, and environmental and energy technologies. These analyses aim to provide scientific strategic advice to decision‑makers in politics and industry.
Applicants should have successfully completed an appropriate degree in social science, economics or other surveillance and privacy‑relevant disciplines (e.g., technology and culture, sociology, media studies). Very good knowledge of English and computer skills, as well as the willingness and ability to work in interdisciplinary teams and to acquire a good command of German are pre‑conditions.
You will find interesting projects in the areas of policy, industry and technology, a communicative and friendly team of colleagues, and an excellent technical and administrative support infrastructure. Employment terms, remuneration and social security benefits are in accordance with the TVöD (collective wage agreement for German public sector employees).
The employment contract is limited to one year at first but can be extended for three more years.
Closing date: Mach 4, 2011
Reference No. ISI – 2011‑9
Contact for your application:
Fraunhofer Institut für System‑ und Innovationsforschung
Gudrun Krenický
Breslauer Straße 48
76139 Karlsruhe
g.krenicky@isi.fraunhofer.de
Privacy International: videó a megfigyelésről
|
|
2011.01.31. 20:18:12
Gulyás Gábor
Ikonok adataink védelmében
|
|
2011.01.11. 10:28:10
Gulyás Gábor
A weben egyre több adatot tárolunk, így egyre nagyobb szerepet kap, hogy az adatainkat kezelhessük, de legalább hogy megfelelő tájékoztatást kapjunk ezeknek a sorsáról. Eredetileg ezt a célt hivatottak az adatvédelmi nyilatkozatok betölteni, ezek azonban hosszúak, és sokszor bonyolultak. Ehelyett javasolja Aza Raskin a Privacy Icon-ok használatát. (A tovább után regisztrált felhasználóink szavazhatnak az ikonok hasznosságáról.)
Előadás: Kukkoló társadalom - avagy mit lát a Mikulás a virtuális ablakunkból?
|
|
2010.11.29. 09:21:36
Gulyás Gábor
Az előadás december 7-én 18 órától, a Budapesti Műszaki és Gazdaságtudományi Egyetem K épületének 146-os termében lesz. Előzetes regisztráció itt! (Az előadás támogatója a Nemzetközi PET Portál és Blog.)
Előadó: Dr. Székely Iván, társadalmi informatikus
- Tudja-e, hogy a megfigyelésnek és megfigyeltségnek önálló tudományága van, a Surveillance Studies?
- Tudja-e, hogy létezik Surveillance Art – olyan művészek alkotótevékenysége, akiknek fő témája a megfigyeltség?
- Tudja-e, hogy rangos egyetemeken önálló kutatások folynak arról, hogy az állandó megfigyelés és megfigyeltség milyen változásokat okoz egyéni és társadalmi szinten?
Gondolkozott-e már azon, hogy igaz-e a rózsaszínű jövőkép illúziója, ahol a technika megoldja a társadalmi problémákat? Hogy miért nincs más választása a fiataloknak, mint Iwiw-en, Facebook-on élni? Hogy ha nem figyelünk oda, a magánéletünk irányítása végképp kicsúszik a kezünkből? Hogy az informatikusok és a reklámpszichológusok miért az erősebb fél oldalára állnak? Hogy nemcsak e-demokrácia, hanem e-diktatúra is lehetséges?
Ahhoz, hogy ezekről a kérdésekről nyíltan beszéljünk, egyáltalán nem kell paranoiásnak lennünk. Az előadásban szó lesz a technológiai ellenszerekről, arról, hogy az informatikusok mit gondolnak a megfigyelésről, bemutatjuk a legújabb szakmai fórumot, és lejátszunk néhány szórakoztató és elgondolkoztató rövidfilmet, amelyet professzionális filmes alkotók készítettek a témáról.
Google vs. Facebook: ne örüljünk korán!
|
|
2010.11.18. 05:40:19
Gulyás Gábor
A Google és Facebook között zajló háború végeredményében többféle kimenetelű lehet, és idő közben akár még az internet aranybányáját jelentő adatalanyok is profitálhatnak belőle. A Facebook lendülete töretlen és alaposan feladta a leckét vetélytársának: most például lett saját böngészője, sőt, várhatóan hamarosan saját levelezője kommunikációs rendszere is lesz, amivel a Gmail népszerűségét igyekszik majd csökkenteni. Mindezek mellett olvashatunk olyan véleményeket, amelyek a Facebook világuralmáról beszélnek, s elnézve a cég közösségi szolgáltatása köré integrált szolgáltatási portfóliót, valóban nem hangzik túl illuzórikusan ez a gondolat.
Google vs. Facebook: nevessünk, vagy sírjunk?
|
|
2010.11.12. 16:04:31
Gulyás Gábor
Elkezdődött az óriások háborúja: a Facebook felcseperedett, elkezdte elszívni a munkaerőt, mire (vagyis feltehetőleg ezért) a Google fizetésemelést adott dolgozóinak. Azért máshol is igyekeznek keresztbe tenni egymásnak: például nem olyan régen a Google letiltotta a Gmail kapcsolati listák kiexportálását a Facebookra, amire válaszképp a közösségi oldal egy kis kerülőt kezdett el kínálni a felhasználóinak. A nagy kérdés az, hogy ennek vajon örülhetnek a felhasználók, vagy sem? Véleményem szerint igen, itt is jól járhatunk, hasonlóan ahogy a valós piaci verseny is a vásárlók javát szolgálja. Hiszen a versenyben az egyes felek egyre inkább meg akarnak felelni a fogyasztóknak, és elképzelhetőnek tartom, hogy ez a helyzet is eredményezni fog néhány új felhasználóbarát funkciót ezeknek az óriásoknak a szolgáltatásaikban. Azonban mivel mindkét említett cégnek érdekében az áll, hogy minél több adat legyen publikus, így a jelenlegi webes privacy helyzet megoldódását nem várhatjuk ettől, de talán kicsit javulhat a helyzet.
A hónap kérdése: új névjegyek a GMail címtárban, de honnan?
|
|
2010.08.21. 18:35:40
Gulyás Gábor
A héten egy egészen érdekes dologra lettem figyelmes: a GMail kapcsolatok között megjelentek olyan e-mail címek is, amelyekkel egyáltalán nem váltottunk levelet, soha. Volt például ott egy hallgatói cím is, amivel csak az egyetemi postaládámból leveleztem (kb. fél éve), bár az a hallgatói cím azért GMail-es. Mégis felvette valahogy a kapcsolatok közé. Vajon milyen forrásból gyűjt ilyenkor a Google, milyen más szolgáltatása van, amelyen keresztül átemelte ezt a címet? Ha pedig nem az általam használt szolgáltatásokról van szó (pl. ez a hallgató biztosan nem ismeri ezt a címemet), akkor honnan? Vagy ha összekötötte az egyetemi postaládám a GMailessel, akkor mi alapján tette azt? Számomra teljesen rejtélyesek ezek a kérdések, de ha valaki a találgatásnál többet tud, írjon bátran!
