Netidők Blogtársaság

A múlt heti bejegyzésemben a clickjacking nevű átverésről írtam, amelyből kiderült, hogy ezzel a rafinált művelettel egy ártatlannak tűnő felületre való kattintással, nem kívánatos, kártevő folyamatok is elindulnak gépünkön, itt olvashatnak róla bővebben.

A keyjacking kicsit hasonló ehhez a jelenséghez, mert ez is átverés, tehát hivatalosan a scam (’átverés’) nevű kórokozó csoportba tartozik. A keyjacking lényege, hogy megjelenik a kijelző felületén egy látszólag captcha kódot bekérő felület (a captcha kifejezésről szóló bejegyzést lásd itt), ám ha begépeljük a kódot, akkor nem az általunk megkezdett folyamatra léphetünk tovább, hanem rögtön elindul egy állomány futtatása, amit mi nem láthatunk, mert bizonyos böngészőkben az állomány futtatására, mentésére vagy törlésére figyelmeztető párbeszédablakot letakarja a captcha kód ablaka. Az átverés lényege, hogy a feltűnő captcha ablak nem igazi, és valójában elég a megadott kód első betűkét beütni, és már fut is az elrejtet állomány. Mondanom sem kell, hogy számos módja van a védekezésnek: pl. csak azt töltsük le, csak oda kattintsunk, oda regisztráljunk, ahova tényleg muszáj, amit tényleg akarunk, és ne próbálkozzunk vagy kíváncsiskodjunk, mert könnyen pórul járunk, illetve érdemes figyelni a böngészők biztonsági figyelmeztetéseit, illetve hatékonyan tudnak védeni az akaratlan programfuttatástól a jobb fajta, frissen tartott internet biztonsági szoftverek.

A keyjacking összetétel szerkezete megegyezik a clickjackingével (hisz ennek a mintájára, analógiájára született), tehát az utótagja, a jacking az ’eltérítést’ jelenti, míg az előtagja a key alapjelentése a ’kulcs’, ’billentyű’, ám itt természetesen a ’kulcs’ metaforakörébe tartozik a ’kód’, ’valaminek a megoldása’. Közismert a key, magyarul kulcs kifejezés ebben a jelentésében a biztonságtechnikában a biztonsági kulcs vagy titkosítási kulcs szerkezetekben.

Bővebb információkat például az alábbi helyeken lehet olvasni

http://securitywatch.pcmag.com/security/313261-dial-r-for-a-keyjacking-running-malware-with-captcha

http://antivirus.blog.hu/2013/07/01/mai_szavunk_pedig_keyjacking

Bódi Zoltán

Az interneten terjedő kártevők ravasz példánya a clickjacking, ami nem más, mint a kattintásunk eltérítése. Az átverés (közkeletű szakkifejezéssel scam) lényege, hogy a weboldalon rákattintunk egy látszólag ártalmatlan, kattintható felületre, például egy képre vagy egy linkre, és ahelyett, hogy az elvárt folyamat elindulna, eltérítenek egy általunk nem kívánt webhelyre, vagy esetleg letöltődik, elindul egy nem kívánt, kártevő szoftver. Az is gyakran megtörténik, hogy a kattintásunk után az elvárt folyamat ugyan elindul (pl. a videót lejátsszuk), ám mellette még valami tudtunkon és akaratunkon kívül megtörténik, például meg is osztjuk a képet, videót, állományt ismerőseinkkel a közösségi oldalunkon.

A kifejezés egy összetétel, amelynek az előtagja, a click ’kattintás’, ’klikkelés’ mindenki számára ismerős lehet. Megjegyzem, hogy az angol click hangutánzó szó észrevétlenül elterjedt a mi nyelvünkben is, ám jelentése speciális, kifejezetten az egérkattintásra értjük. Az utótag a jacking megfigyelhető a hijacking ’repülőgép-eltérítés’ összetételben is, és mindenhol eltérítést jelent.

A clickjacking jelentéstani hátterében tehát az eltérítés művelete áll, nem az átverés vagy a károkozás van hangsúlyozva, hanem az odavezető út, az eltérítés, vagyis a felhasználó szándéka ellenére történő folyamat.

A clickjacking kifejezést egyébként Jeremiah Grossman és Robert Hansen vezette be 2008-ban (http://www.sectheory.com/clickjacking.htm), és azóta az informatikai biztonsági terminológiában a user interface redressing attack (’a felhasználói felület átcímzése’) vagy egyszerűen csak UI redressing szakkifejezések csoportjába sorolják.