Rövid: elég kétséges adatgyűjtési gyakorlat az Apple-nál
|
|
2010.07.28. 05:58:43
Gulyás Gábor
Az Apple adatvédelmi nyilatkozata nem rég megváltozott, és ez egyesekben aggodalmakat váltott ki. A probléma az, hogy az adatvédelmi nyilatkozat elfogadása nélkül nem lehet a Store-ból alkalmazásokat letölteni, márpedig ennek feltétlen részét képezi, hogy az Apple vagy partnerei pontos adatokat tároljanak a tartózkodási helyünk koorindátáriól. Bár ez elvileg anonim módon történik, de ezzel két probléma is van: nem ismerjük az adatok anonimizálásának módját (így ez akár egészen kétséges is lehet), illetve az anonim adatbázisok azért annyira nem is anonimek. Hogy ezt belássuk, gondoljunk csak bele egy példán keresztül: jó eséllyel elég kevés ember jár ugyanarra a helyszínre dolgozni (vagyis tölt egy egy fix helyszínen napi 8-10 órát), aki pontosan ugyanott is lakik, mint mi. Ez pedig azt jelenti, hogy kis halmazból kell csak az adat tulajdonosának kitalálnia, hogy kiről is van szó. Ennyit az anonimitásról.
Szabadon letölthető rövidfilmek a magánéletről (és sérelmeiről)
|
|
2010.07.15. 23:33:25
[anonymous]
A BROAD projekt keretében, magyar filmes alkotógárda közreműködésével a magánéletről és sérelmeiről (különösen az internetes megfigyelés nemkívánt hatásairól) készült rövidfilmek szabadon letölthetők a PET Portálról. A négy eredeti forgatókönyvet Fazakas Péter, Gergely Zoltán, Horgas Ádám és Rohonyi Gábor filmrendezők valósították meg. A magyar nyelvű filmek egyikéből teljes angol nyelvű változat is készült, három pedig angol felirattal is hozzáférhető.
A filmek Creative Commons licensz alatt szabadon felhasználhatók bármilyen nonprofit célra. A projekt keretében elkészült a híres pizzarendeléses videó magyar nyelvű változata is.
TrueCrypt - valóban ennyire biztonságos?
|
|
2010.06.28. 21:33:11
Gulyás Gábor
A mai nap informatikai biztonsági érdekessége, hogy egy csalással vádolt brazil bankár merevlemezét lefoglalta a rendőrség, de sem a brazil nyomozóiroda (National Institute of Criminology, INC), sem az FBI nem tudta a lemez tartalmát visszafejteni. Állítólag csak azért, mert a TrueCrypt védte azt AES-256 algoritmussal, és erős jelszóval.
Biztonságos közösségi háló mobilra?
|
|
2010.06.25. 23:29:47
Gulyás Gábor
Teljesen egyértelmű, hogy a közösségi hálózatokban hatalmas pénzek vannak, főleg, hogy ha hozzá lehet férni a felhasználóknak minnél több adatához, mind a szolgáltató, mind a harmadik felek részéről. Persze ez sokszor a felhasználó érdekeit sérti, ami miatt érdemes biztonságos alternatíva, vagy kiegészítés után nézni, hiszen a legbiztosabb megoldás a szolgáltató kizárása az adatforgalomból. Ez kétféleképpen történhet: vagy titkosítjuk a feltöltött adatokat (például BlogCrypt-tel), vagy olyan szolgáltatást keresünk, ami alapvetően mellőzi az adatokhoz való hozzáférést, például azáltal hogy elosztott architektúrájú és emellett titkosítottan is kezeli amit feltöltenek rá.
Virtuális Háztűznéző Magyarországon
|
|
2010.02.22. 10:22:59
Paulik Tamás
Miközben az egész világ avval van tele, hogy a Google Street View milyen privacy kérdéseket vet fel, egyesek szerint hasznos, mások szerint szórakoztató, van aki szerint pedig az egyik legnyíltabb támadás privát szféránk ellen a Google részéről, addig abban mindenki egyetért, hogy ezek a problémák minket, itt Magyarországon, nem érintenek, hiszen a szolgáltatás itt nem elérhető.
Amit viszont jóval kevesebben tudnak, hogy bár Street View nincs Magyarországon, sőt, egész Kelet-Európa jelenleg mellőzve van, addig volt valaki más, aki ezt a hiányt meglovagolva létrehozta a szolgáltatást ott, ahol a Google még nem tette, így hozva el a problémákat hozzánk is.
A Norc.hu szolgálatása szinte teljes egészében megegyezik a Google-éval, az egyetlen különbség csak annyi, hogy kicsit ritkább időközönként készültek a felvételek.
Hazánkban a szolgáltatás az alábbi területeken érhető el: Budapest, Balaton, Debrecen, Győr, Hajdúszoboszló, Miskolc, Szeged, Szentendre.
24 órás hackerverseny: eredmények
|
|
2010.01.20. 07:15:12
Földes Ádám Máté
Megvannak az IT Security Coding Contest 2009 hivatalos eredményei. A verseny győztesei, vagyis akik elvitték az „egymisit”, a key_cega csapat tagjai, ők a megszerezhető 300 pontból 271-et gyűjtöttek. A spectralgliders és a mrhankey csapatok szerezték meg a második és a harmadik helyet 229 és 224 ponttal, ők személyenként egy-egy 30 napos próbaidős időszakot nyertek a kancellar.hu-nál. Gratulálunk a szép eredményekhez!
A céges megfigyelés technikái
|
|
2010.01.16. 22:30:46
Földes Ádám Máté
„Figyelem! Belépés csak jogosult felhasználóknak! A Cég hálózatán átvitt és a Cég által biztosított eszközökön tárolt mindennemű információt a Cég rögzíthet, törölhet, naplózhat, feldolgozhat, megvizsgálhat, függetlenül attól, hogy ezek magánjellegűek-e. Ezek a tevékenységek a Cég informatikai biztonsági és titoktartási szabályzatának betartatását és ellenőrizhetőségét szolgálják. Az ezen ablakon történő továbblépéssel Ön tudomásul veszi ezeket a feltételeket, valamint azt, hogy a fent megnevezett szabályzatok megsértése jogi és fegyelmi következménnyel járhat, beleértve a munkaviszony megszüntetését is.”
Aki olyan helyen dolgozik, ahol a munkát számítógép előtt ülve végzik, valószínűleg találkozott már a fentihez hasonló üzenettel pl. a céges intranetre történő bejelentkezés előtt. Sok cég azonban megengedi, hogy a számítógépen például személyes ügyben levelezzünk, vagy banki ügyeinket intézzük, így felmerül a személyes adatokkal történő visszaélés lehetősége – ennek jogi vonatkozásait lásd előző bejegyzésünkben. Az alábbiakban megemlítem a megfigyelés néhány módozatát, és az ezek elleni esetleges védekezési módokat. (Figyelem! Ezen blogbejegyzés célja nem az, hogy a céges szabályzatok által kifejezetten tiltott tevékenységek űzését – például fájlcserealkalmazás futtatását – megkönnyítse, hanem, hogy az engedélyezett magánjellegű használat során ne adjunk ki feleslegesen személyes információt a munkáltatónk számára.)
Elbukott a GSM A5/1? Megtörték az A5/3 titkosítását is!
|
|
2010.01.13. 09:49:57
Gulyás Gábor
December végén felröppentek a hírek, hogy feltörték a GSM titkosítását. Mi is beszámoltunk róla, hogy kutatóknak sikerült olyan kódtáblákat előállítaniuk, amelyek segítségével gyorsabban megfejthetővé válnak a hívások. Azonban a hardver kiépítésének nehézsége és a szükséges – relatíve nagy – erőforrásigény miatt nem várható egyelőre, hogy ez a lehetőség bárki számára elérhető lesz, hanem inkább nagyvállalati, intézményi szinten várhatóak támadások.
Valósidejűség és privacy?
|
|
2010.01.13. 07:41:54
Gulyás Gábor
Egész sokat lehet arról olvasni, hogy a Web 2.0, a közösségi hálózatok elterjedése, és az új szolgáltatások által terjesztett exhibiconista felhasználói szemléletmód milyen hatással van a privátszféránkra (egy jó tudományos cikk a témáról). A következő kérdés viszont ez: ha ezek a szolgáltatások valósidejűvé válnak, mire számíthatunk? Minden bizonnyal elveszítjük a visszavonási lehetőséget, és bármi, amit akár véletlenül publikálunk végérvényesen elérhetővé válik. Legfeljebb annyit érhetünk majd el, hogy a keresési eredmények között ne szerepeljen; azonban a rendszerből nem fogjuk tudni eltávollíttatni (és bizonyára vannak olyan "haladó felhasználók", akik kicsit többhöz is hozzáférhetnek).
Új tanulmány: A privacy védelme a munkahelyen
|
|
2010.01.09. 15:22:50
PET Portál
Nem rég Buherátor, a Buhera Blog szerkesztője felhívta a figyelmünk a Munkahelyi Terror Blog egy bejegyzésére, amelyben a levélbeküldő és az olvasók azt vitatják, hogy mit lehet tenni, ha a munkáltató keyloggerekkel és különböző kémprogramokkal igyekszik naplózni az alkalmazott tevékenységét a munkahelyén. A problémakörre vonatkozó konkrét technikai válaszokkal és elemzéssel később jelentkezünk (hiszen a saját gépünk védelme sarkallatos pontját jelenti a privátszféra védelemnek), és most megosztunk olvasóinkkal egy olyan tanulmányt, ami a problémakör kérdéseire általánosságban választ adhat.
Webpoloska e-mailben?
|
|
2009.11.30. 11:08:16
Gulyás Gábor
A webpoloskák (avagy web bug-ok) rendeltetése, hogy detektorként működve érzékeljék, ha egy felhasználó megtekint egy weboldalt. Ez a technológia utat nyit a profilírozás lehetőségének, azaz hogy a szolgáltatók több weboldalon keresztül követhessék a felhasználók tevékenységét, és személyre szabott profilt készítsenek róla az alapján, hogy mikor és milyen szolgáltatásokat vesz igénybe.
Valóban a diktatúra a legjobb megoldás?
|
|
2009.10.20. 17:44:37
Gulyás Gábor
Újra és újra előkerül az az ötlet, hogy vezessünk be az interneten jogosítványt, ami megoldja a jelenlegi problémák zömét: megszűnnek majd a zombihálózatok, és a vírusok terjedése is majd jelentősen lelassul. Hasonló ötlettel jött elő Eugene Kaspersky, aki ennél is tovább megy: csak akkor engedélyezzük a csatlakozást, ha a felhasználó egyértelműen azonosítható. Ha picit még tovább megyünk, akkor javasolhatnánk azt is, hogy minden monitorba építsünk egy vonalkód leolvasót (vagy QR kód olvasásra alkalmas webkamerát), és nyomtassunk vonalkódokat az emberek homlokára. Máshol is biztos jól jön majd.
Közösségi szolgáltatások: a hirdető partnerek mindent látnak?
|
|
2009.09.25. 10:16:59
Gulyás Gábor
Nem rég foglalkoztunk azzal a kérdéssel, hogy vajon létezik-e még olyan, hogy anonimizált adat, és ennek kapcsán megemlítettünk egy olyan fontos kutatási eredményt, amely szerint könnyen újra azonosíthatóak egy anonimizált közösségi szolgáltatás felhasználói, ha rendelkezünk egy kisméretű kiegészítő hálózattal, ami akár egy másik szolgáltatásból állítottunk össze. Ideális esetben ez csak akkor lenne érdekes probléma, ha valóban anonimizált hálózatokhoz férnének hozzá a hirdetők, de sajnos a valóság nem ez: a legtöbb közismert közösségi oldal bár a nevet és a hasonlóan "veszélyes" információkat ugyan eltávolítja a profilból, de sok esetben benne hagyja a felhasználó egyedi azonosítóját.
Az azonosítás így már persze nem okoz gondot, és bármilyen információt be lehet gyűjteni egy adott személy profiljából. Ezen túl további probléma, hogy azok a profilírozó szolgáltatók, akik eddig a webes tevékenységeket figyelték, az ilyen közösségi információk alapján a pszeudonim azonosítóval ellátott profilból rögtön személyes profilt tudnak varázsolni – egy csomó személyes adattal kiegészítve.
Jelenleg ez ellen sokat nem tehetünk, hacsak nem használunk állandóan PET technológiák a böngészés során, és nem regisztrálunk a közösségi oldalakra. Azért bízhatunk abban, hogy a nem túl távoli jövőben a közvélemény nyomására és ezeknek a rejtett tevékenységeknek a publikálásának hatására felhasználóbarátabbá válnak majd ezek a szolgáltatások, és a privátszférát is valamelyest figyelembe fogják venni.
Egy új kor küszöbén: mondjuk búcsút a privátszféra fogalmának?
|
|
2009.08.17. 17:21:55
Gulyás Gábor
Egy nem rég megjelent cikkben, Ari Juels, az RSA Laboratories vezető kutatója úgy nyilatkozott, hogy lassan minden internetezőnek szembe kell néznie a ténnyel: véget ér az anonimitás korszaka. (Már ha eddig még nem ért véget.) Hogy miért? Ma körülbelül 7 milliárd ember él a földön, és ahhoz, hogy mindenkinek egyéni azonosítója legyen, egy kb. 10 számjegyű azonosítóra van szükség. Azonban az ennek megfelelő tömörségű tartalommal bíró információ már néhány jellemzőből kinyerhető, és az internet-korszakban nem nehéz ilyen jellemzőket találni.
Koevolúciós modell figyelhető meg a nagy testvér és az alvilág közötti kapcsolatban?
|
|
2009.08.10. 12:10:17
Gulyás Gábor
Egy érdekes cikk jelent meg a napokban Bruce Schneier blogján, ami a "nagy testvér" törekvései és az "e-bűnözés" által definiált koevolúciós modellről ír: hogyan igyekeznek az egyes kormányok és hatalmon lévő szervek kiépíteni a megfigyeléshez szükséges technikai feltételeket, ám felhívja rá a figyelmet, hogy ezt szinte törvényszerűen kihasználja az alvilág is.
Példaként a kínai kormány által készített Green Dam elnevezésű szoftvert említi meg, amelyet szeretnének minden eladott gépre feltelepíteni Kínában. Ez a szoftver alapvető célja az lenne, hogy megakadályozza, hogy az állampolgárok (politikai, illetve) erkölcsi okokból tiltott tartalmakhoz férjenek hozzá, de emellett nyilván lehetővé teszi a teljes megfigyelést. így az is lehetővé válik, hogy hogy ezeket a számítógépeket egy botnet hálózatba kapcsolják, ha elektronikus hadviselésről van szó.