Bódi Zoltán

| Még több lehetőség

A Kickstarteren fedeztem fel ezt az ötletes mobiltartó. Többféle képpen belecsúsztatható a mobil. mégis olyan laposra lehet széthajtogatni, hogy a tárcánkban is elrakható.

Az egyik ismerősöm a következő emailt kapta. Elolvasván – tapasztalatlansága miatt – annyira megijedt, hogy önmaga tiltatta le a bankkártyáját.

Íme a levél:

From: Hitelkartya Biztonsaga [mailto:…] 
Sent: Saturday, June 15, 2013 3:45 PM
To:…
Subject: Hitelkártyáját fel fogjuk függeszteni, ha nem teszi meg a szükséges lépéseket.

Dear … user!


Köszönjük, hogy a Visa vagy Mastercard kártyát választotta. Ezen szolgáltatók azon dolgoznak nap mint nap, hogy megvédjék Önt a visszaéléstol.



A rendszerben újból frissités történt, és meg szeretnénk bizonyosodni arról, hogy valóban Ön használja ezt az e-mail cimet.



Amennyiben nem tölti ki az ívet 48 órán belül, a kártyája átmenetileg felfüggesztésbe kerül, amelyet a bankjában tudnak feloldani.



A kérdoiv kitöltésért kattintson IDE. .



Thank you,



VISA Security Team

Ez a levél tipikus példája az adathalászatnak, nemzetközi nevén a phishingnek. Az interneten végrehajtott csalások egyik típusa tehát a phishing, amelynek az a lényege, hogy a címzett kap egy e-mailt, amelyik formára, tartalmilag hivatalosnak tűnik, és a levélben található egy link, amely elvezet egy olyan weboldalra, amely megszólalásig hasonlít a levélben jelzett cég hivatalos weboldalához, ám ez egy hamisított honlap. Ezen a webhelyen pedig a látogató személyes adatai (például bankkártyaszám, számlaszám, titkos kód stb.) iránt érdeklődnek.

A phishing az angol fishing ’halászat’ szó írásváltozata (ejtésben megegyezik a két szóalak). A csalilevél vagy adathalászat formában magyarított (ám magyar formájában kevéssé ismerős) phishing és a ’halászat’ jelentésű fishing kapcsolata azon alapul, hogy a hiszékeny ügyfelet ugyanúgy halásszák le, csalják lépre, mint a horgászok a halat.

A fentebb idézett levél azon túl, hogy a címzett adatait szeretné lehalászni egy bizonyos kérdőívben, még meg is kíván bizonyosodni arról, hogy valódi, működő-e az email cím. Ezzel nemcsak adatokhoz, hanem biztos spam célponthoz is jut a feladó.

Van a fenti levélben néhány árulkodó jel: a köszöntés és az elköszönés angol nyelvű, míg a levél magyarul van. A szövegben számos grammatikai és helyesírási hiba található. A feladó neve igen gyanús, kissé magyartalan. A kérdőívre vezető link domainje .pl végződésű, pedig a feladó címe .hu végződésű, és a szövegben vannak magyar és angol elemek is. Mindezek alapján elképzelhetetlen, hogy egy megbízható biztonsági cég küldte volna. Kifejezetten életszerűtlen, hogy a két nagy bakkártya cég biztonsági ügyeit együtt kezelik. Maga a megkeresés tárgya is fura: miért lenne szüksége a bankkártyám kibocsájtójának arra, hogy egyeztessék az email címemet. Elképzelhetetlen, hogy valamilyen adategyeztetés elmaradása esetén egy cég a meglévő ügyfelét felfüggesztené. Örök szabály, hogy komoly bankok és cégek személyes adatokat sohasem egyeztetnek az ügyfelekkel emailben, interneten keresztül.

Bódi Zoltán

| Még több lehetőség

Rákattantam az NSA megfigyelés témájára, pedig egyébként a megfigyelés, a totális kontroll, az orwelli rémvíziók az előző 15 évben - amióta információs társadalommal foglalkozom - nagyjából hidegen hagytak. Megismerkedtem a különböző szereplők álláspontjával Snowden-től (a kiszivárogtatótól) kezdve a botrányéhes médián át a manipulatív NSA-ig és az érintett együttműködő online cégek, valamint a kezeit mosó elnök, a "nép" véleményéig továbbá a nemzetközi reakciókig. Várhatóan ezekből egy cikk születik hamarosan, amivel itt nem untatnám a blog olvasóit. Inkább csak azt mondanám el - a blog műfajánál maradva - hogy mit gondolok erről az egészről és szerintem mi az alapvető baj az NSA tevékenységével.