A cikk egyébként azt is megemlíti, hogy Európai országok is terveznek hasonlót, hogy a rendőrség megfigyelhesse a gyanús tevékenységet űző egyéneket. Akit a téma ennél mélyebben érdekel, ajánljuk számára Schneier cikkjét. (Tavaly egy hasonló víziót vetettünk fel, amelyben a Google és a PRIME (immár PrimeLife) egyesülését tárgyaltuk elméletben.)
A kérdés mindig az, hogy valóban szükség van-e erre, és a közvéleménnyel meddig lehet a demokratikus berendezkedésű társadalmakban szembe menni? Ezért fontos, hogy a célközönség (a polgárság) fontosnak érezze és támogassa egy ilyen rendszer bevezetését. Ennek megfelelne és talán könnyen bevezethető lenne egy olyan PET vagy biztonsági technológia, ami a polgárság érdekeit szolgálja, de a bűnüldözés számára is szabad utat ad.
Zavar, ha bámulják a képernyődet?
|
|
2009.07.14. 18:46:39
Gulyás Gábor
Két évvel ezelőtt egy Bill Anderson nevű IT biztonsági szakember néhány kollégájával kifejlesztett egy Chameleon nevű szoftvert, amelyben egy speciális kamera segítségével garantálta, hogy csak a felhasználó olvassa a képernyőjének tartalmát. Némi kalibrálás után a rendszer képes volt felismerni a legitim felhasználót, majd pedig zavarossá tette a képernyőt, ha esetleg rajta kívül más is ránézett. Nem rég készítettek egy PrivateEye elnevezésű szoftvert, amely lényegében ugyanezt valósítja meg egy szimpla webkamera segítségével: ahogy elfordul a kijelzőtől a gép tulajdonosa, a képernyőn lévő tartalom értelmezhetetlenné válik.
Videó és további infók a tovább után!
Ghostery: egy Firefox plugin, ami megmondja, ki figyel téged
|
|
2009.07.12. 08:32:46
Gulyás Gábor
A Ghostery egy nagyon egyszerű kis Firefox plugin, ami figyelmeztet, ha egy weboldalon web bugok, hirdető hálózatok "detektorai" jelen vannak. Az adott hálózatról - ha a plugin ismeri - bővebb információt kérhetünk, illetve megtekinthetjük a hozzá tartozó forráskódot is.
Rövid hír: amerikában az IP cím nem számít személyes adatnak!
|
|
2009.07.11. 21:21:34
Gulyás Gábor
Egy nem régen született bírósági döntés szerint amerikában az IP cím nem számít személyes adatnak, mivel nem a felhasználót azonosítja személyesen, hanem az általa használt számítógépet (eszközt). A per egyébként egy Microsoft-ot érintő ügy kapcsán robbant ki, amely szerint a Microsoft elkezdett IP címeket is gyűjteni, noha a végfelhasználói szerződés szerint (EULA) személyes adatok gyűjtésére nem volt jogosult (pontosabban a személyt azonosító adatok gyűjtésére nem).
Facebook - a nagy testvér figyel téged
|
|
2009.06.28. 17:56:22
Gulyás Gábor
Egy érdekesség a Facebook adatvédelmi nyilatkozatából:
Facebook may also collect information about you from other sources, such as newspapers, blogs, instant messaging services, and other users of the Facebook service through the operation of the service (e.g., photo tags) in order to provide you with more useful information and a more personalized experience.
Ugyanez megjelent már az immáron magyar nyelvű adatvédelmi nyilatkozatban is (2 hete még nem volt ilyen):
A Facebook más forrásokból is gyűjthet rólad adatokat, például újságokból, blogokból, azonnali üzenetküldő szolgáltatásokból, továbbá a Facebook szolgáltatás használata közben más Facebook-felhasználóktól (pl. fénykép-megjelölések) azért, hogy még hasznosabb információkat és még jobban személyre szabott élményt biztosíthassunk neked.
Sajnos ennek az adatgyűjtésnek a célját nem említik. Hiszen nyilván nem azért gyűjtenek rólunk információkat blogokból, újságokból, hogy a szolgáltatást minél inkább személyre szabhassák: ma is egyszerűbb megkérdezni (beállítások), mint ezt csinálni. Az más kérdés, hogy a 'blogok' és 'újságok' alatt azt is értik-e, hogy web-poloskák segítségével az ottani tevékenységünk is megfigyelik.
Egy másik érdekes kérdés, hogy bizonyára nem kerültek véletlenül a listába az azonnali üzenetküldő szolgáltatások: vajon ennek mi lehet a szerepe itt?
Tartalomrejtés laikusok előtt
|
|
2009.06.11. 09:56:11
Gulyás Gábor
Az információ védelmének különböző szintjei vannak: védhetjük a tartalmat (kriptográfia), a meta-adatokat (PET) vagy az információ jelenlétét (szteganográfia). Sokszor bonyolult eszközök jutnak az ember eszébe, ha biztonságban szeretne valakihez eljuttatni egy tartalmat. Azonban ha csak a robotok, laikusok és a kevésbé elszánt kollégák elől szeretnénk elrejteni valamilyen információt, elég, ha csak valamilyen egyszerű módon ellehetetlenítjük a tárgyban forgó anyag automatikus megnyitását. Például a dokumentumot szándékosan tönkretesszük és egy másodlagos csatornán (például telefonon) juttatjuk el a helyreállításhoz szükséges információkat. Persze ez a technika másra is használható, ahogy az lenni szokott a PET-ekkel.
A Nagy Testvér már egy japán egyetemen is figyel?
|
|
2009.05.29. 20:10:17
Földes Ádám Máté
„Automata katalógust” vezettek be az Aoyama Universityn: a diákoknak iPhone-okat osztanak, melyek beépített GPS-vevője segítségével ellenőrzik a diákok jelenlétét az órákon. A telefonokon egy speciális szoftver lesz előtelepítve, melybe a diák beír egy kódot, a program pedig ellenőrzi, hogy a hallgató (vagyis inkább annak telefonja) a GPS által mért koordináták alapján abban a teremben tartózkodik-e, ahol az órarend szerint éppen előadása vagy gyakorlata van. Ha a telefon a megfelelő helyen tartózkodik a kód beírásának idején, akkor a hallgató felkerül a jelenléti ívre.
PET technológiák adóbevallás idejére?
|
|
2009.05.10. 18:22:48
Gulyás Gábor
A 'PET technológia' kifejezés hallatán az emberek - már ha gondolnak bármire is - általában összetett kriptográfiai műveletek alkalmazásán alapuló internetes programokra, szolgáltatásokra gondolnak, noha nem ennyiben merül ki a technológiák köre. Ide sorolható például az az alufólia borító, amelyet az RFID-vel ellátott útlevélre húzhatunk. Ennek a célja, hogy megakadályozzuk, hogy az útlevelünket az akaratunk ellenére kiolvassák (akár a zsebünkből), és így azonosítsanak, vagy akár kövessenek minket.
Kerekasztal beszélgetés: Miért nem használnak az emberek PET technológiákat?
|
|
2009.01.28. 06:00:00
Gulyás Gábor
Január 28-a az adatvédelem nemzetközi napja, amit az Európa Tanács kezdeményezésére idén harmadszor ünnepelnek az európai országokban.
A PET Portál és Blog erre az alkalomra kerekasztal-beszélgetést szervezett neves szakértők részvételével arról, hogy használják-e az emberek a privátszférát erősítő technológiákat, hogy mi lehet az oka annak, ha nem használják, illetve hogy mivel lehetne elősegíteni azt, hogy többen ismerjék meg és használják ezeket a lehetőségeket. Résztvevők: Galántai Zoltán jövőkutató, Mikecz Dániel politológus, Krasznay Csaba információbiztonsági szakértő, Székely Iván társadalmi informatikus, és Gulyás Gábor informatikus, a PET Portál szerkesztője. A beszélgetésből többek között kiderül, hogy az ember idegrendszere az evolúció során nem alkalmazkodott a globális internetes világ kihívásaihoz, hogy a magyar munkavállalókat éri a legtöbb adatvédelmi sérelem, és mégis a legkevesebbet tesznek ellene, és hogy milyen technikai lehetőségei vannak annak, aki maga szeretne dönteni személyes adatai sorsáról. A beszélgetés videofelvétele itt tekinthető meg.
Opera Mini
|
|
2008.11.30. 14:10:13
Gulyás Gábor
Az Opera Mini egy mobil telefonokra készített web böngésző alkalmazás (J2ME platform), amely ingyenes, gyors és kicsi: a gyorsasága nem csupán az alkalmazás renderelési sebességében merül ki, hanem maga a böngészés, a letöltés sebessége is gyors, akár egy mezei GPRS kapcsolaton keresztül is. Az érdeklődők a böngésző emulált változatát itt ki is próbálhatják.
Egy igazi anonim csevegő szolgáltatás? Torchat.
|
|
2008.10.31. 22:34:17
Gulyás Gábor
A csevegő, üzenetküldő szolgáltatáson belül is fontos lehet az anonimitás, ahogy ezt a PET Portálon (is) megjelent Anonimitás és privacy kérdései csevegő szolgáltatásokban című tanulmányban olvashatjuk (a tanulmány következő része a Szabad adatok, védett adatok 2 szerkesztett kötetében jelent meg) A tanulmány szerint a megfelelő szintű anonimitást nyújtó csevegő szolgáltatások nem csak a hálózati forgalom szintjén védik a kommunikációt (például TOR hálózattal), hanem a szolgáltatáson belül is képesek a felhasználók anonimek maradni.
Módosul a svéd „Lex Orwell”
|
|
2008.10.22. 13:17:04
Földes Ádám Máté
A svéd kormány beleegyezett a hatalmas tiltakozást kiváltó ún. FRA-törvény megváltoztatására. Az új tervezetet 2009 elején terjesztik a törvényhozás elé. Mint azt már előzőleg megírtam, az eredeti paragrafus lehetőséget adott volna az FRA nevű szervezetnek bármilyen, az ország határát keresztező, kábelen haladó kommunikáció lehallgatására, bírósági végzés nélkül is.
Data Retention Directive az EU-ban - mire számíthatunk?
|
|
2008.10.03. 12:55:51
Gulyás Gábor
Szeptember 19-én indult a CEU szervezésében a Data Retention for ISPs, International Workshop (program), amely első sorban az internetszolgáltatók oldaláról vizsgálja a direktíva hatásait, s a prigram első napja panel beszélgetéseket foglalt magába, majd a hétvégén kétnapos vita program követte ezt. A workshop alapvetően nem technikai oldalról közelítette meg a problémát, a panelek között is csak egy foglalkozott a technikai "válasz" lehetőségekkel.
Google Chrome - egyszerűen nem hagyhattuk ki!
|
|
2008.09.03. 11:30:30
Gulyás Gábor
Az utóbbi években a böngészők piacát széles kínálat és szoros verseny jellemzi, ami egyre inkább csak fokozódik. Tegnap jelent meg - talán erre a versengésre válaszul - a Google saját böngészője, a Google Chrome. E böngésző igazi csemegének számít, így kíváncsian vágtunk a tesztelésébe, s kíváncsian várjuk a következő hónapok fejleményeit: a felfedezett gyengeségeket, rejtett kiskapukat, az utólagosan bevezetett huncutságokat, s legfőképpen a böngészők piaci eloszlásának változását. Vajon a Google-nak mekkora szeletet sikerül a piacból kihasítania és milyen gyorsan?
Ahol az IP címem, ott én vagyok?
|
|
2008.09.02. 15:11:51
Gulyás Gábor
A Zughekker blogon olvashatunk egy bejegyzést, amely leírja, hogyan lehet bemérni MSN beszélgetőpartnereinket. Természetesen ez nem csak ebben működik, hanem más csevegő szolgáltatások, vagy internetes alkalmazások esetén is. Így, ha egy ismeretlent sikerül rávennünk, hogy felvegye velünk a kapcsolatot, lehet, hogy ki tudjuk deríteni, hol is tartózkodik éppen (vagy nyomon követhetjük ismerőseinket).
A bejegyzés nem említ, de ha már rendelkezünk a cél IP címével, a helyzetmeghatározás még egyszerűbben és látványosabban művelhető olyan eszközökkel, mint amilyen például a My IP szolgáltatása: segítségével bármely IP címről könnyedén kideríthetjük a célállomás helyzetét. (Egy korábbi bejegyzésben említettük már a szolgáltatást, de akkor még csak a saját IP címünkkel tudtunk operálni.) Akit ez zavar, annak nyújthatnak segítséget az anonimizáló hálózatok, mint például a Tor.
Sőt, ugyanitt a levelezésünkben szereplő IP címek alapján a küldő helyzetét is lehetőségünk van kideríteni: egyszerűen csak be kell másolnunk a webes felületre a levél tartalmát, amelyből a szolgáltatás azonosítja a megfelelő címet (ezt aztán a felhasználóbarát működés!). Itt jönnek a képbe az anonim remailerek, amelyek elfedik a levelezésben ezeket az információkat.
(A Zughekkeres bejegyzést egy olvasónk ajánlotta, köszönjük!)
iWiW újra - a keresés még mindig nem szuperál
|
|
2008.08.19. 12:04:31
Gulyás Gábor
Korábban már mustráltuk az iWiW-et, sőt, jeleztünk is nekik a kereséssel kapcsolatban: az e-mail címek láthatósága, kereshetősége nem állítható, mégis kereshetőek, s így könnyen profilozhatóvá válnak a nyilvános címmel regisztráló felhasználók. Reagáltak is: egyszerűen törölték a keresésből az e-mail cím szerinti keresés lehetőségét.
Hasonló érdekesség, hogy a családi állapotra úgy kereshetünk rá, hogy azon adatlapok is listázásra kerülnek, ahol ez az érték rejtett. Ez vélhetően az e-mail szerinti kereséshez hasonlóan csak egy hiba, és erről információt nem találhatunk az adatkezelési nyilatkozatban sem.
Az adatkezelési nyilatkozat nem rég frissült, de az egyik korábbi bejegyzésben említett typo-t továbbra sem javították:
A. A felhasználó által kötelezően megadott adatok név, becenév és e-mail cím, (az adatokhoz az — e-mail cím kivételével — iwiw összes felhasználója hozzáfér, a felhasználó által megadott e-mail címhez csak személyes ismerősei férnek hozzá ).
Lehallgatható kikapcsolt állapotban a mobiltelefon?
|
|
2008.07.27. 16:55:37
Földes Ádám Máté
Igen, le – ha megfelelően felkészítették a rajta futó szoftvert. Az újdonság az, hogy most már ezt a titkosszolgálatokon kívül magánemberek is megtehetik, az utóbbiak természetesen illegálisan. A módszer azt használja ki, hogy a telefon „kikapcsolt” állapotában is aktívak bizonyos szoftverkomponensek. (Gondoljunk csak az ébresztőóra funkcióra, ami az általam ismert összes mobilkészülékben akkor is működik, ha a képernyő teljesen sötét.)