Megnézve az eredeti Guardian cikket és Snowden 12 perces videóját, átnézve sok cikket és elolvasva fórum-bejegyzéseket (felhasználói véleményeket) a magam részéről azt gondolom, hogy az emberek (az emberi kommunikáció) minél szélesebb körű, nem indokolt megfigyelése zajlik Amerikában. (Egyelőre nem hűtőket, porszívókat, villanyórákat stb. figyelnek, hanem embereket – feltehető, hogy a jövőben utóbbiakat is figyelni akarják majd, amint a m2m is elterjed. De nem is ez a lényeg.) A lényeg, hogy 200 év alatt az volt a logika, hogy ha gyanús, engedélyt kérünk, ha megkapjuk, megfigyeljük, ahogy tudjuk. Tehát konkrét személyek megfigyelése folyt, azután, hogy azok gyanússá váltak. Most adatgyűjtés (nem konkrét személyekről, hanem úgy általában) folyik, javarészt még azelőtt, hogy bárki gyanússá válna, így:

1. ha gyanússá válik, visszanézhető, hogy mit csinált még azelőtt, hogy gyanússá vált volna;
2. de eleve attól is gyanússá válhat, amit csinál (például automatizált szűrőkön keresztül) és akkor már konkrétan őt (is) figyelhetik.

Mindkét esetben logikai igazolást nyer, hogy érdemes a rendszert fenntartani és megfigyelni az embereket, egyrészt, mert ilyen rendszer nélkül nem lehetséges utólag rekonstruálni korábbi eseményeket (mielőtt gyanús lenne valaki), másrészt, mert így sokkal könnyebb kitalálni, hogy kit kell megfigyelni (kiszűrni, hogy ki gyanús a tömegből). Érthető tehát, hogy az emberek egy jelentős része elfogadja a rendszer működését és inkább felad valamennyit a nem különösebben magasra értékelt magánszférájából, pláne, hogy ez egyébként nem jár a számára semmilyen kényelmetlenséggel (amíg nem válik maga is gyanússá). Mi ezzel a gond? – kérdezik sokan.

A gond szerintem az, ha:

1. ezt a rendszert ellenőrizetlenül használják (elsősorban azok kontrollálják, akik üzemeltetik),
2. az érvényes jogszabályokat és az alkotmányos elveket nem betartva (vagy megkerülve és sajátosan értelmezve),
3. és nem a céljának megfelelően.

Az első kettő egyelőre bizonyosnak látszik, a harmadikra nincs bizonyíték. Kérdés, hogy meg kell-e várni, hogy ilyen bizonyítékok legyenek, tehát hogy visszaéljenek a rendszerrel, például kiderüljön, politikusokat zsarolnak meg magánéleti botlásaik miatt, hírességeket tegyenek tönkre kompromittáló információkkal, üzletemberek (versenytársak) hallgatólagos támogatását szerezzék meg vagy kényszerítsék őket bizonyos lépésekre stb. (Ne felejtsük el, hogy Edward Snowden egy vállalkozás alkalmazásában állt, amely rengeteg információhoz fér hozzá, nyilván a saját versenytársairól is. Az más kérdés, hogy ténylegesen visszaél-e ezzel, az viszont tény, hogy ennek a kísértése, kockázata fennáll.)

Azt gondolom, attól még, hogy a technológia lehetővé teszi az emberek egyre nagyobb mértékű megfigyelését, ez még nem kellene, hogy egyúttal azt is jelentse, hogy az erre alkalmas rendszert ki is építsék, vagy a korábbi szabályok megszegésével tegyék meg valamilyen indokra (biztonság, terrorizmus) hivatkozva. Egyelőre a totális megfigyelhetőségre csak törekednek és feltehetően egy darabig nem is érik el ezt a technológiai szintet. Fontos lenne viszont, hogy még most meg lehessen fogni a dolgot, amikor a teljes rendszer nem épült ki – és ne csak a technológiai korlátok állják gátját ennek, hanem a jogszabályok következetes betartása és a civil kontroll. Amerika véleményem szerint nagyon rossz úton jár és nagyon rossz példát mutat a (demokratikus és nem demokratikus) államoknak világszerte, hogy hogyan lehet visszaélni az internettel és a felségterületén működő online cégek bizalmával. Ezzel felhatalmazza azokat, hogy ők is ezeket az új játékszabályokat kövessék, amivel deklarálja egy új cyberkorszak kezdetét, amiben a megfigyelés, a kémkedés, a mások rendszereibe való betörés teljesen elfogadott és legitim része a hatalmi játszmáknak. 

Pintér Robesz