Jönnek a másodszintű internet szolgáltatók?
|
|
2008.07.16. 10:00:25
Gulyás Gábor
A másodszintű internet szolgáltatók általános megoldást nyújtanak az internet anonimitási problémáira: a teljes forgalmunat rajtuk keresztül irányítva a célhoz elvégezhetik az IP címünk rejtését. Általában VPN vagy SSH alapú megoldásokkal találkozhatunk.
Azonban ezek a megoldások eleve kétségesek, mivel több protokollon belül is előfordulhatnak olyan azonosítók, amely alapján követhetőek vagyunk; tehát szükség van valamennyi átirányított protokoll ismeretére és szűrésére, amely a főbb protokollokra megoldható ugyan, de általánosságban nem kivitelezhető.
Ugyanez igaz az általános anonimizáló protokollokra is: ezek célja nem a követhetőség megakadályozása (szemben azzal, ahogy hisszük és ahogy tekintünk rájuk!), hanem egyszerűen egy kellemetlen mellékhatás, az IP cím automatikus felfedésének megakadályozása, mert az IP több információt szolgáltat rólunk, mint amennyire az szükséges lenne.
Vajon az ilyen megoldásokat betiltaná az EU, ha bevezetnék a PRIME használatátm vagy szabadon választhatnánk a kettő között? Minden bizonnyal az általános megoldások fajsúlya igencsak meg fog nőni az elkövetkezetőn időkben.
Forgalomanalízis védett TLS?
|
|
2008.07.13. 09:21:26
Gulyás Gábor
Régóta léteznek olyan technológiák, amelyek elrejtik a felhasználók IP címét, és emellett a forgalomanalízis védelmét is megvalósítják, nehogy a rejtést végző hálózat forgalmát vizsgálva azonosítható legyen a felhasználóé. Így kiderül, hogy melyik felhasználó melyik szolgáltatóval kommunikál - az IP cím rejtése máris hiábavaló volt.
Ugyanarról a védelmi mechanizmusról, pontosabban annak hiányáról van szó, amikor a TLS csatornák forgalomanalízis védelméről beszélünk: ebben az esetben a forgalmunk rejtett, de forgalom típusa megjósolható, ahogy arra rá mutatott az IT Café cikke. Ez a TLS egyik fő hiányossága, amelyre a mai napig nem létezik egységesen elfogadott megoldási javaslat.
A TLS csatornákat nem csak önmagukban szokták alkalmazni (például webes kiszolgálók elérésére), hanem anonimizáló szolgáltatások esetén a felhasználó és a szolgáltatás közötti szakasz védelmét is ezzel oldják meg, ahol általában még indokoltabb lenne a a forgalomanalízis védelem. Ezzel azonban számos probléma van, néhány ízelítőnek:
- Ahogyan a TLS/SSL esetében van, több forgalomanalízis védelmi szinten lenne célszerű meghatározni, amelyekből a felhasználó választhat az alkalmazás által megkövetelt hálózati paraméterek alapján, mint például a megengedhető késleltetés és késleltetés ingadozás, maximális forgalom, aktuális és várható terhelés (alkalmazásfüggő jóslással).
- Mobil készülékekre is egyre inkább gondolni kell, ezért ezeket a szinteket ennek megfelelően kell kialakítani. (Gondoljunk a GPRS, 3G és WLAN hálózatok közötti különbségekre!)
- Exportálási tilalmak?
- Olyan modell szerint kell kialakítani a megoldást, hogy az mindenkinek megfelelő legyen: mely rendszer jellemzőket változtatjuk és milyen eloszlások szerint? Csomagméretek, csomagok közötti szünetek, késleltetés, késleltetés ingadozás, aktuálisan kihasználható csatornakapacitás?
- Elméleti úton bizonyítani kell, hogy ez a modell a forgalomanalízis védelmet maradéktalanul megvalósítja.
A TLS védelmének továbbfejlesztése mellett egy másik lehetőség az anonim VPN-ek használata, amely általánosabb a TLS megoldásánál, azonban költségesebb is egyben (erről még írunk).
Beköszönt a sötét proxy-k korszaka? Két érdekesség.
|
|
2008.07.10. 12:21:10
Gulyás Gábor
Legutóbb a vészharangot egy DNS sebezhetőség kapcsán kongatták meg a szakemberek világszerte, amely gyengeség jelenleg nyilvános részleteiről a hazai sajtó is tudósított. A probléma lehetővé teszi, hogy a DNS adatbázis mérgezésével (hamis információkkal való feltöltésével) rosszindulatú felek elérjék, hogy a felhasználó tudta nélkül a saját szervereikre irányítsák. Szakmai információkat még nem hoztak nyilvánosságra, de állítólag az augusztus elejei Black Hat konferencián ezt is bepótolják, bár a hibát felfedező szakember előadásáról még nincsenek kint információk.
A PET rendszereket is érinthetik ezek a gyengeségek. Ilyen sebezhetőségek mellett könnyen lehet például az anonimizáló rendszereket kompromittálni, egyszerűen csak a belépő proxy-k címének "felülírásával". Mialatt a felhasználó mit sem sejt, sőt, abban a hitben él, hogy anonim, követhetetlen, profilozhatatlan. Pedig épp ellenkezőleg.
Hasonló, de már inkább privacy vonatkozású eset az év elején kiderült Flash gyengeség, amelyet kihasználva a támadó fél átállíthatja a felhasználó routerét, és ráveheti, hogy tetszőlegesen proxy-n irányítsa át a forgalmat, valamint ez esetben is meg tudja hamisítani a DNS információkat! Ez esetben - PET-ek szempontjából - sokkal érdekesebb problémával állunk szembe, hiszen így a teljes internet forgalmunk eltéríthető, módosítható és elemezhetővé válik. Ezen problémáról itt található egy leírás, sőt, proof-of-concept demó is! (Az előbbi cikk szerzői egy FAQ -t is készítettek.)
A gyengeség kihasználásához semmi másra nincs szükségünk mint a belső hálózati számítógépre telepített Flash lejátszóra, és arra, hogy a router-en be legyen kapcsolva az UPNP funkció! További részletek elérhetőek az említett címen.
A svéd kormány mindenkit lehallgatna?
|
|
2008.06.22. 17:44:49
Földes Ádám Máté
A svéd kormány egy „furcsa” törvény elfogadására készül. Svédországban 2009-től – ha június 17-én elfogadják a törvényjavaslatot – az FRA (Försvarets Radioanstalt, kb. Honvédelmi Rádióintézet) nevű, a nemzetbiztonsági szolgálatok alá tartozó szervezet a svéd országhatáron átmenő bármilyen kommunikációt lehallgathat, bírósági végzés nélkül. (Pontosabban az „újítás” csak a kábelen haladó információk vizsgálatának joga, a vezeték nélküli rendszerek lehallgatásához már eddig is biztosított volt a jog.)
Google Accounting
|
|
2008.06.13. 11:15:16
Gulyás Gábor
Egy korábbi bejegyzésünkben írtunk a Google Health frissen indult szolgáltatásáról. Véleményünk a szolgáltatás elindítása merész ötlet; ennek kapcsán elképzelhetjük a Google következő, hasonlóan merész szolgáltatását, a Google Accounting-ot (nem találtam a Google-nál hasonló szolgáltatást, de ha valaki ismerne, írjon!).
A szolgáltatás céljára pontosan rávilágít az elnevezése: a könyvelés egyszerűsítése. Itt is webes felületen keresztül érhetjük el valamennyi, a Google szerverein tárolt adatainkat. Felvihetjük bevételeinket, kiadásainkat, és cserébe a Google tanácsokat ad pénzügyi akcióink rövid és hosszú távú optimalizálására (pénzügyi szakértők hozzászólásait és véleményét is várjuk!:-) ), valamint az egyes tételek kapcsán, az éppen lokálisan megjelenített kontextust figyelembe véve reklámokat jelenít meg saját felületén.
Illetve a legfőbb előnye: hozzáférhet pénzügyi előtörténetünkhöz, amelynek - kizárólagosan az anonimizált statisztikái - alapján elemezheti, hogy mire költünk szívesen, mennyi tartalékunk van, esetleg fizetési hajlandóságunk is elemezheti (szakértők itt is előnyben). Végül pedig általános felhasználói csoportokat alakíthat ki, amelyre üzleti modelljét építheti. Persze az érdekes kérdés itt is az: mi történik, ha feltörik a fiókunkat? Tényleg elég lesz itt is egy jelszavas azonosítású fiók? Vagy, ahogy a bankok is, be kell majd vezetni valamilyen hard-token alapú azonosítást is: telefonszám birtoklás (sms kód), vagy okos kártyás alapokon.
Lehet, hogy ez célszerű lenne a Google Health esetében is. Valószínűleg a szolgáltatásba vetett bizalom alapját nem ez fogja megadni.
Google Health - barát, vagy ellenség?
|
|
2008.05.31. 13:01:51
Gulyás Gábor
Múlt hét hétfőn indult el a Google Health szolgáltatása, melynek legfőbb célja, hogy egy helyen tároljuk személyes orvosi adatainkat. Így egyszerűbbé, áttekinthetőbbé válik azok kezelése, könnyebben kereshetünk közöttük, és elveszteni is nehezebb a bejegyzéseket; arról nem is beszélve, hogy ha az orvosunk webkettő kompatibilis, vele is meg tudjuk osztani könnyedén ezeket az információkat.
Mindenki számára természetes alapkövetelmény, hogy ezeket az adatokat biztonságosan kell tárolni, hiszen sokkal nagyobb problémát jelenthet adott esetben, ha illetéktelenek kezébe kerül, mint mondjuk a heti rendünk a Google Calendar-ból. Talán nem is ez a legérdekesebb kérdés; mit fog tenni aNagy Testvér az adatainkkal? Pontosabban, mit is tehet?
Mert így gazdaságos: roaming egy madzagon!
|
|
2008.05.20. 12:47:11
Gulyás Gábor
Korábban is már tettünk említést az olyan egyszeri elemek alkalmazásának veszélyeiről, amelyek meghibásodásukkal egy egész hálózat leállását vonhatják maguk után (SPF, Singe Point of Failure). Az ilyen elemeken minden forgalom áthalad általában (feltéve, hogy például nem a tápellátásról van szó, vagy emberi erőforrásokról; bár ez utóbbinál ez a kifejezés nem használatos), és így könnyebbé válhat az adott információ megfigyelése.
Szteganográfia - eszköz a privátszféra védelmében?
|
|
2008.05.05. 13:18:07
Gulyás Gábor
A kriptográfia célja - igen röviden -, hogy a közölt információk módosítás nélkül, esetleg továbbra is bizalmasan érjenek célba. A szteganográfia célja viszont, hogy maga az információközlés ténye rejtett maradjon, függetlenül attól, hogy védjük-e azt valamilyen technikával. E mellett persze védhetjük kriptográfiai módszerekkel a küldött információt, ha biztosra szeretnénk menni. Számtalan példát találhatunk a történelem során a szteganográfia alkalmazására, de ma, az informatika korában ezen lehetőségek száma igen csak megnövekedett.
A helyzetünkről árulkodó információk és a privátszféra kapcsolata
|
|
2008.04.04. 18:23:27
Gulyás Gábor
Az angol szakirodalomban Location Privacy néven szerepel ez a témakör, melybe igen sok minden beletartozik. Alapvetően két főbb ok miatt válhat érdekessé ez a téma: egy olyan szolgáltatásról beszélünk, amelyben a helyzeti információnkat közzé tehetjük, megoszthatjuk másokkal, vagy pedig valamilyen hiba folytán szivárog a helyzetünkről szóló, vagy abból származtatható többlet információ, és így illetéktelenek férhetnek hozzá. Összetett privátszféra védelmi rendszerek (PET-ek) mindkét lehetőséget figyelembe veszik és próbálnak védekezni az információszivárgás ellen is, valamint belső protokolljaik, működésük a megfelelő információ menedzsment által megvalósítják a felhasználó központú kontrollt.
Az információszivárgás esete talán az érdekesebb, hiszen ez esetben nem tudhatjuk biztosan, hogy ki figyeli, figyelheti meg a szivárgó információt, milyen plusz tartalmat képes kinyerni belőle, illetve később mi történik ezzel az információval. Az meg már természetes következménye ennek, hogy az információ élettartamára sem lehetünk hatással.
Bár eddig általánosan közelítettük meg a problémát, de sokkal hétköznapibb szituációk is lehetségesek a helyzeti információ privátszférát érintő kérdéskörében: például amikor egy ismerősünk onnan tudja meg, hogy külföldön vagyunk (mondjuk éppen autóval utazunk, és épp behajtunk egy alagútba), hogy az adott ország nyelvén mondja be a telefonjába a szolgáltató, hogy az előfizető nem található. Helyzetünkre utaló, azt leíró információk még számtalan kérdését vizsgálhatjuk meg; néhány ilyen, egzotikusabbnak számító kérdést fogunk elemezni a bejegyzés további részében.
Névtelen levélküldés - az anonim remailer-ek
|
|
2008.04.01. 23:26:36
Kóbor András
Az Interneten e-maileket küldve a levél fejrész megőrzi az összes eszköz, berendezés nevét, címét, amely részt vett az e-mail továbbításában, valamint az időt, amikor elektronikus levelük továbbításra került. A fejrészeket elolvasva bárki kiderítheti a feladó e-mail címét, illetve azt, hogy honnan küldte a levelet, milyen útvonalon került továbbításra, valamint, hogy milyen egyéb címekre lett elküldve. Ezek után egy rosszindulatú szereplő támadhatja az adott címet akár SPAM-ekkel, akár más káros módon. Több módszer is létezik, mellyel védekezhetünk az ilyen jellegű támadások ellen, most nézzük a névtelen levélújraküldő használatával történő védekezést.
Mit nevezünk anonim remailer-nek, avagy névtelen levélújraküldőnek? A névtelen levélküldő tulajdonképpen egy szerver, egy megcímezhető átjáró, mely kiveszi a levelezőszerverünk és a különböző eszközök által a levélhez csatolt kliens és szerverinformációkat, esetleg helyettesíti azokat, majd továbbítja a levelet a címzetthez. A névtelen jelző ebben az esetben mindig teljesen helytálló, hiszen a címzett nem minden esetben egy feladó nélküli levelet kap, hanem egy pszeudonim azonosítóval vagy a remailer információval ellátott levél érkezik a postafiókjába. Léteznek olyan remailer-ek, melyek adatbázisokban tárolják a pszeudonim azonosító-valódi e-mail cím párokat (pszeudonim remailer), így lehetőséget nyújtanak a levél megválaszolására, és vannak, melyek csak egyszeri küldést biztosítanak, a címzett válaszlehetősége nélkül (fire and forget).
Napjainkban többé-kevésbé négy különböző remailer típust különböztethetünk meg:
Pszeudonim remailer-ek: ezek a szerverek kicserélik az eredeti feladó címét egy pszeudonim azonosítóra, majd elküldik a levelet a címzettnek, amely a szerveren keresztül a feladó pszeudonim azonosítójának birtokában megválaszolhatja azt.
Cypherpunk remailer-ek: ezen remailerek kiveszik a feladó címét, de nem helyettesítik azt valamilyen azonosítóval, tehát a címzett az üzenetet megkapva nem képes megválaszolni azt. Lehetőség van az üzenet titkosítására is, valamint több remailer egymás után fűzésére is, így később nagyon nehéz megállapítani a feladó-címzett kapcsolatot.
Mixmaster remailer-ek: ezen szolgáltatás használatához szükségünk van egy számítógépre telepített programra (kimenő proxy-ra), amellyel megírjuk az üzeneteket. Ez a fajta remailer ugyanis fix hosszúságú üzenetszegmenseket továbbít, melyeket újrarendez, valamint bitekkel „tölt ki”, és úgy küld el, megakadályozva, hogy illetéktelenek megfejthessék annak tartalmát. Tehát nem csak kiküld minden csomagot (amilyen gyorsan csak lehet), hanem átrendezi azok sorrendjét, és különböző utakon továbbítja azokat a címzettnek.
Mixminion remailer-ek: ez a fajta levéltovábbítási mód a mix-hálózatok használatán alapul. A mix-hálózatról dióhéjban annyit, hogy a hálózat csomópontok összessége, amelyek a kliens által választott sorrendben végigküldik maguk között az üzenetet titkosítva egymás nyilvános kulcsával, és mindegyik csomópont csak a következő csomópont címét ismeri, ezzel biztosítva az üzenet (és a feladó ) útjának visszakövethetetlenségét. Lehetőségünk van pszeudonim és anonim módon is levélküldésre.
Néhány jó tanács a remailer-ek használatához:
- használjunk kliens-alapú levelezőprogramokat a web-alapúakkal szemben, ugyanis ilyenkor lehetőségünk van titkos csatornát létrehozni már a saját gépünk és a levelezőszerver (valamint a remailer) között is
- ha mindenképpen web-alapú levelező alkalmazást használunk, akkor lehetőség szerint használjunk megbízható, titkosítást támogató böngészőket
- használjunk digitális aláírást és titkosítást!
Az én merevlemezem - az én váram
|
|
2008.03.07. 22:26:06
Földes Ádám Máté
Németországban nemrég nagy port kavart, hogy a német hatóságok a
terrorizmus elleni harc "hevében" egyre intenzívebben próbáltak
behatolni a gyanúsítottak privátszférájába. Egy ilyen "projekt" a
Skype-beszélgetések lehallgatása volt, de ezt viszonylag hamar
berekesztették, mert a hivatalos közlés szerint nem tudták feltörni a
titkosítást. Az újabb ötlet az ún. Bundes-Trojaner használata volt.
Ezt a trójai falovat különböző német hatóságok nevében küldték volna a
gyanúsítottaknak e-mailben. Az ötletet azonban a német Legfelsőbb
Bíróság elutasította, mondván, az sérti az alkotmányos alapjogokat, és
bár a német hatóságok számára továbbra is lehetséges marad a
merevlemezek tartalmának vizsgálata, ezt csak nagyon szigorú
feltételek mellett tehetik.
A döntést üdvözölte a német közvélemény, ám Wolfgang Schäuble
belügyminiszter továbbra is törvénymódosításon gondolkodik, és a
kémszoftver fejlesztése máig folyamatban van. Mindemellett kérdéses,
hogy egyes, szintén a privátszférához tartozó, ámde személyi
számítógépnek nem nevezhető eszközökre (okostelefon, PDA, stb.) is
vonatkozik-e az ítélet.
Persze nyilván nemcsak jogi oldalról merülnek fel kérdések. Egyrészt,
hogyan veszik rá a gyanúsítottat, hogy önként és dalolva
felinstallálja a trójai falovat a gépére? Másrészt, hogyan tervezik
úgy megcsinálni a programot, hogy az több platformon is hatékonyan
működjön? Végül pedig hogyan érik el, hogy a program átjusson egy
egyszerűbb víruskereső vagy kémprogramirtó ellenőrzésén?
További információ:
A német rendőrök nem bírnak a Skype titkosításával
Ausztriában engedélyezik a kormányzati trójai programok használatát
Germany floats Trojan for terror suspects
Az internet földrajzi struktúrájának privátszférát érintő kérdései
|
|
2008.02.26. 16:31:19
[anonymous]
Az Indexen egy nem régiben megjelent cikkben olvashatunk arról, hogy milyen sérülékeny az internet struktúrája; bizonyítást nyert, hogy léteznek olyan csomópontok, melyek kiesésével komoly méretű zónák, területek szenvednek hátrányt. Erre emlegeti példaként Pakisztán, illetve a Földközi-tenger eseteit a cikk.
Fontos, hogy ez ne csupán arra hívja fel a figyelmünk, hogy ezek a hibatűrés szempontjából stratégiailag is fontos csomópontok lehetnek, hanem hogy lássuk, hogy az internet forgalmának jelentős hányada ezeken a pontokon halad át, jóformán teljes egészében titkosítás, illetve egyéb védelem nélkül.
Attól függetlenül, hogy ezen pontok földrajzilag hol helyezkednek el (hiszen megtörténhet a tengeren túl, vagy akár itt Magyarországon is), egészséges nézőpontnak tűnik annak a figyelembe vétele, hogy ezen pontoknál az áthaladó forgalomnak lehallgatása, módosítása egyszerűen megoldható. Akár az is lehetséges, hogy a kapcsolatokba láthatatlan módon valaki közbeékelődjön, és a felek tudta nélkül megszemélyesítsen más feleket. A lehetőségek száma innentől kezdve korlátlan, és csak a fantáziánkon múlik a többi.
Az internetes PET technológiák fő motivációja az ilyen nézőpontú felhasználók igényeinek kiszolgálása, akár böngészésről, levelezésről vagy más internetes szolgáltatások igénybevételéről van szó.
A biztonság és a privátszféra védelme nem egymás ellentéte
|
|
2008.02.26. 12:20:10
[anonymous]
A Wired egy nemrégiben publikált cikkében amellett szóló érveket olvashatunk, hogy a magánszféra védelme nem a biztonság antitézise. Sőt: a legtöbb magánszférát sértő biztonsági megoldás és intézkedés csak látszatbiztonságot eredményez, a cikk szerzőjének megfogalmazásában csak „biztonságszínházról” van szó, amely politikai szempontból indokolhatja a megfigyeléseket, valójában azonban – a politikai célokon túli – célok elérésére alkalmatlanok.
Új jelszó 
Regisztráció 
